軟考網(wǎng)絡(luò)工程師2018下半年下午試題和答案解析詳解

./試題一閱讀以下說(shuō)明,回答問題1至問題4,將解答填入答題紙對(duì)應(yīng)的解答欄內(nèi)。[說(shuō)明]某企業(yè)組網(wǎng)方案如圖1-1所示,網(wǎng)絡(luò)接口規(guī)劃如表1-1所示。公司內(nèi)部員工和外部訪客均可通過無(wú)線網(wǎng)絡(luò)訪問企業(yè)網(wǎng)絡(luò),內(nèi)部員工無(wú)線網(wǎng)絡(luò)的SSID為Employee,訪客無(wú)線網(wǎng)絡(luò)的SSID為Visitor。圖1表1[問題1]〔6分防火墻上配置NAT功能,用于公私網(wǎng)地址轉(zhuǎn)換。同時(shí)配置安全策略,將內(nèi)網(wǎng)終端用戶所在區(qū)域劃分為Trust區(qū)域,外網(wǎng)劃分為Untrust區(qū)域,保護(hù)企業(yè)內(nèi)網(wǎng)免受外部網(wǎng)絡(luò)攻擊。補(bǔ)充防火墻數(shù)據(jù)規(guī)劃表1-2內(nèi)容中的空缺項(xiàng)。注：Local表示防火墻本地區(qū)域：srcip表示源ip。[問題2]〔4分在點(diǎn)到點(diǎn)的環(huán)境下,配置IPSecVPN隧道需要明確〔4和〔5[問題3]〔6分在Switch1上配置ACL禁止訪客訪問內(nèi)部網(wǎng)絡(luò),將Switch1數(shù)據(jù)規(guī)劃表1-3內(nèi)容中的空缺項(xiàng)補(bǔ)充完整。[問題4]〔4分AP控制器上部署WLAN業(yè)務(wù),采用直接轉(zhuǎn)發(fā),AP跨三層上線。認(rèn)證方式：無(wú)線用戶通過預(yù)共享密鑰方式接入。在Switch1上GEO/O/2連接AP控制器,該接口類型配置為〔9模式,所在VLAN是〔10。試題二〔共20分閱讀下列說(shuō)明,回答問題1至問題4,將解答填入答題紙的對(duì)應(yīng)欄內(nèi)。[說(shuō)明]圖2-1是某企業(yè)網(wǎng)絡(luò)拓?fù)?網(wǎng)絡(luò)區(qū)域分為辦公區(qū)域、服務(wù)器區(qū)域和數(shù)據(jù)區(qū)域,線上商城系統(tǒng)為公司提供產(chǎn)品在線銷售服務(wù)。公司網(wǎng)絡(luò)保障部負(fù)責(zé)員工辦公電腦和線上商城的技術(shù)支持和保障工作。[問題1]〔6分某天,公司有一臺(tái)電腦感染"勒索"病毒,網(wǎng)絡(luò)管理員應(yīng)采取〔1、〔2、〔3措施。〔1~〔3備選答案：A．?dāng)嚅_已感染主機(jī)的網(wǎng)絡(luò)連接 B．更改被感染文件的擴(kuò)展名C．為其他電腦升級(jí)系統(tǒng)漏洞補(bǔ)丁 D．網(wǎng)絡(luò)層禁止135/137/139/445端口的TCP連接E．刪除已感染病毒的文件[問題2]〔8分圖2-1中,為提高線上商城的并發(fā)能力,公司計(jì)劃增加兩臺(tái)服務(wù)器,三臺(tái)服務(wù)器同時(shí)對(duì)外提供服務(wù),通過在圖中〔4設(shè)備上執(zhí)行〔5策略,可以將外部用戶的訪問負(fù)載平均分配到三臺(tái)服務(wù)器上。<5>備選答案：A．散列 B．輪詢 C．最少連接 D．工作-備份其中一臺(tái)服務(wù)器的IP地址為/27,請(qǐng)將配置代碼補(bǔ)充完整。ifcfg-eml配置片段如下：DEVICE=emlTYPE=EthernetUUID=36878246-2a99-43b4-81df-2db1228eea4bONBOOT=yesNM_CONTROLLED=yesBOOTPROTO=noneHWADDR=90:B1:1C:51:F8:25NETMASK=〔6DEFROUTE=yesIPV4_FAILURE_FATAL=yesIPV6INTI=no配置完成后,執(zhí)行systemct1〔7network命令重啟服務(wù)。[問題3]〔4分網(wǎng)絡(luò)管理員發(fā)現(xiàn)線上商城系統(tǒng)總是受到SQL注入、跨站腳本等攻擊,公司計(jì)劃購(gòu)置〔8設(shè)備/系統(tǒng),加強(qiáng)防范；該設(shè)備應(yīng)部署在圖2-1中設(shè)備①~④的〔9處。A．殺毒軟件 B．主機(jī)加固 C．WAF〔Web應(yīng)用防護(hù)系統(tǒng) D．漏洞掃描[問題4]〔2分圖2-1中,存儲(chǔ)域網(wǎng)絡(luò)采用的是〔10網(wǎng)絡(luò)。試題三〔共20分閱讀以下說(shuō)明,回答問題1至問題4,將解答填入答題紙對(duì)應(yīng)的解答欄內(nèi)。[說(shuō)明]某公司有兩個(gè)辦事處,分別利用裝有WindowsServer2008的雙宿主機(jī)實(shí)現(xiàn)路由功能,此功能由WmdowsServer2008中的路由和遠(yuǎn)程訪問服務(wù)來(lái)完成。管理員分別為這兩臺(tái)主機(jī)其中一個(gè)網(wǎng)卡配置了不同的IP地址,如圖3-1所示。[問題1]〔4分在"管理您的服務(wù)器"中點(diǎn)擊"添加或刪除角色",此時(shí)應(yīng)當(dāng)在服務(wù)器角色中選擇〔1來(lái)完成路由和遠(yuǎn)程訪問服務(wù)的安裝。在下列關(guān)于路由和遠(yuǎn)程訪問服務(wù)的選項(xiàng)中,不正確的是〔2?！?備選答案：A．文件服務(wù)器 B．應(yīng)用程序服務(wù)器〔IIS,ASP.NETC．終端服務(wù)器, D．遠(yuǎn)程訪問/VPN服務(wù)〔2備選答案：A．可連接局域網(wǎng)的不同網(wǎng)段或子網(wǎng),實(shí)現(xiàn)軟件路由器的功能B．把分支機(jī)構(gòu)與企業(yè)網(wǎng)絡(luò)通過Intranet連接起來(lái),實(shí)現(xiàn)資源共享C．可使遠(yuǎn)程計(jì)算機(jī)接入到企業(yè)網(wǎng)絡(luò)中訪問網(wǎng)絡(luò)資源D．必須通過VPN才能使遠(yuǎn)程計(jì)算機(jī)訪問企業(yè)網(wǎng)絡(luò)中的網(wǎng)絡(luò)資源[問題2]〔4分兩個(gè)辦事處子網(wǎng)的計(jì)算機(jī)安裝Win7操作系統(tǒng),要實(shí)現(xiàn)兩個(gè)子網(wǎng)間的通信,子網(wǎng)A和子網(wǎng)B中計(jì)算機(jī)的網(wǎng)關(guān)分別為〔3和〔4。子網(wǎng)A中的計(jì)算機(jī)用ping命令來(lái)驗(yàn)證數(shù)據(jù)包能否路由到子網(wǎng)B中,圖3-2中參數(shù)使用默認(rèn)值,從參數(shù)〔5可以看出數(shù)據(jù)包經(jīng)過了〔6個(gè)路由器?！?備選答案：A． B． C． D．無(wú)須配置網(wǎng)關(guān)〔4備選答案：A． B． C． D．無(wú)須配置網(wǎng)關(guān)〔5備選答案：A．Bytes B．Time C．TTL D．Lost[問題3]〔8分WindowsServer2008支持RIP動(dòng)態(tài)路由協(xié)議。在RIP接口屬性頁(yè)中,如果希望路由器每隔一段時(shí)間向自己的鄰居廣播路由表以進(jìn)行路由信息的交換和更新,則需要在"操作模式"中選擇〔7。在"傳出數(shù)據(jù)包協(xié)議"中選擇〔8,使網(wǎng)絡(luò)中其它運(yùn)行不同版本的鄰居路由器都可接受此路由器的路由表：在"傳入數(shù)據(jù)包協(xié)議"中選擇〔9,使網(wǎng)絡(luò)中其他運(yùn)行不同版本的鄰居路由器都可向此廣播路由表?！?備選答案：A．周期性是更新模式 B．自動(dòng)-靜態(tài)更新模式〔8備選答案：A．RIPv1廣播 B．RIPv2多播 C．RIPv2廣播〔9備選答案：A．只是RIPv1 B．只是RIPv2 C．RIPv1和v2 D．忽略傳入數(shù)據(jù)包為了保護(hù)路由器之間的安全通信,可以為路由器配置身份驗(yàn)證。選中"激活身份驗(yàn)證"復(fù)選框,并在"密碼"框中鍵入一個(gè)密碼。所有路由器都要做此配置,所配置的密碼〔10。〔10備選答案：A．可以不同 B．必須相同[問題4]〔4分由于在子網(wǎng)A中出現(xiàn)病毒,需在路由接口上啟動(dòng)過濾功能,不允許子網(wǎng)B接收來(lái)自子網(wǎng)A的數(shù)據(jù)包,在選擇入站篩選器且篩選條件是"接收所有除符合下列條件以外的數(shù)據(jù)包"時(shí),如圖3-3所示,由源網(wǎng)絡(luò)IP地址和子網(wǎng)掩碼得到的網(wǎng)絡(luò)地址是〔11,由目標(biāo)網(wǎng)絡(luò)IP地址和子網(wǎng)掩碼得到的網(wǎng)絡(luò)地址是〔12,需要選擇協(xié)議〔13。如果選擇協(xié)議〔14,則會(huì)出現(xiàn)子網(wǎng)A和子網(wǎng)B之間ping不通但是子網(wǎng)B能接受來(lái)自子網(wǎng)A的數(shù)據(jù)包的情況。〔11備選答案：〔12備選答案：〔13~〔14備選答案：A．ICMP B．TCP C．UDP D．任何試題四〔共15分閱讀以下說(shuō)明,回答問題1至問題2,將解答填入答題紙對(duì)應(yīng)的解答欄內(nèi)。[說(shuō)明]某公司網(wǎng)絡(luò)拓?fù)鋱D如圖4-1所示。[問題1]〔5分為了便于管理公司網(wǎng)絡(luò),管理員根據(jù)不同部門對(duì)公司網(wǎng)絡(luò)劃分了VLAN,VLAN編號(hào)及IP地址規(guī)劃如表4-1所示,考慮到公司以后的發(fā)展,每個(gè)部門的IP地址規(guī)劃均留出了一定的余量,請(qǐng)根據(jù)需求,將下表補(bǔ)充完整。公司計(jì)劃使用24接口的二層交換機(jī)作為接入層交換機(jī),根據(jù)以上主機(jī)數(shù)量在不考慮地理位置的情況下,最少需要購(gòu)置〔5臺(tái)接入層交換機(jī)。[問題2]〔10分公司申請(qǐng)了14個(gè)公網(wǎng)IP地址,地址范圍為09-22,其中,18-22作為服務(wù)器和接口地址保留,其他公網(wǎng)IP地址用于公司訪問Internet。公司使用PAT為營(yíng)銷部門提供互聯(lián)網(wǎng)訪問服務(wù)。請(qǐng)根據(jù)描述,將下面配置代碼補(bǔ)充完整。system-view[Huawei]<6>R1[R1]user-interface<7>//進(jìn)入console用戶界面視圖[R1-ui-console0]authentication-mode<8>Pleaseconfiguretheloginpassword<maximumlength16>:huawei[R1-ui-console0]quit[R1]intGigabitEthernet,0/0/0[R1-GigabitEthernet0/0/0]<9>[R1]<10>2000[R1-acl-2000]<11>5permitsource<12>[R1-acl-basic-2000]quit[R1]nataddress-group1<13>[R1]interrfaceGigabitEthemet0/0/1[R1-GigabitEthemet0/0/1]ipaddress<14>[R1-GigabitEthemet0/0/1]<15>outbound2000address-group1[R1]rip[R1-rip-1]version2交換機(jī)配置略……答案及解析試題一：?jiǎn)栴}一： 1、/24 2、/32 3、/0或any問題二： 4-5隧道的源目IP地址8、deny問題四：9、access10、VLAN10解析：由說(shuō)明可知,企業(yè)網(wǎng)通過IPSec隧道與分支相連,因此需要配置隧道的源目IP地址。Local代表防火墻本地區(qū)域,即直連網(wǎng)段。要通過ACL實(shí)現(xiàn)訪問控制：禁止訪客訪問內(nèi)部網(wǎng)絡(luò)。訪客對(duì)應(yīng)網(wǎng)段為VLAN104即/24,動(dòng)作應(yīng)該為deny.AP控制器連接在核心交換機(jī)的GE0/0/2端口,對(duì)應(yīng)說(shuō)明所屬于VLAN為100.因此端口類型為access。試題二：?jiǎn)栴}一：1-3：ADC問題二：4、負(fù)載均衡系統(tǒng) 5、B 6、24 7、restart問題三：8、C 9、4問題四：10、FCSCAN勒索病毒利用的是Windows系統(tǒng)漏洞,通過系統(tǒng)默認(rèn)開放135、137、445等文件共享端口發(fā)起的病毒攻擊。因此應(yīng)該要先將感染的主機(jī)斷開網(wǎng)絡(luò)連接,然后將其它主機(jī)也斷開連接,并禁止共享端口,然后升級(jí)操作系統(tǒng)。實(shí)現(xiàn)負(fù)載均衡可直接在此網(wǎng)絡(luò)上的負(fù)載均衡設(shè)備上實(shí)現(xiàn),并執(zhí)行輪詢?cè)O(shè)置,這樣可實(shí)現(xiàn)對(duì)各服務(wù)器的負(fù)載均衡操作。由說(shuō)明可知服務(wù)器的IP地址為：/27,因此可知子網(wǎng)掩碼為：24.啟用網(wǎng)絡(luò)服務(wù)的命令：systemctlenablenetworkWeb應(yīng)用防護(hù)系統(tǒng),簡(jiǎn)稱：WAF,Web應(yīng)用防火墻是通過執(zhí)行一系列針對(duì)HTTP/HTTPS的安全策略來(lái)專門為Web應(yīng)用提供保護(hù)的一款產(chǎn)品。能夠有效發(fā)現(xiàn)及阻止SQL注入、網(wǎng)頁(yè)篡改、跨站腳本等攻擊。主要對(duì)服務(wù)器區(qū)域進(jìn)行檢測(cè)和保護(hù)。存儲(chǔ)網(wǎng)絡(luò),采用光纖連接存儲(chǔ)區(qū)域,實(shí)現(xiàn)高速存儲(chǔ)訪問,符合FCSAN的特點(diǎn)。并且FCSAN支持塊級(jí)調(diào)用,適合對(duì)大型數(shù)據(jù)庫(kù)提供存儲(chǔ)服務(wù)。試題三：?jiǎn)栴}一：1、D 2、D問題二：3、C 4、C 5、C 6、128問題三：7、A 8、A 9、C 10、B問題四：11-14ADDA通過文字及圖形說(shuō)明,可知子網(wǎng)A連接在網(wǎng)段,而子網(wǎng)B處在網(wǎng)段,對(duì)應(yīng)的網(wǎng)關(guān)地址分別為網(wǎng)段連接的服務(wù)器IP。Ping命令通常用于測(cè)試連通性,利用的ICMP的回送請(qǐng)求或回答報(bào)文,其中TTL值代表跳數(shù),以255跳開始,每經(jīng)過一個(gè)路由器,就會(huì)減1。為支持RIP動(dòng)態(tài)路由協(xié)議,可自己相應(yīng)配置,RIP有兩個(gè)版本,V1只支持有類路由信息,并以廣播的方式發(fā)送整個(gè)路由表給鄰居,V2支持無(wú)類別路由,以組播的方式發(fā)送整個(gè)路由表信息進(jìn)行路由收斂。為了確保路由器之間的安全通信,可在路由器和路由器之間增加身份驗(yàn)證,并且相互連接的雙方密碼信息要一致。試題四4、25 5、7問題二：6、sysname//配置設(shè)備名 7、console0 8、password//配置console口密碼9、quit//退出接口視圖 10、acl//定義ACL 11、rule//