2023年网络工程师案例分析.doc

《2023年网络工程师案例分析.doc》由会员分享，可在线阅读，更多相关《2023年网络工程师案例分析.doc（18页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、13.2 强化练习以下列举了历年网络工程师考试中出题频率较高的试题类型，分别是涉及到网络系统分析与设计类、应用服务器、网络设备配置（路由器、互换机）、网络安全等考点。试题一（共15分）阅读以下说明，回答问题1至问题3,将解答填入答题纸相应的解答栏内。【说明】某校园无线网络拓扑结构如图13-1所示。图13-1该网络中无线网络的部分需求如下：1.学校操场规定部署AP,该操场区域不能提供外接电源。2.学校图书馆报告厅规定高带宽、多接入点。3.无线网络接入规定有必要的安全性。【问题1】（4分）根据学校无线网络的需求和拓扑图可以判断，连接学校操场无线AP的是（1）互换机，它可以通过互换机的（2）口为AP

2、提供直流电。【问题2】（6分）1.根据需求在图书馆报告厅安装无线AP,假如采用符合IEEE 802.11b规范的AP,理论上可以提供（3）Mb/s的传输速率；假如采用符合IEEE 802.11g规范的AP,理论上可以提供最高（4）Mb/s的传输速率。假如采用符合（5）规范的AP,由于将MIMO技术和（6）调制技术结合在一起，理论上最高可以提供600Mbps的传输速率。（5）备选答案A.IEEE 802.11aB.IEEE 802.11eC.IEEE 802.11iD.IEEE 802.11n（6）备选答案A. BFSKB. QAMC. OFDMD. MFSK2.图书馆报告厅需要部署10台无线A

3、P,在配置过程中发现信号互相干扰严重，这时应调整无线AP的（7）设立，用户在该报告厅内应选择（8），接入不同的无线AP.（7）（8）备选答案A.频道B.功率C.加密模式D.操作模式E.SSID【问题3】（5分）若在学校内一个专项实验室配置无线AP,为了保证只允许实验室的PC机接入该无线AP,可以在该无线AP上设立不广播（9），对客户端的（10）地址进行过滤，同时为保证安全性，应采用加密措施。无线网络加密重要有三种方式：（11）、WPA/WPA2、WPA-PSK/WPA2-PSK.在这三种模式中，安全性最佳的是（12），其加密过程采用了TKIP和（13）算法。（13）备选答案A. AESB. D

4、ESC. IDEAD. RSA试题二（共 15 分）阅读下列说明，回答问题1至问题5,将解答填入答题纸相应的解答栏内。【说明】网络拓扑结构如图13-2所示。图13-2【问题1】（4分）网络A的WWW服务器上建立了一个Web站点，相应的域名是.edu .DNS服务器1上安装Windows Server 2023操作系统并启用DNS服务。为了解析WWW服务器的域名，在图13-3所示的对话框中，新建一个区域的名称是（1）；在图13-4所示的对话框中，添加的相应的主机名称为（2）。图13-3图13-4【问题2】（3分）在DNS系统中反向查询（Reverse Query）的功能是（3）。为了实现网络A中

5、WWW服务器的反向查询，在图13-5和13-6中进行配置，其中网络ID应填写为（4）。主机名应填写为（5）。图13-5图13-6【问题3】（3分）DNS服务器1负责本网络区域的域名解析，对于非本网络的域名，可以通过设立转发器,将自己无法解析的名称转到网络C中的DNS服务器2进行解析。设立环节：一方面在DNS管理器中选中DNS服务器，单击鼠标右键，选择属性对话框中的转发器选项卡，在弹出的如图13-7所示的对话框中应如何配置图13-7【问题4】（2分）网络C的Windows Server 2023 Server服务器上配置了DNS服务，在该服务器上两次使用nslookup .com命令得到的结果如

6、图13-8所示，由结果可知，该DNS服务器（6）。图13-8（6）的备选答案：A.启用了循环功能B.停用了循环功能C.停用了递归功能D.启用了递归功能【问题5】（3分）在网络B中，除PC5计算机以外，其它的计算机都能访问网络A的WWW服务器，而PC5计算机与网络B内部的其它PC机器都是连通的。分别在PC5和PC6上执行命令ipconfig,结果信息如图13-9和图13-10所示：图13-9图13-10请问PC5的故障因素是什么如何解决试题三（共15分）阅读以下说明，回答问题1至问题4,将解答填入答题纸相应的解答栏内。【说明】某公司总部和分支机构的网络配置如图13-11 所示。在路由器 R1 和

7、 R2 上配置 IPSec安全策略，实现分支机构和总部的安全通信。图13-11【问题1】（4 分）图13-12中（a）、（b）、（c）、（d）为不同类型IPSec数据包的示意图，其中（1）和（2）工作在隧道模式；（3）和（4）支持报文加密。图13-12【问题2】（4 分）下面的命令在路由器R1中建立IKE策略，请补充完毕命令或说明命令的含义。R1（config）# crypto isakmp policy 110 进入ISAKMP 配置模式R1（config-isakmp）# encryption des（5）R1（config-isakmp）# （6）采用MD5散列算法R1（config-i

8、sakmp）# authentication pre-share （7）R1（config-isakmp）# group 1R1（config-isakmp）# lifetime （8）安全关联生存期为1天【问题3】（4分）R2与R1 之间采用预共享密钥12345678建立 IPSec安全关联，请完毕下面配置命令。R1（config）# crypt isakmp key 12345678 address （9）R2（config）# crypt isakmp key 12345678 address （10）【问题4】（3分）完毕以下ACL配置，实现总部主机10.0.1.3和分支机构主机10.

9、0.2.3的通信。R1（config）# access-list 110 permit ip host （11） host （12）R2（config）# access-list 110 permit ip host （13） host 10.0.1.3试题四（共15分）阅读以下说明，回答问题1至问题4,将解答填入答题纸相应的解答栏内。【说明】某公司通过PIX防火墙接入Internet,网络拓扑如图13-13所示。图13-13在防火墙上运用show命令杳询当前配置信息如下：PIX#show confignameif eth0 outside security0nameif eth l insi

10、de security100nameif eth2 dmz security40fixup protocol ftp 21（1）fixup protocol http 80ip address outside 61.144.51.42 255.255.255.248ip address inside 192.168.0.1 255.255.255.0ip address dmz 10.10.0.1 255.255.255.0global（outside）1 61.144.51.46nat（inside）1 0.0.0.0 0.0.0.000route outside 0.0.0.0 0.0.0

11、.0 61.144.51.45 1 （2）【问题1】（4分）解释（1）、（2）处画线语句的含义。【问题2】（6分）根据配置信息，填写表13-1.表13-1【问题3】（2分）根据所显示的配置信息，由inside域发往Internet的IP分组，在到达路由器R1时的源IP地址是（7）。【问题4】（3分）假如需要在dmz域的服务器（IP地址为10.10.0.100）对Internet用户提供Web服务（对外公开IP地址为61.144.51.43），请补充完毕下列配置命令。PIX（config）#static（dmz,outside）（8）（9）PIX（config）#conduitpermittcp

12、host（10）eqwwwany试题五（共15分）阅读以下说明，回答问题1至问题3,将解答填入答题纸相应的解答栏内。【说明】在大型网络中，通常采用DHCP完毕基本网络配置会更有效率。【问题1】（1分）在Linux系统中，DHCP服务默认的配置文献为（1）。（1）备选答案：A./etc/dhcpd.confB./etc/dhcpd.configC./etc/dhcp.confD./etc/dhcp.config【问题2】（共4分）管理员可以在命令行通过（2）命令启动DHCP服务；通过（3）命令停止DHCP服务。（2）、（3）备选答案：A.service dhcpd startB.service

13、dhcpd upC.service dhcpd stopD.service dhcpd down【问题3】（10分）在Linux系统中配置DHCP服务器，该服务器配置文献的部分内容如下：subnet 192.168.1.0 netmask 255.255.255.0option routers 192.168.1.254;option subnet-mask 255.255.255.0;option broadcast-address 192.168.1.255;option domain-name-servers 192.168.1.3;range 192.168.1.100 192.168

14、.1.200;default-lease-time 21600;max-lease-time 43200;host webserverhardware ethernet 52:54:AB:34:5B:09;fixed-address 192.168.1.100;在主机webserver上运营ifconfig命令时显示如图13-14所示，根据DHCP配置，填写空格中缺少的内容。图13-14 ifconfig命令运营结果该网段的网关IP地址为（7），域名服务器IP地址为（8）。试题一分析问题1解析：根据学校无线网络的需求在学校操场规定部署AP,该操场区域不能提供外接电源，由此可以判断连接学校操场无

15、线AP的是POE（Power over Ethernet）互换机，是一种可以在以太网 中通过双绞线 来为连接设备提供电源的技术。它可以通过互换机的以太口为AP提供直流电。问题2解析：IEEE802.11先后提出了以下多个标准，最早的802.11标准只可以达成12Mbps的速度，在制订更高速度的标准时，就产生了802.11a和802.11b两个分支，后来又推出了802.11g的新标准，如表13-2所示。表13-2 无线局域网标准注：ISM是指可用于工业、科学、医疗领域的频段；U-NII是a指用于构建国家信息基础的无限制频段。图书馆报告厅需要部署10台无线AP,在配置过程中发现信号互相干扰严重，这

16、时应调整无线AP的频道设立，用户在该报告厅内应选择SSID,接入不同的无线AP.其中SSID为用来标记不同的无线网络信号。如图13-15所示：图13-15问题3解析：若在学校内一个专项实验室配置无线AP,为了保证只允许实验室的PC机接入该无线AP,可以在该无线AP上设立不广播SSID.通常无线AP默认启动SSID广播，在其覆盖范围内，所有具有无线网卡的计算机都可以查看并连接到该网络，如将其SSID广播禁用，则只有知道对的SSID的计算机才干连接至该无线网络，这样可达成安全限制的目的。同时对客户端的MAC地址进行过滤，如图13-16所示：图13-16单击添加新条目:如图13-17图13-17无线

17、网络加密重要有三种方式：WEP、WPA/WPA2、WPA-PSK/WPA2-PSK.在这三种模式中，安全性最佳的是WPA-PSK/WPA2-PSK,其加密过程采用了TKIP和AES算法。如图13-18所示：图13-18其中WEP加密是无线加密中最早使用的加密技术，也是目前最常用的，大部分网卡都支持该种加密。但是后来发现WEP是很不安全的，802.11组织开 始着手制定新的安全标准，也就是后来的802.11i协议。IEEE 802.11i规定使用802.1x认证和密钥管理方式，在数据加密方面，定义了TKIP（Temporal Key Integrity Protocol）、CCMP（Counte

18、r-Mode/CBC-MAC Protocol）和WRAP（Wireless Robust Authenticated Protocol）三种加密机制。其中TKIP采用WEP机制里的RC4作为核心加密算法，可以通过在现有的设备上升级固件和驱动程序的方法达成提高WLAN安全的目的。CCMP机制基于AES加密算法和CCM（Counter-Mode/CBC-MAC）认证方式，使得WLAN的安全限度大大提高，是实现RSN的强制性规定。由于AES对硬件规定比较高，因此，CCMP无法通过在现有设备的基础上进行升级实现。WRAP机制基于AES加密算法和OCB（Offset Codebook），是一种可选的加

19、密机制。试题一参考答案【问题1】（4分）（1）PoE或者802.3af （2）以太或者Ethernet【问题2】（6分）（3）11 （4）54 （5）D （6）C （7）A （8）E .【问题3】（5分）（9）SSID （10）MAC （11）WEP （12）WPA-PSK/WPA2-PSK （13）A.试题二分析问题1解析：本题考察的为Windows 2023平台下DNS服务器的配置，Windows 2023中新建区域，是为了让域名能和指定的IP地址建立起相应关系。这个时候应当填写其根域名，因此（1）应当填写abc.edu.根据问题1的规定，要可以对的解析本地Web站点的域名，因此图13-4

20、中添加的主机的名称即空（2）应当为www.问题2解析：DNS的反向查询就是用户用IP地址查询相应的域名。在图13-5的网络ID中，要以DNS服务器所使用的IP地址前三个部分来设立反向搜索区域。图13-2中，网络A中的DNS服务器的IP地址是210.43.16.4,则取用前三个部分就是210.43.16.因此，（4）填入210.43.16而主机名填写相应的域名即可，即.edu .问题3解析：DNS服务器1负责本网络区域的域名解析，对于非本网络的域名，可以通过设立转发器,将自己无法解析的名称转到网络C中的DNS服务器2进行解析。设立环节：一方面在DNS管理器中选中DNS服务器，单击鼠标右键，选择属

21、性对话框中的转发器选项卡，在选项卡中选中启用转发器,在IP地址栏输入51.202.22.18,单击添加按钮，然后单击拟定按钮关闭对话框。问题4解析：如图13-8所示，如.com 相应于多个IP地址时DNS每次解析的顺序都不同，则表达其启用了循环功能。问题5解析：由网络拓扑图可知，PC5和PC6属于同一网段，导致PC5不能对的访问WWW服务器的因素在于的默认网关配置错误，导致数据包到达不了对的的网关，将默认网关IP地址修改为对的网关地址192.168.0.3即可。试题二参考答案【问题1】（5分）（1）abc.edu（2）www【问题2】（3分）（3）用IP地址查询相应的域名（4）210.43.1

22、6（5）.edu 【问题3】（3分）选中启用转发器,在IP地址栏输入51.202.22.18,单击添加按钮，然后单击拟定按钮关闭对话框。【问题4】（2分）（6）A 或 启用了循环功能【问题5】（3分）PC5的默认网关配置错误（2分），将默认网关IP地址修改为192.168.0.3.试题三分析问题1解析：IPSec有隧道和传送两种工作方式。在隧道方式中，用户的整个IP数据包被用来计算ESP头，且被加密，ESP头和加密用户数据被封装在一个新的 IP 数据包中；在传送方式中，只是传输层（如TCP、UDP、ICMP）数据被用来计算ESP头，ESP头和被加密的传输层数据被放置在原IP包头后面。当IPSe

23、c通信的一端为安全网关时，必须采用隧道方式。IPsec使用两种协议来提供通信安全身份验证报头（AH）和封装式安全措施负载（ESP）。身份验证报头（AH）可对整个数据包（IP 报头与数据包中的数据负载）提供身份验证、完整性与抗重播保护。但是它不提供保密性，即它不对数据进行加密。数据可以读取，但是严禁修改。封装式安全措施负载（ESP）不仅为IP负载提供身份验证、完整性和抗重播保护，还提供机密性。传输模式中的ESP不对整个数据包进行署名。只对IP负载（而不对IP报头）进行保护。ESP可以独立使用，也可与AH组合使用。问题2解析：VPN的基本配置：配置信息描述：一端服务器的网络子网为10.0.1.0/

24、24,路由器为172.30.1.2;另一端服务器为10.0.2.0/24,路由器为172.30.2.2.重要环节：1. 拟定一个预先共享的密钥（保密密码）（以下例子保密密码假设为testpwd）2. 为SA协商过程配置IKE.3. 配置IPSec.（1）配置IKECsaiR（config）#crypto isakmp policy 1 /policy 1表达策略1,假如想多配几VPN,可以写成policy 2、policy 3CsaiR （config-isakmp）#group 1 /group命令有两个参数值：1和2.参数值1表达密钥使用768位密钥，参数值2表达密钥使用1024位密钥，显

25、然后一种密钥安全性高，但消耗更多的CPU时间。在通信比较少时，最佳使用group 1长度的密钥。CsaiR （config-isakmp）#authentication pre-share /告诉路由器要使用预先共享的密码。CsaiR （config-isakmp）#lifetime 3600 /对生成新SA的周期进行调整。这个值以秒为单位，默认值为86400（24小时）。值得注意的是两端的路由器都要设立相同的SA周期，否则VPN在正常初始化之后，将会在较短的一个SA周期到达中断。CsaiR （config）#crypto isakmp key test address 200.20.25.1

26、 /返回到全局设立模式拟定要使用的预先共享密钥和指归VPN另一端路由器IP地址，即目的路由器IP地址。相应地在另一端路由器配置也和以上命令类似，只但是把IP地址改成100.10.15.1.（2）配置IPSecCsaiR （config）#access-list 130 permit ip 192.168.1.0 0.0.0.255 172.16.10.0 0.0.0.255 /在这里使用的访问列表号不能与任何过滤访问列表相同，应当使用不同的访问列表号来标记VPN规则。CsaiR （config）#crypto ipsec transform-set vpn1 ah-md5-hmac esp-d

27、es esp-md5-hmac /这里在两端路由器唯一不同的参数是vpn1,这是为这种选项组合所定义的名称。在两端的路由器上，这个名称可以相同，也可以不同。以上命令是定义所使用的IPSec参数。为了加强安全性，要启动验证报头。由于两个网络都使用私有地址空间，需要通过隧道传输数据，因此还要使用安全封装协议。最后，还要定义DES作为保密密码钥加密算法。CsaiR （config）#crypto map shortsec 60 ipsec-isakmp /Map优先级，取值范围165535,值越小，优先级越高。参数shortsec是我们给这个配置定义的名称，稍后可以将它与路由器的外部接口建立关联。C

28、saiR （config-crypto-map）#set peer 200.20.25.1 /这是标记对方路由器的合法IP地址。在远程路由器上也要输入类似命令，只是对方路由器地址应当是100.10.15.1.CsaiR （config-crypto-map）#set transform-set vpn1CsaiR （config-crypto-map）#match address 130 /这两个命令分别标记用于VPN连接的传输设立和访问列表。CsaiR （config）#interface s0CsaiR （config-if）#crypto map shortsec /将刚才定义的密码图应

29、用到路由器的外部接口。最后一步保存运营配置，最后测试这个VPN的连接，并且保证通信是按照预期规划进行的。问题3解析：详见问题2解析。问题4解析：详见问题2解析。试题三参考答案【问题1】（4分，各1分）（1）（2）c、d（顺序可互换）（3）（4）b、d（顺序可互换）【问题2】（4分，各1分）（5）加密算法为DES（6）hash md5（7）认证采用预共享密钥（8）86400【问题3】（4分，各2分）（9） 172.30.2.2（10）172.30.1.2【问题4】（3分，各1分）（11）10.0.1.3（12）10.0.2.3（13）10.0.2.3试题四分析问题1解析：fixup命令作用是启用

30、，严禁，改变一个服务或协议通过pix防火墙，由fixup命令指定的端口是PIX防火墙要侦听的服务。见下面例子：例： Pix525（config）#fixup protocol ftp 21启用FTP协议，并指定FTP的端标语为21.设立指向内网和外网的静态路由采用route命令：定义一条静态路由。route命令配置语法：route （if_name）0 0 gateway_ip metric其中参数解释如下：if_name表达接口名字，例如inside,outside;Gateway_ip表达网关路由器的ip地址；metric表达成gateway_ip的跳数，通常缺省是1.例：Pix525（c

31、onfig）# route outside 0 0 61.144.51.168 1设立eth0口的默认路由，指向61.144.51.168 ,且跳步数为1.问题2解析：防火墙通常具有一般有3个接口，使用防火墙时，就至少产生了3个网络，描述如下：内部区域（内网）。内部区域通常就是指公司内部网络或者是公司内部网络的一部分。它是互连网络的信任区域，即受到了防火墙的保护。外部区域（外网）。外部区域通常指Internet或者非公司内部网络。它是互连网络中不被信任的区域，当外部区域想要访问内部区域的主机和服务，通过防火墙，就可以实现有限制的访问。非军事区（DMZ,又称停火区）。是一个隔离的网络，或几个网络

32、。位于区域内的主机或服务器被称为堡垒主机。一般在非军事区内可以放置Web、Mail服务器等。停火区对于外部用户通常是可以访问的，这种方式让外部用户可以访问公司的公开信息，但却不允许它们访问公司内部网络。由配置信息，ip address outside 61.144.51.42 255.255.255.248ip address inside 192.168.0.1 255.255.255.0ip address dmz 10.10.0.1 255.255.255.0可知eth1的IP地址为192.168.0.1,eth0的IP地址为61.144.51.42,子网掩码为255.255.255.2

33、48,dmz接口的名称为eth2,IP地址为10.10.0.1.问题3解析：Global命令把内网的IP地址翻译成外网的IP地址或一段地址范围。Global命令的配置语法：global （if_name）nat_id ip_address-ip_address netmark global_mask其中参数解释如下：if_name表达外网接口名字，例如outside;Nat_id用来标记全局地址池，使它与其相应的nat命令相匹配；ip_address-ip_address表达翻译后的单个ip地址或一段ip地址范围；netmark global_mask表达全局ip地址的网络掩码。由配置命令：g

34、lobal（outside）1 61.144.51.46nat（inside）1 0.0.0.0 0.0.0.000可以看出由inside域发往Internet的IP分组，在到达路由器R1时的源IP地址是61.144.51.46.问题4解析：配置静态IP地址翻译（static）假如从外网发起一个会话，会话的目的地址是一个内网的ip地址，static就把内部地址翻译成一个指定的全局地址，允许这个会话建立。static命令配置语法：static （internal_if_nameexternal_if_name）outside_ip_address inside_ ip_address其中参数解释

35、如下：internal_if_name表达内部网络接口，安全级别较高。如inside;external_if_name为外部网络接口，安全级别较低。如outside等；outside_ip_address为正在访问的较低安全级别的接口上的ip地址；inside_ ip_address为内部网络的本地ip地址。例： Pix525（config）# static （inside, outside）61.144.51.62 192.168.0.8表达IP地址为192.168.0.8的主机，对于通过PIX防火墙建立的每个会话，都被翻译成61.144.51.62这个全局地址，也可以理解成static命令

36、创建了内部IP地址192.168.0.8和外部ip地址61.144.51.62之间的静态映射。管道命令（conduit用来允许数据流从具有较低安全级别的接口流向具有较高安全级别的接口，例如允许从外部到DMZ或内部接口的入方向的会话。对于向内部接口的连接，static和conduit命令将一起使用，来指定会话的建立。conduit命令配置语法：conduit permit | deny global_ip port-port protocol foreign_ip netmask【参数说明】permit | deny :允许| 拒绝访问.global_ip 指的是先前由global或static

37、命令定义的全局ip地址，假如global_ip为0,就用any代替0;假如global_ip是一台主机，就用host命令参数。port 指的是服务所作用的端口，例如www使用80,smtp使用25等等，我们可以通过服务名称或端口数字来指定端口。protocol 指的是连接协议，比如：TCP、UDP、ICMP等。foreign_ip 表达可访问global_ip的外部ip.对于任意主机，可以用any表达。假如foreign_ip是一台主机，就用host命令参数。试题四参考答案【问题1】（4分）（1）启用ftp服务（2）设立eth0口的默认路由，指向61.144.51.45,且跳步数为1【问题2】

38、（6分）（3）192.168.0.1（4）255.255.255.248（5）eth2（6）10.10.0.1【问题3】（2分） （7）61.144.51.46【问题4】（3分）（8）61.144.51.43（9）10.10.0.100（10）61.144.51.43试题五分析问题1解析：在Linux下配置DHCP,重要工作是对相关文献进行解析。在Linux系统中，DHCP服务默认的配置文献为/etc/dhcpd.conf,它是一个递归下降格式的配置文献，有点像C的源程序风格，由参数和声明两大类语句构成，参数类语句重要告诉DHCPd网络参数，如租约时间、网关、DNS等；而声明语句则用来描述网络

39、的拓扑，表白网络上的客户，要提供应客户的IP地址，提供一个参数组给一组声明等。问题2解析：可以使用以下命令来启动、停止和重启DHCP服务器程序：rootlib1 root # service dhcpd start | stop | restart 或rootlib1 root # etc/init.d/dhcpd start | stop | restart 其中start、stop、restart为任选参数，分别表达启动、停止和重启。执行以上命令启动后，DHCP默认是启动在eth0上的，假如DHCP上的服务器尚有此外一块网卡eth1,想在eth1上启动dhcpd,就键入：rootlib1 root #/usr/sbin/dhcpd eth1问题3解析：下面为dhcpd.conf配置文献中最常用和最重要的语句。（1）参数类与选项类语句DHCP配置语句如表13-3所示。表13-3 DCHP配置语句试题五参考答案【问题1】（1分）（1）A 或 /etc/dhcpd.conf【问题2】（4分）（2）A 或service dhcpd start（3）C 或service dhcpd stop【问题3】（10分） （4）52:54:AB:34:5B:09（5）192.168.1.100（6）255.255.255.0（7）192.168.1.254（8）192.168.1.3