1、中大网校引领成功职业人生 2011年下半年软考网络工程师下午真题总分:75分 及格:45分 考试时间:150分本试卷共5道题,共75分。(1)阅读以下说明,回答问题1问题4,将解答结果填入答题纸对应的解答栏内。(共15分)【说明】 某学校计划部署校园网络,其建筑物分布如图1-11所示。 根据需求分析结果,校园网规划要求如下: 1信息中心部署在图书馆; 2实验楼部署237个点,办公楼部署87个点,学生宿舍部署422个点,食堂部署17个点; 3为满足以后应用的需求,要求核心交换机到汇聚交换机以千兆链路聚合,同时千兆到桌面; 4学校信息中心部署服务器,根据需求,一方面要对服务器有完善的保护措施,另一
2、方面要对内外网分别提供不同的服务; 5部署流控网关对P2P流量进行限制,以保证正常上网需求。 【问题1】(5分)根据网络需求,设计人员设计的网络拓扑结构如图112所示。 请根据网络需求描述和网络拓扑结构回答以下问题。 1图112中设备应为_(1)_,设备应为_(2)_,设备应为_(3)_,设备应为_(4)_。 (1)(4)备选答案:(每设备限选1次)A路由器 B核心交换机 C流控服务器 D防火墙2设备应该接在_(5)_上。【问题2】(4分)1根据题目说明和网络拓扑图,在图112中,介质1应选用_(6)_,介质2应选用_(7)_,介质3应选用_(8)_。 (6)(8)备选答案:(注:每项只能选择
3、一次)A单模光纤 B多模光纤 C6类双绞线 D5类双绞线 2根据网络需求分析和网络拓扑结构图,所有接入交换机都直接连接汇聚交换机,本校园网中至少需要_(9)_台24口的接入交换机(不包括服务器使用的交换机)。 【问题3】(4分)交换机的选型是网络设计的重要工作,而交换机的背板带宽、包转发率和交换容量是其重要技术指标。其中,交换机进行数据包转发的能力称为_(10)_,交换机端口处理器和数据总线之间单位时间内所能传输的最大数据量称为_(11)_。某交换机有24个固定的千兆端口,其端口总带宽为_(12)_Mbps。 【问题4】(2分)根据需求分析,图书馆需要支持无线网络接入,其部分交换机需要提供PO
4、E功能,POE的标准供电电压值为_(13)_。 (13)备选答案: A5VB12VC48VD110V(2)阅读以下说明,根据要求回答问题1问题4,将解答填入答题纸对应的栏内。(共15分)【说明】 如图1-13所示,某公司办公网络划分为研发部和销售部两个子网,利用一台双网卡Linux服务器作为网关,同时在该Linux服务器上配置Apache提供Web服务。 【问题1】(4分)图1-14是Linux服务器中网卡etho的配置信息,从图中可以得知:处输入的命令是_(1)_,etho的IP地址是_(2)_,子网掩码是_(3)_,销售部子网最多可以容纳的主机数量是_(4)_。 rootlocalhost
5、conf#(1)ethoLinkencap:EthernetHWaddr00:0C:29:C8:OD:10inetaddr:1921681126Bcast:1921681255Mask:255255255128UPBROADCASTRUNNINGMULTICASTMTU:1500Metric:1RXpackets:1667errors:0dropped:00verruns:0frame:0TXpackets:22errors:0dropped:0everruns:0carrier:0Coilisions:0txqueuelen:100RXbytes:291745(2849Kb)TXbytes:
6、924(9240b)Interrupt:10Baseaddres:0x10a4【问题2】(4分)Linux服务器配置Web服务之前,执行命令rootrootrpmqalgrephRpd的目的是_(5)_。 Web服务器配置完成后,可以用命令_(6)_来启动Web服务。 【问题3】(3分)缺省安装时,Apache的主配置文件名是_(7)_,该文件所在目录为_(8)_。 配置文件中下列配置信息的含义是_(9)_。 <Directory/var/www/html/secure>AllowoverrideAuthConfigOrderdeny,allowDenyfromall</Di
7、rectory>【问题4】(4分)ADache的主配置文件中有一行:Listen1921681126:80,其含义是_(10)_。 启动Web服务后,仅销售部的主机可以访问Web服务。在Linux服务器中应如何配置,才能使研发部的主机也可以访问Web服务。(3)阅读以下说明,根据要求回答问题1问题4,将解答填入答题纸对应的栏内。(共15分)【说明】 在WindowsServer2003中可以采用筛选器来保护DNS通信。某网络拓扑结构如图1-15所示,www服务器的域名是wwwabeedu,DNS服务器上安装WindowsServer2003操作系统。 【问题1】(3分)配置DNS服务器时
8、,在图1-16所示的对话框中,为WebServer配置记录时新建区域的名称是_(1)_;在图1-17所示的对话框中,添加的新建主机“名称”为_(2)_,IP地址栏应填入_(3)_。 【问题2】(4分)在DNS服务器的“管理工具”中运行“管理IP筛选器列表”,创建一个名为“DNS输入”的筛选器,用以对客户端发来的DNS请求消息进行筛选。在如图1-18所示的“IP筛选器向导”中指定IP通信的源地址,下拉框中应选择_(4)_;在图1-19中指定IP通信的目标地址,下拉框中应选择_(5)_。 在图1-20中,源端口项的设置方式为_(6)_,目的端口项的设置方式为_(7)_。在筛选器列表配置完成后,设置
9、“筛选器操作”为“允许”。 【问题3】(2分)在图1-21中双击“新IP安全策略”即可查看“DNS输入”安全规则,要使规则生效,在图1-21中如何配置?【问题4】(6分)在本机Windows命令行中输入_(8)_命令可显示当前DNS缓存,如图1-22所示。“RecordType”字段中的值为4时,存储的记录是MX,若“RecordType”字段中的值为2时,存储的记录是_(9)_。 客户端在排除DNS域名解析故障时需要刷新DNS解析器缓存,使用的命令是_(10)_。 (4)阅读以下说明,根据要求回答问题1问题5,将答案填入答题纸对应的解答栏内。(共15分)【说明】 某公司网络结构如图1-23所
10、示,通过在路由器上配置访问控制列表ACL来提高内部网络和Web服务器的安全。 【问题1】(2分)访问控制列表(ACL)对流入/流出路由器各端口的数据包进行过滤。ACL按照其功能分为两类,_(1)_只能根据数据包的源地址进行过滤,_(2)_可以根据源地址、目的地址以及端口号进行过滤。 【问题2】(3分)根据图123的配置,补充完成下面路由器的配置命令: Router(config)#interface_(3)_Router(confi9if)#ip address 1 01011 255.255255.0Router(confi9if)#no shutdownRouter(configif)#e
11、xitRouter(config)#interface_(4)_Router(config-if)#ip address 192168.112552552550Router(config)#interface_(5)_Router(configif)#ip address 10102,1 2552552550【问题3】(4分)补充完成下面的ACL语句,禁止内网用户1921681254访问公司web服务器和外网。 Router(config)#access-list 1 deny_(6)_Router(config)#aCcess-1ist 1 permit anyRouter(config)#
12、interface ethernet 0/1Router(config-if)#ip access-groUp 1_(7)_【问题4】(3分)请说明下而这组ACL语句的功能。 Router(Coneig)#access-liSt 101 penmit tep any host 1010110 eq wwwRouter(config)#interface ethernet 0/0Router(Config-if)#ip accessgroup 101 out【问题5】(3分)请在【问题4】的ACL前面添加一条语句,使得内网主机19216812可以使用telnet对Web服务器进行维护。 Rout
13、er (config)#access-list 101_(8)_(5)阅读以下说明,根据要求回答问题1问题3,将解答填入答题纸对应的栏内。(共15分)【说明】 某单位在实验室部署了IPv6主机,在对现有网络不升级的情况下,计划采用NAT-PT方式进行过渡,实现IPv4主机与IPv6主机之问的通信,其网络结构如图124所示。其中,IPv6网络使用的NAT-PT前缀是2001:aaaa:0:0:0:1:96,IPv6网络中的任意节点动态映射到地址池16.23.31.1016233120中的IPv4地址。 【问题1】(4分)使用NAT-PT方式完成IPv4主机与IPv6主机通信,需要路由器支持,在路
14、由器上需要配置DNS,ALG和FTP-ALG这两种常用的应用网关。 没有DNS-ALG和FTP ALG的支持,无法实现_(1)_节点发起的与_(2)_节点之间的通信。 【问题2】(8分)根据网络拓扑和需求说明,完成(或解释)路由器Rl的配置。 Rl#configure terminal;进入全局配置模式 Rl(config)#interface ethernet0;进入端日配置模式 Rl(config-if)#ip address_(3)_ _(4)_ ;配置端口IP地址 Rl(configif)#ipv6 nat; _(5)_Rl(configif)#interface ethernetlR
15、l(config-if)#ipv6 address _(6)_/64Rl(config-if)#ipv6 natRl(config-if)#ipv6 access-1ist ipv6 permit 2001:aaaa:1/64 any;_(7)_Rl(configif)#ipv6 nat prefix _(8)_Rl(configif)#ipv6 nat v6v4 pool ipv4pool_(9)_ _(10)_prefixlength 24Rl(configif)#ipv6 nat v6v4 source list ipv6 pool ipv4-poolRl(config-if)#exit
16、 【问题3】(3分)NAT-PT机制定义了三种不同类型的操作,其中,_(11)_提供了一对一的IPv6地址和IPv4地址的映射;_(12)_也提供了一对一的映射,但是使用一个lPv4地址池;_(13)_提供多个有NAT-PT前缀的IPV6地址和一个源IPv4地址问的多对一动态映射。答案和解析本试卷共5道题,共75分。(1) :由图1-12所给出的设备连接信息可知,该学校网络拓扑按层次化结构进行设计,分为核心层、汇聚层、接入层3个主要层次。依题意,结合题干关键信息“3为满足以后应用的需求,要求核心交换机到汇聚交换机以千兆链路聚合”可得,与各幢建筑物中汇聚交换机相连接的设备应为核心交换机。由图1-
17、12可知,该校园刚要接入Intemet,因此需要在校园网的边界(即设备处)部署一台路由器,用于实现边界路由计算。题干给出了“5部署流控网关对P2P流量进行限制,以保证正常上网需求”这一关键信息,而此处的“P2P流量”是针对整个校园网而言的,而不是针对该校园网的服务器区域而言,因此需要在边界路由器和核心交换机之间串接、一台流控服务器,即设备应为流控服务器。结合题干给出的“1信息中心部署在图书馆”和“4学校信息中心部署服务器,根据需求,一方面要对服务器有完善的保护措施,另一方面要对内外网分别提供不同的服务”等关键信息,设备应为防火墙,用于实现服务器区域与校园网络之间的逻辑隔离,提高服务器区域的网络
18、安全性能。同时,应该将设备连接到设备(即核心交换机)的某个千兆以太端口上。【问题2】(4分)基于IEEE8023z标准的千兆以太网共有4种物理层标准,即1000Base-SX、1000BaseLX、1000Base-CX、1000BaseT。其中,1000BaseSX采用625m多模光纤时,工作波长为850nm,半双工和全双工工作模式的光纤最大长度均为275m;采用50m多模光纤时,半双工和全双工工作模式的光纤最大长度均为550m。1000Base-LX采用62.5m或50m多模光纤时,工作波长为1300nm,半双工工作模式的光纤最大长度为316m,全双工工作模式的光纤最大长度为550m:采用
19、62.5m或50m单模光纤时,工作波长为1300nm,半双工工作模式的光纤最大长度为316m,全双工工作模式的光纤最大长度为5km。1000Base-Cx采用STP(屏蔽双绞线),半双工模式FSTP最大长度为25m,全双工模式下STP最大长度为50m。1000Base-T采用4对5类(或超5类、6类)UTP(非屏蔽双绞线),最大段长为100m。在图1-12所示的拓扑结构图中,传输介质1主要用于连接设备(即核心交换机)和实验楼的汇聚交换机。结合题干给出的“1信息中心部署在图书馆”和“3为满足以后应用的需求,要求核心交换机到汇聚交换机以千兆链路聚合”等关键信息,以及图1-11中所标识的图书馆与实验
20、楼的距离为1500米。由于100m<550m<1500m<5km,因此图1-12中传输介质1应选用单模光纤。同理,传输介质2主要用于图书馆内部汇聚交换机与接入交换机之间的连接。结合题干给出的“3为满足以后应用的需求同时千兆到桌面”等关键信息,因此建议图1-12中传输介质1选用6类非屏蔽双绞线。由于图1-12所示的拓扑结构图中,食堂仅有一台接入交换机,且是作为学生宿舍楼汇聚交换机的一个接入节点。题干给出的“2食堂部署17个点”等关键信息也说明了这一层拓扑连接关系。在图111中,食堂与学生宿舍楼之间的距离为170米。由于100m<170m<550m,综合考虑防雷等因素
21、的影响,因此建议图1-12中传输介质3应选用多模光纤。由于“所有接入交换机都直接连接汇聚交换机”,这就意味着对于一台24口的接入交换机而言,需要使用一个电端口作为上连端口,可以用于连接终端信息点的端口数为23个。而“实验楼部署237个点”,则实验楼至少需要使用11台24口的接入交换机,即23723103,并将计算结果向上取整数;同理,由“办公楼部署87个点”可得,办公楼至少需要使用4台24口的接入交换机(即87<234=92);由“学生宿舍部署422个点”可得,学生宿舍楼至少需要使用19台24口的接入交换机(即422<2319=437);由“食堂部署17个点”可得,食堂需要使用1台
22、24口的接入交换机(即17<23)。因此在不考虑服务器区域和图书馆区域所使用的交换机,该校园网中至少需要11+4+19+1=35台24口的接入交换机。【问题3】(4分)吞吐量是指在单位时间内无差错地传输数据的能力。网络互连设备的吞吐量可以用PPS(每秒包数)来度量。它是指网络互连设备在不丢失任何分组的情况下所能转发分组的最大速率。当网络互连设备的端口按理论上的最大值转发分组时,就称该端口处于线速工作状态。通常,将交换机进行数据包转发的能力称为包转发率。交换机的背板带宽(也称之为交换带宽)是指该交换机接口处理器(或接口卡)与数据总线问所能吞吐的最大数据量。背板带宽标志了交换机总的数据交换能
23、力,单位为Gbps。通常,交换机全双工端口总带宽的计算方法:端口数端口速率2。例如,一台交换机有24个固定的千兆端口,则其背板带宽=241092=48109bps=48103Mbps=48Gbps。【问题4】(2分)以太网供电(PowderoverEthemet,POE)技术可以在现有的以太网5类布线基础架构不作任何改动的情况下,为一些基于IP的终端(无线AP、IP电话、网络摄像机等小型网络设备)传输数据信号的同时,还直接提供直流电源的技术。该技术是通过4对双绞线中空闲的2对来传输电力的,可以输出44V57V的直流电压、350mA400mA的直流电流,为功耗在15.4W以下的设备提供电源能量。
24、该技术可以避免大量的独立铺设电力线,以简化系统布线,降低网络基础设施的建设成本。依题意,若图书馆需要支持无线网络接入,其部分交换机需要提供POE功能,POE的标准供电电压值为48V。(2) :【问题1】(4分)在Linux服务器中,运行ifconfig命令可以显示出系统中相关网络接口的配置信息及其运行情况。图1-14中应执行ifconfigetho命令,以查看网卡etho的配置信息。由图1-14中“inetaddr:1921681126Mask:255255255128”等关键信息可知,网卡etho所配置的IP地址为1921681126,子网掩码为255255255128。192168XX是一
25、个C类私有地址段,其默认的标准子网掩码为2552552550。图1-13中已给出销售部子网中PCI的IP地址为19216812,PC2的IP地址为1921681.3。而Linux服务器etho网卡所配置的IP地址是1921681126,子网掩码是255255255128,二者“逻辑与”运算的结果是1921681025,即销售部子网向网络地址1921681024借用了一位作为子网号,且所分配的子网号为0。因此销售部子网的主机号为7位,该子网可实际分配的IP地址总数=27-2=126个。其中“-2”表示扣除该子网中主机号全0的广义网络地址(即1921681025)和主机号全1的直接广播地址(即19
26、2168112725)。换而言之,销售部子网最多可以容纳126台主机(包括Linux服务器网卡etho),或者最多可以容纳125台主机(扣除Linux服务器网卡etho)。同理,图1-13中已给出研发部子网中PCI的IP地址为1921681129,PC2的IP地址为1921681130,以及Linux服务器etho网卡所配置的IP地址1921681254。而地址段192168101921681127己分配给销售部子网。因此可将研发部子网中已知的3个IP地址进行“逻辑与”运算,其运算结果是192168112825,即研发部子网所分配的子网号为1。该子网的主机号也为7位,可供实际分配的IP地址总数
27、也为126个。【问题2】(4分)Linux服务器配置Web服务之前,可以执行命令rpm-qalgrephttpd检查当前操作系统中是否安装了Apache服务器(或者确认Apache软件包是否已经成功安装)。若没有系统输出信息,则表明当前操作系统中没有安装Apache软件包。若是以源码安装的Apache服务器,则此种方法无效,需要用find工具查找httpd文件是否存在。Web服务器配置完成后,可以执行命令servicehttpdstart来启动Web服务(即Apache服务进程);执行命令servicehttpdstop来停止Apache服务进程;执行命令servicehttpdrestart
28、来重新启动Apache服务进程。【问题3】(3分)缺省安装时,Apache的主要配置文件:基本信息配置文件httpdconf,访问权限设置文件accessconf,服务器所提供的网络资源配置文件srmconf。其中,文件hapdconf位于etchttpdconf文件目录中。依题意,由该配置文件中“Allowfrom19216812”、“Denyfromall”、“<Directory“varwwwhtmlsecure”>”等关键信息可知,该段配置信息的含义是:只允许IP地址为19216812的主机访问目录“varwwwhtmlsecure”。【问题4】(4分)在Apache的主配
29、置文件hRpdconf中,配置语句Listen1921681126:80的含义是:使用IP地址1921681126提供Web服务,服务端口号是80。由【问题1】分析结果可知,销售部、研发部是两个不同的子网,且试题没有给出这两个子网互连互通的相关路由信息,即这两个子网在默认情况下是不能相互访问的。因此启动Apache服务进程之后,仅销售部的主机可以访问Web服务。若要研发部的主机也可以访问该Web服务,则可将主配置文件httpdconf中的“Listen1921681126:80”配置语句修改为“listen80”,或者在Linux服务器中增加从研发部子网到销售部子网的相关路由配置语句。(3)
30、:【问题1】(3分)为了使DNS服务器能正确地解析本地wWw服务器的域名,需对DNS服务器中的“DNS服务”进行配置。选择【开始】|【程序】|【管理工具】|【DNs】命令,进入DNS控制台窗口。然后右击【正向查找区域】选项,在弹出的快捷菜单中选择【新建区域】命令。在“欢迎使用新建区域向导”界面中,单击【下一步】按钮。在【区域类型】界面中,先单击【主要区域】按钮,再单击【下一步】按钮。在如图1-16所示的【区域名称】界面的【区域名称】文本框中输入“abcedu”,单击【下一步】按钮。系统将弹出【区域文件】对话框,其中,系统自动生成的和默认的区域文件名为“abeedudns”,即“区域名dns”。
31、在域名WWWabcedu中,最高域名为edu,次高域名为abc,主机名为www。主机(A)资源记录用于静态建立主机名与IP地址之间的对应关系。在图115所示的网络拓扑结构图中,已给出了www服务器的IP地址参数2211661123,即IP地址为22116611、子网掩为2552552540。在DNS服务器中添加一条域名为“wwwabcedu”主机记录的操作步骤如下:打开DNS控制台窗口,在左窗格中展开“正向查找区域”目录。右键单击区域名称“abcedu”,在弹出的快捷菜单中选择【新建主机】命令。在如图1-17所示的【新建主机】对话框中的【名称】文本框中输入www,并在【IP地址】文本框中输入映
32、射该域名计算机的IP地址,即22116611。如果在图1-17中选择【创建相关的指针(PTR)记录】复选框,则在创建“wwwabcedu”主机记录的同时,也会在反向查找区域中创建一条名为“22116611”的指针资源记录。最后单击【添加主机】按钮完成相关的配置任务。完成DNS主机资源记录配置后,在客户端emd窗口中可以使用命令nslookupWWWabcedu(或pingwwwabcedu,或tracertwwwabcedu等)检查DNS服务器的主机资源记录是否正常工作。【问题2】(4分)依题意,由于所需创建的“DNS输入”IP筛选器的主要用途是“用以对客户端发来的DNS请求消息进行筛选”,而
33、试题中并没有给出具体的DNS客户端方面的信息,因此可将此处的“客户端”理解为广义上的DNS客户端(如既可以是来自图115中网络内部的客户,也可以是来自Internet的客户)。在如图1-18所示的【IP通信源】界面中,下拉框中应选中【任何IP地址】选项,以接收源IP地址为任意参数的所有IP数据包。在如图1-19所示的【IP通信目标】界面中,下拉框中应选中【我的IP地址】选项,以进一步缩小所接收的IP数据包的范围,即将目的IP地址不是本DNS服务器地址的IP数据包过滤掉。由于本试题中并没有给出该DNS服务器IP地址方面的信息,因此图1-19中只能选中【我的IP地址】选项。若知道该DNS服务器IP
34、地址,则在图1-19中也可以先选中【一个特定的IP地址】选项,接着在刚激活的“IP地址”文本框中输入当前DNS服务器的IP地址。域名服务器采用客户机服务器(CS)工作模式。默认情况下,DNS服务器开放TCP53和UDP53这两个端口号对外提供服务,即等待由DNS客户端发起的查询请求数据包。而DNS客户端则是从102465535中选择某个整数作为源端口号发出域名查询请求数据包。因此,在图120所示的IIP协议端口】界面中,源端口应选中【从任意端口】单选框;目的端口应选中【到此端口】单选框,并在刚激活的文本框中填入“53”。【问题3】(2分)在图1-21中双击“新IP安全策略”即可查看“DNS输入
35、”安全规则。若要使该安全规则生效,则需要在图121中右击“新IP安全策略”,在弹出的右键菜单中选中【指派】命令(或选中【所有任务】|【指派】命令),如图1-25所示。默认情况下,在图125中最多只能指派1条IPSec策略。【问题4】(6分)ipconfig操作命令用于显示所有当前的TCPIP网络配置值、刷新DHCP配置和DNS域名系统设置。其完整的语法如下:其中,与本问题有关的“displaydns”参数,用于显示当前计算机的DNS缓存;参数“flushdns”用于清除当前DNS缓存,即刷新DNS解析器的当前缓存。在DNS服务器中,资源记录是指区域中的一组结构化的记录。常见的资源记录包括(但不
36、限于):A(主机地址)将指定域名映射到IP地址;PTR(指针)将IP地址映射到指定域名;NS(名字服务器)本区域权限域名服务器的名字;MX(邮件交换机)标识一个邮件服务器与其对应的IP地址的映射关系;CNAME(别名)将别名映射到标准DNS域名;HINFO(主机描述)通过ASCII符串对CPU和OS等主机配置信息进行说明;SOA(授权开始)标识一个资源记录集合(称为授权区段)的开始;TXT(文本)ASCII字符串等。在图1-22所示的DNS缓存中,由“RecordType:1”、“RecordName:aaabbbcom”、“A(Host)Record:217141248156”等关键信息可知
37、,“RecordType”字段中的值为4时,存储的资源记录是A(主机地址);由“RecordName:wccctom”、“RecordType:5”、“CNAMERecord:cacheccccom”等关键信息可知,“RecordType”字段中的值为5时,存储的资源记录是CNAME(别名)。结合试题中已给出“RecordType”字段中的值为4时,存储的记录是MX”关键信息,可以间接推导出:“RecordType”字段中的值为2时,存储的资源记录是PTR(指针)或IP地址对应的域名。(4) :【问题1】(2分)访问控制列表(ACL)是应用到路由器接口的命令列表,列表告诉路由器哪些数据包可以接
38、收,哪些数据包需要拒绝。IP访问控制列表主要有标准ACL和扩展ACL两种类型。标准ACL只能检查数据包的源地址,根据源网络、子网或主机的IP地址来决定对数据包的过滤;扩展ACL可以检查数据包的源IP地址、目的IP地址、指定的协议、端口号等来决定对数据包的过滤。【问题2】(3分)在路由器的全局配置模式Router(config)#下,使用命令interface<接口名称>可进入相应接口的配置子模式。在接口配置模式下,使用命令ipaddress<IP地址><子网掩码>可配置当前接口的IP地址信息。依题意,在图1-23所示的拓扑结构中,已给出边界路由器s0O端口的
39、IP地址101021。因此由(5)空缺处的下一条配置语句“ipaddress1010212552552550”可知,该处应填入serial00(或s00)。在图1-23中,已给出Web服务器所配置的IP地址1010110。由此间接可知,与Web服务器互连的路由器e00端口的IP地址应该是10XXX这个A类私有地址段中的某个地址。结合(3)空缺处的下一条配置语句“ipaddress1010112552552550”可知,(3)空缺处应填入ethernet00(或e00)。同理,由图1-23中路由器e01端口所连接的客户机IP地址192168121921681254,以及(4)空缺处的下一条配置语
40、句“ipaddress192168112552552550”可得,(4)空缺处应填入ethemet01(或e01)。【问题3】(4分)配置及应用ACL的具体步骤是:定义一个标准(或扩展)的ACL;为ACL配置包过滤的规则;配置ACL的应用接口。在全局配置模式下,标准ACL的配置语句是:access-listaccess-list-numberpermit|denysourceipaddresswildcard-mask。其中,标准ACL的表号范围是199和13001999;访问控制列表通配符(WildcardMask)的作用是,指出访问控制列表过滤的IP地址范围,即路由器在进行基于源IP地址、
41、目的IP地址过滤时,通配符告诉路由器应检查哪些地址位,忽略哪些地址位。通配符为0,表示检查相应的地址位;通配符为1,表示忽略,即不检查相应的地址位。实际上,通配符就是子网掩码的反码。依题意,需要按需定义一条配置语句“access-1istldenyhostl921681254”或“accesslistldeny19216812540000”,即定义一条表号为1,禁止单台主机1921681254访问的标准ACL。因此,(6)空缺处应填入hostl921681254(或1921681254000O)。由于试题要求主机l921681254同时不能访问公司Web服务器和外网,因此需要将该表号为1的标准
42、ACL应用至路由器e01端口,即只要路由器e01端口接收到源IP地址为1921681254的IP数据包,就直接将该IP数据包丢弃。(7)空缺处需要使用关键字in,用于过滤进入当前路由器端口的数据包。关键字out则是用于过滤出站的数据包。【问题4】(3分)在路由器全局配置模式下,使用命令access-listaccess-list-numberpermit|denyprotocolsourcewildcard-maskdestinationwildcard-maskoperatoroperand配置扩展访问控制列表。其中,operator(操作)有lt(小于)、gt(大于)、eq(等于)、neq
43、(不等于);operand(操作数)指的是端口号。依题意,Web服务器所配置的IP地址为1010110。对于表号为101的扩展ACL语句:access-list101penmittcpanyhost1010110eqwww,其功能是允许任何主机访问公司基于TCP80端口提供的Web服务。配置语句interfaceethemet00的功能是:进入路由器e00端口的配置子模式。配置语句ipaccess-group1010ut的功能是:将表号为101的扩展ACL应用于路由器e00端口的出方向上。【问题5】(3分)Telnet协议是一种基于TCP23端口号提供远程登录服务的应用层协议。它通过引入网络虚
44、拟终端(NVT),使得用户能够在本地计算机上完成对远程主机的相关操作。依题意,要实现“内网主机19216812可以使用telnet对Web服务器进行维护”的应用需求,可以在【问题4】的ACL语句之前添加以下一条配置语句。其中,host19216812可以写成l92168120000;host1010110可以写成10101100000:telnet可以写成23。(5) :【问题1】(4分)网络地址转换协议转换(NAT-PT)是一种纯IPv6节点和IPv4节点间的互通方式,所有包括地址、协议在内的转换工作都由网络互连设备(如路由器)来完成。支持NAT-PT的网关路由器应具有IPv4地址池,在从I
45、Pv6域向IPv4域中转发数据包时使用,地址池中的地址是用来转换IPv6报文中的源地址的。此外,网关路由器需要DNS-ALG和FTP-ALG这两种常用的应用层网关的支持,在IPv6节点访问IPv4节点时发挥作用。若没有DNS-ALG的支持,则只能实现由IPv6节点发起的与IPv4节点之间的通信;而无法实现IPv4节点发起的与IPv6节点之间的通信。若没有FTP-ALG的支持,则IPv4网络中的主机将不能用FTP软件从IPv6网络中的服务器上下载文件或者上传文件,反之亦然。采用NAT-PT方式进行过渡的优点是不需要进行IPv4、IPv6节点的升级改造,缺点是IPv4节点访问IPv6节点的实现方法
46、比较复杂,网络设备进行协议转换、地址转换的处理开销较大,一般在其他互连互通方式无法使用的情况下使用。【问题2】(8分)由题干关键信息“IPv6网络使用的NAT-PT前缀是2001:aaaa:0:0:0:1:96,IPv6网络中的任意节点动态映射到地址池l623311016233120中的IPv4地址”可知,本案例采用的是动态NAT-PT操作模式,即通过在路由器Rl上使用动态NAT-PT配置,IPv6单协议网络节点可以建立到IPv4网络节点的会话。图1-24所示网络结构图中已给出路由器Rl端口E0的IPv4地址参数192175124,即IP地址1921751、子网掩码2552552550。因此在R1端口E0的IP地址参数配置语句中,(3)空缺处应填入1921751,(4)空缺处应填入2552552550。对于(5)空缺处的配置语句解释,在接口配置模式下,配置语句ipv6nat用于在当前接口上启用NAT-PT机制。图1-24所示网络结构图中已给出路由器Rl端口