计算机水平考试-网络工程师分类模拟题网络系统的运行、维护管理、评价

网络工程师分类模拟题网络系统的运行、维护管理、评价试题一阅读以下有关传统局域网络运行和维护的叙述，填入N处。1、常见的三种拓扑结构是星型、1与2拓扑结构，而常见的信道访问方式有3及4。网络配置和运行包括一系列保证局域网络运转的工作，主要有选择网络操作系统和网络连接协议等；配置网络服务器及网络的外围设备，做好网络突发事件预防和处理；网络安全控制，包括网络安全管理、网络用户权限分配以及病毒的预防处理等。配置网络过程中要做好数据备份工作，一般来说，备份的硬件设备包括磁盘、5和6，而利用磁盘备份的方法常用的是磁盘镜像7以及磁盘阵列，其中前两者的区别在于8。网络维护是保障网络正常运行的重要方面，主要包括故障检测与排除、网络日常检查及网络升级。一定要建立起9制度，记录网络运行和变更的情况，以保证维护经验的交流与延续。试题二阅读以下有关网络设备安装与调试的叙述，分析设备配置文件，回答下面问题。下面以一台远程访问服务器RASCISCO2509、RJ45为例来说明。第一步，准备安装与调试所需的设备。第二步，硬件连接，RJ45直通线一头插入CISCO2509的CONSOLE口，另一头接RJ45转9针串口转换器，再将转换器接到计算机的串口。第三步，RAS加电，调用超级终端程序进行设备连接，进入CISCO设备的虚拟操作台。第四步，输入CISCO2509的IOS配置命令。第五步，将调试完毕的设备连入本地网络，通过拨号验证配置是否正确。2、【问题1】在RAS上存在的两个RJ45的端口“CONSOLE”与“AUX”的作用分别是什么3、【问题2】在调用超级终端程序进行设备连接时，给出正确的设备连接参数，参数主要包括串口数据传输率，数据位数，停止位数以及是否有奇偶校验。4、【问题3】在第四步中，进入虚拟操作台后，在IOS环境下输入了如下的配置，请解释【1】【4】处的标有下划线部分配置命令的含义。/配置服务器信息HOSTNAMECISCO2509/服务器名称ENABLESECRET/特权口令IPDOMAINMANLWXXEDUCN/设置拨号服务器所属域名IPNAMESERVER2021122510/设置拨号服务器DNS【1】ASYNCBOOTPSUBNETMASK2552552550ASYNCBOOTPGATEWAY20211225130ASYNCBOOTPDNSSERVER2021122510/配置ETHENLEIPORT略/配置动态分配的地址池IPLOCALPOOLPOOL2509202112791202112798/定义IP地址池/配置ASYNCHRONOUSINTERFACE/异步口是RAS服务器上连接MODEM，用于用户拨号的端口INTERFACEGROUPASYNC1/对第一组异步接口进行配置，对异步口的配置可以按组，也可以按单个口GROUPRANGE18/划定1到8号异步口属于第一组ENCAPSULATIONPAP/加载点到点协议【2】ANSYNCDYNAMICADDRESSANSYNCDEFAULTADDRESSPOOLPOOL2509/POOL2509的定义见“配置动态分配的地址池”部分PPPAUTHENTICATIONPAP/设置PPP的验证方式为用户口令方式/配置ROUTER信息【3】ROUTERRIPNETWORK202112250NETWORK202112790/配置拨号服务器的缺省路由/配置存取用户组ACCESSLIST1PORMIT20211225000255/定义用户组的范围/配置ASYNCHRONOUSPORT略/配置VTYLINEVTY04/配置虚拟终端【4】ACCESSCLASS1IN/ACCESSCLASS的定义见“配置存取用户组”PASWORDLOGIN试题三阅读以下有关VLAN的叙述，分析设备配置文件，回答下面问题。虚拟局域网VIRTUALLAN是一种不用路由器，而由第三层交换机来实现广播数据的抑制的方案。是在交换网络环境中实现的。虚拟局域网技术和第三层交换技术一样，都是近年发展起来的一种网络新技术，这种新技术提高了网络管理效率、安全性、控制广播的能力。虚拟局域网VLANVIRTUALLOCALAREANETWORK根据功能、应用等因素将不同物理位置的用户从逻辑上划分与物理位置无关为一个个功能相对独立、广播相互隔离的工作组或广播域。5、【问题1】说明现有虚拟局域网络的四种划分方式。6、【问题2】在基于端口的VLAN划分中，交换机上的每一个端口允许以哪三种模式划入VLAN中，并简述它们的含义。7、【问题3】简述VLAN的互联方式。8、【问题4】在VLAN的各种划分方式中，哪种方式的智能化最高试题四阅读以下说明，填入N处。9、【说明】某网络结构如图21所示，如果ROUTER3与网络4之间的线路突然中断，按照RIP路由协议的实现方法，路由表的更新时间间隔为30秒，中断30秒后ROUTER2的路由信息表21和中断300秒后ROUTER2的路由信息表22如下。注若到达目的网络不需转发或目的网络不可达，用“一”来表示“下一站地址”；当目的网络不可达时，“跳数”为16。表21目的网络下一站地址跳数112000122100000172000020200034表22目的网络下一站地址跳数11200021000112100005617200078202000910【问题】1请填充中断30秒后ROUTER2的路由信息表1。2请填充中断300秒后ROUTER2的路由信息表2。试题五阅读以下说明，回答下面问题。【说明】VPN是通过公用网络INTERNET将分布在不同地点的终端联接而成的专用网络。目前大多采用IPSEC实现IP网络上端点间的认证和加密服务。10、【问题1】某企业的网络拓扑结构如图22所示，采用VPN来实现网络安全。请简要叙述从企业总部主机到分支机构主机通过IPSEC的通信过程。11、【问题2】IPSECVPN采用何种加密算法进行加密12、【问题3】从一下几个方面来对比IPSECVPN和SSLVPN各自的优势。安全通道、认证和权限控管、安全测试、病毒入侵、防火墙上的通讯埠。13、【问题4】在进行远程登陆时，最好使用哪种方式IPSECVPN和SSLVPN试题六阅读以下说明，回答下面问题。【说明】某公司下设三个部门，为了便于管理，每个部门组成一个VLAN，公司网络结构如图23所示。14、【问题1】简要说明VLAN的静态和动态两种实现方式分别是如何实现的15、【问题2】VLAN的静态和动态两种实现方式各有什么特点16、【问题3】SWITCH1采用的是哪种VLAN实现方式17、【问题4】在VLAN中，STP和VTP是什么协议各有什么作用试题七下面是某路由器的部分配置信息，解释N处标有下划线的含义。18、【配置路由器信息】CURRENTCONFIGURATIONVERSION113NOSERVICEPASSWORDENCRYPTIONHOSTNAMER1/第1处ENABLEPASSWORD123456/第2处INTERFACEETHEMET0IPADDRESS1924112552552550INTERFACESEFTA10IPADDRESS1923112552552550ENCAPSULATIONFRAMERELAYIETF/第3处NOIPMROUTECACHEBANDWIDTH4000/第4处FRAMERELAYMAPIP19216302100BROADCAST/第5处FRAMERELAYLMITYPECISCOROUTEROSPF1/第6处NETWORK202110000255AREA0/第7处NETWORK202310000255AREA0NETWORK202410000255AREA0NEIGHBOR202112/第8处END试题八阅读以下说明，回答下面问题。【说明】在规划企业级网络时，很有可能会遇到隶属于同一部门的用户分散在同一座建筑物中的不同楼层的情况，这时可能就需要考虑到如何跨越多台交换机设置VLAN的问题了。假设有如图24所示的网络，且需要将不同楼层的A、C和B、D设置为同一个VLAN。这时最关键的就是“交换机1和交换机2该如何连接才好呢最简单的方法，自然是在交换机1和交换机2上各设一个红、蓝VLAN专用的接口并互联了。但是，这个办法从扩展性和管理效率来看都不好。并且，VLAN越多，楼层间严格地说是交换机间互联所需的端口也越来越多，交换机端口的利用效率低是对资源的一种浪费、也限制了网络的扩展。为了避免这种低效率的连接方式，人们想办法让交换机间互联的网线集中到一根上，这时使用的就是汇聚链接TRUNKLINK。19、【问题1】一般VLAN的划分的根据有端口，MAC地址，网络层，IP组播。请简要分析这几种方式的特点。20、【问题2】简要说明何谓汇聚链接。21、【问题3】简要说明汇聚链接是如何实现跨越交换机间的VLAN的。22、【问题4】在设定汇聚链接时，必须支持多大的传输速度试题九阅读以下说明，回答下面问题。网络地址转换NAT是用于将一个地址域如专用INTRANET映射到另一个地址域如INTERNET的标准方法。NAT允许一个机构专用INTRANET中的主机透明地连接到公共域中的主机，无需内部主机拥有注册的以及越来越缺乏的INTERNET地址。INTERNET工程任务组意识到目前地址空间即所谓的IPV4即将会耗尽已经有近十年时间了。尽管即将出现的IPV6被视作为解决INTERNET不断发展的长期解决方案，但是在过去几年中还提出了其它一些短期解决方案。下面我们结合本站有关思科及微软关于NAT方面的文章为大家介绍这方面的资讯，更多更丰富的相关方面内容我们将在以后日子里进行补充。使用NAT设备进行INTERNET通信的网络示例。23、【问题1】NAT技术和CIDR有什么异同点24、【问题2】说明NAT进行地址翻译的方式有哪几种。各有什么特点25、【问题3】简述NAT能够实现哪几种功能26、【问题4】在上述的几种功能中，那种功能的实现需要DNSSERVER的支持试题十阅读以下说明，回答下面问题。【说明】由于历史的原因，部署带INTERNET协议安全的第二层隧道协议L2TP/IPSEC的问题之一在于无法定位网络地址转换NAT之后的IPSEC对话方。INTERNET服务提供商和小型办公/家庭办公SOHO网络通常使用NAT来共享单个公共IP地址。虽然NAT有助于节省剩余的IP地址空间，但是它们也给诸如IPSEC之类的端对端协议带来了问题。一种称为IPSECNAT穿越NATT的新技术正在由INTERNET工程任务组的IPSEC网络工作组标准化。IPSECNATT是在标题为“UOSEC包的UDP封装”和“IKE中的NAT穿越协商”的INTERNET草案中描述的。IPSECNATT对协商过程进行了修改，并且定义了发送受IPSEC保护的数据的不同方法。与通过NAT使用IPSEC有如下相关的问题，请简要回答如何通过IPSECNATT解决办法解决这些问题27、【问题1】NAT无法更新上层校验和，TCP和UDP报头包含一个校验和，它整合了源和目标IP地址和端口号的值。当NAT改变了某个包的IP地址和或端口号时，它通常要更新TCP或UDP校验和。当TCP或UDP校验和使用了ESP来加密时，它就无法更新这个校验和。由于地址或端口已经被NAT更改，目的地的校验和检验就会失败。虽然UDP校验和是可选的，但是TCP校验和却是必需的。应该如何解决28、【问题2】NAT无法多路传输IPSEC数据流。ESP保护的IPSEC流量没有包含可见的TCP或UDP报头。ESP报头位于IP报头和加密的TCP或UDP报头之间，并且使用IP协议号50。因此，TCP或UDP端口号就无法将流量多路传输到不同的专用网主机。ESP报头包含一个名为SECURITYPARAMETERSINDEX安全参数索引，SPI的字段。SPI与明文PLAINTEXTIP报头中的目标IP地址和IPSEC安全协议ESP或AH结合起来用于识别IPSEC安全关联SA。应该如何解决29、【问题3】无法改变IKEUDP端口号。IPSEC的某些实现同时使用UDP端口500来作为源和目标UDP端口号。然而，对于一个位于NAT之后的IPSEC对话方，NAT会改变初始IKE主模式包的源地址。根据具体的实现方式，来自500之外的其他端口的IKE流量可能会被丢弃。应该如何解决试题十一阅读以下说明，回答下面问题。30、【说明】本机有三个IP地址，分别为“1921680168”、“1921680165”和“1921680162”。现需要建立三个相互独立的虚拟邮件主机“163NET”、“163COM”和“363NET”。采用的配置思路是，首先在DNS管理器中将三个域名分别对应到三个不同的IP地址上；再在IMAIL管理器中将各IP地址所对应的虚拟邮件主机名改成相应的域名即可。设定为“163NET”对应“1921680168”；“163COM”对应“1921680165”；“363NET”对应“1921680162”。打开DNS管理器，建立相关的DNS记录。结果如图27所示【问题】请完善IMAIL的设置。1、打开IMAIL管理器选“开始程序1”。2、进入虚拟主机配置窗口选“LOCALHOST右键2”。3、配置“163NET”在“LOCALADDRESSES”地址列表中选中“3”，再将“OFFICIALHOSTNAME”主机名项改为“4”，最后按“SAVE”保存。4、配置“163COM”在“LOCALADDRESSES”地址列表中选中“5”，再将“OFFICIALHOSTNAME”主机名项改为“6”，然后把“TOPDIRECTORYNAME”主目录项改为一个新目录名会自动建立，最后按“SAVE”保存。5、配置“363NET”在“LOCALADDRESSES”地址列表中选中“7”，将“OFFICIALHOSTNAME”主机名项改为“8”，然后把“TOPDIRECTORYNAME”主目录项改为一个新目录名会自动建立，最后按“SAVE”保存后用“EXIT”退出。6、设置完成之后，关闭IMAIL管理器，再重新打开。试题十二阅读以下说明和交换机的配置信息，回答下面问题。【说明】某公司下设三个部门，为了便于管理，每个部门组成一个VLAN，公司网络结构如图28所示。交换机SWITCH1的部分配置信息SWITCH1CONFIGFINTERFACEFO/9SWITCH1CONFIGIFSWITCHPORTMODEACCESSSWITCH1CONFIGIFSWITCHPORTACCESSVLAN11SWITCH1CONFIGINTERFACEFO/10SWITCH1CONFIGIFSWITCHPORTMODEACCESSSWITCH1CONFIGIFSWITCHPORTACCESSVLAN12SWITCH1CONFIGINTERFACEFO/17SWITCH1CONFIGIFSWITCHPORTMODEACCESSSWITCH1CONFIGIFSWITCHPORTACCESSVLAN13交换机SWITCH2的部分配置信息SWITCH2CONFIGINTERFACEFO/6SWITCH2CONFIGIFSWITCHPORTMODEACCESSSWITCH2CONFIGIFSWITCHPORTACCESSVLAN11SWITCH2CONFIGINTERFACEFO/8SWITCH2CONFIGIFSWITCHPORTMODEACCESSSWITCH2CONFIGIFSWITCHPORTACCESSVLAN12SWITCH2CONFIGINTERFACEFO/11SWITCH2CONFIGIFSWITCHPORTMODEACCESSSWITCH2CONFIGIFSWITCHPORTACCESSVLAN13交换机SWITCH3的部分配置信息SWITCH3CONFIGINTERFACEFO/3SWITCH3CONFIGIFSWITCHPORTMODEACCESSSWITCH3CONFIGIFSWITCHPORTACCESSVLAN11SWITCH3CONFIGIFEXITSWITCH3CONFIGINTERFACEFO/7SWITCH3CONFIGIFSWITCHPORTMODEACCESSSWITCH3CONFIGIFSWITCHPORTACCESSVLAN12SWITCH3CONFIGINTERFACEFO/13SWITCH3CONFIGIFSWITCHPORTMODEACCESSSWITCH3CONFIGIFSWITCHPORTACCESSVLAN1331、【问题1】通常VLAN有静态和动态两种实现方式，这两种方式分别是如何实现的各有什么特点SWITCH1采用的是哪种实现方式32、【问题2】在VLAN中，STP和VTP是什么协议各有什么作用33、【问题3】填充VLAN信息表表23。表23VLAN信息表部门VLAN编号包括的服务器及主机名称行政部111市场部122财务部133试题十三阅读以下说明，解释N处有下划线的含义。34、【说明】现有两台CISCO路由器，现在要求实现ROUTER1和ROUTER2联通并且要有MD5认证。有认证的情况下实现两台路由器的互联，这两台路由器必须配置相同的认证方式和密钥才能进行双方的路由的交换，双方必须发送版本2。ROUTER1CONFIGKEYCHAINWANROUTER1CONFIGKEYCHAINKEY1ROUTER1CONFIGKEYCHAINKEYKEYSTRINGWANROUTER1CONFIGKEYCHAINKEYEXITROUTER1CONFIGKEYCHAINEXITROUTER1CONFIGINTERFACEETH0/0ROUTER1CONFIGIFETH0/0IPRIPAUTHENTICATIONKEYCHAINWANROUTER1CONFIGIGETH0/0IPRIPAUTHENTICATIONMODEMD51ROUTER1CONFIGIFETH0/0IPRIPSENDVERSION22ROUTER1CONFLGIFETH0/0IPRIPRECEIVEVERSION23坚实和维护RIP表24作用命令4SHOWIPRIPDATABASE显示RIP的DEBUG状态SHOWDEBUGGINGRIP5SHOWIPPROTOCOLSRIPDEBUG输出RIP数据报文信息SHOWIPPROTOCOLSRIPDEBUG输出RIP数据住信息事件DEBUGIPRIPPACKETSEND|RECEIVEDEBUG输出RIP的RIM信息DEBUGIPRIPPACKETRM显示IP数据库信息ROUTERSHOWIPRIPDATABASENETWORKNEXTHOPMETRICFROMTIMERIP182050/247192168021061192168120002407RIP182060/241921680210119216812000240CONNECTED19216800/248RIP193100980/241921680236119216802360253试题十四以下是使用E1线路实现多个64KBIT/S专线连接。当链路为T1时，CHANNELGROUP编号为023，TIMESLOT范围为124；当链路为E1时，CHANNELGROUP编号为030，TIMESLOT范围为131路由器具体设置如下CURRENTCONFIGURATIONVERSION112NOSERVICEUDPSMALLSERVERSNOSERVICETCPSMALLSERVERSHOSTNAMEROUTER1ENABLESECRET51XN08TTR8NFLOP92RSZHCBZKK/ENABLEPASSWORDCISCOIPSUBNETZEROCONTROLLERE10FRAMINGNOCRC4CHANNELGROUP0TIMESLOTS1CHANNELGROUP1TIMESLOTS2CHANNELGROUP2TIMESLOTS3INTERFACEETHERNET0IPADDRESS13311840125525500MEDIATYPE10BASETINTERFACEETHERNET1NOIPADDRESSSHUTDOWNINTERFACESERIA100IPADDRESS202119961255255255252ENCAPSULATIONHDLCNOIPMROUTECACHEINTERFACESEFIA101IPADDRESS202119965255255255252ENCAPSULATIONHDLCNOIPMROUTECACHEINTERFACESERIA102IPADDRESS202119969255255255252ENCAPSULATIONHDLCNOIPMROUTECACHENOIPCLASSLESSIPROUTE1332104002552552550SERIA100IPROUTE1332104102552552550SERIA101IPROUTE1332104202552552550SERIA102LINECON0LINEAUX0LINEVTY04PASSWORDCICSOLOGINEND35、【问题1】E1和CE1的主要区别是什么36、【问题2】解释配置中画线部分内容含义。试题十五阅读以下说明，回答下面问题。【说明】在ATMASYNCHRONOUSTRANSFERMODE传输模式中，信息被组织成信元，因包含来自某用户信息的各个信元不需要周期性出现，这种传输模式是异步的。由于ATM技术简化了交换过程，去处了不必要的数据校验，采用易于处理的固定信元格式。LANE指的是LANEMULATIONOVERATM，即在ATM网上进行LAN局域网的模拟。大多数数据目前都是LAN上传送，例如ETHERNET等。在ATM网上应用LANE技术，我们就可以把分布不同区域网互联起来，在广域网上实现局域网的功能，对于用户来说，他们所接触到的仍然是传统的局域网的范畴，根本感觉不到LANE的存在。LANE技术主要用到了LANESERVER，它可以存在于一个或多个交换机内，也可以放在一台单独的工作站中，LANESERVER可简写成LES，主要功能就是MACTOATM的地址转换，因为ETHERNET用的是MAC地址，ATM用的自己的地址方案，通过LES地址转换可以把分布在ATM边缘的LANECLIENT之间连接起来。ATM网络在进行数据传输之前，在整个ATM网络中建立一条虚拟电路。ATM电路有两种类型一种是虚拟路径，由虚拟路径标识符VPI表明；另一种是虚拟通道，由VPI和虚拟通道标识符等VCI组合起来表明。虚拟路径是一组虚拟通道的集合，这些虚拟通道在普通的VPI的基础上通过ATM网络进行透明交换。ATM交换机通过一个已知VCI或VPI上的链路接收一个信元；在局部译码表中找出相应的连接值，从而确定连接的引出端口以及链路上连接新VPI/VCI值；用适合的连接标识符将信元转发到引出链路上。两种基本连接类型是37永久虚拟连接PVCPVC是一种由网络管理等外部机制建立的连接，在这种连接方式中，处于ATM源和目的ATM系统之间的一系列交换机都被赋予适当的VPI/VCI值。38交换虚拟连接SVC。SVC是一种由信令协议自动建立起来的连接，不需要进行手工配置。37、【问题1】请解释ATM信元。38、【问题2】请简述他们之间的通信过程。试题十六下面是某路由器的部分配置信息，解释N处标有下划线部分的含义。39、【配置路由器信息】CURRENTCONFIGURATIONVERSION113NOSERVICEPASSWORDENCRYPTIONHOSTNAMEROUTER5第1处ENABLEPASSWORDNWDL2345第2处INTERFACEETHERNET0IPADDRESS1924112552552550第3处INTERFACESERIA10IPADDRESS1923112552552550ENCAPSULATIONFRAMEROCAYIETFNOIPMROUTECACHEBANDWIDTH2000第4处FRAMERELAYMANIN192312100BROADCAST第5处FRAMERELAYLMITYPECISCOROUTEROSPFL第6处NETWORD192110000255AREA0第7处NETWORK192310000255AREA0NETWORK192410000255AREA0NEIGHBOR192112第8处END答案试题一1、1总线型BUS2环型BRING注1与2可以交换3载波侦听多路访问/冲突检测CSMA/CD4令牌传递TOKENPASSING5磁带6光盘塔注7磁盘双工8镜像是先写原盘，后写镜像盘；而双工是两个互为备份的盘同时写9维护日志试题二2、“CONSOLE”端口是虚拟操作台端口，安装维护人员通过直接连接该端口实施设备配置。“AUX”端口是用于远程调试的端口，一般连接在MODEM上，设备安装维护人员通过远程拨号进行设备连接，实施设备的配置。3、连接参数如下速率9600BPS、数据位8位、奇偶检验无、停止位2位。4、配置命令的含义如下1配置RAS的拨号用户网络配置信息。包括用户默认子网屏蔽码、默认网关、默认DNS。2设定第一组异步口的用户IP地址自动分配。设置自动分配的IP地址来自于IP地址POOL250903配置路由协议RIP。指定设备直接连接到网络202112250与202112790。4设置来自202112250网段的用户可以访问拨号服务器。配置用户登陆口令。试题三5、VLAN的4种划分方式分别为基于端口划分；基于MAC地址划分；基于第三层地址划分；基于策略划分或基于应用划分。按交换端口号的虚拟基于端口的VLAN就是将交换机中端口进行分组来划分VIAN，同一个VLAN中的站点具有相同的网络地址，不同的VLAN之间进行通信需要通过路由器。优点简单有效。其不足之处灵活性不好，例如当一个网络站点从一个端口移动到另外一个新的端口时，如果新端口与旧端口不属于同一个VLAN，则用户必须对该站点重新进行网络地址配置，否则，该站点将无法进行网络通信。按MAC地址的虚拟在基于MAC地址的VLAN中，由管理人员指定属于同一个VLAN中的各客户机的MAC地址。新站点入网时根据需要将其划归至某一个VLAN。优点而无论该站点在网络中怎样移动，由于其MAC地址保持不便，因此用户不需要进行网络地址的重新配置。不足之处在站点入网时，需要对交换机进行比较复杂的手工配置，以确定该站点属于哪一个VLAN。按第三层协议网络地址的虚拟根据协议类型或网络地址IP地址划分VLAN。优点新站点在入网时无需进行太多配置，交换机则根据各站点网络地址自动将其划分成不同的VLAN。在三种VLAN的实现技术中，基于网络地址的VLAN智能化程度最高，实现起来也最复杂。一个客户可以属于多个VLAN。6、允许以3种端口模式划归VLAN，分别为ACCESS模式，该端口仅能属于一个VLAN，只能接收没有封装的帧；MULTI模式，该端口可以属于多个VLAN，只能接收没有封装的帧；TRUNK模式，该端口可以接收包含所属VLAN信息的封装帧；7、VLAN之间如何通信通过路由。多种的路由方案。各有优缺点。1边界路同由边界的交换机完成路由2“独臂”路由器3ATM上的多协议路由4第三层交换8、在三种VLAN的实现技术中，基于网络地址的VLAN智能化程度最高，实现起来也最复杂。试题四9、12100012132100014356078091016解析本题主要考查RIP路由协议的更新RIP为每个目的地只记录一条路由的事实要求RIP积极地维护路由表的完整性。通过要求所有活跃的RIP路由器在固定时间间隔广播其路由表内容至相邻的RIP路由器来做到这一点，所有收到的更新自动代替已经存储在路由表中的信息。RIP依赖3个计时器来维护路由表更新计时器路由超时计时器路由刷新计时器更新计时器用于在节点一级初始化路由表更新。每个RIP节点只使用一个更新计时器。相反的，路由超时计时器和路由刷新计时器为每一个路由维护一个。如此看来，不同的超时和路由刷新计时器可以在每个路由表项中结合在一起。这些计时器一起能使RIP节点维护路由的完整性并且通过基于时间的触发行为使网络从故障中得到恢复。1初始化表更新RIP路由器每隔30秒触发一次表更新。更新计时器用于记录时间量。一旦时间到，RIP节点就会产生一系列包含自身全部路由表的报文。这些报文广播到每一个相邻节点。因此，每一个RIP路由器大约每隔30秒钟应收到从每个相邻RIP节点发来的更新。2标识无效路由有两种方式使路由变为无效路由终止。路由器从其他路由器处学习到路由不可用。在任何一种情形下，RIP路由器需要改变路由表以反映给定路由已不可达。一个路由如果在一个给定时间之内没有收到更新就中止。比如，路由超时计时器通常设为180秒。当路由变为活跃或被更新时，这个时钟被初始化。3删除无效路由一旦路由器认识到路由已无效，它会初始化一个秒计时器路由刷新计时器。因此，在最后一次超时计时器初始化后180秒，路由刷新计时器被初始化。这个计时器通常设为90秒。如果路由更新在270秒之后仍未收到180秒超时加上90秒路由刷新时间，就从路由表中移去此路由也就是刷新。而为了路由刷新递减计数的计时器称为路由刷新计时器。这个计时器对于RIP从网络故障中恢复的能力绝对必要。试题五10、从公司总部主机到分支机构主机通过IPSEC的通信过程1建立IPSEC隧道的过程启动IPSEC和IKEINTERNET密钥交换，这个过程中要确定IPSEC的两个对等体公司总部主机和分支机构主机，以及要确定IPSEC加密策略，然后，IKE在公司总部主机和分支机构主机这两个对等体中建立起IPSECSA；2数据传送过程根据存储在SA数据库中的IPSEC参数和密钥，在IPSEC对等体间传送数据。3释放IPSEC隧道，终止通信。11、采用对称式SYMMETRIC和非对称式ASYMMETRIC的加密算法来执行加密作业。12、1安全通道SECURETUNNELIPSEC和SSL这两种安全协议，都有采用对称式SYMMETRIC和非对称式ASYMMETRIC的加密算法来执行加密作业。在安全的通道比较上，并没有谁好谁坏之差，仅在于应用上的不同。2认证和权限控管IPSEC采取INTERNETKEYEXCHANGEIKE方式，使用数字凭证DIGITALCERTIFICATE或是一组SECRETKEY来做认证，而SSL仅能使用数字凭证，如果都是采取数字凭证来认证，两者在认证的安全等级上就没有太大的差别。3安全测试IPSECVPN已经有多年的发展，有许多的学术和非营利实验室，提供各种的测试准则和服务，其中以ICSALABS是最常见的认证实验室，大多数的防火墙，VPN厂商，都会以通过它的测试及认证为重要的基准。但SSLVPN在这方面，则尚未有一个公正的测试准则，但是ICSALABS实验室也开始着手SSL/TLC的认证计划，预计在今年底可以完成第一阶段的CRYPTO运算建置及基础功能测试程序。4病毒入侵一般企业在INTERNET联机入口，都是采取适当的防毒侦测措施。不论是IPSECVPN或SSLVPN联机，对于入口的病毒侦测效果是相同的，但是比较从远程客户端入侵的可能性，就会有所差别。采用IPSEC联机，若是客户端电脑遭到病毒感染，这个病毒就有机会感染到内部网络所连接的每台电脑。相对于SSLVPN的联机，所感染的可能性，会局限于这台主机，而且这个病毒必须是针对应用系统的类型，不同类型的病毒是不会感染到这台主机的。5防火墙上的通讯埠PORT在TCP/IP的网络架构上，各式各样的应用系统会采取不同的通讯协议，并且通过不同的通讯埠来作为服务器和客户端之间的数据传输通道。IPSECVPN联机就会有这个困扰和安全顾虑。在防火墙上，每开启一个通讯埠，就多一个黑客攻击机会。反观之，SSLVPN就没有这方面的困扰。因为在远程主机与SSLVPNGATEWAY之间，采用SSL通讯埠PORT443来作为传输通道，这个通讯埠，一般是作为WEBSERVER对外的数据传输通道，因此，不需在防火墙上做任何修改，也不会因为不同应用系统的需求，而来修改防火墙上的设定，减少IT管理者的困扰。13、IPSECVPN和SSLVPN这两种VPN架构，从整体的安全等级来看，两种都能够提供安全的远程登入存取联机。但综观上述，SSLVPN在其易于使用性及安全层级，都比IPSECVPN高。我们都知道，由于INTERNET的迅速扩展，针对远程安全登入的需求也日益提升。试题六14、VLAN的划分方式主要有两种一种是静态VLAN，也就是基于端口的VLAN。另外一种就是动态VLAN，动态VLAN中又分为基于MAC地址的VLAN、基于子网的VLAN和基于用户的VLAN。15、静态VLAN，也就是基于端口的VLAN，这种VLAN方式由于需要对交换机中每个端口进行设定，由于需要一个个端口地指定，因此当网络中的计算机数目超过一定数字比如数百台后，设定操作就会变得烦杂无比。并且，客户机每次变更所连端口，都必须同时更改该端口所属VLAN的设定这显然不适合那些需要频繁改变拓补结构的网络。许多VLAN厂商都利用交换机的端口来划分VLAN成员。被设定的端口都在同一个广播域中。例如，一个交换机的1，2，3，4，5端口被定义为虚拟网AAA，同一交换机的6，7，8端口组成虚拟网BBB。这样做允许各端口之间的通讯，并允许共享型网络的升级。但是，这种划分模式将虚拟网限制在了一台交换机上。第二代端口VLAN技术允许跨越多个交换机的多个不同端口划分VLAN，不同交换机上的若干个端口可以组成同一个虚拟网。以交换机端口来划分网络成员，其配置过程简单明了。因此，从目前来看，这种根据端口来划分VLAN的方式仍然是最常用的一种方式。动态VLAN中又分为基于MAC地址的VLAN、基于子网的VLAN和基于用户的VLAN，这三种动态VLAN就具有灵活性强的特点。基于MAC地址的VLAN，就是通过查询并记录端口所连计算机上网卡的MAC地址来决定端口的所属。假定有一个MAC地址“A”被交换机设定为属于VLAN“10”，那么不论MAC地址为“A”的这台计算机连在交换机哪个端口，该端口都会被划分到VLAN10中去。计算机连在端口1时，端口1属于VLAN10；而计算机连在端口2时，则是端口2属于VLAN10。这种划分VLAN的方法是根据每个主机的MAC地址来划分，即对每个MAC地址的主机都配置它属于哪个组。这种划分VLAN方法的最大优点就是当用户物理位置移动时，即从一个交换机换到其他的交换机时，VLAN不用重新配置，所以，可以认为这种根据MAC地址的划分方法是基于用户的VLAN，这种方法的缺点是初始化时，所有的用户都必须进行配置，如果有几百个甚至上千个用户的话，配置是非常累有。而且这种划分的方法也导致了交换机执行效率的降低，因为在每一个交换机的端口都可能存在很多个VLAN组的成员，这样就无法限制广播包了。另外，对于使用笔记本电脑的用户来说，他们的网卡可能经常更换，这样，VLAN就必须不停地配置。基于子网的VLAN，则是通过所连计算机的IP地址，来决定端口所属VLAN的。不像基于MAC地址的VLAN，即使计算机因为交换了网卡或是其他原因导致MAC地址改变，只要它的IP地址不变，就仍可以加入原先设定的VLAN。16、由题目个路由器的配置信息SWITCH1CONFIGIFSWITCHPORTMODEACCESSSWITCH1CONFIGIFSWITCHPORTACCESSVLAN11可见，SWITCH采用的是静态实现方式。17、VTPVLANTRUNKINGPROTOCOLVTP通过网络保持VLAN配置统一性。VTP在系统级管理增加，删除，调整的VLAN，自动地将信息向网络中其它的交换机广播。此外，VTP减小了那些可能导致安全问题的配置。SPANNINGTREEPROTOCOL生成树协议STP能够提供路径冗余，即使网络中有多条有效路径会引起不正常的环路，导致网络不正常时。使用STP可以使两个终端中只有一条有效路径。STP在大的网络中定义了一个树，并且迫使一定的备份路径处于STANDBY状态。如果SPANNINGTREE中的网络一部分不可达，或者STP值变化了，SPANNINGTREE算法会重新计算SPANNINGTREE拓扑，并且通过启动备份路径来重新建立连接。STP操作对于终端来说是透明的。而终端不管它们连在LAN的一部分或者多个部分。在不同的VLANS配置SPANNINGTREEPROTOCOL。当创建网络时，网络中所有节点存在多条路径。SPANNINGTREE中的算法计算出最佳路径。因为每个VLAN是一个逻辑LAN部分，你能使STP一次工作在最多64个VLAN，如果要配置超过64个VLAN，需要将其它VLAN的STP禁止。默认的，STP可以支持164个VLAN。试题七18、1将路由器命名为R1。2设置密码为123456。3封装数据包格式为IETF的帧中继。4带宽为4000。5映射IP地址与帧中继地址。路由器的IP地址为19216302，帧中继号码为100，并且允许在线路上传送广播信息。6设置OSPF协议，路由进程ID为1。7设置与路由器相连的网络IP为202110，子网掩码的反码为000255，网络区域为0。8设置路由器邻居节点地址为202112。试题八19、VLAN的划分1根据端口来划分VLAN许多VLAN厂商都利用交换机的端口来划分VLAN成员。被设定的端口都在同一个广播域中。例如，一个交换机的1，2，3，4，5端口被定义为虚拟网AAA，同一交换机的6，7，8端口组成虚拟网BBB。这样做允许各端口之间的通讯，并允许共享型网络的升级。但是，这种划分模式将虚拟网限制在了一台交换机上。第二代端口VLAN技术允许跨越多个交换机的多个不同端口划分VLAN，不同交换机上的若干个端口可以组成同一个虚拟网。以交换机端口来划分网络成员，其配置过程简单明了。因此，从目前来看，这种根据端口来划分VLAN的方式仍然是最常用的一种方式。2根据MAC地址划分VLAN这种划分VLAN的方法是根据每个主机的MAC地址来划分，即对每个MAC地址的主机都配置它属于哪个组。这种划分VLAN方法的最大优点就是当用户物理位置移动时，即从一个交换机换到其他的交换机时，VLAN不用重新配置，所以，可以认为这种根据MAC地址的划分方法是基于用户的VLAN，这种方法的缺点是初始化时，所有的用户都必须进行配置，如果有几百个甚至上千个用户的话，配置是非常累的。而且这种划分的方法也导致了交换机执行效率的降低，因为在每一个交换机的端口都可能存在很多个VLAN组的成员，这样就无法限制广播包了。另外，对于使用笔记本电脑的用户来说，他们的网卡可能经常更换，这样，VLAN就必须不停地配置。3根据网络层划分VLAN这种划分VLAN的方法是根据每个主机的网络层地址或协议类型如果支持多协议划分的，虽然这种划分方法是根据网络地址，比如IP地址，但它不是路由，与网络层的路由毫无关系。这种方法的优点是用户的物理位置改变了，不需要重新配置所属的VLAN，而且可以根据协议类型来划分VLAN，这对网络管理者来说很重要，还有，这种方法不需要附加的帧标签来识别VLAN，这样可以减少网络的通信量。这种方法的缺点是效率低，因为检查每一个数据包的网络层地址是需要消耗处理时间的相对于前面两种方法，一般的交换机芯片都可以自动检查网络上数据包的以太网帧头，但要让芯片能检查IP帧头，需要更高的技术，周时也更费时。当然，这与各个厂商的实现方法有关。4根据IP组播划分VLANIP组播实际上也是一种VLAN的定义，即认为一个组播组就是一个VLAN，这种划分的方法将VLAN扩大到了广域网，因此这种方法具有更大的灵活性，而且也很容易通过路由器进行扩展，当然这种方法不适合局域网，主要是效率不高。20、汇聚链接TRUNKLINK指的是能够转发多个不同VLAN的通信的端口。汇聚链路上流通的数据帧，都被附加了用于识别分属于哪个VLAN的特殊信息。如果上述网络采用汇聚链路，用户只需要简单地将交换机间互联的端口设定为汇聚链接就可以了。这时使用的网线还是普通的UTP线，而不是什么其他的特殊布线。图例中是交换机间互联，因此需要用交叉线来连接。21、A发送的数据帧从交换机1经过汇聚链路到达交换机2时，在数据帧上附加了表示属于红色VLAN的标记。交换机2收到数据帧后，经过检查VLAN标识发现这个数据帧是属于红色VLAN的，因此去除标记后根据需要将复原的数据帧只转发给其他属于红色VLAN的端口。这时的转送，是指经过确认目标MAC地址并与MAC地址列表比对后只转发给目标MAC地址所连的端口。只有当数据帧是一个广播帧、多播帧或是目标不明的帧时，它才会被转发到所有属于红色VLAN的端口。蓝色VLAN发送数据帧时的情形也与此相同。通过汇聚链路时附加的VLAN识别信息，有可能支持标准的“IEEE802IQ”协议，也可能是CISCO产品独有的“ISLINTERSWITCHLINK”。如果交换机支持这些规格，那么用户就能够高效率地构筑横跨多台交换机的VLAN。22、汇聚链路上流通着多个VLAN的数据，自然负载较重。因此，在设定汇聚链接时，有一个前提就是必须支持100MBPS以上的传输速度。试题九23、IP地址耗尽促成了CIDR的开发，但CIDR开发的主要目的是为了有效的使用现有的INTERNET地址。而同时根据RFC1631IPNETWORKADDRESSTRANSLATOR开发的NAT却可以在多重的INTERNET子网中使用相同的IP，用来减少注册IP地址的使用。NAT技术使得一个私有网络可以通过INTERNET注册IP连接到外部世界，位于INSIDE网络和OUTSIDE网络中的NAT路由器在发送数据包之前，负责把内部IP翻译成外部合法地址。内部网络的主机不可能同时于外部网络通信，所以只有一部分内部地址需要翻译。24、NAT的翻译可以采取静态翻译STATICTRANSLATION和动态翻译DYNAMICTRANSLATION两种。静态翻译将内部地址和外部地址一对一对应。当NAT需要确认哪个地址需要翻译，翻译时采用哪个地址POOL时，就使用了动态翻译。采用PORTMULTIPLEXING技术，或改变外出数据的源PORT技术可以将多个内部IP地址影射到同一个外部地址，这就是PATPORTADDRESSTRANSLATOR。当影射一个外部IP到内部地址时，可以利用TCP的LOADDISTRIBUTION技术。使用这个特征时，内部主机基于ROUNDROBIN机制，将外部进来的新连接定向到不同的主机上去。注意LOADDISTRIBUTIONG只有在影射外部地址到内部的时候才有效。25、采用NAT，可以实现以下几个功能ATRANSLATIONINSIDELOCALADDRESSESBOVERLOADINGINSIDEGLOBALADDRESSESCTCPLOADDISTRIBUTIONDHANDINGOVERLAPPINGNETWORKS下面我们一一叙述它们的工作原理。A内部地址翻译TRANSITIONINSIDELOCALADDRESSES这是比较通用的一种方