网络工程师考试2007年下半年下午试题解析

网络工程师考试2007年下半年下午试题解析
试题一（15分）
阅读以下说明，回答问题1至问题3，将解答填入答题纸对应的解答栏内。

【说明】
某校园网物理地点分布如图C7-1-1所示，拓扑结果如图C7-1-2所示。

【问题1】（2分）
由图C7-1-1可见，网络中心与图书馆相距700米，而且两者之间采用千兆连接，那么两个楼之间的通讯介质应选择（1），理由是（2）。

备选答案：
（1）A．单模光纤B．多模光纤C．同轴电缆D．双绞线
答案：
在线代理|网页代理|代理网页|
（1）A或单模光纤（1分）
（B 或多模光纤）也算对
（2）千兆以太网采用多模光纤的传输距离是这样的：1000BaseLX采用多模光纤，在全双工模式下其网络跨距可以达到550m；1000BaseSX如果使用62.5μm多模光纤，其距离范围是2～275m；如果采用50μm的多模光纤，其距离范围是2～550m。

但现在市面上已出现了50μm的多模光纤，传输距离可达1100米，因此也可以采用多模光纤。

至于双绞线和同轴电缆，均无法满足千兆网传输距离的要求。

（1分）
【问题2】（5分，空（6）为2分，其他每空1分）
校园网对校内提供VOD服务，对外提供Web服务，同时进行网络流量监控。

对以上服务器进行部署，VOD服务器部署在（3）；Web服务器部署在（4）；网络流量监控服务器部署在（5）。

（3）（4）（5）的备选答案：
A．核心交换机端口B．核心交换机镜像端口C．汇聚交换机端口
D．接入交换机端口E．防火墙DMZ端口
以上三种服务器中通常发出数据量最大的是（6）。

试题解析：
VOD服务器的数据流量最大，因此部署在核心交换机端口比较好；
Web服务器要提供对外访问服务，因此部署在防火墙DMZ端口比较好；
网络流量监控服务器需要监控所有的数据流，而且还应该尽量避免影响网络工作，因此部署在核心交换机镜像端口比较好。

答案：
（3）A或核心交换机端口（1分）
（4）E 或防火墙DMZ端口（1分）
（5）B 或核心交换机镜像端口（1分）
（6）VOD服务器（2分）
【问题3】（8分）
校园网在进行IP地址部署时，给某基层单位分配了一个C类地址块192.168.110.0/24，该单位的计算机数量分布如表C7-1-1所示。

要求各部门处于不同的网段，请将表C7-1-2中的（7）~（14）处空缺的主机地址（或范围）和子网掩码填写在答题纸的相应位置。

在线代理|网页代理|代理网页|
试题解析：
关于VLSM的详细解析，可以参看《网络工程师考前辅导》中的说明，以下插入一张示例图以辅助理解。

答案：（8分，每题一分）
（7）192.168.110.126 （1分）
（8）~（10）有四种组合。

（11）255.255.255.128 （1分）
（12）255.255.255.192 （1分）
在线代理|网页代理|代理网页|
（13）255.255.255.224 （1分）
（14）255.255.255.224 （1分）
试题二（15分）
阅读以下说明，回答问题1至问题4，将解答填入答题纸对应的解答栏内。

【说明】
网络工程师经常会面对服务器性能不足的问题，尤其是网络系统中的核心资源服务器，其数据流量和计算强度之大，使得单一计算机无法承担，可以部署多台Linux服务器组成服务器集群，采用负载均衡技术提供服务。

某企业内部网（网络域名为）由三台Linux服务器提供服务，其中DNS、FTP、SMTP和POP3四种服务由一台服务器承担，web服务由二台Linux服务器采用负载均衡技术承担。

【问题1】（2分）
假定提供web服务的二台Linux服务器IP地址分别为192.168.1.10和192.168.1.20。

为了使用DNS循环机制，由主机名对外提供一致的服务，需要在DNS服务器的区域文件中增加下列内容：
www1 IN （1） 192.168.1.10
www2 IN （1） 192.168.1.20
www IN （2） www1
www IN （2） www2
通过DNS的循环机制，客户访问主机时，会依次访问IP地址为192.168.1.10和192.168.1.20的www主机。

填写上面的空格，完成文件的配置。

试题解析：
“A”用来定义主机名和IP地址的关系；“CNAME”用来描述别名。

答案：
（1）A（1分）
（2）CNAME （1分）
【问题2】（2分）
采用循环DNS配置可以实现简单的具有负载均衡功能的web服务。

说明采用循环DNS 实现均衡负载存在什么问题。

答案：
存在的主要问题：不能区分服务器的差异，也不能反映服务器的当前运行状态（负载量的大小）；或者，不能根据负载情况实现动态调度。

（1分）
如果一个服务器发生故障不可访问，会造成混乱，一些人能够访问WWW服务，另一些则不可以。

（1分）
【问题3】（6分）
图C7-2-1所示的是基于硬件的负载均衡方案，其中WSD Pro被称为导向器。

通过导向器的调度，实现服务的负载均衡。

主机、和WSD Pro都配置了双网卡，IP地址标注在图中。

在线代理|网页代理|代理网页|
图中的各个服务器必须进行恰当的配置，主机的/etc/sysconfig/network文件和/etc/sysconfig/network-script/ifcfg-eth0文件配置如下：
/etc/sysconfig/network文件清单：
NETWORKING=yes
FORWARD_IPV4= （3）
HOSTNAME=
DOMAINNAME= （4）
GA TEWAY= （5）
GA TEWAYDEV=eth0
/etc/sysconfig/network-script/ifcfg-eth0文件清单：
DEVICE=eth0
IPADDR= （6）
NETMASK=255.255.255.0
NETWORK= （7）
BROADCAST= （8）
ONBOOT=yes
填写上面的空格，完成文件的配置。

答案：
（3）no 或false 或0 （1分）
依据题意，双网卡之间不能转发IP包。

在标准答案是false 或0。

我们分别在debian和redhat as4对/etc/sysconfig/network的FORWARD_IPV4参数的作用做了测试。

经过多次的测试，发现该文件的参数是否能够影响到/proc/sys/net/ip_forward的值，是由启动脚本/etc/init.d/network决定的（通读一遍脚本就知道了），所有无论是yes/no，还是true/false，还是1/0还是其他，/etc/init.d/network都会去读它，然后解析。

/proc/sys/net/ip_forward的值决定着是否有路由转发功能，而/proc/sys/net/ip_forward的值由启动脚本来决定，同时这些脚本是可以修改的，所以该题没有统一的答案，因为每个厂商或者个人都可以自己改，只要是知道可以这么控制就可以了。

另外，由于这三台机器特殊的组网方式，即使设置了FORWARD_IPV4=yes，根据路由的基本工作原理，发往左边192.168.2.0网段的数据包也不会跑到右边192.168.1.0网段去。

同样，发往右边192.168.1.0网段的数据包也不能跑到左边192.168.2.0网段。

因此，即使设
在线代理|网页代理|代理网页|
置FORWARD_IPV4=yes，或1，或true，也不会影响到系统的工作。

因此可以从宽处理，考生回答yes，1或true也可以得分。

（4） （1分）
（5）192.168.1.10 （1分）
（6）192.168.1.3 （1分）
（7）192.168.1.0 （1分）
（8）255.255.255.255 或 192.168.1.255 （1分）
【问题4】（5分）
图C7-2-1所示案例采用NFS（网络文件系统）技术主要解决什么问题？由图中左边的交换机组成的局域网有何功能？
答案：
主机ns同时作为NFS（网络文件系统）服务器，WEB服务器（www1和www2）作为它的客户，共享数据和服务脚本，保证WEB服务的数据同步或一致。

（3分）NFS服务器需要向www1和www2分发数据文件，为避免分发和同步占用了WEB服务的带宽，左边的交换机组成192.168.2.0 NFS专用局域网，保证WEB的服务质量。

（2分）同时这种配置将使NFS文件系统对外界不可用，增强了服务器的安全性。

（1分）
（注：本问题最多得5分）
试题三（15分）
阅读以下说明，回答问题1至问题6，将解答填入答题纸对应的解答栏内。

【说明】
某公司要在Windows 2003 Server上搭建内部FTP服务器，服务器分配有一个静态的公网IP地址200.115.12.3。

【问题1】（每空2分，共4分）
在控制面板的“添加/删除程序”对话框中选择（1），然后进入“应用程序服务器”选项，在（2）组件复选框中选择“文件传输协议（FTP）服务”，就可以在Windows 2003中安装FTP服务。

备选答案：
（1）A．更改或删除程序 B．添加新程序
C．添加/删除Windows组件 D．设定程序访问和默认值
（2）A． B．Internet信息服务（IIS）
C．应用程序服务器控制台 D．启用网络服务
答案：
（1）C 或添加/删除Windows组件（2分）
（2）B 或Internet信息服务(IIS) （2分）
【问题2】（2分）
安装完FTP服务后，系统建立了一个使用默认端口的“默认FTP站点”，若要新建另一个使用“用户隔离”模式的FTP站点“内部FTP站点”，为了使两个FTP服务器不产生冲突，在图C7-3-1所示的“内部FTP站点”属性对话框中的IP地址应配置为（3），端口号应配置为（4）。

在线代理|网页代理|代理网页|
备选答案：
（3）A．127.0.0.1 B．202.115.12.3
C．202.115.12.4 D．192.168.0.0
（4）A．20 B．21
C．80 D．服务器1024~65535中未用端口号
在线代理|网页代理|代理网页|
答案：
（3）B 或200.115.12.3 （1分）
（4）D 或服务器1024~65535中未用端口号（1分）
【问题3】（2分）
在图C7-3-2中，新建FTP站点的默认主目录为（5）。

备选答案：
（5）A．C:\inetpub\ftproot B．C:\ftp
C．C:\ftp\root D．C:\inetpub\wwwroot
答案：
（5）A或c:\Inetpub\ftproot （2分）
【问题4】（每空2分，共4分）
公司要为每个员工在服务器上分配一个不同的FTP访问目录，且每个用户只能访问自己目录中的内容，需要进行以下操作：（6）和（7）。

备选答案：
（6）A．为每个员工分别创建一个Windows用户
B．在“内部FTP站点”中为每个员工分别创建一个用户
C．为每个员工分别设置一个用户名和密码
（7）A．在主目录下为每个用户创建一个与用户名相同的子目录
B．在主目录下的Local User子目录中为每个用户创建一个与用户名相同的子目录
C．在主目录下的Local User子目录中为每个用户创建一个子目录，并在FTP中在线代理|网页代理|代理网页|
设置为用户可访问
D．在主目录中下为每个用户创建一个与用户名相同的虚拟目录
试题解析：
这种处理方法是让FTP用户使用Windows用户的帐号，查一下windows的帮助就知道了。

答案：
（6）A或为每个员工分别创建一个windows用户（2分）
（7）B 或在主目录下的Local User子目录中为每个用户创建一个与用户名相同的子目录（2分）
【问题5】（1分）
如果还要为其它用户设置匿名登录访问，需要在以上创建用户目录的同一目录下创建名为（8）的目录。

备选答案：
（8）A．iUser B．users C．public D．anonymous
答案：
（8）C 或public （1分）
【问题6】（2分）
如果公司只允许IP地址段200.115.12.0/25上的用户访问“内部FTP站点”，应进行如下配置：
在图C7-3-3所示的对话框中：
（1）选中（9）单选按钮；
（2）单击“添加(D)…”按钮，打开图C7-3-4所示的对话框。

在图C7-3-4所示的对话框中：
（1）选中“一组计算机(G)”单选按钮；
（2）在“IP地址(I)”输入框中填入地址（10），在“子网掩码”输入框中填入255.255.255.128；
（3）单击“确定”按钮结束配置。

在线代理|网页代理|代理网页|
答案：
（9）拒绝访问（1分）
（10）200.115.12.0 （1分）
（放宽要求，回答200.115.12.0~200.115.12.127的任何一个都算对）
试题四（15分）
阅读以下说明，回答问题1至问题4，将解答填入答题纸对应的解答栏内。

【说明】
2007年间，ARP木马大范围流行。

木马发作时，计算机网络连接正常却无法打开网页。

由于ARP木马发出大量欺骗数据包，导致网络用户上网不稳定，甚至网络短时瘫痪。

在线代理|网页代理|代理网页|
【问题1】（2分）
ARP木马利用（1）协议设计之初没有任何验证功能这一漏洞而实施破坏。

答案：
（1）ARP 或地址解析协议（2分）
【问题2】（3分）
在以太网中，源主机以（2）方式向网络发送含有目的主机IP地址的ARP请求包；目的主机或另一个代表该主机的系统，以（3）方式返回一个含有目的主机IP地址及其MAC地址对的应答包。

源主机将这个地址对缓存起来，以节约不必要的ARP通信开销。

ARP协议（4）必须在接收到ARP请求后才可以发送应答包。

备选答案：
（2）A．单播 B．多播 C．广播 D．任意播
（3）A．单播 B．多播 C．广播 D．任意播
（4）A．规定 B．没有规定
答案：
（2）C 或广播（1分）
（3）A或单播（1分）
（4）B 或没有规定（1分）
【问题3】（6分）
ARP木马利用感染主机向网络发送大量虚假ARP报文，主机（5）导致网络访问不稳定。

例如：向被攻击主机发送的虚假ARP报文中，目的IP地址为（6）。

目的MAC 地址为（7）。

这样会将同网段内其他主机发往网关的数据引向发送虚假ARP报文的机器，并抓包截取用户口令信息。

备选答案：
（5）A．只有感染ARP木马时才会
B．没有感染ARP木马时也有可能
C．感染ARP木马时一定会
D．感染ARP木马时一定不会
（6）A．网关IP地址 B．感染木马的主机IP地址
C．网络广播IP地址 D．被攻击主机IP地址
（7）A．网关MAC地址 B．被攻击主机MAC地址
C．网络广播MAC地址 D．感染木马的主机MAC地址
答案：
（5）B 或没有感染ARP木马时也有可能（2分）
“C 或感染ARP木马时一定会”也算对
这道题目象文字游戏。

（6）A或网关IP地址（2分）
（7）D 或感染木马的主机MAC地址（2分）
【问题4】（4分）
网络正常时，运行如下命令，可以查看主机ARP缓存中的IP地址及其对应的MAC地在线代理|网页代理|代理网页|
址：
C:\> arp （8）
备选答案：
（8）A．-s B．-d C．-all D．-a
假设在某主机运行上述命令后，显示如图C7-4-1中所示信息：
00-10-db-92-aa-30是正确的MAC地址。

在网络感染ARP木马时，运行上述命令可能显示如图C7-4-2中所示信息：
当发现主机ARP缓存中的MAC地址不正确时，可以执行如下命令清除ARP缓存：C:\> arp （9）
备选答案：
（9）A．-s B．-d C．-all D．-a
答案：
（8）D 或-a （1分）
（9）B 或-d （1分）
之后，重新绑定MAC地址，命令如下：
C:\> arp -s （10）（11）
（10）A．172.30.0.1 B．172.30.1.13
C．00-10-db-92-aa-30 D．00-10-db-92-00-31
（11）A．172.30.0.1 B．172.30.1.13
C．00-10-db-92-aa-30 D．00-10-db-92-00-31
答案：
（10）A或172.30.0.1 （1分）
（11）C 或00-10-db-92-aa-30 （1分）
试题五（15分）
阅读以下说明，回答问题1至问题3，将解答填入答题纸对应的解答栏内。

【说明】
如图C7-5-1所示，某单位通过2M的DDN专线接入广域网，该单位内网共分为三个子网。

服务器放置在子网192.168.5.0/24中，财务部工作站放置在子网192.168.10.0/24，销售部工作站放置在子网192.168.50.0/24。

该单位申请的公网IP地址为61.124.100.96/29。

在线代理|网页代理|代理网页|
【问题1】（3分）
该单位的公网IP地址范围是（1）到（2）；其中该单位能够使用的有效公网地址有（3）个。

答案：
（1）61.246.100.96 或61.124.100.96 （1分）
之所以两个答案都对是因为试卷上出现印刷错误，导致歧义。

（2）61.246.100.103 或61.124.100.103 （1分）
之所以两个答案都对是因为试卷上出现印刷错误，导致歧义。

（3）5 或 6 （1分）
真正的答案应该是6，因为题目问的是“该单位能够使用的有效公网地址”。

但考虑到某些考生将61.246.100.97（路由器占用）排除在外，因此选5也可以接受。

【问题2】（6分）
为保证路由器的安全，网络管理员做了如下设置，请阅读下列三段路由配置信息，并在（4）~（6）处填写该段语句的作用。

1．Router(config)# no ip http-server （4）
2．Router(config)# snmp-server community admin RW （5）
3．Router(config)# access-list 1 permit 192.168.5.1
Router(config)# line con 0
Router(config-line)# transport input none
Router(config-line)# login local
Router(config-line)# exec-timeout 5 0
Router(config-line)# access-class 1 in （6）
试题解析：
关于路由器和访问控制列表的配置命令及用例，可以参看《网络工程师考前辅导》中的内容。

在线代理|网页代理|代理网页|
答案：
（4）禁用Router的http服务，以提高安全性（2分）
（5）设置路由器读写团体字符串为admin （2分）
“设置admin团体具有snmp读写权限”更准确。

（6）设置ACL，允许192.168.5.1进入（或访问）CON0 （2分）“设置con0的输入方向使用access-list 1”也可以
【问题3】（6分）
请参考图C7-5-1，在路由器上完成销售部网段NA T的部分配置。

……
Router(config)# ip nat pool xiaoshou 61.246.100.99 61.246.100.99 netmask （7）
! 设置地址池
!
Router(config)# access-list 2 permit （8）（9）
！定义访问控制列表
！
Router(config)# ip nat inside source list 2 pool xiaoshou
! 使用访问控制列表完成地址映射
试题解析：
关于防火墙设备的配置命令及用例，可以参看《网络工程师考前辅导》中的内容。

答案：
（7）255.255.255.248 （2分）
（8）192.168.50.0 （2分）
（9）0.0.0.255 （2分）
在线代理|网页代理|代理网页|。