软考网络工程师下午配置真题

网工下午试题配置真题
2006年上半年（路由器ddn，nat，ipsec vpn） (2)
2006年下半年（交换机vlan配置、STP协议、路由器ip地址，路由，acl） (6)
2007年上半年（防火墙的配置、交换机vlan配置、stp协议配置） (9)
2007年下半年（路由器snmp配置、nat配置） (14)
2008年上半年（路由器ospf配置、防火墙配置、ACL配置、交换机vlan配置、hsrp热备份路由协议配置） (17)
2008年下半年（路由器rip配置以及基本配置） (26)
2009年上半年（路由器单臂路由配置、静态路由配置、ipsec vpn、acl、策略路由配置、nat） (30)
2009年下半年（防火墙配置、路由器ipsec vpn配置） (39)
2010年上半年（路由器isatap协议的配置、ospf配置） 44 2010年下半年（路由器ipv6-over-ipv4 GRE配置） (47)
2011年上半年（路由器默认路由的配置、ipsec vpn的配置、rip配置、acl配置） (49)
2006年上半年（路由器ddn，nat，ipsec vpn）
试题五（15分）
阅读下面的说明，回答问题1至问题4。

将解答填入答题纸对应的解答栏。

【说明】
图5-1是希赛公司利用Internet建立的VPN。

图5-l
【问题1】（4分）
使用VPN技术，是为了保证部数据通过Internet安全传输，VPN技术主要采用哪些技术来保证数据安全？
隧道技术（Tunneling）、加解密技术（Encrypyion & Decryption）、密钥管理技术（KeyManagement）、使用者与设备身份认证技术（Authentication）
【问题2】（3分）
分部1采用DDN通过一台路由器接入Internet。

阅读下面的路由配置信息，将（1）～（3）处标识的语句进行解释。

Router>en （进入特权模式）Routet＃config terminal (进入全局配置模式) Router(config)＃enable secret cisco （设置特权口令）
Router(config)＃line vty 0 4
Router(config-line)＃password goodbad （1）设置telnet登陆密码
Router(config-line)＃exit
Router(config)＃interface ethO/0 （进入以太网接口配置模式）
Router(config-if)＃ip address 202.117.1.1 255.255.255.0 （设置IP地址和掩码）Router(config-if)＃no shutdown （启用以太网接口）Router(config-if)＃exit
Router(config)＃interface serial 0/0 （进入串口配置模式）
Router(config-if)＃ip address 211.175.132.l0 255.255.255.252 （设置IP地址和掩码）
Router(config-if)＃bandwidth 256 （指定带宽为256k）
Router(config-if)＃encapsulation ppp （2）数据包设置ppp 封装
Router(config-if)＃no cdp enable （3）关闭cdp协议Router(config-if)＃no shutdown （启用serial接口）Router(oonfig-if)＃exit
Router(oonfig）＃
【问题3】（4分）
分部1的路由器配置为ethernet0/0端口接部网络，serial0/0端口接外部网络。

下列配置指定外网端口，完成下列配置，将答案填写在答题纸相应的位置。

Router(config)＃inter eth0/0
Router(config-if)＃（4）ip nat inside
Router(config-if)＃inter serial0/0
Router(config-if)＃（5）ip nat outside
Router(config-if)＃exit
Router(config)＃
【问题4】（4分）
以下是指定VPN在建立连接时协商IKE使用的策略，阅读下面的配置信息，解释（6）、（7）处的命令，将答案填写在答题纸相应的位置。

Router(config)＃crypto isakmp policy 10 （定义策略为lO）Router(config-isakmp)＃hash md5 （6）在建立连接时协商IKE 使用MD5 散列算法
Router(config-isakmp)＃authentication pre-share
（7）在IKE 协商过程中使用预共享密钥认证式Router(config-isakmp)＃exit
Router(config)＃crypto isakmp key ciscol23 address 0.0.0.0 0.0.0.0 （配置预共享密钥为cisco123，对等端为所有IP）
2006年下半年（交换机vlan配置、STP协议、路由器ip 地址，路由，acl）
试题五
阅读下面的说明，回答问题1至问题4。

将解答填入答题纸对应的解答栏。

【说明】
某企业园区网采用了三层架构，按照需求，在网络中需要设置VLAN、快速端口、链路捆绑、Internet接入等功能。

该园区网部分VLAN和IP地址如表5-1所示。

表5-1
【问题1】（3分）
某交换机的配置命令如下，根据命令后面的注释，填写（1）～（3）处的空缺容，完成配置命令。

Switch（config）＃（1）hostname Sw1将交换机命名为Sw1
Swl （config）＃interface vlan l
Sw1（config - if）＃（2）ip address 192.168.1.1 255.255.255.0设置交换机的IP地址为192.168.1.1/24
Sw1（config - if）＃no shutdown
Sw1（config）＃（3）ip default-gateway 192.168.1.254 设置交换机默认网关
地址
【问题2】（4分）
在核心交换机中设置了各个VLAN，在交换机Sw1中将端口1～20划归销售部，请完成以下配置。

Sw1（config）＃interface range fastethernet0／1-20 进入组配置状态。

Swl（config –if - range）＃（4）switchport mode access 设置端口工作在访问（接入）模式
Swl（config –if - range）＃（5）switchport access vlan 10 设置端口1～20为VLAN10的成员
【问题3】（4分）
1．在默认情况下，交换机刚加电启动时，每个端口都要经历生成树的四个阶段，它们分别是：阻塞、侦听、（6）学习、（7）转发。

2．根据需求，需要将Sw1交换机的端口1～20设置为快速端口，完成以下配置。

Swl（config）＃interface range fastethernet0／l - 20 进入组配置状态
Swl（config - if - range）＃（8）spanning-tree portfast 设置端口1～20为快速端口
【问题4】（4分）
该网络的Internet的接入如图5-1所示：
图5-1
根据图5-1，解释以下配置命令，填写空格（9）～（12）：
1．router （config）＃interface s0／0
2．router （config-if）＃ip address 61.235.1.l 255.255.255.252 （9）设置s0/0接口的ip地址为61.235.1.l，子网掩码为255.255.255.252
3．router （config）＃ip route 0.0.0.0 0.0.0.0 s0／0 （10）设置默认转发端口（即默认路由）为s0/0
4．router （config）＃ip route 192.168.0.0 255.255.255.0 f0／0 （11）设置发往网络192.168.0.0/24 的转发端口为f0/0
5．router（config）＃access-list 100 deny any any eq telnet （12）禁止所有telnet 通信
2007年上半年（防火墙的配置、交换机vlan配置、stp协议配置）
试题四（15分）
阅读下列有关网络防火墙的说明，回答问题1～4，将答案填入答题纸对应的解答栏。

【说明】
为了保障部网络的安全，某公司在Internet的连接处安装了PIX防火墙，其网络结构如图4-1所示。

【问题1】（4分）
完成下列命令行，对网络接口进行地址初始化配置：
firewall(config)#ip address inside （1）192.168.0.1（2）255.255.255.0 firewall(config)#ip address outside （3）61.144.51.42 （4）255.255.255.248【问题2】（3分）
阅读以下防火墙配置命令，为每条命令选择正确的解释。

firewall(config)#global (outside) 1 61.144.51.46 （5）A
firewall(config)#nat (inside) 1 0.0.0.0 0.0.0.0 （6）B
firewall(config)#static (inside, outside) 192.168.0.8 61.144.51.43 （7）D （5）A. 当网的主机访问外网时，将地址统一映射为61.144.51.46
B. 当外网的主机访问网时，将地址统一映射为61.144.51.46
C. 设定防火墙的全局地址为61.144.51.46
D. 设定交换机的全局地址为61.144.51.46
（6）A. 启用NAT，设定网的0.0.0.0主机可访问外网0.0.0.0主机
B. 启用NAT，设定网的所有主机均可访问外网
C. 对访问外网的网主机不作地址转换
D. 对访问外网的网主机进行任意的地址转换
（7）A. 地址为61.144.51.43的外网主机访问网时，地址静态转换为192.168.0.8
B. 地址为61.144.51.43的网主机访问外网时，地址静态转换为192.168.0.8
C. 地址为192.168.0.8的外网主机访问外网时，地址静态转换为61.144.51.43
D. 地址为192.168.0.8的网主机访问外网时，地址静态转换为61.144.51.43 【问题3】（4分）
管道命令的作用是允数据流从较低安全级别的接口流向较高安全级别的接口。

解释或完成以下配置命令。

firewall(config)#conduit permit tcp host 61.144.51.43 eq any （8）
firewall(config)# （9）conduit permit icmp any any 允icmp消息任意向通过防火墙
【问题4】（4分）
以下命令针对网络服务的端口配置，解释以下配置命令：
firewall(config)#fixup protocol http 8080 （10）启用http服务，并指定其端口为8080
firewall(config)#no fixup protocol ftp 21 （11）禁用ftp服务
试题五（15分）
阅读以下说明，回答问题1 至问题4，将解答填入答题纸对应的解答栏。

【说明】
图5-1 是VLAN 配置的结构示意图。

【问题1】（5分）
请阅读下列Switch A 的配置信息，并在（1）～（5）处解释该语句的作用。

Switch&>enable （进入特权模式）
Switch#config terminal （进入配置模式）
Switch(config)#hostname SwitchA （1）修改主机名为SwitchA SwitchA (config)#end
SwitchA #
SwitchA #vlan database （2）进入vlan配置子模式SwitchA (vlan)#vtp server （3）设置本交换机为VTP Server
模式
SwitchA (vlan)#vtp domain vtpserver （4）设置域名为vtpserver
SwitchA (vlan)#vtp pruning （5）启用vtp修剪功能
SwitchA (vlan)#exit （退出VLAN配置模式）
【问题2】（4分）
下面是交换机完成Trunk 的部分配置，请根据题目要求，完成下列配置。

SwitchA (config)#interface f0/3 （进入端口3配置模式）
SwitchA (config-if)#switchport (6)mode trunk（设置当前端口为Trunk模式）
SwitchA (config-if)# switchport trunk allowed (7) vlan all（设置允所有Vlan通过）
SwitchA (config-if)#exit
SwitchA (config)#exit
Switch#
【问题3】（4分）
下面是交换机完成端口配置的过程，请根据题目要求，完成下列配置。

Switch(config)#interface f0/7 （进入端口7的配置模式）
Switch(config-if)# (8)switchport mode access（设置端口为静态VLAN访问模式）
Switch(config-if)# (9)switchport access vlan 10（把端口7分配给VLAN10）Switch(config-if)#exit
Switch(config)#exit
【问题4】（2分）
下面是基于端口权值的负载均衡配置过程
SwitchA(config)#interface f0/2 （进入端口2配置模式）
SwitchA(config-if)# spanning-tree vlan 10 port-priority 10 （将VLAN10的端口权值设为10）
SwitchA(config-if)#exit
SwitchA(config)#interface f0/3 （进入端口3配置模式）
SwitchA(config-if)# spanning-tree vlan 20 port-priority 10 （将VLAN20的端口权值设为10）
Switch1(config-if)#end
Switch1#copy running-config startup-config（保存配置文件）
1．不同Trunk 上不同VLAN 的权值不同，在默认情况下，其权值为（10）128。

2．按照上述配置，Vlan20 的数据通过Switch A 的（11）f0/3 口发送和接收数据。

2007年下半年（路由器snmp配置、nat配置）
试题五（15分）
阅读以下说明，回答问题1至问题3，将解答填入答题纸对应的解答栏。

【说明】
如图5-1所示，某单位通过2M的DDN专线接入广域网，该单位网共分为三个子网。

服务器放置在子网192.168.5.0/24中，财务部工作站放置在子网192.168.10.0/24，销售部工作站放置在子网192.168.50.0/24。

该单位申请的公网IP地址为61.246.100.96/29。

图5-1
【问题1】（3分）
该单位的公网IP地址围是（1）61.246.100.96 到（2）61.246.100.103 ；其中该单
位能够使用的有效公网地址有（3）6 个。

【问题2】（6分）
为保证路由器的安全，网络管理员做了如下设置，请阅读下列三段路由配置信息，并在（4）～（6）处填写该段语句的作用。

1.Router(Config)#no ip http server （4）禁用Router 的http 服务，以提高安全性
2.Router(Config)#snmp-server community admin RW（5）设置admin 团体具有snmp 读写权限
3.Router(Config)#access-list 1 permit 192.168.5.1
Router(Config)#line con 0
Router(Config-line)#transport input none
Router(Config-line)#login local
Router(Config-line)#exec-timeout 5 0
Router(Config-line)#access-class 1 in （6）设置ACL，允192.168.5.1 进入（或访问）CON0
【问题3】（6分）
请参照图5-1，在路由器上完成销售部网段NAT的部分配置。

……
Router(config)#ip nat pool xiaoshou 61.246.100.99 61.246.100.99 netmask （7）255.255.255.248
！设置地址池
！
Router(config)#access-list 2 permit （8）192.168.50.0 （9）0.0.0.255！定义访问控制列表
！
Router(config)#ip nat inside source list 2 pool xiaoshou
！使用访问控制列表完成地址映射
2008年上半年（路由器ospf配置、防火墙配置、ACL配置、交换机vlan配置、hsrp热备份路由协议配置）
试题一（15分）
阅读以下说明，回答问题1至问题3，将解答填入答题纸对应的解答栏。

【说明】
某单位有1个总部和6个分部，各个部门都有自己的局域网。

该单位申请了6个C类IP地址202.115.10.0/24~202.115.15.0/24，其中总部与分部4共用一个C类地址。

现计划将这些部门用路由器互联，网络拓扑结构如图1-1所示。

【问题1】（4分）
该网络采用R1～R7共7台路由器，采用动态路由协议OSPF。

由图1-1可见，该网络共划分了3个OSPF区域，其主干区域为（1）Area 0，主干区域中，（2）R3为区域边界路由器，（3）R1,R2为区域路由器。

表1-1是该系统中路由器的IP地址分配表。

表1-1
请根据图1-1完成以下R3路由器的配置：
R3 (config)#interface e0/1（进入接口e0/1配置模式）
R3 (config-if)#ip address 202.115.13.254（4）255.255.255.0（设置IP地址和掩码）R3(config) # interface s0/0（进入串口配置模式）
R3(config-if) #ip address（5）10.0.2.2 255.255.255.0（设置IP地址和掩码）
R3(config) # interface s0/1
R3(config-if) #ip address（6）10.0.1.2 255.255.255.0
R3(config) # interface s0/2
R3(config-if) #ip address（7）10.0.8.2 255.255.255.0
R3(config) # interface s0/3
R3(config-if) #ip address（8）10.0.7.2255.255.255.0
R3(config) # interface s0/4
R3(config-if) #ip address（9）10.0.4.2 255.255.255.0
R3(config) # interface s0/5
R3(config-if) #ip address（10）10.0.5.2 255.255.255.0
该单位部门4共有110台PC机，通过交换机连接路由器R5接入网络。

其中一台PC机IP 地址为202.115.13.5，则其子网掩码应为（11）255.255.255.128，网关地址应为（12）202.115.13.1。

试题四（15分）
阅读以下说明，回答问题1至问题4，将解答填入答题纸对应的解答栏。

【说明】
某公司采用100M宽带接入Internet，公司部有15台PC机，要求都能够上网。

另外有2台服务器对外分别提供Web和E-mail服务，采用防火墙接入公网，拓扑结构如图4-1所示。

【问题1】（2分）
如果防火墙采用NAPT技术，则该单位至少需要申请（1）１个可用的公网地址。

【问题2】（3分）
下面是防火墙接口的配置命令：
fire(config)# ip address outside 202.134..98 255.255.255.252
fire(config)# ip address inside 192.168.46.1 255.255.255.0
fire(config)# ip address dmz 10.0.0.1 255.255.255.0
根据以上配置，写出图4-1中防火墙各个端口的IP地址：
e0：（2）192.168.46.1
e1：（3）202.134..98
e2：（4）10.0.0.1
【问题3】（4分）
1．ACL默认执行顺序是（5）（F）自下而上，在配置时要遵循（6）（B）最小特权原则、以最靠近受控对象原则、及默认丢弃原则。

（5）、（6）备选项
（A）最大特权（B）最小特权（C）随机选取
（D）自左到右（E）自上而下（F）自下而上
2．要禁止网中IP地址为198.168.46.8的PC机访问外网，正确的ACL规则是（7）D （A）access-list 1 permit ip 192.168.46.0 0.0.0.255 any
access-list 1 deny ip host 198.168.46.8 any
（B）access-list 1 permit ip host 198.168.46.8 any
access-list 1 deny ip 192.168.46.0 0.0.0.255 any
（C）access-list 1 deny ip 192.168.46.0 0.0.0.255 any
access-list 1 permit ip host 198.168.46.8 any
（D）access-list 1 deny ip host 198.168.46.8 any
access-list 1 permit ip 192.168.46.0 0.0.0.255 any
【问题4】（6分）
下面是在防火墙中的部分配置命令，请解释其含义：
global (outside) 1 202.134..98-202.134..100（8）指定外网口IP 地址围为202.134..98-202.134..100
conduit permit tcp host 202.134..99 eq any（9）允任意外网主机访问202.134..99 提供的WWW 服务
access-list 10 permit ip any any（10）允任意IP 数据包进出
试题五（15分）
阅读以下说明，回答问题1至问题3，将解答填入答题纸对应的解答栏。

【说明】
某公司租用了一段C类地址203.12.11.0/24～203.12.14.0/24，如图5-1所示。

其网间地址是172.11.5.14/24。

要求网所有PC都能上网。

【问题1】（8分）
接入层交换机Switch1的端口24为trunk口，其余各口属于vlan11，请解释下列命令并完成交换机的配置。

Switch1#config terminal
Switch1(config)#interface f0/24（进入端口24配置模式）
Switch1(config-if)# switchport mode trunk（1）设置端口为trunk模式
Switch1 (config-if)#switchport trunk encapsulation dotlq（2）设置Trunk 采用802.1q 格式（或dot1q）
Switch1(config-if)# switchport trunk allowed all（允所有VLAN从该端口交换数据）Switch1(config-if)#exit
Switch1(config)#exit
Switch1# vlan database
Switch1(vlan)# vlan 11 name lab01（3）创建vlan 11，并命名为lab01
Switch1(vlan)#exit
Switch1#config terminal
Switch1(config)#interface f0/9（进入f0/9的配置模式）
Switch1(config-if)#（4）switchport mode access（设置端口为接入链路模式）Switch1(config-if)#（5）switchport access vlan 11（把f0/9分配给VLAN11）Switch1(config-if)#exit
Switch1(config)#exit
【问题2】（3分）
以下两个配置中错误的是（6）B，原因是（7）trunk 采用ISL 格式时，vlan ID 最大为1023。

A．
Switch0 (config)#interface gigabitEthernet 0/3
Switch0 (config-if)#switchport mode trunk
Switch0 (config-if)#switchport trunk encapsulation dot1q
Switch0(config)#exit
Switch0# vlan database
Switch0(vlan)# vlan 2100 name lab02
B．
Switch0 (config)#interface gigabitEthernet 0/3
Switch0 (config-if)#switchport mode trunk
Switch0 (config-if)#switchport trunk encapsulation ISL
Switch0(config)#exit
Switch0# vlan database
Switch0(vlan)# vlan 2100 name lab02
【问题3】（4分）
Switch1的f0/24口接在Switch0的f0/2口上，请根据图5-1完成或解释以下Switch0的配置命令。

Switch0(config)# interface（8）vlan 11（进入虚子接口）
Switch0(config-if)# ip address 203.12.12.1 255.255.255.0（加IP地址）
Switch0(config-if)# no shutdown（9）开启端口
Switch0(config-if)# standby 1 ip 203.12.12.253（建HSRP组并设虚IP地址）Switch0(config-if)# standby 1 priority 110（10）配置该设备在HSRP组1中的优先级为110
设优先级
Switch0(config-if)# standby 1 preempt（11）开启HSRP的Active设备的抢占功能设切换可
注：
interface Vlan 101
ip address 10.23.101.2 255.255.255.0 给VLAN101配置地址
no ip redirects 关闭ICMP重定向
standby 101 ip 10.23.101.1 定义HSRP组101的虚拟地址为10.23.101.1
standby 101 priority 110 配置该设备在HSRP组101中的优先级为110，默认为100 standby 101 preempt 开启HSRP的Active设备的抢占功能，优先级高的为Active设备，低的为standby设备
2008年下半年（路由器rip配置以及基本配置）
试题一（15 分）
阅读以下说明，回答问题1至问题3，将解答填入答题纸对应的解答栏。

【说明】某校园网申请到了C类网络地址块202.115.0.0/24~202.115.3.0/24。

根据网络规划需求，网络中心、图书馆、教学实验楼以及行政办公楼的各个部门需划分到不同网段。

其中Web 服务器IP 地址为202.115.0.10，网络拓扑结构如图1-1所示。

图1-1
【问题1】（每空1分，共8分）
图1-2为RouterB上的路由表信息，写出查询路由表的命令：（1）show ip route。

该路由器上运行的路由协议为（2）rip。

行政办公楼部门A 所属网络地址是（3）202.115.3.0/26，部门D 所属网络地址是（4）202.115.3.64/26。

在主机D 上使用命令Tracert DNSServer，显示结果如图1-3所示：
图1-3
根据以上信息，完成主机D 的Internet协议属性配置：
主机D 的IP 地址：（5）202.115.3.130
主机D 的子网掩码：（6）255.255.255.192
域名服务器IP 地址：（7）202.115.0.2
主机D 的默认网关：（8）202.115.3.129
【问题2】（每空1分，共4分）
RouterA 上的路由表如图1-4所示，请在（9）~（12）空白处填写恰当的容。

(9) C(10) 202.115.0.0/24(11) R(12)202.115.3.0/24
【问题3】（3分）为了能够正常访问Internet ，RouterB 上配置默认路由的命令为：RouterB#（13）ip route 0.0.0.0 0.0.0.0 192.168.2.1
试题五（15分）
阅读以下说明，回答问题1和问题2，将解答填入答题纸对应的解答栏。

【说明】某单位部网络拓扑结构如图5-1所示，在该网络中采用RIP 路由协议。

【问题1】（每空1分，共5分）
路由器第一次设置时，必须通过Console口连接运行终端仿真软件的微机进行配置，此时终端仿真程序设置的波特率应为（1）9600 b/s。

路由器有多种配置模式，请根据以下命令提示状态，判断路由器处于种配置模式下。

Router(Config) # （2）全局配置模式
Router > （3）用户模式
Router # （4）特权模式
Router(Config-if) # （5）端口配置模式
【问题2】（每空1分，共10分）
以下是路由器R1的部分配置，请完成其配置，或解释配置命令含义。

!
R1(Config) #interface fastethernet0
R1(Config-if) #ip address （6）192.168.1.1（7）255.255.255.0
R1(Config-if) # （8）no shutdown （开启端口）
!
R1(Config) #interface serial 0
R1(Config-if) # ip address （9）192.168.251.1（10）255.255.255.0
！
R1(Config) # ip routing R1(Config) #router rip （11）进入rip配置模式
R1(Config-router) #（12）network 192.168.1.0 （声明网络）
R1(Config-router) #（13）network 192.168.253.0 （声明网络）
R1(Config-router) #（14）network 192.168.251.0 （声明网络）
R1(Config-router) #version 2 （15）使用RIPv2版本
2009年上半年（路由器单臂路由配置、静态路由配置、ipsec vpn、acl、策略路由配置、nat）
试题一（15分）
阅读以下说明，回答问题1至问题4，将解答填入答题纸对应的解答栏。

【说明】
某公司有1个总部和2个分部，各个部门都有自己的局域网。

该公司申请了4个C类IP地址块202.114.10.0/24~202.114.13.0/24。

公司各部门通过帧中继网络进行互联，网络拓扑结构如图1-1所示。

图1-1
【问题1】（4分）
请根据图1-1完成R0路由器的配置：
R0 (config)#interface s0/0 （进入串口配置模式）
R0 (config-if)# ip address 202.114.13.1 （1）255.255.255.0 （设置IP地址和掩码）
R0(config) # encapsulation （2）frame-relay （设置串口工作模式）
【问题2】（5分）
Switch0、Switch1、Switch2和Switch3均为二层交换机。

总部拥有的IP地址块为202.114.12.0/24。

Switch0的端口e0/24与路由器R2的端口e0/0相连，请根据图1-1路由器完成R2及Switch0的配置。

R2(config)#interface fastethernet 0/0.1
R2(config-subif)#encapsulation dot1q （3）100
R2(config-subif)#ip address 202.114.12.1 255.255.255.192
R2(config-subif)#no shutdown
R2(config-subif)#exit
R2(config)#interface fastethernet 0/0.2
R2(config-subif)#encapsulation dot1q （4）200
R2(config-subif)#ip address 202.114.12.65 255.255.255.192
R2(config-subif)#no shutdown
R2(config-subif)#exit
R2(config)#interface fastethernet 0/0.3
R2(config-subif)#encapsulation dot1q （5）300
R2(config-subif)#ip address 202.114.12.129 255.255.255.192
R2(config-subif)#no shutdown
R2(config-subif)#exit
R2(config)#interface fastethernet 0/0
R2(config-if)#no shutdown
Switch0(config)#interface f0/24
Switch0(config-if)# switchport mode （6）trunk
Switch0 (config-if)#switchport trunk encapsulation （7）dot1q
Switch0(config-if)# switchport trunk allowed all
Switch0(config-if)#exit
【问题3】（3分）
若主机A与Switch1的e0/2端口相连，请完成Switch1相应端口设置。

Switch1(config)#interface e0/2
Switch1(config-if)# （8）switchport mode access （设置端口为接入链路模式）
Switch1(config-if)# （9）switchport access vlan 100 （把e0/2分配给VLAN 100）
Switch1(config-if)#exit
若主机A与主机D通信，请填写主机A与D之间的数据转发顺序。

主机A→（10）B→主机D。

（10）备选答案
A．Switch1→Switch0→R2(s0/0)→Switch0→Switch2
B．Switch1→Switch0→R2(e0/0)→Switch0→Switch2
C．Switch1→Switch0→R2(e0/0)→R2(s0/0)→R2(e0/0)→Switch0→Switch2
D．Switch1→Switch0→Switch2
【问题4】（3分）
为了部门A中用户能够访问服务器Server1，请在R0上配置一条特定主机路由。

R0(config)#ip route 202.114.10.253 （11）255.255.255.255（12）202.114.13.2
试题四（共15分）
阅读以下说明，回答问题1至问题4，将解答填入答题纸对应的解答栏。

【说明】
某公司总部和分支机构的网络配置如图4-1所示。

在路由器R1和R2上配置IPSec安全策略，实现分支机构和总部的安全通信。

图4-1
【问题1】（4分）
图4-2中（a）、（b）、（c）、（d）为不同类型IPSec数据包的示意图，其中（1）c 和（2）d工作在隧道模式；（3） b 和（4）d 支持报文加密。

图4-2
【问题2】（4分）
下面的命令在路由器R1中建立IKE策略，请补充完成命令或说明命令的含义。

R1(config)# crypto isakmp policy 110 进入ISAKMP配置模式
R1(config-isakmp)# encryption des （5）使用des加密算法
R1(config-isakmp)# （6）hash md5 采用MD5散列算法
R1(config-isakmp)# authentication pre-share （7）使用预共享密钥认证式R1(config-isakmp)# group 1
R1(config-isakmp)# lifetime （8）86400 安全关联生存期为1天
【问题3】（4分）
R2与R1之间采用预共享密钥“12345678”建立IPSec安全关联，请完成下面配置命令。

R1(config)# crypt isakmp key 12345678 address （9）172.30.2.2
R2(config)# crypt isakmp key 12345678 address （10）172.30.1.2
【问题4】（3分）
完成以下ACL配置，实现总部主机10.0.1.3和分支机构主机10.0.2.3的通信。

R1(config)# access-list 110 permit ip host （11）10.0.1.3 host （12）10.0.2.3 R2(config)# access-list 110 permit ip host （13）10.0.2.3 host 10.0.1.3
试题五（共15分）
阅读以下说明，回答问题1至问题3，将解答填入答题纸对应的解答栏。

【说明】
某单位采用双出口网络，其网络拓扑结构如图5-1所示。

图5-1
该单位根据实际需要，配置网络出口实现如下功能：
1．单位网用户访问IP地址158.124.0.0/15和158..208.0/20时，出口经ISP2；
2．单位网用户访问其他IP地址时，出口经ISP1；
3．服务器通过ISP2线路为外部提供服务。

【问题1】（5分）
在该单位的三层交换机S1上，根据上述要求完成静态路由配置。

ip route （1）0.0.0.0 0.0.0.0 10.10.10.1（设置默认路由）
ip route 158.124.0.0 （2）255.254.0.0 （3）10.10.20.1（设置静态路由）ip route 158..208.0 （4）255.255.240.0 （5）10.10.20.1（设置静态路由）
【问题2】（6分）
1．根据上述要求，在三层交换机S1上配置了两组ACL，请根据题目要求完成以下配置。

access -list 10 permit ip host 10.10.30.1 any
access -list 10 permit ip host （6）10.10.30.2 any
access -list 12 permit ip any 158.124.0.0 （7）0.1.255.255
access -list 12 permit ip any 158..208.0 （8）0.0.15.255
access –list 12 deny ip any any
2．完成以下策略路由的配置。

route-map test permit 10
（9）match ip address 10
（10）set ip next-hop （11）10.10.20.1
【问题3】（4分）
以下是路由器R1的部分配置。

请完成配置命令。

R1(config)#interface fastethernet0/0
R1(config-if)#ip address （12）10.10.10.1 （13）255.255.255.0
R1(config-if)ip nat inside
……
R1(config)#interface fastethernet0/1
R1(config-if)#ip address （14）55.23.12.98（15）255.255.255.252
R1(config-if)ip nat outside
……
2009年下半年（防火墙配置、路由器ipsec vpn配置）试题四（共15分）
阅读以下说明，回答问题1至问题4，将解答填入答题纸对应的解答栏。

【说明】
某公司通过PIX防火墙接入Internet，网络拓扑如图4-1所示。

图4-1
在防火墙上利用show命令查询当前配置信息如下：
PIX# show config
…
nameif eth0 outside security 0
nameif eth1 inside security 100
nameif eth2 dmz security 40
…
fixup protocol ftp 21 （1）启用ftp服务
fixup protocol http 80
…
ip address outside 61.144.51.42 255.255.255.248
ip address inside 192.168.0.1 255.255.255.0
ip address dmz 10.10.0.1 255.255.255.0
…
global(outside) 1 61.144.51.46
nat(inside) 1 0.0.0.0 0.0.0.0
…
route outside 0.0.0.0 0.0.0.0 61.144.51.45 1 （2）设置eth0口的默认路由，指向61.144.51.45，且跳步数为1
…
【问题1】（4分）
解析（1）、（2）处画线语句的含义。

【问题2】（6分）
根据配置信息，在填充表4-1。

表4-1
（3）192.168.0.1 （4）255.255.255.248
（5）eth2 （6）10.10.0.1
【问题3】（2分）
根据所显示的配置信息，由inside域发往Internet的IP分组，在到达路由器R1时的源IP地址是（7）61.144.51.46。

【问题4】（3分）
如果需要在DMZ域的服务器（IP地址为10.10.0.100）对Internet用户提供web服务（对外公开IP地址为61.144.51.43），请补充完成下列配置命令。

PIX(config)# static(dmz, outside) （8）61.144.51.43（9）10.10.0.100 PIX(config)# conduit permit tcp host （10）61.144.51.43 eq any
试题五（共15分）
阅读以下说明，回答问题1至问题3，将解答填入答题纸对应的解答栏。

【说明】
某单位网络拓扑结构如图5-1所示，要求配置IPSec VPN使10.10.20.1/24网段能够连通10.10.10.2/24网段，但10.10.30.1/24网段不能连通10.10.10.2/24网段。

图5-1
【问题1】（4分）
根据网络拓扑和要求，解释并完成路由器R1上的部分配置。

R1(config)# crypto isakmp enable （启用IKE）
R1(config)# crypto isakmp （1）policy 20 （配置IKE策略20）
R1(config-isakmp)# authentication pre-share （2）使用预共享认证式
R1(config-isakmp)# exit
R1(config)# crypto isakmp key 378 address 192.168.2.2 （配置预共享密钥为378）R1(config)# access-list 101 permit ip （3）10.10.20.0 0.0.0.255 （4）
10.10.10.0 0.0.0.255
（设置ACL）
……
【问题2】（4分）
根据网络拓扑和要求，完成路由器R2上的静态路由配置。

R2(config)# ip route （5）10.10.20.0 255.255.255.0 192.168.1.1
R2(config)# ip route 10.10.30.0 255.255.255.0 （6）192.168.1.1
R2(config)# ip route 10.10.10.0 255.255.255.0 192.168.2.2
【问题3】（空（9）1分，其他2分，共7分）
根据网络拓扑和R1的配置，解释并完成路由器R3的部分配置。

……
R3(config)# crypto isakmp key （7）378address （8）192.168.1.1
R3(config)# crypto transform-set testvpn ah-md5-hmac esp-des
esp-md5-hmac （9）设置名为testvpn的VPN，采用MD5认证、DES进行数据加密
R3(cfg-crypto-trans)# exit
R3(config)# crypto map test 20 ipsec-isakmp
R3(config-crypto-map)# set peer 192.168.1.1
R3(config-crypto-map)# set transform-set （10）testvpn
……
2010年上半年（路由器isatap协议的配置、ospf配置）试题五（共15分）
阅读以下说明，回答问题1至问题4，将解答填入答题纸对应的解答栏。

【说明】
某单位网络部部署有IPv4主机和IPv6主机，该单位计划采用ISATAP隧道技术实现两类主机的通信，其网络拓扑结构如图5-1所示，路由器R1、R2、R3通过串口经IPv4网络连接，路由器R1连接IPv4网络，路由器R3连接IPv6网段。

通过ISATAP隧道将IPv6的数据包封装到IPv4的数据包中，实现PC1和PC2的数据传输。

图5-1
【问题1】（2分）
双栈主机使用ISATAP隧道时，IPv6报文的目的地址和隧道接口的IPv6地址都要采用特殊的ISATAP地址。

在ISATAP地址中，前64位是向ISATAP路由器发送请求得到的，后64位中由两部分构成，其中前32位是（1）A，后32位是（2）C。

（1）备选答案：
A．0:5EFE B．5EFE:0 C．FFFF:FFFF D．0:0
（2）备选答案：
A．IPv4广播地址 B．IPv4组播地址 C．IPv4单播地址
【问题2】（6分）
根据网络拓扑和需求说明，完成路由器R1的配置。

R1(config)# interface Serial 1/0
R1(config-if)# ip address （3）192.1.1.1 255.255.255.0 (设置串口地址) R1(config-if)#no shutdown (开启串口)
R1(config)# interface FastEtherne0/0
R1(config-if)#ip address （4）192.0.0.1 255.255.255.0 (设置以太口地址)
R1(config-if)#exit
R1(config)#router ospf 1
R1(config-router)#network 192.0.0.1 （5） 0.0.0.255 area 0
R1(config-router)#network 192.1.1.1 （6）0.0.0.255 area 0
【问题3】（6分）
根据网络拓扑和需求说明，解释路由器R3的ISATAP隧道地址。

……
R3(config)#interface tunnel 0 （7）进入端口tunnel 0的配置模式
R3(config-if)# ipv6 address 2001:DA8:8000:3::/64 eui-64 为tunnel配置IPV6
地址
R3(config-if)#no ipv6 nd suppress-ra 启用了隧道口的路由器广播
R1(config-if)#tunnel source s1/0 （8）设置隧道入口为s1/0 R1(config-if)#tunnel mode ipv6ip isatap （9）设置采用ISATAP隧道技术进行IP地址转换
【问题4】（1分）
实现ISATAP。

需要在PC1进行配置，请完成下面的命令。

C:/>netsh interface ipv6 isatap set router （10）192.2.2.1 ! 在pc1上设置isatap路由器的地址
2010年下半年（路由器ipv6-over-ipv4 GRE配置）
试题五（共15分）
阅读以下说明，回答问题1至问题4,将解答填入答题纸对应的解答栏。

【说明】
某单位的两个分支机构各有1台采用IM的主机，计划采用IPv6-over-IPv4 GRE隧道技术实现两个分支机构的IM主机通信，其网络拓扑结构如图5-1所示。

【问题1】（2分）
使用IPv6-over-IPv4 GRE隧道技术，可在IPv4的GRE隧道上承载IM数据报文。

此时（1）IPV6作为乘客协议，（2）IPV4作为承载协议。

【问题2】（6分）
根据网络拓扑和需求说明，完成（或解释）路由器R1的配置。

Router(config)# ipv6 unicast-routing （3）启动IPv6单播路由配置
Rl(config)# interface Serial 1/0
R1(config-if)# （4）ip address （5）200.100.1.1（6）255.255. 255.0 （设置串口地址）
R1(config-if)#no shutdown（开启串口）
R1(config)#interface FastEthemet0/0
R1(config-if)# （7）ipv6address （8）2000:2fcc::1/64（设置以太口地址）
R1(config-if)#exit
【问题3】（6分）
根据网络拓扑和需求说明，解释路由器R2的GRE隧道配置。

……
R2(config)#interface tunnel 0 （启用tunnel 0 ）
R2(config-if)#tunnel source sl/0 （9）设置tunnel0的源端口为s1/0
R2(config-if)#tunnel destination 200.100.1.1 （10）设置隧道目标地址为200.100.1.1
R2(config-if)#ipv6 address 2000：2fcc：：2/64（为tunnel配置IM地址）
R2(config-if)#tunnel mode gre ipv6 （11）设置IPv6隧道封装模式为GRE
【问题4】（1分）
IPv6主机PC1的IP地址为2000:2fcc::2/64,在这种配置环境下，其网关地址应为（12）2000:2fcc::1/64。

2011年上半年（路由器默认路由的配置、ipsec vpn的配置、rip配置、acl配置）
试题四（共15分）
阅读以下说明，回答问题1至问题5，将解答填入答题纸对应的解答栏。

【说明】
某公司两分支机构之间的网络配置如图4-1所示，为保护通信安全，在路由器router-a和router-b上配置IPSec安全策略，对192.168.8.0/24网段和192.168.9.0/24网段之间数据进行加密处理。

图4-1
【问题1】（3分）
为建立两个分支机构之间的通信，请完成下面的路由配置命令。

Router-a(config)#ip router 0.0.0.0 0.0.0.0 （1）
201.18.8.254/201.18.8.1
Router-b(config)#ip router 0.0.0.0 0.0.0.0 （2）
203.25.25.254/203.25.25.1
【问题2】（3分）
下面的命令是在路由器router-a中配置IPSec隧道。

请完成下面的隧道配置命令。

router-a(config)# crypto tunnel tun1 （设置IPSec隧道名称为tun1）router-a(config-tunnel)# peer address （3）201.18.8.1 （设置隧道对端IP地址）
router-a(config-tunnel)# local address （4）203.25.25.1 （设置隧道本端IP地址）
router-a(config-tunnel)# set auto-up （设置为自动协商）
router-a(config-tunnel)# exit （退出隧道设置）
【问题3】（3分）
router-a与router-b之间采用预共享密钥“12345678”建立IPSec安全关联，请完成下面配置命令
router-a(config)# crypt ike key 123456789 address （5）201.18.8.1 router-b(config)# crypt ike key 123456789 address （6）
203.25.25.1
【问题4】（3分）
下面的命令在路由器router-a中配置了相应的IPSec策略，请说明该策略的含义。

Router-a(config)# crypto policy p1
Router-a(config-policy)# flow 192.168.8.0 255.255.255.0 192.168.9.0 255.255.255.0 ip tunnel tun1。