2014軟考網(wǎng)絡工程師復習資料及習題

為大家收集整理了《2014軟考網(wǎng)絡工程師復習資料及習題》供大家參考，希望對大家有所幫助?。?！
    【問題1】nat可以分為靜態(tài)地址轉換、動態(tài)地址轉換、復用動態(tài)地址轉換三種方式。
    【問題2】
     current configuration：
     version 11.3
     no service password-encryption
     hostname 2501 //路由器名稱為2501
     ip nat pool aaa 192.1.1.2 192.1.1.10 netmask 255.255.255.0 //內(nèi)部合法地址池名稱為aaa，地址范圍為192.1.1.2~192.1.1.10，子網(wǎng)掩碼為255.255.255.0
     ip nat inside source list 1 pool aaa //將由access-list 1指定的內(nèi)部本地地址與指定的內(nèi)部合法地址池aaa進行地址轉換。
     interface ethernet0
     ip address 10.1.1.1 255.255.255.0
     ip nat inside //指定與內(nèi)部網(wǎng)絡相連的內(nèi)部端口為ethernet0
     interface serial0
     ip address 192.1.1.1 255.255.255.0
     ip nat outside
     no ip mroute-cache
     bandwidth 2000 //帶寬為2m
     no fair-queue
     clockrate 2000000
     interface serial1
     no ip address
     shutdown
     no ip classless
     ip route 0.0.0.0 0.0.0.0 serial0 //指定靜態(tài)缺省路由指向serial0
     access-list 1 permit 10.1.1.0 0.0.0.255 //定義一個標準的access-list 1以允許10.1.1.0 網(wǎng)段，子網(wǎng)掩碼的反碼為0.0.0.255的內(nèi)部地址可以進行動態(tài)地址轉換
     line con 0
     line aux 0
     line vty 0 4
     password cisco
     end
    【問題3】此配置中nat采用了動態(tài)地址轉換。
    習題二：
    【問題1】路由器router1和router2的s0口均封裝ppp協(xié)議，采用chap做認證，在router1中應建立一個用戶，以對端路由器主機名作為用戶名，即用戶名應為router2。同時在router2中應建立一個用戶，以對端路由器主機名作為用戶名，即用戶名應為router1。所建的這兩用戶的password必須相同。
    【問題2】
     router1:
     hostname router1 //路由器名為router1
     username router2 password xxx //建立一用戶，用戶名為router2,口令為xxx
     interface serial0
     ip address 192.200.10.1 255.255.255.0
     encapsulation ppp //設置ppp封裝
     clockrate 1000000
     ppp authentication chap //設置ppp認證方法為chap
     !
     router2:
     hostname router2 　　username router1 password xxx
     interface serial0
     ip address 192.200.10.2 255.255.255.0
     encapsulation ppp
     ppp authentication chap
    【問題1】
     x.25網(wǎng)絡設備分為數(shù)據(jù)終端設備（dte）、數(shù)據(jù)電路終端設備（dce）及分組交換設備（pse）。
    【問題2】
     router1:
     interface serial0
     encapsulation x25 //設置x.25封裝
     ip address 192.200.10.1 255.255.255.0 // 設置serial0口ip地址為192.200.10.1，子網(wǎng)掩碼為255.255.255.0
     x25 address 110101 //設置x.121地址為110101
     x25 htc 16 //設置的雙向虛電路數(shù)為16
     x25 nvc 2 //設置一次連接可同時建立的虛電路數(shù)為2
     x25 map ip 192.200.10.2 110102 broadcast //設置ip地址與x..121地址映射。對方路由器地址為192.200.10.2,對方的x.121地址為110102，并且允許在x..25線路上傳送路由廣播信息
     x25 map ip 192.200.10.3 110103 broadcast
     !
    習題四：
    【問題1】ce1的傳輸線路的帶寬是2048ｋ，它和e1的區(qū)別主要在于：e1不能劃分時隙，ce1能劃分時隙。ce1的每個時隙是64k，一共有３２個時隙，在使用的時候，可以劃分為n*64k，例如：128k,256k等等。ce1的0和15時隙是不用來傳輸用戶的數(shù)據(jù)流量,0時隙是傳送同步號,15時隙傳送控制信令,這樣實際能用的只有30個時隙,所以在具體配置ce1劃分時隙時，要注意些了。ce1 和e1 也可以互聯(lián)，但是ce1必須當e1來使用，即不可分時隙使用。 因為ce1比較靈活，所以我們能常常碰到ce1。
    【問題2】
     current configuration:
     !
     version 11.2
     no service udp-small-servers
     no service tcp-small-servers
     !
     hostname router1
     !
     enable secret 5 $1$xn08$ttr8nflop9.2rgzhcbzkk/
     enable password cisco
     !
     !
     ip subnet-zero
     !
     controller e1 0
     framing no-crc4 //幀類型為no-crc4
     channel-group 0 timeslots 1 //建立邏輯通道組0與時隙1的映射
     channel-group 1 timeslots 2 //建立邏輯通道組1與時隙2的映射
     channel-group 2 timeslots 3 //建立邏輯通道組2與時隙3的映射
     !
     interface ethernet0
     ip address 133.118.40.1 255.255.0.0
     media-type 10baset
     !
     interface ethernet1
     no ip address
     shutdown
     !
     interface serial0:0 //邏輯接口serial0:0
     ip address 202.119.96.1 255.255.255.252
     encapsulation hdlc
     no ip mroute-cache
     !
     interface serial0:1
     ip address 202.119.96.5 255.255.255.252
     encapsulation hdlc
     no ip mroute-cache
     nterface serial0:2
     ip address 202.119.96.9 255.255.255.252
     encapsulation hdlc
     no ip mroute-cache
     !
     no ip classless
     ip route 133.210.40.0 255.255.255.0 serial0:0
     ip route 133.210.41.0 255.255.255.0 serial0:1
     ip route 133.210.42.0 255.255.255.0 serial0:2
     !
     line con 0
     line aux 0
     line vty 0 4
     password cicso
     login
     !
     end
    習題五：
    問題l：“console”端口是虛擬操作臺端口，安裝維護人員通過直接連接該端口實施設備配置。
     “aux”端口是用于遠程調(diào)試的端口，一般連接在 modem 上，設備安裝維護人員通過遠程撥號進行設備連接，實施設備的配置。
    問題2：連接參數(shù)如下：速率 9600bps、數(shù)據(jù)位 8 位、奇偶檢驗無、停止位 2 位。
    問題3：配置命令的含義如下：
     (1) 配置 ras 的撥號用戶網(wǎng)絡配置信息。 <注1>
     包括用戶默認子網(wǎng)屏蔽碼、默認網(wǎng)關、默認 dns 。
     當用戶撥入時，服務器自動將配置信息傳遞給用戶。
     (2) 設定第一組異步口的用戶 ip 地址自動分配。
     設置自動分配的 ip 地址來自于 ip 地址池 pool25090 <注2>
     (3) 配置路由協(xié)議 rip。
     指定設備直接連接到網(wǎng)絡 202.112.77.0 與 202.112.79.0 。
     (4) 設置來自 202.112.77.0 網(wǎng)段的用戶可以訪問撥號服務器。
     配置用戶登陸口令。
    【問題1】
     ipsec實現(xiàn)的*主要有下面四個配置部分。
     1、 為ipsec做準備
    為ipsec做準備涉及到確定詳細的加密策略，包括確定我們要保護的主機和網(wǎng)絡，選擇一種認證方法，確定有關ipsec對等體的詳細信息，確定我們所需的ipsec特性，并確認現(xiàn)有的訪問控制列表允許ipsec數(shù)據(jù)通過。
    步驟1：根據(jù)對等體的數(shù)量和位置在ipsec對等體間確定一個ike(ike階段1或者主模式)策略；
    步驟2：確定ipsec(ike階段2，或快捷模式)策略，包括ipsec對等體的細節(jié)信息，例如ip地址及ipsec變換集和模式；
    步驟3：用“write terminal”、“show isakmp”、“show isakmp policy”、“show crypto map”命令及其它的show命令來檢查當前的配置；
    步驟4：確認在沒有使用加密前網(wǎng)絡能夠正常工作，用ping命令并在加密前運行測試數(shù)據(jù)來排除基本的路由故障；
    步驟5：確認在邊界路由器和防火墻中已有的訪問控制列表允許ipsec數(shù)據(jù)流通過，或者想要的數(shù)據(jù)流將可以被過濾出來。
     2、 配置ike
    配置ike涉及到啟用ike（和isakmp是同義詞），創(chuàng)建ike策略，驗證我們的配置。
    步驟1：用isakmp enable命令來啟用或關閉ike；
    步驟2：用isakmp policy命令創(chuàng)建ike策略；
    步驟3：用isakmp key命令和相關命令來配置預共享密鑰；
    步驟4：用show isakmp[policy]命令來驗證ike的配置。
     3、 配置ipsec
     ipsec配置包括創(chuàng)建加密用訪問控制列表、定義變換集、創(chuàng)建加密圖條目、并將加密集應用到接口上去。
    步驟1：用access-list命令來配置加密用訪問控制列表：
    例如：
     access-list acl-name {permit|deny} protocol src_addr src_mask [operator port [port]] dest_addr des_mask [operator port [port]]
    步驟2：用cryto ipsec transform-set命令配置交換集；
    例如：
     crypto ipsec transformp-set transform-set-name transform1 [transform2 [transform3]]
    步驟3：（任選）用crypto ipsec security-accociation lifetime命令來配置全局性的ipsec安全關聯(lián)的生存期；
    步驟4：用crypto map命令來配置加密圖；
    步驟5：用interface命令和crypto map map-name interface應用到接口上；
    步驟6：用各種可用的show命令來驗證ipsec的配置。
     4、 測試和驗證ipsec
    該任務涉及到使用“show”、“debug”和相關的命令來測試和驗證ipsec加密工作是否正常，并為之排除故障。
    注：此類題目要求答出主要步驟即可。
    【問題】
     crypto isakmp policy 1 //配置ike策略1
     authentication pre-share //ike策略1的驗證方法設為pre_share
     group 2 //加密算法未設置則取默認值:des
     crypto isakmp key test123 address 202.96.1.2 //設置pre-share密鑰為test123，此值兩端需一致
     crypto ipsec transform-set *tag ah-md5-hmac esp-des //設置ah散列算法為md5，esp加密算法為des
     crypto map *demp 10 ipsec-isakmp //定義crypto map
     set peer 202.96.1.2 //設置隧道對端ip地址
     set transform-set *tag //設置隧道ah及esp
     match address 101
     !
     interface tunnel0 //定義隧道接口
     ip address 192.168.1.1 255.255.255.0 //隧道端口ip地址
     no ip directed-broadcast
     tunnel source 202.96.1.1 //隧道源端地址
     tunnel destination 202.96.1.2 //隧道目標端地址
     crypto map *demo //應用*demo于此接口
     interface serial0/0
     ip address 202.96.1.1 255.255.255.252 //串口的internet ip地址
     no ip directed-broadcast
     crypto map *demo //應用*demo于此端口
     !
     interface ethernet0/1
     ip address 168.1.1.1 255.255.255.0 //外部端口ip地址
     no ip directed-broadcast
     interface ethernet0/0
     ip address 172.22.1.100 255.255.255.0 //內(nèi)部端口ip地址
     no ip directed-broadcast
     !
     ip classless
     ip route 0.0.0.0 0.0.0.0 202.96.1.2 //默認靜態(tài)路由
     ip route 172.22.2.0 255.255.0.0 192.168.1.2 //到內(nèi)網(wǎng)靜態(tài)路由（經(jīng)過隧道）
     access-lost 101 permit gre host 202.96.1.1 host 202.96.1.2 //定義訪問控制列表
    【問題1】
     訪問列表能夠幫助控制網(wǎng)上ip包的傳輸，主要用在以下幾個方面：
     1、控制一個端口的包傳輸
     2、控制虛擬終端訪問數(shù)量
     3、限制路由更新的內(nèi)容
     【問題2】
     •標準ip訪問列表
     –檢查源地址
     –通常允許、拒絕的是完整的協(xié)議
     •擴展ip訪問列表
     –檢查源地址和目的地址
     –通常允許、拒絕的是某個特定的協(xié)議
     【問題3】
     在此例中所有的ip數(shù)據(jù)包將全部不能從serial 0端口發(fā)送出去。
     原因：在默認情況下，除非明確規(guī)定允許通過，訪問列表總是阻止或拒絕一切數(shù)據(jù)包的通過，即實際上在每個訪問列表的最后，都隱含有一條"deny any"的語句。
     假設我們使用了前面創(chuàng)建的標準ip訪問列表，從路由器的角度來看，這條語句實際內(nèi)容如下：
     access-list 1 deny 172.16.4.13 0.0.0.0
     access-list 1 deny any
     因此我們應將配置改為：
     access-list 1 deny 172.16.4.13 0.0.0.0
     access-list 1 permit any
     interface serial 0
     ip access-group 1 out
    •des加密算法中，函數(shù)f的輸出是（1）位。des算法是分組密碼，數(shù)據(jù)分組長度是（2）位。用軟件方法實現(xiàn)des一般至少比rsa快100倍。des通過（3）方法產(chǎn)生密文。
     1．a(chǎn)．8 b．16 c．32 d．64
     2．a(chǎn)．8 b．16 c．32 d．64
     3．a(chǎn)．累加 b．迭代 c．邏輯與 d．異或
    提醒：復習中des、ides、md5、sha的輸入數(shù)據(jù)長度、輸出長度等數(shù)據(jù)考前應記住。
     使用什么方法（算法）或利用什么原理實現(xiàn)加密。
     •rsa屬于（4）加密方法。rsa的一個知名應用是用在（5）。
     4．a(chǎn)．非對稱 b．對稱 c．流密碼 d．密鑰
     5．a(chǎn)．公鑰加密 b．ssl c．私鑰加密 d．對稱加密
    提醒：傳統(tǒng)密碼的特點、公開鑰密碼系統(tǒng)的特點希望考生自己看一看。
     • 為了防范主動攻擊，數(shù)據(jù)發(fā)送方在發(fā)送端將可變長的報文經(jīng)過報文摘要算法運算后產(chǎn)生固定長度的報文摘要，然后對報文摘要進行加密，把加密后的報文摘要和報文一起發(fā)送；接收方先對報文摘要解密，再對接收的報文進行運算，產(chǎn)生報文摘要，然后把接收的報文摘要和新產(chǎn)生的報文摘要進行比較，以驗證接收的報文是否被篡改。使用報文摘要的優(yōu)點是僅對短的定長報文摘要進行加密，這樣比對整個報文加密簡單，但是對于報文鑒別（認證）來說效果是一樣的。
     •報文摘要用于（6）。
     6．a(chǎn)．報文鑒別 b．報文加密 c．報文解密 d．郵件傳送
     •數(shù)字簽名一般用（7）算法實現(xiàn)。數(shù)字簽名用（8）對數(shù)字簽名進行加密。
     7．a(chǎn)．對稱 b．非對稱 c．des d．ides
     8．a(chǎn)．des b．ides c．私鑰 d．公鑰
    提醒：數(shù)字證書用什么算法實現(xiàn)？用公鑰加密，用私鑰解密。
     •數(shù)字證書由ca發(fā)放，用（9）來識別證書。
     9．a(chǎn)．私鑰 b．公鑰 c．sra d．序列號
     •實時通信中密鑰分發(fā)多采用（10）分發(fā)。pki適用（11）。
     10．a(chǎn)．動態(tài) b．靜態(tài) c．批量 d．點對點