软件水平考试(中级)网络工程师上午(基础知识)试题章节练习试
卷11 (题后含答案及解析)
题型有:1. 选择题 2. 主观题
选择题(每小题1分,共75分)下列各题A、B、C、D四个选项中,只有一个选项是正确的,请将此选项涂写在答题卡相应位置上,答在试卷上不得分。
1. 数字签名(Digital Signature):即是只有信息发送者使用公开密钥算法的主要技术产生的别人无法伪造的一段数字串。下列各项中,(1)是数字签名不能保证的。
A.接收者能够核实发送者对报文的签名 B.发送者事后不能抵赖对报文的签名 C.接收者者不能伪造对报文的签名
D.发送者能够保证只有接收者才能打开报文
正确答案:D
解析:数字签名(Digital Signature):即是只有信息发送者使用公开密钥算法的主要技术产生的别人无法伪造的一段数字串。发送者用自己的私有密钥加密数据传给接收者,接收者用发送者的公钥解开数据后,就可确定消息来自于谁,同时也是对发送者发送的信息的真实性的一个证明发送者对所发信息不能抵赖。
2. 现在具有加密/解密功能的路由器使人们通过互联网连接这些局域网成为可能,这就是我们通常所说的虚拟专用网(Virtual Private Network,VPN),下列各项属于VPN所采用的加密手段的是(7)。
A.具有加密功能的防火墙 B.单独的加密设备
C.具有加密功能的路由器
D.VPN内的各台主机对各自的信息进行相应的加密
正确答案:D
解析:现在具有加密/解密功能的路由器使人们通过互联网连接这些局域网成为可能,这就是我们通常所说的虚拟专用网(Virtual Private Network,VPN)。当数据离开发送者所在的局域网时,该数据首先被用户端连接到互联网上的路由器进行硬件加密,数据在互联网上是以加密的形式传送的,当达到目的LAN的路由器时,该路由器就会对数据进行解密,这样目的IAN中的用户就可以看到真正的信息了。
3. Internet的防火墙一般建立在网络的(18)。 A.内部子网之间传送信息的中枢 B.内部网与外部网的交叉点
C.部分内部网络和外部网络的结合点 D.每个子网的内部
正确答案:B
解析:防火墙是一种充当网络与外部世界之间保护屏障的安全系统。
4. Kerberos是一种对服务请求进行认证的方法,下列(19)不是Kerberos的设计目标。
A.授权 B.加密 C.认证 D.记账
正确答案:B
解析:Kerberos是一种对服务请求进行认证的方法。Kerberos主要由MIT的Athena Project进行开发,它的名字取自一个希腊神话,Kerberos,是一个三个头的狗保护着Hades的大门。Kerberos要求用户请求一个从认证进程获得的“ticket”,使用这个东西可以向服务器获得相应的服务。这样一来,用户的口令不必在网络上传输。对于它的实现,你可以从MIT的网站上下载,也可以花点钱买一个商业产品。
5. (20)可用来保密个人信息。 A.确保密码保密和安全
B.确保该站点使用加密技术通过Internet发送这些信息 C.阅读每个站点上的“隐私策略” D.A、B和C
正确答案:D
6. 以下选项中,(41)是最不安全的身份认证方案。 A.用户发送口令,由通信对方指定共享密钥 B.用户发送口令,由智能卡产生解密密钥 C.用户从KDC获取会话密钥 D.用户从CA获取数字证书
正确答案:A 解析:本题考查了网络安全方面的知识:在分布式环境中实现身份认证可以有多种方案,用户发送口令,由通信对方指定共享密钥是最不安全的身份认证方案式。
7. SSL(安全套接字层)通常使用下面哪个TCP端口(42)。 A.110 B.1433 C.443
D.520
正确答案:C
解析:本题主要考查了SSL的端口知识。安全套接字层(SSL)协议基于公钥加密技术在客户端和服务器之间提供加密的和经过验证的通信。为了发送加密的消息,发送者会使用接收者的公钥对该消息进行加密,接收者再使用接收者的私钥对该消息进行解密。只有具有私钥的接收者才能对消息进行解密。SSL通常使用的TCP端口是443。
8. 下列协议中,属于第三层NPN协议的是(46)。 A.TCP B.IPsec C.PPOE D.SSL
正确答案:B
解析:上述协议中,TCP工作于第二层;IPsec工作于第三层;PPOE工作于第二层;SSL介于第二层和第三层之间。
9. 为了防止(54),电子商务交易必须具备抗抵赖性。 A.一个实体假装成另一个实体
B.参与此交易的一方否认曾经发生过此次交易 C.他人对数据进行非授权的修改、破坏 D.信息从被监视的通信过程中泄漏出去。
正确答案:B
解析:本题考查了网络安全方面的知识:电子商务交易必须具备抗抵赖性,目的在于防止参与此交易的一方否认曾经发生过此次交易。
10. Internet是全球最大的、开放的、由众多网络互联而形成的计算机网络,狭义Internet是指由上述提到网络中采用IP协议的网络互联而成的,广义Internet是指狭义Internet加上所有(92)的网络。Internet体系结构具有良好扩充性的主要原因在于它(93)。广义Internet的这种基于单一主干核心结构的弊端在于(94)。这种结构将逐渐被(95)所取代。
A.采用应用网关互联
B.能通过路由选择至目的站 C.采用点到点协议直接互联
D.通过协议转化而可以访问资源
正确答案:B
11.
A.基于树形结构,具有层次性和单向依赖性
B.基于客户机服务器结构,具有单向依赖性 C.基于星形结构,结点之间无依赖性 D.基于环形结构,结点之间无依赖性
正确答案:A
12.
A.访问是单向的,造成有些资源无法访问 B.不利于Internet的扩充
C.造成寻径表规模太长,寻径困难,不利于低层网络的寻径
D.对核心网关结构依赖严重,一旦出现故障,整个Internet的工作将受到影响
正确答案:D
13.
A.星形主干结构 B.网状主干结构 C.对等主干结构 D.无主干结构
正确答案:C
解析:Internet是建立在一组共同协议之上的路由器和线路的物理集合,或者是一组可共享的资源集,甚至可以被认为是网间互连和互相通信的方法。定义的Internet指所有采用IP协议的网络互连的集合,TCP/IP协议的分组通过路由选择实现相互传输,它也可以称为IP Internet。广义的Internet指IP Internet加上所有能通过路由选择达到目的站的网络,包括使用电子邮件等应用层网关的网络、各种存储转发的网络以及采用非IP协议的网络互联的集合。Internet基于树形结构,不指定网络互连的拓扑结构,尤其在增加新网时,不要求全互连,也不要求严格星型连接。故具有层次性和单向依赖性,具有良好扩充性。广义Internet的这种基于单一主干核心结构使得它对核心网关结构依赖严重,一旦出现故障,整个Internet的工作将受到影响。这种结构将逐渐被对等主干结构所取代。
14. 在OSI网络参考模型中,对等实体之间传送的信息单位称为(134),它包括(135)两部分。上下邻层实体之间的接口称为服务访问点(SAP),网络层的服务访问点也称为(136),通常分为(137)两部分。
A.接口数据单元 B.服务数据单元 C.协议数据单元 D.交互数据单元
正确答案:C
15.
A.控制信息和用户数据 B.接口信息和用户数据 C.接口信息和控制信息 D.控制信息和校验信息
正确答案:A
16.
A.用户地址 B.网络地址 C.端口地址 D.网卡地址
正确答案:B
17.
A.网络号和端口号 B.网络号和主机地址 C.超网号和子网号 D.超网号和端口地址
正确答案:B
解析:本题主要考查网络分层结构中对等实体的基本概念:OSI网络参考模型将网络的通信两端划分为不同的对等实体,协议数据单元是指OSI参考模型中对等实体之间传输的信息单元;网络地址是网络层的服务访问点;网络地址有网络号和主机地址组成。
18. 计算机网络和分布系统中互相通信的(303)间交换信息时必须遵守的规则的集合称之为网络协议。其中,(304)是数据和控制信息的结构或格式;(305)是用于协调和进行差错处理的控制信息;定时是对事件实现顺序的详细说明,而网络体系结构则是(306)。
A.相邻层实体 B.同等层实体 C.同一层实体 D.不同层实体
正确答案:B
19.
A.语义实体 B.语法 C.服务 D.词法
正确答案:B
20. A.语义 B.差错控制 C.协议
D.协同控制
正确答案:A
21.
A.网络各层及层中协议的集合 B.网络各层协议及其具体描述 C.网络层间接口及其具体描述
D.网络各层、层中协议和层间接口的集合
正确答案:D 解析:本题考查网络协议的相关知识:网络协议是计算机网络和分布系统中互相通信的同等层实体间交换信息时必须遵守的规则的集合。网络协议包括语法、语义、定时等各种成分。语法是数据和控制信息的结构或格式;语义是用于协调和进行差错处理的控制信息;定时是对事件实现顺序的详细说明,定时的目的是为了同步。网络体系结构是网络各层、层中协议和层间接口的集合。
22. Internet是由众多网络互联而成的计算机网络,狭义Internet是指由那些采用IP协议的网络互联而成的网络,广义Internet是指狭义Internet加上所有(332)的网络。Internet体系结构具有良好扩充性的主要原因在于它(333)。广义Internet的这种基于单一主干核心结构的弊端在于(334)。这种结构将逐渐被(335)所取代。
A.采用应用网关互联
B.采用点到点协议直接互联 C.能通过路由选择至目的站
D.通过协议转化而可以访问资源
正确答案:C
23.
A.基于客产机服务器结构,具有单向依赖性 B.基于树型结构,具有层次性和单向依赖性 C.基于环型结构,结点之间无依赖性 D.基于星型结构,结点之间无依赖性
正确答案:B
24.
A.访问是单向的,造成有些资源无法访问
B.造成寻径表规模太长,寻径困难,不利于低层网络的寻径 C.不利于Internet的扩充
D.对核心网关结构依赖严重,一旦出现故障,整个Internet的工作将受到影响
正确答案:D
25.
A.星形主干结构 B.无主干结构 C.对等主干结构 D.网状主干结构
正确答案:C
解析:本题主要考察Internet的相关知识。 狭义Internet是指由采用IP协议的网络互联而成的,狭义Internet加上所有能通过路由选择至目的站的网络,便构成了广义Internet。 Internet的优点是,它的体系结构具有良好扩充性,因为它基于树型结构,具有层次性和单向依赖性。其缺点是对核心网关结构依赖严重,一旦出现故障,整个Internet的工作将受到影响,这种结构将逐渐被对等主干结构所取代。 网络中,某一路由器存放着下述路由信息: 节点 A A B B B C C C D D E E E F F F 邻节点 B E A C F B D E C F A C F B D E 至邻节点开销 6 5 6 3 6 3 8 1 8 9 5 1 8 6 9 8
26. 可以推断,该网络使用的路由算法最可能是(336)。节点A根据当前的路由信息计算出的到节点D的路由可能为(337)。将路由信息发送到其它节点所采用的基本算法是(338)。为避免路由信息被重复发送,需要给路由信息包编号。设想每秒钟传送一次路由信息,为确保路由信息包的编号在1年内不重复使用,则编号的最短长度应为(339)位。
A.扩散算法 B.热土豆算法 C.随机法 D.层次法
正确答案:D
27. A.A-B-F
B.A-B-C-E-F-D C.A-E-C
D.A-E-C-B-F-D
正确答案:C
28.
A.扩散法 B.定向法
C.距离向量算法 D.链路状态算法
正确答案:A
29. A.18 B.25 C.30 D.32
正确答案:B 解析:本题主要考查静态路由算法—扩散法的相关知识。扩散法是一种静态路由算法,每一个输入的分组都被从除输入线路之外的所有其它线路上转发出去。扩散法显然会产生大量的分组副本,因此必须有一些办法来抑制无限的转发。一种办法是在分组头中携带一个跳数计数器,分组每到一个节点其跳数计数器就减1,当计数器为0时分组被丢弃。计数器的初始值可以设为通信子网的直径,即相距最远的两个节点之间的跳数。另一种办法是记住哪些分组已经转发过了,从而确保一个分组不会被同一个节点转发两次。这要求源路由器从主机收到一个分组后,将一个序号放入分组头中,同时每一个路由器对于每一个源路由器都要维护一张序号表,记录从每一个源路由器上已经收到的分组的序号。每当一个路由器收到来自某个源路由器的分组时,就用分组的序号去查找该源路由器的序号表,如果序号已在表中则该分组被丢弃。为了防止序号表过大,序号表中还应增设一个计数器k,表示序号直至k的分组都已经转发过了,从而不需要保留序号小于k的序号。1)该网络使用的路由算法最可能是层次法。2)从上述路由信息中可见,A到D的路径有:ABCD=20;ABFD=19;AEFD=22;AECD=9。3)扩散法属于静态路由算法。它的基本思想是把收到的每一个包,向除了该包到来的线路外的所有输出线路发送。此算法的主要问题是产生大量重复包。解决措施有①每个包头包含站点计数器,每经过一站计数器减1,为 0时则丢弃该包;②记录包经过的路径。4)一年内传送的包的数量大约是:365*24*3600大约是225,即编号的最短长度应为25位。
主观题
30. 阅读以下有关传统局域网络运行和维护的叙述,填入(n)处。 常见的三种拓扑结构是星型、(1)与(2)拓扑结构,而常见的信道访问方式有(3)及(4)。网络配置和运行包括一系列保证局域网络运转的工作,主要有:选择网络操作系统和网络连接协议等;配置网络服务器及网络的外围设备,做好网络突发事件预防和处理;网络安全控制,包括网络安全管理、网络用户权限分配以及病毒的预防处理等。配置网络过程中要做好数据备份工作,一般来说,备份的硬件设备包
括磁盘、(5)和(6),而利用磁盘备份的方法常用的是磁盘镜像(7)以及磁盘阵列,其中前两者的区别在于(8)。网络维护是保障网络正常运行的重要方面,主要包括故障检测与排除、网络日常检查及网络升级。一定要建立起(9)制度,记录网络运行和变更的情况,以保证维护经验的交流与延续。
正确答案:(1)总线型(bus)(2)环型(bring)注:(1)与(2)可以交换(3)载波侦听多路访问/冲突检测(CSMA/CD)(4)令牌传递(tokenpassing)(5)磁带(6)光盘塔注(7)磁盘双工(8)镜像是先写原盘,后写镜像盘;而双工是两个互为备份的盘同时写(9)维护日志
阅读以下有关网络设备安装与调试的叙述,分析设备配置文件,回答下面问题。 下面以一台远程访问服务器(RAS)Cisco 2509、RJ45为例来说明。 第一步,准备安装与调试所需的设备。 第二步,硬件连接,RJ45直通线一头插入Cisco 2509的console口,另一头接RJ45转9针串口转换器,再将转换器接到计算机的串口。 第三步,RAS加电,调用超级终端程序进行设备连接,进入Cisco设备的虚拟操作台。 第四步,输入Cisco 2509的IOS配置命令。 第五步,将调试完毕的设备连入本地网络,通过拨号验证配置是否正确。
31. 在RAS上存在的两个RJ45的端口(“console”与“AUX”)的作用分别是什么?
正确答案:“Console”端口是虚拟操作台端口,安装维护人员通过直接连接该端口实施设备配置。 “AUX”端口是用于远程调试的端口,一般连接在Modem上,设备安装维护人员通过远程拨号进行设备连接,实施设备的配置。
32. 在调用超级终端程序进行设备连接时,给出正确的设备连接参数,参数主要包括串口数据传输率,数据位数,停止位数以及是否有奇偶校验。
正确答案:连接参数如下:速率9600bps、数据位8位、奇偶检验无、停止位2位。
33. 在第四步中,进入虚拟操作台后,在IOS环境下输入了如下的配置,请解释【1】~【4】处的标有下划线部分配置命令的含义。 //配置服务器信息 hostname Cisco 2509//服务器名称 enable secret * * * * * *//特权口令 ip domain-manl wxx.edu.cn//设置拨号服务器所属域名 ip-name-server 202.112.25.10//设置拨号服务器DNS 【1】 async-bootp subnet-mask 255.255.255.0 async-bootp gateway 202.112.25.130 async-bootp dns-server 202.112.25.10 //配置Ethenlei Port(略) ………… //配置动态分配的地址池 ip local pool pool2509 202.112.79.1 202.112.79.8//定义ip地址池 //配置Asynchronous Interface //异步口是RAS服务器上连接modem,用于用户拨号的端口 interface Group-Async 1 //对第一组异步接口进行配置,对异步口的配置可以按组,也可以按单个口 group-range 1 8//划定1到8号异步口属于第一组 encapsulation pap//加载点到点协议 【2】 ansync dynamic address ansync default address pool pool2509//pool2509的定义见“配置动态分配的地址池”部分 PPP authentication pap//设置PPP的验证方式为用户口令方式 //配置
router信息 【3】 router rip network? 202.112.25.0 network 202.112.79.0 //配置拨号服务器的缺省路由 ………… //配置存取用户组 access-list 1 pormit? 202.112.25.0.0.0.255//定义用户组的范围 //配置Asynchronous PORT(略) //配置vty line vty 0 4//配置虚拟终端 【4】 access-class 1 in//access-class的定义见“配置存取用户组” pasword * * * * * * login
正确答案:配置命令的含义如下:(1)配置RAS的拨号用户网络配置信息。包括用户默认子网屏蔽码、默认网关、默认DNS。(2)设定第一组异步口的用户IP地址自动分配。设置自动分配的IP地址来自于IP地址 pool25090(3)配置路由协议RIP。指定设备直接连接到网络202.112.25.0与202.112.79.0。(4)设置来自202.112.25.0网段的用户可以访问拨号服务器。配置用户登陆口令。
阅读以下有关VLAN的叙述,分析设备配置文件,回答下面问题。 虚拟局域网(Virtual LAN)是一种不用路由器,而由第三层交换机来实现广播数据的抑制的方案。是在交换网络环境中实现的。虚拟局域网技术和第三层交换技术一样,都是近年发展起来的一种网络新技术,这种新技术提高了网络管理效率、安全性、控制广播的能力。虚拟局域网(VLAN:Virtual Local Area Network):根据功能、应用等因素将不同物理位置的用户从逻辑上划分(与物理位置无关)为一个个功能相对独立、广播相互隔离的工作组或广播域。
34. 说明现有虚拟局域网络的四种划分方式。
正确答案:VLAN的4种划分方式分别为: 基于端口划分;基于MAC地址划分;基于第三层地址划分;基于策略划分(或基于应用划分)。 按交换端口号的虚拟:基于端口的VLAN就是将交换机中端口进行分组来划分VIAN,同一个 VLAN中的站点具有相同的网络地址,不同的VLAN之间进行通信需要通过路由器。优点:简单有效。其不足之处:灵活性不好,例如当一个网络站点从一个端口移动到另外一个新的端口时,如果新端口与旧端口不属于同一个VLAN,则用户必须对该站点重新进行网络地址配置,否则,该站点将无法进行网络通信。 按MAC地址的虚拟:在基于MAC地址的VLAN中,由管理人员指定属于同一个VLAN中的各客户机的MAC地址。新站点入网时根据需要将其划归至某一个VLAN。优点:而无论该站点在网络中怎样移动,由于其MAC地址保持不便,因此用户不需要进行网络地址的重新配置。不足之处:在站点入网时,需要对交换机进行比较复杂的手工配置,以确定该站点属于哪一个VLAN。 按第三层协议(网络地址)的虚拟:根据协议类型或网络地址(IP地址)划分VLAN。优点:新站点在入网时无需进行太多配置,交换机则根据各站点网络地址自动将其划分成不同的VLAN。在三种VLAN的实现技术中,基于网络地址的VLAN智能化程度最高,实现起来也最复杂。一个客户可以属于多个VLAN。
35. 在基于端口的VLAN划分中,交换机上的每一个端口允许以哪三种模式划入VLAN中,并简述它们的含义。
正确答案:允许以3种端口模式划归VLAN,分别为: access模式,该端口仅能属于一个VLAN,只能接收没有封装的帧; multi模式,该端口可以属于多个VLAN,只能接收没有封装的帧; trunk模式,该端口可以接收包含
所属VLAN信息的封装帧;
36. 简述VLAN的互联方式。
正确答案:VLAN之间如何通信:通过路由。多种的路由方案。各有优缺点。 1)边界路同:由边界的交换机完成路由 2)“独臂”路由器 3)ATM上的多协议路由 4)第三层交换
37. 在VLAN的各种划分方式中,哪种方式的智能化最高?
正确答案:在三种VLAN的实现技术中,基于网络地址的VLAN智能化程度最高,实现起来也最复杂。
38. 阅读以下说明,填入(n)处。 【说明】 某网络结构如图2.1所示,如果Router3与网络4之间的线路突然中断,按照RIP路由协议的实现方法,路由表的更新时间间隔为30秒,中断30秒后Router2的路由信息表2.1和中断300秒后Router2的路由信息表2.2如下。 注:①若到达目的网络不需转发或目的网络不可达,用“一”来表示“下一站地址”; ②当目的网络不可达时,“跳数”为16。 【问题】 1.请填充中断30秒后Router2的路由信息表1。 2.请填充中断300秒后Router2的路由信息表2。
正确答案:(1)210.0.0.1(2)1(3)210.0.0.1(4)3(5)-(6)0(7)-(8)0(9)-(10)16
解析:本题主要考查RIP路由协议的更新: RIP为每个目的地只记录一条路由的事实要求RIP积极地维护路由表的完整性。通过要求所有活跃的RIP路由器在固定时间间隔广播其路由表内容至相邻的RIP路由器来做到这一点,所有收到的更新自动代替已经存储在路由表中的信息。RIP依赖3个计时器来维护路由表: 更新计时器 路由超时计时器 路由刷新计时器 更新计时器用于在节点一级初始化路由表更新。每个RIP节点只使用一个更新计时器。相反的,路由超时计时器和路由刷新计时器为每一个路由维护一个。如此看来,不同的超时和路由刷新计时器可以在每个路由表项中结合在一起。这些计时器一起能使RIP节点维护路由的完整性并且通过基于时间的触发行为使网络从故障中得到恢复。 1.初始化表更新 RIP路由器每隔30秒触发一次表更新。更新计时器用于记录时间量。一旦时间到,R I P节点就会产生一系列包含自身全部路由表的报文。这些报文广播到每一个相邻节点。因此,每一个R I P路由器大约每隔30秒钟应收到从每个相邻R I P节点发来的更新。 2.标识无效路由 有两种方式使路由变为无效: 路由终止。 路由器从其他路由器处学习到路由不可用。 在任何一种情形下,R I P路由器需要改变路由表以反映给定路由已不可达。一个路由如果在一个给定时间之内没有收到更新就中止。比如,路由超时计时器通常设为180秒。当路由变为活跃或被更新时,这个时钟被初始化。 3.删除无效路由 一旦路由器认识到路由已无效,它会初始化一个秒计时器:路由刷新计时器。因此,在最后一次超时计时器初始化后180秒,路由刷新计时器被初始化。这个计时器通常设为90秒。 如果路由更新在270秒之后仍未收到(180秒超时加上90秒路由刷新时间),就从路由表中移去此路由 (也就是刷新)。而为了路由刷新递减计数的计时器称为路由刷新计时器。这个计时器对于
RIP从网络故障中恢复的能力绝对必要。
阅读以下说明,回答下面问题。 【说明】 VPN是通过公用网络Internet将分布在不同地点的终端联接而成的专用网络。目前大多采用 IPsec实现IP网络上端点间的认证和加密服务。
39. 某企业的网络拓扑结构如图2.2所示,采用VPN来实现网络安全。请简要叙述从企业总部主机到分支机构主机通过IPsec的通信过程。
正确答案:从公司总部主机到分支机构主机通过IPsec的通信过程: 1)建立IPSec隧道的过程: 启动IPSec和IKE(Internet密钥交换),这个过程中要确定IPSec的两个对等体:公司总部主机和分支机构主机,以及要确定IPSec加密策略,然后,IKE在公司总部主机和分支机构主机这两个对等体中建立起IPSecSA; 2)数据传送过程: 根据存储在SA数据库中的IPSec参数和密钥,在IPSec对等体间传送数据。 3)释放IPSec隧道,终止通信。
40. IPSec VPN采用何种加密算法进行加密?
正确答案:采用对称式(Symmetric)和非对称式(Asymmetric)的加密算法来执行加密作业。
41. 从一下几个方面来对比IPSec VPN和SSL VPN各自的优势。 安全通道、认证和权限控管、安全测试、病毒入侵、防火墙上的通讯埠。
正确答案:1)安全通道(Secure Tunnel):IPSec和SSL这两种安全协议,都有采用对称式(Symmetric)和非对称式(Asymmetric)的加密算法来执行加密作业。在安全的通道比较上,并没有谁好谁坏之差,仅在于应用上的不同。2)认证和权限控管:IPSec采取Internet Key Exchange(IKE)方式,使用数字凭证(Digital Certifi-cate)或是一组Secret Key来做认证,而SSL仅能使用数字凭证,如果都是采取数字凭证来认证,两者在认证的安全等级上就没有太大的差别。3)安全测试:IPSec VPN已经有多年的发展,有许多的学术和非营利实验室,提供各种的测试准则和服务,其中以ICSA Labs是最常见的认证实验室,大多数的防火墙,VPN厂商,都会以通过它的测试及认证为重要的基准。但SSL VPN在这方面,则尚未有一个公正的测试准则,但是ICSA Labs实验室也开始着手SSL/TLC的认证计划,预计在今年底可以完成第一阶段的Crypto运算建置及基础功能测试程序。4)病毒入侵:一般企业在Internet联机入口,都是采取适当的防毒侦测措施。不论是IPSec VPN或SSL VPN联机,对于入口的病毒侦测效果是相同的,但是比较从远程客户端入侵的可能性,就会有所差别。采用IPSec联机,若是客户端电脑遭到病毒感染,这个病毒就有机会感染到内部网络所连接的每台电脑。相对于SSL VPN的联机,所感染的可能性,会局限于这台主机,而且这个病毒必须是针对应用系统的类型,不同类型的病毒是不会感染到这台主机的。5)防火墙上的通讯埠(port):在TCP/IP的网络架构上,各式各样的应用系统会采取不同的通讯协议,并且通过不同的通讯埠来作为服务器和客户端之间的数据传输通道。IPSec VPN联机就会有这个困扰和安全顾虑。在防火墙上,每开启一个通讯埠,就多一个黑客攻击机会。反观之,SSL VPN就没有这方面的困扰。因为在远程主机
与SSL VPN Gateway之间,采用SSL通讯埠(port 443)来作为传输通道,这个通讯埠,一般是作为Web Server对外的数据传输通道,因此,不需在防火墙上做任何修改,也不会因为不同应用系统的需求,而来修改防火墙上的设定,减少IT管理者的困扰。
42. 在进行远程登陆时,最好使用哪种方式(IPSec VPN和SSL VPN)?
正确答案:IPSec VPN和SSL VPN这两种VPN架构,从整体的安全等级来看,两种都能够提供安全的远程登入存取联机。但综观上述,SSL VPN在其易于使用性及安全层级,都比IPSec VPN高。我们都知道,由于Internet的迅速扩展,针对远程安全登入的需求也日益提升。
阅读以下说明,回答下面问题。 【说明】 某公司下设三个部门,为了便于管理,每个部门组成一个VLAN,公司网络结构如图2.3所示。
43. 简要说明VLAN的静态和动态两种实现方式分别是如何实现的?
正确答案:VLAN的划分方式主要有两种:一种是静态VLAN,也就是基于端口的VLAN。另外一种就是动态VLAN,动态VLAN中又分为基于MAC地址的VLAN、基于子网的VLAN和基于用户的VLAN。
44. VLAN的静态和动态两种实现方式各有什么特点?
正确答案:静态VLAN,也就是基于端口的VLAN,这种VLAN方式由于需要对交换机中每个端口进行设定,由于需要一个个端口地指定,因此当网络中的计算机数目超过一定数字(比如数百台)后,设定操作就会变得烦杂无比。并且,客户机每次变更所连端口,都必须同时更改该端口所属VLAN的设定——这显然不适合那些需要频繁改变拓补结构的网络。许多VLAN厂商都利用交换机的端口来划分VLAN成员。被设定的端口都在同一个广播域中。例如,一个交换机的1,2,3,4,5端口被定义为虚拟网AAA,同一交换机的6,7,8端口组成虚拟网BBB。这样做允许各端口之间的通讯,并允许共享型网络的升级。但是,这种划分模式将虚拟网限制在了一台交换机上。第二代端口 VLAN技术允许跨越多个交换机的多个不同端口划分VLAN,不同交换机上的若干个端口可以组成同一个虚拟网。以交换机端口来划分网络成员,其配置过程简单明了。因此,从目前来看,这种根据端口来划分VLAN的方式仍然是最常用的一种方式。 动态VLAN中又分为基于MAC地址的VLAN、基于子网的VLAN和基于用户的VLAN,这三种动态VLAN就具有灵活性强的特点。基于MAC地址的VLAN,就是通过查询并记录端口所连计算机上网卡的MAC地址来决定端口的所属。假定有一个MAC地址“A”被交换机设定为属于VLAN“10”,那么不论MAC地址为“A”的这台计算机连在交换机哪个端口,该端口都会被划分到VLAN10中去。计算机连在端口1时,端口1属于VLAN10;而计算机连在端口2时,则是端口2属于VLAN10。这种划分VLAN的方法是根据每个主机的MAC地址来划分,即对每个MAC地址的主机都配置它属于哪个组。这种划分VLAN方法的最大优点就是当用户物理位置移动时,即从一个交换机换到其他的交换机时,VLAN不用重新配置,所以,可以认为这种根据MAC地址的划分方法是基于用
户的VLAN,这种方法的缺点是初始化时,所有的用户都必须进行配置,如果有几百个甚至上千个用户的话,配置是非常累有。而且这种划分的方法也导致了交换机执行效率的降低,因为在每一个交换机的端口都可能存在很多个VLAN组的成员,这样就无法限制广播包了。另外,对于使用笔记本电脑的用户来说,他们的网卡可能经常更换,这样, VLAN就必须不停地配置。 基于子网的VLAN,则是通过所连计算机的IP地址,来决定端口所属VLAN的。不像基于 MAC地址的VLAN,即使计算机因为交换了网卡或是其他原因导致MAC地址改变,只要它的IP地址不变,就仍可以加入原先设定的VLAN。
45. Switch1采用的是哪种VLAN实现方式?
正确答案:由题目个路由器的配置信息 Switch1(config-if)#switchport mode access Switch1(config-if)#switchport access vlan11 可见,Switch采用的是静态实现方式。
46. 在VLAN中,STP和VTP是什么协议?各有什么作用?
正确答案:VTP(VLAN Trunking Protocol) VTP通过网络保持VLAN配置统一性。VTP在系统级管理增加,删除,调整的VLAN,自动地将信息向网络中其它的交换机广播。此外,VTP减小了那些可能导致安全问题的配置。 Spanning-Tree Protocol(生成树协议) STP能够提供路径冗余,即使网络中有多条有效路径会引起不正常的环路,导致网络不正常时。使用STP可以使两个终端中只有一条有效路径。STP在大的网络中定义了一个树,并且迫使一定的备份路径处于Standby状态。如果spanning tree中的网络一部分不可达,或者STP值变化了,spanning-tree算法会重新计算spanning-tree拓扑,并且通过启动备份路径来重新建立连接。 STP操作对于终端来说是透明的。而终端不管它们连在LAN的一部分或者多个部分。在不同的 VLANs配置Spanning-Tree Protocol。当创建网络时,网络中所有节点存在多条路径。spanning-tree中的算法计算出最佳路径。因为每个VLAN是一个逻辑LAN部分,你能使STP一次工作在最多64个VLAN,如果要配置超过64个VLAN,需要将其它VLAN的STP禁止。默认的,STP可以支持1-64个VLAN。
47. 下面是某路由器的部分配置信息,解释(n)处标有下划线的含义。 【配置路由器信息】 Current configuration: ! version 11.3 no service password-encryption ! hostname r1//第(1)处 ! enable password 123456//第(2)处 ! interface Ethemet0 ip address 192.4.1.1 255.255.255.0 ! interface Sefta10 ip address 192.3.1.1 255.255.255.0 encapsulation frame-relay IETF//第(3)处 no ip mroute-cache bandwidth 4000//第(4)处 frame-relay map ip 192.163.0.2 100 broadcast//第(5)处 frame-relay lmi-type cisco ! router ospf 1//第(6)处 network 202.1.1.0 0.0.0.255 area 0//第(7)处 network 202.3.1.0 0.0.0.255 area 0 network 202.4.1.0 0.0.0.255 area 0 neighbor 202.1.1.2//第(8)处 ! …… End
正确答案:(1)将路由器命名为r1。(2)设置密码为123456。(3)封装数据包格
式为IETF的帧中继。(4)带宽为4000。(5)映射IP地址与帧中继地址。路由器的IP地址为192.163.0.2,帧中继号码为100,并且允许在线路上传送广播信息。(6)设置OSPF协议,路由进程ID为1。(7)设置与路由器相连的网络IP为202.1.1.0,子网掩码的反码为0.0.0.255,网络区域为0。(8)设置路由器邻居节点地址为202.1.1.2。
阅读以下说明,回答下面问题。 【说明】 在规划企业级网络时,很有可能会遇到隶属于同一部门的用户分散在同一座建筑物中的不同楼层的情况,这时可能就需要考虑到如何跨越多台交换机设置VLAN的问题了。假设有如图2.4所示的网络,且需要将不同楼层的A、C和B、D设置为同一个VLAN。 这时最关键的就是“交换机1和交换机2该如何连接才好呢?最简单的方法,自然是在交换机1和交换机2上各设一个红、蓝VLAN专用的接口并互联了。 但是,这个办法从扩展性和管理效率来看都不好。并且,VLAN越多,楼层间(严格地说是交换机间)互联所需的端口也越来越多,交换机端口的利用效率低是对资源的一种浪费、也限制了网络的扩展。为了避免这种低效率的连接方式,人们想办法让交换机间互联的网线集中到一根上,这时使用的就是汇聚链接(Trunk Link)。
48. 一般VLAN的划分的根据有端口,MAC地址,网络层,IP组播。请简要分析这几种方式的特点。
正确答案:VLAN的划分: 1.根据端口来划分VLAN 许多VLAN厂商都利用交换机的端口来划分VLAN成员。被设定的端口都在同一个广播域中。例如,一个交换机的1,2,3,4,5端口被定义为虚拟网AAA,同一交换机的6,7,8端口组成虚拟网BBB。这样做允许各端口之间的通讯,并允许共享型网络的升级。但是,这种划分模式将虚拟网限制在了一台交换机上。第二代端口VLAN技术允许跨越多个交换机的多个不同端口划分 VLAN,不同交换机上的若干个端口可以组成同一个虚拟网。以交换机端口来划分网络成员,其配置过程简单明了。因此,从目前来看,这种根据端口来划分VLAN的方式仍然是最常用的一种方式。 2.根据MAC地址划分VLAN 这种划分VLAN的方法是根据每个主机的MAC地址来划分,即对每个MAC地址的主机都配置它属于哪个组。这种划分VLAN方法的最大优点就是当用户物理位置移动时,即从一个交换机换到其他的交换机时,VLAN不用重新配置,所以,可以认为这种根据MAC地址的划分方法是基于用户的VLAN,这种方法的缺点是初始化时,所有的用户都必须进行配置,如果有几百个甚至上千个用户的话,配置是非常累的。而且这种划分的方法也导致了交换机执行效率的降低,因为在每一个交换机的端口都可能存在很多个VLAN组的成员,这样就无法限制广播包了。另外,对于使用笔记本电脑的用户来说,他们的网卡可能经常更换,这样,VLAN就必须不停地配置。 3.根据网络层划分VLAN 这种划分VLAN的方法是根据每个主机的网络层地址或协议类型(如果支持多协议)划分的,虽然这种划分方法是根据网络地址,比如IP地址,但它不是路由,与网络层的路由毫无关系。 这种方法的优点是用户的物理位置改变了,不需要重新配置所属的VLAN,而且可以根据协议类型来划分VLAN,这对网络管理者来说很重要,还有,这种方法不需要附加的帧标签来识别 VLAN,这样可以减少网络的通信量。 这种方法的缺点是效率低,因为检查每一个数据包的网络层地址是需要消耗处理时间的(相对
于前面两种方法),一般的交换机芯片都可以自动检查网络上数据包的以太网帧头,但要让芯片能检查IP帧头,需要更高的技术,周时也更费时。当然,这与各个厂商的实现方法有关。 4.根据IP组播划分VLAN IP组播实际上也是一种VLAN的定义,即认为一个组播组就是一个VLAN,这种划分的方法将 VLAN扩大到了广域网,因此这种方法具有更大的灵活性,而且也很容易通过路由器进行扩展,当然这种方法不适合局域网,主要是效率不高。
49. 简要说明何谓汇聚链接。
正确答案:汇聚链接(Trunk Link)指的是能够转发多个不同VLAN的通信的端口。汇聚链路上流通的数据帧,都被附加了用于识别分属于哪个VLAN的特殊信息。如果上述网络采用汇聚链路,用户只需要简单地将交换机间互联的端口设定为汇聚链接就可以了。这时使用的网线还是普通的UTP线,而不是什么其他的特殊布线。图例中是交换机间互联,因此需要用交叉线来连接。[*]
50. 简要说明汇聚链接是如何实现跨越交换机间的VLAN的。
正确答案:A发送的数据帧从交换机1经过汇聚链路到达交换机2时,在数据帧上附加了表示属于红色 VLAN的标记。交换机2收到数据帧后,经过检查VLAN标识发现这个数据帧是属于红色VLAN的,因此去除标记后根据需要将复原的数据帧只转发给其他属于红色VLAN的端口。这时的转送,是指经过确认目标MAC地址并与MAC地址列表比对后只转发给目标MAC地址所连的端口。只有当数据帧是一个广播帧、多播帧或是目标不明的帧时,它才会被转发到所有属于红色VLAN的端口。蓝色VLAN发送数据帧时的情形也与此相同。 通过汇聚链路时附加的VLAN识别信息,有可能支持标准的“IEEE 802.IQ”协议,也可能是 Cisco产品独有的“ISL(Inter Switch Link)”。如果交换机支持这些规格,那么用户就能够高效率地构筑横跨多台交换机的VLAN。
51. 在设定汇聚链接时,必须支持多大的传输速度?
正确答案:汇聚链路上流通着多个VLAN的数据,自然负载较重。因此,在设定汇聚链接时,有一个前提就是必须支持100Mbps以上的传输速度。
阅读以下说明,回答下面问题。 网络地址转换(NAT)是用于将一个地址域(如:专用Intranet)映射到另一个地址域(如:Inter-net)的标准方法。NAT允许一个机构专用Intranet中的主机透明地连接到公共域中的主机,无需内部主机拥有注册的(以及越来越缺乏的)Internet地址。Internet工程任务组意识到目前地址空间(即所谓的IPv4)即将会耗尽已经有近十年时间了。尽管即将出现的IPv6被视作为解决Internet不断发展的长期解决方案,但是在过去几年中还提出了其它一些短期解决方案。下面我们结合本站有关思科及微软关于NAT方面的文章为大家介绍这方面的资讯,更多更丰富的相关方面内容我们将在以后日子里进行补充。 使用NAT设备进行Internet通信的网络示例。
52. NAT技术和CIDR有什么异同点?
正确答案:IP地址耗尽促成了CIDR的开发,但CIDR开发的主要目的是为了有效的使用现有的internet地址。而同时根据RFC 1631(IP Network Address Translator)开发的NAT却可以在多重的internet子网中使用相同的IP,用来减少注册IP地址的使用。 NAT技术使得一个私有网络可以通过internet注册IP连接到外部世界,位于inside网络和out-side网络中的NAT路由器在发送数据包之前,负责把内部IP翻译成外部合法地址。内部网络的主机不可能同时于外部网络通信,所以只有一部分内部地址需要翻译。
53. 说明NAT进行地址翻译的方式有哪几种。各有什么特点?
正确答案:NAT的翻译可以采取静态翻译(static translation)和动态翻译(dynamic translation)两种。静态翻译将内部地址和外部地址一对一对应。当NAT需要确认哪个地址需要翻译,翻译时采用哪个地址pool时,就使用了动态翻译。 采用port multiplexing技术,或改变外出数据的源port技术可以将多个内部IP地址影射到同一个外部地址,这就是PAT(port address translator)。 当影射一个外部IP到内部地址时,可以利用TCP的load distribution技术。使用这个特征时,内部主机基于round-robin机制,将外部进来的新连接定向到不同的主机上去。注意:load distributiong只有在影射外部地址到内部的时候才有效。
54. 简述NAT能够实现哪几种功能?
正确答案:采用NAT,可以实现以下几个功能: a.Translation inside local addresses b.Overloading inside global addresses c.TCP load distribution d.Handing overlapping networks 下面我们一一叙述它们的工作原理。 a.内部地址翻译(Transition inside local addresses): 这是比较通用的一种方法,将内部IP一对一的翻译成外部地址。在内部主机连接到外部网络时,当第一个数据包到达NAT路由器时,router检查它的NAT表,因为是NAT是静态配置的,故可以查询出来(simply entry),然后router将数据包的内部局部IP(源地址)更换成内部全局地址,再转发出去。外部主机接受到数据包用接受到的内部全局地址来响应,NAT接受到外部回来的数据包,再根据NAT表把地址翻译成内部局部IP,转发过去。 b.内部全局地址复用(overloading inside glogal addresses) 使用地址和端口pair将多个内部地址影射到比较少的外部地址。这也是所谓的PAT。和内部地址翻译一样,NAT router同样也负责查表和翻译内部IP地址,唯一的区别就是由于使用了over-loading,router将复用同样的内部全局IP地址,并存储足够的信息以区分它和其他地址,这样查询出来的是extended entry。NAT router和外部主机的通讯采用翻译过的内部全局地址,故同一般的通信没有差别,router到内部主机通讯时,同样要查NAT表。 c.TCP负载重分配(TCP load distributing)和以上两种操作不同,这是NAT由外到内的翻译,所以那种以为WEB server一定要放置到NAT外部的说法是错误的。 工作原理:外部主机向虚拟主机(定义为内部全局地址)通讯,NAT router接受外部主机的请求并依据NAT表建立与内部主机的连接,把内部全局地址(目的地址)翻译成内部局部地址,并转发数据包到内部主机,内部主机接受包并作出响应。NAT router再使用内部局部地址和端口查询数据表,根据查询到的外部地址和端口做出响应。此时,如果同一主机再做第二个连接,NAT muter将根据NAT表将建立与另一虚拟主机的连
接,并转发数据。 d.处理重叠网络。 这种方法主要用于两个intranet的互连,同样给我们处理两个重叠网络提供了方法。它的实现要求DNS server的支持(用于区别两个不同的主机)。
55. 在上述的几种功能中,那种功能的实现需要DNS Server的支持?
正确答案:处理重叠网络,为了区别两个不同的主机,它的实现要求DNS server的支持。
阅读以下说明,回答下面问题。 【说明】 由于历史的原因,部署带Internet协议安全的第二层隧道协议(L2TP/IPSec)的问题之一在于无法定位网络地址转换(NAT)之后的IPSec对话方。Internet服务提供商和小型办公/家庭办公(SOHO)网络通常使用NAT来共享单个公共IP地址。虽然NAT有助于节省剩余的IP地址空间,但是它们也给诸如IPSec之类的端对端协议带来了问题。 一种称为IPSec NAT穿越(NAT-T)的新技术正在由Internet工程任务组的IPSec网络工作组标准化。IPSec NAT-T是在标题为“UOSec包的UDP封装”和“IKE中的NAT穿越协商”的Inter-net草案中描述的。IPSec NAT-T对协商过程进行了修改,并且定义了发送受IPSec保护的数据的不同方法。 与通过NAT使用IPSec有如下相关的问题,请简要回答如何通过IPSec NAT-T解决办法解决这些问题?
56. NAT无法更新上层校验和,TCP和UDP报头包含一个校验和,它整合了源和目标IP地址和端口号的值。当NAT改变了某个包的IP地址和(或)端口号时,它通常要更新TCP或UDP校验和。当TCP或UDP校验和使用了ESP来加密时,它就无法更新这个校验和。由于地址或端口已经被 NAT更改,目的地的校验和检验就会失败。虽然UDP校验和是可选的,但是TCP校验和却是必需的。应该如何解决?
正确答案:解决办法:通过在NAT-OA IKE有效载荷中发送原始地址,接收方拥有检验解密之后的上层校验和(源和目标IP地址和端口)所需的所有信息。
57. NAT无法多路传输IPSec数据流。ESP保护的IPSec流量没有包含可见的TCP或UDP报头。 ESP报头位于IP报头和加密的TCP或UDP报头之间,并且使用IP协议号50。因此,TCP或UDP端口号就无法将流量多路传输到不同的专用网主机。ESP报头包含一个名为Security Parameters Index(安全参数索引,SPI)的字段。SPI与明文(plaintext)IP报头中的目标IP地址和IPSec安全协议(ESP或AH)结合起来用于识别IPSec安全关联(SA)。应该如何解决?
正确答案:解决办法:通过使用UDP报头封装ESPPDU,NAT能够使用UDP端口来多路传输IPSec数据流。跟踪ESP报头中的SPI就不再必要了。
58. 无法改变IKEUDP端口号。IPSec的某些实现同时使用UDP端口500来作为源和目标UDP端口号。然而,对于一个位于NAT之后的IPSec对话方,NAT会改变初始IKE主模式包的源地址。根据具体的实现方式,来自500之外的其他端口的IKE流量可能会被丢弃。应该如何解决?
正确答案:解决办法:IPSec NAT-T对话方能够接受来自500之外的端口的IKE消息。此外,为了防止 IKE敏感(IKE-aware)的NAT修改IKE包,IPSec NAT-T对话方在主模式协商期间把IKE UDP端口500改为UDP端口4500。为了允许IKE流量使用这个新的UDP端口,您可能必须配置防火墙以允许UDP端口4500。
59. 阅读以下说明,回答下面问题。 【说明】 本机有三个IP地址,分别为“192.168.0.168”、“192.168.0.165”和“192.168.0.162”。现需要建立三个相互独立的虚拟邮件主机“163.net”、“163.com”和“363.net”。 采用的配置思路是,首先在DNS管理器中将三个域名分别对应到三个不同的IP地址上;再在IMail管理器中将各IP地址所对应的虚拟邮件主机名改成相应的域名即可。设定为:“163.net”对应“192.168.0.168”;“163.com”对应“192.168.0.165”;“363.net”对应“192.168.0.162”。 打开DNS管理器,建立相关的DNS记录。结果如图2.7所示: 【问题】 请完善IMail的设置。 1、打开IMail管理器:选“开始→程序→(1)”。 2、进入虚拟主机配置窗口:选“localhost→右键→(2)”。 3、配置“163.net”:在“Local Addresses”(地址列表)中选中“(3)”,再将“Official Host Name” (主机名)项改为“(4)”,最后按“Save”保存。 4、配置“163.com”:在“Local Addresses”(地址列表)中选中“(5)”,再将“Official Host Name” (主机名)项改为“(6)”,然后把“Top Directory Name”(主目录)项改为一个新目录名(会自动建立),最后按“Save”保存。 5、配置“363.net”:在”Local Addresses”(地址列表)中选中“(7)”,将“Official Host Name”(主机名)项改为“(8)”,然后把“Top Directory Name”(主目录)项改为一个新目录名(会自动建立),最后按“Save”保存后用“Exit”退出。 6、设置完成之后,关闭IMail管理器,再重新打开。
正确答案:(1)IMail→IMail Administrator(2)Add Host(3)192.168.0.168(4)163.net(5)192.168.0.165(6)163.com(7)192.168.0.162(8)363.net
阅读以下说明和交换机的配置信息,回答下面问题。 【说明】 某公司下设三个部门,为了便于管理,每个部门组成一个VLAN,公司网络结构如图2.8所示。 [交换机Switch1的部分配置信息] Switch1(config)#finterface fO/9 Switch1(config-if)#switchport mode access Switch1(config-if)#switchport access vlan 11 Switch1(config)#interface fO/10 Switch1(config-if)#switchport mode access Switch1(config-if)#switchport access vlan 12 Switch1(config)#interface fO/17 Switch1(config-if)#switchport mode access Switch1(config-if)#switchport access vlan 13 [交换机Switch2的部分配置信息] Switch2(config)#interface fO/6 Switch2(config-if)#switchport mode access Switch2(config-if)#switchport access vlan 11 Switch2(config)#interface fO/8 Switch2(config-if)#switchport mode access Switch2(config-if)#switchport access vlan 12 Switch2(config)#interface fO/11 Switch2(config-if)#switchport mode access Switch2(config-if)#switchport access vlan 13 [交换机Switch3的部分配置信息] Switch3(config)#interface fO/3 Switch3(config-if)#switchport mode access Switch3(config-if)#switchport access vlan 11 Switch3(config-if)#exit Switch3(config)#interface fO/7 Switch3(config-if)#switchport mode access
Switch3(config-if)#switchport access vlan 12 Switch3(config)#interface fO/13 Switch3(config-if)#switchport mode access Switch3(config-if)#switchport access vlan 13
60. 通常VLAN有静态和动态两种实现方式,这两种方式分别是如何实现的?各有什么特点? Switch1采用的是哪种实现方式?
正确答案:在静态实现方式中,网络管理员将交换机端口静态地分配给某一个VLAN,这是经常使用的一种配置方式,容易实现和监视,比较安全。在动态实现方式中,管理员必须先建立一个较复杂的数据库,例如输入要连接的网络设备的MAC地址及相应的VLAN号,这样,当网络设备接到交换机端口时,交换机自动把这个网络设备所连接的端口分配给相应的VLAN。动态VLAN的配置可以基于网络设备的MAC地址、IP.地址、应用的协议来实现。动态VLAN一般通过管理软件来进行管理。Switch1采用静态实现方式。
61. 在VLAN中,STP和VTP是什么协议?各有什么作用?
正确答案:STP(SpanningTreeProtocol,生成树协议)是一个既能够防止环路、又能够提供冗余线路的第二层的管理协议。为了使交换网络正常运行,STP网络上的任何两个终端之间只有一条有效路径。STP使用生成树算法求解没有环路的最佳路径,使一些备用路径处于阻塞状态。大型交换网络中尤其是有多个VLAN的时候,配置STP很重要。 VTP(VLAN TrunkProtocol,VLAN中继协议)保持VLAN的删除、添加、修改等管理操作的一致性。在同一个VTP域内,VTP通过中继端口在交换机之间传送VTP信息,从而使一个VTP域内的交换机能共享VLAN信息。
62. 填充VLAN信息表(表2.3)。 正确答案:(1)Server3+Computer2+Computer5(2)Server2+Computer3+Computer6(3)Server1+Computer1+Computer4
63. 阅读以下说明,解释(n)处有下划线的含义。 【说明】 现有两台cisco路由器,现在要求实现router1和router2联通并且要有md5认证。 有认证的情况下实现两台路由器的互联,这两台路由器必须配置相同的认证方式和
密钥才能进行双方的路由的交换,双方必须发送版本2。 router1(config)#key chain wan router1(config-keychain)#key 1 router1(config-keychain-key)#key-string wan router1(config-keychain-key)#exit router1(config-keychain)#exit router1(config)#interfaceeth0/0 router1(config-if-eth0/0)#ip rip authentication key-chain wan router1(config-ig-eth0/0)#ip rip authentication mode md5 (1) router1(config-if-eth0/0)#ip rip send version 2 (2) router1(conflg-if-eth0/0)#ip rip receive version 2 (3) 坚实和维护rip 显示ip数据库信息 router#show ip rip database network nexthop metric from time rip 182.0.5.0/247 192.168.0.210 (6) 1 192.168.1.200 02:40 (7) rip?
182.0.6.0/24 192.168.0.210 1 192.168.1.200 02:40 connected 192.168.0.0/24 (8) rip 193.100.98.0/24 192.168.0.236 1 192.168.0.236 02:53
正确答案:(1)设置md5认证。(2)配置发送版本2。(3)配置接收版本2。(4)显示rip路由器数据库。(5)显示rip协议概要信息。(6)本路由的下一跳地址(192.168.0.210)(7)用来显示当前定时器定时时间长度,当路由没有过期的时候,显示的是无效定时时间长度路由过期时,显示的时删除定时器的时间长度。(8)表示该路由时直接路由。
以下是使用E1线路实现多个64Kbit/s专线连接。 当链路为T1时,channel-group编号为0-23,Timeslot范围为1-24;当链路为E1时,channel -group编号为0~30,Timeslot范围为1~31. 路由器具体设置如下: Current
configuration: ! version 11.2 no service udp-small-servers no service tcp-small-servers ! hostname router1 ! enable secret 5 $ 1 $ XN08 $ Ttr8nfLoP9.2RSZhcBzkk/ enable password
cisco ! ! ip subnet-zero ! controller E1 0 framing NO-CRC4 channel-group 0 timeslots 1 channel-group 1
timeslots 2 channel-group 2 timeslots 3 ! interface Ethernet0 ip address 133.118.40.1 255.255.0.0 media-type 10BaseT ! interface Ethernet1 no ip address shutdown ! interface Seria10:0 ip address202.119.96.1 255.255.255.252 encapsulation hdlc no ip mroute-cache ! interface Sefia10:1 ip address 202.119.96.5 255.255.255.252 encapsulation hdlc no ip mroute-cache ! interface Seria10:2 ip address 202.119.96.9
255.255.255.252 encapsulation hdlc no ip mroute-cache ! no ip classless ip route 133.210.40.0 255.255.255.0 Seria10:0 ip route 133.210.41.0 255.255.255.0 Seria10:1 ip route 133.210.42.0 255.255.255.0
Seria10:2 ! line con 0 line aux 0 line vty 0 4 password cicso login ! end
64. E1和CE1的主要区别是什么?
正确答案:CE1的传输线路的带宽是2048 Kbit/s,它和E1的区别主要在于:E1不能划分时隙,CE1能划分时隙。CE1的每个时隙是64Kbit/s,一共有32个时隙,在使用的时候,可以划分为n×64Kbit/s,例如:128Kbit/s,256Kbit/s等。CE1的0和15时隙是不用来传输用户的数据流量,0时隙是传送同步号,15时隙传送控制信令,这样实际能用的只有30个时隙,所以在具体配置CE1划分时隙时,需要注意。CE1和E1也可以互联,但是CE1必须当K1来使用,即不可分时隙使用。因为CE1比较灵活,所以我们能常常碰到CE1。
65. 解释配置中画线部分内容含义。
正确答案:Current configuration ! version 11.2 no
service udp-small-servers no service tcp-small-servers ! hostname router1 ! enable secret 5 $ 1 $ XN08
$ Ttr8nfLoP9.2RgZhcBzkk/ enable password cisco ! ! ip subnet-zero ! controller E1 0 framing NO-CRC4//帧类型为
no-crc4 channe1-group 0 timeslots 1//建立逻辑通道组0与时隙1的映射 channe1-group 1 timeslots 2//建立逻辑通道组1与时隙2的映射 channe1-group 2 timeslots 3//建立逻辑通道组2与时隙3的映射 ! interface Ethernet0 ip address 133.118.40.1 255.255.0.0 media-type
10BaseT ! interface Ethernet1 no ip address shutdown ! interface Seda10:0//逻辑接口Seda10:0 ip address 202.119.96.1 255.255.255.252 encapsulation hdlc no ip mroute-cache ! interface Seda10:1 ip address 202.119.96.5
255.255.255.252 encapsulation hdlc no ip mroute-cache ! interface Seria10:2 ip address 202.119.96.9 255.255.255.252 encapsulation hdlc no ip mroute-cache ! no ip classless ip route 133.210.40.0 255.255.255.0 Sefia10:0 ip route 133.210.41.0 255.255.255.0 Sefia10:1 ip route 133.210.42.0 255.255.255.0
Sefia10:2 ! line con 0 line aux 0 line vty 0 4 password cicso login ! end
阅读以下说明,回答下面问题。 【说明】 在atm(asynchronous transfer mode)传输模式中,信息被组织成信元,因包含来自某用户信息的各个信元不需要周期性出现,这种传输模式是异步的。由于atm技术简化了交换过程,去处了不必要的数据校验,采用易于处理的固定信元格式。lane指的是lan emulation over atm,即在atm网上进行lan局域网的模拟。 大多数数据目前都是lan上传送,例如ethernet等。在atm网上应用lane技术,我们就可以把分布不同区域网互联起来,在广域网上实现局域网的功能,对于用户来说,他们所接触到的仍然是传统的局域网的范畴,根本感觉不到lane的存在。 lane技术主要用到了lane server,它可以存在于一个或多个交换机内,也可以放在一台单独的工作站中,lane server可简写成les,主要功能就是mac-to-atm的地址转换,因为ethernet用的是mac地址,atm用的自己的地址方案,通过les地址转换可以把分布在atm边缘的lane client之间连接起来。atm网络在进行数据传输之前,在整个atm网络中建立一条虚拟电路。atm电路有两种类型:一种是虚拟路径,由虚拟路径标识符(vpi)表明;另一种是虚拟通道,由vpi和虚拟通道标识符等vci组合起来表明。虚拟路径是一组虚拟通道的集合,这些虚拟通道在普通的vpi的基础上通过atm网络进行透明交换。atm交换机通过一个已知vci或vpi上的链路接收一个信元;在局部译码表中找出相应的连接值,从而确定连接的引出端口以及链路上连接新vpi/vci值;用适合的连接标识符将信元转发到引出链路上。两种基本连接类型是:(1)永久虚拟连接(pvc)pvc是一种由网络管理等外部机制建立的连接,在这种连接方式中,处于atm源和目的atm系统之间的一系列交换机都被赋予适当的vpi/vci值。(2)交换虚拟连接(svc)。svc是一种由信令协议自动建立起来的连接,不需要进行手工配置。
66. 请解释atm信元。
正确答案:atm信元是固定长度的分组,共有53个字节,分为2个部分。前面5个字节为信头,主要完成寻址的功能;后面的48个字节为信息段,用来
装载来自不同用户,不同业务的信息。话音,数据,图像等所有的数字信息都要经过切割,封装成统一的格式的信元载网中传递,并载接收段恢复成所需格式。
67. 请简述他们之间的通信过程。
正确答案:1.lan swith从ethernet终端接收到一个帧,这个帧的目的地址是atm网络另一端的一台ether-net终端。lec即lane client(它驻留在lan swith中)于是就发送一个mac-to-atm地址转换请求到 les(1es驻留在atm swith中)。2.1es发送多点组播至网络上的其他lec。3.在地址表中含有被叫mac地址的lec向les作出相应4.1es接着便向其他lec广播这个响应。5.发送地址转换请求的lec认知这个相应,并得到目的地址atm地址,接着便通过atm网建立一条svc至目的lec,用atm信元传送数据。
68. 下面是某路由器的部分配置信息,解释(n)处标有下划线部分的含义。
【配置路由器信息】 Current configuration: ! version 11.3 no service password-encryption ! hostname router5 第(1)
处 ! enable password nwdl2345 第(2)处 ! interface Ethernet0 ip address 192.4.1.1.255.255.255.0 第(3)处 ! interface Seria10 ip address 192.3.1.1 255.255.255.0 encapsulation
frame-rocay IETF no ip mroute-cache bandwidth 2000 第(4)处 frame-relaymanin 192.3.1.2100 broadcast 第(5)处 frame-relaylmi-typecisco ! router ospfl 第(6)处 netword
192.1.1.0.0.0.0.255 area0 第(7)处 network 192.3.1.0.0.0.0.255 area0 network 192.4.1.0.0.0.0.255 area0 neighbor 192.1.1.2 第(8)处 ! End
正确答案:(1)路由器名为router5(2)特权密码为pwd12345(3)设置以太网接口0的IP地址为192.4.1.1子网掩码为255.255.255.0。(4)带宽为2M(5)映射IP地址与帧中继地址。对方路由器的IP地址为192.3.1.2,本端口的帧中继号码为 100,并且允许在帧中继线路上传送路由广播信息(6)指定使用OSPF协议,路由进程id为1(7)指定与该路由器相连的网络IP为192.1.1.0,子网隐码的反码为0.0.0.255(或子网掩码为255.255.255.0),网络区域ID为0(8)指定与该路由器相邻的节点地址为192.1.1.2
因篇幅问题不能全部显示,请点此查看更多更全内容