中级网络工程师2016上半年上午试题与答案解析全解 下载本文

2016年上半年软考网络工程师考试真题(上午、下午试题)

以下是 AR2220 的部分配置。

[AR2220]acl 2000

[AR2220-acl-2000]rule normal pemut source 192.168.0.0 0.0.255.255 [AR2220-acl-2000]rule normal deny source any [AR2220-acl-2000]quit

[AR2220]interface Ethemet0

[AR2220-Ethemet0]ip address 192.168.0.1 255.255.255.0 [AR2220-Ethemet0]quit

[AR2220]mterface Ethemet1

[AR2220-Ethemet1]ip address 59.41.221.100

255.255.255.0 [AR2220-Ethemet1]nat outbound 2000 mterface [AR2220-Ethernet1]quit

[AR2220]ip route-static 0.0.0.0 0.0.0.0 59.74221.254

设备 AR2220 硬用( )接口实现 NAT 功能,该接口地址韵网关是(

)。

【问题 3】(每空 2 分,共 6 分)

若只允许内网发起 ftp、http 连接,并且拒绝来自站点 2.2.2.11 的 Java Applets 报文。在

USG3000 设备中有如下配置,请补充完整。

[USG3000]acl number 3000

[USG3000-acl-adv-3000] rule permit tcp destination-port eq www [USG3000-acl-adv-3000] rule permit tcp destination-port eq ftp [USG3000-acl-adv-3000] rule permit tcp destination-port eq ftp-data [USG3000]acl number 2010

21 / 30

2016年上半年软考网络工程师考试真题(上午、下午试题)

[USG3000-acl-basic-2010] rule( )source 2.2.2.11.0.0.0.0 [USG3000-acl-basic-2010] rule permit source any [USG3000]( ) interzone trust untrust [USG3000-interzone-ttust-untrust] packet-filter 3000 ( ) [USG3000-interzone-ttust-untrust] detect ftp [USG3000-interzone-ttust-untrust] detect http [USG3000-interzone-ttust-untrust] detect java-blocking 2010 ( )~( )备选答案:

A.Firewall B.trust C.deny D.permit E.outbound F.inbound

【问题4】(每空 2 分,共 6 分) PC-1、PC-2、PC-3、网络设置如表 1-2。 表 1-2 设备名 网络地址 网关 VLAN VLAN100 PC-1 192.1682.2/24 192.168.2.1 192.168.3.1 PC-2 192.168.3.2/24 192.168.4.2/24 VLAN200 VLAN300 PC-3 192.168.4.1

通过配置 RIP,使得 PC-1、PC-2、PC-3 能相互访问,请补充设备 E 上的配置,或解 释相关命令。

// 配置 E 上 vlan 路由接口地址 interface vlanif 300

ip address( )255.255.255.0 interface vlanif 1000

//互通 VLAN

22 / 30

2016年上半年软考网络工程师考试真题(上午、下午试题)

ip address 192.168.100.1 255.255.255.0 //配置 E 上的 rip 协议 rip

network 192.168.4.0 networkr ( )

//配置 E 上的 trunk // ( ) int e0/1

Port link-type trunk

//( )

port trunk permit vlan all

试题二(共 20 分) 阅读以下说明,回答问题 1 至问题 3,将解答填入答题纸对应的解答栏内。 【说明】 某学校的网络拓扑结构图如图 2-1 所示。

【问题 1】(每空 1 分,共 7 分)

常用的 IP 访问控制列表有两种,它们是编号为( )和 1300~1399 的标准访问控制列 表和编为( )和 2000~2699 的扩展访问控制列表、其中,标准访问控制列表是根据 IP

报的( )来对 IP 报文进行过滤,扩展访问控制列表是根据 IP 报文的( )、( )、上层 协议和时间等来对 IP 报文进行过滤。一般地,标准访问控制列表放置在靠近( )的位置, 扩展访问控制列表放置在靠近( )的位置。

【问题 2】(每空 1 分,共 1 0 分)

为保障安全,使用 ACL 对网络中的访问进行控制。访问控制的要求如下:

23 / 30

2016年上半年软考网络工程师考试真题(上午、下午试题)

(1)家属区不能访问财务服务器,但可以访问互联网;

(2)学生宿舍区不能访问财务服务器,且在每天晚上 18:00~24:00 禁止访问互联网; (3)办公区可以访问财务服务器和互联网;

(4)教学区禁止访问财务服务器,且每天 8:00~18:00 禁止访问互联网。

1.使用 ACL 对财务服务器进行访问控制,请将下面配置补充完整。

R1(config)#access-list 1 ( )( ) 0.0.0.255 R1(config)#access-Iist 1 deny 172.16.10.0 0.0.0.255

R1(config)#access-list 1 deny 172.16.20.0 0.0.0.255 R1(config)#access-Iist 1 deny ( )0.0.0.255 Rl(config)#mterface ( )

R1(config-if)#ip access-group 1 ( )

2.使用 ACL 对 Internt 进行访问控制,请将下面配置补充完整。 Route-Switch(config)#time-range jxq Route-Switch(config)#time-range xsssq Route-Switch(config-time-range)#exit

Route-Switch(config)#access-list 100 permit ip 172.16.10.0 0.0.0.255 any Route-Switch(config)#access-list 100 permit ip 172.16.40.0 0.0.0.255 any Route-Switch(config)#access-list 100 deny ip( )0.0.0.255 time-range jxq Route-Switch(corffig)#access-list 100 deny ip( )0.0.0.255 time-range xsssq Route-Switch (config)#interface( )

Route-Switch(config-if)#ip access-group 100out

∥定义教学区时间范围

Route-Switch(config-tune-range)# periodic daily ( )

//定义学生宿舍区时间范围

Route-Switch(config-time-range)#periodic ( ) 18:00 t0 24:00

【问题 3】(每空 1 分,共 3 分) 网络在运行过程中发现,家属区网络经常受到学生宿舍区网络的 DDoS 攻击,现对家属区 网络和学生宿舍区网络之间的流量进行过滤,要求家属区网络可访问学生宿舍区网络,但学 生宿舍区网络禁止访问家属区网络。

采用自反访问列表实现访问控制,请解释配置代码。 Route-Switch(config)#ip access-hst extended infilter

Route-Switch(config-ext-nacl)#permit ipany 172.16.20.0 0.0.0.255 refiect jsq ( ) Route-Switch(config-ext-nacl)#exit

Route-Switch(config)#ip access-list extended outfilter Route-Switch(config-ext-nacl)# evaluate jsq( ) Route-Switch(config-ext-nacl)#exit Route-Switch(config)#interface fastethernet 0/1 Route-Switch(config-if)#ip access-group infilter in Route-Switch(config-if)#ip access-group outfilter out //( )

24 / 30