笔记-2018年网络工程师软考

哈，证书到手啦！两个证哦！怀念考证学习的日子！

主要是做题后的积累总结、知识系统化明确化。
Update
2018年11月

上午试题：

IEEE802.11i

临时密钥完整性协议TKIP，使用RC4加密协议

重新制定了新的加密协议，CCMP CBC-MAC协议的计时器模式，基于高级加密标准AES。AES使用128位的密钥。

必要的身份认证。802.1x基于端口的身份认证协议。

GBIC端口光电转换器，连接光纤。SFP端口是GBIC端口的升级版。

cp -f 强制复制。

ls -t以时间顺序 -a目录下所有文件 -c按修改时间排序 -d将目录像文件一样显示

下午试题：

配置二层ACL

基于 ACL的简化策略法和 QoS 流策略法

基于 ACL的简化策略法

（1）配置符合要求的二层ACL。

（2）在GE2/0/1端口上应用以上配置的二层ACL 4000。同样，可随便选择使用 traffic-filter或者traffic-secure命令对二层报文进行过滤。下面仅以traffic-secure命令为例进行介绍。

[HUAWEI] interface GigabitEthernet 2/0/1

[HUAWEI-GigabitEthernet2/0/1] traffic-secure inbound acl 4000

[HUAWEI-GigabitEthernet2/0/1] quit

ACL的编号为4000，是高级ACL，应用到靠近源主机的端口，也就是入口，所以命令用的是inbound

基于 QoS 流策略法

① 配置流分类 tc1，对匹配ACL 4000的报文进行分类。

[HUAWEI] traffic classifier tc1

[HUAWEI-classifier-tc1] if-match acl 4000

[HUAWEI-classifier-tc1] quit

② 定义流行为tb1，动作为拒绝报文通过。

[HUAWEI] traffic behavior tb1

[HUAWEI-behavior-tb1] deny

[HUAWEI-behavior-tb1] quit

③ 创建流策略tp1，将流分类tc1与流行为tb1关联。

[HUAWEI] traffic policy tp1

[HUAWEI-trafficpolicy-tp1] classifier tc1 behavior tb1

[HUAWEI-trafficpolicy-tp1] quit

④ 将流策略tp1应用到GE2/0/1接口。

[HUAWEI] interface gigabitethernet 2/0/1

[HUAWEI-GigabitEthernet2/0/1] traffic-policy tp1 inbound

[HUAWEI-GigabitEthernet2/0/1] quit

静态路由 注意搞清楚目的网络，然后再填写下一跳地址Or出端口。不要想当然觉得通信是什么样的。

目的子网可以为特定主机，这时，子网掩码为255.255.255.255

优点：有助于简化存储设备的管理工作，降低工作量。

提高生产效率和系统性能，缩短服务器和应用程序停机时间。

降低系统购置和运行成本。

风险：

管理员必须跟踪系统额实际容量使用状态，避免出现磁盘空间不足的问题。

---

2018.5上午试题

• 名词的说法。共享密钥算法（对称加密算法），公开密钥算法（非对称加密算法）。
  
• 帧长度实际从目的地址开始算。数据部分（IP报文）最长为1500字节。
• SNMP端口号。代理端口默认为161，管理者端口默认为162。

SNMP协议实体发送请求和应答报文的默认端口号是161（管理者向代理发送请求，用的是代理的端口161）

SNMP代理发送陷入报文（trap）的默认端口号162（代理向管理者发送，使用162端口号）

• PGP是电子邮件加密软件，提供两种服务：数据加密和数据签名。数据签名机制用于数据源身份认证和报文完整性验证。PGP使用RSA公钥证书进行身份认证，使用IDEA（128位密钥）进行数据加密，使用MD5进行数据完整性验证。
• apache默认的文档路径是/var/www/html目录，默认Web站点的目录也可以为/home/httpd。
• With circuit switching（电路交换）, a dedicated(专用的) path is established between two stations for communication. Switching and transmission resources within the network are reserved for（专供…用） the exclusive use of the circuit for the duration of the connection. The connection is transparent（透明的):Once it is established, it appears to attached devices as if there were a direct connection. Packet switching（分组交换） was designed to provide a more efficient facility than circuit switching for bursty data traffic（突发数据通信）. Each packet contains some portion of the user data plus control information needed for proper functioning of the network. A key distinguishing element of packet-switching networks is whether the internal operation is datagram or virtual circuit. With internal virtual circuits, a route is defined between two endpoints and all packets for that virtual circuit follow the same route.With internal datagrams, each packet is treated independently, and packets intended for the same destination may follow different routes.
  选择专业词汇和高频词汇正确率更高。

下午题：

第一题和第四题：

防火墙的三种模式：网桥模式（透明模式）、路由模式、混合模式。区别方法：网桥模式连接防火墙的两端在同一子网，路由模式不同子网。

查看路由器的IP 路由表信息：

< Huawei >display ip routing-table

cisco: show ip route

访问控制列表（ACL）根据源地址、目的地址、源端口或目标端口对数据包进行过滤，从而达到访问控制的目的。

ACL分为标准的和扩展的两种类型。标准ACL（1 ~ 99,1300 ~ 1999）只根据分组中的IP源地址进行过滤，扩展ACL（100 ~ 199,2000~2699）不仅可根据源地址或目标地址，还可根据不同的上层协议和协议信息进行过滤。

在靠近源地址（出口）的网络接口上配置扩展ACL，在靠近目标地址（入口）的网络接口上配置标准ACL。

匹配规则：路由器自顶向下逐个处理ACL语句，找到第一个匹配的语句，允许(permit)或拒绝(deny)分组通过。所以，特殊在前，一般在后。

配置标准ACL命令的完整格式：

思科

Router(config)# access-list 1-99|1300-1999 permit|deny source_IP_address [wildcard_mask][log]

通配符wildcard掩码用来说明子网的地址，默认为0.0.0.0，即全部匹配

一个例子：

ip access-group 2 out

配置扩展ACL命令的完整格式

Router(config)# access-list 100-199|2000-2699 permit|deny protocol
source_address source_wildcard_mask[protocol_information]
destination_address destination_wildcard_mask[protocol_information]

命名的访问控制列表

对于标准ACL

Router(config)#ip access-list standard ACL_NAME

Router(config-std-acl)# permit|deny source_IP_address [wildcard_mask]

对于扩展ACL

Router(config)#ip access-list extended ACL_NAME

Router(config-ext-acl)# permit|deny ip_protocol

source_IP_address wildcard_mask [protocol_information]

destination_IP_address wildcard_mask [protocol_information]

激活命名的ACL

Router(config)#interface type port_#

Router(config-if)#ip access-group ACL_NAME in|out

考点对应真题(2015下半年下午试题2)

华为的ACL命令

对于数据型ACL，ACL编号的取值范围。应用范围跟思科的有许多相似之处，不再赘述。

取值范围	对应类型
2 000～2 999	基本ACL
3 000～3 999	高级ACL
4 000～4 999	二层ACL
5 000～5 999	用户自定义ACL

ACL匹配顺序：

1）按照配置顺序，是按照规则编号大小顺序进行匹配

2）自动顺序：深度优先原则

注：{}表示必填项，|表示二选一，[]可选参数，粗体表示命令，否则表示参数值；“*”表示前面用“[ ] ”括住的参数或选项是可同时多选的。

创建基本ACL

system-view

[HUAWEI] acl name acl-name {basic | acl-number}

acl [number] acl-number

description text 描述信息

配置基本ACL规则

rule [rule-id] {deny|permit} [ source{source-address source-wildcard|any}

|fragment |logging |time-range time-name]*

【示例】配置在ACL 2001中增加一条规则，允许源地址是 192.168.32.1的报文通过。
<HUAWEI>system-view
[HUAWEI] acl 2001
[HUAWEI-acl-basic-2001] rule permit source 192.168.32.1 0

配置高级ACL规则

高级ACL除了可以根据源IP 地址进行规则匹配之外，还可以根据报文的目的IP地址信息、IP承载的协议类型、协议的特性（如TCP或UDP的源端口、目的端口，ICMP协议的消息类型、消息码等）等信息进行匹配。

【示例1】配置在ACL3000（采用缺省步长5）中增加一条规则号为2的，允许基于IGMP协议类型报文通过的规则。<HUAWEI>system-view
[HUAWEI] acl 3000
[HUAWEI-acl-adv-3000] rule 2 permit igmp
【示例2】配置在ACL3000中删除上一示例中基于ICMP协议类型的规则。
<HUAWEI>system-view
[HUAWEI] acl 3000
[HUAWEI-acl-adv-3000] undo rule 2
【示例3】配置在ACL3001中采用规则号自动分配方式（此时不用手工指定规则号）增加一条规则，允许从129.9.0.0网段的主机向202.38.160.0网段的主机发送的所有IP报文通过。
<HUAWEI>system-view
[HUAWEI] acl 3001
[HUAWEI-acl-adv-3001] rule permit ip source 129.9.0.0 0.0.255.255 destination 202.38.160.0 0.0.0.255
【示例4】配置在ACL3001中采用规则号自动分配方式（此时不用手工指定规则号）增加一条规则，允许 129.9.8.0网段内的主机建立与 202.38.160.0网段内的主机UDP 128端口上建立的UDP通信。
<HUAWEI>system-view
[HUAWEI] acl 3001
[HUAWEI-acl-adv-3001] rule permit udp source 129.9.8.0 0.0.0.255 destination 202.38.160.0 0.0.0.255 destination-port eq 128

使用 display acl { acl-number |name acl-name | all }命令查看ACL的相关配置信息。

路由器静态路由配置

路由分为直连路由、静态路由和动态路由三类。

0.0.0.0 0.0.0.0（目的地址和掩码全0表示默认路由）

静态路由包括5个主要的参数：目的IP地址和子网掩码、出接口和（或）下一跳IP地址、优先级。

对于点对点类型的接口（如PPP链接接口，对端唯一），只需指定出接口。对于非广播多路访问类型的接口，指定下一跳IP地址。

优先级，值越小表示静态路由的优先级越高，优先选择。ipv4默认的缺省优先级为60。应用：相同目的网络的多条静态路由，如果优先级相同，则负载分担；优先级不同，路由备份。

ip route-static ip-address { mask | mask-length } { nexthop-address| interface-type interface-number [ nexthop-address ] } [preference preference]

对于思科的命令，命令前面是ip route

路由器DHCP配置

DHCP客户端、DHCP服务端、DHCP中继（当DHCP服务器和客户端不在同一个网段范围时，需要DHCP中继）

配置基于全局地址池的DHCP服务器（2018年5月下午第四题）

1、使能DHCP 服务器功能。

system-view

[Huawei] sysname Router

[Router] dhcp enable

2、配置IP地址池1的属性（地址池范围、DNS地址、出口网关、排除地址和地址池租用期）。在本地址池中仅需要排除位于10.1.1.0/25子网中的DNS服务器和NetBIOS服务器IP地址。这种方式，配置地址池无需到接口配置模式下配置。

[Router] ip pool pool1

[Router-ip-pool-pool1] network 10.1.1.0 mask 255.255.255.128 //地址池范围

[Router-ip-pool-pool1] dns-list 10.1.1.2

[Router-ip-pool-pool1] gateway-list 10.1.1.1 !—要与VLANIF10 接口IP 地址一致

[Router-ip-pool-pool1] excluded-ip-address 10.1.1.2

[Router-ip-pool-pool1] excluded-ip-address 10.1.1.4

[Router-ip-pool-pool1] lease day 10

[Router-ip-pool-pool1] quit

domain-name 为DHCP客户端设置域名

3 配置VLANIF10 接口IP 地址，并使它连接的客户端从全局地址池中获取IP地址。

[Router] interface vlanif 10

[Router-Vlanif10] ip address 10.1.1.1 255.255.255.128

[Router-Vlanif10] dhcp select global //使以上接口采用全局地址池的DHCP服务器功能

[Router-Vlanif10] quit

配置基于接口地址池的DHCP服务器

（1）在Router 上使能DHCP 服务。

system-view

[Huawei] sysname Router

[Router] dhcp enable

（2）配置 VLANIF 接口的 IP 地址，并使接口连接的客户端能从接口地址池中获取IP地址

[Router] interface vlanif 10

[Router-Vlanif10] ip address 10.1.1.1 255.255.255.0

[Router-Vlanif10] dhcp select interface

[Router-Vlanif10] quit

（3）配置 VLANIF10 接口对应地址池的 DNS 服务器、NetBOIS 服务器、排除 IP 地址。

[Router] interface vlanif 10

[Router-Vlanif10] dhcp server domain-name huawei.com

[Router-Vlanif10] dhcp server dns-list 10.1.1.2

[Router-Vlanif10] dhcp server nbns-list 10.1.1.3

[Router-Vlanif10] dhcp server excluded-ip-address 10.1.1.2[Router-Vlanif10] dhcp server excluded-ip-address 10.1.1.3

[Router-Vlanif10] dhcp server lease day 3

[Router-Vlanif10] quit

路由器NAT配置

第一种应用是动态地址翻译，m(需要翻译的内部地址数):n(可用的全局地址数)

第二种应用是伪装，m:1,用一个路由器的IP可以把子网中所有主机的IP地址都隐藏起来。网络地址和端口翻译（NAPT）。也可以说是静态NAT。

配置动态NAT

（1）配置两个用于控制 A 区和 B 区用户应用动态 NAT 地址转换的 ACL。因为这里仅需要控制作为源IP地址（不用控制通信协议类型）的用户私网IP地址，所以仅需配置基本ACL即可。

[Router] acl 2000

[Router-acl-basic-2000] rule 5 permit source 192.168.20.0 0.0.0.255

[Router-acl-basic-2000] quit

[Router] acl 2001

[Router-acl-basic-2001] rule 5 permit source 10.0.0.0 0.0.0.255

[Router-acl-basic-2001] quit

（2）配置两个动态NAT 出接口地址关联。这里采用地址池的方式配置。

[Router] nat address-group 1 202.169.10.100 202.169.10.200

[Router] nat address-group 2 202.169.10.80 202.169.10.83

[Router] interface gigabitethernet 3/0/0

[Router-GigabitEthernet3/0/0] nat outbound 2000 address-group 1

[Router-GigabitEthernet3/0/0] nat outbound 2001 address-group 2

[Router-GigabitEthernet3/0/0] quit

（3）配置到达 Internet 的缺省路由，指定下一跳地址为运营商侧设备 IP 地址202.169.10.2。

[Router] ip route-static 0.0.0.0 0.0.0.0 202.169.10.2

配置静态NAT

（1）配置各接口IP 地址。根据图中标注，本示例中的LAN 和WAN 接口都是三层接口，均可直接配置IP地址。 system-view

[Huawei] sysname Router

[Router] interface gigabitethernet 2/0/0

[Router-GigabitEthernet2/0/0] ip address 202.10.1.2 24

[Router-GigabitEthernet2/0/0] quit

[Router] interface ethernet 1/0/0

[Router-Ethernet1/0/0] ip address 192.168.0.1 24

[Router-Ethernet1/0/0] quit

（2）配置出接口GE2/0/0 一对一的静态NAT 映射表项。

[Router] interface gigabitethernet 2/0/0

[Router-GigabitEthernet2/0/0] nat static global 202.10.1.3 inside 192.168.0.2

[Router-GigabitEthernet2/0/0] quit

（3）配置到达Internet 的缺省路由，下一跳地址为运营商侧IP 地址202.10.1.1。

[Router] ip route-static 0.0.0.0 0.0.0.0 202.10.1.1

第二题：

无线网络的身份认证协议802.1X,

WPA 802.1X对用户的MAC地址进行认证。

80211i

802.1X是一种基于端口的身份认证协议。无线工作站安装802.1X 客户端软件，无线访问点要内嵌802.1X 认证代理。还可以作为Radius客户端。

三种存储方式：DAS、NAS、SAN。直连式存储（Direct-Attached Storage ）直接连接到服务器。网络接入存储（Network-Attached Storage）连接到以太网上，与交换设备连接。存储区域网络（Storage Area Network）光纤通道互连，连接到光纤交换机。

RAID2.0在重构方面的改进：快速重构、实现自动负载均衡、提升系统性能、自愈合。raid2.0实际上是一个系统故障恢复的协议。

第三题：

在Intranet中，当客户端向DNS服务器发出解析请求后，没有得到解析结果，则（使用NetBIOS名字解析）进行解析。

ipconfig/all：显示本机TCP/IP配置的详细信息

ipconfig/release：DHCP客户端手工释放IP地址

ipconfig/renew：DHCP客户端手工向服务器刷新请求

ipconfig/flushdns：清空本地DNS缓存

ipconfig/displaydns：显示本地DNS缓存

参考资料：
2018年5月 网络工程师 下午题

华为路由器学习指南 王达主编

网络工程师教程（第4版） 雷震甲等