网络工程师突击一

最新推荐文章于 2024-09-23 09:53:50 发布

weixin_34174322

最新推荐文章于 2024-09-23 09:53:50 发布

阅读量123

点赞数

文章标签：操作系统网络数据库

原文链接：http://blog.51cto.com/yxh51netsec/1316559

版权

2013年网络工程综合知识试题知识点分布

2009年1月国家软考办发布了《网络工程师考试大纲及培训指南（2009）》，本次考试就是按新考试大纲来出题的。希赛教育软考学院专家独家分析，从上午试卷和下午试卷涉及知识结构分析，完全符合其2009版的考试大纲，无超纲迹象。对于考试而言我们要求考生除了紧扣考试大纲，还需要注重平时知识结构广度和深度的积累。

　　1.网络工程综合知识试题

　　2013年5月考试网络工程综合知识试题考查的知识点分布如表1所示。

　　表1 2013年5月考试网络工程综合知识试题知识点分布

在本次考试中，上午试题具有以下几个突出特点：

　　（1）本次试题的难度与近几次考试相比，难度有所下降，且各知识点分布更集中；

　　（2）网络互联与Internet技术章节与上次考试（2012年11月）分值都维持在25分左右；

　　2.案例分析与设计试题

　　试题一（20分）

　　本题是一道网络系统分析与设计方面的试题，其中涉及到的内容有网络工程项目的设计流程、各种传输介质的合理使用、网络设备模块数量计算、IDS部署位置、WLAN部署、×××分类。本题总体来说难度并不大，特别是传输介质的合理使用，在软考网工级别考试中出现了多次。事实上，经过理性分析，可以通过平时的专业积累，导出答案。

　　问题1- 网络规划与设计

　　一个网络拓扑的过程包含了需求分析、通信规范分析、逻辑网络设计、物理网络设计与网络实施五个阶段。熟悉这五个阶段的具体活动内容，可以很快的做出该题答案。

　　问题2- 模块数量计算、介质选型、IDS部署位置

　　（1）企业核心层交换机可以分为路由引擎模块、交流电源模块、RJ45接口以太电接口板、SFP以太光接口模块、SFP-GE模块等子部件。可以根据网络拓扑图分析连接在核心交换机上的设备、所用介质在接口模块间作取舍。处于设备可靠性的考虑可以在核心设备上配置两个电源模块、两个核心引擎模块。但如果是维持其最低配置，则单电源与单核心引擎模块即可。

　　（2）关于介质选型。以下列出了针对传输介质选用和网络设备选型提供一些考题汇总信息，供考生参考：

　　双绞线（5、5e、6类别）：双绞线的传输距离理论值在100m之类，大于100m的距离不用考虑双绞线介质；

　　多模光纤：符合1000BASE-SX标准，其传输距离在100m-550m之间。

　　单模光纤：符合1000BASE-LX标准，其传输距离在500m以上。

　　（3）IDS***检测系统是一个监听设备，没有跨接在任何链路上，无须网络流量流经它便可以工作。因此，对IDS的部署，唯一的要求是：IDS应当挂接在所有所关注流量都必须流经的链路上。在这里，“所关注流量”指的是来自高危网络区域的访问流量和需要进行统计、监视的网络报文。在如今的网络拓扑中，已经很难找到以前的HUB式的共享介质冲突域的网络，绝大部分的网络区域都已经全面升级到交换式的网络结构。因此，IDS在交换式网络中的位置一般选择在尽可能靠近***源或者尽可能靠近受保护资源。这些位置通常是：

a、服务器区域的交换机上

b、Internet接入路由器之后的第一台交换机上

c、重点保护网段的局域网交换机上

　　问题3- WLAN部署

　　WLAN是对LAN的延伸。WLAN的核心设备是AP,按照功能来划分FIT AP（瘦AP）和FAT AP（胖AP）。瘦AP一般指无线网关或网桥，胖AP一般指无线路由。瘦AP需要专用无线控制器的，通过无线控制器下发配置才能用，里面本身不能进行相关配置，多用于要求较高的场合，要实现认证一般需要认证服务器或者支持认证功能的交换机配合。胖AP多用于家庭和小型网络，功能比较全，一般一台设备就能实现接入、认证、路由、DHCP、DNS、×××、地址翻译甚至防火墙功能。出于安全的考虑，AP可以配置用户认证、MAC地址过滤，配置加密措施（常见的有WEP、WPA、WPA2是三种方式，其中WPA2的安全性最好）。

　　出于延伸无线信号辐射面，可以在AP上增加天线。如果是空旷的环境，在各个方向都有无线终端则应该用全向天线。如果是室内且无线终端集中在某一个方向则可以考虑用定向天线。

　　此问题涉及知识点对考生要求需要注意平时知识面的积累，看得多了，自然也会有所了解。

　　问题4- ×××分类

　　关于×××分类常见的如：L2F、L2TP、PPTP属于二层×××,IPSEC、GRE属于三层×××.

　　试题二（15分）

　　试题二为一道网络系统实现技术的问题。此题侧重于“网络应用于服务”模块下DHCP服务器的配置与实现。

　　问题1：考查Linux下DHCP服务器的配置命令。需要注意的是在Linux下DHCP服务可以配置诸如租约时间、网络ID、广播地址、网关地址、DNS服务器、地址池范围、特定服务器MAC地址与IP地址的绑定等内容。

　　问题2：考查Linux下地址租约的内容。当客户端地址租约时间到达默认租约时间的50%时，DHCP 客户端回向DHCP服务器单播DHCP Request包，实现续约请求。若服务器同意则直接单播回复DHCP ACK,若服务器不同意租约则回复DHCP NAK包。

　　问题3：考查Linux下DHCP客户端释放IP地址的命令“ipconfig /release”和立即重新申请租约的命令“ipconfig /renew”

　　Linux下DHCP服务器的配置多次出现在软考网工级别下午题的考题中，不排除后续考试中再次出现的可能性。从总体难度来说此题并不难，需要考生对linux下DHCP服务器配置选项非常熟悉。

　　试题三（20分）

　　试题三为一道网络系统实现技术的问题。此题侧重于“网络应用于服务”和“”模块，设计到网卡参数配置、Windows下远程访问服务器、Windows主机下路由命令的配置、Windows下DHCP服务器、Web客户端排错这几方面的知识。

　　问题1：考查局域网边界服务器网卡参数的配置。

　　问题2：考查Windows下远程访问服务器要实现ADSL拨号功能的配置以及Windows环境下如何添加、删除路由的配置命令。

　　问题3：考查windows下DHCP用命令行的方式导入导出DHCP数据库的命令以及操作所需的条件。

　　DHCP数据库导出：“netsh dhcp server export c:\dhcpbackup.txt”.

　　DHCP数据库导入：“netsh dhcp server import c:\dhcpbackup.txt”

　　注意：必须具有本地管理员组（administrators组）权限才能导出数据。

　　问题4考查WEB客户端出现访问异常时，如何排错。

　　（1）错误号401.1

　　症状：HTTP 错误 401.1 - 未经授权：访问由于凭据无效被拒绝。

　　分析：

　　由于用户匿名访问使用的账号（默认是IUSR_机器名）被禁用，或者没有权限访问计算机，将造成用户无法访问。

　　解决方案：

　　a、查看IIS管理器中站点安全设置的匿名帐户是否被禁用，如果是，请尝试用以下办法启用：

　　控制面板->管理工具->计算机管理->本地用户和组，将IUSR_机器名账号启用。如果还没有解决，请继续下一步。

　　b、查看本地安全策略中，IIS管理器中站点的默认匿名访问帐号或者其所属的组是否有通过网络访问服务器的权限，如果没有尝试用以下步骤赋予权限：

　　开始->程序->管理工具->本地安全策略->安全策略->本地策略->用户权限分配，双击“从网络访问此计算机”,添加IIS默认用户或者其所属的组。

　　注意：一般自定义 IIS默认匿名访问帐号都属于组，为了安全，没有特殊需要，请遵循此规则。

　　（2）错误号401.2

　　症状：HTTP 错误 401.2 - 未经授权：访问由于服务器配置被拒绝。

　　原因：关闭了匿名身份验证

　　解决方案：

　　运行inetmgr,打开站点属性->目录安全性->身份验证和访问控制->选中“启用匿名访问”,输入用户名，或者点击“浏览”选择合法的用户，并两次输入密码后确定。

　　（3）错误号：401.3

　　症状：HTTP 错误 401.3 - 未经授权：访问由于 ACL 对所请求资源的设置被拒绝。

　　原因：IIS匿名用户一般属于Guests组，而我们一般把存放网站的硬盘的权限只分配给administrators组，这时候按照继承原则，网站文件夹也只有administrators组的成员才能访问，导致IIS匿名用户访问该文件的NTFS权限不足，从而导致页面无法访问。

　　解决方案：

　　给IIS匿名用户访问网站文件夹的权限，方法：进入该文件夹的安全选项，添加IIS匿名用户，并赋予相应权限，一般是读、写。

　　试题四（20分）

　　试题四为一道网络系统实现技术的问题。此题侧重于“路由器、交换机、PIX防火墙的配置命令”模块。其配置集中在ACL的配置、VLAN配置命令。

　　问题1：考查ACL的分类。

目前有两种主要的ACL：标准ACL和扩展ACL.
　　标准的ACL使用 1 ~ 99 之间的数字作为表号扩展的ACL使用 100 ~ 199之间的数字作为表号这两种ACL的区别是，标准ACL只检查数据包的源地址；扩展ACL既检查数据包的源地址，也检查数据包的目的地址，同时还可以检查数据包的特定协议类型、端口号等。
　　网络管理员可以使用标准ACL阻止来自某一网络的所有通信流量，或者允许来自某一特定网络的所有通信流量，或者拒绝某一协议簇（比如IP）的所有通信流量。
　　扩展ACL比标准ACL提供了更广泛的控制范围。例如，网络管理员如果希望做到“允许外来的Web通信流量通过，拒绝外来的FTP和Telnet等通信流量”，那么，他可以使用扩展ACL来达到目的，标准ACL不能控制这么精确。
　　在路由器配置中，标准ACL和扩展ACL的区别是由ACL的表号来体现的，上表指出了每种协议所允许的合法表号的取值范围。

　问题2：ACL的配置和VLAN的配置

步骤一：创建vlan10、vlan20、vlan30
S5750#conf ----进入全局配置模式
S5750(config)#vlan 10 ----创建VLAN10
S5750(config-vlan)#exit ----退出VLAN配置模式
S5750(config)#vlan 20 ----创建VLAN20
S5750(config-vlan)#exit ----退出VLAN配置模式
S5750(config)#vlan 30 ----创建VLAN30
S5750(config-vlan)#exit ----退出VLAN配置模式
步骤二：将端口加入各自vlan
S5750(config)# interface range gigabitEthernet 0/1-5 ----进入gigabitEthernet 0/1-5号端口
S5750(config-if-range)#switchport access vlan 10 ----将端口加划分进vlan10
S5750(config-if-range)#exit ----退出端口配置模式
S5750(config)# interface range gigabitEthernet 0/6-10 ----进入gigabitEthernet 0/6-10号端口
S5750(config-if-range)#switchport access vlan 20 ----将端口加划分进vlan20
S5750(config-if-range)#exit ----退出端口配置模式
S5750(config)# interface range gigabitEthernet 0/11-15 ----进入gigabitEthernet 0/11-15号端口
S5750(config-if-range)#switchport access vlan 30 ----将端口加划分进vlan30
S5750(config-if-range)#exit ----退出端口配置模式
步骤三：配置vlan10、vlan20、vlan30的网关IP地址
S5750(config)#interface vlan 10 ----创建vlan10的SVI接口
S5750(config-if)#ip address 192.168.10.1 255.255.255.0 ----配置VLAN10的网关
S5750(config-if)#exit ----退出端口配置模式
S5750(config)#interface vlan 20 ----创建vlan10的SVI接口
S5750(config-if)#ip address 192.168.20.1 255.255.255.0 ----配置VLAN10的网关
S5750(config-if)#exit ----退出端口配置模式
S5750(config)#interface vlan 30 ----创建vlan10的SVI接口
S5750(config-if)#ip address 192.168.30.1 255.255.255.0 ----配置VLAN10的网关
S5750(config-if)#exit ----退出端口配置模式
步骤四：创建ACL，使vlan20能访问vlan10，而vlan30不能访问vlan10
S5750(config)#ip access-list extended deny30 ----定义扩展ACL
S5750(config-ext-nacl)#deny ip 192.168.30.0 0.0.0.255 192.168.10.0 0.0.0.255 ----拒绝vlan30的用户访问vlan10资源
S5750(config-ext-nacl)#permit ip any any ----允许vlan30的用户访问其他任何资源
S5750(config-ext-nacl)#exit ----退出扩展ACL配置模式
步骤五：将ACL应用到vlan30的SVI口in方向
S5750(config)#interface vlan 30 ----创建vlan30的SVI接口
S5750(config-
if)#ip access-group deny30 in ----将扩展ACL应用到vlan30的SVI接口下

反向acl：

access-list 101 permit tcp 172.16.3.0 0.0.0.255 172.16.4.0 0.0.0.255 established 定义ACL101，容许所有来自172.16.3.0网段的计算机访问172.16.4.0网段中的计算机，前提是TCP连接已经建立了的。当TCP连接没有建立的话是不容许172.16.3.0访问172.16.4.0的。

int e 1 进入E1端口

ip access-group 101 out 将ACL101宣告出去

　问题3：考查时间访问控制列表的配置。

time-range softer定义时间段名称为softer

periodic weekend 00:00 to 23:59定义具体时间范围，为每周周末（6，日）的0点到23点59分。当然可以使用periodic weekdays定义工作日或跟星期几定义具体的周几。

access-list 101 deny tcp any 172.16.4.13 0.0.0.0 eq ftp time-range softer设置ACL，禁止在时间段softer范围内访问172.16.4.13的FTP服务。

access-list 101 permit ip any any设置ACL，容许其他时间段和其他条件下的正常访问。

int e 1进入E1端口。

ip access-group 101 out宣告ACL101。

基于时间的ACL比较适合于时间段的管理，通过上面的设置172.16.3.0的用户就只能在周末访问服务器提供的FTP资源了，平时无法访问

　　问题4：考查站点到站点式×××和远程访问×××的分别使用的场合。

站点到站点×××连接是一种请求拨号连接，它使用×××隧道协议（PPTP或L2TP/IPSec）来连接不同的专用网络，连接两端的每个×××服务器都提供一个到达自己所属本地专用网络的路由连接。
而远程访问×××将一台单独的计算机连接到网络中不同，站点到站点×××连接连接整个网络。当两台×××服务器创建站点到站点×××连接后，连接两端的×××所属的专用网络均可以访问另一端的远程网络，就像访问本地网络一样。

转载于:https://blog.51cto.com/yxh51netsec/1316559