網(wǎng)絡(luò)工程師第01套第 1 題（共15分）閱讀以下說明，回答問題1至問題6，將解答填入答題紙對應(yīng)的解答欄內(nèi)?！菊f明】某公司在Windows Server 2003中安裝IIS6.0來配置Web 服務(wù)器，

網(wǎng)絡(luò)工程師第01套

第 1 題

（共15分）

閱讀以下說明，回答問題1至問題6，將解答填入答題紙對應(yīng)的解答欄內(nèi)。

【說明】

某公司在Windows Server 2003中安裝IIS6.0來配置Web 服務(wù)器，域名為www.csai.cn 。

【問題1】（2分）

IIS 安裝的硬盤分區(qū)最好選用NTFS 格式，是因為（1）和（2）。

A ．可以針對某個文件或文件夾給不同的用戶分配不同的權(quán)限

B ．可以防止網(wǎng)頁中的Applet 程序訪問硬盤中的文件

C ．可以使用系統(tǒng)自帶的文件加密系統(tǒng)對文件或文件夾進行加密

D ．可以在硬盤分區(qū)中建立虛擬目錄

【問題2】（3分）

為了禁止IP 地址為202.161.158.239～202.161.158.254的主機訪問該網(wǎng)站，在圖所示的“IP 地址和域名限制”對話框中點擊“添加”按鈕，增加兩條記錄，如表所示。填寫表中的（3）～

（5）處內(nèi)容。

【問題3】（4分）

實現(xiàn)保密通信的SSL 協(xié)議工作在HTTP 層和（6）層之間。SSL 加密通道的建立過程如下：

1．首先客戶端與服務(wù)器建立連接，服務(wù)器把它的（7）發(fā)送給客戶端；

2．客戶端隨機生成（8），并用從服務(wù)器得到的公鑰對它進行加密，通過網(wǎng)絡(luò)傳送給服務(wù)器；

3．服務(wù)器使用（9）解密得到會話密鑰，這樣客戶端和服務(wù)器端就建立了安全通道。

（6）～（9）的備選答案如下：

A ．TCP

B ．IP

C ．UDP

D ．公鑰

E ．私鑰

F ．對稱密鑰

G ．會話密鑰

H ．?dāng)?shù)字證書

I ．證書服務(wù)

【問題4】（2分）

在IIS 中安裝SSL 分5個步驟，這5個步驟的正確排序是（10）。

A ．配置身份驗證方式和SSL 安全通道

B ．證書頒發(fā)機構(gòu)頒發(fā)證書

C ．在IIS 服務(wù)器上導(dǎo)入并安裝證書

D ．從證書頒發(fā)機構(gòu)下載證書文

E ．生成證書請求文件

【問題5】（2分）

在安裝SSL 時，在“身份驗證方法”對話框中應(yīng)選用的登錄驗證方式是（11）。 備選答案：

A ．匿名身份驗證

B ．基本身份驗證

C ．集成Windows 身份驗證

D ．摘要式身份驗證

E ．Net Passport身份驗證

【問題6】（2分）

如果用戶需要通過SSL 安全通道訪問該網(wǎng)站，應(yīng)該在IE 的地址欄中輸入（12）。SSL 默認(rèn)偵聽的端口是（13）。

參考答案：

【問題1】2分

（1）A

（2）C

【問題2】3分

（3）202.161.158.240

（4）255.255.255.240

（5）202.161.158.239

【問題3】4分

（6）A

（7）H

（8）G

（9）E

【問題4】2分

（10）EBDCA

【問題5】2分

（11）B

【問題6】2分

（12）https://www.csai.cn

（13）443

試題分析：

為了確保IIS 服務(wù)的安全，一個重要的前提是給它提供一個安全的系統(tǒng)，而在Windows 服務(wù)器上的硬盤分區(qū)時，最好選用NTFS 格式，這種格式可以針對某個文件或文件夾給不同的用戶分配不同的權(quán)限，并且可以使用系統(tǒng)自帶的文件加密系統(tǒng)對文件或文件夾進行加密。 在IIS 中，如果發(fā)現(xiàn)來自某個IP 或某組IP 地址的計算機試圖攻擊網(wǎng)站，用戶可以禁止這些IP 地址中的計算機對子集的Web 和FTP 站點的訪問。為了禁止IP 地址為202.161.158.239～202.161.158.254的主機訪問該網(wǎng)站，可以采用添加單個IP 地址的形式加入限制訪問的地址列表中，也可以采用加子網(wǎng)掩碼的形式添加一組主機地址。在本題中，如果采用后一種方法，我們的子網(wǎng)掩碼應(yīng)選255.255.255.240，那么202.161.158.239不在該網(wǎng)段里，還需要單獨添加該主機IP 。

SSL 協(xié)議是安全套接層協(xié)議，有獨立的加密方案，在應(yīng)用層和傳輸層之間提供安全的通信方式。

IIS 使用的是HTTP 協(xié)議，傳輸過程是以明問的形式傳輸數(shù)據(jù)的，且沒有任何加密手段，傳輸過程很不安全，因此，需要給它安裝SSL 安全機制，安裝的主要步驟如下：生成證書請求文件；安裝證書服務(wù)；申請IIS 網(wǎng)站證書；頒發(fā)IIS 網(wǎng)站證書；導(dǎo)入IIS 網(wǎng)站證書；配置IIS 安全通信。

由上個問題可以看出，導(dǎo)入證書后，還需進一步對IIS 服務(wù)器進行配置。在配置的時候，在身份驗證方法對話框，我們需要選擇“基本身份驗證”復(fù)選框即可。

使用安裝的SSL 安全加密機制的Web 站點，需要在使用URL 資源定位器時需輸入https://。SSL 的默認(rèn)端口是443。

第 2 題

閱讀以下說明，回答問題1至問題5，將解答填入答題紙對應(yīng)的解答欄內(nèi)。

【說明】某網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖A 所示。在拓?fù)鋱D中有一臺Windows Server 2003系統(tǒng)搭建的DHCP 服務(wù)器，其IP 地址為192.168.0.1。該服務(wù)器搭建DHCP 地址池如圖B 所示。

圖A 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖

圖B DHCP 服務(wù)器分配的地址范圍

【問題1】（3分）

DHCP 允許服務(wù)器向客戶端動態(tài)分配IP 地址和配置信息。客戶端可以從DHCP 服務(wù)器獲得

（1）。

（1）

A.DHCP 服務(wù)器的地址

B.Web 服務(wù)器的地址

C.FTP 服務(wù)器的地址

D. 默認(rèn)網(wǎng)關(guān)的地址

【問題2】（4分）

若防火墻的內(nèi)網(wǎng)接口IP 是192.168.0.4，則參照圖A 和圖B ，為圖C 中配置相關(guān)信息。

圖C 配置窗口 起始IP 地址：（2）； 結(jié)束IP 地址：（3）。

【問題3】（2分）

在DHCP 服務(wù)器安裝完成后，DHCP 控制臺如圖D 所示。

圖D DHCP 控制臺

配置DHCP 服務(wù)器時需要進行備份，以備網(wǎng)絡(luò)出現(xiàn)故障時能夠及時恢復(fù)。在圖D 備份中，DHCP 服務(wù)器配置信息正確的方法是（4）。

（4）

A. 右鍵單擊“ruankao ”服務(wù)器名，選擇“備份”

B. 右鍵單擊“作用域”，選擇“備份”

C. 右鍵單擊“作用域選項”，選擇“備份”

D. 右鍵單擊“服務(wù)器選項”，選擇“備份”

【問題4】（2分）

通常采用可以給dhcp 客戶指定一些特殊的網(wǎng)絡(luò)設(shè)置信息，如DNS 服務(wù)器等，右鍵單擊圖D 中的（5）選項可進行IP 地址與MAC 地址的綁定設(shè)置。

（5）

A. 地址池

B. 地址預(yù)約

C. 保留

D. 作用域選項

【問題5】（4分）

Dhcp 客戶端通過（6）方式向服務(wù)器發(fā)送請求，服務(wù)器將在UDP 的（7）端口檢測是否有DHCP 請求數(shù)據(jù)包的到來。

（6）

A. 單播

B. 多播

C. 任播

D. 廣播

（7）

A.67

B.68

C.23

D.25

參考答案：

【問題1】2分

（1）D

【問題2】4分

（2）192.168.0.1

（3）192.168.0.4

【問題3】3分

（4）A

【問題4】2分

（5）C

【問題5】4分

（6）D

（7）A

試題分析：

【問題1】

DHCP 服務(wù)器除了可以為 DHCP 客戶機提供 IP 地址外，還可用設(shè)置 DHCP 客戶機啟動時的工作環(huán)境，如可用設(shè)置客戶機登錄的域名稱、DNS 服務(wù)器、WINS 服務(wù)器、路由器、默認(rèn)網(wǎng)關(guān)等。在客戶機啟動或更新租約時，DHCP 服務(wù)器可用自動設(shè)置客戶機啟動后的TCP/IP 環(huán)境。

【問題2】

因192.168.0.1、192.168.0.2和192.168.0.4分別分配給了兩臺服務(wù)器和防火墻，在設(shè)置作用域時，要將它們排除在作用域范圍之外。 因此范圍可以適當(dāng)?shù)臄U大為192.168.0.1-192.168.0.4即可。

【問題3】

在圖C 、D 備份中，DHCP 服務(wù)器配置信息正確的方法是右鍵單擊“ruankao ”服務(wù)器名，選擇“備份”。

【問題4】

右鍵單擊圖D 中的作用域選項可設(shè)置客戶的dns 服務(wù)器地址。

單擊圖D 中的保留選項可以設(shè)置網(wǎng)絡(luò)中客戶IP 和mac 地址的綁定

【問題5】

Dhcp 客戶首次是用廣播想服務(wù)器發(fā)送信息，服務(wù)器檢測UDP 的67號端口。

第 3 題

（共15分）

閱讀以下關(guān)于Linux 系統(tǒng)中域名系統(tǒng)（DNS ）的說明，回答問題1至問題4。

【說明】

DNS 是一種TCP/IP的標(biāo)準(zhǔn)服務(wù)，負(fù)責(zé)IP 地址和域名之間的轉(zhuǎn)換。在Linux 系統(tǒng)中，DNS 可以由BIND （Berkeley Internet Name Domain）軟件來實現(xiàn)。

【問題1】（每空1.5分，共6分）

請在（1）～（4）空白處填寫適當(dāng)?shù)膬?nèi)容。

DNS 服務(wù)器可以管理一個域，也可以管理多個域。域名服務(wù)器可以分為轉(zhuǎn)發(fā)域名服務(wù)器、緩存域名服務(wù)器、（1）和（2）等類型。將域名轉(zhuǎn)換為IP 地址的過程稱為（3），將IP 地址轉(zhuǎn)換為域名的過程稱為（4）。

【問題2】（每空2分，共4分）

請選擇適當(dāng)?shù)膬?nèi)容填寫在（5）、（6）空白處。

管理員可以在命令行終端下，通過（5）命令啟動DNS 服務(wù)；通過（6）命令停止DNS 服務(wù)。

（5）、（6）備選答案：

A./etc/init.d/named start

B./etc/init.d/dns up

C./etc/init.d/named stop

D./etc/init.d/dns down

【問題3】（每空1分，共3分）

請在（7）～（9）處填寫恰當(dāng)?shù)膬?nèi)容。

在Linux 系統(tǒng)中配置域名服務(wù)器，該服務(wù)器上文件named.conf 的部分內(nèi)容如下： options {

directory ’/var/named’;

};

zone ’.’ {

type hint;

file ’named.ca’;

}

zone ’localhost’ IN {

file "localhost.zone"

allow-update{none;};

};

zone ’0.0.127.in-addr.arpa’{

type master;

file ’named.local’;

};

zone ’test.com’{

type （__（7）__）;

file ’test.com’;

};

zone ’40.35.222.in-addr.arpa’{

type master;

file ’40.35.222’;

};

include "/etc/rndc.key";

填寫文件中空（7）處缺省的內(nèi)容。

該服務(wù)器是域 test.com 的主域名服務(wù)器，該域?qū)?yīng)的網(wǎng)絡(luò)地址是（8），正向域名轉(zhuǎn)換數(shù)據(jù)文件存放在（9）目錄中。

【問題4】（共2分）

希賽公司內(nèi)部網(wǎng)的 DNS 服務(wù)器發(fā)生故障，如不改變客戶機原有設(shè)置，該網(wǎng)用戶是否可以訪問網(wǎng)絡(luò)上的資源？如果可以，需要什么條件？如果不可以，請說明原因。

參考答案：

【問題1】4分

（1）主域名服務(wù)器

（2）輔助域名服務(wù)器

（3）正向解析

（4）反向解析

【問題2】4分

（5）A

（6）C

【問題3】3分

（7）master

（8）222.35.40.0

（9）/var/named

【問題4】4分

可以，只需要知道被訪問端的IP 地址即可。

試題分析：

【問題1】

域名服務(wù)器可以分為：轉(zhuǎn)發(fā)域名服務(wù)器、緩存域名服務(wù)器、主域名服務(wù)器、輔助域名服務(wù)器。將域名轉(zhuǎn)換為IP 地址的過程稱為正向解析，將IP 地址轉(zhuǎn)換為域名的過程稱為反向解析。

【問題2】

管理員可以在命令行終端下，通過/etc/init.d/named start 命令啟動DNS 服務(wù)；通過/etc/init.d/named stop命令停止DNS 服務(wù)。

【問題3】

題目給出改服務(wù)器的域test.com 的主域名服務(wù)器因此（7）填寫master ，表明為主域名服務(wù)器。

由配置文件中的“zone ’40.35.222.in-addr.arpa ’{ ”語句可以知道test.com 對應(yīng)的IP 地址為222.35.40.0。

由配置文件中的“directory ’/var/named’; ”可以知道正向域名轉(zhuǎn)換數(shù)據(jù)文件存放在/var/named目錄中。

【問題4】

如果僅僅是DNS 服務(wù)器發(fā)生故障，那么仍然可以上網(wǎng)的。應(yīng)該回答“可以”。只需要知道被訪問端的IP 地址即可。

第 4 題

閱讀以下說明，回答問題，將解答填入答題紙的對應(yīng)解答欄內(nèi)。

【說明】下圖是某單位的網(wǎng)絡(luò)拓?fù)鋱D，該單位有雙線路接入，并且兩個ISP 是不同的運營商，閱讀圖后，回答下列問題。

【問題1】兩個不同的ISP 接入時，接入路由器是否需要和兩個ISP 運行BGP 路由協(xié)議，為什么？

【問題2】為了實現(xiàn)將192.168.1.1-192.168.5.254的流量從ISP1走，而192.168.9.1-192.168.10.254的流量從ISP2走，則可以使用下面的策略路由來實現(xiàn)，下面給出部分配置，請補充完整。

Route-map isp1 Permit 10

match ip address (1)

set interface fa1/0