網(wǎng)絡(luò)工程師第01套第 1 題（共15分）閱讀以下說(shuō)明，回答問(wèn)題1至問(wèn)題6，將解答填入答題紙對(duì)應(yīng)的解答欄內(nèi)。【說(shuō)明】某公司在Windows Server 2003中安裝IIS6.0來(lái)配置Web 服務(wù)器，

網(wǎng)絡(luò)工程師第01套

第 1 題

（共15分）

閱讀以下說(shuō)明，回答問(wèn)題1至問(wèn)題6，將解答填入答題紙對(duì)應(yīng)的解答欄內(nèi)。

【說(shuō)明】

某公司在Windows Server 2003中安裝IIS6.0來(lái)配置Web 服務(wù)器，域名為www.csai.cn 。

【問(wèn)題1】（2分）

IIS 安裝的硬盤(pán)分區(qū)最好選用NTFS 格式，是因?yàn)椋?）和（2）。

A ．可以針對(duì)某個(gè)文件或文件夾給不同的用戶分配不同的權(quán)限

B ．可以防止網(wǎng)頁(yè)中的Applet 程序訪問(wèn)硬盤(pán)中的文件

C ．可以使用系統(tǒng)自帶的文件加密系統(tǒng)對(duì)文件或文件夾進(jìn)行加密

D ．可以在硬盤(pán)分區(qū)中建立虛擬目錄

【問(wèn)題2】（3分）

為了禁止IP 地址為202.161.158.239～202.161.158.254的主機(jī)訪問(wèn)該網(wǎng)站，在圖所示的“IP 地址和域名限制”對(duì)話框中點(diǎn)擊“添加”按鈕，增加兩條記錄，如表所示。填寫(xiě)表中的（3）～

（5）處內(nèi)容。

【問(wèn)題3】（4分）

實(shí)現(xiàn)保密通信的SSL 協(xié)議工作在HTTP 層和（6）層之間。SSL 加密通道的建立過(guò)程如下：

1．首先客戶端與服務(wù)器建立連接，服務(wù)器把它的（7）發(fā)送給客戶端；

2．客戶端隨機(jī)生成（8），并用從服務(wù)器得到的公鑰對(duì)它進(jìn)行加密，通過(guò)網(wǎng)絡(luò)傳送給服務(wù)器；

3．服務(wù)器使用（9）解密得到會(huì)話密鑰，這樣客戶端和服務(wù)器端就建立了安全通道。

（6）～（9）的備選答案如下：

A ．TCP

B ．IP

C ．UDP

D ．公鑰

E ．私鑰

F ．對(duì)稱密鑰

G ．會(huì)話密鑰

H ．?dāng)?shù)字證書(shū)

I ．證書(shū)服務(wù)

【問(wèn)題4】（2分）

在IIS 中安裝SSL 分5個(gè)步驟，這5個(gè)步驟的正確排序是（10）。

A ．配置身份驗(yàn)證方式和SSL 安全通道

B ．證書(shū)頒發(fā)機(jī)構(gòu)頒發(fā)證書(shū)

C ．在IIS 服務(wù)器上導(dǎo)入并安裝證書(shū)

D ．從證書(shū)頒發(fā)機(jī)構(gòu)下載證書(shū)文

E ．生成證書(shū)請(qǐng)求文件

【問(wèn)題5】（2分）

在安裝SSL 時(shí)，在“身份驗(yàn)證方法”對(duì)話框中應(yīng)選用的登錄驗(yàn)證方式是（11）。 備選答案：

A ．匿名身份驗(yàn)證

B ．基本身份驗(yàn)證

C ．集成Windows 身份驗(yàn)證

D ．摘要式身份驗(yàn)證

E ．Net Passport身份驗(yàn)證

【問(wèn)題6】（2分）

如果用戶需要通過(guò)SSL 安全通道訪問(wèn)該網(wǎng)站，應(yīng)該在IE 的地址欄中輸入（12）。SSL 默認(rèn)偵聽(tīng)的端口是（13）。

參考答案：

【問(wèn)題1】2分

（1）A

（2）C

【問(wèn)題2】3分

（3）202.161.158.240

（4）255.255.255.240

（5）202.161.158.239

【問(wèn)題3】4分

（6）A

（7）H

（8）G

（9）E

【問(wèn)題4】2分

（10）EBDCA

【問(wèn)題5】2分

（11）B

【問(wèn)題6】2分

（12）https://www.csai.cn

（13）443

試題分析：

為了確保IIS 服務(wù)的安全，一個(gè)重要的前提是給它提供一個(gè)安全的系統(tǒng)，而在Windows 服務(wù)器上的硬盤(pán)分區(qū)時(shí)，最好選用NTFS 格式，這種格式可以針對(duì)某個(gè)文件或文件夾給不同的用戶分配不同的權(quán)限，并且可以使用系統(tǒng)自帶的文件加密系統(tǒng)對(duì)文件或文件夾進(jìn)行加密。 在IIS 中，如果發(fā)現(xiàn)來(lái)自某個(gè)IP 或某組IP 地址的計(jì)算機(jī)試圖攻擊網(wǎng)站，用戶可以禁止這些IP 地址中的計(jì)算機(jī)對(duì)子集的Web 和FTP 站點(diǎn)的訪問(wèn)。為了禁止IP 地址為202.161.158.239～202.161.158.254的主機(jī)訪問(wèn)該網(wǎng)站，可以采用添加單個(gè)IP 地址的形式加入限制訪問(wèn)的地址列表中，也可以采用加子網(wǎng)掩碼的形式添加一組主機(jī)地址。在本題中，如果采用后一種方法，我們的子網(wǎng)掩碼應(yīng)選255.255.255.240，那么202.161.158.239不在該網(wǎng)段里，還需要單獨(dú)添加該主機(jī)IP 。

SSL 協(xié)議是安全套接層協(xié)議，有獨(dú)立的加密方案，在應(yīng)用層和傳輸層之間提供安全的通信方式。

IIS 使用的是HTTP 協(xié)議，傳輸過(guò)程是以明問(wèn)的形式傳輸數(shù)據(jù)的，且沒(méi)有任何加密手段，傳輸過(guò)程很不安全，因此，需要給它安裝SSL 安全機(jī)制，安裝的主要步驟如下：生成證書(shū)請(qǐng)求文件；安裝證書(shū)服務(wù)；申請(qǐng)IIS 網(wǎng)站證書(shū)；頒發(fā)IIS 網(wǎng)站證書(shū)；導(dǎo)入IIS 網(wǎng)站證書(shū)；配置IIS 安全通信。

由上個(gè)問(wèn)題可以看出，導(dǎo)入證書(shū)后，還需進(jìn)一步對(duì)IIS 服務(wù)器進(jìn)行配置。在配置的時(shí)候，在身份驗(yàn)證方法對(duì)話框，我們需要選擇“基本身份驗(yàn)證”復(fù)選框即可。

使用安裝的SSL 安全加密機(jī)制的Web 站點(diǎn)，需要在使用URL 資源定位器時(shí)需輸入https://。SSL 的默認(rèn)端口是443。

第 2 題

閱讀以下說(shuō)明，回答問(wèn)題1至問(wèn)題5，將解答填入答題紙對(duì)應(yīng)的解答欄內(nèi)。

【說(shuō)明】某網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖A 所示。在拓?fù)鋱D中有一臺(tái)Windows Server 2003系統(tǒng)搭建的DHCP 服務(wù)器，其IP 地址為192.168.0.1。該服務(wù)器搭建DHCP 地址池如圖B 所示。

圖A 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖

圖B DHCP 服務(wù)器分配的地址范圍

【問(wèn)題1】（3分）

DHCP 允許服務(wù)器向客戶端動(dòng)態(tài)分配IP 地址和配置信息?？蛻舳丝梢詮腄HCP 服務(wù)器獲得

（1）。

（1）

A.DHCP 服務(wù)器的地址

B.Web 服務(wù)器的地址

C.FTP 服務(wù)器的地址

D. 默認(rèn)網(wǎng)關(guān)的地址

【問(wèn)題2】（4分）

若防火墻的內(nèi)網(wǎng)接口IP 是192.168.0.4，則參照?qǐng)DA 和圖B ，為圖C 中配置相關(guān)信息。

圖C 配置窗口 起始IP 地址：（2）； 結(jié)束IP 地址：（3）。

【問(wèn)題3】（2分）

在DHCP 服務(wù)器安裝完成后，DHCP 控制臺(tái)如圖D 所示。

圖D DHCP 控制臺(tái)

配置DHCP 服務(wù)器時(shí)需要進(jìn)行備份，以備網(wǎng)絡(luò)出現(xiàn)故障時(shí)能夠及時(shí)恢復(fù)。在圖D 備份中，DHCP 服務(wù)器配置信息正確的方法是（4）。

（4）

A. 右鍵單擊“ruankao ”服務(wù)器名，選擇“備份”

B. 右鍵單擊“作用域”，選擇“備份”

C. 右鍵單擊“作用域選項(xiàng)”，選擇“備份”

D. 右鍵單擊“服務(wù)器選項(xiàng)”，選擇“備份”

【問(wèn)題4】（2分）

通常采用可以給dhcp 客戶指定一些特殊的網(wǎng)絡(luò)設(shè)置信息，如DNS 服務(wù)器等，右鍵單擊圖D 中的（5）選項(xiàng)可進(jìn)行IP 地址與MAC 地址的綁定設(shè)置。

（5）

A. 地址池

B. 地址預(yù)約

C. 保留

D. 作用域選項(xiàng)

【問(wèn)題5】（4分）

Dhcp 客戶端通過(guò)（6）方式向服務(wù)器發(fā)送請(qǐng)求，服務(wù)器將在UDP 的（7）端口檢測(cè)是否有DHCP 請(qǐng)求數(shù)據(jù)包的到來(lái)。

（6）

A. 單播

B. 多播

C. 任播

D. 廣播

（7）

A.67

B.68

C.23

D.25

參考答案：

【問(wèn)題1】2分

（1）D

【問(wèn)題2】4分

（2）192.168.0.1

（3）192.168.0.4

【問(wèn)題3】3分

（4）A

【問(wèn)題4】2分

（5）C

【問(wèn)題5】4分

（6）D

（7）A

試題分析：

【問(wèn)題1】

DHCP 服務(wù)器除了可以為 DHCP 客戶機(jī)提供 IP 地址外，還可用設(shè)置 DHCP 客戶機(jī)啟動(dòng)時(shí)的工作環(huán)境，如可用設(shè)置客戶機(jī)登錄的域名稱、DNS 服務(wù)器、WINS 服務(wù)器、路由器、默認(rèn)網(wǎng)關(guān)等。在客戶機(jī)啟動(dòng)或更新租約時(shí)，DHCP 服務(wù)器可用自動(dòng)設(shè)置客戶機(jī)啟動(dòng)后的TCP/IP 環(huán)境。

【問(wèn)題2】

因192.168.0.1、192.168.0.2和192.168.0.4分別分配給了兩臺(tái)服務(wù)器和防火墻，在設(shè)置作用域時(shí)，要將它們排除在作用域范圍之外。 因此范圍可以適當(dāng)?shù)臄U(kuò)大為192.168.0.1-192.168.0.4即可。

【問(wèn)題3】

在圖C 、D 備份中，DHCP 服務(wù)器配置信息正確的方法是右鍵單擊“ruankao ”服務(wù)器名，選擇“備份”。

【問(wèn)題4】

右鍵單擊圖D 中的作用域選項(xiàng)可設(shè)置客戶的dns 服務(wù)器地址。

單擊圖D 中的保留選項(xiàng)可以設(shè)置網(wǎng)絡(luò)中客戶IP 和mac 地址的綁定

【問(wèn)題5】

Dhcp 客戶首次是用廣播想服務(wù)器發(fā)送信息，服務(wù)器檢測(cè)UDP 的67號(hào)端口。

第 3 題

（共15分）

閱讀以下關(guān)于Linux 系統(tǒng)中域名系統(tǒng)（DNS ）的說(shuō)明，回答問(wèn)題1至問(wèn)題4。

【說(shuō)明】

DNS 是一種TCP/IP的標(biāo)準(zhǔn)服務(wù)，負(fù)責(zé)IP 地址和域名之間的轉(zhuǎn)換。在Linux 系統(tǒng)中，DNS 可以由BIND （Berkeley Internet Name Domain）軟件來(lái)實(shí)現(xiàn)。

【問(wèn)題1】（每空1.5分，共6分）

請(qǐng)?jiān)冢?）～（4）空白處填寫(xiě)適當(dāng)?shù)膬?nèi)容。

DNS 服務(wù)器可以管理一個(gè)域，也可以管理多個(gè)域。域名服務(wù)器可以分為轉(zhuǎn)發(fā)域名服務(wù)器、緩存域名服務(wù)器、（1）和（2）等類(lèi)型。將域名轉(zhuǎn)換為IP 地址的過(guò)程稱為（3），將IP 地址轉(zhuǎn)換為域名的過(guò)程稱為（4）。

【問(wèn)題2】（每空2分，共4分）

請(qǐng)選擇適當(dāng)?shù)膬?nèi)容填寫(xiě)在（5）、（6）空白處。

管理員可以在命令行終端下，通過(guò)（5）命令啟動(dòng)DNS 服務(wù)；通過(guò)（6）命令停止DNS 服務(wù)。

（5）、（6）備選答案：

A./etc/init.d/named start

B./etc/init.d/dns up

C./etc/init.d/named stop

D./etc/init.d/dns down

【問(wèn)題3】（每空1分，共3分）

請(qǐng)?jiān)冢?）～（9）處填寫(xiě)恰當(dāng)?shù)膬?nèi)容。

在Linux 系統(tǒng)中配置域名服務(wù)器，該服務(wù)器上文件named.conf 的部分內(nèi)容如下： options {

directory ’/var/named’;

};

zone ’.’ {

type hint;

file ’named.ca’;

}

zone ’localhost’ IN {

file "localhost.zone"

allow-update{none;};

};

zone ’0.0.127.in-addr.arpa’{

type master;

file ’named.local’;

};

zone ’test.com’{

type （__（7）__）;

file ’test.com’;

};

zone ’40.35.222.in-addr.arpa’{

type master;

file ’40.35.222’;

};

include "/etc/rndc.key";

填寫(xiě)文件中空（7）處缺省的內(nèi)容。

該服務(wù)器是域 test.com 的主域名服務(wù)器，該域?qū)?yīng)的網(wǎng)絡(luò)地址是（8），正向域名轉(zhuǎn)換數(shù)據(jù)文件存放在（9）目錄中。

【問(wèn)題4】（共2分）

希賽公司內(nèi)部網(wǎng)的 DNS 服務(wù)器發(fā)生故障，如不改變客戶機(jī)原有設(shè)置，該網(wǎng)用戶是否可以訪問(wèn)網(wǎng)絡(luò)上的資源？如果可以，需要什么條件？如果不可以，請(qǐng)說(shuō)明原因。

參考答案：

【問(wèn)題1】4分

（1）主域名服務(wù)器

（2）輔助域名服務(wù)器

（3）正向解析

（4）反向解析

【問(wèn)題2】4分

（5）A

（6）C

【問(wèn)題3】3分

（7）master

（8）222.35.40.0

（9）/var/named

【問(wèn)題4】4分

可以，只需要知道被訪問(wèn)端的IP 地址即可。

試題分析：

【問(wèn)題1】

域名服務(wù)器可以分為：轉(zhuǎn)發(fā)域名服務(wù)器、緩存域名服務(wù)器、主域名服務(wù)器、輔助域名服務(wù)器。將域名轉(zhuǎn)換為IP 地址的過(guò)程稱為正向解析，將IP 地址轉(zhuǎn)換為域名的過(guò)程稱為反向解析。

【問(wèn)題2】

管理員可以在命令行終端下，通過(guò)/etc/init.d/named start 命令啟動(dòng)DNS 服務(wù)；通過(guò)/etc/init.d/named stop命令停止DNS 服務(wù)。

【問(wèn)題3】

題目給出改服務(wù)器的域test.com 的主域名服務(wù)器因此（7）填寫(xiě)master ，表明為主域名服務(wù)器。

由配置文件中的“zone ’40.35.222.in-addr.arpa ’{ ”語(yǔ)句可以知道test.com 對(duì)應(yīng)的IP 地址為222.35.40.0。

由配置文件中的“directory ’/var/named’; ”可以知道正向域名轉(zhuǎn)換數(shù)據(jù)文件存放在/var/named目錄中。

【問(wèn)題4】

如果僅僅是DNS 服務(wù)器發(fā)生故障，那么仍然可以上網(wǎng)的。應(yīng)該回答“可以”。只需要知道被訪問(wèn)端的IP 地址即可。

第 4 題

閱讀以下說(shuō)明，回答問(wèn)題，將解答填入答題紙的對(duì)應(yīng)解答欄內(nèi)。

【說(shuō)明】下圖是某單位的網(wǎng)絡(luò)拓?fù)鋱D，該單位有雙線路接入，并且兩個(gè)ISP 是不同的運(yùn)營(yíng)商，閱讀圖后，回答下列問(wèn)題。

【問(wèn)題1】?jī)蓚€(gè)不同的ISP 接入時(shí)，接入路由器是否需要和兩個(gè)ISP 運(yùn)行BGP 路由協(xié)議，為什么？

【問(wèn)題2】為了實(shí)現(xiàn)將192.168.1.1-192.168.5.254的流量從ISP1走，而192.168.9.1-192.168.10.254的流量從ISP2走，則可以使用下面的策略路由來(lái)實(shí)現(xiàn)，下面給出部分配置，請(qǐng)補(bǔ)充完整。

Route-map isp1 Permit 10

match ip address (1)

set interface fa1/0