三、应用题(共20分)某网络结构如图5所示，请回答以下有关问题。Internet-|||-位置1 服务器-|||-设备1-|||-位置3-|||-位置2-|||-交换机1-|||-交换机2 交换机3-|||-图5 网络结构图设备1应选用哪种网络设备？(2分)若对整个网络实施保护，防火墙应加在图中位置1~位置3的哪个位置上？(2分)如果采用了入侵检测设备对进出网络的流量进行检测，并且探测器是在交换机1上通过端口镜像方式获得流量。下面是通过相关命令显示的镜像设置的信息。Internet-|||-位置1 服务器-|||-设备1-|||-位置3-|||-位置2-|||-交换机1-|||-交换机2 交换机3-|||-图5 网络结构图请问探测器应该连接在交换机1的哪个端口上?(2分)除了流量镜像方式外，还可以采用什么方式来部署入侵检测探测器？(4分)使用IP地址202.113.10.128/25划分4个相同大小的子网，每个子网中能够容纳30台主机，请写出子网掩码、各个子网网络地址及可用的IP地址段。（10分）2008.03参考答案：选择题:1-5CDABA6-10CDCBC11-15 ABDCB16-20 BDDCA21-25 DBADD26-30 BCAAD31-35 ACDBC36-40 BCDBC综合题:【1】A类 【2】126.144.0.0【3】126.159.255.255【4】255.255.255.255【5】126.144.0.1【6】167.11.45.2 255.255.255.0【7】10 name vlan10【8】access vlan10【9】mode trunk【10】allowed vlan 10,11或allowed vlan 10-11【11】ipconfig/all【12】8【13】配置DHCP服务器选项(激活)【14】激活作用域【15】ipconfig/release【16】202.113.64.166【17】________【18】211.81.20.200【19】80【20】12应用题:（1）路由器（2）位置1（3）Gi2/16部署入侵检测探测器的方式: 1.镜像2.共享式集线器3.tap分流（4）子网掩码：255.255.255.224子网1：202.113.10.128可用ip：202.113.10.129-202.113.10.158子网2：202.113.10.160可用ip：202.113.10.161-202.113.10.190子网3：202.113.10.192可用ip：202.113.10.193-202.113.10.222子网4：202.113.10.224可用ip：202.113.10.225-202.113.10.254A、/22 B、/24 C、/26 D、/28（9）、将内部专用IP地址转换为外部公用IP地址的技术是A、RAPR B、NAT C、DHCP D、ARP（10）、若某大学分配给计算机系的IP地址块为202.113.16.128/26，分配给自动化系的IP地址块为202.113.16.192/26，那么这两个地址块经过聚合后的地址为A、202.113.16.0/24 B、202.113.16.0/25 C、202.113.16.128/25 D、202.113.16.128/24（11）、下列对IPv6地址FE80:0:0:0801:FE:0:0:04A1的简化表示中，错误的是A、FE8::801:FE:0:0:04A1 B、FE80::801:FE:0:0:04A1 C、FE80:0:0:801:FE::04A1 D、FE80:0:0:801:FE::4A1(12)、下列关于路由信息协议RIP的描述中，错误的是A、路由刷新报文主要内容是由若干(V、D)组成的表B、矢量V标识该路由器可以到达的目的网络或目的主机的跳数C、路由器在接收到（V、D）报文后按照最短路径原则更新路由表D、要求路由器周期性地向外发送路由刷新报文（13）、下列关于OSPF协议的描述中，错误的是A、OSPF使用分布式链路状态协议B、链路状态协议“度量”主要是指费用、距离、延时、带宽等C、当链路状态发生变化时用洪泛法向所有路由器发送信息D、链路状态数据库中保存一个完整的路由表（14）、在不同AS之间使用的路由协议是A、RIP B、OSPF C、BGP-4 D、ISIS（15）下列关于综合布线的描述中，错误的是A、终端有高速率要求时，水平子系统可采用光纤直接铺设到桌面B、多介质信息插座是用于连接双绞线C、干线线缆铺设经常采用点对点结合和分支结合两种方式D、采用在管理子系统中更改、增加、交换、扩展线缆的方式来改变线缆路由（16）网桥转发数据的依据是A、ARP表B、MAC地址表C、路由表D、访问控制列表（17）一台Cisco交换机和一台3COM交换机相连，相连端口都工作在VLAN trunk模式，这两个端口应使用的VLAN协议是A、ISL和IEEE802.10 B、ISL和ISL C、ISL和IEEE802.1Q D、IEEE802.1Q和IEEE802.1Q（18）有3台交换机分别安装在办公楼的1~3层，同属于财务部门的6台PC机分别连接在这3台交换机的端口上，为了提高网络安全性和易管理性，最好的解决方案是A、改变物理连接，将6台PC机全部移动到同一层B、使用路由器，并用访问控制列表（ACL）控制主机之间的数据流C、产生一个VPN，并使用VTP通过交换机的Trunk传播给6台PC机D、在每台交换机上建立一个相同的VLAN,将连接6台PC机的交换机端口都分配到这个VLAN中（19）当交换机到根网桥的间接链路出现失效故障时（如图，链路L1失效），STP协议会将交换机C的阻塞端口的工作状态转换为转发状态，为了省去端口状态转换等待时间，让端口直接由侦听和学习状态转换为转发状态，需配置交换机STP的可选功能是Internet-|||-位置1 服务器-|||-设备1-|||-位置3-|||-位置2-|||-交换机1-|||-交换机2 交换机3-|||-图5 网络结构图A、PortFast B、UplinkFast C、BackboneFast D、BPDU Filter（20）下列删除VLAN的命令中，无法执行的是A、no vlan 1 B、no vlan 2 C、no vlan 500 D、no vlan 1000（21）当路由表中包含多种路由信息源时，根据缺省的管理距离值，路由器在转发数据包时，会选择的路由信息源是A、RIP B、IGRP C、OSPF D、Static（22）只封禁一台地址为193.62.40.230主机的access-list的正确配置是A、access-list 110 permit ip any anyaccess-list 110 deny ip host 193.62.40.230 anyaccess-list 110 deny ip any host 193.62.40.230B、access-list 110 deny ip host 193.62.40.230anyaccess-list 110 deny ip any host 193.62.40.230access-list 110 permit ip any anyC、access-list 110 deny ip host 193.62.40.230 anyaccess-list 110 deny ip any host 193.62.40.230D、access-list 110 deny ip host 193.62.40.230 anyaccess-list 110 permit ip any anyaccess-list 110 deny ip any host 193.62.40.230(23)在某园区网中，路由器R1的GE0/1(212.112.8.5/30)与路由器R2的GE0/1(212.112.8.6/30相连，R2的GE0/2(212.112.8.9/30)与R3的GE0/1(212.112.8.10/30)相连，R3的GE0/2(212.112.8.13/30)直接与Internet上的路由器相连，路由器R1缺省路由的正确配置是A) ip route0.0.0.0 0.0.0.0 212.112.8.6B) ip route0.0.0.0 0.0.0.0 212.112.8.9C) ip route0.0.0.0 0.0.0.0 212.112.8.10D) ip route0.0.0.0 0.0.0.0 212.112.8.13(24)某局域网用一台路由器互连4个子网。各子网的网络地址分别是193.22.56.0/26、193.22.56.64/26、193.22.56.128/26和193.22.56.192/26。使用RIP v1路由协议配置参数与RIP协议的网络地址，其正确的配置是A、network 193.22.56.0 255.255.255.192B、network 193.22.56.00.0.0.255C、network 193.22.56.0 255.255.255.192network 193.22.56.64 255.255.255.192network 193.22.56.128 255.255.255.192network 193.22.56.192 255.255.255.192D、network 193.22.56.0（25）采用IEEE802.11b标准的对等解决方案，将4台计算机连成一个无线局域网，如果要求该无线局域网与有线局域网连接，并保持对等解决方案不变，其解决方案是A、增加APB、无解决方法C、其中一台计算机再安装一块无线网卡D、其中一台计算机再安装一块以太网网卡（26）某家庭需要通过无线局域网将分布在不同房间的三台计算机接入Internet，并且ISP只给其分配一个IP地址。在这种情况下，应该选用的设备是A、AP B、无线路由器C、无线网桥D、交换机（27）在无线局域网中，客户端设备用来访问接入点(AP)的唯一标识是A、BSSID B、ESSID C、SSID D、IP地址（28）DNS正向搜索区的功能是将域名解析为IP地址，WindowsXP系统中用于测试该功能的命令是A、nslookup B、arp C、netstat D、query（29）下列协议中不是电子邮件协议的是A、CMIP B、IMAP C、POP3 D、SMTP（30）在IIS6.0中用虚拟服务器构建多个网站时，错误的方法是A、用不同的主机头名称B、用不同的IP地址C、用非标准的TCP端口号D、用不同的传输层协议（31）Serv-U中可以限制用户名上传信息占用存储空间的选项是A、用户配额选项B、域配额选项C、用户上传下载率选项D、域上传下载率选项（32）DNS服务器中，不包含的资源记录是A、主机资源记录B、别名记录C、FTP服务器记录D、邮件交换器记录（33）如果一台Cisco PIX 525防火墙有如下配置：Pix525(config)#nameif ethernet0 P1 security 100Pix525(config)#nameif ethernet1 P2 security 0Pix525(config)#nameif ethernet2 P3 security 50那么常用的端口连接方案是A、端口P1作为外部接口，P2连接DMZ, P3作为内部接口B、端口P1作为内部接口，P2连接DMZ, P3作为外部接口C、端口P1作为外部接口，P2作为内部接口, P3连接DMZD、端口P1作为内部接口，P2作为外部接口, P3连接DMZ(34)常用数据备份方式包括完全备份、增量备份和差异备份，三种方式在数据回复速度方面由快到慢的顺序为A、完全备份、增量备份、差异备份B、完全备份、差异备份、增量备份C、增量备份、差异备份、完全备份D、差异备份、增量备份、完全备份（35）采用RSA算法，网络中N个用户之间进行加密通信，学要密钥个数是A、N*(N-1) B、N C、2N D、N*N(36)在如下基于网络入侵检测系统的基本机构图中，对应I、II、III模块的名称是Internet-|||-位置1 服务器-|||-设备1-|||-位置3-|||-位置2-|||-交换机1-|||-交换机2 交换机3-|||-图5 网络结构图A、数据包捕获模块、网络协议分析模块、攻击特征库B、网络协议分析模块、数据包捕获模块、攻击特征库C、攻击特征库、网络协议分析模块、数据包捕获模块D、攻击特征库、数据库捕获模块、网络协议分析模块（37）在Windows 2003中，用于显示主机上活动的TCP连接状况的DOS命令是A、nbtstat–a B、arp–a C、netstat–a D、net view(38)在一台主机上用浏览器无法访问到域名______的网站，并且在这台主机上执行tracert命令时有如下信息Internet-|||-位置1 服务器-|||-设备1-|||-位置3-|||-位置2-|||-交换机1-|||-交换机2 交换机3-|||-图5 网络结构图分析以上信息，会造成这种现象的原因是A、该计算机网关设置有误B、该计算机设置的DNS服务器工作不正常C、该计算机IP地址与掩码设置有误D、网站______工作不正常(39)攻击者利用攻破的多个系统发送大量请求去集中攻击其他目标，受害设备因为无法处理而拒绝服务。这种攻击被称为A、Smurf攻击B、DDoS攻击C、SYN Flooding攻击D、Land攻击(40)在Cisco路由器上进行SNMP设置时，如果团体名为manage，访问权限为只读，那么正确的配置语句是A、snmp-server community public ro B、snmp-server community public rwC、snmp-server community manage ro D、snmp-server community manage rw

三、应用题(共20分)

某网络结构如图5所示，请回答以下有关问题。

设备1应选用哪种网络设备？(2分)

若对整个网络实施保护，防火墙应加在图中位置1~位置3的哪个位置上？(2分)

如果采用了入侵检测设备对进出网络的流量进行检测，并且探测器是在交换机1上通过端口镜像方式获得流量。下面是通过相关命令显示的镜像设置的信息。

请问探测器应该连接在交换机1的哪个端口上?(2分)除了流量镜像方式外，还可以采用什么方式来部署入侵检测探测器？(4分)

使用IP地址202.113.10.128/25划分4个相同大小的子网，每个子网中能够容纳30台主机，请写出子网掩码、各个子网网络地址及可用的IP地址段。（10分）

2008.03参考答案：

选择题:

1-5CDABA6-10CDCBC11-15 ABDCB16-20 BDDCA21-25 DBADD26-30 BCAAD31-35 ACDBC36-40 BCDBC

综合题:【1】A类 【2】126.144.0.0【3】126.159.255.255【4】255.255.255.255【5】126.144.0.1【6】167.11.45.2 255.255.255.0【7】10 name vlan10【8】access vlan10【9】mode trunk【10】allowed vlan 10,11或allowed vlan 10-11

【11】ipconfig/all【12】8【13】配置DHCP服务器选项(激活)【14】激活作用域【15】ipconfig/release【16】202.113.64.166【17】________

【18】211.81.20.200【19】80【20】12

应用题:

（1）路由器（2）位置1（3）Gi2/16部署入侵检测探测器的方式: 1.镜像2.共享式集线器3.tap分流

（4）子网掩码：255.255.255.224子网1：202.113.10.128可用ip：202.113.10.129-202.113.10.158子网2：202.113.10.160可用ip：202.113.10.161-202.113.10.190子网3：202.113.10.192可用ip：202.113.10.193-202.113.10.222子网4：202.113.10.224可用ip：202.113.10.225-202.113.10.254

A、/22 B、/24 C、/26 D、/28

（9）、将内部专用IP地址转换为外部公用IP地址的技术是

A、RAPR B、NAT C、DHCP D、ARP

（10）、若某大学分配给计算机系的IP地址块为202.113.16.128/26，分配给自动化系的IP地址块为202.113.16.192/26，那么这两个地址块经过聚合后的地址为

A、202.113.16.0/24 B、202.113.16.0/25 C、202.113.16.128/25 D、202.113.16.128/24

（11）、下列对IPv6地址FE80:0:0:0801:FE:0:0:04A1的简化表示中，错误的是

A、FE8::801:FE:0:0:04A1 B、FE80::801:FE:0:0:04A1 C、FE80:0:0:801:FE::04A1 D、FE80:0:0:801:FE::4A1

(12)、下列关于路由信息协议RIP的描述中，错误的是

A、路由刷新报文主要内容是由若干(V、D)组成的表

B、矢量V标识该路由器可以到达的目的网络或目的主机的跳数

C、路由器在接收到（V、D）报文后按照最短路径原则更新路由表

D、要求路由器周期性地向外发送路由刷新报文

（13）、下列关于OSPF协议的描述中，错误的是

A、OSPF使用分布式链路状态协议

B、链路状态协议“度量”主要是指费用、距离、延时、带宽等

C、当链路状态发生变化时用洪泛法向所有路由器发送信息

D、链路状态数据库中保存一个完整的路由表

（14）、在不同AS之间使用的路由协议是

A、RIP B、OSPF C、BGP-4 D、ISIS

（15）下列关于综合布线的描述中，错误的是

A、终端有高速率要求时，水平子系统可采用光纤直接铺设到桌面

B、多介质信息插座是用于连接双绞线

C、干线线缆铺设经常采用点对点结合和分支结合两种方式

D、采用在管理子系统中更改、增加、交换、扩展线缆的方式来改变线缆路由

（16）网桥转发数据的依据是

A、ARP表B、MAC地址表C、路由表D、访问控制列表

（17）一台Cisco交换机和一台3COM交换机相连，相连端口都工作在VLAN trunk模式，这两个端口应使用的VLAN协议是

A、ISL和IEEE802.10 B、ISL和ISL C、ISL和IEEE802.1Q D、IEEE802.1Q和IEEE802.1Q

（18）有3台交换机分别安装在办公楼的1~3层，同属于财务部门的6台PC机分别连接在这3台交换机的端口上，为了提高网络安全性和易管理性，最好的解决方案是

A、改变物理连接，将6台PC机全部移动到同一层

B、使用路由器，并用访问控制列表（ACL）控制主机之间的数据流

C、产生一个VPN，并使用VTP通过交换机的Trunk传播给6台PC机

D、在每台交换机上建立一个相同的VLAN,将连接6台PC机的交换机端口都分配到这个VLAN中

（19）当交换机到根网桥的间接链路出现失效故障时（如图，链路L1失效），STP协议会将交换机C的阻塞端口的工作状态转换为转发状态，为了省去端口状态转换等待时间，让端口直接由侦听和学习状态转换为转发状态，需配置交换机STP的可选功能是

A、PortFast B、UplinkFast C、BackboneFast D、BPDU Filter

（20）下列删除VLAN的命令中，无法执行的是

A、no vlan 1 B、no vlan 2 C、no vlan 500 D、no vlan 1000

（21）当路由表中包含多种路由信息源时，根据缺省的管理距离值，路由器在转发数据包时，会选择的路由信息源是

A、RIP B、IGRP C、OSPF D、Static

（22）只封禁一台地址为193.62.40.230主机的access-list的正确配置是

A、access-list 110 permit ip any any

access-list 110 deny ip host 193.62.40.230 any

access-list 110 deny ip any host 193.62.40.230

B、access-list 110 deny ip host 193.62.40.230any

access-list 110 deny ip any host 193.62.40.230

access-list 110 permit ip any any

C、access-list 110 deny ip host 193.62.40.230 any

access-list 110 deny ip any host 193.62.40.230

D、access-list 110 deny ip host 193.62.40.230 any

access-list 110 permit ip any any

access-list 110 deny ip any host 193.62.40.230

(23)在某园区网中，路由器R1的GE0/1(212.112.8.5/30)与路由器R2的GE0/1(212.112.8.6/30相连，R2的GE0/2(212.112.8.9/30)与R3的GE0/1(212.112.8.10/30)相连，R3的GE0/2(212.112.8.13/30)直接与Internet上的路由器相连，路由器R1缺省路由的正确配置是

A) ip route0.0.0.0 0.0.0.0 212.112.8.6

B) ip route0.0.0.0 0.0.0.0 212.112.8.9

C) ip route0.0.0.0 0.0.0.0 212.112.8.10

D) ip route0.0.0.0 0.0.0.0 212.112.8.13

(24)某局域网用一台路由器互连4个子网。各子网的网络地址分别是193.22.56.0/26、193.22.56.64/26、193.22.56.128/26和193.22.56.192/26。使用RIP v1路由协议配置参数与RIP协议的网络地址，其正确的配置是

A、network 193.22.56.0 255.255.255.192

B、network 193.22.56.00.0.0.255

C、network 193.22.56.0 255.255.255.192

network 193.22.56.64 255.255.255.192

network 193.22.56.128 255.255.255.192

network 193.22.56.192 255.255.255.192

D、network 193.22.56.0

（25）采用IEEE802.11b标准的对等解决方案，将4台计算机连成一个无线局域网，如果要求该无线局域网与有线局域网连接，并保持对等解决方案不变，其解决方案是

A、增加AP

B、无解决方法

C、其中一台计算机再安装一块无线网卡

D、其中一台计算机再安装一块以太网网卡

（26）某家庭需要通过无线局域网将分布在不同房间的三台计算机接入Internet，并且ISP只给其分配一个IP地址。在这种情况下，应该选用的设备是

A、AP B、无线路由器C、无线网桥D、交换机

（27）在无线局域网中，客户端设备用来访问接入点(AP)的唯一标识是

A、BSSID B、ESSID C、SSID D、IP地址

（28）DNS正向搜索区的功能是将域名解析为IP地址，WindowsXP系统中用于测试该功能的命令是

A、nslookup B、arp C、netstat D、query

（29）下列协议中不是电子邮件协议的是

A、CMIP B、IMAP C、POP3 D、SMTP

（30）在IIS6.0中用虚拟服务器构建多个网站时，错误的方法是

A、用不同的主机头名称B、用不同的IP地址C、用非标准的TCP端口号D、用不同的传输层协议

（31）Serv-U中可以限制用户名上传信息占用存储空间的选项是

A、用户配额选项B、域配额选项C、用户上传下载率选项D、域上传下载率选项

（32）DNS服务器中，不包含的资源记录是

A、主机资源记录B、别名记录C、FTP服务器记录D、邮件交换器记录

（33）如果一台Cisco PIX 525防火墙有如下配置：

Pix525(config)#nameif ethernet0 P1 security 100

Pix525(config)#nameif ethernet1 P2 security 0

Pix525(config)#nameif ethernet2 P3 security 50

那么常用的端口连接方案是

A、端口P1作为外部接口，P2连接DMZ, P3作为内部接口

B、端口P1作为内部接口，P2连接DMZ, P3作为外部接口

C、端口P1作为外部接口，P2作为内部接口, P3连接DMZ

D、端口P1作为内部接口，P2作为外部接口, P3连接DMZ

(34)常用数据备份方式包括完全备份、增量备份和差异备份，三种方式在数据回复速度方面由快到慢的顺序为

A、完全备份、增量备份、差异备份B、完全备份、差异备份、增量备份

C、增量备份、差异备份、完全备份D、差异备份、增量备份、完全备份

（35）采用RSA算法，网络中N个用户之间进行加密通信，学要密钥个数是

A、N*(N-1) B、N C、2N D、N*N

(36)在如下基于网络入侵检测系统的基本机构图中，对应I、II、III模块的名称是

A、数据包捕获模块、网络协议分析模块、攻击特征库

B、网络协议分析模块、数据包捕获模块、攻击特征库

C、攻击特征库、网络协议分析模块、数据包捕获模块

D、攻击特征库、数据库捕获模块、网络协议分析模块

（37）在Windows 2003中，用于显示主机上活动的TCP连接状况的DOS命令是

A、nbtstat–a B、arp–a C、netstat–a D、net view

(38)在一台主机上用浏览器无法访问到域名______的网站，并且在这台主机上执行tracert命令时有如下信息

分析以上信息，会造成这种现象的原因是

A、该计算机网关设置有误

B、该计算机设置的DNS服务器工作不正常

C、该计算机IP地址与掩码设置有误

D、网站______工作不正常

(39)攻击者利用攻破的多个系统发送大量请求去集中攻击其他目标，受害设备因为无法处理而拒绝服务。这种攻击被称为

A、Smurf攻击B、DDoS攻击C、SYN Flooding攻击D、Land攻击

(40)在Cisco路由器上进行SNMP设置时，如果团体名为manage，访问权限为只读，那么正确的配置语句是

A、snmp-server community public ro B、snmp-server community public rw

C、snmp-server community manage ro D、snmp-server community manage rw