[软考网络工程师中级]软考网络工程师复习资料及练习题(一)

【shitiku.jxxyjl.com--计算机技术】

习题答案：

习题一：
   【问题1】NAT可以分为静态地址转换、动态地址转换、复用动态地址转换三种方式。
   【问题2】
Current configuration：
version 11.3
no service password-encryption
hostname 2501                              //路由器名称为2501
ip nat pool aaa 192.1.1.2 192.1.1.10 netmask 255.255.255.0     //内部合法地址池名称为aaa，地址范围为192.1.1.2~192.1.1.10，子网掩码为255.255.255.0
ip nat inside source list 1 pool aaa                   //将由access-list 1指定的内部本地地址与指定的内部合法地址池aaa进行地址转换。
interface Ethernet0
ip address 10.1.1.1 255.255.255.0
ip nat inside                           //指定与内部网络相连的内部端口为Ethernet0
interface Serial0
ip address 192.1.1.1 255.255.255.0
ip nat outside
no ip mroute-cache 
bandwidth 2000                           //带宽为2M
no fair-queue
clockrate 2000000
interface Serial1
no ip address
shutdown
no ip classless
ip route 0.0.0.0 0.0.0.0 Serial0               //指定静态缺省路由指向Serial0
access-list 1 permit 10.1.1.0 0.0.0.255        //定义一个标准的access-list 1以允许10.1.1.0 网段，子网掩码的反码为0.0.0.255的内部地址可以进行动态地址转换
line con 0
line aux 0
line vty 0 4
password cisco
end
【问题3】此配置中nat采用了动态地址转换。

习题二：
【问题1】路由器Router1和Router2的S0口均封装PPP协议，采用CHAP做认证，在Router1中应建立一个用户，以对端路由器主机名作为用户名，即用户名应为router2。同时在Router2中应建立一个用户，以对端路由器主机名作为用户名，即用户名应为router1。所建的这两用户的password必须相同。
【问题2】
Router1:
hostname router1                           //路由器名为router1
username router2 password xxx               //建立一用户，用户名为router2,口令为xxx
interface Serial0
ip address 192.200.10.1 255.255.255.0
encapsulation ppp                          //设置ppp封装
clockrate 1000000
ppp authentication chap                     //设置ppp认证方法为chap
!
Router2:
hostname router2
username router1 password xxx
interface Serial0
ip address 192.200.10.2 255.255.255.0
encapsulation ppp
ppp authentication chap

习题三：
【问题1】
X.25网络设备分为数据终端设备（DTE）、数据电路终端设备（DCE）及分组交换设备（PSE）。
【问题2】
Router1:
interface Serial0
    encapsulation x25                         //设置X.25封装
    ip address 192.200.10.1 255.255.255.0        // 设置Serial0口ip地址为192.200.10.1，子网掩码为255.255.255.0
    x25 address 110101                       //设置X.121地址为110101
    x25 htc 16                              //设置最大的双向虚电路数为16
    x25 nvc 2                               //设置一次连接可同时建立的虚电路数为2
    x25 map ip 192.200.10.2 110102 broadcast    //设置ip地址与x..121地址映射。对方路由器地址为192.200.10.2,对方的x.121地址为110102，并且允许在x..25线路上传送路由广播信息
    x25 map ip 192.200.10.3 110103 broadcast
!
习题四：
【问题1】CE1的传输线路的带宽是2048Ｋ，它和E1的区别主要在于：E1不能划分时隙，CE1能划分时隙。CE1的每个时隙是64K，一共有３２个时隙，在使用的时候，可以划分为n*64K，例如：128K,256K等等。CE1的0和15时隙是不用来传输用户的数据流量,0时隙是传送同步号,15时隙传送控制信令,这样实际能用的只有30个时隙,所以在具体配置CE1划分时隙时，要注意些了。CE1 和E1 也可以互联，但是CE1必须当E1来使用，即不可分时隙使用。 因为CE1比较灵活，所以我们能常常碰到CE1。
【问题2】
Current configuration:
!
version 11.2
no service udp-small-servers
no service tcp-small-servers
!
hostname router1
!
enable secret 5 $1$XN08$Ttr8nfLoP9.2RgZhcBzkk/
enable password cisco
!
!
ip subnet-zero
!
controller E1 0
framing NO-CRC4                          //帧类型为no-crc4
channel-group 0 timeslots 1                   //建立逻辑通道组0与时隙1的映射
channel-group 1 timeslots 2                   //建立逻辑通道组1与时隙2的映射
channel-group 2 timeslots 3                   //建立逻辑通道组2与时隙3的映射
!
interface Ethernet0
ip address 133.118.40.1 255.255.0.0
media-type 10BaseT
!
interface Ethernet1
no ip address
shutdown
!
interface Serial0:0                            //逻辑接口Serial0:0
ip address 202.119.96.1 255.255.255.252
encapsulation hdlc
no ip mroute-cache
!
interface Serial0:1
ip address 202.119.96.5 255.255.255.252
encapsulation hdlc
no ip mroute-cache
!
interface Serial0:2
ip address 202.119.96.9 255.255.255.252
encapsulation hdlc
no ip mroute-cache
!
no ip classless
ip route 133.210.40.0 255.255.255.0 Serial0:0
ip route 133.210.41.0 255.255.255.0 Serial0:1
ip route 133.210.42.0 255.255.255.0 Serial0:2
!
line con 0
line aux 0
line vty 0 4
password cicso
login
!
end

习题五：
问题l：“Console”端口是虚拟操作台端口，安装维护人员通过直接连接该端口实施设备配置。
    “AUX”端口是用于远程调试的端口，一般连接在 Modem 上，设备安装维护人员通过远程拨号进行设备连接，实施设备的配置。
问题2：连接参数如下：速率 9600bps、数据位 8 位、奇偶检验无、停止位 2 位。
问题3：配置命令的含义如下：
    (1) 配置 RAS 的拨号用户网络配置信息。                    <注1>
        包括用户默认子网屏蔽码、默认网关、默认 DNS 。
        当用户拨入时，服务器自动将配置信息传递给用户。
    (2) 设定第一组异步口的用户 IP 地址自动分配。
       设置自动分配的 IP 地址来自于 IP 地址池 pool25090     <注2>
    (3) 配置路由协议 RIP。
        指定设备直接连接到网络 202.112.77.0 与 202.112.79.0 。
    (4) 设置来自 202.112.77.0 网段的用户可以访问拨号服务器。
        配置用户登陆口令。
习题六：
【问题1】
IPSec实现的VPN主要有下面四个配置部分。
1、 为IPSec做准备
为IPSec做准备涉及到确定详细的加密策略，包括确定我们要保护的主机和网络，选择一种认证方法，确定有关IPSec对等体的详细信息，确定我们所需的IPSec特性，并确认现有的访问控制列表允许IPSec数据通过。
步骤1：根据对等体的数量和位置在IPSec对等体间确定一个IKE(IKE阶段1或者主模式)策略；
步骤2：确定IPSec(IKE阶段2，或快捷模式)策略，包括IPSec对等体的细节信息，例如IP地址及IPSec变换集和模式；
步骤3：用“write terminal”、“show isakmp”、“show isakmp policy”、“show crypto map”命令及其它的show命令来检查当前的配置；
步骤4：确认在没有使用加密前网络能够正常工作，用ping命令并在加密前运行测试数据来排除基本的路由故障；
步骤5：确认在边界路由器和防火墙中已有的访问控制列表允许IPSec数据流通过，或者想要的数据流将可以被过滤出来。
2、 配置IKE
配置IKE涉及到启用IKE（和isakmp是同义词），创建IKE策略，验证我们的配置。
步骤1：用isakmp enable命令来启用或关闭IKE；
步骤2：用isakmp policy命令创建IKE策略；
步骤3：用isakmp key命令和相关命令来配置预共享密钥；
步骤4：用show isakmp[policy]命令来验证IKE的配置。
3、 配置IPSec
IPSec配置包括创建加密用访问控制列表、定义变换集、创建加密图条目、并将加密集应用到接口上去。
步骤1：用access-list命令来配置加密用访问控制列表：
例如：
access-list acl-name {permit|deny} protocol src_addr src_mask [operator port [port]] dest_addr des_mask [operator port [port]]
步骤2：用cryto ipsec transform-set命令配置交换集；
例如：
crypto ipsec transformp-set transform-set-name transform1 [transform2 [transform3]]
步骤3：（任选）用crypto ipsec security-accociation lifetime命令来配置全局性的IPSec安全关联的生存期；
步骤4：用crypto map命令来配置加密图；
步骤5：用interface命令和crypto map map-name interface应用到接口上；
步骤6：用各种可用的show命令来验证IPSec的配置。
4、 测试和验证IPSec
该任务涉及到使用“show”、“debug”和相关的命令来测试和验证IPSec加密工作是否正常，并为之排除故障。
注：此类题目要求答出主要步骤即可。
【问题2】
crypto isakmp policy 1                   //配置IKE策略1
authentication pre-share                  //IKE策略1的验证方法设为pre_share
group 2                               //加密算法未设置则取默认值:DES
crypto isakmp key test123 address 202.96.1.2   //设置pre-share密钥为test123，此值两端需一致
crypto ipsec transform-set VPNtag ah-md5-hmac esp-des   //设置AH散列算法为md5，ESP加密算法为DES
crypto map VPNdemp 10 ipsec-isakmp        //定义crypto map
set peer 202.96.1.2                        //设置隧道对端IP地址
set transform-set VPNtag                   //设置隧道AH及ESP
match address 101
!
interface Tunnel0                         //定义隧道接口
ip address 192.168.1.1 255.255.255.0        //隧道端口IP地址
no ip directed-broadcast
tunnel source 202.96.1.1                  //隧道源端地址
tunnel destination 202.96.1.2              //隧道目标端地址
crypto map VPNdemo                   //应用VPNdemo于此接口
interface serial0/0
ip address 202.96.1.1 255.255.255.252       //串口的internet IP地址
no ip directed-broadcast
crypto map VPNdemo                    //应用VPNdemo于此端口
!
interface Ethernet0/1
ip address 168.1.1.1 255.255.255.0          //外部端口IP地址
no ip directed-broadcast
interface Ethernet0/0
ip address 172.22.1.100 255.255.255.0        //内部端口IP地址
no ip directed-broadcast
!
ip classless
ip route 0.0.0.0 0.0.0.0 202.96.1.2            //默认静态路由
ip route 172.22.2.0 255.255.0.0 192.168.1.2    //到内网静态路由（经过隧道）
access-lost 101 permit gre host 202.96.1.1 host 202.96.1.2    //定义访问控制列表

习题七：
【问题1】
 访问列表能够帮助控制网上IP包的传输，主要用在以下几个方面：
1、控制一个端口的包传输
2、控制虚拟终端访问数量
3、限制路由更新的内容
【问题2】
•标准IP访问列表
–检查源地址
–通常允许、拒绝的是完整的协议
•扩展IP访问列表
–检查源地址和目的地址
–通常允许、拒绝的是某个特定的协议
【问题3】
在此例中所有的IP数据包将全部不能从serial 0端口发送出去。
原因：在默认情况下，除非明确规定允许通过，访问列表总是阻止或拒绝一切数据包的通过，即实际上在每个访问列表的最后，都隐含有一条"deny any"的语句。
假设我们使用了前面创建的标准IP访问列表，从路由器的角度来看，这条语句实际内容如下：   
access-list 1 deny 172.16.4.13 0.0.0.0 
access-list 1 deny any
因此我们应将配置改为：
access-list 1 deny 172.16.4.13 0.0.0.0
access-list 1 permit any 
interface serial 0
ip access-group 1 out

习题八：

1、 若是Serial0 is up, line protocol is up表示该端口工作正常。
2、若是Serial 0 is down, line protocol is down表示路由器到本地的MODEM之间无载波信号CD。连接串口和MODEM,开启MODEM.看MODEM的发送灯TD是否亮，TD灯亮表示路由器有信号发送给MODEM.TD灯若不亮,请检查MODEM,线缆(最好用Cisco所配的)和端口.你可以用另外一个串口再试试看。
3、若Serial is up,但line protocol is down.有几种可能:
a.本地路由器未作配置.
b.远端路由器未开或未配置.
路由器两端需要配置相同的协议打包方式.例如:路由器A打包HDLC,路由器B打包PPP,那么两台路由器的line protocol始终是down的.改变打包方式:
Router#conf t
Router(config)#interface serial 0
Router(config-if)#encapsulation ppp
Router(config-if)#^Z
Router#
c.若是使用Newbridge的26XX,27XX的DTU设备,它不发送CD信号,请在路由器上设置:
Router#configure terminal
Router(config)#int serial 0
Router(config-if)#ignored-dcd
Router(config-if)#^Z
Router#
d.MODEM之间没通,即专线没通.
解决办法:作测试环路.请电信局帮助确定具体出现问题是哪一段线路.若作环路成功,line protocol会变成up(looped).
4、若Serial is admsinstratively down,line protocol is down.表示端口管理性关闭。
在该端口做以下工作
Router#conf t
Router(config)#interface serial 0
Router(config-if)#no shutdown
Router(config-if)#^Z
Router#

本文来源：https://shitiku.jxxyjl.com/jisuanjijishu/1126.html