网络工程师考试2008年上半年下午试题解析（二）

试题四（15分）
　　阅读以下说明，回答问题1至问题4，将解答填入答题纸对应的解答栏内。
【说明】
　　某公司采用100M宽带接入Internet，公司内部有15台PC机，要求都能够上网。另外有2台服务器对外分别提供Web和E-mail服务，采用防火墙接入公网，拓扑结构如图4-1所示。

【问题1】（2分）
　　如果防火墙采用NAPT技术，则该单位至少需要申请 （1） 个可用的公网地址。
试题解析：
　　常识。
答案：1

【问题2】（3分）
　　下面是防火墙接口的配置命令：
fire(config)# ip address outside 202.134.135.98 255.255.255.252
fire(config)# ip address inside 192.168.46.1 255.255.255.0
fire(config)# ip address dmz 10.0.0.1 255.255.255.0
根据以上配置，写出图4-1中防火墙各个端口的IP地址：
e0：      （2）    
e1：      （3）    
e2：      （4）    
试题解析：
　　很简单，对照答案看看就明白了。
答案：（2）192.168.46.1，（3）202.134.135.98，（4）10.0.0.1

【问题3】（4分）
　　1．ACL默认执行顺序是   （5）  ，在配置时要遵循   （6）  原则、最靠近受控对象原则、以及默认丢弃原则。
（5）、（6）备选项
　　（A）最大特权            （B）最小特权            （C）随机选取
　　（D）自左到右            （E）自上而下            （F）自下而上
2．要禁止内网中IP地址为198.168.46.8的PC机访问外网，正确的ACL规则是 （7）
（A）access-list 1 permit ip 192.168.46.0 0.0.0.255 any
access-list 1 deny ip host 198.168.46.8 any
（B）access-list 1 permit ip host 198.168.46.8 any
access-list 1 deny ip 192.168.46.0 0.0.0.255 any
（C）access-list 1 deny ip 192.168.46.0 0.0.0.255 any
access-list 1 permit ip host 198.168.46.8 any
（D）access-list 1 deny ip host 198.168.46.8 any
access-list 1 permit ip 192.168.46.0 0.0.0.255 any
试题解析：
　　很简单，对照答案看看就明白了。
答案：（5）E or 自上而下，（6）B or最小特权，（7）D or  A

【问题4】（6分）
　　下面是在防火墙中的部分配置命令，请解释其含义：
global (outside) 1 202.134.135.98-202.134.135.100        （8） 
conduit permit tcp host 202.134.135.99 eq www any        （9） 
access-list 10 permit ip any any                                      （10） 
试题解析：
　　 很简单，对照答案看看就明白了。
答案：
　    （8）指定外网口IP地址范围为202.134.135.98-202.134.135.100
        （9）允许任意外网主机访问202.134.135.99提供的WWW服务
        （10）允许任意IP数据包进出
　　注：（8）（9）（10）意思正确即可

试题五（15分）
　　阅读以下说明，回答问题1至问题3，将解答填入答题纸对应的解答栏内。
【说明】
　　某公司租用了一段C类地址203.12.11.0/24～203.12.14.0/24，如图5-1所示。其网间地址是172.11.5.14/24。要求网内所有PC都能上网。

【问题1】（8分）
　　接入层交换机Switch1的端口24为trunk口，其余各口属于vlan11，请解释下列命令并完成交换机的配置。
Switch1#config terminal
Switch1(config)#interface f0/24                                          （进入端口24配置模式）
Switch1(config-if)# switchport mode trunk                          （1） 
Switch1 (config-if)#switchport trunk encapsulation dotlq        （2） 
Switch1(config-if)# switchport trunk allowed all      （允许所有VLAN从该端口交换数据）
Switch1(config-if)#exit
Switch1(config)#exit
Switch1# vlan database
Switch1(vlan)# vlan 11 name lab01                                      （3） 
Switch1(vlan)#exit
Switch1#config terminal
Switch1(config)#interface f0/9                                          （进入f0/9的配置模式）
Switch1(config-if)#  （4）                                          （设置端口为接入链路模式）
Switch1(config-if)#  （5）                                          （把f0/9分配给VLAN11）
Switch1(config-if)#exit
Switch1(config)#exit
试题解析：

　　很简单，对照答案看看就明白了。
答案：
　    （1）设置端口为中继（或Trunk）模式
        （2）设置Trunk采用802.1q格式（或dot1q）
        （3）创建vlan11，并命名为lab01
        （4）switchport mode access
        （5）switchport access vlan 11或switchport access vlan lab01

【问题2】（3分）
　　以下两个配置中错误的是   （6）  ，原因是   （7）  。
A．      Switch0 (config)#interface gigabitEthernet 0/3
　　　Switch0 (config-if)#switchport mode trunk
　　　Switch0 (config-if)#switchport trunk encapsulation dot1q
　　　Switch0(config)#exit
　　　Switch0# vlan database
　　　Switch0(vlan)# vlan 2100 name lab02
B．      Switch0 (config)#interface gigabitEthernet 0/3
　　　Switch0 (config-if)#switchport mode trunk
　　　Switch0 (config-if)#switchport trunk encapsulation ISL
　　　Switch0(config)#exit
　　　Switch0# vlan database
　　　Switch0(vlan)# vlan 2100 name lab02
试题解析：
　　大多数人不知道“trunk采用ISL格式时，vlan ID最大为1023”，不过就1.5分，即使丢了也算了。毕竟这次的下午题非同寻常的容易。
答案：（6）B，（7）trunk采用ISL格式时，vlan ID最大为1023

【问题3】（4分）
Switch1的f0/24口接在Switch0的f0/2口上，请根据图5-1完成或解释以下Switch0的配置命令。
Switch0(config)# interface  （8）                                （进入虚子接口）
Switch0(config-if)# ip address 203.12.12.1 255.255.255.0      （加IP地址）
Switch0(config-if)# no shutdown                                      （9） 

Switch0(config-if)# standby 1 ip 203.12.12.253            （建HSRP组并设虚IP地址）
Switch0(config-if)# standby 1 priority 110                                （10） 
Switch0(config-if)# standby 1 preempt                                （11） 
试题解析：
　　（8）很多人答f0/2，但要求写的是“进入虚子接口”的命令，所以答案是vlan11。
　　（11）的preempt命令很少用，算是有些难，不过只有1分，损失不大。
答案：    （8）vlan11，（9）开启端口，（10）设优先级，（11）设切换许可