软考试题及答案解析

2023年4月23日发(作者：家庭影院套装)2009年下半年 网络工程师 上午试卷

● 以下关于CPU的叙述中，错误的是 （1） 。

（1）A．CPU产生每条指令的操作信号并将操作信号送往相应的部件进行控制

B．程序控制器PC除了存放指令地址，也可以临时存储算术/逻辑运算结果

C．CPU中的控制器决定计算机运行过程的自动化

D．指令译码器是CPU控制器中的部件

试题解析：

PC不可以存储算术/逻辑运算结果。

答案：（1）B



● 以下关于CISC（Complex Instruction Set Computer，复杂指令集计算机）和RISC（Reduced Instruction Set Computer，精简指令集计算机）的叙述中，错误的是 （2） 。

（2）A．在CISC中，其复杂指令都采用硬布线逻辑来执行

B．采用CISC技术的CPU，其芯片设计复杂度更高

C．在RISC中，更适合采用硬布线逻辑执行指令

D．采用RISC技术，指令系统中的指令种类和寻址方式更少

试题解析：

CISC 的指令系统对应的控制信号复杂，大多采用微程序控制器方式。

答案：（2）A



● 以下关于校验码的叙述中，正确的是 （3） 。

（3）A．海明码利用多组数位的奇偶性来检错和纠错

B．海明码的码距必须大于等于1

C．循环冗余校验码具有很强的检错和纠错能力

D．循环冗余校验码的码距必定为1

试题解析：

海明码使用多组数位进行异或运算来检错和纠错。不过，异或也可以当做是奇偶计算，因此A可以算是正确的。

B的错误在于码距不能等于1。

C的错误在于CRC不具有纠错能力。

取两个相近的码字，如0和1，再随便用个生成多项式（如101）进行计算，可以看出即使要传输的码字的码距为1，但整个编码（原数据+CRC校验码）的码距必定大于1。如果码距可以等于1的话，那么就意味着CRC编码可能无法检查出一位的错误。因此D也是错误的。

不过，D的表达存在不严谨的地方。如果将题目中的“循环冗余校验码”定为整个编码（原数据+CRC校验码），则D是错误的。如果将题目中的“循环冗余校验码”定为CRC校验码，则D是正确的。

答案：（3）A



● 以下关于Cache的叙述中，正确的是 （4） 。

（4）A．在容量确定的情况下，替换算法的时间复杂度是影响Cache命中率的关键因素

B．Cache的设计思想是在合理成本下提高命中率

C．Cache的设计目标是容量尽可能与主存容量相等

D．CPU中的Cache容量应该大于CPU之外的Cache容量

试题解析：

A、C、D都明显错误。

答案：（4）B



● 面向对象开发方法的基本思想是尽可能按照人类认识客观世界的方法来分析和解决问题， （5） 方法不属于面向

对象方法。

（5）A．Booch B．Coad C．OMT D．Jackson

试题解析：

Jackson是面向数据结构的设计方法。

答案：（5）D



● 确定构建软件系统所需要的人数时，无需考虑 （6） 。

（6）A．系统的市场前景 B．系统的规模

C．系统的技术复杂度 D．项目计划

试题解析：

常识。

答案：（6）A



● 一个项目为了修正一个错误而进行了变更。这个变更被修正后，却引起以前可以正确运行的代码出错。 （7） 最可能发现这一问题。

（7）A．单元测试 B．接受测试 C．回归测试 D．安装测试

试题解析：

在软件生命周期中的任何一个阶段，只要软件发生了改变，就可能给该软件带来问题。软件的改变可能是源于发现了错误并做了修改，也有可能是因为在集成或维护阶段加入了新的模块。当软件中所含错误被发现时，如果错误跟踪与管理系统不够完善，就可能会遗漏对这些错误的修改；而开发者对错误理解的不够透彻，也可能导致所做的修改只修正了错误的外在表现，而没有修复错误本身，从而造成修改失败；修改还有可能产生副作用从而导致软件未被修改的部分产生新的问题，使本来工作正常的功能产生错误。同样，在有新代码加入软件的时候，除了新加入的代码中有可能含有错误外，新代码还有可能对原有的代码带来影响。因此，每当软件发生变化时，我们就必须重新测试现有的功能，以便确定修改是否达到了预期的目的，检查修改是否损害了原有的正常功能。同时，还需要补充新的测试用例来测试新的或被修改了的功能。为了验证修改的正确性及其影响就需要进行回归测试。

答案：（7）C



● 操作系统是裸机上的第一层软件，其他系统软件（如 （8） 等）和应用软件都是建立在操作系统基础上的。下图①②③分别表示 （9） 。





（8）A．编译程序、财务软件和数据库管理系统软件

B．汇编程序、编译程序和java解释器

C．编译程序、数据库管理系统软件和汽车防盗程序

D．语言处理程序、办公管理软件和气象预报软件

（9）A．应用软件开发者、最终用户和系统软件开发者

B．应用软件开发者、系统软件开发者和最终用户

C．最终用户、系统软件开发者和应用软件开发者

D．最终用户、应用软件开发者和系统软件开发者

试题解析：

常识。

答案：（8）B （9）D



● 软件权利人与被许可方签订一份软件使用许可合同。若在该合同约定的时间和地域范围内，软件权利人不得再许可任何第三人以此相同的方法使用该项软件，但软件权利人可以自己使用

，则该项许可使用是 （10） 。

（10）A．独家许可使用 B．独占许可使用

C．普通许可使用 D．部分许可使用

试题解析：

许可贸易实际上是一种许可方用授权的形式向被许可方转让技术使用权同时也让度一定市场的贸易行为。根据其授权程度大小，许可贸易可分为如下五种形式：

(1)独占许可。它是指在合同规定的期限和地域内，被许可方对转让的技术享有独占的使用权，即许可方自己和任何第三方都不得使用该项技术和销售该技术项下的产品。所以这种许可的技术使用费是最高的。

(2)排他许可，又称独家许可；它是指在合同规定的期限和地域内，被许可方和许可方自己都可使用该许可项下的技术和销售该技术项下的产品，但许可方不得再将该项技术转让给第三方。排他许可是仅排除第三方面不排除许可方。

(3)普通许可。它是指在合同规定的期限和地域内，除被许可方该允许使用转让的技术和许可方仍保留对该项技术的使用权之外，许可方还有权再向第三方转让该项技术。普通许可是许可方授予被许可方权限最小的一种授权，其技术使用费也是最低的。

(4)可转让许可，又称分许可。它是指被许可方经许可方允许，在合同规定的地域内，将其被许可所获得的技术使用权全部或部分地转售给第三方。通常只有独占许可或排他许可的被许可方才获得这种可转让许可的授权。

(5)互换许可，又称交叉许可。它是指交易双方或各方以其所拥有的知识产权或专有技术，按各方都同意的条件互惠交换技术的使用权，供对方使用。这种许可多适用于原发明的专利权人与派生发明的专利权人之间。

答案：（10）A



● E1载波的基本帧由32个子信道组成。其中30个子信道用于传送语音数据，2个子信道 （11） 用于传送控制信令。该基本帧的传送时间为 （12） 。

（11）A．CH0和CH2 B．CH1和CH15

C．CH15和CH16 D．CH0和CH16

（12）A．100ms B．200s C．125s D．150s

试题解析：

E1的一个时分复用帧的传送时间为125s，即每秒8000次。

一个帧的传送时间被划分为32相等的子信道，信道的编号为CH0~CH31。其中信道CH0用作帧同步用，信道CH16用来传送信令，剩下CH1~CH15和CH17~CH31 共30个信道可用于用户数据传输。

答案：（11）D （12）C



● 4B/5B编码是一种两级编码方案，首先要把数据变成 （13） 编码，再把4位分为一组的代码变换成5单位的代码，这种编码的效率是 （14） 。

（13）A．NRZ-I B．AMI C．QAM D．PCM

（14）A．0.4 B．0.5 C．0.8 D．1.0

试题解析：

4B / 5B编码是将欲发送的数据流每4bit作为一

个组，然后按照4B / 5B编码规则将其转换成相应5bit码。5bit码共有32种组合，但只采用其中的16种作为数据码对应4bit码；其它的16种或者未用，或者作为控制码用于表示帧的开始和结束、光纤线路的状态（静止、空闲、暂停）等。

4B / 5B编码可以在NRZ-I编码的基础上实现，但由于NRI-I编码（非归零反相编码）没有解决传输比特0的同步问题，因此，4B / 5B编码的设计目的是保证整个传输数据信息（不包括控制信息）的过程中，无论是单组编码还是相邻组编码，都不会出现超过3个连续“0”的情况。通过4B / 5B的特别编码方式，解决传输中的同步问题。

答案：（13）A （14）C



● 下图表示了某个数据的两种编码，这两种编码分别是 （15） ，该数据是 （16） 。







（15）A．X为差分曼彻斯特码，Y为曼彻斯特码

B．X为差分曼彻斯特码，Y为双极性码

C．X为曼彻斯特码，Y为差分曼彻斯特码

D．X为曼彻斯特码，Y为不归零码

（16）A．010011110 B．010011010

C．011011010 D．010010010

试题解析：

两种编码都在比特间隙的中央有跳变，说明它们都属于双相位编码。因此（15）题答案只能在A、C中选择。

如果（15）题选A，则x为差分曼彻斯特编码。差分曼彻斯特编码的比特间隙中间的跳变仅用于携带同步信息，不同比特是通过在比特间隙开始位置是否有电平跳变来表示。每比特的开始位置没有电平跳变表示比特1，有电平跳变表示比特0。

如果将x编码当做差分曼彻斯特编码，其数据应该是？11010111（第一位编码由于无法预知其前状态，因此只能用？表示）。y编码可能是“011101100”或“100010011”，显然差分曼彻斯特编码和曼彻斯特编码的结果对应不上，因此A是错误的。

如果（15）题选C，则y为差分曼彻斯特编码，其数据应该是？10011010。x编码可能是“010011010”或“101100101”。显然第一个结果能够与差分曼彻斯特编码的结果匹配。所以可以判定该数据位为010011010。

答案：（15）C （16）B



● 下图所示的调制方式是 （17） 。若载波频率为2400Hz，则码元速率为 （18） 。







（17）A．FSK B．2DPSK C．ASK D．QAM

（18）A．100Baud B．200Baud C．1200Baud D．2400Baud

试题解析：

这个信号明显是属于相位调制，在（17）题的备选答案中，PSK是相移键控，满足题意。

DPSK（Differential Pha Shift Keying，差分相移键控）波形的同一个相位并不一定代表相同的数字信号，而前后码元的相对相位才能唯一地确定数字信息，所以只要前后码元的相对相位关系不破坏，就可正确恢复数字信息。这就避免了绝对PSK方式中的

“倒”现象的发生，因此得到广泛的应用。

在数字信号中，一个数字脉冲称为一个码元（Symbol），一次脉冲的持续时间称为码元的宽度。码元速率（Symbol Rate）表示单位时间内信号波形的最大变换次数，即单位时间内通过信道的码元个数。码元速率即数字信号中的波特率，所以码元速率的单位也为baud/s。

在这个信号中，由于码元宽度为2个载波信号周期，因此其码元速率为1200baud/s。

答案：（17）B （18）C



● 在相隔2000km的两地间通过电缆以4800b/s的速率传送3000比特长的数据包，从开始发送到接收完数据需要的时间是 （19） 。如果用50kb/s的卫星信道传送，则需要的时间是 （20） 。

（19）A．480ms B．645ms C．630ms D．635ms

（20）A．70ms B．330ms C．500ms D．600ms

试题解析：

电信号在铜缆上的传播速度大致为光速的2/3，也就是每秒20万公里。

（19）题的答案是总传输时间=传输延迟时间+数据帧的发送时间=2000 / 200000 + 3000 / 4800 = 10ms + 625ms = 635ms。

（20）题有些含混，毕竟信号要先发到太空的卫星上，再转发到2000km外的接收站，因此总距离不可能还是2000km，不过题目没有提供相关数据。

有的书上说卫星传输的延时是270ms，这里要说明一下：传输延时是与距离相关的，距离越远则延时越大。即使是同一颗卫星，其近地点与远地点的通信传输延迟都差别非常大。如果死记270ms，那就是教条主义了。

现在只能按照教条主义的方法来计算了。总传输时间=传输延迟时间+数据帧的发送时间=270 + 3000 / 50000 = 270ms + 60ms = 330ms。

答案：（19）D （20）B



● 对于选择重发ARQ协议，如果帧编号字段为k位，则窗口大小为 （21） 。



答案：（21）B



● RIPv2对RIPv1协议有三方面的改进。下面的选项中，RIPv2的特别不包括 （22） 。在RIPv2中，可以采用水平分割法来消除路由循环，这种方法是指 （23） 。

（22）A．使用组播而不是广播来传播路由更新报文

B．采用了触发更新机制来加速路由收敛

C．使用经过散列的口令来限制路由信息的传播

D．支持动态网络地址变换来使用私网地址

（23）A．不能向自己的邻居发送路由信息

B．不要把一条路由信息发送给该信息的来源

C．路由信息只能发送给左右两边的路由器

D．路由信息必须用组播而不是广播方式发送

试题解析：

RIP是基于D-V算法的路由协议，由于D-V算法存在着路由收敛速度慢的问题，因此RIPv2采用了触发更新等机制来加速路由计算。

RFC 1388对RIP协议进行了扩充，定义了RIPv2。RIPv1使用广播方式进行路由更新，RIPv2改为

组播方式进行路由更新。RIPv2使用的组播地址是224.0.0.9。

RIPv1不具备身份验证功能，这样就存在有安全漏洞。RIPv2实现了身份验证功能，能够通过路由更新消息中的口令来判断消息的合法性。RIPv2支持两种类型的身份验证：明文口令和MD5散列口令。明文口令安全性差，不推荐使用。当使用MD5散列口令时，发送方使用MD5单向散列函数将路由更新消息和口令一起计算出一个摘要值，然后将路由更新消息和摘要值一起发送出去；接收方收到路由更新消息后，使用相同的方法也计算出一个摘要值，将收到的摘要值和自己计算出来的摘要值进行对比，如果相等，说明双方使用了相同的MD5散列口令。由于MD5散列口令并非直接在网络上以明文形式进行传输，因此具有较高的安全性。

使用共同口令的路由器构成了一个身份验证区域。一个网络中的路由器使用多个口令时，就可以构成多个身份验证区域。因此，RIPv2可以通过设置不同的身份验证口令来限制路由信息的传播。

RIPv2的每个路由记录都携带有自己的子网掩码，因此实现了对CIDR（Class Inter-Domain Routing，无类域间路由）、VLSM（Variable Length Subnetwork Mask，可变长子网掩码）和不连续子网的支持。但不涉及对NAT的支持。

水平分割方法的原理是：路由器必须有选择地将路由表中的路由信息发送给相邻的其它路由器，而不是发送整个路由表。具体地说，即一条路由信息不会被发送给该信息的来源方。

答案：（22）D （23）B



● 为了限制路由信息传播的范围，OSPF协议把网络划分成4种区域（Area），其中 （24） 的作用是连接各个区域的传输网络， （25） 不接受本地自治系统之外的路由信息。

（24）A．不完全存根区域 B．标准区域 C．主干区域 D．存根区域

（25）A．不完全存根区域 B．标准区域 C．主干区域 D．存根区域

试题解析：

如果将区域看成一个节点，则OSPF是以主干区域（area 0）为顶点，其他区域为终端的星形拓扑结构。

标准区域可以接收链路更新信息和路由总结。

存根区域是不接受自治系统以外的路由信息的区域。如果需要自治系统以外的路由，它使用默认路由0.0.0.0。

完全存根区域不接受外部自治系统的路由以及自治系统内其他区域的路由总结，需要发送到区域外的报文则使用默认路由0.0.0.0。完全存根区域是Cisco自己定义的。

不完全存根区域类似于存根区域，但是允许接收以LSAType7发送的外部路由信息，并且要把LSAType7转换成LSAType5。

● MPLS根据标记对分组进行交换，其标记中包含 （26） 。

（26）A．MAC地址 B．IP地址

C．VLAN编号

D．分组长度

试题解析：

MPLS提供多种协议的接口，如 IP、ATM、帧中继、资源预留协议（RSVP）、开放最短路径优先（OSPF）等。MPLS将IP地址映射为简单的具有固定长度的标签，用于不同的包转发和包交换技术。

答案：（26）B



● 某PC不能接入Internet，此时采用抓包工具捕获的以太网接口发出的信息如下：



则该PC的IP地址为 （27） ，默认网关的IP地址为 （28） 。该PC不能接入Internet的原因可能是 （29） 。

（27）A．213.127.115.31 B．213.127.115.255

C．213.127.115.254 D．224.1.1.1

（28）A．213.127.115.31 B．213.127.115.255

C．213.127.115.254 D．224.1.1.1

（29）A．DNS解析错误 B．TCP/IP协议安装错误

C．不能正常连接到网关 D．DHCP服务器工作不正常

试题解析：

略。

答案：（27）A （28）C （29）C



● 在Linux 系统中，采用 （30） 命令查看进程输出的信息，得到下图所示的结果。系统启动时最先运行的进程是 （31） ，下列关于进程xinetd的说法中正确的是 （32） 。



（30）A．ps -all B．ps -aef C．ls -a D．ls –la

（31）A．0 B．null C．init D．bash

（32）A．xinetd是网络服务的守护进程 B．xinetd是定时服务的守护进程

C．xinetd进程负责配置网络接口 D．xinetd进程进程负责启动网卡

试题解析：

ps命令显示系统正在运行的进程，参数：e列出系统所有的进程，f列出详细清单。

显示各列为：

★ UID：运行进程的用户

★ PID：进程的ID

★ PPID：父进程的ID

★ C：进程的CPU使用情况（进程使用占CPU时间的百分比）

★ STIME：开始时间

★ TTY：运行此进程的终端或控制台

★ TIME：消耗CPU的时间总量

★ CMD：产生进程的命令名称

Linux操作系统内核被加载入内存后，开始掌握控制权。接着，它将完成对外围设备的检测，并加载相应的驱动程序，如软驱、硬盘、光驱等。然后，系统内核调度系统的第一个进程，init进程。

作为系统的第一个进程，init的进程ID（PID）为1。它将完成系统的初始化工作，并维护系统的各种运行级别，包括系统的初始化、系统结束、单用户运行模式和多用户运行模式。

在Linux系统中，大部分的服务进程（daemon）都会设置成在系统启动时自动执行。服务进程是指在系统中持续执行的进程。但是，过多进程同时执行必然会占据更多的内存、CPU时间等资源，从而使系统性能下降。为了解决这个问题，Linux系统提供了一个超级服务进程：inetd/xinetd。

inetd/xinetd总管网络服务，使需要的程序在适当时候执行。当客户端没有请求时，服务进程不

执行；只有当接收到客户端的某种服务器请求时，inetd/xinetd根据其提供的信息去启动相应的服务进程提供服务。

inetd/xinetd负责监听传输层协议定义的网络端口。当数据包通过网络传送到服务器时，inetd/xinetd根据接收数据包的端口判断是哪个功能的数据包，然后调用相应的服务进程进行处理。 除Red Hat Linux 7使用xinetd来提供这个服务外，大部分版本的Linux系统都使用inetd。

答案：（30）B （31）C （32）A

● Linux操作系统中，网络管理员可以通过修改 （33） 文件对web服务器端口进行配置。

（33）A． B． C． D．

试题解析：

是系统超级服务进程inetd的配置文件。

是操作系统启动程序LILO的配置文件。

是web服务器Apache的配置文件。

是DNS解析的配置文件。

答案：（33）C



● 在Linux操作系统中，存放用户账号加密口令的文件是 （34） 。

（34）A．/etc/sam B．/etc/shadow C．etc/group D．etc/curity

试题解析：

常识。

答案：（34）B



● 在Windows中运行 （35） 命令后得到如下图所示的结果。如果要将目标地址为102.217.112.0.24的分组经102.217.115.1发出，需增加一条路由，正确的命令为 （36） 。



（35）A．ipconfig /renew B．ping C．nslookup D．route print

（36）A．route add 102.217.112.0 mask 255.255.255.0 102.217.115.1

B．route add 102.217.112.0 255.255.255.0 102.217.115.1

C．add route 102.217.112.0 255.255.255.0 102.217.115.1

D．add route 102.217.112.0 mask 255.255.255.0 102.217.115.1

试题解析：

route add的格式是：



答案：（35）D （36）A



● 下列关于Microsoft管理控制台（MMC）的说法中，错误的是 （37） 。

（37）A．MMC集成了用来管理网络、计算机、服务及其它系统组件的管理工具

B．MMC创建、保存并打开管理工具单元

C．MMC可以运行在Windows XP和Windows 2000操作系统上

D．MMC是用来管理硬件、软件和Windows系统的网络组件

试题解析：

Microsoft 管理控制台 (MMC) 集成了可以用于管理网络、计算机、服务和其他系统组件的管理工具。它不仅仅是一个网络组件。

答案：（37）D



● RAID技术中，磁盘容量利用率最高的是 （38） 。

（38）A．RAID0 B．RAID1 C．RAID3 D．RAID5

试题解析：



答案：（38）A



● xDSL技术中，能提供上下行信道非对称传输的是 （39） 。

（39）A．ADSL和HDSL B．ADSL和VDSL

C．SDSL和VDSL D．SDSL和HDSL

试题解析：



答案：（39）B



● 若FTP服务器开启了匿名访问功能，匿名登录时需要输入的用户名是 （40） 。

（40）A．root B．ur C

．guest D．anonymous

试题解析：

常识。

答案：（40）D



● 在Kerberos系统中，使用一次性密钥和 （41） 来防止重放攻击。

（41）A．时间戳 B．数字签名 C．序列号 D．数字证书

试题解析：

Kerberos是为TCP/ IP网络而设计的基于客户机/服务器模式的三方验证协议，最早源于麻省理工学院（MIT）的雅典娜计划，由麻省理工学院（MIT）开发，首次公开的版本为v4，目前广泛使用的是v5。

在Kerberos v4系统中，使用时间戳用来防止重发攻击。

在Kerberos v5系统中，使用Seq序列号用来防止重发攻击。

标准答案是A，但现在主流是Kerberos v5，其实答案选C更合适。

答案：（41）A



● 在下面4种病毒中， （42） 可以远程控制网络中的计算机。

（42）A．.f B．

C．3344 D．a

试题解析：

Worm代表蠕虫；

CIH是台湾人陈盈豪编写的一种能够攻击硬件的病毒。

Trojan代表木马，来源于古希腊荷马史诗中木马破城的故事（Trojan一词的本意是特洛伊）。木马可以进行远程控制。

Melissa是一种快速传播的能够感染那些使用MS Word 97 和 MS Office 2000 的计算机宏病毒。

答案：（42）C



● 将ACL应用到路由器接口的命令时 （43） 。

（43）A．Router(config-if)# ip access-group 10 out

B．Router(config-if)# apply accss-list 10 out

C．Router(config-if)# fixup access-list 10 out

D．Router(config-if)# route access-group 10 out

试题解析：



答案：（43）A



● 某网站向CA申请了数字证书。用户通过 （44） 来验证网站的真伪。在用户与网站进行安全通信时，用户可以通过 （45） 进行加密和验证，该网站通过 （46） 进行解密和签名。

（44）A．CA的签名 B．证书中的公钥 C．网站的私钥 D．用户的公钥

（45）A．CA的签名 B．证书中的公钥 C．网站的私钥 D．用户的公钥

（46）A．CA的签名 B．证书中的公钥 C．网站的私钥 D．用户的公钥

试题解析：

一次送三分，大发慈悲啊。唯一要注意的是：数字证书里没有私钥。

答案：（44）A （45）B （46）C



● IPSec的加密和认证过程中所使用的密钥由 （47） 机制来生成和分发。

（47）A．ESP B．IKE C．TGS D．AH

试题解析：

AH（Authentication 书法艺术欣赏 Header，认证头）是IPSec体系结构中的一种主要协议，它为IP数据报提供完整性检查与数据源认证，并防止重发攻击。

AH不提供数据加密服务，加密服务由ESP（Encapsulating Security Payload，封装安全载荷）提供。ESP提供数据内容的加密，根据用户安全要求，ESP既可以用于加密IP数据报的负载内容（如：TCP、UDP、ICMP、IGMP），也

可以用于加密整个IP数据报。

进行IPSec通讯前必须先在通信双方建立SA（安全关联）。IKE（Internet Key Exchange，因特网密钥交换）是一种混合型协议，用于动态建立SA，它沿用了ISAKMP（Internet Security Association and Key Management Protocol，Internet安全协作和密钥管理协议）的框架、Oakley的模式（Oakley描述了一系列的密钥交换模式，提供密钥交换和刷新功能）以及SKEME（Secue Key Exchange Mechanism，Internet安全密钥交换机制）（SKEME描述了通用密钥交换技术，提供匿名性、防抵赖和快速刷新等功能）的共享和密钥更新技术，提供密码生成材料技术和协商共享策略。

TGS（Ticket Granting Server）是Kerberos的票据授权服务器。

答案：（47）B



● SSL协议使用的默认端口是 （48） 。

（48）A．80 B．445 C．8080 D．443

试题解析：

常识。

答案：（48）D



● 某用户分配的网络地址为192.24.0.0~192.24.7.0，这个地址块可以用 （49） 表示，其中可以分配 （50） 个主机地址。

（49）A．192.24.0.0/20 B．192.24.0.0/21

C．192.24.0.0/16 D．192.24.0.0/24

（50）A．2032 B．2048 C．2000 D．2056

试题解析：

CIDR每次必考，原本不必多说，但50题的备选答案有些离奇。因此，请先看看下面这张图。



由于主机位有11位，因此可分配的主机地址有2^11-2=2046。但是备选答案中没有2046，这就有些离奇了。首先，2048和2056两个答案都是可以排除的，接下来分析2032和2000两个备选答案。

如果误以为CIDR中的各成员网络的主机位全“0”和全“1”地址都不可使用（即192.24.0.0、192.24.0.255、……、192.24.7.0、192.24.7.255），那也只有16个地址而已。即便如此，可分配的地址也有2048-16=2032个，离答案A比较接近。

因此可以判断，命题老师可能是无意中误导了考生。既然（49）考了CIDR，在（50）题中就应该说明“在不使用CIDR的情况下……”

答案：（49）B （50）A

● 使用CIDR技术把4个C类网络220.117.12.0/24、220.117.13.0/24、220.117.14.0/24和220.117.15.0/24汇聚成一个超网，得到的地址是 （51） 。

（51）A．220.117.8.0/22 B．220.117.12.0/22

C．220.117.8.0/21 D．220.117.12.0/21

试题解析：

略。

答案：（51）B



● 某公司网络的地址是200.16.192.0/18，划分成路由器管理网页 16个子网，下面的选项中，不属于这16个子网网址的是 （52） 。

（52）A．200.16.236.0/22 B．200.16.224.0/22

C．200.16.208.0/22 D．200.16.254.0/22

试题解析：

202.16.254.0/22是网络202.16.252.0/22中一个可分配主机地址。

答案：（52）D



● IPv6地址12AB:0000:0000:CD30:0000:0000:0000:0000/60可以表示成各种简写形式，下面的选项中，写法正确的是 （53） 。



（53）A．12AB:0:0:CD30:: /60 B．12AB:0:0:CD3 /60

C．12AB::CD30 /60 D．12AB::CD3 /60

试题解析：

略。

答案：（53）A



● IPv6协议数据单元由一个固定头部和若干个扩展头部以及上层协议提供的负载组成，其中用于标识松散源路由功能的扩展头是 （54） 。如果有多个扩展头部，第一个扩展头部为 （55） 。

（54）A．目标头部 B．路由选择头部

C．分段头部 D．安全封装负荷头部

（55）A．逐跳头部 B．路由选择头部

C．分段头部 D．认证头部

试题解析：

IPv6首部的固定部分被简称为IPv6首部，其大小是40字节，而IPv4首部中的必要部分为20字节。IPv6已经定义了以下扩展首部：

uf06c ★逐跳选项首部（Hop-by-Hop Options header）：定义需要逐跳处理的特殊选项；

uf06c ★路由首部（Routing header）：提供扩展路由，类似于IPv4的源路由；

uf06c ★片段首部（Fragment header）：包含分片和重组信息；

uf06c ★认证首部（Authentication header）：提供数据完整性和认证；

uf06c ★封装安全负载首部（Encapsulation Security Payload header）：提供秘密性；

uf06c ★目标选项首部（Destination Options header）：包含要在目标节点检查的可选信息。



IPv6标准建议，当用到多个扩展首部时，IPv6首部要按以下顺序出现：

1. IPv6首部：必要，必须最先出现。

2. 逐跳选项首部：此首部中包含的选项要由IPv6目标地址字段中第一个出现的目标以及路由首部列出的后续目标加以处理。

3. 路由首部

4. 片段首部

5. 认证首部

6. 封装安全负载首部

7. 目标选项首部：所包含的选项仅由数据包的最后目标加以处理。

答案：（54）B （55）A



● 下面关于帧中继网络的描述中，错误的是 （56） 。

（56）A．用户的数据速率可以在一定的范围内变化

B． 既可以使用流式业务，又可以适应突发式业务

C． 帧中继网可以提供永久虚电路和交换虚电路

D． 帧中继虚电路建立在HDLC协议之上

试题解析：

FR的带宽控制技术是它的一大优点。在传统的数据通信业务中，用户预定了一条64Kbps的链路，那么就只能以64Kbps的速率传输。而在FR技术中，预定的是CIR（Committed Information Rate，约定数据速率），即在正常状态下Tc（Committed Time Interval，承诺时间间隔）内的数据速率平均值。在实际的数据传输过程中，用户能以高于64Kbps的速率传送数据。举例来说，一个用户预定了CIR=64Kbps的FR链路，并与FR业务供应商鉴定了另外两个指标：

uf06c Bc（Committed Burst，承诺突发量）：在承诺信息速率的测量间隔内，交换机准许接收和发送的最大数据量，以bps为

单位。

uf06c Be（Excess Burst，超突发量）：在承诺信息速率之外，FR交换机试图发送的未承诺的最大额外数据量，以bps为单位。超量突发依赖于厂商可以提供的服务，但是一般来说它要受到本地接入环路端口速率的限制。一般来说，发送超量突发数据（Be）的概率要小于承诺突发数据（Bc）。网络把超量突发数据（Be）看作可丢弃的数据。

当用户以等于或低于64Kbps（CIR）的速率传送数据时，网络一定可靠地负责传送，当用户以大于64Kbps的速率传送数据，且用户在Tc内的发送量（突发量）少于Bc+Be时，在正常情况下也能可靠地传送，但是若出现网络拥塞，则会被优先丢弃。当突发量大于Bc+Be时，网络将丢弃数据帧。所以FR用户虽然付了64Kbps的信息速率费（收费以CIR来定），却可以传送高于64Kbps速率的数据，这是FR吸引用户的主要原因之一。

FR控制呼叫使用的协议是LAPD（Link Access Protocol Channel D，D信道链路访问协议）。LAPD定义在 ITU Q.921 中，与X.25的LAPB基本相同。它工作在ABM（Asynchronous Balanced Mode，异步平衡模式）下，为FR进行信令管理提供数据链路层支持。

FR用户数据传输使用的协议是LAPF（Link Access Procedure to Frame mode bearer rvice，帧模式承载业务链路访问过程）。LAPF定义在 ITU Q.922 中，是一种在FR网络中为帧方式业务提供拥塞控制性能的增强版 LAPD，其主要功能是帧同步、虚电路复用、DLCI管理、差错检测和拥塞控制等。

FR使用1号数字用户信令（DSS1）进行PVC（永久虚电路）和SVC（交换虚电路）管理。DSS1定义在ITU Q.931 / Q.933，说明了帧方式交换、PVC控制及状态监控的信令规程。

答案：（56）D



● SNMP MIB中被管对象的Access属性不包括 （57） 。

（57）A．只读 B．只写 C．可读写 D．可执行

试题解析：

Designed to make access to Simple Network Management Protocol (SNMP) MIB objects easier, a t of UNIX-like SNMP commands has been created. The Tcl shell is enabled either manually or by using a Tcl script, and the new commands can be entered to allow you to perform specified get and t actions on MIB objects. To increa usability, the new commands have names similar to tho ud for UNIX SNMP access.

参看：/en/US/docs/ios/12_3t/12_3t2/feature/guide/gt_#wp1051671

答案：（57）D



● 汇聚层交换机应该实现多种功能，下面选项中，不属于汇聚层功能的是 （58） 。

（58）A．VLAN间的路由选择 B．用户访问控制

C．分组过滤 D．组播管理

试题解析：

汇聚层是楼群或小区的信息汇聚点，是连接接入层与核心层的网络设备，为接入层提供数据的汇聚、传输、管理和分发处理。汇聚层为接入层提供基

于策略的连接，如地址合并、协议过滤、路由服务、认证管理等，通过网段划分（如VLAN）与网络隔离可以防止某些网段的问题蔓延和影响到核心层。汇聚层同时也可以提供接入层虚拟网之间的互联，控制和限制接入层对核心层的访问，保证核心层的安全和稳定。

汇聚层设备一般采用可管理的三层交换机或堆叠式交换机以达到带宽和传输性能的要求。其设备性能较好，但价格高于接入层设备，而且对环境的要求也较高，对电磁辐射、温度、湿度和空气洁净度等都有一定的要求。汇聚层设备之间以及汇聚层设备与核心层设备之间多采用光纤互联，以提高系统的传输性能和吞吐量。

一般来说，用户访问控制会安排在接入层，但这并非绝对，也可以安排在汇聚层进行。在汇聚层实现安全控制和身份认证时，采用的是集中式的管理模式。当网络规模较大时，可以设计综合安全管理策略，例如在接入层实现身份认证和MAC地址绑定，在汇聚层实现流量控制和访问权限约束。

实际上，组播管理也可以在汇聚层完成。无论是从分层的思想还是实际的工程来说，都没有什么绝对的不可以的限制。做什么或不做什么，只是利弊问题。

答案：（58）B



● 交换机命令Switch>enable的作用是 （59） 。

（59）A．配置访问口令 B．进入配置模式

C．进入特权模式 D．显示当前模式

试题解析：

常识。

答案：（59）C



● IEEE 802.1q协议的作用是 （60） 。

（60）A．生成树协议 B．以太网流量控制

C．生成VLAN标记 D．基于端口的认证

试题解析：

IEEE 802.1q 标准为标识带有V风的诗词 LAN 成员信息的以太帧建立了一种标准方法。IEEE 802.1q 标准定义了 VLAN 网桥操作，从而允许在桥接局域网结构中实现定义、运行以及管理VLAN 拓扑结构等操作。IEEE 802.1q 标准主要用来解决如何将大型网络划分为多个小网络，以使广播和组播流量不会占据更多带宽。此外 IEEE 802.1q 标准还提供更高的网络段间安全性。

答案：（60）C



● CSMA/CD协议可以利用多种监听算法来减小发送冲突的概率，下面关于各种监听算法的描述中，正确的是 （61） 。

（61）A．非坚持型监听算法有利于减少网络空闲时间

B．坚持型监听算法有利于减少冲突的概率

C．P坚持型监听算法无法减少网络的空闲时间

D．坚持型监听算法能够及时抢占信道

试题解析：

按总线争用协议来分类，CSMA有三种类型：

1） 非坚持CSMA。一个站点在发送数据帧之前，先要对媒体进行检测。如果没有其它站点在发送数据，则该站点开始发送数据。如果媒体被占用，则该站

点不会持续监听媒体，而等待一个随机的延迟时间之后再监听。采用随机的监听延迟时间可以减少冲突的可能性，但其缺点也是很明显的：即使有多个站点有数据要发送，因为此时所有站点可能都在等待各自的随机延迟时间，而媒体仍然可能处于空闲状态，这样就使得媒体的利用率较为低下。

2） 1-坚持CSMA。当一个站点要发送数据帧时，它就监听媒体，判断当前时刻是否有其他站点正在传输数据。如果媒体忙的话，该站点等待直至媒体空闲。一旦该站点检测到媒体空闲，它就立即发送数据帧。如果产生冲突，则等待一个随机时间再监听。之所以叫“1-坚持”，是因为当一个站点发现媒体空闲的时候，它传输数据帧的概率是1。1-坚持CSMA的优点是：只要媒体空闲，站点就立即发送；它的缺点在于：假如有两个或两个以上的站点有数据要发送，冲突就不可避免。

3） P-坚持CSMA.。P-坚持CSMA是非坚持CSMA和1-坚持CSMA的折中。P-坚持CSMA应用于划分时槽的媒体，其工作过程如下：当一个站点要发送数据帧的时候，它先检测媒体。若媒体空闲，则该站点按照概率P的可能性发送数据，而有1-P的概率会把要发送数据帧的任务延迟到下一个时槽。按照这样的规则，若下一个时槽也是空闲的，则站点同样有P的概率发送数据帧。

答案：（61）D



● 在Windows的DOS窗口中键入命令

C:>nslookup

Set type=ptr

>211.151.91.165

这个命令的作用是 （62） 。

（62）A．查询211.151.91.165的邮件服务器信息

B．查询211.151.91.165到域名的映射

C．查询211.151.91.165的资源记录类型

D．显示211.151.91.165中各种可用的信息资源记录

试题解析：

运行nslookup，执行help。解释t type=X的作用为“t query type(ex. A, AAAA, A+AAAA, ANY, CNAME, MX, NS, PTR, SOA, SRV)”根据这个解析，应该选B。

答案：（62）B



● 在Windows的命令窗口中键入命令arp –s 10.0.0.80 00-AA-00-4F-2A-9C，这个命令的作用是 （63） 。

（63）A．在ARP表中添加一个动态表项 B．在ARP表中添加一个静态表项

C．在ARP表中删除一个表项 D．在ARP表中修改一个表项

试题解析：

s是static的缩写。

答案：（63）B



● 开放系统的数据存储有多种方式，属于网络化存储的是 （64） 。

（64）A．内置式存储和DAS B．DAS和NAS

C．DAS和SAN D．NAS和SAN

试题解析：

DAS（Direct Attached Storage，直接连接存储）将磁盘阵列、磁带库等数据存储设备通过扩展接口（通常是SCSI接口）直接连接到服务器或客户端。

NAS（Network Attached Storage，网络连接存储）与DAS不同，它的存储设备不是直接连接到

服务器，而是直接连接到网络，通过标准的网络拓扑结构连接到服务器。

SAN（Storage Area Network ，存储区域网络）是一种通过专用传输通道（光纤通道或IP网络）连接存储设备和相关服务器的存储结构。

答案：（64）D



● IEEE 802.11采用了类似于802.3 CSMA/CD协议的CSMA/CA协议，之所以不采用CSMA/CD协议的原因是 （65） 。

（65）A．CSMA/CA协议的效率更高 B．CSMA/CD协议的开销更大

C．为了解决隐蔽终端问题 D．为了引进其他业务

试题解析：

CSMA/CA（Carrier Sen Multiple Access with Collision Avoidance，载波侦听多路访问/避免冲突）是IEEE 802.11无线局域网的MAC子层协议，主要用于解决无线局域网的信道共享访问问题。而在传统以太网中，MAC子层采用CSMA/CD（Carrier Sen Multiple Access with Collision Detection，带有冲突检测的载波侦听多路访问）协议。这两种协议都针对网络中共享信道如何分配的问题，但它们的工作原理却有所不同。最明显的区别是：CSMA/CA是在冲突发生前进行冲突处理而CSMA/CD是在冲突发生后进行冲突处理。导致这种不同的根本原因是无线局域网所采用的传输媒介和传统局域网所采用的传输媒介有着本质的区别。也正是由于这种区别，导致无线局域网存在新的问题：隐藏站问题和暴露站问题。这些问题都属于隐蔽终端问题。

答案：（65）C



● 建筑物综合布线系统中的工作区子系统是指 （66） 。

（66）A．由终端到信息插座之间的连线系统

B．楼层接线间的配线架和线缆系统

C．各楼层设备之间的互连系统

D．连接各个建筑物的通信系统

试题解析：

常识。

答案：（66）A



● EIA/TIA-568标准规定，在综合布线时，如果信息插座到网卡之间使用无屏蔽双绞线，布线距离最大为 （67） 米。

（67）A．10 B．30 C．50 D．100

试题解析：

工作区子系统指信息插座与数据终端之间的连接设置系统，由从信息插座延伸至数据终端设备的连接线缆和适配器组成。它一般使用软线（Patch Cable）材料（例如UTP/STP）实现终端设备与信息插座之间的连接。工作区的跳线（Patch Cord）、连接设备的跳线、交叉连接（Cross-Connection）线的总长度一般不超过10米。其中交叉连接线或跳线的长度不应超过5米。

答案：（67）A



● 网络安全体系设计可从物理线路安全、网络安全、系统安全、应用安全等方面来进行，其中数据库容灾属于 （68） 。

（68）A．物理线路安全和网络安全 B．应用安全和网络安全

C．系统安全和网络安全 D．系统安全和应用安全

试题解析：

常识。

答案：（68）D



● 下列关于网络核心

层的描述中，正确的是 （69） 。

（69）A．为了保障安全性，应该对分组进行尽可能多的处理

B．将数据分组从一个区域高速地转发到另一个区域

C．由多台二、三层交换机组成

D．提供多条路径来缓解通信瓶颈

试题解析：

核心层是各区域网络中所有通信流量的最终汇集点和承受者，用于实现骨干网络数据的优化传输，其主要特征是冗余设计、负载均衡、高带宽和高吞吐率。由于核心层的目标是快速传递分组，因此不宜集成控制功能和分组处理功能，而且传输带宽必须是千兆或万兆级的。

核心层作为网络骨干和核心，其设备多由核心路由器、多层交换机和服务器群组成，具备高性能、高扩展性、高可靠性，以及强有力的网络控制能力和管理特性。各设备之间通常采用光纤进行点对点连接，并设计冗余线路，以提高传输速率和可靠性。

答案：（69）B



● 网络系统设计过程中，物理网络设计阶段的任务是 （70） 。

（70）A．依据逻辑网络设计的要求，确定设备的具体物理分布和运行环境

B．分析现有网络和新网络的各类资源分布，掌握网络所处的状态

C．根据需求规范和通信规范，实施资源分配和安全规划

D．理解网络应该具有的功能和性能，最终设计出符合用户需求的网络

试题解析：

常识。

答案：（70）A



● Routing protocols u different techniques for assigning （71） to individual network. Further, each routing protocol forms a metric aggregation in a different way. Most routing protocols can u multiple paths if the paths has an equal （72） . Some routing protocols can even u multiple paths when paths have an unequal cost. In either ca, load （73） can improve overall allocation of network bandwidth. When multiple paths are ud, there are veral ways to distribute the packets. The two most common mechanisms are per-packet load balancing and per-destination load balancing. Per-packet load balancing distributes the （74） across the possible routes in a manner proportional to the route metrics. Per-destination load balancing distributes packets across the possible routes bad on （75） .

（71）A．calls B．metrics C．links D．destinations

（72）A．ur B．distance C．entity D．cost

（73）A．bracketing B．balancing C．downloading D．transmitting

（74）A．destinations B．resources C．packets D．sources

（75）A．destinations B．resources C．packets D．sources

试题解析：

略。

答案：（71）B （72）D （73）B （74）C （75）A









2009年下半年 网络工程师 下午试卷

试题一（共15分）

阅读以下说明，回答问题1至问题3，将解答填入答题纸对应的解

答栏内。

【说明】

某校园网中的无线网络拓扑结构如图1-1所示。





图1-1

该网络中无线网络的部分需求如下：

1．学校操场要求部署AP，该操场区域不能提供外接电源。

2．学校图书馆报告厅要求高带宽、多接入点。

3．无线网络接入要求有必要的安全性。



【问题1】（4分）

根据学校无线网络的需求和拓扑图可以判断，连接学校操场无线AP的是 （1） 交换机，它可以通过交换机的 （2） 口为AP提供直流电。

试题解析：

由于图上标有“核心交换机”和“汇聚交换机”字样，因此（1）填写“接入”比较合适。

以太网供电PoE (Power Over Ethernet) 以太网供电这项创新的技术，指的是现有的以太网CAT-5布线基础架构在不用作任何改动的情况下就能保证在为如IP电话机、无线局域网接入点AP、安全网络摄像机以及其他一些基于IP的终端传输数据信号的同时，还能为此类设备提供直流供电的能力。PoE技术用一条通用以太网电缆同时传输以太网信号和直流电源，将电源和数据集成在同一有线系统当中，在确保现有结构化布线安全的同时保证了现有网络的正常运作。

答案：

（1）接入 （2）PoE



【问题2】（6分）

1．根据需求在图书馆报告厅安装AP。如果采用符合IEEE802.11b规范的AP，理论上最高可以提供 （3） Mb/s的传输速率；如果采用符合IEEE 802.11g规范的AP，理论上最高可以提供 （4） Mb/s的传输速率。如果采用符合 （5） 规范的AP，由于将MIMO技术和 （6） 调制技术结合在一起，理论上最高可以提供600Mb/s的传输速率。

（5）备选答案

A．IEEE 802.11a B．IEEE 802.11e

C．IEEE 802.11i D．IEEE 802.11n

（6）备选答案

A．BFSK B．QAM C．OFDM D．MFSK

2．图书馆报告厅需要部署10台无线AP。在配置过程中发现信号相互干扰严重，这时应调整无线AP的 （7） 设置。用户在该报告厅内应选择 （8） ，接入不同的无线AP。

（7）~（8）备选答案

A．频道 B．功率 C．加密模式 D．操作模式 E．SSID

试题解析：

IEEE 802.11n标准的核心是MIMO（multiple-input multiple-output，多入多出）和OFDM技术，最大传输速率可达600Mbps，同时采用软件的无线电技术，可以向前向后兼容。

答案：

（3）11 （4）54 （5）D （6）C （7）A （8）E



【问题3】（5分）

若在学校内一个专项实验室配置无线AP，为了保证只允许实验室的PC机接入该无线AP，可以在该无线AP上设置不广播 （9） ，对客户端的 （10） 地址进行过滤，同时为保证安全性，应采用加密措施。无线网络加密主要有三种方式： （11） 、WPA/WPA2、WPA-PSK/

WPA2-PSK。在这三种模式中，安全性最好的是 （12） ，其加密过程采用了TKIP和 （13） 算法。

（13）备选答案

A．AES B．DES C．IDEA D．RSA

试题解析：

从目前的应用来说，个人用户常用WPA-PSK（pre-shared key，预共享密钥）认证，而企业则一般使用WPA-EAP（Extensible Authentication Protocol，扩展认证协议）认证。这是因为企业可以部署Radius服务器提供认证服务，所以可以使用EAP/802.1x认证协议。而个人用户使用电脑数量较少，使用WPA-PSK进行认证即可达到需求。

WAP2使用了更强壮的加密算法AES，需要专门的硬件支持，目前大部分的Wi-fi产品都支持AES加密。

答案：

（9）SSID （10）MAC （11）WEP

（12）WPA-PSK/WPA2-PSK （13）A



试题二（共15分）

阅读以下说明，回答问题1至问题5，将解答填入答题纸对应的解答栏内。

【说明】

网络拓扑结构如图2-1所示。





图2-1

【问题1】（4分）

网络A的WWW服务器上建立了一个Web站点，对应的域名是。DNS服务器1上安装Windows Server 2003操作系统并启用DNS服务。为了解析WWW服务器的域名，在图2-2所示的对话框中，新建一个区域的名称是 （1） ；在图2-3所示的对话框中，添加的对应主机“名称”为 （2） 。



图2-2



图2-3

答案：

（1） （2）www



【问题2】（3分）

在DNS系统中反向查询（Rever Query）的功能是 （3） 。为了实现网络A中WWW服务器的反向查询，在图2-4和2-5中进行配置，其中网络ID应填写为 （4） ，主机名应填写为 （5） 。



图2-4





图2-4和图2-5（图不清晰，后补）

答案：

（3）通过IP地址查询域名 （4）210.43.16 （5）



【问题3】（3分）

DNS服务器1负责本网络区域的域名解析。对于非本网络的域名，可以通过设置“转发器”，将自己无法解析的名称转到网络C中的DNS服务器2进行解析。设置步骤：首先在“DNS管理器”中选中DNS服务器，单击鼠标右键，选择“属性”对话框中的“转发器”选项卡，在弹出的如图2-6所示的对话框中应如何配置？





图2-6

答案：

选中“启用转发器”，在“IP地址”输入框中输入DNS服务器2的IP地址51.202.22.18，点击“添加”按钮，然后点击“确定”按钮。



【问题4】（2分）

网络C的Windows Server 2003服务器上配置了DNS服务，在该服务器上两次使用nslookup 命令得到的结果如图2-7所示。由结果可知，该DNS服务器 （6） 。



图2-7

（6）备选答案

A．启用了循环功能 B．停用了循环功能

C．停用了递归功能 D．启用了递归功能

答案：

A



【问题5】（3分）

在

网络B中，除PC5计算机以外，其它的计算机都能访问网络A的WWW服务器，而PC5计算机与网络B内部的其它PC机器都是连通的。分别在PC5和PC6上执行命令ipconfig，结果信息如图2-8和图2-9所示：



图2-8



图2-9

请问PC5的故障原因是什么？如何解决？

答案：

PC5的网关设置错误。重新设置PC5的网关，将其改为192.168.0.3即可。



试题三（共15分）

阅读以下说明，回答问题1至问题3，将解答填入答题纸对应的解答栏内。

【说明】

在大型网络中，通常采用DHCP完成基本网络配置会更有效率。



【问题1】（1分）

在Linux系统中，DHCP服务默认的配置文件为 （1） 。

（1）备选答案

A．/etc/ B．/etc/

C．/etc/ D．/etc/

答案：

A 或 /etc/



【问题2】（4分）

管理员可以在命令行通过 （2） 命令启动DHCP服务；通过 （3） 命令停止DHCP服务。

（2）、（3）备选答案

A．rvice dhcpd start B．rvice dhcpd up

C．rvice dhcpd stop D．rvice dhcpd down

答案：

（2）A 或 rvice dhcpd start （3）C 或 rvice dhcpd stop



【问题3】（10分）

在Linux系统中配置DHCP服务器，该服务器配置文件的部分内容如下：

subnet 192.168.1.0 netwask 255.255.255.0 {

option routers 192.168.1.254;

option subnet-mask 255.255.255.0;

option broadcast-address 192.168.1.255;

option domain-name-rvers 192.168.1.3;

range 192.168.1.100 192.168.1.200;

default-lea-time 21600;

max-lea-time 43200;

host webrver{

hardware ethernet 52:54:AB:34:5B:09;

fixed-address 192.168.1.100;

}

}

在主机webrver上运行ifconfig命令时显示如下，根据DHCP配置，填写空格中缺少的内容。





该网段的网关IP地址为 （7） ，域名服务器IP地址为 （8） 。

答案：

（4）52:54:AB:34:5B:09 （5）192.168.1.100 （6）255.255.255.0

（7）192.168.1.254 （8）192.168.1.3

试题四（共15分）

阅读以下说明，回答问题1至问题4，将解答填入答题纸对应的解答栏内。

【说明】

某公司通过PIX防火墙接入Internet，网络拓扑如图4-1所示。



图4-1



在防火墙上利用show命令查询当前配置信息如下：

PIX# show config

…

nameif eth0 outside curity 0

nameif eth1 inside curity 100

nameif eth2 dmz curity 40

…

fixup protocol ftp 21 （1）

fixup protocol http 80

…

ip address outside 61.144.51.42 255.255.255.248

ip address inside 192.168.0.1 255.255.255.0

ip address dmz 10.10.0.1 255.255.255.0

…

global(outside) 1 61.144.51.46

nat(inside) 1 0.0.0.0 0.0.0.0

…

route outside 0.0.0.0 0.0

.0.0 61.144.51.45 1 （2）

…



【问题1】（4分）

解析（1）、（2）处画线语句的含义。

答案：

（1）添加可监听的FTP服务端口21

（2）定义外部默认路由61.144.51.45，跳数为1



【问题2】（6分）

根据配置信息，在填充表4-1。



表4-1

答案：

（3）192.168.0.1 （4）255.255.255.248

（5）eth2 （6）10.10.0.1



【问题3】（2分）

根据所显示的配置信息，由inside域发往Internet的IP分组，在到达路由器R1时的源IP地址是 （7） 。

答案：

（7）61.144.51.46



【问题4】（3分）

如果需要在DMZ域的服务器（IP地址为10.10.0.100）对Internet用户提供web服务（对外公开IP地址为61.144.51.43），请补充完成下列配置命令。

PIX(config)# static(dmz, outside) （8） （9）

PIX(config)# conduit permit tcp host （10） eq www any

说明：

static命令的格式是：static(nameif,outside) ip-outside, ip-nameif

第（10）空要填写一个主机地址，这里填写的是DMZ内的那个主机的IP地址，而不是对外的那个地址。以免出现修改NAT配置后，开放的内网主机服务的命令也要跟随改动。

答案：

（8）61.144.51.43 （9）10.10.0.100 （10）10.10.0.100



试题五（共15分）

阅读以下说明，回答问题1至问题3，将解答填入答题纸对应的解答栏内。

【说明】

某单位网络拓扑结构如图5-1所示，要求配置IPSec VPN使10.10.20.1/24网段能够连通10.10.10.2/24网段，但10.10.30.1/24网段不能连通10.10.10.2/24网段。





图5-1

【问题1】（4分）

根据网络拓扑和要求，解释并完成路由器R1上的部分配置。

R1(config)# crypto isakmp enable （启用IKE）

R1(config)# crypto isakmp （1） 20 （配置IKE策略20）

R1(config-isakmp)# authentication pre-share （2）

R1(config-isakmp)# exit

R1(config)# crypto isakmp key 378 address 192.168.2.2 （配置预共享密钥为378）

R1(config)# access-list 101 permit ip （3） 0.0.0.255 （4） 0.0.0.255

（设置ACL）

……

说明：

“access-list 101 permit ip （3） 0.0.0.255 （4） 0.0.0.255”的意思是“从本地站点（3）发出的和来自远点站点（4）的数据将得到保护。”

答案：

（1）policy

（社团活动方案 2）验证方法为使用预共享密钥

（3）10.10.20.0

（4）10.10.10.0



【问题2】（4分）

根据网络拓扑和要求，完成路由器R2上的静态路由配置。

R2(config)# ip route （5） 255.255.255.0 192.168.1.1

R2(config)# ip route 10.10.30.0 255.255.255.0 （6）

R2(config)# ip route 10.10.10.0 255.255.255.0 192.168.2.2

答案：

（5）10.10.20.0

（6）192.168.1.1



【问题3】（空（9）1分，其他2分，共7分）



根据网络拓扑和R1的配置，解释并完成路由器R3的部分配置。

……

R3(config)# crypto isakmp key （7） address （8）

R3(config)# crypto transform-t testvpn ah-md5-hmac esp-des esp-md5-hmac （9）

R3(cfg-crypto-trans)# exit

R3(config)# crypto map test 20 ipc-isakmp

R3(config-crypto-map)# t peer 192.168.1.1

R3(config-crypto-map)# t transform-t （10）

……

答案：

（7）378

（8）192.168.1.1

（9）设置IPSec变换集testvpn，AH鉴别采用ah-md5-hmac，ESP加密采用esp-des，ESP认证采用esp-md5-hmac。

（10）testvpn





2010年上半年网络工程师上午试卷参考答案与解析（一）

● 计算机指令一般包括操作码和地址码两部分，为分析执行一条指令，其 （1） 。

（1）A． 操作码应存入指令寄存器（IR），地址码应存入程序计数器(PC)。

B． 操作码应存入程序计数器(PC)，地址码应存入指令寄存器（IR）。

C． 操作码和地址码都应存入指令寄存器。

D． 操作码和地址码都应存入程序计数器。

试题解析：

指令寄存器（IR）用来保存当前正在执行的一条指令。当执行一条指令时，先把它从内存取到数据寄存器（DR）中，然后再传送至IR。指令划分为操作码和地址码字段，由二进制数字组成。为了执行任何给定的指令，必须对操作码进行测试，以便识别所要求的操作。指令译码器就是做这项工作的。指令寄存器中操作码字段的输出就是指令译码器的输入。操作码一经译码后，即可向操作控制器发出具体操作的特定信号。

答案：（1）C



● 进度安排的常用图形描述方法有GANTT图和PERT图。GANTT图不能清晰地描述 （2） ；PERT图可以给出哪些任务完成后才能开始另一些任务。下图所示的PERT图中，事件6的最晚开始时刻是 （3） 。

（图略，后补）

（2）A．每个任务从何时开始 B．每个任务到何时结束

C．每个任务的进展情况 D．各任务之间的依赖关系

（3）A．0 B．1 C．10 D．11

试题解析：

甘特图的优点是直观表明各个任务的计划进度和当前进度，能动态地反映软件开发进展的情况，是小型项目中常用的工具。缺点是不能显式地描绘各个任务间的依赖关系，关键任务也不明确。

PERT图中的关键路径是1→2→5→7→9，总共15天。在不影响关键路径，并考虑到5→8这个任务的前提下，事件6的最晚开始事件是第10天。

答案：（2）D，（3）C



● 使用白盒测试方法时，确定测试用例应根据 （4） 和指定的覆盖标准。

（4） A．程序的内部逻辑 B．程序结构的复杂性

C．使用说明书 D．程序的功能

试题解析：

白盒法全面了解

程序内部逻辑结构、对所有逻辑路径进行测试。白盒法是穷举路径测试。在使用这一方案时，测试者必须检查程序的内部结构，从检查程序的逻辑着手，得出测试数据。

答案：（4）A



● 若某整数的16位补码为FFFFH（H表示十六进制），则该数的十进制值为 （5） 。

（5）A．0 B．-1 C．216-1 D．-216+1

试题解析：

负数的补码：符号位为1，其余位为该数绝对值的原码按位取反；然后整个数加1。

因此，补码FFFFH对应的是-1

答案：（5）B



● 若在系统中有若干个互斥资源R，6个并发进程，每个进程都需要2个资源R，那么使系统不发生死锁的资源R的最少数目为 （6） 。

（6）A．6 B．7 C．9 D．12

试题解析：

在极端情况下，假设6个并发进程都获得了一个资源。要避免死锁，则至少需要再增加一个资源。

答案：（6）B



● 软件设计时需要遵循抽象、模块化、信息隐蔽和模块独立原则。在划分软件系统模块时，应尽量做到 （7） 。

（7） A．高内聚高耦合 B．高内聚低耦合

C．低内聚高耦合 D．低内聚低耦合

试题解析：

高内聚强调功能实现尽量在模块内部完成；低耦合则是尽量降低模块之间的联系，减少彼此之间的相互影响。这二者的结合是面向过程编程和系统设计的重要特点。

答案：（7）B



● 程序的三种基本控制结构是 （8） 。

（8） A．过程、子程序和分程序 B．顺序、选择和重复

C．递归、堆栈和队列 D．调用、返回和跳转

试题解析：

常识

答案：（8）B



● 栈是一种按“后进先出”原则进行插入和删除操作的数据结构，因此， （9） 必须用栈。

（9） A．函数或过程进行递归调用及返回处理

B．将一个元素序列进行逆置

C．链表结点的申请和释放

D．可执行程序的装入和卸载

试题解析：

常识。

答案：（9）A



● 两个以上的申请人分别就相同内容的计算机程序的发明创造，先后向国务院专利行政部门提出申请， （10） 可以获得专利申请权。

（10）A．所有申请人均 B．先申请人

C．先使用人 D．先发明人

试题解析：

在我国，审批专利遵循的基本原则是“先申请先得”原则，即对于同样的发明创造，谁先申请专利，专利权就授予谁。专利法第九条规定，两个以上的申请人分别就同样的发明创造申请专利的，专利权授予最先申请的。当有二者在同一时间就同样的发明创造提交了专利申请，专利局将分别向各申请人通报有关情况可以将两申请人作为一件申请的共同申请人,或其中一方放弃权利并从另一方得到适当的补偿，或

两件申请都不授予专利权。但专利权的的授予只能给一个人。

答案：（10）B



● 第三层交换根据 （11） 对数据包进行转发。

（11）A．MAC地址 B．IP地址 C．端口号 D．应用协议

试题解析：

这道题目有些吃不准。

第三层交换本来是应该根据网络层IP地址进行转发的。

但第三层交换有一类方案的思想是：在第三层对数据报进行一次路由，然后尽量在第二层交换端到端的数据帧，这就是所谓的“一次路由，随后交换”（Route Once, Switch Thereafter）的策略。3Com公司的FastIP交换（用于局域网）和MPOA（Multi-Protocol Over ATM，ATM上的多协议）属于此类。其中FastIP交换使用的是MAC地址，MPOA使用的就不一定是MAC地址了。

另外，第三层交换还有一类方案是尽可能地避免路由器对数据报进行逐个处理，可以把网络数据划分成不同的网络流，在进行路由和转发时是以数据报携带的网络流标志为依据。Cisco公司的NetFlow交换（用于局域网）和TagSwitching交换（用于广域网）以及Ipsilon公司的IPSwitching交换就是属于这种技术。

从题目不是很容易揣摩出命题老师的意思，在A和B之间反复权衡，最后还是选B。

答案：（11）B



● 按照IEEE 802.1d协议，当交换机端口处于 （12） 状态时，既可以学习MAC帧中的源地址，又可以把接收到的MAC帧转发到适当的端口。

（12）A．阻塞（blocking） B．学习（learning）

C．转发（forwarding） D．监听（listening）

试题解析：

对于支持生成树算法的交换机来说，其端口有六种工作模式：

uf06c● 禁用（disabled）：端口既不发送和监听BPDU，也不转发数据帧。

uf06c● 阻塞（blocking）：端口可发送和监听BPDU，但不转发数据帧。

uf06c● 监听（listening）：端口监听BPDU以确保网络中不出现环路，但不转发数据帧。该模式是一种临时模式。

uf06c● 学习（learning）：端口学习MAC地址，建立地址表，但不转发数据帧。该模式是一种临时模式。

uf06c● 转发（forwarding）：端口既可以发送和监听BPDU，也可以转发数据帧。

uf06c● 故障（broken）：端口因为配置错误而无法使用，既不能发送和监听BPDU，也不能转发数据帧。通常在交换机重启之后就可以消除故障状态。

答案：（12）C



● 以下关于帧中继网的叙述中，错误的是 （13） 。

（13）A．帧中继提供面向连接的网络服务

B．帧在传输过程中要进行流量控制

C．既可以按需提供带宽，也可以适应突发式业务

D．帧长可变，可以承载各种局域网的数据帧。

试题解析：

FR（Frame Relay，帧中继）是八十年代发展起来的一种数据通信技术，它是从X.25

分组交换技术演变而来的。

FR向用户提供面向连接的通信服务。FR省略了帧编号、差错控制、流量控制、应答、监视等功能，把这些功能全部交给用户终端去完成，大大节省了交换机的开销，降低了时延，提高了信息吞吐量。FR具有高带宽和高可靠性的优点，可以作为X.25的替代方案。

FR的帧信息长度远大于X.25分组，最大帧长度可达1600字节，适合于封装局域网的数据单元。

FR的带宽控制技术是它的一大优点。在传统的数据通信业务中，用户预定了一条64Kbps的链路，那么就只能以64Kbps的速率传输。而在FR技术中，预定的是CIR（Committed Information Rate，约定数据速率），即在正常状态下Tc（Committed Time Interval，承诺时间间隔）内的数据速率平均值。在实际的数据传输过程中，用户能以高于64Kbps的速率传送数据。举例来说，一个用户预定了CIR=64Kbps的FR链路，并与FR业务供应商鉴定了另外两个指标：

uf06c1. Bc（Committed Burst，承诺突发量）：在承诺信息速率的测量间隔内，交换机准许接收和发送的最大数据量，以bps为单位。

uf06c2. Be（Excess Burst，超突发量）：在承诺信息速率之外，FR交换机试图发送的未承诺的最大额外数据量，以bps为单位。超量突发依赖于厂商可以提供的服务，但是一般来说它要受到本地接入环路端口速率的限制。一般来说，发送超量突发数据（Be）的概率要小于承诺突发数据（Bc）。网络把超量突发数据（Be）看作可丢弃的数据。

当用户以等于或低于64Kbps（CIR）的速率传送数据时，网络一定可靠地负责传送，当用户以大于64Kbps的速率传送数据，且用户在Tc内的发送量（突发量）少于Bc+Be时，在正常情况下也能可靠地传送，但是若出现网络拥塞，则会被优先丢弃。当突发量大于Bc+Be时，网络将丢弃数据帧。所以FR用户虽然付了64Kbps的信息速率费（收费以CIR来定），却可以传送高于64Kbps速率的数据，这是FR吸引用户的主要原因之一。

答案：（13）B



● 在地面上相隔2000KM的两地之间通过卫星信道传送4000比特长的数据包，如果数据速率为64Kb/S，则从开始发送到接收完成需要的时间是 （14） 。

（14）A．48ms B．640ms C．322.5ms D．332.5ms

试题解析：

总时间= 4000比特的发送时间+卫星传输延迟时间。

发送4000比特需要4000/64k=62.5ms，在文中没有说明卫星传输延迟，估计又用了270ms的“标准时间”。唉，这个时间我去年下半年做考试分析时就已经强调过了是“教条主义”，怎么就不知道反思呢？

“有的书上说卫星传输的延时是270ms，这里要说明一下：传输延时是与距离相关的，距离越远则延时越大。即使是同一颗卫星，

其近地点与远地点的通信传输延迟都差别非常大。如果死记270ms，那就是教条主义了。”

总时间=62.5+270=332.5ms

答案：（14）D



● 同步数字系列（SDH）是光纤信道复用标准，其中最常用的STM-1(OC-3)据速率是 （15） ，STM-4(OC-12)的数据速率是 （16） 。

（15）A．155.520Mb/s B．622.080Mb/s

C．2488.320Mb/s D．10Gb/s

（16）A．155.520Mb/s B．622.080Mb/s

C．2488.320Mb/s D．10Gb/s

试题解析：



答案：（15）A，（16）B



● 采用CRC进行差错校验，生成多项式为G(X)=X4+X+1，信息码字为10111，则计算出的CRC校验码是 （17） 。

（17）A．0000 B．0100 C．0010 D．1100

试题解析：





答案：（17）D



● 数字用户线（DSL）是基于普通电话线的宽带接入技术，可以在铜质双绞线上同时传送数据和话音信号。下列选项中，数据速率最高的DSL标准是 （18） 。

（18）A．ADSL B．VDSL C．HDSL D．RADSL

试题解析：





RADSL（Rate-Adaptive DSL，速率自适应数字用户线路）是在ADSL基础上发展起来的新一代接入技术，这种技术允许服务提供者调整xDSL连接的带宽以适应实际需要并且解决线长和质量问题，为远程用户提供可靠的数据网络接入手段。它的特点是：利用一对双绞线传输；支持同步和非同步传输方式；速率自适应，下行速率从1.5Mbps到8Mbps，上行速率从16Kbps到640Kbps；支持同时传数据和语音，特别适用于下雨，气温特别高的反常天气环境。

答案：（18）B



● 下列FTTx组网方案中，光纤覆盖面最广的是 （19） 。

（19）A．FTTN B．FTTC C．FTTH D．FTTZ

试题解析：

FTTN（fiber to the node，光纤到节点）

FTTC（fiber to the Curb，光纤到路边）

FTTH（fiber to the Home，光纤到户）

FTTZ（fiber to the Zone，光纤到小区）

显然，FTTH将光纤直接铺到千家万户，覆盖面是最广的。

答案：（19）C



● 网络地址和端口翻译（NAPT）用于 （20） ，这样做的好处是 （21） 。

（20）A．把内部的大地址空间映射到外部的小地址空间

B．把外部的大地址空间映射到内部的小地址空间

C．把内部的所有地址映射到一个外部地址

D．把外部的所有地址映射到一个内部地址

（21）A．可以快速访问外部主机

B．限制了内部对外部主机的访问

C．增强了访问外部资源的能力

D．隐藏了内部网络的IP配置

试题解析：

NPAT（Network Port Address Translations，网络端口地址转换）也被称为“多对一”的NAT，或者叫PAT（Port Address Translations，端口地址转换）、NPAT（Network Address Port Translations，网络端口地址转换）、地址超载（address overloa

ding）

NPAT可以允许多个内网本地IP地址共用一个外网本地IP地址（通常是公用IP地址），并同时对IP地址和端口号进行转换。当多个主机同时使用一个IP地址时，NAT服务器利用IP地址和TCP/UDP端口号唯一标识某个主机上的某个会话。NPAT普遍应用于接入设备中，当多个内网主机需要同时通过一个IP地址连接到外网时，NPAT技术极为有用。

NPAT技术是一种地址伪装（Address Masquerading）技术，NPAT转换后的端口号被称为伪装端口号，NPAT服务器中的映射表则称为伪装NAT表。通信时，NPAT中出口分组的内网私有地址被NAT服务器的外网公用IP地址代替，出口分组的端口号被一个尚未使用的伪装端口号代替。从外网进来的分组根据伪装端口号和伪装NAT表进行转换。

答案：（20）C （21）D



● 边界网关协议BGP的报文 （22） 传送。一个外部路由器通过发送 （23） 报文与另一个外部路由器建立邻居关系，如果得到应答，才能周期性的交换路由信息。

（22）A．通过TCP连接 B．封装在UDP数据包中

C．通过局域网 D．封装在ICMP包中

（23）A．UpDate B．KeepAlive

C．Open D．通告

试题解析：

BGP路由器使用TCP端口179相互建立对等会话。

OPEN消息是当两个BGP路由器之间的TCP会话连接建立之后首先要发送的消息。OPEN消息主要用来协商对等实体之间的BGP版本号，一般来说使用两个BGP路由器都支持的最高版本。OPEN消息还用于发送BGP路由器的标识，BGP路由器的标识是与OSPF中的路由器ID类似的字段，默认为最高回送IP地址。此外，OPEN消息还用于协商两个对等实体发送KEEPALIVE消息的间隔时间和保持计时器的时间长度。

答案：（22）A （23）C



● 在IPv6中，地址类型是由格式前缀来区分的。IPv6可聚合全球单播地址的格式前缀是 （24） 。

（24）A．001 B．1111 1110 10 C．1111 1110 11 D．1111 1111

试题解析：



答案：（24）A



● 在IPv6的单播地址中有两种特殊地址，其中地址0:0:0:0:0:0:0:0表示 （25） ，地址0:0:0:0:0:0:0:1表示 （26） 。

（25）A．不确定地址，不能分配给任何结点

B．回环地址，结点用这种地址向自身发送IPv6分组

C．不确定地址，可以分配给任何地址

D．回环地址，用于测试远程结点的连通性

（26）A．不确定地址，不能分配给任何结点

B．回环地址，结点用这种地址向自身发送IPv6分组

C．不确定地址，可以分配给任何地址

D．回环地址，用于测试远程结点的连通性

试题解析：

“0:0:0:0:0:0:0:0”表示没有这个地址，当发送IPv6包的主机还没分配地址时使用，不能分配给任何节点。



“0:0:0:0:0:0:0:1”是回呼地址（或称为回环地址），用来向自身发送IPv6包，不能分配给任何物理接口。

答案：（25）A，（26）B

● Telnet采用客户端/服务器工作方式，采用 （27） 格式实现客户端和服务器的数据传输。

（27）A．NTL B．NVT C．ba—64 D．RFC 822

试题解析：

Telnet（TCP/IP Terminal Emulation Protocol，TCP/IP终端仿真协议）是一种基于TCP 23端口的虚拟终端通讯协议。Telnet是标准的提供远程登录功能的应用，能够运行于不同操作系统的主机之间。

Telnet由运行在本地计算机上的Telnet客户进程和运行在远程计算机上的Telnet服务器进程所组成。为了使异构计算机和操作系统间的Telnet交互操作成为可能，Telnet协议定义了一种通用字符终端作为数据和命令在Internet上的传输方式，即NVT（Net Virtual Terminal，网络虚拟终端）。

答案：（27）B



● 以下关于DNS服务器的叙述中，错误的是 （28） 。

（28）A．用户只能使用本网段内DNS服务器进行域名解析

B．主域名服务器负责维护这个区域的所有域名信息

C．辅助域名服务器作为主域名服务器的备份服务器提供域名解析服务

D．转发域名服务器负责非本地域名的查询

试题解析：

常识。

答案：（28）A



● 以下域名服务器中，没有域名数据库的 （29） 。

（29）A．缓存域名服务器 李明萱 B．主域名服务器

C．辅助域名服务器 D．转发域名服务器

试题解析：

缓存域名服务器将向其他域名服务器进行域名查询并将查询结果保存在缓存中。缓存域名服务器可以改进网络中DNS服务器的性能。当DNS经常查询一些相同的目标时，安装缓存域名服务器可以对查询提供更快速的响应，而不需要通过主域名服务器或辅助域名服务器。缓存域名服务器因此特别适合于在局域网内部使用，其主要目的是提高域名解析的速度一个中队有多少人 和节约对互联网访问的出口带宽。

某些网络连接不鼓励向本地以外发送很大的数据流量，这要么是因为网络连接是按流量计费的，或网络连接本身是带宽不足。在这样的情况下，如果想将发往外部的 DNS 流量限制到尽可能的小，就需要使用 BIND 的转发机制。或者你的网络中只有一台机器能连接到 Internet ，而你在这台机器上运行了 BIND ，那么你可以将这台 BIND 作为内部网络中的其他 BIND 的转发器，也就是转发域名服务器，使得其他 DNS 也能查找 Internet 域名。

域名查询的转发机制是：当设置了转发器后，所有非本域的和在缓存中无法找到的域名查询都将转发到设置的 DNS 转发器上，由这台 DNS 来完成解析工作并做缓存，因此这台转发器的缓存中记录

了丰富的域名信息。因而对非本域的查询，很可能转发器就可以在缓存中找到答案，避免了再次向外部发送查询，减少了流量。

答案：（29）A



● 通过“Internet信息服务（IIS）管理器”管理单元可以配置FTP服务器，若将控制端口设置为2222，则数据端口自动设置为 （30） 。

（30）A．20 B．80 C．543 D．2221

试题解析：

FTP的数据端口号是FTP控制端口号-1。例如当控制端口为21时，数据端口就是20

答案：（30）D



● 在一台Apache服务器上通过虚拟主机可以实现多个Web站点。虚拟主机可以是基于 （31） 的虚拟主机，也可以是基于名字的虚拟主机。若某公司创建名字为的虚拟主机，则需要在 （32） 服务器中添加地址记录。在Linux中该地址记录的配置信息如下，请补充完整。

NameVirtualHost 192.168.0.1



（33）

DocumentRoot /var/www/html/business



（31）A．IP B．TCP C．UDP D．HTTP

（32）A．SNMP B．DNS C．SMTP D．FTP

（33）A．WebName B．HostName C．ServerName D．WWW

试题解析：

常识。

答案：（31）A，（32）B，（33）C



● ATM高层定义了4类业务，压缩视频信号的传送属于 （34） 类业务。

（34）A．CBR B．VBR C．UBR D．ABR

试题解析：

ATM所提供的业务体系有五种业务类型：CBR（Constant Bit Rate，固定比特率业务）、RT-VBR（Realtime-Variable Bit Rate，实时可变比特率业务）、NRT-VBR（Not Realtime-Variable Bit Rate，非实时可变比特率业务）、UBR（Unspecified Bit Rate，未指定比特率业务）、ABR（Avaliable Bit Rate，可用比特率业务）。在题目中，将RT-VBR和NRT-VBR合并成了VBR，所以是四种业务。





压缩视频属于RT-VBR。

答案：（34）B



● 某Linux DHCP服务器的配置文件如下：

ddns-update-style none;

subnet 192.168.0.0 netmask 255.255.255.0 {

range 192.168.0.200 192.168.0.254;

ignore client-updates;

default-lea-time 3600;

max-lea-time 7200;

option routers 192.168.0.1;

option domain-name “”;

option domain-name-rvers 192.168.0.2;

}

host test1 {hardware ethernet 00:E0:4C:70:33:65; fixed-address 192.168.0.8;}

客户端IP地址的默认租用期为 （35） 小时。

（35）A．1 B．2 C．60 D．120

试题解析：

default-lea-time和max-lea-time的单位是秒

答案：（35）A



● DHCP客户端不能从DHCP服务器获得 （36） 。

（36）A．DHCP服务器的IP地址 B．web服务器的IP地址

C．DNS服务器的IP地址 D．默认网关的IP地址

试题解析：

常识

答案：（36）B



● 配置POP3服务器时，邮件服务器的属性对话框如下图所示，其中默认情况下“服务器端口”文本框应输入

（37） 。

（图略，后补）

（37）A．21 B．25 C．80 D．110

试题解析：

POP3协议的默认端口是TCP的110。

答案：（37）D



● 在Windows的DOS窗口中键入命令

C:>
slookup

> t type=ns

> 202.30.192.2

这个命令序列的作用是 （38） 。

（38）A．查询202.30.192.2的邮件服务器信息

B．查询202.30.192.2到域名的映射

C．查询202.30.192.2的区域授权服务器

D．查询202.30.192.2中各种可用的信息资源记录

试题解析：

t type=ns中，ns表示代表为域名服务器。执行nslookup命令，输入“？”显示帮助，并未详细说明。输入“t type=ns”命令，然后再输入“”，显示以下内容：



从返回结果来看，应该是区域授权服务器。

答案：（38）C



● HTTPS采用 （39） 协议实现安全网站访问。

（39）A．SSL B．IPSec C．PGP D．SET

试题解析：

简单地说，HTTPS就是经过SSL加密后的HTTP。利用HTTPS协议，能在客户端和服务器之间进行防窃听、防篡改及防伪造的通信，实现数据的机密性、完整性、服务器认证和可选的客户端认证。

答案：（39）A



● 杀毒软件报告发现病毒a，由该病毒名称可以推断出病毒类型是 （40） ，这类病毒主要感染目标是 （41） 。

（40）A．文件型 B．引导型

C．目录型 D．宏病毒

（41）A．EXE或COM可执行文件 B．WORD或EXCEL文件

C．DLL系统文件 D．磁盘引导区

试题解析：

Melissa 病毒是一种快速传播的能够感染那些使用MS Word 97 和 MS Office 2000 的计算机宏病毒。即使不知道Melissa 病毒是什么也没关系，因为前面有个Macro，表明这是宏病毒。

答案：（40）D，（41）B



● 以下ACL语句中，含义为“允许172.168.0.0/24 网段所有PC访问10.1.0.10中的FTP服务”的是 （42） 。

（42）A．access-list 101 deny tcp 172.168.0.0 0.0.0.255 host 10.1.0.10 eq ftp

B．access-list 101 permit tcp 172.168.0.0 0.0.0.255 host 10.1.0.10 eq ftp

C．access-list 101 deny tcp host 10.1.0.10 172.168.0.0 0.0.0.255 eq ftp

D．access-list 101 permit tcp host 10.1.0.10 172.168.0.0 0.0.0.255 eq ftp

试题解析：

A、C首先可以排除，因为它们是deny。

扩展ACL命令的格式如下：





答案：（42）B



● 以下关于加密算法的叙述中，正确的是 （43） 。

（43）A．DES算法采用128位的密钥进行加密

B．DES算法采用两个不同的密钥进行加密

C．三重DES算法采用3个不同的密钥进行加密

D．三重DES 算法采用2个不同的密钥进行加密

试题解析：

这道题出得让人无法适从。

DES是一个分组加密算法，它以64位为分组对数据加密。同时

DES也是一个对称算法，即加密和解密用的是同一个算法。它的密钥长度是64位，但实际有效的密钥只是56位，这是因为密钥中每8位就有1位用作奇偶校验。

DES的分组长度太短（仅64位）、密钥长度更短（仅56位），可以通过穷举（也称野蛮攻击）的方法在较短时间内破解。1978年初，IBM意识到DES的密钥太短，于是设计了3DES（Triple DES），利用三重加密来有效增加密钥长度，加大解密代价。3DES 是DES算法扩展其密钥长度的一种方法，它需要执行三次常规的DES加密，这相当于将加密密钥的长度扩展到128位（112位有效）或192位（168位有效）。

3DES有3种不同的加密模式（E代表加密，D代表解密）：

uf06c1、DES-EEE3，使用3个不同的密钥进行三次加密，这相当于将密钥扩展为192位。

uf06c2、DES-EDE3，使用3个不同的密钥，分别对数据进行加密、解密、加密操作，这也相当于将密钥扩展为192位。

uf06c3、DES-EEE2和DES-EDE2，与前面模式相同，只是第一次和第三次加密使用同一密钥，这相当于将密钥扩展为128位。

A、B肯定是错的，C和D都有可能。DES-EEE3和DES-EDE3采用了三个不同的密钥，而DES-EEE2和DES-EDE2采用了两个不同的密钥。建议选择C、D的都算对。

答案：（43）C（D也算对）



● IIS 服务支持的身份验证方法中，需要利用明文在网络上传递用户名和密码的是 （44） 。

（44）A． Passport身份验证 B．集成Windows身份验证

C．基本身份验证 D．摘要式身份验证

试题解析：

IIS 提供多种身份验证方案：

匿名访问：如果启用了匿名访问，访问站点时，不要求提供经过身份验证的用户凭据。

集成 Windows 身份验证：以前称为 NTLM 或 Windows NT 质询/响应身份验证，此方法以 Kerberos 票证的形式通过网络向用户发送身份验证信息，并提供较高的安全级别。

Windows 域服务器的摘要式身份验证：摘要式身份验证需要用户 ID 和密码，可提供中等的安全级别，如果您要允许从公共网络访问安全信息，则可以使用这种方法。这种方法与基本身份验证提供的功能相同。但是，此方法会将用户凭据作为 MD5 哈希或消息摘要在网络中进行传输，这样就无法根据哈希对原始用户名和密码进行解码。

基本身份验证（以明文形式发送密码）：基本身份验证需要用户 ID 和密码，提供的安全级别较低。用户凭据以明文形式在网络中发送。这种形式提供的安全级别很低，因为几乎所有协议分析程序都能读取密码。

Microsoft Passport 身份验证： Passport 身份验证提供了单一登录安全性，为用户提供对 Internet 上各种服务的访问权限。如果选择此选项，对 IIS

的请求必须在查询字符串或 Cookie 中包含有效的 Passport 凭据。如果 IIS 不检测 Passport 凭据，请求就会被重定向到 Passport 登录页。

答案：（44）C



● 某局域网采用SNMP进行网络管理，所有被管设备在15分钟内轮询一次，网络没有明显拥塞，单个轮询时间为0.4s，则该管理站最多可支持 （45） 个设备。

（45）A．18000 B．3600 C．2250 D．90000

试题解析：

15*60/0.4=2250

答案：（45）C



● 下图是被管理对象的树结构，其中private子树是为私有企业管理信息准备的，目前这个子树只有一个子结点enterpris(1)。某私有企业向Internet编码机构申请到一个代码920，该企业为它生产的路由器赋予的代码为3，则该路由器的对象标识符是 （46） 。

（图略，后补）

（46）A．1.3.6.1.4.920.3 B．3.920.4.1.6.3.1

C．1.3.6.1.4.1.920.3 D．3.920.1.4.1.6.3.1

试题解析：

这张图具有误导的效果，没有画出private节点的下设子节点enterpri(1)。

答案：（46）C



● 使用Windows提供的网络管理命令 （47） 可以查看本机的路由表， （48） 可以修改本机的路由表。

（47）A．tracert B．arp C．ipconfig D．netstat

（48）A．ping B．route C．netsh D．netstat

试题解析：

netstar –r命令可以显示路由表。

route命令可以用来修改本机的路由表。

答案：（47）D，（48）B



● 某局域网访问internet 速度很慢，经检测发现局域网内有大量的广播包，采用 （49） 方法不可能有效的解决该网络问题。

（49）A．在局域网内查杀ARP病毒和蠕虫病毒

B．检查局域网内交换机端口和主机网卡是否有故障

C．检查局域网内是否有环路出现

D．提高出口带宽速度

试题解析：

端口或网卡有故障是不会产生大量广播包的，但故障可能降低用户的网络传输速度。

局域网会通过生成树(STP)协议阻止环路产生，不至于出现广播风暴。但如果网内没有使用支持STP交换机的话（比如说只使用集线器），则可能会产生广播风暴。

提高出口带宽与消除大量广播包无关，但可以让用户访问Internet时速度快一些。

ARP欺骗程序会制造大量广播包，造成网速下降。

答案：（49）D



● 下列IP地址中，属于私网地址的是 （50） 。

（50）A．100.1.32.7 B．192.178.32.2

C．172.17.32.15 D．172.35.32.244

试题解析：

私网IP地址表如下：



答案：（50）C

● 网络200.105.140.0/20中可分配的主机地址数是 （51） 。

（51）A．1022 B．2046

C．4094 D．8192

试题解析：

/20表示网络中的可分配主机地址数是232-20-2==4096-2=4094个

答案：（51）C



● 下

列地址中，属于154.100.80.128/26的可用主机地址是 （52） 。

（52）A．154.100.80.128 B．154.100.80.190

C．154.100.80.192 D．154.100.80.254

试题解析：

154.100.80.128/26的可用主机地址范围是154.100.80.129~154.100.80.190。

答案：（52）B



● 无类别域间路由（CIDR）技术有效的解决了路由缩放问题。使用CIDR技术把4个网络

C1：192.24.0.0/21

C2：192.24.16.0/20

C3：192.24.8.0/22

C4：192.24.34.0/23

汇聚成一条路由信息，得到的网络地址是 （53） 。

（53）A．192.24.0.0/13 B．192.24.0.0/24

C．192.24.0.0/18 D．192.24.8.0/20

试题解析：

C1的地址范围是192.24.0.0~192.24.7.255；

C2的地址范围是192.24.16.0~192.24.31.255；

C3的地址范围是192.24.8.0~192.24.11.255；

C4的地址范围是192.24.34.0~192.24.35.255；

要将这4个网络聚合到一起，需要将192.24.0.0/24~192.24.63.0/24这64个网络汇聚起来，即192.24.0.0/18

答案：（53）C



● 网络202.112.24.0/25 被划分为4个子网，由小到大分别命名为C0 、C1、C2和C3，则主机地址202.112.24.25应该属于 （54） 子网，主机地址202.115.24.100应该属于 （55） 子网。

（54）A．C0 B．C1 C．C2 D．C3

（55）A．C0 B．C1 C．C2 D．C3

试题解析：

网络202.112.24.0/25 被划分为4个子网，分别是：

C0：202.112.24.0/27，可分配地址范围是202.112.24.1~202.112.24.30；

C1：202.112.24.32/27，可分配地址范围是202.112.24.33~202.112.24.62；

C2：202.112.24.64/27，可分配地址范围是202.112.24.65~202.112.24.94；

C3：202.112.24.96/27，可分配地址范围是202.112.24.97~202.112.24.126；

答案：（54）A，（55）D



● 交换机命令show interfaces type0/port_# switchport|trunk用于显示中继连接的配置情况，下面是显示例子：

2950#show interface fastEthernet0/1 switchport

Name: fa0/1

Switchport: Enabled

Administrative mode: trunk

Operational Mode: trunk

Administrative Trunking Encapsulation: dot1q

Operational Trunking Encapsulation: dot1q

egotiation of Trunking: disabled

Access Mode VLAN: 0((inactive))

Trunking Native Mode VLAN: 1(default)

Trunking VLANs Enabled: all

Trunking VLANs active: 1,2

Pruning VLANs Enabled: 2-1001

Priority for untagged frames: 0

Override vlan tag priority: FALSE

Voice VLAN: none

在这个例子中，端口fa0/1的链路模式被设置为 （56） 状态，默认的vlan是 （57） 。

（56）A．Desirable B．No-Negoriate

C．Autonegotiate 白纸黑字 D．trunk

（57）A．VLAN0 B．VLAN1

C．VLAN2 D．VLAN3

试题解析：

略

答案：（56）D，（57）B



● 按照Cisco公司的VLAN中继协议（VTP），当交换机处于 （

58） 模式时可以改变VLAN配置，并把配置信息分发到管理域中的所有交换机。

（58）A．客户机（Client） B．传输（transmission）

C．服务器（rver） D．透明（transportate）

试题解析：

VTP有三种工作模式：服务器（Server）模式、客户机（Client）模式和透明（Transparent）模式，VTP默认模式是服务器模式。

服务器模式的交换机可以设置VLAN配置参数，服务器会将配置参数发给其它交换机。客户机模式的交换机不可以设置VLAN配置参数，只能接受服务器模式的交换机发来的VLAN配置参数。透明模式的交换机是相对独立的，它允许设置VLAN配置参数，但不向其它交换机发送自己的配置参数。当透明模式的交换机收到服务器模式的交换机发来的VLAN配置参数时，仅仅是简单地转发给其它交换机，并不用来设置自己的VLAN参数。

答案：（58）C



● 交换机命令switch（config）#vtp pruning的作用是 （59） 。

（59）A．制定交换机的工作模式 B．启用VTP静态修剪

C．制定VTP域名 D．启动VTP 动态修剪

试题解析：

通过 VTP，域内的所有交换机都清楚所有VLAN的情况。然而有时VTP会产生多余的流量：假如一个交换机并没有连接某个VLAN，则该VLAN的数据帧通过Trunk传入时，既浪费了带宽，又给交换机增加了不必要的帧处理工作。VTP的修剪功能（Pruning）可以减少Trunk中的流量，提高链路利用率。如果整个VTP域没有某个VLAN的端口，则启动修剪功能的Trunk将过滤该VLAN的数据帧，无论数据帧是单播帧还是广播帧。

命令vtp pruning的作用是“启用/禁用修剪（默认启用）”

答案：（59）D



● IEEE802.3规定的最小帧长为64字节，这个帧长是指 （60） 。

（60）A．从前导字段到校验和的字段

B．从目标地址到校验和的长度

C．从帧起始符到校验和的长度

D．数据字段的长度

试题解析：

常识。

答案：（60）B



● 千兆以太网标准802.3z定义了一种帧突发方式（frame bursting），这种方式是指 （61） 。

（61）A．一个站可以突然发送一个帧

B．一个站可以不经过竞争就启动发送过程

C．一个站可以连续发送多个帧

D．一个站可以随机地发送紧急数据

试题解析：

帧突发技术使得一个站点一次能连续发送多个帧。但要了解帧突发之前，先必须了解帧扩展技术。内容较多，请自行查阅资料，这里不再详述。

答案：（61）C



● IEEE 802.11标准定义的Peer to Peer网络是 （62） 。

（62）A．一种需要AP支持的无线网络

B．一种不需要有线网络和接入点支持的点对点网络

C．一种采用特殊协议的有线网络



D．一种高速骨干数据网络

试题解析：

这里说的就是ad-hoc网络。

答案：（62）B



● IEEE802.11g标准支持最高数据速率可达 （63） Mb/s。

（63）A．5 B．11 C．54 D．100

试题解析：

2003年7月IEEE 802.11工作组批准了IEEE 802.11g标准。IEEE 802.11g标准使用了IEEE 802.11a的OFDM调制技术，和IEEE 802.11b一样运行在2.4GHz的ISM频段内，理论速度可达54Mbps。

答案：（63）C



● 下图表示一个局域网的互联拓扑，方框中的数字是网桥ID ，用字母来区分不同的网段。按照IEEE 802.1d协议，ID为 （64） 的网桥被选为根网桥，如果所有网段的传输费用为1，则ID为92的网桥连接网段 （65） 的端口为根端口。

（图略，后补）

（64）A．3 B．7 C．92 D．12

（65）A．a B．b C．d D．e

试题解析：

生成树协议的工作过程简单表述如下：

1） 唯一根网桥的推选：各个网桥互相传递BPDU配置信息，系统的每个网桥都能监听到BPDU，根据网桥标识共同“选举”出具有最大优先级的根网桥。如果优先级相同，则取具有最小网桥地址的网桥作为根网桥。根网桥缺省每2秒发出BPDU。

2） 在每个非根网桥选出一个根端口：根网桥向系统广播其BPDU，对一个网桥来说，具有最小根路径开销的端口选为根端口；如果根路径开销相同，则取端口标识最小的作为根端口，同时根端口处于转发模式。一个网桥只有一个根端口，根网桥没有根端口。

3） 在每个网段选一个指定端口：每个网桥接收到一个BPDU帧时，同时发出一个BPDU帧说明离根网桥的路径开销。在同一个网段里，具有最小的根路径开销的端口被选为指定端口。如果根路径开销相同，则取网桥标识最小的作为指定端口。如果网桥标识也相同，则取端口标识最小的为指定端口。

4） STP设置根端口和指定端口进入转发模式，可以转发数据帧；而落选端口则进入阻塞模式，只侦听BPDU，不转发数据帧。各网桥周期性地交换BPDU信息，保证系统拓扑结构的合理性。

答案：（64）A，（65）B



● 建筑物综合布线系统的干线子系统 （66） ，水平子系统 （67） 。

（66）A．各个楼层接线间配线架到工作区信息插座之间所安装的线缆

B．由终端到信息插座之间的连线系统

C．各楼层设备之间的互联系统

D．连接各个建筑物的通信系统

（67）A．各个楼层接线间配线架到工作区信息插座之间所安装的线缆

B．由终端到信息插座之间的连线系统

C．各楼层设备之间的互联系统

D．连接各个建筑物的通信系统

试题解析：

略。

答案：（66）C，（67）A



● 假设生产管理网络

系统采用B/S工作方式，经常上网用户数为150个，每用户每分钟产生8个事务处理任务，平均事务量大小为0.05MB，则这个系统需要的信息传输速率为 （68） 。

（68）A．4Mb/s B．6Mb/s

C．8Mb/s D．12Mb/s

试题解析：

150 * 8 / 60 * 0.05 * 8=8。

答案：（68）C



● 网络设计过程包括逻辑网络设计和物理网络设计两个阶段，每个阶段都要产生相应的文档。以下选项中， （69） 属于逻辑网络设计文档， （70） 属于物理网络设计文档。

（69）A．网络IP 地址分配方案 B．设备列表清单

C．几种访谈的信息资料 D．网络内部通信的流量分析

（70）A．网络IP 地址分配方案 B．设备列表清单

C．几种访谈的信息资料 D．网络内部通信的流量分析

试题解析：

略

答案：（69）A，（70）B



● Although a given waveform may contain frequencies over a very broad range, as a practical matter any transmission system will be able to accommodate only a limited band of （71） . This, in turn, limits the data rate that can be carried on the transmission （72） . A square wave has an infinite number of frequency components and hence an infinite （73） .However, the peak amplitude of the kth frequency component, kf, is only 1/k, so most of the （74） in this waveform is in the first few frequency components. In general, any digital waveform will have （75） bandwidth. If we attempt to transmit this waveform as a signal over any medium, the transmission system will limit the bandwidth that can be transmitted.

（71）A．frequencies B．connections C．diagrams D．resources

（72）A．procedures B．function C．route D．medium

（73）A．source B．bandwidth C．energy D．cost

（74）A．frequency B．energy C．amplitude D．pha

（75）A．small B．limited C．infinite D．finite

试题解析：

略。

答案：（71）A （72）D （73）B （74）B （75）C











2010年上半年网络工程师下午试卷参考答案与解析（一）

试题一（共15分）

阅读以下说明，回答问题1至问题4，将解答填入答题纸对应的解答栏内。

【说明】

某校园网拓扑结构如图1-1所示。

（图略，后补）

图1-1

该网络中的部分需求如下：

1．信息中心距图书馆2千米，距教学楼300米，距实验楼200米。

2．图书馆的汇聚交换机置于图书馆主机房内，楼层设备间共2个，分别位于二层和四层，距图书馆主机房距离均大于200米，其中，二层设备间负责一、二层的计算机接入，四层设备间负责三、四、五层的计算机接入，各层信息点数如表1-1所示。

表1-1



3．所有计算机

采用静态IP地址。

4．学校网络要求千兆干线，百兆到桌面。

5．信息中心有两条百兆出口线路，在防火墙上根据外网IP设置出口策略，分别从两个出口访问Internet 。

6．信息中心共有多台服务器，通过交换机接入防火墙。

7．信息中心提供的信息服务包括Web、FTP、数据库、流媒体等，数据流量较大，要求千兆接入。

【问题1】（4分）

根据网络的需求和拓扑图，在满足网络功能的前提下，本着最节约成本的布线方式，传输介质1应采用 （1） ，传输介质2应采用 （2） ，传输介质3应采用 （3） ，传输介质4应采用 （4） 。

（1）～（4）备选答案：

A．单模光纤 B．多模光纤 C．基带同轴电缆

D．宽带同轴电缆 E．1类双绞线 F．5类双绞线

答案：

（1）A （2）B （3）F （4）B



【问题2】（6分）

学校根据网络需求选择了四种类型的交换机，其基本参数如表1-2所示。

表1-2



根据网络需求、拓扑图和交换机参数类型，在图1-1中，Switch1应采用 （5） 类型交换机，Switch2应采用 （6） 类型交换机，Switch3应采用 （7） 类型交换机，Switch4应采用 （8） 类型交换机。

根据需求描述和所选交换机类型，图书馆二层设备间最少需要交换机 （9） 台，图书馆四层设备间最少需要交换机 （10） 台。

答案：

（5）C （6）B （7）D （8）A （9）2 （10）4



【问题3】（2分）

该网络采用核心层、汇聚层、接入层的三层架构。根据层次化网络设计的原则，数据包过滤、协议转换应在 （11） 层完成。 （12） 层提供高速骨干线路，MAC层过滤和IP地址绑定应在 （13） 层完成。

答案：

（11）汇聚 （12）核心 （13）接入



【问题4】（2分）

根据该网络的需求，防火墙至少需要 （14） 个百兆接口和 （15） 个千兆接口。

答案：

（14）2 （15）2



试题二（共15分）

阅读以下说明，回答问题1至问题5，将解答填入答题纸对应的解答栏内。

【说明】

在Linux服务器中，inetd/xinetd是Linux系统中一个重要服务。

【问题1】（2分）

下面选项中 （1） 是xinetd的功能。

（1）备选答案：

A．网络服务的守护进程 B．定时任务的守护进程

C．负责配置网络接口 D．负责启动网卡

答案：

（1）A



【问题2】（2分）

默认情况下，xinetd配置目录信息为：

drwxr-xr-x root root 4096 2009004-23 18:27 xinetd.d

则下列说法错误的是 （2） 。

（2）备选答案：

A． root用户拥有可执行权限。



B．除root用户外，其它用户不拥有执行权限。

C．root用户拥有可写权限

D．除root用户外，其它用户不拥有写权限。

答案：

（2）B



【问题3】（4分）

在Linux系统中，inetd服务的默认配置文件为 （3） 。

（3）备选答案

A．/etc/ B．/etc/

C．/etc/ D．/etc/

在Linux 系统中，默认情况下，xinetd所管理服务的配置文件存放在 （4） 。

（4）备选答案：

A．/etc/xinetd/ B．/etc/xinetd.d/

C．/usr/etc/xinetd/ D．/usr/etc/xinetd.d/

答案：

（3）C （4）B



【问题4】（4分）

某Linux服务器上通过xinetd来对各种网络服务进行管理，该服务器上提供ftp服务，ftp服务器程序文件为/usr/bin/ftpd，ftp服务器的配置文件/etc/xinetd.d/ftp内容如下所示，目前服务器属于开启状态：

Service ftp

{

Socket-type =stream

Protocol = （5）

Wait = no

Ur = root

Server = （6）

Server_args = -el

Disable = no

}

请完善该配置文件。

（5）备选答案：

A．TCP B．UDP C．IP D．HTTP

(6) 备选答案：

A．/usr/bin/ftpd B．ftpd C．ftp D．/bin/ftpd

答案：

（5）A （6）A



【问题5】（3分）

Xinetd 可使用only_from，no_access以及access_time等参数对用户进行访问控制。若服务器上ftp服务的配置信息如下所示：

Service ftp

{

……

Only_from = 192.168.3.0/24 172.16.0.0

no_access = 172.16,{1,2}

access_times = 07:00-21:00

……

}

则下列说法中错误的是 （7） 。

（7）备选答案：

A．允许192.168.3.0/24 中的主机访问该ftp服务器

B．172.16.3.0/24网络中的主机可以访问该ftp服务器

C．IP地址为的主机可以连接到此主机，但地址属于172.16.1.x、172.16.2.x的则不能连接

D．ftp服务器可以24小时提供服务

答案：

（7）D



试题三（共15分）

阅读以下说明，回答问题1至问题4，将解答填入答题纸对应的解答栏内。

【说明】

终端服务可以使客户远程操作服务器，Windows Server2003中开启终端服务时需要分别安装终端服务的服务器端和客户端，图3-1为客户机Host1连接终端服务器Server1的网络拓扑示意图。

（图略，后补）

图3-1

Host1和Server1账户如表3-1所示。



图3-2是Server1“系统属性”的“远程”选项卡，图3-

3是Server1“RDP-Tcp属性”的“环境”选项卡，图3-4为Host1采用终端服务登录Server1的用户登录界面。



图3-2



图3-3



图3-4

此外，在Server1中为了通过日志了解每个用户的行踪，把“D:tom
”设置成用户的登录脚本，通过脚本中的配置来记录日志。

【问题1】（3分）

默认情况下，RDU2对终端服务具有 （1） 和 （2） 权限。

（1）、（2）备选答案：

A．完全控制 B．用户访问 C．来宾访问 D．特别权限

答案：

（1）B （2）C

注：（1）和（2）的答案可以互换。



【问题2】（7分）

将RDU2设置为Server1的终端服务用户后，在Host1中登录Server1时，图3-4中“计算机”栏应填入 （3） ；“用户名”栏应填入 （4） 。

此时发现Host1不能远程登录终端服务器，可能原因是 （5） 。

答案：

（3）210.154.1.202 （4）RDU2

（5）Host1无法连接到终端服务器，或者的终端服务器的远程桌面服务没有启动，或者没有在Server1上设置RDU2具有“允许用户远程连接到您的计算机” 的权限。（如图3-2所示）



【问题3】（2分）

在图3-3“程序路径和文件名”栏中应输入 （6） 。

答案：

（6）D:tom




【问题4】（3分）

脚本文件如下：

time /t>>

netstat –n –p tcp︱find“:3389”>>

start Explorer

第一行代码用于记录用户登录的时间，“time /t”的意思是返回系统时间，使用符号“>>”把这个时间记入“”作为日志的时间字段。请解释下面命令的含义。

netstat –n –p tcp︱find“:3389”>>

答案：

执行netstat，以数字形式表示地址和端口，只选出所有tcp的连接，再从中挑选出含有“:3389”字样的内容（即Remote Desktop使用的端口），将结果写入文件“”中。

试题四（共15分）

阅读以下说明，回答问题1至问题4，将解答填入答题纸对应的解答栏内。

【说明】

在Windows Sever 2003系统中，用户分为本地用户和域用户，本地用户的安全策略用“本地安全策略”设置，域用户的安全策略通过活动目录管理。

【问题1】（2分）

在“本地安全设置”中启用了“密码必须符合复杂性要求”功能，如图4-1所示，则用户“ABC”可以采用的密码是 （1） 。

（1）备选答案：

A．ABC007 B．deE#3 C．Test123 D．adsjfs

答案：

（1）C



图4-1

【问题2】（4分）

在“本地安全设置”中,用户账户锁定策略如

图4-2所示，当3次无效登录后，用户账户被锁定的实际时间是 （2） 。如果“账户锁定时间”设置为0，其含义为 （3） 。



图4-2

（2）备选答案：

A．30分钟 B．10分钟 C．0分钟 D．永久锁定

（3）备选答案：

A．账户将一直锁定，直到管理员明确解除对它的锁定

B．账户将永久锁定，无法使用

C．账户锁定时间无效

D．账户锁定时间由锁定计数器复位时间决定

问题解析：

安全设置确定锁定帐户在自动解锁之前保持锁定的分钟数。可用范围从 0 到 99,999 分钟。如果将帐户锁定时间设置为 0，帐户将一直被锁定直到管理员明确解除对它的锁定。

有考生做了测试，在自己的WIN2003实验一下，按照题目给的计数器10分钟，锁定时间为0，阀值3，登陆三次错误，帐号就被锁定了。

答案：

（2）A （3）A



【问题3】（3分）

在Windows Sever 2003 中活动目录必须安装在 （4） 分区上，并且需要有 （5） 服务的支持。

（4）备选答案：

A．NTFS B．FAT32 C．FAT16 D．ext2

（5）备选答案：

A．web B．DHCP C．IIS D．DNS

答案：

（4）A （5）D



【问题4】（6分）

在Windows Sever 2003 中活动目录中，用户分为全局组（Global Groups）、域本地组（Domain Local Groups）和通用组（Universal Groups）。全局组的访问权限是 （6） ，域本地组的访问权限是 （7） ，通用组的访问权限是 （8） 。

（6）~（8）备选答案：

A．可以授予多个域中的访问权限

B．可以访问域林中的任何资源

C．只能访问本地域中的资源

试题解析：

域本地组：域本地组的成员可以来自于任何域，但是只能够访问本域的资源。

全局组：全局组的成员只来自于本域，但其成员可以访问林中的任何资源。需要注意的是：全局组用于限制本域的用户对其他域的访问，如果要能访问其他域，只有一种方法，那就是给用户授予多个域中的访问权限；

通用组：通用组成员来自于任何域，并且可以访问林中的任何资源。需要注意的是：通用组的建立会带来大量活动目录之间的复制流量，而且非常适于林中跨域访问使用。

答案：

（6）A （7）C （8）B



试题五（共15分）

阅读以下说明，回答问题1至问题4，将解答填入答题纸对应的解答栏内。

【说明】

某单位网络内部部署有IPv4主机和IPv6主机，该单位计划采用ISATAP隧道技术实现两类主机的通信，其网络拓扑结构如图5-1所示

，路由器R1、R2、R3通过串口经IPv4网络连接，路由器R1连接IPv4网络，路由器R3连接IPv6网段。通过ISATAP隧道将IPv6的数据包封装到IPv4的数据包中，实现PC1和PC2的数据传输。

（图略，后补）

图5-1

【问题1】（2分）

双栈主机使用ISATAP隧道时，IPv6报文的目的地址和隧道接口的IPv6地址都要采用特殊的ISATAP地址。在ISATAP地址中，前64位是向ISATAP路由器发送请求得到的，后64位中由两部分构成，其中前32位是 （1） ，后32位是 （2） 。

（1）备选答案：

A．0:5EFE B．5EFE:0 C．FFFF:FFFF D．0:0

（2）备选答案：

A．IPv4广播地址 B．IPv4组播地址 C．IPv4单播地址

试题解析：

IEEE EUI-64格式的接口标识符的低32位为Tunnel接口的源IPv4地址，ISATAP隧道的接口标识符的高32位为0000:5EFE，其他隧道的接口标识符的高32位为全0。

答案：

（1）A （2）C



【问题2】（6分）

根据网络拓扑和需求说明，完成路由器R1的配置。

R1(config)# interface Serial 1/0

R1(config-if)# ip address （3） 255.255.255.0 (设置串口地址)

R1(config-if)#no shutdown (开启串口)

R1(config)# interface FastEtherne0/0

R1(config-if)#ip address （4） 255.255.255.0 (设置以太口地址)

R1(config-if)#exit

R1(config)#router ospf 1

R1(config-router)#network 192.0.0.1 （5） area 0

R1(config-router)#network 192.1.1.1 （6） area 0

试题解析：

OSPF的配置中，采用以下命令指定与路由器直接相连的网络：

network address wildcard-mask area area_id

“wildcard-mask”是通配符掩码，用于告诉路由器如何处理相应的IP地址位。通配符掩码中，0表示“检查相应的位”，1表示“忽略相应的位”。在大多数情况下，可以将通配符掩码理解为标准掩码的反向。

答案：

（3）192.1.1.1 （4）192.0.0.1

（5）0.0.0.255 （6）0.0.0.255

特别说明：

这道试题与《网络工程师教程（第三版）》P422页的例子是一模一样的。我之前没有看过这本书这部分的内容，但我在做模拟题时，对于（5）和（6）这两个填空是相当犹豫的。一般来说，如果我们使用network来声明一个网络，会使用网络地址，例如“network 192.1.1.0 0.0.0.255”，像“network 192.1.1.1 0.0.0.0“这种方式，我是从来没有用过。从命令来看，掩码应当是0.0.0.0，但这样声明似乎并不太合适。因此，我还是按照通常的做法，填写的是0.0.0.255。

有一个考生在评论中说到：“教材上掩码就是写成192.1.1.1 0.0.0.255，这其实是不符合命令语法的。因为既

然前面是具体的32位IP地址，就应该是宣告具体的接口，所以后面按语法来说是要写0.0.0.0，或者“192.1.1.0 0.0.0.255”这样也是符合语法的。证据有2：1、OSPF协议中的network的含义并不是将该网段宣告进OSPF协议，而是宣告将该IP地址段内的接口参与到OSPF协议中，所以说，可以用network 192.1.1.1 0.0.0.0 明确的宣告该接口，或者对于这题来说，network 192.1.1.0 0.0.0.255 也是一样的，因为在这网段下只有1个要被宣告的接口。具体可参见Jeff的tcp/ip 卷一。2、在CISCO的路由器上，如果你敲入network 192.1.1.1 0.0.0.255 这条语句，是OK的，但是你show run查看的时候，会发现设备已经帮你这条语句修改成 network 192.1.1.0 0.0.0.255,所以说，这条语句的语法是不对的，只是设备能够识别，自动修改了。其实重点也就是理解network这条命令的含义。理解了就应该知道：并不是说接口的ip地址是192.1.1.1/24，宣告的时候反掩码就必须是0.0.0.255。按照这题，‘network 192.1.1.1 0.0.0.0’、‘network 192.1.1.0 0.0.0.255’、‘network 192.1.0.0 0.0.255.255’都是正确的宣告该接口的命令”

我认为，如果命令是“network 192.1.1.1 0.0.0.0”的话，这就相当于声明了一个单IP的网络，这样的话整个网络的通信就断了，因为它没法和192.1.1.2进行直接数据转发了。如果路由器能够将“network 192.1.1.1 0.0.0.0”自动识别为“network 192.1.1.0 0.0.0.255”的话，那么就可以认为“0.0.0.0”和“0.0.0.255”都算正确。

不过，从严格意义来说，“network 192.1.1.1 0.0.0.255”这种表达方法，是不准确的。



【问题3】（6分）

根据网络拓扑和需求说明，解释路由器R3的ISATAP隧道地址。

……

R3(config)#interface tunnel 0 （7）

R3(config-if)# ipv6 address 2001:DA8:8000:3::/64 eui-64 为tunnel配置IPV6地址

R3(config-if)#no ipv6 nd suppress-ra 启用了隧道口的路由器广播

R1(config-if)#tunnel source s1/0 （8）

R1(config-if)#tunnel mode ipv6ip isatap （9）

答案：

（7）进入端口tunnel0的配置模式

（8）设置隧道入口为s1/0

（9）设置采用ISATAP隧道技术进行IP地址转换



【问题4】（1分）

实现ISATAP。需要在PC1进行配置，请完成下面的命令。

C:/>netsh interface ipv6 isatap t router （10）

答案：

（10）192.2.2.1