2017年5月软考网络工程师下午案例分析真题答案解析（2017年软考网工真题+答案）

2017年5月软考网络师下午真题解析一（共20分）阅读以下说明，回答问题1至问题4。某企业网络拓扑如图1-1所示，中国电信和中国移动双链路接入，采用硬件设备实现链路负载均衡，主磁盘阵列的数据通过备份服务器到备份磁盘阵列。请结合下图，回答相关问题。试题1：问题1（共6分）图1-1中，设备①处部署（1），设备②处部署（2），设备③处部署（3）。（1）~（3）备选答案（每个选项限选一次）。A.入侵防御系统（IPS）B.交换机C.负载均衡解析：IDS/IPS1、部署方式不同IDS以旁路的方式部署，在交换式网络中的位置一般选择为：尽可能靠近攻击源、尽可能靠近受保护资源。这些位置通常是：服务器区域的交换机上、Internet接入路由器之后的第一台交换机上、重点保护网段的局域网交换机上。IPS部署以串接的方式部署于主干线路上，办公网中，至少需要在以下区域部署IPS，即办公网与外部网络的连接部位（入口／出口）；重要服务器集群前端；办公网内部接入层。2、工作目标不同入侵检测系统IDS的核心价值在于通过对全网信息的收集、分析，了解信息系统的安全状况，进而指导信息系统安全建设目标以及安全策略的确立和调整，而入侵防御系统IPS的核心价值在于对数据的深度分析及安全策略的实施一对黑客行为的阻击。（解析：(1)负载均衡（又称为负载分担），英文名称为LoadBalance，其意思就是将负载（工作任务）进行平衡、分摊到多个操作单元上进行执行，例如Web服务器、FTP服务器、企业关键应用服务器和其它关键任务服务器等，从而共同完成工作任务。负载均衡按照应用的网络层次（指OSI参考模型）来分：链路聚合技术（第二层负载均衡）将多条物理链路当作一条单一的聚合逻辑链路使用。第三层负载均衡，可以用路由协议实现。如EIGRP，BGP通过配置，允许多链路负载分担。第四层负载均衡将一个Internet上合法注册的IP地址映像为多个内部服务器的IP地址，对每次TCP连接请求动态使用其中一个内部IP地址，达到负载均衡的目的。第七层负载均衡控制应用层服务的内容，提供了一种对访问流量的高层控制方式，适合对HTTP服务器群的应用。（把数据流量引向相应内容的服务器来处理）（解析：答案：（1）C（2）A（3）B试题1：问题2（共4分）图1-1中，介质①处应采用（4），介质②处应采用（5）。（4）~（5）备选答案（每个选项限选一次）。A.双绞线B.同轴电缆C.光纤解析：办公电脑与交换机之间连接一般使用双绞线光纤交换机与磁盘阵列之间连接使用光纤答案：（4）A（5）C试题1：问题3（共4分）图1-1中，为提升员工的互联网访问速度，通过电信出口访问电信网络，移动出口访问移动网络，则需要配置基于（6）地址的策略路由，运行一段时间后，网络管理员发现电信出口的用户超过90%以上，网络访问速度缓慢，为实现负载均衡，网络管理员配置基于（7）地址的策略路由，服务器和数据区域访问互联网使用电信出口，行政管理区域员工访问互联网使用移动出口，生产业务区域员工使用电信出口。解析：为提升员工的互联网访问速度，通过电信出口访问电信网络，移动出口访问移动网络，出网根据不同的目的地址加以区分，故需配置基于目的地址的策略路由。服务器和数据区域访问互联网使用电信出口，行政管理区域员工访问互联网使用移动出口，生产业务区域员工使用电信出口。根据不同的源地址决定了出网的时候走哪条线，故需配置基于源地址的策略路由。答案：（6）目的（7）源试题1：问题4（共6分）1.图1-1中，设备④处应为（8），该设备可对指定计算机系统进行安全脆弱性扫描和检测，发现其安全漏洞，客观评估网络风险等级。2.图1-1中，（9）设备可对恶意网络行为进行安全检测和分析。3.图1-1中，（10）设备可实现内部网络和外部网络之间的边界防护，依据访问规则，允许或者限制数据传输。解析：设备4为旁路部署方式，并且功能为：对指定计算机系统进行安全脆弱性扫描和检测，发现其安全漏洞，客观评估网络风险等级。可知这台设备只需要跟被扫描对象网络是联通的即可完成扫描工作。综合分析为漏洞扫描设备。IPS可对恶意网络行为进行安全检测和分析，并可根据制定的策略对攻击流量做实时的阻断操作。防火墙可实现内部网络和外部网络之间的边界防护，依据访问规则，允许或者限制数据传输。答案：（8）漏洞扫描设备（9）IPS（10）防火墙试题二（共20分）阅读以下说明，回答问题1至问题3。某公司的网络拓扑结构图如图2-1所示。试题2：问题1（共5分）为了保障网络安全，该公司安装了一款防火墙，对内部网络、服务器以及外部网络进行逻辑隔离，其网络结构如图2-1所示。包过滤防火墙使用ACL实现过滤功能，常用的ACL分为两种，编号为（1）的ACL根据IP报文的（2）域进行过滤，称为（3）；编号为（4）的ACL根据IP报文中的更多域对数据包进行控制，称为（5）。（1）~（5）备选项：A.访问控制列B.扩展访问控制列表C.基于时间的访问控制列表D.1-99E.0-99F.100-199G.目的IP地址H.源IP地址I.源端口J.目的端口解析：（1）D（2）H（3）A（4）F（5）B试题2：问题2（共6分）如图2-1所示，防火墙的三个端口，端口⑥是（6），端口⑦是（7），端口⑧是（8）。（6）~（8）备选项：A.外部网络B.内部网络C.非军事区解析：答案：（6）A（7）C（8）B整个网络基本分为三个不同级别的安全区域：(1)内部网络：安全级别最高，是可信的、重点保护的区域。包括所有内部办公计算机，内部数据库服务器和内部FTP服务器。(2)外部网络：安全级别最低，是不可信的、要防备的区域。包括外部因特网用户主机和设备。(3)DMZ区域（非军事化区）：安全级别中等，因为需要对外开放某些特定的服务和应用，受一定的保护，是安全级别较低的区域。包括对外提供WWW访问和邮件服务的Web服务器和邮件服务器。试题2：问题3（共9分）公司内部IP地址分配如下：部门/服务器IP地址段财务部门192.168.9.0/24生产部门192.168.10.0/24行政部门192.168.11.0/24财务服务器192.168.100.0/24Web服务器10.10.200.1/241.为保护内网安全，防火墙的安全配置要求如下：（1）内外网用户均可访问Web服务器，特定主机200.120.100.1可以通过Telnet访问web服务器；（2）禁止外网用户访问财务服务器，禁止财务部门访问internet，允许生产部门和行政部门访问internet。根据以上需求，请按照防火墙的最小特权原则补充完成表2-2：序号源地址源端口目的地址目的端口协议规则1AnyAny(9)(10)WWW允许2(11)Any10.10.200.1(12)telnet允许3(13)AnyAnyAnyAny(14)4AnyAnyAnyAnyAny(15)2.若调换上面配置中的第3条和第4条规则的顺序，则（16）。（16）备选项：A.安全规则不发生变化B.财务服务器将受到安全威胁C.Web服务器将受到安全威胁D.内网用户将无法访问Internet 3.在上面的配置中，是否实现了“禁止外网用户访问财务服务器”这条规则？解析：答案：（9）10.10.200.1（10）80（11）200.120.100.1（12）23（13）192.168.10.0/23（14）允许（15）拒绝（16）D（17）实现了，最后的拒绝语句拒绝了所有非允许的流量试题三（共20分）阅读以下说明，回答问题1至问题3。请根据Windows服务器的安装与配置，回答下列问题：问题1（共8分）图3-1是安装好的服务器管理器界面，在当前配置下，根域的名称是（1）。图示中角色服务配置时，建立域控制器DC（DomainController），需要通过命令行方式运行（2）命令，域中的DC和DNS配置同一设备时，需要将独立服务器的首个DNS与DC的IP地址配置（3），DHCP服务加入DC需要（4），否则服务报错。（2）备选答案：A.dcomcnfgB.dcpromo试题3：图3-1解析：答案：（1）con-oso.com（2）Bdcomcnfg命令,开启“组件服务”配置;dcpromo用于将服务器提升为域控制器，或者将域控制器降级为成员服务器。（3）相同（4）授权试题3：问题2（共6分）图3-2是hosts文件内容，图3-3是配置安全站点https://webtest.com的界面。图3-2试题3：图3-3试题3：图3-2中，127.0.0.1webtest.com的含义是（5）。在建立安全站点时，需要在web服务器上启用（6）功能。并且绑定创建好的证。（6）备选答案：A.SSLB.代理 若将图3-3中的https的端口号改为8000，访问站点的URL是（7）。解析：答案：（5）用户在浏览器中输入webtest.com时，系统首先从Hosts文件中寻找其对应的IP地址，解析为127.0.0.1（6）A（7）https://webtest.com:8000试题3：问题3（共6分）图3-4是通过设备管理器查看到的信息，未安装驱动程序的设备提供（8）功能。在“驱动程序”选项卡中会显示驱动程序提供商、驱动程序日期、驱动程序版本和（9）信息。若更新驱动程序后无法正常运行，可以在该选项卡页面通过（10）操作将以前的驱动程序恢复。（9）备选答案：A.数字签名B.硬件类型试题3：图3-4解析：答案：（8）更新驱动程序（9）A（10）回退驱动程序试题四（共15分）阅读以下说明，回答问题1至问题2。图4-1为某学校网络拓扑图，运营商分配的公网IP地址为113.201.60.1/29，运营商网关地址为113.201.60.1，内部用户通过路由器代理上网，代理地址为113.201.60.2。核心交换机配置基于全局的DHCP服务，为办公楼和宿舍楼用户提供DHCP服务。内部网络划分为3个VLAN，其中VLAN10的地址10.0.10.1/24，VLAN20的地址10.0.20.1/24，VLAN30的地址10.0.30.1/24，请结合下图，回答相关问题。试题4：图4-1试题4：问题1（共9分）路由器的配置片段如下，根据图4-1，补齐（1）~（6）空缺的命令。#配置WAN接口和内网上网代理<Huawei>system-view[Huawei]sysname(1)[Router]interface(2)[Router-GigabitEthernet1/0/0]ipaddress(3)[Router-GigabitEthernet1/0/0]quit[Router]iproute-static0.0.0.00.0.0.0(4)[Router]acl2000[Router-acl-basic-2000]rule5permitsource10.0.0.0(5)[Router-acl-basic-2000]quit[Router]interfaceGigabitEthernet1/0/0[Router-GigabitEthernet1/0/0]natoutbound(6)[Router-GigabitEthernet1/0/0]quit......其它配置解析：答案：（1）Router（2）GigabitEthernet1/0/0（3）113.201.60.2255.255.255.248（4）113.201.60.1（5）0.0.255.255（6）2000试题4：问题2（共6分）核心交换机的配置片段如下，根据图4-1，补齐（7）~（10）空缺的命令。#配置GE0/0/2接口加入VLAN20，并配置对应VLAN接口地址[Switch]vlanbatch20[Switch]interfaceGigabitEthernet0/0/2[Switch-GigabitEthernet0/0/2]portlink-type(7)[Switch-GigabitEthernet0/0/2]porthybridpvidvlan20[Switch-GigabitEthernet0/0/2]porthybriduntaggedvlan20[Switch-GigabitEthernet0/0/2]quit[Switch]interfacevlanif20[Switch-vlanif20]ipaddress(8)[Switch-vlanif20]quit......其它配置略试题4：#配置DHCP服务，租期3天[Switch]dhcp(9)[Switch]ippoolpool1[Switch-ip-pool-pool1]network10.0.20.0mask255.255.255.0[Switch-ip-pool-pool1]dns-list10.0.10.2[Switch-ip-pool-pool1]gateway-list10.0.20.1[Switch-ip-pool-pool1]leaseday(10)[Switch-ip-pool-pool1]quit[Switch]interfacevlanif20[Switch-vlanif20]dhcpselectglobal[Switch-vlanif20]quit......其它配置略解析：答案：（7）hybrid（8）10.0.20.1255.255.255.0（9）enable//开启DHCP服务（10）3