中级网络工程师2012上半年下午试题(共14页).doc-淘文阁

资源描述

《中级网络工程师2012上半年下午试题(共14页).doc》由会员分享，可在线阅读，更多相关《中级网络工程师2012上半年下午试题(共14页).doc（14页珍藏版）》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、精选优质文档-倾情为你奉上中级网络工程师2012上半年下午试题试题一阅读以下说明，根据要求回答问题。说明某公司计划部署园区网络，其建筑物分布如图2-4所示。图2-4 某建筑物分布图根据需求分析结果，网络规划要求如下： 1网络中心机房在信息大楼。 2设计中心由于业务需求，要求千兆到桌面；同时要求设计中心汇聚交换机到核心交换机以千兆链路聚合。 3会议中心采用PoE无线网络部署。1、根据公司网络需求分析，设计人员设计的网络拓扑结构如图2-5所示。 1根据网络需求描述和网络拓扑结构，图2-5中介质1应选用 (1) ；介质2应选用 (2) ；介质3应选用 (3) 。 (1)(3)备选答案： A单模

2、光纤 B多模光纤 C6类双绞线 D同轴电缆 2在该网络中，应至少选用单模SFP (4) 个，多模SFP (5) 个。2、该网络部分设备如表2-2所示。表2-2部分网络设备的主要技术指标名称主要技术指标设备A交换容量1Tbps；包转发率750Mpps；业务插槽数6；双引擎，冗余电源；配置接口12口千兆光口，24口干兆电口设备B交换容量190Gbps；包转发性能40Mpps；接口为24个10/100/1000M电口；至少有2个1000M SFP光口；支持802.1x认证，MAC认证和Web认证设备C交换容量70Gbps；包转发性能40Mpps；接口为24个10/100/1000M电口，2个1G S

3、FP；可管理AP数目16；支持高级加密标准(AES)、临时密钥交换协议(TKIP)以及有线对等加密协议(WEP)、支持WPA及WPA2加密算法；防止ARP欺骗攻击设备D交换容量268Gb；包转发率150MppS；接口为24个10/100/1000Base-T以太网端口，4个1/10G SFP 根据题目说明和网络拓扑图，在图2-5中，设备1应选用 (6) ，设备2应选用 (7) ，设备3应选用 (8) ，设备4应选用 (9) 。3、该网络在进行地址分配时，其VLAN分配如表2-3所示。表2-3VLAN分配说明设备端口连接设备IP网关VLAN ID设备名称接口号生产车间汇聚交换机核心交换机g2/1

4、TRUNK接入交换机Af1/2192.168.99.0/24192.168.99.254VLAN 99接入交换机Bf1/3192.168.100.0/24192.168.100.254VLAN 100管理地址192.168.1.11/24192.168.1.254VLAN 1 根据上表，完成下列生产车间汇聚交换机的配置： Switch(config)#interface vlan 99 Switch(config-if)#ip address 192.168.99.254 255.255.255.0 Switch(config-if)#no shutdown Switch(config-if)

5、#exit Switch(config)#interface vlan 100 Switch(config-if)#ip address (10) (11) Switch(config-if)#no shutdown Switch(config-if)#exit Switch(config)#interfaec f1/2 Switch(config-if)#switchport mode (12) Switch(config-if)#switchport access vlan (13) Switch(config-if)#exit Switch(config)#interface g2/1

6、Switch(config-if)#switchport mode (14) Switch(config-if)#exit Switch(config)#interface vlan 1 Switch(config-if)#ip address 192.168.1.254 255.255.255.0 Switch(config-if)#no shutdown Switch(config-if)#exit Switch(config)#ip default-gateway (15) 试题二根据要求回答问题。4、Linux服务器中DHCP服务程序/usr/sbin/dhcpd对应的配置文件名称是

7、(1) ，该文件的缺省目录是 (2) 。5、某网络采用Linux DHCP服务器为主机提供服务，查看某主机的网络连接详细信息如图2-6所示。请根据图2-6中补充完成Linux DHCP服务器中DHCP配置文件的相关配置项。 subnet 192.168.1.0 netmask 255.255.255.0 range 192.168.1.10 192.168.1.500； default-lease-time (3) ； max-lease-time 14400； option subnet-mask (4) ； option routers (5) ； option domain-name

8、； option broadcast-address (6) ； option domain-name-servers (7) ， (8) ； 6、如果要确保IP地址192.168.1.102分配给图2-6中的PC，需要在DHCP配置文件中补充以下语句。 (9) pc1 hardware ethernet (10) ； fixed-address (11) ；试题三阅读以下说明，根据要求回答问题。说明网络拓扑结构如图2-7所示，其中Web服务器Webserver1和Webserver2对应同一域名，DNS服务器采用Windows Server 2003操作系统。7、客户端向DNS服务器发

9、出解析请求后，没有得到解析结果，则 (1) 进行解析。 A查找本地缓存 B使用NetBIOS名字解析 C查找根域名服务器 D查找转发域名服务器8、在图2-7中，两台Web服务器采用同一域名的主要目的是什么？9、DNS服务器为WebServerl配置域名记录时，在图2-8所示的对话框中，添加的主机“名称”为 (2) ，“IP地址”是 (3) 。采用同样的方法为Webserver2配置域名记录。10、在DNS系统中，反向查询(Reverse Query)的功能是 (4) 。若不希望对域名进行反向查询，在图2-8所示的窗体中应如何操作？11、在图2-9中所示的DNS服务器属性窗口中应如何配置，才使得

10、两次使用nslookup 命令得到如图2-10所示结果？ 12、要测试DNS服务器是否正常工作，在客户端可以采用的命令是 (5) 或 (6) 。 (5)、(6)备选答案： Aipconfig Bnslookup Cping Dnetstat试题四阅读以下说明，根据要求回答问题。说明某企业在部门A和部门B分别搭建了局域网，两局域网通过两台Windows Server 2003服务器连通，如图2-11所示，要求采用IPSec安全机制，使得部门A的主机PCI可以安全访问部门B的服务器S1。 13、IPSec工作在TCP/IP协议栈的 (1) 层，为TCP/IP通信提供访问控制、数据完整性、数据源

11、验证、抗重放攻击、机密性等多种安全服务。IPSec包括AH、ESP和ISAKMP/Oakley等协议，其中， (2) 为IP包提供信息源和报文完整性验证，但不支持加密服务； (3) 提供加密服务。14、IPSec支持传输和隧道两种工作模式，如果要实现PC1和S1之间端到端的安全通信，则应该采用 (4) 模式。15、如果IPSec采用传输模式，则需要在PCI和 (5) 上配置IPSec安全策略。在PC1的IPSec筛选器属性窗口页中(图2-12)，源IP地址应设为 (6) ，目标IP地址应设为 (7) 。图 2-1216、如果要保护部门A和部门B之间所有的通信安全，则应该采用隧道模式，此时需要在

12、ServerA和 (8) 上配置IPSec安全策略。在ServerA的lPSec筛选器属性窗口页中(图2-13)，源IP子网的IP地址应设为 (9) ，目标子网IP地址应设为 (10) ，源地址和目标地址的子网掩码均设为255，255.255.0。ServerA的IPSec规则设置中(图2-14)，指定的隧道端点IP地址应设为 (11) 。试题五阅读以下说明，根据要求回答问题。说明某公司总部内采用RIP协议，网络拓扑结构如图2-15所示。根据业务需求，公司总部的192.168.40.0/24网段与分公司192.168.100.0/24网段通过VPN实现互联。在网络拓扑图中的路由器各接口

13、地址如表2-4所示。表2-4各路由器各接口地址名称接口IP 名称接口IPR1S0/0212.34.17.9/27 R3S0/0192.168.20.2/24R1S0/1192.168.10.1/24R3S0/1192.168.30.2/24R1S0/2192.168.20.1/24R3F1/1192.168.50.1/24R2S0/0192.168.10.2/24R4S0/0202.100.2.3/27R2S0/1192.168.30.1/24R4F1/1192.168.100.1/24R2F1/1192.168.40.1/2417、根据网络拓扑和需求说明，完成路由器R2的配置： R2#con

14、fig t R2#(config)#interface serial 0/0 R2(config-if)#ip address (1) (2) R2(config-if)#no shutdown R2(config-if)#no shutdown R2(config-if)#exit R2(config)#ip routing R2(config)#router (3) ；(进入RIP协议配置子模式) R2(config-router)#network (4) R2(config-router)#network (5) R2(config-router)#network (6) R2(conf

15、ig-router)#version 2 ；(设置RIP协议版本2) R2(config-router)#exit18、根据网络拓扑和需求说明，完成(或解释)路由器R1的配置。 R1(config)# interface seria1 0/0 R1(config-if)# ip address (7) (8) R1(config-if)# no shutdown R1(config)#ip route 192.168.100.0.0.0.0.255.202.100.2.3 ； (9) R1(config)#crypto isakmp policy 1 R1(config-isakmp)#aut

16、hentication pre-share ； (10) R1(config-isakmp)#encryption 3des ；加密使用3DES算法 R1(config-isakmp)#hash md5 ；定义MD5算法 R1(config)#crypto isgakmp key test123 address (11) ；设置密钥为test123和对端地址 R1(config)#crypto isgakmp transform-set link ah-md5-h esp-3des；指定VPN的加密和认证算法 R1(config)#accress-list 300 permit ip 192.

17、168.100.0 0.0.0.255 ；配置ACL R1(config)#crypto map vpntest 1 ipsec-isakmp ；创建crypto map名字为vpntest R1(config-crypto-map)#set peer 202.100.2.3 ；指定链路对端IP地址 R1(config-crypto-map)#set transform-set link ；指定传输模式link R1(config-crypto-map)#match address 300 ；指定应用访控列表 R1(config)# interface seria10/0 R1(config)

18、#crypto map (12) ；应用到接口答案:试题一1、(1)A 或单模光纤 (2)B 或多模光纤 (3)C 或 6类双绞线 (4)6 (5)4基于IEEE 802.3z标准的千兆以太网中，1000Base-T采用超5类(或6类)UTP(非屏蔽双绞线)的最大网络覆盖范围为100m；1000 Base-SX采用多模光纤时最大网络覆盖范围为550m；1000Base-LX采用单模光纤时最大网络覆盖范围为5km。依题意，由图2-4所示的建筑物分布图可知，设计中心到信息大楼网络中心机房的距离为2500m，生产车间到信息大楼的距离为2000m。5000m2500m2000m550m，因此图2

19、-5中传输介质1应选用单模光纤。同理，在图2-4中物料中心、会议中心到信息大楼网络中心机房的距离分别为350m、200m，而550m350m200m100m，因此图2-5中传输介质2应选用多模光纤。以太网供电(POE)技术是通过UTP中空闲的两对线缆来传输电力的，可以输出44V57V的直流电压、350mA400mA的直流电流，为一般功耗在15.4W以下的设备(如无线AP、IP电话和网络摄像机等小型网络设备)提供电能。由于“会议中心采用PoE无线网络部署”，因此图2-5中传输介质3应选用6类UTP(或超5类UTP)。 SFP(Small Form Pluggable，小封装热插拔)可以理解为

20、GBIC的升级版本。由于“设计中心汇聚交换机到核心交换机以千兆链路聚合”，而链路聚合是指将两条或更多数据信道结合成一条单个更高带宽的逻辑链路。因此图2-5中设计中心与信息中心之间两条千兆单模光纤链路上至少需要4个单模SFP光模块。同理，生产车间与信息中心的千兆单模光纤链路上至少需要两个单模SFP光模块。物料中心与信息中心的千兆多模光纤链路上至少需要两个多模SFP光模块。会议中心与信息中心的千兆多模光纤链路上至少需要两个多模SFP光模块。因此，在图2-5所示的网络结构中，该公司网络应至少选用6个单模SFP光模块，4个多模SFP光模块。2、(6)设备A (7)设备D (8)设备B (9)设备

21、C图2-5所示的网络结构采用层次化网络设计原则，将整个网络分为核心层、汇聚层和接入层。设备1为核心层交换机，设备2为汇聚层交换机，设备3为接入层交换机，设备4为无线接入点(AP)的管理交换机。对比表2-2所给出的4种网络设备的主要技术指标可知，只有设备C具有“可管理AP数目16；有线对等加密协议(WEP)、支持WPA及WPA2加密算法”等与无线局域网比较紧密相关的性能指标，因此图2-5中设备4应选用设备C。对比设备A、设备B、设备D的交换容量参数，1Tbps268Gbps190Gbps；而这3种设备的包转发率参数，750Mpps150Mpps40Mpps。可知设备A的性能最好，设备D的性能

22、次之。图2-5中核心交换机(即设备1)应选用性能最好的设备A。设备A的“12口千兆光口”能够满足3个单模SFP光模块、两个多模SFP光模块的接入要求。图2-5中汇聚交换机(即设备2)应选用设备D。设备D的“4个1/10G SFP”能够满足两个单模SFP光模块的接入要求。图2-5中接入交换机(即设备3)应选用设备B。设备B的“支持802.1x认证，MAC认证和Web认证”是接入层的典型应用需求。3、(10)192.168.100.254 (11)255.255.255.0 (12)access (13)99 (14)trunk (15)192.168.1.254生产车间汇聚交换机在VLAN

23、99接口配置子模式下的配置信息，其中“ip address192.168.99.254 255.255.255.0”定义当前VLAN接口上的地址，即VLAN 99的网关地址为192.168.99.254。同理，对于生产车间汇聚交换机VLAN 100接口地址的定义，其网关地址为表2-3中给出的192.168.100.254，子网掩码为f1/3接口IP地址信息中的“/24”(即255.255.255.0)。因此，(10)空缺处应填入192.168.100.254，(11)空缺处应填入255.255.255.0。由表2-3所给出的信息可知，生产车间汇聚交换机f1/2接口连接的是接入交换机A，其对

24、应的VLAN号为VLAN 99。在f1/2接口配置模式下，使用命令switchport mode access将当前交换端口设置为接入链路模式；使用命令switchport access vlanvlan ID将当前端口划分在“vlan_ID”号VLAN中。因此，(12)空缺处应填入关键字access，(13)空缺处应填入99。而生产车间汇聚交换机g2/1接口连接的是核心交换机，其对应的VLAN号为TRUNK，即要求g2/1接口能够传输多个VLAN信息。因此，在g2/1接口配置模式下，使用命令switchport modetrunk将当前交换端口设置为Trunk模式，即(14)空缺处应填入关

25、键字trunk。由生产车间汇聚交换机在VLAN 1接口配置子模式下的配置信息-ip address 192.168.1.254 255.255.255.0，可知管理VLAN的网关地址为192.168.1.254。为了能够使用vty对该台汇聚交换机进行远程管理，需要为该交换机配置默认网关的地址，即(15)空缺处应填入192.168.1.254。试题二4、(1)dhcpd.conf (2)/etc基于Linux操作系统构建DHCP服务器，其主酉己置文件为/etc/dhcpd.conf，即执行DHCP服务程序/usr/sbin/dhcpd对应的配置文件名称是dhcpd.conf，该文件的缺省目录是

26、/etc。启动DHCP服务的脚本文件是/etc/rc.d/init.d/dhcpd，记录客户端租用信息的文件为/var/state/dhcpd.leases。5、(3)7200 (4)255.255.255.0 (5)192.168.1.1 (6)192.168.1.255 (7)218.30.19.50 (8)61.134.1.4由图2-6中给出的“获得了租约2012-2-10 20:51:53”、“租约过期2012-2-10 22:51:53”等信息可知，该DHCP所获得的IP地址192.168.1.102的租约期限为2小时(即7200 s)。因此在LinuxDHCP服务器的配置文件中，用

27、于配置默认租约期限的default-lease-time命令中，(3)空缺处应填入参数7200。同理，由图2-6中“子网掩码255.255.255.0”信息可知，在配置子网掩码option subnet-mask命令中，(4)空缺处应填入参数255.255.255.0。由图2-6中“默认网关192.168.1.1”信息可知，在配置子网掩码option routers命令中，(5)空缺处应填入参数192.168.1.1。综合图2-6中IP地址、子网掩码、默认网关等信息，该DHCP服务器设置的IP地址池可能为192.168.1.0/24。而该地址块的直接广播地址为192.168.1.255。

28、因此，在配置广播地址optionbroadcast-address命令中，(6)空缺处应填入参数192.168.1.255。图2-6中给出了“DNS服务器218.30.19.50 61.134.1.4”信息，因此在配置DNS服务器地址option domaln-name-servers命令中，(7)、(8)空缺处可分别填入218.30.19.50、61.134.1.4。6、(9)host (10)00:24:D6:DF:37:F3 (11)192.168.1.102在DHCP配置中，保留用于创建DHCP服务器指派的永久地址租约。由图2-6中“实际地址00:24:D2:DF:37:F3”信息可

29、知，该PC的物理地址(MAC地址)为00:24:D2:DF:37:F3。为确保IP地址192.168.1.102分配给图2-6中的PC，需要在Linux DHCP配置文件中使用以下语句。 host pc1 #为主机名为pc1设置pc1设置保留的IP地址，host为关键字 hardware ethernet 00:24:D2:DF:37:F3 ；#指定将获得该保留IP地址的主机MAC地址 fixed-address 192.168.1.102；#指定保留IP地址为192.168.1.102 试题三7、(1)B 或使用NetBIOS名字解析DNS客户机的域名解析系统将先读取本机C：WINDOWS

30、system32driversetc目录下的hosts文件，在其中查找对应域名的IP地址。若查找失败，则将域名解析任务提交给首选DNS服务器进行查询。若首选DNS服务器也查询失败，则根据首选DNS服务器所配置的查询模式(递归查询或迭代查询)，将域名解析任务提交给对应的服务器(例如权威DNS服务器、顶级域(TLD)服务器、根DNS服务器、转发域名服务器等)进行查询。如果还是查询失败，没有得到解析结果，则使用NetBIOS名字解析进行解析。8、对Web服务实现负载均衡或防止单点失效(单点故障)在图2-7中，两台Web服务器采用同一域名的主要目的是：对Web服务实现负载均衡，以防止Web服务单点

31、失效(单点故障)。这就要求提供域名解析的DNS服务器启用循环功能(见图2-9“服务器选项”组件框中的“启用循环”复选框)，以将大量的用户并发访问分担到WebServer1、WebServer2上。9、(2)www (3)61.153.172.31图2-7中给出了分配给WebServerl的IP地址61.153.172.31。由题干给出的“Web服务器Webserver1和Webserver2对应同一域名”等信息，结合域名的命名结构可知，这两台Web服务器的DNS主机(A)资源记录的名称为www。在基于Windows Server 2003操作系统的DNS服务器中，在DNS控制台窗口，用鼠标右

32、键单击正向查找区域的名称“”，在弹出的快捷菜单中选择“新建主机”命令。在弹出的“新建主机”对话框的“名称”文本框中输入www，在“IP地址”文本框中输入61.153.172.31，最后单击“添加主机”按钮。采用同样的方法为Webserver2配置域名记录，只是“IP地址”文本框中应输入61.153.172.32(见图2-7)。10、(4)用IP地址查询对应的域名取消“创建相关的指针(PTR)记录”复选框的选中状态在DNS系统中，反向查询(Reverse Query)的功能是：使用IP地址查询对应的域名。如果在图2-8中选择“创建相关的指针(PTR)记录”复选框，则在创建www主机记录的同时

33、，也会在反向查找区域中创建一条名为“61.153.172.31”的指针资源记录。若不希望对域名进行反向查询，则需要取消图2-8中“创建相关的指针(PTR)记录”复选框的选中状态。11、在“服务器选项”区域中，先选中“启用循环”复选框，再单击“确定”(或“应用”)按钮命令nslookup用于测试域名与其对应的IP地址之间相互映射的关系。仔细对比图2-10中两次使用nslookup 命令得到的系统输出信息可知，每次解析域名时，其对应的IP地址在61.153.172.31、61.153.172.32这两个地址范围内循环使用，即提供域名解析的DNS服务器启用了循环功能，实现对Web服务器的负载均衡。因

34、此，在图2-9的“服务器选项”区域中，应选中“启用循环”复选框，并单击“确定”(或“应用”)按钮。12、(5)B 或 nslookup (6)C 或 ping命令程序nslookup用于测试域名与其对应的IP地址之间相互解析的功能。如果仅测试域名到IP地址的转换，使用命令ping和tracert可以完成这个任务。命令ipconfig用于显示当前TCP/IP网络配置(如IP地址、子网掩码和默认网关等信息)。命令netstat用于显示活动的TCP连接、侦听的端口、以太网统计信息、IP路由表和IP统计信息。试题四13、(1)IP 或网络 (2)AH (3)ESPIPSec协议工作在TCP/IP

35、协议族的网络层，为TCP/IP通信提供访问控制、数据完整性、数据源验证、抗重放攻击、机密性等多种安全服务。IPSec安全体系结构包括AH(Authentication Header)协议、ESP(Encapsulating Security Payload)协议、密钥管理协议(ISAKMP)3个最基本的协议。其中，AH协议为IP包提供数据源认证、数据完整性和抵抗重放攻击保护，但不支持加密服务；ESP协议提供数据保密、数据源认证、无连接完整性、抵抗重放攻击保护和有限的数据流保密等；密钥管理协议(ISAKMP)提供双方交流时的共享安全信息。14、(4)传输IPSec有两种工作模式：传输模式和隧道模

36、式。传输模式用来保护IP包内的数据载荷，对原IP头部分不处理；而隧道模式用来保护整个lP数据包。在传输模式下，IPSec包首部加在IP包首部和上层协议(如TCP/UDP)包首部之间；而在隧道模式下，整个IP包都封装在IPSec包中，并在新的IP包首部和原来的IP包首部之间插入IPSec首部。传输模式是系统默认的IPSec工作模式，主要应用于两台主机之间(即端对端之间)数据安全通信的场合。隧道模式主要应用于在两个网络之间进行数据安全通信的场合，如将两台路由器分别指派为隧道终节点。依题意，如果要实现PC1和S1之间端到端的安全通信，则应该采用传输模式。15、(5)S1 或 IP地址为192.16

37、8.2.2的服务器 (6)192.168.1.2 (7)192.168.2.2依题意，如果IPSec采用传输模式，由于要“使得部门A的主机PCI可以安全访问部门B的服务器S1”，则需要在PC1和S1上配置IPSec安全策略。在图2-12所示的PCI IPSec筛选器属性窗口中，源IP地址应设为本机的地址192.168.1.2，目标IP地址应设为SI的地址192.168.2.2。反之，在S1 IPSec筛选器属性窗口中，源IP地址应设为192.168.2.2，目标IP地址应设为PCI的地址192.168.1.2。16、(8)ServerB 或 IP地址为202.113.111.1的服务器 (9)

38、192.168.1.0 (10)192.168.2.0 (11)202.113.111.1如果要保护部门A和部门B之间所有的通信安全，则应该采用隧道模式，此时需要在ServerA和ServerB上配置IPSec安全策略。在图2-11所示网络拓扑结构图中，对于IPSec VPN服务器ServerA而言，数据包来源于左侧的网络，即网段192.168.1.0/24;而数据包的目的地去往ServerB右侧的网络，即网段192.168.2.0/24；隧道终点IP地址为ServerB连接Intemet的公网IP地址202.113.111.1。因此，在图2-13所示的ServerA IPSec筛选器属性窗口

39、中，源IP子网的IP地址应设为192.168.1.0，目标子网IP地址应设为192.168.2.0，源地址和目标地址的子网掩码均设为255，255.255.0。在图2-14所示的ServerA的IPSec规则设置中，指定的隧道端点IP地址应设为202.113.111.1。同理，对于ServerB而言，数据包来源于右侧的网络，即网段192.168.2.0/24；而数据包的目的地去往ServerA左侧的网络，即网段192.168.1.0/24；隧道终点IP地址为ServerA连接Internet的公网IP地址202.113.110.1。试题五17、(1)192.168.10.2 (2)255.2

40、55.255.0 (3)RIP (4)192.168.10.0 (5)192.168.30.0 (6)192.168.40.0在路由器接口配置模式下，使用命令ip addressIP地址子网掩码配置当前接口的IP地址信息。表2-4中已给出路由器R2 S0/0接口的IP地址为192.168.10.2，子网掩码为/24(即255.255.255.0)。因此对于R2的SO/O接口的配置，(1)空缺处应填入192.168.10.2，(2)空缺处应填入255.255.255.0。在路由器全局配置模式下，使用命令router rip启用RIP进程，并进入RIP配置子模式。因此(3)空缺处应填入关键字ri

41、p(或RIP)。在RIP配置子模式下，使用命令network网段地址定义参与RIP路由的网络地址。在图2-15所示的网络结构图中，R2的F1/1、S0/0、S0/1三个接口各自连接一个网络。由表2-4中R2 S0/0接口所配置的IP地址192.168.10.2/24，可间接得知R2 SO/O接口所连接网络的网段地址为192.168.10.0。同理，由表2-4中R2 SO/1接口所配置的IP地址192.168.30.1/24，可间接得知R2 S0/1接口所连接网络的网段地址为192.168.30.0。由表2-4中R2 F1/1接口所配置的IP地址192.168.40.1/24，可间接得知R2

42、F1/1接口所连接网络的网段地址为192.168.40.0。因此，(4)、(5)、(6)空缺处可以分别填入192.168.10.0、192.168.30.0、192.168.40.0。18、(7)212.34.17.9 (8)255.255.255.224 (9)配置静态路由(指向VPN的对端) (10)定义预共享密钥 (11)202.100.2.3 (12)vpntest表2-4中已给出路由器R1 S0/0接口的IP地址为212.34.17.9，子网掩码为/27(即255.255.255.224)。因此对于R1的S0/0接口的配置，(7)空缺处应填入212.34.17.9，(8)空缺处应填入

43、255.255.255.224。在路由器全局配置模式下，配置静态路由的命令格式是：ip route目的网络地址子网掩码下一跳路由器的IP地址。由于“公司总部的192.168.40.0/24网段与分公司192.168.100.0/24网段通过VPN实现互联”，因此R1的配置命令ip route 192.168.100.0 0.0.0.255 202.100.2.3的含义是：配置静态路由以指向VPN的对端。其中，202.100.2.3是R4 S0/0接口的IP地址(见表2-4)。纵观(10)空所处所在行及其之后的配置信息可知，它们是对R1进行IPSec VPN配置。在IKE策略配置模式Rout

44、er(config-isakmp)#下，使用命令authenticationpre-sharelrsa-sig将身份验证方法设置为预共享密钥认证或RSA签名。因此，(10)空所处所在行配置命令的含义是：将身份验证方法设置为预共享密钥认证方式。在全局配置模式下，使用命令crypt isakmp key key address peer_address设置与对等体共享的预共享密钥。而R1 VPN的对端地址为R4 SO/O接口的IP地址，因此(11)空缺处应填入202.100.2.3。在全局配置模式下，使用命令crypto mapmap-namesequence_number ipsec-isakmp创建加密映射表。本试题使用命令crypto map vpntest 1 ipsec-isakmp，创建了一个名为vpntest的加

展开阅读全文