第17章
网络系统设计与管理

网络工程师下午考试是一门实践性很强的考试，它包括了网络系统的需求分析、系统设计、系统实施等各个方面。但从近几年考试的趋势来看，需求分析的题型逐渐减少，设计与实施过程中的题型比重越来越大，以Cisco公司的网络设备为代表的交换机路由器的配置几乎成为了每年必考的题型。同时，一些新技术的应用逐渐成为下午考试考查的一个方向，如无线网络。

由于下午考试是一门综合性非常强的考试，往往一道题目中包含了多种综合性的知识，因此，本书在分类上往往根据考题主要考查的知识点来进行分类。读者可参考中国系统分析员顾问团历年来的试题结构分析，把握住考试的出题方向。

例题1（2005年5月下午试题二）

阅读以下说明，回答问题1～4，将解答填入答题纸的对应栏内。

【说明】

FTTx＋LAN是实现宽带接入的常用方法，基本结构如图17-1所示。

图17-1　FTTx＋LAN拓扑图

【问题1】（2分）

FTTx＋LAN接入方式采用什么拓扑结构？

【问题2】（3分）

若备选设备有光网络单元（ONU）、光收发器和交换机，为图17-1中A、B、C选择正确的设备，填写在答题纸相应位置。

【问题3】（3分）

将图17-1中（1）～（3）处空缺的传输介质名称填写到答题纸的相应位置。

【问题4】（7分）

本方案采用DHCP来分配网络地址。DHCP是　（4）　协议的一个扩展，便于客户自动从服务器获取IP地址和相关设置，其中实现IP地址动态分配的过程如下（①～④未按顺序排列）：

①客户设置服务器ID和IP地址，并发送给服务器一个DHCP Request报文。

②客户端向服务器广播DHCP Discover报文，此报文源地址为　（5）　，目标地址为　（6）　。

③服务器返回DHCP ACK报文。

④服务器返回DHCP Offer报文。

客户收到的数据包中应包含客户的　（7）　地址，后面跟着服务器能提供的IP地址、子网掩码、租约期限及DHCP服务器的　（8）　地址。客户进行ARP检测，如果觉得有问题，发送DHCP Decline报文；如果觉得没有问题，就接受这个配置参数。

1．将文中①～④按照应答过程重新排序。（2分）

2．将文中（4）～（8）处空缺的名称填写在答题纸的相应位置。（5分）

例题分析

本题主要是考查对接入网络的了解，曾经考查较多的是ADSL技术，本次考试的是FTTx＋LAN的内容。当今高速接入网技术——FTTx＋LAN技术已经很成熟，很多网吧就是使用此种技术。本题考查的内容是基本的光接入网络的基本拓扑结构，以及对应的设备、对应的光纤、铜缆在网络中所处的位置。

该题的前8分基本是可以拿到的。后半部分的7分考查的是DHCP协议的工作过程，作为常用的应用之一，DHCP是非常容易理解和配置的，即使在没有非常清楚了解其工作过程的前提下，只要了解DHCP的作用是客户端发送请求，从DHCP服务器上获取IP地址，就可以很好地作答，题目相对比较简单。

【问题1】

FTTx方式最终都通过光纤会聚到会聚层的核心交换机上。通常的拓扑结构均为星形拓扑。

【问题2】

根据拓扑图可以判断，光收发器必定一端是电口一端是光口，所以（2）为光纤。楼道交换机上连必然采用光纤，既然楼道的上方采用了光电转换，很显然，C必然是光收发器。B连接了DHCP服务器，所以可以判断B为交换机。最后只有A，负责上连到ISP，所以采用光网络单元。

【问题3】

首先，通过图17-1中DHCP服务器的连接方式，我们可以判断B为交换机，而且B可能是接入层交换机。根据B到楼道交换机之间的连接方式，我们可以推断它们采用光缆进行连接，光缆到楼道后通过光收发器进行光电转换并连接到楼层交换机上。实际上，目前许多宽带网的实现就是采用这种方式，如果有工程经验，很快就可以知道不同位置所采用的设备的名称。

【问题4】

考核DHCP服务的工作过程，其工作过程如下：

①发现阶段，即DHCP客户机寻找DHCP服务器的阶段。DHCP客户机以广播方式发送DHCP Discover发现信息来寻找DHCP服务器，即向地址255.255.255.255发送特定的广播信息。网络上每一台安装了TCP/IP协议的主机都会接收到这种广播信息，但只有DHCP服务器才会做出响应。

②提供阶段，即DHCP服务器提供IP地址的阶段。在网络中接收到DHCP Discover发现信息的DHCP服务器都会做出响应，它从尚未出租的IP地址中挑选一个分配给DHCP客户机，向DHCP客户机发送一个包含出租的IP地址和其他设置的DHCP Offer提供信息。

③选择阶段，即DHCP客户机选择某台DHCP服务器提供的IP地址的阶段。如果有多台DHCP服务器向DHCP客户机发来DHCP Offer提供信息，则DHCP客户机只接受第一个收到的DHCP Offer提供信息，然后它就以广播方式回答一个DHCP Request请求信息，该信息中包含向它所选定的DHCP服务器请求IP地址的内容。之所以要以广播方式回答，是为了通知所有的DHCP服务器，它将选择某台DHCP服务器所提供的IP地址。

④确认阶段，即DHCP服务器确认所提供的IP地址的阶段。当DHCP服务器收到DHCP客户机回答的DHCP Request请求信息之后，它便向DHCP客户机发送一个包含它所提供的IP地址和其他设置的DHCP ACK确认信息，告诉DHCP客户机可以使用它所提供的IP地址，然后DHCP客户机便将其TCP/IP协议与网卡绑定。另外，除DHCP客户机选中的服务器外，其他的DHCP服务器都将收回曾提供的IP地址。

⑤重新登录。以后DHCP客户机每次重新登录网络时，就不需要再发送DHCP Discover发现信息了，而是直接发送包含前一次所分配的IP地址的DHCP Request请求信息。当DHCP服务器收到这一信息后，它会尝试让DHCP客户机继续使用原来的IP地址，并回答一个DHCP ACK确认信息。如果此IP地址已无法再分配给原来的DHCP客户机使用时（比如此IP地址已分配给其他DHCP客户机使用），那么DHCP服务器给DHCP客户机回答一个DHCP NACK否认信息。当原来的DHCP客户机收到此DHCP NACK否认信息后，它就必须重新发送DHCP Discover发现信息来请求新的IP地址。

⑥更新租约。DHCP服务器向DHCP客户机出租的IP地址一般都有一个租借期限，期满后DHCP服务器便会收回出租的IP地址。如果DHCP客户机要延长其IP租约，则必须更新其IP租约。当DHCP客户机启动和IP租约期限过一半时，DHCP客户机都会自动向DHCP服务器发送更新其IP租约的信息。

例题答案

【问题1】

采用星形拓扑结构。

【问题2】

A光网络单元，B交换机，C光收发器。

【问题3】

（1）光缆；（2）光缆；（3）双绞线。

【问题4】

1小问：②④①③（2分）

2小问：（5分）

（4）BOOTP协议

（5）0.0.0.0

（6）广播地址255.255.255.255

（7）MAC

（8）IP地址

例题2（2006年5月下午试题三）

阅读以下说明，回答问题1～6，将解答填入答题纸对应的解答栏内。

【说明】

某单位局域网通过ISP提供的宽带线路与Internet相连，ISP分配的公网IP地址为202.117.12.32/29，局域网中一部分计算机通过代理服务器访问Internet，而另一部分计算机不经过代理服务器直接访问Internet。其网络连接方式及相关的网络参数如图17-2所示。

图17-2　网络拓扑结构图

【问题1】（6分）

根据图17-2所给出的网络连接方式及相关的网络参数，区域（A）与区域（B）中计算机的网络参数配置（如图17-3所示）为：

图17-3　网络参数配置

区域（A）计算机“IP地址”（范围）：　（1）　；

区域（A）计算机“子网掩码”：　（2）　；

区域（A）计算机“默认网关”：　（3）　；

区域（B）计算机“IP地址”（范围）：　（4）　；

区域（B）计算机“子网掩码”：　（5）　；

区域（B）计算机“默认网关”：　（6）　。

【问题2】（2分）

图17-2中代理服务器还可以用何种网络连接设备实现？

【问题3】（2分）

在接入Internet时，区域（A）与区域（B）相比，哪个区域的计算机安全性更好？

【问题4】（2分）

IP地址为192.168.0.36的计算机发送到Internet上的IP数据包的源IP地址为　（7）　；IP地址为202.117.12.36的计算机发送到Internet上的IP数据包的源IP地址为　（8）　。

【问题5】（2分）

如果该单位有一台需对外发布公共信息的Web服务器，应将其接入图17-2中的哪个区域？

【问题6】（1分）

如果电信部门分配的公网IP地址为202.117.12.32/30，则图17-2中的网络连接应做何改动？

例题分析

【问题1】

这种题型是很简单的，要确定一个网段的IP地址，主要是根据其网关的IP地址和子网掩码来确定。所以对于区域A，从网关地址为192.168.0.1可以看出其IP：192.168.0.2～192.168.0.254，Mask:255.255.255.0，Gateway:192.168.0.1。

同样的，对于区域B，从网关地址为202.117.12.33/29就可以计算出其IP范围是：202.117.12.35～202.117.12.38。Mask：255.255.255.248，Gateway：202.117.12.33。

【问题2】

这种替换的题目从功能考虑即可。代理服务器可以完成数据的缓存，地址转换等功能，所以如“带NAT功能的路由器”或具备NAT的防火墙等都可以。

【问题3】

显然区域A的主机在代理服务器的内部，而且使用的是私有IP地址，相当于在防火墙的内网。并且其内部网络结构通过代理服务器而隐藏，具有较高的安全性。

【问题4】

这里考察经过NAT之后的地址变化情况。在内部，私有地址机器发出数据的原地址就是这个私有地址；但是私有地址不能在Internet寻址，所以要经过NAT将源地址转换为NAT地址池中的公网IP地址，也就是这里代理服务器的外部接口地址：202.117.12.34。

而区域B的机器本来就是可以在Internet寻址的公网地址，所以其源地址还是202.117.12.36。

【问题5】

通常对于对外开放业务的服务器，可以将其放在防火墙的DMZ区。这里没有防火墙，但是要能对外开放服务，必须外界能访问该地址，也就是必须要公网地址，所以这里只能放在区域B。

【问题6】

分配的地址为202.117.12.32/30，只有202.117.12.33和202.117.12.34两个地址，则用户方只有一个可用的IP地址。所以必须将区域B里面的计算机都放入区域A，并且把IP地址设置在192.168.0.0/24网段，通过NAT之后访问网络。

例题答案

【问题1】

（1）192.168.0.2～192.168.0.254

（2）255.255.255.0

（3）192.168.0.1

（4）202.117.12.35～202.117.12.38

（5）255.255.255.248

（6）202.117.12.33

【问题2】

带NAT功能的路由器”或具备NAT的防火墙等。

【问题3】

区域A安全性高。

【问题4】

（7）202.117.12.34

（8）202.117.12.36

【问题5】

放在区域B。

【问题6】

将区域B里面的计算机都放入区域A，并且把IP地址设置在192.168.0.0/24网段。

例题3（2006年5月下午试题五）

阅读下面的说明，回答问题1～4。将解答填入答题纸对应的解答栏内。

【说明】

图17-4所示为某公司利用Internet建立的VPN。

图17-4　网络拓扑结构图

【问题1】（4分）

使用VPN技术，是为了保证内部数据通过Internet安全传输，VPN技术主要采用哪些技术来保证数据安全？

【问题2】（3分）

分部1采用DDN通过一台路由器接入Internet。阅读下面的路由配置信息，将（1）～（3）处标识的语句进行解释。

【问题3】（4分）

分部1的路由器配置为ethernet0/0端口接内部网络，serial0/0端口接外部网络。下列配置指定内外网端口，完成下列配置，将答案填写在答题纸相应的位置。

【问题4】（4分）

以下是指定VPN在建立连接时协商IKE使用的策略，阅读下面的配置信息，解释（6）、（7）处的命令，将答案填写在答题纸相应的位置。

例题分析

【问题1】

1．认证技术防止数据的伪造和被篡改，它采用一种称为“摘要”的技术。“摘要”技术主要采用HASH函数将一段长的报文通过函数变换，映射为一段短的报文即摘要。由于HASH函数的特性，两个不同的报文具有相同的摘要几乎不可能。该特性使得摘要技术在VPN中有两个用途：验证数据的完整性、用户认证。

2．加密技术IPSec通过ISAKMP/IKE/Oakley协商确定几种可选的数据加密算法，如DES、3DES等。DES密钥长度为56位，容易被破译，3DES使用三重加密增加了安全性。

3．密钥交换和管理VPN中密钥的分发与管理非常重要。密钥的分发有两种方法：一种是通过手工配置的方式，另一种采用密钥交换协议动态分发。手工配置的方法由于密钥更新困难，只适合于简单网络的情况。密钥交换协议采用软件方式动态生成密钥，适合于复杂网络的情况，且密钥可快速更新，可以显著提高VPN的安全性。目前主要的密钥交换与管理标准有IKE（互联网密钥交换）、SKIP（互联网简单密钥管理）和Oakley。

【问题2】

有关协议的基本配置信息，如设置接口的协议配置，以及关闭某个端口上默认的协议等都属于基本的操作，要能够较好地理解。

如：封装协议通常都是使用encapsulation命令，要禁止或关闭或取消都是以NO命令开头的。记住一些基本的命令特点，便可以举一反三。

（1）设置Telnet远程登录密码为goodbad。

（2）封装PPP协议。

（3）停用CDP（Cisco发现协议）。

【问题3】

这是考查对IP NAT配置的了解，要注意的是从题干找出哪个是外部端口、哪个是内部端口，才能确定相应的命令用在什么地方。

【问题4】

显然这种解释配置命令的意思或作用的题是很好答的，但是不要直接翻译，最好能用尽量精简的语句来表达这个命令的意思，理解了就容易回答。

例题答案

【问题1】

隧道技术，加／解密技术，密钥管理技术，使用者与设备身份认证技术等。

【问题2】

（1）设置Telnet远程登录密码为goodbad

（2）封装PPP协议

（3）停用CDP（Cisco发现协议）

【问题3】

（4）Ip nat inside

（5）Ip nat outside

【问题4】

（6）摘要使用md5算法

（7）使用预共享的密钥认证

例题4（2006年11月下午试题一）

阅读以下说明，回答问题1～4，将解答填入答题纸对应的解答栏内。

【说明】

某学校计划建立校园网，拓扑结构如图17-5所示。该校园网分为核心、会聚、接入三层，由交换模块、广域网接入模块、远程访问模块和服务器群四大部分构成。

图17-5　校园网拓扑结构图

【问题1】（5分）

在校园网设计过程中，划分了很多VLAN，采用了VTP来简化管理。将（1）～（5）处空缺信息填写在答题纸对应的解答栏内。

1．VTP信息只能在　（1）　端口上传播。

2．运行VTP的交换机可以工作在三种模式：　（2）　、　（3）　、　（4）　。

3．共享相同VLAN数据库的交换机构成一个　（5）　。

【问题2】（4分）

该校园网采用了异步拨号进行远程访问，异步封装协议采用了PPP协议。将（6）～（9）处空缺信息填写在答题纸对应的解答栏内。

1．异步拨号连接属于远程访问中的电路交换服务，远程访问中另外两种可选的服务类型是：　（6）　和　（7）　。

2．PPP提供了两种可选的身份认证方法，它们分别是　（8）　和　（9）　。

【问题3】（2分）

该校园网内交换机数量较多，交换机间链路复杂，为了防止出现环路，需要在各交换机上运行　（10）　。

【问题4】（4分）

该校园网在安全设计上采用分层控制方案，将整个网络分为外部网络传输控制层、内外网间访问控制层、内部网络访问控制层、操作系统及应用软件层和数据存储层，对各层的安全采取不同的技术措施。从备选答案中选择信息，将（11）～（14）处空缺信息填写在答题纸对应的解答栏内。

（11）～（14）处备选答案：

A．IP地址绑定

B．数据库安全扫描

C．虚拟专用网（VPN）技术

D．防火墙

例题分析

【问题1】

本题考查VTP协议。VTP协议在以往的考试中经常考到。

VTP（VLAN Trunk Protocol），VLAN主干协议，作用是交换机与交换机之间VLAN信息相互传递，使用VTP协议可以在一个交换机中使用另一个交换机中的VLAN配置信息，从而避免了在不同交换机设置相同的VLAN所造成的重复劳动，同时还减少了VLAN配置错误的可能性。

VLAN中继协议（VTP）利用第2层中继帧，在一组交换机之间进行VLAN通信。VTP从一个中心控制点开始，维护整个企业网上VLAN的添加、删除和重命名工作，确认配置的一致性。

VTP模式有3种，分别是：

1．服务器模式：SERVER，属于默认模式

VTP服务器控制着它们所在域中VALN的生成和修改。所有的VTP信息都被通告在本域中的其他交换机，而且所有这些VTP信息都是被其他交换机同步接收的。

2．客户机模式（CLIENT）

VTP客户机不允许管理员创建、修改或删除VLAN。它们监听本域中其他交换机的VTP通告，并相应修改它们的VTP配置情况。

3．透明模式（TRANSPARENT）

VTP透明模式中的交换机不参与VTP。当交换机处于透明模式时，它不通告其VLAN配置信息。而且，它的VLAN数据库更新与收到的通告也不保持同步。但它可以创建和删除本地的VLAN。不过，这些VLAN的变更不会传播到其他任何交换机上。

【问题2】

考核远程访问中的服务类型。远程访问服务有3种可选的服务类型：专线连接、电路交换和包交换。

（8）、（9）考核PPP的认证方式。PPP提供了两种可选的身份认证方法：口令验证协议（Password Authentication Protocol，PAP）和质询握手协议（Challenge Handshake Authentication Protocol，CHAP）。如果双方协商达成一致，也可以不使用任何身份认证方法。口令验证协议（PAP）是一种简单的明文验证方式。CHAP认证比PAP认证更安全，因为CHAP不在线路上发送明文密码，而是发送经过摘要算法加工过的随机序列，也被称为“挑战字符串”。

【问题3】

本题考核生成树协议。生成树协议的作用就是通过阻塞一个或多个冗余端口，维护一个无回路的网络。

【问题4】

本题难度稍大一些，考核考生对基本概念的掌握程度。考生不一定熟悉所有的设备，但可以逐一对答案进行匹配，也可以采用排除法。如防火墙，显然是用于内外网之间，而VPN是用于外网；数据库安全扫描显然和数据存储层最匹配。

例题答案

【问题1】

（1）Trunk

（2）VTP Server（或服务器模式）

（3）VTP Client（或客户机模式）

（4）VTP Transparent（或透明模式）

（5）VTP管理域

【问题2】

（6）专线连接

（7）分组交换

（8）口令认证协议（PAP）

（9）质询握手协议（CHAP）

【问题3】

（10）生成树协议（STP）

【问题4】

（11）C

（12）D

（13）A

（14）B

例题5（2007年5月下午试题一）

阅读以下说明，回答问题1～4，将解答填入答题纸对应的解答栏内。

【说明】

某学校欲构建校园网，根据实际情况，计划在校园总部采用有线网络和无线网络相结合的接入方式，校园分部通过Internet采用VPN与校园总部互连。该校园网的网络拓扑结构如图17-6所示。

图17-6　网络拓扑结构图

【问题1】（7分）

从网络拓扑图中可以看出该校园网采用了分层设计结构，回答以下问题：

1．交换机按照所处的层次和完成的功能分为3种类型：核心交换机、汇聚交换机和接入交换机。下表是学校采购的3种交换机，请根据交换机的技术指标确定交换机的类型。在答题纸对应的解答栏内填写表17-1中（1）、（2）、（3）处对应的交换机类型。（3分）

表17-1　各种交换机的描述表

2．该校园网根据需求使用ACL实现各个单位之间的访问控制，在能够实现预定功能的前提下，应将ACL交给　（4）　交换机实现，原因是　（5）　。（4分）

（4）A．核心层

B．汇聚层

C．接入层

（5）A．核心层提供高速数据转发

B．汇聚层提供访问控制功能

C．接入层连接用户设备

【问题2】（4分）

该校园网的部分区域采用了无线网络，请根据无线网络的技术原理回答以下问题：

1．校园网在部署无线网络时，采用了符合802.11g标准的无线网络设备，该校园网无线网络部分的最大数据速率为　（6）　。

（6）A．54Mb/s

B．108Mb/s

C．11Mb/s

D．33Mb/s

2．在学校学术报告厅内部署了多个无线AP，为了防止信号覆盖形成的干扰，应调整无线AP的　（7）　。

（7）A．SSID

B．频道

C．工作模式

D．发射功率

【问题3】（2分）

如果校园本部与校园分部之间需要实现教学资源互访、办公自动化、财务系统互连等多种业务，该校园网应该选择　（8）　VPN模式。

（8）A．IPSec

B．SSL

【问题4】（2分）

该校园网本部利用Windows 2000建立VPN服务器，接受远程VPN访问，默认情况下，　（9）　接入到VPN服务器上。

（9）A．拒绝任何用户

B．允许任何用户

C．除了GUEST用户，允许任何用户

D．除了管理用户，拒绝任何用户

例题分析

【问题1】

1．核心层

核心层节点设备采用以IP技术为核心的设备，包括路由器和具有三层功能的高端交换机等。

2．汇聚层

汇聚节点设备应提供高速的基于IP的接口与骨干节点连接，提供高密度的10Mb/s/100Mb/s/1000Mb/s端口。汇聚节点与接入节点之间的连接可以采用多种接口，主要包括GE、ATM 155Mb/s和100Mb/s以太网接口。

汇聚层提供全面的控制／服务功能，网络上的大部分控制和服务策略在汇聚层上实施，如ACL、QoS、Traffic shaping和策略路由等。在汇聚层可采用中兴通讯的ZXR10-C9500或ZXR10-C9000（根据具体的接口密度需要）。

3．接入层

当前用于提供宽带接入的方式有多种，其中以光纤到楼、5类线到户的以太网接入具有较高的性价比，并十分易于开展增值业务，应为接入层的首选方案。

【问题2】

随着无线IEEE 802.11标准开始深入人心，各IC制造商开始寻求为以太网平台提供更为快速的协议和配置。而蓝牙产品和无线局域网（802.11b）产品的逐步应用，解决两种技术之间的干扰问题显得日益重要。为此，IEEE成立了无线LAN任务工作组，专门从事无线局域网802.11g标准的制定，力图解决这一问题。802.11g其实是一种混合标准，它既能适应传统的802.11b标准，在2.4GHz频率下提供11Mb/s数据传输率，也符合802.11a标准，在5GHz频率下提供54Mb/s数据传输率。

由于无线局域网的无线射频采用的是ISM（工业、科学、医学）无线频段，其中802.11b、802.11g标准使用的是2.4GHz频段，802.11a标准使用的是5.8GHz频段，因此无线局域网会由于在实际的运行环境当中一些突发的同频段的无线设备的射频干扰而受到影响，如微波炉、蓝牙手机信号都处在2.4GHz频段，这会直接导致无线局域网的网络性能产生突然较大的降低，并且直接导致无线信号中断或速率降低。

还有一个干扰是来自无线局域网的本身，那就是同频段不同信道（频道）的干扰。如相同楼层相邻或相近建筑物的无线AP的相互干扰。相邻的无线AP设备之间应使用无干扰的不同信道，如802.11b、802.11g使用相差5个频段的信道即可消除干扰。典型的无干扰信道的设置方式分别为1、6、11信道。

【问题3】

目前已经投入实际当中使用的VPN技术包括IPSec VPN、SSL VPN、MPLS VPN，这3种VPN技术各有特色、各有所长。目前国外主要厂商对SSL VPN、MPLS VPN技术发展相对比较重视，发展较快，但是目前应用最为广泛、技术最为成熟的仍然是IPSec VPN技术。

IPSec协议是网络层协议，是为保障IP通信而提供的一系列协议族。SSL是套接层协议，它是保障在Internet上基于Web的通信的安全而提供的协议。以标签交换是作为底层转发机制的MPLS（MultiProtocol Label Switching，多协议标记交换）VPN。

IPSec针对数据在通过公共网络时的完整性、安全性和合法性等问题设计了一整套隧道、加密和认证方案。IPSec能为IPv4/IPv6网络提供能共同操作／使用的、高品质的、基于加密的安全机制，提供包括存取控制、无连接数据的完整性、数据源认证、防止重发攻击、基于加密的数据机密性和受限数据流的机密性服务。

SSL用公钥加密通过SSL连接传输的数据来工作。SSL是一种高层安全协议，建立在应用层上。SSL VPN使用SSL协议和代理为终端用户提供HrrP、客户机／服务器和共享的文件资源的访问认证和访问安全SSL VPN传递用户层的认证，确保只有通过安全策略认证的用户可以访问指定的资源。

MPLS是一个可以在多种第二层媒质上进行标记交换的网络技术。不论什么格式的数据均可以第三层的路由在网络的边缘实施，而在MPLS的网络核心采用第二层交换，因此可以用一句话概括MPLS的特点：“边缘路由，核心交换”。

默认情况下，拒绝任何用户接入到VPN服务器上。每个客户端拨入VPN服务器都需要有一个账号，默认是Windows身份验证，所以要给每个需要拨入到VPN的客户端设置一个用户，并为这个用户制订一个固定的内部虚拟IP以便客户端之间相互访问。

例题答案

【问题1】

1．

（1）核心交换机

（2）汇聚交换机

（3）接入交换机

2．

（4）B

（5）B

【问题2】

（6）A

（7）B

【问题3】

（8）A

【问题4】

（9）A

例题6（2007年11月下午试题一）

阅读以下说明，回答问题1～3，将解答填入答题纸对应的解答栏内。

【说明】

某校园网物理地点分布如图17-7所示，拓扑结构如图17-8所示。

图17-7　校园网物理地点分布图

图17-8　校园网拓扑结构图

【问题1】（2分）

由图17-7可知，网络中心与图书馆相距700m，而且两者之间采用千兆位连接，那么两个楼之间的通信介质应选择　（1）　，理由是　（2）　。

备选答案：

（1）A．单模光纤

B．多模光纤

C．同轴电缆

D．双绞线

【问题2】（5分，空（6）为2分，其他每空1分）

校园网对校内提供VOD服务，对外提供Web服务，同时进行网络流量监控。对以上服务器进行部署：VOD服务器部署在　（3）　；Web服务器部署在　（4）　；网络流量监控服务器部署在　（5）　。

（3）（4）（5）的备选答案：

A．核心交换机端口

B．核心交换机镜像端口

C．汇聚交换机端口

D．接入交换机端口

E．防火墙DMZ端口

以上3种服务器中通常发出数据流量最大的是　（6）　。

【问题3】（8分）

校园网在进行IP地址部署时，给某基层单位分配了一个C类地址块192.168.110.0/24，该单位的计算机数量分布如表17-2所示。要求各部门处于不同的网段，请将表17-3中的（7）～（14）处空缺的主机地址（或范围）和子网掩码填写在答题纸的相应位置。

表17-2　计算机数量分布

表17-3　各部门对应的主机地址和子网掩码

试题分析

【问题1】

从环境要求，可以分析出两个关键字：“千兆位连接”、“距离700m”，要达到1000Mb/s的数据传输速率，多模光纤只能在550m的距离内传输，要满足上述两种要求，必须使用单模光纤作为传输介质。

【问题2】

要正确完成本问题，需了解如下概念：

端口镜像：即“Port Mirror”，端口镜像为网络传输提供了备份通道，还可以用于进行数据流量监测。可以这样理解：在端口A和端口B之间建立镜像关系，这样，通过端口A传输的数据将同时通过端口B传输，即使端口A处因传输线路等问题造成数据错误，还有端口B处的数据是可用的。

VOD是Video On Demand的缩写，顾名思义，它是一种可以按用户需要点播节目的交互式视频系统，或者更广义一点讲，它可以为用户提供各种交互式信息服务。交互式视频点播系统一般由VOD前端处理系统、传输网络、用户机顶盒3个部分组成。

DMZ（Demilitarized Zone），称为“隔离区”，也称“非军事化区”。它是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题而设立的一个非安全系统与安全系统之间的缓冲区，这个缓冲区位于企业内部网络和外部网络之间的小网络区域内，在这个小网络区域内可以放置一些必须公开的服务器设施，如企业Web服务器、FTP服务器和论坛等。

从上面的概念可以看出，为了安全考虑，Web服务器尽量部署在DMZ内；而作为流量监控服务器，为保证流量数据的准确可靠，一般通过镜像端口采集数据。VOD服务器为外网提供VOD服务，只能配置在相对外层的核心交换机上。

【问题3】

根据子网内的主机数进行划分，划分过程可参照本书第2章里面的子网划分的例题，具体划分结果参见答案。

例题答案

【问题1】

（1）A

（2）要点：传输速率千兆，距离超过550m

【问题2】

（3）A

（4）E

（5）B

（6）VOD服务器

【问题3】

（7）192.168.110.126

（8）～（10）正确答案有4种组合，每种组合均正确：

（8）192.168.110.129～192.168.110.190

（9）192.168.110.193～192.168.110.222

（10）192.168.110.225～192.168.110.254

或

（8）192.168.110.129～192.168.110.190

（9）192.168.110.225～192.168.110.254

（10）192.168.110.193～192.168.110.222

或

（8）192.168.110.193～192.168.110.254

（9）192.168.110.129～192.168.110.158

（10）192.168.110.161～192.168.110.190

或

（8）192.168.110.193～192.168.110.254

（9）192.168.110.161～192.168.110.190

（10）192.168.110.129～192.168.110.158

（11）255.255.255.128

（12）255.255.255.192

（13）255.255.255.224

（14）255.255.255.224

例题7（2008年11月下午试题一）

阅读以下说明，回答问题1～3，将解答填入答题纸对应的解答栏内。

【说明】

某校园网申请到了C类网络地址块202.115.0.0/24～202.115.3.0/24。根据网络规划需求，网络中心、图书馆、教学实验楼及行政办公楼的各个部门需划分到不同网段。其中Web服务器IP地址为202.115.0.10，网络拓扑结构如图17-9所示。

图17-9　网络拓扑结构图

【问题1】（每空1分，共8分）

图17-10所示为RouterB上的路由表信息，写出查询路由表的命令：　（1）　。该路由器上运行的路由协议为　（2）　。

图17-10　RouterB上的路由表信息

行政办公楼部门A所属网络地址是　（3）　，部门B所属网络地址是　（4）　。在主机D上使用命令Tracert DNSServer，显示结果如图17-11所示。

图17-11　显示结果

根据以上信息，完成主机D的Internet协议属性配置：

主机D的IP地址：　（5）　

主机D的子网掩码：　（6）　

域名服务器IP地址：　（7）　

主机D的默认网关：　（8）　

【问题2】（每空1分，共4分）

RouterA上的路由表如图17-12所示，请在（9）～（12）空白处填写恰当的内容。

图17-12　RowterA上的路由表信息

【问题3】（3分）

为了能够正常访问Internet，RouterB上配置默认路由的命令为：

例题分析

【问题1】

（1）显示路由表的命令是固定的show ip route，这里show简写为sh或sho也正确。

（2）从图17-10所示的show ip route的命令结果来看，例如第一行

最前面的R表示是由RIP协议生成的。

（3）根据图17-10所示的命令

可以知道fe1/0接口所属的网段为202.115.3.0/26。又由于A部门所在的交换机是上连到路由器B的fe1/0口的，所以部门A所属的网段为202.115.3.0/26。

同理：部门B所属网段为202.115.3.64/26。

Tracert命令验证通往远程主机路径的实用程序。

这是第一跳，说明主机D的默认网关为202.115.3.129。

这一步为追踪的最后一步，说明已经到达目的地，这说明域名服务器IP地址为202.115.0.2。

同时由于主机D属于部门C。

结合图17-10的路由表信息：

可以知道主机D所在网段为202.115.3.128/26，该网段地址为202.115.3.128～202.115.3.191，掩码为255.255.255.192。由于202.115.3.128为网络地址、202.115.3.129为网关地址、202.115.3.191为广播地址，因此可以用的IP地址为202.115.3.130～202.115.3.190。答案填写其中的任意一个IP地址均正确。

【问题2】

由于　（9）　 　（10）　is directly connected, FastEthernet0/0给出的是直连方式，因此（9）填写C。

根据题目可以知道Web服务器IP地址为202.115.0.10，又知道了DNS服务器IP地址为202.115.0.2，同时根据图17-12所示的

说明202.115.1.0/24、202.115.2.0/24不属于直连的网段，而且202.115.3.0/24也不是直连网段，只剩下202.115.0. 0/24一个网段。明显网络中心是直连到FastEthernet0/0端口上的，因此（12）填写202.115.0. 0/24。

由于　（11）　 　（12）　[120/1]via 192.168.2.254, 00:00:25, Serial1/0不为直连方式，因此（11）填写R，表明是RIP协议生成。

同时图17-15所示的

说明了202.115.1.0/24、202.115.2.0/24非直连网段都已经出现在配置文件中，只剩下一个非直连网段202.115.3.0/24未出现，而且我们知道这个网段需要经过网关和路由器A相连，因此（12）填写202.115.3.0/24。

【问题3】

根据图17-10所示的如下内容：

我们可以知道，路由器和外界通信需要经过192.168.2.1，由此可以判断192.168.2.1为通向外界的网关。因此，想让Router B上的主机访问Internet，就需要添加一条默认路由：ip route 0.0.0.0.0.0.0.0 192.168.2.1。

例题答案

【问题1】（每空1分，共8分）

（1）show ip route，其中show简写为sh或sho也正确

（2）RIP

（3）202.115.3.0/26

（4）202.115.3.64/26

（5）～（6）参考答案：

第一种解答：

（5）在202.115.3.130～202.115.3.190中任意一个IP地址均正确

（6）255.255.255.192

第二种解答：

（5）在202.115.3.130～202.115.3.254中任意一个IP地址均正确

（6）255.255.255.128

（7）202.115.0.2

（8）202.115.3.129

【问题2】（每空1分，共4分）

（9）C

（10）202.115.0.0/24

（11）R

（12）202.115.3.0/24

【问题3】（3分）

（13）ip route 0.0.0.0.0.0.0.0 192.168.2.1

例题8（2005年5月下午试题四）

阅读以下说明，回答问题1～7，将解答填入答题纸对应的解答栏内。

【说明】

图17-13所示为在网络中划分VLAN的连接示意图。VLAN可以不考虑用户的物理位置，而根据功能、应用等因素将用户从逻辑上划分为一个个功能相对独立的工作组，每个用户主机都连接在支持VLAN的交换机端口上，并属于某个VLAN。

图17-13　划分VLAN的连接示意图

【问题1】（2分）

同一个VLAN中的成员可以形成一个广播域，其可以实现何种功能？

【问题2】（2分）

在交换机中配置VLAN时，VLAN1是否需要通过命令创建？为什么？

【问题3】（3分）

创建一个名字v2的虚拟局域网的配置命令如下，请给出空白处的配置内容：

【问题4】（2分）

使Switch1的千兆端口允许所有VLAN通过的配置命令如下，请给出空白处的配置内容：

【问题5】（2分）

若交换机Switch1和Switch2没有千兆位端口，在图17-13中能否实现VLAN Trunk的功能？若能，如何实现？

【问题6】（2分）

将Switch1的端口6划入v2的配置命令如下，请给出空白处的配置内容：

【问题7】（2分）

若网络用户的物理位置需要经常移动，应采用什么方式来划分VLAN？

例题分析

交换环境中的两种link：

·Access link（接入）：对单个VLAN的成员（A member of only one vlan）。

·Trunk link（干道）：对多个VLAN进行中继。

采用基于MAC地址的方式划分VLAN；或基于网络层协议划分VLAN。

基于MAC地址划分VLAN，这种划分VLAN的方法是根据每个主机的MAC地址来划分的，即对每个MAC地址的主机都配置它属于哪个组。基于MAC地址划分（MAC Based VLAN）后，则无论某一台电脑从哪个交换机端口接入网络，均不会改变它所处的VLAN。

虚拟网划分的方法有很多种，有基于端口划分（Port Based VLAN）的，有基于协议划分（Protocal Based VLAN）的，也有基于MAC地址划分（MAC Based VLAN）的。

基于端口划分（Port Based VLAN）后，可以在固定的连接后，无论使用哪台设备接入，都属于同一个VLAN。

基于协议划分（Protocal Based VLAN）后，使用相同网络协议的设备，将处于同一个VLAN，例如办公用的电脑用TCP/IP，看股市行情的电脑使用IPX，它们将处于不同的网络。

基于MAC地址划分（MAC Based VLAN）后，则无论哪一台电脑从哪个交换机端口接入网络，均不会改变它所处的VLAN。

IEEE 802.1Q标准规定了基于端口的VLAN的划分和网络标签（Tag）的使用方法。通过对交换机间帧的传输加标签，可以使网络帧在不同的交换机之间传输，或者在同一条线路中传输属于多个VLAN的信号，而不改变它的VLAN的属性。

例题答案

【问题1】

隔离不同VLAN之间的广播风暴，从而提高网络通信效率；实现各个VLAN之间的逻辑隔离。（答隔离广播风暴或逻辑隔离都给2分）（2分）

【问题2】

不需要，VLAN1是默认VLAN，由系统自动创建。（2分）

【问题3】（3分）

（1）VLAN database	（进入VLAN配置模式）
（2）VLAN 2 name v2	（创建VLAN2并命名）
（3）exit	（完成或退出或end）

【问题4】（2分）

（4）switchport mode trunk

（5）switchport trunk encapsulation isl（或switchport trunk allowed vlan all）

【问题5】（2分）

若交换机Switch1和Switch2没有千兆位端口，在图17-13中可以实现VLAN Trunk的功能。在交换机Switch1和Switch2中各牺牲一个普通以太网端口（FastEthernet）并将其配置成Trunk模式。

【问题6】（2分）

（6）switchport mode access

（7）switchport access vlan 2

【问题7】（2分）

应采用基于MAC地址的方式划分VLAN，或基于网络层协议划分VLAN。

例题9（2005年5月下午试题五）

阅读以下说明，回答问题1～5，将解答填入答题纸对应的解答栏内。

【说明】

某局域网通过两个路由器划分为3个子网，其拓扑结构和地址分配如图17-14所示。

图17-14　局域网拓扑图

【问题1】（6分）

下面是路由器R1的配置命令列表，在空白处填写合适的命令／参数，实现R1的正确配置。

【问题2】（3分）

下面是路由器R2的配置命令列表，在空白处填写合适的命令参数，实现R2的正确配置。

【问题3】（2分）

在以上配置命令列表中，命令ip routing的作用是什么？

【问题4】（2分）

在以上配置命令列表中，命令ip classless的作用是什么？

【问题5】（2分）

在以上配置命令列表中，命令copy run start的作用是什么？

例题分析

路由器的配置是传统的考试项目。本次考试的题型也变成了填空，但是考查的项目是路由器配置的几个最基本的命令。设置接口IP地址的命令和设置静态路由的命令，实在是不能再简单的内容了，基本属于送分的。后面的3个问答都是对基本命令的解释，保留了以前考试的题型，如ip routing、copy run start等，只要接触过路由器或者接触过相关模拟软件的考生，得分甚至是得满分都是没有问题的。

静态路由的配置命令：ip route [dest-network] [mask] [next-hop address]，其中：

·ip route：创建静态路由。

·dest-network：目标网络地址。

·mask：掩码。

·next-hop address：下一跳地址。

在严格按照TCP/IP给IP地址分类的环境下，为了避免二义性，全0和全1网段都不让使用，这种环境我们叫做Classfull。在这种环境下，子网掩码只在所定义的路由器内有效，掩码信息到不了其他路由器。比如RIP-1，它在做路由广播时根本不带掩码信息，收到路由广播的路由器因为无从知道这个网络的掩码，只好照标准TCP/IP的定义赋予它一个掩码。比如，拿到10.×.×.×，就认为它是A类，掩码是255.0.0.0；拿到一个204.×.×.×，就认为它是C类，掩码是255.255.255.0。但在Classless的环境下，掩码任何时候都和IP地址成对地出现，这样，前面谈到的二义性就不会存在，是Classfull还是Classless则取决于你在路由器上运行的路由协议，一个路由器上可同时运行Classfull和Classless的路由协议。RIP是Classfull，它在做路由广播时不带掩码信息；OSPF、EIGRP、BGP4是Classless，它们在做路由广播时带掩码信息，可以同时运行在同一台路由器上。

例题答案

【问题1】

（1）interface e0

（2）192.168.2.1 255.255.255.0

（3）192.168.2.2

分析：

从（1）的上下文提示符进行判断，上文是全局模式，下文是接口配置模式，所以，（1）只可能是接口配置的命令。其他几个空均可以根据拓扑图得出。

【问题2】

（4）exit

（5）192.168.2.1

分析：

第（4）空从下一条的命令提示符即可判断，输入该命令后，即从接口配置方式退回到全局模式。

路由器2的下一跳地址即对端路由器1的串口地址。

【问题3】

配置路由时要先使用“ip routing”设置允许配置路由，若没有这一步，将导致配置的路由无效。

【问题4】

启用无类限制的IP协议或禁止路由协议使用类。

【问题5】

用“copy run start”命令将配置写入非易失性RAM（NVRAM）中，否则下次启动时配置参数将丢失。

例题10（2006年11月下午试题五）

阅读下面的说明，回答问题1～4，将解答填入答题纸对应的解答栏内。

【说明】

某企业园区网采用了三层架构，按照需求，在网络中需要设置VLAN、快速端口、链路捆绑、Internet接入等功能。该园区网内部分VLAN和IP地址如表17-4所示。

表17-4　园区网内部分VLAN和IP地址

【问题1】（3分）

某交换机的配置命令如下，根据命令后面的注释，填写（1）～（3）处的空缺内容，完成配置命令。

【问题2】（4分）

在核心交换机中设置了各个VLAN，在交换机Sw1中将端口1～20划归销售部，请完成以下配置。

【问题3】（4分）

1．在默认情况下，交换机刚加电启动时，每个端口都要经历生成树的4个阶段，它们分别是：阻塞、侦听、　（6）　、　（7）　。

2．根据需求，需要将Sw1交换机的端口1～20设置为快速端口，完成以下配置。

【问题4】（4分）

该网络的Internet的接入如图17-15所示。

图17-15　Internet的接入

根据图17-15，解释以下配置命令，填写空格（9）～（12）：

例题分析

本题中问题1、问题2均为交换机常见配置的考核，譬如，问题2几乎每年都要考到，因此，对于此类常见的知识，如交换机、路由器的基本配置等，考生务必要非常熟悉。

【问题1】

题目已经给出了命令的含义，只需根据题目的指示填写对应的命令即可。

（1）Cisco的交换机或者路由器，给主机进行命名都是采用hostname命令。

（2）设置交换机或路由器接口的IP地址，均采用ip address命令。

（3）本题考核默认网关的命令ip default-gateway。

该题没有任何技巧可言，考生唯一的方法就是熟悉命令。

【问题2】

端口一般工作在两种模式，访问access模式（或接入模式）和trunk模式，默认情况下为access模式。设置端口为不同模式的命令为：

【问题3】

（6）、（7）考核生成树的几个阶段。一般来说，每个端口都要经历生成树的4个阶段，它们分别是：阻塞、侦听、学习、转发。

（8）考核生成树命令，此命令第一次考到，有相关实践经验的考生，回答此题不难。

设置端口为快速端口，则在接口模式下使用命令spanning-tree portfast。

【问题4】

考核路由器的知识，考生要根据网络结构图来完成配置，不仅能够分析网络结构，同时还要知道相关命令。

（9）考核IP地址的设置。

（10）、（11）考核路由的配置。

（12）考核访问列表的配置。

例题答案

【问题1】

（1）hostname sw1

（2）Ip address 192.168.1.1 255.255.255.0

（3）Ip default-gateway 192.168.1.254

【问题2】

（4）switchport mode access

（5）switchport access vlan 10

【问题3】

（6）学习

（7）转发

（8）spanning-tree portfast

【问题4】

（9）设置串口的IP地址及子网掩码

（10）设置到Internet的默认路由

（11）设置到校园网内部的路由

（12）定义屏蔽远程登录协议telnet的规则

例题11（2007年5月下午试题五）

阅读以下说明，回答问题1～4，将解答填入答题纸对应的解答栏内。

【说明】

图17-16所示为VLAN配置的结构示意图。

图17-16　VLAN配置结构示意图

【问题1】（5分）

请阅读下列Switch A的配置信息，并在（1）～（5）处解释该语句的作用。

【问题2】（4分）

下面是交换机完成Trunk的部分配置，请根据题目要求，完成下列配置。

【问题3】（4分）

下面是交换机完成端口配置的过程，请根据题目要求，完成下列配置。

【问题4】（2分）

下面是基于端口权值的负载均衡配置过程。

1．不同Trunk上不同VLAN的权值不同，在默认情况下，其权值为　（10）　。

2．按照上述配置，VLAN20的数据通过Switch A的　（11）　口发送和接收数据。

例题分析

【问题1】～【问题3】

这里考查用交换机配置VLAN的一些常见命令，比较简单，具体过程请见参考答案。

【问题4】

当同一台交换机的两个口形成环路时，STP端口权值用来决定哪个口是enable的，哪个口是阻断的。可以通过配置端口权值来决定两对Trunk各走哪些VLAN，有较高权值的端口（数字较小的）VLAN，将处于转发状态，同一个VLAN在另一个Trunk有较低的权值（数字较大）则将处在阻断状态，即同一VLAN只在一个Trunk上发送接受。STP负载均衡配置：

端口权值：spanning-tree vlan-num port-priority value（默认端口权值为128）

例题答案

【问题1】

（1）修改主机名为SwitchA

（2）进入VLAN配置子模式

（3）设置本交换机为Server模式

（4）设置域名为vtpServer

（5）启用修剪功能

【问题2】

（6）mode trunk

（7）vlan all

【问题3】

（8）switchport mode access

（9）switchport access vlan 10

【问题4】

（10）128

（11）e0/3

例题12（2007年11月下午试题五）

阅读以下说明，回答问题1～3，将解答填入答题纸对应的解答栏内。

【说明】

如图17-17所示，某单位通过2Mb/s的DDN专线接入广域网，该单位内网共分为3个子网。服务器放置在子网192.168.5.0/24中，财务部工作站放置在子网192.168.10.0/24中，销售部工作站放置在子网192.168.50.0/24中。该单位申请的公网IP地址为61.246. 100.96/29。

图17-17　广域网

【问题1】（3分）

该单位的公网IP地址范围是　（1）　到　（2）　；其中该单位能够使用的有效公网地址有　（3）　个。

【问题2】（6分）

为保证路由器的安全，网络管理员做了如下设置，请阅读下列3段路由配置信息，并在（4）～（6）处填写该段语句的作用。

【问题3】（6分）

请参照图17-17，在路由器上完成销售部网段NAT的部分配置。

例题分析

【问题1】

单位申请的公网IP地址为61.246.100.96/29，则该网段的网络号为前29位，主机号为后3位，共可表示（2³）－2＝6个IP地址（除去了广播地址与网络地址），那么在该网段里的IP地址分别为：61.246.100.97、61.246.100.98、61.246.100.99、61.246.100.100、61.246.100.101、61.246.100.102 6个可用地址，除去ISP对端占用1个后，单位还剩5个可用。

【问题2】

以下命令均为路由器的安全配置命令，具体注释如下：

【问题3】

（7）处是配置销售部可用地址池的掩码，由于公网网段为61.246.100.96/29，因此，子网掩码可表示为：255.255.255.248。

Router(config)#access-list是定义访问控制列表，允许销售部（192.168.50.0）网段的所有主机通过。注意（9）处应该为掩码反码：0.0.0.255。

例题答案

【问题1】

（1）61.246.100.96（或61.124.100.96）

（2）61.246.100.103（或61.124.100.103）

（3）5

【问题2】

（4）路由器禁止HTTP服务

（5）配置路由读写团体字符串为admin

（6）设置ACL允许192.168.5.1访问CON0端口

【问题3】

（7）255.255.255.248

（8）192.168.50.0

（9）0.0.0.255

例题13（2008年5月下午试题一）

某单位有1个总部和6个分部，各个部门都有自己的局域网。该单位申请了6个C类IP地址202.115.10.0/24～202.115.15.0/24，其中总部与分部4共用一个C类地址。现计划将这些部门用路由器互连，网络拓扑结构如图17-18所示。

图17-18　网络拓扑结构图

【问题1】

该网络采用R1～R7共7台路由器，采用动态路由协议OSPF。由图17-18可知，该网络共划分了3个OSPF区域，其主干区域为　（1）　，在主干区域中，　（2）　为区域边界路由器，　（3）　为区域内路由器。

【问题2】

表17-5所示为该系统中路由器的IP地址分配表。

表17-5　路由器IP地址分配表

请根据图17-18完成以下R3路由器的配置：

【问题3】

该单位部门4共有110台PC，通过交换机连接路由器R5接入网络。其中一台PC IP地址为202.115.13.5，则其子网掩码应为　（11）　，网关地址应为　（12）　。

例题分析

【问题1】

OSPF协议采用了“区域—area”的设计，提高了网络可扩展性，并且加快了网络会聚时间。也就是将网络划分成许多较小的区域，每个区域定义一个独立的区域号并将此信息配置给网络中的每个路由器。从理论上说，通常不应该采用实际地域来划分区域，而是应该本着使不同区域间的通信量最小的原则进行合理分配。OSPF协议配置命令如下：

该命令指定与该路由器直接相连的网络。掩码反码可以用255.255.255.255减去掩码得到。区域号可以是数字，也可以是IP地址。ID为0表示是主干域，不同网络区域的路由器通过主干域路由。区域边界路由器（ABR）是位于一个或多个OSPF区域的一个路由器，其连接这个区域到骨干网络。ABRs被认为既是OSPF骨干区域也是内部区域的一部分，所以其既有骨干拓扑也有其他区域的拓扑路由表。在Area0区域中，可以明显地区分出，区域边界路由器为R3，区域内路由器为R1、R2。

【问题2】

本题考查是的为边界路由器R3端口配置IP地址即子网掩码。题中已指出，总部（使用E0端口与R3连接）与分部4（使用E0端口与R5连接）共用同一子网，因此它们两个使用的网段及掩码是完全相同的。根据表17-9中所示的R5的E0端口配置信息为：202.115.13.1/25，因此，R3的E0端口掩码配置为：255.255.255.128。

（5）空处，要求配置R3的S0的IP地址信息。已知R3的S0的对端是R2的S1端口，两者必须在同一网段，从表17-5中已知R2的S1端口IP为：10.0.2.1/24，因此，R3的S0的IP地址配置范围只能从10.0.2.2～10.0.2.254。（6）～（10）空可按上述方法进行推算。

【问题3】

前面提到过，分部4通过交换机接入，再通过R5的E0端口与路由器R5连接，从表17-9中可得知R5的E0端口IP为202.115.13.1，子网掩码为255.255.255.128，来作为该分部的网关。那么该分部PC的子网掩码应与其网关一致，为255.255.255.128，网关地址即E0（R5）地址：202.115.13.1。

例题答案

【问题1】

（1）Area 0

（2）R3

（3）R1和R2

【问题2】

（4）255.255.255.128

（5）10.0.2.2～10.0.2.254之间任意一个地址

（6）10.0.1.2～10.0.1.254之间任意一个地址

（7）10.0.8.2～10.0.8.254之间任意一个地址

（8）10.0.7.2～10.0.7.254之间任意一个地址

（9）10.0.4.2～10.0.4.254之间任意一个地址

（10）10.0.5.2～10.0.5.254之间任意一个地址

【问题3】

（11）255.255.255.128

（12）202.115.13.1

例题14（2008年5月下午试题五）

某公司租用了一段C类地址203.12.11.0/24～203.12.14.0/24，如图17-19所示。其网间地址是172.11.5.14/24，要求网内所有PC都能上网。

图17-19　网络拓扑结构图

【问题1】

接入层交换机Switch1的端口24为Trunk口，其余各口属于VLAN11，请解释下列命令并完成交换机的配置。

【问题2】

以下两个配置中错误的是　（6）　，原因是　（7）　。

【问题3】

Switch1的f0/24口接在Switch0的f0/2口上，请根据图17-19完成或解释以下Switch0的配置命令。

例题分析

【问题1】

本题考查的是交换机的常规配置，如工作模式转换、链路封装协议配置及VLAN的配置命令，具体的配置命令及其功能描述如下：

【问题2】

本题主要考查两种链路封装协议802.1q和ISL的区别。

在交换机的Trunk链路上，可以通过对数据帧附加VLAN信息，构建跨越多台交换机的VLAN。附加VLAN信息的方法最具代表性的有以下两种。

·ISL（Inter-Switch Link）：属于Cisco私有协议，只能在快速和千兆以太网连接中使用，ISL路由可以使用在Switch的端口、Router的接口和服务器接口卡中。Trunk采用ISL格式时，VLAN ID最大为1023。

·IEEE 802.1q：俗称dot1q，由IEEE创建，在Cisco和非Cisco设备之间不能使用ISL而必须使用802.1q。802.1q所附加的VLAN识别信息位于数据帧中的源MAC地址与类型字段之间。基于IEEE 802.1q附加的VLAN信息，就像在传递物品时附加的标签。IEEE 802.1Q VLAN最多可支持4096个VLAN组，并可跨交换机实现。

【问题3】

本题考查三层交换机虚拟子接口及其参数的配置、HSRP等知识。

HSRP在以太网上，两台或多台交换机之间实现备份，这些交换机称为一个备份组。它们协同工作，在局域网上的主机看来像一台虚拟交换机。在一个备份组内，只有一台交换机承担报文转发任务，这台交换机称为活动交换机，同时存在一个主备用交换机和任意个数的备用交换机。当活动交换机出现故障后，备份交换机能够自动接管它的报文转发工作，从而提供不中断的网络服务。HSRP允许两台或多台交换机使用一台虚拟交换机的MAC和IP地址。虚拟交换机并不实际存在，它只表示一组配置的相互之间备份的交换机。

具体命令及功能描述如下：

其中，优先级的取值范围为0～255（数值越大表明优先级越高），但是可配置的范围是1～254。优先级0为系统保留给特殊用途来使用，255则是系统保留给IP地址拥有者。默认情况下，优先级的取值为100。

例题答案

【问题1】

（1）设置端口为中继（或Trunk）模式

（2）设置Trunk采用802.1q格式（或dot1q）

（3）创建VLAN 11，并命名为lab01

（4）switchport mode access

（5）switchport access vlan11

【问题2】

（6）B

（7）Trunk采用ISL格式时，VLAN ID最大为1023

【问题3】

（8）vlan11

（9）开启端口

（10）设置优先级

（11）设置切换许可

例题15（2008年11月下午试题五）

阅读以下说明，回答问题1和问题2，将解答填入答题纸对应的解答栏内。

【说明】

某单位内部网络拓扑结构如图17-20所示，在该网络中采用RIP路由协议。

图17-20　网络拓扑结构图

【问题1】（每空1分，共5分）

1．路由器第一次设置时，必须通过Console口连接运行终端仿真软件的微机进行配置，此时终端仿真程序设置的波特率应为　（1）　b/s。

2．路由器有多种配置模式，请根据以下命令提示状态，判断路由器处于何种配置模式下。

【问题2】（每空1分，共10分）

以下是路由器R1的部分配置，请完成其配置，或解释配置命令的含义。

例题分析

【问题1】

这里使用终端仿真程序设置的波特率为9600b/s。

第二问属于实践性质的题目，主要考查对路由器配置界面的熟悉程度。

【问题2】

例题答案

【问题1】（5分）

（1）9600

（2）全局配置模式

（3）用户模式

（4）特权模式

（5）局部配置模式（接口配置模式、端口配置模式）

【问题2】（10分）

（6）192.168.1.1

（7）255.255.255.0

（8）no shutdown

（9）192.168.251.1

（10）255.255.255.0

（11）进入RIP配置模式

（12）network 192.168.1.0

（13）network 192.168.251.0

（14）network192.168.253.0

注：（12）、（13）、（14）答案可互换

（15）设置RIP协议版本2

例题16（2009年5月下午试题一）

阅读以下说明，回答问题1～4，将解答填入答题纸对应的解答栏内。

【说明】

某公司有1个总部和2个分部，各个部门都有自己的局域网。该公司申请了4个C类IP地址块202.114.10.0/24～202.114.13.0/24。公司各部门通过帧中继网络进行互连，网络拓扑结构如图17-21所示。

图17-21　网络拓扑结构图

【问题1】（4分）

请根据图17-21完成R0路由器的配置：

【问题2】（5分）

Switch0、Switch1、Switch2和Switch3均为二层交换机。总部拥有的IP地址块为202.114.12.0/24。Switch0的端口e0/24与路由器R2的端口e0/0相连，请根据图17-21完成路由器R2及Switch0的配置。

【问题3】（3分）

若主机A与Switch1的e0/2端口相连，请完成Switch1相应端口设置。

若主机A与主机D通信，请填写主机A与D之间的数据转发顺序。

主机A→　（10）　→主机D。

（10）备选答案

A．Switch1→Switch0→R2（s0/0）→Switch0→Switch2

B．Switch1→Switch0→R2（e0/0）→Switch0→Switch2

C．Switch1→Switch0→R2（e0/0）→R2（s0/0）→R2（e0/0）→Switch0→Switch2

D．Switch1→Switch0→Switch2

【问题4】（3分）

为了部门A中用户能够访问服务器Server1，请在R0上配置一条特定主机路由。

例题分析

【问题1】

本题考查的是帧中继网络的配置。帧中继是一种高性能的WAN接入技术，它运行在OSI参考模型中的物理层和数据链路层。它是一种数据包交换技术，是X.25的简化版本，比X.25具有更高的性能和更有效的传输效率。

（1）设置R0路由器s0/0端口的IP地址和掩码，从拓扑图中可以看到其地址为202.114.13.1/24，所以其子网掩码为255.255.255.0。

（2）该接口使用帧中继封装格式，命令为：R0(config)# encapsulation frame-relay。

【问题2】

本小题主要考查的是单臂路由的配置。两台属于不同VLAN的主机之间通信，则需要使用路由器为VLAN之间做路由。我们知道路由器实现路由功能通常是数据报从一个接口进来然后从另一个接口出来，现在路由器与交换机之间通过一条主干实现通信或数据转发，也就是说路由器仅用一个接口实现数据的进与出，因此我们形象地称它为单臂路由。单臂路由是解决VLAN间通信的一种廉价而实用的解决方案。

采用单臂路由，即在路由器上设置多个逻辑子接口，接口的数量根据VLAN数量来决定，每个子接口对应于一个VLAN。由于物理路由接口只有一个，各子接口的数据在物理链路上传递要进行标记封装。

从R2(config-subif)#ip address 202.114.12.1 255.255.255.192可以判断出fastethernet 0/0.1子接口属于VLAN 100，R2(config-subif)#ip address 202.114.12.65 255.255.255.192可以判断出fastethernet 0/0.2子接口属于VLAN 200，R2(config-subif)#ip address 202.114.12.129 255.255.255.192可以判断出fastethernet 0/0.3子接口属于VLAN 300，所以（3）处应该填写的是对应的VLAN号，答案为100，同理可得出（4）、（5）分别为200、300。

对于Switch0的配置，将f0/24端口配置为Trunk属性，命令应该为：Switch0(config-if)# switchport mode trunk。

Switch0(config-if)#switchport trunk encapsulation（7）指明封装的类型（干道标记技术），一般有802.1Q和ISL。其中802.1Q为IEEE置顶的干道标记标准，它会在数据帧准备通过干道时对数据帧的帧头进行编辑，在数据帧的头上放置单一的标识，以标识数据帧来自哪个VLAN。ISL封装技术是由Cisco公司开发的私有技术，它是在帧前面和后面添加封装信息，其中包含了VLAN ID。由路由器配置封装类型来看，（7）处应该填写dot1q。

【问题3】

问题3考查的是交换机的VLAN的配置。在端口配置模式下，将端口加入指定的VLAN，命令如下：

由单臂路由的配置可以看出，若主机A与主机D通信，主机A与D之间的数据转发顺序为：Switch1→Switch0→R2（e0/0）→Switch0→Switch2。

【问题4】

本题考查静态路由命令，也就是用户人为地指定对某一网络访问时所要经过的路径。其命令格式如下：

其中最关键的配置语句是：

ip-addr为IP地址，subnet-mask为子网掩码，gateway为网关。其中IP地址指的是目标网络的地址，而网关处的IP地址则说明了路由的下一站。

为了部门A中的用户能够访问服务器Server1，请在R0上配置一条特定主机路由。

其命令为：

例题答案

【问题1】

（1）255.255.255.0

（2）frame-relay

【问题2】

（3）100

（4）200

（5）300

（6）trunk

（7）dot1q

【问题3】

（8）switchport mode access

（9）switch access vlan 100

（10）B

【问题4】

（11）255.255.255.255

（12）202.114.13.2

例题17（2009年5月下午试题四）

阅读以下说明，回答问题1～4，将解答填入答题纸对应的解答栏内。

【说明】

某公司总部和分支机构的网络配置如图17-22所示。在路由器R1和R2上配置IPSec安全策略，实现分支机构和总部的安全通信。

图17-22　网络拓扑结构图

【问题1】（4分）

图17-23中（a）、（b）、（c）、（d）为不同类型IPSec数据包的示意图，其中　（1）　和　（2）　工作在隧道模式；　（3）　和　（4）　支持报文加密。

图17-23　不同类型IPSec数据包示意图

【问题2】（4分）

下面的命令在路由器R1中建立IKE策略，请补充完成命令或说明命令的含义。

【问题3】（4分）

R2与R1之间采用预共享密钥“12345678”建立IPSec安全关联，请完成下面的配置命令。

【问题4】（3分）

完成以下ACL配置，实现总部主机10.0.1.3和分支机构主机10.0.2.3的通信。

例题分析

【问题1】

IPSec有隧道和传送两种工作方式。在隧道方式中，用户的整个IP数据包被用来计算ESP头，且被加密，ESP头和加密用户数据被封装在一个新的IP数据包中；在传送方式中，只是传输层（如TCP、UDP、ICMP）数据被用来计算ESP头，ESP头和被加密的传输层数据被放置在原IP包头后面。当IPSec通信的一端为安全网关时，必须采用隧道方式。

IPSec使用两种协议来提供通信安全——身份验证报头（AH）和封装式安全措施负载（ESP）。

身份验证报头（AH）可对整个数据包（IP报头与数据包中的数据负载）提供身份验证、完整性与抗重播保护，但是它不提供保密性，即它不对数据进行加密。数据可以读取，但是禁止修改。

封装式安全措施负载（ESP）不仅为IP负载提供身份验证、完整性和抗重播保护，还提供机密性。传输模式中的ESP不对整个数据包进行签名，只对IP负载（而不对IP报头）进行保护。ESP可以独立使用，也可与AH组合使用。

【问题2】

VPN的基本配置：

配置信息描述：

一边服务器的网络子网为192.168.1.0/24，路由器为100.10.15.1；另一边的服务器为192.168.10.0/24，路由器为200.20.25.1。

主要步骤：

（1）确定一个预先共享的密钥（保密密码）（以下例子保密密码假设为testpwd）

（2）为SA协商过程配置IKE。

（3）配置IPSec。

1．配置IKE

【注释】policy 1表示策略1，假如想多配几个VPN，可以写成policy 2、policy 3…

【注释】group命令有两个参数值：1和2。参数值1表示密钥使用768位密钥，参数值2表示密钥使用1024位密钥，显然后一种密钥安全性高，但消耗更多的CPU时间。在通信比较少时，最好使用group 1长度的密钥。

【注释】告诉路由器要使用预先共享的密码。

【注释】对生成新SA的周期进行调整。这个值以秒为单位，默认值为86400（24小时）。值得注意的是，两端的路由器都要设置相同的SA周期，否则VPN在正常初始化之后，将会在较短的一个SA周期到达中断。

【注释】返回到全局设置模式确定要使用的预先共享密钥和指归VPN另一端路由器IP地址，即目的路由器IP地址。相应地，在另一端路由器配置也和以上命令类似，只不过把IP地址改成100.10.15.1。

2．配置IPSec

【注释】在这里使用的访问列表号不能与任何过滤访问列表相同，应该使用不同的访问列表号来标识VPN规则。

【注释】这里在两端路由器中唯一不同的参数是vpn1，这是为这种选项组合所定义的名称。在两端的路由器上，这个名称可以相同，也可以不同。以上命令是定义所使用的IPSec参数。为了加强安全性，要启动验证报头。由于两个网络都使用私有地址空间，需要通过隧道传输数据，因此还要使用安全封装协议。最后，还要定义DES作为保密密钥加密算法。

【注释】以上命令为定义生成新保密密钥的周期。如果攻击者破解了保密密钥，他就能够破解使用同一个密钥的所有通信。基于这个原因，需要设置一个较短的密钥更新周期。比如，每分钟生成一个新密钥。这个命令在VPN两端的路由器上必须匹配。参数shortsec是我们给这个配置定义的名称，稍后可以将它与路由器的外部接口建立关联。

【注释】这是标识对方路由器的合法IP地址。在远程路由器上也要输入类似命令，只是对方路由器地址应该是100.10.15.1。

【注释】这两个命令分别标识用于这个连接的传输设置和访问列表。

【注释】将刚才定义的密码图应用到路由器的外部接口。

最后一步保存运行配置，然后测试这个VPN的连接，并且确保通信是按照预期规划进行的。

【问题3】

参考本题问题1解释。

【问题4】

参考本题问题1解释。

例题答案

【问题1】

（1）（2）c、d（顺序可交换）

（3）（4）b、d（顺序可交换）

【问题2】

（5）加密算法为DES

（6）hash md5

（7）认证采用预共享密钥

（8）86400

【问题3】

（9）172.30.2.2

（10）172.30.1.2

【问题4】

（11）10.0.1.3

（12）10.0.2.3

（13）10.0.2.3

例题18（2009年5月下午试题五）

阅读以下说明，回答问题1～3，将解答填入答题纸对应的解答栏内。

【说明】

某单位采用双出口网络，其网络拓扑结构如图17-24所示。

图17-24　网络拓扑结构图

该单位根据实际需要，配置网络出口实现如下功能：

1．单位网内用户访问IP地址为158.124.0.0/15和158.153.208.0/20时，出口经ISP2。

2．单位网内用户访问其他IP地址时，出口经ISP1。

3．服务器通过ISP2线路为外部提供服务。

【问题1】（5分）

在该单位的三层交换机S1上，根据上述要求完成静态路由配置。

【问题2】（6分）

1．根据上述要求，在三层交换机S1上配置了两组ACL，请根据题目要求完成以下配置。

2．完成以下策略路由的配置。

【问题3】（4分）

以下是路由器R1的部分配置，请完成配置命令。

例题分析

【问题1】

所谓静态路由配置，也就是用户人为地指定对某一网络访问时所要经过的路径。其中最关键的配置语句是：

ip-addr为IP地址，subnet-mask为子网掩码，gateway为网关。其中IP地址指的是目标网络的地址，而网关处的IP地址则说明了路由的下一站。

默认路由是一种特殊的静态路由，指的是当路由表中与包的目的地址之间没有匹配的表项时路由器能够做出的选择。如果没有默认路由器，那么目的地址在路由表中没有匹配表项的包将被丢弃。默认路由会大大简化路由器的配置，减轻管理员的工作负担，提高网络性能。

【问题2】

访问控制列表用来限制使用者或设备，达到控制网络流量、解决拥塞、提高安全性等目的。在IP网络中，可以使用的访问列表有标准访问列表（值为1～99）、扩展访问列表（标号为100～199）两种。下面主要介绍标准访问列表。

功能说明：基于源IP地址来进行判定是否允许或拒绝数据包通过（或其他操作，例如在NAT中就是判断是否进行地址转换）。

命令格式：

命令解释：

·access-list：访问列表命令。

·access-list-number：访问列表号码，值为1～99。

·permit：允许。

·deny：拒绝。

·source：源IP地址。

·source-wildcard：源IP地址的通配符。

·any：任何地址，代表0.0.0.0～255.255.255.255。

通配符：source-wildcard省略时，则使用默认值0.0.0.0。它的作用与子网掩码是不相同的，当其取值为1时，代表该位不必强制匹配；当其取值为0时，代表必须匹配。

因此，如果source是203.66.47.0，source-wildcard是0.0.0.255，则说明只要前三组符合，最后一组可以不符合，即有一个C类的IP地址符合。

这个命令的实例如下：

策略路由是一种比基于目标网络进行路由更加灵活的数据包路由转发机制。应用了策略路由，路由器将通过路由图决定如何对需要路由的数据包进行处理。路由图决定了一个数据包的下一跳转发路由器，配置过程如下：

（1）使用route-map命令创建route map。

（2）使用match命令定义检查条件。

（3）使用set配置命令定义如果条件匹配后的行为。

【问题3】

ip nat inside：指定与内部网络相连的内部端口。

ip nat outside：指定与外部网络相连的外部端口。

例题答案

【问题1】

（1）0.0.0.0 0.0.0.0 10.10.10.1

（2）255.254.0.0

（3）10.10.20.1

（4）255.255.240.0

（5）10.10.20.1

【问题2】

（6）10.10.30.2

（7）0.1.255.255

（8）0.0.15.255

（9）match

（10）set

（11）10.10.20.1

【问题3】

（12）10.10.10.1

（13）255.255.255.0

（14）55.23.12.98

（15）255.255.255.252

例题19（2009年11月下午试题一）

阅读以下说明，回答问题1～3，将解答填入答题纸对应的解答栏内。

【说明】

某校园网中的无线网络拓扑结构如图17-25所示。

图17-25　无线网络拓扑结构图

该网络中无线网络的部分需求如下：

1．学校操场要求部署AP，该操场区域不能提供外接电源。

2．学校图书馆报告厅要求高带宽、多接入点。

3．无线网络接入要求有必要的安全性。

【问题1】（4分）

根据学校无线网络的需求和拓扑图可以判断，连接学校操场无线AP的是　（1）　交换机，它可以通过交换机的　（2）　口为AP提供直流电。

【问题2】（6分）

1．根据需求在图书馆报告厅安装无线AP。如果采用符合IEEE 802.11b规范的AP，理论上最高可以提供　（3）　Mb/s的传输速率；如果采用符合IEEE 802.11g规范的AP，理论上最高可以提供　（4）　Mb/s的传输速率。如果采用符合　（5）　规范的AP，由于将MIMO技术和　（6）　调制技术结合在一起，理论上最高可以提供600Mb/s的传输速率。

（5）备选答案

A．IEEE 802.11a

B．IEEE 802.11e

C．IEEE 802.11i

D．IEEE 802.11n

（6）备选答案

A．BFSK

B．QAM

C．OFDM

D．MFSK

2．图书馆报告厅需要部署10台无线AP，在配置过程中发现信号相互干扰严重，这时应调整无线AP的　（7）　设置，用户在该报告厅内应选择　（8）　，接入不同的无线AP。

（7）～（8）备选答案

A．频道

B．功率

C．加密模式

D．操作模式

E．SSID

【问题3】（5分）

若在学校内一个专项实验室配置无线AP，为了保证只允许实验室的PC接入该无线AP，可以在该无线AP上设置不广播　（9）　，对客户端的　（10）　地址进行过滤，同时为保证安全性，应采用加密措施。无线网络加密主要有3种方式：　（11）　、WPA/WPA2、WPA-PSK/WPA2-PSK。在这3种模式中，安全性最好的是　（12）　，其加密过程采用了TKIP和　（13）　算法。

（13）备选答案

A．AES

B．DES

C．IDEA

D．RSA

例题分析

【问题1】

本问题考查POE知识。根据题目要求，学校操场要求部署AP，该操场区域不能提供外接电源，所以应采用POE技术供电。

POE（Power Over Ethernet）指的是在现有的以太网Cat.5布线基础架构不做任何改动的情况下，在为一些基于IP的终端（如IP电话机、无线局域网接入点AP、网络摄像机等）传输数据信号的同时，还能为此类设备提供直流供电的技术。POE技术能在确保现有结构化布线安全的同时实现现有网络的正常运作，最大限度地降低成本。

POE也被称为基于局域网的供电系统（Power Over LAN，POL）或有源以太网（Active Ethernet），有时也被简称为以太网供电，这是利用现存标准以太网传输电缆的同时传送数据和电功率的最新标准规范，并保持了与现存以太网系统和用户的兼容性。IEEE 802.3af标准是基于以太网供电系统POE的新标准，它在IEEE 802.3的基础上增加了通过网线直接供电的相关标准，是现有以太网标准的扩展，也是第一个关于电源分配的国际标准。

【问题2】

本问题考查802.11的标准规范问题。

802.11是IEEE最初制定的一个无线局域网标准，主要用于解决办公室局域网和校园网中用户与用户终端的无线接入，业务主要限于数据存取，速率最高只能达到2Mb/s。由于它在速率和传输距离上都不能满足人们的需要，因此IEEE小组又相继推出了新标准，主要如下：

IEEE 802.11a（Wi-Fi5）标准是得到广泛应用的802.11b标准的后续标准，工作在5GHzU-NⅡ频带，物理层速率可达54Mb/s，传输层可达25Mb/s；可提供25Mb/s的无线ATM接口和10Mb/s的以太网无线帧结构接口，以及TDD/TDMA的空中接口；支持语音、数据、图像业务；一个扇区可接入多个用户，每个用户可带多个用户终端。

IEEE 802.11b是无线局域网的一个标准。其载波的频率为2.4GHz，传送速度为11Mb/s。IEEE 802.11b在2.4-GHz-ISM频段共有14个频宽为22MHz的频道可供使用。IEEE 802.11b的后继标准是IEEE 802.11g，其传送速度为54Mb/s。

IEEE 802.11n是2004年1月IEEE宣布组成的一个新的单位来发展新的802.11标准。它增加了MIMO（Multiple-Input Multiple-Output）的标准。利用MIMO使用多个发射和接收天线来允许更高的资料传输率。IEEE 802.11n将MIMO技术与OFDM调制技术结合在一起，理论上最高可以提供600Mb/s的传输速率。

无线AP一般在某个频段工作。当在某个区域有多个无线AP，且使用同一频道时，可能出现信号相互干扰严重的问题。在某个频段下，实际有多个频道，可以通过手动方式修改无线AP所使用的频道，或在无线AP上安装一个5GHz的组件。5GHz可以使用的频段有23个，且几乎没有其他人在使用，这样可以解决信号相互干扰的问题。另外，在无线AP中，SSID（Service Set Identifier）用来区分不同的网络，最多可以有32个字符，无线网卡设置不同的SSID就可以进入不同的网络。SSID通常由AP广播出来，用户选择不同的SSID，接入不同的无线AP。

【问题3】

本问题考查配置无线AP安全的问题。

解决无线AP安全，首先要通过SSID和MAC地址过滤防止非法链接。

SSID用来区分无线访问节点所使用的初始化字符串，客户端要通过SSID来完成链接的初始化。该校验器由制造商进行设定，同一厂商产品使用同样的默认值。如果使用厂家的初始化字符串，那么就可能被非授权链接。因此，在配置无线网络时，应更改SSID初始化字符串，使其难于猜测，并在条件许可的情况下限制SSID广播，以此来杜绝非法链接。

在无线AP中，可以设置MAC地址过滤，这样只用指定的MAC地址才能登录无线AP，从而杜绝非法链接。

为保证无线网络的安全性，还应采用加密措施。无线网络加密主要有3种方式：WEP、WPA/WPA2和WPA-PSK/WPA2-PSK。

无线网络最初采用的安全机制是WEP（有线等效私密），但是后来发现WEP是很不安全的，802.11组织开始着手制定新的安全标准，也就是后来的802.11i协议。但是标准的制定到最后的发布需要较长的时间，而且考虑到消费者不会为了网络的安全性而放弃原来的无线设备，因此Wi-Fi联盟在标准推出之前，在802.11i草案的基础上制定了一种称为WPA（Wi-Fi Protected Access）的安全机制，它使用TKIP（临时密钥完整性协议），使用的加密算法还是WEP中使用的加密算法RC4，所以不需要修改原来无线设备的硬件。WPA针对WEP中存在的问题：IV过短、密钥管理过于简单、对消息完整性没有有效的保护，通过软件升级的方法提高了网络的安全性。

在802.11i颁布之后，Wi-Fi联盟推出了WPA-PSK/WPA2-PSK，它支持AES（高级加密算法），因此需要新的硬件支持，使用CCMP（计数器模式密码块链消息完整码协议），其安全性最好。

例题答案

【问题1】

（1）PoE（或答802.3af也给全分）

（2）以太（或Ethernet）

【问题2】

（3）11

（4）54

（5）D

（6）C

（7）A

（8）E

【问题3】

（9）SSID

（10）MAC（或物理地址）

（11）WEP（或有线等效加密）

（12）WPA-PSK/WPA2-PSK

（13）A

例题20（2009年11月下午试题四）

阅读以下说明，回答问题1～4，将解答填入答题纸对应的解答栏内。

【说明】

某公司通过PIX防火墙接入Internet，网络拓扑结构如图17-26所示。

图17-26　网络拓扑结构图

在防火墙上利用show命令查询当前配置信息如下：

【问题1】（4分）

解释（1）、（2）处画线语句的含义。

【问题2】（6分）

根据配置信息，填写表17-6。

表17-6　填写表格

【问题3】（2分）

根据所显示的配置信息，由inside域发往Internet的IP分组，在到达路由器R1时的源IP地址是　（7）　。

【问题4】（3分）

如果需要在dmz域的服务器（IP地址为10.10.0.100）对Internet用户提供Web服务（对外公开IP地址为61.144.51.43），请补充完成下列配置命令。

PIX(config)#static(dmz, outside)　（8）　 　（9）　

PIX(config)#conduit permit tcp host 　（10）　 eq www any

例题分析

该试题考查PIX防火墙的配置。

【问题1】～【问题3】

使用show config命令得到的配置信息解释如下：

【问题4】

static命令的语法如下：

根据static命令的语法，空（8）应该填对outside公开的IP地址61.144.51.43，空（9）应该填dmz域服务器的IP地址10.10.0.100。

conduit命令用来设置允许数据从低安全级别的接口流向具有较高安全级别的接口。conduit命令的语法如下：

根据conduit命令的语法，空（10）应该填Web服务对外公开的IP地址61.144.51.43。

例题答案

【问题1】

（1）启用FTP服务

（2）设置eth0口的默认路由，指向61.144.51.45，且跳步数为1

【问题2】

（3）192.168.0.1

（4）255.255.255.248

（5）eth2

（6）10.10.0.1

【问题3】

（7）61.144.51.46

【问题4】

（8）61.144.51.43

（9）10.10.0.100

（10）61.144.51.43

例题21（2009年11月下午试题五）

阅读以下说明，回答问题1～3，将解答填入答题纸对应的解答栏内。

【说明】

某单位网络拓扑结构如图17-27所示，要求配置IPsec VPN，使10.10.20.1/24网段能够连通10.10.10.2/24网段，但10.10.30.1/24网段不能连通10.10.10.2/24网段。

图17-27　网络拓扑结构图

【问题1】（4分）

根据网络拓扑和要求，解释并完成路由器R1上的部分配置。

【问题2】（4分）

根据网络拓扑和要求，完成路由器R2上的静态路由配置。

【问题3】（空（9）1分，其他2分，共7分）

根据网络拓扑和R1的配置，解释并完成路由器R3的部分配置。

例题分析

【问题1】

【问题2】

【问题3】

根据R1配置和拓扑结构可知，R3路由器配置IPSec VPN对端连接地址192.168.1.1，其预共享密钥为378。

…

例题答案

【问题1】

（1）Policy

（2）在IKE协商过程中使用预共享密钥认证方式

（3）10.10.20.0

（4）10.10.10.0

【问题2】

（5）10.10.20.0

（6）192.168.1.1

【问题3】

（7）378

（8）192.168.1.1

（9）设置名为testvpn的VPN，采用MD5认证、DES进行数据加密

（10）testvpn

例题22（2010年5月下午试题一）

阅读以下说明，回答问题1～4，将解答填入答题纸对应的解答栏内。

【说明】

某校园网拓扑结构如图17-28所示。

图17-28　网络拓扑结构图

该网络中的部分需求如下：

1．信息中心距图书馆2km，距教学楼300m，距实验楼200m。

2．图书馆的汇聚交换机置于图书馆主机房内，楼层设备间共2个，分别位于二层和四层，距图书馆主机房距离均大于200m。其中，二层设备间负责一、二层的计算机接入，四层设备间负责三、四、五层的计算机接入，各层信息点数如表17-7所示。

表17-7　各层信息点数

3．所有计算机采用静态IP地址。

4．学校网络要求千兆干线，百兆到桌面。

5．信息中心有两条百兆出口线路，在防火墙上根据外网IP设置出口策略，分别从两个出口访问Internet。

6．信息中心共有多台服务器，通过交换机接入防火墙。

7．信息中心提供的信息服务包括Web、FTP、数据库、流媒体等，数据流量较大，要求千兆接入。

【问题1】（4分）

根据网络的需求和拓扑图，在满足网络功能的前提下，本着最节约成本的布线方式，传输介质1应采用　（1）　，传输介质2应采用　（2）　，传输介质3应采用　（3）　，传输介质4应采用　（4）　。

（1）～（4）备选答案：

A．单模光纤

B．多模光纤

C．基带同轴电缆

D．宽带同轴电缆

E．1类双绞线

F．5类双绞线

【问题2】（6分）

学校根据网络需求选择了4种类型的交换机，其基本参数如表17-8所示。

表17-8　交换机基本参数

根据网络需求、拓扑图和交换机参数类型，在图17-28中，Switch 1应采用　（5）　类型交换机，Switch 2应采用　（6）　类型交换机，Switch 3应采用　（7）　类型交换机，Switch 4应采用　（8）　类型交换机。

根据需求描述和所选交换机类型，图书馆二层设备间最少需要交换机　（9）　台，图书馆四层设备间最少需要交换机　（10）　台。

【问题3】（3分）

该网络采用核心层、汇聚层、接入层的三层架构。根据层次化网络设计的原则，数据包过滤、协议转换应在　（11）　层完成；　（12）　层提供高速骨干线路；MAC层过滤和IP地址绑定在　（13）　层完成。

【问题4】（2分）

根据该网络的需求，防火墙至少需要　（14）　个百兆接口和　（15）　个千兆接口。

例题分析

【问题1】

要解决问题1就要了解各类传输介质的传输特性，具体到本题就要熟悉单模光纤、多模光纤、基带同轴电缆、宽带同轴电缆、1类双绞线、5类双绞线的传输速率、传输长度。同时，要细致审题，因为题目给出了一个前提，即“在满足网络功能的前提下，本着最节约成本的布线方式”，因此既要考虑满足功能，又要考虑经济效益。

由于信息中心距图书馆2km，超出了双绞线、多模光纤的有效传输距离，并且选项中的单模光纤传输距离是最长的，因此（1）选A；图书馆的汇聚交换机置于图书馆主机房内，楼层设备间距图书馆主机房距离均大于200m，故不能选双绞线，且多模光纤比单模光纤便宜，因此（2）选B；PC到交换机，目前5类和超5类双绞线使用得最多，因此（3）选F；信息中心距实验楼200m，因此（4）选B。

【问题2】

解决本题，需要了解交换机的几个相关参数。

1．背板带宽

背板带宽是交换机接口处理器或接口卡和数据总线间所能吞吐的最大数据量。背板带宽标志着交换机总的数据交换能力，也叫交换带宽，一般的交换机的背板带宽从几Gb/s到上千Gb/s不等。一台交换机的背板带宽越高，所能处理数据的能力就越强，但同时设计成本也会越高。

一般的公式为：背板带宽＝端口数×相应端口速率×2（全双工模式）。如果总带宽≤标称背板带宽，那么在背板带宽上是线速的。

2．包转发率

包转发率标志着交换机转发数据包能力的大小，单位一般为pps（包每秒）。

计算公式如下：

包转发率＝万兆端口数量×14.88Mpps＋千兆端口数量×1.488Mpps＋百兆端口数量×0.1488Mpps＋其余类型端口数×相应计算方法。如果总速率能≤标称的包转发速率，那么交换机在做第二层交换的时候可以做到线速。

这里以千兆包转发线速为例，解释1.488Mpps的由来。由于包转发线速的衡量标准是以单位时间内发送64Byte的数据包（最小包）的个数作为计算基准的，对于千兆以太网来说，计算方法如下：

1 000 000 000b/s/8bit/（64＋8＋12）Byte＝1 488 095pps

说明：当以太网帧为64Byte时，需考虑8Byte的帧头和12Byte的帧间隙的固定开销，故一个线速的千兆以太网端口在转发64Byte包时的包转发率为1.488Mpps。

快速以太网的线速端口包转发率正好为千兆以太网的十分之一，为148.8Kpps。万兆以太网，一个线速端口的包转发率为14.88Mpps。千兆以太网，一个线速端口的包转发率为1.488Mpps。

本题Switch 1需要接入各子单位的千兆网络，需要处理大量数据，因此数据转发量很大，因此选择背板带宽＝1.8T的交换机C；Switch 2属于汇聚层交换机，对背板带宽、包转发率要求交高，因此选择交换机B；Switch 3属于接入层交换机，直接接PC，对百兆接口需求量大，因此选择交换机D；Switch 4接多台服务器，由于题目给出的服务器流量较大，因此推断服务器均使用千兆的RJ45接口的网卡，因此选择交换机A。

【问题3】

根据层次化网络设计的原则，数据包过滤、协议转换应在汇聚层完成；核心层提供高速骨干线路；MAC层过滤和IP地址绑定在接入层完成。

【问题4】

试题的拓扑图中，没有明确防火墙的具体位置，但实际上黑框代表的即为防火墙，接两个路由器通向不同的出口。信息中心有两条百兆出口线路，因此防火墙需要两个百兆接口。信息中心共有多台服务器，通过交换机接入防火墙，同时其他单位通过一个千兆口接入防火墙，因此防火墙需要两个千兆接口。

例题答案

【问题1】

（1）A

（2）B

（3）F

（4）B

【问题2】

（5）C

（6）B

（7）D

（8）A

（9）2

（10）4

【问题3】

（11）汇聚层

（12）核心层

（13）接入层

【问题4】

（14）2

（15）2

例题23（2010年5月下午试题五）

阅读以下说明，回答问题1～4，将解答填入答题纸对应的解答栏内。

【说明】

某单位网络内部部署有IPv4主机和IPv6主机，该单位计划采用ISATAP隧道技术实现两类主机的通信，其网络拓扑结构如图17-29所示。路由器R1、R2、R3通过串口经IPv4网络连接，路由器R1连接IPv4网段，路由器R3连接IPv6网段。通过ISATAP隧道将IPv6的数据包封装到IPv4的数据包中，实现PC1和PC2的数据传输。

图17-29　网络拓扑结构图

【问题1】（2分）

双栈主机使用ISATAP隧道时，IPv6报文的目的地址和隧道接口的IPv6地址都要采用特殊的ISATAP地址。在ISATAP地址中，前64位是向ISATAP路由器发送请求得到的，后64位由两部分构成，其中前32位是　（1）　，后32位是　（2）　。

（1）备选答案：

A．0:5EFE

B．5EFE:0

C．FFFF:FFFF

D．0:0

（2）备选答案：

A．IPv4广播地址

B．IPv4组播地址

C．IPv4单播地址

【问题2】（6分）

根据网络拓扑和需求说明，完成路由器R1的配置。

【问题3】（6分）

根据网络拓扑和需求说明，解释路由器R3的ISATAP隧道配置。

【问题4】（1分）

实现ISATAP，需要在PC1进行配置，请完成下面的命令。

例题分析

【问题1】

域内自动隧道配址协议（Intra-Site Automatic Tunnel Addressing Protocol，ISATAP）顾名思义，指的是某个IPv4域内的双栈主机相互之间可通过该隧道进行通信。

它将IPv4地址夹入IPv6地址中，当两台ISATAP主机通信时，可自动抽取出IPv4地址建立Tunnel即可通信，且并不需透过其他特殊网络设备，只要彼此间IPv4网络通畅即可。

双栈主机支持ISATAP后会自动在该隧道接口上生成IPv6地址，格式为：本地链路的前缀（fe80：：开头）+64位的接口标识符：：0：5EFE：×.×.×.×（这里的×.×.×.×是双栈主机的IPv4单播地址），之后就可以和同一子网内其他ISATAP客户机进行IPv6通信了；如果需要和其他网络的ISATAP客户机或者IPv6网络通信，必须通过ISATAP路由器拿到全球单播地址前缀（2001：、2002：、3ffe：开头），通过路由器与其他IPv6主机和网络通信。

ISATAP过渡技术不要求隧道端节点必须具有全球唯一的IPv4地址，只要双栈主机具有IPv4单播地址即可，不管该地址是公有的还是私有的。

【问题2】

这部分是看图填空题，由于R1的S0端口地址表示为192.1.1.1/24，因此（3）应填192.1.1.1；由于R1的E0端口地址表示为192.0.0.1/24，因此（4）应填192.0.0.1。

语句R1(config)#router ospf 1表示在R1上启动OSPF协议。

这里主要考查OSPF的network命令，network命令格式如下：

其中，no network命令取消网络范围，mask应该为反掩码，area_id为区域号。

由于S0和R0的掩码为255.255.255.0，因此反掩码均为0.0.0.255。

【问题3】

目前全国各著名高校都参与了CNGI工程二期建设，大部分学校均使用了ISATAP建网模式，影响特别大，因此，考题具有一定的实时性和代表性。

【问题4】

客户端则可以使用netsh进行配置。

本题的地址为192.2.2.1。上述命令可以合并为一条命令：netsh interface ipv6 isatap set router。

例题答案

【问题1】

（1）A

（2）C

【问题2】

（3）192.1.1.1

（4）192.0.0.1

（5）0.0.0.255

（6）0.0.0.255

【问题3】

（7）启用tunnel 0

（8）指定tunnel的源地址为s0

（9）tunnel的模式为ISATAP隧道

【问题4】

（10）192.2.2.1

例题24（2010年11月下午试题五）

阅读以下说明，回答问题1～4，将解答填入答题纸对应的解答栏内。

【说明】

某单位的两个分支机构各有1台采用IPv6的主机，计划采用IPv6-over-IPv4 GRE隧道技术实现两个分支机构的IPv6主机通信，其网络拓扑结构如图17-30所示。

图17-30　网络拓扑结构图

【问题1】（2分）

使用IPv6-over-IPv4 GRE隧道技术，可在IPv4的GRE隧道上承载IPv6数据报文。此时　（1）　作为乘客协议，　（2）　作为承载协议。

【问题2】（6分）

根据网络拓扑和需求说明，完成（或解释）路由器R1的配置。

【问题3】（6分）

根据网络拓扑和需求说明，解释路由器R2的GRE隧道配置。

【问题4】（1分）

IPv6主机PC1的IP地址为2000:2fcc::2/64，在这种配置环境下，其网关地址应为　（12）　。

例题分析

【问题1】

本问题考查IPv6-over-IPv4 GRE隧道的基本概念。

IPv6-over-IPv4隧道是将IPv6报文封装在IPv4报文中，让IPv6数据包穿过IPv4网络进行通信。对于采用隧道技术的设备来说，在隧道的入口处，将IPv6的数据报封装进IPv4，IPv4报文的源地址和目的地址分别是隧道入口和隧道出口的IPv4地址；在隧道的出口处，再将IPv6报文取出转发到目的节点。隧道技术只要求在隧道的入口和出口处进行修改，对其他部分没有要求，容易实现。但是，隧道技术不能实现IPv4主机与IPv6主机的直接通信。

使用标准的GRE隧道技术，可在IPv4的GRE隧道上承载IPv6数据报文。GRE隧道是两点之间的链路，每条链路都是一条单独的隧道。GRE隧道把IPv6作为乘客协议，将GRE作为承载协议。所配置的IPv6地址是在Tunnel接口上配置的，而所配置的IPv4地址是Tunnel的源地址和目的地址（隧道的起点和终点）。

【问题2】

本问题考查路由器接口地址的基本配置操作。根据题目拓扑结构图可知，路由器R1的S0口地址为200.100.1.1/24，E0口地址为2000:2fcc::1/64，所以配置命令如下：

【问题3】

本问题考查GRE隧道基本配置操作。根据网络拓扑和需求说明，路由器R2的GRE隧道配置如下：

【问题4】

本问题考查使用IPv6-over-IPv4 GRE隧道时，使用IPv6的PC上的基本配置操作。

IPv6主机PC1的IP地址为2000:2fcc::2/64，根据网络拓扑图可知，其网关地址应为路由器R1的E0口地址2000:2fcc::1/64。

例题答案

【问题1】

（1）IPv6

（2）IPv4 GRE

【问题2】

（3）开启IPv6单播路由

（4）ip

（5）200.100.1.1

（6）255.255.255.0

（7）IPv6

（8）2000:2fcc::1/64

【问题3】

（9）指定隧道（tunnel）的源为S0

（10）指定隧道（tunnel）的目标地址

（11）tunnel模式为IPv6的GRE隧道

【问题4】

（12）2000:2fcc::1/64

例题25（2011年5月下午试题一）

阅读以下说明，回答问题1～3，将解答填入答题纸对应的解答栏内。

【说明】

某企业欲构建局域网，考虑到企业的很多业务依托于网络，要求企业内部用户能够高速地访问企业服务器，并且对网络的可靠性要求很高。因此，在网络的设计中，要考虑网络的冗余性，不能因为单点故障引起整个网络的瘫痪。

某网络公司根据企业需求，将网络拓扑结构设计为双核心来进行负载均衡和容错。该公司给出的网络拓扑结构如图17-31所示。

图17-31　网络拓扑结构图

【问题1】（6分）

在该网络拓扑图中，请根据用户需求和设计要求，指出至少3个不合理之处，并简要说明理由。

【问题2】（5分）

该企业有分支机构地处其他省市，计划采用MPLS VPN进行网络互连，请根据MPLS VPN的技术原理回答以下问题：

1．MPLS技术主要是为了提高路由器转发速率而提出的，其核心思想是利用标签交换取代复杂的路由运算和路由交换；该技术实现的核心就把　（1）　封装在　（2）　数据包中。

（1）、（2）备选答案：

A．IP数据报

B．MPLS

C．TCP

D．GRE

2．MPLS VPN承载平台由PE路由器、CE路由器和P路由器组成，其中　（3）　是MPLS核心网中的路由器，这种路由器只负责依据MPLS标签完成数据包的高速转发；　（4）　是MPLS边缘路由器，负责待传送数据包的MPLS标签的生成和弹出，还负责发起根据路由建立交换标签的动作；　（5）　是直接与电信运营商相连的用户端路由器，该设备上不存在任何带有标签的数据包。

【问题3】（4分）

企业网络运行过程中会碰到各种故障。一方面，管理人员可以利用网络设备及系统提供的集成命令对网络进行故障排除，例如利用　（6）　命令可查看系统的安装情况与网络的正常运行状况。另一方面，利用专用故障排除工具可以快速地定位故障点，例如利用　（7）　可以精确地测量光纤的长度、定位光纤的断点。

（6）备选答案：

A．ping

B．debug

C．show

D．tracert

（7）备选答案：

A．数字万用表

B．时域反射计

C．光时域反射计

D．网络分析仪

例题分析

【问题1】

作为一个成熟稳健的网络，绝不能频繁地出现故障。只要网络出现故障，即使是很短时间内的网络故障，也会影响业务的运行。对于网络的重要部分或设备，应在网络设计上考虑冗余和备份，减少单点故障对整个网络的影响。在考虑设备选型和网络设计时也应该充分考虑到核心设备、关键性设备、电源、引擎、链路等方面的冗余性。

针对本题给出的拓扑结构，建议从以下几个方面来考虑：

·双核心层建议采用冗余设备的组网方案，所有骨干设备均采用双线路连接到核心设备上。

·汇聚层也建议采用冗余设备连接到核心设备；汇聚层设备之间通过接口互连，任何一台设备故障或物理链路中断均可自动切换。

·核心层位于顶层，主要负责可靠和迅速地传输大量的数据流。用户的数据是在分配层进行处理的，如果需要的话，分配层会将请求发送到核心层。如果这一层出现了故障，将会影响到每一个用户，所以容错也比较重要。所以在这一层不要做任何影响通信流量的事情，例如如访问表、VLAN和包过滤等，也不要在这一层接入工作组。

·一般情况下，网络中心被认为是核心层交换机的最佳所在地，而供全企业使用的服务器也将连接到核心层交换机上，充分利用核心层交换机的路由、控制和安全的功能，达到服务器资源的有效利用。

【问题2】

MPLS技术主要是为了提高路由器转发速率而提出的，其核心思想是利用标签交换取代复杂的路由运算和路由交换；该技术实现的核心就把IP数据报封装在MPLS数据包中。

MPLS VPN有3种类型的路由器：CE路由器、PE路由器和P路由器。P路由器是运营商网络主干路由器，也就是MPLS网络中的标签交换路由器（LSR），它根据分组的外层标签对VPN数据进行透明转发。P路由器只维护到PE路由器的路由信息，而不维护VPN相关的路由信息，它相当于标签交换路由器。

PE路由器是运营商边缘路由器，也就是MPLS网络中的标签边缘路由器（LER），它根据存放的路由信息将来自CE路由器或标签交换路径（LSP）的VPN数据处理后进行转发，同时负责和其他PE路由器交换路由信息。

CE路由器是用户边缘设备，服务提供商所连接的用户端路由器。CE路由器通过连接一个或多个PE路由器，为用户提供服务接入。

【问题3】

show命令可查看系统的安装情况与网络的正常运行状况。

Ping命令确定网络连通。

tracert命令跟踪路由器包传输。

debug命令能够提供端口传输信息、节点产生的错误消息。

光时域反射是根据光的后向散射与菲涅耳反向原理制作，利用光在光纤中传播时产生的后向散射光来获取衰减的信息，可用于测量光纤衰减、接头损耗、光纤故障点定位及了解光纤沿长度的损耗分布情况等，是光缆施工、维护及监测中必不可少的工具。

例题答案

【问题1】

（1）所有汇聚交换机应该分别链路连接到两个核心交换机，形成链路冗余，保证网络的可靠性。

（2）两个核心交换机都应直接上连到路由器上，保证网络的可靠性。

（3）企业服务器应该连接到核心交换机，保证高速访问。

（4）桌面用户不应直接接入到核心交换机上，影响核心交换机性能。

（答出其中一条给2分，答出3条给满分）

【问题2】

（1）A

（2）B

（3）P路由器

（4）PE路由器

（5）CE路由器

【问题3】

（6）C

（7）C

例题26（2011年5月下午试题五）

阅读以下说明，回答问题1～3，将解答填入答题纸对应的解答栏内。

【说明】

某单位网络的拓扑结构示意图如图17-32所示。该网络采用RIP协议，要求在R2上使用访问控制列表禁止网络192.168.20.0/24上的主机访问网络192.168.10.0/24，在R3上使用访问控制列表禁止网络192.168.20.0/24上的主机访问10.10.10.0/24上的Web服务，但允许其访问其他服务器。

图17-32　网络拓扑结构图

【问题1】（8分）

下面是路由器Rl的部分配置，请根据题目要求，完成下列配置。

【问题2】（3分）

下面是路由器R2的部分配置，请根据题目要求，完成下列配置。

【问题3】（4分）

1．下面是路由器R3的部分配置，请根据题目要求，完成下列配置。

2．上述两条语句次序是否可以调整？简要说明理由。

例题分析

【问题1】

本题考查的是路由器的基本配置：

RIP路由配置常用命令如表17-9所示。

表17-9　RIP路由器配置常用命令

【问题2】

本题考查的是标准访问控制列表配置问题，其中根据题意access-list 50 deny 192.168.20.0 0.0.0.255，表示拒绝源地址为192.168.20.0/24的流量通过。R2(config)#interface e0表示应用在e0口上；R2(config-if)# ip access-group 50 out，数据从某个接口进来相对于路由器就是in，然后从某个接口转发出去相对于路由器就是out，因此这里是out。

【问题3】

R3上需要使用扩展访问控制列表进行配置，在标准访问控制列表的基础上，还可以允许或者限制目的网段、主机和所有主机进出路由端口，另外还可以基于协议、端口进行限制。

ACL的工作流程是自顶向下，逐行判断，一旦在某行匹配成功，就不再继续判断。

例题答案

【问题1】

（1）192.168.1.1

（2）255.255.255.0

（3）routerrip

（4）network 192.168.1.0

【问题2】

（5）fastethemet 0/0（或ethernet 0/0，e0）

（6）50

（7）out

【问题3】

（8）tcp

（9）www或80

不可以调整次序。

ACL执行顺序是自上而下，一旦次序调整后，原第一条规则就会失效（意义相近即可）。