2009-2012软考中级网络工程师历年真题题和答案解析 2

2009年上半年网络工程师考试上午试卷

答案与解析

● （1） 是指按内容访问的存储器。

（1）A．虚拟存储器 B．相联存储器 C．高速缓存（Cache） D．随机访问存储器

试题解析：相联存储器（associative memory）也称为按内容访问存储器（content addressed memory），是一种不根据地址而是根据存储内容来进行存取的存储器。 参：B ● 处理机主要由处理器、存储器和总线组成。总线包括 （2） 。

（2）A．数据总线、地址总线、控制总线 B．并行总线、串行总线、逻辑总线 C．单工总线、双工总线、外部总线 D．逻辑总线、物理总线、内部总线 试题解析： 常识。参：A

● 计算机中常采用原码、反码、补码和移码表示数据，其中，±0编码相同的是 （3） 。 （3）A．原码和补码 B．反码和补码 C．补码和移码 D．原码和移码 试题解析：常识。参：C

● 某指令流水线由5段组成，第1、3、5段所需时间为Δt，第2、4段所需时间分别为3Δt、2Δt，如下图所示，那么连续输入n条指令时的吞吐率（单位时间内执行的指令个数）TP为 （4） 。

试题解析：

TP=指令总数÷执行这些指令所需要的总时间。

执行这些指令所需要的总时间=（Δt+3Δt+Δt+2Δt+Δt）+3（n-1)Δt 参：B

● 某项目主要由A～I任务构成，其计划图（如下图所示）展示了各任务之间的前后关系以及每个任务的工期（单位：天），该项目的关键路径是 （5） 。在不延误项目总工期的情况下，任务A最多可以推迟开始的时间是 （6） 天。

（5）A．A→G→I B．A→D→F→H→I C．B→E→G→I D．C→F→H→I

（6）A．0 B．2 C．5 D．7

试题解析： 关键路径是时间最长的那条路径，B→E→G→I这条路径耗时最长，总共2+5+6+7=20天。 经过任务A的时间最长路径是A→D→F→H→I，总共2+4+1+4+7=18天。只要A的延误时间不超过20-18=2天，就不会对整体时间产生影响。 参：（5）C （6）B

● 软件风险一般包含 （7） 两个特性。

（7）A．救火和危机管理 B．已知风险和未知风险 C．不确定性和损失 D．员工和预算 试题解析：

软件风险：一般包括不确定性和损失两个特性，其中不确定性是指风险可能发生，也

可能不发生，损失是当风险确实发生时，会引起的不希望的后果和损失。 救火和危机管理：是对不适合但经常采用的软件风险管理策略。 已知风险和未知风险：是对软件风险进行分类的一种方式。 员工和预算：是在识别项目时需要识别的因素。

试题解析：

虽然对于软件风险的严格定义还存在很多争议，但在风险中包含了两个特性这一点上是已达成了共识的［HIG95］：

◆不确定性——刻划风险的事件可能发生也可能不发生；即，没有100％发生的风险(100％发生的风险是加在项目上的约束)。

◆损失——如果风险变成了现实，就会产生恶性后果或损失。 参：C ● 设系统中有R类资源m个，现有n个进程互斥使用。若每个进程对R资源的最大需求为w，那么当m、n、w取下表的值时，对于下表中的a~e五种情况， （8） 两种情况可能会发生死锁。对于这两种情况，若将 （9） ，则不会发生死锁。

（8）A．a和b B．b和c C．c和d D．c和e （9）A．n加1或w加1 B．m加1或w减1 C．m减1或w加1 D．m减1或w减1

试题解析：对于C和E来说，当每个进程同时掌握了一个资源，并同时申请更多的资源时，就会产生死锁。参：（8）D （9）B

● 关于软件著作权产生的时间，表述正确的是 （10） 。 （10）A．自作品首次公开发表时 B．自作者有创作意图时

C．自作品得到国家著作权行政管理部门认可时 D．自作品完成创作之日

试题解析： 中华人民共和国著作权法第十四条规定：软件著作权自软件开发完成之日起产生。参：D

● E载波是ITU-T建议的传输标准，其中E3信道的数据速率大约是 （11） Mb/s。贝尔系统T3信道的数据速率大约是 （12） Mb/s。

（11）A． B．34 C．8 D．2 （12）A．1.5 B．6.3 C．44 D．274 试题解析： 常识。参：（11）B （12）C

● RS-232-C的电气特性采用V.28标准电路，允许的数据速率是 （13） ，传输距离不大于 （14） 。 （13）A．1Kb/s B．20Kb/s C．100Kb/s D．1Mb/s （14）A．1m B．15m C．100m D．1km 试题解析 常识。 参：（13）B （14）B

● 曼彻斯特编码的特点是 （15） ，它的编码效率是 （16） 。

（15）A．在“0”比特的前沿有电平翻转，在“1”比特的前沿没有电平翻转 B．在“1”比特的前沿有电平翻转，在“0”比特的前沿没有电平翻转 C．在每个比特的前沿有电平翻转 D．在每个比特的中间有电平翻转

（16）A．50% B．60% C．80% D．100% 试题解析： 常识。 参：（15）D （16）A

● HDLC协议是一种 （17） ，采用 （18） 标志作为帧定界符。 （17）A．面向比特的同步链路控制协议

B．面向字节计数的同步链路控制协议 C．面向字符的同步链路控制协议 D．异步链路控制协议

（18）A．10000001 B．01111110 C．10101010 D．10101011 试题解析： 常识。 参：（17）A （18）B

● 设信道带宽为3400HZ，采用PCM编码，采样周期为125μs，每个样本量化为128个等级，则信道的数据率为 （19） 。

（19）A．10Kb/s B．16Kb/s C．56Kb/s D．Kb/s 试题解析： 125μs相当于每秒8000次，128个等级需要7位二进制数存储。7*8000=56kb/s 参：C

● 设数据码字为10010011，采用海明码进行校验，则必须加入 （20） 比特冗余位才能纠正一位错。 （20）A．2 B．3 C．4 D．5

n

试题解析：n位海明码最多可以校验和纠正 2-1位的数据中的一位错误，（这些数据包括用户数据和海明码自身）。因此，3位海明码最多可以检验和纠正8-1-3=4位用户数据中的一位错误；4位海明码最多可以检验和纠正16-1-4=11位用户数据中的一位错误。参：C

● 可以把所有使用DHCP协议获取IP地址的主机划分为不同的类别进行管理。下面的选项列出了划分类别的原则，其中合理的是 （21） 。

（21）A．移动用户划分到租约期较长的类 B．固定用户划分到租约期较短的类 C．远程访问用户划分到默认路由类 D．服务器划分到租约期最短的类 试题解析： 常识。 参：C

● TCP协议在建立连接的过程中可能处于不同的状态，用netstat命令显示出TCP连接的状态为SYN_SEND，则这个连接正处于 B（22） 。

（22）A．监听对方的建立连接请求 B．已主动发出连接建立请求 C．等待对方的连接释放请求 D．收到对方的连接建立请求 试题解析： 常识。 参：B

● Tracert命令通过多次向目标发送 （23） 来确定到达目标的路径，在连续发送的多个IP数据包中， （24） 字段都是不同的。

（23）A．ICMP地址请求报文 B．ARP请求报文 C．ICMP回声请求报文 D．ARP响应报文

（24）A．源地址 B．目标地址 C．TTL D．ToS 试题解析： tracert是利用ICMP和TTL进行工作的。首先，tracert会发出TTL为1的ICMP数据报（包含40字节数据，包括源地址、目标地址和发出的时间标签）。当到达路径上的第一个路由器时，路由器会将TTL减1，此时TTL为0，该路由器会将此数据报丢弃，并返回一个超时回应数据报（包括数据报的源地址、内容和路由器的IP地址）。当tracert收到该数据报时，它便获得了这个路径上的第一个路由器。接着tracert在发送另一个TTL为2 的数据报，第一个路由器会将此数据报转发给第二个路由器，而第二个路由器收到数据报时，TTL为0。第二个路由器便会返回一个超时回应数据报，从而tracert便发现了第二个路由器。tracert每次发出数据报时便将TTL加1，来发现下一个路由器。这个动作一直重复，直到到达目的地或者确定目标主机不可到达为止。当数据报到达目的地后，目标主机并不会返回超时回应数据报。tracert在发送数据报时，会选择一个一般应用程序不会使用的号码（3000以上）来作为接收端口号，所以当到达目的地后，目标主机会返回一个ICMP port unreachable（端口不可到达）的消息。当tracert收到这个消息后，就知道目的地已经到达了。 参：（23）C （24）C ● OSPF协议适用于4种网络。下面的选项中，属于广播多址网络（Broadcast Multi-Access）的是 （25） ，属于非广播多址网络（None Broadcast Multi-Access）的是 （26） 。 （25）A．Ethernet B．PPP C．Frame Relay D．RARP （26）A．Ethernet B．PPP C．Frame Relay D．RARP 试题解析： 常识。 参：（25）A （26）C

● RIPv2是增强的RIP协议，下面关于RIPv2的描述中，错误的是 （27） 。 （27）A．使用广播方式来传播路由更新报文 B．采用了触发更新机制来加速路由收敛 C．支持可变长子网掩码和无类别域间路由 D．使用经过散列的口令来路由信息的传播

试题解析：RFC 1388对RIP协议进行了扩充，定义了RIPv2。RIPv1使用广播方式进行路由更新，RIPv2改为组播方式进行路由更新。RIPv2使用的组播地址是224.0.0.9。 参：A 网络配置如下图所示：

址

RR R

其C CC 为

中某设备[120/1] [120/2]

路is

via via is is via

由表信息如下：

192.168.1.0/24 192.168.3.0/24 192.168.5.0/24

directly connected, FastEthernet0/0

Serial2/0 Serial2/0 Serial2/0 Serial3/0 Serial2/0

。 R1 PC1

192.168.65.2, 192.168.65.2, directly directly

00:00:04, 00:00:04,

192.168.65.0/24 192.168.67.0/24

[120/1] （

R0 R2

connected, connected, 00:00:04,

192.168.69.0/24

C．路由器

192.168.65.2, 30

）

则该设备为 （28） ，从该设备到PC1经历的路径为 B（29） 。路由器R2接口S2可能的IP地

（28）A．路由器

B．路由器D．计算机

（29）A．R0→R2→PC1 B．R0→R1→R2→PC1 ??

C．R1→R0→PC1

D．R2→PC1 B．192.168.65.2

（30）A．192.168.69.2

C．192.168.67.2 D．192.168.5.2 试题解析：参：（28）A （29）B （30）A

● 下列关于Windows 2003中域的描述正确的是 （31） 。 （31）A．在网络环境中所有的计算机称为一个域 B．同一个域中可以有多个备份域控制器

C．每一个域中必须有主域控制器和备份域控制器 D．一个域中可以有多个主域控制器 试题解析： 常识。 参：B

● 在Windows命令窗口中输入 （32） 命令，可见到如下图所示的结果。 =========================================================== Interface list

0x1„„„..MS TCP Loopback interface

0x2...00 16 36 33 9b be„„Realtek RTL8139 Family PCI Fast Ethemet NIC- 数据包计划程序微型端口

=========================================================== =========================================================== Active Routes

Network Destination Netmask Gateway Interface metric 127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1 255.255.255.255 255.255.255.255 255.255.255.255 2 1 =========================================================== Persistent Routes None

（32）A．ipconfig/all B．route print C．tracert -d D．nslookup 试题解析： 常识。 参：B

● Linux操作系统中，建立动态路由需要用到文件 D（33） 。

（33）A．/etc/hosts B．/etc/hostname C．/etc/resolv.conf D．/etc/gateways 试题解析： 常识。参：D

● Linux操作系统中，网络管理员可以通过修改 C（34） 文件对Web服务器的端口进行配置。 （34）A．/etc/inetd.conf B．/etc/lilo.conf

C．/etc/httpd/conf/httpd.conf D．/etc/httpd/conf/access.conf 试题解析： 常识。 参：C

● Linux有三个查看文件的命令，若希望能够用光标上下移动来查看文件内容，应使用 （35） 命令。 （35）A．cat B．more C．less D．menu 试题解析： 常识。 参：C

● Windows Server 2003操作系统中，IIS6.0不提供下列 （36） 服务。 （36）A．web B．smtp C．pop3 D．ftp 试题解析： 常识。 参：C

● Windows Server 2003操作系统中， （37） 提供了远程桌面访问。

（37）A．ftp B．email C．terminal service D．http 试题解析： 常识。参：C

● 若在windows“运行”窗口中键入 （38） 命令，可以查看和修改注册表。 （38）A．cmd B．mmc C．autoexe D．regedit 试题解析： 常识。 参：D

● 以下关于网络安全设计原则的说法，错误的是 （39） 。

（39）A．充分、全面、完整地对系统的安全漏洞和安全威胁进行分析、评估和检测，是设计网络安全

系统的必要前提条件

B．强调安全防护、监测和应急恢复。要求在网络发生被攻击的情况下，必须尽可能快地恢复网络信息中心的服务，减少损失

C．考虑安全问题解决方案时无需考虑性能价格的平衡，强调安全与保密系统的设计应与网络设计相结合

D．网络安全应以不能影响系统的正常运行和合法用户的操作活动为前提 试题解析： 常识。 参：C

● 在Windows Server 2003的DNS服务器中通过 （40） 操作，实现多台Web服务器构成集群并共享同一域名。

（40）A．启用循环（round robin），添加每个WEB服务器的主机记录 B．禁止循环（round robin），启动转发器指向每一个WEB服务器 C．启用循环（round robin），启动转发器指向每一个WEB服务器 D．禁止循环（round robin），添加每个WEB服务器的主机记录 试题解析： 这道题目曾经考过（2006年下半年第36题）。 参：A

● 廉价磁盘冗余阵列RAID利用冗余实现高可靠性，其中RAID1的磁盘利用率为 （41） 。如果利用4个盘组成RAID3阵列，则磁盘利用率为 （42） 。

（41）A．25% B．50% C．75% D．100% （42）A．25% B．50% C．75% D．100%

试题解析： RAID1采用镜像容错技术改善可靠性； RAID3有一个检验盘，其余磁盘用于存储数据。。参：（41）B （42）C

● Alice向Bob发送数字签名的消息M，则不正确的说法是 （43） 。 （43）A．Alice可以保证Bob收到消息M B．Alice不能否认发送消息M C．Bob不能编造或改变消息M

D．Bob可以验证消息M确实来源于Alice 试题解析： 常识 参：A

● 安全散列算法SHA-1产生的摘要的位数是 （44） 。

（44）A． B．128 C．160 D．256 试题解析： 常识。参：C 解析：SHA(Secure}lash Algorithm，译作安全散列算法)是美国(NSA)设计，美国国家标准与技术研究院(NIST)发布的一系列密码散列函数。正式名称为SHA的家族第一个成员发布于1993年。然而现在的人们给它取了一个非正式的名称SHA，一O以避免与它的后继者混淆。两年之后，SHA-1，第-个SHA的后继者发布了。安全散列算法SHA-1产生的摘要的位数是160，这是常识，应该记住。

● 在X.509标准中，不包含在数字证书中的数据域是 （45） 。 （45）A．序列号 B．签名算法 C．认证机构的签名 D．私钥 试题解析： 常识。参：D

解析：数字证书的格式遵循x．509标准。x．509是由国际电信联盟(ITu-T)制定的数字证书标准，x．509给出的鉴别框架是一种基于公开密钥的鉴别业务密钥管理。一个用户有两把密钥：一把是用户的专用密钥，另一把是其他用户都可利用的公共密钥。私钥并不包含在数字证书中的数据域。因此答案为D。

● 两个公司希望通过Internet传输大量敏感数据，从信息源到目的地之间的传输数据以密文形式出现，而且不希望由于在传输结点使用特殊的安全单元而增加开支，最合适的加密方式是 （46） ，使用会话密钥算法效率最高的是 （47） 。

（46）A．链路加密 B．结点加密 C．端-端加密 D．混合加密 （47）A．RSA B．RC-5 C．MD5 D．ECC

试题解析： RSA是公钥算法，计算量大。MD5是摘要算法，不是加密算法。ECC（Error Checking and Correcting，错误检查和纠正）用于内存纠错，而不是网络通信。 参：（46）C （47）B 解析：考点：有关信息的传输加密中有关链路加密、节点加密和端一端加密的特性，同时，也考查对常用密码算法特点及其使用范围的掌握情况。

链路加密：只对两个节点之间(不含信息源和目的地两个端点本身)的通信信道线路上所传输的信息进行加密保护，但是在传输过程中经过每个节点时，节点中的数据是明文。

节点加密：的加解密都在节点中进行，即每个节点里装有加解密保护装置，用于完成一个密钥向另一个密钥的转换。节点中虽然不会出现明文，但是需要在经过的每个节点加装保护装置，这不仅不方便使用，而且会增加开支。

端一端加密：为系统提供从信息源到目的地传送数据的加密保护，不需要在通信节点上增加额外的安全单元，而且能够保证数据自始至终以密文形式出现，即使在节点中也是密文。

RC-5 是对称密码，加解密都使用相同的密钥，加密效率高，适合于加密大量的数据。 RSA 和ECC 是非对称密码，加解密使用不同的密钥(公钥和私钥)，它们对计算资源的消耗较大，适合于加密非常少量的数据，例如加密会话密钥。MD5 可以用于生成数字摘要。

● 包过滤防火墙对通过防火墙的数据包进行检查，只有满足条件的数据包才能通过，对数据包的检查内容一般不包括 （48） 。

（48）A．源地址 B．目的地址 C．协议 D．有效载荷 试题解析 常识。 参：D

● 下面关于ARP木马的描述中，错误的是 （49） 。 （49）A．ARP木马利用ARP协议漏洞实施破坏

B．ARP木马发作时可导致网络不稳定甚至瘫痪

C．ARP木马破坏网络的物理连接

D．ARP木马把虚假的网关MAC地址发给受害主机 试题解析： 常识。 参：C

● 下面几个网络管理工具的描述中，错误的是 （50） 。

（50）A．netstat 可用于显示IP、TCP、UDP、ICMP等协议的统计数据

B．sniffer 能够使网络接口处于杂收模式，从而可截获网络上传输的分组 C．winipcfg 采用MS-DOS工作方式显示网络适配器和主机的有关信息 D．tracert 可以发现数据包到达目标主机所经过的路由器和到达时间 试题解析： 常识。 参：C 解析：

Netstat：是DOS命令，是一个监控TCP／IP网络的非常有用的工具，它可以显示路由表、实际的网络连接以及每一个网络接口设备的状态信息。Netstat用于显示与IP、TCP、UDP和ICMP协议相关的统计数据，一般用于检验本机各端口的网络连接情况。

Sniffer：中文可以翻译为嗅探器，是一种基于被动侦听原理的网络分析方式。使用这种技术方式，可以监视网络的状态、数据流动情况以及网络上传输的信息。当信息以明文的形式在网络上传输时，便可以使用网络监听的方式来进行攻击。将网络接口设置在监听模式，便可以将网上传输的源源不断的信息截获。Sniffer技术常常被黑客们用来截获用户的口令，据说某个骨干网络的路由器网段曾经被黑客攻入，并嗅探到大量的用户口令。但实际上Sniffer技术被广泛地应用于网络故障诊断、协议分析、应用性能分析和网络安全保障等各个领域。Winipcfg命令的作用是用于显示用户所在主机内部IP协议的配置信息。

Winipcfg：程序采用Windows窗口的形式来显示IP协议的具体配置信息。如果Winipcfg命令后面不跟任何参数直接运行，程序不但可在窗口中显示网络适配器的物理地址、主机的IP地址、子网掩码以及默认网关等，而且还可以查看主机的相关信息如主机名、DNS服务器、节点类型等。

Tracert(跟踪路由)：是路由跟踪实用程序，用于确定IP数据报访问目标所采取的路径。Tracert命令用IP生存时间(TIL)字段和ICMP错误消息来确定从一个主机到网络上其他主机的路由 ● 一个网络的地址为172.16.7.128/26，则该网络的广播地址是 （51） 。 （51）A．172.16.7.255 B．172.16.7.129 C．172.16.7.191 D．172.16.7.252

试题解析： 这类题目每次考试都出，也算常识吧，不懂就看书好了。参：C ● 使用CIDR技术把4个C类网络192.24.12.0/24、192.24.13.0/24、192.24.14.0/24和192.24.15.0/24 汇聚成一个超网，得到的地址是 （52） 。

（52）A．192.24.8.0/22 B．192.24.12.0/22 C．192.24.8.0/21 D．192.24.12.0/21

试题解析： 这类题目每次考试都出，也算常识吧，不懂就看书好了。参：B

● 某公司网络的地址是133.10.128.0/17，被划分成16个子网，下面的选项中不属于这16个子网的地址是 （53） 。

（53）A．133.10.136.0/21 B．133.10.162.0/21 C．133.10.208.0/21 D．133.10.224.0/21 试题解析： 133.10.162.0/21不是一个网络地址。 参：B ● 以下地址中不属于网络100.10.96.0/20的主机地址是 （54） 。 （54）A．100.10.111.17 B．100.10.104.16 C．100.10.101.15 D．100.10.112.18

试题解析： 100.10.96.0/20的范围是100.10.96.0~100.10.111.255。 参：D

● 自动专用IP地址（Automatic Private IP Address，APIPA）是IANA（Internet Assinged Numbers Authority）保留的一个地址块，它的地址范围是 （55） 。当 （56） 时，使用APIPA。 （55）A．A类地址块10.254.0.0~10.254.255.255 B．A类地址块100.254.0.0~100.254.255.255 C．B类地址块168.254.0.0~168.254.255.255 D．B类地址块169.254.0.0~169.254.255.255 （56）A．通信对方要求使用APIPA地址

B．由于网络故障而找不到DHCP服务器 C．客户机配置中开启了APIPA功能 D．DHCP服务器分配的租约到期 试题解析： 当客户端未能从DHCP服务器获得IP地址时，客户端会检查自己是否配置了“备用IP地址”。如果配置了“备用IP地址”，那么客户端会首先启用“备用IP配置”；如果没有配置“备用IP地址”，客户机将从169.254.0.0/16这个B 类网段中选择一个作为IP地址，并且每隔5分钟就再次进行DHCP地址申请。参：（55）D （56）B

● VLAN中继协议（VTP）用于在大型交换网络中简化VLAN的管理。按照VTP协议，交换机的运行模式分为3种：服务器、客户机和透明模式。下面关于VTP协议的描述中，错误的是 （57） 。 （57）A．交换机在服务器模式下能创建、添加、删除和修改VLAN配置 B．一个管理域中只能有一个服务器

C．在透明模式下可以进行VLAN配置，但不能向其它交换机传输配置信息 D．交换机在客户模式下不允许创建、修改或删除VLAN

试题解析：VTP从不要求一个管理域中只能有一个服务器。 参：B

VLAN中继协议(VTP)主要用于管理在同一个域的网络范围内VLANs的建立、删除和重命名。它有3种工作模式：服务模式(VTP Server)、客户模式(VTP Client)和透明模式(VTP Transparent)。当在一台VTP Server上配置一个新的VLAN时，该VLAN的配置信息将自动传播到本域内的其他所有交换机。这些交换机会自动接收这些配置信息，使其VLAN的配置与VTP Server保持一致，从而减少在多台设备上配置同一VLAN信息的工作量，而且保持了VLAN配置的统一性。VTP Server维护该VTP域中所有的VLAN信息列表，VTP Server可以建立、删除或修改VLAN。每一个VTP域必须至少有一台VTP Server，域中的VTP Server可以有多台。

在VTP客户模式下，交换机不能建立、删除或修改VLAN信息，只能被动接受服务器的VLAN配置。在VTP透明模式下，交换机是配置的，它可以建立、删除或修改本机上的VLAN信息，但是不广播自己的VLAN信息，同时它接收到服务器发来的VLAN信息后并不使用，而是直接转发给别的交换机。为了保证VLAN配置信息只传送到指定交换机，每个参与VTP过程的交换机都必须拥有一个共同的 VTP域名、VTP域密码。

● 新交换机出厂时的默认配置是是 （58） 。 （58）A．预配置为VLAN1，VTP模式为服务器 B．预配置为VLAN1，VTP模式为客户机 C．预配置为VLAN0，VTP模式为服务器 D．预配置为VLAN0，VTP模式为客户机 试题解析：常识。参：A

● 在生成树协议（STP）IEEE 802.1d中，根据 （59） 来选择根交换机。 （59）A．最小的MAC地址 B．最大的MAC地址 C．最小的交换机ID D．最大的交换机ID

试题解析：推选根网桥时，各个网桥互相传递BPDU配置信息，系统的每个网桥都能监听到BPDU，根据网桥标识共同“选举”出具有最大优先级的根网桥。如果优先级相同，则取具有最小网桥地址的网桥作为根网桥。根网桥缺省每2秒发出BPDU。参：C

● 在快速以太网物理层标准中，使用两对5类无屏蔽双绞线的是 （60） 。 （60）A．100BASE-TX B．100BASE-FX

C．100BASE-T4 D．100BASE-T2

试题解析： 常识。参：A

● 在Windows系统中，所谓“持久路由”就是 （61） 。要添加一条到达目标10.40.0.0/16的持久路由，下一跃点地址为10.27.0.1，则在DOS窗口中键入命令 （62） 。

（61）A．保存在注册表中的路由 B．在默认情况下系统自动添加的路由 C．一条默认的静态路由 D．不能被删除的路由 （62）A．route -s add 10.40.0.0 mask 255.255.0.0 10.27.0.1 B．route -p add 10.27.0.1 10.40.0.0 mask 255.255.0.0 C．route -p add 10.40.0.0 mask 255.255.0.0 10.27.0.1 D．route -s add 10.27.0.1 10.40.0.0 mask 255.255.0.0

试题解析： 查查windows的帮助就知道了。 参：（61）A （62）C

● 访问控制列表（ACL）分为标准和扩展两种。下面关于ACL的描述中，错误的是 （63） 。 （63）A．标准ACL可以根据分组中的IP源地址进行过滤 B．扩展ACL可以根据分组中的IP目标地址进行过滤 C．标准ACL可以根据分组中的IP目标地址进行过滤 D．扩展ACL可以根据不同的上层协议信息进行过滤

试题解析： 标准ACL中，没有端口号，也只有一个IP地址（源地址）。参：C

访问控制列表(Access Control IJist，ACI。)是路由器和交换机接口的指令列表，用来控制端口进出的数据包。ACL适用于所有的被路由协议，如IP、IPX、AppleTalk等。这张表中包含了匹配关系、条件和查询语句，表只是一个框架结构，其目的是为了对某种访问进行控制。信息点间通信，内络的通信都是企业网络中必不可少的业务需求，但是为了保证内网的安全性，需要通过安全策略来保障非授权用户只能访问特定的网络资源，从而达到对访问进行控制的目的。简而言之，ACL是可以过滤网络中的流量，控制访问的一种网络技术手段。访问控制列表(ACL)分为标准和扩展两种，标准ACL可以根据分组中的IP源地址和l目的地址进行过滤，扩展ACL可以根据不同的上层协议信息进行过滤。标准ACI一不能根据目的地址过滤，因此选c。

● 如果要测试目标10.0.99.221的连通性并进行反向名字解析，则在DOS窗口中键入命令 （） 。 （）A．ping -a 10.0.99.221 B．ping -n 10.0.99.221 C．ping -r 10.0.99.221 D．ping -j 10.0.99.221 试题解析：查查ping -h就知道了。参：A

解析：ping是Windows系列自带的一个可执行命令。利用它可以检查网络是否能够连通，用好它可以很好地帮助我们分析判定网络故障。应用格式：ping IP地址。该命令还可以加许多参数使用，具体是键入ping

按回车即可看到详细说明。ping指的是端对端连通，通常用来作为可用性的检查，但是某些病毒木马会强行大量远程执行ping命令抢占你的网络资源，导致系统变慢，网速变慢。 -a：将地址解析为计算机NetBios名。

-j：利用computer-1ist指定的计算机列表路由数据包。连续计算机可以被中间网关分隔(路由稀疏源)IP允许的最大数量为9。

-n：发送count指定的：ECt{0数据包数。通过这个命令可以自己定义发送的个数，对衡量网络速度很有帮助。能够测试发送数据包的返回平均时间及时间的快慢程度。默认值为4。

-r：在“记录路由”字段中记录传出和返回数据包的路由。通常情况下，发送的数据包是通过一系列路由才到达目标地址的，通过此参数可以设定，想探测经过路由的个数。限定能跟踪到9个路由。 【总结与扩展】ping还有一些其他的命令： -k：computer-list利用computer-list指定的计算机列表路由数据包。连续计算机不能被中间网关分隔(路由严格源)IP允许的最大数量为9。

-s：指定count指定的跃点数的时间戳。与参数-r差不多，但此参数不记录数据包返回所经过的路南，最多只记录4个。

-f：在数据包中发送“不要分段”标志，数据包就不会被路由上的网关分段。通常你所发送的数据包都会通过路由分段再发送给对方，加上此参数以后路由就不会再分段处理。 -v：tos将“服务类型”字段设置为tos指定的值。

● 在IEEE 802.11标准中使用了扩频通信技术，下面选项中有关扩频通信技术说法正确的是 （65） 。 （65）A．扩频技术是一种带宽很宽的红外通信技术

B．扩频技术就是用伪随机序列对代表数据的模拟信号进行调制 C．扩频通信系统的带宽随着数据速率的提高而不断扩大 D．扩频技术就是扩大了频率许可证的使用范围 试题解析： 常识。参：B

所谓扩频通信，是扩展频谱通信的简称。它是指用来传输信息的射频带宽远大于信息本身带宽的一种通信方式，扩频通信系统的出现，被誉为是通信技术的一次重大突破。扩频技术通常有4种类型：

①直接序列扩频，简称直扩(Ds)。所传送的信息符号经伪随机序列(或称伪噪声码)编码后对载波进行调制。伪随机序列的速率远大于要传送信息的速率，因而调制后的信号频谱宽度将远大于所传送信息的频谱宽度。②载波频率跳变扩频，简称跳频(FH)。载荷信息的载波信号频率受伪随机序列的控制，快速地在给定的频段中跳变，此跳变的频带宽度远大于所传送信息的频谱宽度。

③跳时(TH)。将时间轴分成周期性的时帧，每帧内分成许多时片。在一帧内哪个时片发送信号由伪码控制，由于时片宽度远小于信号持续时间从而实现信号频谱的扩展。

④混合扩频。几种不同的扩频方式混合应用，例如：直扩和跳频的结合(DS／FH)，跳频和跳时的结合(FH／TH)，以及直扩、跳频与跳时的结合(DS／FH,／TH)等。

● 下面关于WLAN安全标准IEEE 802.11i的描述中，错误的是 （66） 。 （66）A．采用了高级加密标准AES

B．定义了新的密钥交换协议TKIP C．采用802.1x实现访问控制

D．提供的加密方式为有线等价协议WEP

试题解析： 正是因为WEP的不安全性，才推动了802.11i的大力发展。参：D

IEEE 802．11i采用了高级加密标准AEs，定义了新的密钥交换协议TKIP，采用802．1x实现访问控制。提供的加密方式并不是有线等价协议WEP，正是因为WEP的不安全性，才推动了802．11i的大力发展。 ● 安全审计是保障计算机系统安全的重要手段，其作用不包括 （67） 。 （67）A．重现入侵者的操作过程

B．发现计算机系统的滥用情况

C．根据系统运行日志，发现潜在的安全漏洞 D．保证可信计算机系统内部信息不外泄

试题解析： 我的参是D，但有些人始终认为选A比较好。 标准答案是D. 参：D

安全审计:是指对主体访问和使用客体的情况进行记录和审查，以保证安全规则被正确执行，并帮助分析安全事故产生的原因。安全审计是落实系统安全策略的重要机制和手段，通过安全审计识别与防止计算机网络系统内的攻击行为、追查计算机网络系统内的泄密行为。

入侵检测是从信息安全审计派生出来的，随着网络和信息系统应用的推广普及而逐渐成为一个信息安全的分支，但彼此涉及的内容、要达到的目的以及采用的方式、方法都非常接近。如果要说出它们的不同，就在于信息安全审计更偏向业务应用系统的范畴，而入侵检测更偏向“入侵”的、业务应用系统之外的范畴。有专家预言，随着业务应用系统的规范化，安全防范需求更高，市场空间扩大，研究和实践的机会更多，信息安全审计与入侵检测将合二为一，并形成一个完整的信息安全防范体系。 安全审计的作用如下：

(1)检测对系统的入侵，对潜在的攻击者起到震慑或警告作用。

(2)发现计算机的滥用情况，对于已经发生的系统破坏行为提供有效的追纠证据。 (3)为系统安全管理员提供有价值的系统使用日志，从而帮助系统安全管理员及时发现系统入侵行为或潜在的系统漏洞。

(4)为系统安全管理员提供系统运行的统计日志，使系统安全管理员能够发现系统性能上的不足或需要改进与加强的地方。

而为了保护高安全度网络环境而产生的、可以确保把有害攻击隔离在可信网络之外、并保证可信网络内部信息不外泄的前提下，完成网间信息的安全交换的技术属于安全隔离技术。

● 网络隔离技术的目标是确保把有害的攻击隔离，在保证可信网络内部信息部不外泄的前提下，完成网络间数据的安全交换。下列隔离技术中，安全性最好的是 （68） 。

（68）A．多重安全网关 B．防火墙 C．VLAN隔离 D．物理隔离 试题解析： 常识。参：D

物理隔离的基本原理是：每一次数据交换，都需要经历数据写入和数据读出两个过程；内网与(或内网与专网)永不连接；内网和(或内网与专网)在同一时刻最多只有一个同物理隔离设备建立非TCP/IP协议的数据连接。人工方式是数据交换中安全性最好的隔离技术。

通常，子网划分可通过子网掩码体现，其主要功能有进行网络安全逻辑隔离、广播信息传播范围、方便查找网络错误等。

通过VLAN隔离技术，可以把一个网络系统中众多的网络设备分成若干个虚拟的工作组，组和组之间的网络设备在二层上相互隔离，形成不同的广播域，将广播流量在不同的广播域。该方式允许同一 VLAN上的用户互相通信，而处于不同VLAN的用户之间在数据链路层上是断开的，只能通过三层路由器才能访问。 交换网络是在两个逻辑隔离的网络之间建立一个网络交换区域，负责数据的交换。交换网络的两端可以采用多重网关，也可以采用网闸。在交换网络内部采用监控、审计等安全技术，整体上形成一个立体的交换网安全防护体系。

● 下列有关网络设备选型原则中，不正确的是 （69） 。

（69）A．所有网络设备尽可能选取同一厂家的产品，这样在设备可互连性、协议互操作性、技术支持、价格等方面都更有优势

B．在网络的层次结构中，主干设备选择可以不考虑扩展性需求

C．尽可能保留并延长用户原有网络设备的投资，减少在资金投入上的浪费 D．选择性能价格比高、质量过硬的产品，使资金的投入产出达到最大值 试题解析：常识。参：B

● 在层次化网络设计中， （70） 不是分布层/接入层交换机的选型策略。

（70）A．提供多种固定端口数量搭配供组网选择，可堆叠、易扩展，以便由于信息点的增加而进行扩容

B．在满足技术性能要求的基础上，最好价格便宜、使用方便、即插即用、配置简单 C．具备一定的网络服务质量和控制能力以及端到端的QoS D．具备高速的数据转发能力

试题解析： 高速数据转发，是对核心层设备的要求。 参：D

在层次化网络设计中，分布层／接人层交换机的选型应该在满足技术性能要求的基础上，最好价格便宜、使用方便、即插即用、配置简单，而且能够提供多种固定端口数量搭配供组网选择，可堆叠、易扩展，以便由于信息点的增加而进行扩容，并且具备一定的网络服务质量和控制能力以及端到端的QOS。但并不要求具备高速的数据转发能力，高速数据转发，是对核心层设备的要求。

● The Border Gateway Protocol(BGP) is an interautonomous system （71） protocol. The primary function of a BGP speaking system is to exchange network （72） information with other BGP system. This network reachability information includes information on the list of Autonomous System(ASs) that reachability information traverses. BGP-4 provides a new set of mechanisms for supporting （73） interdomain routing. These mechanisms include support for advertising an IP （74） and eliminate the concept of network class within BGP. BGP-4 also introduces mechanisms that allow aggregation of routes, including （75） of AS paths. These changes provide support for the proposed supernetting scheme.

（71）A．connecting B．resolving C．routing D．supernetting （72）A．secubility B．reachability C．capability D．reliability （73）A．answerless B．connectionless C．confirmless D．classless （74）A．prefix B．suffix C．infix D．reflex （75）A．reservation B．relation C．aggregation D．connection 试题解析： 参：(71)C (72)B (73)D (74)A (75)C

2009年上半年网络工程师考试下午试卷

答案与解析

试【

题

一说

（

15明

分

） 】

阅读以下说明，回答问题1至问题4，将解答填入答题纸对应的解答栏内。 某公司有1个总部和2个分部，各个部门都有自己的局域网。该公司申请了4个C类IP地址块202.114.10.0/24~202.114.13.0/24。公司各部门通过帧中继网络进行互联，网络拓扑结构如图1-1所示。

【

请 问

根

题据

图

11-1

完

】成

R0

（路

由

4器

的

分配

置图

1-1 ） ：

R0 (config)#interface s0/0 （进入串口配置模式） R0 (config-if)# ip address 202.114.13.1 255.255.255.0（1） （设置IP地址和掩码） R0(config) # encapsulation （2） （设置串口工作模式） 答案： （1）255.255.255.0 （2）frame-relay ?? 【问题2】（5分） Switch0、Switch1、Switch2和Switch3均为二层交换机。总部拥有的IP地址块为202.114.12.0/24。Switch0的端口e0/24与路由器R2的端口e0/0相连，请根据图1-1路由器完成R2及Switch0的配置。 R2(config)#interface fastethernet 0/0.1 R2(config-subif)#encapsulation dot1q （3） R2(config-subif)#ip address 202.114.12.1 255.255.255.192 R2(config-subif)#no shutdown R2(config-subif)#exit R2(config)#interface fastethernet 0/0.2 R2(config-subif)#encapsulation dot1q （4） R2(config-subif)#ip address 202.114.12.65 255.255.255.192 R2(config-subif)#no shutdown R2(config-subif)#exit R2(config)#interface fastethernet 0/0.3 R2(config-subif)#encapsulation dot1q （5） R2(config-subif)#ip address 202.114.12.129 255.255.255.192 R2(config-subif)#no shutdown R2(config-subif)#exit R2(config)#interface fastethernet 0/0 R2(config-if)#no shutdown Switch0(config)#interface f0/24 Switch0(config-if)# switchport mode （6） Switch0 (config-if)#switchport trunk encapsulation （7） Switch0(config-if)# switchport trunk allowed all Switch0(config-if)#exit

答案： （3）100 （4）200 （5）300 （6）trunk （7）dot1q 【问题3】（3分） 若主机A与Switch1的e0/2端口相连，请完成Switch1相应端口设置。 Switch1(config)#interface e0/2 Switch1(config-if)# switchport mode access（8） （设置端口为接入链路模式） Switch1(config-if)# switchport access vlan 100（9l） （把e0/2分配给VLAN 100） Switch1(config-if)#exit

若主机A与主机D通信，请填写主机A与D之间的数据转发顺序。 主机A→ （10） →主机D。

（10）备选答案 A．Switch1→Switch0→R2(s0/0)→Switch0→Switch2 B．Switch1→Switch0→R2(e0/0)→Switch0→Switch2 C．Switch1→Switch0→R2(e0/0)→R2(s0/0)→R2(e0/0)→Switch0→Switch2 D．Switch1→Switch0→Switch2

答案： （8）switchport mode access （9）switchport access vlan 100 （10）B 【问题4】（3分） 为了部门A中用户能够访问服务器Server1，请在R0上配置一条特定主机路由。 R0(config)#ip route 202.114.10.253 （11） （12）

答案： （11）255.255.255.255 （2分） （12）202.114.13.2 （1分） 试题二（共15分） 阅读以下说明，回答问题1至问题6，将解答填入答题纸对应的解答栏内。 【说明 某公司总部服务器1的操作系统为Windows Server 2003，需安装虚拟专用网（VPN）服务，通过Internet与子公司实现安全通信，其网络拓扑结构和相关参数如图2-1所示。

【

问

题

1

】

（

2

分

图

2-1 ）

在Windows Server 2003的“路由和远程访问”中提供两种隧道协议来实现VPN服务： （1） 和L2TP，L2TP协议将数据封装在 （2） 协议帧中进行传输。 答案： （1）PPTP （2）PPP 【问题2】（1分） 在服务器1中，利用Windows Server 2003的管理工具打开“路由和远程访问”，在所列出的本地服务器上选择“配置并启用路由和远程访问”，然后选择配置“远程访问（拨号或VPN）”服务，在图2-2所示的界面中，“网络接口”应选择 （3） 。 （3）备选答案： A．连接1 B．连接2 答案： （3）B

【

问

题

3

】

（

4

分

图

2-2 ）

为了加强远程访问管理，新建一条名为“SubInc”的访问控制策略，允许来自子公司服务器2的VPN访问。在图2-3所示的配置界面中，应将“属性类型（A）”的名称为 （4） 的值设置为“Layer Two Tunneling Protocol”，名称为 为

（

6

）

，

（5） 子

网

掩

的值设置为“Virtual 码

应

填

为

（

7

(VPN)”。 ）

。

编辑SubInc策略的配置文件，添加“入站IP筛选器”，在如图2-4所示的配置界面中，IP地址应填

图

2-3

图2-4

答案：（4）Tunnel-Type （5）NAS-Port-Type （6）202.115.12.34 （7）255.255.255.255 【问题4】（4分） 子公司PC1安装Windows XP操作系统，打开“网络和Internet连接”。若要建立与公司总部服务器的VPN连接，在如图2-5所示的窗口中应该选择 （8） ，在图2-6所示的配置界面中填写 （9） 。 （8）备选答案： A．设置或更改您的Internet连接 B．创建一个到您的工作位置的网络连接 C．设置或更改您的家庭或小型办公网络 D．为家庭或小型办公室设置无线网络 E．更改Windows防火墙设置 答案：（8）B （9）61.134.1.37

图

2-5

图2-6 【什

问

题

么

5

】

（

？

2

分

）

用户建立的VPN连接xd2的属性如图2-7所示，启动该VPN连接时是否需要输入用户名和密码？为

图2-7

答案： 不需要，因为选中“自动使用我的Windows登录名和密码”，此时用本机Windows登录的用户名和密码进行VPN连接。 【问题6】（2分） 图2-8所示的配置窗口中所列协议“不加密的密码（PAP）”和“质询握手身份验证协议（CHAP）”有

何

区

别

？

图2-8 答案： PAP使用明文身份验证（1分）

CHAP通过使用MD5和质询-相应机制提供一种安全身份验证（1分） （采用以下方式或相近方式回答也正确）

PAP以明文的方式在网上传输登录名和密码，因此不安全；（1分）

CHAP使用挑战消息及摘要技术处理验证消息，不在网上直接传输明文密码，因此具有较好的安全性，也具有防重发性。（1分） 试题三（共15分） 阅读以下关于Linux文件系统和Samba服务的说明，回答问题1至问题3。 【录目【

录问Linux

及题生

共

1

享

】

说

成

打

（

印

6

明

的服

务分

】 。 。 ）

Linux系统采用了树型多级目录来管理文件，树型结构的最上层是根目录，其他的所有目录都是从根目 通过Samba可以实现基于Linux操作系统的服务器和基于Windows操作系统的客户机之间的文件、

在安装时会创建一些默认的目录，如下表所示：

依据上述表格，在空（1）~（6）中填写恰当的内容（其中空1在候选答案中选择）。 ①对于多分区的Linux系统，文件目录树的数目是 a（1） 。 ②Linux系统的根目录是 /（2） ，默认的用户主目录在 /home（3） 目录下，系统的设备文件（如打印驱动）存放在 /dec（4） 目录中， /proc（5） 目录中的内容关机后不能被保存。 ③如果在工作期间突然停电，或者没有正常关机，在重新启动机器时，系统将要复查文件系统，系统将找到的无法确定位置的文件放到目录 /lost+found（6） 中。 （1）备选答案： A．1 B．分区的数目 C．大于1

答案：（1）A （2）/ （3）/home （4）/dev （5）/proc （6）/lost+found 【问题2】（4分） 默认情况下，系统将创建的普通文件的权限设置为-rw-r--r-- ，即文件所有者对文件 （7） ，同组用户对文件 （8） ，其他用户对文件 （9） 。文件的所有者或者超级用户，采用 （10） 命令可以改变文件的访问权限。

答案：（7）可读可写不可执行 （8）可读不可写不可执行 （9）可读不可写不可执行 （10）chmod 【问题3】（5分） Linux系统中Samba的主要配置文件是/etc/samba/smb.conf。请根据以下的smb.conf配置文件，在空（11）~（15）中填写恰当的内容。 Linux服务器启动Samba服务后，在客户机的“网络邻居”中显示提供共享服务的Linux主机名为 （11） ，其共享的服务有 （12） ，能够访问Samba共享服务的客户机的地址范围 （13） ；能够通过Samba服务读写/home/samba中内容的用户是 （14） ；该Samba服务器的安全级别是 （15） 。 [global] workgroup = MYGROUP netbios name=smb-server server string = Samba Server ;hosts allow = 192.168.1. 192.168.2. 127. load printers = yes security = user [printers] comment = My Printer browseable = yes path = /usr/spool/samba guest ok = yes writable = no printable = yes [public] comment = Public Test browseable = no path = /home/samba public = yes

writable = yes printable = no write list = @test [user1dir] comment = User1's Service browseable = no path = /usr/usr1 valid users = user1 public = no writable = yes printable = no 答案： （11）smb-server （12）printers 或 My Printer （13）无（因为host allow被分号注释掉了）

（14）test用户组或 Linux系统的test组中用户（仅仅回答test用户不给分） （15）user 或用户安全级 概要说明：（12）的答案是“printers 或 My Printer”，而不是“文件及打印共享”。这是因为user1dir被设置为public=no，因此在“网络邻居”中显示不出来。 试题四（共15分）

阅读以下说明，回答问题1至问题4，将解答填入答题纸对应的解答栏内。 【说明】

某公司总部和分支机构的网络配置如图4-1所示。在路由器R1和R2上配置IPSec安全策略，实现分支机构和总部的安全通信。

图4-1 【问题1】（4分）

图4-2中（a）、（b）、（c）、（d）为不同类型IPSec数据包的示意图，其中 （1） 和 （2） 工作在隧道模式； （3） 和 （4） 支持报文加密。

图4-2

参： （1）c 或 d （2）d 或 c (不能与1相同) （3）b 或 d （4）d 或 b (不能与3相同)

【问题2】（4分）

下面的命令在路由器R1中建立IKE（Internet密钥交换协议）策略，请补充完成命令或说明命令的含义。

R1(config)# crypto isakmp policy 110 进入ISAKMP配置模式 R1(config-isakmp)# encryption des （5）

R1(config-isakmp)# （6） 采用MD5散列算法 R1(config-isakmp)# authentication pre-share （7） R1(config-isakmp)# group 1

R1(config-isakmp)# lifetime （8） 安全关联生存期为1天

参： （5）使用DES加密算法 （6）hash md5 （7）使用预共享密钥认证方式 （8）800 Authentication(认证) 【问题3】（4分）

R2与R1之间采用预共享密钥“12345678”建立IPSec安全关联，请完成下面配置命令。 R1(config)# crypt isakmp key 12345678 address 172.30. 2.2（9） R2(config)# crypt isakmp key 12345678 address 172.30. 1.2（10） 参： （9）172.30.2.2 （10）172.30.1.2 【问题4】（3分）

完成以下ACL配置，实现总部主机10.0.1.3和分支机构主机10.0.2.3的通信。 R1(config)# access-list 110 permit ip host （11） host （12）

R2(config)# access-list 110 permit ip host （13）10.0.2.3 host 10.0.1.3 参： （11）10.0.1.3 （12）10.0.2.3 （13）10.0.2.3 试题五（共15分）

阅读以下说明，回答问题1至问题3，将解答填入答题纸对应的解答栏内。 【说明】

某单位采用双出口网络，其网络拓扑结构如图5-1所示。

图5-1

该单位根据实际需要，配置网络出口实现如下功能：

1．单位网内用户访问IP地址158.124.0.0/15和158.153.208.0/20时，出口经ISP2； 2．单位网内用户访问其他IP地址时，出口经ISP1； 3．服务器通过ISP2线路为外部提供服务。 【问题1】（5分）

在该单位的三层交换机S1上，根据上述要求完成静态路由配置。

ip route 0.0.0.0 0.0.0.0 10.10.10.1（1） （设置默认路由）

ip route 158.124.0.0 255.254.0.0 （2） 10.10.20.1（3） （设置静态路由） ip route 158.153.208.0 255.255.240.0（4） 10.10.20.1（5） （设置静态路由）

参：（1）0.0.0.0 0.0.0.0 10.10.10.1 （2）255.254.0.0 （3）10.10.20.1 （4）255.255.240.0 （5）10.10.20.1 【问题2】（6分）

1．根据上述要求，在三层交换机S1上配置了两组ACL，请根据题目要求完成以下配置。 access -list 10 permit ip host 10.10.30.1 any

access -list 10 permit ip host 10.10.30.2（6） any access -list 12 permit ip any 158.124.0.0 （7） access -list 12 permit ip any 158.153.208.0 （8） access –list 12 deny ip any any 2．完成以下策略路由的配置。 route-map test permit 10 （9） ip address 10

（10） ip next-hop （11）

参： （6）10.10.30.2 （7）0.1.255.255 （8）0.0.15.255 （9）match （10）set （11）10.10.20.1 【问题3】（4分）

以下是路由器R1的部分配置。请完成配置命令。 R1(config)#interface fastethernet0/0

R1(config-if)#ip address （12）10.10.10.1 （13）255.255.255.0 R1(config-if)ip nat inside „„

R1(config)#interface fastethernet0/1

R1(config-if)#ip address （14）55.23.12.98 255.255.255.252（15） R1(config-if)ip nat outside „„ 参： （12）10.10.10.1 （13）255.255.255.0 （14）55.23.12.98 （15）255.255.255.252