软考网络工程师2024下半年下午试题和答案解析详解

试题一

阅读以下说明，回答问题 1至问题4，将解答填入答题纸对应的解答栏内。 【说明】

某企业组网方案如图 1-1所示，网络接口规划如表 1-1所示。公司内部员工和外部访客 均可通过无线网络访问企业网络，内部员工无线网络的 SSID 为 Visitor 。

SSID为Employee,访客无线网络的

SSID1:

VWB&r

Switch I

VLAN

Switch!

EmplonrH

接口编号 防火墙 AP控制器 GE1Z0/0 GE 1/0/1 GE0/0/1 GEO/O/1 GEO/D/2 GEO/0/3 所 JSVLAN 一 — 10 iPilbM 200, 1. 1, 1/24 192. 16S. 99. 254/24 VLANIF10:192, 168. 10, 1724 VT_ANIF1Q:L92- 168, 10. 254/24 VLANIF99: 19Z. 168. 99. 1/24 VLANIFL00：192, 168, 100, 1/24 VTANIF101. 192. 168. 101. 1/24 VI. ANI Fl 02:192. 168. 102. 1/24 VLAN I Fl 03:192. 16S. 103. 1/24 VLANIR104：192, 16S* 104. 1/24 — 99 10 101 102 100^ 103， 104 100 100 100 100- 103- 104 100. 103> 104 Switchi GE0/0/4 GE0/0/5 GEO/a/6 GEO/O/1 GE0/0/2 GEO/U/1 GE0/0/2 Swi tch2 Swi tch3 —1 =

【问题1】（6分）

防火墙上配置 NAT功能，用于公私网地址转换。 同时配置安全策略， 将内网终端用户所 在区域划分为Trust区域，外网划分为 Un trust区域，保护企业内网免受外部网络攻击。 补充防火墙数据规划表 1-2内容中的空缺项。

安全策略 egress Local untrust unt ms t L ocal NAT棗略 （转换前） 圆安全域 trust Local untrust trust 目的安全域 untrust untrust Local 表1 源地址/区域 192.16S. 100. 0/24 192. 168.101. 0/24 192. 168.103. 0/24 192. 168.104, 0/24 (1) 1 untrust 目的地址/区土或 — 200.1.1. 2/32 C21 ⑶

untrust srcip 注：Local表示防火墙本地区域： 【问题2】（4分）

srcip表示源ip。

在点到点的环境下，配置 IPSec VPN隧道需要明确（4 ）和（5） 【问题3】（6分）

在Switchl上配置ACL禁止访客访问内部网络，将 空缺项补充完整。

Switchl数据规划表1-3内容中的

项目 ACL

VLAN 源IP 目的工P 192. 163, 100, 0/0. 0. 0. 255 192. 168. 101. 0/0. 0. 0. 25S 192+ 153+ 102, 0/Q, 0+ Q 255 192. 168, 103. 0/0. 0, 0, 255 动作 （8） （6） 【问题4】（4分）

AP控制器上部署 WLAN业务，采用直接转发，AP跨三层上线。认证方式：无线用户通过 预共享密钥方式接入。 在Switch1上GEO/O/2连接AP控制器，该接口类型配置为 （9）模式, 所在 VLAN＞（ 10）。

试题二（共20分）

阅读下列说明，回答问题 1至问题4，将解答填入答题纸的对应栏内。 【说明】

图2-1是某企业网络拓扑， 网络区域分为办公区域、 工作。

服务器区域和数据区域， 线上商城

系统为公司提供产品在线销售服务。公司网络保障部负责员工办公电脑和线上商城的技术支 持和保障

圈2d

【问题1】（6分）

某天，公司有一台电脑感染“勒索”病毒，网络管理员应采取（ 施。

（1） ~ （3）备选答案： A.

C.为其他电脑升级系统漏洞补丁 E删除已感染病毒的文件 【问题2】（8分）

1 ）、（2）、（3）措

断开已感染主机的网络连接 B.更改被感染文件的扩展名 D.网络层禁止135/137/139/445 端口的TCP连接

图2-1中，为提高线上商城的并发能力，公司计划增加两台服务器，三台服务器同时 对外提供服务，通过在图中（4）设备上执行（5）策略，可以将外部用户的访问负载 平均 分配到三台服务器上。 ⑸备选答案： A.散列

B.轮询C .最少连接

D.工作-备份

其中一台服务器的IP地址为192.168.20.5/27 ，请将配置代码补充完整。 ifcfg-eml 配置片段如下： DEVICE =eml TYPE=Ethernet

UUID=36878246-2a99-43b4-81df-2db1228eea4b

ONBOOT=yes NM_CONTROLLED=yes BOOTPROTO=none HWADDR=90:B1:1C:51:F8:25 IPADDR=192.168.20.5 NETMASK=6）

GATEWAY=192.168.20.30 DEFROUTE= yes

IPV4_FAILURE_FATAL=yes IPV6INTI=no 配置完成后，执行 systemct1 （7） network命令重启服务。

【问题3】（4分）

网络管理员发现线上商城系统总是受到 设备/系统，加强防范；该设备应部署在图 【问题4】（2分）

图2-1中，存储域网络米用的是（10）网络。 试题三（共20分）

阅读以下说明，回答问题 1至问题4,将解答填入答题纸对应的解答栏内。 【说明】

某公司有两个办事处，分别利用装有 个网卡配置了不同的

Win dows Server 2008 的双宿主机实现路由功能，

此功能由 Wmdows Server 2008中的路由和远程访问服务来完成。管理员分别为这两台主机 其中一

IP地址，如图3-1所示。

SQL注入、跨站脚本等攻击，公司计划购置（8） 2-1中设备①~④的（9）处。

D.漏洞扫描

A.杀毒软件B .主机加固C. WAF（ Web应用防护系统）

m. 11D. 3

4. 0 2

ffi 3-1

【问题1】（4分）

在“管理您的服务器”中点击“添加或删除角色” （1） 备选答案： A.文件服务器 C.终端服务器， （2） 备选答案：

A. 可连接局域网的不同网段或子网，实现软件路由器的功能 B.

把分支机构与企业网络通过 Intran et 连接起来，实现资源共享

C. 可使远程计算机接入到企业网络中访问网络资源

D. 必须通过VPN才能使远程计算机访问企业网络中的网络资源 【问题2】（4分）

两个办事处子网的计算机安装

Win7操作系统，要实现两个子网间的通信，子网

A和子

网B中计算机的网关分别为（3）和（4）。子网A中的计算机用ping命令来验证数据包能否 路由到子网B中，图3-2中参数使用默认值，从参数（5）可以看出数据包经过了（ 6）个路 由器。

C\\>lp〒r>^ 1.0. O_ 4

Pirwging M_O_O_< wifih 32 bytzes af aeply F. ■■ 直0.0*0?斗； byx?s.=32

1=ro*i

fl CM JFr OM

Ri ng

10.0-0-4= 10,0-0,4,

亶Cl- 0-0-4二 ist

bylcs=32 by±es=32

±iae-

ti■匚 P■—

a,:

TTV—XZ2 TTL^X22 TTL=3^Z TT1_=X22

，此时应当在服务器角色中选择（1）来完

不正确的是（2）。

成路由和远程访问服务的安装。 在下列关于路由和远程访问服务的选项中，

B.应用程序服务器（IIS，ASP.NET D.远程访问/VPN服务

五* 1O_O _O.4 ：

- s^rrt = 斗. Rec7?'ived = 斗*

Approjc-vMatie rwn

? O

—Aetzond^ *

t ■ Al

—■ Ma. xiauA =

图3-2

（3）备选答案： A. 192.168.0.0 B. 192.168.0.1

C. 192.168.0.3

D. 无须配置网关

（4）备选答案： A. 10.0.0.0 B. 10.0.0.1

C. 10.0.0.2

D. 无须配置网关

（5）备选答案： A. Bytes B. Time 【问题3】（8分）

C. TTL

D. Lost

Windows Server 2008 支持RIP动态路由协议。在 RIP接口属性页中，如果希望路由器

每隔一段时间向自己的邻居广播路由表以进行路由信息的交换和更新， 受此路由器的路由表：在“传入数据包协议”中选择（ 本的邻居路由器都可向此 广播路由表。 （7）备选答案： A.周期性是更新模式 （8）备选答案： A. RIPv1 广播

则需要在“操作模式”

中选择（7）。在“传出数据包协议”中选择（8）,使网络中其它运行不同版本的邻居路由器 都可接

9），使网络中其他运行不同版

B. 自动-静态更新模式

B. RIPv2多播

C. RIPv2广播

（9）备选答案： RIPv1 A.只是

B.只是 RIPv2 C. RIPv1 和 v2

D. 忽略传入数据包

为了保护路由器之间的安全通信，可以为路由器配置身份验证。选中“激活身份验证” 复选框，并在“密码”框中键入一个密码。所有路由器都要做此配置，所配置的密码（ 。

（10）备选答案： A.可以不同

B.必须相同

10 ）

【问题4】（4分）

由于在子网A中出现病毒，需在路由接口上启动过滤功能， 不允许子网B接收来自子网 A的数据包，在选择入站筛选器且筛选条件是 “接收所有除符合下列条件以外的数据包” 如图3-3所示，由源网络IP地址和子网掩码得到的网络地址是（

时,

11）,由目标网络IP地址

和子网掩码得到的网络地址是（12）,需要选择协议（13）。如果选择协议（14）,则会出现 子网A和子网B之间ping不通但是子网B能接受来自子网 A的数据包的情况。

馬3-3

（11）备选答案: A. 192.168.0.0 B. 192.168.0.1 （12）备选答案: A. 10.0.0.0 B. 10.0.0.1

C. 192.168.0.3

D. 192.168.0.8

C. 10.0.0.3 D. 10.0.0.4