完整版软考资料精华软考网络.docx
- 文档编号:24618036
- 上传时间:2023-05-29
- 格式:DOCX
- 页数:12
- 大小:19.96KB
完整版软考资料精华软考网络.docx
《完整版软考资料精华软考网络.docx》由会员分享,可在线阅读,更多相关《完整版软考资料精华软考网络.docx(12页珍藏版)》请在冰豆网上搜索。
完整版软考资料精华软考网络
习题一:
【问题1】NAT可以分为静态地址转换、动态地址转换、复用动态地址转换三种方式。
【问题2】
Currentconfiguration:
version11.3
noservicepassword-encryption
hostname2501//路由器名称为2501
ipnatpoolaaa192.1.1.2192.1.1.10netmask255.255.255.0//内部合法地址池名称为aaa,地址范围为192.1.1.2~192.1.1.10,子网掩码为255.255.255.0
ipnatinsidesourcelist1poolaaa//将由access-list1指定的内部本地地址与指定的内部合法地址池aaa进行地址转换。
interfaceEthernet0
ipaddress10.1.1.1255.255.255.0
ipnatinside//指定与内部网络相连的内部端口为Ethernet0
interfaceSerial0
ipaddress192.1.1.1255.255.255.0
ipnatoutside
noipmroute-cache
bandwidth2000//带宽为2M
nofair-queue
clockrate2000000
interfaceSerial1
noipaddress
shutdown
noipclassless
iproute0.0.0.00.0.0.0Serial0//指定静态缺省路由指向Serial0
access-list1permit10.1.1.00.0.0.255//定义一个标准的access-list1以允许
10.1.1.0网段,子网掩码的反码为0.0.0.255的内部地址可以进行动态地址转换
linecon0
lineaux0
linevty04
passwordcisco
end
【问题3】此配置中nat采用了动态地址转换。
习题二:
【问题1】路由器Router1和Router2的S0口均封装PPP协议,采用CHAP做认证,在Router1中应建立一个用户,以对端路由器主机名作为用户名,即用户名应为router2。
同时在Router2中应建立一个用户,以对端路由器主机名作为用户名,即用户名应为router1。
所建的这两用户的password必须相同。
【问题2】
Router1:
hostnamerouter1//路由器名为router1
usernamerouter2passwordxxx//建立一用户,用户名为router2,口令为xxxinterfaceSerial0
ipaddress192.200.10.1255.255.255.0
encapsulationppp//设置ppp封装
clockrate1000000
pppauthenticationchap//设置ppp认证方法为chap
!
Router2:
hostnamerouter2
usernamerouter1passwordxxx
interfaceSerial0
ipaddress192.200.10.2255.255.255.0
encapsulationppp
pppauthenticationchap
习题三:
【问题1】
X.25网络设备分为数据终端设备(DTE)、数据电路终端设备(DCE)及分组交换设备(PSE)。
【问题2】
Router1:
interfaceSerial0
encapsulationx25//设置X.25封装
ipaddress192.200.10.1255.255.255.0//设置Serial0口ip地址为192.200.10.1,子网掩码为255.255.255.0
x25address110101//设置X.121地址为110101
x25htc16//设置最大的双向虚电路数为16
x25nvc2//设置一次连接可同时建立的虚电路数为2
x25mapip192.200.10.2110102broadcast//设置ip地址与x..121地址映射。
对方路由器地址为192.200.10.2,对方的x.121地址为110102,并且允许在x..25线路上传送路由广播信息
x25mapip192.200.10.3110103broadcast
!
习题四:
【问题1】CE1的传输线路的带宽是2048K,它和E1的区别主要在于:
E1不能划分时隙,CE1能划分时隙。
CE1的每个时隙是64K,一共有32个时隙,在使用的时候,可以划分为n*64K,例如:
128K,256K等等。
CE1的0和15时隙是不用来传输用户的数据流量,0时隙是传送同步号,15时隙传送控制信令,这样实际能用的只有30个时隙,所以在具体配置CE1划分时隙时,要注意些了。
CE1和E1也可以互联,但是CE1必须当E1来使用,即不可分时隙使用。
因为CE1比较灵活,所以我们能常常碰到CE1。
【问题2】
Currentconfiguration:
!
version11.2
noserviceudp-small-servers
noservicetcp-small-servers
!
hostnamerouter1
!
enablesecret5$1$XN08$Ttr8nfLoP9.2RgZhcBzkk/
enablepasswordcisco
!
!
ipsubnet-zero
!
controllerE10
framingNO-CRC4//帧类型为no-crc4
channel-group0timeslots1//建立逻辑通道组0与时隙1的映射
channel-group1timeslots2//建立逻辑通道组1与时隙2的映射
channel-group2timeslots3//建立逻辑通道组2与时隙3的映射
!
interfaceEthernet0
ipaddress133.118.40.1255.255.0.0
media-type10BaseT
!
interfaceEthernet1
noipaddress
shutdown
!
interfaceSerial0:
0//逻辑接口Serial0:
0
ipaddress202.119.96.1255.255.255.252
encapsulationhdlc
noipmroute-cache
!
interfaceSerial0:
1
ipaddress202.119.96.5255.255.255.252
encapsulationhdlc
noipmroute-cache
!
interfaceSerial0:
2
ipaddress202.119.96.9255.255.255.252
encapsulationhdlc
noipmroute-cache
!
noipclassless
iproute133.210.40.0255.255.255.0Serial0:
0
iproute133.210.41.0255.255.255.0Serial0:
1
iproute133.210.42.0255.255.255.0Serial0:
2
!
linecon0
lineaux0
linevty04
passwordcicso
login
!
end
习题五:
问题l:
“Console”端口是虚拟操作台端口,安装维护人员通过直接连接该端口实施设备配置。
“AUX”端口是用于远程调试的端口,一般连接在Modem上,设备安装维护人员通过远程拨号进行设备连接,实施设备的配置。
问题2:
连接参数如下:
速率9600bps、数据位8位、奇偶检验无、停止位2位。
问题3:
配置命令的含义如下:
(1)配置RAS的拨号用户网络配置信息。
<注1>
包括用户默认子网屏蔽码、默认网关、默认DNS。
当用户拨入时,服务器自动将配置信息传递给用户。
(2)设定第一组异步口的用户IP地址自动分配。
设置自动分配的IP地址来自于IP地址池pool25090<注2>
(3)配置路由协议RIP。
指定设备直接连接到网络202.112.77.0与202.112.79.0。
(4)设置来自202.112.77.0网段的用户可以访问拨号服务器。
配置用户登陆口令。
习题六:
【问题1】
IPSec实现的VPN主要有下面四个配置部分。
1、为IPSec做准备
为IPSec做准备涉及到确定详细的加密策略,包括确定我们要保护的主机和网络,选择一种认证方法,确定有关IPSec对等体的详细信息,确定我们所需的IPSec特性,并确认现有的访问控制列表允许IPSec数据通过。
步骤1:
根据对等体的数量和位置在IPSec对等体间确定一个IKE(IKE阶段1或者主模式)策略;
步骤2:
确定IPSec(IKE阶段2,或快捷模式)策略,包括IPSec对等体的细节信息,例如IP地址及IPSec变换集和模式;
步骤3:
用“writeterminal”、“showisakmp”、“showisakmppolicy”、“showcryptomap”命令及其它的show命令来检查当前的配置;
步骤4:
确认在没有使用加密前网络能够正常工作,用ping命令并在加密前运行测试数据来排除基本的路由故障;
步骤5:
确认在边界路由器和防火墙中已有的访问控制列表允许IPSec数据流通过,或者想要的数据流将可以被过滤出来。
2、配置IKE
配置IKE涉及到启用IKE(和isakmp是同义词),创建IKE策略,验证我们的配置。
步骤1:
用isakmpenable命令来启用或关闭IKE;
步骤2:
用isakmppolicy命令创建IKE策略;
步骤3:
用isakmpkey命令和相关命令来配置预共享密钥;
步骤4:
用showisakmp[policy]命令来验证IKE的配置。
3、配置IPSec
IPSec配置包括创建加密用访问控制列表、定义变换集、创建加密图条目、并将加密集应用到接口上去。
步骤1:
用access-list命令来配置加密用访问控制列表:
例如:
access-listacl-name{permit|deny}protocolsrc_addrsrc_mask[operatorport[port]]dest_addrdes_mask[operatorport[port]]
步骤2:
用crytoipsectransform-set命令配置交换集;
例如:
cryptoipsectransformp-settransform-set-nametransform1[transform2[transform3]]步骤3:
(任选)用cryptoipsecsecurity-accociationlifetime命令来配置全局性的IPSec安全关联的生存期;
步骤4:
用cryptomap命令来配置加密图;
步骤5:
用interface命令和cryptomapmap-nameinterface应用到接口上;
步骤6:
用各种可用的show命令来验证IPSec的配置。
4、测试和验证IPSec
该任务涉及到使用“show”、“debug”和相关的命令来测试和验证IPSec加密工作是否正常,并为之排除故障。
注:
此类题目要求答出主要步骤即可。
【问题2】
cryptoisakmppolicy1//配置IKE策略1
authenticationpre-share//IKE策略1的验证方法设为pre_share
group2//加密算法未设置则取默认值:
DES
cryptoisakmpkeytest123address202.96.1.2//设置pre-share密钥为test123,此值两端需一致
cryptoipsectransform-setVPNtagah-md5-hmacesp-des//设置AH散列算法为md5,ESP加密算法为DES
cryptomapVPNdemp10ipsec-isakmp//定义cryptomap
setpeer202.96.1.2//设置隧道对端IP地址
settransform-setVPNtag//设置隧道AH及ESP
matchaddress101
!
interfaceTunnel0//定义隧道接口
ipaddress192.168.1.1255.255.255.0//隧道端口IP地址
noipdirected-broadcast
tunnelsource202.96.1.1//隧道源端地址
tunneldestination202.96.1.2//隧道目标端地址
cryptomapVPNdemo//应用VPNdemo于此接口
ipaddress202.96.1.1255.255.255.252//串口的internetIP地址
noipdirected-broadcast
cryptomapVPNdemo//应用VPNdemo于此端口
!
ipaddress168.1.1.1255.255.255.0//外部端口IP地址
noipdirected-broadcast
ipaddress172.22.1.100255.255.255.0//内部端口IP地址
noipdirected-broadcast
!
ipclassless
iproute0.0.0.00.0.0.0202.96.1.2//默认静态路由
iproute172.22.2.0255.255.0.0192.168.1.2//到内网静态路由(经过隧道)
access-lost101permitgrehost202.96.1.1host202.96.1.2//定义访问控制列表习题七:
【问题1】
访问列表能够帮助控制网上IP包的传输,主要用在以下几个方面:
1、控制一个端口的包传输
2、控制虚拟终端访问数量
3、限制路由更新的内容
【问题2】
•标准IP访问列表
–检查源地址
–通常允许、拒绝的是完整的协议
•扩展IP访问列表
–检查源地址和目的地址
–通常允许、拒绝的是某个特定的协议
【问题3】
在此例中所有的IP数据包将全部不能从serial0端口发送出去。
原因:
在默认情况下,除非明确规定允许通过,访问列表总是阻止或拒绝一切数据包的通过,即实际上在每个访问列表的最后,都隐含有一条"denyany"的语句。
假设我们使用了前面创建的标准IP访问列表,从路由器的角度来看,这条语句实际内容如下:
access-list1deny172.16.4.130.0.0.0
access-list1denyany
因此我们应将配置改为:
access-list1deny172.16.4.130.0.0.0
access-list1permitany
interfaceserial0
ipaccess-group1out
习题八:
1、若是Serial0isup,lineprotocolisup表示该端口工作正常。
2、若是Serial0isdown,lineprotocolisdown表示路由器到本地的MODEM之间无载波信号CD。
连接串口和MODEM,开启MODEM.看MODEM的发送灯TD是否亮,TD灯亮表示路由器有信号发送给MODEM.TD灯若不亮,请检查MODEM,线缆(最好用Cisco所配的)和端口.你可以用另外一个串口再试试看。
3、若Serialisup,但lineprotocolisdown.有几种可能:
a.本地路由器未作配置.
b.远端路由器未开或未配置.
路由器两端需要配置相同的协议打包方式.例如:
路由器A打包HDLC,路由器B打包PPP,那么两台路由器的lineprotocol始终是down的.改变打包方式:
Router#conft
Router(config)#interfaceserial0
Router(config-if)#encapsulationppp
Router(config-if)#^Z
Router#
c.若是使用Newbridge的26XX,27XX的DTU设备,它不发送CD信号,请在路由器上设置:
Router#configureterminal
Router(config)#intserial0
Router(config-if)#ignored-dcd
Router(config-if)#^Z
Router#
d.MODEM之间没通,即专线没通.
解决办法:
作测试环路.请电信局帮助确定具体出现问题是哪一段线路.若作环路成功,lineprotocol会变成up(looped).
4、若Serialisadmsinstrativelydown,lineprotocolisdown.表示端口管理性关闭。
在该端口做以下工作
Router#conft
Router(config)#interfaceserial0
Router(config-if)#noshutdown
Router(config-if)#^Z
Router#
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 完整版 资料 精华 网络