试题四(15分)
  阅读以下说明,回答问题1至问题4,将解答填入答题纸对应的解答栏内。
【说明】
  某公司采用100M宽带接入Internet,公司内部有15台PC机,要求都能够上网。另外有2台服务器对外分别提供Web和E-mail服务,采用防火墙接入公网,拓扑结构如图4-1所示。
【问题1】(2分)
  如果防火墙采用NAPT技术,则该单位至少需要申请 (1) 个可用的公网地址。
试题解析:
  常识。
答案:1

【问题2】(3分)
  下面是防火墙接口的配置命令:
fire(config)# ip address outside 202.134.135.98 255.255.255.252
fire(config)# ip address inside 192.168.46.1 255.255.255.0
fire(config)# ip address dmz 10.0.0.1 255.255.255.0
根据以上配置,写出图4-1中防火墙各个端口的IP地址:
e0:     (2)    
e1:     (3)    
e2:     (4)    
试题解析:
  很简单,对照答案看看就明白了。
答案:(2)192.168.46.1,(3)202.134.135.98,(4)10.0.0.1

【问题3】(4分)
  1.ACL默认执行顺序是  (5)  ,在配置时要遵循  (6)  原则、最靠近受控对象原则、以及默认丢弃原则。
(5)、(6)备选项
  (A)最大特权        (B)最小特权        (C)随机选取
  (D)自左到右        (E)自上而下        (F)自下而上
2.要禁止内网中IP地址为198.168.46.8的PC机访问外网,正确的ACL规则是(7)
(A)access-list 1 permit ip 192.168.46.0 0.0.0.255 any
access-list 1 deny ip host 198.168.46.8 any
(B)access-list 1 permit ip host 198.168.46.8 any
access-list 1 deny ip 192.168.46.0 0.0.0.255 any
(C)access-list 1 deny ip 192.168.46.0 0.0.0.255 any
access-list 1 permit ip host 198.168.46.8 any
(D)access-list 1 deny ip host 198.168.46.8 any
access-list 1 permit ip 192.168.46.0 0.0.0.255 any
试题解析:
  很简单,对照答案看看就明白了。
答案:(5)E or 自上而下,(6)B or最小特权,(7)D or  A

【问题4】(6分)
  下面是在防火墙中的部分配置命令,请解释其含义:
global (outside) 1 202.134.135.98-202.134.135.100      (8) 
conduit permit tcp host 202.134.135.99 eq www any      (9) 
access-list 10 permit ip any any                          (10) 
试题解析:
  很简单,对照答案看看就明白了。
答案:
     (8)指定外网口IP地址范围为202.134.135.98-202.134.135.100
        (9)允许任意外网主机访问202.134.135.99提供的WWW服务
        (10)允许任意IP数据包进出
  注:(8)(9)(10)意思正确即可

试题五(15分)
  阅读以下说明,回答问题1至问题3,将解答填入答题纸对应的解答栏内。
【说明】
  某公司租用了一段C类地址203.12.11.0/24~203.12.14.0/24,如图5-1所示。其网间地址是172.11.5.14/24。要求网内所有PC都能上网。
【问题1】(8分)
  接入层交换机Switch1的端口24为trunk口,其余各口属于vlan11,请解释下列命令并完成交换机的配置。
Switch1#config terminal
Switch1(config)#interface f0/24                            (进入端口24配置模式)
Switch1(config-if)# switchport mode trunk                  (1) 
Switch1 (config-if)#switchport trunk encapsulation dotlq      (2) 
Switch1(config-if)# switchport trunk allowed all    (允许所有VLAN从该端×××换数据)
Switch1(config-if)#exit
Switch1(config)#exit
Switch1# vlan database
Switch1(vlan)# vlan 11 name lab01                          (3) 
Switch1(vlan)#exit
Switch1#config terminal
Switch1(config)#interface f0/9                            (进入f0/9的配置模式)
Switch1(config-if)#  (4)                              (设置端口为接入链路模式)
Switch1(config-if)#  (5)                              (把f0/9分配给VLAN11)
Switch1(config-if)#exit
Switch1(config)#exit
试题解析:

  很简单,对照答案看看就明白了。
答案:
     (1)设置端口为中继(或Trunk)模式
        (2)设置Trunk采用802.1q格式(或dot1q)
        (3)创建vlan11,并命名为lab01
        (4)switchport mode access
        (5)switchport access vlan 11或switchport access vlan lab01

【问题2】(3分)
  以下两个配置中错误的是  (6)  ,原因是  (7) 
A.    Switch0 (config)#interface gigabitEthernet 0/3
   Switch0 (config-if)#switchport mode trunk
   Switch0 (config-if)#switchport trunk encapsulation dot1q
   Switch0(config)#exit
   Switch0# vlan database
   Switch0(vlan)# vlan 2100 name lab02
B.    Switch0 (config)#interface gigabitEthernet 0/3
   Switch0 (config-if)#switchport mode trunk
   Switch0 (config-if)#switchport trunk encapsulation ISL
   Switch0(config)#exit
   Switch0# vlan database
   Switch0(vlan)# vlan 2100 name lab02
试题解析:
  大多数人不知道“trunk采用ISL格式时,vlan ID最大为1023”,不过就1.5分,即使丢了也算了。毕竟这次的下午题非同寻常的容易。
答案:(6)B,(7)trunk采用ISL格式时,vlan ID最大为1023

【问题3】(4分)
Switch1的f0/24口接在Switch0的f0/2口上,请根据图5-1完成或解释以下Switch0的配置命令。
Switch0(config)# interface  (8)                      (进入虚子接口)
Switch0(config-if)# ip address 203.12.12.1 255.255.255.0    (加IP地址)
Switch0(config-if)# no shutdown                          (9) 

Switch0(config-if)# standby 1 ip 203.12.12.253        (建HSRP组并设虚IP地址)
Switch0(config-if)# standby 1 priority 110                      (10) 
Switch0(config-if)# standby 1 preempt                      (11) 
试题解析:
  (8)很多人答f0/2,但要求写的是“进入虚子接口”的命令,所以答案是vlan11。
  (11)的preempt命令很少用,算是有些难,不过只有1分,损失不大。
答案:    (8)vlan11,(9)开启端口,(10)设优先级,(11)设切换许可