1、中級網(wǎng)絡(luò)工程師2009上半年下午試題試題一閱讀以下說明，回答問題1至問題4，將解答填入對應(yīng)的解答欄內(nèi)。說明 某公司有1個總部和2個分部，各個部門都有自己的局域網(wǎng)。該公司申請了4個C類IP地址塊202.114.10.0/24202.114.13.0/24。公司各部門通過幀中繼網(wǎng)絡(luò)進(jìn)行互聯(lián)，網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖1-1所示。 1、問題1 請根據(jù)圖1-1完成R0路由器的配置： R0 (config)# interface s0/0 (進(jìn)入串口配置模式) R0 (config-if) # ip address 202.114.13.1 (1) (設(shè)置IP地址和掩碼) R0 (config) # encaps

2、ulation (2) (設(shè)置串口工作模式)2、問題2 Switch0、Switch1、Switch2和Switch3均為二層交換機(jī)?？偛繐碛械腎P地址塊為202.114.12.0/24。Switch0的端口e0/24與路由器R/的端口e0/0相連，請根據(jù)圖1-1完成路由器R2及Switch0的配置。 R2 (config) # interface fastethernet 0/0.1 R2 (configsubif) # encapsulation dotlq (3) R2 (configsubif) # ip address 202.114.12.1 255.255.255.192 R2

3、(configsubif) # no shutdown R2 (configsubif) # exit R2 (config) # interface fastethernet 0/0.2 R2 (configsubif) # encapsulation dotlq (4) R2 (configsubif) # ip address 202.114.12.65 255.255.255.192 R2 (configsubif) # no shutdown R2 (configsubif) # exit R2 (config) # interface fastethernet 0/0.3 R2 (

4、configsubif) #encapsulation dotlq (5) R2 (configsubif) # ip address 202.114.12.129 255.255.255.192 R2 (configsubif) # no shutdown R2 (configsubif) # exit R2 (config) # interface fastether0/0 R2 (configif) # no shutdown Switch0 (config) # interface f0/24 Switch0 (configif) # switchport mode (6) Switc

5、h0 (configif) # switchport trunk encapsulation (7) Switch0 (configif) # switchport trunk allowed all Switch0 (configif) # exit3、問題3 若主機(jī)A與Switchl的e0/2端口相連，請完成Switch1相應(yīng)端口設(shè)置。 Switchl (config) #interface e0/2 Switchl (configif) # (8) (設(shè)置端口為接入鏈路模式) Switchl (configif) # (9) (把e0/2分配給VLAN 100) Switchl (con

6、figif) # exit 若主機(jī)A與主機(jī)D通信，請?zhí)顚懼鳈C(jī)A與D之間的數(shù)據(jù)轉(zhuǎn)發(fā)順序。 主機(jī)A (10) 主機(jī)D。 (10)備選答案 ASwitch1Switch0R2 (s0/0)Switch0Switch2 BSwitch1Switch0R2 (e0/0)Switch0Switch2 CSwitch1Switch0R2 (e0/0)R2 (s0/0)R2 (e0/0)Switch0Switch2 DSwitch1Switch0Switch24、問題4 為了部門A中用戶能夠訪問服務(wù)器Server1，請?jiān)赗0上配置一條特定主機(jī)路由。 R0 (config)#iproute202.114.10.

7、253 (11) (12) 試題二閱讀以下說明，回答問題1至問題6，將解答填入答題紙對應(yīng)的解答欄內(nèi)。說明 某公司總部服務(wù)器1的操作系統(tǒng)為Windows Server 2003，需安裝虛擬專用網(wǎng)(VPN)服務(wù)，通過Internet與子公司實(shí)現(xiàn)安全通信，其網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和相關(guān)參數(shù)如圖2-1所示。 5、問題1 在Windows Server 2003的“路由和遠(yuǎn)程訪問”中提供兩種隧道協(xié)議來實(shí)現(xiàn)VPN服務(wù)： (1) 和L2TP，L2TP協(xié)議將數(shù)據(jù)封裝在 (2) 協(xié)議幀中進(jìn)行傳輸。6、問題2 在服務(wù)器1中，利用Windows Server 2003的管理工具打開“路由和遠(yuǎn)程訪問”，在所列出的本地服務(wù)器上選

8、擇“配置并啟用路由和遠(yuǎn)程訪問”，然后選擇配置“遠(yuǎn)程訪問(撥號或VPN)”服務(wù)，在圖2-2所示的界面中，“網(wǎng)絡(luò)接口”應(yīng)選擇 (3) 。 (3)備選答案： A連接1 B路由和遠(yuǎn)程訪問 7、問題3 為了加強(qiáng)遠(yuǎn)程訪問管理，新建一條名為“SubInc”的訪問控制策略，允許來自子公司服務(wù)器2的VPN訪問。在圖2-3所示的配置界面中，應(yīng)將“屬性類型A.”的名稱為 (4) 的值設(shè)置為“Layer Two Tunneling Protocol”，名稱為 (5) 的值設(shè)置為“Virtual (VPN)”。 編輯SubInc策略的配置文件，添加“入站IP篩選器”，在如圖2-4所示的配置界面中，IP地址應(yīng)填為 (6)

9、 ，子網(wǎng)掩碼應(yīng)填為 (7) 。 8、問題4 子公司PC1安裝Windows XP操作系統(tǒng)，打開“網(wǎng)絡(luò)和Internet連接”。若要建立與公司總部服務(wù)器的VPN連接，在如圖2-5所示的窗口中應(yīng)該選擇 (8) ，在圖2-6所示的配置界面中填寫 (9) 。 (8)備選答案： A設(shè)置或更改您的Internet連接 B創(chuàng)建一個到您的工作位置的網(wǎng)絡(luò)連接 C設(shè)置或更改您的家庭或小型辦公網(wǎng)絡(luò) D為家庭或小型辦公室設(shè)置無線網(wǎng)絡(luò) E更改Windows防火墻設(shè)置 9、問題5 用戶建立的VPN連接xd2的屬性如圖2-7所示，啟動該VPN連接時是否需要輸入用戶名和密碼?為什么?10、問題6 圖2-8所示的配置窗口中所列

10、協(xié)議“不加密的密碼(PAP)”和“質(zhì)詢握手身份驗(yàn)證協(xié)議(CHAP)”有何區(qū)別? 試題三閱讀以下關(guān)于Linux文件系統(tǒng)和Samba服務(wù)的說明，回答問題1至問題3。說明 Linux系統(tǒng)采用了樹型多級目錄來管理文件，樹型結(jié)構(gòu)的最上層是根目錄，其他的所有目錄都是從根目錄生成的。 通過Samba可以實(shí)現(xiàn)基于Linux操作系統(tǒng)的服務(wù)器和基于Windows操作系統(tǒng)的客戶機(jī)之間的文件、目錄及共享打印服務(wù)。問題1 Linux在安裝時會創(chuàng)建一些默認(rèn)的目錄，如下表所示： 依據(jù)上述表格，在空1116中填寫恰當(dāng)?shù)膬?nèi)容(其中空11在候選答案中選擇)。 對于多分區(qū)的Linux系統(tǒng)，文件目錄樹的數(shù)目是 11 。 Linux系

11、統(tǒng)的根目錄是 12 ，默認(rèn)的用戶主目錄在 13 目錄下，系統(tǒng)的設(shè)備文件(如打印驅(qū)動)存放在 14 目錄中， 15 目錄中的內(nèi)容關(guān)機(jī)后不能被保存。 如果在工作期間突然停電，或者沒有正常關(guān)機(jī)，在重新啟動機(jī)器時，系統(tǒng)將要復(fù)查文件系統(tǒng)，系統(tǒng)將找到的無法確定位置的文件放到目錄 16 中。 11備選答案： A1 B分區(qū)的數(shù)目 C大于1問題2 默認(rèn)情況下，系統(tǒng)將創(chuàng)建的普通文件的權(quán)限設(shè)置為-rw-r-r-，即文件所有者對文件 17 ，同組用戶對文件 18 ，其他用戶對文件 19 。文件的所有者或者超級用戶，采用 20 命令可以改變文件的訪問權(quán)限。問題3 Linux系統(tǒng)中Samba的主要配置文件是/etc/sa

12、mba/smb.conf請根據(jù)以下的smb.conf配置文件，在空2125中填寫恰當(dāng)?shù)膬?nèi)容。 Linux服務(wù)器啟動Samba服務(wù)后，在客戶機(jī)的“網(wǎng)絡(luò)鄰居”中顯示提供共享服務(wù)的Linux主機(jī)名為 21 ，其共享的服務(wù)有 22 ，能夠訪問Samba共享服務(wù)的客戶機(jī)的地址范圍 23 ；能夠通過Samba服務(wù)讀寫/home/samba中內(nèi)容的用戶是 24 ；該Samba服務(wù)器的安全級別是 25 。 global workgroup = MYGROUP netbios name = smb-server server string = Samba Server ;hosts allow = 192.16

13、8.1.192.168.2.127. load printers = yes security = user printers comment = My Printer browseable = yes path = /usr/spool/samba guest ok = yes writable = no printable = yes public comment = Public Test browseable = no path = /home/samba public = yes writable = yes printable = no write list = test user

14、ldir comment = Userls Service browseable = no path = /usr/usr1 valid users = user1 public = no writable = yes printable = no試題四閱讀以下說明，回答問題1至問題4，將解答填入對應(yīng)的解答欄內(nèi)。說明 某公司總部和分支機(jī)構(gòu)的網(wǎng)絡(luò)配置如圖4-1所示。在路由器R1和R2上配置IPSec安全策略，實(shí)現(xiàn)分支機(jī)構(gòu)和總部的安全通信。 26、問題1 圖4-2中a.、b.、c.、d.為不同類型IPSec數(shù)據(jù)包的示意圖，其中 (1) 和 (2) 工作在隧道模式： (3) 和 (4) 支持報文加密

15、。 27、問題2 下面的命令在路由器R1中建立IKE策略，請補(bǔ)充完成命令或說明命令的含義。 R1 (config) # crypto isakmp policy 110 進(jìn)入ISAKMP配置模式 R1 (config-isakmp) # encryption des (5) R1 (config-isakmp) # (6) 采用MD5散列算法 R1 (config-isakmp) # authentication pre-share (7) R1 (config-isakmp) # group 1 R1 (config-isakmp) # lifetime (8) 安全關(guān)聯(lián)生存期為1天28、問

16、題3 R2與R1之間采用預(yù)共享密鑰“12345678”建立IPSec安全關(guān)聯(lián)，請完成下面配置命令。 R1 (config) # crypt isakmp key 12345678 address (9) R2 (config) # crypt isakmp key 12345678 address (10) 29、問題4 完成以下ACL配置，實(shí)現(xiàn)總部主機(jī)10.0.1.3和分支機(jī)構(gòu)主機(jī)10.0.2.3的通信。 R1 (config) # access-list 110 permit ip host (11) host (12) R2 (config) # access-list 110 perm

17、it ip host (13) host 10.0.1.3試題五閱讀以下說明，回答問題1至問題3，將解答填入對應(yīng)的解答欄內(nèi)。說明 某單位采用雙出口網(wǎng)絡(luò)，其網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖5-1所示。 該單位根據(jù)實(shí)際需要，配置網(wǎng)絡(luò)出口實(shí)現(xiàn)如下功能： 1單位網(wǎng)內(nèi)用戶訪問IP地址158.124.0.0/15和158.153.208.0/20時，出口經(jīng)ISP2： 2單位網(wǎng)內(nèi)用戶訪問其他IP地址時，出口經(jīng)ISP1： 3服務(wù)器通過ISP2線路為外部提供服務(wù)。30、問題1 在該單位的三層交換機(jī)S1上，根據(jù)上述要求完成靜態(tài)路由配置。 ip route (1) (設(shè)置默認(rèn)路由) ip route 158.124.0.0 (2)

18、 (3) (設(shè)置靜態(tài)路由) ip route 158.153.208.0 (4) (5) (設(shè)置靜態(tài)路由)31、問題2 1根據(jù)上述要求，在三層交換機(jī)S1上配置了兩組ACL，請根據(jù)題目要求完成以下配置。 access-list 10 permit ip host 10.10.30.1 any access-list 10 permit ip host (6) any access-list 12 permit ip any 158.124.0.0 (7) access-list 12 permit ip any 158.153.208.0 (8) access-list 12 deny ip a

19、ny any 2完成以下策略路由的配置。 route-map test permit 10 (9) ip address 10 (10) ip next-hop (11) 32、問題3 以下是路由器R1的部分配置。請完成配置命令。 R1 (config) # interface fastethernet0/0 R1 (config-if) # ip address (12) (13) R1 (config-if) ip nat inside R1 (config) # interface fastethernet01 R1 (config-if) # ip address (14) (15)

20、R1 (config-if) ip nat outside 答案:試題一1、(1)225.255.255.0 (2)frame-relay 2、(3)100 (4)200 (5)300 (6)trunk (7)dot1q 3、 (8)switchport mode access (9)switch access vlan 100 (10)B 4、 (11)255.255.255.255 (12)202.114.13.2 試題二5、 (1)PPTP(點(diǎn)對點(diǎn)隧道協(xié)議) (2)PPP(點(diǎn)對點(diǎn)協(xié)議)解析 本題考查的是VPN及其配置問題。 問題1考查的是“路由和遠(yuǎn)程訪問”提供的兩種用于創(chuàng)建路由器到路由器

21、的VPN連接的隧道協(xié)議：點(diǎn)對點(diǎn)隧道協(xié)議(PPTP)和第二層隧道協(xié)議(L2TP)。PPTP是一種 VPN隧道協(xié)議，是點(diǎn)對點(diǎn)協(xié)議(PPP)的擴(kuò)展，并利用PPP的身份驗(yàn)證、壓縮和加密機(jī)制。L2TP是一個工業(yè)標(biāo)準(zhǔn)Internet隧道協(xié)議，它先把各種網(wǎng)絡(luò)協(xié)議封裝到PPP中，再把整個數(shù)據(jù)包裝入隧道協(xié)議中。與PPTP一樣，L2TP也利用PPP的身份驗(yàn)證和壓縮機(jī)制。但與PPTP不同的是，L2TP不采用“Microsoft點(diǎn)對點(diǎn)加密(MPPE)”來加密PPP幀。L2TP依賴于加密服務(wù)的Internet協(xié)議安全性(IPSec)。6、B解析 問題2考查的是遠(yuǎn)程訪問VPN服務(wù)的部署。在VPN連接頁，應(yīng)選擇連接到Int

22、ernet的網(wǎng)絡(luò)接口，因此應(yīng)選擇對應(yīng)的接口連接2。7、(4)Tunnel-Type (5) NAS-Port-Type (6) 202.115.12.34 (7) 255.255.255.255解析 問題3考查的是遠(yuǎn)程訪問策略的配置。要配置遠(yuǎn)程訪問策略以控制VPN連接的身份驗(yàn)證和加密選項(xiàng)，要使用以下設(shè)置創(chuàng)建遠(yuǎn)程訪問策略：將NAS-Port-Type條件設(shè)置為“Virtual(VPN)”，并將Tunnel-Type條件設(shè)置為“Layer Two Tunneling Protocol”。在配置數(shù)據(jù)包篩選器時，要鍵入外部接口的p地址。在“子網(wǎng)掩碼”框中，鍵入255.255.255.255。8、 (8

23、)B (9)61.134.1.37解析 問題4考查的是VPN客戶端的配置?？蛻舳松蠎?yīng)新建一個“到您的工作位置的網(wǎng)絡(luò)連接”，在VPN服務(wù)器選擇時，要鍵入VPN服務(wù)器計(jì)算機(jī)的IP地址或主機(jī)名。9、不需要。因?yàn)檫x中“自動使用我的Windows登錄名和密碼”，此時用本機(jī)Windows登錄的用戶名和密碼進(jìn)行VPN連接。解析 問題5考查的是VPN身份驗(yàn)證。該VPN連接時是不需要輸入用戶名和密碼的，因?yàn)檫x中了“自動使用我的Windows登錄名和密碼”，此時用本機(jī)Windows登錄的用戶名和密碼進(jìn)行VPN連接。10、PAP使用明文身份驗(yàn)證。 CHAP通過使用MD5和質(zhì)詢響應(yīng)機(jī)制提供一種加密身份驗(yàn)證。解析 問題

24、6考查的是PPP協(xié)議定義的兩種類型的認(rèn)證。握手認(rèn)證協(xié)議(CHAP)使用一種算法(MD-5)來計(jì)算只有認(rèn)證系統(tǒng)和遠(yuǎn)程設(shè)備知道的值。它總是對用戶m和密碼進(jìn)行加密，所以該協(xié)議比PAP更安全。此協(xié)議對回放和試錯法訪問企圖有效?？梢栽谶B接期間執(zhí)行多次CHAP認(rèn)證。認(rèn)證系統(tǒng)向正在嘗試連接到網(wǎng)絡(luò)的遠(yuǎn)程設(shè)備發(fā)送一個握手信號。遠(yuǎn)程設(shè)備通過由兩個設(shè)備使用的公共算法(MD-5)所算出的值進(jìn)行響應(yīng)。認(rèn)證系統(tǒng)對照自己的計(jì)算結(jié)果檢查該響應(yīng)。當(dāng)這些值匹配時，認(rèn)證被認(rèn)可：否則，結(jié)束連接。不加密的密碼(PAP)使用雙向握手為同級系統(tǒng)提供鑒別其身份的簡單方法，也就是普通的口令認(rèn)證，要求將密鑰信息在通信信道中明文傳輸。在建立鏈接時

25、進(jìn)行握手。在建立鏈接之后，遠(yuǎn)程設(shè)備將一個用戶ID/密碼對發(fā)送到認(rèn)證系統(tǒng)。根據(jù)用戶ID/密碼對的正確與否，認(rèn)證系統(tǒng)繼續(xù)連接或結(jié)束連接。試題三11、A 12、 13、/home 14、/dev 15、/proc 16、/lost+found 17、可讀、可寫 18、僅可讀 19、僅可讀 20、chmod 21、smb-server 22、printers或My Printer 23、無限制(因?yàn)閔osts allow被分號注釋掉了) 24、Linux系統(tǒng)的test組中用戶(僅回答test用戶不給分) 25、 用戶安全級解析 Linux系統(tǒng)中每個分區(qū)都是一個文件系統(tǒng)，Linux將這些分屬不同分區(qū)、單

26、獨(dú)的文件系統(tǒng)按一定的方式形成一個系統(tǒng)的總目錄層次結(jié)構(gòu)，即一個目錄樹。 Linux使用樹型目錄結(jié)構(gòu)管理文件和目錄。樹型結(jié)構(gòu)由一個根目錄(root)和根目錄下的子目錄構(gòu)成，每一個目錄內(nèi)可以包含下一級目錄、文件、指向其他文件系統(tǒng)的符號鏈接、表示設(shè)備的設(shè)備名(如/dev/had)。 Linux系統(tǒng)主要的目錄項(xiàng)包括： Linux文件的訪問權(quán)限有4種：讀(r)、寫(w)、執(zhí)行(x)和無權(quán)(-)。對于目錄來說，執(zhí)行權(quán)限允許用戶進(jìn)入該目錄。對每個文件可以指定三種存取控制權(quán)限：文件所有者對文件所擁有的存取權(quán)限，文件所有者所在組對文件所擁有的存取權(quán)限，其他任意用戶對文件所擁有的存取權(quán)限。根用戶(root)具有對一

27、切目錄和文件的控制權(quán)限并可以指定對任何一個文件和目錄的存取權(quán)限，一般用戶只能對自己建立的文件和目錄制定存取權(quán)限。默認(rèn)情況下，系統(tǒng)將創(chuàng)建的普通文件的權(quán)限設(shè)置為-rw-r-r-，即文件所有者對該文件可讀可寫(rw)，而同組用戶和其他用戶都只可讀；同樣，在默認(rèn)配置中，將每一個用戶所有者目錄的權(quán)限都設(shè)置為drwx-，即只有文件所有者對該目錄可讀、寫和可查詢，也意味著用戶不能讀其他用戶目錄中的內(nèi)容。 chmod(change mode的簡寫)命令用于改變文件或目錄的訪問權(quán)限。只有文件所有者或超級用戶root才有權(quán)用chmod改變文件或目錄的訪問權(quán)限。 Samba是一個基于SMB(Server Messa

28、ge Block)協(xié)議的功能強(qiáng)大的軟件工具，可以實(shí)現(xiàn)基于Linux操作系統(tǒng)的文件/目錄及打印機(jī)共享服務(wù)。SMB是一種客戶端/服務(wù)器協(xié)議，SMB客戶端使用TCP/IP、NetBEUI或IPX/SPX與服務(wù)器連接。當(dāng)工作在TCP/IP網(wǎng)絡(luò)上時，通過NetBIOS nameserver 使網(wǎng)絡(luò)中Linux系統(tǒng)用戶的機(jī)器可以在Windows系統(tǒng)的網(wǎng)絡(luò)鄰居上被看到。 Samba安裝完成后，通過配置/etc/samba/smb.conf文件，才能使其有效工作，該配置文件的部分重要參數(shù)說明如下。 global：配置文件中關(guān)于全局參數(shù)的設(shè)置部分。 workgroup=MYGROUP：這是設(shè)置服務(wù)器所要加入的工

29、作組的名稱。 netbios name =smb-server：設(shè)置出現(xiàn)在“網(wǎng)上鄰居”中的主機(jī)名。 server string=Samba Server：設(shè)置服務(wù)器主機(jī)的說明信息。 hosts allow=192.168.1.192.168.2.127：用于限制可以訪問samba服務(wù)器的客戶端的IP地址范圍。默認(rèn)情況下，這行配置被注釋掉了(左邊是；號的是注釋行)，表示允許所有IP地址的主機(jī)都可以訪問這臺samba服務(wù)器。 security=user：設(shè)置samba服務(wù)器的安全等級。Samba服務(wù)器一共有4種安全等級，分別是share(共享安全級)、user(用戶安全級)、server(服務(wù)器安

30、全級)和domain(域安全級)。 public等：共享資源的名稱。 comment=：針對共享資源所作的說明、注釋部分。 browseable=：設(shè)置用戶是否可以看到此共享資源，默認(rèn)值是yes。 writable=：共享的資源是否可以寫入。 valid users=：指定允許使用服務(wù)的用戶列表。 write list=：設(shè)置讀寫訪問用戶列表，參數(shù)后的名稱表示用戶組。試題四26、(1)、(2) c、d (順序可交換) (3)、(4) b、d (順序可交換)解析 本題考查考生在路由器上配置IPSec安全策略的實(shí)際操作能力?？键c(diǎn)涉及到IPSec的基本概念和相關(guān)的配置命令。 考查IPSec的基本概念

31、，IPSec支持認(rèn)證頭(AH)協(xié)議和封裝安全有效載荷(ESP)協(xié)議，其中認(rèn)證頭協(xié)議僅支持認(rèn)證，不支持加密；封裝安全有效載荷協(xié)議既支持認(rèn)證又支持加密。IPSec有兩種工作模式，分別是傳輸模式和隧道模式，工作在傳輸模式時，AH或ESP被插入到IP頭和有效載荷之間；工作在隧道模式時，在AH或ESP前面會生成一個新的IP頭。從圖4-2中可以看出，(a)、(c)支持的是AH協(xié)議，(b)、(d)支持的是ESP協(xié)議，(a)、(b)工作在傳輸模式，(c)、(d)工作在隧道模式。所以(1)、(2)答案為c和d；(3)、(4)答案為b和d。27、(5)加密算法為DES (6)hash md5 (7)認(rèn)證采用預(yù)共享

32、密鑰 (8)86400解析 考查IKE策略的建立步驟和命令。配置IKE的策略配置主要包含以下方面： 加密算法encryption默認(rèn)DES。 散列算法hash默認(rèn)SHA。 密鑰交換group默認(rèn)1。 驗(yàn)證方法authentication默認(rèn)rsa-si，如果使用pre-share則在路由器中配置key。 IKE SA生命周期lefttime默認(rèn)86400s(1天)。 空(5)對應(yīng)命令的解釋為“加密算法為DES”；空(6)提示要求采用MD5散列算法，對應(yīng)命令為“hash md5”；空(7)對應(yīng)命令為采用預(yù)共享密鑰認(rèn)證；空(8)要求安全關(guān)聯(lián)生存期為1天，對應(yīng)命令為lifetime 86400(單位

33、為秒：1天=243600秒)。28、(9)172.30.2.2 (10)172.30.1.2解析 考查預(yù)共享密鑰的設(shè)置，在路由器R1與R2之間需要分別配置對方的預(yù)共享密鑰，路由器R1與R2的對方分別是R2和R1，所以(9)、(10)分別是R2和R1的IP地址172.30.2.2和172.30.1.2。29、(11)10.0.1.3 (12)10.0.2.3 (13)10.0.2.3解析 考查ACL配置，為了實(shí)現(xiàn)10.0.1.3和10.0.2.3的通信，需要分別在路由器 R1和R2上作相應(yīng)的AC1配置，R1的配置為允許10.0.1.3到10.0.2.3的IP包，R2的配置為允許10.0.2.3到

34、10.0.1.3的IP包。根據(jù)擴(kuò)展ACL配置命令語法： Router (config) #access-list access-list-number permit | deny protocol source source-wildcard destination destination-wildcard operator port established log 空(11)為源主機(jī)IP地址10.0.1.3，空(12)為目標(biāo)主機(jī)IP地址10.0.2.3，空(13)為源主機(jī)IP地址10.0.2.3。試題五30、(1) 0.0.0.00.0.0.0 10.10.10.1 (2) 255.254.0.0 (3) 10.10.20.1 (4) 255.255.240.0 (5) 10.10.20.1解析 本題目考查的是局域網(wǎng)雙出口的配置及ACL設(shè)置問題。 問題1考查的是路由器靜態(tài)路由的設(shè)置方法。根據(jù)題目要求，該網(wǎng)絡(luò)內(nèi)用戶訪問 IP地址158.124.0.0/15和158.153.208.0/20時，出口經(jīng)ISP2，由圖5-1可知，其端口地址為10.10.20.1/24，網(wǎng)內(nèi)用戶訪問其他IP地址時，出口經(jīng)ISP1由圖5-1可知，其端口地址為10.10.10.1/24。所以，在該單位的三層交換機(jī)S1上，靜態(tài)路由配置如下： ip route 0