某企业的网络结构如图2-1所示。该企业通过一台路由器接入到互-名校题库网

某企业的网络结构如图2-1所示。

该企业通过一台路由器接入到互联网，企业内部按照功能的不同分为6个VLAN。分别是网络设备与网管（VLAN1）、内部服务器（VLAN2）、Internet连接（VLAN3）、财务部（VLAN4）、市场部（VLAN5）、研发部门（VLAN6）。

中级网络工程师,历年真题,2015年下半年（下午）《网络工程师》案例分析真题

图2-1

【问题1】（7分）

1．访问控制列表ACL是控制网络访问的基本手段，它可以限制网络流量，提高网络性能。ACL使用（1）技术来达到访问控制目的。ACL分为标准ACL和扩展ACL两种，标准访问控制列表的编号为（2）和1300～1999之间的数字，标准访问控制列表只使用（3）进行过滤，扩展的ACL的编号使用（4）以及2000～2699之间的数字。

2．每一个正确的访问列表都至少应该有一条（5）语句，具有严格限制条件的语句应放在访问列表所有语句的最上面，在靠近（6）的网络接口上设置扩展ACL，在靠近（7）的网络接口上设置标准ACL。

【问题2】（5分）

网管要求除了主机10.1.6.66能够进行远程telnet到核心设备外，其它用户都不允许进行tehet操作。同时只对员工开放Web服务器（10.1.2.20）、FTP服务器（10.1.2.22）和数据库服务器（10.1.2.21:1521），研发部除IP为10.1.6.33的计算机外，都不能访问数据库服务器，按照要求补充完成以下配置命令。

…

Switch-core#conf t

Switch-core(config)#access-list 1permit host(8)

Switch-core(config)#line(9)0 4

Switch-core(config-line)#access-class 1(10)

…

Switch-core(config)#ip access-list extend server-project

Switch-core(config–ext-nacl)#permit tcp host(11)host 10.1.2.21 eq 1521

Switch-core(config–ext-nacl)#deny tcp(12)0.0.0.255 host 10.1.2.21 eq 1521

Switch-core(config–ext-nacl)#permit tcp 10.1.0.0.0.0.255.255 host 10.1.2.21 eq 1521

Switch-core(config–ext-nacl)#permit tcp 10.1.0.0.0.0.255.255 host 10.1.2.20 eq www

Switch-core(config–ext-nacl)#permit tcep 10.1.0.0.0.0.255.255 host 10.1.2.22 eq ftp

【问题3】（4分）

该企业要求在上班时间内（9:00-18:00）禁止内部员工浏览网页（TCP 80和TCP 443端口），禁止使用QQ（TCP/UDP 8000端口以及UDP 4000）和MSN（TCP 1863端口）。另外在2015年6月1日到2日的所有时间内都不允许进行上述操作。除过上述限制外。在任何时间都允许以其它方式访问Internet。为了防止利用代理服务访问外网，要求对常用的代理服务端口TCP 8080、TCP 3128和TCP 1080也进行限制。按照要求补充完成（或解释）以下配置命令。

...

Switch-core(config)#time-range TR1

Switch-core(config-time-range)#absolute start 00:00 1 June 2015 end 00:00 3 June 2015

Switch-core(config-time-range)#periodic weekdays start(13)

Switch-core(config-time-range)#exit

...

Switch-core(config)#ip access-list extend internet_limit

Switch-core(config-ext-nacl)#deny tcp 10.1.0.0?0.0.255.255?any?eq?80 time-range TR1

Switch-core(config-ext-nacl)#deny tcp 10.1.0.0 0.0.255.255 any eq 443 time-range TR1

//(14)

Switch-core(config-ext-nacl)#deny tcp 10.1.0.0 0.0.255.255 any eq 1863 time-range TR1

//(15)

Switch-core(config-ext-nacl)#deny tcp 10.1.0.0 0.0.255.255 any eq 8000 time-range TR1

Switch-core(config-ext-nacl)#deny tcp 10.1.0.0 0.0.255.255 any eq 4000 time-range TR1

Switch-core(config-ext-nacl)#deny tcp 10.1.0.0 0.0.255.255 any eq 3128 time-range TR1

Switch-core(config-ext-nacl)#deny tcp 10.1.0.0 0.0.255.255 any eq 8080 time-range TR1

Switch-core(config-ext-nacl)#deny tcp 10.1.0.0 0.0.255.255 any eq 1080 time-range TR1

Switch-core(config-ext-nacl)#permit ip any any

Switch-core(config-ext-nacl)#exit

Switch-core(config)#int(16)

Switch-core(config-if)#ip access-group internrt_limit out

...

【问题4】（4分）

企业要求市场和研发部门不能访问财务部Vlan中的数据，但是财务部门做为公司的核心管理部门，又必须能访问到市场和研发部门Vlan内的数据。按照要求补充完成（或解释）以下配置命令。

...

Switch-core(config)#ip access-list extend fi-main

Switch-core(config-ext-nacl)#permit tcp any 10.1.0.0 0.0.255.255 reflect r-main timeout 120

Switch-core(config-ext-nacl)#permit udp any 10.1.0.0 0.0.255.255 reflect r-main timeout 200

Switch-core(config-ext-nacl)#permit icmp any 10.1.0.0 0.0.255.255 reflect r-main timeout 10

Switch-core(config-ext-nacl)#permit ip any any

Switch-core(config-ext-nacl)#exit

Switch-core(config-ext-nacl)#int(17)

Switch-core(config-if)#ip access-group fi-main in

…

Switch-core(config)#ip access-list extend fi-access-limit

Switch-core(config-ext-nacl)#evaluate r-main

Switch-core(config-ext-nacl)#deny ip any(18)

Switch-core(config-ext-nacl)#permit ip any any

Switch-core(config-ext-nacl)#exit

Switch-core(config)#int(19)

Switch-core(config-if)#ip access-group fi-access-limit in

Switch-core(config-if)#int(20)

Switch-core(config-if)#ip access-group fi-access-limit in

...

查看答案纠错

答案：

本题解析：

【问题1】（7分）

（1）对数据包进行过滤

（2）1-99

（3）源地址

（4）100-199

（5）允许

（6）出口（数据源地址）

（7）入口（数据目的地址）

【问题2】（5分）

（8）10.1.6.66

（9）vty

（10）in

（11）10.1.6.33

（12）10.1.6.0

【问题3】（4分）

（13）9:00 18:00

（14）禁止10.1.0.0/16的主机在上班时间通过443端口访问Web服务器

（15）禁止10.1.0.0/16的主机在上班时间通过1863端口登录MSN

（16）vlan 3

【问题4】（4分）

（17）vlan 4

（18）10.1.4.0 0.0.0.255

（19）vlan 5

（20）vlan 6

【问题1】（7分）

访问控制列表就是用来在路由技术的网络中，决定这些数据流量是应该被转发还是被丢弃的技术。同时访问控制列表成为实现防火墙实现的重要手段。

访问控制列表用来限制使用者或设备，达到控制网络流量，解决拥塞，提高安全性等。在IP网络中，可以使用的访问列表有标准访问列表（值为1~99）、扩展访问列表（标号为100~199）两种。

同时访问控制列表实际上是一系列的判断语句，这些语句是一种自上而下的逻辑排列的关系。当我们把一个访问控制列表放在接口上面的时候，被过滤的数据包会一个一个地和这些语句的条件进行顺序的比较，以找出符合条件的数据包。当数据包不能符合一条语句的条件，它将向下与下一条语句的条件比较，如果一直不能符合的话。在访问控制列表的最后一项，有一条隐藏的语句，拒绝所有，把数据包丢弃。

对于过滤从同一个源地址到目地址的数据流，在网络中应用标准访问控制列表和应用扩展的访问控制列表的位置是不同的。标准的访问控制列表要尽量放在接近数据流目的的地方，也就是路由器的in接口。扩展的访问控制列表要尽量放在接近数据流源的地方，也就是路由器的OUT接口。

【问题2】（5分）

网管要求除了主机10.1.6.66能够进行远程telnet到核心设备外，其它用户都不允许进行telnet操作。同时只对员工开放Web服务器（10.1.2.20）、FTP服务器（10.1.2.22）和数据库服务器（10.1.2.21:1521），研发部除IP为10.1.6.33的计算机外，都不能访问数据库服务器，按照要求补充完成以下配置命令。

Access-list 1 permit host 10.1.6.66

Line vty 0 4

Access-class 1 in

Permit tcp host 10.1.6.33 host 10.1.2.21 eq 1521

Deny tcp 10.1.6.0 0.0.0.255 host 10.1.2.21 eq 1521

【问题3】（4分）

本题主要考察基于时间的ACL：

第一步，定义一个时间范围；

第二步，在访问表中用Time-range引用刚刚定义的时间范围。

一、定义时间范围

定义时间范围又分为两个步骤。

1：使用全局Time-range命令来正确地指定时间范围。

格式：time-range time-range-name

2：使用Absolute（绝对时间）或者一个或多个Periodic（循环时间）语句来定义时间范围，每个时间范围只能有一个Absolute语句，但它可以有多个Periodic语句。

所以：periodic weekdays start 9:00 18:00

Deny tcp 10.1.0.0 0.0.255.255 any eq 443 time-range TR1//禁止10.1.0.0/16的主机在上班时间通过443端口访问Web服务器

Deny tcp 10.1.0.0 0.0.255.255 any eq 1863 time-range TR1//禁止10.1.0.0/16的主机通过1863端口登录MSN

Int vlan 3//配置在核心交换机vlan3这边的接口上

【问题4】（4分）

两个主机进行通信，需要满足A到B、B到A这两个反向的数据包都不能阻断，

当财务部访问市场部门和研发部门的时候，当这些部门主机在到达核心交换机的时候，由于普通的ACL不具备监测会话状态的能力，就会被deny ip any 10.1.4.0 0.0.0.255这条ACL阻断了，所以不能访问成功。

要实现单方向的访问控制，我们可以在财务部访问市场和研发部门时候，在市场和研发部门的ACL临时生成一个反向的ACL条目，就能实现。

int vlan4//反向的ACL应用在财务部所在VLAN4的in接口上。

Denyip any 10.1.4.0 0.0.0.255

int vlan 5

int vlan 6

包含此试题的试卷

你可能感兴趣的试题

热门试题更多>

相关题库更多>

题目纠错

友情链接