推荐等级:
发布时间: 2021-12-16 17:53
扫码用手机做题
图4-1为某学校网络拓扑图,运营商分配的公网IP地址为113.201.60.1/29,运营商网关地址为113.201.60.1,内部用户通过路由器代理上网,代理地址为113.201.60.2.核心交换机配置基于全局的DHCP服务,在办公楼和宿舍楼用户提供DHCP服务。内部网络划分为3个VLAN,其中VLAN10的地址10.0.10.1/24,VLAN20的地址10.0.20.1/24,VLAN30的地址10.0.30.1/24,请结合下图,回答相关问题。
图4-1
【问题1】(共9分)
路由器的配置片段如下,根据图4-1,补齐(1)~(6)空缺的命令。
#配置WAN接口和内网上网代理
<Huawei>system-view
[Huawei]sysname()
[Router]interface()
[Router-GigabitEthernet1/0/0]ip address()
[Router-GigabitEthernet1/0/0]quit
[Router]ip route-static 0.0.0.0 0.0.0.0()
[Router-acI-basic-2000]
[Router-acI-basic-2000]rule 5 permit source 10.0.0.0()
[Router-acl-basic-2000]quit
[Router]interface GigabitEthernet1/0/0
[Router-GigabitEthernet1/0/0]nat outbound()
[Router-GigabitEthernet1/0/0]quit
……
其他配置略
【问题2】(共6分)
核心交换机的配置片段如下,根据图4-1,补齐(7)~(10)空缺的命令。
#配置GEO/0/2接口加入VLAN20,并配置对应VLAN接口地址
[Switch]vlanbatch20
[Switch]inlterface?GigabitEthernet0/0/2
[Switch-GigabitEthernet0/0/2]port?link-type()
[Switch-GigabitEthernet0/0/2]port?hybrid?pvid?vlan20
[Switch-GigabitEthernet0/0/2]port?hybrid?untagged?vlan20
[Switch-GigabitEthernet0/0/2]quit
[Switch]interface?vlanif?20
[Switch-Vlanif20]ip?address()
[Switch-Vlanif20]quit
.......
其他配置略
#配置DHCP服务,租期3天
[Switch]dhcp()
[Switch]ip?pool?pooll
[Switch-ip-pool-pooll]network?10.0.20.0?mask?225.225.255.0
[Switch-ip-pool-pooll]dns-list?10.0.10.2
[Switch-ip-pool-pooll]gateway-list?10.0.20.1
[Switch-ip-pool-pooll]lesae?day()
[Switch-ip-pool-pooll]quit
[Switch]interface?vlanif?20
[Switch-Vlanif20]dhcp?select?global
[Switch-Vlanif20]quit
......
其他配置略
本题解析:
【问题1】(共9分)
(1)Router
(2)GigabitEthernet 1/0/0
(3)113.201.60.2 255.255.255.248
(4)113.201.60.1
(5)0.255.255.255(0.255.255.255—0.0.31.255任意一个合适的掩码均正确)
(6)2000
【问题2】(共6分)
(7)hybrid
(8)10.0.20.1 255.255.255.0
(9)enable
(10)3
【问题1】(共9分)
(1)对设备进行重命名。
(2)进入端口子模式
(3)给端口配置IP和掩码。
(4)配置默认路由,下一跳指向ISP地址。
(5)配置反掩码
(6)把符合ACL2000的地址做NAT转换
【问题2】(共6分)
(7)除了Access类型和Trunk类型外,交换机还支持第三种Hybrid类型端口。这种接口可以接收和发送多个VLAN数据帧,同时还能指定对任何VLAN帧进行剥离标签操作。
(8)配置接口IP和掩码
(9)dhcp enable:开启DHCP配置。
lease day 3:配置租约期间为3天。
请根据Windows服务器的安装与配置,回答下列问题。
【问题1】(共8分)
图3-1是安装好的服务器管理器界面,在当前配置下,根域的名称是(1)。
图示中角色服务配置时,建立域控制器DC(Domain Controller),需要通过命令行方式运行(2)命令;域中的DC和DNS配置在同一设备时,需要将独立服务器的首个DNS与DC的IP地址配置为(3);DHCP服务加入DC需要(4),否则服务报错。
(2)备选答案:
A.dcomcnfg B.dcpromo
【问题2】(共6分)
图3-2是hosts文件内容,图3-3是配置安全站点https://webtest.com的界面。
图3-2中,127.0.0.1 webtest.com的含义是(5)。在建立安全站点时,需要在
WEB服务器上启用(6)功能,并且绑定创建好的证书。
备选答案:
A:SSL B.代理
若将图3-3中https的端口号改为8000,访问站点的URL是(7)。
【问题3】(共6分)
图3-4是通过设备管理器查看到的信息,未安装驱动程序的设备提供(8)功能。
在"驱动程序'选项卡中会显示驱动程序提供商、驱动程序日期、驱动程序版本和(9)信息。
若更新驱动程序后无法正常运行,可以在该选项卡页面通过(10)操作将以前的驱动程序恢复。
(9)备选答案:
A.数字签名B.硬件类型
本题解析:
【问题1】
(1)con-oso.com
(2)B
(3)相同
(4)授权
【问题2】
(5)在主机HOSTS表中建立webtest.com和127.0.0.1的对应关系
(6)A
(7)https://webtest.com:8000
【问题3】
(8)指纹识别
(9)A
(10)回退驱动程序
【问题1】
考Windows服务器的操作
【问题2】
(5)在主机HOSTS表中建立webtest.com和127.0.0.1的对应关系
SSL可以对万维网客户与服务器之间传送的数据进行加密和鉴别。在双方握手阶段,对将要使用的加密算法和双方共享的会话密钥进行协商,完成客户与服务器之间的鉴别。在握手完成后,所传送的数据都使用会话密钥进行传输。
访问地址https://webtest.com:8000。
【问题3】
略,请参考答案。
某公司的网络拓扑结构图如图2-1所示
【问题1】(共5分)
为了保障网络安全,该公司安装了一款防火墙,对内部网络、服务期以及外部网络进行逻辑隔离,其网络结构如图2-1所示。
包过滤防火墙使用ACL实现过滤功能,常用的ACL分为两种,编号为(1)的ACL根据IP报文的(2)域进行过滤,称为(3);编号为(4)的ACL根据IP报文中的更多域对数据包进行控制,称为(5)。
(1)~(5)备选项:
A.标准访问控制列表B.扩展访问控制列表
C.基于时间的访问控制列表D.1-99
E.0-99?F.100-199
G.目的的IP地址H.源IP地址
I.源端口J.目的端口
【问题2】(共6分)
如图2-1所示,防头墙的三个端口,端口⑥是(6)、端口⑦是(7)、端口⑧是(8)。
(6)~(8)是备选项
A.外部网络B.内部网络C.非军事区
【问题3】(共9分)
公司内部IP地址分配如下
表2-1
1.为保护内网安全,防火墙的安全配置要求如下
(1)内外网用户均可访问Web服务器,特定主机200.120.100.1可以通过Telnet访问Web服务器。
(2)禁止外网用户访问财务服务器,禁止财务部门访问Internet,允许生产部门和行政部门访问Internet。
根据以上需求,请按照防火墙的最小特权原则补充完成表2-2:
表2-2
2.若调换上面配置中的第3条和第4条规则的顺序,则(16)
(16)备选项:
A.安全规则不发生变化
B.财务服务器将受到安全威胁
C.Web服务器将受到安全威胁
D.内网用户将无法访问Intrnet
3.在上面的配置中,是否实现了"禁止外网用户访问财务服务器"这条规则?
本题解析:
【问题1】
(1)D
(2)H
(3)A
(4)F
(5)B
【问题2】
(6)A
(7)C
(8)B
【问题3】
(9)10.10.200.1
(10)80
(11)200.120.100.1
(12)23
(13)192.168.10.0/23
(14)允许
(15)拒绝
(16)D
(17)已经实现,除开允许的,其余均已经禁止
【问题1】
访问控制列表用来限制使用者或设备,达到控制网络流量,解决拥塞,提高安全性等。在IP网络中,可以使用的访问列表有标准访问列表(值为1~99、1300-1999)、扩展访问列表(标号为100~199、2000-2699)两种。
标准访问列表:基于源IP地址进行判定是否允许或拒绝数据包通过。
扩展的访问列表是在标准访问列表的基础上增加更高层次的控制,它能够基于目的地址、端口号码、协议来控制数据包。
【问题2】
防火墙通常具有至少3个接口,使用防火墙时,就至少产生了3个网络,描述如下:
内部区域(内网)。内部区域通常就是指企业内部网络或者是企业内部网络的一部分。它是互连网络的信任区域,即受到了防火墙的保护。
外部区域(外网)。外部区域通常指Internet或者非企业内部网络。它是互连网络中不被信任的区域,当外部区域想要访问内部区域的主机和服务,通过防火墙,就可以实现有限制的访问。
非军事区(DMZ,又称停火区)。是一个隔离的网络,或几个网络。位于区域内的主机或服务器被称为堡垒主机。一般在非军事区内可以放置Web、Mail服务器等。停火区对于外部用户通常是可以访问的,这种方式让外部用户可以访问企业的公开信息,但却不允许它们访问企业内部网络。
【问题3】
配置略,请查看答案。
访问控制列表就是用来在路由技术的网络中,决定这些数据流量是应该被转发还是被丢弃的技术。同时访问控制列表成为实现防火墙实现的重要手段。
设置ACL的一些规则:
1,按顺序进行比较,先比较第一行,再比较第二行,直到最后一行;
2,从第一行起,直到找到1个符号条件的行;符合之后,其余的行就可以不用继续比较下去;
3,默认在每个ACL中最后一行都隐藏有拒绝所有,如果之前没找到一条允许(permit)语句,意味着包将会被丢弃,所以每个ACL必须至少有一行Permit语句,除非用户想把所有的数据包丢弃。
如果3、4条规则顺序交换,会导致内网用户无法访问互联网。
另外禁止外网访问财务服务器已经实现,因为配置中除开允许的,其余均已经禁止
某企业网络拓扑如图1-1所示,中国电信和中国移动双链路接入,采用硬件设备实现链路负载均衡:主磁盘阵列的数据通过备份服务器到备份磁盘阵列。请结合下图,回答相关问题。
【问题1】(共6分)
图1-1中,设备①处部署(1),设备②处部署(2),设备③处部署(3)。
(1)~(3)备选答案(每个选项限选一次):
A.入侵防御系统(IPS)B.交换机C.负载均衡
【问题2】〈共4分〉
图1-1中,介质①处应采用(4),介质②处应采用(5)
(4)~(5)备选答案(每个选项限选一次):
A.双绞线B.同轴电缆C.光纤
【问题3】〈共4分〉
图1-1中,为提升员工的互联网访问速度,通过电信出口访问电信网络,移动出口访问移动网络,则需要配置基于(6)地址的策略路由:运行一段时间后,网络管理员发现电信出口的用户超过90%以上,网络访问速度缓慢,为实现负载均衡,网络管理员配置基于(7)地址的策略路由,服务器和数据区域访问互联网使用电信出口,行政管理区域员工访问互联网使用移动出口,生产业务区域员工使用电信出口。
【问题4】(共6分〉
1.图1-1中,设备④处应为(8),该设备可对指定计算机系统进行安全脆弱性扫描和检测,发现其安全漏洞,客观评估网络风险等级。
2.图1-1中,(9)设备可对恶意网络行为进行安全检测和分析。
3.图1-1中,(10)设备可实现内部网络和外部网络之间的边界防护,依据访问规则,允许或者限制数据传输。
本题解析:
【问题1】(共6分)
(1)C
(2)A
(3)B
【问题2】(共4分)
(4)A
(5)C
【问题3】(共4分)
(6)目的
(7)源
【问题4】(共6分)
(8)漏洞扫描设备
(9)IPS
(10)防火墙
【问题1】(共6分)
综合分析,设备3是交换机,那么设备2是IPS,设备1选择负载均衡。
【问题2】(共4分)
介质1连接接入交换机和用户,为双绞线,而介质2连接FC交换机和磁盘阵列,所以是光纤。
【问题3】(共4分)
访问电信网络走电信出口,访问移动网络走移动出口,所以是基于目的地址的策略路由。而后来根据需求改为基于源地址的策略路由。
【问题4】(共6分)
漏洞扫描通常是指基于漏洞数据库,通过扫描等手段,对指定的远程或者本地计算机系统的安全脆弱性进行检测,发现可利用的漏洞的一种安全检测(渗透攻击)行为。漏洞扫描技术是一类重要的网络安全技术。所以这里是漏洞扫描设备。
在图中,IPS设备对恶意网络行为进行分析。
防火墙设备实现内外网之间的安全保护。
试卷分类:中级网络工程师
练习次数:0次
试卷分类:中级系统集成项目管理工程师
练习次数:0次
试卷分类:高级系统规划与管理师
练习次数:0次
试卷分类:高级系统规划与管理师
练习次数:0次
试卷分类:高级信息系统项目管理师
练习次数:24次
试卷分类:中级系统集成项目管理工程师
练习次数:4次
试卷分类:高级系统架构设计师
练习次数:1次
试卷分类:高级信息系统项目管理师
练习次数:1次
试卷分类:高级信息系统项目管理师
练习次数:2次
试卷分类:高级信息系统项目管理师
练习次数:3次