推荐等级:
发布时间: 2021-12-16 18:02
扫码用手机做题
公司内部有两个网段,192.168.1.0/24和192.168.2.0/24,使用三层交换机SwitchB实现VLAN间路由。为提高用户体验,网络管理员决定带宽要求较高的192.168.1.0网段的的数据通过高速链路访问互联网,带宽要求较低的192.168.2.0网段的数据通过低速链路访问互联网。请根据描述,将以下配置代码补充完整。
[SwitchB]acl 3000
[SwitchB-acl-adv-3000]rule permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255
[SwitchB-acl-adv-3000]rule permit ip source 192.168.2.0 0.0.0.255 destination 192.168.1.0 0.0.0.255
[SwitchB-acl-adv-3000]quit
[SwitchB]acl 3001//匹配内网192.168.1.0/24网段的用户数据流
[SwitchB-acl-adv-3001]rule permit ip source(1)0.0.0.255
[SwitchB acl-adv-3001]quit
[SwitchB]acl 3002//匹配内网192.168.2.0/24网段的用户数据流
[SwitchB-acl-adv-3002]rule permit ip(2)192.168.2.0 0.0.0.255
[SwitchB-acl-adv-3002]quit
[SwitchB]traffic classifier c0 operator or
[SwitchB-classifier-c0](3)acl 3000
[SwitchB-classifer-c0]quit
[SwitchB]traffic classifier c1(4)or
[SwitchB-classifier-c1]if-match acl 3001
[SwitchB-classifer-c1]quit
[SwitchB]traffic classifier c2 operator or
[SwitchB-classifer-c2]if-match acl(5)
[SwitchB-classfer-c2](6)
[SwitchB]traffic behavior b0
[SwitchB-behavior-b0](7)
[SwitchB-behavior-b0]quit
[SwitchB]traffic behavior b1
[SwitchB-behavior-b1]redirect ip-nexthop(8)
[SwitchB-behavior-b1]quit
[SwitchB]traffic behavior b2
[SwitchB-behavior-b2]redirect ip-nexthop(9)
[SwitchB-behavior-b2]quit
[SwitchB]traffic policy p1
[SwitchB-trafficpolicy-p1]classifier c0 behavior(10)
[SwitchB-trafficpolicy-p1]classifier c1 behavior(11)
[SwitchB-trafficpolicy-p1]classifier c2 behavior b2
[SwitchB-trafficpolicy-p1]quit
[SwitchB]interface(12)
[SwitchB-GigabitEthenet0/0/3]traffic-policy pl(13)
SwitchB-GigabitEthernet0/0/3]return
【问题2】(2分)
在问题1的配置代码中,配置ACL 3000的作用是:(14)。
【问题3】(5分,每空1分)
公司需要访问Intermet公网,计划通过配置NAT实现私网地址到公网地址的转换,ISP1公网地址范围为202.100.1.1~202.100.1.5;ISP2公网地址范围为104.114.128.1~104.114.128.5。
请根据描述,将下面的配置代码补充完整。
.....
[SwitchB]nat address-group 0 202.100.1.3 202.100.1.5
[SwitchB]nat address-group 1 104.114.128.3 104.114.128.5
[SwitchB]acl number 2000
[SwitchB-acl-basic-2000]rule 5(15)source 192.168.1.0 0.0.0.255
[SwitchB]acl number 2001
[SwitchB-acl-basic-2001]rule 5 permit source 192.168.2.0 0.0.0.255
[SwitchB]interface GigabitEthernet0/0/3
[SwitchB-GigabitEthernet0/0/3]nat outbound(16)address group 0 no-pat
[SwitchB-GigabitEthernnet0/0/3]nat outbound(17)address group 1 no-pat
[SwitchB-GigabitEthernet0/0/3]quit
[SwitchB]ip route-static 192.168.1.0 255.255.255.0(18)
[SwitchB]ip route-static 192.168.2.0 255.255.255.0(19)
……
本题解析:
【问题1】
(1)192.168.1.0(2)Source(3)If-match(4)Operator(5)3002(6)Quit(7)Permit
(8)202.100.1.1(9)104.114.128.1(10)b0(11)b1(12)Gigabitethernet0/0/3(13)Inbound
【问题2】
(14)过滤出内网需要互访的流量,允许其通过
【问题3】
(15)Permit(16)2000(17)2001(18)G0/0/3(19)G0/0/3
【问题1】
(1)由题知,是过滤出内网192.168.1.0/24的流量
(2)和上一空语句类似,内网作为源
(3)定义流分类,设置匹配
(4)Operator是可选参数,按照下面语句照抄即可
(5)该流分类匹配acl3002
(6)Quit退出到系统视图
(7)定义流行为为允许permit
(8)定义流行为,该语句指代设置下一跳
(9)同8问类似
(10)将流分类和流行为关联起来,组成流策略
(11)同10问类似
(12)进入到g0/0/3接口
(13)在接口入方向调用该策略
【问题2】
同答案
【问题3】
(15)做nat转换,通过基本acl把内网流量过滤出来
(16)将acl表和地址池关联起来
(17)和16问类似
(18)(19)设置静态路由,指向内网的流量从接口G0/0/3出去
某公司网络划分为两个子网,其中设备A是DHCP服务器,如图3-1所示。
【问题1】(6分,每空2分)
DHCP在分配IP地址时使用(1)的方式,而此消息不能通过路由器,所以子网2中的客户端要自动获得IP地址,不能采用的方式是(2)。DHCP服务器向客户端出租的IP地址一般有一个租借期限,在使用租期过去(3)时,客户端会向服务器发送DHCP REQUEST报文延续租期。
(1)备选答案:
A.单播
B.多播
C.广播
D.组播
(2)备选答案:
A.子网2设置DHCP服务器
B.使用三层交换机作为DHCP中继
C.使用路由器作为DHCP中继
D.IP代理
(3)备选答案:
A.25%
B.50%
C.75%
D.87.5%
【问题2】(5分,每空1分)
在设置DHCP服务时,应当为DHCP添加(4)个作用域。子网1按照图3-2添加作用域,其中子网掩码为(5),默认网关为(6)。在此作用域中必须排除某个IP地址,如图3-3所示,其中“起始IP地址”处应填写(7)。通常无线子网的默认租约时间为(8)
(8)备选答案:
A.8天
B.6天
C.2天
D.6或8小时
【问题3】(4分,每空2分)
如果客户机无法找到DHCP服务器,它将从(9)网段中挑选一个作为自己的IP地址,子网掩码为(10)。
(9)备选答案:
A.192.168.5.0
B.172.25.48.0
C.169.254.0.0
D.0.0.0.0
本题解析:
【问题1】
(1)C
(2)D
(3)B
【问题2】
(4)2
(5)255.255.255.0
(6)192.168.5.254
(7)192.168.5.20
(8)D
【问题3】
(9)C
(10)255.255.0.0
【问题1】
(1)A或C(此题有争议),部分书本是描述dhcp的4个过程全是广播包。但是有些描述是服务器以单播回应。根据RFC文档,服务器回应数据包时,以单播还是广播回应取决于数据包中的bootp flag字段是否置1。
(2)D代理IP可以用来隐藏真实IP,类似于NAT,访问网站是通过代理服务器来做一个中转,所以目标服务器只能看到代理服务器的IP地址
(3)B客户端主机获取到ip后,当租约到达50%,会向服务器发送dhcp request报文延续租期。
【问题2】
(4)图中有2个子网,需要给2个子网分配ip地址。所以需要2个作用域
(5)可以从图3-1中看出子网A的掩码是24位,所以子网掩码是255.255.255.0
(6)默认网关是路由器的接口192.168.5.254
(7)分配ip的范围为192.168.5.15—192.168.5.200,dhcp服务器的ip192.168.5.20在这个范围内,所以需要排除掉这个地址
(8)通过无线获取的ip地址,租约一般以小时为单位
【问题3】
(9)(10)当获取不到ip时,会自动获取一个169.254.0.0/16网段中的地址
图2-1为A公司和公司总部的部分网络拓扑,A公司员工办公区域DHCP分配的IP段为10.0.36.1/24,业务服务器IP地址为10.0.35.1,备份服务器IP地址为10.0.35.2;公司总部备份服务器IP地址为10.0.86.200。
【问题1】(4分,每空2分)
网络威胁会导致非授权访问、信息泄露、数据被破坏等网络安全事件发生,其常见的网络威胁包括窃听、拒绝服务、病毒、木马、(1)等,常见的网络安全防范措施包括访问控制、审计、身份认证、数字签名、(2)、包过滤和检测等。
(1)备选答案:
A.数据完整性破坏
B.物理链路破坏
C.存储介质破坏
D.电磁干扰
(2)备选答案:
A.数据备份
B.电磁防护
C.违规外联控制
D.数据加密
【问题2】(6分,每空2分)
某天,网络管理员在入侵检测设备.上发现图2-2所示网络威胁日志,从该日志可判断网络威胁为(3),网络管理员应采取(4)、(5)等合理有效的措施进行处理。
(3)备选答案:
A.跨站脚本攻击
B.拒绝服务
C.木马
D.sql注入
(4)~(5)备选答案:
A.源主机安装杀毒软件并查杀
B.目标主机安装杀毒软件并查杀
C.将上图所示URL加入上网行为管理设备黑名单
D.将上图所示URL加入入侵检测设备黑名单
E.使用漏洞扫描设备进行扫描
【问题3】(4分,每空1分)
A公司为保障数据安全,同总部建立ipsecVPN隧道,定期通过A公司备份服务器向公司总部备份数据,仅允许A公司的备份服务器、业务服务器和公司总部的备份服务器通讯,图2-3为A公司防火墙创建VPN隧道第二阶段协商的配置页面,请完善配置。其中,本地子网:(6)、本地掩码:(7)、对方子网:(8)、对方掩码:(9)。
【问题4】(6分)
根据业务发展,购置了一套存储容量为30TB的存储系统,给公司内部员工每人配备2TB的网盘,存储管理员预估近-年内,员工对网盘的平均使用空间不超过200GB,为节省成本,启用了该存储系统的自动精简(Thin provisioning不会一次性全部分配存储资源,当存储空间不够时,系统会根据实际所需要的容量,从存储池中多次少量的扩展存储空间)配置功能,为100个员工提供网盘服务。
请简要叙述存储管理员使用自动精简配置的优点和存在的风险。
本题解析:
【问题1】
(1)A数据完整性破坏
(2)D数据加密
【问题2】
(3)C木马
(4)A源主机安装杀毒软件并查杀
(5)C将上图所示URL加入上网行为管理设备黑名单
【问题3】
(6)10.0.35.0
(7)255.255.255.252
(8)10.0.86.200
(9)255.255.255.255
【问题4】
自动精简配置(Thin Provisioning),可以为客户虚拟出比实际物理存储更大的虚拟存储空间,为用户提供存储超分配的能力。只有写入数据的虚拟存储空间才能真正分配到物理存储,未写入的虚拟存储空间不占用物理存储资源。可以帮助客户大幅降低存储的初始投资成本。
进行自动精简配置最大的问题就是有可能出现实际空间不足的情况。所以在自动精简配置中监控容量的是十分重要的
【问题1】
(1)常见的外部威胁
病毒、蠕虫和特洛伊木马-在用户设备上运行的恶意软件和任意代码
间谍软件和广告软件-用户设备上安装的软件,秘密收集关于用户的信息
零日攻击(也称零小时攻击)-在出现漏洞的第一天发起的攻击
黑客攻击-由经验丰富的人员对用户设备或网络资源发起的攻击
拒绝服务攻击-意图使网络设备上的应用和进程减缓或崩溃的攻击
数据拦截和盗窃-通过公司网络捕获私人信息的攻击
身份盗窃-窃取用户的登录凭据来访问私人数据的攻击
破坏数据完整性-数据被人为修改
(2)题目问的是网络安全方面的防护,四个选项中只有数据加密涉及到网络安全。
【问题2】
(3)从图中可以看出源主机始终是10.0.36.249,一直在访问相同的目的主机和网页。说明这台主机可能中了病毒。
跨站脚本攻击(也称为XSS)指利用网站漏洞从用户那里恶意盗取信息。
拒绝服务攻击,英文名称是Denial of Service,简称DOS,即拒绝服务,造成其攻击行为被称为DoS攻击,其目的是使计算机或网络无法提供正常的服务。最常见的DoS攻击有计算机网络带宽攻击和连通性攻击。带宽攻击指以极大的通信量冲击网络,使得所有可用网络资源都被消耗殆尽,最后导致合法的用户请求无法通过。
SQL注入攻击是黑客对数据库进行攻击的常用手段之一。随着B/S模式应用开发的发展,使用这种模式编写应用程序的程序员也越来越多。但是由于程序员的水平及经验也参差不齐,相当大一部分程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据,这就是所谓的SQL Injection,即SQL注入。
(4)(5)AC
因为是源主机一直在发起连接,所以是在源主机上安装杀毒软件并进行查杀。
已经定位到是某台主机出现问题,没必要使用漏洞扫描设备进行扫描。同时把URL加入上网行为管理的黑名单,以禁止主机访问该网站。
【问题3】
(6)题目中要求配置vpn对接之后需要互访的网段,即配置感兴趣流
本地子网和本地掩码指的是本端访问对端的网段,对方子网和对方掩码指的是对端来访问本端的网段。同时题目中指出仅允许A的备份服务器和业务服务器和总部的备份服务器通信。
所以本地网段是10.0.35.0/30,而对端网段是主机10.0.86.200/32
【问题4】
见答案
某园区组网方案如图1-1所示,数据规划如表1-1内容所示。
【问题1】(8分,每空2分)
以Switch3为例配置接入层交换机,补充下列命令片段。
<HUAWEI>(1)
[HUAWEI]sysname Switch3
[Switch3]vlan batch(2)
[Switch3]interface GigabitEthernet 0/0/3
[Switch3-GigabitEthernet0/0/3]port link-type(3)
[Switch3-GigabitEthernet0/0/3]port trunk allow-pass vlan 10 20
[Switch3-GigabitEthernet0/0/3]quit
[Switch3]interface GigabitEthernet 0/0/1
[Switch3-GigabiEthernet0/0/1]port link-type(4)
[Switch3-GigabitEthernet0/0/1]port default vlan 10
[Switch3-GigabitEthernet/0/1]quit
[Switch3]stp bpdu-protection
【问题2】(8分,每空2分)
以Switch1为例配置核心层交换机,创建其与接入交换机、备份设备以及出口路由器的互通VLAN,补充下列命令。
<HUAWEI>system-view
[HUAWEI]sysname Switch1
[Switchl]vlan batch(5)
[Switch1]interface GigabitEthernet/0/1
[Switchl-GigabitEthernet0/0/1]port link-type trunk
[Switchl-GigabitEthernet0/0/1]port trunk allow-pass(6)
[Switch1-GigabitEthernet0/0/1]quit
[Switch1]interface Vlanif 10
[Switch1-Vlanif10]ip address 192.168.10.1 24
[Switch1-Vlanif10]quit
[Switch1]interface Vlanif 20
[Switch1-Vlanif20]ip address 192.168.20.1 24
[Switch1-Vlanif20]quit
[Switchl]interface GigabitEthernet 0/0/7
[Switchl-GigabitEthernet0/0/7]port link-type trunk
[Switch1-GigabitEthernet0/0/7]port trunk allow-pass vlan 100
[Switch1-GigabitEthernet0/0/7]quit
[Switch1]interface Vlanif 100
[Switch1-Vlanif100]ip address(7)
[Switch1-Vlanif100]quit
[Switch1]interface Gigabitethernet 0/0/5
[Switch1-GigabitEthernet0/0/5]port link-type access
[Switch1-GigabitEthernet0/0/5]port default vlan 300
[Switchl-GigabitEthernet0/0/5]quit
[Switch1 interface Vlanif 300
[Switchl-Vlanif300]ip address(8)
[Switchl-Vlanif300]quit
【问题3】(4分,每空2分)
如果配置静态路由实现网络互通,补充在Switch1和Router上配置的命令片段。
[Switchl]ip route-static(9)//默认优先级
[Switchl]ip route-static 0.0.0.0 0.0.0.0 172.16.30.2 preference 70
[Router]ip route-static(10)//默认优先级
[Router]ip route-static 192.168.10.0 255.255.255.0 172.16.10.1
[Router]ip route-static 192.168.10.0 255.255.255.0 172.16.20.1 preference70
[Router]ip route-static 192.168.20.0 255.255.255.0 172.16.10.1
[Router]ip route-static 192.168.20.0 255.255.255.0 172.16.20.1 preference70
本题解析:
【问题1】
(1)system-view
(2)10 20
(3)Trunk
(4)Access
【问题2】
(5)10 20 30 100 300
(6)vlan all或vlan 10 20
(7)172.16.10.1 24
(8)172.16.30.1 24
【问题3】
(9)0.0.0.0 0.0.0.0 172.16.10.2
(10)0.0.0.0 0.0.0.0 202.101.111.1
【问题1】
(1)system-viem进入系统视图
(2)创建vlan10和vlan20
(3)设置接口为trunk口
(4)设置接口为access口
【问题2】
(5)批量创建vlan10、20、30、100、300
(6)设置允许的vlan通过
(7)设置vlan100的接口ip
(8)设置vlan300的接口ip
【问题3】
(9)设置的是核心交换机的默认路由,正常情况下直接发往路由器的g0/0/1接口,当链路出现问题,才把数据包发往switch2
(10)在路由器上设置默认路由,下一跳指向互联网接口即公网网关202.101.111.1
试卷分类:中级网络工程师
练习次数:0次
试卷分类:中级系统集成项目管理工程师
练习次数:0次
试卷分类:高级系统规划与管理师
练习次数:0次
试卷分类:高级系统规划与管理师
练习次数:0次
试卷分类:高级信息系统项目管理师
练习次数:24次
试卷分类:中级系统集成项目管理工程师
练习次数:4次
试卷分类:高级系统架构设计师
练习次数:1次
试卷分类:高级信息系统项目管理师
练习次数:1次
试卷分类:高级信息系统项目管理师
练习次数:2次
试卷分类:高级信息系统项目管理师
练习次数:3次