阅读以下说明,回答问题1至问题4,将解答填入答题纸对应的解答栏内。【说明】某企业网络拓扑图如图1-1所示。该网络可以实现的网络功能有:1.汇聚层交换机A与交换机B采用VRRP技术组网;2.用防火墙实现内外网地址转换和访问策略控制;3.对汇聚层交换机、接入层交换机(各车间部署的交换机)进行VLAN划分。
图1-1
【问题1】(6分)为图1-1中的防火墙划分安全域,接口①应配置为(1)区域,接口②应配置为(2)区域,接口③应配置为(3)区域。【问题2】 (4分)VRRP技术实现(4)功能,交换机A与交换机B之间的连接线称为(5)线,其作用是(6).【问题3】 (6分)图1-1中PC1的网关地址是(7);在核心交换机上配置与防火墙互通的默认路由,其目标地址应是(8);若禁止PC1访问财务服务器,应在核心交换机上采取(9)措施实现。【问题4】 (4分)若车间1增加一台接入交换机C,该交换机需要与车间1接入层交换机进行互连,其连接方式有(10)和(11);其中(12)方式可以共享使用交换机背板带宽,(13)方式可以使用双绞线将交换机连接在一起。
答案与解析
试题难度:一般知识点:试题答案:【问题1】(6分)(1)非信任(2)信任(3)DMZ【问题2】(4分)(4)冗余备份、容错(5)心跳线(6)传递VRRP协议报文【问题3】(6分)(7)192.168.20.1(8)0.0.0.0(9)ACL【问题4】(4分)(10)堆叠(11)级联(12)堆叠(13)级联
试题解析:【问题1】(6分)为图1-1中的防火墙划分安全域,接口①应配置为非信任区域,接口②应配置为信任区域,接口③应配置为DMZ区域(因为有对外提供服务的公共服务器)。【问题2】(4分)VRRP技术实现容错和增强的路由选择功能,交换机A与交换机B之间的连接线称为心跳线,,其作用是为了防止VRRP协议报文(心跳报文)所经过的链路不通或不稳定,传递VRRP协议报文。【问题3】(6分)当一台三层设备宕机的时候,主机是没有办法自动切换网关的,所以我们用VRRP协议来解决这个问题,用两台三层设备配置VRRP协议,虚拟IP地址在三层设备间共享,其中一个指定为主路由器而其它的则为备份路由器。如果主路由器不可用,这个虚拟IP地址就会映射到一个备份路由器的 IP 地址(这个备份路由器就成为了主路由器)。VRRP也可用于负载均衡。主机只需要配置一个网关,就可以自动选择任何一台三层设备作为网关。图1-1中PC1的网关地址是虚拟路由的IP地址192.168.20.1/24,在核心交换机上配置与防火墙互通的默认路由,其目标地址应是0.0.0.0,子网掩码0.0.0.0;若禁止PC1访问财务服务器,应在核心交换机上采取ACL措施实现。【问题4】(4分)若车间1增加一台接入交换机C,该交换机需要与车间1接入层交换机进行互连,其连接方式有堆叠和级联;其中堆叠方式可以共享使用交换机背板带宽,级联方式可以使用双绞线将交换机连接在一起。
第 2 题阅读以下说明,回答问题1至问题3,将解答填入答题纸对应的解答栏内。【说明】图2-1所示为某单位网络拓扑图片段。 故障一某天,网络管理员小王接到网络故障报告,大楼A区用户无法上网,经检查,A区接入交换机至中心机房核心交换机网络不通,中心机房核心交换机连接A区接入交换机的端口灯不亮。故障二某天,网络管理员小王接到大楼用户上网故障报告,B区用户小李的电脑网络连接显示正常,但是无法正常打开网页,即时聊天软件不能正常登录。
【问题1】(6分)针对故障一,网络管理员使用(1)设备对光缆检查,发现光衰非常大,超出正常范围,初步判断为光缆故障,使用(2)设备判断出光缆的故障位置,经检查故障点发现该处光缆断裂,可采用(3)措施处理较为合理。(1)- (2)备选答案(每个备选答案只可选一次):A.网络寻线仪B.可见光检测笔C.光时域反射计D.光功率计(3)备选答案:A.使用两台光纤收发器连接B.使用光纤熔接机熔接断裂光纤C.使用黑色绝缘胶带缠绕接线D.使用一台五电口小交换机连接【问题2】 (8分)针对故障二,小王在小李的电脑上执行(4)命令显示地址解析协议缓存表内容,检测后发现该缓存表无异常内容;通过执行(5)命令发送ICMP回声请求测试,结果显示与B区接入交换机、核心交换机、上网行为管理系统、入侵检测系统均连接正常,但是与防火墙G1接口和ISP网关不通;通过执行(6) 1.85.62.1命令显示到达ISP运营商网关的路径,结果显示上网行为管理系统E0接口地址以后均为“*”;更换该电脑的IP地址后,网络正常,由此判断,该故障产生的原因可能是(7)。(4)一(6)备选答案(每个备选答案只可选一次):A. ipconfigB. pingC. netstatD. arpE. tracertF. routeG. nslookupH. net(7)备选答案:A.上网行为管理系统禁止该电脑IP访问互联网B.入侵检测系统禁止该电脑IP访问互联网C.防火墙禁止该电脑IP访问互联网D. DNS配置错误【问题3】 (6分)为保障数据安全,在数据中心本地和异地定时进行数据备份。其中本地备份磁盘陈列要求至少坏2块磁盘而不丢失数据(不计算热备盘),应采用(8)磁盘冗余方式;异地备份使用互联网传输数据,应采用(9)措施保障数据传输安全;在有限互联网带宽情况下,应采用(10)措施提高异地备份速度。(8)各选答案:A. RAID 0B. RAID 1C. RAID 5D. RAID 6(9)备选答案:A.两端备份服务器设置复杂密码B.两端搭建VPN隧道进行传输C.异地备份点出口部署防火墙设备D.本地出口部署入侵防御系统(10)备选答案:A.增量备份B.缩短备份周期C.数据加密D.工作时间备份
答案与解析
试题难度:一般知识点:试题答案:【问题1】(6分)(1)D(2)C(3)B【问题2】 (8分)(4)D(5)B(6)E(7)A【问题3】 (6分)(8)D(9)B(10)A
试题解析:【问题1】 (6分)光功率计(optical power meter )是指用于测量绝对光功率或通过一段光纤的光功率相对损耗的仪器。光时域反射计(OTDR)是通过对测量曲线的分析,了解光纤的均匀性、缺陷、断裂、接头耦合等若干性能的仪器。它根据光的后向散射与菲涅耳反向原理制作,利用光在光纤中传播时产生的后向散射光来获取衰减的信息,可用于测量光纤衰减、接头损耗、光纤故障点定位以及了解光纤沿长度的损耗分布情况等,是光缆施工、维护及监测中必不可少的工具。光纤熔接机主要用于光通信中光缆的施工和维护,所以又叫光缆熔接机。一般工作原理是利用高压电弧将两光纤断面熔化的同时用高精度运动机构平缓推进让两根光纤融合成一根,以实现光纤模场的耦合。【问题2】 (8分)针对故障二,小王在小李的电脑上执行arp -a命令显示地址解析协议缓存表内容,检测后发现该缓存表无异常内容;通过执行ping命令发送ICMP回声请求测试,结果显示与B区接入交换机、核心交换机、上网行为管理系统、入侵检测系统均连接正常,但是与防火墙G1接口和ISP网关不通;通过执行tracert 1.85.62.1命令显示到达ISP运营商网关的路径,结果显示上网行为管理系统E0接口地址以后均为“*”;更换该电脑的IP地址后,网络正常,由此判断,该故障产生的原因可能是上网行为管理系统禁止该电脑IP访问互联网。【问题3】 (6分)为保障数据安全,在数据中心本地和异地定时进行数据备份。其中本地备份磁盘陈列要求至少坏2块磁盘而不丢失数据(不计算热备盘),应采用RAID 6 磁盘冗余方式,因为与RAID 5相比,RAID 6增加了第二个独立的奇偶校验信息块。两个独立的奇偶系统使用不同的算法,数据的可靠性非常高,即使两块磁盘同时失效也不会影响数据的使用。异地备份使用互联网传输数据,应采用两端搭建VPN隧道进行传输措施保障数据传输安全;在有限互联网带宽情况下,应采用(10)措施提高异地备份速度。增量备份是备份的一个类型,是指在一次全备份或上一次增量备份后,以后每次的备份只需备份与前一次相比增加或者被修改的数据,能节约备份时间。
第 3 题阅读以下说明,回答问题1至问题3,将解答填入答题纸对应的解答栏内。【说明】图3-1为某大学的校园网络拓扑,由于生活区和教学区距离较远,R1和R6分别作为生活区和教学区的出口设备,办公区内部使用OSPF作为内部路由协议。通过部署BGP获得所需路由,使生活区和教学区可以互通。通过配置路由策略,将R2R3R4链路作为主链路,负责转发R1和R6之间的流量;当主链路断开时,自动切换到R2R5R4这条路径进行通信。
图3-1
办公区自制系统编号100、生活区自制系统编号200、教学区自制系统编号300,路由器接口地址信息如表3-1所示。
【问题1】(2分)该网络中,网络管理员要为PC2和PC3设计一种接入认证方式,如果无法通过认证,接入交换机S1可以拦藏PC2和PC3的业务数据流量。下列接入认证技术可以满足要求的是(1)。(1)备选答案:A. WEB/PORTALB. PPPoEC. IEE 802.1xD. 短信验证码认证【问题2】 (2分)在疫情期间,利用互联网开展教学活动,通过部署VPN实现Internet访问校内受限的资源。以下适合通过浏览器访问的实现方式是(2)。(2)备选答案:A. IPSee VPNB. SSL VPNC. L2TP VPND. MPLS VPN【问题3】 (16分)假设各路由器已经配置好了各个接口的参数,根据说明补全命令或者回答相应的问题。以RI为例配置BGP的部分命令如下://启动BGP,指定本地AS号,指定BGP路由器的Router ID为1.1.1.1,配置R1和R2建立EBGP连接[R1]bgp(3)[R1-bgp]router-id 1.1.1.1[R1-bgp]peer 10.20.0.2 as-number 100以R2为例配置OSPF:[R2]ospf 1[R2 ospf-1] import-route (4)//导入R2的直连路由[R2-ospf-1] import-route bgp[R2-ospf-1] area (5)[R2-ospf-1-area-0.0.0.0]network 10.1.0.0.0.0.0.255[R2-ospf-1-area-0.0.0.0]network 10.30.0.0.0.0.0.255以路由器R2为例配置BGP://启动BGP,指定本地AS号,指定BGP路由器的Router ID为2.2.2.2[R2]bgp 100[R2-bgp]router-id 2.2.2.2[R2-bgp]peer 10.2.0.101 as-number 100//上面这条命令的作用是(6)。[R2-bgp]peer 10.40.1.101 as number 100[R2-bgp]peer 10.20.0.1 as-number 200//配置R2发布路由
[R2-bgp]ipv4-family unicast[R2-bgp-af-ipv4]undo synchronization[R2-bgp-af-ipv4]preference 255 100 130//上面这条命令执行后,IBGP路由优先级高还是OSPF路由优先级高?答:(7)#以路由器R2为例配置路由策略://下面两条命令的作用是(8)。[R2] acl number 2000[R2-acl-basic-20000 rule 0 permit source 10.20.0.0.0.0.0.255//配置路由策略,将从对等体10.20.0.1 学习到的路由发布给对等体10.2.0.101时,设置本地优先级为200,请补全以下配置命令[R2] route-policy local-pre permit node 10[R2-route-policy-local-pre-10]if-match ip route-source acl (9)[R2-route-policy-local-pre-10]apply local-preference (10)
答案与解析
试题难度:一般知识点:试题答案:【问题1】(2分)(1)C【问题2】 (2分)(2)B【问题3】 (16分)(3)200(4)direct(5)0或者0.0.0.0(6)配置BGP的对等体为10.2.0.101,AS号为100(7)IBGP(8)设置ACL2000,匹配源地址为10.20.0.0/24网络的数据(9)2000(10)200
试题解析:【问题1】(2分)传统的远程用户接入基本是采用单一的远程拨号方式,最主要的问题是带宽的局限性。随着以太网技术的发展,用户通过以太网接入已经成为宽带接入的主流技术。但这种大规模的接入却带来了安全性的问题,比如如何对接入用户进行验证、授权和计费的问题,因为以太网最初是没有考虑到如何对用户接入网络进行控制。802.1X起源于802.11标准,最初的目的主要是解决无线局域网用户的接入认证问题。但由于它的原理对于所有符合IEEE 802标准的局域网具有普遍通用性,所以后来在有线局域网中也得到了广泛应用。简单来讲究是连在端口上的用户设备如果能通过认证,就可以访问局域网中的资源;如果不能通过验证的话,就无法访问局域网中的资源,相当于物理断开。【问题2】 (2分)SSL VPN即指采用SSL协议来实现远程接入的一种新型VPN技术。它包括:服务器认证,客户认证、SSL链路上的数据完整性和SSL链路上的数据保密性。与复杂的IPSecVPN相比,SSL通过相对简易的方法实现信息远程连通。任何安装浏览器的机器都可以使用SSLVPN,这是因为SSL内嵌在浏览器中,它不需要像传统IPSec VPN一样必须为每一台客户机安装客户端软件。【问题3】 (16分)[R1]bgp 200 //启动BGP,指定本地AS号200[R2 ospf-1] import-route direct//导入R2的直连路由[R2-ospf-1] area 0.0.0.0 //进入主干区域0[R2-bgp]peer 10.2.0.101 as-number 100 //配置BGP的对等体为10.2.0.101,AS号为100。对于相同的目的地,不同的路由协议(包括静态路由)可能会发现不同的路由,但这些路由并不都是最优的。事实上,在某一时刻,到某一目的地的当前路由仅能由唯一的路由协议来决定。为了判断最优路由,各路由协议(包括静态路由)都被赋予了一个优先级,当存在多个路由信息源时,具有较高优先级(取值较小)的路由协议发现的路由将成为最优路由。
[DeviceB-bgp-ipv4]preference 255 100 130
# 配置EBGP路由优先级为255,配置IBGP路由优先级为100,配置本地路由优先级为130,使IBGP路由优先级优于OSPF