一、[材料型]问答题
试题一(20分)
阅读以下说明,回答问题1至问题3,将解答填入答题纸对应的解答栏内。
[说明]某高校网络拓扑图,如下图所示,两校区核心 (CORE-1和CORE-2) 、出门防火墙 (NGFW-1和NGFW-2) 通过配置OSPF完成收敛,两校区相距40KM,两校区默认由本地出口进行互联网访问。
1、[问题1] (3分)
新校区规划以双栈方式部署IPv6网络,分配的IPv6地址为240C:DB8:1024::/49。请将IPv6网络地址规划表补充完整
参考答案:(1)240c:db8:1024:1FFF:FFFF:FFFF:FFFF:FFFF
(2)240c:db8:1024:4000::~ 240c:db8:1024:7FFF:FFFF: FFFF:FFFF:FFFF
(3) 50
解析:
第一问是补充完整的IPv6网络地址规划表。IPv6网络地址为240C:DB8:1024::/49是已知信息,根据IPv6地址分配规则,可以推出子网前缀为子网分配前缀的形式,即子网掩码前缀长度可根据需求分配。例如,假设子网分配前缀为子网掩码前缀长度为前四位不变后补全全零至末尾为FFFF:FFFF:FFFF:FFFF即为子网广播地址前缀;子网掩码前缀长度可以根据校区内规模需求确定(比如主机数量等参数),填写范围为子网前缀至子网广播地址前缀之间的范围。所以第一问的答案应为子网掩码前缀长度为前四位不变后补全全零至末尾为FFFF的IPv6子网掩码前缀长度格式加上对应范围值即可(例如:子网掩码前缀长度为前四位不变后补全全零至末尾为FFFF的IPv6子网掩码前缀长度加上对应范围值)。第二问是关于默认网关的设置问题,需要根据本地出口进行互联网访问的特点设置默认网关为本地出口IP地址的下一跳IPv6地址即可(通常为自动获取或手动配置)。由于题目没有给出具体的数值大小和数据格式等信息无法给出具体的默认网关数值和数据格式等详细信息可以根据通常的网关设置方式进行理解并依据实际情况进行设置即可。第三问由于无法确定具体的数值大小和数据格式等信息也无法给出确切答案但通常情况下应根据网络规模业务需求等因素综合确定并按照网络配置规范要求进行配置和管理以符合要求并实现网络的正常运行和安全稳定可靠等目标进行理解和操作即可。因此综合以上分析该问题需要根据实际情况进行具体分析并给出符合实际情况的答案以满足实际需求并保障网络的正常运行和安全稳定可靠等要求。
2、[问题2] (4分)
为实现NGFW-2与NGFW-1、CORE-2正常建立OSPF邻居关系,实现路由全收敛,网络工程师对NGFW-2进行相关配置请补充完善下列由trust到local的配置。
[NGFW-21] firewall zone trust
[NGFW-2-zone-trust] add interface GigabitEthernet 0/0/1
[NGFW-2-zone-trust] add interface GigabitEthernet 0/0/2
[NGFW-2] security-policy
[NGFW_2-policy-security] rule name policy_1
[NGFW-2-policy-security-rule-policy_1] source-zone trust
[NGFW-2-policy-security-rule-policy_1] destination-zone(4)
[NGFW_2-policy-security-rule-policy_1] source-address(5)
[NGFW_2-policy-security-rule-policy 1] service protoco(6)
[NGW_2-policy-security-rule-policy_1] action (7)
参考答案:
(4)local
(5)10.0.0.0/29
(6)89
(7)permit
解析:
在配置NGFW-2以与NGFW-1和CORE-2建立OSPF邻居关系并实现路由全收敛时,需要完善一系列配置。针对题目中的空白部分,给出以下解析:
(4) local:这里应该是设置目标区域为local,因为OSPF邻居关系需要在同一区域内建立。
(5) 10.0.0.0/29(或其他合理的源地址范围):这里需要设置一个源地址范围,作为安全策略规则的源地址。这个地址范围应该是可信区域(trust zone)内的地址。
(6) ospf(或 89):这里是设置服务协议为ospf,因为需要允许OSPF协议通过防火墙。在配置中,如果协议不是预定义的常见协议(如tcp、udp等),则需要使用协议号,ospf的协议号是89。
(7) permit:这里是设置动作(action)为permit,表示允许符合该规则的数据包通过防火墙。
3、[问题3] (4分)
网络工程师收到故障报告,某终端用户可成功获取IP地址,正常访问校内业务,却无法访问Internet。在该终端上路由跟踪测试,可正常至NGFW-2,于是在终端上进行ping114.114.114.114测试,结果显示“请求超时”,同时在NGFW-2查看到如下会话:
[NGfw-2]display firewall session table verbose source inside 10.21.0.2 destination global 114. 114. 114. 114
2024-04-03 16:43:10.497
Current Total Sessions :1
ICMP VPN:public>public ID:c587f8a5073dc80bnad7660d871c000
Time:202404-04 00:43.08
Zone: trust>untrust slot:0 cpu:0 TTL: 00:00:20 left: 00:00:20
Recv Interface:G0/0/1 Rev Slot:0 CPU:0
Interface:G0/0/4 NextHop:61.2.7.1
<-- packets:0 bytes:0 --> packets:4 bytes: 336
10.21.0.2:5>114.114.114.114:2048 Policy Name: out-to-internet
请分折该故障的原因并提出解决措施。
参考答案:会话表没nat过程,需配置nat转换
解析:
根据提供的故障信息,终端用户能够成功获取IP地址并正常访问校内业务,但无法访问Internet。路由跟踪测试显示至NGFW-2正常,说明问题可能出在NGFW-2到Internet的出口上。查看NGFW-2的会话信息,发现没有NAT转换过程,这可能是导致无法访问Internet的原因。
解决措施包括两个方面:
- 检查并配置NGFW-2的NAT转换。确保有正确的NAT规则将内部IP地址转换为公网IP地址,以便终端用户可以通过NGFW-2访问Internet。
- 检查NGFW-2的ACL(访问控制列表)。确保没有ACL规则阻止了终端用户对Internet的访问。
通过以上两个步骤的检查和配置,应该可以解决终端用户无法访问Internet的问题。
4、[问题4] (3分)
网络工程师接到故障报告,某终端用户时通时断,无法正常上网。在用户终端上测试显示如下信息。
C:\users\xp> ipconfig
Windows IP配置
以太网适配器 以太网:
连接特定的 DNS 后缀 . . . . . . . :MWST
IPv4 地址 . . . . . . . . . . . . : 192.168.5.54
子网掩码 . . . . . . . . . . . . : 255.255.255.0
默认网关. . . . . . . . . . . . . . : 192.168.5.1
C:\users\xp>arp-a
接口:192.168.5.54—0x6
Internet地址 物理地址 类型
192.168.5.1 e0-e0-fc-b7-2d-88 动态
192.168.5.59 38-C9-86-31-38-97 动态
192.168.5.192 38-C9-86-31-38-9C 动态
192.168.5.251 38-C9-86-31-38-9D 动态
C:\users\xp>arp -a
接口:192.168.5.54—0x6
Internet地址 物理地址 类型
192.168.5.1 e2-e8-f4-73-2f-60 动态
192.168.5.59 38-C9-86-31-38-97 动态
192.168.5.192 38-C9-86-31-38-9C 动态
192.168.5.251 38-C9-86-31-38-9D 动态
通过上图可以判断网络遭受了 (8) 攻击,为解决该故障,网终工程师在用户电脑上配置了静态ARP绑定,同时,在设备(9) 上配置(10) 功能。
参考答案:
(8)ARP欺骗或ARP攻击
(9)CORE 2
(10)防ARP欺骗攻击
解析:
(8)根据提供的用户终端信息,通过ARP缓存表发现物理地址发生变化,这可能是ARP欺骗或ARP攻击的迹象。
(9)由于ARP欺骗或攻击可能来自于网络中的某个节点,而核心交换机(CORE)通常连接着网络中的各个节点,因此故障可能源自CORE 2。
(10)为解决ARP欺骗或攻击导致的故障,除了在用户电脑上配置静态ARP绑定外,还需要在可能产生攻击的节点,即CORE 2上配置防ARP欺骗攻击功能,以防止此类攻击的发生。
试题二 (20分)
阅读以下说明,回答问题.
[说明]某网络拓扑如下图所示,路由器R1、R2、R3通过OSPF实现网络互通,R1和R3建立iBGP居,R3和R5建立eBGP邻居关系,R1和R4建立eBGP邻居关系
5、[问题1] (10分)
各路由器IP地址等基本参数已正确配置,且R1、R3邻居关系已经建立且完成收敛,在R4配置本地回环Io0模拟ISP地址210.23.3.4/32,根据要求完成以下配置
以R1为例配置BGP
[R1]bgp (1)
[R1-bgp] peer (2) as-number (3) //与R4建立BGP邻居关系
[R1-bgp] peer 10.14.14.4 enable
…
[R1-bgp] peer 3.3.3.3 next-hop-local //作用是(4)
在R4将210.23.3.4/32引入BGP
[R4] bgp 200
[R4-bgp](5) //将210.23.3.4/32引入BGP
参考答案:
(1)100
(2) 10.14.14.4
(3) 200
(4)向对等体发布路由时将自身地址作为下一跳
(5)network 210.23.3.4 255.255.255.255 或者import-route direct
解析:
(1)根据题目要求,配置BGP时,需要为R1指定一个bgp进程ID,此处应为数字100。
(2)与R4建立BGP邻居关系时,需要指定对等体的IP地址,根据题目中的网络拓扑图,与R4建立BGP邻居关系的对等体IP地址为10.14.14.4。
(3)建立BGP邻居关系时,需要指定自治系统号,此处应为数字200。
(4)命令"peer 3.3.3.3 next-hop-local"的作用是修改EBGP邻居发来的路由的Next_Hop,使得发给IBGP邻居的路由的下一跳是其自身的地址。这样,IBGP邻居收到这样的路由后(由于域内都配置了IGP)发现下一跳可达,路由即为活跃路由。因此,该命令的作用是向对等体发布路由时将自身地址作为下一跳。
(5)在R4将210.23.3.4/32引入BGP,可以使用network命令或者import-route命令。使用network命令时,需要指定前缀和掩码;使用import-route命令时,可以直接引入路由。
6、[问题2] (3分)
上述配置完成后,路由器R5上210.23.3.4/32的路由信息如下图所示,但无法ping通210.23.3.4,请分析原因及解决方案
参考答案:
路由通告的问题,采用BGP路由反射解决
解析:
从给出的说明来看,网络拓扑中路由器R1、R2、R3通过OSPF实现网络互通,但R2并未与R1或R3建立iBGP连接。在BGP协议中,为了防止AS内部产生环路,BGP设备不会将通过与IBGP对等体学到的路由通告给其他IBGP对等体。因此,尽管路由器R5的BGP路由表中显示已经获得了到达210.23.3.4的优选路由,但由于这一路由信息没有被正确传播,导致无法ping通目标地址。
解决方案是采取BGP路由反射技术。通过配置路由反射器(如R1或R3可以作为路由反射器),将从R3学到的路由反射到R2,确保路由信息的正确传播。此外,还需要确保网络中的所有路由器都运行BGP协议,并建立相应的iBGP连接,以确保网络的连通性和稳定性。
7、 [问题3] (7分)
管理员计划采用BGP路由反射功能解决上述问题,路由反射功能需要遵循如下三条原则:
从非客户机学到的路由,反射器发布给 (6);
从客户机学到的路由,反射器发布给 (7);
从eBGP邻居学到的路由,反射器发布给所有非客户机和客户机。
#BGP反射器配置片段,配置R1为反射器、R2为客户端
…
略去R2和R1建立BGP邻居配置
[R1-bgp] reflector cluster-id 12 //该条命令的作用是 (8)
[R1-bgp] peer (9) reflect-client
参考答案:
(6)
(7)
(8)配置路由反射器id为12
(9)2.2.2.2
解析:
问题3关于BGP路由反射功能的三条原则,根据题目描述和参照解析,可以得出以下答案:
对于原则一:“从非客户机学到的路由,反射器发布给所有非客户机和客户机”,其中的(6)空应填“所有非客户机IBGP邻居”(或简化为“所有非客户机”)。
对于原则二:“从客户机学到的路由,反射器发布给此RR的所有客户机”,其中的(7)空应填“此RR的所有客户机”(或简化为“所有客户机”)。这是因为从客户机学到的路由信息会被反射器发布给其所有的客户机。
对于配置片段中的命令解析,(8)“配置路由反射器id为12”是根据命令reflector cluster-id 12来确定的,该命令用于配置路由反射器的集群ID。而(9)“2.2.2.2”(或R2的地址)是根据命令peer ( ) reflect-client来确定的,这里应填入作为路由反射器的R1的对等体(即客户机)R2的地址。
试题三(20分)
将解答填入对应的解答栏内
[说明]某单位网络拓扑如下图所示。SW1-SW2为核心层交换机,PC网关配置在核心交换机,SW3-SW4为接入层交换机。行政部PC划为vlan 10,销售部PC划为vlan 20。
8、[问题1] (4分)
要求实现骨干链路几余,需要在哪些设备之间增加连线,增加连线后还需要配置什么避免形成二层环路?
参考答案:
需要在 SW1 与 SW2 之间;SW3 与 SW2 之间:SW4与 SW1 之间增加连线。增加连线需要配置生成树协议避免二层环路。
解析:
为实现骨干链路的冗余,需要在核心层交换机之间增加连线,即在SW1和SW2之间、SW3和SW2之间、SW4和SW1之间增加连线。为了避免形成二层环路,需要配置生成树协议(如STP,即Spanning Tree Protocol),对冗余链路进行启用和管理,以达到既保障链路冗余备份又避免环路导致的问题。参考解析也提到了必须在骨干设备之间增加冗余线路,与答案一致。
9、[问题2] (4分)
要求vlan 10的网关默认配置在SW1上,v1an 20的网关默认配置在SW2上,SW1和SW2任意一台设备故障后,不影响PC访问网关,请写出配置要点。
参考答案:
1、在Sw1的VLANIF 10上创建VRRP备份组1,配置Sw1在该备份组中的优先级为120;在Sw1的VLANIF 20上创建VRRP备份组2,优先级默认
2、在Sw2的VLANIF 20上创建VRRP备份组1,配置Sw2在该备份组中的优先级为120;在Sw2的VLANIF 20上创建VRRP备份组2,优先级默认
3、设置PC网关为对应VLAN的虚拟网关
解析:
根据题目要求,需要实现vlan 10和vlan 20的网关能够在SW1和SW2之间实现动态切换,以保证任意一台设备故障后不影响PC访问网关。为此,需要使用VRRP(Virtual Router Redundancy Protocol)协议来实现网关的备份和动态切换。
在SW1上配置VLANIF 10和VLANIF 20,并启用VRRP备份组功能,设置VLANIF 10的优先级较高,作为默认网关;在SW2上配置VLANIF 20并启用VRRP备份组功能,设置VLANIF 20的优先级较高。这样,当SW1或SW2出现故障时,对应的VRRP备份组会自动选举新的主设备,确保PC仍能通过虚拟网关访问网络。因此,上述配置要点满足了题目要求。
10、[问题3] (4分)
要求配置PC能通过DHCP服务器正常获取IP地址,请写出配置要点。
参考答案:
1、DHCP 服务器上配置对应不同 VLAN的地址池,网关地址,DNS 地址等
2、SW1与 SW2作为PC的网关设备,需要在SW1与 SW2 启用 DHCP 服务,配置 DHCP 中继,指向 DHCP 服务器地址。
解析:
为了配置PC能够通过DHCP服务器正常获取IP地址,需要遵循以下配置要点:
- DHCP服务器上配置对应不同VLAN的地址池。这包括为每个VLAN(如vlan 10和vlan 20)配置一个独立的IP地址池,以确保PC可以从其所在VLAN的DHCP服务器获取IP地址。
- 配置DHCP服务器上的网关地址和DNS地址。这样,当PC请求IP地址时,DHCP服务器可以为其提供正确的网络配置信息,包括网关和DNS服务器的IP地址。
- SW1与SW2作为PC的网关设备,需要启用DHCP服务。这意味着交换机需要转发DHCP请求到DHCP服务器,并处理从服务器返回的响应。此外,需要在交换机上配置DHCP中继功能,指向DHCP服务器的地址,以便跨网段进行DHCP通信。
根据题目的描述和参考解析,以上三个配置要点是正确的。因此,选项A、B、C都是本题的正确答案。
11、[问题4] (4分)
为了实现终端PC安全防护,要求各PC均不能互访,请写出配置要点。
参考答案:
在 SW3 和 SW4 配置端口隔离,将所有接入 PC 的端口放入到相同组中,实现 PC之间互相隔离。
解析:
为了实现终端PC安全防护,要求各PC不能互访,可以通过配置端口隔离来实现。在接入层交换机SW3和SW4上,将所有接入PC的端口放入同一个隔离组中,这样同一VLAN内的PC之间就无法直接通信,从而实现互访限制。另外,根据参照解析,还可以利用mux-vlan中的Separate VLAN(隔离型从VLAN)来实现这一需求。因此,该配置要点是正确的。
12、[问题5] (4分)
请按照IP地址最小范围规划要求完成下表
参考答案:
(1)10.0.1.129-10.0.1.157
(2)224
(3)10.0.1.193-10.0.1.253
(4)26
解析:
IP地址规划题。根据题目描述和图示,行政部PC划为vlan 10,需要容纳的主机数量决定IP地址范围。根据参考答案和解析,行政部的地址范围应为10.0.1.128到10.0.1.159,直接计算得出IP地址最小范围规划为从10.0.1.129到最高IP地址是下一IP地址减去子网掩码对应的主机数减一,即最高IP地址为第一个可用的IP地址加子网掩码对应的主机数减二。销售部vlan类似计算。最后两个空白处应填写子网掩码对应的长度和主机数量。
试题四 (15分)
阅读以下说明,回答问题
(说明]某公司计划在骨千网络上建立静态MPLS,以便部署L2VPN或者L3VPN业务。其网络拓扑结构如下所示。
13、[问题1] (6分)
MPLS基于 (1) 进行转发,进行MPLS标签交换和报文转发的网络设备称为 (2) ,构成MPLS域 (MPLS Domain) 。位于MPLS域边缘、连接其他网络设备的LSR称为 (3),区域内部的LSR称为核心LSR (Core LSR)IP报文进入MPLS网络时,MPLS入口设备分析IP报文的内容并为其添加合适的标签,所有MPLS网络中的LSR根据标签转发数据。当该IP报文离开MPLS网络时,标签由出口LER弹出IP报文在MPLS网络中经过的路径称为 (4)。LSP是一个单向路径,与数据流的方向一致LSP的入口LER称为 (5) ; 位于LSP中间的LSR称为中间节点(Transit) ,LSP的出口LER称为 (6) 。一条LSP可以有0个、1个或多个中间节点,但只有一个入节点和一个出节点。
参考答案:
(1)c
(2)a
(3)e
(4)b
(5)d
(6)f
解析:
本题主要考察了对MPLS(多协议标签交换)基础概念的理解。
(1)MPLS基于标签进行转发,这是MPLS的基本工作原理。
(2)在MPLS中,进行MPLS标签交换和报文转发的网络设备称为标签交换路由器LSR。
(3)位于MPLS域边缘、连接其他网络的LSR称为边缘路由器LER。
(4)IP报文在MPLS网络中经过的路径称为标签交换路径LSP。
(5)LSP的入口LER被称为入节点,它是数据流进入MPLS网络的起点。
(6)同理,LSP的出口LER被称为出节点,是数据流离开MPLS网络的终点。
14、[问题2] (9分)
上图中,骨干网络中已完成路由协议配置,各个节点之间可以互通。下面是为该网络配置静态MPLS的代码,请将下面的配置代码补充完整
#使能LSR-1及各接口的MPLS功能
[LSR-1] mpls (7)1.1.1.9
[LSR-1] (8)
[LSR-1-mpls] quit
[LSR-1] interface (9) 100
[LSR-1-vlanif100] mpls
[LSR-1-vlanif100] quit
#创建从LSR-1到LSR-3的静态LSP
[LSR-1] static-lsp ingress LSP1 destination 3.3.3.9 32nexthop 172.16.1.2 (10) 20
[LSR 2] static-lsp transit LSP1 incoming-interface vlanif 100 in-label (11) nexthop 172.16.1.2 out-label (12)
[LSR 3] static-lsp egress LSP1 incoming-interface vlanif 200 (13) 40
#创建从LSR 3到LSR 1静态LSP
[LSR 3] static-lsp ingress LSP2 destination 1.1.1.9 32nexthop 172.16.1.1 out-label 30
[LSR 2] static-lsp transit LSP2 incoming-interface vlanif 200in-label (14) nexthop 172.16.1.1 out-label 60
[LSR 1] static-Isp egress LSP2 incoming-interface vlanif 100in-label (15)
参考答案:
(7)lsr-id
(8)mpls
(9)vlanif
(10) out-label
(11)20
(12)40
(13)in-label
(14)30
(15)60
解析:
本题是关于静态MPLS配置的填空题。根据提供的网络拓扑和配置代码,需要补充完整的配置代码。
对于每个填空的位置:
- (7) lsr-id:在配置MPLS时,需要指定LSR的ID,用于标识MPLS路由器。
- (8) enable:启用MPLS功能。
- (9) vlanif 100:配置接口时,需要指定具体的接口,这里是vlanif 100。
- (10) out-label:在创建静态LSP时,需要指定出标签(out-label)。根据上下文的对称性,这里应该填写out-label。
- (11)、(12):在LSR-2的配置中,需要填写与下一跳(nexthop)相关的标签值。根据对称性,这里应填写in-label和出标签(out-label)。参考上下文可知,(12)处应为40。
- (13)、(14):在LSR-3和LSR-2的配置中,需要填写与入口接口相关的标签值(in-label)。根据对称性,(14)处应为nexthop对应的标签值,参考上下文应为30。同理,(13)在LSR-3的egress LSP配置中应填写in-label。
- (15):在LSR-1的egress LSP配置中,应填写与出站接口对应的出站标签值(out-label)。根据上下文,这个值应与LSR 3配置的出口标签相匹配,因此为60。
喵呜刷题:让学习像火箭一样快速,快来微信扫码,体验免费刷题服务,开启你的学习加速器!
