一、[材料型]问答题
试题一(20分)
阅读以下说明,回答问题1至问题4,将解答填入答题纸对应的解答栏内。
【说明】
某企业办公楼网络拓扑如图1-1所示,该网络中交换机Switch1-Switch4均是二层设备,分布在办公楼的各层,上联采用千兆光纤,核心交换机、防火墙、服务器部署在数据机房,其中核心交换机实现冗余配置。
1、【问题1】(4分)
该企业办公网络采用 172.16.1.0/25地址段,部门终端数量如表1-1所示,请将网络地址规划补充完整。
参考答案:(1)28 (2)172.16.1.17~172.16.1.30 (3)172.16.1.33~172.16.1.62 (4)26
解析:
首先,根据企业办公网络采用的地址段为172.16.1.0/25,我们知道这个网络有大量的可用IP地址。然后,我们需要根据各个部门的终端数量来划分子网。子网掩码决定了网络地址和主机地址的划分。对于终端数量较少的部门,我们可以使用较多的主机位来满足其需求,而对于终端数量较多的部门,我们需要保留更多的网络位来满足其子网划分需求。因此:
(1)对于部门A,终端数量较少,我们可以使用子网掩码位数为28的网络地址段来满足其需求。这意味着我们有足够的IP地址供部门A使用。所以部门A的子网范围是未被占用部分的第一个子网范围。具体为:由于总地址为前两位为网络位,剩余四位为主机位,故从第两位主机位开始分配。假设网络地址为A(网络部分不变),那么子网地址应为:A的下一个可用地址至广播地址的前一个地址。所以部门A的网络地址为第一个可用的子网地址段。具体数值可以根据实际计算得出。简化表示即为上述答案中的描述。其他部门的子网划分同理分析得出答案。
2、【问题2】(6分)
(1)简要说明图1-1中干线布线与水平布线子系统分别对应的区间。
(2)在网络线路施工中应遵循哪些规范(至少回答4点)?
参考答案:
(1)干线子系统对应的是核心交换机至各楼层交换机(Switch1-Switch4)区间;水平布线子系统对应的是各楼层交换机(Switch1-Switch4)至各个办公室的墙插。
(2)网络线路施工中应遵循:①配线子系统缆线宜采用在吊顶、墙体内穿管或设置金属密封线槽及开放式(电缆桥架,吊挂环等)敷设;②干线子系统垂直通道穿过楼板时宜采用电缆竖井方式;③建筑群之间的缆线宜采用地下管道或电缆沟敷设方式;④缆线应远离高温和电磁干扰的场地;⑤管线的弯曲半径应符合规范要求。⑥缆线布放在管与线槽内的管径与截面利用率,应根据不同类型的缆线做不同的选择。
解析:
第一问,根据网络拓扑图,干线子系统连接核心交换机和各楼层交换机,因此对应的是核心交换机至各楼层交换机的区间;水平布线子系统连接各楼层交换机和办公室墙插,因此对应的是各楼层交换机至各个办公室的墙插区间。
第二问,网络线路施工中应遵循以下规范:配线子系统缆线的敷设方式、干线子系统垂直通道穿过楼板的做法、建筑群之间缆线的敷设方式、缆线远离高温和电磁干扰的场地、管线的弯曲半径符合规范要求、缆线布放的管径和截面利用率的选择等。这些规范都是为了确保网络线路的安全、稳定和可靠。
3、【问题3】(6分)
若将PC-1、PC-2划分在同一个VLAN进行通信,需要在相关交换机上做哪些配置?在配置完成后应检查哪些内容?
参考答案:
(1)在核心交换机,switch2,switch3上创建一个分配这个这两台PC使用的Vlan;
(2)在核心交换机和其他有该vlan的交换机之间的互联接口配置为trunk,并允许该Vlan通过
(3)交换机2的PC1对应接口及交换机3的PC2对应接口配置位access并允许该vlan通过。
(4)接入交换机上查看vlan号和端口对应关系是否正确,两台pc是否可以相互ping通。
解析:
本题要求配置PC-1和PC-2在同一VLAN内的通信。首先,需要在相关的交换机上创建该VLAN,并确保连接这两台PC的接口被分配到这个VLAN。其次,为了保证VLAN的数据能够跨交换机传输,核心交换机与其他交换机之间连接这两台PC的接口需要配置为Trunk模式,并允许该VLAN通过。然后,在接入PC的交换机上,将PC对应的接口配置为Access模式,并加入创建的VLAN。最后,配置完成后,需要检查接入交换机上vlan号和端口对应关系是否正确,以及通过ping测试确保PC-1和PC-2之间可以互相通信。
4、【问题4】(4分)
(1)简要说明该网络中核心交换机有哪几种冗余配置方式。
(2)在该网络中增加终端接入认证设备,可以选择在接入层、核心层或者DMZ区部署。请选择最合理的部署区域并说明理由。
参考答案:
(1)VRRP方式、堆叠、MSTP、Smart Link + Monitor Link
(2)核心层(比如AC+AP,AC旁挂在核心交换机)。因为接入层缺少冗余,可靠性低;DMZ区域安全性较低,访问链路成本高;核心层具有覆盖面广、可靠性和安全性高、配置和管理简单等特点。
解析:
(1)核心交换机是网络中的关键设备,对于其冗余配置方式,主要包括VRRP(虚拟路由器冗余协议)方式、堆叠、MSTP(多生成树协议)以及Smart Link + Monitor Link等方式。这些方式可以提高网络的可靠性和稳定性,确保网络在设备故障时仍能正常运行。
(2)对于终端接入认证设备的部署区域,考虑到网络的稳定性和效率,建议部署在核心层。核心层作为网络的核心,覆盖面广,能够确保对所有用户的访问路径最短,效率最高。同时,核心层具有较高的可靠性和安全性,便于进行配置和管理。相比之下,接入层缺少冗余,可靠性较低;DMZ区域虽然可以部署安全设备,但安全性较低且访问链路成本较高,不太适合部署终端接入认证设备。
试题二(20分)
阅读以下说明,回答问题1至问题4,将解答填入答题纸对应的解答栏内。
【说明】
某企业网络拓扑如图2-1所示,该企业通过两个不同的运营商(ISP1和ISP2)接入Internet,内网用户通过NAT访内Internet,公网用户可通过不同的ISP访问企业内部的应用。
5、【问题1】(6分)
为充分利用两个运营商的带宽,请提供至少4种多出口链路负载策略。
参考答案:(1)基于目标地址的策略路由;(2)基于源地址的策略路由;(3)基于流量的负载均衡策略;(4)基于应用协议的策略路由;(5)流量根据链路带宽负载分担;(6)流量根据链路状态负载分担;(7)流量根据链路权重负载分担;(8)流量根据链路优先级负载分担。
解析:
为了充分利用两个运营商的带宽,企业可以采取多种多出口链路负载策略。其中包括:(1)基于目标地址的策略路由,根据目标网络地址选择最佳链路;(2)基于源地址的策略路由,根据源地址决定数据通过的链路;(3)基于流量的负载均衡策略,根据当前网络流量来分配后续流量;(4)基于应用协议的策略路由,根据应用协议类型选择链路;(5)流量根据链路带宽负载分担,确保流量根据链路的可用带宽进行分配;(6)流量根据链路状态负载分担,根据链路的实时状态来决定流量的路由;(7)流量根据链路权重负载分担,为不同链路分配不同的权重,影响流量分配;(8)虽然不是直接相关,但可以考虑流量根据链路优先级负载分担,为高优先级链路分配更多流量。这些策略可以帮助企业更好地利用两个运营商的带宽资源。
6、【问题2】(6分)
内网服务器Server需要对外发布提供服务,互联网用户可通过ISP1、ISP2来访问,Server的服务端口为TCP 9980
请根据以上需求配置安全策略,允许来自互联网的用户访问Server提供的服务
[USG] security-policy
[USG-policy-security] rule name http
[USG-policy-security-rule-http] source-zone ISP1
[USG-policy-security-rule-http] source-zone ISP2
[USG-policy-security-rule-http] destination-zone trust
[USG-policy-security-rule-http] destination-address (1)
[USG-policy-security-rule-http] service protocol (2) destination-port (3)
[USG-policy-security-rule-http]action (4)
[USG-policy-security-rule-http]quit
参考答案:(1)10.10.10.10 32 (2)tcp (3)9980 (4)permit
解析:
这道题目要求配置安全策略,允许来自互联网的用户访问内网服务器Server提供的服务。
(1) 第一空需要填写的是内网服务器的IP地址。根据题目描述和图示,内网服务器Server的IP地址为10.10.10.10。由于这是一个单独的IP地址,所以使用32的掩码。
(2) 第二空需要填写的是服务协议。题目中明确提到Server的服务端口为TCP 9980,因此服务协议应该是tcp。
(3) 第三空需要填写的是服务端口号。题目中已经给出Server的服务端口为TCP 9980,所以这里直接填写9980。
(4) 第四空是设置动作,允许访问应该填写permit。题目中要求允许互联网用户访问Server提供的服务,因此选择permit作为动作。
按照以上解析,正确的安全策略配置应为:
[USG] security-policy
[USG-policy-security] rule name http
[USG-policy-security-rule-http] source-zone ISP1
[USG-policy-security-rule-http] source-zone ISP2
[USG-policy-security-rule-http] destination-zone trust
[USG-policy-security-rule-http] destination-address 10.10.10.10 32
[USG-policy-security-rule-http] service protocol tcp
[USG-policy-security-rule-http] destination-port 9980
[USG-policy-security-rule-http] action permit
[USG-policy-security-rule-http]quit
7、【问题3】(4分)
经过一段时间运行,经常有互联网用户反映访问Server的服务比较慢。经过抓包分析发现部分应用请求报文和服务器的回应报文经过的不是同一个ISP接口。请分析原因并提供解决方法。
参考答案:外部流量访问内部应用,来自于一个ISP的外网用户,USG设备的出口路由策略配置错误,造成从另一个ISP出口把数据包返回给用户,导致请求和回应地址不一致丢失数据。解决方案:分别打开设备上两条运营商出口的源进源出功能。
解析:
外部流量访问内部应用时,由于网络拓扑结构和出口路由策略配置错误,导致部分应用请求报文和服务器的回应报文经过的不是同一个ISP接口。这可能是由于USG设备的出口路由策略配置错误,使得从另一个ISP出口返回数据包给用户。因此,解决方法是分别打开设备上两条运营商出口的源进源出功能,确保数据的路径一致,从而解决访问Server服务慢的问题。
8、【问题4】(4分)
企业网络在运行了一段时间后,网络管理员发现了一个现象:互联网用户通过公网地址可以正常访问Server,内网用户也可以通过内网地址正常访问Server,但内网用户无法通过公网地址访问Server,经过排查,安全策略配置都正确。请分析造成该现象的原因并提供解决方案。
参考答案:
原因:缺少域内nat,当内网终端访问服务器映射的公网IP地址时,防火墙会将目的地址转换为服务器的私网地址,并转发给内部服务器,当服务器在回包时发现对端都在内网,不会将报文发给自己的网关(防火墙),而直接通过交换机转发给终端,当终端收到此响应报文时发现并不是自己所访问的服务器(公网地址)的响应报文,会将报文丢弃,从而导致不通。
解决方案:添加域内nat,防火墙内网接口配置natserver。
解析:
该问题的核心在于理解网络地址转换(NAT)的作用以及在网络中的位置。NAT主要用于将私有IP地址转换为公共IP地址,以便在互联网上进行通信。在这个场景中,内网用户无法直接通过公网地址访问Server,是因为缺少域内NAT的配置,导致数据包在传输过程中无法正确转换地址。解决方案是配置域内NAT,确保防火墙能够处理这种地址转换,从而解决通信问题。
试题三(20分):
阅读以下说明,回答问题1至问题3,将解答填入答题纸对应的解答栏内。
【说明】
图3-1为某公司网络骨干路由拓扑片段(分部网络略),公司总部与分部之间运行BGP获得路由,路由器RA、RB、RC以及RD之间配置iBGP建立邻居关系,RC和RD之间配置OSPF进程。所有路由器接口地址信息如图所示,假设各路由器已经完成各个接口IP等基本信息配置。
9、图3-1
【问题1】(2分)
按图3-1所示配置完成BGP和OSPF路由相互引入后,可能会出现路由环路,请说明产生路由环路的原因。
参考答案:
OSPF路由可以通过路由引入的方式在BGP进程进行重发布。
解析:
在图中,OSPF路由和BGP路由相互引入,如果配置不当,确实可能会出现路由环路的问题。这是因为OSPF路由可以通过路由引入的方式在BGP进程中进行重发布,这是一个正常的操作。但是,如果在执行这个操作时,相关设备的路由策略(如路由的下一跳、路由的优先级等)配置不正确或不一致,就可能导致数据包在多个路由器之间循环传递,形成路由环路。为了避免这种情况,可以在引入OSPF路由时,配置环路检测功能,及时发现并处理潜在的环路问题。
10、【问题2】(10分)
要求:配置BGP和OSPF基本功能(以RA和RB为例),并启用RC和RD之间的认证,以提升安全性。
补全下列命令完成RA和RB之间的BGP配置:
#RA启用BGP,配置与RB的IBGP对等体关系
[RA] bgp 100[RA-bgp] router-id 10.11.0.1
[RA-bgp] peer 10.12.0.2 as-number (1)
[RA-bgp] ipv4-family unicast
[RA-bgp-af-ipv4] peer (2) enable
[RA-bgp] quit
#RB启用BGP,配置与RA、RC和RD的IBGP对等体关系
[RB] bgp 100
[RB-bgp] router-id 10.22.0.2
[RB-bgp] peer (3) as-number 100 #配置与RA的对等关系
...... #其它配置省略
#配置RC和RD的OSPF功能(以RC为例),并启用OSPF认证
[RC] ospf 1 router-id 10.33.0.3
[RC-ospf-1] area 0
[RC-ospf-1-area-0.0.0.0] network (4) #发布财务专网给RD,其它省路
[RC-ospf-1-area-0.0.0.0] authentication-mode simple ruankao
[RC-ospf-1] quit
(5)OSPF认证方式有哪些?上述命令中配置RC的为哪种?
(6)如果将命令authentication-mode simple ruankao替换为authentication-mode simple plain ruankao,则两者之间有何差异?
参考答案:
(1)100(2)10.12.0.2(3)10.12.0.1(4)10.10.10.0 0.0.0.255
(5)区域认证和接口认证,RC使用区域认证
(6)authentication-mode simple ruankao默认是加密方式处理认证密码,若是用authentication-mode simple plain ruankao,则使用明文处理认证密码
解析:
本题主要考察BGP和OSPF的基本配置以及OSPF的认证方式。
(1)-(3)题是关于BGP配置的基本命令,需要填写的内容主要是AS号和对等体的IP地址。
(4)-(5)题涉及到OSPF的配置和认证方式。在OSPF的配置中,需要发布特定的网络地址。而关于认证方式,OSPF支持区域认证和接口认证,本题中的命令片段使用的是区域认证方式。
(6)题关于OSPF认证模式的差异,主要考察对OSPF认证模式的理解。在OSPF的认证命令中,"simple"验证模式可以配置为使用加密或明文方式处理认证密码,具体取决于是否使用了"plain"关键字。
11、【问题3】(8分)
要求:配置BGP和OSPF之间的相互路由引入并满足相应的策略,配置路由环路检测功能。
[RC-ospf-1] import-route bgp permit-ibgp #该命令的作用是(7)
......#其它配置省略
#配置RD的BGP引入OSPF路由,并配置路由策略禁止发布财务专网的路由给BGP.
[RD] acl number 2000 #配置编号为2000的ACL,禁止10.10.10.0/24通过
[RD-acl-basic-2000] rule deny source (8) 0.0.0.255
[RD-acl-basic-2000] quit
[RD]route-policy rp #配置名为rp的路由策略
[RD-route-policy] if-match acl (9)
[RD-route-policy] quit
[RD] bgp 100
[RD-bgp] ipv4-family unicast
[RD-bgp-af-ipv4] import-route ospf (10)
[RD-bgp] quit
#以RA为例,启用BGP环路检测功能。
[RA] route (11) bgp enable
参考答案:
(7)允许IBGP路由引入IGP中
(8)10.10.10.0 (9)2000 (10)route-policy rp (11)loop-detect
解析:
(7)根据题干中的命令"import-route bgp permit-ibgp",这个操作允许IBGP路由被引入到IGP中。在BGP和IGP的交互中,默认情况下IGP只能引入EBGP路由,不能引入IBGP路由,所以这个命令的作用是允许IBGP路由的引入。
(8)根据题干的配置说明"#配置编号为2000的ACL,禁止10.10.10.0/24通过",这里需要配置一个ACL来禁止特定网段(这里是10.10.10.0/24)的流量通过。因此,空8处应填写的是这个被禁止的网段,即10.10.10.0。
(9)题干中的"if-match acl"命令用于匹配某个ACL规则,而前面已经定义了编号为2000的ACL,所以空9处应填写的是这个ACL的编号,即2000。
(10)在配置RD的BGP引入OSPF路由时,使用了一个路由策略"route-policy rp"。在命令"import-route ospf"后面,需要指定这个策略的名称,所以空10处应填写的是这个策略的名称,即"route-policy rp"。
(11)最后,根据题干要求,“以RA为例,启用BGP环路检测功能”,而开启BGP环路检测功能的命令是"route loop-detect bgp enable"。所以空11处应填写的是"loop-detect"。
试题四(共15分):
阅读以下说明,回答问题1至问题3,将解答填入答题纸对应的解答栏内。
【说明】
某公司网络拓扑如图4-1所示。
12、【问题1】(10分)
公司计划在R1、R2、R3上运行RIP,保证网络层相互可达。接口P地址配置如表4-1所示。请将下面的配置代码补充完整。
<HUAWEI>(1)
[HUAWEI]sysname (2)
[R1]interface GigabitEthernet 0/0/0
[R1-GigabitEthernet 0/0/0]ip address 10.0.1.254 255.255.255.252
[R1-GigabitEthernet 0/0/0]interface GigabitEthernet0/0/1
[R1-GigabitEthernet 0/0/1]ip address(3)255.255.255.252
[R1-GigabitEthernet 0/0/2]interface GigabitEthernet0/0/2
[R1-GigabitEthernet 0/0/2]ip address 100.1.1.1 255.255.255.0
[R1-GigabitEthernet 0/0/2]quit
[R1]rip
[R1-rip1] (4)
[R1-rip-2]undo summary
[R1-rip-2]network (5)
[R1-rip-2]network 100.0.0.0
......
R2、R3的RIP配置略
......
参考答案:(1)system-view,
(2)R1
(3)10.0.1.250
(4)rip 2
(5)10.0.0.0
解析:
本题主要考察的是RIP协议的配置以及华为设备的命令行操作。根据题目描述和参考答案,我们可以进行以下解析:
(1)进入系统视图,使用命令system-view。这是华为设备的基本命令,用于进入系统视图模式。在这个模式下,我们可以进行全局配置。
(2)更改设备名称使用命令sysname,后面的名字就是题目中的R1。这一步是为了确认我们当前配置的设备是R1。
(3)根据表4-1,我们知道R1的G0/0/1的接口地址应该为题目中提供的IP地址和子网掩码组合,即填写的地址应为"10.0.1.250 255.255.255.252"。这里的子网掩码确定了网络的范围和网络地址的划分。
(4)从rip 1进程视图进入到rip-2进程视图,使用命令rip 2。这一步是为了配置RIP协议的第二个实例。在华为设备上,我们可以创建多个RIP实例,并对每个实例进行单独配置。这通常在需要管理不同的路由实例时非常有用。比如在这个案例中,可能有不同的子网需要分别进行管理。
(5)关于第五空,根据参考答案的描述,这里需要发布一个或多个网段供RIP协议处理。对于RIP来说,发布路由时通常不需要使用通配符子网掩码。因此,我们可以直接填写网络地址如"network 10.0.0.0",或者如果配置要求更具体的话,可以加上子网掩码如"network 10.x"(这里的x代表具体的子网掩码)。具体的配置取决于网络拓扑和配置需求。因此,建议根据实际情况进行配置或咨询相关文档或专业人士以获得准确信息。
13、【问题2】(3分)
公司计划在R2和R3的链路上使用RIP与BFD联动技术,采用BFD echo报文方式实现当链路出现故障时,BFD能够快速感知并通告RIP协议。
请将下面的配置代码补充完整。
......
[R2] interface gigabitethernet (6)
[R2-GigabitEthernet0/0/1] undo (7)#关闭接口GE0/0/1的二层转发特性
[R2-GigabitEthernet0/0/1] rip bfd (8)#使能接口GE0/0/1的静态BFD特性
......
参考答案:
(6)0/0/1 (7)port switch (8)enable
解析:
(6)根据题目描述,需要进入R2的特定接口,此处应为GigabitEthernet 0/0/1接口,因此填写0/0/1。
(7)在配置过程中,需要关闭接口GE0/0/1的二层转发特性。对于既是二层又是三层的接口,默认是switch类型,所以可以使用命令“undo port switch”来关闭接口的二层转发特性。
(8)要启用BFD功能,通常使用的命令是“enable”。在此场景中,要启用接口GE0/0/1的静态BFD特性,应使用“rip bfd enable”命令。
14、【问题3】(2分)
公司通过R1连接internet,为公司提供互联网访问服务,在R1上配置了静态路由指向互联网接口,为了使网络均能够功互联网,需通过RIP将该静态路由进行重分布。请将下面的配置代码补充完整。
...
[R1-rip-2] default-route (9)
...
参考答案:(9)originate
解析:
在RIP(路由信息协议)配置中,"default-route originate"命令用于在路由器R1上生成一条缺省路由并将其发布给邻居路由器。缺省路由是一种特殊的路由,当路由器没有匹配特定目的地址的路由时,将会使用缺省路由。在这个场景中,公司通过R1连接Internet,为了使网络都能够访问Internet,需要通过RIP将静态路由进行重分布,而"default-route originate"命令是实现这一目的的关键配置之一。不配置参数时,RIP协议会直接生成并发布缺省路由。
喵呜刷题:让学习像火箭一样快速,快来微信扫码,体验免费刷题服务,开启你的学习加速器!
