一、[材料型]问答题
试题一(20分)
阅读以下说明,回答问题1至问题4,将解答填入答题纸对应的解答栏内。
【说明】
某分支机构网络拓扑图如1-1所示,该网络通过BGP接收总部网络路由,设备1与设备2作为该网络的网关设备,且运行VRRP(虚拟网络冗余协议),与出口设备运行OSPF。
该网络规划两个网段10.11.229.0/24和10.11.230.0/24,其中 10.11.229.0网段只能访问总部网络,10.11.230.0网段只能访问互联网。
1、【问题1】(4分)
分支机构有营销部、市场部、生产部、人事部四个部门,每个部门需要访问互联网主机数量如表所示,现计划对网段10.11.230.0/24进行子网划分,为以上四个部分规划IP地址,请补充表中的空(1)-(4)。
参考答案:(1)10.11.230.0 (2)255.255.255.192 (3) 10.11.230.224 (4)255.255.255.240
解析:
本题主要考察的是对网络子网划分及IP地址分配的理解和掌握。首先需要对整个网段进行划分以满足各部门访问互联网主机的需求。根据给出的参考答案和解析,我们可以知道需要对网段进行划分并分配给各个部门合适的IP地址范围以及相应的子网掩码。具体的划分和分配方式需要根据实际情况和需求来确定,但大致的思路和步骤是一致的。本题中的答案给出了一个可能的划分和分配方式作为参考,但实际的分配可能会根据具体情况有所不同。
2、【问题2】(8分)
在该网络中为避免环路,应该在交换机上配置(5),生成BGP路由有network 与 import 两种方式,以下描述正确的是(6)(7)(8)。
空(6)-(8)备选答案:
A.Network 方式逐条精确匹配路由
B.Network 方式优先级高
C.Import方式按协议类型引入路由
D.Import方式逐条精确匹配路由
E.Network 方式按协议类型引入路由
F.Import方式优先级高
参考答案:(5) STP或者生成树协议 (6)~(8) ABC
解析:
在该网络中为避免环路,应该在交换机上配置STP(生成树协议),它是一种网络协议,用于防止网络环路的发生。关于BGP路由的生成方式,network方式是逐条将IP路由表中已经存在的路由引入到BGP路由表中,而import方式则是根据运行的路由协议将路由引入到BGP路由表中。因此:
(6)Network 方式逐条精确匹配路由:正确描述network的方式。
(7)Import方式按协议类型引入路由:正确描述import的引入方式。
(8)逐条精确匹配路由的描述对于network方式更为准确,因此选择A和D作为正确答案。关于优先级的问题,在华为设备中,内部路由(如network宣告的路由)优先级高于外部路由(如import引入的路由),但这并不是题目所问的内容。
3、【问题3】(4分)
若设备1处于活动状态(Master ),设备2的状态在哪条链路出现故障时会发生改变?请说明状态改变的原因。
参考答案:
当link e 故障时设备2的状态会变化。因为根据VRRP协议的特性,一旦设备2检测不到主设备的状态,在一个检查超时时间内自动转换为master。
试题分析:虚拟路由冗余协议(Virtual Router Redundancy Protocol,VRRP)解决局域网中配置静态网关出现单点失效现象的路由协议,可以配置一个设备群集。VRRP允许两台或多台路由器使用同一个虚拟的MAC地址和IP地址,看起来多台设备就像是一台设备,其实这台设备并不存在,只是多台互为备份的设备。运行VRRP的一组路由器对外组成了一个虚拟路由器,其中一台路由器处于Master状态,其他的处于Backup状态。当由于某种原因主设备发生故障时,其中的一台备份设备能迅速变为主控设备,由于此切换非常块,且不用改变IP地址和MAC地址,因此VRRP的这种设备切换对终端用户是透明的。本题中,设备1处于活动状态,设备1和设备2通过link e相互检测对端状态,一旦link e故障,设备2检测不到设备1的状态,因此发送状态变化。
解析:
本题考查了虚拟路由冗余协议(VRRP)的特性。VRRP协议用于解决局域网中配置静态网关的单点失效问题。在一组运行VRRP的路由器中,通常有一台路由器处于Master状态,其他路由器处于Backup状态。Master设备负责转发数据包,而Backup设备处于待命状态,等待Master设备出现故障时接管。
设备1和设备2通过link e相互检测对端状态,这是VRRP协议的一个重要功能。当link e出现故障,即设备1无法被设备2正常检测到时,设备2会认为设备1出现故障,因此在检查超时时间内,设备2会自动转换为Master状态,以保证网络的正常运作。这种状态改变对终端用户来说是透明的,因为虚拟路由器仍然能够提供稳定的网络服务。
4、【问题4】(4分)
如果路由器与总部网络的线路中断,在保证数据安全的前提下,分支机构可以在客户端采用什么方式访问总部网络?在防火墙上采用什么方式访问总部网络?
参考答案:客户端可以远程访问的形式(如PPTP vpn,SSL-vpn等),防火墙适合采用站点到站点的形式如(IPsec-vpn,mpls-vpn)
解析:
当路由器与总部网络的线路中断时,为了保证数据安全,分支机构在客户端可以通过远程访问的方式访问总部网络。其中,PPTP vpn和SSL-vpn是常用的远程访问方式。同时,在防火墙上,适合采用站点到站点的形式,如IPsec-vpn来访问总部网络。这是因为IPsec-vpn可以提供加密的安全通道,确保数据传输的安全性。
试题二(20分)
阅读以下说明,回答问题1至问题4,将解答填入答题纸对应的解答栏内。
【说明】
如图,为某公司的网络拓扑图。
5、【问题1】(6分)
某日,网站管理员李工报告网站访问慢,他查看了互联网接入区防火墙的日志。日志如图。
根据日志显示,初步判断该公司服务器遭到(1)攻击。该种攻击最常见的攻击方式为(2)、(3)等,李工立即开启防火墙相关防护功能,几分钟后,服务器恢复了正常使用。
空(1) - (3)备选答案:
A.ARP B.蜜罐 C.DDoS D.SQL注入 E.IP地址欺骗 F.ICMP flood G.UDP flood
参考答案:(1)C (2)~(3) FG
解析:
从提供的日志图片中可以看到攻击类型为ack flood,这是一种典型的洪水攻击,属于DOS(拒绝服务)或DDoS(分布式拒绝服务)攻击。在给出的备选答案中,C选项“DDoS”与此相符。
关于洪水攻击,它通常包括各种形式的拒绝服务攻击,如ICMP flood和UDP flood等。这些攻击通过大量无用的请求或数据包使服务器过载,从而拒绝合法用户的正常服务。因此,F选项的“ICMP flood”和G选项的“UDP flood”都是可能的攻击方式。
所以,根据日志显示的初步判断,该公司服务器遭到了DDoS攻击,其中最常见的攻击方式为ICMP flood和UDP flood。李工开启防火墙相关防护功能后,服务器恢复了正常使用。
6、【问题2】(8分)
某日,10层区域用户反映,上网时断时续,网络管理员李工经过现场勘查,发现该用户通过DHCP获取到192.168.1.0/24网段的地址,而公司该楼层分配的地址段为10.10.10.1/24,经判断该网络有用户私接路由器,于是李工在楼层的接入交换机上开启交换机(4)功能后,用户上网正常,同事开启(5)功能后,可防止公司内部电脑感染病毒,伪造MAC地址攻击网关。
空( 4)-(5)备选答案:
A. ARP detection
B. DHCP
C. DHCP Relay
D. DHCP Snooping
为加强终端接入管理,李工对接入交换机配置限制每个端口只能学习1个终端设备的MAC地址,具体如下:
interface GigabitEthernet 0/0/1
port-security (6)
port-security-mac-num mac-number (7)
参考答案:(4) D (5)A (6) enable (7) 1
解析:
问题(4):根据描述,用户私接路由器并获取了非法地址,导致网络问题。为了解决这个问题,需要启用DHCP Snooping功能,该功能可以识别并过滤非法DHCP服务器分配的地址。因此,选项D(DHCP Snooping)是正确的选择。
问题(5):为了防止公司内部电脑感染病毒并进行MAC地址伪造攻击网关,需要开启ARP detection功能。ARP detection可以检测和防止ARP欺骗攻击。因此,选项A(ARP detection)是正确的选择。
问题(6):在配置端口安全功能时,需要使用“enable”命令来开启该功能。因此,这里应该填写“enable”。
问题(7):根据描述,接入交换机限制每个端口只能学习一个终端设备的MAC地址。因此,端口的安全配置中的MAC地址数量应设置为1。所以,这里应该填写“1”。
7、【问题3】(4分)
随着业务发展,公司需对存储系统升级,当前需要存储的数据主要为数据库、ERP、图片、视频、文档等。其中,数据库、ERP 采用SSD硬盘存储。使用RAID 5冗余技术。该用于技术通过(8)方式来实现数据冗余保护,每个RAID组至少应配备(9)块硬盘。
参考答案:(8) 校验 (9)3
解析:
对于问题3中的第一个空,RAID 5冗余技术是通过校验的方式来实现数据冗余保护的。校验是RAID 5的核心机制,它计算并存储数据的校验信息,以便在数据损坏时能够恢复。
对于第二个空,RAID 5至少需要3块硬盘来实现冗余阵列。这是因为RAID 5需要至少一个硬盘来存储数据,一个硬盘来存储奇偶校验信息,以确保数据的冗余保护。因此,每个RAID组至少应配备3块硬盘。
8、【问题4】(2分)
要求存储系统在不中断业务的基础上,快速获得一个LUN在某个时刻的完成数据拷贝进行业务分析,可以使用(10)功能实现。
空(10)备选答案;
A.快照
B.镜像
C.远程复制
D.LUN拷贝
参考答案:(10) A
解析:
根据题目描述,要求在不中断业务的基础上,快速获得一个LUN在某个时刻的完成数据拷贝进行业务分析。快照功能可以满足这一需求,因为它可以通过软件快速扫描要备份的磁盘子系统的数据,并建立一个快照逻辑单元号(LUN)和快照缓存。快照LUN是一组指针,指向快照缓存和磁盘子系统中不变的数据块,这样就可以实现在正常业务进行的同时,利用快照LUN实现对原数据的一个完全备份。因此,使用快照功能可以实现在不中断业务的基础上,快速获得一个LUN的完成数据拷贝进行业务分析。
试题三(20分)
阅读以下说明,回答问题1至问题3,将解答填入答题纸对应的解答栏内。
【说明】
图为某公司的总部和分公司网络拓扑,分公司和总部数据中心通过ISP1的网络和ISP2的网络互连。并且连接5G出口作为应急链路,分公司和总部数据中心交互的业务有语音、视频、FTP和 HTTP四种。要求通过配置策略路由实现分公司访问业务分流。配置网络质量分析(NQA)与静态路由联动实现链路冗余。其中,语音和视频以ISP1为主链路、ISP2为备份;FTP和 HTTP 以ISP2为主链路,ISP1为备份。
9、【问题1】(4分)
通过在R1上配置策略路由、以实现分公司访问总部的流量可根据业务类型分组到L1和L2两条链路并形成主备关系,首先完成ACL相关配置。
配置R1 上的 ACL来定义流:
首先定义视频业务流ACL2000:
[R1] ac1 2000
[R1-acl-basic-2000] rule 1 permit destination (1 ) 0.0.255.255
[R1-acl-basic-2000] quit
定义Web业务流ACL 3000;
[R1] acl 3000
[R1-acl-adv-3000] rule 1 permit destination any destination-port (2)
[R1-acl-basic-3000] quit
参考答案:(1)2.2.0.0 (2) eq 80
解析:
(1)根据题目描述,ACL2000是用于定义视频业务流的。视频服务器的地址在题目中给出为2.2.2.11,而反掩码(mask)为0.0.255.255。在这种情况下,目的地址应该填写为服务器地址所在的网络段,即2.2.0.0。
(2)对于Web业务流,通常使用HTTP协议,其默认端口为80。因此,在ACL 3000中定义Web业务流时,目的端口应设置为等于80(eq 80)。
10、【问题2】(8分)
完成R1策略路由剩余相关配置
1:创建流分类,匹配相关ACL定义的流
[R1] traffic classifier video
[R1-classifier-video] if-match acl 2000
[R1-classifier-video] quit
[R1] traffic classifier web
[R1-classifier-web] if-match acl 3000
[R1-classifier-web] quit
2:创建流行为并配置重定向
[R1] traffic behavior b1
[R1-behavior-b1] redirect ip-nexthop (3)
[R1-behavior-b1] quit
[R1] traffic behavior b2
[R1-behavior-b2] redirect ip-nexthop(4)
[R1-behavior-b2] quit
3:创建流策略,并在接口上应用
[R1] traffic policy p1
[R1-trafficpolicy-p1] classifier video behavior b1
[R1-trafficpolicy-p1] classifier web behavior (5)
[R1-trafficpolicy-p1] quit
[R1] interface GigabitEthernet 0/0/0
[R1-GigabitEthernet0/0/0] traffic-policy 1 (6)
[R1-GigabitEthernet0/0/0] quit
参考答案:(3)30.13.0.3 (4) 40.14.0.4 (5)b2 (6)inbound
解析:
题目要求完成R1策略路由的剩余相关配置。
- 创建流分类以匹配相关ACL定义的流。已经给出了创建视频和web流分类的命令,其中视频流匹配ACL 2000,web流匹配ACL 3000。
- 创建流行为并配置重定向。根据要求,视频流的行为是重定向到ISP1,而web流的行为是重定向到ISP2。因此,对于视频流的行为b1,需要配置下一跳地址为ISP1的地址,即30.13.0.3;对于web流的行为b2,需要配置下一跳地址为ISP2的地址,即40.14.0.4。
- 创建流策略并在接口上应用。根据上下文,视频流分类应用行为b1,web流分类应用行为b2。在接口GigabitEthernet 0/0/0上应用这个策略,并且是针对入站流量(inbound)。
所以,答案为(3) 30.13.0.3,(4) 40.14.0.4,(5) b2,(6) inbound。
11、【问题3】(8分)
在总部网络,通过配置静态路由与NQA联动,实现R2对主链路的ICMP监控,如果发现主链路断开,自动切换到备份链路。
在R2上完成如下配置:
1:开启NQA,配置ICMP类型的NQA测试例,检测R2到ISP1和ISP2网关的链路连通状态ISP1链路探测:
[R2] nqa test-instance admin isp1 //配置名为admin isp1的NQA测试例
……其他配置省略
ISP2链路探测:
[R2] nqa test-instance admin isp2
[R2-nqa-admin-isp2] test-type icmp
[R2-nqa-admin-isp2] destination-address ipv4 (7) //配置NQA测试目的地址
[R2-nqa-admin-isp2] frequency 10 //配置NQA两次测试之间间隔10秒
[R2-nqa-admin-isp2] probe-count 2 //配置NQA测试探针数目为2
[R2-nqa-admin-isp2] start now
2:配置静态路由
[R2]ip route-static 30.0.0.0 255.0.0.0 (8) track nqa admin isp1
[R2]ip route-static 40.0.0.0 255.0.0.0 40.24.0.4 track nqa admin isp2
[R2]ip route-static 0.0.0.0 0.0.0.0 40.24.0.4 preference 100 track nqa admin isp2
[R2]ip route-static 0.0.0.0 0.0.0.0 (9) preference 110 track nqa admin isp1
[R2]ip route-static 0.0.0.0 0.0.0.0 (10) preference 120
参考答案:(7)40.14.0.1 (8)30.23.0.3 (9)30.23.0.3 (10)50.15.0.5
解析:
题目要求在总部网络通过配置静态路由与NQA联动,实现R2对主链路的ICMP监控,并自动切换到备份链路。在R2上的配置中,NQA用于监控R2到ISP1和ISP2的链路连通状态。
对于第(7)空,配置NQA测试目的地址,根据图示和上下文,这个地址应该是指向ISP2的网关地址,即40.24.0.1。
第(8)空,这是设置一条静态路由的网关地址,根据图示和上下文,这个地址应该是指向ISP1的网关地址,即30.23.0.3,作为主链路的网关。
第(9)空,根据上下文,这个空应该填写的是主链路的静态路由配置中的网关地址,仍然是30.23.0.3。
第(10)空,根据题目要求使用5G网络作为应急备份,因此这个空应该是备用链路的静态路由配置中的网关地址,即50.15.0.5。
试题四(15分)
阅读以下说明,回答问题1至问题2,将解答填入答题纸对应的解答栏内。
【说明】
某公司两个机构之间的通信示意图如下图,为保证通信的可靠性,在正常情况下,R1通过GE1/0/1接口与RB通信,GE1/0/2和GE1/0/3接口作为备份接口,当接口故障或者带宽不足时,快速切换到备份接口,由备份接口来承担业务流量或者负载分担。
12、【问题1】(8分)
评价系统可靠性通常采用MTBF (Mean Time Between Failures,平均故障间隔时间)和MTR(MeanTime to Repair,平均修复时间)这两个技术指标。其中MTBF是指系统无故障运行的平均时间,通常以(1)为单位。MTBF越(2),可靠性也就越高,在实际的网络中,故障难以避免,保证可靠性的技术从两个方面实现,故障检测技术和链路冗余,其中常见的关键链路冗余有接口备份、(3)、(4)和双机热备份技术。
参考答案:(1)小时 (2)大 (3) 接口监控组 (4)VRRP
解析:
(1)MTBF(平均故障间隔时间)的单位通常是小时,因此第一空应填写“小时”。
(2)MTBF表示系统无故障运行的平均时间,其数值越大,表示系统的可靠性越高,因此第二空应填写“大”。
(3)在关键链路冗余技术中,除了接口备份,还有接口监控组。接口监控组是通过监控网络侧接口的状态来触发相应的接入侧接口状态变化,以实现接入侧主备链路的切换。因此第三空应填写“接口监控组”。
(4)另一种常见的关键链路冗余技术是VRRP(虚拟路由冗余协议)。VRRP可以在局域网中提供容错能力,当设备出现故障时,仍能提供缺省链路,避免单一链路发生故障导致的网络中断问题。因此第四空应填写“VRRP”。
13、【问题2】(7分)
路由器RA和RB的GE1/0/1接口为主接口,GE1/0/2和GE1/0/3接口分别为备份接口,其优先级分别为30和20,切换延时均为10s。
1.配置各接口 IP地址及Host A和 Host B之间的静态路由配置R1各接口的IP地址,RB的配置略。
<Huawei> (5)
[Huawei] (6)RA
[RA] interface GigabitEthernet 1/0/1
[RA-GigabitEthernet0/0/1] (7) 10.1.1.1 255.255.255.0
[RA-GigabitEthernet0/0/1] quit
......
#在RA上配置去往Host B所在网段的静态路由。
[RA](8)192.168.100.0 24 10.1.1.2
......
2.在RA上配置主备接口
[RA] interface GigabitEthernet 1/0/1
[RA-GigabitEthernet1/0/1] (9) interface GigabitEthernet 1/0/2 (10)
[RA-GigabitEthernet1/0/1] standby interface GigabitEthernet 1/0/3 20
[RA-GigabitEthernet1/0/1] standby (11) 10 10
[RA-GigabitEthernet1/0/1] quit
空(5)- (11)
A. sysname/sysn
B. timer delay
C.standby
D.30
E.ip address
F.system-view/sys
G.ip route-static
参考答案:(5) F (6)A (7) E (8)G (9)C(10)D (11) B
解析:
(5)空:根据上下文,需要进入系统视图,所以选择F,即"system-view"。
(6)空:修改设备名,选择A,即"sysname"。
(7)空:设置接口IP地址,选择E,即"ip address"。
(8)空:配置静态路由,选择G,即"ip route-static"。
(9)空:配置主备接口,需要用到standby命令,所以选择C。
(10)空:根据上下文,这里应该是设置备份接口的优先级,所以应填写数字30。选项D是正确的。
(11)空:根据题干,需要设置切换延时,所以选择B,即"timer delay"。
喵呜刷题:让学习像火箭一样快速,快来微信扫码,体验免费刷题服务,开启你的学习加速器!
