一、[材料型]问答题
试题一(共20分)
阅读以下说明,回答问题1至问题3,将解答填入答题纸对应的解答栏内。
【说明】
某校园社区WLAN网络拓扑结构如图1-1所示,数据规划如表1-1内容所示。该网络采用敏捷分布式组网在每个宿舍部署一个AP,AP连接到中心AP,所有AP和中心AP统一由AC进行集中管理。为每个宿舍提供高质量的WLAN网络覆盖。
1、补充命令片段的配置。
Router的配置文件
[Huawei]sysname Router
[Router] vlan batch (1)
[Router]interface gigabitethernet 1/0/0
[Router-gigabitethernet1/0/0]port link-type trunk
[Router-gigabitethernet1/0/0]port trunk allow-pass vlan 101
[Router-gigabitethernet1/0/0]quit
[Router]interface vlanif 101
[Router-Vlanif101] ip address (2)
[Router-Vlanif101]quit
2.AC的配置文件
#配置AC和其他网络设备互通
[Huawei]sysname (3)
[AC] vlan batch 100 101
[AC]interface gigabitethernet0/0/1
[AC-gigabitethernet0/0/1]port link-type trunk
[AC-gigabitethernet0/0/1]port trunk pvid vlan 100
[AC-gigabitethernet0/0/1] port trunk allow-pass vlan 100
[AC-gigabitethernet0/0/1]port-isolate (4)
[AC-gigabitethernet0/0/1]quit
[AC]interface gigabitethernet0/0/2
[AC-gigabitethernet0/0/2]port link-type trunk
[AC-gigabitethernet0/0/2] port trunk allow-pass vlan 101
[AC-gigabitethernet0/0/1] quit
[AC]wlan
[AC-wlan-view]ap-group name ap-group1
[AC-wlan-ap-group-ap-group1]quit
[AC-wlan-view]regulate-domain-profile name default
[AC-wlan-regulate-domain-default]country-code (5)
[AC-wlan-regulate-domain-default]quit
[AC-wlan-view]ap-grooup name ap-group1
[AC-wlan-ap-group-ap-group1]regulatory-domain-profile (6)
Warning:Modifying the country code will clear channel,power and antenna gain configuration of radio and reset the ap,Continue?[Y/N] Y
参考答案:
问题一(1)100,101
, , ,(2)10.23.101.2,24或者10.23.101.2,255.255.255.0
, , ,(3)AC
, , , (4),enable
, , ,(5)cn
, , ,(6)default
, , ,(7)vlanif,100
, , ,(8)a1234567
, , ,(9)wlan-net
, , ,(10)101
解析:
根据题目描述和提供的网络拓扑结构图,以及数据规划表,需要对Router和AC的配置文件进行补充。
- 对于Router的配置文件:
- 在vlan batch后面补充vlan ID,根据数据规划表,应为100和101。
- 在ip address后面补充IP地址和子网掩码。根据网络规划,可以填写如“10.23.101.2 24”或者“10.23.101.2 255.255.255.0”。
- 对于AC的配置文件:
- 在sysname后面补充设备名称,此处应为“AC”。
- 在port-isolate命令中,补充参数为“enable”,以启用端口隔离功能。
- 在country-code后面补充国家代码,根据提示应填写“cn”。
- 在regulatory-domain-profile后面补充之前定义的默认配置名称,即“default”。
- 根据网络规划,连接Router的接口应该是vlanif 100,所以在连接Router时,应该选择vlanif类型的接口并指定vlan ID为100。其他部分的配置需要根据实际情况进行填写,如密码“a1234567”,SSID名称“wlan-net”,以及vlan ID为101等。具体配置还需根据实际网络环境和需求进行调整。
注意:以上解析是基于题目描述和图示进行的推测,实际配置还需根据具体的网络环境和设备手册进行。
2、【问题2】(6分)
上述网络配置命令中,AP的认证方式时(11)方式,通过配置(12)实现统一配置。
(11)—(12)备选答案:
A.MAC B.SN C.AP地址 D.AP组
将AP加电后,执行 (13) 命令可以查看到 AP是否正常上线。
(13)备选答案:
A. display ap all B. display vap ssid
参考答案:
问题二(11)A,(12)D,(13)A
解析:
问题二中的认证方式采用的是MAC地址认证,所以(11)空应填A。通过配置AP组实现统一配置,所以(12)空应填D。执行display ap all命令可以查看到AP是否正常上线,所以(13)空应填A。
3、【问题3】 (4分)
1.组播报文对无线网络空口的影响主要是 (14) ,随着业务数据转发的方式不同,组播报文的抑制分别在 (15) 和 (16) 配置。
2.该网络AP部署在每一间宿舍的原因是 (17) 。
参考答案:
问题三,(14)低速转发,消耗空口资源,容易拥塞(没有标准答案,符合题意即可)
(15)在直连AP的交换机接口
(16)AC的流量模板下
(17)作为远端单元入室部署,实现信号覆盖零死角。(也可以答AP覆盖面积小、房间墙壁造成信号衰减等)
解析:
问题3的答案基于题目中的无线网络结构和数据规划,以及组播报文在无线网络中的影响。具体分析如下:
1.(1)组播报文在无线网络中的影响主要表现为低速转发。由于无线空口链路的特性,组播报文在没有ACK机制保障的情况下,以低速报文形式发送,这可能会消耗大量的空口资源并导致网络拥塞。因此,对于大量组播流量的网络,需要配置组播报文抑制功能以减小其对无线网络的影响。
(2)(3)关于组播报文抑制的配置位置,根据题目中的说明和业务数据转发的方式,如果业务数据直接转发,应在直连AP的交换机接口上配置组播报文抑制;如果业务数据通过隧道转发,在AC的流量模板下配置组播报文抑制。这样可以有效地减小组播报文对无线网络造成的冲击。
(4)关于AP部署在每一间宿舍的原因,主要是为了实现信号的全面覆盖。由于AP的覆盖面积有限,且房间墙壁可能会造成信号衰减,因此将AP部署在每一间宿舍,作为远端单元入室部署,可以确保信号的覆盖无死角。这也是华为敏捷分布式Wi-Fi解决方案的核心思想之一。
试题二(共20分)
阅读以下说明,回答问题1至问题4,将解答填入答题纸对应的解答栏内。
【说明】
小王为某单位网络中心网络管理员,该网络中心部署有业务系统、网站对外提供信息服务,业务数据通过SAN存储网络,集中存储在磁盘阵列上,使用RAID实现数据冗余: 部署邮件系统供内部人员使用,并配备有防火墙、入侵检测系统、Web应用防火墙、上网行为管理系统、反垃圾邮件系统等安全防护系统,防范来自内外部网络的非法访问和攻击。
4、【问题1】(4分)
网络管理员在处理终端A和B无法打开网页的故障时,在终端A上ping 127.0.0.1不通,故障可能是 (1) 原因造成;在终端B 上能登录互联网即时聊天软件, 但无法打开网页,故障可能是 (2) 原因造成
(1)~(2)备选答案
A.链路故障 B.DNS配置错误 C.TCP/IP协议故障 D.IP配置错误
参考答案:
问题一,(1)C,
(2)B
解析:
问题1:
(1) 在终端A上ping 127.0.0.1不通,这通常意味着TCP/IP协议故障。因为ping 127.0.0.1是用来检查本地计算机的网络协议栈是否正常的,如果无法ping通,说明TCP/IP协议可能存在问题。
(2) 在终端B上能登录互联网即时聊天软件,但无法打开网页。这说明网络连接是正常的,问题可能出在DNS配置上。因为即时聊天软件通常使用特定的端口进行通信,而网页访问需要DNS将网址解析为对应的IP地址,如果DNS配置错误或DNS服务器无法响应,就会导致无法打开网页。
5、【问题2】 (8分)
年初,网络管理员检测到部分境外组织借新冠疫情对我国信息系统频繁发起攻击,其中,图2-1访问日志所示为 (3) 攻击, 图2-2访问日志所示为 (4) 攻击
网络管理员发现邮件系统收到大量不明用户发送的邮件,标题含“武汉旅行信息收集”、“新型冠状病毒肺炎的预防和治疗’等和疫情相关字样,邮件中均包含相同字样的excel文件,经检测分析,这些邮件均来自某来境外组织excel文件中均含有宏,并诱导用户执行宏,下载和执行术马后门程序,这些驻留程序再收集重要目标信息,进步扩展渗透,获取敏感信息,并利用感染电脑攻击防疫相关的信息系统,上述所示的攻击手段为 (5) 攻击,应该采取 (6) 等措施进行防范。
(3)~(5)备选答案:
A.跨站脚本 B. SQL注入 C.宏病毒 D. APT
E.DDos F. CC G蠕虫病毒 H.一句话木马
参考答案:
问题二,(3)A,
(4)B,
(5)D,
(6)不打开相关邮件/杀毒软件/禁用宏
解析:
问题2中的各个小问均关于网络安全和攻击类型的问题。
对于第(3)小题,根据提供的访问日志图,可以判断为跨站脚本攻击(Cross-Site Scripting,简称XSS),因此答案为A。
对于第(4)小题,根据访问日志中的“class”等SQL关键语句字样,可以判断为SQL注入攻击,因此答案为B。
对于第(5)小题,根据描述中提到的攻击手段,利用疫情相关邮件诱导用户执行宏,下载和执行术马后门程序,收集重要目标信息,这是典型的APT(Advanced Persistent Threat,高级持续性威胁)攻击手段,因此答案为D。
对于第(6)小题,针对上述APT攻击手段,防范措施包括不打开相关邮件、使用杀毒软件、禁用宏等,因此答案为不打开相关邮件、杀毒软件、禁用宏。
6、【问题3】(5分)
存储区城网络(Storage Area Network,jiancheng SAN)可分为 (7) , (8) 两种,从部署成本和传输效率两个方面比较两种SAN,比较结果为(9)
小用比较这两种SAN, 比较结果为 (9) 。
参考答案:
问题三, (7)IP-SAN,
(8)FC-SAN,
(9)FCSAN部署成本更高,传输速率更高
解析:
问题三要求描述存储区域网络(SAN)的分类以及两种类型SAN(IP-SAN和FC-SAN)的部署成本和传输效率的比较。
SAN(存储区域网络)是一种专门设计的网络,用于在企业和数据中心内部提供数据访问。它主要有两种类型:IP-SAN和FC-SAN。
IP-SAN主要通过IP网络进行数据存储和访问,通常使用以太网技术。它的部署成本相对较低,因为使用的是常见的网络设备和技术。然而,在传输效率方面,FC-SAN通常具有更高的传输速率和更低的延迟,因为它使用的是专用的光纤通道协议和专用的硬件。
FC-SAN采用专用的FC交换机以及光纤、专用的网卡、光模块等,建设成本明显高于IP-SAN。但是,在传输效率、速率及稳定性上,FC-SAN明显优于IP-SAN。
因此,问题三中的答案为:(7)IP-SAN,(8)FC-SAN,(9)FC-SAN部署成本更高,但传输速率更高。
7、【问题4】(3分)
请简述RAID2.0技术的优势(至少列出2点优势)。
参考答案:
问题四
1、自动负载均衡,降低了存储系统整体故障率
2、快速精简重构,降低了双盘失效率和数据丢失的风险
3、故障自检自愈,保证了系统可靠性
4、虚拟池化设计,降低存储规划管理难度
解析:
RAID 2.0技术的优势包括:
- 自动负载均衡:RAID 2.0使得各硬盘均衡分担负载,避免了热点硬盘的出现,提升了系统的性能和硬盘可靠性。
- 快速重构:在RAID 2.0中,存储池内的所有硬盘都参与重构,相对于传统RAID,其重构速度大幅提升。
- 系统性能提升:基于分块组创建的逻辑单元(LUN)可以分布在更多的物理硬盘上,因此系统性能随硬盘IO带宽增加有效提升。
- 自愈合能力:RAID 2.0允许系统在出现硬盘预警时,快速重构,实现自愈合,无需立即更换故障盘。
- 虚拟池化设计:降低存储规划管理难度。
以上答案均包含在参考答案和参照解析中列出的优势中。
试题三(共20分)
阅读以下说明,回答问题1至问题4,将解答填入答题纸对应的解答栏内。
【说明】
图3-1为某大学的校园网络拓扑,其中出口路由器R4连接了三个ISP网络,分别是
电信网络(网关地址218.63.0.1/28)、联通网络(网关地址221.137.0.1/28)以及教育网(网关地址210.25.0.1/28)。 路由器RI、R2、R3、 R4在内网一侧运行RIPv2.0 协议实现动态路由的生成。
PC机的地址信息如表3-1所示,路由器部分接口地址信息如表3-2所示。
8、【问题1】(2分)
如图3-1所示,校本部与分校之间搭建了IPSec VPN。IPSec的功能可以划分为认证头AH、封装安全负荷ESP以及密钥交换IKE。其中用于数据完整性认证和数据认证的是(1).
参考答案:问题1:
(1)认证头AH
解析:
根据题目描述,IPSec的功能包括认证头AH、封装安全负荷ESP以及密钥交换IKE。其中,认证头AH是用于数据完整性认证和数据认证的,它提供了数据的源认证和完整性保护,确保数据在传输过程中没有被篡改。因此,答案是认证头AH。
9、【问题2】(2分)
为R4添加默认路由,实现校园网络接入internet的默认出口为电信网络,请将下列命令补充完整。
[R4]iproute-static(2)
参考答案:问题2:
(2)0.0.0.0 0.0.0.0 218.63.0.1
解析:
在路由器R4上添加默认路由以实现校园网络接入Internet的默认出口为电信网络,需要使用ip route-static命令。在命令中,第一个0.0.0.0表示目标网络,第二个0.0.0.0表示子网掩码(因为是默认路由,所以子网掩码为0),而218.63.0.1则是电信网络的网关地址。因此,完整的命令应该是设置默认路由指向电信网络的网关地址。
10、【问题3】(5分)
在路由器R1上配置RIP协议,请将下列命令补充完整:
[R1](3)
[R1-rip-1]network (4)
[R1-rip-1]version 2
[R1-rip-1]undo summary
各路由器上均完成了RIP协议的配置,在路由器R1上执行dispiay ip routing-table,由RIP生成的路由信息如下所示:
根据以上路由信息可知,下列RIP路由是由(5)路由器通告的:
请问PC1此时是否可以访问电信网络?为什么?
答:(6)
参考答案:问题3:
(3)rip 1 或者rip (4)10.0.0.0 (5)R3 (6)不能访问,因为此时R1上没有到达外网的路由
解析:
问题3要求在路由器R1上配置RIP协议并补充完整的命令。根据提供的说明和参考答案,我们知道在配置RIP协议时,需要指定要加入RIP进程的网络。在这里,网络地址应该是内网一侧的网络地址,即10.0.0.0。因此,(3)和(4)的答案分别是"rip 1(或rip)“和"10.0.0.0”。
问题5要求根据路由信息判断RIP路由是由哪个路由器通告的。根据提供的路由信息图,可以看到有一条路由信息是由R3通告的。因此,(5)的答案是R3。
问题6询问PC1是否可以访问电信网络,并给出原因。根据提供的路由表信息,我们可以看到R1上没有到达外网的路由。因此,PC1无法访问电信网络。所以,(6)的答案是"不能访问,因为此时R1上没有到达外网的路由"。
11、【问题4】(11分)
图3-1中,要求PC1访问Internet时导向联通网络,禁止PC3在工作日8:00至18:00访问电信网络。请在下列配置步骤中补全相关命令:
第1步:在路由器R4上创建所需ACL
创建用于PC1策略的ACL:
[R4] acl 2000
[R4-acl-basic-2000]rule 1 permit source (7)
[R4-acl-basic-2000]quit
创建用于PC3策略的ACL:
[R4] time-range satime (8) working-day
[R4] acl 3001
[R4-acl-adv-3001]rule deny source (9) destination 218.63.0.0 240.255.255.255 time-range satime
第2步:执行如下命令的作用是(10)
[R4]traffic classifier 1
[R4-classifier-1]if-match acl 2000
[R4-classifier-1]quit
[R4]traffic classifier 3
[R4-classifier-3]if-match acl 3001
[R4-classifier-3]quit
第3步:在路由器R4上创建流行为并配置重定向
[R4]traffic behavior 1
[R4-behavior-1]redirect (11) 221.137.0.1
[R4-behavior-1]quit
[R4]traffic behavior 3
[R4-behavior-3] (12)
[R4-behavior-3]quit
第4步:创建流策略,并在接口上应用(仅列出了R4上GigabitEthernet0/0/0接口上的配置)
[R4]traffic policy 1
[R4-trafficpolicy-1]classifier 1 (13)
[R4-trafficpolicy-1]classifier 3 (14)
[R4-trafficpolicy-1]quit
[R4]interface GigabitEthernet0/0/0
[R4-GigabitEthernet0/0/0]traffic-policy 1 (15)
[R4-GigabitEthernet0/0/0]quit
参考答案:问题4:
(7)10.10.0.2 0或者10.10.0.2 0.0.0.0 (8)8:00 to 18:00 (9)10.3.0.2 0或者10.3.0.2 0.0.0.0
(10)创建流分类 (11)ip-nexthop (12)permit 或者deny
(13)behavior 1 (14)behavior 3 (15)inbound
解析:
根据题目要求,需要配置PC1访问Internet时导向联通网络,禁止PC3在工作日8:00至18:00访问电信网络。具体的配置步骤包括创建ACL、执行流分类、创建流行为并配置重定向、创建流策略并在接口上应用。每个空需要填写的内容都是基于题目的要求和相关的网络知识来确定的。比如,(7)空需要填写的是PC1的IP地址和子网掩码,(8)空填写的是工作日的时间范围,(9)空填写的是PC3的IP地址和电信网络的网关地址,(10)空是执行创建流分类的操作,(11)空是配置重定向的关键字,(12)空是流行为中的操作,(13)和(14)空是将流分类与流行为关联起来,(15)空是在接口应用流策略的方向。这些答案都是基于题目的要求和相关的网络知识得出的。
试题四(共15分)
阅读以下说明,回答问题1至问题2,将解答填入答题纸对应的解答栏内。
【说明】
某公司的网络拓扑结构如图4-1所示。
公司管理员对各业务使用的VLAN作如下规划:
为了便于统一管理,避免手工配置,管理员希望各种终端均能够自动获取IP地址。语音终端根据齐MAC地址为其分配固定的IP地址,同时还需要到FTP服务器10.10.10.1上动态获取启动配置文件configuration.ini,公司DNS服务器地址为10.10.10.2。所有地址段均路由可达。12、【问题1】(3分)
公司拥有多种业务,例如Internet、IPTV. VoIP等,不同业务使用不同的IP地址段。为了便于管理,要根据业务类型对用户进行管理。以便路由器R1能通过不同的VLAN分流不同的业务。
VLAN划分可基于(1)、子网、(2)、 协议和策略等多种方法。
本例可采用基于(3)的方法划分VLAN子网。
参考答案:问题1:
(1)端口 (2)MAC地址 (3)子网
解析:
对于该公司的网络拓扑结构,VLAN的划分可以基于多种方法,包括端口、MAC地址和业务类型或应用等。在这个例子中,为了根据业务类型对用户进行管理,以便路由器R1能通过不同的VLAN分流不同的业务,所以应该基于业务类型或应用来划分VLAN子网。这样可以根据不同的业务需求,将网络划分为不同的逻辑子网,从而更好地管理和控制网络流量。
13、【问题2】(12分)
下面是在SW1上创建DHCP Option模板,并在DHCP Option模板视图下,配置需要为语音客户端IP Phone分配的启动配置文件和获取启动配置文件的文件服务器地址,请将配置代码或注释补充完整。
下面创建地址池,同时为IP Phone分配固定IP地址以及配置信息。请将配置代码补充完整。
<Huawei>(4)
[Huawei]sysname SW1
[SW1](5) option template template1
[SW1-dhcp-option-template-template1]gateway-list (6) //配置网关地址
[SW1-dhcp-option-template-template1] bootfile (7) //获取配置文件
[SW1-dhcp-option-template-template1]next-server (8) //配置获取配置文件地址
[SW1-dhcp-option-template-template1]quit
下面创建地址池,同时为IP Phone分配固定IP地址以及配置信息。请将配置代码补充完整。
[SW1]ip pool pool3
[SW1-ip-pool-pool3] network (9) mask 255.255.255.0
[SW1-ip-pool-pool3]dns-list (10)
[SW1-ip-pool-pool3] (11) 192.168.3.1
[SW1-ip-pool-pool3]excluded-ip-address (12) 192.168.3.254
[SW1-ip-pool-pool3]lease unlimited
[SW1-ip-pool-pool3]static-bind ip-address 192.168.3.2 mac-address (13) option-template template1
[SW1-ip-pool-pool3]quit
#在对应vlan上使能dhcp
[SW1]interface vlanif (14)
[SW1-Vlanif300] (15) select global
[SW1-Vlanif300]quit
参考答案:问题2:
(4)system-view (5)dhcp (6)192.168.3.1 (7)configuration.ini
(8)10.10.10.1 (9)192.168.3.0 (10)10.10.10.2 (11)gateway-list
(12)192.168.3.250 (13)dcd2-fa98-e439 (14)300 (15)dhcp
解析:
(问题2的答案如下)
(4)system-view
(5)dhcp
(6)192.168.3.1
(7)configuration.ini
(8)10.10.10.1
(9)网络地址分配起始地址,即语音客户端IP Phone的起始IP地址,假设为:192.168.3.5 (注意此处需要根据实际情况填写合适的起始地址)
(10)DNS服务器地址,即公司DNS服务器地址,填写为:10.10.10.2
(11)gateway-list
(12)排除地址池中的某个地址,假设为:排除分配给服务器使用的IP地址,填写为:除特定服务器IP地址外的任意地址,例如:从 192.168.3.2 到 192.168.3.X (根据实际情况填写排除的IP地址范围)
(13)静态绑定MAC地址与IP地址的命令中填写的MAC地址,假设为:语音客户端的MAC地址,填写为:XXXX-XXXX-XXXX (此处需要根据语音客户端的实际MAC地址填写)
(14)vlan编号,假设vlan编号为:vlanif XXXX (根据实际情况填写具体的VLAN编号)
(15)dhcp select global (在对应vlan上使能dhcp需要选择全局配置)
喵呜刷题:让学习像火箭一样快速,快来微信扫码,体验免费刷题服务,开启你的学习加速器!
