网络工程师·2019年11月（下午）答案及解析

一、问答题

1、阅读以下说明，回答问题1-3，将解答填至答题纸对应解答栏内。

[说明]某组网拓扑如图1-1所示，网络接口规划如表1-1所示，VLAN规划如表1-2所示，

网络部分需求如下：

1、交换机switchA作为有线终端的网关，同时作为DHCP Server为无线终端和有线终端分配IP地址，同时配置ACL控制不同用户的访问权限，控制摄像头（Camera区域）只能跟DMZ区域服务器互访，无线访客禁止访问业务服务器和员工有线网络。

2、各接入交换机的接口加入VLAN，流量进行二层转发

3、出口防火墙上配置NAT功能，用于公网和私网地址转换；配置安全策略，控制Internet的访问，例如摄像头流量无需访问外网，但可以和DMZ区域的服务器互访，配置NATServer使DMZ区域的服务器开放给公网访问。

[问题1]补充防火墙数据规划表1-3内容中的空缺项。

防护墙区域说明：防火墙ge1/0/2接口连接dmz区域，ge1/0/1接口连接非安全区域，ge1/0/0 接口连接安全区域，srcip表示内网区域。

[问题2]补充SwitchA数据表1-4内容中的空缺项。

[问题3]补充路由规划表1-5内容中的空缺项。

参考答案：

【问题1】
（1）10.106.1.0/24
（2）-或者0.0.0.0/0

【问题2】
（3）10.101.1.0/0.0.0.255
（4）10.103.1.0/0.0.0.255
（5）允许
（6）10.104.1.0/0.0.0.255

【问题3】
（7）10.101.1.0/24
（8）10.104.1.0/24
（9）10.107.1.2
（10）10.100.1.1

解析：

问题1：根据题干描述和防火墙数据规划表的上下文信息，填充防火墙数据规划表中的空缺项。其中，（1）项根据题干描述的DMZ区域填写对应的IP地址段；（2）项表示任意地址，符合题干要求的公网地址。

问题2：根据题干中对SwitchA的功能要求和SwitchA数据表的结构，填充SwitchA数据表中的空缺项。其中，（3）和（4）项根据题干中的网络区域和VLAN划分填写对应的IP地址段；（5）项根据题干中“无线访客禁止访问业务服务器和员工有线网络”的要求，设置为允许访问特定区域，其他区域禁止访问；（6）项填写除允许访问区域外的其他网络地址段。

问题3：根据题干中的组网拓扑、网络接口规划、VLAN规划以及路由规划表的结构，填充路由规划表中的空缺项。其中，（7）和（8）项根据VLAN规划和网络区域填写对应的IP地址段；（9）项根据题干中默认的路由设置填写对应的网关地址；（10）项根据网络接口规划填写对应的接口地址。

2、[说明]某公司计划在会议室部署无线网络，供内部员工和外来访客访问互联网使用，图2-1为拓扑图片段。

[问题1]
在①处部署（1）设备，实现各会议室的无线网络统一管理，无缝漫游；
在②处部署（2）设备，实现内部用户使用用户名和密码认证登录，外来访客通过扫描二维码或者手机短信验证登录无线网络；
在③处部署（3）设备，实现无线AP的接入和供电；大型会议室部署（4）设备，实现高密度人群的无线访问；在小型会议室借助86线盒部署（5）设备，实现无线访问。

（1）-（5）备选答案：

A. 面板式AP
B.高密吸顶式AP
C.无线控制器
D.无线认证系统
E.无线路由器

F. 普通吸顶式AP
G.普通交换机
H.POE交换机

[问题2]
在核心交换机的配置（6），可以实现无线网维和办公区网络，服务器区网络逻辑隔离，在④处部置（7）设备，可以对所有用户的互联网访问进行审计和控制，阻止并记录非法访问，在⑤处部署（8）设备，实现服务器区域的边界防护，防范来自无线区域和办公区域的安全威胁，在路由器上配置基于（9）地址的策略路由，实现天线区域用户通过运营商方向互联网，办公区域和服务器区域通过运营商方向互联网。

[问题3]
图2-1所示的存储系统由9块4TB磁盘组成一个RAID5级别的RAID组，并配置1个全局热盘，则该存储最多可坏掉（10）块磁盘，而不丢失数据，实际可用容量来（11）TB（每块磁盘实际可用容量按照4TB计算）该存储网络为（12）网络

参考答案：

【问题1】
（1）C
（2）D
（3）H
（4）B
（5）A

【问题2】
（6）vlan
（7）上网行为管理设备
（8）防火墙
（9）源IP

【问题3】

（10）2
（11）32
（12）IP-SAN

解析：

【问题1】
结合在拓扑图中的空的位置，判断对应的设备名称。无线网络部署中，通常是由无线控制器AC对AP进行统一管理和配置，须使用无线控制器。根据题干“实现内部用户使用用户名和密码认证登录，外来访客通过扫描二维码或者手机短信验证登录无线网络”的要求，必须使用认证系统，结合选项，第2空选D。第3空从关键词“实现无线AP的接入和供电”可知是带POE功能的交换机。选H。第4空因为是大型会议室内使用，用户数量较多，需要高密度接入能力，因此选B。第5空关键词“借助86线盒部署”，因此应该是面板式AP。选A。

【问题2】

本题的题型也是基于题干中的解释，填空合适的技术或者设备，因此关键是从题干的解释中寻找答案。第6空的关键词是进行网络的逻辑隔离是Vlan技术。第7空后的关键词“进行审计和控制，阻止并记录非法访问”应该是上网行为管理之类的系统。第8空是要用于防范区域边界的安全威胁，因此是防火墙。第9空题干给出了是策略路由，是策略路由。

【问题3】

根据题干信息“存储系统由9块4TB磁盘组成一个RAID5级别的RAID组，并配置1全局热盘”说明系统中的磁盘RAID级别是RAID5，数据磁盘是9块4TB的，另外还有一块单独的全局热备盘，一共有10块硬盘。没有热备盘时，RAID5中，最多只能有一块数据硬盘出错，当更多的硬盘同时出错时，数据无法恢复，但是因为存在一块全局热备盘，最多可以2块盘出故障。当硬盘故障时，由于存在一块全局热备盘，此时全局热备盘自动进入RAID组，此时数据硬盘还是9块，由于还有一块硬盘用作校验盘，此时实际可用于存储数据的硬盘为8块，每块4TB。此时的实际可用容量为8*4=32TB。

3、[说明]某公司内部网络结构如图3-1所示，在WebServer上搭建办公网oa.xyz.com，在FTPServer上搭建FTP服务器ftp.xyz.com，DNSServer1是WebServer和FTPServer服务器上的授权域名解析服务器，DNSServer2为DNS转变器，WebServer、FTPServer、DNSServer1和DNSServer2均基于Windows Server 2008 R2操作系统。

[问题1]

在WebServer上使用HTTP协议及默认端口配置办公网oa.xyz.com，在安装IIS服务时，“角色服务”列表中可以勾选的服务包括（1）、“管理工具”以及“FTP服务器”。如图3-2所示的web服务器配置界面，“IP地址”处应填（2），“端口”处应填（3），主机名填（4）。

[问题2]
在DNSServer1上为ftp.xyz.com配置域名解析时，依次展开DNS服务器功能菜单，右击“正向查找区域”，选择“新建区域（Z）”，弹出“新建区域向导”对话框，创建DNS解析区域。在创建区域时，图3-3所示的“区域名称”处应填（5）正向查找区域，创建完成后，进行域名的创建，图3-4所示的新建主机的名称处应填（6），“IP地址”处应填（7）。如果选中图3-4中的“创建相关的指针（RTR）记录”，则增加的功能为（8）。

[问题3]

在 DNSServer2 上配置条件转发器，即将特定域名的解析请求转发到不同的 DNs 服务器上。如图 3-5 所示,为ftp.xyz. con 新建条件转发器，“DNS域”处应该填_(9)，“主服务器的IP 地址”处应单击添加的IP是(10)。

[问题4]

在 DNS 服务器上配置域名解析方式,如果选择 ( 11）查询方式,则表示如果本地DNS 服务器不能进行域名解析,则服务器根据它的配置向域名树中的上级服务器进行查询,在最坏情况下可能要查询到根服务器；如果选择 ( 12 ) 查询方式,则表示本地 DNS服务器发出查询请求时得到的响应可能不是目标的IP 地址，而是其他服务器的引用(名字和地址)，那么本地服务器就要访问被引用的服务器做进一步的查询，每次都更加接近目标的授权服务器，直至得到目标的IP 地址或错误信息。

参考答案：

【问题1】
（1）web服务器
（2）192.168.1.3
（3）80
（4）oa.xyz.com

【问题2】

（5）xyz.com
（6）ftp
（7）192.168.1.4
（8）允许域名服务器对IP地址到域名反向解析

【问题3】

（ 9 ）ftp.xyz.com
（10）192.168.1.1

【问题4】

（11）递归
（12）迭代

解析：

在安装IIS服务时，"角色服务"列表中可以勾选的服务包括web服务器，因此在问题一中的第一空填写web服务器（Web Server）。问题一中第二空至第四空，分别对应填写服务器IP地址、端口和主机名，根据题目中的网络拓扑图可知，WebServer的IP地址为192.168.1.3，HTTP协议的默认端口为80，主机名填办公网域名oa.xyz.com。

4、阅读以下说明,回答问题1 至问题2，将解答填入答题纸对应的解答栏内。

[说明] 某企业的网络结构如图4-1 所示。