2019年5月网络工程师下午试卷答案及解析

一、问答题

1、阅读以下说明，问题1至问题4,将解答填入答题纸对应的解答栏内。

[说明)

某企业分支与总部组网方案如图1-1所示，企业分支网络规划如表1-1所示。

企业分支与总部组网说明:

1.企业分支采用双链路接入Internet,其中ADSL有线链路作为企业分支的主Internet

接口: 3GLTE Cellular无线链路作为企业分支的备用Internet接口。

2.指定Router1作为企业出口网关，由Router1为企业内网用户分配IP地址。

3.在Router1上配置缺省路由，使企业分支内网的流量可以通过xDSL和3G/LTE

Cellular无线链路访问Internet.

4.企业分支与总部之间的3G/LTE Cellular无线链路采用加密传输。

[问题1](每空2分，共4分)

依据组网方案，为企业分支Route1配置互联网接口板卡，应该在是（1）和（2）单板中选择配置。

(1)- (2)备选答案:

A. xDSL

B.以太WAN

C.3G/LTE

D.E3/T3

[问题2] (每空2分，共6分)

在Route1上配置DHCP服务的命令片段如下所示，请将相关内容补充完整。

[Huawei] dhcp enable

[Huawei] interface vlanif 123

[Huawei-Vlanif123] dhcp select  global   // (3)

(Huawei-Vlanif123] quit

[Huawei]ip (4) lan

[Huawei-ip-pool-lan] gateway-list (5)

(Huwi-pol-la) network 192 16.100.0 mask 24

(Huawei-ip-pool-lan] quit

[问题3](每空1分，共6分)

在Router配置上行接口的命令如下所示，请将相关内容补充完整。

#配置NAT地址转换

[Huawei] acl number 3002

(Huweiac-adv-3002] rule 5  permit ip soure 192.168.100.0 0.0.0.255

[Huawei-acl-adv-3002] quit

[Huawei] interface virtual-template 10  // (6)

[Huawei-Virtual-Template10] ip address ppp negotiate

[Huawei-Virtual-Template10] nat outbound  (7)

[Huawei-Virtual-Template10] quit

#配置ATM接口

[Huawei] interface atm 1/0/0

[Huawei-Atm1/0/0] pvc voip 1/35  //创建PVC (ATM虚电路)

Huauwir-atm-pvc-atm1/0/0-1/35-voip] map PPP virtual-template 10 / /配置PVC上的PPPOA映射

[Huawei-atm-pvc-Atm1/0/0-1/35-voip] quit

[Huawei-Atm1/0/0] standby interface cellular 0/0/0   // (8)

[Huawei-Atm1/0/0] quit

#配置APN与网络连接方式

[Huawei]apn profile 3gprofile

[Huawei-apn-profile-3gprofile] apn wcdma

[Huawei-apn-profile-3gprofile] quit

[Huawei] interface cellular 0/0/0

[Huawei-Cellular0/0/0] mode wcdma  (9) //配置3G modem

[Huawei-Cellular0/0/0] dialer enable-circular //使能轮询DCC功能

[Huawei-Cellular0/0/0] apn-profile  (10) //配置3G Cellular接口绑定APN 模板

[Huawei-Cellular0/0/0]shutdown

[Huawei-Cellular0/0/0]undo shutdown

[Huawei-Cellular0/0/0]quit

#配置轮询DCC拨号连接

[Huawei] dialer-rule

[Huawci-dialer rule] dialer-rule 1 ip permit

[Huawei dialer-nule] quit

[Huawei] interface cellular 0/0/0

[Huawei-Cellular0/0/0] link-protocol PPP

[Huawei-Cellular00/0] ip address PPP-negotiate

[Huawei-Cellular00/0] dialer-group 1

[Huawei-Cellular0/0/0] dialer timer idle (11)

[Huawei-Cellular0/0/0] dialer number *99#

[Huawei-Cellular0/0/0] nat outbound 3002

[Huawei-Cellular0/0/0] quit

[问题4](每空2分，共4分)

在现有组网方案的基础上，为确保分支机构与总部之间的数据传输安全，配置(12)协议，实现在网络层端对端的(13).

(12)备选答案:

A. IPSec

B. PPTP

C. L2TP

D. SSL

参考答案：

[问题1]
（1）A （2）C 可以交换位置
[问题2]
（3）DHCP采用全局地址池方式（4）pool （5）192.168.100.1
[问题3]

（6）创建虚拟接口模板10  （7）3002  （8）指定3G接口cellular 0/0/0为备份接口

（9）wcdma-only （10）3gprofile （11）100
[问题4]
（12） A （13）数据加密传输

解析：

[问题1]根据组网方案说明，企业分支采用ADSL有线链路和3G/LTE Cellular无线链路接入Internet，所以在Route1配置互联网接口板卡时，应选用xDSL作为主接口，C选项的3G/LTE作为备用接口。因此，答案为A和C。

[问题2]在Route1上配置DHCP服务的命令片段中，需要启用DHCP并选择全局地址池方式分配IP地址，因此需要填写"DHCP采用全局地址池方式"，并创建IP地址池，设置网关地址池等。因此，（3）的答案应为"DHCP采用全局地址池方式"，（4）的答案应为"pool"，（5）的答案应为网关地址，即"192.168.100.1"。

[问题3]在Router配置上行接口和NAT地址转换的过程中，需要创建虚拟接口模板并绑定NAT地址转换规则以实现出口NAT映射。同时需要配置ATM接口，将Cellular接口设置为备份接口。另外还需配置APN网络连接方式、modem模式、APN模板绑定、轮询DCC拨号连接等。因此，（6）、（7）、（8）、（9）、（10）、（11）的答案分别对应这些配置。

[问题4]为确保分支机构与总部之间的数据传输安全，需要配置IPSec协议实现端对端的加密传输。因此，（12）的答案应为A，（13）的答案应为"端对端的IPSec协议加密传输"。

2、阅读以下说明，回答问题1至问题3,将解答填入答题纸对应的解答栏内。

[说明]

图2-1为某公司数据中心拓扑图，两台存储设备用于存储关系型数据库的结构化数据和文档、音视频等非结构化文档，规划采用的RAID组合方式如图2-2、图2-3所示。

[问题1](每空1分，共6分)

图2-2所示的RAID方式是(1) ，其中磁盘0和磁盘1的RAID组成方式是(2)。

当磁盘1故障后，磁盘(3) 故障不会造成数据丢失， 磁盘(4) 故障将会造成数据丢失。

图2-3所示的RAID方式是(5)，当磁盘1故障后， 至少再有(6)块磁盘故障，就会造成数据丢失。

[问题2] (每空1.5分，共6分)

图2-2所示的RAID方式的磁盘利用率是(7) %图2-3所示的RAID方式的磁盘利用率是(8) %。

根据上述两种RAID组合方式的特性，结合业务需求，图(9)所示RAID适合存储安全要求高、小数量读写的关系型数据库:图(10)所示RAID适合存储空间利用率要求高、大文件存储的非结构化文档。

[问题3](每空2分，共8分)

该公司的Web系统顺繁遭受DDosS和其他网络攻击，造成服务中断，数据泄露。图2-4为服务器日志片段，该攻击为(11), 针对该攻击行为，可而署(12)设备进行防护:针对DDoS (分布式拒绝服务)攻击，可采用(13)、(14)措施，保障Web系统正常对外提供服务。

(11) 备选答案:

A.跨站脚本攻击

B. SQL注入攻击

C.远程命令执行

D. CC攻击

(12) 备选答案:

A.漏洞扫描系统

B.堡垒机

C. Web应用防火墙

D.入侵检测系统

(13)一(14) 备选答案:

A.部署流量清洗设备

B.购买流量清洗服务

C.服务器增加内存

D.服务器增加磁盘

E.部署入侵检测系统

F.安装杀毒软件

参考答案：[问题1]
（1）RAID 1+0 或者RAID 0+1（2）raid 1 （3）2或者3 （4）0 （5）raid5 （6）1 
[问题2]
（7） 50  （8）75  （9）2-2 （10）2-3
[问题3] （11）B  （12） C  （13）A  （14）B    13-14可交换位置

解析：

问题1主要考察RAID组合方式的识别和故障恢复机制。根据图示的RAID组合方式，可以确定每种方式的组成和故障容忍度。
问题2考察RAID方式的磁盘利用率以及不同RAID方式适用于何种类型的数据存储。需要根据RAID的特点和业务需求进行分析。
问题3涉及到网络攻击类型、安全防护措施以及针对DDoS攻击的应对策略。需要根据攻击类型选择合适的防护措施，并针对DDoS攻击的特点选择有效的应对策略。

3、阅读以下说明 回答问题1至问题4，将解答填入答题纸对应的解务栏内。

[说明]

如图3-1所示在Windows Server 2008 R2网关上设置相应的IPSec策略，在Windows Server 2008 R2网关和第三方网关之间建立条IPSec隧道，使得主机A和主机B之间建

立起安全的通信通道。

[问题1](每空2分，共6分)

两台计算机通过IPSec 协议通信之前必须先进行协商，协商结果称为SA (Security Association)。IKE (Intermet Key Exchange)协议将协商工作分为两个阶段，第一阶段协商(1)模式SA (又称IKE SA),新建一个安全的、经过身份验证的通信管道，之后在第二阶段中协商(2)模式SA (又称IPSec SA)后，便可以通过这个安全的信道来通信。使用(3) 命令， 可以查看协商结果。

(1)-(2) 备选答案

A.主

B.快速

C.传输

D.信道

 (3)备选答案

A. display ike proposal

B.display ipsec proposal

C.display ike sa

D.display ike peer

[问题2](每空2分，共4分)

在Windows Server 2008 R2网关上配置IPSec 策略，包括:创建IPSec策略、（4）、(5) 以及进行策略指派4个步骡。

(4)- (5)备选答案

A.配置本地安全策略

B.创建IP安全策略

C.创建筛选器列表

D:设置账户密码策略

F.构建组策略对象

E.配置隧道规则

[问题3](每空2分，共6分)

在主机A和主机B之间建立起安全的通信通道，需要创建两个筛选器列表，一个用于匹配从主机A到主机B (隧道1)的数据包，另一个用于匹配从主机B到主机A (隧道2)的数据包。在创建隧道1时需添加“IP筛选列表”，图3-2 所示的“IP筛选器属性”中“源地址” 的“IP地址或子网”应该填_ (6) ，“目的地址”的“IP地址或子网”应该填(7)。配置隧道1不筛选特定的协议或端口，图3-3中“选择协议类型”应该选择(8) 。

[问题4](每空2分，共4分)

IPSec隧道由两个规则组成，每个规则指定一个隧道终结点。 为从主机A到主机B隧道配置隧道规则时，图3-4中所示的"IPv4隧道终结点”应该填写的IP地址为(9)。在配置新筛选器时，如果设置不允许与未受到IPSec保护的计算机进行通信，则图3-5“安全方法”配置窗口所示的配置中需要做出的修改是(10)

参考答案：[问题1]
（1）A  （2）B  （3）C
[问题2]
（4）C （5）E  可交换顺序
[问题3]
（6）192.168.5.2 255.255.255.255 （7）192.168.6.3  255.255.255.255 （8）任何
[问题4]
（9）202.1.1.2 （10）不勾选“接收不安全通讯，但始终用ipsec响应（c）“

解析：

[问题1]

使用IKE建立SA分为两个阶段，即前面提到的“IKE使用两个阶段的ISAKMP”。

1．构建IKE SA（第一阶段）

协商创建一个通信信道（IKE SA），并对该信道进行验证，为双方进一步的IKE通信提供机密性、消息完整性及消息源验证服务，即构建一条安全的通道，此时使用主模式。

2．构建IPSec SA（第二阶段）

使用已建立的IKE SA，协商IPSec参数，为数据传输建立IPSec SA，此时使用快速模式。

display ike sa，检测IKE SA是否协商成功。

IKE SA协商成功的显示信息如下。其中Flag参数为RD或RD|ST表示SA已建立成功，ST表示本端是IKE协商发起方。

    Conn-ID  Peer            VPN   Flag(s)                Phase                 

  ---------------------------------------------------------------               

    13118    10.1.3.2        0     RD                     2                     

    12390    10.1.3.2        0     RD                     1 

  Flag Description:                                                             

  RD--READY   ST--STAYALIVE   RL--REPLACED   FD--FADING   TO--TIMEOUT           

  HRT--HEARTBEAT   LKG--LAST KNOWN GOOD SEQ NO.   BCK--BACKED UP   

4、阅读以下说明，回答问题1至问题3,将解答填入答题纸对应的解答栏内.

[说明]

公司的两个分支机构各有1台采用IPv6的主机计划采用IPv6-ovr-IPv4自动隧道技术实现两个分支机构的IPv6主机通信，其网络拓扑结构如图4-1所示。

[问题1] (每空1分，共5分)

根据说明，将RouterA的配置代码补充完整。

……

<Huawei>(1)

[Huawei] sysname (2)

[RouterA]_ (3)  //开启IPv6报文转发功能

[RouterA] interface s0

[RouterA-s0] ip address 12.1.1.1(4)

[RouterA-s0] quit

[RoueA] interface gigabitethernet 0/0/1

[RouterA-GigabitEthernet/0/0/1](5) address 2002::1/64

[RouterA-GigabitEthernet/0/0/1]quit

……

[问题2] (每空1分，共6分)

根据说明，将RouterA的配置代码或者代码说明补充完整。

……

[RouterA] interface tunnel 0/0/1   // (6)

[RouterA-Tunnel0/0/1] (7)  ipv6-ipv4  (8) //指定Tunnel为自动隧道模式

[RouterA-Tunnel0/0/1]ipv6 (9)

[RouterA-Tunnel0/0/1] ipv6 address :12.1.1.1/96 / /(10)

[RouterA-Tunnel0/0/1] source s0  // (11)

[RouterA-Tunnel0/0/1] quit

......

[问题3] (每小题2分，共4分)

1.问题2中，Tunnel接口使用的地址为IPv4 (12) IPv6地址;

(12)备选答案

A.兼容

B.映射

2.192.168.1.1 是否存在对应的IPv6地址，为什么?

参考答案：

[问题1]
（1）system-view 可以用缩写system等  （2）RouterA  （3） IPv6  (4) 24 或者255.255.255.0 (5)ipv6 
[问题2]
(6)创建隧道接口tunnel 0/0/1  (7) tunnel-protocol (8) auto-tunnel (9) enable (10)为接口设置IPv6地址  （11）指定隧道的源接口为S0
[问题3]
（12）A  

（13）不存在，因为使用的隧道是IPv6兼容IPv4地址方案，要求IPv4地址必须是公网地址。

解析：

问题1要求补充RouterA的配置代码。根据说明，需要开启IPv6报文转发功能、配置接口IP地址和子网掩码、以及配置GigabitEthernet接口的IPv6地址。因此，答案中给出了相应的命令。

问题2要求补充RouterA关于隧道接口的配置代码或代码说明。根据说明，需要创建隧道接口、设置隧道协议类型、启用自动隧道模式、启用隧道接口、配置隧道接口的IPv6地址，并指定隧道的源接口。答案中给出了相应的命令和说明。

问题3中，第一个小题问的是Tunnel接口使用的地址是哪种类型的IPv6地址。根据题目描述和常见的技术实践，Tunnel接口通常使用IPv4兼容的IPv6地址，因此选项A“兼容”是正确的。第二个小题问的是是否存在对应的IPv6地址。由于使用的是IPv4兼容的IPv6地址方案，要求IPv4地址必须是公网地址才能映射成对应的IPv6地址，因此无法确定是否存在对应的IPv6地址，因为题目中没有给出具体的IPv4地址是否公网地址。

喵呜刷题：让学习像火箭一样快速，快来微信扫码，体验免费刷题服务，开启你的学习加速器！