201511网工下午真题
第 1 题
(典型试题,请认真学习)
【说明】
某工业园区视频监控网络拓扑如图1-1所示。
【问题1】(4分)
图1-1中使用了SAN存储系统,SAN是一种连接存储管理子系统和 (1) 的专用网络。SAN分为FC SAN和IP SAN,其中FC SAN采用 (2) 互联;IP SAN采用 (3) 互联;SAN可以被看作是数据传输的后端网络,而前端网络则负责正常的 (4) 传输。
(1)~(4)备选答案:
A.iSCSI B.TCP/IP C.以太网技术 D.SATA
E.文件服务器 F.光纤通道技术 G.视频管理子系统 H.存储设备
【问题2】(4分)
该网络拓扑是基于EPON的技术组网,与传统的基于光纤收发器的组网有所不同。请从组网结构复杂度、设备占用空间大小、设备投资多少、网络管理维护难易程度等几方面对两种网络进行比较。
【问题3】(6分)
1.该系统采用VLAN来隔离各工厂和监控点,在 (5) 端进行VLAN配置,在 (6) 端采用trunk进行VLAN汇聚,使用Manage VLAN统一管理OLT设备。
2.OLT的IP地址主要用于设备的网元管理,一般采用 (7) 方式分配,IPC摄像机的地址需要统一规划,各厂区划分为不同的地址段。
【问题4】(6分)
1.在视频监控网络中,当多个监控中心同时查看一个点的视频时要求网络支持 (8) 。
(8)备选答案:
A.IP广播 B.IP组播 C.IP任意播
2.在组网时,ONU设备的 (9) 接口通过UIP网线和IPC摄像机连接。
(9)各选答案:
A.BNC B.RJ45 C.USB
3.该网络的网管解决方案中一般不包含 (10) 功能或组件。
(10)备选答案:
A.网元管理 B.防病毒模块 C.EPON系统管理 D.事件、告警管理
答案与解析
- 试题难度:较难
- 知识点:案例分析>网络存储
- 试题答案:【问题1】(4分)
(1)H
(2)F
(3)C
(4)B
【问题2】(4分)
EPON是基于以太网的无源光网络,无源设备可靠性高。比传统的基于光纤收发器的组网结构简单、设备占用空间小,设备投资少,网络管理难度低等特点。
EPON系统相对于其它接入手段,能够提供高带宽和高带宽利用率。
EPON传输距离规格有10KM、20KM两种,克服传统接入手段的距离限制。
EPON系统网络层次简单,维护成本低。
EPON系统组网灵活,支持树型,星型,总线型。
EPON网络不仅仅可作为运营商宽带接入手段,也可作为广电的回传输网络,视频监控的图像传输系统,甚至是政府的基层单位接入。这些正符合相关部门建设城市综合信息平台的需求。
【问题3】(6分)
(5)ONU
(6)OLT
(7)手动或静态
【问题4】(6分)
(8)B
(9)B
(10)B
- 试题解析:【问题1】(4分)
FC SAN(存储区域网络)和NAS不同,它不是把所有的存储设备集中安装在一个专门的NAS服务器中,而是通过光纤交换设备将磁盘阵列、磁带等存储设备与相关服务器连接起来组成一个高速专用子网,然后与企业现有的局域网进行连接。SAN可以被看作是负责存储传输的后端网络,而前端的数据网络负责正常的TCP/IP传输。
如果SAN是基于TCP/IP的网络,使用IP-SAN网络。这种方式是将服务器和存储设备通过以太网连接,采用了iSCSI技术,就是把SCSI命令包在TCP/IP 包中传输,即为SCSI over TCP/IP。
答案:H、F、C、B
【问题2】(4分)
EPON是基于以太网的无源光网络,无源设备可靠性高。比传统的基于光纤收发器的组网结构简单、设备占用空间小,设备投资少,网络管理难度低等特点。
组网结构复杂度:EPON采用点到多点结构,无源光纤传输,结构简单。
设备占空间大小:EPON有局端OLT,用户端ONU、光分配网ODN组成,设备占用空间小。
设备投资方面:EPON采用的OLT、ONU、ODN光网设备,无需租用机房,无需配备电源,因此成本投资少。
网络维护管理:EPON由于不用配备有源维护人员,采用OLT技术统一管理,维护容易。
【问题3】(6分)
1.该系统采用VLAN来隔离各工厂和监控点,在ONU端进行VLAN配置,在OLT端采用trunk进行VLAN汇聚,使用Manage VLAN统一管理OLT设备。
2.OLT的IP地址主要用于设备的网元管理,一般采用手动或静态方式分配,IPC摄像机的地址需要统一规划,各厂区划分为不同的地址段。
【问题4】(6分)
1.IP组播(也称多址广播或多播)技术,是一种允许一台或多台主机(组播源)发送单以数据包到多台主机(一次的,同时的)的TCP/IP网络技术。组播作为一点对多点的通信,是节省网络带宽的有效方法之一。在网络音频广播的应用中,当需要将一个节点的信号传送到多个节点时,无论是采用重复点对点通信方式,还是采用广播方式,都会严重浪费网络带宽,只有组播才是最好的选择。组播能使一个或多个组播源只把数据包发送给特定的组播组,而只有加入该组播组的主机才能接收到数据包。目前,IP组播技术被广泛应用在网络音频/视频广播、AOD/VOD、网络视频会议、多媒体远程教育、视频监控等方面。
2.在组网时,ONU设备的RJ45接口通过UTP网线和IPC摄像机连接。
3.为了保证网络系统能稳定、高效、可靠的运行,必须为其提供一个可靠的网元管理系统用以监视、控制并协调所有的可管理对象。同时具备事件、告警管理和EPON系统管理模块。
第 2 题
(注意问题2、3考的是思科设备的配置,在2018版本的考试大纲中,网络设备已经默认为华为设备,此题不需要学习和记忆,模拟题中已经有类似的华为配置,请注意学习)
【说明】
某企业的网络结构如图2-1所示。
该企业通过一台路由器接入到互联网,企业内部按照功能的不同分为6个VLAN。分别是网络设备与网管(VLAN1)、内部服务器(VLAN2)、Internet连接(VLAN3)、财务部(VLAN4)、市场部(VLAN5)、研发部门(VLAN6)。
图 2-1
【问题1】(7分)
1.访问控制列表ACL是控制网络访问的基本手段,它可以限制网络流量,提高网络性能。 ACL使用 (1) 技术来达到访问控制目的。 ACL分为标准ACL和扩展ACL两种,标准访问控制列表的编号为 (2) 和1300~1999之间的数字,标准访问控制列表只使用 (3) 进行过滤,扩展的ACL的编号使用 (4) 以及2000~2699之间的数字。
2.每一个正确的访问列表都至少应该有一条 (5) 语句,具有严格限制条件的语句应放在访问列表所有语句的最上面,在靠近 (6) 的网络接口上设置扩展ACL,在靠近 (7) 的网络接口上设置标准ACL。
【问题2】(5分)
网管要求除了主机10.1.6.66能够进行远程telnet到核心设备外,其它用户都不允许进行tehet操作。同时只对员工开放Web服务器(10.1.2.20)、FTP服务器(10.1.2.22)和数据库服务器(10.1.2.21:1521),研发部除IP为10.1.6.33的计算机外,都不能访问数据库服务器,按照要求补充完成以下配置命令。
…
Switch-core#conf t
Switch-core(config)#access-list 1permit host (8)
Switch-core(config)#line (9) 0 4
Switch-core(config -line)# access-class 1 (10)
…
Switch-core(config)#ip access-list extend server-project
Switch-core(config –ext-nacl)# permit tcp host (11) host 10.1.2.21 eq 1521
Switch-core(config –ext-nacl)#deny tcp (12) 0.0.0.255 host 10.1.2.21 eq 1521
Switch-core(config –ext-nacl)# permit tcp 10.1.0.0.0.0.255.255 host 10.1.2.21 eq 1521
Switch-core(config –ext-nacl)# permit tcp 10.1.0.0.0.0.255.255 host 10.1.2.20 eq www
Switch-core(config –ext-nacl)# permit tcep 10.1.0.0.0.0.255.255 host 10.1.2.22 eq ftp
【问题3】(4分)
该企业要求在上班时间内(9:00-18:00)禁止内部员工浏览网页(TCP 80和TCP 443端口),禁止使用QQ(TCP/UDP 8000端口以及UDP 4000)和MSN(TCP 1863端口)。另外在2015年6月1日到2日的所有时间内都不允许进行上述操作。除过上述限制外。在任何时间都允许以其它方式访问Internet。为了防止利用代理服务访问外网,要求对常用的代理服务端口TCP 8080、TCP 3128和TCP 1080也进行限制。按照要求补充完成(或解释)以下配置命令。
...
Switch-core(config)#time-range TR1
Switch-core(config-time-range)# absolute start 00:00 1 June 2015 end 00:00 3 June 2015
Switch-core(config-time-range)#periodic weekdays start (13)
Switch-core(config-time-range)#exit
...
Switch-core(config)#ip access-list extend internet_limit
Switch-core(config-ext-nacl) #deny tcp 10.1.0.0 0.0.255.255 any eq 80 time-range TR1
Switch-core(config-ext-nacl) #deny tcp 10.1.0.0 0.0.255.255 any eq 443 time-range TR1
// (14)
Switch-core(config-ext-nacl) #deny tcp 10.1.0.0 0.0.255.255 any eq 1863 time-range TR1
// (15)
Switch-core(config-ext-nacl) #deny tcp 10.1.0.0 0.0.255.255 any eq 8000 time-range TR1
Switch-core(config-ext-nacl) #deny tcp 10.1.0.0 0.0.255.255 any eq 8000 time-range TR1
Switch-core(config-ext-nacl) #deny tcp 10.1.0.0 0.0.255.255 any eq 4000 time-range TR1
Switch-core(config-ext-nacl) #deny tcp 10.1.0.0 0.0.255.255 any eq 3128 time-range TR1
Switch-core(config-ext-nacl) #deny tcp 10.1.0.0 0.0.255.255 any eq 8080 time-range TR1
Switch-core(config-ext-nacl) #deny tcp 10.1.0.0 0.0.255.255 any eq 1080 time-range TR1
Switch-core(config-ext-nacl) #permit ip any any
Switch-core(config-ext-nacl) #exit
Switch-core(config) #int (16)
Switch-core(config-if) #ip access-group internrt_limit out
...
【问题4】(4分)
企业要求市场和研发部门不能访问财务部Vlan中的数据,但是财务部门做为公司的核心管理部门,又必须能访问到市场和研发部门Vlan内的数据。按照要求补充完成(或解释)以下配置命令。
...
Switch-core(config)#ip access-list extend fi-main
Switch-core(config-ext-nacl)#permit tcp any 10.1.0.0 0.0.255.255 reflect r-main timeout 120
Switch-core(config-ext-nacl)#permit udp any 10.1.0.0 0.0.255.255 reflect r-main timeout 200
Switch-core(config-ext-nacl)#permit icmp any 10.1.0.0 0.0.255.255 reflect r-main timeout 10
Switch-core(config-ext-nacl)#permit ip any any
Switch-core(config-ext-nacl)#exit
Switch-core(config-ext-nacl)#int(17)
Switch-core(config-if)#ip access-group fi-main in
…
Switch-core(config)#ip access-list extend fi-access-limit
Switch-core(config-ext-nacl)#evaluate r-main
Switch-core(config-ext-nacl)#deny ip any (18)
Switch-core(config-ext-nacl)#permit ip any any
Switch-core(config-ext-nacl)#exit
Switch-core(config)#int (19)
Switch-core(config-if)#ip access-group fi-access-limit in
Switch-core(config-if)#int (20)
Switch-core(config-if)#ip access-group fi-access-limit in
...
答案与解析
- 试题难度:较难
- 知识点:案例分析>ACL
- 试题答案:【问题1】(7分)
(1)对数据包进行过滤
(2)1-99
(3)源地址
(4)100-199
(5)允许
(6)出口(数据源地址)
(7)入口(数据目的地址)
【问题2】(5分)
(8)10.1.6.66
(9)vty
(10)in
(11)10.1.6.33
(12)10.1.6.0
【问题3】(4分)
(13)9:00 18:00
(14)禁止10.1.0.0/16的主机在上班时间通过443端口访问Web服务器
(15)禁止10.1.0.0/16的主机在上班时间通过1863端口登录MSN
(16)vlan 3
【问题4】(4分)
(17)vlan 4
(18)10.1.4.0 0.0.0.255
(19)vlan 5
(20)vlan 6 - 试题解析:【问题1】(7分)
访问控制列表就是用来在路由技术的网络中,决定这些数据流量是应该被转发还是被丢弃的技术。同时访问控制列表成为实现防火墙实现的重要手段。
访问控制列表用来限制使用者或设备,达到控制网络流量,解决拥塞,提高安全性等。在IP网络中,可以使用的访问列表有标准访问列表(值为1~99)、扩展访问列表(标号为100~199)两种。
同时访问控制列表实际上是一系列的判断语句,这些语句是一种自上而下的逻辑排列的关系。当我们把一个访问控制列表放在接口上面的时候,被过滤的数据包会一个一个地和这些语句的条件进行顺序的比较,以找出符合条件的数据包。当数据包不能符合一条语句的条件,它将向下与下一条语句的条件比较,如果一直不能符合的话。在访问控制列表的最后一项,有一条隐藏的语句,拒绝所有,把数据包丢弃。
对于过滤从同一个源地址到目地址的数据流,在网络中应用标准访问控制列表和应用扩展的访问控制列表的位置是不同的。标准的访问控制列表要尽量放在接近数据流目的的地方,也就是路由器的in接口。扩展的访问控制列表要尽量放在接近数据流源的地方,也就是路由器的OUT接口。
【问题2】(5分)
网管要求除了主机10.1.6.66能够进行远程telnet到核心设备外,其它用户都不允许进行telnet操作。同时只对员工开放Web服务器(10.1.2.20)、FTP服务器(10.1.2.22)和数据库服务器(10.1.2.21:1521),研发部除IP为10.1.6.33的计算机外,都不能访问数据库服务器,按照要求补充完成以下配置命令。
Access-list 1 permit host 10.1.6.66
Line vty 0 4
Access-class 1 in
Permit tcp host 10.1.6.33 host 10.1.2.21 eq 1521
Deny tcp 10.1.6.0 0.0.0.255 host 10.1.2.21 eq 1521
【问题3】(4分)
本题主要考察基于时间的ACL:
第一步,定义一个时间范围;
第二步,在访问表中用Time-range引用刚刚定义的时间范围。
一、定义时间范围
定义时间范围又分为两个步骤。
1:使用全局Time-range命令来正确地指定时间范围。
格式:time-range time-range-name
2:使用Absolute(绝对时间)或者一个或多个Periodic(循环时间)语句来定义时间范围,每个时间范围只能有一个Absolute语句,但它可以有多个Periodic语句。
所以:periodic weekdays start 9:00 18:00
Deny tcp 10.1.0.0 0.0.255.255 any eq 443 time-range TR1//禁止10.1.0.0/16的主机在上班时间通过443端口访问Web服务器
Deny tcp 10.1.0.0 0.0.255.255 any eq 1863 time-range TR1//禁止10.1.0.0/16的主机通过1863端口登录MSN
Int vlan 3//配置在核心交换机vlan3这边的接口上
【问题4】(4分)
两个主机进行通信,需要满足A到B、B到A这两个反向的数据包都不能阻断,
当财务部访问市场部门和研发部门的时候,当这些部门主机在到达核心交换机的时候,由于普通的ACL不具备监测会话状态的能力,就会被deny ip any 10.1.4.0 0.0.0.255这条ACL阻断了,所以不能访问成功。
要实现单方向的访问控制,我们可以在财务部访问市场和研发部门时候,在市场和研发部门的ACL临时生成一个反向的ACL条目,就能实现。
int vlan4//反向的ACL应用在财务部所在VLAN4的in接口上。
Denyip any 10.1.4.0 0.0.0.255
int vlan 5
int vlan 6
第 3 题
(典型试题,请认真学习)
【说明】
某企业采用Windows Server 2003配置了Web、FTP和邮件服务。 【问题1】(4分)
Web的配置如图3-1和图3-2所示。
图 3-2
FTP的配置如图3-3所示。
图 3-3
(9)备选答案:
A.DOS、客户端方式
B.客户端、浏览器方式
C.DOS、浏览器、客户端方式
【问题4】(6分)
邮件服务器的配置如图3-4所示。
(11)备选答案:
A.接收 B.发送 C.存储 D.转发
(12)备选答案:
A.创建邮件域 B.设置服务器最大连接数
C.安装POP3组件 D.添加邮箱
答案与解析
- 试题难度:较难
- 知识点:案例分析>Web服务设置
- 试题答案:【问题1】(4分)
(1)B
(2)ODBC日志记录
【问题2】(4分)
(3)错
(4)对
(5)对
(6)错
【问题3】(6分)
(7)相同
(8)多个
(9)C
【问题4】(6分)
(10)MX
(11)A
(12)D、A、C - 试题解析:【问题1】(4分)
记录访问:在日志文件中记录对网站的访问。需要勾选记录访问和启用日志记录。
在4中活动日志格式中,只有ODBC日志记录需要连接数据库,需要提供用户名和密码。
【问题2】(4分)
读取:由于网站主要是供用户浏览的,一般指需要选择“读取”即可。
写入:客户以HTTP方式向服务器写入内容。
目录浏览:客户可以查看服务器上文件的目录结构。
CGI是外部应用程序(CGI程序)与Web服务器之间的接口标准。当网页是CGI时候,执行选项改成脚本和可执行程序。
【问题3】(6分)
匿名用户的权限和“本地用户和组”的权限相同,FTP设置多个站点虚拟目录。FTP服务器可以通过DOS、浏览器、客户端方式访问。
【问题4】(6分)
MX记录是用于电子邮件系统发邮件时根据收信人的地址后缀来定位邮件服务器。例如,当收件人为“user@csai.com”时,系统将对“csai.com”进行DNS中的MX记录解析。如果MX记录存在,系统就根据MX记录的优先级,将邮件转发到与该MX相应的邮件服务器上。
POP3是电子邮件接收协议,配置POP3服务器的步骤包括按照POP3组件、添加邮箱、创建邮件域。
第 4 题
【说明】
某公司网络拓扑结构图如图4-1所示。公司内部的用户使用私有地址段192.168.1.0/24 。
图 4-1
【问题1】(2分)
为了节省IP地址,在接口地址上均使用30位地址掩码,请补充下表中的空白。
将公司内部用户按照部门分别划分在3个vlan中:vlan 10,vlan 20和vlan 30。均连接在交换机S1上,并通过S1实现vlan间通信,所有内网主机均采用DHCP获取IP地址。按照要求补充完成(或解释)以下配置命令。
Switch>en
Switch#(3)
Switch(config)#hostname(4)
S1(config)#interface fastEthernet 0/1
S1(config-if)(5) mode trunk
S1(config-if)#interface vlan 10//(6)
S1(config-if)#ip address 192.168.1.206 255.255.255.240
S1(config-if)#no shutdown
S1(config-if)#ip helper-address(7)
S1(config-if)#(8)
S1(config)#
……
S1(config)#router(9)
S1(config-router)#version(10)
S1(config-router)#network 192.168.1.192
S1(config-router)#network 192.168.1.208
S1(config-router)#network 192.168.1.224
S1(config-router)#(11)
S1#
【问题3】(2分)
在S1上将F0/1接口配置为trunk模式时,出现了以下提示:
Command rejected: An interface whose trunk encapsulation is "Auto" can not be configured to "trunk" mode.
应采取 (12) 方法解决该问题。
(12)A.在该接口上使用no shutdown命令后再使用该命令
B.在该接口上启用二层功后能再使用该命令
C.重新启动交换机后再使用该命令
D.将该接口配置为access模式后再使用该命令
【问题4】(2分)
在S1上配置的三个SVI接口地址分别处在192.168.1.192,192.168.1.208和192.168.1.224网段,它们的子网掩码是 (13) 。
答案与解析
- 试题难度:较难
- 知识点:案例分析>三层交换机配置
- 试题答案:【问题1】(2分)
(1)192.168.1.254
(2)192.168.1.250
【问题2】(9分)
(3)config terminal
(4)S1
(5)switchport
(6)进入vlan10中
(7)192.168.1.249
(8)exit
(9)rip
(10)2
(11)end
【问题3】(2分)
(12)D
(13)255.255.255.240
【问题4】(2分)
255.255.255.240 - 试题解析:【问题1】(2分)
为了节省IP地址,在接口地址上均使用30位地址掩码,R1的F0/1和S1的F0/24在同一网络中,那么现在S1的F0/24地址是192.168.1.253,子网掩码是255.255.255.252,那么这个地址所在的可用主机地址范围是192.168.1.253-192.168.1.254。那么R1的F0/1就是192.168.1.254。
同理R1的F0/2和DHCP的eth0处于同一网络,所以R1的F0/2的地址是192.168.1.250。
【问题2】(9分)
Switch#config terminal //进入全局配置模式
Switch(config)#hostname S1 //将交换机命名为S1
S1(config-if)switchport mode trunk //将端口封装为trunk模式
S1(config-if)#interface vlan 10//进入VLAN10
S1(config-if)#ip helper-address 192.168.1.249//指定DHCP服务器的地址,表示通过Ethernet0向该服务器发送DHCP请求包
S1(config-if)#exit//退出接口子模式
S1(config)#route rip//开启RIP
S1(config-router)#version 2//指定版本为2,支持可变长子网掩码
S1(config-router)#end//退出到特权模式
【问题3】(2分)
在S1上将F0/1接口配置为trunk模式时,出现了以下提示:
Command rejected:An interface whose trunk encapsulation is "Auto" can not be configured to "trunk" mode.
应采取将该接口配置为access模式后再使用该命令的方法解决该问题。
【问题4】(2分)
采用三层交换机的路由模块为VLAN之间做路由也是非常普遍的。由于三层交换机的路由模块和交换模块直接通过交换机的背板总线连接,所以不需要使用干道技术。只需要在三层交换机的路由模块上定义与VLAN数量相当的逻辑接口,并让这些接口和VLAN对应,为这些接口分配IP地址就可以了。SVI交换机虚拟接口实现不同VLAN间通讯的问题,每个SVI要和各个VLAN属于同一网络中。所以子网掩码是255.255.255.240。