201611网工下午真题
第 1 题
(典型试题,请认真学习)
【说明】
某企业的行政部、技术部和生产部分布在三个区域,随着企业对信息化需求的提高,现拟将网络出口链路由单链路升级为双链路,提升ERP系统服务能力以及加强员工上网行为管控。网络管理员依据企业现有网络和新的网络需求设计了该企业网络拓扑图1-1,并对网络地址重新进行了规划,其中防火墙设备集成了传统防火墙与路由功能。
【问题1 】(4分)
在图1-1的防火墙设备中,配置双出口链路有提高总带宽、 (1)、链路负载均衡作用。通过配置链路聚合来提高总带宽,通过配置(2)来实现链路负载均衡。
【问题2】(4分)
防火墙工作模式有路由模式、透明模式、混合模式,若该防火墙接口均配有IP地址,则防火墙工作在(3)模式,该模式下,ERP服务器部署在防火墙的(4)区域。
【问题3】(4分)
若地址规划如表1-1所示,从IP规划方案看该地址的配置可能有哪些方面的考虑?
该网络拓扑中,上网行为管理设备的位置是否合适?请说明理由。
【问题5】(3分)
该网络中有无线节点的接入,在安全管理方面应采取哪些措施?
【问题6】(2分)
该网络中视频监控系统与数据业务共用网络带宽,存在哪些弊端?
</div></div>
答案与解析
- 试题难度:较难
- 知识点:案例分析>防火墙配置
- 试题答案:【问题1】 (每空2分,共4分)
(1)提高链路冗余或可靠性
(2)策略路由
【问题2】 (每空2分,共4分)
(3)路由模式
(4)信任区域(或内部区域)
【问题3】 (共4分)
用户上网IP的划分按地理位置划分,便于维护和网络安全管理
监控按业务类型独立划分VLAN,使用固定IP,便于灵活管理
【问题4】 (共3分)
合适,该设备有串接和旁路等多种方式,均可实现上网行为管理
【问题5】 (共3分)
注意SSID的管理、MAC地址的过滤,加密方式的选择
【问题6】 (共2分)
存在视频监控系统的带宽出现不能满足大量图像传输需求,容易出现数据传输“排队”和“丢包”的问题。
视频监控系统未做安全防范,存在一定数据泄露风险。 - 试题解析:【问题1 】(4分)
在图1-1的防火墙设备中,配置双出口链路有提高总带宽、提高可靠性、链路负载均衡作用。通过配置链路聚合来提高总带宽,通过配置策略路由来实现链路负载均衡。
【问题2】(4分)
防火墙能够工作在三种模式下:路由模式、透明模式、混合模式。如果防火墙以第三层对外连接(接口具有IP 地址),则认为防火墙工作在路由模式下;若防火墙通过第二层对外连接(接口无IP 地址),则防火墙工作在透明模式下;若防火墙同时具有工作在路由模式和透明模式的接口(某些接口具有IP 地址,某些接口无IP 地址),则防火墙工作在混合模式下。
该模式下,ERP服务器部署在防火墙的内部区域。内部区域(内网)。内部区域通常就是指企业内部网络或者是企业内部网络的一部分。它是互连网络的信任区域,即受到了防火墙的保护。
外部区域(外网)。外部区域通常指Internet或者非企业内部网络。它是互连网络中不被信任的区域,当外部区域想要访问内部区域的主机和服务,通过防火墙,就可以实现有限制的访问。
非军事区(DMZ,又称停火区)。是一个隔离的网络,或几个网络。位于区域内的主机或服务器被称为堡垒主机。一般在非军事区内可以放置Web、Mail服务器等。停火区对于外部用户通常是可以访问的,这种方式让外部用户可以访问企业的公开信息,但却不允许它们访问企业内部网络。
【问题3】(4分)
若地址规划如表1-1所示,从IP规划方案看该地址的配置可以看出有可扩展性、连续性、唯一性、 实意性。
【问题4】(3分)
该设备有串接和旁路等多种方式,均可实现上网行为管理
【问题5】(3分)
注意SSID的管理、MAC地址的过滤,加密方式的选择。
无线加密:在设置无线路由器的时候,一个必要的环节就是设置无线加密(通俗点来说就是设置无线密码),在无线路由器的安全配置页面,大家会经常见到三种无线加密方式,分别是WPA-PAK/WPA2-PSK、WPA/WPA2以及WEP。
WEP加密技术使用静态共享密钥和未加密循环冗余码校验(CRC),无法保证加密数据的完整性,并存在弱密钥等。这使得WEP加密技术在安全保护方面存在明显的缺陷,对熟练的入侵者而言,往往只需很短时间甚至几分钟便可攻破。于是就出现了新的WLAN加密技术--WPA(Wi-Fi Protected Access,Wi-Fi保护访问)和WPA2。显然,WPA2技术是WPA技术的升级版。从技术角度看,WPA/WPA2主要解决了WEP在共享密钥上的漏洞,添加了数据完整性检查和用户级认证措施。WPA2是WPA的第二个版本,是对WPA在安全方面的改进版本。与第一版的WPA相比,主要改进的是所采用的加密标准。
【问题6】(2分)
存在视频监控系统的带宽出现不能满足大量图像传输需求,容易出现数据传输“排队”和“丢包”的问题。
视频监控系统未做安全防范,存在一定数据泄露风险。
第 2 题
(典型试题,请认真学习)
【说明】
图2-1是某互联网企业网络拓扑,该网络采用二层结构,网络安全设备有防火墙、入侵检测系统,楼层接入交换机32台,全网划分17个VLAN,对外提供Web和邮件服务,数据库服务器和邮件服务器均安装CentOS操作系统(Linux平台),Web服务器安装Windows 2008操作系统。
图2-1
【问题1】(6分)
SAN常见方式有FC-SAN和IP SAN,在图2-1中,数据库服务器和存储设备连接方式为(1),邮件服务器和存储设备连接方式为(2)。
虚拟化存储常用文件系统格式有CIFS、NFS,为邮件服务器分配存储空间时应采用的文件系统格式是(3),为Web服务器分配存储空间应采用的文件系统格式是(4)。
【问题2】(3分)
该企业采用RAID5方式进行数据冗余备份。请从存储效率和存储速率两个方面比较RAID1和RAID5两种存储方式,并简要说明采用RAID5存储方式的原因。
【问题3】(8分)
网络管理员接到用户反映,邮件登录非常缓慢,按以下步骤进行故障诊断:
1.通过网管机,利用(5)登录到邮件服务器,发现邮件服务正常,但是连接时断时续。
2.使用(6)命令诊断邮件服务器的网络连接情况,发现网络丢包严重,登录服务器区汇聚交换机S1,发现连接邮件服务器的端口数据流量异常,收发包量很大。
3.根据以上情况,邮件服务器的可能故障为(7),应采用(8)的办法处理上述故障。
(5)~(8)备选答案:
(5)A.ping B.ssh C.tracert D.mstsc
(6)A.ping B.telnet C.tracet D.netstat
(7)A.磁盘故障 B.感染病毒 C.网卡故障 D.负荷过大
(8)A.更换磁盘 B.安装防病毒软件,并查杀病毒
C.更换网卡 D.提升服务器处理能力
【问题4】(3分)
上述企业网络拓扑存在的网络安全隐患有:(9)、(10)、(11)。
(9)~(11)备选答案
A.缺少针对来自局域网内部的安全防护措施
B.缺少应用负载均衡
C.缺少流量控制措施
D.缺少防病毒措施
E.缺少Web安全防护措施
F.核心交换机到服务器区汇聚交换缺少链路冗余措施
G.VLAN划分太多
答案与解析
- 试题难度:较难
- 知识点:案例分析>网络存储
- 试题答案:【问题1】(每空1.5分,共6分)
(1)FC SAN
(2)IP SAN
(3)NFS
(4)CIFS
【问题2】 (共3分)
RAID1只是做磁盘镜像,存储效率RAID1只有50%,没有提高存储性能,RAID5存储效率是(N-1)/N,其中N是磁盘数目,在RAID5上,读/写指针可同时对阵列设备进行操作,提供了更高的存储性能。
【问题3】 (每空2分,共8分)
(5)B
(6)A
(7)B
(8)B
【问题4】 (每空1分、共3分)
(9) A
(10)D
(11)E - 试题解析:【问题1】(6分)
从效率上看,FC SAN明显高于IP SAN,因此FC SAN更加适合于对效率敏感的应用,例如对性能要求很高的数据库应用,而IP SAN则主要应用到对性能和效率要求不高的环境中,例如OA,文档处理,多媒体环境等
虚拟化存储常用文件系统格式有CIFS、NFS,由于邮件服务器是Linux系统分配存储空间时应采用的文件系统格式是NFS,为Web服务器分配存储空间应采用的文件系统格式是CIFS。
【问题2】(3分)
RAID1只是做磁盘镜像,存储效率RAID1只有50%,没有提高存储性能,RAID5存储效率是(N-1)/N,其中N是磁盘数目,在RAID5上,读/写指针可同时对阵列设备进行操作,提供了更高的存储性能。
【问题3】(8分)
网络管理员接到用户反映,邮件登录非常缓慢,按以下步骤进行故障诊断:
1.通过网管机,利用SSH登录到邮件服务器,因为是Linux系统,发现邮件服务正常,但是连接时断时续。
2.使用PING命令诊断邮件服务器的网络连接情况,发现网络丢包严重,登录服务器区汇聚交换机S1,发现连接邮件服务器的端口数据流量异常,收发包量很大。
3.根据以上情况,邮件服务器的可能故障为感染病毒,应采用安装防病毒软件,并查杀病毒的办法处理上
【问题4】(3分)
请参考答案。
第 3 题
(注意此题虽然考的是Win2003的配置,考试大纲为win2018,但基本概念内容差别不大,请认真注意学习)
【说明】
某公司的IDC(互联网数据中心)服务器Server1采用Windows Server 2003操作系统,IP地址为172.16.145.128/24,为客户提供Web服务和DNS服务;配置了三个网站,域名分别为www.company1.com、www.company2.com和www.company3.com,其中company1使用默认端口。基于安全的考虑,不允许用户上传文件和浏览目录。company1.com、company2.com和company3.com对应的网站目录分别为company1-web、company2-web和company3-web,如图3-1所示。
为安装Web服务和DNS服务,Server1必须安装的组件有(1)和(2)。
(1)~(2)备选答案:
A.网络服务 B.应用程序服务器 C.索引服务 D.证书服务 E.远程终端
【问题2】(4分,每空2分)
在IIS中创建这三个网站时,在图3-2中勾选读取、(3)和执行,并在图3-3所示的文档选项卡中添加(4)为默认文档。
图3-2
图3-3
【问题3】(6分,每空1分)
1、为了节省成本,公司决定在一台计算机上为多类用户提供服务。使用不同端口号来区分不同网站,company1使用默认端口(5),company2和company3的端口应在1025至(6)范围内任意选择,在访问company2或者company3时需在域名后添加对应端口号,使用(7)符号连接。设置完成后,管理员对网站进行了测试,测试结果如图3-4所示,原因是(8) 。
(8)备选答案:
A.IP地址对应错误
B.未指明company1的端口号
C.未指明company2的端口号
D.主机头设置错误
2、为便于用户访问,管理员决定采用不同主机头值的方法为用户提供服务,需在DNS服务中正向查找区域为三个网站域名分别添加(9) 记录。网站company2的主机头值应设置为(10) 。
【问题4】(8分,每空2分)
随着company1网站访问量的不断增加,公司为company1设立了多台服务器。下面是不同用户ping网站www.company1.com后返回的IP地址及响应状况,如图3-5所示。
在图3-6中勾选了“启用网络掩码排序”后,当存在多个匹配记录时,系统会自动检查这些记录与客户端IP的网络掩码匹配度,按照(12) 原则来应答客户端的解析请求。如果勾选了“禁用递归”,这时DNS服务器仅采用(13) 查询模式。当同时启用了网络掩码排序和循环功能时,(14) 优先级较高。
(14)备选答案:
A.循环 B.网络掩码排序
答案与解析
- 试题难度:较难
- 知识点:案例分析>Web服务设置
- 试题答案:【问题1】 (每空1分,共2分)
(1)A
(2)B
【问题2】 (每空2分,共4分)
(3)运行脚
(4)index.html
【问题3】 (每空1分,共6分)
(5)80
(6)65535
(7):
(8)C
(9)A
(10)
www.company2
【问题4】 (每空2分,共8分)
(11)启用循环
(12)最长匹配
(13)迭代
(14)B
- 试题解析:【问题1】(每空1分,共2分)
为安装Web服务和DNS服务,Serverl必须安装的组件有应用程序服务器、网络协议。
【问题2】 (每空2分,共4分)
在IIS中创建这三个网站时,在图3-2中勾选读取运行和执行,并在图3-3所示的文档选项卡中添加index.html为默认文档。具体参考图3-1作答。
【问题3】 (每空1分,共6分)
1.为了节省成本,公司决定在一台计算机上为多类用户提供服务。使用不同端口号来区分不同网站,companyl使用默认端口80,company2和company3的端口应在1025至65535范围内任意选择,在访问company2或者com pany3时需在域名后添加对应端口号,使用:符号连接。设置完成后,管理员对网站进行了测试,测试结果如图3-4所示,原因是未指明company2的端口号。
2、为便于用户访问,管理员决定采用不同主机头值的方法为用户提供服务,需在DNS服务中正向查找区域(设置一个com区域)为三个网站域名分别添加A记录。网站company2的主机头值应设置为www.commany2。
【问题4】 (每空2分,共8分)
从图3-5可以看出,域名www.company1.com对应了多个IP地址,说明在图3-6所示的DNS属性中启用了循环功能。
在图3-6中勾选了“启用网络掩码排序”后,当存在多个匹配记录时,系统会自动检检查这些记录与客户端IP的网络掩码匹配度,按照掩码接近度匹配原则来应答客户端的解析请求。会比较客户端IP和A记录对应的IP,按照最长匹配原则进行解析。如果勾选了“禁用递归”,这时DNS服务器仅采用迭代查询模式。当同时启用了网络掩码排序和循环功能时,网络掩码排序优先级较高。
第 4 题
(注意此题考的是思科设备的配置,在2018版本的考试大纲中,网络设备已经默认为华为设备,此题不需要学习和记忆,模拟题中已经有类似的华为配置,请注意学习)
【说明】
某公司建立局域网拓扑图如图4-1所示。公司计划使用路由器作为DHCP服务器,根据需求,公司内部使用C类地址段,服务器地址段为192.168.2.0/24,S2和S3分别为公司两个部门的接入交换机,分别配置VLAN 10和VLAN 20,地址段分别使用192.168.10.0/24和192.168.20.0/24,通过DHCP服务器自动为两个部门分配IP地址,地址租约期为12小时。其中,192.168.10.1~192.168.10.10作为保留地址。
【问题1】(10分,每空1分)
下面是R1的配置代码,请将下面配置代码补充完整。
R1#config t
R1 (config)# interface FastEthernet0/0
R1 (config-if)#ip address(1) (2)
R1 (config-if)#no shutdown
R1 (config-if)#exit
R1 (config)#ip dhcp(3) depart1
R1 (dhcp-config)#network 192.168.10.0 255.255.255.0
R1 (dhcp-config)#default-router 192.168.10.254 255.255.255.0
R1 (dhcp-config)#dns-server(4)
R1 (dhcp-config)#lease 0 (5) 0
R1 (dhcp-config)#exit
R1 (config)#ip dhcp pool depart2
R1 (dhcp-config)# network(6) (7)
R1 (dhcp-config)#default-router 192.168.20.254 255.255.255.0
R1 (dhcp-config)# dns-server 192.168.2.253
R1 (dhcp-config)# lease 0 12 0
R1 (dhcp-config)#exit
R1 (config)# ip dhcp excluded-address (8) (9)
R1 (config)# ip dhcp excluded-address(10) //排除掉不能分配的IP地址
R1 (config)# ip dhcp excluded-address 192.168.20.254
......
【问题2】(5分,每空1分)
下面是S1的配置代码,请将下面配置代码或解释补充完整。
S1#config terminal
S1(config)#interface vlan 5
S1(config-if)#ip address 192.168.2.254 255.255.255.0
S1(config)#interface vlan 10
S1(config-if)#ip helper-address(11) ∥指定DHCP服务器的地址
S1(config-if)#exit
S1(config)#interface vlan 20
......
S1(config)#interface f0/24
S1(config-if)#switchport mode (12)
S1(config-if)# switchport trunk (13)vlan all ∥允许所有VLAN数据通过
S1(config-if)#exit
S1(config)#interface f0/21
S1(config-if)#switchport mode access
S1(config-if)#switchport access vlan 5
S1(config-if)#exit
S1(config)#interface f0/22
S1(config-if)#switchport mode access
S1(config-if)#switchport access(14)
S1(config)#interface f0/23
S1(config-if)#switchport mode access
S1(config-if)#switchport access(15)
答案与解析
- 试题难度:较难
- 知识点:案例分析>路由器DHCP配置
- 试题答案:【问题1】(每空1分,共10分)
(1)192.168.1.2
(2)255.255.255.0
(3)pool
(4)192.168.2.253
(5)12
(6)192.168.20.0
(7)255.255.255.0
(8)192.168.10.1
(9)192.168.10.10
(10)192.168.10.254
【问题2】 (每空1分,共5分)
(11)192.168.1.2
(12)trunk
(13)allowed
(14)vlan 10
(15)vlan 20 - 试题解析:【问题1】(10分,每空1分)
下面是R1的配置代码,请将下面配置代码补充完整。
R1#config t
R1 (config)# interface FastEthernet0/0
R1 (config-if)#ip address 192.168.1.2 255.255.255.0 //配置接口IP地址和掩码
R1 (config-if)#no shutdown //激活接口
R1(config-if)#exit
R1 (config)#ip dhcp pool depart1 //配置DHCP地址池名字
R1 (dhcp-config)#network 192.168.10.0 255.255.255.0
R1 (dhcp-config)#default-router 192.168.10.254 255.255.255.0
R1 (dhcp-config)#dns-server 192.168.2.253 //DNS地址
R1 (dhcp-config)#lease 0 12 0 //租约时间12小时
R1 (dhcp-config)#exit
R1 (config)#ip dhcp pool depart2
R1(dhcp-config)# network 192.168.20.0 255.255.255.0 //作用域范围
R1 (dhcp-config)#default-router 192.168.20.254 255.255255.0
R1 (dhcp-config)# dns-server 192.168.2.253
R1 (dhcp-conlig)# lease 0 12 0
R1 (dhcp-coniig)#exit
R1 (config)# ip dhcp excluded-address 192.168.10.1 192.168.10.10
R1 (config)# ip dhcp excluded-address 192.168.10.254 //排除掉不能分配的IP地址
【问题2】 (每空1分,共5分)
下面是S1的配置代码,请将下面配置代码或解释补充完整。
S1#config terminal
S1(config)#interface vlan 5
S1(config-if)#ip address 192.1682.254 255.255255.0
S1(config)#interface vlan 10
S1(config-if)#ip helper-address 192.168.1.2∥指定DHCP服务器的地址
S1(config-if)#exit
S1(config)#interface vlan 20
...
S1(config)#interface f0/24
S1(config-if)#switchport mode trunk
S1(config-if)# switchport trunk allowed vlan all //允许所有VLAN数据通过
S1(config-if)#exit
S1(config)#interface f0/21
S1(config-if)#switchport mode access
S1(config-if)#switchport access vlan 5
S1(config-if)#exit
S1(config)#interface f0/22
S1(config-if)#switchport mode access
S1(config-if)#switchport access vlan 10
S1(config)#interface f0/23
S1(config-if)#switchport mode access
S1(config-if)#switchport access vlan 20