201811网工下午真题

第 1 题

(经典试题,请认真学习)
阅读以下说明,回答问题1至问题3,将解答填入答题纸对应的解答栏内。
【说明】
某园区组网方案如图1-1所示,数据规划如表1-1内容所示。



【问题1】(8分,每空2分)
以Switch3为例配置接入层交换机,补充下列命令片段。
<HUAWEI>( 1 )
[HUAWEI] sysname Switch3
[Switch3] vlan batch( 2 )
[Switch3] interface GigabitEthernet 0/0/3
[Switch3-GigabitEthernet0/0/3] port link-type( 3 )
[Switch3-GigabitEthernet0/0/3] port trunk allow-pass vlan 10 20
[Switch3-GigabitEthernet0/0/3] quit
[Switch3] interface GigabitEthernet 0/0/1
[Switch3-GigabiEthernet0/0/1] port link-type( 4 )
[Switch3-GigabitEthernet0/0/1] port default vlan 10
[Switch3-GigabitEthernet/0/1] quit
[Switch3] stp bpdu-protection
【问题2】 (8分,每空2分)
以Switch1为例配置核心层交换机,创建其与接入交换机、备份设备以及出口路由器的互通VLAN,补充下列命令。

<HUAWEI>system-view
[HUAWEI] sysname Switch1
[Switchl] vlan batch( 5 )
[Switch1] interface GigabitEthernet/0/1
[Switchl-GigabitEthernet0/0/1] port link-type trunk
[Switchl-GigabitEthernet0/0/1] port trunk allow-pass( 6 )
[Switch1-GigabitEthernet0/0/1] quit
[Switch1] interface Vlanif 10
[Switch1-Vlanif10] ip address 192.168.10.1 24
[Switch1-Vlanif10] quit
[Switch1] interface Vlanif 20
[Switch1-Vlanif20] ip address 192.168.20.1 24
[Switch1-Vlanif20] quit
[Switchl] interface GigabitEthernet 0/0/7
[Switchl-GigabitEthernet0/0/7] port link-type trunk
[Switch1-GigabitEthernet0/0/7] port trunk allow-pass vlan 100
[Switch1-GigabitEthernet0/0/7] quit
[Switch1] interface Vlanif 100
[Switch1-Vlanif100] ip address( 7 )
[Switch1-Vlanif100] quit
[Switch1] interface Gigabitethernet 0/0/5
[Switch1-GigabitEthernet0/0/5] port link-type access
[Switch1-GigabitEthernet0/0/5] port default vlan 300
[Switchl-GigabitEthernet0/0/5] quit
[Switch1 interface Vlanif 300
[Switchl-Vlanif300] ip address( 8 )
[Switchl-Vlanif300] quit
【问题3】(4 分,每空2分)
如果配置静态路由实现网络互通,补充在Switch1和Router上配置的命令片段。
[Switchl] ip route-static( 9 )//默认优先级
[Switchl] ip route-static 0.0.0.0 0.0.0.0 172.16.30.2 preference 70
 
[Router] ip route-static( 10 )//默认优先级
[Router] ip route-static 192.168.10.0 255.255.255.0 172.16.10.1
[Router] ip route-static 192.168.10.0 255.255.255.0 172.16.20.1 preference70
[Router] ip route-static 192.168.20.0 255.255.255.0 172.16.10.1
[Router] ip route-static 192.168.20.0 255.255.255.0 172.16.20.1 preference70
</huawei>

答案与解析

  • 试题难度:较难
  • 知识点:案例分析>VLAN
  • 试题答案:【问题1】
    (1)system-view
    (2)10  20
    (3)Trunk
    (4)Access
     
    【问题2】
    (5)10 20 30 100 300
    (6)vlan all或vlan 10 20
    (7)172.16.10.1  24
    (8)172.16.30.1  24
     
    【问题3】
    (9)0.0.0.0  0.0.0.0  172.16.10.2
    (10)0.0.0.0  0.0.0.0  202.101.111.1

  • 试题解析:【问题1】
    (1)system-viem进入系统视图
    (2)创建vlan10和vlan20
    (3)设置接口为trunk口
    (4)设置接口为access口
    【问题2】
    (5)批量创建vlan10、20、30、100、300
    (6)设置允许的vlan通过
    (7)设置vlan100的接口ip
    (8)设置vlan300的接口ip
    【问题3】
    (9)设置的是核心交换机的默认路由,正常情况下直接发往路由器的g0/0/1接口,当链路出现问题,才把数据包发往switch2
    (10)在路由器上设置默认路由,下一跳指向互联网接口即公网网关202.101.111.1
     


第 2 题

(经典试题,请认真学习)
阅读下列说明,回答问题1至问题4,将解答填入答题纸的对应栏内。
【说明】
图2-1为A公司和公司总部的部分网络拓扑,A公司员工办公区域DHCP分配的IP段为10.0.36.1/24,业务服务器IP地址为10.0.35.1,备份服务器IP地址为10.0.35.2;公司总部备份服务器IP地址为10.0.86.200。

【问题1】(4分,每空2分)
网络威胁会导致非授权访问、信息泄露、数据被破坏等网络安全事件发生,其常见的网络威胁包括窃听、拒绝服务、病毒、木马、( 1 )等, 常见的网络安全防范措施包括访问控制、审计、身份认证、数字签名、( 2 )、 包过滤和检测等。
(1)备选答案:
A.数据完整性破坏
B.物理链路破坏
C.存储介质破坏
D.电磁干扰
(2)备选答案:
A.数据备份
B.电磁防护
C.违规外联控制
D.数据加密
【问题2】(6分,每空2分)
某天,网络管理员在入侵检测设备.上发现图2-2所示网络威胁日志,从该日志可判断网络威胁为( 3 ), 网络管理员应采取( 4 )( 5 )等合 理有效的措施进行处理。

(3)备选答案:
A.跨站脚本攻击
B.拒绝服务
C.木马
D.sql注入
 (4)~(5)备选答案:
A.源主机安装杀毒软件并查杀
B.目标主机安装杀毒软件并查杀
C.将上图所示URL加入上网行为管理设备黑名单
D.将上图所示URL加入入侵检测设备黑名单
E.使用漏洞扫描设备进行扫描
【问题3】(4分,每空1分)
A公司为保障数据安全,同总部建立ipsecVPN隧道,定期通过A公司备份服务器向公司总部备份数据,仅允许A公司的备份服务器、业务服务器和公司总部的备份服务器通讯,图2-3为A公司防火墙创建VPN隧道第二阶段协商的配置页面,请完善配置。其中,本地子网:( 6 )、 本地掩码:( 7 )、 对方子网:( 8 )、 对方掩码:( 9 )

【问题4】(6分)
根据业务发展,购置了一套存储容量为30TB的存储系统,给公司内部员工每人配备2TB的网盘,存储管理员预估近-年内,员工对网盘的平均使用空间不超过200GB,为节省成本,启用了该存储系统的自动精简(Thin provisioning不会一次性 全部分配存储资源,当存储空间不够时,系统会根据实际所需要的容量,从存储池中多次少量的扩展存储空间)配置功能,为100个员工提供网盘服务。
请简要叙述存储管理员使用自动精简配置的优点和存在的风险。

答案与解析

  • 试题难度:一般
  • 知识点:案例分析>网络攻击防治
  • 试题答案:【问题1】
    (1)A数据完整性破坏
    (2)D数据加密
     
    【问题2】
    (3)C木马
    (4)A源主机安装杀毒软件并查杀
    (5)C将上图所示URL加入上网行为管理设备黑名单
     
    【问题3】
    (6)10.0.35.0
    (7)255.255.255.252
    (8)10.0.86.200
    (9)255.255.255.255
     
    【问题4】
    自动精简配置(Thin Provisioning),可以为客户虚拟出比实际物理存储更大的虚拟存储空间,为用户提供存储超分配的能力。只有写入数据的虚拟存储空间才能真正分配到物理存储,未写入的虚拟存储空间不占用物理存储资源。可以帮助客户大幅降低存储的初始投资成本。
    进行自动精简配置最大的问题就是有可能出现实际空间不足的情况。所以在自动精简配置中监控容量的是十分重要的
     

  • 试题解析:【问题1】
    (1)常见的外部威胁
    病毒、蠕虫和特洛伊木马 - 在用户设备上运行的恶意软件和任意代码
    间谍软件和广告软件 - 用户设备上安装的软件,秘密收集关于用户的信息
    零日攻击(也称零小时攻击) - 在出现漏洞的第一天发起的攻击
    黑客攻击 - 由经验丰富的人员对用户设备或网络资源发起的攻击
    拒绝服务攻击 - 意图使网络设备上的应用和进程减缓或崩溃的攻击
    数据拦截和盗窃 - 通过公司网络捕获私人信息的攻击
    身份盗窃 - 窃取用户的登录凭据来访问私人数据的攻击
    破坏数据完整性-数据被人为修改
     (2)题目问的是网络安全方面的防护,四个选项中只有数据加密涉及到网络安全。
    【问题2】
    (3)从图中可以看出源主机始终是10.0.36.249,一直在访问相同的目的主机和网页。说明这台主机可能中了病毒。
    跨站脚本攻击(也称为XSS)指利用网站漏洞从用户那里恶意盗取信息。
    拒绝服务攻击,英文名称是Denial of Service,简称DOS,即拒绝服务,造成其攻击行为被称为DoS攻击,其目的是使计算机或网络无法提供正常的服务。最常见的DoS攻击有计算机网络带宽攻击和连通性攻击。带宽攻击指以极大的通信量冲击网络,使得所有可用网络资源都被消耗殆尽, 最后导致合法的用户请求无法通过。
    SQL注入攻击是黑客对数据库进行攻击的常用手段之一。随着B/S模式应用开发的发展,使用这种模式编写应用程序的程序员也越来越多。但是由于程序员的水平及经验也参差不齐,相当大一部分程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据,这就是所谓的SQL Injection,即SQL注入。
    (4)(5)AC
    因为是源主机一直在发起连接,所以是在源主机上安装杀毒软件并进行查杀。
    已经定位到是某台主机出现问题,没必要使用漏洞扫描设备进行扫描。同时把URL加入上网行为管理的黑名单,以禁止主机访问该网站。
     【问题3】
    (6)题目中要求配置vpn对接之后需要互访的网段,即配置感兴趣流
    本地子网和本地掩码指的是本端访问对端的网段,对方子网和对方掩码指的是对端来访问本端的网段。同时题目中指出仅允许A的备份服务器和业务服务器和总部的备份服务器通信。
    所以本地网段是10.0.35.0/30,而对端网段是主机10.0.86.200/32
    【问题4】
    见答案


     

第 3 题

(经典试题,请认真学习)
阅读以下说明,回答问题1至问题3,将解答填入答题纸对应的解答栏内。
【说明】
某公司网络划分为两个子网,其中设备A是DHCP服务器,如图3-1所示。

【问题1】(6分,每空2分)
DHCP在分配IP地址时使用( 1 )的方式, 而此消息不能通过路由器,所以子网2中的客户端要自动获得IP地址,不能采用的方式是( 2 )。 DHCP服务器向客户端出租的IP地址一般有一个租借期限,在使用租期过去( 3 )时, 客户端会向服务器发送DHCP REQUEST报文延续租期。
(1)备选答案:
A.单播
B.多播
C.广播
D.组播
(2)备选答案:
A.子网2设置DHCP服务器
B.使用三层交换机作为DHCP中继
C.使用路由器作为DHCP中继
D. IP代理
(3)备选答案:
A.25%
B.50%
C.75%
D.87.5%
【问题2】(5分,每空1分)
在设置DHCP服务时,应当为DHCP添加( 4 )个作用域。子网1按照图3-2添加作用域,其中子网掩码为( 5 ), 默认网关为( 6 )。在此作用域中必须排除某个IP地址,如图3-3所示,其中“起始IP地址”处应填写( 7 )。 通常无线子网的默认租约时间为( 8 )
(8)备选答案:
A.8天
B.6天
C.2天
D.6或8小时


【问题3】(4分,每空2分)
如果客户机无法找到DHCP服务器,它将从 (9) 网段中挑选一个作为自己的 IP地址,子网掩码为( 10 )
(9)备选答案:
A.192.168.5.0
B.172.25.48.0
C.169.254.0.0
D.0.0.0.0

答案与解析

  • 试题难度:容易
  • 知识点:案例分析>DHCP服务配置
  • 试题答案:【问题1】
    (1)C
    (2)D
    (3)B
     
    【问题2】
    (4)2
    (5)255.255.255.0
    (6)192.168.5.254
    (7)192.168.5.20
    (8)D
     
    【问题3】
    (9)C
    (10)255.255.0.0
     

  • 试题解析:【问题1】
    (1)A或C(此题有争议),部分书本是描述dhcp的4个过程全是广播包。但是有些描述是服务器以单播回应。根据RFC文档,服务器回应数据包时,以单播还是广播回应取决于数据包中的bootp flag字段是否置1。
    (2)D代理IP可以用来隐藏真实IP,类似于NAT,访问网站是通过代理服务器来做一个中转,所以目标服务器只能看到代理服务器的IP地址
    (3)B客户端主机获取到ip后,当租约到达50%,会向服务器发送dhcp request报文延续租期。
    【问题2】
    (4)图中有2个子网,需要给2个子网分配ip地址。所以需要2个作用域
    (5)可以从图3-1中看出子网A的掩码是24位,所以子网掩码是255.255.255.0
    (6)默认网关是路由器的接口192.168.5.254
    (7)分配ip的范围为192.168.5.15—192.168.5.200,dhcp服务器的ip192.168.5.20在这个范围内,所以需要排除掉这个地址
    (8)通过无线获取的ip地址,租约一般以小时为单位
    【问题3】
    (9)(10)当获取不到ip时,会自动获取一个169.254.0.0/16网段中的地址

     


第 4 题

(经典试题,请认真学习)
</div>阅读以下说明,回答问题1至问题3,将解答填入答题纸对应的解答栏内。
【说明】
某企业的网络结构如图4-1所示。企业使用双出口,其中ISP1是高速链路,网关为202.100.1.2, ISP2 是低速链路,网关为104.114.128.2。

【问题1】(13分,每空1分)
公司内部有两个网段,192.168.1.0/24 和192.168.2.0/24, 使用三层交换机SwitchB实现VLAN间路由。为提高用户体验,网络管理员决定带宽要求较高的192.168.1.0 网段的的数据通过高速链路访问互联网,带宽要求较低的192.168.2.0网段的数据通过低速链路访问互联网。请根据描述,将以下配置代码补充完整。
[SwitchB] acl 3000
[SwitchB-acl-adv-3000] rule permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255
[SwitchB-acl-adv-3000] rule permit ip source 192.168.2.0 0.0.0.255 destination 192.168.1.0 0.0.0.255
[SwitchB-acl-adv-3000] quit
[SwitchB] acl 3001      //匹配内网192. 168.1.0/24网段的用户数据流
[SwitchB-acl-adv-3001] rule permit ip source( 1 )0.0.0.255
[SwitchB acl-adv-3001] quit
[SwitchB] acl 3002     //匹配内网192.168.2.0/24 网段的用户数据流
[SwitchB-acl-adv-3002] rule permit ip( 2 )192.168.2.0 0.0.0.255
[SwitchB-acl-adv-3002] quit
[SwitchB] traffic classifier c0 operator or
[SwitchB-classifier-c0]( 3 )acl 3000
[SwitchB-classifer-c0] quit
[SwitchB] traffic classifier c1 ( 4 ) or
[SwitchB-classifier-c1] if-match acl 3001
[SwitchB-classifer-c1] quit
[SwitchB] traffic classifier c2 operator or
[SwitchB-classifer-c2] if-match acl( 5 )
[SwitchB-classfer-c2]( 6 ) 
[SwitchB] traffic behavior b0
[SwitchB-behavior-b0]( 7 )
[SwitchB-behavior-b0] quit
[SwitchB] traffic behavior b1
[SwitchB-behavior-b1] redirect ip-nexthop( 8 )
[SwitchB-behavior-b1] quit
[SwitchB] traffic behavior b2
[SwitchB-behavior-b2] redirect ip-nexthop( 9 )
[SwitchB-behavior-b2] quit
[SwitchB] traffic policy p1
[SwitchB-trafficpolicy-p1] classifier c0 behavior( 10 )
[SwitchB-trafficpolicy-p1] classifier c1 behavior( 11 )
[SwitchB-trafficpolicy-p1] classifier c2 behavior b2
[SwitchB-trafficpolicy-p1] quit
[SwitchB] interface ( 12 )
[SwitchB-GigabitEthenet0/0/3] traffic-policy pl( 13 )
SwitchB-GigabitEthernet0/0/3] return
【问题2】(2分)
在问题1的配置代码中,配置ACL 3000的作用是:( 14 )
【问题3】(5分,每空1分)
公司需要访问Intermet公网,计划通过配置NAT实现私网地址到公网地址的转换,ISP1公网地址范围为202.100.1.1~202.100.1.5 ;ISP2 公网地址范围为104.114.128.1~104.114.128.5。
请根据描述,将下面的配置代码补充完整。
.....
[SwitchB]nat address-group 0 202.100.1.3 202.100.1.5
[SwitchB]nat address-group 1 104.114.128.3 104.114.128.5
[SwitchB]acl number 2000
[SwitchB-acl-basic-2000]rule 5 ( 15 )source 192.168.1.0 0.0.0.255
[SwitchB]acl number 2001
[SwitchB-acl-basic-2001]rule 5 permit source 192.168.2.0 0.0.0.255
[SwitchB]interface GigabitEthernet0/0/3
[SwitchB-GigabitEthernet0/0/3]nat outbound( 16 )address group 0 no-pat
[SwitchB-GigabitEthernnet0/0/3]nat outbound( 17 )address group 1 no-pat
[SwitchB-GigabitEthernet0/0/3]quit
[SwitchB] ip route-static 192.168.1.0 255.255.255.0( 18 )
[SwitchB] ip route-static 192.168.2.0 

255.255.255.0  ( 19 )
……

答案与解析

  • 试题难度:一般
  • 知识点:网络设备配置>访问控制列表ACL
  • 试题答案:
    【问题1】
    (1)192.168.1.0      (2)Source       (3)If-match        (4)Operator        (5)3002        (6)Quit       (7)Permit
    (8)202.100.1.1      (9)104.114.128.1       (10)b0    (11)b1        (12)Gigabitethernet0/0/3    (13)Inbound
    【问题2】
    (14)过滤出内网需要互访的流量,允许其通过
    【问题3】
    (15)Permit       (16)2000        (17)2001        (18)G0/0/3       (19)G0/0/3


  • 试题解析:
    【问题1】
    (1)由题知,是过滤出内网192.168.1.0/24的流量
    (2)和上一空语句类似,内网作为源
    (3)定义流分类,设置匹配
    (4)Operator是可选参数,按照下面语句照抄即可
    (5)该流分类匹配acl3002
    (6)Quit退出到系统视图
    (7)定义流行为为允许permit
    (8)定义流行为,该语句指代设置下一跳
    (9)同8问类似
    (10)将流分类和流行为关联起来,组成流策略
    (11)同10问类似
    (12)进入到g0/0/3接口
    (13)在接口入方向调用该策略
    【问题2】
    同答案
    【问题3】
    (15)做nat转换,通过基本acl把内网流量过滤出来
    (16)将acl表和地址池关联起来
    (17)和16问类似
    (18)(19)设置静态路由,指向内网的流量从接口G0/0/3出去

results matching ""

    No results matching ""