201811网工下午真题

第 1 题

【问题1】(8分，每空2分)
以Switch3为例配置接入层交换机，补充下列命令片段。
<HUAWEI>( 1 )
[HUAWEI] sysname Switch3
[Switch3] vlan batch( 2 )
[Switch3] interface GigabitEthernet 0/0/3
[Switch3-GigabitEthernet0/0/3] port link-type( 3 )
[Switch3-GigabitEthernet0/0/3] port trunk allow-pass vlan 10 20
[Switch3-GigabitEthernet0/0/3] quit
[Switch3] interface GigabitEthernet 0/0/1
[Switch3-GigabiEthernet0/0/1] port link-type( 4 )
[Switch3-GigabitEthernet0/0/1] port default vlan 10
[Switch3-GigabitEthernet/0/1] quit
[Switch3] stp bpdu-protection
【问题2】 (8分,每空2分)
以Switch1为例配置核心层交换机，创建其与接入交换机、备份设备以及出口路由器的互通VLAN,补充下列命令。

<HUAWEI>system-view
[HUAWEI] sysname Switch1
[Switchl] vlan batch( 5 )
[Switch1] interface GigabitEthernet/0/1
[Switchl-GigabitEthernet0/0/1] port link-type trunk
[Switchl-GigabitEthernet0/0/1] port trunk allow-pass( 6 )
[Switch1-GigabitEthernet0/0/1] quit
[Switch1] interface Vlanif 10
[Switch1-Vlanif10] ip address 192.168.10.1 24
[Switch1-Vlanif10] quit
[Switch1] interface Vlanif 20
[Switch1-Vlanif20] ip address 192.168.20.1 24
[Switch1-Vlanif20] quit
[Switchl] interface GigabitEthernet 0/0/7
[Switchl-GigabitEthernet0/0/7] port link-type trunk
[Switch1-GigabitEthernet0/0/7] port trunk allow-pass vlan 100
[Switch1-GigabitEthernet0/0/7] quit
[Switch1] interface Vlanif 100
[Switch1-Vlanif100] ip address( 7 )
[Switch1-Vlanif100] quit
[Switch1] interface Gigabitethernet 0/0/5
[Switch1-GigabitEthernet0/0/5] port link-type access
[Switch1-GigabitEthernet0/0/5] port default vlan 300
[Switchl-GigabitEthernet0/0/5] quit
[Switch1 interface Vlanif 300
[Switchl-Vlanif300] ip address( 8 )
[Switchl-Vlanif300] quit
【问题3】(4 分，每空2分)
如果配置静态路由实现网络互通，补充在Switch1和Router上配置的命令片段。
[Switchl] ip route-static( 9 )//默认优先级
[Switchl] ip route-static 0.0.0.0 0.0.0.0 172.16.30.2 preference 70
 
[Router] ip route-static( 10 )//默认优先级
[Router] ip route-static 192.168.10.0 255.255.255.0 172.16.10.1
[Router] ip route-static 192.168.10.0 255.255.255.0 172.16.20.1 preference70
[Router] ip route-static 192.168.20.0 255.255.255.0 172.16.10.1
[Router] ip route-static 192.168.20.0 255.255.255.0 172.16.20.1 preference70</huawei>

答案与解析

• 试题难度：较难
• 知识点：案例分析>VLAN
• 试题答案：【问题1】
  （1）system-view
  （2）10  20
  （3）Trunk
  （4）Access
   
  【问题2】
  （5）10 20 30 100 300
  （6）vlan all或vlan 10 20
  （7）172.16.10.1  24
  （8）172.16.30.1  24
   
  【问题3】
  （9）0.0.0.0  0.0.0.0  172.16.10.2
  （10）0.0.0.0  0.0.0.0  202.101.111.1
  
  
• 试题解析：【问题1】
  （1）system-viem进入系统视图
  （2）创建vlan10和vlan20
  （3）设置接口为trunk口
  （4）设置接口为access口
  【问题2】
  （5）批量创建vlan10、20、30、100、300
  （6）设置允许的vlan通过
  （7）设置vlan100的接口ip
  （8）设置vlan300的接口ip
  【问题3】
  （9）设置的是核心交换机的默认路由，正常情况下直接发往路由器的g0/0/1接口，当链路出现问题，才把数据包发往switch2
  （10）在路由器上设置默认路由，下一跳指向互联网接口即公网网关202.101.111.1
   
  
  
  

第 2 题

【问题1】(4分，每空2分)
网络威胁会导致非授权访问、信息泄露、数据被破坏等网络安全事件发生，其常见的网络威胁包括窃听、拒绝服务、病毒、木马、( 1 )等， 常见的网络安全防范措施包括访问控制、审计、身份认证、数字签名、( 2 )、 包过滤和检测等。
(1)备选答案:
A.数据完整性破坏
B.物理链路破坏
C.存储介质破坏
D.电磁干扰
(2)备选答案:
A.数据备份
B.电磁防护
C.违规外联控制
D.数据加密
【问题2】(6分，每空2分)
某天，网络管理员在入侵检测设备.上发现图2-2所示网络威胁日志，从该日志可判断网络威胁为( 3 )， 网络管理员应采取( 4 )、( 5 )等合 理有效的措施进行处理。

(3)备选答案:
A.跨站脚本攻击
B.拒绝服务
C.木马
D.sql注入
 (4)~(5)备选答案:
A.源主机安装杀毒软件并查杀
B.目标主机安装杀毒软件并查杀
C.将上图所示URL加入上网行为管理设备黑名单
D.将上图所示URL加入入侵检测设备黑名单
E.使用漏洞扫描设备进行扫描
【问题3】(4分，每空1分)
A公司为保障数据安全，同总部建立ipsecVPN隧道，定期通过A公司备份服务器向公司总部备份数据，仅允许A公司的备份服务器、业务服务器和公司总部的备份服务器通讯，图2-3为A公司防火墙创建VPN隧道第二阶段协商的配置页面，请完善配置。其中，本地子网:( 6 )、 本地掩码:( 7 )、 对方子网:( 8 )、 对方掩码:( 9 )。

【问题4】(6分)
根据业务发展，购置了一套存储容量为30TB的存储系统，给公司内部员工每人配备2TB的网盘，存储管理员预估近-年内，员工对网盘的平均使用空间不超过200GB,为节省成本，启用了该存储系统的自动精简(Thin provisioning不会一次性 全部分配存储资源，当存储空间不够时，系统会根据实际所需要的容量,从存储池中多次少量的扩展存储空间)配置功能，为100个员工提供网盘服务。
请简要叙述存储管理员使用自动精简配置的优点和存在的风险。

答案与解析

• 试题难度：一般
• 知识点：案例分析>网络攻击防治
• 试题答案：【问题1】
  （1）A数据完整性破坏
  （2）D数据加密
   
  【问题2】
  （3）C木马
  （4）A源主机安装杀毒软件并查杀
  （5）C将上图所示URL加入上网行为管理设备黑名单
   
  【问题3】
  （6）10.0.35.0
  （7）255.255.255.252
  （8）10.0.86.200
  （9）255.255.255.255
   
  【问题4】
  自动精简配置（Thin Provisioning），可以为客户虚拟出比实际物理存储更大的虚拟存储空间，为用户提供存储超分配的能力。只有写入数据的虚拟存储空间才能真正分配到物理存储，未写入的虚拟存储空间不占用物理存储资源。可以帮助客户大幅降低存储的初始投资成本。
  进行自动精简配置最大的问题就是有可能出现实际空间不足的情况。所以在自动精简配置中监控容量的是十分重要的
   
  
  
• 试题解析：【问题1】
  （1）常见的外部威胁
  病毒、蠕虫和特洛伊木马 - 在用户设备上运行的恶意软件和任意代码
  间谍软件和广告软件 - 用户设备上安装的软件，秘密收集关于用户的信息
  零日攻击（也称零小时攻击） - 在出现漏洞的第一天发起的攻击
  黑客攻击 - 由经验丰富的人员对用户设备或网络资源发起的攻击
  拒绝服务攻击 - 意图使网络设备上的应用和进程减缓或崩溃的攻击
  数据拦截和盗窃 - 通过公司网络捕获私人信息的攻击
  身份盗窃 - 窃取用户的登录凭据来访问私人数据的攻击
  破坏数据完整性-数据被人为修改
   （2）题目问的是网络安全方面的防护，四个选项中只有数据加密涉及到网络安全。
  【问题2】
  （3）从图中可以看出源主机始终是10.0.36.249，一直在访问相同的目的主机和网页。说明这台主机可能中了病毒。
  跨站脚本攻击（也称为XSS）指利用网站漏洞从用户那里恶意盗取信息。
  拒绝服务攻击，英文名称是Denial of Service，简称DOS，即拒绝服务,造成其攻击行为被称为DoS攻击，其目的是使计算机或网络无法提供正常的服务。最常见的DoS攻击有计算机网络带宽攻击和连通性攻击。带宽攻击指以极大的通信量冲击网络，使得所有可用网络资源都被消耗殆尽, 最后导致合法的用户请求无法通过。
  SQL注入攻击是黑客对数据库进行攻击的常用手段之一。随着B/S模式应用开发的发展，使用这种模式编写应用程序的程序员也越来越多。但是由于程序员的水平及经验也参差不齐，相当大一部分程序员在编写代码的时候，没有对用户输入数据的合法性进行判断，使应用程序存在安全隐患。用户可以提交一段数据库查询代码，根据程序返回的结果，获得某些他想得知的数据，这就是所谓的SQL Injection，即SQL注入。
  （4）（5）AC
  因为是源主机一直在发起连接，所以是在源主机上安装杀毒软件并进行查杀。
  已经定位到是某台主机出现问题，没必要使用漏洞扫描设备进行扫描。同时把URL加入上网行为管理的黑名单，以禁止主机访问该网站。
   【问题3】
  （6）题目中要求配置vpn对接之后需要互访的网段，即配置感兴趣流
  本地子网和本地掩码指的是本端访问对端的网段，对方子网和对方掩码指的是对端来访问本端的网段。同时题目中指出仅允许A的备份服务器和业务服务器和总部的备份服务器通信。
  所以本地网段是10.0.35.0/30，而对端网段是主机10.0.86.200/32
  【问题4】
  见答案
  
  
   
  
  

第 3 题

【问题1】(6分，每空2分)
DHCP在分配IP地址时使用( 1 )的方式， 而此消息不能通过路由器，所以子网2中的客户端要自动获得IP地址，不能采用的方式是( 2 )。 DHCP服务器向客户端出租的IP地址一般有一个租借期限，在使用租期过去( 3 )时, 客户端会向服务器发送DHCP REQUEST报文延续租期。
(1)备选答案:
A.单播
B.多播
C.广播
D.组播
(2)备选答案:
A.子网2设置DHCP服务器
B.使用三层交换机作为DHCP中继
C.使用路由器作为DHCP中继
D. IP代理
(3)备选答案:
A.25%
B.50%
C.75%
D.87.5%
【问题2】(5分，每空1分)
在设置DHCP服务时，应当为DHCP添加( 4 )个作用域。子网1按照图3-2添加作用域，其中子网掩码为( 5 )， 默认网关为( 6 )。在此作用域中必须排除某个IP地址，如图3-3所示，其中“起始IP地址”处应填写( 7 )。 通常无线子网的默认租约时间为( 8 )
(8)备选答案:
A.8天
B.6天
C.2天
D.6或8小时


【问题3】(4分，每空2分)
如果客户机无法找到DHCP服务器，它将从 (9) 网段中挑选一个作为自己的 IP地址，子网掩码为( 10 )。
(9)备选答案:
A.192.168.5.0
B.172.25.48.0
C.169.254.0.0
D.0.0.0.0

答案与解析

• 试题难度：容易
• 知识点：案例分析>DHCP服务配置
• 试题答案：【问题1】
  （1）C
  （2）D
  （3）B
   
  【问题2】
  （4）2
  （5）255.255.255.0
  （6）192.168.5.254
  （7）192.168.5.20
  （8）D
   
  【问题3】
  （9）C
  （10）255.255.0.0
   
  
  
• 试题解析：【问题1】
  （1）A或C（此题有争议），部分书本是描述dhcp的4个过程全是广播包。但是有些描述是服务器以单播回应。根据RFC文档，服务器回应数据包时，以单播还是广播回应取决于数据包中的bootp flag字段是否置1。
  （2）D代理IP可以用来隐藏真实IP，类似于NAT，访问网站是通过代理服务器来做一个中转，所以目标服务器只能看到代理服务器的IP地址
  （3）B客户端主机获取到ip后，当租约到达50%，会向服务器发送dhcp request报文延续租期。
  【问题2】
  （4）图中有2个子网，需要给2个子网分配ip地址。所以需要2个作用域
  （5）可以从图3-1中看出子网A的掩码是24位，所以子网掩码是255.255.255.0
  （6）默认网关是路由器的接口192.168.5.254
  （7）分配ip的范围为192.168.5.15—192.168.5.200，dhcp服务器的ip192.168.5.20在这个范围内，所以需要排除掉这个地址
  （8）通过无线获取的ip地址，租约一般以小时为单位
  【问题3】
  （9）（10）当获取不到ip时，会自动获取一个169.254.0.0/16网段中的地址
  
   
  
  
  

第 4 题

（经典试题，请认真学习）

</div>阅读以下说明，回答问题1至问题3,将解答填入答题纸对应的解答栏内。
【说明】
某企业的网络结构如图4-1所示。企业使用双出口，其中ISP1是高速链路，网关为202.100.1.2, ISP2 是低速链路，网关为104.114.128.2。

255.255.255.0  ( 19 )
……

答案与解析

• 试题难度：一般
• 知识点：网络设备配置>访问控制列表ACL
• 试题答案：
  【问题1】
  
  （1）192.168.1.0      （2）Source       （3）If-match        （4）Operator        （5）3002        （6）Quit       （7）Permit
  （8）202.100.1.1      （9）104.114.128.1       （10）b0    （11）b1        （12）Gigabitethernet0/0/3    （13）Inbound
  【问题2】
  （14）过滤出内网需要互访的流量，允许其通过
  【问题3】
  （15）Permit       （16）2000        （17）2001        （18）G0/0/3       （19）G0/0/3
  
  
  
• 试题解析：
  【问题1】
  
  （1）由题知，是过滤出内网192.168.1.0/24的流量
  （2）和上一空语句类似，内网作为源
  （3）定义流分类，设置匹配
  （4）Operator是可选参数，按照下面语句照抄即可
  （5）该流分类匹配acl3002
  （6）Quit退出到系统视图
  （7）定义流行为为允许permit
  （8）定义流行为，该语句指代设置下一跳
  （9）同8问类似
  （10）将流分类和流行为关联起来，组成流策略
  （11）同10问类似
  （12）进入到g0/0/3接口
  （13）在接口入方向调用该策略
  【问题2】
  同答案
  【问题3】
  （15）做nat转换，通过基本acl把内网流量过滤出来
  （16）将acl表和地址池关联起来
  （17）和16问类似
  （18）（19）设置静态路由，指向内网的流量从接口G0/0/3出去