试题一(20分)
阅读以下说明,回答问题1至问题4,将解答填入答题纸对应的解答栏内。
【说明】
某企业办公楼网络拓扑如图1-1所示。该网络中交换机Switch1-Switch4均是二层设备,分布在办公楼的各层,上联采用千兆光纤。核心交换机、防火墙、服务器部署在数据机房,其中核心交换机实现冗余配置。
【问题1】(4分)
该企业办公网络采用172.16.1.0/25地址段,部门终端数量如表1-1所示,请将网络地址规划补充完整。
部门 | 终端数量 | 可配置IP地址范围 | 子网掩码 |
A | 8 | 172.16.1.1~172.16.1.14 | (1) |
B | 12 | (2) | 28 |
C | 30 | (3) | 27 |
D | 35 | 172.16.1.65~172.16.1.126 | (4) |
表1-1
【问题2】(6分)
(1)简要说明图1-1中干线布线与水平布线子系统分别对应的区间。
(2)在网络线路施工中应遵循哪些规范?(至少回答4点)
【问题3】(6分)
若将PC-1、PC-2划分在同一个VLAN进行通信,需要在相关交换机上做哪些配置?在配置完成后应检查哪些内容?
【问题4】(4分)
(1)简要说明该网络中核心交换机有哪几种冗余配置方式。
(2)在该网络中增加终端接入认证设备,可以选择在接入层、核心层或者DMZ区部署。请选择最合理的部署区域并说明理由。
【参考答案】
【问题1】
(1)28
(2)172.16.1.17-172.16.1.30
(3)172.16.1.33-172.16.1.62
(4)26
解释:本题考查子网划分知识点。根据部门D的终端数量及可用IP地址范围,可判断使用的子网是通过在172.16.1.0/25中借主机位1位得到的子网17216164/26故(4)为26;另一个子网172.16.1.0/26再次借主机位1位得到的子网172.16.1.0/27和172.16.1.32/27,其中172.16.1.32/27分配给部门C,其可用IP地址为172.16.1.33-172.16.1.62故(3)为172.16.1.33-172.16.1.62,另一个子网172.16.1.0/27再次借主机位1位得到的子网172.16.1.0/28和172.16.1.16/28其中子网172.16.1.0/28分配给部门A,172.16.1.16/28分配给部门B,故(1)为28。(2)为172.16.1.17-172.16.1.30。
【问题2】
(1)①干线子系统:核心交换机链接到各楼层交换机之间的布线②水平布线子系统:各楼层交换机链接到对应楼层工作区信息点的布线。
(2)①水平子双绞线系统应不超过90米,工作区线缆应不超过10米②强电和弱点应该分开部署,并保持适当距离③缆线应远离高温和电磁干扰的场地④线缆两端应贴有清晰、正确、可认的标签。
【问题3】
1、在核心交换机、Switch2和Switch3上创建对应的VLAN;
2、在Switch2和Switch3上配置连接到PC-1和PC-2的接口为access模式,并加入到VLAN中;
3、各交换机之间的接口设置为Trunk 模式,允许VLAN报文通过。
配置完成后检查内容
1、通过display mac-address-table查看是否学习到了相应的MAC地址
2、测试PC1和PC2是否能互相ping通,通过arp-a查看是否学习到arp表项
3、在交换机上display vlan breif,查看van是否创建成功,van划分是否成功
【问题4】
- VRRP、堆叠、M-LAG
(2)核心层。理由:带宽大、集中部署,方便获取所有用户的认证流量
试题二(20分)
阅读以下说明,回答问题1至问题4,将解答填入答题纸对应的解答栏内。
【说明】
某企业网络拓扑如图2-1所示,该企业通过两个不同的运营商(ISP1和ISP2)接入Internet,内网用户通过NAT访问Internet。公网用户可通过不同的ISP访问企业内部的应用。
图2-1
【问题1】(6分)
为充分利用两个运营商的带宽,请提供至少4种多出口链路负载策略。
【问题2】(6分)
内网服务器Server需对外发布提供服务,互联网用户可通过ISP1、ISP2来访问,Server的服务端口为TCP 9980。
请根据以上需求配置安全策略,允许来自互联网的用户访问Server提供的服务。
[USG]security-policy
[USG-policy-security]rule name http
[USG-policy-security-rule-http]source-zone ISP1
[USG-policy-security-rule-http]source-zone ISP2
[USG-policy-security-rule-http]destination-zone trust
[USG-policy-security-rule-http]destination-address (1)
[USG-policy-security-rule-http]service protocol (2) destination-port (3)
[USG-policy-security-rule-http]action (4)
[USG-policy-security-rule-http]quit
【问题3】(4分)
经过一段时间运行,经常有互联网用户反映访问Server的服务比较慢。经过抓包分析发现部分应用请求报文和服务器的回应报文经过的不是同一个ISP接口。请分析原因并提供解决方法。
【问题4】(4分)
企业网络在运行了一段时间后,网络管理员了一个现象:互联网用户通过公网地址可以正常访问Server,内网用户也可以通过内网地址正常访问Server,但内网用户无法通过公网地址访问Server,经过排查,安全策略配置都正确。请分析造成该现象的原因并提供解决方案。
【参考答案】
【1】
1、匹配ISP的策略
2、基于源IP地址的策略路由
3、基于目标IP地址的策略路由
4、基于流量的负载均衡策略
5、基于应用的策略路由
6、基于链路优先级负载均衡
7、NAT策略负载分担
【2】
(1)10.10.10.10
(2)tcp
(3)9980
(4)permit
【3】
原因:互联网用户访问内网服务器的流量出现来回路径不一致导致;
解决方法:配置双出口环境下不同ISP的公网用户通过一个公网IP地址访问内部服务器的“源进源出”功能和默认网关。
【4】
原因:防火墙没有配置内网到内网区域的的源NAT策略
解决方案:增加配置内网到内网区域的源NAT策略。
试题三(20分)
阅读以下说明,回答问题1至问题3,将解答填入答题纸对应的解答栏内。
图3-1为某公司网络骨干路由拓扑片段(分部网络略),公司总部与分部之间运行BGP获得路由,路由器RA、RB、RC以及RD之间配置iBGP建立邻居关系,RC和RD之间配置OSPF进程。所有路由器接口地址信息如图所示,假设各路由器已经完成各个接口IP等基本信息配置。
图3-1
【问题1】(2分)
按图3-1所示配置完成BGP和OSPF路由相互引入后,可能会出现路由环路,请分析产生路由环路的原因。
【问题2】(10分)
要求:配置BGP和OSPF基本功能(以RA和RB为例),并启用RC和RD之间的认证,以提升安全性。
补全下列命令完成RA和RB之间的BGP配置:# RA启用BGP,配置与RB的IBGP对等体关系
[RA]bgp 100
[RA-bgp]router-id 10.11.0.1
[RA-bgp]peer 10.12.0.2 as-number(1)
[RA-bgp]ipv4-family unicast //进入BGP-IPv4单播地址族视图
[RA-bgp-af-ipv4]peer(2)enable
[RA-bgp]quit
#RB启用BGP,配置与RA、RC和RD的IBGP对等体关系。
[RB]bgp 100
[RB-bgp]router-id 10.22.0.2
[RB-bgp]peer(3)as-number 100 #配置与RA的对等关系
……#其它配置省略
#配置RC和RD的OSPF功能(以RC为例),并启用OSPF认证
[RC]ospf 1 router-id 10.33.0.3
[RC-ospf-1] area 0
[RC-ospf-1-area-0.0.0.0]network(4)
#发布财务专网给RD,其它省略
[RC-ospf-1-area-0.0.0.0]authentication-modesimple ruankao
[RC-ospf-1]quit
(5)OSPF认证方式有哪些?上述命令中配置RC的为哪种?
(6)如果将命令authentication-mode simple ruankao替换为
authentication--mode simple plain ruankao,则两者之间有何差异?
【问题3】(8分)
要求:配置BGP和OSPF之间的相互路由引入并满足相应的策略,配置路由环路检测功能。
[RC-ospf-1]import-route bgp permit-ibgp #该命令的作用是(7)
……#其它配置省略
#配置RD的BGP引入OSPF路由,并配置路由策略禁止发布财务专网的路由给BGP。
[RD]acl number 2000 #配置编号为2000的ACL,禁止10.10.10.0/24通过
[RD-acl-basic-2000]rule deny source (8)0.0.0.255
[RD-acl-basic-2000]quit
[RD]route-policy rp #配置名为rp的路由策略
[RD-route-policy]if-match acl(9)
[RD-route-policy]quit
[RD]bgp 100
[RD-bgp]ipv4-family unicast
[RD-bgp-af-ipv4]import-route ospf 1(10)
[RD-bgp]quit
#以RA为例,启用BGP环路检测功能。
[RA]route (11) bgp enable
【参考答案】
【1】由于RD将OSPF引入到BGP路由器后,会通过BGP协议更新给RB再到RCRC又将 BGP引入回OSPF协议中,循环的路由引入可能会导致特定情况下的路由环路产生。
路由器RD将OSPF引入到BGP后,由于OSPF协议优先级高BGP,OSPF路由可以通过路由引入的方式在BGP进程进行重发布。
【2】
(1)100
(2)10.12.0.2
(3)10.12.0.1
(4)10.34.0.4 0.0.0.0或10.34.0.0 0.0.0.255
(5)OSPF认证有接口认证和区域认证RC配置的是区域认证。
(6)将默认的密文口令类型改为明文口令类型。
【3】
(7)配置RD的OSPF引入BGP路由
(8)10.10.10.0
(9)2000
(10)route-policy rp
(11)loop-detect
试题四(15分)
阅读以下说明,回答问题1至间题3,将解答填入答题纸对应的解答栏内。
【说明】某公司网络拓扑如图4-1所示。
图4-1
【问题1】(10分)
公司计划在R1、R2、R3上运行RIP,保证网络层相互可达。接口IP地址配置如表4-1所示。请将下面的配置代码补充完整。
设备 | 接口 | IP地址 | 子网掩码 |
R1 | G0/0/0 | 10.0.1.254 | 255.255.255.252 |
G0/0/1 | 10.0.1.250 | 255.255.255.252 | |
G0/0/2 | 100.1.1.1 | 255.255.255.0 | |
R2 | G0/0/0 | 10.0.1.249 | 255.255.255.252 |
G0/0/1 | 10.0.1.246 | 255.255.255.252 | |
G0/0/2 | 10.0.2.254 | 255.255.255.0 | |
R3 | G0/0/0 | 10.0.1.253 | 255.255.255.252 |
G0/0/1 | 10.0.1.245 | 255.255.255.252 | |
G0/0/2 | 10.0.3.254 | 255.255.255.0 |
[HUAWEl](1)
[HUAWEl]sysname(2)
[R1] interface GigabitEthernet 0/0/0
[R1-GigabitEthernet 0/0/0]ip address 10.0.1.254 255.255.255.252
[R1-GigabitEthemet 0/0/0]interface GigabitEthernet0/0/1
[R1-GigabitEthernet 0/0/1]ip address(3)255.255.255.252
[R1-GigabitEthernet 0/0/2]interface GigabitEthernet0/0/2
[R1-GigabitEthernet 0/0/2]ip address 100.1.1.1 255.255.255.0
[R1-GigabitEthernet 0/0/2]quit
[R1]rip
[R1-ip-1](4)
[R1-rip-2]undo summary
[R1-rip-2]network (5)
[R1-rip-2]network 100.0.0.0
……
R2、R3的RIP配置略
……
【问题2】(3分)
公司计划在R2和R3的链路上使用RIP与BFD联动技术,采用BFD echo报文方式实现当链路出现故障时,BFD能够快速感知并通告RIP协议。
请将下面的配置代码补充完整。
[R2]interface gigabitethernet(6)
[R2-GigabitEthernet0/0/1]undo (7) #关闭接口GE0/0/1的二层转发特性
[R2-GigabitEthernet0/0/1]rip bfd (8) #使能接口GE0/0/1的静态BFD特性
【问题3】(2分)
公司通过R1连接Internet,为公司提供互联网访问服务,在R1上配置了静态路由向互联网接口,为了使网络均能够访问互联网,需通过RIP将该静态路由进行重分布。将下面的配置代码补充完整。
[R1-rip-2]default-route (9)
参考答案
(1]system-view
(2)R1
(3)10.0.1.250
(4)rp 2或version 2(题目存在争议)
(5)10.0.0.0
(6)0/0/1
(7)Port switch
(8)static
(9)originate