网络工程师--网络安全与应用案例分析

前言
需要网络安全学习资料的点击链接：【282G】网络安全&黑客技术零基础到进阶全套学习大礼包，免费分享！
案例一：

某单位现有网络拓扑结构如下图所示，实现用户上网功能，该网络使用的网络交换机均为三层设备，用户地址分配为手动指定

案例分析一：

路由器AR2200的GE0/0/1接口地址为内网地址，为确保内部用户访问Internet，需要在该设备配置（1）

答（1）NAT

解析：NAT是网络地址转换，可以把多个内网私有地址转换到1个或少量外部公网地址上，使内网用户可以访问Internet，并且节省大量公网IP，只需给路由器设备AR2200配置NAT功能即可实现，应填写NAT

案例分析二：

网络中增加三个摄像头，分别接入SwitchA、SwitchB、SwitchC，在调试时，测试网络线路可以使用（2）

如果将计算机PC3用于视频监控管理，并且视频监控系统与内网的其他计算机逻辑隔离，需要在内网交换机上配置（3），内网用户的网关在交换机SwitchA上，网关地址需要设置在（4），最少需要配置（5）个网关地址，在不增加专用存储设备的情况下，可以将视频资料存储在（6）

答：（2）测线器

解析：测线器也叫查线器，用于追踪弱电状态下的所有金属线缆，并且能在连接任何交换机、路由器、PC终端的情况下直接找线；用于判断线路状态，识别线路故障；是网络安装、维护的实用性工具

（3）VLAN

解析：VLAN虚拟局域网，把物理上形成的局域网划分成不同的逻辑子网，把数据链路层广播报文隔离在逻辑子网之内，形成各自的广播域，每个逻辑子网就是一个VLAN，可将视频监控系统单独划分一个VLAN，把视频监控业务和其他办公业务分开管理，此处应填VLAN

（4）逻辑接口上

解析：SwitchA作为核心交换机，根据题意“视频监控系统与内网的其他计算机逻辑隔离”意思是需要划分2个VLAN，一个给视频监控用，另一个给内网其他用户用，每个需要配置一个VLANIF接口IP地址，分别作为视频监控、内网用户的网关，所有应配置在SwitchA上的VLANIF逻辑接口上，需要配置两个网关地址，视频监控和内网用户的网关

（5）2

解析：SwitchA作为核心交换机，根据题意“视频监控系统与内网的其他计算机逻辑隔离”意思是需要划分2个VLAN，一个给视频监控用，另一个给内网其他用户用，每个需要配置一个VLANIF接口IP地址，分别作为视频监控、内网用户的网关，所有应配置在SwitchA上的VLANIF逻辑接口上，需要配置两个网关地址，视频监控和内网用户的网关

（6）PC3

解析：根据题意“如果将计算机PC3用于视频监控管理”和“在不增加专用存储设备的情况下”这两句话可以考虑将视频数据存在监控主机PC3的本地磁盘，此处应该填写PC3

案例分析三：

若将内网用户IP地址的分配方式改为自动分配，在设备SwitchA上启用DHCP功能，首先配置的命令是（7）

答：（7）DHCP enable

解析：DHCP enable命令意思是全局启用DHCP功能，题意是内网用户IP地址分配方式改为自动分配，需要启用DHCP功能

案例分析四：

为防止网络攻击，需要增加安全设备，配置安全策略，进行网络边界防护等，需要在（8）部署（9），且在该设备上配置（10）策略

答：（8）AR2200与SwitchA之间

解析：根据题意可以判断出需要配置防火墙，位置在AR2200与SwitchA之间

（9）FW防火墙

解析：防火墙是一种网络边界访问控制设备，能根据安全策略阻止在网络之间或主机与网络之间的未授权的通信，即控制进出网络的访问行为，防火墙是不同网络安全域之间通信的唯一通道，防止网络攻击用的

（10）ACL

解析：防护墙上需要配置ACL安全策略来进行控制用户访问权限等

==分界线======

案例二：

某园区组网方案如下图所示，网络规划表如下图所示：

案例分析一：

管理员通过console口登录设备Switch1，配置管理IP和Telnet：

system-view

[HUAWEI] （1）

[HUAWEI-vlan5]management-vlan

[HUAWEI-vlan5]quit

[HUAWEI] interface vlanif 5

[HUAWEI-vlanif5]（2）

[HUAWEI-vlanif5]quit

[HUAWEI]telnet server enable

[HUAWEI]user-interface vty 0 4

[HUAWEI-ui-vty0-4]protocol inbound telnet

[HUAWEI-ui-vty0-4]authentication-mode aaa

[HUAWEI-ui-vty0-4]quit

[HUAWEI]（3）

[HUAWEI-aaa]local-user admin password irreversible-cipher Helloworld@6789

[HUAWEI-aaa]local-user admin privilege level 15

配置完成后，在维护终端上Telnet到交换机的命令是（4），登录用户名是（5），该用户具有（6）权限

答：（1）vlan 5

解析：根据下一条命令提示符[HUAWEI-vlan5]，可以得知是进入一个vlan并设置管理vlan，这里填写vlan 5，意思是进入vlan 5

（2）ip address 10.10.1.1 255.255.255.0或者10.10.1.1 24

解析：根据上一条命令[HUAWEI] interface vlanif 5进入管理vlan，下一条命令就是设置管理vlan的IP地址，根据网络规划表可得知IP地址为10.10.1.1 24

（3）aaa

解析：根据下一条命令提示符 [HUAWEI-aaa]，可以得知是在aaa模式下进行设置，所以此处应该填写aaa，意思是进入aaa模式

（4）telnet 10.10.1.1

解析：Telnet提供了在本地计算机上完成远程登录设备功能，在终端电脑按组合键win+R进入cmd命令，输入Telnet IP 格式，回车即可，根据网络规划表管理IP地址为10.10.1.1 ，因此此处应填写telnet 10.10.1.1

（5）admin

解析：根据命令 [HUAWEI-aaa]local-user admin password irreversible-cipher Helloworld@6789可以得知，local-user后面跟的就是用户名即admin，Helloworld@6789是密码，cipher表示对用户口令采用可逆算法进行了加密，非法用户可以通过对应的解密算法解密密文后得到明文密码，安全性较低；irreversible-cipher表示对用户密码采用不可逆算法进行了加密，使非法用户无法通过解密算法特殊处理后得到明文密码，为用户提供更好的安全保障

（6）全部

解析：根据文中命令 [HUAWEI-aaa]local-user admin privilege level 15得知，其中level 15表示权限基本是最高权限，level总共0-15级别，共16级别权限，此处level 15是最高权限，拥有全部的权限

案例分析二：

设备Switch1与Switch2、Switch3之间的线路称为（7），其作用是（8）

答：（7）链路聚合

解析：从网络拓扑图可以看出Switch1和Switch2和Switch3之间是各两条链路，采用双链路，这种技术叫做链路聚合，华为称为Eth-Trnk技术，其作用是可以实现增加链路带宽，提升链路可靠性

（8）增加链路带宽，提升链路可靠性

解析：从网络拓扑图可以看出Switch1和Switch2和Switch3之间是各两条链路，采用双链路，这种技术叫做链路聚合，华为称为Eth-Trnk技术，其作用是可以实现增加链路带宽，提升链路可靠性

案例分析三：

在该网络中，在（9）设备上配置了DHCP服务的作用是为用户（10）分配地址，为防止内网用户私接小路由器分配IP地址，在接入交换机上配置（11）功能

答：（9）Switch1

解析：根据文中的网络规划表得知，是在Switch1上配置DHCP服务

（10）自动

解析：DHCP的作用是给用户自动分配IP地址，以便方便动态分配IP地址，减轻网管的工作量

（11）DHCP Snooping

解析：在接入交换机上配置DHCP Snooping功能，DHCP Snooping是DHCP的一种安全特性，主要应用在交换机上，其作用是屏蔽接入网络中的非法的DHCP服务器，即开启DHCP Snooping功能后，网络中的客户端只有从管理员指定的DHCP服务器获取IP地址

案例分析四：

在该网络的数据规划中，需要在Switch1和Router设备上各配置一条静态缺省路由，其中，在Switch1配置的是IP route-static 0.0.0.0 0.0.0.0 （12），在Router配置的是ip route-static 0.0.0.0 0.0.0.0 （13）

答：（12）10.10.100.2

解析：IP route-static 0.0.0.0 0.0.0.0 （12）是需要填写下一跳地址，Switch1上下一跳地址是Router的GE1/0/0端口，接着查网络规划表得知，下一跳地址为10.10.100.2

（13）202.101.111.1

解析：此处填写Router的下一跳地址，就是路由器Router的GE1/0/1端口，此端口有两个IP地址可以使用，分别是：202.101.111.1和202.101.111.2，但是202.101.111.2被路由器使用，所以此处填写202.101.111.1，此地址是出口路由器对接的运营商设备IP地址

=分界线=========

案例三：

某公司的网络结构如下图所示，所有PC机共享公网IP地址202.134.115.5接入Internet，公司对外提供www和邮件服务

案例分析一：

防火墙可以工作在三种模式下，分别是：路由模式、（1）和混杂模式，根据上图所示，防火墙的工作模式为（2），管理员为防火墙的三个接口分别命名为Trusted、Untrusted和DMZ，分别用于连接可信网络、不可信网络和DMZ网络，其中F0接口对应于（3），F1接口对应于（4），F2接口对应于（5）

答：（1）透明模式

解析：考察防火墙的三种模式，防火墙有IP地址，则工作在路由模式下；若防火墙没有配置IP地址并通过第二层对外连接，则防火墙工作在透明模式下；若防火墙同时具有工作在路由模式和透明模式的接口，则防火墙工作在混合模式下

（2）路由模式

解析：网络规划图中防火墙三个接口均连接路由器或者交换机等，均需要配IP地址，因此防火墙工作在路由模式下

（3）Untrusted区域

解析：考察防火墙的三个区域，F0端口连接的是外部网络，即是Untrusted区域

（4）DMZ区域

解析：考察防火墙的三个区域，F1端口连接的服务器，即是DMZ区域

（5）