第一大题:园区网相关配置
1、实现网络元余(4分)
需要在 SW1与SW2之间:SW3 与SW2 之间:SW4与SW1 之间增加连线增加连线需要配置生成树协议避免二层环路
2、配置 VRRP 虚拟网关要点 (4 分)
- 在SW上配置vlan10 主VRRP,优先级设为120并配置抢占特性和抢占延时,同时 track 上行链路:配置vlan20备 VRRP,优先级保持默认即可。
- 在SW2上配置 vlan20 主VRRP,优先级设为 120,并配置抢占特和抢占延时,同时 track 上行链路,配置vlan0备 VRRP,优先级保持默认即可。
- 实现SW1和SW2针对vlan10和lan20互为备份。
- 为了实现网络流量的优化,需要同时调整 MSTP 协议,使 SW1 成为vlan10实例的根,SW2成为vlan20 实例的根交换机。
3、配置 DHCP 要点 (4分)
- SW1与SW2作为PC的网关设备,开启 DHCP 服务,配置DHCP 中继指向 DHCP 服务器地址
- 通过静态或动态路由实现与 DHCP 服务器网段的路由可达
- DHCP 服务器为 vlan0 和vlan20 创建相应的地址池。
4、PC之间禁止互访 (4分)
隔离相同 VLAN 内主机通信,在 SW3 和 SW4 端口隔离技术:隔离不同VLAN 间通信,在 S1 和 SW2 配置高级 ACL,并在相应接口使用traffic-filter 调用该 NCL 实现数据的过滤
5、IP 地址规划 (4 分)
(1) 10,0.1.129--10.0.1.157
(2) 224
(3) 10,0.1.193--10.0.1.253
(4) 26
第二大题:ISP
1、BGP 配置(10 分)
(1) 100
(2) 10.14.14.4
(3)200
(4)从eBGP 邻居学到的 BGP路由通告给 AR3 时修改下一跳属性为自己
(5)network 210.23.3.4255.255255255(后面的 BGP 表显示了源属性为 i
2、AR5 不能访问 AR4 的环回口地址 (6 分)
因为AR2未配置BGP,产生了路由黑洞,R1学习到210.23.34/32网段并通过 IBGP 传递给 R3,R3 通过 EBGP 传递给 R5,R5 发送数据包给 R3,R3 经过迭代查询到达目标网段的下一跳为 R2,将数据包给 R2,但是因为R2 并没有运行 BGP 协议,所以 R2 没有 210.23.3./32 网段路由,所以到数据包后会丢充。可通过开启同步特性防止黑洞,但一般解决方法是立全互联 iBGP 邻居或反射器。
3、路由反射器(4 分)
(1)指定路由反射
(2)所有客户机
(3)所有客户机和非客户机器的集群 ID,防止集群间的路由环路
(4) 2.2.2.2
第三大题:校园网(防火墙和 IPv6)
1、IPv6 地址规划 240C:DB8:1024::/49 (3 分)
(1)240C:DB8:1024: :-240C:DB8: 1024: 0:FFFF:FFFF :FFFF:FFFF 64
240C:DB8:1024:2000: 240C:DB8: 1024: 3FFF:FFFF:FFFF:FFFF:FFFF 51
- 240C:DB8:1024:4000::-240C:DB8: 1024:7FFF:FFFF:FFFF:FFFF:FFFF 50
2:配置安全策略 (4 分)
- local
- 10.0.0.0 29
- 89
- permit
3、某终端可以访问内网,但不能访问外网 (4 分)
故障原因:没有匹配成功 NAT 策略,未进行地址转换,所以不能访问外网解决方法:配置 NAT 策略,将该主机添加到源地址(会话表中没有地址换记录)
4、查看网关MAC 地址发生了改变(3 分)
- ARP 欺骗
- CORE-2
- 动态ARP 检测
5、
(1)身份认证
(2)数据完整性(6 分)
(3)非对称密钥加密对称密钥,实现密钥的安全分发,对称密钥加密数据,实现数据的高效加密。 (数字信封)
(4) CA
第四大题 (MPLS) (15 分)
1、 (1) C (2)A (3) E (4) B (5)D (6)F
2、 (7)lsr-id (8)mpls (9) vlanif (10) out-label (11)20 (12) 40 (13) in-label (14) 30 (15)60
以上仅供参考。