2018年下半年网络工程师下午案例分析真题答案及解析.docx

1、阅读以下说明，回答问题1至问题3,将解答填入答题纸对应的解答栏内。【说明】某园区组网方案如图1-1所示，数据规划如表1-1内容所示。图1【问题1】(8分，每空2分)以Switch3为例配置接入层交换机，补充下列命令片段。<HUWEI>(1)HUWE1sysnameSwitch3Switch3vlanbatch(2)Switch3interfaceGigabitEthernet0/0/3Switch3-GigabitEthernet003portlink-type(3)Switch3-GigabitEthernetOO3porttrunkallow-passvlan1020Switch3-GigabitEthernet003quitSwitch3interfaceGigabitEthernet0/0/1Switch3-GigabiEthernetO/0/1portlink-type(4)Switch3-GigabitEthemet001portdefaultvlan10Switch3-GigabitEthernet/0/1quit以SWitChI为例配置核心层交换机，创建其与接入交换机、备份设备以及出口路由器的互通Y1.AN,补充下列命令。<HUWEl>system-viewHUAWEIsysnameSwitchlSwitchlvlanbatch(5)SwitchlinterfaceGigabitEthernet/0/1Switchl-GigabitEthernetOZO/!portlink-typetrunkSwitchl-GigabitEthernetOZO/!porttrunkallow-pass(6)Switchl-GigabitEthernet00lquitSwitchlinterfaceVlanif10Switchl-VlaniflOipaddress192.168.10.124Switchl-VlaniflOquitSwitchlinterfaceVlanif20Switchl-Vlanif20ipaddress192.168.20.124Switchl-Vlanif20quitSwitchlinterfaceGigabitEthernet0/0/7Switchl-GigabitEthernetOZO/?Switchl-GigabitEthernet007Switchl-GigabitEthernet007SwitchlinterfaceVlanif100Switchl-VlaniflOOipaddressportlink-typetrunkporttrunkallow-passvlan100quit(7)Switchl-VlaniflOOquitSwitchlinterfaceGigabitethernet0/0/5Switchl-GigabitEthernet005portlink-typeaccessSwitchl-GigabitElhernetO/0/5portdefaultvlan300Switchl-GigabitEthernet005quitSwitchlinterfaceVlanif300Switchl-Vlanif300ipaddress(8)如果配置静态路由实现网络互通，补充在Switchl和Router上配置的命令片段。Switchliproute-static(9)默认优先级Switchliproute-static0.0.0.00.0.0.0172.16.30.2preference70Routeriproute-static(10)默认优先级RouteripRouteripRouteripRouteriproute-staticroute-staticroute-staticroute-static192.168.10.0192.168.10.0192.168.20.0192.168.20.0255.255.255.0255.255.255.0255.255.255.0255.255.255.0172.16.10.1172.16.20.1172.16.10.1172.16.20.1preference70preference70【参考答案】【问题1】(1) system-view(2) 1020(3)Trunk(4)Access【问题2】(5)102030100300(6)vlanall或vlan1020(7)172.16.10.124(8)172.16.30.124【问题3】(9)0.0.0.00.0.0.0172.16.10.2(10)0.0.0.00.0.0,0202.101.111.12、阅读下列说明，回答问题1至问题4,将解答填入答题纸的对应栏内。【说明】图2-1为A公司和公司总部的部分网络拓扑,A公司员工办公区域DHCP分配的IP段为10.0.36.1/24,业务服务器IP地址为10.0.35.1,备份服务器IP地址为10.0.35.2;公司总部备份服务器IP地址为10.0.86.200【问题1】网络威胁会导致非授权访问、信息泄露、数据被破坏等网络安全事件发生，其常见的网络威胁包括窃听、拒绝服务、病毒、木马、(1)等,常见的网络安全防范措施包括访问控制、审计、身份认证、数字签名、(2)、包过滤和检测等。(1)备选答案：(2)A.数据完整性破坏B.物理链路破坏C.存储介质破坏D.电磁干扰(2)备选答案：(3)A.数据备份B.电磁防护C违规外联控制D.数据加密【问题2】某天,网络管理员在入侵检测设备.上发现图2-2所示网络威胁日志，从该日志可判断网络威胁为(3),网络管理员应采取(4)、(5)等合理有效的措施进行处理。g机有主机asim20107-1809315910.036249，10675115143.HnP。鼻CaCinUR1.hpj17654rnmino(eft)ni11e,>code=Yc1qtQ2c.201SO7180922451003624910675115143HTTP*CaC前1UR1.npjl7654COfTVheinoikunt>an<pcod=YclqsQ201M7-180tQ75310036.24910675115M3.HTTPSCWASUR1.MP网176548mmeG0tn丽"oO：YCIqSQ22018X>7>180M7461003624910675115.143.HTTPCAC.dUR1.hp>7654co11wotmnl>a>gcoeYclQsQ20180718OWM2110036249*1067595IU.HTTP«CtCiftlXUR1.hDJapcom/ItUaiaPrePOmUa<zcpoweop.201897180904171009624910675951B4.HTTP«cacAflUR1.h,lapc<xn¾M0prpo<WuapcpocWun<M201M7-10e<M1110036249*10675951MH11P。墓CACAflUR1.hKpzspWMaqflpcpomiuiapfepoWngptn20184)7-1809:03.4110036249，10575115143.HTTP。星CACAflUR1.hpj176548fMInOtengpm4>cMe/ClQtQ22018)M809032010036249-MK759514，HTTPo«cac«aUR1.hipglzco11Vkuas>prp<xWuauHxfxWng201X>718gXKM910.03624910675.95164，HTTP8CACMUR1.htP岫fcpap8muaprepo<W3Eepngpm201807-1808:51.191003624910675«5114HTTPO«etcaUR1.nM3PcomxDpcepo<VkuMZMYpo(Wuba201S)M805118100362491067595IM，HTTPOCACitlUR1.0J3pco11VkuaowceporWuaz(tp<MV)mgpn201S)7-18064a411003624910675951”*HTTPO*CACAAUR1.eQ3PcomAampcp<xWa0pcepo(Vo11lin201M7-184836K)O3624910675K1MHTTPO«CACdfXUR1.MpJKpzlpCoCnuapcepocWuaoprpofWnba2018X)7.1SM4829*100362491067595184HTTPO«UR1.MpfcopCOnVIaz>pr.pocWuau*cefxx1ingpv图2-2(3)备选答案:(4)A.跨站脚本攻击B.拒绝服务C.木马D.sql注入(4)(5)备选答案：(5)A.源主机安装杀毒软件并查杀B.目标主机安装杀毒软件并查杀C.将上图所示UR1.加入上网行为管理设备黑名单D.将上图所示UR1.加入入侵检测设备黑名单E.使用漏洞扫描设备进行扫描【问题3】A公司为保障数据安全，同总部建立ipsecVPN隧道,定期通过A公司备份服务器向公司总部备份数据，仅允许A公司的备份服务器、业务服务器和公司总部的备份服务器通讯，图2-3为A公司防火墙创建VPN隧道第二阶段协商的配置页面,请完善配置。其中，本地子网乂6)、本地掩码:(7)、对方子网:(8)、对方掩码：(9)。本地子网I本地掩码I对方子网I对方掩码I图2-3【参考答案】(1)、(2)答案：AjD解析：(1)B,C为物理层攻击，D可理解成物理电磁环境或者链路层攻击，只有A为网络威胁；(2)数据完整性破坏解决方案正好对应数据加密，故选D.(3)、(4)、(5)答案：CAC解析：(3) CC通信是典型木马攻击的特征。(4) (5)由于告警都是从10.0.36.249同一个源主机发出来的，则处理方式可以为对该源主机进行杀毒，或将UR1.加入行为管理设备黑名单。答案:(6)10.0.35.0(7)255.255.255.252(8)10.0.86.200(9)255.255.255.255【问题4】根据业务发展，购置了一套存储容量为30TB的存储系统，给公司内部员工每人配备2TB的网盘,存储管理员预估近一年内，员工对网盘的平均使用空间不超过200GB,为节省成本,启用了该存储系统的自动精简(Thinprovisioning不会一次性全部分配存储资源，当存储空间不够时，系统会根据实际所需要的容量,从存储池中多次少量的扩展存储空间)配置功能，为100个员工提供网盘服务。请简要叙述存储管理员使用自动精简配置的优点和存在的风险。3、阅读以下说明,回答问题1至问题3,将解答填入答题纸对应的解答栏内。【说明】某公司网络划分为两个子网,其中设备A是DHCP服务器,如图3-1所ZFo图挈】【问题1】(6分，每空2分)DHCP在分配IP地址时使用Q)的方式,而此消息不能通过路由器,所以子网2中的客户端要自动获得IP地址,不能采用的方式是(2)。DHCP服务器向客户端出租的IP地址一般有一个租借期限，在使用租期过去(3)时,客户端会向服务器发送DHCPREQUEST报文延续租期。(1)备选答案：A.单播B多播C广播DiWg(2)备选答案：A.子网设置DHCP服务器B.使用三层交换机作为DHCP中继C.使用路由器作为DHCP中继D.IP代理(3)备选答案:A.25%B.50%C.75%D.87.5%【问题2】(5分，每空1分)在设置DHCP服务时，应当为DHCP添加(4)个作用域。子网1按照图3-2添加作用域，其中子网掩码为(5),默认网关为(6)。在此作用域中必须排除某个IP地址，如图3-3所示，其中"起始IP地址处应填写。通常无线子网的默认租约时间为(8)(8)备选答案：A.8天B.6天C.2天D.6或8小时添加作用域DHCP服务器才能将IP地址分配给各个客户端。作用域是网络可能的IP地址范围。只有创建作用域后,DHCP服务器的配置设置作用域名称(三)：I子网A的作用域起始IP地址(T):192,168.5.15结束IF地址(E):192.168.5.200子网类型(B):I有线(租用持续时间将为8天二W激活此作用域（八）传播到DHCP客户端的配置设置子网掩码(U):默认网关(可选)(D):确定I取消II新建作用域向导添加排除和延迟排除是指服务器不分配的地址或地址范围。延迟是指服务器将延迟Dhcpoffer消息传输的时间段。键入您想要排除的IP地址范围。如果您想排除一个单独的地址，则只在“起始IP地址”键入地址。添加)I删除(V)I子网延迟(毫秒)(1.):I3上一步(B)I下一步(N)|取消I【问题3】(4分，每空2分)如果客户机无法找到DHCP服务器，它将从(9)网段中挑选一个作为自己的IP地址，子网掩码为(10)。(9)备选答案:(7)A.192.168.5.0B.172.25.48.0C.169.254.0.0D.0.0.0.0【参考答案】答案：(1)C(2)D(3)B分析：(1)C,部分书本是描述dhcp的4个过程全是E包.但是有些描述是服务器以单播回应.根据RFC文档，服务器回应数据包时，以单播还是E回应取决于数据包中的bootpflag字段是否置1.(2)代理IP可以用来隐藏真实IP,类似于NAT,访问网站是通过例服务器来做Y中转，所以目标服务器只能看到代理务器的IPife址(3)客户端主机获取到ip后，当租约到达50%,会向服务器发送dhcprequest报文延续租期.答案：(4) 2(5) 255.255.255.0(6) 192.168.5.254(7) 192.168.5.20(8) D分析：(4)图中有2个子网，需要给2个子网分配ip地址.所以需要2个作用域(5)可以从图3-1中看出子网A的掩码是24位，所以子网掩码是255.255.255.0(6)默认网关是路由器的接口192.1685254(7)分配ip的范围为192168515-1921685200,dhcp服务器的ip192.168520在这个范围内，所以需要排除掉这个W(8)通过无鳏取的ip地址，租约f以曲为单位答案：(9) C(10) 255.255.0.0分析：(9)(10)当获取不到ip时，会自牺取一个1692540Q16网段中的地址4、阅读以下说明，回答问题1至问题3,将解答填入答题纸对应的解答栏内。【说明】某企业的网络结构如图4-1所示。企业使用双出口，其中ISPl是高速链路,网关为202.100.1.2,ISP2是低速链路,网关为104.114.128.2【问题1】公司内部有两个网段,192.168.1.0/24和192.16820/24,使用三层交换机SwitchB实现V1.AN间路由。为提高用户体验,网络管理员决定带宽要求较高的192.168.1.0网段的数据通过高速链路访问互联网,带宽要求较低的192.168.2.0网段的数据通过低速链路访问互联网。请根据描述,将以下配置代码补充完整。SwitchBacl3000SwitchB-acl-adv-3000rulepermitipsource192.168.1.00.0.0.255destination192.168.2.00.0.0.255SwitchB-acl-adv-3000rulepermitipsource192.168.2.00.0.0.255destination192.168.1.00.0.0.255SwitchB-acl-adv-3000quitSwitchBacl3001匹配内网192.168.1.0/24网段的用户数据流SwitchB-acl-adv-3001rulepermitipsource(1)0.0.0.255SwitchBacl-adv-3001quitSwitchBacl3002匹配内网192.16820/24网段的用户数据流SwitchB-acl-adv-3002rulepermitip(2)192.168.2.00.0.0.255SwitchB-acl-adv-3002quitSwitchBtrafficclassifiercoperatororSwitchB-classifier-cO(3)acl3000SwitchB-classifer-cOquitSwitchBtrafficclassifiercl(4)orSwitchB-classifier-clif-matchacl3001SwitchB-classifer-clquitSwitchBtrafficclassifierc2operatororSwitchB-classifer-c2if-matchacl(5)SwitchB-classfer-c2(6)SwitchBtrafficbehaviorbSwitchB-behavior-bO(7)SwitchB-behavior-bOquitSwitchBtrafficbehaviorblSwitchB-behavior-blredirectip-nexthop(8)SwitchB-behavior-blquitSwitchBtrafficbehaviorb2SwitchB-behavior-b2redirectip-nexthop(9)SwitchB-behavior-b2quitSwitchBtrafficpolicyplSwitchB-trafficpolicy-plclassifiercbehavior(10)SwitchB-trafficpolicy-plclassifierclbehavior(11)SwitchBinterface(12)SwitchB-GigabitEthenetO/O/3traffic-policypl(13)SwitchB-GigabitEthernet003return【问题2】(2分)在问题1的配置代码中,配置AC1.3000的作用是:(14)【问题3】(5分每空1分)公司需要访问Internet公网,计划通过配置NAT实现私网地址到公网地址的转换,ISPl公网地址范围为202.100.1.1202.100.1.5;ISP2公网地址范围为104.11.128.1104.114.128.5o请根据描述,将下面的配置代码补充完整。SwitchBnataddress-group0202.100.1.3202.100.1.5SwitchBnataddress-group1104.114.128.3104.114.128.5SwitchBaclnumber2000SwitchB-acl-basic-2000rule5(15)source192.168.1.00.0.0.255SwitchBaclnumber2001SwitchB-acl-basic-2001rule5permitsource192.168.2.00.0.0.255SwitchBinterfaceGigabitEthernet003SwitchB-GigabitEthernetOO3natoutbound(16)addressgroup0nopatSwitchB-GigabitEthernnet003natoutbound(17)addressgroup1nopatSwitchBiproute-static192.168.1.00.0.0.255(18)SwitchBiproute-static192.168.2.00.0.0.255(19)【参考答案】(1)192.168.1.0(2)source(3)if-match(4)operator3002(6)quit(7)permit(8)202.100.1.2(9)104.114.128.2(10)b0(U)bl(12)gigabitethernet0/0/3(13)inbound【问题2】(14)保证V1.ANlO和V1.AN20之间能够互访【问题3】(15)permit