2018年下半年（下午）《网络工程师》案例分析真题

试卷预览

1 问答题 1分

公司内部有两个网段，192.168.1.0/24和192.168.2.0/24,使用三层交换机SwitchB实现VLAN间路由。为提高用户体验，网络管理员决定带宽要求较高的192.168.1.0网段的的数据通过高速链路访问互联网,带宽要求较低的192.168.2.0网段的数据通过低速链路访问互联网。请根据描述，将以下配置代码补充完整。

[SwitchB]acl 3000

[SwitchB-acl-adv-3000]rule permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255

[SwitchB-acl-adv-3000]rule permit ip source 192.168.2.0 0.0.0.255 destination 192.168.1.0 0.0.0.255

[SwitchB-acl-adv-3000]quit

[SwitchB]acl 3001//匹配内网192.168.1.0/24网段的用户数据流

[SwitchB-acl-adv-3001]rule permit ip source(1)0.0.0.255

[SwitchB acl-adv-3001]quit

[SwitchB]acl 3002//匹配内网192.168.2.0/24网段的用户数据流

[SwitchB-acl-adv-3002]rule permit ip(2)192.168.2.0 0.0.0.255

[SwitchB-acl-adv-3002]quit

[SwitchB]traffic classifier c0 operator or

[SwitchB-classifier-c0](3)acl 3000

[SwitchB-classifer-c0]quit

[SwitchB]traffic classifier c1(4)or

[SwitchB-classifier-c1]if-match acl 3001

[SwitchB-classifer-c1]quit

[SwitchB]traffic classifier c2 operator or

[SwitchB-classifer-c2]if-match acl(5)

[SwitchB-classfer-c2](6)

[SwitchB]traffic behavior b0

[SwitchB-behavior-b0](7)

[SwitchB-behavior-b0]quit

[SwitchB]traffic behavior b1

[SwitchB-behavior-b1]redirect ip-nexthop(8)

[SwitchB-behavior-b1]quit

[SwitchB]traffic behavior b2

[SwitchB-behavior-b2]redirect ip-nexthop(9)

[SwitchB-behavior-b2]quit

[SwitchB]traffic policy p1

[SwitchB-trafficpolicy-p1]classifier c0 behavior(10)

[SwitchB-trafficpolicy-p1]classifier c1 behavior(11)

[SwitchB-trafficpolicy-p1]classifier c2 behavior b2

[SwitchB-trafficpolicy-p1]quit

[SwitchB]interface(12)

[SwitchB-GigabitEthenet0/0/3]traffic-policy pl(13)

SwitchB-GigabitEthernet0/0/3]return

【问题2】(2分)

在问题1的配置代码中，配置ACL 3000的作用是:(14)。

【问题3】(5分，每空1分)

公司需要访问Intermet公网,计划通过配置NAT实现私网地址到公网地址的转换,ISP1公网地址范围为202.100.1.1~202.100.1.5；ISP2公网地址范围为104.114.128.1~104.114.128.5。

请根据描述，将下面的配置代码补充完整。

.....

[SwitchB]nat address-group 0 202.100.1.3 202.100.1.5

[SwitchB]nat address-group 1 104.114.128.3 104.114.128.5

[SwitchB]acl number 2000

[SwitchB-acl-basic-2000]rule 5(15)source 192.168.1.0 0.0.0.255

[SwitchB]acl number 2001

[SwitchB-acl-basic-2001]rule 5 permit source 192.168.2.0 0.0.0.255

[SwitchB]interface GigabitEthernet0/0/3

[SwitchB-GigabitEthernet0/0/3]nat outbound(16)address group 0 no-pat

[SwitchB-GigabitEthernnet0/0/3]nat outbound(17)address group 1 no-pat

[SwitchB-GigabitEthernet0/0/3]quit

[SwitchB]ip route-static 192.168.1.0 255.255.255.0(18)

[SwitchB]ip route-static 192.168.2.0 255.255.255.0(19)

……

查看答案 开始考试

正确答案：

本题解析：

【问题1】

（1）192.168.1.0（2）Source（3）If-match（4）Operator（5）3002（6）Quit（7）Permit

（8）202.100.1.1（9）104.114.128.1（10）b0（11）b1（12）Gigabitethernet0/0/3（13）Inbound

【问题2】

（14）过滤出内网需要互访的流量，允许其通过

【问题3】

（15）Permit（16）2000（17）2001（18）G0/0/3（19）G0/0/3

【问题1】

（1）由题知，是过滤出内网192.168.1.0/24的流量

（2）和上一空语句类似，内网作为源

（3）定义流分类，设置匹配

（4）Operator是可选参数，按照下面语句照抄即可

（5）该流分类匹配acl3002

（6）Quit退出到系统视图

（7）定义流行为为允许permit

（8）定义流行为，该语句指代设置下一跳

（9）同8问类似

（10）将流分类和流行为关联起来，组成流策略

（11）同10问类似

（12）进入到g0/0/3接口

（13）在接口入方向调用该策略

【问题2】

同答案

【问题3】

（15）做nat转换，通过基本acl把内网流量过滤出来

（16）将acl表和地址池关联起来

（17）和16问类似

（18）（19）设置静态路由，指向内网的流量从接口G0/0/3出去

2 问答题 1分

某公司网络划分为两个子网，其中设备A是DHCP服务器，如图3-1所示。

【问题1】(6分，每空2分)

DHCP在分配IP地址时使用(1)的方式，而此消息不能通过路由器，所以子网2中的客户端要自动获得IP地址，不能采用的方式是(2)。DHCP服务器向客户端出租的IP地址一般有一个租借期限，在使用租期过去(3)时,客户端会向服务器发送DHCP REQUEST报文延续租期。

(1)备选答案:

A.单播

B.多播

C.广播

D.组播

(2)备选答案:

A.子网2设置DHCP服务器

B.使用三层交换机作为DHCP中继

C.使用路由器作为DHCP中继

D.IP代理

(3)备选答案:

A.25%

B.50%

C.75%

D.87.5%

【问题2】(5分，每空1分)

在设置DHCP服务时，应当为DHCP添加(4)个作用域。子网1按照图3-2添加作用域，其中子网掩码为(5)，默认网关为(6)。在此作用域中必须排除某个IP地址，如图3-3所示，其中“起始IP地址”处应填写(7)。通常无线子网的默认租约时间为(8)

(8)备选答案:

A.8天

B.6天

C.2天

D.6或8小时

【问题3】(4分，每空2分)

如果客户机无法找到DHCP服务器，它将从(9)网段中挑选一个作为自己的IP地址，子网掩码为(10)。

(9)备选答案:

A.192.168.5.0

B.172.25.48.0

C.169.254.0.0

D.0.0.0.0

查看答案 开始考试

正确答案：

本题解析：

【问题1】

（1）C

（2）D

（3）B

【问题2】

（4）2

（5）255.255.255.0

（6）192.168.5.254

（7）192.168.5.20

（8）D

【问题3】

（9）C

（10）255.255.0.0

【问题1】

（1）A或C（此题有争议），部分书本是描述dhcp的4个过程全是广播包。但是有些描述是服务器以单播回应。根据RFC文档，服务器回应数据包时，以单播还是广播回应取决于数据包中的bootp flag字段是否置1。

（2）D代理IP可以用来隐藏真实IP，类似于NAT，访问网站是通过代理服务器来做一个中转，所以目标服务器只能看到代理服务器的IP地址

（3）B客户端主机获取到ip后，当租约到达50%，会向服务器发送dhcp request报文延续租期。

【问题2】

（4）图中有2个子网，需要给2个子网分配ip地址。所以需要2个作用域

（5）可以从图3-1中看出子网A的掩码是24位，所以子网掩码是255.255.255.0

（6）默认网关是路由器的接口192.168.5.254

（7）分配ip的范围为192.168.5.15—192.168.5.200，dhcp服务器的ip192.168.5.20在这个范围内，所以需要排除掉这个地址

（8）通过无线获取的ip地址，租约一般以小时为单位

【问题3】

（9）（10）当获取不到ip时，会自动获取一个169.254.0.0/16网段中的地址

3 问答题 1分

图2-1为A公司和公司总部的部分网络拓扑,A公司员工办公区域DHCP分配的IP段为10.0.36.1/24，业务服务器IP地址为10.0.35.1,备份服务器IP地址为10.0.35.2;公司总部备份服务器IP地址为10.0.86.200。

【问题1】(4分，每空2分)

网络威胁会导致非授权访问、信息泄露、数据被破坏等网络安全事件发生，其常见的网络威胁包括窃听、拒绝服务、病毒、木马、(1)等，常见的网络安全防范措施包括访问控制、审计、身份认证、数字签名、(2)、包过滤和检测等。

(1)备选答案:

A.数据完整性破坏

B.物理链路破坏

C.存储介质破坏

D.电磁干扰

(2)备选答案:

A.数据备份

B.电磁防护

C.违规外联控制

D.数据加密

【问题2】(6分，每空2分)

某天，网络管理员在入侵检测设备.上发现图2-2所示网络威胁日志，从该日志可判断网络威胁为(3)，网络管理员应采取(4)、(5)等合理有效的措施进行处理。

(3)备选答案:

A.跨站脚本攻击

B.拒绝服务

C.木马

D.sql注入

(4)~(5)备选答案:

A.源主机安装杀毒软件并查杀

B.目标主机安装杀毒软件并查杀

C.将上图所示URL加入上网行为管理设备黑名单

D.将上图所示URL加入入侵检测设备黑名单

E.使用漏洞扫描设备进行扫描

【问题3】(4分，每空1分)

A公司为保障数据安全，同总部建立ipsecVPN隧道，定期通过A公司备份服务器向公司总部备份数据，仅允许A公司的备份服务器、业务服务器和公司总部的备份服务器通讯，图2-3为A公司防火墙创建VPN隧道第二阶段协商的配置页面，请完善配置。其中，本地子网:(6)、本地掩码:(7)、对方子网:(8)、对方掩码:(9)。

【问题4】(6分)

根据业务发展，购置了一套存储容量为30TB的存储系统，给公司内部员工每人配备2TB的网盘，存储管理员预估近-年内，员工对网盘的平均使用空间不超过200GB,为节省成本，启用了该存储系统的自动精简(Thin provisioning不会一次性全部分配存储资源，当存储空间不够时，系统会根据实际所需要的容量,从存储池中多次少量的扩展存储空间)配置功能，为100个员工提供网盘服务。

请简要叙述存储管理员使用自动精简配置的优点和存在的风险。

查看答案 开始考试

正确答案：

本题解析：

【问题1】

（1）A数据完整性破坏

（2）D数据加密

【问题2】

（3）C木马

（4）A源主机安装杀毒软件并查杀

（5）C将上图所示URL加入上网行为管理设备黑名单

【问题3】

（6）10.0.35.0

（7）255.255.255.252

（8）10.0.86.200

（9）255.255.255.255

【问题4】

自动精简配置（Thin Provisioning），可以为客户虚拟出比实际物理存储更大的虚拟存储空间，为用户提供存储超分配的能力。只有写入数据的虚拟存储空间才能真正分配到物理存储，未写入的虚拟存储空间不占用物理存储资源。可以帮助客户大幅降低存储的初始投资成本。

进行自动精简配置最大的问题就是有可能出现实际空间不足的情况。所以在自动精简配置中监控容量的是十分重要的

【问题1】

（1）常见的外部威胁

病毒、蠕虫和特洛伊木马-在用户设备上运行的恶意软件和任意代码

间谍软件和广告软件-用户设备上安装的软件，秘密收集关于用户的信息

零日攻击（也称零小时攻击）-在出现漏洞的第一天发起的攻击

黑客攻击-由经验丰富的人员对用户设备或网络资源发起的攻击

拒绝服务攻击-意图使网络设备上的应用和进程减缓或崩溃的攻击

数据拦截和盗窃-通过公司网络捕获私人信息的攻击

身份盗窃-窃取用户的登录凭据来访问私人数据的攻击

破坏数据完整性-数据被人为修改

（2）题目问的是网络安全方面的防护，四个选项中只有数据加密涉及到网络安全。

【问题2】

（3）从图中可以看出源主机始终是10.0.36.249，一直在访问相同的目的主机和网页。说明这台主机可能中了病毒。

跨站脚本攻击（也称为XSS）指利用网站漏洞从用户那里恶意盗取信息。

拒绝服务攻击，英文名称是Denial of Service，简称DOS，即拒绝服务,造成其攻击行为被称为DoS攻击，其目的是使计算机或网络无法提供正常的服务。最常见的DoS攻击有计算机网络带宽攻击和连通性攻击。带宽攻击指以极大的通信量冲击网络，使得所有可用网络资源都被消耗殆尽,最后导致合法的用户请求无法通过。

SQL注入攻击是黑客对数据库进行攻击的常用手段之一。随着B/S模式应用开发的发展，使用这种模式编写应用程序的程序员也越来越多。但是由于程序员的水平及经验也参差不齐，相当大一部分程序员在编写代码的时候，没有对用户输入数据的合法性进行判断，使应用程序存在安全隐患。用户可以提交一段数据库查询代码，根据程序返回的结果，获得某些他想得知的数据，这就是所谓的SQL Injection，即SQL注入。

（4）（5）AC

因为是源主机一直在发起连接，所以是在源主机上安装杀毒软件并进行查杀。

已经定位到是某台主机出现问题，没必要使用漏洞扫描设备进行扫描。同时把URL加入上网行为管理的黑名单，以禁止主机访问该网站。

【问题3】

（6）题目中要求配置vpn对接之后需要互访的网段，即配置感兴趣流

本地子网和本地掩码指的是本端访问对端的网段，对方子网和对方掩码指的是对端来访问本端的网段。同时题目中指出仅允许A的备份服务器和业务服务器和总部的备份服务器通信。

所以本地网段是10.0.35.0/30，而对端网段是主机10.0.86.200/32

【问题4】

见答案

4 问答题 1分

某园区组网方案如图1-1所示，数据规划如表1-1内容所示。

【问题1】(8分，每空2分)

以Switch3为例配置接入层交换机，补充下列命令片段。

＜HUAWEI>(1)

[HUAWEI]sysname Switch3

[Switch3]vlan batch(2)

[Switch3]interface GigabitEthernet 0/0/3

[Switch3-GigabitEthernet0/0/3]port link-type(3)

[Switch3-GigabitEthernet0/0/3]port trunk allow-pass vlan 10 20

[Switch3-GigabitEthernet0/0/3]quit

[Switch3]interface GigabitEthernet 0/0/1

[Switch3-GigabiEthernet0/0/1]port link-type(4)

[Switch3-GigabitEthernet0/0/1]port default vlan 10

[Switch3-GigabitEthernet/0/1]quit

[Switch3]stp bpdu-protection

【问题2】(8分,每空2分)

以Switch1为例配置核心层交换机，创建其与接入交换机、备份设备以及出口路由器的互通VLAN,补充下列命令。

＜HUAWEI>system-view

[HUAWEI]sysname Switch1

[Switchl]vlan batch(5)

[Switch1]interface GigabitEthernet/0/1

[Switchl-GigabitEthernet0/0/1]port link-type trunk

[Switchl-GigabitEthernet0/0/1]port trunk allow-pass(6)

[Switch1-GigabitEthernet0/0/1]quit

[Switch1]interface Vlanif 10

[Switch1-Vlanif10]ip address 192.168.10.1 24

[Switch1-Vlanif10]quit

[Switch1]interface Vlanif 20

[Switch1-Vlanif20]ip address 192.168.20.1 24

[Switch1-Vlanif20]quit

[Switchl]interface GigabitEthernet 0/0/7

[Switchl-GigabitEthernet0/0/7]port link-type trunk

[Switch1-GigabitEthernet0/0/7]port trunk allow-pass vlan 100

[Switch1-GigabitEthernet0/0/7]quit

[Switch1]interface Vlanif 100

[Switch1-Vlanif100]ip address(7)

[Switch1-Vlanif100]quit

[Switch1]interface Gigabitethernet 0/0/5

[Switch1-GigabitEthernet0/0/5]port link-type access

[Switch1-GigabitEthernet0/0/5]port default vlan 300

[Switchl-GigabitEthernet0/0/5]quit

[Switch1 interface Vlanif 300

[Switchl-Vlanif300]ip address(8)

[Switchl-Vlanif300]quit

【问题3】(4分，每空2分)

如果配置静态路由实现网络互通，补充在Switch1和Router上配置的命令片段。

[Switchl]ip route-static(9)//默认优先级

[Switchl]ip route-static 0.0.0.0 0.0.0.0 172.16.30.2 preference 70

[Router]ip route-static(10)//默认优先级

[Router]ip route-static 192.168.10.0 255.255.255.0 172.16.10.1

[Router]ip route-static 192.168.10.0 255.255.255.0 172.16.20.1 preference70

[Router]ip route-static 192.168.20.0 255.255.255.0 172.16.10.1

[Router]ip route-static 192.168.20.0 255.255.255.0 172.16.20.1 preference70

查看答案 开始考试

正确答案：

本题解析：

【问题1】

（1）system-view

（2）10 20

（3）Trunk

（4）Access

【问题2】

（5）10 20 30 100 300

（6）vlan all或vlan 10 20

（7）172.16.10.1 24

（8）172.16.30.1 24

【问题3】

（9）0.0.0.0 0.0.0.0 172.16.10.2

（10）0.0.0.0 0.0.0.0 202.101.111.1

【问题1】

（1）system-viem进入系统视图

（2）创建vlan10和vlan20

（3）设置接口为trunk口

（4）设置接口为access口

【问题2】

（5）批量创建vlan10、20、30、100、300

（6）设置允许的vlan通过

（7）设置vlan100的接口ip

（8）设置vlan300的接口ip

【问题3】

（9）设置的是核心交换机的默认路由，正常情况下直接发往路由器的g0/0/1接口，当链路出现问题，才把数据包发往switch2

（10）在路由器上设置默认路由，下一跳指向互联网接口即公网网关202.101.111.1