试卷详情

2018年下半年(下午)《网络工程师》案例分析真题

开始做题

试卷预览

问答题

公司内部有两个网段,192.168.1.0/24和192.168.2.0/24,使用三层交换机SwitchB实现VLAN间路由。为提高用户体验,网络管理员决定带宽要求较高的192.168.1.0网段的的数据通过高速链路访问互联网,带宽要求较低的192.168.2.0网段的数据通过低速链路访问互联网。请根据描述,将以下配置代码补充完整。

[SwitchB]acl 3000

[SwitchB-acl-adv-3000]rule permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255

[SwitchB-acl-adv-3000]rule permit ip source 192.168.2.0 0.0.0.255 destination 192.168.1.0 0.0.0.255

[SwitchB-acl-adv-3000]quit

[SwitchB]acl 3001//匹配内网192.168.1.0/24网段的用户数据流

[SwitchB-acl-adv-3001]rule permit ip source(1)0.0.0.255

[SwitchB acl-adv-3001]quit

[SwitchB]acl 3002//匹配内网192.168.2.0/24网段的用户数据流

[SwitchB-acl-adv-3002]rule permit ip(2)192.168.2.0 0.0.0.255

[SwitchB-acl-adv-3002]quit

[SwitchB]traffic classifier c0 operator or

[SwitchB-classifier-c0](3)acl 3000

[SwitchB-classifer-c0]quit

[SwitchB]traffic classifier c1(4)or

[SwitchB-classifier-c1]if-match acl 3001

[SwitchB-classifer-c1]quit

[SwitchB]traffic classifier c2 operator or

[SwitchB-classifer-c2]if-match acl(5)

[SwitchB-classfer-c2](6)

[SwitchB]traffic behavior b0

[SwitchB-behavior-b0](7)

[SwitchB-behavior-b0]quit

[SwitchB]traffic behavior b1

[SwitchB-behavior-b1]redirect ip-nexthop(8)

[SwitchB-behavior-b1]quit

[SwitchB]traffic behavior b2

[SwitchB-behavior-b2]redirect ip-nexthop(9)

[SwitchB-behavior-b2]quit

[SwitchB]traffic policy p1

[SwitchB-trafficpolicy-p1]classifier c0 behavior(10)

[SwitchB-trafficpolicy-p1]classifier c1 behavior(11)

[SwitchB-trafficpolicy-p1]classifier c2 behavior b2

[SwitchB-trafficpolicy-p1]quit

[SwitchB]interface(12)

[SwitchB-GigabitEthenet0/0/3]traffic-policy pl(13)

SwitchB-GigabitEthernet0/0/3]return

【问题2】(2分)

在问题1的配置代码中,配置ACL 3000的作用是:(14)。

【问题3】(5分,每空1分)

公司需要访问Intermet公网,计划通过配置NAT实现私网地址到公网地址的转换,ISP1公网地址范围为202.100.1.1~202.100.1.5;ISP2公网地址范围为104.114.128.1~104.114.128.5。

请根据描述,将下面的配置代码补充完整。

.....

[SwitchB]nat address-group 0 202.100.1.3 202.100.1.5

[SwitchB]nat address-group 1 104.114.128.3 104.114.128.5

[SwitchB]acl number 2000

[SwitchB-acl-basic-2000]rule 5(15)source 192.168.1.0 0.0.0.255

[SwitchB]acl number 2001

[SwitchB-acl-basic-2001]rule 5 permit source 192.168.2.0 0.0.0.255

[SwitchB]interface GigabitEthernet0/0/3

[SwitchB-GigabitEthernet0/0/3]nat outbound(16)address group 0 no-pat

[SwitchB-GigabitEthernnet0/0/3]nat outbound(17)address group 1 no-pat

[SwitchB-GigabitEthernet0/0/3]quit

[SwitchB]ip route-static 192.168.1.0 255.255.255.0(18)

[SwitchB]ip route-static 192.168.2.0 255.255.255.0(19)

……

查看答案开始考试

正确答案:

本题解析:

【问题1】

(1)192.168.1.0(2)Source(3)If-match(4)Operator(5)3002(6)Quit(7)Permit

(8)202.100.1.1(9)104.114.128.1(10)b0(11)b1(12)Gigabitethernet0/0/3(13)Inbound

【问题2】

(14)过滤出内网需要互访的流量,允许其通过

【问题3】

(15)Permit(16)2000(17)2001(18)G0/0/3(19)G0/0/3

【问题1】

(1)由题知,是过滤出内网192.168.1.0/24的流量

(2)和上一空语句类似,内网作为源

(3)定义流分类,设置匹配

(4)Operator是可选参数,按照下面语句照抄即可

(5)该流分类匹配acl3002

(6)Quit退出到系统视图

(7)定义流行为为允许permit

(8)定义流行为,该语句指代设置下一跳

(9)同8问类似

(10)将流分类和流行为关联起来,组成流策略

(11)同10问类似

(12)进入到g0/0/3接口

(13)在接口入方向调用该策略

【问题2】

同答案

【问题3】

(15)做nat转换,通过基本acl把内网流量过滤出来

(16)将acl表和地址池关联起来

(17)和16问类似

(18)(19)设置静态路由,指向内网的流量从接口G0/0/3出去

问答题

某公司网络划分为两个子网,其中设备A是DHCP服务器,如图3-1所示。

中级网络工程师,历年真题,2018年下半年(下午)《网络工程师》案例分析真题

【问题1】(6分,每空2分)

DHCP在分配IP地址时使用(1)的方式,而此消息不能通过路由器,所以子网2中的客户端要自动获得IP地址,不能采用的方式是(2)。DHCP服务器向客户端出租的IP地址一般有一个租借期限,在使用租期过去(3)时,客户端会向服务器发送DHCP REQUEST报文延续租期。

(1)备选答案:

A.单播

B.多播

C.广播

D.组播

(2)备选答案:

A.子网2设置DHCP服务器

B.使用三层交换机作为DHCP中继

C.使用路由器作为DHCP中继

D.IP代理

(3)备选答案:

A.25%

B.50%

C.75%

D.87.5%

【问题2】(5分,每空1分)

在设置DHCP服务时,应当为DHCP添加(4)个作用域。子网1按照图3-2添加作用域,其中子网掩码为(5),默认网关为(6)。在此作用域中必须排除某个IP地址,如图3-3所示,其中“起始IP地址”处应填写(7)。通常无线子网的默认租约时间为(8)

(8)备选答案:

A.8天

B.6天

C.2天

D.6或8小时

中级网络工程师,历年真题,2018年下半年(下午)《网络工程师》案例分析真题

中级网络工程师,历年真题,2018年下半年(下午)《网络工程师》案例分析真题

【问题3】(4分,每空2分)

如果客户机无法找到DHCP服务器,它将从(9)网段中挑选一个作为自己的IP地址,子网掩码为(10)。

(9)备选答案:

A.192.168.5.0

B.172.25.48.0

C.169.254.0.0

D.0.0.0.0

查看答案开始考试

正确答案:

本题解析:

【问题1】

(1)C

(2)D

(3)B

【问题2】

(4)2

(5)255.255.255.0

(6)192.168.5.254

(7)192.168.5.20

(8)D

【问题3】

(9)C

(10)255.255.0.0

【问题1】

(1)A或C(此题有争议),部分书本是描述dhcp的4个过程全是广播包。但是有些描述是服务器以单播回应。根据RFC文档,服务器回应数据包时,以单播还是广播回应取决于数据包中的bootp flag字段是否置1。

(2)D代理IP可以用来隐藏真实IP,类似于NAT,访问网站是通过代理服务器来做一个中转,所以目标服务器只能看到代理服务器的IP地址

(3)B客户端主机获取到ip后,当租约到达50%,会向服务器发送dhcp request报文延续租期。

【问题2】

(4)图中有2个子网,需要给2个子网分配ip地址。所以需要2个作用域

(5)可以从图3-1中看出子网A的掩码是24位,所以子网掩码是255.255.255.0

(6)默认网关是路由器的接口192.168.5.254

(7)分配ip的范围为192.168.5.15—192.168.5.200,dhcp服务器的ip192.168.5.20在这个范围内,所以需要排除掉这个地址

(8)通过无线获取的ip地址,租约一般以小时为单位

【问题3】

(9)(10)当获取不到ip时,会自动获取一个169.254.0.0/16网段中的地址

问答题

图2-1为A公司和公司总部的部分网络拓扑,A公司员工办公区域DHCP分配的IP段为10.0.36.1/24,业务服务器IP地址为10.0.35.1,备份服务器IP地址为10.0.35.2;公司总部备份服务器IP地址为10.0.86.200。

中级网络工程师,历年真题,2018年下半年(下午)《网络工程师》案例分析真题

【问题1】(4分,每空2分)

网络威胁会导致非授权访问、信息泄露、数据被破坏等网络安全事件发生,其常见的网络威胁包括窃听、拒绝服务、病毒、木马、(1)等,常见的网络安全防范措施包括访问控制、审计、身份认证、数字签名、(2)、包过滤和检测等。

(1)备选答案:

A.数据完整性破坏

B.物理链路破坏

C.存储介质破坏

D.电磁干扰

(2)备选答案:

A.数据备份

B.电磁防护

C.违规外联控制

D.数据加密

【问题2】(6分,每空2分)

某天,网络管理员在入侵检测设备.上发现图2-2所示网络威胁日志,从该日志可判断网络威胁为(3),网络管理员应采取(4)、(5)等合理有效的措施进行处理。

中级网络工程师,历年真题,2018年下半年(下午)《网络工程师》案例分析真题

(3)备选答案:

A.跨站脚本攻击

B.拒绝服务

C.木马

D.sql注入

(4)~(5)备选答案:

A.源主机安装杀毒软件并查杀

B.目标主机安装杀毒软件并查杀

C.将上图所示URL加入上网行为管理设备黑名单

D.将上图所示URL加入入侵检测设备黑名单

E.使用漏洞扫描设备进行扫描

【问题3】(4分,每空1分)

A公司为保障数据安全,同总部建立ipsecVPN隧道,定期通过A公司备份服务器向公司总部备份数据,仅允许A公司的备份服务器、业务服务器和公司总部的备份服务器通讯,图2-3为A公司防火墙创建VPN隧道第二阶段协商的配置页面,请完善配置。其中,本地子网:(6)、本地掩码:(7)、对方子网:(8)、对方掩码:(9)。

中级网络工程师,历年真题,2018年下半年(下午)《网络工程师》案例分析真题

【问题4】(6分)

根据业务发展,购置了一套存储容量为30TB的存储系统,给公司内部员工每人配备2TB的网盘,存储管理员预估近-年内,员工对网盘的平均使用空间不超过200GB,为节省成本,启用了该存储系统的自动精简(Thin provisioning不会一次性全部分配存储资源,当存储空间不够时,系统会根据实际所需要的容量,从存储池中多次少量的扩展存储空间)配置功能,为100个员工提供网盘服务。

请简要叙述存储管理员使用自动精简配置的优点和存在的风险。

查看答案开始考试

正确答案:

本题解析:

【问题1】

(1)A数据完整性破坏

(2)D数据加密

【问题2】

(3)C木马

(4)A源主机安装杀毒软件并查杀

(5)C将上图所示URL加入上网行为管理设备黑名单

【问题3】

(6)10.0.35.0

(7)255.255.255.252

(8)10.0.86.200

(9)255.255.255.255

【问题4】

自动精简配置(Thin Provisioning),可以为客户虚拟出比实际物理存储更大的虚拟存储空间,为用户提供存储超分配的能力。只有写入数据的虚拟存储空间才能真正分配到物理存储,未写入的虚拟存储空间不占用物理存储资源。可以帮助客户大幅降低存储的初始投资成本。

进行自动精简配置最大的问题就是有可能出现实际空间不足的情况。所以在自动精简配置中监控容量的是十分重要的

【问题1】

(1)常见的外部威胁

病毒、蠕虫和特洛伊木马-在用户设备上运行的恶意软件和任意代码

间谍软件和广告软件-用户设备上安装的软件,秘密收集关于用户的信息

零日攻击(也称零小时攻击)-在出现漏洞的第一天发起的攻击

黑客攻击-由经验丰富的人员对用户设备或网络资源发起的攻击

拒绝服务攻击-意图使网络设备上的应用和进程减缓或崩溃的攻击

数据拦截和盗窃-通过公司网络捕获私人信息的攻击

身份盗窃-窃取用户的登录凭据来访问私人数据的攻击

破坏数据完整性-数据被人为修改

(2)题目问的是网络安全方面的防护,四个选项中只有数据加密涉及到网络安全。

【问题2】

(3)从图中可以看出源主机始终是10.0.36.249,一直在访问相同的目的主机和网页。说明这台主机可能中了病毒。

跨站脚本攻击(也称为XSS)指利用网站漏洞从用户那里恶意盗取信息。

拒绝服务攻击,英文名称是Denial of Service,简称DOS,即拒绝服务,造成其攻击行为被称为DoS攻击,其目的是使计算机或网络无法提供正常的服务。最常见的DoS攻击有计算机网络带宽攻击和连通性攻击。带宽攻击指以极大的通信量冲击网络,使得所有可用网络资源都被消耗殆尽,最后导致合法的用户请求无法通过。

SQL注入攻击是黑客对数据库进行攻击的常用手段之一。随着B/S模式应用开发的发展,使用这种模式编写应用程序的程序员也越来越多。但是由于程序员的水平及经验也参差不齐,相当大一部分程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据,这就是所谓的SQL Injection,即SQL注入。

(4)(5)AC

因为是源主机一直在发起连接,所以是在源主机上安装杀毒软件并进行查杀。

已经定位到是某台主机出现问题,没必要使用漏洞扫描设备进行扫描。同时把URL加入上网行为管理的黑名单,以禁止主机访问该网站。

【问题3】

(6)题目中要求配置vpn对接之后需要互访的网段,即配置感兴趣流

本地子网和本地掩码指的是本端访问对端的网段,对方子网和对方掩码指的是对端来访问本端的网段。同时题目中指出仅允许A的备份服务器和业务服务器和总部的备份服务器通信。

所以本地网段是10.0.35.0/30,而对端网段是主机10.0.86.200/32

【问题4】

见答案

问答题

某园区组网方案如图1-1所示,数据规划如表1-1内容所示。

中级网络工程师,历年真题,2018年下半年(下午)《网络工程师》案例分析真题

中级网络工程师,历年真题,2018年下半年(下午)《网络工程师》案例分析真题

【问题1】(8分,每空2分)

以Switch3为例配置接入层交换机,补充下列命令片段。

<HUAWEI>(1)

[HUAWEI]sysname Switch3

[Switch3]vlan batch(2)

[Switch3]interface GigabitEthernet 0/0/3

[Switch3-GigabitEthernet0/0/3]port link-type(3)

[Switch3-GigabitEthernet0/0/3]port trunk allow-pass vlan 10 20

[Switch3-GigabitEthernet0/0/3]quit

[Switch3]interface GigabitEthernet 0/0/1

[Switch3-GigabiEthernet0/0/1]port link-type(4)

[Switch3-GigabitEthernet0/0/1]port default vlan 10

[Switch3-GigabitEthernet/0/1]quit

[Switch3]stp bpdu-protection

【问题2】(8分,每空2分)

以Switch1为例配置核心层交换机,创建其与接入交换机、备份设备以及出口路由器的互通VLAN,补充下列命令。

<HUAWEI>system-view

[HUAWEI]sysname Switch1

[Switchl]vlan batch(5)

[Switch1]interface GigabitEthernet/0/1

[Switchl-GigabitEthernet0/0/1]port link-type trunk

[Switchl-GigabitEthernet0/0/1]port trunk allow-pass(6)

[Switch1-GigabitEthernet0/0/1]quit

[Switch1]interface Vlanif 10

[Switch1-Vlanif10]ip address 192.168.10.1 24

[Switch1-Vlanif10]quit

[Switch1]interface Vlanif 20

[Switch1-Vlanif20]ip address 192.168.20.1 24

[Switch1-Vlanif20]quit

[Switchl]interface GigabitEthernet 0/0/7

[Switchl-GigabitEthernet0/0/7]port link-type trunk

[Switch1-GigabitEthernet0/0/7]port trunk allow-pass vlan 100

[Switch1-GigabitEthernet0/0/7]quit

[Switch1]interface Vlanif 100

[Switch1-Vlanif100]ip address(7)

[Switch1-Vlanif100]quit

[Switch1]interface Gigabitethernet 0/0/5

[Switch1-GigabitEthernet0/0/5]port link-type access

[Switch1-GigabitEthernet0/0/5]port default vlan 300

[Switchl-GigabitEthernet0/0/5]quit

[Switch1 interface Vlanif 300

[Switchl-Vlanif300]ip address(8)

[Switchl-Vlanif300]quit

【问题3】(4分,每空2分)

如果配置静态路由实现网络互通,补充在Switch1和Router上配置的命令片段。

[Switchl]ip route-static(9)//默认优先级

[Switchl]ip route-static 0.0.0.0 0.0.0.0 172.16.30.2 preference 70

[Router]ip route-static(10)//默认优先级

[Router]ip route-static 192.168.10.0 255.255.255.0 172.16.10.1

[Router]ip route-static 192.168.10.0 255.255.255.0 172.16.20.1 preference70

[Router]ip route-static 192.168.20.0 255.255.255.0 172.16.10.1

[Router]ip route-static 192.168.20.0 255.255.255.0 172.16.20.1 preference70

查看答案开始考试

正确答案:

本题解析:

【问题1】

(1)system-view

(2)10 20

(3)Trunk

(4)Access

【问题2】

(5)10 20 30 100 300

(6)vlan all或vlan 10 20

(7)172.16.10.1 24

(8)172.16.30.1 24

【问题3】

(9)0.0.0.0 0.0.0.0 172.16.10.2

(10)0.0.0.0 0.0.0.0 202.101.111.1

【问题1】

(1)system-viem进入系统视图

(2)创建vlan10和vlan20

(3)设置接口为trunk口

(4)设置接口为access口

【问题2】

(5)批量创建vlan10、20、30、100、300

(6)设置允许的vlan通过

(7)设置vlan100的接口ip

(8)设置vlan300的接口ip

【问题3】

(9)设置的是核心交换机的默认路由,正常情况下直接发往路由器的g0/0/1接口,当链路出现问题,才把数据包发往switch2

(10)在路由器上设置默认路由,下一跳指向互联网接口即公网网关202.101.111.1

其他考生还关注了更多 +