中級網絡工程師-2018年下半年（下午）《網絡工程師》案例分析真題問答題（共4題，共4分）(1.)某園區組網方案如圖1-1所示，數據規劃如表1-1內容所示。INCLUDEPIC（江南博哥）TURE\d"/data/714/17970737_0.png"INET【問題1】(8分，每空2分)以Switch3為例配置接入層交換機，補充下列命令片段。＜HUAWEI>(1)[HUAWEI]sysnameSwitch3[Switch3]vlanbatch(2)[Switch3]interfaceGigabitEthernet0/0/3[Switch3-GigabitEthernet0/0/3]portlink-type(3)[Switch3-GigabitEthernet0/0/3]porttrunkallow-passvlan1020[Switch3-GigabitEthernet0/0/3]quit[Switch3]interfaceGigabitEthernet0/0/1[Switch3-GigabiEthernet0/0/1]portlink-type(4)[Switch3-GigabitEthernet0/0/1]portdefaultvlan10[Switch3-GigabitEthernet/0/1]quit[Switch3]stpbpdu-protection【問題2】(8分,每空2分)以Switch1為例配置核心層交換機，創建其與接入交換機、備份設備以及出口路由器的互通VLAN,補充下列命令。＜HUAWEI>system-view[HUAWEI]sysnameSwitch1[Switchl]vlanbatch(5)[Switch1]interfaceGigabitEthernet/0/1[Switchl-GigabitEthernet0/0/1]portlink-typetrunk[Switchl-GigabitEthernet0/0/1]porttrunkallow-pass(6)[Switch1-GigabitEthernet0/0/1]quit[Switch1]interfaceVlanif10[Switch1-Vlanif10]ipaddress24[Switch1-Vlanif10]quit[Switch1]interfaceVlanif20[Switch1-Vlanif20]ipaddress24[Switch1-Vlanif20]quit[Switchl]interfaceGigabitEthernet0/0/7[Switchl-GigabitEthernet0/0/7]portlink-typetrunk[Switch1-GigabitEthernet0/0/7]porttrunkallow-passvlan100[Switch1-GigabitEthernet0/0/7]quit[Switch1]interfaceVlanif100[Switch1-Vlanif100]ipaddress(7)[Switch1-Vlanif100]quit[Switch1]interfaceGigabitethernet0/0/5[Switch1-GigabitEthernet0/0/5]portlink-typeaccess[Switch1-GigabitEthernet0/0/5]portdefaultvlan300[Switchl-GigabitEthernet0/0/5]quit[Switch1interfaceVlanif300[Switchl-Vlanif300]ipaddress(8)[Switchl-Vlanif300]quit【問題3】(4分，每空2分)如果配置靜態路由實現網絡互通，補充在Switch1和Router上配置的命令片段。[Switchl]iproute-static(9)//默認優先級[Switchl]iproute-staticpreference70[Router]iproute-static(10)//默認優先級[Router]iproute-static[Router]iproute-staticpreference70[Router]iproute-static[Router]iproute-staticpreference70正確答案：參考解析：【問題1】（1）system-view（2）1020（3）Trunk（4）Access【問題2】（5）102030100300（6）vlanall或vlan1020（7）24（8）24【問題3】（9）（10）【問題1】（1）system-viem進入系統視圖（2）創建vlan10和vlan20（3）設置接口為trunk口（4）設置接口為access口【問題2】（5）批量創建vlan10、20、30、100、300（6）設置允許的vlan通過（7）設置vlan100的接口ip（8）設置vlan300的接口ip【問題3】（9）設置的是核心交換機的默認路由，正常情況下直接發往路由器的g0/0/1接口，當鏈路出現問題，才把數據包發往switch2（10）在路由器上設置默認路由，下一跳指向互聯網接口即公網網關(2.)圖2-1為A公司和公司總部的部分網絡拓撲,A公司員工辦公區域DHCP分配的IP段為/24，業務服務器IP地址為,備份服務器IP地址為;公司總部備份服務器IP地址為00。【問題1】(4分，每空2分)網絡威脅會導致非授權訪問、信息泄露、數據被破壞等網絡安全事件發生，其常見的網絡威脅包括竊聽、拒絕服務、病毒、木馬、(1)等，常見的網絡安全防范措施包括訪問控制、審計、身份認證、數字簽名、(2)、包過濾和檢測等。(1)備選答案:A.數據完整性破壞B.物理鏈路破壞C.存儲介質破壞D.電磁干擾(2)備選答案:A.數據備份B.電磁防護C.違規外聯控制D.數據加密【問題2】(6分，每空2分)某天，網絡管理員在入侵檢測設備.上發現圖2-2所示網絡威脅日志，從該日志可判斷網絡威脅為(3)，網絡管理員應采取(4)、(5)等合理有效的措施進行處理。(3)備選答案:A.跨站腳本攻擊B.拒絕服務C.木馬D.sql注入(4)~(5)備選答案:A.源主機安裝殺毒軟件并查殺B.目標主機安裝殺毒軟件并查殺C.將上圖所示URL加入上網行為管理設備黑名單D.將上圖所示URL加入入侵檢測設備黑名單E.使用漏洞掃描設備進行掃描【問題3】(4分，每空1分)A公司為保障數據安全，同總部建立ipsecVPN隧道，定期通過A公司備份服務器向公司總部備份數據，僅允許A公司的備份服務器、業務服務器和公司總部的備份服務器通訊，圖2-3為A公司防火墻創建VPN隧道第二階段協商的配置頁面，請完善配置。其中，本地子網:(6)、本地掩碼:(7)、對方子網:(8)、對方掩碼:(9)。【問題4】(6分)根據業務發展，購置了一套存儲容量為30TB的存儲系統，給公司內部員工每人配備2TB的網盤，存儲管理員預估近-年內，員工對網盤的平均使用空間不超過200GB,為節省成本，啟用了該存儲系統的自動精簡(Thinprovisioning不會一次性全部分配存儲資源，當存儲空間不夠時，系統會根據實際所需要的容量,從存儲池中多次少量的擴展存儲空間)配置功能，為100個員工提供網盤服務。請簡要敘述存儲管理員使用自動精簡配置的優點和存在的風險。正確答案：參考解析：【問題1】（1）A數據完整性破壞（2）D數據加密【問題2】（3）C木馬（4）A源主機安裝殺毒軟件并查殺（5）C將上圖所示URL加入上網行為管理設備黑名單【問題3】（6）（7）52（8）00（9）55【問題4】自動精簡配置（ThinProvisioning），可以為客戶虛擬出比實際物理存儲更大的虛擬存儲空間，為用戶提供存儲超分配的能力。只有寫入數據的虛擬存儲空間才能真正分配到物理存儲，未寫入的虛擬存儲空間不占用物理存儲資源。可以幫助客戶大幅降低存儲的初始投資成本。進行自動精簡配置最大的問題就是有可能出現實際空間不足的情況。所以在自動精簡配置中監控容量的是十分重要的【問題1】（1）常見的外部威脅病毒、蠕蟲和特洛伊木馬-在用戶設備上運行的惡意軟件和任意代碼間諜軟件和廣告軟件-用戶設備上安裝的軟件，秘密收集關于用戶的信息零日攻擊（也稱零小時攻擊）-在出現漏洞的第一天發起的攻擊黑客攻擊-由經驗豐富的人員對用戶設備或網絡資源發起的攻擊拒絕服務攻擊-意圖使網絡設備上的應用和進程減緩或崩潰的攻擊數據攔截和盜竊-通過公司網絡捕獲私人信息的攻擊身份盜竊-竊取用戶的登錄憑據來訪問私人數據的攻擊破壞數據完整性-數據被人為修改（2）題目問的是網絡安全方面的防護，四個選項中只有數據加密涉及到網絡安全。【問題2】（3）從圖中可以看出源主機始終是49，一直在訪問相同的目的主機和網頁。說明這臺主機可能中了病毒。跨站腳本攻擊（也稱為XSS）指利用網站漏洞從用戶那里惡意盜取信息。拒絕服務攻擊，英文名稱是DenialofService，簡稱DOS，即拒絕服務,造成其攻擊行為被稱為DoS攻擊，其目的是使計算機或網絡無法提供正常的服務。最常見的DoS攻擊有計算機網絡帶寬攻擊和連通性攻擊。帶寬攻擊指以極大的通信量沖擊網絡，使得所有可用網絡資源都被消耗殆盡,最后導致合法的用戶請求無法通過。SQL注入攻擊是黑客對數據庫進行攻擊的常用手段之一。隨著B/S模式應用開發的發展，使用這種模式編寫應用程序的程序員也越來越多。但是由于程序員的水平及經驗也參差不齊，相當大一部分程序員在編寫代碼的時候，沒有對用戶輸入數據的合法性進行判斷，使應用程序存在安全隱患。用戶可以提交一段數據庫查詢代碼，根據程序返回的結果，獲得某些他想得知的數據，這就是所謂的SQLInjection，即SQL注入。（4）（5）AC因為是源主機一直在發起連接，所以是在源主機上安裝殺毒軟件并進行查殺。已經定位到是某臺主機出現問題，沒必要使用漏洞掃描設備進行掃描。同時把URL加入上網行為管理的黑名單，以禁止主機訪問該網站。【問題3】（6）題目中要求配置vpn對接之后需要互訪的網段，即配置感興趣流本地子網和本地掩碼指的是本端訪問對端的網段，對方子網和對方掩碼指的是對端來訪問本端的網段。同時題目中指出僅允許A的備份服務器和業務服務器和總部的備份服務器通信。所以本地網段是/30，而對端網段是主機00/32【問題4】見答案(3.)某公司網絡劃分為兩個子網，其中設備A是DHCP服務器，如圖3-1所示。【問題1】(6分，每空2分)DHCP在分配IP地址時使用(1)的方式，而此消息不能通過路由器，所以子網2中的客戶端要自動獲得IP地址，不能采用的方式是(2)。DHCP服務器向客戶端出租的IP地址一般有一個租借期限，在使用租期過去(3)時,客戶端會向服務器發送DHCPREQUEST報文延續租期。(1)備選答案:A.單播B.多播C.廣播D.組播(2)備選答案:A.子網2設置DHCP服務器B.使用三層交換機作為DHCP中繼C.使用路由器作為DHCP中繼D.IP代理(3)備選答案:A.25%B.50%C.75%D.87.5%【問題2】(5分，每空1分)在設置DHCP服務時，應當為DHCP添加(4)個作用域。子網1按照圖3-2添加作用域，其中子網掩碼為(5)，默認網關為(6)。在此作用域中必須排除某個IP地址，如圖3-3所示，其中“起始IP地址”處應填寫(7)。通常無線子網的默認租約時間為(8)(8)備選答案:A.8天B.6天C.2天D.6或8小時【問題3】(4分，每空2分)如果客戶機無法找到DHCP服務器，它將從(9)網段中挑選一個作為自己的IP地址，子網掩碼為(10)。(9)備選答案:A.B.C.D.正確答案：參考解析：【問題1】（1）C（2）D（3）B【問題2】（4）2（5）（6）54（7）0（8）D【問題3】（9）C（10）【問題1】（1）A或C（此題有爭議），部分書本是描述dhcp的4個過程全是廣播包。但是有些描述是服務器以單播回應。根據RFC文檔，服務器回應數據包時，以單播還是廣播回應取決于數據包中的bootpflag字段是否置1。（2）D代理IP可以用來隱藏真實IP，類似于NAT，訪問網站是通過代理服務器來做一個中轉，所以目標服務器只能看到代理服務器的IP地址（3）B客戶端主機獲取到ip后，當租約到達50%，會向服務器發送dhcprequest報文延續租期。【問題2】（4）圖中有2個子網，需要給2個子網分配ip地址。所以需要2個作用域（5）可以從圖3-1中看出子網A的掩碼是24位，所以子網掩碼是（6）默認網關是路由器的接口54（7）分配ip的范圍為5—00，dhcp服務器的ip0在這個范圍內，所以需要排除掉這個地址（8）通過無線獲取的ip地址，租約一般以小時為單位【問題3】（9）（10）當獲取不到ip時，會自動獲取一個/16網段中的地址(4.)公司內部有兩個網段，/24和/24,使用三層交換機SwitchB實現VLAN間路由。為提高用戶體驗，網絡管理員決定帶寬要求較高的網段的的數據通過高速鏈路訪問互聯網,帶寬要求較低的網段的數據通過低速鏈路訪問互聯網。請根據描述，將以下配置代碼補充完整。[SwitchB]acl3000[SwitchB-acl-adv-3000]rulepermitipsource55destination55[SwitchB-acl-adv-3000]rulepermitipsource55destination55[SwitchB-acl-adv-3000]quit[SwitchB]acl3001//匹配內網/24網段的用戶數據流[SwitchB-acl-adv-3001]rulepermitipsource(1)55[SwitchBacl-adv-3001]quit[SwitchB]acl3002//匹配內網/24網段的用戶數據流[SwitchB-acl-adv-3002]rulepermitip(2)55[SwitchB-acl-adv-3002]quit[SwitchB]trafficclassifierc0operatoror[SwitchB-classifier-c0](3)acl3000[SwitchB-classifer-c0]quit[SwitchB]trafficclassifierc1(4)or[SwitchB-classifier-c1]if-matchacl3001[SwitchB-classifer-c1]quit[SwitchB]trafficclassifierc2operatoror[SwitchB-classifer-c2]if-matchacl(5)[SwitchB-classfer-c2](6)[SwitchB]trafficbehaviorb0[SwitchB-behavior-b0](7)[SwitchB-behavior-b0]quit[SwitchB]trafficbehaviorb1[SwitchB-behavior-b1]redirectip-nexthop(8)[SwitchB-behavior-b1]quit[SwitchB]trafficbehaviorb2[SwitchB-behavior-b2]redirectip-nexthop(9)[SwitchB-behavior-b2]quit[SwitchB]trafficpolicyp1[SwitchB-trafficpolicy-p1]classifierc0behavior(10)[SwitchB-trafficpolicy-p1]classifierc1behavior(11)[SwitchB-trafficpolicy-p1]classifierc2behaviorb2[SwitchB-trafficpolicy-p1]quit[SwitchB]interface(12)[SwitchB-GigabitEthenet0/0/3]traffic-policypl(13)SwitchB-GigabitEthernet0/0/3]return【問題2】(2分)在問題1的配置代碼中，配置ACL3000的作用是:(14)。【問題3】(5分，每空1分)公司需要訪問Intermet公網,計劃通過配置NAT實現私網地址到公網地址的轉換,ISP1公網地址范圍為~；ISP2公網地址范圍為~。請根據描述，將下面的配置代碼補充完整。.....[SwitchB]nataddress-group0[SwitchB]nataddress-group1[SwitchB]aclnumber2000[SwitchB-acl-basic-2000]rule5(15)source55[SwitchB]aclnumber2001[SwitchB-acl-basic-2001]rule5permitsource55[SwitchB]interfaceGigabitEthernet0/0/3[SwitchB-GigabitEthernet0/0/3]natoutbound(16)addressgroup0no-pat[SwitchB-GigabitEthernnet0/0/3]natoutbound(17)addressgroup1no-pat[SwitchB-GigabitEthernet0/0/3]quit[SwitchB]iproute-static(18)[Sw