原创试题专区
开通学校服务
试卷简介
本套试卷集合了考试编委会的理论成果。专家们为考生提供了题目的答案,并逐题进行了讲解和分析。每道题在给出答案的同时,也给出了详尽透彻的解析,帮助考生进行知识点的巩固和记忆,让考生知其然,也知其所以然,从而能够把知识灵活自如地运用到实际中去。
试卷预览
1.[说明]某企业网络拓扑图如图1-1所示。该网络可以实现的网络功能有:
1.汇聚层交换机A与交换机B采用VRRP技术组网;
2.用防火墙实现内外网地址转换和访问策略控制;
3.对汇聚层交换机、接入层交换机(各车间部署的交换机)进行VLAN划分。
【问题1】(6分)
为图1-1中的防火墙划分安全域,接口①应配置为(1)区域,接口②应配置为(2)区域,接口③应配置为(3)区域。
【问题2】 (4分)
VRRP技术实现(4)功能,交换机A与交换机B之间的连接线称为(5)线,其作用是(6).
【问题3】 (6分)
图1-1中PC1的网关地址是(7);在核心交换机上配置与防火墙互通的默认路由,其目标地址应是(8);若禁止PC1访问财务服务器,应在核心交换机上采取(9)措施实现。
【问题4】 (4分)
若车间1增加一台接入交换机C,该交换机需要与车间1接入层交换机进行互连,其连接方式有(10)和(11);其中(12)方式可以共享使用交换机背板带宽,(13)方式可以使用双绞线将交换机连接在一起。
1.汇聚层交换机A与交换机B采用VRRP技术组网;
2.用防火墙实现内外网地址转换和访问策略控制;
3.对汇聚层交换机、接入层交换机(各车间部署的交换机)进行VLAN划分。
【问题1】(6分)
为图1-1中的防火墙划分安全域,接口①应配置为(1)区域,接口②应配置为(2)区域,接口③应配置为(3)区域。
【问题2】 (4分)
VRRP技术实现(4)功能,交换机A与交换机B之间的连接线称为(5)线,其作用是(6).
【问题3】 (6分)
图1-1中PC1的网关地址是(7);在核心交换机上配置与防火墙互通的默认路由,其目标地址应是(8);若禁止PC1访问财务服务器,应在核心交换机上采取(9)措施实现。
【问题4】 (4分)
若车间1增加一台接入交换机C,该交换机需要与车间1接入层交换机进行互连,其连接方式有(10)和(11);其中(12)方式可以共享使用交换机背板带宽,(13)方式可以使用双绞线将交换机连接在一起。
2.[说明] 某企业的网络结构如图3-1所示。
图 3-1 企业网络拓扑结构
按照网络拓扑结构为该企业网络进行网络地址配置,地址分配如表3-1所示。
[问题1](4分)
企业网络中使用私有地址,如果内网用户要访问互联网,一般使用(1)技术将私有网络地址转换为公网地址.在使用该技术时,往往是用(2)技术指定允许转换的内部主机地址范围。一般来说:企业内网服务器需要被外部用户访问,就必须对其做地址变换,内部服务器映射的公共地址不能随意更换,需要使用(3)NAT技术。但是对于企业内部用户来讲,使用一一映射的技术为每个员工配置一个地址很不现实,一般使用(4)NAT技术以提高管理效率。
[问题2](7分)
一般企业用户可能存在于任何一家运营高的网络中,为了确保每个运营商网络中的客户都可以高效地访问本企业所提供的网络服务,企业有必要同时接入多个运营商网络,根据企业网络的拓扑图和网络地址规划表,实现该企业出口的双线接入。
首先,为内网用户配置NAT转换,其中以61.192.93.0/24代表ISP-A所有网段;其次为外网用户访问内网服务器配置NAT转换。根据需求,完成以下Route-NAT的有关配置命令。
…
Route-Switch(config)#access-list 100 permit ip any 61.192.93.0 0.0.0.255
//定义到达ISP-A所有网段的ACL
Route-Switch(config)#access-Iist 101 (5)ip any 61.192.93.0 0.0.0.255
Route-Sw:itch(config)#access-Iist l01 (6)
//定义到达ISP-B所有网段的ACL
Route-Switch(config)#ip nat pool ISP-A (7) netmask 255.255.255.0
//定义访问ISP-A的合法地址池
Route-Switch(config)#ip nat pool ISP-B (8) netmask 255.255.255.0
//定义访问ISP-B的合法地址池
Route-Switch(config)#ip nat inside source list 100 pool ISP-A overload
Route-Switch(confg)#ip nat inside source (9)
//为内网用户实现区分目标运营商网络进行匹配的NAT转换
Route-Switch(config)# ip nat inside source static tcp (10) extendable
//为内网WEB服务器配置ISP-A的静态NAT转换
Route-Switch(config)# ip nat inside source static tcp (11) extendable
//为内网WEB服务器配置ISP-B的静态NAT转换
[问题3](6分)
在路由器的内部和外部接口启用NAT,同时为了确保内网可以访问外部网络,在出口设备配置静态路由。根据需求,完成(或解释)Route-NAl-的部分配置命令。
Route-Switch(config)#int s0
Route-Switch(config)# (12)//指定NAT的外部转换接口
Route-Switch(config)#int s1
Route-Switch(config)# (13)//指定NAT的外部转换接口
Route-Switch(config)#int f0/1
Route-Switch(config)# (14)//指定NAT的内部转换接口
Route-Switch(config)# (15)//配置到达ISP-A的流量从s0口转发
Route-Switch(config)# (16) //配置默认路由指定从s1口转发
Route-Switch(config)#ip route 0.0.0.0 0.0.0.0 s0 120 // (17)
[问题4](3分)
QoS(服务质量)主要用来解决网络延迟和阻塞等问题,它主要有三种工作模式,分别为(18)模型、Integrated service(或集成服务)模型及(19)模型,其中使用比较普遍的方式是(20)模型。
图 3-1 企业网络拓扑结构
按照网络拓扑结构为该企业网络进行网络地址配置,地址分配如表3-1所示。
[问题1](4分)
企业网络中使用私有地址,如果内网用户要访问互联网,一般使用(1)技术将私有网络地址转换为公网地址.在使用该技术时,往往是用(2)技术指定允许转换的内部主机地址范围。一般来说:企业内网服务器需要被外部用户访问,就必须对其做地址变换,内部服务器映射的公共地址不能随意更换,需要使用(3)NAT技术。但是对于企业内部用户来讲,使用一一映射的技术为每个员工配置一个地址很不现实,一般使用(4)NAT技术以提高管理效率。
[问题2](7分)
一般企业用户可能存在于任何一家运营高的网络中,为了确保每个运营商网络中的客户都可以高效地访问本企业所提供的网络服务,企业有必要同时接入多个运营商网络,根据企业网络的拓扑图和网络地址规划表,实现该企业出口的双线接入。
首先,为内网用户配置NAT转换,其中以61.192.93.0/24代表ISP-A所有网段;其次为外网用户访问内网服务器配置NAT转换。根据需求,完成以下Route-NAT的有关配置命令。
…
Route-Switch(config)#access-list 100 permit ip any 61.192.93.0 0.0.0.255
//定义到达ISP-A所有网段的ACL
Route-Switch(config)#access-Iist 101 (5)ip any 61.192.93.0 0.0.0.255
Route-Sw:itch(config)#access-Iist l01 (6)
//定义到达ISP-B所有网段的ACL
Route-Switch(config)#ip nat pool ISP-A (7) netmask 255.255.255.0
//定义访问ISP-A的合法地址池
Route-Switch(config)#ip nat pool ISP-B (8) netmask 255.255.255.0
//定义访问ISP-B的合法地址池
Route-Switch(config)#ip nat inside source list 100 pool ISP-A overload
Route-Switch(confg)#ip nat inside source (9)
//为内网用户实现区分目标运营商网络进行匹配的NAT转换
Route-Switch(config)# ip nat inside source static tcp (10) extendable
//为内网WEB服务器配置ISP-A的静态NAT转换
Route-Switch(config)# ip nat inside source static tcp (11) extendable
//为内网WEB服务器配置ISP-B的静态NAT转换
[问题3](6分)
在路由器的内部和外部接口启用NAT,同时为了确保内网可以访问外部网络,在出口设备配置静态路由。根据需求,完成(或解释)Route-NAl-的部分配置命令。
Route-Switch(config)#int s0
Route-Switch(config)# (12)//指定NAT的外部转换接口
Route-Switch(config)#int s1
Route-Switch(config)# (13)//指定NAT的外部转换接口
Route-Switch(config)#int f0/1
Route-Switch(config)# (14)//指定NAT的内部转换接口
Route-Switch(config)# (15)//配置到达ISP-A的流量从s0口转发
Route-Switch(config)# (16) //配置默认路由指定从s1口转发
Route-Switch(config)#ip route 0.0.0.0 0.0.0.0 s0 120 // (17)
[问题4](3分)
QoS(服务质量)主要用来解决网络延迟和阻塞等问题,它主要有三种工作模式,分别为(18)模型、Integrated service(或集成服务)模型及(19)模型,其中使用比较普遍的方式是(20)模型。
3.[说明]某企业总部设立在A地,在B地建有分支机构,分支机构和总部需要在网络上进 行频繁的数据传输,该企业网络采用IPSec VPN虚拟专用网技术实现分支机构和总部 之间安全、快捷、经济的跨区域网络连接。
该企业的网络拓扑结构如图4-1所示。
该企业的网络地址规划及配置如表4-1所示。
[问题1](7分)
为了完成对RouterA和RouterB的远程连接管理,以RouterA为例,完成初始化路 由器,并配置RouterA的远程管理地址(192.168.1.20),同时开启RouterA的Telnet 功能并设置全局配置模式的访问密码,请补充完成下列配置命令。
RouterA >enable
RouterA#configure terminal
RouterA(config)#interface f0/0 //进入 F0/0 的 (1) 于模式
RouterA(config-if)#ip addr (2) //为 F0/0 接口配置 IP 地址
RouterA(config-if)#no shut // (3) FO/O接口,默认所有路由器的接口都为down状态 RouterA(config-iQ#inter (4) //进入 loopback 0 的接口配置子模式
RouterA(config-if)#ip addr (5) // 为 loopback0 接口配置 IP 地址
RouterA(config)# (6) //进入虚拟接口 0-4的配置子模式
RouterA(config4ine)#pass word abc00 1 //配置vty口令为”abc001“
RouterA(config)#enable password abc001 / / 配置全局配置模式的明文密码为“abc001” RouterA(config)# enable (7) abc001 //配置全局配置模式的密文密码为“abc001”
[问题2](5分)
VPN是建立在两个局域网出口之间的隧道连接,所以两个VPN设备必须能够满足内网访问互联网的要求,以及需要配置NAT。按照题目要求以RouterA为例,请补充完 成下列配置命令。
RouterA(config)# access-list 101 ( 8) ip 192.168.1.0 0.0.0.255 172.16.1.0 0.0.0.255 RouterA(config)# access-list 101 (9) ip 192.168.1.0 0.0.0.255 any// 定义需要被 NAT 的数据流 RouterA(config)#ip nat inside source list 101 interface (10) overload // 定义 NAT 转换关系 RouterA(config)#int (11)
RouterA(config-if)#ip nat inside
RouterA(config)#int (12)
RouterA(config-iQ#ip nat outside //定义 NAT 的内部和外部接
[问题3](4分)
配置IPSec VPN时要注意隧道两端的设备配置参数必须对应匹配,否则VPN配置 将会失败。以RouterB为例配置IPSecVPN,请完成相关配置命令。
RouterB(config)# access-list 102 permit ip (13) //定义需要通过 VPN 加密传输的数据流 RouterB(config)#crypto isakmp (14) //启用 ISAKMP(IKE)
RouterB(config)#crypto isakmp policy 10
RouterB(config-isakmp)#authentication pre-share
RouterB(config-isakmp)#encryption des
RouterB(config-isakmp)#hash md5
RouterB (config-isakmp)#group 2
RouterB(config)#crypto isakmp identity address
RouterB(config)#crypto isakmp key abcOOl address (15) //指定共享密钥和对端设备地址 RouterB (config)#crypto ipsec transform-set ccie esp-des esp_md5_hmac
RouterB (cfg-crypto-trans)#model tunnel
RouterB(config)#crypto map abcOOl 10 ipsec-isakmp
RouterB(config)#int (16)
RouterB(config)-if)#crypto map abc001 // 在外部接口上应用加密图
[问题4]
根据题目要求,企业分支机构与总部之间采用 IPSec VPN 技术互连,IPSec(IP Security) 是IETE 为保证在Internet 上传送数据的安全保密性而制定的框架协议,该协议用用在 17 层,用于保证和认证用户IP数据包。
IP S ec VPN 可使用的模式有两种,其中 18 模式的安全性较强, 19 模式的安全性较弱。IPSec主要由AH/ESP和IKE组成,在使用IKE协议时,需要定义IKE协商策略,该策略由 20 进行定义。
该企业的网络拓扑结构如图4-1所示。
该企业的网络地址规划及配置如表4-1所示。
[问题1](7分)
为了完成对RouterA和RouterB的远程连接管理,以RouterA为例,完成初始化路 由器,并配置RouterA的远程管理地址(192.168.1.20),同时开启RouterA的Telnet 功能并设置全局配置模式的访问密码,请补充完成下列配置命令。
RouterA >enable
RouterA#configure terminal
RouterA(config)#interface f0/0 //进入 F0/0 的 (1) 于模式
RouterA(config-if)#ip addr (2) //为 F0/0 接口配置 IP 地址
RouterA(config-if)#no shut // (3) FO/O接口,默认所有路由器的接口都为down状态 RouterA(config-iQ#inter (4) //进入 loopback 0 的接口配置子模式
RouterA(config-if)#ip addr (5) // 为 loopback0 接口配置 IP 地址
RouterA(config)# (6) //进入虚拟接口 0-4的配置子模式
RouterA(config4ine)#pass word abc00 1 //配置vty口令为”abc001“
RouterA(config)#enable password abc001 / / 配置全局配置模式的明文密码为“abc001” RouterA(config)# enable (7) abc001 //配置全局配置模式的密文密码为“abc001”
[问题2](5分)
VPN是建立在两个局域网出口之间的隧道连接,所以两个VPN设备必须能够满足内网访问互联网的要求,以及需要配置NAT。按照题目要求以RouterA为例,请补充完 成下列配置命令。
RouterA(config)# access-list 101 ( 8) ip 192.168.1.0 0.0.0.255 172.16.1.0 0.0.0.255 RouterA(config)# access-list 101 (9) ip 192.168.1.0 0.0.0.255 any// 定义需要被 NAT 的数据流 RouterA(config)#ip nat inside source list 101 interface (10) overload // 定义 NAT 转换关系 RouterA(config)#int (11)
RouterA(config-if)#ip nat inside
RouterA(config)#int (12)
RouterA(config-iQ#ip nat outside //定义 NAT 的内部和外部接
[问题3](4分)
配置IPSec VPN时要注意隧道两端的设备配置参数必须对应匹配,否则VPN配置 将会失败。以RouterB为例配置IPSecVPN,请完成相关配置命令。
RouterB(config)# access-list 102 permit ip (13) //定义需要通过 VPN 加密传输的数据流 RouterB(config)#crypto isakmp (14) //启用 ISAKMP(IKE)
RouterB(config)#crypto isakmp policy 10
RouterB(config-isakmp)#authentication pre-share
RouterB(config-isakmp)#encryption des
RouterB(config-isakmp)#hash md5
RouterB (config-isakmp)#group 2
RouterB(config)#crypto isakmp identity address
RouterB(config)#crypto isakmp key abcOOl address (15) //指定共享密钥和对端设备地址 RouterB (config)#crypto ipsec transform-set ccie esp-des esp_md5_hmac
RouterB (cfg-crypto-trans)#model tunnel
RouterB(config)#crypto map abcOOl 10 ipsec-isakmp
RouterB(config)#int (16)
RouterB(config)-if)#crypto map abc001 // 在外部接口上应用加密图
[问题4]
根据题目要求,企业分支机构与总部之间采用 IPSec VPN 技术互连,IPSec(IP Security) 是IETE 为保证在Internet 上传送数据的安全保密性而制定的框架协议,该协议用用在 17 层,用于保证和认证用户IP数据包。
IP S ec VPN 可使用的模式有两种,其中 18 模式的安全性较强, 19 模式的安全性较弱。IPSec主要由AH/ESP和IKE组成,在使用IKE协议时,需要定义IKE协商策略,该策略由 20 进行定义。
4.[说明]某学校的网络拓扑结构图如图2-1所示。
问题:2.1 常用的IP访问控制列表有两种,它们是编号为(1)和1300~1999标准访问控制列表和编为(2)和2000~2699的扩展访问控制列表、其中,标准访问控制列表是根据IP报的(3)来对IP报文进行过滤,扩展访问控制列表是根据IP报文的(4)、(5)、上层协议和时间等来对IP报文进行过滤。一般地,标准访问控制列表放置在靠近(6)的位置,扩展访问控制列表放置在靠近(7)的位置。
问题:2.2 为保障安全,使用ACL对网络中的访问进行控制。访问控制的要求如下:
(1)家属区不能访问财务服务器,但可以访问互联网;
(2)学生宿舍区不能访问财务服务器,且在每天晚上18:00~24:00禁止访问互联网;
(3)办公区可以访问财务服务器和互联网;
(4)教学区禁止访问财务服务器,且每天8:00~18:00禁止访问互联网。
1.使用ACL对财务服务器进行访问控制,请将下面配置补充完整。
R1(config)#access-list 1 (8)(9) 0.0.0.255
R1(config)#access-Iist 1 deny 172.16.10.0 0.0.0.255
R1(config)#access-list 1 deny 172.16.20.0 0.0.0.255
R1(config)#access-Iist 1 deny (10)0.0.0.255
R1(config)#interface (11)
R1(config-if)#ip access-group 1 (12)
2.使用ACL对Internt进行访问控制,请将下面配置补充完整。
Route-Switch(config)#time-range jsp //定义教学区时间范围
Route-Switch(config-time-range)# periodic daily (13)
Route-Switch(config)#time-range xsssq //定义学生宿舍区时间范围
Route-Switch(config-time-range)#periodic (14) 18:00 to 24:00
Route-Switch(config-time-range)#exit
Route-Switch(config)#access-list 100 permit ip 172.16.10.0 0.0.0.255 any
Route-Switch(config)#access-list 100 permit ip 172.16.40.0 0.0.0.255 any
Route-Switch(config)#access-list 100 deny ip(15)0.0.0.255 time-range jsp
Route-Switch(config)#access-list 100 deny ip(16)0.0.0.255 time-range xsssq
Route-Switch (config)#interface(17)
Route-Switch(config-if)# ip access-group 100 out
问题:2.3 网络在运行过程中发现,家属区网络经常受到学生宿舍区网络的DDoS攻击,现对家属区网络和学生宿舍区网络之间的流量进行过滤,要求家属区网络可访问学生宿舍区网络,但学生宿舍区网络禁止访问家属区网络。
采用自反访问列表实现访问控制,请解释配置代码。
Route-Switch(config)#ip access-list extended infilter
Route-Switch(config-ext-nacl)#permit ip any 172.16.20.0 0.0.0.255 reflect jsp //(18)
Route-Switch(config-ext-nacl)#exit
Route-Switch(config)#ip access-list extended outfilter
Route-Switch(config-ext-nacl)# evaluate jsp //(19)
Route-Switch(config-ext-nacl)#exit
Route-Switch(config)#interface fastethernet 0/1
Route-Switch(config-if)#ip access-group infilter in
Route-Switch(config-if)#ip access-group outfilter out //(20)
问题:2.1 常用的IP访问控制列表有两种,它们是编号为(1)和1300~1999标准访问控制列表和编为(2)和2000~2699的扩展访问控制列表、其中,标准访问控制列表是根据IP报的(3)来对IP报文进行过滤,扩展访问控制列表是根据IP报文的(4)、(5)、上层协议和时间等来对IP报文进行过滤。一般地,标准访问控制列表放置在靠近(6)的位置,扩展访问控制列表放置在靠近(7)的位置。
问题:2.2 为保障安全,使用ACL对网络中的访问进行控制。访问控制的要求如下:
(1)家属区不能访问财务服务器,但可以访问互联网;
(2)学生宿舍区不能访问财务服务器,且在每天晚上18:00~24:00禁止访问互联网;
(3)办公区可以访问财务服务器和互联网;
(4)教学区禁止访问财务服务器,且每天8:00~18:00禁止访问互联网。
1.使用ACL对财务服务器进行访问控制,请将下面配置补充完整。
R1(config)#access-list 1 (8)(9) 0.0.0.255
R1(config)#access-Iist 1 deny 172.16.10.0 0.0.0.255
R1(config)#access-list 1 deny 172.16.20.0 0.0.0.255
R1(config)#access-Iist 1 deny (10)0.0.0.255
R1(config)#interface (11)
R1(config-if)#ip access-group 1 (12)
2.使用ACL对Internt进行访问控制,请将下面配置补充完整。
Route-Switch(config)#time-range jsp //定义教学区时间范围
Route-Switch(config-time-range)# periodic daily (13)
Route-Switch(config)#time-range xsssq //定义学生宿舍区时间范围
Route-Switch(config-time-range)#periodic (14) 18:00 to 24:00
Route-Switch(config-time-range)#exit
Route-Switch(config)#access-list 100 permit ip 172.16.10.0 0.0.0.255 any
Route-Switch(config)#access-list 100 permit ip 172.16.40.0 0.0.0.255 any
Route-Switch(config)#access-list 100 deny ip(15)0.0.0.255 time-range jsp
Route-Switch(config)#access-list 100 deny ip(16)0.0.0.255 time-range xsssq
Route-Switch (config)#interface(17)
Route-Switch(config-if)# ip access-group 100 out
问题:2.3 网络在运行过程中发现,家属区网络经常受到学生宿舍区网络的DDoS攻击,现对家属区网络和学生宿舍区网络之间的流量进行过滤,要求家属区网络可访问学生宿舍区网络,但学生宿舍区网络禁止访问家属区网络。
采用自反访问列表实现访问控制,请解释配置代码。
Route-Switch(config)#ip access-list extended infilter
Route-Switch(config-ext-nacl)#permit ip any 172.16.20.0 0.0.0.255 reflect jsp //(18)
Route-Switch(config-ext-nacl)#exit
Route-Switch(config)#ip access-list extended outfilter
Route-Switch(config-ext-nacl)# evaluate jsp //(19)
Route-Switch(config-ext-nacl)#exit
Route-Switch(config)#interface fastethernet 0/1
Route-Switch(config-if)#ip access-group infilter in
Route-Switch(config-if)#ip access-group outfilter out //(20)
5.
阅读以下说明,回答问题1至问题3,将解答填入答题纸对应的解答栏内。
[说明]某单位网络拓扑结构如图1-1所示。
问题:1.1 (10分)
1.结合网络拓扑图1-1,将SwitchA业务数据规划表中的内容补充完整。
2.根据表1-1中的ACL策略,业务部门不能访问(5)网段。
问题:1.2 (4分)
根据表1-1及图1-1可知,在图1-1中为了保护内部网络,实现包过滤功能,位置A应部署(6)设备,其工作在(7)模式.
问题:1.3 (6分)
根据图1-1所示,公司采用两条链路接入Internet,其中,ISP 2是(8)链路。路由器AR2200的部分配置如下:
detect-group 1
detect-list 1 ip address 142.1.1.1
timer loop 5
ip route-static 0.0.0.0 0.0.0.0 Dialer 0 preference 100
ip route-static 0.0.0.0 0.0.0.0 142.1.1.1 preference 60 detect-group 1
由以上配置可知,用户默认通过(9)访问Internet,该配置片段实现的网络功能是(10)。
(8)备选答案:
A.以太网 B.PPPOE
(9)备选答案:
A.ISP1 B.ISP2
最新推荐
相关试卷
