试题一(20分)
阅读以下说明,回答问题1至问题4,将解答填入答题纸对应的解答栏内。
【说明】
某分支机构网络拓扑图如1-1所示,该网络通过 BGP 接收总部网络路由,设备1与设备2作为该网络的网关设备,且运行VRRP(虚拟网络冗余协议),与出口设备运行OSPF。
该网络规划两个网段10.11.229.0/24 和10.11.230.0/24,其中10.11.229.0网段只能访问总部网络。10.11.230.0网段只能访问互联网。
图1
【问题1】(4分)
分支机构有营销部、市场部、生产部、人事部四个部门,每个部门需要访问互联网主机数量如表所示,现计划对网段10.11.230.0/24进行子网划分,为以上四个部分规划IP地址,请补充表中的空(1)-(4)。
【解析】:
10.11.230.0/24先划分2个子网,满足营销部和市场部的需求,10.11.230.0/25和10.11.230.128/25,从营销部和市场部的已知条件“子网掩码:255.255.255.128”来看,10.11.230.0/25分给营销部,所以(1)空是10.11.230.0;
10.11.230.128/25继续划分2个子网10.11.23.128/26和10.111.23.192/26。10.11.23.128/26分给市场部,可以满足50台主机数量要求,子网掩码为255.255.255.192,所以(2)是255.255.255.192;
而10.11.23.192/26继续划分2个子网10.11.23.192/27和10.11.23.224/27,生产部用10.11.23.224/27,可满足25台主机数量要求,所以(3)10.11.23.224;
而10.11.23.192/27继续划分2子网10.11.23.192/28和10.11.23.208/28,人事部为10.11.23.208/28。(4)为255.255.255.240。
【参考答案】:
(1)10.11.230.0
(2)255.255.255.192
(3)10.11.230.224
(4)255.255.255.240
【问题2】(8分)
在该网络中为避免环路,应该在交换机上配置 (5) ,生成BGP路由有network与import两种方式,以下描述正确的是 (6) (7) (8)。
空(6)-(8)备选答案:
A. network方式逐条精确匹配路由
B. network方式优先级高
C. import方式按协议类型引入路由
D. import 方式逐条精确匹配路由
E. network方式按协议类型引入路由
F. import方式优先级高
【解析】:
交换机上配置生成树协议(STP),可以避免二层环路。
生成BGP路由的方式有两种,第一种是network,第二种是import。network宣告的路由属于内部路由,import引入的路由属于外部路由,优先级完全不一样,华为设备内部路由优先级为10,外部路由优先级为150。
network命令是逐条将IP路由表中已经存在的路由引入到BGP路由表中;import是根据运行的路由协议将路由引入到BGP路由表中,同时import可以引入直连和静态路由。
【参考答案】:
(5)生成树协议
(6)A
(7)B
(8)C 备注:(6)(7)(8)顺序可调整
【问题3】(4分)
若设备1处于活动状态(Master),设备2的状态在哪条链路出现故障时会发生改变?请说明状态改变的原因。
【解析】:
设备1和设备2之间运行VRRP协议,其中linke是VRRP心跳线,用于传输VRRP协议报文,若link e链路出现故障会导致设备2(backup状态)无法收到master发送过来的VRRP报文,就认为master 设备出现了故障,从而进行设备角色的切换。
【参考答案】:
link e或e,
在VRRP中,master设备会周期性发送VRRP协议报文,如果backup设备在一定时间内无法收到master发送过来的VRRP报文,就认为master 设备出现了故障,从而进行设备角色的切换。
【问题4】(4分)
如果路由器与总部网络的线路中断,在保证数据安全的前提下,分支机构可以在客户端采用什么方式访问总部网络?在防火墙上采用什么方式访问总部网络?
【解析】:
要保证数据安全的前提下,则需要使用VPN技术来保障通过公共的因特网访问总部网络的数据传输安全。
由于分支机构要使用客户端方式访问,所以一般使用SSL VPN方式,客户端安装SSL VPN客户端软件进行登录验证从而建立VPN连接;
防火墙和总部之间一般使用IPSEC VPN,和总部建立IPSEC隧道,同时也要允许10.11.229.0网段访问互联网。
【参考答案】:
SSL VPN,IPSEC VPN
试题二(20分)
阅读以下说明,回答问题1至问题 4,将解答填入答题纸对应的解答栏内。
【说明】
如图2-1,为某公司的网络拓扑图。
图2-1
【问题1】(6分)
某日,网站管理员李工报告网站访问慢,他查看了互联网接入区防火墙的日志。日志如图2-2:
图2-2
根据日志显示,初步判断该公司服务器遭到 (1) 攻击。该种攻击最常见的攻击方式为 (2) 、 (3) 等,李工立即开启防火墙相关防护功能,几分钟后,服务器恢复了正常使用。
空(1)-(3)备选答案:
A.ARP
B.蜜罐
C.DDoS
D.SQL 注入
E.IP 地址欺骗
F.ICMP flood
G.UDP flood
【解析】:
根据题目中的攻击类型“ack flood”,ACK Flood攻击是指攻击者通过僵尸网络向目标服务器发送大量的ACK报文,报文带有超大载荷引起链路拥塞,或者是极高速率的变源变端口的请求导致转发的设备异常从而引起网络瘫痪,或者是消耗服务器处理性能,从而使被攻击服务器拒绝正常服务。从而初步判断该公司服务器遭到DDos攻击。
DDoS即分布式拒绝服务攻击:指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DDoS攻击,从而成倍地提高拒绝服务攻击的威力。由于其隐蔽性和分布性很难被识别和防御,DDoS攻击技术发展十分迅速。这种攻击规模大、危害性强。包括ACK flood,SYN Flood,ICMP flood,UDP flood等。
【参考答案】:
(1)C
(2)F
(3)G
【问题2】(8分)
某日,10层区域用户反映,上网时断时续,网络管理员李工经过现场勘查,发现该用户通过DHCP获取到192.168.1.0/24 网段的地址,而公司该楼层分配的地址段为10.10.10.1/24,经判断该网络有用户私接路由器,于是李工在楼层的接入交换机上开启交换机 (4) 功能后,用户上网正常,同事开启 (5) 功能后,可防止公司内部电脑感染病毒,伪造MAC地攻击网关。
空(4)-(5)备选答案:
A.ARP detection
B.DHCP
C.DHCP Relay
D.DHCP Snooping
为加强终端接入管理,李工对接入交换机配置限制每个端口只能学习1个终端设备的MAC地址,具体如下:
interface GigabitEthernet 0/0/1
port-security (6)
port-security-mac-num mac-number (7)
【解析】:
用户获取的地址非规划分配的地址段IP地址,可判断网络中有其他非法DHCP服务器,而最常见的原因是用户私接路由器,并将路由器的LAN口接入公司网络线路,导致路由器自带的DHCP服务器向公司内网分配IP地址。
在接入交换机上启用DHCP Snooping功能,将接入交换机的上行接口设置为DHCP trust接口属性,其他接口设置为untrunst接口,这样既使用户私接路由器且错误接入的情况下,路由器的DHCP响应报文送入接入交换机的untrunst接口(只有trust接口才会接收DHCP响应报文)。
ARP detection功能主要应用于接入设备上,对于合法用户的ARP报文进行正常转发,否则直接丢弃,从而防止仿冒用户、仿冒网关的攻击。交换机上开启ARP detection功能后会对于ARP非信任端口要进行用户合法性检查,以防止仿冒用户的攻击。用户合法性检查是根据ARP报文中源IP地址和源MAC地址检查用户是否是所属VLAN所在端口上的合法用户,包括基于IP Source Guard静态绑定表项的检查、基于DHCP Snooping安全表项的检查等。
port-security enable命令用来使能端口安全功能,port-security max-mac-num命令用来配置端口安全MAC地址学习限制数。
【参考答案】:
(4)D
(5)A
(6)enable
(7)1
【问题3】(4分)
随着业务发展,公司需对存储系统升级,当前需要存储的数据主要为数据库、ERP、图片、视频、文档等。其中,数据库、ERP 采用几个SSD 硬盘存储,使用RAID 5冗余技术。该冗余技术通过 (8) 方式来实现数据冗余保护,每个RAID组至少应配备 (9) 块硬盘。
【解析】:
RAID5采用奇偶校验方式,把数据和相对应的奇偶校验信息存储到组成RAID5的各个磁盘上,并且奇偶校验信息和相对应的数据分别存储于不同的磁盘上,其中任意N-1块磁盘上都存储完整的数据,也就是说有相当于一块磁盘容量的空间用于存储奇偶校验信息。因此当RAID5的一个磁盘发生损坏后,不会影响数据的完整性,从而保证了数据安全。当损坏的磁盘被替换后,RAID还会自动利用剩下奇偶校验信息去重建此磁盘上的数据,来保持RAID5的高可靠性。
RAID5最少3块磁盘。
【参考答案】:
(8)奇偶校验
(9)3
【问题4】(2分)
要求存储系统在不中断业务的基础上,快速获得一个LUN 在某个时刻的完整数据拷贝进行业务分析,可以使用 (10) 功能实现。
空(10)备选答案:
A.快照
B.镜像
C.远程复制
D.LUN拷贝
【解析】:
本题要求快速获得一个LUN 在某个时刻的完整数据拷贝,选项中只有“快照”可以快速获取特定时刻的完整数据拷贝。快照可以在数据盘保存指定时刻的数据, 快照和备份恢复速度快。
【参考答案】:
(10)A
试题三(20分)
阅读以下说明,回答问题1至问题 3,将解答填入答题纸对应的解答栏内。
【说明】
图为某公司的总部和分公司网络拓扑,分公司和总部数据中心通过ISP1的网络和ISP2的网络互连。并且连接5G出口作为应急链路,分公司和总部数据中心交互的业务有语音、视频、FTP 和 HTTP 四种。要求通过配置策略路由实现分公司访问业务分流。配置网络质量分析(NQA)与静态路由联动实现链路冗余。其中,语音和视频以ISP1为主链路、ISP2为备份;FTP和HTTP以ISP2为主链路,ISP1为备份。
【问题1】(4分)
通过在 R1 上配置策略路由,以实现分公司访问总部的流量可根据业务类型分组到L1和L2两条链路并形成主备关系,首先完成 ACL相关配置。
配置 R1 上的 ACL 来定义流。
首先定义视频业务流ACL 2000:
[R1] acl 2000
[R1-acl-basic-2000] rule 1 permit destination (1) 0.0.255.255
[R1-acl-basic-2000] quit
定义Web 业务流ACL 3000:
[R1] acl 3000
[R1-acl-adv-3000] rule 1 permit tcp destination any destination-port (2) 0.0.255.255
[R1-acl-basic-3000] quit
【解析】:
根据图中视频业务服务器的IP地址是2.2.2.11,且ACL2000中的通配符为0.0.255.255,则可推断ACL3000中的目标网络地址为2.2.0.0。
ACL 3000用于定义Web 业务流,Web是基于HTTP协议访问,其传输层为TCP协议,服务器的端口号默认为80,在ACL中为:destination-port eq 80。
【备注】:
本题中错误中两处:1、ACL 2000是基本ACL,不能配置目标地址;2、ACL 中rule 1最后的0.0.255.255是多余的。
【参考答案】:
(1)2.2.0.0
(2)eq 80
【问题2】(8分)
完成R1策略路由剩余相关配置。
1、创建流分类,匹配相关 ACL定义的流
[R1] traffic classifier video
[R1-classifier-video] if-match acl 2000
[R1-classifier-video] quit
[R1] traffic classifier web
[R1-classifier-web] if-match acl 3000
[R1-classifier-web] quit
2、创建流行为并配置重定向
[R1] traffic behavior b1
[R1-behavior-b1] redirect ip-nexthop (3)
[R1-behavior-b1] quit
[R1] traffic behavior b2
[R1-behavior-b2] redirect ip-nexthop (4)
[R1-behavior-b2] quit
3、创建流策略,并在接口上应用。
[R1] traffic policy p1
[R1-trafficpolicy-p1] classifier video behavior b1
[R1-trafficpolicy-p1] classifier web behavior (5)
[R1-trafficpolicy-p1] quit
[R1] interface GigabitEthernet0/0/0
[R1-GigabitEthernet0/0/0] traffic-policy 1 (6)
[R1-GigabitEthernet0/0/0] quit
【解析】:
根据题目要求“语音和视频以ISP1为主链路、ISP2为备份;FTP和HTTP以ISP2为主链路,ISP1为备份。”以及流策略中的流行为和流动作(重定向),可判断 behavior b1用于视频流量,下一跳为ISP1,即(3)空为30.13.0.3;behavior b1用于HTTP流量,下一跳为ISP2,即(4)空为40.14.0.4; (5)空为web流分类的流动作为b2。
流策略应用在R1的GigabitEthernet0/0/0的入方向,(6)空为inbonud。
【参考答案】:
(3)30.13.0.3
(4)40.14.0.4
(5)b2
(6)inbound
【问题3】(8分)
在总部网络,通过配置静态路由与NQA联动,实现R2对主链路的ICMP监控,如果发现主链路断开,自动切换到备份链路。
在R2上完成如下配置:
1、开启NQA,配置ICMP类型的NQA测试例,检测R2到ISP1和ISP2网关的链路连通状态
ISP1链路探测:
[R2] nqa test-instance admin isp1 //配置名为admin isp1的NQA测试例
……其他配置省略
ISP2链路探测:
[R2] nqa test-instance admin isp2
[R2-nqa-admin-isp2] test-type icmp
[R2-nqa-admin-isp2] destination-address ipv4 (7) //配置NQA测试目的地址
[R2-nqa-admin-isp2] frequency 10 //配置NQA两次测试之间间隔10秒
[R2-nqa-admin-isp2] probe-count 2 //配置NQA测试探针数目为2
[R2-nga-admin-isp2] start now
2、配置静态路由
[R2]ip route-static 30.0.0.0 255.0.0.0 (8) track nqa admin isp1
[R2]ip route-static 40.0.0.0 255.0.0.0 40.24.0.4 track naa admin isp2
[R2]ip route-static 0.0.0.0 0.0.0.0 40.24.0.4 preference 100 track nga admin isp2
[R2]ip route-static 0.0.0.0 0.0.0.0 (9) preference 110 track nqa admin isp1
[R2]ip route-static 0.0.0.0 0.0.0.0 (10) preference 120
【解析】:
(7)空是ISP2线路探测,目的地址是R1连接ISP2的地址40.14.0.1,并与“ip route-static 40.0.0.0 255.0.0.0 40.24.0.4 track naa admin isp2”和“ip route-static 40.0.0.0 255.0.0.0 40.24.0.4 track naa admin isp2”联动,当无法通过ISP2访问分公司时,该两条静态路由失效。
(8)空静态路由配置,ISP1线路,下一跳是30.23.0.3
(9)空为默认路由配置,指向ISP1线路,下一跳是30.23.0.3
(10)空为5G链路,作为应急链路,优先级最低(120),下一跳是50.15.0.5。
【参考答案】:
(7)40.14.0.1
(8)30.23.0.3
(8)30.23.0.3
(10)50.15.0.5
试题四(15分)
阅读以下说明,回答问题1至问题 2,将解答填入答题纸对应的解答栏内。
【说明】
某公司两个机构之间的通信示意图如下图,为保证通信的可靠性,在正常情况下,R1通过GE1/0/1接口与RB通信,GE1/0/2和GE1/0/3接口作为备份接口,当接口故障或者带宽不足时,快速切换到备份接口,由备份接口来承担业务流量或者负载分担。
图4
【问题1】(8分)
评价系统可靠性通常采用MTBF(Mean Time Between Failures,平均故障间隔时间)和MTTR(Mean Time to Repair,平均修复时间)这两个技术指标。其中MTBF是指系统无故障运行的平均时间,通常以 (1) 为单位。MTBF 越 (2) ,可靠性也就越高,在实际的网络中,故障难以避免,保证可靠性的技术从两个方面实现,故障检测技术和链路冗余,其中常见的关键链路冗余有接口备份、 (3) 、(4) 和双机热备份技术。
【解析】:
MTBF:MTBF是指一个系统无故障运行的平均时间,通常以小时为单位。MTBF越大,可靠性也就越高。
MTTR:MTTR是指一个系统从故障发生到恢复所需的平均时间,广义的MTTR还涉及备件管理、客户服务等,是设备维护的一项重要指标。MTTR的计算公式为:MTTR=故障检测时间+硬件更换时间+系统初始化时间+链路恢复时间+路由覆盖时间+转发恢复时间。MTTR值越小,可靠性就越高。
常见的关键链路冗余有接口备份、接口监控组、虚拟路由冗余协议、Smart Link与Monitor Link和双机热备份等技术。
【参考答案】:
(1)小时
(2)大
(3)接口监控组
(4)VRRP 备注:(3)和(4)答案位置可以互换,且答Smart Link、Monitor、链路聚合等符合链路冗余的相关技术均可。
【问题2】(7分)
路由器RA和RB的GE1/0/1接口为主接口,GE1/0/2和GE1/0/3接口分别为备份接口,其优先级分别为30和20,切换延时均为10s。
1. 配置各接口IP 地址及 HostA和HostB之间的静态路由配置 R1 各接口的 IP 地址,RB 的配置略。
<Huawei> (5)
[Huawei] (6) RA
[RA] interface GigabitEthernet 1/0/1
[RA-GigabitEthernet0/0/1] (7) 10.1.1.1 255.255.255.0
[RA-GigabitEthernet0/0/1] quit
.....
#在 RA 上配置去往 Host B所在网段的静态路由。
[RA] (8) 192.168.100.0 24 10.1.1.2
.....
2.在RA 上配置主备接口
[RA] interface GigabitEthernet 1/0/1
[RA-GigabitEthernet1/0/1] (9) interface GigabitEthernet 1/0/2 (10)
[RA-GigabitEthernet1/0/1] standby interface GigabitEthernet 1/0/3 20
[RA-GigabitEthernet1/0/1] standby (11) 10 10
[RA-GigabitEthernet1/0/1] quit
空(5)-(11)
A.sysname/sysn
B. timer delay
C. standby
D.30
E.ip address
F.system-view/sys
G.ip route-static
【解析】:
standby interface命令用来创建主接口的备份接口并配置其优先级。配置接口GE1/0/2、GE1/0/3为接口GE1/0/1的备份接口。其中接口GE1/0/2优先级为30,接口GE1/0/3优先级为20。整数形式,取值范围是0~255,值越大表示优先级越高,缺省值为0。
standby timer delay enable-delay disable-delay命令用来配置主备接口切换延时,缺省时间均为5秒,其中:
enable-delay:指定从主接口切换到备份接口的延时,取值范围为0~65535,单位为秒。
disable-delay:指定从备份接口切换到主接口的延时,取值范围为0~65535,单位为秒。
【参考答案】:
(5)F
(6)A
(7)E
(8)G
(9)C
(10)D
(11)B