注意!从2017年起,下午题目所有设备均为华为设备,命令也以华为设备的命令为准!当然如果用了思科的命令也是有分的,不过多少分就不知道了
阅读以下说明,回答问题1至问题6,将解答填入答题纸对应的解答栏内。
【说明】
某企业的行政部、技术部和生产部分布在三个区域,随着企业对信息化需求的提高,现拟将网络出口链路由单链路升级为双链路,
提升ERP系统服务能力以及加强员工上网行为管控。网络管理员依据企业现有网络和新的网络需求设计了该企业网络拓扑图1-1,
并对网络地址重新进行了规划,其中防火墙设备集成了传统防火墙与路由功能。
问题:1.1 在图1-1的防火墙设备中,配置双出口链路有提高总带宽、(链路冗余备份)、链路负载均衡作用。通过配置链路聚合来提高总带宽,
通过配置(路由)来实现链路负载均衡。
解析:双出口链路好处
1. 可以实现带宽增加:当原先的单出口带宽不足时,可通过双出 口增加出口带宽;
2. 链路冗余:一条链路故障也保证网络联通,起到冗余备份的作用;
3. 负载均衡:负载均衡是双出口合理的分担到外网的流量,可以通过专用负载均衡设备(增 加成本) ,也可以使用路由器的策略路由实现基于源或目的以及业务类型等的负载分担,同 时也可以直接配置等价默认路由 +NAT 双 outside 接口做等价负载均衡。
—————————————————————————————————————————————————————————————————
问题:1.2 防火墙工作模式有路由模式、透明模式、混合模式,若该防火墙接口均配有IP地址,则防火墙工作在(路由)模式,
该模式下,ERP服务器部署在防火墙的(内部)区域。
—————————————————————————————————————————————————————————————————
问题:1.3 若地址规划如图1-1所示,从IP规划方案看该地址的配置可能有哪些方面的考虑?
解析:
从 IP 规划方案来看,每个部门划分三个 VLAN,分配的 IP 子网从192.168.10.0~192.168.20.0,其他未使用 192.168.X.0子网可供扩展的 VLAN 或部门使用
, 每个 VLAN 规划的子网可用主机数大于目前的信息点数,从以后的网络扩展角度来看, VLAN 中或部门的信息点数的增加,
包括无线网络和监控网络的信息点的增加,都可以直接 使用未使用的可用主机地址,而不需要重新增加子网或 VLAN 。
答:各部门终端数的扩展考虑,增加部门或部门 VLAN 的考虑,监控、无线网络 信息点增加的扩展考虑
—————————————————————————————————————————————————————————————————
问题:1.4 该网络拓扑中,上网行为管理设备的位置是否合适?请说明理由。
官方回答:不合适,应该部署在防火墙与核心交换机间使用跨接 /串联的方式接入
个人回答:不合适,上网行为管理设备应直接连接需要管理的设备来直接控制上网行为,而不是单独地连接路由器
解析:上网行为管理设备的位置应该保证内网用户的上网流量经过其设备, 从而实现行为管理 策略。
—————————————————————————————————————————————————————————————————
问题:1.5 该网络中有无线节点的接入,在安全管理方面应采取哪些措施?
解析:WLAN 基本安全主要是无线接入和加密, 其措施可以有 SSID 隐藏、 WEP 或WPA/WAP2加密、 MAC 地址过滤等。
当然对于更负责的安全管理还可以结合 AAA 系统 做认证、授权、计费管理甚至审计等。
官方回答:接入认证、无线加密、隐藏 SSID 、授权管理、审计管理(本题应该有答对 3个即可)
—————————————————————————————————————————————————————————————————
问题:1.6 该网络中视频监控系统与数据业务共用网络带宽,存在哪些弊端?
官方回答:视频监控系统业务流量大,会影响数据业务的通信速率。
个人回答:会造成数据业务在处理数据的时候发生延迟,加重网络的负担
—————————————————————————————————————————————————————————————————
阅读下列说明,回答问题1至问题4,将解答填入答题纸的对应栏内。
【说明】
图2-1是某互联网企业网络拓扑,该网络采用二层结构,网络安全设备有防火墙、入侵检测系统,楼层接入交换机32台,全网划分17个VLAN,
对外提供Web和邮件服务,数据库服务器和邮件服务器均安装CentOS操作系统(Linux平台),Web服务器安装Windows 2008操作系统。
—————————————————————————————————————————————————————————————————
问题:2.1 SAN常见方式有FC-SAN和IP SAN,在图2-1中,数据库服务器和存储设备连接方式为(FC-SAN),//主要是连接了光纤交换机
邮件服务器和存储设备连接方式为(IP SAN)。//主要是没有直接连接光纤交换机,而用普通网线连接到了服务器区汇聚层
虚拟化存储常用文件系统格式有CIFS、NFS,为邮件服务器分配存储空间时应采用的文件系统格式是(CIFS),//系统非WINDOWS,而是LINUX!
为Web服务器分配存储空间应采用的文件系统格式是(NFS)。//系统是WINDOWS!所以必须用NFS格式
—————————————————————————————————————————————————————————————————
问题:2.2 该企业采用RAID5方式进行数据冗余备份。请从存储效率和存储速率两个方面比较RAID1和RAID5两种存储方式,
并简要说明采用RAID5存储方式的原因。
(1)存储效率上, RAID5 的存储利用率为(n-1) /n,RAID1 的存储利用率为1/2,RAID5 存储效率高
(2)存储速率上, RAID5 的速率快于 RAID1,原因:RAID 具有数据安全(可一块硬盘故障) ,读写速度快,空间利用率高、成本低
—————————————————————————————————————————————————————————————————
问题:2.3 网络管理员接到用户反映,邮件登录非常缓慢,按以下步骤进行故障诊断:
1.通过网管机,利用(B跟D都可以)登录到邮件服务器,发现邮件服务正常,但是连接时断时续。
2.使用(A)命令诊断邮件服务器的网络连接情况,发现网络丢包严重,登录服务器区汇聚交换机S1,发现连接邮件服务器的端口数据流量异常,收发包量很大。
3.根据以上情况,邮件服务器的可能故障为(B),应采用(B)的办法处理上述故障。
(5)~(8)备选答案:
(5)A.ping B.ssh C.tracert D.mstsc
(6)A.ping B.telnet C.tracet D.netstat
(7)A.磁盘故障 B.感染病毒 C.网卡故障 D.负荷过大
(8)A.更换磁盘 B.安装防病毒软件,并查杀病毒 C.更换网卡 D.提升服务器处理能力
解析:
1. 远程登录到服务器做诊断或配置可以通过 Telnet、 SSH 、远程桌面等方式:
⏹Telnet 是 C/S 构架的服务,登录后是命令行界面,客户端和服务器间的传输无私密性 保护, 一般用于管理网络设备 (如路由器交换机) 、 LINUX 或 UNIX 服务器主机。
⏹SSH 和 Telnet 类似,但是提供私密性保护;
⏹远程桌面管理,是登录上服务器的图形化界面配置,一般用于登录到 Windows 服务器主机。 也可以用于登录到 Linux 的图形化界面配置,但是需要 Linux 安装桌面组件。(5)中 B 项 没有问题, D 项其实也可以。
2. 使用命令诊断邮件服务器的网络连接情况,发现网络丢包严重,根据“丢包”的文字描述, 应该是 ping 命令。
3. 交换机上某个端口数据流量异常,收发包量很大,可能的原因很多,比如病毒、端口或网卡 物理故障(不是彻底损坏) 、环路导致广播风暴等,本题文字描述体现,登录上服务器成功, 服务正常,个人认为综合考虑,病毒的可能性最大。
—————————————————————————————————————————————————————————————————
问题:2.4 上述企业网络拓扑存在的网络安全隐患有:(A)、(D)、(E)。
(9)~(11)备选答案
A.缺少针对来自局域网内部的安全防护措施
B.缺少应用负载均衡
C.缺少流量控制措施
D.缺少防病毒措施
E.缺少Web安全防护措施
F.核心交换机到服务器区汇聚交换缺少链路冗余措施
G.VLAN划分太多
其他选项是体现网络可靠性、可用性的特征
—————————————————————————————————————————————————————————————————
阅读以下说明,回答问题1至问题4,将解答填入答题纸对应的解答栏内。
【说明】
某公司的IDC(互联网数据中心)服务器Server1采用Windows Server 2003操作系统,IP地址为172.16.145.128/24,
为客户提供Web服务和DNS服务;配置了三个网站,域名分别为www.company1.com、www.company2.com和www.company3.com,
其中company1使用默认端口。基于安全的考虑,不允许用户上传文件和浏览目录。company1.com、company2.com和company3.com
对应的网站目录分别为company1-web、company2-web和company3-web,如图3-1所示。
—————————————————————————————————————————————————————————————————
问题:3.1 为安装Web服务和DNS服务,Server1必须安装的组件有(A)和(B)。
(1)~(2)备选答案:
A.网络服务 B.应用程序服务器 C.索引服务 D.证书服务 E.远程终端
—————————————————————————————————————————————————————————————————
问题:3.2 在IIS中创建这三个网站时,在图3-2中勾选读取、(运行脚本ASP)和执行,并在图3-3所示的文档选项卡中添加(index.htm)为默认文档。
—————————————————————————————————————————————————————————————————
问题:3.3 1、为了节省成本,公司决定在一台计算机上为多类用户提供服务。使用不同端口号来区分不同网站,company1使用默认端口(80),
company2和company3的端口应在1025至(65535)范围内任意选择,在访问company2或者company3时需在域名后添加对应端口号,
使用(:)符号连接。设置完成后,管理员对网站进行了测试,测试结果如图3-4所示,原因是(C)。
(8)备选答案:
A.IP地址对应错误
B.未指明company1的端口号
C.未指明company2的端口号
D.主机头设置错误
2、为便于用户访问,管理员决定采用不同主机头值的方法为用户提供服务,需在DNS服务中正向查找区域为三个网站域名分别添加(主机)记录。
网站company2的主机头值应设置为(www.company2.com)。
解析:用不同主机头值的方法时,需要在 DNS 中为每个网站的域名添加主机记录,对于的 IP 地址是同一个地址,
每个站点的主机头设置为这个站点的完整域名,如网站 company2 的 主机头值设置为:www.company2.com 。
采用主机头区分站点在访问时不同通过 IP 地址,只 能通过域名的方式访问
—————————————————————————————————————————————————————————————————
问题:3.4 随着company1网站访问量的不断增加,公司为company1设立了多台服务器。
下面是不同用户ping网站www.company1.com后返回的IP地址及响应状况,如图3-5所示。
从图3-5可以看出,域名www.company1.com对应了多个IP地址,说明在图3-6所示的DNS属性中启用了(A)功能。
在图3-6中勾选了“启用网络掩码排序”后,当存在多个匹配记录时,系统会自动检查这些记录与客户端IP的网络掩码匹配度,
按照(本地子网优先级排序)原则来应答客户端的解析请求。如果勾选了“禁用递归”,这时DNS服务器仅采用(迭代)查询模式。
当同时启用了网络掩码排序和循环功能时,(B)优先级较高。
(14)备选答案:
A.循环 B.网络掩码排序
—————————————————————————————————————————————————————————————————
阅读以下说明,回答问题1至问题2,将解答填入答题纸对应的解答栏内。
【说明】
某公司建立局域网拓扑图如图4-1所示。公司计划使用路由器作为DHCP服务器,根据需求,公司内部使用C类地址段,
服务器地址段为192.168.2.0/24,S2和S3分别为公司两个部门的接入交换机,分别配置VLAN 10和VLAN 20,
地址段分别使用192.168.10.0/24和192.168.20.0/24,通过DHCP服务器自动为两个部门分配IP地址,地址租约期为12小时。
其中,192.168.10.1~192.168.10.10作为保留地址。
问题:4.1 下面是R1的配置代码,请将下面配置代码补充完整。
R1#config t
R1 (config)# interface FastEthernet0/0
R1 (config-if)#ip address(192.168.1.2) (255.255.255.0)
R1 (config-if)#no shutdown
R1 (config-if)#exit
R1 (config)#ip dhcp(pool) depart1
R1 (dhcp-config)#network 192.168.10.0 255.255.255.0
R1 (dhcp-config)#default-router 192.168.10.254 255.255.255.0
R1 (dhcp-config)#dns-server(192.168.2.253)
R1 (dhcp-config)#lease 0 (12) 0 //这一行是指租用时间,第一个0是指天的意思,第二个数是代表小时的意思
R1 (dhcp-config)#exit
R1 (config)#ip dhcp pool depart2
R1 (dhcp-config)# network(192.168.20.0) (255.255.255.0)
R1 (dhcp-config)#default-router 192.168.20.254 255.255.255.0
R1 (dhcp-config)# dns-server 192.168.2.253
R1 (dhcp-config)# lease 0 12 0
R1 (dhcp-config)#exit
R1 (config)# ip dhcp excluded-address (192.168.10.0) (192.168.10.10)
R1 (config)# ip dhcp excluded-address(192.168.10.254) //排除掉不能分配的IP地址
R1 (config)# ip dhcp excluded-address 192.168.20.254 //这行应该是多余的了
......
—————————————————————————————————————————————————————————————————
问题:4.2 下面是S1的配置代码,请将下面配置代码或解释补充完整。
S1#config terminal
S1(config)#interface vlan 5
S1(config-if)#ip address 192.168.2.254 255.255.255.0
S1(config)#interface vlan 10
S1(config-if)#ip helper-address(192.168.1.2) //指定DHCP服务器的地址
S1(config-if)#exit
S1(config)#interface vlan 20
......
S1(config)#interface f0/24
S1(config-if)#switchport mode (trunk)
S1(config-if)# switchport trunk (allowed)vlan all //允许所有VLAN数据通过
S1(config-if)#exit
S1(config)#interface f0/21
S1(config-if)#switchport mode access
S1(config-if)#switchport access vlan 5
S1(config-if)#exit
S1(config)#interface f0/22
S1(config-if)#switchport mode access
S1(config-if)#switchport access(vlan10)
S1(config)#interface f0/23
S1(config-if)#switchport mode access
S1(config-if)#switchport access(vlan20)