第
1题: 试题一(共20 分)
阅读以下说明,回答问题1 至问题4,将解答填入答题纸对应的解答栏内。
【说明】
某企业网络拓扑如图1-1 所示,A~E 是网络设备的编号。
【问题1】(每空1 分,共4 分)
根据图1-1,将设备清单表1-1 所示内容补充完整。
表1-1
【问题2】(每空2 分,共4 分)
以下是AR2220 的部分配置。
[AR2220]acl 2000
[AR2220-acl-2000]rule normal pemut source 192.168.0.0 0.0.255.255
[AR2220-acl-2000]rule normal deny source any
[AR2220-acl-2000]quit
[AR2220]interface Ethemet0
[AR2220-Ethemet0]ip address 192.168.0.1 255.255.255.0
[AR2220-Ethemet0]quit
[AR2220]mterface Ethemet1
[AR2220-Ethemet1]ip address 59.41.221.100 255.255.255.0
[AR2220-Ethemet1]nat outbound 2000 mterface
[AR2220-Ethernet1]quit
[AR2220]ip route-static 0.0.0.0 0.0.0.0 59.74221.254
设备AR2220 硬用( )接口实现NAT 功能,该接口地址韵网关是( )。
【问题3】(每空2 分,共6 分)
若只允许内网发起ftp、http 连接,并且拒绝来自站点2.2.2.11 的Java Applets 报文。在USG3000 设备中有如下配置,请补充完整。
[USG3000]acl number 3000
[USG3000-acl-adv-3000] rule permit tcp destination-port eq www
[USG3000-acl-adv-3000] rule permit tcp destination-port eq ftp
[USG3000-acl-adv-3000] rule permit tcp destination-port eq ftp-data
[USG3000]acl number 2010
[USG3000-acl-basic-2010] rule( )source 2.2.2.11.0.0.0.0
[USG3000-acl-basic-2010] rule permit source any
[USG3000]( ) interzone trust untrust
[USG3000-interzone-ttust-untrust] packet-filter 3000 ( )
[USG3000-interzone-ttust-untrust] detect ftp
[USG3000-interzone-ttust-untrust] detect http
[USG3000-interzone-ttust-untrust] detect java-blocking 2010
( )~( )备选答案:
A.Firewall
B.trust
C.deny
D.permit
E.outbound
F.inbound
【问题4】(每空2 分,共6 分)
PC-1、PC-2、PC-3、网络设置如表1-2。
表1-2
通过配置RIP,使得PC-1、PC-2、PC-3 能相互访问,请补充设备E 上的配置,或解释相关命令。
// 配置E 上vlan 路由接口地址
interface vlanif 300
ip address( )255.255.255.0
interface vlanif 1000 //互通VLAN
ip address 192.168.100.1 255.255.255.0
//配置E 上的rip 协议
rip
network 192.168.4.0
networkr ( )
//配置E 上的trunk // ( )
int e0/1
Port link-type trunk //( )
port trunk permit vlan all
答案解析与讨论:
www.cnitpm.com/st/2397528317.html第
2题: 试题二(共20 分)
【说明】
某学校的网络拓扑结构图如图2-1 所示。
【问题1】(每空1 分,共7 分)
常用的IP访问控制列表有两种,它们是编号为( )和1300~1399 的标准访问控制列表和编为( )和2000~2699 的扩展访问控制列表、其中,标准访问控制列表是根据IP报的( )来对IP报文进行过滤,扩展访问控制列表是根据IP报文的( )、( )、上层协议和时间等来对IP报文进行过滤。一般地,标准访问控制列表放置在靠近( )的位置,扩展访问控制列表放置在靠近( )的位置。
【问题2】(每空1 分,共1 0 分)
为保障安全,使用ACL对网络中的访问进行控制。访问控制的要求如下:
(1)家属区不能访问财务服务器,但可以访问互联网;
(2)学生宿舍区不能访问财务服务器,且在每天晚上18:00~24:00 禁止访问互联网;
(3)办公区可以访问财务服务器和互联网;
(4)教学区禁止访问财务服务器,且每天8:00~18:00禁止访问互联网。
1.使用ACL对财务服务器进行访问控制,请将下面配置补充完整。
R1(config)#access-list 1 ( )( ) 0.0.0.255
R1(config)#access-Iist 1 deny 172.16.10.0 0.0.0.255
R1(config)#access-list 1 deny 172.16.20.0 0.0.0.255
R1(config)#access-Iist 1 deny ( )0.0.0.255
Rl(config)#mterface ( )
R1(config-if)#ip access-group 1 ( )
2.使用ACL 对Internt 进行访问控制,请将下面配置补充完整。
Route-Switch(config)#time-range jxq ∥定义教学区时间范围
Route-Switch(config-tune-range)# periodic daily ( )
Route-Switch(config)#time-range xsssq //定义学生宿舍区时间范围
Route-Switch(config-time-range)#periodic ( ) 18:00 t0 24:00
Route-Switch(config-time-range)#exit
Route-Switch(config)#access-list 100 permit ip 172.16.10.0 0.0.0.255 any
Route-Switch(config)#access-list 100 permit ip 172.16.40.0 0.0.0.255 any
Route-Switch(config)#access-list 100 deny ip( )0.0.0.255 time-range jxq
Route-Switch(corffig)#access-list 100 deny ip( )0.0.0.255 time-range xsssq
Route-Switch (config)#interface( )
Route-Switch(config-if)#ip access-group 100out
【问题3】(每空1 分,共3 分)
网络在运行过程中发现,家属区网络经常受到学生宿舍区网络的DDoS 攻击,现对家属区网络和学生宿舍区网络之间的流量进行过滤,要求家属区网络可访问学生宿舍区网络,但学生宿舍区网络禁止访问家属区网络。采用自反访问列表实现访问控制,请解释配置代码。
Route-Switch(config)#ip access-hst extended infilter
Route-Switch(config-ext-nacl)#permit ipany 172.16.20.0 0.0.0.255 refiect jsq ( )
Route-Switch(config-ext-nacl)#exit
Route-Switch(config)#ip access-list extended outfilter
Route-Switch(config-ext-nacl)# evaluate jsq( )
Route-Switch(config-ext-nacl)#exit
Route-Switch(config)#interface fastethernet 0/1
Route-Switch(config-if)#ip access-group infilter in
Route-Switch(config-if)#ip access-group outfilter out //( )
答案解析与讨论:
www.cnitpm.com/st/2397613330.html第
4题: 试题四(共15 分)
阅读以下说明,回答问题1 和问题2,将解答填入答题纸对应的解答栏内。
【说明】
某公司有3 个分支机构,网络拓扑结构及地址分配如图4-1所示。
【问题1】(每空1 分,共11 分)
公司申请到202.111.1.0/29 的公有地址段,采用NAPT 技术实现公司内部访问互联网的要求,其中,192.168.16.0/22 网段禁止访问互联网。R1、R2 和R3 的基本配置已正确配置完成,其中R1的配置如下。请根据拓扑结构,完成下列配置代码。
R1 的基本配置及NAPT配置如下:
R1>enable
Rl#config tenrunal
R1(config)#interface fastenthemet 0/0
R1(config-if)#ip address 192.168.0.1 255.255.255.252
R1(config-if)#no shutdown
Rl(config-if)#exit
R1(config)#interface fastenthemet 0/1
R1(config-if)#ip address 192.168.0.9 255.255.255.252
R1(config-if)#no shutdown
R1(config-if)#exit
R1(config)#interface fastenthernet 0/2
R1(config-if)#ip address( ) 255.255.252.0 //使用网段中最后一个地址
R1(config-if)#no shutdown
R1(config-if)#exit
R1(config)#interface serial 0
R1(config-if)#ip address 202.111.1.1 255.255.255.248
R1(config-if)#no shutdown
R1(corffig)#ip nat pool ss 202.111.1.1( )netmask( )
R1(corffig)# interface( )fastenthernet 0/0-1
R1(config-if)#ip nat( )
R1(config-if)#interface serial 0
Rl(config-if)#ip nat( )
R1(config-if)#exit
R1(config)#access-Iist l permit 192.168.0.0( )
Rl(config)#ip nat inside( )list( )pool( )( )
【问题2】.(每空2 分,共4 分)
在R1、R2 和R3 之间运行OSPF 路由协议,其中R1、R2 和R3 的配置如下。
行号配置代码
1 R1(config)#router ospf 1
2 R1(config-router)#network 192.168.4.0 0.0.3.255 area 0
3 Rl(config-router)#network 192.168.0.0 0.0.0.3 area 0
4 Rl(config-router)#network 192.168.0.8 0.0.0.3 area 0
5 R2>enable
6 R2#config terminal
7 R2(config)#router ospf 2
8 R2(config-router)#netvrork 192.168.8.0 0.0.3.255 area 0
9 R2 (config-router)#network 192.168.12.0 0.0.3.255 area 0
1 0 R2 (config-router)#network 192.168.0.4 00.0.3 area 0
1 1 R3>enable
1 2 R3#config terminal
1 3 R3(config)#router ospf 3
1 4 R3(config-router)#netvrork 192168.0.8 00.0.3 area 0
1 5 R3(config-router)#network 192.168.0.4 0.0.0.3 area 0
1.配置完成后,在R1 和R2 上均无法ping通R3的局域网,可能的原因是( ))
( )备选答案:
A.在R3上未宣告局域网路由
B.以上配置中第7 行和第13行配置错误
C.第1行配置错误
D.R1、R2未宣告直连路由.
2.在OSPF中重分布默认路由的命令是:( )
( )备选答案:
A.Rl#default-informaton originate
B. R1(config-if)#default-information originate
C.R1(config-router)#default-information originate
D.Rl(config)#default-information originate
答案解析与讨论:
www.cnitpm.com/st/2397824155.html