【软考网络工程师-案例分析易错题整理(下)】
软考网络工程师-案例分析易错题整理(下)
- 一、问题一
- 二、问题二
- 三、问题三
- 四、问题四
- 五、问题五
一、问题一
1.某小区采用HFC接入Internet的解决方案进行网络设计,网络结构如图1-1 所示。
【问题1】网络设计流程通常由以下五阶段组成:
A.确定网络物理结构
B.确定网络逻辑结构
C.对现有网络的体系结构进行分析
D.安装和维护
E.需求分析
根据网络开发设计的过程,给出上述五个阶段的先后排序。
答:ECBAD(需求分析-分析现有网络体系结构-确定网络逻辑-确定物理结构-安装和维护)
【问题2】为图1-1 中(2)~(6)处选择对应的设备名称,填入答题纸对应的解答栏内。备选设备:CMTS、以太网交换机、光收发器、光电转换节点、Cable Modem。
答:以太网交换机、CMTS、光收发器、光电转换节点、Cable Modem。(HFC:光纤+同轴混合网;CMTS:电缆调制解调器终端系统,HFC 的大脑,位置在运营商机房/前端,和路由器、交换机放在一起;光收发器:光发射机+光接收机,属于前端的光电转换设备,位置在机房里,紧挨着CMTS,CMTS输出接光收发器电口;光电转换节点:HFC的核心分界点,位置在:小区楼道、电线杆、路边机柜,光纤终结、同轴开始的地方,实现光信号与电信号互相转换;Cable Modem:电缆调制解调器,介质是同轴电缆,位置在后端目的地)
【问题3】在答题纸对应的解答栏内填写图1-1 中(7)、(8)处对应的传输介质。
答:光纤、同轴电缆。
【问题4】(3分)
Cable Modem 接收从CMTS发送来的___(9)调制信号,经解调后重建以太帧。在相反方向上,接收到的以太帧被封装在时隙中,经(10)___调制后,通过HFC网络的上行信道传送给CMTS。
(9)
A.QAM
B.QPSK
C.GMSK
D.DMT
(10)
A.QAM
B.QPSK
C.GMSK
D.DMT
答:A、B(下行信号:从发送端到接收端(可以理解为信号从头部下发的方向);上行信号:从接收端到发送端(可以理解为信号正常发送的相反方向);QAM:正交振幅调制,HFC同轴宽带,下行信号(所以由头部CTMS发往尾部Cable Modem);QPSK:正交相移键控,HFC上行信号(所以由尾部Cable Modem发往头部CTMS);QAM(头部)发往QPSK(尾部),也可以理解为:QAM是下行调制,QPSK是上行调制)
【问题5】有线电视HFC 网络的上、下行信道是非对称的,容易产生噪声、影响传输质量的是上行信道还是下行信道?
答:上行信道。(各家上行信号都往机房汇总,多路信号叠加,干扰互相串扰;用户端各类电器、线路杂波都会混入上行,噪声逐级汇集放大;上行发射功率远小于下行,更容易被噪声淹没)
二、问题二
某企业网络拓扑图如图1-1所示。该网络可以实现的网络功能有:
1.汇聚层交换机A与交换机B采用VRRP技术组网;
2.用防火墙实现内外网地址转换和访问策略控制;
3.对汇聚层交换机、接入层交换机(各车间部署的交换机)进行VLAN划分。
【问题1】为图1-1中的防火墙划分安全域,接口①应配置为(1)区域,接口②应配置为(2)区域,接口③应配置为(3)区域。
答:untrust、trust、dmz。
【问题2】VRRP技术实现(4)功能,交换机A与交换机B之间的连接线称为(5)线,其作用是(6)。
答:虚拟链路冗余、心跳线、检测对端设备状态,若对方传输终端,可以进行主备替换。
【问题3】图1-1中PC1的网关地址是(7);在核心交换机上配置与防火墙互通的默认路由,其目标地址应是(8);若禁止PC1访问财务服务器,应在核心交换机上采取(9)措施实现。
答:192.168.20.1、0.0.0.0、acl访问控制列表(PC的网段是192.168.20.100/24,而网关必须是和PC同网段的地址,由于PC与汇聚层的交换机A、交换机B连接,且他们有VRRP虚拟网关,故网关地址就是VRRP地址,倘若没有VRRP,则使用交换机A或交换机B的地址作为网关;另外,由于不知道财务服务器和工控服务器等内网trust部分的地址,无法确定核心交换机上到防火墙的互通路由,所以此时只能用0.0.0.0代替)。
【问题4】若车间1增加一台接入交换机C,该交换机需要与车间1接入层交换机进行互连,其连接方式有(10)和(11);其中(12)方式可以共享使用交换机背板带宽,(13)方式可以使用双绞线将交换机连接在一起。
答:堆叠、级联、堆叠、级联。
三、问题三
公司的两个分支机构各有1台采用IPv6的主机,计划采用IPv6-over-IPv4自动隧道技术实现两个分支机构的IPv6主机通信,其网络拓扑结构如图4-1所示。
【问题1】根据说明,将RouterA的配置代码补充完整。
(1)
[Huawei] sysname (2)
[RouterA](3) //开启IPv6报文转发功能
[RouterA] interface s0
[RouterA-s0] ip address 12.1.1.1(4)
[RouterA-s0] quit
[RouterA] interface gigabitethernet 0/0/1
[RouterA-GigabitEthernet0/0/1 ] (5)address 2002:: 1/64
[RouterA-GigabitEthernet0/0/1 ] quit
答:system-view、RouterA、ipv6、255.255.255.0、ipv6。(用户模式下,输入命令:ipv6,可以开启全局ipv6功能;设置ipv6地址时的命令:ipv6 address + IP)
【问题2】根据说明,将RouterA的配置代码或者代码说明补充完整。
[RouterA] interface tunnel 0/0/1 // (6)
[RouterA-Tunnel0/0/1 ] (7)ipv6-ipv4 (8)//指定Tunnel为自动隧道模式
[RouterA-Tunnel0/0/1 ] ipv6 (9)
[RouterA-Tunnel0/0/1 ] ipv6 address ::12.1.1.1/96 // (10)
[RouterA-Tunnel0/0/1 ] source s0 //(11)
[RouterA-Tunnel0/0/1 ] quit
答:创建Tunnel接口、tunnel-protocol、auto-tunnel、enable、设置Tunnel接口的IPv6地址、指定Tunnel的源接口。(创建Tunnel接口的命令:interface tunnel + 接口号;)
【问题3】问题2中Tunnel接口使用的地址为IPv4(12)IPv6地址;(12)备选答案 A.兼容 B.映射;192.168.1.1是否存在对应的IPv6地址,为什么?
答:A、不存在,IPV4兼容IPV6地址要求IPV4地址为公网地址。
四、问题四
某公司在其他城市设有多个分支机构,分支机构内部使用以太网络。为了便于分支机构开展工作,现计划在分支和总部之间部署L2TP,以实现VPDN连接。网络拓扑图如下所示
【问题1】L2TP协议有两种类型的消息,其中, (1) 消息用于L2TP隧道和会话的建立、维护和拆除:数据消息用于封装PPP数据帧,基于传输层的 (2) 协议进行不可靠的数据传输。L2TP不具备加密功能,在VPN应用中可结合 (3) 技术实现隧道传输和数据加密的完整解决方案。
答:控制、用户数据报协议UDP、IPSec。(L2TP:二层隧道协议,用来跨公网把两个内网虚拟拉成一条专线,在外网里搭建虚拟二层隧道,让异地设备像在同一个局域网通信;L2TP不具备加密功能,在VPN应用中可结合IPSec技术实现隧道传输和数据加密的完整解决方案)
【问题2】公司计划将分支机构的网关作为为PPPoE服务器和L2TP用户侧设备(L2TP-User),PPPoE服务器使用CHAP认证方式,L2TP-User 使用本地 AAA 认证拨号用户的身份;总部的网关作为L2TP服务器侧设备(L2TP-Server),通过 PC1 与总部建立 L2TP 隧道。
请根据以上需求,将下面的配置代码补充完整
1.L2TP-User配置
[L2TP-User]interface virtual-template 1
[L2TP-User-Virtual-Templatel] ppp authentication-mode(4)
[L2TP-User Virtual-Templatel] quit
[L2TP-User] interface gigabitethernet0/0/2
[L2TP-User -GigabitEthernet0/0/2] pppoe-server bind virtual- template (5)
[L2TP-User -GigabitEthernet0/0/2] quit
[L2TP-User] aaa
[L2TP-User-aaa] local-user userl password cipher admin123!
[L2TP-User-aaa] local-user userl service-type ppp
[L2TP-User -aaa] quit
[L2TP-User] 12tp (6) //使能L2TP服务
[L2TP-User] l2tp-group 1
[L2TP-User -12tp1] tunnel name 12tp-user
[L2TP-User -12tp1] start l2tp ip (7) fullusername userl
[L2TP-User -12tp1] tunnel authentication
[L2TP-User -12tp1] tunnel password cipher admin//启用隧道认证功能并设置隧道认证字
[L2TP-User -12tp1] quit
2.L2TP-Server配置
[L2TP-Server] 12tp-group 1
[L2TP-Server -l2tpl] tunnel name l2tp-server//配置和指定两端隧道名称
[L2TP-Server -l2tp1] allow l2tp virtual-template 1 remote (8)
[L2TP-Server -l2tpl] tunnel authentication
[L2TP-Server -l2tp1] tunnel password cipher (9)
[L2TP-Server -l2tpl] quit
答:chap、1、enable、190.10.2.1、12tp-user、admin。(ppp authentication-mode:PPP链路采用CHAP方式进行身份认证;interface virtual-template 1:创建虚拟模板接口,拨号类PPP拨号场景专用)
五、问题五
某高校网络拓扑如下图所示,两校区核心(CORE-1,CORE-2),出口防火墙(NGFW-1,NGFW-2)通过校区间光缆互联,配置OSPF实现全校路由收效,校区相距40km。两校区默认由本地出口进行互联网访问。
【问题1】新校区规划以双栈方式部署IPv6网络,分配的IPv6地址为:240C:DB8:1024::/49。请将1Pv6网络地址规划表补充完整。
答:240C:DB8:1024:4000::-240C:DB8:1024:5FFF:FFFF:FFFF:FFFF:FFFF:FFFF,51。(已知总网段是:240C:DB8:1024::/49,设备管理网段是:240C:DB8:1024::/64,有限网络终端网段是:240C:DB8:1024::/51,而/49的网段若分成/51网段的话,可以分4个,分别是:240C:DB8:1024::/51、240C:DB8:1024:2000::/51、240C:DB8:1024:4000::/51、240C:DB8:1024:6000::/51,已知无线网络终端数量是15000个,而/51可用的终端数量为:2 ^(128-51)=2 ^77,远大于15000个,无线网络终端的地址范围使用第二个网段,即240C:DB8:1024:4000::-240C:DB8:1024:5FFF:FFFF:FFFF:FFFF:FFFF:FFFF)
【问题2】为实现NGFW-2与NGFW-1、CORE-2正常建立OSPF邻居关系,实现路由全收网络工程师对NGFW-2进行相关配置,请补充完善下列由trust到local的配置。
[NGFW-2]firewallzonetrust
[NGFW-2-zone-trust]addinterfaceGigabitEthernet0/0/1
[NGFW-2-zone-trust]addinterfaceGigabitEthernet0/0/2
[NGFW-2]security-policy
[NGFW-2-policy-security]rulenamepolicy1
[NGFW-2-policy-security-rule-policy_1]source-zonetrust
[NGFW-2-policy-security-rule-policy1]destination-zone(1)
[NGFW-2-policy-security-rule-policy1]source-address(2)
[NGFW-2-policy-security-rule-policy1]serviceprotocol(3)
[NGFW-2-policy-security-rule-policy_1]action(4)
答:local、10.0.0.0 24、89、permit。(题干已要求区域是trust到local区域)
【问题3】网络工程师收到故障报告,某终端用户可成功获取IP地址,正常访问校内业务,却无法访问Internet.在该终端上路由跟踪测试,可正常至NGFW-2,于是在终端上进行ping114.114.114.114测试,结果显示“请求超时”,同时在NGFW-2查看到如下会话:
答:防火墙的G0/0/4接口指向运营商61.2.7.1地址,而内部地址没有被NAT转换。配置基于换并配置相关放行策略。
【问题4】网络工程师接到故障报告,某终端用户网络时通时断,无法正常上网。在用户终端上通过命令测试结果如下:
答:ARP欺骗、CORE2、防ARP欺骗攻击。
【问题5】网络工程师配置NGFW-2作为SSLVPN网关为网络管理员提供安全远程接入,可以随时随地对校园网内网络进行访问和管理。SSLVPN充分利用SSL协议基于数字证书提供的安全机制,为应用层之间的通信建立安全连接。
(1)SSL协议安全机制包括:( )、数据加密、( )
(2)数据加解密算法主要分为对称密钥算法、非对称密钥算法,请简要描述SSL协议如何利用这两类算法实现数据传输的机密性。
(3)网络工程师在配置SSLVPN之前,需要向( )申请证书文件,并将其上传至NGFW-2的指定位置。
答:身份验证、消息完整性;发送方在发送数据前,使用加密算法和加密密钥对数据进行加密,然后将数据发送给对方;接收方接收到数据后,利用解密算法和解密密钥从密文中获取明文。没有解密密钥的第三方,无法将密文恢复为明文,从而保证数据传输的机密性;CA。