目录
2016年下半年
2018年上半年
2018年下半年
2021年上半年
2022年上半年
2022年下半年
2023年上半年
试题一:
【问题 3】若地址规划如图 1-1 所示,从IP 规划方案看该地址的配置可能有哪些方面的考虑?
答案:可扩展性、连续性、唯一性、实意性。
【问题 4】该网络拓扑中,上网行为管理设备的位置是否合适?请说明理由。
答案:不合适,应该接在防火墙和核心交换机之间,因为试题说了要对用户上网行为进行管控,不能以旁路模式接入。
【问题 5】该网络中有无线节点的接入,在安全管理方面应采取哪些措施?
答案:注意 SSID 的隐藏,MAC 地址的过滤,接入认证,加密方式的选择。
【问题 6】该网络中视频监控系统与数据业务共用网络带宽,存在哪些弊端?
答案:视频监控系统业务流量大,如果带宽不足,会影响正常数据业务的传输。
试题二:
【问题 2】该企业采用 RAID5 方式进行数据冗余备份。请从存储效率和存储速率两个方面比较RAID1和 RAID5两种存储方式,并简要说明采用 RAID5存储方式的原因。
答案:RAID1只是做磁盘镜像,存储效率 RAID1只有 50%,没有提高存储性能,RAID5存储效率是(N-1)/N,其中N是磁盘数目,在RAID5上,读/写指针可同时对阵列设备进行操作,提供了更高的存储性能。
试题二:
【问题 4】
2.存储系统的 RAID故障恢复机制为数据的可靠保障,请简要说明 RAID2.0较传统 RAID 在重构方面有哪些改进。
RAID2.0 能够显著减少重构时间,避免数据重构时对一块硬盘的高强度读写,降低硬盘故障率。
试题二:
【问题 4】
根据业务发展,购置了一套存储容量为 30TB 的存储系统,给公司内部员工每人配备 2TB 的网盘,存储管理员预估近-年内,员工对网盘的平均使用空间不超过 200GB,为节省成本,启用了该存储系统的自动精简(Thin provisioning不会一次性全部分配存储资源,当存储空间不够时,系统会根据实际所需要的容量,从存储池中多次少量的扩展存储空间)配置功能,为 100 个员工提供网盘服务。请简要叙述存储管理员使用自动精简配置的优点和存在的风险。
自动精简配置的优点:
1.自动精简配置能够提高企业存储资源的利用率,降低系统的总体拥有成本
2.自动精简配置能够大幅度的简化存储空间管理工作
3.自动精简配置的实现方式是通过虚拟化从存储资源池分配存储到逻辑卷,用更多的物理磁盘来支持每个逻辑卷,即多块磁盘替代一块磁盘完成了以往的任务,性能提升。
自动精简配置的风险:
1.存储管理员必须及时跟踪实际存储容量的使用情况,防止存储空间不足。
2.企业的存储系统可能会频繁的删除文件,如果自动精简配置系统不能有效回收删除空间,造成物理存储空间很快耗尽。
试题一:
若车间 1 增加一台接入交换机 C,该交换机需要与车间 1 接入层交换机进行互连,其连接方
式有(10)和(11);其中(12)方式可以共享使用交换机背板带宽,(13)方式可以使用双绞线将交换机连接在一起。
答案:(10)级联(11)堆叠(12)堆叠(13)级联
补充:级联和堆叠的区别
级联是通过集线器的某个端口与其它集线器相连的,如使用一个集线器UPLINK口到另一个的普通端口;而堆叠是通过集线器的背板连接起来的,它是一种建立在芯片级上的连接,如2个24口交换机堆叠起来的效果就像是一个48口的交换机,优点是不会产生瓶颈的问题。虽然级联和堆叠都可以实现端口数量的扩充,但是级联后每台集线器或交换机在逻辑上仍是多个被网管的设备,而堆叠后的数台集线器或交换机在逻辑上是一个被网管的设备。
级联只需要通过一根双绞线在任何网络设备厂家的交换机之间,集线器之间,或交换机与集线器之间完成。堆叠需要专用的堆叠模块和堆叠线缆,而这些设备可能需要单独购买。
交换机的级联在理论上是没有级联个数限制的(注意:集线器级联有个数限制,且10M和100M的要求不同),而堆叠各个厂家的设备会标明最大堆叠个数。
级联的特点
1.使用集线器的RJ-45口实现;
2.级联电缆就是标准五类双绞线;
3.级联的距离较长,10兆时可达100米,100兆时可达5米;
4.不同厂家的集线器可以互相级联。
级联的不足
1.由于信号从一个集线器到另一个集线器是通过RJ-45端口,经过编码/解码过程,延时较长;
2.必须占用两个RJ-45端口(两台集线器各一个)
3.用户将损失性能/价格比,这对端口成本较高的100集线器起更明显。
4.允许级联的集线器的个数较少,10兆为5个,100兆为2个。
堆叠的特点
1.堆叠通过专门的堆叠口,不能与集线器其他的RJ-45混接;
2.堆叠电缆由厂家自行定义;
3.堆叠端口由厂家自行定义,因此,不同厂家的产品除非完全一样,否则,不能互相堆叠;
4.由于是主干连接,信号在集线器之间传输是通过主干而不是RJ-45口,因此响应时间较短;
5.在100兆网络中,可堆叠的集线器个数明显比可级联的个数多。
堆叠的不足
1.由于是连接主干,因此厂家对堆叠线缆的要求是越短越好,太长会影响整个系统的性能;
2.由于是连接主干,如果堆叠电缆出现短路可能使集线器不工作或集线器受到损坏。
警告:不要将其他信号,比如集线器RJ-45口过来的信号,接入堆叠口。
试题一:
问题3:
若设备 1处于活动状态(Master),设备 2 的状态在哪条链路出现故障时会发生改变?请说明状态改
变的原因。
[答案]
设备 2 的状态在 link e 出现故障时会发生改变,因为设备 2 无法通过此链路检测到设备1的心跳报文,会认为设备 1 已经故障,故切换为 Master 状态。
问题4:
如果路由器与总部网络的线路中断,在保证数据安全的前提下,分支机构可以在客户端采用什么方式访问总部网络?在防火墙上采用什么方式访问总部网络?
[答案]
分支机构客户端采用SSL VPN 方式访问总部网络,防火墙上采用IPSec VPN 方式访问总部网络。
试题一:
问题2:
仓库到办公楼的布线系统属于什么子系统?应采用什么传输介质?该线缆与交换机连接需要用到哪些部件?
建筑群子系统 光纤: 光模块、尾纤、跳线,光纤配线架
问题3:
若接入的 IPC 采用 1080P 的图像传输质量传输数据,Switch C、Switch A 选用百兆交换机是否满足带宽要求,请说明理由。
Swtich C可以使用百兆链路,Switch A 不能使用百兆,带宽不够。
理由: 参考下表,1080 视频带宽需求一般为4M,Switch C下有16路IPC,带宽需求: 16*4=64M.
低于100M,且有一定富余,可以通过百兆交换机接入。Switch A下有 160路IPC,共计带宽需求:160*4=640M,远超百兆,故至少需要配置千兆交换机。
问题4:
(1)在位置A 增加一台交换机 Switch E 做接入层到核心层的链路冗余,请以 Switch C 为例简述接入层与核心层的配置变化。
(1)
接入层: 配置生成树协议防止环路。 (如果核心交换机配置堆叠,接入层则配置端口聚合)
核心层: 配置 VRRP 网关冗余或堆叠。
(2)简要说明在 Router A 与 Router B 之间建立 IPSC VPN 道的配置要点。
①配置 ACL,匹配感兴趣的流量,即需要 IPSec 保护的数据流。
②配置 IPSec 安全提议,定义 IPSec 的保护方法。
③配置 IKE 对等体,定义对等体间 IKE 协商时的属性。
④配置安全策略,并引用 ACL、安全提议和 IKE 对等体,确定对何种数据流采取何种保护方法。
⑤在接口上应用安全策略,保护相应流量。
试题二:
问题2:
网络管理员某天在防火墙上发现了大量图 2-2 所示日志,由此可判断校园网站遭受到了什么攻击?请给出至少 3 种应对措施。
SYN Flooding 攻击
应对措施: 购买抗 D/流量清洗设备、购买流量清洗服务。服务器设置访问控制策略、限制用户最大连接数。
问题3:
(1)校园网采用大二层组网结构,信息中心计划对核心交换机采用堆叠技术,请简述堆叠技术的优点和缺点。
堆叠技术优点:
①逻辑上变为一台设备,简化网络管理
②提升系统可靠性,避免单点故障;
③配合链路聚合等技术,防止接口被生成树阻塞,提升链路利用率。
堆叠技术缺点
①堆叠是私有协议,不支持跨厂商设备堆叠
②系统升级会造成业务中断
③多台设备堆叠,只有一个主控处于工作状态,存在资源浪费
(2)网络试运行一段时间后,在二层网络中发现了大量的广播报文,影响网络的性能。网络管理员在接入层交换机做了如下配置问题得以解决:
[SW] interface gigabitethernet 0/0/3
[SW-Gigabit Ethernet 0/0/3] broadcast-suppression 80
[SW-Gigabit Ethernet0/0/3] quit
请简述以上配置的功能。
默认情况下,不对广播流量进行抑制。当广播流量所占该端口传输能力的百分 80%时,系统将丢弃超出限制的报文,从而使广播流量所占的流量比例降低到限定的范围,保证网络业务的正常运行。
试题三:
图 3-1为某公司网络拓扑片段,公司总部路由器之间运行 OSPF 协议生成路由,分公司路由器运行 RIP 协议生成路由。分公司技术部门和外包部门通过路由器 R1 接入,分公司网络与公司总部网络通过路由器R2 互联。公司总部通过路由器 R3 接入。所有网段网络地址信息如图所示,假设各路由器已经完成各个接口 IP 等基本信息配置。
【问题 1】
从算法原理、适用范围、功能特性三个方面简述 RIP 和 OSPF 的区别。
(1) RIP 使用距离矢量算法,通过学习其他路由器发送的路由表信息,生成路由表。OSPF 首先获取全网的拓扑信息,然后利用 SPF 最短路径优先(也叫 Dijkstra) 算法,生成路由表。
(2) RIP 一般适用于小型网络,OSPF 适用于中大型网络。
(3) RIP和OSPF 都是动态路由协议,可以根据拓扑变化,更新路由表。RIP 配置简单,功能也相对简单,收敛速度慢,容易形成环路。OSPF 支持层次化组网、网络优化、等价负载均衡、报文加密等功能。
试题一
阅读以下说明,回答问题1至问题4,将解答填入答题纸对应的解答栏内。
[说明]
某企业办公楼网络拓扑如图1-1所示。该网络中交换机Switch1-Switch 4均是二层设备,分布在办公楼的各层,上联采用干兆光纤。核心交换机、防火墙、服务器部署在数据机房,其中核心交换机实现冗余配置。
问题2(6分)
(1)简要说明图1-1中干线布线与水平布线子系统分别对应的区间。
(1)干线布线为核心交换机 Swichcore1、Switchcore2 连接到各楼层 Switch1-Switch4 部分
水平布线为各楼层Switch1-Switch4 连接到 PC(办公电脑)部分(严格意义上还包含了工作子系统,真正的水平子系统包括楼层配线间到前端的信息插座)
(2)在网络线路施工中应遵循哪些规范?(至少回答4点)
1.配线子系统缆线宜采用在吊顶、墙体内穿管或设置金属密封线槽及开放式(电缆桥架,吊挂环等)敷设。干线子系统垂直通道穿过楼板时宜采用电缆坚井方式。
2.缆线应远离高温和电磁干扰的场地。
3.管线的曲半径应符合要求:2芯或4 芯水平光缆弯曲半径大于25mm,4 对非屏蔽电缆不小于电缆外径的4倍
4.尽量不与强电平行,避免与强电交叉,以免带来串扰。(强弱电应该分开部署,并保持适当距离)
5.水平子双绞线系统<=90米,工作区线缆<=10米。
6.线缆应该部署于桥架内,或使用PVC管保护。
7.光缆控制弯曲角度。
8.线缆打好标签。
9.布线系统相关文档资料要保存。
【其他: 双绞线布线】
双绞线布放前应核对型号规格、路由及位置与设计规定相符,布放平直、不得产生扭绞,打圈等现象,不应受到外力的积压和损伤;在布放前两端应贴有标签,以表明起始和终端的位置,标签书写应清楚,端正和正确,布放时应有冗余。在交接间,设备间预留3至6米;工作区预留0.3至0.6米。
问题3(6分)
若将PC-1、PC-2划分在同一个VLAN进行通信,需要在相关交换机上做哪些配置?在配置完成后应检查哪些内容?
交换机需要进行的配置:
(1)在core1、core2、switch2和switch3上创建vlan。
(2)在接入交换机上,把连接PC-1和PC-2的接口设置为access口,并划入对应vlan。
(3)把接入交换机和核心交换机的链路配置成trunk,并允许对应vlan通过。
检查内容:
(1) PC-1 ping PC-2,看是否能正常通信,arp -a查看是否学习到arp表项
(2)在交换机上display vlan breif,查看vlan是否创建成功,vlan划分是否成功
(3) 在交换机上display mac address-table,查看是否学习到了相应的mac地址
问题4(4分)
(1)简要说明该网络中核心交换机有哪几种冗余配置方式。
核心交换机冗余配置方式有: VRRP 方式、堆叠、M-LAG。(VRRP+MSTP,堆叠+链路聚合)
(2)在该网络中增加终端接入认证设备,可以选择在接入层、核心层或者DMZ区部署。请选择最合理的部署区域并说明理由。
部署在接入层:
部署在接入层,控制点更低,可以获得终端用户的 MAC、VLAN 信息,可以实现 MAC,VLAN的绑定策略,不影响核心设备的性能,安全性好。
部署在核心层:
部署区域是核心层,理由: 带宽大,集中部署,方便获取所有用户的认证流量,且用户流量不需要绕行。常见的部署拓扑图如下:
一定不能放在DMZ区域,因为DMZ区域是内外都可以访问的区域,不适合部署认证设备
试题二
某企业网络拓扑如图2-1所示,该企业通过两个不同的运营商(ISP1和ISP2)接入Internet,内网用户通过NAT访问Internet。公网用户可通过不同的ISP访问企业内部的应用。
【问题1】(6分)
为充分利用两个运营商的带宽,请提供至少4种多出口链路负载策略。
(1) 基于源IP地址的策略路由。例如Server区域走ISP1,PC区域走ISP2。
(2)基于目的IP地址的策略路由。例如访问ISP1的IP地址走ISP1,访问ISP2的IP地址走ISP2.
(3) 基于应用的策略路由 (或应用路由) 。例如视频会议走ISP1,Web访问走ISP2。
(4)基于链路优先级负载均衡
(5) 基于链路权重负载均衡
(6)根据链路质量负载均衡
(7)根据链路带宽负载均衡
(8)根据综合指标负载均衡
【问题3】(4分)
经过一段时间运行,经常有互联网用户反映访问Server的服务比较慢。经过抓包分析发现部分应用请求报文和服务器的回应报文经过的不是同一个ISP接口。请分析原因并提供解决方法。
产生该问题的原因是数据包的往返路径不一致,从ISP1 通过防火墙访问服务器的请求数据包,服务器发送响应数据包时,出口路由策略使其选择ISP2 传送,导致使数据包的来回路径不一致。
解决方案:打开USG 防火墙的源进源出功能。(流量从哪儿来,就从哪儿出去,不要进行跨运营商的访问,配置基于目的地址的策略路由)
【问题4】(4分)
企业网络在运行了一段时间后,网络管理员发现了一个现象:互联网用户通过公网地址可以正常访问Server,内网用户也可以通过内网地址正常访问Server,但内网用户无法通过公网地址访问Server,经过排查,安全策略配置都正确。请分析造成该现象的原因并提供解决方案。
访问流程与无法访问原因分析:
(1) PC通过服务器公网IP访问时,SIP=10.11.11.11,DIP=200.200.200.1。
(2) 数据到达防火墙进行NAT Server转换,SIP=10.11.11.11 DIP=10.10.10.10。
(3) 服务器认为PC跟自己都在内网,直接向PC的私网IP回包。SIP=10.10.10.10
DIP=10.11.11.11。PC访问的是200.200.200.1 (服务器公网IP) ,但10.10.10.10 (服务器私网IP)
在向PC回复,故PC会丢弃收到的回复,不能正常访问。
解决方案: 在防火墙上新建域内源NAT策略 (trust到trust) ,将PC (10.11.11.11) 访问Server(10.10.10.10) 的流量中,源IP地址转换为公网IP,即可解决问题。
试题三
阅读以下说明,回答问题1至问题3,将解答填入答题纸对应的解答栏内。
【说明】
图3-1为某公司网络骨干路由拓扑片段(分部网络略),公司总部与分部之间运行 BGP获得路由,路由器 RA、RB、RC 以及 RD 之间配置 iBGP 建立邻居关系,RC 和 RD 之间配置 OSPF 进程。所有路由器接口地址信息如图所示,假设各路由器已经完成各个接口 IP等基本信息配置。
【问题1】(2分)
按图3-1所示配置完成 BGP 和 OSPF 路由相互引入后,可能会出现路由环路,请分析产生路由环路的原因。
双点做了路由引入后,RA会传递给RB,RC BGP路由信息,在RC这里会引入到OSPF协议,并通告给RD,此时RD出现了两条去往目的地址的路由,一是通过RC,二是通过RB,但是路由协议优先级不相同,根据写表规则,RD会把从RC学习到OSPF路由写入路由表,然后RD又把OSPF引入到BGP中,导致环路的产生。
由于OSPF协议优先级高于BGP,需要BGP降低路由信息前缀的优先级才可以破除环路。也可以有选择性的进行路由引入,也可以通过路由属性中的标记值来实现。
(5)OSPF认证方式有哪些?上述命令中配置RC的为哪种?
区域认证和接口认证,上述命令中配置RC的区域认证
使用区域验证时,一个区域中所有的交换机在该区域下的验证模式和口令必须一致
(6)如果将命令authentication-mode simple ruankao 替换为 authentication--mode simple plain ruankao,则两者之间有何差异?
simple表示使用简单验证模式。缺省情况下,simple验证模式默认是cipher类型。
plain表示明文口令类型。