试题一:
如图所示,某公司通过Switch实现各部门之间的互连。公司要求禁止研发部门和市场部门在上班时间(9:00至17:30)访问财务服务器(IP地址为10.164.9.9),总裁办公室则不受限制,可以随时访问。
添加图片注释,不超过 140 字(可选)
【问题1】4分
要实现上述功能需要配置访问控制列表ACL,ACL本质上是一种基于(1)的过滤器,规则是过滤器的滤芯。基于ACL规则定义方式,可以将ACL分为(2)和高级ACL,其中(3)的编号范围为3000~3999,其可以根据源IP地址、目的IP地址、(4)、源/目的端口、分片信息和生效时间段等信息来定义规则进行过滤。
【问题2】16分
[Switch] vlan batch 10 20 30 100
[Switch] interface gigabitethernet 1/0/1
[Switch-GigabitEthernet1/0/1] port link-type trunk
[Switch-GigabitEthernet1/0/1] port trunk allow-pass vlan 10
[Switch-GigabitEthernet1/0/1] quit
[Switch] interface vlanif 10
[Switch-Vlanif10] ip address 10.164.1.1 255.255.255.0
[Switch-Vlanif10] (1)
[Switch] (2) satime 9:00 to 17:30 (3)
[Switch] acl (4)
[Switch-acl-adv-3002] rule (5) ip source 10.164.2.0 0.0.0.255 destination 10.164.9.9 0.0.0.0 time-range (6)
[Switch-acl-adv-3002] quit
[Switch] acl 3003
[Switch-acl-adv-3003] rule deny ip source (7) destination 10.164.9.9 0.0.0.0 time-range satime
[Switch-acl-adv-3003] quit
[Switch] traffic (8) c_market
[Switch-classifier-c_market] if-match acl 3002
[Switch-classifier-c_market] quit
[Switch] traffic classifier c_rd
[Switch-classifier-c_rd] if-match (9)
[Switch-classifier-c_rd] quit
[Switch] traffic (10) b_market
[Switch-behavior-b_market] deny
[Switch-behavior-b_market] quit
[Switch] traffic behavior b_rd
[Switch-behavior-b_rd] (11)
[Switch-behavior-b_rd] quit
[Switch] traffic (12) p_market
[Switch-trafficpolicy-p_market] classifier c_market behavior (13)
[Switch-trafficpolicy-p_market] quit
[Switch] traffic policy p_rd
[Switch-trafficpolicy-p_rd] classifier c_rd behavior b_rd
[Switch-trafficpolicy-p_rd] quit
[Switch] interface gigabitethernet 1/0/2
[Switch-GigabitEthernet1/0/2] traffic-policy p_market (14)
[Switch-GigabitEthernet1/0/2] quit
[Switch] interface GigabitEthernet1/0/3
[Switch-GigabitEthernet1/0/3] traffic-policy p_rd inbound
[Switch-GigabitEthernet1/0/3] quit
结合以上配置,是否真的实现了总裁办可随时访问财务服务器,并简要说明原因?(15)(2分)
【答案】
【问题1】4分
1.IP报文
2.基本ACL
3.高级ACL
4.协议类型
【问题2】16分
1.quit
2.time-range
3.working-day
4.3002
5.deny
6.satime
7.10.164.3.0 0.0.0.255
8.classifier
9.acl 3003
10.behavior
11.deny
12.policy
13.b_market
14.inbound
15.实现了,连接总裁办的GE1/0/1接口并没有应用任何流策略及ACL,所以总裁办可以随时访问财务服务器。
【解析】
【问题1】4分
要实现上述功能需要配置访问控制列表ACL,ACL本质上是一种基于IP报文的过滤器,规则是过滤器的滤芯。基于ACL规则定义方式,可以将ACL分为(基本ACL)和(高级ACL),其中(高级ACL)的编号范围为3000~3999,其可以根据源IP地址、目的IP地址、(协议类型)、源/目的端口、分片信息和生效时间段等信息来定义规则进行过滤。
【问题2】16分
//配置vlanif接口的IP地址,并退出到系统视图
[Switch] interface vlanif 10
[Switch-Vlanif10] ip address 10.164.1.1 255.255.255.0
[Switch-Vlanif10] quit
[Switch] time-range satime 9:00 to 17:30 working-day
//配置ACL生效时间段,该时间段是一个周期时间段
# 配置市场部门到财务服务器的访问规则。
[Switch] acl 3002
[Switch-acl-adv-3002] rule deny ip source 10.164.2.0 0.0.0.255 destination 10.164.9.9 0.0.0.0 time-range satime
//禁止市场部在satime指定的时间范围内访问财务服务器
# 配置研发部门到财务服务器的访问规则。
[Switch] acl 3003
[Switch-acl-adv-3003] rule deny ip source 10.164.3.0 0.0.0.255 destination 10.164.9.9 0.0.0.0 time-range satime
//禁止研发部在satime指定的时间范围内访问财务服务器
[Switch-acl-adv-3003] quit
# 配置流分类c_market,对匹配ACL 3002的报文进行分类。
[Switch] traffic classifier c_market //创建流分类
[Switch-classifier-c_market] if-match acl 3002 //将ACL与流分类关联
[Switch-classifier-c_market] quit
# 配置流分类c_rd,对匹配ACL 3003的报文进行分类。
[Switch] traffic classifier c_rd //创建流分类
[Switch-classifier-c_rd] if-match acl 3003 //将ACL与流分类关联
[Switch-classifier-c_rd] quit
# 配置流行为b_market,动作为拒绝报文通过。
[Switch] traffic behavior b_market //创建流行为
[Switch-behavior-b_market] deny //配置流行为动作为拒绝报文通过
[Switch-behavior-b_market] quit
# 配置流行为b_rd,动作为拒绝报文通过。
[Switch] traffic behavior b_rd //创建流行为
[Switch-behavior-b_rd] deny //配置流行为动作为拒绝报文通过
[Switch-behavior-b_rd] quit
# 配置流策略p_market,将流分类c_market与流行为b_market关联。
[Switch] traffic policy p_market //创建流策略
[Switch-trafficpolicy-p_market] classifier c_market behavior b_market
//将流分类c_market与流行为b_market关联
[Switch-trafficpolicy-p_market] quit
# 配置流策略p_rd,将流分类c_rd与流行为b_rd关联。
[Switch] traffic policy p_rd //创建流策略
[Switch-trafficpolicy-p_rd] classifier c_rd behavior b_rd
//将流分类c_rd与流行为b_rd关联
[Switch-trafficpolicy-p_rd] quit
应用流策略
# 由于市场部访问服务器的流量从接口GE1/0/2进入Switch,所以可以在GE1/0/2接口的入方向应用流策略p_market。
[Switch] interface gigabitethernet 1/0/2
[Switch-GigabitEthernet1/0/2] traffic-policy p_market inbound
//流策略应用在接口入方向
[Switch-GigabitEthernet1/0/2] quit
# 由于研发部访问服务器的流量从接口GE1/0/3进入Switch,所以在GE1/0/3接口的入方向应用流策略p_rd。
[Switch] interface gigabitethernet 1/0/3
[Switch-GigabitEthernet1/0/3] traffic-policy p_rd inbound
//流策略应用在接口入方向
[Switch-GigabitEthernet1/0/3] quit
试题二:
阅读以下说明,回答问题1至问题3,将解答填入答题纸对应的解答栏内。
【说明】
某企业网络拓扑如图2-1所示,该企业通过两个不同的运营商(ISP1和ISP2)接入Internet,内网用户通过NAT访问Internet。公网用户可通过不同的ISP访问企业内部的应用。
【问题1】(6分)
企业部署了两条出口链路,以此提高出口链路的带宽和可靠性。但一般情况下都是随机选择一条链路转发流量,并不考虑各条链路的实际带宽或链路的实时状态,为了解决这种问题,我们可以部署( 1 )功能来解决,FW通过部署这项功能后,即可根据( 2 )、权重、( 3 )或者自动探测到的链路质量,动态选择最优链路,并根据各链路实时状态动态调整分配结果,以此提高链路资源的利用率和用户体验。
【问题2】(9分)
内网服务器Server需对外发布提供服务,互联网用户可通过ISP1、ISP2来访问,Server的服务端口为TCP 8880。
请根据以上需求配置安全策略,允许来自互联网的用户访问Server提供的服务。
[USG]( 4 )
[USG-policy-security]rule name http
[USG-policy-security-rule-http]source-zone ISP1
[USG-policy-security-rule-http]source-zone ( 5 )
[USG-policy-security-rule-http]destination-zone ( 6 )
[USG-policy-security-rule-http]destination-address( 7 )
[USG-policy-security-rule-http]service protocol TCP destination-port( 8 )
[USG-policy-security-rule-http]( 9 )permit
[USG-policy-security-rule-http]quit
【问题3】(5分)
随着网络规模越来越大,通过伪造源IP地址实施的网络攻击(简称IP地址欺骗攻击)也逐渐增多。
可以使用( 10 )技术有效阻止此类网络攻击行为。其利用绑定表( 11 )、( 12 )、( 13 )、( 14 )的绑定关系去匹配检查二层接口上收到的IP报文,只有匹配绑定表的报文才允许通过,其他报文将被丢弃。
【答案】
【问题一】(6分)
1、智能选路
2、链路带宽
3、优先级
【问题2】(9分)
4、security-policy
5、ISP2
6、trust
7、10.10.10.10 32
8、8880
9、action
【问题3】(5分)
10、IP源防攻击或IPSG
11、源IP地址
12、源MAC地址
13、所属VLAN
14、入接口
【解析】
问题一:随着业务的不断发展,企业通常会在网络出口部署多条链路,以此提高出口链路的带宽和可靠性。这样做虽然在一定程度上达到了预期效果,但是由于出口设备在转发流量时一般是随机选择一条链路转发流量,并不考虑各条链路的实际带宽或链路的实时状态,因此在实际应用中会存在如下问题:
如果各条链路的带宽不等,则很可能出现某些带宽大的链路空闲、某些带宽小的链路拥塞的情况,从而造成链路资源的浪费。
由于不同ISP链路的传输质量和服务费用不同,有时用户希望优先保证业务的传输质量,有时希望优先使用费用较低的链路,而平分流量是无法实现这些需求的。
当出口设备与目的设备之间的链路出现故障或者目的设备上的服务不可用时,如果流量被转发到相应的链路上,则将造成访问失败。
通过部署智能选路功能可以解决上述问题。智能选路是指到达目的网络有多条链路可选时,FW通过不同的智能选路方式,即根据链路带宽、权重、优先级或者自动探测到的链路质量,动态选择最优链路,并根据各链路实时状态动态调整分配结果,以此提高链路资源的利用率和用户体验。
问题二:防火墙安全策略的配置,按题目的需求去配置即可,注意配置命令书写准确。
问题三:IP源防攻击IPSG(IP Source Guard)是一种基于二层接口的源IP地址过滤技术,它能够防止恶意主机伪造合法主机的IP地址来仿冒合法主机,还能确保非授权主机不能通过自己指定IP地址的方式来访问网络或攻击网络。
IPSG利用绑定表(源IP地址、源MAC地址、所属VLAN、入接口的绑定关系)去匹配检查二层接口上收到的IP报文,只有匹配绑定表的报文才允许通过,其他报文将被丢弃。
试题三:
阅读以下说明,回答问题1至
根据问题说明,回答问题,将解答填入答题纸对应的解答栏内。
添加图片注释,不超过 140 字(可选)
【问题1】5分
在一个复杂的网络中,网络规划者由于冗余备份的需要,一般会在设备之间部署多条物理链路,其中一条作主用链路,其他链路作备份,这样就容易形成交换环路,可能会引起广播风暴,此时可在网络中使能STP功能,通过交互(1)报文,来实现无环拓扑的计算,STP有多种版本,其中支持生成多颗树的是(2)协议,其标准为(3)。
在进行根桥选举时交换机之间选择(4)最小的交换机作为网络中的根网桥,此值由(5)个B所组成 。
【问题2】10分
如图所示,在SwitchA、SwitchB、SwitchC和SwitchD都运行RSTP,通过彼此交互信息发现网络中的环路,并有选择的对某个端口进行阻塞,最终将环形网络结构修剪成无环路的树形网络结构,从而防止报文在环形网络中不断循环,避免设备由于重复接收相同的报文造成处理能力下降。
补充下列配置语句
[SwitchA] stp (1) //全局使能STP
[SwitchA] stp (2) //配置RSTP工作模式
[SwitchA] stp root (3)
[SwitchA] stp pathcost-standard legacy
//配置SwitchA的端口路径开销计算方法为华为计算方法。
[SwitchA] interface gigabitethernet 0/0/1
[SwitchA-GigabitEthernet0/0/1] stp root-protection
//(4)
[SwitchA-GigabitEthernet0/0/1] quit
[SwitchC] stp pathcost-standard legacy
[SwitchC] interface gigabitethernet 0/0/1
[SwitchC-GigabitEthernet0/0/1] stp cost 20000
[SwitchC-GigabitEthernet0/0/1] quit
配置SwitchC端口GigabitEthernet0/0/1端口路径开销值为20000。
[SwitchB] interface gigabitethernet 0/0/2
[SwitchB-GigabitEthernet0/0/2] stp (5) enable
// 配置SwitchB端口GigabitEthernet0/0/2为边缘端口。
[SwitchB-GigabitEthernet0/0/2] quit
配置SwitchB的BPDU保护功能。
[SwitchB] (6)
[SwitchD] stp root secondary //(7)
根据以上配置,(8)为根桥交换机,当SwitchA的GigabitEthernet0/0/1端口收到优先级更高的RSTP BPDU时,网络中的根桥交换机角色是否会立即替换(9)。
当SwitchB连接的PC2接口故障时,是否会触发生成树协议收敛(10)。
【答案】
【问题1】5分
1.BPDU
2.MSTP
3.IEEE802.1S
4.BID值
5.8
【问题2】10分
1.enable
2.mode rstp
3.primary
4.在SwitchA端口GigabitEthernet0/0/1上配置根保护功能。
5.edged-port
6.stp bpdu-protection
7.配置交换机D为备份根桥
8.SwitchA
9.不会
10.不会
【解析】
【问题1】考查生成树协议的基本概念
【问题2】考查生成树协议的相关配置和理论
在SwitchA端口GigabitEthernet0/0/1上配置根保护功能后,若此端口收到了优先级更高的BPDU,则端口状态将进入Discarding状态,不再转发报文。
如果在一段时间(通常为两倍的Forward Delay)内,如果端口没有再收到优先级更高的RST BPDU,端口会自动恢复到正常的Forwarding状态。
[SwitchA] stp enable //全局使能STP
[SwitchA] stp mode rstp //配置RSTP工作模式
[SwitchA] stp root primary
[SwitchA] stp pathcost-standard legacy
//配置SwitchA的端口路径开销计算方法为华为计算方法。
[SwitchA] interface gigabitethernet 0/0/1
[SwitchA-GigabitEthernet0/0/1] stp root-protection
//(在SwitchA端口GigabitEthernet0/0/1上配置根保护功能。)
[SwitchA-GigabitEthernet0/0/1] quit
[SwitchC] stp pathcost-standard legacy
[SwitchC] interface gigabitethernet 0/0/1
[SwitchC-GigabitEthernet0/0/1] stp cost 20000
[SwitchC-GigabitEthernet0/0/1] quit
配置SwitchC端口GigabitEthernet0/0/1端口路径开销值为20000。
[SwitchB] interface gigabitethernet 0/0/2
[SwitchB-GigabitEthernet0/0/2] stp edged-port enable
// 配置SwitchB端口GigabitEthernet0/0/2为边缘端口。
[SwitchB-GigabitEthernet0/0/2] quit
配置SwitchB的BPDU保护功能。
[SwitchB] (stp bpdu-protection)
[SwitchD] stp root secondary //(配置交换机D为备份根桥)
试题四:
如图所示,FW_A和FW_B支持双协议栈,分别与相应的IPv6网络以及IPv4网络相连。FW_A和FW_B均为6to4路由器,连接的IPv6网络均为6to4网络。要求在FW_A和FW_B之间配置6to4隧道,以便两个IPv6网络内的主机可以互通。
【问题1】8分
IPv6 over IPv4隧道有自动隧道和手动隧道,其中6to4隧道是属于( 1 ),请简述自动隧道和手动隧道的区别:( 2 )。
6 to 4隧道必须采用特殊的地址:6 to 4地址,它以( 3 )开头,后面跟着( 4 ),以此构成一个48位的6 to 4前缀。
【问题2】8分
防火墙A的配置如下,请补充相关配置:
开启IPv6报文转发功能。
<FW_A> system-view
[FW_A]( 5 ) //使能IPV6功能
[FW_A] interface GigabitEthernet 0/0/0
[FW_A-GigabitEthernet0/0/0] ip address 2.1.1.1 24
[FW_A-GigabitEthernet0/0/0] quit
[FW_A] firewall zone untrust
[FW_A-zone-untrust] add interface GigabitEthernet 0/0/0
[FW_A-zone-untrust] quit
# 配置GigabitEthernet 0/0/1的IPv6地址。
防火墙A GigabitEthernet 0/0/1接口IP地址配置省略
……
[FW_A] firewall zone trust
[FW_A-zone-trust] add interface GigabitEthernet 0/0/1
[FW_A-zone-trust] quit
[FW_A] interface Tunnel 0
[FW_A-Tunnel0] tunnel-protocol ipv6-ipv4 ( 6 )
[FW_A-Tunnel0] source ( 7 )
[FW_A-Tunnel0]( 8 ) //使能接口IPV6功能
[FW_A-Tunnel0] ipv6 address 2002:0201:0101::1 64
[FW_A-Tunnel0] quit
[FW_A] firewall zone untrust
[FW_A-zone-untrust] add interface tunnel 0
[FW_A-zone-untrust] quit
[FW_A] security-policy
[FW_A-policy-security] rule name policy1
[FW_A-policy-security-policy1] source-zone trust untrust
[FW_A-policy-security-policy1] destination-zone trust untrust
[FW_A-policy-security-policy1] action permit
[FW_A-policy-security-policy1] quit
[FW_A-policy-security] rule name policy2
[FW_A-policy-security-policy2] source-zone local untrust
[FW_A-policy-security-policy2] destination-zone local untrust
[FW_A-policy-security-policy2] action permit
FW_A需要配置到FW_B连接的6to4网络的路由。(4分)
[FW_A] ( 9 )
[FW_A] ( 10 )
【问题3】4分
防火墙的安全策略匹配规则,其每条安全策略中可以包含多个匹配条件,各个匹配条件之间是( 11 )的关系,而一个匹配条件中可以配置多个值,多个值之间是( 12 )的关系。
【问题1】8分
1、自动隧道
2、手动隧道需要手动配置隧道目的地址,而自动隧道不需要
3、2002
4、32位的IPv4地址
【问题2】8分
5、ipv6
6、6to4
7、GigabitEthernet 0/0/0
8、ipv6 enable
9-10、ipv6 route-static 2002:: 16 tunnel 0 (2分)
ip route-static 0.0.0.0 0 2.1.1.2 (2分)
【问题3】4分
11、与
12、或
【问题1】8分
6to4隧道也是一种将多个IPv6孤岛通过IPv4网络互连的技术。与IPv6 over IPv4自动隧道类似,6to4隧道也只需要告诉设备隧道的起点,隧道的终点也是由设备自动生成。同样,它也使用了一种特殊的地址格式,称为6to4地址。6to4地址可以表示为2002::/16,而一个6to4网络可以表示为2002:IPv4地址::/48。
通过6to4隧道,可以让孤立的IPv6网络通过IPv4网络互连。6to4隧道是通过Tunnel接口实现的,6to4隧道入口的IPv4地址手工指定,隧道的目的地址根据通过隧道转发的报文来决定。如果IPv6报文的目的地址是6to4地址,则从中提取出IPv4地址做为隧道的目的地址。
【问题2】8分
[FW_A]ipv6 //使能IPV6功能
[FW_A-Tunnel0] tunnel-protocol ipv6-ipv4 6to4 //指定隧道协议为6to4
[FW_A-Tunnel0] source GigabitEthernet 0/0/0 //指定隧道的源接口
[FW_A-Tunnel0] ipv6 enable //使能接口IPV6功能
IPV6网络中,要配置一条去往目标网段的静态路由,下一跳为tunnel口。从而把IPV6报文交给隧道接口处理。
隧道处理完后,会封装成IPV4包,因此在IPV4网络中,也要有一条路由去往相应的目的地,因此配置一条默认路由,转发至因特网。
ipv6 route-static 2002:: 16 tunnel 0 (2分)
ip route-static 0.0.0.0 0 2.1.1.2 (2分)
【问题3】4分
安全策略的匹配规则中,每条安全策略中包含多个匹配条件,各个匹配条件之间是“与”的关系,报文的属性与各个条件必须全部匹配,才认为该报文匹配这条规则。一个匹配条件中可以配置多个值,多个值之间是“或”的关系,报文的属性只要匹配任意一个值,就认为报文的属性匹配了这个条件。
试题五:
阅读以下说明,回答问题1至问题3,将解答填入答题纸对应的解答栏内。
【说明】
某公司网络划分为两个子网,其中设备A是DHCP服务器,如图3-1所示。
图3-1
【问题1】(6分)
DHCP在分配IP地址时,客户机PC1发送的第一个DCHP报文是(1),报文的源地址为(2),目的地址为(3)。
如果子网2中的客户端也要自动获得IP地址,可以采取的方式是( 4 )。
【问题2】(5分,每空1分)
在设置DHCP服务时,应当为DHCP添加( 5 )个作用域。子网1按照图3-2添加作用域,其中子网掩码为( 6 ), 默认网关为( 7 )。在此作用域中必须排除某个IP地址,如图3-3所示,其中“起始IP地址”处应填写( 8 )。 客户端获取到了IP地址后,想要重新获取IP地址可输入(9)命令。
添加图片注释,不超过 140 字(可选)
图3-2
添加图片注释,不超过 140 字(可选)
图3-3
【问题3】(4分,每空2分)
如果客户机无法找到DHCP服务器,它将从 (10) 网段中挑选一个作为自己的 IP地址,子网掩码为( 11 )。
【答案】
【问题1】(6分)
(1)DHCP discover
(2)0.0.0.0
(3)255.255.255.255
(4)配置DHCP中继
【问题2】(5分)
(5)2
(6)255.255.255.0
(7)192.168.5.254
(8)192.168.5.20
(9)ipconfig /renew
【问题3】(4分)
(10)169.254.0.0
(11)255.255.0.0
【解析】
【问题1】
客户机在最开始是没有IP地址的,使用0.0.0.0作为源地址,以广播形式发送 DHCP discove报文申请IP地址
【问题2】
(5)图中有2个子网,需要给2个子网分配ip地址。所以需要2个作用域
(6)可以从图3-1中看出子网A的掩码是24位,所以子网掩码是255.255.255.0
(7)默认网关是路由器的接口192.168.5.254
(8)分配ip的范围为192.168.5.15—192.168.5.200,dhcp服务器的ip192.168.5.20在这个范围内,所以需要排除掉这个地址
(9)ipconfig /renew重新申请IP地址。
【问题3】
(10)(11)当获取不到ip时,会自动获取一个169.254.0.0/16网段中的地址
试题六:
如图所示,SwitchB与SwitchA之间通过OSPF协议交换路由信息,与SwitchC之间通过IS-IS协议交换路由信息。用户希望在SwitchB上将IS-IS网络中路由引入到OSPF网络后,OSPF网络中路由172.17.1.0/24的选路优先级较低;路由172.17.2.0/24具有标识,方便以后运用路由策略。
| 设备名 | 接口 | 对应的VLANIF | IP地址 |
|---|---|---|---|
| SwitchA | GE0/0/1 | VLANIF10 | 192.168.1.1/24 |
| SwitchB | GE0/0/1 | VLANIF10 | 192.168.1.2/24 |
| GE0/0/2 | VLANIF20 | 192.168.2.2/24 | |
| SwitchC | GE0/0/1 | VLANIF20 | 192.168.2.1/24 |
| GE0/0/2 | VLANIF30 | 172.17.1.1/24 | |
| GE0/0/3 | VLANIF40 | 172.17.2.1/24 | |
| GE0/0/4 | VLANIF50 | 172.17.3.1/24 |
【问题1】3分
IS-IS和OSPF都是属于链路状态路由协议,且都是自治系统内的动态路由协议,请从区域边界、报文封装、收敛速度、路由器类型等方面至少说明三点OSPF和IS-IS不同之处?
( 1 )
【问题2】15分
# 配置SwitchA。SwitchB和SwitchC的配置与SwitchA类似。
<HUAWEI> system-view
[HUAWEI] sysname SwitchA
[SwitchA] vlan ( 2 ) 10
[SwitchA] interface gigabitethernet 0/0/1
[SwitchA-GigabitEthernet0/0/1] port link-type ( 3 )
[SwitchA-GigabitEthernet0/0/1] port trunk allow-pass vlan 10
[SwitchA-GigabitEthernet0/0/1] quit
# 配置SwitchB。
[SwitchB] isis
[SwitchB-isis-1] is-level level-2
[SwitchB-isis-1] network-entity 10.0000.0000.0002.00 //( 4 )
[SwitchB-isis-1] quit
[SwitchB] interface vlanif 20
[SwitchB-Vlanif20] ( 5 ) //使能接口的IS-IS功能
[SwitchB-Vlanif20] quit
# 配置SwitchB,启动OSPF,并引入IS-IS路由。
[SwitchB] ospf
[SwitchB-ospf-1] area 0
[SwitchB-ospf-1-area-0.0.0.0] network 192.168.1.0 0.0.0.255
[SwitchB-ospf-1-area-0.0.0.0] quit
[SwitchB-ospf-1] import-route isis 1
[SwitchB-ospf-1] quit
请问在当前的配置情况下,通过( 6 )命令查看SwitchA的OSPF路由表,可以看到( 7 )条ASE路由。
# 配置编号为2002的ACL
[SwitchB] acl number 2002
[SwitchB-acl-basic-2002] rule ( 8 )source 172.17.2.0 0.0.0.255
[SwitchB-acl-basic-2002] quit
# 配置名为prefix-a的地址前缀列表
[SwitchB] ip ip-prefix prefix-a index 10 permit ( 9 )
#配置Route-Policy
[SwitchB] route-policy isis2ospf permit node 10
[SwitchB-route-policy] if-match ( 10 )
[SwitchB-route-policy] apply cost 100
[SwitchB-route-policy] quit
[SwitchB] route-policy isis2ospf permit node 20
[SwitchB-route-policy] if-match ( 11 )
[SwitchB-route-policy] apply tag 20
[SwitchB-route-policy] quit
[SwitchB] route-policy isis2ospf permit node 30
[SwitchB-route-policy] quit
[SwitchB] ospf
[SwitchB-ospf-1] import-route isis 1 route-policy ( 12 )
[SwitchB-ospf-1] quit
请问是否已经实现在SwitchB上将IS-IS网络中路由引入到OSPF网络后,OSPF网络中路由172.17.1.0/24的选路优先级较低的效果,为什么?(2分)
( 13 )
【问题3】(3分)
在配置route-policy时,其if-match语句中可以匹配ACL或ip-prefix,请简要说明ACL和ip-prefix在匹配规则、能否匹配路由,能否匹配数据包过滤三个方面的区别?
( 14 )
【问题1】3分
1、答:区域边界的划分:OSPF是基于路由器,而IS-IS是基于链路的。
报文封装:OSPF封装在IP协议中,而IS-IS封装在数据链路层。
路由器类型不同:OSPF分为骨干路由器、常规路由器、区域边界路由器和自治系统边界路由器,而IS-IS分为L1、L1/2、L2路由器。
收敛速度:OSPF收敛速度快,但IS-IS比OSPF更快。
【问题2】14分
2、batch
3、trunk
4、配置SwitchB的网络实体名称
5、 isis enable
6、display ospf routing
7、4
8、permit
9、172.17.1.0 24
10、ip-prefix prefix-a
11、acl 2002
12、isis2ospf
13、答:实现了,因为根据路由策略的配置,在OSPF网络中172.17.1.0/24路由的开销已经被修改成了100,相较于默认COST值为1,其开销更大,因此其选路优先级有降低。(2分)
【问题3】3分
14、答:① 匹配规则:ACL匹配路由是通过IP地址和通配符,地址前缀列表匹配路由是通过网络号、网络号前缀长度及掩码长度范围。
② 能否匹配路由:ACL只有基本ACL可以匹配路由,而地址前缀列表则没有这种限制,地址前缀列表的作用就是用来匹配路由的。
③ 能否匹配数据包过滤:ACL可以,但地址前缀列表不行。
【问题1】3分
开放式最短路径优先OSPF(Open Shortest Path First)是IETF组织开发的一个基于链路状态的内部网关协议(Interior Gateway Protocol)。
中间系统到中间系统IS-IS(Intermediate System to Intermediate System)属于内部网关协议IGP(Interior Gateway Protocol),用于自治系统内部。IS-IS也是一种链路状态协议,使用最短路径优先SPF(Shortest Path First)算法进行路由计算。
OSPF和IS-IS虽然有相同的地方,但也有很多不同的地方。
区域边界的划分:OSPF是基于路由器来划分区域,一个路由器可以在不同区域。而IS-IS是基于链路的,一个路由器只能在一个区域。
报文封装:OSPF封装在IP协议中,而IS-IS封装在数据链路层。
路由器类型不同:OSPF分为骨干路由器、常规路由器、区域边界路由器和自治系统边界路由器,而IS-IS分为L1、L1/2、L2路由器。
收敛速度:OSPF收敛速度快,但IS-IS比OSPF更快。
【问题2】
2、批量创建VLAN
3、指定接口类型为trunk
4、配置SwitchB的网络实体名称(IS-IS)
5、 使能接口的IS-IS功能,isis enable,默认情况下没有使能
6、display ospf routing可以查看设备的OSPF路由表
7、以看到4条ASE路由。ASE代表外部引入的路由,根据拓扑,可以判断,在IS-IS网络中有4条路由将被引入到OSPF。
8、配置编号为2002的ACL,允许172.17.2.0/24通过。(这样可以实现过滤出172.17.2.0/24的路由信息,方便后续在路由策略中进行匹配)
9、配置名为prefix-a的地址前缀列表,允许172.17.1.0/24通过。
10、ip-prefix prefix-a 如果匹配前缀列表 指定的路由,就修改其COST,以达到降低其选路优先级。
11、acl 2002如果匹配ACL指定的路由,就为其添加路由tag,以达到题意。
12、配置SwitchB,设置在路由引入时应用Route-Policy。
13、答:实现了,因为根据路由策略的配置,在OSPF网络中172.17.1.0/24路由的开销已经被修改成了100,相较于默认COST值为1,其开销更大,因此其选路优先级有降低。
【问题3】
14、ACL和地址前缀列表的区别小结:
| 能否匹配路由 | 匹配工具/匹配规则 | 路由匹配是否精确 | 能否做数据包过滤 | 目的 | |
|---|---|---|---|---|---|
| ip-prefix | 能 | 路由前缀+长度范围+路由长度(可选) | 精确能同时匹配前缀号和前缀长度,解决ACL不能区分相同前缀、不同掩码的路由的问题 | 不能 | 诞生的目的就是精确匹配路由 |
| acl | 只有基本ACL可以,但是高级acl不能匹配路由 | 通配符(反掩码): 只能范围匹配 | 不精确对于前缀相同而掩码不同的路由无法匹配 | 能 | 最初是为了做数据包过滤 |
试题七:
阅读以下说明,回答问题1至问题5,将解答填入答题纸对应的解答栏内。
【说明】
某企业网络拓扑图如图1-1所示。
添加图片注释,不超过 140 字(可选)
图1-1
工程师给出了该网络的需求:
1.用防火墙实现内外网地址转换和访问控制策略;
2.核心交换机承担数据转发,并且与汇聚层两台交换机实现OSPF功能;
3.接入层到汇聚层采用双链路方式组网;
4.接入层交换机对地址进行VLAN划分;
5.对企业的核心资源加强安全防护。
【问题1】(4分)
该企业计划在①、②或③的位置部署入侵检测系统,根据入侵数据源的不同可将其分为(1)和(2)。若根据入侵检测方法的不同分类,可分为(3)和(4)。
【问题2】(4分)
IGP路由协议中,OSPF主要用于大型、异构的IP网络中,是属于(5),采用(6)算法计算出无环路由。若网络规模较小,可以考虑配置(7)或 (8) 协议实现路由选择。
【问题3】(4分)
对汇聚层两台交换机的F0/3、F0/4端口进行端口聚合,如果Switch1不支持LACP协议,则应该配置(9)。配置链路聚合的作用有哪些(10)。(至少答3点)
【问题4】(6分)
为了在汇聚层交换机上实现虚拟路由冗余功能,需配置 (11)协议,可以采用竞争的方式选择Master,比较设备优先级大小,优先级(12)的为Master。
为了避免二层广播风暴,需要在接入与汇聚设备上配置(13) 。
【问题5】(2分)
阅读汇聚交换机Switch 1的部分配置命令,回答下面的问题。
[Switch 1] interface vlanif 20
[Switch 1- vlanif 20] ip address 192.168.20.253 255.255.255.0
[Switch 1- vlanif 20] vrrp vrid 10 virtual-ip 192.168.20.250
[Switch 1- vlanif 20] vrrp vrid 10 priority 200
[Switch 1- vlanif 20] vrrp vrid 10 preempt-mode timer delay 10
Switch 2没有配置VRRP优先级,则(14)将成为Master 。
最后一条配置语句的作用是:(15)。
【答案】
【问题1】(4分)
(1)基于主机的入侵检测
(2)基于网络的入侵检测
(3)异常检测
(4)误用检测(特征检测) (1、2顺序可换、3、4顺序可换)
【问题2】(4分)
(5)链路状态路由协议
(6)SPF
(7)、(8)静态路由、RIP
【问题3】(4分)
(9)手动聚合
(10)提高链路带宽、提高链路可靠性(具有容错功能)、具有负载均衡的功能
【问题4】(6分)
(11)VRRP
(12)大
(13)STP
【问题5】(2分)
(14)Switch 1
(15)配置Switch 1为延迟抢占方式,延时时间10s
【解析】
【问题1】(4分)
入侵检测系统,根据入侵数据源的不同可将其分为基于主机的入侵检测和基于网络的入侵检测。若根据入侵检测方法的不同分类,可分为异常检测和误用检测。
【问题2】(4分)
OSPF是属于链路状态路由协议,采用SPF算法。网络规模小,可采用RIP路由协议或静态路由。
【问题3】(4分)
端口聚合有两种方式:一种是协议聚合,一种是手动聚合。聚合的作用有提高链路带宽、提高链路可靠性(具有容错功能)、具有负载均衡的功能。
【问题4】(6分)
实现路由冗余功能的协议有VRRP,优先级越大的就会成为master。避免二层广播风暴的协议为STP。
【问题5】(2分)
Switch2采用默认优先级为100,优先级越高,所以Switch1是Master。
试题八:
如图8-1所示,某企业内的四台交换机都运行OSPF来实现全网路由,并且划分成了Area0和Area1两个区域。现要求Area1内的设备不接收其他OSPF区域引入的外部路由信息,而Area1内的交换机则通过区域内的ASBR设备引入外部路由来与外部网络进行通信。
添加图片注释,不超过 140 字(可选)
图8-1
【问题1】(5分)
根据题目说明,需要把Area1区域配置成(1)区域类型,在此区域中用于通告本区域连接的外部路由用到的LSA类型为(2),此类LSA由(3)设备发出。
OSPF报文封装在(4)报文中传递,其协议号为(5)。
【问题2】(10分)
配置OSPF基本功能
[SwitchA] ospf 1 (1) 10.1.1.1
[SwitchA-ospf-1] (2)
[SwitchA-ospf-1-area-0.0.0.0] (3)
[SwitchA-ospf-1-area-0.0.0.0] quit
[SwitchA-ospf-1] area 1
[SwitchA-ospf-1-area-0.0.0.1] (4)
[SwitchA-ospf-1-area-0.0.0.1] (5) //配置area 1的区域类型
[SwitchA-ospf-1-area-0.0.0.1] nssa translator-always
[SwitchA-ospf-1-area-0.0.0.1] quit
[SwitchA-ospf-1] quit
...(交换机B、C的配置省略)
# 配置SwitchD,并将静态路由作为外部路由引入到OSPF
[SwitchD] ospf 1 router-id 10.4.4.4
[SwitchD-ospf-1] (6)
[SwitchD-ospf-1-area-0.0.0.1] network 192.168.3.0 0.0.0.255
[SwitchD-ospf-1-area-0.0.0.1] network 192.168.4.0 0.0.0.255
[SwitchD-ospf-1-area-0.0.0.1] nssa
[SwitchD-ospf-1-area-0.0.0.1] quit
[SwitchD-ospf-1] quit
[SwitchD] ip (7) 172.16.0.0 16 192.168.10.1
[SwitchD] ospf 1
[SwitchD-ospf-1] (8) static
[SwitchD-ospf-1] quit
根据以上配置,可以获知(9)将作为转换路由器将Type7 LSA转换为 Type5 LSA发送到其他OSPF区域。
配置完成之后,在交换机上可以通过(10)查看OSPF路由信息。
【问题3】(5分)
与OSPF一样,属于链路状态的路由协议的是(1),OSPF路由协议的优先级默认为(2)。
在五台路由器组成的广播型网络中,运行OSPF协议时,需要选举一台(3)和(4),建立的邻接关系数为(5)。
【答案】
【问题1】(5分)
(1)NSSA
(2)LSA7
(3)SwitchD
(4)IP
(5)89
【问题2】(10分)
(1)router-id
(2)area 0
(3)network 192.168.1.0 0.0.0.255
(4)network 192.168.3.0 0.0.0.255
(5)nssa
(6)area 1
(7)route-static
(8)import-route
(9)SwitchA
(10)display ospf routing
【问题3】(5分)
(1)IS-IS
(2)10
(3)DR或指定路由器
(4)BDR或备份指定路由器
(5)7
【解析】
NSSA(Not-So-Stubby Area)区域是OSPF特殊的区域类型。NSSA区域与STUB区域有许多相似的地方,两者都不传播来自OSPF网络其它区域的外部路由。差别在于STUB区域是不能引入外部路由,NSSA区域能够将自治域外部路由引入并传播到整个OSPF自治域中。当区域配置为NSSA区域后,为保证到自治系统外的路由可达,NSSA区域的ABR将生成一条缺省路由,并发布给NSSA区域中的其他路由器。
NSSA区域中允许Type7 LSA(NSSA External LSA)的传播。Type7 LSA由NSSA区域的ASBR产生,当它到达NSSA区域的ABR时,可以由ABR转换成Type5 LSA(AS External LSA),并通告到其他区域。
因此根据题目说明,1区域应该要配置为NSSA区域(也可以结合下文配置知晓)
OSPF使用组播发送协议包,且OSPF 协议包直接封装在IP包中,协议号为89
OSPF要求在广播型网络中选举一台DR(Designated Router,指定路由器),其它所有路由器只与DR建立邻接关系,与DR交互链路状态信息。
BDR(Backup Designated Router,备份指定路由器),作为DR的备份。(一个网段选举一个DR和BDR)
建立的邻接关系数为:2(n-2)+1
# 配置SwitchA,配置路由器ID及其OSPF区域,宣告相应区域内的接口网段。
[SwitchA] ospf 1 router-id 10.1.1.1
[SwitchA-ospf-1] area 0
[SwitchA-ospf-1-area-0.0.0.0] network 192.168.1.0 0.0.0.255
[SwitchA-ospf-1-area-0.0.0.0] quit
[SwitchA-ospf-1] area 1
[SwitchA-ospf-1-area-0.0.0.1] network 192.168.3.0 0.0.0.255
[SwitchA-ospf-1-area-0.0.0.1] nssa translator-always
//配置SwitchA为转换路由器
如果没有配置这条语句,则将由SwitchB将Type7 LSA转换成Type5 LSA发送到其它区域,因为默认OSPF会选举Router ID较大的ABR作为转换路由器。
[SwitchA-ospf-1-area-0.0.0.1] nssa
//配置area 1为NSSA区域,area 1内的所有设备都要配置nssa命令
[SwitchA-ospf-1-area-0.0.0.1] quit
[SwitchA-ospf-1] quit
配置SwitchD引入静态路由
[SwitchD] ip route-static 172.16.0.0 16 192.168.10.1
[SwitchD] ospf 1
[SwitchD-ospf-1] import-route static
//SwitchD作为NSSA区域的ASBR设备引入外部路由
[SwitchD-ospf-1] quit
扫一扫
420
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
