第2題： 閱讀以下說(shuō)明，回答問(wèn)題1至問(wèn)題2，將解答填入答題紙對(duì)應(yīng)的解答欄內(nèi)。
【說(shuō)明】(20分)
某企業(yè)內(nèi)部局域網(wǎng)拓?fù)淙鐖D2-1所示，局域網(wǎng)內(nèi)分為辦公區(qū)和服務(wù)器區(qū)。

圖2-1中，辦公區(qū)域的業(yè)務(wù)網(wǎng)段為10.1.1.0/24，服務(wù)器區(qū)網(wǎng)段為10.2.1.0/24服務(wù)網(wǎng)段的網(wǎng)關(guān)均在防火墻上，網(wǎng)關(guān)分別對(duì)應(yīng)為10.1.1.254。10.2.1.254；防火墻作為DHCP服務(wù)器，為辦公區(qū)終端自動(dòng)下發(fā)IP地址，并通過(guò)NAT實(shí)現(xiàn)用戶(hù)訪問(wèn)互聯(lián)網(wǎng)。防火墻外網(wǎng)服務(wù)部IP地址為100.1.1.2/28，辦公區(qū)用戶(hù)出口IP地址池為100.1.1.10-100.1.1.15。
【問(wèn)題1】(6分)

防火墻常用工作模式有透明模式、路由模式、混合模式，圖2-1 中的出口防火墻工作于(1)模式：防火墻為辦公區(qū)用戶(hù)動(dòng)態(tài)分配IP地址，需在防火墻完成開(kāi)啟(2)
功能：Server2為WEB服務(wù)器，服務(wù)端口為tcp 443，外網(wǎng)用戶(hù)通過(guò)https://100.1.1.9:8443訪問(wèn)，在防火墻上需要配置(3)
(3)備選答案：
A.nat server policy _web protocol tcp global 100.1.1.9 8443 inside 10.2.1.2.443 unr-route
B.nat server policy _web protocol tcp global 10.2.1.2.8443 inside 100.1.1.9 443 unr-route
C.nat server policy _web protocol tcp global 100.1.1.9 443 inside 10.2.1.2.8443 unr-route
D.nat server policy _web protocol tcp global 10.2.1.2 inside 10.2.1.2 8443 unr-route
【問(wèn)題2】(14分)
為了使局城網(wǎng)中1.1.0/24網(wǎng)段的用戶(hù)可以正常訪問(wèn)intemet，需要在防火墻上完成NAT、安全策略等配置，請(qǐng)根據(jù)需求完善以下配置。
#將對(duì)應(yīng)接口加入trust或者untrust區(qū)域。
[FW] firewall zone trust
[FW-zone-trust] add interface(4)
[FW-zone-trust] quit
[FW] firewall zone untrust
[FW-zone-untrust] add interface_(5)
[FW-zone-untrust]quit
#配置安全策略，允許局域網(wǎng)指定網(wǎng)段與Intemet進(jìn)行報(bào)文交互。
[FW] security-poliey
[FW-policy security]rule name policyl
#將局域網(wǎng)作為源信任區(qū)域，將互聯(lián)網(wǎng)作為非信任區(qū)域
[FW-policy-security-rule-policyl]souree-zone(6)
[FW-policy-seeurity-rule-policyl]destination-zone untrust
#指定局域網(wǎng)辦公區(qū)域的用戶(hù)訪問(wèn)互聯(lián)網(wǎng)
[FW-policy-security-rule-policyl]source-address(7)
#指定安全策略為允許
[FW-policy-security-rule-policyl] action(8)
[FWpoliey-security-rule-policyl] quit
[FW-policy-seeurity] quit
置NAT地址池，配置時(shí)開(kāi)啟允許端口地址轉(zhuǎn)換，實(shí)現(xiàn)公網(wǎng)地址復(fù)用。
[FW] nat address-group address groupl
[FW-address-group-addressgroupl] mode pat
[FWaddress-group-addressgroupl]section 0(9)
配置源NAT策略，實(shí)現(xiàn)局城網(wǎng)指定網(wǎng)段訪問(wèn)Intemet時(shí)自動(dòng)進(jìn)行源地址轉(zhuǎn)換。
[FW] nat poliey
[FW-policy nat]rule name poliy_nat 1
#指定具體哪線(xiàn)區(qū)域?yàn)樾湃魏头切湃螀^(qū)域
[FW-policy-nat-rule policy_nat 1] source-zone trust
[PW-policy-nat-rule policy_nat 1] destination zone untrust
#指定局域網(wǎng)源IP地址
[FW-policy-nat-rule policy_nat 1] source-address 10.1.1.0 24
[FW-policy-nal-rule-policy_nat 1]action source-nat address-group (10)
[FW-policy-nat-rule-policy_natl 1]quit
[PW-policy-nat] quit

答案解析與討論：www.jazzmuze.com/st/4582217847.html

第3題： 閱讀以下說(shuō)明，回答問(wèn)題1至問(wèn)題4，將解答填入答題紙對(duì)應(yīng)的解答欄內(nèi)。
【說(shuō)明】(20分)
某公司網(wǎng)絡(luò)拓?fù)渖稳鐖D3-1所示，其中出口路由器R2連接Internet PC所在網(wǎng)段為10.1.1.0/24，服務(wù)IP地址為10.2.2.22/24，R2連接的Internet出口網(wǎng)關(guān)地址為110.125.0.1/28。各路由端口及所對(duì)應(yīng)的IP地址信息如表3-1所示。假設(shè)各個(gè)路由器和主機(jī)均完成了各個(gè)接口IP地址的配置。

【問(wèn)題1】(6分)
通過(guò)靜態(tài)路由配置使路由器R1經(jīng)過(guò)路由器R2作為主鏈路連接internet R1→R3→R2->Internet作為備份鏈路：路由器R3經(jīng)過(guò)路由器R2作為主鏈路連接上internet R3→R1→R2→Interet作為備份鏈路。

請(qǐng)按要求補(bǔ)全命令或回答問(wèn)題。
R1上的配置片段
[R1]ip route-static 0.0.0.0 0.0.0.0 (1)
[R1]ip route-static 0.0.0.0 0.0.0.0 (2)preference 100
R2上的配置片段：
[R2]ip route-static (3) 110.125.0.1
以下兩條命令的作用是(4)
[R2]ip route-static 10.2.2.0 0.255.255.255 10.12.0.1
[R2]ip route-static 10.2.2.0 0.255.255.255 10.23.0.3 preference 100
【問(wèn)題2】(3分)
通過(guò)在R1、R2和R3上配置雙向轉(zhuǎn)發(fā)檢測(cè)(Bidirectional Forwarding Deteletion，BFD)實(shí)現(xiàn)鏈路故障快速檢測(cè)和靜態(tài)路由的自動(dòng)切換。
以R3為例配置R3和R2之間的BFD會(huì)話(huà)，請(qǐng)補(bǔ)全下列命令
[R3](5)
[R3-bfd] quit
[R3]bfd 1 bind peer-ip(6)source-ip (7)auto
[R3-bfd-session-1]commit
[R3-bfd-session-1]quit
【問(wèn)題3】(6分)
通過(guò)配置虛擬路由冗余協(xié)議(Virtual Router Redundancy Protocol，簡(jiǎn)稱(chēng)VRRP)通過(guò)交換機(jī)S1為S1雙歸屬到RI和R3，從而保證鏈路發(fā)生故障時(shí)服務(wù)面的業(yè)務(wù)不中斷，R1為主路由，R3為備份路由，且虛擬浮動(dòng)IP地址為10.2.2.10。
根據(jù)上述配置要求，服務(wù)器的網(wǎng)關(guān)地址應(yīng)配置為(8)。
在R1上配置與R3的VRRP虛擬組相互備份：
[R1]int g0/0/1
//創(chuàng)建VRRP虛擬組
[RI-GigabitEthernet0/0/1]vrrp vrid 1 virtual-ip (9)
//配置優(yōu)先級(jí)為120
[R1-GigabitEthernet0/0/1]vvrp vrid1 priority 120
下面這條命令的作用是 (10)
[R1-GigabitEthernet0/0/1]vrrp vrid 1 preempt-mode timer delay2//跟蹤GE0/0/0端口，如果GE0/0/0端口down，優(yōu)先級(jí)自動(dòng)減30
[R1-GigabitEthernet0/0/1]vrrp vrid 1 track interface GE0/0/0 seduced 30
請(qǐng)問(wèn)R1為什么要跟蹤GE0/0/0端口?
答：(11)
【問(wèn)題4】(5分)
通過(guò)配置ACL限制PC所在網(wǎng)段在2021年11月6日上午9點(diǎn)至下午5點(diǎn)之間不能訪問(wèn)服務(wù)器的Web服務(wù)(工作在80端口)，對(duì)園區(qū)內(nèi)其它網(wǎng)段無(wú)訪問(wèn)限制。
定義滿(mǎn)足上述要求ACL的命令片段如下，請(qǐng)補(bǔ)全命令。
[XXX](12) ftime 9:00 to 17:00 2021/11/6
[XXX]acl 3001
[XXX0-acl-adv-3001]rule (13) tcp destination-port eq 80 source destination
10.2.2.22 0.0.0.0 time-range(14)
上述ACL最佳配置設(shè)備是 (15)。

答案解析與討論：www.jazzmuze.com/st/458238309.html

第4題： 閱讀以下說(shuō)明，回答問(wèn)題1至問(wèn)題2，將解答填入答題紙對(duì)應(yīng)的解答欄內(nèi)。
【說(shuō)明】(15分)
某公司辦公網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖4-1所示，其中，在交換機(jī)SwitchtA上啟用DHCP為戶(hù)端分配IP地址。公司內(nèi)部網(wǎng)絡(luò)采用基于子網(wǎng)的VLAN劃分。

【問(wèn)題1】(5分)
由于公司業(yè)務(wù)特點(diǎn)需要，大部分工作人員無(wú)固定工位。故公司內(nèi)部網(wǎng)絡(luò)采用基于子網(wǎng)劃分VLAN并采用DHCP策略VLAN功能為客戶(hù)端分配IP地址。請(qǐng)根據(jù)以上描述，填寫(xiě)下面的空白。
DHCP策略VLAN功能可實(shí)現(xiàn)新加入網(wǎng)絡(luò)主機(jī)和DHCP服務(wù)器之間DHCP報(bào)文的互通，使新加入網(wǎng)絡(luò)主機(jī)通過(guò)DHCP服務(wù)器獲得合法IP地址及網(wǎng)絡(luò)配置等參數(shù)。
在基于子網(wǎng)劃分VLAN的網(wǎng)絡(luò)中，如果設(shè)備收到的是Untagged幀，設(shè)備將根據(jù)報(bào)文中的(1)，確定用戶(hù)主機(jī)添加的VLAN ID。新加入網(wǎng)絡(luò)的主機(jī)在申請(qǐng)到合法的IP地址前采用源IP地址(2)進(jìn)行臨時(shí)通信，此時(shí)，該主機(jī)無(wú)法加入任何VLAN，設(shè)備會(huì)為該報(bào)文打上接口的缺省VLAN ID(3)。由于接口的缺省VLAN ID與DHCP服務(wù)器所在VLAN ID不同，因此主機(jī)不會(huì)收到IP地址及網(wǎng)絡(luò)配置等參數(shù)配置信息。DHCP策略VLAN功能可使設(shè)備修改收到的DHCP報(bào)文的(4)VLANTag，將VLAN ID設(shè)置為(5)所在VLAN ID，從而實(shí)現(xiàn)新加入網(wǎng)絡(luò)主機(jī)與DHCP服務(wù)器之間DHCP報(bào)文的互通，獲得合法的IP地址及網(wǎng)絡(luò)配置參數(shù)。該主機(jī)發(fā)送的報(bào)文可以通過(guò)基于子網(wǎng)劃分VLAN的方式加入對(duì)應(yīng)的VLAN。
(1)~(5)備選答案：
A.255.255.255.255
B.內(nèi)層
C.外層
D.源IP地址
E.DHCP服務(wù)器
F.1
G.0.0.0.0
H.源MAC地址
I.1023
【問(wèn)題2】(10分)
根據(jù)業(yè)務(wù)要求，在部門(mén)A中，新加入的MAC地址為0081-01fa-2134，主機(jī)HOST A需要加入VLAN 10并獲取相應(yīng)IP地址配置，連接在交換機(jī)SwitchB的GE0/0/3接口上的主機(jī)需加入VLAN20并獲取相應(yīng)IP地址配置，部門(mén)B中的所有主機(jī)應(yīng)加入VLAN30并獲取相應(yīng)IP地址配置。
請(qǐng)根據(jù)以上要求，將下面配置代碼的空白部分補(bǔ)充完整。
1.在SwichA上配置VLAN30的接口地址池功能
#在SwitchA上創(chuàng)建VLAN，并配置VLANIF接口的IP地址。
system-view
[HUAWEI] sysname SwitchA
[SwitchA](6)enable
[SwitchA]vlan batch 10 20 30
[SwitchA]interfacc vlanif 30
[SwitchA-Vlanif30]ip address(7)24
[SwitchA-Vlanif30]quit
[SwitchA]interface vlanif 30
[SwitchA-Vlanif30]dhcp select(8)//使能VLANIF接口地址池
[SwitchA-Vlanif30]quit
[SwitchA]interface gigabitethernet 0/0/2 //配置接口加入相應(yīng)VLAN
[SwitehA-GigabitEthernet0/0/2]port link-type(9)
[SwitehA-GigabitEthernet0/0/2]port trunk allow-pass vlan 30
[SwitchA-GigabitEthernet0/0/2]quit
//VLAN10和VLAN20的配置略
2.在SwitchC上與主機(jī)HostC和HostD相連的接口GEO/0/2配置基于子網(wǎng)劃分VLAN功能，并配置接口為Hybrid Untagged類(lèi)型。
system-view
[HUAWEI] sysname SwitchC
[SwitchC]dhcp enable
[SwitchC]vlan batch 30
[SwitchC]interface(10)
[SwitchC-GigabitEthernet0/0/1]port link-type trunk
[SwitchC-GigabitEthernet0/0/1]port trunk allow-pass vlan30
[SwitchC-GigabitEthernet0/0/1]quit
[SwitchC]interface gigabitethernet 0/0/2
[SwitchC-GigabitEthernet0/0/2]_(11)enable
[SwitchC-GigabitEthernet0/0/2]quit(12)untagged vlan 30
[SwitchC-GigabitEthernet0/0/2]
//SwitchB基于子網(wǎng)劃分VLAN配置略
3.在SwitchB上分別配置基于MAC地址和基于的DHCF策略VLAN功能
[SwitchB]vlan 10
[SwitchB vlan 10]iF-subnet-vlan iF 10.10.10.1.24
[SwitchB vlan 10]dhcp policy-vlan(13)
[SwitchB vlan 10]quit
[SwitchB]vlan 20
[SwitchB vlan 20]iF-subnet-vlan iF 10.10.20.1.24
[SwitchB vlan 20]dhcp policy-vlan(14)gigabitethernet0/0/3
[SwitchB vlan 20]quit
4.在SwitchC上配置普通的DHCP策略VLAN功能
[SwitchC]vlan 30
[SwitchB vlan 30]iF-subnet-vlan iF 10.10.30.1.24
[SwitchB vlan 30]dhcp policy-vlan(15)
[SwitchB vlan 30]quit
(6)~(15)備選答案：
A.port
B.dhcp
C.interface
D.mac-address
E.ip-subnet-vlan
F.generic
G.10.10.30.1
H.hybird
I.trunk
J.gigabitethernet0/0/1

答案解析與討論：www.jazzmuze.com/st/4582422563.html