网络规划设计师第二期模考试卷(案例分析)
发布时间:2024-11-15 09:11:53浏览次数:32023 下半年网络规划设计师第二期模考试卷(案例分析)1、组网需求如图所示,在大型园区出口,核心交换机上行和防火墙进行直连,通过防火墙连接到出口网关,对出入园区的业务流量提供安全过滤功能,为网络安全提供保证,网络要求如下:1、内网用户使用私网 IP 地址,用户的 IP 地址使用 DHCP 自动分配。2、部门 A 用户能够访问 Internet,部门 B 用户不能访问 Internet。3、内外网用户都可以访问 HTTP 服务器。4、保证网络的可靠性,每个节点都进行冗余设计。问题内容:问题一(共 10 分)请根据部署要点,回复相关问题:部署要点
[Router] traffic behavior behav1[Router-behavior-behav1] (12)[Router-behavior-behav1] quit[Router] traffic policy policy1[Router-trafficpolicy-policy1] classifier (13) behavior(14)[Router-trafficpolicy-policy1] quit[Router] interface ethernet 0/0/1[Router-Ethernet0/0/1] traffic-policy policy1 (15)[Router-Ethernet0/0/1] quit【问题 4】(9 分,第一问 4 分,第二问 5 分)1、请说明 IPS 和 IDS 的区别。2、从下图可以判断该企业网站的网络威胁为 (16) , 网络管理员应采取(17)、(18)、(19)、(20)等合理有效的措施进行处理。
试题答案:试题 1:【问题 1】(4 分,每空 1 分)(1)认证(2)授权(3)计费(4)Radius 【问题 2】(4 分,每空 2 分)(5)2000-2999(6)3000-3999。(7)子网 1(172.16.105.0/24)的所有用户在任意时间都可以访问 FTP 服务器。子网2(172.16.107.0/24)的所有用户只能在某一个时间范围内访问 FTP 服务器。其他用户不可以访问 FTP服务器。【问题 3】(8 分,每空 1 分)(8)trunk(9)ipv6 enable(10)rule permit ipv6 source 2001:db8::2/32 destination 2001:db8::1/32(11)acl 3001(12)deny(13)class1(14)behav1(15)inbound【问题 4】(9 分,每空 1 分)1、总体上说,IDS 对那些异常的、可能是入侵行为的数据进行检测和报警,告知使用者网络中的实时状况,并提供相应的解决、处理方法,是一种侧重于风险管理的安全功能。而入侵防御对那些被明确判断为攻击行为,会对网络、数据造成危害的恶意行为进行检测,并实时终止,降低或是减免使用者对异常状况的处理资源开销,是一种侧重于风险控制的安全功能。入侵防御技术在传统 IDS 的基础上增加了强大的防御功能:传统防火墙很难对基于应用层的攻击进行预防和阻止。入侵防御设备能够有效防御应用层攻击。而由于重要数据夹杂在过多的一般性数据中,IDS 很容易忽视真正的攻击,误报和漏报率居高不下,日志和告警过多。而入侵防御功能则可以对报文层层剥离,进行协议识别和报文解析,对解析后的报文分类并进行专业的特征匹配,保证了检测的精确性。IDS 设备只能被动检测保护目标遭到何种攻击。为阻止进一步攻击行为,它只能通过响应机制报告给防火墙,由防火墙来阻断攻击。入侵防御是一种主动积极的入侵防范阻止系统。检测到攻击企图时会自动将攻击包丢掉或将攻击源阻断,有效地实现了主动防御功能。2、(16)XSS 攻击。(17)验证所有输入数据,有效检测攻击(18)对所有输出数据进行适当的编码,以防止任何已成功注入的脚本在浏览器端运行(19)WAF(20)IPS 设备
1、路由部署:– Router ID:为每台设备配置一个(1)地址,作为设备的 Router ID。– 出口路由器、防火墙、核心交换机作为 OSPF 骨干区域 Area(2),出口路由器作为 ASBR,核心交换机为 ABR。– 部门 A 和部门 B 的 OSPF 区域分别配置为 Area 1 和 Area 2,并配置为(3)区域,减少 LSA 在区域间的传播。– 为了引导各设备的上行流量,在核心交换机上配置一条缺省路由,下一跳指向防火墙,在防火墙上配置一条缺省路由,下一跳指向出口路由器,出口路由器上配置一条缺省路由,下一跳指向运行商网络设备的对接地址(公网网关)。2、可靠性部署:– 在核心交换机部署(4)技术,汇聚交换机部署(5),保证设备级可靠性。– 为提高链路可靠性、在核心交换机与防火墙之间、核心交换机和汇聚交换机之间、汇聚交换机和接入交换机之间均通过(6)互连。– 在防火墙上部署(7),两台防火墙之间实现负载分担。3、DHCP 部署:– 核心交换机配置 DHCP 服务器,为用户自动分配 IP 地址。– 在汇聚交换机上配置(8),保证能够通过 DHCP 服务跨网段为用户分配 IP 地址。4、NAT 部署:– 为了使内网用户访问 Internet,在两台出口路由器的上行口配置(9),实现私网地址和公网地址之间的转换。通过 ACL 匹配部门 A 的源 IP 地址,从而实现部门 A 的用户可以访问 Internet,而部门 B的用户不能访问 Internet。– 为了保证外网用户能够访问 HTTP 服务器,在两台出口路由器上配置(10)。5、安全部署:防火墙配置安全策略,对流量进行过滤,保证网络安全。问题二(共 15 分)
关键部分配置如下:步骤 1 核心交换机:配置交换机集群步骤 2 汇聚交换机:配置堆叠(iStack),这里以 S5720EI 系列交换机为例,使用业务口做堆叠步骤 3 部署 Eth-Trunk 接口:配置 CSS 与 FW、汇聚交换机之间的跨框 Eth-Trunk 口1. 防火墙 FW:配置和核心交换机 CSS 之间互联的 Eth-Trunk 接口# 在 FW1 上创建 Eth-Trunk 10,用于连接核心交换机 CSS,并加入 Eth-Trunk 成员接口。[FW1](11)//创建 Eth-Trunk10 接口,和 CSS 对接[FW1-Eth-Trunk10] quit[FW1] interface gigabitethernet 2/0/3[FW1-GigabitEthernet2/0/3] eth-trunk 10[FW1-GigabitEthernet2/0/3] quit[FW1] interface gigabitethernet 2/0/4[FW1-GigabitEthernet2/0/4] eth-trunk 10[FW1-GigabitEthernet2/0/4] 2. 核心交换机 CSS:配置 CSS 和 FW 之间、CSS 和汇聚交换机的跨框 Eth-Trunk3. 汇聚交换机:配置汇聚交换机 AGG 和核心交换机 CSS、汇聚交换机和接入交换机之间互联的 Eth-Trunk 接口步骤 4 配置各接口 IP 地址# 配置 FW1。例如:[FW1] interface loopback 0[FW1-LoopBack0] ip address 3.3.3.3 32 //用来做 Router ID[FW1-LoopBack0] quit[FW1] interface gigabitethernet 1/0/1[FW1-GigabitEthernet1/0/1] ip address 10.1.1.2 24 //配置和 Router1 相连的接口的 IP 地址[FW1-GigabitEthernet1/0/1] quit[FW1] interface gigabitethernet 1/0/7[FW1-GigabitEthernet1/0/7] ip address 10.10.1.1 24 //配置双机热备心跳线 IP 地址[FW1-GigabitEthernet1/0/7] quit[FW1] interface eth-trunk 10[FW1-Eth-Trunk10] ip address 10.3.1.1 24 //配置和 CSS 相连的 Eth-Trunk 接口的 IP 地址[FW1-Eth-Trunk10]请问防火墙之间的心跳线的作用是什么?(12)。(3 分)步骤 5 防火墙:配置防火墙各接口所属安全区域和安全策略
# 将各接口加入到安全区域。[FW1] (13)[FW1-zone-trust] add interface Eth-Trunk 10 //将连接内网的 Eth-Trunk10 加入安全区域[FW1-zone-trust] quit···# FW1:配置安全策略[FW1] policy interzone local untrust inbound[FW1-policy-interzone-local-untrust-inbound] policy 2[FW1-policy-interzone-local-untrust-inbound-2] policy source 10.1.1.1 mask 24 //(14)[FW1-policy-interzone-local-untrust-inbound-2] action (15)[FW1-policy-interzone-local-untrust-inbound-2] quit[FW1-policy-interzone-local-untrust-inbound] quit[FW1] policy interzone local trust outbound·········步骤 6 部署路由1. 路由器、防火墙、核心交换机上行接口配置为骨干区域 Area 0# 配置 Router1[Router1] router id 1.1.1.1[Router1] (16) //配置 OSPF[Router1-ospf-1](17)//配置为骨干区域[Router1-ospf-1-area-0.0.0.0] (18) //将连接 FW1 的网段发布到 OSPF 骨干区域[Router1-ospf-1-area-0.0.0.0] quit[Router1-ospf-1] quit2. 核心交换机下行接口、汇聚交换机配置为 NSSA 区域 Area1、Area2# 配置 CSS[CSS] ospf 1 //配置 OSPF[CSS-ospf-1] area 1 //配置为 Area1[CSS-ospf-1-area-0.0.0.1] network 10.5.1.0 0.0.0.255 //将连接 AGG1 的网段发布到 OSPF Area 1[CSS-ospf-1-area-0.0.0.1] nssa //(19)[CSS-ospf-1-area-0.0.0.1] quit[CSS-ospf-1] area 2 //配置为 Area2[CSS-ospf-1-area-0.0.0.2] network 10.6.1.0 0.0.0.255 //将连接 AGG2 的网段发布到 OSPF Area 2[CSS-ospf-1-area-0.0.0.2] nssa [CSS-ospf-1-area-0.0.0.2] quit[CSS-ospf-1]3. 在核心交换机上配置一条缺省路由,下一跳指向防火墙,在防火墙上配置一条缺省路由,下一跳指向出口路由器,出口路由器上配置一条缺省路由,下一跳指向运行商网络设备的对接地址(公网网关) 202.10.1.2 和 202.10.2.2 [Router1] ip route-static 0.0.0.0 0.0.0.0 (20)[Router2] ip route-static 0.0.0.0 0.0.0.0 (21)[FW1] ip route-static 0.0.0.0 0.0.0.0 (22)[FW2] ip route-static 0.0.0.0 0.0.0.0 (23)[CSS] ip route-static 0.0.0.0 0.0.0.0 (24)[CSS] ip route-static 0.0.0.0 0.0.0.0 (25)步骤 7 核心交换机 CSS、汇聚交换机 AGG:配置 DHCP步骤 8 出口路由器:配置 NAT步骤 9 防火墙:配置双机热备步骤 10 防火墙:配置攻击防范试题答案:试题一(共 10 分)(1)Loopback(2)Area0(3)NSSA 区域
(4)集群(CSS)(5)堆叠(iStack)(6)Eth-Trunk(7)双机热备(8)DHCP Relay (9)NAT(10)NAT Server试题二(共 15 分)(11)interface eth-trunk 10(12)一般是防火墙做双机热备时用,主要传输两台防火墙的同步状态信息,及防火墙配置变化后配置信息同步用。(13)firewall zone trust(14)允许位于 untrust 区域的接入路由器访问防火墙(15)permit(16)ospf 1(17)area 0(18)network 10.1.1.0 0.0.0.255(19)将 Area 1 配置为 NSSA 区域(20)202.10.1.2(21)202.10.2.2(22)10.1.1.1(23)10.2.1.1(24)10.3.1.1(25)10.4.1.12、大中型园区网络通常采用核心层为“根”的树形网络架构,如图所示,拓扑稳定,易于扩展和维护。园区网络可划分为多个层次:、终端层、接入层、汇聚层、核心层,以及多个分区:出口互联区、数据中心区、网络管理区、DMZ 区等,各功能分区模块清晰,模块内部调整涉及范围小,易于进行问题定位。
问题内容:试题一:(每空 2 分,共 18 分)(1)请补充图中(1)-(5)空格处的层次。(2)核心层包括 WAC,无线终端通过 AP 接入网络后,AP 通过(6)隧道和 WAC 建立通信机制。(3)对于 FIT AP 的供电,建议采用什么(7)方案。(4)园区出口区一般需要部署出口路由器和防火墙。(8)解决内外网互通的问题,(9)提供边界安全防护能力。为了保证可靠性,路由器和防火墙通常采用设备冗余部署。大中型园区推荐出口部署设备冗余备份。试题二(4 分):企业园区 IP 地址的规划建议遵循四大原则,请明确说明是哪四大原则(10)、(11)、(12)、(13)。试题三(3 分)大中型园区建议规划独立的 DHCP Server,DHCP 的规划建议如下:建议整个园区规划一个 DHCP Server 来简化运维;建议在接入层设备配置(14),能够保证客户端从合法的 DHCP Server 获取 IP 地址,避免被非法攻击;大中型园区 DHCP 服务器和园区主机通常不在同一个网段,建议网关开启 DHCP 中继功能。对于 AP 和 WAC 不在同一个二层网络,AC 与 AP 之间是三层网络时,AP 无法通过广播方式发现 AC,所以需要通过 DHCP 服务器上配置 DHCP 响应报文中携带的(15)信息发现 AC。试题答案:试题一(每空 2 分)(1)终端区(2)接入区
(3)汇聚区(4)核心区(5)出口区(6)CAPWAP(7)POE 供电(8)路由器(9)防火墙试题二(每空 2 分)(10)唯一性(11)扩展性(12)连续性(13)易维护(实意性)。试题三(共 3 分)(14)DHCP snooping(15)option43 选项3、请阅读以下说明,回复相关问题。【问题 1】(4 分,每空 1 分)AAA 是是网络安全的一种管理机制,提供了(1)、(2)、(3)三种安全功能。在 AAA 的具体实现过程中,通过 AAA 方案来定义一套 AAA 配置策略。AAA 可以通过多种协议来实现,在实际应用中,最常使用(4)协议。【问题 2】(4 分,每空 2 分)随着网络的飞速发展,网络安全和网络服务质量 QoS(Quality of Service)问题日益突出。1、企业重要服务器资源被随意访问,企业机密信息容易泄露,造成安全隐患。2、Internet 病毒肆意侵略企业内网,内网环境的安全性堪忧。3、网络带宽被各类业务随意挤占,服务质量要求最高的语音、视频业务的带宽得不到保障,造成用户体验差。以上种种问题,都对正常的网络通信造成了很大的影响。因此,提高网络安全性服务质量迫在眉睫。ACL 就在这种情况下应运而生了。通过 ACL 可以实现对网络中报文流的精确识别和控制,达到控制网络访问行为、防止网络攻击和提高网络带宽利用率的目的,从而切实保障网络环境的安全性和网络服务质量的可靠性。根据 ACL 规则功能的不同,ACL 被划分为基本 ACL、高级 ACL、二层 ACL 和用户 ACL 这几种类型,每类ACL 编号的取值范围不同。基本 ACL 的编号范围是(5)、高级的 ACL 编号是(6)。如图所示,Router 作为 FTP 服务器,对网络中的不同用户开放不同的访问权限:问题内容:操作步骤配置时间段<Huawei> system-view[Huawei] sysname Router[Router] time-range ftp-access from 0:0 2014/1/1 to 23:59 2014/12/31[Router] time-range ftp-access 14:00 to 18:00 off-day
配置基本 ACL[Router] acl number 2001[Router-acl-basic-2001] rule permit source 172.16.105.0 0.0.0.255[Router-acl-basic-2001] rule permit source 172.16.107.0 0.0.0.255 time-range ftp-access[Router-acl-basic-2001] rule deny source any[Router-acl-basic-2001] quit配置 FTP 基本功能[Router] ftp server enable[Router] aaa[Router-aaa] local-user huawei password irreversible-cipher SetUesrPasswd@123[Router-aaa] local-user huawei privilege level 15[Router-aaa] local-user huawei service-type ftp[Router-aaa] local-user huawei ftp-directory flash:[Router-aaa] quit配置 FTP 服务器访问权限[Router] ftp acl 2001配置完毕后,实现的效果是(7)【问题 3】(8 分,每空 1 分)ACL6 即 IPv6 ACL 指用于过滤 IPv6 报文的访问控制列表。如图所示,Router 通过 Eth0/0/1 接口连接用户。要求 Router 能对来自用户的特定 IPv6 报文(源 IPv6地址为 2001:db8::2/32 主机地址、目的 IPv6 地址为 2001:db8::1/32 网段地址的 IPv6 报文)进行过滤,并拒绝该报文通过。使用高级 ACL6 过滤特定 IPv6 报文示例组网图操作步骤1、使能 IPv6 转发能力,并配置接口加入 VLAN 以及 VLANIF 接口的 IPv6 地址。<Huawei> system-view[Huawei] sysname Router[Router] ipv6[Router] vlan batch 10[Router] interface ethernet 0/0/1[Router-Ethernet0/0/1] port link-type (8)[Router-Ethernet0/0/1] port trunk allow-pass vlan 10[Router-Ethernet0/0/1] quit[Router] interface vlanif 10[Router-Vlanif10] (9)[Router-Vlanif10] ipv6 address 2001:db8::1 32[Router-Vlanif10] quit2、配置高级 ACL6 和基于 ACL6 的流分类,并配置流行为和流策略,再在接口 Eth0/0/1 的入方向应用流策略,用于拒绝源 IPv6 地址为 2001:db8::2/32、目的 IPv6 地址为 2001:db8::1/32 的 IPv6 报文通过。[Router] acl ipv6 number 3001[Router-acl6-adv-3001] (10)[Router-acl6-adv-3001] quit[Router] traffic classifier class1[Router-classifier-class1] if-match ipv6 (11)[Router-classifier-class1] quit
