中级网络工程师-2020下半年（下午）《网络工程师》案例分析真题

中级网络工程师-2020下半年（下午）《网络工程师》案例分析真题问答题（共4题，共4分）(1.)某校园宿舍WLAN网络拓扑结构如图1-1所示，数据规划如表1-1内容所示。该网络采用（江南博哥）敏捷分布式组网在每个宿舍部署一个AP，AP连接到中心AP，所有AP和中心AP统一由AC进行集中管理，为每个宿舍提供高质量的WLAN网络覆盖。【问题1】（10分）补充命令片段的配置。1.Router的配置文件[Huawei]sysnameRouter[Router]vlanbatch(1)[Router]interfacegigabitethernet1/0/0[RouterGigabitEthernet1/0/0]portlink-typetrunk[RouterGigabitEthernet1/0/0]porttrunkallow-passvlan101[RouterGigabitEthernet1/0/0]quit[Router]interfacevlanif101[Router-Vlanifl01]ipaddress(2)[Router-Vlanifl01]quit2.AC的配置文件#配置AC和其他网络设备互通[HUAWEI]sysname(3)[AC]vlanbatch100101[AC]interfacegigabitethernet0/0/1[AC-GigabitEthernet0/0/1]portlink-typetrunk[AC-GigabitEthernet0/0/1]porttrunkpvidvlan100[AC-GigabitEthernet0/0/1]porttrunkallow-passvlan100[AC-GigabitEthernet0/0/1]port-isolate(4)//实现端口隔离[AC-GigabitEthernet0/0/1]quit[AC]interfacegigabitethernet0/0/2[AC-GigabitEthernet0/0/2]portlink-typetrunk[AC-GigabitEthernet0/0/2]porttrunkallow-passvlan101[AC-GigabitEthernet0/0/2]quit#配置中心AP和AP上线[AC]wlan[AC-wlan-view]ap-groupnameap-groupl[AC-wlan-ap-group-ap-group1]quit[AC-wlan-view]regulatory-domain-profilenamedefault[AC-wlan-regulate-domain-default]country-code(5)[AC-wlan-regulatedomain-default]quit[AC-wlan-view]ap-groupnameap-group1[AC-wlan-ap-group-ap-group1]regulatory-domain-profile(6)Warning:Modifyingthecountrycodewillclearchannel,powerandantennagainconfigOftheconfigsendresettheAPContinue?[Y/N]:y[AC-wlan-ap-group-ap-group1]quit[AC-wlan-view]quit[AC]capwapsourceinterface(7)[AC]wlan[AC-wlan-view]apauthmodemac-auth[AC-wlan-view]ap-id0ap-mac68a8-2845-62fd//中心AP的MAC地址[AC-wlan-ap-0]ap-namecentralAPWarning:ThisoperationmaycauseAPresetContinue?[Y/N]:y[AC-wlan-ap-0]ap-groupap-group1Warning:ThisoperationmaycauseAPreset.Ifthecountrycodechanges,itwillclearchannel,powerandantennagainconfigurationsoftheradio,Whethertocontinue?[Y/N]:y[AC-wlan-ap-0]quit其他相同配置略去#配置WLAN业务参数[AC-wlan-view]security-profilenamewlan-net[AC-wlan-sec-prof-wlan-net]securitywpa-wpa2pskpass-phrase(8)aes[AC-wlan-sec-prof-wlan-net]quit[AC-wlan-view]ssid-profilenamewlan-net[AC-wlan-ssid-prof-wlan-net]ssid(9)[AC-wlan-ssid-prof-wlan-net]quit[AC-wlan-view]vap-profilenamewlan-net[AC-wlan-vap-prof-wlan-net]forward-modetunnel[AC-wlan-vap-prof-wlan-net]service-vlanvlan-id(10)[AC-wlan-vap-prof-wlan-net]security-profilewlan-net[AC-wlan-vap-prof-wlan-net]ssid-profilewlan-net[AC-wlan-vap-prof-wlan-net]quit[AC-wlan-view]ap-groupnameap-group1[AC-wlan-ap-group-ap-groupl]vap-profilewlan-netwlan1radio0[AC-wlan-ap-group-ap-group1]vap-profilewlan-netwlan1radio1[AC-wlan-ap-group-ap-group1]quit【问题2】（6分）上述网络配置命令中，AP的认证方式是（11）方式，通过配置（12）配置。（11）~（12）备选答案：A、MACB、SNC、AP地址D、AP组将AP加电后，执行（13）命令可以查看到AP是否正常上线。(13)备选答案：A.displayapallB.displayvapssid【问题3】(4分)1.组播报文对无线网络空口的影响主要是（14），随着业务数据转发的方式不同，组播报文的抑制分别在（15）和（16）配置。2.该网络AP部署在每一间宿舍的原因是(17)。正确答案：参考解析：【问题1】（1）100101（2）（3）AC（4）enable（5）cn（6）default（7）vlanif100（8）a1234567（9）wlan-net（10）101【问题2】（11）A（12）D（13）A【问题3】（14）造成无线空接口拥堵（15）AP直连的交换机端口（16）AC的流量模板下（17）房间之间的墙壁等障碍物会使无线信号严重衰减，影响WLAN信号质量新版章节练习，考前压卷，完整优质题库+考生笔记分享，实时更新，软件，【问题1】（1）—（10）wifi配置同答案【问题2】（11）通过命令可以知道ap的认证模式为mac认证[AC]wlan[AC-wlan-view]apauth-modemac-auth（12）创建AP组，用于将相同配置的AP都加入同一AP组中（13）将AP上电后，当执行命令displayapall查看到AP的“State”字段为“nor”时，表示AP正常上线【问题3】（14）—（16）纯组播报文由于协议要求在无线空口没有ACK机制保障，且无线空口链路不稳定，为了纯组播报文能够稳定发送，通常会以低速报文形式发送。如果网络侧有大量异常组播流量涌入，则会造成无线空口拥堵。为了减小大量低速组播报文对无线网络造成的冲击，建议配置组播报文抑制功能。业务数据转发方式采用直接转发时，建议在直连AP的交换机接口上配置组播报文抑制。业务数据转发方式采用隧道转发时，建议在AC的流量模板下配置组播报文抑制。（17）由于大楼中房间较多，房间之间的墙壁等障碍物会使无线信号严重衰减，影响WLAN信号质量，因此采用敏捷分布式组网在每个房间部署一个AP，AP接入到中心AP，所有AP和中心AP统一由AC进行集中管理，为每个房间提供高质量的WLAN网络覆盖。(2.)小王为某单位网络中心网络管理员，该网络中心部署有业务系统、网站对外提供信息服务，业务数据通过SAN存储网络，集中存储在磁盘阵列上，使用RAID实现数据冗余；部署邮件系统供内部人员使用，并配备有防火墙、入侵检测系统、Web应用防火墙、上网行为管理系线，反垃圾邮件系统等安全防护系统，防范来自内外部网络的非法访问和攻击。【问题1】(4分)网络管理员在处理终端A和B无法打开网页的故障时，在终端A上ping不通，故障可能是（1）原因造成；在终端B上能登录互联网即时聊天软件，但无法打开网页，故障可能是（2）原因造成。(1)~(2)备选答案:A.链路故障B.DNS配置错误C.TCP/IP协议故障D.IP配置错误【问题2】(8分)年初，网络管理员监测到部分境外组织借新冠疫情对我国信息系统频繁发起攻击，其中，图2-1访问日志所示为(3)攻击，图2-2访问日志所示为(4)攻击。网络管理员发现邮件系统收到大量不明用户发送的邮件，标题含“武汉旅行信息收集”、“新型冠状病毒肺炎的预防和治疗”等和疫情相关字样，邮件中均包含相同字样的excel文件，经检测分析，这些邮件均来自某境外组织，exel文件中均含有宏，并诱导用户执行宏，下载和执行木马后门程序，这些驻留程序再收集重要目标信息，进一步扩展渗透，获取敏感信息，并利用感染电脑攻击防疫相关的信息系统，上述所示的攻击手段为(5)攻击，应该采取(6)等措施进行防范。(3)~(5)备选答案:A.跨站脚本B.SQL注入C.宏病毒D.APTE.DDosF.CCG.蠕虫病毒H.一句话木马【问题3】(5分)存储区域网络(StorageAreaNetwork,简称SAN)可分为(7)、(8)两种，从部署成本和传输效率两个方面比较这两种SAN，比较结果为(9)。【问题4】(3分)请简述RAID2.0技术的优势(至少列出2点优势)。正确答案：参考解析：【问题1】（1）C（2）B【问题2】（3）H（4）B（5）D（6）使用威胁情报、建立强大的出口规则、收集强大的日志分析等【问题3】（7）IP-SAN（8）FC-SAN（9）FCSAN部署成本更高，传输速率更高【问题4】1、自动负载均衡，降低了存储系统整体故障率2、快速精简重构，降低了双盘失效率和数据丢失的风险3、故障自检自愈，保证了系统可靠性4、虚拟池化设计，降低存储规划管理难度【问题1】（1）通常电脑内都会有环回测试地址，ping环回测试地址也不通的时候说明TCP/IP协议族安装有问题（2）能使用即时聊天软件，但是打不开网页，说明很可能是DNS解析有问题。即时聊天软件中一般是已经缓存过IP地址的，不使用域名来通信【问题2】（3）通过图中的eval（base64_decode），可以判断出是一句话木马攻击。一句话木马就是只需要一行代码的木马，短短一行代码，就能做到和大马相当的功能。为了绕过waf的检测，一句话木马出现了无数中变形，但本质是不变的：木马的函数执行了发送的命令。（4）通过图中的select，username，password，form等参数，可以判断出是SQL注入攻击（5）APT攻击可以大致分为探测期、入侵期、潜伏期、退出期4个阶段，这4个阶段通常是循序渐进的1.探测期：信息收集探测期是APT攻击者收集目标信息的阶段。攻击者使用技术和社会工程学手段收集大量关于系统业务流程和使用情况等关键信息，通过网络流量、软件版本、开放端口、员工资料、管理策略等因素的整理和分析，得出系统可能存在的安全弱点。另外，攻击者在探测期中也需要收集各类零日漏洞、编制木马程序、制订攻击计划等，用于在下一阶段实施精确攻击。2.入侵期：初始攻击，命令和控制攻击者突破安全防线的方法可谓五花八门，如采用诱骗手段将正常网址请求重定向至恶意站点，发送垃圾电子邮件并捆绑染毒附件，以远程协助为名在后台运行恶意程序，或者直接向目标网站进行SQL注入攻击等。尽管攻击手段各不相同，但绝大部分目的是尽量在避免用户觉察的条件下取得服务器、网络设备的控制权。（在受害者的网络植入远程管理软件，创建秘密访问其设备的网络后门和隧道；利用漏洞和密码破解来获取受害者计算机的管理员权限，甚至是Windows域管理员账号。）3.潜伏期，后续攻击，横向渗透，资料回传攻击者成功入侵目标网络后，通常并不急于获取敏感信息和数据，而是在隐藏自身的前提下寻找实施进一步行动的最佳时机。（攻击者利用已控的目标计算机作为跳板，在内部网络搜索目标信息。）当接收到特定指令，或者检测到环境参数满足一定条件时，恶意程序开始执行预期的动作，（最初是内部侦察，在周边有信任关系的设备或Windows域内收集信息）取决于攻击者的真正目的，APT将数据通过加密通道向外发送，或是破坏应用服务并阻止恢复，令受害者承受极大损失。（攻击者扩展到对工作站、服务器等设备的控制，在之上进行信息收集）。资料窃取阶段，攻击者通过跳板访问关键服务器，在利用0day漏洞等方式攻击服务器，窃取有用信息。然后将窃取道德数据，应用、文件、邮件等资源回传，攻击者会将这些资源重新分割成细小的碎片逐步以不同的时间周期穿给自己。4.退出期：清理痕迹以窃取信息为目的的APT类攻击一旦完成任务，用户端恶意程序便失去了使用价值；以破坏为目的的APT类攻击得手后即暴露了其存在。这两种情况中为了避免受害者推断出攻击的来源，APT代码需要对其在目标网络中存留的痕迹进行销毁，这个过程可以称之为APT的退出。APT根据入侵之前采集的系统信息，将滞留过的主机进行状态还原，并恢复网络配置参数，清除系统日志数据，使事后电子取证分析和责任认定难以进行（6）1.使用威胁情报。这包括APT操作者的最新信息；从分析恶意软件获取的威胁情报；已知的C2网站；已知的不良域名、电子邮件地址、恶意电子邮件附件、电子邮件主题行；以及恶意链接和网站。威胁情报在进行商业销售，并由行业网络安全组共享。企业必须确保情报的相关性和及时性。威胁情报被用来建立“绊网”来提醒你网络中的活动。2.建立强大的出口规则。除网络流量（必须通过代理服务器）外，阻止企业的所有出站流量，阻止所有数据共享和未分类网站。阻止SSH、FTP、Telnet或其他端口和协议离开网络。这可以打破恶意软件到C2主机的通信信道，阻止未经授权的数据渗出网络。3.收集强大的日志分析。企业应该收集和分析对关键网络和主机的详细日志记录以检查异常行为。日志应保留一段时间以便进行调查。还应该建立与威胁情报匹配的警报。4.聘请安全分析师。安全分析师的作用是配合威胁情报、日志分析以及提醒对APT的积极防御。这个职位的关键是经验。【问题3】（7）—（8）IP-SAN、FC-SAN（9）通常SAN由磁盘冗余阵列RAID连接光纤通道FC组成。SAN和服务器和客户机的数据通信通过SCSI命令而非TCP/IP，数据处理是“块级”（blocklevel）。利用光纤通道技术，FC-SAN可以有效地传输数据块。通过支持在存储和服务器之间传输海量数据块，SAN提供了数据备份的有效方式。因此，传统上用于数据备份的网络带宽可以节约下来用于其他应用。FC-SAN的另一个长处是传送数据块到企业级数据密集型应用的能力。在数据传送过程中，FC-SAN在通信结点（尤其是服务器）上的处理费用开销更少，因为数据在传送时被分成更小的数据块。因此，光纤通道FC-SAN在传送大数据块时非常有效，这使得光纤通道协议非常适用于存储密集型环境。IP-SAN（IP存储）的通信通道是使用IP通道，而不是光纤通道，是把服务器与存储设备连接起来的技术。像光纤通道一样，IP存储是可交换的，但是与光纤通道不一样的是，IP网络是成熟的，不存在互操作性问题，用无所不在的IP网络，一定程度上保护了现有投资。【问题4】1、自动负载均衡，降低了存储系统整体故障率2、快速精简重构，降低了双盘失效率和数据丢失的风险3、故障自检自愈，保证了系统可靠性4、虚拟池化设计，降低存储规划管理难度(3.)图3-1为某大学的校园网络拓扑，其中出口路由器R4连接了三个ISP网络，分别是电信网络（网关地址/28）联通网络（网关地址/28）以及教育网（网关地址/28）。路由器R1、R2、R3、R4在内网一侧运行RIPv2.0协议实现动态路由的生成。PC机的地址信息如表3-1所示，路由器部分接口地址信息如表3-2所示。【问题1】(2分)如图3-1所示，校本部与分校之间搭建了IPSecVPN。IPSee的功能可以划分为认证头AH、封装安全负荷ESP以及密钥交换IKE。其中用于数据完整性认证和数据源认证的是(1)。【问题2】(2分)为R4添加默认路由，实现校园网络接入Internet的默认出口为电信网络，请将下列命令补充完整。[R4]iproute-static(2)【问题3】(5分)在路由器RI上配置RIP协议，请将下列命令补充完整：[R1]_(3)[R1-rip-1]network_(4)[R1-ip-1]version2[R1-rip-1]undosummary各路由器上均完成了RIP协议的配置，在路由器RI上执行displayiprouting-table，由RIP生成的路由信息如下所示：Destination/MaskProtoPreCostFlagsNextHopInterface/24RIP1001DGigabitEthernet0/0//24RIP1001DGigabitEthernet0/0//30RIP1001DGigabitEthernet/0/0//24RIP1001DGigabitEthernet/0/0/0根据以上路由信息可知。下列RIP路由是由（5）路由器通告的：/24RIP1001DGigabitEthernet0/0//24RIP1001DGigabitEthernet0/0/1请问PCI此时是否可以访问电信网络？为什么？答:(6)。【问题4】(11分)图3-1中，要求PCI访问Internet时导向联通网络，禁止PC3在工作日8.00至18.00访问电信网络。请在下列配置步骤中补全相关命令：第1步：在路由器R4上创建所需ACL创建用于PCI策略的ACL：[R4]acl2000[R4-acl-basic-2000]rule1permitsource(7)[R4-acl-basic-2000]quit创建用于PC3策略的ACL:[R4]time-rangesatime(8)working-day[R4]aclnumber3001[R4-acl-adv-3001]ruledenysource(9)destination55time-rangesatime第2步：执行如下命令的作用是(10)。[R4]trafficlassifer1[R4-classifier-1]if-matchacl2000[R4-classifier-1]quit[R4]trafficclassifier3[R4-classifier-3]if-matchacl3001[R4-classifier-3]quit第3步：在路由器R4上创建流行为并配置重定向[R4]trafficbehavior1[R4-bchavior-1]redirect(11)[R4-behavior-1]quit[R4]trafficbehavior3[R4-behavior-3](12)[R4-behavior-3]quit第4步:创建流策略，并在接口上应用(仅列出了R4上GigabitEthernet0/0/0接口的配置)[R4]trafficpolicy1[R4-trafficpolicy-1]classifier1(13)[R4-trafficpolicy-1]classifier3(14)[R4-trafficpolicy-1]quit[R4]interGigabitEthernet0/0/0[R4-GigabitEthernet0/0/0]traffic-policy(15)[R4-GigabitEthernet0/0/0]quit正确答案：参考解析：【问题1】（1）认证头AH【问题2】（2）【问题3】（3）rip1或rip（4）（5）R3（6）不能访问，因为此时R1上没有到达外网的默认路由【问题4】（7）（8）8:00to18:00（9）（10）配置流分类（11）ip-nexthop（12）deny（13）behavior1（14）behavior3（15）inbound【问题1】(2分)用于数据完整性认证和数据源认证的是AH。ESP除了能进行数据完整性认证和数据源认证外，还可以保证数据的机密性。IKE是互联网密钥交换协议，可以让通信双方自行协商出相同的对称密钥。【问题2】(2分)要实现校园网络接入Internet的默认出口为电信网络，通过题干可知电信网络网关地址为，所以缺省路由命令为iproute-static【问题3】(5分)（3）[R1]rip1//进入rip视图，此处写rip也可以（4）[R1-rip-1]network//宣告直连网段[R1-ip-1]version2//设定rip版本为版本2[R1-rip-1]undosummary//关闭自动汇总（5）通过题中给到的路由表，可以看出去往/24和/24的网段，数据包要交给的下一跳是。再通过题中给到的表格，可以知道是通过R3学习到的(6)不能访问，因为此时R1上没有到达外网的默认路由【问题4】(11分)第1步：在路由器R4上创建所需ACL创建用于PC1策略的ACL：[R4]acl2000[R4-acl-basic-2000]rule1permitsource[R4-acl-basic-2000]quit创建用于PC3策略的ACL:[R4]time-rangesatime8:00to18:00working-day[R4]aclnumber3001[R4-acl-adv-3001]ruledenysourcedestination55time-rangesatime第2步：在路由器R4上创建流分类。[R4]trafficlassifer1[R4-classifier-1]if-matchacl2000[R4-classifier-1]quit[R4]trafficclassifier3[R4-classifier-3]if-matchacl3001[R4-classifier-3]quit第3步：在路由器R4上创建流行为并配置重定向[R4]trafficbehavior1[R4-bchavior-1]redirectip-nexthop[R4-behavior-1]quit[R4]trafficbehavior3[R4-behavior-3]deny[R4-behavior-3]quit第4步:创建流策略，并在接口上应用(仅列出了R4上GigabitEthernet0/0/0接口的配置)[R4]trafficpolicy1[R4-trafficpolicy-1]classifier1behavior1[R4-trafficpolicy-1]classifier3behavior3[R4-trafficpolicy-1]quit[R4]interGigabitEthernet0/0/0[R4-GigabitEthernet0/0/0]traffic-policyinbound[R4-GigabitEthernet0/0/0]quit(4.)某公司的网络拓扑结构如图4-1所示。公司管理员对各业务使用的VLAN作如下规划：为了便于统一管理，避免手工配置，管理员希望各种终端均能够自动获取IP地址，语音终端根据其MAC地址为其分配固定的IP地址，同时还需要到FTP服务器上动态获取启动配置文件configuartion.ini，公司DNS服务器地址为，所有地址段均路由可达。【问题1】(3分)公司拥有多种业务，例如Internet.IPTV.VoIP等，不同业务使用不同的IP地址段。为了便于管理，需要根据业务类型对用户进行管理。以便路由器RI能通过不同的VLAN分流不同的业务。VLAN划分可基于(1)、子网、(2)、协议和策略等多种方法。本例可采用基于(3)的方法划分VILAN子网。【问题2】(12分)下面是在SW1上创建DHCPOption模板，并在DHCPOption模板视图下，配置需要为语音客户端IPPhone分配的启动配置文件和获取启动配置文件的文件服务器地址，请将配置代码或注释补充完整。＜HUAWEI>(4)[HUAWEI]sysnameSW1[SW1](5)optiontemplatetemplate1[SW1-dhcp-option-template-template1]gateway-list(6)//配置网关地址[SW1-dhcp-option-template-template1]bootfile(7)//获取配置文件[SW1-dhcp-option-template-template1]next-server(8)//配置获取配置文件地址[SW1-dhcp-option-template-template1]quit下面创建地址池，同时为IPPhone分配固定IP地址以及配置信息。请将配置代码补充完整。[SW1]ippoolpool3[SW1-ip-pool-pool3]network(9)mask[SW1-ip-pool-pool3]dns-list(10)[SW1-ip-pool-pool3](11)[SW1-ip-pool-pool3]excluded-ip-address(12)54[SW1-ip-pool-pool3]leaseunlimited[SW1-ip-pool-pool3]static-bindip-address192168.3.2mac-address(13)option-templaletemplate1//使用模板[SW1-ip-pool-pool3]quit#在对应VLAN上使能DHCP[SW1]interfacevlanif(14)[SW1-Vlanif300](15)selectglobal[SW1-Vlanif300]quit正确答案：参考解析：【问题1】（1）端口（2）MAC地址（3）子网【问题2】（4）system-view（5）dhcp（6）（7）configuration.ini（8）（9）（10）（11）gateway-list（12）50（13）dcd2-fa98-e439（14）300（15）dhcp【问题1】划分VLAN的方式有：基于接口、基于MAC地址、基于子网、基于协议、基于策略（MAC地址、IP地址、接口）。基于子网的vlan划分是根据数