赞
踩
2022年5月网络工程师科目二真题
某分支机构网络拓扑图如 1-1 所示,该网络通过 BGP 接收总部网络路由,设备 1 与设备 2 作为该网络的网关设备,且运行 VRRP(虚拟网络冗余协议),与出口设备运行 OSPF。该网络规划两个网段 10.11.229.0/24 和 10.11.230.0/24,其中 10.11.229.0 网段只能访问总部网络,10.11.230.0 网段只能访问互联网。
问题1(4分)
分支机构有营销部、市场部、生产部、人事部四个部门,每个部门需要访问互联网主机数量如表所示,现计划对网段 10.11.230.0/24 进行子网划分,为以上四个部分规划 IP 地址,请补充表中的空(1)-(4)。
问题2(8分)
在该网络中为避免环路,应该在交换机上配置(5),生成 BGP 路由有 network 与 import 两种方式,以下描述正确的是(6)(7)(8)。|
空(6)-(8)备选答案:
A.Network 方式逐条精确匹配路由
B.Network 方式优先级高
C.Import 方式按协议类型引入路由
D.Import 方式逐条精确匹配路由
E.Network 方式按协议类型引入路由
F.Import 方式优先级高
问题3(4分)
若设备 1 处于活动状态(Master),设备 2 的状态在哪条链路出现故障时会发生改变?请说明状态改变的原因。
问题4(4分)
如果路由器与总部网络的线路中断,在保证数据安全的前提下,分支机构可以在客户端采用什么方式访问总部网络?在防火墙上采用什么方式访问总部网络
【真题答案】
问题1: 考查知识点:网络规划 子网划分
(1)10.11.230.0
(2)255.255.255.192
(3)10.111.230.224
(4)255.255.255.240
问题2:考查知识点:环路避免生成树协议 BGP协议原理
(5)STP
(6)A
(7) B
(8)C
问题3:考查知识点:VRRP协议
linke出现故障时会改变,改变的原因是无法有感知到设备1当前的状态,设备2自变切换变为Master,成为主控路由器。
问题4:考查知识点:故障处理 VPN技术 网络安全协议SSL IPSec
客户端可以通过VPN技术访问总部网络,VPN可以用SSL加密;
在防火墙上可以使用IPSec 技术和VPN技术来访问总部网络。
【题目解析】
网络号是使用IP和子网掩码作与运算
主机号是子网掩码取反后和IP做与运算
BGP协议中路由生成的方式有两种:network和import方式
network 命令是逐条地把IP路由表中已经存在的路由引入到BGP路由表中;
import方式是根据运行的路由协议把路由引入到BGP路由表里,import 方式可以引入直连路由和静态路由。network的优先级高于注入路由import
VRRP 虚拟路由器冗余协议,它可以在不改变组网的情况下,把多台路由器组成一组,虚拟成一个虚拟逻辑路由器。这一组路由器中只有一台主控路由器,其它的是备份路由器。主控路由器和备份路由器之间有VRRP的通知报文。报文每秒通知一次,如果备份路由器超过3秒没有收到主控路由器发送的VRRP通知报文,那么备份路由器会认为主控路由器失效了,它就会接替主控路由器的工作。在本题中linke 出现故障,设备1的VRRP通知报文就无法送达设备2,设备2超过3秒收不到通知报文就认为主控路由失效,就会进行切换,成为新的主控路由器。
VRRP协议v2是用于IPv4的,v3是用于IPv6的。
VPN虚拟专用网技术可以在公用网络上建立专用网络,进行加密通讯。VPN实现的方式有多种,可以是VPN服务器,也可以是软件或硬件VPN。
某公司的网络拓扑结构示意图如下所示:
问题1(6分)
某日,网站管理员李工报告网站访问慢,他查看了互联网接入区防火墙的日志。日志如图。
根据日志显示,初步判断该公司服务器遭到(1)攻击。该种攻击最常见的攻击方式为(2)、(3)等,李工立即开启防火墙相关防护功能,几分钟后,服务器恢复了正常使用。空(1)-(3)备选答案:
A.ARP B.蜜罐 C.DDoS D.SQL 注入 E.IP 地址欺骗 F.ICMP flood G.UDP flood
问题2(8分)
某日,10 层区域用户反映,上网时断时续,网络管理员李工经过现场勘查,发现该用户通过 DHCP 获取到 192.168.1.0/24 网段的地址,而公司该楼层分配的地址段为 10.10.10.1/24,经判断该网络有用户私接路由器,于是李工在楼层的接入交换机上开启交换机(4)功能后,用户上网正常,同时开启(5)功能后,可防止公司内部电脑感染病毒,伪造 MAC 地攻击网关。
空(4)-(5)备选答案:
A.ARP detection B.DHCP C.DHCP Relay D.DHCP Snooping
为加强终端接入管理,李工对接入交换机配置限制每个端口只能学习 1 个终端设备的 MAC 地址,具体如下:
interface GigabitEthernet 0/0/1
port-security(6)
port-securitymax-mac-num(7)
问题3(4分)
随着业务发展,公司需对存储系统升级,当前需要存储的数据主要为数据库、ERP、图片、视频、文档等。其中,数据库、ERP 采用机构 SSD 硬盘存储。使用 RAID 5 冗余技术。该用于技术通过(8)方式来实现数据冗余保护,每个 RAID 组至少应配备(9)块硬盘。
问题4(2分)
要求存储系统在不中断业务的基础上,快速获得一个 LUN 在某个时刻的完全数据拷贝进行业务分析,可以使用(10)功能实现。
空(10)备选答案:
A.快照 B.镜像 C.远程复制 D.LUN 拷贝
【题目答案】
问题1: 考查知识点:网络安全 攻击类型
(1) C
(2)G
(3)F
问题2:考查知识点:DHCP
(4)D
(5)A
(6)enable
(7)1
问题3:考查知识点:RAID5 原理
(8)奇偶校验
(9)3
问题4:考查知识点: 快照
(10)A
【题目解析】:
分布式拒绝服务DDoS 常见的攻击方式有SYN Flood,UDP Flood, ICMP Flood, Connection Flood攻击、HTTP Get攻击和UDP DNS Query Flood攻击。题目中防火墙日反应的就是SYN Flood攻击的信息。
DHCP Snooping是DHCP的一种安全特性,可以应用在交换机上,屏蔽网络中的非法的DHCP服务器。开启了DHCP Snooping功能,网络中的客户端就只能从管理员指定的DHCP服务器获取IP地址。
ARP Detection功能主要是对合法用户的ARP报文进行正常转发,否则就会直接丢弃,这样就可防止仿冒网关用户、仿冒网关的攻击。
port-security enable命令用来使能端口安全功能。缺省情况下,端口按全功能未使能。
port-security max-mac-num命令用来配置端口安全MAC地址学习限制数,缺省情况下,端口安全MAC学习限制数是1. 端口安全MAC地址学习限制数的取值范围是整数的1到64.
RAID5是分布式奇偶校验的独立磁盘结构,在这个结构中数据以块为单位分丰配各个硬盘上。RAID5不对数据进行备份,而是把数据和其相对应的奇偶校验信息存储到组成RAID5的各个磁盘上,并且奇偶校验信息和对应的数据分别存储在不同的磁盘上。在RAID5中,组建磁盘阵列,每组至少要有3块硬盘。做RAID5阵列的磁盘容量必须一样大,当容量不同时,会以最小的容量为准。
LUN即Logical Unit Number逻辑单元号。通常LUN代指磁盘空间。
快照Snapshot是对指定数据集合的一个完全可用拷贝,这个拷贝包括了相应数据在某个时间点的映像。
镜像Mirroring是一种文件存储开式,是冗余的一种类型,磁盘上的数据在另一个磁盘上存在一个完全相同的副本就是镜像。
某公司的总部和分公司网络拓扑示意图如下所示,
分公司和总部数据中心通过 ISP1 的网络和 ISP2 的网络互连。并且连接 5G 出口作为应急链路,分公司和总部数据中心交互的业务有语音、视频、FTP 和 HTTP 四种。要求通过配置策略路由实现分公司访问业务分流。配置网络质量分析(NQA)与静态路由联动实现链路冗余。其中,语音和视频以 ISP1 为主链路、ISP2 为备份;FTP 和 HTTP 以 ISP2 为主链路,ISP1 为备份。
问题1(4分)
通过在 R1 上配置策略路由,以实现分公司访问总部的流量可根据业务类型分组到 L1 和 L2 两条链路并形成主备关系,首先完成 ACL 相关配置。
配置 R1 上的 ACL 来定义流:
首先定义视频业务流 ACL 2000:
[R1] acl 2000
[R1-acl-basic-2000] rule 1 permit destination (1) 0.0.255.255
[R1-acl-basic-2000] quit
定义 Web 业务流 ACL 3000:
[R1] acl 3000
[R1-acl-adv-3000] rule 1 permit tcp destination any destination-port (2) 0.0.255.255
[R1-acl-basic-3000] quit
问题2(8分)
完成 R1 策略路由剩余相关配置
1:创建流分类,匹配相关 ACL 定义的流
[R1] traffic classifier video
[R1-classifier-video] if-match acl 2000
[R1-classifier-video] quit
[R1] traffic classifier web
[R1-classifier-web] if-match acl 3000
[R1-classifier-web] quit
2:创建流行为并配置重定向
[R1] traffic behavior b1
[R1-behavior-b1] redirect ip-nexthop (3)
[R1-behavior-b1] quit
[R1] traffic behavior b2
[R1-behavior-b2] redirect ip-nexthop (4)
[R1-behavior-b2] quit
3:创建流策略,并在接口上应用
[R1] traffic policy p1
[R1-trafficpolicy-p1] classifier video behavior b1
[R1-trafficpolicy-p1] classifier web behavior (5)
[R1-trafficpolicy-p1] quit
[R1] interface GigabitEthernet 0/0/0
[R1-GigabitEthernet0/0/0] traffic-policy 1 (6)
[R1-GigabitEthernet0/0/0] quit
问题3(8分)
在总部网络,通过配置静态路由与 NQA 联动,实现 R2 对主链路的 ICMP 监控,如果发现主链路断开,自动切换到备份链路。
在 R2 上完成如下配置:
1:开启 NQA,配置 ICMP 类型的 NQA 测试例,检测 R2 到 ISP1 和 ISP2 网关的链路连通状态
ISP1 链路探测:
[R2] nqa test-instance admin isp1 //配置名为 admin isp1 的 NQA 测试例
……其他配置省略
ISP2 链路探测:
[R2] nqa test-instance admin isp2
[R2-nqa-admin-isp2] test-type icmp
[R2-nqa-admin-isp2] destination-address ipv4 (7) //配置 NQA 测试目的地址
[R2-nqa-admin-isp2] frequency 10 //配置 NQA 两次测试之间间隔 10 秒
[R2-nqa-admin-isp2] probe-count 2 //配置 NQA 测试探针数目为 2
[R2-nqa-admin-isp2] start now
2:配置静态路由
[R2]ip route-static 30.0.0.0 255.0.0.0 (8) track nqa admin isp1
[R2]ip route-static 40.0.0.0 255.0.0.0 40.24.0.4 track nqa admin isp2
[R2]ip route-static 0.0.0.0 0.0.0.0 40.24.0.4 preference 100 track nqa admin isp2
[R2]ip route-static 0.0.0.0 0.0.0.0 (9) preference 110 track nqa admin isp1
[R2]ip route-static 0.0.0.0 0.0.0.0 (10) preference 12
【题目答案及解析】
问题1: 考查知识点:ACL配置
(1) 2.2.0.0
(2)eq 80
解析:第一问是分公司访问总公司视频业务的访问控制列表,命令参数destination后边下目标Ip地址,此处是2.2.0.0
第二部是分公司访问总公司Web业务的访问控制列表 destination-port后加可以跟的参数为{eq port | gt port | lt port |range port-start port-end | port-set port-set-name} HTTP服务默认端口号是80,此处填eq 80
问题2:考查知识点:策略路由配置
(3)30.13.0.3
(4)40.14.0.4
(5)b2
(6)inbound
解析:由题干中给出的信息可以找出如下的对应关系
traffic-policy 用来在接口上应用流策略。参数可以指定流策略的名称, 关键字inbound指定接口入方向上的应用流策略;outbound指定在接口出方向上应用流策略。本题中应为入方向上,即inbound.
问题3:考查知识点:配置NQA ICMP监控 静态路由配置
(7)40.14.0.1
(8)30.23.0.3
(9) 30.23.0.3
(10) 50.15.0.5
解析:NQA ICMP测试主要用于检测NQA源端到目的端是否路由可达。
estination-address ipv4 这条命令后边的参数是指定NQA测试报文的目的地址,也就是NQA服务器的地址。本题上R2要对主链路进行监控指定的是40.14.0.1
静态路由配置会用到命令ip route-static 第8-10问都需要填写下一跳的IP地址
【题目知识点解析】:
ACL配置命令:
acl name 用来创建一个命名型ACL并进入ACL视频
acl name acl-name acl-number 参数acl-number表示访问控制列表编号, 2000-2999表示基本ACL范围;3000-3999表示高级ACL范围,4000-4999表示二层ACL范围。
策略路由配置命令:
redirect ip-nexthop 用来在流行为中创建报文重定向到单个下一跳IP地址的动作
undo redirect 用来删除重定向配置。
静态路由配置命令:
ip route-static用来配置单播静态路由 参数preference 指定静态路由协议的优先级。数值越小,优先级越高。优先级的取值范围整数1-255,缺省值是60
NQA,Network Quality Analyzer网络质量分析,它是一种实时的网络性能探测和统计技术,该技术可以对响应时间、网络抖动、丢包率等网络信息进行统计,为用户提供网络性能参数。
2022年11月网络工程师科目二真题
某仓储企业网络拓扑结构如图1-1所示,该企业占地500亩。有五层办公楼1栋,大型仓库10栋。每栋仓库内、外部配置视频监控16台,共计安装视频监控160台,SwitchA、服务器、防火墙、管理机、RouterA等设备部署在企业办公楼一层的数据机房中,Switch B 部署在办公楼一层配线间作为一层的接入设备,SwitchC 和SwitchD分别部署在仓库1和仓库2,各仓库的交换机与SwitchA相连。
办公楼的其他楼层的交换机以及其他仓库的交换机的网络接入方式与图中Switch B、SwitchC、SwitchD接入方式相同,不再单独在图上标示。
问题1(4分) 该企业办公网络采用172.16.1.0/24地址段,部门终端数量如表所示,请将网络地址规划补充完整。
部门 | 终端数量 | IP地址范围 | 子网掩码 |
行政部 | 28 | 172.16.1.1~172.16.1.30 | (1) |
市场部 | 42 | (2) | 255.255.255.192 |
财务部 | 20 | (3) | 255.255.255.224 |
业务部 | 120 | 172.16.1.129~172.16.1.254 | (4) |
问题2(6分) 仓库到办公楼的布线系统属于什么子系统?应采用什么传输介质?该线缆与交换机连接需要用到哪些部件。
问题3(4分) 若接入的IPC采用1080P的图像传输质量传输数据,SwitchC、SwitchA选用百兆交换机是否满足带宽要求,请说明理由。
问题4(6分) (1)在位置A增加一台交换机SwitchE做接入层到核心层的链路冗余,请以SwitchC为例简述接入层与核心层的配置变化。
(2)简要说明在RouterA与RouterB之间建立IPSecVPN隧道的配置要点。
【题目解析】
问题1: 考查知识点:IP地址或子网掩码的计算
(1)255.255.255.224
解析:28< 32 即2的5次方 8-5=3 子网掩码二进制数最后8位的前3位是1,其它是0,对应的十进制数224 即得到255.255.255.224
(2)172.16.1.65-172.16.1.126
解析:终端数42<64即2的6次方, 则从2的6次方加1即65开始分配主机IP 172.16.1.65,可用主机数64-2=62 65+62=126,即得到172.12.1.126
(3)172.16.1.33-127.16.1.62
解析:终端数20<32即2的5次方,则从2的5次方加1即33开始分配主机IP 172.16.1.33,可用主机数32-2=30 33+30=63,即得到 172.12.1.62
(4)255.255.255.128
解析:终端数120<128即2的7次方, 129即2的7次方加1开始,子网掩码对应的二进制数的最后8位最高位是1,其它位是0,对应的十进制数128 即得255.255.255.128
问题2:考查知识点:综合布线
仓库到办公楼的布线系统属于建筑群子系统
采用单模光纤
用到的部件有光模块
解析:建筑群子系统是将一栋建筑物中的电缆延伸到建筑群的另外一些建筑中的通信设备上。常用的介质是光缆和大对数双绞线。在本题中企业占地500亩,结合光纤和双纤线的传输距离,用单模光纤。光模块,由光电子器件、功能电路和光接口组成。光电子器件包括了发射和接收两部分。光模块的作用就是在发送端把电信号转换成光信号、通过光纤传送后,接收端再把光信号转换成电信号。现在应用比较广的光模块是小型可插拔收发光模块Small Form-Factor Pluggable,SFP。
问题3:考查知识点:IP Camera 宽带计算
交换机C用百兆可以,交换机A用百兆不能满足网络需求。
解析:
1080P( 1920*1080)每个像素用24比特表示,那么每幅图像的原始数量= 1920*1080*24/8/1024=6075Kbyte 即6M大小
对于在仓库1中的交换机C,有16台这样的相机,那么 6*16<100M 选用百兆交换机是可以的。
对于交换机A共有160台这样的相机的数据量,6*160>100M 百兆交换机不能满足要求。
问题4:
(1)交换机A,交换机C和新加入的交换机E可以组成环,采用STP生成树协议或MSTP多生成树协议组成以A为根的生成树。
(2)考查知识点:IPSec VPN配置
要保证两端路由可达,要配置接口的IP地址到对端的静态路由;
根据网络需求确定各个路由要保护的数据流,在Router A和Router B上分别配置访问控制列表ACL
在两个路由上分别创建IPSec的安全提议,定义IPSec使用的安全协议
在两个路由上分别配置IKE对等体,共享密钥和对端ID
在两个路由上分别创建安全策略
在两个路由上在接口上应用各自的安全策略组,这样接口就具有了IPSec的保护功能。
下图为某大学校园网络拓扑图。
问题1(4分)
根据网络安全的需要,无线校园网要求全网认证接入,其中台式电脑、笔记本、手机等智能终端,从兼容性角度考虑应优先选用( 1 )认证方式;打印机、门禁等非智能终端应该选用( 2 )认证方式。
图中,数据业务流量通过AC与AP建立的隧道进行转发时,该转发模式为( 3 ) ;不经过AC转发,由AP经接入交换机到核心交换机传输至上层网络时,该转发模式为( 4 )。
学校的新一代无线网络采用WiFi6技术,要求兼容仍工作在2.4G的老旧终端,WiFi6 AP的部署密度较大,为减少无线AP在2.4G模式下信道之间的干扰,信道之间至少应间隔( 5 )个信道。
无线网络实施后,校园网络在线用户数大幅增长。原楼宇汇聚为千兆上联,高峰时期上行链路负载已经100%,经常有丢包现象,在不更换设备的前提下,可以通过( 6 )解决。
问题2(8分)网络管理员某天在防火墙上发现了大量下图所示的日志,由此可判断校园网站遭受到了什么攻击请给出至少三种应对指施。
问题3(6分)
(1)校园网采用大二层组网结构,信息中心计划对核心交换机采用堆叠技术,请简述堆叠技术的优点和缺点。
(2)网络试运行一段时间后,在二层网络中发现了大量的广播报文,影响网络的性能。网络管理员在接入层交换机做了如下配置问题得以解决∶
[SW] interface gigabitethernet 0/0/3
[SW-GigabitEthernet0/0/3] broadcast-suppression 80
[SW-GigabitEthernet0/0/3] quit
请简述以上配置的功能
【题目解析】
问题1: 考查知识点:认证方式
(1)Portal认证
(2)MAC认证
(3)CAPWAP隧道
(4)直接转发方式
(5)间隔5个信道
2.4G的1-13信道是国内使用的,每个信道带宽都是22MHz,相互之间有重叠的部分,间隔5个可以减少相互间的干扰,无线网络部署时常用3个信道,一般是信道1,6,11,它们的间隔是5
(6)增加链路,进行链路聚合
问题2:考查知识点:网络安全 分布式拒绝服务攻击
(1)DDoS攻击
(2)访问策略要采用最小特权;启用防火墙的防DDoS 功能;部署IPS;关闭不需要的服务端口
问题3:考查知识点:交换机的连接方式
(1)堆叠可以增加网络端口,提高端口密度,扩充网络带宽;简化本地管理,把一组交换机当作一个对象来管理。随之而来的问题和不足:同一组堆叠交换机需要使用同一品牌的支持堆叠的设备,不同厂家的设备存在差异,不是标准化的;不支持即插即用,物理连接完毕后,还需要对交换机进行设置才能正常工作。
解析:
交换机的连接方式主要有三种:级联方式、堆叠方式和集群方式。其中堆叠方式是扩展端口最快、最便利的方式。它主要是通过厂家提供的专用连接电缆从一台交换机的UP堆叠端口直连到另一台交换机的DOWN堆叠端口。堆叠中的所有交换机可以视为一整个交换机来进行管理。采用堆叠方式的交换机会爱到交换机类型和相互距离的限制,通常堆叠连接线缆的距离很近。
级联方式是使用普通口级联或使用UPLINK端口级联。
普通口是通过交换机的常用端口,例如常见的RJ45端口连接,连接时要注意双绞线用反线。UPLINK端口级联,是把当前交换机的UPLINK口通过双绞线连到其它交换机上的除UPLINK口外的任意端口。
集群是把多台互相连接的交换机作为一台逻辑设备进行管理。在这些设备中,有一台起管理作用的交换机,称之为命令交换机,通过它来管理其它的交换机。这些交换机组成的集群只使用一个IP地址。这种方式多台交换机协同工作可以降低网络管理的强度。
(2)broadcast-suppression命令是用来配置接口下允许通过的最大广播报文流量。缺省情况下,不对广播量进行限制。broadcast-suppression 80 这条命令的作用是把最大广播流量设为端口传输能力的80%,这样系统就可以根据设置把超出了限制的报文丢弃,保证网络中业务流量的正常转发。
解析:
当网络中的广播报文增加,占用的网络资源也会增加,会严重影响网络业务的正常运行。可以使用broadcast-suppression命令配置基于接口的广播报文流量的阈值。
下图为
为某公司网络拓扑片段,公司总部路由器之间运行OSPF协议生成路由,分公司路由器运行RIP协议生成路由。分公司技术部门和外包部门通过路由器R1接入,分公司网络与公司总部网络通过路由器R2互联。公司总部通过路由器 R3 接入。所有网段网络地址信息如图所示,假设各路由器已经完成各个接口IP等基本信息配置。
问题1(4分)
从算法原理、适用范围、功能特性三个方面简述RIP和OSPF的区别。
问题2(10分)
要求∶分公司路由器R1和R2之间运行RIP协议生成路由,路由器R1将直连路由导入RIP,通过配置直连路由引入策略,过滤外包部门网段,使外包部门网段不能访问公司总部。
补全下列命令,填写空(1)~(3)处的内容,完成 R1过滤外包部门所要求的相关配置。
# 定义一个 acl2000,用于匹配需要放行和阻断的路由
[R1]acl 2000
[R1-acl-basic-2000] rule deny source ( 1 ) 0。
[R1-acl-basic-2000] rule permit
[R1-acl-basic-2000] quit
[R1] route-policy rip-rp permit node 10
[R1-route-policy] ( 2 ) acl 2000
[R1-route-policy] quit
[R1] rip
[R1-rip-1] version 2
[R1-rip-1] network192.168.12.0
[R1-rip-1] import-route ( 3 ) route-policy rip-rp
在R2上导入R1的直连路由条目后,RIP路由条目如下所示,请简要说明10.0.0.0/8 这条路由条目是如何产生的,将解答填入答题纸的空(4)处。
[R2] rip 1
[R2-rip-1] version 2
[R2-rip-1] network 192.168.12.0
[R2] display ip routing-table protocol rip
Destination/Mask Proto Pre Cost Flags NextHop Interface
10.2.0.0/8 RIP 100 1 D 192.168.12.1 GigabitEthemet 1/0/1
在 R2 执行 undo summary 命令后,请写出当前的 RIP 路由条目,将解答填入答题纸的空( 5 )处。路由条目示例如下所示∶
Destination/Mask Proto Pre Cost Flags NextHop Interface
1.1.1.1/24 RIP 100 1 D 2.2.2.1 GigabitEthernet 1/0/1
问题3(6分)
要求: 通过配置R3的OSPF路由发布策略,仅发布生产网段和办公网段,不发布财务专网,以防止公司总部其它网段或分公司对财务专网的访问。
[R3] ip ip-prefix 3 to 2 index 10 permit 10.1.0.0 24
[R3] ip ip-prefix 3 to 2 index 20 permit ( 6 ) 24
#配置发布策略,引用地址前缀列表3 to 2进行过滤
[R3]ospf
[R3-ospf-1] area 0
[R3-ospf-1-area-0.0.0.0] network 192.168.23.0 0.0.0.255
[R3-ospf-1] filter-policy ip-prefix ( 7 ) export static
#将RIP路由导入公司总部
[R2]ospf
[R2-ospf-1] area 0
[R2-ospf-1-area-0.0.0.0] network 192.168.23.0 0.0.255
[R2-ospf-1] ( 8 ) rip
#将OSPF路由导入分公司
[R2]rip
[R2-rip-1] import-route ospf 1
【真题答案】
问题1: 考查知识点:路由协议RIP和OSPF协议
RIP是距离矢量路由协议,它以跳数作为度量值,允许的最大跳数是15,周期性地是更新计算路由;路由收敛的速度慢,在不同的版本中RIPv1只支持有类网络,广播路由消息会占用较大的带宽资源;RIPv2支持可变长的子网掩码。适合在小型网络中使用。
OSPF是链路状态的路由协议,它是基于链路状态的路由协议,以COST开销作为度量值,路由收敛的速度快,可以在最短的时间内把路由变化传递到整个自治系统AS中,支持可变长的子网掩码,适合在大中型网络中使用。
问题2:考查知识点:路由配置命令、 路由汇总
(1)10.3.0.0 即外包网段的IP地址
(2)if-match
(3) direct
(4)没有关闭RIP的自动汇总功能,RIP协议会自动汇总路由网段
(5)10.2.0.0/29 RIP 100 1 D 192.168.12.1 GigabitEthernet 1/0/1
10.2.0.8/29 RIP 100 1 D 192.168.12.1 GigabitEthernet 1/0/1
10.2.0.16/29 RIP 100 1 D 192.168.12.1 GigabitEthernet 1/0/1
10.2.0.32/29 RIP 100 1 D 192.168.12.1 GigabitEthernet 1/0/1
问题3:考查知识点:路由配置命令
(6)10.5.0.0 即生产网段的IP
(7)3 to 2
(8)import-route
【题目解析】
import-route 命令用来配置从其它路由协议引入路由
可以通过 static| direct| rip| ospf|unr 参数来指定引入的路由协议。
路由汇总是同一个网段内不同子网路由在向外通告时汇总成一条路由的行为。中币汇总主要用于减小网络设备的路由表规模,进而减小网络中路由更新的流量和设备资源消耗。RIP支持路由自动汇总。
路由自动汇总是RIP路由器把一个主类网络的子网路由通告给另一个主类网络时自动把子网路由汇总成主类网络路由,并且只把主类网络路由通告给直连RIP路由器的过程。路由汇总会带在准确度不高的问题。
在RIPv1中路由自动汇总功能是默认开启的,不能关闭。
在RIPv2中路由自动汇总功能是默认开启的,可以通过命令关闭。
在华为的设备中可以使用summary 命令启动路由自动汇总功能;使用undo summary 命令关闭自动汇总。
RIP协议报文使用UDP进行封装,用到的端口是520号,RIPv1广播的时候使用的广播地址是255.255.255.255,RIPv2广播的时候使用的地址是224.0.0.9.
在RIP协议中有三个重要的计时器:更新计时器默认时间是30秒,用于周期性发送Response报文。老化计时器默认时间是180秒,每一条RIP路由都有老化计时器,启动后就开始计时,当路由的老化计时器超时,路由表会删除这条路由。垃圾加收计时器默认的时间是120秒,当垃圾回收计时器超时,老化的路由会从RIP的数据加中被彻底删除。
某公司网络的拓扑结构示意图如下图所示:
问题1(4分)
STP (Spanning Tree Protocol)协议用来发现和消除网络中的环路。运行该协议的设备通过相互之间发送( 1 )报文,在交换网络中选举根桥,通过依次比较该报文中包含的各自的( 2 )、MAC地址信息,来确定根桥,优先级值越( 3 ),优先级越高,MAC地址亦然,交换机默认的优先级值为( 4 )。RSTP (Rapid SpanningTree Protocol)在STP基础上进行了改进,实现了网络拓扑( 5 )。但他们均是通过阻塞某个端口来实现环路消除的,存在浪费带宽的缺点,MSTP在STP和RSTP的基础上进行了改进,既可以快速收敛,又提供了数据转发的多个冗余路径,在数据转发过程中实现VLAN 数据的( 6 )。
问题2(8分)
管理员计划为交换机配置VRRP,以提高网络的可靠性。通过调整优先级使SwitchA作为 Master 设备承担流量转发,同时为了防止震荡,设置20s抢占延时,SwitchB为默认优先级,作为Bakup设备,实现网关冗余备份。接口IP地址配置如表4-1所示。请将下面的配置代码补充完整。
1.配置SwitchA接口转发方式、IP地址和VRRP
( 7 )
[HUAWEI] ( 8 ) SwitchA
[SwitchA] vlan ( 9 ) 100 200
[SwitchA] interface gigabitethernet 0/0/1
[SwitchA-GigabitEtheret0/0/1] port link-type ( 10 )
[SwitchA-GigabitEthernet0/0/1] port hybrid ( 11 ) vlan 200
[SwitchA GigabitEtherpet0/0/1] port hybrid untagged vlan 200
[SwitchA-GigabitEthernet0/0/1]quit
[SwitchA] interface vlanif 100
[SwitchA-Vlanif100] ip address 10.1.1.1 24
[SwitchA-Vlanif100] quit
[SwitchA] interface vlanif 200
[SwitchA-Vlanif200] ip address ( 12 ) 24
[SwitchA-Vlanif200] quit
[SwitchA] interface vlanif 100
[SwitchA-Vlanif100] ( 13 ) vrid 1 virtual-ip 10.1.1.111
[SwitchA-Vlanifl00] vrrp vrid 1 priority 120
[SwitchA-Vlanifl00] vrrp vrid 1 preempt-mode timer delay ( 14 )
[SwitchA-Vlanif100] quit
2.在 SwitchB上创建VRRP备份组1
[SwitchB] interface vlanif 100
[SwitchB-Vlanif100] vrrp vrid 1 virtual-ip ( 15 )
[SwitchB-Vlanif100] quit
【题目答案】
问题1: 考查知识点:生成树协议基本原理
(1)BPDU
(2)优先级
(3)小
(4)32768
(5)快速收敛
(6)负载均衡
问题2:考查知识点:VRRP 交换机配置
(7)system-view
(8)sysname
(9)batch
(10)hybrid
(11)pvid
(12)192.168.1.2
(13)vrrp
(14)20
(15)10.1.1.111
【题目解析】:
生成树协议是在802.1D中定义的,它是数据链路层的协议,这个协议主要用于解决网络的核心层冗余链路里产生的网络环路。在交换机之间传递网桥协议数据单元(BPDU Bridge Protocol Data Unit)采用生成树算法选举根桥、根端口和指定端口,生成一个树形结构的网络。
根桥选举:每台交换机都有ID,被称为BID,每个交换机的BID都是唯一的,交换机之间选择BID值最小的作为网络中的根桥。BID是由2 个字节的交换机优先级和6个字节的交换机MAC地址组成的。选举的时候,选比较优先级的大小,再比较网桥MAC地址大小。
华为的交换机优先级取值范围是0-61440 默认值是32768. 配置优先级时数字须能被2整除,且是16的整数倍数。最小值是4096。
快速生成树协议RSTP,它是在IEEE802.1w中定义的,在网络结构变化时,可以更快速地收敛网络。比IEEE802.1d增加了一种端口类型backup port,用来指定端口的备份。
虚拟路由器冗余协议VRRP ,Virtual Router Redundancy Protocol,这个协议是为了解决局域网中配置静态网关出现单点失效现象提出的路由协议。VRRP是一种路由容错的协议也可以称为备份路由协议。运行VRRP协议的一组路由器协同工作,它们共同构成一台虚拟路由器。这台虚拟的路由器对外表现为一个具有唯一固定IP 地址和MAC地址的逻辑路由器。在这一组VRRP路由器中有两类角色:主控路由器和备份路由器。主控路由器是唯一的一台,备份路由器可以有多台。主控路由器负责ARP解析和转发IP数据包,备份路由器处于待命状态。当主控路由器发生故障,备份路由器中的一台就可以在一定的时延后升级为主控路由,整个切换过程非常快速,不需要改变IP地址和MAC地址。这样的切换对于终端使用者来说是透明的,他们不会感知到路由的故障切换。
在本题中Switch A是主控路由器,虚拟路由器的IP地址是10.1.1.111,则同组的备份路由器B IP地址也是10.1.1.111
交换机命令:
systemveiw 表示进行系统视图模式
sysname 为设备命名
vlan batch 创建一个或批量创建多个VLAN,本题中创建了VLAN 100 和200.
undo vlan batch 删除一个或批量删除多个VLAN
port link-type Access|Trunk|Hybrid用于设置端口访问模式
port hybrid pvid vlan 用来设置Hybrid类型接口的缺省VLAN ID
undo port hybrid pvid vlan 用来恢复缺省情况Hybrid接口的缺省VLAN ID Hybrid类型接口的缺省VLAN为VLAN1
vrrp vrid virtual-ip 用来创建VRRp备份组并为备份组指定虚拟IP地址 缺省情况下,设备上无VRRP备份组
vrrp vrid preempt-mode timer delay用来配置VRRP备份组中无线接入控制器的抢占延迟时间。缺省情况下,抢占延时为0秒,即立即抢占。抢占时间的取值范围是0-3600,单位是秒,本题中是20秒。备份组号的取值范围是1-255
interface vlanif用于创建VLANIF接口并进入VLANIF接口视图,缺省情况下,VLANIF接口没有被创建
undo interface vlanif用来删除VLANIF接口。
Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。