试题一：

阅读以下说明，回答问题1至问题4，将解答填入答题纸对应的解答栏内。

[说明]
某企业办公楼网络拓扑如图1-1所示。该网络中交换机Switch1-Switch 4均是二层设备，分布在办公楼的各层，上联采用干兆光纤。核心交换机、防火墙、服务器部署在数据机房，其中核心交换机实现冗余配置。

问题1(4分)

该企业办公网络采用172.16.1.0/25地址段，部门终端数量如表1-1所示，请将网络地址规划补充完整。

(1) 28 (或255.255.255.240)    (2) 172.16.1.17-172.16.1.30

(3) 172.16.1.33-172.16.1.62    (4) 26 (或255.255.255.192)

问题2(6分)

(1)简要说明图1-1中干线布线与水平布线子系统分别对应的区间。

(1)干线布线为核心交换机 Swichcore1、Switchcore2 连接到各楼层 Switch1-Switch4 部分水平布线为各楼层Switch1-Switch4 连接到 PC(办公电脑)部分
 

(2)在网络线路施工中应遵循哪些规范?(至少回答4点)

1.配线子系统缆线宜采用在吊顶、墙体内穿管或设置金属密封线槽及开放式(电缆桥架，吊挂环等)敷设。干线子系统垂直通道穿过楼板时宜采用电缆坚井方式。

2.缆线应远离高温和电磁干扰的场地。

3.管线的曲半径应符合要求:2芯或4 芯水平光缆弯曲半径大于25mm，4 对非屏蔽电缆不小于电缆外径的4倍

4.尽量不与强电平行，避免与强电交叉，以免带来串扰。

问题3(6分)

若将PC-1、PC-2划分在同一个VLAN进行通信，需要在相关交换机上做哪些配置?在配置完成后应检查哪些内容?

1.核心交换机、Switch2和Switch3 上创建 Vlan，核心交换机、Switch2 和 Switch3 上对应的接口加入 Van。各交换机之间的接口设置为 Trunk 模式，允许VLAN 报文通过。

2.检查Switch2和Switch3 上连接 PC1和PC2的端口的 MAC 地址学习是否正确,IP地址是否配置正确，测试 PC1和PC2是否能互相 ping 通。

问题4(4分)

(1)简要说明该网络中核心交换机有哪几种冗余配置方式。

核心交换机冗余配置方式有: VRRP 方式、堆叠、M-LAG。

(2)在该网络中增加终端接入认证设备，可以选择在接入层、核心层或者DMZ区部署。请选择最合理的部署区域并说明理由。
 

部署在接入层，控制点更低，可以获得终端用户的 MAC、VLAN 信息，可以实现 MAC,VLAN的绑定策略，不影响核心设备的性能，安全性好。

试题二

某企业网络拓扑如图2-1所示，该企业通过两个不同的运营商(ISP1和ISP2)接入Internet，内网用户通过NAT访问Internet。公网用户可通过不同的ISP访问企业内部的应用。

【问题1】（6分）

为充分利用两个运营商的带宽，请提供至少4种多出口链路负载策略。

1.匹配ISP的策略

2.基于目标地址的策略路由

3.基于流量的负载均衡策略

4.基于应用的出口策略

5.基于链路带宽负载分担6.基于链路状态负载分担

【问题2】（6分）

内网服务器Server需对外发布提供服务，互联网用户可通过ISP1、ISP2来访问，Server的服务端口为TCP 9980。

请根据以上需求配置安全策略，允许来自互联网的用户访问Server提供的服务。

[USG]security-policy

[USG-policy-security]rule name http

[USG-policy-security-rule-http]source-zone ISP1

[USG-policy-security-rule-http]source-zone ISP2

[USG-policy-security-rule-http]destination-zone trust

[USG-policy-security-rule-http]destination-address（1）

[USG-policy-security-rule-http]service protocol（2）destination-port（3）

[USG-policy-security-rule-http]action（4）

[USG-policy-security-rule-http]quit

（1）10.10.10.10 32 （2）TCP  （3）9980 （4）Permit

【问题3】（4分）

经过一段时间运行，经常有互联网用户反映访问Server的服务比较慢。经过抓包分析发现部分应用请求报文和服务器的回应报文经过的不是同一个ISP接口。请分析原因并提供解决方法。

产生该问题的原因是数据包的往返路径不一致，从ISP1 通过防火墙访问服务器的请求数据包，服务器发送响应数据包时，出口路由策略使其选择ISP2 传送，导致使数据包的来回路径不一致。

解决方案:打开USG 防火墙的源进源出功能。

【问题4】（4分）

企业网络在运行了一段时间后，网络管理员发现了一个现象：互联网用户通过公网地址可以正常访问Server，内网用户也可以通过内网地址正常访问Server，但内网用户无法通过公网地址访问Server，经过排查，安全策略配置都正确。请分析造成该现象的原因并提供解决方案。

没有在防火墙的下行接口配置服务器 Easy IP 方式的 NAT Outbound，将内部服务器与内网PC 之间的流量都引到防火墙上进行转发，实现内网用户通过公网端口的 IP 地址访问服务器功能。

试题三：

阅读以下说明，回答问题1至问题3，将解答填入答题纸对应的解答栏内。

【说明】

图3-1为某公司网络骨干路由拓扑片段（分部网络略），公司总部与分部之间运行 BGP获得路由，路由器 RA、RB、RC 以及 RD 之间配置 iBGP 建立邻居关系，RC 和 RD 之间配置 OSPF 进程。所有路由器接口地址信息如图所示，假设各路由器已经完成各个接口 IP等基本信息配置。

 

【问题1】（2分）

按图3-1所示配置完成 BGP 和 OSPF 路由相互引入后，可能会出现路由环路，请分析产生路由环路的原因。

双点做了路由引入后，RA会传递给RB，RC BGP路由信息，在RC这里会引入到OSPF协议，并通告给RD，此时RD出现了两条去往目的地址的路由，一是通过RC，二是通过RB，但是路由协议优先级不相同，根据写表规则，RD会把从RC学习到OSPF路由写入路由表，然后RD又把OSPF引入到BGP中，导致环路的产生。

由于OSPF协议优先级高于BGP，需要BGP降低路由信息前缀的优先级才可以破除环路。也可以有选择性的进行路由引入，也可以通过路由属性中的标记值来实现。

【问题2】（10分）

要求：配置 BGP 和 OSPF 基本功能（以 RA 和 RB 为例），并启用 RC 和 RD 之间的认证，以提升安全性。

补全下列命令完成 RA 和 RB 之间的 BGP 配置：

＃ RA 启用 BGP，配置与 RB 的 IBGP 对等体关系

[RA]bgp 100

[RA-bgp]router-id 10.11.0.1

[RA-bgp]peer 10.12.0.2 as-number（1）

[RA-bgp]ipv4-family unicast

[RA-bgp-af-ipv4]peer（2）enable

[RA-bgp]quit

＃RB启用 BGP，配置与 RA、RC 和 RD 的 IBGP 对等体关系。

[RB]bgp 100

[RB-bgp]router-id 10.22.0.2

[RB-bgp]peer（3）as-number 100 ＃配置与RA的对等关系

....... ＃其它配置省略

＃配置RC和RD的 OSPF 功能（以RC为例），并启用 OSPF 认证

[RC]ospf 1 router-id 10.33.0.3

[RC-ospf-1] area 0

[RC-ospf-1-area-0.0.0.0]network（4） ＃发布财务专网给 RD，其它省略

[RC-ospf-1-area-0.0.0.0]authentication-mode simple ruankao

[RC-ospf-1]quit

（1）100
（2）10.12.0.2
（3）10.12.0.1
（4）10.10.10.00.0.0.255

（5）OSPF认证方式有哪些？上述命令中配置RC的为哪种？

区域认证和接口认证，上述命令中配置RC的区域认证
使用区域验证时，一个区域中所有的交换机在该区域下的验证模式和口令必须一致

（6）如果将命令authentication-mode simple ruankao 替换为 authentication--mode simple plain ruankao，则两者之间有何差异？

simple表示使用简单验证模式。缺省情况下，simple验证模式默认是cipher类型。
plain表示明文口令类型。

【问题3】（8分）

要求：配置BGP和OSPF之间的相互路由引入并满足相应的策略，配置路由环路检测功能。

[RC-ospf-1]import-route bgp permit-ibgp ＃该命令的作用是（7）

允许在IGP（OSPF）协议中引入IBGP

......＃其它配置省略

＃配置RD的BGP引入OSPF路由，并配置路由策略禁止发布财务专网的路由给BGP。

[RD]acl number 2000＃配置编号为2000的ACL，禁止10.10.10.0/24通过

[RD-acl-basic-2000]rule deny source（8）0.0.0.255

[RD-acl-basic-2000]quit

[RD]route-policy rp ＃配置名为 rp 的路由策略

[RD-route-policy]if-match acl（9）

[RD-route-policy]quit

[RD]bgp 100

[RD-bgp]ipv4-family unicast

[RD-bgp-af-ipv4]import-route ospf 1（10）

[RD-bgp]quit

＃以 RA 为例，启用 BGP 环路检测功能。

[RA]route（11）bgp enable

（8）10.10.10.0
（9）2000
（10）Route-policy rp
（11）Loop-detect

试题四：

阅读以下说明，回答问题1至间题3，将解答填入答题纸对应的解答栏内。

【说明】

某公司网络拓扑如图4-1所示。

【问题1】(10分)

公司计划在R1、R2、R3上运行RIP，保证网络层相互可达。接口IP地址配置如表4-1所示。请将下面的配置代码补充完整。

表4-1接口IP地址配置表

<HUAWEI>(1)

[HUAWEI]sysname(2)

[R1] interface GigabitEthernet 0/0/0

[R1-GigabitEthernet 0/0/0]ip address 10.0.1.254 255.255.255.252

[R1-GigabitEthemet 0/0/0]interface GigabitEthernet0/0/1

[R1-GigabitEthernet 0/0/1]ip address(3)255.255.255.252

[R1-GigabitEthernet 0/0/2]interface GigabitEthernet0/0/2

[R1-GigabitEthernet 0/0/2]ip address 100.1.1.1 255.255.255.0

[R1-GigabitEthernet 0/0/2]quit

[R1]rip

[R1-ip-1](4)[RI-rip-2]undo summary

[R1-rip-2]network (5)

[R1-rip-2]network 100.0.0.0

......

R2、R3的RIP配置略

......

（1）system-view

（2）R1

（3）10.0.1.250

（4）rip2

（5）10.0.0.0

【问题2】(3分)

公司计划在R2和R3的链路上使用RIP与BFD联动技术，采用BFD echo报文方式实现当链路出现故障时，BFD能够快速感知并通告RIP协议。

请将下面的配置代码补充完整。

......

[R2]interface gigabitethernet(6)

[R2-GigabitEthernet0/0/1]undo (7)＃关闭接口GE0/0/1的二层转发特性

[R2-GigabitEthernet0/0/1]rip bfd(8)＃使能接口GE0/0/1的静态BFD特性

......

（6）0/0/1

（7）portswitch

（8）static

【问题3】(2分)

公司通过R1连接Internet，为公司提供互联网访问服务，在R1上配置了静态路由向互联网接口，为了使网络均能够访问互联网，需通过RIP将该静态路由进行重分布。将下面的配置代码补充完整。

......

[R1-rip-2]default-route(9)

......

（9）orignate