问答题
.阅读以下说明,回答问题1至问题4。
【说明】
某企业网络拓扑如下图所示,A~E是网络设备的编号。
【说明】
某企业网络拓扑如下图所示,A~E是网络设备的编号。
问答题
1. 【问题1】
根据题干图,将设备清单下表所示内容补充完整。
根据题干图,将设备清单下表所示内容补充完整。
| 设备清单 | ||||||||||||||||||||
| 设备名 | 在图中的编号 | |||||||||||||||||||
| 防火墙USG3000 | (1) | |||||||||||||||||||
| 路由器AR2220 | (2) | |||||||||||||||||||
| 交换机QUIDWAY3300 | (3) | |||||||||||||||||||
| 服务器IBM X3500M5 | (4) | |||||||||||||||||||
【正确答案】(1)B (2)A (3)C (4)D
【答案解析】[考点] 考核华为交换机配置。
这是一道相对比较简单的概念题,考查我们对企业园区网络的基本拓扑结构的了解。通常企业为了确保内部网络的安全,会在出口处设置防火墙。防火墙有3个区域:外网、内网和DMZ区。DMZ通常用于存放各种服务器。因此首先可以选出B这个位置是防火墙;A用于连接Internet,是路由器。DMZ区内部有多台服务器,需要使用交换机连接。在做本题时,要忽略给出的设备表中的型号,我们只需要知道在什么位置放置什么类型的设备即可。
这是一道相对比较简单的概念题,考查我们对企业园区网络的基本拓扑结构的了解。通常企业为了确保内部网络的安全,会在出口处设置防火墙。防火墙有3个区域:外网、内网和DMZ区。DMZ通常用于存放各种服务器。因此首先可以选出B这个位置是防火墙;A用于连接Internet,是路由器。DMZ区内部有多台服务器,需要使用交换机连接。在做本题时,要忽略给出的设备表中的型号,我们只需要知道在什么位置放置什么类型的设备即可。
问答题
2. 【问题2】
以下是AR2220的部分配置。
[AR2220]acl 2000
[AR2220-acl-2000]rule normal permit source 192.168.0.0 0.0.255.255
[AR2220-acl-2000]rule normal deny source any
[AR2220-acl-2000]quit
[AR2220]interface Ethernet0
[AR2220-Ethernet0]ip address 192.168.0.1 255.255.255.0
[AR2220-Ethemet0]quit
[AR2220]interface Ethemetl
[AR2220-Ethernet1]ip address 59.41.221.100 255.255.255.0
[AR2220-Ethemet1]nat outbound 2000 interface
[AR2220-Ethemetl]quit
[AR2220]ip route-static 0.0.0.0 0.0.0.0 59.74.221.254
设备AR2220应用______接口实现NAT功能,该接口地址的网关是______。
以下是AR2220的部分配置。
[AR2220]acl 2000
[AR2220-acl-2000]rule normal permit source 192.168.0.0 0.0.255.255
[AR2220-acl-2000]rule normal deny source any
[AR2220-acl-2000]quit
[AR2220]interface Ethernet0
[AR2220-Ethernet0]ip address 192.168.0.1 255.255.255.0
[AR2220-Ethemet0]quit
[AR2220]interface Ethemetl
[AR2220-Ethernet1]ip address 59.41.221.100 255.255.255.0
[AR2220-Ethemet1]nat outbound 2000 interface
[AR2220-Ethemetl]quit
[AR2220]ip route-static 0.0.0.0 0.0.0.0 59.74.221.254
设备AR2220应用______接口实现NAT功能,该接口地址的网关是______。
【正确答案】ethernet1 59.74.221.254
【答案解析】 华为的设备配置是网络工程师考试第一次考,在之前的考试大纲中没有给出相应的提示,绝大部分考生都没有准备这个方面的知识,但是从题目看来,其实根本不需要复习这部分知识,也可以准确地做出来。我们只要学习了Cisco的相关命令,这个题目就基本可以推导出来了。注意一些基本区别。显然从[AR2220]interfaceEthernet1这条命令可以看到接下来的配置都是在Ethemet1接口下配置的。其中的nat outbound 2000 interface命令用来配置NAT地址池的转换策略,后面的2000是对应ACL的编号。因此Ethernet1接口就是实现NAT功能的。从[AR2220]ip route-static 0.0.0.0 0.0.0.0 59.74.221.254这个命令可以看到,类似于Cisco的IP ROUTE 0.0.0.0 0.0.0.0 59.74.221.254。表明这是增加一条默认静态路由,而59.74.221.254这个地址就是默认网关的地址。
问答题
3. 【问题3】
若只允许内网发起ftp、http连接,并且拒绝来自站点2.2.2.11的Java Applets报文。在USG 3000设备中有如下配置,请补充完整。
[USG3000]acl number 3000
[USG3000-acl-adv-3000] rule permit tcp destination-port eq www
[USG3000-acl-adv-3000]rule permit tcp destination-port eq ftp
[USG3000-acl-adv-3000]role permit tcp destination-port eq ftD-data
[USG3000]acl number 2010
[USG3000-acl-basic-2010] rule______source 2.2.2.1 1.0.0.0.0
[USG3000-acl-basic-2010]role permit source any
[USG3000]______interzone trust untrust
[USG3000-interzone-Rust-untrust]packet-filter 3000______
[USG3000-interzone-ttust-untrust]detect ftp
[USG3000-interzone-Rust-untrust]detect http
[USG3000-interzone-ttust-untrust]detect java-blocking 2010
备选答案:
A.Firewall B.trust C.deny
D.permit E.outbound F.inbound
若只允许内网发起ftp、http连接,并且拒绝来自站点2.2.2.11的Java Applets报文。在USG 3000设备中有如下配置,请补充完整。
[USG3000]acl number 3000
[USG3000-acl-adv-3000] rule permit tcp destination-port eq www
[USG3000-acl-adv-3000]rule permit tcp destination-port eq ftp
[USG3000-acl-adv-3000]role permit tcp destination-port eq ftD-data
[USG3000]acl number 2010
[USG3000-acl-basic-2010] rule______source 2.2.2.1 1.0.0.0.0
[USG3000-acl-basic-2010]role permit source any
[USG3000]______interzone trust untrust
[USG3000-interzone-Rust-untrust]packet-filter 3000______
[USG3000-interzone-ttust-untrust]detect ftp
[USG3000-interzone-Rust-untrust]detect http
[USG3000-interzone-ttust-untrust]detect java-blocking 2010
备选答案:
A.Firewall B.trust C.deny
D.permit E.outbound F.inbound
【正确答案】C A F
【答案解析】 这是网络工程师考试第一次考华为的设备配置,而我们考前准备的都是IOS的命令。那么这道题是不是很难呢?其实这道题非常简单,只要我们有IOS的命令基础,这道题完全可以自己凭经验做出来,而且题目也是以选择题的形式出现,因此更加容易。对于没有用过华为设备的考生来说,也是非常简单的。对照配置上下丈中的基本命令关键词,大致可以推测出来一空这个位置应该是permit或者deny之类的语句,结合题目的意思,可以知道应该是deny。二空相对难一点。从选项来看只有A或者B是比较合适的。而命令中已经有一个TRUST关键词了,因此最有可能是A。实际上华为设备是也是用firewall指令的。三空是进行包过滤,类似Cisco的IN和OUT,那么只要知道对应接口上的数据流的方向即可。
问答题
4. 【问题4】
PC-1、PC-2、PC-3的网络设置如下表所示。
通过配置RIP,使得PC-1、PC-2、PC-3能相互访问,请补充设备E上的配置,或解释相关命令。
//配置E上vlan路由接口地址
interface vlanif 300
ip address ______ 255.255.255.0
interface vlanif 1000//互通VLAN
ip address 192.168.100.1 255.255.255.0
//配置E上的rip协议
rip
network 192.168.4.0
network ______
int e0/1 //配置E上的trunk//
Port link-type trunk//______
port trunk pelanit vlan all
PC-1、PC-2、PC-3的网络设置如下表所示。
| PC-1、PC-2、PC-3的网络设置 | |||||||||||||||||||||||||||||||||
| 设备名 | 网络地址 | 网关 | VLAN | ||||||||||||||||||||||||||||||
| PC-1 | 192.1682.2/24 | 192.168.2.1 | VLAN100 | ||||||||||||||||||||||||||||||
| PC-2 | 192.168.3.2/24 | 192.168.3.1 | VLAN200 | ||||||||||||||||||||||||||||||
| PC-3 | 192.168.4.2/24 | 192.168.4.1 | VLAN300 | ||||||||||||||||||||||||||||||
//配置E上vlan路由接口地址
interface vlanif 300
ip address ______ 255.255.255.0
interface vlanif 1000//互通VLAN
ip address 192.168.100.1 255.255.255.0
//配置E上的rip协议
rip
network 192.168.4.0
network ______
int e0/1 //配置E上的trunk//
Port link-type trunk//______
port trunk pelanit vlan all
【正确答案】168.4.1 192.168.100.0 设置接口的类型是trunk
【答案解析】 这道题也是基本的配置,根据Cisco的命令格式基本可以推导出华为的配置命令。若不确定,也可以通过配置文件的上下文准确作出判断。由于下面的interface vlanif1000接口的配置命令与上面的命令是一致的,因此第空一只要从表中找到对应的设备接口和IP地址即可。此处是192.168.4.1。
根据配置上下文,从上文的network命令中就可以推出第空二是一个网络地址。再从题目给出的示意图中找到E这个设备所在的位置和下面连接的PC3,以及向上联接的互通VLAN的地址,可以知道设备E上还有一个网络就是192.168.100.0。第空三从Port link-typetrunk命令的字面意思即可知道是设置端口的链路类型为trunk。
【小结】下午的案例题型中,偶尔考到比较陌生的知识点,千万不要紧张,因为题目的考核形式不外乎命令填空和命令解释,相对比较固定,大部分情况下我们都可以通过配置上下文知道需要填空位置的命令格式。至于具体的参数则需要结合题目的意思,综合考虑。
根据配置上下文,从上文的network命令中就可以推出第空二是一个网络地址。再从题目给出的示意图中找到E这个设备所在的位置和下面连接的PC3,以及向上联接的互通VLAN的地址,可以知道设备E上还有一个网络就是192.168.100.0。第空三从Port link-typetrunk命令的字面意思即可知道是设置端口的链路类型为trunk。
【小结】下午的案例题型中,偶尔考到比较陌生的知识点,千万不要紧张,因为题目的考核形式不外乎命令填空和命令解释,相对比较固定,大部分情况下我们都可以通过配置上下文知道需要填空位置的命令格式。至于具体的参数则需要结合题目的意思,综合考虑。