当前位置: 首页 > 网络工程师 > 基础知识+应用技术 > 试题二(20分)阅读以下说明,回答问题1至问题2,将解答填入答题纸对应的解答栏内。【说明】某企业内部局域网拓扑如图2-1所示,局域网内分为办公区和服务器区。图2-1中,办公区域的业务网段为10.1.1.0/24,服务器区网段为10.2.1.0/24,所有业务网段的网关均部署在防火墙上,网关分别对应为10.1.1.254、10.2.1.254;防火墙作为DHCP服务器,为办公区终端自动下发IP地址,并通过NAT实现用户访问互联网。防火墙外网出口IP地址为100.1.1.2/28,运营商端IP地址为100.1.1.1/28,办公区用户区IP地址池为100.1.1.10~100.1.1.15。【问题1】(6分)防火墙常用工作模式有透明模式、路由模式、混合模式,图2-1中的出口防火墙工作于 (1) 模式;防火墙为办公区用户动态分配IP地址,需在防火墙完成开启 (2) 功能;Sw2为WEB服务器,服务端口为TCP 443,若允许外网用户通过https://100.1.1.9:8443/访问Sw2,则需要在防火墙上配置 (3) 。(3)备选答案:A.nat server policy_web protocol tcp global 100.1.1.9 8443 inside 10.2.1.2 443 unr-routeB.nat server policy_web protocol tcp global 10.2.1.2 8443 inside 100.1.1.9 443 unr-routeC.nat server policy_web protocol tcp global 100.1.1.9 443 inside 10.2.1.2 8443 unr-routeD.nat server policy_web protocol tcp global 10.2.1.2 inside 10.2.1.2 8443 unr-route【问题2】(14分)为了使局城网中10.1.1.0/24网段的用户可以正常访问Internet,需要在防火墙上完成NAT、安全策略等配置,请根据需求完善以下配置。 #将对应接口加入trust或者untrust区域。[FW]firewall zone trust[FW-zone trust]add interface    (4)  [FW-zone -trust] quit[FW]firewall zone untrust[FW-zone untrust]add interface   (5)  [FW-zone untrust] quit#配置安全策略,允许局域网指定网段与Internet进行报文交互。[FW] security policy[FW-policy-security] rule name policy 1#将局域网地址作为源信任区域,将互联网作为非信任区域[FW-policy-security-rule-policy 1]source-zone   (6)  [FW-policy-security-rule-policy 1] destination-zone untrust#指定局域网办公区的用户访问互联网[FW-policy-security-rule-policy 1]source-address   (7)  #指定安全策略为允许[FW-policy-security-rule-policy 1]action   (8)  [FW-policy-security-rule-policy 1] quit[FW-policy-security] quit配置NAT地址池,配置时开启允许端口地址转换,实现公网地址复用。[FW] nat adress-group addressgroup1[FW-address-group-addressgroup1] mode pat[FW-address-group-addressgroup1]section 0   (9)  配置源NAT策略,实现局域网指定网段访问lnternet时自动进行源地址转换[FW] nat-policy[FW-policy-nat] rule name policy_nat 1#指定具体哪些区域为信任和非信任区域[FW-policy-nat-rule-policy_ nat 1] source-zone trust[FW-policy-nat-rule-policy_ nat 1] destination-zone untrust#指定局域网源IP地址[FW-policy-nat-rule-policy_ nat 1] source-address 10.1.1.0 24[FW-policy-nat-rule-policy_ nat 1] action source-nat address-group   (10) [FW-policy-nat-rule-policy_ nat 1] quit[FW-policy-nat] quit

1.【问答题】

试题二(20分)

阅读以下说明,回答问题1至问题2,将解答填入答题纸对应的解答栏内。

【说明】某企业内部局域网拓扑如图2-1所示,局域网内分为办公区和服务器区。


图2-1中,办公区域的业务网段为10.1.1.0/24,服务器区网段为10.2.1.0/24,所有业务网段的网关均部署在防火墙上,网关分别对应为10.1.1.254、10.2.1.254;防火墙作为DHCP服务器,为办公区终端自动下发IP地址,并通过NAT实现用户访问互联网。防火墙外网出口IP地址为100.1.1.2/28,运营商端IP地址为100.1.1.1/28,办公区用户区IP地址池为100.1.1.10~100.1.1.15。【问题1】(6分)防火墙常用工作模式有透明模式、路由模式、混合模式,图2-1中的出口防火墙工作于 (1) 模式;防火墙为办公区用户动态分配IP地址,需在防火墙完成开启 (2) 功能;Sw2为WEB服务器,服务端口为TCP 443,若允许外网用户通过https://100.1.1.9:8443/访问Sw2,则需要在防火墙上配置 (3) 。(3)备选答案:A.nat server policy_web protocol tcp global 100.1.1.9 8443 inside 10.2.1.2 443 unr-routeB.nat server policy_web protocol tcp global 10.2.1.2 8443 inside 100.1.1.9 443 unr-routeC.nat server policy_web protocol tcp global 100.1.1.9 443 inside 10.2.1.2 8443 unr-routeD.nat server policy_web protocol tcp global 10.2.1.2 inside 10.2.1.2 8443 unr-route【问题2】(14分)为了使局城网中10.1.1.0/24网段的用户可以正常访问Internet,需要在防火墙上完成NAT、安全策略等配置,请根据需求完善以下配置。

 #将对应接口加入trust或者untrust区域。

[FW]firewall zone trust

[FW-zone trust]add interface    (4)  

[FW-zone -trust] quit

[FW]firewall zone untrust

[FW-zone untrust]add interface   (5)  

[FW-zone untrust] quit

#配置安全策略,允许局域网指定网段与Internet进行报文交互。

[FW] security policy

[FW-policy-security] rule name policy 1

#将局域网地址作为源信任区域,将互联网作为非信任区域

[FW-policy-security-rule-policy 1]source-zone   (6)  

[FW-policy-security-rule-policy 1] destination-zone untrust

#指定局域网办公区的用户访问互联网

[FW-policy-security-rule-policy 1]source-address   (7)  

#指定安全策略为允许

[FW-policy-security-rule-policy 1]action   (8)  

[FW-policy-security-rule-policy 1] quit

[FW-policy-security] quit

配置NAT地址池,配置时开启允许端口地址转换,实现公网地址复用。

[FW] nat adress-group addressgroup1

[FW-address-group-addressgroup1] mode pat

[FW-address-group-addressgroup1]section 0   (9)  

配置源NAT策略,实现局域网指定网段访问lnternet时自动进行源地址转换

[FW] nat-policy

[FW-policy-nat] rule name policy_nat 1

#指定具体哪些区域为信任和非信任区域

[FW-policy-nat-rule-policy_ nat 1] source-zone trust

[FW-policy-nat-rule-policy_ nat 1] destination-zone untrust

#指定局域网源IP地址

[FW-policy-nat-rule-policy_ nat 1] source-address 10.1.1.0 24

[FW-policy-nat-rule-policy_ nat 1] action source-nat address-group   (10)

[FW-policy-nat-rule-policy_ nat 1] quit

[FW-policy-nat] quit

查看答案

参考答案:

全站统计:

本题共被答0 正确率为0% 易错选项为

题目解析:

【问题1】(6分)参考答案

(1)路由 

(2)DHCP 

 (3)A试题解析 从题目的网络拓扑可以看到,防火墙的3个接口分别配置了不同的IP地址,用于连接不同的网段,因此可以判断防火墙工作在路由模式。防火墙为办公区用户动态分配IP地址,这个功能只能由DHCP(Dynamic Host Configuration Protocol)服务来完成,因此需要在防火墙上开启DHCP功能。根据外网用户通过https://100.1.1.9:8443/访问web服务器,可以知道在nat server中必须要配置公网地址100.1.1.9,对应的端口为8443;Sw2作为web服务器,其服务端口为TCP的443,内部的地址为10.2.1.2。因此,我们只需在配置命令中找到外网IP地址、端口以及内网IP地址、端口号的对应关系,即可判断正确答案是A。

【问题2】(14分)参考答案

(4) G 0/0/1 

 (5) G 0/0/3 

 (6)trust

 (7)10.1.1.0 24 

(8)permit 

 (9)100.1.1.10 100.1.1.15 

(10)addressgroup1

试题解析

第(4)空,将接口添加到Trust区域。从题目要求可知,Trust区域对应内部网络,路由器上连接内网的接口为GE 0/0/1。

第(5)空,同理可知路由器上连接外网的接口是GE 0/0/3。

第(6)空,根据注释中的“将局域网作为源信任区”,直接翻译可知应填trust。

第(7)空,由题干或拓扑图可知,办公区的网段是10.1.1.0/24。

第(8)空,根据题干的解释是将策略的动作设定为允许,对应的命令当然是permit。

第(9)空,配置NAT(Network Address Transfer)地址池,就是设置可以为内网中的哪些私有IP地址提供转换为公网地址的服务。题干中已指出nat的地址池100.1.1.10~100.1.1.15。

 第(10)空,根据(9)所在的命令段可知,局域网的源IP地址池已经存放在addressgroup1中,因此此处填addressgroup1。


本题解析反馈: 没看懂 看懂

考核知识点:

试题难度:

获取二级造价工程师定制学习规划
壮壮老师
00:00:00
2334已获取

微信号:hqwxjg1006

网络工程师历年真题 更多

资料下载 更多
下载快题库,随时随地刷题
碎片时间巩固知识点

返回顶部