试题三（20分）

阅读以下说明，回答问题1至问题4，将解答填入答题纸对应的解答栏内。

【说明】

某公司网络拓扑片段如图3-1所示，其中出口路由器R2连接Internet，PC所在网段为10.1.1.0/24，服务器IP地址为10.2.2.22/24，R2连接的Internet出口网关地址为110.125.0.1/28。各路由器端口及所对应的IP地址信息如表3-1所示。假设各个路由器和主机均完成了各个接口IP地址的配置。

【问题1】（6分）

通过静态路由配置使路由器R1经过路由器R2作为主链路连接Internet，R1->R3->R2->Internet作为备份链路；路由器R3经过路由器R2作为主链路连接Internet，R3->R1->R2->Internet作为备份链路。

请按要求补全命令或回答问题。

R1上的配置片段：

[R1]ip route-static  0.0.0.0  0.0.0.0   （1）  

[R1]ip route-static  0.0.0.0  0.0.0.0   （2）   preference 100

R2上的配置片段：

[R2]ip route-static   （3）  110.125.0.1

以下两条命令的作用是  （4）  

[R2]ip route- static 10.2.2.0  0.255.255.255  10.12.0.1

[R2]ip route-static 10.2.2.0  0.255.255.255  10.23.0.3 reference 100

【问题2】（3分）

通过在R1、R2和R3上配置双向转发检测（Bidirectional Forwarding Detection, BFD）实现链路故障快速检测和静态路由的自动切换。以R3为例配置R3和R2之间的BFD会话，请补全下列命令：

[R3]  （5）  

[R3-bfd] quit

[R3]bfd 1 bind peer-ip   （6）   source-ip   （7）   auto

[R3-bfd-session-1]commit

[R3-bfd-session-1]quit

【问题3】（6分）

通过配置虚拟路由冗余协议（Virtual Router Redundancy Protocol，VRRP）使得服务器通过交换机S1为S1双归属到R1和R3，从而保证链路发生故障时服务器的业务不中断。R1为主路由，R3为备份路由，且虚拟浮动IP地址为10.2.2.10。

根据上述配置要求，服务器的网关地址应配置为  （8） 。

在R1上配置与R3的VRRP虚拟组相互备份：

[R1]int g0/0/1

//创建VRRP虚拟组

[R1-GigabitEthernet0/0/1]vrrp vrid 1 virtual-ip   （9）  

//配置优先级为120

[R1-GigabitEthernet0/0/1]vrrp vrid 1 priority 120

下面这条命令的作用是  （10）  

[R1-GigabitEthernet0/0/1]vrrp vrid 1 preempt-mode timer delay 2

//跟踪GE0/0/0端口，如果GE0/0/0端口down,优先级自动减30

[R1-GigabitEthernet0/0/1]vrrp vrid 1 track interface GE0/0/0 reduced 30

请问R1为什么要跟踪GE0/0/0端口？

回答：  （11）  

【问题4】（5分）

通过配置ACL限制PC所在网段在2021年11月6日上午9点至下午5点之间不能访问服务器的Web服务（工作在80端口），对园区内其它网段无访问限制。

定义满足上述要求ACL的命令片段如下，请补全命令。

[XXX]  （12）   ftime 9:00 to 17:00 2021/11/6

[XXX]acl 3001

[XXX-acl-adv-3001 ]rule   （13）   tcp destination-port eq 80 source 10.1.1.0 0.0.0.255 destination 10.2.2.22 0.0.0.0 time-range （14）  。

上述ACL最佳配置设备是  （15）  。

【问题1】参考答案

（1）10.12.0.2

（2）10.13.1.3

（3）0.0.0.0 0.0.0.0

（4）指定两条回（返）程路由

试题解析  

（1）route-static命令中，第一个地址表示目标网段地址，第二个地址表示目标网段的子网掩码（仅有第一个地址无法确定该地址是主机地址还是网络地址）；第三个地址表示下一跳的地址。当前两组地址全为0时，表示配置默认静态路由（即目标地址不在路由表中时所使用的路由）。显然，（1）和（2）应该“下一跳”地址。题目指出要在路由器R1上配置两条静态路由，“下一跳”分别指向R2和R3，且R2要作为主链路，那么R2对应的路由优先级要高。而华为设备中，默认的优先级为60，比（2）中所指定的优先级100要高，因此（1）应为主链路，再结合拓扑图可知（1）应为指向R2的GE0/0/0端口的地址，再由IP地址分配表可知该端口对应的IP地址为10.12.0.2。

（2）同理可知（2）应为指向R3的GE0/0/2端口的地址，即10.13.1.3。

（3）根据上下文和题意，R2需配置默认静态路由，默认静态路由的目标网络为0.0.0.0 0.0.0.0。

（4）网络通讯是双向的，内部网络通过默认静态路由指向出口路由器，同时出口路由器也必须使

用回程路由。因此，在前面设置出出口路由后，接着就应该设置返程路由。根据后面两条命令中的目标地址、掩码及下一跳地址，可以确认其作用就是设置两条返程路由。

【问题2】参考答案

（5）BFD   （6）10.23.0.1   （7）10.23.0.3

试题解析  

（5）给路由器配置BFD对话，第一步是在路由器上启动BFD，对应的命令为BFD。

（6）在配置BFD会话时需要指定本端的地址和对端地址，从关键词peer可知（6）是指定对端的地址，R3与R2对话，根据拓扑图可知R3的对端应为R2的GE0/0/1，查地地址表可知其IP为10.23.0.1。

（7）从关键字source可知（7）为R3端的源地址，即R3的GE0/0/0端口对应的地址，查地址表可知其为10.23.0.3。

【问题3】参考答案

（8）10.2.2.10   （9）10.2.2.10   （10）开启抢占模式

（11）VRRP是根据主路由的状态来决定是否需进行主备路由切换的，但当上行接口不通时，并不意味着主路由的状态也会有问题。这就有可能导致虽然主路由处于Active状态，但网络不通。通过跟踪上行端口的状态，可把上行端口状态与主路由状态进行关联，从而避免主路由状态正常但网络却不通的情况。

试题解析  

（8）结合网络拓扑结构可知服务器通过交换机可以直接连接到2个路由器上，因此可以将网关设置为VRRP的虚拟IP地址，也就是10.2.2.10。

（9）根据题意，结合本命令及其中的关键字virtual-ip，可知本命令是设置VRRP组的虚拟IP地址，因此这个地址也是10.2.2.10。

（10）这条命令的作用是为前面所创建的vrid为1的虚拟组开启VRRP的抢占模式，主备路由切换的等待时间设为2s。

（11）在VRRP中，物理设备的状态和上行接口的链路状态并没有进行关联，如果设备的状态一直保持Active状态，上行接口出现故障也可导致网络出现中断，为了避免出现这种情况，可以设置跟踪接口，让Master设备运行状态和跟踪接口的状态能够关联。

【问题4】参考答案

（12）range-time （13）deny   （14）ftime   （15）R2

试题解析

（12）根据题干的意思是要设置基于时间范围的ACL（Access Control List），因此首先得定义一个时间范围，对应的命令是time-range。此命令的意思是把要求的时间段定义为时间范围并保存在ftime中。

（13）根据题干的意思在9点到17点之间不能访问web服务器，所以ACL中的动作应该是deny。

（14）根据配置命令可以知道这里是设置时间范围，而前面定义的时间范围名字叫ftime。本命令行的意思是，禁止PC所在的10.1.1.0网段（源地址）在规定的时间内访问服务器所在网段10.2.2.22的80端口（Web服务端口）。10.1.1.0加上反掩码0.0.0.255表示10.1.1.0网段；10.2.2.22加反掩码0.0.0.0表示服务器地址。

（15）根据拓扑图可知，PC所在的网络是通过交换机（s2）连接R2，按照ACL应该接近源端配置的规则，最佳配置设置应该是R2。