2021年11月網(wǎng)絡(luò)工程師考試網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)與管理下午真題

2021年11月網(wǎng)絡(luò)工程師考試網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)與管理下午真題(總分：11.00，做題時(shí)間：180分鐘)一、問(wèn)答題(總題數(shù)：11，分?jǐn)?shù)：11.00)1.某單位由于業(yè)務(wù)要求，在六層的大樓內(nèi)同時(shí)部署有線和無(wú)線網(wǎng)絡(luò)，樓外停車場(chǎng)部署無(wú)線網(wǎng)絡(luò)。網(wǎng)絡(luò)拓?fù)淙鐖D1-1所示。1.該網(wǎng)絡(luò)規(guī)劃中，相較于以旁路方式部署，將AC直連部署存在的問(wèn)題是(1)，相較于部署在核心層，將AC部署在接入層存在的問(wèn)題是(2)。2.在不增加網(wǎng)絡(luò)設(shè)備的情況下，防止外網(wǎng)用戶對(duì)本網(wǎng)絡(luò)進(jìn)行攻擊，隱藏內(nèi)部網(wǎng)絡(luò)的NAT策略通常配置在(3)(3)備選答案:A.ACB.SwitchC.Router3.某用戶通過(guò)手機(jī)連接該網(wǎng)絡(luò)的WIFI信號(hào)，使用WEB頁(yè)面進(jìn)行認(rèn)證后上網(wǎng)，則該無(wú)線網(wǎng)絡(luò)使用的認(rèn)證方式是_(4)認(rèn)證。(4)備選答案:A.PPPoEB.PortalC.IEEE802.1x

（分?jǐn)?shù)：1.00）__________________________________________________________________________________________

正確答案：(（1）存在單點(diǎn)故障、性能瓶頸（2）不能很好的利用AC的NAT、HDCP功能。性能差，穩(wěn)定性不好，其他區(qū)域的工作站訪問(wèn)距離遠(yuǎn)，效率低。（3）C（4）B)解析：（1）-（2）：本題考察的是網(wǎng)絡(luò)設(shè)備旁路部署和直連部署的區(qū)別，直連部署的網(wǎng)絡(luò)設(shè)備通常會(huì)在網(wǎng)絡(luò)的主干線路上，這種部署方式存在單點(diǎn)故障的問(wèn)題，同時(shí)也可能因?yàn)樵O(shè)備本身的性能達(dá)不到網(wǎng)絡(luò)傳輸?shù)囊?，出現(xiàn)性能瓶頸。所以相當(dāng)一部分支持直連部署的設(shè)備都有設(shè)備故障時(shí)，網(wǎng)絡(luò)數(shù)據(jù)能直通的功能。如果將AC部署在接入層設(shè)備上，往往由于接入層設(shè)備性能較差，穩(wěn)定性不好，也不會(huì)配置冗余的電源、線路等提升可靠性的條件。將AC部署在這種設(shè)備上，可能會(huì)因?yàn)榻尤雽釉O(shè)備本身的不可靠，導(dǎo)致無(wú)線網(wǎng)絡(luò)癱瘓。另外，將AC接在接入層設(shè)備上，也不能很好的利用AC本身的NAT和其他一些功能。并且，其他區(qū)域的接入層工作站需要通過(guò)核心，再連接到接入層，再到AC，訪問(wèn)的路徑比較遠(yuǎn)，效率較低。（3）：在不增加網(wǎng)絡(luò)設(shè)備的前提下，要防止外網(wǎng)用戶對(duì)本網(wǎng)絡(luò)進(jìn)行攻擊，只能在路由器上配置Nat策略，對(duì)于外部網(wǎng)絡(luò)顯示的是一個(gè)公網(wǎng)IP或者是一段公網(wǎng)IP，從而隱藏內(nèi)部網(wǎng)絡(luò)。（4）：從題干中的關(guān)鍵詞“使用web頁(yè)面進(jìn)行認(rèn)證后上網(wǎng)”可以知道這是一種基于webportal的認(rèn)證方式，這種方式最大的特點(diǎn)是不需要安裝客戶端，直接使用瀏覽器訪問(wèn)網(wǎng)絡(luò)之前，會(huì)強(qiáng)制定位到web認(rèn)證頁(yè)面。2.某單位由于業(yè)務(wù)要求，在六層的大樓內(nèi)同時(shí)部署有線和無(wú)線網(wǎng)絡(luò)，樓外停車場(chǎng)部署無(wú)線網(wǎng)絡(luò)。網(wǎng)絡(luò)拓?fù)淙鐖D1-1所示。1.若停車場(chǎng)需要部署3個(gè)相鄰的AP,在進(jìn)行2.4GHz頻段規(guī)劃時(shí)，為避免信道重疊可以采用的信道是_(5)。(5)備選答案:A.1、4、7B.1、6、9C.1、6、112.若在大樓內(nèi)相鄰的辦公室共用1臺(tái)AP會(huì)造成信號(hào)衰減，造成信號(hào)衰減的主要原因是（6）。(6)備選答案A.調(diào)制方室B.傳輸距離C.設(shè)備老化D.障礙物3.在網(wǎng)絡(luò)規(guī)劃中，對(duì)AP供電方式可以采取(7)供電或DC電源適配器供電。4.在不考慮其他因素的情況下，若室內(nèi)AP區(qū)域信號(hào)場(chǎng)強(qiáng)>-60dBm,停車場(chǎng)AP區(qū)的場(chǎng)強(qiáng)>-70dBm,則用戶在(8)區(qū)域的上網(wǎng)體驗(yàn)好。

（分?jǐn)?shù)：1.00）__________________________________________________________________________________________

正確答案：((5)C(6)D（7）POE（8）室內(nèi))解析：（5）試題分析：本題是關(guān)于無(wú)線局域網(wǎng)信道部署的問(wèn)題，無(wú)線局域網(wǎng)通常有11個(gè)或者13個(gè)信道，在進(jìn)行無(wú)線網(wǎng)絡(luò)覆蓋時(shí)，為了避免信道之間相互干擾，通常采用的信道分配方式是1、6、11信道交替使用，以盡量避免信道之間的干擾。（6）試題分析：無(wú)線信號(hào)采用的載頻為2.4Ghz或者5Ghz，頻率相對(duì)比較高，信號(hào)的波長(zhǎng)比較短，因此在穿透障礙物時(shí)容易造成嚴(yán)重的信號(hào)衰減，題中說(shuō)大樓內(nèi)相鄰的辦公室公用一臺(tái)AP，AP發(fā)出的信號(hào)會(huì)因?yàn)閴Ρ诘淖韪?，造成比較嚴(yán)重的信號(hào)衰減。（7）試題分析：目前的無(wú)線網(wǎng)絡(luò)部署中，對(duì)AP的供電可以采用POE方式或者采用DC電源適配器方式進(jìn)行供電。（8）試題分析：無(wú)線信號(hào)場(chǎng)強(qiáng)的大小表示基本單位是dbm，一般信號(hào)強(qiáng)度在-30~-120dbm之間。值越小，信號(hào)越好。從題干給出的參數(shù)來(lái)看，室內(nèi)AP區(qū)域的場(chǎng)強(qiáng)明顯比停車場(chǎng)區(qū)域的要好，因此用戶在室內(nèi)區(qū)域的上網(wǎng)體驗(yàn)會(huì)更好。3.某單位由于業(yè)務(wù)要求，在六層的大樓內(nèi)同時(shí)部署有線和無(wú)線網(wǎng)絡(luò)，樓外停車場(chǎng)部署無(wú)線網(wǎng)絡(luò)。網(wǎng)絡(luò)拓?fù)淙鐖D1-1所示。在結(jié)構(gòu)化布線系統(tǒng)中，核心交換機(jī)到樓層交換機(jī)的布線通常稱為(9)，擬采用50/125微米多模光纖進(jìn)行互連，使用1000Base-SX以太網(wǎng)標(biāo)準(zhǔn)，傳輸?shù)淖畲缶嚯x約是(10)米。(9)備選答案:A.設(shè)備間子系統(tǒng)B.管理子系統(tǒng)C.干線子系統(tǒng)(10)備選答案:A.100B.550C.5000

（分?jǐn)?shù)：1.00）__________________________________________________________________________________________

正確答案：(（9）C（10）B)解析：結(jié)構(gòu)化布線系統(tǒng)中，核心交換機(jī)到樓層交換機(jī)的布線通常稱之為干線子系統(tǒng)。用于連接設(shè)備間等核心交換機(jī)和樓層的交換機(jī)。1000BASE-SX所使用的光纖有：波長(zhǎng)為850nm，分為62.5/125μm多模光纖、50/125μm多模光纖。其中使用62.5/125μm多模光纖的最大傳輸距離為220m，使用50/125μm多模光纖的最大傳輸距離為550米。4.某企業(yè)內(nèi)部局域網(wǎng)拓?fù)淙鐖D2-1所示，局域網(wǎng)內(nèi)分為辦公區(qū)和服務(wù)器區(qū)。圖2-1中，辦公區(qū)域的業(yè)務(wù)網(wǎng)段為/24，服務(wù)器區(qū)網(wǎng)段為/24服務(wù)網(wǎng)段的網(wǎng)關(guān)均在防火墻上，網(wǎng)關(guān)分別對(duì)應(yīng)為54。54;防火墻作為DHCP服務(wù)器，為辦公區(qū)終端自動(dòng)下發(fā)IP地址，并通過(guò)NAT實(shí)現(xiàn)用戶訪問(wèn)互聯(lián)網(wǎng)。防火墻外網(wǎng)服務(wù)部IP地址為/28，辦公區(qū)用戶出口IP地址池為0-5。防火墻常用工作模式有透明模式、路由模式、混合模式，圖2-1中的出口防火墻工作于（1）模式：防火墻為辦公區(qū)用戶動(dòng)態(tài)分配IP地址，需在防火墻完成開啟（2）功能:Server2為WEB服務(wù)器，服務(wù)端口為TCP443,外網(wǎng)用戶通過(guò):8443訪問(wèn)，在防火墻上需要配置(3)

(3)備選答案;A.natserverpolicy_webprotocoltcpglobal8443inside443unr-routeB.natserverpolicy_webprotocoltcpglobal8443inside443unr-routeC.natserverpolicy_webprotocoltcpglobal443inside8443unr-routeD.natserverpolicy_webprotocoltcpglobalinside8443unr-route

（分?jǐn)?shù)：1.00）__________________________________________________________________________________________

正確答案：(（1）路由模式（2）DHCP（3）A)解析：從圖中可以看到，防火墻的3個(gè)接口分別配置的不同的IP地址，用于連接不同的網(wǎng)段，因此可以判斷防火墻目前工作在路由模式。防火墻為辦公區(qū)用戶動(dòng)態(tài)分配IP地址，這個(gè)功能只能由dhcp服務(wù)來(lái)完成，因此需要在防火墻上開啟dhcp功能。根據(jù)外網(wǎng)用戶通過(guò):8443訪問(wèn)web服務(wù)器，可以知道在natserver中必須要配置公網(wǎng)地址為，對(duì)應(yīng)的端口為8443。而內(nèi)部的server2是作為web服務(wù)器，其服務(wù)端口為TCP的443，內(nèi)部的地址為。因此只需要在配置命令中找到外網(wǎng)ip地址和端口以及內(nèi)網(wǎng)的IP地址和端口對(duì)應(yīng)關(guān)系即可判斷正確答案是A。5.某企業(yè)內(nèi)部局域網(wǎng)拓?fù)淙鐖D2-1所示，局域網(wǎng)內(nèi)分為辦公區(qū)和服務(wù)器區(qū)。圖2-1中，辦公區(qū)域的業(yè)務(wù)網(wǎng)段為/24，服務(wù)器區(qū)網(wǎng)段為/24服務(wù)網(wǎng)段的網(wǎng)關(guān)均在防火墻上，網(wǎng)關(guān)分別對(duì)應(yīng)為54。54;防火墻作為DHCP服務(wù)器，為辦公區(qū)終端自動(dòng)下發(fā)IP地址，并通過(guò)NAT實(shí)現(xiàn)用戶訪問(wèn)互聯(lián)網(wǎng)。防火墻外網(wǎng)服務(wù)部IP地址為/28，辦公區(qū)用戶出口IP地址池為0-5。為了使局城網(wǎng)中/24網(wǎng)段的用戶可以正常訪問(wèn)Internet,需要在防火墻上完成NAT、安全策略等配置，請(qǐng)根據(jù)需求完善以下配置。

#將對(duì)應(yīng)接口加入trust或者untrust區(qū)域。

[FW]firewallzonetrust

[FW-zonetrust]addinterface_(4)_

[FW-zone-trust]quit

[FW]firewallzoneuntrust

[FW-zoneuntrust]addinterface_(5)_

[FW-zoneuntrust]quit

#配置安全策略，允許局域網(wǎng)指定網(wǎng)段與Internet進(jìn)行報(bào)文交互。[FW]securitypolicy

[FW-policy-security]rulenamepolicy1

#將局域網(wǎng)作為源信任區(qū)域，將互聯(lián)網(wǎng)作為非信任區(qū)域

[FW-policy-security-rule-policy1]source-zone_(6)

[FW-policy-security-rule-policy1]destination-zoneuntrust

#指定局域網(wǎng)辦公室的用戶訪問(wèn)互聯(lián)網(wǎng)

[FW-policy-security-rule-policy1]source-address（7）

#指定安全策略為允許

[FW-policy-security-rule-policy1]action(8)_

[FW-policy-security-rule-policy1]quit

[FW-policy-security]quit

配置NAT地址池，配置時(shí)開自允許端口地址轉(zhuǎn)換，實(shí)現(xiàn)公網(wǎng)地址復(fù)用。

[FW]natadress-groupaddressgroup1

[FW-address-group-addressgroup1]modepat

[FW-address-group-addressgroup1]section0(9)

配置源NAT策略，實(shí)現(xiàn)局城網(wǎng)指定網(wǎng)段訪問(wèn)lnternet時(shí)自動(dòng)進(jìn)行源地址轉(zhuǎn)換

[FW]nat-policy

[FW-policy-nat]rulenamepolicy_nat1

#指定具體哪些區(qū)域?yàn)樾湃魏头切湃螀^(qū)域

[FW-policy-nat-rule-policy_nat1]source-zonetrust

[FW-policy-nat-rule-policy_nat1]destination-zoneuntrust

#指定局域網(wǎng)源IP地址

[FW-policy-nat-rule-policy_nat1]source-address24

[FW-policy-nat-rule-policy_nat1]actionsource-nataddress-group(10)

[FW-policy-nat-rule-policy_nat1]quit[FW-policy-nat]quit

（分?jǐn)?shù)：1.00）__________________________________________________________________________________________

正確答案：(（4）G0/0/1（5）G0/0/3（6）trust（7）24（8）permit（9）05（10）addressgroup1)解析：本題是一個(gè)防火墻的基本配置題，第4空是將接口添加到Trust區(qū)域，來(lái)從題干中可以看到Trust區(qū)域?qū)?yīng)的內(nèi)部網(wǎng)絡(luò)接口地址為GE0/0/1。第5空，可以參照第4空的原理，對(duì)應(yīng)的外網(wǎng)接口是GE0/0/3。第6空，結(jié)合上下文可知，是將局域網(wǎng)作為信源的信任區(qū)，而局域網(wǎng)對(duì)應(yīng)的區(qū)域可以用Trust來(lái)表示。第7空，根據(jù)配置命令的解釋是辦公室的用戶要能訪問(wèn)互聯(lián)網(wǎng)，因此對(duì)應(yīng)的源地址就應(yīng)該是辦公區(qū)域的網(wǎng)絡(luò)地址，結(jié)合題干給出的信息可以知道，辦公室用戶對(duì)應(yīng)的網(wǎng)絡(luò)為/24.第8空，根據(jù)題干的解釋是將策略的動(dòng)作設(shè)定為允許，對(duì)應(yīng)的命令當(dāng)然是permit。第9空，根據(jù)配置上下文可以知道，section后面指定的就是Nat公網(wǎng)地址，而題干中nat的地址池地址為0～5。只要指定地址池的首地址和末地址即可第10空，根據(jù)上下文可知，這是要指定對(duì)應(yīng)的地址池的名稱，地址池的名稱addressgroup1。6.某公司網(wǎng)絡(luò)拓?fù)渖稳鐖D3-1所示，其中出口路由器R2連接InternetPC所在網(wǎng)段為/24，服務(wù)IP地址為2/24，R2連接的Internet出口網(wǎng)關(guān)地址為/28。各路由端口及所對(duì)應(yīng)的IP地址信息如表3-1所示。假設(shè)各個(gè)路由器和主機(jī)均完成了各個(gè)接口IP地址的配置。通過(guò)靜態(tài)路由配置使路由器RI經(jīng)過(guò)路由器R2作為主鏈路連接Internet,R1->R3->R2->Internet作為備份鏈路；路由器R3經(jīng)過(guò)路由器R2作為主鏈路連接Internet,R3->R1->R2->Internet作為備份鏈路。

請(qǐng)按要求補(bǔ)全命令或回答問(wèn)題。

R1上的配置片段:

[R1]iproute-static(1)

[R1]iproute-static(2)preference100

R2上的配置片段:

[R2]iproute-static(3)

以下兩條命令的作用是(4)

[R2]iproute-static55

[R2]iproute-static55preference100

（分?jǐn)?shù)：1.00）__________________________________________________________________________________________

正確答案：(（1）（2）（3）(4)指定兩條回程路由)解析：第1空根據(jù)題干的解釋可知，在路由器R1上，配置2條默認(rèn)靜態(tài)路由分別指向R2和R3，而R2作為主路徑，所以對(duì)應(yīng)的默認(rèn)靜態(tài)路由優(yōu)先級(jí)要高。從上下文可知，指向路由器R3的默認(rèn)靜態(tài)路由優(yōu)先級(jí)被配置為100，而華為設(shè)備中，默認(rèn)的優(yōu)先級(jí)為60，其優(yōu)先級(jí)更高，因此可以使用默認(rèn)的優(yōu)先級(jí)。指向路由器R2的下一跳地址為。第2空使用路由器R3作為下一跳路由器，其對(duì)應(yīng)的接口地址為。第3空，根據(jù)上下文和題干解釋，只要在路由器R2上配置默認(rèn)靜態(tài)路由，默認(rèn)靜態(tài)路由的目標(biāo)網(wǎng)絡(luò)為。第4空因?yàn)榫W(wǎng)絡(luò)通訊是雙向的，內(nèi)部網(wǎng)絡(luò)通過(guò)默認(rèn)靜態(tài)路由指向出口路由器，同時(shí)出口路由器也必須使用回程路由。這里顯然是指令2條回程路由。7.某公司網(wǎng)絡(luò)拓?fù)渖稳鐖D3-1所示，其中出口路由器R2連接InternetPC所在網(wǎng)段為/24，服務(wù)IP地址為2/24，R2連接的Internet出口網(wǎng)關(guān)地址為/28。各路由端口及所對(duì)應(yīng)的IP地址信息如表3-1所示。假設(shè)各個(gè)路由器和主機(jī)均完成了各個(gè)接口IP地址的配置。通過(guò)在R1、R2和R3上配置雙向轉(zhuǎn)發(fā)檢測(cè)(BidirectionalForwardingDetection,BFD)實(shí)現(xiàn)鏈路故障快速檢測(cè)和靜態(tài)路由的自動(dòng)切換。以R3為例配置R3和R2之間的BFD會(huì)話，請(qǐng)補(bǔ)全下列命令:

[R3](5)

[R3-bfd]quit

[R3]bfd1bindpeer-ip(6)source-ip(7)auto

[R3-bfd-session-1]commit

[R3-bfd-session-1]quit

（分?jǐn)?shù)：1.00）__________________________________________________________________________________________

正確答案：(（5）BFD（6）（7）)解析：第5空根據(jù)配置上下文可知，這是在設(shè)備上啟動(dòng)BFD。第6空在配置BFD會(huì)話時(shí)需要指定本端的地址和對(duì)端地址，從關(guān)鍵詞peer可知是指定對(duì)端的地址，。第7空源地址明顯是與peer端對(duì)應(yīng)的地址8.某公司網(wǎng)絡(luò)拓?fù)渖稳鐖D3-1所示，其中出口路由器R2連接InternetPC所在網(wǎng)段為/24，服務(wù)IP地址為2/24，R2連接的Internet出口網(wǎng)關(guān)地址為/28。各路由端口及所對(duì)應(yīng)的IP地址信息如表3-1所示。假設(shè)各個(gè)路由器和主機(jī)均完成了各個(gè)接口IP地址的配置。

通過(guò)配置虛擬路由冗余協(xié)議(VirtialRouterRedundancyProtocol，VRRP)使得服務(wù)器通過(guò)交換機(jī)S1為S1雙歸屬到R1和R3，從而保證鏈路發(fā)生故障時(shí)服務(wù)器的業(yè)務(wù)不中斷。R1為主路由，R3為備份路由，且虛擬浮動(dòng)IP地址為0。根據(jù)上述配置要求，服務(wù)器的網(wǎng)關(guān)地址應(yīng)配置為(8)。

在R1上配置與R3的VRRP虛擬組相互備份:

[R1]intg0/0/1

//創(chuàng)建VRRP虛擬組

[R1-GigabitEthernet0/0/1]vrrpvrid1virtual-ip(9)

//配置優(yōu)先級(jí)為120

[R1-GigabitEthernet0/0/1]vrrpvrid1priority120

下面這條命令的作用是(10)

[R1-GigabitEthernet0/0/1]vrrpvrid1preempt-modetimerdelay2//跟蹤GE0/0/0端口，如果GE0/0/0端口down,優(yōu)先級(jí)自動(dòng)減30

[R1-GigabitEthernet0/0/1]vrrpvrid1trackinterfaceGE0/0/0reduced30

請(qǐng)問(wèn)R1為什么要跟蹤GE0/0/0端口?答：（11）

（分?jǐn)?shù)：1.00）__________________________________________________________________________________________

正確答案：(（8）0（9）0（10）開啟搶占模式（11）跟蹤Ge0/0/0接口，避免Master設(shè)備的上行接口出現(xiàn)問(wèn)題，而Master設(shè)備一直保持Active狀態(tài)，導(dǎo)致網(wǎng)絡(luò)出現(xiàn)中斷，讓Master設(shè)備運(yùn)行狀態(tài)和上行接口能夠關(guān)聯(lián))解析：第8空結(jié)合網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)可知服務(wù)器通過(guò)交換機(jī)可以直接連接到2個(gè)路由器上，因此可以將網(wǎng)關(guān)設(shè)置為VRRP的虛擬IP地址，也就是0。第9空根據(jù)上一空的分析和題干的信息，可以知道這個(gè)命令是設(shè)置VRRP組的虛擬IP地址，因此這個(gè)地址也是0。第10空這條命令的作用是開啟VRRP的搶占模式。第11空因?yàn)樵赩RRP中，物理設(shè)備的狀態(tài)和上行接口的鏈路狀態(tài)并沒(méi)有進(jìn)行關(guān)聯(lián)，如果設(shè)備的狀態(tài)一直保持Active狀態(tài)，上行接口出現(xiàn)故障，可能導(dǎo)致網(wǎng)絡(luò)出現(xiàn)中斷，為了避免出現(xiàn)這種情況，可以設(shè)置跟蹤接口，讓Master設(shè)備運(yùn)行狀態(tài)和跟蹤接口的狀態(tài)能夠關(guān)聯(lián)。9.某公司網(wǎng)絡(luò)拓?fù)渖稳鐖D3-1所示，其中出口路由器R2連接InternetPC所在網(wǎng)段為/24，服務(wù)IP地址為2/24，R2連接的Internet出口網(wǎng)關(guān)地址為/28。各路由端口及所對(duì)應(yīng)的IP地址信息如表3-1所示。假設(shè)各個(gè)路由器和主機(jī)均完成了各個(gè)接口IP地址的配置。通過(guò)配置ACL限制PC所在網(wǎng)段在2021年11月6日上午9點(diǎn)至下午5點(diǎn)之間不能訪問(wèn)服務(wù)器的Web服務(wù)(工作在80端口)，對(duì)園區(qū)內(nèi)其它網(wǎng)段無(wú)訪問(wèn)限制。

定義滿足上述要求ACL的命令片段如下，請(qǐng)補(bǔ)全命令。

[XXX](12)ftime9:00to17:002021/11/6

[XXX]acI3001

[XXX0-acI-adv-3001]rule(13)tcpdestination-porteq80source0destination

2time-range(14)

上述ACL最佳配置設(shè)備是(15)。

（分?jǐn)?shù)：1.00）__________________________________________________________________________________________

正確答案：(（12）range-time（13）deny（14）ftime（15）R2)解析：第12空，根據(jù)題干的意思是要設(shè)置基于時(shí)間的ACL，因此首先得設(shè)置時(shí)間范圍，根據(jù)上下文即可知，這里用的是Time-range。第13空，根據(jù)題干的意思在9點(diǎn)到17點(diǎn)之間不能訪問(wèn)web服務(wù)器，所以ACL中的動(dòng)作應(yīng)該是deny。第14空，根據(jù)配置命令可以知道這里是設(shè)置時(shí)間范圍，而前面定義的時(shí)間范圍名字叫ftime。第15空，根據(jù)拓?fù)鋱D可知PC所在的網(wǎng)絡(luò)是通過(guò)交換機(jī)連接在R2下面，并且這個(gè)ACL是高級(jí)ACL，按照高級(jí)ACL應(yīng)該配置在接近源端這個(gè)規(guī)則，因此最佳的配置是在路由器R2上面。10.某公司辦公網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖4-1所示，其中，在交換機(jī)SwitchtA上啟用DHCP為戶端分配IP地址。公司內(nèi)部網(wǎng)絡(luò)采用基于子網(wǎng)的VLAN劃分。由于公司業(yè)務(wù)特點(diǎn)需要，大部分工作人員無(wú)固定工位。故公司內(nèi)部網(wǎng)絡(luò)采用基于子網(wǎng)劃分VLAN,并采用DHCP策略VLAN功能為客戶端分配IP地址。請(qǐng)根據(jù)以上描述，填寫下面的空白。

DHCP策略VLAN功能可實(shí)現(xiàn)新加入網(wǎng)絡(luò)主機(jī)和DHCP服務(wù)器之間DHCP報(bào)文的互通，使新加入網(wǎng)絡(luò)主機(jī)通過(guò)DHCP服務(wù)器獲得合法IP地址及網(wǎng)絡(luò)配置等參數(shù)。

在基于子網(wǎng)劃分VLAN的網(wǎng)絡(luò)中，如果設(shè)備收到的是Untagged幀，設(shè)備將根據(jù)報(bào)文中的(1)，確定用戶主機(jī)添加的VLANID。新加入網(wǎng)絡(luò)的主機(jī)在申請(qǐng)到合法的IP地址前采用源IP地址(2)進(jìn)行臨時(shí)通信，此時(shí)，該主機(jī)無(wú)法加入任何VLAN,設(shè)備會(huì)為該報(bào)文打上接口的缺省VLANID(3)。

由于接口的缺省VLANID與DHCP服務(wù)器所在VLANID不同，因此主機(jī)不會(huì)到IP地址及網(wǎng)絡(luò)配置等參數(shù)配置信息。DHCP策略VLAN功能可使設(shè)備修改收到的DHCP報(bào)文的_(4)_VLANTag,將VLANID設(shè)置為_(5)所在VLANID,從而實(shí)現(xiàn)新加入網(wǎng)絡(luò)主機(jī)與DHCP服務(wù)器之間DHCP報(bào)文的互通，獲得合法的IP地址及網(wǎng)絡(luò)配置參數(shù)。該主機(jī)發(fā)送的報(bào)文可以通過(guò)基于子網(wǎng)劃分VLAN的方式加入對(duì)應(yīng)的VLAN。(1)~(5)備選答案:

A.55

B.內(nèi)層

C.外層

D.源IP地址

E.DHCP服務(wù)器

F.1

G.

H.源MAC地址

I.1023

（分?jǐn)?shù)：1.00）__________________________________________________________________________________________

正確答案：(（1）D（2）G（3）F(4)C(5)E)解析：第1空，當(dāng)采用基于子網(wǎng)劃分VLAN時(shí)，如果設(shè)備收到的是Untagged幀，設(shè)備根據(jù)報(bào)文中的源IP地址，確定用戶主機(jī)添加的VLANID。第2空，新加入網(wǎng)絡(luò)的主機(jī)需要通過(guò)DHCP方式獲取IP地址，但是，在申請(qǐng)到合法的IP地址前，主機(jī)只能采用源IP地址進(jìn)行臨時(shí)通信。第3空，該主機(jī)發(fā)送的DHCP報(bào)文無(wú)法通過(guò)基于子網(wǎng)劃分VLAN的方式加入任何VLAN，最終設(shè)備會(huì)給該報(bào)文會(huì)打上接口的缺省VLANID（缺省情況下，接口的缺省VLANID為1）。第4空，引入DHCP策略VLAN功能后，設(shè)備將修改收到DHCP報(bào)文的外層VLANTag，將VLANID設(shè)置為DHCP服務(wù)器所在VLANID，從而實(shí)現(xiàn)新加入網(wǎng)絡(luò)主機(jī)與DHCP服務(wù)器之間DHCP報(bào)文的互通。第5空，新加入網(wǎng)絡(luò)的主機(jī)獲得合法的IP地址及網(wǎng)絡(luò)配置參數(shù)后，該主機(jī)發(fā)送的報(bào)文可以通過(guò)基于子網(wǎng)劃分VLAN的方式加入對(duì)應(yīng)的VLAN。11.某公司辦公網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖4-1所示，其中，在交換機(jī)Switcht上啟用DBCP為戶端分配IP地址。公司內(nèi)部網(wǎng)絡(luò)采用基于子網(wǎng)的VLAN劃分。根據(jù)業(yè)務(wù)要求，在部門A中，新加入的MAC地址為0081-01fa-2134，主機(jī)HOSTA需要加入VLAN10并獲取相應(yīng)IP地址配置，連接在交換機(jī)SwitchB的GE0/0/3接口上的主機(jī)需加入VLAN20并獲取相應(yīng)IP地址配置。部門B中的所有主機(jī)應(yīng)加入VLAN30并獲取相應(yīng)IP地址配置。

請(qǐng)根據(jù)以上要求，將下面配置代碼的空白部分補(bǔ)充完整。

1.在SwichA上配置VLAN30的接口地址池功能

#在SwitchA上創(chuàng)建VLAN,并配置VLANIF接口的IP地址。system-view

[HUAWEI]sysnameSwitchA

[SwitchA](6)enable

[SwitchA]vlanbatch102030

[SwitchA]interfaccvlanif30

[SwitchA-Vlanif30]ipaddress(7)24

[SwitchA-Vlanif30]quit

[SwitchA]interfacevlanif30

[SwitchA-Vlanif30]dhcpselect(8)//使能VLANIF接口地址池

[SwitchA-Vlanif30]quit

[SwitchA]interfacegigabitethernet0/0/2//配置接口加入相應(yīng)VLAN

[SwitehA-GigabitEthernet0/0/2]portlink-type(9)

[SwitehA-GigabitEthernet0/0/2]porttrunkallow-passvlan30

[SwitchA-GigabitEthernet0/0/2]quit

//VLAN10和VLAN20的配置略

2.在SwitchC上與主機(jī)HostC和HostD相連的接口GEO/0/2配置基于子網(wǎng)劃分VLAN功能，并配置接口為HybridUntagged類型。

system-view

[HUAWEI]sysnameSwitchC

[SwitchC]dhcpenable

[SwitchC]vlanbatch30

[SwitchC]interface(10)

[SwitchC-GigabitEthernet0/0/1]portlink-typetrunk

[SwitchC-GigabitEthernet0/0/1]porttrunkallow-passvlan30

[SwitchC-GigabitEthernet0/0/1]quit

[SwitchC]interfacegigabitethernet0/0/2

[SwitchC-GigabitEthernet0/0/2]_(11)enable

[SwitchC-GigabitEthernet0/0/2]quit(12)untaggedvlan30

[SwitchC-GigabitEt