2016下半年网络工程师考试真题及答案-下午卷

2016 下半年网络工程师考试真题及答案 - 下午卷 试题一（共 20 分）阅读以下说明，回答问题 1 至问题 6，将解答填入答题纸对应的解答栏内。【说明】某企业的行政部、技术部和生产部分布在三个区域，随着企业对信息化需求的提高，现 拟将网络出口链路由单链路升级为双链路，提升 ERP 系统服务能力以及加强员工上网行为管 控。网络管理员依据企业现有网络和新的网络需求设计了该企业网络拓扑图 1-1，并对网络 地址重新进行了规划，其中防火墙设备继承了传统防火墙与路由功能。图 1-1【问题 1】（4 分）在图 1-1 的防火墙设备中，配置双出口链路有提高总带宽、 （ 1 ） 、链路负载均衡作 用。通过配置链路聚合来提高总带宽，通过配置 （ 2 ） 来实现链路负载均衡。【解析】：双出口链路好处 1.可以实现带宽增加：当原先的单出口带宽不足时，可通过双出口增加出口带宽；2.链路冗余：一条链路故障也保证网络联通，起到冗余备份的作用；3.负载均衡：负载均衡是双出口合理的分担到外网的流量，可以通过专用负载均衡设备（增 加成本），也可以使用路由器的策略路由实现基于源或目的以及业务类型等的负载分担，同 时也可以直接配置等价默认路由+NAT 双 outside 接口做等价负载均衡。【参考答案】：（1）链路备份/冗余 （2）策略路由【问题 2】（4 分） 防火墙工作模式有路由模式、透明模式、混合模式，若该防火墙接口均配有 IP 地址，则防火墙工作在 （ 3 ） 模式，该模式下，ERP 服务器部署在防火墙的 （ 4 ） 区域。【解析】： 防火墙三种工作模式的区别：路由模式透明模式混合模式内部网络和外部网络属于不 同的子网内部网络和外部网络属于相 同的子网混合模式介于路由模式和透 明模式，既可以配置接口工作 在路由模式（接口具有 IP 地 址），又可以配置接口工作在 透 明 模 式 （ 接 口 无 IP 地址 ） ， 主 要 在 Eudemon 1000E 进 行 双 机 热 备 时 使用。需要重新规划原有的网络拓 扑无需改变原有的网络拓扑接口需要配置 IP 地址接口不能配置 IP 地址接口所在的安全区域是三层 区域接口所在的安全区域是二层 区域由于防火墙接口均配有 IP 地址，很明显工作于路由模式；在拓扑图上可以直接观察到 WEB 服务器部署在 DMZ 区域，ERP 服务器部署在 inside 区域。【参考答案】：（3）路由模式 （4）内部/inside【问题 3】（4 分）若地址规划如表 1-1 所示，从 IP 规划方案看该地址的配置可能有哪些方面的考虑？表 1-1位置或系统VLAN ID地址区间信息点数量备注行政部10-13192.168.10.0～192.168.13.060网段按楼层分 配，每个网段末 位地址为网关技术部14-17192.168.14.0～192.168.17.080生产部18-20192.168.18.0～192.168.20.030无线网络22192.168.22.0行政楼区域部署监控网络23192.168.23.030信息点分散ERP30192.168.30.0【解析】：从 IP 规划方案来看，每个部门划分三个 VLAN，分配的 IP 子网从 192.168.10.0~192.168.20.0，其他未使用 192.168.X.0 子网可供扩展的 VLAN 或部门使用， 每个 VLAN 规划的子网可用主机数大于目前的信息点数，从以后的网络扩展角度来看，VLAN 中或部门的信息点数的增加，包括无线网络和监控网络的信息点的增加，都可以直接使用未 使用的可用主机地址，而不需要重新增加子网或 VLAN。【参考答案】：各部门终端数的扩展考虑，增加部门或部门 VLAN 的考虑，监控、无线网络信息点增加 的扩展考虑（答到两项即可）。【问题 4】（3 分） 该网络拓扑中，上网行为管理设备的位置是否合适？请说明理由。【解析】：上网行为管理设备的位置应该保证内网用户的上网流量经过其设备，从而实现行为管理 策略。【参考答案】：不合适，应该部署在防火墙与核心交换机间使用跨接/串联的方式接入【问题 5】（3 分） 该网络中有无线节点的接入，在安全管理方面应采取哪些措施？【解析】：WLAN 基本安全主要是无线接入和加密，其措施可以有 SSID 隐藏、WEP 或 WPA/WAP2 加密、 MAC 地址过滤等。当然对于更负责的安全管理还可以...