阅读以下说明,回答问题1至问题4,将解答填入答题纸对应的解答栏内。【说明】某公司网络拓扑结构如图3-1所示。网络规划如表3-1所示。
【问题1】(5分,每空1分)有下表所示设备,请将设备代码填入拓扑图中对应的空框内。
【问题2】(5分,选择每空1分)如图3-1所示,防火墙的三个接口由内而外的默认名字分别是(6)、(7)、(8)。从本题的拓扑图来看,防火墙工作在()模式。(6)~(8)备选项:A.trust区域B.untrust区域C.DMZ区域【问题3】(8分,每空2分)如图3-1所示,ISP1作为公司的默认互联网出口。该公司拥有2条出口链路,要保证内网机器能够访问互联网,需要在路由器上配置(10),管理员希望服务器网段的流量都走ISP2出去,则需要在路由器上配置(11),因为服务器网段的IP地址是内网地址,服务器要对Internet提供服务,需要在路由器上配置(12),生产区和办公区访问互联网默认走ISP1出去,需要在路由器上配置(13)。(10)~(13)备选项:A.策略路由B.缺省路由C.源NATD.目的NAT【问题4】(4分,每空1分)生产区和办公区的用户流量默认走ISP1出口,服务器区域流量走ISP2出口。请根据描述,将下面的配置代码补充完整。R1基本配置略……[R1]acl2000[R1-acl-basic-2000]rulepermitsource192.168.8.0(14)[R1-acl-basic-2000]rulepermitsource192.168.100.00.0.0.255[R1-acl-basic-2000]rulepermitsource192.168.200.00.0.0.255[R1-acl-basic-2000]quit[R1]acl2001[R1-acl-basic-2001]rulepermitsource192.168.100.00.0.0.255[R1-acl-basic-2001]quit[R1]nataddress-group158.60.36.358.60.36.6[R1]interfaceGigabitEthernet0/0/1[R1-GigabitEthernet0/0/1]natoutbound2000address-group1[R1-GigabitEthernet0/0/1]quit[R1]interfaceGigabitEthernet0/0/2[R1-GigabitEthernet0/0/2]natoutbound2000[R1-GigabitEthernet0/0/2]quit[R1]iproute-static192.168.8.022(15)[R1]iproute-static192.168.100.024192.168.200.3[R1]iproute-static0.0.0.0058.60.36.1[R1]iproute-static0.0.0.00113.250.13.1preference100[R1]trafficclassifierc1[R1-classifier-c1]if-matchacl2001[R1-classifier-c1]quit[R1]trafficbehaviorb1[R1-behavior-b1]redirectip-nexthop(16)[R1-behavior-b1]quit[R1]trafficpolicyp1[R1-trafficpolicy-p1]classifierc1behaviorb1[R1-trafficpolicy-p1]quit[R1]interfaceGigabitEthernet0/0/0[R1-GigabitEthernet0/0/0]traffic-policyp1(17)[R1-GigabitEthernet0/0/0]quit[R1]
(1)B (2)E (3)D (4)C (5)A(6)A (7)C (8)B (9)透明(10)C (11)A (12)D (13)B (14) 0.0.3.255(15) 192.168.200.3(16) 113.250.13.1(17) Inbound 【解析】 【问题1】解析:显然从拓扑图可以看出,web集群所在的位置应该能对外提供web服务,因此可能是在防火墙的DMZ区。所以1是防火墙,分别接内网,外网和服务器区。WAF是一种专门针对web应用的安全设备,因此应该接在web服务器区。由于这是一个web集群,因此应该在web服务器前接交换机,交换机前接waf连接到防火墙dmz接口。服务器后端是一个光纤连接的存储资源池,因此应该是FC交换机。【问题2】解析:防火墙的三个接口分别接内网,外网和非军事化区,在华为设备中,这三个区域分别叫做trust区域,untrust区域 和DMZ区域。从路由器R1内部接口地址和Switch2出口地址可以看到,同属于192.168.200.0/24,因此防火墙应该是透明模式。 【问题3】解析:内网机器使用的内部地址,不能访问internet,因此需要配置基于原地址的NAT。不同的内网段走不同的出口访问Internet,配置策略路由即可实现。在进行内网地址映射的时候,实际也可以配置基于目的的nat。默认走某个接口,配置默认路由即可。 【问题4】解析:本题就是基本命令的填空。注意从上下文中找出相关关键词。
