试题一(20 分) 【说明】某单位企业网络中部署有 WEB 网站、邮件系统,配有防火墙、Web 应用防火墙和上网行为管理系统。信息中心网络工程师小李在个人电脑上安装了远程控制软件,以便从外部随时采用 telnet登录管理所有网络设备。并设置 Admin123 为各设备登录口令。近期,该企业发生了两起网络安全事件: 事件一:企业员工小王收到一封系统升级通知邮件,要求员工点击链接修改密码,小王点击链接之后,按提示输入旧的密码后,心有疑惑,没有继续设置新的密码,联系网络工师小李,得知邮件系统并未升级。也未发送任何通知。 事件二:多名员工反馈在知名网站登录页面输入用户名密码后,点击登录无反应,更换终端 PC 的 DNS 后登录正常,直接输入 IP 地址也能正常登录。 【问题 1】(5 分) 简要分析事件一,该企业可能受到了什么类型的攻击?并提出防护措施。(至少回答 3点)。 钓鱼垃圾邮件攻击。 解决方案:(1)部署防垃圾邮件系统(2)行为管理/防火墙/IPS/APT防护等安全设备动态阻断钓鱼页面(3)培训提升安全意识(4)态势感知系统进行分析和预警(5)严格设计用户密码策略,定期更改密码以减少可能泄露危险(6)全盘查杀病毒木马 【问题 2】(5 分) 简要分析事件二,该企业可能受到了什么类型的攻击?并提出防护措施。(至少回答 3点) DNS劫持/DNS污染。 解决方案:(1)DNSSEG(2)杀毒/PC恶意软件检查(如木马篡改本地DNS设置)(3)购买DNS安全设备或服务(4)备份DNS配置,监控DNS流量(5)部署防火墙、IPS设备进行DNS行为监控,防止被劫持(6)使用安全加密的DNS解析服务 【问题 3】(4 分) 根据题干描述,请简要分析网络工程师小李在运维工作中存在的不规范行为和安全隐,并提出整改措施。(至少回答 2 点) (1)存在的问题: ①网络设备使用弱密码,可能会计致网络设备陂陆意登块、引发设备失竹失控,存在泄露风险 ②网络设备登录暴漏在公网,容易遣受扫描、爆破、漏洞利用的风险 ③通过个人电脑连接网络设备时未通过跳板机,防火强可能未对外部访问做策略限制 ④使用不安全的telnet协议明文传输 (2)整改措施: ①完善密码策略,使用安全性高的密码、 定期修改密码来保证设备的安全管理。 ②网络设备不应该直接暴露在公网之中,应通过ACL来严恪控制访问范围 。 ③部署跳板机来进行命令的授权、监察、审计等,管控敏感命令的执行权限,部署防火墙相应策略。 ④将网络设备的连接协议由telnet改为更安全的SSH, 防止信息披窃取。 【问题 4】(6 分) 该单位新增一台文件服务器、一台数据库服务器,新增服务器均配置 2 块系统盘,每块容量 480GB、10 块数据盘,每块容量 2TB,计划使用 RAID 实现数据冗余。小李配置服务器时,为实现服务器系统高容错能力,单盘故障不影响系统,服务器系统盘应采用的RAID 级别为(1),可用容量为(2);文件服务器数据盘要求支持最多任意双盘故障不影响数,且容量最大化,应采用 RAID 级别为(3),可用容量为(4);数据库服务器要求写入效率高、数据安全可靠、应采用 RAID 级别为(5),可用容量为(6) (1)1 (2)480GB (3)6 (4)18TB (5)10 (6)10TB 试题二(15 分) 【说明】某公司新购一批交换机对网络进行升级改造,网络工程师计划对交换机进行配置,配置内容如下: 1.配置交换机的基本信息,包括日期、时问、时区及名称,以方便管理。 2.配置 Console 用户界面的认证方式为 AAA,实现通过 Console 口登录交换机时需要本地认证的功能 3.配置 VLAN 10 作为管理 VLAN,管理地址为 172.16.100.1,按口 GigabitEthernet 0/0/24为管理接口 4.开启交换机 Telnet 功能,认证方式为 AAA,便于对交换机进行远程维护 5.创建管理员用户 adminxyz,设置用户发录口令:xyz@789## 【问题 1】(15 分) 对交换机进行初始配置时,需使用 PC 机的(1)接口连接交换机的(2)接口,使用终端仿真软件,设置其(3)、流控方式、停止位、数据位等参数登录到交换机。设置日期、时间、时区及名称时,应在(4)视图下,使用(5)命令配置日期,使用 clock timezone 命令配置其时区和时间。 (1)串行 (2)Console (3)波特率 (4)用户模式 (5)clock datetime 请根据配置内容,补齐以下配置片段, [Switch】vlan 10 [Switch-vlan10] (6) //配置管理 VLAN [Switch-vlan10] quit [Switch] interface vlanif 10 [Switch-Vlanif10] ip address (7) 24 [Switch-Vlanif10] quit [Switch] interface GigabitEthernet 0/0/24 [Switch-GigabitEthernet0/0/24] port link-type (8) [Switch-GigabitEthernet0/0/24] port default (9) [Switch-GigabitEthernet0/0/24] quit [Switch] telnet server(10) [Switch] telnet server source -i GigabitEthernet 0/0/24 [Switch] user-interface (11) 0-4 [Switch-ui-vty0-4] protocol inbound telnet [Switch-ui-vty0-4] user privilege level 15 [Switch-ui-vty0-4] authentication-mode (12) [Switch-ui-vty0-4] quit [Switch] aaa [Switch-aaa] local-user (13) password irreversible-cipher xyz@789## [Switch-aaa] quit [Switch-aaa] local-user adminxyz privilege level 15 // (14) Warning: This operation may affect online users, are you sure to change the user privilege level ?[Y/N]y [Swi tch-aaa] local-user adminxyz service-type (15) [Switch-aaa] quit (6)management-vlan (7)172. 16. 100. 1 (8)access (9)vlan 10 (10)enable (11)vty (12)aaa (13)adminxyz (14)配置用户adminxyz为15级,拥有最高权眼 (15)telnet 试题三(20 分) 【说明】某企业计划新建生产研发中心,包括办公、研发、数据中心、生产车间等区域。网络拓扑如图 1 所示,采用三层网络结构,数据中心机房安装 2 台核心交换机和路由器,办公大楼、研发中,生产车间分别安装 2 台汇聚交换机,每个建筑的楼层分别安装 2 台接入交换机,按照业务类型划分不同VLAN,将网络划分为不同子网。网络系统要求骨干万兆、配置简单、路由收敛快、管理便捷。 【问题 1】(4 分) 该企业计划按照六阶段周期完成园区网络系统建设,则建设过程应包括,需求分析:(1)、(2)、(3)、(4)和监测及性能优化阶段。 (1)逻揖设计 (2)物理设计 (3)设计优化 (4)实施及测试 【问题 2】(6 分) 在网络建设中,需求分析非常重要,有助于设计者更好的理解网络系统的功能和性能要求,请简要说明在本项目需求分析阶段,网络带宽和无线网络接入分别应收集和分析哪些内容。(每个部分至少回答 3 点) (1)网络带宽需求和分析:业务数量、每种业务对带宽的需求、用户数量、每个用户带宽要求、出口带宽的功能。 (2)无线网络需求和分析:覆盖场景、AP类型、AP数量、信号强度要求、漫游、无线认证要求。 【问题 3】(5 分) 按照结构化布线系统相关要求,楼层弱电间到办公室之间的综合布线系统成为(5)子系统,线缆长度应不超过(6)米。办公大楼、研发中心、数据中心、生产车间之间的综合布线系统为(7)子系统,应采用(8)传输介质,可采用(9)以太网标准。 (6) 的备选答案 A.45 B.90 C.200 D.500 (9)的备选答案 A.1000Base-SX B.1000Base-LX C.10GBase-S D. 10GBase-L (5)水平 (6)B (7) 建筑群 (8)光纤 (9)D 【问题 4】(5 分) 在对本项目网络系统设计时,技术人员提供 OSPF 和 BGP 两种动态路由协议方案,结合本项目实际需求,你认为哪种方案较为合理,请说明理由。 选OSPF (1)OSPF相对BGP配置简单、 收敛快 、 管理便捷。 (2)OSPF一般用于企业内部, 而BGP用于AS之间 。 试题四(20 分) 【说明】下图为某公司网络拓扑片段,所有网段网络地址信息如图所示,各路由器上已经完成各个接口 IP 等基本信息配置。 【问题 1】(4 分) 公司总部路由器 R2 和 R3 之间运行 0SPF 路由协议,请补全如下 OSPF 的配置命令: #R2 的 OSPF 配置,Router-ID 为 2.2.2.2 [R2] (1) [R2-ospf-1] area 0 [R2-ospf-1-area-0.0.0.0] (2) //接口地址宣告 [R2-ospf-1-area-0.0.0.0] quit [R2-ospf-1] quit (1)ospf router-id 2.2.2.2 (2)10.23.23.0 0.0.0.255 【问题 2】(10 分) 公司总部与分部通过 BGP 传递路由,补全下列 R1 的 BGP 功能配置命令: 配置 EBGP 连接和 BGP 路由引入 [R1] bgp 65008 [Rl-bgp] router-id 1.1.1.1 [Rl-bgp] peer (3) as-number (4) #公司分部网络宣告 [R1-bgp] ipv4-family unicast [R1-bgp-af-ipv4]network (5) 255.255.255.0 #补全下列命令配置 R2 的 BGP 引入 OSPF 路由 [R2-bgp] ipv4-family unicast [R2-bgp-af-ipv4] (6) ospf 1 [R2-bgp-af-ipv4] quit [R2-bgp] quit 以下配置的功能是 (7) [R2] bgp 65009 [R2-bgpl ipv4-familv inicast [R2-bgp-af-ipv4] summary automatic (3)12.12.12.2 (4)65009 (5)10.10.10.0 (6)import-route (7)开启路由自动汇总 【问题 3】(6 分) 公司分部 PC 连接总部网络后,在文件传输业务(由 TCP 传输)时路由到 ISP1 出口,在开展视频业务 (由 UDP 传输)时路由到 ISP2 出口,请简要说明配置思路。 (1)配置高级ACL, 分配匹配基于TCP的文件流量和基于UDP的视频流量 。 (2)流分类:分别将ACL匹配的流量与流分类关联。 (3)流行为: 创建流行为, 并分别重定向到X和Y。 (4)创建流策略:分别将流分类与流行为关联。 (5)在出口路由器R3的入接口GE0/0/1应用策略 。
|