原创力文档- 1、本文档共12页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
1、试题一(共20分)
阅读以下说明,回答问题1至问题3,将解答填入答题纸对应的解答栏内。
【说明】
某组网拓扑如图1-1所示,网络接口规划如表1-1所示,vlan规划如表1-2所示,网络部分需求如下:
1.交换机SwitchA,作为有线终端的网关,同时作为DHCPServer,为无线终端和有线终端分配IP地址,同时配置ACL控制不同用户的访问权限,控制摄像头(camera区域)只能跟DMZ区域服务器互访,无线访客禁止访问业务服务器区和员工有线网络。
2.各接入交换机的接口加入VLAN,流量进行二层转发。
3.出口防火墙上配置NAT功能,用于公网和私网地址转换:配置安全策略,控制Internet的访问,例如摄像头流量无需访问外网,但可以和DMZ区域的服务器互访:配置NATServer使DMZ区的WEB服务器开放给公网访问。
网络接口规划
设备名称
接口编号
所属VLAN
IP地址
防火墙
GE1/0/0
/24
GE1/0/1
/24
GE1/0/2
/24
AC控制器
GE1/0/3
100
VLANIF100/24
SwitchA
GE1/0/1
101、102、103、105
VLANIF105/24
GE1/0/3
104
VLANIF104/24
GE1/0/5
101、102、103、105
VLANIF101/24
VLANIF102/24
VLANIF103/24
GE1/0/8
100
VLANIF100/24
GE1/0/11
108
VLANIF108/24
GE1/0/13
107
VLANIF107/24
SwitchC
GE1/0/3
101、102、105
GE1/0/5
101、102、103、105
GE1/0/13
103
SwitchD
GE1/0/3
101、102、105
GE1/0/5
101、102、103、105
GE1/0/13
103
VLAN规划
项目
描述
VLAN规划
VLAN100:无线管理VLAN
VLAN101:访客无线业务VLAN
VLAN102:员工无线业务VLAN
VLAN103:员工有线VLAN
VLAN104:摄像头的VLAN
VLAN105:AP所属VLAN
VLAN107:对接VLANIF接口上行防火墙
VLAN108:业务区接入VLAN
【问题一】
补充防火墙数据规划表1-3内容中的空缺项。
防火墙数据规划
安全策略
源安全域
目的安全域
源地址区域
目的地址
egress
trust
untrust
略
DMZ-camera
DMZ
camera
(1)
/24
Untrust-dmz
untrust
dmz
/24
源net策略egress
trust
untrust
srip
(2)
补防火墙区域说明:防火墙GEI/0/2接口连接DMZ区,防火墙GEI/0/01接口连接非安全区域,防火墙GEI/0/0接口连接安全区域:srcip表示内网区域。
【问题二】
补充SwichA数据规划表1-4内容中的空缺项。
项目
VLAN
源IP
目的IP
动作
ACL
101
(3)
/55
丢弃
/55
(4)
丢弃
104
/55
/55
(5)
(6)
any
丢弃
【问题三】
补充路由规划表1-5内容中的空缺项。
设备名称
目的地址/掩码
下一跳
描述
防火墙
(7)
访问访客无线终端路由
(8)
访问摄像头路由
SwichA
/
(9)
缺省路由
AC控制器
/
(10)
缺省路由
【参考答案】
2、阅读以下说明,回答问题1至问题3,将解答填入答题纸对应的解答栏内。
【说明】
某公司计划在会议室部署无线网络,供内部员工和外来访客访问互联网使用,图2-1为拓扑图片段。
【问题1】(7.5分)
在①处部署(1)设备,实现各会议室的无线网络统一管理,无缝漫游;在②处部署(2)设备,实现内部用户使用用户名和密码认证登录,外来访客通过扫描二维码或者手机短信验证登录无线网络:在③处部署(3)设备,实现无线AP的接入和供电;大型会议室部署(4)设备,实现高密度人群的无线访问;在小型会议室借助86线盒部署(5)设备,实现无线访问。
(1)~(5)备选答案:
A、面板式AP
B、高密吸顶式AP
C、无线遥控机
D、无线认证系统
E、无线路由器
F、普遍吸顶式AP
G、普通交换机
H、POE交换机
【问题2】(8分)
在核心交换机上配置(6),可以实现无线网络和办公区网络、服务器区网络逻辑隔离;在④处部署(7)设备,可以对所有用户的互联网访问进行审计和控制,阻止并记录非法访问;在⑤处部署(8)设备,实现服务区域的边界防护,防范来自无线区域和办公区域的安全威胁
文档评论(0)