1、阅读以下说明,回答问题1-3,将解答填至答题纸对应解答栏内。[说明]某组网拓扑如图1-1所示,网络接口规划如表1-1所示,VLAN规划如表1-2所示,网络部分需求如下:1、交换机switchA作为有线终端的网关,同时作为DHCP Server为无线终端和有线终端分配IP地址,同时配置ACL控制不同用户的访问权限,控制摄像头(Camera区域)只能跟DMZ区域服务器互访,无线访客禁止访问业务服务器和员工有线网络。2、各接入交换机的接口加入VLAN,流量进行二层转发3、出口防火墙上配置NAT功能,用于公网和私网地址转换;配置安全策略,控制Internet的访问,例如摄像头流量无需访问外网,但可以和DMZ区域的服务器互访,配置NATServer使DMZ区域的服务器开放给公网访问。[问题1]补充防火墙数据规划表1-3内容中的空缺项。防护墙区域说明:防火墙ge1/0/2接口连接dmz区域,ge1/0/1接口连接非安全区域,ge1/0/0 接口连接安全区域,srcip表示内网区域。 [问题2]补充SwitchA数据表1-4内容中的空缺项。 [问题3]补充路由规划表1-5内容中的空缺项。
答案:
【问题1】
(1)10.106.1.0/24
(2)-或者0.0.0.0/0
【问题2】
(3)10.101.1.0/0.0.0.255
(4)10.103.1.0/0.0.0.255
(5)允许
(6)10.104.1.0/0.0.0.255
【问题3】
(7)10.101.1.0/24
(8)10.104.1.0/24
(9)10.107.1.2
(10)10.100.1.1
答题解析:
【试题分析】
【问题1】
本题是一道典型的配置类的试题。要充分阅读题干,掌握题干的中的主要要求。在本题中,要求补充防火墙数据规划表中的空缺项,实际上就是要根据表中给出的信息进行填空,这种表一般会抽象出来,独立于设备。我们解题时,可以充分利用上下文相互提示进行作答。第(1)根据上下文提示的填空内容可以知道,需要填写的dmz区域的地址10.106.1.0/24。第(2)的情况类似,也可以根据上下文来确定,是任意地址,根据前面的表示形式可以是-或者0.0.0.0/0。
【问题2】
本题根据题干“无线访客禁止访问业务服务器和员工有线网络”的说明,可以从表4中确定“访客无线业务Vlan“对应的 Vlan101不能访问业务服务器和员工有线网络对应的地址,而从表中可以看出10.100.1.0/24表示的是访客无线业务Vlan所在的网段,必须将这一部分的数据执行丢弃策略。因此第(3)就是10.101.1.0/24,第4空是10.103.1.0/0.0.0.255,对应员工有线网络。
而题干中“摄像头只能跟DMZ 区域服务器互访”,说明只能访问DMZ区的服务器,其地址是10.106.1.0/24.因此第(5)是“允许”,而到其他任何网段的全部丢弃,因此(6)还是10.104.1.0/0.0.0.255到any。
【问题3】
从拓扑图和表中关于接口地址分配可以看出,(7)对应的访客无线终端所在的网段的vlanif接口地址是10.101.1.1/24,因此可以知道其所在的网段是10.101.1.0/24,同理,摄像头的网络是10.104.1.0/24。SwitchA的默认路由对应的默认网关,就是防火墙的内网接口GE1/0/0接口地址。所以(9)是10.107.1.2 。同理(10)对应的接口地址是10.100.1.1。
查看完整试题>>>
