网络工程师2016年5月下午卷试题解析网络工程师2016年5月下午卷试题解析.pdfVIP

软酷网官网 ： 网络工程师2016年5月下午卷试题解析 ——试题二 题干 【试题二】 某学校的网络拓扑结构图如图2-1所示。 图2-1 问题 【问题1】 常用的 IP 访问控制列表有两种，它们是编号为 (1) 和 1300~1399 的标准访问 控制列表和编为 (2) 和 2000~2699 的扩展访问控制列表、其中，标准访问控制 列表是根据 IP 报文的 (3) 来对 IP 报文进行过滤，扩展访问控制列表是根据 IP 报文的 (4) 、 (5) 、上层协议和时间等来对 IP 报文进行过滤。一般地， 标准访问控制列表放置在靠近 (6) 的位置，扩展访问控制列表放置在靠近 (7) 的位置。 【问题2】 为保障安全，使用ACL对网络中的访问进行控制。访问控制的要求如下： (1) 家属区不能访问财务服务器，但可以访问互联网； (2) 学生宿舍区不能访问财务服务器，且在每天晚上18:00～24:00禁止访问互 软酷网官网 ： 联网； (3) 办公区可以访问财务服务器和互联网； (4) 教学区禁止访问财务服务器，且每天8:00～18:00禁止访问互联网。 1、使用ACL对财务服务器进行访问控制，请将下面配置1补充完整。 2、使用ACL对Internt进行访问控制，请将下面配置2补充完整。 配置1 R1(config)#access-list 1 (8) (9) 55 R1(config)#access-list 1 deny 55 R1(config)#access-list 1 deny 55 R1(config)#access-list 1 deny (10) 55 Rl(config)#interface (11) R1(config-if)#ip access-group 1 (12) 配置2 Route-Switch(config)#time-range jxq ∥定义教学区时间范围 Route-Switch(config-time-range)#periodic daily (13) Route-Switch(config)#time-range xsssq ／／定义学生宿舍区时间范 围 Route-Switch(config-time-range)#periodic (14) 18:00 to 24:00 Route-Switch(config-time-range)#exit Route-Switch(config)#access-list100permitip 55any Route-Switch(config)#access-list100permitip 55any Route-Switch(config)#access-list 100 deny ip (15) 55 time-range jxq Route-Switch(corffig)#access-list 100 deny ip (16) 55 time-range xsssq Route-Switch(config)#interface (17) Route-Switch(config-if)#ip access-group 100 out 【问题3】 网络在运行过程中发现，家属区网络经常受到学生宿舍区网络的DDoS攻击，现 对家属区网络和学生宿舍区网络之间的流量进行过滤，要求家属区网络可访问学 生宿舍区网络，但学生宿舍区网络禁止访问家属区网络。 采用自反访问列表实现访问控制，请解释配置代码。 Route-Switch(config)#ip access-list extended infilter Route-Switch(config-ext-nacl)#permit ip any 55 reflect jsq // (18) Route-Switch(config-ext-nacl)#exit Route-Switch(config)#ip access-list extended outfilter Route-Switch(config-ex