（建筑工程管理）网络工程师下午试题—路由器+交换机等配置技术.docxVIP

（建筑工程管理）网络工程

师下午试题—路由器+交换

机等配置技术

综合练习一、阅读说明，回答问题1、问题2、问题3，将解答填入答题纸的对应栏内。[说明]某单位要与其下所属四个县局单位实现连网，具体设计如下：

1、设计要求

（1、）县局B终端用户包括：20个普通用户，县局C终端用包括：40个普通用户，县局D终端用户包括：20个普通用户，县局E终端用户包括：18个普通用户，市局A终端用户包括90个普通用。

（2、）每个县局都有4个特殊用户，市局有10个特殊用户。

（3、）服务器提供Web、DNS、E-mail服务。（所有服务器都其中在市局网络中心）

（4、）支持远程培训，可以接入互联网，具有广域网访问的安全机制和网络管理功能。

（5、）各县局与市局之间的距离都大于100公里。

（6、）每个县局与市局都分布一个网段（县局B：,县局C：,县局D：,县局E：市局A：）

(7、)县局与市局通过光纤连接。

说明：所谓普通用户就是只能用于生产（只能县与县，县与市局连网，不能连internet）,不能上internet网，而特殊用户既可以生产也可上internet网。

2、可选设备：

设备名称

数量

特性

交换机switch1

6台

具有两个100Base—TX端口和24个10Base—TX端口

交换机switch2

2台

具有两个100Base—TX端口和48个10Base—TX端口

路由器Router1

1台

提供了对内的10/100M局域多接口，对外的128K的ISDN或专线连接，同时具有防火墙功能。

路由器Router2

4台

提供了对内的10/100M局域网接口，同/异步串口模块或ISDN模块

问题1、请为该单位设计网络方案（画出其网络拓扑结构图）

问题2、怎么实现普通用户只能用作生产用，而特殊用户既可以生产用，也可以上网？

问题3、如果该单位用于生产的数据很重要，其安全性要求很高，而对外的internet与其连在一起对其安全造成很大威胁，在允许增加可选设备的条件下，你怎样处理？为什么那样

处理？

路由器Router交换机

路由器Router

交换机switch1

B

A交换机

A

交换机switch2交换

路由器R

机

机switch2

路由器Router2itch换机switch1D2路由器Router2交换机swh1交换机switch1CInternet

路由器Router2

itch换机switch1

D

2

路由器Router2

交换机sw

h1

交换机switch

1

C

路由器Router2

交换机switc

E

2、我们所选用的为A（市局）所选用的路由器为Router1(提供了对内的10/100M局域多接

口，对外的128K的ISDN或专线连接，同时具有防火墙功能)。我们利用该路由器所具有的防火墙功能将内网和外网隔离开来，将需要上网的ip地址用访问列表加以控制。

3、可以利用网络技术“非军事区结构模式”（DMZ）。在重要的数据服务器之前再增加一道防火墙。在这个防火墙方案中，包括两个防火墙，外部防火墙抵挡外部网络的攻击，并管理所有内部网络对DMZ的访问。内部防火墙管理DMZ对于内部网络的访问。内部防火墙是内部网络的第三道安全防线(前面有了外部防火墙和堡垒主机)，当外部防火墙失效的时候，它还可以起到保护内部网络的功能。而局域网内部，对于Internet的访问由内部防火墙和位于DMZ的堡垒主机控制。在这样的结构里，一个黑客必须通过三个独立的区域(外部防火墙、内部防火墙和堡垒主机)才能够到达局域网。攻击难度大大加强，相应内部网络的安全性也就大大加强，但投资成本也是最高的。

综合练习二、

阅读以下说明，回答问题1、问题2。

[说明：]VPN是通过公用网络internet将分布在不同地点的终端联接在成的专用网络。目前大多采用IPSec实现IP网络上端点间的认证和加密服务。（见下图一）

VPN的基本配置

公司总部网络子网为192.168.1.0/24路由器为

公司分部服务器为192.168.10.0/24

路由器为执行下列步骤：

1．确定一个预先共享的密钥（保密密码）（保密密码假设为ccidedu）

2．为SA协商过程配置IKE。

3．配置IPSec

Shelby(config)