网络工程师案例分析当天每日一练试题地址：www.cnitpm.com/exam/ExamDayAL.aspx?t1=8

往期网络工程师每日一练试题汇总：www.cnitpm.com/class/27/e8_1.html

网络工程师案例分析每日一练试题（2023/3/27）在线测试：www.cnitpm.com/exam/ExamDayAL.aspx?t1=8&day=2023/3/27

点击查看：更多网络工程师习题与指导

网络工程师案例分析每日一练试题内容（2023/3/27）

阅读以下说明，回答问题1至问题2，将解答填入答题纸对应的解答栏内。
【说明】
某企业内部局域网拓扑如图2-1所示，局域网内分为办公区和服务器区。

图2-1中，办公区域的业务网段为10.1.1.0/24，服务器区网段为10.2.1.0/24服务网段的网关均在防火墙上，网关分别对应为10.1.1.254。10.2.1.254；防火墙作为DHCP服务器，为办公区终端自动下发IP地址，并通过NAT实现用户访问互联网。防火墙外网服务部IP地址为100.1.1.2/28，办公区用户出口IP地址池为100.1.1.10-100.1.1.15。
【问题1】(6分)

防火墙常用工作模式有透明模式、路由模式、混合模式，图2-1 中的出口防火墙工作于(1)模式：防火墙为办公区用户动态分配IP地址，需在防火墙完成开启(2)
功能：Server2为WEB服务器，服务端口为tcp 443，外网用户通过https://100.1.1.9:8443访问，在防火墙上需要配置(3)
(3)备选答案：
A.nat server policy _web protocol tcp global 100.1.1.9 8443 inside 10.2.1.2.443 unr-route
B.nat server policy _web protocol tcp global 10.2.1.2.8443 inside 100.1.1.9 443 unr-route
C.nat server policy _web protocol tcp global 100.1.1.9 443 inside 10.2.1.2.8443 unr-route
D.nat server policy _web protocol tcp global 10.2.1.2 inside 10.2.1.2 8443 unr-route
【问题2】(14分)
为了使局城网中1.1.0/24网段的用户可以正常访问intemet，需要在防火墙上完成NAT、安全策略等配置，请根据需求完善以下配置。
#将对应接口加入trust或者untrust区域。
[FW] firewall zone trust
[FW-zone-trust] add interface(4)
[FW-zone-trust] quit
[FW] firewall zone untrust
[FW-zone-untrust] add interface_(5)
[FW-zone-untrust]quit
#配置安全策略，允许局域网指定网段与Intemet进行报文交互。
[FW] security-poliey
[FW-policy security]rule name policyl
#将局域网作为源信任区域，将互联网作为非信任区域
[FW-policy-security-rule-policyl]souree-zone(6)
[FW-policy-seeurity-rule-policyl]destination-zone untrust
#指定局域网办公区域的用户访问互联网
[FW-policy-security-rule-policyl]source-address(7)
#指定安全策略为允许
[FW-policy-security-rule-policyl] action(8)
[FWpoliey-security-rule-policyl] quit
[FW-policy-seeurity] quit
置NAT地址池，配置时开启允许端口地址转换，实现公网地址复用。
[FW] nat address-group address groupl
[FW-address-group-addressgroupl] mode pat
[FWaddress-group-addressgroupl]section 0(9)
配置源NAT策略，实现局城网指定网段访问Intemet时自动进行源地址转换。
[FW] nat poliey
[FW-policy nat]rule name poliy_nat 1
#指定具体哪线区域为信任和非信任区域
[FW-policy-nat-rule policy_nat 1] source-zone trust
[PW-policy-nat-rule policy_nat 1] destination zone untrust
#指定局域网源IP地址
[FW-policy-nat-rule policy_nat 1] source-address 10.1.1.0 24
[FW-policy-nal-rule-policy_nat 1]action source-nat address-group (10)
[FW-policy-nat-rule-policy_natl 1]quit
[PW-policy-nat] quit

信管网试题答案与解析：www.cnitpm.com/st/4582217847.html

信管网考友试题答案分享：

信管网seversu：
1）路由 2）动态nat 3）a 4）g0/0/1 5）g0/0/3 6）trust 7）10.1.1.1/24 8）permit 9） 10）permit

信管网cnitpm506428368608：
路由模式，dhcp，c，ge 0/0/1，ge0/0/3，trust，10.1.1.0 24，permit，group1

信管网半笼烟雨半笼纱：
（1）路由模式 （2）dhcp （3）a （4）g 0/0/1 （5）g 0/0/3 （6）trust （7）10.1.1.0 24 （8）permit （9）enable （10）100.1.1.10 100.1.1.15

信管网cnitpm596940172301：
问题1： （1）混合模式 （2）dhcp （3）a 问题2： （4）ge0/0/1 （5）ge0/0/2 （6）trust （7）10.1.1.1 24 （8）allow （9）groupl （10）poliy_nat 1

信管网cnitpm612315147077：
问题1：（1）路由模式 （2）dhcp （3）a 问题2：（4）10.2.1.254 24 （5）10.1.1.254 24 （6）

信管网试题答案与解析：www.cnitpm.com/st/4582217847.html