网络工程师案例分析当天每日一练试题地址：www.cnitpm.com/exam/ExamDayAL.aspx?t1=8

往期网络工程师每日一练试题汇总：www.cnitpm.com/class/27/e8_1.html

网络工程师案例分析每日一练试题（2024/7/30）在线测试：www.cnitpm.com/exam/ExamDayAL.aspx?t1=8&day=2024/7/30

点击查看：更多网络工程师习题与指导

网络工程师案例分析每日一练试题内容（2024/7/30）

阅读以下说明，回答问题1至问题4,将解答填入答题纸对应的解答栏内。
【说明】
某企业网络拓扑如图2-1所示，该企业通过两个不同的运营商(ISP1和ISP2)接入Internet,内网用户通过NAT访问Internet。公网用户可通过不同的ISP访问企业内部的应用。

【问题1】(6分)
为充分利用两个运营商的带宽，请提供至少4种多出口链路负载策略。
【问题2】(6分)
内网服务器Server需对外发布提供服务，互联网用户可通过ISP1、ISP2来访问，Server的服务端口为TCP 9980。
请根据以上需求配置安全策略，允许来自互联网的用户访问Server提供的服务。
[USG]security-policy
[USG-policy-security]rule name http
[USG-policy-security-rule-http]source-zone ISP1
[USG-policy-security-rule-http]source-zone ISP2
[USG-policy-security-rule-http]destination-zone trust
[USG-policy-security-rule-http]destination-address   (1)
[USG-policy-security-rule-http]service protocol    (2)  destination-port   (3)
[USG-policy-security-rule-http]action (4)
[USG-policy-security-rule-http]quit
【问题3】(4分)
经过一段时间运行，经常有互联网用户反映访问Server的服务比较慢。经过抓包分析发现部分应用请求报文和服务器的回应报文经过的不是同一个ISP接口。请分析原因并提供解决方法。
【问题4】(4分)
企业网络在运行了一段时间后，网络管理员了一个现象：互联网用户通过公网地址可以正常访问Server,内网用户也可以通过内网地址正常访问Server,但内网用户无法通过公网地址访问Server,经过排查，安全策略配置都正确。请分析造成该现象的原因并提供解决方案。
信管网试题答案与解析：www.cnitpm.com/exam/ExamDayAL.aspx?t1=8&day=2024/7/30

信管网考友试题答案分享：

信管网cnitpm702037264953：
1.运营商1走1，运营商2走210.10.10.10/24 tcp，9980 perimt1.不是有对应运营商出口进行访问，返回流量为对应接口返回 2.设置相应对应运营商走对应出口进行访问出口流量经出口转换后，再次回转访问本身地址，造成源目的混乱，导致路由无法回转

信管网cnitpm562200320661：
1.基于源地址 2.基于目的地址 3.基于策略 4.基于mac 5.基于协议10.10.10.10 http 9980 permit 没有在防火墙上开启源进源出功能。在防火墙上开启源进源出功能。没有配置内网nat 配置内网nat

信管网cnitpm726986609381：
10.10.10.10 10.11.11.11 http 9980 permit 未指定来回路径一致 指定源进源出vpn部署错误 部署新的vpn

信管网cnitpm706642349378：
基于原ip的链路负载策略 基于目的ip的链路负载策略 10.10.10.10 tcp 9980 permit 因为内网服务器对外提供的服务是通过两个不同的运营商进来的，但在防火墙上面所做的安全策略的源区域为两个不同的运营商 解决方法可以把安全策略的两个源区域分别写成两条不同源区域，但相同目的区域的安全策略

信管网serina：
基于vlan, 基于mac, 基于端口，基于协议类型.10.10.10.10 http 9980 permit因nat存在，经过地址转换后路径选择发生变化。 规定流量两个方向需要通过同一接口。无公网地址向内网的映射 在防火墙配置相关映射

信管网试题答案与解析：www.cnitpm.com/exam/ExamDayAL.aspx?t1=8&day=2024/7/30