软考网络工程师案例分析

2019年11月下午网络工程师案例分析-考试真题参考答案及解析试题一（共20分）【说明】某组网拓扑如图 1-1 所示，网络接口规划如表 1-1 所示，vlan 规划如表 1-2 所示，网络部分需求如下：1.交换机 SwitchA，作为有线终端的网关，同时作为 DHCP Server，为无线终端和有线终端分配 IP 地址，同时配置 ACL 控制不同用户的访问权限，控制摄像头（camera 区域）只能跟 DMZ 区域服务器互访，无线访客禁止访问业务服务器区和员工有线网络。

2.各接入交换机的接口加入VLAN，流量进行二层转发。

3.出口防火墙上配置NAT 功能，用于公网和私网地址转换：配置安全策略，控制Internet 的访问，例如摄像头流量无需访问外网，但可以和DMZ 区域的服务器互访：配置NATServer 使DMZ 区的 WEB 服务器开放给公网访问。

问题：1.1 （4 分）补充防火墙数据规划表 1-3 内容中的空缺项。

补防火墙区域说明：防火墙 GE1/0/2 接口连接 dmz 区，防火墙 GE1/0/1 接口连接非安全区域，防火墙 GE1/0/0 接口连接安全区域：srcip 表示 内网区域。

问题：1.2 补充 SwichA 数据规划表 1-4 内容中的空缺项。

问题：1.3 补充路由规划表 1-5 内容中的空缺项。

【参考答案】1、10.106.1.0/242、any 或-或 0.0.0.0/03、10.101.1.0/0.0.0.2554、10.103.1.0/0.0.0.2555、允许6、10.104.1.0/0.0.0.2557、10.101.1.0 255.255.255.08、10.104.1.1 255.255255.09、10.107.1.210、10.100.1.1试题二（共20分）【说明】某公司计划在会议室部署无线网络，供内部员工和外来访客访问互联网使用，图 2-1 为拓扑图片段。

2022下半年（下午）《网络工程师》案例分析真题2022下半年（下午）《网络工程师》案例分析真题问答题（共4题，共4分）1.某校园宿舍WLAN网络拓扑结构如图1-1所示，数据规划如表1-1内容所示。

该网络采用敏捷分布式组网在每个宿舍部署一个AP，AP 连接到中心AP，所有AP和中心AP统一由AC进行集中管理，为每个宿舍提供高质量的WLAN网络覆盖。

【问题1】（10分）补充命令片段的配置。

1.Router 的配置文件[Huawei] sysname Router[Router] vlan batch(1)[Router] interface gigabitethernet 1/0/0[Router GigabitEthernet 1/0/0] port link-type trunk[Router GigabitEthernet 1/0/0] port trunk allow-pass vlan 101 [Router GigabitEthernet 1/0/0] quit[Router] interface vlanif 101[Router-Vlanifl01]ip address (2)[Router-Vlanifl01]quit2.AC的配置文件#配置AC和其他网络设备互通[HUAWEI]sysname (3)[AC] vlan batch 100 101[AC] interface gigabitethernet 0/0/1[AC-GigabitEthernet0/0/1] port link -type trunk[AC-GigabitEthernet0/0/1] port trunk pvid vlan 100[AC-GigabitEthernet0/0/1] port trunk allow-pass vlan 100 [AC-GigabitEthernet0/0/1] port-isolate(4) //实现端口隔离[AC-GigabitEthernet0/0/1] quit[AC] interface gigabitethernet 0/0/2[AC-GigabitEthernet0/0/2] port link-type trunk[AC-GigabitEthernet0/0/2] port trunk allow-pass vlan 101 [AC-GigabitEthernet0/0/2] quit#配置中心AP和AP上线[AC] wlan[AC-wlan-view] ap-group name ap-groupl[AC-wlan-ap-group-ap-group1] quit[AC-wlan-view] regulatory-domain-profile name default [AC-wlan-regulate-domain-default] country-code (5) [AC-wlan-regulate domain-default] quit[AC-wlan-view]ap-group name ap-group1[AC-wlan-ap-group-ap-group1] regulatory-domain-profile(6) Warning: Modifying the country code will clear channel, power and antenna gain configOf the config send reset the AP Continue?[Y/N]:y[AC-wlan-ap-group-ap-group1]quit[AC-wlan-view]quit[AC]capwap source interface(7)[AC] wlan[AC-wlan-view] ap auth mode mac-auth[AC-wlan-view] ap-id 0 ap-mac 68a8-2845-62fd//中心AP的MAC地址[AC-wlan-ap-0] ap-name central APWarning: This operation may cause AP reset Continue?[Y/N]:y[AC-wlan-ap-0] ap-group ap-group1Warning: This operation may cause AP reset.If the country code changes,it will clear channel,power and antenna gain configuration s of the radio,Whether to continue?[Y/N]:y[AC- wlan-ap-0] quit其他相同配置略去#配置WLAN业务参数[AC-wlan-view] security-profile name wlan-net[AC-wlan-sec-prof-wlan-net] security wpa-wpa2 psk pass-phrase(8) aes[AC-wlan-sec-prof-wlan-net] quit[AC-wlan-view] ssid-profile name wlan-net[AC-wlan-ssid-prof-wlan-net] ssid(9)[AC-wlan-ssid-prof-wlan-net] quit[AC-wlan-view] vap-profile name wlan-net[AC-wlan-vap-prof-wlan-net] forward-mode tunnel[AC-wlan-vap-prof-wlan-net] service-vlan vlan-id(10)[AC-wlan-vap-prof-wlan-net] security-profile wlan-net[AC-wlan-vap-prof-wlan-net] ssid-profile wlan-net[AC-wlan-vap-prof-wlan-net] quit[AC-wlan-view] ap-group name ap-group1[AC-wlan-ap-group-ap-groupl] vap-profile wlan-net wlan 1 radio 0[AC-wlan-ap-group-ap-group1] vap-profile wlan-net wlan 1 radio 1 [AC-wlan-ap-group-ap-group1] quit【问题2】（6分）上述网络配置命令中，AP的认证方式是（11）方式，通过配置（12）配置。

网络工程师的网络故障排除和修复案例分析1. 案例一：路由器故障在一家大型企业的网络中，突然出现了网络连通性问题。

经过初步排查，发现问题主要出现在网络的核心设备——路由器上。

该路由器负责连接各个子网，并提供互联网连接。

在进行网络故障排除前，网络工程师首先检查了路由器的接口状态，发现其中一个接口显示为down状态。

工程师尝试重新启动该接口，但问题并没有解决。

随后，工程师决定进一步深入排查。

通过日志分析，发现路由器出现了高负载和异常错误信息。

工程师怀疑路由器的配置可能存在问题，因此检查了路由器的配置文件。

最终，工程师发现一个错误的路由策略导致了路由器的故障。

为了解决问题，工程师重新配置了路由器，并重新启动了接口。

随后，网络恢复正常，用户的网络连通性得到了恢复。

2. 案例二：交换机故障在一家中小型企业的网络中，部分用户反馈无法访问内部服务器。

经过初步排查，网络工程师发现用户所在的子网无法与服务器所在的子网进行通信。

工程师尝试ping服务器IP地址，发现无法ping通。

工程师进一步检查了交换机的端口状态，并发现用户所在的交换机端口出现了异常。

怀疑是交换机端口故障导致的网络问题，工程师在网络拓扑图上找到了一个备用交换机，并将受影响的用户连接到备用交换机上。

然而，问题并没有解决。

工程师意识到问题可能出在交换机的链路上。

通过检查链路连接状态，工程师发现一根链路线路断开了。

工程师修复了链路，并重新配置了相关端口。

最终，用户恢复了对服务器的访问。

3. 案例三：防火墙配置错误在一家金融机构的网络中，发生了一次重大的网络安全事件。

网络工程师接手了这个案例，试图找出并修复网络安全漏洞。

经过详细调查，工程师发现防火墙的配置存在问题。

防火墙是保护企业网络的第一道安全防线，它负责过滤和检查网络流量。

通过审查防火墙的配置文件，工程师发现了一些不正确的规则和过时的访问控制列表（ACL）。

这些配置问题导致了网络安全漏洞，使得恶意攻击者能够绕过防火墙并访问内部网络。

2015年上半年5月下午网络工程师考试试题-案例分析-答案与解析试题一（共20分）阅读以下说明，回答问题1至问题5，将解答填入答题纸对应的解答栏内。

【说明】某企业网络拓扑图如图1-1所示。

工程师给出了该网络的需求：1．用防火墙实现内外网地址转换和访问控制策略；2．核心交换机承担数据转发，并且与汇聚层两台交换机实现OSPF功能；3．接入层到汇聚层采用双链路方式组网；4．接入层交换机对地址进行VLAN划分；5．对企业的核心资源加强安全防护。

【问题1】（4分）该企业计划在①、②或③的位置部署基于网络的入侵检测系统(NIDS)，将NIDS部署在①的优势是（1）；将NIDS部署在②的优势是（2）、（3）；将NIDS部署在③的优势是（4）。

（1）～（4）备选答案：A.检测外部网络攻击的数量和类型B.监视针对DMZ中系统的攻击C.监视针对关键系统、服务和资源的攻击D. 能减轻拒绝服务攻击的影响【参考答案】（1）、C（2）、A（3）、D【答案解析】本题考查网络规划以及组网的相关基础知识。

包括入侵检测系统部署的技术规范，企业组网中路由协议的选用、线路聚合、生成树协议等相关知识。

入侵检测系统（IDS)可以基于主机部署也可以基于网络进行部署，将IDS部署在网络中不同的位置区域可以达到对网络中异常行为和攻击的识别，对特定网络区域的资源进行保护。

例如，将IDS部署在网络出口常用于监测外部网络攻击的数量和类型。

【问题2】（4分）OSPF主要用于大型、异构的IP网络中，是对（5）路由的一种实现。

若网络规模较小，可以考虑配置静态路由或（6）协议实现路由选择。

（5）备选答案：A．链路状态B．距离矢量C．路径矢量（6）备选答案：A．EGPB．RIPC．BGP【参考答案】（5）A（6）B【答案解析】路由器提供了异构网互联的机制，实现将一个网络的数据包发送到另一个网络。

而路由就是指导IP数据包发送的路径信息。

路由协议就是在路由指导IP数据包发送过程中事先约定好的规定和标准。

2025年软件资格考试网络规划设计师(综合知识、案例分析、论文)合卷(高级)自测试卷(答案在后面)一、综合知识（客观选择题，75题，每题1分，共75分）1、在OSI七层模型中，哪一层负责提供逻辑地址并处理数据包的转发？1、在OSI七层模型中，网络层负责提供逻辑地址并处理数据包的转发。

网络层的主要功能是路由选择，它决定数据包从源地址到目的地址之间如何选择路径。

此外，网络层还负责数据包的分段与重组、拥塞控制等任务。

2、哪种路由协议使用跳数作为其度量值，并且存在环路问题？2、RIP（Routing Information Protocol，路由信息协议）使用跳数作为其度量值，并且存在环路问题。

RIP是一种距离矢量路由协议，它通过计算到达目的地的跳数来确定最佳路径。

但是，由于其更新机制和度量值限制（最大跳数为15），容易导致路由环路的问题。

3、以下关于OSI七层模型中传输层功能的描述，正确的是（）A、负责数据帧的传输，保证数据的无差错传输B、负责数据包的路由选择，确保数据包从源到目的地的正确传输C、负责将数据从网络层传递到应用层，实现端到端的数据传输D、负责数据链路的建立、维护和拆除，提供可靠的连接服务4、在TCP/IP协议族中，负责将数据从源主机传输到目的主机的协议是（）A、IP协议B、ICMP协议C、UDP协议D、TCP协议5、在OSI七层模型中，负责处理端到端的差错控制和流量控制问题的是哪一层？A. 物理层B. 数据链路层C. 网络层D. 传输层E. 会话层F. 表示层G. 应用层6、以下哪种路由协议使用带宽作为度量标准来选择最佳路径？A. 距离矢量路由协议（如RIP）B. 链路状态路由协议（如OSPF）C. 内部网关路由协议（如IGRP）D. 边界网关协议（如BGP）7、在OSI七层模型中，以下哪一层负责处理端到端的通信？A、物理层B、数据链路层C、网络层D、传输层8、以下哪种技术可以实现虚拟局域网（VLAN）的划分？A、IP地址B、MAC地址C、VLAN IDD、子网掩码9、在OSI七层模型中，负责提供流量控制、错误检测以及可能的纠正措施，确保数据可靠传输的层次是什么？A. 物理层B. 数据链路层C. 网络层D. 传输层11、在TCP/IP协议族中，负责将数据从源主机传输到目的主机的协议是：A. IP协议B. TCP协议C. UDP协议D. ICMP协议13、在进行网络设计时，以下哪一项不是影响网络性能的关键因素？A. 网络带宽B. 传输介质C. 网络拓扑结构D. 网络操作系统版本15、题干：在OSI七层模型中，传输层负责实现 ______ 。

2023年上半年网络工程师案例分析真题（试题三）试题三（20分）阅读以下说明，回答问题1至问题3,将解答填入答题纸对应的解答栏内。

图3-1为某公司网络骨干路由拓扑片段(分部网络略),公司总部与分部之间运行BGP获得路由，路由器RA、RB、RC以及RD之间配置iBGP建立邻居关系，RC和RD之间配置OSPF 进程。

所有路由器接口地址信息如图所示，假设各路由器已经完成各个接口IP等基本信息配置。

图3-1【问题1】(2分)按图3-1所示配置完成BGP和OSPF路由相互引入后，可能会出现路由环路，请分析产生路由环路的原因。

【问题2】(10分)要求：配置BGP和OSPF基本功能(以RA和RB为例),并启用RC和RD之间的认证，以提升安全性。

补全下列命令完成RA和RB之间的BGP配置：# RA启用BGP,配置与RB的IBGP对等体关系[RA]bgp 100[RA-bgp]router-id 10.11.0.1[RA-bgp]peer 10.12.0.2 as-number(1)[RA-bgp]ipv4-family unicast[RA-bgp-af-ipv4]peer(2)enable[RA-bgp]quit#RB启用BGP,配置与RA、RC和RD的IBGP对等体关系。

[RB]bgp 100[RB-bgp]router-id 10.22.0.2[RB-bgp]peer(3)as-number 100 #配置与RA的对等关系……#其它配置省略#配置RC和RD的OSPF功能(以RC为例),并启用OSPF认证[RC]ospf 1 router-id 10.33.0.3[RC-ospf-1] area 0[RC-ospf-1-area-0.0.0.0]network(4)#发布财务专网给RD,其它省略[RC-ospf-1-area-0.0.0.0]authentication-modesimple ruankao[RC-ospf-1]quit(5)OSPF认证方式有哪些?上述命令中配置RC的为哪种?(6)如果将命令authentication-mode simple ruankao替换为authentication--mode simple plain ruankao,则两者之间有何差异?【问题3】(8分)要求：配置BGP和OSPF之间的相互路由引入并满足相应的策略，配置路由环路检测功能。

2020年下半年软件水平考试（高级）网络规划设计师下午（案例分析）真题试卷试题一：阅读以下说明，回答问题1至问题4，将解答填入答题纸对应的解答栏内。

【说明】某居民小区FTTB+HGW网络拓扑如图1-1所示。

GPON OLT部署在汇聚机房，通过聚合方式接入到城域网；ONU部署在居民楼楼道交接箱里，通过用户家中部署的LAN上行的HGW来提供业务接入接口。

HGW通过ETH接口上行至ONU设备，下行通过FE／WiFi接口为用户提供Internet业务，通过FE接口为用户提供IPTV业务。

HGW提供PPPoE 拨号、NAT等功能，可以实现家庭内部多台PC共享上网。

1.1）对网络进行QOS规划时，划分了语音业务、管理业务、IPTV业务、上网业务，其中优先级最高的是____(1)____，优先级最低是____(2)____。

2）通常情况下，一路语音业务所需的带宽应达到或接近___(3)_____kb／s，一路高清IPTV所需的带宽应达到或接近___(4)_____Mb／s。

(3)(4)的备选答案：A．100 B．10 C．1000 D．50 3．简述上网业务数据规划的原则。

2.小区用户上网业务需要配置的内容包括0LT、ONU、家庭网关HGW，其中：1）在家庭网关HGW上配置的有____(5)____和____(6)____。

2）在ONU上配置的有____（7）____、___（8）_____、___（9）_____和___（10）_____。

3．在OLT上配置的有____（11）____、___（12）_____、___（13）_____和___（14）_____。

(5)～(14)的备选答案： A．配置语音业务 B．配置上网业务 C．配置IPTV业务 D．配置聚合、拥塞控制及安全策略 E．增加ONU F．配置OLT和ONU之间的业务通道 G．配置OLT和ONU之间的管理通道3.某OLT上的配置命令如下所示。

4.在该网络中，用户的语音业务(电话)的上联设备是ONU，采用H.248语音协议，通过运营的___（18）_____接口和语音业务通道接入网络侧的___（19）_____。

24年下软考网络工程师真题及答案一、选择题（共40题，每题1分，满分40分）1. 在OSI模型中，哪一层负责数据加密和压缩？A. 传输层B. 网络层C. 应用层D. 链路层答案：C2. 以下哪种网络设备用于连接局域网和广域网？A. 路由器B. 交换机C. 集线器D. 网桥答案：A3. 在TCP/IP协议中，IP协议属于哪一层？A. 网络层B. 传输层C. 应用层D. 链路层答案：A（以下为部分真题，仅供参考）二、填空题（共20题，每题2分，满分40分）1. 在网络通信过程中，TCP协议提供的是______服务。

答案：可靠的数据传输2. 在网络地址转换（NAT）中，将内部网络地址转换为外部网络地址的过程称为______。

答案：地址映射3. 在OSPF协议中，用于描述网络拓扑结构的信息称为______。

答案：链路状态广告（LSA）三、简答题（共5题，每题10分，满分50分）1. 简述TCP协议的三次握手和四次挥手过程。

答案：三次握手过程：（1）客户端发送一个带有SYN标志的TCP报文，请求与服务器建立连接。

（2）服务器接收到SYN报文后，发送一个带有SYN和ACK标志的TCP报文作为响应。

（3）客户端收到服务器的响应后，发送一个带有ACK标志的TCP报文，完成三次握手。

四次挥手过程：（1）客户端发送一个带有FIN标志的TCP报文，请求断开连接。

（2）服务器收到FIN报文后，发送一个带有ACK标志的TCP报文作为响应。

（3）服务器发送一个带有FIN标志的TCP报文，请求断开连接。

（4）客户端收到服务器的FIN报文后，发送一个带有ACK标志的TCP报文，完成四次挥手。

2. 简述OSPF协议的工作原理。

答案：OSPF协议工作原理：（1）OSPF协议通过路由器之间的交换链路状态广告（LSA）来建立网络的拓扑结构。

（2）每个路由器根据收到的LSA计算最短路径树，生成路由表。

（3）当网络发生变化时，路由器会立即生成新的LSA，并通过洪泛机制传播给其他路由器。

2023年上半年网络工程师案例分析真题（试题二）试题二（20分）阅读以下说明，回答问题1至问题4,将解答填入答题纸对应的解答栏内。

【说明】某企业网络拓扑如图2-1所示，该企业通过两个不同的运营商(ISP1和ISP2)接入Internet,内网用户通过NAT访问Internet。

公网用户可通过不同的ISP访问企业内部的应用。

图2-1【问题1】(6分)为充分利用两个运营商的带宽，请提供至少4种多出口链路负载策略。

【问题2】(6分)内网服务器Server需对外发布提供服务，互联网用户可通过ISP1、ISP2来访问，Server 的服务端口为TCP 9980。

请根据以上需求配置安全策略，允许来自互联网的用户访问Server提供的服务。

[USG]security-policy[USG-policy-security]rule name http[USG-policy-security-rule-http]source-zone ISP1[USG-policy-security-rule-http]source-zone ISP2[USG-policy-security-rule-http]destination-zone trust[USG-policy-security-rule-http]destination-address (1)[USG-policy-security-rule-http]service protocol (2) destination-port (3)[USG-policy-security-rule-http]action (4)[USG-policy-security-rule-http]quit【问题3】(4分)经过一段时间运行，经常有互联网用户反映访问Server的服务比较慢。

经过抓包分析发现部分应用请求报文和服务器的回应报文经过的不是同一个ISP接口。

请分析原因并提供解决方法。

软考网络工程师试题一、简答题1. 请解释什么是OSI七层模型，并列举出每层的作用。

2. 描述一下TCP/IP协议族，并介绍其中几个重要的协议。

3. 什么是网络拓扑结构？请列举几种常见和常用的网络拓扑结构，并分别进行简单的描述。

4. 简要描述一下网络攻击的类型和常见的防御措施。

5. 请解释什么是子网掩码，并举例说明其作用。

二、案例分析题1. 某公司部署了一套局域网，包含三个子网，分别是销售部门、技术部门和行政部门。

每个子网内部的主机可以互相通信，但是不同子网的主机之间无法直接通信。

为了实现不同子网间的通信，你会采取什么样的解决方案？2. 一家中小企业需要搭建一套服务器集群系统，以提供高性能的服务。

请根据该企业的需求，设计一个适合的服务器集群方案，并解释为什么选择这种方案。

3. 某公司的内部网络遭受DDoS攻击，导致网络瘫痪。

作为网络工程师，你应该如何应对这种攻击，并在之后采取怎样的预防措施来保护网络安全？三、综合题某企业计划在全国各地建立办事处，并需要将各个办事处的网络连接起来，实现信息共享和协同办公。

请根据该企业的需求，设计一个可行的广域网方案，并具体介绍该方案的实施步骤。

四、论述题网络工程师在企业中扮演着重要的角色。

请论述网络工程师在企业网络建设中的作用，并阐述网络工程师需要具备的技能和素质。

五、综合应用题某银行拟开设一个新的支行，你作为网络工程师负责新支行的网络规划与建设。

请具体描述你将如何规划和建设该支行的网络架构，包括硬件设备的选型、拓扑结构的设计、安全策略的制定等。

六、分析题随着物联网的快速发展，各类设备和传感器互联互通，形成了大规模的物联网网络。

请分析物联网网络面临的安全挑战，并提出相应的解决方案。

以上是软考网络工程师试题的相关内容，希望对您有所帮助。

如有任何问题或需要进一步的解答，请随时提问。

2019年5月上半年下午网络工程师考试试题案例分析-答案与解析试题一（共20分）【说明】某企业分支与总部组网方案如图1-1所示，企业分支网络规划如表1-1内容所示。

企业分支与总部组网说明:1.企业分支采用双链路接入Internet,其中ADSL有线链路作为企业分支的主Internet接口;3G/LTECellular无线链路作为企业分支的备用Internet接口。

2.指定Router1作为企业出口网关，由Router1为企业内网用户分配IP地址。

3.在Router1.上配置缺省路由，使企业分支内网的流量可以通过xDSL和3G/LTE Cellular无线链路访问Internet。

4.企业分支与总部之间的3G/LTECellular无线链路采用加密传输。

问题1 (每空2分，共4分)依据组网方案，为企业分支Router1配置互联网接口板卡，应该在是(1)和(2)单板中选择配置。

(1) ~ (2)备选答案示只1、A.xDSLB.以太WANC.3G/LTED.E3/T3【参考答案】1、A；2、C【问题2】(每空2分，共6分)在Router1 .上配置DHCP服务的命令片段如下所示，请将相关内容补充完整。

【参考答案】【问题3】【参考答案】【参考答案】（12）、A （13）、加密和认证盘1故障后，磁盘( 3 )故障不会造成数据丢失，磁盘( 4 )故障将会造成数据丢失。

图2-3所示的RAID方式是(5)，当磁盘1故障后，至少再有(6)块磁盘故障，就会造成数据丢失。

【参考答案】1、RAID102、RAID13、2或34、05、RAID56、1问题2 (每空1.5分，共6分)图2-2所示的RAID方式的磁盘利用率是(7)%，图2-3所示的RAID方式的磁盘利用率是(8) %。

根据上述两种RAID组合方式的特性，结合业务需求，图( 9 )所示RAID适合存储安全要求高、小数量读写的关系型数据库，图( 10分所示RAID适合存储空间利用率要求高、大文件存储的非结构化文档。

2016年上半年下午网络工程师考试试题-案例分析-答案与解析试题一（共20分）阅读以下说明，回答问题1至问题4，将解答填入答题纸对应的解答栏内。

【说明】某企业网络拓扑如图1-1所示，A~E是网络设备的编号。

【问题1】（每空1分，共4分）根据图1-1，将设备清单表1-1所示内容补充完整。

【参考答案】（1）B（2）A（3）C（4）D【问题2】（每空2分，共4分）以下是AR2220的部分配置。

[AR2220]acl 2000[AR2220-acl-2000]rule normal permit source 192.168.0.0 0.0.255.255[AR2220-acl-2000]rule normal deny source any[AR2220-acl-2000]quit[AR2220]interface Ethernet0[AR2220-Ethernet0]ip address 192.168.0.1 255.255.255.0[AR2220-Ethernet0]quit[AR2220]interface Ethernet1[AR2220-Ethernet1]ip address 59.41.221.100 255.255.255.0[AR2220-Ethernet1]nat outbound 2000 interface[AR2220-Ethernet1]quit[AR2220]ip route-static 0.0.0.0 0.0.0.0 59.74.221.254设备AR2220应用（5）接口实现NAT功能，该接口地址网关是（6）。

【参考答案】（5）Ethernet 1（6）59.74.221.254【问题3】（每空2分，共6分）若只允许内网发起ftp、http连接,并且拒绝来自站点2.2.2.11的Java Applets报文。

在USG3000设备中有如下配置，请补充完整。

[USG3000]acl number 3000[USG3000-acl-adv-3000] rule permit tcp destination-port eq www[USG3000-acl-adv-3000] rule permit tcp destination-port eq ftp[USG3000-acl-adv-3000] rule permit tcp destination-port eq ftp-data[USG3000]acl number 2010[USG3000-acl-basic-2010] rule（）source 2.2.2.11.0.0.0.0[USG3000-acl-basic-2010] rule permit source any[USG3000]（） interzone trust untrust[USG3000-interzone-tust-untrust] packet-filter 3000 （）[USG3000-interzone-tust-untrust] detect ftp[USG3000-interzone-tust-untrust] detect http[USG3000-interzone-tust-untrust] detect java-blocking 2010（7）~（9）备选答案：A．FirewallB．trustC．denyE．outboundF．inbound【参考答案】（7）C（8）A（9）E【问题4】（每空2分，共6分）PC-1、PC-2、PC-3、网络设置如表1-2。