试题一
阅读以下说明，回答问题1至问题4，将解答填入答题纸对应的解答栏内。
【说明】
某企业组网方案如图11所示，网络接口规划如表11所示。公司内部员工和外部访客均可通
过无线网络访问企业网络，内部员工无线网络的
SSID为Employee访客无线网络的
SSID为Visitor。
SwitchISwitch
SSID1
VWBr
VLAN
防火墙AP控制器
Switchi
Switch2Switch3
接口编号
GE1Z00GE101GE001GEOO1GEOD2
GEO03GE004GE005GEOa6GEOO1GE002GEOU1GE002
所JSVLAN一
10
99
10
101102100103，104
100100100
100103104
100103104
Emplo
rH
iPilbM
2001112419216S9925424VLANIF10192168101724VT_ANIF1QL921681025424VLANIF9919Z16899124VLANIFL00：192168100124VTANIF101192168101124VIANIFl02192168102124VLANIFl0319216S103124VLANIR104：19216S104124
1

【问题1】（6分）
防火墙上配置NAT功能，用于公私网地址转换。同时配置安全策略，将内网终端用户所
在区域划分为Trust区域，外网划分为U
trust区域，保护企业内网免受外部网络攻击。补充防火墙
数据规划表12内容中的空缺项。
安全策略
圆安全域
egress
trust
Localu
trust
u
tmstLocalNAT略（转换
前）
Localu
trust
trust
目的安全域
u
trust
u
trustLocalu
trust
表1源地址区域19216S100024192168101024192168103024192168104024
11u
trust
srcip
目的地址区土或
20011232
C21
⑶
f注：Local表示防火墙本地区域：srcip表示源ip。
【问题2】（4分）
在点到点的环境下，配置IPSecVPN隧道需要明确（4）和（5）
【问题3】（6分）
在Switchl上配置ACL禁止访客访问内部网络，将
Switchl数据规划表13内容中的
空缺项补充完整。
项目
ACL
VLAN
（6）
源IP
目的工P
1921631000000255192168101000025S1921531020Q0Q2551921681030000255
动作（8）
【问题4】（4分）AP控制器上部署WLAN业务，采用直接转发，AP跨三层上线。认证方式：无线用户通过预共
享密钥方式接入。在Switch1上GEOO2连接AP控制器，该接口类型配置为（9）模式所在
VLAN＞（10）。
试题二（共20分）阅读下列说明，回答问题1至问题4，将解答填入答题纸的对应栏内。
【说明】图21是某企业网络拓扑，网络区域分为办公区域、服务器区域和数据区域，线上商城
系统为公司提供产品在线销售服务。公司网络保障部负责员工办公电脑和线上商城的技术支持和保障工作。
【问题1】（6分）
圈2d
f某天，公司有一台电脑感染“勒索”病毒，网络管理员应采取（施。
1）、（2）、（3r