網(wǎng)絡(luò)工程師案例分析當天每日一練試題地址：www.rydxd.com/exam/ExamDayAL.aspx?t1=8

往期網(wǎng)絡(luò)工程師每日一練試題匯總：www.rydxd.com/class/27/e8_1.html

網(wǎng)絡(luò)工程師案例分析每日一練試題（2025/8/31）在線測試：www.rydxd.com/exam/ExamDayAL.aspx?t1=8&day=2025/8/31

點擊查看：更多網(wǎng)絡(luò)工程師習(xí)題與指導(dǎo)

網(wǎng)絡(luò)工程師案例分析每日一練試題內(nèi)容（2025/8/31）

閱讀以下說明，回答問題1至問題4,將解答填入答題紙對應(yīng)的解答欄內(nèi)。
【說明】（20分）
某企業(yè)網(wǎng)絡(luò)拓撲如圖2-1所示，該企業(yè)通過兩個不同的運營商(ISP1和ISP2)接入Internet,內(nèi)網(wǎng)用戶通過NAT訪問Internet。公網(wǎng)用戶可通過不同的ISP訪問企業(yè)內(nèi)部的應(yīng)用。

【問題1】(6分)
為充分利用兩個運營商的帶寬，請?zhí)峁┲辽?種多出口鏈路負載策略。
【問題2】(6分)
內(nèi)網(wǎng)服務(wù)器Server需對外發(fā)布提供服務(wù)，互聯(lián)網(wǎng)用戶可通過ISP1、ISP2來訪問，Server的服務(wù)端口為TCP 9980。
請根據(jù)以上需求配置安全策略，允許來自互聯(lián)網(wǎng)的用戶訪問Server提供的服務(wù)。
[USG]security-policy
[USG-policy-security]rule name http
[USG-policy-security-rule-http]source-zone ISP1
[USG-policy-security-rule-http]source-zone ISP2
[USG-policy-security-rule-http]destination-zone trust
[USG-policy-security-rule-http]destination-address   (1)
[USG-policy-security-rule-http]service protocol    (2)  destination-port   (3)
[USG-policy-security-rule-http]action (4)
[USG-policy-security-rule-http]quit
【問題3】(4分)
經(jīng)過一段時間運行，經(jīng)常有互聯(lián)網(wǎng)用戶反映訪問Server的服務(wù)比較慢。經(jīng)過抓包分析發(fā)現(xiàn)部分應(yīng)用請求報文和服務(wù)器的回應(yīng)報文經(jīng)過的不是同一個ISP接口。請分析原因并提供解決方法。
【問題4】(4分)
企業(yè)網(wǎng)絡(luò)在運行了一段時間后，網(wǎng)絡(luò)管理員了一個現(xiàn)象：互聯(lián)網(wǎng)用戶通過公網(wǎng)地址可以正常訪問Server,內(nèi)網(wǎng)用戶也可以通過內(nèi)網(wǎng)地址正常訪問Server,但內(nèi)網(wǎng)用戶無法通過公網(wǎng)地址訪問Server,經(jīng)過排查，安全策略配置都正確。請分析造成該現(xiàn)象的原因并提供解決方案。
信管網(wǎng)試題答案與解析：www.rydxd.com/exam/ExamDayAL.aspx?t1=8&day=2025/8/31

信管網(wǎng)考友試題答案分享：

信管網(wǎng)cnit**************：
ipsec隧道技術(shù) vlink虛鏈路 vpn技術(shù) gre技術(shù) 10.10.0.0/15 tcp 9980 permit線路帶寬不夠 配置報文出入口一致，配置負載均衡沒有nat轉(zhuǎn)換 配置域內(nèi)nat，主機可以通過內(nèi)網(wǎng)訪問server。

信管網(wǎng)cnit**************：
1.基于源目地址的負載策略 2.基于mqc的負載 策略 3.基于策略路由的負載策略 4.基于源目mac地址的負載策略 5.基于 1.10.10.10.10 2.tcp 3.9980 4.permit 由于fw沒有配置相應(yīng)策略，導(dǎo)致請求報文到達fw時，去internet的流量可能走isp1或isp2，回應(yīng)報文也一樣。 解決方法:配置相應(yīng)策略當內(nèi)網(wǎng)的流量到達fw時，發(fā)現(xiàn)路由表里有服務(wù)器的路由，所以把源ip改為fw的地址直接轉(zhuǎn)發(fā)

信管網(wǎng)szn預(yù)*****：
nat策略負載分擔(dān) 基于鏈路優(yōu)先級負載均衡 基于流量的負載均衡策略 基于應(yīng)用的策略路由 基于目標ip地址的策略路由 基于源ip地址的策略路由 原因 由于出口負載均衡策略設(shè)置存在問題，導(dǎo)致用戶訪問服務(wù)器的流量存在跨運營商訪問，所以速度慢。方式打開usg防火墻源進源出功能 防火墻沒有配置內(nèi)網(wǎng)到內(nèi)網(wǎng)區(qū)域的源nat策略 增加配置內(nèi)網(wǎng)到內(nèi)網(wǎng)區(qū)域的源nat策略

信管網(wǎng)程大偉f******：
服務(wù)器走左側(cè)，終端走右側(cè)，互為備份，10.10.10.10 http 9980 permit兩條鏈路均可訪問服務(wù)器，會出現(xiàn)來回路徑不一致的情況，防火墻可通過會話保持，解決此問題內(nèi)網(wǎng)用戶通過公網(wǎng)地址訪問時相當于是自己的出網(wǎng)ip訪問自己的公網(wǎng)ip，ip一樣，如果增加目的nat，可能會解決此問題

信管網(wǎng)cnit**************：
基于源ip地址的策略路由 基于目的ip地址的策略路由 基于鏈路帶寬負載均衡 基于鏈路質(zhì)量負載均衡10.10.10.10 32 tcp 9980 permit 原因：出口負載均衡設(shè)置問題，訪問服務(wù)器流量存在跨運行商訪問 解決：設(shè)置運營商出口的源進源出功能nat問題，內(nèi)網(wǎng)用戶使用公網(wǎng)地址訪問時無法轉(zhuǎn)換成內(nèi)網(wǎng)ip，被pc丟棄 新建域內(nèi)源nat策略，源ip地址轉(zhuǎn)換為公網(wǎng)ip

信管網(wǎng)試題答案與解析：www.rydxd.com/exam/ExamDayAL.aspx?t1=8&day=2025/8/31