2022年11月軟考（中級）網(wǎng)絡(luò)工程師下午真題

2022年11月軟考（中級）網(wǎng)絡(luò)工程師下午真題(總分：60.00，做題時(shí)間：120分鐘)一、問答題(總題數(shù)：4，分?jǐn)?shù)：60.00)1.某倉儲企業(yè)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖1-1所示，該企業(yè)占地500畝。有五層辦公樓1棟，大型倉庫10棟。每棟倉庫內(nèi)、外部配置視頻監(jiān)控16臺，共計(jì)安裝視頻監(jiān)控160臺，SwitchA、服務(wù)器、防火墻、管理機(jī)、RouterA等設(shè)備部署在企業(yè)辦公樓一層的數(shù)據(jù)機(jī)房中，SwitchB部署在辦公樓一層配線間作為一層的接入設(shè)備，SwitchC和SwitchD分別部署在倉庫1和倉庫2，各倉庫的交換機(jī)與SwitchA相連。辦公樓的其他樓層的交換機(jī)以及其他倉庫的交換機(jī)的網(wǎng)絡(luò)接入方式與圖1-1中SwitchB、SwitehC、SwitehD接入方式相同，不再單獨(dú)在圖1-1上標(biāo)示。圖1-1【問題1】該企業(yè)辦公網(wǎng)絡(luò)采用172.16.1.0/24地址段，部門終端數(shù)量如表1-1所示，請將網(wǎng)絡(luò)地址規(guī)劃補(bǔ)充完整。表1-1【問題2】倉庫到辦公樓的布線系統(tǒng)屬于什么子系統(tǒng)?應(yīng)采用什么傳輸介質(zhì)?該線纜與交換機(jī)連接需要用到哪些部件?！締栴}3】若接入的IPC采用1080P的圖像傳輸質(zhì)量傳輸數(shù)據(jù)，SwitchC、SwitchA選用百兆交換機(jī)是否滿足帶寬要求，請說明理由?！締栴}4】(1)在位置A增加一臺交換機(jī)SwitchE做接入層到核心層的鏈路冗余，請以SwitchC為例簡述接入層與核心層的配置變化。(2)簡要說明在RouterA與RouterB之間建立IPSecVPN隧道的配置要點(diǎn)。

（分?jǐn)?shù)：15.00）__________________________________________________________________________________________

正確答案：(無)解析：問題1(1)255.255.255.224

(2)172.16.1.65~172.16.1.126(3)172.16.1.33-172.16.1.62

(4)255.255.255.128問題2建筑群子系統(tǒng)或園區(qū)子系統(tǒng)，采用單模光纖，光模塊或SFP問題3SwtichC能滿足，SwitchA不能滿足。一臺監(jiān)控設(shè)備1080P的視頻傳輸數(shù)據(jù)量在6Mb/s左右，SwtichC下聯(lián)16臺監(jiān)控設(shè)備，所以SwitchC承載的數(shù)據(jù)量是16*6=96Mb/s，100Mb/s能滿足要求，而SwtichA下聯(lián)160臺，視頻流量遠(yuǎn)超過100Mb/s，所以SwitchA是作為核心，不能滿足要求。問題4(1)SwitchC上聯(lián)SwitchE，與現(xiàn)有的鏈路形成環(huán)路，采用STP或MSTP組建以A為根的生成樹。(2)1.為IPSec做準(zhǔn)備。首先配置各接口的IP地址和到對端的靜態(tài)路由，保證RouterA與RouterB路由可達(dá)。2.分別在RouterA與RouterB上配置ACL，定義各自要保護(hù)的數(shù)據(jù)流。3.分別在RouterA與RouterB上創(chuàng)建IPSec安全提議，定義IPSec的保護(hù)方法，包括IPSec使用的安全協(xié)議，認(rèn)證/加密算法及數(shù)據(jù)封裝模式。4.分別在RouterA與RouterB上配置IKE對等體，配置預(yù)共享密鑰和對端ID。5.分別在RouterA與RouterB上創(chuàng)建安全策略。6.分別在RouterA與RouterB上在接口上應(yīng)用各自的安全策略組，使接口具有IPSec的保護(hù)功能。2.圖2-1為某大學(xué)校園網(wǎng)絡(luò)拓?fù)鋱D。圖2-1【問題1】根據(jù)網(wǎng)絡(luò)安全的需要，無線校園網(wǎng)要求全網(wǎng)認(rèn)證接入，其中臺式電腦、筆記本、手機(jī)等智能終端，從兼容性角度考慮應(yīng)優(yōu)先選用(1)認(rèn)證方式;打印機(jī)、門禁等非智能終端應(yīng)該選用(2)認(rèn)證方式。圖2-1中，數(shù)據(jù)業(yè)務(wù)流量通過AC與AP建立的隧道進(jìn)行轉(zhuǎn)發(fā)時(shí)，該轉(zhuǎn)發(fā)模式為(1)不經(jīng)過AC轉(zhuǎn)發(fā)，由AP經(jīng)接入交換機(jī)到核心交換機(jī)傳輸至上層網(wǎng)絡(luò)時(shí)，該轉(zhuǎn)發(fā)模式為(4)。學(xué)校的新一代無線網(wǎng)絡(luò)采用Wifi6技術(shù)，要求兼容仍工作在2.4G的老舊終端，Wifi6AP的部署密度較大，為減少無線AP在2.4G模式下信道之間的干擾，信道之間至少應(yīng)間隔(5)個(gè)信道。無線網(wǎng)絡(luò)實(shí)施后，校園網(wǎng)絡(luò)在線用戶數(shù)大幅增長。原樓宇匯聚為千兆上聯(lián)，高峰時(shí)期上行鏈路負(fù)載已經(jīng)100%，經(jīng)常有丟包現(xiàn)象，在不更換設(shè)備的前提下，可以通過(6)解決。【問題2】網(wǎng)絡(luò)管理員某天在防火墻上發(fā)現(xiàn)了大量圖2-2所示的日志，由此可判斷校園網(wǎng)站遭受到了什么攻擊請給出至少三種應(yīng)對指施。圖2-2【問題3】(1)校園網(wǎng)采用大二層組網(wǎng)結(jié)構(gòu)，信息中心計(jì)劃對核心交換機(jī)采用堆疊技術(shù)，請簡述堆疊技術(shù)的優(yōu)點(diǎn)和缺點(diǎn)。(2)網(wǎng)絡(luò)試運(yùn)行一段時(shí)間后，在二層網(wǎng)絡(luò)中發(fā)現(xiàn)了大量的廣播報(bào)文，影響網(wǎng)絡(luò)的性能。網(wǎng)絡(luò)管理員在接入層交換機(jī)做了如下配置問題得以解決∶[SW]interfacegigabitethernet0/0/3[SW-GigabitEthernet0/0/3]broadcast-suppression80[SW-GigabitEthernet0/0/3]guit請簡述以上配置的功能。

（分?jǐn)?shù)：15.00）__________________________________________________________________________________________

正確答案：(無)解析：問題1(1)Portal認(rèn)證

(2)MAC認(rèn)證

(3)CAPWAP隧道(4)直接轉(zhuǎn)發(fā)方式或Soft-GRE轉(zhuǎn)發(fā)

(5)5

(6)增加鏈路并配置鏈路聚合問題2(1)遭受了DDoS攻擊(2)措施∶配置最小特權(quán)訪問策略；啟用防火墻的防DDoS功能；部署IPS防護(hù)；購買流量清洗服務(wù)；關(guān)閉不必要的服務(wù)端口。問題3

(1)堆疊技術(shù)的優(yōu)點(diǎn)：1.增加網(wǎng)絡(luò)端口，提高端口密度，擴(kuò)充網(wǎng)絡(luò)帶寬。2.簡化了本地管理，將一組交換機(jī)作為一個(gè)對象來管理。堆疊技術(shù)的缺點(diǎn)：1.堆疊是一種非標(biāo)準(zhǔn)化的技術(shù)，同一組堆疊交換機(jī)必須是同一品牌；2.堆疊不支持即插即用，物理連接完畢后，還要對交換機(jī)進(jìn)行相應(yīng)的設(shè)置，才能正常運(yùn)行。(2)broadcast-suppression命令用來配置接口下允許通過的最大廣播報(bào)文流量。缺省情況下，不對廣播流量進(jìn)行限制。上述配置功能是當(dāng)最大廣播報(bào)文流量占端口傳輸能力的80%時(shí)，系統(tǒng)將丟棄超出限制的報(bào)文，保證網(wǎng)絡(luò)中業(yè)務(wù)流量的正常轉(zhuǎn)發(fā)。3.圖3-1為某公司網(wǎng)絡(luò)拓?fù)淦?，公司總部路由器之間運(yùn)行OSPF協(xié)議生成路由，分公司路由器運(yùn)行RIP協(xié)議生成路由。分公司技術(shù)部門和外包部門通過路由器R1接入，分公司網(wǎng)絡(luò)與公司總部網(wǎng)絡(luò)通過路由器R2互聯(lián)。公司總部通過路由器R3接入。所有網(wǎng)段網(wǎng)絡(luò)地址信息如圖所示，假設(shè)各路由器已經(jīng)完成各個(gè)接口P等基本信息配置?！締栴}1】從算法原理、適用范圍、功能特性三個(gè)方面簡述RIP和OSPF的區(qū)別。【問題2】要求∶分公司路由器R1和R2之間運(yùn)行RIP協(xié)議生成路由，路由器R1將直連路由導(dǎo)入RIP，通過配置直連路由引入策略，過濾外包部門網(wǎng)段，使外包部門網(wǎng)段不能訪問公司總部。補(bǔ)全下列命令，填寫空(1)～(3)處的內(nèi)容，完成R1過濾外包部門所要求的相關(guān)配置。#定義一個(gè)acl2000，用于匹配需要放行和阻斷的路由[R1]acl2000[R1-acl-basic-2000]ruledenysource(1)0。[R1l-acl-basic-2000]rulepermit[R1-acl-basic-2000lquit[R1]route-policyuiprppermitnode10[R1-route-policy](2)acl2000[R1-route-policy]quit[R1]rip[R1-rip-1]version2[R1-rip-1]network192.168.12.0[R1-rip-1]import-route(3)route-policytiprip-rp在R2上導(dǎo)入R1的直連路由條目后，RIP路由條目如下所示，請簡要說明10.0.0.0/8這條路由條目是如何產(chǎn)生的，將解答填入空(4)處。[R2]rip1[R2-rip-1]version2[R2-rip-1]network192.168.12.0[R2]displayiprouting-tableprotocolripDestination/MaskProtoPreCostFlagsNextHopInterface10.0.0/8RIP1001D192.168.12.1GigabitEthemet1/0/1在R2執(zhí)行undosummary命令后，請寫出當(dāng)前的RIP路由條目，將解答填入的空(5)處。路由條目示例如下所示∶Destination/MaskProtoPreCostFlagsNextHopInterface1.1.1.1/24RIP1001D2.2.1GigabitEthernet1/0/1【問題3】要求∶通過配置R3的OSPF路由發(fā)布策略，僅發(fā)布生產(chǎn)網(wǎng)段和辦公網(wǎng)段，不發(fā)布財(cái)務(wù)專網(wǎng)，以防止公司總部其它網(wǎng)段或分公司對財(cái)務(wù)專網(wǎng)的訪問。[R3]ipip-prefix3to2index10permit10.1.0.024[R3]upip-prefix3to2index20permit(6)24#配置發(fā)布策略，引用地址前綴列表3to2進(jìn)行過濾[R3]ospf[R3-ospf-1]area0[R3-ospf-1-area-0.0.0.0]network192.168.23.00.0.0.255[R3-ospf-1]filter-policyip-prefix_(7)exportstatic#將RIP路由導(dǎo)入公司總部[R2]ospf[R2-ospf-1]area0[R2-ospf-1-area-0.0.0.0]network192.168.23.00.0.255[R2-ospf-1](8)rip#將OSPF路由導(dǎo)入分公司[R2]rip[R2-rip-llimport-routeospf1

（分?jǐn)?shù)：15.00）__________________________________________________________________________________________

正確答案：(無)解析：問題1問題2(1)10.3.0.0//定義acl(2)if-match//匹配acl2000(3)direct//將匹配rip_rp策略的直連路由導(dǎo)入RIP(4)沒有關(guān)閉RIP的自動匯總功能，RIP協(xié)議將會自動匯總路由網(wǎng)段(5)10.2.0.0/29RIP1001D192.168.12.1Gigabitethernet1/0/110.2.0.8/29RIP1001D192.168.12.1Gigabitethernet1/0/110.2.0.16/29RIP1001D192.168.12.1Gigabitethernet1/0/110.2.0.32/29RIP1001D192.168.12.1Gigabitethernet1/0/1問題3(6)10.5.0.0//定義辦公網(wǎng)段的前綴列表(7)3to2//引用前綴列表(8)import-route//導(dǎo)入RIP路由4.某公司網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)示意圖如圖4-1所示?！締栴}1】STP(SpanningTreeProtocol)協(xié)議用來發(fā)現(xiàn)和消除網(wǎng)絡(luò)中的環(huán)路。運(yùn)行該協(xié)議的設(shè)備通過相互之間發(fā)送(1)報(bào)文，在交換網(wǎng)絡(luò)中選舉根橋，通過依次比較該報(bào)文中包含的各自的(2)、MAC地址信息，來確定根橋，優(yōu)先級值越(3)，優(yōu)先級越高，MAC地址亦然，交換機(jī)默認(rèn)的優(yōu)先級值為(4)。RSTP(RapidSpanningTreeProtocol)在STP基礎(chǔ)上進(jìn)行了改進(jìn)，實(shí)現(xiàn)了網(wǎng)絡(luò)拓?fù)?5)。但他們均是通過阻塞某個(gè)端口來實(shí)現(xiàn)環(huán)路消除的，存在浪費(fèi)帶寬的缺點(diǎn)，MSTP在STP和RSTP的基礎(chǔ)上進(jìn)行了改進(jìn)，既可以快速收斂，又提供了數(shù)據(jù)轉(zhuǎn)發(fā)的多個(gè)冗余路徑，在數(shù)據(jù)轉(zhuǎn)發(fā)過程中實(shí)現(xiàn)VLAN數(shù)據(jù)的(6)?！締栴}2】管理員計(jì)劃為交換機(jī)配置VRRP，以提高網(wǎng)絡(luò)的可靠性。通過調(diào)整優(yōu)先級使SwitchA作為Master設(shè)備承擔(dān)流量轉(zhuǎn)發(fā)，同時(shí)為了防止震蕩，設(shè)置20s搶占延時(shí)SwitchB為默認(rèn)優(yōu)先級，作為Bakup設(shè)備，實(shí)現(xiàn)網(wǎng)關(guān)冗余備份。接口IP地址配置如表4-1所示。請將下面的配置代碼補(bǔ)充完整。配置SwitchA接口轉(zhuǎn)發(fā)方式、IP地址和VRRP(7)[HUAWEI](8)SwitchA[SwitchAlvlan(9)100200[SwitchAlinterfacegigabitethernet0/0/1[SwitchA-GigabitEtheret0/0/1]portlink-type(10)[SwitchA-GigabitEthernet0/0/1]porthybrid(11)vlan200[SwitchAGigabitEtherpet0/0/1]porthybriduntaggedvlan200[SwitchA-GigabitEthernet0/0/1]guit.....................[SwitchA]interfacevlanif100[SwitchA-Vlanif100]ipaddress10.1.1.124[SwitchA-Vlanif100]quit[SwitchA]interfacevlanif200[SwitchA-Vlanif200]ipaddress(12)24[SwitchA-Vlanif2