2022年5月軟考（中級）網(wǎng)絡工程師下午真題

2022年5月軟考（中級）網(wǎng)絡工程師下午真題(總分：100.00，做題時間：120分鐘)一、案例分析題(總題數(shù)：4，分數(shù)：60.00)1.圖為某公司的總部和分公司網(wǎng)絡拓撲，分公司和總部數(shù)據(jù)中心通過ISP1的網(wǎng)絡和ISP2的網(wǎng)絡互連。并且連接5G出口作為應急鏈路，分公司和總部數(shù)據(jù)中心交互的業(yè)務有語音、視頻、FTP

和HTTP

四種。要求通過配置策略路由實現(xiàn)分公司訪問業(yè)務分流。配置網(wǎng)絡質(zhì)量分析(NOA)與靜態(tài)路由聯(lián)動實現(xiàn)鏈路冗余。其中，語音和視頻以ISPI為主鏈路、ISP2為備份:FTP和HTTP以ISP2為主鏈路，ISP1為備份。

（分數(shù)：25.00）(1).通過在R1上配置策略路由、以實現(xiàn)分公司訪問總部的流量可根據(jù)業(yè)務類型分組到L1和L2兩條鏈路并形成主備關系，首先完成ACL相關配置。配置R1上的ACL來定義流:首先定義視頻業(yè)務流ACL2000:[R1]ac12000[R1-acl-basic-2000]rule1permitdestination(1)55[R1-acl-basic-2000]quit定義Web業(yè)務流ACL3000;[R1]acl3000[R1-acl-adv-3000]rule1permitdestinationanydestination-port(2)55[R1-acl-basic-3000]quit（分數(shù)：15.00）__________________________________________________________________________________________

正確答案：(（1）(2)eq80)解析：根據(jù)題干知道ACL2000用于定義視頻業(yè)務流，從圖中可知視頻服務器的地址為1，而acl中的反掩碼是55，因此確定第（1）空是。第（2）空對應的ACL3000定義的web業(yè)務流，而web業(yè)務流的目標端口是80，這里要注意，一定是eq80，也就是目標端口等于80的數(shù)據(jù)流。(2).完成R1策略路由剩余相關配置1:創(chuàng)建流分類，匹配相關ACL定義的流[R1]trafficclassifiervideo[R1-classifier-video]if-matchacl2000[R1-classifier-video]quit[R1]trafficclassifierweb[R1-classifier-web]if-matchacl3000[R1-classifier-web]quit2:創(chuàng)建流行為并配置重定向[R1]trafficbehaviorb1[R1-behavior-b1]redirectip-nexthop(3)[R1-behavior-b1]quit[R1]trafficbehaviorb2[R1-behavior-b2]redirectip-nexthop（4）[R1-behavior-b2]quit3:創(chuàng)建流策略，并在接口上應用[R1]trafficpolicyp1[R1-trafficpolicy-p1]classifiervideobehaviorb1[R1-trafficpolicy-p1]classifierwebbehavior(5)[R1-trafficpolicy-p1]quit[R1]interfaceGigabitEthernet0/0/0[R1-GigabitEthernet0/0/0]traffic-policy1(6)[R1-GigabitEthernet0/0/0]quit（分數(shù)：5.00）__________________________________________________________________________________________

正確答案：(（3）(4)(5)b2(6)inbound)解析：第（3）空結(jié)合上下文，從題干中可知這是acl2000對應的視頻數(shù)據(jù)，需要走isp1，從圖中可知要走isp1對應的下一跳地址是第（4）空同理，直接從圖中找到isp2對應的地址即可，也就是.第（5）空根據(jù)配置的上下文可以指導，針對web流量的流行為是b2.第（6）空，結(jié)合圖中的R1G0/0/0接口，明顯是inbound方向。(3).在總部網(wǎng)絡，通過配置靜態(tài)路由與NQA聯(lián)動，實現(xiàn)R2對主鏈路的ICMP監(jiān)控，如果發(fā)現(xiàn)主鏈路斷開，自動切換到備份鏈路。在R2上完成如下配置:1:開啟NQA，配置ICMP類型的NQA測試例，檢測R2到ISP1和ISP2網(wǎng)關的鏈路連通狀態(tài)ISP1鏈路探測:[R2]nqatest-instanceadminisp1//配置名為adminisp1的NQA測試例……其他配置省略ISP2鏈路探測:[R2]nqatest-instanceadminisp2[R2-nqa-admin-isp2]test-typeicmp[R2-nqa-admin-isp2]destination-addressipv4(7)//配置NQA測試目的地址[R2-nqa-admin-isp2]frequency10//配置NQA兩次測試之間間隔10秒[R2-nqa-admin-isp2]probe-count2//配置NQA測試探針數(shù)目為2[R2-nqa-admin-isp2]startnow2:配置靜態(tài)路由[R2]iproute-static(8)tracknqaadminisp1[R2]iproute-statictracknqaadminisp2[R2]iproute-staticpreference100tracknqaadminisp2[R2]iproute-static(9)preference110tracknqaadminisp1[R2]iproute-static(10)preference120（分數(shù)：5.00）__________________________________________________________________________________________

正確答案：((7)(8)(9)(10))解析：第（7）空，根據(jù)配置后面的解釋“//配置NQA測試目的地址”知道這是設置NQA的目標地址，結(jié)合圖中的信息，可知這個地址是指向第（8）空,這是設置一條到這個網(wǎng)絡的靜態(tài)路由的網(wǎng)關地址，顯然結(jié)合圖中的地址信息和上下文配置，可知這個地址是.第（9）空，結(jié)合上下文可知地址似乎.第（10）空根據(jù)上下和題干要求，使用5G網(wǎng)絡作為應急備份，因此這是優(yōu)先級值為120的是備用，對應的接口地址是.2.某分支機構(gòu)網(wǎng)絡拓撲圖如1-1所示，該網(wǎng)絡通過BGP

接收總部網(wǎng)絡路由，設備1與設備2作為該網(wǎng)絡的網(wǎng)關設備，且運行VRRP(虛擬網(wǎng)絡冗余協(xié)議)，與出口設備運行OSPF。

該網(wǎng)絡規(guī)劃兩個網(wǎng)段10.11.229,0/24

和/24，其中網(wǎng)段只能訪問總部網(wǎng)絡。網(wǎng)段只能訪問互聯(lián)網(wǎng)。

（分數(shù)：26.25）(1).分支機構(gòu)有營銷部、市場部、生產(chǎn)部、人事部四個部門，每個部門需要訪問互聯(lián)網(wǎng)主機數(shù)量如表所示，現(xiàn)計劃對網(wǎng)段/24進行子網(wǎng)劃分，為以上四個部分規(guī)劃IP地址，請補充表中的空(1)-(4)。（分數(shù)：15.00）__________________________________________________________________________________________

正確答案：(（1）（2）92(3)24(4)40)解析：對網(wǎng)段/24進行子網(wǎng)劃分，分為四個部分，每個部分的范圍如下：網(wǎng)段1：~27掩碼28網(wǎng)段2：28~91掩碼92網(wǎng)段3：92~23，但是這一段還需要分為兩個16個地址的網(wǎng)段，分別是92~07掩碼40和08~23掩碼40這兩個段都可以有16個地址，其中人事部可以從中選一個即可，題目中選的是08~23掩碼40。網(wǎng)段4：24~55掩碼24，與網(wǎng)段3都是對應32個地址，這里分配給生產(chǎn)部了。注意：如果按照題目中表格的順序依次分配，也就是生產(chǎn)部使用網(wǎng)段3，那么人事部所給出的地址就已經(jīng)被包含在生產(chǎn)部了，地址沖突，所以這里故意給出來一個顛倒過來的順序。(2).在該網(wǎng)絡中為避免環(huán)路，應該在交換機上配置（5)，生成BGP路由有network與import兩種方式，以下描述正確的是（6）(7)(8)?？眨?）-(8）備選答案:A.Network方式逐條精確匹配路由B.Network方式優(yōu)先級高C.Import方式按協(xié)議類型引入路由D.Import方式逐條精確匹配路由E.Network方式按協(xié)議類型引入路由F.Import方式優(yōu)先級高（分數(shù)：3.75）__________________________________________________________________________________________

正確答案：(（5）STP或者生成樹協(xié)議（6）~（8)ABC)解析：生成BGP路由的方式有兩種，第一種是network，第二種是work命令是逐條將IP路由表中已經(jīng)存在的路由引入到BGP路由表中2.import是根據(jù)運行的路由協(xié)議將路由引入到BGP路由表中，同時import可以引入直連和靜態(tài)路由。network宣告的路由屬于內(nèi)部路由，import引入的路由屬于外部路由，優(yōu)先級完全不一樣，比如華為設備內(nèi)部路由優(yōu)先級為10，外部路由優(yōu)先級為150。(3).若設備1處于活動狀態(tài)（Master)，設備2的狀態(tài)在哪條鏈路出現(xiàn)故障時會發(fā)生改變?請說明狀態(tài)改變的原因。（分數(shù)：3.75）__________________________________________________________________________________________

正確答案：(當linke故障時設備2的狀態(tài)會變化。因為根據(jù)VRRP協(xié)議的特性，一旦設備2檢測不到主設備的狀態(tài)，在一個檢查超時時間內(nèi)自動轉(zhuǎn)換為master。試題分析：虛擬路由冗余協(xié)議（VirtualRouterRedundancyProtocol，VRRP）解決局域網(wǎng)中配置靜態(tài)網(wǎng)關出現(xiàn)單點失效現(xiàn)象的路由協(xié)議，可以配置一個設備群集。VRRP允許兩臺或多臺路由器使用同一個虛擬的MAC地址和IP地址，看起來多臺設備就像是一臺設備，其實這臺設備并不存在，只是多臺互為備份的設備。運行VRRP的一組路由器對外組成了一個虛擬路由器，其中一臺路由器處于Master狀態(tài)，其他的處于Backup狀態(tài)。當由于某種原因主設備發(fā)生故障時，其中的一臺備份設備能迅速變?yōu)橹骺卦O備，由于此切換非常塊，且不用改變IP地址和MAC地址，因此VRRP的這種設備切換對終端用戶是透明的。本題中，設備1處于活動狀態(tài)，設備1和設備2通過linke相互檢測對端狀態(tài)，一旦linke故障，設備2檢測不到設備1的狀態(tài)，因此發(fā)送狀態(tài)變化。)解析：(4).如果路由器與總部網(wǎng)絡的線路中斷，在保證數(shù)據(jù)安全的前提下，分支機構(gòu)可以在客戶端采用什么方式訪問總部網(wǎng)絡？在防火墻上采用什么方式訪問總部網(wǎng)絡?（分數(shù)：3.75）__________________________________________________________________________________________

正確答案：(客戶端可以遠程訪問的形式（如PPTPvpn，SSL-vpn等），防火墻適合采用站點到站點的形式如（IPsec-vpn，mpls-vpn）)解析：IPSecVPN應用場景分為站點到站點、端到端、端到站點三種模式。1）站點到站點（Site-to-Site）。站點到站點又稱為網(wǎng)關到網(wǎng)關，多個異地機構(gòu)利用運營商網(wǎng)絡建立IPSec隧道，將各自的內(nèi)部網(wǎng)絡聯(lián)系起來。2）端到端（End-to-End），也稱為遠程訪問。端到端又稱為PC到PC，即兩個PC之間的通信由IPSec完成。通常通過遠程訪問的形式，簡歷臨時的連接進行。如通過PPTPvpn，SSL-vpn等建立臨時連接3）端到站點（End-to-Site）。端到站點，兩個PC之間的通信由網(wǎng)關和異地PC之間的IPSec會話完成。3.閱讀以下說明，回答問題【說明】如圖，為某公司的網(wǎng)絡拓撲圖。

（分數(shù)：26.25）(1).（分數(shù)：15.00）__________________________________________________________________________________________

正確答案：(（1）C（2）~(3)FG)解析：從表中可以看到攻擊類型為ackflood，是一種典型的洪水攻擊，這種攻擊屬于DOS或者DDOs攻擊，從選項來看，只有C滿足條件。類似的洪水攻擊都屬于拒絕服務類。因此選項F、G都屬于拒絕服務攻擊這一類。(2).某日,10層區(qū)域用戶反映，上網(wǎng)時斷時續(xù)，網(wǎng)絡管理員李工經(jīng)過現(xiàn)場勘查，發(fā)現(xiàn)該用戶通過DHCP獲取到/24網(wǎng)段的地址，而公司該樓層分配的地址段為/24，經(jīng)判斷該網(wǎng)絡有用戶私接路由器，于是李工在樓層的接入交換機上開啟交換機(4）功能后，用戶上網(wǎng)正常，同事開啟（5）功能后，可防止公司內(nèi)部電腦感染病毒，偽造MAC地址攻擊網(wǎng)關?？?4）-(5）備選答案:A.ARPdetectionB.DHCPC.DHCPRelayD.DHCPSnooping為加強終端接入管理，李工對接入交換機配置限制每個端口只能學習1個終端設備的MAC地址，具體如下:interfaceGigabitEthernet0/0/1port-security(6)port-security-mac-nummac-number(7)（分數(shù)：3.75）__________________________________________________________________________________________

正確答案：((4)D(5)A(6)enable(7)1)解析：根據(jù)題干“經(jīng)判斷該網(wǎng)絡有用戶私接路由器”和“發(fā)現(xiàn)該用戶通過DHCP獲取到/24網(wǎng)段的地址，而公司該樓層分配的地址段為/24”可以斷定，是因為用戶私接的路由器分配了非法地址導致網(wǎng)絡不正常，解決私接DHCP服務器的基本方法是啟用DHCPSnooping功能，避免非法DHCP服務器。第（5）空，根據(jù)題干“可防止公司內(nèi)部電腦感染病毒，偽造MAC地址攻擊網(wǎng)關?！憋@然是要解決ARP攻擊行為，因此需要開啟ARPdetection功能。第（6）空是命令配置，要開始端口安全功能，當然是enbale，這個命令在華為的很多協(xié)議中開啟使用都是enable。第（7）空，根據(jù)題干“接入交換機配置限制每個端口只能學習1個終端設備的MAC地址”可以知道交換機的端口macnumber是1.(3).隨著業(yè)務發(fā)展，公司需對存儲系統(tǒng)升級，當前需要存儲的數(shù)據(jù)主要為數(shù)據(jù)庫、ERP、圖片、視頻、文檔等。其中，數(shù)據(jù)庫、ERP采用SSD硬盤存儲。使用RAID5冗余技術(shù)。該用于技術(shù)通過(8）方式來實現(xiàn)數(shù)據(jù)冗余保護，每個RAID組至少應配備（9）塊硬盤。（分數(shù)：3.75）__________________________________________________________________________________________

正確答案：((8)校驗(9)3)解析：raid5具有獨立的數(shù)據(jù)磁盤和分布校驗塊的磁盤陣列，無專門的校驗盤。RAID5常用于I/O較頻繁的事務處理上。RAID5可以為系統(tǒng)提供數(shù)據(jù)安全保障，雖然可靠性比RAID1低，但是磁盤空間利用率要比RAID1高。RAID5具有和RAID0近似的數(shù)據(jù)讀取速度，只是多了一個奇偶校驗信息，寫入數(shù)據(jù)的速度比對單個磁盤進行寫入操作的速度稍慢。磁盤利用率=(n-1)/n，其中n為RAID5中的磁盤總數(shù)。實現(xiàn)RAID5至少需要3塊硬盤。(4).要求存儲系統(tǒng)在不中斷業(yè)務的基礎上，快速獲得一個LUN在某個時刻的完成數(shù)據(jù)拷貝進行業(yè)務分析，可以使用（10）功能實現(xiàn)。空(10）備選答案;A.快照B.鏡像C.遠程復制D.LUN拷貝（分數(shù)：3.75）__________________________________________________________________________________________

正確答案：(（10）A)解析：快照是通過軟件對要備份的磁盤子系統(tǒng)的數(shù)據(jù)快速掃描，建立一個要備份數(shù)據(jù)的快照邏輯單元號LUN和快照cache。在快速掃描時，把備份過程中即將要修改的數(shù)據(jù)塊同時快速拷貝到快照cache中?？煺誏UN是一組指針，它指向快照cache和磁盤子系統(tǒng)中不變的數(shù)據(jù)塊（在備份過程中）。在正常業(yè)務進行的同時，利用快照LUN實現(xiàn)對原數(shù)據(jù)的一個完全的備份。4.某公司兩個機構(gòu)之間的通信示意圖如下圖，為保證通信的可靠性，在正常情況下，R1通過GE1/0/1接口與RB通信，GE1/0/2和GE1/0/3接口作為備份接口，當接口故障或者帶寬不足時，快速切換到備份接口，由備份接口來承擔業(yè)務流量或者負載分擔。

（分數(shù)：22.50）(1).評價系統(tǒng)可靠性通常采用MTBF(MeanTimeBetweenFailures，平均故障間隔時間)和MTR(MeanTimetoRepair，平均修復時間）這兩個技術(shù)指標。其中MTBF是指系統(tǒng)無故障運行的平均時間，通常以(1)為單位。MTBF越(2)，可靠性也就越高，在實際的網(wǎng)絡中，故障難以避免，保證可靠性的技術(shù)從兩個方面實現(xiàn)，故障檢測技術(shù)和鏈路冗余，其中常見的關鍵鏈路冗余有接口備份、(3)、(4)和雙機熱備份技術(shù)。評價系統(tǒng)可靠性通常采用MTBF(MeanTimeBetweenFailures，平均故障間隔時間)和MTR(MeanTimetoRepair，平均修復時間）這兩個技術(shù)指標。其中MTBF是指系統(tǒng)無故障運行的平均時間，通常以(1)為單位。MTBF越(2)，可靠性也就越高，在實際的網(wǎng)絡中，故障難以避免，保證可靠性的技術(shù)從兩個方面實現(xiàn)，故障檢測技術(shù)和鏈路冗余，其中常見的關鍵鏈路冗余有接口備份、(3)、(4)和雙機熱備份技術(shù)。（分數(shù)：15.00）__________________________________________________________________________________________

正確答案：(（1）小時（2）大（3）接口