2022年下半年网络工程师下午案例分析真题答案完整版.docx

2022年下半年网络工程师下午案例分析真题答案完整版试题一（共20分）阅读以下说明，回答问题1至问题4,将解答填入答题纸对应的解答栏内。【说明】某仓储企业网络拓扑结构如图1-1所示，该企业占地500亩。有五层办公楼1栋，大型仓库10栋。每栋仓库内、外部配置视频监控16台,共计安装视频监控160台,SWitChA、服务器、防火墙、管理机、RouterA等设备部署在企业办公楼一层的数据机房中,SwitchB部署在办公楼一层配线间作为一层的接入设备，SwitchC和SwitchD分别部署在仓库1和仓库2,各仓库的交换机与SwitchA相连。办公楼的其他楼层的交换机以及其他仓库的交换机的网络接入方式与图1-1中SwitchB、SwitehCxSwitehD接入方式相同，不再单独在图1-1上标图1-1【问题1】（4分）该企业办公网络采用172.16.1.0/24地址段,部门终端数量如表1-1所示，请将网络地址规划补充完整。表1-1部门终端数量IP地址范围子网掩码行政部28172.16.1.1-172.16.1.30(1)市场部42(2)255.255.255.192财务部20(3)255.255.255.224业务部120172.16.1.129172.16.1.254(4)【问题2】（6分）仓库到办公楼的布线系统属于什么子系统?应采用什么传输介质?该线缆与交换机连接需要用到哪些部件。【问题3】（4分）若接入的IPC采用1080P的图像传输质量传输数据，SwitchC.SwitchA选用百兆交换机是否满足带宽要求,请说明理由。【问题4】（6分）Q）在位置A增加一台交换机SWitChE做接入层到核心层的链路冗余,请以SwitchC为例简述接入层与核心层的配置变化。（2）简要说明在RouterA与RouterB之间建立IPSeCVPN隧道的配置要点。【参考答案】问题1：考查知识点：IP地址或子网掩码的计算（1）255.255.255.224解析：28<32即2的5次方8-5=3子网掩码二进制数最后8位的前3位是1，其它是0,对应的十进制数224即得到255.255.255.224(2)172.16.1.65-172.16.1.126解析：终端数42<64即2的6次方，则从2的6次方加1即65开始分配主机IP172.16.1.65,可用主机数64-2=6265+62=126,即得到172.12.1.126(3)172.16.1.33-127.16.1.62解析：终端数20<32即2的5次方，则从2的5次方加1即33开始分配主机IP172.16.1.33,可用主机数32-2=3033+30=63,即得到172.12.1.62(4)255.255.255.128解析：终端数120<128即2的7次方,129即2的7次方加1开始，子网掩码对应的二进制数的最后8位最高位是1,其它位是O,对应的十进制数128即得255.255.255.128【问题2】建筑群子系统或圆区子系统,采用单模光纤,光纤块或SFP【问题3】SWtiChC能满足,SWitChA不能满足，108OP的图像传输数据量在6Mbs左右，所以，SwitchC承载的数据量是96Mb/s,100Mbs能满足要求，而160台产生的流量远超过100Mb/s,所以SwitchA是作为核心，不能满足要求。【问题4】(1) SwitchA.SwitchCsSwitchE,采用STP或MSTP组建以A为根的生成树。(2)配置接口的IP地址和到对端的静态路由，保证两端路由可达。配置AC1.,以定义需要IPSeC保护的数据流。配置IPSec安全提议，定义IPSec的保护方法。配置IKE对等体,定义对等体间IKE协商时的属性。配置安全策略,并引用AC1.IPSec安全提议和IKE对等体,确定对何种数据流采取何种保护方法。在接口上应用安全策略组,使接口具有IPSeC的保护功能。3.配置路由器RI的IPSeCVPN3.1 配置安全AC1.:创建一个扩展AC1.用来定义IPSeCVPN感兴趣的数据流量，即要通过IPSeCVPN隧道进行加密传输的数据包。在这里，只对从总部内部网络到分支内部网络的数据流量进行加密，其他流量不进行加密。R1(config)#access-list100permitip192.168.1.00.0.0.255192.168.2.00.0.0.255在VPN配置中的AC1.的作用并不是过海数据包。对于IPSeCVPN中配置的Ae1.规则为Permit的语句表示匹配的数据包需要进入VPN隧道，而规则为deny的语句表示对匹配的数据包进行正常路由转发，不进入VPN隧道。3.2 配置IKE策略：创建一个优先级为10的ISAKMP策略，即IKE策略。ISAKMP策略可以有多个，编号越小，优先级越高。如果配置了多个ISAKMP策略，双方路由器将采用编号最小，参数相同的策略。R1(config)#cryptoisakmppolicy10R1(config-isakmp)#authenticationpre-share!配置IKE身份验证方式为预共享密钥R1(config-isakmp)#encryptionaes256!配置IKE协商时采用的加密算法为AES256bitR1(config-isakmp)#hashsha!配置IKE协商时采用的校验算法为SHA-IR1(config-isakmp)#group5!配置IKE采用的DH组为组5R1(config-isakmp)#exit3.3 配置IKE又寸等体的预共享密钥：Rl(COnfig)#CryPtOisakmpkey123456address222.5.7.2!配置路由器Rl的IKE对等体一路由器R2(IP地址为222.5.7.2)的预共享密钥为123456,用来进行身份验证。3.4 配置IPSeC转换集：R1(config)#cryptoipsectransform-setipsec-R1esp-aesesp-sha-hmac3.5 配置IPSeC加密图：创建名称为M叩-R2的IPSeC加密图。因为一个接口只能应用一个IPSeC加密图，所以如果需要为路由器配置到达多个分支的IPSeCVPN,那么每个VPN就需要使用不同的编号。这里使用的编号是10,该编号只在本地有效。最后添加的ipsec-isakmp参数表示使用IKE进行密钥协商、建立IPSeCSA。R1(config)#cryptomapmap-R110ipsec-isakmp%NOTE:Thisnewcryptomapwillremaindisableduntilapeerandavalidaccesslisthavebeenconfigured.R1(config-crypto-map)#matchaddress100!配置IPSeCVPN感兴趣的流量的AC1.R1(config-crypto-map)*setpeer222.5.7.2!酉己置IPSeCVPN对的IP地址Rl(COnfig-CryPtO-m叩)#SettranSfOrm-SetiPSeC-Rl!配置转换集，对感兴趣的流量进行保护R1(config-crypto-map)#exit3.6 将IPSeC加密图应用到出接口：R1(config)#interfacefastethernet1R1(config-if)#cryptomapmap-R1*Mar100:02:56.695:%CRYPTO-6-ISAKMP_ON_OFF:ISAKMPisONR1(config-if)#exit试题二(共20分)阅读以下说明，回答问题1至问题3,将解答填入答题纸对应的解答栏内。【说明】图2-1为某大学校园网络拓扑图。图2-1【问题1】(6分)根据网络安全的需要，无线校园网要求全网认证接入，其中台式电脑、笔记本、手机等智能终端，从兼容性角度考虑应优先选用认证方式;打印机、门禁等非智能终端应该选用(2)认证方式。图2-1中，数据业务流量通过AC与AP建立的隧道进行转发时,该转发模式为(1)不经过AC转发，由AP经接入交换机到核心交换机传输至上层网络时,该转发模式为(4)。学校的新一代无线网络采用Wifi6技术,要求兼容仍工作在2.4G的老旧终端，Wifi6AP的部署密度较大,为减少无线AP在2.4G模式下信道之间的干扰，信道之间至少应间隔(5)个信道。无线网络实施后，校园网络在线用户数大幅增长。原楼宇汇聚为千兆上联，高峰时期上行链路负载已经100%,经常有丢包现象，在不更换设备的前提下，可以通过解决。【问题2】(8分)网络管理员某天在防火墙上发现了大量图2-2所示的日志，由此可判断校园网站遭受到了什么攻击请给出至少三种应对指施。to.Wne21TX；*7ime2AR八?1E，)x"?177M2WX?17?W?7W*J17in：5M三?mn3*?inn;2*>*M7J112JWHM11M?J*JR7217711；JW717?*,7mnmr>w7i11llnllmIylm17117111l11l17117l171S!”“)6"Ms1M.XMAM.*71z"278z"2822nnze一,721727222222二2742222222222ss;seJ飞7T制工案黑悭:黑唇N"SEKbwlf,l5>Mttp(SYHl8q"SwlW%>田"村由出MlrtzZWISVMIWInneH：；“2ANWISsl攵EWAIy黑言AZe【$叫誉:S7S92>MtP【5向wr-is乂64>httpZIJ<r。"T"22B42>httpCYM3吧上"二】"图2-2【问题3】(6分)(1)校园网采用大二层组网结构,信息中心计划对核心交换机采用堆叠技术，请简述堆叠技术的优点和缺点。(2)网络试运行一段时间后，在二层网络中发现了大量的广播报文,影响网络的性能。网络管理员在接入层交换机做了如下配置问题得以解决：SWinterfacegigabitethernet0/0/3SW-GigabitEthernet003broadcast-suppression80SW-GigabitEthernetOO3guit请简述以上配置的功能。【参考答案】【问题1】(I)PortaI认证(2) MACUilE(3)CAPWAP隧道(4)直接转发方式或Soft-GRE转发(5)5(2.4G的1-13信道是国内使用的,每个信道带宽都是22MHz,相互之间有重叠的部分，间隔5个可以减少相互间的干扰，无线网络部署时常用3个信道,一般是信道1,6,11,它们的间隔是5)(6)增加链路并配置链路聚合【问题2】遭受了DDOS攻击(2)措施：配置最小特权访问策略、购买流量清洗服务、停止不必要的服务端口、启用防火墙的防DDOS功能、部署IPS防护等【问题3】(1)堆叠iStack(IntelligentStack),是指将多台支持堆叠特性的交换机设备组合在一起,从逻辑上组合成一台交换设备,SWitChA与SWitChB通过堆叠线缆连接后组成堆叠iStack,对于上游和下游设备来说，它们就相当于一台交换机Switcho在设备堆叠时，对设备型号的要求较高，一般需要同一个品牌同一个类型的交换机之间进行,且需要直连,中间不能有其他的交换机,甚至有的型号只支持堆叠卡，使用专用的堆叠线。通过交换机堆叠，可以实现网络高可靠性和网络大数据量转发，同时简化网络管理。高可靠性。堆叠系统多台成员交换机之间冗余备份;堆叠支持跨设备的链路聚合功能，实现跨设备的链路冗余备份。强大的网络扩展能力。通过增加成员交换机，可以轻松的扩展堆叠系统的端口数、带宽和处理能力;同时支持成员交换机热插拔,新加入的成员交换机自动同步主交换机的配置文件和系统软件版本。简化配置和管理。一方面,用户可以通过任何一台成员交换机登录堆叠系统,对堆叠系统所有成员交换机进行统一配置和管理;另一方面,堆叠形成后,不需要配置复杂的二层破环协议和三层保护倒换协议，简化了网络配置。（2）缺省情况下，不对广播流量进行抑制。当最大广播流量所占该端口传输能力的百分80%时，系统将丢弃超出限制的报文，从而使广播流量所占的流量比例降低到限定的范围，保证网络业务的正常运行。（broadcast-suppression命令是用来配置接口下允许通过的最大广播报文流量。缺省情况下，不对广播量进行限制。broadcast-suppression80这条命令的作用是把最大广播流量设为端口传输能力的80%,这样系统就可以根据设置把超出了限制的报文丢弃，保证网络中业务流量的正常转发。）试题三（共20分）阅读以下说明，回答问题1至问题3,将解答填入答题纸对应的解答栏内。【说明】图3-1为某公司网络拓扑片段，公司总部路由器之间运行OSPF协议生成路由，分公司路由器运行RIP协议生成路由。分公司技术部门和外包部门通过路由器Rl接入，分公司网络与公司总部网络通过路由器R2互联。公司总部通过路由器R3接入。所有网段网络地址信息如图所示，假设各路由器已经完成各个接口P等基本信息配置。【问题1（4分）从算法原理、适用范围、功能特性三个方面简述RlP和OSPF的区别。【问题2】（10分）要求：分公司路由器Rl和R2之间运行RIP协议生成路由,路由器Rl将直连路由导入RIP,通过配置直连路由引入策略，过滤外包部门网段，使外包部门网段不能访问公司总部。补全下列命令，填写空（1）处的内容，完成RI过滤外包部门所要求的相关配置。#定义一个acl2000,用于匹配需要放行和阻断的路由Rlacl2000Rl-acl-basic-2000ruledenysource(1)O0Rll-acl-basic-2000rulepermitRl-acl-basic-2000lquitRIroute-policyuiprppermitnode10Rl-route-policy(2)acl2000Rl-route-policyquitRIripRl-rip-1version2Rl-rip-lnetworkl92.168.12.0Rl-rip-1import-route(3)route-policytiprip-rp/import-route命令用来配置从其它路由协议引入路由,可以通过Staticldirectripospfunr参数来指定引入的路由协议。在R2上导入Rl的直连路由条目后，RIP路由条目如下所示,请简要说明10.0.0.0/8这条路由条目是如何产生的，将解答填入答题纸的空(4)处。R2rip1R2-rip-lversion2R2-rip-lnetwork192.168.12.0R2displayiprouting-tableprotocolripDestination/MaskProtoPreCostFlagsNextHopInterface10.0.0/8RIP1001D192.168.12.1GigabitEthemet1/0/1在R2执行undosummary命令后,请写出当前的RIP路由条目,将解答填入答题纸的空(5)处。路由条目示例如下所示：Destination/MaskProtoPreCostFlagsNextHopInterface1.1.1.1/24RIP100lD2.2.1GigabitEthernet1/0/1【问题3】(6分)要求：通过配置R3的OSPF路由发布策略，仅发布生产网段和办公网段，不发布财务专网，以防止公司总部其它网段或分公司对财务专网的访问。R3ipip-prefix3to2index10permit10.1.0.024R3upip-prefix3to2index20permit(6)24# 配置发布策略,引用地址前缀列表3to2进行过滤R3ospfR3-ospf-larea0R3-ospf-l-area-0.0.0,0networkl92.168.23.00.0.0.255R3-ospf-lfilter-policyip-prefi×J7)exportstatic# 将RIP路由导入公司总部R2ospfR2-ospf-larea0R2-ospf-l-area-0.0.0,0network192.168.23.00.0.255R2-ospf-l(8)rip# 将OSPF路由导入分公司R2ripR2-rip-llimport-routeospf1【参考答案】【问题1】算法原理：OSPF是链路状态路由协议,RIP是距离矢量路由协议适用范围：OSPF适用中大型网络,RlP只适用小型网络功能特性：OSPF是基于链路状态的路由协议，以COST开销作为其度量值，并采用SPF算法计算出最佳路由，支持V1.SM,支持触发更新，收敛速度快，路由协议优先级为10,可信任度高。RIP是距离矢量路由协议，只以跳数作为度量值，且最大跳数为15跳，并通过邻居路由器间的周期性发送路由表更新并计算路由,收敛速度慢，Vi版本只支持有类网络，V2版本才支持V1.SM,路由协议优先级为100,可信任度不高，容易产生路由环路。【问题2】(10分)(1)10.3.0.0/定义acl(2)if-match匹配acl2000(3)direct将匹配rip_rp策略的直连路由导入RIP(4)没有关闭RIP的自动汇总功能，RIP协议将会自动汇总路由网段(5)10.2.0.0/29RIP1001D192.168.12.1Gigabitethernetl/0/l10.2.0.8/29RIP1001D192.168.12.1Gigabitethernetl/0/l10.2.0.16/29RIP1001D192.168.12.1GigabitethernetWl10.2.0.32/29RIP1001D192.168.12.1Gigabitethernetl/0/l【问题3】(6分)(6)10.5.0.0定义办公网段的前缀列表(7)3to2引用前缀列表(8)import-route导入RIP路由试题四(共15分)阅读以下说明，回答问题1至问题2,将解答填入答题纸对应的解答栏内。【说明】某公司网络的拓扑结构示意图如图4-1所示。【问题1】(6分)STP(SpanningTreeProtoCol)协议用来发现和消除网络中的环路。运行该协议的设备通过相互之间发送(I)报文，在交换网络中选举根桥，通过依次比较该报文中包含的各自的(2)、MAC地址信息，来确定根桥，优先级值越(3),优先级越高，MAC地址亦然,交换机默认的优先级值为(4)。RSTP(R叩idSpanningTreeProtoCoI)在STP基础上进行了改进,实现了网络拓扑(5)。但他们均是通过阻塞某个端口来实现环路消除的，存在浪费带宽的缺点，MSTP在STP和RSTP的基础上进行了改进，既可以快速收敛，又提供了数据转发的多个冗余路径,在数据转发过程中实现V1.AN数据的(6)。【问题2】(9分)管理员计划为交换机配置VRRPz以提高网络的可靠性。通过调整优先级使SWitChA作为Master设备承担流量转发，同时为了防止震荡,设置20s抢占延时SWitChB为默认优先级，作为Bakup设备，实现网关冗余备份。接口IP地址配置如表4-1所示。请将下面的配置代码补充完整。设备接口IP地址子网掩码SwitchAVINIF2(X)192.168.12255.255.255.0V1X!FI10.1.1.1255.255255.0SwitchBV1.ANIFlOO10.1.1.2255.255255.0VINII3()0192.168.22255.255.255.0SwitchCV1.ANirao192168.1.1255.255.255.0VINIF3I92.168.Z1255.255255.0SwitchDGO/O/1G<)021 .配置SWitChA接口转发方式、IP地址和VRRPHUAWEI(8)SwitchASwitchAIvlan(9)100200SwitchAIinterfacegigabitethernet0/0/1SwitchA-GigabitEtheretO0lportlink-type(10)SwitchA-GigabitEthernetO0lporthybrid(11)vlan200配置端口的缺省V1.ANSwitchAGigabitEtherpetO0lporthybriduntaggedvlan200配置Hybrid类型接口加入的V1.AN,这些V1.AN的帧以Untagged方式通过接口。SwitchA-GigabitEthernetOOlquitSwitchAinterfacevlanif100SwitchA-VIaniflOOipaddress10.1.1.124SwitchA-VIaniflOOquitSwitchAinterfacevlanif200SwitchA-Vlanif200ipaddress(12)24SwitchA-Vlanif200quitSwitchAIinterfacevlanif100SwitchA-Vlanifl00(13)vrid1virtual-ip10.1.1.111(1.执彳亍命令vrrpvridvirtual-router-idvirtual-ipvirtual-address,接口视图创建VRRP备份组并给备份组配置虚拟IP地址。2 .执行命令vrrpvridvirtual-router-idprioritypriority-value,配置交换机在备份组中的优先级。缺省情况下，优先级的取值是100o数值越大，优先级越高，优先级越高,越可能成为master设备。3 .执行命令vrrpvridvirtual-router-idpreempt-modetimerdelaydelay-value,配置备份组中交换机的抢占延迟时间。SwitchA-VIanif100vrrpvrid1priority120SwitchA-VIanif100vrrpvrid1preempt-modetimerdelay(14)SwitchA-VIaniflOOquit4 .在SWitChB上创建VRRP备份组1SwitchBinterfacevlanif100SwitchB-VIaniflOOMIIpyid1virtual-ipl(15)SwitchB-VIaniflOOquit【参考答案】【问题1】(I)BPDU(2)优先级(3)J(4)32768(5)快速收敛(6)负载均衡【问题2】(7)system-view进入系统视图(8)sysname设备重新命名(9)batch批量创建V1.AN(10) hybrid定义接口类型(11) pvid配置接口的pvid(12)192.168.1.2/酉己置vlanif200的IP±t(13)Vrrp配置vrrp组号及虚拟IP(14)20配置抢占延时(15)10.1.1.111配置VrrP虚拟IP±tlt