2022年上半年软考网络工程师下午题真题含答案.pdf

2022年上半年软考网络工程师下午题真题试题一（20分）阅读以下说明，回 答 问 题1至 问 题4,将解答填入答题纸对应的解答栏内。【说 明】某分支机构网络拓扑图如1-1所 示，该 网 络 通 过BGP接收总部网络路由，设 备1与 设 备2作为该网络的网关设备，且 运 行VRRP（虚拟网络冗余协议），与出口 设 备 运 行OSPF。该网络规划两个网段10.11.229.0/24和10.11.230.0/24,其 中10.11.229.0网段只能访问总部网络。10.11.230.0网段只能访问互联网。图1【问 题1（4分）分支机构有营销部、市 场 部、生 产 部、人事部四个部门，每个部门需要访问互联网主机数量如表所示，现 计 划 对 网 段10.11.230.0/24进行子网划分，为 以 上 四 个 部 分 规 划IP地 址，请补充表中的空 -。部门主机数量网络号子网掩码营销部110(1)255.255.255.128市场部5010.11.230.128(2)生产部25(3)255.255.255.224人事部1010.11.230.208(4)【解 析】:10.11.230.0/24先划分2个子网，满足营销部和市场部的需求，10.11.230.0/25和10.11.230.128/25,从营销部和市场部的已知条件 子网掩码:255.255.255.128”来看，10.11.230.0/25分给营销部,所以(1)空是 10.11.230.0；10.11.230.128/25 继续划分 2 个子网 10.11.23.128/26 和 10.111.23.192/26 10.11.23.128/26 分给市场部，可以满足5 0台主机数量要求，子网掩码为255.255.255.192,所 以(2)是255.255.255.192；而 10.11.23.192/26 继续划分 2 个子网 10.11.23.192/27 和 10.11.23.224/27,生产部用10.11.23.224/27,可满足2 5台主机数量要求，所 以(3)10.11.23.224；而 10.11.23.192/27 继续戈吩 2 子网 10.11.23.192/28 和 10.11.23.208/28,人事部为 10.ll.23.208/28o(4)为 255.255.255.240。【参 考 答 案】：(1)10.11.230.0(2)255.255.255.192(3)10.11.230.224(4)255.255.255.240【问题2(8 分)在该网络中为避免环路，应该在交换机上配置(5),生成BGP路由有network与 import两种方式，以下描述正确的是 0空-备选答案:A.network方式逐条精确匹配路由B.network方式优先级高C.import方式按协议类型引入路由D.import方式逐条精确匹配路由E.network方式按协议类型引入路由F.import方式优先级高【解析】：交换机上配置生成树协议(STP),可以避免二层环路。生成BGP路由的方式有两种，第一种是network,第二种是import。network宣告的路由属于内部路由，import引入的路由属于外部路由，优先级完全不一样，华为设备内部路由优先级为1 0,外部路由优先级为150 onetwork命令是逐条将IP路由表中已经存在的路由引入到BGP路由表中；import是根据运行的路由协议将路由引入到BGP路由表中，同时import可以引入直连和静态路由。【参考答案】：(5)生成树协议(6)A(7)B(8)C 备注：(6)(7)(8)顺序可调整【问题3 (4 分)若设备1 处于活动状态(Master),设备2 的状态在哪条链路出现故障时会发生改变？请说明状态改变的原因。【解析】：设备1 和设备2 之间运行VRRP协议，其中linke是 VRRP心跳线，用于传输VRRP协议报文，若link e 链路出现故障会导致设备2(backup状态)无法收到master发送过来的VRRP报文，就认为master设备出现了故障，从而进行设备角色的切换。【备注】:本题中，实际情况是VRRP协议报文也可以通过设备3和设备4发往设备2,但是在实!际网络规划中，为 了 防止设备3和4是其他厂商设备或配置了某些特性(如V S N内未知维播报文丢弃功能)导致VRRP报文不能传递的情况，都会专门部署专用的VRRP专用心跳线(lin k e),这时候就会有二层环路,同时也要启用STP协议。【参考答案】：link e 或 e,在 VRRP中，master设备会周期性发送VRRP协议报文，如 果 backup设备在一定时间内无法收到 master发送过来的VRRP报文，就认为master设备出现了故障，从而进行设备角色的切换。【问题4】（4 分）如果路由器与总部网络的线路中断，在保证数据安全的前提下，分支机构可以在客户端采用什么方式访问总部网络？在防火墙上采用什么方式访问总部网络？【解析】：要保证数据安全的前提下，则需要使用VPN技术来保障通过公共的因特网访问总部网络的数据传输安全。由于分支机构要使用客户端方式访问，所以一般使用SSLVPN方式，客户端安装SSL VPN客户端软件进行登录验证从而建立VPN连接；防火墙和总部之间一般使用IPSECVPN,和总部建立IPSEC隧道，同时也要允许10.11.229.0网段访问互联网。【参考答案】：SSLVPN,IPSEC VPN试题二（20分）阅读以下说明，回答问题1 至 问 题 4,将解答填入答题纸对应的解答栏内。【说明】如图2-1,为某公司的网络拓扑图。InternetWeb防火墙对外服务区【问题1】某日,网站管理员李工报告网站访问慢，他查看了互联网接入区防火墙的日志。日志如图2-2：日志生成时间严重级别攻击类型动作类型2022-02-27 09:48:24e r r o rA CK f l o o dl o g g i n g2022-02-27 09:48:08e r r o rA CK f l o o dl o g g i n g2022-02-27 09:47:02e r r o rA CK f l o o dl o g g i n g2022-02-27 09:45:37e r r o rA CK f l o o dl o g g i n g2022-02-27 09:44:32e r r o rA CK f l o o dl o g g i n g图 2-2根据日志显示，初 步 判 断 该 公 司 服 务 器 遭 到 攻 击。该种攻击最常见的攻击方式为等,李工立即开启防火墙相关防护功能，几分钟后，服务器恢复了正常使用。空-备选答案：A.ARPB.蜜罐C.DDoSD.SQL注入E.IP地址欺骗F.ICMP floodG.UDP flood【解析】：根据题目中的攻击类型“ack flood，ACK Flood攻击是指攻击者通过僵尸网络向目标服务器发送大量的ACK 报文，报文带有超大载荷引起链路拥塞，或者是极高速率的变源变端口的请求导致转发的设备异常从而引起网络瘫痪，或者是消耗服务器处理性能，从而使被攻击服务器拒绝正常服务。从而初步判断该公司服务器遭到DDos攻击。DDoS即分布式拒绝服务攻击：指借助于客户/服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动DDoS攻击，从而成倍地提高拒绝服务攻击的威力。由于其隐蔽性和分布性很难被识别和防御，DDoS攻击技术发展十分迅速。这种攻击规模大、危害性强。包括ACK flood,S Y N Flood,ICMP flood,UDPflood 等。【参考答案】：(1)C(2)F(3)G【问题2(8 分)某日，10层区域用户反映，上网时断时续，网络管理员李工经过现场勘查，发现该用户通过DHCP获取到192.168.1.0/24网段的地址，而公司该楼层分配的地址段为10.10.10.1/24,经判断该网络有用户私接路由器，于是李工在楼层的接入交换机上开启交换机，)功 能后，用户上网正常，同事开启(5)功能后,可防止公司内部电脑感染病毒，伪 造 MAC地攻击网关。空-备选答案：A.ARP detectionB.DHCPC.DHCP RelayD.DHCP S nooping为加强终端接入管理,李工对接入交换机配置限制每个端口只能学习1个终端设备的MAC地址,具体如下：interface GigabitEthernet 0/0/1port-security port-security-mac-num mac-number(7)【解析】：用户获取的地址非规划分配的地址段IP地址，可判断网络中有其他非法DHCP服务器，而最常见的原因是用户私接路由器，并将路由器的LAN 口接入公司网络线路，导致路由器自带的DHCP服务器向公司内网分配IP地址。在接入交换机上启用DHCP Snooping功能，将接入交换机的上行接口设置为DHCP trust接口属性，其他接口设置为untrunst接口，这样既使用户私接路由器且错误接入的情况下，路由器的DHCP响应报文送入接入交换机的untrunst接 口（只有trust接口才会接收DHCP响应报文）。ARP detection功能主要应用于接入设备上，对于合法用户的ARP报文进行正常转发，否则直接丢弃，从而防止仿冒用户、仿冒网关的攻击。交换机上开启ARP detection功能后会对于ARP非信任端口要进行用户合法性检查，以防止仿冒用户的攻击。用户合法性检查是根据ARP报文中源IP地址和 源 MAC地址检查用户是否是所属VLAN所在端口上的合法用户，包括基于IP Source Guard静态绑定表项的检查、基 于 DHCP Snooping安全表项的检查等。port-security enable命令用来使能端口安全功能，port-security max-mac-num命令用来配置端口安全MAC地址学习限制数。【参考答案】：（4）D（5）A（6）enable（7）1【问题3（4 分）随着业务发展，公司需对存储系统升级，当前需要存储的数据主要为数据库、ERP、图片、视频、文档等。其中，数据库、ERP采用几个SSD硬盘存储，使 用 RAID 5 冗余技术。该冗余技术通过 方式来实现数据冗余保护，每 个 RAID组 至 少 应 配 备 块硬盘。【解析】：RAID5采用奇偶校验方式，把数据和相对应的奇偶校验信息存储到组成RAIDS的各个磁盘上，并且奇偶校验信息和相对应的数据分别存储于不同的磁盘上，其中任意N-1块磁盘上都存储完整的数据，也就是说有相当于一块磁盘容量的空间用于存储奇偶校验信息。因此当RAID5的一个磁盘发生损坏后，不会影响数据的完整性，从而保证了数据安全。当损坏的磁盘被替换后，RAID还会自动利用剩下奇偶校验信息去重建此磁盘上的数据，来保持RAID5的高可靠性。RAID5最少3 块磁盘。【参考答案】：（8）奇偶校验（9）3【问题4】（2 分）要求存储系统在不中断业务的基础上，快速获得一个LUN在某个时刻的完整数据拷贝进行业务分析，可 以 使 用(1 0)功能实现。空(10)备选答案：A.快照B.镜像C.远程复制D.LUN拷贝【解析】：本题要求快速获得一个LUN在某个时刻的完整数据拷贝，选项中只有“快照”可以快速获取特定时刻的完整数据拷贝。快照可以在数据盘保存指定时刻的数据，快照和备份恢复速度快【参考答案】：(10)A试题三(20分)阅读以下说明，回答问题1 至 问 题 3,将解答填入答题纸对应的解答栏内。【说明】图为某公司的总部和分公司网络拓扑，分公司和总部数据中心通过ISP1的网络和ISP2的网络互连。并且连接5G出口作为应急链路，分公司和总部数据中心交互的业务有语音、视频、FTP和 HTTP四种。要求通过配置策略路由实现分公司访问业务分流。配置网络质量分析(NQA)与静态路由联动实5G城站现链路冗余。其中，语音和视频以ISP1为主链路、为备份。分公司 130.13.0.3J30.13,0.1.、_ 4 0.14.0.41ISP2为备份;FTP和 HTTP以 ISP2为主链路，IS P1ILBIH 1 3Q23.0.3 而一一、3 0.2 3 视 学 管 器、2.2.2.11 4O.15.O.1 数据中J j A o.24.0.4/-1ISP2/i/出 S0.1S.0.5【问题1(4 分)通过在R1上配置策略路由，以实现分公司访问总部的流量可根据业务类型分组到L1和 L2两条链路并形成主备关系，首先完成ACL相关配置。配 置 R1上 的 ACL来定义流。首先定义视频业务流ACL 2000:RI acl 2000Rl-acl-basic-2000 rule 1 permit destination(1)0.0.255.255Rl-acl-basic-2000 quit定义Web业务流ACL 3000:RI acl 3000Rl-acl-adv-3000 rule 1 permit tcp destination any destination-port(2)0.0.255.255Rl-ad-basic-3000 quit【解析】：根据图中视频业务服务器的IP地址是2.2.2.1：!,且 ACL2000中的通配符为0.0.255.255,则可推断 ACL3000中的目标网络地址为2.200。ACL 3000用于定义Web业务流，Web是基于HTTP协议访问，其传输层为TCP协议，服务器的端口号默认为 8 0,在 ACL 中为：destination-port eq 80。【备注】：本题中错误中两处：1、ACL 2000是 基 本 A CL,不能配置目标地址；2、ACL中 rule 1 最后的0.0.255.255是多余的。【参考答案】:(1)2.2.0.0(2)eq 80【问题2】(8 分)完成R1策略路由剩余相关配置。1、创建流分类，匹配相关ACL定义的流RI traffic classifier videoRl-classifier-video if-match acl 2000Rl-classifier-video quitRI traffic classifier webRl-classifier-web if-match acl 3000Rl-classifier-web quit2、创建流行为并配置重定向RI traffic behavior blRl-behavior-bl redirect ip-nexthop Rl-behavior-bl quitRI traffic behavior b2Rl-behavior-b2 redirect ip-nexthop(4)Rl-behavior-b2 quit3、创建流策略，并在接口上应用。RI traffic policy plRl-trafficpolicy-pl classifier video behavior blRl-trafficpolicy-pl classifier web behavior(5)Rl-trafficpolicy-pl quitRI interface GigabitEthernetO/O/ORl-GigabitEthernetO/O/O traffic-policy 1 Rl-GigabitEthernetO/O/O quit【解析】：根据题目要求“语音和视频以ISP1为主链路、ISP2为备份;FTP和 HTTP以 ISP2为主链路，IS P1为备份。”以及流策略中的流行为和流动作(重定向)，可 判 断 behavior b l用于视频流量，下一跳为 ISP1,即(3)空为 30.13.0.3;behaviorbl 用于 HTTP 流量，下一跳为 ISP2,即(4)空为 40.14.0.4;(5)空为web流分类的流动作为b2。流策略应用在R1的 GigabitEthernet0/0/0的入方向，(6)空为inbonud。【参考答案】：(3)30.13.0.3(4)40.14.0.4(5)b2(6)inbound【问题3】(8 分)在总部网络，通过配置静态路由与NQA联动，实现R2对主链路的ICMP监控，如果发现主链路断开，自动切换到备份链路。在 R2上完成如下配置：1、开启NQA,配置ICMP类型的NQA测试例，检测R2到 ISP1和 ISP2网关的链路连通状态ISP1链路探测：R2 nqa test-instance admin ispl 配置名为 admin ispl 的 NQA 测试例其他配置省略ISP2链路探测：R2 nqa test-instance admin isp2R2-nqa-admin-isp2 test-type icmpR2-nqa-admin-isp2 destination-address ipv4(7)配置 NQA 测试目的地址R2-nqa-admin-isp2 frequency 10 配置 NQA 两次测试之间间隔 10 秒R2-nqa-admin-isp2 probe-count 2 配置 NQA 测试探针数目为 2R2-nga-admin-isp2 start now2、配置静态路由R2ip route-static 30.0.0.0 255.0.0.0(8)track nqa admin isplR2ip route-static 40.0.0.0 255.0.0.0 40.24.0.4 track naa admin isp2R2ip route-static 0.0.0.0 0.0.0.0 40.24.0.4 preference 100 track nga admin isp2R2ip route-static 0.0.0.0 0.0.0.0(9)preference 110 track nqa admin isplR2ip route-static 0.0.0.0 0.0.0.0(10)preference 120【解析】：(7)空是ISP2线路探测，目的地址是R1连 接 ISP2的地址40.14.0.1,并 与 ip route-static 40.0.0.0255.0.0.0 40.24.0.4 track naa admin isp2 和 ip route-static 40.0.0.0 255.0.0.0 40.24.0.4 track naaadmin isp2”联动，当无法通过ISP2访问分公司时，该两条静态路由失效。(8)空静态路由配置，ISP1线路，下一跳是30.23.0.3(9)空为默认路由配置，指向ISP1线路，下一跳是30.23.0.3(1 0)空为5G链路,作为应急链路,优先级最低(1 2 0),下一跳是50.15.0.5。【参考答案】：(7)40.14.0.1(8)30.23.0.3(8)30.23.0.3(10)50.15.0.5试题四（15分）阅读以下说明，回答问题1 至 问 题 2,将解答填入答题纸对应的解答栏内。【说明】某公司两个机构之间的通信示意图如下图，为保证通信的可靠性，在正常情况下，R1 通过GE1/0/1接口与RB通信，GE1/0/2和 GE1/0/3接口作为备份接口，当接口故障或者带宽不足时，快速切换到备份接口，由备份接口来承担业务流量或者负载分担。Gl/0/2 GVQ/210.1.3.1/24 10.1.3.2/24Gl/0/3 GV0/310.1.1/24 10 1 2.2/24图 4【问题1】（8 分）评价系统可靠性通常采用MTBF（MeanTime Between Failures,平均故障间隔时间）和 MTTR（MeanTime to Repair,平均修复时间）这两个技术指标。其中MTBF是指系统无故障运行的平均时间，通常以（1）为单位。M TBF越，可靠性也就越高，在实际的网络中，故障难以避免，保证可靠性的技术从两个方面实现，故障检测技术和链路冗余，其中常见的关键链路冗余有接口备份、（4）和双机热备份技术。【解析】：MTBF：MTBF是指一个系统无故障运行的平均时间，通常以小时为单位。MTBF越大，可靠性也就越高。MTTR：MTTR是指一个系统从故障发生到恢复所需的平均时间，广义的MTTR还涉及备件管理、客户服务等，是设备维护的一项重要指标。M TTR的计算公式为：MTTR=故障检测时间+硬件更换时间+系统初始化时间+链路恢复时间+路由覆盖时间+转发恢复时间。MTTR值越小，可靠性就越高。常见的关键链路冗余有接口备份、接口监控组、虚拟路由冗余协议、Smart Link与 Monitor Link和双机热备份等技术。【参考答案】：（1）小时（2）大（3）接口监控组（4）VRRP 备注：（3）和（4）答案位置可以互换，且答Smart Link、M onitor,链路聚合等符合链路冗余的相关技术均可。【问题2（7 分）路由器RA和 RB的 GE1/0/1接口为主接口，GE1/0/2和 GE1/0/3接口分别为备份接口，其优先级分别为30和 2 0,切换延时均为10s1.配置各接口 IP地 址 及 HostA和 HostB之间的静态路由配置R1各接口的IP地址，RB的配置略。(5)Huawei(6)RARA interface GigabitEthernet 1/0/1RA-GigabitEthernetO/O/1 10.1.1.1255.255.255.0RA-GigabitEthernetO/O/1 quit#在 RA上配置去往HostB所在网段的静态路由。RA(8)192.168.100.0 2410.1.1.22.在RA上配置主备接口RA interface GigabitEthernet 1/0/1RA-GigabitEthernetl/0/1 interface GigabitEthernet 1/0/2(10)RA-GigabitEthernetl/0/1 standby interface GigabitEthernet 1/0/3 20RA-GigabitEthernetl/0/1 standby(11)1010RA-GigabitEthernetl/0/1 quit空-(11)A.sysname/sysnB.timer delayC.standbyD.30E.ip addressF.system-view/sysG.ip route-static【解析】：standby interface命令用来创建主接口的备份接口并配置其优先级。配置接口 GE1/0/2、GE1/0/3为接口 GE1/0/1的备份接口。其中接口 GE1/0/2优先级为30,接口 GE1/0/3优先级为20。整数形式，取值范围是。25 5,值越大表示优先级越高，缺省值为0。standby timer delay enable-delay disab/e-de/ay命令用来配置主备接口切换延时，缺省时间均为 5 秒，其中：enable-delay：指定从主接口切换到备份接口的延时;取值范围为0-655 35,单位为秒。disable-delay：指定从备份接口切换到主接口的延时，取值范围为。65535,单位为秒。【参考答案】：(5)F(6)A(7)E(8)G(9)C(10)D(11)B