2020下半年（下午）网络工程师试题解析

2020下半年（下午）网络工程师试题解析

试题一(共20分)

　　阅读以下说明，回答问题1至问题3，将解答填入答题纸对应的解答栏内。

　　【说明】

　　某校园宿舍WLAN网络拓扑结构如图1-1所示，数据规划如表1-1内容所示。该网络采用敏捷分布式组网在每个宿舍部署一个AP，AP连接到中心AP，所有AP和中心AP统一由AC进行集中管理，为每个宿舍提供高质量的WLAN网络覆盖。

图1-1

表1-1

配置项	数据
Router GE1/0/0	Vlanif101：10.23.101.2/24
AC GE0/0/2	Vlanif101：10.23.101.1/24 业务Vlan
AC GE0/0/1	Vlanif100：10.23.100.1/24 管理Vlan
DHCP服务器	AC作为DHCP服务器为用户、中心AP和接入AP分配IP地址
AC的源接口IP地址	Vlanif100：10.23.100.1/24
AP组	名称：ap-group1；引用模板：VAP模板wlan-net、域管理模板default
域管理模板	名称：default；国家码：中国(cn)
SSID模板	名称：wlan-net；SSID名称：wlan-net
安全模板	名称：wlan-net；安全策略：WPA-WPA2+PSK+AES密码：a1234567
VAP模板	名称：wlan-net；转发模式：隧道转发  业务Vlan：Vlan101 引用模板：SSID模板wlan-net  安全模板wlan-net
SwitchA	默认接口都加入了Vlan1，二层互通，不用配置

【问题1】(10分)

　　补充命令片段的配置。

　　1.Router 的配置文件

　　[Huawei] sysname Router

　　[Router] vlan batch(1)

　　[Router] interface gigabitethernet 1/0/0

　　[Router GigabitEthernet 1/0/0] port link-type trunk

　　[Router GigabitEthernet 1/0/0] port trunk allow-pass vlan 101

　　[Router GigabitEthernet 1/0/0] quit

　　[Router] interface vlanif 101

　　[Router-Vlanifl01]ip address (2)

　　[Router-Vlanifl01]quit

　　2.AC的配置文件

　　#配置AC和其他网络设备互通

　　[HUAWEI]sysname (3)

　　[AC] vlan batch 100 101

　　[AC] interface gigabitethernet 0/0/1

　　[AC-GigabitEthernet0/0/1] port link -type trunk

　　[AC-GigabitEthernet0/0/1] port trunk pvid vlan 100

　　[AC-GigabitEthernet0/0/1] port trunk allow-pass vlan 100

　　[AC-GigabitEthernet0/0/1] port-isolate(4) //实现端口隔离

　　[AC-GigabitEthernet0/0/1] quit

　　[AC] interface gigabitethernet 0/0/2

　　[AC-GigabitEthernet0/0/2] port link-type trunk

　　[AC-GigabitEthernet0/0/2] port trunk allow-pass vlan 101

　　[AC-GigabitEthernet0/0/2] quit

　　#配置中心AP和AP上线

　　[AC] wlan

　　[AC-wlan-view] ap-group name ap-groupl

　　[AC-wlan-ap-group-ap-group1] quit

　　[AC-wlan-view] regulatory-domain-profile name default

　　[AC-wlan-regulate-domain-default] country-code (5)

　　[AC-wlan-regulate domain-default] quit

　　[AC-wlan-view]ap-group name ap-group1

　　[AC-wlan-ap-group-ap-group1] regulatory-domain-profile(6)

　　Warning: Modifying the country code will clear channel, power and antenna gain config

　　Of the config send reset the AP Continue?[Y/N]:y

　　[AC-wlan-ap-group-ap-group1]quit

　　[AC-wlan-view]quit

　　[AC]capwap source interface(7)

　　[AC] wlan

　　[AC-wlan-view] ap auth mode mac-auth

　　[AC-wlan-view] ap-id 0 ap-mac 68a8-2845-62fd//中心AP的MAC地址

　　[AC-wlan-ap-0] ap-name central AP

　　Warning: This operation may cause AP reset Continue?[Y/N]:y

　　[AC-wlan-ap-0] ap-group ap-group1

　　Warning: This operation may cause AP reset.If the country code changes,it will clear channel,power and antenna gain configuration s of the radio,Whether to continue?[Y/N]:y

　　[AC- wlan-ap-0] quit

　　其他相同配置略去

　　#配置WLAN业务参数

　　[AC-wlan-view] security-profile name wlan-net

　　[AC-wlan-sec-prof-wlan-net] security wpa-wpa2 psk pass-phrase(8) aes

　　[AC-wlan-sec-prof-wlan-net] quit

　　[AC-wlan-view] ssid-profile name wlan-net

　　[AC-wlan-ssid-prof-wlan-net] ssid(9)

　　[AC-wlan-ssid-prof-wlan-net] quit

　　[AC-wlan-view] vap-profile name wlan-net

　　[AC-wlan-vap-prof-wlan-net] forward-mode tunnel

　　[AC-wlan-vap-prof-wlan-net] service-vlan vlan-id(10)

　　[AC-wlan-vap-prof-wlan-net] security-profile wlan-net

　　[AC-wlan-vap-prof-wlan-net] ssid-profile wlan-net

　　[AC-wlan-vap-prof-wlan-net] quit

　　[AC-wlan-view] ap-group name ap-group1

　　[AC-wlan-ap-group-ap-groupl] vap-profile wlan-net wlan 1 radio 0

　　[AC-wlan-ap-group-ap-group1] vap-profile wlan-net wlan 1 radio 1

　　[AC-wlan-ap-group-ap-group1] quit

【问题2】(6分)

　　上述网络配置命令中，AP的认证方式是(11)方式，通过配置(12)配置。

　　(11)~(12)备选答案：

　　A、MAC　　B、SN　　C、AP地址　　D、AP组

　　将AP加电后，执行(13)命令可以查看到AP是否正常上线。

　　(13)备选答案：

　　A. display ap all    　　B. display vap ssid

【问题3】(4分)

　　1.组播报文对无线网络空口的影响主要是(14)，随着业务数据转发的方式不同，组播报文的抑制分别在(15)和(16)配置。

　　2.该网络AP部署在每一间宿舍的原因是(17)。

解析：

【问题1】

(1)100  101   //这条命令的意思就是创建vlan 100和vlan101这两个vlan

(2)10.23.101.2  255.255.255.0  //这里配置的是路由器的GE1/0/0接口，从表中可以看出IP地址是10.23.101.2，子网掩码是255.255.255.0  

(3)AC    //很显然给AC取的名字就是“AC”

(4)enable    // port-isolate enable命令就是实现端口隔离

(5)cn    //country-code是国家码，从表中可以看出是“cn”

(6)default    //regulatory-domain-profile命令用来创建域管理模板，并进入模板视图，若模板已存在则直接进入模板视图。从表中可以看出域管理模板名称：default

(7)vlanif 100    //capwap source interface命令用来配置AC建立CAPWAP隧道使用的接口，作为AC的源接口，后面跟的是Vlan的名称，即Vlan 100

(8)a1234567    //security wpa-wpa2 psk pass-phrase为配置的安全策略为：WPA-WPA2+PSK+AES，密码从表中可以查出是a1234567

(9)wlan-net    //表中可以看出SSID模板是wlan-net

(10)101    //表中可以看出业务Vlan是101

【问题2】

(11)A    (12)D    (13)A

//(11)通过命令ap auth mode mac-auth知道AP的认证方式是MAC方式

//(12)创建了AP组以后，可以将相同配置的AP都加入同一AP组进行配置。

//(13)将AP加电后，执行display ap all命令就可以查看到AP是否正常上线。

//display vap ssid命令是用来查看指定SSID的业务型VAP的相关信息。

【问题3】

(14)造成无线空接口拥堵     (15)AP直连的交换机端口

(16)AC的流量模板下

//(14)纯组播报文由于协议要求在无线空口没有ACK的保障机制，且无线空口链路不稳定，为了纯组播报文能够稳定发送，通常会以低速报文形式发送。如果网络侧有大量异常组播报文涌入，则会造成无线空口拥堵。

//(15)业务数据转发方式采用直接转发时，建议在直连AP的交换机接口上配置组播报文抑制功能。

//(16)业务数据转发方式采用隧道转发时，建议在AC的流量模板下配置组播报文抑制。

(17)房间之间的障碍我会使无线信号严重衰减，影响WLAN的质量

//由于大楼中房间较多，房间之间的墙壁等障碍物会使得无线信号产生衰减，影响WLAN质量，因此采用敏捷分布式组网，在每个房间部署一个AP，AP接入到中心AP，所有AP和中心AP统一由AC进行集中管理，为每个房间提供高质量的WiFi信号覆盖。

试题二(共20分)

阅读以下说明，回答问题1至问题4，将解答填入答题纸对应的解答栏内。

【说明】

小王为某单位网络中心网络管理员，该网络中心部署有业务系统、网站对外提供信息服务，业务数据通过SAN存储网络，集中存储在磁盘阵列上，使用RAID实现数据冗余；部署邮件系统供内部人员使用，并配备有防火墙、入侵检测系统、Web应用防火墙、上网行为管理系线、反垃圾邮件系统等安全防护系统，防范来自内外部网络的非法访问和攻击。

【问题1】(4分)

网络管理员在处理终端A和B无法打开网页的故障时，在终端A上ping 127.0.0.1不通，故障可能是（1）原因造成；在终端B上能登录互联网即时聊天软件，但无法打开网页，故障可能是（2）原因造成。

(1)~ (2)备选答案:

A. 链路故障               B. DNS配置错误

C. TCP/IP协议故障         D. IP配置错误

【问题2】(8分)

年初，网络管理员监测到部分境外组织借新冠疫情对我国信息系统频繁发起攻击，其中，图2-1访问日志所示为(3)攻击，图2-2访问日志所示为(4)攻击。

图2-1

图2-2

网络管理员发现邮件系统收到大量不明用户发送的邮件，标题含“武汉旅行信息收集”、“新型冠状病毒肺炎的预防和治疗”等和疫情相关的字样，邮件中均包含相同字样的excel文件，经检测分析，这些邮件均来自某境外组织，exel文件中均含有宏，并诱导用户执行宏，下载和执行木马后门程序，这些驻留程序再收集重要目标信息，进一步扩展渗透，获取敏感信息，并利用感染电脑攻击防疫相关的信息系统，上述所示的攻击手段为(5)攻击，应该采取(6)等措施进行防范。

(3) ~ (5)备选答案:

A.跨站脚本    B.SQL注入      C.宏病毒       D.APT

E. DDos       F. CC           G.蠕虫病毒     H. 一句话木马

【问题3】(5分)

存储区域网络(Storage Area Network, 简称SAN)可分为(7)、(8)两种，从部署成本和传输效率两个方面比较这两种SAN，比较结果为(9)。

【问题4]】(3分)

请简述RAID2.0技术的优势(至少列出2点优势)。

解析：

【问题1】

(1)C     //ping127.0.0.1回环测试不通说明TCP/IP协议簇安装有问题

(2)B     //能登录互联网即时聊天软件，但无法打开网页，说明链路没有故障，TCP/IP协议已正确安装，IP配置也没有问题，只有可能是DNS配置错误

【问题2】

(3)H    //通过图中的eval（base64_decode)可以判断出是“一句话木马”，这是一种只需要一行代码的木马，但具有和大马相当的功能。

(4)B    //通过图中的select、username、password、form等参数判断出是SQL注入攻击

(5)D    //APT攻击可以分为4个阶段：探测期、入侵期、潜伏期、退出期，这4个阶段通常是循序渐进的进行的

(6)使用威胁情报、建立强大的出口规则、收集强大的日志分析等

【问题3】

(7)IP SAN    //即基于IP以太网络的SAN存储架构

(8)FC SAN    //基于光纤通道的SAN存储架构

(9)从部署成本上，IP SAN相对低廉，传输效率上，FC SAN则更高。

【问题4】

(10)优势如下：

快速重构：存储池内所有硬盘参与重构，相对于传统RAID重构速度大幅提升；

自动负载均衡：RAID 2.0使得各硬盘均衡分担负载，不再有热点硬盘，提升了系统的性能和硬盘可靠性；

系统性能提升：LUN基于分块组创建，可以不受传统RAID硬盘数量的限制分布在更多的物理硬盘上，因而系统性能随硬盘IO带宽增加得以有效提升；

自愈合：当出现硬盘预警时，无需热备盘，无需立即更换故障盘，系统可快速重构，实现自愈合。

试题三(共20分)

阅读以下说明，回答问题1至问题4.将解答填入答题纸对应的解答栏内。

【说明】

图3-1为某大学的校园网络拓扑，其中出口路由器R4连接了三个ISP网络，分别是电信网络（网关地址218.63.0.1/28）联通网络（网关地址221.137.0.1/28）以及教育网（网关地址210.25.0.1/28 ）。路由器R1、R2、R3、R4在内网一侧运行RIPv2.0协议实现动态路由的生成。

图3-1

PC机的地址信息如表3-1所示，路由器部分接口地址信息如表3-2所示。

表3-1

主机	所属Vlan	IP地址	网关
PC1	Vlan10	10.10.0.2/24	10.10.0.1/24
PC2	Vlan8	10.8.0.2/24	10.8.0.1/24
PC3	Vlan3	10.3.0.2/24	10.3.0.1/24
PC4	Vlan4	10.4.0.2/24	10.4.0.1/24

表3-2

路由器	接口	IP地址
R1	Vlanif8	10.8.0.1/24
	Vlanif10	10.10.0.1/24
	GigabitEthernet0/0/0	10.21.0.1/30
	GigabitEthernet0/0/1	10.13.0.1/30
R2	GigabitEthernet0/0/0	10.21.0.2/30
	GigabitEthernet0/0/1	10.42.0.1/30
R3	Vlanif3	10.3.0.1/24
	Vlanif4	10.4.0.1/24
	GigabitEthernet0/0/0	10.13.0.1/30
	GigabitEthernet0/0/1	10.34.0.1/30
R4	GigabitEthernet0/0/0	10.34.0.2/30
	GigabitEthernet0/0/1	10.42.0.2/30
	GigabitEthernet2/0/0	218.63.0.4/28
	GigabitEthernet2/0/1	221.137.0.4/28
	GigabitEthernet2/0/2	210.25.0.4/28

【问题1】(2分)

如图3-1所示，校本部与分校之间搭建了IPSec VPN。IPSee的功能可以划分为认证头AH、封装安全负荷ESP以及密钥交换IKE。其中用于数据完整性认证和数据源认证的是(1)。

【问题2】(2分)

为R4添加默认路由，实现校园网络接入Internet 的默认出口为电信网络，请将下列命令补充完整。

[R4]iproute-static(2)

【问题3】(5分)

在路由器RI上配置RIP协议，请将下列命令补充完整：

[R1]_ (3)

[R1-rip-1]network_ (4)

[R1-ip-1]version2

[R1-rip-1]undo summary

各路由器上均完成了RIP协议的配置，在路由器RI上执行display ip routing-table，由RIP生成的路由信息如下所示：

Destination/Mask  Proto  Pre  Cost  Flags  NextHop  Interface

10.3.0.0/24  RIP  100  1  D  10.13.0.2  GigabitEthernet0/0/1

10.4.0.0/24  RIP  100  1  D  10.13.0.2  GigabitEthernet0/0/1

10.34.0.0/30  RIP  100  1  D  10.13.0.2  GigabitEthernet/0/0/1

10.42.0.0/24  RIP  100  1  D  10.21.0.2  GigabitEthernet/0/0/0

根据以上路由信息可知。下列RIP路由是由（5）路由器通告的：

10.3.0.0/24  RIP  100  1  D  10.13.0.2  GigabitEthernet0/0/1

10.4.0.0/24  RIP  100  1  D  10.13.0.2  GigabitEthernet0/0/1

请问PCI此时是否可以访问电信网络？为什么？

答:(6)。

【问题4】(11分)

图3-1中，要求PCI访问Internet时导向联通网络，禁止PC3在工作日8.00至18.00访问电信网络。

请在下列配置步骤中补全相关命令：

第1步：在路由器R4上创建所需ACL

创建用于PCI策略的ACL：

[R4]acl 2000

[R4-acl-basic -2000] rule 1 permit source(7)

[R4-acl-basic- 2000] quit

创建用于PC3策略的ACL:

[R4] time-range satime(8)working-day

[R4]acl number 3001

[R4-acl-adv-3001] rule deny source (9) destination 218.63.0.0  240.255.255.255 time-range satime

第2步：执行如下命令的作用是(10)。

[R4]trafficlassifer 1

[Ra-classifier-1]if-match acl 2000

[Ra-classifier-1]quit

[R4]traffic classifier3

[R4-classifier-3]if-match acl 3001

[R4-classifier-3]quit

第3步：在路由器R4上创建流行为并配置重定向

[R4]traffic behavior 1

[R4-bchavior-1]redirect (11) 221.137.0.1

[R4-behavior-1]quit

[R4]traffic behavior 3

[R4-behavior-3] (12)

[R4-behavior-3]quit

第4步:创建流策略，并在接口上应用(仅列出了R4上GigabitEthernet 0/0/0接口的配置)

[R4]traffic policy 1

[R4-trafficpolicy-1]classifier 1(13)

[R4-trafficpolicy-1]classifier 3(14)

[R4-trafficpolicy-1]quit

[R4]interGigabitEthernet 0/0/0

[R4-GigabitEthernet0/0/0]traffic-policy(15)

[R4-GigabitEthernet0/0/0]quit

解析：

【问题1】

(1)认证头AH    //ESP除了进行数据完整性认证和数据源认证外，还可保证数据的机密性；IKE是互联网密钥交换协议，用于通信双方自行协商出相同的对称密钥。

【问题2】

(2)0.0.0.0  0.0.0.0  218.63.0.1

//要实现校园网接入Internet的默认出口为电信网络，首先找到题中给出的电信网络网关地址218.63.0.1，然后设置静态路由：iproute-static 0.0.0.0 0.0.0.0 218.63.0.1

【问题3】

(3)rip1或rip      //进入rip视图

(4)10.0.0.0     //宣告直连网段

(5)R3     //根据给出的路由表，可见去往10.3.0.0/24和10.4.0.0/24的网段时，分组要交给的下一跳是10.13.0.2，再根据题目中的表3-2，可知是通过R3学习到的。

(6)不能访问，因为此时R1上没有到达外网的默认路由

【问题4】

(7)10.10.0.2        (8)8:00 to 18:00      (9)10.3.0.2  0.0.0.0

(10)配置流分类    (11)ip-nexthop       (12)deny

(13)behavior 1     (14)behavior 3       (15)inbound

试题四(共15分)

阅读以下说明，回答问题1至问题2，将解答填入答题纸对应的解答栏内。

【说明】

某公司的网络拓扑结构如图4-1所示。

图4-1

公司管理员对各业务使用的VLAN作如下规划：

业务类型	VLAN	IP地址段	网关地址	服务器地址段
Internet	100	192.168.1.0	192.168.1.1	192.168.1.250-192.168.1.254
IPTV	200	192.168.2.0	192.168.2.1	192.168.2.250-192.168.2.254
VoIP	300	192.168.3.0	192.168.3.1	192.168.3.250-192.168.3.254

为了便于统一管理，避免手工配置，管理员希望各种终端均能够自动获取IP地址，语音终端根据其MAC地址为其分配固定的IP地址，同时还需要到FTP服务器10.10.10.1上动态获取启动配置文件configuartion.ini，公司DNS服务器地址为10.10.10.2，所有地址段均路由可达。

【问题1】(3分)

公司拥有多种业务，例如Internet. IPTV. VoIP等，不同业务使用不同的IP地址段。为了便于管理，需要根据业务类型对用户进行管理。以便路由器RI能通过不同的VLAN分流不同的业务。

VLAN划分可基于(1)、子网、(2)、协议和策略等多种方法。

本例可采用基于(3)的方法划分VILAN子网。

【问题2】(12分)

下面是在SW1上创建DHCP Option模板，并在DHCP Option模板视图下，配置需要为语音客户端IP Phone分配的启动配置文件和获取启动配置文件的文件服务器地址，请将配置代码或注释补充完整。

<HUAWEI> (4)

[HUAWEI] sysname SWI

[SWI](5)option template template1

[SWI-dhcp-option-template-template1] gateway-list(6)//配置网关地址

[SWI-dhcp-option-template-template1] bootfile(7)//获取配置文件

[SWI-dhcp-option-template-template1] next-server(8)//配置获取配置文件地址

[SWI-dhcp-option-template-template1] quit

下面创建地址池，同时为IP Phone 分配固定IP地址以及配置信息。请将配置代码补充完整。

[SW1]ip pool pool3

[SW1-ip-pool-pool3] network(9)mask 255.255.255.0

[SW1-ip-pool-pool3] dns-list(10)

[SW1-ip-pool-pool3] (11)192.168.3.1

[SW1-ip-pool-pool3] excluded-ip-address (12) 192.168.3.254

[SW1-ip-pool-pool3] lease unlimited

[SW1-ip-pool-pool3] static-bind ip-address 192 168.3.2 mac-address (13) option-templale

template1 //使用模板

[SW1-ip-pool-pool3] quit

#在对应VLAN上使能DHCP

[SW1] interface vlanif (14)

[SW1-Vlanif300] (15) select global

[SW1-Vlanif300] quit

解析：

【问题1】

(1)端口    

(2)MAC地址

(3)子网

【问题2】

(4)system-view

(5)dhcp

(6)192.168.3.1

(7)configuration.ini

(8)10.10.10.1

(9)192.168.3.0

(10)10.10.10.2

(11)gateway-list

(12)192.168.3.250

(13)dcd2-fa98-e439

(14)300

(15) dhcp

<HUAWEI> system-view     //进入系统视图

[HUAWEI] sysname SWI//修改设备名称为SWI

[SWI]dhcp option template template1//创建DHCP Option模板

[SWI-dhcp-option-template-template1] gateway-list 192.168.3.1    //配置网关地址

[SWI-dhcp-option-template-template1] bootfile configuration.ini   //获取配置文件

[SWI-dhcp-option-template-template1] next-server 10.10.10.1    //配置获取配置文件地址

[SWI-dhcp-option-template-template1] quit

下面创建地址池，同时为IP Phone 分配固定IP地址以及配置信息。请将配置代码补充完整。

[SW1]ip pool pool3//创建地址池，在地址池视图下为PC配置网关地址、租期、DNS服务器地址，为IP Phone分配固定的IP地址和启动配置文件信息

[SW1-ip-pool-pool3] network 192.168.3.0 mask 255.255.255.0

[SW1-ip-pool-pool3] dns-list 10.10.10.2    //设置DNS地址

[SW1-ip-pool-pool3] gateway-list 192.168.3.1//设置网关地址

[SW1-ip-pool-pool3] excluded-ip-address 192.168.3.250 192.168.3.254//设置排除地址

[SW1-ip-pool-pool3] lease unlimited

[SW1-ip-pool-pool3] static-bind ip-address 192 168.3.2 mac-address dcd2-fa98-e439 option-templale template1 //使用模板

[SW1-ip-pool-pool3] quit

#在对应VLAN上使能DHCP

[SW1] interface vlanif 300    //创建VLAN 300

[SW1-Vlanif300] dhcp select global//选择全局的地址池给DHCP客户端使用

[SW1-Vlanif300] quit