2023年5月計算機技術與軟件《中級網(wǎng)絡工程師（下午卷）》真題及答案

2023年5月計算機技術與軟件《中級網(wǎng)絡工程師（下午卷）》試題（網(wǎng)友回憶版）[問答題]1.【問題1】(4分)該企業(yè)辦公網(wǎng)絡采用

/25地址段，部門終端數(shù)量如表1-1所示，請將網(wǎng)絡地址規(guī)劃補（江南博哥）充完整。試題一（20分）閱讀以下說明，回答問題1至問題4，將解答填入答題紙對應的解答欄內(nèi)?！菊f明】某企業(yè)辦公樓網(wǎng)絡拓撲如圖1-1所示，該網(wǎng)絡中交換機Switch1-Switch4均是二層設備，分布在辦公樓的各層，上聯(lián)采用千兆光纖，核心交換機、防火墻、服務器部署在數(shù)據(jù)機房，其中核心交換機實現(xiàn)冗余配置。正確答案：（1）28（2）7~0（3）3~2（4）26參考解析：第1空終端數(shù)量8，需要網(wǎng)絡規(guī)模為16的子網(wǎng)才能滿足，2^4=16，即主機位4位，網(wǎng)絡位32-4=28；第4空同理，網(wǎng)絡規(guī)模64=2^6，主機位6，網(wǎng)絡位32-6=26；整個網(wǎng)絡的地址范圍是~27，出去部門A和D的地址，剩余6~3，B部門的網(wǎng)絡規(guī)模位16，C部門的網(wǎng)絡規(guī)模是32，所以B部門使用6~1，C部門使用2~3，出去網(wǎng)絡地址和廣播地址，第2空7~0，第3空3~2。[問答題]2.【問題2】(6分)(1)簡要說明圖1-1中干線布線與水平布線子系統(tǒng)分別對應的區(qū)間。(2)在網(wǎng)絡線路施工中應遵循哪些規(guī)范(至少回答4點)？試題一（20分）閱讀以下說明，回答問題1至問題4，將解答填入答題紙對應的解答欄內(nèi)。【說明】某企業(yè)辦公樓網(wǎng)絡拓撲如圖1-1所示，該網(wǎng)絡中交換機Switch1-Switch4均是二層設備，分布在辦公樓的各層，上聯(lián)采用千兆光纖，核心交換機、防火墻、服務器部署在數(shù)據(jù)機房，其中核心交換機實現(xiàn)冗余配置。正確答案：（1）干線子系統(tǒng)對應的是核心交換機至各樓層交換機(Switch1-Switch4)區(qū)間；水平布線子系統(tǒng)對應的是各樓層交換機(Switch1-Switch4)至各個辦公室的墻插。（2）網(wǎng)絡線路施工中應遵循：①配線子系統(tǒng)纜線宜采用在吊頂、墻體內(nèi)穿管或設置金屬密封線槽及開放式(電纜橋架，吊掛環(huán)等)敷設；②干線子系統(tǒng)垂直通道穿過樓板時宜采用電纜豎井方式；③建筑群之間的纜線宜采用地下管道或電纜溝敷設方式；④纜線應遠離高溫和電磁干擾的場地；⑤管線的彎曲半徑應符合規(guī)范要求。⑥纜線布放在管與線槽內(nèi)的管徑與截面利用率，應根據(jù)不同類型的纜線做不同的選擇。參考解析：（1）干線子系統(tǒng)通常是由主設備間提供建筑中最重要的主干線路，連接至各個樓層水平子系統(tǒng),是整個大樓的信息交通樞紐。核心交換機位于主設備間（數(shù)據(jù)機房），所以干線子系統(tǒng)對應的是核心交換機至各樓層交換機(Switch1-Switch4)區(qū)間；水平布線子系統(tǒng)是管理子系統(tǒng)與工作子系統(tǒng)中間的部分,對應的是各樓層交換機(Switch1-Switch4)至各個辦公室的墻插。（2）根據(jù)國家標準《建筑與建筑群綜合布線系統(tǒng)工程設計規(guī)范》GB50311-2007中的纜線布放部分，應該遵循如下規(guī)范：6.5.1配線子系統(tǒng)纜線宜采用在吊頂、墻體內(nèi)穿管或設置金屬密封線槽及開放式(電纜橋架，吊掛環(huán)等)敷設，當纜線在地面布放時，應根據(jù)環(huán)境條件選用地板下線槽、網(wǎng)絡地板、高架(活動)地板布線等安裝方式。6.5.2干線子系統(tǒng)垂直通道穿過樓板時宜采用電纜豎井方式。也可采用電纜孔、管槽的方式，電纜豎井的位置應上、下對齊。6.5.3建筑群之間的纜線宜采用地下管道或電纜溝敷設方式，并應符合相關規(guī)范的規(guī)定。6.5.4纜線應遠離高溫和電磁干擾的場地。6.5.5管線的彎曲半徑應符合規(guī)范要求。6.5.6纜線布放在管與線槽內(nèi)的管徑與截面利用率，應根據(jù)不同類型的纜線做不同的選擇。[問答題]3.【問題3】(6分)若將PC-1、PC-2劃分在同一個VLAN進行通信，需要在相關交換機上做哪些配置？在配置完成后應檢查哪些內(nèi)容？試題一（20分）閱讀以下說明，回答問題1至問題4，將解答填入答題紙對應的解答欄內(nèi)?！菊f明】某企業(yè)辦公樓網(wǎng)絡拓撲如圖1-1所示，該網(wǎng)絡中交換機Switch1-Switch4均是二層設備，分布在辦公樓的各層，上聯(lián)采用千兆光纖，核心交換機、防火墻、服務器部署在數(shù)據(jù)機房，其中核心交換機實現(xiàn)冗余配置。正確答案：（1）在核心交換機，switch2，switch3上創(chuàng)建一個分配這個這兩臺PC使用的Vlan。（2）在核心交換機和其他有該vlan的交換機之間的互聯(lián)接口配置為trunk，并允許該Vlan通過。（3）交換機2的PC1對應接口及交換機3的PC2對應接口配置位access并允許該vlan通過。（4）接入交換機上查看vlan號和端口對應關系是否正確，兩臺pc是否可以相互通信。參考解析：本題就是要求考生根據(jù)實際需要，配置一個跨交換機的Vlan通信，這是網(wǎng)絡工程師必備的基本技能。通常的做法，先分別在各個交換機上創(chuàng)建對應的Valn，并將對應的接口指定相應的Vlan。在連接交換機之間的端口上設置Trunk，在三層交換機上創(chuàng)建各個Vlan對應的虛接口，充當各個子網(wǎng)的網(wǎng)關，實現(xiàn)三層通信。[問答題]4.【問題4】(4分)（1）簡要說明該網(wǎng)絡中核心交換機有哪幾種冗余配置方式。（2）在該網(wǎng)絡中增加終端接入認證設備，可以選擇在接入層、核心層或者DMZ區(qū)部署。請選擇最合理的部署區(qū)域并說明理由。試題一（20分）閱讀以下說明，回答問題1至問題4，將解答填入答題紙對應的解答欄內(nèi)。【說明】某企業(yè)辦公樓網(wǎng)絡拓撲如圖1-1所示，該網(wǎng)絡中交換機Switch1-Switch4均是二層設備，分布在辦公樓的各層，上聯(lián)采用千兆光纖，核心交換機、防火墻、服務器部署在數(shù)據(jù)機房，其中核心交換機實現(xiàn)冗余配置。?正確答案：（1）VRRP方式、堆疊、MSTP、SmartLink+MonitorLink（2）核心層（比如AC+AP，AC旁掛在核心交換機）。因為接入層缺少冗余，可靠性低；DMZ區(qū)域安全性較低，訪問鏈路成本高；核心層具有覆蓋面廣、可靠性和安全性高、配置和管理簡單等特點。參考解析：交換網(wǎng)絡中核心交換機對網(wǎng)絡穩(wěn)定性尤其重要，通常采用冗余配置方式提高網(wǎng)絡穩(wěn)定性和可靠性，常用的方式有：VRRP方式

、堆疊

、MSTP、Smart

Link+Monitor

Link。在本題的網(wǎng)絡中，終端接入認證設備的主要作用是負責內(nèi)網(wǎng)中的所有終端用戶的接入，因此適合部署在網(wǎng)絡的核心交換機上。這種部署方式，對內(nèi)網(wǎng)的所有用戶訪問路徑最短，效率最高，效果最好。[問答題]5.【問題1】(6分)為充分利用兩個運營商的帶寬，請?zhí)峁┲辽?種多出口鏈路負載策略。

試題二（20分）閱讀以下說明，回答問題1至問題4，將解答填入答題紙對應的解答欄內(nèi)。【說明】某企業(yè)網(wǎng)絡拓撲如圖2-1所示，該企業(yè)通過兩個不同的運營商(ISP1和ISP2)接入Internet,內(nèi)網(wǎng)用戶通過NAT訪內(nèi)Internet，公網(wǎng)用戶可通過不同的ISP訪問企業(yè)內(nèi)部的應用。?正確答案：（1）基于目標地址的策略路由；（2）基于源地址的策略路由；（3）基于流量的負載均衡策略；（4）基于應用協(xié)議的策略路由；（5）流量根據(jù)鏈路帶寬負載分擔；（6）流量根據(jù)鏈路狀態(tài)負載分擔；（7）流量根據(jù)鏈路權重負載分擔；（8）流量根據(jù)鏈路優(yōu)先級負載分擔。參考解析：在企業(yè)網(wǎng)絡設計中，通常會設置多個出口以滿足鏈路帶寬或者網(wǎng)絡穩(wěn)定性要求，實現(xiàn)出口的多ISP連接方案有多種，常用的可以是策略路由方案、負載均衡方案，負載分擔方案等，具體的實現(xiàn)方式主要有以下這些：（1）基于目標地址的策略路由；（2）基于源地址的策略路由；（3）基于流量的負載均衡策略；（4）基于應用協(xié)議的策略路由；（5）流量根據(jù)鏈路帶寬負載分擔；（6）流量根據(jù)鏈路狀態(tài)負載分擔；（7）流量根據(jù)鏈路權重負載分擔；（8）流量根據(jù)鏈路優(yōu)先級負載分擔。[問答題]6.【問題2】(6分)

內(nèi)網(wǎng)服務器Server需要對外發(fā)布提供服務，互聯(lián)網(wǎng)用戶可通過ISP1、ISP2來訪問，Server的服務端口為TCP

9980

請根據(jù)以上需求配置安全策略，允許來自互聯(lián)網(wǎng)的用戶訪問Server提供的服務[USG]

security-policy[USG-policy-security]

rule

name

http[USG-policy-security-rule-http]

source-zone

ISP1[USG-policy-security-rule-http]

source-zone

ISP2[USG-policy-security-rule-http]

destination-zone

trust[USG-policy-security-rule-http]

destination-address

(1)[USG-policy-security-rule-http]

service

protocol

(2)

destination-port

(3)

[USG-policy-security-rule-http]action

(4)[USG-policy-security-rule-http]quit試題二（20分）閱讀以下說明，回答問題1至問題4，將解答填入答題紙對應的解答欄內(nèi)?！菊f明】某企業(yè)網(wǎng)絡拓撲如圖2-1所示，該企業(yè)通過兩個不同的運營商(ISP1和ISP2)接入Internet,內(nèi)網(wǎng)用戶通過NAT訪內(nèi)Internet，公網(wǎng)用戶可通過不同的ISP訪問企業(yè)內(nèi)部的應用。正確答案：（1）0

32（2）tcp（3）9980（4）permit參考解析：第1空，根據(jù)題干要求，是要允許互聯(lián)網(wǎng)用戶訪問內(nèi)網(wǎng)服務器，而內(nèi)網(wǎng)服務器的地址可以從圖中獲得，是0，要注意這里是一個服務器的IP地址，因此用32的掩碼確定是單個地址。第2，3空，題干明確了Server的服務端口為TCP

9980，因此protocol

這里一定是TCP，destination-port一定是9980.第4空根據(jù)action

可以知道，這里是設置某個動作，通常的動作就是permit和deny，而題干中是說要允許互聯(lián)網(wǎng)用戶可通過ISP1、ISP2來訪問，因此是permit。[問答題]7.【問題3】(4分)經(jīng)過一段時間運行，經(jīng)常有互聯(lián)網(wǎng)用戶反映訪問Server的服務比較慢。經(jīng)過抓包分析發(fā)現(xiàn)部分應用請求報文和服務器的回應報文經(jīng)過的不是同一個ISP接口。請分析原因并提供解決方法。試題二（20分）閱讀以下說明，回答問題1至問題4，將解答填入答題紙對應的解答欄內(nèi)?！菊f明】某企業(yè)網(wǎng)絡拓撲如圖2-1所示，該企業(yè)通過兩個不同的運營商(ISP1和ISP2)接入Internet,內(nèi)網(wǎng)用戶通過NAT訪內(nèi)Internet，公網(wǎng)用戶可通過不同的ISP訪問企業(yè)內(nèi)部的應用。正確答案：外部流量訪問內(nèi)部應用，來自于一個ISP的外網(wǎng)用戶，USG設備的出口路由策略配置錯誤，造成從另一個ISP出口把數(shù)據(jù)包返回給用戶，導致請求和回應地址不一致丟失數(shù)據(jù)。解決方案：分別打開設備上兩條運營商出口的源進源出功能。參考解析：根據(jù)題干的關鍵信息“經(jīng)過抓包分析發(fā)現(xiàn)部分應用請求報文和服務器的回應報文經(jīng)過的不是同一個ISP接口?！币呀?jīng)明確指出來該問題的原因是外部用戶訪問內(nèi)部服務器和網(wǎng)絡出口設備的出口路由策略導致數(shù)據(jù)的來和去不是同一個路徑。外部流量訪問內(nèi)部應用，來自于一個ISP的外網(wǎng)用戶，USG設備從另一個ISP出口把數(shù)據(jù)包返回給用戶，導致請求和回應地址不一致丟失數(shù)據(jù)。因此必須保證數(shù)據(jù)的路徑一致。最有效的方法開啟源進源出功能。[問答題]8.【問題4】(4分)企業(yè)網(wǎng)絡在運行了一段時間后，網(wǎng)絡管理員發(fā)現(xiàn)了一個現(xiàn)象:互聯(lián)網(wǎng)用戶通過公網(wǎng)地址可以正常訪問Server，內(nèi)網(wǎng)用戶也可以通過內(nèi)網(wǎng)地址正常訪問Server，但內(nèi)網(wǎng)用戶無法通過公網(wǎng)地址訪問Server，經(jīng)過排查，安全策略配置都正確。請分析造成該現(xiàn)象的原因并提供解決方案。試題二（20分）閱讀以下說明，回答問題1至問題4，將解答填入答題紙對應的解答欄內(nèi)。【說明】某企業(yè)網(wǎng)絡拓撲如圖2-1所示，該企業(yè)通過兩個不同的運營商(ISP1和ISP2)接入Internet,內(nèi)網(wǎng)用戶通過NAT訪內(nèi)Internet，公網(wǎng)用戶可通過不同的ISP訪問企業(yè)內(nèi)部的應用。正確答案：原因：缺少域內(nèi)nat，當內(nèi)網(wǎng)終端訪問服務器映射的公網(wǎng)IP地址時，防火墻會將目的地址轉換為服務器的私網(wǎng)地址，并轉發(fā)給內(nèi)部服務器，當服務器在回包時發(fā)現(xiàn)對端都在內(nèi)網(wǎng)，不會將報文發(fā)給自己的網(wǎng)關（防火墻），而直接通過交換機轉發(fā)給終端，當終端收到此響應報文時發(fā)現(xiàn)并不是自己所訪問的服務器（公網(wǎng)地址）的響應報文，會將報文丟棄，從而導致不通。解決方案：添加域內(nèi)nat，防火墻內(nèi)網(wǎng)接口配置natserver。參考解析：因為缺少域內(nèi)nat，當內(nèi)網(wǎng)終端訪問服務器映射的公網(wǎng)IP地址時，防火墻會將目的地址轉換為服務器的私網(wǎng)地址，并轉發(fā)給內(nèi)部服務器，當服務器在返回響應數(shù)據(jù)包時，路由發(fā)現(xiàn)目標地址就在內(nèi)網(wǎng)，因此不會將報文發(fā)給自己的默認網(wǎng)關（防火墻），而采用直接交付，，當終端收到此響應報文時發(fā)現(xiàn)并不是自己所訪問的服務器（公網(wǎng)地址）的響應報文，會將報文丟棄，從而導致數(shù)據(jù)通信失敗。[問答題]9.圖3-1【問題1】(2分)按圖3-1所示配置完成BGP和OSPF路由相互引入后，可能會出現(xiàn)路由環(huán)路，請說明產(chǎn)生路由環(huán)路的原因。試題三（20分）：閱讀以下說明，回答問題1至問題3，將解答填入答題紙對應的解答欄內(nèi)?！菊f明】圖3-1為某公司網(wǎng)絡骨干路由拓撲片段（分部網(wǎng)絡略），公司總部與分部之間運行BGP獲得路由，路由器RA、RB、RC以及RD之間配置iBGP建立鄰居關系，RC和RD之間配置OSPF進程。所有路由器接口地址信息如圖所示，假設各路由器已經(jīng)完成各個接口IP等基本信息配置。正確答案：OSPF路由可以通過路由引入的方式在BGP進程進行重發(fā)布。參考解析：OSPF路由可以通過路由引入的方式在BGP進程進行重發(fā)布，此類場景通常通過多臺設備協(xié)同配置路由策略防環(huán)，如果引入路由的設備路由策略配置不當，可能導致路由環(huán)路。為了避免該問題，可以在OSPF引入路由時，配置環(huán)路檢測功能。[問答題]10.【問題2】(10分)要求：配置BGP和OSPF基本功能（以RA和RB為例），并啟用RC和RD之間的認證，以提升安全性。補全下列命令完成RA和RB之間的BGP配置：#RA啟用BGP，配置與RB的IBGP對等體關系[RA]

bgp

100[RA-bgp]

router-id

[RA-bgp]

peer

as-number

（1）[RA-bgp]

ipv4-family

unicast[RA-bgp-af-ipv4]

peer

（2）

enable[RA-bgp]

quit#RB啟用BGP,配置與RA、RC和RD的IBGP對等體關系[RB]

bgp

100[RB-bgp]

router-id

[RB-bgp]

peer

（3）

as-number

100#配置與RA的對等關系......#其它配置省略#配置RC和RD的OSPF功能（以RC為例），并啟用OSPF認證[RC]

ospf

1

router-id

[RC-ospf-1]

area

0[RC-ospf-1-area-]

network

（4）#發(fā)布財務專網(wǎng)給RD,其它省路[RC-ospf-1-area-]

authentication-mode

simple

ruankao[RC-ospf-1]

quit（5）OSPF認證方式有哪些？上述命令中配置RC的為哪種？（6）如果將命令authentication-mode

simple

ruankao替換為authentication-mode

simple

plain

ruankao，則兩者之間有何差異？試題三（20分）：閱讀以下說明，回答問題1至問題3，將解答填入答題紙對應的解答欄內(nèi)?！菊f明】圖3-1為某公司網(wǎng)絡骨干路由拓撲片段（分部網(wǎng)絡略），公司總部與分部之間運行BGP獲得路由，路由器RA、RB、RC以及RD之間配置iBGP建立鄰居關系，RC和RD之間配置OSPF進程。所有路由器接口地址信息如圖所示，假設各路由器已經(jīng)完成各個接口IP等基本信息配置。正確答案：（1）100（2）（3）（4）55（5）區(qū)域認證和接口認證，RC使用區(qū)域認證（6）authentication-modesimpleruankao默認是加密方式處理認證密碼，若是用authentication-modesimpleplainruankao，則使用明文處理認證密碼參考解析：第5、6空，OSPF認證是基于網(wǎng)絡安全性的要求而實現(xiàn)的一種加密手段，通過在OSPF報文中增加認證字段對報文進行加密。OSPF認證種類分為了接口認證和區(qū)域認證，認證方式可以分為空認證、簡單認證、MD5認證、Keychain認證、HMAC-SHA256。題干命令片段中，authentication-modesimpleruankao中的simple是指使用簡單驗證模式，即簡單認證方式。authentication-modesimple[plainSPlainText|[cipher]SCipherText]其中，plain表示簡單口令類型。cipher表示密文口令類型。缺省情況下，simple驗證模式默認是cipher類型。而plain模式下只能鍵入明文口令，在查看配置文件時以明文方式顯示口令。[問答題]11.【問題3】(8分)要求：配置BGP和OSPF之間的相互路由引入并滿足相應的策略，配置路由環(huán)路檢測功能。[RC-ospf-1]

import-route

bgp

permit-ibgp#該命令的作用是（7）......#其它配置省略#配置RD的BGP引入OSPF路由，并配置路由策略禁止發(fā)布財務專網(wǎng)的路由給BGP.[RD]

acl

number

2000#配置編號為2000的ACL,禁止/24通過[RD-acl-basic-2000]

rule

deny

source

（8）

55[RD-acl-basic-2000]

quit[RD]route-policy

rp#配置名為rp的路由策略[RD-route-policy]

if-match

acl

（9）[RD-route-policy]

quit[RD]

bgp

100[RD-bgp]

ipv4-family

unicast[RD-bgp-af-ipv4]

import-route

ospf

（10）[RD-bgp]

quit#以RA為例，啟用BGP環(huán)路檢測功能。[RA]

route

（11）

bgp

enable試題三（20分）：閱讀以下說明，回答問題1至問題3，將解答填入答題紙對應的解答欄內(nèi)?！菊f明】圖3-1為某公司網(wǎng)絡骨干路由拓撲片段（分部網(wǎng)絡略），公司總部與分部之間運行BGP獲得路由，路由器RA、RB、RC以及RD之間配置iBGP建立鄰居關系，RC和RD之間配置OSPF進程。所有路由器接口地址信息如圖所示，假設各路由器已經(jīng)完成各個接口IP等基本信息配置。正確答案：（7）允許IBGP路由引入IGP中（8）(9)2000(10)route-policyrp(11)loop-detect參考解析：第7空從題干命令“import-route

bgp

permit-ibgp”可以知道，默認情況下IGP引入BGP只能引入EBGP路由,無法引入IBGP路由，這是操作是允許IBGP路由引入IGP中

。第8空根據(jù)上面的配置解釋“#配置編號為2000的ACL,禁止/24通過”顯示是對這個地址塊的地址進行限制，因此是。第9空根據(jù)if-match

acl可知是要匹配某某個ACL，而這個ACL就是淺見定義的ACL

2000，因此就是2000.第10空從import-route

ospf命令可以看到，后面是跟某個策略，而題干中之前定義了一個策略“

route-policy

rp”，顯然這里是引用該策略。第11空使能BGP環(huán)路檢測功能。route

loop-detect

bgp

enable該功能開啟后，當設備發(fā)現(xiàn)BGP路由環(huán)路后，會上報告警。但是由于設備無法自動檢測環(huán)路問題是否被解決，所以用戶需要在檢查并排除路由環(huán)路問題后執(zhí)行clear

route

loop-detect

bgp

alarm命令手動清除BGP環(huán)路告警。[問答題]12.【問題1】(10分)公司計劃在R1、R2、R3上運行RIP,保證網(wǎng)絡層相互可達。接口P地址配置如表4-1所示。請將下面的配置代碼補充完整。(1)[HUAWEI]sysname(2)[R1]interfaceGigabitEthernet0/0/0[R1-GigabitEthernet0/0/0]ipaddress5452[R1-GigabitEthernet0/0/0]interfaceGigabitEthernet0/0/1[R1-GigabitEthernet0/0/1]ipaddress(3)52[R1-GigabitEthernet0/0/2]interfaceGigabitEthernet0/0/2[R1-GigabitEthernet0/0/2]ipaddress[R1-GigabitEthernet0/0/2]quit[R1]rip[R1-rip1](4)[R1-rip-2]undosummary[R1-rip-2]network(5)[R1-rip-2]network......R2、R3的RIP配置略......試題四（共15分）：閱讀以下說明，回答問題1至問題3，將解答填入答題紙對應的解答欄內(nèi)?！菊f明】某公司網(wǎng)絡拓撲如圖4-1所示。正確答案：（1）system-view,（2）R1（3）50（4）rip2（5）參考解析