2021下半年（下午）网络工程师试题解析

试题一(20分)

某单位由于业务要求，在六层的大楼内同时部署有线网络和无线网络，楼外停车场部署无线网络。网络拓扑如下图所示：

问题1(8分)

1.该网络规划中，相较于以旁路方式部署，将AC直连部署存在的问题是( 1 )。相较于部署在核心层，将AC部署在接入层存在的问题是( 2 )。

2.在不增加网络设备的情况下，防止外网用户对本网络进行攻击，隐藏内部网NAT策略通常配置在( 3 ) 。

(3)备选答案：  A. AC       B. Switch     C. Router

3.某用户通过手机连接该网络的WiFi信号，使用Web页面进行认证后上网，无线网络使用的认证方式是( 4 )认证。

(4)备选答案： A. PPPoE    B. Portal      C. IEEE 802.1x

问题2(8分)

1.若停车场需要部署3个相邻的AP，在进行2.4GHz频段规划时，为避免频道相互干扰，可以采用的信道是( 5 )。

(5)备选答案：

A.1、4、7    B.1、6、9    C.1、6、11

2.若在大楼内相邻的办公室共用1台AP会造成信号衰减，造成信号衰减的是( 6 )

(6)备选答案

A.调制方案     B.传输距离    C.设备老化    D.障碍物

3.在网络规划中，对AP供电方式可以采取( 7 )供电或DC电源适配器供电。

4.在不考虑其他因素的情况下，若室内AP区域信号场强>-60dBm，停车场AP区域的场强>-70dBm，则用户在( 8 )区域的上网体验好。

问题3(4分)

在结构化布线系统中，核心交换机到楼层交换机的布线通常称为( 9 ) ，拟采用50/125微米多模光纤进行互连，使用1000Base-SE以太网标准，传输的最大距离约是( 10 )米。

(9)备选答案：   A.设备间子系统   B.管理子系统   C.干线子系统

(10)备选答案：  A. 100    B.550    C.5000

解析：

问题1：

(1)对AC的吞吐量和数据处理能力要求比较高，AC容易成为整个无线网络带宽的瓶颈

(2)导致吞吐量下降      (3) C        (4) B

PPPoE（Point-to-Point Protocol Over Ethernet）是以太网上的点对点协议，是将点对点协议（PPP）封装在以太网（Ethernet）框架中的一种网络隧道协议，不是一种认证方式。

IEEE 802.1x协议是基于端口的访问控制和认证协议(Port-based Network Access Control Protocol)，它可以限制未经授权的用户/设备通过接入端口访问LAN/WLAN。在获得交换机或LAN提供的各种业务之前，802.1x对连接到交换机端口上的用户/设备进行认证。

Portal认证(也称为Web认证)可以以网页的形式为用户提供身份认证和信息服务。

问题2：(5) C    (6) D    (7) POE     (8)室内

从图中可以看出，1、6、11三个信道互不干扰。

POE (Power Over Ethernet)指的是在现有的以太网Cat.5布线基础架构不作任何改动的情况下，在为一些基于IP的终端（如IP电话机、无线局域网接入点AP、网络摄像机等）传输数据信号的同时，还能为此类设备提供直流供电的技术。 POE也被称为基于局域网的供电系统。

信号强度单位是dBm，是指发射信号强度到达接收点信号衰减的数值。正常信号强度是在-40 dbm ~ -85 dbm之间，数值越小信号就越好。因此，室内AP区域信号场强-60dBm就好于停车场AP区域的场强-70dBm.

问题3：(9)C     (10) В

核心交换机到楼层交换机的布线是垂直干线子系统，见下图所示。

采用50/125微米多模光纤进行互连，使用1000Base-SE以太网标准，最大传输距离是550m.（计算机网络基础教程，吴辰文，清华大学出版社，第3版，P124）

试题二(20分)

某企业内部局域网拓扑如图所示，局域网内分为办公区和服务器区。

图中，办公区域的业务网段为10.1.1.0/24，服务器区网段为10.2.1.0，业务网段、服务网段的网关均在防火墙上，网关分别对应为10.1.1.254、10.2.1.254；防火墙设置DHCP服务器，为办公区终端自动下发IP地址，并通过NAT实现用户访问互联网。防火墙外网出口IP地址为100.1.1.2/28，办公区出口用户IP地址池为100.1.1.10-100.1.1.15。

问题1(6分)

防火墙常用工作模式有透明模式、路由模式、混合模式，图2-1中的出口防火墙工作于( 1 )模式；防火墙为办公区用户动态分配IP地址，需在防火墙完成开启( 2 )功能。Server2为Web服务器，服务端口为TCP 443，外网用户通过https://100.1.1.9:8443访问，在防火墙上需要配置( 3 )。

(3)备选答案：

A.nat server policy _web protocol tcp global 100.1.1.9 8443 inside 10.2.1.2 443 unr-route

B.nat server policy _web protocol tcp global 10.2.1.2 8443 inside 100.1.1.9 443 unr-route

C.nat server policy _web protocol tcp global 100.1.1.9 443 inside 10.2.1.2 8443 unr-route

D.nat server policy _web protocol tcp global 10.2.1.2 inside 10.2.1.2 8443 unr-route

问题2(14分)

为了使局城网中10.1.1.0/24网段的用户可以正常访问Internet，需要在防火墙上完成NAT、安全策略等配置，请根据需求完善以下配置。

#将对应接口加入trust或者untrust区域。

[FW] firewall zone trust

[FW-zone-trust] add interface( 4 )

[FW-zone-trust] quit

[FW] firewall zone untrust

[FW-zone-untrust] add interface ( 5 )

[FW-zone-untrust]quit

#配置安全策略，允许局域网指定网段与Internet进行报文交互。

[FW] security-policy

[FW-policy security]rule name policy1

#将局域网作为源信任区域，将互联网作为非信任区域

[FW-policy-security-rule-policy1]source-zone( 6 )

[FW-policy-seeurity-rule-policy1]destination-zone untrust

#指定局域网办公区域的用户访同互联网

[FW-policy-security-rule-policy1]source-address( 7 )

#指定安全策略为允许

[FW-policy-security-rule-policy1] action( 8 )

[FW-policy-security-rule-policy1] quit

[FW-policy-seeurity] quit

#配置NAT地址池，配置时开启允许端口地址转换，实现公网地址复用

[FW] nat address-group address group1

[FW-address-group-addressgroup1] mode pat

[FW-address-group-addressgroup1]section 0 ( 9 )

#配置源NAT策略，实现局城网指定网段访问Internet时自动进行源地址转换。

[FW] nat policy

[FW-policy nat]rule name policy_nat 1

#指定具体哪线区域为信任和非信任区域

[FW-policy-nat-rule policy_nat 1] source-zone trust

[PW-policy-nat-rule policy_nat 1] destination zone untrust

#指定局域网源IP地址

[FW-policy-nat-rule policy_nat 1] source-address 10.1.1.0 24

[FW-policy-nat-rule-policy_nat 1]action source-nat address-group ( 10 )

[FW-policy-nat-rule-policy_nat 1]quit

[PW-policy-nat] quit

解析：

问题1：

(1)路由    (2)DHCP服务    (3)A

问题2：

(4)GE0/0/1   (5)GE0/0/3    (6)trust   (7)10.1.1.0 24    (8)permit  

(9)100.1.1.10 100.1.1.15     (10)address group 1

试题三(20分)

某公司网络拓扑如下图所示，其中出口路由器R2连接Internet，PC所在网段为10.1.1.0/24，服务器IP地址为10.2.2.22/24，R2连接的Internet出口网关地址为110.125.0.1/28。各路由端口及所对应的IP地址信息如下表所示。假设各个路由器和主机均完成了各个接口IP地址的配置。

路由器	端口	IP地址
R1	GigabitEthernet0/0/0	10.12.0.1/29
	GigabitEthernet0/0/1	10.2.2.1/24
	GigabitEthernet0/0/2	10.13.1.1/29
R2	GigabitEthernet0/0/0	10.12.0.2/29
	GigabitEthernet0/0/1	10.23.0.1/29
	GigabitEthernet2/0/0	10.1.1.1/24
	GigabitEthernet2/0/1	110.125.0.2/28
R3	GigabitEthernet0/0/0	10.23.0.3/29
	GigabitEthernet0/0/1	10.2.2.3/24
	GigabitEthernet0/0/2	10.13.1.3/29

问题1(6分)

通过静态路由配置使路由器R1经过路由器R2作为主链路连接Internet；R1->R3-> R2->Internet作为备份链路；路由器R3经过路由器R2作为主链路连接Internet；R3->R1->R2->Internet作为备份链路。

请按要求补全命令或回答问题。

R1上的配置片段

[R1]ip route-static 0.0.0.0 0.0.0.0 ( 1 )

[R1]ip route-static 0.0.0.0 0.0.0.0 ( 2 ) preference 100

R2上的配置片段：

[R2]ip route-static ( 3 ) 110.125.0.1

以下两条命令的作用是( 4 )

[R2]ip route-static 10.2.2.0 0.255.255.255 10.12.0.1

[R2]ip route-static 10.2.2.0 0.255.255.255 10.23.0.3 preference 100

问题2(3分)

通过在R1、R2和R3上配置双向转发检测(Bidirectional Forwarding Detelet) 实现链路故障快速检测和静态路由的自动切换。

以R3为例配置R3和R2之间的BFD会话，请补全下列命令：

[R3]( 5 )

[R3-bfd] quit

[R3]bfd 1 bind peer-ip( 6 )source-ip ( 7 ) auto

[R3-bfd-session-1]commit

[R3-bfd-session-1]quit

问题3(6分)

通过配置虚拟路由冗余协议(Virtual Router Redundancy Protocol，简称VRRP)通过交换机S1双归属到R1和R3，从而保证链路发生故障时服务面的业务不中断，R1为主路由，R3为备份路由，且虚拟浮动IP地址为10.2.2.10。

根据上述配置要求，服务器的网关地址应配置为( 8 )。

在R1上配置与R3的VRRP虚拟组相互备份：

[R1]int g0/0/1

//创建VRRP虚拟组

[R1-GigabitEthernet0/0/1]vrrp vrid 1 virtual-ip ( 9 )

//配置优先级为120

[R1-GigabitEthernet0/0/1]vvrp vrid1 priority 120

下面这条命令的作用是

[R1-GigabitEthernet0/0/1]vrrp vrid 1 preempt-mode timer delay2

//跟踪GE0/0/0端口，如果GE0/0/0端口down，优先级自动减30

[R1-GigabitEthernet0/0/1]vrrp vrid 1 track interface GE0/0/0 seduced 30

请问R1为什么要跟踪GE0/0/0端口?

答：( 11 )

问题4(5分)

通过配置ACL限制PC所在网段在2021年11月6日上午9点至下午5点之间不能访问服务器的Web服务（工作在80端口），对园区内其它网段无访问限制。

定义满足上述要求ACL的命令片段如下，请补全命令。

[XXX]( 12 ) ftime 9:00 to 17:00 2021/11/6

[XXX]acl 3001

[XXX-acl-adv-3001]rule ( 13 ) tcp destination-port eq 80 source destination

10.2.2.22 0.0.0.0 time-range( 14 )

上述ACL最佳配置设备是 ( 15 )。

解析：

问题1：

(1)10.12.0.2     (2)10.13.1.3     (3)0.0.0.0 0.0.0.0

(4)配置去往服务器网段的浮动静态路由，经R1路由器转发为主链路优先选择，经R3路由器转发为备份链路。当主链接出现故障时使用。

问题2：

(5)BFD   (6)10.23.0.1  (7)10.23.0.3

问题3：

(8) 10.2.2.10   (9)10.2.2.10     (10)配置VRRP为抢占模式，延时2秒抢占

(11)当上联接口失效时，R3路由器能及时抢占主设备，为服务器实现数据转发，保证业务不中断。

问题4：

(12)time-range  (13)deny   (14)ftime     (15)路由器R2的GE2/0/0接口的入方向

试题四(15分)

某公司办公网络拓扑结构如下图所示，其中，在交换机Switch上启用DHCP为客户端分配IP地址。公司内部网络采用基于子网的VLAN划分。

问题1(5分)

由于公司业务特点需要，大部分工作人员无固定工位。故公司内部网络采用基于子网划分的VLAN并采用DHCP策略VLAN功能为客户端分配IP地址。请根据以上描述，填写下面的空白。

DHCP策略VLAN功能可实现新加入网络主机和DHCP服务器之间DHCP报文的互通，使新加入网络主机通过DHCP服务器获得合法IP地址及网络配置等参数。

在基于子网划分VLAN的网络中，如果设备收到的是Untagged帧，设备将根据报文中的( 1 )，确定用户主机添加的VLAN ID。新加入网络的主机在申请到合法的IP地址前采用源IP地址( 2 )进行临时通信，此时，该主机无法加入任何VLAN，设备会为该报文打上接口的缺省VLAN ID( 3 )。由于接口的缺省VLAN ID与DHCP服务器所在VLAN ID不同，因此主机不会收到IP地址及网络配置等参数配置信息。DHCP策略VLAN功能可使设备修改收到的DHCP报文的( 4 )VLANTag，将VLAN ID设置为( 5 )所在VLAN ID，从而实现新加入网络主机与DHCP服务器之间DHCP报文的互通，获得合法的IP地址及网络配置参数。该主机发送的报文可以通过基于子网划分VLAN的方式加入对应的VLAN。

(1)~(5)备选答案：

A.255.255.255.255    B.内层     C.外层     D.源IP地址    E.DHCP服务器

F.1    G.0.0.0.0      H.源MAC地址    I. 1023

问题2(10分)

根据业务要求，在部门A中，新加入的MAC地址为00-81-01-FA-21-34，主机HOST A需要加入VLAN 10并获取相应IP地址配置，连接在交换机Switch B的GE0/0/3接口上的主机需加入VLAN 20并获取相应IP地址配置，部门B中的所有主机应加入VLAN 30并获取相应IP地址配置。

请根据以上要求，将下面配置代码的空白部分补充完整。

1.在Swich A上配置VLAN 30的接口地址池功能

#在Switch A上创建VLAN，并配置VLANIF接口的IP地址。

system-view

[HUAWEI] sysname SwitchA

[SwitchA]( 6 ) enable

[SwitchA]vlan batch 10 20 30

[SwitchA]interface vlanif 30

[SwitchA-Vlanif30]ip address ( 7 ) 24

[SwitchA-Vlanif30]quit

[SwitchA]interface vlanif 30

[SwitchA-Vlanif30]dhcp select ( 8 )  //使能VLANIF接口地址池

[SwitchA-Vlanif30]quit

[SwitchA]interface gigabitethernet 0/0/2   //配置接口加入相应VLAN

[SwitehA-GigabitEthernet0/0/2]port link-type ( 9 )

[SwitehA-GigabitEthernet0/0/2]port trunk allow-pass vlan 30

[SwitchA-GigabitEthernet0/0/2]quit

//VLAN 10和VLAN 20的配置略

2.在Switch C上与主机Host C和Host D相连的接口GE0/0/2配置基于子网划分VLAN功能，并配置接口为Hybrid Untagged类型。

system-view

[HUAWEI] sysname SwitchC

[SwitchC]dhcp enable

[SwitchC]vlan batch 30

[SwitchC]interface ( 10 )

[SwitchC-GigabitEthernet0/0/1]port link-type trunk

[SwitchC-GigabitEthernet0/0/1]port trunk allow-pass vlan30

[SwitchC-GigabitEthernet0/0/1]quit

[SwitchC]interface gigabitethernet 0/0/2

[SwitchC-GigabitEthernet0/0/2] ( 11 ) enable

[SwitchC-GigabitEthernet0/0/2]quit ( 12 ) untagged vlan30

[SwitchC-GigabitEthernet0/0/2]

//SwitchB基于子网划分VLAN配置略

3.在Switch B上分别配置基于MAC地址和基于的DHCP策略VLAN功能

[SwitchB]vlan 10

[SwitchB vlan 10]iF-subnet-vlaniF 10.10.10.1 24

[SwitchB vlan 10]dhcp policy-vlan ( 13 )

[SwitchB vlan 10]quit

[SwitchB]vlan 20

[SwitchB vlan 20]iF-subnet-vlan iF 10.10.20.1 24

[SwitchB vlan 20]dhcp policy-vlan ( 14 ) gigabitethernet0/0/3

[SwitchB vlan 20]quit

4.在Switch C上配置普通的DHCP策略VLAN功能

[SwitchC]vlan 30

[SwitchB vlan 30]iF-subnet-vlan iF 10.10.30.1 24

[SwitchB vlan 30]dhcp policy-vlan ( 15 )

[SwitchB vlan 30]quit

(6)~(15)备选答案：

A.port     B.dhcp     C.interface     D.mac-address   E.ip-subnet-vlan

F.generic   G.10.10.30.1    H.hybird   I.trunk     J.gigabitethernet0/0/1

解析：

问题1：

(1)D  (2)G  (3)F   (4)C   (5)E

问题2：

(6)B   (7)G   (8)C   (9)I   (10)J   (11)E   (12)H   (13)D