2023年上半年网络工程师试题

2023年上半年网络工程师试题

【试题一】

阅读以下说明，回答问题1至问题4将解答填入答题纸对应的解答栏内。

【说明】

某企业办公楼网络拓扑如图1-1所示。该网络中交换机Switch1-Switch4均是二层设备，分布在办公楼的各层，上联采用千兆光纤。核心交换机、防火墙、服务器部署在数据机房，其中核心交换机实现冗余配置。

在这里插入图片描述

【问题1】（4分）

该企业办公网络采用172.16.1.0/25地址段，部门终端数量如表1-1所示，请将网络地址规划补充完整。

表1-1

部门 终端数量 可配置IP地址范围 子网掩码

A 8 172.16.1.1~17216.1.14 （28）

B 12 （172.16.1.17~172.16.1.30） 28

C 30 （172.16.1.33~172.16.1.62） 27

D 35 172.16.1.65~172.16.1.126 （26）

（1）简要说明图1-1中干线布线与水平布线子系统分别对应的区间。

干线子系统对应的区间是核心交换机与办公楼各楼层交换机之间的连接；

水平布线子系统对应的区间是办公楼各楼层交换机与对应楼层的工作区信息插座之间的连接。

（2）在网络线路施工中应遵循哪些规范？（至少回答4点）

施工规范：

1、水平子系统中配线间到工作区信息插座申缆不超过90米，工作区子系统中信息插座到网卡不超过10米；

2、线缆两端应贴有标签，标签自己清晰、正确

3、缆线应远离高温、易腐蚀和电磁干扰的场地。

4、缆线的布防应自然平直，不得产生扭绞、打圈接头等现象

5、尽量不与强电平行，避免或减少与强电交叉，以免带来串扰。

6、信息插座通常安装在工作间四周的墙壁下方，距离地点30cm。

【问题3】（6分）

若将PC-1、PC-2划分在同一个VLAN进行通信，需要在相关交换机上做哪些配置？在配置完成后应检查哪些内容？

①在核心交换机、Switch2和Switch3上创建Vlan，核心交换机、Switch2和Switch3上对应的接口加入Vlan。

并将各交换机之间的接口设置为Trunk模式，允许VLAN报文通过。

②检查Switch2和Switch3上连接PC1和PC2的端口的MAC地址学习是否正确，IP地址是否配置正确，测试PC1和PC2是否能互相ping通。

【问题4】（4分）

（1）简要说明该网络中核心交换机有哪几种冗余配置方式。

核心交换机冗余配置方式有：VRRP方式、堆叠方式、M-LAG方式。

（2）在该网络中增加终端接入认证设备，可以选择在接入层、核心层或者DMZ区部署，请选楼最合理的部区域并说明理由。

部署在接入层，控制点更低，可以获得终端用户的MAC、VLAN信息，可以实现 MAC、VLAN的绑定策略，不影响核心设备的性能，且安全性更好。

试题二(20分)

某企业网络拓扑如图2-1所示，该企业通过两个不同的运营商(ISP1和ISP2)接入Internet，内网用户通过NAT访问Internet。公网用户可通过不同的ISP访问企业内部的应用。

问题1(6分)

为充分利用两个运营商的带宽，请提供至少4种多出口链路负载策略。

在下列策略中选择4钟即可：

1.匹配ISP的策略

2.基于目标地址的策略路由

3.基于流量的负载均衡策略

4.基于应用的出口策略

5.基于链路带宽负载分担

6.基于链路状态负载分担

问题2(6分)

内网服务器Server需对外发布提供服务，互联网用户可通过ISP1、ISP2来访问，Server 的服务端口为TCP 9980。请根据以上需求配置安全策略，允许来自互联网的用户访问Server提供的服务。

USG\]security-policy \[USG-policy-security\]rule name http \[USG-policy-security-rule-http\]source-zone lSP1 \[USG-policy-security-rule-http\]source-zone ISP2 \[USG-policy-security-rule-http\]destination-zone trust \[USG-policy-security-rule-http\]destination-address ( 1 10.10.10.10 32 ) \[USG-policy-security-rule-http\]service protocol ( 2 TCP ) destination-port ( 3 9980 ) \[USG-policy-security-rule-http\]action ( 4 Permit ) \[USG-policy-security-rule-http\]quit (1) 10.10.10.10 32 (2) TCP (3) 9980 (4) Permit 问题3(4分) 经过一段时间运行，经常有互联网用户反映访问Server的服务比较慢。经过抓包分析发现部分应用请求报文和服务器的回应报文经过的不是同一个ISP接口。请分析原因并提供解决方法。 产生该问题的原因是数据包的往返路径不一致，从ISP1通过防火墙访问服务器的请求数据包，服务器发送响应数据包时，出口路由策略使其选择ISP2传送，导致使数据包的来回路径不一致。 解决方案：打开USG防火墙的源进源出功能。 问题4(4分) 企业网络在运行了一段时间后，网络管理员发现了一个现象：互联网用户通过公网地址可以正常访问Server，内网用户也可以通过内网地址正常访问Server，但内网用户无法通过公网地址访问Server，经过排查，安全策略配置都正确。请分析造成该现象的原因并提供解决方案。 没有在防火墙的下行接口配置服务器Easy IP方式的NAT Outbound，将内部服务器与内网PC之间的流量都引到防火墙上进行转发，实现内网用户通过公网端口的IP地址访问服务器功能。 试题三(20分) 图3-1为某公司网络骨干路由拓扑片段(分部网络略)，公司总部与分部之间运行BGP获得路由，路由器RA、RB、RC 以及RD之间配置 iBGP建立邻居关系，RC 和RD之间配置OSPF进程。所有路由器接口地址信息如图所示，假设各路由器已经完成各个接口IP等基本信息配置。  问题1(2分) 按图3-1所示配置完成BGP和OSPF路由相互引入后，可能会出现路由环路，请分析产生路由环路的原因。 OSPF路由可以通过路由引入的方式在BGP进程进行重发布。 问题2(10分) 要求：配置BGP和OSPF基本功能(以RA和RB为例)，并启用RC和RD之间的认证，以提升安全性。 补全下列命令完成RA和RB之间的BGP配置： #RA启用BGP，配置与RB的IBGP对等体关系。 \[RA\]bgp 100 \[RA-bgp\]router-id 10.11.0.1 \[RA-bgp\]peer 10.12.0.2 as-number ( 1 100 ) \[RA-bgp\]ipv4-family unicast \[RA-bgp-af-ipv4\]peer ( 2 10.12.0.2 ) enable \[RA-bgp\]quit #RB启用BGP，配置与RA、RC和RD的IBGP对等体关系。 \[RB\]bgp 100 \[RB-bgp\]router-id 10.22.0.2 \[RB-bgp\]peer ( 3 10.12.0.1 ) as-number 100 #配置与RA的对等关系 ......#其它配置省略 #配置RC和RD的OSPF功能(以RC为例)，并启用OSPF认证 \[RC\]ospf 1 router-id 10.33.0.3 \[RC-ospf-1\] area 0 \[RC-ospf-1-area-0.0.0.0\]network ( 4 10.10.10.0 0.0.0.255 ) #发布财务专网给RD，其它省略 \[RC-ospf-1-area-0.0.0.0\]authentication-mode simple ruankao \[RC-ospf-1\]quit (1)100 (2)10.12.0.2 (3)10.12.0.1 (4)10.10.10.0 0.0.0.255 ( 5 ) OSPF认证方式有哪些?上述命令中配置RC的为哪种? 区域认证和接口认证。配置RC的区域认证 ( 6 )如果将命令authentication-mode simple ruankao替换为authentication-mode simple plain ruankao，则两者之间有何差异? simple表示使用简单验证模式。simple验证模式默认是cipher类型(密文认证方式)。 plain表示明文方式显示口令(不加密)。 问题3(8分) 要求：配置BGP和OSPF之间的相互路由引入并满足相应的策略，配置路由环路检测功能。 \[RC-ospf-1\]import-route bgp permit-ibgp #该命令的作用是( 7 允许在IGP协议中引入IBGP ) ...#其它配置省略 #配置RD的BGP引入OSPF路由，并配置路由策略禁止发布财务专网的路由给BGP。 \[RD\]acl number 2000 #配置编号为2000的ACL，禁止10.10.10.0/24通过 \[RD-acl-basic-2000\]rule deny source ( 8 10.10.10.0 ) 0.0.0.255 \[RD-acl-basic-2000\]quit \[RD\]route-policy rp #配置名为rp的路由策略 \[RD-route-policy\]if-match acl ( 9 2000 ) \[RD-route-policy\]quit \[RD\]bgp 100 \[RD-bgp\]ipv4-family unicast \[RD-bgp-af-ipv4\]import-route ospf 1 ( 10 Route-policy rp ) \[RD-bgp\]quit #以RA为例，启用BGP环路检测功能。 \[RA\]route ( 11 Loop-detect ) bgp enable (7)允许在IGP协议中引入IBGP (8)10.10.10.0 (9)2000 (10)Route-policy rp (11)Loop-detect 试题四(15分) 某公司网络拓扑如图4-1所示。  图4-1 问题1(10分) 公司计划在R1、R2、R3上运行RIP，保证网络层相互可达。接口IP地址配置如表4-1所示。  问题1(10分) 公司计划在R1、R2、R3上运行RIP，保证网络层相互可达。接口IP地址配置如表4-1所示。请将下面的配置代码补充完整。 \[HUAWEI\]( 1 system-view ) \[HUAWEl\]sysname ( 2 R1 ) \[R1\] interface GigabitEthernet 0/0/0 \[R1-GigabitEthernet 0/0/0\]ip address 10.0.1.254 255.255.255.252 \[R1-GigabitEthemet 0/0/0\]interface GigabitEthernet0/0/1 \[R1-GigabitEthernet 0/0/1\]ip address ( 3 10.0.1.250 ) 255.255.255.252 \[R1-GigabitEthernet 0/0/2\]interface GigabitEthernet0/0/2 \[R1-GigabitEthernet 0/0/2\]ip address 100.1.1.1 255.255.255.0 \[R1-GigabitEthernet 0/0/2\]quit \[R1\]rip \[R1-rip-1\]( 4 rip2 ) \[R1-rip-2\]undo summary \[R1-rip-2\]network ( 5 10.0.0.0 ) \[R1-rip-2\]network 100.0.0.0 ...... R2、R3的RIP配置略 ...... (1) system-view (2)R1 (3)10.0.1.250 (4) rip2 (5)10.0.0.0 问题2(3分) 公司计划在R2和R3的链路上使用RIP与BFD联动技术，采用BFD echo报文方式实现当链路出现故障时，BFD能够快速感知并通告RIP协议。 请将下面的配置代码补充完整。 \[R2\]interface gigabitethernet ( 6 0/0/1 ) \[R2-GigabitEthernet0/0/1\]undo( 7 portswitch ) #关闭接口GEO/0/1的二层转发特性 \[R2-GigabitEthernet0/0/1\]rip bfd ( 8 static ) #使能接口GEO/0/1的静态BFD特性 (6)0/0/1 (7) portswitch (8)static 问题3(2分) 公司通过R1连接Internet，为公司提供互联网访问服务，在R1上配置了静态路由向互联网接口，为了使网络均能够访问互联网，需通过RIP将该静态路由进行重分布。请将下面的配置代码补充完整。 \[R1-rip-2\]default-route ( 9 originate ) (9) originate