软考网络工程师-案例分析易错题整理
一、问题一
某单位网络拓扑如下图所示.STISW2为核心层交换机,PC网关配置在核心层,SW3-SW4为接入层交换机,行政部PC划为vlan10,销售部PC划为vlan20。
【问题1】要求实现骨干链路冗余,需要在哪些设备之间增加连线?增加连线后还需要配置什么避免形成二层环路?''
答:在SW1-SW2、SW1-SW4、SW2-SW3之间增加连线,增加连线后,需要配置STP生成树防止环路。
【问题2】要求vian10的网关默认配置在SW1上,vlan20的网关默认配置在SW2上当SW1或SW2任意一台设备故障后,不影响PC访问网关,请写出配置要点.
答:配置VRRP协议,PC网关为对应VLAN的虚拟网关;配置VRRP虚拟网关;配置VRRP优先级;配置抢占功能;配置上行链路追踪。
【问题3】要求配置PC能通过DHCP服务器正常获取IP地址,请写出配置要点。
答:DHCP服务器配置正确的IP地址;配置路由,使PC到DHCP服务器路由可达;DHCP服务器配置对应不同VLAN的地址池,网关地址,DNS地址等,SW1与SW2作为PC的网关设备,SW1与SW2启用DHCP服务,配置DHCP中维,指向DHCP服务器地址。
【问题4】
为加强终端PC安全防护,要求各PC均不能互访,请写出配置要点。
答:隔离相同VLAN内主机通信;在SW3和SW4配置ACL或端口隔离技术;隔离不同VLAN间通信;在SW1和SW2配置ACL;配置端口隔离时,将所有接入PC的端口放入到相同组中,实现PC之间互相隔离;配置ACL时需要注意调用的接口和方向。
二、问题二
某集团公司新建公司总部办公园区,包括办公楼3栋、办公云终端500余台、数据中心1个。计划部署200余台服务器搭建云中心,为集团总部和异地分公司的办公终端提供云资源。办公楼建设多个4K视频会议系统,网络需支持多终端设备的灵活便捷接入。
【问题1】请从传输、安全、接入、性能4个方面简要分析该企业网络建设的关键业务需求。
答:
①传输方面:实现总部园区与异地分公司之间的数据交互,承载200余台服务器、500余台办公云终端及4K视频会议系统的内部通信,确保低延迟、无卡顿、无阻塞。
②安全方面:企业内部网络按业务分区,部署安全设备及访问控制策略,实施边界防护,保障总部与异地分公司访问云资源时的云接入安全,实施零信任网络访问,对接入行为进行严格身份验证与授权,加强内部威胁防护,对企业内部所有终端设备实施安全防护,保障企业内部数据安全。
③接入方面:实现无线网络覆盖,提供统一的宽带接入与VPN接入能力。
④性能方面:支持云数据中心的高性能计算需求,保障云桌面响应速度,优化4K视频会议体验。
【问题2】该园区网络按照层次化网络(三层)设计,请简述每层应实现的功能。
答:
①核心层:负责南北向流量的高速转发。
②汇聚层:实现办公云终端、4K视频会议系统等流量的汇聚,并部署安全策略、访问控制及路由聚合等功能。
③接入层:提供办公云终端与4K视频会议系统的接入支持,实施区域VLAN划分等功能。
【问题3】核心交换机可采用VRRP或堆叠实现关键节点设备冗余,请简要说明VRRP和堆叠的区别。
答:
①VRRP为路由冗余协议,可将多台独立设备组合为一个虚拟网关,管理员需分别管理每台设备并独立配置,该协议不支持跨设备链路聚合,故障切换时间为秒级,且备份设备处于闲置状态,利用率较低。
②堆叠为设备虚拟化技术,将多台物理设备虚拟为一台逻辑设备,使二层网络在逻辑上无环路,管理员可统一管理整个堆叠系统,支持跨设备链路聚合,故障切换时间为毫秒级,所有设备同时工作,利用率高。
【问题4】请简要回答该数据中心的配电方案设计要点。
答:
①高可用架构:采用双路市电+UPS+发电机组成冗余电源,并通过ATS自动切换,确保供电连续性。
②容量与规划:根据当前及未来负载(200余台服务器及增长)精确计算容量,并预留充足扩展空间。
③消除单点故障:在配电环节采用双总线等冗余设计,确保从源头到服务器机柜PDU的整个路径无单点故障。
④智能与模块化:采用模块化设备便于扩容维护,并部署智能监控系统对全链路电力参数进行实时监控与管理。
三、问题三
某高校网络拓扑如下图所示,两校区核心(CORE-1,CORE-2),出口防火墙(NGFW-1,NGFW-2)通过校区间光缆互联,配置OSPF实现全校路由收效,校区相距40km。两校区默认由本地出口进行互联网访问。
【问题1】新校区规划以双栈方式部署IPv6网络,分配的IPv6地址为:240C:DB8:1024::/49,请将1Pv6网络地址规划表补充完整。
答:
①240C:DB8:1024:1:: - 240C:DB8:1024:1:FFFF:FFFF:FFFF
②51
【问题2】为实现NGFW-2与NGFW-1、CORE-2正常建立OSPF邻居关系,实现路由全收网络工程师对NGFW-2进行相关配置,请补充完善下列由trust到local的配置。
NGFW-2\]firewallzonetrust \[NGFW-2-zone-trust\]addinterfaceGigabitEthernet0/0/1 \[NGFW-2-zone-trust\]addinterfaceGigabitEthernet0/0/2 \[NGFW-2\]security-policy \[NGFW-2-policy-security\]rulenamepolicy1 \[NGFW-2-policy-security-rule-policy_1\]source-zonetrust \[NGFW-2-policy-security-rule-policy1\]destination-zone(1) \[NGFW-2-policy-security-rule防火墙的G0/0/4接口指向运营商61.2.7.1地址,而内部地址没有被NAT转换。配置基于换并配置相关放行策略。-policy1\]source-address(2) \[NGFW-2-policy-security-rule-policy1\]serviceprotocol(3) \[NGFW-2-policy-security-rule-policy_1\]action(4) 答: ①local ②10.0.0.0 24 ③89 ④permit 【问题3】网络工程师收到故障报告,某终端用户可成功获取IP地址,正常访问校内业务,却无法访问Internet,在该终端上路由跟踪测试,可正常至NGFW-2,于是在终端上进行ping114.114.114.114测试,结果显示"请求超时",同时在NGFW-2查看到如下会话:  请分析该故障的原因并提出解决措施。 答:防火墙的G0/0/4接口指向运营商61.2.7.1地址,而内部地址没有被NAT转换。配置基于换并配置相关放行策略。 【问题4】网络工程师接到故障报告,某终端用户网络时通时断,无法正常上网,在用户终端上通过命令测试结果如下:(图略)通过上图可以判断网络遭受了(1)攻击,为解决该故障,网络工程师在用户电脑上配置了静态ARP绑定,同时在设备(2)上配置(3)功能。 ①ARP欺骗 ②CORE2 ③防ARP欺骗攻击 【问题5】网络工程师配置NGFW-2作为SSLVPN网关为网络管理员提供安全远程接入,可以随时随地对校园网内网络进行访问和管理。SSLVPN充分利用SSL协议基于数字证书提供的安全机制,为应用层之间的通信建立安全连接。 (1)SSL协议安全机制包括:( )、数据加密、( ) (2)数据加解密算法主要分为对称密钥算法、非对称密钥算法,请简要描述SSL协议如何利用这两类算法实现数据传输的机密性。 (3)网络工程师在配置SSLVPN之前,需要向( )申请证书文件,并将其上传至NGFW-2的指定位置。 答: ①身份验证、消息完整性 ②发送方在发送数据前,使用加密算法和加密密钥对数据进行加密,然后将数据发送给对方,接收方接收到数据后,利用解密算法和解密密钥从密文中获取明文,没有解密密钥的第三方,无法将密文恢复为明文,从而保证数据传输的机密性。 ③CA ## 四、问题四 某单位计划部署园区网络,该单位总部设在A区,另有两个分别设在B区和C区,各个地区之间距离分布如图1-1所示。该单位的主要网络业务需求在A区,在网络中心及服务器机房亦部署在A区;B的网络业务流量需求远大于C区;C区的虽然业务流量小,但是网络可靠性要求高。根据业务需要,要求三个区的网络能够互通并且都能够访问互联网,同时基于安全考虑单位要求采用一套认证设备进行身份认证和上网行为管理。  为了保障业务需求,该单位采用两家运营商接入internet。根据题目需求,回答下列问题; 1.两家运营商的internet 接入线路应部署在哪个区?为什么? 2.网络运营商提供的mplsvpn和千兆裸光纤两种互联方式,哪一种可靠性高?为什么? 3.综合考虑网络需求及运营成本,在AB区之间与AC区之间分别采用上述那种方式进行互联? 答: 1.Internet接入线路部署在A区,因为A区是网络中心,B区和C区访问Internet需经A区。 2.千兆裸光纤可靠性更高,因为它是物理层点对点直连,不受运营商网络波动影响。 3.AB区之间采用千兆裸光纤(业务流量大、距离近、需高带宽); 4.AC区之间采用MPLS VPN(业务流量小、距离远、成本低)。 ## 五、问题五 某企业网络拓扑如图1,网络规划详见表1。所有业务网关均位于交换机Core上,有线终端、无线终端、无线AP均由DHCP服务器分配IP地址及网络参数。   【问题1】管理员在Core上规划了ACL,需求如下: 1.只允许无线、有线终端访问DNS服务器的DNS服务 2.禁止无线用户访问设备管理、无线AP管理网络。  答: ①10.10.3.0/24 ②permit ③10.10.0.0/24 ④deny 【问题2】网管员发现某台主机感染了病毒,大部分的文件后缀都变成了.LOCK,桌面背景被篡改,提示" your data has been locked, mail to xxxx@lock.xyz"。该主机可能感染(5)类型的病毒,网管员应采取的(6)措施(至少回答3点措施) 答: ⑤勒索 ⑥断开该主机网络、升级杀毒软件病毒库,查杀病毒、尝试解密或恢复数据、更新系统补丁、关闭不必要服务和端口、部署防护设备。 【问题3】 网络使用一段时间后,用户反馈互联网业务变慢,网络管理员发现NGFW和Core之间下行带宽长时间利用率100%,计划利用空闲的千兆端口,在NGFW和Core之间增加一条链路,实现链路带宽扩容以解决网络故障。网管员规划以下两种扩容技术方案: 方案一:原有链路不变,两台设备之间新增链路采用新的互联地址,通过配置静态路由形成(7)从而实现两条链路的流量负载。 方案二:采用链路聚合技术,将原有链路和新增链路捆绑在一起形成一条逻辑链路,实现链路带宽的提升。为防止接收端接收到的数据包乱序,可采用(8)负载机制,既能保证同一数据流在同一条物理链路上转发,又实现了各物理链路上的负载分担。网络管理员选择方案二进行配置,防火墙的链路聚合配置如下: \[NGFW\] interface eth-trunk 1 \[NGFW-Eth-Trunk1\] trunkport gigabitethernet 0/1 \[NGFW-Eth-Trunk1\] trunkport gigabitethernet 0/2 \[NGFW-Eth-Trunk1\] load-balance src-dst mac \[NGFW-Eth-Trunk1\] port link- type trunk \[NGFW-Eth-Trunk1\] port trunk allow-pass vlan 100 交换机Core的链路聚合配置与防火墙相同,配置完成后,网管员发现网络体验并未得到改善,查看物理链路、聚合链路状态均正常,但流量依然集中在原有的链路上,新增链路几乎无流量。请分析其原因是(9),可采取(10)措施解决该故障。 答: ⑦等价路由 ⑧逐流 ⑨基于源目的mac负载方式可能造成流量单一 ⑩调整负载均衡策略