2024年上半年软考网络工程师(下午)试题解析
试题一(20分)
阅读以下说明,回答问题。
【说明】 某公司计划在骨干网络上建立静态MPLS,以便部署L2VPN或者L3VPN业务。其网络拓扑结构如下图所示。
【问题1】(6分)
MPLS基于(1)进行转发,进行MPLS标签交换和报文转发的网络设备称为(2),构成MPLS域(MPLS Domain)。位于MPLS域边缘、连接其他网络的LSR称为(3),区域内部的LSR称为核心LSR(Core LSR),IP报文进入MPLS网络时,MPLS入口设备分析IP报文的内容并为其添加合适的标签,所有MPLS网络中的LSR根据标签转发数据,当该IP报文离开MPLS网络时,标签由出口LER弹出。
IP报文在MPLS网络中经过的路径称为(4),LSP是一个单向路径,与数据流的方向一致。LSP的入口LER称为(5);位于LSP中间的LSR称为中间节点(Transit);LSP的出口LER称为(6)。一条LSP可以有0个、1个或多个中间节点,但有且只有一个入节点和一个出节点。
(1)~(6)备选答案:
A.标签交换路由器LSR(Label Switching Router)
B.标签交换路径LSP(Label Switched Path)
C.标签
D.入节点(Ingress)
E.边缘路由器LER(Label Edge Router)
F.出节点(Egress)
【参考答案】:(1)C (2)A (3)E (4)B (5)D (6)F
【问题2】
上图中,骨干网络中已完成路由协议配置,各个节点之间可以互通。下面是为该网络配置静态MPLS的代码,请将下面的配置代码补充完整。
#使能LSR-1及各接口的MPLS功能
[LSR-1]mpls(7)1.1.1.9
[LSR-1](8)
[LSR-1-mpls]quit
[LSR-1]interface(9)100
[LSR-1-Vlanif100]mpls
[LSR-1-Vlanif100]quit
#创建从LSR-1到LSR-3的静态LSP
[LSR-1]static-lsp ingress LSPl destination 3.3.3.9 32 nexthop 172.16.1.2 (10)20
[LSR-2]static-lsp transit LSP1 incoming-interface vlanif 100 in-label(11)nexthop 172.16.1.2 out-label(12)
[LSR-3]static-lsp egress LSPl incoming-interface vlanif 200 (13) 40
#创建从LSR-3到LSR-1静态LSP
[LSR-3]static-lsp ingress LSP2 destination 1.1.1.9 32 nexthop 172.16.1.1 out-label 30
[LSR-2]static-lsp transit LSP2 incoming-interface vlanif 200 in-label (14)nexthop 172.16.1.1 out-label (15)
[LSR-1]static-lsp egress LSP2 incoming-interface vlanif 100 in-label 60
【参考答案】:
(7)lsr-id (8)mpls (9)vlanif (10) out-label
(11)20 (12)40 (13)in-label(14) 30 (15)60
试题二(20分)
阅读以下说明,回答问题。
【说明】某网络拓扑如下图所示,路由器R1、R2、R3通过OSPF实现网络互通,R1和R3建立iBGP邻居关系,R3和R5建立eBGP邻居关系,R1和R4建立eBGP邻居关系。
【问题1】(10分)
各路由器IP地址等基本参数已正确配置,且R1、R2、R3之间OSPF邻居关系已建立且完成收敛,在R4配置本地回环Lo 0模拟ISP地址210.23.3.4/32,根据要求完成以下配置。
以R1为例配置BGP。
[R1]bgp(1)
[R1-bgp]peer(2)as-number(3)//与R4建立BGP邻居关系
[RI-bgp]peer 10.14.14.4 enable
……
[R1-bgp]peer 3.3.3.3 next-hop-local//作用是:(4)
在R4将210.23.3.4/32引入BGP
[R4]bgp200
[R4-bgp](5)//将210.23.3.4/32引入BGP
【参考答案】:
(1)100
(2)10.14.14.4
(3)200
(4)设置向IBGP对等体通告路由时,把下一跳属性设置为自身发送BGP报文的源地址。
备注:默认情况下,BGP在向eBGP对等体通告路由时,会将下一跳属性设置为自身发送BGP报文的源地址;在向iBGP对等体通告路由时,不改变下一跳属性。
(5)import-route direct
【问题2】(3分)
上述配置完成后,路由器R5上210.23.3.4/32的路由信息如下图所示,但是却无法ping通210.23.3.4,请分析原因。
【参考答案】:
当访问210.23.3.4时,R5查询BGP路由表,首先将报文转发到10.35.35.3,R3接收到报文以后查询路由表发现BGP路由的下一跳地址为R1,由于R1并非自己的直连路由,根据OSPF路由表查询到达R1的下一跳地址为R2,当R2收到上报文后,由于其没有启用BGP路由协议,所以路由表中无法查询到去往210.23.3.4的路由,从而无法转发。这种现象称为BGP路由黑洞,由于发现路由表中没有到达210.23.3.4/32的路由,于是将报文丢弃,从而形成了“路由黑洞”。
【问题 3】(7 分)
管理员计划采用BGP路由反射功能解决上述问题。BGP路由反射功能需要遵循如下三条规则:
从非客户机学到的路由,反射器发布给(6);
从客户机学到的路由,反射器发布给(7);
从eBGP邻居学到的路由,反射器发布给所有的非客户机和客户机。
#BGP反射器配置片段,配置R1为反射器、R2为客户机
……略去R2和R1建立BGP邻居配置
[R1-bgp] reflector cluster-id 12 //该条命令的作用是(8)
[R1-bgp] peer (9) reflect-client
【参考答案】:
(6)所有客户机
(7)所有非客户机和客户机(发起此路由的客户机除外)
(8)配置路由反射器的集群ID为12
(9)2.2.2.2
试题三(20分)
阅读以下说明,回答问题。
【说明】某高校网络拓扑如下图所示,两校区核心(CORE-1,CORE-2),出口防火墙(NGFW-1,NGFW-2)通过校区间光缆互联,配置OSPF实现全校路由收敛,校区相距40km。两校区默认由本地出口进行互联网访问。
新校区规划以双栈方式部署IPv6网络,分配的IPv6地址为: 240C:DB8:1024::/49。请将IPv6网络地址规划表补充完整。
业务
终端数量
可用地址范围
前缀长度
分配方式
设备管理
300
240C:DB8:1024::~ (1)
64
静态
有线网络终端
8000
240C:DB8:1024:2000::~
240C:DB8:1024:3FFF:FFFF:FFFF:
FFFF:FFFF
51
动态
无线网络终端
15000
(2)
(3)
动态,51~64位为终端独享
【参考答案】:
(1)240C:DB8:1024::FFFF:FFFF:FFFF:FFFF
(2)240C:DB8:1024:4000::~240C:DB8:1024:7FFF:FFFF:FFFF:FFFF:FFFF
(3)50
【问题2】(4分)
为实现NGFW-2与NGFW-1、CORE-2正常建立OSPF邻居关系,实现路由全收敛,网络工程师对NGFW-2进行相关配置,请补充完善下列由trust到local的配置。
[NGFW-2]firewall zone trust
[NGFW-2-zone-trust]add interface GigabitEthernet0/0/1
[NGFW-2-zone-trust]add interface GigabitEthernet0/0/2
[NGFW-2]security-policy
[NGFW-2-policy-security]rule name policy1
[NGFW-2-policy-security-rule-policy1]source-zone trust
[NGFW-2-policy-security-rule-policy1]destination-zone(1)
[NGFW-2-policy-security-rule-policy1]source-address(2)
[NGFW-2-policy-security-rule-policy1]service protocol(3)
[NGFW-2-policy-security-rule-policy1]action(4)
【参考答案】:
(1) local
(2)10.0.0.2 32
(3) 89
(4) permit
【问题3】(4分)
网络工程师收到故障报告,某终端用户可成功获取IP地址,正常访问校内业务,却无法访问Internet.在该终端上路由跟踪测试,可正常至NGFW-2,于是在终端上进行ping 114.114.114.114测试,结果显示“请求超时”,同时在NGFW-2查看到如下会话:
请分析该故障的原因并提出解决措施。
【参考答案】:
根据图中“10.21.0.25-->114.114.114.114:2048 可判断终端访问Internet的报文在通过防火墙时没有进行NAT转换,从而导致Internet回复的报文无法送回。解决措施是在防火墙上配置基于源地址的NAT转换策略。
【问题4】(3分)
网络工程师接到故障报告,某终端用户网络时通时断,无法正常上网。在用户终端上通过命令测试结果如下:
通过上图可以判断网络遭受了(8)攻击,为解决该故障,网络工程师在用户电脑上配置了静态ARP绑定,同时在设备(9)上配置(10)功能。
【参考答案】:
(8)arp欺骗
(9)网关
(10)ARP防网关冲突攻击
【问题5】(6分)
网络工程师配置NGFW-2作为SSL VPN网关为网络管理员提供安全远程接入,可以随时随地对校园网内网络进行访问和管理。SSL VPN充分利用SSL协议基于数字证书提供的安全机制,为应用层之间的通信建立安全连接。
(1)SSL协议安全机制包括:(11)、数据加密、(12)。
(2)数据加解密算法主要分为对称密钥算法、非对称密钥算法,请简要描述SSL协议如何利用这两类算法实现数据传输的机密性(13)。
(3)网络工程师在配置SSL VPN之前,需要向(14)申请证书文件,并将其上传至NGFW-2的指定位置。
【参考答案】:
(11)身份认证
(12)消息完整性校验
(13)SSL用基于非对称加密算法的握手协议,协商对称加密算法和密钥之后,所有通信用用对称密钥加密传送。
(14)CA
试题四(20分)
阅读以下说明,回答问题,将解答填入对应的解答栏内。
某单位网络拓扑如下图所示。SW1、SW2为核心层交换机,PC网关配置在核心层,SW3-SW4为接入层交换机,行政部PC划为vlan10,销售部PC划为vlan20。
【问题1】(4分)
要求实现骨干链路冗余,需要在哪些设备之间增加连线?增加连线后还需要配置什么避免形成二层环路?
【问题2】(4分)
要求vlan10的网关默认配置在SW1上,vlan20的网关默认配置在SW2上,当SW1或SW2任意一台设备故障后,不影响PC访问网关,请写出配置要点。
【问题3】(4分)
要求配置PC能通过DHCP服务器正常获取IP地址,请写出配置要点。
【问题4】(4分)
为加强终端PC安全防护,要求各PC均不能互访,请写出配置要点。
【问题5】(4分)
请按照IP地址最小范围规划要求完成下表。
部门
PC 数量
网关
可分配 IP 地址
子网掩码
行政部
19
10.0.1.158
(1)
255.255.255.(3)
销售部
36
10.0.1.158
(2)
(4)位
【参考答案】:
【问题1】:要求实现骨干链路冗余,需要在SW1与SW2之间、SW3与SW2之间、SW4与SW1之间增加连线;增加连线后还需要配置生成树协议避免形成二层环路。
【问题2】:在SW1和SW2的VLANIF10接口上配置VRRP组,将SW1的VLANIF10接口设置为VLAN10的VRRP主网关,SW1的VLANIF10接口设置为VLAN10的VRRP备用网关;同时在SW1和SW2的VLANIF20接口上配置VRRP组,将SW2的VLANIF20接口设置为VLAN20的VRRP主网关,SW1的VLANIF20接口设置为VLAN20的VRRP备用网关;将VLAN10和VLAN20的主机的默认网关设置为对应的VRRP虚拟网关IP地址。
【问题3】:在DHCP服务器上为VLAN10和VLAN20的子网创建2个作用域;将SW1和SW2的VLANIF10和VLANID20接口上配置DHCP中继,用于将接收到的DHCP发现和DHCP请求的广播报文进行单播转发到DHCP服务器;通过配置静态路由或动态路由协议实现内网的路由可达。
【问题4】:在接入层交换机上使用port-isolate mode all命令启用端口隔离功能,实现端口的二层和三层隔离功能,然后在连接主机的接口配置 port-isolate enable group 1将接口添加到端口隔离组中。在SW1和SW2上通过ACL或策略路由实现拒绝VLAN10和VLAN20之间的互访。
【问题5】:
(1)10.0.1.129~10.0.1.158
(2)224
(3)10.0.1.193~10.0.1.254
(4)26
需要注意的是,本题中的可用地址范围建议IP规划的理论可用地址范围来写,不考虑网关IP地址的情况,因为如果要考虑的话,还需要考虑VRRP协议中的VLANIF接口IP地址,这些地址可以通过DHCP中配置排除IP地址段来实现不分配给主机。