2022上半年(下午)网络工程师试题解析
试题一(20分)
某分支机构网络拓扑图如1-1所示,该网络通过BGP接收总部网络路由,设备1与设备 2 作为该网络的网关设备,且运行VRRP(虚拟网络冗余协议),与出口设备运行 OSPF。该网络规划两个网段10.11.229.0/24和10.11.230.0/24,其中10.11.229.0网段只能访问总部网络,10.11.230.0网段只能访问互联网。
问题 1(4分)
分支机构有营销部、市场部、生产部、人事部四个部门,每个部门需要访问互联网主机数量如表所示,现计划对网段10.11.230.0/24进行子网划分,为以上四个部分规划 IP 地址,请补充表中的空(1)-(4)。
部门
主机数量
网络号
子网掩码
营销部
110
( 1 )
255.255.255.128
市场部
50
10.11.230.128
( 2 )
生产部
25
( 3 )
255.255.255.224
人事部
10
10.11.230.208
( 4 )
问题 2(8分)
在该网络中为避免环路,应该在交换机上配置(5),生成BGP路由有network与import 两种方式,以下描述正确的是(6)(7)(8)。|
空(6)-(8)备选答案:
A.Network方式逐条精确匹配路由
B.Network方式优先级高
C.Import方式按协议类型引入路由
D.Import方式逐条精确匹配路由
E.Network方式按协议类型引入路由
F.Import方式优先级高
问题 3(4分)
若设备1处于活动状态(Master),设备2的状态在哪条链路出现故障时会发生改变?请说明状态改变的原因。
问题 4(4分)
如果路由器与总部网络的线路中断,在保证数据安全的前提下,分支机构可以在客户端采用什么方式访问总部网络?在防火墙上采用什么方式访问总部网络?
解析:
问题1:
(1)10.11.230.0 (2)255.255.255.192 (3)10.111.230.224 (4)255.255.255.240
绘制出的地址块如下图所示:
问题2:
(5)生成树协议(或STP) (6)A (7)B (8)C 6-8可调换顺序
问题3:
(9) 设备2在link e出现故障时,无法检测到设备1的状态,自动转换为Master.
问题4:
在客户端采用SSL VPN方式访问总部网络,在防火墙上采用IPSEC VPN方式。
试题二(20分)
下图为某公司的网络拓扑图:
问题 1(6分)
某日,网站管理员李工报告网站访问慢,他查看了互联网接入区防火墙的日志。日志如图。
日志生成时间
严重级别
攻击类型
动作类型
2022-02-27 09:48:24
error
ACK flood
logging
2022-02-27 09:48:08
error
ACK flood
logging
2022-02-27 09:47:02
error
ACK flood
logging
2022-02-27 09:45:37
error
ACK flood
logging
2022-02-27 09:44:32
error
ACK flood
logging
根据日志显示,初步判断该公司服务器遭到(1)攻击。该种攻击最常见的攻击方式为(2)、(3)等,李工立即开启防火墙相关防护功能,几分钟后,服务器恢复了正常使用。
空(1)-(3)备选答案:
A.ARP B.蜜罐 C.DDoS D.SQL 注入
E.IP 地址欺骗 F.ICMP flood G.UDP flood
问题 2(8分)
某日。10层区域用户反映,上网时断时续,网络管理员李工经过现场勘查,发现该用户通过DHCP 获取到192.168.1.0/24网段的地址,而公司给该楼层分配的地址段为 10.10.10.1/24,经判断该网络有用户私接路由器,于是李工在楼层的接入交换机上开启交换机(4)功能后,用户上网正常,同时开启(5)功能后,可防止公司内部电脑感染病毒,伪造MAC地攻击网关。
空(4)-(5)备选答案:
A.ARP detection B.DHCP C.DHCP Relay D.DHCP Snooping
为加强终端接入管理,李工对接入交换机配置限制每个端口只能学习1个终端设备的 MAC 地址,具体如下:
interface GigabitEthernet 0/0/1
port-security(6)
port-security-mac-num mac-number(7)
问题 3(4分)
随着业务发展,公司需对存储系统升级,当前需要存储的数据主要为数据库、ERP、图片、视频、文档等。其中,数据库、ERP采用机构SSD硬盘存储。使用RAID 5冗余技术。该冗余技术通过(8)方式来实现数据冗余保护,每个RAID组至少应配备(9)块硬盘。
问题 4(2分)
要求存储系统在不中断业务的基础上,快速获得一个LUN在某个时刻的完整数据拷贝进行业务分析,可以使用(10)功能实现。
空(10)备选答案:
A.快照 B.镜像 C.远程复制 D.LUN拷贝
解析:
问题1:
(1)C (2)F (3)G
ACK Flood攻击是一种DDoS攻击方式,是指攻击者通过僵尸网络向目标服务器发送大量的ACK报文,报文带有超大载荷引起链路拥塞,或者是极高速率的变源变端口的请求导致转发的设备异常从而引起网络瘫痪,或者是消耗服务器处理性能,从而使被攻击服务器拒绝正常服务。这种攻击最常见的方式即为ICMP flood和UDP flood.
问题2:
(4)D (5)A (6)enable (7)1
DHCP Snooping是DHCP的一种安全特性,主要应用在交换机上,作用是屏蔽接入网络中的非法的DHCP服务器。开启DHCP Snooping功能后,网络中的客户端只能从管理员指定的DHCP服务器获取IP地址。
ARPDetection功能主要应用于接入设备上,对于合法用户的ARP报文进行正常转发,否则直接丢弃,从而防止仿冒用户、仿冒网关的攻击。
问题3:
(8)奇偶校验 (9)3
根据Raid5工作原理,必须要有1个硬盘存放数据的奇偶校验码,这就占用1块硬盘。而数据磁盘冗余阵列,必须要达到2块磁盘才能构成阵列,1块数据磁盘是不能构成阵列的,所以至少需要2块磁盘存储用户数据。这样就构成了最基本的Raid5磁盘冗余阵列:2块用户数据磁盘+1块奇偶校验码磁盘。
问题4:
(10)A
LUN即logical unit number,也就是逻辑单元号。LUN拷贝是一种基于块的将源LUN数据复制到目标LUN的技术,可以同时在设备内或设备间快速地进行数据的传输。
快照(Snapshot)是针对整个磁盘卷册进行快速的档案系统备份,与其它备份方式最主要的不同点在于速度。即使数据量很大,通常也可以在秒级范围内完成备份动作。
试题三(20分)
图为某公司的总部和分公司网络拓扑,分公司和总部数据中心通过ISP1的网络和ISP2 的网络互连。并且连接5G出口作为应急链路,分公司和总部数据中心交互的业务有语音、视频、FTP和HTTP四种。要求通过配置策略路由实现分公司访问业务分流。配置网络质量分析(NQA)与静态路由联动实现链路冗余。其中,语音和视频以ISP1为主链路、ISP2为备份;FTP和HTTP以ISP2为主链路,ISP1为备份链路。
问题 1(4 分)
通过在R1上配置策略路由,以实现分公司访问总部的流量可根据业务类型分组到L1 和L2两条链路并形成主备关系,首先完成ACL相关配置。
配置R1上的ACL来定义流:
首先定义视频业务流 ACL 2000:
[R1] acl 2000
[R1-acl-basic-2000] rule 1 permit destination (1) 0.0.255.255
[R1-acl-basic-2000] quit
定义 Web 业务流 ACL 3000:
[R1] acl 3000
[R1-acl-adv-3000] rule 1 permit tcp destination any destination-port (2) 0.0.255.255
[R1-acl-basic-3000] quit
问题 2(8 分)
完成 R1 策略路由剩余相关配置
1:创建流分类,匹配相关 ACL 定义的流
[R1] traffic classifier video
[R1-classifier-video] if-match acl 2000
[R1-classifier-video] quit
[R1] traffic classifier web
[R1-classifier-web] if-match acl 3000
[R1-classifier-web] quit
2:创建流行为并配置重定向
[R1] traffic behavior b1
[R1-behavior-b1] redirect ip-nexthop (3)
[R1-behavior-b1] quit
[R1] traffic behavior b2
[R1-behavior-b2] redirect ip-nexthop (4)
[R1-behavior-b2] quit
3:创建流策略,并在接口上应用
[R1] traffic policy p1
[R1-trafficpolicy-p1] classifier video behavior b1
[R1-trafficpolicy-p1] classifier web behavior (5)
[R1-trafficpolicy-p1] quit
[R1] interface GigabitEthernet 0/0/0
[R1-GigabitEthernet0/0/0] traffic-policy 1 (6)
[R1-GigabitEthernet0/0/0] quit
问题 3(8 分)
在总部网络,通过配置静态路由与 NQA 联动,实现 R2 对主链路的 ICMP 监控,如果发现主链路断开,自动切换到备份链路。
在 R2 上完成如下配置:
1:开启 NQA,配置 ICMP 类型的 NQA 测试例,检测 R2 到 ISP1 和 ISP2 网关的链路连通状态
ISP1 链路探测:
[R2] nqa test-instance admin isp1 //配置名为 admin isp1 的 NQA 测试例
……其他配置省略
ISP2 链路探测:
[R2] nqa test-instance admin isp2
[R2-nqa-admin-isp2] test-type icmp
[R2-nqa-admin-isp2] destination-address ipv4 (7) //配置 NQA 测试目的地址
[R2-nqa-admin-isp2] frequency 10 //配置 NQA 两次测试之间间隔 10 秒
[R2-nqa-admin-isp2] probe-count 2 //配置 NQA 测试探针数目为 2
[R2-nqa-admin-isp2] start now
2:配置静态路由
[R2]ip route-static 30.0.0.0 255.0.0.0 (8) track nqa admin isp1
[R2]ip route-static 40.0.0.0 255.0.0.0 40.24.0.4 track nqa admin isp2
[R2]ip route-static 0.0.0.0 0.0.0.0 40.24.0.4 preference 100 track nqa admin isp2
[R2]ip route-static 0.0.0.0 0.0.0.0 (9) preference 110 track nqa admin isp1
[R2]ip route-static 0.0.0.0 0.0.0.0 (10) preference 12
解析:
问题1:
(1)2.2.0.0 (2)eq 80
问题2:
(3)30.13.0.3 (4)40.14.0.4 (5)b2 (6)inbound
问题3:
(7)40.14.0.1 (8)30.23.0.3 (9)30.23.0.3 (10)50.15.0.5
试题四(15分)
某公司两个机构之间的通信示意图如下图,为保证通信的可靠性,在正常情况下,RA通过GE1/0/1接口与RB通信,GE1/0/2和GE1/0/3接口作为备份接口,当接口故障或者带宽不足时,快速切换到备份接口,由备份接口来承担业务流量或者负载分担。
问题1(8分)
评价系统可靠性通常采用MTBF (Mean Time Between Failures,平均故障间隔时间)和MTTR(MeanTime to Repair,平均修复时间)这两个技术指标。其中MTBF是指系统无故障运行的平均时间,通常以( 1 )为单位。MTBF越( 2 ),可靠性也就越高,在实际的网络中,故障难以避免,保证可靠性的技术从两个方面实现,故障检测技术和链路冗余,其中常见的关键链路冗余有接口备份、( 3 )、( 4 )和双机热备份技术。
问题2 (7分)
路由器RA和RB的GE1/0/1接口为主接口,GE1/0/2和GE1/0/3接口分别为备份接口,其优先级分别为30和20,切换延时均为10s。
1.配置各接口IP地址及Host A和Host B之间的静态路由配置R1各接口的IP地址,RB的配置略。
( 5 )
[Huawei] ( 6 )
RA [RA] interface GigabitEthernet 1/0/1
[RA-GigabitEthernet0/0/1] ( 7 ) 10.1.1.1 255.255.255.0
[RA-GigabitEthernet0/0/1] quit
......
#在RA上配置去往Host B所在网段的静态路由。
[RA] ( 8 ) 192.168.100.0 24 10.1.1.2
.....
2.在RA上配置主备接口
[RA] interface GigabitEthernet 1/0/1
[RA-GigabitEthernet1/0/1] ( 9 ) interface GigabitEthernet 1/0/2 ( 10 )
[RA-GigabitEthernet1/0/1] standby interface GigabitEthernet 1/0/3 20
[RA-GigabitEthernet1/0/1] standby ( 11 ) 10 10
[RA-GigabitEthernet1/0/1] quit
空(5) - (11)
A. sysname/sysn B. timer delay C.standby D.30
E.ip address F.system-view/sys G.ip route-static
问题1:
(1)小时 (2)大 (3)链路聚合 (4)VRRP
问题2:
(5) F (6) A (7) E (8) G (9) C (10) D (11) B