2021上半年(下午)网络工程师试题解析
试题一(共20分)
阅读以下说明,回答问题1至问题4,将解答填入答题纸对应的解答栏内。
【说明】
某企业网络拓扑图如图1-1所示。该网络可以实现的网络功能有:
1.汇聚层交换机A与交换机B采用VRRP技术组网;
2.用防火墙实现内外网地址转换和访问策略控制;
3.对汇聚层交换机、接入层交换机(各车间部署的交换机)进行VLAN划分。
图1-1
[问题1] (6分)
为图1-1中的防火墙划分安全域,接口①应配置为(1)区域,接口②应配置为(2)区域,接口③应配置为(3)区域。
[问题2](4分)
VRRP技术实现(4)功能,交换机A与交换机B之间的连接线称为(5)线,其作用是(6).
[问题3]分)
图1-1中PC1的网关地址是(7);在核心交换机上配置与防火墙互通的默认路由,其目标地址应是(8);若禁止PC1访问财务服务器,应在核心交换机上采取(9)措施实现。
[问题4](4分)
若车间1增加一台接入交换机C,该交换机需要与车间1接入层交换机进行互连,其连接方式有(10)和(11);其中(12)方式可以共享使用交换机背板带宽,(13)方式可以使用双绞线将交换机连接在一起。
解析:
[问题1]
(1)外部网络或untrust (2)内部网络或trust (3)DMZ区或非军事化区
此题主要考察对防火墙3个区域的理解,根据拓扑图,连接互联网的接口①是属于外部网络或者非信任网络,连接接口②的是内部网络或者信任网络,连接接口③的服务器区域是非军事化区或者DMZ区。
[问题2]
(4)当设备出现故障时,可以及时将业务切换到备份设备保证网络不中断。
(5)心跳线。
(6)可以相互监视对方的工作状态,一旦对方设备出现故障,本机就可以立即启动工作确保网络不中断。
虚拟路由冗余协议(Virtual Router Redundancy Protocol,简称VRRP)是由IETF提出的解决局域网中配置静态网关出现单点失效现象的路由协议,VRRP路由器是指运行VRRP的路由器,是物理实体;一组VRRP路由器可以创建一个逻辑上的虚拟路由器协同工作。该虚拟路由器对外表现为一个具有唯一固定的IP地址和MAC地址的逻辑路由器。处于同一个VRRP组中的路由器具有两种互斥的角色:主控路由器和备份路由器,一个VRRP组中有且只有一台处于主控角色的路由器,可以有一个或者多个处于备份角色的路由器,VRRP协议从路由器组中选出一台作为主控路由器,负责ARP解析和转发IP数据包,组中的其他路由器作为备份的角色并处于待命状态,当主控路由器发生故障时,通过心跳线告诉备份路由器并能在瞬间升级为主控路由器,保证网络不中断。由于此切换非常迅速而且不用改变IP地址和MAC地址,故对终端使用者系统是透明的。
[问题3]
(7)192.168.20.1 (8)0.0.0.0 0.0.0.0 (9)访问控制列表或者ACL
由于2个交换机配置了VRRP协议,对应的VRRP组的虚拟地址是192.168.20.1,所以PC1的默认网关地址就是这个虚拟地址192.168.20.1
在核心交换机上配置与防火墙互通的默认路由,其目标地址应是0.0.0.0 0.0.0.0,命令:
IP route-static 0.0.0.0 0.0.0.0 12.0.0.1
这个命令代表到达所有网络的路径都是通过12.0.0.1这个地址转发的。
若禁止PC1访问财务服务器,应在核心交换机上采取访问列表控制ACL进行限制。
[问题4]
(10)级联/堆叠 (11)堆叠/级联 (12)级联
交换机之间的连接方式主要有两种方式:级联和堆叠,其中堆叠方式通过专用的堆叠端口使用堆叠电缆进行连接,可以共享背板带宽;级联方式用双绞线通过普通的端口连接在一起,无法共享背板带宽。
试题二(共20分)
阅读以下说明,回答问题1至问题3,将解答填入答题纸对应的解答栏内。
【说明】
图2-1所示为某单位网络拓扑图片段。
图2-1
故障一
某天,网络管理员小王接到网络故障报告,大楼A区用户无法上网,经检查,A区接入交换机至中心机房核心交换机网络不通,中心机房核心交换机连接A区接入交换机的端口灯不亮。
故障二
某天,网络管理员小王接到大楼用户上网故障报告,B区用户小李的电脑网络连接显示正常,但是无法正常打开网页,即时聊天软件不能正常登录。
[问题1]分)
针对故障一,网络管理员使用(1)设备对光缆检查,发现光衰非常大,超出正常范围,初步判断为光缆故障,使用(2)设备判断出光缆的故障位置,经检查故障点发现该处光缆断裂,可采用(3)措施处理较为合理。
(1)- (2)备选答案(每个备选答案只可选一次):
A.网络寻线仪 B.可见光检测笔 C. 光时域反射计 D.光功率计
(3)备选答案:
A.使用两台光纤收发器连接 B.使用光纤熔接机熔接断裂光纤
C.使用黑色绝缘胶带缠绕接线 D.使用一台五电口小交换机连接
[问题2](8分)
针对故障二,小王在小李的电脑上执行(4)命令显示地址解析协议缓存表内容,检测后发现该缓存表无异常内容;通过执行(5)命令发送ICMP回声请求测试,结果显示与B区接入交换机、核心交换机、上网行为管理系统、入侵检测系统均连接正常,但是与防火墙GI接口和ISP网关不通;通过执行(6) 1.85.62.1命令显示到达ISP运营商网关的路径,结果显示上网行为管理系统E0接口地址以后均为“*”;更换该电脑的IP地址后,网络正常,由此判断,该放障产生的原因可能是(7)。
(4)一(6)备选答案(每个备选答案只可选一次):
A. Ipconfig B. ping C. netstat D. arp
E. Tracert F. route G. nslookup H. net
(7)备选答案:
A.上网行为管理系统禁止该电脑IP访问互联网
B.入侵检测系统禁止该电脑IP访问互联网
C.防火墙禁止该电脑IP访问互联网
D. DNS配置错误
[问题3](6分)
为保障数据安全,在数据中心本地和异地定时进行数据备份。其中本地备份磁盘阵列要求至少坏2块磁盘而不丢失数据(不计算热备盘),应采用(8)磁盘冗余方式;异地备份使用互联网传输数据,应采用(9)措施保障数据传输安全;在有限互联网带宽情况下,应采用(10)措施提高异地备份速度。
(8)各选答案:
A. RAID 0 B. RAID 1 C. RAID 5 D. RAID 6
(9)备选答案:
A.两端备份服务器设置复杂密码 B.两端搭建VPN隧道进行传输
C.异地备份点出口部署防火墙设备 D.本地出口部署入侵防御系统
(10)备选答案:
A.增量备份 B.缩短备份周期 C.数据加密 D.工作时间备份
解析:
[问题1]
(1)D (2)C (3)B
光功率计和光时域反射计都可测试光纤的衰减,但要定位位置只能用光时域反射计,所以(2)C的话(1)必然是D;
可见光检测笔又叫红光笔、通光笔、笔式红光源、光纤故障检测器、光纤故障定位仪等,用于检测光纤断点。该工具用于在断点处观察光纤通光情况,通常是在光时域反射计确定了大致故障位置后使用的。而网络寻线仪是用于检测双绞线的,不能用于检测光纤。
找到断点位置后,就要使用光纤熔接机熔接断裂的光纤。
[问题2]
(4)D (5)B (6)E (7)A
(4)、(5)、(6)考察的是对arp、ping、Tracert命令使用掌握的情况。
(7)问题根据题目描述,在通过执行Tracert 1.85.62.1ISP运营商网关命令后,结果显示上网行为管理系统E0接口地址以后均为“*”;更换该电脑的IP地址后,网络正常,说明是上网行为管理系统禁止了用户的访问。
[问题3]
(8)D (9)B (10)A
至少坏2块磁盘而不丢失数据的方式只有RAID6,如下图所示:
第(9)选项可以排除ACD,最合适的就是B选项:两端搭建VPN隧道进行传输。
第(10)选项必须降低每次备份数据量的大小,只有增量备份可以达到这个效果。
试题三(共20分)
阅读以下说明,回答问题1至问题3,将解答填入答题纸对应的解答栏内。
【说明】
图3-1为某大学的校园网络拓扑,由于生活区和教学区距离较远,R1和R6分别作为生活区和教学区的出口设备,办公区内部使用OSPF作为内部路由协议。通过部署BGP获得所需路由,使生活区和教学区可以互通。通过配置路由策略,将R2↔R3↔R4链路作为主链路,负责转发R1和R6之间的流量;当主链路断开时,自动切换到R2↔R5↔R4这条路径进行通信。
图3-1
办公区自制系统编号100、生活区自制系统编号200、教学区自制系统编号300.
路由器接口地址信息如表3-1所示。
表3-1
设备
接口
IP地址
设备
接口
IP地址
R1
GE1/0/1
10.10.0.1/24
R4
GE2/0/1
10.2.0.101/24
GE2/0/1
10.20.0.1/24
GE2/0/2
10.40.1.101/24
R2
GE2/0/1
10.1.0.101/24
GE2/0/3
10.50.0.2/24
GE2/0/2
10.30.0.101/24
R5
GE2/0/1
10.30.0.102/24
GE2/0/3
10.20.0.2/24
GE2/0/2
10.40.1.102/24
R3
GE2/0/1
10.1.0.102/24
GE2/0/3
10.3.0.102/24
GE2/0/2
10.2.0.102/24
R6
GE1/0/1
10.60.0.1/24
GE2/0/3
218.63.0.2/24
GE2/0/1
10.50.0.1/24
[问题1](2分)
该网络中,网络管理员要为PC2和PC3设计一种接入认证方式,若无法通过认证,接入交换机S1可以拦截PC2和PC3的业务数据流量。下列接入认证技术可以满足要求的是(1)。
(1)备选答案:
A. WEB/PORTAL B. PPPoE C. IEEE 802.1x D. 短信验证码认证
[问题2](2分)
在疫情期间,利用互联网开展教学活动,通过部署VPN实现Internet访问校内受限的资源。以下适合通过浏览器访问的实现方式是(2)。
(2)备选答案:
A. IPSec VPN B. SSL VPN C. L2TP VPN D. MPLS VPN
[问题3](16分)
假设各路由器已经配置好了各个接口的参数,根据说明补全命令或者回答相应的问题。
以R1为例配置BGP的部分命令如下:
//启动BGP,指定本地AS号,指定BGP路由器的Router ID为1.1.1.1,配置R1和R2建立EBGP连接
[R1]bgp(3)
[RI-bgp]router-id 1.1.1.1
[RI-bgp]peer 10.20.0.2 as-number 100
以R2为例配置OSPF:
[R2]ospf 1
[R2 ospf-1] import-route (4) //导入R2的直连路由
[R2-ospf-1] impon-route bgp
[R2-ospf-1] area (5)
[R2-ospf-1-area-0.0.0.0]network 10.1.0.0.0.0.0.255
[R2-ospf-1-area-0.0.0.0]network 10.30.0.0.0.0.0.255
以路由器R2为例配置BGP:
//启动BGP,指定本地AS号,指定BGP路由器的Router ID为2.2.2.2
[R2]bgp 100
[R2-bgp]router-id 2.2.2.2
[R2-bgp]peer 10.2.0.101 as-number 100
//上面这条命令的作用是(6)。
[R2-bgp]peer 10.40.1.101 as number 100
[R2-bgp]peer 10.20.0.1 as-number 200
//配置R2发布路由
[R2-bgp]ipv4-family unicast
[R2-bgp-af-ipv4]undo synchronization
[R2-bgp-af-ipv4]preference 255 100 130
//上面这条命令执行后,IBGP路由优先级高还是OSPF路由优先级高?
答:(7)
以路由器R2为例配置路由策略:
//下面两条命令的作用是(8)。
[R2] acl number 2000
[R2-acl-basic-20000 rule 0p) permit source 10.20.0.0.0.0.0.255
//配置路由策略,将从对等体10.20.0.1 学习到的路由发布给对等体10.2.0.101时,设置本地优先级为200,请补全以下配置命令
[R2] route-policy local-pre permit node 10
[R2-route-policy-local-pre-10]if-match ip route-source acl (9)
[R2-route-policy-local-pre-10]apply local-preference (10)
解析:
[问题1]
(1)C
IEEE802.1x是IEEE(美国电气电子工程师学会)802委员会制定的应用于LAN交换机和无线LAN接入点的用户认证技术。
[问题2]
(2)B
只有SSL VPN是基于应用层的VPN技术。
[问题3]
(3)200 //通过配置上下文可以看出BGP后面应该是一个AS号,根据题目,R1所在的AS号是200,故此处填200
(4)direct //根据命令后面的提示要导入直连路由,因此应该填direct
(5)0.0.0.0 //根据题目,这里的区域号应该是0.0.0.0主干区域
(6)创建对等体或者未指定的对等体配置AS号
(7)IBGP优先级高 //设置路由优先级命令,preference 255 100 130,第一个值是外部路由优先级,第二个值是内部路由优先级,第三个是本地路由优先级,显然内部路由优先级值最小,优先级最高。
(8)定义一个编号为2000的ACL,用于配置10.20.0.0网段发出的数据
(9)2000 //题目中只定义了一个ACL2000,故此处acl的编号就是2000
(10)200 //题目要求设定的优先级是200
试题四(共15分)
阅读以下说明,回答问题1和问题2,将解答填入答题纸对应的解答栏内。
【说明】
某公司在网络环境中部署了多台IP电话和无线AP,计划使用PoE设备为IP电话和无线AP供电,拓扑结构如图4-1所示。
图4-1
[问题1](5分)
PoE (Power Over Ethernet) 也称为以太网供电,是在现有的以太网Cat.5布线基础架构不作任何改动的情况下,利用现有的标准五类、超五类和六类双绞线为基于IP的终端(如IP电话机、无线局城网接入点AP、网络摄像机等)同时(1)和(2)。
完整的PoE系统由供电端设备(PSE, Power Sourcing Equipment))和受电端设备(PD. Powered Devic)两部分组成。依据IEEE 802.3af/at标准,有两种供电方式,使用空闲脚供电和使用(3)脚供电,当使用空闲脚供电时,双绞线的(4)线对为正极、(5)线对为负极为PD设备供电。
(1)~ (5)备选答案:
A.提供电功率 B.4、5 C.传输数据 D.7、8 E.3、6 F.数据
[问题2]分)
公司的IP-Phonel和AP1为公司内部员工提供语音和联网服务,要求有较高的供电优先级,且AP的供电优先级高于IP-Phone;IP-Phone2和AP2放置在公共区域,为游客提供语音和联网服务,AP2在每天的2: 00-6: 00时间段内停止供电。IP-Phone的功率不超过5W, AP的功率不超过15W。配置接口最大输出功率,以确保设备安全。
请根据以上需求说明,将下面的配置代码补充完整。
(6)
(7) SW1
[SW1] poe power-management (8)
[SW 1] interface gigabitethernet 0/0/1
[SW1-GigabitEthernet0/0/1]poe power (9)
[SW1-GigabitEthernet0/0/1]poe priority (10)
[SW1-GigabitEthernet0/0/1]quit
[SW1]interface gigabitethernet 0/0/2
[SW1-GigabitEthernet0/0/2]poe power (11)
[SW1-GigabitEthernet0/0/2]poe priority (12)
[SW1-GigabitEthernet0/0/2]quit
[SW1]interface (13)
[SW1-GigabitEthernet0/0/3] poe power 5000
[SW1-GigabitEthernet0/0/3]quit
[SW1] (14) tset 2:00 to 6:00 daily
[SW1] interface gigabitethernet 0/0/4
[SW1-GigabitEthernet0/0/4] por (15) time-range tset
Warning: This operation will power off the PD during this time range poe. Continue?[Y/N]:y
[SW1-GigabitEthernet0/0/4]quit
(6)~ (15)备选答案:
A. sysname/ sysn B.5000 C. time-range D. power-off E. auto
F. system-view/sys G. critical H. high I.15000 J. gigabitethernet 0/0/3
解析:
[问题1]
(1)A/C 提供电功率/传输数据
(2)C/A 传输数据/提供电功率
(3)F 两种供电方式是使用空闲脚供电和使用数据脚供电
(4)B 双绞线的4、5线对为正极为PD设备供电
(5)D 7、8线对为负极为PD设备供电,3、6是用于传输数据的。
[问题2]
(6)F //根据题目可知是从用户视图进入系统视图,因此选systemview
(7)A //这里要给设备命名,故选sysname
(8)E //这里指poe的电源供电模式,一般有两种:auto和manual,也可以将其他选项完成后,剩余的auto最有可能
(9)B //poe power是设置功率,题目要求IP Phone的功率不超过5W,AP的功率不超过15W,因此根据拓扑图G0/0/1接口对应的是IP Phone,选5000(这个单位是mW)
(10)H //poe priority是要设置设备的优先级,题目中要求IP Phone的优先级要低于AP的优先级,在华为poe设备中,优先对优先级为critical的端口连接的PD设备进行供电,其次为优先级为high的端口连接的PD设备进行供电,故此处选优先级相对较低的high
(11)I //G0/0/2接口对应的是AP,故poe power设置功率为15000mW
(12)G //这个选优先级高的critical
(13)J //此处是进入3号接口,故选gigabitethernet 0/0/3
(14)C //这里设置时间范围,故选time-range
(15)D //从题目可推理出要给service配置定时下电,因此选power-off