2022年职业考证-软考-网络规划设计师考试名师押题精选卷I（带答案详解）试卷号38

住在富人区的她2022年职业考证-软考-网络规划设计师考试名师押题精选卷I（带答案详解）（图片可根据实际调整大小）题型12345总分得分一.综合题(共50题)1.单选题

SDH的帧结构包含（）。

问题1选项

A.再生段开销，复用段开销，管理单元指针，信息净负荷

B.通道开销，信息净负荷、段开销

C.容器、虚容器、复用、映射

D.再生段开销、复用段开销，通道开销、管理单元指针

【答案】A

【解析】SDH帧结构的逻辑结构：从逻辑结构上划分，SDH帧可以分为以下几个部分：

（1）信息净负荷区域（Payload）：保持由各低速支路而来的信息，这些信息经过了不同容器的封装，达到了STM-1的速率。此外此区域还包括少量用于通道性能监视、管理和控制的通道开销字节POH（PathOverhead），它们也作为SDH帧的净负荷在网络中传输；

（2）段开销（SegmentationOverhead）：段开销是在STM帧中为保证信息净负荷正常传送所必须附加的字节，主要包括网络运行、管理、维护使用的字节。段开销又可以分为再生段开销（RSOH）和复用段开销（MSOH）。在STM-1帧中，最多可以有4.608Mbit/s用于段开销，提供了强大的管理维护OAM能力；

那么，再生段开销RSOH和复用段开销MSOH的区别是什么呢？简单的讲二者的区别在于监管的范围不同。RSOH监控的是STM-N整体的传输性能，而MSOH则是监控STM-N信号中每一个STM-1的性能情况。

再生段开销在STM-N帧中的位置是第1到第3行的第一到第9×N列，共3×9×N个字节；复用段开销在STM-N帧中的位置是第5到第9行的第一到第9×N列，共5×9×N个字节。

（3）管理单元指针（AdministratorUnitPointer）：管理单元指针用于指示信息净负荷的第一个字节在信息净负荷区域中的位置，以便在接收端正确分解净负荷。也就是通过管理单元指针对帧的微量便宜做修正。

2.单选题

以下关于以太网交换机转发表的叙述中，正确的是（）。

问题1选项

A.交换机的初始MAC地址表为空

B.交换机接收到数据帧后，如果没有相应的表项则不转发该帧

C.交换机通过读取输入帧中的目的地址添加相应的MAC地址表项

D.交换机的MAC地址表项是静态增长的，重启时地址表清空

【答案】A

【解析】交换机是一种基于MAC地址，能完成封装转发数据帧功能的网络设备。交换机的初始MAC地址表为空，可以通过读取进入端口的帧的源MAC地址学习。交换机接收到数据帧后，如果没有相应的表项则广播转发该帧。交换机的MAC地址表项是动态增长的。

3.单选题

下列路由表的概要信息中，迭代路由是(

)，不同的静态路由有(

)条。

问题1选项

A./24

B./32

C./8

D./32

问题2选项

A.1

B.2

C.3

D.4

【答案】第1题:B

第2题:C

【解析】路由必须有直连的下一跳才能够指导转发，但是路由生成时下一跳可能不是直连的，因此需要计算出一个直连的下一跳和对应的出接口，这个过程就叫做路由迭代。BGP路由、静态路由和UNR路由的下一跳都有可能不是直连的，都需要进行路由迭代。

例如，BGP路由的下一跳一般是非直连的对端Loopback地址，不能指导转发，需要进行迭代。即根据以BGP学习到的下一跳为目的地址在IP路由表中查找，当找到一条具有直连的下一跳、出接口信息的路由后（一般为一条IGP路由），将其下一跳、出接口信息填入这条BGP路由的IP路由表中并生成对应的FIB表项。

FLAG字段中的RD代表迭代路由。

不同的静态路由是3.路由为1条静态路由，下一跳相同，所以共3条。

4.单选题

提高网络的可用性可以采取的措施是（

）。

问题1选项

A.数据冗余

B.链路冗余

C.软件冗余

D.电路冗余

【答案】B

【解析】提高网络的可用性的措施主要包括冗余设备、冗余模块、冗余链路。

5.单选题

下列DHCP报文中，由客户端发送给DHCP服务器的是（）。

问题1选项

A.DhcpDecline

B.DhcpOffer

C.DhcpAck

D.DhcpNack

【答案】A

【解析】DHCPDecline：DHCP客户端收到DHCP服务器回应的ACK报文后，通过地址冲突检测发现服务器分配的地址冲突或者由于其他原因导致不能使用，则发送Decline报文，通知服务器所分配的IP地址不可用。再有就是通知DHCP服务器禁用这个IP地址以免引起IP地址冲突。然后客户端又开始新的DHCP过程

6.单选题

下列测试指标中，属于光纤指标的是（

），设备（

）可在光纤的一端测得光纤传输上的损耗。

问题1选项

A.波长窗口参数

B.线对间传播时延差

C.回波损耗

D.近端串扰

问题2选项

A.光功率计

B.稳定光源

C.电磁辐射测试笔

D.光时域反射仪

【答案】第1题:A

第2题:D

【解析】由于在光纤系统的施工过程中，涉及光纤的镉铺设，光纤的弯曲半径，光纤的熔接、跳线，且由于设计方法及物理布线结构的不同，导致两网络设备间的光纤路径上光信号的传输衰减有很大不同。虽然光纤的种类较多，但光纤及其传输系统的基本测试方法大体相同，所使用的测试仪器也基本相同。对磨接后的光纤或光纤传输系统，必须进行光纤特性测试，使之符合光纤传输通道测试标准。光纤布线系统基本的测试内容包括波长窗口参数、光纤布线链路的最大衰减限值、光回波损耗限值等。

在对光纤进行检测时常用的检测工具有：红光笔、光功率计、光纤检测显微镜以及OTDR光时域反射仪。

7.案例题

阅读以下说明，回答问题1至问题4，将解答填入答题纸对应的解答栏内。

【说明】

案例一

据新闻报道，某单位的网络维护员张某将网线私自连接到单位内部专网，通过专网远程登录到该单位的某银行储蓄所营业员电脑，破解默认密码后以营业员身份登录系统，盜取该银行83.5万元。该储蓄所使用与互联网物理隔离的专用网络，且通过防火墙设置层层防护，但最终还是被张某非法入侵，并造成财产损失。

案例二

据国内某网络安全厂商通报，我国的航空航天、科研机构、石油行业、大型互联网公司以及政府机构等多个单位受到多次不同程度的APT攻击，攻击来源均为国外几个著名的APT组织。比如某境外APT组织搭建钓鱼攻击平台，冒充“系统管理员"向某科研单位多名人员发送钓鱼邮件，邮件附件中包含伪造Office.PDF图标的PE文件或者含有恶意宏的Word文件，该单位小李打开钓鱼邮件附件后，其工作电脑被植入恶意程序，获取到小李个人邮箱账号和登录密码，导致其电子邮箱被秘密控制。之后，该APT组织定期远程登录小李的电子邮箱收取文件，并利用该邮箱向小李的同事、下级单位人员发送数百封木马钓鱼邮件，导致十余人下载点击了木马程序，相关人员计算机被控制，造成敏感信息被窃取。

【问题1】（4分）

安全运维管理为信息系统安全的重要组成部分，一般从环境管理、资产管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代码管理、备份与恢复管理、安全事件处置、外包运维管理等方面进行规范管理。其中：

1.规范机房出入管理，定期对配电、消防、空调等设施维护管理应属于（1）范围：

2.分析和鉴定安全事件发生的原因，收集证据，记录处理过程，总结经验教训应属于（2）范围：

3.制定重要设备和系统的配置和操作手册，按照不同的角色进行安全运维管理应属于（3）范围：

4.定期开展安全测评，形成安全测评报告，采取措施应对发现的安全问题应属于（4）管理范围。

【问题2】（8分）

请分析案例一中网络系统存在的安全隐患和问题。

【问题3】（8分）

请分析案例二，回答下列问题：

1.请简要说明APT攻击的特点。

2.请简要说明APT攻击的步骤。

【问题4】（5分）

结合上述案例，请简要说明从管理层面应如何加强网络安全防范。

【答案】【问题1】

（1）环境管理

（2）安全事件处置

（3）网络和系统安全管理

（4）漏洞和风险管理

【问题2】

①缺少网络准入控制；

②没有设置远程登录和访问权限，限制非授权访间；

③没有按要求定期更换系统密码或设置复杂度高的密码；

④系统缺少双因子身份认证；

⑤安全管理落实不到位，员工安全意识差。

【问题3】

1.APT攻击的特点：

①潜伏性，在用户网络环境中长久潜伏存在；

②持续性，持续不断地监控和获取敏感信息；

③威胁性大，有组织有预谋，成功率高，危害系数大，近年来频频发生针对我国政府机关和核心部门发起的有组织的APT攻击。

2.APT攻击的步骤：

①收集信息或扫描探测；

②恶意代码投送；

⑧利用漏洞；

④植入木马或植入恶意程序；

⑤命令与控制或远程控制；

⑥横向渗透并达成目标；

⑦清除痕迹或者删除恶意程序。

【问题4】

①明确网络安全管理制度；

②明确网络安全主体责任；

③细化网络安全工作职责，责任到人；

④合理分配人员权限、最小权限和加强审计；

⑤加强网络安全意识和技能培训；

⑥强化网络安全执行监督。

【解析】【问题1】

（1）环境管理主要是机房环境的安全管理，包括出入管理、机房辅助设施、机房管理制度、来访人员管理等。要求指定部门或专人负责机房安全，定期对机房设施进行维护管理，制定机房安全管理规定，同时要求不在重要区域接待来访人员和桌面不能有包含敏感信息的纸档文件、移动介质等。

（2）安全事件管理要求及时向安全管理部门报告安全弱点和可疑事件，制定安全时间报告和处置管理制度，并在事件报告和响应处理过程中分析原因、收集证据、记录处理过程、总结经验教训，重大事件应采用不同的处理程序和报告程序等。

（3）网络和系统安全管理对包括管理员角色和权限的划分、账户及安全策略的控制和规定、日志记录和分析、各项运维活动的规程和审批等做了要求

（4）漏洞和风险管理要求及时识别、发现并修补安全漏洞和隐患，并定期开展安全测评，采取措施应对测评报告中发现的安全问题。

【问题2】

①缺少网络准入控制；

②没有设置远程登录和访问权限，限制非授权访间；

③没有按要求定期更换系统密码或设置复杂度高的密码；

④系统缺少双因子身份认证；

⑤安全管理落实不到位，员工安全意识差。

【问题3】

1.APT（AdvancedPersistentThreat，高级持续性威胁），是一种针对特定目标进行长期持续性网络攻击的攻击模式。典型的APT攻击一般会带有以下特征：

持续性：

攻击者通常会花费大量的时间来跟踪、收集目标系统中的网络运行环境，并主动探寻被攻击者的受信系统和应用程序的漏洞。即使一段时间内，攻击者无法突破目标系统的防御体系。但随着时间的推移，目标系统不断有新的漏洞被发现，防御体系也会存在一定的空窗期（例如设备升级、应用更新等），而这些不利因素往往会导致被攻击者的防御体系失守。

终端性：

攻击者并不是直接攻击目标系统，而是先攻破与目标系统有关系的人员的终端设备（如智能手机、PAD、USB等等），并窃取终端使用者的账号、密码信息。然后以该终端设备为跳板，再攻击目标系统。

针对性：

攻击者会针对收集到的目标系统中常用软件、常用防御策略与产品、内部网络部署等信息，搭建专门的环境，用于寻找有针对性的安全漏洞，测试特定的攻击方法能否绕过检测。

未知性：

传统的安全产品只能基于已知的病毒和漏洞进行攻击防范。但在APT攻击中，攻击者会利用0DAY漏洞（0day漏洞也不是指某一种特定技术的漏洞，它是指软件或系统中已经被发现，但官方还不知道或还没有发布相应补丁的漏洞。）进行攻击，从而顺利通过被攻击者的防御体系。

隐蔽性：

攻击者访问到重要资产后，会通过控制的客户端，使用合法加密的数据通道，将信息窃取出来，以绕过被攻击者的审计系统和异常检测系统的防护。

从以上的攻击特征可以看出，APT攻击相对于传统的攻击模式，手段更先进、攻击更隐蔽、破坏更严重，因此已经成为威胁当今网络安全的一大隐患。

2.APT攻击的步骤：

①收集信息或扫描探测；

②恶意代码投送；

⑧利用漏洞；

④植入木马或植入恶意程序；

⑤命令与控制或远程控制；

⑥横向渗透并达成目标；

⑦清除痕迹或者删除恶意程序。

【问题4】

①确定网络安全管理制度；

②明确网络安全主体责任；

③细化网络安全工作职责，责任到人；

④合理分配人员权限、最小权限和加强审计；

⑤加强网络安全意识和技能培训；

⑥强化网络安全执行监督。

8.单选题

以下关于单模光纤与多模光纤区别的描述中，错误的是（

）。

问题1选项

A.单模光纤的工作波长一般是1310nm，1550nm，多模光纤的工作波长一般是850nm

B.单模光纤纤径一般为9/125μm，多模光纤纤径一般为50/125μm或62.5/125μm

C.单模光纤常用于短距离传输，多模光纤多用于远距离传输

D.单模光纤的光源一般是LD或光谱线较窄的LED，多模光纤的光源一般是发光二极管或激光器

【答案】C

【解析】光纤分为多模光纤和单模光纤两类，多模光纤和单模光纤的区别，主要在于光的传输方式不同，当然带宽容量也不一样。多模光纤直径较大，不同波长和相位的光束沿光纤壁不停地反射着向前传输，造成色散，限制了两个中继器之间的传输距离和带宽，多模光纤的带宽约为2.5Gbps。单模光纤的直径较细，光在其中直线传播，很少反射，所以色散减小、带宽增加，传输距离也得到加长。但是与之配套的光端设备价格较高，单模光纤的带宽超过10Gbps。

9.单选题

1000BASE-TX采用的编码技术为（）。

问题1选项

A.PAM5

B.8B6T

C.8B10B

D.MLT-3

【答案】C

【解析】1000Base-TX，它不是由IEEE制定的，而是由TIA/EIA于1995年发布，对应的标准号为TIA/EIA-854。1000Base-TX也是基于4对双绞线，采用快速以太网中与100Base-TX标准类似的传输机制，是以2对线发送和2对线接收。由于每对线缆本身不进行双向的传输，线缆之间的串扰就大大降低，同时其编码方式也是8b/10b。

10.单选题

某分公司财务PC通过专网与总部财务系统连接，拓扑如下图所示。某天，财务PC访问总部财务系统速度缓慢、时断时好，网络管理员在财务PC端ping总部财务系统，发现有网络丢包，在光电转换器1处ping总部财务系统网络丢包症状同上，在专网接入终端处ping总部财务系统，网络延时正常无丢包，光纤1两端测得光衰为-28dBm，光电转换器1和2指示灯绿色闪烁。初步判断该故障原因可能是(

)，可采用(

)措施较为合理。

问题1选项

A.财务PC终端网卡故障

B.双绞线1链路故障

C.光纤1链路故障

D.光电转换器1、2故障

问题2选项

A.更换财务PC终端网卡

B.更换双绞线1

C.检查光纤1链路，排除故障，降低光衰

D.更换光电转换器1、2

【答案】第1题:C

第2题:C

【解析】Normal07.8磅02falsefalsefalseEN-USZH-CNX-NONEMicrosoftInternetExplorer4

光电转换器1和2指示灯绿色闪烁说明正常，光纤1光衰过大。

11.单选题

若TCP最大段长为1000字节，在建立连接后慢启动，第1轮次发送了1个段并收到了应答，应答报文中window字段为5000字节，此时还能发送（）字节。

问题1选项

A.1000

B.2000

C.3000

D.5000

【答案】B

【解析】假如TCP最大段长为1000B，在建立连接后慢启动第1轮发送了一个段并收到了应答，那么把窗口扩大到两个报文段，也就是2000B，而应答报文中win字段为5000字节，可以发送，此时发送2000B字节。

12.单选题

某学校为学生宿舍部署无线网络后，频繁出现网速慢、用户无法登录等现象，网络管理员可以通过哪些措施优化无线网络（

）。

①AP功率调整；

②人员密集区域更换高密AP；

③调整宽带；

④干扰调整；

⑤馈线入户。

问题1选项

A.①②

B.①②③

C.①②③④

D.①②③④⑤

【答案】D

【解析】造成无线网络慢、用户无法登录的优化措施有：调整AP功率、更换高密度AP、调整带宽、干扰调整、馈线入户。

13.单选题

某网站的域名是，使用SSL安全页面，用户可以使用(

)访问该网站。

问题1选项

A.

B.

C.files://

D.ftp://

【答案】B

【解析】A有一个使用SSL的安全网页。B上网时候点击到这个安全网页的连接（Https，不是Http）。

14.单选题

在进行域名解析的过程中，若由授权域名服务器给客户本地传回解析结果，表明（

）。

问题1选项

A.主域名服务器、转发域名服务器均采用了迭代算法

B.主域名服务器、转发域名服务器均采用了递归算法

C.根域名服务器、授权域名服务器均采用了迭代算法

D.根域名服务器、授权域名服务器均采用了递归算法

【答案】A

【解析】在域名解析过程中，是由授权域名服务器传回结果，说明授权域名服务器是递归算法，中间的其他DNS服务器用的是迭代算法。

15.单选题

由于采用了()技术，ADSL的上行与下行信道频率可部分重叠。

问题1选项

A.离散多音调

B.带通过滤

C.回声抵消

D.定向采集

【答案】C

【解析】ADSL利用铜双绞线的0～1MHz频段传输数据，它将这部分可用频段分成3段，其中0～4kHz频段用于POTS业务，20～138kHz频段用于传送上行(从用户端到局端)控制信息，而下行(从局端到用户端)数字信道可采用频分复用(FDM)方式或频谱重叠方式分别占用138kHz或者20kHz以上的频段。在频谱重叠方式中，ADSL接收端需要采用回波抵消算法来分离上下行信道的信息。

16.单选题

广域网可以提供面向连接和无连接两种服务模式，对应于两种服务模式，广域网有虚电路和数据报两种传输方式，以下关于虚电路和数据报的叙述中，错误的是（

）。

问题1选项

A.虚电路方式中每个数据分组都含有源端和目的端的地址，而数据报网络则不然

B.对于会话信息，数据报网络不存储状态信息，而虚电路网络对于建立好的每条虚电路都要求占有虚电路表空间

C.数据报网络对每个分组独立选择路由，而虚电路网络在虚电路建好后，路由就已确定，所有分组都经过此路由

D.数据报网络中，分组到达目的地可能失序，而虚电路网络中，分组一定有序到达目的地

【答案】A

【解析】虚电路的特点：

（1）在每次分组发送之前，必须在发送方与接收方之间建立一条逻辑连接。这是因为不需要真正去建立一条物理链路，连接发送方与接收方的物理链路已经存在；

（2）一次通信的所有分组都通过这条虚电路顺序传送，因此报文分组不必带目的地址、源地址等辅助信息。分组到达目的结点时不会出现丢失、重复与乱序的现象；

（3）分组通过虚电路上的每个结点时，结点只需要做差错检测，而不需要做路径选择；

（4）通信子网中每个结点可以和任何结点建立多条虚电路连接。

在每个节点上都保存一张虚电路表，表中各项记录了一个打开的虚电路的信息，包括虚电路号、前一个节点、下一个节点等信息，这些信息是在虚电路建立过程中被确定的。

而数据报方式的各交换机的路由转发表记录目的终端和到该目的终端的转发端口号；采用初始终端+目的终端的方式，那么网络中可能存在多条传输路径，初始终端发送的多个分组会独立地选择传输路径，数据的到达也可能先后顺序不一致。

17.单选题

SSL的子协议主要有记录协议、（

），其中（

）用于产生会话状态的密码参数、协商加密算法及密钥等。

问题1选项

A.AH协议和ESP协议

B.AH协议和握手协议

C.警告协议和握手协议

D.警告协议和ESP协议

问题2选项

A.AH协议

B.握手协议

C.警告协议

D.ESP协议

【答案】第1题:C

第2题:B

【解析】第1题:SSL的三个子协议：

SSL警告协议是用来为对等实体传递SSL的相关警告。如果在通信过程中某一方发现任何异常，就需要给对方发送一条警示消息通告。

SSL记录协议（SSLRecordProtocol）：建立在可靠的传输协议（如TCP）之上，为高层协议提供数据封装、压缩、加密等基本功能的支持。

SSL握手协议（SSLHandshakeProtocol）：建立在SSL记录协议之上，用于在实际的数据传输开始前，通讯双方进行身份认证、协商加密算法、交换加密密钥等。

第2题:

18.单选题

光纤通信提供了三种不同的拓扑结构，在光纤交换拓扑中N_PORT端口通过相关链路连接至（

）。

问题1选项

A.NL_PORT

B.FL_PORT

C.F_PORT

D.E_PORT

【答案】C

【解析】F_PORT：Fabric_Ports用于光纤交换环境下N_port之间的互连，从而所有节点都可以相互通信。

19.单选题

某居民小区采用FTTB+HGW网络组网，通常情况下，网络中的(

)部署在汇聚机房。

问题1选项

A.HGW

B.Splitter

C.OLT

D.ONU

【答案】C

【解析】OLT是光线路终端，局端设备，部署在机房。

20.单选题

EPON可以利用（）定位OLT到ONU段的故障。

问题1选项

A.EPON远端环回测试

B.自环测试

C.OLT端外环回测试

D.ONU端外环回测试

【答案】A

【解析】EPON定位OLT到ONU段的故障可以使用EPON远端环回测试，OLT或ONU段外环回测试无法定位OLT到ONU段的故障。

21.单选题

Traceroute在进行路由追踪时发出的ICMP消息(

)，收到的消息是中间节点或目的节点返回的(

)。

问题1选项

A.EchoRequest

B.TimestampRequest

C.EchoReply

D.TimestampReply

问题2选项

A.DestinationUnreachable

B.TTLExceeded

C.ParameterProblemD

D.SourceRouteFailed

【答案】第1题:A

第2题:B

【解析】Traceroute在进行路由追踪时发出的ICMP回送请求报文，收到的消息是中间节点或目的节点返回的时间超过报文。

22.单选题

为防范国家数据安全风险、维护国家安全、保障公共利益，2021

年7月，中国网络安全审查办公室发布公告，对“滴滴出行”、“运满满”

、“货车帮”

和“BOSS直聘”开展网络安全审查。此次审查依据的国家相关法律法规是（）。

问题1选项

A.《中华人民共和国网络安全法》和《中华人民共和国国家安全法》

B.《中华人民共和国网络安全法》和《中华人民共和国密码法》

C.《中华人民共和国数据安全法》和《中华人民共和国网络安全法》

D.《中华人民共和国数据安全法》和《中华人民共和国国家安全法》

【答案】A

【解析】为防范国家数据安全风险，维护国家安全，保障公共利益，依据《中华人民共和国国家安全法》《中华人民共和国网络安全法》，网络安全审查办公室按照《网络安全审查办法》，对“滴滴出行”实施网络安全审查。为配合网络安全审查工作，防范风险扩大，审查期间“滴滴出行”停止新用户注册。

23.单选题

客户端通过DHCP获得IP地址的顺序正确的是(

)。

①客户端发送DHCPREQUEST请求IP地址

②SERVER发送DHCPOFFER报文响应

③客户端发送DHCPDISCOVER报文寻找DHCPSERVER

④SERVER收到请求后回应ACK响应请求

问题1选项

A.①②③④

B.①④③②

C.③②①④

D.③④①②

【答案】C

24.单选题

ICMP的协议数据单元封装在（）中传送；RIP路由协议数据单元封装在（）中传送。

问题1选项

A.以太帧

B.IP数据报

C.TCP段

D.UDP段

问题2选项

A.以太帧

B.IP数据报

C.TCP段

D.UDP段

【答案】第1题:B

第2题:D

【解析】第1题:为了能够更加有效地转发IP数据报和提高交付成功的机会，在网际层使用了网际控制报文协议ICMP，ICMP协议作为IP数据报中的数据，封装在IP数据包中发送。RIP封装在UDP协议中传送。

第2题:

25.单选题

以太网的最大帧长为1518字节，每个数据帧前面有8个字节的前导字段，帧间隙为9.6us。若采用TCP/IP网络传输14600字节的应用层数据，采用100BASE-TX网络，需要的最短时间为（）。

问题1选项

A.1.32ms

B.13.2ms

C.2.63ms

D.26.3ms

【答案】A

【解析】以太帧的最大帧长1518字节，其中IP数据报为1500字节，TCP报文为1480字节，TCP的数据就是1460字节，每个数据帧前面还有8字节的前导字段，帧间隔9.6us。现在传送14600字节的应用层数据，需要分成14600/1460=10个帧传送。

现在一帧的传送时间=（1518+8）×8/100*106=0.00012208秒，10帧的话为1.2208ms，再加上帧间9.6us×10=96us，那么总时间等于1.2208ms+0.096ms=1.32ms。

26.案例题

阅读下列说明，回答问题1至问题4。

【说明】

图2-1为某政府部门新建大楼，网络设计拓扑图，根据业务需求，共有三条链路接入，分别连接电子政务外网、互联网、电子政务内网（涉密网），其中机要系统通过电子政务内网访问上级部门机要系统，并由加密机进行数据加密。3条接入链路共用大楼局域网，通过VLAN逻辑隔离。大楼内部署有政府服务系统集群，对外提供政务服务，建设有四个视频会议室，部署视频会议系统，与上级单位和下级各部门召开业务视频会议及项目评审会议等，要求录播存储，录播系统将视频存储以NFS格式挂载为网络磁盘，存储视频文件。

【问题1】（9分）

（1）图2-1所示设计的网络结构为大二层结构，简述该网络结构各层的主要功能和作用，并简要说明该网络结构的优缺点。

（2）图2-1所示网络设计中，如何实现互联网终端仅能访问互联网、电子政务外网终端仅能访问政务外网，机要系统仅能访问电子政务内网？

（3）机要系统和电子政务内网设计是否违规？请说明原因。

【问题2】（6分）

（4）视频会议1080p格式传输视频，码流为8Mbps，请计算每个视频会议室每小时会占用多少存储空间（单位要用MB或者GB），并说明原因。

（5）每个视频会议室每年使用约100天（每天按8小时计算），视频文件至少保存2年。图2-1中设计的录播系统将视频存储挂载为网络磁盘，存储视频文件，该存储系统规划配置4TB（实际容量按3.63TB计算）磁盘，RAID6方式冗余，设置全局热备盘1块。请计算该存储系统至少需要配置多少块磁盘并说明原因。

【问题3】（6分）

（6）各视频会议室的视频终端和MCU是否需要一对一做NAT，映射公网IP地址?请说明原因。

（7）召开视频会议使用的协议是什么?需要在防火墙开放的TCP端口是什么?

【问题4】（4分）

图2-1所示的虚拟化平台连接的存储系统连接方式是（8）视频存储的连接方式是（9）。

【答案】【问题1】

（1）大二层网络结构包括接入层和核心层。

园区网是一种用户高密度的网络，在有限的空间内聚集了大量的终端和用户。扁平化大二层网络的设计注重的是三个“易”：易管理，易部署，易维护。

1、易管理：扁平化的大二层网络，整体简化了网络结构，网络中大量的接入、汇聚作为逻辑二层设备只需要做简单的VLAN划分、端口隔离配置即可，不需要过多管理，核心设备作三层网关，启用路由、认证、安全相关功能，日常维护中，管理员只需要维护核心设备即可，大大降低了网络的运维难度，简化了工作量。

2、易部署：大二层网络，无论是有线用户还是无线用户，无论是采用802.1x认证还是portal认证，认证点统一集中在核心，部署方便快捷。同时，在大二层的环境中，大量的接入、汇聚设备配置基本类似，一些专注在行业的厂商也推出了快速配置工具用于批量设备上线时的快速配置下发，利用配置工具，操作过程简便，之前需要耗时几天的部署工作在2个小时内即可完成。

3、易维护：网络结构的简化将带来维护工作的简化，设备配置的简化必然会大幅度降低设备出问题的概率。从另一方面看，园区网的维护，需要在网络出现问题时能够快速定位，在网络管理层面上，需要把用户和端口对应起来，明确用户是从哪个端口接入上网，大二层架构中，利用VLAN聚合技术，可以轻松定位用户到具体的端口。

缺点是容易形成广播风暴，不适合大规模复杂网络。

（2）通过对用户终端固定分配IP的方式，然后在路由设备上做策略路由。

（3）机要终端信息系统不能接入其他网络中，应该是一个独立的网络；电子政务内网和电子政务外网之间需要使用物理隔离设备网闸、电子政务外网和互联网之间需要逻辑隔离设备防火墙。

【问题2】

（4）每个视频会议每小时占用的存储空间为：8Mbps*3600/8=3600MB。

（5）总的数据量=3600*4*2*100*8/1024*1024=22TB，存储这些用户数据需要22TB/3.6TB=7，题目说明用的RAID6以及有全局热备盘，所以还需要2块校验盘+1块热备盘，一共需要10块磁盘。

【问题3】

（6）视频终端不需要。召开视频会议时候，由MCU连接各会场的视频终端，召开多方会议；局域网以外的其他部门的终端通过互联网访问MCU，需要对MCU配置一对一的NAT，映射公网IP，以供外部访问。

（7）本视频会议用的是标准协议H.323，需要在防火墙的规则中，打开端口。

端口1503（TCP）：MicrosoftNetMeetingT.120数据共享。

端口1718（UDP）：网守查找。

端口1719（UDP）：网守RAS（必须为双向）。

端口1720（TCP）：H.323呼叫设置（必须为双向）。

端口1731（TCP）：音频呼叫控制（必须为双向）。

【问题4】

FC-SAN，NAS。

【解析】【问题1】

（1）大二层网络结构包括接入层和核心层。

园区网是一种用户高密度的网络，在有限的空间内聚集了大量的终端和用户。扁平化大二层网络的设计注重的是三个“易”：易管理，易部署，易维护。

1、易管理：扁平化的大二层网络，整体简化了网络结构，网络中大量的接入、汇聚作为逻辑二层设备只需要做简单的VLAN划分、端口隔离配置即可，不需要过多管理，核心设备作三层网关，启用路由、认证、安全相关功能，日常维护中，管理员只需要维护核心设备即可，大大降低了网络的运维难度，简化了工作量。

2、易部署：大二层网络，无论是有线用户还是无线用户，无论是采用802.1x认证还是portal认证，认证点统一集中在核心，部署方便快捷。同时，在大二层的环境中，大量的接入、汇聚设备配置基本类似，一些专注在行业的厂商也推出了快速配置工具用于批量设备上线时的快速配置下发，利用配置工具，操作过程简便，之前需要耗时几天的部署工作在2个小时内即可完成。

3、易维护：网络结构的简化将带来维护工作的简化，设备配置的简化必然会大幅度降低设备出问题的概率。从另一方面看，园区网的维护，需要在网络出现问题时能够快速定位，在网络管理层面上，需要把用户和端口对应起来，明确用户是从哪个端口接入上网，大二层架构中，利用VLAN聚合技术，可以轻松定位用户到具体的端口。

缺点是容易形成广播风暴，不适合大规模复杂网络。

（2）通过对用户终端固定分配IP的方式，然后在路由设备上做策略路由。缺点：1、成本提高。缺省汇聚设备，导致对万兆/10万兆的端口数增加；2、对设备本身转发机制，计算处理能力，甚至产品架构提出更高要求，设备损耗老化较快。

（3）机要终端信息系统不能接入其他网络中，应该是一个独立的网络；电子政务内网和电子政务外网之间需要使用物理隔离设备网闸、电子政务外网和互联网之间需要逻辑隔离设备防火墙。

【问题2】

（4）每个视频会议每小时占用的存储空间为：8Mbps×3600/8=3600MB。

（5）总的数据量=3600×4×2×100×8/1024×1024=22.5TB，存储这些用户数据需要22TB/3600MB/1024TB=7，题目说明用的RAID6以及有全局热备盘，所以还需要2块校验盘+1块热备盘，一共需要10块磁盘。

【问题3】

（6）视频终端不需要。召开视频会议时候，由MCU连接各会场的视频终端，召开多方会议；局域网以外的其他部门的终端通过互联网访问MCU，需要对MCU配置一对一的NAT，映射公网IP，以供外部访问。

（7）从题目的描述来看，本视频会议用的是标准协议H.323，需要在防火墙的规则中，在防火墙中打开在媒体端口范围（UDP和TCP）字段中指定的同一端口范围。还必须打开防火墙中的以下端口：

端口1503（TCP）：MicrosoftNetMeetingT.120数据共享。

端口1718（UDP）：网守查找。

端口1719（UDP）：网守RAS（必须为双向）。

端口1720（TCP）：H.323呼叫设置（必须为双向）。

端口1731（TCP）：音频呼叫控制（必须为双向）。

【问题4】

图中存储系统连接FC交换机，应该是FC-SAN，视频存储题干已经说明以NFS格式挂载存储视频文件，所以是NAS。

27.单选题

某高校计划采用扁平化的网络结构。为了限制广播域、解决VLAN资源紧缺的问题，学校计划采用QinQ(802.1Q-in-802.1Q)技术对接入层网络进行端口隔离。以下关于QinQ技术的叙述中，错误的是(

)。

问题1选项

A.一旦在端口启用了QinQ，单层VLAN的数据报文将没有办法通过

B.QinQ技术标准出自IEEE802.1ad

C.QinQ技术扩展了VLAN数目，使VLAN的数目最多可达4094*4094个

D.QinQ技术分为基本QinQ和灵活QinQ两种

【答案】A

【解析】QinQ（802.1Q-in-802.1Q）技术是一项扩展VLAN空间的技术，通过在802.1Q标签报文的基础上再增加一层802.1Q的Tag来达到扩展VLAN空间的功能。由于报文有两层802.1QTag（一层公网Tag，一层私网Tag），即802.1Q-in-802.1Q，所以称之为QinQ协议。

QinQ的实现方式可分为以下两种：

基本QinQ是基于端口方式实现的。当端口上配置了基本QinQ功能后，不论从该端口收到报文是否带有VLANTag，设备都会为该报文打上本端口缺省VLAN的Tag。

如果收到的是带有VLANTag的报文，该报文就成为带双Tag的报文。

如果收到的是不带VLANTag的报文，该报文就成为带有本端口缺省VLANTag的报文。

灵活QinQ是基于端口与VLAN相结合的方式实现的，即端口对接收的报文，可以通过单层VLANtag转发，也可以通过双层VLANtag转发。另外对于从同一个端口收到的报文，还可以根据VLAN的不同进行不同的操作，包括：

为具有不同内层VLANID的报文添加不同的外层VLANTag。

根据报文内层VLAN的802.1p优先级标记外层VLAN的802.1p优先级和添加不同的外层VLANTag。

通过使用灵活QinQ技术，在能够隔离运营商网络和用户网络的同时，又能够提供丰富的业务特性和更加灵活的组网能力。

28.单选题

在一个分布式软件系统中，一个构件失去了与另一个远程构件的连接。在系统修复后，连接于30秒之内恢复，系统可以重新正常工作直到其它故障发生。这一描述体现了软件系统的（）

问题1选项

A.安全性

B.可用性

C.兼容性

D.性能

【答案】B

【解析】可用性（availability）是系统能够正常运行的时间比例。经常用两次故障之间的时间长度或在出现故障时系统能够恢复正常的速度来表示。

29.单选题

以下关于区块链应用系统中“挖矿”行为的描述中，错误的是（

）。

问题1选项

A.矿工“挖矿”取得区块链的记账权，同时获得代币奖励

B.“挖矿”本质上是在尝试计算一个Hash碰撞

C.“挖矿”是一种工作量证明机制

D.可以防止比特币的双花攻击

【答案】D

【解析】比特币网络通过“挖矿”来生成新的比特币。所谓“挖矿”实质上是用计算机解决一项复杂的数学问题，来保证比特币网络分布式记账系统的一致性。比特币网络会自动调整数学问题的难度，让整个网络约每10分钟得到一个合格答案。随后比特币网络会新生成一定量的比特币作为区块奖励，奖励获得答案的人。

工作量证明机制（PoW）是我们最熟知的一种共识机制。工作量证明机制PoW就是工作越多，收益越大。这里的工作就是计算出一个满足规则的随机数，谁能最快地计算出唯一的数字，谁就能做信息公示人。

“双花”问题是指一笔数字现金在交易中被反复使用的现象。传统的加密数字货币和其他数字资产，都具有无限可复制性，人们在交易过程中，难以确认这笔数字现金是否已经产生过一次交易。

在区块链技术中，中本聪通过对产生的每一个区块盖上时间戳（时间戳相当于区块链公证人）的方式保证了交易记录的真实性，保证每笔货币被支付后，不能再用于其他支付。在这个过程中，当且仅当包含在区块中的所有交易都是有效的且之前从未存在过的，其他节点才认同该区块的有效性。

30.单选题

RIP路由协议规定在邻居之间每30秒进行一次路由更新，如果（

）仍未收到邻居的通告消息，则可以判断与该邻居路由器间的链路已经断开。

问题1选项

A.60秒

B.120秒

C.150秒

D.180秒

【答案】D

【解析】RIP三个定时器：

更新定时器：每隔30秒发整张路由表的副表给邻居路由器。

无效定时器：180秒，超过这个时间没有收到邻居路由器发来的更新信息，就认为路由失效。

垃圾收集定时器：当路由器的路由无效后，该路由成为一个无效路由项，COST值会标记为16，缺省时间为120秒，如果在这段时间内没收到该路由的更新消息，计时器结束后清除这条路由表项。

31.单选题

网络需求分析是网络开发过程的起始阶段，收集用户需求最常用的方式不包括（

）。

问题1选项

A.观察和问卷调查

B.开发人员头脑风暴

C.集中访谈

D.采访关键人物

【答案】B

【解析】充分了解网络应用系统需求是做好需求分析的关键。需求分析人员在与用户交流和观察工作流程获取初步需求时，采取一定的技术和技巧可以快速、准确地获取初步需求。

网络规划设计师在收集需求时，获取用户需求的常用方法包括采访、观察、问卷和调查、建立原型等，以此得到潜在用户的反馈。

32.单选题

如图1所示，某网络中新接入交换机SwitchB，交换机SwitchB的各接口均接入网线后，SwitchA的GE1/0/3接口很快就会处于down状态，拔掉SwitchB各接口的网线后（GE1/0/1除外），SwitchA的GE1/0/3接口很快就会恢复到up状态，SwitchA的GE1/0/3接口配置如图2所示，请判断造成该故障的原因可能是（）。

图1

图2

问题1选项

A.SwitchB存在DHCP服务器

B.SwitchB存在环路

C.SwitchA性能太低

D.SwitchB存在病毒

【答案】B

【解析】命令

开启LoopbackDetection功能后，接口会周期性地检测是否收到环回报文。如果发现接口有环回，设备会将该接口设置为处于环回检测工作状态，尽量减轻环路对本设备和整个网络的影响。使能LoopbackDetection后，接口会周期性地发送环回检测报文，检测到环回后就对接口采取由loopback-detectaction配置的处理动作，并开始计时。用户可以配置接口恢复时间recovery-time，经过recovery-time设置的时间后会尝试恢复接口，若此时接口环回消除，则将恢复该接口为正常状态。

执行命令loopback-detectaction{block|nolearn|shutdown|trap|quitvlan}，配置接口的LoopbackDetection处理动作。

缺省情况下，接口处理动作为shutdown。

当系统发现接口存在环回时，可对该接口进行以下5种处理动作：

block：堵塞接口。当检测到环回时，将该接口与其他接口隔离，不能转发除BPDU报文外的报文。

nolearn：禁止接口MAC地址学习。当检测到环回时，该接口将不再进行MAC地址学习。

shutdown：关闭接口。当检测到环回时，将关闭该接口。当环回消失后，被shutdown的接口不能自动恢复，需要依次执行命令shutdown和undoshutdown手动恢复，或者执行命令restart重启接口。

trap：只上报告警。

quitvlan：退出VLAN。当检测到环回时，当前接口退出出现环路的VLAN。

33.单选题

下面关于第三方认证的服务说法中，正确的是（

）。

问题1选项

A.Kerberos认证服务中保存数字证书的服务器叫CA

B.Kerberos和PKI是第三方认证服务的两种体制

C.Kerberos认证服务中用户首先向CA申请初始票据

D.Kerberos的中文全称是“公钥基础设施”

【答案】B

【解析】目前常用的密钥分配方式是设立密钥分配中心KDC，KDC是大家都信任的机构，其任务就是给需要进行秘密通信的用户临时分配一个会话密钥。目前用得最多的密钥分配协议是Kerberos。Kerberos使用两个服务器：鉴别服务器AS、票据授权服务器TGS。

PKI（PublicKeyInfrastructure，公钥基础设施）是一个利用公钥理论和技术来实现并提供信息安全服务的具有通用性的安全基础设施。

PKI系统以数字证书的形式分发和使用公钥。数字证书是一个用户的身份和它所持有的公钥的结合。基于数字证书的PKI系统，能够为网络通信和网络交易（例如电子政务和电子商务）提供各种安全服务。

34.单选题

在无线网络中，天线最基本的属性不包括(

)。

问题1选项

A.增益

B.频段

C.极化

D.方向性

【答案】B

【解析】天线有五个基本参数：方向性系数、天线效率、增益系数、辐射电阻和天线有效高度。这些参数是衡量天线质量好坏的重要指标。

35.单选题

以下关于RIP路由协议与OSPF路由协议的描述中，错误的是（

）。

问题1选项

A.RIP基于距离矢量算法，OSPF基于链路状态算法

B.RIP不支持VLSM，OSPF支持VLSM

C.RIP有最大跳数限制，OSPF没有最大跳数限制

D.RIP收敛速度慢，OSPF收敛速度快

【答案】B

【解析】距离矢量路由是最早被设计出来的路由选择协议，代表有RIP。RIP规定一条路径上最多只能包含15个路由器。因此，距离为16会认为不可达，所以只适合与小型网络。RIPv1和RIPv2版本的区别，RIPv1是有类别路由协议，它只支持以广播方式发布协议报文。RIPv1的协议报文无法携带掩码信息，它只能识别A、B、C类这样的标准分类网段的路由，RIPv2是一种无类别路由协议。使用的组播地址。支持MD5认证。

而运行链路状态路由协议的路由器，在相互学习路由之间，会首先向自己的邻居路由器学习整个网络的拓扑结构，在自己的内存中建立一个拓扑表，然后使用最短路径优先SPF算法，从自己的拓扑表里计算出路由来，典型的代表是OSPF协议。由于运行链路状态的路由器都维护着一个相同的拓扑表，而路由是路由器自己从这张表中计算出来的，所以运行链路状态路由协议的路由器都能自己保证路由的正确性，而且收敛速度快。

36.单选题

若要获取某个域的授权域名服务器的地址，应查询该域的（

）记录。

问题1选项

A.CNAME

B.MX

C.NS

D.A

【答案】C

【解析】DNS的资源记录中的NS记录列出负责区域名解析的DNS服务器。CNAME记录是别名记录、MX是邮件交换记录、A是主机记录。

37.单选题

PDR模型是最早体现主动防御思想的一种网络安全模型，包括（

）3个部分。

问题1选项

A.保护、检测、响应

B.保护、检测、制度

C.检测、响应、评估

D.评估、保护、检测

【答案】A

【解析】PDR模型是由美国国际互联网安全系统公司（ISS）提出，它是最早体现主动防御思想的一种网络安全模型。

PDR模型包括protection（保护）、detection（检测）、response（响应）3个部分。

1、保护

保护就是采用一切可能的措施来保护网络、系统以及信息的安全。保护通常采用的技术及方法主要包括加密、认证、访问控制、防火墙以及防病毒等。

2、检测

检测可以了解和评估网络和系统的安全状态，为安全防护和安全响应提供依据。检测技术主要包括入侵检测、漏洞检测以及网络扫描等技术。

3、响应

应急响应在安全模型中占有重要地位，是解决安全问题的最有效办法。解决安全问题就是解决紧急响应和异常处理问题，因此，建立应急响应机制，形成快速安全响应的能力，对网络和系统而言至关重要。

38.单选题

以下关于CMIP（公共管理信息协议）的描述中，正确的是（

）。

问题1选项

A.由IETF制定

B.针对TCP/IP环境

C.结构简单，易于实现

D.采用报告机制

【答案】D

【解析】CMIP协议是在ISO制订的网络管理框架中提出的网络管理协议。通用管理信息协议（CMIP）是构建于开放系统互连（OSI）通信模型上的网络管理协议。在网络管理过程中，CMIP是通过事件报告进行工作的。CMIP在设计上以SNMP为基础，对SNMP的缺陷进行了改进，是一种更加复杂、更加详细的网络管理协议。

39.单选题

假设某计算机的字长为32位，该计算机文件管理系统磁盘空间管理采用位示图，记录磁盘的使用情况，若磁盘的容量为300GB，物理块的大小为4MB，那么位示图的大小为（）个字。

问题1选项

A.2400

B.3200

C.6400

D.9600

【答案】A

【解析】本题考查操作系统中的空闲块管理方法——位示图。

题目指出磁盘容量为：300G，物理盘大小是4MB。则物理盘块个数为：300GB/4MB=75×1024。

每个物理盘块占用1个bit位来标识磁盘有没有被占用，系统中1个字是32位，所以字的个数：（75×1024）/32=2400。

40.单选题

以下关于延迟的说法中，正确的是（

）。

问题1选项

A.在对等网络中，网络的延迟大小与网络中的终端数量无关

B.使用路由器进行数据转发所带来的延迟小于交换机

C.使用internet服务器可最大程度地减小网络延迟

D.服务器延迟的主要影响因素是队列延迟和磁盘IO延迟

【答案】D

【解析】如果不考虑网络环境，服务器的延迟的主要因素是队列延迟和磁盘IO延迟。

41.案例题

阅读以下说明，回答问题1至问答4，讲解答填入答题纸对应的解答栏内。

【说明】

某园区组网图如图1-1所示，该网络中接入交换机利用QinQ技术实现二层隔离，根据不同位置用户信息打外层VLAN标记，可以有效避免广播风暴，实现用户到网关流量的统一管理。同时在网络中部署集群交换机系统CSS及Eth-trunk，提高网络的可靠性。

图1-1

【问题1】（8分）

请简要分析该网络接入层的组网特点（优点及缺点各回答2点）

【问题2】

（6分）

当该园区网用户接入点增加，用户覆盖范围扩大，同时要求提高网络可靠性时，某网络工程师拟采用环网接入+虚拟网关的组网方式

（1）

如何调整交换机的连接方式组建环网？

（2）

在接入环网中如何避免出现网络广播风暴？

（3）

简要回答如何设置虚拟网关？

【问题3】

（6分）

该网络通过核心层进行认证计费，可采用的认证方式有哪些？

【问题4】

(5分)

(1)该网络中，出口路由器的主要作用有哪些?

(2)应添加什么设备加强内外网络边界安全防范？放置在什么位置?

【答案】【问题1】（8分）

利用QinQ提供接入时具有以下的优点：

•可以解决日益紧缺的公网VLANID资源问题；

•用户可以规划自己的私网VLANID，不会导致与公网VLANID冲突；

•提供一种较为简单的二层VPN解决方案；

•使用户网络具有较高的独立性，在服务提供商升级网络时，用户网络不必更改原有的配置；

•可以按不同层次的VLANID来区分不同的业务；

•QinQ技术上完全可以多层嵌套，没有限制，仅受Ethernet报文长度的限制，具有很好的扩充性。

缺点：第一，第一名客户的VLAN标识可能与其他客户冲突；第二，服务提供商将受到客户可使用标识数量的严重限制。如果允许用户按他们自己的方式使用各自的VLANID空间，那么核心网络仍存在4096个VLAN的限制。

【问题2】（6分）

1、接入层和汇聚层保持冗余连接，汇聚层设备互联。

2、部署XSTP协议防环或堆叠技术。

3、核心交换机部署VRRP协议。

【问题3】（6分）

认证方式：802.1X认证、WEB认证等。

【问题4】(5分)

1、连接互联网、NAT、数据包过滤、策略路由、路由策略等

2、防火墙、放在路由器和核心交换机之间。

42.单选题

对下面4个网络：/24、/24、/24、/24进行路由汇聚，能覆盖这4个网络的地址是（）。

问题1选项

A./21

B./22

C./22

D./23

【答案】A

【解析】4个网络地址进行汇聚，选择最大的相同位数作为汇聚后的网络位，所以汇聚后的地址是

110.125.10000000/21。

43.单选题

以下关于IPv6地址的说法中，错误的是(

)。

问题1选项

A.IPv6采用冒号十六进制，长度为128比特

B.IPv6在进行地址压缩时双冒号可以使用多次

C.IPv6地址中多个相邻的全零分段可以用双冒号表示

D.IPv6地址各分段开头的0可以省略

【答案】B

【解析】IPv6地址为128位长，但通常写作8组，每组4个十六进制数的形式。如果4个数字都是零，可以被省略，每组前导的0也可以省略。如果因为省略而出现了两个以上的冒号，则可以压缩为一个，但这种零压缩在地址中只能出现一次。

44.单选题

下列哪种BGP属性不会随着BGP的Update报文通告给邻居？（

）

问题1选项

A.PrefVal

B.Next-hop

C.As-Path

D.Origin

【答案】A

【解析】BGP属性是BGP进行路由决策和控制的重要信息。

常见的BGP属性如下：

1、ORIGIN

ORIGIN标示路径信息的来源，是公认必遵属性。所有BGP路由器都可以识别，且必须存在于Update消息中。如果缺少这种属性，路由信息就会出错。

2、AS_PATH

AS_PATH由一系列AS路径组成，是公认必遵属性。所有BGP路由器都可以识别，且必须存在于Update消息中。如果缺少这种属性，路由信息就会出错。

它定义了到达目的地下一跳的设备IP地址，是公认必遵属性。所有BGP路由器都可以识别，且必须存在于Update消息中。如果缺少这种属性，路由信息就会出错。

3、Next_Hop属性记录了路由的下一跳信息。

4、优选协议首选值（优先级值PrefVal）最高的路由。

协议首选值（PrefVal）是华为设备的特有属性，该属性仅在本地有效。

45.单选题

下列安全协议中属于应用层安全协议的是（

）。

问题1选项

A.IPSec

B.L2TP

C.PAP

D.HTTPS

【答案】D

【解析】HTTPS是以安全为目标的HTTP通道，在HTTP的基础上通过传输加密和身份认证保证了传输过程的安全性。

46.单选题

在运行OSPF的路由器中，可以使用(

)命令查看OSPF进程下路由计算的统计信息，使用(

)命令查看OSPF邻居状态信息。

问题1选项

A.displayospfcumulative

B.displayospfspf-statistics

C.displayospfglobal-statics

D.displayospfrequest-queue

问题2选项

A.displayospfpeer

B.displayospfspf-statistics

C.displayospfglobal-statics

D.displayospfrequest-queue

【答案】第1题:B

第2题:A

【解析】displayospfspf-statistics:查看OSPF进程下路由计算的统计信息

display ospf peer:查看各OSPF的邻居

displayospfcumulative:命令用来查看OSPF的统计信息。

47.案例题

阅读以下说明，回答问题1至问题4。

【说明】

某物流公司采用云管理平台构建物流网络，如图1-1所示（以1个配送站为例），数据规划如表1-1所示。

项目特点：

1.单个配送站人员少于20人，仅一台云防火墙就能满足需求；

2.总部与配送站建立IPSec，配送站通过IPSec接入总部，内部用户需要认证后才有访问网络的权限；

3.配送站的云防火墙采用IPSec智能选路与总部两台防火墙连接，IPSec智能选路探测隧道质量，当质量不满足时切换另外一条链路；

4.配送站用户以无线接入为主。

（备注：AgileController-Campus是新一代园区与分支网络控制器，支持网络部署自动化、策略自动化，SD-WAN等，让网络服务更加便捷。）

图1-1

【问题1】

配置传统防火墙FW_A配置命令的注释。

（1）~（10）备选答案：

A.配置IKEPeer

B.引用安全策略模板并应用到接口

C.配置访问控制列表

D.配置序号为10的IKE安全提议

E.配置接口加入安全域

F.允许封装前和解封后的报文能通过FW_A

G.配置接口IP地址

H.配置名称为tran1的IPSec安全提议

I.配置名称为map_temp、序号为1的IPSec安全策略模板

J.允许IKE协商报文能正常通过FW_A

【问题2】（4分）

物流公司进行用户（配送站）侧验收时，在配送站FW_C.上查看IPSec智能选路情况如下图所示，则配送站智能接入的设备是（11），该选路策略在（12）设备上配置。

【问题3】（5分）

物流公司组建该网络相比传统网络体现出哪些优势?

【问题4】（6分）

简要说明该云管理网络构建及运营与MSP（MananagedSservicesProvider）的区别?

【答案】【问题1】

（1）G

（2）E

（3）F

（4）J

（5）C

（6）H

（7）D

（8）A

（9）I

（10）B

【问题2】

（11）FW_A

（12）AgileController-Campus

【问题3】

云管理网络的优势在于：

1、安全可靠、支持多种认证

依托华为云数据中心，Netconf协议，报文加密，操作日志加密记录。你下班，云管理永不下班、支持员工密码认证，访客微信认证。更有短信/API等多种认证方式内置支持，云端轻松配置。

2、即插即用、极简结构、自动升级

插上网线，扫码激活。剩下的配置，交给云端远程配置，批量下发，喝着咖啡就把网络布好，白天完成配置，预约夜间自动升级，从此告别现场熬夜值守，深夜寂寞的机房不再有工程师的身影。

3、大数据分析

丰富的业务使用情况统计，网络情况和业务记录全掌握；云管理网络将所有设备统一纳管，通过智能的数据统计和分析，可为企业提供丰富的运营报表功能。

4、云网规、云管理、云排障

上传图纸，自动规排，信号仿真，输出网规报告。可视化在线云网规，做网规比画画还容易、远程云端运维管理，想看就看，网络健康尽在掌握。更有云端代维服务，为你全天候配备专属网络管家，随时随地可查看全网异常告警，远程故障分析和处理。

【问题4】

1．MSP构建的是公有云，物流公司构建的是私有云。

2．该网络物流公司自行完成业务配置与运维；MSP运营模式下，企业可以自行完

成业务配置与运维，也可以交由MSP代维代建。

3．两者授权方式不同。

【解析】【问题1】

考查对防火墙配置IPSec的基本知识及应用。

采用IKE协商方式建立IPSec配置思路包括：

（1）配置接口的IP地址和端到端的静态路由，保证两端路由可达；

（2）配置ACL，定义需要IPSec保护的数据流；

（3）配置IPSe安全提议，定义IPSec的保护方法；

（4）配置IKE对等体，定义对等体间IKE协商时的属性；

（5）配置安全策略并引用安全提议和IKE对等体，确定对数据流的保护方式；

（6）在接口上应用安全策略组，使接口具有IPSec保护功能。

【问题2】

根据表1网络规划，在配送站FW_C上查看IPSec配送站智能接人的设备对应的是FW_A。FW_C通过AgileController-Campus进行管理和下发。

【问题3】

云管理网络的优势在于：

1、安全可靠、支持多种认证

依托华为云数据中心，Netconf协议，报文加密，操作日志加密记录。你下班，云管理永不下班、支持员工密码认证，访客微信认证。更有短信/API等多种认证方式内置支持，云端轻松配置。

2、即插即用、极简结构、自动升级

插上网线，扫码激活。剩下的配置，交给云端远程配置，批量下发，喝着咖啡就把网络布好，白天完成配置，预约夜间自动升级，从此告别现场熬夜值守，深夜寂寞的机房不再有工程师的身影。

3、大数据分析

丰富的业务使用情况统计，网络