2022年职业考证-软考-网络规划设计师考试名师押题精选卷I（带答案详解）试卷号28

住在富人区的她2022年职业考证-软考-网络规划设计师考试名师押题精选卷I（带答案详解）（图片可根据实际调整大小）题型12345总分得分一.综合题(共50题)1.单选题

VOIP通信采用的实时传输技术是（

）。

问题1选项

A.RTP

B.RSVP

C.G729/G723

D.H323

【答案】A

【解析】VOIP通信采用的实时传输协议为RTP，实时传输协议（RTP）为数据提供了具有实时特征的端对端传送服务。

2.案例题

阅读以下说明，回答问题1至问题4，将解答填入答题纸对应的解答栏内。

【说明】

案例一

安全测评工程师小张对某单位的信息系统进行安全渗透测试时，首先获取A系统部署的WebServer版本信息，然后利用A系统的软件中间件漏洞，发现可以远程在A系统服务器上执行命令。小张控制A服务器后，尝试并成功修改网页。通过向服务器区域横向扫描，发现B和C服务器的root密码均为123456，利用该密码成功登录到服务器并获取root权限。

案例二

网络管理员小王在巡查时发现网站访问日志中有多条非正常记录。

其中，日志1访问记录为:

/

param='1'and

updatexml(1,

concat(0x7e

(SEL

ECT

MD5(1234),0x7e),

1)

日志2访问记录为：

/js/url.

substring(0,

indexN2)}/

alert(url);url+=

小王立即采取措施，加强Web安全防范。

案例三

某信息系统在2018年上线时，在公安机关备案为等级保护第三级,单位主管认为系统已经定级，此后无须再做等保安全评测。

【问题1】(6分)

信息安全管理机构是行使单位信息安全管理职能的重要机构，各个单位应设立(1)领导小组，作为本单位信息安全工作的最高领导决策机构。设立信息安全管理岗位并明确职责，至少应包含安全主管和“三员”岗位，其中“三员”岗位中:(2)岗位职责包括信息系统安全监督和网络安全管理沟通、协调和组织处信息安全事件等；系统管理员岗位职责包括网络安全设备和服务器的配置、部署、运行维护和日常管理等工作；(3)岗位职责包括对安全、网络、系统、应用、数据库等管理人员的操作行为进行审计，监督信息安全制度执行情况。

【问题2】(9分)

1.请分析案例一信息系统存在的安全隐患和问题(至少回答5点);

2.针对案例一存在的安全隐患和问题，提出相应的整改措施(至少回答4点)

【问题3】(6分)

1.案例二中，日志1所示访问记录是(4)攻击，日志2所示访问记录是(5)攻击

2.案例二中，小王应采取哪些措施加强web安全防范?

【问题4】(4分)

案例三中，单位主管的做法明显不符合网络安全等级保护制度要求，请问，该信息系统应该至少(6)年进行一次等保安全评测，该信息系统的网络日志至少应保存(7)个月。

【答案】【问题1】(6分)

（1）网络安全和信息建设

（2）安全管理员

（3）安全审计员

【问题2】(9分)

WebServer版本信息没有屏蔽、中间件漏洞没有及时补丁升级、存在远程命令漏洞，存在弱口令、没有禁用ROOT用户远程登录等。

WebServer版本信息屏蔽、中间件漏洞及时补丁升级、关闭高危端口，加强口令强度，定时更新口令、禁用ROOT用户远程登录、部署WAF设备、IPS设备、漏洞扫描设备。

【问题3】(6分)

SQL注入攻击

XSS攻击

验证用户的输入，部署WAF、IPS设备。

【问题4】(4分)

1、1年

2、6

3.单选题

下列路由表的概要信息中，迭代路由是(

)，不同的静态路由有(

)条。

问题1选项

A./24

B./32

C./8

D./32

问题2选项

A.1

B.2

C.3

D.4

【答案】第1题:B

第2题:C

【解析】路由必须有直连的下一跳才能够指导转发，但是路由生成时下一跳可能不是直连的，因此需要计算出一个直连的下一跳和对应的出接口，这个过程就叫做路由迭代。BGP路由、静态路由和UNR路由的下一跳都有可能不是直连的，都需要进行路由迭代。

例如，BGP路由的下一跳一般是非直连的对端Loopback地址，不能指导转发，需要进行迭代。即根据以BGP学习到的下一跳为目的地址在IP路由表中查找，当找到一条具有直连的下一跳、出接口信息的路由后（一般为一条IGP路由），将其下一跳、出接口信息填入这条BGP路由的IP路由表中并生成对应的FIB表项。

FLAG字段中的RD代表迭代路由。

不同的静态路由是3.路由为1条静态路由，下一跳相同，所以共3条。

4.单选题

下列DHCP报文中，由客户端发送给DHCP服务器的是（）。

问题1选项

A.DhcpDecline

B.DhcpOffer

C.DhcpAck

D.DhcpNack

【答案】A

【解析】DHCPDecline：DHCP客户端收到DHCP服务器回应的ACK报文后，通过地址冲突检测发现服务器分配的地址冲突或者由于其他原因导致不能使用，则发送Decline报文，通知服务器所分配的IP地址不可用。再有就是通知DHCP服务器禁用这个IP地址以免引起IP地址冲突。然后客户端又开始新的DHCP过程

5.单选题

在一个分布式软件系统中，一个构件失去了与另一个远程构件的连接。在系统修复后，连接于30秒之内恢复，系统可以重新正常工作直到其它故障发生。这一描述体现了软件系统的（）

问题1选项

A.安全性

B.可用性

C.兼容性

D.性能

【答案】B

【解析】可用性（availability）是系统能够正常运行的时间比例。经常用两次故障之间的时间长度或在出现故障时系统能够恢复正常的速度来表示。

6.单选题

光纤传输测试指标中，回波损耗是指（

）。

问题1选项

A.传输数据时线对间信号的相互泄露

B.传输距离引起的发射端的能量与接收端的能量差

C.光信号通过活动连接器之后功率的减少

D.信号反射引起的衰减

【答案】D

【解析】当光纤信号进入或离开某个光器件组件时（例如光纤连接器），不连续和阻抗不匹配将导致反射或回波，反射或返回的信号的功率损耗，即为回波损耗。

7.单选题

以下关于单模光纤与多模光纤区别的描述中，错误的是（

）。

问题1选项

A.单模光纤的工作波长一般是1310nm，1550nm，多模光纤的工作波长一般是850nm

B.单模光纤纤径一般为9/125μm，多模光纤纤径一般为50/125μm或62.5/125μm

C.单模光纤常用于短距离传输，多模光纤多用于远距离传输

D.单模光纤的光源一般是LD或光谱线较窄的LED，多模光纤的光源一般是发光二极管或激光器

【答案】C

【解析】光纤分为多模光纤和单模光纤两类，多模光纤和单模光纤的区别，主要在于光的传输方式不同，当然带宽容量也不一样。多模光纤直径较大，不同波长和相位的光束沿光纤壁不停地反射着向前传输，造成色散，限制了两个中继器之间的传输距离和带宽，多模光纤的带宽约为2.5Gbps。单模光纤的直径较细，光在其中直线传播，很少反射，所以色散减小、带宽增加，传输距离也得到加长。但是与之配套的光端设备价格较高，单模光纤的带宽超过10Gbps。

8.案例题

阅读以下说明，回答问题1至问题4，将解答填入答题纸对应的解答栏内。

【说明】

案例一

据新闻报道，某单位的网络维护员张某将网线私自连接到单位内部专网，通过专网远程登录到该单位的某银行储蓄所营业员电脑，破解默认密码后以营业员身份登录系统，盜取该银行83.5万元。该储蓄所使用与互联网物理隔离的专用网络，且通过防火墙设置层层防护，但最终还是被张某非法入侵，并造成财产损失。

案例二

据国内某网络安全厂商通报，我国的航空航天、科研机构、石油行业、大型互联网公司以及政府机构等多个单位受到多次不同程度的APT攻击，攻击来源均为国外几个著名的APT组织。比如某境外APT组织搭建钓鱼攻击平台，冒充“系统管理员"向某科研单位多名人员发送钓鱼邮件，邮件附件中包含伪造Office.PDF图标的PE文件或者含有恶意宏的Word文件，该单位小李打开钓鱼邮件附件后，其工作电脑被植入恶意程序，获取到小李个人邮箱账号和登录密码，导致其电子邮箱被秘密控制。之后，该APT组织定期远程登录小李的电子邮箱收取文件，并利用该邮箱向小李的同事、下级单位人员发送数百封木马钓鱼邮件，导致十余人下载点击了木马程序，相关人员计算机被控制，造成敏感信息被窃取。

【问题1】（4分）

安全运维管理为信息系统安全的重要组成部分，一般从环境管理、资产管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代码管理、备份与恢复管理、安全事件处置、外包运维管理等方面进行规范管理。其中：

1.规范机房出入管理，定期对配电、消防、空调等设施维护管理应属于（1）范围：

2.分析和鉴定安全事件发生的原因，收集证据，记录处理过程，总结经验教训应属于（2）范围：

3.制定重要设备和系统的配置和操作手册，按照不同的角色进行安全运维管理应属于（3）范围：

4.定期开展安全测评，形成安全测评报告，采取措施应对发现的安全问题应属于（4）管理范围。

【问题2】（8分）

请分析案例一中网络系统存在的安全隐患和问题。

【问题3】（8分）

请分析案例二，回答下列问题：

1.请简要说明APT攻击的特点。

2.请简要说明APT攻击的步骤。

【问题4】（5分）

结合上述案例，请简要说明从管理层面应如何加强网络安全防范。

【答案】【问题1】

（1）环境管理

（2）安全事件处置

（3）网络和系统安全管理

（4）漏洞和风险管理

【问题2】

①缺少网络准入控制；

②没有设置远程登录和访问权限，限制非授权访间；

③没有按要求定期更换系统密码或设置复杂度高的密码；

④系统缺少双因子身份认证；

⑤安全管理落实不到位，员工安全意识差。

【问题3】

1.APT攻击的特点：

①潜伏性，在用户网络环境中长久潜伏存在；

②持续性，持续不断地监控和获取敏感信息；

③威胁性大，有组织有预谋，成功率高，危害系数大，近年来频频发生针对我国政府机关和核心部门发起的有组织的APT攻击。

2.APT攻击的步骤：

①收集信息或扫描探测；

②恶意代码投送；

⑧利用漏洞；

④植入木马或植入恶意程序；

⑤命令与控制或远程控制；

⑥横向渗透并达成目标；

⑦清除痕迹或者删除恶意程序。

【问题4】

①明确网络安全管理制度；

②明确网络安全主体责任；

③细化网络安全工作职责，责任到人；

④合理分配人员权限、最小权限和加强审计；

⑤加强网络安全意识和技能培训；

⑥强化网络安全执行监督。

【解析】【问题1】

（1）环境管理主要是机房环境的安全管理，包括出入管理、机房辅助设施、机房管理制度、来访人员管理等。要求指定部门或专人负责机房安全，定期对机房设施进行维护管理，制定机房安全管理规定，同时要求不在重要区域接待来访人员和桌面不能有包含敏感信息的纸档文件、移动介质等。

（2）安全事件管理要求及时向安全管理部门报告安全弱点和可疑事件，制定安全时间报告和处置管理制度，并在事件报告和响应处理过程中分析原因、收集证据、记录处理过程、总结经验教训，重大事件应采用不同的处理程序和报告程序等。

（3）网络和系统安全管理对包括管理员角色和权限的划分、账户及安全策略的控制和规定、日志记录和分析、各项运维活动的规程和审批等做了要求

（4）漏洞和风险管理要求及时识别、发现并修补安全漏洞和隐患，并定期开展安全测评，采取措施应对测评报告中发现的安全问题。

【问题2】

①缺少网络准入控制；

②没有设置远程登录和访问权限，限制非授权访间；

③没有按要求定期更换系统密码或设置复杂度高的密码；

④系统缺少双因子身份认证；

⑤安全管理落实不到位，员工安全意识差。

【问题3】

1.APT（AdvancedPersistentThreat，高级持续性威胁），是一种针对特定目标进行长期持续性网络攻击的攻击模式。典型的APT攻击一般会带有以下特征：

持续性：

攻击者通常会花费大量的时间来跟踪、收集目标系统中的网络运行环境，并主动探寻被攻击者的受信系统和应用程序的漏洞。即使一段时间内，攻击者无法突破目标系统的防御体系。但随着时间的推移，目标系统不断有新的漏洞被发现，防御体系也会存在一定的空窗期（例如设备升级、应用更新等），而这些不利因素往往会导致被攻击者的防御体系失守。

终端性：

攻击者并不是直接攻击目标系统，而是先攻破与目标系统有关系的人员的终端设备（如智能手机、PAD、USB等等），并窃取终端使用者的账号、密码信息。然后以该终端设备为跳板，再攻击目标系统。

针对性：

攻击者会针对收集到的目标系统中常用软件、常用防御策略与产品、内部网络部署等信息，搭建专门的环境，用于寻找有针对性的安全漏洞，测试特定的攻击方法能否绕过检测。

未知性：

传统的安全产品只能基于已知的病毒和漏洞进行攻击防范。但在APT攻击中，攻击者会利用0DAY漏洞（0day漏洞也不是指某一种特定技术的漏洞，它是指软件或系统中已经被发现，但官方还不知道或还没有发布相应补丁的漏洞。）进行攻击，从而顺利通过被攻击者的防御体系。

隐蔽性：

攻击者访问到重要资产后，会通过控制的客户端，使用合法加密的数据通道，将信息窃取出来，以绕过被攻击者的审计系统和异常检测系统的防护。

从以上的攻击特征可以看出，APT攻击相对于传统的攻击模式，手段更先进、攻击更隐蔽、破坏更严重，因此已经成为威胁当今网络安全的一大隐患。

2.APT攻击的步骤：

①收集信息或扫描探测；

②恶意代码投送；

⑧利用漏洞；

④植入木马或植入恶意程序；

⑤命令与控制或远程控制；

⑥横向渗透并达成目标；

⑦清除痕迹或者删除恶意程序。

【问题4】

①确定网络安全管理制度；

②明确网络安全主体责任；

③细化网络安全工作职责，责任到人；

④合理分配人员权限、最小权限和加强审计；

⑤加强网络安全意识和技能培训；

⑥强化网络安全执行监督。

9.案例题

阅读以下说明，回答问题1至问答4，讲解答填入答题纸对应的解答栏内。

【说明】

某园区组网图如图1-1所示，该网络中接入交换机利用QinQ技术实现二层隔离，根据不同位置用户信息打外层VLAN标记，可以有效避免广播风暴，实现用户到网关流量的统一管理。同时在网络中部署集群交换机系统CSS及Eth-trunk，提高网络的可靠性。

图1-1

【问题1】（8分）

请简要分析该网络接入层的组网特点（优点及缺点各回答2点）

【问题2】

（6分）

当该园区网用户接入点增加，用户覆盖范围扩大，同时要求提高网络可靠性时，某网络工程师拟采用环网接入+虚拟网关的组网方式

（1）

如何调整交换机的连接方式组建环网？

（2）

在接入环网中如何避免出现网络广播风暴？

（3）

简要回答如何设置虚拟网关？

【问题3】

（6分）

该网络通过核心层进行认证计费，可采用的认证方式有哪些？

【问题4】

(5分)

(1)该网络中，出口路由器的主要作用有哪些?

(2)应添加什么设备加强内外网络边界安全防范？放置在什么位置?

【答案】【问题1】（8分）

利用QinQ提供接入时具有以下的优点：

•可以解决日益紧缺的公网VLANID资源问题；

•用户可以规划自己的私网VLANID，不会导致与公网VLANID冲突；

•提供一种较为简单的二层VPN解决方案；

•使用户网络具有较高的独立性，在服务提供商升级网络时，用户网络不必更改原有的配置；

•可以按不同层次的VLANID来区分不同的业务；

•QinQ技术上完全可以多层嵌套，没有限制，仅受Ethernet报文长度的限制，具有很好的扩充性。

缺点：第一，第一名客户的VLAN标识可能与其他客户冲突；第二，服务提供商将受到客户可使用标识数量的严重限制。如果允许用户按他们自己的方式使用各自的VLANID空间，那么核心网络仍存在4096个VLAN的限制。

【问题2】（6分）

1、接入层和汇聚层保持冗余连接，汇聚层设备互联。

2、部署XSTP协议防环或堆叠技术。

3、核心交换机部署VRRP协议。

【问题3】（6分）

认证方式：802.1X认证、WEB认证等。

【问题4】(5分)

1、连接互联网、NAT、数据包过滤、策略路由、路由策略等

2、防火墙、放在路由器和核心交换机之间。

10.单选题

6个速率为64Kb/s的用户按照同步时分多路复用技术（TDM）复用到一条干线上，若每个用户平均效率为80%，干线开销4%，则干线速率为（

）Kb/s。

问题1选项

A.160

B.307.2

C.320

D.400

【答案】D

【解析】6个速率为64Kb/s的用户按照TDM技术进行复用，每个用户的平均效率是80%，干线开销是4%，则干线速率是：6×64/（1-4%）=400kbps。

点拨：利用率=1-开销，计算的时候是需要乘以利用率，而非乘以开销。

11.单选题

在IPv6中，(

)首部是每个中间路由器都需要处理的。

问题1选项

A.逐跳选项

B.分片选项

C.鉴别选项

D.路由选项

【答案】A

【解析】逐跳选项扩展头，定义了转发路径中每个节点需要处理的信息。

路由扩展头，记录转发路径上路由节点的信息。

分片扩展头，用于IPV6数据报文的分片和重组，不同于IPV4，IPV6只在源节点进行数据的分片。

身份认证扩展头，确保数据来源于可信任的源点。

12.单选题

以下关于软件开发过程中增量模型优点的叙述中，

不正确的是（）。

问题1选项

A.强调开发阶段性早期计划

B.第一个可交付版本所需要的时间少和成本低

C.开发由增量表示的小系统所承担的风险小

D.系统管理成本低、效率高、配置简单

【答案】A

【解析】瀑布模型将项目的生存周期各个活动规定为按照线性顺序连接成若干个阶段的模型。包括需求分析、设计、编码工作、测试、项目运维。依照由前至后、相互衔接的固定顺序，类似瀑布流水，逐级下落。容易理解、管理成本较低、强调开发阶段性早期计划及需求调研和产品测试。

增量模型又称为渐增模型，也称为有计划的产品改进模型，它从一组给定的需求开始，通过构造一系列可执行中间版本来实施开发活动。第一个版本纳入一部分需求，下一个版本纳入更多的需求，依此类推，直到系统完成。每个中间版本都要执行必需的过程、活动和任务。

13.单选题

管理员无法通过telnet来管理路由器，下列故障原因中不可能的是（

）。

问题1选项

A.该管理员用户账号被禁用或删除

B.路由器设置了ACL

C.路由器内telnet服务被禁用

D.该管理员用户账号的权限级别被修改为0

【答案】D

【解析】VRP系统把命令和用户进行了分级，每条命令都有相应的级别，每个用户也有自己的权限级别，并且用户权限级别和命令级别有一定的关系，用户登录后，只能执行等于或低于自己级别的命令。权限级别是0级别的话可以执行网络诊断类命令（ping、tracert），从本设备访问其他设备的命令（Telnet）等。

14.单选题

某公司的网络地址为，每个子网最多1000台主机，则适用的子网掩码是（）。

问题1选项

A.

B.

C.

D.28

【答案】A

【解析】某公司的网络地址为，每个子网最多1000台主机，需要有10位主机位，使用的子网掩码就是。

15.单选题

在交换机上通过（）查看到下图所示信息，其中State字段的含义是（）。

问题1选项

A.displayvrrpstatistics

B.displayospfpeer

C.displayvrrpverboses

D.displayospfneighbor

问题2选项

A.抢占模式

B.认证类型

C.配置的优先级

D.交换机在当前备份组的状态

【答案】第1题:C

第2题:D

【解析】displayvrrpverboses显示Switch上备份组1的详细信息。State显示交换机的状态为master主交换机。

16.单选题

某web网站使用SSL协议，该网站域名是,用户访问该网站使用的URL是（

）。

问题1选项

A.

B.

C.rtsp://

D.mns://

【答案】B

【解析】网站使用的SSL协议，网站域名为，那么用户在访问该网站的时候，URL为。

17.单选题

IPv4报文的最大长度为（

）字节。

问题1选项

A.1500

B.1518

C.10000

D.65535

【答案】D

【解析】IPV4报文的最大长度为65535B，当需要传送的时候，超过下层的MTU1500B的时候，需要分片。

18.单选题

距离向量路由协议所采用的核心算法是(

)

问题1选项

A.Dijkstra算法

B.Prim算法

C.Floyd算法

D.Bellman-Ford算法

【答案】D

【解析】贝尔曼-福特算法(Bellman–Fordalgorithm)用于计算出起点到各个节点的最短距离。

19.单选题

由于采用了()技术，ADSL的上行与下行信道频率可部分重叠。

问题1选项

A.离散多音调

B.带通过滤

C.回声抵消

D.定向采集

【答案】C

【解析】ADSL利用铜双绞线的0～1MHz频段传输数据，它将这部分可用频段分成3段，其中0～4kHz频段用于POTS业务，20～138kHz频段用于传送上行(从用户端到局端)控制信息，而下行(从局端到用户端)数字信道可采用频分复用(FDM)方式或频谱重叠方式分别占用138kHz或者20kHz以上的频段。在频谱重叠方式中，ADSL接收端需要采用回波抵消算法来分离上下行信道的信息。

20.单选题

路由器收到一个IP数据报，在对其首部校验后发现存在错误，该路由器有可能采取的动作是（

）。

问题1选项

A.纠正该数据报错误

B.转发该数据报

C.丢弃该数据报

D.通知目的主机数据报出错

【答案】C

【解析】当路由器或目的主机收到的数据报的首部中的字段的值不正确时，就丢弃该数据报，并向源站发送参数问题报文，在报文类型字段中的值是12。

21.单选题

以下关于OSPF特性的叙述中，错误的是(

)。

问题1选项

A.OSPF采用链路状态算法

B.每个路由器通过泛洪LSA向外发布本地链路状态信息

C.每台OSPF设备收集LSA形成链路状态数据库

D.OSPF区域0中所有路由器上的LSDB都相同

【答案】D

【解析】存在ABR的话，ABR是包含多个区域的LSDB，而普通的区域0的LSDB只含有一部分LSA，就比如区域1的ABR他的LSDB是含有区域1的LSA1和LSA2的，但是这部分LSA是不会被传递到区域0的，所以不是所有的区域0的路由器的LSDB都是一样的。

22.单选题

以下关于OSPF协议路由聚合的描述中，正确的是（

）。

问题1选项

A.ABR会自动聚合路由，无需手动配置

B.在ABR和ASBR上都可以配置路由聚合

C.一台路由器同时做ABR和ASBR时不能聚合路由

D.ASBR上能聚合任意的外部路由

【答案】B

【解析】地址汇总也叫做路由汇聚，是把ABR或ASBR具有相同前缀的路由信息进行聚合，只发布聚合后的路由给其他区域。这样可以大大减少区域内部路由器中的路由条目数，提高路由查询效率。所以在OSPF路由汇总中，主要是在ABR或者ASBR路由上进行的，分别进行的是区域间路由汇总和路由引入的汇总。

23.单选题

某学校为学生宿舍部署无线网络后，频繁出现网速慢、用户无法登录等现象，网络管理员可以通过哪些措施优化无线网络（

）。

①AP功率调整；

②人员密集区域更换高密AP；

③调整宽带；

④干扰调整；

⑤馈线入户。

问题1选项

A.①②

B.①②③

C.①②③④

D.①②③④⑤

【答案】D

【解析】造成无线网络慢、用户无法登录的优化措施有：调整AP功率、更换高密度AP、调整带宽、干扰调整、馈线入户。

24.单选题

在华为VRP平台上，直连路由、OSPF、RIP、静态路由按照优先级从高到低的排序是（

）。

问题1选项

A.OSPF、直连路由、静态、RIP

B.直连路由、静态、OSPF、RIP

C.OSPF、RIP、直连路由、静态

D.直连路由、OSPF、静态、RIP

【答案】D

【解析】一条路由比其他的路由拥有更高优先级的概念叫做管理距离AD。主要是比较不同路由协议有多条路径到达目的网络的参数，AD值越小，就表示这条路由可信度级别就越高。

华为的：

直连路由：0；OSPF：10；静态路由：60；RIP：100。

25.案例题

阅读下列说明，回答问题1至问题4。

【说明】

图2-1为某政府部门新建大楼，网络设计拓扑图，根据业务需求，共有三条链路接入，分别连接电子政务外网、互联网、电子政务内网（涉密网），其中机要系统通过电子政务内网访问上级部门机要系统，并由加密机进行数据加密。3条接入链路共用大楼局域网，通过VLAN逻辑隔离。大楼内部署有政府服务系统集群，对外提供政务服务，建设有四个视频会议室，部署视频会议系统，与上级单位和下级各部门召开业务视频会议及项目评审会议等，要求录播存储，录播系统将视频存储以NFS格式挂载为网络磁盘，存储视频文件。

【问题1】（9分）

（1）图2-1所示设计的网络结构为大二层结构，简述该网络结构各层的主要功能和作用，并简要说明该网络结构的优缺点。

（2）图2-1所示网络设计中，如何实现互联网终端仅能访问互联网、电子政务外网终端仅能访问政务外网，机要系统仅能访问电子政务内网？

（3）机要系统和电子政务内网设计是否违规？请说明原因。

【问题2】（6分）

（4）视频会议1080p格式传输视频，码流为8Mbps，请计算每个视频会议室每小时会占用多少存储空间（单位要用MB或者GB），并说明原因。

（5）每个视频会议室每年使用约100天（每天按8小时计算），视频文件至少保存2年。图2-1中设计的录播系统将视频存储挂载为网络磁盘，存储视频文件，该存储系统规划配置4TB（实际容量按3.63TB计算）磁盘，RAID6方式冗余，设置全局热备盘1块。请计算该存储系统至少需要配置多少块磁盘并说明原因。

【问题3】（6分）

（6）各视频会议室的视频终端和MCU是否需要一对一做NAT，映射公网IP地址?请说明原因。

（7）召开视频会议使用的协议是什么?需要在防火墙开放的TCP端口是什么?

【问题4】（4分）

图2-1所示的虚拟化平台连接的存储系统连接方式是（8）视频存储的连接方式是（9）。

【答案】【问题1】

（1）大二层网络结构包括接入层和核心层。

园区网是一种用户高密度的网络，在有限的空间内聚集了大量的终端和用户。扁平化大二层网络的设计注重的是三个“易”：易管理，易部署，易维护。

1、易管理：扁平化的大二层网络，整体简化了网络结构，网络中大量的接入、汇聚作为逻辑二层设备只需要做简单的VLAN划分、端口隔离配置即可，不需要过多管理，核心设备作三层网关，启用路由、认证、安全相关功能，日常维护中，管理员只需要维护核心设备即可，大大降低了网络的运维难度，简化了工作量。

2、易部署：大二层网络，无论是有线用户还是无线用户，无论是采用802.1x认证还是portal认证，认证点统一集中在核心，部署方便快捷。同时，在大二层的环境中，大量的接入、汇聚设备配置基本类似，一些专注在行业的厂商也推出了快速配置工具用于批量设备上线时的快速配置下发，利用配置工具，操作过程简便，之前需要耗时几天的部署工作在2个小时内即可完成。

3、易维护：网络结构的简化将带来维护工作的简化，设备配置的简化必然会大幅度降低设备出问题的概率。从另一方面看，园区网的维护，需要在网络出现问题时能够快速定位，在网络管理层面上，需要把用户和端口对应起来，明确用户是从哪个端口接入上网，大二层架构中，利用VLAN聚合技术，可以轻松定位用户到具体的端口。

缺点是容易形成广播风暴，不适合大规模复杂网络。

（2）通过对用户终端固定分配IP的方式，然后在路由设备上做策略路由。

（3）机要终端信息系统不能接入其他网络中，应该是一个独立的网络；电子政务内网和电子政务外网之间需要使用物理隔离设备网闸、电子政务外网和互联网之间需要逻辑隔离设备防火墙。

【问题2】

（4）每个视频会议每小时占用的存储空间为：8Mbps*3600/8=3600MB。

（5）总的数据量=3600*4*2*100*8/1024*1024=22TB，存储这些用户数据需要22TB/3.6TB=7，题目说明用的RAID6以及有全局热备盘，所以还需要2块校验盘+1块热备盘，一共需要10块磁盘。

【问题3】

（6）视频终端不需要。召开视频会议时候，由MCU连接各会场的视频终端，召开多方会议；局域网以外的其他部门的终端通过互联网访问MCU，需要对MCU配置一对一的NAT，映射公网IP，以供外部访问。

（7）本视频会议用的是标准协议H.323，需要在防火墙的规则中，打开端口。

端口1503（TCP）：MicrosoftNetMeetingT.120数据共享。

端口1718（UDP）：网守查找。

端口1719（UDP）：网守RAS（必须为双向）。

端口1720（TCP）：H.323呼叫设置（必须为双向）。

端口1731（TCP）：音频呼叫控制（必须为双向）。

【问题4】

FC-SAN，NAS。

【解析】【问题1】

（1）大二层网络结构包括接入层和核心层。

园区网是一种用户高密度的网络，在有限的空间内聚集了大量的终端和用户。扁平化大二层网络的设计注重的是三个“易”：易管理，易部署，易维护。

1、易管理：扁平化的大二层网络，整体简化了网络结构，网络中大量的接入、汇聚作为逻辑二层设备只需要做简单的VLAN划分、端口隔离配置即可，不需要过多管理，核心设备作三层网关，启用路由、认证、安全相关功能，日常维护中，管理员只需要维护核心设备即可，大大降低了网络的运维难度，简化了工作量。

2、易部署：大二层网络，无论是有线用户还是无线用户，无论是采用802.1x认证还是portal认证，认证点统一集中在核心，部署方便快捷。同时，在大二层的环境中，大量的接入、汇聚设备配置基本类似，一些专注在行业的厂商也推出了快速配置工具用于批量设备上线时的快速配置下发，利用配置工具，操作过程简便，之前需要耗时几天的部署工作在2个小时内即可完成。

3、易维护：网络结构的简化将带来维护工作的简化，设备配置的简化必然会大幅度降低设备出问题的概率。从另一方面看，园区网的维护，需要在网络出现问题时能够快速定位，在网络管理层面上，需要把用户和端口对应起来，明确用户是从哪个端口接入上网，大二层架构中，利用VLAN聚合技术，可以轻松定位用户到具体的端口。

缺点是容易形成广播风暴，不适合大规模复杂网络。

（2）通过对用户终端固定分配IP的方式，然后在路由设备上做策略路由。缺点：1、成本提高。缺省汇聚设备，导致对万兆/10万兆的端口数增加；2、对设备本身转发机制，计算处理能力，甚至产品架构提出更高要求，设备损耗老化较快。

（3）机要终端信息系统不能接入其他网络中，应该是一个独立的网络；电子政务内网和电子政务外网之间需要使用物理隔离设备网闸、电子政务外网和互联网之间需要逻辑隔离设备防火墙。

【问题2】

（4）每个视频会议每小时占用的存储空间为：8Mbps×3600/8=3600MB。

（5）总的数据量=3600×4×2×100×8/1024×1024=22.5TB，存储这些用户数据需要22TB/3600MB/1024TB=7，题目说明用的RAID6以及有全局热备盘，所以还需要2块校验盘+1块热备盘，一共需要10块磁盘。

【问题3】

（6）视频终端不需要。召开视频会议时候，由MCU连接各会场的视频终端，召开多方会议；局域网以外的其他部门的终端通过互联网访问MCU，需要对MCU配置一对一的NAT，映射公网IP，以供外部访问。

（7）从题目的描述来看，本视频会议用的是标准协议H.323，需要在防火墙的规则中，在防火墙中打开在媒体端口范围（UDP和TCP）字段中指定的同一端口范围。还必须打开防火墙中的以下端口：

端口1503（TCP）：MicrosoftNetMeetingT.120数据共享。

端口1718（UDP）：网守查找。

端口1719（UDP）：网守RAS（必须为双向）。

端口1720（TCP）：H.323呼叫设置（必须为双向）。

端口1731（TCP）：音频呼叫控制（必须为双向）。

【问题4】

图中存储系统连接FC交换机，应该是FC-SAN，视频存储题干已经说明以NFS格式挂载存储视频文件，所以是NAS。

26.单选题

PPP是一种数据链路层协议，其协商报文中用于检测链路是否发生自环的参数是（

）。

问题1选项

A.MRU

B.ACCM

C.MagicNumber

D.ACFC

【答案】C

【解析】

PPP在建立链路之前要进行一系列的协商，PPP首先进行LCP协商，协商内容包括MRU（最大传输单元）、魔术字（magicnumber）、验证方式异步字符映射等选项，其中魔术字主要用于检测链路自环。

27.单选题

某主机可以ping通本机地址，而无法ping通网关地址，网络配置如下图所示，造成该故障的原因可能是(

)。

问题1选项

A.该主机的地址是广播地址

B.默认网关地址不属于该主机所在的子网

C.该主机的地址是组播地址

D.默认网关地址是组播地址

【答案】B

【解析】图片缺失暂无解析

28.案例题

阅读以下说明，回答问题1至问题3，将解答填入答题纸对应的解答栏内

【说明】

图2-1为某数据中心分布式存储系统网络架构拓扑图，每个分布式节点均配置1块双端口10GE光口网卡和1块1GE电口网卡，SW3是存储系统管理网络的接入交换机，交换机SW1和SW2连接各分布式节点和SW3交换机，用户通过交换机SW4接入访问分布式存储系统。

【问题1】(10分)

图2-1中，通过(1)技术将交换机SW1和SW2连接起来，从逻辑上组合成一台交换机，提高网络稳定性和交换机背板带宽；分布式节点上的2个10GE口采用(2)技术，可以实现存储节点和交换机之间的链路冗余和流量负载；交换机SW1与分布式节点连接介质应采用(3)，SW3应选用端口速率至少为(4)bps的交换机，SW4应选用端口速率至少为(5)bps的交换机。

【问题2】(9分)

1.分布式存储系统采用什么技术实现数据冗余?

2.分布式系统既要性能高，又要在考虑成本的情况下采用了廉价大容量磁盘，请说明如何配置磁盘较为合理?并说明配置的每种类型磁盘的用途。

3.常见的分布式存储架构有无中心节点架构和有中心节点架构，HDFS(Hadoop

Distribution

File

System)分布式文件系统属于(6)架构，该文件系统由一个(7)节点和若干个DataNode组成。

【问题3】(6分)

随着数据中心规模的不断扩大和能耗不断提升，建设绿色数据中心是构建新一代信息基础设施的重要任务，请简要说明在数据中心设计时可以采取哪些措施可以降低数据中心用电耗?(至少回答3点措施)

【答案】【问题1】（10分）

（1）堆叠

（2）链路聚合

（3）光纤

（4）1G

（5）10G

【问题2】（9分）

1、分布式存储的存储系统采用多副本机制和纠删码技术来保证数据的可靠性.

2、当然随着SSD硬盘的迅猛发展，目前把SSD磁盘作为存储系统的Cache来降低内存对机械硬盘的访问延迟。SSD缓存及时的设计思想是把一块或多块SSD磁盘组成Cache资源池，通过系统对数据块访问频率的实时统计，把服务器当前访问频繁的热点数据从传统机械硬盘中动态地缓存到由SSD组成的Cache资源池中，利用SSD存取速度快的特点，来提升应用服务器的读写性能、提高应用服务器的访问效率。而存储数据从性价比的角度来看的话，可以选择SATA磁盘和SAS磁盘。

3、有中心节点、NameNode

【问题3】（6分）

1、服务器虚拟化

2、数据中心选址

3、采用无变压器的UPS设备

4、选择合适的空调系统

5、机房与机柜布局、升级数据存储器、数据中心重组、将服务器芯片更新为低电力消耗产品

Normal

0

7.8磅

0

2

false

false

false

EN-US

ZH-CN

X-NONE

Normal

0

7.8磅

0

2

false

false

false

EN-US

ZH-CN

X-NONE

29.单选题

以下关于IPv6地址的说法中，错误的是(

)。

问题1选项

A.IPv6采用冒号十六进制，长度为128比特

B.IPv6在进行地址压缩时双冒号可以使用多次

C.IPv6地址中多个相邻的全零分段可以用双冒号表示

D.IPv6地址各分段开头的0可以省略

【答案】B

【解析】IPv6地址为128位长，但通常写作8组，每组4个十六进制数的形式。如果4个数字都是零，可以被省略，每组前导的0也可以省略。如果因为省略而出现了两个以上的冒号，则可以压缩为一个，但这种零压缩在地址中只能出现一次。

30.单选题

以下关于区块链应用系统中“挖矿”行为的描述中，错误的是（

）。

问题1选项

A.矿工“挖矿”取得区块链的记账权，同时获得代币奖励

B.“挖矿”本质上是在尝试计算一个Hash碰撞

C.“挖矿”是一种工作量证明机制

D.可以防止比特币的双花攻击

【答案】D

【解析】比特币网络通过“挖矿”来生成新的比特币。所谓“挖矿”实质上是用计算机解决一项复杂的数学问题，来保证比特币网络分布式记账系统的一致性。比特币网络会自动调整数学问题的难度，让整个网络约每10分钟得到一个合格答案。随后比特币网络会新生成一定量的比特币作为区块奖励，奖励获得答案的人。

工作量证明机制（PoW）是我们最熟知的一种共识机制。工作量证明机制PoW就是工作越多，收益越大。这里的工作就是计算出一个满足规则的随机数，谁能最快地计算出唯一的数字，谁就能做信息公示人。

“双花”问题是指一笔数字现金在交易中被反复使用的现象。传统的加密数字货币和其他数字资产，都具有无限可复制性，人们在交易过程中，难以确认这笔数字现金是否已经产生过一次交易。

在区块链技术中，中本聪通过对产生的每一个区块盖上时间戳（时间戳相当于区块链公证人）的方式保证了交易记录的真实性，保证每笔货币被支付后，不能再用于其他支付。在这个过程中，当且仅当包含在区块中的所有交易都是有效的且之前从未存在过的，其他节点才认同该区块的有效性。

31.单选题

策略路由通常不支持根据(

)来指定数据包转发策略。

问题1选项

A.源主机IP

B.时间

C.源主机MACD

D.报文长度

【答案】B

【解析】策略路由，顾名思义，即是根据一定的策略进行报文转发，因此策略路由是一种比目的路由更灵活的路由机制。在路由器转发一个数据报文时，首先根据配置的规则对报文进行过滤，匹配成功则按照一定的转发策略进行报文转发。这种规则可以是基于源地址和目的地址，也可以基于报文的长度。

32.单选题

1000BASE-TX采用的编码技术为（）。

问题1选项

A.PAM5

B.8B6T

C.8B10B

D.MLT-3

【答案】C

【解析】1000Base-TX，它不是由IEEE制定的，而是由TIA/EIA于1995年发布，对应的标准号为TIA/EIA-854。1000Base-TX也是基于4对双绞线，采用快速以太网中与100Base-TX标准类似的传输机制，是以2对线发送和2对线接收。由于每对线缆本身不进行双向的传输，线缆之间的串扰就大大降低，同时其编码方式也是8b/10b。

33.单选题

TCP可靠传输机制为了确定超时计时器的值，首先要估算RTT，估算RTT采用如下公式，估算RTTs（1-a）×（估算RTTs）+a×（新的RTT样本），其中a的值取为（

）。

问题1选项

A.1/8

B.1/4

C.1/2

D.1/16

【答案】A

【解析】TCP每发送一个报文段，就对这个报文段设置一次计时器，只要计时器设置的重传时间到期但还没有收到确认，就要重传这一报文段。

TCP保留了RTT的一个加权平均往返时间RTTS（这又称为平滑的往返时间），第一次测量到RTT样本时，RTTS值就取为所测量到的RTT样本值，以后每测量到一个新的RTT样本，就按下式重新计算一次RTTS：

公式：

新的RTTS=（1-α）×（旧的RTTS）＋α（新的RTT样本）

说明：

式中，0≤α＜1，若α很接近于零，表示RTT值更新较慢若选择α接近于1，则表示RTT值更新较快。RFC2988推荐的α值为1/8，即0.125。

34.单选题

在五阶段网络开发工程中，网络技术选型和网络可扩充性能的确定是在（

）阶段。

问题1选项

A.需求分析

B.逻辑网络设计

C.物理网络设计

D.通信规范设计

【答案】B

【解析】逻辑网络设计主要包括网络结构的设计、物理层技术选择、局域网技术选择与应用、广域网技术选择与应用、地址设计和命名模型、路由选择协议、网络管理、网络安全、逻辑网络设计文档等等。

35.单选题

提高网络的可用性可以采取的措施是（

）。

问题1选项

A.数据冗余

B.链路冗余

C.软件冗余

D.电路冗余

【答案】B

【解析】提高网络的可用性的措施主要包括冗余设备、冗余模块、冗余链路。

36.单选题

能够增强和提高网际层安全的协议是（

）。

问题1选项

A.IPsec

B.L2TP

C.TLS

D.PPRP

【答案】A

【解析】L2TP可以让用户从客户端或访问服务器端发起VPN连接。L2TP是由Cisco、Microsoft等公司联合制定的，已经成为二层隧道协议的工业标准，并得到了众多网络厂商的支持。属于第二层隧道VPN，在数据链路层采用隧道技术实现专网的互联，可以跨越多种WAN，如PSTN、帧中继、X.25、ATM等网络。功能大致和PPTP协议类似，但L2TP本身不提供加密功能，基于L2TP协议的下的加密是通过使用IPsec身份验证过程中生成的秘钥，用IPsec加密机制加密L2TP消息。

IPSec其实是IP安全协议的简称，它的目的是为IP协议提供安全性的保护，VPN则是在实现这种安全保护机制下产生的解决方案。IPSec在诞生之初本来是为IPV6服务的，但由于IPV6并没有普及，现在拿出来为IPV4协议服务，IPSec是IETF制定的一组开放的网络安全协议。它并不是一个单独的协议，而是一系列为IP网络提供安全性的协议和服务的集合。该体系结构包括认证头协议AH、封装安全负载协议ESP、密钥管理协议IKE和用于网络认证及加密的一些算法等。IPSec规定了如何在对等体之间选择安全协议、确定安全算法和密钥交换，向上提供了数据源认证、数据加密、数据完整性等网络安全服务。

SSL/TLS可以对万维网客户与服务器之间传送的数据进行加密和鉴别。在双方握手阶段，对将要使用的加密算法和双方共享的会话密钥进行协商，完成客户与服务器之间的鉴别。在握手完成后，所传送的数据都使用会话密钥进行传输。

37.单选题

假设主机A通过Telnet连接了主机B，连接建立后，在命令行输入“C”，如图所示，主机B收到字符“C”后，用于运输回送消息的TCP段的序列号seq应为（），而确认号ack应为（）。

问题1选项

A.随机数

B.42

C.79

D.43

问题2选项

A.随机数

B.43

C.79

D.42

【答案】第1题:C

第2题:B

【解析】第1题:seq序号：字节流当中的每一个字节都按顺序编号。首部中的序号字段值指的是本报文段所发送的数据的第一个字节的序号。

ack确认号：期望接收到对方下一个报文段的第一个数据字节的序号。

第2题:

38.单选题

以下关于1000Base-T的叙述中，错误的是（

）。

问题1选项

A.最长有效距离为100米

B.使用5类UTP作为网络传输介质

C.支持帧突发

D.属于IEEE802.3ae定义的4种千兆以太网标准之一

【答案】D

【解析】IEEE802.3z标准在LLC子层使用IEEE802.2标准，在MAC子层使用CSMA/CD方法，只是在物理层做了一些必要的调整，它定义了新的物理层标准（1000Base-T和1000Base-X）。其标准定义了GigabitEthernet介质专用接口（GigabitMediaIndependentInterface，GMII），它将MAC子层与物理层分隔开来。这样，物理层在实现1000Mb/s速率时所使用的传输介质和信号编码方式的变化不会影响MAC子层。

（1）1000Base-T标准使用的是5类非屏蔽双绞线，双绞线长度可以达到100m。

（2）1000Base-X是基于光纤通道的物理层，使用的媒体有三种：

1000Base-CX标准使用的是屏蔽双绞线，双绞线长度可以达到25m；

1000Base-LX标准使用的是波长为1300nm的单模光纤，光纤长度可以达到3000m；

1000Base-SX标准使用的是波长为850nm的多模光纤，光纤长度可以达到300～550m。

其中前三项标准是IEEE802.3z，而1000Base-T的标准是IEEE802.3ab。千兆以太网工作在半双工方式下，就必须进行冲突监测，采用载波延伸和分组突发技术。当千兆以太网工作在全双工模式下的时候，不使用载波延伸和分组突发技术，因为此时没有冲突发生。

39.单选题

光纤本身的缺陷，如制作工艺和石英玻璃材料的不均匀造成信号在光纤中传输时产生（

）现象。

问题1选项

A.瑞利散射

B.菲涅尔反射

C.噪声放大

D.波长波动

【答案】A

【解析】由于光纤材料的不均匀性，光波在光纤中传输时将产生瑞利散射。

当光入射到折射率不同的两个媒质分界面时，一部分光会被反射，这种现象称为菲涅尔反射。

40.单选题

软件文档是影响软件可维护性的决定因素。软件文档可分为用户文档和（）两类。其中，用户文档主要描述（）和使用方法，并不关心这些功能是怎样实现的。

问题1选项

A.系统文档

B.需求文档

C.标准文档

D.实现文档

问题2选项

A.系统实现

B.系统设计

C.系统功能

D.系统测试

【答案】第1题:A

第2题:C

【解析】第1题:本题考查配置管理中的文档分类。

软件系统的文档可以分为用户文档和系统文档两类。用户文档主要描述系统功能和使用方法，并不关心这些功能是怎样实现的；系统文档描述系统设计、实现和测试等各方面的内容。

总的说来，软件文档应该满足下述要求：

（1）必须描述如何使用这个系统，没有了这种描述即使是最简单的系统也无法使用；

（2）必须描述怎样安装和管理这个系统；

（3）必须描述系统需求和设计；

（4）必须描述系统的实现和测试，以便使系统成为可维护的。

第2题:

41.单选题

某大楼干线子系统采用多模光纤布线，施工完成后，发现设备间子系统到楼层配线间网络丢包严重，造成该故障可能的原因是（）。

问题1选项

A.这段光缆至少有1芯光纤断了

B.光纤熔接不合格，造成光衰大

C.这段光缆传输距离超过100米

D.水晶头接触不良

【答案】B

【解析】设备间和楼层配线是光缆，不涉及水晶头，D排除。

熔接不达标，造成衰减过大，引起的掉包严重。B正确。

光缆距离远超100米，C排除。

A选项1芯光纤断了，会导致网络不通，A排除。

42.单选题

下列选项中，不属于五阶段网络开发过程的是（）。

问题1选项

A.通讯规范分析

B.物理网络规划

C.安装和维护

D.监测及性能优化

【答案】D

【解析】五阶段周期是较为常见的迭代周期划分方式。在5个阶段中，由于每个阶段都是一个工作环节，每个环节完成后才能进入到下一个环节，类似于软件工程中的“瀑布模型”。具体的工作流程为：需求分析→通信规范→逻辑网络设计→物理网络设计→实施阶段。

43.单选题

Android是个开源的移动终端操作系统，

共分成Linux内核层、系统运行库层、应用程序框架层和应用程序层四个部分。显示驱动位于（）。

问题1选项

A.Linux内核层

B.系统运行库层

C.应用程序框架层

D.应用程序层

【答案】A

【解析】Android系统架构为四层结构，从上层到下层分别是应用程序层、应用程序框架层、系统运行库层以及Linux内核层，分别介绍如下：

1）应用程序层

Android平台不仅仅是操作系统，也包含了许多应用程序，诸如SMS短信客户端程序、电话拨号程序、图片浏览器、Web浏览器等应用程序。这些应用程序都是用Java语言编写的，并且这些应用程序都是可以被开发人员开发的其他应用程序所替换，这点不同于其他手机操作系统固化在系统内部的系统软件，更加灵活和个性化。

2）应用程序框架层

应用程序框架层是我们从事Android开发的基础，开发人员可以直接使用其提供的组件来进行快速的应用程序开发，也可以实现个性化的拓展。

3）系统运行库层

系统运行库层可以分成两部分，分别是系统库和Android运行时：

a）系统库

系统库是应用程序框架的支撑，是连接应用程序框架层与Linux内核层的重要纽带。

4）Linux内核层

Android是基于Linux2.6内核，其核心系统服务如安全性、内存管理、进程管理、网络协议以及驱动模型都依赖于Linux内核。

44.单选题

(