2025年上半年网络工程师案例分析真题答案解析

2025年上半年网络工程师案例分析练习题答案解析试题一【说明】某公司网络拓扑结构如图11所示，网络中心部署了核心交换机SwitchA、防火墙FW和入侵检测系统IDS。部门A和部门B分别连接到接入层交换机SwitchB和SwitchC，服务器群连接到核心交换机SwitchA。公司申请了公网IP地址段202.100.10.0/24，其中202.100.10.1202.100.10.10用于服务器，202.100.10.11202.100.10.254用于其他设备动态分配。【问题1】（6分）防火墙FW配置了安全策略，要求部门A和部门B之间不能直接互访，但都可以访问服务器群和外网；服务器群可以访问外网，但不能被外网主动访问。请根据上述要求，补充表11中的防火墙安全策略。|策略序号|源区域|目的区域|源地址|目的地址|服务|动作||::|::|::|::|::|::|::||1|Trust|Untrust|Any|Any|Any|Permit||2|Untrust|Trust|202.100.10.1202.100.10.10|Any|Any|Deny||3|DepartmentA|DepartmentB|Any|Any|Any|Deny||4|DepartmentB|DepartmentA|Any|Any|Any|Deny||5|DepartmentA|ServerGroup|Any|202.100.10.1202.100.10.10|Any|Permit||6|DepartmentB|ServerGroup|Any|202.100.10.1202.100.10.10|Any|Permit||7|ServerGroup|Untrust|Any|Any|Any|Permit|解析：策略3和4是为了满足部门A和部门B之间不能直接互访的要求，所以将源区域和目的区域分别设置为DepartmentA和DepartmentB，动作设为Deny。策略5和6保证部门A和部门B可以访问服务器群，将源区域分别设为DepartmentA和DepartmentB，目的地址设为服务器的IP地址段202.100.10.1202.100.10.10，动作设为Permit。策略7允许服务器群访问外网，源区域为ServerGroup，目的区域为Untrust，动作设为Permit。【问题2】（6分）为了实现公司内部设备动态获取公网IP地址，需要在防火墙FW上配置NAT策略。请写出配置命令。```定义地址池[FW]nataddressgroup1202.100.10.11202.100.10.254配置NAT策略[FW]aclnumber2000[FWaclbasic2000]rule5permitsourceany[FWaclbasic2000]quit[FW]natoutbound2000addressgroup1```解析：首先使用`nataddressgroup`命令定义一个地址池，将可用的公网IP地址段202.100.10.11202.100.10.254加入到地址池1中。然后创建一个基本访问控制列表ACL2000，允许所有源地址通过。最后使用`natoutbound`命令将ACL2000与地址池1关联，实现内部设备动态获取公网IP地址。【问题3】（3分）入侵检测系统IDS检测到网络中有大量的SYN包攻击，该攻击属于哪种类型的攻击？简述该攻击的原理。该攻击属于SYN洪泛攻击，是一种DoS（拒绝服务）攻击类型。原理：在TCP三次握手过程中，攻击者向目标服务器发送大量伪造源IP地址的SYN包，服务器收到SYN包后会向源IP地址发送SYN+ACK包进行响应，并为该连接分配资源和建立半连接。由于源IP地址是伪造的，服务器无法收到客户端的ACK包，半连接会一直保持，直到超时。当服务器的半连接队列被占满后，就无法再处理正常的连接请求，从而导致服务器拒绝服务。【问题4】（5分）在核心交换机SwitchA上配置VLAN间路由，实现部门A、部门B和服务器群之间的通信。已知部门A的VLANID为10，部门B的VLANID为20，服务器群的VLANID为30。请写出配置命令。```进入系统视图<SwitchA>systemview创建VLAN[SwitchA]vlanbatch102030配置VLAN接口[SwitchA]interfacevlanif10[SwitchAVlanif10]ipaddress192.168.10.1255.255.255.0[SwitchAVlanif10]quit[SwitchA]interfacevlanif20[SwitchAVlanif20]ipaddress192.168.20.1255.255.255.0[SwitchAVlanif20]quit[SwitchA]interfacevlanif30[SwitchAVlanif30]ipaddress192.168.30.1255.255.255.0[SwitchAVlanif30]quit```解析：使用`vlanbatch`命令批量创建VLAN10、20和30。分别为每个VLAN创建VLAN接口（Vlanif），并配置相应的IP地址和子网掩码。这些VLAN接口将作为各VLAN内设备的默认网关，从而实现VLAN间的路由。试题二【说明】某企业网络采用OSPF作为内部路由协议，网络拓扑如图21所示。路由器R1、R2和R3组成一个区域0，路由器R4连接到区域1，区域0和区域1通过R2进行连接。【问题1】（6分）在路由器R1上配置OSPF协议，宣告直连网段192.168.1.0/24和10.0.0.0/30。请写出配置命令。```进入系统视图<R1>systemview启动OSPF进程1[R1]ospf1进入OSPF区域0[R1ospf1]area0宣告直连网段[R1ospf1area0.0.0.0]network192.168.1.00.0.0.255[R1ospf1area0.0.0.0]network10.0.0.00.0.0.3```解析：首先使用`ospf1`命令启动OSPF进程1。然后使用`area0`命令进入OSPF区域0。最后使用`network`命令宣告直连网段，其中通配符掩码的作用是指定哪些位需要精确匹配。对于192.168.1.0/24，通配符掩码为0.0.0.255，表示最后8位可以是任意值；对于10.0.0.0/30，通配符掩码为0.0.0.3，表示最后2位可以是任意值。【问题2】（6分）为了减少区域1的LSA泛洪，需要将区域1配置为末梢区域。请在路由器R2和R4上分别写出配置命令。路由器R2配置命令：```进入系统视图<R2>systemview启动OSPF进程1[R2]ospf1进入OSPF区域1[R2ospf1]area1配置区域1为末梢区域[R2ospf1area0.0.0.1]stub```路由器R4配置命令：```进入系统视图<R4>systemview启动OSPF进程1[R4]ospf1进入OSPF区域1[R4ospf1]area1配置区域1为末梢区域[R4ospf1area0.0.0.1]stub```解析：在末梢区域中，除了一条默认路由外，不会接收来自其他区域的外部LSA。通过在区域1内的所有路由器（R2和R4）上配置`stub`命令，将区域1配置为末梢区域，从而减少LSA的泛洪。【问题3】（4分）在OSPF网络中，什么是DR（指定路由器）和BDR（备份指定路由器）？它们的作用是什么？DR（指定路由器）和BDR（备份指定路由器）是在OSPF广播型网络（如以太网）和非广播多路访问（NBMA）网络中选举出来的特殊路由器。作用：在广播型网络中，每个路由器都要和其他路由器建立邻接关系并交换链路状态信息。如果没有DR和BDR，网络中会存在大量的邻接关系，导致链路状态信息的交换和同步变得复杂。DR负责收集和汇总本网络内的链路状态信息，并向整个OSPF区域广播，减少了不必要的链路状态信息泛洪，提高了网络效率。BDR是DR的备份，当DR出现故障时，BDR会自动升级为DR，继续承担DR的职责，保证网络的稳定性。【问题4】（4分）如果路由器R2上的OSPF进程出现故障，导致区域1无法与区域0通信。请简述排查故障的步骤。1.检查路由器R2的OSPF进程状态：使用`displayospfpeer`命令查看R2与其他路由器的OSPF邻居关系是否正常。如果邻居关系不正常，检查接口状态、IP地址配置、OSPF区域配置等是否正确。2.检查接口状态：使用`displayinterface`命令检查R2上与区域0和区域1连接的接口是否正常工作，是否有链路故障或接口状态异常。3.检查OSPF配置：检查R2上的OSPF配置，包括进程ID、区域配置、宣告的网段等是否正确。可以使用`displaycurrentconfiguration|includeospf`命令查看OSPF相关配置。4.检查LSA信息：使用`displayospflsdb`命令查看R2的链路状态数据库，检查是否有异常的LSA信息。如果LSA信息不完整或存在错误，可能会导致路由计算错误。5.检查网络连通性：使用`ping`命令测试R2与区域0和区域1内其他路由器的网络连通性，确保物理链路和IP层连通正常。试题三【说明】某公司计划建设一个无线网络，采用瘦AP架构，由无线控制器（AC）进行集中管理。网络拓扑如图31所示，无线控制器AC连接到核心交换机SwitchA，AP设备通过接入层交换机连接到网络。【问题1】（6分）在无线控制器AC上创建一个SSID为“CompanyWiFi”的无线服务，并配置认证方式为WPA2PSK，密码为“12345678”。请写出配置命令。```进入系统视图<AC>systemview创建WLAN服务模板[AC]wlanservicetemplate1配置SSID[ACwlanservicetemplate1]ssidCompanyWiFi配置安全策略[ACwlanservicetemplate1]securitywpaakmpskpassphrase12345678cipheraes激活服务模板[ACwlanservicetemplate1]servicetemplateenable```解析：首先使用`wlanservicetemplate1`命令创建一个WLAN服务模板1。然后使用`ssid`命令配置SSID为“CompanyWiFi”。接着使用`security`命令配置安全策略，采用WPA2PSK认证方式，密码为“12345678”，加密算法为AES。最后使用`servicetemplateenable`命令激活服务模板。【问题2】（6分）为了实现AP设备的自动发现和注册，需要在无线控制器AC上配置DHCP选项43。假设无线控制器AC的IP地址为192.168.100.100，请写出DHCP服务器上的配置命令。```进入系统视图<DHCPServer>systemview进入DHCP地址池视图[DHCPServer]ippool1[DHCPServerippool1]network192.168.1.0mask255.255.255.0[DHCPServerippool1]gatewaylist192.168.1.1配置DHCP选项43[DHCPServerippool1]option43ascii"0x0f04C0A86464"```解析：首先进入DHCP地址池视图，配置DHCP地址池的网络地址和网关。然后使用`option43`命令配置DHCP选项43。其中，“0x0f”表示选项43的长度，“04”表示子选项类型，“C0A86464”是192.168.100.100的十六进制表示。【问题3】（4分）简述瘦AP架构的优点。集中管理：无线控制器可以对多个瘦AP进行集中配置、管理和监控，大大提高了管理效率，减少了管理成本。管理员只需要在无线控制器上进