2025年11月软考中级网络工程师应用题参考答案

2025年11月软考中级网络工程师应用题参考答案某企业拟建设园区网络，拓扑结构分为核心层、汇聚层、接入层三层架构。核心层部署两台华为S7700交换机（Core1、Core2），互为冗余；汇聚层部署四台华为S5700交换机（Agg1-Agg4），分别连接财务、研发、办公、访客四个部门；接入层部署华为S3700系列交换机，每台接入层交换机连接30-50个终端。企业分配到私网IP地址段10.10.0.0/16，要求完成以下任务：任务1：VLAN划分与IP地址规划企业部门及终端数量：财务（150台）、研发（200台）、办公（300台）、访客（50台），需预留20%扩展空间。VLAN规划需遵循“按部门隔离”原则，每个部门独立VLAN。1.计算各部门所需IP数量（含扩展）-财务：150×1.2=180，需≥180个可用地址，2^8=256（掩码/24）-研发：200×1.2=240，需≥240个可用地址，2^8=256（掩码/24）-办公：300×1.2=360，需≥360个可用地址，2^9=512（掩码/23）-访客：50×1.2=60，需≥60个可用地址，2^6=64（掩码/26）2.子网分配（按地址连续性优化）-办公VLAN（VLAN10）：10.10.0.0/23（可用地址10.10.0.1-10.10.1.254）-研发VLAN（VLAN20）：10.10.2.0/24（可用地址10.10.2.1-10.10.2.254）-财务VLAN（VLAN30）：10.10.3.0/24（可用地址10.10.3.1-10.10.3.254）-访客VLAN（VLAN40）：10.10.4.0/26（可用地址10.10.4.1-10.10.4.62）剩余地址（10.10.4.64/26至10.10.255.255/16）作为预留，满足未来5年扩展需求。任务2：核心层与汇聚层链路聚合配置Core1与Agg1之间通过G0/0/1、G0/0/2两条物理链路互联，要求配置LACP动态链路聚合，负载分担方式为“源IP+目的IP”，冗余模式为“active-backup”（主备）。Core1配置步骤：```system-viewinterfaceEth-Trunk10modelacp-static//动态LACP模式load-balancesrc-dst-ip//负载分担方式maxactive-linknumber1//主备模式，仅1条链路激活undolacppreemptenable//关闭抢占（避免频繁切换）interfaceGigabitEthernet0/0/1eth-trunk10//加入聚合组interfaceGigabitEthernet0/0/2eth-trunk10quit```Agg1配置与Core1一致，确保聚合组编号（Eth-Trunk10）、模式、负载分担方式匹配。任务3：OSPF路由协议配置核心层与汇聚层运行OSPFv2，区域划分：Core1/Core2为区域0（骨干区域），Agg1-Agg4分别属于区域1（财务）、区域2（研发）、区域3（办公）、区域4（访客）。要求：-Core1的RouterID为1.1.1.1，Core2为2.2.2.2-所有直连网段宣告到OSPF-Core1作为ASBR，将默认路由（指向出口路由器AR6600）注入OSPFCore1配置：```ospf1router-id1.1.1.1area0//骨干区域network192.168.0.00.0.0.3//Core1与Core2互联地址（假设为192.168.0.1/30）network10.10.0.00.0.255.255//宣告企业内网所有网段quitimport-routestatic//注入默认路由（需先配置静态默认路由）iproute-static0.0.0.00.0.0.0172.16.0.2//出口路由器内网接口IP为172.16.0.2```Core2配置类似，修改RouterID为2.2.2.2，宣告互联地址（192.168.0.2/30）。Agg1（区域1）配置：```ospf1router-id3.3.3.3area1network10.10.3.00.0.0.255//财务VLAN网段network192.168.1.00.0.0.3//Agg1与Core1互联地址（假设为192.168.1.1/30）quit```任务4：NAT与安全策略配置出口路由器AR6600连接ISP，公网IP段为202.100.50.0/29（可用地址202.100.50.1-202.100.50.6），要求：-内网所有主机（10.10.0.0/16）通过PAT访问互联网-内网Web服务器（10.10.5.10，TCP80端口）映射到公网IP202.100.50.2的80端口-禁止访客VLAN（10.10.4.0/26）访问财务VLAN（10.10.3.0/24）AR6600配置：```//PAT配置aclnumber2000rule5permitsource10.10.0.00.0.255.255//匹配内网所有主机interfaceGigabitEthernet0/0/0//内网接口natoutbound2000//应用PAT//静态NAT映射natserverprotocoltcpglobal202.100.50.280inside10.10.5.1080//安全策略（基于IPv4）aclnumber3000rule5denyipsource10.10.4.00.0.0.63destination10.10.3.00.0.0.255//拒绝访客→财务rule10permitip//允许其他流量interfaceGigabitEthernet0/0/0traffic-filterinboundacl3000//在内网接口入方向应用ACL```任务5：无线局域网（WLAN）配置企业部署华为AC6005无线控制器，管理30台瘦AP（型号AP6510DN），要求：-配置SSID“Corp”，供员工使用；SSID“Guest”，供访客使用-“Corp”采用WPA3-SAE加密，PSK密钥为“Secure@2025”；“Guest”采用WPA2-PSK，密钥为“Guest123!”-5GHz频段选择非重叠信道（避免与邻区2.4GHz信道1、6、11干扰）AC6005配置：```wlan//员工SSID配置ssid-profilenameCorp-SSIDssidCorpsecurity-profilenameCorp-Secsecuritywpa3pskpass-phraseSecure@2025cipheraes//WPA3-SAEservice-templatenameCorp-Temptypestationssid-profileCorp-SSIDsecurity-profileCorp-Secservice-templateenable//访客SSID配置ssid-profilenameGuest-SSIDssidGuestsecurity-profilenameGuest-Secsecuritywpa2pskpass-phraseGuest123!cipheraes//WPA2-PSKservice-templatenameGuest-Temptypestationssid-profileGuest-SSIDsecurity-profileGuest-Secservice-templateenable//AP分组与信道规划ap-groupnameEmployee-APservice-templateCorp-Tempbindap-groupEmployee-APradio0//5GHz射频channel36//非重叠信道（36、40、44、48等）ap-groupnameVisitor-APservice-templateGuest-Tempbindap-groupVisitor-APradio0channel149//避免与员工AP同信道干扰```任务6：网络故障排查某员工反馈无法访问内网文件服务器（IP：10.10.5.100），请列出排查步骤：1.终端基础检查：使用`ipconfig`/`ifconfig`确认终端IP（10.10.0.0/16段内）、子网掩码（与VLAN规划一致）、网关（汇聚层交换机接口IP）是否正确。2.本地链路测试：-执行`ping网关IP`（如10.10.0.254），若不通，检查网线是否插紧、接入层交换机端口（如G0/0/5）是否Up（通过`displayinterfaceGigabitEthernet0/0/5`查看）。-若链路正常但网关不可达，检查接入层交换机到汇聚层的路由（`displayiprouting-table`），确认是否存在到网关的直连路由。3.跨设备连通性测试：-执行`traceroute10.10.5.100`，查看跳数。若在汇聚层（Agg3）丢包，检查Agg3到核心层的OSPF路由（`displayospfrouting`）是否包含10.10.5.0/24网段。-若核心层路由正常但文件服务器不可达，检查核心层到文件服务器所在接入层的链路聚合状态（`displayeth-trunk10`），确认是否有链路Down。4.安全策略检查：-在汇聚层交换机查看ACL（`displayacl3000`），确认是否存在拒绝该员工VLAN（如办公VLAN10）访问文件服务器（10.10.5.0/24）的规则。-检查文件服务器防火墙（如Windows防火墙），确认是否放行SMB服务端口（TCP445、139）。