2025年上半年网络工程师下午真题及答案解析

2025年上半年网络工程师下午练习题及答案解析一、企业网络架构设计与设备配置（共20分）某制造企业拟构建园区网络，拓扑结构分为核心层、汇聚层、接入层三层。核心层部署2台核心交换机（SW1、SW2），汇聚层部署4台汇聚交换机（SW3SW6），接入层部署20台接入交换机（SW7SW26）。其中生产区终端需划分至VLAN100（/24），办公区终端划分至VLAN200（/24），数据中心服务器区划分至VLAN300（192.168.300.0/24）。要求核心层与汇聚层之间采用链路聚合（LACP）实现冗余，核心层之间通过VRRP实现网关冗余，SW1为主用网关，优先级120，SW2为备用，优先级100，虚拟IP为54（生产区）、54（办公区）、192.168.300.254（数据中心）。1.核心层与汇聚层链路聚合需配置哪些关键参数？（4分）答案：关键参数包括聚合模式（LACP）、聚合组编号、成员端口（需为同速率、双工模式一致的物理端口）、链路聚合协议（LACP）的系统优先级（可选，用于选举主动端）、最大活动链路数（默认所有成员端口均活动）。2.写出SW1上生产区VLAN100的VRRP主用配置命令（华为设备）。（4分）答案：```interfaceVlanif100ipaddressvrrpvrid1virtualip54vrrpvrid1priority120vrrpvrid1preemptmodetimerdelay10vrrpvrid1trackinterfaceGigabitEthernet0/0/1reduced20```（注：track命令可选，用于监控上行链路状态，链路故障时降低优先级；preemptmode设置抢占模式，delay避免频繁切换）3.接入层交换机SW7连接生产区20台终端，要求限制单端口最多学习5个MAC地址，且违规时关闭端口。写出SW7的端口安全配置命令。（4分）答案：```interfaceGigabitEthernet0/0/1portsecurityenableportsecuritymaxmacnum5portsecurityviolationshutdownportsecuritymacaddresssticky```（注：sticky表示自动学习并保存MAC地址到运行配置；violationshutdown为违规关闭端口）4.汇聚层交换机SW3与核心层SW1、SW2连接的聚合链路（聚合组1）出现流量不均衡，可能的原因是什么？（4分）答案：可能原因包括：①聚合链路成员端口速率或双工模式不一致；②LACP协商失败，未形成有效聚合组；③负载分担方式配置不合理（如基于源IP而非流）；④成员端口存在物理故障（如光衰过大导致误码）；⑤交换机转发芯片处理能力不足，无法实现动态负载分担。5.数据中心服务器需通过核心层访问互联网，核心层需配置默认路由指向出口路由器（IP）。写出SW1、SW2的默认路由配置，并说明为何需要配置等价路由。（4分）答案：SW1配置：`iproutestatic`SW2配置：`iproutestatic`配置等价路由的原因：核心层两台交换机互为冗余，当主用核心（SW1）故障时，备用核心（SW2）可通过相同的默认路由将流量转发至出口路由器，确保网络连通性；同时，等价路由可实现流量的负载分担，提升链路利用率。二、路由器OSPF协议配置与故障排查（共20分）某企业广域网采用OSPF协议，网络拓扑如下：RouterA（区域0）连接RouterB（区域0）和RouterC（区域1），RouterC连接RouterD（区域1）和RouterE（区域2）。其中区域1为NSSA区域，区域2为完全Stub区域。要求：区域0与区域1之间通过RouterB和RouterC建立邻接关系，RouterC的Loopback0地址为/32，需通告至OSPF；区域1内禁止外部路由（Type5LSA）泛洪，但允许引入一条静态路由（/16）作为NSSA外部路由；区域2仅保留区域间路由（Type3LSA）和默认路由。1.写出RouterC的OSPF基础配置（进程号100，RouterID）。（3分）答案：```ospf100routeridareanetwork（假设与RouterB连接的接口IP为/30）areanetwork（假设与RouterD连接的接口IP为/30）```2.配置区域1为NSSA区域，并引入静态路由/16。（5分）答案：```ospf100areanssanosummary（可选，若需禁止Type3LSA，否则默认允许Type3）importroutestatictype2cost100```（注：nssa命令将区域1设为NSSA，nosummary禁止区域间路由（Type3LSA），仅保留默认路由；importroute将静态路由引入为NSSA外部路由（Type7LSA），type2为外部路由类型（开销不随路径累加），cost为路由开销）3.区域2配置为完全Stub区域，需在哪个设备上配置？写出关键命令。（4分）答案：需在区域2的ABR（即RouterE的上游设备，假设为RouterD）上配置。关键命令：```ospf100areastubnosummary```（注：stub将区域2设为Stub区域，nosummary禁止Type3LSA泛洪，仅由ABR发送一条默认路由（Type3LSA），实现完全Stub）4.RouterA与RouterB无法建立OSPF邻接关系，通过displayospfpeer命令查看状态为“ExStart”，可能的原因是什么？（4分）答案：可能原因包括：①RouterID冲突（两台设备RouterID相同）；②OSPF认证配置不一致（如一台配置MD5认证，另一台未配置或密钥不同）；③接口网络类型不匹配（如一台为广播型，另一台为点到点）；④MTU值不一致（默认情况下，OSPF要求邻接设备MTU相同，否则无法进入Full状态）；⑤Hello/Dead间隔时间不一致（如一台Hello10s，另一台Hello30s）。5.查看RouterC的OSPF路由表，发现/16的路由类型为Type7，而其他区域设备显示该路由为Type5，原因是什么？（4分）答案：NSSA区域内的ABR（RouterC）会将Type7LSA转换为Type5LSA，并泛洪至其他区域（如区域0）。因此，区域1内的设备（如RouterD）看到的是Type7LSA（NSSA外部路由），而区域0或区域2的设备（如RouterA、RouterE）看到的是转换后的Type5LSA（标准外部路由），这是NSSA区域的特性（允许引入外部路由但仅在区域内泛洪Type7，由ABR转换为Type5后传播到其他区域）。三、IPv6网络部署与配置（共20分）某企业拟将办公网络升级至IPv6，要求：办公区接入层交换机SW8（IPv4管理地址/24）支持IPv6，通过静态路由与核心交换机SW1（IPv6地址2001:db8:1::1/64）通信；终端PC1（IPv6地址2001:db8:2::2/64）需通过DHCPv6获取地址，且PC1的默认网关为SW8的IPv6接口地址；SW8需启用邻居发现（ND）功能，防止ICMPv6重定向攻击。1.配置SW8的IPv6管理地址为2001:db8:3::2/64，并启用IPv6功能。（3分）答案：```systemviewipv6enableinterfaceVlanif200ipv6address2001:db8:3::2/64```2.配置SW8到核心交换机SW1的静态路由（目标网络2001:db8:1::0/64，下一跳2001:db8:3::1）。（3分）答案：```ipv6routestatic2001:db8:1::0642001:db8:3::1```3.配置SW8作为DHCPv6服务器，为PC1所在的VLAN200（IPv6网络2001:db8:2::0/64）分配地址，地址有效期1天（86400秒），并设置PC1的默认网关为SW8的Vlanif200接口地址。（6分）答案：```dhcpv6enabledhcpv6poolPC_POOLnetwork2001:db8:2::0/64expireday1dnsserver2001:db8:3::2（可选，若需配置DNS）interfaceVlanif200dhcpv6serverapplypoolPC_POOLipv6ndmanagedconfigflag（启用DHCPv6管理配置标志，指示终端通过DHCPv6获取地址和其他配置）ipv6ndprefixdefaultrouterpreferencehigh（设置默认路由前缀，优先级高）```4.SW8的G0/0/1接口连接PC1，需防止PC1发送ICMPv6重定向报文。写出配置命令。（4分）答案：```interfaceGigabitEthernet0/0/1ipv6ndrahalt（禁止发送路由器通告，防止终端将该接口视为路由器）ipv6ndredirectdisable（禁用接口的ICMPv6重定向功能）```5.PC1无法获取IPv6地址，通过抓包发现SW8未发送DHCPv6Reply报文。可能的原因有哪些？（4分）答案：可能原因包括：①SW8的DHCPv6服务未启用（未执行dhcpv6enable）；②DHCPv6地址池配置错误（如network参数与实际网络不匹配）；③接口未关联DHCPv6地址池（未在Vlanif接口执行dhcpv6serverapplypool）；④PC1的IPv6协议未启用（如Windows系统中未勾选“Internet协议版本6”）；⑤SW8与PC1之间的链路故障（如网线松动、接口状态Down）；⑥PC1的DHCPv6客户端服务未运行（如Windows的“DHCPv6Client”服务被禁用）。四、网络安全配置与故障分析（共20分）某企业网络出口部署防火墙FW1（接口E0/0为外网口，IP/24；E0/1为内网口，IP/24），要求：允许内网（/24）访问外网HTTP（80）、HTTPS（443）服务；禁止内网主机00访问任何外网；允许外网用户通过SSH（22）访问内网服务器00（映射公网IP0）；启用入侵检测系统（IDS），检测到SYNFlood攻击时阻断源IP。1.写出FW1的NAT策略，实现内网访问外网的地址转换。（3分）答案：```natpolicyrulenameINTERNET_ACCESSsourcezonetrustdestinationzoneuntrustsourceaddressactionsourcenateasyipinterfaceE0/0```2.配置内网主机00的访问控制策略。（3分）答案：```aclnumber3000rule5denyipsource000destinationanytrafficpolicynameBLOCK_100rule10permitapplyacl3000interfaceE0/1trafficpolicyBLOCK_100inbound```3.配置外网用户通过SSH访问内网服务器00的DNAT策略。（5分）答案：```natserverglobal022inside0022firewallzoneuntrustinterfaceE0/0firewallzonetrustinterfaceE0/1securitypolicyrulenameSSH_ACCESSsourcezoneuntrustdestinationzonetrustsourceaddressanydestinationaddress0（或直接写内网服务器地址，需结合NAT策略）servicesshactionpermit```4.IDS检测到大量SYN包发往内网服务器00，但未触发阻断，可能的原因是什么？（4分）答案：可能原因包括：①IDS的检测策略未正确配置（如未启用SYNFlood检测功能，或阈值设置过高）；②IDS部署模式为旁路监听（Mirror模式），仅能检测无法阻断，需改为在线模式（Inline）；③攻击流量经过FW1的NAT转换，IDS获取的源IP为转换后的公网IP，而策略中仅监控内网IP；④服务器00的TCP栈参数（如半连接队列大小）过大，未达到触发阻断的条件；⑤IDS与FW1未联动（如未配置联动策略，IDS检测到攻击后未向FW1发送阻断指令）。5.内网用户访问外网HTTPS网站时提示“证书错误”，可能的网络层面原因是什么？（5分）答案：可能原因包括：①FW1开启了HTTPS深度检测（SSL解密），但未正确配置CA证书（如未安装服务器证书或自签名证书未被终端信任）；②出口链路存在中间人攻击（如ARP欺骗或DNS劫持，导致用户访问到伪造的HTTPS站点）；③外网HTTPS服务器的证书已过期或域名不匹配，但FW1未阻断该流量；④内网DNS服务器返回错误的IP地址（如被污染），导致用户访问到仿冒站点；⑤FW1的安全策略中禁止了SNI（ServerNameIndication）字段的传输，导致客户端无法获取正确的证书信息。五、网络性能优化与监控（共20分）某企业视频会议系统（UDP5000050010端口）出现卡顿，网络管理员通过流量监控发现核心链路（10Gbps）利用率为80%，延迟20ms，丢包率0.5%。要求：通过QoS优化视频会议流量，确保其带宽不低于2Gbps，优先级高于办公流量（TCP80/443）；配置流量镜像至监控服务器（IP），分析具体流量分布；使用BFD检测核心链路（SW1与SW2之间的聚合链路）的连通性，检测间隔100ms，倍数3。1.写出核心交换机SW1的QoS配置，定义视频会议流量为高优先级（AF4），办公流量为低优先级（AF2），并为视频会议预留2Gbps带宽。（6分）答案：```trafficclassifierVIDEOifmatchudpdestinationportrange5000050010trafficclassifierOFFICEifmatchtcpdestinationport80443trafficbehaviorVIDEO_BEHAVIORqueueaf4priority4bandwidthguaranteed2000（单位为Mbps）trafficbehaviorOFFICE_BEHAVIORqueueaf2priority2trafficpolicyVIDEO_POLICYclassifierVIDEObehaviorVIDEO_BEHAVIORclassifierOFFICEbehaviorOFFICE_BEHAVIORinterfaceEthTrunk1（核心聚合链路接口）trafficpolicyVIDEO_POLICYoutbound```2.配置SW1将EthTrunk1接口的入方向流量镜像至监控服务器。（4分）答案：```observeport1interfaceGigabitEthernet0/0/2（假设监控服务器连接至G0/0/2）interfaceEthTrunk1mirroringgroup1in