2025年11月软考中级网络工程师应用题参考答案

2025年11月软考中级网络工程师应用题参考答案某集团公司拟构建企业网络，网络拓扑包括总部园区和异地分支，总部划分为研发部（150台终端）、销售部（100台终端）、财务部（60台终端）、DMZ区（20台服务器）及管理子网（10台运维终端）。分支网络包含50台终端。网络出口通过防火墙连接ISP，要求完成以下任务：一、IP地址规划与子网划分给定内部地址块为/16，需基于VLSM为各部门分配子网。1.研发部（150台）：需满足150+2（网络/广播地址）=152个地址，主机位需8位（2⁸-2=254≥152），子网掩码为/24（32-8=24）。分配/24（可用地址-54）。2.销售部（100台）：需100+2=102个地址，主机位需7位（2⁷-2=126≥102），子网掩码为/25（32-7=25）。分配/25（可用地址-26）。3.财务部（60台）：需60+2=62个地址，主机位需6位（2⁶-2=62），子网掩码为/26（32-6=26）。分配28/26（可用地址29-90）。4.DMZ区（20台）：需20+2=22个地址，主机位需5位（2⁵-2=30≥22），子网掩码为/27（32-5=27）。分配/27（可用地址-0）。5.管理子网（10台）：需10+2=12个地址，主机位需4位（2⁴-2=14≥12），子网掩码为/28（32-4=28）。分配2/28（可用地址3-6）。6.分支网络（50台）：需50+2=52个地址，主机位需6位（2⁶-2=62≥52），子网掩码为/26（32-6=26）。分配/26（可用地址-2）。二、交换机VLAN与接口配置总部接入层交换机S1连接各部门终端，汇聚层交换机S2连接S1与三层核心交换机S3（网关设备）。-VLAN划分：研发部VLAN10（/24）、销售部VLAN20（/25）、财务部VLAN30（28/26）、DMZVLAN40（/27）、管理VLAN50（2/28）。-S1接口配置：E0/1-E0/20（研发部）：`switchportmodeaccess;switchportaccessvlan10`E0/21-E0/30（销售部）：`switchportmodeaccess;switchportaccessvlan20`E0/31-E0/36（财务部）：`switchportmodeaccess;switchportaccessvlan30`E0/48（上联S2）：`switchportmodetrunk;switchporttrunkallowedvlan10,20,30,40,50`-S3三层接口配置：`interfacevlan10;ipaddress54`（研发部网关）`interfacevlan20;ipaddress2628`（销售部网关）`interfacevlan30;ipaddress9092`（财务部网关）`interfacevlan40;ipaddress024`（DMZ网关）`interfacevlan50;ipaddress640`（管理网关）三、路由协议配置（OSPF）总部路由器R1（连接S3与ISP）、分支路由器R2（连接分支交换机与ISP）需通过OSPF实现互访，区域ID为0。-R1配置：`routerospf1``network55area0`（研发部）`network27area0`（销售部）`network283area0`（财务部）`network1area0`（DMZ）`network25area0`（管理子网）`networkarea0`（ISP连接口，IP/30）-R2配置：`routerospf1``network3area0`（分支网络）`networkarea0`（ISP连接口，IP/30）四、ACL与访问控制要求销售部（VLAN20，/25）仅能访问DMZ的Web服务器（），禁止访问邮件服务器（0）。-扩展ACL配置（编号101）：`access-list101permittcp27hosteq80`（允许HTTP访问Web）`access-list101denytcp27host0eq25`（禁止SMTP访问邮件）`access-list101denytcp27host0eq110`（禁止POP3访问邮件）`access-list101permitipanyany`（允许其他流量）-应用ACL：在S3的VLAN20接口（G0/2）出方向应用：`ipaccess-group101out`五、NAT地址转换总部需将内部私有地址转换为公网地址池-0（10个地址），DMZ的Web服务器（）需静态映射到1。-动态NAT（PAT）配置：`access-list100permitip55any`（允许所有内部网络）`ipnatpoolnat_pool0netmask40`（地址池）`ipnatinsidesourcelist100poolnat_pooloverload`（启用PAT）-静态NAT配置：`ipnatinsidesourcestatic1`-接口绑定：R1的G0/1（连接S3）设为`ipnatinside`，G0/0（连接ISP）设为`ipnatoutside`六、无线AP配置（销售部）销售部部署无线AP（型号H3CWA5320），连接S1的E0/37端口（VLAN20），要求SSID为“Sales-WiFi”，采用WPA3-PSK加密，信道6（避免干扰）。-AP基础配置：`interfacegigabitethernet0/0`（连接S1的端口）`portlink-typeaccess``portdefaultvlan20`-无线服务配置：`wlanservice-template1crypto``ssidSales-WiFi``securitywpa3pskpass-phraseSecurePass123aes``service-templateenable``interfacewlan-bss1``portaccessvlan20``channel6``transmit-power20`（发射功率20dBm）七、广域网QoS配置总部与分支的广域网链路（带宽10Mbps）需保障语音流量（SIP5060端口，RTP10000-20000端口）的4Mbps带宽，延迟≤100ms。-QoS策略配置：`class-mapmatch-anyVoice``matchprotocolsip``matchportrange1000020000``class-mapmatch-anyWeb``matchprotocolhttp``matchprotocolhttps``policy-mapWAN-Policy``classVoice``bandwidth4000`（4Mbps）`setdscpef``classWeb``bandwidth3000`（3Mbps）`setdscpaf21``classclass-default``fair-queue`-应用策略：在R1的广域网接口（Serial0/0/0）出方向应用：`service-policyoutputWAN-Policy`八、故障排查（研发部无法访问DMZ）现象：研发部终端能ping通网关（54），但无法访问DMZ的Web服务器（）。排查步骤：1.终端配置检查：确认研发部终端IP（10.1.1.x/24）、子网掩码（）、网关（54）配置正确。2.路径追踪：使用`traceroute`，查看是否在S3或R1处丢包。3.路由表验证：检查S3的路由表（`showiproute`），确认存在到DMZVLAN40（/27）的直连路由（C/27isdirectlyconnected,Vlan40）。4.ACL检查：检查S3的接口是否应用ACL（`showipaccess-lists`），确认无针对研发部（/24）到DMZ的拒