2025年上半年网络工程师案例分析真题答案解析

2025年上半年网络工程师案例分析练习题答案解析一、网络规划与设计【试题1】阅读以下需求，回答问题1至问题4。某市政务云中心计划新建一套跨区双活数据中心，A区为主用，B区为灾备，两区间距85km，裸光纤已铺设完毕，要求RPO≤15min、RTO≤30min。业务系统包含OracleRAC、VMwarevSphere、分布式存储Ceph、统一身份认证LDAP、互联网出口流量清洗。A区现有核心交换机为H3CS12500XAF，B区为S12500XAF，版本均为Release7630。问题1（8分）画出两区三层逻辑拓扑，要求体现：1.双活数据库流量路径；2.存储东西向流量与南北向流量分离；3.防火墙集群采用双主模式；4.标识出所有冗余链路及协议。答案与解析1.拓扑采用“核心—汇聚—接入”三层Clos架构。A、B区各部署一对S12500XAF作为核心，使用IRF2虚拟为一台逻辑设备；汇聚层部署S6800系列，通过MLAG双归到核心；接入层为S5130系列。2.数据库流量：OracleRAC节点跨区通过RDMAoverConvergedEthernet（RoCEv2）直达，走独立VRF“ORA”，在核心层运行OSPF100，通过BGPEVPNType2路由同步MAC，延迟<0.5ms。3.存储流量：Cephpubliccluster走VRF“CEPHPUB”，clusterheartbeat走VRF“CEPHCLUSTER”，在核心层通过PFC（Priority3）保证无丢包；东西向流量经核心交换直达，不经过防火墙；南北向流量经防火墙集群（H3CF5000A5，双主，会话同步采用RBM）进出互联网。4.冗余链路：裸光纤采用DWDM40波，其中10波给存储，10波给Oracle，4波给管理，剩余16波预留；每波道采用1+1MSP保护，切换时间<50ms；核心—汇聚链路为100G×4，跨区链路为100G×8，均运行LACP，模式为dynamicon。问题2（6分）给出存储双活仲裁机制设计，防止“脑裂”。要求：1.仲裁站点选址；2.仲裁网络链路质量指标；3.仲裁权重算法。答案与解析1.仲裁站点选在市电调大楼C区，距A区28km、B区62km，形成“2+1”三角形，避免双活站点同时掉电。2.链路质量：裸光纤延迟≤0.3ms，抖动≤0.05ms，丢包率≤107；部署BFDforOSPF，检测间隔300ms×3，确保3s内感知链路故障。3.权重算法：总票数=5，A区持2票，B区持2票，C区仲裁器持1票；当任一站点与仲裁器失联且剩余站点≥2票时，继续提供服务；若A区与B区间链路中断，但A区与仲裁器正常，则A区获得3票（2+1），继续接管；若A区与仲裁器同时故障，则B区仅2票<3票，自动降级为只读，防止脑裂。问题3（5分）给出跨区二层扩展方案，要求广播域直径≤2km（逻辑意义），并说明如何抑制未知单播泛洪。答案与解析采用BGPEVPN+VXLAN方案：1.核心交换机作为VTEP，NVE接口绑定Loopback1，通过BGPEVPNType3路由传递VNI3000的IMET；2.控制平面采用IngressReplication，头端复制列表仅包含对端VTEP，抑制未知单播；3.数据平面开启UUF（UnknownUnicastFlood）抑制，未知单播首次泛洪后，在本地MAC表中建立“静默”表项，老化时间300s；4.广播域直径通过设置EVPN的SplitHorizon与ProxyARP，将ARP请求转发限制在VTEP之间，逻辑直径为VTEP跳数1，满足≤2km等效要求。问题4（6分）给出互联网出口DDoS清洗方案，要求：1.清洗能力≥200Gbps；2.正常流量时延增加≤2ms；3.支持IPv4/IPv6双栈；4.说明引流方式及回注方式。答案与解析1.清洗中心采用“近源清洗”架构，在运营商IDC机房部署清洗集群，共计4台设备，每台支持3.2Tbps背板，集群后清洗能力800Gbps，冗余比N+1，满足≥200Gbps。2.引流：采用BGPFlowspec，RTBH（RemoteTriggeredBlackHole）作为保底；当检测到攻击流量>10Gbps持续60s，政务云中心通过BGPFlowspec向运营商发送规则：目的前缀+端口+协议，下一跳指向清洗中心；清洗完成后，通过GRE隧道回注至政务云防火墙集群外网口，隧道端点部署在防火墙上游，避免防火墙成为瓶颈。3.双栈：清洗设备采用可编程芯片，支持IPv6SegmentRouting，对IPv6攻击流量进行采样，采样比1:2048，确保CPU不超载。4.时延：清洗中心距政务云仅一跳，光纤延迟0.18ms，清洗设备内部处理延迟0.5ms，回注隧道封装延迟0.3ms，总增加≤0.98ms，满足≤2ms。二、路由与交换【试题2】某高校新建校区采用SpineLeaf架构，Spine节点4台，Leaf节点32台，每Leaf下联48×25G服务器，上行4×100G。规划内部AS65001，与总部AS65000通过EBGP对接，使用私有AS65001在内部传递，总部要求汇总发布/16。问题1（4分）给出BGP路由反射器部署方案，要求：1.反射器故障收敛时间≤5s；2.反射器自身不转发数据流量；3.说明ClusterID规划。答案与解析1.选Leaf1、Leaf2作为路由反射器，配置routereflectorclient，其余Leaf为客户端；2.反射器与客户端建立BGP时，使用nexthopself，并设置BGPHoldtime9s，Keepalive3s，配合BFD900ms×3，收敛时间≤3s；3.反射器接口关闭IPv4单播路由功能（noiprouting），仅保留BGP与OSPFunnumbered接口，确保不转发数据；4.ClusterID：Leaf1为，Leaf2为，避免相同ClusterID导致路由丢弃；5.反射器之间建立IBGP全互联，并互相设置为非客户端，确保冗余。问题2（5分）给出IPv6地址规划，要求：1.服务器采用/64子网，支持无状态地址分配；2.禁止服务器直接访问互联网；3.支持精准溯源（到单台服务器）。答案与解析1.地址块：2001:DB8:117::/48，按Leaf编号划分子网：Leafn分配2001:DB8:117:n::/64，n=1…32；2.无状态地址分配：在LeafSVI接口开启IPv6ndmanagedconfigflag关闭，otherconfigflag开启，DHCPv6仅下发DNS与域名，不分配地址；3.服务器禁止访问互联网：在Spine层部署ACL，拒绝源地址为2001:DB8:117::/48、目的地址为::/0的流量；4.溯源：Leaf交换机开启NDSnooping，记录IPv6地址与MAC、接口、VLAN、时间戳，通过Telemetry每30s上报至校园网溯源平台；5.平台采用Elasticsearch存储，索引字段包含IPv6、MAC、接口、时间，支持Kibana在5s内定位到单台服务器。问题3（5分）给出RoCEv2无损网络配置，要求：1.全局无丢包；2.队列调度采用DWRR；3.说明PFC与ECN门限。答案与解析1.在Leaf接口下开启priorityflowcontrolmodeon，优先级3（RoCEv2）启用PFC；2.设置PFC门限：缓冲池为cellbased，xoff30KB，xon10KB，hysteresis20KB；3.ECN：优先级3开启ecn，门限下限50KB，上限150KB，标记概率100%；4.队列调度：4个队列，0Background、1BestEffort、3RoCEv2、7NetworkControl；DWRR权重：队列0=10，队列1=30，队列3=50，队列7=10；5.结果：通过RDMA流量测试，64KBMTU下吞吐线速，无丢包，时延抖动<1µs。三、网络安全【试题3】某金融公司计划将生产网、办公网、开发网三网合一，通过SDN实现微隔离。现有VMwarevSphere7.0、NSXT3.2、ArkSightSIEM。问题1（6分）给出NSXT分布式防火墙策略模型，要求：1.基于AD组动态绑定；2.策略变更窗口≤30s；3.支持横向移动检测。答案与解析1.在NSXTManager创建AD目录同步，周期5min，拉取OU=Finance、OU=Dev、OU=Office；2.创建安全组SGFinance、SGDev、SGOffice，成员条件为ADGroup等于对应OU；3.策略层级：Emergency>Environment>Application>Tier；默认拒绝，Environment层允许SGFinance访问DBFinance1521，SGDev拒绝访问生产DB；4.策略发布采用NSXT3.2的“PolicyAPIOptimized”模式，控制器下发延迟实测18s；5.横向移动检测：NSXT与ArkSight集成，通过Syslog发送分布式防火墙日志，ArkSight规则“同一源IP在5min内访问>3个不同AD组”触发告警，联动vCenter关闭VM网卡。问题2（5分）给出TLS1.3流量可视化方案，要求：1.不解密前提下识别应用；2.支持加密参数指纹；3.误报率<5%。答案与解析1.在核心交换通过ERSPAN将流量镜像到Probe，Probe采用JA3/JA3S指纹；2.对ClientHello提取CipherSuites、Extensions、EllipticCurves，生成JA3；3.对ServerHello生成JA3S；4.建立机器学习模型，特征维度200，训练集10万条，采用RandomForest，交叉验证误报率3.2%；5.模型输出标签：支付宝、微信、网银、GitHub等，供SOC可视化。问题3（4分）给出零信任远程办公方案，要求：1.支持国密SM2证书；2.终端环境动态评分<60分时自动降权；3.说明控制面与数据面分离机制。答案与解析1.部署国密零信任网关，采用海光CPU+麒麟OS，内置SM2加速指令；2.终端安装零信任Agent，采集进程、补丁、杀毒软件状态，评分算法：基础分100，无补丁20，杀毒关闭30，进程黑名单50；3.评分<60时，控制面（基于Istio）下发CRD“AccessPolicy”将用户加入隔离组，仅允许访问补丁服务器；4.数据面采用KernelBypass的DPDK转发，与控制面通过gRPC通道，通道采用SM2证书双向认证，确保分离。四、IPv6与地址管理【试题4】某运营商在城域网部署IPv6单栈，采用MAPT技术实现IPv4aaS，用户侧为IPv6only，CPE为OpenWrt。问题1（5分）给出MAPT域参数，要求：1.每个用户分配/56；2.支持端口段为8192；3.计算RuleIPv4前缀长度。答案与解析1.端口段8192=213，每个IPv4地址可共享28=256个用户；2.地址池：IPv4为/10，共222地址；3.每地址支持256用户，则总用户=222×256=228；4.每个用户/56，共需228×256=236前缀，小于/32地址块，满足；5.RuleIPv4前缀长度=32log2(256)=24，即/24。问题2（4分）给出CPEOpenWrt配置片段，要求：1.启用MAPT；2.支持PD自动获取；3.说明mtu设置。答案与解析```configinterface'wan'optionproto'dhcpv6'optionreqprefix'56'optionmtu'1480'configinterface'map'optionproto'map'optionlegacymap'0'optionmtu'1480'optionmaptype'mapt'optionipv4prefix''optionipv4prefixlen'24'optionipv6prefix'240e::/32'optionea_len'16'optionpsidlen'13'optionoffset'6'```MTU=1480，避免IPv4overIPv6再封装导致超过1500。问题3（3分）给出MAPT日志溯源方案，要求：1.支持用户IPv6地址与公网IPv4+端口映射关系；2.日志保存≥180天；3.查询响应时间≤3s。答案与解析1.BRAS每分配一个MAPT实例，通过Syslog发送：timestamp、用户IPv6/56、公网IPv4、PSID、端口段；2.日志存储在ClickHouse，按日期分区，索引为IPv6、IPv4、PSID；3.查询采用物化视图，预聚合端口段，测试180天数据量2亿条，查询耗时1.2s。五、无线网络【试题5】某三甲医院新建ICU病区，要求WiFi6E无干扰，终端为医疗PDA，漫游丢包<0.1%，支持WPA3Enterprise，国密WAPI兼容。问题1（4分）给出信道规划，要求：1.6GHz频段；2.80MHz连续捆绑；3.同频AP间距≥15m。答案与解析1.频段：59256425MHz，可用信道：33、41、49、57、65、73、81、89、97；2.采用80MHz，则中心频点：5450、5530、5610、5690、5770、5850、5930、6010；3.病区平面尺寸60m×40m，部署12AP，按蜂窝结构，间隔15m；4.使用专业热图软件Ekahau，模拟结果同频C/I≥70dB，满足。问题2（4分）给出漫游优化，要求：1.利用802.11k/v/r；2.漫游时延<30ms；3.说明关键参数。答案与解析1.开启802.11kNeighborReport，AP主动发送邻居列表，减少主动扫描时间；2.802.11vBSSTransitionManagement，设置disassociationtimer=30TUs（30ms），强制终端在30ms内切换；3.802.11rFastBSSTransition，密钥提前分发，FTovertheair，密钥索引=2；4.实测PDA漫游时延22ms，丢包0.02%。问题3（3分）给出WAPI兼容方案，要求：1.证书格式SM2；2.认证服务器支持EAPWAPI；3.说明双向认证流程。答案与解析1.AC配置WAPICA，根证书签名算法SM3withSM2；2.终端PDA预置用户证书，AS服务器部署WAPIAE，支持EAPWAPI；3.流程：a.PDA发送WAPIStart，携带用户证书；b.AS验证后发送ASU证书；c.双方完成SM2密钥协商，生成基密钥BK；d.4次握手完成，单播密钥为128bitSM4。六、网络运维与自动化【试题6】某云服务商拥有1000+路由器，采用SONiC+Nornir+Ansible，要求实现配置合规自动巡检。问题1（5分）给出AnsiblePlaybook片段，要求：1.检查NTP配置是否为；2.检查SNMPcommunity是否为private；3.不符合则自动修复并发送Slack通知。答案与解析```name:NTPcompliancehosts:sonictasks:name:getntpconfigsonic_command:commands:showrunningconfiguration|includentpregister:ntpname:fixntpsonic_config:lines:ntpserverwhen:"''notinntp.stdout"name:checksnmpsonic_command:commands:showrunningconfiguration|includesnmpregister:snmpname:fixsnmpsonic_config:lines:nosnmpcommunityprivatesnmpcommunitypublicrowhen:"'private'insnmp.stdout"name:notifysla