2025年上半年网络工程师案例分析真题及答案解析

2025年上半年网络工程师案例分析练习题及答案解析一、网络规划与设计【试题1】某市智慧交通平台需在主城区新建一张骨干网，覆盖38个路口信号机、12处高空云台、5处区域边缘计算节点及1个市级交通大脑数据中心。所有业务流量须通过两张物理隔离的环网（A环、B环）承载，A环跑信号控制与视频回传，B环跑边缘计算结果上报及运维管理。两环在数据中心核心交换机实现跨环流量受控互通。(1)给出A、B环各采用的技术体制（含速率、介质、拓扑），并说明理由。(2)画出A环与B环在数据中心交汇处的逻辑拓扑，要求标注VRF、VLAN、ACL部署点。(3)计算A环在99.99%可用度下，单链路最长可达多少公里（光纤衰耗0.35dB/km，熔接损耗0.05dB/点，活动接头0.25dB/对，系统富裕度3dB，光模块灵敏度−28dBm，发光−2dBm）。(4)若边缘计算节点需同时访问两环，请给出双归接入的冗余协议组合，并比较ETrunk、MLAG、VRRP三种方案在链路利用率、收敛时间、配置复杂度三方面的差异。【答案与解析】(1)A环：采用10GbpsDWDM环形裸光纤，双向复用段保护（OMSSPRing），原因：视频4K/30fps单路8Mbps，38路同时回传约304Mbps，考虑8倍突发及5年扩容，10G可保证＜30%利用率；DWDM可在单纤提供40×10G，节省纤芯。B环：采用1Gbps以太网裸纤环，G.8032ERPS子环，拓扑保护50ms内切换，原因：边缘计算上报流量仅80Mbps，1G足够；ERPS配置简单，兼容现有多厂商交换机。(2)逻辑拓扑：数据中心核心部署两台CE12800，分别作为APE、BPE。APE创建VRFA，BPE创建VRFB；两VRF通过MPeBGPVPNv4跨环交换路由。A环VLAN100−199，B环VLAN200−299；在交汇口做VLAN转换，通过防火墙插卡实现ACL，策略：VRFA→VRFB仅允许TCP/443端口，反向拒绝。(3)功率预算：发送−2dBm，接收−28dBm，总预算26dB。扣除富裕3dB，可用23dB。设链路熔接点8处，活动接头4对，固定损耗8×0.05+4×0.25=1.4dB。剩余23−1.4=21.6dB用于光纤，长度L=21.6/0.35≈61.7km。故单链路最长61km，满足市区25km需求。(4)双归冗余协议：边缘节点双10G口，一接A环、一接B环，采用“MLAG+VRFlite”方案：①两台PE间跑MLAGICCP，收敛200ms；②边缘节点跑LACP静态模式，链路利用率100%；③VRFlite隔离环路。对比：ETrunk：华为私有，收敛100ms，链路利用率50%，配置6行；MLAG：业界通用，收敛200ms，利用率100%，配置14行；VRRP：三层冗余，收敛1s，利用率50%，配置4行。综合选MLAG。二、IPv6地址规划与路由策略【试题2】某高校新校区获IPv6前缀240E:000E:1F10::/48，需划分8个学院、1个数据中心、1个运维网、1个物联网实验区，共11个部门。(1)给出地址块划分表，要求每个部门可扩展至4096子网，并留20%冗余。(2)设计路由聚合方案，使校园出口向CERNET2宣告前缀≤4条。(3)若物联网实验区需支持6LoWPAN传感器自动注册，请给出DHCPv6与ND代理混合部署步骤，并指出如何防止“地址欺骗”。(4)数据中心内部启用SRv6，SID格式为128bit，本地定义Locator64bit、Function32bit、Argument32bit。请为Web业务、Cache业务、AI训练业务各分配一个SID，并写出对应的SRPolicy在LinuxSRTool的下发命令。【答案与解析】(1)原/48共16bit子网位，需4096=2^12子网/部门，预留20%即1.2×4096≈4915，取2^13=8192子网，需13bit。剩余16−13=3bit，可划2^3=8个大块，但需11部门，故再借1bit，采用“先横后纵”策略：将/48切成16个/52，每个/52含2^12=4096子网，满足4096需求；11部门占11个/52，剩余5个/52预留。示例：计算机学院：240E:E:1F10::/52软件学院：240E:E:1F10:1000::/52……物联网实验区：240E:E:1F10:B000::/52(2)聚合：将11个/52按高8bit对齐，可聚成3个/48子前缀：240E:E:1F10::/48（原前缀，含0−7/52）240E:E:1F11::/48（含8−F/52，实际用8−B）出口向CERNET2宣告240E:E:1F10::/47、240E:E:1F12::/48、240E:E:1F13::/48，共3条，满足≤4条。(3)6LoWPAN注册：①边界路由跑DHCPv6PD，向传感器下放/64前缀；②传感器上电发送RS，边界路由回RA，携带A=1、M=1；③传感器通过DHCPv6请求IA_NA与IA_PD；④边界路由启用NDProxy，对无线侧学习到的地址在以太侧做DAD代理；⑤防欺骗：启用SeND（CGA地址），要求所有RA携带RSA签名；同时在边界路由启用RAGuard与DHCPv6Guard，丢弃非信任端口RA与Reply。(4)SID分配：Locator统一240E:E:1F10:DA00::/64WebFunction=0x00000001，Argument=0，SID=240E:E:1F10:DA00:1:0:0:0CacheFunction=0x00000002，AIFunction=0x00000003，同理。LinuxSRTool下发：srtoolpolicyaddbsid240E:E:1F10:DA00:1:0:0:0sid240E:E:1F10:DA00:1:0:0:0,240E:E:1F10:DA00:2:0:0:0srtoolpolicyaddbsid240E:E:1F10:DA00:3:0:0:0sid240E:E:1F10:DA00:3:0:0:0三、SDWAN流量调度与SLA保障【试题3】某连锁零售集团全国600门店，通过SDWAN上云，POP点8个，云端部署3套应用：POS、库存、AI巡店。(1)给出应用优先级映射到DSCP与802.1p的完整表格，要求AI巡店视频流在拥塞时保证200Mbps/门店。(2)若POP至云之间有两条路径：MPLSVPN（RTT18ms，带宽1G）与InternetIPSec（RTT55ms，带宽2G），设计基于BFD+TWAMP的SLA模板，使系统在MPLS丢包率>0.1%或RTT>30ms时自动切换至Internet。(3)控制器北向接口需向ERP系统暴露实时流量数据，请给出RESTfulAPI设计：URL、Method、请求/响应示例（JSON），要求字段含接口名、应用名、丢包、时延、链路名称。(4)门店侧采用uCPE，跑VNF：vFW、vRouter、vWAAS。请计算当门店并发80终端、平均500pps/终端、包长300Byte时，vRouter所需最小vCPU核数（假设DPDK转发1核可处理1.5Mpps）。【答案与解析】(1)映射表：POS交易：DSCP=EF(46)，802.1p=7，队列=PQ，带宽保证5Mbps库存同步：DSCP=AF31(26)，802.1p=5，队列=CBQ，保证20MbpsAI巡店：DSCP=AF41(34)，802.1p=4，队列=LLQ，保证200Mbps默认：DSCP=BE(0)，802.1p=0，队列=FIFO，剩余(2)SLA模板：名称：SLACloudBFD：Tx=300ms，Multiplier=3，Detect=900msTWAMP：Probe=1000pps，Threshold：Loss=0.1%，RTT=30ms逻辑：if(loss>0.1%orRTT>30ms)thenpreferInternet，回切延时10min。(3)RESTfulAPI：GET/sdwan/v1/flows?site=SH001&app=AI响应200OK{"data":[{"interface":"eth0","app":"AI","loss":0.05,"latency":28,"link":"MPLS"},{"interface":"eth1","app":"AI","loss":0.21,"latency":52,"link":"Internet"}]}(4)计算：总pps=80×500=40kpps包长300Byte，带宽=40k×300×8=96MbpsDPDK1核可处理1.5Mpps，所需核数=40k/1.5M≈0.027核，取整1核即可；考虑20%冗余，配1vCPU。四、数据中心BGPEVPN与VXLAN部署【试题4】某互联网公司在TierIII机房新建128台SpineLeaf架构，Leaf为vQFX，Spine为vMX，所有服务器双归TOR。(1)给出BGPEVPN的AS规划，要求支持4字节AS，未来可扩展至20机房，每个机房4个POD。(2)设计VNI分配方案，使同一租户可跨3个机房做StretchVLAN，同时支持5000租户，每个租户200VLAN。(3)若服务器MAC地址00:1B:24:00:00:01在Leaf11上线，写出Leaf11向Spine发出的BGPEVPNType2路由的NLRI字段（十六进制），包含RT、RD、ESI、VNI。(4)现发现跨机房VM互访时，路径呈“之”字形，经排查为BGP选路不优，请给出在Spine侧调优的三条策略，并写出Juniper配置片段。【答案与解析】(1)AS规划：主AS4200000000−4200099999预留，采用4字节私有AS。每机房4POD，POD内Leaf用小AS，范围：42000PP000+L，PP=机房号01−20，L=POD内Leaf序号1−64。Spine用42000PP9999，RR用4200000000。示例：机房3POD2Leaf11：AS420003011Spine：4200039999(2)VNI分配：24bitVNI，高8bit为机房标识，中8bit为POD标识，低8bit为租户VLAN。5000租户×200VLAN=1000000，需20bit，VNI剩余24−16=8bit可扩展。实际取：VNI=0xTTPPVV，TT=机房1−20，PP=POD1−4，VV=VLAN1−200。Stretch时，TT固定0xFE作为全局标志，PP取0，VNI=0xFE00+VlanID，保证跨机房同一VNI。(3)Type2NLRI：RD:420003011:1001(4ByteAS:VlanID)ESI:0000.0000.0000.0000(单归)EthTag:0x0000MACLen:48MAC:00:1B:24:00:00:01IPLen:0Label:3×24bit=VNI=0xFE0064RT:420003011:1001十六进制：001000FA0003011D0000000000000000000030001B2400000100FE0064(4)调优策略：①优先本机房路由：setpolicyoptionspolicystatementEVPNPREFtermLOCALfromaspathLOCALASthenlocalpreference200②次优同区域：settermSAMEREGIONfromaspathREGIONthenlocalpreference150③拒绝次优路径：settermREJECTthenreject配置：[editpolicyoptions]policystatementEVPNPREF{termLOCAL{fromaspathLOCAL;then{localpreference200;nextpolicy;}}termREGION{fromaspathREGION;then{localpreference150;nextpolicy;}}}五、网络安全与攻防实战【试题5】某省政务云举行攻防演练，蓝队发现攻击者利用IPv6扩展头绕过WAF。(1)给出扩展头躲避原理，并写出Scapy构造一个携带超大RoutingHeader的HTTPGET请求脚本。(2)针对该绕过，在Nginx+OpenResty侧给出检测规则，要求Lua脚本提取并计算RoutingHeader长度，超过32Byte直接返回444。(3)演练结束后，需对800台CentOS8批量打补丁，但内网无YUM源，请给出基于Ansible的离线补丁方案，包括Repo制作、Playbook示例、GPG校验。(4)日志显示攻击者曾利用CVE202320198修改了IOSXE设备WebUI密码，请写出在IOSXE侧查看被篡改账户的CLI命令，并给出恢复出厂WebUI配置的步骤。【答案与解析】(1)原理：WAF只解析第一组IP层，忽略RH0扩展头，导致后端看到的源地址为伪造的最后一个地址，从而绕过IP白名单。Scapy脚本：fromscapy.allimportp=IPv6(dst="2001:DB8::80",src="2001:DB8::1")/IPv6ExtHdrRouting(addresses=["2001:DB8::88"]20)/TCP(dport=80)/"GET/HTTP/1.0\r\nHost:v6\r\n\r\n"send(p)(2)OpenResty检测：location/{access_by_lua_block{localrh=ngx.req.socket():getoption(55)IPV6_RTHDRifrhandrh>32thenngx.exit(444)end}}(3)Ansible离线补丁：①在堡垒机下载CentOS8Base、AppStreamrpm及errata，createrepo生成repodata；②导出GPGKEY；③Playbook：hosts:alltasks:name:copyrepocopy:src=offline.repodest=/etc/yum.repos.d/name:importkeyrpm_key:state=presentkey=file:///etc/pki/rpmgpg/RPMGPGKEYCentOS8name:patchyum:name=state=latest(4)IOSXE查看：showrunningconfig|includeusernameshowwebserverusers恢复：configurefactorydefaultwebservernousernameattackercopyrunningconfigstartupconfig六、无线城市与IoT融合【试题6】市城管局拟建设5G+WiFi6融合网络，服务2万盏路灯、5千个井盖、1千辆环卫车。(1)给出WiFi6室外AP的频宽与信道规划，要求2.4GHz仅做管理，5GHz承载视频回传，每AP保证30路1080p/2Mbps流。(2)若井盖传感器采用NBIoT，每包200Byte，每天上报24次，计算5万传感器对800kHz载波的上行利用率。(3)环卫车车载CCT