2025上半年高级软件水平考试《网络规划设计师(案例分析)》真题及答案

2025上半年高级软件水平考试《网络规划设计师(案例分析)》练习题及答案一、网络需求分析与拓扑设计【试题1】阅读下列说明，回答问题1至问题4，将解答填入答题纸的对应栏内。【说明】某省级“政务云”二期工程计划2025年6月上线，需同时承载省、市、县三级共360个业务系统，峰值并发用户18万，平均单用户会话流量1.2Mbps，业务流量呈“早晚双峰、午间小谷”特征，峰值系数取1.8。省中心已建有双活数据中心（DC1、DC2），相距28km，裸光纤时延<0.3ms；12个地市各有一座同城容灾机房，通过两条独立OTN环网（环A、环B）接入省中心。县级单位共108个，平均距离市中心38km，采用GPON/10GEPON混合接入。【问题1】（6分）在不考虑压缩、去重及TCP优化前提下，计算省级横向流量（省→省、省→市、市→市）的峰值带宽需求，并给出计算过程。【问题2】（6分）若省中心采用VXLANEVPN做跨DC大二层，控制面使用MPBGPEVPN，请给出RD、RT规划示例（示例不少于4条），并说明如何防止RT交叉导致路由泄露。【问题3】（6分）县级GPONOLT上联口采用双归到市核心，启用ERPS环，保护倒换时间要求<50ms。请画出OLT→市核心→省核心的逻辑拓扑简图，并标注ERPS节点角色（RPLOwner、RPLNeighbor、Normal）。【问题4】（7分）为保障视频会议类业务（DSCP=AF41）在双峰拥塞时仍保持<150ms端到端时延，省→市链路拟部署层次化QoS。请给出父策略、子策略的MQC配置片段（以华为CLI为例），并说明如何在PE节点实现带宽借用与队列限速。【答案】【问题1】峰值并发用户18万，单用户1.2Mbps，峰值系数1.8，则横向总峰值=180000×1.2×1.8=388800Mbps≈389Gbps按流量矩阵：省→省15%、省→市55%、市→市30%，省→省：389×0.15=58.35Gbps省→市：389×0.55=213.95Gbps市→市：389×0.30=116.7Gbps【问题2】RD格式：DC1:32768:192.168.1.0；DC2:32769:192.168.1.0RT规划：1.DC1Outbound:32768:1002.DC1Inbound:32768:2003.DC2Outbound:32769:1004.DC2Inbound:32769:200防止泄露：在RR上设置routepolicy，匹配RT32768:100时拒绝携带32769:200，反之亦然；同时启用BGPASPATH过滤，不接受本地AS重复路由。【问题3】（文字描述图）县级OLT—10GERPS环—市核心1—省核心1||RPLOwnerOLT—10GERPS环—市核心2—省核心2||RPLNeighborNormal节点：其余4个县级OLT。RPL链路置于市核心1—市核心2之间，断开后50ms内收敛。【问题4】PE配置：trafficclassifierVIDEOmatchdscpaf41trafficbehaviorVIDEOqueueefwfqweight30carcir2gbpscbs250000pbs375000trafficpolicyCHILDclassifierVIDEObehaviorVIDEOtrafficpolicyPARENTqueuewfqweight40bandwidth8gbpschildpolicyCHILDinterface100GE1/0/1trafficpolicyPARENToutbound带宽借用：父策略剩余60%带宽可被AF41在突发时抢占；限速：子策略car采用双令牌桶，保证2Gbps，峰值3Gbps，超过丢弃。二、IPv6演进与地址规划【试题2】阅读下列说明，回答问题1至问题3。【说明】该省政务云要求2025年底IPv6流量占比≥70%。现网IPv4地址采用10.0.0.0/8私网，计划采用“双栈+NAT64”过渡。省中心已申请到IPv6前缀240C:CC00::/32。【问题1】（5分）将240C:CC00::/32按“省市县业务”四级划分，每级预留25%扩展位，给出各级前缀长度与可分配子网数。【问题2】（6分）在DC1核心交换机（华为CE16800）配置SLAAC+DHCPv6有状态混合部署，要求服务器类业务采用DHCPv6获取固定地址，终端类采用SLAAC。给出关键配置片段，并说明如何防止“IPv6地址欺骗”。【问题3】（4分）某业务系统仅支持IPv4，需通过NAT64访问IPv6only互联网DNS64。请给出NAT64前缀、DNS64前缀建议值，并计算在并发10万TCP会话、平均会话时长180s时，NAT64板卡所需最小端口块数量（假设端口块大小1024）。【答案】【问题1】省：/32→/36，扩展4位，可用16个市市：/36→/40，扩展4位，可用16个区县县：/40→/44，扩展4位，可用16个业务业务：/44→/56，12位，可用4096子网预留25%后，实际可分配子网：省：16×0.75=12市市：16×0.75=12县县：16×0.75=12业务业务：4096×0.75=3072子网【问题2】dhcpv6poolSERVERaddressprefix240C:CC00:1:8000::/65staticbindaddress240C:CC00:1:8000::100duid000100012B5E8A9C00E0FC123456interfaceVlan100ipv6enableipv6address240C:CC00:1::1/64ipv6ndautoconfigmanagedflagnoipv6ndautoconfigotherflagyesipv6dhcpv6serverSERVER防欺骗：启用SAVI（SourceAddressValidationImprovement）功能，绑定ND表项与802.1X认证结果，未知源地址丢弃。【问题3】NAT64前缀：64:FF9B::/96DNS64前缀：64:FF9B::/96端口块计算：总端口需求=100000×1=100000每块1024端口，需块数=100000/1024≈98块考虑冗余20%，最小端口块数量=118块三、MPLSVPN跨域OptionC优化【试题3】阅读下列说明，回答问题1至问题3。【说明】该省政务云需与央企金融专网（AS65001）互通，采用跨域OptionC方案，省网AS64580，央企网AS65001，两端各自部署RR，使用BGPLU（LabelUnicast）传递公网标签。【问题1】（5分）给出省PE上BGPLU的地址族配置模板（CiscoIOSXR），并说明为何需要在IGP中使能“mplsldpautoconfig”而非“segmentrouting”。【问题2】（6分）当央企侧RR1反射BGPLU路由时，出现“BGPlabelmismatch”告警，经抓包发现Label=3（隐式空标签）被错误通告。请分析根因并给出修复步骤。【问题3】（4分）若未来央企侧拟升级SRv6，省侧仍保留MPLS，需互通6PE。请给出6PE的PE配置关键段，并说明如何防止“IPv6VPN标签泄露”到IPv4单播BGP。【答案】【问题1】routerbgp64580addressfamilyipv4labeledunicastallocatelabelallretainroutetargetallneighbor10.0.0.2remoteas65001addressfamilyipv4labeledunicastroutepolicyPASSALLinroutepolicyPASSALLoutmplsldpautoconfig原因：央企侧老旧设备仅支持LDP，不支持SR，故不能使用segmentrouting。【问题2】根因：央企RR1在BGPLU地址族下未关闭“explicitnull”功能，导致向省侧通告Label=3。修复：1.在RR1配置explicitnulldisable2.清BGP会话clearbgp10.0.0.1softin3.验证：showbgpipv4labeledunicast10.0.0.0/24，Label应为非3值。【问题3】6PE配置：routerbgp64580addressfamilyipv6neighbor2001:DB8::2remoteas65001sendlabelroutepolicyVPNv6OUTout防泄露：在VPNv6地址族下设置retainroutetargetall在IPv4单播地址族设置noneighbor2001:DB8::2activate确保IPv6VPN标签仅存在于VPNv6地址族，不会通过IPv4单播BGP泄露。四、数据中心SDN与云网协同【试题4】阅读下列说明，回答问题1至问题4。【说明】政务云采用OpenStack+SDN（华为ACDCN）架构，控制器集群3节点，版本V8R10，Underlay采用SpineLeaf，VXLANEVPNOverlay，Spine4台CE16800，Leaf32台CE6881，服务器双归接入MLAG。【问题1】（5分）给出Leaf节点上MLAG双归接入服务器的STP模式选择及原因，并写出防止“MLAGsplitbrain”的优先级配置。【问题2】（6分】控制器与Leaf建立OpenFlow1.3通道，要求支持“微分段”安全组，请给出ACL模型（以JSON片段示例），并说明如何防止“规则膨胀”导致TCAM溢出。【问题3】（6分）某租户创建VPCA，CIDR10.1.0.0/16，子网10.1.1.0/24，在ACDCN上启用“分布式路由”，发现跨子网流量被引流至集中网关，时延超标。请列出3种常见根因并给出排查命令。【问题4】（3分】若SpineLeaf间采用400GDR4光模块，光纤极性采用TypeB，请给出配线架跳线极性示意图（文字描述即可），并说明为何不能使用TypeA。【答案】【问题1】STP模式：MSTP，实例0优先级Leaf1=4096，Leaf2=8192，保持相同regionname，防止环路。防splitbrain：mlagpriority150mlagrestoredelay120mlagpeerlinktrackinterface100GE1/0/49当peerlinkdown时，优先级低的一方自动shutdown所有MLAG成员口。【问题2】JSON片段：{"security_group_id":"sgweb","rules":[{"direction":"ingress","ethertype":"IPv4","protocol":"tcp","port_range":"8080","remote_ip":"0.0.0.0/0","action":"allow"}]}防膨胀：1.合并连续端口为range2.使用地址集对象（addressset）复用3.启用TCAM压缩（合并掩码相同规则）命令：displaysystemtcamusageacl【问题3】根因：1.子网未启用“分布式网关”开关2.VBDIF接口未下发至Leaf节点3.路由表未同步至VRF排查：1.displayevpnvpninstancebrief2.displaybgpevpnroutingtableinclusiveroute10.1.1.03.displayopenflowinstance1flow|include10.1.1.0【问题4】TypeB极性：配线架A端Tx1→Rx2，Tx2→Rx1，交叉一次；TypeA直通，DR4多模MPO12接口需交叉极性才能确保Tx对Rx，故不能用TypeA。五、广域网优化与性能调优【试题5】阅读下列说明，回答问题1至问题3。【说明】省→市OTN链路采用100GDWDM，现网峰值利用率78%，突发时丢包>0.1%，已排查光功率正常，需部署WAN优化。【问题1】（5分】给出基于TCPBBR拥塞控制与FEC（前向纠错）的联合调优方案，并说明如何量化评估“有效吞吐提升比”。【问题2】（6分】在华为NE40路由器上部署HQoS，父节点Shaper80Gbps，子节点包含视频会议（AF41）、数据库同步（AF21）、办公网页（BE），权重分别为40%、30%、30%，请给出完整的QoS策略配置，并说明如何防止“子节点超卖”。【问题3】（4分】若采用iPerf3测试，窗口1MB、并行8流、时长60s，测得平均吞吐92Gbps，理论带宽100Gbps，请计算链路传输效率，并指出3种可能的优化点。【答案】【问题1】方案：1.发送端启用BBR2.在OTN边缘盒部署RS(255,239)FEC，冗余度6.7%3.采用IPQAM调制自适应评估：有效吞吐提升比=(BBR+FEC后吞吐–原吞吐)/原吞吐原吞吐=100×(1–0.1%)=99.9Gbps实测提升后=108Gbps提升比=(108–99.9)/99.9≈8.1%【问题2】trafficclassifierVIDEOoperatororifmatchdscpaf41trafficclassifierDBoperatororifmatchdscpaf21trafficclassifierWEBifmatchdscpbetrafficbehaviorVIDEOqueuewfqweight40trafficbehaviorDBqueuewfqweight30trafficbehaviorWEBqueuewfqweight30trafficpolicyCHILDclassifierVIDEObehaviorVIDEOclassifierDBbehaviorDBclassifierWEBbehaviorWEBtrafficpolicyPARENTshaper80000childpolicyCHILDinterface100GE1/0/1trafficpolicyPARENToutbound防超卖：子节点总权重100%，父节点shaper80Gbps，子节点CIR总和≤80Gbps，配置子节点CIR=32G、24G、24G，无PIR，确保不超限。【问题3】效率=92/100=92%优化点：1.增大iPerf窗口至4MB2.启用多路径ECMP16流3.调优BBR参数net.ipv4.tcp_bbr_drained_gain=0.85六、网络安全与等保2.0合规【试题6】阅读下列说明，回答问题1至问题3。【说明】政务云需通过等保2.0三级测评，测评机构提出“南北向流量未做微隔离”“重要数据未分类加密”“安全运维通道未多因子”三项整改。【问题1】（5分】给出基于防火墙虚拟系统（VSYS）+安全组实现南北向微隔离的拓扑示意（文字描述），并说明如何在边界防火墙与租户防火墙间避免“策略冲突”。【问题2】（6分】对MySQL数据库内1TB敏感数据实施SM4加密，要求加密后存储膨胀<5%，请给出“明文分组→CTR模式→压缩”串联方案，并计算理论膨胀率。【问题3】（4分】运维通道采用SSLVPN+短信OTP，需支持国密SM2证书，请给出OpenSSL生成SM2证书的关键命令，并说明如何在Nginx1.25上启用GMSSL套件。【答案】【问题1】拓扑：Internet—(南北向)—边界墙VSYS0—(VRF)—核心交换—(Trunk)—租户墙VSYS1—(东向西)—业务区防冲突：1.边界墙仅允许0.0.0.0/0→80、443、222.租户墙细化到10.1.1.0/24→10.1.2.0/2433063.在边界墙设置“租户策略优先级高于默认拒绝”，租户墙设置“默认拒绝”，两级策略通过tag匹配，避免重复允许。【问题2】方案：1.先使用LZ4压缩，压缩比约0.352.再对压缩结果使用SM4CTR加密，IV16B，无填充3.存储额外保存IV与MAC32B/4KB块理论膨胀=(1–0.35)×1.05+32/4096≈0.6825=4.95%<5%【问题3】命令：opensslecparamgenkeynameSM2outsm2.keyopensslreqnewx509sm3keysm2.keyoutsm2.crtdays3650Nginx配置：ssl_protocolsTLSv1.3;ssl_ciphersSM2WITHSM4SM3;ssl_certificate/etc/nginx/sm2.crt;ssl_certificate_key/etc/nginx/sm2.key;需编译Nginx时加入–withopenssl=../gmssl七、网络自动化与DevOps实践【试题7】阅读下列说明，回答问题1至问题3。【说明】该省政务云网络团队拟基于Ansible+GitLabCI实现“配置即代码”，已建inventory含CE16800、NE40、ACDCN三类设备，共600节点。【问题1】（5分】给出Ansible目录结构示例（treeL2），并说明如何使用ansiblevault对SNMP团体名加密，要求在CI中自动解密。【问题2】（6分】编写一个YAMLPlaybook片段，实现“批量修改NTP服务器为10.10.10.10，若原配置为10.20.20.20则回滚”，要求使用jinja2模板判断，并给出回滚机制。【问题3】（4分】在GitLabCI中，如何设置“MR审批+流水线+自动回滚”三阶段，要求仅允许网络组Maintainer审批，MR合并后自动触发Ansibleplaybook，若失败则调用rollbackplaybook，并给出.gitlabci.yml关键段。【答案】【问题1】目录：inventories/prod/hostsplaybooks/ce16800.ymlroles/common/tasks/main.ymlgroup_vars/all/vault.yml加密：ansiblevaultencryptgroup_vars/all/vault.ymlCI解密：exportANSIBLE_VAULT_PASSWORD=$VAULT_PASSecho"$VAULT_PASS">.vault_passansibleplaybookiinventories/prodvaultpasswordfile=.vault_pa