2025年11月软考中级网络工程师应用题及答案

2025年11月软考中级网络工程师应用题及答案1.阅读以下需求，在答题纸上完成所有配置与计算，要求给出完整命令行、拓扑标注、地址规划表、验证截图关键信息，字迹工整，禁止用“略”或“同上”代替。（本题50分）某中型制造企业准备将原有多出口网络改造为“双活+安全+IPv6”架构，总部与两个分厂通过运营商MPLSVPN互通，互联网出口采用双ISP（ISP-A、ISP-B），内部业务划分为研发、生产、财务、监控四个安全域，要求：①全网运行OSPFv3与MP-BGP，IPv4/IPv6双栈；②生产网与财务网互访需经防火墙透明模式检测；③双出口做基于SLA的负载均衡，研发流量走ISP-A，监控流量走ISP-B，其余按带宽比例1:3分担；④所有无线终端（采用WPA3-Enterprise，AES）由总部两台AC做双机热备，CAPWAP隧道走IPv4，用户地址由总部集中分配IPv6前缀；⑤分厂1的IoT传感器（IPv6Only）通过DHCP-PD向总部获取/56前缀，分厂2的CCTV摄像机（IPv4Only）需通过总部NAT64访问IPv6-only云存储；⑥总部与分厂间互访流量须加密，采用GREoverIPSec，IKEv2，AES-256-GCM，DH-group-20，SHA-384；⑦运维网（管理VLAN99）禁止访问任何业务网段，但允许被SNMPv3轮询，SNMP流量走专用VRF；⑧所有设备要求SSHv2登录，AAA认证先TACACS+后Local，用户名netops，密码复杂度12位含大小写数字特殊字符；⑨总部核心交换机做横向虚拟化（H-VSU），两台物理设备虚拟为一台，控制平面独立，转发平面合一，虚拟域编号1，优先级150/120；⑩审计：记录所有ACL拒绝日志，日志通过TLS1.3送到日志服务器2001:db8:9999::100/128，端口6514。提供的地址与AS信息：总部：2001:db8:cafe::/48，/16，AS65001；分厂1：2001:db8:dead::/48，/16，AS65002；分厂2：2001:db8:beef::/48，/16，AS65003；ISP-A：2001:db8:a::/48，/30，AS100；ISP-B：2001:db8:b::/48，/30，AS200；Loopback0统一使用/128与/32，用于Router-ID、BGP、IPSec、SNMP等；MPLSVPNRT65001:10065002:10065003:100，RD6500X:192.168.X.1。【问题】1.1画出逻辑拓扑，标注所有三层接口地址、VRF、安全域、ACL方向、IPSec隧道编号、SLA探针路径。1.2给出总部核心交换机H-VSU配置脚本，含虚拟域优先级、双主检测、BFD链路、分裂后动作。1.3给出总部边界路由器双出口SLA配置，要求每5秒发1个ICMPv6探针，超时800ms，连续3次失败即切换，给出track列表、路由图、负载比例1:3的详细命令。1.4给出防火墙透明模式策略，实现生产与财务互访流量强制经过IPS策略集“finance-ips”，记录被丢弃的会话，要求策略命中计数器可查看。1.5给出分厂1IoTDHCP-PD配置，要求总部路由器作为DHCPv6服务器，分厂1路由器作为请求方，获取/56后自动切分为/64分配给VLAN10~VLAN25，需包含排除地址、DUID、生命周期。1.6给出总部到分厂2的NAT64配置，要求静态映射摄像头管理口00:8080到2001:db8:beef::100:8080，动态映射使用2001:db8:beef:1::/96，支持FTP-ALG，给出验证命令与抓包过滤表达式。1.7给出GREoverIPSec配置，总部侧隧道口地址2001:db8:cafe:ffff::1/64，分厂1侧2001:db8:cafe:ffff::2/64，要求使用虚拟隧道接口，IPSecProfile引用IKEv2模板，给出完整加密算法、PFS、DPD、SA生存时间。1.8给出AC双机热备配置，采用VRRP-E（扩展VRRPforIPv6），虚拟IP2001:db8:cafe:ac::1/64，优先级120/100，抢占延迟5秒，CAPWAP心跳3秒，故障切换后AP无需重新注册，给出AP上线完整debug输出片段。1.9给出运维网ACL与VRF隔离方案，要求VLAN99仅能与日志服务器、SNMP服务器通信，禁止访问任何RFC1918与IPv6ULA，给出ACL序号、命名、日志级别、VRF导出导入策略。1.10给出SSHv2与AAA配置，要求登录前提示“AuthorizedOnly”，登录失败3次锁定15分钟，TACACS+密钥“Tac@2025#”，local用户名netops密码1qY9g$VbNkq8rO9xM5wK2p，给出登录成功与失败日志样例。2.综合排错（20分）某次割接后，分厂2用户反馈无法打开IPv6-only云存储“2001:db8:cloud::/48”，但总部可以。现场抓包发现分厂2路由器发出ICMPv6Type1Code5（AddressUnreachable）。2.1给出排错思路清单（至少5步，含命令）。2.2定位到问题为总部边界路由器未将NAT64前缀2001:db8:beef:1::/96发布进OSPFv3，给出修复命令与验证输出。2.3说明为何总部正常而分厂2异常，用路由表与转发面解释。2.4给出后续监控方案：采用TelemetrygRPC每秒推送NAT64池使用率，阈值90%告警，推送路径、YANG模型、采样路径、PromQL表达式。3.性能调优（10分）总部核心交换机与AC间链路出现微突发丢包，接口统计显示Inputdrop0.01%，但无Overrun。3.1给出缓存微突发分析步骤，含buffer-profile、microburst-detector、queue-depthhistogram命令。3.2给出调优方案：将AC流量映射到队列5，权重30%，缓存增加到200ms，给出MQC与buffer命令。3.3给出验证命令，要求输出显示队列5的TailDrop计数不再增长。4.安全加固（10分）渗透测试发现总部DNS服务器可被用于IPv6放大攻击，放大因子约8倍。4.1给出流量特征：源端口53，目的端口随机，payload大小64B，响应512B。4.2给出ACL防护方案，要求基于IPv6扩展头过滤，限制同一/64源每秒20个DNS请求，超出丢弃并记录。4.3给出DNS服务器自身加固：关闭递归，启用RRL（ResponseRateLimit），给出BIND配置片段。4.4给出事后溯源：利用NetFlowv9记录IPv6FlowLabel，匹配攻击流Label=0xABCD，给出过滤命令与输出。5.自动化运维（10分）需实现“一键封禁”：当IDS检测到内网主机发起SSH暴力破解，自动下发ACL封锁该IPv6/641小时，并邮件通知。5.1给出AnsiblePlaybook：触发条件、变量、调用RESTCONF接口、ACL命名、定时解封。5.2给出Python脚本：监听Kafkatopic“ids_alert”，解析JSON，提取攻击源地址，调用AnsibleAPI，发送HTML邮件。5.3给出回退方案：如果ACL下发失败，脚本自动重试3次，仍失败则调用企业微信机器人告警。———答案与详解———1.1逻辑拓扑（文字描述，考生需转绘）总部核心两台SW1/SW2做H-VSU，虚拟为SW-Core；下联服务器集群、AC1/AC2堆叠、防火墙透明桥、边界路由器R1/R2；R1/R2分别接ISP-A/ISP-B；分厂1路由器R3、分厂2路由器R4通过MPLSVPN与R1/R2互通；IPSec隧道逻辑叠加在MPLS上；AC1/AC2与AP间CAPWAP走VLAN200；管理VLAN99独立VRFMGMT；日志服务器接在核心交换机，位于VRFMGMT。1.2H-VSU配置（以SW1为例，SW2对称）```switchvirtualdomain1dual-activedetectionbfddual-activebfdinterfaceGigabitEthernet1/0/48neighbordual-activeexcludeinterfaceVlan99rolepriority150!interfacerangeTenGigabitEthernet1/0/1-2switchportmodetrunkswitchporttrunkallowedvlan100-199,200-299,999channel-group1modeactive!interfacePort-channel1switchportmodetrunkswitchporttrunkallowedvlanadd99vsuport-member1!standby1priority150standby1preemptdelayminimum300```1.3双出口SLA与负载```ipv6route2001:db8:a::/482001:db8:a:1::1track100ipv6route2001:db8:b::/482001:db8:b:1::1track200ipv6route::/02001:db8:a:1::110ipv6route::/02001:db8:b:1::130!track100ipsla100reachabilitydelaydown3up1!ipsla100icmp-echo2001:db8:a:1::1source-interfaceGigabitEthernet0/0/0threshold800frequency5!ipslaschedule100lifeforeverstart-timenow!ipv6access-listR&Dpermitipv62001:db8:cafe:10::/64anyroute-mapISP-Apermit10matchipv6addressR&Dsetipv6next-hop2001:db8:a:1::1!ipv6access-listCCTVpermitipv62001:db8:cafe:30::/64anyroute-mapISP-Bpermit10matchipv6addressCCTVsetipv6next-hop2001:db8:b:1::1```1.4防火墙透明模式```firewalltransparentbridge-group1interfaceGigabitEthernet0/0/0bridge-group1interfaceGigabitEthernet0/0/1bridge-group1!policy-maptypeinspectfinance-ipsclassclass-defaultipsfinance-ipsmodeinlinedroplog!access-listtransextendedpermitipaccess-listtransextendedpermitip!interfaceBVI1ipaddress5452!service-policyfinance-ipsinterfaceBVI1```1.5DHCP-PD总部：```ipv6dhcppooliot-pdprefix-delegation2001:db8:dead::/560003000100aabbccddlifetime36001800!interfaceGigabitEthernet0/0/1.10ipv6dhcpserveriot-pd```分厂1：```interfaceDialer1ipv6dhcpclientpdiot-prefix!ipv6localpoolvlan-pool2001:db8:dead:1000::/5664!interfaceVlan10ipv6addressprefix-from-poolvlan-pool0```1.6NAT64```nat64prefixstateless2001:db8:beef:1::/96nat64v4poolcamera0000nat64statictcp0080802001:db8:beef::1008080!interfaceGigabitEthernet0/0/0nat64enable!shownat64statisticstcpdump-iany"ip6anddsthost2001:db8:beef:1::10"```1.7GREoverIPSec```cryptoikev2proposalprop1encryptionaes-gcm-256prfsha384group20!cryptoikev2policypol1proposalprop1!cryptoipsecprofileprof1setikev2prop1setsecurity-associationlifetime3600!interfaceTunnel0ipv6address2001:db8:cafe:ffff::1/64tunnelsourcetunneldestinationtunnelprotectionipsecprofileprof1```1.8AC双机热备```vrrp-e1address-familyipv6virtual-ip2001:db8:cafe:ac::1priority120preemptdelay5track1interfaceGigabitEthernet0/0/0decrement30!capwapheartbeatinterval3capwapfailoverrestorenever```1.9运维网隔离```ipv6access-listmgmt-inseq10permitipv62001:db8:cafe:99::/64host2001:db8:9999::100ipv6access-listmgmt-inseq20permitipv62001:db8:cafe:99::/64host2001:db8:9999::101ipv6access-listmgmt-inseq30denyipv6anyanylog!vrfdefinitionMGMTrd65001:99route-targetexport65001:99route-targetimport65001:99!interfaceVlan99vrfforwardingMGMT```1.10SSH与AAA```aaanew-modelaaaauthenticationlogindefaultgrouptacacs+localaaaauthorizationexecdefaultgrouptacacs+localaaaaccountingcommands0defaultstart-stopgrouptacacs+!tacacsservert1addressipv62001:db8:9999::102key0Tac@2025#!ipsshversion2ipsshauthentication-retries3ipsshlockout900!bannerlogin^AuthorizedOnly^```2.1排错思路①在分厂2路由器showipv6route2001:db8:cloud::/48②在总部边界showbgpipv6unicast2001:db8:beef:1::/96③抓包看ICMPv6Code5源地址④检查OSPFv3LSA是否携带NAT64前缀⑤检查分厂2是否学到该前缀2.2修复```routerospfv31address-familyipv6unicastredistributenat64prefix2001:db8:beef:1::/96metric10metric-type1```验证：showipv6ospfdatabaseprefix2001:db8:beef:1::/962.3解释总部边界路由器本地生成NAT64路由，内核表命中；分厂2需通过OSPFv3学习，缺失则转发面丢包。2.4Telemetry```sensor-groupnat64pathCisco-IOS-XE-nat-oper:nat/nat64/statisticspathCisco-IOS-XE-nat-oper:nat/nat64/pool/name!subscription1sensor-groupnat64sample-interval1000destinationgrpc2001:db8:9999::10057000!PromQL:nat64_pool_usage>90```3.1缓存分析```showplatformhardwareqfpactiveinfrastructureqdropmicroburst-detectorinterfaceTenGigabitEthernet1/0/5interval1000showbufferprofilequeue5histogram```3.2调优```policy-mapqosclassac-trafficsetdscpefbandwidthpercent30queue-limit200ms!interfaceTenGigabitEthernet1/0/5service-policyoutputqos```3.3验证```showpolicy-mapinterfaceTenGigabitEthernet1/0/5|iTailDrop```4.1流量特征源地址伪造，UDP，长度64B，响应512B，放大因子8。4.2ACL```ipv6access-listdns-ratepermitudpanyeq53any