2022年上半年网络工程师下午真题（含答案解析）

2022年上半年网络工程师下午真题（含答案解析）考试时长：150分钟满分：75分题型：案例分析题（共5道大题）试题一（20分）【说明】某分支机构网络拓扑如图1-1所示，该网络通过BGP接收总部网络路由，设备1与设备2作为该网络的网关设备，运行VRRP虚拟冗余网关协议，同时与出口设备运行OSPF路由协议。网络规划两个业务网段：/24、/24。其中网段仅可访问总部内网，网段仅可访问互联网。【问题1】（4分）分支机构包含营销部、市场部、生产部、人事部四个部门，各部门互联网接入主机数量需求如下，需对/24进行精细化子网划分，补全下表空缺内容。部门主机数量子网网段子网掩码营销部120（1）28市场部5028（2）生产部25（3）24人事部1008（4）【问题2】（8分）为避免局域网二层环路，交换机需配置（5）协议。BGP路由生成包含network与import两种方式，选择下列描述正确的选项（6）、（7）、（8）。备选答案：A.Network方式逐条精确匹配路由B.Network方式优先级高C.Import方式按协议类型引入路由D.Import方式逐条精确匹配路由E.Network方式按协议类型引入路由F.Import方式优先级高【问题3】（4分）默认设备1为VRRPMaster（活动状态）、设备2为Backup（备用状态）。请说明何种链路故障会导致设备2状态切换，并阐述切换原因。【问题4】（4分）当分支机构与总部专线链路中断时，在保障数据传输安全的前提下，说明分支机构客户端、总部防火墙分别采用何种技术实现内网访问。【试题一参考答案及解析】问题1答案（1）（2）92（3）24（4）40解析：基于主机数量按需划分子网，遵循最小网段匹配原则。120台主机需/25网段，50台主机需/26网段，25台主机需/27网段，10台主机需/28网段。问题2答案（5）STP（生成树协议）（6）A（7）B（8）C（6、7、8答案顺序可互换）解析：STP协议用于消除二层交换网络环路；BGP中network为精确匹配路由、内部路由优先级10，import为按协议批量引入路由、外部路由优先级150。问题3答案故障链路：设备1与设备2之间的VRRP心跳链路（LinkE）。切换原因：VRRP备用设备默认周期性监听Master设备的协议报文，当心跳链路中断，设备2无法接收设备1的VRRP通告报文，判定主设备故障，自动升级为Master主设备。问题4答案客户端：SSLVPN；防火墙端：IPSecVPN解析：SSLVPN适用于终端客户端远程接入，无需固定公网IP；IPSecVPN适用于网关之间的站点对站点加密隧道，保障专线中断后的跨网安全传输。试题二（20分）【说明】某公司网络运行过程中出现网络攻击、终端地址异常、非法接入、存储冗余等问题，需通过设备配置与安全策略优化解决故障。【问题1】（6分）管理员查看防火墙日志，发现大量ACKFlood异常报文，服务器访问卡顿严重。该攻击类型为（1），该类攻击常见方式包含（2）、（3）。备选答案：A.ARPB.蜜罐C.DDoSD.SQL注入E.IP地址欺骗F.ICMPfloodG.UDPflood【问题2】（8分）10层用户上网时断时续，终端获取到非法/24网段地址，排查为用户私接路由器导致非法DHCP服务。在接入交换机开启（4）功能可拦截非法DHCP报文；开启（5）功能可防止终端伪造MAC地址攻击网关。备选答案：A.ARPdetectionB.DHCPC.DHCPRelayD.DHCPSnooping为限制端口非法终端接入，配置端口安全命令补全：interfaceGigabitEthernet0/0/1port-security（6）port-security-mac-nummac-number（7）【问题3】（6分）公司数据库、ERP业务采用SSD硬盘+RAID5冗余架构保障数据安全。RAID5通过（8）机制实现数据冗余，单组RAID5最少需要（9）块物理硬盘。【试题二参考答案及解析】问题1答案：（1）C（2）F（3）G解析：ACKFlood属于DDoS分布式拒绝服务攻击，主流DDoS攻击类型包含ICMPFlood、UDPFlood、SYNFlood等。问题2答案：（4）D（5）A（6）enable（7）1解析：DHCPSnooping过滤非法DHCP服务器报文，解决私接路由器地址乱序问题；ARPDetection校验ARP报文合法性，防范网关仿冒攻击；port-securityenable开启端口安全，限制单端口仅学习1个MAC地址，杜绝多终端非法接入。问题3答案：（8）奇偶校验分布式存储（9）3解析：RAID5将数据与奇偶校验信息分散存储在不同磁盘，任意单块磁盘故障不影响数据完整性，最小磁盘数量为3块。试题三（15分）【说明】某企业出口部署双ISP链路，通过流策略实现流量智能分流：语音、视频流量优选ISP1链路、ISP2备份；HTTP、FTP流量优选ISP2链路、ISP1备份。路由器R1相关配置如下，补全配置命令空缺内容。【问题】（15分）1、配置流分类，匹配对应业务流量[R1]trafficclassifiervideo[R1-classifier-video]if-matchacl2000//匹配音视频流量[R1-classifier-video]quit[R1]trafficclassifierweb[R1-classifier-web]if-matchacl3000//匹配网页、FTP流量[R1-classifier-web]quit2、配置流行为，配置链路重定向[R1]trafficbehaviorb1[R1-behavior-b1]redirectip-nexthop（1）//ISP1下一跳地址[R1-behavior-b1]quit[R1]trafficbehaviorb2[R1-behavior-b2]redirectip-nexthop（2）//ISP2下一跳地址[R1-behavior-b2]quit3、配置流策略并在接口应用[R1]trafficpolicyp1[R1-trafficpolicy-p1]classifiervideobehaviorb1[R1-trafficpolicy-p1]classifierwebbehavior（3）[R1-trafficpolicy-p1]quit[R1]interfaceGigabitEthernet0/0/0[R1-GigabitEthernet0/0/0]traffic-policyp1（4）//指定流量应用方向[R1-GigabitEthernet0/0/0]quit【试题三参考答案及解析】（1）（2）（3）b2（4）inbound解析：根据业务分流策略，视频流量绑定b1行为指向ISP1，网页流量绑定b2行为指向ISP2；流策略需在内网入接口inbound方向生效，对进入设备的流量进行策略调度。试题四（10分）【说明】总部路由器R2配置静态路由+NQA联动功能，实现主备链路自动切换，通过ICMP检测链路连通性，主链路故障时自动切换至备份链路。【问题】（10分）补全NQA检测及静态路由联动配置命令：1、配置ISP1链路NQA检测[R2]nqatest-instanceadminisp1[R2-nqa-admin-isp1]test-type（1）//指定ICMP检测类型[R2-nqa-admin-isp1]destination-addressipv4[R2-nqa-admin-isp1]frequency10//检测周期10秒[R2-nqa-admin-isp1]startnow2、配置ISP2链路NQA检测[R2]nqatest-instanceadminisp2[R2-nqa-admin-isp2]test-typeicmp[R2-nqa-admin-isp2]destination-addressipv4[R2-nqa-admin-isp2]frequency10[R2-nqa-admin-isp2]startnow3、配置静态路由与NQA联动[R2]iproute-statictrack（2）//绑定ISP1检测实例[R2]iproute-staticpreference70//备份链路，降低优先级【试题四参考答案及解析】（1）icmp（2）adminisp1解析：NQA通过test-typeicmp开启网络连通性检测；静态路由绑定对应NQA检测实例，主链路检测失效后，高优先级静态路由失效，自动启用低优先级备份路由，实现链路冗余切换。试题五（10分）【说明】无线网络WEP加密为早期无线安全加密机制，广泛应用于老旧无线设备，存在固定密钥长度规范，同时存在明显安全漏洞。【问题】（10分）1、WEP加密机制的共享密钥模式中，标准密钥长度包含哪两种？（4分）2、简述WEP协议主要安全缺陷，以及当前主流的无线加密替代方