2025年6月网络工程师(软考中级)下午场模拟题与答案

2025年6月网络工程师(软考中级)下午场模拟题与答案一、某公司计划搭建一个跨地域的企业网络，总部位于北京，在上海和广州设有分支机构。公司要求实现总部与分支机构的互联互通，并确保数据的安全性和传输效率。网络拓扑规划如下：总部采用双核心交换机，通过两条不同运营商的线路分别连接到上海和广州分支机构。分支机构通过单台核心交换机接入。请根据上述描述，回答下列问题。1.为实现总部与分支机构的互联，可以采用哪些广域网技术？请至少列举三种，并简述其特点。2.为保障跨地域数据传输的安全性，应在网络哪些位置部署何种安全设备或采用何种安全技术？请至少说明三处。3.若上海分支机构需要访问总部内网服务器资源，同时要防止来自互联网的非法访问，请设计一种访问控制方案，并说明其工作原理。答案与解析：1.可采用的广域网技术：IPSecVPN：通过公共互联网建立加密隧道，成本较低，灵活性高，能提供数据加密和完整性保护。MPLSVPN：由运营商提供，基于多协议标签交换技术，提供稳定的虚拟专用网络，具有服务质量(QoS)保证，但成本较高。SD-WAN：软件定义广域网，能够智能管理多条广域网链路（如MPLS、互联网宽带），实现负载均衡、链路冗余和集中策略管理，提升灵活性和效率。2.需部署安全设备或技术的节点：总部与分支机构互联边界：部署防火墙，配置站点到站点IPSecVPN，对传输数据进行加密和认证。总部互联网出口：部署下一代防火墙(NGFW)或统一威胁管理(UTM)设备，集成入侵防御(IPS)、防病毒、应用控制等功能。各机构内部网络核心：部署入侵检测系统(IDS)/入侵防御系统(IPS)，监控内部网络异常流量和攻击行为。（或答）远程访问入口：部署SSLVPN网关，为移动办公人员提供安全的加密访问通道。3.访问控制方案设计：方案：采用基于防火墙的访问控制策略，结合身份认证。工作原理：在上海分支机构的网络出口或核心交换机上，配置访问控制列表(ACL)或策略路由，确保访问总部服务器的流量通过IPSecVPN隧道传输。在总部网络边界的防火墙上，设置严格的访问控制策略。仅允许来自上海分支机构VPN网关公网IP地址的、且目的端口为特定服务（如HTTP/HTTPS、SSH）的流量访问内部服务器。可进一步在服务器前端部署应用防火墙(WAF)，或对访问用户进行身份认证（如802.1X、Radius认证），实现用户级访问控制。这样，即使VPN隧道建立，非法用户或未授权流量也无法访问总部服务器资源。二、某企业网络管理员发现核心交换机CPU利用率间歇性达到90%以上，同时网络中出现大量TCP连接超时和丢包现象。通过抓包分析，发现存在大量源IP地址变化、目的IP地址为服务器段的SYN请求报文。请分析并回答以下问题。1.根据现象描述，网络可能遭受了哪种类型的攻击？这种攻击的原理是什么？2.除了监控CPU利用率，请列举三种可以辅助判断此类攻击的网络监控指标或日志信息。3.请给出两种在交换机或防火墙上可以实施的、用于缓解或阻止此类攻击的具体配置思路或技术手段。答案与解析：1.攻击类型与原理：攻击类型：SYNFlood攻击（一种拒绝服务攻击）。攻击原理：攻击者伪造大量源IP地址，向目标服务器发送大量的TCPSYN连接请求报文。服务器收到SYN报文后，会分配资源并回复SYN-ACK报文，等待客户端的ACK报文以完成三次握手。由于源IP是伪造的，服务器永远收不到ACK报文，导致大量的半连接耗尽服务器的连接资源，从而使服务器无法为正常用户提供服务。2.辅助判断的监控指标：网络流量图：观察特定目的IP（服务器）的入站流量是否出现异常尖峰。防火墙或IPS日志：检查是否有大量来自不同源IP、发往同一目的IP端口的SYN报文被记录或阻断。交换机端口计数器：检查连接服务器的交换机端口入方向错误帧计数、广播/组播包计数是否异常增高。Netflow/sFlow分析：分析流量样本，发现是否存在大量源IP不同、目的IP和端口固定、协议为TCP且仅有SYN标志的流量。3.缓解或阻止措施：在防火墙上配置：启用TCPSYNFlood防御功能。该功能可以代理TCP三次握手，验证连接真实性，或设置SYN报文速率阈值，超过阈值的SYN报文将被丢弃。配置访问控制策略，限制单位时间内从同一源IP发起的到服务器特定端口的SYN连接数。在交换机上配置（如果支持）：启用基于端口的流量控制或风暴控制，限制进入服务器端口的未知单播或广播流量速率。配置访问控制列表(ACL)，丢弃明显非法的源IP地址段（如私有地址、广播地址）发往服务器的SYN报文。但此方法对伪造公网IP的攻击效果有限。三、某园区网络采用OSPF作为内部路由协议，Area0为骨干区域，Area1和Area2通过ABR（区域边界路由器）与Area0相连。网络拓扑稳定运行一段时间后，管理员发现Area1中的部分主机无法访问Area2中的一台服务器，但Area0中的设备可以正常访问该服务器。请分析故障原因并回答以下问题。1.导致该故障的可能原因有哪些？请至少列出三种。2.如何通过命令行工具逐步定位该故障？请写出主要的检查步骤和使用的命令（以华为设备为例）。3.如果故障原因是ABR路由器上关于Area2的Type-3LSA（SummaryLSA）生成或传递有问题，请解释Type-3LSA的作用，并说明ABR在何种情况下不会生成或传播特定网络的Type-3LSA。答案与解析：1.可能原因：ABR配置问题：连接Area1和Area0的ABR路由器，未将Area2的路由以Type-3LSA的形式正确通告到Area1。区域间路由过滤：在ABR上配置了区域间路由汇总或过滤策略，错误地过滤掉了通往Area2中服务器网段的路由。Area1内部路由问题：Area1内访问Area2的流量，其下一跳指向的ABR路由器接口或链路存在故障（如接口down、ACL阻断），但OSPF邻接关系可能依然保持，导致路由表虽有条目但实际不可达。Area2的ABR问题：连接Area2和Area0的ABR路由器，未能将服务器所在网段的路由正确通告到Area0。2.故障定位步骤与命令：步骤1：在Area1中无法访问服务器的主机上，使用`tracert`（Windows）或`traceroute`（Linux）命令，确定流量在何处中断。步骤2：登录中断点前一跳设备（很可能是Area1的ABR），检查路由表。`displayiprouting-table`查看是否有到达服务器网段的路由，确认下一跳和出接口。步骤3：在Area1的ABR上，检查OSPF链路状态数据库和路由信息。`displayospflsdb`查看Area1的LSDB中，是否存在目的网段为服务器网段的Type-3LSA。`displayospfrouting`查看OSPF进程计算出的路由。步骤4：在Area0的ABR（连接Area2的）上，检查其是否生成了该服务器网段的Type-3LSA并通告到Area0。`displayospflsdbsummary`在Area0视图下查看相关Type-3LSA。步骤5：检查相关ABR上的OSPF区域配置和路由策略。`displayospfinterface`确认接口所属区域正确。`displayospfabr-asbr`确认路由器ABR身份。`displayroute-policy`检查是否应用了过滤或汇总策略。3.Type-3LSA作用与限制：作用：Type-3LSA（网络汇总LSA）由ABR产生，用于在OSPF区域之间传递路由信息。它将一个区域内的网络路由信息“汇总”后通告到其他区域，是实现区域间路由的关键。不会生成或传播的情况：网络被汇总：如果ABR上配置了区域间路由汇总（`areaxrange`），则明细路由不会被生成单独的Type-3LSA，而是以汇总后的路由生成一条Type-3LSA。网络被过滤：在ABR上通过路由策略（`filter-policyexport`或`areaxfilter`）过滤了某条路由，则不会为该路由生成Type-3LSA通告到其他区域。路由不存在：ABR本身没有通过OSPF学到该网段的路由（例如，该网段路由是通过其他协议引入的，但未重分发进OSPF，或引入时被过滤）。四、现需为一个新建数据中心规划服务器接入网络。要求支持高可用、高密度虚拟化服务器接入，并实现网络虚拟化以简化管理、提升资源利用率。请回答以下问题。1.在传统三层网络架构（接入-汇聚-核心）中，部署服务器时常会遇到哪些瓶颈或挑战？请列举两点。2.为满足上述需求，应采用哪种主流的网络架构或技术？请简述其核心思想和一个关键协议。3.在该新技术架构下，如何实现虚拟机(VM)在物理服务器间迁移时，其IP地址、MAC地址及网络策略保持不变？请描述其关键机制。答案与解析：1.传统架构的瓶颈：横向流量瓶颈：服务器间东西向流量需要上行至汇聚层甚至核心层交换机，增加了延迟和上行链路负载，容易形成瓶颈。网络策略僵化：网络策略（ACL、QoS）通常基于物理端口或IP网段配置。当虚拟机迁移时，其关联的网络策略需要手动重新配置，难以实现自动化，管理复杂。生成树协议限制：为避免环路，通常会阻塞冗余链路，导致链路利用率不足，且收敛速度较慢，影响高可用性。2.应采用的主流架构与技术：架构/技术：软件定义网络(SDN)或基于VXLAN的Overlay网络。核心思想：解耦网络的控制平面与数据平面。控制平面集中化（SDN控制器），负责全局拓扑管理和策略下发；数据平面标准化（如OpenFlow交换机），只负责高速转发。或通过VXLAN等隧道技术，在现有IP网络上构建一个虚拟的二层网络，实现大二层扩展和网络虚拟化。关键协议：VXLAN（虚拟可扩展局域网）。它通过将原始二层以太网帧封装在UDP报文中，利用三层IP网络进行传输，从而突破VLAN数量限制（4096个）和地理范围限制，实现大规模、跨三层的二层网络互联。3.虚拟机迁移网络保持机制：关键机制：VXLAN+集中式网关+SDN控制器联动。描述：VXLAN提供扩展二层域：VXLAN网络标识符(VNI)隔离不同的逻辑网络。虚拟机位于同一个VXLAN段（同一VNI）内，其广播域被限定在该段内，迁移时只要新宿主机属于同一VNI，虚拟机就仍在同一逻辑二层网络。集中式网关处理跨子网路由：所有跨VXLAN段或访问外部的流量，都发送到集中式网关（通常部署在Spine节点或专用设备上）。网关持有所有虚拟机的ARP表项和路由信息。因此，无论虚拟机迁移到何处，其默认网关的IP和MAC地址（即集中式网关的虚拟地址）不变。SDN控制器同步信息：当虚拟机迁移时，虚拟化管理平台（如vCenter）会通知SDN控制器。控制器会更新网络中的转发信息：通知原宿主机所在的VTEP（VXLAN隧道终端），删除该虚拟机的MAC地址转发表项。通知新宿主机所在的VTEP，添加该虚拟机的MAC地址转发表项，并关联对应的VNI和本地接口。通知集中式网关，更新该虚拟机IP地址对应的VTEP地址（即新宿主机的VTEPIP）。这样，网络中的其他设备（包括网关和其他主机）在与此虚拟机通信时，数据包会被正确封装并发送到新的物理位置，从而实现IP、MAC及策略的无缝迁移。五、某公司申请到一个公有IP地址段/24。公司内部网络划分为市场部（60个终端）、研发部（120个终端）、财务部（25个终端）和服务器区（20个服务器）。要求通过NAT技术访问互联网，且服务器区的Web服务器（使用HTTP80端口和HTTPS443端口）需要对外提供服务。请完成以下设计。1.请为市场部、研发部、财务部和服务器区规划子网，给出每个子网的网络地址、子网掩码及可用IP地址范围（需节约地址，避免浪费）。2.为实现内部终端访问互联网，应在出口设备上配置何种NAT？请写出其基本原理。3.为实现外部用户访问内部的Web服务器，应在出口设备上配置何种NAT映射？请写出具体的配置思路（以将内网服务器00映射到公网IP0为例）。答案与解析：1.子网规划：研发部（120台）：需要至少126个可用地址（−2网络地址：/25子网掩码：28可用IP范围：-26市场部（60台）：需要至少62个可用地址（−2网络地址：28/26子网掩码：92可用IP范围：29-90服务器区（20台）：需要至少30个可用地址（−2网络地址：92/27子网掩码：24可用IP范围：93-22财务部（25台）：需要至少30个可用地址（−2网络地址：24/27子网掩码：24可用IP范围：25-54(注：此处使用/24作为示例内网段，实际规划需统一考虑。)2.内部终端上网的NAT类型及原理：类型：NAPT（网络地址端口转换，也称为PAT或NATOverload）。基本原理：出口路由器将内部所有主机的私有IP地址和端口号，映射到同一个或少量的公有IP地址