2025年网络工程师(中级软考)下午案例分析试题与答案

2025年最新网络工程师(中级软考)下午案例分析试题与答案试题一某大型企业“未来科技集团”正在进行数字化转型，计划将其总部与三个主要分公司通过广域网互联，并全面升级内部网络以支持IPv6业务。该网络拓扑结构包含核心层、汇聚层和接入层。核心层采用两台高性能路由器（Core-R1和Core-R2）作为双核心，通过OSPFv3实现IPv6路由互通，同时运行OSPFv2实现IPv4路由互通。为了保障高可用性，核心层之间运行VRRPv3协议。网络规划中，总部IPv6网络前缀为2001:DB8:1::/48，分公司A、B、C的前缀分别为2001:DB8:2::/48、2001:DB8:3::/48、2001:DB8:4::/48。在配置过程中，网络工程师小王负责Core-R1的配置。他在配置OSPFv3时，将RouterID设置为，进程号为100。在配置VRRPv3时，虚拟IPv6地址为2001:DB8:1::FE，Core-R1设置为Master，优先级为120，抢占模式开启。请根据以上场景，回答以下问题：【问题1】（8分）在IPv6地址配置中，Core-R1的G0/0接口连接总部核心交换机，该接口属于VLAN10（网段为2001:DB8:1:10::/64）。若要求该接口的IPv6地址为该网段的第一个可用地址，请写出该接口的完整IPv6地址。如果使用EUI-64格式自动生成接口ID，假设MAC地址为00-11-22-33-44-55，请写出自动生成的接口ID部分（十六进制表示）。【问题2】（8分）在OSPFv3配置中，若Core-R1的G0/1接口连接分公司A，所在网段为2001:DB8:2:1::/64。请写出在OSPFv3进程100中，将该网段宣告进入Area0的配置命令（以Cisco设备语法为例）。OSPFv3与OSPFv2在建立邻居关系时，RouterID的作用有何异同？【问题3】（5分）VRRPv3组号为10，Core-R1配置为Master。若Core-R1的G0/2接口（连接内网网关）的VRRPv3优先级配置为120，Core-R2配置为默认优先级。当Core-R1正常工作时，虚拟MAC地址的格式是怎样的？请用公式或文字描述VRRP虚拟MAC地址的构成规则。如果Core-R1的G0/2接口Down掉，VRRP状态将发生什么变化？【问题4】（4分）为了优化路由，网络中启用了路由汇总。Core-R1需要将分公司A（2001:DB8:2::/48）和分公司B（2001:DB8:3::/48）的路由汇总后发送给总部核心。请写出汇总后的IPv6网络前缀。试题二某高校校园网近期进行了升级改造，引入了SDN（软件定义网络）理念进行流量监控，并部署了IPv4/IPv6双栈环境。网络中心部署了两台核心交换机（SW-Core-A和SW-Core-B）作为VRRP网关，下联多台接入交换机。为了防止环路，网络中运行了MSTP（多生成树协议）。同时，为了保障服务器区的安全，部署了防火墙并配置了ACL（访问控制列表）。网络拓扑描述如下：1.SW-Core-A和SW-Core-B之间通过两条10G光纤互联，运行LACP（链路聚合控制协议）。2.接入交换机SW-Access-1连接学生宿舍VLAN20和VLAN30。3.MSTP配置中，实例1映射VLAN10,20；实例2映射VLAN30,40。SW-Core-A是实例1的根桥，SW-Core-B是实例2的根桥。4.防火墙位于服务器区前端，配置了策略允许内网访问Web服务器（TCP80），禁止访问数据库服务器（TCP3306）。【问题1】（7分）在MSTP配置中，为了保证SW-Core-A在实例1中成为根桥，SW-Core-B在实例2中成为根桥，需要配置哪些关键参数？请分别写出SW-Core-A和SW-Core-B上关于MSTP配置的关键命令（以华为设备语法为例）。如果SW-Core-A和SW-Core-B的优先级配置相同，MAC地址小的设备将成为根桥，此时实例1和实例2的根桥角色可能会发生什么冲突？【问题2】（8分）LACP模式也称为模式4，它通过LACPDU报文进行协商。假设SW-Core-A与SW-Core-B之间的Eth-Trunk1包含接口G1/0/1和G1/0/2。请解释LACP中Active（主动）模式和Passive（被动）模式的区别。若SW-Core-A配置为Active，SW-Core-B配置为Passive，链路聚合能否成功建立？为什么？【问题3】（6分）防火墙配置ACL时，规则的匹配顺序非常重要。假设规则列表如下：Rule1:permittcpsource55destination00destination-porteq80Rule2:denytcpsourceanydestinationanydestination-porteq3306Rule3:permitipsourceanydestinationany若HostA（IP:）试图访问数据库服务器（IP:0，端口3306），请根据上述规则判断该数据包是否被放行，并说明理由。如果要精确禁止HostA访问该数据库服务器，且不影响其他主机访问该服务器的Web服务，应该如何优化规则？【问题4】（4分）在IPv6过渡技术中，校园网内部采用了双栈技术，但在出口路由器与ISP之间采用了DS-Lite（Dual-StackLite）技术。请简述DS-Lite技术的基本原理，并指出其中涉及的两种关键组件（隧道端点）的名称。试题三某企业分支机构网络通过IPsecVPN与总部互联。总部出口防火墙作为IPsecVPN网关，分支出口路由器作为客户端。网络采用IKEv2协议建立安全联盟（SA），加密算法选用AES-256，完整性算法选用SHA-256，认证方式使用预共享密钥。网络环境如下：总部内网：/16分支内网：/24总部公网IP：分支公网IP：【问题1】（6分）IPsecVPN包含两个主要协议：AH和ESP。在该企业场景中，使用了ESP协议。请说明ESP协议相对于AH协议的优势（至少两点）。ESP协议在传输模式和隧道模式下的封装结构有何主要区别？【问题2】（8分）IKEv2协商分为两个阶段：IKE_SA_INIT和IKE_AUTH。请简述这两个阶段各自的主要作用。在配置预共享密钥时，通常需要指定该密钥对应的对端IP地址或ID。如果分支路由器的公网IP地址是动态变化的（如通过PPPoE拨号获取），在配置总部防火墙时，应如何设置对端ID参数以适应动态IP？【问题3】（6分）在配置IPsec感兴趣流时，需要定义保护的数据流。请写出在总部防火墙上配置的ACL规则（以通用的源/目的网段表示），用于匹配从总部发往分支的数据流。对应的，分支路由器上的ACL规则应如何配置？【问题4】（5分）NAT-Traversal（NAT-T）机制用于解决IPsecVPN穿越NAT设备的问题。NAT-T通过UDP封装ESP报文。请写出NAT-T默认使用的UDP端口号。IKE协商过程中，如何发现路径上存在NAT设备？试题四某公司搭建了一套企业级邮件系统和Web网站。邮件服务器基于Linux系统，使用Postfix和Dovecot服务；Web服务器基于WindowsServer2019，使用IIS。DNS服务器负责解析域名。为了提高网络安全性，管理员在Linux服务器上配置了iptables防火墙规则，并在Windows服务器上配置了IIS的请求筛选和SSL绑定。【问题1】（7分）管理员在Linux邮件服务器上配置iptables，要求：1.允许本机回环接口通信。2.允许已建立的连接和相关连接通过。3.允许外部网络访问SMTP（25端口）和IMAPS（993端口）。4.允许内部网段（/16）访问SSH（22端口）。5.拒绝所有其他入站连接。请写出满足上述要求的iptables规则（按顺序列出）。【问题2】（6分）在WindowsWeb服务器上，管理员配置了HTTPS服务。SSL证书是验证服务器身份的关键。请简述在IIS中导入SSL证书并绑定到网站的主要步骤。如果用户访问网站时浏览器提示“证书错误”或“证书不受信任”，可能的原因有哪些？（至少列举两点）【问题3】（7分）DNS服务器上配置了该公司的邮件域名。假设邮件域名为example，邮件服务器的主机名为mail.example，IP地址为。为了确保邮件能正确接收和发送，需要在DNS区域文件中配置哪些资源记录？（请写出记录类型和具体内容）。SPF（SenderPolicyFramework）记录的作用是什么？【问题4】（5分）为了防止Web服务器遭受SQL注入攻击，管理员在IIS“请求筛选”功能中进行了配置。此外，还计划部署WAF（Web应用防火墙）。请简述WAF的主要工作原理，并列举两种WAF常见的检测技术。试题一答案与解析【问题1】答案：（1）接口的完整IPv6地址：2001:DB8:1:10::1（2）自动生成的接口ID：0211:22FF:FE33:4455解析：（1）IPv6地址2001:DB8:1:10::/64表示前64位为网络前缀，后64位为主机位。第一个可用地址通常将主机位全置为0（即::0），但在配置中常写作::1或::0，题目要求第一个可用地址，通常指地址加1，即::1。但在RFC规范中，子网路由器任播地址通常为::0，主机地址从::1开始。这里按主机地址::1作答。（2）EUI-64格式是将MAC地址（48位）转换为64位接口ID。转换规则为：在MAC地址的前24位（OUI）和后24位（NIC）之间插入FFFE（16位），并翻转U/L位（Universal/Local，即第7位）。MAC地址：00-11-22-33-44-55二进制：00000000-00010001-00100010...插入FFFE：00000000-00010001-00100010-11111111-11111110-00110011-01000100-01010101翻转U/L位（原MAC第一字节00，二进制00000000，第7位是0，翻转为1）：第一字节后：00000010->十六进制02结果：0211:22FF:FE33:4455【问题2】答案：（1）配置命令：```interfaceGigabitEthernet0/1ipv6address2001:DB8:2:1::1/64!ipv6routerospf100router-idarea0ipv6enableinterfaceGigabitEthernet0/1```或者简写为在接口下启用：`ipv6ospf100area0`（2）RouterID的作用：相同点：在OSPFv2和OSPFv3中，RouterID都用于在AS（自治系统）内唯一标识一台路由器，邻居关系的建立依赖于RouterID，且无论在IPv4还是IPv6环境中，RouterID本身都是一个32位的IPv4地址格式的数值。不同点：OSPFv2在路由器启动时如果没有配置RouterID，会自动从活跃的IPv4接口中选取最大的IP地址作为RouterID。而OSPFv3虽然也使用32位RouterID，但它并不依赖于接口的IPv4地址来选取，即使没有配置IPv4地址，也必须手动配置RouterID（或通过环回接口的IPv4地址模拟），因为OSPFv3链路本地通信不依赖IPv4，但RouterID依然是OSPF协议运行的必要标识。【问题3】答案：（1）虚拟MAC地址格式：00-00-5E-00-01-0A（注：0A为十进制10的十六进制表示）（2）构成规则：VRRP虚拟MAC地址前缀固定为00-00-5E-00-01，后一个字节为VRRP组号（VRID）。公式可表示为：=00（3）状态变化：当Core-R1的G0/2接口Down掉，Core-R1的VRRP状态将从Master切换为Initialize或Backup（取决于接口状态），并停止发送VRRP通告报文。Core-R2在等待Master_Down_Interval定时器超时后，由于自身优先级较高（默认100，高于失效的R1，或者成为唯一的候选），将从Backup状态切换为Master状态，接管虚拟IP和虚拟MAC的流量转发。【问题4】答案：汇总后的IPv6网络前缀：2001:DB8:2::/47解析：分公司A：2001:DB8:2::/48，二进制第三字节：00000010分公司B：2001:DB8:3::/48，二进制第三字节：00000011对比可知，前47位（2001:DB8:2::/47的前47位）是相同的，第48位开始不同。2001:DB8:2::/48的范围是2001:DB8:2:0::到2001:DB8:2:FFFF:FFFF:FFFF:FFFF:FFFF2001:DB8:3::/48的范围是2001:DB8:3:0::到2001:DB8:3:FFFF:FFFF:FFFF:FFFF:FFFF汇总时，将共同位保留，不同位归0。2001:DB8:2::/47包含了2::和3::两个/48网段。计算公式：汇总掩码位数=48-\log_2(2)=47。地址：2001:DB8:2::/47。试题二答案与解析【问题1】答案：（1）关键配置命令：SW-Core-A:```stpmodemstpstpinstance1priority4096stpinstance2priority61440```SW-Core-B:```stpmodemstpstpinstance1priority61440stpinstance2priority4096```（2）冲突：如果优先级相同，MAC地址小的设备将成为所有实例的根桥。这将导致SW-Core-A同时成为实例1和实例2的根桥。虽然这能避免环路，但会导致流量负载分担失败（所有VLAN流量都经过SW-Core-A转发），无法实现基于VLAN的负载均衡，SW-Core-B的带宽资源被闲置。解析：MSTP（多生成树）通过将不同VLAN映射到不同的实例，可以实现不同实例的根桥不同，从而实现负载均衡。默认优先级为32768，数值越小优先级越高。通常将根桥优先级设为4096，备份根桥设为8192或61440。【问题2】答案：（1）区别：Active模式：接口主动发送LACPDU报文，并响应对端的LACPDU报文。它试图主动建立链路聚合。Passive模式：接口不主动发送LACPDU报文，只响应对端发来的LACPDU报文。它处于被动等待状态。（2）能否建立：可以。原因：LACP协商只要有一端处于Active模式，就能主动发起报文交互。Passive端收到报文后会进行响应并进入协商状态。只有当两端都配置为Passive模式时，聚合链路才无法建立。【问题3】答案：（1）判断：该数据包被放行（允许通过）。理由：ACL规则是自上而下匹配的。Rule1检查是否访问Web服务器（端口80），HostA访问的是端口3306，不匹配。Rule2检查是否访问端口3306，源地址是any，目的地址是any。HostA访问端口3306，匹配Rule2。但是！仔细看Rule2，``destination00``...题目中Rule2写的是`destinationany`。Wait,letmere-readtheprovidedrulesinthequestioncarefully.Rule2:denytcpsourceanydestinationanydestination-porteq3306HostA访问0:3306。匹配Rule2。动作是deny。所以，数据包被拒绝。(自我修正：题目中Rule2的destination是any，所以所有访问3306的流量都会被拦截)。（2）优化规则：将Rule2修改为更精确的规则，或者插入新规则。如果要禁止HostA访问数据库，但允许其他主机访问，且不干扰Web（80）：可以将Rule2改为：Rule2:denytcpsourcedestination00destination-porteq3306同时，必须确保后面有一条允许其他主机访问数据库的规则（如果业务需要）。或者，如果原意是只允许HostA访问Web，禁止访问数据库，允许其他所有：Rule1:permittcpsource0destination00eq80Rule2:denytcpsource0destination00eq3306Rule3:permitipsourceanydestinationany(注：题目问的是“禁止HostA访问该数据库服务器”，所以Rule2需精确匹配HostA的IP和数据库服务器IP)。【问题4】答案：（1）DS-Lite基本原理：DS-Lite（Dual-StackLite）是一种IPv6过渡技术，旨在解决IPv4地址短缺问题。它允许IPv4-over-IPv6隧道传输。基本思路是：用户侧（CPE）仅分配IPv6地址，内部网络使用私有IPv4地址。CPE将用户的IPv4数据包封装在IPv6数据包中，通过运营商的IPv6网络发送到运营商网络的AFTR（地址族转换路由器）。AFTR解封装数据包，并执行NAT44，将私有IPv4地址转换为公网IPv4地址访问IPv4互联网。（2）关键组件：1.B4（BasicBridgingBroadBand）：基本桥接宽带网关，位于用户侧，负责建立隧道和封装IPv4报文。2.AFTR（AddressFamilyTransitionRouter）：地址族转换路由器，位于运营商侧，负责解封装和NAT转换。试题三答案与解析【问题1】答案：（1）ESP相对于AH的优势：1.提供机密性（数据加密）：AH不加密数据，只提供完整性校验；ESP可以加密IP载荷，保护数据内容。2.提供数据完整性认证和加密：ESP虽然不认证IP头（除隧道模式外），但提供了更灵活的安全服务组合（加密+认证）。（2）区别：传输模式：不封装原始IP头，将ESP头插入原IP头和上层协议头之间。用于端到端通信。隧道模式：将原始IP数据包作为载荷，在其前面添加新的IP头和ESP头。用于网关到网关的通信（如VPN）。【问题2】答案：（1）IKEv2两个阶段的作用：IKE_SA_INIT（初始交换）：协商加密算法、完整性算法、Diffie-Hellman组等安全参数，并交换Nonce值，生成用于后续协商的密钥材料（IKESA）。IKE_AUTH（认证交换）：进行身份认证（如预共享密钥、数字证书），验证双方身份，并协商建立第一个子SA（ChildSA），用于保护实际的数据流。（2）适应动态IP的配置：在总部防火墙配置对端ID时，不应指定固定的IP地址（除外），而应将ID类型设置为DN（域名）或FQDN，或者使用any（如果设备支持），并配置匹配任意对端地址的策略。通常配置为将PeerID设置为分支路由器的ID字符串（如用户名或字符串），在分支路由器发起连接时携带该ID，总部防火墙根据ID查找对应的预共享密钥，而不依赖IP地址。【问题3】答案：（1）总部防火墙ACL（保护流：总部->分支）：```access-list100permitip5555```（2）分支路由器ACL（保护流：分支->总部）：```access-list100permitip5555```解析：IPsecVPN是双向的，感兴趣流（ACL）必须镜像对称，即一端的源必须是另一端的目的。【问题4】答案：（1）NAT-T默认UDP端口：4500（2）发现NAT设备的方法：在IKE协商（特别是IKEv1的MainMode或IKEv2的IKE_SA_INIT）过程中，双方会在发送的报文中包含源IP和端口。接收方收到报文后，将报文中的源IP/端口与实际接收到的报文源IP/端口进行比较。如果不同，则说明路径上存在NAT设备。随后双方会切换到使用UDP4500端口进行封装通信。试题四答案与解析【问题1】答案：iptables规则（假设默认策略为ACCEPT，需按顺序添加限制）：```iptables-AINPUT-ilolo-jACCEPTiptables-AINPUT-mstate--stateESTABLISHED,RELATED-jACCEPTiptables-AINPUT-ptcp--dport25-jACCEPTiptables-AINPUT-ptcp--dport993-jACCEPTiptables-AINPUT-ptcp-s/16--dport22-jACCEPTiptables-PINPUTDROP```或者（如果默认策略是DROP，最后一条可省略，但通常显式拒绝）：```iptables-AINPUT-jDROP```解析：1.允许回环：`-AINPUT-ilo-jACCEPT`2.允许回包：`-AINPUT-mstate--stateESTABLISHED,RELATED-jACCEPT`3.允许SMTP(25)和IMAPS(993)：`-