2021年下半年网络工程师下午案例分析真题答案完整版.docx

《2021年下半年网络工程师下午案例分析真题答案完整版.docx》由会员分享，可在线阅读，更多相关《2021年下半年网络工程师下午案例分析真题答案完整版.docx（27页珍藏版）》请在课桌文档上搜索。

1、1、阅读以下说明，回答问题1至问题3,将解答填入答题纸对应的解答栏内。【说明】一整网终六层同方某单位由于业务要求，在六层的大楼内同时部署有线和无线网络，楼外停车场部署无线网络。网络拓扑如图1-1所示。ISP【问题1】(8分)1.该网络规划中，相较于以旁路方式部署，将AC直连部署存在的问题是(1)相较于部署在核心层，将AC部署在接入层存在的问题是(2)。2 .在不增加网络设备的情况下，防止外网用户对本网络进行攻击，隐藏内部网NAT策略通常配置在(3)。备选答案：A.ACB.SwitchCRouter3 .某用户通过手机连接该网络的WIFI信号,使用WEB页面进行认证后上网，则该无线网络使用的认证

2、方式是(4)认证。备选答案：A.PPPoEB.PortalCjEEE802.1x1 .若停车场需要部署3个相邻的AP,在进行2.4GHz频段规划时，为避免信道重叠可以采用的信道是(5)备选答案：A.1、4、7B.1.6、9C.1、6、112 .若在大楼内相邻的办公室共用1台AP会造成信号衰减，造成信号衰减的是(6)备选答案A.调制方案B.传输距离C.设备老化D.障碍物3 .在网络规划中,对AP供电方式可以采取供电或DC电源适配器供电。4 .在不考虑其他因素的情况下，若室内AP区域信号场强-6OdBm,停车场AP区域的场强-7OdBm,则用户在(8)区域的上网体验好【问题3】(4分)在结构化布线

3、系统中，核心交换机到楼层交换机的布线通常称为(9),拟采用50/125微米多模光纤进行互连，使用100OBase-SX以太网标准，传输的最大距离约是(10)米。(9)备选答案：A.设备间子系统B.管理子系统C.干线子系统(IO)备选答案：A.100B,550C.5000【参考答案】【问题1】1.这种方案的缺点思寸AC的吞吐量和数据处理能力要求比较高，AC容易成为整个无线网络带宽的瓶颈。2、导致吞吐量下降3、C4、B【问题2】5、C6、D7、POE8、室内【问题一】1.AC为无线控制器，它的部署方式有两种，一种是直连部署，业务流经过AC。另一种是旁路部署，业务流不经过AC。因此如果将ACjS连部

4、署的话，可能会存在需要AC转发大St的业务流量，从而对AC的吞吐量和女h理能力要求I：匕较高，Ae容易成为整个无线网络带宽的脸.AC部署的位置可以在接入层，也可以在核心层，如果部署在接入层，由于接入层设备性能差，要同时处理业务雌流量及AC管理多台AP的管理流量，从而毂吞吐量下降，整个管理性能受影响.2 .NAT是网络地址转换技术，可实现私有地址和公有地址间的转换，通常部署在路由器上，可以实现隐藏内部网络。3 .Portal认证（也称为Web认证）可以以网页的形式为用户提供身份认证和个性化信息服务.【问题二】POE（PowerOverEthemet曲的是在现有的以太网CatM线基础架构不作任何改

5、动的情况下，在为TSIP的终端（如IP电话机、无线局域网接入点AP、网络摄像机等）传输雌信号的同时，还能为此类设备提供直流供电的技术.PoE也被称为基于局域网的供电系统.信号强度单位是dBm,是指发射信号强度到达接收点信号衰减的数值.正常信号强度是在4Odbm85dbm之间，数值越小信号就越好.因此，室内AP区域信号场强60dBm就好于停车场AP区域的场强0dBm.124GhZ的信道划分，互不干扰的信道号相差至少为5,因此C选项符合要求.4 .相邻的办公搂共用一台AP会造成信号衰减的主要原因是障碍物干扰。5 .对AP的供电方式可以采用PoE供电或DC电源适配器供电.6 .室内的信号比停车场的更

6、好，因而用户在室内区域的上网体验更好.三核心交换机在机房即设备间子系统，楼层交换机在管理子系统，而干线子系统就是将它们连接起来的布线系统.Ic）OOBASE-SX只能使用多模光纤，传输距离最多为550m.2、阅读以下说明，回答问题1至问题2,将解答填入答题纸对应的解答栏内。某企业内部局域网拓扑如图2-1所示,局域网内分为办公区和服务器区。办公区服务器区图2-1中，办公区域的业务网段为10.1.1.0/24z服务器区网段为10.2.1.0/24服务网段的网关均在防火墙上,网关分别对应为10.1.1.2541021.254;防火墙作为DHCP服务器,为办公区终端自动下发IP地址，并通过NAT实现用

7、户访问互联网。防火墙外网服务部IP地址为100.1.1.2/28,办公区用户出口IP地址池为100.1.1.10-：1.Oo.1.1.15。【问题1】(6分)防火墙常用工作模式有透明模式、路由模式、混合模式,图2-1中的出口防火墙工作于Q)模式：防火墙为办公区用户动态分配IP地址,需在防火墙完成开启(2)功能：Server2为WEB服务器,服务端口为tcp443,外网用户通过https:100.1.1.9:8443访问,在防火墙上需要配置(3)(3)备选答案:A.natserverpolicy_webprotocoltcpglobal100.1.1.98443inside10.2.1.2.44

8、3unr-routeB.natserverpolicy_webprotocoltcpglobal10.2.1.2.8443inside100.1.1.9443unr-routeC.natserverpolicy_webprotocoltcpglobal100.1.1.9443inside10.2.1.2.8443unr-routeD.natserverpolicy_webprotocoltcpglobal10.2.1.2inside10.2.1.28443unr-route【问题2】(14分)为了使局城网中1.l.0/24网段的用户可以正常访问internet,需要在防火墙上完成NAT、安全策

9、略等配置,请根据需求完善以下配置。#将对应接口加入trust或者untrust区域。FWfirewallzonetrustFW-zone-trustaddinterface(4)FW-zone-trustquitFWfirewallzoneuntrustFW-zone-untrustaddinterfaceJ5)FW-zone-untrustquit# 配置安全策略,允许局域网指定网段与Internet进行报文交互。FWsecurity-policyFW-policysecurityrulenamepolicy1# 将局域网作为源信任区域，将互联网作为非信任区域FW-policy-securi

10、ty-rule-policylsource-zone(6)FW-policy-seeurity-rule-policyldestination-zoneuntrust# 指定局域网办公区域的用户访问互联网FW-policy-security-rule-policylsource-address(7)# 指定安全策略为允许FW-policy-security-rule-policylaction(8)FWpolicy-security-rule-policylquitFW-policy-seeurityquit置NAT地址池,配置时开启允许端口地址转换，实现公网地址复用。FWnataddress

11、-groupaddressgroup1FW-address-group-addressgrouplmodepat/是带端口Pat转换,一个是不带端口no-pat转换，引用在全局模式下而不是本地，如果想带端口转换的话就是PAT,不带端口转化的话就配置成no-pat,默认是PAT模式FWaddress-group-addressgrouplsection0(9)配置源NAT策略，实现局城网指定网段访问Internet时自动进行源地址转换。FWnatpolicyFW-policynatrulenamepoliy_nat1#指定具体哪线区域为信任和非信任区域FW-policy-nat-rulepoli

12、cy_nat1source-zonetrustPW-policy-nat-rulepolicy_nat1destinationzoneuntrust#指定局域网源IP地址FW-policy-nat-rulepolicy_nat1source-address10.1.1.024FW-policy-nal-rule-policy_natlactionsource-nataddress-group(10)FW-policy-nat-rule-policy_natllquitPW-policy-natquit【参考答案】【问题1】1、路由模式2、dhcp3、A4、 g0/0/15、 g0/0/36、t

13、rust7、10.1.1.0248、permit9、100.1.1.10100.1.1.1510、addressgroup1解析：【问题一】1 .防火墙的工作模式有透明模式、路由模式、混合模式，透明模式相当于是一台磁机，接口不配置IP地址，路由模式相当于是一台路由器，接口配置IP地址，因此本题中的出口防火墙工作于路由模式；防火墙为办公区用户动态分配IP地址由DCHP功能实现，因此需在防火墙上开启DHCP功能。2 .要实现外网用户可直接访问内网服务器，需舞已置NATServer,指定其公有IP端口和内网IP端口的映射，因此答案为A.【问题二】防火墙安全区域trust区域的接口有两个：ge1.ge

14、002#将局域网作为源信任区域，将互联网作为非信任区域FW-policy-security-rule-policy1source-zonetrust源信任区域(FW-policy-security-rule-policy1destination-zoneuntrust嘴定局域网办公区域的用户访同互联网(FW-policy-security-rule-policy1source-address10.1.1,024#指定安全策略为允许FW-policy-security-rule-policy1actionpermitFW-policy-security-rule-policy1quit置NAT地

15、址池，配置时开启允许端口地址转换，实现公网地址复用.FWnataddress-groupaddressgroup1FW-address-grop-addressgroup1modepatFW-address-group-addressgroup1section0100.1.1.10100也嘴定局域网源IP地址FW-policy-nat-rulepolicy_nat1source-address10.1.1.024FW-policy-nal-rule-policy_nat1actionsorce-nataddress-groupaddressgroup1NAT1|换为id也中的ifetFW-po

16、licy-nat-rule-policy_nat1quit3、阅读以下说明，回答问题1至问题4,将解答填入答题纸对应的解答栏【说明】某公司网络拓扑升段如图3-1所示,其中出口路由器R2连接InternetPC所在网段为10.1.1.0/24,服务IP地址为10.2222/24,R2连接的Internet出口网关地址为110.125.0.128o各路由端口及所对应的IP地址信息如表3-1所示。假设各个路由器和主机均完成了各个接口IP地址的配置。路由器接口IP地址RlGigabitEthernetO/O/O10.12.0.1/29GigabitEthernetO/0/l10.2.2.1/24Gig

17、abitEthernet00210.13.1.1/29R2GigabitEthernetO/O/O10.12.0.2/29GigabitEthernetO/O/110.23.0.1/29GigabitEthernet20010.1.1.1/24GigabitEthernet20l110.125.0.2/28R3GigabitEthernetO/O/O10.23.0.3/29GigabitEthernetO/O/110.2.2.3/24GigabitEthernet00210.13.1.3/29通过静态路由配置使路由器Rl经过路由器R2作为主链路连接internetRlR3R2-Internet

18、作为备份链路：路由器R3经过路由器R2作为主链路连接上internetR3RlR2Interet作为备份链路。请按要求补全命令或回答问题。Rl上的配置片段Rliproute-static0.0.0.00.0.0.0(1)Rliproute-static0.0.0.00.0.0.0(2)preference100R2上的配置片段：R2iproute-static110.125.0.1以下两条命令的作用是(4)R2iproute-static10.2.2.00.255.255.25510.12.0.1R2iproute-static10.2.2.00.255.255.25510.23.0.3pre

19、ference100【问题2】(3分)通过在RlsR2和R3上配置双向转发检测(BidireCtiOnalForwardingDeteletion,BFD)实现链路故障快速检测和静态路由的自动切换。以R3为例配置R3和R2之间的BFD会话，请补全下列命令R3(5)R3-bfdquitR3bfd1bindpeer-ip(6)source-ip(7)autoR3-bfd-session-lcommitR3-bfd-session-lquit【问题3（6分）通过配置虚拟路由冗余协议(VirtUalRouterRedundancyProtocol,简称VRRP)通过交换机Sl为Sl双归属到RI和R3,

20、从而保证链路发生故障时服务面的业务不中断Rl为主路由R3为备份路由且虚拟浮动IP地址为10.2210。根据上述配置要求,服务器的网关地址应配置为(8)。在Rl上配置与R3的VRRP虚拟组相互备份：RlintgO/0/l创建VRRP虚拟组RI-GigabitEthernetOOlvrrpvrid1virtual-ip(9)配置优先级为120Rl-GigabitEthernetOOlwrpvridlpriority120下面这条命令的作用是(10)Rl-GigabitEthernetOOlvrrpvrid1preempt-modetimerdelay2/跟踪GEO/O/O端口，如果GEO/O/O端

21、口down,优先级自动减30Rl-GigabitEthernetOOlvrrpvrid1trackinterfaceGEO/O/Oseduced30请问Rl为什么要跟踪GEO/O/O端口？答：（三）【问题4】(5分)通过配置AC1.限制PC所在网段在2021年11月6日上午9点至下午5点之间不能访问服务器的Web服务(工作在80端口)，对园区内其它网段无访问限制。定义满足上述要求AC1.的命令片段如下，请补全命令。XXX(12)ftime9:00to17:002021/11/6XXXacl3001XXX0-acl-adv-3001rule(13)tcpdestination-porteq80s

22、ourcedestination10.2.2.220.0.0.0time-range(14)上述AC1.最佳配置设备是(15)【问题1】1、10.12.0.22、10.13.1.33、0.0.0.00.0.0.04、配置去往服务器网段的浮动静态路由，优先选择经Rl路由器转发，而将经R3路由器转发作为备份链路【问题2】5、BFD6、10.23.0.17、10.23.0.3【问题3】8、10.2.2.109、10.2.2.1010、配置VRRP为抢占模式，延时2s抢占11、当上联接口失效时,R3路由器能及时抢占主设备身份，为服务器实现数据转发，保证业务不中断。12、time-range13、den

23、y14sftime15、R2路由器的G200接口的入方向查看解析：解析：【问题一】1、浮动静态路由的配置：通过指定睁态路由优先级，其默认优先级为60,优先级越小越优.题目有说明Rl经R2的作为主链路，经R3的全为备份链路，所以(1)对应的是下一跳为R2路由器的静态路由，对应的是下一跳为R3路由器的静态路由。(3)是在R2上配置访问公网的默认路由(4)配置去往服务器网段的浮动静态路由，优先因物Rl路由器转发，而将经R3路由器转发作为备份链路【噢二】R3(5)全翩能BFD(R3-bfdquit(R3bfd1bindpeer-ip(6)source-ip(7)auto/建立本端与对端设备的BFD会话

24、R3-bfd-session-1mmit落舌R3-bfd-session-1quit【问题三1VRRP的虚拟IP即为VRRP组网中的网关IP地址.2.(R1Jintg001创建VRRPjM(RI-GigabitEthemet001vrrpvrid1virtual-ip(9)/脂定虚拟IP地址/候置优先级为120R1-GigabitEthernetO/O/1wrpvrid1priority120下面这条命令的作用是(10)俺遁VRRP为抢占模式，延时2潴占R1-GigabitEthernet001v11pvrid1PreemPt-modetimerdelay2/跟踪GE0/0/0端口，如果GE0

25、/0/0端口down,优先级自动减30(R1-GigabitEthernetO/O/1vrrpvrid1trackinterfaceGE000seduced30请问RI为什么要跟踪GE000端口？答：当上联接口失效时，R3路由器能及时抢占主设备身份，为服务器实现数据转发，保证业务不中断。【问题四】XXX1.time-rangetime9:00to17:002021/11/6iSSftime时i同段(XXacl3001XXX0-acl-adv-3001ruledenytcpdestination-porteq80sourcedestination/牒作是不允许访问10.2.2.220.0.0.0

26、time-rangeftime/三哪flf司段a次C1.最1圭配置设备是R2路由器.4、阅读以下说明，回答问题1至问题2,将解答填入答题纸对应的解答栏内。【说明】某公司办公网络拓扑结构如图4-1所示，其中，在交换机SwitchtA上启用DHCP为户端分配IP地址。公司内部网络采用基于子网的V1.AN划分。【问题1】（5分）由于公司业务特点需要，大部分工作人员无固定工位。故公司内部网络采用基于子网划分V1.AN并采用DHCP策略V1.AN功能为客户端分配IP地址。请根据以上描述，填写下面的空白。DHCP策略V1.AN功能可实现新加入网络主机和DHCP服务器之间DHCP报文的互通，使新加入网络主机

27、通过DHCP服务器获得合法IP地址及网络配置等参数。在基于子网划分V1.AN的网络中，如果设备收到的是Untagged帧，设备将根据报文中的Q），确定用户主机添加的V1.ANID0新加入网络的主机在申请到合法的IP地址前采用源IP地址(2)进行临时通信,此时，该主机无法加入任何V1.AN,设备会为该报文打上接口的缺省V1.ANID(3)o由于接口的缺省V1.ANID与DHCP服务器所在V1.ANID不同,因此主机不会收到IP地址及网络配置等参数配置信息。DHCP策略V1.AN功能可使设备修改收到的DHCP报文的(4)V1.ANTag,将V1.ANID设置为(5)所在V1.ANID,从而实现新加

28、入网络主机与DHCP服务器之间DHCP报文的互通,获得合法的IP地址及网络配置参数。该主机发送的报文可以通过基于子网划分V1.AN的方式加入对应的V1.AN0(1)(5)备选答案：A.255.255.255.255B.内层C.外层D.源IP地址E-DHCP月艮务器RlG.0.0.0.0H.源MAC地址1.1023【问题2】QO分)根据业务要求，在部门A中，新加入的MAC地址为0081-01fa-2134,主机HOSTA需要加入V1.AN10并获取相应IP地址配置连接在交换机SwitchB的GE0/0/3接口上的主机需加入V1.AN20并获取相应IP地址配置，部门B中的所有主机应加入V1.AN3

29、0并获取相应IP地址配置。请根据以上要求，将下面配置代码的空白部分补充完整。1 .在SwichA上配置V1.AN30的接口地址池功能#在SwitchA上创建V1.AN,并配置V1.ANIF接口的IP地址。system-viewHUAWEIsysnameSwitchASwitchA(6)enableSwitchAvlanbatch102030SwitchAinterfacevlanif30SwitchA-Vlanif30ipaddress(7)24SwitchA-Vlanif30quitSwitchAinterfacevlanif30SwitchA-Vlanif30dhcpSeIeCt(8)使能

30、V1.ANIF接口地址池SwitchA-Vlanif30quitSwitchAinterfacegigabitethernet0/0/2配置接口力口入相应V1.ANSwitehA-GigabitEthernet002portlink-type(9)SwitehA-GigabitEthernet002porttrunkallow-passvlan30SwitchA-GigabitEthernet002quit/V1.ANlO和V1.AN20的配置略2 .在SwitchC上与主机HostC和HostD相连的接口GEO/0/2配置基于子网划分V1.AN功能,并配置接口为HybridUntagged类

31、型。system-viewHUAWEIsysnameSwitchCSwitchCdhcpenableSwitchCvlanbatch30SwitchCJinterface(IO)SwitchC-GigabitEthernetO0lportlink-typetrunkSwitchC-GigabitEthernetO0lporttrunkallow-passvlan30SwitchC-GigabitEthernetOOlquitSwitchCJinterfacegigabitethernet0/0/2SwitchC-GigabitEthemetO/O/2_(ll)enableSwitchC-Gig

32、abitEthernet002quit(12)untaggedvlan30SwitchC-GigabitEthernet002/SwitchB基于子网划分V1.AN配置略3 .在SwitchB上分别配置基于MAC地址和基于的DHCF策略V1.AN功能SwitchBvlan10SwitchBvlan10iF-subnet-vlaniF10.10.10.1.24SwitchBvlan10dhcppolicy-vlan(13)SwitchBvlan10quitSwitchBvlan20SwitchBvlan20iF-subnet-vlaniF10.10.20.1.24SwitchBvlan20dhc

33、ppolicy-vlan(14)gigabitethernet003SwitchBvlan20quit4 .在SwitchC上配置普通的DHCP策略V1.AN功能SwitchBvlan30iF-subnet-vlaniF10.10.30.1.24SwitchBvlan30dhcppolicy-vlan(15)SwitchBvlan30quit(6)(15)备选答案：A.portB.dhcpCJnterfaceD.mac-addressE.ip-subnet-vlanF.genericG.10.10.30.1H.hybird1.trunkJ.gigabitethernetO/O/1【问题1】1、

34、D2、G3、F4、C5、E【问题2】6、Bdhcp7、G10.10.30.18、Cinterface9xItrunk10、JgigabitethernetO/O/111、Eip-subnet-vlan12、Hhybrid13、Dmac-address14、Aport15、Fgeneric查看解析：解析：【问题一】当采用基于子网划分V1.AN时，如果设备收到的是UnIagged帧，设备根据报文中的源IP地址，确定用户主机添加的V1.ANID.新加入网络的主机需要通过DHCP方i墩取IP地址等，申请到合法的IP地址前主机采用源IP地址Ooo.0进行I酬通信.该主机发送的DHCP报文无法通过基于子网

35、划分V1.AN的方式加入任何V1.AN,最终设备会给该报文会打上接口的缺省V1.ANID(缺省情况下，接口的缺省V1.ANID为1),一般情况下，接口的缺省V1.ANlD与DHCP服务器所在V1.AN不同，因此DHCP服务器不会为主机分配IP地址及网络配置参数等.弓I入DHC躁略V1.AN功版，幡敏改忸IJDHCP帔的外威1.ANTag,将V1.ANlD婕为DHCP服务器所三V1.ANID1从而实现新加入网络主机与DHCP服务器之间DHCP报文的互通.新加入网络的主机求得合法的IP地址及网络配置参数后，该主机发送的报文可以通过基于子网划分V1.AN的方式加入对应的V1.AN.【问题二】syst

36、em-viewHUAWEIsysnameSwitchASwitchA(6)enable启用DHCP功能SwitchAvlanbatch102030SwitchAinterfaccvlanif30SwitchA-Vlanif30ipaddress(7)24/面置V1.ANif30接口的IP地址SwitchA-Vlanif30quitSwitchAinterfacevlanif30SwitchA-Vlanif30dhcpselect(8)使能V1.ANIF接口地址池SwitchA-VIanifSOJquitSwitchAinterfacegigabitethernet0/0/2/配置接口加入相应V

37、1.ANSwitehA-GigabitEthernet002portlink-type(9)/2置接口类型为trunkSwitehA-GigabitEthernet002porttrunkallow-passvlan30SwitchA-GigabitEthernet002quit1.AN10和V1.AN20的配置略2 .在SWrtChC上与主机HOStC和HoStD相连的接口GEO02配置基于子网划分V1.AN功能，并配置接口为HybridUntagged类型.system-viewHUAWEIsysnameSwitchC(SwitchCJdhcpenableSwitchCJvIanbatch

38、30(SwitchCinterface(10)进入接口视图SwitchC-GigabitEthernet001portlink-typetrunk(SwitchC-GigabitEthernetO/O/1porttrunkallow-passvlan30Switchc-GigabitEthernetozOZIJquitSwitchCJinterfacegigabitethernet0/0/2SwitchC-GigabitEthernet0021.(11)enable/启用基于子网的Vlan划分功能SwitchC-GigabitEthernet002port(12)untaggedvlan30/

39、帝窟$口以不带标签的形式J)QAVlan30(SwitchC-GigabitEthernet002/SwitchB基于子网划分V1.AN配置略3 .在SWitChB上分别配置基于MAC地址和基于接口的DHCF策略V1.AN功能SwitchBJvIan10SwitchBvlan10iF-subnet-vlaniF10.10.10.1.24SwitchBvlan10dhcppolicy-vlan(13)僭己置基于MACtDHCP策略V1.ANSwitchBvlan10quitSwitchBvlan20SwitchBvlan20iF-subnet-vlanIF10.10.20.1.24SwitchBvlan20dhcppolicy-vlan(14)gigabitethernet003/幅置基于端口的DHCP策略V1.ANSwitchBvlan20quit4 .在SWitChC上配置普通的DHCP策略V1.AN功能SwitchCvlan30SwitchBvlan30iF-subnet-vlaniF10.10.30.1.24SwitchBvlan30dhcppolicy-vlan(15)/而置普通的DHCP策略V1.AN功能SwitchBvlan30quit