软考中级网络工程师下午题近五年笔记

刷题地址：软考达人—专业的软考刷题题库，软考历年真题，软考模拟考试，软考考前押题。柴丁科技 (ruankaodaren.com)

上面这个网站有的图不清晰，也可以看这个网站策未来网校——在线刷题、智能刷题 (ceweilai.cn) 

2019

上半年

DHCP配置片段

[Huawei] dhcp enable
[Huawei] interface vlanif 123
[Huawei-Vlanif123] dhcp select global//使接口采用全局地址池的DHCP功能
[Huawei-Vlanif123] quit
[Huawei]ip pool lan
[Huawei-ip-pool-lan] gateway-list 192.168.100.1
[Huawei-ip-pool-lan] network 192.168.100.0 mask 255.255.255.0
[Huawei-ip-pool-lan] quit

#配置NAT地址转换
[Huawei] acl number 3002
[Huawei-acl-adv-3002] rule 5 permit ip source 192.168.100.0 0.0.0.255
[Huawei-acl-adv-3002] quit
[Huawei] interface virtual-template 10//创建虚拟接口10
[Huawei-Virtual-Template10] ip address ppp-negotiate
[Huawei-Virtual-Template10] nat outbound acl 3002
[Huawei-Virtual-Template10] quit

#配置ATM接口
[Huawei] interface atm 1/0/0
[Huawei-Atm1/0/0] pvc voip 1/35 //创建PVC（ATM虚电路）
[Huawei-atm-pvc-Atm1/0/0-1/35-voip] map ppp virtual-template 10//配置PVC上的PPPoA映射
[Huawei-atm-pvc-Atm1/0/0-1/35-voip] quit
[Huawei-Atm1/0/0] standby interface cellular 0/0/0//配置3G接口为备份接口
[Huawei-Atm1/0/0] quit

Ipv6配置

<Huawei> system-view
[Huawei] sysname RouterA
[RouterA]ipv6 //开启IPv6报文转发功能
[RouterA] interface s0
[RouterA-s0] ip address 12.1.1.1 255.255.255.0
[RouterA-s0] quit
[RouterA] interface gigabitethernet 0/0/1
[RouterA-GigabitEthernet0/0/1 ] ipv6 address 2002:: 1/64
[RouterA-GigabitEthernet0/0/1 ] quit

[RouterA] interface tunnel 0/0/1 // 创建隧道接口
[RouterA-Tunnel0/0/1 ]tunnel-protocol ipv6-ipv4 auto-tunnel//指定 Tunnel 为自动隧道模式
[RouterA-Tunnel0/0/1 ] ipv6 enable
[RouterA-Tunnel0/0/1 ] ipv6 address ::12.1.1.1/96 // 设置隧道接口的ipv6的地址
[RouterA-Tunnel0/0/1 ] source s0 //指定隧道的原接口
[RouterA-Tunnel0/0/1 ] quit

在现有组网方案的基础上，为确保分支机构与总部之间的数据传输安全，配置IPSec协议，实现在网络层端对端的加密与验证。

下半年

④处部署上网行为管理设备，可以对所有用户的互联网访问进行审计和控制，阻止并记录非法访问

在⑤部署防火墙设备，实现服务器区域的边界防护，防范来自无线区域和办公区域的安全威胁

在路由器上配置基于源地址的策略路由，实现无线区域用户通过运营商1访问互联网，办公区域和服务器区域通过运营商2访问互联网。

同属于一个vlan，源IP地址是一样的

策略路由有基于目标和源地址两种

• 网络存储：DAS NAS SAN

vlan batch 2 3

time-range 09:00 to 12:00

 

2020

下半年

请简述RAID2.0技术的优势(至少列出2点优势)。

1、自动负载均衡，降低了存储系统整体故障率
2、快速精简重构，降低了双盘失效率和数据丢失的风险
3、故障自检自愈，保证了系统可靠性
4、虚拟池化设计，降低存储规划管理难度

路由器的配置，要有掩码

ip address 192.168.1.1 255.255.255.0

组播报文对无线网络空口的影响主要是造成无线空接口拥堵，随着业务数据转发的方式不同，组播报文的抑制分别在AP直连的交换机端口和AC的流量模板下配置。

该网络AP部署在每一间宿舍的原因是 房间之间的墙壁等障碍物会使无线信号严重衰减，影响WLAN信号质量。

127.0.0.1是IPv4的外保留地址,ping 127.0.0.1 一般作为测试本机TCP/IP协议栈是否正常，本例中，在终端A上ping127.0.0.1不通，说明本机的TCP/IP协议栈故障

默认路由（网段、掩码、下一跳地址）

[R4]ip route-static 0.0.0.0 0.0.0.0 281.63.0.1

图3-1中，要求PCI访问Internet时导向联通网络，禁止PC3在工作日8.00至18.00访问电信网络。
请在下列配置步骤中补全相关命令：
第1步：在路由器R4上创建所需ACL
创建用于PCI策略的ACL：
[R4]acl 2000
[R4-acl-basic -2000] rule 1 permit source 10.10.0.2 0.0.0.0  对应的是单台主机反掩码就是0
[R4-acl-basic- 2000] quit
创建用于PC3策略的ACL:
[R4] time-range satime 8:00 to 18:00 working-day
[R4]acl number 3001
[R4-acl-adv-3001] rule deny source 10.3.0.2 0.0.0.0 destination 218.63.0.0 240.255.255.255 time-range satime
第2步：执行如下命令的作用是配置流分类。
[R4]trafficlassifer 1
[R4-classifier-1]if-match acl 2000
[R4-classifier-1]quit
[R4]traffic classifier3
[R4-classifier-3]if-match acl 3001
[R4-classifier-3]quit
第3步：在路由器R4上创建流行为并配置重定向
[R4]traffic behavior 1
[R4-bchavior-1]redirect ip-nexthop 221.137.0.1
[R4-behavior-1]quit
[R4]traffic behavior 3
[R4-behavior-3] deny
[R4-behavior-3]quit
第4步:创建流策略，并在接口上应用(仅列出了R4上GigabitEthernet 0/0/0接口的配置)
[R4]traffic policy 1
[R4-trafficpolicy-1]classifier 1 behavior 1
[R4-trafficpolicy-1]classifier 3 behavior 3
[R4-trafficpolicy-1]quit
[R4]interGigabitEthernet 0/0/0
[R4-GigabitEthernet0/0/0]traffic-policy 1 inbound
[R4-GigabitEthernet0/0/0]quit

VLAN划分可基于端口、子网、协议和策略

<HUAWEI>system-view
[HUAWEI] sysname SW1
[SW1] dhcp option template template1
[SW1-dhcp-option-template-template1] gateway-list 192.168.3.1//配置网关地址
[SW1-dhcp-option-template-template1] bootfile configuartion.nin/获取配置文件
[SW1-dhcp-option-template-template1] next-server 10.10.10.1//配置获取配置文件地址
[SW1-dhcp-option-template-template1] quit
下面创建地址池，同时为IP Phone 分配固定IP地址以及配置信息。请将配置代码补充完整。
[SW1]ip pool pool3
[SW1-ip-pool-pool3] network 192.168.3.0 mask 255.255.255.0   填网络号
[SW1-ip-pool-pool3] dns-list 10.10.10.2 
[SW1-ip-pool-pool3] gateway-list 192.168.3.1
[SW1-ip-pool-pool3] excluded-ip-address 192.168.3.250 192.168.3.254
[SW1-ip-pool-pool3] lease unlimited
[SW1-ip-pool-pool3] static-bind ip-address 192.168.3.2 mac-address dcd2-fa98-e439 option-template template1 //使用模板

[SW1-ip-pool-pool3] quit
#在对应VLAN上使能DHCP
[SW1] interface vlanif 300
[SW1-Vlanif300] dhcp select global
[SW1-Vlanif300] quit

2021

上半年

网络管理员使用光功率计设备对光缆检查，发现光衰非常大，超出正常范围，初步判断为光缆故障

使用光时域反射计设备判断出光缆的故障位置

经检查故障点发现该处光缆断裂，可采用可见光检测笔措施处理

该交换机需要与车间1接入层交换机进行互连，其连接方式有堆叠和级联；其中堆叠方式可以共享使用交换机背板带宽，级联方式可以使用双绞线将交换机连接在一起。

默认路由的作用是提供一个目标地址，用于处理所有未在路由表中明确指定的其他路由。

Ping ICMP

Tracert 查看网关路径  跟踪路由

防火墙对整个网络流量进行全面防护，强调应用层的深度检测和精细控制，包括应用识别和控制，同时集成入侵防御（IPS）和反病毒（AV）等更高级的安全能力，确保网络安全；

上网行为管理侧重于Web层面的安全防护，主要包括URL分类过滤和杀毒，确保Web访问的安全，同时基于用户对用户的上网行为进行规范和审计，包括访问控制、限速、选路等。

网络管理员要为PC2和PC3设计一种接入认证方式，如果无法通过认证，接入交换机S1可以拦藏PC2和PC3的业务数据流量802.1X接入认证技术可以满足要求.

802.1X:连在端口上的用户设备如果能通过认证，就可以访问局域网中的资源；如果不能通过验证的话，就无法访问局域网中的资源，相当于物理断开。

与复杂的IPSecVPN相比，SSL通过相对简易的方法实现信息远程连通。任何安装浏览器的机器都可以使用SSLVPN，这是因为SSL内嵌在浏览器中，它不需要像传统IPSec VPN一样必须为每一台客户机安装客户端软件。

优先级（外部、内部、本地）

# 配置EBGP路由优先级为255，配置IBGP路由优先级为100，配置本地路由优先级为130，IBGP路由优先级优于OSPF路由。

下半年

该网络规划中，相较于以旁路方式部署，将AC直连部署存在的问题是AC容易成为整个无线网络带宽的瓶颈。相较于部署在核心层，将AC部署在接入层存在的问题是导致吞吐量下降。

在网络规划中，对AP供电方式可以采取POE供电或DC电源适配器供电。Direct Current（直流电）

2022

上半年

• Network方式逐条精确匹配路由
• Network方式优先级高
• Import方式按协议类型引入路由

interface GigabitEthernet 0/0/1 port-security enable port-security-mac-num mac-number 1

rule permit destination 2.2.0.0 0.0.255.255

rule permit tcp source 202.110.10.0 0.0.0.255 destination 179.100.17.10 0.0.0.0.0 eq 80//端口号

traffic-policy1 inbound//声明在哪里调用

下半年

仓库到办公楼的布线系统属于什么子系统?应采用什么传输介质?该线缆与交换机连接需要用到哪些部件。

建筑群子系统    采用单模光纤     光模块

冗余设计配置变化：SwitchA、SwitchE组成双核心，交换机之间采用链路聚合，同时采用STP避免环路。

两台路由器之间配置ipsec VPN的配置要点：

配置接口的IP地址和到对端的静态路由，保证两端路由可达。
配置ACL，以定义需要IPSec保护的数据流。
配置IPSec安全协议，定义IPSec的保护方法。
配置IKE对等体,定义对等体间IKE协商时的属性。
配置安全策略。

常见的三种认证方式：

portal认证：通过一个Web页面来接收用户输入的用户名和密码，以验证用户身份。

802.1X认证：一种基于端口的网络访问控制标准，提供对网络基础设施设备的受控访问。

MAC地址认证：通过检查设备的MAC地址来控制网络访问。网络管理员可以创建MAC地址的白名单或黑名单，以允许或拒绝特定设备的网络访问。

broadcast-suppression 80   限制广播流量不要超过80%

直连路由

[R1-rip-1] import-route direct route-policy tip rip-rp

STP (Spanning Tree Protocol)协议用来发现和消除网络中的环路。运行该协议的设备通过相互之间发送BPDU报文，在交换网络中选举根桥，通过依次比较该报文中包含的各自的优先级、MAC 地址信息，来确定根桥，优先级值越小，优先级越高，MAC地址亦然，交换机默认的优先级值为32768。RSTP (Rapid SpanningTree Protocol)在STP基础上进行了改进，实现了网络拓扑快速收敛。但他们均是通过阻塞某个端口来实现环路消除的，存在浪费带宽的缺点，MSTP在STP和RSTP的基础上进行了改进，既可以快速收敛，又提供了数据转发的多个冗余路径，在数据转发过程中实现VLAN 数据的负载分担。

Switch A中配置的虚拟地址和本机配置的虚拟地址必须一样,因此对应的地址是10.1.1.111

1.配置SwitchA接口转发方式、IP地址和VRRP
[SwitchA-GigabitEtheret0/0/1]port link-type Hybrid
[SwitchA-GigabitEthernet0/0/1]port hybrid pvid vlan 200
 

2023

上半年

在网络线路施工中应遵循哪些规范(至少回答4点)?

1、选择质量合格的产品
2、遵循布线规则  
3、布线完后，进行测试
4、保存布线系统相关文档资料

简要说明该网络中核心交换机有哪几种冗余配置方式：

• 链路聚合
• VRRP
• 堆叠
• HSRP（热备份路由器协议）

核心层具有覆盖面广、可靠性和安全性高、配置和管理简单等特点。

为充分利用两个运营商ISP的带宽，请提供至少4种多出口链路负载策略。

• 基于链路带宽负载分担
• 基于链路状态负载分担
• 基于链路权重负载分担
• 基于链路优先级负载分担

OSPF认证方式：区域认证和接口认证

authentication-mode simple ruankao                密文方式处理认证密码

authentication-mode simple plain ruankao       明文方式处理认证密码

#以RA为例，启用BGP环路检测功能。
[RA] route loop-detect bgp enable

undo portswitch #关闭接口GEO/0/1的二层转发特性

[R1]rip
[R1-rip1]rip 2 
[R1-rip-2]undo summary
[R1-rip-2]network 10.0.0.0
[R1-rip-2]network 100.0.0.0

下发路由 为了使网络均能够功互联网，需通过RIP将该静态路由进行重分布。

[R1-rip-2] default-route originate

命令解释如下：

• [R1-rip-2]：这是一个提示符，表明当前处于路由器R1的RIP版本2的配置模式下。
• default-route：指定要宣告的是一个默认路由，即目的地址为0.0.0.0，子网掩码为0.0.0.0的路由，它用于指示路由器在没有其他更具体的路由匹配时的下一跳地址。
• originate：意味着生成或宣告这条默认路由。

 

下半年

问：网络运行中，经常出现网络终端获取到非规划的私有地址而导致无法上网和IP地址冲突的情况。请分析出现这两种现象的原因，并给出解决方案。

答：终端局域网中存在非法DHCP服务器（私接路由器）；在对应交换机设备上配置dhcp snooping功能，将连接合法DHCP的端口设置为trust，其他端口设置为untrust。

[R1-bfd-R1toR2]  commit //提交配置

nat outbound 3001 //nat配置路由进出口方向

[R1]  ip route-static 0.0.0.0 0.0.0.0 gig 2/0/1 10.12.12.2 track  bfd-session R1toR2 //配置R1的缺省路由，联动BFD使得R1到R2的流量优先走R1->S1->R2链路，当此链路发生故障时，流量切换到R1->R3->R2链路上

默认路由格式：

ip route-static 0.0.0.0 0.0.0.0 11.0.0.1    网段 掩码 下一跳地址

路由器连接有堆叠和级联两种方式

1.级联通过两条交换机的端口连接在一起形成线性结构，优点是简单易实现，成本较低，适用于小规模网络，缺点是不能共享背板带宽、管理维护复杂、扩展性有限、增加延时

2.堆叠通过专用堆叠线形成逻辑上的单一设备，具有提高可靠性、扩展端口数量、增大带宽、简化组网等优点，但是兼容性差，一般需要同一品牌型号设备，成本较高。 防环

 简要说明交换机A、B互联（VRRP）的配置要点

(1)创建VRRP组：为交换机A和B配置相同的VRID，以创建一个虚拟路由器组。

(2)配置虚拟IP地址：为VRRP组指定一个虚拟IP地址，该地址将作为连接到交换机A和B的设备的默认网关。

(3)设置优先级：为每台交换机配置不同的优先级，以确定哪台交换机将成为Master路由器。

(4)配置抢占模式：可以配置抢占模式，以允许优先级更高的Backup路由器在Master路由器故障时立即接管成为Master路由器。

代理ARP：使得同一个局域网内的主机可以互相通信

该企业计划将原存储系统升级为分布式存储，原存储设备依旧作为新建分布式存储的一个节点，为保证数据不丢失，采用3副本冗余，新建的分布式存储至少应规划 3个节点 (含原存储设备) ，该存储系统通过多副本 技术实现数据冗余

问：为实现网络设计目标，工作人员需要在交换机SwithA上完成了创建VLAN10、VLAN20，为对应VLAN添加接口，设置对应的接口模式；除此以外，为确保网络连通，还需要在交换机SwitchA上完成什么配置？

答：将连接的两个部门的接口设置为access，连接部门A的接口设置为VLAN 10，连接部门B的接口设置为VLAN 20；上行口配置为trunk，并在trunk上放行VLAN 10和VLAN 20。

解释命令行：

[R1]ip pool ip-pool10

[R1-ip-pool10]gateway-list 192.168.1.254// 配置DHCP自动分配的网关地址

[R1-ip-pool10]network 192.168.1.0 mask 255.255.255.0//  配置DHCP的地址池

[R1-ip-pool10]excluded-ip-address 192.168.1.2 // 配置DHCP的地址池中排除参与自动分配的ip地址192.1688.1.2

[R1-ip-pool10]dns-list 192.168.1.2 //配置DHCP客户端使用的DNS服务器的IP地址

[R1-ip-pool10]lease day 30 hour 0 minute 0 // 配置DHCP的租约为30天（以命令为准）

[R1-ip-pool10]domain-name aa.com // 配置域名

[R1]dhcp enable

[R1] interface GigabitEthernet0/0/1.1

[R1-GigabitEthernet0/0/1.1] dhcp select global//接口工作在全局地址池模式

display ip pool 10    //显示地址池信息