2021年上半年软考网络规划师真题解析

1、为防范国家数据安全风险、维护国家安全、保障公共利益，2021 年7月，中国网络安全审查办公室发布公告，对“滴滴出行”、“运满满” 、“货车帮” 和“BOSS 直聘”开展网络安全审查。此次审查依据的国家相关法律法规是(1)。

A.《中华人民共和国网络安全法》和《中华人民共和国国家安全法》

B.《中华人民共和国网络安全法》和《中华人民共和国密码法》

C.《中华人民共和国数据安全法》和《中华人民共和国网络安全法》

D.《中华人民共和国数据安全法》和《中华人民共和国国家安全法》

【参考答案】A

【真题解析】新版的《中华人民共和国国家安全法》 是2015年7月1日实施的，主要是对政治安全、国土安全、军事安全、文化安全、科技安全等11个领域的国家安全任务进行了明确。

《中华人民共和国网络安全法》是2017年6月1日实施的，是我国第一部全面规范网络空间安全管理方面问题的基础性法律，是依法治网、化解网络风险的法律重器，是让互联网在法治轨道上健康运行的重要保障。

《中华人民共和国密码法》于2020年1月1日起实施，立法目的是“为了规范密码应用和管理，促进密码事业发展，保障网络与信息安全，维护国家安全和社会公共利益，保护公民、法人和其他组织的合法权益”。

《中华人民共和国数据安全法》于2021年9月1日起实施，是为了规范数据处理活动，保障数据安全，促进数据开发利用，保护个人、组织的合法权益，维护国家主权、安全和发展利益，制定的法律。

滴滴、货拉拉等收集大量个人信息以及出行信息，且对个人数据使用存在较大的问题，比如杀熟等问题，同时滴滴在美上市，威胁国家网络安全，因此，违反了国家安全法、网络安全法和数据安全法。按照题意，选择A。

2、Android是个开源的移动终端操作系统， 共分成Linux内核层、系统运行库层、 应用程序框架层和应用程序层四个部分，显示驱动位于(2)。

A. Linux内核层

B.系统运行库层

C.应用程序框架层

D.应用程序层

【参考答案】A

【真题解析】这道题，可以不从Android系统的专业角度解析。显示驱动相当是硬件接口，是为了硬件能正常工作的特殊程序，它并不属于应用程序，位于操作系统的底层。观察四个选项，只有A选项满足题意。

3、信息系统面临多种类型的网络安全威胁。其中，信息泄露是指信息被泄露或透露给某个非授权的实体; (3)是指数据被非授权地进行增删修改或破坏而受到损失; (4) 是指对信息或其他资源的合法访问被无条件地阻止;(5)是指通过对系统进行长期监听，利用统计分析方法对诸如通信频度、通信的信息流向、通信总量的变化等参数进 行研究，从而发现有价值的信息和规律。

A.非法使用

B.破坏信息的完整性

C.授权侵犯

D.计算机病毒

【参考答案】A

4、信息系统面临多种类型的网络安全威胁。其中，信息泄露是指信息被泄露或透露 给某个非授权的实体; (3)是指数据被非授权地进行增删修改或破坏而受到损失; (4) 是指对信息或其他资源的合法访问被无条件地阻止;(5)是指通过对系统进行长期监听，利用统计分析方法对诸如通信频度、通信的信息流向、通信总量的变化等参数进行研究，从而发现有价值的信息和规律。

A.拒绝服务

B.陷阱门

C.旁路控制

D.业务欺骗

【参考答案】A

5、信息系统面临多种类型的网络安全威胁。其中，信息泄露是指信息被泄露或透露 给某个非授权的实体; (3)是指数据被非授权地进行增删修改或破坏而受到损失; (4) 是指对信息或其他资源的合法访问被无条件地阻止;(5)是指通过对系统进行长期监听，利用统计分析方法对诸如通信频度、通信的信息流向、通信总量的变化等参数进 行研究，从而发现有价值的信息和规律。

A. 特洛伊木马

B.业务欺骗

C.物理侵入

D.业务流分析

【参考答案】D

6、以下关于软件开发过程中增量模型优点的叙述中， 不正确的是(6)。

A.强调开发阶段早期计划

B.第一个可交付版本所需要的时间少和成本低

C.开发由增量表示的小系统所承担的风险小

D.系统管理成本低、效率高、配置简单

【参考答案】A

【真题解析】增量模型也称渐增模型。使用增量模型开发软件时，把软件产品作为一系列的增量构件来设计、编码、集成和测试。每个构件由多个相互作用的模块构成，并且能够完成特定的功能。

使用增量模型时，第一个增量构件往往实现软件的基本需求，提供最核心的功能。

因此，第一个可交付的版本只是完成软件的基本需求，所需要的时间和成本都比较低。并且由于是增量开发，即使开发失败，也不会影响前期版本，所以风险也大大降低。整个增量开发模型管理成本低、效率高、配置简单。增量，强调的是迭代升级，只要第一个版本能满足基本需求即可，不必强调早期计划。

7、在Python语言中，(7)是一种可变的、有序的序列结构，其中元素可以重复。

A.元组(tuple)

B.字符串(str)

C.列表(list)

D.集合(set)

【参考答案】C

【真题解析】python中常用的序列结构有列表、元组、字典、字符串、集合。其中，不可变序列结构是元组和字符串，可变序列结构是列表和集合。

学过数学都知道，在一个集合中，任何两个元素都认为是不相同的，即每个元素只能出现一次，即元素的互异性。所以，集合的元素是不可重复的。列表可以认为是有索引号的字符串或数组，可以按照索引号来进行访问，因此可以区分重复的元素。

8、在一个分布式软件系统中，一个构件失去了与另一个远程构件的连接。在系统修复后，连接于30秒之内恢复，系统可以重新正常工作直到其它故障发生。这一描述体现 了软件系统的(8)。

A.安全性

B.可用性

C.兼容性

D.性能

【参考答案】B

9、在三层C/S软件架构中, (9)是应用的用户接口部分，负责与应用逻辑间的对话功能; (10)是应用的本体，负责具体的业务处理逻辑。

A.表示层

B.感知层

C.设备层

D.业务逻辑层

【参考答案】A

10、在三层C/S软件架构中, (9)是应用的用户接口部分，负责与应用逻辑间的对话功能; (10)是应用的本体，负责具体的业务处理逻辑。

A.数据层

B.分发层

C.功能层

D.算法层

【参考答案】C

【真题解析】三层C/S软件架构的分为表示层、功能层和数据层。

1、表示层：应用的用户接口部分,负责用户与应用间的对话功能。

2、功能层：应用的本体，负责具体的业务处理逻辑。

3、数据层：数据层就是数据库管理系统DBMS,负责数据库数据的管理。

三层C/S软件架构的优点：

1、灵活的硬件系统构成

2、提高软件的可维护性

3、安全性得到提高

11、以下关于以太网交换机转发表的叙述中，正确的是（11）。

A.交换机的初始MAC地址表为空

B.交换机接收到数据帧后，如果没有相应的表项则不转发该项

C.交换机通过读取输入帧中的目的地址添加相应的MAC地址表项

D.交换机的MAC地址表项是静态增长的，重启时地址表清空

【参考答案】A

【真题解析】以太网网交换机工作过程当中会不断的检测报文的源和目的MAC地址来建立MAC地址表,初始时地址表为空。二层转发涉及两个线程：地址学习线程和报文转发线程。

学习线程如下：

1、交换机接收网段上的所有数据帧，利用接收数据帧中的源MAC地址来建立MAC地址表。

如果交换机在很长一段时间之内没有收到某台主机的报文，在该主机对应的MAC地址就会被删除，等下次发送时重新学习。因此，MAC地址表是动态的，而不是静态的。

转发线程如下：

1、交换机在MAC地址表中查找数据帧中的目的MAC地址，如果找到，就将该数据帧发送到相应的端口，如果找不到，就向所有的端口发送。即找不到则广播，而不是丢弃。

2、如果交换机收到的报文中源MAC地址和目的MAC地址所在的端口相同，则丢弃该报文。

因此，只有A选项是正确的。

12、1000BASE-TX 采用的编码技术为（12）。

A. PAM5

B.8B6T

C.8B10B

D.MLT-3

【参考答案】C

【真题解析】1000BASE-TX和1000BASE-T是基于铜介质双绞线两种不同的标准，前者必须使用六类线，而后者可以可以支持现有的五类线。

1000BASE-T于1999年6月被IEEE批准，1000BASE-T 不支持8B/10B编码方式，其编码方式为PAM5。

13、HDLC协议通信过程如下图所示，其中属于U帧的是（13）。

A.仅SABME

B.SABME和UA

C.SABME、UA和REJ,1

D.SABME、UA和I,0,0

【参考答案】B

【真题解析】HDLC帧结分为三类，即信息帧（I）、监督帧（S）和无编号帧（U）。其中，监督帧（S）类型是RR、RNR、REJ。

无编号帧（U）类型是：SNRM、SARM、SABM、SNRME、SARME、SABME、DISC、SIM、UP、UI、XID、RSET、FRMR、UA、DM、RD、RIM、CMDR。

14、HDLC协议中采用比特填充技术的目的是(14)。

A.避免帧内部出现011 11110序列时被当作标志字段处理

B.填充数据字段，使帧的长度不小于最小帧长

C.填充数据字段，匹配高层业务速率

D.满足同步时分多路复用需求

【参考答案】A

【真题解析】HDLC高级数据链路控制协议，是链路层协议的国际标准。HDLC协议是面向比特的链路控制协议，是采用首尾标志将一组比特封装成帧，通过定义不同类型的帧格式实现链路层的功能。

HDLC帧由标志字段、地址字段、控制字段、信息字段和帧校验字段组成。其帧结构如下：

其中控制字段是最复杂的字段,根据最前面两个比特的取值，可将HDLC帧分为三大类，即信息帧、监督帧和无编号帧。每类帧又包含若干命令与响应，称为命令帧与响应帧。

为了解决帧同步的问题，在帧开头与结尾各放入一个特殊的标记F（Flag）。标志字段为6个连续的1加上两边各一个0，即011 11110，共计8位。在接收端，根据标志字段F来确定帧的位置。

但帧结内部出现和标志字段同样的组合，那就会被接收端误认为是帧的边界，导致错帧结。为了避免出现这种错误，HDLC采用零比特填充法。

15、IPv4首部的最大值为(15)字节，原因是IHL字段长度为(16)比特。

A.5

B.20

C.40

D.60

【参考答案】D

16、IPv4首部的最大值为(15)字节，原因是IHL字段长度为(16)比特。

A.2

B.4

C.6

D.8

【参考答案】 B

【真题解析】参照第28题解析。

17、由于采用了(17) 技术，ADSL的上行与下行信道频率可部分重叠。

A. 离散多音调

B.带通过滤

C.回声抵消

D.定向采集

【参考答案】C

【真题解析】ADSL采用DMT离散多音频调制技术，把一条电话线路划分成256个子离散语音信道，每个信道带宽为4.3kHz。频带的使用有两种方式：

FDM频分复用：上下行使用不同频带。

EC回波抵消：下行信号使用的频带部分覆盖上行信号的频带，通过回波抵消技术分离上下行信号。

18、以太网交换机中采用生成树算法是为了解决(18)问题。

A.帧的转发

B.短路

C.环路

D.生成转发表

【参考答案】C

【真题解析】STP生成树协议（Spanning Tree Protocol），是一种数据链路层)协议，其主要作用是防止交换机冗余链路产生环路，避免广播风暴占用交换机资源。

19、6个速率为64KbS的用户按照統计时分多路复用技术(STDM)复用到一条干线上、若每个用户平均效率为80%,干线开销4%,则干线速率为（）Kb/s。

A.160

B.307.2

C.320

D.400

【参考答案】C

【真题解析】6个64K的电路复用，就是384K，每个用户的效率都是80%，有效速率就是307.2K。干线的开销占到4%，那么有效的速率就是96%，因此307.2/0.96=320K。一个64K，实际上就是PCM E1的一个时隙，一共是32个时隙。如果不是32个时隙的组合，那么叫做CE1。

20、Internet网络核心采取的交换方式为(20)。

A.分组交换

B.电路交换

C.虚电路交换

D.消息交换

【参考答案】A

21、以下关于虚电路交换技术的叙述中，错误的是(21)。

A.虚电路交换可以实现可靠传输

B.虚电路交换可以提供顺序交付

C.虚电路交换与电路交换不同

D.虚电路交换不需要建立连接

【参考答案】D

【真题解析】数据交换方式可以分为：电路交换、报文交换、分组交换和信元交换四种。

电路交换：circuit switching，在网规教材中翻译做线路交换，这应当是不准确的。电路交换主要用于电话通信网，适用于实时性要求比较高的业务，也是通信网中最早出现的交换方式，这是一种面向连接的交换方式。这种方式是在通信主叫和被叫之间建立一条专用的电路，在整个数据传输过程中独占链路。这样就有两个优点，一是传输时延小，二是 独占链路，不会产生冲突。

凡事既有好处，也有坏处。因为在数据传输前，需要事先建立电路，这个过程相对就比较长，而且独占链路，即使在没有数据传输的时候，别的人也不能占用链路，因此会造成资源浪费。

报文交换：message switching，在本题中又被直译成消息交换，个人感觉也是不妥的。发送方待发送的数据块叫做报文，在IP协议簇当中，我们经常会看到报文这个词。

报文交换是面向无连接的交换方式，又称为存储转发交换，数据传输时，不需要实现建立一条固定链路，由交换设备根据目的地址选择空闲链路进行数据传输。

报文交换适用于实时性不高的业务，比如电子邮件等。报文交换固然可以提高链路的利用率，但由于采用存储转发方式，因此往往导致时延较大。并且报文没有限制长度，往往需要较大的缓存空间，进一步增加了传输时延。

分组交换：packet switching,也称之为分组交换。这种交换方式克服了报文交换中报文过长的问题，它严格限制了数据块的大小上限，并加上一些头部控制信息后，形成分组。分组交换又可以分为数据报、虚电路两种。

数据报方式类似报文交换，也是存储转发，但它是基于分组信息的，也是一种面向无连接的交换方式。因为实现不需建立链路，数据报方式可以采取多条链路到达接收方，但由于时延等原因，不一定能按顺序到达接收方。

而虚电路是面向连接的，在数据传输前，需要先建立一条虚电路，这种方式类似电路交换。不同的是，电路交换是建立物理电路，而虚电路则是逻辑链路。因此，虚电路也能实现电路交换的高实时、低时延、可靠传输，由于是独享链路，不需要像数据报那样，经过不同链路到达接收方，因此能实现顺序交付。

虚电路可以分为永久虚电路和交换虚电路两种，区别是交换虚电路数据传输结束后，电路会被自动拆除，而永久虚电路则不会，除非管理员主动删除配置。

Internet网络基于TCP/IP协议，采用分组交换的数据报方式，这是一种尽力而为的传输方式。

信元交换：即ATM（异步传输）交换，它的分组叫做信元，长度是固定的53个字节，5字节的头部，48个字节的信息负荷。这个知识点，2020年曾经考过。ATM交换采用ATM虚电路，是以信元为基础的面向连接的分组交换技术，具有电路交换和分组交换的双重属性。因此，也可以把数据交换方式归类为三种：电路交换、报文交换和分组交换。

另外，还有软交换、IP交换，这两种不是基本的数据交换的方式，可以认为是一种网络架构。软交换主要构想就是控制与承载分离。IP交换则是IP路由器和ATM交换机的结合，部分采用硬件来实现路由转发，而不是软件转发。IP交换的主要实例是MPLS多协议标签交换，这也是IPRAN网络、MPLS VPN的基础协议。

22、SDH的帧结构包括（22）。

A.再生段开销、复用段开销、管理单元指针、信息净负荷

B.通道开销、信息净负荷、段开销

C.容器、虚容器、复用、映射

D.再生段开销、复用段开销、通道开销、管理单元指针

【参考答案】A

【真题解析】SDH帧由270*N列*9行，即帧长度为270*N*9个字节，一帧的时间为125微妙。整个帧结构可以分为段开销区域、信息净负荷、管理单元指针，其中段开销又分为再生段开销和复用段开销。

23、假设客户端采用持久型HTTP 1.1版本向服务器请求一个包含10个图片的网页。设基础页面传输时间为Tbas，图片传输的平均时间为Timg,客户端到服务器之间的往返时间为RTT，则从客户端请求开始到完整取回该网页所需时间为(23)。

A.1xRTT+1xTbas+10xTimg

B.1xRTT+10xTbas+10xTimg

C.5xRTT+1xTbas+10xTimg

D.11xRTT+1xTbas+10xTimg

【参考答案】D

【真题解析】HTTP/1.1支持流水线、非流水线方式的持久型连接。持久连接就是服务器在发送响应后仍然在一段时间内保持这条连接，使同一个客户端和该服务器可以继续在这条连接上传送后续的HTTP请求报文和响应报文，整个过程只需要建立一次TCP连接，非持续连接每次传输对象都需要建立TCP连接。

以传输1个HTML基础文件，n个图片为例。

1、持久非流水线方式:全部文件共用一条TCP连接，但每个文件的请求过程不并行，相关的公式如下：

T＝RTT(建立TCP) + RTT(请求HTML文件) + T( HTML文件) + n(RTT(请求图片) + T(图片))

2、持续流水线:全部文件共用一条TCP连接，图片类请求文件的过程是并行的，相关公式如下：

T＝RTT(建立TCP) + RTT(请求 HTML) + T( HTML) + RTT(请求图片) + nT(图片)

采用流水线方式，对所有图片的请求只需要一个RTT时间，而非流水线每传输一个图片都需要一个RTT时间。

在本题中，忽略了建立TCP的RTT时间。因此采用非流水线方式，时间为1*Tbas+10*Timg+11RTT。采用流水线方式，时间为1*Tbas+10*Timg+2RTT。

所以，本题答案为D。

24、在CSMA/CD中，同一个冲突域中的主机连续经过3次冲突后，每个站点在接下来 信道空闲的时候立即传输的概率是(24)。

A.1 B.0.5 C.0.25 D.0.125

【参考答案】D

【真题解析】在以太网中，采用二进制指数退避算法来降低冲突的概率，相应的概率公式是1/（2的n次方），超过16次则会丢弃传输的帧。经过3次冲突传输的概率是0.125，如果是16次，算出的值就基本为0了。

25、在下图所示的网络拓扑中，假设自治系统AS3和AS2内部运行OSPF, AS1和 AS4内部运行RIP。各自治系统间用BGP作为路由协议，并假设AS2和AS4之间没有物理链路。则路由器3c基于(25)协议学习到网络x的可达性信息。1d通过(26)学习到x 的可达性信息。

A.OSPF B.RIP C.eBGP D.iBGP

【参考答案】C

【真题解析】自治系统AS之间采用BGP协议作为路由协议，分为内部边界网关协议IBGP和外部边界网关协议EBGP。两个或多个交换BGP报文的对等实体属于同一个自治系统，采用IBGP。反之，则采用EBGP。IBGP不需要邻居之间有物理连接，只需要逻辑连接即可，而EBGP下一般情况下都要求邻居之间存在物理连接。本题中，路由器3c到网络x，分属不同的AS，因此是基于EBGP协议的。

26、在下图所示的网络拓扑中，假设自治系统AS3和AS2内部运行OSPF, AS1和 AS4内部运行RIP。各自治系统间用BGP作为路由协议，并假设AS2和AS4之间没有物理链路。则路由器3c基于(25)协议学习到网络x的可达性信息。1d通过(26)学习到x 的可达性信息。

A.3a B.1a C.1b D.1c

【参考答案】A

【真题解析】AS1和AS4运行的是RIP协议，AS2和AS3运行OSPF协议，但AS2、AS4之间没有物理链路相连。路由器1d学习网络x的路由信息，只能通过AS3。根据RIP协议，在AS1内，通往AS3的最优路径，即往AS3的距离最短的下一跳是1a。

27、Traceroute在进行路由追踪时发出的ICMP消息(27)，收到的消息是中间节点 或目的节点返回的(28)。A.Echo Request B.Timestamp Request

C.Echo Reply D.Timestamp Reply

【参考答案】 A

28、Traceroute在进行路由追踪时发出的ICMP消息(27)，收到的消息是中间节点 或目的节点返回的(28)。A.Destination Unreachable B.TTL Exceeded

C.Parameter Problem D.Source Route Failed 【参考答案】 B

【真题解析】首先，我们用tracert 命令来追踪www.sohu.com的路由，然后用wireshark来抓包分析。

在wireshark地址栏输入ip.addr ==122.190.108.108,筛选出相应的ICMP报文。

这里可以清楚的看到，发出的Echo Request消息，收到的消息是TTL Exceeded 。

再来看下ICMP报文。

可以清楚的看到，代表头部长度的IHL字段长度是4比特。IHL字段的作用是用来指定IP头部的长度的，但是单位是以4字节为单位的。IP头部的最小长度是20个字节，所以IHL的最小值是20/4=5，二进制就是0101。

IP头部固定长度是20个字节，但可以有可变填充的字节，最长的是60个字节，即IHL二进制是1111，十进制即15，那么就是15*4=60。

29、下列不属于快速UDP互联网连接(QUIC)协议的优势是(29)。

A.高速且无连接

B.避免队头阻塞的多路复用

C.连接迁移

D.前向冗余纠错

【参考答案】A

【真题解析】QUIC（Quick UDP Internet Connection）快速UDP互联网连接协议是谷歌制定的一种基于UDP的低时延的多路并发互联网传输层协议。其主要特性是连接建立延时低，因此它的效率更高，同时在应用程序层面实现TCP的可靠性。

QUIC的主要优势是：

1、减少了 TCP 三次握手及 TLS 握手时间。

2、改进的拥塞控制。

3、避免队头阻塞的多路复用。

4、连接迁移。

5、前向冗余纠错。

因此，本题的答案是A。A选项的迷惑性挺强，QUIC基于UDP，面向无连接，但特性不是高速，而是高效率、低延时。

30、对于链路状态路由算法而言，若共有N个路由器，路由器之间共有M条链路，则链路状态通告的消息复杂度以及接下来算法执行的时间复杂度分别是(30)。

A.O(M2)和0(N2)

B.O(NM)和0(N2)

C.O(N2)和0(M2)

D.O(NM)和0(M2)

【参考答案】B

【真题解析】链路状态路由LS算法基于Dijkstra算法。按照题意，N个路由器之间共有M条链路，消息的复杂度是O(NM),即一条链路发生变化，要通知所有节点。算法执行的最差时间复杂度为O(N2)，平均时间复杂度为O(nlogn)。

31、距离向量路由协议所采用的核心算法是(31)。

A.Dijkstra算法

B.Prim算法

C.Floyd算法

D.Bellman-Ford算法

【参考答案】D

【真题解析】距离向量路由协议核心算法是Bellman-Ford，而链路状态协议则基于Dijkstra算法。

32、IPv4报文分片和重组分别发生在(32)。

A.源端和目的端

B.需要分片的中间路由器和目的端

C.源端和需要分片的中间路由器

D.需要分片的中间路由器和下一跳路由器

【参考答案】B

【真题解析】为了实现IP数据包能够使用不同的链路层技术，需要将IP数据包变成适合链路层的数据格式，即IP报文的分片。MTU最大传输单元决定了数据载荷的最大长度，如IP报文长度比MTU大，则IP数据包必须进行分片。每一片的长度都小于等于MTU减去IP首部长度。

分片在发送方和中间转发时都会发生，只要发送或转发方发现某个分片大小超过了自己能传输的MTU值，就会把这个分片进一步进行分片；但是在转发的过程中，转发节点是从来不会将分片重新重组起来的。重组只有在目的节点收到了所有的分片之后才会进行。A选项也可以算对，不过加上需要分片会更为严谨。

33、下图为某网络拓扑的片段,将1和2两条链路聚合成链路G1,并与链路3形成VRRP 主备关系，管理员发现在链路2出现CRC错误告警，此时该网络区域可能会发生的现象是(33)。

A. 从网管系统看链路2的状态是Down

B.部分用户上网将会出现延迟卡顿

C.VRRP主备链路将发生切换

D.G1链路上的流量将会达到负载上限

【参考答案】B

【真题解析】虚拟路由冗余协议VRRP，是一种容错性的协议，通过将多台设备虚拟化成一台设备，如果其中一台设备出现故障，那么另一台设备可以迅速接替其工作，已保证链路的可靠性和连续性。

链路1和链路2通过链路聚合协议LACP聚合成链路G1，当链路2出现CRC错误告警，可能是误码、帧丢失等故障，但物理连接没有中断，端口不会是Down的状态。但由于发生CRC错误，这将会导致其承载的用户上网发生延迟、卡顿。

因为链路2还具有传输的作用，不会进行分流，因此也不会出现由链路1全部承受负载的现象，因此并不会导致G1的流量达到上限。

另外，因为链路1还是正常工作的，G1链路还在正常工作，单点没有失效，所以也不会发生VRRP倒换。

34、若循环冗余校验码CRC的生成器为10111，则对于数据10100010000计算的校验码应为(34)。该CRC校验码能够检测出的突发错误不超过(35)。A.1101

B.11011

C.1001

D.10011

【参考答案】A

35、若循环冗余校验码CRC的生成器为10111，则对于数据10100010000计算的校 验码应为(34)。该CRC校验码能够检测出的突发错误不超过(35)。A.3 B.4 C.5 D.6

【参考答案】B

【真题解析】已知CRC的生成器为10111，则对应的生成多项式为X4+X2+X+1，即多项式的位数最高为4，该CRC校验码最多能检测的突发错误不超过4位。

在数据10100010000后加上3（4-1=3）个0，即10100010000 000，然后用模2除法除以10111，得出校验码（余数）为1101。

36、(36)子系统是楼宇布线的组成部分。

A. 接入 B.交换 C.垂直 D.骨干

【参考答案】C

【真题解析】综合布线系统分为建筑群子系统、管理子系统、设备间子系统、干线(垂直)子系统、配线(水平)子系统、工作区子系统。

37、客户端通过DHCP获得IP地址的顺序正确的是(37)。

①客户端发送DHCP REQUEST请求IP地址

②SERVER发送DHCP OFFER报文响应

③客户端发送DHCP DISCOVER报文寻找DHCP SERVER

④SERVER收到请求后回应ACK响应请求

A.①②③④ B.①④③②

C.③②①④ D.③④①②

【参考答案】C

38、某高校计划采用扁平化的网络结构。为了限制广播域、解决VLAN资源紧缺的问题，学校计划采用QinQ(802.1Q-in-802.1Q)技术对接入层网络进行端口隔离。以下关于QinQ技术的叙述中，错误的是(38)。

A.一旦在端口启用了QinQ，单层VLAN的数据报文将没有办法通过

B.QinQ技术标准出自IEEE 802.1ad

C.QinQ技术扩展了VLAN数目，使VLAN的数目最多可达4094*4094个

D.QinQ技术分为基本QinQ和灵活QinQ两种

【参考答案】A

【真题解析】QinQ技术标准出自IEEE 802.1ad，实现将用户私网VLAN Tag封装在公网VLAN Tag中，使报文带着两层VLAN Tag穿越公网，从而为用户提供一种较为简单的二层VPN隧道。

当接口收到带有单层VLAN Tag的报文时，会将报文中携带的单层VLAN Tag映射为公网的VLAN Tag，所以不存在单层VLAN转发不出去的现象。

QinQ通过在以太帧中堆叠两个802.1Q报头，有效地扩展了VLAN数目，使VLAN的数目最多可达4094x4094个，可分为基本QinQ和灵活QinQ两种。基本QinQ基于端口，而灵活QinQ端口与 VLAN 相结合的方式。

39、下面支持IPv6的是 (39)。

A.OSPFv1 B.OSPFv2

C.OSPFv3 D.OSPFv4

【参考答案】C

【真题解析】支持IPv6的协议分别是RIPng、OSPFv3、BGP4+。本题中，OSFPv1、OSPFv2都是支持IPv4的协议。

40、以下关于OSPF特性的叙述中，错误的是(40) 。

A.OSPF采用链路状态算法

B.每个路由器通过泛洪LSA向外发布本地链路状态信息

C.每台OSPF设备收集LSA形成链路状态数据库

D.OSPF区域0中所有路由器上的LSDB都相同

【参考答案】C

【真题解析】OSPF(Open Shortest Path First)开放最短路径优先协议是一个内部网关协议，也是一种典型的链路状态路由协议，采用SFP算法，主要用于单一自治系统AS内决策路由。其主要工作过程是：邻居发现、路由交换、路由计算、路由维护。

OSPF 路由器启动后以固定的时间间隔泛洪传播 Hello 报文，用来发现邻居。在通过Hello报文发现彼此后，这两台路由器便形成了邻居关系。邻居关系的建立只是一个开始，后续会进行其他的报文交互，建立毗邻关系。但并不是每一对邻居都需要交换LSDB信息，因此不是每一对邻居都要建立毗邻关系。

OSPF 路由器之间通过链路状态公告 LSA 交换网络拓扑信息，形成LSDB链路状态数据库。

OSPF协议将网络进划分成较小的区域，限制路由信息的传播范围。每一个区域，都相当于是一个独立的网络。其中区域0是OSPF的主干网络，负责在各个路由区域内传播路由信息。

在多区域网络中， OSPF 路由器可以按不同的功能划分为以下四种。

1、内部路由器：所有接口在同一区域内的路由器，只维护一个链路状态数据库。

2、主干路由器：具有连接主干区域接口的路由器。

3、区域边界路由器 ABR: 连接多个区域的路由器，一般作为一个区域的出口。ABR为

每一个连接的区域建立一个LSDB链路状态数据库，负责将所连接区域的路由摘要信息发送到主干区域，而主干区域上的 ABR 则负责将这些信息发送给各个区域。

4、自治系统边界路由器 (ASBR): 至少拥有一个连接外部自治系统接口的路由器，负责

将外部非 OSPF 网络的路由信息传入 OSPF 网络。

即如果存在多区域的话，区域0中的ABR还包含有其他区域的LSBD信息，所以在区域0中，并不一定所有路由器LSDB都相同。

41、策略路由通常不支持根据(41)来指定数据包转发策略。

A. 源主机IP

B.时间

C.源主机MAC

D.报文长度

【参考答案】C

【真题解析】策略路由可基于源IP、目标IP、源端口、目标端口、协议、时间来设置，但不能基于源主机MAC地址。

42、SDN的网络架构中不包含(42)。

A.逻辑层

B.控制层

C.转发层

D.应用层

【参考答案】A

【真题解析】SDN 软件定义网络（Software Defined Network）是一种数据控制分离、软件可编程的新型网络体系架构。SDN采用了集中式的控制平面和分布式的转发平面，两个平面相互分离，控制平面利用控制转发通信接口对转发平面上的网络设备进行集中式控制。

即SDN网络架构从下至上分为三层：转发层、控制层、应用层。因此，本题答案为A。

43、窃取是一种针对数据或系统的(43)的攻击。DDoS攻击可以破坏数据或系统的 (44)。

A.可用性

B.保密性

C.完整性

D.真实性

【参考答案】B

44、窃取是一种针对数据或系统的(43)的攻击。DDoS攻击可以破坏数据或系统的 (44)。

A.可用性

B.保密性

C.完整性

D.真实性

【参考答案】A

45、以下关于IPSec的说法中，错误的是(45) 。

A.IPSec用于增强IP网络的安全性，有传输模式和隧道模式两种模式

B.认证头AH提供数据完整性认证、数据源认证和数据机密性服务

C.在传输模式中, 认证头仅对IP报文的数据部分进行了重新封装

D.在隧道模式中，认证头对含原IP头在内的所有字段都进行了封装

【参考答案】B

【真题解析】IPsec主要由以下协议组成：

认证头（AH）：为IP数据报提供无连接数据完整性、消息认证以及防重放攻击保护。

封装安全载荷（ESP）：提供机密性、数据源认证、无连接完整性、防重放和有限的传输流机密性。

安全关联（SA）：提供算法和数据包，提供AH、ESP操作所需的参数。

密钥协议（IKE），提供对称密码的钥匙的生存和交换。

因此，本题B是错误的。

46、（）是由我国自主研发的无线网络安全协议。

A.WAPI

B.WEP

C.WPA

D.TKIP

【参考答案】A

【真题解析】WEP（Wired Equivalent Privacy）有线等效保密协议，属于802.11协议的一部分，用于WLAN的加密传输，但很容易被破解，因此基本已淘汰。

WPA(Wi-Fi Protected Access)Wi-Fi访问保护协议，有WPA、WPA2和WPA3三个标准，用于取代WEP协议。

TKIP协议(Temporal Key Integrity protocol)同样属于802.11协议，用来解决WEP容易被破解而提出的临时性加密协议，它并不是802.11推荐的强制加密协议。简单的说，TKIP主要是用来加强WEP加密功能的。

WAPI （Wireless LAN Authentication and Privacy Infrastructure）无线局域网鉴别和保密基础架构协议，是中国无线局域网安全强制性标准，最早由西安电子科技大学综合业务网理论及关键技术国家重点实验室提出。

当前全球无线局域网领域仅有的两个标准，分别是美国的IEEE 802.11系列标准、中国的WAPI标准。WAPI是我国首个在计算机宽带无线网络通信领域自主创新并拥有知识产权的安全接入技术标准。

47、某Web网站向CA申请了数字证书。用户登录过程中可通过验证(47) 确认该证书的有效性，以(48)。

A.CA的签名

B.网站的签名

C.会话密钥

D.DES密码

【参考答案】A

48、某Web网站向CA申请了数字证书。用户登录过程中可通过验证(47) 确认该证书的有效性，以(48)。

A.向网站确认自己的身份

B.获取访问网站的权限

C. 和网站进行双向认证

D.验证网站的真伪

【参考答案】D

49、某公司要求数据备份周期为7天，考虑到数据恢复的时间效率，需采用(49) 备略。

A.定期完全备份

B.定期完全备份+每日增量备份

C.定期完全备份+每日差异备份

D.定期完全备份+每日交替增量备份和差异备份

【参考答案】A

【真题解析】在进行数据备份时，可以采用不同的备份策略，主要的备份策略一般分为完全备份、增量备份和差异备份。

完全备份：完全备份是指把所有需要备份的数据全部备份。完全备份的好处是数据恢复方便，因为所有的数据都在同一个备份中，所以只要恢复完全备份，所有的数据都会被恢复，恢复起来最快最方便。

增量备份：增量备份是指在一次全备份或上一次增量备份后，以后每次的备份只需备份与前一次相比增加和者被修改的文件。这种备份方式最显著的优点就是：没有重复的备份数据，因此备份的数据量不大，备份所需的时间很短，但恢复起来比较麻烦。

差异备份：备份自上一次备份（包含完全备份、差异备份、增量备份）之后有变化的数据。占用的存储空间比完全备份的少，恢复起来比增量备份方便。这是一种折衷的方法。

考虑到恢复速度，那应该是完全备份，本题选A。

50、某网站的域名是www.xyz.com，使用SSL安全页面，用户可以使用(50) 访问该网 站。

A.http://www.xyz.com

B.https://www.xyz.com

C.files://www.xyz.com

D.ftp: //www.xyz.com

【参考答案】B

【真题解析】Web网站的CA证书一般指的是SSL证书。如果网站安装了SSL证书，则需要通过https协议访问，浏览器的输入栏会显示小锁图标，相关的url是https://域名。

SSL证书由CA认证机构颁发，包含有效日期、公玥算法、证书签名算法、证书签名等。

当用户第一次登录该网站时，会提示安装安全证书，通过验证CA的签名，来确认该网站是可信的。如果提示证书不可信，则正在浏览的网站可能是伪造的，继续浏览可能存在风险。

51、以下关于链路加密的说法中，错误的是(51)。

A.链路加密网络中每条链路独立实现加密

B.链路中的每个节点会对数据单元的数据和控制信息均加密保护

C.链路中的每个节点均需对数据单元进行加解密

D.链路加密适用于广播网络和点到点网络

【参考答案】D

【真题解析】在采用链路加密的网络中,每条通信链路上的加密是独立实现的。通常对每条链路使用不同的加密密钥。当某条链路受到破坏时不会导致其他链路上传送的信息被析出。

链路中协议数据单元PDU中的协议控制信息数据都被加密,这样就可以掩盖源点和终点的地址。但由于报文是以明文形式在节点内部加密的，所以必须保证节点的安全性。链路加密的最大缺点是在中间结点暴露了信息的内容。在网络互连的情况下,仪米用链路加密是不能实现通信安全的。

此外,链路加密不适用于广播网络,因为它的通信子网没有明确的链路存在。若将整个PDU加密，将造成无法确定接收者和发送者。

52、在运行OSPF的路由器中，可以使用(52) 命令查看OSPF进程下路由计算的统计信息，使用(53) 命令查看OSPF邻居状态信息。

A.display ospf cumulative

B.display ospf spf-statistics

C.display ospf global-statics

D.display ospf request-queue

【参考答案】B

53、在运行OSPF的路由器中，可以使用(52) 命令查看OSPF进程下路由计算的统计信息，使用(53) 命令查看OSPF邻居状态信息。

A.display ospf peer

B.display ip ospf peer

C. display ospf neighbor

D.display ip ospf neighbor

【参考答案】A

【真题解析】

display ospf cumulative，查看OSPF统计信息。

display ospf spf-statistics，查看OSPF进程下的路由统计信息。

display ospf global-statics，查看OSPF协议的全局统计信息。

display ospf request-queue,查看OSPF的请求列表信息。

display ospf peer,查看OSPF邻居信息。

54、以下关于IPv6地址的说法中，错误的是(54) 。

A.IPv6采用冒号十六进制，长度为128比特

B.IPv6在进行地址压缩时双冒号可以使用多次

C.IPv6地址中多个相邻的全零分段可以用双冒号表示

D.IPv6地址各分段开头的0可以省略

【参考答案】B

【真题解析】IPv6是点分十六进制的IP地址，共计128位，用冒号分为8段，每段16位。IPv6地址比较长，经常会出现多个连续出现多个0，因此，每一段中开始的0是可以省略的。如果这一段中全是0的话，可以直接用一个0代替。如果有一段或连续几段都是0，那么这些段可以用一个::双冒号来标识。但是要注意，::双冒号这个标识只能出现一次。

55、在IPv6中，(55)首部是每个中间路由器都需要处理的。

A. 逐跳选项

B.分片选项

C.鉴别选项

D.路由选项

【参考答案】A

【真题解析】IPv6头部固定是40个字节，结构和IPv4大致雷同，但没有IPv4中的IHL字段，而是DS、ECN字段，这两个是用来做Qos服务质量的，流标签用来标记数据流的身份，实现对服务质量的支持。下一个头部，用来区分不同的扩展头，比如ICMP、ESP、AH等。

根据题意，以及IPv6头部字段种类，只有跳数限制选项是需要每个路由器需要处理的，其余分片等功能是由扩展头来实现。

56、在GPON中，上行链路采用（56）的方式传输数据。

A. TDMA

B. FDMA

C. CDMA

D. SDMA

【参考答案】A

57、在PON网络中，上行传输波长为（57）nm。

A.850

B.1310

C.1490

D.1550

【参考答案】B

【真题解析】GPON采用WDM波分复用技术，实现单纤双向传输通过上。上下行采用不同的波长进行数据传输。上行采用1310nm波长，下行采用1490nm波长。下行通过广播的方式发送数据，而上行通过TDMA的方式，按照时隙进行数据上传。

EPON也GPON差不多，只是波长略有差异。使用2个波长时，下行（OLT到ONU）使用1510nm波长，上行（ONU到OLT）使用1310nm波长，用于分配数据、语音和视频业务。因此，不管是EPON还是GPON，其上行波长都是1310nm。

58、某居民小区采用FTTB+HGW网络组网，通常情况下，网络中的(58)部署在汇聚机房。

A.HGW B.Splitter C.OLT D.ONU

【参考答案】C

【真题解析】小区覆盖采取光纤到楼栋FTTB+HGW家庭网关的组网方式，实际就是一种PON网络，两个核心的网元就是OLT和ONU，ONU即家庭网关，OLT光纤线路接入终端一般部署在汇聚机房，下接分光器，通过光纤连至ONU。

59、以下关于光功率计功能的说法，错误的是（59）。

A. 可以测量激光光源的输出功率

B. 可以测量LED光源的输出功率

C. 可以确认光纤链路的损耗估计

D. 可以通过光纤一端测得光纤损耗

【参考答案】B

【真题解析】LD即称为半导体激光器，现在所有的传输设备都是LD激光器，波长是850、1310、1550三种。LED则是发光二极管，比如说我们现在家用的LED灯，它可以发出红、橙、黄等不同颜色的光，其波长从450-650nm之间。而我们工程用的光功率计，一般只有两个波长测试范围，就是1310和1550，有些也有1490的波长。因此，光功率计测量的LED光功率是不准确的，波长是不匹配的。

比如夏天，用光功率计收光口对着太阳，也会显示测试数据，是否认为光功率计可以测量太阳光？

光功率计单位是dBm分贝毫瓦。既可以直接测量光源的额定光功率，也可以经过一段光纤，通过接收功率减去发送光功率，近似计算整个光纤链路的损耗。直接测量光纤损耗只能通过OTDR光时域反射仪。

60、8块300G的硬盘做RAID5后的容量是(60)，RAID5最多可以损坏(61) 块硬盘而不丢失数据。

A.1.8T B.2.1T C.2.4T D.1.2T

【参考答案】B

61、8块300G的硬盘做RAID5后的容量是(60)，RAID5最多可以损坏(61) 块硬盘而不丢失数据。

A.0 B.1 C.2 D.3

【参考答案】B

【真题解析】RAID 5可以认为为是RAID 0和RAID 1的折中方案，至少需要3块硬盘，最多损坏1块硬盘，可以保证不丢失数据。

因为RAID 5要需要1块硬盘容错、并行读取，所以可用硬盘数为：n-1，即容量为：单块磁盘容量*（n-1)。8块300G硬盘做成RAID5的容量为7*300G=2.1T。

62、在无线网络中，通过射频资源管理可以配置的任务不包括(62)。

A.射频优调

B.频谱导航

C.智能漫游

D.终端定位

【参考答案】C

【真题解析】WLAN无线网络中，通过射频资源管理可以配置射频优调、智能漫游、信道自动选择、负载均衡、频谱导航等任务。WLAN网络可以定位，主要是基于信号强度，并不是通过射频资源管理来实现的。

63、在无线网络中，天线最基本的属性不包括(63)。

A.增益 B.频段 C.极化 D.方向性

【参考答案】C

【真题解析】天线的主要参数是：天线效率、方向性系数、增益系数、方向图、工作频率、输入阻抗。极化是与天线的架设方向相关的，比如水平极化、垂直极化等，这并非天线的基本属性。

64、下列路由表的概要信息中，迭代路由是(64)，不同的静态路由有(65)条。

A.10.10.0.0/24

B.10.2.2.2/32

C.127.0.0.0/8

D.10.1.1.1/32

【参考答案】B

65、下列路由表的概要信息中，迭代路由是(64)，不同的静态路由有(65)条。

A.1 B.2 C.3 D.4

【参考答案】D

【真题解析】这道题考查华为VRP平台命令，路由表中Flags标记路由的类型。R是relay的首字母，说明是迭代路由，根据路由下一跳的IP地址获取出接口。配置静态路由时如果只指定下一跳IP地址，而不指定出接口，就是迭代路由。Static表明是静态路由，Direct则是直连路由。

从图中的路由表可以看出，静态路由有4条，迭代路由有2条。

66、下列命令片段用于配置(66）

<HUAWEI> system-view

[~HUAWEI] interface 10ge1/0/1

[~HUAWEI-10GE1/0/1] loopback-detect enable

[*HUAWEI-10GE1/0/1] commit

A.环路检测

B.流量抑制

C.报文检查

D.端口镜像

【参考答案】A

67、某主机可以ping通本机地址，而无法ping通网关地址，网络配置如下图所示， 造成该故障的原因可能是(67) 。

A.该主机的地址是广播地址

B.默认网关地址不属于该主机所在的子网

C.该主机的地址是组播地址

D.默认网关地址是组播地址

【参考答案】B

【真题解析】从图上我们可以看出，主机地址是10.65.10.10，子网掩码是255.255.255.248,网关地址是10.65.10.7。子网掩码对应的只有8个地址，最小的一个IP地址是10.65.10.249。很明显，子网掩码设置不对，ping网关地址肯定是不通的。

68、某分公司财务PC通过专网与总部财务系统连接，拓扑如下图所示。某天，财务PC访问总部财务系统速度缓慢、时断时好，网络管理员在财务PC端ping总部财务 系统，发现有网络丢包，在光电转换器1处ping总部财务系统网络丢包症状同上，在 专网接入终端处ping总部财务系统，网络延时正常无丢包，光纤1两端测得光衰为- 28dBm，光电转换器1和2指示灯绿色闪烁。初步判断该故障原因可能是(68)，可采用 (69)措施较为合理。

A.财务PC终端网卡故障

B.双绞线1链路故障

C. 光纤1链路故障

D.光电转换器1、 2故障

【参考答案】C

69、某分公司财务PC通过专网与总部财务系统连接，拓扑如下图所示。某天，财 务PC访问总部财务系统速度缓慢、时断时好，网络管理员在财务PC端ping总部财务系统，发现有网络丢包，在光电转换器1处ping总部财务系统网络丢包症状同上，在 专网接入终端处ping总部财务系统，网络延时正常无丢包，光纤1两端测得光衰为- 28dBm，光电转换器1和2指示灯绿色闪烁。初步判断该故障原因可能是(68)，可采用 (69)措施较为合理。

A.更换财务PC终端网卡

B.更换双绞线1

C.检查光纤1链路，排除故障，降低光衰

D.更换光电转换器1、2

【参考答案】C

【真题解析】网络管理员ping总部财务系统，发现有丢包，故障原因有可能是线路故障，也可以是设备故障。但光电转换器绿灯闪烁，说明设备没有问题。从专网接入终端ping总部财务系统，一切正常，说明问题存在于光电转化器到用户PC这一段。

其实从光衰为-28dBm，就已经能说明问题，线路衰耗太大。一般情况下，长距离80公里的光模块的极限收光功率就在-28dBm，但分公司内部显然是10公里的短距离光模块，收光功率-20dBm左右才是比较理想的状态。

所以故障的原因在于光纤1链路故障，需要修复光纤，减少光衰。

70、以下关于项目风险管理的说法中，不正确的是(70) 。

A.通过风险分析可以避免风险发生，保证项目总目标的顺利实现

B.通过风险分析可以增强项目成本管理的准确性和现实性

C.通过风险分析来识别、评估和评价需求变动，并计算其对盈亏的影响

D.风险管理就是在风险分析的基础上拟定出各种具体的风险应对措施

【参考答案】A

【真题解析】风险分析是项目风险管理的首要工作，是实施项目风险管理的重要内容，包括风险识别、风险估计、风险管理策略、风险解决和风险监督等。风险分析能降低风险发生的概率，但并不能避免风险的发生。

71-75、Data security is the practice of protecting digital information from (71) access, corruption,or theft throughout its entire lifecycle. It is a concept that encompasses every aspect of information security from the (72) security of hardware and storage devices to administrative and access controls,as well as the logical security of software applications. It also includes organizational (73) and procedures.Data security involves deploying tools and technologies that enhance the organization's Visibility into where its critical data resides and how itis used. These tools and technologies should (74) the growing challenges inherent in securing today's complex distributed,hybrid,and/or multicloud computing environments.Ideally,these tools should be ableto apply protections like (75) ,data masking,and redaction of sensitive files, and should automate reporting to streamline audits and adhering to regulatory requirements.

71、

A.unauthorized

B.authorized

C.normal

D.frequent

72、

A.logical

B.physical

C.network

D.Information

73、

A.behaviors

B.cultures

C.policies

D.structures

74、

A.address

B.define

C.ignore

D.pose

75、

A.compression

B.encryption

C.decryption

D.translation

【参考答案】

A、B、C、A、B

【参考译文】数据安全性是指在数字信息的整个生命周期中保护数字信息不受非授权访问、损坏或盗窃的行为。这一概念涵盖了信息安全的各个方面，从硬件和存储设备的物理安全到管理和访问控制，以及软件应用程序的逻辑安全，它还包括安全策略及相关流程。

数据安全涉及部署相关工具和技术，以加强组织关键数据，以及这些数据所处位置和使用方式的可见性。这些工具和技术应当定义，如何应对当今复杂的分布式、混合和/或多云计算环境所固有的日益增长的挑战。理想情况下，这些工具应该能够应用加密，数据屏蔽和敏感文件编校等保护策略，并可以自动提交安全报告，以简化审核，且报告符合相关法规要求。

试题一（25分）

某园区组网图如图1-1所示。该网络中接入交换机利用QinQ技术实现二层隔离。根据不同位置用户信息打外层VLAN标记，可以有效避免广播风暴，实现用户到网关流量的统一管理。同时,在网络中部署集群交换机系统CSS及Eth-trunk提高网络的可靠性。

【问题1】（8分)

请简要分析该网络接入层的组网特点(优点及缺点各回答2点）。

【参考答案】优点：1、以较低的成本实现二层VPN；2、QinQ技术扩展了VLAN资源，可以按照VLAN区分用户，且可以有效的避免广播风暴。

缺点：1、接入层交换机以单点接入汇聚层，可靠性不高。2、汇聚层交换机的负荷较大，有可能形成瓶颈，影响下挂业务。

【问题2】（6分）

当该园区网用户接入点增加.用户覆盖范围扩大，同时要求提高网络可靠性时。某网络工程师拟采用环网接入+虚拟网关的组网方式。

（1）如何调整交换机的连接方式组建环网？

【参考答案】接入层每一台交换机分别连接两台汇聚交换机，形成双节点结构，使汇聚层交换机、接入层交换机都在环网上。

（2）在接入环网中如何避免出现网络广播风暴？

【参考答案】接入层交换机启用STP生成树协议、MSTP多区域生成树协议来解决以太网环路，防止网络广播风暴。

（3）简要回答如何设置虚拟网关？

【参考答案】在核心交换机上配置VRRP虚拟路由器冗余协议，该虚拟路由器由一个master设备和一个backup设备组成，正常情况下，业务全部由master承担，所有用户端仅需设置虚拟IP为网关地址。当master出现故障时，backup接替工作，及时将业务切换到备份路由器，从而保证业务的连续性和可靠性。

【问题3】（6分）

该网络通过核心层进行认证计费，可采用的认证方式有哪些？

【参考答案】可以采用的认证方式是802.1X、Portal(web认证）和PPPOE认证。

【问题4】（5分）

（1）该网络中，出口路由器的主要作用有哪些？

【参考答案】路由选择、NAT、ACL、冗余保护等功能。

（2）应添加什么设备加强内外网络边界安全防范？放置在什么位置？

【参考答案】应添加防火墙设备加强内外网边界安全防范，防火墙放置在核心交换机和出口路由器之间。

---

试题二（25分）

图2-1为某数据中心分布式存储系统网络架构拓扑图每个分布式节点均配置1块双端口10GE光口网卡和1块1GE电口网卡，SW3是存储系统管理网络的接入交换机交换机，交换机SW1和SW2连接各分布式节点和SW3交换机，用户通过交换机SW4接入访问分布式存储系统。

【问题1】（10分）

图2-1中，通过（1）技术将交换机SW1和SW2连接起来，从逻辑上组合成一台交换机，提高网络稳定性和交换机背板带宽。分布式节点上的2个10GE口采用（2）技术可以实行存储节点和交换机之间的链路冗余和流量负载均衡。交换机SW1与分布式节点连接介质应采用（3），SW3应选用端口速率至少为（4）bps的交换机，SW4应选用端口速率至少为（5）bps的交换机。

【参考答案】堆叠、链路聚合、多模光纤、1G、10G

【问题2】（9分）

1、分布式存储系统采用什么技术实现数据冗余？

【参考答案】可以采用三副本分布式存储来实现数据冗余，最大可抵御不同节点两个硬盘同时损坏。也可以采用双重RAID，可同时抵御每个节点上一个或多个硬盘损坏。三副本分布式存储，随着系统规模的扩大，数据可靠性明显降低；而双重RAID， 其数据可靠性随着节点数增加仍然可以保持较高水平。

2、常见的分布式存储架构有无中心节点架构和有中心节点架构，HDFS( Hadoop Distribution File System)分布式文件系统属于（6）架构，该文件系统由一个（7）节点和若干个DataNode组成。

【参考答案】有中心节点、NameNode。

NameNode是HDFS的主节点，负责元数据的管理以及客户端对文件的访问。管理数据块的复制，它周期性地从集群中的每个DataNode接收心跳信号和块状态报告。DataNode是HDFS的从节点，负责具体数据的读写，数据的存储。

3、分布式系统既要性能高，又要在考虑成本的情况下采用了廉价大容量磁盘，请说明如何配置磁盘较为合理？并说明配置的每种类型磁盘的用途。

【参考答案】采取SSD+HDD混合式存储。SSD(固态硬盘)相比起HDD（传统硬盘），没有磁头、马达等一系列组件，使用Flash芯片作为存储介质，速度、功耗、抗震等均优于传统硬盘，具有更高的读取带宽、IOPS等，但成本较高，写性能不佳。而HDD比较廉价，读写性能尚可。

因此，可以用SSD用作分布式系统的系统盘，提高系统启停性能，而HDD用作数据盘，适合数据的反复读写。

【问题3】（6分）

随着数据中心规模的不断扩大和能耗不断提高，建设绿色数据中心是构建新一代信息基础设施的重要任务，请简要说明在数据中心设计时可以采取哪些措施，可以降低数据中心用电？（至少回答三点措施）

【参考答案】1、采用自然冷却源，比如将数据中心建在西部，利用当地温度较低的环境，降低风机的启用时间，或者将数据仓建在湖底、海底。比如阿里的乌兰察布数据中心、千岛湖数据中心、海兰信海底数据中心等。

2、将制冷系统从风冷改为水冷，降低PUE值。

3、采用浸没式液冷技术，即将服务器浸没于冷却液中，服务器不需风扇，又不需要建设冷热通道，可以极大减少能耗。目前阿里、网宿等均有相应的液冷技术。

---

试题三（25分）

【案例1】

安全测评工程师小张对某单位的信息系统进行安全渗透测试时，首先获取A系统部署的 Webserver版本信息，然后利用A系统的软件中间件漏洞，发现可以远程在A系统服务器上执行命令，小张控制A服务器后，尝试并成功修改网页。通过向服务器区域横向扫描发现B和C器的root密码均为123456，利用该密码成功登录到服务器并获取root权限。

【案例2】

网络管理员小王在巡查时发现网站访问日志中有多条非正常记录。其中，日志1访问记录为:wwwxx.com/param=1`andupdatexml(1,concat(ox7e,(SELECT MD5(1234),0x7e),1)。日志2访问记录为www.xx.com/js/url.substring(0,indexN2))alert(url);url+=。小王立即采取措施加强web安全防范。

【案例3】

某信息系统在2018年上线时在公安机关备案为等级保护第三级，单位主管认为系统已经定级，此后无须再做等保安全评测。

【问题1】（6分）

信息安全管理机构是行使单位信息安全管理职能的重要构，各个单位应设立（1）领导小组.作为本单位信息安全工作的最高领导决策机构。设立信息安全管理岗位并明确职责，至少应包含安全主管和“三员”，其中“三员”“岗位中：（2）职责包括信息系统安全监督和网络安全管理沟通、协调和组织处信息安全事件等；系统管理员岗位职责包括网络安全设备和服务器的配置、部署、运行维护和日常管理等工作；（3）岗位职责包括对安全、网络、系统、应用、数据库等管理人员的操作行为进行审计，监督信息安全制度执行情况。

【参考答案】信息安全、安全保密员、安全审计员

【问题2】（9分）

1、请分析案例一信息系统存在的安全隐患和问题（至少回答5点）。

【参考答案】Webserver版本信息没有屏蔽；中间件没有定时升级，扫除漏洞；服务器密码弱口令，且多机同一密码；没有部署漏洞扫描设备；没有部署WAF网页防火墙；没有禁止用户远程登录。

2、针对案例一存在的安全隐患和问题，提出相应的整改措施（至少回答4点）

【参考答案】屏蔽Webserver版本信息，升级中间件，部署WAF、入侵检测系统、漏洞扫描等安全设备，使用每台服务器使用不同的强口令，禁止用户远程登录。

【问题3】（6分）

1、案例二中,日志1所示访问记录是(4)攻击,日志2所示访问记录是(5)攻击。

【参考答案】SQL注入、XSS跨站脚本攻击

2、案例二中，小王应采取哪些措施加强web安全防范？

【参考答案】加强服务器配置，使用CMS内容管理系统过滤函数对前端内容进行代码过滤，对服务器的写入权限加强管理，使用WAF网站防火墙。

【问题4】（4分）

案例三中，单位主管的做法明显不符合网络安全等级保护制度要求，请问，该信息系统应该至少（6）年进行一次等保安全评测，该信息系统的网.络日志至少应保存（7）个月。

【参考答案】每、六