2023年上半年网络工程师试题及答案解析

请点击↑关注、收藏，本博客免费为你获取精彩知识分享！有惊喜哟！！

1、固态硬盘的存储介质是（）。 

A、光盘  B 闪存   C 软盘     D 磁盘

【解析】

【参考答案】B

2、虚拟存储技术把（）有机地结合起来使用，从而得到一个更大容量的“内存”

A、内存与外存

B、Cache与内存

C、寄存器与Cache

D、Cache与外存

【解析】

【参考答案】A

3、下列接口协议中，不属于硬盘接口协议的是（）。 

A、IDE 

B、SATA 

C、SPI 

D、SCSI

【解析】

SPI接口一般指串行外设接口。串行外设接口（Serial Peripheral Interface）是一种同步外设接口，它可以使单片机与各种外围设备以串行方式进行通信以交换信息。

【参考答案】C

4、进程所请求的资源得到满足，可以使进程的状态从（）。 

A、运行态变为就绪态

B、运行态变为等待态

C、就绪态变为运行态

D、等待态变为就绪态

【解析】

【参考答案】D

5、下列操作系统中，不属于国产操作系统的是（）

A、CentOS

B、Deepin

C、NeoKylin

D、HarmonyOS

【解析】

【参考答案】A

6、釆用多道程序设计可以有效地提高CPU内存和I/O设备的（）。

A、灵活性B、可靠性C、兼容性D、利用率

【解析】

多道程序设计是在计算机内存中同时存放几道相互独立的程序，使它们在管理程序控制之下，相互穿插地运行。两个或两个以上程序在计算机系统中同处于开始到结束之间的状态。这就称为多道程序设计。多道程序技术运行的特征：多道，宏观上并行、微观上串行。引入多道程序设计技术的根本目的是为了提高CPU的利用率，充分发挥计算机系统部件的并行性，现代计算机系统都采用了多道程序设计技术。

【参考答案】D

7、在网给工程的生命周期中，对用户需求进行了解和分析是在（）阶段。

 A、需求分析

B、设计

C、实施

D、运维

【解析】

【参考答案】A

8、下列工具软件中，不是网络运维常用工具的是（）。

A、Secure CRT

B、Wire Shark

C、Putty

D、Eclipse

【解析】Eclipse是著名的跨平台的自由集成开发环境（IDE）。

【参考答案】D

9、下列描述中，不符合《中华人民共和国网络安全法》的是（）。

A、网络产品应当符合相关国家标准的强制性要求。

B、网络运营者可根据业务需要自行决定网络日志的留存时间。

C、网络运营者应当制定网络安全事件应急预案。

D、网络运营者收集个人信息应该避循正当、必要的原则。

【解析】

《中华人民共和国网络安全法》规定网络日志留存时间不少于6个月。

【参考答案】B

10、受到破坏后会对国家安全造成特别严重损害的信息系统应按照等级保护第（）级的要求进行安全规划。 

A、二 

B、三

C、四

D、五

【解析】

公民、法人和其他组织社会秩序和公共利益国家安全

第一级损害

第二级严重损害损害

第三级严重损害损害

第四级特别严重损害严重损害

第五级特别严重损害

【参考答案】D

11、下列不属于双绞线测试参数的是（）。

A、近端串扰

B、衰减

C、丢包率

D、等效远端串扰

【参考答案】C

12、下列不属于光纤跳线的接头类型的是（）。

A、FC

B、LC

C、SC

D、SEP 

【参考答案】D

13、Modem的主要作用是（）。

A、数模转换

B、路由转发

C、认证

D、地址转换 

【参考答案】A

14、百兆以太网采用的数据编码方法是（）。 

A、曼彻斯特

B、64B/66B

C、8B/10B

D、4B/5B

【解析】

【参考答案】D

15、若采用QAM调制的无噪声理想信道带宽为2MHz最大数据传输速率为28Mbps则该信道采用的调制方式是（）。 

A、QAM-128

B、QAM-64

C、QAM-32

D、QAM-16

【参考答案】A

16、在我国商用密码算法体系中（）属于摘要算法。 

A、SM2 

B、SM3

C、SM4

D、SM9

【解析】

【参考答案】B

17、使用Trace route命令时，由中坚路由器返回的ICMP超时报文中Type和Code分别是（）。 

A、Type=3Code=0 

B、Type=8 Code=0

C、Type=11Code=0

D、Type=12 Code=0

【解析】

【参考答案】C

18、在EPON（Ethernet Passive Optical Network以太网无源光网络）中如果用户端的家庭网关或者交换机是运营商提供并统一进行VLAN管理，那么在UNI端口上VLAN操作模式优先配置为（）。

A标记模式

B、透传模式

C、Trunk模式

D、Translation模式

【解析】

【参考答案】B

19在IEEE标准体系中WiFi6对应的标准是（）。 

A、802.11ac

B、802.11n

C、802.11b

D、802.11ax

【解析】

【参考答案】D

20、在TCP建立连接的三次握手时假设客户端发送的SYN段中的序号字段为a.则服务端回复的SYN+ACK段中的确认号为（）。 

A、a

B、a+l

C、a+20

D、随机值

【解析】

【参考答案】B

21、在OSI参考模型中，负责对应用层消息进行压缩，加密功能的层次为（）。 

A、传输层

B、会话层

C、表示层

D、应用层

【解析】

【参考答案】C

22、在TCP拥塞控制机制中，快速重传的目的是让主机在计时器超时前能够快速恢复，其触发条件是（）。

A、计时器超时

B、拥塞窗口超过阙值

C、收到该报文的ACK 

D、收到3个冗余ACK

【解析】

快速重传的工作方式是当收到三个相同的ACK报文时，会在定时器过期之前，重传丢失的报文段。

【参考答案】D

23-24、在RIP协议中，默认的最大度量值是（）跳，除了设置最大度虽值外还可以采用（防止路由环路。

A、15 B、16 C、32 D、64 

A、水平分割和垂直翻转

B、水平分割和路由毒化 

C、垂直翻转和路由毒化

D、垂直翻转和毒化逆转

【解析】

【参考答案】A、B

25-26、运行OSPF协议的路由器每（）秒向各个接口发送一次Hello报文，该报文的作用不包括（）。

A、10 B、20C、30 D、40

A、发现并建立邻居关系

B、选举DR/BDR

C、建立双向通讯关系

D、同步数据库

【参考答案】A、D

27、下列用于AS之间的路由协议是（）。 

A、RIP

B、OSPF

C、BGP

D、IS-IS

【解析】

【参考答案】C

28、以下关于telnet的叙述中，不正确的是（）。

A、telnet支持命令模式和会话模式

B、telnet采用明文传输

C、telnet默认端口是23

D、telnet采用UDP协议

【解析】

【参考答案】D

29、以下关于DHCP服务的说法中，正确的是（）。

A、DHCP服务器可以远程操作客户端，开启或关闭服务

B、在同一子网中有且仅能有一台DHCP服务器

C、在DHCP服务域内，可以确保工作站使用固定的IP地址

D、DHCP客户端需配置正确的服务器地址才能使用DHCP服务

【解析】

【参考答案】C

30、WWW的控制协议是（）。 

A、FTP

B、HTTP

C、SSL

D、DNS

【解析】

【参考答案】B

31、下面由于收取电子邮件的协议是（）。 

A、SMTP

B、SNMP

C、ICMP

D、POP3

【解析】

【参考答案】D

32、IPv6组播地址的前缀是（）。 

A、FF

B、FE

C、FD

D、FC

【解析】

【参考答案】A

33、要杳询DNS域内的权威域名服务器信息，可查看（）资源记录。

 A、SOA

B、NS

C、PTR

D、A

【解析】

【参考答案】A

34-35、在Linux操作系统中通常使用（（）作为Web服务器，其默认的Web站点的目录为（）。 

A、IIS

B、Apache

C、 NFS

D、MySQL

A、/etc/httpd

B、/var/log/httpd

C、letc/home

D、/home/httpd

【解析】

【参考答案】B、D

36、为了方便运维人员远程维护Windows Server2008 R2服务器，需要在服务器上启用（）服务。

A、DHCP

B、FTP

C、DNS

D、远程桌面

【解析】

【参考答案】D

37-38、 FTP服务可以开启匿名登录功能，其用户名是（），若要上传文件，应使用（）命令。

 A、root

B、user

C、guest

D、anonymous

A、copy

B、paste

C、put

D、get

【解析】

【参考答案】D、B

39、邮件客户端使用（）协议同步服务器和客户端之间的邮件列表。 

A、POP3

B、SMTP

C、IMAP

D、SSL

【解析】

【参考答案】C

40、在Windows平台上，命令：arp-d的作用是（） 

A、开启ARP学习功能

B、添加条ARP记录

C、显示当前ARP记录

D、删除所有ARP记录

【解析】

【参考答案】D

41-42、某网络拓扑如下图所示，边界防火墙的管理地址为1001221财务服务器地址为10.0.123.2为禁止外部用户对财务服务器的访问，管理员应在边界防火墙上配（（）策略，该条策略配置的源地址应为（）。

A、地址转换

B、访问控制

C、入侵防御

D、VPN 

A、0.0.0.0

B、10.0.122.1

C、10.0.123.2

D、10.0.123.2

【解析】

【参考答案】B、A

43-45、PKI体系中，由SSL/TLS实现HTTPS应用，浏览器和服务器之间用于加密http消息的方式是（），如果服务器的证书被撤销，那么所产生的后果是（）。如果此时浏览器继续与该服务器通信，所存在的安全隐患姑（）。 

A、对方公钥+公钥加密

B、本方公钥+公钥加密

C、会话密钥+公钥加密

D、会话密钥+对称加密

A、服务器不能执行加解密

B、服务器不能执行签名

C、客户端无法再信任服务器

D、客户端无法发送加密消息给服务器

A、浏览器发送的消息可能会丢失

B、加密消息可能会被第三方解密

C、加密的消息可能会被算改

D、客户端身份可能会遭到泄露

【解析】

【参考答案】C、C、B

46、在SNMP各项功能中属于网络控制功能的是（）。

A、性能管理

B、计费管理

C、配置管理

D、故障管理

【解析】

【参考答案】C

47、以下关于ICMP的叙述中，错误的是（）。

A、ICMP封装在IP数据报的数据部分

B、ICMP消息的传输是可靠的

C、ICMP是IP协议必需的一个部分

D、ICMP可用来进行差错控制

【参考答案】B

48、某主机无法上网，住看本地连接后，发现只有发送包没有接收包，故障原因可能是（）

A、网线没有插好

B、DNS配置错误

C、IP地址配置错误

D、TCP/IP协议故障

【解析】

【参考答案】C

49、SNMP的传输层协议是（） 

A、UDP

B、TCP

C、IP

D、ICMP

【解析】

【参考答案】A

50、SNMP的消息类型不包含（）。 

A、Get-Request

B、Get-Next-Request 

C、Get-Response

D、Get-Next-Response

【解析】

【参考答案】D

51、下列IP地址中不能够被路由器转发的是（）。

A、192.169.102.78

B、101.10.10.251 

C、127.16.23.1

D、172.33.22.16

【解析】

【参考答案】C

52-53、IPv4地址192.16810.201/26的子网掩码是（），其网络号地是（）。 

A、255.255.255.0B、255.255.255.128

C、255.255.192.0 D、255.255.255.192 

A、192168.10.0B、192.168.10.64

C、192.168.10.192D、192.168 10.128

【解析】

【参考答案】D、C

54、路由器收到一个目标地址为201.46.17.4的数据包，应将该数据包发往（）子网网。 

A、201.46.0.0/21

B、201.46.16.0/20

C、201.46.8.0/22

D、201.46.20.0/22

【参考答案】B

55、将连续的2个C类地址聚合后，子网掩码最长是（）位。

A、24

B、23

C、22

D、21

【参考答案】B

56、以下关于命令user-interface vty 0的说法中，正确的是（）。

A、配置用户等级为配置级 

B、不允许连接虚拟终端

C、进入到交换机的远程登录用户界面

D、连接交换机不需要输入密码

【参考答案】C

57、在交换机上执行某命令显示结果如下，该命令的作用是（）。

Main board：

Check startup software.....ok

Check configuration file....ok 

Check PAF......ok

Check Patch......ok

PAF is fitted with startup software

Info：Slave board is not existing

A、检查资源文件是否正确

B、对资源文件进行CRC校验

C、激活设备存储器中的License文件

D、系统回滚到上一个正常启动的版本状态

【参考答案】A

58、在以下命令执行结果中，RoutingTables描述路由标记的字段是（）。

display ip routing-table

Route Flags：R-relay,D-downlod to fib

…………………………………………………………………………………………………………

Routing  Tables：Public

Destinations：8Routes：9

Destination Mask ProtoPreCostFlagsNextHopInterface 

10.1.1.1/32 Static 60 0D0.0.0.0 NULLO

……

A 、Proto

B、Pre

C、Cost

D、Flags

【参考答案】D

59、以下关于VLAN标识的叙述中，错误的是（）。 

A、VLANID用12bit表示

B、VLANID的扩展范围是1025-4096

C、VLANID标准范围内可用于Ethernet的VLANID为1-1005 

D、VLAN name用32个字符表示，可以是字母和数字

【参考答案】C

60、IEEE802.1q规定VLAN的Tag字段中，用来定义帧的优先级的是（）。 

A、PRI

B、CFI

C、TPID

D、VID

【参考答案】A

61、（）命令可通过VLAN对二层流量隔离，实现对网络资源控制。

A、management-vlan

B、voice-vlan

C、mux-vlan

D、aggrtgate-vlan

【参考答案】B

62、在交换机SWA上执行如下命令后，输出如下：

[SWA]display stp

[CIST Global Info][Mode MSTP] 

CIST Bridge：32768.000f-e23e-f9bO

Bridge Times：Hello 2s MaxAge 20s FwDly 15s MaxHop 20

从输出结果可以判断（）。

A、SWA的桥ID是32768

B、SWA是根桥

C、SWA工作在RSTP模式

D、SWA工作在MSTP模式

【参考答案】D

63、在5G技术中，用于提升接入用户数的技术是（）。 

A、MIMO

B、NGV

C、SOMA

D、SDN

【参考答案】A

64、在100BaseT以太网中，若争用时间片为25.6us，某站点在发送帧时已经连续3次冲突，则基于二进制指数回退算法，该站点需等待的最短和最长时间分别是（）。 

A、0us和179.2us

B、0us和819.2ns

C、25.6ns和179.2ns

D、25.6ns和819.2ns

【参考答案】A

65、以下关于24G和5G无线网络区别的说法中，错误的是（）。

A、24G相邻信道间有干扰，5G相邻信道几乎无干扰

B、5G比2.4G的传输速度快

C、穿过障碍物传播时5G比2.4G衰减小

D、5G比2.4G的工作频段范围大

【参考答案】C

66、某公司有20间办公室，均分布在办公大楼的同一楼层，计划在办公区域组建无线网络，为移动工作终端提供无线网络接入，要求连接一次网络后，均可以在各办公室无缝漫游，下列组网方案最合理的是（）。

A、各办公室部署互联网接入无线路由器供终端接入

B、各办公室部署瘦AP供终端接入，并通过交换机连接到互联网接入路由器

C、各办公室部署胖AP供终端接入，并通过交换机连接到互联网接入路由器

D、各办公室均部署瘦AP供终端接入，并通过交换机连接到AC和互联网接入路由器

【参考答案】D

67、FC-SAN存储常通过光纤与服务器的（）链接。

A、光口网卡

B、USB 接口

C、光纤通道卡

D、RAID控制器

【参考答案】C

68、以下关于结构化布线系统的说法中，错误的是（）。

A、工作区子系统是网络管理人员的值班场所，需要配备不间断电源

B、干线子系统实现各楼层配线间和建筑物设备间的互联

C、设备间子系统有建筑物进户线、交换设备等设施组成

D、建筑群子系统实现各建筑物设备间的互联

【参考答案】A

69、以下关于三层模型核心层设计的说法中，错误的是（）。

A、核心层是整个网络的高速骨干，应有冗余设计

B、核心层应有包过滤和策略路由设计，提升网络安全防护

C、核心层连接的设备不应过多

D、需要访问互联网时，核心层应包括一条或多条连接到外部网络的连接

【参考答案】B

70、计算机等级保护第三级对信息系统用户身份鉴别的要求是：在第二级要求基础上（）。

A、应设置登录密码复杂度要求并定期更换

B、应具有登录失败处理功能

C、应采取措施，防止鉴别信息在传输过程中被窃听

D 应采取双因子登录认证，且其中一种鉴别技术应至少使用密码技术

【参考答案】D

71-75

An Intrusion （71）  System（IDS）is a system that monitors network traffic for suspicious activity and alert when such activity is discovered While （72） detection and reporting arc the primary functions of an IDS. some IDSs are also capable of taking actions when （73） activity or anomalous traffic is detected including （74） traffic sent from suspicious internet Protocol IP）addresses Any malicious venture or violation is normally reported either to an administrator or collected centrally using a （75） information and event managements IEM system. A SIEM system integrates outputs from multiple sources and uses alarm filtering techniques to differentiate malicious activity from false alarms.

（71）

A、Detection

B、Defending

C、Definition

D、Description

（72）

A、connection

B、anomaly

C、action

D、error

（73）

A、normal 

B、frequent

C、malicious

D、known

（74）

A、receiving 

B、blocking

C、replying

D、storing 

（75）

A、status

B、service

C、security 

D、section

【参考答案】A、B、C、D、C

【试题一】

阅读以下说明，回答问题1至问题4将解答填入答题纸对应的解答栏内。

【说明】

某企业办公楼网络拓扑如图1-1所示。该网络中交换机Switch1-Switch4均是二层设备，分布在办公楼的各层，上联采用千兆光纤。核心交换机、防火墙、服务器部署在数据机房，其中核心交换机实现冗余配置。

【问题1】（4分）

该企业办公网络采用172.16.1.0/25地址段，部门终端数量如表1-1所示，请将网络地址规划补充完整。

表1-1

部门 终端数量 可配置IP地址范围 子网掩码

A 8 17216.11~17216.1.14 （1）

B 12 （2） 28

C 30 （3） 27

D 35 17216.1.65~172.16.1.126 （4）

（1）简要说明图1-1中干线布线与水平布线子系统分别对应的区间。

（2）在网络线路施工中应遵循哪些规范？（至少回答4点）

【问题3】（6分）

若将PC-1、PC-2划分在同一个VLAN进行通信，需要在相关交换机上做哪些配置？在配置完成后应检查哪些内容？

【问题4】（4分）

（1）简要说明该网络中核心交换机有哪几种冗余配置方式。

（2）在该网络中增加终端接入认证设备，可以选择在接入层、核心层或者DMZ区部署，请选楼最合理的部区域并说明理由。

【解析】

【问题1】

本题考查子网划分知识点。根据部门D的终端数量及可用IP地址范围，可判断使用的子网是通过在172.16.1.0/25中借主机位1位得到的子网17216164/26故（4）为26；另一个子网172.16.1.0/26再次借主机位1位得到的子网172.16.1.0/27和172.16.1.32/27，其中172.16.1.32/27分配给部门C，其可用IP地址为172.16.1.33-172.16.1.62故（3）为172.16.1.33-172.16.1.62，另一个子网172.16.1.0/27再次借主机位1位得到的子网172.16.1.0/28和172.16.1.16/28其中子网172.16.1.0/28分配给部门A，172.16.1.16/28分配给部门B，故（1）为28。（2）为172.16.1.17-172.16.1.30。

【问题2】

本题考查综合布线六大子系统知识点。综合布线中干线子系统用于实现各楼层设备间子系统之间的互联，根据题目可知交换机Switch1-Switch4均是二层设备，分布在办公楼的各层，上联采用千兆光纤，故核心交换机通过光纤连接到Switch1-Switch4是干线子系统对应的区间。水平布线子系统用于实现计算机设备与各管理子系统间的连接，即各楼层交换机连接对应楼层 PC所在工作区的信息插座之间的区间。

综合布线相关规范包括：GB50311综合布线工程设计规范、GB50312建筑和建筑群综合布线系统工程验收标准规范、CECS72：97《建筑与建筑群综合布线系统工程设计及验收规范》 YD/T9261-2009《大楼通信综合布线系统第一部分总规范》、ISO/IEC11801《信息技术--用户通用布线系统》（第二版）等，答题中只要写出4条合理的规范条目即可。

【问题3】

由于PC-1和PC-2分别连接在不同的接入层交换机，若要划分在同一个VLAN需要将接入层交换机连接PC的接口加入到相同的VLAN，核心交换机与接入层交换机之间的链路对应的接口均置为trunk链路模式，配置完成后可以在交换机上通过display port vlan查看交换机的接口链路模式和划分的VLAN，同时也可以通过display mac-address-table查看交换机的MAC地址转发表是否正确，在PC上通过arp-a查看是否学习到对方的arp表项，从而验证划分的正确性。

【问题4】

用户接入认证部署的目的是解决用户认证和策略管控两大问题。认证点位置通常同用户网关位置，由干接入层设备数量众多且位置分布广，若在每个接入层设备上部署认证设备和用户访问策略，工作量巨大且策略调整不灵活。通过部署策略联动（汇聚层交换机或核心交换机做认证控制点，接入交换机配做认证执行点），一方面能够避免接入用户未认证就在接入层互通、另一方面能够获取用户在接入设备上线的接口、用户所属VLAN等信息便干维护管理。

【参考答案】：

【问题1】

（1）28

（2）172.16.1.17-172.16.1.30

（3）172.16.1.33-172.16.1.62

（4）26

【问题2】

干线子系统对应的区间是核心交换机与办公楼各楼层交换机之间的连接；水平布线子系统对应的区间是办公楼各楼层交换机与对应楼层的工作区信息插座之间的连接。

在网络线路施工中应遵循的规范：1缆线的布防应自然平直，不得产生扭绞、打圈接头等现象，不应受外力的挤压和损伤，2线缆两端应贴有标签，标签自己清晰、正确，标签应选用不易损坏的材料；3水平子系统中配线间到工作区信息插座申缆不超过90米，工作区子系统中信息插座到网卡不超过10米；4信息插座通常安装在工作间四周的墙壁下方，距离地点30cm。（回答任意合理的4个规范即可得分）

【问题3】

在核心交换机、Switch2和Switch3上均创建对应的VLAN；在Switch2和Switch3上配置连接到PC-1和PC-2的接口为access模式，并加入到VLAN中；核心交换机与Switch2、Switch3之间的链路上对应的接口均设置为trunk模式。配置完成后可以在交换机上通过displav查看交换机的接口链路模式和划分的VLAN，同时也可以通过display mac-address-table查看交换机的MAC地址转发表是否正确，在PC上通过arp-a查看是否学习到对方的arp表项，从而验证划分的正确性。

【问题4】

（1）VRRP、CSS、iStack

（2）终端接入认证设备最合理的部署区域为核心层，通过802.1X、Portal或PPPOE等认证方式对连接到网络的接入终端进行集中统一的认证，以保证用户接入网络的合规与合法性。 

【试题二】

阅读以下说明，回答问题1至问题4将解答填入答题纸对应的解答栏内。

【说明】

某企业网络拓扑如图2-1所示，该企业通过两个不同的运营商（ISP1和ISP2）接入Internet内网用户通过NAT访问Internet公网用户可通过不同的ISP访问企业内部的应用。

图 2-1

【问题1】（6分）

为充分利用两个运营商的带宽，请提供至少4种多出口链路负载策略。

【问题2】（6分）

内网服务器Server需对外发布提供服务，互联网用户可通过ISP1、ISP2来访问，Server的服务端口为TCP 9980。

请根据以上需求配置安全策略，允许来自互联网的用户访问Server提供的服务。

[USG] security-policy

[USG-policy-security] rule name http

[USG-policy-security-rule-http] source-zone ISP1

[USG-policy-security-rule-http] source-zoneISP2

[USG-policy-security-rule-http] destination-zone trust

[USG-policy-security-rule-http] destination-address（1）

[USG-policy-security-rule-http] service protocol （2）destination-port（3） 

[USG-policy-security-rule-http] action（4）

[USG-policy-security-rule-http] quit

【问题3】（4分）

经过一段时间运行，经常有互联网用户反映访问Server的服务比较慢。经过抓包分析发现部分应用请求报文和服务器的回应报文经过的不是同一个ISP接口。请分析原因并提供解决方法。

【问题4】（4分）

企业网络在运行了一段时间后，网络管理员了一个现象：互联网用户通过公网地址可以正常访问Server内网用户也可以通过内网地址正常访问Server但内网用户无法通过公网地址访问Server经过排查，安全策略配置都正确。请分析造成该现象的原因并提供解决方案。

【解析】

【问题3】

通过抓包分析结果，可以得知互联网用户在通过某个ISP线路访问server服务器后，server的回应报文通过另一个ISP线路返回，例如互联网电信线路用户访问server后，回复报文通过移动线路返回，从而导致了访问速度较慢。解决方案即规划防火墙的双出口环境下不同ISP的公网用户通过一个公网IP地址访问内部服务器的“源进源出”和默认网关，即回应报文根据请求报文的ISP线路进行回送。通过在防火墙连接不同ISP的接口中配置redirect-reverse next-hop***（ISP网关）来实现。假设ISP1和ISP2的网关IP地址分别是100.100.100.254、200.200.200.254具体配置如下：

[FW]interfaceGigabitEthernet1/0/1

[FW-GigabitEthernet1/0/1]redirect-reverse next-hop100.100.100.254

[FW-GigabitEthernet1/0/1]gateway100.100.100.254

[FW-GigabitEthernet1/0/1] quit

[FW] interface GigabitEthernet1/0/7

[FW-GigabitEthernet1/0/7] redirect-reversenext-hop200.200.200.254

[FW-GigabitEthernet1/0/7] gateway 200.200.200.254

[FW-GigabitEthernet1/0/7] quit

【问题4】

当内网用户通过公网地址访问Server时，报文的目的地址是Server的公网地址，且在防火墙中源和目的安全区域均是同一个安全区域，防火墙会将目的地址转换为服务器的私网地址，并转发给内部服务器，当服务器在回包时发现对端与自己在同一网段，不会将报文发给自己的网关（防火墙）而直接通过交换机转发给终端，当终端收到此响应报文时发现并不是自己所访问的服务器（公网地址）的响应报文，会将报文丢弃。故需要在源nat策略中增加trust到trust的转换策略，命令如下：

[FW] nat-policy

[FW-policy-nat] rule name policynat1

[FW-policy-nat-rule-policy_nat1] source-zone trust

[FW-policy-nat-rule-policy_nat1] destination-zone trust

[FW-policy-nat-rule-policy_nat1] source-address10.11.11.0 24

[FW-policy-nat-rule-policy_nat1] action  nat address group addressgroup1

【参考答案】：

【问题1】

基于源，基于目的、基于业务类型、基于报文大小、基于链路利用率。

【问题2】

（1）10.10.10.10

（2）tcp

（3）9980

（4）permit

【问题3】

原因：互联网用户访问内网服务器的流量出现来回路径不一致导致；解决方法：配置双出口环境下不同ISP的公网用户通过一个公网IP地址访问内部服务器的“源进源出”功能和默认网关。

【问题4】

原因：防火墙没有配置内网到内网区域的的源NAT策略，解决方案：增加配置内网到内网区域的源NAT策略。

【试题三】

阅读以下说明，回答问题1至问题3将解答填入答题纸对应的解答栏内图3-1为某公司网络骨干路由拓扑片段（分部网络略）公司总部与分部之间运行BGP获得路由，路由器RA、RB、RC以及RD之间配置iBGP建立邻居关系，RC和RD之间配置OSPF进程。所有路由器接口地址信息如图所示，假设各路由器已经完成各个接口IP等基本信息配置。

【问题1】（2分）

按图3-1所示配置完成BGP和OSPF路由相互引入后，可能会出现路由环路，请分析产生路由环路的原因。

【问题2】（10分）

要求：配罟BGP和OSPF基本功能（以RA和RB为例）并启用RC和RD之间的认证，以提升安全性。

补全下列命令完成RA和RB之间的BGP配置：#RA启用BGP配置与RB的IBGP对等体关系

[RA]bgp100

[RA-bgp] router-id 10.11.0.1

[RA-bgp] peer1012.0.2 as-number（1）

[RA-bgp] ipv4-family unicast

[RA-bgp-af-ipv4] peer（2）enable

[RA-bgp] quit

#RB启用BGP配罟与RARC和RD的IBGP对等体关系。

[RB] bgp 100

[RB-bqp] router-id 10.22.0.2

[RB-bgp] peer（3）as-number100 #配置与RA的对等关系

……#其它配置省略

#配置RC和RD的OSPF功能（以RC为例）并启用OSPF认证

[RC] ospf 1 router-id 10.33.0.3

[RC-ospf-1] area 0

[RC-ospf-1-area-0.0.0.0] network（4）

#发布财务专网给RD其它省略

[RC-ospf-1-area-0.0.0.0] authentication-mode simple ruankao

[RC-ospf-1] quit

（5）OSPF认证方式有哪些？上述命令中配置RC的为哪种？

（6）如果将命令authentication-mode simple ruankao替换为authentication-mode simple plain

ruankao,则两者之间有何差异？

【问题3】（8分）

要求：配罟BGP和OSPF之间的相互路由引入并满足相应的策略，配罟路由环路检测功能。

【RC-ospf-1】import-route bgp permit-ibgp #该命令的作用是（7）#其它配置省略

#配置RD的BGP引入OSPF路由，并配罟路由策略禁止发布财务专网的路由给BGP。

[RD] acl number 2000   #配罟编号为2000的ACL禁止10.10.10.0/24通过 

[RD-acl-basic-2000] rule deny source（8）0.0.0.255

[RD-acl-basic-2000] quit

[RD] route-policy rp  #配置名为rp的路由策略

[RD-route-policy] if-match acl（9）

[RD-route-policy] quit

[RD] bgp 100

[RD-bgp] ipv4-family unicast

[RD-bgp-af-ipv4] import-route ospf1（10）

[RD-bgp] quit

#以RA为例，启用BGP环路检测功能。

[RA]route（11）bgp enable

【解析】

【问题1】

在实现题目中的相互引入配置后，RC将BGP路由引入到OSPF协议中，并通过OSPF协议更新给RD，RD由将OSPF路由引入到BGP协议中，再通过BGP更新给RB，在这样的更新过程中，情况1：以某一个财务网段例，RC中在OSPF中发布了财务网段，同时在OSPF引入BGP路由后更新给RD，假设财务网段故障中断，RC的OSPF协议能立即发现到财务网段的失效，但是 RD的BGP协议中仍然有到财务网段的路由下一跳为RCRD再通过BGP更新给RBRB中到达财务网段的下一跳为RD，然后RB又通过BGP更新给RCRC学习到达财务网段的下一跳为RB并再次引入到RC的OSPF协议中，从而导致路由环路的产生。对于此现象只需要在RC的OSPF引入BGP时过滤财务网段的路由引入即可解决。

情况2：

【问题2】OSPE认证有接口认证和区域认证，接口认证方式用干在相邻的路电器之间设罟验证模式和口令，优先级高干区域认证；区域认证是在OSPF区域视图下配置，对本区域的所有接口下的报文进行认证。

认证模式分为：简单认证、加密认证、Keychain认证等，简单认证是在接口视图下配置命令：

ospf authentication-mode simple[plain plain-text | [cipher] cipher-text其中，plain表示简单口令类型、cipher表示密文口令类型，默认采用密文口令类型。

【参考答案】

【问题1】

由于RD将OSPF引入到BGP路由器后，会通过BGP协议更新给RB再到RCRC又将 BGP引入回OSPF协议中，循环的路由引入可能会导致特定情况下的路由环路产生。

【问题2】

（1）100

（2）10.12.0.2

（3）10.12.0.1

（4）10.34.0.4  0.0.0.0或10.34.0.0  0.0.0.255

（5）OSPF认证有接口认证和区域认证RC配置的是区域认证。

（6）将默认的密文口令类型改为明文口令类型。

【问题3】

（7）配置RD的OSPF引入BGP路由

（8）10.10.10.0

（9）20010）route-policy rp（11）loop-detect

【试题四】

阅读以下说明，回答问题1至问题3将解答填入答题纸对应的解答栏内。

【说明】某公司网络拓扑如图4-1所示。

【问题1】（10分）

公司计划在R1、R2、R3上运行RIP保证网络层相互可达。接口IP地址配置如表4-1所示。请将下面的配置代码补充完整。

设备  接口  IP地址 子网掩码

R1 G0/0/0 10.0.1.254  255255.255.252

G0/0/1 10.0.1.250  255255.255.252

G0/0/2 100.1.1.1  255.255.255.0

R2 G0/0/0 10.0.1.249  255.255.255.252

G0/0/1 10.0.1.246  255.255.255.252

G0/0/2 10.0.2.254  255.255.255.0

R3 G0/0/0 10.0.1.253  255.255.255.252

G0/0/1 10.0.1.245  255.255.255.252

G0/0/2 10.0.3.254 255 255.255.0

[HUAWEI]（1）

[HUAWEI] sysname（2）

[R1] interface Gigabit Ethernet 0/0/0

[R1-GigabitEthernet 0/0/0] ip address10.0.1254255255.255.252

[R1-GigabitEthemet0/0/0] interface Gigabit Ethernet 0/0/1

[R1-GigabitEthernet0/0/1] ip address（3）255.255255.252

[R1-GigabitEthernet 0/0/2] interface Gigabit Ethernet/0/2

[R1-GigabitEthernet 0/0/2] ip address100.1.11255.255.255.0

[R1-GigabitEthernet 0/0/2] quit

[R1] rip

[R1-ip-1]（4）

[R1-rip-2] undo summary

[R1-rip-2] network（5）

[R1-rip-2] network100.0.0.0

……

R2、R3的RIP配置略 

……

【问题2】（3分）

公司计划在R2和R3的链路上使用RIP与BFD联动技术，采用BFD echo报文方式实现当链路出现故障时，BFD能够快速感知并通告RIP协议。请将下面的配置代码补充完整。[R2]interface gigabit Ethernet（6）

[R2-GigabitEthernet0/0/1]undo（7） #关闭接口GE0/0/1的二层转发特性[R2-GigabitEthernet0/0/1]rip bfd（8） #使能接口GE0/0/1的静态BFD特性

【问题3】（2分）

公司通过R1连接Internet为公司提供互联网访问服务，在R1上配置了静态路由向互联网接口，为了使网络均能够访问互联网，需通过RIP将该静态路由进行重分布。将下面的配置代码补充完整。

[R1-rip-2] default-route（9）

【参考答案】

（1）system-view

（2）R1

（3）10.0.1.250

（4）rip2或version2（本题题目可能有问题）

（5）10.0.0.0

（6）0/0/1

（7） Port switch

（8） static

（9） originate