2021上半年下午网络工程师试题

试题一(共20分)

阅读以下说明，回答问题1至问题4，将解答填入答题纸对应的解答栏内。

【说明】

某企业网络拓扑图如图1-1所示。该网络可以实现的网络功能有:

1.汇聚层交换机A与交换机B采用VRRP技术组网；

2.用防火墙实现内外网地址转换和访问策略控制；

3.对汇聚层交换机、接入层交换机（各车间部署的交换机）进行VLAN划分。

在这里插入图片描述
图1-1

[问题1] (6分)

为图1-1中的防火墙划分安全域，接口①应配置为(1 untrust)区域，接口②应配置为(2 trust)区域，接口③应配置为(3 DMZ )区域。
DMZ（隔离区）

问题2

VRRP技术实现(4 当设备出现故障时，可以及时将业务切换到备份设备保证网络不中断 )功能，交换机A与交换机B之间的连接线称为(5 心跳线)线，其作用是(6 可以相互监视对方的工作状态，一旦对方设备出现故障，本机就可以立即启动工作确保网络不中断 ).

[问题3]分)

图1-1中PC1的网关地址是(7 192.168.20.1 )；在核心交换机上配置与防火墙互通的默认路由，其目标地址应是(8 0.0.0.0 0.0.0.0 )；若禁止PC1访问财务服务器，应在核心交换机上采取(9 访问控制列表或者ACL )措施实现。

问题4

若车间1增加一台接入交换机C，该交换机需要与车间1接入层交换机进行互连，其连接方式有(10 堆叠)和(11 级联)；其中(12 堆叠 )方式可以共享使用交换机背板带宽，(13 级联)方式可以使用双绞线将交换机连接在一起。

试题二(共20分)

阅读以下说明，回答问题1至问题3，将解答填入答题纸对应的解答栏内。

【说明】

图2-1所示为某单位网络拓扑图片段。
在这里插入图片描述
故障一

某天，网络管理员小王接到网络故障报告，大楼A区用户无法上网，经检查，A区接入交换机至中心机房核心交换机网络不通，中心机房核心交换机连接A区接入交换机的端口灯不亮。

故障二

某天，网络管理员小王接到大楼用户上网故障报告，B区用户小李的电脑网络连接显示正常，但是无法正常打开网页，即时聊天软件不能正常登录。

[问题1]

针对故障一，网络管理员使用(1 D)设备对光缆检查，发现光衰非常大，超出正常范围，初步判断为光缆故障，使用(2 C)设备判断出光缆的故障位置，经检查故障点发现该处光缆断裂，可采用(3 B)措施处理较为合理。

(1)- (2)备选答案(每个备选答案只可选一次)：

A.网络寻线仪 B.可见光检测笔 C. 光时域反射计 D.光功率计

(3)备选答案：

A.使用两台光纤收发器连接 B.使用光纤熔接机熔接断裂光纤

C.使用黑色绝缘胶带缠绕接线 D.使用一台五电口小交换机连接

[问题2]

针对故障二，小王在小李的电脑上执行(4 D)命令显示地址解析协议缓存表内容，检测后发现该缓存表无异常内容；通过执行(5 B)命令发送ICMP回声请求测试，结果显示与B区接入交换机、核心交换机、上网行为管理系统、入侵检测系统均连接正常，但是与防火墙GI接口和ISP网关不通；通过执行(6 E) 1.85.62.1命令显示到达ISP运营商网关的路径，结果显示上网行为管理系统E0接口地址以后均为“*”；更换该电脑的IP地址后，网络正常，由此判断，该放障产生的原因可能是(7 A)。

(4)一(6)备选答案(每个备选答案只可选一次)：

A. Ipconfig B. ping C. netstat D. arp

E. Tracert F. route G. nslookup H. net

(7)备选答案：

A.上网行为管理系统禁止该电脑IP访问互联网

B.入侵检测系统禁止该电脑IP访问互联网

C.防火墙禁止该电脑IP访问互联网

D. DNS配置错误

问题3

为保障数据安全，在数据中心本地和异地定时进行数据备份。其中本地备份磁盘阵列要求至少坏2块磁盘而不丢失数据(不计算热备盘)，应采用(8 D)磁盘冗余方式；异地备份使用互联网传输数据，应采用(9 B)措施保障数据传输安全；在有限互联网带宽情况下，应采用(10 A)措施提高异地备份速度。

(8)各选答案:

A. RAID 0 B. RAID 1 C. RAID 5 D. RAID 6

(9)备选答案:

A.两端备份服务器设置复杂密码 B.两端搭建VPN隧道进行传输

C.异地备份点出口部署防火墙设备 D.本地出口部署入侵防御系统

(10)备选答案：

A.增量备份 B.缩短备份周期 C.数据加密 D.工作时间备份

解析：

[问题1]

(1)D (2)C (3)B

光功率计和光时域反射计都可测试光纤的衰减，但要定位位置只能用光时域反射计，所以(2)C的话(1)必然是D；

可见光检测笔又叫红光笔、通光笔、笔式红光源、光纤故障检测器、光纤故障定位仪等，用于检测光纤断点。该工具用于在断点处观察光纤通光情况，通常是在光时域反射计确定了大致故障位置后使用的。而网络寻线仪是用于检测双绞线的，不能用于检测光纤。

找到断点位置后，就要使用光纤熔接机熔接断裂的光纤。

[问题2]

(4)D (5)B (6)E (7)A

(4)、(5)、(6)考察的是对arp、ping、Tracert命令使用掌握的情况。

(7)问题根据题目描述，在通过执行Tracert 1.85.62.1ISP运营商网关命令后，结果显示上网行为管理系统E0接口地址以后均为“*”；更换该电脑的IP地址后，网络正常，说明是上网行为管理系统禁止了用户的访问。

[问题3]

(8)D (9)B (10)A

至少坏2块磁盘而不丢失数据的方式只有RAID6

试题三(共20分)

阅读以下说明，回答问题1至问题3，将解答填入答题纸对应的解答栏内。

【说明】

图3-1为某大学的校园网络拓扑，由于生活区和教学区距离较远，R1和R6分别作为生活区和教学区的出口设备，办公区内部使用OSPF作为内部路由协议。通过部署BGP获得所需路由，使生活区和教学区可以互通。通过配置路由策略，将R2↔R3↔R4链路作为主链路，负责转发R1和R6之间的流量；当主链路断开时，自动切换到R2↔R5↔R4这条路径进行通信。
在这里插入图片描述
图3-1

办公区自制系统编号100、生活区自制系统编号200、教学区自制系统编号300.

路由器接口地址信息如表3-1所示。
在这里插入图片描述

问题1

该网络中，网络管理员要为PC2和PC3设计一种接入认证方式，若无法通过认证，接入交换机S1可以拦截PC2和PC3的业务数据流量。下列接入认证技术可以满足要求的是(1 IEEE 802.1x )。

(1)备选答案:

A. WEB/PORTAL B. PPPoE C. IEEE 802.1x D. 短信验证码认证

问题2

在疫情期间，利用互联网开展教学活动，通过部署VPN实现Internet访问校内受限的资源。以下适合通过浏览器访问的实现方式是(2 SSL VPN)。

(2)备选答案:

A. IPSec VPN B. SSL VPN C. L2TP VPN D. MPLS VPN

问题3

假设各路由器已经配置好了各个接口的参数，根据说明补全命令或者回答相应的问题。

以R1为例配置BGP的部分命令如下:

//启动BGP，指定本地AS号，指定BGP路由器的Router ID为1.1.1.1，配置R1和R2建立EBGP连接

[R1]bgp(3 200)

[RI-bgp]router-id 1.1.1.1

[RI-bgp]peer 10.20.0.2 as-number 100

以R2为例配置OSPF:

[R2]ospf 1

[R2 ospf-1] import-route (4 direct) //导入R2的直连路由

[R2-ospf-1] impon-route bgp

[R2-ospf-1] area (5 0.0.0.0)

[R2-ospf-1-area-0.0.0.0]network 10.1.0.0.0.0.0.255

[R2-ospf-1-area-0.0.0.0]network 10.30.0.0.0.0.0.255

以路由器R2为例配置BGP：

//启动BGP，指定本地AS号，指定BGP路由器的Router ID为2.2.2.2

[R2]bgp 100

[R2-bgp]router-id 2.2.2.2

[R2-bgp]peer 10.2.0.101 as-number 100

//上面这条命令的作用是(6 创建对等体或者未指定的对等体配置AS号)。

[R2-bgp]peer 10.40.1.101 as number 100

[R2-bgp]peer 10.20.0.1 as-number 200

//配置R2发布路由

[R2-bgp]ipv4-family unicast

[R2-bgp-af-ipv4]undo synchronization

[R2-bgp-af-ipv4]preference 255 100 130

//上面这条命令执行后，IBGP路由优先级高还是OSPF路由优先级高？

答：（7 IBGP优先级高）
解析：

以路由器R2为例配置路由策略：

//下面两条命令的作用是(8 定义一个编号为2000的ACL，用于配置10.20.0.0网段发出的数据)。

[R2] acl number 2000

[R2-acl-basic-20000 rule 0p) permit source 10.20.0.0.0.0.0.255

//配置路由策略，将从对等体10.20.0.1 学习到的路由发布给对等体10.2.0.101时，设置本地优先级为200，请补全以下配置命令

[R2] route-policy local-pre permit node 10

[R2-route-policy-local-pre-10]if-match ip route-source acl (9 2000)

[R2-route-policy-local-pre-10]apply local-preference (10 200)

解析：

[问题1]

(1)C

IEEE802.1x是IEEE(美国电气电子工程师学会)802委员会制定的应用于LAN交换机和无线LAN接入点的用户认证技术。

[问题2]

(2)B

只有SSL VPN是基于应用层的VPN技术。

[问题3]

(3)200 //通过配置上下文可以看出BGP后面应该是一个AS号，根据题目，R1所在的AS号是200，故此处填200

(4)direct //根据命令后面的提示要导入直连路由，因此应该填direct

(5)0.0.0.0 //根据题目，这里的区域号应该是0.0.0.0主干区域

(6)创建对等体或者未指定的对等体配置AS号

(7)IBGP优先级高 //设置路由优先级命令，preference 255 100 130，第一个值是外部路由优先级，第二个值是内部路由优先级，第三个是本地路由优先级，显然内部路由优先级值最小，优先级最高。

(8)定义一个编号为2000的ACL，用于配置10.20.0.0网段发出的数据

(9)2000 //题目中只定义了一个ACL2000，故此处acl的编号就是2000

(10)200 //题目要求设定的优先级是200

试题四(共15分)

阅读以下说明，回答问题1和问题2，将解答填入答题纸对应的解答栏内。

【说明】

某公司在网络环境中部署了多台IP电话和无线AP，计划使用PoE设备为IP电话和无线AP供电，拓扑结构如图4-1所示。
在这里插入图片描述

图4-1

[问题1]

PoE (Power Over Ethernet) 也称为以太网供电，是在现有的以太网Cat.5布线基础架构不作任何改动的情况下，利用现有的标准五类、超五类和六类双绞线为基于IP的终端(如IP电话机、无线局城网接入点AP、网络摄像机等)同时(1 提供电功率 )和(2 传输数据 )。

完整的PoE系统由供电端设备(PSE, Power Sourcing Equipment))和受电端设备(PD. Powered Devic)两部分组成。依据IEEE 802.3af/at标准，有两种供电方式，使用空闲脚供电和使用(3 数据)脚供电，当使用空闲脚供电时，双绞线的(4 4、5 )线对为正极、(5 7、8 )线对为负极为PD设备供电。

(1)~ (5)备选答案：

A.提供电功率 B.4、5 C.传输数据 D.7、8 E.3、6 F.数据

[问题2]

公司的IP-Phonel和AP1为公司内部员工提供语音和联网服务，要求有较高的供电优先级，且AP的供电优先级高于IP-Phone；IP-Phone2和AP2放置在公共区域，为游客提供语音和联网服务，AP2在每天的2: 00-6: 00时间段内停止供电。IP-Phone的功率不超过5W, AP的功率不超过15W。配置接口最大输出功率，以确保设备安全。

请根据以上需求说明，将下面的配置代码补充完整。

(6 system-view )

(7 sysname ) SW1

[SW1] poe power-management (8 auto) poe的电源供电模式设为自动

[SW 1] interface gigabitethernet 0/0/1

[SW1-GigabitEthernet0/0/1]poe power (9 5000)

[SW1-GigabitEthernet0/0/1]poe priority (10 high)

[SW1-GigabitEthernet0/0/1]quit

[SW1]interface gigabitethernet 0/0/2

[SW1-GigabitEthernet0/0/2]poe power (11 15000)

[SW1-GigabitEthernet0/0/2]poe priority (12 critical)

[SW1-GigabitEthernet0/0/2]quit