2022年职业考证-软考-网络工程师考试名师押题精选卷I（带答案详解）试卷号44

1、住在富人区的她2022年职业考证-软考-网络工程师考试名师押题精选卷I（带答案详解）（图片可根据实际调整大小）题型12345总分得分一.综合题(共50题)1.单选题使用ADSL接入电话网采用的认证协议是（ ）。问题1选项A.802.1xB.802.5C.PPPoAD.PPPoE【答案】D【解析】ADSL采用的认证协议是PPPOE。2.单选题下面的IP地址中，不属于同一网络的是（ ）问题1选项A.8/21B.00/21C.76/21D.77/21【答案】D【解析】根据地址和掩码长度算网络位：其中A、B、C的网络位为172.20.00100D选项的网络位为172.20.001013.单选题为了减少

2、在线观看网络视频卡顿，经常采用流媒体技术。以下关于流媒体说法不正确的（ ）。问题1选项A.流媒体需要缓存B.流媒体视频资源不能下载到本地C.流媒体技术可以用于观看视频、网络直播D.流媒体资源文件格式可以是asf、rm等【答案】B【解析】流媒体视频资源可以被下载到本地。4.单选题以下关于OSPF路由协议的说法中，错误的是（ ）。问题1选项A.OSPF是基于分布式的链路状态协议B.OSPF是一种内部网关路由协议C.OSPF可以用于自治系统之间的路由选择D.OSPF为减少洪泛链路状态的信息量，可以将自治系统划分为更小的区域【答案】C【解析】在一个AS内部传递更新的IGP路由协议有RIP，EIGRP，

3、OSPF，IS-IS，可以在AS之间传递更新的路由协议目前只有BGP4。5.单选题以下关于IS-IS路由选择协议的说法中，错误的是（ ）。问题1选项A.IS-IS路由协议是一-种基于链路状态的IGP路由协议B.IS-IS路由协议可将自治系统划分为骨干区域和非骨干区域C.IS-IS路由协议中的路由器的不同接口可以属于不同的区域D.IS-IS路由协议的地址结构由IDP和DSP两部分组成【答案】C【解析】在OSPF中，区域的分界点在路由器上，一个路由器的不同接口可属于不同的区域。用来连接主干区域和非主干区域的路由器叫ABR。但是在集成化的IS-IS中，区域的边界点在链路上。一个路由器只能属于一个区域

4、，所以没有ABR的概念。6.单选题在Linux系统通过（ ）命令，可以拒绝IP地址为的远程主机登录到该服务器。问题1选项A.iptables-A input-p tcp-s -source-port22-j DENYB.iptables-A input-p tcp-d -source-port22-j DENYC.iptables-A input-p tcp-s -desination-port22-j DENYD.iptables-A input-p tcp-d -desination-port22-j DENY【答案】C【解析】iptables是组成Linux平台下的包过滤防火墙，规则（r

5、ules）其实就是网络管理员预定义的条件，规则一般的定义为“如果数据包头符合这样的条件，就这样处理这个数据包”。规则存储在内核空间的信息包过滤表中，这些规则分别指定了源地址、目的地址、传输协议（如TCP、UDP、ICMP）和服务类型（如HTTP、FTP和SMTP）等。当数据包与规则匹配时，iptables就根据规则所定义的方法来处理这些数据包，如放行（accept），拒绝（reject）和丢弃（drop）等。配置防火墙的主要工作是添加、修改和删除等规则。拒绝IP地址为的远程主机登录到该服务器：iptables-A input-p tcp-s -destination-port22-j DENY

6、7.单选题在结构化布线系统设计时，配线间到工作区信息插座的双绞线最大不超过90米，信息插座到终端电脑网卡的双绞线最大不超过（ ）米。问题1选项A.90B.60C.30D.10【答案】D【解析】一般来说，使用无屏蔽双绞线时，信息插座到网卡的距离不超过10米。8.单选题显示OSPF邻居信息的命令是（ ）。问题1选项A.display ospf interfaceB.display ospf routingC.display ospf peerD.display ospf lsdb【答案】C【解析】display ospf peer显示OSPF邻居信息。9.单选题以下措施中，不能加强信息系统身份认证

7、安全的是（ ）。问题1选项A.信息系统采用https访问B.双因子认证C.设置登录密码复杂度要求D.设置登录密码有效期【答案】A【解析】在一些对安全要求更高的应用环境，简单地使用口令认证是不够的，还需要使用其他硬件来完成，如U盾、网银交易就使用这种方式。在使用硬件加密和认证的应用中，通常使用双因子认证，即口令认证与硬件认证相结合来完成对用户的认证。设置登录密码复杂度要求、设置登录密码有效期也可以加强信息系统身份认证安全。10.单选题某学校网络分为家属区和办公区，网管员将/24、/24两个IP地址段汇聚为/22用于家属区IP地址段，下面的IP地址中可用作办公区IP地址的是（ ）。问题1选项A.5

8、4/22B.20/22C.55/22D.1/22【答案】D【解析】 Normal 0 7.8 磅 0 2 false false false EN-US ZH-CN X-NONE/22，主机位10位，192.168.000100 00 00000000说明汇聚后的地址范围是55。只有D选项不在此范围内。11.单选题在我国自主研发的商用密码标准算法中，用于分组加密的是（ ）。问题1选项A.SM2B.SM3C.SM4D.SM9【答案】C【解析】SM2是国家密码管理局于2010年12月17日发布的椭圆曲线公钥密码算法。SM3是中华人民共和国政府采用的一种密码散列函数标准，由国家密码管理局于2010年

9、12月17日发布。SM4.0（原名SMS4.0）是中华人民共和国政府采用的一种分组密码标准，由国家密码管理局于2012年3月21日发布。SM9是中华人民共和国政府采用的一种标识密码标准，由国家密码管理局于2016年3月28日发布。12.单选题以下关于路由协议的叙述中，错误的是（ ）。问题1选项A.路由协议是通过执行一个算法来完成路由选择的一种协议B.动态路由协议可以分为距离向量路由协议和链路状态路由协议C.路由协议是一种允许数据包在主机之间传送信息的协议D.路由器之间可以通过路由协议学习网络的拓扑结构【答案】C【解析】路由协议通过在路由器之间共享路由信息来支持可路由协议。路由信息在相邻路由器之

10、间传递，确保所有路由器知道到其它路由器的路径。总之，路由协议创建了路由表，描述了网络拓扑结构；路由协议与路由器协同工作，执行路由选择和数据包转发功能。13.单选题采用CSMA/CD进行介质访问，两个站点连续冲突3次后再次冲突的概率为（ ）。问题1选项A.12B.1/4C.1/8D.1/16【答案】C【解析】以太网采用截断二进制指数退避算法来解决碰撞问题。这种算法让发生碰撞的站在停止发送数据后，不是等待信道变为空闲后就立即再发送数据，而是推迟一个随机的时间。这样做是为了使的重传时再次发生冲突的概念减少。具体的退避算法如下：（1）确定基本退避时间，一般是取为争用期2t。（2）从整数集合0，1，(2

11、k-1)中随机地取出一个数，记为r。重传应退后的时间为r倍的争用期。上面的参数k按下面公式计算：k = Min重传次数，10可见当重传此数不超过10时，参数k等于重传此数，但当重传次数超过10时，k就不再增大而一直等于10。（3）当重传次数达16次仍不能成功时，则表明同时打算发送数据的站太多，以至连续发生冲突，则丢弃该帧，并向高层报告。如题，假设a，b两个站点发送数据，如果不小心同时发送了，就产生了冲突（此时是第一次冲突），产生了冲突就要重传，用二进制指数退避算法，就是在0，1去取值。在此时可能会发送冲突，也可能不发生冲突，如果发生冲突，说明a和b都取了同样的数。那如果a和b都取了同样的数，那

12、就产生了第二次冲突，产生冲突又得重传，此时的取值就是0，1，2，3。重传的话，可能发生冲突，如果发生冲突，就是第三次冲突，也就说明冲突已经发生了。第三次冲突出现，就要进行重传，取值是0，1，2，3，4，5，6，7。题目中问的在这个取值下，发生冲突的概率。即1/8。14.单选题关于以下命令片段的说法中，正确的是（ ）。问题1选项A.配置接口默认为全双工模式B.配置接口速率默认为1000Kbit/sC.配置接口速率自协商D.配置接口在非自协商模式下为半双工模式【答案】D【解析】undo negotiation auto非自协商模式。duplex falf半双工。15.案例题阅读以下说明，回答问题

13、1 至问题 3，将解答填入答题纸对应的解答栏内。【说明】下图为某公司的总部和分公司网络拓扑，分公司和总部数据中心通过 ISP1 的网络和 ISP2 的网络互连。并且连接 5G 出口作为应急链路，分公司和总部数据中心交互的业务有语音、视频、FTP 和 HTTP 四种。要求通过配置策略路由实现分公司访问业务分流。配置网络质量分析（NQA）与静态路由联动实现链路冗余。其中，语音和视频以 ISP1 为主链路、ISP2 为备份；FTP 和 HTTP 以 ISP2 为主链路，ISP1 为备份。 【问题 1】（4 分）通过在 R1 上配置策略路由，以实现分公司访问总部的流量可根据业务类型分组到 L1 和 L

14、2 两条链路并形成主备关系，首先完成 ACL 相关配置。配置 R1 上的 ACL 来定义流：首先定义视频业务流 ACL 2000：R1 acl 2000R1-acl-basic-2000 rule 1 permit destination （1） 55R1-acl-basic-2000 quit定义 Web 业务流 ACL 3000：R1 acl 3000R1-acl-adv-3000 rule 1 permit tcp destination any destination-port （2） 55R1-acl-basic-3000 quit【问题 2】（8 分）完成 R1 策略路由剩余相关配

15、置1：创建流分类，匹配相关 ACL 定义的流R1 traffic classifier videoR1-classifier-video if-match acl 2000R1-classifier-video quitR1 traffic classifier webR1-classifier-web if-match acl 3000R1-classifier-web quit2：创建流行为并配置重定向R1 traffic behavior b1R1-behavior-b1 redirect ip-nexthop （3）R1-behavior-b1 quitR1 traffic behav

16、ior b2R1-behavior-b2 redirect ip-nexthop （4）R1-behavior-b2 quit3：创建流策略，并在接口上应用R1 traffic policy p1R1-trafficpolicy-p1 classifier video behavior b1R1-trafficpolicy-p1 classifier web behavior （5）R1-trafficpolicy-p1 quitR1 interface GigabitEthernet 0/0/0R1-GigabitEthernet0/0/0 traffic-policy 1 （6）R1-Gi

17、gabitEthernet0/0/0 quit【问题 3】（8 分）在总部网络，通过配置静态路由与 NQA 联动，实现 R2 对主链路的 ICMP 监控，如果发现主链路断开，自动切换到备份链路。在 R2 上完成如下配置：1：开启 NQA，配置 ICMP 类型的 NQA 测试例，检测 R2 到 ISP1 和 ISP2 网关的链路连通状态ISP1 链路探测：R2 nqa test-instance admin isp1 /配置名为 admin isp1 的 NQA 测试例其他配置省略ISP2 链路探测：R2 nqa test-instance admin isp2R2-nqa-admin-isp2

18、 test-type icmpR2-nqa-admin-isp2 destination-address ipv4 （7） /配置 NQA 测试目的地址R2-nqa-admin-isp2 frequency 10 /配置 NQA 两次测试之间间隔 10 秒R2-nqa-admin-isp2 probe-count 2 /配置 NQA 测试探针数目为 2R2-nqa-admin-isp2 start now2：配置静态路由R2ip route-static （8） track nqa admin isp1R2ip route-static track nqa admin isp2R2ip rou

19、te-static preference 100 track nqa admin isp2R2ip route-static （9） preference 110 track nqa admin isp1R2ip route-static （10） preference 12【答案】【问题1】（1）（2）eq 80【问题2】（3）（4）（5）b2（6）inbound【问题3】（7）（8）（8）（10）【解析】【问题1】原题的配置有问题，根据题意（1）视频业务服务器的网络地址为。（2）eq 80【问题2】配置流分类，根据第三段流策略的配置是把b1行为和video分类关联，所以（3）是，走L1。（

20、4）根据第三段流策略的配置是把b2行为和web分类关联，所以（4）是，（5）是b2。（6）在此接口的入方向应用流策略。因此（6）为inbound。【问题3】网络质量分析NQA是一种实时的网络性能探测和统计技术，可以对响应时间、网络抖动、丢包率等网络指标进行统计。NQA能够实时监视网络服务质量，在网络发生故障时进行有效的故障诊断和定位。静态路由本身并没有检测机制，如果非本机直连链路发生了故障，静态路由不会自动从IP路由表中自动删除，需要管理员介入，这就无法保证及时进行链路切换，可能造成较长时间的业务中断。基于以上原因，需要有一种有效的方案来检测静态路由所在的链路。对于静态路由而言，现有的静态路由

21、与BFD联动特性，由于受到互通设备两端都必须支持BFD的限制，在某些应用场景无法实施。而静态路由与NQA联动则只要求互通设备的其中一端支持NQA即可。利用NQA测试来检测静态路由所在链路的状态，根据NQA的检测结果，决定静态路由是否活跃，达到避免通信的中断或服务质量降低的目的。以上图为例，R2至R1有主、备两条链路，R2作为NQA客户端来检测至R1的链路状态：如果NQA测试检测到主链路故障，R2将这条静态路由设置为“非激活”状态；如果NQA测试检测到主链路恢复正常，R2将这条静态路由设置为“激活”状态。（7）ISP2线路探测，目的地址是R1的地址。（8）静态路由配置，ISP1线路，下一跳是。（

22、8）默认路由配置，ISP1线路，下一跳是。（10）5G链路，下一跳是。16.单选题项目范围管理过程如下所示，其正确的流程顺序是（ ）。定义范围核实范围收集需求控制范围创建工作分解结构问题1选项A.B.C.D.【答案】D【解析】第一步：收集需求第二步：定义范围第三步：创建工作分解结构第四步：核实范围第五步：控制范围17.单选题能够容纳200台客户机的IP地址段，其网络位最长是（ ）位。问题1选项A.21B.22C.23D.24【答案】D【解析】200台主机，主机位8位，网络位24位。18.案例题阅读以下说明，回答问题1至问题4，将解答填入答题纸对应的解答栏内。【说明】某分支机构网络拓扑图如1-1

23、所示，该网络通过BGP接收总部网络路由，设备1与设备2作为该网络的网关设备，且运行VRRP（虚拟网络冗余协议），与出口设备运行OSPF。该网络规划两个网段/24 和/24，其中 网段只能访问总部网络， 网段只能访问互联网。 【问题 1】（4 分）分支机构有营销部、市场部、生产部、人事部四个部门，每个部门需要访问互联网主机数量如表所示，现计划对网段/24 进行子网划分，为以上四个部分规划 IP 地址，请补充表中的空（1）-（4）。【问题 2】（8 分）在该网络中为避免环路，应该在交换机上配置（5），生成 BGP 路由有 network 与 import 两种方式，以下描述正确的是（6）（7）（8

24、）。空（6）-（8）备选答案：A.Network 方式逐条精确匹配路由B.Network 方式优先级高C.Import 方式按协议类型引入路由D.Import 方式逐条精确匹配路由E.Network 方式按协议类型引入路由F.Import 方式优先级高【问题 3】（4 分）若设备 1 处于活动状态（Master），设备 2 的状态在哪条链路出现故障时会发生改变？请说明状态改变的原因。【问题 4】（4 分）如果路由器与总部网络的线路中断，在保证数据安全的前提下，分支机构可以在客户端采用什么方式访问总部网络？在防火墙上采用什么方式访问总部网络？【答案】问题1：（1）（2）92（3）24（4）40问

25、题2：（5）生成树协议（6）A（7）B（8）C其中6-8空可以调换顺序。问题3：（9）link c问题4：SSL VPNIPSEC VPN【解析】问题1：/24先划分2个子网，满足营销部和市场部的需求，/25和28/25，从营销部和市场部的已知条件来看，/25分给营销部，所以（1）空是10.11.320.0，28/25继续划分2个子网28/26和92/26。28/26分给市场部，所以（2）是92。而92/26继续划分2个子网92/27和24/27，生产部用24/27，所以（3）24，而92/27继续划分2子网92/28和08/28，人事部为08/28。（4）为40。问题2：为避免环路，交换机上

26、需要配置STP协议进行破环。BGP协议本身不发现路由，因此需要将其他路由引入到BGP路由表，实现AS间的路由互通。当一个AS需要将路由发布给其他AS时，AS边缘路由器会在BGP路由表中引入IGP的路由。为了更好的规划网络，BGP在引入IGP的路由时，可以使用路由策略进行路由过滤和路由属性设置，也可以设置MED值指导EBGP对等体判断流量进入AS时选路。BGP引入路由时支持Import和Network两种方式：Import方式是按协议类型，将RIP、OSPF、ISIS等协议的路由引入到BGP路由表中。为了保证引入的IGP路由的有效性，Import方式还可以引入静态路由和直连路由。Network方

27、式是逐条将IP路由表中已经存在的路由引入到BGP路由表中，比Import方式更精确。BGP路由属性：Origin属性Origin属性用来定义路径信息的来源，标记一条路由是怎么成为BGP路由的。它有以下3种类型：IGP：具有最高的优先级。通过network命令注入到BGP路由表的路由，其Origin属性为IGP。EGP：优先级次之。通过EGP得到的路由信息，其Origin属性为EGP。Incomplete：优先级最低。通过其他方式学习到的路由信息。比如BGP通过import-route命令引入的路由，其Origin属性为Incomplete。（5）生成树协议（6）A（7）B（8）C问题3：/24

28、只能访问总部网络，/24只能访问互联网，那么根据一般规划，设备1是/24的主设备，而设备2是/24的主设备，当设备2的上行链路出现故障时，会降低设备2的优先级，那么设备2的状态会发生变更，而下行链路有冗余，所以无论a、b、e故障都不会影响VRRP报文的传送。问题4：数据安全的情况下，走因特网，需要采用VPN技术。客户端软件的话SSL VPN，首先与SSL VPN服务器之间建立起安全连接（SSL VPN隧道），采用标准的SSL协议对传输的数据包进行加密。登录SSL VPN服务器时，用户访问SSL VPN服务器登录界面，SSL VPN服务器会对用户身份进行认证。SSL VPN服务器往往支持多种用户

29、认证方式，来保证访问的安全性、合法性。然后SSL VPN服务器将报文转发给特定的内部服务器，从而使得移动办公用户在通过验证后，可访问企业内网中管理员分配指定的服务器资源。SSL VPN可以借助Web浏览器覆盖所有的远程访问需求。而采用防火墙一般会选择IPSEC VPN，通信双方通过IPsec建立一条IPsec隧道，IP数据包通过IPsec隧道进行加密传输，有效保证了数据在不安全的网络环境如Internet中传输的安全性。19.单选题（ ）存储方式常使用NFS协议为Linux操作系统提供文件共享服务。问题1选项A.DASB.NASC.IP-SAND.FC-SAN【答案】B【解析】网络附加存储NA

30、S方式全面改进了以前低效的DAS存储方式。它采用独立于服务器，单独为网络数据存储而开发的一种文件服务器来连接所存储设备。NAS有自己的文件系统，用网络和文件共享协议提供对文件数据的访问权限。这些协议有通用Internet文件系统CIFS和网络文件系统NFS，NAS让UNIX、Linux、Windows不同操作系统的用户都能无缝的共享数据，NAS采用TCP/IP网络进行数据交换。不同厂商的产品（服务器、交换机、NAS存储）只要满足标准的协议就可以互联互通，没有兼容性的要求。20.单选题以下协议中，不属于安全的数据/文件传输协议的是（ ）。问题1选项A.HTTPSB.SSHC.SFTPD.Teln

31、et【答案】D【解析】Telnet远程登录协议，明文传输信息。21.单选题下列命令片段实现的功能是（ ）。acl 3000rule permit tcp destination-port eq 80 source .55carcir4096问题1选项A.限制网段设备访问HTTP的流量不超过4MbpsB.限制网段设备访问HTTP的流量不超过80MbpsC.限制网段设备的TCP的流量不超过4MbpsD.限制网段设备的TCP的流量不超过80Mbps【答案】A【解析】流量监管TP（Traffic Policing）就是对流量进行控制，通过监督进入网络的流量速率，对超出部分的流量进行限制，使进入的流量被

32、限制在一个合理的范围之内，以保证网络资源的合理利用。流量监管功能可以通过对ACL的引用来实现对不同数据流的限速，在下面的例子中，将针对HTTP、语音、电子邮件业务的流量限速进行举例介绍。题中的代码：对匹配ACL3000的报文的HTTP流量（TCP端口80）限速为4096Kbps。22.单选题下列命令片段含义是（ ）。问题1选项A.配置端口镜像B.配置链路聚合C.配置逻辑接口D.配置访问控制策略【答案】A【解析】端口镜像（port mirroring）可以让用户将所有的流量从一个特定的端口复制到一个镜像端口。observe-port 1 interface GigabitEthernet0/0/

33、1 / 镜像接口作为观察口interface GigabitEthernet0/0/2 /需要被镜像的接口port-mirroring to observe-port 1 inbound （配置镜像G0/0/2这个接口的入方向的流量到G0/0/1接口进行监视观察）23.单选题某数据中心做存储系统设计，从性价比角度考量，最合适的冗余方式是（ ），当该RAID配备N块磁盘时，实际可用数为（ ）块。问题1选项A.RAID 0B.RAID 1C.RAID 5D.RAID 10问题2选项A.NB.N-1C.N/2D.N4【答案】第1题:C第2题:B【解析】RAID 5不单独指定的奇偶盘，而是在所有磁盘上

34、交叉地存取数据及奇偶校验信息。RAID5磁盘利用率是（N-1）/N。空间利用率：RAID 5比RAID 10和RAID1高。一个是（N-1）/N，一个是50%。24.单选题在BGP路由选择协议中，（ ）属性可以避免在AS之间产生环路。问题1选项A.0riginB.AS_ PATHC.Next HopD.Communtiy【答案】B【解析】BGP路由属性是路由信息所携带的一组参数，它对路由进行了进一步的描述，表达了每一条路由的各种特性。路由属性是BGP协议区别其他协议的重要特征。BGP通过比较路由携带的属性，来进行路由选择、环路避免等工作。25.案例题试题二（共20分）阅读以下说明，回答问题1至

35、问题2，将解答填入答题纸对应的解答栏内。【说明】某企业内部局域网拓扑如图2-1所示，局域网内分为办公区和服务器区。图2-1中，办公区域的业务网段为/24，服务器区网段为服务网段的网关均在防火墙上，网关分别对应为54。54；防火墙DHCP服务器，为办公区终端自动下发IP地址，并通过NAT实现用户访问互联网。防火墙外网出口IP地址为/28，办公区用户IP池为0-5。【问题1】（6分）防火墙常用工作模式有透明模式、路由模式、混合模式，图2-1 中的出口防火墙工作于（1）模式；防火墙为办公区用户动态分配IP地址，需在防火墙完成开启（2）功能。Server2为WEB服务器，服务端口为tcp 443，外网

36、用户通过https:/100.1.9:8443访问，在防火墙上需要配置（3）。（3）备选答案：A.nat server policy _web protocol tcp global 8443 inside .443 unr-routeB.nat server policy _web protocol tcp global .8443 inside 443 unr-routeC.nat server policy _web protocol tcp global 443 inside .8443 unr-routeD.nat server policy _web protocol tcp gl

37、obal inside 8443 unr-route【问题2】（14分）为了使局城网中/24网段的用户可以正常访问Internet，需要在防火墙上完成NAT、安全策略等配置，请根据需求求完善以下配置。#将对应接口加入trust或者untrust区域。FW firewall zone trustFW-zone-trust add interface（4）FW-zone-trust quitFW firewall zone untrustFW-zone-untrust add interface_（5）FW-zone-untrustquit#配置安全策略，允许局域网指定网段与Internet进行报

38、文交互。FW security-policyFW-policy securityrule name policy1#将局域网作为源信任区域，将互联网作为非信任区域FW-policy-security-rule-policy1source-zone（6）FW-policy-security-rule-policy1destination-zone untrust#指定局域网办公区域的用户访同互联网FW-policy-security-rule-policy1source-address（7）#指定安全策略为允许FW-policy-security-rule-policy1 action（8）FW

39、-policy-security-rule-policy1 quitFW-policy-security quit置NAT地址池，配置时开启允许端口地址转换，实现公网地址复用。FW nat address-group address group1FW-address-group-addressgroup1 mode patFW-address-group-addressgroup1section 0（9）配置源NAT策略，实现局城网指定网段访问Internet时自动进行源地址转换。FW nat policyFW-policy natrule name policy_nat 1#指定具体哪线区域

40、为信任和非信任区域FW-policy-nat-rule policy_nat 1 source-zone trustPW-policy-nat-rule policy_nat 1 destination zone untrust#指定局域网源IP地址FW-policy-nat-rule policy_nat 1 source-address 24FW-policy-nal-rule-policy_nat 1action source-nat address-group (10）FW-policy-nat-rule-policy_nat 1quitPW-policy-nat quit【答案】【问

41、题一】（6分）1、路由模式2、dhcp3、A【问题二】（14分）4、g 0/0/15、g 0/0/36、trust7、 248、permit9、0 510、address group 1【解析】【问题一】1.防火墙的工作模式有透明模式、路由模式、混合模式，透明模式相当于是一台交换机，接口不配置IP地址，路由模式相当于是一台路由器，接口配置IP地址，因此本题中的出口防火墙工作于路由模式；防火墙为办公区用户动态分配IP地址由DCHP功能实现，因此需在防火墙上开启DHCP功能。2.要实现外网用户可直接访问内网服务器，需要配置NAT server，指定其公有IP端口和内网IP端口的映射，因此答案为A。

42、【问题二】防火墙安全区域trust区域的接口有两个：ge0/0/1、ge0/0/2#将局域网作为源信任区域，将互联网作为非信任区域FW-policy-security-rule-policy1source-zone trust /源信任区域FW-policy-security-rule-policy1destination-zone untrust#指定局域网办公区域的用户访同互联网FW-policy-security-rule-policy1source-address 24#指定安全策略为允许FW-policy-security-rule-policy1 action permitFW-p

43、olicy-security-rule-policy1 quit置NAT地址池，配置时开启允许端口地址转换，实现公网地址复用。FW nat address-group address group1FW-address-group-addressgroup1 mode patFW-address-group-addressgroup1section 0 0 5 /设定地址池#指定局域网源IP地址FW-policy-nat-rule policy_nat 1 source-address 24FW-policy-nal-rule-policy_nat 1action source-nat addr

44、ess-group addressgroup 1 /NAT转换为地址池中的地址FW-policy-nat-rule-policy_nat 1quit26.案例题阅读以下说明，回答问题1和问题2，将解答填入答题纸对应的解答栏内。【说明】某公司在网络环境中部署多台IP电话和无线AP，计划使用PoE设备为IP电话和无线AP供电，拓扑结构如图4-1所示。【问题1】(5分)PoE (Power Over Ethernet) 也称为以太网供电，是在现有的以太网Cat.5布线基础架构不作任何改动的情况下，利用现有的标准五类、超五类和六类双纹线在为基于IP的终端(如IP电话机、无线局城网接入点AP、网络摄像机

45、等)同时(1)和(2)。完整的PoE系统由供电端设备(PSE, Power Sourcing Equipment)和受电端设备(PD.Powered Devic)两部分组成。依据IEEE 802.3af/at标准，有两种供电方式，使用空闲脚供电和使用(3)脚供电，当使用空闲脚供电时，双绞线的(4)线对为正极、(5)线对为负极为PD设备供电。(1) (5)备选答案：A.提供电功率B.4、5C.传输数据D.7、8E.3、6F.数据【问题2】 (10分)公司的IP-Phonel和API为公司内部员工提供语音和联网服务，要求有较高的供电优先级，且AP的供电优先级高于IP-Phone；IP-Phone2

46、 和AP2用于放置在公共区域，为游客提供语音和联网服务，AP2 在每天的2: 00-6: 00时间段内停止供电。IP-Phone的功率不超过5W, AP的功率不超过I5W。配置接口最大输出功率，以确保设备安全。请根据以上需求说明，将下面的配置代码补充完整。 (6) (7) SW1 SW1 poe power-management (8)SW 1 interface gigabitethernet 00/1SWI-GigabitEthermeto/0/1poe power (9)SW1-GigabitEthermet0/0/11 poe priority (10)SW1-GigabitEthem

47、et/0/1quitSW1interface gigabitethernet 0/0/2SiI-GigabitEthernet0/0/2poe power (11)SiI-GigabitEthernet0/0/2poe priority (12)SW1-GigabitEthernet0/0/2quitSW1interface (13)SW1-GigabitEthernet0/0/3 poe power 5000SW1-GigabitEthernet0/0/3quitSW1 (14) tset 2:00 to 6:00 dailySW1 interface gigabitethernet 0/0

48、/4SW1-GigabitEthernet0/0/4 por(15)time-range tsetWarning: This operation will power off the PD during this time range poe.Continue?YN:ySW1-GigabitEthernet0/0/4quit(6) (15)备选答案：A. sysname/ sysnB.5000C. time-rangeD. power-offE. autoF. system-view/sysG. criticalH. highI.15000J. gigabitethernet 0/0/3【答案

49、】【问题1】(5分)（1）A（2）C（3）F（4）B（5）D【问题2】(10分)（6）F（7）A（8）E（9）B（10）H（11）I（12）G（13）J（14）C（15）D【解析】【问题1】(5分)无线AP往往还具有通过交换机POE模块对其供电。以太网供电POE技术是交换机POE模块通过以太网线路为IP电话、无线AP、网络摄像头等小型网络设备直接提供电源的技术。该技术可以避免大量的独立铺设电力线，以简化系统布线，降低网络基础设施的建设成本。完整的PoE系统由供电端设备(PSE, Power Sourcing Equipment)和受电端设备(PD.Powered Devic)两部分组成。依据I

50、EEE 802.3af/at标准，有两种供电方式，使用空闲脚供电和使用(3)脚供电，当使用空闲脚供电时，双绞线的(4)线对为正极、(5)线对为负极为PD设备供电。IEEE 802.3af(15.4W)成为了首个PoE供电标准，规定了以太网供电标准，是PoE应用的主流实现标准。IEEE80 2.3af允许两种用法，应用空闲脚供电时，4、5脚连接为正极，7、8脚连接为负极。应用数据脚供电时，将DC电源加在传输变压器的中点，不影响数据的传输。在这种方式下线对1、2和线对3、6可以为任意极性。【问题2】 (10分) system-view sysname SW1 SW1 poe power-manag

51、ement auto/配置设备的供电管理模式为自动模式。SW1 interface gigabitethernet 0/0/1SW1-GigabitEthermet0/0/1poe power 5000/最大对外输出功率为5WSW1-GigabitEthermet0/0/1 poe priority high/接口的供电优先级为High（根据接口下的PD重要性可以给各接口设置优先级,Critical、High、Low三个级别）SW1-GigabitEthemet/0/1quitSW1interface gigabitethernet 0/0/2SW1-GigabitEthernet0/0/2p

52、oe power 15000/最大对外输出功率为15WSW1-GigabitEthernet0/0/2poe priority critical/接口的供电优先级为CriticalSW1-GigabitEthernet0/0/2quitSW1interface GigabitEthernet0/0/3 /进入端口g0/0/3SW1-GigabitEthernet0/0/3 poe power 5000SW1-GigabitEthernet0/0/3quitSW1 time-range tset 2:00 to 6:00 dailySW1 interface gigabitethernet 0/

53、0/4SW1-GigabitEthernet0/0/4 por power off time-range tset /接口下的设备在2: 00-6: 00时间段内停止供电Warning: This operation will power off the PD during this time range poe.Continue?YN:ySW1-GigabitEthernet0/0/4quit27.单选题在OSPF路由协议中，路由器在（ ）进行链路状态广播。问题1选项A.固定30秒后周期性地B.固定60秒后周期性地C.收到对端请求后D.链路状态发生改变后【答案】D【解析】OSPF协议要求路由

54、器发送的信息是本路由器与那些路由器相邻，以及链路状态的度量。链路状态的度量主要是指：费用、距离、延时、带宽等。OSPF协议要求当链路状态发生变化时用洪泛法向所有的路由器发送此信息。28.单选题用户使用访问某文件服务，默认通过目标端口为（ ）的请求报文建立（ ）链接。问题1选项A.20B.21C.22D.23问题2选项A.TCPB.UDPC.HTTPD.FTP【答案】第1题:B第2题:A【解析】FTP服务器使用TCP的20和21两个网络端口与FTP客户端进行通信。FTP服务器的21端口用于传输FTP的控制命令，20端口用于传输文件数据。29.单选题下列关于项目收尾的说法中错误的是（ ）。问题1选

55、项A.项目收尾应收到客户或买方的正式验收确认文件B.项目收尾包括管理收尾和技术收尾C.项目收尾应向客户或买方交付最终产品、项目成果、竣工文档等D.合同中止是项目收尾的一种特殊情况【答案】B【解析】项目收尾(Project Conclusion)；根据PMI（美国项目管理协会）的概念，项目收尾包括合同收尾和管理收尾两部分。合同收尾就是抓起合同，和客户一项项的核对，是否完成了合同所有的要求，是否可以把项目结束掉，也就是我们通常所讲的验收。30.案例题阅读以下说明，回答问题1至问题3，将解答填入答题纸对应的解答栏内。【说明】某单位由于业务要求，在六层的大楼内同时部署有线和无线网络，楼外停车场部署无线

56、网络。网络拓扑如图1-1 所示。【问题1】(8分)1.该网络规划中，相较于以旁路方式部署，将AC直连部署存在的问题是（1）；相较于部署在核心层，将AC部署在接入层存在的问题是（2）。2.在不增加网络设备的情况下，防止外网用户对本网络进行攻击，隐藏内部网NAT策略通常配置在（3）。（3）备选答案:A.ACB.SwitchC.Router3.某用户通过手机连接该网络的WIFI信号，使用WEB页面进行认证后上网，无线网络使用的认证方式是（4） 认证。（4）备选答案:A. PPPoEB. PortalC. IEEE 802.1x【问题2】 (8分)1.若停车场需要部署3个相邻的AP，在进行2.4GHz

57、频段规划时，为避免可以采用的信道是（5）（5）备选答案:A.1、4、7B.1、6、9C.1、6、112.若在大楼内相邻的办公室共用1台AP会造成信号衰减，造成信号衰减的是（6）（6）备选答案A.调制方案B.传输距离C.设备老化D.障碍物3.在网络规划中，对AP供电方式可以采取（7）供电或DC电源适配器供电。4.不考虑其他因素的情况下，若室内AP区域信号场强-60dBm，停车场AP区域的场强-70dBm，则用户在（8）区域的上网体验好。【问题3】（4分）在结构化布线系统中，核心交换机到楼层交换机的布线通常称为（9） ，拟采用50/125微米多模光纤进行互连，使用1000Base-SX以太网标准，

58、传输的最大距离约是（10） 米。（9）备选答案：A.设备间子系统 B.管理子系统 C.干线子系统（10）备选答案：A. 100 B.550 C.5000【答案】【问题1】（1）这种方案的缺点是对AC的吞吐量和数据处理能力要求比较高，AC容易成为整个无线网络带宽的瓶颈。（2）导致吞吐量下降（3）C（4）B【问题2】（5）C（6）D（7）POE（8）室内【问题3】（9）C（10）B【解析】【问题一】1.AC为无线控制器，它的部署方式有两种，一种是直连部署，业务流经过AC。另一种是旁路部署，业务流不经过AC。因此如果将AC直连部署的话，可能会存在需要AC转发大量的业务流量，从而对AC的吞吐量和数据处

59、理能力要求比较高，AC容易成为整个无线网络带宽的瓶颈。AC部署的位置可以在接入层，也可以在核心层，如果部署在接入层，由于接入层设备性能差，要同时处理业务数据流量及AC管理多台AP的管理流量，从而导致吞吐量下降，整个管理性能受影响。2.NAT是网络地址转换技术，可实现私有地址和公有地址间的转换，通常部署在路由器上，可以实现隐藏内部网络。3.Portal认证（也称为Web认证）可以以网页的形式为用户提供身份认证和个性化信息服务。【问题二】1.2.4Ghz的信道划分，互不干扰的信道号相差至少为5，因此C选项符合要求。2.相邻的办公楼共用一台AP会造成信号衰减的主要原因是障碍物干扰。3.对AP的供电方

60、式可以采用POE供电或DC电源适配器供电。4.室内的信号比停车场的更好，因而用户在室内区域的上网体验更好。【问题三】核心交换机在机房即设备间子系统，楼层交换机在管理子系统，而干线子系统就是将它们连接起来的布线系统。1000BASE-SX只能使用多模光纤，传输距离最多为550m。31.单选题SNMP管理的网络关键组件不包括（ ）。问题1选项A.网络管理系统B.被管理的设备C.代理者D.系统管理员【答案】D【解析】一个SNMP管理的网络由下列三个关键组件组成：网络管理系统（NMS，Network-management systems）被管理的设备（managed device）代理者（agent）