2021年11月网络工程师考试网络系统设计与管理下午真题

2021年11月网络工程师考试网络系统设计与管理下午真题(总分：11.00，做题时间：180分钟)一、问答题(总题数：11，分数：11.00)1.某单位由于业务要求，在六层的大楼内同时部署有线和无线网络，楼外停车场部署无线网络。网络拓扑如图1-1所示。1.该网络规划中，相较于以旁路方式部署，将AC直连部署存在的问题是(1)，相较于部署在核心层，将AC部署在接入层存在的问题是(2)。2.在不增加网络设备的情况下，防止外网用户对本网络进行攻击，隐藏内部网络的NAT策略通常配置在(3)(3)备选答案:A.ACB.SwitchC.Router3.某用户通过手机连接该网络的WIFI信号，使用WEB页面进行认证后上网，则该无线网络使用的认证方式是_(4)认证。(4)备选答案:A.PPPoEB.PortalC.IEEE802.1x

（分数：1.00）__________________________________________________________________________________________

正确答案：(（1）存在单点故障、性能瓶颈（2）不能很好的利用AC的NAT、HDCP功能。性能差，稳定性不好，其他区域的工作站访问距离远，效率低。（3）C（4）B)解析：（1）-（2）：本题考察的是网络设备旁路部署和直连部署的区别，直连部署的网络设备通常会在网络的主干线路上，这种部署方式存在单点故障的问题，同时也可能因为设备本身的性能达不到网络传输的要求，出现性能瓶颈。所以相当一部分支持直连部署的设备都有设备故障时，网络数据能直通的功能。如果将AC部署在接入层设备上，往往由于接入层设备性能较差，稳定性不好，也不会配置冗余的电源、线路等提升可靠性的条件。将AC部署在这种设备上，可能会因为接入层设备本身的不可靠，导致无线网络瘫痪。另外，将AC接在接入层设备上，也不能很好的利用AC本身的NAT和其他一些功能。并且，其他区域的接入层工作站需要通过核心，再连接到接入层，再到AC，访问的路径比较远，效率较低。（3）：在不增加网络设备的前提下，要防止外网用户对本网络进行攻击，只能在路由器上配置Nat策略，对于外部网络显示的是一个公网IP或者是一段公网IP，从而隐藏内部网络。（4）：从题干中的关键词“使用web页面进行认证后上网”可以知道这是一种基于webportal的认证方式，这种方式最大的特点是不需要安装客户端，直接使用浏览器访问网络之前，会强制定位到web认证页面。2.某单位由于业务要求，在六层的大楼内同时部署有线和无线网络，楼外停车场部署无线网络。网络拓扑如图1-1所示。1.若停车场需要部署3个相邻的AP,在进行2.4GHz频段规划时，为避免信道重叠可以采用的信道是_(5)。(5)备选答案:A.1、4、7B.1、6、9C.1、6、112.若在大楼内相邻的办公室共用1台AP会造成信号衰减，造成信号衰减的主要原因是（6）。(6)备选答案A.调制方室B.传输距离C.设备老化D.障碍物3.在网络规划中，对AP供电方式可以采取(7)供电或DC电源适配器供电。4.在不考虑其他因素的情况下，若室内AP区域信号场强>-60dBm,停车场AP区的场强>-70dBm,则用户在(8)区域的上网体验好。

（分数：1.00）__________________________________________________________________________________________

正确答案：((5)C(6)D（7）POE（8）室内)解析：（5）试题分析：本题是关于无线局域网信道部署的问题，无线局域网通常有11个或者13个信道，在进行无线网络覆盖时，为了避免信道之间相互干扰，通常采用的信道分配方式是1、6、11信道交替使用，以尽量避免信道之间的干扰。（6）试题分析：无线信号采用的载频为2.4Ghz或者5Ghz，频率相对比较高，信号的波长比较短，因此在穿透障碍物时容易造成严重的信号衰减，题中说大楼内相邻的办公室公用一台AP，AP发出的信号会因为墙壁的阻隔，造成比较严重的信号衰减。（7）试题分析：目前的无线网络部署中，对AP的供电可以采用POE方式或者采用DC电源适配器方式进行供电。（8）试题分析：无线信号场强的大小表示基本单位是dbm，一般信号强度在-30~-120dbm之间。值越小，信号越好。从题干给出的参数来看，室内AP区域的场强明显比停车场区域的要好，因此用户在室内区域的上网体验会更好。3.某单位由于业务要求，在六层的大楼内同时部署有线和无线网络，楼外停车场部署无线网络。网络拓扑如图1-1所示。在结构化布线系统中，核心交换机到楼层交换机的布线通常称为(9)，拟采用50/125微米多模光纤进行互连，使用1000Base-SX以太网标准，传输的最大距离约是(10)米。(9)备选答案:A.设备间子系统B.管理子系统C.干线子系统(10)备选答案:A.100B.550C.5000

（分数：1.00）__________________________________________________________________________________________

正确答案：(（9）C（10）B)解析：结构化布线系统中，核心交换机到楼层交换机的布线通常称之为干线子系统。用于连接设备间等核心交换机和楼层的交换机。1000BASE-SX所使用的光纤有：波长为850nm，分为62.5/125μm多模光纤、50/125μm多模光纤。其中使用62.5/125μm多模光纤的最大传输距离为220m，使用50/125μm多模光纤的最大传输距离为550米。4.某企业内部局域网拓扑如图2-1所示，局域网内分为办公区和服务器区。图2-1中，办公区域的业务网段为/24，服务器区网段为/24服务网段的网关均在防火墙上，网关分别对应为54。54;防火墙作为DHCP服务器，为办公区终端自动下发IP地址，并通过NAT实现用户访问互联网。防火墙外网服务部IP地址为/28，办公区用户出口IP地址池为0-5。防火墙常用工作模式有透明模式、路由模式、混合模式，图2-1中的出口防火墙工作于（1）模式：防火墙为办公区用户动态分配IP地址，需在防火墙完成开启（2）功能:Server2为WEB服务器，服务端口为TCP443,外网用户通过:8443访问，在防火墙上需要配置(3)

(3)备选答案;A.natserverpolicy_webprotocoltcpglobal8443inside443unr-routeB.natserverpolicy_webprotocoltcpglobal8443inside443unr-routeC.natserverpolicy_webprotocoltcpglobal443inside8443unr-routeD.natserverpolicy_webprotocoltcpglobalinside8443unr-route

（分数：1.00）__________________________________________________________________________________________

正确答案：(（1）路由模式（2）DHCP（3）A)解析：从图中可以看到，防火墙的3个接口分别配置的不同的IP地址，用于连接不同的网段，因此可以判断防火墙目前工作在路由模式。防火墙为办公区用户动态分配IP地址，这个功能只能由dhcp服务来完成，因此需要在防火墙上开启dhcp功能。根据外网用户通过:8443访问web服务器，可以知道在natserver中必须要配置公网地址为，对应的端口为8443。而内部的server2是作为web服务器，其服务端口为TCP的443，内部的地址为。因此只需要在配置命令中找到外网ip地址和端口以及内网的IP地址和端口对应关系即可判断正确答案是A。5.某企业内部局域网拓扑如图2-1所示，局域网内分为办公区和服务器区。图2-1中，办公区域的业务网段为/24，服务器区网段为/24服务网段的网关均在防火墙上，网关分别对应为54。54;防火墙作为DHCP服务器，为办公区终端自动下发IP地址，并通过NAT实现用户访问互联网。防火墙外网服务部IP地址为/28，办公区用户出口IP地址池为0-5。为了使局城网中/24网段的用户可以正常访问Internet,需要在防火墙上完成NAT、安全策略等配置，请根据需求完善以下配置。

#将对应接口加入trust或者untrust区域。

[FW]firewallzonetrust

[FW-zonetrust]addinterface_(4)_

[FW-zone-trust]quit

[FW]firewallzoneuntrust

[FW-zoneuntrust]addinterface_(5)_

[FW-zoneuntrust]quit

#配置安全策略，允许局域网指定网段与Internet进行报文交互。[FW]securitypolicy

[FW-policy-security]rulenamepolicy1

#将局域网作为源信任区域，将互联网作为非信任区域

[FW-policy-security-rule-policy1]source-zone_(6)

[FW-policy-security-rule-policy1]destination-zoneuntrust

#指定局域网办公室的用户访问互联网

[FW-policy-security-rule-policy1]source-address（7）

#指定安全策略为允许

[FW-policy-security-rule-policy1]action(8)_

[FW-policy-security-rule-policy1]quit

[FW-policy-security]quit

配置NAT地址池，配置时开自允许端口地址转换，实现公网地址复用。

[FW]natadress-groupaddressgroup1

[FW-address-group-addressgroup1]modepat

[FW-address-group-addressgroup1]section0(9)

配置源NAT策略，实现局城网指定网段访问lnternet时自动进行源地址转换

[FW]nat-policy

[FW-policy-nat]rulenamepolicy_nat1

#指定具体哪些区域为信任和非信任区域

[FW-policy-nat-rule-policy_nat1]source-zonetrust

[FW-policy-nat-rule-policy_nat1]destination-zoneuntrust

#指定局域网源IP地址

[FW-policy-nat-rule-policy_nat1]source-address24

[FW-policy-nat-rule-policy_nat1]actionsource-nataddress-group(10)

[FW-policy-nat-rule-policy_nat1]quit[FW-policy-nat]quit

（分数：1.00）__________________________________________________________________________________________

正确答案：(（4）G0/0/1（5）G0/0/3（6）trust（7）24（8）permit（9）05（10）addressgroup1)解析：本题是一个防火墙的基本配置题，第4空是将接口添加到Trust区域，来从题干中可以看到Trust区域对应的内部网络接口地址为GE0/0/1。第5空，可以参照第4空的原理，对应的外网接口是GE0/0/3。第6空，结合上下文可知，是将局域网作为信源的信任区，而局域网对应的区域可以用Trust来表示。第7空，根据配置命令的解释是办公室的用户要能访问互联网，因此对应的源地址就应该是办公区域的网络地址，结合题干给出的信息可以知道，办公室用户对应的网络为/24.第8空，根据题干的解释是将策略的动作设定为允许，对应的命令当然是permit。第9空，根据配置上下文可以知道，section后面指定的就是Nat公网地址，而题干中nat的地址池地址为0～5。只要指定地址池的首地址和末地址即可第10空，根据上下文可知，这是要指定对应的地址池的名称，地址池的名称addressgroup1。6.某公司网络拓扑升段如图3-1所示，其中出口路由器R2连接InternetPC所在网段为/24，服务IP地址为2/24，R2连接的Internet出口网关地址为/28。各路由端口及所对应的IP地址信息如表3-1所示。假设各个路由器和主机均完成了各个接口IP地址的配置。通过静态路由配置使路由器RI经过路由器R2作为主链路连接Internet,R1->R3->R2->Internet作为备份链路；路由器R3经过路由器R2作为主链路连接Internet,R3->R1->R2->Internet作为备份链路。

请按要求补全命令或回答问题。

R1上的配置片段:

[R1]iproute-static(1)

[R1]iproute-static(2)preference100

R2上的配置片段:

[R2]iproute-static(3)

以下两条命令的作用是(4)

[R2]iproute-static55

[R2]iproute-static55preference100

（分数：1.00）__________________________________________________________________________________________

正确答案：(（1）（2）（3）(4)指定两条回程路由)解析：第1空根据题干的解释可知，在路由器R1上，配置2条默认静态路由分别指向R2和R3，而R2作为主路径，所以对应的默认静态路由优先级要高。从上下文可知，指向路由器R3的默认静态路由优先级被配置为100，而华为设备中，默认的优先级为60，其优先级更高，因此可以使用默认的优先级。指向路由器R2的下一跳地址为。第2空使用路由器R3作为下一跳路由器，其对应的接口地址为。第3空，根据上下文和题干解释，只要在路由器R2上配置默认静态路由，默认静态路由的目标网络为。第4空因为网络通讯是双向的，内部网络通过默认静态路由指向出口路由器，同时出口路由器也必须使用回程路由。这里显然是指令2条回程路由。7.某公司网络拓扑升段如图3-1所示，其中出口路由器R2连接InternetPC所在网段为/24，服务IP地址为2/24，R2连接的Internet出口网关地址为/28。各路由端口及所对应的IP地址信息如表3-1所示。假设各个路由器和主机均完成了各个接口IP地址的配置。通过在R1、R2和R3上配置双向转发检测(BidirectionalForwardingDetection,BFD)实现链路故障快速检测和静态路由的自动切换。以R3为例配置R3和R2之间的BFD会话，请补全下列命令:

[R3](5)

[R3-bfd]quit

[R3]bfd1bindpeer-ip(6)source-ip(7)auto

[R3-bfd-session-1]commit

[R3-bfd-session-1]quit

（分数：1.00）__________________________________________________________________________________________

正确答案：(（5）BFD（6）（7）)解析：第5空根据配置上下文可知，这是在设备上启动BFD。第6空在配置BFD会话时需要指定本端的地址和对端地址，从关键词peer可知是指定对端的地址，。第7空源地址明显是与peer端对应的地址8.某公司网络拓扑升段如图3-1所示，其中出口路由器R2连接InternetPC所在网段为/24，服务IP地址为2/24，R2连接的Internet出口网关地址为/28。各路由端口及所对应的IP地址信息如表3-1所示。假设各个路由器和主机均完成了各个接口IP地址的配置。

通过配置虚拟路由冗余协议(VirtialRouterRedundancyProtocol，VRRP)使得服务器通过交换机S1为S1双归属到R1和R3，从而保证链路发生故障时服务器的业务不中断。R1为主路由，R3为备份路由，且虚拟浮动IP地址为0。根据上述配置要求，服务器的网关地址应配置为(8)。

在R1上配置与R3的VRRP虚拟组相互备份:

[R1]intg0/0/1

//创建VRRP虚拟组

[R1-GigabitEthernet0/0/1]vrrpvrid1virtual-ip(9)

//配置优先级为120

[R1-GigabitEthernet0/0/1]vrrpvrid1priority120

下面这条命令的作用是(10)

[R1-GigabitEthernet0/0/1]vrrpvrid1preempt-modetimerdelay2//跟踪GE0/0/0端口，如果GE0/0/0端口down,优先级自动减30

[R1-GigabitEthernet0/0/1]vrrpvrid1trackinterfaceGE0/0/0reduced30

请问R1为什么要跟踪GE0/0/0端口?答：（11）

（分数：1.00）__________________________________________________________________________________________

正确答案：(（8）0（9）0（10）开启抢占模式（11）跟踪Ge0/0/0接口，避免Master设备的上行接口出现问题，而Master设备一直保持Active状态，导致网络出现中断，让Master设备运行状态和上行接口能够关联)解析：第8空结合网络拓扑结构可知服务器通过交换机可以直接连接到2个路由器上，因此可以将网关设置为VRRP的虚拟IP地址，也就是0。第9空根据上一空的分析和题干的信息，可以知道这个命令是设置VRRP组的虚拟IP地址，因此这个地址也是0。第10空这条命令的作用是开启VRRP的抢占模式。第11空因为在VRRP中，物理设备的状态和上行接口的链路状态并没有进行关联，如果设备的状态一直保持Active状态，上行接口出现故障，可能导致网络出现中断，为了避免出现这种情况，可以设置跟踪接口，让Master设备运行状态和跟踪接口的状态能够关联。9.某公司网络拓扑升段如图3-1所示，其中出口路由器R2连接InternetPC所在网段为/24，服务IP地址为2/24，R2连接的Internet出口网关地址为/28。各路由端口及所对应的IP地址信息如表3-1所示。假设各个路由器和主机均完成了各个接口IP地址的配置。通过配置ACL限制PC所在网段在2021年11月6日上午9点至下午5点之间不能访问服务器的Web服务(工作在80端口)，对园区内其它网段无访问限制。

定义满足上述要求ACL的命令片段如下，请补全命令。

[XXX](12)ftime9:00to17:002021/11/6

[XXX]acI3001

[XXX0-acI-adv-3001]rule(13)tcpdestination-porteq80source0destination

2time-range(14)

上述ACL最佳配置设备是(15)。

（分数：1.00）__________________________________________________________________________________________

正确答案：(（12）range-time（13）deny（14）ftime（15）R2)解析：第12空，根据题干的意思是要设置基于时间的ACL，因此首先得设置时间范围，根据上下文即可知，这里用的是Time-range。第13空，根据题干的意思在9点到17点之间不能访问web服务器，所以ACL中的动作应该是deny。第14空，根据配置命令可以知道这里是设置时间范围，而前面定义的时间范围名字叫ftime。第15空，根据拓扑图可知PC所在的网络是通过交换机连接在R2下面，并且这个ACL是高级ACL，按照高级ACL应该配置在接近源端这个规则，因此最佳的配置是在路由器R2上面。10.某公司办公网络拓扑结构如图4-1所示，其中，在交换机SwitchtA上启用DHCP为户端分配IP地址。公司内部网络采用基于子网的VLAN划分。由于公司业务特点需要，大部分工作人员无固定工位。故公司内部网络采用基于子网划分VLAN,并采用DHCP策略VLAN功能为客户端分配IP地址。请根据以上描述，填写下面的空白。

DHCP策略VLAN功能可实现新加入网络主机和DHCP服务器之间DHCP报文的互通，使新加入网络主机通过DHCP服务器获得合法IP地址及网络配置等参数。

在基于子网划分VLAN的网络中，如果设备收到的是Untagged帧，设备将根据报文中的(1)，确定用户主机添加的VLANID。新加入网络的主机在申请到合法的IP地址前采用源IP地址(2)进行临时通信，此时，该主机无法加入任何VLAN,设备会为该报文打上接口的缺省VLANID(3)。

由于接口的缺省VLANID与DHCP服务器所在VLANID不同，因此主机不会到IP地址及网络配置等参数配置信息。DHCP策略VLAN功能可使设备修改收到的DHCP报文的_(4)_VLANTag,将VLANID设置为_(5)所在VLANID,从而实现新加入网络主机与DHCP服务器之间DHCP报文的互通，获得合法的IP地址及网络配置参数。该主机发送的报文可以通过基于子网划分VLAN的方式加入对应的VLAN。(1)~(5)备选答案:

A.55

B.内层

C.外层

D.源IP地址

E.DHCP服务器

F.1

G.

H.源MAC地址

I.1023

（分数：1.00）__________________________________________________________________________________________

正确答案：(（1）D（2）G（3）F(4)C(5)E)解析：第1空，当采用基于子网划分VLAN时，如果设备收到的是Untagged帧，设备根据报文中的源IP地址，确定用户主机添加的VLANID。第2空，新加入网络的主机需要通过DHCP方式获取IP地址，但是，在申请到合法的IP地址前，主机只能采用源IP地址进行临时通信。第3空，该主机发送的DHCP报文无法通过基于子网划分VLAN的方式加入任何VLAN，最终设备会给该报文会打上接口的缺省VLANID（缺省情况下，接口的缺省VLANID为1）。第4空，引入DHCP策略VLAN功能后，设备将修改收到DHCP报文的外层VLANTag，将VLANID设置为DHCP服务器所在VLANID，从而实现新加入网络主机与DHCP服务器之间DHCP报文的互通。第5空，新加入网络的主机获得合法的IP地址及网络配置参数后，该主机发送的报文可以通过基于子网划分VLAN的方式加入对应的VLAN。11.某公司办公网络拓扑结构如图4-1所示，其中，在交换机Switcht上启用DBCP为户端分配IP地址。公司内部网络采用基于子网的VLAN划分。根据业务要求，在部门A中，新加入的MAC地址为0081-01fa-2134，主机HOSTA需要加入VLAN10并获取相应IP地址配置，连接在交换机SwitchB的GE0/0/3接口上的主机需加入VLAN20并获取相应IP地址配置。部门B中的所有主机应加入VLAN30并获取相应IP地址配置。

请根据以上要求，将下面配置代码的空白部分补充完整。

1.在SwichA上配置VLAN30的接口地址池功能

#在SwitchA上创建VLAN,并配置VLANIF接口的IP地址。system-view

[HUAWEI]sysnameSwitchA

[SwitchA](6)enable

[SwitchA]vlanbatch102030

[SwitchA]interfaccvlanif30

[SwitchA-Vlanif30]ipaddress(7)24

[SwitchA-Vlanif30]quit

[SwitchA]interfacevlanif30

[SwitchA-Vlanif30]dhcpselect(8)//使能VLANIF接口地址池

[SwitchA-Vlanif30]quit

[SwitchA]interfacegigabitethernet0/0/2//配置接口加入相应VLAN

[SwitehA-GigabitEthernet0/0/2]portlink-type(9)

[SwitehA-GigabitEthernet0/0/2]porttrunkallow-passvlan30

[SwitchA-GigabitEthernet0/0/2]quit

//VLAN10和VLAN20的配置略

2.在SwitchC上与主机HostC和HostD相连的接口GEO/0/2配置基于子网划分VLAN功能，并配置接口为HybridUntagged类型。

system-view

[HUAWEI]sysnameSwitchC

[SwitchC]dhcpenable

[SwitchC]vlanbatch30

[SwitchC]interface(10)

[SwitchC-GigabitEthernet0/0/1]portlink-typetrunk

[SwitchC-GigabitEthernet0/0/1]porttrunkallow-passvlan30

[SwitchC-GigabitEthernet0/0/1]quit

[SwitchC]interfacegigabitethernet0/0/2

[SwitchC-GigabitEthernet0/0/2]_(11)enable

[SwitchC-GigabitEthernet0/0/2]quit(12)untaggedvlan30

[SwitchC-GigabitEt