2025年上半年網(wǎng)絡(luò)工程師案例分析練習(xí)題答案解析試題一【說(shuō)明】某公司網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖11所示，網(wǎng)絡(luò)中心部署了核心交換機(jī)SwitchA、防火墻FW和入侵檢測(cè)系統(tǒng)IDS。部門A和部門B分別連接到接入層交換機(jī)SwitchB和SwitchC，服務(wù)器群連接到核心交換機(jī)SwitchA。公司申請(qǐng)了公網(wǎng)IP地址段202.100.10.0/24，其中202.100.10.1202.100.10.10用于服務(wù)器，202.100.10.11202.100.10.254用于其他設(shè)備動(dòng)態(tài)分配?！締?wèn)題1】（6分）防火墻FW配置了安全策略，要求部門A和部門B之間不能直接互訪，但都可以訪問(wèn)服務(wù)器群和外網(wǎng)；服務(wù)器群可以訪問(wèn)外網(wǎng)，但不能被外網(wǎng)主動(dòng)訪問(wèn)。請(qǐng)根據(jù)上述要求，補(bǔ)充表11中的防火墻安全策略。|策略序號(hào)|源區(qū)域|目的區(qū)域|源地址|目的地址|服務(wù)|動(dòng)作||::|::|::|::|::|::|::||1|Trust|Untrust|Any|Any|Any|Permit||2|Untrust|Trust|202.100.10.1202.100.10.10|Any|Any|Deny||3|DepartmentA|DepartmentB|Any|Any|Any|Deny||4|DepartmentB|DepartmentA|Any|Any|Any|Deny||5|DepartmentA|ServerGroup|Any|202.100.10.1202.100.10.10|Any|Permit||6|DepartmentB|ServerGroup|Any|202.100.10.1202.100.10.10|Any|Permit||7|ServerGroup|Untrust|Any|Any|Any|Permit|解析：策略3和4是為了滿足部門A和部門B之間不能直接互訪的要求，所以將源區(qū)域和目的區(qū)域分別設(shè)置為DepartmentA和DepartmentB，動(dòng)作設(shè)為Deny。策略5和6保證部門A和部門B可以訪問(wèn)服務(wù)器群，將源區(qū)域分別設(shè)為DepartmentA和DepartmentB，目的地址設(shè)為服務(wù)器的IP地址段202.100.10.1202.100.10.10，動(dòng)作設(shè)為Permit。策略7允許服務(wù)器群訪問(wèn)外網(wǎng)，源區(qū)域?yàn)镾erverGroup，目的區(qū)域?yàn)閁ntrust，動(dòng)作設(shè)為Permit?！締?wèn)題2】（6分）為了實(shí)現(xiàn)公司內(nèi)部設(shè)備動(dòng)態(tài)獲取公網(wǎng)IP地址，需要在防火墻FW上配置NAT策略。請(qǐng)寫(xiě)出配置命令。```定義地址池[FW]nataddressgroup1202.100.10.11202.100.10.254配置NAT策略[FW]aclnumber2000[FWaclbasic2000]rule5permitsourceany[FWaclbasic2000]quit[FW]natoutbound2000addressgroup1```解析：首先使用`nataddressgroup`命令定義一個(gè)地址池，將可用的公網(wǎng)IP地址段202.100.10.11202.100.10.254加入到地址池1中。然后創(chuàng)建一個(gè)基本訪問(wèn)控制列表ACL2000，允許所有源地址通過(guò)。最后使用`natoutbound`命令將ACL2000與地址池1關(guān)聯(lián)，實(shí)現(xiàn)內(nèi)部設(shè)備動(dòng)態(tài)獲取公網(wǎng)IP地址。【問(wèn)題3】（3分）入侵檢測(cè)系統(tǒng)IDS檢測(cè)到網(wǎng)絡(luò)中有大量的SYN包攻擊，該攻擊屬于哪種類型的攻擊？簡(jiǎn)述該攻擊的原理。該攻擊屬于SYN洪泛攻擊，是一種DoS（拒絕服務(wù)）攻擊類型。原理：在TCP三次握手過(guò)程中，攻擊者向目標(biāo)服務(wù)器發(fā)送大量偽造源IP地址的SYN包，服務(wù)器收到SYN包后會(huì)向源IP地址發(fā)送SYN+ACK包進(jìn)行響應(yīng)，并為該連接分配資源和建立半連接。由于源IP地址是偽造的，服務(wù)器無(wú)法收到客戶端的ACK包，半連接會(huì)一直保持，直到超時(shí)。當(dāng)服務(wù)器的半連接隊(duì)列被占滿后，就無(wú)法再處理正常的連接請(qǐng)求，從而導(dǎo)致服務(wù)器拒絕服務(wù)?！締?wèn)題4】（5分）在核心交換機(jī)SwitchA上配置VLAN間路由，實(shí)現(xiàn)部門A、部門B和服務(wù)器群之間的通信。已知部門A的VLANID為10，部門B的VLANID為20，服務(wù)器群的VLANID為30。請(qǐng)寫(xiě)出配置命令。```進(jìn)入系統(tǒng)視圖<SwitchA>systemview創(chuàng)建VLAN[SwitchA]vlanbatch102030配置VLAN接口[SwitchA]interfacevlanif10[SwitchAVlanif10]ipaddress192.168.10.1255.255.255.0[SwitchAVlanif10]quit[SwitchA]interfacevlanif20[SwitchAVlanif20]ipaddress192.168.20.1255.255.255.0[SwitchAVlanif20]quit[SwitchA]interfacevlanif30[SwitchAVlanif30]ipaddress192.168.30.1255.255.255.0[SwitchAVlanif30]quit```解析：使用`vlanbatch`命令批量創(chuàng)建VLAN10、20和30。分別為每個(gè)VLAN創(chuàng)建VLAN接口（Vlanif），并配置相應(yīng)的IP地址和子網(wǎng)掩碼。這些VLAN接口將作為各VLAN內(nèi)設(shè)備的默認(rèn)網(wǎng)關(guān)，從而實(shí)現(xiàn)VLAN間的路由。試題二【說(shuō)明】某企業(yè)網(wǎng)絡(luò)采用OSPF作為內(nèi)部路由協(xié)議，網(wǎng)絡(luò)拓?fù)淙鐖D21所示。路由器R1、R2和R3組成一個(gè)區(qū)域0，路由器R4連接到區(qū)域1，區(qū)域0和區(qū)域1通過(guò)R2進(jìn)行連接?！締?wèn)題1】（6分）在路由器R1上配置OSPF協(xié)議，宣告直連網(wǎng)段192.168.1.0/24和10.0.0.0/30。請(qǐng)寫(xiě)出配置命令。```進(jìn)入系統(tǒng)視圖<R1>systemview啟動(dòng)OSPF進(jìn)程1[R1]ospf1進(jìn)入OSPF區(qū)域0[R1ospf1]area0宣告直連網(wǎng)段[R1ospf1area0.0.0.0]network192.168.1.00.0.0.255[R1ospf1area0.0.0.0]network10.0.0.00.0.0.3```解析：首先使用`ospf1`命令啟動(dòng)OSPF進(jìn)程1。然后使用`area0`命令進(jìn)入OSPF區(qū)域0。最后使用`network`命令宣告直連網(wǎng)段，其中通配符掩碼的作用是指定哪些位需要精確匹配。對(duì)于192.168.1.0/24，通配符掩碼為0.0.0.255，表示最后8位可以是任意值；對(duì)于10.0.0.0/30，通配符掩碼為0.0.0.3，表示最后2位可以是任意值?！締?wèn)題2】（6分）為了減少區(qū)域1的LSA泛洪，需要將區(qū)域1配置為末梢區(qū)域。請(qǐng)?jiān)诼酚善鱎2和R4上分別寫(xiě)出配置命令。路由器R2配置命令：```進(jìn)入系統(tǒng)視圖<R2>systemview啟動(dòng)OSPF進(jìn)程1[R2]ospf1進(jìn)入OSPF區(qū)域1[R2ospf1]area1配置區(qū)域1為末梢區(qū)域[R2ospf1area0.0.0.1]stub```路由器R4配置命令：```進(jìn)入系統(tǒng)視圖<R4>systemview啟動(dòng)OSPF進(jìn)程1[R4]ospf1進(jìn)入OSPF區(qū)域1[R4ospf1]area1配置區(qū)域1為末梢區(qū)域[R4ospf1area0.0.0.1]stub```解析：在末梢區(qū)域中，除了一條默認(rèn)路由外，不會(huì)接收來(lái)自其他區(qū)域的外部LSA。通過(guò)在區(qū)域1內(nèi)的所有路由器（R2和R4）上配置`stub`命令，將區(qū)域1配置為末梢區(qū)域，從而減少LSA的泛洪?！締?wèn)題3】（4分）在OSPF網(wǎng)絡(luò)中，什么是DR（指定路由器）和BDR（備份指定路由器）？它們的作用是什么？DR（指定路由器）和BDR（備份指定路由器）是在OSPF廣播型網(wǎng)絡(luò)（如以太網(wǎng)）和非廣播多路訪問(wèn)（NBMA）網(wǎng)絡(luò)中選舉出來(lái)的特殊路由器。作用：在廣播型網(wǎng)絡(luò)中，每個(gè)路由器都要和其他路由器建立鄰接關(guān)系并交換鏈路狀態(tài)信息。如果沒(méi)有DR和BDR，網(wǎng)絡(luò)中會(huì)存在大量的鄰接關(guān)系，導(dǎo)致鏈路狀態(tài)信息的交換和同步變得復(fù)雜。DR負(fù)責(zé)收集和匯總本網(wǎng)絡(luò)內(nèi)的鏈路狀態(tài)信息，并向整個(gè)OSPF區(qū)域廣播，減少了不必要的鏈路狀態(tài)信息泛洪，提高了網(wǎng)絡(luò)效率。BDR是DR的備份，當(dāng)DR出現(xiàn)故障時(shí)，BDR會(huì)自動(dòng)升級(jí)為DR，繼續(xù)承擔(dān)DR的職責(zé)，保證網(wǎng)絡(luò)的穩(wěn)定性?！締?wèn)題4】（4分）如果路由器R2上的OSPF進(jìn)程出現(xiàn)故障，導(dǎo)致區(qū)域1無(wú)法與區(qū)域0通信。請(qǐng)簡(jiǎn)述排查故障的步驟。1.檢查路由器R2的OSPF進(jìn)程狀態(tài)：使用`displayospfpeer`命令查看R2與其他路由器的OSPF鄰居關(guān)系是否正常。如果鄰居關(guān)系不正常，檢查接口狀態(tài)、IP地址配置、OSPF區(qū)域配置等是否正確。2.檢查接口狀態(tài)：使用`displayinterface`命令檢查R2上與區(qū)域0和區(qū)域1連接的接口是否正常工作，是否有鏈路故障或接口狀態(tài)異常。3.檢查OSPF配置：檢查R2上的OSPF配置，包括進(jìn)程ID、區(qū)域配置、宣告的網(wǎng)段等是否正確?？梢允褂胉displaycurrentconfiguration|includeospf`命令查看OSPF相關(guān)配置。4.檢查L(zhǎng)SA信息：使用`displayospflsdb`命令查看R2的鏈路狀態(tài)數(shù)據(jù)庫(kù)，檢查是否有異常的LSA信息。如果LSA信息不完整或存在錯(cuò)誤，可能會(huì)導(dǎo)致路由計(jì)算錯(cuò)誤。5.檢查網(wǎng)絡(luò)連通性：使用`ping`命令測(cè)試R2與區(qū)域0和區(qū)域1內(nèi)其他路由器的網(wǎng)絡(luò)連通性，確保物理鏈路和IP層連通正常。試題三【說(shuō)明】某公司計(jì)劃建設(shè)一個(gè)無(wú)線網(wǎng)絡(luò)，采用瘦AP架構(gòu)，由無(wú)線控制器（AC）進(jìn)行集中管理。網(wǎng)絡(luò)拓?fù)淙鐖D31所示，無(wú)線控制器AC連接到核心交換機(jī)SwitchA，AP設(shè)備通過(guò)接入層交換機(jī)連接到網(wǎng)絡(luò)?！締?wèn)題1】（6分）在無(wú)線控制器AC上創(chuàng)建一個(gè)SSID為“CompanyWiFi”的無(wú)線服務(wù)，并配置認(rèn)證方式為WPA2PSK，密碼為“12345678”。請(qǐng)寫(xiě)出配置命令。```進(jìn)入系統(tǒng)視圖<AC>systemview創(chuàng)建WLAN服務(wù)模板[AC]wlanservicetemplate1配置SSID[ACwlanservicetemplate1]ssidCompanyWiFi配置安全策略[ACwlanservicetemplate1]securitywpaakmpskpassphrase12345678cipheraes激活服務(wù)模板[ACwlanservicetemplate1]servicetemplateenable```解析：首先使用`wlanservicetemplate1`命令創(chuàng)建一個(gè)WLAN服務(wù)模板1。然后使用`ssid`命令配置SSID為“CompanyWiFi”。接著使用`security`命令配置安全策略，采用WPA2PSK認(rèn)證方式，密碼為“12345678”，加密算法為AES。最后使用`servicetemplateenable`命令激活服務(wù)模板?！締?wèn)題2】（6分）為了實(shí)現(xiàn)AP設(shè)備的自動(dòng)發(fā)現(xiàn)和注冊(cè)，需要在無(wú)線控制器AC上配置DHCP選項(xiàng)43。假設(shè)無(wú)線控制器AC的IP地址為192.168.100.100，請(qǐng)寫(xiě)出DHCP服務(wù)器上的配置命令。```進(jìn)入系統(tǒng)視圖<DHCPServer>systemview進(jìn)入DHCP地址池視圖[DHCPServer]ippool1[DHCPServerippool1]network192.168.1.0mask255.255.255.0[DHCPServerippool1]gatewaylist192.168.1.1配置DHCP選項(xiàng)43[DHCPServerippool1]option43ascii"0x0f04C0A86464"```解析：首先進(jìn)入DHCP地址池視圖，配置DHCP地址池的網(wǎng)絡(luò)地址和網(wǎng)關(guān)。然后使用`option43`命令配置DHCP選項(xiàng)43。其中，“0x0f”表示選項(xiàng)43的長(zhǎng)度，“04”表示子選項(xiàng)類型，“C0A86464”是192.168.100.100的十六進(jìn)制表示?！締?wèn)題3】（4分）簡(jiǎn)述瘦AP架構(gòu)的優(yōu)點(diǎn)。集中管理：無(wú)線控制器可以對(duì)多個(gè)瘦AP進(jìn)行集中配置、管理和監(jiān)控，大大提高了管理效率，減少了管理成本。管理員只需要在無(wú)線控制器上進(jìn)