2025年軟考網(wǎng)絡(luò)工程師重要試題與答案試題一：某企業(yè)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖所示（注：實(shí)際考試中需結(jié)合圖示理解，此處以文字描述替代），核心層部署華為NE5000E路由器，匯聚層為S5735S交換機(jī)，接入層為S5720交換機(jī)，所有設(shè)備均運(yùn)行IPv4/IPv6雙棧。企業(yè)總部子網(wǎng)為/24，研發(fā)部子網(wǎng)為/24，銷售部子網(wǎng)為/24，數(shù)據(jù)中心子網(wǎng)為/24（需與公網(wǎng)互通）。要求完成以下任務(wù)：（1）為核心路由器配置靜態(tài)路由，實(shí)現(xiàn)總部子網(wǎng)與研發(fā)部子網(wǎng)互通，同時(shí)確保數(shù)據(jù)中心子網(wǎng)通過(guò)出口路由器（公網(wǎng)IP為/30）訪問(wèn)互聯(lián)網(wǎng)。（2）在匯聚層交換機(jī)S5735S上劃分VLAN：總部子網(wǎng)為VLAN10（/24），研發(fā)部為VLAN20（/24），銷售部為VLAN30（/24），要求所有接入層交換機(jī)通過(guò)Trunk接口連接匯聚層，且各VLAN間通過(guò)三層接口實(shí)現(xiàn)互訪。（3）在核心路由器上配置DHCP服務(wù)器，為研發(fā)部子網(wǎng)（/24）分配IP地址，地址池范圍為00-00，默認(rèn)網(wǎng)關(guān)為，DNS服務(wù)器為和14，租約時(shí)間48小時(shí)。答案解析：（1）靜態(tài)路由配置需明確目標(biāo)網(wǎng)絡(luò)、下一跳地址及出接口?？偛孔泳W(wǎng)/24與研發(fā)部/24互通，假設(shè)核心路由器與匯聚層交換機(jī)直連，接口IP分別為（核心）和（匯聚），則核心路由器需添加路由：`iproute-static`（研發(fā)部子網(wǎng)）`iproute-static`（總部子網(wǎng)，若匯聚層負(fù)責(zé)VLAN間路由則可能無(wú)需此條）。數(shù)據(jù)中心子網(wǎng)/24訪問(wèn)公網(wǎng)，出口路由器與核心路由器直連地址為（核心）和（出口），需配置默認(rèn)路由：`iproute-static`（2）匯聚層交換機(jī)VLAN劃分步驟：①創(chuàng)建VLAN：`vlanbatch102030`②配置接入層連接的Trunk接口（假設(shè)為G0/0/1）：`interfaceGigabitEthernet0/0/1``portlink-typetrunk``porttrunkallow-passvlan102030`③配置三層VLAN接口實(shí)現(xiàn)互訪：`interfaceVlanif10``ipaddress``interfaceVlanif20``ipaddress``interfaceVlanif30``ipaddress`（3）核心路由器DHCP配置：`dhcpenable`（全局啟用DHCP）`ippoolR&D`（創(chuàng)建地址池）`networkmask`（指定子網(wǎng)）`gateway-list`（默認(rèn)網(wǎng)關(guān)）`dns-list14`（DNS服務(wù)器）`leaseday2`（租約48小時(shí)）`excluded-ip-address9`（排除管理地址）`interfaceVlanif20`（關(guān)聯(lián)VLAN接口）`dhcpselectglobal`（使用全局地址池）試題二：某企業(yè)網(wǎng)絡(luò)使用OSPFv2作為內(nèi)部路由協(xié)議，區(qū)域劃分如下：核心路由器R1（區(qū)域0）連接匯聚路由器R2（區(qū)域1）和R3（區(qū)域2），R2下掛接入層交換機(jī)S1（區(qū)域1），R3下掛接入層交換機(jī)S2（區(qū)域2）。R1的Loopback0地址為/32，R2的Loopback0為/32，R3的Loopback0為/32，所有直連接口IP為192.168.x.x/24。要求：（1）配置OSPF基礎(chǔ)參數(shù)，使所有設(shè)備學(xué)習(xí)到彼此的Loopback地址，且區(qū)域1和區(qū)域2為STUB區(qū)域，禁止外部路由進(jìn)入。（2）在R1上配置路由策略，將R2的Loopback0路由（/32）的優(yōu)先級(jí)修改為150（默認(rèn)OSPF優(yōu)先級(jí)為10），同時(shí)將R3的Loopback0路由（/32）的Metric值增加10。（3）排查故障：R2無(wú)法學(xué)習(xí)到R3的Loopback地址，可能的原因有哪些？答案解析：（1）OSPF配置需注意區(qū)域劃分、路由器ID、STUB區(qū)域?qū)傩约癓oopback接口宣告。R1配置：`ospf1router-id``area0``network55`（與R2直連接口所在子網(wǎng)）`network55`（與R3直連接口所在子網(wǎng)）`network`（宣告Loopback0）R2配置：`ospf1router-id``area1``stub`（設(shè)置為STUB區(qū)域）`network55`（與R1直連接口）`network55`（與S1直連接口）`network`（宣告Loopback0）R3配置類似R2，但區(qū)域?yàn)?，且`area2stub`。STUB區(qū)域不允許LSAType5（外部路由），但允許Type3（區(qū)域間路由）和Type1/2（區(qū)域內(nèi)路由），因此R2和R3的Loopback地址（Type1LSA）會(huì)被正常泛洪，區(qū)域間通過(guò)ABR（R1）傳遞Type3LSA。（2）路由策略配置需使用Route-Policy。R1上配置：`ipip-prefixR2-Looppermit32`（定義前綴列表匹配目標(biāo)路由）`route-policyAdjust-Prioritypermitnode10``if-matchip-prefixR2-Loop``applypreference150``ipip-prefixR3-Looppermit32``route-policyAdjust-Metricpermitnode20``if-matchip-prefixR3-Loop``applycost+10``ospf1``import-routedirectroute-policyAdjust-Priority`（若Loopback為直連路由需導(dǎo)入，或直接在OSPF中宣告時(shí)應(yīng)用）`peerroute-policyAdjust-Metricexport`（向R3發(fā)送路由時(shí)應(yīng)用Metric調(diào)整）（3）R2無(wú)法學(xué)習(xí)R3的Loopback地址的可能原因：①OSPF區(qū)域類型不匹配：R3所在區(qū)域2未正確配置為STUB，或R1未在區(qū)域2啟用STUB屬性，導(dǎo)致Type3LSA無(wú)法傳遞。②路由器ID沖突：R3的Router-ID與其他設(shè)備重復(fù)，導(dǎo)致OSPF鄰居關(guān)系異常。③接口網(wǎng)絡(luò)類型不匹配：R1與R3直連接口的OSPF網(wǎng)絡(luò)類型（如R1為Broadcast，R3為P2P）導(dǎo)致Hello包參數(shù)不一致，無(wú)法建立鄰接。④Loopback接口未正確宣告：R3的OSPF進(jìn)程中未宣告Loopback0地址（如`network`缺失）。⑤認(rèn)證配置錯(cuò)誤：區(qū)域0或區(qū)域2配置了OSPF認(rèn)證，但R1與R3的認(rèn)證密鑰不匹配，鄰接狀態(tài)停留在ExStart/Exchange。試題三：某企業(yè)網(wǎng)絡(luò)需增強(qiáng)安全性，要求：（1）在核心路由器R1的G0/0/1接口（連接互聯(lián)網(wǎng)）inbound方向配置ACL，禁止源IP為/16、/8、/12的數(shù)據(jù)包進(jìn)入內(nèi)部網(wǎng)絡(luò)（防私網(wǎng)地址偽造攻擊），同時(shí)允許HTTP（80）、HTTPS（443）、SSH（22）流量訪問(wèn)企業(yè)Web服務(wù)器（內(nèi)網(wǎng)IP0）。（2）在匯聚層交換機(jī)S5735S上配置端口安全，要求接入銷售部（VLAN30）的接口G0/0/5僅允許1臺(tái)終端接入，MAC地址綁定為00e0-fc12-3456，違反時(shí)采取shutdown操作。（3）設(shè)計(jì)一個(gè)基于802.1X的認(rèn)證方案，實(shí)現(xiàn)接入層交換機(jī)S5720的端口G0/0/1-24用戶必須通過(guò)認(rèn)證才能訪問(wèn)網(wǎng)絡(luò)，認(rèn)證服務(wù)器為RADIUS（IP00，密鑰為Huawei@123）。答案解析：（1）ACL配置需先定義基本ACL或高級(jí)ACL。由于需匹配源IP和目的IP/端口，應(yīng)使用高級(jí)ACL（編號(hào)3000-3999）。R1配置：`acl3001``rule5denysource55`（禁止/16）`rule10denysource55`（禁止/8）`rule15denysource55`（禁止/12）`rule20permittcpsourceanydestination0destination-porteq80`（允許HTTP）`rule25permittcpsourceanydestination0destination-porteq443`（允許HTTPS）`rule30permittcpsourceanydestination0destination-porteq22`（允許SSH）`rule35denyip`（默認(rèn)拒絕其他流量）`interfaceGigabitEthernet0/0/1``traffic-filterinboundacl3001`（2）端口安全配置需啟用端口安全功能并設(shè)置參數(shù)。S5735S配置：`interfaceGigabitEthernet0/0/5``port-securityenable`（啟用端口安全）`port-securitymax-mac-num1`（最大MAC數(shù)1）`port-securitymac-addresssticky00e0-fc12-3456`（綁定指定MAC）`port-securityprotect-actionshutdown`（違規(guī)則關(guān)閉端口）（3）802.1X認(rèn)證方案步驟：①接入層交換機(jī)S5720全局啟用802.1X：`dot1xenable`②配置RADIUS服務(wù)器：`radius-servertemplatehuawei``server-addressipv400auth-port1812acct-port1813``keyauthenticationhuawei@123``keyaccountinghuawei@123`③配置認(rèn)證端口（G0/0/1-24）：`interfacerangeGigabitEthernet0/0/1toGigabitEthernet0/0/24``dot1x``dot1xmax-reauth3`（最大重認(rèn)證次數(shù)）`dot1xtimeoutauth-period30`（認(rèn)證超時(shí)時(shí)間）④配置未認(rèn)證用戶權(quán)限（可選）：`dot1xaccess-profiledefault``authorization-attributeuser-vlan100`（未認(rèn)證用戶隔離到VLAN100）驗(yàn)證方法：終端接入后需安裝802.1X客戶端（如Windows自帶或H3CiMC客戶端），輸入用戶名密碼，交換機(jī)將請(qǐng)求轉(zhuǎn)發(fā)至RADIUS服務(wù)器，認(rèn)證通過(guò)后開(kāi)放網(wǎng)絡(luò)訪問(wèn)。試題四：某企業(yè)部署雙出口冗余網(wǎng)絡(luò)，出口路由器R1（電信）和R2（聯(lián)通）通過(guò)BGP與運(yùn)營(yíng)商互聯(lián)，R1的公網(wǎng)IP為/30（對(duì)端），R2的公網(wǎng)IP為/30（對(duì)端）。企業(yè)內(nèi)網(wǎng)AS號(hào)為65000，電信AS為65100，聯(lián)通AS為65200。要求：（1）配置R1和R2的BGP基本鄰居關(guān)系，宣告企業(yè)內(nèi)網(wǎng)路由/16。（2）優(yōu)化BGP選路：使內(nèi)網(wǎng)發(fā)往電信方向的流量?jī)?yōu)先通過(guò)R1，發(fā)往聯(lián)通方向的流量?jī)?yōu)先通過(guò)R2；若R1故障，流量自動(dòng)切換至R2。（3）說(shuō)明BGP路由屬性中Local-Preference、AS-Path、MED的作用及在本題中的應(yīng)用場(chǎng)景。答案解析：（1）BGP鄰居配置需注意AS號(hào)、對(duì)等體地址及路由宣告。R1配置：`bgp65000``router-id``peeras-number65100`（電信鄰居）`network`（宣告內(nèi)網(wǎng)路由）R2配置：`bgp65000``router-id``peeras-number65200`（聯(lián)通鄰居）`network`（2）BGP選路優(yōu)化可通過(guò)Local-Preference（本地優(yōu)先級(jí)，越大越優(yōu)）和MED（多出口鑒別器，越小越優(yōu)）實(shí)現(xiàn)。①對(duì)R1接收的電信路由（來(lái)自AS65100），設(shè)置Local-Preference為200（默認(rèn)100），使內(nèi)網(wǎng)優(yōu)先選R1；對(duì)R2接收的聯(lián)通路由，設(shè)置Local-Preference為200。R1配置：`bgp65000``peerroute-policySET_HIGH_LOCAL_PREFimport``route-policySET_HIGH_LOCAL_PREFpermitnode10``applylocal-preference200`R2配置類似，針對(duì)聯(lián)通鄰居設(shè)置Local-Preference200。②若需控制運(yùn)營(yíng)商到企業(yè)的流量（如電信用戶訪問(wèn)企業(yè)優(yōu)先走R1），可在R1向電信鄰居發(fā)送路由時(shí)設(shè)置MED為100，R2向聯(lián)通鄰居發(fā)送時(shí)設(shè)置MED為100，其他方向MED更高（默認(rèn)0，越小越優(yōu)）。R1配置：`route-policySET_LOW_MEDpermitnode10``applymed100``peerroute-policySET_LOW_MEDexport`R2配置：`route-policySET_LOW_MEDpermitnode10``applymed100``peerroute-policySET_LOW_MEDexport`③冗余切換依賴BGP的故障檢測(cè)機(jī)制，當(dāng)R1接口Down或BGP鄰居狀態(tài)變?yōu)镮dle時(shí)，BGP會(huì)撤銷通過(guò)R1發(fā)布的路由，路由表自動(dòng)選擇R2的路徑。（3）BGP路由屬性作用：-Local-Preference：僅在AS內(nèi)部傳遞，標(biāo)識(shí)路由的優(yōu)先程度（本地路由器更傾向于使用高Local-Pref的路由）。本題中通過(guò)提高R1和R2接收的對(duì)應(yīng)運(yùn)營(yíng)商路由的Local-Pref，確保內(nèi)網(wǎng)流量?jī)?yōu)先選擇對(duì)應(yīng)出口。-AS-Path：記錄路由經(jīng)過(guò)的AS號(hào)，用于防環(huán)（若路由中已包含本地AS號(hào)則丟棄）。本題中企業(yè)宣告路由時(shí)，AS-Path為65000，運(yùn)營(yíng)商收到后會(huì)添加自身AS號(hào)（如電信路由AS-Path為6510065000）。-MED：用于向其他AS傳遞路由的優(yōu)先級(jí)（僅在相鄰AS間有效），數(shù)值越小越優(yōu)。本題中通過(guò)設(shè)置MED使運(yùn)營(yíng)商優(yōu)先選擇企業(yè)對(duì)應(yīng)的出口（如電信用戶訪問(wèn)企業(yè)時(shí)，R1的MED更低，優(yōu)先選擇R1）。試題五：某企業(yè)網(wǎng)絡(luò)出現(xiàn)以下故障現(xiàn)象：?jiǎn)T工反饋無(wú)法訪問(wèn)外部門戶網(wǎng)站（域名，IP0），但能ping通網(wǎng)關(guān)（）和DNS服務(wù)器（0）。網(wǎng)絡(luò)管理員執(zhí)行`nslookup`返回“非權(quán)威應(yīng)答：名稱解析超時(shí)”，執(zhí)行`traceroute0`顯示前3跳正常，第4跳無(wú)響應(yīng)。請(qǐng)分析可能的故障原因及排查步驟。答案解析：可能故障原因及排查步驟：1.DNS解析問(wèn)題：`nslookup`超時(shí)說(shuō)明DNS查詢失敗。需檢查：-DNS服務(wù)器是否正常運(yùn)行（`ping0`確認(rèn)連通性）。-DNS服務(wù)器是否配置了的正向解析記錄（登錄DNS服務(wù)器查看區(qū)域文件）。-客戶端DNS配置是否正確（`ipconfig/all`檢查DNS服務(wù)器地址是否為0）。-網(wǎng)絡(luò)中是否存在DNS劫持（抓包查看DNS請(qǐng)求是否被篡改或攔截）。2.路由問(wèn)題（第4跳無(wú)響應(yīng)）：`traceroute`前3跳正常（如網(wǎng)關(guān)、匯聚、核心），第4跳可能為出口路由器或運(yùn)營(yíng)商設(shè)備。需檢查：-核心路由器到出口路由器的路由是否存在（`displayiprouting-table0`查看路由表）。-出口路由器的公網(wǎng)接口是否Up（`displayinter