2022年下半年网络工程师下午案例分析真题答案完整版.docx

2022年下半年网络工程师下午案例分析真题答案完整版试题一（共20分）阅读以下说明，回答问题1至问题4,将解答填入答题纸对应的解答栏内。【说明】某仓储企业网络拓扑结构如图1-1所示，该企业占地500亩。有五层办公楼1栋，大型仓库10栋。每栋仓库内、外部配置视频监控16台,共计安装视频监控160台,SWitChA、服务器、防火墙、管理机、RouterA等设备部署在企业办公楼一层的数据机房中,SwitchB部署在办公楼一层配线间作为一层的接入设备，SwitchC和SwitchD分别部署在仓库1和仓库2,各仓库的交换机与SwitchA相连。办公楼的其他楼层的交换机以及其他仓库的交换机的网络接入方式与图1-1中SwitchB、SwitehCxSwitehD接入方式相同，不再单独在图1-1上标图1-1【问题1】（4分）该企业办公网络采用172.16.1.0/24地址段,部门终端数量如表1-1所示，请将网络地址规划补充完整。表1-1部门终端数量IP地址范围子网掩码行政部28172.16.1.1-172.16.1.30(1)市场部42(2)255.255.255.192财务部20(3)255.255.255.224业务部120172.16.1.129172.16.1.254(4)【问题2】（6分）仓库到办公楼的布线系统属于什么子系统?应采用什么传输介质?该线缆与交换机连接需要用到哪些部件。【问题3】（4分）若接入的IPC采用1080P的图像传输质量传输数据，SwitchC.SwitchA选用百兆交换机是否满足带宽要求,请说明理由。【问题4】（6分）Q）在位置A增加一台交换机SWitChE做接入层到核心层的链路冗余,请以SwitchC为例简述接入层与核心层的配置变化。（2）简要说明在RouterA与RouterB之间建立IPSeCVPN隧道的配置要点。【参考答案】问题1：考查知识点：IP地址或子网掩码的计算（1）255.255.255.224解析：28<32即2的5次方8-5=3子网掩码二进制数最后8位的前3位是1，其它是0,对应的十进制数224即得到255.255.255.224(2)172.16.1.65-172.16.1.126解析：终端数42<64即2的6次方，则从2的6次方加1即65开始分配主机IP172.16.1.65,可用主机数64-2=6265+62=126,即得到172.12.1.126(3)172.16.1.33-127.16.1.62解析：终端数20<32即2的5次方，则从2的5次方加1即33开始分配主机IP172.16.1.33,可用主机数32-2=3033+30=63,即得到172.12.1.62(4)255.255.255.128解析：终端数120<128即2的7次方,129即2的7次方加1开始，子网掩码对应的二进制数的最后8位最高位是1,其它位是O,对应的十进制数128即得255.255.255.128【问题2】建筑群子系统或圆区子系统,采用单模光纤,光纤块或SFP【问题3】SWtiChC能满足,SWitChA不能满足，108OP的图像传输数据量在6Mbs左右，所以，SwitchC承载的数据量是96Mb/s,100Mbs能满足要求，而160台产生的流量远超过100Mb/s,所以SwitchA是作为核心，不能满足要求。【问题4】(1) SwitchA.SwitchCsSwitchE,采用STP或MSTP组建以A为根的生成树。(2)配置接口的IP地址和到对端的静态路由，保证两端路由可达。配置AC1.,以定义需要IPSeC保护的数据流。配置IPSec安全提议，定义IPSec的保护方法。配置IKE对等体,定义对等体间IKE协商时的属性。配置安全策略,并引用AC1.IPSec安全提议和IKE对等体,确定对何种数据流采取何种保护方法。在接口上应用安全策略组,使接口具有IPSeC的保护功能。3.配置路由器RI的IPSeCVPN3.1 配置安全AC1.:创建一个扩展AC1.用来定义IPSeCVPN感兴趣的数据流量，即要通过IPSeCVPN隧道进行加密传输的数据包。在这里，只对从总部内部网络到分支内部网络的数据流量进行加密，其他流量不进行加密。R1(config)#access-list100permitip192.168.1.00.0.0.255192.168.2.00.0.0.255在VPN配置中的AC1.的作用并不是过海数据包。对于IPSeCVPN中配置的Ae1.规则为Permit的语句表示匹配的数据包需要进入VPN隧道，而规则为deny的语句表示对匹配的数据包进行正常路由转发，不进入VPN隧道。3.2 配置IKE策略：创建一个优先级为10的ISAKMP策略，即IKE策略。ISAKMP策略可以有多个，编号越小，优先级越高。如果配置了多个ISAKMP策略，双方路由器将采用编号最小，参数相同的策略。R1(config)#cryptoisakmppolicy10R1(config-isakmp)#authenticationpre-share!配置IKE身份验证方式为预共享密钥R1(config-isakmp)#encryptionaes256!配置IKE协商时采用的加密算法为AES256bitR1(config-isakmp)#hashsha!配置IKE协商时采用的校验算法为SHA-IR1(config-isakmp)#group5!配置IKE采用的DH组为组5R1(config-isakmp)#exit3.3 配置IKE又寸等体的预共享密钥：Rl(COnfig)#CryPtOisakmpkey123456address222.5.7.2!配置路由器Rl的IKE对等体一路由器R2(IP地址为222.5.7.2)的预共享密钥为123456,用来进行身份验证。3.4 配置IPSeC转换集：R1(config)#cryptoipsectransform-setipsec-R1esp-aesesp-sha-hmac3.5 配置IPSeC加密图：创建名称为M叩-R2的IPSeC加密图。因为一个接口只能应用一个IPSeC加密图，所以如果需要为路由器配置到达多个分支的IPSeCVPN,那么每个VPN就需要使用不同的编号。这里使用的编号是10,该编号只在本地有效。最后添加的ipsec-isakmp参数表示使用IKE进行密钥协商、建立IPSeCSA。R1(config)#cryptomapmap-R110ipsec-isakmp%NOTE:Thisnewcryptomapwillremaindisableduntilapeerandavalidaccesslisthavebeenconfigured.R1(config-crypto-map)#matchaddress100!配置IPSeCVPN感兴趣的流量的AC1.R1(config-crypto-map)*setpeer222.5.7.2!酉己置IPSeCVPN对的IP地址Rl(COnfig-CryPtO-m叩)#SettranSfOrm-SetiPSeC-Rl!配置转换集，对感兴趣的流量进行保护R1(config-crypto-map)#exit3.6 将IPSeC加密图应用到出接口：R1(config)#interfacefastethernet1R1(config-if)#cryptomapmap-R1*Mar100:02:56.695:%CRYPTO-6-ISAKMP_ON_OFF:ISAKMPisONR1(config-if)#exit试题二(共20分)阅读以下说明，回答问题1至问题3,将解答填入答题纸对应的解答栏内。【说明】图2-1为某大学校园网络拓扑图。图2-1【问题1】(6分)根据网络安全的需要，无线校园网要求全网认证接入，其中台式电脑、笔记本、手机等智能终端，从兼容性角度考虑应优先选用认证方式;打印机、门禁等非智能终端应该选用(2)认证方式。图2-1中，数据业务流量通过AC与AP建立的隧道进行转发时,该转发模式为(1)不经过AC转发，由AP经接入交换机到核心交换机传输至上层网络时,该转发模式为(4)。学校的新一代无线网络采用Wifi6技术,要求兼容仍工作在2.4G的老旧终端，Wifi6AP的部署密度较大,为减少无线AP在2.4G模式下信道之间的干扰，信道之间至少应间隔(5)个信道。无线网络实施后，校园网络在线用户数大幅增长。原楼宇汇聚为千兆上联，高峰时期上行链路负载已经100%,经常有丢包现象，在不更换设备的前提下，可以通过解决。【问题2】(8分)网络管理员某天在防火墙上发现了大量图2-2所示的日志，由此可判断校园网站遭受到了什么攻击请给出至少三种应对指施。to.Wne21TX；*7ime2AR八?1E，)x"?177M2WX?17?W?7W*J17in：5M三?mn3*?inn;2*>*M7J112JWHM11M?J*JR7217711；JW717?*,7mnmr>w7i11llnllmIylm17117111l11l17117l171S!”“)6"Ms1M.XMAM.*71z"278z"2822nnze一,721727222222二2742222222222ss;seJ飞7T制工案黑悭:黑唇N"SEKbwlf,l5>Mttp(SYHl8q"SwlW%>田"村由出MlrtzZWISVMIWInneH：；“2ANWISsl攵EWAIy黑言AZe【$叫誉:S7S92>MtP【5向wr-is乂64>httpZIJ<r。"T"22B42>httpCYM3吧上"二】"图2-2【问题3】(6分)(1)校园网采用大二层组网结构,信息中心计划对核心交换机采用堆叠技术，请简述堆叠技术的优点和缺点。(2)网络试运行一段时间后，在二层网络中发现了大量的广播报文,影响网络的性能。网络管理员在接入层交换机做了如下配置问题得以解决：SWinterfacegigabitethernet0/0/3SW-GigabitEthernet003broadcast-suppression80SW-GigabitEthernetOO3guit请简述以上配置的功能。【参考答案】【问题1】(I)PortaI认证(2) MACUilE(3)CAPWAP隧道(4)直接转发方式或Soft-GRE转发(5)5(2.4G的1-13信道是国内使用的,每个信道带宽都是22MHz,相互之间有重叠的部分，间隔5个可以减少相互间的干扰，无线网络部署时常用3个信道,一般是信道1,6,11,它们的间隔是5)(6)增加链路并配置链路聚合【问题2】遭受了DDOS攻击(2)措施：配置最小特权访问策略、购买流量清洗服务、停止不必要的服务端口、启用防火墙的防DDOS功能、部署IPS防护等【问题3】(1)堆叠iStack(IntelligentStack),是指将多台支持堆叠特性的交换机设备组合在一起,从逻辑上组合成一台交换设备,SWitChA与SWitChB通过堆叠线缆连接后组成堆叠iStack,对于上游和下游设备来说，它们就相当于一台交换机Switcho在设备堆叠时，对设备型号的要求较高，一般需要同一个品牌同一个类型的交换机之间进行,且需要直连,中间不能有其他的交换机,甚至有的型号只支持堆叠卡，使用专