距离2024下半年软考已经越来越近了,不知道今年备考软考网络工程师的同学们开始准备了吗?
简答题一直是网工拿分的重点区域,对于许多考生来说,也往往是最具挑战性的部分。今天我就把那些重要的案例简答题类型整理汇总给大家,希望大家能通过这些题掌握正确的答题技巧和吃透那些重要考点,到时候就可以更轻松地应对这一部分考试了。
试题一:
阅读以下说明,回答问题1至问题4,将解答填入答题纸对应的解答栏内。 【说明】 下图为某大学的校园网络拓扑,其中出口路由器R4连接了三个ISP网络,分别是电信网络(网关地址218.63.0.1/28)、联通网络(网关地址221.137.0.1/28)以及教育网(网关地址210.25.0.1/28)。路由器R1、R2、R3、 R4在内网一侧运行RIPv2.0协议实现动态路由的生成。
图1-1
PC机的地址信息如表1-1所示,路由器部分接口地址信息如表1-2所示。
表1-1
表1-2
【问题1】(5分) 企业网络的可用性和可靠性是至关重要的,经常会出现因网络设备、链路损坏等导致整个网络瘫痪的现象。为了解决这个问题,需要在已有的链路基础上再增加一条备用链路,这称为网络冗余。 (1)对于企业来说,直接增加主干网络链路带宽的方法有哪些?并请分析各种方法的优缺点。(3分) (2)一般常用的网络冗余技术可以分为哪两种?(2分)
【问题2】(2分) 如图3-1所示,校本部与分校之间搭建了IPSec VPN。IPSec的功能可以划分为认证头AH、封装安全负荷ESP以及密钥交换IKE。其中用于数据完整性认证和数据源认证的是(1)。
【问题3】(3分) 为R4添加默认路由,实现校园网络接入Internet 的默认出口为电信网络,请将下列命令补充完整。 [R4]ip route-static(2)
【问题4】(9分) 图3-1中,要求PC1访问Internet时导向联通网络,禁止PC3在工作日8:00至18:00访问电信网络。 请在下列配置步骤中补全相关命令; 第1步:在路由器R4上创建所需ACL 创建用于PC1策略的ACL: [R4]acl 2000 [R4-acl-basic -2000] rule 1 permit source(7) [R4-acl-basic- 2000] quit 创建用于PC3策略的ACL: [R4] time-range satime(8)working-day [R4]acl number 3001 [R4-acl-adv-3001] rule deny source(9)destination 218.63.0.0 0.0.0.15 time-range satime 第2步:执行如下命令的作用是(10)。 [R4]trafficlassifer 1 [R4-classifier-1]if-match acl 2000 [R4-classifier-1]quit [R4]traffic classifier3 [R4-classifier-3]if-match acl 3001 [R4-classifier-3]quit 第3步:在路由器R4上创建流行为并配置重定向 [R4]traffic behavior 1 [R4-bchavior-1]redirect(11)221.137.0.1 [R4-behavior-1]quit [R4]traffic behavior 3 [R4-behavior-3](12) [R4-behavior-3]quit 第4步:创建流策略,并在接口上应用(仅列出了R4上GigabitEthernet 0/0/0接口的配置) [R4]traffic policy 1 [R4-trafficpolicy-1]classifier 1(13) [R4-trafficpolicy-1]classifier 3(14) [R4-trafficpolicy-1]quit [R4]interGigabitEthernet 0/0/0 [R4-GigabitEthernet0/0/0]traffic-policy 1 inbound [R4-GigabitEthernet0/0/0]quit
【答案】
【问题1】(5分) (1)增加链路带宽一般有两种方法,一种是直接升级到高速率模块,如添加千兆或万兆模块进行升级。另一种方法是通过链路聚合的方法,将多条物理链路捆绑成一条逻辑链路,实现带宽扩容。这两种方法各有优劣,升级模块方式成本较高,但不会占用已有的端口数量。而链路聚合方式不需要增加额外成本,但会占用现有端口数量。 (2)一般网络冗余技术可以包括二层冗余链路、三层网关冗余设备。
【问题2】(2分) (1)认证头AH,仅回答认证头或仅回答AH都得分。
【问题3】(3分) (2)0.0.0.0 0.0.0.0 218.63.0.1
【问题4】(9分) (7)10.10.0.2 255.255.255.255 或10.10.0.2 0.0.0.0//官方解析是 10.10.0.2 255.255.255.255,这里可以写反掩码。正掩码也没错,设备会自动纠正。 (8)8:00 to 18:00 (9)10.3.0.2 255.255.255.255 或10.3.0.2 0.0.0.0 //官方解析是 10.3.0.2 255.255.255.255 ,这里可以写反掩码。正掩码也没错,设备会自动纠正。 (10)在路由器R4上创建流分类,匹配相关ACL (11)ip-nexthop (12)deny (13)behavior 1 (14)behavior 3
【解析】
【问题1】(5分) (1)增加链路带宽一般有两种方法,一种是直接升级到高速率模块,如添加千兆或万兆模块进行升级。另一种方法是通过链路聚合的方法,将多条物理链路捆绑成一条逻辑链路,实现带宽扩容。这两种方法各有优劣,升级模块方式成本较高,但不会占用已有的端口数量。而链路聚合方式不需要增加额外成本,而且能实现数据的负载均衡,缺点是会占用现有端口数量。 (2)一般网络冗余技术可以包括冗余链路、冗余设备以及冗余模块等。 冗余链路是指在局域网或广域网的设计中,针对关键的通信线路,通过提供多条线路,避免单条线路失效而导致网络失效。冗余链路的使用方式有人工切换方式、热备方式、负载均衡方式等。 冗余设备是指在计算机网络中,对于关键设备,提供两个以上,并处于热备或负载均衡状态,以避免由于设备失效而导致的网络整体失效。 冗余模块,例如核心多层交换机上的冗余路由引擎,网络设备和服务器设备上的冗余电源与风扇,服务器设备上的镜像内存,存储设备的热备硬盘等。
【问题2】(2分) 本问题考查IPSec基础知识。 IP安全(IP Security)体系结构,简称IPSec,是IETF IPSec工作组于1998年制定的一组基于密码学的安全的开放网络安全协议。IPSec工作在IP层,为IP层及其上层协议提供保护。IPSec提供访问控制、无连接的完整性、数据来源验证、防重放保护、保密性、自动密钥管理等安全服务。 AH(认证头)为IP报文提供数据完整性验证和数据源身份认证,使用的是HMAC算法。 ESP(封装安全载荷)通过加密载荷实现机密性保护。 IKE(Internet 密钥交换)利用ISAKMP语言来定义密钥交换,是对安全服务进行协商的手段。
【问题3】(3分) 本问题考查静态路由、默认路由的配置命令。 静态路由的配置要点是正确确定目标网络和下一跳地址。本题需要配置缺省路由,而题目要求默认出口为电信网络。根据题干描述,电信网络网关地址为218.63.0.1/28。 因此,配置命令如下:
【问题4】(9分) 本问题考查策略路由的配置过程和命令。 策略路由配置的一般过程和步骤是: 1.配置各设备基本参数; 2.创建ACL用于匹配策略要求的网段; 3.创建流分类,匹配ACL命中的流; 4.创建流行为,配置重定向; 5.创建流策略,在接口,上应用流策略。 本题有两个策略要求,要求PC1访问Internet时导向联通网络,禁止PC3在工作日8:00至18:00访问电信网络。 第(7)空题干明确指出创建用于PC1策略的ACL,因此提供PC1的IP地址即可,10.10.0.2 255.255.255.255; 第(8)空题干明确指出时间段为8:00至18:00,因此按要求填写:8:00 to 18:00即可; 第(9)空题干明确指出创建用于PC3策略的ACL,因此提供PC3的IP地址即可,10.3.0.2 255.255.255.255; 第(10)空即为:在路由器R4上创建流分类,匹配相关ACL; 第(11)空为标准命令,填写ip-nexthop用于指示重定向下一条地址; 第(12)空,流行为behavior 3用于识别匹配PC3的流,因此应该拒绝通过,填写deny即可; 创建流策略后,clasifier 1匹配behavior 1(第(13)空);clasifier 3匹配behavior3(第(14)空);
试题二:
阅读以下说明,回答问题1至问题3,将解答填入对应的解答栏内。 【说明】 图2-1为某学校网络拓扑图,运营商分配的公网IP地址为113.201.60.1/29,运营商网关地址为113.201.60.1,内部用户通过路由器代理上网,代理地址为113.201.60.2,核心交换机配置基于全局的DHCP服务,为办公楼和宿舍楼用户提供DHCP服务。内部网络划分为3个VLAN,其中VLAN10的地址10.0.10.1/24,VLAN20的地址10.0.20.1/24,VLAN30的地址10.0.30.1/24,请结合下图,回答相关问题。
图2-1
【问题1】(共9分) 路由器的配置片段如下,根据图2- 1,补齐(1)~(6)空缺的命令。 #配置 WAN 接口和内网上网代理 <Huawei>system-view [Huawei] sysname( ) [Router] interface( ) [Router-GigabitEthernet1/0/0] ip address() [Router-GigabitEthernet1/0/0] quit [Router] ip route-static 0.0.0.0 0.0.0.0( ) [Router-acI-basic-2000] [Router-acI-basic-2000] rule 5 permit source 10.0.0.0( ) [Router-acl-basic-2000] quit [Router] interface GigabitEthernet1/0/0 [Router-GigabitEthernet1/0/0] nat outbound( ) [Router-GigabitEthernet1/0/0] quit …… 其他配置略
【问题 2】(共 6 分) 核心交换机的配置片段如下,根据图 2-1,补齐(7)~(10)空缺的命令。 #配置GE0/0/2接口加入VLAN20,并配置对应VLAN接口地址 [Switch]vlanbatch 20 [Switch]inlterface GigabitEthernet0/0/2 [Switch-GigabitEthernet0/0/2]port link-type ( ) [Switch-GigabitEthernet0/0/2]port hybrid pvid vlan20 [Switch-GigabitEthernet0/0/2]port hybrid untagged vlan20 [Switch-GigabitEthernet0/0/2]quit [Switch] interface vlanif 20 [Switch-Vlanif20] ip address ( ) [Switch-Vlanif20] quit ....... 其他配置略 #配置DHCP服务,租期3天 [Switch] dhcp ( ) [Switch] ip pool pooll [Switch-ip-pool-pooll] network 10.0.20.0 mask 255.255.255.0 [Switch-ip-pool-pooll] dns-list 10.0.10.2 [Switch-ip-pool-pooll] gateway-list 10.0.20.1 [Switch-ip-pool-pooll] lesae day ( ) [Switch-ip-pool-pooll] quit [Switch] interface vlanif 20 [Switch-Vlanif20] dhcp select global [Switch-Vlanif20] quit ...... 其他配置略
【问题3】(5分) 网络规划中要考虑常见网络攻击的防护,请简要描述二层网络中可能面临的攻击(至少三种)。
【答案】
【问题1】(9分) (1)Router (2)GigabitEthernet 1/0/0 (3)113.201.60.2 255.255.255.248 (4)113.201.60.1 (5)0.255.255.255(0.255.255.255—0.0.31.255任意一个合适的掩码均正确) (6)2000
【问题2】(6分) (7)hybrid (8)10.0.20.1 255.255.255.0 (9)enable (10)3
【问题3】(5分) 常见的二层攻击有:广播风暴攻击、ARP攻击(泛洪攻击、欺骗攻击)、STP攻击、MAC表洪水攻击等(任意回答三种即可)。
......