软考中级网络工程师下午题近五年笔记

刷题地址：软考达人—专业的软考刷题题库，软考历年真题，软考模拟考试，软考考前押题。柴丁科技 (ruankaodaren.com)

上面这个网站有的图不清晰，也可以看这个网站策未来网校——在线刷题、智能刷题 (ceweilai.cn)

2019

上半年

DHCP配置片段

[Huawei] dhcp enable
[Huawei] interface vlanif 123
[Huawei-Vlanif123] dhcp select global//使接口采用全局地址池的DHCP功能
[Huawei-Vlanif123] quit
[Huawei]ip pool lan
[Huawei-ip-pool-lan] gateway-list 192.168.100.1
[Huawei-ip-pool-lan] network 192.168.100.0 mask 255.255.255.0
[Huawei-ip-pool-lan] quit

#配置NAT地址转换
[Huawei] acl number 3002
[Huawei-acl-adv-3002] rule 5 permit ip source 192.168.100.0 0.0.0.255
[Huawei-acl-adv-3002] quit
[Huawei] interface virtual-template 10//创建虚拟接口10
[Huawei-Virtual-Template10] ip address ppp-negotiate
[Huawei-Virtual-Template10] nat outbound acl 3002
[Huawei-Virtual-Template10] quit

#配置ATM接口
[Huawei] interface atm 1/0/0
[Huawei-Atm1/0/0] pvc voip 1/35 //创建PVC（ATM虚电路）
[Huawei-atm-pvc-Atm1/0/0-1/35-voip] map ppp virtual-template 10//配置PVC上的PPPoA映射
[Huawei-atm-pvc-Atm1/0/0-1/35-voip] quit
[Huawei-Atm1/0/0] standby interface cellular 0/0/0//配置3G接口为备份接口
[Huawei-Atm1/0/0] quit

Ipv6配置

<Huawei> system-view
[Huawei] sysname RouterA
[RouterA]ipv6 //开启IPv6报文转发功能
[RouterA] interface s0
[RouterA-s0] ip address 12.1.1.1 255.255.255.0
[RouterA-s0] quit
[RouterA] interface gigabitethernet 0/0/1
[RouterA-GigabitEthernet0/0/1 ] ipv6 address 2002:: 1/64
[RouterA-GigabitEthernet0/0/1 ] quit

[RouterA] interface tunnel 0/0/1 // 创建隧道接口
[RouterA-Tunnel0/0/1 ]tunnel-protocol ipv6-ipv4 auto-tunnel//指定 Tunnel 为自动隧道模式
[RouterA-Tunnel0/0/1 ] ipv6 enable
[RouterA-Tunnel0/0/1 ] ipv6 address ::12.1.1.1/96 // 设置隧道接口的ipv6的地址
[RouterA-Tunnel0/0/1 ] source s0 //指定隧道的原接口
[RouterA-Tunnel0/0/1 ] quit

在现有组网方案的基础上，为确保分支机构与总部之间的数据传输安全，配置IPSec协议，实现在网络层端对端的加密与验证。

下半年

④处部署上网行为管理设备，可以对所有用户的互联网访问进行审计和控制，阻止并记录非法访问

在⑤部署防火墙设备，实现服务器区域的边界防护，防范来自无线区域和办公区域的安全威胁

在路由器上配置基于源地址的策略路由，实现无线区域用户通过运营商1访问互联网，办公区域和服务器区域通过运营商2访问互联网。

同属于一个vlan，源IP地址是一样的

策略路由有基于目标和源地址两种

网络存储：DAS NAS SAN

vlan batch 2 3

time-range 09:00 to 12:00

2020

下半年

请简述RAID2.0技术的优势(至少列出2点优势)。

1、自动负载均衡，降低了存储系统整体故障率
2、快速精简重构，降低了双盘失效率和数据丢失的风险
3、故障自检自愈，保证了系统可靠性
4、虚拟池化设计，降低存储规划管理难度

路由器的配置，要有掩码

ip address 192.168.1.1 255.255.255.0

组播报文对无线网络空口的影响主要是造成无线空接口拥堵，随着业务数据转发的方式不同，组播报文的抑制分别在AP直连的交换机端口和AC的流量模板下配置。

该网络AP部署在每一间宿舍的原因是房间之间的墙壁等障碍物会使无线信号严重衰减，影响WLAN信号质量。

127.0.0.1是IPv4的外保留地址,ping 127.0.0.1 一般作为测试本机TCP/IP协议栈是否正常，本例中，在终端A上ping127.0.0.1不通，说明本机的TCP/IP协议栈故障

默认路由（网段、掩码、下一跳地址）

[R4]ip route-static 0.0.0.0 0.0.0.0 281.63.0.1

图3-1中，要求PCI访问Internet时导向联通网络，禁止PC3在工作日8.00至18.00访问电信网络。
请在下列配置步骤中补全相关命令：
第1步：在路由器R4上创建所需ACL
创建用于PCI策略的ACL：
[R4]acl 2000
[R4-acl-basic -2000] rule 1 permit source 10.10.0.2 0.0.0.0 对应的是单台主机反掩码就是0
[R4-acl-basic- 2000] quit
创建用于PC3策略的ACL:
[R4] time-range satime 8:00 to 18:00 working-day
[R4]acl number 3001
[R4-acl-adv-3001] rule deny source 10.3.0.2 0.0.0.0 destination 218.63.0.0 240.255.255.255 time-range satime
第2步：执行如下命令的作用是配置流分类。
[R4]trafficlassifer 1
[R4-classifier-1]if-match acl 2000
[R4-classifier-1]quit
[R4]traffic classifier3
[R4-classifier-3]if-match acl 3001
[R4-classifier-3]quit
第3步：在路由器R4上创建流行为并配置重定向
[R4]traffic behavior 1
[R4-bchavior-1]redirect ip-nexthop 221.137.0.1
[R4-behavior-1]quit
[R4]traffic behavior 3
[R4-behavior-3] deny
[R4-behavior-3]quit
第4步:创建流策略，并在接口上应用(仅列出了R4上GigabitEthernet 0/0/0接口的配置)
[R4]traffic policy 1
[R4-trafficpolicy-1]classifier 1 behavior 1
[R4-trafficpolicy-1]classifier 3 behavior 3
[R4-trafficpolicy-1]quit
[R4]interGigabitEthernet 0/0/0
[R4-GigabitEthernet0/0/0]traffic-policy 1 inbound
[R4-GigabitEthernet0/0/0]quit

VLAN划分可基于端口、子网、协议和策略

<HUAWEI>system-view
[HUAWEI] sysname SW1
[SW1] dhcp option template template1
[SW1-dhcp-option-template-template1] gateway-list 192.168.3.1//配置网关地址
[SW1-dhcp-option-template-template1] bootfile configuartion.nin/获取配置文件
[SW1-dhcp-option-template-template1] next-server 10.10.10.1//配置获取配置文件地址
[SW1-dhcp-option-template-template1] quit
下面创建地址池，同时为IP Phone 分配固定IP地址以及配置信息。请将配置代码补充完整。
[SW1]ip pool pool3
[SW1-ip-pool-pool3] network 192.168.3.0 mask 255.255.255.0 填网络号
[SW1-ip-pool-pool3] dns-list 10.10.10.2
[SW1-ip-pool-pool3] gateway-list 192.168.3.1
[SW1-ip-pool-pool3] excluded-ip-address 192.168.3.250 192.168.3.254
[SW1-ip-pool-pool3] lease unlimited
[SW1-ip-pool-pool3] static-bind ip-address 192.168.3.2 mac-address dcd2-fa98-e439 option-template template1 //使用模板

[SW1-ip-pool-pool3] quit
#在对应VLAN上使能DHCP
[SW1] interface vlanif 300
[SW1-Vlanif300] dhcp select global
[SW1-Vlanif300] quit

2021

上半年

网络管理员使用光功率计设备对光缆检查，发现光衰非常大，超出正常范围，初步判断为光缆故障

使用光时域反射计设备判断出光缆的故障位置

经检查故障点发现该处光缆断裂，可采用可见光检测笔措施处理

该交换机需要与车间1接入层交换机进行互连，其连接方式有堆叠和级联；其中堆叠方式可以共享使用交换机背板带宽，级联方式可以使用双绞线将交换机连接在一起。

默认路由的作用是提供一个目标地址，用于处理所有未在路由表中明确指定的其他路由。

Ping ICMP

Tracert 查看网关路径跟踪路由

防火墙对整个网络流量进行全面防护，强调应用层的深度检测和精细控制，包括应用识别和控制，同时集成入侵防御（IPS）和反病毒（AV）等更高级的安全能力，确保网络安全；

上网行为管理侧重于Web层面的安全防护，主要包括URL分类过滤和杀毒，确保Web访问的安全，同时基于用户对用户的上网行为进行规范和审计，包括访问控制、限速、选路等。

网络管理员要为PC2和PC3设计一种接入认证方式，如果无法通过认证，接入交换机S1可以拦藏PC2和PC3的业务数据流量802.1X接入认证技术可以满足要求.

802.1X:连在端口上的用户设备如果能通过认证，就可以访问局域网中的资源；如果不能通过验证的话，就无法访问局域网中的资源，相当于物理断开。

与复杂的IPSecVPN相比，SSL通过相对简易的方法实现信息远程连通。任何安装浏览器的机器都可以使用SSLVPN，这是因为SSL内嵌在浏览器中，它不需要像传统IPSec VPN一样必须为每一台客户机安装客户端软件。

优先级（外部、内部、本地）

# 配置EBGP路由优先级为255，配置IBGP路由优先级为100，配置本地路由优先级为130，IBGP路由优先级优于OSPF路由。

下半年

该网络规划中，相较于以旁路方式部署，将AC直连部署存在的问题是AC容易成为整个无线网络带宽的瓶颈。相较于部署在核心层，将AC部署在接入层存在的问题是导致吞吐量下降。

在网络规划中，对AP供电方式可以采取POE供电或DC电源适配器供电。Direct Current（直流电）

2022

上半年

Network方式逐条精确匹配路由
Network方式优先级高
Import方式按协议类型引入路由

interface GigabitEthernet 0/0/1 port-security enable port-security-mac-num mac-number 1

rule permit destination 2.2.0.0 0.0.255.255

rule permit tcp source 202.110.10.0 0.0.0.255 destination 179.100.17.10 0.0.0.0.0 eq 80//端口号

traffic-policy1 inbound//声明在哪里调用

下半年

仓库到办公楼的布线系统属于什么子系统?应采用什么传输介质?该线缆与交换机连接需要用到哪些部件。

建筑群子系统采用单模光纤光模块

冗余设计配置变化：SwitchA、SwitchE组成双核心，交换机之间采用链路聚合，同时采用STP避免环路。

两台路由器之间配置ipsec VPN的配置要点：

配置接口的IP地址和到对端的静态路由，保证两端路由可达。
配置ACL，以定义需要IPSec保护的数据流。
配置IPSec安全协议，定义IPSec的保护方法。
配置IKE对等体,定义对等体间IKE协商时的属性。
配置安全策略。

常见的三种认证方式：

portal认证：通过一个Web页面来接收用户输入的用户名和密码，以验证用户身份。

802.1X认证：一种基于端口的网络访问控制标准，提供对网络基础设施设备的受控访问。

MAC地址认证：通过检查设备的MAC地址来控制网络访问。网络管理员可以创建MAC地址的白名单或黑名单，以允许或拒绝特定设备的网络访问。

broadcast-suppression 80 限制广播流量不要超过80%

直连路由

[R1-rip-1] import-route direct route-policy tip rip-rp

STP (Spanning Tree Protocol)协议用来发现和消除网络中的环路。运行该协议的设备通过相互之间发送BPDU报文，在交换网络中选举根桥，通过依次比较该报文中包含的各自的优先级、MAC 地址信息，来确定根桥，优先级值越小，优先级越高，MAC地址亦然，交换机默认的优先级值为32768。RSTP (Rapid SpanningTree Protocol)在STP基础上进行了改进，实现了网络拓扑快速收敛。但他们均是通过阻塞某个端口来实现环路消除的，存在浪费带宽的缺点，MSTP在STP和RSTP的基础上进行了改进，既可以快速收敛，又提供了数据转发的多个冗余路径，在数据转发过程中实现VLAN 数据的负载分担。

Switch A中配置的虚拟地址和本机配置的虚拟地址必须一样,因此对应的地址是10.1.1.111

1.配置SwitchA接口转发方式、IP地址和VRRP
[SwitchA-GigabitEtheret0/0/1]port link-type Hybrid
[SwitchA-GigabitEthernet0/0/1]port hybrid pvid vlan 200

2023

上半年

在网络线路施工中应遵循哪些规范(至少回答4点)?

1、选择质量合格的产品
2、遵循布线规则
3、布线完后，进行测试
4、保存布线系统相关文档资料

简要说明该网络中核心交换机有哪几种冗余配置方式：

链路聚合
VRRP
堆叠
HSRP（热备份路由器协议）

核心层具有覆盖面广、可靠性和安全性高、配置和管理简单等特点。

为充分利用两个运营商ISP的带宽，请提供至少4种多出口链路负载策略。

基于链路带宽负载分担
基于链路状态负载分担
基于链路权重负载分担
基于链路优先级负载分担

OSPF认证方式：区域认证和接口认证

authentication-mode simple ruankao 密文方式处理认证密码

authentication-mode simple plain ruankao 明文方式处理认证密码

#以RA为例，启用BGP环路检测功能。
[RA] route loop-detect bgp enable

undo portswitch #关闭接口GEO/0/1的二层转发特性

[R1]rip
[R1-rip1]rip 2
[R1-rip-2]undo summary
[R1-rip-2]network 10.0.0.0
[R1-rip-2]network 100.0.0.0

下发路由为了使网络均能够功互联网，需通过RIP将该静态路由进行重分布。

[R1-rip-2] default-route originate

命令解释如下：

[R1-rip-2]：这是一个提示符，表明当前处于路由器R1的RIP版本2的配置模式下。
default-route：指定要宣告的是一个默认路由，即目的地址为0.0.0.0，子网掩码为0.0.0.0的路由，它用于指示路由器在没有其他更具体的路由匹配时的下一跳地址。
originate：意味着生成或宣告这条默认路由。

下半年

问：网络运行中，经常出现网络终端获取到非规划的私有地址而导致无法上网和IP地址冲突的情况。请分析出现这两种现象的原因，并给出解决方案。

答：终端局域网中存在非法DHCP服务器（私接路由器）；在对应交换机设备上配置dhcp snooping功能，将连接合法DHCP的端口设置为trust，其他端口设置为untrust。

[R1-bfd-R1toR2] commit //提交配置

nat outbound 3001 //nat配置路由进出口方向

[R1] ip route-static 0.0.0.0 0.0.0.0 gig 2/0/1 10.12.12.2 track bfd-session R1toR2 //配置R1的缺省路由，联动BFD使得R1到R2的流量优先走R1->S1->R2链路，当此链路发生故障时，流量切换到R1->R3->R2链路上

默认路由格式：

ip route-static 0.0.0.0 0.0.0.0 11.0.0.1 网段掩码下一跳地址

路由器连接有堆叠和级联两种方式

1.级联通过两条交换机的端口连接在一起形成线性结构，优点是简单易实现，成本较低，适用于小规模网络，缺点是不能共享背板带宽、管理维护复杂、扩展性有限、增加延时

2.堆叠通过专用堆叠线形成逻辑上的单一设备，具有提高可靠性、扩展端口数量、增大带宽、简化组网等优点，但是兼容性差，一般需要同一品牌型号设备，成本较高。防环