【2025上半年軟考網(wǎng)絡工程師考試《應用技術》練習題及答案一、案例分析題（共5題，每題20分，滿分100分）案例1：某制造企業(yè)園區(qū)網(wǎng)升級改造（20分）某制造企業(yè)現(xiàn)有園區(qū)網(wǎng)采用核心匯聚接入三層架構，核心層部署2臺H3CS12508交換機，匯聚層為各廠房/辦公樓的H3CS5820V3，接入層為H3CS3600。隨著智能制造產(chǎn)線部署（需10Gbps接入）、研發(fā)部門AI計算集群（需萬兆互聯(lián)）及訪客WiFi（需獨立認證）需求，需進行網(wǎng)絡升級。具體需求如下：1.生產(chǎn)車間新增10條智能制造產(chǎn)線，每條產(chǎn)線需2個10Gbps接入端口，要求產(chǎn)線業(yè)務與辦公業(yè)務邏輯隔離；2.研發(fā)樓4樓AI計算集群（20臺服務器）需萬兆互聯(lián)，要求集群內流量本地轉發(fā)，跨集群流量經(jīng)核心層；3.訪客WiFi需支持微信連WiFi認證，認證后僅能訪問互聯(lián)網(wǎng)，禁止訪問內部業(yè)務系統(tǒng)；4.網(wǎng)絡運維要求：核心層設備需支持鏈路聚合（LACP）、STP/RSTP/MSTP混合場景、流量鏡像至運維管理服務器（0）。問題1（5分）：針對生產(chǎn)車間10Gbps接入需求，需對現(xiàn)有接入層設備進行哪些調整？請說明設備選型依據(jù)及端口規(guī)劃方案。問題2（5分）：設計研發(fā)樓AI計算集群的網(wǎng)絡方案，需明確VLAN規(guī)劃、匯聚層與核心層鏈路配置（含路由協(xié)議選擇）。問題3（5分）：設計訪客WiFi認證及訪問控制方案，需列出AC（無線控制器）關鍵配置參數(shù)（含認證方式、ACL規(guī)則）。問題4（5分）：核心層設備需配置哪些功能滿足運維需求？請寫出LACP鏈路聚合和流量鏡像的具體配置命令（以H3C設備為例）。案例2：跨地域分支互聯(lián)與VPN優(yōu)化（20分）某集團公司總部位于上海，在杭州、南京設有分支機構，各分支通過運營商提供的MPLSVPN互聯(lián)。近期出現(xiàn)以下問題：杭州分支訪問總部ERP系統(tǒng)（/24）延遲達80ms（正常應≤30ms），丟包率2%；南京分支與上海研發(fā)中心（/16）之間的視頻會議（UDP5000050050端口）頻繁卡頓；所有分支訪問互聯(lián)網(wǎng)需經(jīng)總部出口（公網(wǎng)IP：），導致總部出口帶寬（1Gbps）利用率長期超90%。經(jīng)排查：杭州上海MPLS鏈路實際可用帶寬僅200Mbps（合同約定500Mbps），運營商確認需3個月修復；南京上海鏈路存在大量HTTP下載流量（80/443端口）；總部出口未做流量分類與QoS。問題1（4分）：針對杭州分支ERP訪問問題，提出臨時解決方案（需利用現(xiàn)有設備，支持雙鏈路備份），并說明技術原理。問題2（4分）：設計南京分支視頻會議優(yōu)化方案，需明確流量識別、QoS策略（含優(yōu)先級、帶寬保障）。問題3（6分）：設計分支互聯(lián)網(wǎng)訪問優(yōu)化方案，要求：①分支本地訪問互聯(lián)網(wǎng)；②總部出口僅保留內部業(yè)務流量；③需考慮地址轉換與安全隔離。問題4（6分）：若總部新增一條電信裸光纖（上海武漢），需部署IPSecVPN實現(xiàn)武漢新分支（/24）與總部（/8）互聯(lián)，寫出IPSec隧道配置關鍵步驟（含IKEv2協(xié)商參數(shù)、SA策略）。案例3：校園網(wǎng)安全防護體系構建（20分）某高校校園網(wǎng)出口部署華為USG6650防火墻，核心層部署華為CloudEngine12800，接入層為S5735S。近期發(fā)生以下安全事件：某學生終端感染勒索病毒，通過SMB（445端口）橫向傳播至同VLAN內5臺教師機；校外IP（0）持續(xù)掃描校園網(wǎng)3389端口（遠程桌面），嘗試暴力破解；圖書館無線AP（SSID：libwifi）被釣魚AP（SSID：libwifi）仿冒，導致10名用戶信息泄露?，F(xiàn)有安全策略：默認允許所有流量，僅封禁BT（68816889）、迅雷（5555）端口；未部署終端準入；無線認證采用開放系統(tǒng)認證（無密碼）。問題1（5分）：分析勒索病毒擴散原因，提出防護措施（需包含接入層、核心層、防火墻策略配置）。問題2（5分）：設計針對3389端口掃描的防護方案，要求：①識別攻擊源；②限制單IP連接數(shù)；③記錄攻擊日志。問題3（5分）：設計圖書館無線防釣魚方案，需包含AP認證方式、SSID廣播控制、用戶端驗證機制。問題4（5分）：若需部署下一代防火墻（NGFW），需新增哪些檢測功能？說明NGFW與傳統(tǒng)防火墻的核心差異。案例4：無線局域網(wǎng)（WLAN）優(yōu)化與故障排查（20分）某商場WLAN采用華為AC6005（管理IP：）+AP6510DN（共30臺，信道1、6、11混用），SSID：mallwifi（WPA2PSK，密碼：mall2025）。用戶反饋：中庭區(qū)域（AP覆蓋重疊區(qū)）速率僅54Mbps（理論支持866Mbps）；收銀臺區(qū)域（靠近電梯）頻繁斷連，日志顯示“ROAMING_FAILED”；高峰期（18:0020:00）AP接入用戶數(shù)達120臺（單AP最大容量100臺），出現(xiàn)延遲高、丟包。問題1（4分）：分析中庭區(qū)域速率低的可能原因，提出優(yōu)化措施（含信道規(guī)劃、功率調整）。問題2（4分）：收銀臺斷連可能由哪些因素導致？如何通過AC日志和AP鄰區(qū)表定位問題？問題3（6分）：設計高峰期用戶接入控制方案，要求：①單AP接入用戶數(shù)≤80；②優(yōu)先保障收銀臺（需實時交易）、VIP區(qū)（SSID：mallvip）用戶；③支持基于MAC的白名單。問題4（6分）：若需部署WiFi6（802.11ax）AP，需對現(xiàn)有AC和網(wǎng)絡進行哪些改造？說明WiFi6提升用戶體驗的關鍵技術（至少3項）。案例5：IPv6規(guī)模部署與過渡（20分）某企業(yè)已申請IPv6地址段2001:db8:100::/48，計劃實施IPv6改造，現(xiàn)有網(wǎng)絡環(huán)境：核心層：H3CS12508（支持雙棧），連接運營商IPv6出口（2001:db8:0:1::1/64）；匯聚層：H3CS5820V3（僅支持IPv4）；接入層：H3CS3600（支持雙棧），連接PC（部分支持IPv6）、IP電話（僅IPv4）；服務器區(qū)：部署Web服務器（需同時提供IPv4/IPv6服務）、DNS服務器（僅IPv4）。改造需求：1.接入層PC可訪問IPv6公網(wǎng)資源，IP電話保持IPv4通信；2.服務器區(qū)Web服務器實現(xiàn)雙棧，DNS服務器支持IPv6解析；3.匯聚層設備因預算限制暫不更換，需實現(xiàn)IPv4/IPv6流量轉發(fā)；4.網(wǎng)絡管理員（0）需通過IPv6管理核心層設備。問題1（5分）：設計接入層IPv6部署方案，需明確接口配置（含地址分配方式）、路由協(xié)議（OSPFv3）啟用步驟。問題2（5分）：服務器區(qū)Web服務器雙棧配置需注意哪些要點？寫出Apache服務器雙棧監(jiān)聽配置命令（Linux系統(tǒng)）。問題3（5分）：匯聚層僅支持IPv4時，如何實現(xiàn)IPv6流量跨匯聚層傳輸？說明NAT64技術的應用場景及配置要點。問題4（5分）：配置核心層設備允許管理員通過IPv6的SSH（22端口）遠程管理，需包含ACL規(guī)則和SSH服務啟用命令（H3C設備）。答案及解析案例1答案問題1：現(xiàn)有S3600接入層設備僅支持千兆電口，需更換為支持10GSFP+光口的H3CS5130S52SEI（24個10GSFP+端口）。每產(chǎn)線分配2個10G端口，劃分獨立VLAN（如VLAN100109），通過端口隔離或VLAN間路由實現(xiàn)與辦公業(yè)務（VLAN200）的邏輯隔離。問題2：AI集群劃分VLAN300（/24），匯聚層為集群分配萬兆上聯(lián)口（GigabitEthernet1/0/1），與核心層建立萬兆鏈路聚合（LACP，成員端口為TenGigabitEthernet1/0/12）。核心層啟用OSPFv2，集群內流量通過匯聚層本地轉發(fā)（配置聚合鏈路的OSPFcost為1），跨集群流量經(jīng)核心層（OSPFcost為10）。問題3：AC配置微信連WiFi認證：①開啟Portal認證，認證頁面指向微信OAuth2.0接口；②配置訪客VLAN400（/24），DHCP分配地址；③ACL規(guī)則：denyip/24/8（禁止訪問內部），permitip/24any（允許互聯(lián)網(wǎng)）。問題4：核心層需配置：①LACP鏈路聚合（聚合組1，成員端口TenGigabitEthernet1/0/12）；②MSTP（實例0，根橋優(yōu)先級4096）；③流量鏡像（將所有接口流量鏡像至觀察端口GigabitEthernet1/0/50，目標IP0）。配置命令：```interfaceBridgeAggregation1portlinktypetrunkporttrunkpermitvlanalllacpenablequitinterfaceTenGigabitEthernet1/0/1portlinkaggregationgroup1quitobserveport1interfaceGigabitEthernet1/0/50mirroringgroup1localmirroringgroup1monitorportTenGigabitEthernet1/0/12mirroringgroup1observeport1```案例2答案問題1：臨時方案：杭州分支新增公網(wǎng)IP（），通過IPSecVPN與總部（）建立備份鏈路。技術原理：雙鏈路（MPLS+IPSec）通過BGP/VRRP實現(xiàn)負載分擔，當MPLS鏈路延遲超閾值（如50ms）時，自動切換至IPSec鏈路。問題2：優(yōu)化方案：①在南京分支出口路由器配置ACL匹配UDP5000050050端口；②定義QoS策略，將該流量標記為DSCPAF41（優(yōu)先級4）；③配置帶寬保障（預留200Mbps），限制HTTP流量（標記為BE，帶寬≤300Mbps）。配置命令（華為設備）：```aclnumber3001rule5permitudpdestinationportrange5000050050trafficclassifiervideoifmatchacl3001trafficbehaviorvideoremarkdscpaf41bandwidthensure200000qospolicyvideopolicyclassifiervideobehaviorvideointerfaceGigabitEthernet0/0/1qosapplypolicyvideopolicyinbound```問題3：優(yōu)化方案：①各分支部署本地出口路由器（如杭州：公網(wǎng)IP），啟用NAT（源地址轉換為本地公網(wǎng)IP）；②總部核心路由器配置策略路由：僅內部業(yè)務流量（如/24）經(jīng)總部出口，其他流量（如HTTP/HTTPS）下放到分支出口；③分支與總部間通過MPLSVPN保留內部業(yè)務路由，互聯(lián)網(wǎng)路由由各分支本地獲取。問題4：IPSec配置步驟：1.配置IKEv2：```ikeproposal1encryptionalgorithmaescbc256authenticationalgorithmsha2256dhgroup5quitikepeerwuhanpresharedkeycipherHuawei@2025remoteaddress（武漢公網(wǎng)IP）ikeproposal1quit```2.配置IPSecSA：```ipsectransformsettrans1espespencryptionalgorithmaescbc256espauthenticationalgorithmsha2256quitipsecpolicywuhanpolicy1isakmpsecurityacl3002（匹配/8和/24）transformsettrans1ikepeerwuhanquitinterfaceTunnel0/0/1ipaddress52tunnelprotocolipsecipsecpolicywuhanpolicyquit```案例3答案問題1：擴散原因：同VLAN未做二層隔離，SMB端口未封禁。防護措施：①接入層配置端口安全（限制MAC地址數(shù)量）；②核心層啟用PVLAN（隔離VLAN）；③防火墻封禁內網(wǎng)間445端口（denytcpsource/8destination/8destinationport445）。問題2：防護方案：①防火墻配置入侵防御（IPS）規(guī)則，檢測3389暴力破解（閾值：5次/分鐘）；②配置會話限制（單IP最大連接數(shù)5）；③啟用日志記錄（logdestination0）。配置命令（華為USG）：```iplocalpolicysecuritypolicyrulenamerdpprotectsourcezoneuntrustdestinationzonetrustservicetcpdestinationport3389actionpermitsessionlimitperip5logenablequit```問題3：防釣魚方案：①AP啟用WPA3SAE認證（替換開放系統(tǒng)）；②關閉SSID廣播（隱藏libwifi）；③用戶端需通過MAC地址預認證（AC配置白名單）或短信驗證碼二次驗證。問題4：NGFW新增功能：應用識別（如微信、抖音）、病毒檢測（AV）、入侵檢測（IDS）、文件過濾。核心差異：傳統(tǒng)防火墻基于五元組，NGFW基于應用層識別，支持深度包檢測（DPI）和威脅情報聯(lián)動。案例4答案問題1：速率低原因：信道重疊（1、6、11相鄰）導致干擾，AP功率過高（覆蓋重疊區(qū)信號強度＞65dBm）。優(yōu)化措施：調整AP信道為3、9、14（5GHz頻段），降低中庭AP功率至20dBm（原30dBm），啟用AC的動態(tài)信道分配（DCA）。問題2：斷連原因：電梯金屬遮擋導致信號突變，AP鄰區(qū)表未正確配置（鄰區(qū)AP未添加）。排查方法：AC查看AP的“roamingfailure”日志，定位具體斷連時間點的信號強度（如＜85dBm）；檢查AP的“neighborlist”是否包含電梯附近AP（如AP05、AP06），未配置則手動添加。問題3：接入控制方案：①AC配置單AP最大用戶數(shù)80（apuserlimit80）；②為收銀臺AP（SSID：mallwifi）配置高優(yōu)先級（調度策略：優(yōu)先保證HTTP/HTTPS流量）；③VIP區(qū)（SSID：mallvip）啟用MAC白名單（macauthenable，白名單列表：00e0fcxxxxxx）。問題4：改造需求：①AC升級至V500R021及以上版本（支持802.11ax）；②核心層鏈路擴容至萬兆（支持OFDMA多用戶調度）；③AP供電更換為PoE++（802.3bt，單AP最大30W）。WiFi6關鍵技術：OFDMA（多用戶并行）、1024QAM（更高調制效率）、SpatialReuse（空間復用）。案例5答案問題1：接入層配置：```interfaceGigabitEthernet1/0/1ipv6enableipv6address2001:db8:100:1::1/64ipv6ospf1areaquitdhcpv6serverpool1network2001:db8:100:1::/64dnsserver2001:db8:100::10（IPv6DNS）quitinterfaceGigabitEthernet1/0/1dhcpv6serverapplypool1quit