2025年上半年網(wǎng)絡(luò)工程師下午練習題及答案解析一、企業(yè)園區(qū)網(wǎng)絡(luò)規(guī)劃與IP地址分配（20分）某制造企業(yè)總部位于上海，下設(shè)研發(fā)部（200人）、生產(chǎn)部（150人）、行政部（80人）、數(shù)據(jù)中心（50臺服務(wù)器）；另在杭州（分支機構(gòu)A，100人）、南京（分支機構(gòu)B，80人）設(shè)有分部。網(wǎng)絡(luò)需求如下：總部核心層采用雙核心交換機（S1、S2）冗余，接入層交換機通過兩條鏈路分別連接至S1和S2；內(nèi)網(wǎng)使用私有IP地址段10.0.0.0/8，公網(wǎng)出口分配IP為202.100.1.0/29（可用地址：202.100.1.1202.100.1.6，其中202.100.1.1為網(wǎng)關(guān)）；數(shù)據(jù)中心需單獨劃分VLAN，要求服務(wù)器區(qū)與辦公區(qū)隔離，且支持未來50%的擴容；分支機構(gòu)通過公網(wǎng)與總部互聯(lián)，需規(guī)劃總部到分支機構(gòu)的互聯(lián)IP。問題1（5分）：為總部各部門劃分VLAN并分配子網(wǎng)（要求子網(wǎng)連續(xù)、無重疊，且預留10%的主機地址冗余）。問題2（4分）：設(shè)計核心層交換機S1與S2的互聯(lián)IP地址（要求雙鏈路冗余，每鏈路使用/30子網(wǎng)）。問題3（5分）：規(guī)劃總部出口NAT地址池，并說明選擇依據(jù)（需滿足同時在線200個辦公終端訪問公網(wǎng)）。問題4（6分）：配置核心層網(wǎng)關(guān)冗余（HSRP），要求S1為主用，S2為備用，虛擬IP為10.1.1.254，優(yōu)先級S1=120，S2=110，寫出S1和S2的關(guān)鍵配置命令。二、交換網(wǎng)絡(luò)配置與優(yōu)化（20分）總部網(wǎng)絡(luò)拓撲如下：核心交換機S1、S2（互為冗余），接入交換機S3（研發(fā)部，VLAN100）、S4（生產(chǎn)部，VLAN200）。S3與S1/S2通過GE0/0/1和GE0/0/2連接，S4與S1/S2通過GE0/0/3和GE0/0/4連接。需求：S3與核心層的兩條鏈路需實現(xiàn)負載均衡與冗余，且支持動態(tài)協(xié)商；研發(fā)部VLAN100需隔離廣播，生產(chǎn)部VLAN200需與數(shù)據(jù)中心VLAN300互通；全網(wǎng)啟用RSTP，要求S1作為根橋，S2作為備份根橋。問題1（5分）：配置S3與核心層的鏈路聚合（LACP模式），寫出S3的接口配置命令。問題2（4分）：說明VLAN200與VLAN300互通的實現(xiàn)方式（需區(qū)分二層和三層方案）。問題3（5分）：配置RSTP優(yōu)先級，確保S1為根橋，S2為備份根橋，寫出關(guān)鍵命令。問題4（6分）：研發(fā)部廣播域過大，需進一步隔離，提出兩種技術(shù)方案（需說明原理及適用場景）。三、路由協(xié)議配置與調(diào)優(yōu)（20分）總部與分支機構(gòu)通過公網(wǎng)互聯(lián)，拓撲如下：總部出口路由器R1（連接ISP），分支機構(gòu)A路由器R2（杭州），分支機構(gòu)B路由器R3（南京）。R1與R2、R3通過PPP鏈路互聯(lián)，鏈路帶寬均為100Mbps。需求：總部內(nèi)網(wǎng)（10.0.0.0/8）與分支機構(gòu)內(nèi)網(wǎng)（R2：192.168.1.0/24；R3：192.168.2.0/24）通過OSPF實現(xiàn)互通，區(qū)域劃分：總部為區(qū)域0，分支機構(gòu)A為區(qū)域1，分支機構(gòu)B為區(qū)域2；R1需將內(nèi)網(wǎng)路由發(fā)布到公網(wǎng)，同時接收ISP的默認路由，使用BGP（AS號：65000，ISP的AS號：65001）；優(yōu)化OSPF收斂時間，要求故障切換≤500ms。問題1（4分）：說明OSPF區(qū)域劃分的合理性（需結(jié)合區(qū)域類型與路由傳播特性）。問題2（5分）：寫出R1的OSPF基本配置（包括進程號100，網(wǎng)絡(luò)宣告，區(qū)域劃分）。問題3（5分）：配置R1與ISP的BGP鄰居關(guān)系（ISP路由器IP：202.100.1.6），并將OSPF路由引入BGP。問題4（6分）：調(diào)優(yōu)OSPF收斂時間，寫出R1的接口配置命令（需調(diào)整Hello時間、死亡時間、快速收斂機制）。四、網(wǎng)絡(luò)安全配置與防護（20分）企業(yè)網(wǎng)絡(luò)安全需求如下：研發(fā)部（VLAN100，IP：10.10.1.0/24）禁止訪問互聯(lián)網(wǎng)（公網(wǎng)IP），但允許訪問數(shù)據(jù)中心（VLAN300，IP：10.30.1.0/24）；生產(chǎn)部（VLAN200，IP：10.20.1.0/24）允許訪問互聯(lián)網(wǎng)，但需限制P2P流量（BT協(xié)議端口68816889）；數(shù)據(jù)中心僅允許總部管理終端（10.1.1.10）通過SSH（TCP22）訪問，禁止其他IP連接；出口部署防火墻FW1（接口：內(nèi)網(wǎng)口G0/0，IP：10.1.1.253；公網(wǎng)口G0/1，IP：202.100.1.2）。問題1（5分）：在FW1上配置研發(fā)部訪問互聯(lián)網(wǎng)的拒絕策略（基于源IP和目的地址類型）。問題2（5分）：在核心交換機S1上配置生產(chǎn)部的P2P流量限制（使用ACL+流量限速）。問題3（5分）：配置數(shù)據(jù)中心的SSH訪問控制（在FW1上實現(xiàn)，需指定源IP和目的端口）。問題4（5分）：設(shè)計出口NAT方案（需滿足生產(chǎn)部、行政部同時訪問公網(wǎng)），說明選擇PAT的原因。五、無線局域網(wǎng)規(guī)劃與配置（20分）企業(yè)部署無線覆蓋，采用AC+瘦AP架構(gòu)，要求：員工SSID“Enterprise”：802.1X認證（RADIUS服務(wù)器IP：10.1.1.20，端口1812），加密方式WPA3SAE；訪客SSID“Guest”：Web認證（開放網(wǎng)絡(luò)，限速下行10Mbps/用戶），隔離訪客間互訪；AP支持WiFi7（5GHz頻段），要求信道規(guī)劃避免干擾（周邊存在2.4GHz和5GHz其他網(wǎng)絡(luò)）。問題1（4分）：配置AC與AP的發(fā)現(xiàn)方式（使用DHCPOption43，AC地址：10.1.1.15）。問題2（5分）：在AC上配置“Enterprise”的認證模板（包括RADIUS服務(wù)器參數(shù)、加密方式）。問題3（5分）：配置“Guest”的Web認證策略（包括VLAN400、NAT轉(zhuǎn)換、限速）。問題4（6分）：規(guī)劃5GHz信道（可用信道：36、40、44、48、149、153、157、161），說明選擇依據(jù)（需考慮覆蓋區(qū)域、干擾源）。六、廣域網(wǎng)與QoS配置（20分）總部與分支機構(gòu)通過MPLSVPN互聯(lián)，鏈路參數(shù)如下：總部R1到ISP路由器R4的鏈路帶寬100Mbps，延遲20ms，抖動5ms；業(yè)務(wù)類型：語音（UDP1638432767，帶寬20Mbps）、視頻（TCP80009000，帶寬30Mbps）、普通數(shù)據(jù)（剩余帶寬）；要求語音優(yōu)先轉(zhuǎn)發(fā)，視頻保障最低20Mbps，數(shù)據(jù)盡力而為。問題1（4分）：簡述MPLSVPN的基本工作原理（需說明標簽交換、PE/CE功能）。問題2（5分）：配置分支機構(gòu)B（R3）的PPPoE客戶端（用戶名：branchB，密碼：pass123，對端IP：202.100.1.5）。問題3（5分）：在R1上配置QoS策略（分類、標記、隊列），實現(xiàn)業(yè)務(wù)優(yōu)先級。問題4（6分）：計算語音業(yè)務(wù)的承諾信息速率（CIR）和突發(fā)尺寸（Bc），寫出配置命令（假設(shè)時間間隔Tc=10ms）。答案與解析一、企業(yè)園區(qū)網(wǎng)絡(luò)規(guī)劃與IP地址分配問題1：研發(fā)部（200人）：需主機位≥8（2^82=254），子網(wǎng)10.10.1.0/24（可用IP：10.10.1.110.10.1.254，冗余54地址）；生產(chǎn)部（150人）：主機位≥8，子網(wǎng)10.20.1.0/24（可用154地址）；行政部（80人）：主機位≥7（2^72=126），子網(wǎng)10.30.1.0/25（10.30.1.0/25，可用126地址）；數(shù)據(jù)中心（50臺，預留50%即75臺）：主機位≥7（126≥75），子網(wǎng)10.40.1.0/25（可用126地址）。問題2：雙鏈路互聯(lián)需兩個/30子網(wǎng)：鏈路1：S1GE0/0/1=10.0.0.1/30，S2GE0/0/1=10.0.0.2/30；鏈路2：S1GE0/0/2=10.0.0.5/30，S2GE0/0/2=10.0.0.6/30（避免子網(wǎng)重疊）。問題3：公網(wǎng)可用地址5個（202.100.1.2202.100.1.6），采用PAT（端口地址轉(zhuǎn)換），地址池為202.100.1.2202.100.1.6，每個公網(wǎng)IP可映射多個內(nèi)網(wǎng)IP（基于端口），滿足200終端同時訪問。問題4：S1配置：```interfaceVlanif100standby1ip10.1.1.254standby1priority120standby1preempt```S2配置：```interfaceVlanif100standby1ip10.1.1.254standby1priority110standby1preemptdelayminimum30```二、交換網(wǎng)絡(luò)配置與優(yōu)化問題1：S3配置：```interfaceEthTrunk1modelacpstatictrunkportGigabitEthernet0/0/1to0/0/2portlinktypetrunkporttrunkallowpassvlan100```問題2：二層互通：通過VLAN透傳（核心層交換機劃分VLAN200和VLAN300，Trunk鏈路允許雙VLAN）；三層互通：核心層配置VLANIF接口（SVI），啟用IP路由功能，通過靜態(tài)路由或動態(tài)路由互聯(lián)。問題3：S1配置：```stpmoderstpstppriority0```S2配置：```stpmoderstpstppriority4096```問題4：方案1：劃分多個小VLAN（如VLAN101105，每個VLAN≤50人），縮小廣播域；方案2：啟用VRRP（虛擬路由冗余協(xié)議），將大VLAN拆分為多個邏輯子網(wǎng)，通過三層路由隔離廣播。三、路由協(xié)議配置與調(diào)優(yōu)問題1：區(qū)域0為骨干區(qū)域，分支機構(gòu)為非骨干區(qū)域（區(qū)域1、2），避免路由環(huán)路；非骨干區(qū)域通過ABR（R1）與骨干區(qū)域互聯(lián)，減少區(qū)域內(nèi)路由更新量，提高收斂效率。問題2：R1配置：```ospf100routerid10.1.1.1area0.0.0.0network10.0.0.00.255.255.255area0.0.0.1network192.168.1.00.0.0.255area0.0.0.2network192.168.2.00.0.0.255```問題3：R1配置：```bgp65000routerid10.1.1.1peer202.100.1.6asnumber65001importrouteospf100```問題4：R1接口配置：```interfaceSerial0/0/1ospftimerhello10ospftimerdead40ospffastrerouteenable```四、網(wǎng)絡(luò)安全配置與防護問題1：FW1策略：```rulenameDeny_RD_Internetsourcezonetrustdestinationzoneuntrustsourceip10.10.1.0255.255.255.0actiondeny```問題2：S1配置：```aclnumber3000rule5denyudpsource10.20.1.00.0.0.255destinationportrange68816889rule10permitiptrafficclassifierP2Poperatororifmatchacl3000trafficbehaviorP2Pbandwidthlimitdown10240trafficpolicyP2PclassifierP2PbehaviorP2PinterfaceGigabitEthernet0/0/5trafficpolicyP2Pinbound```問題3：FW1配置：```rulenameAllow_SSH_Adminsourcezonetrustdestinationzonedmzsourceip10.1.1.10255.255.255.255destinationip10.30.1.0255.255.255.0servicesshactionpermit```問題4：選擇PAT（端口地址轉(zhuǎn)換），原因：公網(wǎng)地址僅5個，PAT通過端口復用可支持大量內(nèi)網(wǎng)終端同時訪問公網(wǎng)，節(jié)省IP資源。五、無線局域網(wǎng)規(guī)劃與配置問題1：DHCP服務(wù)器配置：```option43ascii"0x0f040a01010f"0x0f為AC標識，04為長度，0a01010f為AC地址10.1.1.15（十六進制）```問題2：AC配置：```wlanradiusserver10.1.1.20keyauthenticationpassphrasecipherradiuskeywlanssidprofilenameEnterprisessidEnterprisesecuritywpa3saepassphrasecipherenterprisekeywlanserviceprofilenameEnterprisessidprofileEnterpriseradiusserver10.1.1.20serviceenable```問題3：AC配置：```wlanssidprofilenameGuestssidGuestsecurityopenwlanserviceprofilenameGuestssidprofileGuestvlan400natenabletrafficlimitdown10240isolateuserenableserviceenable```問題4：選擇信道149（5.745GHz），原因：周邊2.4GHz網(wǎng)絡(luò)干擾主要集中在113信道，5GHz低頻段（3648）可能與其他企業(yè)重疊，高頻段149161干擾較少，適合覆蓋企業(yè)辦公區(qū)。六、廣域網(wǎng)與QoS配置問題1：MPLSVPN通過PE（運營商邊緣路由器）為CE（客戶邊緣路由器）分配標簽，流量在公網(wǎng)中通過標簽交換轉(zhuǎn)發(fā)，不同VPN的標簽隔離，保障私有網(wǎng)絡(luò)安全。問題2：R3配置：```interfaceDialer1linkprotocolppppppchapuserbran