2025年軟考中級(jí)網(wǎng)絡(luò)工程師歷年經(jīng)典練習(xí)題及解析1.（單選）在OSI七層模型中，負(fù)責(zé)路由選擇、擁塞控制與網(wǎng)絡(luò)互聯(lián)的是哪一層？A.數(shù)據(jù)鏈路層?B.網(wǎng)絡(luò)層?C.傳輸層?D.會(huì)話層答案：B解析：網(wǎng)絡(luò)層核心功能即通過路由協(xié)議實(shí)現(xiàn)邏輯尋址、路徑選擇與擁塞控制，典型協(xié)議有IP、OSPF、ICMP等。2.（單選）某企業(yè)采用私有地址段/12，現(xiàn)需劃分出容納600臺(tái)主機(jī)的子網(wǎng)，下列掩碼最合適的是A.?B.?C.?D.28答案：B解析：600臺(tái)主機(jī)需至少10位主機(jī)位（2^102=1022），故掩碼為/22，即；但選項(xiàng)A亦為/22，而題目要求“最合適”，需兼顧未來擴(kuò)展，B（/23）可容納510臺(tái)，接近600且地址浪費(fèi)最小，故選B。3.（單選）在IPv6地址中，用于表示“鏈路本地單播地址”的前綴為A.FE80::/10?B.FEC0::/10?C.FF00::/8?D.2000::/3答案：A解析：FE80::/10為鏈路本地地址固定前綴，僅在本地鏈路有效，用于鄰居發(fā)現(xiàn)、無狀態(tài)地址自動(dòng)配置等。4.（單選）STP協(xié)議中，交換機(jī)通過比較哪一參數(shù)選舉根橋？A.端口MAC地址?B.端口優(yōu)先級(jí)?C.橋ID?D.路徑開銷答案：C解析：橋ID=橋優(yōu)先級(jí)+MAC，數(shù)值最小者當(dāng)選根橋；端口優(yōu)先級(jí)與路徑開銷用于后續(xù)根端口、指定端口選舉。5.（單選）下列關(guān)于BGP路由屬性的描述，錯(cuò)誤的是A.Local_Pref用于AS內(nèi)部，值越大越優(yōu)先?B.MED在AS之間傳遞，值越小越優(yōu)先?C.Next_Hop在EBGP更新中會(huì)被修改?D.AS_Path屬性在IBGP鄰居之間傳遞時(shí)不再追加本AS號(hào)答案：D解析：AS_Path僅在EBGP傳遞時(shí)追加本AS號(hào)，IBGP不追加，但D選項(xiàng)表述“不再追加”易誤解為“被移除”，實(shí)際IBGP不追加也不移除，故D說法不嚴(yán)謹(jǐn)，為錯(cuò)誤項(xiàng)。6.（單選）某802.11nAP采用2×2MIMO，40MHz信道，ShortGI開啟，理論最大物理速率為A.150Mbps?B.300Mbps?C.450Mbps?D.600Mbps答案：B解析：?jiǎn)螚l空間流150Mbps，2×2即300Mbps；40MHz與ShortGI已計(jì)入。7.（單選）在SNMPv3安全級(jí)別中，既提供認(rèn)證又提供加密的是A.noAuthNoPriv?B.authNoPriv?C.authPriv?D.privNoAuth答案：C解析：authPriv采用HMACMD5/SHA認(rèn)證及CBCDES/AES加密，安全級(jí)別最高。8.（單選）下列命令中，可在華為VRP平臺(tái)查看當(dāng)前設(shè)備所有VRF實(shí)例的是A.displayiproutingtable?B.displayvrf?C.displayipvpninstance?D.displaybgpvpnv4all答案：C解析：displayipvpninstance可列出所有VRF名稱及RD、描述信息。9.（單選）在Linux系統(tǒng)中，將網(wǎng)卡eth1的MTU臨時(shí)修改為9000，應(yīng)使用A.echo9000>/sys/class/net/eth1/mtu?B.ifconfigeth1mtu9000?C.iplinkseteth1mtu9000?D.echo9000>/proc/net/dev答案：C解析：iproute2套件命令iplinkset為推薦方式，ifconfig已廢棄。10.（單選）下列關(guān)于SDNOpenFlow流表的匹配字段，不支持掩碼的是A.IPv4源地址?B.VLANPCP?C.TCP源端口?D.以太網(wǎng)類型答案：B解析：VLANPCP（3bit）字段在OpenFlowv1.3+中僅支持精確匹配，不支持掩碼；其余均可掩碼。11.（單選）在DNS資源記錄中，用于實(shí)現(xiàn)郵件服務(wù)器冗余與負(fù)載均衡的記錄類型是A.A?B.MX?C.SRV?D.PTR答案：B解析：MX記錄可設(shè)置相同優(yōu)先級(jí)的多條，實(shí)現(xiàn)冗余與負(fù)載均衡。12.（單選）某園區(qū)網(wǎng)運(yùn)行OSPFv3，路由器R1的接口GE0/0/1IPv6地址為2001:DB8::1/64，則該接口的OSPFv3鏈路本地地址為A.FE80::1?B.FE80::0201:DB8:0:0:1?C.由系統(tǒng)自動(dòng)生成，與全局地址無關(guān)?D.必須手動(dòng)配置答案：C解析：OSPFv3使用接口自動(dòng)生成的鏈路本地地址作為協(xié)議報(bào)文源，無需與全局地址關(guān)聯(lián)。13.（單選）在WindowsServer2019中，實(shí)現(xiàn)基于策略的QoS，若需限制某組用戶HTTP上傳速率，應(yīng)使用A.本地安全策略?B.組策略→QoS策略?C.WFAS?D.BITS策略答案：B解析：組策略→QoS策略可基于用戶/應(yīng)用/端口設(shè)置速率限制。14.（單選）下列關(guān)于IPv4選項(xiàng)字段的描述，正確的是A.所有選項(xiàng)長(zhǎng)度固定為4字節(jié)?B.路由器轉(zhuǎn)發(fā)時(shí)必須檢查所有選項(xiàng)?C.嚴(yán)格源路由選項(xiàng)要求路徑上每一跳IP必須嚴(yán)格匹配?D.記錄路由選項(xiàng)最多記錄9個(gè)IP地址答案：C解析：嚴(yán)格源路由（Type137）要求逐跳嚴(yán)格匹配；記錄路由最多9個(gè)IP，但選項(xiàng)D未說明“包括選項(xiàng)頭”，表述不完整；C最準(zhǔn)確。15.（單選）在MPLS網(wǎng)絡(luò)中，PHP（倒數(shù)第二跳彈出）機(jī)制的作用是A.減少出口LER標(biāo)簽查找次數(shù)?B.增加標(biāo)簽棧深度?C.防止標(biāo)簽泄露?D.實(shí)現(xiàn)負(fù)載均衡答案：A解析：PHP使倒數(shù)第二跳LSR彈出頂層標(biāo)簽，出口LER直接查FIB，提高效率。16.（單選）下列關(guān)于RAID10與RAID01區(qū)別的描述，正確的是A.RAID10先鏡像后條帶，容錯(cuò)能力更高?B.RAID01允許任意兩塊盤故障?C.RAID10最少需4塊盤，RAID01最少需3塊?D.二者在性能上無差異答案：A解析：RAID10先鏡像再條帶，單盤故障僅影響一個(gè)鏡像對(duì)；RAID01先條帶后鏡像，任一鏡像組全故障則數(shù)據(jù)丟失，容錯(cuò)低于RAID10。17.（單選）在Python腳本中使用Paramiko庫(kù)，通過SSH連接交換機(jī)并執(zhí)行displayversion，下列代碼片段正確的是A.ssh=paramiko.SSHClient();ssh.set_missing_host_key_policy(paramiko.AutoAddPolicy());ssh.connect("",username="admin",password="123")B.ssh=paramiko.Transport(("",22));ssh.connect(username="admin",password="123")C.ssh=paramiko.client.SSHClient();ssh.connect("",22,"admin","123")D.ssh=paramiko.SSHClient();ssh.load_system_host_keys();ssh.connect("",port=22,username="admin",password="123")答案：A解析：A為官方推薦用法，自動(dòng)接受主機(jī)密鑰，后續(xù)ssh.exec_command()即可。18.（單選）在Wireshark過濾器中，僅捕獲源地址為/24且TCP端口為80的流量，表達(dá)式為A.ip.src==/24andtcp.port==80?B.ip.src==/24andtcp.dstport==80?C.ip.src==/andtcp.port==80?D.srcnet/24andtcpport80答案：D解析：Wireshark捕獲過濾器使用伯克利包過濾（BPF）語(yǔ)法，D正確；顯示過濾器才用ip.src==格式。19.（單選）在華為防火墻USG6000系列中，實(shí)現(xiàn)基于用戶的帶寬策略，必須開啟A.用戶認(rèn)證策略?B.用戶組策略?C.用戶識(shí)別策略?D.用戶審計(jì)策略答案：C解析：用戶識(shí)別策略（與AD、LDAP、Portal等聯(lián)動(dòng)）是用戶帶寬策略前提。20.（單選）下列關(guān)于HTTP/2與HTTP/1.1差異的描述，錯(cuò)誤的是A.HTTP/2采用二進(jìn)制分幀?B.支持多路復(fù)用，一個(gè)TCP連接并發(fā)多個(gè)請(qǐng)求?C.頭部壓縮算法為HPACK?D.服務(wù)器推送資源需客戶端再次發(fā)起請(qǐng)求答案：D解析：服務(wù)器推送（ServerPush）由服務(wù)器主動(dòng)發(fā)送，無需客戶端再次請(qǐng)求。21.（多選）下列哪些技術(shù)可有效防止二層環(huán)路？A.STP?B.RRPP?C.SEP?D.LACP?E.G.8032答案：A、B、C、E解析：LACP為鏈路聚合控制協(xié)議，與環(huán)路無關(guān)；其余均為二層環(huán)網(wǎng)技術(shù)。22.（多選）在IPv6無狀態(tài)地址自動(dòng)配置過程中，主機(jī)需要完成A.發(fā)送RouterSolicitation?B.接收RouterAdvertisement?C.使用DHCPv6獲取DNS?D.進(jìn)行DAD檢測(cè)?E.發(fā)送NeighborSolicitation請(qǐng)求默認(rèn)網(wǎng)關(guān)MAC答案：A、B、D解析：無狀態(tài)過程不強(qiáng)制使用DHCPv6；E為后續(xù)鄰居發(fā)現(xiàn)，非地址配置階段必須。23.（多選）下列關(guān)于MPLSL3VPN路由交互的描述，正確的是A.CE與PE之間運(yùn)行EBGP時(shí)，CE收到路由的下一跳為PE接口地址?B.PE在VRF內(nèi)生成VPNv4路由時(shí)，RD值由RT決定?C.出口PE根據(jù)RT導(dǎo)入策略決定路由是否寫入VRF?D.標(biāo)簽分配采用MPBGP擴(kuò)展社區(qū)?E.私網(wǎng)標(biāo)簽由下游PE分配答案：A、C、E解析：RD由管理員手動(dòng)配置，與RT無關(guān)；標(biāo)簽分配使用MPBGP的LabelTLV，非擴(kuò)展社區(qū)。24.（多選）在Windows環(huán)境下，使用ipconfig/displaydns可觀察到A.本地緩存的A記錄?B.本地緩存的AAAA記錄?C.本地緩存的MX記錄?D.本地緩存的NS記錄?E.本地Hosts文件條目答案：A、B、C、D解析：/displaydns僅顯示DNS緩存，Hosts文件不經(jīng)過緩存，故不顯示。25.（多選）下列關(guān)于802.1X認(rèn)證過程的描述，正確的是A.端口初始狀態(tài)為未授權(quán)?B.EAPOLStart由客戶端主動(dòng)發(fā)送?C.交換機(jī)作為Authenticator?D.RADIUS服務(wù)器返回AccessChallenge攜帶EAPSuccess?E.認(rèn)證成功后端口狀態(tài)變?yōu)槭跈?quán)答案：A、B、C、E解析：AccessChallenge用于繼續(xù)認(rèn)證，EAPSuccess由AccessAccept攜帶。26.（多選）在Linux內(nèi)核參數(shù)中，與TCP擁塞控制相關(guān)的有A.net.ipv4.tcp_congestion_control?B.net.core.rmem_max?C.net.ipv4.tcp_slow_start_after_idle?D.net.ipv4.tcp_notsent_lowat?E.net.ipv4.tcp_timestamps答案：A、C、D解析：rmem_max為接收緩沖區(qū)上限，timestamps用于RTT測(cè)量，與擁塞算法無直接關(guān)聯(lián)。27.（多選）下列關(guān)于NAT64的描述，正確的是A.需配合DNS64實(shí)現(xiàn)IPv6單棧客戶端訪問IPv4服務(wù)器?B.將IPv6數(shù)據(jù)包翻譯為IPv4?C.使用WellKnown前綴64:FF9B::/96?D.支持單向會(huì)話?E.可嵌入傳統(tǒng)IPv4NAT44答案：A、B、C解析：NAT64為有狀態(tài)翻譯，支持雙向會(huì)話；D錯(cuò)誤。28.（多選）在華為交換機(jī)配置BPDU保護(hù)后，下列哪些情況會(huì)觸發(fā)端口ErrorDown？A.端口收到更優(yōu)BPDU?B.端口收到自身發(fā)出的BPDU?C.端口收到TCNBPDU?D.端口被配置為邊緣端口后收到BPDU?E.端口啟用Root保護(hù)后收到更優(yōu)BPDU答案：D解析：BPDU保護(hù)僅針對(duì)邊緣端口收到BPDU；Root保護(hù)觸發(fā)丟棄而非ErrorDown。29.（多選）下列關(guān)于LoRaWANClassA終端的描述，正確的是A.終端主動(dòng)發(fā)送數(shù)據(jù)后開啟兩個(gè)接收窗口?B.下行數(shù)據(jù)只能在接收窗口內(nèi)下發(fā)?C.功耗最低?D.支持服務(wù)器主動(dòng)實(shí)時(shí)下發(fā)?E.接收窗口固定使用SF12答案：A、B、C解析：ClassA為終端觸發(fā)，不支持實(shí)時(shí)下行；接收窗口SF可協(xié)商，非固定。30.（多選）在PythonScapy庫(kù)中，構(gòu)造并發(fā)送一個(gè)TCPSYN掃描的80端口，下列代碼正確的是A.sr1(IP(dst="")/TCP(dport=80,flags="S"))B.send(IP(dst="")/TCP(dport=80,flags="S"))C.sr(IP(dst="")/TCP(dport=80,flags="S"),timeout=1)D.srp(Ether()/IP(dst="")/TCP(dport=80,flags="S"))答案：A、C解析：sr1發(fā)送并等待1個(gè)應(yīng)答，sr發(fā)送并接收批量；send僅發(fā)送無接收；srp用于二層。31.（填空）在IPv4報(bào)文中，若HL字段值為5，則報(bào)文頭長(zhǎng)度為________字節(jié)。答案：20解析：HL單位4字節(jié)，5×4=20，無選項(xiàng)字段。32.（填空）在華為VRP中，將OSPF進(jìn)程1的RouterID手動(dòng)設(shè)置為，命令為________。答案：routerid解析：在OSPF視圖下直接配置。33.（填空）在Linux中，查看當(dāng)前系統(tǒng)所有TCP連接及其定時(shí)器信息，常使用命令________。答案：sstan解析：ss比netstat更快，tan顯示所有TCP連接數(shù)字地址。34.（填空）在DNSSEC中，用于驗(yàn)證資源記錄真實(shí)性的數(shù)字簽名記錄類型簡(jiǎn)稱為________。答案：RRSIG解析：RRSIG存儲(chǔ)資源記錄集的簽名。35.（填空）在802.11幀中，用于標(biāo)識(shí)一個(gè)MSDU經(jīng)過分片后序號(hào)的字段為________。答案：FragmentNumber解析：位于幀控制字段后4位。36.（填空）在BGP路徑屬性中，用于防止路由在AS間環(huán)路，類型代碼為________。答案：AS_Path解析：公認(rèn)必遵屬性，代碼2。37.（填空）在Python中，使用socket模塊創(chuàng)建TCP服務(wù)器，設(shè)置端口復(fù)用的選項(xiàng)名為________。答案：SO_REUSEADDR解析：setsockopt(socket.SOL_SOCKET,socket.SO_REUSEADDR,1)。38.（填空）在MPLS標(biāo)簽棧中，若標(biāo)簽值為________，表示為倒數(shù)第二層標(biāo)簽。答案：0解析：標(biāo)簽值0顯式空標(biāo)簽，用于PHP，非棧底。39.（填空）在Wireshark顯示過濾器中，表達(dá)式“tcp.analysis.retransmission”用于篩選________。答案：TCP重傳幀解析：Wireshark內(nèi)置TCP解析字段。40.（填空）在華為交換機(jī)中，查看當(dāng)前設(shè)備MAC地址表的命令為________。答案：displaymacaddress41.（判斷）在TCP三次握手過程中，若客戶端發(fā)送的SYN報(bào)文丟失，服務(wù)器將一直處于SYNRECV狀態(tài)。答案：錯(cuò)誤解析：服務(wù)器未收到SYN，不會(huì)進(jìn)入SYNRECV。42.（判斷）在IPv6中，擴(kuò)展頭部必須按順序出現(xiàn)，且每個(gè)擴(kuò)展頭長(zhǎng)度固定為8字節(jié)。答案：錯(cuò)誤解析：擴(kuò)展頭長(zhǎng)度可為8字節(jié)整數(shù)倍，且順序有推薦非強(qiáng)制。43.（判斷）在802.1Q幀中，TPID字段固定為0x8100。答案：正確44.（判斷）在Linux中，/proc/sys/net/ipv4/ip_forward值為1表示開啟路由轉(zhuǎn)發(fā)功能。答案：正確45.（判斷）在BGP中，Local_Pref屬性可在EBGP鄰居之間傳遞。答案：錯(cuò)誤解析：Local_Pref僅在本AS內(nèi)傳遞。46.（判斷）使用Traceroute時(shí)，每跳默認(rèn)發(fā)送3個(gè)探測(cè)包，且使用UDP高端口號(hào)。答案：正確解析：默認(rèn)3探針，Linux使用33434起端口。47.（判斷）在RAID5中，若兩塊盤同時(shí)故障，仍可通過校驗(yàn)恢復(fù)數(shù)據(jù)。答案：錯(cuò)誤解析：RAID5僅允許單盤故障。48.（判斷）在SNMP中，Trap報(bào)文使用UDP162端口。答案：正確49.（判斷）在HTTP響應(yīng)碼中，301表示永久重定向，搜索引擎會(huì)更新索引。答案：正確50.（判斷）在Wireshark中，捕獲過濾器與顯示過濾器語(yǔ)法完全相同。答案：錯(cuò)誤解析：捕獲使用BPF，顯示使用Wireshark自有語(yǔ)法。51.（綜合）某企業(yè)網(wǎng)絡(luò)拓?fù)淙缦拢汉诵慕粨Q機(jī)SW1、SW2運(yùn)行VRRP，虛擬IP54，SW1優(yōu)先級(jí)120，SW2優(yōu)先級(jí)100；SW1與SW2之間通過聚合口EthTrunk1互聯(lián)，成員接口為G0/0/23、G0/0/24；接入交換機(jī)SW3雙上行至SW1、SW2，運(yùn)行MSTP，實(shí)例1映射VLAN1020，實(shí)例2映射VLAN3040；SW1為實(shí)例0、1根橋，SW2為實(shí)例2根橋；現(xiàn)發(fā)現(xiàn)VLAN10用戶訪問外網(wǎng)出現(xiàn)間歇性丟包，排查發(fā)現(xiàn)SW3的G0/0/1（連接SW1）端口時(shí)而阻塞時(shí)而轉(zhuǎn)發(fā)。請(qǐng)回答：（1）導(dǎo)致該現(xiàn)象最可能的二層原因；（2）在不改變根橋角色的前提下，給出兩種優(yōu)化方案并說明原理；（3）若需實(shí)現(xiàn)SW1故障時(shí)VRRP切換時(shí)間小于1秒，寫出關(guān)鍵配置命令。答案與解析：（1）最可能原因：MSTP與VRRP未聯(lián)動(dòng)，導(dǎo)致SW3在實(shí)例1中阻塞G0/0/1，但VRRP主仍為SW1，流量被迫繞行較長(zhǎng)路徑，出現(xiàn)次優(yōu)與間歇阻塞。（2）方案一：調(diào)整SW3的G0/0/1端口Cost值，使其在實(shí)例1中優(yōu)先于G0/0/2，確保阻塞口出現(xiàn)在SW3→SW2鏈路，實(shí)現(xiàn)主備一致；方案二：?jiǎn)⒂酶Ｗo(hù)（stprootprotection）在SW1、SW2面向接入端口，防止非法根橋搶占，同時(shí)保持根角色不變。（3）關(guān)鍵配置：SW1/SW2接口下vrrpvrid1trackinterfaceGigabitEthernet0/0/1reduced30vrrpvrid1preemptmodetimerdelay0bfdvrrpvrid1enable通過BFDforVRRP實(shí)現(xiàn)毫秒級(jí)鏈路故障檢測(cè)，優(yōu)先級(jí)降低30，立即觸發(fā)切換，收斂時(shí)間<500ms。52.（綜合）某高校申請(qǐng)到IPv6前綴2001:DB8:CAFE::/48，需為7個(gè)學(xué)院+1個(gè)數(shù)據(jù)中心+1個(gè)互聯(lián)核心共9個(gè)區(qū)域分配，每個(gè)學(xué)院預(yù)計(jì)2000終端，數(shù)據(jù)中心500服務(wù)器，核心互聯(lián)僅需鏈路地址。要求：（1）給出合理劃分方案，列出每個(gè)區(qū)域前綴及前綴長(zhǎng)度；（2）若數(shù)據(jù)中心需對(duì)外提供Web服務(wù)，IPv6地址為2001:DB8:CAFE:80::100，寫出防火墻DNAT64+DNS64最小化配置思路（命令或步驟）；（3）說明如何在核心路由器上啟用RAGuard，防止非法RA。答案：（1）學(xué)院17：/52，每段可容納2^(6452)=4096子網(wǎng)，滿足2000終端；數(shù)據(jù)中心：/51，含2^(6451)=8192子網(wǎng)，滿足500服務(wù)器；核心互聯(lián)：/64，僅鏈路地址；具體：學(xué)院1：2001:DB8:CAFE:1000::/52學(xué)院2：2001:DB8:CAFE:2000::/52…學(xué)院7：2001:DB8:CAFE:7000::/52數(shù)據(jù)中心：2001:DB8:CAFE:8000::/51核心互聯(lián)：2001:DB8:CAFE:FF00::/64（2）配置思路：防火墻啟用NAT64，使用WellKnown前綴64:FF9B::/96，映射到IPv400；DNS64在DNS服務(wù)器上啟用，對(duì)AAAA查詢無結(jié)果時(shí)合成64:FF9B::00；防火墻策略：ipv6enable;nat64prefix64:FF9B::/96;nat64addressgroup100;rulenameweb64sourcezoneuntrustdestinationzonedm6destinationaddress2001:DB8:CAFE:80::100/128servicehttphttpsactionnat64addressgroup1。（3）核心路由器接口下ipv6ndraguardpolicyrgpdevicerolerouterinterfaceGigabitEthernet0/0/1ipv6ndraguardattachpolicyrgp信任上游接口，其余接入接口設(shè)為host角色，拒絕RA。53.（綜合）某ISP計(jì)劃部署B(yǎng)GPSRMPLS（SegmentRouting）實(shí)現(xiàn)流量工程，AS65001，核心ISIS進(jìn)程1，Loopback0為/32作為NodeSID。要求：（1）給出華為VRP下ISIS開啟SR的基礎(chǔ)配置；（2）配置BGPLU（LabelUnicast）反射器，將NodeSID通告給客戶端；（3）說明如何驗(yàn)證SRTE隧道建立成功，并抓取標(biāo)簽棧證明。答案：（1）isis1islevellevel2coststylewidesegmentroutingmplssegmentroutingglobalblock1600023999interfaceLoopBack0ipaddress55isisenable1isisprefixsidindex101（2）bgp65001routeridpeeras65001peerreflectclientaddressfamilylabeledunicastpeerenablepeeradvertisesid（3）驗(yàn)證：displaytunnelinfostatisticssrtedisplaymplsforwardingtable抓?。涸诤诵逆溌风R像，Wireshark顯示兩層標(biāo)簽，頂層16000+101=16101（NodeSID），底層為VPN標(biāo)簽，證明SRTE成功。54.（綜合）某金融公司需滿足等保2.0三級(jí)要求，對(duì)數(shù)據(jù)中心邊界進(jìn)行入侵檢測(cè)與防御，已知：互聯(lián)網(wǎng)出口帶寬2Gbps，平均并發(fā)連接8萬(wàn)，峰值12萬(wàn)；內(nèi)部業(yè)務(wù)區(qū)含Web、APP、DB三層，均采用IPv4私網(wǎng)地址；要求IPS在線部署，誤報(bào)率<1%，阻斷率>95%，日志留存6個(gè)月；預(yù)算有限，需復(fù)用現(xiàn)有華為CE12800核心交換機(jī)。請(qǐng)給出：（1）IPS部署模式與流量引導(dǎo)方案（含拓?fù)洳輬D描述）；（2）性能指標(biāo)換算與型號(hào)建議（吞吐量、并發(fā)、新建連接）；（3）日志集中存儲(chǔ)方案，滿足6個(gè)月、每天500GB原始日志，壓縮比3:1；（4）等保要求的三權(quán)分立配置思路。答案：（1）采用交換機(jī)鏡像+InlineIPS透明橋接，核心CE12800配置ERSPAN將互聯(lián)網(wǎng)流量鏡像至IPS，同時(shí)IPS串聯(lián)在防火墻與核心之間，形成“防火墻←→IPS←→核心”在線阻斷，雙機(jī)熱備VRRPbypass。（2）峰值2Gbps×1.5=3Gbps，選華為NIP665