2025年上半年網(wǎng)絡(luò)工程師案例分析練習(xí)題答案解析一、網(wǎng)絡(luò)規(guī)劃與設(shè)計(jì)【試題1】閱讀以下需求，回答問題1至問題4。某市政務(wù)云中心計(jì)劃新建一套跨區(qū)雙活數(shù)據(jù)中心，A區(qū)為主用，B區(qū)為災(zāi)備，兩區(qū)間距85km，裸光纖已鋪設(shè)完畢，要求RPO≤15min、RTO≤30min。業(yè)務(wù)系統(tǒng)包含OracleRAC、VMwarevSphere、分布式存儲(chǔ)Ceph、統(tǒng)一身份認(rèn)證LDAP、互聯(lián)網(wǎng)出口流量清洗。A區(qū)現(xiàn)有核心交換機(jī)為H3CS12500XAF，B區(qū)為S12500XAF，版本均為Release7630。問題1（8分）畫出兩區(qū)三層邏輯拓?fù)洌篌w現(xiàn)：1.雙活數(shù)據(jù)庫流量路徑；2.存儲(chǔ)東西向流量與南北向流量分離；3.防火墻集群采用雙主模式；4.標(biāo)識(shí)出所有冗余鏈路及協(xié)議。答案與解析1.拓?fù)洳捎谩昂诵摹獏R聚—接入”三層Clos架構(gòu)。A、B區(qū)各部署一對(duì)S12500XAF作為核心，使用IRF2虛擬為一臺(tái)邏輯設(shè)備；匯聚層部署S6800系列，通過MLAG雙歸到核心；接入層為S5130系列。2.數(shù)據(jù)庫流量：OracleRAC節(jié)點(diǎn)跨區(qū)通過RDMAoverConvergedEthernet（RoCEv2）直達(dá)，走獨(dú)立VRF“ORA”，在核心層運(yùn)行OSPF100，通過BGPEVPNType2路由同步MAC，延遲<0.5ms。3.存儲(chǔ)流量：Cephpubliccluster走VRF“CEPHPUB”，clusterheartbeat走VRF“CEPHCLUSTER”，在核心層通過PFC（Priority3）保證無丟包；東西向流量經(jīng)核心交換直達(dá)，不經(jīng)過防火墻；南北向流量經(jīng)防火墻集群（H3CF5000A5，雙主，會(huì)話同步采用RBM）進(jìn)出互聯(lián)網(wǎng)。4.冗余鏈路：裸光纖采用DWDM40波，其中10波給存儲(chǔ)，10波給Oracle，4波給管理，剩余16波預(yù)留；每波道采用1+1MSP保護(hù)，切換時(shí)間<50ms；核心—匯聚鏈路為100G×4，跨區(qū)鏈路為100G×8，均運(yùn)行LACP，模式為dynamicon。問題2（6分）給出存儲(chǔ)雙活仲裁機(jī)制設(shè)計(jì)，防止“腦裂”。要求：1.仲裁站點(diǎn)選址；2.仲裁網(wǎng)絡(luò)鏈路質(zhì)量指標(biāo)；3.仲裁權(quán)重算法。答案與解析1.仲裁站點(diǎn)選在市電調(diào)大樓C區(qū)，距A區(qū)28km、B區(qū)62km，形成“2+1”三角形，避免雙活站點(diǎn)同時(shí)掉電。2.鏈路質(zhì)量：裸光纖延遲≤0.3ms，抖動(dòng)≤0.05ms，丟包率≤107；部署B(yǎng)FDforOSPF，檢測間隔300ms×3，確保3s內(nèi)感知鏈路故障。3.權(quán)重算法：總票數(shù)=5，A區(qū)持2票，B區(qū)持2票，C區(qū)仲裁器持1票；當(dāng)任一站點(diǎn)與仲裁器失聯(lián)且剩余站點(diǎn)≥2票時(shí)，繼續(xù)提供服務(wù)；若A區(qū)與B區(qū)間鏈路中斷，但A區(qū)與仲裁器正常，則A區(qū)獲得3票（2+1），繼續(xù)接管；若A區(qū)與仲裁器同時(shí)故障，則B區(qū)僅2票<3票，自動(dòng)降級(jí)為只讀，防止腦裂。問題3（5分）給出跨區(qū)二層擴(kuò)展方案，要求廣播域直徑≤2km（邏輯意義），并說明如何抑制未知單播泛洪。答案與解析采用BGPEVPN+VXLAN方案：1.核心交換機(jī)作為VTEP，NVE接口綁定Loopback1，通過BGPEVPNType3路由傳遞VNI3000的IMET；2.控制平面采用IngressReplication，頭端復(fù)制列表僅包含對(duì)端VTEP，抑制未知單播；3.數(shù)據(jù)平面開啟UUF（UnknownUnicastFlood）抑制，未知單播首次泛洪后，在本地MAC表中建立“靜默”表項(xiàng)，老化時(shí)間300s；4.廣播域直徑通過設(shè)置EVPN的SplitHorizon與ProxyARP，將ARP請(qǐng)求轉(zhuǎn)發(fā)限制在VTEP之間，邏輯直徑為VTEP跳數(shù)1，滿足≤2km等效要求。問題4（6分）給出互聯(lián)網(wǎng)出口DDoS清洗方案，要求：1.清洗能力≥200Gbps；2.正常流量時(shí)延增加≤2ms；3.支持IPv4/IPv6雙棧；4.說明引流方式及回注方式。答案與解析1.清洗中心采用“近源清洗”架構(gòu)，在運(yùn)營商IDC機(jī)房部署清洗集群，共計(jì)4臺(tái)設(shè)備，每臺(tái)支持3.2Tbps背板，集群后清洗能力800Gbps，冗余比N+1，滿足≥200Gbps。2.引流：采用BGPFlowspec，RTBH（RemoteTriggeredBlackHole）作為保底；當(dāng)檢測到攻擊流量>10Gbps持續(xù)60s，政務(wù)云中心通過BGPFlowspec向運(yùn)營商發(fā)送規(guī)則：目的前綴+端口+協(xié)議，下一跳指向清洗中心；清洗完成后，通過GRE隧道回注至政務(wù)云防火墻集群外網(wǎng)口，隧道端點(diǎn)部署在防火墻上游，避免防火墻成為瓶頸。3.雙棧：清洗設(shè)備采用可編程芯片，支持IPv6SegmentRouting，對(duì)IPv6攻擊流量進(jìn)行采樣，采樣比1:2048，確保CPU不超載。4.時(shí)延：清洗中心距政務(wù)云僅一跳，光纖延遲0.18ms，清洗設(shè)備內(nèi)部處理延遲0.5ms，回注隧道封裝延遲0.3ms，總增加≤0.98ms，滿足≤2ms。二、路由與交換【試題2】某高校新建校區(qū)采用SpineLeaf架構(gòu)，Spine節(jié)點(diǎn)4臺(tái)，Leaf節(jié)點(diǎn)32臺(tái)，每Leaf下聯(lián)48×25G服務(wù)器，上行4×100G。規(guī)劃內(nèi)部AS65001，與總部AS65000通過EBGP對(duì)接，使用私有AS65001在內(nèi)部傳遞，總部要求匯總發(fā)布/16。問題1（4分）給出BGP路由反射器部署方案，要求：1.反射器故障收斂時(shí)間≤5s；2.反射器自身不轉(zhuǎn)發(fā)數(shù)據(jù)流量；3.說明ClusterID規(guī)劃。答案與解析1.選Leaf1、Leaf2作為路由反射器，配置routereflectorclient，其余Leaf為客戶端；2.反射器與客戶端建立BGP時(shí)，使用nexthopself，并設(shè)置BGPHoldtime9s，Keepalive3s，配合BFD900ms×3，收斂時(shí)間≤3s；3.反射器接口關(guān)閉IPv4單播路由功能（noiprouting），僅保留BGP與OSPFunnumbered接口，確保不轉(zhuǎn)發(fā)數(shù)據(jù)；4.ClusterID：Leaf1為，Leaf2為，避免相同ClusterID導(dǎo)致路由丟棄；5.反射器之間建立IBGP全互聯(lián)，并互相設(shè)置為非客戶端，確保冗余。問題2（5分）給出IPv6地址規(guī)劃，要求：1.服務(wù)器采用/64子網(wǎng)，支持無狀態(tài)地址分配；2.禁止服務(wù)器直接訪問互聯(lián)網(wǎng)；3.支持精準(zhǔn)溯源（到單臺(tái)服務(wù)器）。答案與解析1.地址塊：2001:DB8:117::/48，按Leaf編號(hào)劃分子網(wǎng)：Leafn分配2001:DB8:117:n::/64，n=1…32；2.無狀態(tài)地址分配：在LeafSVI接口開啟IPv6ndmanagedconfigflag關(guān)閉，otherconfigflag開啟，DHCPv6僅下發(fā)DNS與域名，不分配地址；3.服務(wù)器禁止訪問互聯(lián)網(wǎng)：在Spine層部署ACL，拒絕源地址為2001:DB8:117::/48、目的地址為::/0的流量；4.溯源：Leaf交換機(jī)開啟NDSnooping，記錄IPv6地址與MAC、接口、VLAN、時(shí)間戳，通過Telemetry每30s上報(bào)至校園網(wǎng)溯源平臺(tái)；5.平臺(tái)采用Elasticsearch存儲(chǔ)，索引字段包含IPv6、MAC、接口、時(shí)間，支持Kibana在5s內(nèi)定位到單臺(tái)服務(wù)器。問題3（5分）給出RoCEv2無損網(wǎng)絡(luò)配置，要求：1.全局無丟包；2.隊(duì)列調(diào)度采用DWRR；3.說明PFC與ECN門限。答案與解析1.在Leaf接口下開啟priorityflowcontrolmodeon，優(yōu)先級(jí)3（RoCEv2）啟用PFC；2.設(shè)置PFC門限：緩沖池為cellbased，xoff30KB，xon10KB，hysteresis20KB；3.ECN：優(yōu)先級(jí)3開啟ecn，門限下限50KB，上限150KB，標(biāo)記概率100%；4.隊(duì)列調(diào)度：4個(gè)隊(duì)列，0Background、1BestEffort、3RoCEv2、7NetworkControl；DWRR權(quán)重：隊(duì)列0=10，隊(duì)列1=30，隊(duì)列3=50，隊(duì)列7=10；5.結(jié)果：通過RDMA流量測試，64KBMTU下吞吐線速，無丟包，時(shí)延抖動(dòng)<1μs。三、網(wǎng)絡(luò)安全【試題3】某金融公司計(jì)劃將生產(chǎn)網(wǎng)、辦公網(wǎng)、開發(fā)網(wǎng)三網(wǎng)合一，通過SDN實(shí)現(xiàn)微隔離?，F(xiàn)有VMwarevSphere7.0、NSXT3.2、ArkSightSIEM。問題1（6分）給出NSXT分布式防火墻策略模型，要求：1.基于AD組動(dòng)態(tài)綁定；2.策略變更窗口≤30s；3.支持橫向移動(dòng)檢測。答案與解析1.在NSXTManager創(chuàng)建AD目錄同步，周期5min，拉取OU=Finance、OU=Dev、OU=Office；2.創(chuàng)建安全組SGFinance、SGDev、SGOffice，成員條件為ADGroup等于對(duì)應(yīng)OU；3.策略層級(jí)：Emergency>Environment>Application>Tier；默認(rèn)拒絕，Environment層允許SGFinance訪問DBFinance1521，SGDev拒絕訪問生產(chǎn)DB；4.策略發(fā)布采用NSXT3.2的“PolicyAPIOptimized”模式，控制器下發(fā)延遲實(shí)測18s；5.橫向移動(dòng)檢測：NSXT與ArkSight集成，通過Syslog發(fā)送分布式防火墻日志，ArkSight規(guī)則“同一源IP在5min內(nèi)訪問>3個(gè)不同AD組”觸發(fā)告警，聯(lián)動(dòng)vCenter關(guān)閉VM網(wǎng)卡。問題2（5分）給出TLS1.3流量可視化方案，要求：1.不解密前提下識(shí)別應(yīng)用；2.支持加密參數(shù)指紋；3.誤報(bào)率<5%。答案與解析1.在核心交換通過ERSPAN將流量鏡像到Probe，Probe采用JA3/JA3S指紋；2.對(duì)ClientHello提取CipherSuites、Extensions、EllipticCurves，生成JA3；3.對(duì)ServerHello生成JA3S；4.建立機(jī)器學(xué)習(xí)模型，特征維度200，訓(xùn)練集10萬條，采用RandomForest，交叉驗(yàn)證誤報(bào)率3.2%；5.模型輸出標(biāo)簽：支付寶、微信、網(wǎng)銀、GitHub等，供SOC可視化。問題3（4分）給出零信任遠(yuǎn)程辦公方案，要求：1.支持國密SM2證書；2.終端環(huán)境動(dòng)態(tài)評(píng)分<60分時(shí)自動(dòng)降權(quán)；3.說明控制面與數(shù)據(jù)面分離機(jī)制。答案與解析1.部署國密零信任網(wǎng)關(guān)，采用海光CPU+麒麟OS，內(nèi)置SM2加速指令；2.終端安裝零信任Agent，采集進(jìn)程、補(bǔ)丁、殺毒軟件狀態(tài)，評(píng)分算法：基礎(chǔ)分100，無補(bǔ)丁20，殺毒關(guān)閉30，進(jìn)程黑名單50；3.評(píng)分<60時(shí)，控制面（基于Istio）下發(fā)CRD“AccessPolicy”將用戶加入隔離組，僅允許訪問補(bǔ)丁服務(wù)器；4.數(shù)據(jù)面采用KernelBypass的DPDK轉(zhuǎn)發(fā)，與控制面通過gRPC通道，通道采用SM2證書雙向認(rèn)證，確保分離。四、IPv6與地址管理【試題4】某運(yùn)營商在城域網(wǎng)部署IPv6單棧，采用MAPT技術(shù)實(shí)現(xiàn)IPv4aaS，用戶側(cè)為IPv6only，CPE為OpenWrt。問題1（5分）給出MAPT域參數(shù)，要求：1.每個(gè)用戶分配/56；2.支持端口段為8192；3.計(jì)算RuleIPv4前綴長度。答案與解析1.端口段8192=213，每個(gè)IPv4地址可共享28=256個(gè)用戶；2.地址池：IPv4為/10，共222地址；3.每地址支持256用戶，則總用戶=222×256=228；4.每個(gè)用戶/56，共需228×256=236前綴，小于/32地址塊，滿足；5.RuleIPv4前綴長度=32log2(256)=24，即/24。問題2（4分）給出CPEOpenWrt配置片段，要求：1.啟用MAPT；2.支持PD自動(dòng)獲?。?.說明mtu設(shè)置。答案與解析```configinterface'wan'optionproto'dhcpv6'optionreqprefix'56'optionmtu'1480'configinterface'map'optionproto'map'optionlegacymap'0'optionmtu'1480'optionmaptype'mapt'optionipv4prefix''optionipv4prefixlen'24'optionipv6prefix'240e::/32'optionea_len'16'optionpsidlen'13'optionoffset'6'```MTU=1480，避免IPv4overIPv6再封裝導(dǎo)致超過1500。問題3（3分）給出MAPT日志溯源方案，要求：1.支持用戶IPv6地址與公網(wǎng)IPv4+端口映射關(guān)系；2.日志保存≥180天；3.查詢響應(yīng)時(shí)間≤3s。答案與解析1.BRAS每分配一個(gè)MAPT實(shí)例，通過Syslog發(fā)送：timestamp、用戶IPv6/56、公網(wǎng)IPv4、PSID、端口段；2.日志存儲(chǔ)在ClickHouse，按日期分區(qū)，索引為IPv6、IPv4、PSID；3.查詢采用物化視圖，預(yù)聚合端口段，測試180天數(shù)據(jù)量2億條，查詢耗時(shí)1.2s。五、無線網(wǎng)絡(luò)【試題5】某三甲醫(yī)院新建ICU病區(qū)，要求WiFi6E無干擾，終端為醫(yī)療PDA，漫游丟包<0.1%，支持WPA3Enterprise，國密WAPI兼容。問題1（4分）給出信道規(guī)劃，要求：1.6GHz頻段；2.80MHz連續(xù)捆綁；3.同頻AP間距≥15m。答案與解析1.頻段：59256425MHz，可用信道：33、41、49、57、65、73、81、89、97；2.采用80MHz，則中心頻點(diǎn)：5450、5530、5610、5690、5770、5850、5930、6010；3.病區(qū)平面尺寸60m×40m，部署12AP，按蜂窩結(jié)構(gòu)，間隔15m；4.使用專業(yè)熱圖軟件Ekahau，模擬結(jié)果同頻C/I≥70dB，滿足。問題2（4分）給出漫游優(yōu)化，要求：1.利用802.11k/v/r；2.漫游時(shí)延<30ms；3.說明關(guān)鍵參數(shù)。答案與解析1.開啟802.11kNeighborReport，AP主動(dòng)發(fā)送鄰居列表，減少主動(dòng)掃描時(shí)間；2.802.11vBSSTransitionManagement，設(shè)置disassociationtimer=30TUs（30ms），強(qiáng)制終端在30ms內(nèi)切換；3.802.11rFastBSSTransition，密鑰提前分發(fā)，F(xiàn)Tovertheair，密鑰索引=2；4.實(shí)測PDA漫游時(shí)延22ms，丟包0.02%。問題3（3分）給出WAPI兼容方案，要求：1.證書格式SM2；2.認(rèn)證服務(wù)器支持EAPWAPI；3.說明雙向認(rèn)證流程。答案與解析1.AC配置WAPICA，根證書簽名算法SM3withSM2；2.終端PDA預(yù)置用戶證書，AS服務(wù)器部署WAPIAE，支持EAPWAPI；3.流程：a.PDA發(fā)送WAPIStart，攜帶用戶證書；b.AS驗(yàn)證后發(fā)送ASU證書；c.雙方完成SM2密鑰協(xié)商，生成基密鑰BK；d.4次握手完成，單播密鑰為128bitSM4。六、網(wǎng)絡(luò)運(yùn)維與自動(dòng)化【試題6】某云服務(wù)商擁有1000+路由器，采用SONiC+Nornir+Ansible，要求實(shí)現(xiàn)配置合規(guī)自動(dòng)巡檢。問題1（5分）給出AnsiblePlaybook片段，要求：1.檢查NTP配置是否為；2.檢查SNMPcommunity是否為private；3.不符合則自動(dòng)修復(fù)并發(fā)送Slack通知。答案與解析```name:NTPcompliancehosts:sonictasks:name:getntpconfigsonic_command:commands:showrunningconfiguration|includentpregister:ntpname:fixntpsonic_config:lines:ntpserverwhen:"''notinntp.stdout"name:checksnmpsonic_command:commands:showrunningconfiguration|includesnmpregister:snmpname:fixsnmpsonic_config:lines:nosnmpcommunityprivatesnmpcommunitypublicrowhen:"'private'insnmp.stdout"name:notifysla