2025上半年高級(jí)軟件水平考試《網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)師(案例分析)》練習(xí)題及答案一、網(wǎng)絡(luò)需求分析與拓?fù)湓O(shè)計(jì)【試題1】閱讀下列說(shuō)明，回答問(wèn)題1至問(wèn)題4，將解答填入答題紙的對(duì)應(yīng)欄內(nèi)?！菊f(shuō)明】某省級(jí)“政務(wù)云”二期工程計(jì)劃2025年6月上線，需同時(shí)承載省、市、縣三級(jí)共360個(gè)業(yè)務(wù)系統(tǒng)，峰值并發(fā)用戶18萬(wàn)，平均單用戶會(huì)話流量1.2Mbps，業(yè)務(wù)流量呈“早晚雙峰、午間小谷”特征，峰值系數(shù)取1.8。省中心已建有雙活數(shù)據(jù)中心（DC1、DC2），相距28km，裸光纖時(shí)延<0.3ms；12個(gè)地市各有一座同城容災(zāi)機(jī)房，通過(guò)兩條獨(dú)立OTN環(huán)網(wǎng)（環(huán)A、環(huán)B）接入省中心?？h級(jí)單位共108個(gè)，平均距離市中心38km，采用GPON/10GEPON混合接入?！締?wèn)題1】（6分）在不考慮壓縮、去重及TCP優(yōu)化前提下，計(jì)算省級(jí)橫向流量（省→省、省→市、市→市）的峰值帶寬需求，并給出計(jì)算過(guò)程。【問(wèn)題2】（6分）若省中心采用VXLANEVPN做跨DC大二層，控制面使用MPBGPEVPN，請(qǐng)給出RD、RT規(guī)劃示例（示例不少于4條），并說(shuō)明如何防止RT交叉導(dǎo)致路由泄露?！締?wèn)題3】（6分）縣級(jí)GPONOLT上聯(lián)口采用雙歸到市核心，啟用ERPS環(huán)，保護(hù)倒換時(shí)間要求<50ms。請(qǐng)畫出OLT→市核心→省核心的邏輯拓?fù)浜?jiǎn)圖，并標(biāo)注ERPS節(jié)點(diǎn)角色（RPLOwner、RPLNeighbor、Normal）?！締?wèn)題4】（7分）為保障視頻會(huì)議類業(yè)務(wù)（DSCP=AF41）在雙峰擁塞時(shí)仍保持<150ms端到端時(shí)延，省→市鏈路擬部署層次化QoS。請(qǐng)給出父策略、子策略的MQC配置片段（以華為CLI為例），并說(shuō)明如何在PE節(jié)點(diǎn)實(shí)現(xiàn)帶寬借用與隊(duì)列限速?！敬鸢浮俊締?wèn)題1】峰值并發(fā)用戶18萬(wàn)，單用戶1.2Mbps，峰值系數(shù)1.8，則橫向總峰值=180000×1.2×1.8=388800Mbps≈389Gbps按流量矩陣：省→省15%、省→市55%、市→市30%，省→省：389×0.15=58.35Gbps省→市：389×0.55=213.95Gbps市→市：389×0.30=116.7Gbps【問(wèn)題2】RD格式：DC1:32768:192.168.1.0；DC2:32769:192.168.1.0RT規(guī)劃：1.DC1Outbound:32768:1002.DC1Inbound:32768:2003.DC2Outbound:32769:1004.DC2Inbound:32769:200防止泄露：在RR上設(shè)置routepolicy，匹配RT32768:100時(shí)拒絕攜帶32769:200，反之亦然；同時(shí)啟用BGPASPATH過(guò)濾，不接受本地AS重復(fù)路由?！締?wèn)題3】（文字描述圖）縣級(jí)OLT—10GERPS環(huán)—市核心1—省核心1||RPLOwnerOLT—10GERPS環(huán)—市核心2—省核心2||RPLNeighborNormal節(jié)點(diǎn)：其余4個(gè)縣級(jí)OLT。RPL鏈路置于市核心1—市核心2之間，斷開(kāi)后50ms內(nèi)收斂。【問(wèn)題4】PE配置：trafficclassifierVIDEOmatchdscpaf41trafficbehaviorVIDEOqueueefwfqweight30carcir2gbpscbs250000pbs375000trafficpolicyCHILDclassifierVIDEObehaviorVIDEOtrafficpolicyPARENTqueuewfqweight40bandwidth8gbpschildpolicyCHILDinterface100GE1/0/1trafficpolicyPARENToutbound帶寬借用：父策略剩余60%帶寬可被AF41在突發(fā)時(shí)搶占；限速：子策略car采用雙令牌桶，保證2Gbps，峰值3Gbps，超過(guò)丟棄。二、IPv6演進(jìn)與地址規(guī)劃【試題2】閱讀下列說(shuō)明，回答問(wèn)題1至問(wèn)題3?！菊f(shuō)明】該省政務(wù)云要求2025年底IPv6流量占比≥70%?，F(xiàn)網(wǎng)IPv4地址采用10.0.0.0/8私網(wǎng)，計(jì)劃采用“雙棧+NAT64”過(guò)渡。省中心已申請(qǐng)到IPv6前綴240C:CC00::/32。【問(wèn)題1】（5分）將240C:CC00::/32按“省市縣業(yè)務(wù)”四級(jí)劃分，每級(jí)預(yù)留25%擴(kuò)展位，給出各級(jí)前綴長(zhǎng)度與可分配子網(wǎng)數(shù)?！締?wèn)題2】（6分）在DC1核心交換機(jī)（華為CE16800）配置SLAAC+DHCPv6有狀態(tài)混合部署，要求服務(wù)器類業(yè)務(wù)采用DHCPv6獲取固定地址，終端類采用SLAAC。給出關(guān)鍵配置片段，并說(shuō)明如何防止“IPv6地址欺騙”?！締?wèn)題3】（4分）某業(yè)務(wù)系統(tǒng)僅支持IPv4，需通過(guò)NAT64訪問(wèn)IPv6only互聯(lián)網(wǎng)DNS64。請(qǐng)給出NAT64前綴、DNS64前綴建議值，并計(jì)算在并發(fā)10萬(wàn)TCP會(huì)話、平均會(huì)話時(shí)長(zhǎng)180s時(shí)，NAT64板卡所需最小端口塊數(shù)量（假設(shè)端口塊大小1024）?！敬鸢浮俊締?wèn)題1】省：/32→/36，擴(kuò)展4位，可用16個(gè)市市：/36→/40，擴(kuò)展4位，可用16個(gè)區(qū)縣縣：/40→/44，擴(kuò)展4位，可用16個(gè)業(yè)務(wù)業(yè)務(wù)：/44→/56，12位，可用4096子網(wǎng)預(yù)留25%后，實(shí)際可分配子網(wǎng)：?。?6×0.75=12市市：16×0.75=12縣縣：16×0.75=12業(yè)務(wù)業(yè)務(wù)：4096×0.75=3072子網(wǎng)【問(wèn)題2】dhcpv6poolSERVERaddressprefix240C:CC00:1:8000::/65staticbindaddress240C:CC00:1:8000::100duid000100012B5E8A9C00E0FC123456interfaceVlan100ipv6enableipv6address240C:CC00:1::1/64ipv6ndautoconfigmanagedflagnoipv6ndautoconfigotherflagyesipv6dhcpv6serverSERVER防欺騙：?jiǎn)⒂肧AVI（SourceAddressValidationImprovement）功能，綁定ND表項(xiàng)與802.1X認(rèn)證結(jié)果，未知源地址丟棄?！締?wèn)題3】NAT64前綴：64:FF9B::/96DNS64前綴：64:FF9B::/96端口塊計(jì)算：總端口需求=100000×1=100000每塊1024端口，需塊數(shù)=100000/1024≈98塊考慮冗余20%，最小端口塊數(shù)量=118塊三、MPLSVPN跨域OptionC優(yōu)化【試題3】閱讀下列說(shuō)明，回答問(wèn)題1至問(wèn)題3?！菊f(shuō)明】該省政務(wù)云需與央企金融專網(wǎng)（AS65001）互通，采用跨域OptionC方案，省網(wǎng)AS64580，央企網(wǎng)AS65001，兩端各自部署RR，使用BGPLU（LabelUnicast）傳遞公網(wǎng)標(biāo)簽?！締?wèn)題1】（5分）給出省PE上BGPLU的地址族配置模板（CiscoIOSXR），并說(shuō)明為何需要在IGP中使能“mplsldpautoconfig”而非“segmentrouting”。【問(wèn)題2】（6分）當(dāng)央企側(cè)RR1反射BGPLU路由時(shí)，出現(xiàn)“BGPlabelmismatch”告警，經(jīng)抓包發(fā)現(xiàn)Label=3（隱式空標(biāo)簽）被錯(cuò)誤通告。請(qǐng)分析根因并給出修復(fù)步驟?！締?wèn)題3】（4分）若未來(lái)央企側(cè)擬升級(jí)SRv6，省側(cè)仍保留MPLS，需互通6PE。請(qǐng)給出6PE的PE配置關(guān)鍵段，并說(shuō)明如何防止“IPv6VPN標(biāo)簽泄露”到IPv4單播BGP。【答案】【問(wèn)題1】routerbgp64580addressfamilyipv4labeledunicastallocatelabelallretainroutetargetallneighbor10.0.0.2remoteas65001addressfamilyipv4labeledunicastroutepolicyPASSALLinroutepolicyPASSALLoutmplsldpautoconfig原因：央企側(cè)老舊設(shè)備僅支持LDP，不支持SR，故不能使用segmentrouting。【問(wèn)題2】根因：央企RR1在BGPLU地址族下未關(guān)閉“explicitnull”功能，導(dǎo)致向省側(cè)通告Label=3。修復(fù)：1.在RR1配置explicitnulldisable2.清BGP會(huì)話clearbgp10.0.0.1softin3.驗(yàn)證：showbgpipv4labeledunicast10.0.0.0/24，Label應(yīng)為非3值。【問(wèn)題3】6PE配置：routerbgp64580addressfamilyipv6neighbor2001:DB8::2remoteas65001sendlabelroutepolicyVPNv6OUTout防泄露：在VPNv6地址族下設(shè)置retainroutetargetall在IPv4單播地址族設(shè)置noneighbor2001:DB8::2activate確保IPv6VPN標(biāo)簽僅存在于VPNv6地址族，不會(huì)通過(guò)IPv4單播BGP泄露。四、數(shù)據(jù)中心SDN與云網(wǎng)協(xié)同【試題4】閱讀下列說(shuō)明，回答問(wèn)題1至問(wèn)題4?！菊f(shuō)明】政務(wù)云采用OpenStack+SDN（華為ACDCN）架構(gòu)，控制器集群3節(jié)點(diǎn)，版本V8R10，Underlay采用SpineLeaf，VXLANEVPNOverlay，Spine4臺(tái)CE16800，Leaf32臺(tái)CE6881，服務(wù)器雙歸接入MLAG?！締?wèn)題1】（5分）給出Leaf節(jié)點(diǎn)上MLAG雙歸接入服務(wù)器的STP模式選擇及原因，并寫出防止“MLAGsplitbrain”的優(yōu)先級(jí)配置。【問(wèn)題2】（6分】控制器與Leaf建立OpenFlow1.3通道，要求支持“微分段”安全組，請(qǐng)給出ACL模型（以JSON片段示例），并說(shuō)明如何防止“規(guī)則膨脹”導(dǎo)致TCAM溢出?！締?wèn)題3】（6分）某租戶創(chuàng)建VPCA，CIDR10.1.0.0/16，子網(wǎng)10.1.1.0/24，在ACDCN上啟用“分布式路由”，發(fā)現(xiàn)跨子網(wǎng)流量被引流至集中網(wǎng)關(guān)，時(shí)延超標(biāo)。請(qǐng)列出3種常見(jiàn)根因并給出排查命令。【問(wèn)題4】（3分】若SpineLeaf間采用400GDR4光模塊，光纖極性采用TypeB，請(qǐng)給出配線架跳線極性示意圖（文字描述即可），并說(shuō)明為何不能使用TypeA?！敬鸢浮俊締?wèn)題1】STP模式：MSTP，實(shí)例0優(yōu)先級(jí)Leaf1=4096，Leaf2=8192，保持相同regionname，防止環(huán)路。防splitbrain：mlagpriority150mlagrestoredelay120mlagpeerlinktrackinterface100GE1/0/49當(dāng)peerlinkdown時(shí)，優(yōu)先級(jí)低的一方自動(dòng)shutdown所有MLAG成員口?！締?wèn)題2】JSON片段：{"security_group_id":"sgweb","rules":[{"direction":"ingress","ethertype":"IPv4","protocol":"tcp","port_range":"8080","remote_ip":"0.0.0.0/0","action":"allow"}]}防膨脹：1.合并連續(xù)端口為range2.使用地址集對(duì)象（addressset）復(fù)用3.啟用TCAM壓縮（合并掩碼相同規(guī)則）命令：displaysystemtcamusageacl【問(wèn)題3】根因：1.子網(wǎng)未啟用“分布式網(wǎng)關(guān)”開(kāi)關(guān)2.VBDIF接口未下發(fā)至Leaf節(jié)點(diǎn)3.路由表未同步至VRF排查：1.displayevpnvpninstancebrief2.displaybgpevpnroutingtableinclusiveroute10.1.1.03.displayopenflowinstance1flow|include10.1.1.0【問(wèn)題4】TypeB極性：配線架A端Tx1→Rx2，Tx2→Rx1，交叉一次；TypeA直通，DR4多模MPO12接口需交叉極性才能確保Tx對(duì)Rx，故不能用TypeA。五、廣域網(wǎng)優(yōu)化與性能調(diào)優(yōu)【試題5】閱讀下列說(shuō)明，回答問(wèn)題1至問(wèn)題3。【說(shuō)明】省→市OTN鏈路采用100GDWDM，現(xiàn)網(wǎng)峰值利用率78%，突發(fā)時(shí)丟包>0.1%，已排查光功率正常，需部署WAN優(yōu)化。【問(wèn)題1】（5分】給出基于TCPBBR擁塞控制與FEC（前向糾錯(cuò)）的聯(lián)合調(diào)優(yōu)方案，并說(shuō)明如何量化評(píng)估“有效吞吐提升比”?！締?wèn)題2】（6分】在華為NE40路由器上部署HQoS，父節(jié)點(diǎn)Shaper80Gbps，子節(jié)點(diǎn)包含視頻會(huì)議（AF41）、數(shù)據(jù)庫(kù)同步（AF21）、辦公網(wǎng)頁(yè)（BE），權(quán)重分別為40%、30%、30%，請(qǐng)給出完整的QoS策略配置，并說(shuō)明如何防止“子節(jié)點(diǎn)超賣”。【問(wèn)題3】（4分】若采用iPerf3測(cè)試，窗口1MB、并行8流、時(shí)長(zhǎng)60s，測(cè)得平均吞吐92Gbps，理論帶寬100Gbps，請(qǐng)計(jì)算鏈路傳輸效率，并指出3種可能的優(yōu)化點(diǎn)?！敬鸢浮俊締?wèn)題1】方案：1.發(fā)送端啟用BBR2.在OTN邊緣盒部署RS(255,239)FEC，冗余度6.7%3.采用IPQAM調(diào)制自適應(yīng)評(píng)估：有效吞吐提升比=(BBR+FEC后吞吐–原吞吐)/原吞吐原吞吐=100×(1–0.1%)=99.9Gbps實(shí)測(cè)提升后=108Gbps提升比=(108–99.9)/99.9≈8.1%【問(wèn)題2】trafficclassifierVIDEOoperatororifmatchdscpaf41trafficclassifierDBoperatororifmatchdscpaf21trafficclassifierWEBifmatchdscpbetrafficbehaviorVIDEOqueuewfqweight40trafficbehaviorDBqueuewfqweight30trafficbehaviorWEBqueuewfqweight30trafficpolicyCHILDclassifierVIDEObehaviorVIDEOclassifierDBbehaviorDBclassifierWEBbehaviorWEBtrafficpolicyPARENTshaper80000childpolicyCHILDinterface100GE1/0/1trafficpolicyPARENToutbound防超賣：子節(jié)點(diǎn)總權(quán)重100%，父節(jié)點(diǎn)shaper80Gbps，子節(jié)點(diǎn)CIR總和≤80Gbps，配置子節(jié)點(diǎn)CIR=32G、24G、24G，無(wú)PIR，確保不超限。【問(wèn)題3】效率=92/100=92%優(yōu)化點(diǎn)：1.增大iPerf窗口至4MB2.啟用多路徑ECMP16流3.調(diào)優(yōu)BBR參數(shù)net.ipv4.tcp_bbr_drained_gain=0.85六、網(wǎng)絡(luò)安全與等保2.0合規(guī)【試題6】閱讀下列說(shuō)明，回答問(wèn)題1至問(wèn)題3。【說(shuō)明】政務(wù)云需通過(guò)等保2.0三級(jí)測(cè)評(píng)，測(cè)評(píng)機(jī)構(gòu)提出“南北向流量未做微隔離”“重要數(shù)據(jù)未分類加密”“安全運(yùn)維通道未多因子”三項(xiàng)整改?！締?wèn)題1】（5分】給出基于防火墻虛擬系統(tǒng)（VSYS）+安全組實(shí)現(xiàn)南北向微隔離的拓?fù)涫疽猓ㄎ淖置枋觯⒄f(shuō)明如何在邊界防火墻與租戶防火墻間避免“策略沖突”。【問(wèn)題2】（6分】對(duì)MySQL數(shù)據(jù)庫(kù)內(nèi)1TB敏感數(shù)據(jù)實(shí)施SM4加密，要求加密后存儲(chǔ)膨脹<5%，請(qǐng)給出“明文分組→CTR模式→壓縮”串聯(lián)方案，并計(jì)算理論膨脹率?！締?wèn)題3】（4分】運(yùn)維通道采用SSLVPN+短信OTP，需支持國(guó)密SM2證書，請(qǐng)給出OpenSSL生成SM2證書的關(guān)鍵命令，并說(shuō)明如何在Nginx1.25上啟用GMSSL套件。【答案】【問(wèn)題1】拓?fù)洌篒nternet—(南北向)—邊界墻VSYS0—(VRF)—核心交換—(Trunk)—租戶墻VSYS1—(東向西)—業(yè)務(wù)區(qū)防沖突：1.邊界墻僅允許0.0.0.0/0→80、443、222.租戶墻細(xì)化到10.1.1.0/24→10.1.2.0/2433063.在邊界墻設(shè)置“租戶策略優(yōu)先級(jí)高于默認(rèn)拒絕”，租戶墻設(shè)置“默認(rèn)拒絕”，兩級(jí)策略通過(guò)tag匹配，避免重復(fù)允許?！締?wèn)題2】方案：1.先使用LZ4壓縮，壓縮比約0.352.再對(duì)壓縮結(jié)果使用SM4CTR加密，IV16B，無(wú)填充3.存儲(chǔ)額外保存IV與MAC32B/4KB塊理論膨脹=(1–0.35)×1.05+32/4096≈0.6825=4.95%<5%【問(wèn)題3】命令：opensslecparamgenkeynameSM2outsm2.keyopensslreqnewx509sm3keysm2.keyoutsm2.crtdays3650Nginx配置：ssl_protocolsTLSv1.3;ssl_ciphersSM2WITHSM4SM3;ssl_certificate/etc/nginx/sm2.crt;ssl_certificate_key/etc/nginx/sm2.key;需編譯Nginx時(shí)加入–withopenssl=../gmssl七、網(wǎng)絡(luò)自動(dòng)化與DevOps實(shí)踐【試題7】閱讀下列說(shuō)明，回答問(wèn)題1至問(wèn)題3。【說(shuō)明】該省政務(wù)云網(wǎng)絡(luò)團(tuán)隊(duì)擬基于Ansible+GitLabCI實(shí)現(xiàn)“配置即代碼”，已建inventory含CE16800、NE40、ACDCN三類設(shè)備，共600節(jié)點(diǎn)?！締?wèn)題1】（5分】給出Ansible目錄結(jié)構(gòu)示例（treeL2），并說(shuō)明如何使用ansiblevault對(duì)SNMP團(tuán)體名加密，要求在CI中自動(dòng)解密?！締?wèn)題2】（6分】編寫一個(gè)YAMLPlaybook片段，實(shí)現(xiàn)“批量修改NTP服務(wù)器為10.10.10.10，若原配置為10.20.20.20則回滾”，要求使用jinja2模板判斷，并給出回滾機(jī)制?！締?wèn)題3】（4分】在GitLabCI中，如何設(shè)置“MR審批+流水線+自動(dòng)回滾”三階段，要求僅允許網(wǎng)絡(luò)組Maintainer審批，MR合并后自動(dòng)觸發(fā)Ansibleplaybook，若失敗則調(diào)用rollbackplaybook，并給出.gitlabci.yml關(guān)鍵段。【答案】【問(wèn)題1】目錄：inventories/prod/hostsplaybooks/ce16800.ymlroles/common/tasks/main.ymlgroup_vars/all/vault.yml加密：ansiblevaultencryptgroup_vars/all/vault.ymlCI解密：exportANSIBLE_VAULT_PASSWORD=$VAULT_PASSecho"$VAULT_PASS">.vault_passansibleplaybookiinventories/prodvaultpasswordfile=.vault_pa