2025年11月軟考中級網(wǎng)絡工程師應用題及答案1.閱讀以下需求，在答題紙上完成所有配置與計算，要求給出完整命令行、拓撲標注、地址規(guī)劃表、驗證截圖關鍵信息，字跡工整，禁止用“略”或“同上”代替。（本題50分）某中型制造企業(yè)準備將原有多出口網(wǎng)絡改造為“雙活+安全+IPv6”架構，總部與兩個分廠通過運營商MPLSVPN互通，互聯(lián)網(wǎng)出口采用雙ISP（ISP-A、ISP-B），內(nèi)部業(yè)務劃分為研發(fā)、生產(chǎn)、財務、監(jiān)控四個安全域，要求：①全網(wǎng)運行OSPFv3與MP-BGP，IPv4/IPv6雙棧；②生產(chǎn)網(wǎng)與財務網(wǎng)互訪需經(jīng)防火墻透明模式檢測；③雙出口做基于SLA的負載均衡，研發(fā)流量走ISP-A，監(jiān)控流量走ISP-B，其余按帶寬比例1:3分擔；④所有無線終端（采用WPA3-Enterprise，AES）由總部兩臺AC做雙機熱備，CAPWAP隧道走IPv4，用戶地址由總部集中分配IPv6前綴；⑤分廠1的IoT傳感器（IPv6Only）通過DHCP-PD向總部獲取/56前綴，分廠2的CCTV攝像機（IPv4Only）需通過總部NAT64訪問IPv6-only云存儲；⑥總部與分廠間互訪流量須加密，采用GREoverIPSec，IKEv2，AES-256-GCM，DH-group-20，SHA-384；⑦運維網(wǎng)（管理VLAN99）禁止訪問任何業(yè)務網(wǎng)段，但允許被SNMPv3輪詢，SNMP流量走專用VRF；⑧所有設備要求SSHv2登錄，AAA認證先TACACS+后Local，用戶名netops，密碼復雜度12位含大小寫數(shù)字特殊字符；⑨總部核心交換機做橫向虛擬化（H-VSU），兩臺物理設備虛擬為一臺，控制平面獨立，轉發(fā)平面合一，虛擬域編號1，優(yōu)先級150/120；⑩審計：記錄所有ACL拒絕日志，日志通過TLS1.3送到日志服務器2001:db8:9999::100/128，端口6514。提供的地址與AS信息：總部：2001:db8:cafe::/48，/16，AS65001；分廠1：2001:db8:dead::/48，/16，AS65002；分廠2：2001:db8:beef::/48，/16，AS65003；ISP-A：2001:db8:a::/48，/30，AS100；ISP-B：2001:db8:b::/48，/30，AS200；Loopback0統(tǒng)一使用/128與/32，用于Router-ID、BGP、IPSec、SNMP等；MPLSVPNRT65001:10065002:10065003:100，RD6500X:192.168.X.1?！締栴}】1.1畫出邏輯拓撲，標注所有三層接口地址、VRF、安全域、ACL方向、IPSec隧道編號、SLA探針路徑。1.2給出總部核心交換機H-VSU配置腳本，含虛擬域優(yōu)先級、雙主檢測、BFD鏈路、分裂后動作。1.3給出總部邊界路由器雙出口SLA配置，要求每5秒發(fā)1個ICMPv6探針，超時800ms，連續(xù)3次失敗即切換，給出track列表、路由圖、負載比例1:3的詳細命令。1.4給出防火墻透明模式策略，實現(xiàn)生產(chǎn)與財務互訪流量強制經(jīng)過IPS策略集“finance-ips”，記錄被丟棄的會話，要求策略命中計數(shù)器可查看。1.5給出分廠1IoTDHCP-PD配置，要求總部路由器作為DHCPv6服務器，分廠1路由器作為請求方，獲取/56后自動切分為/64分配給VLAN10~VLAN25，需包含排除地址、DUID、生命周期。1.6給出總部到分廠2的NAT64配置，要求靜態(tài)映射攝像頭管理口00:8080到2001:db8:beef::100:8080，動態(tài)映射使用2001:db8:beef:1::/96，支持FTP-ALG，給出驗證命令與抓包過濾表達式。1.7給出GREoverIPSec配置，總部側隧道口地址2001:db8:cafe:ffff::1/64，分廠1側2001:db8:cafe:ffff::2/64，要求使用虛擬隧道接口，IPSecProfile引用IKEv2模板，給出完整加密算法、PFS、DPD、SA生存時間。1.8給出AC雙機熱備配置，采用VRRP-E（擴展VRRPforIPv6），虛擬IP2001:db8:cafe:ac::1/64，優(yōu)先級120/100，搶占延遲5秒，CAPWAP心跳3秒，故障切換后AP無需重新注冊，給出AP上線完整debug輸出片段。1.9給出運維網(wǎng)ACL與VRF隔離方案，要求VLAN99僅能與日志服務器、SNMP服務器通信，禁止訪問任何RFC1918與IPv6ULA，給出ACL序號、命名、日志級別、VRF導出導入策略。1.10給出SSHv2與AAA配置，要求登錄前提示“AuthorizedOnly”，登錄失敗3次鎖定15分鐘，TACACS+密鑰“Tac@2025#”，local用戶名netops密碼1qY9g$VbNkq8rO9xM5wK2p，給出登錄成功與失敗日志樣例。2.綜合排錯（20分）某次割接后，分廠2用戶反饋無法打開IPv6-only云存儲“2001:db8:cloud::/48”，但總部可以。現(xiàn)場抓包發(fā)現(xiàn)分廠2路由器發(fā)出ICMPv6Type1Code5（AddressUnreachable）。2.1給出排錯思路清單（至少5步，含命令）。2.2定位到問題為總部邊界路由器未將NAT64前綴2001:db8:beef:1::/96發(fā)布進OSPFv3，給出修復命令與驗證輸出。2.3說明為何總部正常而分廠2異常，用路由表與轉發(fā)面解釋。2.4給出后續(xù)監(jiān)控方案：采用TelemetrygRPC每秒推送NAT64池使用率，閾值90%告警，推送路徑、YANG模型、采樣路徑、PromQL表達式。3.性能調(diào)優(yōu)（10分）總部核心交換機與AC間鏈路出現(xiàn)微突發(fā)丟包，接口統(tǒng)計顯示Inputdrop0.01%，但無Overrun。3.1給出緩存微突發(fā)分析步驟，含buffer-profile、microburst-detector、queue-depthhistogram命令。3.2給出調(diào)優(yōu)方案：將AC流量映射到隊列5，權重30%，緩存增加到200ms，給出MQC與buffer命令。3.3給出驗證命令，要求輸出顯示隊列5的TailDrop計數(shù)不再增長。4.安全加固（10分）滲透測試發(fā)現(xiàn)總部DNS服務器可被用于IPv6放大攻擊，放大因子約8倍。4.1給出流量特征：源端口53，目的端口隨機，payload大小64B，響應512B。4.2給出ACL防護方案，要求基于IPv6擴展頭過濾，限制同一/64源每秒20個DNS請求，超出丟棄并記錄。4.3給出DNS服務器自身加固：關閉遞歸，啟用RRL（ResponseRateLimit），給出BIND配置片段。4.4給出事后溯源：利用NetFlowv9記錄IPv6FlowLabel，匹配攻擊流Label=0xABCD，給出過濾命令與輸出。5.自動化運維（10分）需實現(xiàn)“一鍵封禁”：當IDS檢測到內(nèi)網(wǎng)主機發(fā)起SSH暴力破解，自動下發(fā)ACL封鎖該IPv6/641小時，并郵件通知。5.1給出AnsiblePlaybook：觸發(fā)條件、變量、調(diào)用RESTCONF接口、ACL命名、定時解封。5.2給出Python腳本：監(jiān)聽Kafkatopic“ids_alert”，解析JSON，提取攻擊源地址，調(diào)用AnsibleAPI，發(fā)送HTML郵件。5.3給出回退方案：如果ACL下發(fā)失敗，腳本自動重試3次，仍失敗則調(diào)用企業(yè)微信機器人告警?！鸢概c詳解———1.1邏輯拓撲（文字描述，考生需轉繪）總部核心兩臺SW1/SW2做H-VSU，虛擬為SW-Core；下聯(lián)服務器集群、AC1/AC2堆疊、防火墻透明橋、邊界路由器R1/R2；R1/R2分別接ISP-A/ISP-B；分廠1路由器R3、分廠2路由器R4通過MPLSVPN與R1/R2互通；IPSec隧道邏輯疊加在MPLS上；AC1/AC2與AP間CAPWAP走VLAN200；管理VLAN99獨立VRFMGMT；日志服務器接在核心交換機，位于VRFMGMT。1.2H-VSU配置（以SW1為例，SW2對稱）```switchvirtualdomain1dual-activedetectionbfddual-activebfdinterfaceGigabitEthernet1/0/48neighbordual-activeexcludeinterfaceVlan99rolepriority150!interfacerangeTenGigabitEthernet1/0/1-2switchportmodetrunkswitchporttrunkallowedvlan100-199,200-299,999channel-group1modeactive!interfacePort-channel1switchportmodetrunkswitchporttrunkallowedvlanadd99vsuport-member1!standby1priority150standby1preemptdelayminimum300```1.3雙出口SLA與負載```ipv6route2001:db8:a::/482001:db8:a:1::1track100ipv6route2001:db8:b::/482001:db8:b:1::1track200ipv6route::/02001:db8:a:1::110ipv6route::/02001:db8:b:1::130!track100ipsla100reachabilitydelaydown3up1!ipsla100icmp-echo2001:db8:a:1::1source-interfaceGigabitEthernet0/0/0threshold800frequency5!ipslaschedule100lifeforeverstart-timenow!ipv6access-listR&Dpermitipv62001:db8:cafe:10::/64anyroute-mapISP-Apermit10matchipv6addressR&Dsetipv6next-hop2001:db8:a:1::1!ipv6access-listCCTVpermitipv62001:db8:cafe:30::/64anyroute-mapISP-Bpermit10matchipv6addressCCTVsetipv6next-hop2001:db8:b:1::1```1.4防火墻透明模式```firewalltransparentbridge-group1interfaceGigabitEthernet0/0/0bridge-group1interfaceGigabitEthernet0/0/1bridge-group1!policy-maptypeinspectfinance-ipsclassclass-defaultipsfinance-ipsmodeinlinedroplog!access-listtransextendedpermitipaccess-listtransextendedpermitip!interfaceBVI1ipaddress5452!service-policyfinance-ipsinterfaceBVI1```1.5DHCP-PD總部：```ipv6dhcppooliot-pdprefix-delegation2001:db8:dead::/560003000100aabbccddlifetime36001800!interfaceGigabitEthernet0/0/1.10ipv6dhcpserveriot-pd```分廠1：```interfaceDialer1ipv6dhcpclientpdiot-prefix!ipv6localpoolvlan-pool2001:db8:dead:1000::/5664!interfaceVlan10ipv6addressprefix-from-poolvlan-pool0```1.6NAT64```nat64prefixstateless2001:db8:beef:1::/96nat64v4poolcamera0000nat64statictcp0080802001:db8:beef::1008080!interfaceGigabitEthernet0/0/0nat64enable!shownat64statisticstcpdump-iany"ip6anddsthost2001:db8:beef:1::10"```1.7GREoverIPSec```cryptoikev2proposalprop1encryptionaes-gcm-256prfsha384group20!cryptoikev2policypol1proposalprop1!cryptoipsecprofileprof1setikev2prop1setsecurity-associationlifetime3600!interfaceTunnel0ipv6address2001:db8:cafe:ffff::1/64tunnelsourcetunneldestinationtunnelprotectionipsecprofileprof1```1.8AC雙機熱備```vrrp-e1address-familyipv6virtual-ip2001:db8:cafe:ac::1priority120preemptdelay5track1interfaceGigabitEthernet0/0/0decrement30!capwapheartbeatinterval3capwapfailoverrestorenever```1.9運維網(wǎng)隔離```ipv6access-listmgmt-inseq10permitipv62001:db8:cafe:99::/64host2001:db8:9999::100ipv6access-listmgmt-inseq20permitipv62001:db8:cafe:99::/64host2001:db8:9999::101ipv6access-listmgmt-inseq30denyipv6anyanylog!vrfdefinitionMGMTrd65001:99route-targetexport65001:99route-targetimport65001:99!interfaceVlan99vrfforwardingMGMT```1.10SSH與AAA```aaanew-modelaaaauthenticationlogindefaultgrouptacacs+localaaaauthorizationexecdefaultgrouptacacs+localaaaaccountingcommands0defaultstart-stopgrouptacacs+!tacacsservert1addressipv62001:db8:9999::102key0Tac@2025#!ipsshversion2ipsshauthentication-retries3ipsshlockout900!bannerlogin^AuthorizedOnly^```2.1排錯思路①在分廠2路由器showipv6route2001:db8:cloud::/48②在總部邊界showbgpipv6unicast2001:db8:beef:1::/96③抓包看ICMPv6Code5源地址④檢查OSPFv3LSA是否攜帶NAT64前綴⑤檢查分廠2是否學到該前綴2.2修復```routerospfv31address-familyipv6unicastredistributenat64prefix2001:db8:beef:1::/96metric10metric-type1```驗證：showipv6ospfdatabaseprefix2001:db8:beef:1::/962.3解釋總部邊界路由器本地生成NAT64路由，內(nèi)核表命中；分廠2需通過OSPFv3學習，缺失則轉發(fā)面丟包。2.4Telemetry```sensor-groupnat64pathCisco-IOS-XE-nat-oper:nat/nat64/statisticspathCisco-IOS-XE-nat-oper:nat/nat64/pool/name!subscription1sensor-groupnat64sample-interval1000destinationgrpc2001:db8:9999::10057000!PromQL:nat64_pool_usage>90```3.1緩存分析```showplatformhardwareqfpactiveinfrastructureqdropmicroburst-detectorinterfaceTenGigabitEthernet1/0/5interval1000showbufferprofilequeue5histogram```3.2調(diào)優(yōu)```policy-mapqosclassac-trafficsetdscpefbandwidthpercent30queue-limit200ms!interfaceTenGigabitEthernet1/0/5service-policyoutputqos```3.3驗證```showpolicy-mapinterfaceTenGigabitEthernet1/0/5|iTailDrop```4.1流量特征源地址偽造，UDP，長度64B，響應512B，放大因子8。4.2ACL```ipv6access-listdns-ratepermitudpanyeq53any