2025年網(wǎng)絡(luò)工程師實務(wù)真題含答案考試時間：______分鐘總分：______分姓名：______一、假設(shè)一個企業(yè)需要構(gòu)建一個新的園區(qū)網(wǎng)絡(luò)，總部有兩個樓層，每個樓層有200個信息點，未來3年用戶數(shù)可能增長20%?？偛康椒种C構(gòu)的距離約為50公里，分支機構(gòu)有50個信息點。總部網(wǎng)絡(luò)需要部署一套NAT方案，并實現(xiàn)內(nèi)部網(wǎng)絡(luò)的Internet訪問。要求使用OSPF作為內(nèi)部路由協(xié)議，使用靜態(tài)路由指向NAT外網(wǎng)接口。分支機構(gòu)使用動態(tài)路由協(xié)議與總部互聯(lián)。請簡述該網(wǎng)絡(luò)的整體設(shè)計思路，包括網(wǎng)絡(luò)拓撲結(jié)構(gòu)建議、IP地址規(guī)劃原則、主要設(shè)備選型（至少提及路由器和交換機）、總部NAT方案設(shè)計、路由協(xié)議選擇及配置思路、總部與分支機構(gòu)互聯(lián)方案等。二、某公司網(wǎng)絡(luò)拓撲如下圖所示（此處無圖，請自行想象標(biāo)準三層交換式網(wǎng)絡(luò)結(jié)構(gòu)，核心層2臺路由器，匯聚層2臺交換機，接入層若干交換機），核心層使用OSPF路由協(xié)議，區(qū)域劃分如下：核心層設(shè)備屬于Area0，兩個匯聚交換機分別屬于Area1和Area2。所有交換機之間配置了Trunk鏈路。用戶報告從部門A（通過接入交換機S1連接）無法訪問服務(wù)器群（位于匯聚交換機S2下）。請根據(jù)提供的信息（無需配置命令），分析可能導(dǎo)致此問題的原因，并說明排查步驟。可能的故障點可以包括但不限于OSPF配置、VLAN配置、Trunk配置、IP地址配置等。三、配置一個VPN網(wǎng)關(guān)，用于實現(xiàn)公司A和公司B兩個分支機構(gòu)的安全互聯(lián)。公司A使用公網(wǎng)IP段/24，公司B使用公網(wǎng)IP段/24。要求兩個公司內(nèi)部網(wǎng)絡(luò)之間可以互相訪問，并且訪問流量需要經(jīng)過加密。請簡述VPN網(wǎng)關(guān)的部署方案，包括需要哪些設(shè)備（品牌可假設(shè)），需要配置哪些關(guān)鍵技術(shù)（如VPN類型選擇、IPSec參數(shù)配置、NAT穿越方法等），并說明兩端設(shè)備之間需要配置哪些關(guān)鍵參數(shù)才能建立VPN隧道。四、在一個配置了QoS的網(wǎng)絡(luò)環(huán)境中，發(fā)現(xiàn)語音流量在高峰時段經(jīng)常出現(xiàn)卡頓，而視頻流和網(wǎng)頁瀏覽正常。網(wǎng)絡(luò)管理員決定使用基于隊列的調(diào)度算法來優(yōu)先處理語音流量。請簡述該QoS策略的配置思路，包括需要識別語音流量的方法（如基于DSCP標(biāo)記、協(xié)議類型等）、QoS策略的應(yīng)用位置（如接口、VLAN）、隊列調(diào)度算法的選擇（如PQ、WFQ、CBWFQ）及其原理，以及如何設(shè)置優(yōu)先級和帶寬限制。五、某公司部署了無線網(wǎng)絡(luò)，用戶反映部分區(qū)域的無線信號不穩(wěn)定，連接速度慢。請列舉可能導(dǎo)致上述問題的原因，并說明相應(yīng)的排查和解決方法。原因可以涉及無線AP的覆蓋范圍、發(fā)射功率、信道選擇、干擾、客戶端設(shè)備、安全設(shè)置、AC配置等多個方面。六、某公司網(wǎng)絡(luò)遭受了一次病毒攻擊，導(dǎo)致部分服務(wù)器數(shù)據(jù)損壞，內(nèi)部網(wǎng)絡(luò)訪問緩慢。網(wǎng)絡(luò)管理員首先切斷了受感染服務(wù)器的網(wǎng)絡(luò)連接，并收集了網(wǎng)絡(luò)流量日志和服務(wù)器日志進行分析。請簡述分析日志時需要關(guān)注的關(guān)鍵信息，以及如何根據(jù)日志信息判斷病毒傳播路徑、影響范圍和攻擊來源。同時，簡述后續(xù)的清理和恢復(fù)措施，包括如何確保病毒不再傳播。七、設(shè)計一個小型企業(yè)（約50用戶）的網(wǎng)絡(luò)安全防護方案。要求包括：網(wǎng)絡(luò)區(qū)域劃分（至少劃分內(nèi)網(wǎng)、DMZ、外網(wǎng)），防火墻安全區(qū)域和安全策略配置原則（至少描述允許內(nèi)外網(wǎng)訪問DMZ的規(guī)則，允許DMZ訪問內(nèi)網(wǎng)的規(guī)則），部署入侵防御系統(tǒng)（IPS）的必要性和位置建議，以及部署防病毒網(wǎng)關(guān)的考慮。說明各組件如何協(xié)同工作以提供多層次的安全防護。八、公司網(wǎng)絡(luò)的核心交換機突然故障，導(dǎo)致整個網(wǎng)絡(luò)部分癱瘓。網(wǎng)絡(luò)管理員使用了備用交換機進行了替換，但發(fā)現(xiàn)網(wǎng)絡(luò)無法完全恢復(fù)到正常狀態(tài)。用戶報告某些部門無法訪問服務(wù)器，而其他部門網(wǎng)絡(luò)正常。請分析可能的原因，包括備用交換機的配置問題（如VLAN、Trunk、路由配置）、配置不一致問題、IP地址沖突、鏈路狀態(tài)問題等，并說明排查步驟。九、解釋什么是IPv6，與IPv4相比有哪些主要優(yōu)勢？在一個混合網(wǎng)絡(luò)環(huán)境（同時存在IPv4和IPv6設(shè)備）中，簡述實現(xiàn)IPv6部署的方法，包括隧道技術(shù)（如6to4、ISATAP）和翻譯技術(shù)（如NAT64、DNS64）的原理和適用場景。如果需要在網(wǎng)絡(luò)中啟用IPv6，需要在哪些設(shè)備上進行配置，以及需要注意哪些潛在問題（如雙棧配置、兼容性問題等）。十、某公司網(wǎng)絡(luò)使用Python腳本進行設(shè)備配置備份?，F(xiàn)有腳本功能是登錄到設(shè)備，獲取配置文件，保存到本地文件系統(tǒng)。請?zhí)岢鰧υ撃_本進行擴展的建議，使其能夠?qū)崿F(xiàn)以下功能：1)對備份的配置文件進行版本控制，自動重命名（如添加時間戳）；2)將配置文件上傳到公司內(nèi)部的NFS服務(wù)器；3)發(fā)送郵件通知管理員備份已完成，并附帶備份文件信息。請簡述實現(xiàn)這些功能的思路。試卷答案一、設(shè)計思路：1.拓撲結(jié)構(gòu)：總部采用核心-匯聚-接入三層架構(gòu)。分支機構(gòu)通過專線連接到總部匯聚層。可采用雙鏈路冗余連接分支機構(gòu)。2.IP地址規(guī)劃：采用私有IP地址段（如/8），設(shè)計VLSM進行子網(wǎng)劃分，預(yù)留足夠地址空間應(yīng)對未來增長?？偛績?nèi)部網(wǎng)段、分支機構(gòu)內(nèi)部網(wǎng)段、服務(wù)器網(wǎng)段、管理網(wǎng)段等分開規(guī)劃。NAT地址池規(guī)劃在公網(wǎng)出口路由器。3.設(shè)備選型：核心層選用高性能路由器（如思科CSR系列/華為AR系列），匯聚層選用支持三層交換的交換機（如思科3650/4960/華為S5700/S6700），接入層選用普通二層交換機。4.NAT方案：在總部公網(wǎng)出口路由器上配置NATOverload（PAT），將內(nèi)部私有IP地址轉(zhuǎn)換為公網(wǎng)IP地址訪問Internet。5.路由協(xié)議：總部內(nèi)部使用OSPF（或EIGRP）實現(xiàn)路由學(xué)習(xí)。分支機構(gòu)根據(jù)規(guī)模選擇OSPF或RIP與總部互聯(lián)?？偛績?nèi)部與分支機構(gòu)之間使用靜態(tài)路由指向?qū)Χ薔AT外網(wǎng)接口或動態(tài)路由協(xié)議（如OSPF）。6.互聯(lián)方案：總部與分支機構(gòu)之間可采用MPLSVPN或傳統(tǒng)的IPSecVPN實現(xiàn)安全互聯(lián)。二、可能原因及排查步驟：1.OSPF配置問題：*部門A所在接入交換機VLAN配置錯誤，或Trunk封裝/允許VLAN不匹配。*部門A所在接入交換機或匯聚S1的OSPF進程ID與核心不一致。*部門A所在網(wǎng)段的網(wǎng)絡(luò)宣告（NetworkStatement）在匯聚S1或核心上不存在或存在錯漏。*匯聚S1或核心OSPF區(qū)域間路由泄漏或缺失，導(dǎo)致無法到達部門A網(wǎng)段。*匯聚S2或核心OSPF存在路由匯總導(dǎo)致路由缺失。2.VLAN配置問題：部門A用戶或服務(wù)器所在的VLAN與預(yù)期接入的VLAN不匹配。3.Trunk配置問題：連接核心與匯聚、匯聚與接入的Trunk鏈路封裝類型（如dot1q）錯誤，或允許VLAN列表不包含相關(guān)VLAN。4.IP地址配置問題：部門A用戶設(shè)備IP地址/子網(wǎng)掩碼錯誤，或默認網(wǎng)關(guān)配置錯誤（指向S1或S2）。5.服務(wù)器問題：服務(wù)器IP配置正確，但服務(wù)本身（如Web/FTP）未運行或配置錯誤。排查步驟：1.驗證連通性：部門A用戶嘗試Ping部門A服務(wù)器IP，Ping匯聚S1接口IP，Ping匯聚S2接口IP，判斷問題范圍。2.檢查IP配置：確認部門A用戶、服務(wù)器、相關(guān)交換機接口IP地址、子網(wǎng)掩碼、默認網(wǎng)關(guān)配置正確。3.檢查VLAN和Trunk：在接入、匯聚、核心交換機上使用`showvlanbrief`,`showinterfacetrunk`命令檢查VLAN分配和Trunk配置。4.檢查OSPF：在相關(guān)設(shè)備上使用`showipospfneighbor`,`showipospfroute`命令檢查OSPF鄰居關(guān)系和路由表，確認部門A網(wǎng)段是否可達，檢查網(wǎng)絡(luò)宣告是否正確。5.檢查服務(wù)器狀態(tài)：確認服務(wù)器網(wǎng)絡(luò)服務(wù)運行正常。三、部署方案：1.設(shè)備：部署支持VPN功能的路由器或防火墻作為VPN網(wǎng)關(guān)（品牌可假設(shè)）。2.關(guān)鍵技術(shù)：*VPN類型：可選用IPSecVPN（基于隧道模式）。*IPSec參數(shù)：配置預(yù)共享密鑰（PSK）或證書認證。協(xié)商加密算法（如AES-256）和認證算法（如HMAC-SHA256）。*NAT穿越：使用NAT-Traversal（NAT-T）技術(shù)，允許在NAT設(shè)備后部署的VPN設(shè)備進行通信。3.關(guān)鍵配置參數(shù)（兩端）：*VPN接口配置：創(chuàng)建VPN接口（如tunnel接口），配置接口名稱、IP地址。*IPSec策略配置：定義IPSec變換集（TransformSet，包含加密和認證算法），創(chuàng)建IPSec策略（Policy），指定哪些流量進行加密，應(yīng)用方向（本地出向/對端入向），關(guān)聯(lián)變換集，配置PSK或指派證書。*本地/對端地址配置：在VPN策略中配置本地網(wǎng)絡(luò)地址和遠端網(wǎng)絡(luò)地址（公司B內(nèi)部網(wǎng)段）。*NAT配置：如果VPN網(wǎng)關(guān)位于NAT后，需要在NAT配置中聲明VPN隧道接口，使其在NAT轉(zhuǎn)換時保持源/目的IP地址不變（使用`ipnatinsidesourcelistXXXinterfaceTunnelX`或類似命令）。*路由配置：在兩端VPN網(wǎng)關(guān)上配置靜態(tài)路由或動態(tài)路由（如OSPF），將對方VPN網(wǎng)絡(luò)作為下一跳。四、配置思路：1.識別語音流量：使用DSCP標(biāo)記（如標(biāo)記為EF-ExpeditiousForwarding，DSCP值46）或基于協(xié)議類型（如RTP端口范圍）識別語音流量。2.QoS策略應(yīng)用位置：通常在核心層或匯聚層靠近出口/關(guān)鍵業(yè)務(wù)區(qū)域的接口上應(yīng)用QoS策略。3.隊列調(diào)度算法：選擇優(yōu)先級隊列（PQ）。*原理：PQ為高優(yōu)先級流量（語音）提供嚴格的帶寬保證和低延遲服務(wù)，先到先服務(wù)（FIFO）。*設(shè)置：創(chuàng)建一個或多個隊列，將識別出的語音流量放入高優(yōu)先級隊列，分配保證帶寬（GuaranteedBandwidth）或限制帶寬（CommittedInformationRate-CIR），設(shè)置最大帶寬（PeakInformationRate-PIR，可選）。4.優(yōu)先級和帶寬限制：在QoS策略中，為語音隊列設(shè)置較高的優(yōu)先級。限制語音隊列的最大帶寬，防止其搶占過多資源。5.分類與標(biāo)記：使用分類器（Classifier）識別語音流量，并將其標(biāo)記（Mark）為EF（或自定義優(yōu)先級值）。6.隊列調(diào)度配置：在接口上應(yīng)用隊列調(diào)度（QueueingProfile），指定使用PQ，并關(guān)聯(lián)分類器。五、可能原因及解決方法：1.覆蓋范圍不足：部署密度不夠，某些區(qū)域信號弱。*解決：增加AP數(shù)量，或選用高增益天線。2.發(fā)射功率過大/過小：頻繁切換，干擾嚴重或覆蓋范圍過大浪費資源。*解決：調(diào)整AP發(fā)射功率，進行實地勘測優(yōu)化。3.信道選擇不當(dāng)：鄰近AP使用相同信道導(dǎo)致同頻干擾。*解決：手動調(diào)整AP信道，優(yōu)先使用1,6,11或自動信道選擇功能。4.環(huán)境干擾：微波爐、無繩電話、藍牙設(shè)備等產(chǎn)生干擾。*解決：遠離干擾源，更換非干擾信道。5.物理連接問題：AP電源、網(wǎng)線故障。*解決：檢查并修復(fù)物理線路。6.客戶端問題：客戶端無線網(wǎng)卡驅(qū)動問題、功率設(shè)置不當(dāng)。*解決：更新驅(qū)動，調(diào)整客戶端無線網(wǎng)卡設(shè)置。7.安全設(shè)置過嚴：過于嚴格的漫游策略或加密方式。*解決：優(yōu)化漫游參數(shù)（如減少關(guān)聯(lián)超時），選擇合適的加密方式（如WPA2/WPA3）。8.AC配置問題（如果使用AC）：AC與AP通信異常。*解決：檢查AC配置，AP固件版本。六、分析日志關(guān)注點及措施：1.關(guān)注點：*異常流量模式：檢查是否有大量突發(fā)的、特征性的攻擊流量（如掃描、洪泛）。*日志來源：分析服務(wù)器、防火墻、IPS、交換機等設(shè)備的日志，確定攻擊源頭和傳播路徑。*受影響對象：確定哪些服務(wù)器、用戶或服務(wù)被攻擊。*惡意行為特征：查看是否有異常進程創(chuàng)建、文件修改、用戶權(quán)限提升等記錄。2.判斷路徑與來源：*反向追蹤：從受影響服務(wù)器日志出發(fā)，結(jié)合防火墻/路由器日志，逐級向上追蹤攻擊來源IP。*流量分析：使用NetFlow/sFlow等分析工具，查看攻擊時間、源/目的IP、端口、協(xié)議，識別攻擊特征。3.清理和恢復(fù)措施：*隔離：立即將受感染主機從網(wǎng)絡(luò)中隔離，阻止病毒進一步傳播。*分析：收集病毒樣本，分析其行為、傳播方式和清除方法。*清除：使用殺毒軟件或?qū)Ｓ霉ぞ咔宄《?，修?fù)被修改的系統(tǒng)文件。*驗證：確認病毒已清除，系統(tǒng)恢復(fù)穩(wěn)定。*補?。簷z查并修復(fù)導(dǎo)致病毒入侵的系統(tǒng)漏洞。*加固：加強安全策略，如禁用不必要的端口、加強用戶認證、啟用防火墻和IPS。七、安全防護方案：1.網(wǎng)絡(luò)區(qū)域劃分：劃分內(nèi)網(wǎng)（生產(chǎn)區(qū)）、DMZ（服務(wù)器區(qū)，如Web、郵件服務(wù)器）、外網(wǎng)（管理區(qū)/Internet）。2.防火墻策略：*內(nèi)網(wǎng)->DMZ：允許內(nèi)網(wǎng)訪問DMZ的HTTP/HTTPS、DNS等業(yè)務(wù)端口，拒絕雙向其他訪問。*DMZ->內(nèi)網(wǎng)：允許DMZ訪問內(nèi)網(wǎng)的特定業(yè)務(wù)端口，拒絕雙向其他訪問。*外網(wǎng)->DMZ：允許外網(wǎng)訪問DMZ的Web/郵件服務(wù)等公開服務(wù)端口。*外網(wǎng)->內(nèi)網(wǎng)：拒絕所有訪問，除非通過特定的NAT或應(yīng)用代理。3.IPS部署：在防火墻之后或DMZ區(qū)域邊界部署IPS，監(jiān)控進出DMZ和內(nèi)網(wǎng)的流量，檢測并阻止惡意攻擊和異常行為。4.防病毒網(wǎng)關(guān)：在郵件服務(wù)器入口或內(nèi)部關(guān)鍵服務(wù)器前部署防病毒網(wǎng)關(guān)，掃描進出郵件流量和傳入文件。5.協(xié)同工作：防火墻提供訪問控制基礎(chǔ)屏障，IPS檢測實時威脅，防病毒網(wǎng)關(guān)聚焦郵件病毒，形成縱深防御體系。八、可能原因及排查步驟：1.備用交換機配置問題：*VLAN配置錯誤：VLANID、名稱、端口劃分與原交換機不一致。*Trunk配置錯誤：Trunk封裝、允許VLAN列表與連接的上游設(shè)備（核心或匯聚）不匹配。*三層路由配置錯誤（如果涉及）：接口IP、IP地址池、路由協(xié)議配置（如OSPF進程ID、區(qū)域、宣告）錯誤。2.配置不一致：核心交換機配置（如VLAN、路由表、Trunk）在更換后未同步到備用核心或相關(guān)匯聚/接入設(shè)備。3.IP地址沖突：備用交換機接口IP或服務(wù)器IP與網(wǎng)絡(luò)中其他設(shè)備沖突。4.鏈路狀態(tài)問題：備用交換機到核心/匯聚/用戶區(qū)的鏈路物理故障或配置不當(dāng)（如鏈路聚合未配置或配置錯誤）。5.排查步驟：*檢查物理連接：確認所有鏈路（電源、網(wǎng)線）連接正常。*檢查備用交換機基礎(chǔ)配置：驗證IP地址、VLAN、Trunk配置是否正確。*檢查核心/匯聚配置：確認與備用交換機連接的端口配置（VLAN、Trunk、IP）是否正確，核心路由表是否包含備用交換機網(wǎng)段。*檢查路由可達性：從核心/備用核心嘗試Ping不可達部門用戶或服務(wù)器的網(wǎng)段。*檢查ARP表：查看設(shè)備ARP表，確認IP地址解析是否正確。*對比配置：如果可能，與原交換機配置進行對比，查找差異。九、IPv6與部署：1.IPv6解釋：IPv6是Internet協(xié)議的下一個版本，使用128位地址空間，解決了IPv4地址枯竭問題。相比IPv4，主要優(yōu)勢包括：地址資源極其豐富、內(nèi)置安全（IPSec）、更好的流量處理、更簡潔的頭部格式、自動配置能力、更好的移動性支持。2.混合網(wǎng)絡(luò)部署方法：*隧道技術(shù)：將IPv6數(shù)據(jù)包封裝在IPv4數(shù)據(jù)包中傳輸。如6to4（基于IPv4隧道）、ISATAP（基于本地鏈路隧道）、TunnelBroker。適用于IPv6島與IPv4網(wǎng)絡(luò)互聯(lián)，但可能增加延遲。*翻譯技術(shù)：在IPv4主機和IPv6主機之間轉(zhuǎn)換地址和協(xié)議頭。如NAT64（地址翻譯）+DNS64（主機名翻譯），允許IPv4主機訪問IPv6資源。DNS64（單獨使用）可將IPv6地址映射為IPv4地址（通過AAAA記錄），實現(xiàn)IPv4訪問IPv6網(wǎng)站。3.設(shè)備配置與問題：*配置設(shè)備：核心交換機、路由器、防火墻、接入交換機、服務(wù)器、客戶端都需要啟用IPv6功能。*配置內(nèi)容：配置全局啟用（`ipv6unicast-routing`），配置接口IPv6地址（手動或自動配置如SLAAC），配置隧道接