软考网络工程师-案例分析易错题整理下一、问题一二、问题二三、问题三四、问题四五、问题五一、问题一1.某小区采用HFC接入Internet的解决方案进行网络设计网络结构如图1-1 所示。【问题1】网络设计流程通常由以下五阶段组成A确定网络物理结构B确定网络逻辑结构C对现有网络的体系结构进行分析D安装和维护E.需求分析根据网络开发设计的过程给出上述五个阶段的先后排序。答ECBAD需求分析-分析现有网络体系结构-确定网络逻辑-确定物理结构-安装和维护【问题2】为图1-1 中26处选择对应的设备名称填入答题纸对应的解答栏内。备选设备CMTS、以太网交换机、光收发器、光电转换节点、Cable Modem。答以太网交换机、CMTS、光收发器、光电转换节点、Cable Modem。HFC光纤同轴混合网CMTS电缆调制解调器终端系统HFC 的大脑位置在运营商机房/前端和路由器、交换机放在一起光收发器光发射机光接收机属于前端的光电转换设备位置在机房里紧挨着CMTSCMTS输出接光收发器电口光电转换节点HFC的核心分界点位置在小区楼道、电线杆、路边机柜光纤终结、同轴开始的地方实现光信号与电信号互相转换Cable Modem电缆调制解调器介质是同轴电缆位置在后端目的地【问题3】在答题纸对应的解答栏内填写图1-1 中7、8处对应的传输介质。答光纤、同轴电缆。【问题4】3分Cable Modem 接收从CMTS发送来的___9调制信号经解调后重建以太帧。在相反方向上接收到的以太帧被封装在时隙中经10___调制后通过HFC网络的上行信道传送给CMTS。9AQAMBQPSKCGMSKDDMT10AQAMBQPSKCGMSKDDMT答A、B下行信号从发送端到接收端可以理解为信号从头部下发的方向上行信号从接收端到发送端可以理解为信号正常发送的相反方向QAM正交振幅调制HFC同轴宽带下行信号所以由头部CTMS发往尾部Cable ModemQPSK正交相移键控HFC上行信号所以由尾部Cable Modem发往头部CTMSQAM头部发往QPSK尾部也可以理解为QAM是下行调制QPSK是上行调制【问题5】有线电视HFC 网络的上、下行信道是非对称的容易产生噪声、影响传输质量的是上行信道还是下行信道答上行信道。各家上行信号都往机房汇总多路信号叠加干扰互相串扰用户端各类电器、线路杂波都会混入上行噪声逐级汇集放大上行发射功率远小于下行更容易被噪声淹没二、问题二某企业网络拓扑图如图1-1所示。该网络可以实现的网络功能有:1.汇聚层交换机A与交换机B采用VRRP技术组网;2.用防火墙实现内外网地址转换和访问策略控制;3.对汇聚层交换机、接入层交换机(各车间部署的交换机)进行VLAN划分。【问题1】为图1-1中的防火墙划分安全域接口①应配置为(1)区域接口②应配置为(2)区域接口③应配置为(3)区域。答untrust、trust、dmz。【问题2】VRRP技术实现(4)功能交换机A与交换机B之间的连接线称为(5)线其作用是(6)。答虚拟链路冗余、心跳线、检测对端设备状态若对方传输终端可以进行主备替换。【问题3】图1-1中PC1的网关地址是(7);在核心交换机上配置与防火墙互通的默认路由其目标地址应是(8);若禁止PC1访问财务服务器应在核心交换机上采取(9)措施实现。答192.168.20.1、0.0.0.0、acl访问控制列表PC的网段是192.168.20.100/24而网关必须是和PC同网段的地址由于PC与汇聚层的交换机A、交换机B连接且他们有VRRP虚拟网关故网关地址就是VRRP地址倘若没有VRRP则使用交换机A或交换机B的地址作为网关另外由于不知道财务服务器和工控服务器等内网trust部分的地址无法确定核心交换机上到防火墙的互通路由所以此时只能用0.0.0.0代替。【问题4】若车间1增加一台接入交换机C该交换机需要与车间1接入层交换机进行互连其连接方式有(10)和(11);其中(12)方式可以共享使用交换机背板带宽(13)方式可以使用双绞线将交换机连接在一起。答堆叠、级联、堆叠、级联。三、问题三公司的两个分支机构各有1台采用IPv6的主机计划采用IPv6-over-IPv4自动隧道技术实现两个分支机构的IPv6主机通信其网络拓扑结构如图4-1所示。【问题1】根据说明将RouterA的配置代码补充完整。1[Huawei] sysname 2[RouterA]3 //开启IPv6报文转发功能[RouterA] interface s0[RouterA-s0] ip address 12.1.1.14[RouterA-s0] quit[RouterA] interface gigabitethernet 0/0/1[RouterA-GigabitEthernet0/0/1 ] 5address 2002:: 1/64[RouterA-GigabitEthernet0/0/1 ] quit答system-view、RouterA、ipv6、255.255.255.0、ipv6。用户模式下输入命令ipv6可以开启全局ipv6功能设置ipv6地址时的命令ipv6 address IP【问题2】根据说明将RouterA的配置代码或者代码说明补充完整。[RouterA] interface tunnel 0/0/1 // 6[RouterA-Tunnel0/0/1 ] 7ipv6-ipv4 8//指定Tunnel为自动隧道模式[RouterA-Tunnel0/0/1 ] ipv6 9[RouterA-Tunnel0/0/1 ] ipv6 address ::12.1.1.1/96 // 10[RouterA-Tunnel0/0/1 ] source s0 //11[RouterA-Tunnel0/0/1 ] quit答创建Tunnel接口、tunnel-protocol、auto-tunnel、enable、设置Tunnel接口的IPv6地址、指定Tunnel的源接口。创建Tunnel接口的命令interface tunnel 接口号【问题3】问题2中Tunnel接口使用的地址为IPv412IPv6地址12备选答案 A.兼容 B.映射192.168.1.1是否存在对应的IPv6地址为什么答A、不存在IPV4兼容IPV6地址要求IPV4地址为公网地址。四、问题四某公司在其他城市设有多个分支机构分支机构内部使用以太网络。为了便于分支机构开展工作现计划在分支和总部之间部署L2TP以实现VPDN连接。网络拓扑图如下所示【问题1】L2TP协议有两种类型的消息其中 (1) 消息用于L2TP隧道和会话的建立、维护和拆除:数据消息用于封装PPP数据帧基于传输层的 (2) 协议进行不可靠的数据传输。L2TP不具备加密功能在VPN应用中可结合 (3) 技术实现隧道传输和数据加密的完整解决方案。答控制、用户数据报协议UDP、IPSec。L2TP二层隧道协议用来跨公网把两个内网虚拟拉成一条专线在外网里搭建虚拟二层隧道让异地设备像在同一个局域网通信L2TP不具备加密功能在VPN应用中可结合IPSec技术实现隧道传输和数据加密的完整解决方案【问题2】公司计划将分支机构的网关作为为PPPoE服务器和L2TP用户侧设备(L2TP-User)PPPoE服务器使用CHAP认证方式L2TP-User 使用本地 AAA 认证拨号用户的身份;总部的网关作为L2TP服务器侧设备(L2TP-Server)通过 PC1 与总部建立 L2TP 隧道。请根据以上需求将下面的配置代码补充完整1.L2TP-User配置[L2TP-User]interface virtual-template 1[L2TP-User-Virtual-Templatel] ppp authentication-mode4[L2TP-User Virtual-Templatel] quit[L2TP-User] interface gigabitethernet0/0/2[L2TP-User -GigabitEthernet0/0/2] pppoe-server bind virtual- template (5)[L2TP-User -GigabitEthernet0/0/2] quit[L2TP-User] aaa[L2TP-User-aaa] local-user userl password cipher admin123![L2TP-User-aaa] local-user userl service-type ppp[L2TP-User -aaa] quit[L2TP-User] 12tp (6) //使能L2TP服务[L2TP-User] l2tp-group 1[L2TP-User -12tp1] tunnel name 12tp-user[L2TP-User -12tp1] start l2tp ip (7) fullusername userl[L2TP-User -12tp1] tunnel authentication[L2TP-User -12tp1] tunnel password cipher admin//启用隧道认证功能并设置隧道认证字[L2TP-User -12tp1] quit2.L2TP-Server配置[L2TP-Server] 12tp-group 1[L2TP-Server -l2tpl] tunnel name l2tp-server//配置和指定两端隧道名称[L2TP-Server -l2tp1] allow l2tp virtual-template 1 remote (8)[L2TP-Server -l2tpl] tunnel authentication[L2TP-Server -l2tp1] tunnel password cipher (9)[L2TP-Server -l2tpl] quit答chap、1、enable、190.10.2.1、12tp-user、admin。ppp authentication-modePPP链路采用CHAP方式进行身份认证interface virtual-template 1创建虚拟模板接口拨号类PPP拨号场景专用五、问题五某高校网络拓扑如下图所示两校区核心CORE-1CORE-2出口防火墙NGFW-1,NGFW-2通过校区间光缆互联配置OSPF实现全校路由收效校区相距40km。两校区默认由本地出口进行互联网访问。【问题1】新校区规划以双栈方式部署IPv6网络分配的IPv6地址为:240C:DB8:1024::/49。请将1Pv6网络地址规划表补充完整。答240C:DB8:1024:4000::-240C:DB8:1024:5FFF:FFFF:FFFF:FFFF:FFFF:FFFF51。已知总网段是240C:DB8:1024::/49设备管理网段是240C:DB8:1024::/64有限网络终端网段是240C:DB8:1024::/51而/49的网段若分成/51网段的话可以分4个分别是240C:DB8:1024::/51、240C:DB8:1024:2000::/51、240C:DB8:1024:4000::/51、240C:DB8:1024:6000::/51已知无线网络终端数量是15000个而/51可用的终端数量为2 ^(128-51)2 ^77远大于15000个无线网络终端的地址范围使用第二个网段即240C:DB8:1024:4000::-240C:DB8:1024:5FFF:FFFF:FFFF:FFFF:FFFF:FFFF【问题2】为实现NGFW-2与NGFW-1、CORE-2正常建立OSPF邻居关系,实现路由全收网络工程师对NGFW-2进行相关配置请补充完善下列由trust到local的配置。[NGFW-2]firewallzonetrust[NGFW-2-zone-trust]addinterfaceGigabitEthernet0/0/1[NGFW-2-zone-trust]addinterfaceGigabitEthernet0/0/2[NGFW-2]security-policy[NGFW-2-policy-security]rulenamepolicy1[NGFW-2-policy-security-rule-policy_1]source-zonetrust[NGFW-2-policy-security-rule-policy1]destination-zone1[NGFW-2-policy-security-rule-policy1]source-address2[NGFW-2-policy-security-rule-policy1]serviceprotocol3[NGFW-2-policy-security-rule-policy_1]action4答local、10.0.0.0 24、89、permit。题干已要求区域是trust到local区域【问题3】网络工程师收到故障报告,某终端用户可成功获取IP地址,正常访问校内业务却无法访问Internet.在该终端上路由跟踪测试,可正常至NGFW-2,于是在终端上进行ping114.114.114.114测试,结果显示“请求超时”同时在NGFW-2查看到如下会话答防火墙的G0/0/4接口指向运营商61.2.7.1地址,而内部地址没有被NAT转换。配置基于换并配置相关放行策略。【问题4】网络工程师接到故障报告,某终端用户网络时通时断,无法正常上网。在用户终端上通过命令测试结果如下:答ARP欺骗、CORE2、防ARP欺骗攻击。【问题5】网络工程师配置NGFW-2作为SSLVPN网关为网络管理员提供安全远程接入可以随时随地对校园网内网络进行访问和管理。SSLVPN充分利用SSL协议基于数字证书提供的安全机制,为应用层之间的通信建立安全连接。1SSL协议安全机制包括:( )、数据加密、( )2数据加解密算法主要分为对称密钥算法、非对称密钥算法,请简要描述SSL协议如何利用这两类算法实现数据传输的机密性。3网络工程师在配置SSLVPN之前,需要向( )申请证书文件,并将其上传至NGFW-2的指定位置。答身份验证、消息完整性发送方在发送数据前,使用加密算法和加密密钥对数据进行加密,然后将数据发送给对方;接收方接收到数据后,利用解密算法和解密密钥从密文中获取明文。没有解密密钥的第三方,无法将密文恢复为明文,从而保证数据传输的机密性CA。