2022年软考-网络规划设计师考前拔高综合测试题（含答案带详解）第184期

2022年软考-网络规划设计师考前拔高综合测试题（含答案带详解）1. 单选题下列哪种BGP属性不会随着BGP的Update报文通告给邻居？（ ）问题1选项A.PrefValB.Next-hopC.As-PathD.Origin【答案】A【解析】BGP属性是BGP进行路由决策和控制的重要信息。常见的BGP属性如下：1、ORIGINORIGIN标示路径信息的来源，是公认必遵属性。所有BGP路由器都可以识别，且必须存在于Update消息中。如果缺少这种属性，路由信息就会出错。2、AS_PATHAS_PATH由一系列AS路径组成，是公认必遵属性。所有BGP路由器都可以识别，且必须存在于Update消息中。如果缺少这种属性，路由信息就会出错。它定义了到达目的地下一跳的设备IP地址，是公认必遵属性。所有BGP路由器都可以识别，且必须存在于Update消息中。如果缺少这种属性，路由信息就会出错。3、Next_Hop属性记录了路由的下一跳信息。4、优选协议首选值（优先级值PrefVal）最高的路由。协议首选值（PrefVal）是华为设备的特有属性，该属性仅在本地有效。2. 案例题阅读以下说明，回答问题1至问答4，讲解答填入答题纸对应的解答栏内。【说明】某园区组网图如图1-1所示，该网络中接入交换机利用QinQ技术实现二层隔离，根据不同位置用户信息打外层VLAN标记，可以有效避免广播风暴，实现用户到网关流量的统一管理。同时在网络中部署集群交换机系统CSS及Eth-trunk，提高网络的可靠性。图1-1【问题1】（8分）请简要分析该网络接入层的组网特点（优点及缺点各回答2点）【问题2】（6分）当该园区网用户接入点增加，用户覆盖范围扩大，同时要求提高网络可靠性时，某网络工程师拟采用环网接入+虚拟网关的组网方式（1）如何调整交换机的连接方式组建环网？（2）在接入环网中如何避免出现网络广播风暴？（3）简要回答如何设置虚拟网关？【问题3】 （6分）该网络通过核心层进行认证计费，可采用的认证方式有哪些？【问题4】 (5分)(1)该网络中，出口路由器的主要作用有哪些?(2)应添加什么设备加强内外网络边界安全防范？放置在什么位置?【答案】【问题1】（8分）利用QinQ提供接入时具有以下的优点： 可以解决日益紧缺的公网VLAN ID资源问题； 用户可以规划自己的私网VLAN ID，不会导致与公网VLAN ID冲突； 提供一种较为简单的二层VPN解决方案； 使用户网络具有较高的独立性，在服务提供商升级网络时，用户网络不必更改原有的配置； 可以按不同层次的VLAN ID来区分不同的业务； QinQ技术上完全可以多层嵌套，没有限制，仅受Ethernet报文长度的限制，具有很好的扩充性。缺点：第一，第一名客户的VLAN标识可能与其他客户冲突；第二，服务提供商将受到客户可使用标识数量的严重限制。如果允许用户按他们自己的方式使用各自的VLAN ID空间，那么核心网络仍存在4096个VLAN的限制。【问题2】 （6分）1、接入层和汇聚层保持冗余连接，汇聚层设备互联。2、部署XSTP协议防环或堆叠技术。3、核心交换机部署VRRP协议。【问题3】 （6分）认证方式：802.1X认证、WEB认证等。【问题4】 (5分)1、连接互联网、NAT、数据包过滤、策略路由、路由策略等2、防火墙、放在路由器和核心交换机之间。3. 单选题下列选项中，不属于五阶段网络开发过程的是（ ）。问题1选项A.通讯规范分析B.物理网络规划C.安装和维护D.监测及性能优化【答案】D【解析】五阶段周期是较为常见的迭代周期划分方式。在5个阶段中，由于每个阶段都是一个工作环节，每个环节完成后才能进入到下一个环节，类似于软件工程中的“瀑布模型”。具体的工作流程为：需求分析通信规范逻辑网络设计物理网络设计实施阶段。4. 单选题为了保证网络拓扑结构的可靠性，某单位构建了一个双核心局域网络，网络结构如下图所示。对于单核心和双核心局域网络结构，下列描述中错误的是（ ）。双核心局域网网络结构通过设置双重核心交换机来满足网络的可靠性需求，冗余设计避免了单点失效导致的应用失效，以下关于双核心局域网网络结构的描述中错误的是（ ）。问题1选项A.单核心局域网络核心交机单点故障容易导致整网失效B.双核心局域网络在路由层面可以实现无缝热切换C.单核心局域网网络结构中桌面用户访问服务器效率更高D.双核心局域网网络结构中桌面用户访问服务器可靠性更高问题2选项A.双链路能力相同时，在核心交换机上可以运行负载均衡协议均衡流量B.双链路能力不同时，在核心交换机上可以运行策略路由机制分担流量C.负载分担通过并行链路提供流量分担提高了网络的性能D.负载分担通过并行链路提供流量分担提高了服务器的性能【答案】第1题:C第2题:D【解析】双核心局域网相对比单核心局域网结构来说，提高了网络可靠性。5. 单选题网络需求分析是网络开发过程的起始阶段，收集用户需求最常用的方式不包括（ ）。问题1选项A.观察和问卷调查B.开发人员头脑风暴C.集中访谈D.采访关键人物【答案】B【解析】充分了解网络应用系统需求是做好需求分析的关键。需求分析人员在与用户交流和观察工作流程获取初步需求时，采取一定的技术和技巧可以快速、准确地获取初步需求。网络规划设计师在收集需求时，获取用户需求的常用方法包括采访、观察、问卷和调查、建立原型等，以此得到潜在用户的反馈。6. 单选题某高校计划采用扁平化的网络结构。为了限制广播域、解决VLAN资源紧缺的问题，学校计划采用QinQ(802.1Q-in-802.1Q)技术对接入层网络进行端口隔离。以下关于QinQ技术的叙述中，错误的是( )。问题1选项A.一旦在端口启用了QinQ，单层VLAN的数据报文将没有办法通过B.QinQ技术标准出自IEEE 802.1adC.QinQ技术扩展了VLAN数目，使VLAN的数目最多可达4094*4094个D.QinQ技术分为基本QinQ和灵活QinQ两种【答案】A【解析】QinQ（802.1Q-in-802.1Q）技术是一项扩展VLAN空间的技术，通过在802.1Q标签报文的基础上再增加一层802.1Q的Tag来达到扩展VLAN空间的功能。由于报文有两层802.1Q Tag（一层公网Tag，一层私网Tag），即802.1Q-in-802.1Q，所以称之为QinQ协议。QinQ的实现方式可分为以下两种：基本QinQ是基于端口方式实现的。当端口上配置了基本QinQ功能后，不论从该端口收到报文是否带有VLAN Tag，设备都会为该报文打上本端口缺省VLAN的Tag。如果收到的是带有VLAN Tag的报文，该报文就成为带双Tag的报文。如果收到的是不带VLAN Tag的报文，该报文就成为带有本端口缺省VLAN Tag的报文。灵活QinQ是基于端口与VLAN相结合的方式实现的，即端口对接收的报文，可以通过单层VLAN tag转发，也可以通过双层VLAN tag转发。另外对于从同一个端口收到的报文，还可以根据VLAN的不同进行不同的操作，包括：为具有不同内层VLAN ID的报文添加不同的外层VLAN Tag。根据报文内层VLAN的802.1p优先级标记外层VLAN的802.1p优先级和添加不同的外层VLAN Tag。通过使用灵活QinQ技术，在能够隔离运营商网络和用户网络的同时，又能够提供丰富的业务特性和更加灵活的组网能力。7. 案例题阅读以下说明，回答问题1至问题4，将解答填入答题纸对应的解答栏内。【说明】案例一据新闻报道，某单位的网络维护员张某将网线私自连接到单位内部专网，通过专网远程登录到该单位的某银行储蓄所营业员电脑，破解默认密码后以营业员身份登录系统，盜取该银行83.5万元。该储蓄所使用与互联网物理隔离的专用网络，且通过防火墙设置层层防护，但最终还是被张某非法入侵，并造成财产损失。案例二据国内某网络安全厂商通报，我国的航空航天、科研机构、石油行业、大型互联网公司以及政府机构等多个单位受到多次不同程度的APT攻击，攻击来源均为国外几个著名的APT组织。比如某境外APT组织搭建钓鱼攻击平台，冒充“系统管理员向某科研单位多名人员发送钓鱼邮件，邮件附件中包含伪造Office. PDF图标的PE文件或者含有恶意宏的Word文件，该单位小李打开钓鱼邮件附件后，其工作电脑被植入恶意程序，获取到小李个人邮箱账号和登录密码，导致其电子邮箱被秘密控制。之后，该APT组织定期远程登录小李的电子邮箱收取文件，并利用该邮箱向小李的同事、下级单位人员发送数百封木马钓鱼邮件，导致十余人下载点击了木马程序，相关人员计算机被控制，造成敏感信息被窃取。【问题1】 （4分）安全运维管理为信息系统安全的重要组成部分，一般从环境管理、资产管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代码管理、备份与恢复管理、安全事件处置、外包运维管理等方面进行规范管理。其中：1.规范机房出入管理，定期对配电、消防、空调等设施维护管理应属于（1）范围：2.分析和鉴定安全事件发生的原因，收集证据，记录处理过程，总结经验教训应属于（2）范围：3.制定重要设备和系统的配置和操作手册，按照不同的角色进行安全运维管理应属于（3）范围：4.定期开展安全测评，形成安全测评报告，采取措施应对发现的安全问题应属于（4）管理范围。【问题2】 （8分）请分析案例一中网络系统存在的安全隐患和问题。【问题3】 （8分）请分析案例二，回答下列问题：1.请简要说明APT攻击的特点。2.请简要说明APT攻击的步骤。【问题4】 （5分）结合上述案例，请简要说明从管理层面应如何加强网络安全防范。【答案】【问题1】（1）环境管理（2）安全事件处置（3）网络和系统安全管理（4）漏洞和风险管理【问题2】缺少网络准入控制；没有设置远程登录和访问权限，限制非授权访间；没有按要求定期更换系统密码或设置复杂度高的密码；系统缺少双因子身份认证；安全管理落实不到位，员工安全意识差。【问题3】1. APT攻击的特点：潜伏性，在用户网络环境中长久潜伏存在；持续性，持续不断地监控和获取敏感信息；威胁性大，有组织有预谋，成功率高，危害系数大，近年来频频发生针对我国政府机关和核心部门发起的有组织的APT攻击。2. APT攻击的步骤：收集信息或扫描探测；恶意代码投送；利用漏洞；植入木马或植入恶意程序；命令与控制或远程控制；横向渗透并达成目标；清除痕迹或者删除恶意程序。【问题4】明确网络安全管理制度；明确网络安全主体责任；细化网络安全工作职责，责任到人；合理分配人员权限、最小权限和加强审计；加强网络安全意识和技能培训；强化网络安全执行监督。【解析】【问题1】（1）环境管理主要是机房环境的安全管理，包括出入管理、机房辅助设施、机房管理制度、来访人员管理等。要求指定部门或专人负责机房安全，定期对机房设施进行维护管理，制定机房安全管理规定，同时要求不在重要区域接待来访人员和桌面不能有包含敏感信息的纸档文件、移动介质等。（2）安全事件管理要求及时向安全管理部门报告安全弱点和可疑事件，制定安全时间报告和处置管理制度，并在事件报告和响应处理过程中分析原因、收集证据、记录处理过程、总结经验教训，重大事件应采用不同的处理程序和报告程序等。（3）网络和系统安全管理对包括管理员角色和权限的划分、账户及安全策略的控制和规定、日志记录和分析、各项运维活动的规程和审批等做了要求（4）漏洞和风险管理要求及时识别、发现并修补安全漏洞和隐患，并定期开展安全测评，采取措施应对测评报告中发现的安全问题。【问题2】缺少网络准入控制；没有设置远程登录和访问权限，限制非授权访间；没有按要求定期更换系统密码或设置复杂度高的密码；系统缺少双因子身份认证；安全管理落实不到位，员工安全意识差。【问题3】1. APT（Advanced Persistent Threat，高级持续性威胁），是一种针对特定目标进行长期持续性网络攻击的攻击模式。典型的APT攻击一般会带有以下特征：持续性：攻击者通常会花费大量的时间来跟踪、收集目标系统中的网络运行环境，并主动探寻被攻击者的受信系统和应用程序的漏洞。即使一段时间内，攻击者无法突破目标系统的防御体系。但随着时间的推移，目标系统不断有新的漏洞被发现，防御体系也会存在一定的空窗期（例如设备升级、应用更新等），而这些不利因素往往会导致被攻击者的防御体系失守。终端性：攻击者并不是直接攻击目标系统，而是先攻破与目标系统有关系的人员的终端设备（如智能手机、PAD、USB等等），并窃取终端使用者的账号、密码信息。然后以该终端设备为跳板，再攻击目标系统。针对性：攻击者会针对收集到的目标系统中常用软件、常用防御策略与产品、内部网络部署等信息，搭建专门的环境，用于寻找有针对性的安全漏洞，测试特定的攻击方法能否绕过检测。未知性：传统的安全产品只能基于已知的病毒和漏洞进行攻击防范。但在APT攻击中，攻击者会利用0DAY漏洞（0day漏洞也不是指某一种特定技术的漏洞，它是指软件或系统中已经被发现，但官方还不知道或还没有发布相应补丁的漏洞。）进行攻击，从而顺利通过被攻击者的防御体系。隐蔽性：攻击者访问到重要资产后，会通过控制的客户端，使用合法加密的数据通道，将信息窃取出来，以绕过被攻击者的审计系统和异常检测系统的防护。从以上的攻击特征可以看出，APT攻击相对于传统的攻击模式，手段更先进、攻击更隐蔽、破坏更严重，因此已经成为威胁当今网络安全的一大隐患。2. APT攻击的步骤：收集信息或扫描探测；恶意代码投送；利用漏洞；植入木马或植入恶意程序；命令与控制或远程控制；横向渗透并达成目标；清除痕迹或者删除恶意程序。【问题4】确定网络安全管理制度；明确网络安全主体责任；细化网络安全工作职责，责任到人；合理分配人员权限、最小权限和加强审计；加强网络安全意识和技能培训；强化网络安全执行监督。8. 单选题下列命令片段用于配置( ） system-view HUAWEI interface 10ge 1/0/1HUAWEI-10GE1/0/1 loopback -detect enable*HUAWEI-10GE1/0/1 commit问题1选项A.环路检测B.流量抑制C.报文检查D.端口镜像【答案】A【解析】loopback-detect enable命令用来使能所有接口环回检测功能。9. 单选题以下关于以太网交换机转发表的叙述中，正确的是（）。问题1选项A.交换机的初始MAC地址表为空B.交换机接收到数据帧后，如果没有相应的表项则不转发该帧C.交换机通过读取输入帧中的目的地址添加相应的MAC地址表项D.交换机的MAC地址表项是静态增长的，重启时地址表清空【答案】A【解析】交换机是一种基于MAC地址，能完成封装转发数据帧功能的网络设备。交换机的初始MAC地址表为空，可以通过读取进入端口的帧的源MAC地址学习。交换机接收到数据帧后，如果没有相应的表项则广播转发该帧。交换机的MAC地址表项是动态增长的。10. 单选题PPP是一种数据链路层协议，其协商报文中用于检测链路是否发生自环的参数是（ ）。问题1选项A.MRUB.ACCMC.Magic NumberD.ACFC【答案】C【解析】PPP在建立链路之前要进行一系列的协商，PPP 首先进行LCP协商，协商内容包括MRU（最大传输单元）、魔术字（magic number）、 验证方式异步字符映射等选项，其中魔术字主要用于检测链路自环。11. 单选题以下关于敏捷开发方法特点的叙述中，错误的是（ ）。问题1选项A.敏捷开发方法是适应性而非预设性B.敏捷开发方法是面向过程的而非面向人的C.采用迭代增量式的开发过程，发行版本小型化D.敏捷开发强调开发过程中相关人员之间的信息交流【答案】B【解析】敏捷开发是一种以人为核心、迭代、循序渐进的开发方法。在敏捷开发中，软件项目的构建被切分成多个子项目，各个子项目的成果都经过测试，具备集成和可运行的特征。换言之，就是把一个大项目分为多个相互联系，但也可独立运行的小 项目，并分别完成，在此过程中软件一直处于可使用状态。（1）敏捷开发方法是“适应性”（Adaptive）而非“预设性”（Predictive）。（2）敏捷开发方法是“面向人”（people oriented）而非“面向过程”（process oriented）12. 单选题某居民小区采用FTTB+HGW网络组网，通常情况下，网络中的( )部署在汇聚机房。问题1选项A.HGWB.SplitterC.OLTD.ONU【答案】C【解析】OLT是光线路终端，局端设备，部署在机房。13. 单选题网络管理员进行检查时发现某台交换机CPU占用率超过90%，通过分析判断，该交换机是由某些操作业务导致CPU占用率高，造成该现象的可能原因有（ ）。生成树更新路由表频繁的网管操作ARP广播风暴端口频繁UP/DOWN数据报文转发量过大问题1选项A.B.C.D.【答案】C【解析】交换机CPU使用率过高的原因主要有：硬件故障、网络攻击、网络震荡（包括STP震荡和路由协议震荡）、网络环路。华为交换机由转发芯片转发普通数据报文，无需CPU参与。以下场景会将报文发送给CPU处理：需要交换机终结的协议报文。所有目的地址为本机的报文均需要上送CPU处理：各种协议控制报文，如STP、LLDP、LNP、LACP、VCMP、DLDP、EFM、GVRP、VRRP等。路由更新报文，如RIP、OSPF、BGP、IS-IS等。SNMP、Telnet、SSH报文。ARP、ND回应报文。需要特殊处理的报文。带option选项的ICMP报文。带hop-by-hop选项的IPv6报文。TTL小于或等于1的IPv4/IPv6数据报文。目的IP地址为本机的数据报文。ARP/ND/FIB Miss报文。应用了ACL，需要CPU处理的报文。开启logging功能后，通过ACL deny动作丢弃的报文。流策略重定向到CPU的报文。组播特性相关的报文。PIM、IGMP、MLD、MSDP协议报文。未知IP组播流。其他特性的相关报文。DHCP协议报文。ARP、ND广播请求报文。14. 单选题一个由多个路由器相互连接构成的拓扑图如下图所示，图中数字表示路由之间链路的费用。OSPF路由协议将利用（ ）算法计算出路由器u到z的最短路径费用值为（ ）。问题1选项A.PriceB.Floyd-warshallC.DijkstraD.Bellman-ford问题2选项A.10B.4C.3D.5【答案】第1题:C第2题:B【解析】第1题:OSPF是数据链路状态路由协议，采用的SPF算法，即最小生成树算法（Dijkstar），会把网络拓扑转变为最短路径优先树，然后从该树形结构中找出到达每一个网段的最短路由，并保证计算出的路由不会存在环路。SPF算法计算路由的依据是带宽，每条链路根据其带宽都有相应的开销（COST）。开销越小，带宽就越大，链路就越优。第2题:15. 单选题广域网可以提供面向连接和无连接两种服务模式，对应于两种服务模式，广域网有虚电路和数据报两种传输方式，以下关于虚电路和数据报的叙述中，错误的是（ ）。问题1选项A.虚电路方式中每个数据分组都含有源端和目的端的地址，而数据报网络则不然B.对于会话信息，数据报网络不存储状态信息，而虚电路网络对于建立好的每条虚电路都要求占有虚电路表空间C.数据报网络对每个分组独立选择路由，而虚电路网络在虚电路建好后，路由就已确定，所有分组都经过此路由D.数据报网络中，分组到达目的地可能失序，而虚电路网络中，分组一定有序到达目的地【答案】A【解析】虚电路的特点：（1）在每次分组发送之前，必须在发送方与接收方之间建立一条逻辑连接。这是因为不需要真正去建立一条物理链路，连接发送方与接收方的物理链路已经存在；（2）一次通信的所有分组都通过这条虚电路顺序传送，因此报文分组不必带目的地址、源地址等辅助信息。分组到达目的结点时不会出现丢失、重复与乱序的现象；（3）分组通过虚电路上的每个结点时，结点只需要做差错检测，而不需要做路径选择；（4）通信子网中每个结点可以和任何结点建立多条虚电路连接。在每个节点上都保存一张虚电路表，表中各项记录了一个打开的虚电路的信息，包括虚电路号、前一个节点、下一个节点等信息，这些信息是在虚电路建立过程中被确定的。而数据报方式的各交换机的路由转发表记录目的终端和到该目的终端的转发端口号；采用初始终端+目的终端的方式，那么网络中可能存在多条传输路径，初始终端发送的多个分组会独立地选择传输路径，数据的到达也可能先后顺序不一致。16. 单选题客户端通过DHCP获得IP地址的顺序正确的是( )。客户端发送DHCP REQUEST请求IP地址SERVER发送DHCP OFFER报文响应客户端发送DHCP DISCOVER报文寻找DHCP SERVERSERVER收到请求后回应ACK响应请求问题1选项A.B.C.D.【答案】C【解析】17. 单选题SSL的子协议主要有记录协议、（ ），其中（ ）用于产生会话状态的密码参数、协商加密算法及密钥等。问题1选项A.AH协议和ESP协议B.AH协议和握手协议C.警告协议和握手协议D.警告协议和ESP协议问题2选项A.AH协议B.握手协议C.警告协议D.ESP协议【答案】第1题:C第2题:B【解析】第1题:SSL的三个子协议：SSL警告协议是用来为对等实体传递SSL的相关警告。如果在通信过程中某一方发现任何异常，就需要给对方发送一条警示消息通告。SSL记录协议（SSL Record Protocol）：建立在可靠的传输协议（如TCP）之上，为高层协议提供数据封装、压缩、加密等基本功能的支持。SSL握手协议（SSL Handshake Protocol）：建立在SSL记录协议之上，用于在实际的数据传输开始前，通讯双方进行身份认证、协商加密算法、交换加密密钥等。第2题:18. 单选题在IPv6定义了多种单播地址，表示环回地址的是（ ）。问题1选项A.：/128B.:1/128C.FE80:：/10D.FD00:/8【答案】B【解析】未指定地址：就是128位全是0的地址，IPv6单播地址中的0:0:0:0:0:0:0:0或者:/128形式的地址叫未指定地址。19. 单选题某公司的网络地址为10.10.1.0，每个子网最多1000台主机，则适用的子网掩码是（ ）。问题1选项A.255.255.252.0B.255.255.254.0C.255.255.255.0D.255.255.255.128【答案】A【解析】某公司的网络地址为10.10.1.0，每个子网最多1000台主机，需要有10位主机位，使用的子网掩码就是255.255.252.0。20. 单选题某数据中心中配备2台核心交换机Core A和Core B，并配置VRRP协议实现冗余，网络管理员例行巡查时，在核心交换机Core A上发现内容为“The state of VRRP changed form master to other state”的告警日志，经过分析，下列选项中不可能造成该报警的原因是（ ）。问题1选项A.Core A和Core B的VRRP优先级发生变化B.Core A发生故障C.Core B发生故障D.Core B从故障中恢复【答案】C【解析】交换机A的状态从主交换状态切换成其他状态。原因1：主用交换机故障。原因2：主用链路故障。原因3：主用交换机或备份交换机的VRRP优先级发生变化。原因4：主用交换机上VRRP所在的逻辑接口被删除或者是VRRP配置被删除。原因5：原主用交换机故障恢复。原因6：原主用链路故障恢复。