2020下半年（下午）《网络工程师》案例分析真题

试卷预览

1 问答题 1分

某公司的网络拓扑结构如图4-1所示。

公司管理员对各业务使用的VLAN作如下规划：

为了便于统一管理，避免手工配置，管理员希望各种终端均能够自动获取IP地址，语音终端根据其MAC地址为其分配固定的IP地址，同时还需要到FTP服务器10.10.10.1上动态获取启动配置文件configuartion.ini，公司DNS服务器地址为10.10.10.2，所有地址段均路由可达。

【问题1】(3分)

公司拥有多种业务，例如Internet. IPTV. VoIP等，不同业务使用不同的IP地址段。为了便于管理，需要根据业务类型对用户进行管理。以便路由器RI能通过不同的VLAN分流不同的业务。

VLAN划分可基于(1)、子网、(2)、协议和策略等多种方法。

本例可采用基于(3)的方法划分VILAN子网。

【问题2】(12分)

下面是在SW1上创建DHCP Option模板，并在DHCP Option模板视图下，配置需要为语音客户端IP Phone分配的启动配置文件和获取启动配置文件的文件服务器地址，请将配置代码或注释补充完整。

＜HUAWEI> (4)

[HUAWEI] sysname SW1

[SW1](5)option template template1

[SW1-dhcp-option-template-template1] gateway-list(6)//配置网关地址

[SW1-dhcp-option-template-template1] bootfile(7)//获取配置文件

[SW1-dhcp-option-template-template1] next-server(8)//配置获取配置文件地址

[SW1-dhcp-option-template-template1] quit

下面创建地址池，同时为IP Phone 分配固定IP地址以及配置信息。请将配置代码补充完整。

[SW1]ip pool pool3

[SW1-ip-pool-pool3] network(9)mask 255.255.255.0

[SW1-ip-pool-pool3] dns-list(10)

[SW1-ip-pool-pool3] (11)192.168.3.1

[SW1-ip-pool-pool3] excluded-ip-address (12) 192.168.3.254

[SW1-ip-pool-pool3] lease unlimited

[SW1-ip-pool-pool3] static-bind ip-address 192 168.3.2 mac-address (13) option-templale template1 //使用模板

[SW1-ip-pool-pool3] quit

#在对应VLAN上使能DHCP

[SW1] interface vlanif (14)

[SW1-Vlanif300] (15) select global

[SW1-Vlanif300] quit

查看答案 开始考试

正确答案：

本题解析：

【问题1】

（1）端口 （2）MAC地址 （3）子网

【问题2】

（4）system-view （5）dhcp （6）192.168.3.1 （7）configuration.ini

（8）10.10.10.1 （9）192.168.3.0 （10）10.10.10.2 （11）gateway-list

（12）192.168.3.250 （13）dcd2-fa98-e439 （14）300 （15）dhcp

【问题1】

划分VLAN的方式有：基于接口、基于MAC地址、基于子网、基于协议、基于策略（MAC地址、IP地址、接口）。

基于子网的vlan划分是根据数据帧中的源IP地址和子网掩码来划分VLAN。网络管理员预先配置IP地址和VLAN ID映射关系表，当交换机收到的是Untagged帧，就依据该表给数据帧添加指定VLAN的Tag。然后数据帧将在指定VLAN中传输。其优点是当用户的物理位置发生改变，不需要重新配置VLAN。可以减少网络通信量，可使广播域跨越多个交换机。

【问题2】

＜HUAWEI> system-view //进入系统视图

[HUAWEI] sysname SW1 //修改设备名称

[SW1] dhcp option template template1 //创建DHCP Option模板

[SW1-dhcp-option-template-template1] gateway-list 192.168.3.1//配置网关地址

[SW1-dhcp-option-template-template1] bootfile configuration.ini//获取配置文件

[SW1-dhcp-option-template-template1] next-server 10.10.10.1 //配置获取配置文件地址

[SW1-dhcp-option-template-template1] quit

[SW1]ip pool pool3 //创建地址池并在地址池视图下为PC配置网关地址、租期和DNS服务器地址；为IP Phone配置分配固定IP地址和启动配置文件信息

[SW1-ip-pool-pool3] network 192.168.3.0 mask 255.255.255.0

[SW1-ip-pool-pool3] dns-list 10.10.10.2 //设置dns地址

[SW1-ip-pool-pool3] gateway-list 192.168.3.1 //设置网关地址

[SW1-ip-pool-pool3] excluded-ip-address 192.168.3.250 192.168.3.254 设置排除地址

[SW1-ip-pool-pool3] lease unlimited

[SW1-ip-pool-pool3] static-bind ip-address 192 168.3.2 mac-address dcd2-fa98-e439 option-templale template1 //使用模板

[SW1-ip-pool-pool3] quit

#在对应VLAN上使能DHCP

[SW1] interface vlanif 300

[SW1-Vlanif300] dhcp select global

[SW1-Vlanif300] quit

2 问答题 1分

图3-1为某大学的校园网络拓扑，其中出口路由器R4连接了三个ISP网络，分别是电信网络（网关地址218.63.0.1/28）联通网络（网关地址221.137.0.1/28）以及教育网（网关地址210.25.0.1/28 ）。路由器R1、R2、R3、R4在内网一侧运行RIPv2.0协议实现动态路由的生成。

PC机的地址信息如表3-1所示，路由器部分接口地址信息如表3-2所示。

【问题1】(2分)

如图3-1所示，校本部与分校之间搭建了IPSec VPN。IPSee的功能可以划分为认证头AH、封装安全负荷ESP以及密钥交换IKE。其中用于数据完整性认证和数据源认证的是(1)。

【问题2】(2分)

为R4添加默认路由，实现校园网络接入Internet 的默认出口为电信网络，请将下列命令补充完整。

[R4]iproute-static(2)

【问题3】(5分)

在路由器RI上配置RIP协议，请将下列命令补充完整：

[R1]_ (3)

[R1-rip-1]network_ (4)

[R1-ip-1]version2

[R1-rip-1]undo summary

各路由器上均完成了RIP协议的配置，在路由器RI上执行display ip routing-table，由RIP生成的路由信息如下所示：

Destination/Mask Proto Pre Cost Flags NextHop Interface

10.3.0.0/24 RIP 100 1 D 10.13.0.2 GigabitEthernet0/0/1

10.4.0.0/24 RIP 100 1 D 10.13.0.2 GigabitEthernet0/0/1

10.34.0.0/30 RIP 100 1 D 10.13.0.2 GigabitEthernet/0/0/1

10.42.0.0/24 RIP 100 1 D 10.21.0.2 GigabitEthernet/0/0/0

根据以上路由信息可知。下列RIP路由是由（5）路由器通告的：

10.3.0.0/24 RIP 100 1 D 10.13.0.2 GigabitEthernet0/0/1

10.4.0.0/24 RIP 100 1 D 10.13.0.2 GigabitEthernet0/0/1

请问PCI此时是否可以访问电信网络？为什么？

答:(6)。

【问题4】(11分)

图3-1中，要求PCI访问Internet时导向联通网络，禁止PC3在工作日8.00至18.00访问电信网络。

请在下列配置步骤中补全相关命令：

第1步：在路由器R4上创建所需ACL

创建用于PCI策略的ACL：

[R4]acl 2000

[R4-acl-basic -2000] rule 1 permit source(7)

[R4-acl-basic- 2000] quit

创建用于PC3策略的ACL:

[R4] time-range satime(8)working-day

[R4]acl number 3001

[R4-acl-adv-3001] rule deny source (9) destination 218.63.0.0 240.255.255.255 time-range satime

第2步：执行如下命令的作用是(10)。

[R4]trafficlassifer 1

[R4-classifier-1]if-match acl 2000

[R4-classifier-1]quit

[R4]traffic classifier3

[R4-classifier-3]if-match acl 3001

[R4-classifier-3]quit

第3步：在路由器R4上创建流行为并配置重定向

[R4]traffic behavior 1

[R4-bchavior-1]redirect (11) 221.137.0.1

[R4-behavior-1]quit

[R4]traffic behavior 3

[R4-behavior-3] (12)

[R4-behavior-3]quit

第4步:创建流策略，并在接口上应用(仅列出了R4上GigabitEthernet 0/0/0接口的配置)

[R4]traffic policy 1

[R4-trafficpolicy-1]classifier 1(13)

[R4-trafficpolicy-1]classifier 3(14)

[R4-trafficpolicy-1]quit

[R4]interGigabitEthernet 0/0/0

[R4-GigabitEthernet0/0/0]traffic-policy(15)

[R4-GigabitEthernet0/0/0]quit

查看答案 开始考试

正确答案：

本题解析：

【问题1】

（1）认证头AH

【问题2】

（2）0.0.0.0 0.0.0.0 218.63.0.1

【问题3】

（3）rip 1或rip （4）10.0.0.0 （5）R3 （6）不能访问，因为此时R1上没有到达外网的默认路由

【问题4】

（7）10.10.0.2 0.0.0.0 （8）8:00 to 18:00 （9）10.3.0.2 0.0.0.0

（10）配置流分类 （11）ip-nexthop （12）deny

（13）behavior 1 （14）behavior 3 （15）inbound

【问题1】(2分)

用于数据完整性认证和数据源认证的是AH。ESP除了能进行数据完整性认证和数据源认证外，还可以保证数据的机密性。IKE是互联网密钥交换协议，可以让通信双方自行协商出相同的对称密钥。

【问题2】(2分)

要实现校园网络接入Internet 的默认出口为电信网络，通过题干可知电信网络网关地址为218.63.0.1 ，所以缺省路由命令为 iproute-static 0.0.0.0 0.0.0.0 218.63.0.1

【问题3】(5分)

（3）[R1]rip 1 //进入rip视图，此处写rip也可以

（4）[R1-rip-1]network 10.0.0.0 //宣告直连网段

[R1-ip-1]version2 //设定rip版本为版本2

[R1-rip-1]undo summary //关闭自动汇总

（5）通过题中给到的路由表，可以看出去往10.3.0.0/24和10.4.0.0/24的网段，数据包要交给的下一跳是10.13.0.2。再通过题中给到的表格，可以知道是通过R3学习到的

(6) 不能访问，因为此时R1上没有到达外网的默认路由

【问题4】(11分)

第1步：在路由器R4上创建所需ACL

创建用于PC1策略的ACL：

[R4]acl 2000

[R4-acl-basic -2000] rule 1 permit source 10.10.0.2 0.0.0.0

[R4-acl-basic- 2000] quit

创建用于PC3策略的ACL:

[R4] time-range satime 8:00 to 18:00 working-day

[R4]acl number 3001

[R4-acl-adv-3001] rule deny source 10.3.0.2 0.0.0.0 destination 218.63.0.0 240.255.255.255 time-range satime

第2步：在路由器R4上创建流分类。

[R4]trafficlassifer 1

[R4-classifier-1]if-match acl 2000

[R4-classifier-1]quit

[R4]traffic classifier3

[R4-classifier-3]if-match acl 3001

[R4-classifier-3]quit

第3步：在路由器R4上创建流行为并配置重定向

[R4]traffic behavior 1

[R4-bchavior-1]redirect ip-nexthop 221.137.0.1

[R4-behavior-1]quit

[R4]traffic behavior 3

[R4-behavior-3] deny

[R4-behavior-3]quit

第4步:创建流策略，并在接口上应用(仅列出了R4上GigabitEthernet 0/0/0接口的配置)

[R4]traffic policy 1

[R4-trafficpolicy-1]classifier 1 behavior 1

[R4-trafficpolicy-1]classifier 3 behavior 3

[R4-trafficpolicy-1]quit

[R4]interGigabitEthernet 0/0/0

[R4-GigabitEthernet0/0/0]traffic-policy inbound

[R4-GigabitEthernet0/0/0]quit

3 问答题 1分

小王为某单位网络中心网络管理员，该网络中心部署有业务系统、网站对外提供信息服务，业务数据通过SAN存储网络，集中存储在磁盘阵列上，使用RAID实现数据冗余；部署邮件系统供内部人员使用，并配备有防火墙、入侵检测系统、Web应用防火墙、上网行为管理系线，反垃圾邮件系统等安全防护系统，防范来自内外部网络的非法访问和攻击。

【问题1】(4分)

网络管理员在处理终端A和B无法打开网页的故障时，在终端A上ping 127.0.0.1不通，故障可能是（1）原因造成；在终端B上能登录互联网即时聊天软件，但无法打开网页，故障可能是（2）原因造成。

(1)~ (2)备选答案:

A. 链路故障

B. DNS配置错误

C. TCP/IP协议故障

D. IP配置错误

【问题2】(8分)

年初，网络管理员监测到部分境外组织借新冠疫情对我国信息系统频繁发起攻击，其中，图2-1访问日志所示为(3)攻击，图2-2访问日志所示为(4)攻击。

网络管理员发现邮件系统收到大量不明用户发送的邮件，标题含“武汉旅行信息收集”、“新型冠状病毒肺炎的预防和治疗”等和疫情相关字样，邮件中均包含相同字样的excel文件，经检测分析，这些邮件均来自某境外组织，exel文件中均含有宏，并诱导用户执行宏，下载和执行木马后门程序，这些驻留程序再收集重要目标信息，进一步扩展渗透，获取敏感信息，并利用感染电脑攻击防疫相关的信息系统，上述所示的攻击手段为(5)攻击，应该采取(6) 等措施进行防范。

(3) ~ (5)备选答案:

A.跨站脚本

B.SQL注入

C.宏病毒

D.APT

E. DDos

F. CC

G.蠕虫病毒

H. 一句话木马

【问题3】(5分)

存储区域网络(Storage Area Network, 简称SAN)可分为(7)、(8)两种，从部署成本和传输效率两个方面比较这两种SAN，比较结果为(9)。

【问题4】(3分)

请简述RAID2.0技术的优势(至少列出2点优势)。

查看答案 开始考试

正确答案：

本题解析：

【问题1】

（1）C （2）B

【问题2】

（3）H （4）B （5）D （6） 使用威胁情报、 建立强大的出口规则 、 收集强大的日志分析等

【问题3】

（7）IP-SAN （8）FC-SAN （9）FCSAN部署成本更高，传输速率更高

【问题4】

1、自动负载均衡，降低了存储系统整体故障率

2、快速精简重构，降低了双盘失效率和数据丢失的风险

3、故障自检自愈，保证了系统可靠性

4、虚拟池化设计，降低存储规划管理难度

【问题1】

（1）通常电脑内都会有环回测试地址，ping环回测试地址也不通的时候说明TCP/IP协议族安装有问题

（2）能使用即时聊天软件，但是打不开网页，说明很可能是DNS解析有问题。即时聊天软件中一般是已经缓存过IP地址的，不使用域名来通信

【问题2】

（3）通过图中的eval（base64_decode），可以判断出是一句话木马攻击。

一句话木马就是只需要一行代码的木马，短短一行代码，就能做到和大马相当的功能。为了绕过waf的检测，一句话木马出现了无数中变形，但本质是不变的：木马的函数执行了发送的命令。

（4）通过图中的select，username，password，form等参数，可以判断出是SQL注入攻击

（5）APT攻击可以大致分为探测期、入侵期、潜伏期、退出期4个阶段，这4个阶段通常是循序渐进的

1. 探测期：信息收集

探测期是APT攻击者收集目标信息的阶段。攻击者使用技术和社会工程学手段收集大量关于系统业务流程和使用情况等关键信息，通过网络流量、软件版本、开放端口、员工资料、管理策略等因素的整理和分析，得出系统可能存在的安全弱点。另外，攻击者在探测期中也需要收集各类零日漏洞、编制木马程序、制订攻击计划等，用于在下一阶段实施精确攻击。

2. 入侵期：初始攻击，命令和控制

攻击者突破安全防线的方法可谓五花八门，如采用诱骗手段将正常网址请求重定向至恶意站点，发送垃圾电子邮件并捆绑染毒附件，以远程协助为名在后台运行恶意程序，或者直接向目标网站进行SQL注入攻击等。尽管攻击手段各不相同，但绝大部分目的是尽量在避免用户觉察的条件下取得服务器、网络设备的控制权。（在受害者的网络植入远程管理软件，创建秘密访问其设备的网络后门和隧道；利用漏洞和密码破解来获取受害者计算机的管理员权限，甚至是Windows域管理员账号。）

3. 潜伏期，后续攻击，横向渗透，资料回传

攻击者成功入侵目标网络后，通常并不急于获取敏感信息和数据，而是在隐藏自身的前提下寻找实施进一步行动的最佳时机。（攻击者利用已控的目标计算机作为跳板，在内部网络搜索目标信息。）当接收到特定指令，或者检测到环境参数满足一定条件时，恶意程序开始执行预期的动作，（最初是内部侦察，在周边有信任关系的设备或Windows域内收集信息）取决于攻击者的真正目的，APT将数据通过加密通道向外发送，或是破坏应用服务并阻止恢复，令受害者承受极大损失。（攻击者扩展到对工作站、服务器等设备的控制，在之上进行信息收集）。 资料窃取阶段，攻击者通过跳板访问关键服务器，在利用0day漏洞等方式攻击服务器，窃取有用信息。然后将窃取道德数据，应用、文件、邮件等资源回传，攻击者会将这些资源重新分割成细小的碎片逐步以不同的时间周期穿给自己。

4. 退出期：清理痕迹

以窃取信息为目的的APT类攻击一旦完成任务，用户端恶意程序便失去了使用价值；以破坏为目的的APT类攻击得手后即暴露了其存在。这两种情况中为了避免受害者推断出攻击的来源，APT代码需要对其在目标网络中存留的痕迹进行销毁，这个过程可以称之为APT的退出。APT根据入侵之前采集的系统信息，将滞留过的主机进行状态还原，并恢复网络配置参数，清除系统日志数据，使事后电子取证分析和责任认定难以进行

（6）1.使用威胁情报。这包括APT操作者的最新信息；从分析恶意软件获取的威胁情报；已知的C2网站；已知的不良域名、电子邮件地址、恶意电子邮件附件、电子邮件主题行；以及恶意链接和网站。威胁情报在进行商业销售，并由行业网络安全组共享。企业必须确保情报的相关性和及时性。威胁情报被用来建立“绊网”来提醒你网络中的活动。

2.建立强大的出口规则。除网络流量（必须通过代理服务器）外，阻止企业的所有出站流量，阻止所有数据共享和未分类网站。阻止SSH、FTP、Telnet或其他端口和协议离开网络。这可以打破恶意软件到C2主机的通信信道，阻止未经授权的数据渗出网络。

3.收集强大的日志分析。企业应该收集和分析对关键网络和主机的详细日志记录以检查异常行为。日志应保留一段时间以便进行调查。还应该建立与威胁情报匹配的警报。

4.聘请安全分析师。安全分析师的作用是配合威胁情报、日志分析以及提醒对APT的积极防御。这个职位的关键是经验。

【问题3】

（7）—（8）IP-SAN、FC-SAN

（9）通常SAN由磁盘冗余阵列RAID连接光纤通道FC组成。SAN和服务器和客户机的数据通信通过SCSI命令而非TCP/IP，数据处理是“块级”（block level）。利用光纤通道技术，FC-SAN可以有效地传输数据块。通过支持在存储和服务器之间传输海量数据块，SAN提供了数据备份的有效方式。因此，传统上用于数据备份的网络带宽可以节约下来用于其他应用。FC-SAN的另一个长处是传送数据块到企业级数据密集型应用的能力。在数据传送过程中，FC-SAN在通信结点（尤其是服务器）上的处理费用开销更少，因为数据在传送时被分成更小的数据块。因此，光纤通道FC-SAN在传送大数据块时非常有效，这使得光纤通道协议非常适用于存储密集型环境。

IP-SAN（IP存储）的通信通道是使用IP通道，而不是光纤通道，是把服务器与存储设备连接起来的技术。像光纤通道一样，IP存储是可交换的，但是与光纤通道不一样的是，IP网络是成熟的，不存在互操作性问题，用无所不在的IP网络，一定程度上保护了现有投资。

【问题4】

1、自动负载均衡，降低了存储系统整体故障率

2、快速精简重构，降低了双盘失效率和数据丢失的风险

3、故障自检自愈，保证了系统可靠性

4、虚拟池化设计，降低存储规划管理难度

4 问答题 1分

某校园宿舍WLAN网络拓扑结构如图1-1所示，数据规划如表1-1内容所示。该网络采用敏捷分布式组网在每个宿舍部署一个AP，AP连接到中心AP，所有AP和中心AP统一由AC进行集中管理，为每个宿舍提供高质量的WLAN网络覆盖。

【问题1】（10分）

补充命令片段的配置。

1.Router 的配置文件

[Huawei] sysname Router

[Router] vlan batch(1)

[Router] interface gigabitethernet 1/0/0

[Router GigabitEthernet 1/0/0] port link-type trunk

[Router GigabitEthernet 1/0/0] port trunk allow-pass vlan 101

[Router GigabitEthernet 1/0/0] quit

[Router] interface vlanif 101

[Router-Vlanifl01]ip address (2)

[Router-Vlanifl01]quit

2.AC的配置文件

#配置AC和其他网络设备互通

[HUAWEI]sysname (3)

[AC] vlan batch 100 101

[AC] interface gigabitethernet 0/0/1

[AC-GigabitEthernet0/0/1] port link -type trunk

[AC-GigabitEthernet0/0/1] port trunk pvid vlan 100

[AC-GigabitEthernet0/0/1] port trunk allow-pass vlan 100

[AC-GigabitEthernet0/0/1] port-isolate(4) //实现端口隔离

[AC-GigabitEthernet0/0/1] quit

[AC] interface gigabitethernet 0/0/2

[AC-GigabitEthernet0/0/2] port link-type trunk

[AC-GigabitEthernet0/0/2] port trunk allow-pass vlan 101

[AC-GigabitEthernet0/0/2] quit

#配置中心AP和AP上线

[AC] wlan

[AC-wlan-view] ap-group name ap-groupl

[AC-wlan-ap-group-ap-group1] quit

[AC-wlan-view] regulatory-domain-profile name default

[AC-wlan-regulate-domain-default] country-code (5)

[AC-wlan-regulate domain-default] quit

[AC-wlan-view]ap-group name ap-group1

[AC-wlan-ap-group-ap-group1] regulatory-domain-profile(6)

Warning: Modifying the country code will clear channel, power and antenna gain config

Of the config send reset the AP Continue?[Y/N]:y

[AC-wlan-ap-group-ap-group1]quit

[AC-wlan-view]quit

[AC]capwap source interface(7)

[AC] wlan

[AC-wlan-view] ap auth mode mac-auth

[AC-wlan-view] ap-id 0 ap-mac 68a8-2845-62fd//中心AP的MAC地址

[AC-wlan-ap-0] ap-name central AP

Warning: This operation may cause AP reset Continue?[Y/N]:y

[AC-wlan-ap-0] ap-group ap-group1

Warning: This operation may cause AP reset.If the country code changes,it will clear channel,power and antenna gain configuration s of the radio,Whether to continue?[Y/N]:y

[AC- wlan-ap-0] quit

其他相同配置略去

#配置WLAN业务参数

[AC-wlan-view] security-profile name wlan-net

[AC-wlan-sec-prof-wlan-net] security wpa-wpa2 psk pass-phrase(8) aes

[AC-wlan-sec-prof-wlan-net] quit

[AC-wlan-view] ssid-profile name wlan-net

[AC-wlan-ssid-prof-wlan-net] ssid(9)

[AC-wlan-ssid-prof-wlan-net] quit

[AC-wlan-view] vap-profile name wlan-net

[AC-wlan-vap-prof-wlan-net] forward-mode tunnel

[AC-wlan-vap-prof-wlan-net] service-vlan vlan-id(10)

[AC-wlan-vap-prof-wlan-net] security-profile wlan-net

[AC-wlan-vap-prof-wlan-net] ssid-profile wlan-net

[AC-wlan-vap-prof-wlan-net] quit

[AC-wlan-view] ap-group name ap-group1

[AC-wlan-ap-group-ap-groupl] vap-profile wlan-net wlan 1 radio 0

[AC-wlan-ap-group-ap-group1] vap-profile wlan-net wlan 1 radio 1

[AC-wlan-ap-group-ap-group1] quit

【问题2】（6分）

上述网络配置命令中，AP的认证方式是（11）方式，通过配置（12）配置。

（11）~（12）备选答案：

A、MAC

B、SN

C、AP地址

D、AP组

将AP加电后，执行（13）命令可以查看到AP是否正常上线。

(13)备选答案：

A. display ap all

B. display vap ssid

【问题3】(4分)

1.组播报文对无线网络空口的影响主要是（14），随着业务数据转发的方式不同，组播报文的抑制分别在（15）和（16）配置。

2.该网络AP部署在每一间宿舍的原因是(17)。

查看答案 开始考试

正确答案：

本题解析：

【问题1】

（1） 100 101 （2） 10.23.101.2 255.255.255.0 （3）AC （4）enable

（5）cn （6）default （7）vlanif 100 （8）a1234567 （9）wlan-net

（10）101

【问题2】

（11）A （12）D （13）A

【问题3】

（14）造成无线空接口拥堵 （15）AP直连的交换机端口 （16）AC的流量模板下

（17）房间之间的墙壁等障碍物会使无线信号严重衰减，影响WLAN信号质量

新版章节练习，考前压卷，完整优质题库+考生笔记分享，实时更新，软件，

【问题1】

（1）—（10）wifi配置同答案

【问题2】

（11）通过命令可以知道ap的认证模式为mac认证

[AC] wlan

[AC-wlan-view] ap auth-mode mac-auth

（12）创建AP组，用于将相同配置的AP都加入同一AP组中

（13）将AP上电后，当执行命令display ap all查看到AP的“State”字段为“nor”时，表示AP正常上线

【问题3】

（14）—（16） 纯组播报文由于协议要求在无线空口没有ACK机制保障，且无线空口链路不稳定，为了纯组播报文能够稳定发送，通常会以低速报文形式发送。如果网络侧有大量异常组播流量涌入，则会造成无线空口拥堵。为了减小大量低速组播报文对无线网络造成的冲击，建议配置组播报文抑制功能。

业务数据转发方式采用直接转发时，建议在直连AP的交换机接口上配置组播报文抑制。

业务数据转发方式采用隧道转发时，建议在AC的流量模板下配置组播报文抑制。

（17）由于大楼中房间较多，房间之间的墙壁等障碍物会使无线信号严重衰减，影响WLAN信号质量，因此采用敏捷分布式组网在每个房间部署一个AP，AP接入到中心AP，所有AP和中心AP统一由AC进行集中管理，为每个房间提供高质量的WLAN网络覆盖。