2026年5月23日软考网络工程师考试《案例分析》真题及答案（1）如下：

【考生回忆版】试题一（20分）

【说明】企业网络拓扑如图所示，由集团总部与展示中心两部分组成，展示中心距离集团20k，通过运营商提供的200Mbps链路实现互联。

1.集团总部全网运行OSPF协议（Area0）:

2.集团总部R3与展示中心R4之间采用静态路由实现互通:

3.集团市场部终端通过R3接入:

4.展示中心部署监控门禁、访客无线、办公区三类业务网络，办公区部署专用服务器，负责监控与门禁系统的控制及数据存储。

图暂缺

【问题1】（4分）

（1）展示中心投入运行后，该中心日均接待游客300余人，同时接待人数不超过150人。访客无线业务经常出现无法获取IP地址的现象。经排查发现DKCP地址池可用地址不足，在排除网络攻击的情况下，请简要分析产生该故障的原因并提出处理措施。

（2）办公区反映部分终端能够获取到IP地址，但无法访间互联网。经查网络中非法接入了启用DHCP服务的路由器。为有效解决该行为对网络的影响，应在交换机SW03上采取哪些安全配置?

【问题2】（6分）

图暂缺

（1）请简要分析故障产生的原因。

（2）为避免同类故障再次发生，请提出部署措施（至少2种）

【问题3】（4分）

展示中心的访客无线网络属于开放性接入环境，接入终端的网络行为无有效管控措施,可在R4与SWO2之间增设（1）设备，加强对访客网络的行为审计及流量管控，不改变现有网络配置及IP地址规划，该设备应以（2）工作模式部署。

【问题4】（6分）

日常运维中，网络工程师可在企业网络任意位置通过Telnet协议登录所有网络设备。当有外来人员协助运维时，经常通过即时通讯工具发送超级管理员账号、口令、管理地址等信息，直接登录设备进行维护。请指出该企业网络在日常运维工作中存在安全隐患，并提出对应的整改措施。（至少回答3点隐患及整改措施）

扫描下图，真题估分

试题答案：

【问题1】（4分）

（1）租期过长与用户流动性的矛盾、地址池容量设计不足，可以缩短DHCP租期，扩大DHCP地址池范围、启用地址池自动回收与优化，监控与预警。

（2）通常需要在接入交换机SW03上配置DHCPSnooping（DHCP监听）技术。通过将交换机端口划分为信任端口和非信任端口，彻底阻断非法DHCP响应包。将交换机连接上联汇聚/核心交换机（或合法DHCP服务器）的物理接口设置为trusted（信任端口）。

【问题2】（6分）

观察故障时R3和R4的路由表：

R3路由表中存在一条静态路由：192.168.0.0/23，下一跳指向R4（10.10.0.9，GE0/4）。

R4路由表中原本包含去往市场部或业务端的直连路由192.168.0.0/24和192.168.1.0/25。然而，R4同时拥有一条默认静态路由0.0.0.0/0，下一跳反向指向了R3（10.10.0.10，GE0/4）。

环路形成：当光模块导致R4的直连网段（如192.168.0.0/24）因接口Down而在路由表中消失时，前往该网段的数据包就会匹配R4的默认路由0.0.0.0/0发回给R3；而R3依然拥有192.168.0.0/23的静态路由，又将数据包扔给R4。

这种暂时的瞬时路由环路导致数据包在R3和R4之间疯狂丢包、无限循环直至TTL耗尽。巨大的垃圾流量瞬间挤爆链路带宽，造成网络明显的延迟和抖动，并进一步加剧了路由器CPU的处理负荷。

可采取以下技术部署措施：

1、配置黑洞路由（解决路由环路）在R4上配置一条指向NULL0（黑洞接口）的汇总路由：iproute-static192.168.0.023NULL0。

2、建议将R3-R4之间的链路改为OSPF模式，动态路由协议具备联动感知能力。当R4的接口DOWN掉后，OSPF会立即更新LSA，撤销该网段的路由信息。R3收到更新后，其路由表里去往该网段的路由也会自动消失，数据包在R3侧就会被直接丢弃，不会再往R4发送。

3、在R3和R4之间的互联链路上配置BFD联动静态路由。一旦检测到故障，BFD可以快速通知R3撤销或降低那条指向R4的静态路由的优先级，从而切断环路。

【问题3】（4分）

（1）上网行为管理器

（2）透明模式

【问题4】（6分）

1、管理协议不安全，数据明文传输

工程师在企业网络任意位置通过Telnet协议登录设备。Telnet协议在网络中是以明文形式传输数据的，包括登录用户名和密码。一旦网络中存在恶意嗅探，攻击者可以极其轻松地窃听并获取超级管理员密码。

整改措施：全面禁用Telnet服务，强制开启SSH（建议SSHv2）协议进行远程管理，确保所有管理流量在传输过程中都是加密的。

针对Web管理界面，应禁用不安全的HTTP，全面强制切换为HTTPS。

：第三方敏感信息传输泄密风险

安全隐患：通过微信、钉钉等即时通讯工具直接发送超级管理员账号、密码和管理IP。这些通讯工具的数据缓存可能留存在公有云服务器、本地终端或移动设备上，面临信息泄露、截屏流传或员工离职后数据残留的风险。

整改措施：建立规范的临时账号申请与审批流程。外协人员需要维护时，由内部网络工程师通过口令管理工具或专用的凭据分发渠道，生成临时、随机的高强度密码。

严禁在互联网即时通讯工具中明文发送“设备IP+账号+密码”组合。

3、缺乏统一身份认证与审计

安全隐患：外来人员与内部工程师经常共用一套“超级管理员账号”，无法做到“责权对应”。一旦设备配置被误改、恶意破坏或发生安全事件，在日志审计时，无法精确定位到具体的责任人（无法溯源究竟是哪位外协或内部员工的操作）。

整改措施：实行AAA机制（认证、授权、计费），为每位外协人员和内部工程师分配独立且合规的个人账号。

引入堡垒机（运维安全审计系统）：外协及内部运维人员不得直接连接网络设备，必须先登录堡垒机。由堡垒机进行统一的身份鉴别、访问控制，并对整个运维过程进行录像和命令级别的全量审计。

4、管理平面与业务平面未隔离，缺乏边界访问控制

安全隐患：工程师可在企业网络“任意位置”登录所有设备，意味着管理平面与普通的业务平面（如办公网、访客网、生产网）完全混杂。如果某个普通员工的电脑或访客终端感染了病毒或被黑客控制，黑客就能直接向核心设备的管理端口发起扫描和暴破攻击。

整改措施：划分独立的带外/带内管理VLAN，将所有网络设备的管理接口（如Console口、独立管理网口或管理VLAN虚接口）从普通业务网络中隔离出来。

在核心交换机或防火墙上配置严格的ACL（访问控制列表），实行“白名单”机制，仅允许堡垒机IP、运维终端IP以及特定管理网段访问网络设备的SSH/HTTPS端口。