2025年网络安全工程师考试《计算机网络与数据安全》备考题库及答案解析

2025年网络安全工程师考试《计算机网络与数据安全》备考题库及答案解析单位所属部门：________姓名：________考场号：________考生号：________一、选择题1.在计算机网络中，以下哪种设备主要负责在局域网内部转发数据包（）A.路由器B.交换机C.集线器D.网桥答案：B解析：交换机主要用于局域网内部的数据转发，通过MAC地址表来快速将数据帧发送到目标设备。路由器则负责在不同网络之间进行路径选择和数据转发。集线器是物理层设备，不具备智能转发功能。网桥用于连接不同类型的网络，但现代网络中已较少使用。2.TCP协议中，三次握手过程的主要目的是什么（）A.确认数据包的顺序B.建立可靠的连接C.测量网络延迟D.分配IP地址答案：B解析：TCP三次握手通过同步序列号确保客户端和服务器之间建立可靠的连接。第一次握手客户端发送SYN请求连接，第二次服务器回复SYNACK确认连接，第三次客户端发送ACK完成连接建立。这个过程确保双方都准备好通信。3.在HTTP协议中，哪个状态码表示请求成功（）A.404B.500C.200D.302答案：C解析：HTTP状态码200表示"OK"，即请求成功。404表示资源未找到，500表示服务器内部错误，302表示资源临时重定向。4.以下哪种加密算法属于对称加密（）A.RSAB.ECCC.DESD.SHA256答案：C解析：对称加密算法使用相同密钥进行加密和解密，DES（DataEncryptionStandard）是典型的对称加密算法。RSA和ECC属于非对称加密，SHA256是哈希算法。5.在网络攻击中，中间人攻击的主要危害是什么（）A.网络速度变慢B.窃取传输中的数据C.导致设备宕机D.增加网络延迟答案：B解析：中间人攻击通过拦截通信双方之间的数据，可以窃取或篡改传输内容。攻击者可以获取密码、信用卡信息等敏感数据，是网络安全中的严重威胁。6.VPN技术的主要作用是什么（）A.提高网络带宽B.增加网络设备数量C.隐藏真实IP地址D.减少网络延迟答案：C解析：VPN（VirtualPrivateNetwork）通过加密隧道隐藏用户的真实IP地址，保护数据传输安全，常用于远程办公和跨地域访问。7.在子网划分中，哪个子网掩码可以划分出最多个子网（）A.B.28C.D.答案：D解析：子网掩码中1的位数越多，可划分的子网数量越多。有22位1，可以划分出4个子网，是四个选项中最多的。8.网络安全策略中，"最小权限原则"的核心思想是什么（）A.给用户尽可能多的权限B.只授予完成工作所需的最低权限C.定期更换所有密码D.禁用所有不必要的服务答案：B解析：最小权限原则要求为用户和进程只授予完成其任务所必需的最小权限，限制潜在损害范围，是重要的安全控制策略。9.在公钥基础设施（PKI）中，证书颁发机构（CA）的主要职责是什么（）A.设计加密算法B.管理数字证书C.检测网络病毒D.设置网络路由答案：B解析：CA负责颁发、管理、验证和吊销数字证书，是PKI的核心组件，确保通信双方身份真实性。10.以下哪种网络拓扑结构抗故障能力最强（）A.星型B.环型C.树型D.总线型答案：C解析：树型拓扑结构具有层次化特点，单个节点或链路故障只会影响部分分支，不会导致整个网络瘫痪。相比之下，星型结构中心节点故障会导致所有连接中断，环型结构一个节点故障可能导致全网中断。11.下列哪种网络设备工作在OSI模型的物理层（）A.路由器B.交换机C.集线器D.网桥答案：C解析：集线器（Hub）是物理层设备，主要用于将多个设备连接到同一局域网，但它不进行数据包的智能处理。路由器工作在网络层，交换机工作在数据链路层，网桥也工作在数据链路层。物理层设备负责比特流的传输，不识别MAC或IP地址。12.在TCP/IP协议簇中，哪个协议主要负责将域名转换为IP地址（）A.FTPB.SMTPC.DNSD.HTTP答案：C解析：DNS（DomainNameSystem）是互联网的电话簿，负责将人类可读的域名（如）解析为机器可识别的IP地址。FTP是文件传输协议，SMTP是简单邮件传输协议，HTTP是超文本传输协议。13.以下哪种加密方式属于不可逆加密（）A.AESB.DESC.RSAD.MD5答案：D解析：不可逆加密（哈希函数）将任意长度的数据映射为固定长度的唯一哈希值，无法从哈希值反推出原始数据。MD5（MessageDigestAlgorithm5）是常见的哈希算法。AES（AdvancedEncryptionStandard）和DES（DataEncryptionStandard）是可逆的对称加密算法，RSA是可逆的非对称加密算法。14.网络安全中的"零信任安全模型"核心思想是什么（）A.默认信任，例外验证B.默认不信任，持续验证C.只信任内部网络D.只信任外部网络答案：B解析：零信任模型基于"从不信任，始终验证"的原则，要求对任何访问请求（无论来自内部还是外部）都进行身份验证和授权检查，不依赖网络位置判断安全性。15.在无线网络安全中，WPA3协议相比WPA2主要增强了哪些方面的安全性（）A.增加了更快的加密速度B.提高了更低的延迟C.引入了更强的密码策略D.改进了抗拒绝服务攻击能力答案：C解析：WPA3（WiFiProtectedAccess3）相比WPA2的主要安全增强包括：引入了更强的密码保护（如强制使用强密码）、改进的字典攻击防护、更安全的企业认证方式（EAPTLS），以及针对企业环境的更完善的安全架构。16.以下哪种网络攻击方式利用了系统或网络配置错误（）A.拒绝服务攻击（DDoS）B.SQL注入C.钓鱼邮件D.中间人攻击答案：B解析：SQL注入攻击利用应用程序对用户输入验证不足的漏洞，将恶意SQL代码注入到数据库查询中，从而窃取或篡改数据。这是典型的利用配置或编码错误的安全攻击。DDoS攻击是耗尽带宽，钓鱼邮件是欺诈手段，中间人攻击是拦截通信。17.在子网划分中，使用子网掩码92可以将一个C类网络划分为多少个子网（）A.2个B.4个C.8个D.16个答案：B解析：子网掩码92的二进制表示为11111111.11111111.11111111.11000000，其中主机位有6位（最后一个字节的后两位是0）。6位主机位可以划分出2^2=4个子网。18.网络安全策略中，"纵深防御"原则主要强调什么（）A.只在边界部署安全设备B.在网络各层级部署多重安全控制C.部署单一高性能的安全设备D.减少安全设备数量以提高效率答案：B解析：纵深防御（DefenseinDepth）策略主张在网络的不同层级（如网络边界、区域、主机、应用、数据）部署多种类型的安全控制措施，形成多层防护体系，即使某一层被突破，还有其他层可以阻止威胁扩散。19.在HTTPS协议中，SSL/TLS证书的主要作用是什么（）A.加速网站访问速度B.防止网络病毒感染C.确保通信内容的机密性和完整性D.自动完成网站备案答案：C解析：SSL/TLS证书通过公钥加密技术，为HTTPS通信提供两个核心安全保证：1)机密性，确保数据在传输过程中被加密，防止窃听；2)完整性，确保数据在传输过程中未被篡改；同时证书还验证了服务器的身份真实性。20.以下哪种网络设备可以隔离网络中的故障段，防止故障扩散（）A.路由器B.交换机C.集线器D.生成树协议（STP）实现的功能答案：D解析：生成树协议（SpanningTreeProtocol，STP）的主要功能是通过逻辑阻塞某些网络路径，防止二层网络环路，从而隔离故障段，防止广播风暴和环路导致的数据包无限循环。路由器工作在网络层，交换机工作在数据链路层，集线器不具备隔离故障的能力。二、多选题1.以下哪些属于TCP协议三次握手的阶段（）A.客户端发送SYN报文B.服务器发送SYN+ACK报文C.客户端发送ACK报文D.服务器发送FIN报文E.客户端发送RST报文答案：ABC解析：TCP三次握手过程包括三个步骤：1)客户端发送SYN报文请求连接；2)服务器回复SYN+ACK报文确认连接；3)客户端发送ACK报文完成连接建立。服务器发送FIN报文表示请求关闭连接，属于四次挥手阶段。客户端发送RST报文表示重置连接，用于异常情况下的连接中断。2.在网络安全策略中，以下哪些体现了最小权限原则（）A.为用户分配完成工作所需的最低权限B.定期更换所有用户密码C.限制用户访问非工作相关的系统资源D.对不同职责的用户分配不同权限级别E.禁用所有不必要的服务和账户答案：ACD解析：最小权限原则的核心是限制用户或进程只拥有完成其任务所必需的最小权限。这包括：为用户分配完成工作所需的最低权限（A），限制用户只能访问完成工作所必需的资源（C），根据职责不同分配不同权限级别（D）。定期更换密码（B）是密码策略的要求，禁用不必要的服务（E）是系统加固措施，虽然相关但不是最小权限原则的核心内容。3.以下哪些属于常见的对称加密算法（）A.DESB.AESC.RSAD.3DESE.Blowfish答案：ABDE解析：对称加密算法使用相同的密钥进行加密和解密。DES（DataEncryptionStandard）、AES（AdvancedEncryptionStandard）、3DES（TripleDES）和Blowfish都属于对称加密算法。RSA属于非对称加密算法，其特点是使用公钥和私钥。4.网络安全事件响应流程通常包括哪些主要阶段（）A.准备阶段B.识别阶段C.分析阶段D.防御阶段E.恢复阶段答案：ABCE解析：典型的网络安全事件响应流程包括：1)准备阶段（建立预案和团队）；2)识别阶段（检测和确认事件）；3)分析阶段（确定事件范围和影响）；4)含义（处置阶段，包括遏制、根除和恢复）。防御阶段通常是日常安全措施，虽然与响应相关，但通常被视为独立的安全职能，而非响应流程的直接阶段。5.在无线网络安全中，WPA2和WPA3相比，WPA3增加了哪些安全特性（）A.支持更长的密码B.引入了CCMPGSMK加密C.提供了更强的保护againstKRACK攻击D.支持企业级的认证方式PEAPv3E.增强了对字典攻击的防护答案：ADE解析：WPA3相比WPA2的主要安全增强包括：1)支持更长的密码（A），提高了对暴力破解的抵抗能力；2)增强了对KRACK（KeyReinstallationAttack）攻击的防护（C）；3)提供了更强的保护against字典攻击（E），尤其是在企业环境中。CCMPGSMK是WPA2中使用的加密机制，不是WPA3新增的（B错误）。虽然WPA3支持更现代的企业认证方式PEAPv3（D正确），但这通常被视为企业功能的增强而非核心安全特性。6.以下哪些属于常见的网络攻击类型（）A.拒绝服务攻击（DDoS）B.SQL注入C.钓鱼邮件D.跨站脚本攻击（XSS）E.恶意软件植入答案：ABCDE解析：这些都属于常见的网络攻击类型。DDoS攻击通过大量请求耗尽目标资源；SQL注入攻击利用Web应用漏洞访问数据库；钓鱼邮件通过欺诈手段获取用户信息；跨站脚本攻击（XSS）在网页中注入恶意脚本；恶意软件植入通过病毒、木马等手段感染系统。7.在子网划分中，使用子网掩码24可以将一个C类网络划分为多少个子网和每个子网可以容纳多少个主机（）A.4个子网B.8个子网C.30个主机D.32个主机E.62个主机答案：ACE解析：子网掩码24的二进制表示为11111111.11111111.11111111.11100000，其中主机位有5位（最后一个字节的后三位是0）。5位主机位可以划分出2^2=4个子网（A）。每个子网的主机数为2^52=30个（C，减去网络地址和广播地址）。选项B（8个子网）和D（32个主机）是错误的，选项E（62个主机）虽然数值接近但描述不清（实际是30个）。8.防火墙的主要功能有哪些（）A.过滤网络流量B.防止病毒感染C.隔离网络segmentD.记录网络日志E.加密网络数据答案：ACD解析：防火墙的主要功能包括：1)根据安全策略过滤网络流量（A）；2)隔离网络segment，控制不同网络区域之间的访问（C）；3)记录网络活动日志，用于审计和追踪（D）。防火墙本身不防止病毒感染（B），也不负责加密网络数据（E），加密通常由VPN或SSL/TLS等实现。9.在公钥基础设施（PKI）中，哪些组件是核心组成部分（）A.证书颁发机构（CA）B.证书注销列表（CRL）C.证书存储库D.密钥生成中心（KGC）E.安全电子邮件网关答案：ABCD解析：PKI的核心组件包括：1)证书颁发机构（CA），负责颁发和管理证书（A）；2)证书注销列表（CRL）或在线证书状态协议（OCSP）服务器，用于发布已注销的证书（B）；3)密钥生成中心（KGC），负责生成和管理密钥对（D）；4)证书存储库，用于存储和分发证书（C）。安全电子邮件网关（E）是安全产品，但不是PKI的核心组件。10.在网络安全评估中，渗透测试通常包含哪些阶段（）A.信息收集B.漏洞扫描C.权限提升D.数据窃取E.报告编写答案：ABCE解析：渗透测试通常包含以下阶段：1)信息收集，了解目标系统和网络（A）；2)漏洞扫描，识别潜在安全漏洞（B）；3)权限提升，尝试利用漏洞获取系统权限（C）；4)报告编写，记录测试过程、发现的问题和修复建议（E）。数据窃取（D）可能是渗透测试的目的之一，但不是测试的阶段本身。11.以下哪些属于TCP协议三次握手的阶段（）A.客户端发送SYN报文B.服务器发送SYN+ACK报文C.客户端发送ACK报文D.服务器发送FIN报文E.客户端发送RST报文答案：ABC解析：TCP三次握手过程包括三个步骤：1)客户端发送SYN报文请求连接；2)服务器回复SYN+ACK报文确认连接；3)客户端发送ACK报文完成连接建立。服务器发送FIN报文表示请求关闭连接，属于四次挥手阶段。客户端发送RST报文表示重置连接，用于异常情况下的连接中断。12.在网络安全策略中，以下哪些体现了最小权限原则（）A.为用户分配完成工作所需的最低权限B.定期更换所有用户密码C.限制用户访问非工作相关的系统资源D.对不同职责的用户分配不同权限级别E.禁用所有不必要的服务和账户答案：ACD解析：最小权限原则的核心是限制用户或进程只拥有完成其任务所必需的最小权限。这包括：为用户分配完成工作所需的最低权限（A），限制用户只能访问完成工作所必需的资源（C），根据职责不同分配不同权限级别（D）。定期更换密码（B）是密码策略的要求，禁用不必要的服务（E）是系统加固措施，虽然相关但不是最小权限原则的核心内容。13.以下哪些属于常见的对称加密算法（）A.DESB.AESC.RSAD.3DESE.Blowfish答案：ABDE解析：对称加密算法使用相同的密钥进行加密和解密。DES（DataEncryptionStandard）、AES（AdvancedEncryptionStandard）、3DES（TripleDES）和Blowfish都属于对称加密算法。RSA属于非对称加密算法，其特点是使用公钥和私钥。14.网络安全事件响应流程通常包括哪些主要阶段（）A.准备阶段B.识别阶段C.分析阶段D.防御阶段E.恢复阶段答案：ABCE解析：典型的网络安全事件响应流程包括：1)准备阶段（建立预案和团队）；2)识别阶段（检测和确认事件）；3)分析阶段（确定事件范围和影响）；4)含义（处置阶段，包括遏制、根除和恢复）。防御阶段通常是日常安全措施，虽然与响应相关，但通常被视为独立的安全职能，而非响应流程的直接阶段。15.在无线网络安全中，WPA2和WPA3相比，WPA3增加了哪些安全特性（）A.支持更长的密码B.引入了CCMPGSMK加密C.提供了更强的保护againstKRACK攻击D.支持企业级的认证方式PEAPv3E.增强了对字典攻击的防护答案：ADE解析：WPA3相比WPA2的主要安全增强包括：1)支持更长的密码（A），提高了对暴力破解的抵抗能力；2)增强了对KRACK（KeyReinstallationAttack）攻击的防护（C）；3)提供了更强的保护against字典攻击（E），尤其是在企业环境中。CCMPGSMK是WPA2中使用的加密机制，不是WPA3新增的（B错误）。虽然WPA3支持更现代的企业认证方式PEAPv3（D正确），但这通常被视为企业功能的增强而非核心安全特性。16.以下哪些属于常见的网络攻击类型（）A.拒绝服务攻击（DDoS）B.SQL注入C.钓鱼邮件D.跨站脚本攻击（XSS）E.恶意软件植入答案：ABCDE解析：这些都属于常见的网络攻击类型。DDoS攻击通过大量请求耗尽目标资源；SQL注入攻击利用Web应用漏洞访问数据库；钓鱼邮件通过欺诈手段获取用户信息；跨站脚本攻击（XSS）在网页中注入恶意脚本；恶意软件植入通过病毒、木马等手段感染系统。17.在子网划分中，使用子网掩码24可以将一个C类网络划分为多少个子网和每个子网可以容纳多少个主机（）A.4个子网B.8个子网C.30个主机D.32个主机E.62个主机答案：ACE解析：子网掩码24的二进制表示为11111111.11111111.11111111.11100000，其中主机位有5位（最后一个字节的后三位是0）。5位主机位可以划分出2^2=4个子网（A）。每个子网的主机数为2^52=30个（C，减去网络地址和广播地址）。选项B（8个子网）和D（32个主机）是错误的，选项E（62个主机）虽然数值接近但描述不清（实际是30个）。18.防火墙的主要功能有哪些（）A.过滤网络流量B.防止病毒感染C.隔离网络segmentD.记录网络日志E.加密网络数据答案：ACD解析：防火墙的主要功能包括：1)根据安全策略过滤网络流量（A）；2)隔离网络segment，控制不同网络区域之间的访问（C）；3)记录网络活动日志，用于审计和追踪（D）。防火墙本身不防止病毒感染（B），也不负责加密网络数据（E），加密通常由VPN或SSL/TLS等实现。19.在公钥基础设施（PKI）中，哪些组件是核心组成部分（）A.证书颁发机构（CA）B.证书注销列表（CRL）C.证书存储库D.密钥生成中心（KGC）E.安全电子邮件网关答案：ABCD解析：PKI的核心组件包括：1)证书颁发机构（CA），负责颁发和管理证书（A）；2)证书注销列表（CRL）或在线证书状态协议（OCSP）服务器，用于发布已注销的证书（B）；3)密钥生成中心（KGC），负责生成和管理密钥对（D）；4)证书存储库，用于存储和分发证书（C）。安全电子邮件网关（E）是安全产品，但不是PKI的核心组件。20.在网络安全评估中，渗透测试通常包含哪些阶段（）A.信息收集B.漏洞扫描C.权限提升D.数据窃取E.报告编写答案：ABCE解析：渗透测试通常包含以下阶段：1)信息收集，了解目标系统和网络（A）；2)漏洞扫描，识别潜在安全漏洞（B）；3)权限提升，尝试利用漏洞获取系统权限（C）；4)报告编写，记录测试过程、发现的问题和修复建议（E）。数据窃取（D）可能是渗透测试的目的之一，但不是测试的阶段本身。三、判断题1.TCP协议的三次握手过程中，如果客户端发送的SYN报文丢失，服务器会发送RST报文给客户端。（）答案：错误解析：在TCP三次握手过程中，SYN报文丢失不会导致服务器发送RST报文。服务器只有在收到客户端的SYN报文后，回复SYN+ACK，再收到客户端的ACK报文后，连接才建立。如果SYN丢失，服务器会超时重发SYN报文，客户端会在重传SYN报文时收到服务器的SYN+ACK，然后发送ACK完成连接。只有当服务器收到重复的SYN报文时，才会发送RST报文来重置连接。因此，题目表述错误。2.子网掩码适用于C类网络地址，它可以将一个C类网络划分为多个子网。（）答案：正确解析：子网掩码等于二进制的11111111.11111111.11111111.00000000，其中前24位为网络位，后8位为主机位。这种子网掩码适用于C类网络地址，它将C类网络的主机位全部用于网络部分，实际上不进行子网划分，每个C类网络本身就只有一个子网。但题目说的是“可以划分为多个子网”，从技术上讲，使用作为子网掩码确实将整个C类网络视为一个子网，因此题目表述可以认为是正确的，尽管在实际应用中C类网络通常使用更小的子网掩码进行划分。3.WPA3相比WPA2最大的改进是引入了更强大的AES加密算法。（）答案：错误解析：WPA3相比WPA2的主要改进不是引入了更强大的AES加密算法。AES加密算法在WPA2和WPA3中都是使用的，WPA3并没有改变这一点。WPA3的主要改进包括：引入了更强的保护againstKRACK攻击、支持更长的密码、改进的字典攻击防护以及企业认证方式的增强（如PEAPv3）。因此，题目表述错误。4.HTTPS协议通过使用SSL/TLS协议对传输数据进行加密，可以防止中间人攻击。（）答案：正确解析：HTTPS（HTTPSecure）协议是在HTTP协议的基础上加入了SSL/TLS协议层，通过使用公钥加密技术对传输数据进行加密，确保了数据的机密性和完整性。这可以有效防止中间人攻击者窃听或篡改通信内容，因为攻击者即使截获了数据包，也无法解密其中的内容。因此，题目表述正确。5.网络安全中的零信任安全模型要求默认信任网络内部的任何用户和设备。（）答案：错误解析：零信任安全模型的核心思想是“从不信任，始终验证”，它要求对任何访问请求（无论来自内部还是外部）都进行严格的身份验证和授权检查，不依赖于网络位置判断安全性。这与“默认信任网络内部的任何用户和设备”的思想完全相反。因此，题目表述错误。6.在常见的网络攻击类型中，病毒感染属于拒绝服务攻击的一种。（）答案：错误解析：病毒感染属于恶意软件攻击的一种，它通过植入恶意代码来破坏系统或窃取数据。拒绝服务攻击（DDoS）则是通过大量合法请求耗尽目标资源，使其无法正常提供服务。这两者属于不同类型的网络攻击。因此，题目表述错误。7.渗透测试的主要目的是评估系统的安全性，找出潜在的安全漏洞并提供修复建议。（）答案：正确解析：渗透测试（PenetrationTest）是一种模拟攻击的安全评估方法，其主要目的是通过模拟黑客攻击行为来评估系统的安全性，找出潜在的安全漏洞，并评估这些漏洞被利用的可能性和影响，最后提供详细的修复建议。因此，题目表述正确。8.证书注销列表（CRL）用于存储已经失效的数字证书信息。（）答案：正确解析：证书注销列表（CRL）是由证书颁发机构（CA）发布的，用于列出已经失效或被吊销的数字证书信息。当用户或应用程序尝试验证某个证书的有效性时，会查询CRL来确认该证书是否仍然有效。因此，题目表述正确。9.在TCP/IP协议簇中，IP协议工作在传输层，负责数据包的可靠传输。（）答案：错误解析：在TCP/IP协议簇中，IP协议工作在网络层（第三层），主要负责将数据包从源主机路由到目标主机，提供无连接的、尽力的数据包交付服务，但不保证传输的可靠性。传输层负责数据包的可靠传输，对应的协议是TCP。因此，题目表述错误。10.防火墙可以完全阻止所有网络攻击，保障网络安全。（）答案：错误解析：防火墙是网络安全的重要设备，可以根据安全策略过滤网络流量，阻止未经授权的访问，但它并不能完全阻止所有网络攻击。例如，防火墙通常无法阻止来自内部网络的攻击、病毒感染、社交工程攻击等。因此，题目表述错误。四、简答题1.简述TCP协议三次握手的过程及其目的。答案：TCP协议的三次握手过程如下：第一次握手：客户端向服务器发送一个SYN（SynchronizeSequenceNumbers）报文段，请求建立连接。报文段中包含一个初始序列号（ISN），用于后续数据传输的序列号同步。第二次握手：服务器收到客户端的SYN报文段后，如果同意连接，则向客户端回复一个SYN+ACK（SynchronizeSequenceNumbers+Acknowledgment）报文段。报文段中包含服务器的初始序列号，并确认客户端的SYN报文（ACK=1，确认号为客户端的ISN+1）。第三次握手：客户端收到服务器的SYN+ACK报文段后，向服务器发送一个ACK（Acknowledgment）报文段，确认服务器的SYN报文（ACK=1，确认号为服务器的ISN+1）。服务器收到这个ACK报文段后，连接建立成功，双方可以开始传输数据。三次握手的目的在于确保客户端和服务器双方都准备好进行数据传输，并同步初始序列号，为可靠的数据传输奠定基础。通过三次握手，可以防止已失效的连接请求报文段突然传到服务器，从而建立无效连接。2.解释什么是子网划分，并说明其作用。答案：子网划分（Subnetting）是将一个大的网络划分为多个小的、更易于管理的子网络的技术。具体来说，是在网络层（IP层）将IP地址的主机部分再划分出网络部分，从而形成多个子网。例如，一个默认的C类网络掩码是，它有一个主机位，只能划分出1个子网。通过使用更小的子网掩码（如92），可以将这个C类网络划分为4个子网（每个子网有两个可用主机地址）。子网划分的作用主要有：（1）.提高网络管理效率：将大型网络划分为多个子网，可以简化网络管理，便于对每个子网进行独立的配置和维护。（2）.增强网络安全性：通过隔离不同子网，可以限制广播