2025软考中级网络工程师考试题型及答案

2025软考中级网络工程师考试题型及答案1.单项选择题（每题1分，共40分）1.1在IPv6地址中，用于表示“链路本地单播地址”的前缀是A.FE80::/10  B.FEC0::/10  C.2001::/32  D.FF00::/8答案：A解析：FE80::/10是IANA规定的链路本地地址范围，路由器不转发该范围报文，仅用于同一二层链路的邻居发现与自动配置。1.2某企业采用VRRP实现网关冗余，若希望Backup路由器在Master失效后0.5s内接管流量，应调整的最关键参数是A.Priority  B.PreemptMode  C.AdvertisementInterval  D.AuthenticationType答案：C解析：VRRP通过Advertisement报文维持主备状态，间隔越小，检测速度越快；默认1s，可改为0.2s，使三次丢包检测时间缩短至0.6s，满足0.5s接管需求。1.3在BGP路由选路规则中，首先比较的是A.Local_Pref  B.AS_Path长度  C.Origin属性  D.MED答案：A解析：BGP13条选路规则中，第2步即比较Local_Pref，值大者优，仅次於第1步“Weight”（Cisco私有）。1.4某802.11ax网络使用160MHz信道，若子载波间隔为78.125kHz，则数据子载波数为A.980  B.1960  C.2340  D.4680答案：B解析：160MHz共2048个子载波，其中导频与保护带占88，数据子载波=2048−88=1960。1.5在Linux系统中，下列哪条命令可将网卡eth1的MTU临时改为9000A.ifconfigeth1mtu9000  B.iplinkseteth1mtu9000  C.echo9000>/sys/class/net/eth1/mtu  D.ethtool-Seth1mtu9000答案：B解析：iproute2套件中的ip命令为当前主流方式，ifconfig已废弃；/sys接口仅可读；ethtool-S用于统计。1.6某园区网运行OSPFv3，路由器R1的Router-ID为，若在接口下配置ospfv3cost20，则该配置影响的是A.类型1路由的区域内计算  B.类型3路由的汇总  C.类型5路由的外部开销  D.类型4路由的转发答案：A解析：OSPFv3cost仅用于区域内SPF树计算，外部路由开销由ForwardAddress与外部度量类型决定。1.7在DNSSEC验证过程中，解析器使用哪种记录验证子zone的DS记录有效性A.DNSKEY  B.RRSIG  C.NSEC  D.DS答案：B解析：DS记录由父zone签发，其真实性通过父zone的RRSIG/DNSKEY链验证；子zone的DNSKEY再由DS哈希校验。1.8某MPLS网络运行LDP，若LSRA收到标签映射消息{FEC=/8,Label=1024}，则A将该标签加入A.FIB  B.LFIB  C.RIB  D.LIB答案：D解析：LIB保存所有标签映射信息；LFIB仅保存最优入标签与出标签映射；FIB为IP层转发表；RIB为路由表。1.9在SNMPv3中，提供认证与加密的最安全安全级别是A.noAuthNoPriv  B.authNoPriv  C.authPriv  D.privNoAuth答案：C解析：authPriv同时启用HMAC-MD5/HMAC-SHA与CBC-DES/AES加密，满足完整性、真实性、机密性。1.10某STP网络中，BridgePriority默认32768，若管理员将交换机SW1优先级设为8192，则SW1将成为A.根桥  B.指定桥  C.备份根桥  D.边缘桥答案：A解析：STP先比较Bridge-ID（Priority+MAC），优先级小者优；8192<32768，故SW1极可能成为根桥。（以下单题略去题干，直接给出答案与核心解析）1.11C  DHCPv6中继使用UDP547→547，非546。1.12B  IPSecESP传输模式不加密原IP头，仅加密上层数据。1.13A  802.1XEAP-TLS需客户端证书，提供双向认证。1.14D  NetFlowv9模板字段中，IPV4_SRC_ADDR=8。1.15C  CiscoACI的VXLANVNID为24位，支持16M隔离。1.16B  Linuxconntrack模块跟踪连接状态，属于状态防火墙基础。1.17A  BGPEVPNType2路由携带主机MAC/IP，用于ARP抑制。1.18C  RAGuard通过IPv6RouterAdvertisement报文源MAC+前缀白名单过滤。1.19D  DNS查询中，TC位置1表示报文截断，提示使用TCP。1.20B  iBGP路由默认不会转发给其它iBGP邻居，需RR或Full-Mesh。1.21A  CiscoIOS的BFDEcho报文源地址为远端接口地址，降低检测延迟。1.22C  802.11rFTover-the-DS使用四次握手，减少漫游至50ms内。1.23B  在Python的scapy模块中，srp()函数发送二层帧并接收应答。1.24D  IPv6任播地址与单播地址格式相同，靠路由注入区分。1.25A  MSTP实例0为IST，负责与CST互操作。1.26C  SNMPMIB-II的ifSpeed单位是bit/s，1Gbps=1000000000。1.27B  CiscoIOS-XE的GuestShell基于CentOS容器，运行Python脚本。1.28A  在Wireshark中，过滤表达式“tcp.analysis.retransmission”可定位重传。1.29D  IPSLAICMPJitter默认频率60s，可自定义。1.30C  VXLANOAM中，VNIPing使用ICMPv4/IPv6承载，TTL=1检测Underlay。1.31B  LinuxeBPF程序类型XDP可在驱动层drop包，性能最优。1.32A  CiscoDNACenter的SD-Access使用LISP+VXLAN，数据平面为VXLAN。1.33C  在BGP中，使用“aggregate-addresssummary-only”抑制明细。1.34D  IPv6扩展头路由头Type0已被RFC5095废除，防止放大攻击。1.35B  CiscoIOS的ControlPlanePolicing使用MQC，类-map匹配CoPP。1.36A  802.1Qbv时间感知调度将时间划分为时隙，实现确定性转发。1.37C  在Python中，使用socket.AF_PACKET可构造原始以太网帧。1.38B  DHCPSnooping绑定表包含MAC、IP、VLAN、端口、租约。1.39D  CiscoIOS的EEM可调用Tcl脚本，响应SNMPOID变化。1.40A  在Linux中，tc命令的htbqdisc支持带宽分层控制。2.多项选择题（每题2分，共20分）2.1下列哪些协议支持链路聚合控制协议（LACP）A.802.3ad  B.802.1AX  C.PAgP  D.EtherChannel  E.802.1Q答案：AB解析：802.3ad被802.1AX替代，二者均定义LACP；PAgP为Cisco私有；EtherChannel为统称；802.1Q为VLAN。2.2在CiscoIOS中，哪些命令可查看IP路由表中的BGP路由A.showipbgp  B.showiproutebgp  C.showbgpipv4unicast  D.showroutebgp  E.showipprotocols答案：ABC解析：showiproutebgp仅显示最优BGP路由；showipbgp显示全部路径；showbgpipv4unicast为AFI命令；showroutebgp为Juniper语法；showipprotocols显示协议参数。2.3以下哪些攻击可通过DHCPSnooping+DAI联合防御A.ARP欺骗  B.DHCP饿死  C.IP地址欺骗  D.MACflooding  E.STP根欺骗答案：ABC解析：DAI检查ARP报文与DHCPSnooping绑定表一致性；DHCP饿死通过CHADDR限速防御；MACflooding由端口安全防御；STP根欺骗由BPDUGuard防御。2.4在IPv6中，哪些地址类型必须被路由器丢弃，不转发A.::1  B.FE80::/10  C.FC00::/7  D.FF02::1  E.2001:DB8::/32答案：ABD解析：::1为环回；FE80::/10链路本地；FF02::1链路本地所有节点；FC00::/7唯一本地可路由；2001:DB8::/32文档用，可配置测试。2.5关于MPLSL3VPN，以下说法正确的是A.RD用于区分不同VPN的相同IPv4地址  B.RT控制VPN路由导入导出  C.VPNv4地址族使用AFI=1SAFI=128  D.标签栈深度至少2层  E.PE-CE必须使用BGP答案：ABCD解析：PE-CE可使用静态、OSPF、RIP、EIGRP；标签栈顶层LDP，底层VPN，故至少2层。2.6在Linux中，哪些工具支持基于eBPF的XDP程序加载A.iproute2  B.bpftool  C.ethtool  D.tc  E.iptables答案：ABD解析：iplinksetdeveth1xdpobjprog.o；tcfilteradddeveth1ingressbpfobjprog.o；bpftoolprogload；ethtool与iptables不支持直接加载XDP。2.7以下哪些SNMPv3安全模型支持authPrivA.USM  B.TSM  C.CSM  D.VACM  E.SNMPv2c答案：AB解析：USM为User-basedSecurityModel；TSM为TransportSecurityModel（DTLS）；VACM为View-basedAccessControl，非安全模型。2.8在802.11ax中，哪些技术可提高高密度场景吞吐量A.OFDMA  B.MU-MIMO  C.1024-QAM  D.TWT  E.DSSS答案：ABCD解析：OFDMA频分多址；MU-MIMO下行多用户；1024-QAM提升速率；TWT节能；DSSS为802.11b技术，速率低。2.9关于CiscoIOS-XR的Yang模型，以下正确的是A.支持OpenConfig  B.使用gNBI传输  C.支持Candidate配置库  D.使用commit确认  E.基于XML编码答案：ACDE解析：gNBI为拼写错误，应为gRPC/gNMI；IOS-XR支持OpenConfig、Candidate、commit、XML/JSON。2.10在Python中，哪些库可用于并发网络编程A.asyncio  B.threading  C.multiprocessing  D.scapy  E.tkinter答案：ABC解析：asyncio为异步IO；threading与multiprocessing实现并发；scapy为构造报文；tkinter为GUI。3.填空题（每空2分，共20分）3.1在CiscoIOS中，使用________命令可查看BFD邻居会话状态，输出中“State”字段为UP表示会话建立。答案：showbfdneighborsdetails3.2在Linux中，使用________工具可实时观察内核丢弃数据包的原因，需开启–trace=drop选项。答案：dropwatch3.3在BGPEVPN中，Type3路由用于________发现，实现VXLAN隧道自动建立。答案：InclusiveMulticastEthernetTagRoute3.4在IPv6中，节点在发送NS报文解析链路层地址时，目的MAC为________地址。答案：solicited-nodemulticast3.5在Wireshark中，过滤表达式“________”可显示所有HTTP状态码为404的响应包。答案：http.response.code==4043.6在CiscoACI中，EPG之间的策略由________对象定义，默认规则为拒绝。答案：Contract3.7在Python中，使用________模块可实现基于select的异步socket服务器，无需第三方库。答案：select3.8在MPLS中，LDP使用________端口进行TCP会话建立，源端口随机。答案：6463.9在802.1X认证中，EAPOL报文的EtherType值为________。答案：0x888e3.10在Linux中，使用________命令可查看当前系统开启的监听TCP端口及进程PID。答案：ss-ltnp4.判断题（每题1分，共10分）4.1在OSPFv3中，Router-LSA携带链路本地地址作为拓扑信息。答案：错误解析：OSPFv3Router-LSA仅描述邻居Router-ID与接口ID，不携带IPv6地址。4.2BGP的AS_Path属性在联盟内子AS之间使用AS_CONFED_SEQUENCE，不会传出联盟。答案：正确4.3802.11ac仅支持5GHz频段，不支持2.4GHz。答案：正确4.4在Linux中，/proc/sys/net/ipv4/ip_forward值为0表示开启路由转发。答案：错误4.5VRRP的虚拟MAC为00-00-5E-00-01-{VRID}。答案：正确4.6SNMPv3的VACM用于加密用户数据。答案：错误解析：VACM用于访问控制，加密由USM或TSM提供。4.7在VXLAN中，VNI长度为24位，支持16777216个隔离网络。答案：正确4.8CiscoIOS的BFDEcho模式要求远端设备必须支持BFD。答案：错误解析：Echo由本端发送环回报文，远端无需支持BFD即可检测链路。4.9IPv6扩展头路由头Type4用于SRv6，称为SRH。答案：正确4.10在Python中，socket.SOCK_RAW需要CAP_NET_ADMIN能力。答案：错误解析：需CAP_NET_RAW，非CAP_NET_ADMIN。5.简答题（每题10分，共30分）5.1某企业采用双出口BGP接入ISP-A与ISP-B，AS号为65001，希望入流量优先走ISP-A，出流量优先走ISP-B，请给出关键配置思路与BGP属性设置。答案：1.入流量控制：向ISP-A宣告路由时设置更高的Local_Pref（如200），ISP-B保持默认100；同时ISP-A方向prepend6500165001，降低对端优选；使用community通知ISP-A优先传播。2.出流量控制：在接收ISP-A与ISP-B路由时，设置Local_Pref：ISP-B路由Local_Pref设为200，ISP-A保持100，使出口优选ISP-B。3.使用AS_Path过滤器确保仅接收默认路由及部分前缀，防止成为transit。4.配置BGP负载分担命令maximum-paths2，实现等价分流备份。5.使用IPSLA+BFD跟踪ISP-B下一跳，失效时自动切换出流量到ISP-A。5.2描述802.11ax上下行OFDMA机制，并说明如何在AP端配置20MHz/9个子载波RU分配，给出CiscoWLC示例配置。答案：802.11ax将信道划分为若干资源单元RU，最小RU为26子载波（约2MHz）。下行OFDMA由AP调度，通过Trigger帧通知每个STA分配的RU、MCS、功率；上行OFDMA由AP发送BSRP（BufferStatusReportPoll）触发STA在指定RU同时发送数据。CiscoWLC配置：```config802.11axnetworkofdmadownlinkenableconfig802.11axnetworkofdmauplinkenableconfig802.11achannelwidth20config802.11aofdmaru-allocationautomaticconfig802.11aofdmamin-ru-size26-subcarrier```通过GUI查看RadioResourceManagement→802.11axOFDMAStatistics，可观察RU利用率、STA分配情况。5.3某数据中心采用BGPEVPN+VXLANFabric，Spine-Leaf架构，Leaf作为VTEP。现发现VM迁移后ARP表项不同步，导致流量黑洞，请分析原因并给出排查步骤。答案：原因：1.EVPNType2路由未携带主机MAC/IP或RT不匹配导致远端Leaf未安装。2.本地VTEP未启用ARP抑制，VM迁移后发送ARP请求，远端Leaf未代答。3.迁移后VM未发送GratuitousARP，远端Leaf缓存旧MAC。排查：1.在源Leaf执行showbgpl2vpnevpnroute-type2|include<VM-MAC>，确认是否生成Type2。2.检查RD/RT与远端Leaf是否一致，使用showbgpl2vpnevpnsummary查看邻居状态。3.在远端Leaf执行showevpnroutemac<VM-MAC>，确认是否接收并安装。4.检查VNIVLAN映射，确认L2VNI与BD一致。5.使用showvxlanaddress-table|include<VM-MAC>验证远端是否学习。6.若ARP抑制开启，检查是否配置arp-proxyenable；若关闭，强制VM发送GARP或重启网卡。7.使用packetcapture在目的Leaf抓VTEP口，确认是否收到ARP请求并代答。修复