2025年网络管理员试卷及答案

2025年网络管理员及答案一、单项选择题（每题2分，共30分）1.在IPv6地址中，用于表示本地链路单播地址的前缀是A.FE80::/10  B.FC00::/7  C.2000::/3  D.FF00::/8答案：A解析：FE80::/10是IPv6本地链路地址的固定前缀，用于同一链路上的节点通信，不可被路由。2.某企业采用802.1X对有线接入进行认证，交换机端口在未认证状态下默认VLAN为99，认证成功后动态下发VLAN20。下列关于VLAN99的描述正确的是A.可访问财务服务器  B.仅用于EAP报文交互  C.与VLAN20可二层互通  D.需要手工配置网关答案：B解析：VLAN99作为GuestVLAN，仅允许EAPOL报文通过，禁止访问其他资源。3.在Linux系统中，使用nftables实现源地址转换，应选择的hook点是A.ingress  B.forward  C.postrouting  D.output答案：C解析：源地址转换（SNAT）必须在报文离开本机前完成，故选取postrouting。4.某DNS服务器采用响应速率限制（RRL），若客户端1秒内查询同一域名超过阈值，服务器最可能的动作是A.返回SERVFAIL  B.丢弃请求  C.返回REFUSED  D.返回TC=1的截断响应答案：D解析：RRL通过TC=1强制客户端转向TCP，降低放大攻击风险。5.在BGP最佳路径选择中，最先比较的属性是A.LOCAL_PREF  B.ORIGIN  C.MED  D.WEIGHT答案：D解析：Cisco私有属性WEIGHT优先级最高，仅本地有效。6.某园区网运行OSPFv3，区域1被配置为TotallyNSSA，则该区域ABR会向下游路由器下发A.Type-3LSA  B.Type-4LSA  C.Type-7LSA  D.默认路由答案：D解析：TotallyNSSA阻断Type-3、4、5LSA，ABR自动注入默认路由。7.在WindowsServer2025中，实现基于证书的无密码登录，需部署的组件是A.NPS  B.WHFB  C.LAPS  D.ADCS答案：B解析：WindowsHelloforBusiness（WHFB）支持密钥式身份验证，完全替代密码。8.某SD-WAN方案采用IPsec隧道，数据平面加密算法为AES-256-GCM，控制平面认证算法应为A.SHA-1  B.SHA-256  C.AES-128-CBC  D.ECDSA-256答案：D解析：控制平面需抗量子攻击，采用ECDSA-256提供数字签名。9.在Python自动化脚本中，使用netmiko向华为交换机下发配置，应指定的device_type是A.huawei  B.huawei_vrp  C.hp_comware  D.huawei_smartax答案：B解析：netmiko以vrp区分华为VRP平台。10.某Kubernetes集群使用CalicoCNI，启用eBPF模式后，kube-proxy模式应设为A.userspace  B.iptables  C.ipvs  D.none答案：D解析：eBPF直接替换kube-proxy，需设为none避免冲突。11.在Zabbix7.0中，发现规则类型选择“Zabbixagent（active）”时，被监控端需配置的参数是A.Server  B.ServerActive  C.HostnameItem  D.ListenIP答案：B解析：主动模式由被监控端反向连接ServerActive列出的地址。12.某企业采用零信任架构，所有流量强制通过SDP网关，此时传统防火墙最合理的部署位置是A.互联网边界  B.核心交换  C.用户终端  D.取消防火墙答案：A解析：SDP解决应用层访问控制，互联网边界仍需防火墙抵御DDoS。13.在RAID6中，允许同时损坏的磁盘数量为A.1  B.2  C.3  D.与磁盘总数相关答案：B解析：RAID6采用双奇偶校验，可容忍双盘故障。14.某802.11ax网络采用8×8MIMO，160MHz信道，理论最大速率约为A.1.2Gbps  B.4.8Gbps  C.9.6Gbps  D.14Gbps答案：C解析：按802.11axMCS11、8SS、160MHz、GI=0.8µs计算，约9.6Gbps。15.在Linux中，使用tcpdump抓取经过vethpair的报文，应选择的接口是A.eth0  B.docker0  C.veth123@if456  D.lo答案：C解析：vethpair成对出现，需抓取容器侧接口。二、多项选择题（每题3分，共30分）16.下列关于HTTP/3的描述正确的有A.基于QUIC  B.默认端口443  C.使用TCP作为传输层  D.支持0-RTT  E.头部压缩算法为QPACK答案：A、B、D、E解析：HTTP/3基于UDP的QUIC，不支持TCP。17.在MPLS网络中，以下哪些表项用于转发A.FIB  B.LFIB  C.RIB  D.LIB  E.NHLFE答案：B、D、E解析：LFIB保存标签转发表，LIB保存标签映射，NHLFE为下一跳标签转发项。18.某数据中心采用VXLANEVPN，以下哪些路由类型用于主机MAC通告A.Type-1  B.Type-2  C.Type-3  D.Type-4  E.Type-5答案：B解析：Type-2路由携带MAC/IP信息。19.关于Linux内核参数dev_max_backlog，正确的有A.控制网卡接收队列长度  B.影响SYNFlood抗攻击能力  C.需同时调整ringbuffer  D.仅对UDP生效  E.修改后需重启主机答案：A、B、C解析：该参数为全局输入队列，TCP/UDP均受影响，改后无需重启。20.以下哪些技术可用于实现二层环路保护A.STP  B.RLDP  C.LoopGuard  D.BPDUGuard  E.G.8032答案：A、B、C、D、E解析：G.8032为电信级以太环保护，其余为常见二层保护机制。21.在Windows环境中，使用PowerShell获取所有监听端口的进程，可使用的命令有A.Get-NetTCPConnection  B.netstat-ano  C.Get-Process  D.lsof-i  E.ss-lnt答案：A、B、C解析：lsof与ss为Linux工具。22.以下关于SMTPoverTLS的描述正确的有A.端口465使用TLSwrapper  B.端口587使用STARTTLS  C.端口25禁止明文  D.证书需包含MX主机名  E.可强制OCSPstapling答案：A、B、D、E解析：端口25仍允许明文，取决于服务器配置。23.某KubernetesIngress使用Contour，下列资源对象需创建的有A.Gateway  B.HTTPProxy  C.Ingress  D.Service  E.Secret答案：B、D、E解析：Contour用HTTPProxy替代原生Ingress，仍需Service与TLSSecret。24.在SNMPv3中，提供认证与加密的安全级别有A.noAuthNoPriv  B.authNoPriv  C.authPriv  D.privNoAuth  E.authPrivNoHash答案：B、C解析：SNMPv3仅定义三种级别，authPriv同时提供认证与加密。25.以下关于NVMeoverTCP的描述正确的有A.使用TCP端口4420  B.支持多路径  C.需启用NVMe-oFinitiator  D.依赖RDMA  E.封装NVMe命令集答案：A、B、C、E解析：NVMeoverTCP无需RDMA，使用标准以太网。三、判断题（每题1分，共10分）26.在Wireshark中，显示过滤器“tcp.flags.syn==1andtcp.flags.ack==0”可匹配所有SYN报文。答案：正确解析：SYN报文仅置位SYN，ACK=0。27.使用rsync同步时，添加参数--inplace可确保断点续传。答案：错误解析：--inplace直接覆盖目标文件，断点续传需--partial--append。28.在BGPEVPN中，Type-5路由可用于传递主机MAC。答案：错误解析：Type-5用于IP前缀，Type-2用于MAC。29.当Linux系统启用SYNCookies后，半开连接队列被忽略。答案：正确解析：SYNCookies无需维护半开队列，抵御SYNFlood。30.在RAID10中，任意两块磁盘损坏均不会导致数据丢失。答案：错误解析：RAID10先镜像后条带，若两块磁盘为同一镜像对则数据丢失。31.使用chrony同步时间时，添加“makestep1.03”表示在前三次更新中允许步进1秒。答案：正确解析：makestep1.03允许在3次校正中步进1秒。32.在VXLAN头部中，VNI字段长度为24位。答案：正确解析：VXLAN封装定义VNI为24位，支持约1600万租户。33.WindowsServer2025的SMBoverQUIC使用UDP端口443。答案：正确解析：SMBoverQUIC复用HTTPS端口，简化防火墙放行。34.在Python中，使用asyncio创建协程，需显式调用loop.run_until_complete()才能执行。答案：错误解析：Python3.7+可用asyncio.run()简化。35.在MSTP中，实例0被称为IST，且必须存在。答案：正确解析：IST是MST区域的内部生成树，兼容STP/RSTP。四、填空题（每空2分，共20分）36.在Linux中，使用________命令可查看当前系统所有挂载的cgroup子系统。答案：lscgroup37.在IPv6中，地址________用于本地站点范围内的所有路由器。答案：FF02::238.某DHCPv6服务器采用前缀代理，下发前缀为2001:db8:abcd::/56，客户端LAN接口ID为::1，则LAN地址为________。答案：2001:db8:abcd:1::139.在BGP中，将本地优先级设置为200的路由策略，应使用________属性。答案：LOCAL_PREF40.在Zabbix中，触发器表达式{host:net.if.in[eth0].last()}>100M表示接口________速率超过100Mbps。答案：入站41.在Kubernetes中，NetworkPolicy的policyTypes字段若未指定，默认仅________规则生效。答案：Ingress42.在Wireshark中，过滤表达式“icmp.type==3andicmp.code==4”表示________不可达且需要分片。答案：目的主机43.在RAID5中，若条带大小为64KB，磁盘数为5，则单条带占用单盘________KB。答案：1644.在Windows中，使用________命令可查看当前TCP重传次数。答案：Get-NetTCPStatistics45.在VXLANEVPN中，用于抑制ARP泛洪的代理功能称为________。答案：ARPsuppression五、简答题（每题10分，共30分）46.描述一次完整的DHCPv4租约更新过程，并说明在WindowsServer2025中如何通过筛选器禁止非公司MAC地址获取地址。答案：（1）租约更新过程：①客户端在租期50%时单播DHCPRequest给原服务器，请求续租；②服务器若同意，返回DHCPACK，更新租期；③若服务器无响应，客户端在87.5%租期时广播DHCPRequest，接受任意服务器回应；④若仍失败，租期到期后客户端重新发起DHCPDiscover。（2）WindowsServer2025配置：①打开DHCP管理控制台，右键“IPv4”→“筛选器”→“启用拒绝筛选器”；②新建拒绝规则，MAC掩码设为FF-FF-FF-FF-FF-FF，地址范围填写非公司OU的MAC前缀；③勾选“对现有租约生效”，立即阻断非法终端；④结合NPS策略，对有线802.1X认证失败终端动态加入拒绝列表，实现闭环。47.某园区网运行OSPFv2，区域0包含两台核心交换机C1、C2，区域1包含接入交换机A1、A2，A1与A2通过二层链路聚合互联，C1与C2通过三层ECMP互联。现发现区域1内PC访问外网出现间歇性丢包，排查步骤如下：（1）在A1上执行showipospfneighbor，发现与A2邻居状态持续在EXSTART/EXCHANGE抖动；（2）在C1、C2上执行showipospfdatabaserouter，观察到区域1内两条Type-3默认路由cost相同；（3）抓包发现A1与A2间存在超过1500字节的OSPF报文被丢弃。请给出根因与解决方案。答案：根因：A1与A2二层聚合口MTU被误设为1500，而C1、C2三层口MTU为9216，OSPF在EXSTART阶段比较MTU，不匹配导致邻居无法进入FULL，LSA同步失败，区域1生成树异常，流量绕行链路负载不均，出现丢包。解决方案：①在A1、A2聚合口执行mtu9216，确保与上游一致；②清除ospf进程，重新建立邻居；③在C1、C2区域1接口配置ospfcost100与110，使默认路由优选C1，实现deterministicECMP；④在区域1边缘部署uRPF，防止非对称流量；⑤开启BFDforOSPF，毫秒级检测，缩短收敛时间。48.描述如何在Kubernetes1.32集群中利用eBPF实现网络策略的精确审计，并给出Cilium配置示例。答案：（1）原理：Cilium利用eBPF程序在tcingress/egress钩子点捕获报文，匹配NetworkPolicy规则，对命中流量生成审计日志，通过perfeventringbuffer送往用户态cilium-agent，再以JSON格式输出到stdout或远程Loki。（2）步骤：①安装CiliumCLI：curl-L/cilium/cilium-cli/releases/latest/download/cilium-linux-amd64.tar.gz|tarxz-C/usr/local/bin②启用审计：ciliuminstall--version1.16.0--setaudit.enabled=true--setaudit.verdict=both③创建NetworkPolicy并开启审计：apiVersion:cilium.io/v2kind:CiliumNetworkPolicymetadata:name:audit-demospec:endpointSelector:matchLabels:app:frontendingress:-fromEndpoints:-matchLabels:app:backendtoPorts:-ports:-port:"80"protocol:TCPaudit:Always④查看审计日志：kubectlexec-nkube-systemds/cilium--ciliummonitor-taudit|jq⑤在Grafana添加Loki数据源，创建Dashboard，字段过滤verdict=denied，实时展示违规访问热力图。六、综合应用题（共30分）49.某电商公司计划将本地VMwarevSphere8.0业务迁移至混合云，要求：①内网网段/16与云端/16互通；②本地出口为两条ISP，需基于应用动态选路；③云端Kubernete