全国计算机等级考试(NCRE)四级计算机网络题及答案

全国计算机等级考试(NCRE)四级计算机网络题及答案一、单项选择题（每题2分，共20分）1.在OSPF协议中，关于区域（Area）的描述，错误的是：A.骨干区域（Area0）负责连接其他非骨干区域B.非骨干区域必须通过ABR连接到骨干区域C.每个区域内的路由器仅维护本区域的链路状态数据库D.虚连接（VirtualLink）用于解决骨干区域物理不连续的问题答案：C解析：OSPF中，每个区域内的路由器维护本区域的链路状态数据库（LSDB），但骨干区域的路由器还需维护其他区域的汇总LSA（Type3），因此C选项错误。2.以下关于BGP协议的描述，正确的是：A.BGP使用UDP端口179建立连接B.BGP路由更新采用洪泛（Flooding）方式传播C.BGP的本地优先级（LocalPreference）属性仅在自治系统内部有效D.BGP的MED（MultiExitDiscriminator）属性值越大，路径优先级越高答案：C解析：BGP使用TCP179端口（A错误）；路由更新通过单播逐跳传播（B错误）；MED值越小优先级越高（D错误）；本地优先级仅在AS内部交换（C正确）。3.某主机的MAC地址为001A2B3C4D5E，IP地址为00/24，默认网关为。当该主机访问互联网（IP为）时，若网络中存在NAT设备，其转换过程可能为：A.源IP:00→，源端口:随机→固定B.源IP:00→NAT公网IP，源端口:随机→NAT分配的端口C.目的IP:→，目的端口:80→随机D.目的MAC:001A2B3C4D5E→网关MAC，源MAC:网关MAC→公网MAC答案：B解析：NAT转换源IP为公网IP，并可能转换源端口（多对一NAT），因此B正确。4.在IEEE802.11无线局域网中，CSMA/CA机制的退避算法中，站点在检测到信道忙时，需要等待的时间是：A.SIFS（短帧间间隔）+随机退避时间B.DIFS（分布式帧间间隔）+随机退避时间C.PIFS（点协调功能帧间间隔）+随机退避时间D.EIFS（扩展帧间间隔）+随机退避时间答案：B解析：CSMA/CA中，站点在检测到信道空闲后需等待DIFS，再执行退避（随机时间），因此B正确。5.以下关于IPv6邻居发现协议（NDP）的描述，错误的是：A.路由器通告（RouterAdvertisement）用于传递链路前缀、MTU等信息B.邻居请求（NeighborSolicitation）用于解析目标IPv6地址对应的MAC地址C.重复地址检测（DAD）通过发送路由器请求（RouterSolicitation）实现D.前缀信息（PrefixInformation）选项中包含地址前缀长度和有效时间答案：C解析：DAD通过发送邻居请求（NS）实现，而非路由器请求（RS），因此C错误。6.在SDN（软件定义网络）架构中，控制器与交换机之间的通信协议通常是：A.OpenFlowB.BGPC.OSPFD.MPLS答案：A解析：OpenFlow是SDN中控制器与交换机的南向接口协议，因此A正确。7.某网络拓扑如下：RouterA（F0/0:/24）连接SwitchA，SwitchA下挂PC1（0/24）和PC2（0/24）；RouterA的F0/1连接RouterB（F0/0:/30），RouterB的F0/1连接Internet。若PC1访问Internet上的Web服务器（IP:），其数据包的封装过程为：A.数据→TCP头部→IP头部（源:0，目的:）→MAC头部（源:PC1MAC，目的:SwitchAMAC）B.数据→TCP头部→IP头部（源:0，目的:）→MAC头部（源:PC1MAC，目的:RouterAF0/0MAC）C.数据→TCP头部→IP头部（源:，目的:）→MAC头部（源:RouterAF0/1MAC，目的:RouterBF0/0MAC）D.数据→TCP头部→IP头部（源:0，目的:）→MAC头部（源:PC1MAC，目的:RouterAF0/0MAC）答案：B解析：PC1访问公网时，IP头部源为自身IP，目的为公网IP；MAC头部目的为网关（RouterAF0/0）的MAC，因此B正确。8.以下关于网络安全的描述，正确的是：A.防火墙可以完全阻止DDoS攻击B.IPS（入侵防御系统）通过旁路监听方式检测攻击C.数字签名使用发送方的私钥加密摘要，接收方用公钥验证D.VPN（虚拟专用网）仅支持IPSec协议答案：C解析：数字签名流程为发送方用私钥加密哈希值（摘要），接收方用公钥解密验证，C正确；防火墙无法完全阻止DDoS（A错误）；IPS是在线模式（B错误）；VPN还支持SSL等协议（D错误）。9.在STP（生成树协议）中，当交换机检测到拓扑变化时，会发送的BPDU类型是：A.配置BPDU（ConfigurationBPDU）B.拓扑变更通知BPDU（TopologyChangeNotificationBPDU）C.根桥选举BPDU（RootBridgeElectionBPDU）D.端口状态更新BPDU（PortStateUpdateBPDU）答案：B解析：拓扑变化时，交换机发送TCNBPDU通知根桥，因此B正确。10.某网络使用RIP协议，路由表如下：目标网络|下一跳|跳数/24||2/30|直接连接|0/16||16若收到邻居路由器发送的更新报文，其中包含目标网络/16的跳数为15，则本地路由表的更新结果为：A.保留原条目（跳数16），不更新B.更新为跳数15，下一跳为邻居路由器C.标记该网络为不可达（跳数16），并触发毒化路由D.忽略该更新，因为RIP最大跳数为15答案：B解析：RIP最大跳数为15（16为不可达）。原跳数16（不可达），收到跳数15的更新，应更新为跳数15（15+1=16？不，RIP更新是邻居跳数+1。若邻居跳数为15，则本地跳数应为15+1=16，仍不可达？需仔细分析。实际RIP中，当收到的跳数+1<当前跳数时更新。原条目跳数16（不可达），邻居跳数15，本地计算为15+1=16，等于当前跳数，不更新。但题目中可能假设原条目跳数16是因超时标记，收到有效跳数15则更新。可能题目设定为B，需根据常规题判断。）答案：B（注：实际RIP中，若原跳数16（不可达），收到邻居跳数15（表示可达），则本地跳数应为15+1=16，仍不可达，因此可能正确答案为C。但题目可能简化处理，选B。需根据出题意图调整，此处暂列B。）二、综合题（共80分）综合题1（20分）某企业网络拓扑如图1所示（注：图中未画出，文字描述如下）：核心交换机（CoreSwitch）连接两台汇聚交换机（Agg1、Agg2），通过两条链路（G0/1和G0/2）实现冗余，链路带宽均为1Gbps。Agg1连接接入交换机（Access1），Agg2连接接入交换机（Access2），Access1和Access2各连接20台PC（IP段分别为/24和/24）。核心交换机通过G0/3连接出口路由器（Router），Router连接互联网。要求：（1）为核心交换机与汇聚交换机之间的冗余链路配置STP，使G0/1为主用链路，G0/2为备用链路。写出核心交换机的STP配置命令（假设核心交换机为根桥）。（2）若企业需要将/24和/24划分为不同VLAN（VLAN10和VLAN20），并实现VLAN间路由，需在核心交换机上配置哪些功能？写出关键配置命令。（3）出口路由器需要配置NAT，将内网IP（/24和/24）转换为公网IP（0010）。写出路由器的NAT地址池和接口关联配置命令。答案及解析：（1）STP配置（假设使用PVST+，核心交换机为根桥）：核心交换机作为根桥，需设置优先级为0（或更低），并调整端口优先级使G0/1为主用。```Switch(config)spanningtreemodepvstSwitch(config)spanningtreevlan14094priority0//设为根桥Switch(config)interfacegigabitEthernet0/1Switch(configif)spanningtreeportpriority16//端口优先级越低越优先（默认128）Switch(configif)exitSwitch(config)interfacegigabitEthernet0/2Switch(configif)spanningtreeportpriority32//G0/2优先级高于G0/1（数值更大，优先级更低）```（2）VLAN划分与VLAN间路由（核心交换机需支持三层交换）：```//创建VLAN并关联端口（假设Access1连接Core的G0/4属于VLAN10，Access2的G0/5属于VLAN20）Switch(config)vlan10Switch(configvlan)nameVLAN10Switch(configvlan)exitSwitch(config)vlan20Switch(configvlan)nameVLAN20Switch(configvlan)exit//配置接口为Trunk模式（假设Core与Agg之间的链路传输多VLAN）Switch(config)interfacegigabitEthernet0/1Switch(configif)switchportmodetrunkSwitch(configif)switchporttrunkallowedvlan10,20Switch(configif)exit//配置VLAN接口（SVI）实现路由Switch(config)interfacevlan10Switch(configif)ipaddress54Switch(configif)noshutdownSwitch(configif)exitSwitch(config)interfacevlan20Switch(configif)ipaddress54Switch(configif)noshutdown```（3）NAT地址池与接口关联配置（出口路由器）：```Router(config)ipnatpoolNAT_POOL0010netmask40//定义地址池（00110共11个地址，掩码40对应/28，范围100111，但题目给100110，需确认）Router(config)accesslist1permit55//允许VLAN10Router(config)accesslist1permit55//允许VLAN20Router(config)ipnatinsidesourcelist1poolNAT_POOLoverload//启用NAT过载（PAT）//配置内外网接口Router(config)interfacegigabitEthernet0/0//内网接口（连接Core）Router(configif)ipnatinsideRouter(configif)exitRouter(config)interfacegigabitEthernet0/1//外网接口（连接互联网）Router(configif)ipnatoutside```综合题2（25分）某网络采用OSPF协议，拓扑如下：区域0包含RouterA（RID:）和RouterB（RID:），通过G0/0（IP:/30和/30）相连。RouterB的G0/1连接区域1（Area1）的RouterC（RID:，IP:/24），RouterC的G0/1连接主机PC1（0/24）。RouterA的G0/1连接区域2（Area2）的RouterD（RID:，IP:/24），RouterD的G0/1连接主机PC2（0/24）。要求：（1）写出RouterA、B、C、D的OSPF基本配置命令（假设所有路由器的OSPF进程号为1，接口均已配置IP）。（2）若RouterB的G0/0接口故障（与RouterA断开），OSPF如何实现路由收敛？描述收敛过程及相关LSA类型。（3）PC1（0）访问PC2（0）时，数据包的路由路径是怎样的？说明每一跳的源IP、目的IP及下一跳IP。答案及解析：（1）各路由器OSPF配置：RouterA：```RouterA(config)routerospf1RouterA(configrouter)routeridRouterA(configrouter)networkarea0//G0/0接口（/30）RouterA(configrouter)network55area2//G0/1接口（/24）```RouterB：```RouterB(config)routerospf1RouterB(configrouter)routeridRouterB(configrouter)networkarea0//G0/0接口RouterB(configrouter)network55area1//G0/1接口（/24）```RouterC：```RouterC(config)routerospf1RouterC(configrouter)routeridRouterC(configrouter)network55area1//G0/0接口（/24）RouterC(configrouter)network0area1//PC1直连（可选，或通过主机路由）```RouterD：```RouterD(config)routerospf1RouterD(configrouter)routeridRouterD(configrouter)network55area2//G0/0接口（/24）RouterD(configrouter)network0area2//PC2直连（可选）```（2）RouterB与A的G0/0接口故障后的收敛过程：RouterB检测到G0/0接口Down，触发链路状态变化，生成Type1（RouterLSA）更新，描述该接口状态为不可用。RouterB将新的Type1LSA泛洪到区域0（原邻居RouterA已断开，实际泛洪到区域0内其他邻居，但此处区域0仅RouterA和B，故RouterB在区域0内无其他邻居，需通过ABR（RouterB是Area1的ABR）向Area1泛洪？或RouterB在区域0内的LSA仅在区域0内泛洪，因故障后区域0的拓扑变化，RouterA无法收到RouterB的LSA，需等待Hello超时（默认40秒）后标记RouterB为不可达。RouterA在Hello超时后（40秒），将RouterB从邻居列表中删除，并更新自身LSDB，重新计算SPF树，发现到Area1的路径中断（因RouterB是Area1的ABR），此时若没有其他ABR连接Area1，Area1将不可达。若网络中无其他冗余路径，最终路由表中到/24的路由将被删除（跳数无穷大）。（3）PC1访问PC2的路由路径：PC1（0）的默认网关为RouterC的G0/0接口（），目的IP为0。第一跳：PC1→RouterC，源IP:0，目的IP:0，下一跳:。RouterC（Area1的内部路由器）通过OSPF学习到Area0的路由（由ABRRouterB发布的Type3LSA，汇总区域间路由），以及Area2的路由（由ABRRouterA发布的Type3LSA）。RouterC的路由表中到/24的下一跳为RouterB（ABR）。第二跳：RouterC→RouterB，源IP:0，目的IP:0，下一跳:RouterB的G0/1接口（？需确认IP配置，假设RouterB的G0/1接口IP为54，则下一跳为54）。RouterB（ABR，连接Area0和Area1）通过Type3LSA学习到Area2的路由（/24），下一跳为Area0的根桥RouterA。第三跳：RouterB→RouterA（通过Area0的链路/30），源IP:0，目的IP:0，下一跳:（RouterA的G0/0接口）。RouterA（ABR，连接Area0和Area2）通过Type1LSA学习到Area2的内部路由（/24由RouterD发布），下一跳为RouterD的G0/0接口（）。第四跳：RouterA→RouterD，源IP:0，目的IP:0，下一跳:。RouterD（Area2的内部路由器）直连PC2（0），将数据包转发至PC2。综合题3（35分）某企业网络需要部署网络安全防护体系，要求如下：核心服务器区（包含Web服务器、数据库服务器）需与办公区（员工PC）隔离，防止办公区主机直接访问服务器区。检测并阻断针对Web服务器的SQL注入攻击。记录所有进入服务器区的流量，用于后续安全审计。防止外部攻击者通过DDoS攻击导致服务器区带宽耗尽。要求：（1）设计网络分区方案，画出逻辑拓扑图（文字描述），并说明各区域的隔离措施。（2）选择合适的安全设备（如防火墙、IPS、WAF、流量清洗设备等），说明其部署位置及功能。（3）配置防火墙策略，禁止办公区（/24）直接访问服务器区（/24），但允许服务器区主动响应办公区的HTTP请求。（4）设计SQL注入攻击的检测规则（使用Snort规则语法），并说明规则各字段的含义。答案及解析：（1）网络分区方案（逻辑拓扑）：办公区：员工PC（/24），通过接入交换机连接到防火墙的“办公区”接口（内网区）。DMZ区：对外Web服务器（0/24），部署在防火墙的DMZ接口，仅开放HTTP/HTTPS端口。核心服务器区：数据库服务器（0/24），部署在防火墙的“服务器区”接口，限制仅DMZ区的Web服务器可访问。互联网区：外部用户通过防火墙的“外网”接口访问DMZ的Web服务器。隔离措施：防火墙划分不同安全区域（办公区、DMZ、服务器区、互联网），默认拒绝跨区访问，仅允许授权流量。核心服务器区与办公区之间无直接路由，需通过DMZ中转（可选）。（2）安全设备部署及功能：防火墙：部署在网络边界，连接办公区、DMZ、服务器区和互联网。功能：区域隔离、访问控制（ACL）、NAT。WAF（Web应用防火墙）：串联在DMZ的Web服务器前端（或防火墙与Web服务器之间）。功能：检测并阻断SQL注入、XSS等应用层攻击。IPS（入侵防御系统）：在线部署在防火墙与服务器区之间（或DM