2025年网络运维工程师技术考试试题及答案

2025年网络运维工程师技术考试试题及答案一、单项选择题（每题2分，共30分）1.某企业采用VXLAN构建数据中心Overlay网络，VNI长度为24bit。若需支持8000个逻辑网段，同时保证每个网段至少可划分28个三层网关，则下列哪项地址规划最合理？A.每个VNI对应一个/20的IPv4子网B.每个VNI对应一个/21的IPv4子网C.每个VNI对应一个/22的IPv4子网D.每个VNI对应一个/23的IPv4子网答案：C2.在Linux内核5.15中，使用eBPF实现网络策略时，下列哪项hook点可在TC（TrafficControl）层对报文进行重定向？A.BPF_PROG_TYPE_SOCKET_FILTERB.BPF_PROG_TYPE_SCHED_CLSC.BPF_PROG_TYPE_XDPD.BPF_PROG_TYPE_CGROUP_SOCK答案：B3.某城域网运行ISIS协议，区域地址为49.0001。若将一台新路由器加入该区域，其SystemID与现有设备冲突，则最先出现的现象是：A.两台路由器LSDB序列号持续翻滚B.两台路由器CSNP报文校验和不匹配C.两台路由器IIH报文无法通过认证D.两台路由器LSPID相同导致频繁泛洪答案：D4.在EVPNVXLAN场景中，当主机迁移后，原VTEP需发送何种路由类型，使远端VTEP即时更新MAC/IP绑定？A.RT1(EthernetAutoDiscovery)B.RT2(MAC/IPAdvertisement)C.RT3(InclusiveMulticast)D.RT5(IPPrefix)答案：B5.某运营商采用SegmentRoutingoverMPLS，若需实现基于时延的调优，控制器需下发何种SID？A.PrefixSIDB.NodeSIDC.BindingSIDD.LatencySID（扩展的AdjSID）答案：D6.在Kubernetes集群中，Calico使用IPPool的"blockSize"字段为28，则每个/26的CIDR可分配给多少Pod？A.62B.64C.60D.58答案：A7.某企业出口部署BGPFlowspec，规则匹配TCP标志位SYN=1、ACK=0，动作为ratelimit1Mbps。若攻击流量为SYNACK报文，该规则是否生效？A.生效，Flowspec默认匹配所有TCP首包B.不生效，SYN=1且ACK=0才匹配C.生效，Flowspec对TCP标志位采用掩码匹配D.不生效，需额外规则匹配SYNACK答案：B8.在802.1X认证中，EAPTLS与EAPPEAP的关键差异是：A.是否支持证书双向校验B.是否支持会话密钥重协商C.是否支持FragmentationD.是否支持快速重认证答案：A9.某数据中心采用SpineLeaf架构，Leaf交换机上行口为100Gbps，若收敛比设计为3:1，则单Leaf下行10Gbps服务器端口最多可配置：A.240口B.300口C.360口D.400口答案：C10.在IPv6only网络中，使用464XLAT实现IPv4业务互通，下列哪项组件负责将IPv4报文封装成IPv6？A.CLAT（CustomersideTranslator）B.PLAT（ProvidersideTranslator）C.DNS64D.NAT64答案：A11.某园区网部署SNMPv3，用户配置为authPriv，算法为SHA256+AES256。若设备仅支持USM，则其安全级别对应的数值为：A.noAuthNoPrivB.authNoPrivC.authPrivD.无法支持答案：C12.在OpenFlow1.5中，若需匹配VXLANVNI，应使用哪类OXM字段？A.OXM_OF_VLAN_VIDB.OXM_OF_TUNNEL_IDC.OXM_OF_VXLAN_VNID.OXM_OF_METADATA答案：B13.某运营商采用gNMI订阅接口获取路由器CPU利用率，若采样周期为30s，encoding为proto3，则下列哪项gNMIRPC可一次性获取当前值并持续推送？A.GetB.SetC.Subscribe(ONCE)D.Subscribe(STREAM,SAMPLE)答案：D14.在MPLS网络中，若LDP会话建立后，LSR收到标签映射但下一跳不可达，则该标签将：A.立即释放B.保留并标记为"Stale"C.保留并标记为"Liberal"D.触发LDP重新协商答案：C15.某企业使用Ansible批量升级交换机OS，若Playbook中采用"serial:20%"，inventory共100台，则并发升级数量为：A.1台B.5台C.20台D.100台答案：C二、多项选择题（每题3分，共30分）16.关于RDMAoverConvergedEthernet（RoCEv2），下列说法正确的是：A.依赖IP头部的DSCP实现优先级B.使用UDP/4791作为传输层端口C.要求网络支持PFCD.支持ECMP负载均衡E.必须关闭IP分片答案：B、C、D17.某数据中心部署BGPEVPN，控制器下发RT2路由，包含以下字段：RouteDistinguisher::100EthernetTagID:10MACAddress:00:00:5e:00:01:01IPAddress:00MPLSLabel1:1000下列哪些信息可由此路由直接获得？A.主机MACB.主机IPC.二层VNID.三层VNIE.出接口VTEPIP答案：A、B、C18.在Linux系统中，使用tccake队列可实现的特性包括：A.流量整形B.公平队列C.抗BufferbloatD.基于IP的限速E.深度包检测答案：A、B、C、D19.某运营商采用FlexE2.1接口，若时隙粒度为5Gbps，则100GbpsPHY可切分为：A.2×50GbpsB.1×40Gbps+3×20GbpsC.20×5GbpsD.1×75Gbps+1×25GbpsE.1×30Gbps+14×5Gbps答案：A、C、E20.关于HTTP/3，下列说法正确的是：A.基于QUICB.默认端口443/UDPC.支持0RTTD.使用HPACK头部压缩E.内建多路复用答案：A、B、C、E21.某企业采用ZeroTrust架构，下列哪些技术可用于动态信任评估？A.SIEM日志B.UEBAC.NACD.SDPE.RADIUS答案：A、B、C、D22.在IPv6网络中，使用DHCPv6PrefixDelegation时，下列哪些选项属于IA_PD？A.T1B.T2C.PrefixLengthD.PreferredLifetimeE.ServerDUID答案：A、B、C、D23.某数据中心采用AristaEVPN，配置"arpndcachelocaltimeout300"，下列哪些场景会触发ARP/ND同步？A.VTEP重启B.MAC迁移C.BGP会话震荡D.新主机上线E.VNI删除答案：A、B、C、D24.在Wireshark中，显示过滤器"tcp.analysis.retransmission"可匹配：A.快速重传B.超时重传C.SACK重传D.虚假重传E.零窗口探测答案：A、B、C、D25.某运营商部署SRv6，SID格式为"locator:func:args:flavor"，下列哪些flavor可实现倒数第二跳弹出？A.PSPB.USPC.USDD.T.InsertE.T.Encaps答案：A、B三、判断题（每题1分，共10分）26.在BGP中，AddPath功能允许同一前缀存在多条不同下一跳路径，由发送方决定是否通告。答案：√27.VXLANOAM中，VXLANTRACERT依赖ICMPv6EchoRequest。答案：×28.Linux内核中，netfilter的raw表优先级高于mangle表。答案：√29.802.1Qbv时间感知调度要求交换机支持TAS，且需全局时间同步。答案：√30.RPKIROA验证失败时，BGP路由器必须丢弃该前缀。答案：×31.在OpenStackNeutron中，使用ML2/OVS+DPDK时，brint网桥端口需绑定vfiopci驱动。答案：√32.DNSoverHTTPS（DoH）默认端口为TCP/853。答案：×33.在MPLS网络中，PHP行为由倒数第二跳路由器根据Label=3隐式空标签触发。答案：√34.使用iperf3测试UDP带宽时，"b0"表示不限速。答案：√35.在ZTP流程中，DHCPoption67用于指定启动配置文件，仅适用于IPv4。答案：×四、填空题（每空2分，共20分）36.在Linux系统中，使用ethtool查看光模块数字诊断，命令为：ethtoolm________答案：ethX37.BGPEVPNRT3路由中，PMSITunnel字段的TunnelType为6表示________隧道。答案：IngressReplication38.某运营商采用FlexAlgo，算法编号为128，其MetricType为________时延。答案：MinUnidirectionalLinkDelay39.在Wireshark中，过滤SIP协议且状态码为180，表达式为：sip.StatusCode________180答案：==40.使用tcpdump抓取VXLAN端口4789的UDP报文，命令为：tcpdumpiany________4789答案：udpport41.在IPv6中，DHCPv6客户端使用________报文确认地址是否冲突。答案：DAD（DuplicateAddressDetection）42.某交换机支持IEEE802.1CB，帧复制消除功能简称________。答案：FRER43.在SRMPLS中，若SID栈深度超过硬件限制，可使用________SID减少标签数量。答案：Binding44.使用FRRouting配置OSPFv3，关闭MTU检查，命令为：ipv6ospfmtuignore________答案：yes45.在Kubernetes中，NetworkPolicy的policyTypes字段若未指定，默认仅________规则生效。答案：Ingress五、简答题（每题10分，共30分）46.描述一次完整的VXLANEVPNType2路由同步过程，包括MAC学习、BGP通告、远端VTEP处理、ARP抑制行为，并说明如何验证MAC表与ARP表一致性。答案：1.主机A首次发送数据帧，Leaf1在本地VNI1000学习到MACA，绑定端口Eth1。2.Leaf1生成RT2路由，RD:100，MACA，IPA，Label1=1000（L2VNI），Label2=10000（L3VNI），下一跳。3.BGP邻居Leaf2收到RT2，校验RT100:100，存入EVPNMACVRF，下发硬件MAC表，指向VTEP。4.Leaf2同时安装ARP抑制条目，后续同子网ARP请求由Leaf2代答，减少泛洪。5.验证：在Leaf2执行"showbgpevpnroutetypemacipmacA"，确认Remote；执行"showiparpvrfTENANT1ipA"，Flags为EVPN，MAC与RT2一致；执行"showmacaddresstablevlan1000macA"，Type为EVPN，输出接口为Vxlan1。47.某运营商计划将传统MPLS网络升级为SRMPLS，需兼容旧设备。请给出迁移步骤，包括PrefixSID分配、LDP与SR互操作、TILFA部署、流量切换验证，并说明如何防止环路。答案：1.规划PrefixSID：核心节点分配Index100199，边缘节点200299，旧设备保留LDP。2.在核心路由器启用SR，配置"segmentroutingmpls"，GlobalBlock1600023999，PrefixSIDIndex101。3.启用LDPSR互操作：在边界节点配置"mappingserverprefixsid/2416000"，LDP分配16000，SR节点自动映射。4.部署TILFA：在核心链路启用"fastrerouteperprefixtilfanodeprotection"，计算PQ节点，备份路径使用AdjSID。5.流量切换：通过BGPLU下发PrefixSID，逐步提升SRPreference，使用"showisisfastreroutesummary"验证备份路径。6.防环路：SR域内使用StrictSPF，LDP域保持RPF检查，边界节点设置SRGB连续，避免SID混淆；启用LoopDetectionTLV，超时30min。48.某金融公司采用Kubernetes+Calico，要求实现东西向流量零信任。请设计一套基于eBPF的网络安全方案，包括身份标识、策略下发、性能监控、故障自愈，并给出关键yaml与eBPF代码片段。答案：1.身份标识：Calico使用SPIFFEID，Pod注入"spiffe://cluster/ns/default/sa/payment"标签。2.策略下发：CalicoCRDGlobalNetworkPolicy，selector:spiffe=='payment'，allow:spiffe=='ledger'，端口TCP/8080。3.eBPF程序：挂载于cgroup/connect6，校验SPIFFEID，不匹配则drop，代码：```cSEC("cgroup/connect6")intcheck_connect(structbpf_sock_addrctx){__u64id=bpf_map_lookup_elem(&spiffe_map,&ctx>uid);if(!id||id!=ALLOWED_LEDGER)return0;return1;}```4.性能监控：通过eBPFmap导出drop计数，Prometheusexporter每秒采集，Grafana面板展示。5.故障自愈：当drop率>5%，Calico自动切换至备用策略，降低敏感度，同时触发Alertmanager告警至Slack。六、综合应用题（30分）49.背景：某直播公司全球用户，源站位于新加坡，使用AnycastIP/32，通过BGP通告给多家运营商。边缘节点部署在东京、洛杉矶、法兰克福，均配置相同AnycastIP。近期用户投诉欧洲地区频繁超时，抓包发现TCP三次握手延迟高，且出现SYN重传。Traceroute显示流量绕行美国。公司决定采用RPKI+BGPLS+SRv6优化路径，并引入eBPFQoS保障直播上行。任务：（1）绘制当前Anycast流量异常路径示意图，标注AS_PATH、RTT、丢包点。（5分）（2）给出RPKIROA配置，防止Anycast前缀被劫持，并写出验证命令。（5分）（3）使用BGPLS收集拓扑，控制器计算SRv6低时延路径，写出关键配置与SID栈。（10分）（4）在边缘节点使用eBPFTC程序，对UDP/5000直播流量标记EF，限速100Mbps，给出加载命令与完整代码。（10分）答案：（1）示意图：用户→DECIX→AS64511(Frankfurt)→AS64512(纽约)→AS64513(洛杉矶)→AS64514(新加坡)RTT:20ms→85ms→165ms→245ms，丢包点位于AS64512纽约链路。（2）RPKIROA：rpkiroa/24AS64514maxLength32验证：routershowrpkitable/24OriginAS:64514,Valid:1（3）BGPLS配置：routerisissegmentroutingsrv6locatorSGprefix2001:db8:1::/48routerbgp64514addressfamilylinkstatelinkstateredistributeisislevel2控制器计算路径：Frankfurt→SingaporeSID栈:2001:db8:1::100(End),2001:db8:1::200(EndwithPSP)下发：gNMISet/networkinstances/networkinstance[name=default]/protocols/protocol[identifier=BGP]/bgp/segmentrouting/srv6policy/policy[name=lowlatency]/segmentlist/segment[id=1]/sid2001:db8:1::100（4）eBPFTC程序：```cinclude<linux/bpf