2025年网络工程师职业技能测试卷及答案

2025年网络工程师职业技能测试卷及答案1.（单选）在IPv6地址2001:0db8:0000:0000:0000:ff00:0042:8329中，若采用零压缩法，最简合法写法为A.2001:db8::ff00:42:8329B.2001:db8:0:0:0:ff00:42:8329C.2001:db8::ff00:0042:8329D.2001:db8::ff00:42::8329答案：A2.（单选）某企业采用VRRP实现网关冗余，路由器R1优先级120，R2优先级100，R1被人工shutdown后恢复，若抢占延迟为0，则主网关将A.立即由R2切回R1B.保持R2不变，需手工干预C.等待3倍通告间隔后切回D.等待R2失效才切回答案：A3.（单选）在802.11ax中，OFDMA技术主要解决的传统WiFi痛点是A.隐藏节点B.同频干扰C.多用户并发效率低D.传输距离短答案：C4.（单选）某园区网运行OSPFv3，路由器ID为，其在链路本地地址fe80::1上发送的Hello包目的地址为A.ff02::5B.ff02::6C.ff02::1D.2001:db8::1答案：A5.（单选）下列关于BGP4字节AS号说法正确的是A.以asplain表示时，范围0～65535B.以asdot表示时，1.0代表65536C.与2字节AS互通必须开启AS_TRANSD.在Open报文中CapabilityCode为2答案：C6.（单选）某STP网络中，交换机A的桥优先级为0x7000，MAC为000000000001；交换机B优先级0x8000，MAC为000000000002，则根桥为A.AB.BC.随机选择D.需比较端口ID答案：A7.（单选）在Linux中，使用ethtoolKeth0tsooff命令的作用是A.关闭TCP分段卸载B.关闭UDP校验和卸载C.关闭巨帧D.关闭流控答案：A8.（单选）某MPLS网络运行LDP，当LSR收到标签映射时，若其下一跳并非路由表最优，则A.立即接受并安装B.拒绝并通知上游C.保留但不使用，待路由收敛D.触发LSP重新计算答案：C9.（单选）在DNSSEC验证过程中，DS记录应存放在A.子域权威服务器B.父域权威服务器C.递归解析器缓存D.根hints文件答案：B10.（单选）某企业部署SDWAN，采用IPSecoverGRE，若需支持动态路由协议，则最合理的GRE隧道模式为A.点到点GRE，开启keepaliveB.点到多点GRE，关闭keepaliveC.点到点GRE，关闭keepaliveD.使用VTI替代GRE答案：A11.（单选）在Python3中，使用scapy发送SYNFlood探测包，若需固定源端口为12345，正确语句为A.send(IP(dst="")/TCP(sport=12345,dport=80,flags="S"))B.sendp(Ether()/IP(dst="")/TCP(sport=12345,dport=80,flags="S"))C.sr1(IP(dst="")/TCP(sport=12345,dport=80,flags="S"))D.send(IP(dst="")/TCP(dport=12345,flags="S"))答案：A12.（单选）某数据中心采用VXLANEVPN，ARP抑制功能开启后，首次ARP请求将A.被VTEP代答B.被本地网关丢弃C.泛洪到所有VTEPD.转成BGPEVPNType2路由答案：C13.（单选）在SNMPv3中，若authPriv级别采用HMACMD5与CBCDES，则安全级别代码为A.noAuthNoPrivB.authNoPrivC.authPrivD.privOnly答案：C14.（单选）某防火墙策略中，配置“sourcezonetrustdestinationzoneuntrustapplicationtelnetactiondeny”，则trust区主机仍可通过A.目标端口23的TCP会话B.目标端口22的SSH会话C.目标端口80的HTTP会话D.目标端口21的FTP控制会话答案：B15.（单选）在RAID5阵列中，若条带大小为64KB，磁盘数为5，则单次写入最小数据单元为A.64KBB.256KBC.320KBD.64KB×4答案：B16.（单选）某Kubernetes集群使用CalicoCNI，默认IPPool为/16，若Node数量为128，则理论上最大Pod数为A.65536B.32768C.65536128D.与Node数量无关答案：A17.（单选）在Wireshark中，显示过滤器“tcp.analysis.retransmission”用于抓取A.重复ACKB.快速重传C.超时重传D.所有重传答案：D18.（单选）某802.1X认证采用EAPTLS，若客户端证书私钥泄露，则最佳应急措施为A.吊销证书并更新CRLB.更换Radius共享密钥C.关闭端口安全D.降低EAP超时答案：A19.（单选）在CiscoIOSXE中，配置“ipsla1icmpechothreshold100timeout500”中，timeout单位是A.秒B.毫秒C.微秒D.100毫秒答案：B20.（单选）某企业采用零信任架构，SDP控制器的主要功能是A.下发微隔离策略B.建立数据平面隧道C.验证设备身份并授权D.提供公钥基础设施答案：C21.（多选）下列关于HTTP/3特性描述正确的是A.基于QUIC传输B.默认端口443/UDPC.头部压缩使用QPACKD.支持多路复用且无队头阻塞E.强制使用TLS1.3答案：ABCDE22.（多选）在Linux内核参数中，与防御SYNFlood相关的有A.net.ipv4.tcp_syncookiesB.net.ipv4.tcp_max_syn_backlogC.net.ipv4.tcp_abort_on_overflowD.dev_max_backlogE.net.ipv4.ip_forward答案：ABCD23.（多选）某园区网运行ISIS，若需将IPv6单拓扑改为多拓扑，需配置A.metricstylewideB.addressfamilyipv6unicastC.multitopologyD.redistributeipv6level12E.istypelevel2only答案：ABC24.（多选）下列关于NVMeoverRoCEv2描述正确的是A.使用UDP端口4791B.依赖无损以太网C.需启用PFCD.支持多路径E.传输层为RDMA答案：BCDE25.（多选）在Python3中，使用concurrent.futures.ThreadPoolExecutor爬取网页时，为避免GIL限制，可A.改用multiprocessingB.使用Jython解释器C.使用asyncio+aiohttpD.设置max_workers=1E.使用Cython编译答案：ACE26.（多选）某企业采用802.1Qbv时隙调度，需保证语音流<2ms延迟，则必须A.启用TASB.配置门控列表C.使用cQFD.同步gPTPE.关闭帧抢占答案：ABD27.（多选）在CiscoDNACenter中，SDAfabric支持的控制平面协议有A.LISPB.BGPEVPNC.OTVD.VXLANE.ISIS答案：ABD28.（多选）下列关于SMURF攻击防护说法正确的是A.关闭IPDirectedBroadcastB.启用uRPFC.配置ACL丢弃ICMPD.在边界过滤源地址为受害者E.启用ICMPratelimit答案：ABDE29.（多选）在WindowsServer2022中，实现微隔离可使用的技术有A.AzureArcB.WindowsDefenderFirewallC.SDNACLD.HyperVvSwitchACLE.IPsec隧道模式答案：ABCD30.（多选）某KubernetesIngress使用Contour+Envoy，若需实现灰度发布，可A.配置HTTPProxy的weight字段B.使用Flagger自动切换C.修改Service的labelselectorD.设置Envoy的retrypolicyE.使用CanaryCRD答案：ABE31.（判断）在BGP/MPLSVPN中，RD值用于控制数据转发路径。答案：错误32.（判断）NVMeoverTCP相比NVMeoverFC，具备更低延迟。答案：错误33.（判断）在Wireshark中，tcp.flags.syn==1andtcp.flags.ack==0可匹配SYN包。答案：正确34.（判断）当交换机端口处于errdisable状态，必须先shutdown再noshutdown才能恢复。答案：错误35.（判断）在Linux中，/proc/sys/net/ipv4/tcp_keepalive_time默认值为7200秒。答案：正确36.（判断）HTTP状态码451代表“UnavailableForLegalReasons”。答案：正确37.（判断）在RAID10中，允许任意两块磁盘同时损坏而不丢数据。答案：错误38.（判断）使用ChaCha20Poly1305的IPSecSA，其IV长度为96位。答案：正确39.（判断）在CiscoWLC上，RFProfile可针对不同AP组设置独立功率与信道。答案：正确40.（判断）在Python3中，asyncio.run()只能被调用一次。答案：正确41.（填空）在IPv6中，用于请求节点多播地址的后缀固定为________。答案：ff02::1:ff00:0/10442.（填空）在BGP中，公认必遵属性包括Origin、AS_Path和________。答案：Next_Hop43.（填空）在Linux中，查看当前TCP拥塞控制算法的命令为________。答案：sysctlnet.ipv4.tcp_congestion_control44.（填空）某VXLANVNI为6000，其对应的UDP目的端口为________。答案：478945.（填空）在802.11ac中，最高支持________空间流。答案：846.（填空）在DNS中，记录类型________用于IPv6地址解析。答案：AAAA47.（填空）在CiscoIOS中，将接口划入VLAN10的命令为________。答案：switchportmodeaccess与switchportaccessvlan1048.（填空）在Python3中，使用________模块可生成伪随机IPv6地址。答案：secrets49.（填空）在SNMP中，________PDU用于主动上报Trap。答案：SNMPv2Trap50.（填空）在MSTP中，实例与VLAN的映射关系通过________表体现。答案：MSTConfiguration51.（简答）描述TCP三次握手过程中SYNACK包的主要字段值及其作用。答案：SYNACK包中SYN=1、ACK=1，序列号为服务器初始序号ISN(c)，确认号为客户端ISN(s)+1，用于同步服务器序号并确认客户端序号，同时协商窗口大小、MSS、SACK等选项，建立双向通信初始状态。52.（简答）说明VXLANEVPNType5路由与传统Type2路由在转发层面的差异。答案：Type5仅通告IP前缀，不携带MAC，用于子网路由，减少表项；Type2同时携带MAC与IP，用于主机路由和ARP抑制。Type5跨子网流量经L3VTEV转发，Type2在同子网内直接L2转发。53.（简答）列举Linux下三种查看网卡队列中断亲和性的方法并给出命令。答案：1.cat/proc/interrupts|grepeth0查看中断号分布；2.cat/proc/irq/24/smp_affinity查看对应中断CPU掩码；3.ethtoolxeth0查看RSS队列映射；4.perftopeirq:irq_handler_entry观察实时中断。54.（简答）阐述零信任架构中“持续信任评估”的实现机制。答案：通过SDP控制器持续收集终端、用户、环境、行为等多维信号，结合AI风险模型动态计算信任分数，实时下发策略至数据平面，若分数低于阈值则立即降级访问权限或触发二次认证，实现毫秒级响应。55.（简答）说明在Kubernetes中，Calico实现NetworkPolicy时iptables与eBPF两种数据路径的优缺点。答案：iptables路径成熟、兼容性好，但规则多性能线性下降；eBPF路径利用BPF程序实现O(1)匹配，性能高、可编程性强，但需高版本内核，调试复杂。56.（综合）某企业总部与两地分支需构建加密骨干，拓扑如下：总部双出口ISPA/ISPB，分支1出口ISPC，分支2出口ISPD，所有CPE运行iBGP，AS号65000，地址规划/16，要求：1)分支互访流量优先走总部，当总部失效才直连；2)所有流量基于IPSec加密，支持动态路由；3)总部与分支1启用IPv6，采用6VPE，VRF名VOICE；4)总部至ISPA走ISPB需MED=200，且不允许公布私有AS；请给出关键配置片段（CiscoIOSXE），包括IPSec、BGP、VRF、IPv6地址族、路由策略。答案：总部CPE：cryptoisakmppolicy10encraes256hashsha256authpresharegroup16cryptoisakmpkeyciscoaddresscryptoipsectransformsetTSespaes256espsha256hmacmodetunnelcryptoipsecprofilePROFsettransformsetTSinterfaceTunnel0ipunnumberedLoopback0tunnelsourceGig0/0tunnelmodeipsecipv4tunneldestinationtunnelprotectionipsecprofilePROFinterfaceGig0/1ipaddress2001:db8::1/64vrfdefinitionVOICErd65000:1routetargetexport65000:1routetargetimport65000:1addressfamilyipv6routerbgp65000bgprouteridbgplogneighborchangesneighborremoteas65000neighborupdatesourceLoopback0neighbor2001:db8::2remoteas65000addressfamilyipv4unicastnetworkmaskneighborroutereflectorclientneighbornexthopselfaddressfamilyipv6unicastvrfVOICEnetwork2001:db8:10::/48neighbor2001:db8::2activateneighbor2001:db8::2routereflectorclientaddressfamilyvpnv6unicastneighborsendcommunitybothneighborISPApeergroupneighborISPBpeergroupneighborISPAroutemapSETMEDoutroutemapSETMEDpermit10setmetric200setaspathprepend6500065000分支1CPE：interfaceTunnel0ipunnumberedLoopback0tunnelsourceGig0/0tunneldestinationtunnelprotectionipsecprofilePROFrouterbgp65000bgprouteridneighborremoteas65000neighborupdatesourceLoopback0addressfamilyipv4unicastnetworkmaskneighbornexthopselfaddressfamilyipv6unicastvrfVOICEnetwork2001:db8:11::/48neighbor2001:db8::1activate分支2CPE：interfaceTunnel0tunneldestinationrouterbgp65000neighborremoteas65000addressfamilyipv4unicastnetworkmaskneighbornexthopself57.（综合）某数据中心核心交换机运行BGPEVPN，出现VM迁移后流量黑洞，排查发现ARP表项未及时更新。请给出五步定位流程及解决命令。答案：1)在源VTEP执行showbgpl2vpnevpnroutetype2ip00，确认是否发布新主机路由；2)在目的VTEP执行showvxlanaddresstable，确认是否学习新VTEP；3)检查EVPN路由携带的下一跳是否可达，showiproutehost00；4)若下一跳不可达，检查underlay路由，showbgpipv4unicast；5)在源VTEP执行clearbgpl2vpnevpn00soft，触发重新通告；6)在目的VTEP执行cleararpcache，强制刷新ARP。58.（综合）某企业采用双活数据中心，通过AnycastDNS对外服务，DNS服务器IP为3/32，使用BGP公布/32路由，但发现部分用户解析慢。抓包显示TCP三次握手首包SYN丢失，后续重传成功。请分析可能原因并给出三项优化措施。答案：原因：AnycastBGP路由在局部区域发生不对称路径，导致SYN抵达站点A，SYNACK被引流至站点B，B无状态丢弃。优化：1)在双活节点间同步连接状态，采用会话同步技术如LVSCONNSYNC；2)调长TCP初始超时，降低用户感知；3)使用TCPFastOpen，减少一次RTT；4)在站点间部署GRE隧道，强制对称路径；5)降低BGP/32前缀在局部区域的MED，引导流量优先最近出口。59.（综合）某公司开发基于eBPF的DDoS防御程序，要求：1)识别每秒超过1000个SYN包的源IP；2)自动将其加入黑名单5分钟；3)黑名单容量1万条，超量时LRU淘汰；4)提供Prometheus指标；请给出核心eBPF伪代码及用户态逻辑。答案：eBPF程序：struct{__uint(type,BPF_MAP_TYPE_HASH);__type(key,__u32);__type(value,__u64);__uint(max_entries,10000);}syn_countSEC(".maps");SEC("xdp")intxdp_prog(structxdp_mdctx){voiddata_end=(void)(long)ctx>data_end;voiddat