2025年计算机网络工程师（四级）考试练习试题（附答案）

2025年计算机网络工程师（四级）考试练习试题（附答案）一、单项选择题（共20题，每题2分，共40分）1.在OSPFv3协议中，关于区域间路由传递的描述，正确的是（）。A.区域间路由通过ABR将区域内LSA汇总为Type3LSA传递至其他区域B.区域间路由通过ASBR将外部路由转换为Type5LSA传递至骨干区域C.OSPFv3不再支持区域划分，所有路由均通过Type8LSA泛洪D.区域间路由通过Type9LSA实现链路本地范围内的泛洪答案：A解析：OSPFv3保留了区域划分机制，ABR（区域边界路由器）负责将本区域内的Type1/2LSA汇总为Type3LSA（Inter-AreaPrefixLSA）传递至其他区域；Type5LSA由ASBR生成，用于外部路由；Type9LSA是链路本地范围的泛洪（如NSSA区域的外部路由），因此A正确。2.以下关于BGP路由属性的描述，错误的是（）。A.Local_Pref属性仅在AS内部传递，用于标识AS内路由器对出边的偏好B.MED属性用于向其他AS传递入边的优先级，值越小优先级越高C.Origin属性的优先级顺序为：IGP>EGP>IncompleteD.AS_Path属性的长度越长，路由优先级越高答案：D解析：BGP路由选择中，AS_Path长度越短，路由优先级越高（避免路由环路），因此D错误。其他选项均正确：Local_Pref默认100，值越大越优先；MED默认0，值越小越优先；Origin属性中IGP（如通过network宣告）优先级最高。3.在SDN（软件定义网络）架构中，控制器与转发设备之间的南向接口最常用的协议是（）。A.OpenFlow1.5B.RESTAPIC.PCEPD.NetConf答案：A解析：南向接口负责控制器与转发设备的通信，OpenFlow是SDN的核心南向协议（最新版本1.5支持组表、元数据等高级功能）；RESTAPI是北向接口（控制器与应用层交互）；PCEP用于路径计算；NetConf是配置管理协议，因此A正确。4.IPv6网络中，某主机的全局单播地址为2001:db8:abcd:1::1/64，其接口ID的生成方式最可能是（）。A.EUI-64B.随机生成C.手动配置D.基于MAC地址的哈希答案：A解析：IPv6全局单播地址的接口ID（后64位）通常由EUI-64（扩展唯一标识符）生成，将MAC地址的第7位取反后插入FFFE（如MAC00:1A:2B:3C:4D:5E转换为021A:2BFF:FE3C:4D5E），因此A正确。5.5G网络中，用户面功能（UPF）的主要作用是（）。A.管理用户上下文和会话B.处理用户数据的路由与转发，支持QoS标记C.实现无线资源管理D.完成鉴权与移动性管理答案：B解析：5G核心网中，UPF（用户面功能）属于用户面网元，负责数据分组的路由、转发、QoSenforcement、流量报告等；AMF（接入和移动性管理功能）处理会话管理和移动性；SMF（会话管理功能）管理用户上下文；gNB负责无线资源管理，因此B正确。6.关于网络切片（NetworkSlicing）的关键技术，错误的是（）。A.基于NFV实现网络功能的虚拟化B.通过QoS策略隔离不同切片的流量C.所有切片共享相同的物理传输资源D.切片管理系统（SMS）负责切片的生命周期管理答案：C解析：网络切片通过逻辑隔离实现不同业务需求（如eMBB、URLLC、mMTC），物理资源可按需分配（部分共享或专用），因此C错误。其他选项均正确：NFV是切片的技术基础；QoS标记和流量工程实现隔离；SMS负责创建、调整、删除切片。7.某企业网络部署了802.1X认证，当终端接入交换机端口时，未完成认证前只能访问认证服务器，其他流量被阻断。这种控制机制由（）实现。A.端口安全B.802.1X的受控端口与非受控端口C.ARP防护D.DHCPSnooping答案：B解析：802.1X将端口分为受控端口（认证通过后开放）和非受控端口（始终开放，用于EAPoL报文传输），未认证时仅允许认证流量通过，因此B正确。端口安全限制MAC地址数量；ARP防护防止ARP欺骗；DHCPSnooping防御私接DHCP服务器。8.以下关于零信任网络（ZeroTrust）的核心原则，错误的是（）。A.默认不信任网络内外的任何设备或用户B.所有访问需经过动态验证（身份、设备状态、环境等）C.网络边界清晰，仅允许授权设备接入内部网络D.最小权限原则，仅授予完成任务所需的最小访问权限答案：C解析：零信任的核心是“永不信任，始终验证”，打破传统边界概念（如不再依赖防火墙划分内外网），因此C错误。其他选项均符合零信任原则：动态验证、最小权限、持续评估风险。9.在WLAN网络优化中，判断AP覆盖区域是否存在同频干扰的关键指标是（）。A.RSSI（接收信号强度）B.SNR（信噪比）C.信道利用率D.重传率答案：C解析：同频干扰会导致同一信道上的AP相互竞争空口资源，信道利用率（ChannelUtilization）反映信道被占用的比例（通常超过70%表示干扰严重）；RSSI反映信号强弱；SNR是信号与噪声的比值；重传率高可能由干扰或覆盖弱引起，因此C正确。10.某数据中心采用Spine-Leaf架构，Leaf交换机与服务器直接连接，Spine交换机互联Leaf。该架构的优势不包括（）。A.实现服务器间的一跳通信（East-West流量）B.扩展性强，新增Leaf只需连接至所有SpineC.简化路由配置，采用ECMP实现负载均衡D.降低总体成本，减少核心层设备数量答案：D解析：Spine-Leaf架构中，Spine和Leaf的数量需满足N×M的连接（N为Spine数量，M为Leaf数量），当规模扩大时，Spine设备数量可能增加，总体成本未必降低；其优势包括低延迟（一跳通信）、线性扩展（新增Leaf只需连接Spine）、ECMP负载均衡，因此D错误。11.在网络故障排查中，使用tracert（Windows）或traceroute（Linux）命令的主要目的是（）。A.测试目标主机的连通性B.确定数据包在网络中的路由路径及跳数C.检测网络中的广播风暴D.测量网络的带宽利用率答案：B解析：tracert/traceroute通过发送TTL递减的UDP/ICMP报文，逐跳记录路径上的路由器，用于定位网络延迟或中断的具体跳数，因此B正确。测试连通性用ping；检测广播风暴用流量监控工具；测量带宽用iPerf等。12.以下关于网络流量分类的技术，属于深度包检测（DPI）的是（）。A.基于端口号识别HTTP（80）、HTTPS（443）流量B.分析IP报文的TTL值判断操作系统类型C.解析应用层协议载荷（如HTTP的User-Agent字段）识别具体应用D.统计流量的上下行字节比区分P2P流量答案：C解析：DPI通过解析应用层协议内容（如HTTP头部、FTP命令、SSL握手信息）识别流量类型；基于端口的是深度流检测（DFI）；分析TTL或统计特征属于启发式方法，因此C正确。13.某企业部署了入侵检测系统（IDS），当检测到异常流量时，最可能的响应方式是（）。A.自动阻断源IP的所有流量B.记录日志并向管理员告警C.修改路由表将流量重定向至黑洞D.动态调整防火墙规则答案：B解析：IDS是监控设备（旁路部署），主要功能是检测并告警，不直接阻断流量；入侵防御系统（IPS）可主动阻断（inline部署）。因此B正确。14.在IPv6过渡技术中，6to4隧道的工作原理是（）。A.将IPv6报文封装在IPv4报文中，通过IPv4网络传输，隧道端点地址为2002:IPv4地址::/48B.使用NAT-PT实现IPv4和IPv6的协议转换C.在IPv4网络中动态建立隧道，通过ISATAP路由前缀标识隧道D.将IPv4地址嵌入IPv6地址的低32位（如::FFFF:w.x.y.z/96）答案：A解析：6to4隧道的IPv6地址前缀为2002:IPv4地址::/48（如IPv4地址对应2002:c0a8:0101::/48），隧道端点通过IPv4地址自动识别，因此A正确。NAT-PT是协议转换；ISATAP使用::5efe:w.x.y.z/96；::FFFF:w.x.y.z/96是IPv4映射的IPv6地址。15.关于网络管理协议SNMPv3的描述，正确的是（）。A.仅支持团体名认证（CommunityString）B.提供加密（Privacy）和认证（Authentication）功能，使用HMAC-SHA或AESC.采用轮询（Polling）方式收集数据，不支持事件通知（Trap）D.管理信息库（MIB）仅包含标量对象，不支持表对象答案：B解析：SNMPv3增强了安全性，支持认证（如HMAC-SHA-1）和加密（如AES-128）；SNMPv1/v2c使用团体名认证；SNMP支持Trap/Informs事件通知；MIB包含标量和表对象（如ifTable），因此B正确。16.某校园网出口带宽为1Gbps，平均流量为800Mbps，突发流量可达1.2Gbps。为避免出口拥塞，应部署的QoS机制是（）。A.流量整形（TrafficShaping）B.流量监管（TrafficPolicing）C.拥塞避免（WRED）D.优先级标记（DSCP）答案：A解析：流量整形通过缓存突发流量并按设定速率发送（如限制为1Gbps），平滑流量峰值；流量监管（policing）直接丢弃超量流量；WRED用于随机丢弃低优先级报文；DSCP标记用于区分服务等级，因此A正确。17.在BGP路由选路规则中，以下优先级最高的是（）。A.本地优先级（Local_Pref）更高的路由B.AS路径（AS_Path）更短的路由C.起源类型（Origin）为IGP的路由D.下一跳（Next_Hop）可达的路由答案：D解析：BGP选路规则的顺序为：①同步（Synchronization）已禁用；②权重（Weight）最大；③本地优先级（Local_Pref）最大；④本地生成的路由（如network或aggregate）；⑤AS_Path最短；⑥Origin类型（IGP>EGP>Incomplete）；⑦MED最小；⑧eBGP路由优先于iBGP；⑨下一跳可达；因此D（下一跳可达）是基础条件，若下一跳不可达，其他属性无意义，优先级最高。18.以下关于NFV（网络功能虚拟化）的描述，错误的是（）。A.将传统网元（如路由器、防火墙）运行在通用服务器上B.依赖专用硬件（如ASIC芯片）实现高性能转发C.通过VNFM（虚拟网络功能管理器）管理VNF的生命周期D.使用Hypervisor实现硬件资源的虚拟化答案：B解析：NFV的核心是用通用x86服务器替代专用硬件（如路由器的ASIC），通过软件实现网络功能，因此B错误。其他选项正确：VNF运行在虚拟化平台（Hypervisor）；VNFM负责创建、迁移、终止VNF。19.某企业网络需要支持VoIP语音流量（延迟敏感）和文件下载流量（带宽敏感），合理的QoS策略是（）。A.为VoIP分配更高的DSCP值（如AF41），文件下载分配较低值（如AF11），使用WFQ调度B.为文件下载分配更高的带宽保证，VoIP使用尽力而为（BE）C.对VoIP流量进行流量监管（丢弃超量部分），文件下载进行流量整形D.使用SP（严格优先级）调度，VoIP优先于文件下载，避免队列堆积答案：D解析：VoIP对延迟敏感，需低延迟、低抖动，SP调度（严格优先级）可确保其优先传输；DSCP标记（如EF（ExpeditedForwarding））通常用于实时流量；WFQ按权重分配带宽，适合非实时流量；SP可能导致低优先级流量饥饿，但VoIP流量小（每路约80kbps），合理配置可避免，因此D正确。20.在网络安全防护中，针对ARP欺骗攻击的有效防御措施是（）。A.启用DHCPSnooping，绑定IP与MAC地址B.部署入侵检测系统（IDS）监控异常ARP报文C.在交换机端口启用802.1X认证D.配置静态ARP表项，禁止动态学习答案：A解析：DHCPSnooping通过建立信任端口（连接合法DHCP服务器）和非信任端口（连接终端），记录合法IP-MAC绑定（DHCP绑定表），并阻止非信任端口发送的非法ARP报文（如ARP欺骗）；静态ARP表项需手动维护，不适用于大规模网络；IDS可检测但无法防御；802.1X是接入认证，因此A正确。二、综合分析题（共3题，每题20分，共60分）试题1：企业园区网升级设计某企业现有园区网采用核心-汇聚-接入三层架构，核心层使用两台H3CS12508交换机（双机热备），汇聚层为H3CS5820V2，接入层为H3CS5130。随着业务发展，出现以下问题：（1）视频会议流量（延迟敏感）与办公流量（HTTP/HTTPS）混用，偶发卡顿；（2）新部署的研发部门需要与财务部门网络严格隔离，现有VLAN隔离无法满足安全要求；（3）出口带宽1Gbps，高峰时段拥塞，无法保障关键业务（如ERP系统）的带宽。要求：设计升级方案，解决上述问题，需说明关键技术选型及配置要点。答案与解析：1.QoS优化（解决问题1）-技术选型：基于DSCP的差分服务模型，结合SP（严格优先级）+WFQ（加权公平队列）调度。-配置要点：-识别视频会议流量（如RTP/RTCP端口5004-5005，或通过应用识别引擎），标记DSCP为EF（ExpeditedForwarding，值46）；-办公流量（HTTP/HTTPS）标记为AF21（值18）；-核心/汇聚交换机接口启用QoS策略，对EF流量使用SP队列（优先转发，避免延迟），AF21使用WFQ（按权重分配带宽）；-配置流量监管（Policing）限制视频会议流量峰值（如单部门不超过200Mbps），避免占用过多带宽。2.安全隔离（解决问题2）-技术选型：采用VXLAN（虚拟扩展局域网）替代传统VLAN，结合网络虚拟化（NVGRE或EVPN）实现逻辑网络隔离。-配置要点：-研发部门和财务部门分别分配不同的VXLAN网络标识符（VNI，如VNI1001和VNI1002）；-核心交换机作为VXLAN隧道端点（VTEP），通过IP网络建立VXLAN隧道；-在核心层部署访问控制列表（ACL），禁止VNI1001与VNI1002之间的二层/三层通信；-启用DHCPSnooping和IPSourceGuard，绑定用户IP-MAC-VNI三元组，防止私接设备仿冒。3.出口带宽保障（解决问题3）-技术选型：多出口负载均衡（如BGP多线路接入）+流量整形（TrafficShaping）+应用识别（ACG）。-配置要点：-新增一条1Gbps运营商线路（如电信+联通双出口），通过BGP宣告本地路由，实现链路冗余和负载分担；-在出口路由器部署应用控制网关（ACG），识别ERP流量（如访问00的TCP8080端口），标记为高优先级；-对出口流量进行整形，为ERP分配专用带宽（如500Mbps），视频会议300Mbps，办公流量200Mbps（剩余带宽用于弹性分配）；-启用WRED（加权随机早期检测），对低优先级流量（如P2P下载）在队列拥塞时优先丢弃，保障关键业务。试题2：数据中心网络故障排查某互联网公司数据中心采用Spine-Leaf架构（4台Spine，8台Leaf），Leaf与服务器（每台Leaf连接40台服务器）通过10Gbps链路互联，Spine与Leaf通过25Gbps链路互联。近期用户反馈访问某业务系统（部署在Leaf1的服务器S1）延迟高达500ms（正常5-10ms），请设计排查步骤并分析可能原因。答案与解析：排查步骤：1.确认故障范围：-检查其他服务器（如同Leaf的S2、其他Leaf的S3）是否存在延迟，判断是S1单点问题还是Leaf1或Spine故障。-若仅S1延迟，检查S1的网卡状态（如速率/双工模式）、CPU/内存使用率、业务进程是否异常。2.检查链路状态：-登录Leaf1，使用`displayinterfacebrief`查看与S1连接的端口（如GigabitEthernet1/0/1）是否UP，是否有CRC错误、丢包率（`displayinterfaceGigabitEthernet1/0/1`）。-检查Leaf1与Spine的互联端口（如25G链路）是否拥塞（`displaytraffic-statisticsinterface`查看入/出速率是否接近25Gbps）。3.跟踪路由路径：-在用户终端执行`tracert-6<S1的IPv6地址>`（假设数据中心使用IPv6），查看跳数是否异常（正常应为用户→出口→Spine→Leaf→S1，共3-4跳）。-若路径中出现额外跳数（如绕经其他Spine或Leaf），可能是ECMP负载均衡策略异常（如链路权重配置错误）。4.分析流量分布：-使用网络监控工具（如NetFlow或sFlow）采集Leaf1的流量数据，查看S1的入/出流量是否异常（如DDoS攻击导致流量剧增）。-检查是否存在大流量业务（如备份、视频传输）占用Leaf1与Spine的链路带宽，导致S1流量被队列缓存，延迟增加。5.验证Spine与Leaf的转发性能：-在Spine1上执行`ping-c1000-s1472<Leaf1的IPv6地址>`（测试MTU为1500的报文），查看延迟和丢包率；若延迟高，可能是Spine的交换芯片负载过高（如转发引擎故障）。-检查Spine和Leaf的ARP表/邻居表（IPv6为NDP表）是否完整，是否存在超时或错误映射（如S1的MAC地址被误学习到其他端口）。可能原因：-S1的网卡驱动异常，导致报文处理延迟；-Leaf1与S1连接的端口速率协商错误（如协商为1Gbps而非10Gbps），链路带宽瓶颈；-Spine与Leaf的互联链路拥塞（如某Leaf的流量突发超过25Gbps，导致队列堆积）；-ECMP负载均衡策略配置错误，流量绕经高延迟路径；-S1被DDoS攻击（如UDP洪水），导致服务器处理能力耗尽；-Spine交换机的转发表项（FIB）老化异常，报文转发时查表延迟增加。试题3：5G承载网规划设计某运营商计划在某市部署5G网络，需设计5G承载网（前传、中传、回传）方案，要求满足以下指标：-前传：支持25Gbps/50Gbps接口，拓扑为点对多点（P2MP），低延迟（≤100μs）；-中传/回传：支持100Gbps/200Gbps接口，承载5G核心网（UPF、AMF、SMF）与gNodeB的连接，需满足切片隔离、时钟同步（1588v2）。请说明各层的技术选型、拓扑结构及关键配置要点。答案与解析：1.前传网络-技术选型：采用彩光直驱（ColorlessDFB）或WDM-PON（波分复用无源光网络）技术，支持25G/50Gbps速率。-拓扑结构：点对多点（P2MP），gNodeB的AAU（有源天线单元）通过光纤连接至DU（分布单元），中间使用无源波分复用器（如LWDM，8波×25Gbps）。-关键配置：-光纤链路损耗控制（≤20dB），使用单模光纤（G.652D），支持长距离传输（10-20km）；-时钟同步：AAU与DU通过光纤传递1588v2时间戳，或使用同步以太网（SyncE）保障频率同步；-故障检测：部署OTDR（光时域反射仪）监测