2025上半年高级软件水平考试(网络规划设计师)真题及解析

2025上半年高级软件水平考试(网络规划设计师)练习题及解析一、单项选择题（每题1分，共30分）1.在IPv6地址中，用于表示“链路本地单播地址”的前缀是A.FE80::/10B.FC00::/7C.2001:DB8::/32D.::1/128答案：A解析：FE80::/10是IANA规定用于链路本地通信的固定前缀，其范围FE80::到FEBF:FFFF:FFFF:FFFF:FFFF:FFFF:FFFF:FFFF，只在本地链路有效，不可路由。2.某企业计划将核心交换机虚拟化为两台物理框式设备，要求控制平面合一、转发平面分离，应选用的技术是A.VRRPB.IRF2C.MLAGD.VSU答案：C解析：MLAG（MultiChassisLinkAggregationGroup）在控制面独立的前提下实现跨设备链路聚合，满足“控制平面合一、转发平面分离”的可靠性要求；IRF2/VSU属于堆叠，控制面合一，不符合题意。3.在BGPEVPN中，用于通告主机MAC地址信息的RT类型是A.RTtype0B.RTtype1C.RTtype2D.RTtype5答案：C解析：RTtype2即MAC/IPAdvertisementRoute，用于通告主机MAC、IP以及VTEP信息，是EVPN控制面的核心报文。4.下列关于SRMPLS与SRv6差异的描述，错误的是A.SRMPLS使用MPLS标签栈，SRv6使用IPv6扩展头B.SRMPLS的Segment长度为20bit，SRv6为128bitC.SRv6可在普通IPv6网络逐跳转发，无需升级硬件D.SRMPLS必须依赖IGP扩展，SRv6无需IGP扩展答案：D解析：SRv6仍需IGP（如ISIS）扩展以分发SID信息，选项D错误。5.在SDWAN方案中，为降低跨国链路丢包率，最适合的TCP优化技术是A.前向冗余纠错FECB.自适应冗余ARQC.透明TCP代理D.多径UDP冗余答案：C解析：透明TCP代理将长肥管道拆分为两段，通过本地ACK、窗口缩放、拥塞算法优化，显著降低跨国高时延链路丢包影响。6.某数据中心采用SpineLeaf架构，Leaf与Spine之间运行ECMP，若单条链路带宽40Gbps，共8条上行，理论上Leaf节点最大南向收敛比为A.1:1B.1:2C.1:3D.1:4答案：C解析：收敛比=下行总带宽/上行总带宽。假设Leaf有48个25Gbps下行口，总下行1200Gbps；上行8×40=320Gbps，收敛比1200:320≈3.75:1，最接近1:3。7.在DNSSEC验证过程中，用于建立信任链的第一条记录是A.DSB.DNSKEYC.RRSIGD.NSEC答案：A解析：DS（DelegationSigner）记录由父域签名，指向子域的DNSKEY，是信任链起点。8.当使用Wireshark抓包发现TCP报文出现“TCPPrevioussegmentnotcaptured”提示，最可能的原因是A.抓包接口丢包B.对端发送乱序C.存在校验和错误D.存在RST攻击答案：A解析：提示说明Wireshark未捕获到序列号靠前的段，通常由抓包点丢包或镜像策略不完整导致。9.在Linux内核路由表中，以下哪条路由的优先级（Preference）最高A./0viaB./8viaC./16scopelinkD./32scopehost答案：D解析：主机路由（/32）最长匹配且scope为host，优先级高于链路、网络及默认路由。10.某园区网通过802.1X对终端进行准入，若要求打印机无代理接入，最佳认证模式为A.MACAuthenticationBypassB.EAPTLSC.EAPPEAPD.WebAuth答案：A解析：MAB通过MAC地址旁路认证，适用于无法安装802.1X客户端的哑终端。11.在VXLANoverlay网络中，用于抑制BUM风暴的协议是A.PIMSMB.EVPNC.TRILLD.SPB答案：B解析：EVPN通过RTtype3（InclusiveMulticastRoute）建立头端复制列表，抑制未知单播、广播、组播风暴。12.关于量子加密通信QKD，下列说法正确的是A.采用RSA算法协商密钥B.依赖数学难题保证安全C.可实现密钥分发与窃听检测D.需使用光纤但不可超过10km答案：C解析：QKD利用量子不可克隆定理，一旦窃听即引入误码，可检测并丢弃被窃听密钥。13.在5G核心网SBA架构中，负责会话管理的NF是A.AMFB.SMFC.UPFD.NRF答案：B解析：SMF（SessionManagementFunction）负责PDU会话建立、修改、释放及UPF选择。14.若将IPv4私网地址/16通过NAT64与IPv6互通，需使用的知名前缀是A.64:FF9B::/96B.2001:DB8::/32C.3FFE::/16D.2002::/16答案：A解析：RFC6052定义64:FF9B::/96为WellKnownNAT64前缀，用于IPv4IPv6地址映射。15.在防火墙策略中，以下哪项技术可基于应用层语义检测SQL注入A.状态检测B.深度包检测DPIC.会话复用D.分片重组答案：B解析：DPI可识别HTTP载荷中的SQL关键字与异常语法，实现应用层攻击检测。16.某ISP计划将ISIS路由域从窄度量迁移到宽度量，需同时启用的TLV是A.TLV2B.TLV22C.TLV135D.TLV232答案：D解析：TLV232（ExtendedISReachability）携带宽度量信息，支持大于1023的链路开销。17.在MPLSL3VPN中，RD的作用是A.控制VPNv4路由分发B.实现路由区分，防止地址重叠C.决定数据转发路径D.加密用户路由答案：B解析：RD（RouteDistinguisher）在PE上将重叠的IPv4地址转换为全局唯一的VPNv4地址，仅用于控制面，不影响转发。18.关于WiFi6的OFDMA技术，下列描述错误的是A.将信道划分为多个子载波组B.可同时传输多个用户数据C.降低了高密场景下的空口竞争D.仅适用于下行方向答案：D解析：OFDMA支持上下行多用户并发，选项D错误。19.在零信任架构中，用于动态评估访问主体信任等级的组件是A.PolicyEngineB.PolicyAdministratorC.PolicyEnforcementPointD.TrustAlgorithm答案：D解析：TrustAlgorithm综合身份、设备、环境、行为等多维因素，实时计算信任分数。20.某云厂商提供“单可用区SLB”与“多可用区SLB”，两者的主要差异在于A.四层与七层转发能力B.是否支持弹性公网IPC.是否跨AZ容灾D.是否支持HTTPS卸载答案：C解析：多可用区SLB在控制面与数据面实现跨AZ冗余，单可用区SLB仅部署于一个AZ。21.在SNMPv3中，提供认证与加密的安全级别是A.noAuthNoPrivB.authNoPrivC.authPrivD.privNoAuth答案：C解析：authPriv既做HMACMD5/HMACSHA认证，又做DES/AES加密，安全级别最高。22.若某链路的传播时延为40ms，带宽为1Gbps，欲使链路利用率达到90%，所需TCP窗口至少为A.4.5MBB.9MBC.18MBD.2.25MB答案：A解析：带宽时延积=1Gbps×40ms=5MB；考虑90%利用率，窗口≥5×0.9=4.5MB。23.在Linux中，使用iproute命令添加一条策略路由，需操纵的表号是A.253B.254C.255D.主表即可答案：B解析：表254为main表，默认表；策略路由需新建表号，但查询仍依赖main。24.关于HTTP/3，下列说法正确的是A.基于TCP实现多路复用B.使用QUIC传输，内置TLS1.3C.仍使用端口号80D.不支持服务器推送答案：B解析：HTTP/3基于QUIC，QUIC运行在UDP之上，内置TLS1.3，默认端口443。25.在Docker网络模型中，跨主机容器通信需依赖的底层技术是A.VXLANB.MACVLANC.IPVLAND.HOST答案：A解析：DockerSwarm默认overlay驱动使用VXLAN封装，实现跨主机二层互通。26.某企业采用双活数据中心，若需实现数据库一致性，最合适的复制机制是A.异步复制B.级联复制C.同步复制D.延迟复制答案：C解析：同步复制确保RPO=0，保证双活数据一致性，但对链路质量要求高。27.在IPv6过渡技术中，MAPT实现A.IPv4overIPv6隧道B.IPv6overIPv4隧道C.无状态IPv4/IPv6翻译D.有状态IPv4/IPv6翻译答案：C解析：MAPT（MappingofAddressandPortusingTranslation）通过无状态算法实现IPv4与IPv6地址+端口映射，无需维护翻译表。28.关于区块链共识机制，PoS与PoW的主要区别是A.计算难题难度B.记账权与币龄相关C.区块大小D.智能合约支持答案：B解析：PoS根据持币数量与币龄选举记账节点，无需大量算力，节能且防51%攻击。29.在NetFlowv9中，用于标识模板ID的字段长度为A.1byteB.2bytesC.4bytesD.8bytes答案：B解析：TemplateID字段占2bytes，范围065535，其中0255保留。30.某ISP部署RPKI，若路由源AS与ROA记录不符，应执行的动作是A.直接丢弃B.降低LocalPrefC.前缀无效标记，根据策略处理D.忽略RPKI结果答案：C解析：RPKI验证结果为Valid/Invalid/NotFound，Invalid前缀可标记后按策略丢弃或降级，非强制丢弃。二、案例分析题（共90分）【案例一】（20分）某省级政务云计划构建跨城域的三地多活数据中心，A市为主生产中心，B、C为同城双活及异地容灾。业务系统要求RPO≤15min，RTO≤30min，峰值带宽15Gbps，平均包长500B，链路往返时延AB2ms、AC8ms、BC8ms。现网核心设备支持VXLANEVPN、SRMPLS、SRv6。问题：1.设计控制面与数据面分离的多活方案，给出Overlay技术选型理由。（6分）2.计算AC之间所需TCPSocketBuffer最小值，使链路利用率不低于80%。（4分）3.针对数据库层，给出满足RPO≤15min的复制拓扑及参数。（6分）4.画出跨中心二层扩展的环路避免机制示意图，并说明BUM抑制流程。（4分）答案与解析：1.选型：采用SRv6+EVPNVXLAN。理由：SRv6可在IPv6网络原生转发，无需MPLS，降低跨省链路运营商要求；EVPNVXLAN提供MAC/IP主机路由统一发布，支持ARP抑制、路由式转发，满足多活东西向流量优化；控制面BGPEVPN统一分发，数据面SRv6Policy实现基于时延/带宽的智能选路。2.计算：带宽时延积=15Gbps×8ms=120Mb=15MB；考虑平均包长500B，包转发率=15Gbps/(500B×8)=3.75Mpps；SocketBuffer≥带宽时延积×利用率系数，80%时≥15MB×0.8=12MB；取整建议16MB。3.拓扑：AB采用同步复制，AC采用异步复制，BC异步级联。参数：异步日志传输间隔=5min，网络带宽≥150%峰值redo量；AB同步超时阈值=10ms，超出则降级为异步，确保RPO≤15min。4.示意图：A、B、C各部署一对VTEP，运行EVPN；通过BGPRR反射路由；BUM流量采用EVPNIRB（IntegratedRoutingandBridging）+水平分割，源VTEP仅向有对应VNI的远端VTEP复制，避免环路；ARP请求通过EVPNType2路由代答，抑制广播。【案例二】（15分）某互联网公司出口采用BGP接入两家运营商，AS号65001，IPv4/IPv6双栈。近期发现部分海外CDN节点出现劫持，导致用户解析到伪造IP。公司决定部署RPKI与DNSSEC。问题：1.给出RPKI部署步骤，包含ROA创建、路由器配置、验证结果查看。（6分）2.设计DNSSEC信任链，从根到权威域名的关键记录及流程。（5分）3.说明如何利用RPKI与DNSSEC联合防御BGP与DNS劫持。（4分）答案与解析：1.步骤：①在APNIC门户创建ROA，授权AS65001发布/24，最大长度24；②配置路由器（IOSXR）:routerbgp65001rpkiserverport8323refreshtime300validate!③查看：showrpkitableipv4/24，状态Valid；④策略：routemapSET_PREFpermit10matchrpkivalidsetlocalpreference200matchrpkiinvalidsetlocalpreference502.信任链：根区DNSKEY→DS(.cn)→.cnDNSKEY→DS()→DNSKEY；验证流程：解析器获取根DNSKEY→验证.cnDS哈希→获得.cnDNSKEY→验证DS→获得权威DNSKEY→验证RRSIG。3.联合防御：RPKI确保BGP路径真实，防止路由劫持导致用户流量被导到伪造CDN；DNSSEC确保解析结果可信，防止缓存投毒；两者结合，即使用户被劫持到假IP，也因RPKI无效被路由器丢弃，形成闭环。【案例三】（20分）某智慧园区网拥有2万终端，采用WiFi6+IoT融合部署，IoT终端占60%，主要采用802.11ah（HaLow）。园区核心交换机支持SDN，控制器采用OpenDaylight。问题：1.给出WiFi6与802.11ah共存的信道规划与功率分配策略。（6分）2.设计基于SDN的IoT设备指纹识别与异常流量清洗方案。（8分）3.若IoT终端每小时上报一次，包长200B，计算单AP支持的最大终端数，假设空口速率为150kbps。（6分）答案与解析：1.规划：WiFi6使用5GHz频段，信道36、40、44、48捆绑为80MHz，功率调至17dBm；802.11ah使用900MHz，信道1MHz模式，功率20dBm，覆盖半径300m；通过SDN控制器动态调整AP发射功率，利用算法避免同频干扰，确保EDCA参数适配IoT低优先级。2.方案：①控制器采集AP上报的RSSI、帧间隔、MACOUI、协议字段，构建设备指纹库；②采用机器学习（孤立森林）识别异常，如突然发送大流量或异常协议；③下发OpenFlow流表到SDN交换机，将异常流量重定向到清洗中心，正常流量正常转发；④支持自动隔离与告警。3.计算：单终端每小时200B=1600bit；空口速率150kbps=150000bps；单终端占用速率=1600/3600≈0.44bps；理论上支持150000/0.44≈340909终端，考虑CSMA/CA碰撞及信令开销，取10%效率，单AP支持约3.4万终端，实际部署建议≤1万。【案例四】（15分）某金融公司计划将核心系统迁移至混合云，要求交易区延迟≤1ms，合规区满足等保三级，互联网区可弹性伸缩。云平台提供裸金属、专属云、公有云三种资源。问题：1.给出网络分区与互联拓扑，标注安全域、边界防火墙、IPS位置。（6分）2.设计跨区低延迟互联方案，确保交易区延迟≤1ms。（5分）3.说明如何使用云管平台实现合规区流量审计与留存。（4分）答案与解析：1.拓扑：交易区部署在裸金属，位于低延迟POD，直连核心交换机；合规区部署在专属云，通过VXLAN与交易区互联，边界部署下一代防火墙+IPS；互联网区在公有云VPC，通过云专线接入，前端部署SLB+WAF；三区在云管平台统一纳管，设置逻辑隔离。2.方案：采用25GbpsRoCEv2网络，交换机支持PFC与ECN，部署无损以太；交易区与合规区部署在同一可用区，物理距离<300m，光纤时延≈1.5μs/km，往返<1ms；使用SR