2025年网络工程师职业技能测试卷网络故障诊断与排除试题及答案

2025年网络工程师职业技能测试卷网络故障诊断与排除试题及答案一、物理层与数据链路层故障诊断1.单选题某园区网新部署一批24口接入交换机，上线后发现所有端口指示灯呈绿色常亮，但用户终端无法获取DHCP地址。工程师在交换机上执行displayinterfacebrief|includeup输出中所有端口均为“up/up”，yet抓包发现端口收不到任何以太网帧。最可能的原因是A.端口被错误配置为portisolateB.整台交换机VLAN数据库被清空C.光纤收发光口接反导致单向链路D.交换机全局生成树模式被改为MSTP且实例0被移除答案：B解析：指示灯常亮说明物理层协商成功；收不到任何帧说明MAC层没有流量。若VLAN数据库被清空，端口会被动态划分到VLAN1，但VLAN1在数据库中不存在，导致帧被丢弃。portisolate仅影响单播转发，不会导致完全收不到帧；单向链路通常表现为端口up/down；MSTP实例0被移除不会阻止帧进入端口。2.多选题工程师在排查千兆电口频繁up/down故障时，使用displaylogbuffer|includeGigabitEthernet1/0/24发现大量%LINEPROTO5UPDOWN:LineprotocolonGigabitEthernet1/0/24,changedstatetodown%PHY_SWITCH3PORT_FLAP:GigabitEthernet1/0/24linkflap5timesin30seconds以下哪些操作有助于定位根因A.在端口下配置carrierdelaymsec0B.使用TDR时域反射仪测试线对阻抗C.将端口速率强制为100MbpsFullD.检查对端是否开启EEE节能以太网E.在端口下配置loopbackinternal观察误码答案：B、C、D解析：carrierdelay0会加速震荡，不利于定位；loopbackinternal只能自环本端，无法检测链路质量。TDR可发现线缆断路或阻抗突变；强制百兆可排除千兆协商不稳；EEE在部分芯片上会导致链路休眠误判。3.填空题在华为设备上，若需查看光模块接收光功率是否低于接收灵敏度，应执行命令________，若输出中RxPower显示为28.50dBm，而该模块灵敏度为24.0dBm，则该链路处于________状态。答案：displaytransceiverinterfaceGigabitEthernet1/0/25verbose；欠光（或光功率不足）解析：RxPower低于灵敏度会导致误码率上升，出现随机CRC错误。4.简答题某次机房搬迁后，工程师发现核心交换机与防火墙互联的万兆多模光纤链路出现大量CRC错误，但光功率正常。请给出至少三条排查思路并说明原理。答案与解析：1)检查光纤弯曲半径：多模光纤弯曲半径小于30mm时会产生高阶模衰减，导致模间色散增大，出现码间干扰。2)验证光纤端面清洁度：使用400倍显微镜观察，若端面有划痕或灰尘，会引入反射损耗，产生回波干扰。3)确认跳线是否为OM3及以上等级：万兆速率下OM1/OM2带宽不足，需使用有效模式带宽达2000MHz·km的OM3。4)核查光模块型号：万兆多模应使用850nmSR光模块，若误插1310nmLR模块，虽能发光但多模色散过大。5)测试光纤长度：OM3最大支持300m，若实际距离超限需改用单模。二、网络层与路由故障诊断5.单选题公司总部与分支建立IPsecoverGRE隧道，总部路由器R1显示Tunnel0:interfaceup,lineprotocolup但分支内网无法访问总部服务器。在R1上执行pingsource（为Tunnel0地址）可以通，但pingsource（为分支内网段）失败。最可能缺失的配置是A.总部未将/24加入IPsecACLB.分支未配置iprouteTunnel0C.总部未配置NAT豁免D.总部未关闭反向路由检查答案：A解析：Tunnel0本身up说明GRE协商成功；源地址为Tunnel地址能通说明IPsec加密正常；源地址为分支内网不通，说明流量未被加密，根本原因是ACL未包含该网段。6.多选题在运行OSPF的骨干区域中，路由器R3的Loopback0（/32）突然无法被其他路由器学到。在R3上执行displayospflsdbrouterselforiginate发现LSage为3600秒，序列号未变。以下哪些情况可能导致该现象A.R3的Loopback0被误配置为silentinterfaceB.R3与邻居MTU不匹配导致DD报文被丢弃C.R3的RouterLSA被自己的非法Routeid冲突实例覆盖D.R3的OSPF进程被重置但配置未保存E.区域0被误配置为stub，而R3未下发默认路由答案：A、C解析：LSage3600秒表示该LSA已老化，说明R3未刷新。silentinterface会阻止发送OSPF报文，导致邻居收不到更新；Routerid冲突时，较高IP的实例会覆盖较低IP的LSA，导致原LSA老化。MTU不匹配仅影响邻接建立；进程重置会清空LSDB；stub区域不会导致LSA老化。7.填空题在IPv6网络中，工程师使用pingipv62001:DB8::1c1s1452发现报文不可达，但pingipv62001:DB8::1c1s1432可达。路径MTU最可能为________字节，此时应开启________机制以避免后续碎片。答案：1432+40=1472；ICMPv6PacketTooBig（或PMTUD）解析：IPv6头40字节，1452+40=1492>1472，被丢弃；1432+40=1472刚好通过。8.综合题某企业网络运行BGP/MPLSIPVPN，CEPE间使用OSPF。客户反馈VPN站点A无法访问站点B的语音网段/24。在PE1上执行displaybgpvpnv4vpninstanceVoiceroutingtable显示最优路由来自PE2，下一跳为，但displaymplslspdestination无结果。请给出逐步排查命令并解释原理。答案与解析：步骤1：检查IGP是否已把/32通告到PE1命令：displayiproutingtable若无路由，说明LDP无法建立映射。步骤2：检查LDP会话命令：displaymplsldppeer若状态非Operational，检查传输链路上是否启用mplsldp。步骤3：检查BGP下一跳self命令：displaybgpvpnv4allroutingtable若Nexthop为且未做nexthopself，需在PE2上对PE1配置peernexthoplocal。步骤4：检查标签分发命令：displaymplslspinclude24若无标签，说明BGP未分配标签，需在PE2上配置routepolicy附加mplslabel。原理：BGPVPNv4路由依赖LDP提供transport标签，若LSP断裂，即使BGP路由最优也无法转发。三、传输层与应用层故障诊断9.单选题公司DNS服务器位于DMZ，采用anycast地址3/32，通过OSPF发布。外网用户解析时延高且间歇性失败。抓包发现客户端收到ICMPType3Code4（FragmentationNeeded）报文，但报文源地址并非DNS服务器。最可能的原因是A.路径MTU发现被防火墙过滤B.DNS响应超过接口MTU且DF位置1C.中间路由器未开启OSPF负载均衡D.anycast节点间未同步UDP会话状态答案：B解析：ICMPType3Code4表示需要分片但DF置位，说明DNS响应报文大于路径最小MTU且不允许分片，客户端因此无法收到完整响应。10.多选题某电商网站使用HTTPS，用户投诉支付页面加载慢。工程师在服务器侧抓包发现TLS握手阶段ServerHello后，客户端立即发送RST。以下哪些因素可能导致该现象A.服务器证书链缺少中间CA，客户端验证失败B.服务器选用的CipherSuite被客户端列入黑名单C.服务器启用了TLS1.3，但客户端防火墙丢弃了EncryptedExtensionsD.服务器SNI字段与证书CN不符E.客户端时钟偏差导致证书有效期校验失败答案：A、B、D、E解析：TLS1.3的EncryptedExtensions被丢弃不会立即触发RST，而是握手超时；其余四项均会在验证阶段触发致命alert或RST。11.填空题在Linux服务器上，若需确认80端口是否处于SYN_RECV状态，应使用命令________，若该状态数量持续大于500，则极有可能遭受________攻击。答案：ssant|grepcSYNRECV；SYNFlood解析：SYN_RECV表示服务器已回复SYN+ACK但尚未收到最终ACK，大量积压说明半开连接耗尽。12.实验题请写出在WindowsServer2019上利用pktmon捕获HTTP3次握手并保存为pcapng的完整命令行，并说明如何过滤仅保留目标端口80的流量。答案与解析：步骤1：安装包监视器pktmonfilteraddp80步骤2：开始捕获并保存pktmonstartchttp.pcapngmrealtime步骤3：停止pktmonstop过滤原理：pktmon在内核层早期截获帧，p80匹配TCP/UDP目标端口，生成的pcapng可用Wireshark打开，三次握手标志位分别为SYN、SYN+ACK、ACK。四、数据中心与虚拟化网络故障13.单选题某OpenStack环境使用VXLAN自研控制器，突然所有虚拟机无法跨节点通信。在计算节点抓包发现VTEP源端口4789的UDP报文被丢弃。最可能的根因是A.物理交换机未开启jumboframe导致VXLAN包超长B.安全组误把UDP4789列入黑名单C.控制器下发VNI与节点不匹配D.物理网卡offload把VXLAN内层MAC误当外层答案：B解析：UDP4789被安全组丢弃会直接阻断VXLAN流量；jumboframe问题通常表现为分片或ICMPNeedFrag；VNI不匹配会表现为单播不通但广播可达；offload问题极少导致全部丢弃。14.多选题在Kubernetes集群中，PodA无法通过ClusterIP访问PodB，但直接访问PodB的IP可通。以下哪些排查手段有助于定位A.在PodA所在节点检查iptablestnatLKUBESERVICESB.在CoreDNSPod内执行dig@localhostspace.svc.cluster.localC.检查kubeproxy日志是否报“conntracktablefull”D.检查CNI插件是否启用hairpin模式E.检查PodB的readinessProbe是否失败答案：A、B、C、E解析：hairpin模式解决的是Pod访问自身Service，与跨Pod无关；其余四项均可导致ClusterIP不可达。15.填空题在VMwarevSphere7.0中，若虚拟机开启SRIOV，物理主机需将BIOS中的________设置为Enabled，否则VF无法分配到虚拟机。答案：IntelVTd（或AMDVi）解析：SRIOV依赖IOMMU实现DMA重映射，关闭VTd会导致PF驱动无法创建VF。16.案例分析题某金融私有云采用SpineLeafVXLANEVPN架构，LeafTOR为CE6881，Spine为CE12800。某日交易员反馈行情组播出现丢包。在Leaf上执行displayigmpsnoopingportinfovlan100group发现无出端口，但displayevpnigmpjoingroup能看到远端Leaf已发送IGMPJoin。请给出排查步骤并解释EVPNIRB转发原理。答案与解析：步骤1：检查EVPN实例是否使能IGMPProxy命令：displayevpnvpninstanceVoice|includeIGMP若未使能，则Leaf不会将IGMPJoin转换为EVPNRT3路由。步骤2：检查RT3路由是否携带PMSI属性命令：displaybgpevpnroutetype3|include若无PMSI，说明未建立inclusivetunnel。步骤3：检查VXLAN隧道是否up命令：displayvxlantunnel若隧道down，需检查underlayBGPEVPNpeer。步骤4：检查LeafVTEP是否将组播流量映射到VNI原理：EVPNIRB在入口Leaf执行VLAN→VNI封装，组播流量封装为VXLAN头，外层目的IP为组播GIPO（224.0.0.x），Spine运行PIMSM将GIPO流量转发给所有VTEP，远端Leaf解封装后根据IGMPSnooping表转发。若缺少RT3，远端Leaf无法知道需要接收该组播流量，导致丢包。五、安全与合规故障17.单选题公司部署了IPS，策略为“阻断SQL注入”。某日官网搜索功能被误拦截，日志显示命中规则“select.from.where.1=1”。管理员希望仅对POST方法生效，应调整IPS的A.规则例外B.流量预处理过滤器C.响应动作集D.签名置信度答案：B解析：预处理过滤器可在签名匹配前排除HTTPGET，减少误报；规则例外需手动加白名单，维护成本高。18.多选题等保2.0三级要求“应对审计记录进行集中收集和管理”。若Linux服务器使用rsyslog转发日志到SIEM