2025年软考网络工程师最终试题与答案

2025年软考网络工程师最终试题与答案一、单项选择题（每题2分，共20分）1.在OSI参考模型中，负责将上层数据封装成帧并进行差错检测的是（）。A.物理层B.数据链路层C.网络层D.传输层答案：B解析：数据链路层的主要功能是将网络层的数据包封装成帧，通过MAC地址实现相邻节点间的可靠传输，并进行CRC差错校验。2.某企业分配到IP地址段/24，需划分6个子网，每个子网至少30台主机，最合适的子网掩码是（）。A.92B.24C.40D.48答案：B解析：6个子网需至少3位主机位（2³=8≥6），剩余主机位5位（2⁵-2=30），因此子网掩码为/27（24）。3.关于OSPF协议的描述，错误的是（）。A.采用Dijkstra算法计算最短路径B.区域0是骨干区域，所有非骨干区域必须与区域0相连C.路由器通过LSA（链路状态广告）交换网络拓扑信息D.默认情况下，OSPFv2支持IPv6路由答案：D解析：OSPFv2仅支持IPv4，OSPFv3支持IPv6。4.交换机端口配置命令“switchportmodetrunk”的作用是（）。A.将端口设置为接入模式，只能属于一个VLANB.将端口设置为汇聚模式，实现链路冗余C.将端口设置为中继模式，传输多个VLAN的流量D.将端口设置为动态协商模式，自动匹配链路类型答案：C解析：Trunk端口用于连接交换机或路由器，允许传输多个VLAN的标记帧。5.以下不属于网络层攻击的是（）。A.ARP欺骗B.IP分片攻击C.ICMP洪水攻击D.IP源路由攻击答案：A解析：ARP欺骗发生在数据链路层，通过伪造MAC地址干扰ARP缓存。6.在MPLSVPN中，PE路由器的主要功能是（）。A.连接不同VPN的用户端设备B.维护公网路由并转发MPLS标签报文C.为VPN用户分配私网IP地址D.实现私网路由与公网标签的映射答案：D解析：PE（ProviderEdge）路由器负责将用户侧的私网路由转换为公网MPLS标签，是MPLSVPN的核心节点。7.802.11ax（Wi-Fi6）相比802.11ac的关键改进是（）。A.支持2.4GHz和5GHz双频B.采用OFDM技术C.引入MU-MIMO（多用户多输入多输出）D.最大理论速率提升至300Mbps答案：C解析：Wi-Fi6通过MU-MIMO技术实现同一时间与多个设备通信，提升网络效率。8.以下SNMP版本中，支持加密和认证的是（）。A.SNMPv1B.SNMPv2cC.SNMPv3D.以上均不支持答案：C解析：SNMPv3增加了USM（用户安全模型）和VACM（视图访问控制模型），支持认证和加密。9.某网络中，路由器R1的路由表如下：Destination|Gateway|Interface/24||Eth0/8||Eth1/0||Eth2当R1收到目的IP为的数据包时，将通过（）转发。A.Eth0B.Eth1C.Eth2D.丢弃答案：B解析：最长前缀匹配原则，属于/8，匹配第二条路由，通过Eth1转发。10.关于BGP协议的描述，正确的是（）。A.用于自治系统（AS）内部的路由选择B.通过发送Hello包建立邻居关系C.支持路由策略（RoutePolicy）实现路由过滤和属性修改D.默认情况下，BGP会自动发布所有直连路由答案：C解析：BGP是外部网关协议（EGP），通过TCP179端口建立邻居，需手动配置路由发布，支持路由策略控制路由传播。二、简答题（每题6分，共30分）1.简述STP（提供树协议）的工作原理及主要作用。答案：STP通过在交换网络中选举根桥、根端口、指定端口，阻塞冗余端口，消除环路。主要步骤：①选举根桥（BridgeID最小）；②各非根桥选举到根桥的最短路径的根端口；③每个网段选举离根桥最近的指定端口；④阻塞既非根端口也非指定端口的冗余端口。作用是防止广播风暴、避免MAC地址表震荡，保证网络冗余的同时消除环路。2.列举IPv6相比IPv4的主要优势（至少4点）。答案：①地址空间极大（128位地址），解决IPv4地址枯竭问题；②简化报头（固定40字节），提高转发效率；③内置IPSec，支持端到端安全；④支持自动配置（无状态地址自动配置SLAAC）；⑤取消广播，采用组播和任播；⑥支持QoS（流标签字段）。3.说明ACL（访问控制列表）的分类及应用场景。答案：ACL分为标准ACL（仅基于源IP地址，编号1-99/1300-1999）和扩展ACL（基于源/目的IP、端口、协议类型，编号100-199/2000-2699）。标准ACL通常用于过滤源地址，应用在离目标较近的位置；扩展ACL可精细控制流量，应用在离源较近的位置（如路由器入口）。例如：禁止某IP访问内网（标准ACL）、限制HTTP流量仅允许特定IP访问（扩展ACL）。4.简述OSPF多区域设计的意义及区域类型（至少3种）。答案：多区域设计可减少LSA泛洪范围，降低路由计算复杂度，提高网络扩展性。区域类型包括：①骨干区域（区域0），连接所有非骨干区域；②标准区域（常规区域，允许接收LSA1-5）；③Stub区域（不接收外部路由LSA5，用默认路由代替）；④完全Stub区域（不接收LSA3、4、5，仅接收默认路由）；⑤NSSA区域（允许注入外部路由，但以LSA7形式传播）。5.列举无线局域网（WLAN）常见的安全技术（至少4种），并说明WPA3相比WPA2的改进。答案：常见安全技术：WEP（已淘汰，静态密钥易破解）、WPA（TKIP加密）、WPA2（AES加密+CCMP）、WPA3（SAE认证+128位AES）、802.1X（基于端口的认证）。WPA3改进：①使用SAE（安全平等认证）替代PSK，防止离线字典攻击；②支持192位AES加密（增强版）；③个人模式下强制使用SAE，企业模式支持EAP协议；④支持Opportunisticwirelessencryption（OWE），提供开放网络的加密传输。三、计算题（每题10分，共30分）1.某企业有三个部门：研发部（60台主机）、销售部（30台主机）、财务部（20台主机），分配到公网IP段/24。要求：①按部门划分子网，子网间路由通过路由器实现；②每个子网需保留至少10%的可用地址空间；③写出各子网的网络地址、子网掩码、可用IP范围、广播地址。答案：研发部需≥60×1.1=66台主机，主机位需7位（2⁷-2=126≥66），子网掩码/25（28）。子网1：/25可用IP：-26广播地址：27销售部需≥30×1.1=33台主机，主机位需6位（2⁶-2=62≥33），子网掩码/26（92）。子网2：28/26（下一个可用子网）可用IP：29-90广播地址：91财务部需≥20×1.1=22台主机，主机位需5位（2⁵-2=30≥22），子网掩码/27（24）。子网3：92/27可用IP：93-22广播地址：23剩余地址：24/27（保留或扩展用）。2.某网络拓扑如下：RouterA（Fa0/0:/24）连接内网，Fa0/1:/30连接RouterB；RouterB（Fa0/0:/30）连接RouterA，Fa0/1:/24连接公网。要求：①配置RouterA的默认路由指向RouterB；②配置RouterB的静态路由，使公网/24能访问内网/24；③写出具体命令（假设所有接口已激活）。答案：RouterA配置默认路由：RouterA(config)iprouteRouterB配置静态路由：RouterB(config)iproute验证：RouterB的公网接口作为网关，当公网主机访问/24时，RouterB通过静态路由将流量转发至RouterA的接口，最终到达内网。3.某交换机VLAN配置如下：VLAN10（研发部）、VLAN20（销售部）、VLAN30（财务部），要求实现VLAN间路由。交换机为三层交换机，G0/1连接路由器（单臂路由方式），G0/2-G0/10为VLAN10接入端口，G0/11-G0/20为VLAN20接入端口，G0/21-G0/24为VLAN30接入端口。写出交换机和路由器的关键配置命令（假设路由器接口为Fa0/0）。答案：交换机配置：Switch(config)vlan10Switch(config-vlan)nameR&DSwitch(config-vlan)exit（同理配置VLAN20、30）Switch(config)interfacerangeg0/2-10Switch(config-if-range)switchportmodeaccessSwitch(config-if-range)switchportaccessvlan10（同理配置G0/11-20为VLAN20，G0/21-24为VLAN30）Switch(config)interfaceg0/1Switch(config-if)switchportmodetrunkSwitch(config-if)switchporttrunkallowedvlan10,20,30路由器配置（单臂路由）：Router(config)interfacefa0/0Router(config-if)noshutdownRouter(config-if)exitRouter(config)interfacefa0/0.10Router(config-subif)encapsulationdot1Q10Router(config-subif)ipaddressRouter(config-subif)exitRouter(config)interfacefa0/0.20Router(config-subif)encapsulationdot1Q20Router(config-subif)ipaddressRouter(config-subif)exitRouter(config)interfacefa0/0.30Router(config-subif)encapsulationdot1Q30Router(config-subif)ipaddress（注：若使用三层交换机实现VLAN间路由，可直接为VLAN创建SVI接口并配置IP，无需单臂路由。）四、综合分析题（20分）某企业总部位于北京，分支位于上海、广州，要求构建满足以下需求的网络：（1）总部与分支通过广域网互联，要求高可靠性、支持QoS、可管理流量成本；（2）总部内网划分VLAN100（服务器区）、VLAN200（办公区）、VLAN300（访客区），访客区仅允许访问公网，禁止访问内部服务器和办公区；（3）无线覆盖要求：办公区支持双频（2.4GHz+5GHz）、无缝漫游，AP管理采用集中式（AC+瘦AP）；（4）网络安全要求：部署防火墙，实现边界防护；关键服务器（如OA、邮件）部署在DMZ区，限制仅允许特定IP访问；（5）网络管理要求：通过SNMPv3监控全网设备，采集CPU、内存、流量等指标，支持告警联动。请设计网络拓扑并写出关键设备配置思路。答案：1.网络拓扑设计：核心层：总部部署核心交换机（三层），连接防火墙、广域网路由器、无线AC控制器；接入层：总部接入交换机连接办公区、服务器区、访客区终端，通过VLAN隔离；广域网：总部与分支通过MPLSVPN互联（高可靠性），备用链路采用IPSecVPN（成本控制）；安全区：防火墙划分内网（信任区）、DMZ（非军事化区）、公网（非信任区），DMZ部署OA、邮件服务器；无线覆盖：办公区部署双频瘦AP，通过PoE交换机供电，AC集中管理AP配置、漫游策略。2.关键配置思路：（1）广域网互联：总部路由器配置MPLSVPN，与运营商PE路由器建立BGP邻居，发布总部内网路由（/8）；分支路由器同样配置MPLSVPN，通过BGP接收总部路由，备用IPSecVPN配置IKEv2协商、ESP加密；QoS配置：在广域网接口定义流量分类（如语音、视频、数据），为语音流量分配高优先级（DSCPEF），限制访客流量带宽。（2）VLAN与访问控制：核心交换机为VLAN100（/24）、VLAN200（/24）、VLAN300（/24）创建SVI接口，配置IP地址作为网关；访客区（VLAN300）配置扩展ACL：access-list101denyip5555access-list101denyip5555access-list101pe