2025年网络工程师职业资格考试（中级）难点模拟试卷及答案

2025年网络工程师职业资格考试（中级）难点模拟试卷及答案考试时间：______分钟总分：______分姓名：______一、网络工程师职业资格考试（中级）模拟试卷1.在OSPF路由协议中，如果两个相邻路由器的直连链路成本相同，它们之间会选举出DR（DesignatedRouter）和BDR（BackupDesignatedRouter）。关于DR/BDR选举过程的描述，以下哪项是正确的？A.接口IP地址最大的路由器将当选为DR。B.RouterID最大的路由器将当选为DR。C.路由器优先级最高的路由器将当选为DR，优先级相同则RouterID大的当选。D.DR/BDR的选举仅由网络中的骨干区域（Area0）路由器参与决定。2.某公司网络采用私有IP地址，需要将其内部网络划分为三个子网，分别容纳50、80和30台设备。要求使用尽可能少的IP地址空间，并启用子网掩码继承功能。以下哪种子网划分方案最合适？A.使用192.168.1.0/24网段，划分出三个子网：192.168.1.0/26,192.168.1.64/26,192.168.1.128/26。B.使用10.0.0.0/8网段，划分出三个子网：10.0.0.0/26,10.0.64.0/26,10.0.128.0/26。C.使用172.16.0.0/12网段，划分出三个子网：172.16.0.0/23,172.16.2.0/23,172.16.4.0/23。D.使用192.168.2.0/23网段，划分出两个子网：192.168.2.0/26,192.168.2.64/26，剩余地址用于第三个子网。3.在配置交换机端口安全（PortSecurity）时，如果启用了“StickyMAC”功能，以下哪种描述是准确的？A.该端口只会学习并允许第一个符合配置数量和MAC地址的设备访问。B.当端口达到配置的最大MAC地址数后，新学习的MAC地址会自动覆盖最先学习到的MAC地址。C.即使设备断开连接，该端口也会永久记住其MAC地址，直到手动清除或端口被重新配置。D.“StickyMAC”功能会阻止该端口上所有除了IP广播之外的数据帧通过。二、4.公司网络中，一台内部服务器（IP:192.168.10.10/24）需要访问互联网上的一个特定服务（IP:203.0.113.5/32）。内部网络通过一台路由器（R1）连接到互联网。R1的WAN口IP地址为202.104.1.2/30，LAN口IP地址为192.168.10.1/24。为了实现访问，R1上需要配置哪种NAT策略？A.配置源NAT（SourceNAT），将所有来自192.168.10.0/24的出站流量都转换为202.104.1.2的地址。B.配置源NAT（SourceNAT），将访问203.0.113.5的流量转换为202.104.1.2的地址，其他流量保持不变。C.配置目的NAT（DestinationNAT），将所有来自互联网的流量，如果目标IP为203.0.113.5，则转换为192.168.10.10的地址。D.配置目的NAT（DestinationNAT），将所有来自192.168.10.0/24的出站流量，如果目标IP为203.0.113.5，则转换为202.104.1.2的地址。5.在使用Wireshark抓取和分析网络数据包时，如果需要过滤出所有从IP地址192.168.1.100发出，目的IP地址为8.8.8.8且协议类型为DNS的流量，以下哪个Wireshark显示过滤器表达式是正确的？A.ip.addr==192.168.1.100andip.dst==8.8.8.8andudp.port==53B.ip.src==192.168.1.100andip.dst==8.8.8.8andudp.dstport==53C.ip.src==192.168.1.100andip.dst==8.8.8.8andtcp.port==53D.host192.168.1.100to8.8.8.8andudp.dstport==536.公司网络部署了基于端口的网络访问控制（NAC），使用802.1X和RADIUS进行认证。当用户PC连接到交换机端口后，交换机如何通知RADIUS服务器进行认证？A.直接将用户的MAC地址和端口号通过广播帧发送给RADIUS服务器。B.通过DHCP协议向RADIUS服务器请求认证信息。C.在用户尝试获取IP地址时，将认证请求信息封装在ARP请求帧中发送。D.通过管理VLAN上的Trunk链路，将认证请求报文发送给接入层的路由器，再由路由器转发给RADIUS服务器。三、7.在进行网络故障排查时，如果怀疑是路由问题导致某台主机无法访问特定服务器，但`ping`命令和`traceroute`命令（或其等效工具）均无法提供有效信息，下一步最应该采取的措施是？A.检查物理链路连接和交换机端口状态。B.使用`netstat-rn`命令查看本机路由表。C.在路由器上执行`debugippacket`命令进行详细调试。D.使用`showiproute`命令检查相关路由器的路由信息，并对比邻居关系。8.一台运行CiscoIOS的交换机，其管理接口IP地址配置为`interfaceVlan1`，`ipaddress192.168.1.1255.255.255.0`。如果需要配置该接口启用SSHv2远程管理，并且本地用户名为`admin`，密码为`cisco123`，以下哪个配置片段是正确的？A.`ipsshversion2``usernameadminsecretcisco123`B.`vty04``loginlocal``ipaddress192.168.1.1255.255.255.0``transportinputssh`C.`enablesecretcisco123``usernameadminprivilege15secretcisco123``ipsshversion2`D.`interfaceVlan1``ipaccess-group101in``ipsshversion2``usernameadminpasswordcisco123`9.考虑一个包含多个接入层交换机、一个汇聚层交换机和一台核心层路由器的三层网络拓扑。为了提高网络可靠性和冗余性，需要在汇聚层和核心层之间部署哪项技术？A.PortSecurityB.STP(SpanningTreeProtocol)C.HSRP(HotStandbyRouterProtocol)或VRRP(VirtualRouterRedundancyProtocol)D.EtherChannel(LinkAggregation)四、10.某公司网络中，一台服务器需要同时连接到内部用户域和外部访客域。要求内外网用户访问该服务器时都能获得一致的访问权限（例如，使用相同的IP地址），并且服务器自身IP地址不对外公开。以下哪种网络架构和技术能够满足这些需求？A.在服务器上部署负载均衡器，并将内外网流量都转发到服务器。B.在服务器和内外网之间分别部署防火墙，并配置NAT。C.在服务器上部署VPN网关，内外网用户通过VPN访问服务器。D.使用一个公网IP地址，通过防火墙的端口映射（PortForwarding）将内外网访问请求转发到服务器。11.在设计企业网络时，如果需要在不同的VLAN之间传输数据，同时要求提供服务质量（QoS）保障和访问控制，最合适的网络设备和技术组合是？A.交换机和ACL(AccessControlList)B.路由器和ACL(AccessControlList)C.交换机和MPLS(Multi-ProtocolLabelSwitching)D.路由器和QoS(QualityofService)12.对于运行WindowsServer的域控制器，如果网络管理员需要限制用户通过PPTPVPN访问内部资源，但允许通过IPSecVPN访问，应该在哪个网络组件上配置相应的访问控制策略？A.域控制器本身的防火墙B.部署在网关上的VPN服务器C.部署在内部防火墙上的ACLD.域林根目录服务器五、13.假设一个网络环境使用OSPF协议，其中有两个OSPF区域：Area0和Area1。Area1内部有两台路由器R1和R2，它们通过一条串行链路互连。如果R1和R2之间的链路故障，对于位于Area1中的其他网络，位于Area0中的路由器会感知到这条故障并重新计算路由吗？为什么？A.会，因为OSPF是分层协议，Area1的故障会影响Area0。B.不会，因为OSPF区域之间是隔离的，故障仅限于Area1内部。C.会，因为路由器R1和R2之间的链路故障属于骨干链路故障。D.不会，除非该链路是连接Area0和Area1的边界路由器之间的链路。14.在配置思科（Cisco）交换机端口安全时，如果配置了`switchportport-securitymaximum2``switchportport-securityviolationrestrict`，当第三个设备尝试学习到MAC地址时，交换机将采取什么行动？A.阻止该设备通信，并发出警告信息。B.允许该设备通信，但记录一条日志信息。C.将端口置于err-disabled状态，需要管理员手动恢复。D.将端口置于半双工模式，直到管理员干预。15.有一台设备配置了静态路由，路由条目为`iproute10.0.0.0255.0.0.0192.168.1.1`。如果该设备同时配置了默认路由`iproute0.0.0.00.0.0.0192.168.1.254`，并且网络中存在到达10.0.0.0/8的路径，当设备收到一个目的IP为10.0.1.10的数据包时，它会如何处理？A.只查找静态路由表，优先使用`10.0.0.0`条目。B.先查找静态路由表，如果找不到，再查找默认路由表。C.总是先查找默认路由表，如果默认路由出接口是192.168.1.1，则将数据包发送给192.168.1.1。D.忽略静态路由，直接根据ARP表查找下一跳。六、16.公司网络中部署了无线局域网（WLAN），使用802.11ac标准。用户反映在距离接入点（AP）较远的区域，无线信号不稳定，速度明显下降。可能的原因包括哪些？（请选择所有适用项）A.频段干扰（如2.4GHz频段受到微波炉等干扰）B.AP数量不足或覆盖范围不够C.用户设备无线网卡驱动程序过旧D.无线信道规划不合理，存在信道重叠严重的情况E.网络中存在过多使用相同SSID的非法接入点17.在配置VPN时，如果使用IPSec协议，IPSec头部会被插入到哪里？A.在IP数据包头之前B.在IP数据包头之后、TCP/UDP数据包头之前C.在TCP/UDP数据包头之后、应用层数据之前D.在以太网帧头之后、IP数据包头之前18.网络管理员需要监控网络设备（如路由器、交换机）的CPU和内存使用率，以及接口流量。以下哪些命令或工具是常用的监控手段？（请选择所有适用项）A.`showinterfacesstatus`B.`showprocessescpuhistory`C.`showmemorystatistics`D.`showipinterfacebrief`E.使用专业的网络监控软件（如Zabbix,Nagios）七、19.某公司网络拓扑如下：总部有一个核心交换机（Core），连接到两个汇聚交换机（Agg1,Agg2）。每个汇聚交换机再连接到两个接入交换机（Access1,Access2）。Access1和Access2分别连接不同的部门VLAN（VLAN10和VLAN20）。现在需要在Core和Agg1之间部署链路聚合（LinkAggregation），以增加带宽和提供冗余。如果使用LACP（802.3ad）协议，以下哪种描述是正确的？A.Core和Agg1之间需要配置两条物理链路，并在两端分别配置相同的LACP模式（如Active或Passive）。B.Core和Agg1之间需要配置至少两条物理链路，并在两端分别配置不同的LACP模式。C.只有在汇聚交换机（Agg1）上需要配置LACP，核心交换机（Core）无需配置。D.LACP协议主要用于汇聚层到接入层的链路捆绑。20.当网络中需要引入新的网络服务或应用，例如部署一套新的无线网络或实施一项新的安全策略时，网络规划和设计过程通常涉及哪些关键步骤？（请选择所有适用项）A.需求分析（收集业务需求、性能要求、安全要求等）B.技术选型（选择合适的网络设备、协议和技术标准）C.物理设计（确定网络拓扑、设备位置、布线方案等）D.逻辑设计（设计IP地址规划、VLAN划分、路由协议等）E.验证和测试计划制定（规划测试用例、性能基准等）F.部署实施和后期运维考虑---试卷答案1.C解析思路：DR/BDR选举基于路由器优先级，优先级数值越高越优先。如果优先级相同，则比较RouterID，RouterID由最高有效位的IP地址组成，数值越大越优先。选项C正确描述了这一过程。2.B解析思路：三个子网分别需要容纳50、80、30台设备。50台需要至少6位主机位（2^6-2=62），80台需要至少7位主机位（2^7-2=126），30台需要至少5位主机位（2^5-2=30）。/26提供62个地址，/27提供30个地址，/25提供126个地址。/8网段范围过大。/12网段范围也过大。/23网段提供512个地址，足以容纳所有子网需求，且掩码为255.255.254.0，是满足需求的较小掩码。选项B的子网划分（10.0.0.0/26,10.0.64.0/26,10.0.128.0/26）分别提供62,62,62个地址，总计186个地址，满足50+80+30=180个地址需求。选项B最节省地址空间。3.C解析思路：“StickyMAC”功能使得交换机在端口上学习到MAC地址后，会将该MAC地址和端口的配置信息（如VLAN、端口安全计数器等）写入到NVRAM中。即使设备断开连接，下次该设备再连接到同一端口时，交换机会检查NVRAM中的记录，如果匹配则允许连接，否则按违规处理。这相当于永久记忆了MAC地址与端口的绑定关系，直到手动清除或重新配置。4.D解析思路：NATOverload（PAT，端口地址转换）允许多个内部私网地址共享一个公网IP地址访问互联网。由于服务器IP（192.168.10.10）和目标服务器IP（203.0.113.5）都是内部或特定目的地址，而源地址是内部地址，因此需要将发起访问的内部源IP地址（192.168.10.10）转换为公网出口IP（202.104.1.2）的源NAT。同时，为了使目标服务器能正确响应并回传数据给内部服务器，需要配置目的NAT，将外部目标IP（203.0.113.5）转换为内部服务器IP（192.168.10.10）。选项D描述了这种结合源NAT和目的NAT的场景。5.B解析思路：Wireshark过滤器基于数据包层。IP层过滤条件是`ip.src`（源IP）和`ip.dst`（目的IP）。协议类型为DNS，对应的传输层协议是UDP，端口号是53。因此，正确的过滤器是`ip.src==192.168.1.100andip.dst==8.8.8.8andudp.dstport==53`。选项B正确。6.A解析思路：802.1X认证过程涉及交换机、认证者（通常是RADIUS服务器）和请求者（用户PC）。当用户PC连接端口后，交换机通过“EAPoL”（ExtensibleAuthenticationProtocoloverLAN）帧与PC进行认证协商。交换机将收集到的用户MAC地址、端口信息以及认证请求报文，通过管理VLAN或指定端口发送给RADIUS服务器进行认证决策。直接发送广播帧、通过DHCP请求、封装ARP请求或依赖管理VLAN转发（如果未配置）均非标准或完整描述。7.D解析思路：`ping`和`traceroute`在遇到路由层故障时，通常能提供下一跳信息或报告目标不可达，有助于初步判断路由问题。如果两者均无有效信息，可能表示问题更底层。`netstat-rn`主要查看本机路由表，无法判断外部网络或下一跳设备状态。`debugippacket`是调试命令，会消耗大量资源且可能影响网络性能，不应作为首选常规排查手段。`showiproute`可以查看路由信息，但结合故障现象，下一步更合理的行动是检查路由器本身的直连路由和邻居关系，确认基础路由可达性和协议运行状态。8.B解析思路：启用SSHv2和配置本地用户登录需要在VTY线路配置模式下进行。`vty04`指定要配置的虚拟终端线路范围（0到4）。`loginlocal`指定使用本地数据库进行用户名密码验证。`transportinputssh`指定该线路只允许SSH协议接入。`ipaddress192.168.1.1255.255.255.0`配置管理接口IP地址。选项B包含了所有必要配置步骤。9.C解析思路：在三层网络中，连接不同区域的边界路由器（汇聚层到核心层）是网络骨干的关键部分。如果骨干链路（如汇聚-核心之间的链路）发生故障，会导致两个或多个区域之间的路由中断，网络分裂或部分失效。HSRP或VRRP作为网关冗余协议，可以在主路由器故障时，让备份路由器接管网关IP地址，从而对外提供连续的网络服务，保障网络连通性。STP用于防止二层环路，PortSecurity用于端口安全，EtherChannel用于增加带宽和物理冗余，但它们不直接解决核心骨干层的网关冗余问题。10.D解析思路：使用一个公网IP地址，通过防火墙的NAT（网络地址转换）或端口映射（PortForwarding，也称为虚拟服务器）功能，可以将外部访问请求（无论来自内外网，只要目标IP是那个公网IP）转换为内部服务器的IP地址和端口。这样，内外网用户访问时看起来像是访问同一个地址，但实际上内部服务器提供服务。这是处理内外网共享服务器IP的常见且有效的方法。11.B解析思路：路由器是三层设备，能够基于IP地址进行转发决策，并能应用ACL进行访问控制。ACL可以精细地匹配数据包的特征（源/目的IP、协议类型、端口等），并执行允许或拒绝操作。虽然交换机也可以应用ACL（通常在接入层控制访问），但ACL的强大功能和灵活性主要体现在路由器上。QoS通常在路由器或三层交换机上进行配置，以对特定流量进行优先级标记、队列调度等处理。MPLS主要用于流量工程、VPN等，本身不是访问控制和QoS的直接技术。因此，路由器配合ACL是实现访问控制和QoS保障的合适组合。12.B解析思路：VPN服务通常部署在网关或专用设备上。访问控制策略（如限制特定用户或用户组使用特定VPN类型）应该部署在提供VPN服务的设备上。域控制器本身的防火墙主要保护域控制器本身，无法控制用户通过VPN的访问。内部防火墙可以控制VPN网关与内部网络的连接，但主要作用是网络安全，而非区分VPN用户类型。域林根目录服务器是DNS服务器，与VPN访问控制无关。因此，部署在网关上的VPN服务器是配置访问控制策略的最佳位置。13.B解析思路：OSPF是分区域运行的协议，区域内部的路由信息独立计算和传播，区域之间的路由信息通过ABR（区域边界路由器）传递，并且存在路由汇总。Area1内部的故障（如R1和R2之间链路故障）只会影响Area1内部路由器的路由表和LSDB。这个故障信息会通过Area1的ABR传播到Area0，但Area0中的路由器只会接收到汇总后的或与Area0直接相连的路由信息变化。如果这个故障导致Area1中某些网络对Area0不可达，Area0的路由器会重新计算路由。但是，如果仅仅是链路故障且不影响ABR的正常运行和路由传播，Area0中的路由器本身不会因为Area1内部的链路故障而感知并重新计算所有与Area1相关的路由。因此，一般而言，Area1内部故障不会直接导致Area0中路由器对Area1内其他网络的全部路由重新计算。选项B的描述更符合OSPF区域隔离的特性。14.A解析思路：在配置了端口安全（`switchportport-security`）并设置了最大MAC地址数（`switchportport-securitymaximumX`）后，当学习到的MAC地址数量达到最大值X时，如果再有新的设备尝试学习MAC地址，将触发`switchportport-securityviolation`事件。`switchportport-securityviolationrestrict`配置指定违反策略时的处理动作：阻止新MAC地址的加入，端口状态不变，但会向系统日志（Syslog）输出警告信息。端口不会err-disabled，也不会改变工作模式。15.B解析思路：静态路由和默认路由都属于路由表的一部分。在查找路由时，路由器会按照路由表条目的顺序进行匹配。静态路由通常会被添加到路由表的开头或特定位置（取决于配置顺序和优先级设置），而默认路由通常被配置为最后的选择。当查找路由时，路由器会先匹配静态路由条目。如果当前数据包的目标地址（10.0.1.10）匹配了静态路由`10.0.0.0255.0.0.0`条目，路由器就会选择出接口192.168.1.1。之后，它还会检查默认路由`0.0.0.00.0.0.0`，但只有在无法找到更具体的路由（例如，目标地址不在任何静态路由或动态路由表中）时，才会使用默认路由。因此，路由器会优先使用静态路由条目。16.A,B,D,E解析思路：无线信号不稳定和速度下降的原因可能包括：A.频段干扰：2.4GHz频段拥挤，易受微波炉、无绳电话等设备干扰，导致性能下降。B.AP数量不足或覆盖范围不够：区域内AP密度不够或单个AP覆盖能力有限，导致信号盲区或弱区。C.用户设备无线网卡驱动程序过旧：驱动程序问题可能导致兼容性差、性能不佳或连接不稳定，但这通常不是普遍性问题，更多是特定设备问题。D.无线信道规划不合理：如果AP之间或AP与干扰源之间使用相邻信道，会导致信道重叠严重，干扰加剧，性能下降。E.非法接入点：周围存在使用相同SSID的未经授权的AP，会吸引用户连接，并可能产生严重干扰或安全风险。因此，A、B、D、E都是可能的原因。17.B解析思路：IPSec是一种基于IP协议的数据包加密和认证协议。它的工作流程通常包括：IPSec头部被插入到原始IP数据包的头部之后，然后TCP/UDP头部之前。这个IPSec头部包含了用于加密和/或认证所需的SPI（SecurityParameterIndex）、安全协议标识、密钥等信息。因此，IPSec头部位于IP头和传输层头（TCP/UDP）之间。1