计算机网络技术考试试题及答案

计算机网络技术考试试题及答案一、单项选择题（每题2分，共30分）1.某校园网采用分层设计，核心层交换机与汇聚层交换机之间运行OSPFv3，管理员在核心设备上执行showipv6ospfneighbor后发现邻居状态长期停留在2-Way，最可能的原因是A.两端AreaID不一致B.两端Router-ID冲突C.两端Hello间隔不同D.两端网络类型被手动改为Point-to-Point【答案】B【解析】OSPFv3邻居停留在2-Way表明双方都能收到Hello，但DR选举失败。若Router-ID重复，邻居表无法区分两台设备，导致选举异常，状态无法进入ExStart。2.主机A使用无线局域网发送一个长度为1500字节的IP数据报，经802.11nMAC层封装时，需要添加34字节的MAC头与4字节FCS，若此时采用A-MSDU聚合，最大可聚合子帧数为（假设每个子帧需添加14字节子头）A.42B.44C.46D.48【答案】C【解析】802.11n规定A-MSDU最大长度为7935字节。设子帧数为n，则总长度为n×(1500+14)≤7935，解得n≤46.1，向下取整46。3.某公司出口路由器运行BGP，收到两条前缀/24的路由，本地优先级分别为200与150，MED分别为30与20，AS-Path长度分别为2与3，则路由器最终选择的最佳路由依据的先后顺序是A.本地优先级→MED→AS-PathB.本地优先级→AS-Path→MEDC.AS-Path→MED→Router-IDD.MED→本地优先级→AS-Path【答案】B【解析】BGP选路规则：先比本地优先级，大者胜；再比AS-Path长度，短者胜；最后比MED，小者胜。4.在Linux系统中，管理员输入iprouteadd/24viadeveth1mtu1400，该命令生成的路由条目属于A.主机路由B.网络路由C.默认路由D.策略路由【答案】B【解析】/24为网络前缀，非单一主机，也非/0，故为网络路由。5.某数据中心采用VXLAN构建大二层，VNI为6000，外层UDP目的端口为4789，若底层IP网络MTU为1500字节，则VXLAN内层主机可安全传输的最大TCP载荷为A.1414B.1418C.1422D.1438【答案】A【解析】1500-20(IP)-8(UDP)-8(VXLAN)-14(Ethernet)=1414，TCP载荷再减20字节TCP头即为1394，但题目问的是“TCP载荷”本身，故取1414。6.在SNMPv3中，用户alice采用authPriv模式，认证算法为SHA-1，加密算法为AES-128，则其安全级别对应的数值为A.noAuthNoPrivB.authNoPrivC.authPrivD.3【答案】C【解析】SNMPv3安全级别分为三类，authPriv为最高，含认证与加密。7.某企业部署IPv6，采用SLAAC方式给终端分配地址，前缀为2001:db8:acbd::/64，终端MAC地址为00-0c-29-78-9a-bc，则其生成的全球单播地址中接口ID为A.020c:29ff:fe78:9abcB.0a2c:29ff:fe78:9abcC.020c:2978:9abc:0000D.0a2c:2978:9abc:0000【答案】A【解析】MAC中间插入fffe，首字节第7位取反，00→02，故为020c:29ff:fe78:9abc。8.某DNS服务器采用DNSSEC，资源记录RRSIG的签名算法字段值为13，则对应的算法名称是A.RSA/SHA-256B.ECDSA/P-256/SHA-256C.ECDSA/P-384/SHA-384D.Ed25519【答案】B【解析】算法编号13对应ECDSA曲线P-256，摘要SHA-256。9.在TCP拥塞控制中，发送端当前拥塞窗口cwnd=20MSS，收到3个重复ACK后进入快重传，随后cwnd与ssthresh的变化为A.cwnd=10,ssthresh=10B.cwnd=11,ssthresh=10C.cwnd=21,ssthresh=20D.cwnd=20,ssthresh=10【答案】B【解析】快重传后ssthresh=cwnd/2=10，cwnd=ssthresh+3=13（部分教材）或立即置为ssthresh+3MSS，但Linux实现常直接置为ssthresh+3，故选B。10.某交换机支持IEEE802.1Qbv时间感知调度，一个周期为2000μs，其中队列6被分配时隙400μs，若队列6中某帧长为1234字节，出口速率为1Gbps，则该帧能否在一个周期内完整发出A.能B.不能C.取决于帧间隔D.取决于guardband【答案】B【解析】1234×8=9872bit，1Gbps下需9.872μs，远小于400μs，但802.1Qbv要求帧必须在分配时隙开始前已位于输出队列，且时隙边界受guardband保护，若帧到达时隙边界前未能完全发出，则必须等待下一周期，因此“不能”保证一定在本周期发出。11.在Python的scapy库中，发送一个SYN端口扫描包并等待响应，下列代码片段正确的是A.sr1(IP(dst="")/TCP(dport=80,flags="S"))B.send(IP(dst="")/TCP(dport=80,flags="S"))C.sr(IP(dst="")/TCP(dport=80,flags="S"))D.srp(Ether()/IP(dst="")/TCP(dport=80,flags="S"))【答案】A【解析】sr1发送第三层数据包并等待第一个响应，适合单端口扫描。12.某防火墙规则链中，第一条为允许established/related状态，第二条为拒绝源/24，第三条为允许目的端口22，现从发起向外的SSH连接，结果A.允许B.拒绝C.匹配第三条D.无法判断【答案】B【解析】向外SSH属于NEW状态，不匹配第一条；源地址匹配第二条被拒绝。13.在MPLS网络中，标签分发协议LDP使用何种传输层协议A.TCP646B.UDP646C.TCP711D.UDP711【答案】A【解析】LDP使用TCP端口646建立邻居。14.某企业采用802.1X认证，认证服务器返回的RADIUSAccess-Accept报文中包含Tunnel-Private-Group-ID=300，则终端最终被分配到A.VLAN300B.VXLANVNI300C.仅做审计，不切换VLAND.需本地交换机手动配置【答案】A【解析】Tunnel-Private-Group-ID在802.1X中用于动态VLAN分配，值为300即VLAN300。15.在Kubernetes集群中，Service类型为ClusterIP，kube-proxy采用IPVS模式，当客户端Pod访问Service时，数据包首次命中IPVS规则后，目标MAC地址为A.客户端Pod所在网卡的MACB.Service虚拟IP对应的虚拟MACC.后端Pod所在节点的MACD.网关MAC【答案】C【解析】IPVS在节点内核中完成DNAT，数据包仍需经二层转发到目标节点，故目的MAC为后端Pod所在节点的MAC。二、多项选择题（每题3分，共30分，多选少选均不得分）16.下列关于HTTP/2的描述正确的有A.使用二进制分帧B.默认启用TLSC.支持服务器推送D.使用文本格式头部【答案】A、C【解析】HTTP/2采用二进制分帧层，支持服务器推送；TLS非强制，头部采用HPACK压缩，非文本。17.某网络运行IS-IS协议，区域划分为Level-1与Level-2，下列LSA类型中属于Level-1的有A.LSPB.CSNPC.PSNPD.IIH【答案】A、B、C、D【解析】IS-IS使用LSP、CSNP、PSNP、IIH报文，均可在Level-1出现。18.下列关于RAID10与RAID01的区别，正确的有A.RAID10先镜像后条带B.RAID01允许两块盘同时损坏而不丢数据C.RAID10的容错能力高于RAID01D.RAID01的写性能高于RAID10【答案】A、C【解析】RAID10先镜像后条带，允许每组坏一块盘；RAID01先条带后镜像，任一镜像对坏两块即失效，容错低于RAID10。19.在Wireshark中，过滤表达式“tcp.analysis.retransmission”可捕获A.超时重传B.快速重传C.SACK重传D.虚假重传【答案】A、B、C【解析】Wireshark将超时、快速、SACK重传均标记为retransmission，虚假重传标记为spurious。20.某SD-WAN方案采用IPsec隧道，使用IKEv2，下列加密套件中支持PFS的有A.AES-256-GCM-SHA384B.AES-256-CBC-SHA256-DH20C.AES-128-GCM-SHA256-ECP256D.CHACHA20-POLY1305【答案】B、C【解析】带DH或ECP的套件提供PFS，A与D未显式指定密钥交换算法。21.下列关于IPv6任播地址的说法正确的有A.一个任播地址可分配给多个接口B.发往任播地址的包会被送达最近节点C.任播地址与单播地址格式相同D.任播地址不能作为源地址【答案】A、B、C、D【解析】IPv6任播地址格式与单播无法区分，仅通过配置声明为任播，不能作为源地址。22.某数据中心采用Spine-Leaf架构，Leaf交换机运行MLAG，下列关于MLAG的说法正确的有A.两台Leaf呈现同一MAC地址B.需运行STP阻塞环路C.支持上行链路负载均衡D.控制层面需同步转发表【答案】A、C、D【解析】MLAG无需STP，通过动态同步MAC与ARP，实现双活。23.下列关于CNAME记录的说法正确的有A.可指向另一CNAMEB.最终必须解析到A或AAAA记录C.在DNS响应中可与A记录同包返回D.可用于邮件服务器负载均衡【答案】B、D【解析】CNAME链不宜过长，最终需终止于A/AAAA；邮件MX可指向CNAME实现均衡。24.某防火墙支持深度包检测，可识别下列哪些应用特征A.TLSSNI字段B.HTTPHost头C.DNS查询名D.TCP端口号【答案】A、B、C、D【解析】DPI可综合多维度特征识别应用。25.在Pythonasyncio中，下列关于事件循环的说法正确的有A.一个线程只能运行一个事件循环B.事件循环可运行多个协程C.协程内可嵌套新的事件循环D.事件循环可绑定到自定义选择器【答案】A、B、D【解析】协程内不应嵌套新事件循环，会抛异常。三、判断题（每题1分，共10分，正确打“√”，错误打“×”）26.TCP的TIME_WAIT状态仅出现在主动关闭连接的一方。【答案】√27.802.11ax中OFDMA技术可将20MHz信道划分为最多256个子载波。【答案】×【解析】20MHz下子载波数256，但可用数据子载波约234，并非全部分配。28.在Linux中，/proc/sys/net/ipv4/tcp_tw_reuse参数允许将TIME_WAIT套接字立即重新用于新连接。【答案】√29.BGP的Community属性为可选可传递属性。【答案】√30.在VXLAN中，VTEP必须学习远端VM的MAC地址，否则无法封装二层帧。【答案】√31.SMTP协议使用MIME扩展后，可直接传输二进制文件而无需Base64编码。【答案】×【解析】MIME仍推荐对8bit数据编码以保证兼容性。32.在RAID5中，若两块盘同时损坏，阵列仍可正常运行。【答案】×33.在IPv6中，链路本地地址以fe80::/10开头。【答案】√34.使用Wireshark捕获USB流量需加载usbmon内核模块。【答案】√35.在Kubernetes中，Ingress资源本身不提供负载均衡，仅定义规则。【答案】√四、填空题（每空2分，共20分）36.在TCP三次握手过程中，客户端发送的第二个报文段标志位为________与________。【答案】SYN、ACK37.某IPv4地址3/28，其所在子网的广播地址为________。【答案】538.在RIPng中，路由跳数达到________即视为不可达。【答案】1639.在Linux中，查看当前路由表的命令为________。【答案】iproute40.某HTTPS站点采用HSTS，浏览器首次访问时服务器返回的响应头中包含字段________。【答案】Strict-Transport-Security41.在802.1Q中，VLANID字段共________位，最大可用VLAN数为________。【答案】12、409442.在Python中，使用________库可构造与发送ICMP回显请求。【答案】scapy43.在MPLS标签头中，TTL字段长度为________字节。【答案】144.在Wireshark中，快捷键________可快速跟随TCP流。【答案】Ctrl+Alt+Shift+T45.在Kubernetes中，Service的虚拟IP又称为________。【答案】ClusterIP五、简答题（每题10分，共30分）46.描述SDN控制器通过OpenFlow1.3实现负载均衡的完整流程，包括交换机流表下发、Packet-In/Out交互及健康检查机制。【答案】1.控制器预配置虚拟IP（VIP）与后端真实服务器池；2.交换机初始无匹配流，首包命中Table-Miss，上送Packet-In；3.控制器根据负载算法（如轮询、加权最小连接）选择后端RS，生成Flow-Mod：match=tcp_dst=VIP,action=set_field:RS_IP->ip_dst,set_field:RS_MAC->eth_dst,output:port；4.同时生成反向流：match=tcp_src=RS_IP,action=set_field:VIP->ip_src,set_field:VIP_MAC->eth_src,output:client_port；5.控制器定期向下发EchoRequest或TCPSYN，RS回应则标记UP，否则删除对应流表并触发告警；6.若RS宕机，控制器立即下发Flow-Remove，并将新流量重定向至其他RS，实现无缝切换。47.阐述IPv6无状态地址分配（SLAAC）与有状态DHCPv6在DNS分配上的差异，并给出在CiscoIOS上如何强制终端仅使用DHCPv6获取DNS。【答案】SLAAC依赖RA报文中的RDNSS选项携带DNS地址，但Windows10早期版本不支持，兼容性差；DHCPv6可统一下发DNS、域名、SNTP。CiscoIOS配置：```interfaceg0/0ipv6ndmanaged-config-flagipv6ndother-config-flagipv6dhcppoolLANdns-server2001:4860:4860::8888domain-name```managed-config-flag置1，告知终端使用DHCPv6获取全部信息；other-config-flag置1，确保DNS等额外信息由DHCPv6提供。48.说明TLS1.3相比TLS1.2在握手性能上的优化，并给出在Nginx上启用TLS1.3的完整配置片段。【答案】TLS1.3将握手由2-RTT降为1-RTT，甚至0-RTT重连；废除RSA密钥交换，仅支持ECDHE，减少往返；加密全部握手消息，提升安全性。Nginx配置：```server{listen443sslhttp2;ssl_protocolsTLSv1.3;ssl_ciphersTLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256;ssl_prefer_server_ciphersoff;ssl_early_dataon;add_headerStrict-Transport-Security"max-age=63072000"always;}```需OpenSSL1.1.1+及Nginx1.13.0+支持。六、综合应用题（共30分）49.某企业网络拓扑如图（文字描述）：出口两台防火墙FW1、FW2运行VRRP，虚拟IP/24；内网核心交换机SW1、SW2运行OSPFArea0，下联多对接入交换机；服务器区部署Web、DB，网关为SVI54/24；用户区网关为SVI54/24；要求：a)用户区仅允许访问Web的TCP443，禁止访问DB；b)服务器区默认拒绝，仅允许用户区443、运维区SSH；c)出口双活，故障切换<3秒；d)记录所有丢弃日志。请给出：1.防火墙策略条目（以iptables格式示例，共10分）；2.VRRP配置关键片段（CiscoASA语法，5分）；3.核心交换机ACL示例（5分）；4.日志集中方案（5分）；5.故障验证步骤（5分）。【答案】1.防火墙策略（F