(2025年)全国计算机等级考试(NCRE)四级计算机网络样题及参考答案

(2025年)全国计算机等级考试(NCRE)四级计算机网络样题及参考答案一、单项选择题（每小题1分，共20分）1.在OSI参考模型中，实现不同主机间进程通信的层次是（）。A.网络层B.传输层C.会话层D.应用层答案：B解析：传输层通过端口号标识进程，实现端到端的进程间通信，网络层处理主机间通信，会话层管理会话连接，应用层提供具体应用服务。2.关于BGP协议的描述，错误的是（）。A.基于TCP179端口建立连接B.用于自治系统（AS）间的路由选择C.支持路由聚合以减少路由表规模D.仅发布到达目标网络的最优路径答案：D解析：BGP会发布所有已知路径（需满足策略），由接收方根据路径属性选择最优，而非仅发布最优路径。3.IPv6地址2001:db8:abcd:1::1/64的接口ID部分是（）。A.2001:db8B.abcd:1C.1::1D.::1答案：C解析：IPv6地址/64表示前64位为网络前缀，后64位为接口ID，因此接口ID是"abcd:1::1"的后64位，即"1::1"。4.以下不属于802.11ax（Wi-Fi6）关键技术的是（）。A.OFDMAB.MU-MIMOC.1024-QAMD.CSMA/CA答案：D解析：CSMA/CA是802.11系列共享的介质访问控制方法，并非Wi-Fi6特有；Wi-Fi6新增OFDMA（正交频分多址）、MU-MIMO（多用户多输入多输出）、1024-QAM（高阶调制）等技术提升效率。5.某网络的子网掩码为，其对应的网络前缀长度是（）。A.23位B.24位C.22位D.21位答案：A解析：转换为二进制是前23位为1（11111111.11111111.11111110.00000000），因此前缀长度为23位。6.关于SDN（软件定义网络）的描述，正确的是（）。A.控制平面与数据平面深度耦合B.采用集中式控制器实现全局网络视图C.依赖传统路由器的逐跳转发机制D.仅支持基于硬件的转发设备答案：B解析：SDN的核心是控制平面与数据平面分离，通过集中式控制器（如OpenFlow控制器）实现网络全局管理，数据平面设备（如交换机）仅执行流表转发。7.以下攻击类型中，属于应用层DDOS的是（）。A.SYNFloodB.ICMPFloodC.HTTPFloodD.UDPFlood答案：C解析：HTTPFlood通过大量HTTP请求耗尽服务器资源，属于应用层攻击；SYNFlood（传输层）、ICMP/UDPFlood（网络层）属于网络层/传输层攻击。8.某企业网络中，DHCP服务器配置的地址池为00-00，子网掩码，默认网关，DNS服务器14。若客户端获取IP时显示“无有效的IP配置”，最可能的原因是（）。A.子网掩码错误B.网关与地址池不在同一子网C.DNS服务器不可达D.地址池未启用答案：D解析：若地址池未启用，DHCP服务器无法分配IP，客户端会提示无有效配置；网关（）与地址池（/24）在同一子网，子网掩码正确，DNS不可达不影响IP获取。9.关于OSPF协议的区域划分，错误的是（）。A.骨干区域ID必须为0B.非骨干区域需通过ABR连接到骨干区域C.Stub区域不允许外部路由（Type5LSA）D.NSSA区域允许注入外部路由但不传播Type5LSA答案：A解析：骨干区域ID通常为0，但可以配置为其他数值（如），只是默认使用0。10.以下IPv6扩展头的处理顺序中，正确的是（）。A.逐跳选项头→路由头→分片头→认证头B.分片头→逐跳选项头→路由头→目的选项头C.逐跳选项头→分片头→路由头→目的选项头D.目的选项头→路由头→分片头→逐跳选项头答案：C解析：IPv6扩展头的处理顺序固定为：逐跳选项头→分片头→路由头→认证头→封装安全载荷头→目的选项头（可能出现两次，分别在中间节点和最终节点处理）。11.关于5G核心网（5GC）的描述，错误的是（）。A.采用服务化架构（SBA）B.控制面与用户面分离（CUPS）C.仅支持IPv4地址分配D.支持网络切片（NetworkSlicing）答案：C解析：5GC支持IPv4、IPv6及双栈地址分配，以满足不同业务需求。12.某交换机配置命令：Switch(config)interfacegigabitethernet0/1Switch(config-if)switchportmodetrunkSwitch(config-if)switchporttrunkallowedvlan10,20Switch(config-if)switchporttrunknativevlan30若连接的PC属于VLAN10，其获取的VLANID是（）。A.10B.20C.30D.1（默认VLAN）答案：A解析：Trunk接口允许VLAN10、20，本地VLAN（nativeVLAN）为30（未打标签）。PC属于VLAN10，发送的帧会被打上VLAN10标签，交换机接收后根据标签分配VLAN10。13.关于网络管理协议SNMP的描述，正确的是（）。A.基于TCP协议传输B.v3版本引入加密和认证机制C.仅支持轮询（Polling）方式获取数据D.MIB-II包含物理层对象答案：B解析：SNMPv3通过USM（用户安全模型）和VACM（视图访问控制模型）提供认证和加密；SNMP基于UDP；支持轮询和陷阱（Trap）；MIB-II主要涉及网络层及以上对象，物理层对象在MIB-IF中。14.以下路由协议中，不属于链路状态协议的是（）。A.OSPFB.IS-ISC.RIPD.EIGRP（链路状态部分）答案：C解析：RIP是距离向量协议，OSPF、IS-IS是典型的链路状态协议，EIGRP混合了距离向量和链路状态特性。15.某网络的流量统计显示，TCP连接中SYN包数量远大于ACK包，最可能的攻击是（）。A.端口扫描B.SYNFloodC.ARP欺骗D.DNS缓存投毒答案：B解析：SYNFlood攻击通过发送大量SYN包（不完成三次握手）占用服务器半开连接资源，导致SYN包远多于ACK包。16.关于Wi-Fi7（802.11be）的特性，错误的是（）。A.支持320MHz信道带宽B.引入MLO（多链路聚合）技术C.仅工作在5GHz频段D.采用4096-QAM调制答案：C解析：Wi-Fi7支持2.4GHz、5GHz、6GHz全频段，以提升覆盖和容量。17.某企业网使用静态路由配置，若要实现/24到/8的流量通过接口G0/0（下一跳），且该路由优先级高于OSPF路由（默认优先级110），正确的配置是（）。A.iproute8preference100B.iproute24priority100C.iproute8gigabitethernet0/0cost100D.iproute24gigabitethernet0/0metric100答案：A解析：静态路由配置格式为“iproute目标网络掩码下一跳地址/接口[preference优先级]”，目标网络是/8，需设置优先级低于OSPF（数值越小优先级越高），因此preference100（小于110）正确。18.关于IPv6邻居发现协议（NDP）的功能，不包括（）。A.地址解析（替代ARP）B.路由器发现C.前缀发现D.动态主机配置（替代DHCP）答案：D解析：NDP包括路由器发现、前缀发现、地址解析（NS/NA消息）、重复地址检测（DAD）等功能，动态主机配置仍需DHCPv6或无状态自动配置（SLAAC）。19.某防火墙的ACL配置如下：access-list101permittcp55anyeqwwwaccess-list101permitudp55anyeqdnsaccess-list101denyipanyany若内网主机0访问外网FTP服务器（端口21），防火墙的处理行为是（）。A.允许B.拒绝C.记录日志D.转发但不检查内容答案：B解析：ACL规则按顺序匹配，第一条允许HTTP（TCP80），第二条允许DNS（UDP53），第三条拒绝所有其他IP流量。FTP（TCP21）未被允许，匹配第三条deny规则，因此拒绝。20.关于网络规划中的核心层设计原则，错误的是（）。A.提供高速转发和冗余连接B.部署访问控制列表（ACL）过滤流量C.使用链路聚合（LACP）提高带宽D.采用OSPF或BGP实现路由冗余答案：B解析：核心层的主要功能是高速转发，应避免复杂的流量过滤（如ACL），ACL通常部署在接入层或分布层。二、综合题（共40分）【题1】（10分）某公司网络拓扑如图1所示（注：图中R1为出口路由器，R2为汇聚路由器，SW1-SW3为接入交换机，PC1-PC6为终端），其中：-R1的G0/0接口IP：/24（连接公网），G0/1接口IP：/24（连接R2）-R2的G0/0接口IP：/24（连接R1），G0/1接口IP：/24（连接SW1），G0/2接口IP：/24（连接SW2），Loopback0：/32-SW1划分VLAN10（PC1-PC2，IP：0-0/24）、VLAN20（PC3，IP：0/24）-SW2划分VLAN30（PC4-PC5，IP：0-0/24）、VLAN40（PC6，IP：0/24）-所有交换机启用STP（提供树协议），默认优先级。（1）请写出R1的路由表中到达/24的路由条目（假设仅通过静态路由配置）。（3分）（2）SW1的G0/1接口连接PC1（VLAN10），G0/2连接PC2（VLAN10），G0/3连接PC3（VLAN20），G0/4连接R2的G0/1接口。请配置SW1的接口模式及VLAN关联（假设SW1的默认VLAN为1）。（4分）（3）若SW1与SW2之间新增一条链路（G0/5连接SW2的G0/5），STP会如何处理该链路？简述原因。（3分）参考答案：（1）R1的路由表中到达/24的静态路由条目为：目标网络：/24，下一跳：（R2的G0/0接口），接口：G0/1。（2）SW1的接口配置：-G0/1、G0/2（PC1、PC2，VLAN10）：interfaceGigabitEthernet0/1switchportmodeaccessswitchportaccessvlan10interfaceGigabitEthernet0/2switchportmodeaccessswitchportaccessvlan10-G0/3（PC3，VLAN20）：interfaceGigabitEthernet0/3switchportmodeaccessswitchportaccessvlan20-G0/4（连接R2，需Trunk模式）：interfaceGigabitEthernet0/4switchportmodetrunkswitchporttrunkallowedvlan10,20（或all，若允许所有VLAN）（3）新增链路后，STP会将该链路置为阻塞状态（Blocking）。原因：STP通过选举根桥、根端口、指定端口，确保网络无环。新增链路形成环路，STP会选择冗余链路作为阻塞端口，仅当主链路故障时才激活该链路。【题2】（15分）某企业需部署IPv6网络，要求：-总部网络前缀：2001:db8:100::/48-分部A网络前缀：2001:db8:200::/48-总部与分部通过IPv6/IPv4隧道（6to4）互联，总部隧道端点IPv4地址：，分部隧道端点IPv4地址：-总部核心路由器R1需为内网主机分配无状态IPv6地址（SLAAC），并启用DHCPv6为部分主机分配DNS服务器地址（2001:db8::1）。（1）计算总部隧道端点的IPv6地址（6to4地址格式：2002:ipv4地址十六进制::/48）。（3分）（2）写出R1配置6to4隧道的关键命令（假设隧道接口为Tunnel0）。（5分）（3）配置R1的SLAAC和DHCPv6功能（包括前缀发布和DNS选项）。（7分）参考答案：（1）总部IPv4地址转换为十六进制：CA64:0102（202=CA，100=64，1=01，2=02），因此6to4地址为2002:ca64:0102::/48。（2）R1的6to4隧道配置命令：interfaceTunnel0noipaddressipv6address2002:ca64:0102::1/64（隧道接口IPv6地址）ipv6enabletunnelsource（IPv4源地址）tunneldestination（IPv4目的地址）tunnelmodeipv6ip6to4（隧道模式为6to4）（3）SLAAC与DHCPv6配置：①前缀发布（SLAAC）：ipv6unicast-routinginterfaceGigabitEthernet0/1（内网接口）ipv6address2001:db8:100::1/64ipv6ndprefix2001:db8:100::/64valid-lifetime2592000preferred-lifetime604800ipv6ndra-interval180（设置路由通告间隔）②DHCPv6配置（分配DNS）：ipv6dhcppoolDNS_POOLdns-server2001:db8::1interfaceGigabitEthernet0/1ipv6dhcpserverDNS_POOL【题3】（15分）某企业网络存在如下安全问题：-员工PC常因访问恶意网站感染病毒，导致内网广播风暴-财务部门（VLAN100）需仅允许访问企业ERP系统（0）和外部邮件服务器（0），禁止访问其他外网-出口路由器常因大量ICMP请求导致性能下降请设计解决方案，包括：（1）针对恶意网站访问的防护措施（4分）（2）财务部门的访问控制策略（6分）（3）ICMP流量的限制方法（5分）参考答案：（1）恶意网站防护措施：①部署Web应用防火墙（WAF）或UTM（统一威胁管理）设备，基于URL过滤、恶意IP库、威胁情报阻断恶意网站访问。②在接入交换机启用802.1X认证，仅允许授权终端接入，结合DHCPSnooping防止非法DHCP服务器攻击。③在内网部署杀毒软件和终端安全管理系统（如EDR），实时检测和清除病毒。④配置交换机端口安全（PortSecurity），限制每个端口的MAC地址数量，防止ARP欺骗导致的广播风暴。（2）财务部门（VLAN100）访问控制策略：在出口路由器或核心交换机配置ACL，仅允许VLAN100的流量访问指定目标：access-list110permittcp550eq80（ERPHTTP）access-list110permittcp550eq25（邮件SMTP）access-list110permittcp550eq143（邮件IMAP）access-list110denyip55any（拒绝其他流量）access-list110permitipanyany（允许其他内网流量）然后将ACL应用于财务部门所在接口的出方向（outbound）。（3）ICMP流量限制方法：①在出口路由器配置QoS策略，为ICMP流量设置速率限制（如带宽的5%）：class-mapmatch-anyICMP_CLASSmatchprotocolicmppolicy-mapICMP_POLICYclassICMP_CLASSpolice512000（500kbps）128000exceed-actiondropinterfaceGigabitEthernet0/0（公网接口）service-policyinputICMP_POLICY②禁用不必要的ICMP类型（如ICMPEchoRequest）：access-list100denyicmpanyanyechoaccess-list100permiticmpanyanyecho-reply（允许响应，避免影响监控）access-list100permitipanyanyinterfaceGigabitEthernet0/0ipaccess-group100in三、应用题（共40分）某高校计划建设新校区网络，需求如下：-覆盖教学区（约5000终端）、办公区（约1000终端）、宿舍区（约8000终端）-教学区需支持4K视频教学、远程实验（带宽需求高，延迟敏感）-办公区需隔离不同部门（如财务处、教务处），禁止跨部门互访-宿舍区需支持大量终端接入（单AP支持≥200终端），并限制P2P下载流量-出口带宽需求：教学区≥10Gbps，办公区≥2Gbps，宿舍区≥5Gbps-要求网络具备冗余性（核心层、汇聚层双设备）、可管理性（集中监控）请设计网络架构，包括：（1）层次化拓扑结构（核心层、汇聚层、接入层）及设备选型（6分）（2）IP地址与VLAN规划（8分）（3）教学区QoS保障方案（8分）（4）办公区隔离与访问控制策略（8分）（5）宿舍区无线覆盖与流量限制方案（10分）参考答案：（1）层次化拓扑结构及设备选型：-核心层：双核心交换机（如华为CloudEngine16800系列），支持100Gbps接口，部署VRRP实现冗余，通过万兆链路互联。-汇聚层：教学区、办公区、宿舍区各部署两台汇聚交换机（如华为S5735系列），通过双链路连接核心层，教学区汇聚支持QoS硬件处理，宿舍区汇聚支持高密度无线控制器（AC）功能。-接入层：教学区采用万兆电口接入交换机（S5735-L24S-A），每台接入≥48终端；办公区采用千兆接入交换机（S5720-S28P-LI），支持802.1X认证；宿舍区部署Wi-Fi6无线AP（AirEngine6760系列），每AP覆盖50㎡（支持200+终端），通过POE+交换机（S5735-L48T4S-A）供电。（2）IP地址与VLAN规划：-教学区：VLAN100-199（100个VLAN），IP段/16（划分子网/24~/24），每个VLAN对应一个班级或实验室。-办公区：VLAN200-299（100个VLAN），IP段/16（子网/24~/24），每个部门一个VLAN（如财务处VLAN201，IP/24）。-宿舍区：VLAN300-399（100个VLAN），IP段/16（子网/24~/24），每栋宿舍楼一个VLAN，支持DHCP动态分配。-核心层互联：VLAN400，IP段/30（双核心间链路/30、/30）。（3）教学区QoS保障方案：①流量分类：通过DSCP标记区分业务类型：-4K视频教学（UDP/RTSP）：DSCPAF41（十进制34）-远程实验（TCP）：DSCPEF（十进制46）-普通HTTP：DSCPAF21（十进制18）-管理流量（SSH/SNMP）：DSCPCS6（十进制48）②流量调度：核心/汇聚交换机启用WFQ（加权公平队列），为EF类分配30%带宽，AF41分配25%，AF21分配20%，剩余25%为尽力而为。③流量整形：在出口路由器对教学区流量整形，确保10Gbps带宽下限，突发流量不超过12Gbps（缓冲区大小=10Gbps×100ms=125MB）。（4）办公区隔离与访问控制策略：①VLAN隔离：每个部门独立VLAN，接入