【2025年】计算机四级考试网络工程师笔试题(附答案)

【2025年】计算机四级考试网络工程师笔试题(附答案)一、单项选择题（每题2分，共40分）1.某企业园区网采用分层设计，核心层部署两台华为S12700交换机，汇聚层为S5735系列，接入层为S3700系列。以下关于三层架构设计原则的描述中，错误的是（）。A.核心层应避免执行访问控制列表（ACL）B.汇聚层负责将接入层流量聚合后转发至核心层C.接入层需实现用户认证和VLAN隔离D.核心层应启用复杂的QoS策略保障关键业务答案：D解析：核心层的主要功能是高速转发，应避免执行复杂的策略（如QoS、ACL），这些功能通常由汇聚层实现。2.某网络使用OSPFv2作为内部网关协议，区域0包含R1（RID，优先级5）、R2（RID，优先级10）、R3（RID，优先级10，接口IP/24）。当R2与R3在同一广播网络中建立邻接关系时，DR选举结果为（）。A.R1（区域0的DR）B.R2（优先级更高）C.R3（RID更大）D.R2和R3同时成为DR答案：C解析：OSPFDR选举首先比较优先级（高优），优先级相同则比较RID（大优）。R2和R3优先级均为10，R3的RID（）大于R2（），因此R3成为DR。3.以下关于IPv6邻居发现协议（NDP）的描述中，正确的是（）。A.替代IPv4的ARP协议，使用ICMPv6报文B.通过广播发送路由请求（RouterSolicitation）C.邻居不可达检测（NUD）仅支持单播验证D.前缀信息（PrefixInformation）报文用于DHCPv6地址分配答案：A解析：NDP通过ICMPv6的邻居请求（NeighborSolicitation）和邻居通告（NeighborAdvertisement）实现地址解析，替代IPv4的ARP；路由请求（RS）是单播发送给默认路由器；NUD支持单播和多播验证；前缀信息报文用于发布网络前缀，而非DHCPv6。4.某公司部署WLAN网络，AP采用瘦AP架构，AC（无线控制器）通过CAPWAP协议管理AP。当AP首次加电时，其发现AC的顺序是（）。①DNS解析AC域名②广播发现请求（DiscoveryRequest）③使用本地存储的ACIP地址④DHCP选项43获取AC地址A.③→④→①→②B.④→③→②→①C.③→②→④→①D.②→③→④→①答案：A解析：瘦AP发现AC的顺序为：优先使用本地存储的ACIP（如手工配置）→DHCP选项43获取→DNS解析AC域名→广播发现请求（若前三者失败）。5.以下BGP属性中，属于公认强制（Well-knownMandatory）属性的是（）。A.Local_PrefB.AS_PathC.CommunityD.MED答案：B解析：公认强制属性包括Origin（起源）、AS_Path（AS路径）、Next_Hop（下一跳）；Local_Pref和MED是可选过渡属性，Community是可选非过渡属性。6.某企业网络中，交换机S1的端口G0/0/1连接PC1（IP/24），G0/0/2连接交换机S2，S2的G0/0/3连接PC2（IP/24）。S1和S2均配置VLAN10（PC1）和VLAN20（PC2），且G0/0/2为Trunk口（允许VLAN10、20通过）。若PC1无法ping通PC2，最可能的故障原因是（）。A.S1的G0/0/1未配置为Access模式B.S2的G0/0/3未划分到VLAN20C.Trunk口的NativeVLAN配置不一致D.PC1和PC2的IP地址不在同一子网答案：B解析：PC1和PC2分属不同VLAN（10和20），若S2的G0/0/3未加入VLAN20，则PC2的流量无法进入VLAN20，导致无法通信。7.以下关于MPLSLDP（标签分发协议）的描述中，错误的是（）。A.LDP通过Hello报文发现邻居B.标签映射（LabelMapping）报文用于分发标签C.标签保留模式（LabelRetention）分为保守模式和自由模式D.标签分发方式（LabelDistribution）仅支持有序分发（Ordered）答案：D解析：LDP支持有序分发（Ordered，仅为自己的FEC分发标签）和独立分发（Independent，可为任何FEC分发标签）两种方式。8.某网络需要限制财务部主机（IP/24）只能访问服务器区（IP/24）的HTTP（80）和HTTPS（443）端口，其他流量禁止。在路由器R1的G0/0/1接口（连接财务部）inbound方向应用ACL，正确的配置是（）。A.aclnumber3001rule5permittcpsource55destination55destination-porteq80rule10permittcpsource55destination55destination-porteq443rule15denyipinterfaceGigabitEthernet0/0/1traffic-filterinboundacl3001B.aclnumber2001rule5permit55rule10denyanyinterfaceGigabitEthernet0/0/1traffic-filterinboundacl2001C.aclnumber3001rule5permitipsource55destination55rule10denyipinterfaceGigabitEthernet0/0/1traffic-filterinboundacl3001D.aclnumber3001rule5permittcpsource55destination55destination-porteq80rule10permittcpsource55destination55destination-porteq443rule15denyipinterfaceGigabitEthernet0/0/1traffic-filterinboundacl3001答案：A解析：需使用高级ACL（3000-3999）基于TCP端口过滤，源地址为财务部（/24），目标地址为服务器区（/24），目标端口80和443，最后deny所有其他流量。9.以下关于STP（提供树协议）的描述中，正确的是（）。A.根桥选举依据是网桥ID（BID）最小B.端口状态从Blocking直接转为ForwardingC.所有非根桥的指定端口（DesignatedPort）位于离根桥最远的路径D.收敛时间固定为30秒（ForwardDelay×2）答案：A解析：根桥选举比较BID（优先级+MAC），最小者为根；端口状态转换需经过Listening→Learning→Forwarding；指定端口是所在网段中到根桥路径最优的端口；收敛时间受网络直径和配置影响，不一定固定30秒。10.某企业采用VRRP（虚拟路由冗余协议）实现网关冗余，主路由器R1的虚拟IP为54，优先级120；备份路由器R2优先级100。当R1的G0/0/1接口故障时，VRRP切换的触发条件是（）。A.R1发送免费ARP宣告主备切换B.R2未收到R1的VRRP通告（Advertisement）超过3个间隔C.R1主动降低优先级至0并发送通告D.R2检测到R1的物理接口Down后立即抢占答案：B解析：VRRP通过通告报文（默认1秒/次）维持主备状态，备份设备若连续3次（超时时间3秒）未收到主设备的通告，将切换为主设备。11.以下关于网络流量分析的工具中，属于被动式监控的是（）。A.端口镜像（PortMirroring）抓取流量B.网络测试仪（如IXIA）发送测试流量C.SNMP轮询获取设备性能数据D.部署流量注入器模拟DDoS攻击答案：A解析：被动式监控不主动发送流量，仅监听现有流量（如端口镜像）；主动式监控（如测试仪、SNMP轮询、流量注入）会发送探测或测试流量。12.某IPv6网络中，路由器R1的G0/0/1接口配置如下：interfaceGigabitEthernet0/0/1ipv6enableipv6address2001:db8::1/64ipv6ndrainterval10ipv6ndramax-rtr-adv-interval30以下描述中错误的是（）。A.该接口会周期性发送路由通告（RA）报文B.RA报文中的前缀2001:db8::/64将被客户端自动配置为地址C.ndrainterval10设置RA报文的发送间隔为10秒D.ndramax-rtr-adv-interval30设置RA报文的最大发送间隔为30秒答案：C解析：ipv6ndrainterval设置的是RA报文的最小发送间隔，max-rtr-adv-interval是最大间隔（默认60秒）。若仅配置interval，实际间隔在interval到max之间随机选择。13.以下关于网络存储技术的描述中，正确的是（）。A.iSCSI使用SCSI协议通过以太网传输，端口号为3260B.NAS通过FC（光纤通道）协议提供文件级共享C.SAN采用TCP/IP协议，适合大数据块存储D.NFS（网络文件系统）仅支持Linux客户端答案：A解析：iSCSI基于TCP/IP，端口3260，传输块级数据；NAS通过NFS/CIFS等协议提供文件共享，基于以太网；SAN通常使用FC协议，适合块存储；NFS支持跨平台（Linux、Unix、Windows通过客户端）。14.某网络出现大量ICMPEchoRequest（Ping）报文，源IP为随机伪造，目标IP为某服务器（0），导致服务器CPU利用率达90%。最可能的攻击类型是（）。A.SYNFloodB.Smurf攻击C.ICMPFloodD.ARP欺骗答案：C解析：ICMPFlood通过大量ICMP请求耗尽目标资源；Smurf攻击利用广播网络放大攻击（向广播地址发送请求，目标为受害者）；SYNFlood针对TCP三次握手；ARP欺骗篡改ARP表。15.以下关于QoS（服务质量）策略的配置中，正确的是（）。A.在接入层交换机配置流量分类（Classify），核心层配置流量整形（Shaping）B.使用WFQ（加权公平队列）为语音流量分配固定带宽C.对视频流量标记DSCPAF41（十进制34），优先级高于标记为EF（46）的语音流量D.通过CAR（承诺访问速率）限制P2P流量的峰值速率答案：D解析：流量整形通常在边缘设备（如接入层）执行；WFQ动态分配带宽，固定带宽需用CBQ（类基于队列）；EF（46）优先级高于AF41（34）；CAR可限制流量的平均或峰值速率。16.某企业网络拓扑如下：总部（核心路由R1）→运营商（AS65000）→分支机构（核心路由R2）。R1与运营商BGP邻居的eBGP会话已建立，但R2无法学习到总部的/24路由。检查R1的BGP配置：bgp65001peeras-number65000networkmask可能的故障原因是（）。A.R1未配置peernext-hop-localB.R2的BGPAS号与运营商冲突C./24未在R1的路由表中存在D.运营商未将/24路由传递给R2答案：C解析：BGP通过network命令发布路由时，必须确保该路由存在于本地路由表（如通过直连、静态或IGP学习）。若R1未实际拥有/24路由，则无法通过BGP发布。17.以下关于SDN（软件定义网络）的描述中，错误的是（）。A.控制平面与数据平面分离，控制器通过OpenFlow协议管理交换机B.传统交换机需支持OpenFlow协议才能接入SDN网络C.SDN支持基于应用的动态流量调度D.控制器仅负责网络拓扑发现，不参与路由计算答案：D解析：SDN控制器负责集中式路由计算、流量策略制定，并通过南向接口（如OpenFlow）下发流表到数据平面设备（交换机/路由器）。18.某无线网络中，AP的发射功率为20dBm，天线增益为5dBi，馈线损耗为2dB，接收端天线增益为3dBi，路径损耗为80dB。接收信号强度（RSSI）为（）。A.20+5-2+3-80=-54dBmB.20+5-2-3-80=-50dBmC.20-5+2+3-80=-50dBmD.20+5+2-3-80=-56dBm答案：A解析：RSSI=发射功率+发射天线增益-馈线损耗+接收天线增益-路径损耗=20+5-2+3-80=-54dBm。19.以下关于网络容灾的描述中，正确的是（）。A.热备（Active-Active）模式下，主备站点同时处理业务B.冷备（ColdStandby）模式的恢复时间最短C.数据同步方式中，同步复制（SynchronousReplication）的网络延迟要求最低D.容灾等级越高，RPO（恢复点目标）和RTO（恢复时间目标）越大答案：A解析：热备模式（双活）下主备站点同时对外提供服务；冷备恢复时间最长；同步复制要求低延迟网络（如光纤直连）；容灾等级越高，RPO和RTO越小（数据丢失少、恢复快）。20.某校园网出口部署防火墙，需实现以下需求：-允许内部用户（/16）访问外部HTTP（80）、HTTPS（443）-禁止内部用户访问外部FTP（21）-允许外部用户访问内部邮件服务器（0，TCP25、110）正确的策略配置顺序是（）。①允许内部HTTP/HTTPS②禁止内部FTP③允许外部邮件访问④拒绝所有其他流量A.①→②→③→④B.③→①→②→④C.②→①→③→④D.④→③→②→①答案：B解析：防火墙策略按顺序匹配（优先匹配上层规则），应先允许特定服务（如外部访问邮件），再允许内部HTTP/HTTPS，然后禁止内部FTP，最后拒绝其他流量。二、填空题（每题2分，共20分）1.以太网帧的最大传输单元（MTU）默认值为______字节。答案：15002.OSPF协议中，Stub区域不允许接收______类型的LSA（链路状态通告）。答案：4类和5类（或ASBR-summary和AS-external）3.IPv6地址2001:db8:abcd::1/64的接口ID部分为______。答案：0:0:0:1（或::1）4.802.11ac无线协议工作在______频段（填写2.4GHz或5GHz）。答案：5GHz5.网络管理中，SNMPv3新增的安全特性包括认证（Authentication）和______。答案：加密（Privacy）6.交换机端口安全（PortSecurity）的默认违例处理方式是______（shutdown或restrict）。答案：shutdown7.MPLS报文中，标签栈的顶部标签称为______标签（Ingress或Top）。答案：Top8.网络故障排查的常用方法包括分段排查法、对比法和______。答案：替换法（或排除法）9.无线局域网中，CSMA/CA的中文名称是______。答案：载波侦听多路访问/冲突避免10.路由器通过______协议（填写缩写）实现DHCPv6客户端的地址自动配置。答案：SLAAC（无状态地址自动配置）三、综合题（共40分）【题1】（10分）某企业网络拓扑如下：-核心交换机S1（VLAN10:/24，VLAN20:/24）-接入交换机S2（连接VLAN10的PC1:/24）-接入交换机S3（连接VLAN20的PC2:/24）-S1与S2、S3通过Trunk口（G0/0/1、G0/0/2）连接，允许VLAN10、20通过，NativeVLAN为1。要求：PC1与PC2通过S1实现三层互通。请写出S1的关键配置步骤（华为设备）。答案：1.配置VLAN10和VLAN20：vlanbatch10202.配置Trunk接口（G0/0/1、G0/0/2）：interfaceGigabitEthernet0/0/1portlink-typetrunkporttrunkallow-passvlan1020porttrunkpvidvlan1（或默认，可不配）interfaceGigabitEthernet0/0/2portlink-typetrunkporttrunkallow-passvlan10203.配置VLANIF接口（三层网关）：interfaceVlanif10ipaddressinterfaceVlanif20ipaddress4.启用IP路由功能（若未默认开启）：iprouting-enable【题2】（15分）某公司总部（AS65001）与分支机构（AS65002）通过运营商（AS65000）连接，要求：-总部路由器R1与运营商R3建立eBGP会话（R1的IP/30，R3的IP/30）-分支机构路由器R2与运营商R4建立eBGP会话（R2的IP/30，R4的IP/30）-总部发布/24路由，分支机构发布/24路由-运营商需将总部和分支机构的路由互相传递请写出R1、R3、R2的BGP关键配置（华为设备）。答案：R1（AS65001）配置：bgp65001router-idpeeras-number65000（与R3建立eBGP）networkmask（发布总部路由）R3（AS65000）配置：bgp65000router-idpeeras-number65001（与R1建立eBGP）peeras-number65002（与R4建立eBGP，假设R4为运营商连接R2的设备）允许AS路径中包含65000（eBGP默认会添加本地AS到AS_Path）若需传递路由，需配置路由反射或允许AS路径包含自身（适用于联邦场景，此处运营商为中间AS，默认传递）R2（AS65002）配置：bgp65002router-idpeeras-numb