专业技术资格(水平)考试高级网络工程师考试试题及答案

专业技术资格(水平)考试高级网络工程师考试试题及答案一、单项选择题（每题1分，共30分）1.在IPv6地址中，用于本地链路通信的前缀是A.2001::/32  B.fe80::/10  C.ff02::/8  D.::1/128答案：B解析：fe80::/10为Link-local地址，仅用于单链路范围，不可被路由。2.某企业采用VXLAN构建数据中心Overlay网络，VNI长度为24bit，理论上可支持的最大租户数量为A.4096  B.65536  C.16777216  D.1048576答案：C解析：2^24=16777216，VXLAN用24bitVNI标识租户。3.在BGPEVPN中，用于通告主机MAC地址的RT扩展团体属性类型值是A.0x00  B.0x01  C.0x02  D.0x03答案：C解析：RT=RouteTarget，EVPN中MAC通告使用0x02。4.某园区网运行OSPFv3，路由器R1的接口地址为2001:db8::1/64，其Router-ID应选取A.2001:db8::1  B.自动选举最高Loopback  C.手动配置32bit值  D.接口MAC转换答案：C解析：OSPFv3Router-ID仍为32bit，必须手工配置或自动选举IPv4地址，不能直接使用IPv6地址。5.关于802.1Qbv时间感知调度，以下说法正确的是A.基于信用值的流量整形  B.采用周期性门控列表  C.依赖LLQ实现低延迟  D.仅适用于半双工链路答案：B解析：802.1Qbv通过GateControlList实现时间片门控，提供确定性转发。6.在Linux内核中，用于实现TCBPF程序附着点的HOOK是A.XDP  B.tcingress  C.tcegress  D.nf_queue答案：B解析：tcingressHOOK可在内核协议栈之前执行BPF，实现高性能包处理。7.某SD-WAN方案采用IPSec隧道，使用证书认证，若需实现前向保密，应在IKEv2提案中优先选择A.aes256-sha1-modp1024  B.aes128-sha256-modp2048  C.aes256-gcm-prfsha256-ecp256  D.3des-md5-modp1536答案：C解析：ECP256提供ECDHE，支持PFS，且AES-GCM兼具加密与完整性。8.在SNMPv3中，用于提供认证和加密的安全级别是A.noAuthNoPriv  B.authNoPriv  C.authPriv  D.privNoAuth答案：C解析：authPriv既做HMAC-MD5/HMAC-SHA认证，也做CBC-DES/AES加密。9.某数据中心采用Spine-Leaf架构，Leaf交换机48×25G下行，6×100G上行，若要求收敛比为3:1，则每台Leaf需上行带宽A.400G  B.600G  C.800G  D.1200G答案：B解析：下行总带宽48×25=1200G，收敛比3:1→上行需1200/3=400G，但选项最小为600G，实际部署常超配，选600G。10.在DNSSEC中，用于证明不存在记录的记录类型是A.NSEC  B.RRSIG  C.DNSKEY  D.DS答案：A解析：NSEC（或NSEC3）提供authenticateddenialofexistence。11.关于HTTP/3，以下错误的是A.基于QUIC  B.默认端口443  C.使用TCP作为传输  D.内建0-RTT握手答案：C解析：HTTP/3基于UDP承载的QUIC，非TCP。12.在MPLSL3VPN中，RD使用格式A.2-byteType+6-byteValue  B.8-byteBGPExtendedCommunity  C.64-bitVPN-IPv4地址前缀  D.96-bitVPN-IPv6地址前缀答案：A解析：RD=Type(2)+Value(6)，共8byte，与RT格式相同但语义不同。13.某企业启用IPv6，采用SLAAC+DHCPv6无状态，客户端欲获取DNS服务器地址，应在RA中设置A.M=1  B.O=1  C.A=1  D.L=1答案：B解析：O=1表示其他配置信息由DHCPv6提供，包括DNS。14.在Wi-Fi6中，用于实现上行OFDMA的帧类型是A.Trigger-based  B.MU-MIMO  C.TWT  D.RTS/CTS答案：A解析：AP发送Trigger帧调度多个STA同时上行OFDMA传输。15.关于NetFlowv9，下列字段属于MandatorySet的是A.TemplateID  B.SourceIPv4Address  C.DestinationPort  D.TCPFlags答案：A解析：TemplateID是TemplateFlowSet必须字段，其余为可选DataRecord字段。16.某ISP运行IS-IS，Level-2路由器收到一个ATT位置1的LSP，其含义为A.区域外可达  B.本区域缺省路由  C.本机过载  D.区域分区答案：B解析：ATT=Attached，表示该L1/L2路由器可到达其他区域，L1路由器会生成缺省指向它。17.在Kubernetes中，用于实现跨节点Pod通信的CNI插件基于VXLAN模式时，封装头所在协议号是A.47  B.50  C.17  D.8答案：A解析：VXLAN使用UDP4789，但IP协议号仍为47（GRE为47，VXLAN为UDP载荷，此题陷阱）。更正：VXLAN为UDP，无IP协议号概念，若问UDP端口则为4789，但选项无4789，故选最接近的A（47为GRE，命题陷阱，实际无正确答案，但考试策略选A）。18.关于802.1X认证，EAP-TLS建立密钥时采用A.共享密钥  B.证书+私钥  C.MS-CHAPv2  D.明文密码答案：B解析：EAP-TLS双向证书认证，通过TLS握手生成主密钥。19.在Pythonscapy中，发送三层数据包并等待响应的函数是A.send()  B.sendp()  C.sr()  D.srp()答案：C解析：sr()工作在三层，sendp()工作在二层。20.某防火墙策略要求阻断TCPSYN包且长度>64byte，应使用的匹配条件为A.tcp[tcpflags]&(tcp-syn)!=0andlen>64  B.tcpflagssynandiplength>64  C.tcp[tcpflags]=0x02andgreater64  D.tcpsynandlen64答案：C解析：tcp[tcpflags]=0x02精确匹配SYN，greater64为整体长度。21.在RAID5中，若磁盘数为6，单盘4TB，则实际可用容量为A.20TB  B.24TB  C.16TB  D.18TB答案：A解析：RAID5损耗1块盘，(6-1)×4=20TB。22.关于LoRa调制，扩频因子SF=7时，数据速率A.最高  B.最低  C.与SF无关  D.固定250kbps答案：A解析：SF越小速率越高，SF=7速率最高，覆盖最短。23.在SSL/TLS中，用于通知对端关闭连接的Alert级别是A.Warning  B.Fatal  C.CloseNotify  D.UnexpectedMessage答案：C解析：CloseNotify属于Warning级别，但专门用于优雅关闭。24.某云厂商提供AnycastEIP，其路由宣告采用A.BGP社区No-Export  B./32主机路由  C./24聚合  D.静态默认答案：B解析：Anycast需在全球BGP表中注入相同/32，靠最短路径优选。25.在5G核心网中，用于会话管理的网元是A.AMF  B.SMF  C.UPF  D.AUSF答案：B解析：SMF负责PDU会话建立、IP地址分配。26.关于PIM-SM，RP选举机制中，BSR作用为A.收集C-RP信息并泛洪  B.直接指定RP  C.生成组播树  D.转发组播流量答案：A解析：BSR收集C-RP通告，全网泛洪，供路由器计算RP。27.某存储系统采用ErasureCoding，k=10，m=4，则磁盘利用率约为A.58%  B.71%  C.80%  D.90%答案：B解析：k/(k+m)=10/14≈71%。28.在Wireshark中，过滤表达式“tcp.analysis.retransmission”显示A.重传包  B.乱序包  C.零窗口  D.SYN包答案：A解析：tcp.analysis.retransmission为ExpertInfo标记的重传。29.关于区块链PoS共识，以下正确的是A.算力决定记账权  B.持币量与记账概率正相关  C.必然分叉  D.能耗高于PoW答案：B解析：PoS按质押权益随机选主节点，能耗远低于PoW。30.在零信任架构中，用于动态评估访问请求的引擎是A.SIEM  B.PDP  C.SOAR  D.NAC答案：B解析：PDP（PolicyDecisionPoint）根据多源信任评分动态决策。二、多项选择题（每题2分，共20分，多选少选均不得分）31.以下哪些技术可降低数据中心东西向流量延迟A.RDMAoverConvergedEthernet  B.TCPSegmentationOffload  C.VXLANL3Gateway  D.PFC  E.ECN答案：A、D、E解析：RoCEbypassTCP栈；PFC提供无损以太网；ECN提前降速，均降低延迟。TSO仅减少CPU开销，VXLANL3Gateway增加跳数。32.关于TLS1.3握手，正确的是A.默认支持0-RTT  B.去除RSA密钥交换  C.加密证书  D.支持会话复用PSK  E.强制ECC答案：B、C、D解析：TLS1.3仅保留(D)HE与PSK；证书已加密；RSA密钥交换被移除；0-RTT需额外配置；不强制ECC。33.以下哪些属于IPv6扩展报头A.Hop-by-HopOptions  B.Fragment  C.Authentication  D.DestinationOptions  E.Mobility答案：A、B、C、D、E解析：均为标准扩展报头。34.在Kubernetes网络策略中，可匹配的条件包括A.namespaceSelector  B.podSelector  C.ipBlock  D.port  E.protocol答案：A、B、C、D、E解析：NetworkPolicy支持上述全部维度。35.关于802.11axMU-MIMO与OFDMA区别，正确的是A.MU-MIMO按空间流区分  B.OFDMA按子载波区分  C.MU-MIMO适合低密度大包  D.OFDMA适合高密度小包  E.二者不能同时启用答案：A、B、C、D解析：11ax支持MU-MIMO与OFDMA同时启用，故E错。36.以下哪些BGP属性可用于流量工程A.LocalPreference  B.MED  C.ASPathPrepend  D.Community  E.Origin答案：A、B、C、D解析：Origin仅标识起源，不用于工程。37.在Linux内核，eBPF程序可attach到的位置A.XDP  B.tcclsact  C.kprobe  D.tracepoint  E.socketfilter答案：A、B、C、D、E解析：均为官方支持的attachtype。38.以下哪些端口属于RADIUS协议常用端口A.1812  B.1813  C.1645  D.1646  E.3799答案：A、B、C、D解析：1812/1813为官方分配，1645/1646为早期使用，3799为动态授权CoA。39.关于SDNOpenFlow1.5，正确的是A.支持多重流表  B.支持组表  C.支持TTL减1  D.支持ECMP组  E.支持IPv6扩展头匹配答案：A、B、C、D、E解析：1.5版本全部支持。40.以下哪些算法可用于数字签名A.RSA  B.ECDSA  C.EdDSA  D.DSA  E.AES-GCM答案：A、B、C、D解析：AES-GCM为对称加密，不具备签名功能。三、判断题（每题1分，共10分，正确打“√”，错误打“×”）41.在VXLAN中，VTEP只能部署在物理交换机，不能部署在服务器hypervisor。答案：×解析：VTEP可软件实现，如OVS、Linuxvxlandriver。42.TCP的TSOPT选项可用于RTT测量与防止序列号回绕。答案：√解析：TimestampOption既测RTT，也支持PAWS。43.DNSoverHTTPS使用端口443，且基于UDP。答案：×解析：DoH基于TCP/443。44.在RAID10中，只要同一镜像对的两块盘不同时损坏，数据即可恢复。答案：√解析：RAID10镜像+条带，允许每对坏一块。45.IPv6地址2001:db8::1/64中“::”只能出现一次。答案：√解析：RFC5952规定仅一次压缩。46.BGP路由反射器之间可以互为客户端，形成集群环路无妨。答案：×解析：需遵循Cluster-ID防环，否则可能产生路由环路。47.在Wireshark中，使用“follow->TCPstream”可自动重组乱序报文。答案：√解析：Wireshark按序列号排序展示。48.HTTP/2ServerPush可主动推送任意第三方域名资源。答案：×解析：同源策略限制，只能推送本域资源。49.在Python中，使用asyncio创建TCP服务器需先调用loop.create_server()。答案：√解析：高阶API。50.5GNR中，Sub-6GHz频段最大信道带宽为100MHz。答案：√解析：3GPP规定Sub-6GHz最大100MHz，毫米波可达400MHz。四、填空题（每空2分，共20分）51.在Linux中，查看当前系统ARP缓存的命令是________。答案：ipneighshow52.某交换机运行MSTP，region名称为“DC”，revision值为________（十进制）。答案：053.在TLS1.3中，用于派生应用数据密钥的上下文标签为________。答案：tls13key54.若IPv6地址为2001:db8:1::1，其solicited-node多播地址为________。答案：ff02::1:ff00:155.在BGP中，公认必遵属性包括Origin、AS_Path、________。答案：Next_Hop56.某/20网络划分为/26子网，可得子网数量________。答案：6457.在Wireshark显示过滤器中，匹配所有HTTP状态码为404的表达式为________。答案：http.response.code==40458.在Kubernetes中，Service类型为________时，可自动创建云负载均衡器。答案：LoadBalancer59.在RAID6中，允许同时损坏的磁盘数为________。答案：260.在IEEE802.1Q中，VLANTag共________字节。答案：4五、简答题（每题10分，共30分）61.描述SRv6Policy在流量工程中的工作原理，并给出SID列表构造示例。答案：SRv6Policy通过有序SID列表显式指定路径，头节点插入SRH，携带SegmentList，中间节点按SID逐跳更新IPv6目的地址，终节点执行End行为。示例：源欲走低延迟路径，可构造SID列表{A::100,B::200,C::300}，其中A::100为入口节点，B::200为中转，C::300为出口，每段可关联SLA，如时延<5ms，丢包<0.01%。SR-TE控制器通过BGPIPv6SR-Policy地址族下发候选路径，头节点根据BSID（BindingSID）引流，实现集中算路与分布式转发解耦。62.对比VXLANEVPN与TRILL在数据中心多租户场景下的优劣。答案：VXLANEVPN基于IP封装，利用现有三层网络，控制面采用BGPEVPN，支持路由、桥接、ARP抑制、分布式网关，硬件要求低，扩展性好；TRILL基于MACinMAC，使用IS-IS扩展，封装开销小，但需新硬件，控制复杂，且标准已停滞。EVPN支持VRF、RT、RD，天然适合L3VPN多租户；TRILL仅支持VLAN扩展，租户隔离弱。EVPN支持对称IRB，跨子网流量最优；TRILL需额外网关。综上，EVPN胜出。63.给出一种基于eBPF实现KubernetesService负载均衡的详细方案，包括数据面与控制面交互流程。答案：控制面：kube-apiserver监听Service/Endpoints变化，cilium-agent将后端PodIP、端口、权重写入eBPFMap（类型BPF_MAP_TYPE_HASH）。数据面：在tcegressHOOK挂载eBPF程序，匹配ServiceClusterIP，根据一致性哈希选择后端，重写目的IP、端口，更新checksum，转发至对应Pod。若后端跨节点，利用VXLAN隧道，封装VNI=租户ID，外层目的IP为节点IP。支持会话亲和：在eBPFMap中维护recent_conn，以src_ip为键，存储选定的后端，超时保持。支持健康检查：cilium-agent定期探测后端，失败则更新Map，摘除异常Pod。全程内核态完成，无需iptables，性能提升40%。六、综合应用题（共40分）64.某金融企业计划构建跨城双活数据中心，要求RPO=0，RTO<30s，两地相距80km，链路延迟约0.8ms。现有业务为OracleRAC，日均写入500GB，峰值IOPS80k，平均IO8kB。请给出存储、网络、数据库层面的详细设计方案，并计算所需最小带宽，说明如何验证双活有效性。（20分）答案：存储层：采用双活存储阵列，如DellPowerMax，配置Active-ActiveSyncReplication，使用VPLEXMetro，witness部署在第三地，防止脑裂。写操作采用同步复制，缓存镜像，确保RPO=0。网络层：两地核心通过双路DWDM互联，单路80波，每波100G，启用LLDP、LACP，构建大二层，使用OTN提供<1ms延迟。启用802.1QbbPFC，802.1QbdCN，确保无损。Overlay采用VXLANEVPN，通过BGPEVPNType-2同步MAC/IP，网关AnycastIP，ARP主动抑制。数据库层：OracleRAC扩展至双城，节点各半，使用StretchCluster，仲裁盘放第三地。Redo日志写操作需同步到远端存储确认，故网络延迟直接影响性能。带宽计算：峰值写带宽=80kIO