2026年全国计算机等级考试三级网络技术笔试试题与答案

2026年全国计算机等级考试三级网络技术笔试试题与答案1.（单选）在IPv6地址2001:0DB8:0000:0000:02AA:00FF:FE28:9C5A的压缩写法中，下列哪一项是正确的？A.2001:DB8::2AA:FF:FE28:9C5AB.2001:DB8:0:0:2AA:FF:FE28:9C5AC.2001:DB8::2AA:FF:FE28:9C5AD.2001:0DB8::2AA:FF:FE28:9C5A答案：C解析：IPv6压缩规则只允许出现一次“::”，且前导0可省略。A中“::”位置错误，B未压缩，D保留前导0，C完全符合规范。2.（单选）某企业采用OSPF作为IGP，区域边界路由器ABR1向骨干区域注入一条Type-3LSA，其LSAge字段值为3600，则该LSA在骨干区域内的有效时间还剩多少秒？A.0B.1800C.3600D.7200答案：A解析：OSPF规定LSAge=3600s的LSA为“MaxAge”，会被立即老化清除，不再泛洪。3.（单选）在802.11ax中，触发帧（TriggerFrame）主要解决以下哪类问题？A.隐藏节点B.暴露节点C.上下行带宽不对称导致的低效D.认证密钥重放答案：C解析：触发帧由AP统一调度上行OFDMA资源，消除传统Wi-Fi上行竞争冲突，提升效率。4.（单选）某ISP使用BGPEVPN实现数据中心互联，当主机A首次发送ARP请求时，该ARP被封装为哪种BGP路由类型？A.RT-1(EthernetAuto-Discovery)B.RT-2(MAC/IPAdvertisement)C.RT-3(InclusiveMulticast)D.RT-5(IPPrefix)答案：B解析：RT-2用于通告主机MAC+IP绑定，ARP首次请求即触发RT-2生成。5.（单选）在Linux内核中，下列哪条eBPF程序类型可在XDP层之前最早点丢弃攻击包？A.BPF_PROG_TYPE_SOCKET_FILTERB.BPF_PROG_TYPE_KPROBEC.BPF_PROG_TYPE_XDPD.BPF_PROG_TYPE_SCHED_CLS答案：C解析：XDP在网卡驱动最早入口点运行，可整包丢弃，延迟最低。6.（单选）某DNS权威服务器采用Anycast部署，节点A与节点B同时宣告相同/24前缀，当节点A发生部分内存损坏导致权威区文件丢失时，客户端查询会出现何种现象？A.所有查询无响应B.约50%查询得到NXDOMAINC.约50%查询得到SERVFAILD.约50%查询被引流至节点B且正常答案：C解析：Anycast按路由最近优选，节点A虽可达但区文件损坏返回SERVFAIL，节点B正常，客户端因ECMP或路由抖动随机命中。7.（单选）在SegmentRoutingv6中，SID列表[2001:DB8:A::,2001:DB8:B::,End.DT4]中End.DT4表示：A.解封装并查找IPv4VRF表B.解封装并查找IPv6VRF表C.弹出SRH并继续IPv6路由D.将报文导入MPLS隧道答案：A解析：End.DT4为SRv6SID功能码，指示在PE节点解封装后查找IPv4VPN实例。8.（单选）某企业采用零信任架构，使用SPA（SinglePacketAuthorization）技术，下列关于SPA的描述错误的是：A.默认丢弃所有未授权SYNB.数据包需带HMAC与时间戳C.服务端首先完成TCP三次握手再验证SPAD.可防御端口扫描与0-day漏洞利用答案：C解析：SPA在握手前完成验证，通过第一个数据包即决定是否开放端口，C错误。9.（单选）在QUICv1中，当客户端初始包（InitialPacket）的Token字段为空时，服务端必须回复：A.Retry包B.Handshake包C.0-RTT包D.VersionNegotiation包答案：A解析：无Token时服务端为防放大攻击，先回Retry要求客户端携带新生成Token。10.（单选）某数据中心采用VXLANEVPN，当VM迁移后新VTEP需更新ARP抑制表，该更新通过哪类BGPEVPN路由完成？A.RT-1B.RT-2C.RT-3D.RT-4答案：B解析：RT-2通告MAC/IP，触发新VTEP更新本地ARP抑制缓存。11.（单选）在5G核心网中，SMF通过哪条接口向UPF下发QoSProfile？A.N1B.N2C.N3D.N4答案：D解析：N4为SMF-UPF控制面接口，携带PDR、QER等QoS规则。12.（单选）下列关于HTTP/3的QPACK头部压缩说法正确的是：A.动态表由服务端单向更新B.动态表由客户端单向更新C.动态表需通过STREAM帧双向同步D.动态表通过HEADERS帧与QPACK指令流双向同步答案：D解析：QPACK动态表由指令流（单向QUICStream）双向同步，避免HOL阻塞。13.（单选）在IPv4向IPv6过渡中，MAP-T技术使用以下哪一传输层字段作为端口集标识？A.源端口高8位B.源端口低6位C.目的端口高6位D.源IP标识字段答案：B解析：MAP-T通过端口低6位划分端口集，实现IPv4地址共享。14.（单选）某企业出口部署IPS，发现大量TCPSYN包携带MSS=0，该行为最可能的意图是：A.触发远端TCP分片B.绕过基于MSS的签名C.强制对端使用PMTUDD.实现TCP反射放大答案：B解析：MSS=0可使IPS重组逻辑异常，绕过依赖完整TCP选项的检测特征。15.（单选）在DNSSEC验证链中，若父区ZSK被泄露，下列哪项措施可最快恢复信任？A.撤销父区KSKB.发布新的父区ZSK并提高DS记录TTLC.发布新的父区ZSK并同步更新父区DS记录D.子区更换KSK答案：C解析：ZSK泄露只需更换ZSK并更新父区DS，KSK无需变动，C最快。16.（单选）在Kubernetes集群中，CalicoCNI使用BGP将Pod路由通告至TOR，若PodCIDR为/24，TOR路由表出现/26与4/26两条更具体路由，其原因是：A.Calico启用RouteReflectionB.Calico启用IPAMBlockSize=26C.Calico启用BGPASPathprependD.Calico启用Pod安全策略答案：B解析：BlockSize=26将/24拆分为多个/26，提高路由聚合灵活性。17.（单选）在802.1Qbv时隙调度中，某端口配置GateControlList：时隙0开队列0-3，时隙1关所有队列，时隙2开队列4-7，若某帧在时隙1到达且属于队列5，则：A.立即发送B.缓存至时隙2开始瞬间发送C.缓存并在时隙2第一个时隙边界发送D.被丢弃答案：C解析：802.1Qbv严格按GCL开关，帧需等待下一个开门边界。18.（单选）某ISP使用RPKI部署ROA，地址段/24授权AS65000，但AS65001恶意宣告/25，则上游运营商启用RPKI验证后：A.接受/25，因更具体B.拒绝/25，因无匹配ROAC.接受/25，因AS65001路径更短D.拒绝/24，保留/25答案：B解析：RPKI默认拒绝无ROA的更具体路由，/25无对应ROA。19.（单选）在TLS1.3中，若服务端选中x25519密钥交换，则ServerKeyExchange消息被整合至：A.ServerHelloB.EncryptedExtensionsC.CertificateD.CertificateVerify答案：A解析：TLS1.3将密钥交换参数合并到ServerHello扩展字段，取消独立消息。20.（单选）某数据中心采用Spine-Leaf架构，Leaf交换机MAC表容量为32K，现单Leaf下挂服务器平均MAC数为300，若需保证MAC表利用率<70%，则单Leaf最多下挂服务器数为：A.74B.75C.107D.150答案：B解析：32K×70%÷300≈75。21.（多选）下列哪些技术可同时实现链路负载均衡与故障切换，且对CPE透明？A.BGPMultipathB.LACPC.MPLSTEFRRD.VRRPE.SD-WAN动态选路答案：A、B、C、E解析：VRRP为主备，非负载均衡，其余均可。22.（多选）在SR-MPLS中，下列哪些SID属于全局标签范围？A.Prefix-SIDB.Adj-SIDC.Anycast-SIDD.Binding-SIDE.SR-TEPolicy-SID答案：A、C、D解析：Adj-SID为本地链路标签，其余可全局分配。23.（多选）关于HTTP/2ServerPush，下列说法正确的是：A.推送资源需客户端明确许可B.推送流使用偶数流IDC.推送资源可被客户端拒绝D.推送承诺通过PUSH_PROMISE帧发送E.推送资源必须与父请求同源答案：C、D、E解析：Push无需许可，流ID为偶数由服务端分配，A、B错误。24.（多选）下列哪些DHCPv6选项可用于分配IPv6前缀？A.IA_NAB.IA_PDC.IAPDD.IA_TAE.PrefixDelegation答案：B、C、E解析：IA_NA分配单地址，IA_PD与IAPD用于前缀代理。25.（多选）在零信任架构中，持续信任评估引擎可采集哪些数据源？A.EDR告警B.用户行为基线C.物理门禁刷卡记录D.网络流量元数据E.威胁情报IOC答案：A、B、D、E解析：物理门禁非实时网络数据，通常不直接接入。26.（多选）下列关于NVMeoverTCP描述正确的是：A.使用TCP端口4420B.支持HeaderDigest可选校验C.支持多路径通过不同TCP连接D.要求底层网络提供无损以太网E.CapsulePDU用于承载NVMe命令答案：A、B、C、E解析：NVMe/TCP不依赖PFC，D错误。27.（多选）在802.1CB帧复制与消除中，下列哪些序列信息用于消除副本？A.R-TAGSequenceNumberB.MAC地址C.IPID字段D.LANIDE.PRPSequenceNumber答案：A、D解析：802.1CB使用R-TAG与LANID，与PRP无关。28.（多选）下列哪些攻击可被TLS1.3的0-RTT机制放大？A.重放攻击B.中间人降级C.流量分析D.证书篡改E.会话固定答案：A解析：0-RTT数据可被重放，其余与0-RTT无关。29.（多选）在KubernetesNetworkPolicy中，下列哪些选择器可组合使用？A.podSelectorB.namespaceSelectorC.ipBlockD.nodeSelectorE.serviceSelector答案：A、B、C解析：NetworkPolicy仅支持A、B、C三类选择器。30.（多选）下列哪些技术可降低数据中心东西向流量时延？A.TCPBBRB.ECNC.DCTCPD.RDMAoverConvergedEthernetE.VXLANGPE答案：A、C、D解析：ECN需配合DCTCP才显著生效，GPE为封装格式，不直接降时延。31.（填空）在PythonScapy中，发送一个带IPv6路由头类型0的报文并强制指定出口接口为eth1，代码为send(IPv6(dst="2001:db8::1",nh=43)/IPv6ExtHdrRouting(type=0,addresses=["2001:db8::2"])/ICMPv6EchoRequest(),iface="________")答案：eth132.（填空）在CiscoIOSXR中，查看SR-TEPolicy统计的命令为show________traffic-engpolicynamePOLICY1counters答案：segment-routing33.（填空）Linux内核参数dev_max_backlog用于控制________队列长度答案：网卡接收软中断34.（填空）在Wireshark显示过滤器中，筛选TCPSYN包且窗口规模选项值为128，表达式为tcp.flags.syn==1&&tcp.options.wscale.scale==________答案：12835.（填空）在BGPEVPNRT-2路由中，携带主机IP地址的BGP扩展社区类型值为________（十进制）答案：25836.（填空）在802.1Qci单流过滤中，最大可配置GateControlList条目数为________（填数字）答案：6437.（填空）QUIC报文头中，长包头类型字段占________位答案：238.（填空）在IPv6中，用于节点本地所有路由器的组播地址为________答案：ff02::239.（填空）在NVIDIASpectrum交换机中，查看ECMP哈希算法的命令为show________ecmp-hash答案：ingress40.（填空）在DNS响应中，EDNS0客户端子网选项代码为________（十进制）答案：841.（判断）在VXLANOAM中，VXLAN-GBP可以基于安全组标识进行微分段策略下发。（）答案：正确42.（判断）TLS1.3允许在ServerHello之后再次发送ChangeCipherSpec消息以保证中间件兼容性。（）答案：正确43.（判断）在SRv6中，SID长度为128位，因此SRH中SID列表每项占用256位。（）答案：错误解析：每项128位，256位为误。44.（判断）当Kubernetes使用IPVS模式时，kube-proxy不再依赖iptables规则。（）答案：正确45.（判断）在802.1X认证中，EAPOL-Logoff帧用于主动下线，可被伪造导致DoS。（）答案：正确46.（判断）RPKIROA的最大前缀长度字段可大于地址段实际掩码长度。（）答案：错误解析：最大前缀长度必须≥ROA前缀长度。47.（判断）在HTTP/3中，QPACK动态表容量上限由SETTINGS_MAX_TABLE_CAPACITY参数协商，默认值为0。（）答案：正确48.（判断）在BGPFlowspec中，规则优先级由规则顺序决定，与Community值无关。（）答案：错误解析：优先级由规则匹配顺序及内部优先级共同决定，Community可影响。49.（判断）在LinuxTC中，使用fq_codel可自动对TCP与UDP流量进行公平排队。（）答案：正确50.（判断）在NVMeoverFabrics中，Discovery服务必须使用8009TCP端口。（）答案：错误解析：Discovery可自定义端口。51.（简答）描述SRv6网络中End.DT46SID的功能与适用场景。答案：End.DT46SID用于双栈PE节点，当收到SRv6报文时，解封装并根据内层IP版本选择对应VRF表：IPv4走IPv4VRF，IPv6走IPv6VRF，实现单SID同时支持双栈业务，适用于运营商简化边缘配置、减少SID数量的场景。52.（简答）说明DPDK实现内核旁路后，如何保证物理网卡中断与用户态轮询的时钟同步。答案：DPDK使用rte_eth_rx_burst轮询模式关闭中断，通过读取网卡寄存器时间戳、RDTSC指令与内存屏障，结合rte_get_tsc_cycles提供稳定时钟；若需与内核时间同步，可定期读取内核clock_gettime(CLOCK_REALTIME)并计算偏移，利用滑动窗口校准，确保日志、流表超时等与系统时钟一致。53.（简答）阐述零信任架构中“微分段”与“宏分段”的区别及实现技术。答案：宏分段基于网络区域（VLAN、子网、防火墙zone）粗粒度隔离，技术如传统ACL、防火墙策略；微分段以身份、应用、标签为粒度，在主机、容器、进程级强制执行，技术包括SDP、主机防火墙、eBPF、VXLANGBP、NGFW用户身份感知，实现最小权限与动态策略。54.（简答）解释为何TLS1.3取消了RSA密钥传输，并说明其对前向保密的影响。答案：RSA密钥传输无法提供前向保密，一旦私钥泄露，历史流量可被解密；TLS1.3仅支持(D)HE或ECDHE，每次握手生成临时密钥，即使长期私钥泄露也无法回溯，确保前向保密。55.（简答）列举三种可检测QUIC-50版本加密流量的方法，并比较其优缺点。答案：1.基于SNI的TLSClientHello明文提取：简单但TLS1.3加密SNI后失效；2.基于流量特征（包长、突发、端口443UDP）机器学习：无需解密，误报高；3.中间代理终止QUIC并降级至HTTP/2：可审计内容，但破坏端到端安全，需证书信任。56.（综合）某金融公司计划将传统三层网络改造为Spine-Leaf，以支持高频交易，要求单跳时延<500ns、丢包率<10-9，请给出完整技术方案，包括硬件选型、链路层协议、拥塞控制、时钟同步、监控指标。答案：硬件：Leaf选32×100Gbps超低时延交换机（ASIC时延<300ns），Spine选64×400Gbps，光模块采用单模DWDM100GPAM4；链路层：禁用STP，采用MLAG+ECMP，链路层启用802.3bjFEC，关闭流控；拥塞控制：服务器网卡启用RDMAoverConvergedEthernetv2，采用DCQCN算法，交换机启用ECN标记阈值8KB，PFC优先级3仅对RDMA队列开启；时钟同步：采用PTP（IEEE1588-2019）边界时钟，Spine作为GrandmasterBackup，Leaf作为TransparentClock，时间误差<50ns；监控：使用gRPCStreaming导出交换机ASIC丢包计数、队列深度、ECN标记率，Prometheus采集并Alertmanager触发阈值，指标包括：port_tx_drops、port_rx_crc_errors、queue_ecn_mark_rate、ptp_time_error，配合Grafana大屏实时展示，一旦丢包率>10-9立即告警并自动隔离端口。57.（综合）某高校拥有/20IPv4教育网地址，现需向宿舍区学生动态分配/56IPv6前缀，同时保留IPv4，给出地址规划、协议选择、认证计费、安全策略。答案：地址规划：IPv4保留/20，采用NAT44+DHCPv4，每宿舍VLAN分配/24；IPv6申请/32前缀，按宿舍楼划分/40，每房间/56，通过DHCPv6-PD下发；协议：BRAS运行PPPoEIPv4+IPv6双栈，RADIUS返回Framed-IPv6-Prefix属性，启用NDProxy防止伪造RA；认证计费：RADIUS返回Session-Timeout=24h，采用CoA动态下发速率限制，学生账号与MAC、Option82绑定；安全：在BRAS启用RAGuard、DHCPv6Guard、SAVI源地址验证，IPv6防火墙默认拒绝入站，仅放行HTTP/HTTPS/SSH，启用MLDSnooping抑制组播泛洪，出口部署RPKI+ROV防止BGP劫持，日志统一发送至SIEM，保留180天。58.（综合）某云服务商需为租户提供“云防火墙即服务”，要求支持IPv4/IPv6双栈、东西向微分段、性能横向扩展至1Tbps，给出系统架构、数据面实现、控制面协议、高可用设计。答案：架构：采用NFV集群，数据面基于DPDK开发FastPath，每台x86服务器配2×100Gbps，运行vFW实例，通过BGPEVPNType-5引流；微分段：使用OpenStackNeutronGBP，安全组策略转化为eBPF程序，挂载到tcegress，支持L4-L7字段匹配；控制面：SDN控制器通过gNMI下发策略，vFW实例运行FRR作为BGPSpeaker，接收路由与策略，控制器集群采用Raft三节点；高可用：数据面采用AnycastVIP，故障时BGP撤销路由，收敛<500ms，状态同步通过KV-store（etcd）备份会话表，支持WarmRestart；扩展：基于ECMP横向添加vFW节点，控制器自动reba