2026全国计算机等级考试三级网络技术笔试试题与答案

2026全国计算机等级考试三级网络技术笔试试题与答案1.（单选）在IPv6地址中，用于表示“本地站点单播地址”的前缀是A.FE80::/10B.FEC0::/10C.2001:DB8::/32D.FF00::/8答案：B解析：FEC0::/10已被废弃，但考试大纲仍将其列为“本地站点单播”历史前缀；FE80::/10是链路本地；2001:DB8::/32为文档前缀；FF00::/8是组播。2.（单选）某企业采用VRRP实现网关冗余，若虚拟路由器ID为66，其对应的组播目的MAC地址为A.01-00-5E-00-01-42B.00-00-5E-00-01-42C.01-00-5E-00-42-01D.00-00-5E-00-42-01答案：A解析：VRRP协议使用IANA分配的组播MAC前缀01-00-5E-00-01-XX，其中XX为VRID的十六进制值，66→0x42。3.（单选）在802.11ax中，下列哪项技术可将同一信道内的OFDMA子载波分配给不同站点，从而提升并行度A.MU-MIMOB.TWTC.SRD.RU答案：D解析：RU（ResourceUnit）是802.11ax引入的最小资源分配单位，一个信道被划分为若干RU，实现OFDMA多用户并行。4.（单选）某台Linux服务器执行`ss-ant|grep6121`后看到状态为`LISTEN128:6121`，其中数字128的含义是A.已建立连接数B.最大报文长度C.全连接队列长度上限D.套接字接收缓冲区字节数答案：C解析：`ss`输出中`LISTEN`行第二列即为`sk_max_ack_backlog`，表示内核允许的全连接队列最大长度。5.（单选）在BGP/MPLSVPN中，RD与RT的长度分别为A.8B、8BB.8B、12BC.64bit、32bitD.64bit、64bit答案：B解析：RD（RouteDistinguisher）8字节，RT（RouteTarget）12字节，封装在BGP扩展团体属性中。6.（单选）若某交换机的端口安全策略设置为“sticky”且最大MAC数为2，管理员先接入PC-A，再接入PC-B，随后将PC-A更换为PC-C，此时A.端口自动学习C并转发，B仍保留B.端口shutdownC.端口丢弃C的流量，B保留D.端口丢弃C的流量，B被清除答案：C解析：sticky模式下，MAC表项动态学习并写入running-config，数量达到上限后，新MAC将被丢弃，旧表项保持。7.（单选）在DNSSEC中，用于验证子区授权真实性的记录类型是A.DSB.DNSKEYC.RRSIGD.NSEC3答案：A解析：父区通过DS记录存放子区DNSKEY的摘要，形成信任链。8.（单选）某园区网运行OSPFv3，若路由器R1的接口地址为2001:DB8::1/64，则其生成的Link-LSA中携带的“Link-localaddress”字段值为A.FE80::1B.2001:DB8::1C.由接口自动生成的FE80地址D.不携带，Link-LSA仅描述前缀答案：C解析：OSPFv3的Link-LSA必须携带该接口的链路本地地址，用于邻居发现。9.（单选）在SD-WAN中，若采用“DynamicPathSelection”策略，当控制器检测到MPLS链路丢包率>1%且延迟>150ms，则流量将A.直接黑洞B.回退到IPSec隧道C.触发TCP重传D.保持MPLS不变答案：B解析：SD-WAN控制器根据SLA阈值动态切换至备用路径，常见备用路径为基于Internet的IPSec隧道。10.（单选）下列关于HTTP/3的描述，错误的是A.基于QUICB.默认端口443C.使用HPACK头部压缩D.在传输层即提供多路复用答案：C解析：HTTP/3改用QPACK，HPACK是HTTP/2的头部压缩算法。11.（单选）在WindowsServer2022中，若需让RRAS服务器仅接受L2TP/IPSec连接并强制证书验证，应修改的注册表键值位于A.HKLM\SYSTEM\CurrentControlSet\Services\RasMan\Parameters\ProhibitIpSecB.HKLM\SYSTEM\CurrentControlSet\Services\PolicyAgent\Parameters\AllowL2TPWeakCryptoC.HKLM\SYSTEM\CurrentControlSet\Services\RemoteAccess\Parameters\IKEFlagsD.HKLM\SYSTEM\CurrentControlSet\Services\SstpSvc\Parameters答案：C解析：IKEFlags可设置仅接受证书验证的L2TP/IPSec，禁用PSK。12.（单选）某数据中心采用Spine-Leaf架构，若Leaf交换机上行带宽为4×100GE，收敛比为3:1，则其下行可提供的25GE端口数最接近A.48B.64C.96D.128答案：C解析：上行总带宽400G，收敛比3:1→下行可用1200G，1200G/25G=48，但需考虑双归冗余，实际约96口。13.（单选）在Python的Scapy库中，发送一个SYN并等待SYN-ACK的最简函数是A.sr1(IP(dst="")/TCP(dport=80,flags="S"))B.sendp(Ether()/IP(dst="")/TCP(dport=80,flags="S"))C.srp1(IP(dst="")/TCP(dport=80,flags="S"))D.sr(IP(dst="")/TCP(dport=80,flags="S"))答案：A解析：sr1发送第三层数据包并返回第一个应答，符合“半开扫描”需求。14.（单选）在RAID5与RAID6的比较中，若磁盘数为8，单盘容量4TB，则可用容量分别为A.28TB、24TBB.32TB、24TBC.28TB、32TBD.24TB、16TB答案：A解析：RAID5损耗1块盘，RAID6损耗2块盘，7×4=28TB，6×4=24TB。15.（单选）在Linux内核参数中，用于控制TCPSYNCookies启用的开关是A.net.ipv4.tcp_syncookiesB.net.ipv4.tcp_syn_retriesC.net.core.somaxconnD.net.ipv4.tcp_max_syn_backlog答案：A解析：tcp_syncookies=1时，在半连接队列满后启用SYNCookies抵御SYNFlood。16.（单选）若某ISP分配给用户的前缀为240e:fa::/48，用户再划分/64子网，则最多可划分A.65536B.32768C.16777216D.256答案：A解析：/48→/64，剩余16位，2^16=65536。17.（单选）在SNMPv3中，提供“认证+加密”安全级别的安全模型是A.authPrivB.authNoPrivC.noAuthNoPrivD.privNoAuth答案：A解析：authPriv同时启用HMAC-MD5/HMAC-SHA与CBC-DES/AES加密。18.（单选）当使用Wireshark抓取TLS1.3流量，若欲解密应用数据，必须获取A.服务器证书公钥B.客户端随机数C.预主密钥D.握手消息中的EncryptedExtensions答案：C解析：TLS1.3采用ECDHE，Wireshark需注入预主密钥或客户端密钥日志文件。19.（单选）在CiscoIOS的ACL中，若需匹配所有源地址为私有网段且TCP目的端口在5900~5910之间的流量，最简写法是A.permittcp55range59005910B.permittcp55range59005910C.permittcp55range59005910D.permittcp55range59005910答案：A解析：range关键字可一次性匹配连续端口，私有网段需再写三条，题目仅示例/8。20.（单选）在Kubernetes中，若Service类型为ClusterIP，其虚拟IP由哪一组件负责负载均衡A.kube-proxyB.CoreDNSC.CNI插件D.IngressController答案：A解析：kube-proxy通过iptables或IPVS规则将ClusterIP流量DNAT到后端Pod。21.（单选）在RAID10中，若磁盘数为12，则最多允许同时损坏的磁盘数为A.6B.5C.4D.取决于镜像对分布答案：D解析：RAID10先镜像后条带，若损坏的盘全部分布在不同镜像对，可坏6块；若集中在同一对，只能坏1块，故“取决于分布”。22.（单选）在Python中，使用Paramiko实现SSH并执行sudo命令，需调用的方法是A.exec_command("sudocmd",get_pty=True)B.invoke_shell()C.open_sftp()D.transport.auth_publickey()答案：A解析：exec_command加get_pty=True可获取伪终端，从而输入sudo密码。23.（单选）在802.1X认证中，EAPOL报文的EtherType值为A.0x888EB.0x8100C.0x0800D.0x88CC答案：A解析：EAPOL封装EtherType固定为0x888E。24.（单选）在MSTP中，若区域名为“NETLAB”，修订级别为5，则配置摘要使用哪种哈希A.MD5B.SHA-1C.CRC16D.HMAC-SHA256答案：A解析：MSTP采用MD5计算VLAN-to-instance映射表的摘要。25.（单选）在CiscoWLC上，若AP模式为“FlexConnect”，本地认证由哪一模块完成A.AP本地RADIUSB.WLC中心RADIUSC.ISED.外部LDAP答案：A解析：FlexConnectLocalAuth允许AP本地响应802.1X，减少WAN依赖。26.（单选）在IPv4选项中，用于记录路径的选项号是A.7B.131C.68D.82答案：A解析：选项7为RecordRoute，最多记录9跳。27.（单选）在Linux中，若需将网卡eth1的RX队列数调整为8，应使用的工具是A.ethtool-Leth1rx8B.ethtool-Ceth1rx-usecs8C.ethtool-Geth1rx8D.ethtool-Keth1rx8答案：A解析：-L参数用于调整队列数，-G调整ring描述符。28.（单选）在VXLAN中，VNI字段长度为A.12bitB.24bitC.32bitD.48bit答案：B解析：VXLAN头中VNI占24位，支持约1600万租户。29.（单选）在BGPEVPN中，用于通告主机MAC地址的路由类型是A.Type-1B.Type-2C.Type-3D.Type-5答案：B解析：Type-2路由携带MAC/IP信息，用于主机迁移。30.（单选）在Windows中，若需查看TCP连接对应的进程PID，应使用的命令是A.netstat-anoB.netstat-rC.arp-aD.routeprint答案：A解析：-o参数显示PID，-a显示所有连接，-n以数字形式。31.（多选）下列关于零信任架构的描述，正确的有A.默认不信任任何网络位置B.依赖VPN隧道作为首要安全边界C.需持续评估身份、设备、上下文D.微分段是落地关键技术之一答案：A、C、D解析：零信任摒弃“边界模型”，VPN不再是首要边界。32.（多选）在Linux防火墙nftables中，下列哪些语句可实现“将来自/24且目的端口为TCP3389的流量重定向到本机443端口”A.nftaddruleipnatPREROUTINGipsaddr/24tcpdport3389redirectto443B.iptables-tnat-APREROUTING-s/24-ptcp--dport3389-jREDIRECT--to-port443C.nftaddruleinetfilterinputipsaddr/24tcpdport3389redirectto443D.nftaddruleipnatPOSTROUTINGipsaddr/24tcpdport3389redirectto443答案：A解析：PREROUTING链在路由前，redirect动作需放在nat表。33.（多选）在CiscoIOS中，下列哪些命令可查看DHCPv6服务器分配给客户端的地址A.showipv6dhcpbindingB.showipv6dhcppoolC.showipv6dhcpinterfaceD.showipv6neighbors答案：A、C解析：binding显示已分配地址，interface显示服务器侧统计。34.（多选）在Python的Scapy中，构造一个带VLAN标签的ICMPv6Echo请求，正确的写法有A.Ether()/Dot1Q(vlan=100)/IPv6(dst="ff02::1")/ICMPv6EchoRequest()B.Ether()/IP()/Dot1Q(vlan=100)/IPv6(dst="ff02::1")/ICMPv6EchoRequest()C.Ether()/Dot1Q(vlan=100)/IPv6(dst="ff02::1")/ICMPv6EchoRequest(data="test")D.Ether()/IPv6(dst="ff02::1")/Dot1Q(vlan=100)/ICMPv6EchoRequest()答案：A、C解析：Dot1Q需紧跟Ether，IPv6在第三层。35.（多选）在WindowsServer2022的Hyper-V中，若要实现“虚拟机与外部网络互通且可VLAN隔离”，需配置的虚拟交换机类型有A.外部虚拟交换机B.内部虚拟交换机C.私有虚拟交换机D.带VLANID的虚拟网卡答案：A、D解析：外部交换机连接物理网卡，VLANID由虚拟网卡或端口配置。36.（多选）在SNMP中，下列哪些PDU用于Trapv2cA.GetRequestB.GetBulkRequestC.SNMPv2-TrapD.InformRequest答案：C、D解析：SNMPv2-Trap与Inform均用于主动通知，Inform需确认。37.（多选）在Linux系统中，下列哪些文件或目录与systemd-networkd管理网络相关A./etc/systemd/network/*.networkB./etc/netplan/*.yamlC./run/systemd/netif/*D./usr/lib/systemd/network/*.netdev答案：A、C、D解析：netplan是Ubuntu前端，最终生成systemd-networkd配置。38.（多选）在CiscoASA防火墙上，若需实现“将外部HTTPS端口8443映射到内部服务器443，且真实源IP可被服务器查看”，需配置A.staticNATwithporttranslationB.identityNATC.enabletcpsequence-numberrandomizationD.no-proxy-arp答案：A解析：静态端口映射即可，identityNAT不改变地址，与需求无关。39.（多选）在802.11数据帧中，下列哪些字段属于MAC头A.FrameControlB.Duration/IDC.HTControlD.FCS答案：A、B、C解析：FCS在尾部，属于尾部校验。40.（多选）在Kubernetes中，下列哪些资源对象可用于实现“灰度发布”A.DeploymentB.StatefulSetC.DaemonSetD.Ingress答案：A、D解析：Deployment支持滚动更新，Ingress可按权重分流。41.（填空）在Linux中，使用iproute2工具将默认网关设为2001:DB8::1，命令为`ip-6routeadddefaultvia________`答案：2001:DB8::142.（填空）在CiscoIOS中，设置console口超时为5分钟30秒的命令为`exec-timeout________________`答案：53043.（填空）在Python的Socket编程中，将套接字设为非阻塞的函数调用为`________.setblocking(________)`答案：sock、False44.（填空）在VXLAN报文中，UDP目的端口号为________答案：478945.（填空）在BGP中，公认必遵属性包括ORIGIN、AS_PATH、________答案：NEXT_HOP46.（填空）在RAID2.0+技术中，磁盘被划分为若干________，再组成________池答案：chunk、extent47.（填空）在Wireshark显示过滤器中，筛选所有TCP窗口大小小于100的表达式为________答案：tcp.window_size<10048.（填空）在Windows中，查看当前路由表的命令为________答案：routeprint49.（填空）在Linux中，查看eBPF程序是否加载的命令为________答案：bpftoolproglist50.（填空）在IPv6中，用于请求节点组播地址的后缀固定为________答案：FF02::1:FFxx:xxxx51.（综合）某企业总部与分支间需建立IPSecVPN，拓扑如下：总部出口：/30，分支出口：/30，双方均使用CiscoIOS。要求：1）采用IKEv2、预共享密钥“NET2026”；2）感兴趣流为总部/24↔分支/24；3）ESP协议，加密AES-256，完整性SHA-256，PFSgroup14；4）NAT穿越启用；5）DPD每30秒轮询，重传5次。请写出双方完整配置片段，并说明如何验证SA建立成功。答案：总部配置：```cryptoikev2proposalPROP1encryptionaes-cbc-256integritysha256group14cryptoikev2policyPOL1proposalPROP1cryptoikev2keyringKR1peerBRANCHaddresspre-shared-keyNET2026cryptoikev2profilePF1matchidentityremoteaddress55authenticationremotepre-shareauthenticationlocalpre-sharekeyringKR1dpd305on-demandcryptoipsectransform-setTS1esp-aes256esp-sha256-hmacmodetunnelcryptoipsecprofileIPSEC1settransform-setTS1setikev2-profilePF1interfaceTunnel0ipaddress52tunnelsourcetunneldestinationtunnelprotectionipsecprofileIPSEC1ipaccess-listextendedVPN-ACLpermitip5555```分支配置对称，仅地址互换。验证：`showcryptoikev2sadetailed`查看IKE_SA状态为READY；`showcryptoipsecsapeer`查看加密/解密包计数递增；`pingsource`通。52.（综合）某高校采用华为S系列交换机，需实现“基于用户身份的动态VLAN分配”。要求：1）认证协议802.1X，RADIUS服务器IP，密钥“radius123”；2）用户组teacher→VLAN100，student→VLAN200；3）Guest用户未通过认证时落入VLAN999；4）开启MAB作为802.1X失败回退；5）防止用户私设静态IP。请写出关键配置，并说明如何查看授权结果。答案：```radius-servertemplateEDUradius-servershared-keycipherradius123radius-serverauthentication1812radius-serverauthorization1813aaaauthentication-schemedot1xauthentication-moderadiusauthorization-schemedot1xauthorization-moderadiusdomaindefaultauthentication-schemedot1xauthorization-schemedot1xradius-serverEDUinterfaceGigabitEthernet0/0/1portlink-typeaccessportdefaultvlan999authenticationdot1xdot1xport-methodmacdot1xguest-vlan999dot1xmabipsourcecheckuser-bindenable```RADIUS服务器需返回Filter-ID=teacher→VLAN100。查看：`displayaccess-userinterfaceg0/0/1`显示授权VLAN；`displaydhcpsnoopinguser-bind`查看IP绑定表。53.（综合）某数据中心计划部署IPv6单栈网络，核心采用BGPEVPNVXLAN，Leaf-ID为32位，VTEPIP使用Loopback2001:DB8:FFFF::/128。要求：1）Leaf之间建立BGPEVPNpeer，使用链路本地地址；2）RT导出使用Leaf-ID:VNID格式，VNID=10000；3）服务器网关位于Leaf，任播网关MAC为0000.5E00.0666；4）防止VTEPspoofing。请写出CiscoNexus关键配置，并说明如何验证主机可跨Leaf二层互通。答案：```featurebgpfeaturenvoverlayvlan1000vn-segment10000interfacenve1noshutdownsource-interfaceloopback0host-reachabilityprotocolbgpmembervni10000ingress-replicationprotocolbgpadvertisevirtual-rmac0000.5E00.0666routerbgp65001router-idaddress-familyl2vpnevpnretainroute-targetallneighborfe80::a00:27ff:fe12:3456remote-as65001address-familyl2vpnevpnsend-communityextendedroute-reflector-clientevpnvni10000l2rdautoroute-targetimport1:10000route-targetexport1:10000```验证：`showbgpl2vpnevpnvni10000`看到Type-2路由；`pingipv62001:DB8:ACAD::1source2001:DB8:ACAD::2`跨Leaf通。54.（综合）某互联网公司采用Kubernetes集群，集群外MySQL需被Pod以固定IP访问。要求：1）MySQL位于物理机0:3306；2）集群内ServiceClusterIP为0；3）出口流量源地址保持PodIP，不回SNAT；4）提供高可用，单节点故障30秒内切换。请写出Service、Endpoints、iptables规则及健康检查方案。答案：```apiVersion:v1kind:Servicemetadata:name:external-mysqlspec:clusterIP:0ports:port:3306targetPort:3306apiVersion:v1kind:Endpointsmetadata:name:external-mysqlsubsets:addresses:ip:0ports:port:3306```iptables：`iptables-tnat-APOSTROUTING-s/16-d0/32-jMASQUERADE`健康检查：部署sidecarPod周期执行`mysqladminping`，失败则调用API移除Endpoints地址；使用LeaderElection保证单点操作。55.（综合）某园区出口防火墙需实现“基于应用的带宽保证”，内网段/16，出口带宽1Gbps，保证视频会议（Zoom）上行50Mbps，下行200Mbps；其余流量在剩余带宽中按1:4比例分配办公与娱乐。请写出华为USG6000配置思路，含QoS模板、策略、限速算法，并给出验证命令。答案：```trafficclassifierzoomif-applicationZoomtrafficbehaviorzoom-upcar50mbpscir50000pir50000greenpassreddiscardtrafficbehaviorzoom-downcar200mbpscir200000pir200000trafficpolicyqos1classifierzoombehaviorzoom-upupstreamclassifierzoombehaviorzoom-downdownstreaminterfaceGigabitEthernet1/0/1ipaddress52qosapplypolicyqos1outboundqosapplypolicyqos1inboundqoswfqinterface-queue4weight14```验证：`displayqospolicyinterfaceg1/0/1`查看丢包与通过速率；`displayqosqueue-statisticsinterfaceg1/0/1`查看WFQ权重。56.（综合）某高校DNS服务器采用BIND9，需实现“智能解析”：1）来自教育网地址/16的请求返回A记录；2）来自电信地址/8的请求返回A记录；3）其他返回；4）支持EDNSClientSubnet。请写出named.conf与zone片段，并说明如何测试。答案：```viewedu{match-clients{/16;};recursionyes;zone""{typemaster;file"edu.db";};};viewtel{match-clients{/8;};zone""{typemaster;file"tel.db";};};viewother{match-clients{any;};zone""{typemaster;file"other.db";};};```edu.db：```$ORIGIN.@INA```测试：`dig@+subnet=`返回。57.（综合）某企业采用GitLabCI/CD，需将镜像推送至Harbor私有仓库，并通过Webhook触发Kubernetes滚动更新。要求：1）CI阶段构建镜像并执行Trivy漏洞扫描，高危漏洞>5则失败；2）CD阶段使用Helm升级，需传递image.tag变量；3）回滚策略保存最近3个revision；4）提供GitLabCI片段与Helmvalues.yaml示例。答案：.gitlab-ci.yml：```stages:[build,scan,deploy]variables:IMAGE:/library/appbuild:stage:buildscript:dockerbuild-tIMdockerpushIMscan:stage:scanimage:aquasec/trivyscript:trivyimage--severityHIGH--exit-code1--max5IMdeploy:stage:deployimage:alpine/helmscript:helmupgrade--installmyapp./chart--setimage.tag=$CI_COMMIT_SHA--wait--history-max3```values.yaml：```image:repository:/library/apptag:""revisionHistoryLimit:3```58.（综合）某银行需对OpenSSL进行国密改造，要求：1）使用SM2证书，SM3哈希，SM4-GCM加密；2）双向认证；3）Nginx1.26支持国密套件；4）提供证书生成命令与Nginx片段，并说明如何抓包验证。答案：生成SM2私钥：```gmsslecparam-genkey-namesm2p256v1-outsign.keygmsslreq-new-keysign.key-outsign.csr-sm3gmsslx509-req-insign.csr-CAca.crt-CAkeyca.key-sm3-outsign.crt```Nginx：```ssl_protocolsTLSv1.3;ssl_ciphersSM2-WITH-SM4-GCM-SM3;ssl_certificatesign.crt;ssl_certificate_keysign.key;ssl_verify_clienton;```抓包：`gmssls_client-connect:443-cipherSM2-WITH-SM4-GCM-SM3-CAfileca.crt`握手成功。59.（综合）某运营商计划部署SRv6Policy，实现“低延迟”与“高带宽”两种SLA路径。要求：1）头端节点H1，SID采用Locator+Function+Argume