2026年网络工程师考试网络设备管理与安全防护题集

2026年网络工程师考试网络设备管理与安全防护题集一、单选题（共5题，每题2分）1.在配置交换机时，若需要限制某一端口的最大连接设备数量，应使用以下哪种技术？A.VLANTrunkingB.PortSecurityC.SpanningTreeProtocolD.LinkAggregation2.某企业网络中，交换机端口1、2、3分别连接了三台PC，但只有端口1的PC能正常通信。排查时发现端口2和3设置了MAC地址过滤，且过滤列表中未包含其他两台PC的MAC地址。此时应采取哪种措施解决端口2和3的通信问题？A.修改交换机VLAN配置B.禁用端口2和3的PortSecurity功能C.在核心交换机上配置ACLD.重启交换机3.在配置防火墙时，若需要允许内部网络用户访问外部Web服务器（HTTP端口80），但禁止访问其他所有服务，应使用以下哪种防火墙策略？A.允许所有TCP流量B.允许HTTP（TCP端口80）流量，拒绝其他所有TCP流量C.允许所有UDP流量D.仅允许HTTPS（TCP端口443）流量4.某公司网络中部署了思科Catalyst2960交换机，若需要监控某一端口的流量异常（如DDoS攻击），应使用以下哪种工具？A.NetFlowB.PortMirroringC.STPD.QoSPriority5.在配置VPN时，若需要在远程访问场景下实现双向加密，应选择以下哪种协议？A.IPsecB.SSLVPNC.L2TPD.PPTP二、多选题（共5题，每题3分）1.在配置交换机时，以下哪些措施有助于提高网络安全性？A.启用端口安全功能B.配置静态VLANC.禁用自动MDI/MDI-X转换D.使用动态VLAN分配2.在配置防火墙时，以下哪些策略有助于防止端口扫描攻击？A.限制扫描频率的速率限制（RateLimiting）B.配置静态NATC.启用入侵检测系统（IDS）D.阻止所有未知端口号的入站流量3.在配置路由器时，若需要实现多路径负载均衡，应使用以下哪些协议？A.OSPFB.BGPC.EIGRPD.RIP4.在配置无线网络时，以下哪些措施有助于提高安全性？A.启用WPA3加密B.配置MAC地址过滤C.使用隐藏SSIDD.限制最大连接数5.在配置VPN时，以下哪些协议支持站点到站点的加密连接？A.IPsecB.SSLVPNC.L2TPD.GREoverIPsec三、判断题（共5题，每题2分）1.在配置交换机时，启用PortSecurity功能会导致端口性能下降。（正确/错误）2.防火墙的ACL规则通常采用“先入先出”原则。（正确/错误）3.在配置VPN时，IPsec协议默认使用AES-256加密算法。（正确/错误）4.交换机的STP协议默认优先级为128。（正确/错误）5.无线网络中使用WEP加密已被认为是不安全的。（正确/错误）四、简答题（共3题，每题5分）1.简述交换机PortSecurity功能的工作原理及其作用。2.简述防火墙ACL规则的基本配置步骤。3.简述配置VPN时需要考虑的关键参数及其作用。五、综合题（共2题，每题10分）1.某企业网络中部署了思科Catalyst3750交换机，交换机端口1连接到防火墙，端口2-4分别连接到三个部门PC。现要求：-端口2-4仅允许各自部门PC的MAC地址访问，禁止其他设备接入。-端口1仅允许HTTP（TCP端口80）和HTTPS（TCP端口443）流量通过。请简述配置步骤。2.某公司需要部署VPN实现总部与分支机构的加密连接，现要求：-总部和分支机构均部署了思科ISR路由器，使用IPsec协议。-需要实现双向加密，且流量通过GRE隧道传输。请简述配置步骤。答案与解析一、单选题1.B-解析：PortSecurity功能用于限制端口的最大连接设备数量，通过MAC地址过滤防止非法设备接入。其他选项均与端口安全无关。2.B-解析：端口2和3设置了MAC地址过滤，需将其他两台PC的MAC地址添加到过滤列表中，禁用PortSecurity可临时解决但非最佳方案。3.B-解析：仅允许HTTP（TCP端口80）流量，拒绝其他所有TCP流量，可精确控制访问权限。4.A-解析：NetFlow可用于监控端口流量异常，如DDoS攻击；PortMirroring用于镜像流量分析，STP用于链路冗余，QoS用于流量优先级。5.A-解析：IPsec适用于远程访问和站点到站点的加密，SSLVPN主要用于Web访问，L2TP和PPTP安全性较低。二、多选题1.A,B,C-解析：PortSecurity限制非法设备接入，静态VLAN减少广播域，禁用自动MDI/MDI-X防止线缆问题；动态VLAN增加管理复杂性。2.A,C,D-解析：速率限制可防扫描，IDS可检测攻击，阻止未知端口可减少扫描面；静态NAT与端口扫描无关。3.A,B,C-解析：OSPF、BGP、EIGRP支持多路径负载均衡；RIP仅支持单路径。4.A,B,D-解析：WPA3加密安全，MAC过滤限制接入，限制连接数防攻击；隐藏SSID可增加隐蔽性，但需结合其他措施。5.A,D-解析：IPsec支持站点到站点，GREoverIPsec可传输IPsec流量；SSLVPN和L2TP主要用于远程访问。三、判断题1.正确-解析：PortSecurity需存储MAC地址，增加CPU负担，导致性能下降。2.错误-解析：ACL规则采用“最长匹配”原则，而非“先入先出”。3.正确-解析：IPsec默认使用AES-256加密，但可配置其他算法。4.错误-解析：交换机STP默认优先级为32768，非128。5.正确-解析：WEP已被破解，不安全；WPA/WPA2/WPA3更推荐。四、简答题1.交换机PortSecurity工作原理及其作用-原理：通过MAC地址绑定到端口，限制端口的最大连接设备数量（如1个）。当超过限制时，可拒绝新设备接入或进入保护模式。-作用：防止ARP欺骗、MAC泛洪攻击，提高端口安全性。2.防火墙ACL规则配置步骤-步骤：1.定义ACL编号（如100）和名称（如“Allow_HTTP”）。2.配置规则（如“permitipanyanyeq80”）。3.将ACL应用到接口（如“access-group100in”）。3.VPN配置关键参数及其作用-参数：-加密算法（如AES-256）：保障数据机密性。-身份验证（如预共享密钥/证书）：验证对端身份。-NAT穿越（如NAT-T）：解决NAT环境下的VPN问题。-隧道协议（如IPsec/L2TP）：传输加密流量。五、综合题1.交换机配置步骤端口2-4配置PortSecurityinterfaceGigabitEthernet0/2switchportmodeaccessswitchportaccessvlan10switchportport-securitymaximum1switchportport-securitymac-address00:1A:2B:3C:4D:5EnoshutdowninterfaceGigabitEthernet0/3switchportmodeaccessswitchportaccessvlan20switchportport-securitymaximum1switchportport-securitymac-address00:1A:2C:3D:4E:5FnoshutdowninterfaceGigabitEthernet0/4switchportmodeaccessswitchportaccessvlan30switchportport-securitymaximum1switchportport-securitymac-address00:1A:2E:3F:4F:60noshutdown端口1配置ACLaccess-list101permittcpanyanyeq80access-list101permittcpanyanyeq443interfaceGigabitEthernet0/1ipaccess-group101innoshutdown2.VPN配置步骤总部配置interfaceTunnel0ipaddress52tunnelsourceGigabitEthernet0/0tunneldestinationtunnelmodeipsecipv4isakmpkey12345addressipsectransform-setMYSETesp-aes256esp-hmacsha256ipsecprofileMYPROFILEsetsecurity-associationlifetimeseconds3600setsecurity-associationlifetimebytes500000000tunnelipsecprofileMYPROFILEnoshutdown分支机构配置interfaceTunnel0ipaddress52tunnelsourceGigabitEthernet0/0tunneldestinationtunnelmodeipsecipv4isakmpkey12345addressipsectransform-setMYSETesp-a