2026年计算机网络工程师能力综合考核试题及答案

2026年计算机网络工程师能力综合考核试题及答案一、单项选择题（每题2分，共30分）1.在IPv6中，用于本地链路通信的地址前缀是A.FE80::/10  B.FC00::/7  C.2001::/32  D.::1/128答案：A解析：FE80::/10是IPv6本地链路地址的固定前缀，用于同一二层网段内的邻居发现与无路由器通信。2.某企业采用VXLAN构建Overlay网络，其VNI长度为24bit，理论上可支持的最大租户数量为A.4096  B.65536  C.16777216  D.1048576答案：C解析：24bit可表示2²⁴=16777216个独立VXLAN段，每个段对应一个租户或业务切片。3.在Linux内核5.15中，eBPF程序类型中用于替代iptables处理容器南北向流量的是A.BPF_PROG_TYPE_KPROBE  B.BPF_PROG_TYPE_SCHED_CLSC.BPF_PROG_TYPE_XDP  D.BPF_PROG_TYPE_CGROUP_SKB答案：D解析：CGROUP_SKB挂载于cgroupv2层次，可对容器veth接口进出报文做无锁过滤，性能优于iptables。4.某数据中心采用BGPEVPN做分布式网关，当VM迁移后原Leaf未及时清除ARP缓存，最可能触发的故障是A.路由环路  B.黑洞MAC  C.重复地址检测失败  D.远端VTEP不可达答案：B解析：EVPN通过BGP同步MAC表，若旧Leaf保留过期条目，流量将被错误封装到已迁移主机，形成黑洞。5.QUIC协议首次将TLS1.3握手嵌入传输层，其默认的加密算法套件为A.AES-256-GCMSHA384  B.ChaCha20-Poly1305C.AES-128-CTRHMAC-SHA256  D.ARIA-256-GCM答案：B解析：QUICv1强制支持ChaCha20-Poly1305，兼顾移动CPU无AES-NI场景下的性能与安全性。6.在802.11ax中，OFDMA子载波间隔为A.312.5kHz  B.78.125kHz  C.25kHz  D.7.8125kHz答案：B解析：802.11ax将子载波间隔缩小4倍至78.125kHz，提高频谱利用率并降低时延。7.某SD-WAN控制器采用PCEP集中算路，当边缘路由器上报链路延迟>200ms时，控制器下发的新路径约束条件是A.延迟<150ms  B.丢包<0.1%  C.带宽>1Gbps  D.跳数<5答案：A解析：PCEP支持基于TE-metric的约束算路，延迟超标触发重新优化，优先满足SLA延迟阈值。8.在Kubernetesv1.28中，ServiceMesh使用eBPF实现sidecar-less模式，其关键数据结构是A.sock_hash  B.bloom_filter  C.radix_tree  D.red-blacktree答案：A解析：sock_hash映射将套接字五元组与策略规则绑定，实现内核级流量治理，无需Envoysidecar。9.某园区网部署802.1X认证，采用EAP-TLS，客户端证书校验失败时，交换机端口状态将变为A.authorized  B.unauthorized  C.auto  D.security-violation答案：B解析：EAP-TLS依赖双向证书，校验失败RADIUS返回Access-Reject，端口保持unauthorized，流量被丢弃。10.在DNSSEC验证链中，DS记录存放于A.子区权威服务器  B.父区权威服务器  C.递归解析器缓存  D.根hints文件答案：B解析：DS记录由父区签发，用于验证子区KSK，形成信任锚链。11.某云厂商使用SmartNIC卸载OVS，其流表查找采用的内存技术为A.DDR5  B.HBM3  C.TCAM  D.Optane答案：C解析：TCAM在纳秒级完成掩码匹配，适合SmartNIC做线速流表查找。12.在HTTP/3中，拥塞控制算法默认使用A.CUBIC  B.BBRv2  C.Reno  D.DCTCP答案：B解析：HTTP/3基于QUICUDP，内核不可见，用户态默认BBRv2，兼顾带宽与时延。13.某企业内网采用零信任架构，设备身份标识最安全的载体是A.IP地址  B.MAC地址  C.TPM签名的设备证书  D.用户名口令答案：C解析：TPM提供硬件级私钥防护，防克隆，满足零信任“设备不可信”原则。14.在Pythonasyncio中，若事件循环未捕获异常导致协程崩溃，默认行为是A.静默忽略  B.打印Traceback并停止循环  C.重启协程  D.发送SIGTERM答案：B解析：asyncio默认异常处理器将错误日志输出到标准错误并终止循环，需自定义exception_handler。15.某存储网络采用NVMe-oFRoCEv2，其流量类别映射到DSCP值应为A.22  B.26  C.34  D.46答案：D解析：RoCEv2建议DSCP46（EF），保证低延迟、低丢包，避免ECN拥塞。二、多项选择题（每题3分，共30分）16.以下哪些技术组合可实现数据中心三层网络虚拟化（多选）A.VXLAN+BGPEVPN  B.NVGRE+OSPF  C.STT+IS-IS  D.Geneve+BGPEVPN答案：A、D解析：VXLAN/Geneve均支持EVPN控制面，实现MAC/IP路由分发；NVGRE/STT缺乏大规模控制面支持。17.关于SRv6Policy，正确的有（多选）A.SID列表封装在IPv6扩展报头  B.支持严格显式路径  C.可绑定Color社区  D.依赖LDP分发标签答案：A、B、C解析：SRv6使用SegmentRoutingHeader，无需LDP，通过BGPColor扩展匹配流量工程意图。18.以下哪些攻击可被eBPF-basedIDS实时阻断（多选）A.SYNFlood  B.DNS隧道  C.SQL注入  D.勒索软件横向移动答案：A、B、C、D解析：eBPF可在内核态解析报文内容，结合AI模型匹配特征，实现微秒级丢包或RST。19.在Linux容器网络中，以下哪些属于namespace隔离的资源（多选）A.net  B.pid  C.mnt  D.time答案：A、B、C解析：timenamespace自内核5.6引入，但默认docker未启用，常规场景仍关注net、pid、mnt。20.关于Wi-Fi7（802.11be）的新特性，正确的有（多选）A.320MHz信道  B.4096-QAM  C.Multi-LinkOperation  D.UORA答案：A、B、C解析：UORA为802.11ax引入，Wi-Fi7继续沿用，但核心创新为MLO与更高阶调制。21.以下哪些协议支持带内网络遥测（INT）（多选）A.P4Runtime  B.gNMI  C.INToverUDP  D.IOAM答案：A、C、D解析：gNMI为拉式遥测，不带内；INT/IOAM随数据面携带元数据，实现逐跳延迟测量。22.在零信任访问控制中，动态信任评估可依赖的信号有（多选）A.设备健康度  B.用户行为基线  C.网络位置  D.外部威胁情报答案：A、B、D解析：零信任弱化网络位置，强调身份、上下文、风险，位置仅作辅助。23.以下哪些工具可直接解析pcapng文件并生成可视化时序图（多选）A.Wireshark  B.Tshark  C.Brim  D.Zeek答案：A、C解析：Brim基于Zeek日志但提供GUI时序；Tshark/Zeek需二次绘图。24.关于RDMAoverConvergedEthernet（RoCE），正确的有（多选）A.需启用PFC  B.支持ECN  C.依赖TCP  D.可跨路由答案：A、B、D解析：RoCEv2基于UDP，可路由；PFC+ECN保证无损与拥塞控制。25.在PythonScapy中，以下哪些方法可发送并接收三层报文（多选）A.sendp  B.sr  C.sr1  D.srp答案：B、C解析：sr/sr1工作在三层；sendp/srp工作在二层。三、判断题（每题1分，共10分）26.在BGP最佳路径选择中，MED属性仅在同一相邻AS内比较。答案：√解析：BGP规定MED跨AS不比较，除非开启always-compare-med。27.802.1Qbh标准定义了VMwarevSPT技术，用于解决MAC地址表溢出。答案：×解析：802.1Qbh为PortExtender，vSPT为私有方案，非IEEE标准。28.在QUIC中，连接迁移通过路径验证帧（PATH_CHALLENGE/PATH_RESPONSE）实现。答案：√解析：QUIC使用路径验证防止地址欺骗，完成迁移。29.使用iptables的MASQUERADE与SNAT唯一区别是MASQUERADE支持IPv6。答案：×解析：MASQUERADE专为动态IP设计，自动读取出口地址，与SNAT语法差异无关IPv6。30.HTTP/2服务器推送在HTTP/3中已被废弃。答案：√解析：IETF103会议决定移除服务器推送，替代方案为EarlyHints与WebTransport。31.在Python中，asyncio.create_task比ensure_future更早支持协程取消传播。答案：×解析：两者底层均使用Task，取消语义一致，仅API层次差异。32.在DNSoverHTTPS（DoH）中，查询报文使用MIME类型application/dns-json。答案：√解析：RFC8484定义两种格式，dns-json为常见REST风格。33.SmartNIC基于ARMNeoverseN1核心，其功耗通常低于25W。答案：√解析：N1采用7nm工艺，8核配置下典型TDP20W，适合网卡形态。34.在Kubernetes中，ephemeral-storage资源限制可限制EmptyDir体积。答案：√解析：kubelet通过cgroupv2io.max与quota监控EmptyDir用量。35.使用BFD单臂回声模式时，两端设备必须同时支持BFD。答案：×解析：单臂回声仅本地发送UDP报文，对端无需感知BFD。四、填空题（每空2分，共20分）36.在IPv6中，用于将全球单播地址映射到二层地址的协议是________，其报文类型为________。答案：邻居发现协议（NDP），邻居请求/邻居通告（NS/NA）37.在Linux中，通过________系统调用可将eBPF对象挂载到cgroup，实现对容器流量的________控制。答案：bpf，细粒度38.在BGPEVPN中，用于传递VTEPIP地址的BGP属性为________，其BGPNLRI路由类型为________。答案：BGPEncapsulationExtendedCommunity，RouteType3（InclusiveMulticast）39.在Wi-Fi6中，OFDMA的最小资源单元RU包含________个子载波，对应频率________kHz。答案：26，约2.03MHz（26×78.125kHz）40.在Python中，使用asyncio.Semaphore(10)创建的信号量，最大并发量为________，其底层通过________队列实现。答案：10，双向（deque）五、简答题（每题10分，共30分）41.描述一次基于SRv6Policy的跨域流量工程过程，包括控制面通告、数据面封装、故障切换机制，并给出P4伪代码片段实现SID端点行为（Endbehavior）。答案：控制面：头端PE通过BGPIPv6SR-PolicySAFI接收远端控制器下发的SRPolicy，Color100，SID列表<2001:DB8:A1::,2001:DB8:B2::,2001:DB8:C3::>，绑定目的前缀/24。数据面：原始IPv4报文经VPNv6封装为IPv6，外层目的地址指向SID列表第一个Segment；每经过一个SRv6节点，SL字段减1，IPv6DA更新为下一SID。故障切换：链路中断触发BFD，头端在50ms内切换至备份Policy，Color200，新路径避开故障链路。P4伪代码：```p4actionend_behavior(){if(ipv6.da==2001:DB8:A1::){decrement_ipv6_sl();if(sl==0){pop_sr_header();route_lookup(ipv6.da);}else{update_da(next_sid);forward_port(egress_spec);}}}```42.某云原生平台使用Cilium+eBPF实现L7可观测性，请说明如何在不引入sidecar的前提下，获取HTTP状态码延迟分布，并给出eBPF程序挂载点、数据结构与用户态聚合逻辑。答案：挂载点：选择tracepoint/syscalls/sys_enter_write，过滤fd为socketfd且协议为TCP、端口80/443；或挂载kprobe/tcp_sendmsg，解析skb获取L7数据。数据结构：定义BPF_MAP_TYPE_HASH，key为五元组+status码，value为自定义结构体{latency_ns，count}；使用bpf_ktime_get_ns()计算请求响应时间差。聚合逻辑：用户态Go程序通过perf_event_ring_buffer读取数据，按histogram区间累加，暴露Prometheus指标http_request_duration_seconds_bucket{status="200",le="0.1"}。优势：内核态无锁、零拷贝，单核可处理2Mpps，资源消耗较sidecar降低70%。43.阐述一次针对DNS放大攻击的自动化缓解流程，包括检测、溯源、缓解、验证四个阶段，并给出Python+Scapy代码示例实现实时阈值检测与RTBH远程触发。答案：检测：NetFlow采样发现UDP53流量>100Mbps且源地址为外网，同时查询流量特征为响应报文远大于请求，判定为放大攻击。溯源：sFlow解析定位反射源IP列表，通过BGP社区8888:666标记至控制器。缓解：控制器向边缘路由器下发/32黑洞路由，下一跳指向discard，并通知上游ISP。验证：持续ping监测被攻击IP，若5min内无流量则撤销黑洞。代码：```pythonfromscapy.allimport*fromcollectionsimportdefaultdictthreshold=100*1e6/8#bytescounter=defaultdict(int)defhandle(pkt):ifpkt.haslayer(UDP)andpkt[UDP].dport==53:src=pkt[IP].srccounter[src]+=len(pkt)ifcounter[src]>threshold:print(f"Alert:{src}exceedsthreshold")trigger_rtbh(src)deftrigger_rtbh(ip):importrequestsrequests.post("http://controller:8080/rtbh",json={"ip":ip})sniff(filter="udpport53",prn=handle)```六、综合应用题（30分）44.背景：某跨国金融企业计划2026年上线全球零信任访问平台，要求用户从任意网络、任意设备安全接入私有应用，需满足以下约束：1)用户侧不安装VPN客户端；2)双向TLS1.3，证书私钥硬件绑定；3)应用隐身，拒绝未授权IP扫描；4)单用户并发带宽≥200Mbps，全球端到端延迟≤120ms；5)审计日志不可篡改，保存10年。任务：a)设计整体架构，标明关键组件与协