2026年系统集成工程师（网络集成）专项技能考核试题及答案

2026年系统集成工程师（网络集成）专项技能考核试题及答案一、单项选择题（每题2分，共30分）1.在IPv6网络中，当主机收到一条“Type134，Code0”的ICMPv6报文后，其下一步最可能执行的操作是A.立即更新默认网关的链路层地址B.将报文封装进ESP头并转发C.丢弃报文并记录日志D.向源地址发送RouterSolicitation答案：A解析：Type134Code0为RouterAdvertisement，主机收到后提取其中“RouterLifetime”与“PrefixInformation”，若默认网关选项存在且链路层地址变化，则更新邻居缓存。2.某企业采用VXLAN-EVPN构建多活数据中心，在Leaf节点上通过“advertise-pip”命令发布的IP地址类型为A.二级VTEP环回口地址B.一级VTEP环回口地址C.任意播Anycast-RP地址D.主机/32路由答案：B解析：advertise-pip（PrimaryIP）用于通告本节点唯一环回地址，确保远端VTEP建立BGPEVPN邻居时使用可唯一标识的地址，避免Anycast混淆。3.当802.1X认证采用EAP-TLS时，若客户端证书已吊销，Radius服务器向NAS返回的Access-Accept报文中会携带哪一属性提示拒绝？A.EAP-Message=SuccessB.Reply-Message=“CertificateRevoked”C.Termination-Action=0D.不会返回Access-Accept答案：D解析：EAP-TLS认证失败时Radius直接返回Access-Reject，不会发送Access-Accept，因此NAS端口保持未授权状态。4.在SegmentRoutingPolicy中，color值由以下哪一字段承载？A.IPv4报文头的DSCPB.IPv6报文头的FlowLabelC.BGPLink-State的BGP-LS属性D.BGPVPNv4路由的ExtendedCommunity答案：D解析：color作为BGP扩展团体属性（ColorExtendedCommunity）随VPNv4/VPNv6/EVPN路由发布，用于头端节点匹配SRPolicy。5.某园区网运行PIM-SM，RP通过Auto-RP通告，若映射代理（MappingAgent）失效，则新加入的组播组/4将A.立即切换至PIM-DMB.无法建立共享树，流量中断C.仍可通过静态RP加入D.自动选举BSR接管答案：C解析：Auto-RP失效不影响已配置的静态RP，新组播组若静态RP可达即可继续建立RPT。6.在Linux内核版本6.8中，开启MPTCPv1后，子流建立失败且flags显示“MP_CAPABLE”被strip，最可能的原因是A.防火墙未放行TCP选项30B./proc/sys/net/mptcp/enabled=0C.对端未开启MPTCPD.本地路由表缺少主路径答案：A解析：中间防火墙若丢弃或剥离TCPOption30（MP_CAPABLE），子流无法协商MPTCP，表现为SYN报文无响应或RST。7.某SD-WAN场景采用DTLS隧道，若控制器证书使用ECDSAP-384签名，而边缘节点仅支持RSA2048，则隧道建立阶段会A.回退至RSA2048B.直接失败，无回退C.降级为明文UDPD.协商使用AES-256-GCM答案：B解析：DTLS握手阶段证书签名算法必须双方支持，无自动回退机制，算法不匹配导致alerthandshakefailure。8.当交换机端口配置“spanning-treeguardroot”后，若收到更优BPDU，则端口会A.进入root-inconsistent状态并阻塞B.立即转发更优BPDUC.忽略并继续转发数据D.触发BPDUGuard关闭端口答案：A解析：RootGuard防止非法根桥出现，收到更优BPDU时端口置root-inconsistent，逻辑阻塞直至停止接收更优BPDU。9.在802.11ax中，若AP向某HESTA触发一个“MU-RTSTF”帧，其Duration字段作用为A.保护后续DL-OFDMA传输，设置NAVB.指示STA发送CTS的功率C.作为BSR轮询的缓存阈值D.用于动态频率选择DFS答案：A解析：MU-RTSTF通过Duration设置NAV，确保其他STA在DL-OFDMAPPDU期间保持静默。10.某城域网部署BGPFlowspec，规则type3=destination-port=80，actionRT=100:100，若该规则被误配为traffic-rate0bps，则效果为A.丢弃所有目的端口80流量B.重定向至RT100:100VRF但限速0，实际黑洞C.无任何效果D.仅采样不丢弃答案：B解析：Flowspecaction顺序为先重定向后限速，traffic-rate0bps在重定向后生效，流量进入目标VRF但速率为0，等价于黑洞。11.在EVPNVPWS双归场景，若DF（DesignatedForwarder）选举采用“preference200”且AC接口为冗余模式single-active，则备份PE收到以太网段路由后A.立即阻塞AC端口B.保持ACup，但不转发单播C.发送ARP请求抢占DFD.忽略ES路由答案：A解析：single-active模式下非DFPE需阻塞AC，避免双活环路。12.当使用gNMISubscribeONCE模式获取openconfig-interfaces数据时，若目标路径未实现，服务器返回的gRPC状态码为A.OKB.INVALID_ARGUMENTC.NOT_FOUNDD.UNIMPLEMENTED答案：C解析：ONCE模式若路径不存在返回NOT_FOUND，UNIMPLEMENTED用于服务级未实现。13.某数据中心采用BGPPIC（Prefix-IndependentConvergence），当核心链路失效时，收敛时间主要取决于A.BGPKeepalive超时B.IGPLFA计算速度C.BGPUpdate消息大小D.BGPRR的CPU利用率答案：B解析：BGPPIC依赖IGP预计算备份路径（LFA/RLFA），链路失效后仅需IGP收敛，BGP表项无需重新计算。14.在IPv6-only网络中，若MAP-TCE需要访问IPv4互联网，则CE向BR发送的ICMPv6类型为A.1（DestinationUnreachable）B.2（PacketTooBig）C.3（TimeExceeded）D.不发送ICMPv6，直接封装IPv4答案：D解析：MAP-T为无状态翻译，CE将IPv4报文直接封装在IPv6报文中转发至BR，无需额外ICMPv6。15.当防火墙开启SSL/TLS深度检测，若客户端启用TLS1.3并发送0-RTT数据，则防火墙最可能A.直接转发0-RTT数据B.丢弃0-RTT并记录C.降级至TLS1.2D.代理重协商并剥离0-RTT答案：D解析：深度检测需中间人代理，0-RTT数据加密密钥独立于主密钥，防火墙无法解密，故剥离并强制1-RTT。二、多项选择题（每题3分，共30分，多选少选均不得分）16.以下哪些技术组合可实现数据中心L3Underlay的ECMP负载均衡且支持快速重路由？A.BGPLU+SR-MPLS+TI-LFAB.OSPF+LDP+RSVP-TEC.IS-IS+SR-v6+Flex-AlgoD.EIGRP+PW+LFA答案：A、C解析：BGPLU与SR-MPLS、IS-IS与SR-v6均支持ECMP及TI-LFA/RLFA快速重路由；LDP、RSVP-TE、PW不支持原生ECMP。17.在零信任架构中，关于SPA（SinglePacketAuthorization）描述正确的是A.默认丢弃所有未授权报文B.使用UDP62201作为默认端口C.可隐藏服务端口，减少扫描面D.依赖TLS1.3完成双向认证答案：A、C解析：SPA通过先发制人授权，默认防火墙拒绝一切，授权后才开放端口；端口可自定义，不强制62201；不依赖TLS。18.以下哪些操作可降低VXLANOverlay的BUM流量？A.启用IRB对称模式B.部署EVPNRT-ConstraintC.配置未知单播抑制（UUF）D.启用Head-EndReplication答案：B、C解析：RT-Constraint过滤无用RT，减少BUM复制；UUF直接丢弃未知单播；IRB对称与HER与BUM抑制无关。19.关于Wi-Fi7的MLO（Multi-LinkOperation）描述正确的是A.支持STR（SimultaneousTransmitReceive）B.2.4GHz与5GHz可聚合为一条逻辑链路C.需所有链路使用相同信道D.可基于包级动态链路切换答案：A、B、D解析：MLO允许不同信道、不同频段聚合，STR需硬件支持，包级切换由MAC调度器完成。20.当使用Ansible部署CiscoIOS-XE配置时，以下哪些参数可防止任务因CLI交互失败而挂死？A.timeout60C.prompt“]#”D.answer“\\r”答案：A、C解析：timeout设置最大等待；prompt匹配交互提示符；answer用于自动回应，但需精确匹配。21.在LinuxTC（TrafficControl）中，以下哪些qdisc可实现带宽公平队列？A.fq_codelB.pfifo_fastC.htbD.cake答案：A、D解析：fq_codel与cake内置公平队列；pfifo_fast为先进先出；htb为令牌桶，仅做限速。22.关于DNS-over-HTTPS（DoH）在企业出口的安全风险，包括A.绕过本地DNS过滤策略B.暴露内部域名至公共解析器C.增加TLS握手延迟D.导致SNI泄露答案：A、B、C解析：DoH加密后传统过滤失效；公共解析器记录日志；TLS握手增加RTT；SNI泄露与DoH无关。23.以下哪些BGP属性可用于实现基于延迟的调度？A.Link-State(BGP-LS)B.ExtendedCommunityColorC.AS-PathD.BGPPrefVal答案：A、B解析：BGP-LS携带延迟度量，结合Color可引流至低延迟SRPolicy；AS-Path与PrefVal无延迟语义。24.在容器网络Cilium中，eBPF程序挂载点包括A.tcegressB.xdpC.socketopsD.kprobetcp_connect答案：A、B、C、D解析：Cilium全面使用eBPF，覆盖tc/xdp/socket/kprobe实现转发、负载均衡、观测。25.当防火墙执行七层负载均衡时，以下哪些健康检查方法可检测应用层故障？A.TCPSYN扫描B.HTTPGET/healthC.SSLhandshakeD.SIPOPTIONS答案：B、D解析：HTTPGET与SIPOPTIONS属于应用层探测；TCPSYN与SSL握手仅检测传输层与TLS层。三、判断题（每题1分，共10分，正确打“√”，错误打“×”）26.在802.1Qbv中，GateControlList采用绝对时间戳，重启设备后需重新同步PTP时钟。答案：√解析：GCL基于PTP绝对时间，重启后若PTP未同步，调度窗口错位。27.SR-MPLS的AdjacencySegment仅在本地有效，不会通过IGP泛洪。答案：×解析：AdjacencySegment通过IGP泛洪，确保其他节点知晓标签含义。28.当使用ChaosBlade注入网络丢包故障时，若未指定--timeout参数，则默认持续3600秒。答案：√解析：ChaosBlade默认实验时长为3600秒，需手动销毁或指定timeout。29.在IPv6中，Hop-by-HopOptions头必须出现在所有扩展报文的最前端。答案：√解析：HBH选项由沿途路由器处理，必须紧邻IPv6头。30.若将交换机端口mac-learning禁用，则该端口收到的所有单播帧均泛洪。答案：×解析：禁用mac-learning后，未知单播仍泛洪，但已知单播若MAC表存在则转发，仅不再学习新MAC。31.在Kubernetes中，NetworkPolicy规则若未定义ingress字段，则默认拒绝所有入站流量。答案：×解析：未定义ingress表示允许所有入站，需显式定义空数组[]才拒绝。32.当使用Wireshark解密TLS1.3流量时，必须提供ClientRandom与EarlySecret。答案：×解析：Wireshark需ClientRandom与握手日志中的secret，EarlySecret仅用于0-RTT。33.在BGPEVPN中，EthernetAuto-Discovery路由（RT-1）可用于水平分割防止环路。答案：√解析：RT-1携带ESI，双归PE通过比较RT-1实现水平分割。34.若将防火墙会话表同步模式设为“异步”，则主墙故障后TCP连接需重新三次握手。答案：×解析：异步模式仅同步部分表项，TCP序列号可能不一致，需重新握手；若同步模式为“实时”则无需。35.在OpenFlow1.5中，TableMiss默认动作为CONTROLLER，且优先级为0。答案：√解析：TableMiss即优先级0，未匹配时上送控制器。四、填空题（每空2分，共20分）36.在Linux内核版本6.10中，使用MPTCPv1时，通过________命令可查看当前活跃子流的拥塞控制算法。答案：ss-M-i解析：ss-M显示MPTCP子流详情，-i包含拥塞控制算法。37.当CiscoIOS-XE配置“ipsla1icmp-echo2001:db8::1source-ip2001:db8::2”时，默认报文大小为________字节。答案：28解析：ICMPv6EchoRequest头8字节+IPv6头40字节，但SLA默认payload为0，故28字节（不含扩展头）。38.在EVPNVPWS中，用于标识双归冗余模式的EthernetSegmentIdentifier长度为________字节。答案：10解析：ESI为10字节十六进制，如03:00:00:00:00:00:00:00:00:01。39.若将VXLANVNI与VLAN映射为1:1，且VLANID为4094，则VNI值为________。答案：4094解析：1:1映射时VNI=VLANID，仅受限于VNI24位空间。40.在Wireshark显示过滤器中，筛选所有TCPSYN报文的表达式为________。答案：tcp.flags.syn==1andtcp.flags.ack==0解析：SYN=1且ACK=0为纯SYN。41.当使用OpenSSL3.2生成ED25519私钥时，默认私钥文件编码格式为________。答案：PKCS#8解析：OpenSSL3.x默认使用PKCS#8，头为“-----BEGINPRIVATEKEY-----”。42.在BGPFlowspec中，type12用于匹配________层协议。答案：应用解析：type12为ApplicationLayerProtocol，如HTTP、HTTPS。43.若将交换机端口配置“spanning-treeportfasttrunk”，则该端口收到BPDU后会立即进入________状态。答案：blocking解析：PortFast端口收到BPDU即丧失PortFast特性，按STP流程阻塞。44.在IPv6地址2001:db8::1/64中，若使用EUI-64生成接口ID，则MAC地址00:0c:29:ab:cd:ef对应的接口ID为________。答案：020c:29ff:feab:cdef解析：EUI-64在MAC中间插入fffe，并将U/L位取反。45.当使用iperf3测试UDP带宽时，若服务端命令为“iperf3-s-p5202”，则客户端需附加参数________指定端口。答案：-p5202解析：客户端需与服务端端口一致。五、简答题（每题10分，共30分）46.某企业计划将传统三层核心-汇聚-接入架构升级为Spine-LeafVXLANEVPN，要求：（1）Underlay采用IPv6链路本地地址建立OSPFv3邻居，简述配置步骤；（2）Overlay使用对称IRB，说明如何防止ARP请求跨Leaf泛洪；（3）若Leaf节点仅支持48KMAC表，给出两种扩容方案并对比优劣。答案与解析：（1）步骤：①全局启用ipv6unicast-routing；②接口下ipv6enable，自动生成link-local地址；③接口下ospfv31ipv6area0；④无需显式邻居，link-local地址自动发现；⑤Spine与Leaf环回口采用全局单播地址，network命令通告，用于BGPEVPN邻居。（2）防止ARP泛洪：①启用EVPNProxy-ARP功能，Leaf本地代答ARP；②控制面通过RT-2携带主机MAC/IP，远端Leaf无需泛洪；③配置unknown-unicast-suppression，数据面丢弃未知单播ARP。（3）扩容方案：方案A：部署EVPNMACMobility，将超规格MAC迁移至远端Leaf，利用RT-2序列号刷新；优点无需硬件升级，缺点流量路径拉长。方案B：采用Anycast-Gateway，所有Leaf共享相同MAC，表项仅保存/32主机路由；优点表项压缩90%，缺点需升级ROM支持ARP代答。47.某金融公司采用TLS1.3与mTLS实现东西向零信任，证书生命周期为7天，自动化采用ACME协议。（1）给出ACME与Vault集成的架构图关键组件；（2）若证书透明日志（CT）出现预证书泄露，如何在不吊销前提下实现快速轮换；（3）说明mTLS在微服务网格中如何防止重放攻击。答案与解析：（1）组件：①Vault集群带PKIEngine，角色绑定ServiceAccount；②ACME客户端（如cert-manager）运行于K8s；③ACME服务端由Vault插件暴露，监听路径/acme/directory；④CT日志监控组件（ct-monitor）推送告警至Kafka；⑤SpiffeID与JWT作为身份令牌。（2）快速轮换：①Vault启用双证书模式，预生成新证书但不发布；②通过CT日志匹配指纹，触发webhook调用VaultAPI切换ac