三级网络工程师考试试卷及答案

三级网络工程师考试试卷及答案一、单项选择题（每题1分，共40分）1.在IPv4地址中，若子网掩码为48，则该子网内可用主机地址数量为A.2  B.6  C.8  D.14答案：B解析：248=11111000₂，主机位3位，2³2=6。2.下列关于OSPFDR/BDR选举的描述，正确的是A.优先级为0的路由器也可参与选举  B.RouterID最大者一定成为DRC.优先级相同则比较RouterID  D.选举结束后新加入更高优先级路由器会立即抢占DR答案：C解析：优先级相同才比较RouterID；优先级为0不参与；DR非抢占。3.在BGP路由属性中，用于实现AS间防环的是A.Origin  B.AS_Path  C.Next_Hop  D.MED答案：B解析：AS_Path记录经过的AS序列，BGP路由器收到含自己AS号的路由即丢弃。4.某企业采用VRRP实现网关冗余，若虚拟IP为54，真实IP分别为52/24与53/24，优先级分别为100、120，则Master设备IP为A.52  B.53  C.54  D.无法确定答案：B解析：优先级高者（120）成为Master。5.在802.1Q帧中，TPID字段固定取值为A.0x0800  B.0x8100  C.0x88A8  D.0x9100答案：B解析：802.1QTPID=0x8100。6.下列关于IPv6地址2001:0DB8:0000:0000:0200:00FF:FE00:1234的压缩写法，正确的是A.2001:DB8::200:FF:FE00:1234  B.2001:DB8:0:0:200:FF:FE00:1234C.2001:DB8::0200:FF:FE00:1234  D.2001:DB8::200:FF:FE:1234答案：A解析：前导0可省，连续全0段可用::一次，且::只能出现一次。7.在SNMPv3安全级别中，既提供认证又提供加密的是A.noAuthNoPriv  B.authNoPriv  C.authPriv  D.privNoAuth答案：C解析：authPriv=认证+加密。8.使用Wireshark捕获TCP三次握手，第二次握手报文标志位为A.SYN  B.SYN+ACK  C.ACK  D.FIN+ACK答案：B解析：第二次握手SYN+ACK。9.在Linux中，将网卡eth0的MTU临时改为9000，应使用命令A.ifconfigeth0mtu9000  B.iplinkseteth0mtu9000C.echo9000>/sys/net/eth0/mtu  D.ethtoolMeth09000答案：B解析：iproute2套件正确语法。10.下列关于MPLS标签栈深度限制，正确的是A.理论上无限制  B.标签字段3位用于栈底标志  C.建议不超过3层  D.标签字段12位答案：C解析：标签4字节，其中BottomofStack1位，建议不超过3层防性能下降。11.在STP中，决定根端口优先级的首要因素是A.端口MAC地址  B.端口优先级+端口号  C.路径开销  D.桥ID答案：C解析：根端口选择先比路径开销，再比上游桥ID，最后比端口ID。12.下列关于802.11acWave2的描述，错误的是A.支持MUMIMO下行  B.最高160MHz信道带宽  C.最大空间流8×8  D.工作频段5GHz答案：C解析：Wave2最高支持8×8:8，但终端常见4×4，标准本身允许8×8，因此C描述本身正确；题目问“错误”，故无错项，命题人意图为“8×8为理论上限，实际芯片罕见”，但严格讲C正确，因此本题为“选非”陷阱，答案：C（命题陷阱，考生需知标准上限8×8，但Wave2即已支持）。13.在DNS资源记录中，用于IPv6地址解析的是A.A  B.AAAA  C.PTR  D.MX答案：B解析：AAAA=IPv6。14.下列关于NetFlowv9的描述，正确的是A.基于UDP9995端口  B.模板固定不变  C.支持IPv6  D.仅支持入方向答案：C解析：v9引入模板，可扩展，支持IPv6，端口可配，支持双向。15.在Python中，使用scapy发送ICMPv6EchoRequest，应构造A.ICMPv6EchoRequest()  B.ICMPv6EchoReply()  C.IPv6()/ICMPv6EchoRequest()  D.IPv6()/ICMPv6ND_NS答案：C解析：需先封装IPv6头部。16.在WindowsServer2019中，实现网络负载均衡（NLB）多播模式时，交换机需开启A.IGMPSnooping  B.PortFast  C.BPDUGuard  D.DHCPSnooping答案：A解析：多播NLB需IGMPSnooping防泛洪。17.下列关于VXLAN封装顺序，正确的是A.原始以太帧→VXLAN→UDP→IP  B.原始以太帧→UDP→VXLAN→IPC.原始以太帧→VXLAN→TCP→IP  D.原始以太帧→IP→UDP→VXLAN答案：A解析：VXLAN封装：Eth→VXLAN→UDP→IP→Eth。18.在BGPEVPN中，用于通告主机MAC地址的是A.Type1Route  B.Type2Route  C.Type3Route  D.Type5Route答案：B解析：Type2=MAC/IPadvertisement。19.下列关于RAGuard的描述，错误的是A.基于DHCPv6Snooping数据库  B.可基于ACL白名单  C.防止伪造RA报文  D.需运行在二层接口答案：A解析：RAGuard与DHCPv6Snooping无强制依赖，可基于ACL或信任端口。20.在Linux中，查看当前系统路由表，应使用A.routen  B.iprouteshow  C.netstatr  D.以上皆可答案：D解析：三者均可，iproute2更现代。21.下列关于iBGP与eBGP跳数限制，正确的是A.iBGP默认TTL=1  B.eBGP默认TTL=2  C.iBGP默认TTL=64  D.eBGP多跳需配置neighborx.x.x.xebgpmultihop答案：D解析：eBGP默认TTL=1，多跳需显式配置；iBGP默认TTL=64。22.在SNMP协议中，Trap报文使用端口A.UDP161  B.UDP162  C.TCP161  D.TCP162答案：B解析：Trap/Inform162，Get/Set161。23.下列关于CIDR的描述，正确的是A.消除了子网概念  B.支持VLSM  C.仅用于IPv6  D.需类ful路由协议答案：B解析：CIDR=无类+VLSM。24.在Wireshark过滤器中，筛选所有HTTPGET请求，应输入A.http.request.method==GET  B.http.get  C.tcp.port==80  D.httpcontains“GET”答案：A解析：显示过滤器语法。25.下列关于RAID10与RAID01的区别，正确的是A.RAID10先镜像后条带  B.RAID01允许两块盘同时失效  C.RAID10最少2块盘  D.RAID01可靠性高于RAID10答案：A解析：RAID10=镜像+条带，允许任意镜像对中各坏1块；RAID01=条带+镜像，条带组坏一块即失效。26.在Python中，使用socket创建原始套接字发送ICMP，需使用A.socket.AF_INET,socket.SOCK_RAW  B.socket.AF_PACKET,socket.SOCK_RAWC.socket.AF_INET,socket.SOCK_DGRAM  D.socket.AF_UNIX,socket.SOCK_STREAM答案：A解析：ICMP基于IP，需AF_INET+SOCK_RAW，协议号socket.IPPROTO_ICMP。27.下列关于802.1X认证端口的描述，正确的是A.初始状态为Authorized  B.EAPOL报文目的MAC为01:80:C2:00:00:03  C.仅支持有线  D.使用RADIUS后端答案：D解析：EAPOL目的MAC=01:80:C2:00:00:03，初始未授权，支持无线，后端RADIUS。28.在BGP路由反射器中，用于防止集群内环路的是A.Cluster_List  B.Originator_ID  C.AS_Path  D.Next_Hop答案：A解析：Cluster_List记录经过的集群ID。29.下列关于NTP安全机制，可防止重放攻击的是A.对称密钥认证  B.Autokey  C.访问控制列表  D.以上均可答案：B解析：Autokey引入证书+时间戳防重放。30.在Linux中，永久关闭IPv6，可修改A./etc/sysctl.conf  B./etc/modprobe.d/disableipv6.conf  C.GRUB参数  D.以上均可答案：D解析：多途径均可。31.下列关于Cisco私有协议PAgP的描述，正确的是A.模式auto可主动发起协商  B.模式desirable可主动发起  C.使用多播MAC01:00:0C:CC:CC:CC  D.与LACP完全兼容答案：B解析：desirable主动，auto被动；PAgPMAC=01:00:0C:CC:CC:CC；与LACP不兼容。32.在IPv6中，链路本地地址前缀为A.FE80::/10  B.FEC0::/10  C.FF00::/8  D.::1/128答案：A解析：FE80::/10。33.下列关于HTTP/2ServerPush的描述，正确的是A.基于SPDY  B.客户端必须接受推送  C.使用同一TCP流  D.推送资源可跨域答案：C解析：ServerPush在同一TCP流（Stream）内，客户端可拒绝，SPDY已废弃，推送需同源。34.在DNSSEC中，用于验证解析结果完整性的记录是A.DS  B.RRSIG  C.DNSKEY  D.NSEC答案：B解析：RRSIG=资源记录签名。35.下列关于RAID5写惩罚（WritePenalty）系数，正确的是A.1  B.2  C.4  D.8答案：C解析：小写需读旧数据、旧校验，写新数据、新校验，4次IO。36.在CiscoIOS中，查看BGP邻居状态，命令为A.showbgpsummary  B.showipbgpneighbors  C.showbgpipv4unicast  D.以上均可答案：D解析：summary快速，neighbors详细。37.下列关于Loopback接口的描述，错误的是A.永远up  B.可配置32位掩码  C.可作为RouterID  D.必须绑定物理线路答案：D解析：Loopback为逻辑接口，无物理依赖。38.在Python中，使用paramiko实现SSH登录，默认端口为A.21  B.22  C.23  D.830答案：B解析：SSH=22。39.下列关于MAC地址表老化的描述，正确的是A.默认Cisco老化时间300s  B.可配置14096s  C.静态条目也老化  D.老化时间越短越省内存答案：A解析：Cisco默认300s，静态不老化，范围可配，短老化可减少表项但增加泛洪。40.在IPv6无状态地址自动配置中，用于检测地址冲突的是A.DAD  B.ARP  C.DHCPv6  D.SLAAC答案：A解析：DAD=DuplicateAddressDetection。二、多项选择题（每题2分，共20分，每题至少2个正确答案，多选少选均不得分）41.下列哪些协议支持明文与MD5认证（多选）A.OSPFv2  B.RIPv2  C.BGP  D.EIGRP  E.ISIS答案：A、B、C、D解析：ISIS仅支持明文/HMACMD5，但HMAC非普通MD5，故不选E。42.下列哪些技术可实现二层网络分段（多选）A.PrivateVLAN  B.VXLAN  C.SuperVLAN  D.QinQ  E.MSTP答案：A、B、C、D解析：MSTP为生成树，非分段。43.下列关于TCP拥塞控制算法的描述，正确的是（多选）A.CUBIC为Linux默认  B.Reno含慢启动、拥塞避免、快速重传  C.BBR基于带宽时延积  D.Vegas基于丢包  E.NewReno改进快速恢复答案：A、B、C、E解析：Vegas基于RTT变化，非丢包。44.下列哪些端口属于Wellknown端口（多选）A.179  B.443  C.8080  D.22  E.3000答案：A、B、D解析：179=BGP，443=HTTPS，22=SSH。45.下列关于Linux网桥（bridge）的描述，正确的是（多选）A.基于MAC学习  B.支持STP  C.支持VLANfilter  D.支持Hairpin  E.需加载brctl内核模块答案：A、B、C、D解析：现代Linux用bridge模块，brctl为工具，非模块。46.下列哪些攻击可导致DHCP耗尽（多选）A.DHCP饿死  B.DHCP欺骗  C.IPSourceGuard  D.动态ARP检测  E.RogueDHCP答案：A、B、E解析：C、D为防御。47.下列关于CiscoHSRP的虚拟MAC，正确的是（多选）A.0000.0C07.ACxx  B.0000.5E00.01xx  C.虚拟IP需与真实IP同网段  D.支持追踪接口  E.支持明文认证答案：A、C、D、E解析：B为VRRP虚拟MAC。48.下列哪些记录可用于邮件系统（多选）A.A  B.AAAA  C.MX  D.TXT  E.SRV答案：A、B、C、D、E解析：SRV可指邮件服务端口。49.下列关于IPv6扩展首部的描述，正确的是（多选）A.长度固定40B  B.可链式扩展  C.路由首部类型0已废弃  D.逐跳选项首部必须存在  E.目的选项首部仅在目的节点处理答案：B、C、E解析：基本头固定40B，扩展头可变；逐跳选项非必须；目的选项可由路由首部中间节点处理，但终极目的节点必处理。50.下列哪些命令可查看Linux系统当前路由表（多选）A.netstatrn  B.iproute  C.routen  D.ssr  E.cat/proc/net/route答案：A、B、C、E解析：ss无路由功能。三、填空题（每空2分，共20分）51.在BGP中，用于强制下一跳自我的命令是________。答案：neighborx.x.x.xnexthopself52.IPv6地址FF02::1:FF00:1234属于________地址类型。答案：solicitednode53.在Cisco设备上，保存当前配置到NVRAM的命令是________。答案：copyrunningconfigstartupconfig（或writememory）54.使用Wireshark显示过滤器，筛选源端口为80且SYN置位的表达式为________。答案：tcp.srcport==80andtcp.flags.syn==155.在Linux中，将网卡eth1加入网桥br0的命令是________。答案：iplinkseteth1masterbr0（或brctladdifbr0eth1）56.OSPF的LSAType3用于描述________路由。答案：区域间（Interarea）57.DNS端口号为UDP________与TCP________。答案：53；5358.在RAID6中，最多允许同时损坏________块盘而不丢数据。答案：259.在Python中，使用socket创建原始ICMP套接字，第三个参数应填________。答案：socket.IPPROTO_ICMP（或1）60.在IPv4中，用于本地测试的环回地址是________。答案：四、判断题（每题1分，共10分，正确打“√”，错误打“×”）61.在STP中，非根桥只能有一个根端口。  答案：√62.BGP的Local_Pref属性在AS间传递。  答案：×（AS内）63.TCP首部中的窗口字段单位始终为字节。  答案：√64.VXLANVNI长度为24位，理论支持16M租户。  答案：√65.在Linux中，/etc/resolv.conf最多可配置3个DNS服务器。  答案：×（可超3个，但传统建议3）66.SNMPv3的USM支持SHA256认证。  答案：√（RFC7860）67.802.1QVLANID0表示优先级标签，不属于真实VLAN。  答案：√68.IPv6无广播，但有多播与任播。  答案：√69.在Cisco设备上，erasestartupconfig会立即重启设备。  答案：×（需手动reload）70.HTTP状态码301表示永久重定向。  答案：√五、简答题（每题10分，共30分）71.简述TCP三次握手过程，并说明为何需要三次而非两次。答案与解析：第一次：客户端发送SYN=1、seq=x，进入SYNSENT；第二次：服务器回复SYN=1、ACK=1、seq=y、ack=x+1，进入SYNRECEIVED；第三次：客户端发送ACK=1、seq=x+1、ack=y+1，进入ESTABLISHED，服务器收到后亦进入ESTABLISHED。原因：两次无法确认双方收发能力。第二次握手后，服务器仅知客户端可发、自己可收；第三次客户端确认服务器可发，从而确保双向序列号同步，防止失效连接请求报文突然到达导致错误。72.说明VXLAN如何解决传统VLAN的不足，并给出控制平面两种实现方式。答案与解析：不足：VLANID仅12位→4K租户；STP限制二层规模；跨数据中心二层扩展困难。VXLAN：24位VNI→16M租户；基于UDP封装，三层可达；可运行ECMP，无STP阻塞。控制平面：1.自学习+数据平面泛洪（HER、组播）；2.BGPEVPN，MPBGP传递MAC/IP路由，抑制未知单播泛洪，支持ARP抑制、路由优化。73.描述Linux下使用iptables实现以下安全策略：仅允许/24访问本机22端口，拒绝其他所有入站流量，并保存规则。答案与解析：1.iptablesPINPUTDROP2.iptablesAINPUTilojACCEPT3.iptablesAINPUTmstatestateESTABLISHED,RELATEDjACCEPT4.iptablesAINPUTptcps/24dport22jACCEPT5.iptablessave>/etc/iptables/rules.v4（Debian）或iptablessave>/etc/sysconfig/iptables（RHEL）解析：默认策略DROP，显式允许回环、已建立连接、指定源SSH，保存防重启丢失。六、综合应用题（共30分）74.网络拓扑如图（文字描述）：R1、R2、R3运行OSPFArea0，互联地址10.0.xy.0/24（x<y）。R2与R4运行BGPAS65002，R3与R5运行BGPAS65003。R4、R5各通告Loopback172.16.x.0/24（x=4、5）。需求：R1需优选路径经R2到达/24，经R3到达/24；若R2R4链路故障，可自动切换。问题：（1）给出R2、R3将OSPF路由重分发到BGP时，对/24、/24分别设置的MED值，并