2025年网络管理员考试网络基础与安全真题及答案

2025年网络管理员考试网络基础与安全练习题及答案1.单项选择题（每题1分，共20分）1.1在OSI七层模型中，负责端到端可靠数据传输的是A.网络层 B.传输层 C.会话层 D.数据链路层答案：B1.2下列关于IPv6地址2001:0db8:0000:0000:0000:ff00:0042:8329的压缩写法，正确的是A.2001:db8::ff00:42:8329 B.2001:db8:0:0:ff00:42:8329 C.2001:db8::ff:42:8329 D.2001:db8::ff00:0042:8329答案：A1.3以太网帧中用于检测传输差错的字段是A.类型 B.前导码 C.FCS D.长度答案：C1.4在802.11i安全框架中，用于加密组播/广播流量的密钥是A.PTK B.GTK C.PMK D.PSK答案：B1.5下列协议中，基于UDP且使用端口69的是A.TFTP B.FTP C.SNMP D.Telnet答案：A1.6若子网掩码为，则所在子网的广播地址是A.55 B.55 C.55 D.55答案：B1.7在DNS资源记录中，用于IPv6地址解析的类型是A.A B.AAAA C.PTR D.MX答案：B1.8下列哪条Linux命令可查看本机ARP缓存表A.arpa B.netstatr C.routen D.ssl答案：A1.9关于TLS1.3握手过程，以下说法正确的是A.默认支持RSA密钥交换 B.首次握手需要两次往返 C.0RTT存在重放风险 D.使用CBC模式加密答案：C1.10在防火墙策略中，状态检测技术主要检查A.五元组 B.应用层内容 C.连接状态表 D.路由表答案：C1.11下列哪项不是SYNFlood的防御手段A.SYNCookie B.缩短SYNTimeout C.增大半开连接队列 D.关闭TCP窗口缩放答案：D1.12在SNMPv3中，提供认证和加密的安全级别是A.noAuthNoPriv B.authNoPriv C.authPriv D.privNoAuth答案：C1.13关于MPLS标签，以下说法错误的是A.标签长度为20位 B.标签在二层头部与三层头部之间 C.TTL字段与IPTTL无关 D.标签栈最多一层答案：D1.14下列哪条命令可将Cisco交换机端口设置为Access模式并划入VLAN20A.switchportmodetrunk；switchportaccessvlan20B.switchportmodeaccess；switchportaccessvlan20C.vlan20；switchportmodeaccessD.interfacevlan20；switchportmodeaccess答案：B1.15在WindowsServer2022中，实现基于策略的QoS的组件是A.IPSec B.GroupPolicyQoS C.WFAS D.BITS答案：B1.16关于BGP的Next_Hop属性，以下说法正确的是A.在IBGP中不发生改变 B.在EBGP中总是被改写为本地接口地址 C.可携带私有地址 D.属于可选过渡属性答案：A1.17下列哪项不是SDWAN的核心特征A.集中策略控制 B.基于MPLS专线 C.零配置部署 D.应用感知选路答案：B1.18当使用Wireshark捕获时，过滤器“tcp.flags.syn==1andtcp.flags.ack==0”表示A.捕获所有SYN+ACK B.捕获所有SYN C.捕获所有FIN D.捕获所有RST答案：B1.19关于RAID10，以下说法正确的是A.最少需要两块磁盘 B.允许任意两块磁盘同时损坏 C.先镜像后条带 D.写性能低于RAID5答案：C1.20在Linux系统中，用于限制用户进程数量的文件是A./etc/security/limits.conf B./etc/sysctl.conf C./etc/fstab D./etc/profile答案：A2.多项选择题（每题2分，共20分，每题至少有两个正确答案，多选少选均不得分）2.1以下哪些属于对称加密算法A.AES B.3DES C.ECC D.ChaCha20答案：A、B、D2.2下列关于OSPF的描述，正确的有A.使用发送Hello B.支持区域划分 C.采用距离矢量算法 D.使用LSA交换路由信息答案：A、B、D2.3以下哪些端口与邮件服务相关A.25 B.110 C.143 D.443答案：A、B、C2.4关于NAT64，以下说法正确的有A.实现IPv6与IPv4互通 B.需要DNS64配合 C.由RFC6146定义 D.仅支持TCP答案：A、B、C2.5以下哪些技术可防范ARP欺骗A.动态ARP检测 B.静态ARP绑定 C.端口隔离 D.802.1X答案：A、B、C2.6以下哪些属于NIST提出的零信任架构核心组件A.策略引擎 B.策略管理员 C.策略执行点 D.数据湖答案：A、B、C2.7以下哪些命令可用于查看Linux系统当前监听端口A.sslnt B.netstattunlp C.lsofi D.psaux答案：A、B、C2.8关于HSTS，以下说法正确的有A.由服务器通过响应头设置 B.可防御SSL剥离攻击 C.首次访问即生效 D.包含maxage指令答案：A、B、D2.9以下哪些属于软件定义网络南向接口协议A.OpenFlow B.NETCONF C.OVSDB D.BGPLS答案：A、B、C2.10以下哪些日志属于Windows安全审计类别A.登录/注销 B.对象访问 C.进程跟踪 D.打印机重定向答案：A、B、C3.填空题（每空1分，共20分）3.1在TCP首部中，用于流量控制的字段是________。答案：窗口大小3.2当IPv4报文DF位置1且长度超过MTU时，路由器将发送________报文。答案：ICMP需要分片但DF置位3.3在Linux中，永久开启IP转发的配置文件路径为________。答案：/etc/sysctl.conf3.4802.1Q标签中，用于标识优先级的字段占________位。答案：33.5在PKI体系中，负责颁发CRL的实体是________。答案：CA3.6使用openssl生成2048位RSA私钥的命令参数为opensslgenrsaoutkey.pem________。答案：20483.7在BGP路径属性中，用于标识路由来源的属性是________。答案：ORIGIN3.8在Windows中，用于手动清除DNS缓存的命令是________。答案：ipconfig/flushdns3.9在SNMP协议中，管理站通过________操作获取下一实例值。答案：GetNextRequest3.10在Wireshark中，过滤HTTPGET请求的包过滤表达式为________。答案：http.request.method==GET3.11当使用RIP时，最大跳数为________。答案：153.12在IPv6中，链路本地地址前缀为________。答案：fe80::/103.13在Cisco设备上，查看NTP状态的命令为________。答案：showntpstatus3.14在Linux防火墙iptables中，默认表名称为________。答案：filter3.15在RAID级别中，允许同时损坏两块磁盘且数据不丢失的级别有RAID6和________。答案：RAID10（镜像对中各坏一块）3.16在TLS握手阶段，服务器发送的携带服务器随机数的消息称为________。答案：ServerHello3.17在802.1X认证中，负责请求认证的实体称为________。答案：Supplicant3.18在DNSSEC中，用于验证资源记录签名合法性的记录类型是________。答案：RRSIG3.19在MPLS网络中，执行标签交换的核心设备称为________。答案：LSR3.20在零信任架构中，持续评估用户行为的组件称为________。答案：策略引擎（或信任评估引擎）4.简答题（共6题，每题5分，共30分）4.1（封闭型）简述TCP三次握手过程中SYN、SYNACK、ACK三次报文的主要字段变化。答案：第一次SYN：SYN=1，ACK=0，序列号seq=x；第二次SYNACK：SYN=1，ACK=1，序列号seq=y，确认号ack=x+1；第三次ACK：SYN=0，ACK=1，序列号seq=x+1，确认号ack=y+1。4.2（开放型）说明企业网络中部署IDS与IPS的区别，并给出各自适用场景。答案：IDS仅监听镜像流量，不阻断，适用于事后取证与合规审计；IPS串联在线，实时丢弃恶意流量，适用于边界防护。IDS误报影响小，IPS误报影响业务，需调优。部署IDS成本低，IPS需高可用设计。4.3（封闭型）写出在Linux系统中使用nftables实现仅允许/24访问本机22端口的完整命令序列。答案：nftaddtableinetfilternftaddchaininetfilterinput{typefilterhookinputpriority0\;}nftaddruleinetfilterinputipsaddr/24tcpdport22acceptnftaddruleinetfilterinputdrop4.4（开放型）解释什么是“域间路由劫持”，并给出三种检测方法。答案：域间路由劫持是指攻击者通过BGP宣布未授权IP前缀，导致流量被误导。检测方法：1.ROV（RPKI路由起源验证）；2.BGP监控项目RouteViews/RIPERIS实时比对；3.主动探测，Traceroute路径突变分析。4.5（封闭型）计算题：给定网络/23，需划分8个等长子网，写出新的子网掩码及每个子网的网络地址、可用主机范围、广播地址。答案：新掩码：24（/27）。子网1：，主机130，广播31；子网2：2，主机3362，广播63；子网3：4，主机6594，广播95；子网4：6，主机97126，广播127；子网5：28，主机129158，广播159；子网6：60，主机161190，广播191；子网7：92，主机193222，广播223；子网8：24，主机225254，广播255。4.6（开放型）说明在零信任网络中如何使用微分段（MicroSegmentation）保护数据中心东西向流量，并给出两种实现技术。答案：微分段通过细粒度策略将同一物理网络内的虚拟机/容器隔离。技术1：基于虚拟防火墙，如VMwareNSX分布式防火墙，以虚拟机为边界；技术2：基于身份标签的SDP，如使用SpiffeID与Envoy代理强制双向TLS，策略引擎动态下发规则。5.应用题（共5题，每题10分，共50分）5.1综合类某公司拥有两条互联网出口：ISPA100M、ISPB200M，内部AS号65001，与ISPA建立eBGP，与ISPB建立eBGP。现要求：（1）入站流量优先走ISPB；（2）当ISPB失效时无缝切换至ISPA；（3）向两条ISP仅宣布前缀/24。请给出CiscoIOS的BGP关键配置片段，并说明使用的BGP属性及值。答案：routerbgp65001bgprouteridnetworkmaskneighborremoteas100neighborroutemapISPAOUToutneighborroutemapISPAINinneighborremoteas200neighborroutemapISPBOUToutneighborroutemapISPBINin!ipprefixlistADVseq5permit/24routemapISPBOUTpermit10matchipaddressprefixlistADVsetaspathprepend6500165001routemapISPAOUTpermit10matchipaddressprefixlistADVroutemapISPBINpermit10setlocalpreference200routemapISPAINpermit10setlocalpreference100说明：通过ISPB的入站路由设置更高Local_Preference200，引导出流量；向ISPB出站添加ASPath6500165001，使ISPB路径更长，引导入流量优先走ISPB；ISPB失效后Local_Preference消失，自动选ISPA。5.2计算类某高校分配到的IPv6地址块为2001:da8:100::/48，现需为16个学院各分配一个/56，为每个学院下属的32个系各分配一个/64，判断地址块是否足够，并给出第1学院第1系的地址范围。答案：/48可划2^(5648)=256个/56，需16个，足够；每个/56可划2^(6456)=256个/64，需32个，足够。第1学院/56：2001:da8:100:0100::/56第1学院第1系/64：2001:da8:100:0100::/64，范围2001:da8:100:0100::至2001:da8:100:0100:ffff:ffff:ffff:ffff。5.3分析类捕获文件trace.pcapng显示：源00向目的5的443端口连续发送长度为1字节的TCP报文，窗口大小恒定为256，无应用数据，间隔1秒，持续1小时。分析可能的攻击类型、危害及两种缓解措施。答案：疑似低速率DoS或连接保持攻击，目的是耗尽服务器连接表或防火墙状态表，导致正常用户无法建立SSL握手。危害：服务不可用、状态表溢出。缓解：1.防火墙设置最大空闲时间timewait=30s，超时强制RST；2.使用CDN边缘节点代理，源站仅接受白名单CDN地址。5.4综合类企业计划采用SASE架构，分支机构100个，每个分支20人，需同时访问云ERP、Office365、自建数据中心。给出网络拓扑简图文字描述、关键技术组件、安全控制点及两种用户认证方式。答案：拓扑：分支→本地PoP（SDWANCPE，隧道加密）→SASE云网关→互联网/云ERP/数据中心。组件：SDWAN、云安全Web网关、CASB、零信任控制面、防火墙即服务。安全控制：URL过滤、DLP、沙箱、IPS。认证：1.云身份IdP集成SAML单点登录；2.客户端证书+设备信任度评分。5.5计算+配置类公司计划部署IPSecVPN，总部固定IP0，分支动态IP。要求采用IKEv2、预共享密钥+证书混合认证、ESP加密算法AESGCM256、DHGroup20、完美前向保密，给出CiscoIOS总部侧完整配置，并计算理论最大吞吐量（假设CPU支持AESNI，单核1.8GHz，每字节需12cycles）。答案：