2026年思科网络设备面试试题及答案

2026年思科网络设备面试试题及答案一、单选题（共10题，每题2分）1.题目：在思科网络中，哪种VLANTrunking协议在安全性上优于dot1Q？A.ISLB.802.1QC.IEEE802.1adD.MSTP答案：A解析：ISL（Inter-SwitchLink）通过将数据帧封装在802.2帧中实现Trunk功能，比dot1Q（802.1Q）更早，但安全性更高，因为它对VLAN标签进行加密。dot1Q是开放标准，无加密；IEEE802.1ad用于QinQ；MSTP是dot1Q的扩展，用于优化VLAN处理。2.题目：思科ISR路由器中，哪个模块（槽位）用于部署防火墙功能？A.Module0B.WLCC.ASAv（AdvancedSecurityApplianceVirtualization）D.Supervisor2Plus答案：C解析：ASAv是思科防火墙功能在ISR上的虚拟化部署，无需物理模块。Module0通常是控制板；WLC是无线控制器；Supervisor2Plus是主控板，但不直接承载防火墙功能。3.题目：在思科路由器上配置NAT时，以下哪个命令用于指定内部接口？A.ipnatinsideB.ipnatoutsideC.ipnatoverloadD.ipaccess-listextended答案：A解析：ipnatinside用于标记内部网络的接口；ipnatoutside用于外部接口；ipnatoverload实现PAT（端口地址转换）；ipaccess-listextended是访问控制列表。4.题目：思科交换机上的PortFast功能适用于哪种场景？A.链路聚合B.根桥选举C.消除STP延迟D.QoS优先级答案：C解析：PortFast用于接入层端口，跳过STP的Listening和Learning状态，减少延迟，适用于直连服务器或终端设备。链路聚合是LACP；根桥选举是STP功能；QoS是流量调度。5.题目：思科CSR1000V路由器部署EIGRP时，默认的AS号是多少？A.100B.200C.6500D.1答案：D解析：思科所有路由协议（EIGRP、OSPF等）默认AS号为1，除非手动修改。6500系列是华为设备默认AS。6.题目：在思科无线网络中，哪个功能用于防止非法AP接入？A.WPA2-EnterpriseB.MAC地址过滤C.RogueAPDetectionD.802.1X答案：C解析：RogueAPDetection是无线入侵检测功能，用于识别非授权AP。WPA2-Enterprise是认证方式；MAC过滤是基础安全；802.1X是端口认证。7.题目：思科交换机上的LLDP协议主要用于什么？A.VLAN配置同步B.链路状态同步C.设备信息发现D.流量加密答案：C解析：LLDP（LinkLayerDiscoveryProtocol）用于发现直连接口对端的设备信息（如厂商、型号），类似网管协议。VLAN配置同步是VTP；链路状态同步是STP；流量加密是IPSec。8.题目：思科ISR路由器上部署VPN时，以下哪种协议最适用于分支机构互联？A.GREoverIPsecB.MPLSL3VPNC.L2TPv3D.OpenVPN答案：A解析：GREoverIPsec是思科经典VPN方案，适用于简单分支互联。MPLSL3VPN是运营商级；L2TPv3较老旧；OpenVPN是第三方方案。9.题目：在思科交换机上，哪个命令用于查看生成树协议（STP）的状态？A.showspanning-treeB.showvlanbriefC.showinterfacestrunkD.showiproute答案：A解析：showspanning-tree显示STP详细信息，包括端口状态、根桥等。showvlanbrief是VLAN概览；showinterfacestrunk是Trunk端口信息；showiproute是路由表。10.题目：思科防火墙（如Firepower4120）中，哪个区域默认允许所有流量通过？A.UntrustworthyB.TrustworthyC.ManagementD.DMZ答案：B解析：Trustworthy（可信区）通常默认允许流量，用于内部网络。Untrustworthy（非可信区）是外部网络；Management（管理区）用于网管；DMZ是隔离区。二、多选题（共5题，每题3分）1.题目：思科交换机配置链路聚合（LACP）时，以下哪些命令是必要的？A.channel-group<number>modeactiveB.switchportmodetrunkC.mlsqosprioritylevel1D.spanning-treeportfast答案：A,B,D解析：LACP需要配置channel-group模式（active被动或active主动）、Trunk封装和PortFast（消除延迟）。QoS与链路聚合无关。2.题目：思科ISR路由器部署IPSecVPN时，以下哪些是关键配置？A.cryptoipsectransform-setB.cryptomapinterfaceC.access-listforNATD.isakmppolicy答案：A,B,D解析：IPSec需要加密集（transform-set）、接口映射（cryptomap）和IKE策略（isakmp）。NAT与IPSec不直接关联。3.题目：思科无线控制器（WLC）配置CAPWAP隧道时，以下哪些参数需要设置？A.SSIDB.MobilityDomainC.CAPWAPEncryptionKeyD.VAPPriority答案：B,C解析：CAPWAP隧道需要MobilityDomain（移动域）和加密密钥。SSID是无线网络名称；VAPPriority是接入优先级。4.题目：思科防火墙配置NAT时，以下哪些区域需要定义？A.TrustworthyB.UntrustworthyC.DMZD.Any答案：A,B,C解析：NAT通常在Trustworthy（内部）、Untrustworthy（外部）和DMZ（隔离区）之间部署。Any不是标准区域。5.题目：思科交换机配置VLAN时，以下哪些命令是正确的？A.vlan10nameSalesB.switchportmodeaccessC.switchportaccessvlan10D.noshutdown答案：A,B,C解析：配置VLAN需要命名（vlan10nameSales）、端口模式（switchportmodeaccess）和分配VLAN（switchportaccessvlan10）。noshutdown是端口启用命令。三、简答题（共3题，每题5分）1.题目：简述思科ISR路由器中ASAv（AdvancedSecurityApplianceVirtualization）的工作原理。答案：ASAv是思科在ISR上虚拟化防火墙功能的技术，通过虚拟化技术将防火墙功能（如防火墙策略、NAT）部署在路由器上，无需物理防火墙设备。其工作原理包括：-利用思科防火墙芯片（如ASIC）实现高性能处理；-通过虚拟化技术（如KVM）隔离防火墙进程；-支持与物理防火墙联动，实现高可用；-支持思科统一安全平台（USP）策略同步。2.题目：解释思科交换机中BPDUGuard的功能及其应用场景。答案：BPDUGuard是思科交换机STP安全功能，用于防止恶意或错误BPDU（桥接协议数据单元）导致网络中断。其工作原理是：-当端口收到非根BPDU时，自动将该端口置于禁用状态；-需要配置accessvlan和port-security（可选）。应用场景：接入层端口，防止非法AP通过端口发送BPDU影响网络稳定。3.题目：描述思科无线网络中CAPWAP隧道的主要作用及协议特点。答案：CAPWAP（ControlandProvisioningofWirelessAccessPoints）隧道的主要作用是：-将无线控制信令（如身份认证、漫游）加密传输到WLC；-实现无线控制器与AP之间的轻量级通信。协议特点：-基于UDP（默认端口5246）；-支持隧道加密（如AES）；-采用主从架构（WLC为主，AP为从）。四、实践题（共2题，每题10分）1.题目：在思科CSR1000V路由器上配置EIGRP100，要求：-区域0包含接口GigabitEthernet0/0/0（192.168.1.0/24）和GigabitEthernet0/0/1（10.0.0.0/24）；-区域1包含接口GigabitEthernet0/0/1（10.0.0.0/24）的另一个子网（10.0.1.0/24）。答案：!EIGRP配置routereigrp100network192.168.1.0network10.0.0.0!区域划分routereigrp100area0192.168.1.0routereigrp100area110.0.1.0!接口配置interfaceGigabitEthernet0/0/0ipaddress192.168.1.1255.255.255.0ipeigrp100area0noshutdowninterfaceGigabitEthernet0/0/1ipaddress10.0.0.1255.255.255.0ipeigrp100area0ipeigrp100area110.0.1.0noshutdown2.题目：在思科Catalyst3750交换机上配置VLAN10和VLAN20，要求：-接口GigabitEthernet0/1加入VLAN10（IP地址192.168.10.1/24）；-接口GigabitEthernet0/2加入VLAN20（IP地址192.168.20.1/24）；-配置Trunk接口GigabitEthernet0/3，允许VLAN10和VLAN20通过。答案：!VLAN配置vlan10nameSalesexitvlan20nameEngineeringexit!接口配置interfaceGigabitEthernet0/1switchportmodeaccessswitchportaccessvlan10ipaddress192.168.10.1255.255.255.0noshutdowninterfaceGigabitEt