2025年全国计算机等级考试四级网络工程师试卷实战指南

2025年全国计算机等级考试四级网络工程师试卷实战指南考试时间：______分钟总分：______分姓名：______一、选择题（共40题，每题1分，共40分。下列每题选项中，只有一项符合题意）1.在TCP/IP网络中，用于实现主机到主机通信的协议是（）。2.IEEE802.3标准定义了局域网的基本结构和（）。3.在OSI参考模型中，处理网络层数据包的设备工作在（）。4.VLSM（可变长子网掩码）技术的目的是（）。5.OSPF协议中，用于在不同区域之间传递路由信息的机制是（）。6.EIGRP协议是一种（）路由协议。7.在以太网中，用于标记不同VLAN的帧标签协议是（）。8.STP（生成树协议）的主要目的是（）。9.防火墙通常部署在网络（）。10.能够实现不同网络之间地址转换的技术是（）。11.VPN（虚拟专用网络）通过使用公网，通过使用相应的协议以低廉的成本方便地构建虚拟的专用网络，常采用的技术包括（）。12.在TCP连接建立过程中，三次握手协议的作用是（）。13.IP地址192.168.1.10/28表示该地址块包含（）个可用主机地址。14.路由器工作在OSI模型的（）。15.交换机工作在OSI模型的（）。16.物理层的主要功能是（）。17.数据链路层的主要功能是（）。18.网络层的主要功能是（）。19.传输层的主要功能是（）。20.应用层的主要功能是（）。21.无线局域网（WLAN）最常用的标准是（）。22.在网络规划中，确定网络拓扑结构需要考虑的主要因素包括（）。23.访问控制列表（ACL）主要用于实现（）。24.网络地址转换（NAT）的主要目的是（）。25.（）是网络管理的基本功能之一，用于收集网络设备运行状态信息。26.（）是网络管理的基本功能之一，用于控制网络设备的行为。27.（）是网络管理的基本功能之一，用于监控网络流量和性能。28.（）是网络管理的基本功能之一，用于管理网络中的各种资源。29.在网络设计中，选择路由协议时需要考虑的因素包括（）。30.能够提供比以太网更高的传输速率和更小的冲突域的技术是（）。31.在网络设备中，Console口通常用于（）。32.在网络设备中，VLANTrunk链路通常用于（）。33.（）是一种常用的网络安全扫描工具。34.（）是一种常用的网络性能监控工具。35.云计算中的网络通常具有（）等特点。36.SDN（软件定义网络）的核心思想是将网络控制平面与数据平面（）。37.网络工程实施过程中，文档编制属于（）阶段的工作。38.在进行网络故障排查时，常用的方法包括（）。39.（）协议用于将域名映射为IP地址。40.（）协议用于动态分配IP地址。二、综合应用题（共3题，共60分）1.（20分）某公司需要组建一个内部网络，有销售部、技术部和管理层三个部门，每个部门大约有30台计算机。要求：*采用星型拓扑结构，使用超五类双绞线进行布线。*使用交换机实现部门内部的网络连接，并为每个部门划分一个独立的VLAN，VLANID分别为10、20、30。*使用三层交换机实现不同部门之间的路由，并为每个部门分配一个私网IP地址段，分别为192.168.10.0/24、192.168.20.0/24、192.168.30.0/24。*管理层需要能够访问所有部门的主机，其他部门之间不能互相访问。*请简述网络拓扑设计思路，并给出核心网络设备的配置方案（包括交换机和三层交换机的配置命令）。2.（20分）某公司现有网络采用单臂路由方式连接两个部门，部门A的IP地址段为192.168.1.0/24，部门B的IP地址段为192.168.2.0/24。现需要增加一个销售部，IP地址段为192.168.3.0/24，销售部需要同时访问部门A和部门B的资源。要求：*采用防火墙实现网络隔离，销售部与部门A、部门B之间都需要进行访问控制。*防火墙需要配置NAT，使得销售部的内部主机可以访问互联网。*请简述网络改造方案，并给出防火墙的配置策略（包括区域划分、NAT配置和访问控制列表配置）。3.（20分）某公司网络出现故障，部分员工无法访问公司内部的Web服务器（IP地址为192.168.100.10）。网络管理员使用ping命令测试发现，员工PC可以ping通默认网关，但无法ping通Web服务器。已知该网络使用OSPF协议进行路由，网络管理员怀疑是路由问题导致的。要求：*请简述可能的原因。*网络管理员可以使用哪些命令进行进一步的排查？*如果确定是OSPF路由问题，请简述常见的解决方法。试卷答案一、选择题（共40题，每题1分，共40分。下列每题选项中，只有一项符合题意）1.B2.C3.B4.D5.C6.A7.D8.A9.B10.C11.A12.B13.B14.C15.D16.A17.D18.C19.B20.A21.B22.C23.D24.B25.C26.B27.A28.D29.D30.C31.A32.B33.C34.D35.A36.B37.C38.D39.A40.B二、综合应用题（共3题，共60分）1.（20分）*网络拓扑设计思路：采用核心层、分布层、接入层的三层网络架构。核心层使用一台三层交换机，负责路由和转发。分布层使用接入交换机连接各个部门的计算机。接入层使用超五类双绞线连接计算机和接入交换机。每个部门使用一个独立的VLAN，并通过三层交换机实现VLAN间路由。*核心网络设备配置方案：*交换机配置：```shell#创建VLANvlan10nameSalesvlan20nameTechvlan30nameManagement#将接口加入VLANinterfaceGigabitEthernet0/1switchportmodeaccessswitchportaccessvlan10interfaceGigabitEthernet0/2switchportmodeaccessswitchportaccessvlan20interfaceGigabitEthernet0/3switchportmodeaccessswitchportaccessvlan30```*三层交换机配置：```shell#配置接口IP地址interfaceVlan10ipaddress192.168.10.254255.255.255.0interfaceVlan20ipaddress192.168.20.254255.255.255.0interfaceVlan30ipaddress192.168.30.254255.255.255.0#配置VLAN间路由iprouting#配置ACLaccess-list101permitip192.168.10.00.0.0.255anyaccess-list101permitip192.168.30.00.0.0.255anyaccess-list101denyipanyany#应用ACLinterfaceVlan10ipaccess-group101ininterfaceVlan20ipaccess-group101ininterfaceVlan30ipaccess-group101in```2.（20分）*网络改造方案：在现有网络中增加一台防火墙，并将防火墙的内外网接口分别连接到互联网和公司内部网络。将部门A、部门B、销售部的网络分别连接到防火墙的不同接口或VLAN。配置防火墙实现网络隔离和NAT。*防火墙配置策略：*区域划分：```shell#创建区域zoneinsidezoneoutsidezoneDMZ#将接口加入区域interfaceGigabitEthernet1/1zone-nameinsideinterfaceGigabitEthernet1/2zone-nameoutside#如果Web服务器放在DMZ区域#interfaceGigabitEthernet1/3#zone-nameDMZ```*NAT配置：```shell#配置NAT策略natinsidetoanyinterfaceoutsidesourcestatic192.168.3.0192.168.3.0#如果Web服务器放在DMZ区域#natinsidetoanyinterfaceDMZsourcestatic192.168.100.10192.168.100.10```*访问控制列表配置：```shell#配置ACLaccess-list100permitip192.168.3.00.0.0.255anyaccess-list100denyipanyany#应用ACL#销售部访问部门Afirewall-cmd-IFORWARD-s192.168.3.0/24-d192.168.1.0/24-jACCEPT#销售部访问部门Bfirewall-cmd-IFORWARD-s192.168.3.0/24-d192.168.2.0/24-jACCEPT#防止部门A访问部门Bfirewall-cmd-IFORWARD-s192.168.1.0/24-d192.168.2.0/24-jDROP#防止部门B访问部门Afirewall-cmd-IFORWARD-s192.168.2.0/24-d192.168.1.0/24-jDROP```3.（20分）*可能的原因：*本地PC与默认网关之间路由缺失或配置错误。*默认网关与Web服务器之间路由缺失或配置错误。*防火墙阻止了PC与Web服务器之间的通信。*Web服务器自身故障或未启动。*排查命令：*`ping默认网关`：测试PC与默认网关之间的连通性。*`tracert192.168.100.10`：跟踪PC到Web服务器的路由路径，查看在哪段路径上出现故障。*`showiproute`：查看路由表，确认是否存在到达Web服务器的路由。*`showrunning-config`：查看网络设备的配置信息。*`showinterfaces`：查看网络接口的状态和配置信息。*`showipdhcpbinding`：查看DHCP地址分配情况。*`showaccess-lists`：查看访问控制列表的配置。*解决方法：*检查并修正本地PC与默认网关之间的路由。*检查并修正默认网关与Web服务器之间的路由，确保OSPF路由协议正常工作。*检查防火墙策略，确保允许PC与Web服务器之间的通信。*检查Web服务器状态，重启或修复Web服务器。解析一、选择题1.BTCP协议工作在传输层，提供可靠的、面向连接的端到端数据传输服务，是实现主机到主机通信的基础。2.CIEEE802.3是IEEE802标准族中定义局域网（LAN）的技术标准，它规定了以太网介质访问控制方法、物理层规范等。3.B网络层负责处理数据包的路由选择，实现网络间的连接。路由器是工作在网络层的设备，负责在不同网络之间转发数据包。4.DVLSM（可变长子网掩码）技术允许在同一子网中分配不同长度的子网掩码，从而更有效地利用IP地址空间，提高地址利用率。5.COSPF协议通过区域（Area）进行路由计算，不同区域之间通过ABR（区域边界路由器）传递路由信息，以减少路由计算量，提高网络的可扩展性。6.AEIGRP（增强型内部网关协议）是一种基于距离矢量算法的内部网关协议，由Cisco开发，特点是收敛速度快、路由表更新效率高。7.DVLAN（虚拟局域网）通过交换机的端口划分不同的广播域，为了在不同的VLAN之间传输数据，需要使用VLAN标签协议，如IEEE802.1Q。8.ASTP（生成树协议）用于在交换机网络中防止环路的形成，保证网络的稳定运行。9.B防火墙是网络安全设备，通常部署在网络边界，用于控制进出网络的数据流，保护内部网络免受外部威胁。10.CNAT（网络地址转换）技术可以将私有IP地址转换为公有IP地址，或者将公有IP地址转换为私有IP地址，实现不同网络之间的地址互通。11.AVPN（虚拟专用网络）可以通过公网构建虚拟的专用网络，常用的技术包括IPSec、SSLVPN等。12.BTCP连接建立过程通过三次握手协议实现，确保双方准备好进行数据传输，并同步初始序列号。13.BIP地址192.168.1.10/28表示子网掩码为255.255.255.240，该地址块包含16个地址，其中2个是网络地址和广播地址，所以可用主机地址为16-2=14个，但根据题目描述，应该是14个可用主机地址，所以答案是B。14.C路由器工作在OSI模型的网络层，负责在不同网络之间进行数据包的路由选择。15.D交换机工作在OSI模型的数据链路层，负责在同一局域网内根据MAC地址转发数据帧。16.A物理层负责在物理媒介上传输比特流，主要功能是建立、维护和释放物理连接，传输原始比特。17.D数据链路层负责在相邻节点之间可靠地传输数据帧，主要功能是帧同步、差错控制、流量控制和介质访问控制。18.C网络层负责在网络之间路由选择和数据包转发，主要功能是提供逻辑寻址、路由选择和拥塞控制。19.B传输层负责在两个应用程序之间提供端到端的通信服务，主要功能是分段、重组、流量控制和差错控制。20.A应用层是OSI模型的最高层，为用户应用程序提供网络服务接口，主要功能是数据表示、传输控制和应用进程间通信。21.BWLAN（无线局域网）是一种无线网络技术，最常用的标准是IEEE802.11系列，如802.11a/b/g/n/ac/ax等。22.C网络规划中，确定网络拓扑结构需要考虑的因素包括网络规模、性能需求、可靠性、安全性、成本等。23.D访问控制列表（ACL）主要用于实现网络访问控制，通过定义规则来允许或拒绝特定数据流通过。24.B网络地址转换（NAT）的主要目的是将私有IP地址转换为公有IP地址，隐藏内部网络结构，实现与互联网的互通。25.C网络管理的基本功能之一是性能管理，用于监控网络流量和性能，确保网络正常运行。26.B网络管理的基本功能之一是配置管理，用于控制网络设备的行为，配置网络参数。27.A网络管理的基本功能之一是故障管理，用于收集网络设备运行状态信息，检测和排除网络故障。28.D网络管理的基本功能之一是安全管理，用于管理网络中的各种资源，防止未授权访问和网络攻击。29.D在网络设计中，选择路由协议时需要考虑的因素包括网络规模、性能需求、可靠性、安全性、成本、可扩展性等。30.C在网络设计中，选择交换机技术时需要考虑的因素包括传输速率、冲突域大小、延迟等。千兆以太网（GigabitEthernet）能够提供比快速以太网更高的传输速率（1000Mbps），并且冲突域更小。31.A在网络设备中，Console口通常用于设备的初始配置，通过串口连接计算机和设备的管理端口。32.B在网络设备中，VLANTrunk链路通常用于连接不同交换机之间的VLAN信息，允许多个VLAN的数据通过同一条链路传输。33.CNmap（NetworkMapper）是一款常用的网络扫描工具，可以用于探测网络中的主机、服务和端口。34.DWireshark是一款常用的网络性能监控工具，可以捕获和分析网络流量，帮助诊断网络问题。35.A云计算中的网络通常具有虚拟化、弹性伸缩、分布式、高可用性等特点。36.BSDN（软件定义网络）的核心思想是将网络控制平面与数据平面分离，控制平面运行在控制器上，数据平面运行在网络设备上。37.C在进行网络工程实施过程中，文档编制属于项目管理和交付阶段的工作，需要在各个阶段进行记录和整理。38.D在进行网络故障排查时，常用的方法包括分步排查、隔离故障、替换法、使用网络管理工具等。39.ADNS（DomainNameSystem）协议用于将域名映射为IP地址，是互联网基础设施的重要组成部分。40.BDHCP（DynamicHostConfigurationProtocol）协议用于动态分配IP地址、子网掩码、网关、DNS服务器等网络配置信息。二、综合应用题1.网络拓扑设计思路：采用核心层、分布层、接入层的三层网络架构。核心层使用一台三层交换机，负责路由和转发。分布层使用接入交换机连接各个部门的计算机。接入层使用超五类双绞线连接计算机和接入交换机。每个部门使用一个独立的VLAN，并通过三层交换机实现VLAN间路由。*解析：三层网络架构能够提供更好的性能、可扩展性和管理性。核心层负责高速路由和转发，分布层负责策略控制和连接接入层，接入层负责连接终端设备。VLAN技术可以隔离广播域，提高网络安全性和管理效率。VLAN间路由可以实现不同部门之间的网络互通。*核心网络设备配置方案：*交换机配置：```shell#创建VLANvlan10nameSalesvlan20nameTechvlan30nameManagement#将接口加入VLANinterfaceGigabitEthernet0/1switchportmodeaccessswitchportaccessvlan10interfaceGigabitEthernet0/2switchportmodeaccessswitchportaccessvlan20interfaceGigabitEthernet0/3switchportmodeaccessswitchportaccessvlan30```*解析：首先创建三个VLAN，分别命名为Sales、Tech和Management，对应三个部门。然后将连接各部门计算机的交换机端口配置为接入模式，并将其加入相应的VLAN，这样同一VLAN内的计算机就可以互相通信。*三层交换机配置：```shell#配置接口IP地址interfaceVlan10ipaddress192.168.10.254255.255.255.0interfaceVlan20ipaddress192.168.20.254255.255.255.0interfaceVlan30ipaddress192.168.30.254255.255.255.0#配置VLAN间路由iprouting#配置ACLaccess-list101permitip192.168.10.00.0.0.255anyaccess-list101permitip192.168.30.00.0.0.255anyaccess-list101denyipanyany#应用ACLinterfaceVlan10ipaccess-group101ininterfaceVlan20ipaccess-group101ininterfaceVlan30ipaccess-group101in```*解析：在三层交换机上配置VLAN接口的IP地址，作为各部门网络的网关。启用IP路由功能，使三层交换机能够进行路由选择。配置访问控制列表（ACL）101，允许Sales和Management部门访问任意网络，拒绝其他所有访问。将ACL应用到VLAN10、VLAN20和VLAN30的入方向，实现不同部门之间的访问控制。2.网络改造方案：在现有网络中增加一台防火墙，并将防火墙的内外网接口分别连接到互联网和公司内部网络。将部门A、部门B、销售部的网络分别连接到防火墙的不同接口或VLAN。配置防火墙实现网络隔离和NAT。*解析：防火墙可以提供网络隔离和访问控制功能，保护内部网络免受外部威胁。通过将防火墙部署在网络边界，可以控制进出网络的数据流，实现安全策略。NAT技术可以实现内部网络与互联网之间的地址转换，隐藏内部网络结构，提高安全性。*防火墙配置策略：*区域划分：```shell#创建区域zoneinsidezoneoutsidezoneDMZ#将接口加入区域interfaceGigabitEthernet1/1zone-nameinsideinterfaceGigabitEthernet1/2zone-nameoutside#如果Web服务器放在DMZ区域#interfaceGigabitEthernet1/3#zone-nameDMZ```*解析：将防火墙的接口划分为三个区域：inside（内部网络）、outside（外部网络）和DMZ（隔离区）。根据题目描述，Web服务器可以放在DMZ区域，也可以直接放在内部网络。这里假设Web服务器放在DMZ区域。*NAT配置：```shell#配置NAT策略natinsidetoanyinterfaceoutsidesourcestatic192.168.3.0192.168.3.0#如果Web服务器放在DMZ区域#natinsidetoanyinterfaceDMZsourcestatic192.168.100.10192.168.100.10```*解析：配置NAT策略，将内部网络192.168.3.0/24的地址转换为防火墙的外部接口地址。如果Web服务器放在DMZ区域，还需要将Web服务器的地址转换为防火墙的DMZ接口地址。*访问控制列表配置：```shell#配置ACLaccess-list100permitip192.168.3.00.0.0.255anyaccess-list100denyipanyany#应用ACL#销售部访问部门Afirewall-cmd-IFORWARD-s192.168.3.0/24-d192.168.1.0/24-jACCEPT#销售部访问部门Bfirewall-cmd-IFORWARD-s192.168.3.0/24-d192.168.2.0/24-jACCEPT#防止部门A访问部门Bfirewall-cmd-IFORWARD-s192.168.1.0/24-d192.168.2.0/24-jDROP#防止部门B访问部门Afirewall-cmd-IFORWARD-s192.168.2.0/24-d192.168.1.0/24-jDROP```*解析：配置访问控制列表（ACL）100，允许内部网络192.168.3.0/24访问任意网络，拒绝其他所有访问。将ACL应用到防火墙的转发策略中，允许销售部访问部门A和部门B，禁止部门A和部门B互相访问。3.可能的原因：*本地PC与默认网关之间路由缺失或配置错误：如果PC无法ping通默认网关，说明PC与默认网关之间可能存在路由问题，例如路由表配置错误或默认网关配置错误。*默认网关与Web服务器之间路由缺失或配置错误：如果PC可以ping通默认网关，但无法ping通Web服