网络运维工程师工作内容

网络运维工程师工作内容一、单项选择题（每题2分，共20分）1.某企业核心交换机出现环路，STP协议已启用，但阻塞端口未生效。现场抓包发现BPDU报文目的MAC为01-80-C2-00-00-00，却被交换机当成普通组播转发。最可能的原因是A.端口被配置为PortFastB.端口被配置为BPDUFilterC.端口被配置为BPDUGuardD.端口被配置为RootGuard答案：B解析：BPDUFilter会强制端口不发送也不接收BPDU，导致STP无法阻塞环路。2.Linux系统出现“TIME_WAIT积压5万”告警，经核查net.ipv4.tcp_tw_reuse=1已开启，但积压仍持续增长。下列哪条内核参数可最快速缓解此问题且不影响新建连接正确性A.tcp_max_syn_backlogB.tcp_tw_recycleC.tcp_max_tw_bucketsD.tcp_fin_timeout答案：C解析：tcp_max_tw_buckets直接限制TIME_WAIT套接字最大数量，超过即丢弃，不会破坏已有连接状态机。3.某运营商MPLSVPN网络中，PE设备收到一条VPNv4路由，RD为65000:123，RT为65000:100与65000:200。本地VRF配置的importRT为65000:300，则该路由会被A.接收并放入VRF路由表B.接收但不放入VRF路由表C.直接丢弃D.接收后放入全局路由表答案：C解析：RT不匹配则VPNv4路由直接被丢弃，不会进入任何VRF。4.在IPv6网络中，主机发送NS报文解析链路层地址，目标地址使用A.被请求节点组播地址FF02::1:FFxx:xxxxB.所有节点组播地址FF02::1C.所有路由器组播地址FF02::2D.单播地址答案：A解析：NS使用“被请求节点组播”降低广播范围。5.某数据中心采用BGPEVPN做VXLAN控制面，当VM迁移后，原VTEP需发送何种路由通知远端撤销原MACA.Type-3(InclusiveMulticast)B.Type-2(MAC/IPAdvertisement)withMACMobilityExtendedCommunitysequence增加C.Type-5(IPPrefix)D.Type-4(EthernetSegment)答案：B解析：Type-2路由携带MACMobility序列号，序列号递增即表示迁移，远端收到更高序列号即刷新。6.某企业防火墙策略中，对DMZ区服务器启用“深度包检测”，发现上传ZIP文件被阻断，但策略并未明确禁止ZIP。最可能触发的检测技术是A.基于签名的IPSB.协议异常检测C.隐写分析D.文件解压后特征匹配答案：D解析：深度检测会将ZIP解压后扫描内部文件，若内部文件命中特征即阻断。7.在Kubernetes集群中，某Node因kubelet无法连接APIServer被标记为NotReady，但容器运行时仍正常。此时该Node上Pod状态为A.Running，但新Pod无法调度B.TerminatingC.UnknownD.CrashLoopBackOff答案：C解析：NodeNotReady超过一定时间，Controller将Pod状态设为Unknown。8.某ISP使用IS-IS作为IGP，将Level-1区域合并到Level-2时发现部分路由丢失，查看TLV发现MTU1500但LSP分片编号不连续。最可能原因是A.接口认证失败B.接口MTU不一致导致LSP分片被丢弃C.区域地址重复D.系统ID重复答案：B解析：IS-IS依赖MTU一致性，若接口MTU小于LSP分片大小则分片被丢弃。9.某企业采用802.1X对接入交换机做端口认证，使用EAP-TLS证书双向认证。客户端证书已安装，但认证失败，交换机debug显示“EAPtimeout”。下列排查优先级最高的是A.检查RADIUS共享密钥B.检查客户端是否信任服务器根证书C.检查交换机端口是否启用DHCPSnoopingD.检查客户端是否启用EAP-TLS作为首选方法答案：D解析：客户端未启用EAP-TLS则不会回应服务器请求，导致超时。10.某云厂商对象存储支持S3协议，客户通过预签名URL上传文件，URL中X-Amz-Expires=3600。若客户本地时钟比服务器慢2小时，则上传会A.成功B.返回403ForbiddenC.返回400BadRequestD.返回503SlowDown答案：B解析：AWS4签名算法要求Timestamp与服务器差值不超过15分钟，否则403。二、多项选择题（每题3分，共15分，多选少选均不得分）11.关于SNMPv3安全级别，下列组合正确的是A.noAuthNoPrivB.authNoPrivC.authPrivD.privNoAuth答案：A、B、C解析：SNMPv3仅定义三种安全级别，privNoAuth不符合规范。12.某企业使用Anycast地址提供公共DNS，以下哪些技术可实现Anycast节点间流量均衡与故障隔离A.BGP前缀等值路由B.OSPFLSA发布/32主机路由C.静态路由+track对象联动BFDD.DNS轮询答案：A、B、C解析：DNS轮询属于应用层，非网络层Anycast技术。13.在Linux系统中，下列哪些工具可直接查看进程打开socket的详细连接信息A.lsofB.ssC.netstatD.fuser答案：A、B、C解析：fuser仅显示占用进程PID，不显示连接详情。14.关于HTTP/2协议，下列说法正确的是A.头部压缩使用HPACKB.支持服务器推送C.基于TCP的443端口必须启用ALPND.同一域名下多路复用需使用不同源端口答案：A、B、C解析：多路复用共享同一TCP连接，无需不同端口。15.某数据中心采用Spine-Leaf架构，Leaf交换机作为VXLANL2Gateway，以下哪些协议可用于Leaf间EVPN路由互通A.eBGPB.iBGP路由反射器C.OSPFD.IS-IS答案：A、B解析：EVPN地址族依赖BGP，OSPF/IS-IS仅承载底层IGP。三、判断题（每题1分，共10分，正确打“√”，错误打“×”）16.TCP的拥塞窗口cwnd由接收方通过ACK字段直接通知。答案：×解析：cwnd由发送方根据算法自调整，接收方通知的是rwnd。17.在802.11ax中，OFDMA技术可将20MHz信道划分为多个资源单元，提高多用户并发效率。答案：√18.DNSSEC使用DS记录建立父域到子域的信任链，DS记录由子域生成并放在父域。答案：√19.当IPv6地址以FE80::/10开头时，一定属于链路本地地址，且只能在本链路泛洪。答案：√20.使用Wireshark抓取TLS1.3握手流量，若未获取服务器私钥，则无法解密任何应用数据。答案：√解析：TLS1.3使用ECDHE，前向保密，私钥无法回溯会话密钥。21.在Bash中，命令`tcpdump-iany-w|strings`可直接输出明文HTTP请求。答案：√解析：strings提取可打印字符，HTTP明文可被提取。22.当交换机端口处于err-disable状态时，必须先shutdown再noshutdown才能恢复。答案：×解析：也可使用errdisablerecovery自动恢复。23.在Python中，使用`socket.IP_HDRINCL`选项可让普通用户构造自定义TCP报文。答案：×解析：需CAP_NET_RAW权限，普通用户无法直接设置。24.使用RAID5的磁盘阵列，当两块盘同时损坏时，仍可正常读取数据。答案：×25.在Prometheus中，Gauge类型指标可增可减，适合记录CPU瞬时利用率。答案：√四、填空题（每空2分，共20分）26.在Linux系统调优中，为了降低高并发场景下SYNFlood风险，常将net.ipv4.tcp_syncookies设为________。答案：127.当使用iperf3测试UDP带宽时，若服务端命令为`iperf3-s`，客户端需增加参数________以指定UDP模式。答案：-u28.在BGP路由策略里，________属性用于影响相邻AS的选路，但不会被传递到第三方AS。答案：MED（Multi-ExitDiscriminator）29.某服务器使用Nginx反向代理，需将客户端真实IP透传给后端，需在location块添加头部字段________。答案：proxy_set_headerX-Real-IP$remote_addr;30.在IPv6地址2001:DB8:0:1:210:F3FF:FE11:2233中，接口ID部分采用________生成方式。答案：EUI-6431.当使用Git回退到历史提交并丢弃后续提交记录，应使用命令`gitreset--________HEAD~1`。答案：hard32.在Python中，使用`concurrent.futures.ThreadPoolExecutor`时，默认最大线程数为________。答案：min(32,os.cpu_count()+4)33.在Wireshark过滤器中，仅显示源端口为53的UDP报文，表达式为`udp.srcport==________`。答案：5334.当交换机启用DHCPSnooping后，默认情况下非信任端口收到DHCPOffer报文会被________。答案：丢弃35.在RAID10阵列中，允许最多损坏________块盘而不丢数据（假设镜像对均匀分布）。答案：N/2（N为偶数盘）五、简答题（每题10分，共20分）36.描述一次完整的TCP三次握手过程，并说明在Linux系统中如何观察SYN队列与Accept队列溢出。答案：（1）三次握手：①Client发送SYN=1、seq=x进入SYN_SENT；②Server回复SYN=1、ACK=1、seq=y、ack=x+1，进入SYN_RCVD；③Client发送ACK=1、seq=x+1、ack=y+1，进入ESTABLISHED，Server收到后进入ESTABLISHED。（2）观察方法：SYN队列溢出：`netstat-s|grep"SYNstoLISTEN"`查看`timesthelistenqueueofasocketoverflowed`；Accept队列溢出：`ss-lnt`查看`Recv-Q`超过`Send-Q`值；通过`dmesg`可见`TCP:dropopenrequestfrom...`提示。37.某企业采用VXLAN+EVPN构建多数据中心二层互联，简述VM从一个数据中心平滑迁移到另一数据中心时，控制面与转发面的具体流程，并说明如何防止流量黑洞。答案：控制面：①源VTEP检测到VM下线（如通过MAC老化或ARP清除）；②源VTEP发送BGPEVPNType-2路由，MACMobility序列号递增，RD与RT不变，携带ESI=0；③远端VTEP收到更高序列号，刷新本地MAC表，指向新VTEP。转发面：④新VTEP通过GratuitousARP触发本地学习；⑤核心交换机更新VXLAN封装目的VTEPIP。防黑洞：⑥启用BGPRouteDampening抑制震荡；⑦在旧VTEP配置MACWithdraw消息加速收敛；⑧使用BidirectionalForwardingDetection(BFD)监测VTEP可达性，若新VTEP不可达则保留旧表项。六、综合应用题（共15分）38.某互联网公司线上业务出现“偶发502BadGateway”告警，现象：Nginx错误日志`upstreamtimedout(110:Connectiontimedout)`；后端Tomcat无异常；问题集中在每日20:00-21:00；抓包发现Nginx发出SYN后3秒无响应，重传3次后RST。请给出系统化排查步骤、根因假设验证方法及最终优化方案。答案：步骤1：定位范围在Nginx服务器执行`mtr-r-c100<Tomcat_IP>`观察丢包节点；在Tomcat服务器`tcpdump-ianyport8080andhost<Nginx_IP>`确认SYN是否到达。步骤2：验证假设假设1：中间防火墙会话数耗尽登录防火墙查看`showsessioncount`与`showresourcelimit`；若会话数接近上限，再查看新建会话速率`showsessionrate`。假设2：Tomcat服务器内核SYNBacklog溢出`ss-s`查看`SYN-RECV`状态是否突增；`nstat-az|grepTcpExtListenOverflows`观察是否非零。假设3：Nginx本地端口耗尽`ss