2026年华为认证考前冲刺练习题库带答案详解（培优B卷）

2026年华为认证考前冲刺练习题库带答案详解（培优B卷）1.在VRRP备份组中，当主设备发生故障后，以下哪种情况下备份组会选举新的主设备？

A.优先级最高的从设备（Preempt模式下）

B.IP地址最大的从设备

C.MAC地址最大的从设备

D.配置了VRRP的所有从设备随机选举【答案】：A

解析：本题考察VRRP（虚拟路由冗余协议）主备选举机制。VRRP备份组中，主设备（Master）的选举基于“优先级”，优先级高的设备优先成为主；若主设备故障，优先级最高的从设备（Backup）会在Preempt（抢占）模式下成为新主。因此A选项正确。B选项“IP地址最大”错误，VRRP选举不依赖IP地址大小；C选项“MAC地址最大”错误，VRRP虚拟MAC地址固定，与设备MAC无关；D选项“随机选举”错误，VRRP选举是基于优先级的确定性过程，非随机。2.关于FitAP（瘦AP）和AC（无线控制器）的描述，正确的是？

A.FitAP必须依赖AC进行管理，自身无法独立工作

B.FitAP可以独立完成SSID广播、加密认证等功能

C.AC仅负责对FitAP进行配置管理，不参与用户数据转发

D.FitAP支持本地转发模式，数据直接在AP和用户终端之间转发，无需经过AC【答案】：A

解析：本题考察WLAN中FitAP与AC的协作关系。选项A正确：FitAP（瘦AP）无独立工作能力，必须通过AC集中管理，自身仅负责无线接入；选项B错误：FitAP无法独立完成SSID广播、加密认证等功能，需由AC下发配置；选项C错误：AC在集中转发模式下，会转发用户数据（如DHCP、VLAN间流量）；选项D错误：FitAP支持本地转发（数据直连用户终端）和集中转发（数据经AC转发）两种模式，但“无需经过AC”仅描述了本地转发的一种情况，且题目问“正确描述”，A更本质。3.VXLAN报文在封装时，用于标识不同二层虚拟网络的核心参数是？

A.VNI（VirtualNetworkIdentifier）

B.MAC地址

C.IP地址

D.UDP端口号【答案】：A

解析：本题考察VXLAN技术的核心标识。VXLAN（虚拟扩展局域网）通过VNI（VirtualNetworkIdentifier）作为二层虚拟网络的核心标识，用于区分不同租户或业务的二层网络。选项B错误，MAC地址用于二层寻址而非虚拟网络标识；选项C错误，IP地址是三层标识，非核心虚拟网络标识；选项D错误，UDP端口号（默认4789）仅用于隧道封装，不标识虚拟网络。因此正确答案为A。4.关于华为设备中ACL（访问控制列表）的描述，以下哪项是正确的？

A.标准ACL仅能应用在入站方向，扩展ACL仅能应用在出站方向

B.标准ACL的规则序号范围是100-199，扩展ACL是1-99

C.标准ACL仅检查数据包的源IP地址，扩展ACL可检查源IP、目的IP、TCP/UDP端口等信息

D.标准ACL的规则数量有限制，扩展ACL无数量限制【答案】：C

解析：本题考察ACL分类与功能。正确答案为C。解析：ACL用于流量过滤，分为标准ACL和扩展ACL。A错误：ACL方向（入站/出站）与类型无关，标准和扩展ACL均可应用于入站或出站；B错误：标准ACL规则序号范围是1-99，扩展ACL是100-199（华为高级ACL范围为2000-3999，但题目未涉及）；C正确：标准ACL仅基于源IP地址过滤，扩展ACL可基于源IP、目的IP、TCP/UDP端口、协议类型等条件过滤；D错误：ACL规则数量受设备硬件和配置内存限制，与ACL类型无关。5.关于华为FitAP（瘦AP）的工作方式，以下描述正确的是？

A.FitAP支持本地独立配置，无需AC参与

B.FitAP的配置信息存储在AP本地闪存中

C.FitAP必须由AC（无线控制器）集中管理和配置

D.FitAP仅支持FAT工作模式【答案】：C

解析：本题考察FitAP与FATAP的区别。FitAP（瘦AP）自身无本地配置，需通过AC集中管理和配置，配置信息存储在AC上；FATAP（胖AP）具备本地配置能力，可独立工作。选项A、B、D均为FATAP的特点。因此正确答案为C。6.在网络规划中，采用VLSM（可变长子网掩码）技术的主要目的是？

A.简化子网掩码的配置流程

B.增强网络拓扑的冗余性

C.更高效地利用IP地址空间

D.降低路由协议的收敛时间【答案】：C

解析：本题考察VLSM的核心作用。VLSM允许为不同子网分配不同长度的子网掩码（如/24和/25），从而根据实际需求分配IP地址，避免因固定掩码导致的空间浪费，因此C正确。A错误（VLSM需更复杂的掩码规划）；B错误（冗余性由链路聚合等技术实现）；D错误（VLSM与路由收敛时间无直接关联）。7.OSPF路由协议中，关于RouterID的描述，以下正确的是？

A.OSPFRouterID是32位整数，由路由器的最大环回口IP或最高优先级的物理接口IP选举而来（若无环回口，取物理接口最大IP）

B.RouterID必须手动配置，不能自动生成

C.OSPFRouterID若未配置，将使用作为默认值

D.若路由器存在多个环回口，RouterID将取最小环回口IP地址【答案】：A

解析：本题考察OSPFRouterID的选举规则。正确答案为A，因为OSPFRouterID的选举优先级为：优先选择环回口（Loopback）IP地址，若无环回口则选择物理接口中IP地址最大的作为RouterID。B错误，RouterID支持自动选举；C错误，未配置时不会使用，而是自动选举物理接口最大IP；D错误，多个环回口时取最大IP而非最小。8.关于iSCSI协议在华为存储网络中的应用，以下哪项描述是正确的？

A.iSCSI是一种基于光纤通道（FC）的存储协议，适用于高速存储场景

B.iSCSI协议可实现IP网络上的块级数据传输，需配置IQN（iSCSI名称）进行身份认证

C.iSCSI仅支持文件级数据传输，无法实现虚拟机镜像的存储

D.在华为存储中，iSCSI发起端无需配置IP地址即可发现目标存储设备【答案】：B

解析：本题考察iSCSI协议的技术特性。iSCSI基于IP网络实现块级数据传输，需通过IQN（iSCSIQualifiedName）进行发起端与目标端的身份认证。A选项错误，iSCSI基于IP而非光纤通道（FC）；C选项错误，iSCSI支持虚拟机镜像等块级存储；D选项错误，iSCSI发起端必须配置IP地址才能与目标存储设备通信。因此正确答案为B。9.以下关于华为设备扩展ACL的描述，正确的是？

A.扩展ACL仅能基于源IP地址进行流量过滤

B.扩展ACL支持基于TCP/UDP端口号、源/目的IP地址的组合匹配

C.扩展ACL只能应用在接口的入站（Inbound）方向

D.扩展ACL默认不允许所有流量通过，需显式配置允许规则【答案】：B

解析：本题考察扩展ACL的功能特性。正确答案为B。原因：扩展ACL支持基于源IP、目的IP、协议类型（如TCP/UDP）、端口号等多维度匹配，实现更精细的流量控制。A错误，扩展ACL不仅限于源IP，还可基于目的IP、端口等；C错误，扩展ACL可应用在入站或出站方向，方向不同过滤逻辑不同；D错误，ACL默认行为取决于规则配置，华为设备默认允许未匹配规则的流量通过（需显式拒绝）。10.关于BGP路由协议的MED（Multi-ExitDiscriminator）属性，以下描述正确的是？

A.MED用于AS内部比较路由优先级，数值越小越优先

B.MED仅在AS间比较路由，帮助AS选择进入的最优路径

C.MED属性必须手动配置才能在BGP邻居间传递

D.AS收到两个不同邻居的路由时，优先选择MED值较大的路由【答案】：B

解析：本题考察BGP路由属性MED的作用。正确答案为B，MED是AS间路由比较的关键属性，用于指示到达目标AS的优选路径，数值越小越优先（如从两个出口进入AS时，优先选择MED小的路径）。选项A错误，MED仅在AS间比较，不用于AS内部；选项C错误，MED是BGP路由自带属性，无需手动配置；选项D错误，MED值越小越优先。11.在OSPF网络中，若某路由器接口的OSPF优先级被配置为0，则该接口参与DR/BDR选举的状态是？

A.不参与选举

B.成为DR

C.成为BDR

D.直接成为DR或BDR【答案】：A

解析：本题考察OSPF中DR/BDR选举的优先级规则知识点。OSPFDR/BDR选举基于接口优先级（Priority），当优先级为0时，该接口明确不参与DR/BDR选举；若优先级为1（默认值），则参与选举。选项B和C错误，因为优先级0的接口无法竞争DR/BDR角色；选项D错误，优先级0的接口直接排除选举资格，不会成为DR或BDR。12.在华为三层交换机上，通过以下哪种方式可以实现不同VLAN间的路由？

A.配置VLANIF接口并为其分配IP地址

B.使用物理接口直接连接不同VLAN设备

C.仅通过单臂路由（子接口）实现

D.必须启用VRRP协议辅助路由【答案】：A

解析：本题考察VLAN间路由的实现方式。华为三层交换机支持通过VLANIF接口（三层接口）实现VLAN间路由，只需为每个VLAN创建VLANIF接口并配置IP地址，即可实现该VLAN内设备与其他VLAN设备的通信。B选项物理接口直接连接不同VLAN设备会因未划分VLAN导致冲突；C选项单臂路由（子接口）通常用于路由器实现VLAN间路由，而非三层交换机的典型方式；D选项VRRP是虚拟路由冗余协议，用于提高网关可靠性，与VLAN间路由无关。因此正确答案为A。13.在生成树协议（STP）中，指定端口（DesignatedPort）的核心作用是？

A.转发所在网段的数据帧

B.作为根桥的备份端口

C.阻塞非根桥到根桥的冗余路径

D.选举区域内的DR（指定路由器）【答案】：A

解析：本题考察STP中指定端口的功能。指定端口是每个非根网段中，由距离根桥最近的交换机选择的端口，负责转发该网段的数据帧，确保数据从根桥到非根桥的最优路径。B选项是根端口的作用（非根桥到根桥的最短路径端口）；C选项是STP的整体目标（阻塞冗余路径），但非指定端口的直接作用；D选项DR是OSPF协议的概念，与STP无关。因此正确答案为A。14.在OSPF协议中，关于完全末梢区域（TotallyStubArea）的特性，以下哪项描述是正确的？

A.区域内路由器可以引入外部路由（AS-External-LSA）

B.该区域不允许存在Type3、Type4和Type5LSA

C.该区域的ABR（区域边界路由器）会将Type5LSA转换为Type3LSA

D.该区域必须直接与骨干区域（Area0）相连才能正常工作【答案】：B

解析：本题考察OSPF特殊区域的特性。完全末梢区域（TotallyStubArea）的核心特点是严格限制LSA类型：仅允许区域内的Type1（路由器LSA）和Type2（网络LSA），禁止引入外部路由（Type5LSA）、区域间路由（Type3LSA）和ASBR汇总路由（Type4LSA）。

-A错误：完全末梢区域不允许引入外部路由，仅NSSA区域支持引入外部路由；

-B正确：完全末梢区域明确禁止Type3、4、5类LSA；

-C错误：ABR不会对Type5LSA进行转换，且完全末梢区域本身不允许存在Type5LSA；

-D错误：完全末梢区域可以是普通非骨干区域（如Area1），只要通过ABR与骨干区域相连即可，无需直接连接Area0。15.在华为设备中，关于Console口登录的描述，正确的是？

A.若配置了Console口密码，用户需输入密码才能进入用户视图

B.默认情况下，Console口登录必须使用Telnet协议

C.Console口仅支持通过Console线连接，不支持网络连接

D.配置Console口登录时，默认使用VTY线路【答案】：A

解析：本题考察华为设备Console口登录的核心配置逻辑。正确答案为A。解析：A正确，当管理员配置Console口密码（如通过`user-interfaceconsole0`进入Console线路视图后执行`passwordsimpleXXXX`），用户登录时必须输入密码才能进入用户视图；B错误，Console口默认使用Console协议（物理线路），而Telnet使用VTY虚拟线路，两者独立；C错误，现代华为交换机支持通过Console口扩展模块实现远程登录（如堆叠线扩展），并非仅依赖物理Console线；D错误，VTY线路（如`user-interfacevty04`）是用于Telnet/SSH远程登录的，与Console口（`user-interfaceconsole0`）是不同的线路类型。16.建立IPSecVPN隧道时，以下哪种技术需要在两端设备上分别配置预共享密钥（PSK）和公网IP地址？

A.L2TPVPN

B.IPsecVPN

C.GREVPN

D.SSLVPN【答案】：B

解析：本题考察VPN技术配置要求。IPSecVPN（B选项）基于IPSec协议，通过预共享密钥（PSK）或数字证书认证，且需两端公网IP建立隧道；L2TPVPN（A选项）主要依赖用户名/密码认证，无需PSK；GREVPN（C选项）仅封装IP报文，不涉及PSK；SSLVPN（D选项）基于Web浏览器，通过证书或密码认证，无需PSK和公网IP。因此正确答案为B。17.以下关于ACL（访问控制列表）的描述中，哪一项是正确的？

A.标准ACL仅能匹配数据包的源IP地址，扩展ACL可匹配源IP、目的IP及端口号

B.标准ACL的编号范围是100-199，扩展ACL的编号范围是1-99

C.标准ACL必须应用在入站方向，扩展ACL必须应用在出站方向

D.标准ACL可以允许或拒绝整个网段的流量，扩展ACL只能允许或拒绝单个IP地址的流量【答案】：A

解析：本题考察ACL的基本分类与功能。选项A正确描述了标准ACL与扩展ACL的核心区别：标准ACL基于源IP地址（编号1-99），扩展ACL基于源IP、目的IP、协议类型、端口号等多层信息（编号100-199）。选项B混淆了标准ACL和扩展ACL的编号范围（标准ACL为1-99，扩展ACL为100-199）；选项C错误，ACL的应用方向（入站/出站）由实际需求决定，无强制方向限制；选项D错误，扩展ACL可通过通配符掩码匹配网段，同样支持网段级别的允许/拒绝。因此正确答案为A。18.在OSPF协议中，关于完全末梢区域（TotallyStubArea）的特性，以下描述正确的是？

A.允许Type3LSA进入该区域

B.该区域内的路由器必须配置ASBR

C.该区域可以接收Type5LSA

D.该区域的路由器会自动生成默认路由【答案】：D

解析：完全末梢区域（TotallyStubArea）不允许ASBR（自治系统边界路由器）和Type3/5LSA进入，仅允许Type1（RouterLSA）和Type2（NetworkLSA）。为实现外部网络访问，该区域路由器会自动生成一条默认路由（）。A错误，完全末梢区域禁止Type3LSA；B错误，完全末梢区域禁止ASBR存在；C错误，Type5LSA是外部路由，完全末梢区域不允许接收。19.关于华为交换机Access端口的描述，正确的是？

A.Access端口只能属于一个VLAN，且默认情况下收发数据时不带VLAN标签

B.Access端口可以属于多个VLAN，且默认情况下收发数据时不带VLAN标签

C.Access端口只能属于一个VLAN，且默认情况下收发数据时带VLAN标签

D.Access端口可以属于多个VLAN，且默认情况下收发数据时带VLAN标签【答案】：A

解析：本题考察VLAN中Access端口的特性。Access端口是接入用户设备的端口，只能属于一个VLAN（通过PVID配置），且默认情况下：数据进入端口时，若未携带VLAN标签则自动打上PVID对应的VLAN标签；数据离开端口时，若VLAN标签等于PVID则自动去除标签，对外表现为“不带VLAN标签”。选项B错误，Access端口仅支持单VLAN；选项C、D错误，默认情况下Access端口收发数据时不带VLAN标签。因此正确答案为A。20.在华为交换机中，若要实现不同VLAN间的通信，以下哪种方法是错误的？

A.使用三层交换机的VLANIF接口

B.使用路由器的子接口（Dot1Q封装）

C.使用二层交换机的Access接口连接不同VLAN

D.使用路由器的以太网接口分别连接不同VLAN【答案】：C

解析：本题考察VLAN间通信的实现方式。二层交换机的Access接口仅能属于一个VLAN，不同VLAN的Access接口无法直接通信（需三层设备转发）。选项A正确，三层交换机通过VLANIF接口（三层逻辑接口）实现VLAN间路由；选项B正确，路由器子接口可通过802.1Q封装实现单臂路由；选项D正确，路由器以太网接口通过物理端口分别连接不同VLAN可实现通信；选项C错误，Access接口无法实现跨VLAN通信，因此为正确答案。21.华为USG系列防火墙在默认配置情况下，安全策略的默认处理动作是？

A.允许所有流量通过

B.拒绝所有未匹配安全策略的流量

C.允许所有未匹配安全策略的流量

D.根据安全策略的源/目的IP自动决定【答案】：B

解析：本题考察华为防火墙安全策略的默认行为。防火墙安全策略默认遵循“最小权限原则”，即默认拒绝所有未明确允许的流量，需显式配置允许策略才能放行特定流量。

-A错误：默认不允许所有流量，否则会导致安全风险；

-B正确：默认行为为拒绝未匹配策略的流量；

-C错误：与防火墙安全策略“默认拒绝”的基本原则矛盾；

-D错误：安全策略无自动决策机制，默认规则固定为拒绝。22.在华为S系列交换机中，关于默认VLAN1的说法，正确的是？

A.必须手动创建才能使用

B.所有未配置的用户端口默认属于VLAN1

C.可以被管理员删除

D.仅支持基于端口的访问控制【答案】：B

解析：本题考察华为交换机默认VLAN1的特性。华为交换机出厂时默认VLAN1自动存在，无需手动创建（A错误）；所有未显式配置的用户端口（Access端口）默认属于VLAN1（B正确）；VLAN1为系统默认VLAN，无法被删除（C错误）；VLAN1的功能与其他VLAN一致，无特殊限制（D错误）。23.在路由器GigabitEthernet0/0/1接口配置ACL时，使用inbound方向的作用是？

A.对进入该接口的数据包进行过滤

B.对离开该接口的数据包进行过滤

C.对进入路由器的所有数据包进行过滤

D.对离开路由器的所有数据包进行过滤【答案】：A

解析：本题考察ACL的应用方向。inbound（入站）方向的ACL仅对进入该接口的数据包生效，用于过滤进入接口的流量；outbound（出站）方向的ACL才对离开接口的数据包生效（B错误）。选项C和D描述的是对“所有数据包”的过滤，不符合inbound仅针对该接口入站流量的定义。24.华为防火墙默认安全策略的默认动作是？

A.允许所有入站流量

B.拒绝所有入站流量

C.允许源地址到目的地址的特定流量

D.根据应用层协议自动判断【答案】：B

解析：本题考察华为防火墙默认安全策略的行为。华为防火墙默认安全策略（默认规则）对所有未匹配显式策略的流量默认执行“拒绝”动作，确保网络安全隔离。选项A错误，默认策略不允许所有流量；选项C错误，默认策略无“特定流量”的匹配逻辑；选项D错误，默认策略不涉及应用层协议判断。正确答案为B。25.在OSPF网络中，关于DR（指定路由器）和BDR（备份指定路由器）选举的描述，以下哪项是正确的？

A.DR必须是网段中接口IP地址最大的路由器

B.当网络中所有路由器的OSPF接口优先级均为0时，DR将选举为第一个收到Hello报文的路由器

C.优先级为0的路由器不会参与DR/BDR的选举过程

D.在NBMA网络中，DR和BDR的选举不会被触发【答案】：C

解析：本题考察OSPFDR/BDR选举规则。正确答案为C。解析：OSPFDR选举基于接口优先级（默认值为1），优先级高的路由器优先成为DR，若优先级相同则比较Router-ID（最大者胜出）。优先级为0的路由器明确不参与DR/BDR选举。A错误：DR选举与接口IP地址无关，IP地址大小不影响选举结果；B错误：所有路由器优先级为0时，DR/BDR选举不会触发（无选举触发条件），且Hello报文是周期性发送，不存在“第一个收到”的选举逻辑；D错误：NBMA网络（如帧中继）中，DR/BDR选举同样会触发，用于优化OSPF邻居发现和路由同步。26.在华为三层交换机上实现VLAN间路由，最常用且高效的方法是？

A.为每个VLAN创建一个物理接口并连接路由器

B.使用三层交换机的SVI（VLANInterface）接口

C.启用堆叠技术实现VLAN间直连

D.使用扩展ACL实现VLAN间流量控制【答案】：B

解析：本题考察VLAN间路由的实现方式。正确答案为B，三层交换机通过SVI（VLANInterface）接口（即VLANIF接口）实现VLAN间路由：为每个VLAN配置一个SVI接口并分配IP地址，三层交换机可直接转发VLAN间流量；选项A是传统路由器方案，效率低且占用物理接口；选项C错误，堆叠技术是设备物理堆叠，用于扩展端口密度，与路由无关；选项D错误，ACL用于流量过滤，不用于路由实现。27.在华为设备中实现VLAN间路由的单臂路由方案中，以下哪项配置是必须的？

A.物理接口配置为三层接口并开启IP地址

B.子接口封装为802.1Q协议并配置VLANID

C.物理接口与VLAN交换机的连接端口配置为Trunk模式

D.子接口的IP地址与VLAN内终端的IP地址在同一网段【答案】：B

解析：本题考察单臂路由的核心配置要点。单臂路由通过物理接口的子接口实现VLAN间路由，关键原理是每个VLAN对应一个子接口并配置VLANID。

-选项A：物理接口通常配置为二层接口（Access或Trunk），无需开启三层功能，仅子接口需三层配置，描述错误。

-选项B：子接口必须通过802.1Q协议封装VLANID，以识别不同VLAN流量，是单臂路由的核心配置，描述正确。

-选项C：物理接口与交换机连接端口可配置为Access或Trunk，Trunk仅需允许对应VLAN流量通过，非必须配置，描述错误。

-选项D：子接口IP地址与VLAN内终端同网段是路由可达的前提，但非“必须配置”（可先配置子接口IP再分配终端地址），描述错误。

正确答案为B。28.BGP路由的AS_PATH属性的主要作用是？

A.记录路由的下一跳IP地址

B.标识路由经过的自治系统（AS）列表

C.决定路由的MED（多出口判别器）值

D.描述路由在本自治系统内的优先级【答案】：B

解析：AS_PATH是BGP路由的核心属性，用于记录路由从本地AS到目的网络所经过的所有AS编号列表，防止环路（如包含本地AS则丢弃），B正确；下一跳IP地址由NEXT_HOP属性记录，A错误；MED值由路由策略手动配置，与AS_PATH无关，C错误；本地优先级（Local_Pref）描述本AS内路由优先级，D错误。29.在OSPF路由协议中，以下哪类区域是完全不传播外部路由的特殊区域？

A.Stub区域

B.TotallyStub区域

C.NSSA区域

D.骨干区域（Area0）【答案】：B

解析：本题考察OSPF特殊区域特性。TotallyStub区域（完全Stub区域）仅允许区域内路由器之间的路由，不传播外部路由（如默认路由），且无自治系统外部路由（AS-external-LSA）。选项A错误，Stub区域允许默认路由；选项C错误，NSSA区域可引入外部路由；选项D错误，骨干区域会传播所有路由，包括外部路由。因此正确答案为B。30.在OSPF协议中，以下哪种LSA用于描述本区域内的链路状态信息？

A.Type1LSA

B.Type2LSA

C.Type3LSA

D.Type5LSA【答案】：A

解析：本题考察OSPF协议中LSA（链路状态通告）的类型及作用。Type1LSA由非骨干区域的路由器生成，专门描述该路由器的直连链路状态信息（如接口IP、掩码、开销等）；Type2LSA由DR（指定路由器）生成，描述本网段内所有链路的状态；Type3LSA由ABR（区域边界路由器）生成，用于区域间路由汇总；Type5LSA由ASBR（自治系统边界路由器）生成，用于引入外部路由。因此正确答案为A。31.在华为交换机上，防范DHCP服务器欺骗攻击的主要技术是？

A.启用DHCPSnooping功能

B.启用IPSourceGuard功能

C.启用ARP防攻击功能

D.配置静态路由实现IP隔离【答案】：A

解析：本题考察DHCP欺骗防范。DHCPSnooping通过记录信任端口（如合法DHCP服务器），仅允许信任端口发送的DHCP报文，防止非法DHCP服务器伪造分配IP地址（A正确）。B错误，IPSourceGuard用于绑定IP-MAC，与DHCP欺骗无关；C错误，ARP防攻击针对ARP欺骗，不直接防范DHCP欺骗；D错误，静态路由无法防范非法DHCP服务器。32.华为设备配置ACL时，以下关于规则匹配顺序的描述正确的是？

A.按规则编号从小到大依次匹配

B.按规则配置的先后顺序依次匹配

C.先匹配源IP，再匹配目标IP

D.动态ACL的规则优先于标准ACL【答案】：B

解析：本题考察ACL规则的匹配机制。正确答案为B。解析：A错误，ACL规则的编号仅用于区分标准/扩展ACL类型（如标准ACL1-99、扩展ACL2000-2999），与匹配顺序无关，规则顺序需通过配置顺序确定；B正确，华为ACL默认采用“配置顺序优先”原则，即规则从上到下逐条匹配，第一条匹配的规则立即生效；C错误，ACL规则的匹配顺序仅由配置顺序决定，与“源IP→目标IP”等字段顺序无关；D错误，动态ACL（3000-3999）与标准ACL（1-99）的优先级由配置顺序决定，无默认“动态优先”的规则。33.华为RH2288HV5服务器支持的最大内存容量是？

A.64GB

B.128GB

C.256GB

D.512GB【答案】：C

解析：本题考察服务器硬件配置。RH2288HV5为双路机架式服务器，每CPU最大支持128GB内存（2路×128GB=256GB），因此最大内存容量为256GB（C正确）；A、B、D分别对应单路配置、部分场景参数或错误参数，均不符合该型号规格。34.华为防火墙默认的安全策略规则行为是？

A.允许所有入站流量，拒绝所有出站流量

B.拒绝所有入站流量，允许所有出站流量

C.允许所有入站和出站流量

D.拒绝所有入站和出站流量【答案】：B

解析：本题考察防火墙默认安全策略。华为防火墙默认安全策略规则为“拒绝所有入站流量，允许所有出站流量”，目的是防止未授权外部流量进入内部网络，同时允许内部主动发起的外部通信。A错误，默认不允许入站；C错误，默认策略不允许任意入站流量；D错误，默认允许内部主动出站通信。35.关于VLAN的描述，错误的是？

A.VLANID的取值范围是0-4095，其中0和4095为保留ID，不可使用

B.一个以太网端口（Access类型）只能属于一个VLAN

C.Trunk端口默认允许所有VLAN通过（除非配置了permit/deny规则）

D.VLAN技术通过802.1Q标签对不同VLAN的数据帧进行标识【答案】：C

解析：本题考察VLAN基础概念。正确答案为C。原因：Trunk端口默认仅允许VLAN1通过（access端口默认属于VLAN1，trunk端口默认不携带VLAN标签时为VLAN1），但题目描述“默认允许所有VLAN”错误。A正确，VLANID范围0-4095，0和4095为保留ID；B正确，Access端口仅属于一个VLAN；D正确，VLAN通过802.1Q标签（VLANTag）实现二层隔离。36.在OSPF协议中，关于骨干区域（Area0）的描述，以下哪项是正确的？

A.骨干区域的区域ID必须为0

B.非骨干区域可以不连接到骨干区域

C.骨干区域只能包含一个区域

D.骨干区域不能配置任何非骨干区域的设备【答案】：A

解析：本题考察OSPF骨干区域的基本概念。正确答案为A，因为OSPF协议规定骨干区域的区域ID必须为0，且所有非骨干区域必须通过区域边界路由器（ABR）连接到骨干区域。错误选项B：非骨干区域必须通过ABR连接到骨干区域，否则无法与其他区域通信；C：骨干区域可以同时连接多个非骨干区域（如Area1、Area2等）；D：骨干区域可以包含连接非骨干区域的ABR设备（属于骨干区域的一部分）。37.在OSPF协议中，以下哪项不是OSPF路由器建立邻居关系过程中可能出现的状态？

A.INIT

B.EXCHANGE

C.LOADING

D.FORWARDING【答案】：D

解析：本题考察OSPF邻居状态机知识点。OSPF邻居状态包括DOWN、INIT、2-WAY、EXSTART、EXCHANGE、LOADING、FULL。A.INIT（初始状态）、B.EXCHANGE（交换状态）、C.LOADING（加载状态）均为OSPF正常状态机中的合法状态；D.FORWARDING并非OSPF的邻居状态，因此D错误。38.在华为防火墙安全区域中，以下关于Local区域的描述，错误的是？

A.Local区域是设备自身所在的安全区域

B.所有接口默认属于Local区域

C.设备可以主动访问Local区域内的资源

D.Local区域的安全优先级默认最高（通常为300）【答案】：B

解析：本题考察防火墙安全区域的基本概念。正确答案为B，华为防火墙中仅Loopback（回环）接口默认属于Local区域，物理接口默认需手动配置归属（如Trust/Untrust/DMZ）。A正确，Local区域代表设备自身，用于保护管理平面；C正确，设备可主动访问自身回环地址等Local资源；D正确，Local区域安全优先级默认最高（300），不可修改。39.SDN（软件定义网络）的核心思想是？

A.将网络的控制平面与转发平面分离，通过集中控制器实现对网络的集中控制和灵活编程

B.依赖传统路由器的硬件转发能力，实现网络的高速数据传输

C.必须使用OpenFlow协议实现所有网络设备的互联互通

D.仅适用于数据中心网络，不适用于企业园区网【答案】：A

解析：本题考察SDN核心概念。A正确，SDN核心是“控制平面与转发平面分离”，通过集中控制器（如OpenDaylight）实现网络策略的集中管理和动态编程；B错误，SDN强调控制平面集中，转发平面由控制器管控，而非依赖传统路由器硬件；C错误，OpenFlow是SDN的一种实现技术，SDN不强制要求使用OpenFlow；D错误，SDN适用于数据中心、企业园区、广域网等多种场景。40.以下关于华为交换机QinQ技术的描述，错误的是？

A.QinQ可以将用户VLAN标签转换为运营商VLAN标签，实现多VLAN的隧道传输

B.华为交换机配置QinQ时，端口模式可设为dot1q-tunnel，将单VLAN标签帧封装为双标签

C.在QinQ配置中，内层VLAN标签不可配置，仅能由用户设备自动分配

D.QinQ技术可有效解决VLAN资源不足的问题，通过双层标签扩展VLAN数量【答案】：C

解析：本题考察QinQ技术原理。正确答案为C。解析：QinQ是“VLAN-in-VLAN”技术，通过双层标签扩展VLAN容量。A正确：外层标签由运营商分配，内层标签由用户VLAN提供，实现多VLAN的隧道传输；B正确：dot1q-tunnel模式下，设备会将用户单标签帧（内层）外层封装运营商标签，形成双标签帧；C错误：内层VLAN标签可手动配置（如通过端口允许的内层VLAN范围或端口配置），并非仅由用户设备自动分配；D正确：QinQ通过外层VLAN（4094种）和内层VLAN（4094种）组合，最多支持4094×4094个VLAN，有效解决VLAN资源不足问题。41.在OSPF路由协议中，Hello报文的主要作用是？

A.用于发现邻居并建立邻接关系

B.用于选举DR（指定路由器）和BDR（备份指定路由器）

C.用于周期性更新路由表中的路由信息

D.用于验证OSPF区域配置的正确性【答案】：A

解析：本题考察OSPFHello报文的功能知识点。OSPF的Hello报文主要用于在广播型网络中发现邻居路由器，通过交换Hello报文建立初始邻接关系，是OSPF邻居发现阶段的核心机制。B选项（选举DR/BDR）是通过DD报文和选举机制完成的；C选项（更新路由表）是通过LSA（链路状态通告）的泛洪和SPF算法计算实现的；D选项（验证配置）并非Hello报文的功能，通常通过ping或displayospf命令验证。因此正确答案为A。42.一个C类网络地址为/24，若需划分出4个等长子网，每个子网至少提供30台可用主机，以下哪个子网掩码符合要求？

A.28（/25）

B.92（/26）

C.24（/27）

D.40（/28）【答案】：B

解析：本题考察子网划分的基本计算。正确答案为B，C类网络默认掩码为/24（），划分4个子网需子网位n=log₂(4)=2位，总网络位=24+2=26位，即掩码92（/26）；每个子网可用主机数=2^(32-26)-2=62台，满足“至少30台”需求；选项A（/25）仅支持2个子网，不满足4个子网要求；选项C（/27）支持8个子网，且可用主机数30台（满足主机数但子网数过多）；选项D（/28）支持16个子网，可用主机数14台，均不满足。43.在华为交换机中，若需实现不同VLAN间的三层通信，以下哪种方法无法实现？

A.使用三层物理接口（三层交换机）

B.使用路由器的子接口（单臂路由）

C.使用交换机的SVI（VLAN接口）

D.使用堆叠技术【答案】：D

解析：本题考察VLAN间路由的实现方式。正确答案为D。解析：A正确，三层交换机通过配置VLANIF接口（三层物理接口）实现不同VLAN间三层路由；B正确，单臂路由通过路由器子接口封装802.1Q标签实现VLAN间三层通信；C正确，交换机的SVI接口（VLAN接口）本质是三层逻辑接口，支持三层转发；D错误，堆叠技术（如IRF）是通过物理堆叠线将多台交换机虚拟为一台设备，主要用于提高交换容量和冗余，不直接提供VLAN间三层路由功能。44.在华为交换机上配置ACL（访问控制列表）时，若要拒绝源IP为/24网段的所有流量进入设备，应将ACL规则应用在哪个方向？

A.入站（inbound）

B.出站（outbound）

C.双向（inbound和outbound）

D.无方向（默认方向）【答案】：A

解析：本题考察ACL应用方向的原理。正确答案为A，原因如下：-ACL的入站（inbound）方向规则在流量**进入设备接口**时匹配，可直接阻止外部流量进入设备；-出站（outbound）方向规则在流量**离开设备接口**时匹配，无法阻止流量进入设备，B错误；-ACL无“双向”配置，且默认方向需显式指定in/out，C、D错误。45.在华为VRP操作系统中，若当前处于系统视图（System-View），要查看设备当前运行的配置信息，应使用以下哪个命令？

A.displaystartup

B.displaycurrent-configuration

C.save

D.undocurrent-configuration【答案】：B

解析：本题考察VRP命令行基本操作。选项A错误：displaystartup用于查看启动配置文件（startup.cfg）的加载信息；选项B正确：displaycurrent-configuration用于实时查看设备当前生效的运行配置；选项C错误：save命令用于保存当前运行配置到启动配置文件（非查看操作）；选项D错误：VRP中无“undocurrent-configuration”命令，该命令不存在。46.在BGP协议中，以下关于EBGP邻居和IBGP邻居的描述，错误的是？

A.EBGP邻居必须配置在不同的自治系统（AS）中，且默认使用直连IP地址建立邻居关系

B.IBGP邻居必须配置在相同的自治系统（AS）中，且默认情况下不能共享路由信息

C.为了使IBGP邻居之间能够传递路由，通常需要配置“next-hop-local”属性

D.EBGP邻居之间的更新源（UpdateSource）可以是物理接口IP或Loopback接口IP【答案】：B

解析：本题考察EBGP与IBGP的核心区别。正确答案为B。解析：A选项正确，EBGP邻居必须位于不同AS，默认基于直连链路建立TCP连接（端口179）；B选项错误，IBGP邻居位于相同AS时，默认情况下会共享路由信息（需确保开启“nosynchronization”或配置路由反射器）；C选项正确，当IBGP邻居位于不同网段时，需通过“next-hop-local”修改下一跳为本地地址，否则会因下一跳不可达导致路由无法传递；D选项正确，EBGP更新源可灵活选择物理接口或Loopback接口IP（如通过“bgprouter-id”指定）。47.在OSPF协议中，关于区域（Area）的描述，以下哪项是错误的？

A.非骨干区域（非Area0）必须直接与Area0相连，或通过虚链路连接到Area0

B.Area0是骨干区域，所有非骨干区域必须与Area0直接相连

C.OSPF网络中至少存在一个骨干区域（Area0）

D.虚链路（VirtualLink）用于连接两个非骨干区域并穿越一个骨干区域【答案】：D

解析：本题考察OSPF区域的基本概念。OSPF区域中，Area0是骨干区域，所有非骨干区域必须直接与Area0相连或通过虚链路连接（虚链路仅用于连接非骨干区域到骨干区域，而非两个非骨干区域之间）。选项D错误，因为虚链路的作用是让无法直接连接Area0的非骨干区域通过另一台设备（通常是骨干区域内的设备）连接到Area0，而非连接两个非骨干区域。A、B、C描述均正确。48.在华为设备上，实现VLAN间三层互通的常用方法不包括以下哪项？

A.使用三层交换机的SVI（SwitchedVirtualInterface）接口

B.在路由器的物理接口上配置子接口，并封装802.1Q协议实现VLAN透传

C.在路由器的物理接口上直接配置多个IP地址，每个IP对应一个VLAN的网关

D.通过静态路由或动态路由协议实现不同VLAN间的路由转发【答案】：D

解析：本题考察VLAN间三层互通的实现方式。A、B、C均为常用方法：A中SVI接口通过为每个VLAN创建虚拟三层接口实现网关功能；B中路由器子接口通过802.1Q封装透传VLAN标签，实现VLAN间路由；C中路由器物理接口配置多IP（每个IP对应一个VLAN网关）是传统的VLAN间路由方案。D选项描述的是“实现路由的手段”（静态/动态路由协议），而非“互通方法”本身，因此不属于VLAN间互通的独立方法，故D为正确答案。49.OSPF协议中，关于骨干区域（Area0）的描述，以下哪项是正确的？

A.非骨干区域必须通过ABR与Area0相连

B.Area0可以直接连接多个骨干区域

C.骨干区域Area0中不能存在普通路由器（Non-BackboneRouter）

D.非骨干区域可以通过非ABR路由器直接与Area0相连【答案】：A

解析：本题考察OSPF骨干区域的基本概念。OSPF中，骨干区域Area0是所有非骨干区域的必要连接点，非骨干区域必须通过ABR（区域边界路由器）与Area0相连，因此A正确。B错误，因为Area0本身是唯一的骨干区域，不存在“多个骨干区域”；C错误，Area0中可以存在普通路由器（如仅属于Area0的路由器），只是普通路由器必须通过ABR连接非骨干区域；D错误，非骨干区域无法直接与Area0相连，必须通过具备Area0接口的ABR间接连接。50.在OSPF网络中，DR（指定路由器）的主要作用是？

A.减少邻接关系建立数量，提高网络稳定性

B.选举备用的OSPF路由器，防止主DR故障

C.仅用于骨干区域（Area0）的路由聚合

D.负责将非骨干区域的路由汇总到骨干区域【答案】：A

解析：本题考察OSPFDR选举的知识点。正确答案为A，因为DR在广播型网络（如以太网）中，负责收集所有非DR/BDR路由器的链路状态信息并向其他路由器同步，减少了邻接关系的建立数量（仅与DR建立邻接），避免了大量链路状态数据库同步风暴，提升网络稳定性。B错误，DR无“备用选举”概念，故障时BDR会升级为DR；C错误，DR选举与区域类型无关，骨干区域和非骨干区域均存在DR；D错误，区域间路由汇总由ABR（区域边界路由器）完成，DR不负责路由汇总。51.在华为云VPC（虚拟私有云）中，云服务器ECS访问公网的必要条件是？

A.必须绑定弹性公网IP（EIP）

B.通过NAT网关强制访问公网

C.云服务器默认开启公网访问权限

D.仅当配置了安全组规则允许出站时可访问【答案】：A

解析：本题考察华为云VPC的公网访问机制。VPC默认与公网隔离，ECS需绑定弹性公网IP（EIP）才能直接访问公网，因此A正确。B错误，NAT网关是访问公网的一种方式，但直接绑定EIP也可访问；C错误，默认无公网访问权限；D错误，安全组规则控制流量方向（入站/出站），但前提是已绑定EIP或配置NAT。52.在BGP协议中，关于EBGP邻居和IBGP邻居的建立，以下哪项描述正确？

A.EBGP邻居必须在不同的AS中，且邻居间必须直连

B.IBGP邻居必须在同一AS中，且邻居间必须直连

C.EBGP邻居的建立不需要配置update-source

D.IBGP邻居默认情况下会将下一跳修改为自己的IP地址【答案】：D

解析：本题考察BGP邻居建立条件。IBGP邻居默认情况下会将下一跳属性修改为自身IP地址（防止路由环路），D正确；A错误，EBGP邻居可非直连（需配置update-source），但必须在不同AS；B错误，IBGP邻居可非直连（仅需可达性），无需直连；C错误，EBGP邻居若非直连，需通过update-source指定源IP地址。53.华为S5720系列交换机默认情况下，不同VLAN间的用户能否直接通信？

A.允许

B.不允许

C.仅允许同VLAN内用户通信

D.取决于是否开启了三层功能【答案】：B

解析：本题考察VLAN默认隔离特性。正确答案为B。原因：VLAN是二层技术，默认情况下交换机未配置三层路由功能（如VLANIF接口），不同VLAN间因缺乏三层转发路径而无法直接通信。A错误，默认无三层功能时不同VLAN无法互通；C描述不准确，题目问“不同VLAN间”而非“同VLAN内”；D错误，VLAN间隔离是二层隔离特性，与三层功能无关，三层功能仅在配置VLANIF后才支持跨VLAN通信。54.在华为设备中，进入GE0/0/1接口配置模式的正确命令序列是？

A.system-view→interfaceGigabitEthernet0/0/1

B.interfaceGigabitEthernet0/0/1→ipaddress24

C.system-view→acl2000→interfaceGigabitEthernet0/0/1

D.interfaceGigabitEthernet0/0/1→undoshutdown【答案】：A

解析：本题考察华为设备接口配置基础。正确答案为A。进入接口配置模式需先进入系统视图（system-view），再通过interface命令指定接口（如GigabitEthernet0/0/1）；B选项直接使用interface命令而未进入系统视图，语法错误；C选项acl命令与接口配置无关；D选项是进入接口后配置（undoshutdown），而非进入配置模式的命令。因此B、C、D错误。55.当网络中两台直连设备之间无法ping通，但物理链路正常，可能的原因不包括以下哪项？

A.设备IP地址不在同一网段

B.设备之间路由配置错误

C.设备接口配置了ACL阻止ICMP报文

D.设备运行的OSPF协议处于DOWN状态【答案】：B

解析：本题考察网络故障排查。物理链路正常说明三层前无问题：A选项IP不同网段会导致三层不通，是可能原因；C选项ACL阻止ICMP会拒绝ping请求，是可能原因；D选项OSPFDOWN会导致邻居无法建立，无法通信，是可能原因；B选项“路由配置错误”中，直连设备无需配置路由（直连路由自动生成），因此路由配置错误不是无法ping通的原因。因此正确答案为B。56.关于OSPF协议中Hello报文的描述，错误的是？

A.用于发现并建立邻居关系

B.默认发送周期为10秒

C.包含发送方的RouterID

D.仅在广播型网络中发送Hello报文【答案】：D

解析：OSPFHello报文的核心作用是发现邻居和建立邻接关系，A正确；默认Hello时间为10秒，B正确；报文中包含发送方的RouterID、子网掩码等关键信息，C正确；而Hello报文在所有OSPF网络类型（广播、NBMA、点到点等）中均会发送，并非仅在广播型网络中发送，D错误。57.SNMPv3相对于SNMPv2c新增的核心安全特性是？

A.支持基于团体名的明文认证

B.支持数据加密传输

C.支持更多MIB对象类型

D.支持IPSec协议直接加密【答案】：B

解析：本题考察SNMP版本安全特性。SNMPv3在安全性上引入基于用户的认证（如HMAC-SHA）和数据加密（如DES/AES），确保管理信息传输安全。A错误，团体名是SNMPv1/v2c的明文认证方式；C错误，MIB扩展属于功能增强而非安全特性；D错误，IPSec是独立协议，SNMPv3通过自身加密实现，不依赖IPSec。58.华为防火墙安全策略的默认动作是？

A.默认允许所有流量

B.默认拒绝所有流量

C.默认允许内部到外部的流量

D.默认允许外部到内部的流量【答案】：B

解析：本题考察防火墙安全策略默认行为的知识点。正确答案为B，防火墙安全策略默认动作是拒绝所有未匹配策略的流量，这是网络安全的最佳实践（最小权限原则）。只有通过显式配置“允许”特定源/目的地址、服务的安全策略，对应流量才会被允许通过。A错误，默认允许所有流量会导致网络暴露风险；C和D错误，默认策略不区分“内部→外部”或“外部→内部”方向，均默认拒绝。59.以下哪种方法不属于实现VLAN间路由的常用技术？

A.单臂路由

B.三层交换机路由

C.路由器子接口

D.直接在交换机上配置路由【答案】：D

解析：本题考察VLAN间路由的实现方式。单臂路由通过路由器子接口实现不同VLAN间通信；三层交换机通过每个VLAN的SVI接口实现三层路由；路由器子接口是单臂路由的核心组件。而交换机默认工作在二层，不具备三层路由功能，无法直接配置路由协议或静态路由，因此D选项错误。60.华为USG防火墙中，要实现内网用户访问公网服务器（源地址私网转公网）且公网用户能访问内网服务器（公网地址转内网私网），应采用哪种NAT技术？

A.源NAT（SNAT）

B.目的NAT（DNAT）

C.双向NAT（源NAT+目的NAT）

D.EasyIP【答案】：C

解析：本题考察防火墙NAT技术应用。正确答案为C。原因：A仅实现内网→公网的源地址转换，无法满足公网访问内网；B仅实现公网→内网的目的地址转换，无法满足内网访问公网；D（EasyIP）是SNAT的简化形式，仅转换源地址，不支持双向访问。C通过同时配置源NAT和目的NAT，可实现双向地址转换，满足需求。61.关于华为设备ACL的应用规则，以下哪项描述是正确的？

A.标准ACL只能应用在出站（outbound）方向

B.扩展ACL的编号范围是100-199

C.扩展ACL无法匹配TCP协议的端口号

D.ACL规则默认按顺序匹配，匹配后继续查找后续规则【答案】：B

解析：华为设备中，标准ACL编号范围为1-99，扩展ACL编号范围为100-199，因此B正确。A错误，标准ACL可应用于入站（inbound）或出站（outbound）方向；C错误，扩展ACL支持按协议、源/目的IP、端口号等多维度匹配；D错误，ACL规则默认按顺序匹配，匹配后立即执行，不再检查后续规则。62.在OSPF协议中，用于检测OSPF邻居关系失效并触发重新选举的关键计时器是？

A.Hello计时器

B.Dead计时器

C.LSA更新计时器

D.SPF计算计时器【答案】：B

解析：本题考察OSPF协议的邻居检测机制。Hello计时器（默认10秒）用于周期性发送Hello报文建立和维护邻居关系；Dead计时器（默认40秒，为Hello计时器的4倍）用于检测邻居失效，当接口超过Dead时间未收到邻居的Hello报文时，认为邻居失效并触发DR/BDR重新选举。LSA是链路状态通告，SPF是最短路径优先算法，均不属于计时器。因此正确答案为B。63.在华为OceanStor存储系统中，为兼顾数据冗余与存储容量利用率，通常推荐使用的RAID级别是？

A.RAID0（条带化）

B.RAID1（镜像）

C.RAID5（带奇偶校验的条带化）

D.RAID6（双奇偶校验）【答案】：C

解析：本题考察RAID技术选型。RAID5通过将数据和1份奇偶校验信息分散存储在n+1块硬盘上，容量利用率为(n-1)/n（n为硬盘数量），兼顾冗余（允许1块硬盘故障）与容量。选项ARAID0无冗余，仅提升读写速度，不满足数据可靠性；选项BRAID1镜像容量利用率仅50%，冗余高但成本高；选项DRAID6支持双盘故障，容量利用率更低（(n-2)/n），适用于对数据可靠性要求极高的场景（如金融核心），非通常推荐选项。因此正确答案为C。64.在IPSecVPN的SA（安全关联）协商过程中，用于建立IKE（Internet密钥交换）安全策略的协议是？

A.AH

B.ESP

C.IKEv1/IKEv2

D.MD5【答案】：C

解析：本题考察IPSecVPN的协议组成。正确答案为C，原因如下：IKE（Internet密钥交换）是IPSec中负责建立SA的协议，基于IKEv1或IKEv2版本实现安全策略和密钥协商。选项A（AH）和B（ESP）是IPSec的封装协议，分别提供认证/完整性和加密/完整性；选项D（MD5）是IKE中可选的摘要算法，非独立协议。65.华为USG系列防火墙的安全策略默认行为是？

A.默认允许所有入站流量

B.默认拒绝所有流量

C.默认允许所有出站流量

D.默认拒绝所有策略匹配的流量【答案】：B

解析：本题考察防火墙安全策略的默认规则。华为防火墙安全策略默认行为是“拒绝”所有未明确允许的流量（B正确），即任何流量需显式配置策略才能通过。A、C错误，防火墙默认不允许任何方向的未授权流量；D错误，“默认拒绝策略匹配的流量”表述不准确，默认策略本身即拒绝所有未匹配的流量，而非仅针对匹配策略的流量。66.一个C类IP网络/24，需划分4个子网，每个子网至少支持20台主机，应选择的子网掩码是？

A.28(/25)

B.92(/26)

C.24(/27)

D.40(/28)【答案】：B

解析：C类网络默认掩码为/24（主机位8位）。要划分4个子网，需子网位≥2位（2²=4），对应掩码扩展2位，即/26（92）。此时每个子网的可用主机数为2^(8-2)-2=62台（≥20台），满足需求。选项A（/25）仅支持2个子网，不满足4个子网需求；选项C（/27）支持8个子网，但主机位5位，可用主机数30台（虽满足20台），但题目要求“至少4个子网”，/26已足够且更节省地址；选项D（/28）支持14个子网，主机位4位，可用主机数14台（<20台），不满足。因此正确答案为B。67.一个C类网络/24，若要划分出6个可用子网，每个子网至少10台主机，最优的子网掩码是？

A.28(/25)

B.92(/26)

C.24(/27)

D.40(/28)【答案】：C

解析：C类网络默认掩码为/24，主机位8位。划分6个子网需子网位n满足2^n≥6，n=3（2^3=8个子网），此时主机位=8-3=5位，每个子网可用主机数=2^5-2=30台（≥10台），子网掩码为24（/27），C正确。A（/25）子网数2不足，B（/26）子网数4不足，D（/28）子网数16过多浪费地址，均非最优。68.华为USG系列防火墙的安全策略默认动作为？

A.允许所有流量

B.拒绝所有流量

C.丢弃所有流量

D.仅允许管理员流量【答案】：B

解析：本题考察防火墙安全策略默认行为。华为USG防火墙默认采用“拒绝所有流量”策略，未匹配允许规则的流量会被拒绝；A选项“允许所有”与默认行为矛盾；C选项“丢弃”是ACL默认动作，非防火墙策略默认动作；D选项“仅允许管理员流量”不符合默认策略。因此正确答案为B。69.在华为路由器上，配置ACL拒绝源地址/8访问目标地址/8的流量，应应用在哪个接口方向？

A.入站接口（inbound）

B.出站接口（outbound）

C.同时应用入站和出站

D.仅需在目标网段的入站接口【答案】：B

解析：ACL方向需根据流量流向选择：入站ACL过滤进入接口的流量，出站ACL过滤离开接口的流量。要阻止内部（/8）访问外部（/8），应在连接外部的出站接口应用ACL（过滤离开路由器的流量）。选项A入站接口过滤的是进入路由器的流量，无法阻止内部发起的访问；选项C错误，ACL无需双向应用；选项D描述不明确且方向错误。70.关于华为交换机中VLANIF接口的描述，正确的是？

A.用于实现不同VLAN间的三层通信

B.只能绑定到物理接口使用

C.默认情况下自动创建所有VLANIF接口

D.仅能配置一个IP地址【答案】：A

解析：本题考察VLANIF接口功能。VLANIF接口是虚拟三层接口，需手动创建（如interfaceVlanif10）并配置IP地址，用于实现不同VLAN间的三层路由。B错误，VLANIF为虚拟接口，不依赖物理端口；C错误，需手动创建对应VLAN的VLANIF接口；D错误，可配置多个VLANIF接口对应不同网段IP。因此正确答案为A。71.在华为设备中，实现不同VLAN间通信的常用方式不包括以下哪种？

A.使用三层交换机的VLANIF接口配置子接口

B.通过路由器的单臂路由（One-ArmRouting）

C.直接使用物理接口连接不同VLAN的设备

D.在三层交换机上为每个VLAN配置对应的三层接口【答案】：C

解析：本题考察VLAN间路由的实现方式。正确答案为C。解析：A选项正确，三层交换机通过VLANIF接口（三层子接口）可实现VLAN间三层通信；B选项正确，单臂路由通过路由器的子接口配置不同VLAN的IP地址，实现跨VLAN通信；C选项错误，物理接口若未配置三层IP或VLANIF，直接连接不同VLAN的设备默认无法通信，属于无效方式；D选项正确，为每个VLAN配置独立三层接口（如VLANIF）是常见方案。72.某公司内网100台主机仅申请到1个公网IP用于访问互联网，需实现多主机共享该公网IP，应采用哪种技术？

A.静态NAT

B.动态NAT

C.PAT（端口地址转换）

D.DHCP【答案】：C

解析：本题考察NAT技术的类型。静态NAT（A）是一对一映射，无法实现多主机共享；动态NAT（B）需多个公网IP地址，且不保留端口号区分；PAT（C）通过复用公网IP的端口号，实现多台内网主机共享1个公网IP，同时保留端口号区分不同连接；DHCP（D）仅用于动态分配IP地址，不涉及NAT功能。73.以下关于VLAN端口类型的说法，正确的是？

A.Access端口可以同时允许多个VLAN的数据帧通过

B.Trunk端口默认情况下允许所有VLAN的数据帧通过

C.Hybrid端口只能用于连接终端设备（如PC）

D.Trunk端口默认情况下只允许VLAN1的数据帧通过【答案】：B

解析：本题考察VLAN端口类型的特性。A错误，Access端口仅允许属于其PVID（端口VLANID）的VLAN数据帧通过，且默认不打标签，无法同时承载多个VLAN；B正确，Trunk端口默认允许所有VLAN通过（除非配置VLAN过滤），常用于交换机间级联以传递多VLAN流量；C错误，Hybrid端口支持多VLAN灵活配置，可连接服务器或三层设备，并非仅用于终端；D错误，Trunk端口默认无VLAN过滤，允许所有VLAN通过，而非仅VLAN1。74.关于ACL（访问控制列表）的描述，错误的是？

A.标准ACL（StandardACL）仅基于源IP地址进行匹配，规则编号范围为1-99

B.扩展ACL（ExtendedACL）可以基于源IP、目的IP、TCP/UDP端口号等进行匹配，规则编号范围为100-199

C.ACL规则的匹配顺序是“自上而下”，一旦匹配到规则就停止匹配后续规则

D.默认情况下，ACL对未匹配的流量允许通过，对匹配的流量拒绝通过【答案】：D

解析：本题考察ACL基础特性。A、B正确，标准ACL基于源IP（1-99），扩展ACL基于源/目的IP、端口等（100-199）；C正确，ACL规则按配置顺序自上而下匹配，命中即停止；D错误，ACL默认规则是“拒绝所有未匹配流量”，而非允许。只有显式配置“允许”规则时，才会允许对应流量通过。75.在OSPF路由协议中，关于区域（Area）的描述，以下哪项是正确的？

A.Area0（骨干区域）必须存在且不能包含任何非骨干区域

B.非骨干区域可以不与Area0直接相连，只需通过虚连接连接

C.Area0中必须选举DR和BDR，且DR优先级为0时将无法成为DR

D.非骨干区域可以直接与多个骨干区域相连以提高冗余性【答案】：B

解析：本题考察OSPF区域类型的基本概念。正确答案为B，因为非骨干区域（如Area1、Area2等）必须通过虚连接（Virtual-Link）或直接物理连接与骨干区域Area0相连，即使物理上不直接相连，也可通过虚连接实现逻辑连通。错误选项A：Area0是骨干区域，非骨干区域可以直接连接到Area0，因此Area0本身可包含非骨干区域；错误选项C：Area0同样需要选举DR/BDR，DR优先级为0时，该设备不会成为DR，但DR/BDR选举规则与普通区域一致；错误选项D：OSPF规范中，非骨干区域只能与一个骨干区域（Area0）相连，不能直接与多个骨干区域相连。76.VXLAN技术中，VNI（VXLANNetworkIdentifier）的主要作用是？

A.用于标识VXLAN隧道的源地址

B.用于标识不同的VXLAN二层广播域

C.用于封装GRE协议的关键参数

D.用于在GRE隧道中区分不同的IP报文【答案】：B

解析：本题考察VXLAN核心概念知识点。VXLAN通过VNI（虚拟网络标识符）区分不同的VXLAN二层广播域（即不同租户或业务隔离域），VNI本质是32位整数，用于标识独立的VXLAN网络实例（B正确）。VNI与隧道源地址无关（A错误）；VXLAN采用UDP封装而非GRE（C错误）；GRE用于三层隧道，与VXLAN的VNI功能无关（D错误）。77.在华为防火墙中，以下关于NAT（网络地址转换）的说法，正确的是？

A.静态NAT可将多个内网IP映射到一个公网IP

B.动态NAT支持端口级别的转换（如PAT）

C.源NAT转换的是数据包的源IP地址，目的NAT转换的是目的IP地址

D.华为防火墙默认禁止NAT转换，需手动配置【答案】：C

解析：本题考察NAT的核心概念。源NAT（如PAT）转换源IP地址（可结合端口），目的NAT转换目的IP地址；选项A错误（静态NAT是一对一映射，动态NAT可多对一）；选项B错误（PAT属于动态NAT的一种，且动态NAT本身指IP转换，PAT特指端口转换）；选项D错误（华为防火墙默认允许NAT转换，无需额外配置）。因此正确答案为C。78.在OSPF协议中，关于NSSA（Not-So-StubbyArea）区域的描述，以下哪项是正确的？

A.允许ASBR引入外部路由并通告到区域内（类型7LSA）

B.禁止ASBR引入任何外部路由

C.必须由ABR配置默认路由才能正常通信

D.不支持虚链路连接骨干区域【答案】：A

解析：本题考察OSPFNSSA区域的特性。NSSA区域允许区域内的ASBR引入外部路由（通过类型7LSA），ABR会将类型7LSA转换为类型5LSA通告到骨干区域，因此A正确。B错误，NSSA仅限制外部AS的类型5LSA，允许区域内ASBR引入外部路由；C错误，NSSA的ABR会自动生成默认路由（类型7LSA），无需手动配置；D错误，虚链路配置与区域类型无关，NSSA可通过虚链路连接骨干区域。79.在OSPF协议中，以下哪种区域不允许外部路由（Type4/5LSA）进入？

A.骨干区域（Area0）

B.标准非骨干区域（AreaN）

C.完全末节区域（TotallyStubArea）

D.非完全末节区域（NSSA）【答案】：C

解析：本题考察OSPF特殊区域特性。正确答案为C。OSPF中，末节区域（StubArea）不允许Type4/5LSA（外部路由）进入，仅允许Type1/2/3LSA；完全末节区域（TotallyStubArea）进一步限制，不仅不允许Type4/5LSA，还不允许Type3LSA（SummaryLSA），仅允许Type1/2LSA；非完全末节区域（NSSA）允许引入外部路由（Type7LSA）并转换为Type5LSA；骨干区域（Area0）是OSPF核心区域，允许所有LSA类型。因此A、B、D均错误。80.若IP地址为/24，其子网掩码对应的可用主机数是多少？

A.254

B.256

C.1024

D.65534【答案】：A

解析：本题考察子网划分的主机数计算。/24表示子网掩码为，主机位为8位，可用主机数=2^8-2=254（减去网络地址和广播地址）；选项B是总地址数（含网络和广播），C是/16子网的主机数（2^16-2=65534，对应选项D），D是/16的总地址数（2^16=65536）。81.关于华为设备中PAT（端口地址转换）的说法，错误的是？

A.PAT可以将多个内网IP地址映射到一个公网IP地址的不同端口

B.PAT默认使用ACL来匹配需要转换的内网地址

C.PAT仅支持IPv4地址的转换，不支持IPv6地址

D.PAT的主要作用是解决内网IP地址不足的问题，同时隐藏内网结构【答案】：B

解析：本题考察PAT（端口地址转换）的技术细节。正确答案为B，原因：华为PAT功能需手动配置ACL指定源地址范围（如acl2000rule0permitsource55），但并非“默认使用ACL”，需管理员手动配置。选项A正确，PAT通过端口号区分不同内网IP，实现多对一映射；选项C正确，PAT是IPv4特有的地址转换技术，IPv6无需NAT/PAT；选项D正确，PAT通过端口复用解决内网IP不足，同时隐藏内网IP结构。82.关于BGP路由协议的同步机制，以下描述正确的是？

A.BGP同步机制要求BGP路由器在向IBGP邻居发布路由时，该路由必须同时存在于IGP路由表中

B.华为