2025年华为认证题库试题附答案详解

2025年华为认证题库试题附答案详解一、单项选择题（每题2分，共20分）1.某企业部署IPv6网络，核心路由器R1通过OSPFv3协议与邻居R2建立邻接关系，但R1的OSPFv3邻居状态始终停留在ExStart阶段。以下哪项最可能是故障原因？A.R1与R2的RouterID冲突B.R1与R2的接口MTU不一致C.R1未配置IPv6地址D.R1的OSPFv3进程号与R2不同答案：B详解：OSPFv3邻居状态机中，ExStart阶段用于协商主从关系和DD报文序列号。若双方MTU不一致，当主路由器发送的DD报文大小超过从路由器接口MTU时，从路由器会拒绝接收，导致状态无法进入Exchange阶段。RouterID冲突会导致邻居无法建立（停留在Init或Attempt）；未配置IPv6地址会导致OSPFv3进程无法启动；进程号不同不影响邻居关系（OSPFv3进程号仅本地有效）。2.某数据中心采用华为CE6800交换机作为接入层设备，网络管理员配置了如下命令：`interfaceGigabitEthernet0/0/1``portlink-typeaccess``portdefaultvlan10``stpedged-portenable``undostpenable`此时该接口的STP状态最可能为？A.DisabledB.BlockingC.LearningD.Forwarding答案：A详解：`undostpenable`命令会关闭当前接口的STP功能。即使之前配置了`stpedged-portenable`（边缘端口），但关闭STP后，接口不再参与提供树协议，状态为Disabled。边缘端口通常用于连接终端，默认快速进入Forwarding，但STP被禁用后，协议不再控制端口状态。3.某企业网络使用BGP作为核心路由协议，AS65000的路由器R1向AS65001的R2发送一条路由/24，R2接收后未将该路由传递给其他邻居。查看R2的BGP配置，发现以下哪项配置最可能导致此问题？A.`peeras-number65001`B.`undosynchronization`C.`peernext-hop-local`D.`peerroute-policyfilterimport`答案：D详解：`route-policyfilterimport`表示对从邻居（即R1）接收的路由应用名为filter的路由策略。若该策略中未允许/24通过（如设置deny节点），则R2不会将该路由加入本地BGP表，也不会传递给其他邻居。选项A为正常邻居配置；B（取消同步）在现代BGP网络中通常启用，不影响路由传递；C（修改下一跳为本地）会影响其他AS的路由选路，但不阻止传递。4.华为AR系列路由器配置静态路由时，以下哪条命令能够实现：当主链路（下一跳）故障时，自动切换至备份链路（下一跳）？A.`iproute-static24preference60``iproute-static24preference60`B.`iproute-static24``iproute-static24preference70`C.`iproute-static24track1``iproute-static24`D.`iproute-static24``iproute-static24cost50`答案：B详解：华为路由器中，静态路由的优先级（preference）默认值为60，数值越小越优先。主链路配置默认优先级（60），备份链路配置更高优先级（如70），当主链路故障导致其路由失效时，备份链路的路由会被加入路由表。选项A中两条路由优先级相同，会形成等价路由；选项C需配合Track对象检测链路状态，但未展示Track配置；选项D中cost参数在静态路由中不影响选路（静态路由选路基于优先级和掩码长度）。5.某园区网络中，接入层交换机S1的G0/0/1端口连接AP（无线接入点），S1通过DHCP为AP分配IP地址。网络管理员希望AP获取的IP地址与S1的管理IP在同一网段（/24），且地址池保留前10个地址（-0）作为管理地址。以下配置正确的是？A.`dhcpenable``ippoolap_pool``networkmask``excluded-ip-address0``interfaceVlanif10``ipaddress24``dhcpselectglobal`B.`dhcpenable``ippoolap_pool``networkmask``gateway-list``excluded-ip-address0``interfaceG0/0/1``dhcpselectglobal`C.`dhcpenable``ippoolap_pool``networkmask``excluded-ip-address0``interfaceVlanif10``ipaddress24``dhcpselectinterface`D.`dhcpenable``ippoolap_pool``networkmask``gateway-list``excluded-ip-address0``interfaceVlanif10``ipaddress24``dhcpselectglobal`答案：D详解：DHCP全局地址池需要配置`gateway-list`指定网关（否则客户端无法获取正确网关），且接口需通过`dhcpselectglobal`指向全局地址池。选项A未配置`gateway-list`，客户端无法获取网关；选项B在接口视图配置`dhcpselectglobal`，但未关联VLAN接口的IP地址（AP通常通过VLAN接入）；选项C使用接口地址池（`dhcpselectinterface`），但接口地址池默认网关为接口IP，无需额外配置，但无法排除地址段（接口地址池仅支持排除单个地址）；选项D正确配置了全局地址池的网关和排除地址，并在VLAN接口关联全局池。6.华为USG6000系列防火墙的安全策略默认规则为“拒绝所有”，管理员配置了如下策略：策略1：源区域Trust，目的区域DMZ，源地址/24，目的地址/32，服务HTTP（80），动作允许策略2：源区域Trust，目的区域DMZ，源地址/24，目的地址/32，服务HTTPS（443），动作允许策略3：源区域Trust，目的区域DMZ，源地址/32，目的地址/32，服务ALL，动作拒绝当Trust区域内主机访问DMZ区域的80端口时，防火墙的处理结果是？A.允许，因为策略1匹配且动作为允许B.拒绝，因为策略3匹配且动作为拒绝C.允许，因为策略3的服务是ALL，不匹配HTTPD.拒绝，因为安全策略按优先级匹配，策略3优先级更高答案：B详解：华为防火墙安全策略的匹配顺序是按策略编号（或自定义优先级），编号越小优先级越高。策略3的源地址是/32（精确匹配），服务是ALL（包含HTTP），因此当访问80端口时，首先匹配策略3（源地址更精确），动作为拒绝。即使策略1的服务是HTTP，但策略3的匹配条件更具体，优先级更高，因此拒绝。7.某企业部署SDN网络，采用华为CloudFabric3.0架构，控制器为iMasterNCE-Fabric。当接入层交换机需要动态获取VLAN和IP地址配置时，最可能使用的协议是？A.OSPFB.BGPEVPNC.DHCPD.iMasterNCE-Fabric通过NETCONF下发答案：D详解：SDN架构中，控制器（如iMasterNCE-Fabric）通过南向接口（如NETCONF、gRPC）对网络设备进行集中管理和配置下发。动态获取VLAN和IP地址属于控制器的自动化配置功能，而非传统协议（OSPF用于路由，BGPEVPN用于多租户网络互联，DHCP用于终端地址分配）。8.华为NE5000E路由器作为PE设备接入MPLSVPN网络，客户A的VPN实例为VPN-A，客户B的VPN实例为VPN-B。以下哪项配置能够确保PE正确区分两个VPN的路由？A.为VPN-A和VPN-B配置不同的RD（RouteDistinguisher）B.为VPN-A和VPN-B配置不同的RT（RouteTarget）C.为VPN-A和VPN-B配置不同的接口IP地址D.为VPN-A和VPN-B配置不同的BGPAS号答案：A详解：RD（路由标识符）用于区分不同VPN的私网路由，确保相同私网地址在公网中唯一。RT（路由目标）用于控制路由的导入和导出，决定哪些VPN可以接收该路由。接口IP和AS号不直接用于VPN路由区分。因此，正确区分两个VPN的路由需配置不同的RD。9.某企业网络中，核心交换机S1的G0/0/1端口连接汇聚交换机S2，G0/0/2端口连接S3，均配置为Trunk口，允许VLAN10-20通过。S1启用了STP（RSTP），此时G0/0/1和G0/0/2的端口角色最可能为？A.根端口和指定端口B.两个都是指定端口C.根端口和备份端口D.阻塞端口和指定端口答案：B详解：在RSTP中，根桥的所有连接到其他交换机的端口都是指定端口（因为根桥的路径开销最小）。若S1是根桥，则其与S2、S3连接的端口都会成为指定端口，负责向下游发送BPDU。只有非根桥的交换机才会选举根端口（到根桥的最优端口）。10.华为AR路由器配置NAT时，以下哪条命令能够实现将私网地址0映射到公网地址的TCP8080端口？A.`natserverglobal8080inside080`B.`natstaticglobal8080inside080`C.`natoutbound2000address-group1`D.`ipnatinsidesourcestatictcp0808080`答案：D详解：华为路由器静态NAT（一对一映射）的正确配置命令为`ipnatinsidesourcestatic[protocol]inside-ipinside-portglobal-ipglobal-port`。选项A和B的命令格式不符合华为设备语法（华为使用`ipnat`开头）；选项C为NAToutbound（动态地址转换）配置，用于私网地址池映射公网地址池；选项D符合静态NAT配置，将内部0的80端口映射到公网的8080端口。二、多项选择题（每题3分，共15分，少选、错选均不得分）1.以下关于华为路由器VRRP（虚拟路由冗余协议）的描述中，正确的有？A.VRRP主路由器（Master）发送VRRP通告报文的默认间隔为1秒B.VRRP备份路由器（Backup）在连续3个通告超时（Master_Down_Interval）未收到通告时，会抢占成为MasterC.VRRP可以配置抢占模式，允许高优先级的Backup在Master故障恢复后重新成为MasterD.VRRP虚拟IP地址必须与接口IP地址在同一网段答案：ACD详解：VRRP通告报文默认间隔为1秒（选项A正确）；Master_Down_Interval默认是3倍通告间隔（3秒），Backup在超过该时间未收到通告时会切换为Master（选项B错误，“连续3个通告超时”表述不准确，应为超过Master_Down_Interval）；抢占模式允许高优先级设备重新成为Master（选项C正确）；虚拟IP必须与接口IP同网段，否则无法作为网关（选项D正确）。2.某企业网络使用华为交换机部署链路聚合（LACP），以下哪些情况会导致聚合组状态异常？A.两端聚合组的LACP优先级不同B.两端聚合组的最大活动接口数不同C.两端接口的速率不一致（一端1G，一端10G）D.两端接口的双工模式不一致（一端全双工，一端半双工）答案：BCD详解：LACP优先级不同不影响聚合组建立（仅影响选择主动端）；最大活动接口数不同会导致实际活动接口数取较小值，但聚合组仍能建立（选项B错误，会导致异常）；速率和双工模式不一致会导致接口无法加入聚合组（选项C、D正确）。3.华为防火墙的NAT策略支持以下哪些转换类型？A.源NAT（SNAT）B.目的NAT（DNAT）C.双向NAT（同时转换源和目的）D.静态NAT（一对一映射）答案：ABCD详解：华为防火墙支持SNAT（转换源地址）、DNAT（转换目的地址）、双向NAT（同时转换源和目的）及静态NAT（固定映射）。4.以下关于OSPFv2和OSPFv3的区别，正确的有？A.OSPFv3支持IPv6，OSPFv2仅支持IPv4B.OSPFv3的RouterID仍为32位，与OSPFv2相同C.OSPFv3的LSA头部包含实例ID，支持多实例D.OSPFv3的邻居关系建立不再依赖接口IP地址答案：ABCD详解：OSPFv3专为IPv6设计（A正确）；RouterID保持32位（B正确）；LSA头部增加实例ID支持多实例（C正确）；邻居关系通过接口的IPv6链路本地地址建立，不依赖全局IP（D正确）。5.某企业网络中，核心路由器R1的BGP路由表中存在一条路由/24，属性如下：`Origin:i,AS_Path:6500165002,Next_Hop:,Local_Pref:100,MED:50`以下哪些操作可能改变该路由的Local_Pref属性？A.R1配置入方向路由策略，修改Local_Pref为200B.上游AS65001的路由器配置出方向路由策略，修改Local_Pref为200C.R1配置出方向路由策略，修改Local_Pref为200D.下游AS65003的路由器配置入方向路由策略，修改Local_Pref为200答案：AB详解：Local_Pref（本地优先级）是BGP选路的重要属性，仅在AS内部传播（出AS时会被移除）。R1作为接收该路由的AS内部路由器，可通过入方向策略修改（A正确）；上游AS（发送该路由给R1的AS65001）可在出方向修改（B正确）；出方向策略作用于R1发送给其他AS的路由，此时Local_Pref已被移除（C错误）；下游AS无法修改（D错误）。三、判断题（每题2分，共10分，正确填“√”，错误填“×”）1.华为交换机的端口安全功能默认开启，且违规处理方式为shutdown。（）答案：×详解：端口安全默认未开启，需手动配置`port-securityenable`；默认违规处理方式为保护（protect），即丢弃违规报文但不关闭端口。2.MPLSLDP协议使用TCP646端口建立邻居关系，用于分发标签。（）答案：√详解：LDP（标签分发协议）使用TCP646端口建立邻居，通过Hello报文发现邻居，通过标签映射消息分发标签。3.华为AR路由器的DHCPSnooping功能可以防止私接DHCP服务器，需在所有接口启用该功能。（）答案：×详解：DHCPSnooping需在信任接口（连接合法DHCP服务器的接口）配置`dhcpsnoopingtrusted`，非信任接口默认不信任，可防止私接服务器。无需所有接口启用，仅需在接入用户的接口启用。4.BGP路由的MED（多出口鉴别器）属性仅在相邻AS之间比较，AS内部不比较MED值。（）答案：√详解：MED用于向相邻AS指示进入本AS的优选路径，默认情况下，BGP仅比较来自同一AS的路由的MED值，不同AS的MED不比较。5.华为USG防火墙的双机热备（HRP）支持状态同步，包括会话表、地址表、策略路由表等。（）答案：√详解：HRP（华为冗余协议）支持同步关键状态信息，确保主备设备切换时业务不中断，同步内容包括会话表、地址表、策略路由表等。四、综合题（共35分）某企业网络拓扑如下：核心层：路由器R1（IP：/30）、R2（IP：/30），通过G0/0/0接口互联，运行OSPFv2（区域0）。汇聚层：交换机S1（连接R1的G0/0/1接口，IP：/24）、S2（连接R2的G0/0/1接口，IP：/24），S1与S2通过G0/0/2接口互联（Trunk口，允许VLAN10-20）。接入层：S1的G0/0/3接口连接VLAN10（IP：/24），S2的G0/0/3接口连接VLAN20（IP：/24）。故障现象：VLAN10内的主机PC1（0）无法访问VLAN20内的主机PC2（0），但PC1可以访问S1的管理IP（），PC2可以访问S2的管理IP（）。请结合以上信息，分析可能的故障原因，并给出排查步骤及解决方法。答案及详解：可能的故障原因：1.核心层R1与R2的OSPF邻接关系未建立，导致无法学习到对方区域的路由。2.汇聚层S1与S2之间的Trunk链路配置错误（如未允许VLAN10或20通过，或NativeVLAN不匹配）。3.接入层VLAN10和VLAN20的网关（S1和S2）未配置相互的路由（如静态路由或OSPF未宣告VLAN接口）。4.核心层与汇聚层之间的接口IP地址配置错误，导致路由不可达。排查步骤及解决方法：1.检查核心层R1与