2025年下半年网络工程师真题答案解析(综合+案例)

2025年下半年网络工程师练习题答案解析(综合+案例)综合知识部分解析1.某企业网络中，核心交换机与接入交换机通过万兆光口互联，接入交换机下接多台PC。现发现PC访问外网延迟高，排查过程中捕获到大量ICMP超时消息（Type11）。分析可能原因时，以下说法错误的是：A.核心与接入交换机间链路存在丢包B.外网网关ARP表项老化导致MAC地址解析失败C.接入交换机端口速率协商为1000Mbps而非10GbpsD.外网出口路由器路由表中存在环路答案：B解析：ICMP超时消息（Type11）通常由IP数据报TTL耗尽触发，常见于路由环路或路径中某跳设备处理延迟导致TTL递减至0。选项A中链路丢包会导致重传，可能引发延迟但不会直接产生ICMP超时；选项C若端口速率协商错误（如10G协商为1G），会导致带宽瓶颈，数据报在队列中积压，处理时间延长，可能使TTL在转发前耗尽；选项D路由环路会直接导致数据报在环路上循环，TTL递减至0后触发超时消息。选项B中ARP表项老化会导致MAC地址解析失败，此时设备会发送ARP请求，若未及时获取MAC地址，数据报会被暂存或丢弃，表现为无法通信或延迟剧增，但不会触发ICMP超时（超时消息由TTL耗尽引起，与二层地址解析无直接关联）。2.关于OSPFv3协议特性，以下描述正确的是：A.基于链路本地地址建立邻居关系，无需在接口配置全局单播地址B.支持认证功能，认证信息携带在OSPF报文中C.采用区域0作为骨干区域，区域间路由必须经过区域0D.LSA类型与OSPFv2完全一致，仅扩展了IPv6地址支持答案：A、C解析：OSPFv3针对IPv6设计，主要特性包括：（1）基于链路本地地址（FE80::/10）建立邻居关系，接口无需配置全局单播地址（仅需链路本地地址即可完成邻居发现），A正确；（2）认证功能独立于OSPF报文，通过IPsecAH/ESP实现，不再将认证信息封装在OSPF报文中（OSPFv2通过报文头的认证字段实现），B错误；（3）区域结构与OSPFv2一致，区域0为骨干区域，非骨干区域必须与区域0相连（虚连接除外），区域间路由需经区域0转发，C正确；（4）LSA类型扩展，新增Link-LSA（描述接口链路本地地址及IPv6前缀）和Intra-Area-Prefix-LSA（替代OSPFv2的Router-LSA和Network-LSA中的前缀信息），D错误。3.某校园网采用华为eNSP模拟器搭建，核心层部署S5735交换机，接入层部署S5330交换机。现需在接入层交换机上配置端口安全，要求：端口最多允许2个动态学习的MAC地址，超过后阻塞端口并发送陷阱（Trap）。正确的配置命令是：A.[S5330]interfaceGigabitEthernet0/0/1[S5330-GigabitEthernet0/0/1]port-securityenable[S5330-GigabitEthernet0/0/1]port-securitymax-mac-count2[S5330-GigabitEthernet0/0/1]port-securityprotect-actionrestrictB.[S5330]interfaceGigabitEthernet0/0/1[S5330-GigabitEthernet0/0/1]port-securityenable[S5330-GigabitEthernet0/0/1]port-securitymaximum2[S5330-GigabitEthernet0/0/1]port-securityviolationrestrictC.[S5330]interfaceGigabitEthernet0/0/1[S5330-GigabitEthernet0/0/1]port-securityenable[S5330-GigabitEthernet0/0/1]port-securitymac-addressmax2[S5330-GigabitEthernet0/0/1]port-securityactiontrapD.[S5330]interfaceGigabitEthernet0/0/1[S5330-GigabitEthernet0/0/1]port-securityenable[S5330-GigabitEthernet0/0/1]port-securitymax2[S5330-GigabitEthernet0/0/1]port-securitymoderestrict答案：B解析：华为设备端口安全配置步骤为：（1）启用端口安全（port-securityenable）；（2）设置最大MAC地址数（port-securitymaximum<数量>）；（3）设置违规动作（port-securityviolation<动作>）。其中，违规动作包括：shutdown（关闭端口）、restrict（丢弃超出的包并发送Trap）、protect（丢弃超出的包不发送Trap）。选项A中“protect-action”为错误命令（正确为violation）；选项C中“mac-addressmax”和“actiontrap”均为错误语法；选项D中“moderestrict”无此命令。选项B完全符合华为设备配置规范。案例分析部分解析案例1：企业园区网优化配置某企业网络拓扑如下：核心交换机（S1）与出口路由器（R1）通过G0/0/0互联（IP：/24），R1外网口G0/0/1（IP：/24）连接ISP；接入层交换机（S2）通过G0/0/1连接S1（IP：/24），S2下接办公区PC（IP段：/24）。现需实现以下需求：（1）办公区PC通过R1访问外网，使用PAT方式；（2）限制办公区PC仅能访问外网HTTP（80）和HTTPS（443）端口；（3）S1与S2间链路启用链路聚合（LACP模式），冗余备份；（4）核心层启用VRRP，主用虚拟IP为54，S1优先级120，S2（备用核心）优先级100。问题1：写出R1的NAT和ACL配置解答：（1）创建标准ACL，匹配办公区PC源IP：[R1]acl2000[R1-acl-basic-2000]rule5permitsource55（2）创建扩展ACL，限制仅允许HTTP/HTTPS：[R1]acl3000[R1-acl-adv-3000]rule5permittcpsource55destinationanydestination-porteq80[R1-acl-adv-3000]rule10permittcpsource55destinationanydestination-porteq443[R1-acl-adv-3000]rule15denyipsource55destinationany（默认拒绝其他流量）（3）配置NAT过载（PAT），将内网地址映射到外网口：[R1]interfaceGigabitEthernet0/0/1[R1-GigabitEthernet0/0/1]ipnatoutside[R1]interfaceGigabitEthernet0/0/0[R1-GigabitEthernet0/0/0]ipnatinside[R1]ipnatinsidesourcelist2000interfaceGigabitEthernet0/0/1overload（4）在R1内网口应用扩展ACL，限制流出流量：[R1-GigabitEthernet0/0/0]traffic-filteroutboundacl3000验证命令：displayipnattranslations（查看NAT转换表）displayacl3000（检查ACL规则）问题2：写出S1与S2间链路聚合配置（假设物理接口为G0/0/2和G0/0/3）解答：（1）S1配置：[S1]interfaceEth-Trunk1[S1-Eth-Trunk1]modelacp-static（启用LACP静态模式）[S1-Eth-Trunk1]trunkportGigabitEthernet0/0/2to0/0/3（添加成员接口）[S1-Eth-Trunk1]portlink-typetrunk[S1-Eth-Trunk1]porttrunkallow-passvlanall（允许所有VLAN通过）[S1-Eth-Trunk1]lacppriority100（设置系统优先级，数值越小越优先成为主动端）（2）S2配置：[S2]interfaceEth-Trunk1[S2-Eth-Trunk1]modelacp-static[S2-Eth-Trunk1]trunkportGigabitEthernet0/0/2to0/0/3[S2-Eth-Trunk1]portlink-typetrunk[S2-Eth-Trunk1]porttrunkallow-passvlanall[S2-Eth-Trunk1]lacppriority200（S2优先级低于S1，作为被动端）验证命令：displayeth-trunk1（查看聚合组状态，成员接口应为Selected）displaylacpstatistics（检查LACP协商报文交互情况）问题3：写出S1的VRRP配置解答：[S1]interfaceVlanif10（假设核心层VLAN为10，IP：/24）[S1-Vlanif10]vrrpvrid1virtual-ip54（配置虚拟IP）[S1-Vlanif10]vrrpvrid1priority120（主用优先级）[S1-Vlanif10]vrrpvrid1preempt-modetimerdelay10（设置抢占延迟10秒，避免频繁切换）[S1-Vlanif10]vrrpvrid1trackinterfaceGigabitEthernet0/0/0reduced30（跟踪上联R1的接口，若故障则优先级降低30，变为90，低于备用设备）验证命令：displayvrrpbrief（查看VRRP状态，主用设备应为Master）案例2：校园网故障排查某高校网络中，教师办公区（VLAN100，IP：/24）无法访问图书馆服务器（IP：），但能访问校园网内其他主机。网络拓扑：接入层S3（连接教师PC）→汇聚层S4→核心层S5→服务器区S6（连接图书馆服务器）。S3与S4间为Trunk链路（允许VLAN100、200），S4与S5间为单链路（VLAN100、200），S5与S6间为三层互联（IP：/24[S5]、/24[S6]）。排查过程与问题定位：1.确认二层连通性：教师PC执行`ping54`（S3的VLAN100网关），成功；S3执行`ping54`（自身网关），成功；S3执行`ping`失败，说明问题不在接入层本地。2.检查汇聚层S4的VLAN配置：`displayvlan100`：S4的G0/0/1（连接S3）为Trunk口，允许VLAN100；G0/0/2（连接S5）为Trunk口，允许VLAN100、200，配置正常。`displaymac-addressvlan100`：S4的G0/0/1学习到教师PC的MAC地址，G0/0/2未学习到S5的MAC地址（异常）。3.检查S4与S5间链路状态：`displayinterfaceGigabitEthernet0/0/2`：链路状态为UP，速率1000Mbps，无CRC错误或帧丢失；`displayarp`：S4的ARP表中无S5的VLAN100接口IP（54[S5的VLAN100网关]）的MAC地址（关键异常点）。4.检查核心层S5的VLAN配置：`displayvlan100`：S5的G0/0/1（连接S4）为Tr