2026年上半年网络工程师考试应用技术真题（专业解析+参考答案）

2026年上半年网络工程师考试应用技术真题（专业解析+参考答案）一、某公司网络拓扑结构如下图所示，公司内部网络划分为办公区和服务器区，办公区通过核心交换机与防火墙相连，防火墙通过路由器接入互联网。服务器区通过另一台核心交换机与防火墙相连。办公区核心交换机下联多台接入交换机，接入交换机连接用户终端。服务器区核心交换机连接多台服务器。网络地址规划如下：办公区使用/24网段，服务器区使用/24网段。防火墙内网口地址为54/24，连接服务器区的接口地址为54/24，外网口地址为/30。路由器内网口地址为/30，外网口地址为公网IP。1.请根据上述描述，为办公区用户终端配置默认网关的IP地址。2.若需要在防火墙上配置NAT，使得办公区（/24）用户可以访问互联网，请写出配置NAT地址转换的关键命令（假设采用地址池方式，地址池为防火墙外网口地址）。3.公司对外提供Web服务，服务器IP地址为00。为了保障服务器安全，仅允许公网用户访问该服务器的80端口，请写出在防火墙上实现此需求的安全策略关键配置命令（假设策略动作设为允许）。4.网络管理员发现办公区用户无法访问服务器区的服务器（/24），但服务器之间可以互通。请分析可能导致此问题的两个原因。二、某园区网络采用OSPF作为核心路由协议，网络拓扑为层次化结构，包含Area0、Area1和Area2。其中，路由器R1、R2、R3位于Area0，R1同时连接Area1，R2同时连接Area2。Area1内运行RIPv2协议，并通过R1重分发到OSPF。Area2内为末节区域（StubArea）。所有路由器接口OSPF开销均采用默认值。1.请简要说明为什么Area2被配置为末节区域（StubArea），其优点是什么？2.在R1上，将RIP路由引入OSPF时，希望将引入路由的OSPF开销值统一设置为100，请写出关键配置命令。3.网络运行一段时间后，管理员在R2上查看OSPF数据库，发现存在多条类型为Type-5的LSA。请问这些Type-5LSA可能来源于哪个区域？为什么？4.若Area1内的一台RIP路由器发生路由震荡，频繁更新某条路由，这种不稳定是否会直接影响到Area2内部的路由器？请说明理由。三、阅读以下关于Linux服务器配置的说明，回答问题。某公司计划部署一台Linux服务器（CentOS7），提供DHCP和DNS服务。网络规划如下：服务器使用eth0网卡，静态IP地址为0/24，网关为，DNS服务器为。1.请写出配置eth0网卡为静态IP地址的配置文件（ifcfg-eth0）的关键内容。2.现需要配置DHCP服务，为/24网段内的客户端分配IP地址，地址池范围为00-00，默认网关为，DNS服务器为0。请写出DHCP服务配置文件（dhcpd.conf）中对应子网声明（subnet）部分的关键配置。3.配置BIND9提供DNS服务，需要为域example提供正向解析。要求：a)将www.example解析到IP地址0。b)添加一条邮件交换记录（MX），优先级为10，对应邮件服务器mail.example。c)为mail.example添加一条地址记录（A记录），指向0。请写出域example的正向区域文件（example.zone）中实现上述要求的资源记录内容。4.如何配置防火墙（firewalld），允许外部客户端访问本机的DNS服务（端口53）？四、某企业网络使用MPLSVPN技术实现总部与两个分部的互联。网络骨干由运营商提供PE设备，企业CE设备分别连接各站点。总部站点（Site-A）属于VPN-A，分部1（Site-B）属于VPN-B，分部2（Site-C）同时属于VPN-A和VPN-B（即站点共享）。PE路由器之间运行MP-BGP分发VPNv4路由。1.请解释在MPLSVPN中，RD（RouteDistinguisher）的作用。2.为了实现Site-C可以同时与Site-A和Site-B通信，在PE连接Site-C的接口上应如何配置VRF？请简要说明。3.在PE路由器上，MP-BGP是如何保证不同VPN的路由信息相互隔离的？4.若Site-A需要访问互联网，有哪两种常见的实现方式？请简要说明。五、网络管理员通过SNMP协议对网络设备进行监控和管理。被管设备运行SNMPv2c代理进程，管理站IP地址为00。1.请写出在Cisco路由器上配置SNMPv2c只读团体字为“public”，并只允许管理站00使用该团体字进行访问的关键命令。2.SNMP协议中，GetRequest、GetNextRequest和SetRequest报文分别有什么作用？3.管理员希望通过SNMP获取接口的进出流量统计。已知接口索引为1，ifInOctets的OID是..1.10，ifOutOctets的OID是..1.16。请解释如何通过GetRequest和GetNextRequest报文配合，获取这两个计数器在特定时刻的值。4.与SNMPv2c相比，SNMPv3在安全性方面主要增加了哪些机制？六、阅读以下关于无线网络部署的说明，回答问题。某办公楼计划部署802.11ac无线网络，要求实现无线覆盖和用户接入。平面图显示为长走廊结构，办公室分布于走廊两侧。采用瘦AP（FitAP）+无线控制器（AC）的组网架构。所有AP通过POE交换机供电并连接至AC。1.针对长走廊的覆盖场景，在部署AP时，天线应如何选择与布置以减少同频干扰？2.为了允许员工使用公司统一的账号密码登录无线网络，应选择哪种认证方式？请给出具体名称。3.在无线控制器上，需要配置国家代码、射频模式和信道。对于802.11ac的5GHz频段，在中国地区通常有哪些非重叠信道可供选择？（至少列出3个）4.某员工反映在移动过程中，从A区域走到B区域时，无线连接会短暂中断然后重新连接。请问这可能是什么原因？如何优化？七、某数据中心网络采用虚拟化技术，部署了多台VMwareESXi主机，通过vCenterServer进行统一管理。存储采用IP-SAN（iSCSI）方式。现需在集群中启用HA（高可用性）功能。1.在vSphere环境中，配置iSCSI存储适配器时，发现状态为“未连接”。请列出可能导致此问题的两个原因。2.启用HA功能前，必须满足的先决条件之一是所有主机必须由相同的网络标签配置哪两种类型的网络？请写出这两种vSphere标准交换机的端口组类型。3.简述HA功能中“主机隔离”的含义。当ESXi主机被认定为隔离后，其上的虚拟机将发生什么？4.除了HA，请再写出一种vSphere提供的提高虚拟机业务连续性的高级功能，并简述其原理。八、某公司为提升网络出口带宽及可靠性，向两个不同的ISP（ISP-A和ISP-B）分别申请了链路，并计划采用BGP协议实现多宿主接入。1.在从两个ISP接收全网路由和只接收默认路由两种方案中，从网络稳定性和路由器资源消耗角度考虑，哪种更优？为什么？2.公司AS号为65001，ISP-A的AS号为100，ISP-B的AS号为200。公司希望对于出向流量，访问ISP-A客户时优先走ISP-A链路，访问ISP-B客户时优先走ISP-B链路。请写出在边界路由器上，通过配置BGP的哪种属性可以实现此需求？3.为了防止成为两个ISP之间的中转AS（TransitAS），应在向两个ISP发布路由时采取什么措施？请写出关键BGP配置命令思路。4.当ISP-A的链路发生故障时，如何利用BGP机制使所有出向流量自动切换到ISP-B链路？请说明关键配置要点。答案与解析一、1.答案：54解析：用户终端的默认网关是其所在网段三层设备的接口地址。根据拓扑，办公区用户终端通过接入交换机、核心交换机连接到防火墙，防火墙内网口（54）是办公网段（/24）的三层网关，因此终端默认网关应配置为此地址。2.答案（以华为防火墙命令风格为例）：```nataddress-group1aclnumber2000rulepermitsource55interfaceGigabitEthernet0/0/1//假设外网口natoutbound2000address-group1```解析：配置NAT通常包含几个步骤：定义地址池（或直接使用接口地址），配置ACL识别需要转换的内网地址段，在出接口上应用NAT策略。`natoutbound`将匹配ACL2000的源IP（办公网段）转换为地址组1中的公网IP（此处为接口地址）。3.答案（以华为防火墙命令风格为例）：```security-policyrulenamepermit_websource-zoneuntrustdestination-zonedmz//假设服务器区属于DMZ区域destination-address0032servicehttpactionpermit```解析：安全策略基于区域、地址、服务（端口）进行访问控制。此策略允许从非受信区域（互联网）访问DMZ区域（服务器区）特定IP（00）的HTTP服务（TCP80端口）。4.答案：原因1：防火墙缺少允许办公区访问服务器区的安全策略。防火墙默认拒绝所有跨区域流量，需要配置类似`rulenamepermit_office_to_server`，源区域为办公区（trust），目的区域为服务器区（dmz），目的地址为服务器网段，动作为允许的策略。原因2：办公区用户终端的子网掩码配置错误，导致其认为服务器区地址（172.16.1.x）不在本地网络，但将数据包发往默认网关（防火墙）后，防火墙可能因路由问题无法正确转发至服务器区，或者服务器区核心交换机缺少回程路由。解析：服务器区互通正常，说明服务器区内部网络无问题。问题集中在办公区到服务器区的路径上，防火墙是必经的检查点，安全策略是首要排查对象。其次，基础网络配置（掩码、路由）错误也可能导致单向访问失败。二、1.答案：Area2被配置为末节区域（StubArea）是为了减少区域内部路由器的路由表规模和链路状态数据库（LSDB）的大小，提高路由收敛速度和稳定性。其优点是可以阻止类型4和类型5的LSA（即AS外部路由）进入该区域，区域边界路由器（ABR）会向该区域内注入一条默认路由（/0）用于访问外部网络。解析：末节区域适用于不需要作为中转区域、也不引入外部路由的区域。通过屏蔽外部路由细节，简化了内部路由器的处理负担。2.答案（以CiscoIOS命令为例）：```routerospf1redistributeripsubnetsmetric100```解析：在OSPF进程下使用`redistribute`命令重分发RIP路由，`metric100`参数指定了重分发后路由的OSPF开销值（代价）。3.答案：这些Type-5LSA（ASExternalLSA）可能来源于Area0或通过Area0传递而来。具体来源是R1，因为R1将Area1中的RIP路由（属于OSPF自治系统外部路由）重分发到了OSPF进程中，从而产生了描述这些外部路由的Type-5LSA，并在Area0内泛洪。由于Area2是Stub区域，它不会接收Type-5LSA，因此R2上的Type-5LSA一定是从Area0接收到的。解析：Type-5LSA由ASBR（自治系统边界路由器）产生，用于描述重分发到OSPF的外部路由。在本拓扑中，R1连接RIP网络并进行了重分发，因此R1是ASBR。Type-5LSA在OSPF域内（除Stub、NSSA等特殊区域外）泛洪。4.答案：不会直接影响到Area2内部的路由器。因为Area1的RIP路由震荡，会导致R1（ASBR）上重分发产生的Type-5LSA频繁更新。虽然Type-5LSA会在Area0内传播并到达R2（Area2的ABR），但由于Area2被配置为Stub区域，R2不会将这些Type-5LSA注入Area2。Area2内的路由器仅通过ABR（R2）下发的默认路由访问外部网络，外部路由的震荡被隔离在Area2之外。解析：Stub区域的核心作用就是隔离外部路由变化对区域内部的影响，提高了网络的稳定性。三、1.答案：```TYPE=EthernetBOOTPROTO=staticDEVICE=eth0ONBOOT=yesIPADDR=0NETMASK=GATEWAY=DNS1=```解析：这是CentOS7中网络脚本配置文件的标准格式。`BOOTPROTO=static`表示静态配置，`ONBOOT=yes`表示开机启动。2.答案：```subnetnetmask{range0000;optionrouters;optiondomain-name-servers0;}```解析：`subnet`声明要分配地址的子网。`range`定义地址池范围。`optionrouters`指定客户端默认网关。`optiondomain-name-servers`指定DNS服务器。3.答案：```$TTL86400@INSOAns1.example.admin.example.(2026010101;Serial3600;Refresh1800;Retry604800;Expire86400);MinimumTTLINNSns1.example.wwwINA0@INMX10mail.example.mailINA0```解析：每条记录一行。`A`记录将主机名映射到IPv4地址。`MX`记录指定邮件服务器，优先级数字越小优先级越高。`@`符号代表当前域（example）。4.答案：```firewall-cmd--permanent--add-service=dnsfirewall-cmd--reload```解析：firewalld通过服务名来管理规则。`--add-service=dns`会开放DNS服务对应的端口（TCP/UDP53）。`--permanent`使规则永久生效，`--reload`重载配置。四、1.答案：RD（RouteDistinguisher）是一个8字节的前缀，添加到IPv4路由前缀前，共同构成唯一的VPNv4路由（12字节）。其核心作用是在PE路由器上，使不同VPN中可能重叠的私有IP地址空间（如/24）变得全局唯一，从而保证MP-BGP能够独立地存储和传播这些路由。解析：RD本身不包含路由选择信息，也不影响VPN间的路由选择。它仅仅是一个“标签”，用于区分不同VPN的相同IP前缀。2.答案：需要在连接Site-C的PE路由器接口上，配置两个VRF（VirtualRoutingandForwarding）实例，例如VRF_A和VRF_B，并分别将这两个VRF实例绑定到该物理接口或子接口上（通常使用子接口，如Eth0/0.1和Eth0/0.2，并分配不同的VLANID或DLCI）。这样，来自Site-C的流量根据其所属的VPN（通过不同子接口或标签区分）进入对应的VRF进行路由查找。解析：VRF实现了路由表级别的隔离。一个物理接口只能属于一个VRF，因此要实现一个站点接入多个VPN，通常需要借助子接口、VLAN或MPLS标签等二层技术来逻辑划分多个连接，每个逻辑连接关联一个VRF。3.答案：MP-BGP通过使用VPNv4地址族和RouteTarget（RT）属性来实现路由隔离。VPNv4地址族：携带了RD的路由，使路由在控制平面唯一。RT属性：分为ImportRT和ExportRT。PE路由器在发布VPNv4路由时，为其附加一个或多个ExportRT。对端的PE路由器根据其本地VRF配置的ImportRT，只接收那些ExportRT与本地ImportRT匹配（或符合策略）的路由，并将其安装到相应的VRF路由表中。通过灵活控制RT的导入导出策略，可以实现复杂的VPN互访关系。解析：RD解决地址唯一性问题，RT解决路由分发和接收的策略问题，两者结合共同实现了VPN间的隔离与可控互通。4.答案：方式1：通过独立的互联网接入链路。在总部站点部署一台独立的路由器或防火墙，直接连接互联网。服务器或用户通过该路径访问互联网，与MPLSVPN网络物理或逻辑分离。方式2：通过MPLSVPN运营商提供的互联网接入服务。运营商在其PE路由器上为企业的VRF配置到互联网的默认路由或具体路由，并通过NAT等技术和公共互联网对接。企业站点的流量通过MPLSVPN网络到达运营商的PE，再由PE转发至互联网。解析：方式1更直接，控制权高，但成本也高。方式2利用了现有MPLS链路，可能更经济，但依赖于运营商的服务能力和策略。五、1.答案（以CiscoIOS命令为例）：```snmp-servercommunitypublicRO10access-list10permithost00```解析：`snmp-servercommunity`命令配置团体字和访问权限（RO表示只读），后面的`10`是引用一个标准IP访问控制列表（ACL），该ACL只允许管理站IP00。2.答案：GetRequest：管理站向代理请求获取一个或多个指定的MIB对象实例的值。GetNextRequest：管理站向代理请求获取指定MIB对象在字典序上下一个对象实例的值。常用于遍历表格或未知长度的对象序列。SetRequest：管理站向代理请求设置一个或多个指定的MIB对象实例的值。需要具有可写权限。解析：这三种都是SNMP管理站主动发往代理的请求报文，属于“请求-响应”交互模式。3.答案：由于接口计数器是标量对象，每个接口对应一个实例。对于接口索引为1的接口，其实例OID分别为`..1.10.1`和`..1.16.1`。可以直接发送一个`GetRequest`报文，变量绑定列表同时包含这两个完整的实例OID，一次性获取。可以直接发送一个`GetRequest`报文，变量绑定列表同时包含这两个完整的实例OID，一次性获取。也可以先发送一个`GetRequest`获取`..1.10.1`，然后发送一个`GetNextRequest`，其变量绑定为`..1.10.1`，代理会返回字典序下一个对象实例的值，即`..1.16.1`的值。也可以先发送一个`GetRequest`获取`..1.10.1`，然后发送一个`GetNextRequest`，其变量绑定为`..1.10.1`，代理会返回字典序下一个对象实例的值，即`..1.16.1`的值。解析：获取多个已知OID实例时，`GetRequest`效率更高。`GetNextRequest`在遍历未知序列时必不可少。4.答案：SNMPv3主要增加了基于用户的安全模型（USM），提供了：消息完整性：确保数据在传输过程中未被篡改（使用HMAC-MD5-96或HMAC-SHA-96等算法）。认证：验证消息来源的真实性（使用基于用户的口令）。加密：防止消息内容被窃听（使用DES或AES等算法对报文负载进行加密）。解析：SNMPv1/v2c仅使用明文团体字进行简单的身份验证，安全性极低。SNMPv3通过上述机制实现了安全的通信。六、1.答案：应选择定向天线（如板状天线），并使其辐射方向图的主瓣方向沿着走廊走向进行覆盖。AP部署点位应安排在走廊中，天线朝向走廊尽头。通过调整天线角度和发射功率，使信号主要覆盖走廊及两侧房间，避免信号过多泄漏到相邻AP的覆盖区域，从而有效减少同频干扰。解析：长走廊场景下，全向天线会使信号在横向上过度覆盖，导致相邻AP信道干扰严重。使用定向天线可以“塑造”覆盖区域，实现类似“细胞”延伸的覆盖效果。2.答案：802.1X认证（或EAP认证）。结合RADIUS服务器，可以使用公司已有的AD/LDAP账号库进行统一认证。解析：802.1X是基于端口的网络访问控制协议，要求用户在接入网络前提供凭证（用户名/密码、证书等）进行认证，非常适合企业统一身份认证的场景。3.答案：在中国，5GHz频段（802.11a/n/ac/ax）常用的非重叠信道有：36、40、44、48；149、153、157、161、165等（注：具体可用信道需遵循国家无线电管理规定，通常36-48为一组低信道，149-165为一组高信道，两组信道内部分别有多个20MHz非重叠信道）。解析：5GHz频段信道丰富，干扰少。20MHz带宽下，36、40、44、48是常用的连续4个非重叠信道。在部署时需根据现场环境选择。4.答案：这可能是因为无线漫游不流畅。A区域和B区域的AP可能配置了相同的SSID，但属于不同的VLAN或子网，或者客户端（如某些旧设备）的漫游算法不积极，导致在信号切换时发生了重新关联（Re-association）甚至断开重连。优化方法：确保所有AP发布相同的SSID和安全策略；将AP部署在合理的重叠区域（信号强度约-70dBm左右）；在AC上开启快速漫游功能（如802.11r快速BSS转换）；确保所有AP属于同一个二层广播域或通过VLAN透传，使客户端IP地址在漫游后保持不变；检查并更新客户端无线网卡驱动。解析：无缝漫游需要客户端和网络侧（AC+AP）共同支持优化。二层漫游（同子网）是基础，结合802.11k/v/r等协议能显著改善体验。七、1.答案：原因1：iSCSI存储网络的物理链路故障，如网线松动、交换机端口故障。原因2：ESXi主机上iSCSI存储适配器的网络配置错误，例如IP地址、子网掩码、网关设置不正确，或者绑定了错误的VMkernel端口。原因3：存储阵列的iSCSI目标（Target）IP地址或端口号配置错误，或者访问控制列表（如CHAP认证）未正确配置。解析：“未连接”状态通常指向底层连通性问题，需要逐层排查物理链路、网络配置（IP可达性）和存储端配置。2.答案：管理网络和vMotion网络。解析：HA依赖于管理网络进行主机心跳检测。vMotion网络虽然不是HA的严格必要条件，但在启用vSphereDRS（分布式资源调度）或执行故障切换后的负载均衡时至关重要。确保所有主机上这些网络功能的端口组使用相同的标签（名称），是vSphere集群功能正常工作的基础。3.答案：主机隔离是指ESXi主机由于网络故障（如管理网络中断）无法与其他主机交换心跳信号，但自身仍在运行的状态。当主机被认定为隔离后，根据HA的“主机隔离响应”策略设置，其上的虚拟机通常会重新启动。如果配置了“接入控制”，并且集群有足够的资源，这些虚拟机将在其他正常主机上重启。解析：心跳信号通过管理网络传递。如果一台主机收不到其他任何主机的心跳，但能收到自己存储的心跳（通过数据存储心跳），则判断自己为网络隔离，会触发隔离响应，目的是保护虚拟机服务可用性。4.答案：vSphereFaultTolerance(FT)。原理：FT为受保护的虚拟机创建一个完全相同的、持续同步的副本（辅助虚拟机），运行在另一台物理主机上。主虚拟机和辅助虚拟机在任何时刻都保持相同的执行状态（包括CPU、内存、设备状态）。如果运行主虚拟机的主机发生故障，系统会立即无缝地将辅助虚拟机切换为主虚拟机，实现零停机时间和零数据丢失的保护。解析：HA提供的是重启保护（分钟级恢复），而FT提供的是连续可用性保护（秒级甚至毫秒级切换），但对硬件和资源要求更高。八、1.答案：只接收默认路由更优。网络稳定性：接收全网路由（FullBGPTable）会使公司路由器学习到互联网上数十万条路由。任何地方的BGP路由震荡（如路由翻动）都可能传递到公司路由器，增加其路由表的不稳定性，甚至可能影响公司内部网络的稳定性。只接收默认路由则完全屏蔽了这些外部路由细节的变化，稳定性更高。路由器资源消耗：接收全网路由需要路由器有足够的内存（数百MB甚至数GB）来存储BGP表，并消耗更多的CPU资源来处理BGP更新。对于一般企业路由器，这是沉重的负担。只接收默认路由仅需维护少量路由，资源消耗极低。解析：对于多宿主主要目的为出口负载分担和冗余的企业，通常不需要知道具体的互联网路由细节，通过ISP下发的默认路由并结合本地策略（如AS-PATH、MED等）即可实现智能选路。