2026年软考《网络规划设计师》考前押题卷

2026年软考《网络规划设计师》考前押题卷一、单项选择题（共40题，每题1分。每题的备选项中，只有一个最符合题意）1.在OSI参考模型中，负责在两个相邻节点间透明地传输数据比特流，并提供物理连接的建立、维持和释放功能的层是（）。A.数据链路层B.网络层C.物理层D.传输层2.关于IPv6地址2001:0DB8:0000:0000:0000:FF00:0042:8329的压缩表示，正确的是（）。A.2001:DB8::FF00:42:8329B.2001:DB8:0:0:0:FF00:42:8329C.2001:DB8::FF00::42:8329D.2001:DB8:0::FF00:42:83293.在TCP/IP协议栈中，ARP协议的主要作用是（）。A.将域名解析为IP地址B.将IP地址解析为MAC地址C.将MAC地址解析为IP地址D.发现网络中可用的主机4.某信道的信噪比为30dB，带宽为4kHz，根据香农定理，该信道的理论极限数据传输速率约为（）。A.12kbpsB.40kbpsC.56kbpsD.64kbps5.在OSPF协议中，用于描述AS外部路由信息的LSA类型是（）。A.Type-1LSAB.Type-2LSAC.Type-3LSAD.Type-5LSA6.以下关于VLAN的描述中，错误的是（）。A.VLAN可以隔离广播风暴B.VLANID的范围是1-4094，其中VLAN1为默认VLANC.不同VLAN间的通信必须通过路由设备D.VLAN是基于物理网络接口划分的，无法基于MAC地址划分7.在BGP协议中，用于交换路由信息的TCP端口号是（）。A.179B.180C.161D.1628.某企业采用DHCP进行地址管理，若DHCP服务器收到DHCPDISCOVER报文后，响应的报文类型是（）。A.DHCPOFFERB.DHCPACKC.DHCPNAKD.DHCPREQUEST9.在网络存储技术中，通过IP网络访问的存储设备类型是（）。A.DASB.NASC.FC-SAND.IP-SAN10.关于MPLS（多协议标签交换）技术，说法正确的是（）。A.MPLS主要工作在OSI模型的第二层B.MPLS通过在IP包头添加标签来实现快速转发C.MPLS只能支持IP协议D.LER（标签边缘路由器）负责标签的压入和弹出，LSR（标签交换路由器）只负责标签交换11.以下防火墙架构中，安全性最高，但成本也最高的是（）。A.双宿主机架构B.屏蔽主机架构C.屏蔽子网架构D.单宿主机架构12.在PKI公钥基础设施中，负责发布和管理证书的实体是（）。A.RAB.CAC.KMCD.目录服务13.某C类网络地址/24，若要将其划分为4个子网，每个子网掩码应为（）。A.92B.24C.40D.4814.在千兆以太网标准中，使用光纤作为传输介质，最大传输距离可达5km的标准是（）。A.1000Base-TB.1000Base-CXC.1000Base-LXD.1000Base-SX15.SNMPv3相对于SNMPv2c的主要改进在于（）。A.引入了Trap机制B.支持更多的数据类型C.增强了安全性，基于USM（User-basedSecurityModel）D.支持代理服务器到代理服务器的通信16.在网络综合布线系统中，建筑群子系统主要用于连接（）。A.楼层配线间到工作区信息插座B.建筑物内的楼层配线间C.不同建筑物之间的设备D.主机房到各楼层配线间17.以下关于STP（生成树协议）的描述，正确的是（）。A.STP通过阻塞冗余链路来防止环路B.STP可以加快网络的收敛速度C.RSTP（快速生成树）是STP的简化版，功能更少D.MSTP（多生成树协议）只能运行一个生成树实例18.在5G网络架构中，负责无线资源管理功能的网元是（）。A.AMFB.SMFC.UPFD.RAN/CU-DU19.负载均衡器在进行流量分发时，根据源IP地址的哈希值进行分配的算法称为（）。A.轮询算法B.最少连接算法C.源地址哈希算法D.加权轮询算法20.以下协议中，用于电子邮件传输的是（）。A.FTPB.SMTPC.POP3D.IMAP421.在IEEE802.11标准中，WPA2加密算法采用的是（）。A.WEPB.TKIPC.CCMPD.RC422.某公司核心交换机配置了VRRP（虚拟路由器冗余协议），若Master路由器出现故障，Backup路由器接管Master角色的时间通常取决于（）。A.Skew_TimeB.Master_Down_IntervalC.Adver_IntervalD.Preempt_Delay23.在软件定义网络（SDN）架构中，负责集中控制网络流量的平面是（）。A.应用平面B.控制平面C.数据平面D.管理平面24.关于RAID技术，若采用RAID5，由4块500GB的硬盘组成阵列，则可用容量约为（）。A.1TBB.1.5TBC.2TBD.2TB25.在网络故障排查中，使用Ping命令测试连通性，若显示“Requesttimedout”，则可能的原因是（）。A.目标主机不可达B.请求超时C.源主机路由配置错误D.以上都有可能26.IPSecVPN协议中，负责加密和认证数据包的安全协议是（）。A.AHB.ESPC.IKED.Oakley27.下列关于云计算服务模型的描述，对应关系正确的是（）。A.IaaS：提供开发环境和运行平台B.PaaS：提供虚拟机、存储和网络C.SaaS：提供完整的软件应用D.DaaS：提供数据库服务28.在光纤通道技术中，用于连接存储设备和服务器交换机的拓扑结构通常是（）。A.点对点B.仲裁环C.交换式架构D.混合架构29.在IPv6过渡技术中，允许IPv6数据包穿越IPv4网络的技术是（）。A.双栈B.隧道技术C.NAT-PTD.6to430.以下关于网络性能指标的描述，错误的是（）。A.带宽是指网络的最大数据传输速率B.吞吐量是指网络在实际运行中的数据传输速率C.时延包括传播时延、发送时延、处理时延和排队时延D.抖动是指数据包到达顺序的错乱程度31.某网络采用CIDR技术，地址块为/16，若要划分出64个大小相等的子网，则每个子网的子网掩码是（）。A./18B./20C./22D./2432.在Web应用防火墙（WAF）中，针对SQL注入攻击的防护主要基于（）。A.IP地址过滤B.签名匹配C.流量清洗D.数据加密33.在网络规划设计中，逻辑网络设计阶段的主要任务是（）。A.需求分析B.网络拓扑结构设计C.IP地址规划和路由协议选择D.物理线路铺设34.关于HDLC协议，以下说法正确的是（）。A.HDLC是面向字符的同步传输协议B.HDLC是面向比特的同步传输协议C.HDLC只能用于点到点配置D.HDLC的帧格式中没有校验字段35.在Linux系统中，用于查看网络接口配置信息的命令是（）。A.pingB.netstatC.ifconfigD.traceroute36.某公司内部网需要通过NAT访问互联网，若使用NAPT（网络地址端口转换），则（）。A.只能实现一对一的地址映射B.可以实现多个私有IP地址对应一个公有IP地址C.不需要维护转换表D.只支持TCP协议，不支持UDP协议37.在数据库系统安全中，视图机制的主要作用是（）。A.数据加密B.数据备份C.数据独立性D.访问控制与数据隐藏38.在802.1X认证体系中，负责对接入用户进行认证的实体是（）。A.SupplicantB.AuthenticatorC.AuthenticationServerD.Switch39.关于网络流量分析工具Wireshark，以下说法错误的是（）。A.可以捕获网络接口的数据包B.支持多种协议的解析C.只能分析TCP/IP协议D.可以使用过滤器显示特定数据包40.在进行网络风险评估时，计算风险值的公式通常是（）。A.风险=资产价值B.风险=威胁频率C.风险=资产价值×威胁×脆弱性D.风险=安全措施成本二、案例分析题（共3题，每题20分）【案例一：企业园区网络规划与设计】某大型跨国企业计划新建一个高科技园区网络。该园区包含行政楼、研发楼、生产车间和数据中心。行政楼有500个信息点，主要运行OA系统；研发楼有800个信息点，对网络带宽和安全性要求极高，且需频繁访问数据中心的高性能计算集群；生产车间有200个信息点，需支持工业以太网协议，对实时性要求高；数据中心部署了服务器集群、SAN存储网络。网络核心层采用两台高性能核心交换机（SW-Core1,SW-Core2）做双机热备，汇聚层按楼宇分布。企业拥有公网地址段/24。研发部需通过VPN与海外研发中心互联。请结合上述场景，回答以下问题：1.为满足研发楼的高带宽和安全性需求，在接入层交换机与汇聚层交换机之间，除了采用VLAN技术隔离广播域外，还应部署哪些关键技术？（5分）2.针对生产车间对实时性的要求，在以太网帧结构和交换机配置上，应采取哪些优化措施？（5分）3.数据中心采用FCoE（FibreChanneloverEthernet）技术，请简述FCoE的工作原理及其优势。（5分）4.企业计划部署IPSecVPN连接海外研发中心。IPSec协议包含SA（安全关联）、AH、ESP和IKE等组件。请解释IKE协议的主要作用，并说明IKE协商的两个阶段。（5分）【案例二：网络安全策略与防护】某金融机构的核心业务系统部署在私有云平台上。近期安全审计发现，系统存在被SQL注入和XSS攻击的风险，且内部网络曾发生过ARP欺骗事件。此外，为了满足合规性要求，需要对关键数据的传输进行加密，并确保只有授权用户才能访问。请结合上述场景，回答以下问题：1.针对Web应用存在的SQL注入和XSS攻击风险，除了在代码层面进行修复外，在网络边界应部署什么设备？请简述其防护原理。（5分）2.为了防止内部网络的ARP欺骗攻击，可以采用哪些技术手段？（列举至少两种）（5分）3.该机构计划部署SSLVPN供远程员工接入。请画出SSLVPN建立连接的主要握手流程示意图（文字描述步骤即可），并指出SSLVPN相比IPSecVPN的优势。（5分）4.为了确保数据传输的机密性和完整性，采用非对称加密算法。假设发送方A要向接收方B发送机密消息M。请利用公钥密码体制原理，详细描述A如何处理消息M，B如何解密并验证消息来源。（5分）【案例三：网络存储与数据中心设计】某视频网站需要构建一个大容量、高吞吐量的存储系统来存放海量视频文件。该系统要求具备高可用性，任何单点故障不应导致服务中断，且存储容量需支持在线扩展。目前规划采用IP-SAN架构。请结合上述场景，回答以下问题：1.在IP-SAN架构中，通常使用哪种协议来承载SCSI数据？该协议默认的TCP端口号是多少？（3分）2.为实现存储系统的高可用性，规划采用RAID6技术。假设有N块硬盘，单块容量为C，请写出RAID6的可用容量计算公式（LaTex格式），并简述RAID6相比RAID5的优势。（4分）3.在数据中心的网络架构设计中，为了解决服务器虚拟化带来的虚拟机流量管理问题，引入了VXLAN技术。请简述VXLAN的工作机制，特别是它如何解决传统VLAN数量限制的问题。（6分）4.该视频网站采用分布式存储系统（如Ceph）。请简述Ceph存储架构的三个主要组件（Monitor、OSD、Client）及其功能。（7分）三、试卷答案与解析一、单项选择题1.【答案】C【解析】物理层（PhysicalLayer）是OSI参考模型的第一层，它的主要功能是利用传输介质为数据链路层提供物理连接，实现比特流的透明传输。2.【答案】A【解析】IPv6地址压缩规则：每个16位段中的前导零可以省略；连续的全零段可以用“::”代替，但只能出现一次。2001:0DB8:0000:0000:0000:FF00:0042:8329->2001:DB8:0:0:0:FF00:42:8329->2001:DB8::FF00:42:8329。注意：0042压缩为42，不能全省略。3.【答案】B【解析】ARP（AddressResolutionProtocol）地址解析协议，其作用是将已知的IP地址解析为MAC地址（硬件地址）。4.【答案】B【解析】香农定理公式：C=Blo(1+S/5.【答案】D【解析】OSPFLSA类型：Type-1：RouterLSA，描述路由器链路状态。Type-2：NetworkLSA，描述网络链路状态（广播网和NBMA网）。Type-3：NetworkSummaryLSA，描述区域内路由汇总。Type-5：ASExternalLSA，描述AS外部路由（引入的OSPF域外路由）。6.【答案】D【解析】VLAN划分方式包括基于端口、基于MAC地址、基于网络层协议、基于IP组播等。D选项说“无法基于MAC地址划分”是错误的。7.【答案】A【解析】BGP使用TCP作为传输协议，端口号为179，这保证了BGP报文的可靠性传输。8.【答案】A【解析】DHCPDORA流程：Client->Server:DHCPDISCOVERServer->Client:DHCPOFFERClient->Server:DHCPREQUESTServer->Client:DHCPACK9.【答案】B【解析】NAS（NetworkAttachedStorage）网络附属存储，通过IP网络（如以太网）进行文件级访问。DAS直连存储；SAN通常指FC-SAN；IP-SAN是基于IP的SAN，如iSCSI。10.【答案】B【解析】MPLS位于第2层和第3层之间（常被称为2.5层），通过在IP包头前插入固定长度的标签进行转发。LER（边缘路由器）负责压入/弹出标签，LSR（交换路由器）只负责标签交换。MPLS支持多种网络层协议。11.【答案】C【解析】屏蔽子网架构（ScreenedSubnetArchitecture）在内部网和外部网之间建立了一个被隔离的子网（DMZ），包含堡垒主机，并配置内外两个防火墙。这是最安全的防火方案。12.【答案】B【解析】CA（CertificateAuthority）证书颁发机构，是PKI的核心，负责发放、管理、撤销证书。RA（注册机构）是CA的代理，接收用户请求。13.【答案】A【解析】C类默认掩码/24。划分4个子网，需要借用主机位2位（=414.【答案】C【解析】1000Base-T：双绞线，100m。1000Base-CX：铜缆，25m。1000Base-LX：长波长光纤（单模或多模），单模可达5km，多模550m。1000Base-SX：短波长多模光纤，550m。15.【答案】C【解析】SNMPv3主要改进在于安全性，提供了基于用户的安全模型（USM），支持认证和加密。SNMPv2c主要改进了性能和操作，但安全性仍基于团体名（明文）。16.【答案】C【解析】建筑群子系统用于连接建筑物之间的线缆，包括楼群之间敷设的通信线路。17.【答案】A【解析】STP通过阻塞冗余端口来消除二层环路。RSTP是STP的优化，收敛更快。MSTP可以运行多个生成树实例，实现VLAN负载均衡。18.【答案】D【解析】在5G中，RAN（无线接入网）负责无线资源管理。AMF（接入和移动性管理功能）和SMF（会话管理功能）属于核心网（5GC）的控制面。UPF是用户面功能。19.【答案】C【解析】源地址哈希算法根据源IP地址计算哈希值，将来自同一IP的连接分发到同一台服务器，常用于会话保持。20.【答案】B【解析】SMTP（SimpleMailTransferProtocol）用于发送邮件。POP3和IMAP4用于接收邮件。FTP用于文件传输。21.【答案】C【解析】WPA2使用CCMP（CounterModewithCipherBlockChainingMessageAuthenticationCodeProtocol）加密机制，基于AES算法。WEP和TKIP安全性较低。22.【答案】B【解析】VRRP中，Backup路由器在Master_Down_Interval时间内未收到Master的通告报文，则会认为Masterdown，并抢占成为Master。Master_Down_Interval=3Adver_Interval+Skew_Time。【解析】VRRP中，Backup路由器在Master_Down_Interval时间内未收到Master的通告报文，则会认为Masterdown，并抢占成为Master。Master_Down_Interval=3Adver_Interval+Skew_Time。23.【答案】B【解析】SDN架构分为应用平面、控制平面、数据平面。控制平面是核心，负责集中控制，向数据平面下发流表。24.【答案】B【解析】RAID5需要1块盘的容量用于校验。可用容量=(N-1)单盘容量=(4-1)500GB=1500GB=1.5TB。【解析】RAID5需要1块盘的容量用于校验。可用容量=(N-1)单盘容量=(4-1)500GB=1500GB=1.5TB。25.【答案】D【解析】"Requesttimedout"表示请求超时，可能是目标不可达、中间设备丢弃包、目标关闭了ICMP响应或网络拥塞严重导致延迟过大。26.【答案】B【解析】IPSec包含AH（认证头）和ESP（封装安全载荷）。ESP提供加密（机密性）和认证；AH只提供认证，不加密。27.【答案】C【解析】IaaS提供基础设施（计算、存储、网络）；PaaS提供平台（运行环境、中间件）；SaaS提供软件应用。28.【答案】C【解析】现代存储区域网络（SAN）主要采用交换式架构，提供高带宽和低延迟。29.【答案】B【解析】隧道技术（如IPv6overIPv4）将IPv6数据包封装在IPv4数据包中，使IPv6流量可以穿越IPv4网络。30.【答案】D【解析】抖动是指数据包到达时间间隔的变化量，即延迟的波动，不是指顺序错乱（顺序错乱是乱序）。31.【答案】C【解析】/16划分64个子网，需要借用6位主机位（=6432.【答案】B【解析】WAF（Web应用防火墙）主要基于特征库（签名匹配）来检测已知的攻击特征，如SQL注入语句片段、XSS脚本片段等。33.【答案】C【解析】逻辑网络设计阶段主要包括：网络拓扑结构设计（有时归在物理设计后期，但逻辑设计确定连接关系）、IP地址规划、命名规则、路由协议选择、安全策略设计等。需求分析是第一阶段；物理线路铺设是物理实施阶段。34.【答案】B【解析】HDLC（高级数据链路控制）是面向比特的同步传输协议，使用“01111110”作为帧定界符，采用零比特填充技术。35.【答案】C【解析】ifconfig用于配置和查看网络接口；ping测试连通性；netstat查看网络连接状态；traceroute跟踪路由。36.【答案】B【解析】NAPT（NetworkAddressPortTranslation）即PAT，通过端口号区分不同的内部主机，实现多个私有IP复用同一个公有IP访问互联网。37.【答案】D【解析】视图是虚表，可以隐藏基表的部分行或列，从而限制用户访问范围，实现访问控制。38.【答案】C【解析】802.1X架构中：Supplicant是客户端（申请者）；Authenticator是认证者（如交换机）；AuthenticationServer是认证服务器（如RADIUSServer）。实际的认证验证由Server完成。39.【答案】C【解析】Wireshark支持非常广泛的协议解析，不仅限于TCP/IP，还支持HTTP,FTP,SMB,ICMP等数百种协议。40.【答案】C【解析】风险评估的基本公式：风险=资产价值×威胁×脆弱性。二、案例分析题【案例一解析】1.【答案】（1）端口安全：限制接入端口的最大MAC地址数量，防止非法设备接入。（2）DHCPSnooping：防止私设DHCP服务器攻击。（3）DynamicARPInspection（DAI）：防止ARP欺骗。（4）IPSourceGuard：基于DHCPSnooping表检查IP地址，防止IP地址欺骗。（5）链路聚合：增加带宽，提高链路冗余性。2.【答案】（1）以太网帧结构优化：使用IEEE802.1QVLAN标签中的优先级字段（PCP）进行流量分类。（2）交换机配置：启用QoS（服务质量）策略，配置PQ（优先级队列）或WFQ（加权公平队列），保证生产流量优先转发。（3）部署快速生成树（RSTP）或多生成树（MSTP）以减少收敛时的中断时间。（4）若环境允许，可考虑采用TSN（时间敏感网络）相关技术，如IEEE802.1AS时间同步。3.【答案】工作原理：FCoE是将FibreChannel（FC）帧封装在以太网帧中进行传输的技术。它通常使用专门的VLAN（VLAN1002-1005等）和优先级流控制（PFC）来确保无丢包传输。优势：（1）统一了网络传输介质，减少了线缆和接口卡类型（用网卡代替HBA卡）。（2）降低了布线成本和能耗。（3）实现了LAN和SAN的融合（I/O整合）。4.【答案】IKE（InternetKeyExchange）协议的主要作用：为IPSec协商安全关联（SA），并动态生成和更新加密密钥。IKE协商的两个阶段：（1）阶段1（主模式/野蛮模式）：在通信双方之间建立一个安全且经过认证的通道（IKESA），用于保护后续的协商消息。（2）阶段2（快速模式）：在已建立的IKESA保护下，协商具体的IPSecSA，用于保护实际的数据流（确定加密算法、密钥等）。【案例二解析】1.【答案】设备：Web应用防火墙（WAF）。防护原理：WAF执行在Web应用流量的前方。它通过深度包检测（DPI）技术，解析HTTP/HTTPS流量，将其与预定义的攻击特征库（规则集）进行匹配。如果检测到流量中包含SQL注入特征码或XSS恶意脚本，则根据策略阻断请求或报警。2.【答案】（1）ARP防护功能：在交换机上启用DAI（DynamicARPInspection），根据DHCPSnooping绑定表检查ARP报文的合法性。（2）静态ARP绑定：在网关或关键主机上静态绑定IP-MAC地址。（3）ARP监控工具：部署ARPGuard等软件监控异常ARP流量。3.【答案】SSLVPN握手流程：1.客户端发起连接，发送支持的加密套件。2.服务器响应，选择加密套件，并发送数字证书。3.客户端