2026年上半年网络工程师考试应用技术真题

2026年上半年网络工程师考试应用技术真题一、某公司网络拓扑如下图所示，公司计划对网络进行升级改造，以实现更高效的数据交换和安全管理。请根据网络拓扑图及描述回答下列问题。（网络拓扑图示意：公司核心层采用两台高性能交换机互为冗余，汇聚层连接多个部门，接入层连接用户终端。防火墙部署在网络出口，连接互联网和DMZ区。DMZ区部署有Web服务器和邮件服务器。内部网络划分有行政部、技术部、财务部等VLAN。）1.在核心交换机上，为实现链路冗余和负载均衡，应采用哪种协议？请简述其工作原理，并说明在该场景下如何配置关键参数（如优先级、开销值）以实现主备路径的指定。答案与解析：应采用多生成树协议（MSTP）或其增强版本。在仅涉及二层链路聚合的场景中，也可使用链路聚合控制协议（LACP）实现负载均衡与冗余，但MSTP能更好地处理多VLAN环境下的环路与路径优化。工作原理：MSTP将多个VLAN映射到若干个生成树实例（MSTI）中，每个实例独立计算生成树。通过将不同VLAN的流量映射到不同的生成树实例上，可以实现不同VLAN流量沿不同路径转发，从而达到负载分担的目的。同时，它继承了RSTP的快速收敛特性。配置要点：区域配置：所有交换机需配置相同的MST区域名称、修订级别和VLAN与实例的映射关系。例如，将VLAN10、20映射到实例1，VLAN30、40映射到实例2。根桥指定：通过调整交换机在特定MSTI中的优先级，可以指定该实例的根桥和备用根桥。例如，将核心交换机A在实例1中的优先级设置为0（最高），使其成为实例1的根桥；将核心交换机B在实例2中的优先级设置为0，使其成为实例2的根桥。这样，实例1的流量主要经由交换机A，实例2的流量主要经由交换机B。路径开销：可以调整端口在不同MSTI中的路径开销，以精细控制流量的出端口，实现更灵活的负载均衡。2.公司要求财务部（VLAN30）的网络访问必须经过严格审计，且与行政部（VLAN10）隔离。现已在汇聚交换机上完成了基于端口的VLAN划分。请问还需要配置什么技术来实现部门间的二层隔离？若财务部需要访问位于DMZ区的特定财务应用服务器（该服务器IP为0），而其他部门不能访问，请给出在防火墙上可能的安全策略配置思路。答案与解析：二层隔离技术：在完成VLAN划分的基础上，为了实现更严格的隔离，防止可能的VLAN跳跃攻击或配置错误导致的互通，可以在交换机上配置私有VLAN（PVLAN）。将财务部VLAN设置为“隔离VLAN”，其成员端口只能与“混杂端口”（通常连接网关或服务器）通信，彼此之间不能直接通信。或者，更常见的做法是，依靠三层设备（如防火墙或路由器）进行隔离，即在不同VLAN间不配置任何互访的静态路由或策略路由，默认禁止互访，仅在需要时通过ACL或防火墙策略精确放行。防火墙策略配置思路：1.定义地址对象：创建财务部网段地址对象（如`/24`）和财务服务器地址对象（`0`）。2.创建安全策略：策略名称：`Finance_to_Finance_Server`源区域/地址：`Trust`区域（内网），源地址为财务部网段对象。目的区域/地址：`DMZ`区域，目的地址为财务服务器对象。服务：选择财务应用所需的特定端口（如TCP8443）。动作：`允许`。3.隐含拒绝：利用防火墙默认的“区域间策略默认拒绝”或最后一条“拒绝所有”的规则，确保其他部门（源地址非财务部网段）访问该服务器的流量被阻断。4.可选配置：启用会话日志或审计功能，记录该策略匹配的所有连接信息，以满足审计要求。3.网络管理员发现互联网访问速度在某些时段异常缓慢。经抓包分析，发现大量来自外网的ICMP和TCPSYN报文指向公司公网IP段。请判断这属于何种攻击？给出在出口防火墙上至少三种缓解该攻击的配置方法。答案与解析：这属于分布式拒绝服务（DDoS）攻击，具体表现为ICMPFlood和SYNFlood攻击。防火墙缓解配置方法：1.限流与阈值控制：配置ICMPFlood防御：设置ICMP报文速率阈值，例如每秒最多处理1000个ICMP请求，超出部分丢弃。配置ICMPFlood防御：设置ICMP报文速率阈值，例如每秒最多处理1000个ICMP请求，超出部分丢弃。配置SYNFlood防御：设置SYN报文速率阈值，并启用半开连接数限制。例如，每秒最多新建5000个TCP半连接，超出则丢弃新SYN包或发送RST复位。配置SYNFlood防御：设置SYN报文速率阈值，并启用半开连接数限制。例如，每秒最多新建5000个TCP半连接，超出则丢弃新SYN包或发送RST复位。2.黑名单与攻击溯源：分析攻击源IP，将持续发起攻击的IP地址加入黑名单，直接丢弃来自这些IP的所有数据包。可以手动添加或启用自动学习与添加功能。3.启用防攻击策略：现代下一代防火墙（NGFW）通常集成DDoS防护模块。启用针对“网络层DDoS攻击”或“传输层DDoS攻击”的防护策略，设备会自动识别异常流量模式并进行清洗。4.与ISP联动：对于超大流量的攻击，在防火墙上识别出攻击特征后，联系互联网服务提供商（ISP），在其网络边界进行流量清洗或黑洞路由引流。4.公司计划部署IPSecVPN，使移动办公员工和分支机构能够安全访问内网资源。请描述采用IKEv2协议建立IPSecVPN（采用ESP协议）的完整过程（分为两个阶段描述）。若希望VPN连接中断后能快速恢复，且适应NAT环境，IKEv2相较于IKEv1有哪些优势？答案与解析：建立过程：第一阶段：IKESA建立1.初始交换：双方交换`IKE_SA_INIT`消息，协商加密算法、完整性算法、DH组等，并交换Nonce和DH公共值，用于生成后续加密和认证所需的密钥材料。2.认证交换：双方交换`IKE_AUTH`消息。使用第一阶段生成的密钥保护此交换。消息中包含身份标识（IDi/IDr）、认证数据（如预共享密钥的哈希或数字签名）以及为第二阶段建立的子SA（即IPSecSA）的协商内容（`SAi2`，`TSi`，`TSr`）。IKEv2将IKEv1的“野蛮模式”和“主模式”功能合并到这两个交换中。第二阶段：在IKEv2中，IPSecSA的建立通常紧接在第一阶段的`IKE_AUTH`交换中完成（通过包含`SAi2`等载荷），无需单独的交换阶段。这简化了过程。协商的内容包括IPSec使用的协议（ESP）、加密算法（如AES-GCM）、完整性算法、封装模式（隧道或传输）、以及数据流选择器（TrafficSelector）。后续：双方根据协商的参数建立IPSecSA，开始使用ESP协议加密传输应用数据。IKEv2优势：1.快速重连（MOBIKE）：支持移动性，当客户端IP地址改变（如从WiFi切换到4G）时，无需重新进行完整的第一阶段协商，只需更新IP地址信息即可恢复连接，速度极快。2.NAT穿越（NAT-T）内置：IKEv2将NAT穿越作为协议标准部分，通过`NAT_DETECTION_SOURCE_IP`和`NAT_DETECTION_DESTINATION_IP`载荷自动检测路径中是否存在NAT设备，并自动启用UDP封装（端口4500），兼容性更好。3.协议更简洁高效：交换消息数量更少（通常4条），抗拒绝服务能力更强（通过cookie机制），可靠性更高（每个请求都必须有确认）。5.为保障Web服务器（IP：0，端口：443）的安全，管理员在防火墙的DMZ区部署了WAF（Web应用防火墙）进行反向代理。请画出客户端（Internet）访问该Web服务器的简要数据流示意图（包含客户端、防火墙、WAF、Web服务器），并说明WAF在此过程中可以实施的两类具体安全防护措施。答案与解析：数据流示意图：```客户端(Internet)->[防火墙公网IP:443]->防火墙DNAT->[WAF内网IP]->WAF检测/清洗->[Web服务器内网IP:443]（响应）Web服务器<WAF<防火墙SNAT<客户端```说明：防火墙将公网IP的443端口映射（DNAT）到WAF的IP地址。所有流量先到达WAF，经WAF检查后再由WAF代理转发给真实的Web服务器。WAF安全防护措施：1.攻击检测与阻断：SQL注入防护：检查HTTP请求参数，过滤或阻断包含`'`，`"`，`OR1=1`，`UNIONSELECT`等恶意SQL片段的请求。跨站脚本（XSS）防护：检查输入和输出，过滤`<script>`，`javascript:`，`onerror=`等危险脚本标签或事件。命令注入防护：检查请求中是否包含系统命令分隔符（如`;`，`|`，`&&`）及可疑命令。文件包含/路径遍历防护：检查文件名参数中是否包含`../`，`..\`等路径跳转序列。2.访问控制与合规：HTTP协议合规性检查：确保请求符合RFC标准，防止畸形报文攻击。防盗链：检查HTTPReferer头，只允许来自特定域名的图片或资源请求。CC攻击防护：基于源IP或会话，限制对特定URL的访问频率。敏感信息泄露防护：检查服务器响应内容，防止身份证号、银行卡号等敏感数据被意外返回。二、阅读以下关于Linux服务器配置和网络服务的说明，回答问题。某企业使用CentOS8作为操作系统部署了Nginx服务器（IP：）和DNS服务器（IP：0）。6.在Nginx服务器上，需要配置一个虚拟主机，监听80端口，域名`www.example`，网站根目录为`/var/www/html`。请写出该虚拟主机的核心Nginx配置片段。若要将该HTTP服务重定向到HTTPS（监听443端口），且使用自签名证书（证书文件`/etc/nginx/ssl/server.crt`，私钥文件`/etc/nginx/ssl/server.key`），请补充完整的配置。答案与解析：```nginx第一步：配置HTTP虚拟主机并重定向server{listen80;server_namewww.example;将80端口的所有HTTP请求重定向到HTTPSreturn301https://se或者使用rewrite^(.)https:}第二步：配置HTTPS虚拟主机server{listen443ssl;监听443端口并启用SSLserver_namewww.example;SSL证书配置ssl_certificate/etc/nginx/ssl/server.crt;ssl_certificate_key/etc/nginx/ssl/server.key;可选的SSL优化配置（示例）ssl_protocolsTLSv1.2TLSv1.3;ssl_ciphersHIGH:!aNULL:!MD5;root/var/www/html;indexindex.htmlindex.htm;location/{try_filesur}可以在此添加其他location配置，如反向代理到应用服务器}```7.在DNS服务器上，需要为域`example`提供权威解析。请完成以下`/etc/named.conf`中视图（view）配置的关键部分，要求实现分裂DNS：内网客户端（来自`/16`）查询`www.example`时返回内网服务器地址``，外网客户端查询时返回公网地址``。同时，写出对应的`example`区域文件（假设文件名为`ernal`和`example.zone.external`）中关于`www`记录的配置。答案与解析：`/etc/named.conf`视图配置片段：```bindoptions{directory"/var/named";};acl"internal"{/16;};//定义内网ACLview"internal-view"{match-clients{internal;};//匹配内网客户端recursionyes;//允许为内网客户端递归查询zone"example"{typemaster;file"ernal";//内网区域文件};//可包含其他内网区域，如反向解析};view"external-view"{match-clients{any;};//匹配所有其他客户端（外网）recursionno;//通常不为外网提供递归查询，防止放大攻击zone"example"{typemaster;file"example.zone.external";//外网区域文件};//可包含其他外网区域};```区域文件内容：`ernal`:`ernal`:```$TTL86400@INSOAns1.example.admin.example.(2024062001;serial3600;refresh900;retry604800;expire86400);minimumTTLINNSns1.example.wwwINA````example.zone.external`:`example.zone.external`:```$TTL86400@INSOAns1.example.admin.example.(2024062001;serial3600;refresh900;retry604800;expire86400);minimumTTLINNSns1.example.wwwINA```8.管理员在Nginx服务器上使用`netstat-antp`命令检查时，发现存在大量`TIME_WAIT`状态的TCP连接。请解释`TIME_WAIT`状态产生的原因。这种现象可能对服务器性能造成什么影响？请提出两种在Linux系统层面可调整的参数（写出参数名及调整方向）来优化此问题。答案与解析：产生原因：`TIME_WAIT`是TCP连接主动关闭方（在HTTP服务中通常是服务器端，因为服务器先发送FIN包）在发送最后一个ACK后进入的状态。该状态需要持续2MSL（MaximumSegmentLifetime，报文最大生存时间，通常为60秒）的时间。目的是：1.确保被动关闭方收到了最终的ACK。如果ACK丢失，被动关闭方会重发FIN，主动关闭方可以再次响应ACK。2.确保本次连接的所有报文都在网络中消逝，避免被之后新建的、具有相同四元组（源IP、源端口、目的IP、目的端口）的连接误接收。可能影响：1.占用连接资源：每个`TIME_WAIT`连接会占用一个本地端口和少量内存。当高并发短连接服务时，可能导致本地端口被耗尽，无法建立新连接，出现`Cannotassignrequestedaddress`错误。2.增加内核开销：大量此状态连接会增加内核协议栈管理负担。优化参数：1.`net.ipv4.tcp_tw_reuse`：设置为`1`。允许内核将处于`TIME_WAIT`状态的连接用于新的出向连接（作为客户端时）。这比`tcp_tw_recycle`更安全，后者在NAT环境下易导致问题，且在新版内核中已移除。2.`net.ipv4.tcp_fin_timeout`：减小该值（默认60秒），可以缩短连接保持在`TIME_WAIT`状态的时间。但需谨慎，过短可能违反TCP协议可靠性保证。3.`net.ipv4.tcp_max_tw_buckets`：限制系统可存在的`TIME_WAIT`连接总数，超出后新产生的`TIME_WAIT`连接会被直接释放。这是一种限制性保护措施。调整示例（在`/etc/sysctl.conf`中）：```net.ipv4.tcp_tw_reuse=1net.ipv4.tcp_fin_timeout=30（谨慎调整）```三、阅读以下关于IPv6、无线网络和网络管理的说明，回答问题。9.某企业网络开始向IPv6过渡。核心交换机支持IPv6。现有两个部门：部门A（VLAN10）计划使用地址`2001:db8:acad:1::/64`，部门B（VLAN20）计划使用`2001:db8:acad:2::/64`。请写出在核心交换机三层接口（SVI）上为这两个VLAN配置IPv6地址和默认路由的命令（以主流厂商通用风格示例）。若希望两个部门的IPv6主机能够通过路由器公告（RA）自动获取地址和网关信息，而不依赖DHCPv6，需要在交换机接口上如何配置？答案与解析：配置IPv6地址及路由（示例命令）：```bash进入全局配置模式configureterminal配置VLAN10的SVI接口及IPv6地址interfacevlan10ipv6address2001:db8:acad:1::1/64noshutdownexit配置VLAN20的SVI接口及IPv6地址interfacevlan20ipv6address2001:db8:acad:2::1/64noshutdownexit配置默认路由，假设上游路由器IPv6地址为2001:db8:acad::fffeipv6route::/02001:db8:acad::fffe```配置无状态地址自动配置（SLAAC）：在上述VLANSVI接口配置模式下，需要确保：1.IPv6单播路由已全局启用（通常`ipv6unicast-routing`）。2.默认情况下，当接口配置了IPv6地址且`ipv6unicast-routing`开启，RA消息就会以默认参数发送。但为了明确控制，可以配置：```bashinterfacevlan10ipv6address2001:db8:acad:1::1/64明确发送RA消息（这是默认行为，通常无需显式配置）noipv6ndsuppress-ra设置RA消息中的管理地址配置标志（Mflag）和其地址配置标志（Oflag）纯SLAAC（无状态）配置：M=0，O=0或O=1（用于获取DNS等信息）ipv6ndmanaged-config-flag[no]设置M标志，通常为‘no’ipv6ndother-config-flag[yes]设置O标志，若需通过DHCPv6获取DNS则设为‘yes’```主机收到RA后，会结合接口标识（如EUI-64）自动生成全球单播地址（`2001:db8:acad:1::xxxx:xxxx`），并将RA的源地址（`2001:db8:acad:1::1`）作为默认网关。10.公司会议室部署了基于802.11ac（Wave2）的无线接入点（AP），并启用WPA3-Enterprise认证。请简述WPA3-Enterprise相比WPA2-Enterprise在安全性上的两个主要增强点。当员工使用支持802.11ax（Wi-Fi6）的笔记本电脑连接该网络时，除了可能更高的理论速率外，还能体验到802.11ax带来的哪两项关键性能改进？答案与解析：WPA3-Enterprise增强点：1.更强的加密套件：强制要求使用GCMP-256加密、HMAC-SHA384完整性校验和ECDSAwithP-384椭圆曲线，提供192位的安全强度，高于WPA2的128位（CCMP/AES）。2.更安全的密钥交换：即使在企业环境中，WPA3也引入了同时身份验证（SAE）的改进思想，提供了更强大的针对密码字典攻击的防护，尽管企业环境主要依赖EAP框架。它更强调对前向保密的支持，确保即使长期密钥泄露，过去的会话通信也无法被解密。Wi-Fi6（802.11ax）关键性能改进：1.高密度环境下的效率提升：通过OFDMA（正交频分多址）技术，将信道划分为更小的资源单元（RU），允许在同一时刻为多个用户（设备）传输数据，降低了延迟，提高了多用户并发效率。2.目标唤醒时间（TWT）：允许AP与客户端设备协商其唤醒发送或接收数据的时间，从而显著降低设备的功耗，特别有利于物联网（IoT）设备，也减少了信道竞争。11.公司部署了网络管理系统，使用SNMPv3协议对网络设备进行监控。请说明SNMPv3在安全模型上相对于SNMPv2c的主要进步。在配置网络设备的SNMPv3时，需要创建“SNMP组”和“SNMP用户”。请简述这两个概念的关系及典型的配置步骤顺序。答案与解析：安全模型进步：SNMPv2c仅使用简单的团体名（CommunityString）作为明文密码进行认证，无加密，安全性极差。SNMPv3引入了基于用户的安全模型（USM），提供了：1.认证：验证消息来源的真实性，防止假冒。算法如HMAC-MD5-96或HMAC-SHA-96。2.加密：对报文载荷进行加密，防止窃听。算法如CBC-DES或AES。3.访问控制模型（VACM）：提供更精细的基于用户和组的访问权限控制。SNMP组与用户的关系及配置顺序：1.概念：SNMP组：定义了安全模型（如v3）、安全级别（noAuthNoPriv，authNoPriv，authPriv）以及该组用户对MIB视图的访问权限（读、写、通知）。SNMP用户：属于某个组，并指定具体的认证协议（如SHA）、认证密码、加密协议（如AES）、加密密码。2.典型配置步骤：a.创建SNMP视图（可选但推荐）：定义可访问的MIB子树范围。b.创建SNMP组：将组与安全模型、安全级别、访问视图绑定。c.创建SNMP用户：指定用户名、所属组、以及认证和加密的具体参数。示例命令流（思科风格）：```bash!第一步：创建视图（可选）snmp-serverviewMyROViewisoincluded!第二步：创建组，安全级别为authPriv(既认证又加密)，只读视图为MyROViewsnmp-servergroupMyGroupv3privreadMyROView!第三步：创建用户，属于MyGroup，认证用SHA，密码authpass，加密用AES128，密码privpasssnmp-serveruseradmin1MyGroupv3authshaauthpassprivaes128privpass```四、综合应用题12.某园区网络结构如下：核心层双机热备，汇聚层交换机下联多个接入层交换机。全网运行OSPFv2，区域0位于核心与汇聚之间。现需在核心交换机上部署策略路由，要求来自研发网段（`/24`）访问互联网（出口防火墙地址``）的流量，不经过默认的OSPF路由（下一跳为`54`），而是强制通过一条备用链路（下一跳为`54`）转发。已知核心交换机连接汇聚的接口为`GigabitEthernet0/1`（IP:`/24`），连接备用链路的接口为`GigabitEthernet0/2`（IP:`/24`）。请完成以下任务：（1）写出配置策略路由（PBR）的步骤，包括ACL、Route-Map的配置命令（以主流厂商通用风格示例）。（2）分析并说明在核心交换机上应用策略路由（入向应用在接收研发流量的接口）后，数据包的转发流程。当备用链路（`54`）故障时，流量将如何转发？为什么？（3）若希望实现当备用链路故障时，策略路由自动失效，流量回退到正常的OSPF路由，有何种技术思路？（不要求具体命令）答案与解析：（1）策略路由配置步骤：```bash!第一步：创建ACL，匹配研发网段访问互联网的流量（假设互联网目标泛指，或指定出口IP）access-list100permitip55any!更精确的ACL可以是：access-list100permitip5555!但策略路由通常用在出方向，匹配去往任何目的地的源IP。!第二步：创建Route-Map，定义策略动作route-mapPBR-RDpermit10!序列号10matchipaddress100!匹配ACL100setipnext-hop54!设置下一跳为备用链路!可选：setinterfaceGigabitE