2026年网络工程师认证考试试题及答案

2026年网络工程师认证考试试题及答案一、单项选择题（每题2分，共20分）1.某运营商骨干网采用SRv6部署，若需为企业专线配置End.DT4行为，该行为的核心作用是？A.对IPv4报文进行解封装并查表转发至对应VPN实例B.对IPv6报文进行压入SRH扩展头处理C.终结SRv6SID列表并执行ECMP转发D.对跨域SRv6报文进行AS号替换答案：A解析：End.DT4是SRv6中面向IPv4L3VPN的Endpoint类型，接收端收到携带该SID的SRv6报文后，先剥离外层IPv6头和SRH，将内层IPv4报文导入绑定的VPN实例，再根据VPN路由表转发；选项B对应End.X行为，选项C对应End.ECMP行为，选项D对应跨域ASBR的End.AS行为。2.某企业采用零信任架构部署内部业务访问体系，其中“持续信任评估”环节不包含以下哪项判断维度？A.用户终端最近7天的漏洞补丁修复率B.当前访问请求的IP地址是否属于企业办公区固定网段C.用户近1小时内访问敏感业务的操作频次D.终端进程是否存在未被白名单许可的异常行为答案：B解析：零信任核心是“永不信任、始终验证”，摒弃基于网络位置的信任判定逻辑，传统基于IP网段的静态授权属于边界式安全逻辑，不符合零信任持续评估的要求；A、C、D分别属于终端环境风险、用户行为风险、进程风险维度，均为持续信任评估的核心参考项。3.某跨国企业SD-WAN网络中，需为跨境视频会议业务配置SLA保障，已知当前可用链路为MPLS专线（延时30ms、丢包率0.1%）、5GSA低时延切片链路（延时80ms、丢包率2%）、Internet互联网链路（延时120ms、丢包率3%），若业务SLA要求为延时≤90ms、丢包率≤0.5%，当MPLS专线拥塞延时升至95ms时，SD-WAN控制器应执行以下哪项操作？A.将业务切换至5G链路并开启FEC前向纠错B.将业务切换至Internet链路并开启报文压缩C.保持业务在MPLS链路并开启冗余重传D.保持业务在MPLS链路并下调视频编码码率答案：A解析：当前MPLS延时超出SLA阈值，需切换链路；5G链路原生丢包率2%，开启FEC前向纠错可将有效丢包率降至0.2%以内，FEC处理带来的延时增量约7ms，总端到端延时约87ms，满足SLA要求；Internet链路即便开启压缩也无法将丢包率降至0.5%以内，且延时超阈值；C、D选项中MPLS已超出延时阈值，不符合SLA要求。4.某企业K8s集群采用CalicoBGP模式部署Pod网络，若需实现Pod网段与线下IDC机房网段的三层互通，且无需在核心交换机上配置静态路由，以下哪项配置是必须的？A.将Calico的Node节点与核心交换机建立BGP邻居关系B.在Calico中配置IPIP隧道封装模式C.开启Calico的NATOutbound功能D.在核心交换机上配置ARP代理答案：A解析：CalicoBGP模式下，Node节点会将本地Pod网段作为BGP路由发布，与核心交换机建立BGP邻居后，核心交换机可自动学习到所有Pod网段路由，无需配置静态路由即可实现三层互通；B选项IPIP隧道适用于不支持BGP的underlay网络，C选项NATOutbound用于Pod访问公网，D选项ARP代理用于二层互通场景，均不符合题干要求。5.某网工使用NETCONF协议对华为NE40E路由器进行批量配置下发，若需确保配置下发过程中出现错误时自动回滚到之前的配置状态，应使用以下哪种NETCONF操作？A.<copy-config>B.<validate>C.<commit>D.<edit-config>带candidate配置库和confirmed-commit参数答案：D解析：NETCONF的confirmed-commit机制允许下发配置后设置超时时间，若超时时间内未再次发送确认commit指令，设备会自动回滚到配置前的状态，可避免配置错误导致断网；A选项<copy-config>用于配置文件复制，B选项<validate>仅做配置语法校验，C选项<commit>为普通提交，无自动回滚能力。6.某AI算力数据中心采用RoCEv2部署RDMA网络，为避免PFC死锁，以下哪项配置是最优方案？A.关闭PFC功能，采用ECN标记实现拥塞控制B.为每个PFC优先级配置独立的缓存队列，设置死锁检测和自动恢复机制C.降低RDMA流量的发送速率，避免链路拥塞D.在Spine节点上配置流量整形，平滑突发流量答案：B解析：RoCEv2依赖PFC实现无丢包传输，关闭PFC会导致RDMA报文丢包重传，大幅降低传输效率；为PFC优先级配置独立缓存、死锁检测和自动恢复机制是当前解决PFC死锁的标准最优方案；C、D选项会降低RDMA流量的传输效率，不适用于AI算力场景。7.以下关于IPv6无状态地址自动配置（SLAAC）的描述正确的是？A.SLAAC生成的地址有效期由DHCPv6服务器分配B.SLAAC需要通过DHCPv6获取DNS服务器地址C.SLAAC基于路由器通告报文的前缀信息生成IPv6地址D.SLAAC生成的地址不会发生地址冲突答案：C解析：SLAAC全称为无状态地址自动配置，主机通过接收路由器发送的RA（路由器通告）报文中的前缀信息，结合自身的接口标识生成IPv6地址；选项A错误，地址有效期由RA报文中的参数定义；选项B错误，RFC8106已支持RA报文携带DNS服务器地址，无需依赖DHCPv6；选项D错误，SLAAC生成地址后需要执行DAD（重复地址检测），仍存在冲突可能。8.某企业部署了分布式拒绝服务攻击防护系统（DDoS），以下哪种攻击属于七层应用层DDoS攻击？A.SYNFlood攻击B.UDPFlood攻击C.HTTP慢速连接攻击D.ICMPFlood攻击答案：C解析：SYNFlood、UDPFlood、ICMPFlood均属于网络层/传输层DDoS攻击，通过发送大量四层以下报文占满链路带宽或设备连接资源；HTTP慢速连接攻击属于七层应用层攻击，通过建立大量半完成的HTTP请求占满Web服务器的连接数，导致正常请求无法被处理。9.某数据中心部署EVPNVXLAN网络，当虚拟机发生跨Leaf节点迁移时，以下哪种EVPN路由类型用于快速更新虚拟机的位置信息？A.Type2以太网自动发现路由B.Type3集成多播路由C.Type4以太网段路由D.Type5IP前缀路由答案：A解析：EVPNType2路由也叫MAC/IP路由，用于发布虚拟机的MAC地址、IP地址关联信息，当虚拟机跨Leaf迁移时，新的Leaf节点会发布新的Type2路由，其他Leaf节点收到后会快速更新转发表，实现流量路径的快速切换；Type3路由用于BUM流量转发，Type4路由用于ES多活场景，Type5路由用于发布三层网段路由，均不符合题干要求。10.某网工编写Python脚本实现网络设备配置批量备份，以下哪个第三方库是用于通过SSH协议登录网络设备的常用库？A.RequestsB.ParamikoC.PandasD.Scapy答案：B解析：Paramiko是Python中实现SSHv2协议的第三方库，可用于远程登录网络设备执行命令、备份配置；Requests是HTTP请求库，Pandas是数据处理库，Scapy是报文构造分析库，均不符合题干要求。二、多项选择题（每题4分，共20分，多选、少选、错选均不得分）1.某数据中心采用Spine-Leaf架构部署，Leaf节点为接入TOR，Spine节点为核心汇聚，以下关于该架构的设计描述符合2026年数据中心网络建设规范的是？A.Leaf节点与Spine节点之间采用32GFC链路存储与业务共传B.Leaf节点支持400G光口上联Spine，接入侧支持25G/50G光口对接服务器C.Spine节点部署EVPNVXLAN网关，实现跨子网虚拟机流量转发D.Leaf节点配置RDMARoCEv2功能，支持AI训练集群的低时延流量传输答案：BCD解析：选项A错误，2026年数据中心已全面采用NVMeoverRoCE替代FC存储网络，32GFC属于淘汰技术；选项B，400G上联、25G/50G接入是当前AI算力数据中心的标准配置；选项C，EVPNVXLAN作为数据中心二层互联的标准协议，网关部署在Spine节点可降低Leaf节点的转发压力；选项D，RoCEv2是RDMAover以太网的标准实现，是AI训练集群流量的必备支持能力。2.以下关于IPv6+技术体系的应用场景描述正确的是？A.SRv6Policy可实现针对不同业务的自定义路径调度，无需依赖传统IGP路由的最短路径约束B.BIER（位索引显式复制）可用于IPTV组播业务部署，减少组播协议配置复杂度C.IFIT（随流检测）可实现微秒级的业务流量质量检测，无需部署额外的探测报文D.APN6（应用感知IPv6）可将应用标识携带在IPv6扩展头中，实现网络对应用的精细化调度答案：ABCD解析：四个选项均为IPv6+的核心技术应用场景：SRv6Policy基于SID列表实现路径编程，不依赖IGP的最短路径转发；BIER通过位索引标识组播接收者，无需每个节点维护组播转发表；IFIT将检测信息封装在报文头中随业务报文传输，可实现高精度的实时流量质量检测；APN6在IPv6扩展头中携带应用SLA标识，网络设备可基于标识提供差分服务。3.某企业遭遇勒索病毒攻击，导致内部办公网络大面积瘫痪，网工在应急响应过程中需执行的正确操作是？A.立即断开所有受感染终端的网络连接，防止病毒横向扩散B.在核心交换机上部署ACL阻断SMB、RDP等高危端口的跨网段访问C.直接格式化所有受感染服务器的硬盘，用备份数据恢复业务D.对流量日志进行回溯分析，定位病毒的初始入侵入口和感染范围答案：ABD解析：选项C错误，直接格式化受感染硬盘会丢失攻击痕迹，无法完成溯源分析，应先对硬盘进行镜像备份后再执行恢复操作；选项A断开感染终端连接可阻止病毒扩散，选项B阻断高危端口可限制横向移动，选项D溯源分析可找到入侵入口避免二次攻击，均为正确操作。4.以下关于零信任网络访问（ZTNA）的核心能力描述正确的是？A.最小权限授权，仅为用户分配访问所需业务的最小权限B.所有访问请求均需经过身份认证和授权后才能转发C.需对用户的访问行为进行全程审计和风险分析D.仅允许企业内网IP段的用户访问内部业务系统答案：ABC解析：选项D属于传统边界安全的逻辑，零信任不基于网络位置判定信任，无论用户处于内网还是外网，均需要完成认证授权才能访问业务；A、B、C均为零信任的核心能力要求。5.某混合云场景下，企业线下IDC与阿里云、腾讯云通过云专线实现三层互通，以下哪些技术可用于实现跨云业务的容灾切换？A.DNS智能解析B.GSLB全局负载均衡C.BGP路由属性调整D.VXLAN二层互联答案：ABC解析：选项A，DNS智能解析可将用户流量解析到可用的云站点，实现容灾切换；选项B，GSLB全局负载均衡可基于站点健康状态调度流量，故障时自动切流；选项C，通过调整BGP路由的AS路径、Local-Preference等属性，可调整路由优先级，实现故障时的路由切换；选项D，VXLAN二层互联主要实现跨站点的二层打通，本身不具备容灾切换能力。三、实操题（每题20分，共20分）某企业需配置两台华为USG6000防火墙的HA主备集群，具体要求如下：1.心跳接口为GigabitEthernet0/0/0，采用直连心跳，主设备心跳优先级为7，备设备为5；2.业务接口GigabitEthernet0/0/1为上行公网接口，GigabitEthernet0/0/2为下行内网接口，两台防火墙的上行接口均配置静态公网IP，主设备IP为/24，备设备为/24，公网网关为，内网网关为/24；3.开启会话快速备份，当主设备故障时备设备接管会话不中断业务；4.配置联动上行接口状态，当主设备上行接口down时自动触发主备切换。请写出完整的主设备配置命令，并说明备设备需要修改的配置项。答案及解析：主设备完整配置命令1.配置设备基础信息与HRP功能```sysnameUSG-MasterhrpenablehrpinterfaceGigabitEthernet0/0/0remotehrppriority7hrppreemptdelay30```2.配置各接口IP地址```interfaceGigabitEthernet0/0/0ipaddressundoshutdowninterfaceGigabitEthernet0/0/1ipaddressundoshutdowninterfaceGigabitEthernet0/0/2ipaddressundoshutdown```3.开启会话快速备份功能```hrpmirrorsessionenable```4.配置上行接口状态联动```hrptrackinterfaceGigabitEthernet0/0/1```5.配置默认公网路由```iproute-static```备设备需修改的配置项1.设备名称修改为`USG-Backup`；2.心跳接口GigabitEthernet0/0/0的IP地址修改为`/24`，`hrpinterface`命令中的remote地址修改为``；3.HRP优先级配置为`5`（低于主设备的优先级，确保主设备正常时为主用）；4.上行公网接口GigabitEthernet0/0/1的IP地址修改为`/24`；5.其余配置与主设备保持一致，HRP功能开启后会自动同步主设备的安全策略、路由规则、NAT配置等所有业务配置，无需手动重复配置。四、案例分析题（每题40分，共40分）某上市企业2025年完成数字化转型，全网架构为“线下IDC+阿里云+腾讯云”的混合云架构，采用SD-WAN实现37个全国分支与混合云的互联，2026年3月网工收到业务部门反馈，全国所有分支跨云访问CRM系统的延时从平时的20ms升至200ms以上，且偶发丢包导致业务操作失败。已知网络拓扑如下：1.线下IDC出口防火墙对接运营商1000M专线，SD-WANCPE部署在防火墙内侧；2.阿里云和腾讯云各部署一台云原生SD-WAN网关，通过500M云专线与运营商骨干网对接，CRM系统部署在阿里云ECS上；3.分支用户访问CRM系统的路径为：分支终端->分支SD-WANCPE->运营商SD-WAN网络->阿里云SD-WAN网关->CRM系统（阿里云ECS）。请回答以下问题：1.请列出至少6种可能导致该故障的原因；（12分）2.请写出完整的故障排查流程；（16分）3.若排查后发现故障为SD-WAN控制器调度错误，将原本走阿里云云专线的流量调度到了公网Internet链路，且阿里云云专线链路正常，应如何修复该故障并避免后续再次发生？（12分）答案及解析：1.可能的故障原因（答出任意6项即可得分，每少1项扣2分）（1）SD-WAN控制器调度策略错误，将CRM业务流量调度到了公网链路而非阿里云云专线；（2）运营商阿里云云专线链路出现拥塞，带宽占用率达到100%导致延时升高、丢包；（3）阿里云SD-WAN网关出现性能瓶颈，CPU/内存占用率过高导致报文转发延时增加；（4）运营商骨干网SRv6路径出现故障，绕行到了跨运营商的次优路径导致端到端延时升高；（5）CRM系统所在ECS实例受到DDoS攻击，导致ECS上行带宽被占满，响应延时升高；（6）线下IDC出口防火墙配置了QoS策略，对CRM业务流量做了限速处理；（7）阿里云ECS实例本身负载过高，CPU/内存占用率100%导致业务响应慢，被误判为网络延时升高；（8）SD-WAN广域网优化功能异常，开启了不必要的报文压缩/解压缩处理，导致转发延时大幅升高。2.故障排查流程（1）首先选取2个不同区域的分支终端，使用mtr和tcptrace工具向CRM系统的业务端口发起探测，确定延时升高的节点位置，判断是分支网络、运营商SD-WAN网络还是云侧网络的问题；（4分）（2）登录SD-WAN控制器查看CRM业务的全局调度策略和当前转发路径，确认是否调度到了正确的阿里云云专线链路，同时查看链路的实时延时、丢包率、带