2025年网络故障排查试题及答案

2025年网络故障排查试题及答案一、单项选择题（共15题，每题2分，共30分）每题只有1个正确答案，多选、错选、不选均不得分。1.某企业千兆单模光纤链路，两端均为光模块+光纤跳线连接，链路自动协商后速率仅为100Mbps，以下最可能的根因是？A.光纤熔接点总损耗超过设备光模块接收灵敏度阈值B.一端端口强制设置为千兆全双工，另一端为自动协商C.光纤收发两端芯线接反D.链路MTU两端配置不匹配答案：A解析：千兆单模光模块正常接收光功率范围通常为-3dBm~-20dBm，若链路总损耗（含熔接点、跳线损耗）超过阈值，会导致信号误码率升高，设备自动协商时会主动降低速率以维持连通性，因此A正确。若一端强制千兆一端自动协商，绝大多数品牌设备会出现链路无法up，而非降速为100Mbps，B错误；单模光纤收发接反会导致链路完全不通，C错误；MTU配置不匹配只会导致大包传输丢包，不会影响链路协商速率，D错误。2.某企业办公终端配置静态IPv6地址：2409:8012:100:20::35/64，网关为2409:8012:100:20::1，运维测试可正常ping通网关及公网IPv6地址2400:3200::1，但无法通过域名访问，该故障最可能的根因是？A.IPv6前缀长度配置错误B.本地NDP代理未开启C.缺省IPv6路由未配置D.静态IPv6DNS地址未配置答案：D解析：题目中终端可正常ping通公网IPv6地址，说明终端IPv6地址配置、邻居发现、路由配置均正常，仅域名无法解析，因此根因为未配置IPv6DNS地址，D正确。若前缀长度配置错误或缺省路由未配置，无法ping通公网IPv6地址，A、C错误；本地NDP代理未开启会导致跨网段地址解析失败，无法ping通网关，B错误。3.某企业启用零信任访问架构，员工通过VPN接入后，无法访问授权的内部应用，平台显示“身份与准入校验失败”，以下哪项排查方向优先级最高？A.检查VPN链路连通性B.检查终端设备健康状态是否符合准入规则C.检查应用服务器端口是否开放D.检查DNS解析是否正常答案：B解析：零信任架构遵循“永不信任，始终校验”原则，用户接入时首先校验身份，其次校验终端健康状态（是否有病毒、是否合规、是否越狱/root、是否满足补丁要求等），若终端不符合准入规则，会直接拒绝访问，因此优先排查终端健康状态，B正确。若VPN链路不通、端口开放异常、DNS异常，报错信息不会是准入校验失败，A、C、D错误。4.Linux系统中，排查TCP端口连接超时故障，哪个命令可以直接查看指定端口是否被进程正常监听？A.ping<端口号>B.traceroute<端口号>解析：netstat-tulpn命令可列出系统所有监听的TCP、UDP端口，以及对应的进程信息，C正确。ping是网络层连通性测试工具，不支持端口测试，A错误；traceroute是路由跟踪工具，无法查看本地端口监听状态，B错误；arp-a是查看ARP缓存表的工具，和端口监听无关，D错误。5.某企业SD-WAN分支站点，所有用户访问总部应用时延突然升高3倍，丢包率超过20%，排查发现分支互联网出口带宽使用率达到96%，以下解决方案最合理的是？A.直接升级分支出口带宽B.启用SD-WAN应用识别和智能流量调度，保障核心业务带宽C.更换分支出口路由器D.调整总部防火墙访问规则答案：B解析：SD-WAN核心能力就是应用识别、智能选路和流量调度，出现非核心业务占用出口带宽导致核心业务卡顿的情况，优先通过SD-WAN的QoS能力保障核心业务带宽，成本最低效果最好，B正确。直接升级带宽会增加不必要的运营成本，A错误；更换路由器无法解决带宽被占用的问题，C错误；故障发生在分支侧，和总部防火墙规则无关，D错误。6.某企业核心交换机配置了OSPF动态路由，出现部分网段路由无法正常同步，查看OSPF邻居状态为full，以下哪项是最优先排查的方向？A.检查OSPF区域ID配置是否一致B.检查对应网段的network宣告是否正确C.检查邻居接口MTU配置是否一致D.检查OSPF进程是否开启答案：B解析：OSPF邻居状态为full说明邻居建立正常，区域ID、进程、MTU都是邻居建立的前提条件，邻居正常说明这些配置无问题，此时路由无法同步优先排查网段宣告是否正确，B正确，A、C、D错误。7.某公有云用户私有网络VPC内云服务器，无法通过公网IP访问本地部署的WEB服务，排查发现安全组已经放通80端口，云服务器内部本地访问正常，以下哪项根因最可能？A.云服务器CPU使用率过高B.VPC路由表未配置指向公网网关的默认路由C.WEB服务绑定的内网地址为D.公网带宽不足答案：C解析：WEB服务如果仅绑定，只能本地访问，无法通过公网/内网IP访问，题目中本地访问正常、外部无法访问，符合该故障特征，C正确。CPU使用率过高会导致访问慢，不会完全无法访问，A错误；VPC默认路由指向公网网关才可以出公网，若未配置，云服务器完全无法访问公网，不符合题目场景，B错误；带宽不足只会卡顿，不会完全无法访问，D错误。8.基于ONOS架构的SDN企业网，出现部分流量无法转发，运维排查发现设备流表项正常，控制器与所有设备的连接状态正常，该故障最可能出现在哪个环节？A.控制器北向接口故障B.控制器南向协议故障C.设备数据平面转发芯片故障D.控制器应用层故障答案：C解析：流表项正常说明控制器已经成功下发流表，南向协议、控制器应用层、北向接口都正常，故障出在设备转发层面，因此是转发芯片硬件故障，C正确，A、B、D错误。9.某企业内网出现大面积ARP欺骗，导致所有同VLAN终端流量被劫持，以下哪种防护手段最有效？A.配置静态ARP绑定B.开启交换机端口ARP检查+动态ARP检测C.升级终端杀毒软件D.划分VLAN隔离终端答案：B解析：动态ARP检测DAI可以结合DHCPSnooping绑定表，过滤非法ARP报文，是目前企业网防范ARP欺骗最有效的手段，B正确。静态ARP绑定仅适用于小规模网络，大规模部署维护成本极高，A错误；杀毒软件无法防范内网ARP欺骗，C错误；划分VLAN只能缩小欺骗范围，不能解决问题，D错误。10.K8s集群中使用NodePort方式暴露服务，集群外部用户无法访问该服务，排查发现集群节点安全组已经放通对应NodePort端口，集群内部访问该服务正常，以下哪项根因最可能？A.服务副本数为0B.Kube-proxy组件未运行C.集群节点的弹性公网IP未绑定到对应节点D.服务探针检查失败答案：C解析：外部用户需要通过节点公网IP访问NodePort服务，若节点未绑定公网IP，外部无法访问，符合题目中内部正常外部无法访问的特征，C正确。副本数为0、kube-proxy未运行、探针失败都会导致内部也无法访问，A、B、D错误。11-15题略（调整后继续，保证完整）11.某企业出口防火墙配置了源NAT，内网用户能ping通公网IP，但是无法打开网页，显示连接重置，最可能的根因是？A.NAT地址池地址不足B.防火墙安全策略禁止了80、443端口出站C.内网DNS配置错误D.出口带宽不足答案：B解析：能ping通说明网络连通，域名能解析（否则会报错找不到服务器），连接重置说明防火墙拦截了HTTP/HTTPS流量，B正确。NAT地址不足会导致部分用户无法上网，不是所有用户都能ping通不能打开网页，A错误；DNS错误无法解析域名，不会显示连接重置，C错误；带宽不足只会慢，不会连接重置，D错误。12.以下哪个工具可以直接抓取网络中传输的明文HTTP报文？A.tracertB.tcpdumpC.nslookupD.route答案：B解析：tcpdump是Linux下常用的报文抓包工具，可以抓取并分析HTTP明文报文，B正确，其他工具都不具备抓包能力。13.某企业IPv6网络中，终端能获取前缀但是无法获取网关地址，以下哪个协议故障会导致该问题？A.DHCPv4B.NDPC.BGPD.OSPFv3答案：B解析：NDP（邻居发现协议）负责IPv6网络中地址解析、网关发现等功能，NDP故障会导致终端无法发现网关，B正确。14.某企业WiFi网络出现部分区域用户连接后获取不到IP地址，能连接WiFi信号，同一AP下部分用户正常，最可能的原因是？A.AP信号强度不足B.DHCP地址池地址耗尽C.无线信道干扰D.AP离线答案：B解析：部分用户正常说明AP、信号、信道都正常，地址池耗尽后新接入的用户无法获取IP，符合该特征，B正确。15.某企业部署了SSLVPN，用户访问内部资源时网页显示“证书不受信任”，最可能的根因是？A.VPN用户名密码错误B.用户终端未导入VPN根证书C.内网服务器故障D.出口带宽不足答案：B解析：SSLVPN使用自定义证书时，需要终端导入根证书才能信任，未导入会显示证书不受信任，B正确。二、多项选择题（共10题，每题3分，共30分，多选、少选、错选均不得分）1.以下属于数据链路层常见故障的有哪些？A.VLAN配置冲突B.端口安全MAC地址绑定错误C.OSPF邻居建立失败D.ARP欺骗答案：ABD解析：OSPF属于网络层路由协议，故障属于网络层故障，C错误，其余选项都属于数据链路层故障，ABD正确。2.K8s集群Calico网络插件中，跨节点Pod无法通信，同节点Pod通信正常，可能的故障原因有哪些？A.节点防火墙禁止了BGP协议179端口B.节点防火墙禁止了IPIP隧道协议（协议号4）C.Calico节点Pod未正常运行D.跨节点BGP邻居未建立答案：ABD解析：Calico节点Pod未正常运行会导致同节点也无法通信，C错误，其余选项都符合跨节点不通同节点通的特征，ABD正确。3.以下属于网络故障排查的标准流程环节的有哪些？A.故障信息收集，确定故障影响范围B.逐步隔离故障点，定位根因C.修复故障后验证业务恢复情况D.记录故障根因和解决方案，形成故障台账答案：ABCD解析：标准故障排查流程包含以上四个环节，全部正确。4.公有云VPC网络中，云服务器无法访问公网可能的原因有哪些？A.安全组未放通出站流量B.路由表未配置默认路由指向公网网关C.云服务器未绑定弹性公网IPD.公网带宽配额不足答案：ABCD解析：以上四个选项都可能导致云服务器无法访问公网，全部正确。5.企业无线局域网出现频繁掉线故障，可能的原因有哪些？A.同频段AP信号干扰B.AP功率过大导致同频干扰C.DHCP地址池租期过短D.无线控制器带宽不足答案：ABD解析：DHCP租期过短不会导致频繁掉线，地址续约失败概率极低，C错误，其余选项都是常见的掉线原因，ABD正确。6.企业SD-WAN网络中，分支无法和总部建立IPsec隧道，可能的原因有哪些？A.分支公网IP发生变化，IPsec配置未更新B.双方预共享密钥配置不一致C.双方防火墙未放通UDP500端口D.分支出口带宽不足答案：ABC解析：带宽不足只会导致时延高丢包，不会导致隧道无法建立，D错误，其余选项都正确，ABC正确。7.以下哪些故障会导致企业网站用户访问时出现“ERR_CONNECTION_TIMED_OUT”错误？A.网站服务器宕机B.运营商路由不可达C.防火墙拦截了用户访问端口D.网站证书过期答案：ABC解析：证书过期会显示证书不受信任，不会显示连接超时，D错误，其余选项都正确，ABC正确。8.IPv6网络中，终端无法通过静态配置的IPv6地址上网，可能的原因有哪些？A.前缀长度配置错误B.缺省路由未配置C.DNS服务器地址未配置D.NDP邻居发现失败答案：ABCD解析：以上四个选项都可能导致静态IPv6地址无法上网，全部正确。9.企业核心交换机出现端口up但是无法转发流量故障，可能的原因有哪些？A.端口被管理员shutdownB.端口被加入黑洞隔离C.端口物理层故障，光功率不达标D.端口ARP防护触发黑名单答案：BD解析：shutdown后端口会down，不会up，A错误；光功率不达标端口会down，C错误；BD符合端口up但是无法转发的特征，正确。10.零信任访问体系中，用户可以正常登录但是无法访问指定应用，可能的原因有哪些？A.用户不在该应用的访问授权名单中B.用户终端不符合应用的准入规则C.应用本身故障不可用D.零信任网关网络故障答案：ABCD解析：以上四个选项都符合该故障场景，全部正确。三、案例分析题（共2题，每题20分，共40分）案例1：某300人规模制造企业办公网络，拓扑为：接入交换机→核心交换机→出口防火墙→双ISP（电信1000M、联通500M），原有办公VLAN为VLAN10，网段/24，配置策略路由：VLAN10流量走电信出口，运维VLAN20（/24）走联通出口。因业务扩张新增25个工位，运维将VLAN10的网段扩展为/23，修改了核心交换机的VLAN接口地址和DHCP地址池，改完后故障出现：原有192.168.10.x段用户可以正常上网，新增的192.168.11.x段用户无法上网，无法上网的用户可以正常ping通核心交换机VLAN10接口地址，无法ping通出口防火墙的内网接口地址。问题1：（10分）请写出该故障的排查步骤。问题2：（10分）请写出故障根因和解决方案。参考答案：问题1：排查步骤：（1）第一步：确认故障范围，统计可上网和不可上网用户的网段特征，确认故障仅发生在192.168.11.x段，原有网段正常，排除物理层、DHCP、防火墙整体故障；（2）第二步：测试不可上网用户的连通性，确认可ping通核心VLAN接口，无法ping通防火墙内网接口，说明故障出在核心交换机到防火墙的路由转发环节；（3）第三步：查看核心交换机的路由表，确认/24的直连路由存在，查看策略路由配置；（4）第四步：查看匹配策略路由的ACL规则，确认ACL规则的网段配置，定位根因。问题2：故障根因：原有策略路由匹配VLAN10流量的ACL规则仅配置了/24网段，网段扩展为/23后，ACL规则未同步更新，导致/24网段的流量无法匹配ACL规则，无法触发策略路由转发到电信出口，核心交换机没有对应默认路由转发该网段流量，因此无法到达防火墙，出现无法上网故障。原有/24网段可以匹配ACL，所以正常。解决方案：修改核心交换机上对应策略路由的ACL规则，将匹配网段更新为/23，保存配置后测试，新增网段用户即可正常上网，验证业务恢复即可。案例2：某企业线下IDC部署K8s1.29版本集群，共3个工作节点，使用CalicoBGP模式部署网络插件，PodCIDR为/16，ServiceCIDR为/12，部署完后测试发现：同一个节点上的Pod可以互相访问，也可以访问Service，不同节点上的Pod无法互相访问，所有节点本身可以ping通任意PodIP和ServiceIP，节点之间网络互通正常。问题1：（10分）请列出可能的故障根因；问题2：（10分）请写出完整的排查流程和最终解决方案。参考答案：问题1：可能的故障根因：（1）所有节点操作系统防火墙（fir