CCNP网络工程师题库及答案

CCNP网络工程师题库及答案一、单项选择题（共10题，每题1分，共10分）下列关于OSPFTotallyNSSA区域的特性描述，正确的是？A.允许Type3LSA注入，不允许Type5LSA注入，默认注入Type7类型的默认路由B.不允许Type3明细LSA和Type5LSA注入，默认由ABR注入Type3类型的默认路由C.允许Type4和Type5LSA注入，仅过滤Type3类型的外部路由条目D.仅允许本区域内的Type1和Type2LSA存在，不会注入任何类型的默认路由答案：B解析：TotallyNSSA是OSPF特殊区域的一种，核心规则是仅允许本区域内的Type1、Type2LSA和ABR注入的Type3默认路由，过滤所有其他Type3明细路由、Type4、Type5LSA。选项A描述的是普通NSSA区域的特性；选项C描述的是OSPF普通骨干区域的特性；选项D描述的是TotallyStub区域的特性，因此只有B选项正确。某EIGRP路由的当前可行距离（FD）为2000，通告距离（AD）为1500，下列关于该路由可行后继的判断条件，说法正确的是？A.候选路由的AD值大于2000即可成为可行后继B.候选路由的AD值小于1500即可成为可行后继C.候选路由的FD值小于2000即可成为可行后继D.候选路由的AD值小于2000即可成为可行后继答案：D解析：EIGRP的可行条件（FC）要求候选路由的通告距离（AD，即下一跳设备到目标网络的距离）小于当前最优路由的可行距离（FD，即本地到目标网络的最优距离），即可成为可行后继，实现故障时的快速切换。选项A条件完全相反；选项B的阈值错误，无需小于当前路由的AD；选项C是成为最优路由的条件，而非可行后继的判断条件，因此D选项正确。下列关于VTP版本3与版本2的差异描述，正确的是？A.VTP版本3支持扩展VLAN（1006-4094）的配置同步，版本2不支持B.VTP版本2支持加密的认证密码，版本3不支持C.VTP版本3只能工作在服务器模式，版本2支持三种工作模式D.VTP版本2支持MSTP实例信息的同步，版本3不支持答案：A解析：VTPv3相比VTPv2的核心升级点就是支持扩展VLAN的同步、支持加密认证、支持MSTP信息同步，同时保留了服务器、客户端、透明三种工作模式。选项B、C、D的描述均与实际特性相反，因此A选项正确。下列BGP路径属性中，属于公认必遵属性的是？A.本地优先级B.团体属性C.AS路径D.MED值答案：C解析：BGP的公认必遵属性要求所有BGP设备都必须识别该属性，且必须携带在路由更新中，包括起源、AS路径、下一跳三类。选项A属于公认自由决定属性；选项B属于可选过渡属性；选项D属于可选非过渡属性，因此C选项正确。下列SD-WAN组件中，属于控制平面，负责路由计算和策略分发的是？A.边缘转发节点B.智能控制器节点C.管理平台节点D.编排认证节点答案：B解析：SD-WAN架构中，智能控制器节点是控制平面核心，负责整网路由计算、策略生成和下发；边缘转发节点属于数据平面，负责流量转发；管理平台节点属于管理平面，负责配置、监控、运维；编排认证节点负责新设备的接入认证和拓扑编排，因此B选项正确。GLBP协议中，一个组内最多支持的活动虚拟转发网关数量是？A.1个B.2个C.4个D.8个答案：C解析：GLBP是思科私有第一跳冗余协议，支持多网关负载分担，一个GLBP组内最多可以有4个活动虚拟转发网关，同时共享同一个虚拟IP地址，实现流量的自动负载分担，因此C选项正确。下列关于扩展ACL的部署原则，说法正确的是？A.尽量部署在靠近源地址的位置B.尽量部署在靠近目的地址的位置C.只能部署在接口的入站方向D.只能部署在接口的出站方向答案：A解析：扩展ACL可以匹配源地址、目的地址、端口号等多维度信息，部署在靠近源的位置可以尽早过滤无效流量，避免流量占用链路带宽。标准ACL因为只能匹配源地址，才需要部署在靠近目的的位置，ACL可以根据需求部署在入站或出站方向，因此A选项正确。QoS的DSCP标记中，用于低延迟语音业务的EF（加速转发）对应的二进制值是？A.101110B.001010C.010100D.110000答案：A解析：EF的DSCP十进制值为46，转换为二进制就是101110，专门用于语音等对延迟、抖动要求极高的实时业务。选项B是AF11对应的二进制值；选项C是AF22对应的二进制值；选项D是CS6对应的二进制值，因此A选项正确。802.11ax无线标准的商用名称是？A.Wi-Fi5B.Wi-Fi6C.Wi-Fi6ED.Wi-Fi7答案：B解析：802.11ac对应的商用名称是Wi-Fi5，802.11ax对应的是Wi-Fi6，Wi-Fi6E是在802.11ax基础上扩展了6GHz频段，802.11be对应的是Wi-Fi7，因此B选项正确。下列Python第三方库中，常用于网络设备SSH远程连接的是？A.用于HTTP请求的库B.用于数据处理的库C.用于SSH连接的paramiko库D.用于数值计算的库答案：C解析：paramiko是Python生态中专门用于实现SSH2协议的第三方库，广泛用于网络设备的自动化配置场景。其余选项的库均不具备SSH连接功能，因此C选项正确。二、多项选择题（共10题，每题2分，共20分）下列OSPF的LSA类型中，仅在生成该LSA的本区域内泛洪的有？A.Type1路由器LSAB.Type2网络LSAC.Type3汇总LSAD.Type5AS外部LSA答案：AB解析：Type1路由器LSA和Type2网络LSA都是描述区域内拓扑的LSA，仅在本区域内泛洪；Type3汇总LSA由ABR生成，会跨区域传播到其他OSPF区域；Type5AS外部LSA会在整个OSPF普通区域内泛洪，因此AB选项正确。下列EIGRP的数据包类型中，需要采用可靠传输、收到后必须返回ACK确认的有？A.Hello包B.Update更新包C.Query查询包D.Reply回复包答案：BCD解析：EIGRP的Hello包用于邻居发现和保活，采用组播不可靠传输，无需ACK确认；Update包用于传递路由信息、Query包用于查询丢失的路由、Reply包用于回复Query查询，三者均需要可靠传输，收到后必须返回ACK确认，因此BCD选项正确。下列BGP选路规则中，优先级高于AS路径长度比较的有？A.下一跳可达性检查B.本地优先级比较C.起源类型比较D.MED值比较答案：AB解析：BGP的选路顺序中，前几步依次为下一跳可达性检查、权重比较、本地优先级比较、本地起源路由优先、AS路径长度比较、起源类型比较、MED值比较，因此下一跳可达性、本地优先级的比较优先级都高于AS路径长度，AB选项正确。下列生成树协议版本中，支持VLAN粒度的生成树实例的有？A.802.1DSTPB.802.1wRSTPC.802.1sMSTPD.PVST+答案：CD解析：802.1DSTP和802.1wRSTP都是单生成树协议，所有VLAN共享同一个生成树实例，无法实现VLAN粒度的流量负载分担；PVST+是思科私有协议，每个VLAN对应一个独立的生成树实例；MSTP是标准协议，支持将多个VLAN映射到同一个生成树实例，两者都支持VLAN粒度的生成树配置，因此CD选项正确。下列属于交换机端口安全的违例处理模式的有？A.protect模式B.restrict模式C.shutdown模式D.forward模式答案：ABC解析：端口安全的三种标准违例模式分别为：protect模式，丢弃未知源MAC的流量不触发告警；restrict模式，丢弃未知源MAC的流量同时触发告警；shutdown模式，直接将端口设置为err-disable状态关闭。不存在forward模式的违例处理，因此ABC选项正确。下列属于IPv6邻居发现协议（NDP）核心功能的有？A.地址解析功能B.重复地址检测功能C.路由器发现功能D.前缀自动配置功能答案：ABCD解析：NDP替代了IPv4场景下的ARP、ICMP路由器发现、重定向等功能，四个选项描述的都是NDP的核心功能，因此ABCD全部正确。下列QoS拥塞管理机制中，属于基于类的调度机制的有？A.FIFO先进先出调度B.WFQ加权公平队列调度C.CBQ基于类的队列调度D.LLQ低延迟队列调度答案：BCD解析：FIFO调度是最简单的调度机制，不对流量进行分类，所有报文按照到达顺序转发；WFQ会自动对流量进行分类，按照流的权重分配带宽；CBQ支持用户自定义分类规则，为不同类分配不同带宽；LLQ是CBQ的增强版本，为实时业务预留低延迟队列，三者都属于基于类的调度机制，因此BCD选项正确。下列技术中，可用于二层环路预防的有？A.生成树协议B.以太通道技术C.动态路由协议D.UDLD单向链路检测技术答案：ABD解析：生成树协议通过逻辑阻塞冗余端口防止二层环路；以太通道将多条物理链路捆绑为一条逻辑链路，避免多条物理链路产生的环路；UDLD单向链路检测可以识别单向链路故障，避免生成树误判导致的环路；动态路由协议是三层技术，与二层环路预防无关，因此ABD选项正确。下列属于网络工程师常规监控的网络运行指标的有？A.接口带宽利用率B.设备CPU占用率C.终端硬盘占用率D.网络丢包率答案：ABD解析：接口带宽利用率、设备CPU占用率、网络丢包率都是直接影响网络运行质量的核心指标，属于网络工程师的常规监控范围；终端硬盘占用率属于终端运维的监控指标，不属于网络监控范畴，因此ABD选项正确。下列属于网络安全访问控制技术的有？A.AAA认证授权计费技术B.802.1X端口准入技术C.访问控制列表技术D.OSPF区域划分技术答案：ABC解析：AAA用于用户的身份认证和权限管理、802.1X用于二层接入的终端准入控制、访问控制列表用于三层/四层的流量过滤，三者都属于访问控制技术；OSPF区域划分是路由优化技术，不属于安全访问控制范畴，因此ABC选项正确。三、判断题（共10题，每题1分，共10分）OSPF的TotallyStub区域允许ABR注入Type3类型的默认路由LSA。答案：正确解析：TotallyStub区域的核心规则是仅保留本区域内的Type1、Type2LSA，以及ABR注入的Type3默认路由，过滤所有其他Type3明细路由、Type4、Type5LSA，因此该表述正确。EIGRP的自治系统号和BGP的自治系统号取值范围完全一致，没有任何区别。答案：错误解析：EIGRP的自治系统号为16位，取值范围是1到65535；BGP的自治系统号支持32位扩展，取值范围最高可到约42亿，两者取值范围并不一致，因此该表述错误。VTP透明模式下的交换机不会同步其他交换机的VLAN配置，也不会转发收到的VTP通告。答案：错误解析：VTP透明模式的交换机不会同步其他设备的VLAN配置，但会转发收到的、与自身VTP版本一致的VTP通告，因此该表述错误。BGP的路由反射器技术可以解决IBGP邻居需要全互联的问题。答案：正确解析：IBGP水平分割规则要求从IBGP邻居收到的路由不能转发给其他IBGP邻居，因此要求IBGP邻居全互联，路由反射器允许将收到的IBGP路由反射给其他IBGP客户端，大幅减少需要建立的IBGP邻居数量，解决了全互联的问题，因此该表述正确。GLBP协议中，同一个组内的所有活动虚拟转发网关都共享同一个虚拟IP地址。答案：正确解析：GLBP的AVG（活动虚拟网关）负责为组内的多个AVF（活动虚拟转发器）分配不同的虚拟MAC地址，所有终端的默认网关都使用同一个虚拟IP，通过响应不同的虚拟MAC实现流量负载分担，因此该表述正确。IPv6的链路本地地址前缀为FE80::/10，仅能在同一个广播域内通信，不能跨三层转发。答案：正确解析：链路本地地址是IPv6接口自动生成的地址，前缀固定为FE80::/10，作用范围仅限本地链路，路由器不会转发源目为链路本地地址的报文，因此该表述正确。QoS中的监管（Policing）技术会缓存超出承诺速率的流量，等到带宽空闲时再发送。答案：错误解析：QoS中的监管技术是对超出承诺速率的流量直接丢弃或重新标记，不会缓存流量；整形技术才会缓存超出速率的流量，等到带宽空闲时再发送，该表述混淆了两者的功能，因此错误。SD-WAN采用控制平面和数据平面分离的架构，属于软件定义网络的应用场景之一。答案：正确解析：SD-WAN是SDN技术在广域网场景的落地应用，核心特性就是控制与转发分离，通过集中控制器统一管理整网的路由策略和流量调度，因此该表述正确。无线局域网的2.4GHz频段穿墙能力比5GHz频段更强，但单流最大传输速率低于5GHz频段。答案：正确解析：2.4GHz频段波长更长，绕射和穿透能力更强，覆盖范围更大，但可用信道少、干扰多，单流最大速率仅为数百兆；5GHz频段可用带宽大、干扰少，单流最大速率可达数吉比特，因此该表述正确。YANG模型是Python中专门用于处理HTTP请求的第三方工具库。答案：错误解析：YANG是用于网络配置和管理的数据建模语言，用于描述网络设备的配置和状态模型，不属于Python的工具库；Python中处理HTTP请求的常用库是requests，因此该表述错误。四、简答题（共5题，每题6分，共30分）简述OSPF中DR和BDR的选举规则。答案要点：第一，首先比较参与选举设备的接口OSPF优先级，优先级数值越高越优先，优先级设置为0的设备不参与DR和BDR选举；第二，若接口优先级相同，则比较设备的RouterID，RouterID数值越大越优先；第三，DR选举具备非抢占特性，若网络中已经存在DR，新加入的设备即使优先级和RouterID更高，也不会抢占已有的DR角色，只有DR故障时，BDR会自动升级为新的DR，再重新选举新的BDR。解析：DR和BDR是广播型、NBMA类型网络中为减少LSA泛洪数量选举的指定设备，负责汇总本网段的LSA信息转发给其他设备，上述三个要点是DR/BDR选举的核心规则，每个要点占2分，表述完整即可得满分。简述BGP中IBGP和EBGP的核心区别。答案要点：第一，邻居所属的自治系统不同，EBGP邻居属于不同的自治系统，IBGP邻居属于同一个自治系统；第二，路由传播规则不同，从EBGP邻居收到的路由可以转发给所有EBGP和IBGP邻居，从IBGP邻居收到的路由默认不能转发给其他IBGP邻居；第三，报文默认TTL值不同，EBGP邻居之间的报文默认TTL值为1，IBGP邻居之间的报文默认TTL值为255。解析：IBGP用于自治系统内部的BGP路由传递，EBGP用于不同自治系统之间的路由传递，三者是两类邻居最核心的差异，每个要点占2分，表述完整即可得满分。简述NAT的三种主要类型及对应的核心适用场景。答案要点：第一，静态NAT，实现私网地址与公网地址的一对一固定映射，主要适用于内部服务器需要对外提供服务的场景，保证外部用户可以通过固定公网地址访问内部服务；第二，动态地址池NAT，从公网地址池中动态分配空闲地址给私网设备做映射，地址池用完后新的私网设备无法访问公网，适用于公网地址数量较多、需要对外网隐藏内部地址的场景；第三，端口地址转换（PAT），也称为NAPT，实现多个私网地址映射到同一个公网地址的不同端口，是当前应用最广泛的NAT类型，可以大幅节省公网IP地址，适用于普通办公终端访问公网的场景。解析：NAT的核心作用是解决IPv4公网地址不足的问题，同时隐藏内部网络结构提升安全性，三种类型对应不同的业务需求，每个要点占2分，表述完整即可得满分。简述标准802.1DSTP的五种端口状态及对应核心功能。答案要点：第一，禁用状态，端口被管理员手动关闭，不转发任何流量也不处理BPDU报文；第二，阻塞状态，端口不转发用户数据流量，仅接收BPDU报文，避免环路产生；第三，侦听状态，端口开始处理BPDU报文，参与根桥、根端口、指定端口的选举，仍然不转发用户数据流量；第四，学习状态，端口开始学习接入终端的MAC地址构建MAC地址表，仍然不转发用户数据流量，避免临时环路；第五，转发状态，端口正常转发用户数据流量，同时持续处理BPDU报文维护生成树拓扑。解析：STP的端口状态逐步转换是为了避免拓扑变化时产生临时环路，五个状态中阻塞、侦听、学习、转发为核心状态，答对4个核心状态加禁用状态即可得满分，每个要点占1分，整体逻辑清晰加1分。简述SDN架构的三个核心平面及对应功能。答案要点：第一，数据平面，由各类网络转发设备组成，负责按照控制平面下发的流表规则进行数据包的转发、丢弃、标记等处理；第二，控制平面，是SDN架构的核心大脑，由集中式的控制器组成，负责整网的拓扑收集、路由计算、转发规则生成，并将规则下发到数据平面设备；第三，应用平面，由各类上层网络应用组成，包括负载均衡、流量监控、安全防护等应用，通过控制器开放的北向接口调用网络能力，实现业务需求。解析：SDN的核心是控制与转发分离，三个平面各司其职，实现网络的灵活可编程，每个要点占2分，表述完整即可得满分。五、论述题（共3题，每题10分，共30分）结合中大型企业园区网的实际场景，论述三层架构（核心层、汇聚层、接入层）各层的功能定位、设计原则及常用技术选型。答案：论点1：核心层的功能与设计核心层是整个园区网的高速转发骨干，核心设计原则是高可靠、低延迟、高吞吐量，不允许部署任何可能影响转发效率的过滤类策略，避免成为网络瓶颈。实际落地时，通常选用两台高端框式交换机组成冗余架构，通过堆叠或虚拟交换系统技术实现逻辑上的单设备，减少控制平面故障点；路由层面部署OSPF或IS-IS作为内部路由协议，启用等价多路径路由实现链路负载分担，配置BFD实现链路故障的毫秒级切换；整网的路由汇总在汇聚层完成，核心层仅保留汇总后的路由条目，减少路由表规模提升转发效率。例如某千人规模的跨楼宇园区，核心层的交换容量通常达到数十T级别，支持所有流量的无阻塞线速转发，核心层设备的可用性要求达到99.999%。论点2：汇聚层的功能与设计汇聚层是接入层和核心层的中间节点，核心设计原则是策略控制、边界聚合、故障隔离，是整网的策略执行点。实际落地时，通常每个楼宇部署一对汇聚层三层交换机，负责本楼宇所有接入设备的汇聚；配置VLANIF接口作为对应VLAN的默认网关，实现VLAN间的三层转发；部署访问控制列表实现不同部门、不同安全域之间的访问控制，比如禁止办公网直接访问生产网；配置QoS策略对视频会议、IP电话等实时业务进行优先级标记和带宽保障；配置路由聚合，将本楼宇的明细路由汇总后发送给核心层，减少核心层的路由条目数量。论点3：接入层的功能与设计接入层是直接连接终端用户的层级，核心设计原则是灵活接入、安全准入、简化运维。实际落地时，通常选用支持PoE功能的二层千兆/万兆交换机，为IP电话、无线AP等终端供电；配置端口安全限制每个接口的最大接入终端数量，防止私接路由器等设备；部署802.1X认证或MAC地址认证实现终端准入控制，只有授权终端可以接入网络；配置生成树边缘端口，加快终端接入的收敛速度，避免终端插拔导致的生成树拓扑震荡。结论三层架构通过分层实现了功能解耦，不同层级负责不同的功能，兼顾了网络的性能、可靠性、安全性和可扩展性，是当前中大型园区网的主流架构，企业可以根据自身规模和业务需求灵活调整各层的技术选型。解析：本题得分点为三层架构的功能定位4分，技术选型设计4分，结合实际场景的实例2分，内容完整逻辑清晰即可得满分。结合跨区域企业的广域网升级需求，论述传统广域网与SD-WAN的核心差异，以及SD-WAN的适用场景和业务价值。答案：论点1：传统广域网的核心痛点传统广域网通常采用MPLS专线连接总部和分支，核心痛点包括三个方面：一是成本高，MPLS专线的单位带宽成本是互联网带宽的数倍，跨区域的专线年成本极高；二是部署不灵活，新分支开通需要等待运营商的专线施工，部署周期长达数周甚至数月；三是带宽利用率低，多链路场景下只能基于目的地址做静态选路，关键业务无法优先使用高质量链路，互联网链路通常只能作为备份，闲置率极高。例如某跨区域连锁企业，之前使用MPLS专线连接总部和二十余个分支，每年专线成本超过百万，新开门店的专线开通需要等待1个月以上，视频会议等关键业务经常因为专线拥塞出现卡顿，而500M的互联网备份链路使用率不足10%，带宽严重浪费。论点2：SD-WAN的核心优势SD-WAN采用控制与转发分离的架构，相比传统广域网有三个核心优势：一是混合链路接入，支持同时接入MPLS、互联网、5G等多种类型的链路，无需依赖专用的MPLS专线；二是智能应用选路，可以识别不同的应用类型，为关键业务选择质量最好的链路，非关键业务选择成本较低的链路，大幅提升带宽利用率；三是集中化运维，所有分支的配置都可以在总部的管理平台统一完成，新分支设备支持零配置上线，部署周期缩短到几小时。上述连锁企业升级SD-WAN后，关键的收银、视频会议业务自动走MPLS链路，普通上网、文件下载业务走互联网链路，整体带宽利用率从30%提升到80%，专线成本降低了40%，新门店部署只需要快递设备到现场，插电即可自动完成配置上线。论点3：SD-WAN的适用场景与价值SD-WAN的核心适用场景包括三类：一是跨区域多分支的企业，通过SD-WAN降低专线成本，提升部署效率；二是有大量云业务访问需求的企业，SD-WAN可以优化云访问路径，提升云业务的访问体验；三是有临时办公、移动办公需求的企业，SD-WAN支持5G快速接入，无需布线即可快速搭建办公网络。对于只有单个办公节点的小型企业来说，SD-WAN的价值相对有限。结论SD-WAN相比传统广域网在成本、灵活性、运维效率上都有明显优势，是当前广域网升级的主流方向，企业可以根据自身的分支规模、业务需求选择合适的部署方案。解析：本题得分点为传统广域网痛点3分，SD-WAN优势4分，适用场景和价值3分，结合实际案例逻辑清晰即可