网络工程师认证试题及解析

网络工程师认证试题及解析一、单项选择题（共10题，每题1分，共10分）在OSI七层参考模型中，负责实现端到端的可靠数据传输、流量控制与差错恢复功能的层级是A.物理层B.数据链路层C.传输层D.网络层答案：C解析：传输层的核心定位是为两个主机的应用进程之间提供端到端的可靠通信服务，TCP协议就是典型的传输层协议，完全覆盖流量控制、差错恢复的功能要求。选项A错误，物理层仅负责比特流的透明传输，不具备任何控制逻辑；选项B错误，数据链路层的控制范围是同一个局域网内相邻节点之间的通信，属于链路级而非端到端；选项D错误，网络层仅负责跨网段的数据包转发路由寻址，不保障传输可靠性。某企业分配到一个C类IPv4网段，需要划分成6个大小均等的子网，每个子网至少可容纳25台可用主机，对应的子网掩码应该是A.255.255.255.128B.255.255.255.192C.255.255.255.224D.255.255.255.240答案：C解析：子网掩码255.255.255.224对应子网位为3位，可划分出8个可用子网，每个子网的主机位为5位，可容纳的可用主机数为2^5-2=30台，完全满足6个子网、每个子网至少25台主机的要求。选项A错误，子网位为1位仅能划分2个子网，无法满足数量要求；选项B错误，子网位为2位仅能划分4个子网，达不到6个的需求；选项D错误，子网位为4位，每个子网主机位仅4位，可用主机数仅14台，无法满足25台主机的要求。以下关于VLAN技术的描述中，说法正确的是A.VLAN可以在物理上彻底隔离不同用户的流量B.不同VLAN之间的设备默认无法直接二层通信C.一个交换机端口只能被划分到一个VLAN中D.VLAN扩展最多支持1024个不同的VLAN编号答案：B解析：VLAN是二层逻辑广播域隔离技术，不同VLAN属于独立的二层广播域，默认情况下无法直接通过二层链路实现通信，必须借助三层设备才能完成互通。选项A错误，VLAN是逻辑层面的隔离，并非物理层面的流量隔离；选项C错误，交换机的Trunk类型端口可以同时属于多个VLAN，用于跨交换机的同VLAN流量转发；选项D错误，标准的802.1Q协议支持的VLAN编号范围是1-4094，远超过1024的限制。生成树协议STP中，用于阻塞冗余端口、防止二层环路发生的核心机制是A.自动计算无环的逻辑树拓扑B.动态修改设备的MAC地址表C.定期广播免费ARP更新路由D.限制端口的广播报文转发速率答案：A解析：STP协议通过在交换网络中选举根桥、根端口、指定端口，将剩余的冗余端口设置为阻塞状态，自动生成一棵无环的逻辑树拓扑，从根源上避免二层环路的产生。选项B错误，MAC地址表是交换机正常转发流量的基础，和防环没有直接关联；选项C错误，免费ARP是用于检测地址冲突的报文，不属于STP的工作机制；选项D错误，限制广播速率是泛洪控制手段，不能从根本上消除环路。OSPF动态路由协议中，用于唯一标识一台路由器身份的参数是A.路由器的管理IP地址B.路由器IDC.直连网段的最大IP地址D.所在区域的区域号答案：B解析：OSPF协议规定必须手动或自动生成一个32位的路由器ID，作为全网范围内唯一标识单台路由器的身份凭证，所有路由交互、邻居协商流程都会携带该标识。选项A错误，管理IP地址不属于OSPF协议的内置标识参数；选项C错误，路由器ID自动选举时会选取环回口最大IP，但不是直接用直连网段最大IP，且可以手动指定不受该规则限制；选项D错误，区域号用于标识路由器所属的OSPF区域，不能用于区分单台设备身份。以下网络地址转换技术NAT的类型中，可以实现多台内网主机共用同一个公网IP同时访问互联网的是A.静态NATB.动态NAT地址池C.端口多路复用PATD.双向NAT答案：C解析：端口多路复用PAT也叫NAPT，通过映射不同的源端口号，实现上百台内网主机同时复用同一个公网IP地址完成外网访问，是目前家庭和企业网络最常用的NAT实现方式。选项A错误，静态NAT是一对一的固定地址映射，一个公网IP同一时间只能对应一台内网主机；选项B错误，动态NAT地址池是从地址池中挑选空闲公网IP一对一分配给内网主机，地址池大小限制了同时访问的主机数量；选项D错误，双向NAT主要用于同时隐藏内外网服务器地址的场景，不能实现多主机复用单个公网IP的效果。传统以太网中采用CSMA/CD介质访问控制机制的核心作用是A.提升网络的传输带宽上限B.解决共享介质环境下的报文发送冲突问题C.实现不同厂商设备的互通兼容D.自动完成IP地址的分配下发答案：B解析：CSMA/CD即载波监听多路访问/冲突检测机制，是早期共享式以太网的核心控制逻辑，所有节点发送报文前先监听介质空闲状态，发生冲突后执行退避重传，有效解决共享总线环境下的报文发送冲突问题。选项A错误，该机制无法提升物理带宽上限；选项C错误，协议标准的统一才是不同厂商设备互通的基础，和CSMA/CD没有直接关联；选项D错误，自动分配IP地址的功能由DHCP协议实现。以下哪种网络设备工作在OSI模型的网络层，基于IP地址完成跨网段的数据包转发A.二层交换机B.集线器C.路由器D.无线AP答案：C解析：路由器的核心工作逻辑是基于路由表中的目标IP地址信息，为跨网段的数据包选择最优转发路径，属于典型的网络层设备。选项A错误，二层交换机工作在数据链路层，基于MAC地址转发报文；选项B错误，集线器是物理层设备，仅完成比特流的复制转发，没有任何寻址逻辑；选项D错误，无线AP本质是无线信号的接入转换设备，默认工作在二层，不具备三层路由转发功能。TCP协议报文头中，用于主动请求关闭连接的标志位是A.SYNB.FINC.ACKD.RST答案：B解析：FIN标志位的含义是Finish，当一方完成所有数据发送工作后，会携带FIN标志位的报文通知对方自己想要关闭连接。选项A错误，SYN标志位用于TCP连接建立阶段的同步序列号请求；选项C错误，ACK标志位是确认报文的标识，所有除首次握手外的TCP报文默认都会携带ACK位；选项D错误，RST标志位用于强制中断异常的无效连接。以下关于DNS协议的功能描述，正确的是A.将MAC地址解析为对应的IP地址B.将域名解析为对应的IP地址C.将IP地址解析为对应的MAC地址D.将端口号解析为对应的应用层协议答案：B解析：域名系统DNS的核心功能就是实现容易记忆的域名和复杂难记的IP地址之间的相互映射，最常用的正向解析就是将域名转换为对应的服务器IP地址。选项A错误，不存在将MAC地址解析为IP地址的常规协议流程；选项C错误，将IP地址解析为MAC地址是ARP协议的核心功能；选项D错误，端口号和应用层协议的对应关系是由协议标准预先定义的，不需要动态解析。一、多项选择题（共10题，每题2分，共20分）以下属于TCP协议相比UDP协议独有的特性有A.面向连接的传输模式B.支持超时重传的差错恢复机制C.提供全双工的通信服务D.内置滑动窗口的流量控制机制答案：ABD解析：TCP是面向连接的可靠传输协议，具备超时重传、滑动窗口流量控制等独有机制，而UDP是无连接的不可靠传输协议。选项C错误，UDP协议同样支持全双工通信，两台主机可以同时通过UDP收发数据，不属于TCP独有的特性。以下技术方案中，可以实现不同VLAN之间的主机互相通信的有A.配置具备三层路由功能的核心交换机完成VLANIF接口转发B.新增一台路由器，通过单臂路由的方式连接交换机的Trunk端口C.将两个需要互通的VLAN的PVID设置为完全相同D.在两个VLAN所属的端口之间配置静态MAC地址绑定答案：AB解析：三层交换机的VLANIF接口是目前最常用的VLAN间路由实现方式，单臂路由则是早期没有三层交换机时的经典VLAN间互通方案，二者都可以实现跨VLAN的三层转发。选项C错误，修改PVID相同会破坏原本的VLAN隔离逻辑，导致同VLAN泛洪混乱，不属于合规的VLAN间互通方案；选项D错误，静态MAC地址绑定只能固定转发端口，无法突破二层广播域的限制，不能实现跨VLAN通信。以下属于合法的IPv6地址表示形式的有A.2001:0da8:0000:0000:0123:4567:89ab:cdefB.2001:da8::123:4567:89ab:cdefC.fe80::1D.192.168.1.1答案：ABC解析：IPv6地址采用8段16位十六进制数的表示规则，可以通过连续零压缩的方式简化书写，选项A是完整无压缩的标准写法，选项B是正确的零压缩写法，选项C是常用的链路本地地址简化写法，都符合IPv6地址规范。选项D错误，点分十进制的四段写法是标准的IPv4地址格式，不属于IPv6地址范畴。以下常见的网络安全防护技术中，属于访问控制类技术的有A.防火墙安全策略规则B.终端入网802.1X身份认证C.入侵检测系统旁路流量审计D.交换机端口MAC地址绑定答案：ABD解析：防火墙策略基于五元组放行或阻断流量，802.1X认证校验终端身份决定是否允许接入网络，端口MAC绑定限制仅指定MAC的设备可以从该端口接入，三者都属于访问控制类技术，直接决定主体是否有权限访问对应资源。选项C错误，入侵检测系统仅完成旁路的流量监测和告警，不执行阻断控制动作，不属于访问控制技术。以下关于动态路由协议RIP的描述中，正确的有A.RIP协议属于距离矢量类动态路由协议B.RIP协议默认的路由度量值是跳数，最大有效跳数为15C.RIP协议会周期性向全网所有设备泛洪全部路由表D.RIPv2版本支持在报文中携带子网掩码信息实现无类路由答案：ABD解析：RIP是典型的距离矢量协议，以跳数作为度量，16跳即判定为路由不可达，因此有效跳数最大为15，v2版本通过新增字段携带子网掩码支持无类路由。选项C错误，RIP协议仅会向自己的直连邻居路由器发送完整路由表，不会向全网泛洪所有设备，该描述不符合RIP的工作机制。以下属于企业网络三层标准架构中接入层交换机的核心功能特点的有A.提供高密度的终端接入端口，为用户终端、安防摄像头等设备提供网络接入B.实现复杂的路由计算、高可靠冗余转发C.支持端口安全、ARP防护等终端侧的安全控制功能D.完成不同楼宇之间的高速路由转发答案：AC解析：接入层交换机的核心定位是终端接入入口，提供大量RJ45接入端口，同时在靠近终端的位置实现端口级的安全防护功能。选项B错误，复杂路由计算和高可靠转发是核心层交换机的核心功能，不属于接入层职责；选项D错误，楼宇之间的高速转发由汇聚层交换机完成，不属于接入层的功能。以下会导致交换机产生二层环路的组网场景有A.两台交换机之间同时连接两条物理网线且未开启STP协议B.多台交换机首尾相连形成闭环的环形二层拓扑且关闭STPC.交换机的一个端口下同时级联多台未开启STP的小型傻瓜交换机形成环路D.交换机接入路由器的三层网关实现跨网段转发答案：ABC解析：只要二层拓扑中存在物理层面的闭环路径，且没有STP等防环协议阻断冗余路径，就一定会产生二层广播环路。选项D错误，交换机连接路由器的三层网关属于常规跨网段组网场景，不会产生二层环路。以下属于DHCP协议可以为接入终端自动分配的网络参数有A.终端的IP地址和对应的子网掩码B.网关的IP地址C.DNS服务器的IP地址D.终端的MAC地址答案：ABC解析：DHCP协议的核心作用就是为终端自动分配IP地址、子网掩码、网关地址、DNS服务器地址等网络参数，大幅降低手动配置的运维工作量。选项D错误，终端的MAC地址是终端网卡出厂时预先烧录的唯一硬件标识，不需要也不能由DHCP服务器分配。以下属于常见的网络运维中用于排查网络连通性故障的命令工具有A.ping命令B.tracert路由跟踪命令C.display查看设备配置命令D.端口镜像抓包工具答案：ABCD解析：ping用于检测目标IP的可达性，tracert用于定位丢包断连的具体节点位置，查看设备配置可以快速定位策略配置错误问题，端口镜像抓包可以深度分析报文交互细节，四者都是网络工程师排查连通性故障的常用标准工具。以下关于无线局域网802.11系列标准的描述，正确的有A.2.4G频段的无线网络穿墙能力普遍优于5G频段B.5G频段的无线网络传输速率上限普遍高于2.4G频段C.同一个AP的两个不同SSID默认属于不同的广播域D.家用无线路由器的WiFi信号强度越大，传输距离就一定越远，传输速率不会受到任何影响答案：ABC解析：2.4G频段波长更长穿墙能力更强，5G频段可用带宽更宽支持更高的传输速率，同一个AP下的不同SSID默认是逻辑隔离的独立广播域，三个描述都符合无线局域网的实际特性。选项D错误，信号强度过高会带来严重的信号失真问题，反而会降低无线传输速率，甚至导致连接不稳定，并非信号越强传输效果越好。一、判断题（共10题，每题1分，共10分）在TCP三次握手的过程中，第三次握手如果丢失，服务端依然可以收到客户端发送的后续数据报文。答案：正确解析：TCP三次握手流程中，服务端收到第二次握手的SYN+ACK报文后就已经完成了连接状态的建立，即便第三次握手的ACK报文在传输过程中丢失，只要客户端后续发送的携带数据的报文到达服务端，服务端就可以正常处理该数据。同一个局域网内的两台主机，即便不在同一个IP网段，也可以不经过网关直接通过二层转发实现互相通信。答案：正确解析：只要两台主机处于同一个二层广播域，主机本身配置的子网掩码长度足够大，将对方的IP判定为同网段地址，就可以直接发送ARP请求获取对方MAC地址，不需要网关参与就可以实现二层互通。交换机的MAC地址表中记录的内容是IP地址和转发端口的对应映射关系。答案：错误解析：交换机的MAC地址表核心存储的是MAC地址和交换机物理转发端口的对应映射关系，IP地址和端口的映射不是MAC地址表的存储内容。某台主机的IPv4地址为127.0.0.1，该地址属于公网可路由的互联网公网地址。答案：错误解析：127段的所有地址都是主机环回测试地址，仅用于本地协议栈测试，不会被路由器转发到公网中，不属于公网可路由地址。生成树协议STP的端口状态中，Listening状态的端口可以正常转发用户数据报文。答案：错误解析：STP的Listening状态下端口仅处理STP协议BPDU报文，不转发任何用户数据报文，只有迁移到Forwarding状态后才会正常转发数据。OSPF协议中所有区域都必须和骨干区域Area0直接连接才能正常完成路由信息的交互。答案：正确解析：OSPF协议的区域设计要求所有非骨干区域必须直接和骨干区域Area0相连，否则会产生路由环路风险，无法正常完成跨区域的路由学习。UDP协议不需要建立连接就可以直接向目标端口发送数据报文，因此无法保障数据传输的可靠性。答案：正确解析：UDP协议没有握手确认、重传等可靠性机制，发送方发送报文后无法确认对方是否成功收到，因此默认是不可靠的传输协议。为了提升网络的安全性，企业网络中可以将所有端口的STP协议功能全部关闭，这样可以从根源上杜绝所有二层环路风险。答案：错误解析：关闭STP协议后只要组网存在二层闭环路径，就会立刻产生严重的二层广播风暴，导致整个局域网完全瘫痪，不仅不能提升安全性，反而会带来极大的网络故障风险。子网划分的过程中，把主机位借出作为子网位，划分出的子网数量越多，每个子网可以容纳的可用主机数量就越少。答案：正确解析：IPv4地址的总长度是固定的32位，子网位占用的位数越多，剩余的主机位位数就越少，扣除网络地址和广播地址后，可用的主机IP数量自然就越少。防火墙的默认安全策略一般是拒绝所有未明确放行的流量，符合最小权限的安全防护原则。答案：正确解析：防火墙采用默认拒绝的安全策略，只放行运维人员明确指定允许的流量，避免开放不必要的端口权限，完全符合网络安全领域的最小权限原则，是主流防火墙的默认配置逻辑。一、简答题（共5题，每题6分，共30分）简述生成树协议STP的核心工作步骤。答案：第一，选举全网唯一的根桥设备，所有参与STP的交换设备比较自身的桥ID，桥ID数值最小的设备被选举为整个拓扑的根桥，成为整个无环树拓扑的核心节点；第二，为所有非根桥设备选举唯一的根端口，非根桥上到达根桥路径开销最小的端口被选举为根端口，负责向根桥方向转发流量；第三，为每个物理网段选举唯一的指定端口，同一个网段内到达根桥路径开销最小的设备对应的连接端口被选举为指定端口，负责向该网段转发来自根桥方向的流量；第四，将剩余既不是根端口也不是指定端口的冗余端口设置为阻塞状态，该状态下的端口仅接收处理STP的BPDU协议报文，不转发任何用户数据，彻底阻断二层环路路径；第五，当拓扑中的链路或设备发生故障时，STP会自动重新计算拓扑，将合适的阻塞端口自动打开切换到转发状态，保障故障后网络连通性快速恢复。解析：上述5个核心步骤覆盖了STP从初始运行到故障自愈的全流程，完全符合STP的802.1D标准定义，准确描述了STP实现二层防环的核心逻辑，每个要点占对应分值的五分之一，全部答对即可获得满分。简述IPv4地址资源短缺问题的主流缓解方案。答案：第一，使用私有IP地址段组建内部局域网，企业内部终端使用RFC1918定义的三个私有网段的地址，多个不同企业的内网可以复用相同的私有IP地址，大幅减少公网IP的消耗；第二，部署网络地址转换NAT技术，通过NAPT端口复用的方式，让成百上千台内网主机同时共用少数几个公网IP地址访问互联网，用极低的公网IP资源支撑大量用户的上网需求；第三，逐步向IPv6协议迁移，IPv6地址长度为128位，拥有近乎无限的地址空间，可以为每台接入互联网的设备都分配独立的公网IP地址，从根源上彻底解决地址短缺问题；第四，采用CIDR无类域间路由技术，打破传统A/B/C类地址的固定分类限制，通过地址聚合的方式减少公网路由表条目数量，提升公网IP地址段的分配利用率，避免大块地址资源的浪费。解析：四个要点覆盖了从短期缓解到长期根治的全系列解决方案，都是目前全球互联网行业实际落地应用的成熟方案，内容完整逻辑清晰，全部要点答出即可获得满分。简述企业三层网络架构中接入层、汇聚层、核心层各自的核心功能定位。答案：第一，接入层作为整个网络的终端接入入口，主要提供高密度的以太网端口，为办公电脑、安防摄像头、无线AP等各类终端提供网络接入服务，同时在终端侧部署端口安全、ARP防护、802.1X认证等轻量级安全功能，实现终端接入层面的管控；第二，汇聚层作为接入层的汇聚收敛节点，主要负责汇聚来自多个接入层交换机的流量，实现VLAN间路由、访问控制策略部署、冗余网关配置等功能，承担区域内的流量调度和安全策略执行职责，避免所有管控压力全部集中到核心层；第三，核心层作为整个企业网络的高速转发核心，主要实现无阻塞的高速数据包转发，负责跨区域的路由计算、高可靠冗余转发，对接互联网出口和核心服务器区，不部署复杂的安全策略和多余的业务处理逻辑，保障全网数据转发的效率和稳定性。解析：三层架构是企业网络设计的行业通用标准规范，三个层级的职责划分清晰明确，该答案准确对应了各层级的核心定位，没有重叠的功能描述，覆盖了所有核心要点。简述防火墙相比普通路由器具备的独有核心安全功能。答案：第一，状态化的安全会话检测功能，防火墙可以跟踪TCP/UDP等协议的完整会话状态，自动放行合法响应流量，不会像普通路由器一样基于五元组生硬放行双向所有流量，能够有效避免非法的外部主动扫描流量进入内网；第二，深度应用层内容识别过滤功能，防火墙可以识别报文的应用层内容，基于应用类型、用户身份、网页内容等维度执行访问控制，而普通路由器仅能基于网络层、传输层的五元组配置策略，无法识别应用层内容；第三，内置入侵防御和攻击防护功能，防火墙可以内置规则库自动识别并阻断常见的漏洞攻击、病毒入侵、漏洞扫描行为，普通路由器没有内置此类深度安全防护能力；第四，VPN虚拟专用网络功能，主流防火墙都内置IPsecVPN、SSLVPN等成熟的VPN加密能力，可以实现跨互联网的异地分支加密互通、远程员工安全接入内网，普通路由器的VPN功能支持往往非常有限。解析：四个要点准确区分了防火墙和普通路由器的核心功能差异，都是防火墙的独有安全特性，完全符合网络安全领域对下一代防火墙的功能定义，内容准确全面。简述OSPF协议中划分不同区域的核心目的。答案：第一，减小单台路由器的LSDB链路状态数据库的大小，通过区域划分将大规模的OSPF网络分割成多个小区域，每个区域内的路由器只需要维护本区域的链路状态信息，大幅降低路由器的内存和CPU资源消耗，避免设备性能不足；第二，降低路由计算的资源开销，当网络中某一个区域内的链路发生振荡变化时，对应的链路状态更新报文只会在本区域内泛洪，不会影响到其他区域的路由器，避免全网所有路由器都反复执行SPF算法计算路由，大幅提升整个OSPF网络的稳定性；第三，实现路由聚合简化路由表，在区域的边界设备上可以将本区域内的大量明细路由聚合成少量的汇总路由发布到其他区域，有效减少全局路由表的条目数量，提升路由转发效率；第四，实现安全层面的隔离管控，不同区域可以配置不同的过滤策略，控制敏感的路由信息不向非授权区域传递，提升大规模路由网络的安全性。解析：四个要点覆盖了OSPF区域划分的所有核心设计目标，完全匹配RFC标准中关于OSPF区域架构的设计初衷，要点完整逻辑清晰。一、论述题（共3题，每题10分，共30分）结合某中小型企业办公网络的改造实例，论述采用VLAN划分+三层交换机组网方案的实际优势与落地效果。答案：首先是核心论点，在超过百台终端的中小型企业办公网络中，合理的VLAN划分搭配三层交换机组网，相比早期的无隔离二层组网，在稳定性、安全性、运维便捷性上都有质的提升，是目前中小型企业组网的最优主流方案。然后是论据支撑，以实际的百人规模制造企业办公网络改造为例，改造前整个企业所有办公电脑、生产设备、安防摄像头、服务器全部在同一个大的二层广播域中，没有任何隔离，经常出现某台终端中了病毒大量发送广播报文导致整个局域网全网卡顿瘫痪的故障，运维人员每次排查故障都需要花费大半天时间逐台终端断开测试，平均每个月至少出现2-3次全网断网故障，业务损失极大。改造方案中首先在核心层部署一台三层核心交换机，把全网终端按照业务属性划分成5个独立VLAN：办公人员终端属于VLAN10、生产车间工业设备属于VLAN20、安防监控设备属于VLAN30、内部服务器区属于VLAN40、WiFi访客网络属于VLAN50，不同VLAN之间默认通过核心交换机的VLANIF接口实现三层路由互通，同时配置安全策略限制访客VLAN不能访问内部服务器和生产车间网络，生产车间网络仅允许访问指定的生产服务器，不能访问互联网。实际落地效果方面优势非常明显，第一是广播风暴的影响范围被严格限制在单个VLAN内部，即便某台终端发送大量广播报文，也只会影响该VLAN内部的用户，不会导致全网瘫痪，改造完成后全年没有再出现过全网卡顿断网的重大故障，网络可用性提升到99.9%以上；第二是网络安全性大幅提升，不同业务区域之间的流量得到有效隔离，访客连接WiFi后无法访问内部核心生产数据，避免了数据泄露的风险；第三是运维排查效率大幅提升，不同VLAN的故障边界非常清晰，运维人员可以快速定位故障所在的区域，排查故障的时间从原来的平均4小时缩短到10分钟以内。最后是结论，该方案用极低的硬件投入成本，就可以同时解决传统二层组网的稳定性差、安全性弱、运维难度高的痛点，非常适合百人到千人规模的中小型企业落地使用。解析：整个论述结构完整，论点明确，结合了真实的企业改造场景，从改造前的痛点、方案设计、改造后的实际效果多维度分析了组网方案的优势，理论和实际结合紧密，覆盖了所有得分要点，可以获得满分。结合日常网络故障排查的实际场景，论述TCP三次握手和四次挥手的设计逻辑合理性。答案：核心论点，TCP三次握手建立连接、四次挥手断开连接的流程，是通信领域经过几十年实际验证的最优设计，既保障了连接建立的可靠性，又尽可能降低了协议的冗余开销，完全符合互联网实际复杂的网络环境需求。论据支撑方面，首先看三次握手的设计逻辑，如果仅采用两次握手的机制，服务端收到客户端的连接请求后直接返回确认报文就认为连接建立完成，就会出现历史过期连接请求的问题：客户端之前发送的第一个SYN报文在网络中长时间滞留延迟到达服务端，服务端收到后直接认为是新的连接请求，返回SYN+ACK报文并直接建立连接，但此时客户端根本没有发起新的连接，会直接忽略这个服务端返回的报文，导致服务端平白无故建立大量无效的半连接，浪费服务器资源，很容易被攻击者利用发起SYN洪水攻击。而三次握手的机制下，客户端收到服务端的SYN+ACK报文后，必须再返回一个确认ACK报文才算连接建立完成，上述场景下客户端不会返回第三次握手的ACK报文，服务端不会建立无效连接，从根源上避免了过期无效连接的资源浪费问题。结合实际故障场景，日常运维中经常遇到的TCP半连接队列溢出导致服务器无法提供服务的故障，本质就是恶意攻击者伪造源IP发送大量SYN报文但永远不返回第三次握手的ACK报文，正是利用了两次握手的设计缺陷衍生出来的攻击方式，反过来也证明了三次握手设计的必要性。再看四次挥手的设计逻辑，TCP是全双工的通信通道，两个方向的数据传输是独立的，当一方完成自己的数据发送想要关闭连接时，发送FIN报文只能代表自己没有更多数据要发送了，但对方可能还有数据没有发送完成，不能直接关闭反向的传输通道，对方收到FIN后只能先返回一个ACK确认报文，等自己所有的数据都发送完成后，才能再发送自己的FIN报文通知对方关闭自己方向的通道，因此确认报文和FIN报文是分两次发送的，就自然形成了四次挥手的流程。日常运维中我们经常遇到的服务器主动关闭连接后，客户端还能收到服务器最后发送的几个数据包的场景，正是四次挥手设计逻辑的实际体现，完全适配TCP全双工传输的特性。最后得出结论，三次握手和四次挥手的设计没有多余的步骤，既没有浪费不