2026年华为认证通关练习题库及答案详解【易错题】

2026年华为认证通关练习题库及答案详解【易错题】1.华为USG系列防火墙在默认配置情况下，安全策略的默认处理动作是？

A.允许所有流量通过

B.拒绝所有未匹配安全策略的流量

C.允许所有未匹配安全策略的流量

D.根据安全策略的源/目的IP自动决定【答案】：B

解析：本题考察华为防火墙安全策略的默认行为。防火墙安全策略默认遵循“最小权限原则”，即默认拒绝所有未明确允许的流量，需显式配置允许策略才能放行特定流量。

-A错误：默认不允许所有流量，否则会导致安全风险；

-B正确：默认行为为拒绝未匹配策略的流量；

-C错误：与防火墙安全策略“默认拒绝”的基本原则矛盾；

-D错误：安全策略无自动决策机制，默认规则固定为拒绝。2.在华为S系列交换机中，关于默认VLAN1的说法，正确的是？

A.必须手动创建才能使用

B.所有未配置的用户端口默认属于VLAN1

C.可以被管理员删除

D.仅支持基于端口的访问控制【答案】：B

解析：本题考察华为交换机默认VLAN1的特性。华为交换机出厂时默认VLAN1自动存在，无需手动创建（A错误）；所有未显式配置的用户端口（Access端口）默认属于VLAN1（B正确）；VLAN1为系统默认VLAN，无法被删除（C错误）；VLAN1的功能与其他VLAN一致，无特殊限制（D错误）。3.在OSPF协议中，关于DR（指定路由器）选举的描述，正确的是？

A.DR优先级为0的路由器不能成为DR

B.选举过程中，接口优先级高的路由器一定成为DR

C.当所有路由器优先级都为0时，DR将无法选举

D.路由器优先级相同的情况下，比较接口MAC地址，MAC地址大的成为DR【答案】：A

解析：本题考察OSPFDR选举机制知识点。OSPFDR选举基于接口优先级和Router-ID：①DR优先级为0的路由器会主动放弃DR选举资格，无法成为DR（A正确）；②接口优先级相同的情况下，才会比较Router-ID而非MAC地址（D错误）；③当所有路由器优先级为0时，会选举Router-ID最大的路由器作为DR（C错误）；④仅当优先级不同时，高优先级才优先成为DR，若优先级相同则需比较Router-ID（B错误）。4.在OSPF协议中，以下哪种区域不会产生或接收Type5LSA（外部路由LSA）？

A.骨干区域（Area0）

B.普通非骨干区域（如Area1）

C.完全末梢区域（TotallyStubArea）

D.非纯末梢区域（NSSA）【答案】：C

解析：本题考察OSPF区域类型对LSA的处理机制。完全末梢区域（TotallyStubArea）的特性是不允许Type3（SummaryLSA）、5（ExternalLSA）、7（NSSALSA），仅允许Type1（RouterLSA）和Type2（NetworkLSA），因此不会产生或接收Type5LSA。A选项Area0作为骨干区域，允许所有LSA；B选项普通非骨干区域（如Area1）可接收Type5LSA；D选项NSSA区域允许Type7LSA并可转换为Type5LSA。因此正确答案为C。5.在华为设备上配置DHCP服务器时，必须配置的核心参数是？

A.网关地址

B.子网掩码

C.IP地址池

D.DNS服务器地址【答案】：C

解析：本题考察DHCP服务器配置基础知识点。DHCP服务器的核心功能是为客户端分配IP地址，因此必须配置“IP地址池”（包含可分配的IP地址范围）。选项A、B、D为可选参数（网关、掩码、DNS可按需配置，但不影响IP分配核心功能），若不配置网关或DNS，客户端仍可获取IP地址，仅无法访问外部网络或解析域名。6.以下关于ACL（访问控制列表）的描述中，哪一项是正确的？

A.标准ACL仅能匹配数据包的源IP地址，扩展ACL可匹配源IP、目的IP及端口号

B.标准ACL的编号范围是100-199，扩展ACL的编号范围是1-99

C.标准ACL必须应用在入站方向，扩展ACL必须应用在出站方向

D.标准ACL可以允许或拒绝整个网段的流量，扩展ACL只能允许或拒绝单个IP地址的流量【答案】：A

解析：本题考察ACL的基本分类与功能。选项A正确描述了标准ACL与扩展ACL的核心区别：标准ACL基于源IP地址（编号1-99），扩展ACL基于源IP、目的IP、协议类型、端口号等多层信息（编号100-199）。选项B混淆了标准ACL和扩展ACL的编号范围（标准ACL为1-99，扩展ACL为100-199）；选项C错误，ACL的应用方向（入站/出站）由实际需求决定，无强制方向限制；选项D错误，扩展ACL可通过通配符掩码匹配网段，同样支持网段级别的允许/拒绝。因此正确答案为A。7.在DHCP网络中，当客户端与DHCP服务器不在同一网段时，实现IP地址分配的关键设备是？

A.接入交换机（AccessSwitch）

B.DHCP中继代理（RelayAgent）

C.三层交换机（Layer3Switch）

D.防火墙（Firewall）【答案】：B

解析：本题考察DHCP中继的作用。A错误，接入交换机仅负责端口转发，不处理DHCP跨网段通信；B正确，DHCP中继代理（如华为设备的dhcprelay）可将客户端的DHCP请求转发到远程网段的DHCP服务器，解决跨网段IP分配问题；C错误，三层交换机虽可配置DHCP中继，但“关键设备”是中继代理而非交换机本身；D错误，防火墙通常不承担DHCP中继功能，除非特殊配置。8.在OSPF协议中，关于完全末梢区域（TotallyStubArea）的特性，以下描述正确的是？

A.允许Type3LSA进入该区域

B.该区域内的路由器必须配置ASBR

C.该区域可以接收Type5LSA

D.该区域的路由器会自动生成默认路由【答案】：D

解析：完全末梢区域（TotallyStubArea）不允许ASBR（自治系统边界路由器）和Type3/5LSA进入，仅允许Type1（RouterLSA）和Type2（NetworkLSA）。为实现外部网络访问，该区域路由器会自动生成一条默认路由（）。A错误，完全末梢区域禁止Type3LSA；B错误，完全末梢区域禁止ASBR存在；C错误，Type5LSA是外部路由，完全末梢区域不允许接收。9.在华为数据中心交换机上配置VLANIF接口IP地址时，必须先完成哪一步操作？

A.在物理接口下配置IP地址

B.必须先创建对应的VLAN

C.启用VLANIF接口的IP地址自动分配

D.配置该接口为Trunk类型【答案】：B

解析：本题考察VLANIF接口原理。VLANIF是为VLAN配置的逻辑三层接口，需先通过`vlan`命令创建对应的VLAN，再在VLANIF接口下配置IP地址（如`interfaceVlanif10`后执行`ipaddress`）。A错误，物理接口与VLANIF接口分属不同层次；C错误，VLANIF接口需手动配置IP而非自动分配；D错误，VLANIF接口可工作在Access或Trunk模式，非必须Trunk。10.AAA认证体系中，“Authentication（认证）”环节的核心功能是？

A.验证用户身份是否合法

B.授权用户可访问的资源

C.记录用户的操作行为

D.加密传输用户数据【答案】：A

解析：本题考察AAA认证体系的功能划分。正确答案为A。解析：AAA是Authentication（认证）、Authorization（授权）、Accounting（计费）的缩写。A正确，认证环节通过验证用户身份标识（如用户名/密码、MAC地址）确认其合法性；B错误，授权环节负责决定用户可访问的资源（如网络权限、服务权限）；C错误，计费环节通过记录用户操作行为（如流量、时长）实现网络使用统计；D错误，数据加密属于IPSec、SSL等安全协议范畴，与AAA认证体系无关。11.在OSPF路由协议中，骨干区域的标准编号是以下哪一项？

A.0

B.1

C.255

D.55【答案】：A

解析：OSPF协议中，骨干区域（BackboneArea）的编号必须为0，用于连接所有非骨干区域。选项B的1是普通非骨干区域的常用编号；选项C的255通常用于广播地址或全1掩码，与OSPF区域编号无关；选项D是IPv4的受限广播地址，非区域编号。因此正确答案为A。12.在OSPF协议中，关于Hello报文的主要作用，以下描述正确的是？

A.用于建立OSPF邻居关系

B.携带详细的路由信息（如LSDB更新）

C.定期同步OSPF区域内的链路状态数据库

D.选举DR（指定路由器）和BDR（备份指定路由器）的唯一方式【答案】：A

解析：本题考察OSPF协议中Hello报文的功能。Hello报文的核心作用是在OSPF路由器之间发现并建立邻居关系，因此A正确。B错误，详细路由信息由LSA（链路状态通告）携带；C错误，LSDB同步由DD报文（数据库描述报文）和LSR/LSU/LSAck报文（链路状态请求/更新/确认）完成；D错误，DR/BDR选举是Hello报文触发的过程之一，但并非唯一方式，还涉及RID比较等规则。13.在华为OSPF协议中，关于非骨干区域NSSA（Not-So-StubbyArea）的特性，以下描述正确的是？

A.NSSA区域可以直接接收来自骨干区域的Type5LSA（外部路由LSA）

B.NSSA区域内部的路由器必须手动配置默认路由才能访问外部网络

C.NSSA区域的ABR会将收到的Type7LSA转换为Type5LSA

D.NSSA区域的AreaID必须与骨干区域（Area0）相同【答案】：C

解析：本题考察OSPF特殊区域NSSA的特性。正确答案为C。原因：NSSA区域的ABR会将收到的Type7LSA（NSSA外部路由LSA）转换为Type5LSA（常规外部路由LSA），使其在骨干区域内传播。A错误，NSSA区域不允许直接接收Type5LSA，仅允许Type7LSA；B错误，NSSA可通过ASBR注入默认路由或由配置default-informationoriginate自动生成；D错误，NSSA区域ID可为任意非0值，仅骨干区域ID固定为0。14.在华为交换机中，实现VLAN间路由的典型技术是？

A.单臂路由（子接口封装802.1Q）

B.堆叠技术（Stack）

C.VLAN聚合（VLANAggregation）

D.端口镜像（PortMirroring）【答案】：A

解析：本题考察VLAN间路由实现方式。正确答案为A。单臂路由通过将物理链路划分为多个子接口，每个子接口配置对应VLAN的IP地址并封装802.1Q标签，实现不同VLAN间三层通信；堆叠技术（B）是交换机硬件堆叠，用于扩展端口密度而非路由；VLAN聚合（C）是将多个VLAN聚合为一个逻辑VLAN，不直接实现路由；端口镜像（D）用于流量监控，与路由无关。因此B、C、D错误。15.关于华为防火墙安全策略的默认动作，以下说法正确的是？

A.默认允许所有入站流量

B.默认拒绝所有入站流量

C.默认允许所有出站流量

D.默认拒绝所有出站流量【答案】：B

解析：本题考察华为防火墙安全策略的默认行为。华为防火墙默认安全策略对所有流量的处理逻辑是：若未显式配置允许策略，则默认拒绝所有入站流量（出站流量默认允许，除非有禁止策略）。A选项错误，默认不允许所有入站流量；C、D选项描述错误，出站流量默认允许是防火墙的典型设计，但题目问“默认动作”，核心默认拒绝的是入站流量，因此正确答案为B。16.一个C类IP网络/24，需划分4个子网，每个子网至少支持20台主机，应选择的子网掩码是？

A.28(/25)

B.92(/26)

C.24(/27)

D.40(/28)【答案】：B

解析：C类网络默认掩码为/24（主机位8位）。要划分4个子网，需子网位≥2位（2²=4），对应掩码扩展2位，即/26（92）。此时每个子网的可用主机数为2^(8-2)-2=62台（≥20台），满足需求。选项A（/25）仅支持2个子网，不满足4个子网需求；选项C（/27）支持8个子网，但主机位5位，可用主机数30台（虽满足20台），但题目要求“至少4个子网”，/26已足够且更节省地址；选项D（/28）支持14个子网，主机位4位，可用主机数14台（<20台），不满足。因此正确答案为B。17.华为防火墙默认的安全策略规则是？

A.允许所有流量

B.拒绝所有未匹配的流量

C.仅允许同一安全区域内的流量

D.由管理员手动决定【答案】：B

解析：本题考察防火墙默认安全策略逻辑。防火墙默认策略遵循“默认拒绝”原则，即所有未匹配显式允许规则的流量均被拒绝；选项A与默认策略相反；选项C是安全区域间策略的一部分，但非默认规则；选项D管理员需手动配置允许规则，但默认策略本身是拒绝。18.在OSPF协议中，关于骨干区域（Area0）的描述，以下哪项是正确的？

A.骨干区域的区域ID必须配置为0或

B.一个自治系统只能存在一个骨干区域，且必须包含所有非骨干区域

C.非骨干区域之间可以直接进行路由信息交互，无需经过骨干区域

D.骨干区域中不能存在虚链路（VirtualLink）【答案】：A

解析：本题考察OSPF骨干区域的基本概念。正确答案为A，原因：OSPF骨干区域的区域ID必须严格配置为0（即）。选项B错误，因为非骨干区域可以通过虚链路连接到骨干区域，自治系统中允许存在多个非骨干区域，但必须确保所有非骨干区域最终连接到骨干区域（通过物理链路或虚链路），而非“必须包含所有非骨干区域”；选项C错误，OSPF协议规定非骨干区域之间不能直接交互路由信息，必须通过骨干区域中转；选项D错误，当非骨干区域因物理链路中断无法直接连接骨干区域时，可通过配置虚链路（VirtualLink）在骨干区域间传输路由信息。19.在路由器GigabitEthernet0/0/1接口配置ACL时，使用inbound方向的作用是？

A.对进入该接口的数据包进行过滤

B.对离开该接口的数据包进行过滤

C.对进入路由器的所有数据包进行过滤

D.对离开路由器的所有数据包进行过滤【答案】：A

解析：本题考察ACL的应用方向。inbound（入站）方向的ACL仅对进入该接口的数据包生效，用于过滤进入接口的流量；outbound（出站）方向的ACL才对离开接口的数据包生效（B错误）。选项C和D描述的是对“所有数据包”的过滤，不符合inbound仅针对该接口入站流量的定义。20.BGP路由协议中，MED（Multi-ExitDiscriminator）属性的作用是？

A.用于比较来自不同AS的同一路由的优先级

B.用于比较来自同一AS的不同路由的优先级

C.用于在IBGP邻居间传递路由时修改下一跳

D.用于AS间路由聚合时生成聚合路由【答案】：A

解析：本题考察BGP高级属性知识点。MED属性仅用于比较来自不同AS的同一路由（如AS1向AS2发送路由时，AS2通过MED选择最优入站路径），MED值越小越优先（A正确）。同一AS内路由优先级由IGPMetric等决定，与MED无关（B错误）；MED不影响下一跳修改（C错误）；路由聚合由AS_PATH或AGGREGATOR属性控制，与MED无关（D错误）。21.若IP地址为/24，其子网掩码对应的可用主机数是多少？

A.254

B.256

C.1024

D.65534【答案】：A

解析：本题考察子网划分的主机数计算。/24表示子网掩码为，主机位为8位，可用主机数=2^8-2=254（减去网络地址和广播地址）；选项B是总地址数（含网络和广播），C是/16子网的主机数（2^16-2=65534，对应选项D），D是/16的总地址数（2^16=65536）。22.在华为交换机中，以下关于Access端口的描述，错误的是？

A.Access端口只能属于一个VLAN

B.Access端口默认VLANID为1

C.Access端口可以配置多个VLAN

D.Access端口常用于连接终端设备（如PC）【答案】：C

解析：本题考察Access端口的特性。Access端口是二层端口，仅支持单VLAN（默认VLANID为1），用于连接终端设备（如PC）。选项A正确，Access端口只能加入一个VLAN；选项B正确，未指定VLAN时默认属于VLAN1；选项C错误，Access端口无法配置多个VLAN，仅能加入一个VLAN；选项D正确，Access端口通常用于终端接入场景；因此错误选项为C。23.关于华为交换机Access端口的描述，正确的是？

A.Access端口只能属于一个VLAN，且默认情况下收发数据时不带VLAN标签

B.Access端口可以属于多个VLAN，且默认情况下收发数据时不带VLAN标签

C.Access端口只能属于一个VLAN，且默认情况下收发数据时带VLAN标签

D.Access端口可以属于多个VLAN，且默认情况下收发数据时带VLAN标签【答案】：A

解析：本题考察VLAN中Access端口的特性。Access端口是接入用户设备的端口，只能属于一个VLAN（通过PVID配置），且默认情况下：数据进入端口时，若未携带VLAN标签则自动打上PVID对应的VLAN标签；数据离开端口时，若VLAN标签等于PVID则自动去除标签，对外表现为“不带VLAN标签”。选项B错误，Access端口仅支持单VLAN；选项C、D错误，默认情况下Access端口收发数据时不带VLAN标签。因此正确答案为A。24.在华为OceanStor存储系统中，关于RAID5与RAID6的核心区别，以下描述正确的是？

A.RAID5支持1块硬盘故障恢复，RAID6支持2块硬盘故障恢复

B.RAID5需要至少4块硬盘，RAID6需要至少5块硬盘

C.RAID5的校验数据存储在1块硬盘，RAID6的校验数据存储在2块硬盘

D.RAID5采用奇偶校验，RAID6仅支持XOR校验【答案】：A

解析：本题考察RAID5/6的容错能力差异。RAID5通过1块校验盘实现1块硬盘故障恢复，RAID6通过2块校验盘（P+Q）实现2块硬盘故障恢复，因此A正确。B错误，RAID5和RAID6最低均需3块硬盘（RAID5：3块数据+1块校验；RAID6：4块数据+2块校验，实际需4块以上）；C错误，RAID5校验数据分布在所有数据盘（非单块硬盘）；D错误，RAID6同时支持P和Q两种校验算法，非仅XOR。25.SNMPv3相对于SNMPv2c新增的核心安全特性是？

A.支持基于团体名的明文认证

B.支持数据加密传输

C.支持更多MIB对象类型

D.支持IPSec协议直接加密【答案】：B

解析：本题考察SNMP版本安全特性。SNMPv3在安全性上引入基于用户的认证（如HMAC-SHA）和数据加密（如DES/AES），确保管理信息传输安全。A错误，团体名是SNMPv1/v2c的明文认证方式；C错误，MIB扩展属于功能增强而非安全特性；D错误，IPSec是独立协议，SNMPv3通过自身加密实现，不依赖IPSec。26.在企业网络中，以下哪种设备可以实现不同VLAN间的通信？

A.二层交换机

B.三层交换机

C.集线器（Hub）

D.防火墙【答案】：B

解析：本题考察VLAN间通信的实现设备。二层交换机（A）仅能在同一VLAN内转发数据，无法实现跨VLAN通信；集线器（C）属于共享式设备，无法分割冲突域和广播域，更不能实现VLAN间路由；防火墙（D）主要用于安全策略控制，非VLAN间路由的首选设备；三层交换机（B）支持VLAN间路由功能，可通过三层接口直接实现不同VLAN间的通信。27.以下哪项802.11协议标准明确支持5GHz工作频段？

A.802.11a

B.802.11b

C.802.11g

D.802.11n【答案】：A

解析：本题考察无线局域网协议频段。802.11a是IEEE802.11标准中明确规定工作在5GHz频段的协议，速率最高54Mbps；802.11b/g工作在2.4GHz频段；802.11n支持双频段（2.4/5GHz），但标准本身不定义频段归属，其基础协议兼容a/b/g。故B、C错误，D错误，n是基于a/b/g的增强，非单独定义5GHz。28.在华为数据中心网络设计中，实现不同VLAN间三层通信的常用且高效的方式是？

A.为每个VLAN配置三层物理接口并开启IP地址

B.通过单臂路由（子接口）实现VLAN间路由

C.部署独立的三层路由器作为VLAN间路由设备

D.使用VRRP协议实现冗余路由备份【答案】：A

解析：本题考察数据中心VLAN间路由实现方式。数据中心常用三层交换机配置VLANIF接口，为每个VLAN创建三层接口并配置IP地址，直接实现跨VLAN三层通信，该方式扩展性强、效率高。B选项单臂路由通过路由器子接口实现，仅适用于小型网络，数据中心场景下扩展性差；C选项独立三层路由器成本高，非主流方案；D选项VRRP是冗余备份协议，不直接实现路由功能。因此正确答案为A。29.关于FCSAN（光纤通道存储区域网络）的描述，以下哪项是正确的？

A.基于IP网络传输数据，需使用TCP/IP协议

B.采用光纤通道协议，通过FC交换机实现设备互联

C.相比IPSAN，传输延迟更高，不适合企业级存储

D.只能支持小型数据中心，无法扩展至大型数据中心【答案】：B

解析：本题考察FCSAN技术特点的知识点。正确答案为B，FCSAN基于光纤通道协议（FCP），通过专用FC交换机连接服务器和存储设备，提供高速（可达16Gbps）、低延迟的数据传输，适用于企业级核心存储场景。A错误，FCSAN基于光纤通道协议，非IP网络；C错误，FCSAN的传输延迟（微秒级）远低于IPSAN（毫秒级），更适合企业级存储；D错误，FCSAN支持多交换机级联和分区，可扩展至超大型数据中心。30.在BGP路由协议中，关于手动聚合与自动聚合的区别，以下描述正确的是？

A.手动聚合需要指定聚合后的路由前缀，自动聚合不需要

B.自动聚合会自动聚合不同AS间的路由，手动聚合需手动指定

C.手动聚合的路由AS_PATH为聚合后的AS编号，自动聚合则保留原AS_PATH

D.手动聚合的路由无法被撤销，自动聚合可以【答案】：B

解析：本题考察BGP路由聚合。正确答案为B，自动聚合（auto-summary）会自动聚合不同AS间的路由（如将/16聚合为/8），而手动聚合（aggregate命令）需手动指定聚合后的路由前缀和属性。A错误，手动聚合需要指定聚合后的前缀，自动聚合无需手动指定但会自动生成；C错误，手动聚合的路由AS_PATH会保留原路由的AS路径，自动聚合可能改变AS_PATH；D错误，手动聚合和自动聚合的路由均可通过undo命令撤销。31.某公司内网100台主机仅申请到1个公网IP用于访问互联网，需实现多主机共享该公网IP，应采用哪种技术？

A.静态NAT

B.动态NAT

C.PAT（端口地址转换）

D.DHCP【答案】：C

解析：本题考察NAT技术的类型。静态NAT（A）是一对一映射，无法实现多主机共享；动态NAT（B）需多个公网IP地址，且不保留端口号区分；PAT（C）通过复用公网IP的端口号，实现多台内网主机共享1个公网IP，同时保留端口号区分不同连接；DHCP（D）仅用于动态分配IP地址，不涉及NAT功能。32.在华为设备中，将一个物理端口配置为Access类型时，该端口的特点是？

A.可以同时属于多个VLAN，默认VLAN为PVID

B.仅允许属于默认VLAN（PVID）的流量通过，且不打VLAN标签

C.仅允许属于默认VLAN（PVID）的流量通过，且会打上VLAN标签

D.仅允许属于多个VLAN的流量通过，且默认VLAN为0【答案】：B

解析：本题考察VLANAccess端口特性。Access端口是华为设备中用于连接终端（如PC）的端口类型，其核心特点：①仅属于一个VLAN（由PVID定义，默认PVID为1）；②不打VLAN标签（除了PVID流量）；③仅允许PVID对应的VLAN流量通过。A错误，Access端口只能属于一个VLAN；C错误，Access端口不打VLAN标签；D错误，Access端口不支持多VLAN，默认VLAN为1而非0。33.在OSPF网络中，DR（指定路由器）的主要作用是？

A.减少邻接关系建立数量，提高网络稳定性

B.选举备用的OSPF路由器，防止主DR故障

C.仅用于骨干区域（Area0）的路由聚合

D.负责将非骨干区域的路由汇总到骨干区域【答案】：A

解析：本题考察OSPFDR选举的知识点。正确答案为A，因为DR在广播型网络（如以太网）中，负责收集所有非DR/BDR路由器的链路状态信息并向其他路由器同步，减少了邻接关系的建立数量（仅与DR建立邻接），避免了大量链路状态数据库同步风暴，提升网络稳定性。B错误，DR无“备用选举”概念，故障时BDR会升级为DR；C错误，DR选举与区域类型无关，骨干区域和非骨干区域均存在DR；D错误，区域间路由汇总由ABR（区域边界路由器）完成，DR不负责路由汇总。34.软件定义网络（SDN）的核心思想是将网络的哪两个平面分离？

A.控制平面与转发平面

B.应用层与传输层

C.数据链路层与网络层

D.物理层与应用层【答案】：A

解析：本题考察SDN的核心架构。SDN通过集中控制器实现“控制平面”（决策逻辑）与“转发平面”（数据转发）的分离，使网络控制更灵活；选项B、C、D均非SDN的核心分离目标（如B是应用与传输层，C是网络分层，D是物理与应用层）。35.在华为设备中，PAT（端口地址转换）的主要作用是？

A.将内部私有IP地址转换为公网IP地址，实现私网用户访问公网

B.允许多个内部IP地址共享一个公网IP地址，通过端口号区分不同用户

C.仅支持静态映射，将固定的内部IP地址映射到固定的公网IP地址

D.用于在不同网段之间实现IP地址的直接转发，无需经过路由【答案】：B

解析：本题考察NAT技术中PAT的核心功能。选项A描述的是NAT的基本功能，非PAT特有；选项B正确：PAT（端口地址转换）通过“公网IP+端口号”组合实现多对一的地址转换，允许多个内部IP共享一个公网IP；选项C错误：PAT支持动态映射，且通常用于公网地址不足场景，不局限于静态映射；选项D错误：IP地址转发属于路由功能，与NAT无关。36.以下关于扩展访问控制列表（ExtendedACL）的说法，正确的是？

A.扩展ACL的规则编号范围是1-99

B.扩展ACL只能应用于接口的入站方向（inbound）

C.扩展ACL可以基于源IP地址、目的IP地址、TCP/UDP端口号等进行精确匹配

D.扩展ACL默认拒绝所有流量，必须显式允许特定流量【答案】：C

解析：本题考察扩展ACL的核心特性。A选项错误，标准ACL的编号范围是1-99，扩展ACL的编号范围是100-199；B选项错误，扩展ACL可应用于接口的入站（inbound）或出站（outbound）方向，需根据需求选择；C选项正确，扩展ACL支持基于源IP、目的IP、协议类型（TCP/UDP）、端口号等多维度条件进行流量过滤，匹配规则更精细；D选项错误，ACL默认规则是“未匹配的流量被拒绝”，而非“必须显式允许”，例如扩展ACL默认拒绝所有未匹配规则的流量，无需额外“拒绝”动作。37.OSPF路由协议中，关于RouterID的描述，以下正确的是？

A.OSPFRouterID是32位整数，由路由器的最大环回口IP或最高优先级的物理接口IP选举而来（若无环回口，取物理接口最大IP）

B.RouterID必须手动配置，不能自动生成

C.OSPFRouterID若未配置，将使用作为默认值

D.若路由器存在多个环回口，RouterID将取最小环回口IP地址【答案】：A

解析：本题考察OSPFRouterID的选举规则。正确答案为A，因为OSPFRouterID的选举优先级为：优先选择环回口（Loopback）IP地址，若无环回口则选择物理接口中IP地址最大的作为RouterID。B错误，RouterID支持自动选举；C错误，未配置时不会使用，而是自动选举物理接口最大IP；D错误，多个环回口时取最大IP而非最小。38.在OSPF协议中，Hello报文的主要作用是？

A.发现并建立邻居关系

B.同步链路状态数据库

C.选举DR和BDR

D.传递路由信息【答案】：A

解析：本题考察OSPF协议基础。OSPF的Hello报文用于周期发送，主要功能是发现邻居设备并建立初始邻接关系；B选项“同步链路状态数据库”通过LSA（链路状态通告）和数据库描述报文（DD）等完成；C选项“选举DR和BDR”在建立邻接关系过程中通过Hello报文携带的优先级等参数实现，但非Hello报文的核心作用；D选项“传递路由信息”是通过LSA和链路状态通告完成。因此正确答案为A。39.华为RH2288HV5服务器支持的最大内存容量是？

A.64GB

B.128GB

C.256GB

D.512GB【答案】：C

解析：本题考察服务器硬件配置。RH2288HV5为双路机架式服务器，每CPU最大支持128GB内存（2路×128GB=256GB），因此最大内存容量为256GB（C正确）；A、B、D分别对应单路配置、部分场景参数或错误参数，均不符合该型号规格。40.在华为路由器上，配置ACL拒绝源地址/8访问目标地址/8的流量，应应用在哪个接口方向？

A.入站接口（inbound）

B.出站接口（outbound）

C.同时应用入站和出站

D.仅需在目标网段的入站接口【答案】：B

解析：ACL方向需根据流量流向选择：入站ACL过滤进入接口的流量，出站ACL过滤离开接口的流量。要阻止内部（/8）访问外部（/8），应在连接外部的出站接口应用ACL（过滤离开路由器的流量）。选项A入站接口过滤的是进入路由器的流量，无法阻止内部发起的访问；选项C错误，ACL无需双向应用；选项D描述不明确且方向错误。41.一个C类网络地址为/24，若需划分出4个等长子网，每个子网至少提供30台可用主机，以下哪个子网掩码符合要求？

A.28（/25）

B.92（/26）

C.24（/27）

D.40（/28）【答案】：B

解析：本题考察子网划分的基本计算。正确答案为B，C类网络默认掩码为/24（），划分4个子网需子网位n=log₂(4)=2位，总网络位=24+2=26位，即掩码92（/26）；每个子网可用主机数=2^(32-26)-2=62台，满足“至少30台”需求；选项A（/25）仅支持2个子网，不满足4个子网要求；选项C（/27）支持8个子网，且可用主机数30台（满足主机数但子网数过多）；选项D（/28）支持16个子网，可用主机数14台，均不满足。42.在OSPF路由协议中，以下哪项不属于OSPF的区域类型？

A.骨干区域（Area0）

B.非骨干区域

C.虚拟链路

D.完全末节区域（StubArea）【答案】：C

解析：本题考察OSPF区域类型知识点。OSPF区域类型包括骨干区域（Area0，所有非骨干区域必须直接或间接连接到Area0）、非骨干区域（如Area1、Area2等），以及特殊区域（如StubArea、NSSA、完全StubArea等）。虚拟链路（VirtualLink）是用于连接非骨干区域与骨干区域的技术手段，并非区域类型本身，因此C选项错误。A、B、D均为OSPF的区域类型。43.华为设备中，标准ACL与扩展ACL的主要区别在于？

A.标准ACL仅基于源IP地址（或子网），扩展ACL可基于源/目的IP、TCP/UDP端口等

B.标准ACL默认应用在入站接口，扩展ACL默认应用在出站接口

C.标准ACL仅支持IPv4，扩展ACL仅支持IPv6

D.标准ACL可过滤ICMP，扩展ACL不能过滤ICMP【答案】：A

解析：本题考察ACL分类与特性。正确答案为A。标准ACL仅基于源IP地址（或子网）进行过滤，扩展ACL可基于源IP、目的IP、TCP/UDP端口号、协议类型等进行精细化过滤（如TCP的SYN标志位、FTP端口等）。B错误，ACL方向可通过配置修改，并非默认固定方向；C错误，标准和扩展ACL均支持IPv4，IPv6需使用专用ACL；D错误，扩展ACL同样支持ICMP过滤（如基于ICMP类型/代码）。44.OSPF协议中，路由器发送Hello报文的默认时间间隔是多少？

A.5秒

B.10秒

C.15秒

D.20秒【答案】：B

解析：本题考察OSPF协议的Hello报文机制。OSPF通过Hello报文发现邻居并维护邻接关系，默认Hello报文发送间隔为10秒，死亡时间（DeadTime）为Hello时间的4倍（即40秒）。选项A（5秒）通常不是OSPF的默认Hello时间，可能是其他协议（如某些私有协议）的设置；选项C（15秒）和D（20秒）不符合OSPF标准配置，因此正确答案为B。45.在网络故障排查中，关于tracert命令的描述，正确的是？

A.tracert命令可以测试端到端的带宽大小

B.tracert命令可以显示数据包从源到目的所经过的所有中间节点的IP地址和往返时间

C.tracert只能在本地设备上执行，无法追踪远程主机的路由

D.tracert命令执行时，所有中间节点都会回复ICMP响应报文【答案】：B

解析：本题考察tracert命令的功能。正确答案为B，原因：tracert通过发送不同TTL（生存时间）的ICMP报文，逐步追踪路径上的节点，显示每个中间节点的IP地址和往返时间（RTT）。选项A错误，tracert仅能测试路径连通性和节点响应时间，无法测试带宽；选项C错误，tracert可追踪任何目标主机（无论是否在本地）的路由；选项D错误，中间节点可能因防火墙策略或设备配置拒绝ICMP响应，并非所有节点都会回复。46.生成树协议（STP）的主要作用是？

A.防止网络环路并提供冗余路径

B.加速VLAN间路由收敛

C.对不同VLAN流量进行安全过滤

D.实现不同网段的链路聚合【答案】：A

解析：本题考察STP的核心功能。STP通过选举根桥、根端口和指定端口，阻塞冗余端口，消除网络环路（防止广播风暴），同时保留冗余链路（故障时自动切换）。选项B错误，VLAN间路由收敛与STP无关；选项C错误，流量过滤是ACL或防火墙的功能；选项D错误，链路聚合由LACP等协议实现，与STP无关。47.DHCP客户端在发送DHCPDiscover报文时，使用的源IP地址是？

A.客户端自身配置的IP地址

B.DHCP服务器的IP地址

C.

D.55【答案】：C

解析：本题考察DHCP客户端的Discover报文源IP规则。DHCP客户端在未获取IP地址前，无法使用自身IP，因此会将源IP设为（表示“未指定IP”），并通过广播方式发送Discover报文（目的IP为55）。选项A错误，客户端此时无有效IP；选项B错误，Discover报文由客户端发送，服务器尚未分配IP；选项D是广播地址，不是源IP。48.在MPLSVPN网络中，用于区分不同VPN实例路由的关键标识是？

A.RT（RouteTarget）

B.RD（RouteDistinguisher）

C.VPN实例名

D.公网VPN路由的下一跳【答案】：B

解析：本题考察MPLSVPN的核心组件。RD（路由区分符）用于将不同VPN的路由在公网中唯一标识，格式为“RD:IPv4地址”，避免不同VPN路由因私网IP重叠而冲突。选项A错误，RT（路由目标）用于控制VPN路由的导入导出；选项C错误，VPN实例名是逻辑标识，不参与路由区分；选项D错误，下一跳是公网路由转发的信息，与VPN实例路由区分无关。49.华为USG系列防火墙的安全策略默认行为是？

A.默认允许所有入站流量

B.默认拒绝所有流量

C.默认允许所有出站流量

D.默认拒绝所有策略匹配的流量【答案】：B

解析：本题考察防火墙安全策略的默认规则。华为防火墙安全策略默认行为是“拒绝”所有未明确允许的流量（B正确），即任何流量需显式配置策略才能通过。A、C错误，防火墙默认不允许任何方向的未授权流量；D错误，“默认拒绝策略匹配的流量”表述不准确，默认策略本身即拒绝所有未匹配的流量，而非仅针对匹配策略的流量。50.华为设备中，实现多台交换机物理堆叠为一台逻辑设备的技术是？

A.堆叠（Stack）

B.IRF（智能弹性框架）

C.堆叠+IRF（混合堆叠）

D.VRRP（虚拟路由冗余协议）【答案】：B

解析：本题考察华为数据中心级交换机的堆叠技术。IRF（IntelligentResilientFramework）是华为推出的智能弹性框架技术，支持多台物理交换机通过专用协议（如IRFLink）互联，形成一台逻辑设备，增强网络可靠性与扩展性。选项A“堆叠”是传统概念，未明确为IRF；选项C“堆叠+IRF”描述不准确，IRF本身就是堆叠技术的演进；选项DVRRP是虚拟路由冗余协议，与交换机堆叠无关。因此正确答案为B。51.华为防火墙配置中，关于安全区域的描述，错误的是？

A.安全区域的优先级决定了默认安全策略的方向，优先级高的区域默认允许流量到优先级低的区域

B.华为防火墙默认安全策略为“拒绝所有”，即不同安全区域间的流量默认被拒绝

C.安全区域可以手动配置优先级，优先级范围通常为0-100，默认值因设备型号不同而有差异

D.安全区域划分后，不同区域之间的流量必须经过显式配置安全策略才能互通【答案】：A

解析：本题考察防火墙安全区域的核心规则。B正确，华为防火墙默认策略为“拒绝所有”，未显式允许的流量默认阻断；C正确，安全区域优先级用于决定默认策略方向，范围0-100，如Trust（85）、DMZ（50）、Untrust（0）等；D正确，防火墙流量需通过显式策略配置才能互通，默认策略仅拒绝；A错误，安全区域优先级高的区域默认策略方向是“拒绝”流向优先级低的区域（如Trust→Untrust默认拒绝），而非“允许”。52.在OSPF协议中，以下关于非骨干区域（非Area0）的描述，错误的是？

A.非骨干区域必须直接与骨干区域（Area0）相连

B.非骨干区域可以有多个

C.非骨干区域的路由器可以不配置OSPF

D.非骨干区域的路由器必须配置OSPF【答案】：C

解析：本题考察OSPF区域的基本概念。OSPF中，非骨干区域（如Area1、Area2等）若要与骨干区域通信，区域内的路由器必须配置OSPF协议；同时，非骨干区域必须直接与骨干区域（Area0）相连（否则无法学习到骨干区域路由）。选项C错误，因为非骨干区域若存在设备（如路由器），必须配置OSPF才能参与区域间路由；选项A、B、D均符合OSPF非骨干区域的规范。53.在华为VRP操作系统中，查看设备当前生效的配置文件，应使用的命令是？

A.displaycurrent-configuration

B.displaystartup

C.displaysaved-configuration

D.showrunning-config【答案】：A

解析：本题考察VRP命令行基础。正确答案为A。原因：displaycurrent-configuration用于查看设备当前生效的配置，包括未保存的临时修改。B错误，displaystartup用于查看设备启动项（如启动文件、配置文件存储位置）；C错误，VRP无此标准命令；D错误，showrunning-config是CiscoIOS命令，VRP使用display系列命令。54.在华为VRP操作系统中，若当前处于系统视图（System-View），要查看设备当前运行的配置信息，应使用以下哪个命令？

A.displaystartup

B.displaycurrent-configuration

C.save

D.undocurrent-configuration【答案】：B

解析：本题考察VRP命令行基本操作。选项A错误：displaystartup用于查看启动配置文件（startup.cfg）的加载信息；选项B正确：displaycurrent-configuration用于实时查看设备当前生效的运行配置；选项C错误：save命令用于保存当前运行配置到启动配置文件（非查看操作）；选项D错误：VRP中无“undocurrent-configuration”命令，该命令不存在。55.在OSPF网络中，若某路由器接口的OSPF优先级被配置为0，则该接口参与DR/BDR选举的状态是？

A.不参与选举

B.成为DR

C.成为BDR

D.直接成为DR或BDR【答案】：A

解析：本题考察OSPF中DR/BDR选举的优先级规则知识点。OSPFDR/BDR选举基于接口优先级（Priority），当优先级为0时，该接口明确不参与DR/BDR选举；若优先级为1（默认值），则参与选举。选项B和C错误，因为优先级0的接口无法竞争DR/BDR角色；选项D错误，优先级0的接口直接排除选举资格，不会成为DR或BDR。56.在华为三层交换机上实现VLAN间路由，最常用且高效的方法是？

A.为每个VLAN创建一个物理接口并连接路由器

B.使用三层交换机的SVI（VLANInterface）接口

C.启用堆叠技术实现VLAN间直连

D.使用扩展ACL实现VLAN间流量控制【答案】：B

解析：本题考察VLAN间路由的实现方式。正确答案为B，三层交换机通过SVI（VLANInterface）接口（即VLANIF接口）实现VLAN间路由：为每个VLAN配置一个SVI接口并分配IP地址，三层交换机可直接转发VLAN间流量；选项A是传统路由器方案，效率低且占用物理接口；选项C错误，堆叠技术是设备物理堆叠，用于扩展端口密度，与路由无关；选项D错误，ACL用于流量过滤，不用于路由实现。57.关于华为云虚拟私有云（VPC）的描述，以下哪项是正确的？

A.VPC是一个逻辑隔离的网络环境

B.VPC只能在单个可用区内创建

C.VPC内仅支持创建1个子网

D.VPC子网掩码必须为【答案】：A

解析：本题考察华为云VPC核心概念知识点。VPC（虚拟私有云）本质是用户在公有云中创建的逻辑隔离网络环境，支持跨可用区创建、多子网划分及灵活的掩码配置。选项B错误（VPC可跨可用区）；选项C错误（VPC内可创建多个子网）；选项D错误（子网掩码无强制要求，如28也可配置）。58.在华为设备中，实现VLAN间路由的常用方法不包括以下哪项？

A.单臂路由（子接口）

B.三层交换机+VLANIF接口

C.物理接口直接配置多个IP地址

D.路由器的多个物理接口分别连接不同VLAN【答案】：C

解析：本题考察VLAN间路由的实现方式。VLAN间路由需跨VLAN转发流量，常见方式包括：选项A单臂路由（路由器子接口+dot1q封装）、选项B三层交换机VLANIF接口（三层接口虚拟路由）、选项D物理接口直连不同VLAN。选项C错误，物理接口直接配置多个IP地址仅能实现同网段通信，无法跨VLAN，因物理接口默认属于同一广播域（VLAN1）。正确答案为C。59.建立IPSecVPN隧道时，以下哪种技术需要在两端设备上分别配置预共享密钥（PSK）和公网IP地址？

A.L2TPVPN

B.IPsecVPN

C.GREVPN

D.SSLVPN【答案】：B

解析：本题考察VPN技术配置要求。IPSecVPN（B选项）基于IPSec协议，通过预共享密钥（PSK）或数字证书认证，且需两端公网IP建立隧道；L2TPVPN（A选项）主要依赖用户名/密码认证，无需PSK；GREVPN（C选项）仅封装IP报文，不涉及PSK；SSLVPN（D选项）基于Web浏览器，通过证书或密码认证，无需PSK和公网IP。因此正确答案为B。60.关于华为设备中标准ACL和扩展ACL的区别，以下说法正确的是？

A.标准ACL只能匹配IP地址前缀，扩展ACL只能匹配TCP/UDP端口号

B.标准ACL只能应用于入站方向，扩展ACL只能应用于出站方向

C.标准ACL的规则匹配顺序是按序号从小到大，扩展ACL则相反

D.标准ACL仅基于源IP地址进行匹配，扩展ACL可基于源/目的IP、端口号等进行匹配【答案】：D

解析：本题考察ACL的类型及匹配规则。标准ACL（2000-2999）和扩展ACL（3000-3999）的核心区别在于匹配字段。

-选项A：标准ACL仅匹配源IP地址，扩展ACL可匹配源IP、目的IP、协议类型（TCP/UDP/ICMP）、端口号等，描述错误。

-选项B：ACL可应用于入站（inbound）或出站（outbound）方向，与ACL类型无关，描述错误。

-选项C：华为设备中ACL规则均按序号从小到大顺序匹配，无“相反”顺序，描述错误。

-选项D：标准ACL仅基于源IP地址（32位掩码）进行匹配，扩展ACL可基于源IP、目的IP、协议、端口号等多维度字段，描述正确。

正确答案为D。61.BGP邻居关系建立过程中，以下哪个状态表示双方已完成Keepalive报文交换并确认连接？

A.Idle：初始状态，未配置邻居或未发送配置

B.Established：双方已建立BGP对等体关系，可交换路由信息

C.Connect：尝试连接邻居，但TCP连接未建立

D.Active：主动建立TCP连接失败，正在重试【答案】：B

解析：本题考察BGP邻居状态机。BGP邻居关系建立需经历以下状态：

-选项A：Idle状态为初始状态，未配置BGP邻居或未发送配置，无连接尝试，描述错误。

-选项B：Established状态表示BGP邻居关系完全建立，双方已完成TCP连接、Open报文交换及Keepalive报文交换，可正常交换路由信息，描述正确。

-选项C：Connect状态表示TCP连接尝试失败后，设备在等待重连定时器超时，描述错误。

-选项D：Active状态表示主动建立TCP连接失败，设备正在重试（如TCPSYN未收到ACK），描述错误。

正确答案为B。62.在数据中心网络中，VXLAN技术的主要作用是？

A.解决传统VLAN数量有限（4094个）的问题，扩展二层广播域范围

B.实现不同数据中心之间的三层互联，替代BGP/MPLSVPN

C.优化路由协议的收敛速度，减少网络故障恢复时间

D.通过隧道技术提高跨设备链路的带宽利用率【答案】：A

解析：本题考察VXLAN技术的核心作用。正确答案为A。解析：A选项正确，VXLAN通过VNI（虚拟网络标识符）扩展二层网络，解决传统VLAN数量限制（仅4094个）的问题，支持百万级虚拟二层网络；B选项错误，VXLAN本身是二层技术，跨数据中心三层互联通常由BGPEVPN或MPLSVPN实现；C选项错误，VXLAN的隧道封装会增加控制平面开销，路由收敛速度取决于底层IGP，与VXLAN无直接优化关系；D选项错误，VXLAN通过隧道传输流量会增加额外开销（如VNI标识、UDP封装），并非为提高带宽利用率。63.在华为OceanStor存储系统中，用于实现跨站点实时数据容灾和镜像的技术是？

A.MirrorView/Metro

B.SmartMigration

C.ThinProvisioning

D.HyperClone【答案】：A

解析：本题考察存储容灾技术。MirrorView/Metro是华为存储的同步镜像技术，可实现两地数据实时同步及容灾（A正确）；SmartMigration是存储数据迁移工具（B错误）；ThinProvisioning是精简配置技术（C错误）；HyperClone是基于快照的克隆技术（D错误）。64.在OSPF协议中，以下哪项不是OSPF路由器建立邻居关系过程中可能出现的状态？

A.INIT

B.EXCHANGE

C.LOADING

D.FORWARDING【答案】：D

解析：本题考察OSPF邻居状态机知识点。OSPF邻居状态包括DOWN、INIT、2-WAY、EXSTART、EXCHANGE、LOADING、FULL。A.INIT（初始状态）、B.EXCHANGE（交换状态）、C.LOADING（加载状态）均为OSPF正常状态机中的合法状态；D.FORWARDING并非OSPF的邻居状态，因此D错误。65.在华为USG防火墙中，安全策略默认的默认规则是？

A.允许所有入站流量

B.拒绝所有流量

C.允许源区域到目的区域的所有流量

D.允许按安全策略配置的规则匹配的流量【答案】：B

解析：本题考察华为防火墙默认安全策略。华为USG防火墙默认安全策略规则为“拒绝所有流量”，即所有未被管理员显式配置允许规则的流量均被拒绝。选项A错误，防火墙默认不允许所有流量；选项C错误，安全策略需基于安全区域（如Trust区域到Untrust区域），但默认无允许规则；选项D错误，默认规则下无配置的规则，不存在“匹配规则”的前提。因此正确答案为B。66.在华为设备中，AAA认证的核心组件中，用于存储本地用户信息和认证数据的是？

A.RADIUS服务器：提供集中式用户认证、授权和计费服务

B.TACACS+服务器：采用专用端口，将认证、授权、计费分离

C.LocalUser：本地用户数据库，存储本地设备的用户账号和密码

D.AAA服务器组：用于配置多个服务器的备份和负载分担【答案】：C

解析：本题考察AAA认证的核心组件功能。AAA包括认证（Authentication）、授权（Authorization）、计费（Accounting）三部分，核心组件及功能如下：

-选项A：RADIUS是AAA服务器，通过共享密钥与设备通信，存储用户信息，但属于“服务器”而非“组件”，描述错误。

-选项B：TACACS+是另一种AAA服务器，采用专用端口分离认证/授权/计费，同样属于服务器，描述错误。

-选项C：LocalUser（本地用户数据库）是设备本地存储的用户账号、密码等信息，是AAA认证时的本地验证数据源，描述正确。

-选项D：AAA服务器组是配置多个RADIUS/TACACS+服务器的备份方案，属于管理策略，非用户信息存储组件，描述错误。

正确答案为C。67.华为USG防火墙的NAT功能中，‘EasyIP’的主要作用是？

A.将内网多个私网地址转换为防火墙的一个公网出口IP

B.将公网地址转换为多个内网地址

C.仅用于静态地址转换场景

D.用于端口映射（如发布服务器）【答案】：A

解析：本题考察防火墙NAT的EasyIP功能。EasyIP是动态NAT的简化方式，适用于内网多用户共享单个公网出口IP的场景，即多个内网私网地址转换为防火墙的一个公网IP（无需配置地址池）。B选项错误（方向反了，EasyIP是内网→公网）；C选项错误（EasyIP属于动态NAT，非静态）；D选项错误（端口映射属于PAT/DNAT，与EasyIP功能不同）。正确答案为A。68.华为USG防火墙中，要实现内网用户访问公网服务器（源地址私网转公网）且公网用户能访问内网服务器（公网地址转内网私网），应采用哪种NAT技术？

A.源NAT（SNAT）

B.目的NAT（DNAT）

C.双向NAT（源NAT+目的NAT）

D.EasyIP【答案】：C

解析：本题考察防火墙NAT技术应用。正确答案为C。原因：A仅实现内网→公网的源地址转换，无法满足公网访问内网；B仅实现公网→内网的目的地址转换，无法满足内网访问公网；D（EasyIP）是SNAT的简化形式，仅转换源地址，不支持双向访问。C通过同时配置源NAT和目的NAT，可实现双向地址转换，满足需求。69.华为交换机配置端口安全的主要目的是？

A.防止端口被攻击

B.限制接入端口的MAC地址数量

C.防止VLAN冲突

D.实现端口隔离【答案】：B

解析：本题考察端口安全的功能定位：

-A选项错误：“防止端口被攻击”是笼统表述，端口安全属于MAC层面的接入控制，非直接攻击防护。

-B选项正确：端口安全通过配置MAC地址白名单（静态绑定）或最大MAC数量（动态限制），防止非法设备接入，如限制接入端口仅允许1个MAC（禁止多设备接入）。

-C选项错误：VLAN冲突由VLAN划分逻辑错误导致，与端口安全无关。

-D选项错误：端口隔离是独立功能（同一VLAN内端口互不通信），与端口安全（MAC接入控制）无关。

正确答案B，端口安全核心为限制接入端口的MAC地址数量，防止非法设备接入。70.在OSPF协议中，关于NSSA区域的描述，以下哪项是正确的？

A.NSSA区域内的路由器不能配置为ASBR

B.NSSA区域会将Type7LSA转换为Type5LSA

C.配置NSSA区域时，必须在区域内的ABR上手动引入默认路由

D.NSSA区域允许区域内的路由器引入外部路由（Type7LSA）【答案】：B

解析：本题考察OSPFNSSA区域的特性。NSSA区域是特殊的OSPF区域，允许ASBR在区域内产生Type7LSA（仅区域内的ASBR），因此A错误；NSSA区域的ABR会将区域内产生的Type7LSA转换为Type5LSA并注入骨干区域，B正确；C错误，NSSA区域的ABR可通过配置default-route-advertise自动引入默认路由，并非必须手动配置；D错误，NSSA区域仅允许区域内的ASBR引入外部路由，普通路由器不能引入外部路由。71.在华为VRP操作系统中，若需查看设备当前正在运行的配置文件，应使用以下哪个命令？

A.save

B.displayrunning-config

C.displaystartup-config

D.displayversion【答案】：B

解析：本题考察VRP命令行的基本操作。A选项“save”是保存当前运行配置到启动配置文件，不会直接显示配置；B选项“displayrunning-config”是VRP中查看当前运行配置的标准命令；C选项“displaystartup-config”用于查看下次启动时加载的配置文件，与当前运行状态无关；D选项“displayversion”用于查看设备硬件、软件版本信息。因此正确答案为B。72.在BGP协议中，以下关于EBGP邻居和IBGP邻居的描述，错误的是？

A.EBGP邻居必须配置在不同的自治系统（AS）中，且默认使用直连IP地址建立邻居关系

B.IBGP邻居必须配置在相同的自治系统（AS）中，且默认情况下不能共享路由信息

C.为了使IBGP邻居之间能够传递路由，通常需要配置“next-hop-local”属性

D.EBGP邻居之间的更新源（UpdateSource）可以是物理接口IP或Loopback接口IP【答案】：B

解析：本题考察EBGP与IBGP的核心区别。正确答案为B。解析：A选项正确，EBGP邻居必须位于不同AS，默认基于直连链路建立TCP连接（端口179）；B选项错误，IBGP邻居位于相同AS时，默认情况下会共享路由信息（需确保开启“nosynchronization”或配置路由反射器）；C选项正确，当IBGP邻居位于不同网段时，需通过“next-hop-local”修改下一跳为本地地址，否则会因下一跳不可达导致路由无法传递；D选项正确，EBGP更新源可灵活选择物理接口或Loopback接口IP（如通过“bgprouter-id”指定）。73.在OSPF网络中，关于指定路由器（DR）的描述，错误的是？

A.DR负责在广播型网络中维护网络的邻接关系，减少邻接数量

B.DR的选举基于接口优先级和Router-ID，优先级高的优先成为DR

C.若网络中某DR故障，BackupDR会立即成为新的DR，无需重新选举

D.非广播型网络（NBMA）中，DR和BDR的选举规则与广播型网络不同【答案】：C

解析：本题考察OSPFDR选举机制。正确答案为C。原因：DR故障后，BackupDR需先进入Backup状态，再触发新的DR选举流程，并非立即成为新DR。A正确，DR通过维护邻接关系减少冗余；B正确，DR选举规则基于接口优先级（优先级0不参与选举）和Router-ID；D正确，NBMA网络（如帧中继）需手动配置邻居或通过DR/BDR选举，与广播型网络（如以太网）规则存在差异。74.在OSPF路由协议中，以下哪种接口的OSPFCost值最小？

A.100Mbps快速以太网接口

B.10Mbps以太网接口

C.1000Mbps千兆以太网接口

D.10000Mbps万兆以太网接口【答案】：D

解析：OSPFCost值计算公式为：Cost=10^8/接口带宽（单位：bps）。各选项计算如下：A.100Mbps→Cost=10^8/100000000=1；B.10Mbps→Cost=10^8/10000000=10；C.1000Mbps→Cost=10^8/1000000000=0.1；D.10000Mbps→Cost=10^8/10000000000=0.01。可见，接口带宽越大，Cost值越小，万兆以太网（D）带宽最大，Cost值最小。因此正确答案为D。75.在华为企业网络中，实现不同VLAN之间通信的最常用设备是？

A.三层交换机

B.二层交换机

C.路由器

D.防火墙【答案】：A

解析：本题考察VLAN间路由技术。二层交换机（B选项）仅支持VLAN划分，无法路由三层数据包；路由器（C选项）需为每个VLAN配置独立接口，成本较高；三层交换机（A选项）通过VLANIF接口可直接实现VLAN间三层路由，是企业网络中最常用的方案；防火墙（D选项）主要用于安全隔离，非VLAN间路由的典型设备。因此正确答案为A。76.华为VRP操作系统中，以下哪条命令可以查看当前设备的OSPF邻居状态？

A.displayospfpeer

B.displayospfneighbor

C.displayospfinterface

D.displayospfrouting【答案】：B

解析：本题考察华为设备OSPF状态查询命令。正确答案为B，displayospfneighbor是查看OSPF邻居状态及邻居参数的标准命令。A选项“peer”为错误语法；C用于查看OSPF接口配置及计时器；D用于查看OSPF路由表项，无法直接展示邻居状态。77.以下关于华为设备扩展ACL的描述，正确的是？

A.扩展ACL仅能基于源IP地址进行流量过滤

B.扩展ACL支持基于TCP/UDP端口号、源/目的IP地址的组合匹配

C.扩展ACL只能应用在接口的入站（Inbound）方向

D.扩展ACL默认不允许所有流量通过，需显式配置允许规则【答案】：B

解析：本题考察扩展ACL的功能特性。正确答案为B。原因：扩展ACL支持基于源IP、目的IP、协议类型（如TCP/UDP）、端口号等多维度匹配，实现更精细的流量控制。A错误，扩展ACL不仅限于源IP，还可基于目的IP、端口等；C错误，扩展ACL可应用在入站或出站方向，方向不同过滤逻辑不同；D错误，ACL默认行为取决于规则配置，华为设备默认允许未匹配规则的流量通过（需显式拒绝）。78.关于华为交换机中VLANIF接口的描述，正确的是？

A.用于实现不同VLAN间的三层通信

B.只能绑定到物理接口使用

C.默认情况下自动创建所有VLANIF接口

D.仅能配置一个IP地址【答案】：A

解析：本题考察VLANIF接口功能。VLANIF接口是虚拟三层接口，需手动创建（如interfaceVlanif10）并配置IP地址，用于实现不同VLAN间的三层路由。B错误，VLANIF为虚拟接口，不依赖物理端口；C错误，需手动创建对应VLAN的VLANIF接口；D错误，可配置多个VLANIF接口对应不同网段IP。因此正确答案为A。79.以下哪种技术可以实现不同VLAN间的三层通信？

A.单臂路由

B.端口聚合

C.STP（生成树协议）

D.VTP（VLAN中继协议）【答案】：A

解析：本题考察VLAN间路由技术。正确答案为A，原因如下：-单臂路由通过路由器的一个物理接口连接交换机，并为每个VLAN配置子接口，实现不同VLAN间的三层转发，是典型的VLAN间路由方案；-端口聚合（B）用于将多个物理端口捆绑为逻辑链路，仅提升带宽，不涉及三层路由；-STP（C）用于防止网络环路，属于二层技术，不处理三层通信；-VTP（D）是VLAN信息同步协议，仅在二层环境中管理VLAN配置，无法实现三层通信。80.在OSPF路由协议中，Hello报文的主要作用是？

A.用于发现邻居并建立邻接关系

B.用于选举DR（指定路由器）和BDR（备份指定路由器）

C.用于周期性更新路由表中的路由信息

D.用于验证OSPF区域配置的正确性【答案】：A

解析：本题考察OSPFHello报文的功能知识点。OSPF的Hello报文主要用于在广播型网络中发现邻居路由器，通过交换Hello报文建立初始邻接关系，是OSPF邻居发现阶段的核心机制。B选项（选举DR/BDR）是通过DD报文和选举机制完成的；C选项（更新路由表）是通过LSA（链路状态通告）的泛洪和SPF算法计算实现的；D选项（验证配置）并非Hello报文的功能，通常通过ping或displayospf命令验证。因此正确答案为A。81.在OSPF协议中，骨干区域的标准编号是？

A.Area0

B.Area1

C.Area255

D.Area128【答案】：A

解析：OSPF协议中，骨干区域的编号固定为Area0，所有非骨干区域必须直接或间接连接到Area0才能实现区域间通信。选项B的Area1是普通非骨干区域，无法作为骨干区域；选项C的Area255是无效区域编号（OSPF区域编号范围为0-4294967295，但骨干区域必须为0）；选项D的128是普通非骨干区域编号，不符合骨干区域要求。82.华为USG系列防火墙的安全策略默认动作为？

A.允许所有流量

B.拒绝所有流量

C.丢弃所有流量

D.仅允许管理员流量【答案】：B

解析：本题考察防火墙安全策略默认行为。华为USG防火墙默认采用“拒绝所有流量”策略，未匹配允许规则的流量会被拒绝；A选项“允许所有”与默认行为矛盾；C选项“丢弃”是ACL默认动作，非防火墙策略默认动作；D选项“仅允许管理员流量”不符合默认策略。因此正确答案为B。83.在华为三层交换机上，要实现不同VLAN间的通信，通常需要配置什么接口？

A.物理接口

B.SVI接口

C.聚合接口

D.拨号接口【答案】：B

解析：本题考察华为三层交换机的VLAN间路由实现方式。SVI（SwitchVirtualInterface，交换虚拟接口）是三层交换机上的逻辑三层接口，需为每个VLAN配置一个SVI接口并设置IP地址，从而实现不同VLAN间的路由。选项A物理接口若为二层接口（Access或Trunk）则无法直接路由，需依赖三层功能；选项C聚合接口用于链路聚合，不直接解决VLAN间路由；选项D拨号接口适用于广域网拨号场景，与VLAN间路由无关。因此正确答案为B。84.在OSPF路由协议中，Hello报文的主要作用是？

A.发现并建立邻居关系

B.更新LSA数据库信息

C.传递路由汇总信息

D.建立OSPF虚链路【答案】：A

解析：本题考察OSPF协议的基础报文功能。Hello报文用于在OSPF邻居之间周期性发送，目的是发现新邻居、维持邻居关系并选举DR/BDR。选项B是LSA（链路状态通告）的作用，选项C是OSPF汇总路由的功能，选项D虚链路建立需通过特殊配置，均非Hello报文的主要作用。85.华为USG系列防火墙的安全策略默认处理规则是？

A.允许所有流量通过

B.拒绝所有流量通过

C.仅允许已明确配置的流量通过

D.仅拒绝已明确