2026年华为认证模拟试题及参考答案详解

2026年华为认证模拟试题及参考答案详解一、单项选择题（每题2分，共20分）1.在华为路由器上配置OSPFv2时，若同时存在Loopback0（IP：/32）、Loopback1（IP：/32）和G0/0/0接口（IP：/24，物理状态Up），且未手动指定RouterID，最终选举的RouterID是？A.B.C.D.由OSPF协议随机提供答案：A详解：OSPFRouterID的选举规则为：优先选择手动配置的RouterID；若无手动配置，则选择所有Loopback接口中最大的IP地址；若没有Loopback接口，则选择物理接口中最大的IP地址（需接口状态Up）。本题中存在两个Loopback接口，（2130706433）大于（167772161），因此最终RouterID为。2.某企业部署BGP网络，AS100的路由器R1与AS200的R2建立EBGP邻居，R1的Loopback0（/32）需通过R2发布到AS200。以下配置中，正确的是？A.R1：peer（R2的G0/0/0地址）as-number200；networkmask55B.R1：peeras-number200；import-routedirectC.R2：peeras-number100；networkmask55D.R1：peeras-number200；peernext-hop-local答案：A详解：EBGP邻居需配置对端的物理接口IP（如R2的G0/0/0地址）并指定对端AS号。若需发布Loopback接口的主机路由，需通过network命令精确匹配该路由（/32）。选项B的import-routedirect会引入所有直连路由，可能包含冗余路由；选项C中R2无法直接发布R1的Loopback路由；选项D的next-hop-local用于修改下一跳，但本题未涉及下一跳问题，因此正确配置为选项A。3.某数据中心采用VXLAN技术实现多租户隔离，租户A的VNI为1001，租户B的VNI为1002。以下关于VXLAN报文封装的描述，错误的是？A.VXLAN报文外层IP头的TTL与内层IP头的TTL独立B.VXLAN使用UDP封装，目的端口固定为4789C.租户A和租户B的内层IP报文会被封装相同的VXLAN头D.VXLAN头中的VNI字段用于标识租户网络答案：C详解：VXLAN通过VNI（24位）区分不同租户网络，每个租户的VNI唯一。因此，租户A（VNI1001）和租户B（VNI1002）的内层IP报文会被封装不同的VXLAN头（VNI字段不同）。其他选项正确：外层IP头的TTL由网络设备根据路径设置，与内层无关；VXLAN使用UDP4789端口；VNI是租户隔离的关键标识。4.在华为防火墙的NAT策略配置中，若需要将内部私网IP/24映射到公网地址池-0，且允许多个内部主机共享同一公网IP，应选择哪种NAT类型？A.静态NATB.动态NATC.NAPTD.源NAT答案：C详解：NAPT（网络地址端口转换）通过不同的端口号区分内部主机，允许多个私网IP共享同一个公网IP。静态NAT是一对一固定映射；动态NAT是多对多无端口转换；源NAT是策略类型而非具体实现方式。因此正确答案为C。5.某企业广域网使用MPLSVPN，PE1与PE2通过P设备互联，CE1连接PE1的Site1，CE2连接PE2的Site2。若CE1无法ping通CE2，排查步骤中最优先检查的是？A.CE1与PE1之间的接口状态和路由B.PE1与PE2之间的MPLSLDP会话状态C.PE1的VRF中是否存在Site2的路由D.CE2的默认网关是否配置正确答案：A详解：MPLSVPN连通性故障排查应遵循“先本地后远端，先底层后高层”原则。首先检查CE与PE间的接入层（物理链路、IP连通性、静态/动态路由），若CE1无法到达PE1，则后续MPLS层面无需检查。其他选项（LDP会话、VRF路由、CE2网关）需在接入层正常后再排查。6.IPv6网络中，某主机启动后通过邻居发现协议（NDP）获取网关地址。以下NDP消息中，用于主机请求网关MAC地址的是？A.RouterSolicitation（RS）B.RouterAdvertisement（RA）C.NeighborSolicitation（NS）D.NeighborAdvertisement（NA）答案：C详解：NS（邻居请求）用于主机请求目标节点的链路层地址（如网关的MAC），NA（邻居通告）是对NS的响应。RS是主机请求路由器发送RA（路由通告），RA包含路由器的前缀信息。因此正确答案为C。7.某企业部署SDN网络，使用华为CloudFabric3.0解决方案，控制器为iMasterNCE-Campus。当需要调整网络流量的转发路径时，最直接的操作是？A.在各网络设备上手动修改路由策略B.通过NCE-Campus的北向接口调用API下发流表C.在边缘交换机上配置ACL过滤规则D.调整DHCP服务器的地址池分配答案：B详解：SDN的核心是控制平面与数据平面分离，控制器通过南向接口（如OpenFlow）向设备下发流表，实现集中式控制。iMasterNCE-Campus作为园区SDN控制器，支持通过北向API（如RESTful）接收业务需求，自动计算并下发流表到网络设备，无需手动配置单设备。因此正确操作是B。8.某云数据中心采用华为FusionSphere虚拟化平台，虚拟机VM1（业务A）和VM2（业务B）需实现严格的网络隔离，且流量不能经过物理交换机。最优解决方案是？A.为VM1和VM2分配不同的VLANB.在物理交换机上配置端口隔离C.使用虚拟交换机（vSwitch）的分布式端口组D.部署硬件防火墙隔离VM1和VM2答案：C详解：虚拟交换机（如华为的vSwitch）支持在虚拟化层为不同虚拟机分配独立的分布式端口组，通过虚拟网络标签（如VXLAN、VLAN）实现隔离，流量可在虚拟化层内部转发，无需经过物理交换机，效率更高。VLAN需物理交换机配合；端口隔离限制物理端口；硬件防火墙增加转发延迟，因此最优解是C。9.网络安全防护中，针对APT（高级持续性威胁）攻击的检测，最有效的技术是？A.基于特征库的入侵检测系统（IDS）B.沙箱技术（Sandbox）C.静态代码分析D.访问控制列表（ACL）答案：B详解：APT攻击通常使用未知恶意代码，基于特征库的IDS无法检测。沙箱技术通过模拟运行环境，分析文件行为（如异常网络连接、文件读写），可有效识别未知威胁。静态代码分析用于漏洞挖掘；ACL用于基础访问控制，因此选B。10.某企业分支通过华为云专线（CloudConnect）接入公有云，要求分支到云的延迟≤20ms，带宽1Gbps，冗余链路采用MPLSVPN。以下部署方案中，不符合要求的是？A.分支侧部署CE设备，通过两条不同运营商的物理链路连接云POP点B.云侧使用VXLANOverMPLS实现跨地域网络互联C.两条链路均启用BFD检测，检测时间300msD.分支到云的路由优先级设置为：云专线（优先级10）＞MPLSVPN（优先级20）答案：B详解：云专线（CloudConnect）通常基于物理专线或IPran，提供低延迟（≤20ms）、高带宽（1Gbps+）的互联。VXLANOverMPLS属于数据中心内部或跨数据中心的Overlay技术，延迟通常高于物理专线，无法满足≤20ms的要求。其他选项均符合冗余（双链路）、快速检测（BFD）、路由优先级优化的需求。二、判断题（每题2分，共10分。正确填“√”，错误填“×”）1.STP协议中，Blocking状态的端口不转发数据帧，但会接收并处理BPDU。（）答案：√详解：STP的Blocking状态用于避免环路，端口不转发数据帧和用户流量，但会接收并处理BPDU，以检测网络拓扑变化。2.BGP的Local_Pref属性仅在AS内部传递，用于向AS内其他路由器指示出方向的优先级。（）答案：√详解：Local_Pref（本地优先级）是公认discretionary属性，仅在EBGP对等体之间传递时不会被携带，AS内部通过IBGP传递，值越大越优先，用于控制AS内流量的出方向。3.IPv6的任播（Anycast）地址可以分配给多个接口，数据包会被路由到最近的（根据路由协议度量）接口。（）答案：√详解：任播地址的设计目标是将数据包发送到一组接口中“最近”的一个，由路由协议（如OSPFv3、IS-IS）计算最短路径。4.华为交换机的Hybrid端口可以同时允许多个VLAN的帧通过，且可以设置某些VLAN的帧带Tag，某些不带Tag。（）答案：√详解：Hybrid端口是华为特有的端口类型，支持灵活的VLAN标签处理，可配置哪些VLAN帧剥离Tag（如接入PC），哪些保留Tag（如连接交换机）。5.在华为eNSP模拟器中，AR系列路由器默认支持VXLAN封装，无需额外配置License。（）答案：×详解：eNSP中的AR路由器默认仅支持基础路由协议，VXLAN属于高级功能，需在设备上启用相应特性（如mplsl2vpn），部分版本可能需要License支持。三、综合题（共70分）（一）园区网络设计与故障排查（25分）某企业新建园区，包含办公区（300台终端）、研发区（200台终端）、数据中心（50台服务器），要求：办公区与研发区逻辑隔离，研发区可访问数据中心，办公区仅允许访问数据中心的HTTP（80）和HTTPS（443）端口；核心层到接入层采用万兆链路，接入层到终端采用千兆链路；网络支持IPv4/IPv6双栈，DHCPv6为终端自动分配地址；出口部署防火墙，实现NAT转换和防DDoS攻击。1.请设计园区网络的三层架构（核心层、汇聚层、接入层），并说明各层设备的主要功能。（10分）答案：核心层：部署2台万兆核心交换机（如S12700），互为冗余（VRRP），负责园区内各汇聚层的高速互联、跨区域流量转发，配置IPv4/IPv6双栈路由，连接出口防火墙。功能：高可靠性（链路聚合、VRRP）、高速转发（万兆）、三层路由（OSPFv2/OSPFv3）。汇聚层：办公区、研发区、数据中心各部署1台汇聚交换机（如S5735），连接核心层和接入层。功能：VLAN间路由（办公区VLAN100、研发区VLAN200、数据中心VLAN300）、访问控制（ACL限制办公区到数据中心仅80/443端口）、IPv6前缀分发（通过RA发送DHCPv6前缀）。接入层：办公区部署15台接入交换机（如S3700，24口千兆），研发区10台，数据中心3台（万兆接入服务器）。功能：终端接入（千兆/万兆）、VLAN划分（每个接入交换机划分2-3个VLAN）、802.1X认证（终端接入认证）、IPv6无状态自动配置（配合汇聚层RA）。2.若办公区用户反馈无法访问数据中心的HTTPS服务（443端口），但能访问HTTP服务（80端口），请列出排查步骤。（15分）答案：步骤1：确认办公区终端IPv4/IPv6地址配置正常（ping汇聚层网关，tracert数据中心服务器IP）。步骤2：检查汇聚层交换机的ACL配置，确认是否存在针对443端口的过滤规则（displayaclall）。例如，是否误将“permittcpdestination-port80”写成“permittcpdestination-port80-443”但实际漏掉了443。步骤3：检查数据中心服务器的防火墙配置（如Windows防火墙、Linuxiptables），确认443端口是否开放（telnet服务器IP443测试连通性）。步骤4：检查核心层到数据中心的链路状态（displayinterfacebrief），确认万兆链路无丢包（displaytraffic-statisticsinterface）。步骤5：查看出口防火墙的NAT转换表（displayfirewallsessiontable），确认办公区IP到公网的转换是否正常，是否有会话超时或端口被封禁。步骤6：使用抓包工具（如Wireshark）在汇聚层镜像端口抓取办公区到数据中心的流量，确认是否存在TCPSYN包未到达服务器或RST包被发送（可能是服务器负载过高或SSL证书问题）。（二）数据中心网络优化（25分）某企业数据中心采用传统三层架构（核心-汇聚-接入），服务器部署Web、数据库、大数据分析应用，存在以下问题：东西向流量（服务器间通信）占比60%，经过核心层转发，延迟较高；新增AI训练集群（100台服务器），需要万兆互联且低时延；多租户业务需要隔离，传统VLAN（4094个）不足。1.针对东西向流量问题，推荐哪种网络架构？说明其优势。（10分）答案：推荐采用“叶脊（Spine-Leaf）”架构替代传统三层架构。叶脊架构中，Leaf交换机（接入层）直接连接服务器，Spine交换机（核心层）连接所有Leaf，东西向流量仅需经过Leaf→Spine→Leaf两级转发（传统三层需Leaf→汇聚→核心→汇聚→Leaf三级），延迟降低30%-50%。同时，Leaf间通过ECMP实现多路径负载均衡，带宽利用率更高（传统架构汇聚层可能成为瓶颈）。2.为AI训练集群设计网络方案，需满足万兆互联、低时延、高可靠性。（10分）答案：网络设备：AI集群服务器通过万兆光口连接Leaf交换机（如华为CE6865，支持48×100GE/10GESFP+），Leaf与Spine通过100GE链路互联。低时延优化：启用无阻塞交换（Leaf/Spine转发容量≥服务器总带宽）、关闭不必要的协议（如STP，改用ECMP）、配置QoS优先级（AI流量标记为EF，优先转发）。高可靠性：Leaf交换机双归连接两台Spine（避免单点故障），服务器采用双网卡绑定（如LACP），实现链路冗余。流量隔离：使用VXLAN为AI集群分配独立VNI（如VNI2000），与其他租户（VNI1000、1500）通过VXLAN头隔离，避免广播风暴。3.解决多租户VLAN不足的问题，应采用哪种技术？说明其原理。（5分）答案：采用VXLAN技术。VXLAN通过在UDP报文中封装24位的VNI（虚拟网络标识符），理论上可支持1600万（2^24）个租户网络，远超VLAN的4094个。租户的二层流量被封装为三层UDP报文在IP网络中传输，VNI作为租户标识，接收端根据VNI解封装并转发到对应租户网络，实现逻辑隔离。（三）广域网故障排查（20分）某企业广域网拓扑如下：总部（AS65001）通过PE1连接运营商（AS65000），分支（AS65002）通过PE2连接同一运营商，PE1与PE2通过运营商P设备建立MPLSL3VPN。总部CE1（/24）与分支CE2（/24）无法互通，排查发现：CE1到PE1的接口Up，CE1路由表有/24（下一跳PE1）；PE1的VRF“Corp”路由表无/24；PE1与PE2的BGPL3VPN邻居状态为“Established”；PE1的MPLSLDP会话状态为“Operational”。1.分析PE1的VRF中无分支路由的可能原因。（10分）答案：可能原因：PE2未正确向PE1发布分支路由。需检查PE2的VRF配置，确认是否将CE2的/24路由引入BGP（如通过network命令或import-route）。BGPL3VPN的路由区分符（RD）或路由目标（RT）配置错误。若PE1的VRF“Corp”的RT导入（import-target）与PE2发布的RT导出（export-target）不匹配，PE1将无法接收该路由。例如，PE2的V