2026年北京高级专业技术资格考试《通信技术（互联网技术）》练习题及答案

2026年北京高级专业技术资格考试《通信技术（互联网技术）》练习题及答案一、单项选择题（每题1分，共40分）1.在IPv6协议中，用于标识链路本地单播地址的前缀是（）。A.FE80::/10B.FC00::/7C.2000::/3D.FF00::/8答案：A解析：IPv6地址类型中，链路本地单播地址用于同一链路上的节点间通信，其固定前缀为FE80::/10。FC00::/7是唯一本地单播地址（ULA），2000::/3是全球单播地址，FF00::/8是多播地址。2.关于QUIC协议，以下描述错误的是（）。A.基于UDP协议，旨在减少连接建立延迟B.在传输层默认集成了TLS1.3以提供安全通信C.使用多路复用技术，但单个流内数据包必须严格按序交付D.连接迁移能力允许客户端IP地址变化时连接不被中断答案：C解析：QUIC协议基于UDP，通过集成TLS1.3提供安全性和减少握手延迟。它采用多路复用技术，且每个流（Stream）内的数据是严格有序的，但不同流之间的数据包可以乱序交付，这正是其相比TCP的优势之一，C项描述不准确。D项是QUIC连接迁移的特性。3.在HTTP/2协议中，服务器主动向客户端推送资源时，使用的是（）。A.PING帧B.PUSH_PROMISE帧C.HEADERS帧D.DATA帧答案：B解析：HTTP/2的服务器推送功能允许服务器在客户端请求一个资源时，主动预测并推送相关资源。这是通过发送PUSH_PROMISE帧来实现的，该帧通知客户端服务器将要推送一个资源，并携带该资源所关联的请求头信息。4.以下关于容器网络模型（CNM）与容器网络接口（CNI）的描述，正确的是（）。A.CNM是Kubernetes默认的网络接口规范B.CNI定义了容器运行时与网络插件之间的简单接口C.Docker使用的libnetwork是CNI规范的一个实现D.CNM规范比CNI更为简单，只关注网络连接答案：B解析：CNI（ContainerNetworkInterface）是一个轻量级的规范，定义了容器运行时与网络插件之间的简单接口，被Kubernetes等项目广泛采用。CNM（ContainerNetworkModel）是Docker提出的网络模型，其实现为libnetwork。Kubernetes早期支持CNM，但后来主要转向CNI。CNM模型相对复杂，不仅关注连接，还涉及网络沙盒、端点等抽象。5.使用RSA算法进行数字签名时，发送方对消息M生成签名S的过程是（）。A.使用发送方公钥加密消息哈希值：S=E(PU_a,H(M))B.使用发送方私钥加密消息哈希值：S=E(PR_a,H(M))C.使用接收方公钥加密消息哈希值：S=E(PU_b,H(M))D.使用接收方私钥加密消息：S=E(PR_b,M)答案：B解析：RSA数字签名过程是发送方使用自己的私钥（PR_a）对消息的哈希值（H(M)）进行加密（即签名运算），生成签名S。接收方使用发送方的公钥（PU_a）对S进行解密，得到哈希值，并与自己计算的消息哈希值比对以验证签名。6.在5G核心网（5GC）服务化架构（SBA）中，负责终端移动性管理、连接管理等功能，并作为其他NF服务注册发现中心的网络功能（NF）是（）。A.SMFB.AMFC.NRFD.UPF答案：B解析：在5GCSBA中，AMF（接入和移动性管理功能）负责终端的接入认证、移动性管理、连接管理等核心控制面功能。NRF（NF存储库功能）负责服务注册与发现，但AMF通常是终端注册的第一个控制面NF，并协助终端发现其他NF。SMF负责会话管理，UPF负责用户面数据转发。7.关于eBPF（扩展伯克利包过滤器）技术，以下说法错误的是（）。A.eBPF程序在内核沙箱中运行，无法直接访问任意内核内存B.eBPF映射（Map）是内核空间与用户空间共享数据的唯一方式C.所有eBPF程序类型都允许其修改传入的数据包内容D.eBPF程序需要经过验证器的严格检查以确保内核安全答案：C解析：eBPF程序运行在内核的安全沙箱中，通过验证器保证其安全性。eBPFMap用于在内核与用户空间之间交换数据。并非所有eBPF程序类型都允许修改数据包，例如跟踪（Tracing）类程序通常只有只读权限。网络数据包过滤器（如XDP程序）可以修改或丢弃数据包，但这是特定程序类型的权限。8.对于一个采用G.711μ律编码（64kbps）的VoIP通话，假设每20ms生成一个数据包，不考虑静音压缩和任何头部开销，其产生的应用层数据速率约为（）。A.64kbpsB.80kbpsC.160kbpsD.320kbps答案：A解析：G.711编码速率为64kbps，这是语音采样和编码后的原始数据速率。题目强调“应用层数据速率”且“不考虑静音压缩和任何头部开销”，因此就是指编码器输出的净负荷速率，即64kbps。打包间隔（20ms）影响的是包的大小和包速率，但不改变平均数据速率。9.在TLS1.3握手协议中，以下哪一项内容不再被协商或允许使用？（）A.密钥交换算法B.数字签名算法C.对称加密算法D.数据压缩方法答案：D解析：TLS1.3为了安全起见，移除了许多过时和不安全的特性，其中就包括对数据压缩的协商。因为历史上CRIME等攻击曾利用TLS压缩泄露信息。TLS1.3固定使用指定的几种安全密钥交换和签名算法，对称加密算法仍可在有限的套件中协商。10.采用加权公平队列（WFQ）调度算法的路由器，有三个流（Flow）的权重分别为2、3、5。当三个流都有大量数据待发送时，它们获得的带宽比例最接近（）。A.1:1:1B.2:3:5C.4:9:25D.1/2:1/3:1/5答案：B解析：加权公平队列（WFQ）的目标是按照流的权重比例分配带宽。如果三个流的权重分别为w1=2,w2=3,w5=5，则当它们都处于积压（Backlogged）状态时，它们获得的带宽比例应等于其权重之比，即2:3:5。（限于篇幅，此处展示10道单选题，实际试卷应包含40道。）二、多项选择题（每题2分，共20分。每题至少有两个正确选项，多选、少选、错选均不得分）1.以下哪些技术或协议属于软件定义网络（SDN）southbound接口的范畴？（）A.OpenFlowB.NETCONFC.YANGD.P4E.RESTfulAPI答案：A,B,D解析：南向接口是SDN控制器与底层网络设备（交换机、路由器）之间的通信接口。OpenFlow是最经典的南向协议。NETCONF（配合YANG模型）也是一种重要的南向配置管理协议。P4（ProgrammingProtocol-independentPacketProcessors）是一种用于描述数据平面处理逻辑的语言和编程模型，与南向接口密切相关。YANG是一种数据建模语言，本身不是接口协议。RESTfulAPI通常用于北向接口。2.关于Kubernetes中的Service，以下描述正确的有（）。A.ClusterIP类型的Service只能在集群内部被访问B.NodePort类型的Service会在每个Node上打开一个静态端口，将流量转发到ServiceC.LoadBalancer类型的Service需要云供应商的负载均衡器支持D.ExternalName类型的Service通过CNAME记录将Service映射到外部域名E.HeadlessService（无头服务）通过将clusterIP设置为“None”来实现，常用于StatefulSet答案：A,B,C,D,E解析：KubernetesService有四种主要类型：ClusterIP（默认，集群内网IP）；NodePort（在ClusterIP基础上，在每个节点上映射一个端口）；LoadBalancer（在NodePort基础上，使用云供应商的负载均衡器）；ExternalName（返回一个CNAME记录）。HeadlessService将`spec.clusterIP`设置为`None`，Kubernetes不会为其分配ClusterIP，DNS查询会返回所有Pod的IP地址，常用于有状态应用如StatefulSet。3.下列哪些攻击属于针对HTTPS/TLS的中间人攻击（MitM）？（）A.SSL剥离（SSLStripping）B.心脏出血（Heartbleed）C.降级攻击（DowngradeAttack）D.证书颁发机构（CA）妥协E.分布式拒绝服务（DDoS）答案：A,C,D解析：SSL剥离攻击将HTTPS连接降级为HTTP。降级攻击（如POODLE）诱使客户端和服务器使用不安全的旧版本协议或弱密码套件。CA妥协会导致攻击者可以签发被浏览器信任的伪造证书，从而实施中间人攻击。心脏出血是OpenSSL库的信息泄露漏洞，可被利用来窃取服务器内存信息，但不直接构成典型的MitM。DDoS是耗尽资源的攻击，不属于MitM。4.在光通信中，以下哪些因素会限制单模光纤的无中继传输距离？（）A.光纤的衰减系数B.发送机的中心波长C.光纤的色散（包括色度色散和偏振模色散）D.接收机的灵敏度E.光纤的非线性效应（如自相位调制、四波混频）答案：A,C,D,E解析：光纤衰减直接导致光功率随距离下降。色散会导致光脉冲展宽，引起码间干扰，限制传输速率和距离。接收机灵敏度决定了可识别的最小光功率。非线性效应在光功率较高时变得显著，会干扰信号。发送机的中心波长本身不是限制因素，但其与光纤的零色散波长、衰减窗口的匹配情况会影响性能。5.关于分布式数据库的CAP理论，在发生网络分区（Partition）时，以下描述正确的有（）。A.一个系统可以同时完美保证一致性（C）、可用性（A）和分区容忍性（P）B.选择CA的系统，在发生网络分区时，可能拒绝部分请求以保证一致性C.选择AP的系统，在发生网络分区时，允许不同分区独立提供服务，但数据可能不一致D.选择CP的系统，在发生网络分区时，可能会牺牲部分分区的可用性以保证一致性E.由于网络分区不可避免，实际分布式系统通常需要在C和A之间权衡答案：B,C,D,E解析：CAP理论指出，在网络分区（P）发生时，系统只能在一致性（C）和可用性（A）中选择一个。CA系统（如传统单机数据库）在分区时可能停止服务（不可用）以保一致性。AP系统（如Dynamo、Cassandra）在分区时保持可用，但数据可能存在不一致。CP系统（如ZooKeeper、etcd）在分区时为保证一致性，可能让部分分区不可用。由于网络分区是客观存在的风险，因此设计分布式系统时主要是在C和A之间进行权衡。（限于篇幅，此处展示5道多选题，实际试卷应包含10道。）三、判断题（每题1分，共10分）1.在TCP的拥塞控制中，当发生超时重传时，慢启动阈值（ssthresh）会被设置为当前拥塞窗口（cwnd）的一半，然后cwnd被重置为1个MSS。（）答案：√解析：这是TCPReno等经典算法在发生超时重传时的行为，即“乘法减小”和“重置cwnd为1”，进入慢启动阶段。快速重传/快速恢复针对的是收到三个重复ACK的情况。2.OSPF（开放最短路径优先）协议是一种基于距离向量算法的内部网关协议。（）答案：×解析：OSPF是一种基于链路状态（Link-State）算法的内部网关协议（IGP）。距离向量算法的典型代表是RIP。3.Docker容器镜像的每一层（Layer）都是只读的，当运行容器时，会在最顶层添加一个可写的容器层。（）答案：√解析：这是Docker镜像的联合文件系统（UnionFS）特性。镜像层只读，容器层可写，所有修改都发生在容器层，通过写时复制（Copy-on-Write）机制实现。4.在IPv4向IPv6过渡技术中，6to4隧道使用特定的地址前缀2002::/16，并要求隧道两端必须具有公网IPv4地址。（）答案：√解析：6to4是一种自动隧道技术，将IPv6数据包封装在IPv4中传输。它使用2002:IPv4地址::/48的前缀为站点分配IPv6地址，因此隧道端点需要公网IPv4地址来构造这个前缀。5.WebSocket协议在建立连接时，首先通过一个HTTP/HTTPS握手请求，然后升级到全双工通信。（）答案：√解析：WebSocket连接始于一个HTTP/HTTPS握手请求，该请求包含`Upgrade:websocket`等头部，服务器响应101状态码后，协议即从HTTP升级为WebSocket协议，进行全双工通信。（限于篇幅，此处展示5道判断题，实际试卷应包含10道。）四、简答题（每题5分，共20分）1.简述在云计算环境中，虚拟网络与容器网络的主要区别。答案与解析：主要区别体现在以下几个方面：（1）隔离粒度与对象：虚拟网络通常以虚拟机（VM）为端点，每个VM拥有独立的虚拟网卡（vNIC）、完整的客户操作系统内核和网络协议栈。容器网络以容器（Container）为端点，容器共享宿主机内核，网络隔离在网络命名空间（NetworkNamespace）层面实现，粒度更细。（2）网络模型与性能：虚拟网络依赖于Hypervisor虚拟化层（如vSwitch），数据包需要经过宿主机内核协议栈和虚拟化层的处理，路径较长，开销相对较大。容器网络（特别是高性能方案）可以让容器直接通过宿主机的网络协议栈或专用数据平面（如eBPF、SR-IOV）通信，绕过部分虚拟化开销，延迟更低，性能更接近原生。（3）编排与动态性：容器网络与容器编排平台（如Kubernetes）深度集成，需要支持Pod生命周期快速变化（创建、销毁、迁移），网络策略（NetworkPolicy）的动态配置。虚拟网络的变更速度通常慢于容器网络。（4）Overlay网络实现：两者都可能使用Overlay网络（如VXLAN）实现跨主机通信。但容器Overlay网络更轻量，隧道端点（如flannel、Calico的IPIP模式）通常部署在宿主机上，为所有容器服务；而虚拟Overlay网络（如NSX-T）的隧道端点可能在Hypervisor内部。2.描述TCP的“粘包”与“拆包”现象，并列举两种常见的解决方案。答案与解析：“粘包”与“拆包”是面向字节流的TCP通信中，在应用层看到的数据边界与发送时不符的现象。（1）现象：粘包：发送方连续发送的多个小数据包被接收方一次性接收，合并成一个大的数据包。拆包：发送方发送的一个大数据包被接收方拆分成多个小数据包接收。原因：TCP是字节流协议，不维护消息边界。发送的数据会先进入TCP发送缓冲区，接收的数据会进入接收缓冲区。数据在缓冲区中的分段、合并取决于MSS、Nagle算法、拥塞窗口、应用层读取速度等多种因素。（2）解决方案：定长消息：每个应用层消息都固定长度。不足部分填充。实现简单，但不够灵活，可能浪费带宽。分隔符：在每条消息的尾部添加特殊分隔符（如换行符`\n`）。接收方按分隔符拆分。需确保消息内容本身不包含分隔符，或进行转义。长度前缀（Header+Body）：在消息头部添加一个固定长度的字段，表示消息体（Body）的长度。这是最常用和高效的方式。例如，可以用2字节或4字节的整数表示后续数据的长度。接收方先读固定长度的头部，解析出长度N，再读取后续N字节的数据。3.解释什么是“微服务架构中的服务网格（ServiceMesh）”，并说明其核心组件和数据平面、控制平面的功能。答案与解析：服务网格是一种用于处理服务间通信的专用基础设施层，通常以轻量级网络代理阵列的形式实现，这些代理与应用程序代码一起部署，但对应用透明。（1）核心思想：将服务间通信的复杂性（如服务发现、负载均衡、熔断、遥测、认证授权等）从应用程序中剥离出来，下沉到一个统一的、由基础设施管理的边车（Sidecar）代理中。（2）核心组件与平面：数据平面：由一系列与每个服务实例相伴部署的智能代理（如Envoy、Linkerd-proxy）组成。它们以边车模式运行，拦截所有进出服务的网络流量。负责实现实际的通信逻辑，包括：服务发现、负载均衡、TLS终止、流量路由（金丝雀发布、蓝绿部署）、故障注入、熔断器、指标收集、分布式追踪等。控制平面：管理和配置数据平面中的代理。它不直接处理数据包，而是为代理提供策略和配置。控制平面组件通常包括：服务发现注册中心、配置分发器、策略引擎、证书管理机构（CA）等。例如，Istio的控制平面包含Pilot（配置分发）、Citadel（安全）、Galley（配置管理）等。4.简述公钥基础设施（PKI）体系中，数字证书的验证过程。答案与解析：数字证书验证是确保一个公钥确实属于其所声称的实体的过程。以验证一个服务器证书为例，客户端（浏览器）的验证过程通常如下：（1）获取证书：客户端从服务器收到其数字证书。（2）检查证书有效性期：验证当前时间是否在证书的“有效期从”和“有效期至”之间。（3）验证证书颁发者（CA）签名：使用颁发该证书的CA的公钥（通常已预置在客户端的受信任根证书存储中）来解密证书中的签名部分，得到签名时计算的哈希值（H1）。同时，客户端使用相同的哈希算法（如SHA-256）对证书的TBSCertificate（ToBeSignedCertificate，即证书的正文部分）进行计算，得到另一个哈希值（H2）。比较H1和H2，如果一致，则证明该证书确实由该CA签发，且内容在签发后未被篡改。（4）验证证书主题：检查证书中的“主题”字段（或主题备用名称SAN）是否与客户端正在访问的服务器域名匹配。（5）检查证书撤销状态：查询证书撤销列表（CRL）或通过在线证书状态协议（OCSP）向CA查询，确认该证书尚未被颁发者撤销。（6）验证证书链：如果服务器证书不是由根CA直接签发，而是由中间CA签发，则需要构建一条从根CA证书到服务器证书的信任链。重复步骤（2）（3）来验证每一级证书，直到一个受信任的根CA。所有中间CA证书通常由服务器在握手时一并发送。只有以上所有步骤都通过，客户端才认为该证书是可信的，并提取其中的服务器公钥用于后续加密或验证。五、综合应用题（共10分）假设某数据中心网络采用Spine-Leaf（CLOS）架构，共有4台Spine交换机和8台Leaf交换机。每个Leaf交换机下连接20台服务器（每台服务器单网卡）。要求实现任意两台服务器间等代价多路径（ECMP）通信。1.（3分）请计算该网络拓扑中，从一台服务器到另一台不同Leaf下的服务器，理论上最大有多少条等价的Layer3路由路径？答案与解析：在标准的Spine-Leaf三层CLOS架构中：服务器网关在Leaf交换机上。Leaf交换机与所有Spine交换机全互联。Spine交换机之间不互联。路由协议（如BGP）运行在Spine和Leaf之间，Leaf之间不直接交换路由。当一台服务器（例如在Leaf1下）要访问另一台服务器（例如在Leaf2下）时：数据包从源服务器到达源Leaf（Leaf1）。Leaf1查看目的IP，发现其属于Leaf2下联的网段，下一跳是目的Leaf（Leaf2）。Leaf1到Leaf2没有直连链路，必须通过Spine中转。Leaf1通过ECMP，可以从其连接的所有Spine中选择一台作为到达Leaf2的下一跳。因此，可能的路径数等于Leaf1上联到Spine的链路数，也就是Spine交换机的数量。给定条件：Spine交换机数量为4台。所以，从源Leaf到目的Leaf，理论上最大有4条等价的Layer3路由路径。2.（4分）为了实现上述ECMP，在Leaf和Spine交换机上通常会运行什么动态路由协议？并简述在该协议下，Leaf和Spine交换机分别如何宣告和学习路由，以确保形成上述路径。答案与解析：通常采用内部边界网关协议（iBGP），并结合底层IGP（如OSPF或IS-IS）提供环回地址可达性。更现代和简洁的做法是使用BGPEVPN或纯BGP（在数据中心场景中常被称为“BGPasanIGP”）。以纯BGP方案（如RFC7938描述的）为例：（1）角色与对等关系：每个Spine和每个Leaf都运行BGP。每个Leaf与所有Spine建立iBGP对等会话（eBGP多跳也可，但iBGP更常见）。Spine之间通常也建立全互联的iBGP对等会话，或者使用路由反射器（RR）模式，但在此简单CLOS中，Spine可作为Leaf的路由反射器。（2）路由宣告与学习：Leaf交换机：作为其下联服务器网段的网关。它将连接的服务器子网（例如`/24`）通过BGP通告给所有与其对等的Spine交换机。通告时，下一跳设置为自己的环回地址（或物理接口地址）。Spine交换机：收到来自Leaf的路由通告后，由于Spine与所有Leaf对等，它会将这些路由重新通告（反射）给其他所有Leaf交换机。在作为路由反射器时，会保持原始下一跳（Next-hop）不变（Next-hop-unchan