2025年北京高级专业技术资格考试《通信技术（互联网技术）》复习题及答案

2025年北京高级专业技术资格考试《通信技术（互联网技术）》复习题及答案一、单项选择题1.在IPv6网络中，用于实现IPv6节点间通信，且不需要任何中间设备进行地址转换的过渡技术是（）。A.双栈技术B.隧道技术C.网络地址转换-协议转换D.应用层网关答案：A解析：双栈技术是IPv4向IPv6过渡的基础技术，要求网络节点同时支持IPv4和IPv6协议栈，能够同时处理两种协议的数据包，从而实现与IPv4或IPv6节点的直接通信，无需地址转换。隧道技术（B）用于在IPv4网络中封装和传输IPv6数据包。网络地址转换-协议转换（C）用于实现IPv6与IPv4网络之间的地址和协议转换，需要中间转换设备。应用层网关（D）工作在应用层，用于特定应用协议的转换。2.关于软件定义网络（SDN）架构，下列描述正确的是（）。A.控制平面与数据平面紧密耦合，设备同时负责路由决策和报文转发B.南向接口通常采用OpenFlow协议，用于控制器与交换机之间的通信C.北向接口用于不同厂商的SDN控制器之间进行状态同步D.数据平面由运行在通用服务器上的网络操作系统构成答案：B解析：SDN的核心思想是控制平面与数据平面分离。控制平面集中化，负责网络智能（如路由决策）；数据平面（由网络设备构成）仅负责根据流表进行报文转发，两者解耦，故A错误。南向接口（如OpenFlow）是控制器与数据平面设备（交换机/路由器）之间的通信接口，B正确。北向接口是控制器向上层应用提供的编程接口，用于业务部署，而非控制器间同步，C错误。数据平面由支持SDN的物理或虚拟交换机/路由器构成，网络操作系统运行在控制器上，属于控制平面，D错误。3.在QUIC协议中，为了减少连接建立延迟，采用了哪种机制来实现“0-RTT”连接？（）A.基于TCP三次握手的TLS1.3简化握手B.在第一个数据包中携带应用数据及加密信息C.完全复用之前连接的TLS会话票证D.使用UDP协议替代TCP，避免了握手过程答案：B解析：QUIC协议基于UDP，并将传输控制和TLS加密深度集成。其“0-RTT”连接机制允许客户端在首次与服务器建立过连接后，在后续连接的第一个数据包中，携带应用数据（0-RTT数据）以及TLS加密所需的部分信息（如从之前连接获取的配置信息），从而在未完成完整TLS握手前就开始传输数据，显著降低延迟。D选项描述的是QUIC使用UDP，这减少了头开销和避免了TCP的队头阻塞，但“0-RTT”的实现关键在于TLS和连接信息的复用与携带，并非仅仅因为使用UDP。A选项描述的是基于TCP的TLS优化。C选项中的会话票证是TLS中的一种会话恢复机制，但QUIC的0-RTT机制更复杂，涉及连接状态和加密密钥的复用。4.某数据中心采用Spine-Leaf网络架构，共有8个Spine交换机和40个Leaf交换机，每个Leaf交换机上行端口数为4。若要求网络无阻塞，且每个Leaf与所有Spine均需有连接，则Spine交换机至少需要的下行端口数为（）。A.32B.40C.160D.320答案：B解析：在Spine-Leaf（Clos）架构中，要实现无阻塞的全互联，每个Leaf交换机必须与所有Spine交换机相连。已知有40个Leaf交换机，因此每个Spine交换机必须至少有40个下行端口来连接这40个Leaf。题目中给出的8个Spine和每个Leaf有4个上行端口是冗余信息，用于验证：Leaf上行端口数（4）应等于Spine的数量（8）才能实现全互联和负载均衡，但本题问的是Spine下行端口的最小需求，即Leaf的数量40。5.下列关于服务网格（ServiceMesh）中Sidecar模式的描述，错误的是（）。A.Sidecar代理与业务容器部署在同一个Pod中，共享网络命名空间B.所有流入和流出业务容器的网络流量都被强制经过Sidecar代理C.Sidecar代理负责服务发现、负载均衡、熔断、遥测等非业务功能D.Sidecar代理的引入会显著增加单个服务调用的延迟，但不会增加资源消耗答案：D解析：Sidecar模式是服务网格（如Istio）的核心模式。A、B、C选项均正确描述了Sidecar的工作方式：作为独立的轻量级代理容器，与业务应用容器共同部署，劫持并处理所有网络流量，实现服务治理功能。D选项错误，因为Sidecar代理的引入确实会增加单个服务调用的延迟（增加了额外的代理跳转和处理开销），同时也会增加系统的资源消耗（CPU和内存），因为需要运行额外的代理进程。6.在5G核心网（5GC）服务化架构中，网络功能（NF）之间通过标准化的接口进行通信，这些接口基于（）协议。A.GTP-UB.DiameterC.HTTP/2D.SIP答案：C解析：5G核心网采用了基于服务的架构（SBA），其控制面网络功能（如AMF、SMF）被设计为可重用的服务，它们之间通过服务化接口进行通信。这些接口遵循HTTP/2协议，并使用JSON格式的消息，这与传统的基于Diameter（B，用于4GEPC）或SIP（D，用于IMS）的协议有本质区别。GTP-U（A）是用于用户面数据转发的隧道协议。7.使用RSA算法进行数字签名时，发送方对消息M生成签名S的过程是（）。A.使用发送方的公钥加密消息M：SB.使用发送方的私钥加密消息M：SC.使用接收方的公钥加密消息M的哈希值：SD.使用发送方的私钥加密消息M的哈希值：S答案：D解析：数字签名用于验证消息的完整性和来源真实性。标准流程是：发送方（A）使用自己的私钥（P）对消息M的哈希值（H(M)）进行加密（即签名），生成签名S。接收方使用发送方的公钥（P8.在基于VXLAN的Overlay网络中，用于执行VXLAN封装和解封装，并在物理IP网络上建立隧道的网络实体称为（）。A.VRFB.VTEPC.VNID.NVGRE答案：B解析：VXLAN（虚拟扩展局域网）通过MAC-in-UDP封装在现有IP网络上创建虚拟二层网络。VTEP（VXLANTunnelEndpoint，VXLAN隧道端点）是进行VXLAN封装和解封装的实体，通常位于虚拟交换机（如vSwitch）或物理交换机上。VNI（C，VXLANNetworkIdentifier）是标识二层网段的24位标识符，类似VLANID。VRF（A）是路由和转发的隔离实例。NVGRE（D）是另一种网络虚拟化技术。9.关于容器镜像仓库的安全最佳实践，以下说法不正确的是（）。A.应定期对镜像进行漏洞扫描，并仅部署无已知高危漏洞的镜像B.为方便管理，可以使用“latest”标签作为生产环境镜像的稳定标签C.镜像内容应最小化，仅包含应用程序运行所必需的库和文件D.对仓库的访问应实施基于角色的访问控制和镜像签名验证答案：B解析：“latest”标签是一个浮动标签，默认指向最新构建的镜像。在生产环境中使用“latest”标签会导致部署的镜像版本不可控，可能引入未经充分测试的变更，破坏稳定性。最佳实践是使用明确的、不可变的版本标签（如v1.2.3）或镜像摘要（Digest）来部署生产环境。A、C、D选项都是关于镜像安全扫描、最小化原则和访问控制/完整性的正确实践。10.在光纤通信系统中，若发射光功率为dBm，接收灵敏度为dBm，光纤链路总损耗为αdB，系统富余度为MdB，则满足系统要求的光纤最大长度L（单位：km）的计算公式为（）。A.LB.LC.LD.L答案：B解析：在光链路功率预算中，允许的最大总损耗（即功率预算）等于发射光功率与接收灵敏度之差。这个总损耗需要分配给光纤本身的损耗（光纤衰减系数×长度L）和系统富余度M（包括设备老化、连接器损耗等额外损耗）。因此，功率预算方程为：−=光纤衰减系数×L+M二、多项选择题1.下列属于云计算关键特征的有（）。A.按需自助服务B.广泛的网络访问C.资源池化D.快速弹性伸缩E.按使用量计费答案：ABCDE解析：根据美国国家标准与技术研究院（NIST）的定义，云计算具有五大基本特征：按需自助服务（A）、广泛的网络访问（B）、资源池化（C）、快速弹性伸缩（D）和可计量的服务（E，即按使用量计费）。这五项是云服务区别于传统IT模式的核心特征。2.在TCP拥塞控制中，属于慢启动阶段特点的有（）。A.拥塞窗口（cwnd）从一个较小的初始值（如1MSS）开始B.每收到一个ACK，cwnd增加1个MSSC.每经过一个往返时延（RTT），cwnd大约翻倍D.当cwnd达到慢启动阈值（ssthresh）时，进入拥塞避免阶段E.发生超时重传时，ssthresh被设置为当前cwnd的一半，cwnd重置为1答案：ACDE解析：TCP慢启动阶段旨在快速探测可用带宽。A正确，cwnd初始值通常为1-4个MSS。B错误，在慢启动阶段，每收到一个ACK，cwnd增加1个MSS，这实际上导致每经过一个RTT，cwnd翻倍（C正确）。当cwnd增长到等于或超过ssthresh时，进入拥塞避免阶段（D正确）。E描述的是发生超时重传后的行为，此时会执行“乘法减小”，ssthresh设为当前cwnd的一半（不低于2），并将cwnd重置为1（或一个较小的初始值），重新开始慢启动，这也是慢启动算法的一部分。3.关于HTTP/2协议，以下说法正确的有（）。A.采用二进制分帧层，将消息分解为独立的帧，交错发送B.使用头部压缩技术（HPACK）减少开销C.一个TCP连接只能处理一个并发请求D.支持服务器主动向客户端推送资源E.默认使用非加密的明文传输答案：ABD解析：HTTP/2的主要特性包括：二进制分帧（A），实现了多路复用，允许在单个连接上并行交错地传输多个请求/响应消息；头部压缩（B，HPACK算法）；服务器推送（D），允许服务器在客户端明确请求前就主动发送资源。C错误，HTTP/2的一个核心改进就是通过多路复用支持多个并发请求/响应，解决了HTTP/1.x的队头阻塞问题。E错误，虽然HTTP/2标准本身不强制加密，但所有主流浏览器（Chrome,Firefox,Safari等）的实现都要求HTTP/2必须基于TLS（HTTPS）运行，因此实践中HTTP/2是加密的。4.以下关于人工智能在网络安全中应用场景的描述，正确的有（）。A.基于机器学习的用户行为分析（UEBA）可用于检测内部威胁B.深度学习可用于恶意软件的分类和检测C.强化学习可用于自动化渗透测试和漏洞修复D.自然语言处理可用于分析安全报告和日志，提取威胁情报E.人工智能可以完全替代人类专家，实现网络安全的自主防御答案：ABCD解析：A正确，UEBA通过分析用户和实体的行为基线，利用机器学习检测偏离正常模式的异常行为，从而发现潜在的内部威胁或账户劫持。B正确，深度学习模型（如CNN）可以分析可执行文件的二进制代码、API调用序列或图像化后的代码，有效识别恶意软件。C正确，强化学习智能体可以通过与网络环境的交互，学习如何发现漏洞、执行渗透测试步骤甚至尝试修复。D正确，NLP技术可以处理海量的非结构化安全文本数据（如漏洞报告、威胁资讯、日志），自动提取关键实体、关系和事件。E错误，当前阶段人工智能是网络安全领域的强大辅助工具，能够提升检测、响应和预测的自动化水平与效率，但无法完全替代人类专家的高级决策、战略制定和复杂场景判断。5.在物联网（IoT）体系架构中，感知层的关键技术包括（）。A.传感器与执行器技术B.短距离无线通信技术（如ZigBee，蓝牙）C.物联网平台管理技术D.嵌入式系统技术E.蜂窝网络技术（如NB-IoT，eMTC）答案：ABD解析：物联网典型的三层架构为：感知层、网络层、应用层。感知层负责信息的采集和物理世界的控制，其关键技术包括：信息采集的传感器技术、执行命令的执行器技术（A）、处理信息的嵌入式系统与微控制器技术（D）、以及将感知设备连接起来的短距离无线或有线通信技术（如ZigBee、蓝牙、LoRa等）（B）。C选项的物联网平台管理技术通常属于网络层或作为独立的平台层，提供设备管理、数据存储、分析等服务。E选项的蜂窝网络技术（NB-IoT,eMTC,5GmMTC）属于网络层的广域接入技术，负责将感知层数据远距离传输到核心网。三、判断题1.OpenStack中的Neutron组件负责提供网络即服务（NaaS）功能，它只能管理虚拟网络，不能与物理网络设备集成。（）答案：错误解析：Neutron是OpenStack的网络管理组件，它不仅能创建和管理虚拟网络（如二层网络、三层路由）、端口、安全组等，还通过ML2插件机制和各种驱动（如OVS,LinuxBridge,SR-IOV）以及厂商插件（如Cisco,Arista,Mellanox等），实现与物理网络设备（如TOR交换机、硬件路由器、防火墙）的集成和统一管理，支持混合云和更复杂的网络拓扑。2.区块链技术中的“智能合约”是一段部署在区块链上、由事件驱动的、自动执行的计算机程序代码。（）答案：正确解析：智能合约是区块链2.0及以后阶段的核心特征。它本质上是存储在区块链上的一段可执行代码，当预先设定的条件被满足时（如时间到期、收到特定交易等事件触发），合约代码会自动在区块链网络的所有节点上执行，且执行结果被全网确认和记录，具有去中心化、不可篡改、自动执行的特点。3.RESTfulAPI设计中，使用HTTPDELETE方法请求一个资源URI，表示删除该资源，这属于安全且幂等的操作。（）答案：错误解析：根据HTTP/1.1规范，安全（Safe）方法是指不应对服务器资源状态产生改变的操作，如GET、HEAD、OPTIONS。DELETE方法会改变服务器状态（删除资源），因此不是安全方法。幂等（Idempotent）方法是指多次执行相同的操作，其效果与执行一次相同。DELETE方法是幂等的，因为删除一个资源一次和多次的结果都是该资源被删除（第一次删除后资源已不存在，后续删除请求可能返回404，但资源状态未再改变）。因此，DELETE是幂等的，但不是安全的。4.在边缘计算场景中，将计算和存储资源下沉到靠近数据源或用户的网络边缘侧，其主要目标是为了完全取代云计算中心。（）答案：错误解析：边缘计算的核心思想是将计算任务从统一的云数据中心，部分或全部迁移到网络边缘的设备或节点上处理。其主要目标是减少网络延迟、节省带宽、提升响应速度、并在本地处理敏感数据以增强隐私。边缘计算与云计算是协同互补的关系，而非取代。通常采用“云-边-端”协同的架构，云端负责全局管理、大数据分析、模型训练等非实时密集型任务，而边缘侧负责实时性要求高、数据量大的本地处理。5.MPLSVPN中，PE路由器通过MP-BGP协议交换VPN路由信息时，会为每条VPN路由附加一个RD（RouteDistinguisher）和RT（RouteTarget）属性。（）答案：正确解析：在MPLSL3VPN架构中，PE路由器为不同客户维护独立的虚拟路由转发表（VRF）。为了在公共的BGP中区分不同VPN的相同IP前缀，引入了RD（路由标识符），它与IP地址共同构成唯一的VPNv4地址。RT（路由目标）是一个BGP扩展团体属性，用于控制VPN路由的导入和导出策略。PE路由器通过MP-BGP（多协议扩展的BGP）交换带有这些属性的VPNv4路由，从而实现跨PE的VPN路由传播和正确的路由隔离与连通。四、综合应用题1.某企业计划将其内部传统三层网络架构（核心-汇聚-接入）改造为基于SDN的Spine-Leaf架构，以支撑私有云和容器化业务。请回答以下问题：（1）简述传统三层架构在支撑云计算业务时面临的主要挑战。（2）请描述Spine-Leaf架构相比传统三层架构的两个核心优势。（3）在该SDN网络中，若要通过Overlay技术实现多租户隔离，请说明其基本工作原理。答案与解析：（1）传统三层架构在支撑云计算业务时面临的主要挑战包括：a.东西向流量瓶颈：云计算和虚拟化导致服务器间（东西向）流量激增，而传统架构流量主要设计为南北向（客户端到服务器）模式，东西向流量需要经过汇聚层甚至核心层，导致路径非最优、延迟增加，并在汇聚/核心层形成流量瓶颈。b.扩展性受限：网络规模受限于核心/汇聚交换机的端口密度和性能。增加服务器可能需要重新设计汇聚层，扩展不灵活，难以实现“横向扩展”。c.网络僵化：网络配置（如VLAN、ACL）依赖命令行逐设备配置，自动化程度低，难以快速响应虚拟机迁移、业务上线等动态需求，与云平台的联动困难。d.带宽利用率不均：生成树协议（STP）会阻塞冗余链路以避免环路，导致部分链路闲置，无法实现负载均衡和有效利用所有带宽。（2）Spine-Leaf架构的两个核心优势：a.无阻塞、低延迟的全互联：每个Leaf交换机都与所有Spine交换机相连。任意两台服务器（连接在不同Leaf上）之间的通信，最多经过一个Spine交换机（Leaf-Spine-Leaf），跳数固定且最少（通常为3跳），为东西向流量提供了最优的、可预测的低延迟路径。所有链路均被用于转发，无阻塞。b.优异的水平扩展能力：网络扩展可以通过简单地增加Spine或Leaf交换机来实现。增加Leaf以连接更多服务器，增加Spine以提供更多的上行带宽和更大的交换容量。这种扩展是模块化的，不会改变网络的基础架构或增加额外的复杂性。（3）基于Overlay技术实现多租户隔离的基本工作原理：a.Overlay网络构建：在物理的Underlay网络（Spine-LeafIP网络）之上，通过隧道技术（如VXLAN、NVGRE、Geneve）构建虚拟的二层或三层网络，即Overlay网络。每个租户对应一个或多个独立的Overlay网络段（如通过不同的VNI标识）。b.封装与隧道：当属于某个租户的虚拟机（或容器）需要发送数据包时，其所在的宿主机（或Leaf交换机上的VTEP）将原始数据帧（包含租户的MAC和IP）封装在一个新的UDP/IP数据包中。外层IP头使用Underlay网络的地址（VTEP地址），内层则携带租户的虚拟网络标识（如VXLAN的VNI）。c.隔离与转发：Underlay网络设备（Spine和Leaf）仅根据外层IP地址进行路由和转发，对内部的租户数据完全透明。不同租户的数据包即使经过相同的物理链路，也因其VNI不同而在逻辑上完全隔离。接收端的VTEP根据VNI解封装，将原始数据帧交付给目标租户的虚拟机。d.控制平面：SDN控制器负责管理Overlay网络的逻辑拓扑、VNI与租户的映射、VTEP的发现以及虚拟机的位置（MAC/IP）学习，并将相应的流表或转发表下发给各个VTEP。2.现有一个基于Kubernetes的微服务应用，包含前端服务A、后端服务B和数据库C。服务A通过Service名称调用服务B。请结合Kubernetes网络模型，分析并回答：（1）在Kubernetes集群内，Pod间通信的基本原理是什么？（2）当服务A的Pod需要访问服务B时，KubernetesService是如何实现负载均衡和服务发现的？（3）若希望服务A访问一个外部数据库服务D（不在K8s集群内），请列举两种可行的实现方式。答案与解析：（1）Pod间通信基本原理：Kubernetes要求每个Pod都有一个唯一的集群内IP地址（PodIP），并且所有Pod都可以在不经过NAT的情况下直接与其他Pod通信，无论它们是否在同一个Node上。这是通过CNI（容器网络接口）插件实现的。CNI插件负责在Pod创建时为其分配IP，并配置Node上的网络命名空间、虚拟网桥（如cni0）、vethpair以及路由规则，确保跨Node的Pod流量能够通过底层网络（如Overlay或Underlay）正确路由。PodIP是扁平的，Pod间通信直接使用对方PodIP。（2）Service的负载均衡与服务发现机制：a.服务发现：当创建ServiceB时，Kubernetes会为其分配一个虚拟的ClusterIP（集群内固定IP）和一个DNS名称（如`space.svc.cluster.local`）。服务A的Pod可以通过这个稳定的DNS名称或ClusterIP来访问服务B，而无需关心后端Pod的具体IP和数量变化