2025年中级网络工程师考试题库及答案(真题版)

2025年中级网络工程师考试题库及答案(真题版)一、单项选择题（每题1分，共50分）1.在OSI参考模型中，负责在两个相邻节点间的线路上无差错地传送以帧为单位的数据的是（）。A.物理层B.数据链路层C.网络层D.传输层答案：B解析：数据链路层的主要功能是在物理层提供的比特流服务基础上，在相邻节点之间建立数据链路连接，传送以帧为单位的数据，并采用差错控制与流量控制方法，使有差错的物理线路变成无差错的数据链路。2.某网络地址为/24，需要划分成4个子网，每个子网主机数不少于50台，则子网掩码应设置为（）。A.B.28C.92D.24答案：C解析：要求4个子网，需要借用2位主机位（=4）。原为/24，借用2位后子网掩码为/26，即92。每个子网可用主机地址数为−3.以下关于RIP协议的说法，错误的是（）。A.采用距离向量算法B.最大跳数为15C.使用UDP520端口进行路由信息交换D.支持VLSM和CIDR答案：D解析：RIPv1不支持VLSM（可变长子网掩码）和CIDR（无类别域间路由），它发送的路由更新信息中不包含子网掩码信息。RIPv2通过增加子网掩码字段和支持组播更新，才支持VLSM和CIDR。4.在TCP/IP协议栈中，用于将IP地址解析为MAC地址的协议是（）。A.DNSB.ARPC.RARPD.DHCP答案：B解析：ARP（AddressResolutionProtocol，地址解析协议）用于根据已知的IP地址获取对应的MAC地址。DNS用于域名解析，RARP用于根据MAC地址获取IP地址，DHCP用于动态分配IP地址。5.IEEE802.11ac标准的工作频段是（）。A.2.4GHzB.5GHzC.2.4GHz和5GHzD.60GHz答案：B解析：IEEE802.11ac是工作在5GHz频段的高速无线局域网标准，它通过更宽的频道带宽（最高160MHz）、高阶调制（最高256-QAM）和多用户MIMO等技术，实现了千兆级别的无线传输速率。6.以下不属于网络规划与设计原则的是（）。A.开放性和标准化B.先进性与实用性结合C.安全性与可靠性D.成本最低化答案：D解析：网络规划与设计应遵循开放性和标准化、先进性与实用性相结合、安全性与可靠性、可扩展性与可管理性等原则。“成本最低化”并非核心原则，通常需要在性能、功能、成本之间寻求平衡。7.配置交换机端口安全时，以下哪种违规模式（violationmode）会在违规时丢弃数据包并发送SNMPTrap通知？（）A.protectB.restrictC.shutdownD.warning答案：B解析：交换机端口安全违规模式中，restrict模式在发生违规（如MAC地址超出限制）时，违规数据包被丢弃，并发送SNMPTrap和系统日志消息，但端口状态保持up。8.在IPv6中，地址类型“2001:0db8:85a3::8a2e:0370:7334”属于（）。A.全球单播地址B.链路本地地址C.唯一本地地址D.多播地址答案：A解析：IPv6全球单播地址（GlobalUnicastAddress）的典型范围是2000::/3，即二进制前三位为001。题目中的地址以“2001”开头，落在此范围内，属于全球单播地址。9.关于MPLS（多协议标签交换）的描述，正确的是（）。A.工作在OSI的数据链路层B.标签位于网络层和数据链路层头部之间C.核心路由器基于IP地址进行转发D.不支持流量工程答案：B解析：MPLS在OSI模型的第2层和第3层之间工作，在数据包前添加一个标签（位于第2层帧头和第3层IP包头之间）。转发是基于标签而非IP地址。MPLS的一个主要优势就是支持流量工程（TE）。10.使用命令`showiproute`查看路由表时，代码“C”表示（）。A.直连路由B.静态路由C.RIP路由D.OSPF路由答案：A解析：在思科IOS路由表显示中，“C”代表Connected，即直连路由，表示该网络与路由器接口直接相连。11.生成树协议（STP）中，决定根桥（RootBridge）的依据是（）。A.最小MAC地址B.最大MAC地址C.最小桥IDD.最大桥ID答案：C解析：STP中，桥ID（BridgeID）由桥优先级和MAC地址组成。通过比较桥ID来选择根桥，桥ID最小的交换机成为根桥。桥优先级默认值为32768，可通过修改优先级来干预根桥选举。12.以下关于ACL（访问控制列表）的描述，错误的是（）。A.标准ACL只能根据源IP地址进行过滤B.扩展ACL可以根据源/目的IP地址、协议、端口号等进行过滤C.命名的ACL可以删除单条规则D.所有ACL的末尾都隐含一条“permitany”的规则答案：D解析：ACL末尾隐含的是“denyany”或“denyipanyany”规则，即拒绝所有未明确允许的数据包。这是ACL默认的、不可见的最后一条规则。13.在Linux系统中，用于查看网络接口配置信息的命令是（）。A.ipconfigB.ifconfigC.netstatD.route答案：B解析：`ifconfig`是Linux/Unix系统中用于配置和显示网络接口参数的传统命令。`ipconfig`是Windows系统中的命令。`netstat`用于显示网络连接、路由表等，`route`用于显示和操作IP路由表。14.SNMP协议中，管理站（NMS）主动向代理（Agent）发出请求，代理响应请求的操作是（）。A.GetRequestB.GetNextRequestC.SetRequestD.Trap答案：A解析：GetRequest是SNMP管理站向代理发出的请求，用于获取一个或多个MIB对象的值。代理收到后，用GetResponse报文回应。Trap是代理主动向管理站发送的异步通知，报告发生的事件。15.以下哪种攻击属于DoS攻击？（）A.ARP欺骗B.SQL注入C.SYNFloodD.跨站脚本答案：C解析：SYNFlood是一种典型的拒绝服务（DoS）攻击。攻击者发送大量伪造源地址的TCPSYN报文到目标主机，耗尽目标主机的连接资源，导致其无法为正常用户提供服务。ARP欺骗、SQL注入、XSS属于其他类型攻击。16.在WindowsServer中，用于将主机名解析为IP地址的服务是（）。A.WINSB.DNSC.DHCPD.ActiveDirectory答案：B解析：DNS（DomainNameSystem）是互联网上用于将域名（主机名）解析为IP地址的核心服务。WINS主要用于NetBIOS名称解析，DHCP用于动态分配IP地址，ActiveDirectory是目录服务。17.千兆以太网1000BASE-T标准使用（）作为传输介质。A.单模光纤B.多模光纤C.同轴电缆D.5类及以上双绞线答案：D解析：IEEE802.3ab标准定义的1000BASE-T，使用4对5类或更高类别的非屏蔽双绞线（UTP）实现1Gbps的传输速率，最大距离为100米。18.关于VLAN间路由的说法，正确的是（）。A.必须使用三层交换机B.可以通过单臂路由实现C.同一个VLAN内的主机必须在同一个物理交换机上D.不同VLAN间通信不需要路由答案：B解析：VLAN间通信需要通过路由功能实现。单臂路由（Router-on-a-stick）是一种在路由器的一个物理接口上通过配置多个子接口（每个子接口对应一个VLAN）来实现VLAN间路由的经典方法。三层交换机是更高效的实现方式，但并非唯一方式。19.在BGP协议中，用于在属于不同自治系统（AS）的路由器之间建立对等体关系的报文是（）。A.OpenB.UpdateC.KeepaliveD.Notification答案：A解析：BGP通过交换Open报文来建立对等体（邻居）关系。Update报文用于交换路由信息，Keepalive报文用于保持连接，Notification报文用于报告错误并关闭连接。20.以下加密算法中，属于非对称加密算法的是（）。A.AESB.DESC.RSAD.RC4答案：C解析：RSA是一种广泛使用的非对称加密（公钥加密）算法。AES、DES、RC4都属于对称加密算法，加密和解密使用相同的密钥。二、多项选择题（每题2分，共20分，全部选对得2分，漏选得部分分，错选不得分）1.以下哪些协议属于TCP/IP模型的应用层协议？（）A.HTTPB.TCPC.FTPD.IPE.SNMP答案：A,C,E解析：TCP/IP模型的应用层对应OSI模型的应用层、表示层和会话层。HTTP、FTP、SNMP都是典型的应用层协议。TCP是传输层协议，IP是网络层协议。2.关于链路聚合（LinkAggregation）技术，以下描述正确的有（）。A.可以增加链路带宽B.可以实现链路负载均衡C.可以提高链路的可靠性D.聚合组内所有物理链路必须速率相同、双工模式相同E.静态聚合比动态聚合（如LACP）配置更简单，但灵活性差答案：A,B,C,D,E解析：链路聚合（如IEEE802.3ad）通过将多条物理链路捆绑成一条逻辑链路，实现带宽叠加（A）、负载均衡（B）和冗余备份（C）。聚合组成员链路通常要求速率、双工模式等属性一致（D）。静态聚合手动配置，简单但缺乏故障检测和动态调整能力；动态聚合（如使用LACP协议）可以自动协商和维护聚合状态，更灵活（E）。3.以下关于NAT（网络地址转换）的描述，正确的有（）。A.静态NAT实现公网IP和私网IP的一对一固定映射B.动态NAT使用地址池，实现公网IP和私网IP的动态映射C.PAT（NAPT）允许多个私网IP地址共享一个公网IP地址，通过端口号区分D.NAT可以完全替代防火墙的功能E.NAT会隐藏内部网络结构，提供一定程度的安全答案：A,B,C,E解析：静态NAT是固定映射（A），动态NAT从地址池动态分配公网IP（B），PAT（端口地址转换/NAPT）是最常用的方式，通过转换端口号实现多对一映射（C）。NAT虽然能隐藏内网IP，提供基础安全，但其主要功能是地址转换，不具备防火墙的深度包检测、访问控制策略等完整安全功能，不能完全替代防火墙（D错误）。NAT确实能隐藏内部IP地址和拓扑（E）。4.OSPF协议中，以下哪些网络类型需要选举DR和BDR？（）A.点到点（Point-to-Point）B.广播多路访问（BroadcastMulti-Access）C.非广播多路访问（NBMA）D.点到多点（Point-to-Multipoint）E.虚链路（VirtualLink）答案：B,C解析：在OSPF中，为了减少邻接关系数量和链路状态通告（LSA）的泛洪，在广播多路访问（如以太网）和非广播多路访问（如帧中继）网络类型中需要选举指定路由器（DR）和备份指定路由器（BDR）。点到点、点到多点网络类型不需要选举DR/BDR。5.可能导致网络环路的原因有（）。A.错误的物理布线B.交换机未启用生成树协议C.静态路由配置错误形成路由环路D.动态路由协议收敛过程中产生临时环路E.网络中存在单点故障答案：A,B,C,D解析：物理布线错误形成物理环路（A），且二层交换机未运行STP等破环协议，会导致广播风暴等二层环路（B）。静态路由配置错误（如默认路由指向错误）会形成三层路由环路（C）。某些距离向量路由协议（如RIP）在收敛过程中可能产生临时路由环路（D）。单点故障本身不会导致环路，但可能引发网络中断或路径切换（E错误）。三、综合题（共30分）1.某公司网络拓扑如下图所示（此处为文字描述）：核心层为一台三层交换机SW-Core，接入层为两台二层交换机SW-A和SW-B。所有交换机之间采用Trunk链路互联。VLAN规划如下：VLAN10（市场部，网段/24，网关.1），VLAN20（技术部，网段/24，网关.1），VLAN30（服务器，网段/24，网关.1）。市场部主机连接在SW-A上，技术部主机连接在SW-B上，服务器连接在SW-Core上。要求实现所有VLAN间互通，并保证网络可靠性。问题：(1)在三层交换机SW-Core上，需要如何配置以实现VLAN间路由？（5分）(2)若在SW-A的Gi0/1端口（连接市场部主机）上启用端口安全，限制该端口只允许学习1个MAC地址，违规时关闭端口，请写出相关配置命令。（5分）(3)为了增加SW-Core与SW-A之间链路的带宽和可靠性，计划将两条千兆以太网链路捆绑为逻辑链路。请写出在SW-Core侧配置静态链路聚合的关键命令（假设聚合接口为Port-channel1，成员接口为Gi1/0/1和Gi1/0/2）。（5分）答案与解析：(1)在SW-Core上的配置：```SW-Core#configureterminalSW-Core(config)#vlan10SW-Core(config-vlan)#nameMarketSW-Core(config-vlan)#exitSW-Core(config)#vlan20SW-Core(config-vlan)#nameTechSW-Core(config-vlan)#exitSW-Core(config)#vlan30SW-Core(config-vlan)#nameServerSW-Core(config-vlan)#exit//创建VLANSW-Core(config)#interfacevlan10SW-Core(config-if)#ipaddressSW-Core(config-if)#noshutdownSW-Core(config-if)#exitSW-Core(config)#interfacevlan20SW-Core(config-if)#ipaddressSW-Core(config-if)#noshutdownSW-Core(config-if)#exitSW-Core(config)#interfacevlan30SW-Core(config-if)#ipaddressSW-Core(config-if)#noshutdownSW-Core(config-if)#exit//配置SVI接口作为各VLAN的网关SW-Core(config)#iprouting//启用三层交换机的IP路由功能```解析：在三层交换机上实现VLAN间路由，需要创建VLAN，并为每个VLAN配置一个SVI（SwitchVirtualInterface）接口，并分配IP地址作为该VLAN内主机的默认网关。最后必须使用`iprouting`命令全局启用IP路由。(2)在SW-A上的配置：```SW-A#configureterminalSW-A(config)#interfacegigabitEthernet0/1SW-A(config-if)#switchportmodeaccessSW-A(config-if)#switchportaccessvlan10//将端口设置为Access模式并划入VLAN10SW-A(config-if)#switchportport-security//启用端口安全SW-A(config-if)#switchportport-securitymaximum1//设置最大安全MAC地址数为1SW-A(config-if)#switchportport-securityviolationshutdown//设置违规模式为shutdown（关闭端口）SW-A(config-if)#switchportport-securitymac-addresssticky//（可选）将第一个学习到的MAC地址转换为粘性安全MAC地址```解析：端口安全配置需要在接口模式下进行。`switchportport-security`启用功能，`maximum`设置数量，`violation`设置违规处理方式。`shutdown`模式会在违规时err-disable端口。`sticky`选项可以动态学习并保存第一个MAC地址。(3)在SW-Core上的配置：```SW-Core#configureterminalSW-Core(config)#interfaceport-channel1SW-Core(config-if)#switchportmodetrunk//配置聚合逻辑端口为Trunk模式SW-Core(config-if)#exitSW-Core(config)#interfacerangegigabitEthernet1/0/1-2SW-Core(config-if-range)#channel-group1modeon//将物理接口加入channel-group1，并设置为on模式（静态聚合）SW-Core(config-if-range)#exit```解析：配置静态链路聚合（以太通道）时，先创建逻辑的聚合接口（Port-channel），并配置其属性（如Trunk）。然后进入物理接口，使用`channel-group<组号>modeon`命令将其绑定到逻辑组。`modeon`表示强制启用聚合，不进行LACP协商。2.某企业申请到一段公网IP地址/28，用于内部网络访问互联网。企业内部网络使用私有地址/16。出口路由器连接互联网的接口为Serial0/0/0，IP地址为/28；连接内部网络的接口为GigabitEthernet0/0，IP地址为/24。请完成以下配置要求：(1)配置PAT，使内部所有主机（/16）在访问互联网时，共用出口的Serial0/0/0接口IP地址（）。（8分）(2)配置一条默认路由，指向互联网的下一跳地址（假设为）。（2分）(3)假设内部有一台Web服务器（00），需要对外提供HTTP（TCP80）服务。请配置静态NAT，将公网地址映射到该服务器。（5分）答案与解析：(1)PAT配置：```Router#configureterminalRouter(config)#access-list1permit55//定义标准ACL1，匹配内部私有网络地址Router(config)#ipnatinsidesourcelist1interfaceSerial0/0/0overload//配置NAT，将ACL1匹配的内部地址，转换为Serial0/0/0接口的IP地址，overload表示启用PAT（端口复用）Router(config)#interfaceGigabitEthernet0/0Ro