2026年计算机技术与软件专业技术资格(软考)网络工程师下午题解析与答案

2026年计算机技术与软件专业技术资格(软考)网络工程师下午题解析与答案试题一：企业园区网交换机配置与优化【背景说明】某大型企业的园区网核心层采用两台高性能交换机SW-Core-1和SW-Core-2进行双核心冗余部署，接入层交换机SW-Access-1通过双上行链路分别连接至两台核心交换机。网络中运行VTP（VLANTrunkingProtocol）或类似的私有协议实现VLAN同步，但为了提高安全性与可控性，网络管理员决定关闭VTP，改为手动配置VLAN。网络中存在多个业务部门，分别划分至不同的VLAN。为了防止二层环路并实现流量的负载分担，核心交换机之间运行MSTP（MultipleSpanningTreeProtocol）。接入交换机SW-Access-1连接了财务部PC（VLAN10）和市场部PC（VLAN20）。【网络拓扑描述】SW-Core-1（MAC：0011-1111-1111）为VLAN10的根网桥，VLAN20的备份根网桥。SW-Core-2（MAC：0022-2222-2222）为VLAN20的根网桥，VLAN10的备份根网桥。所有交换机之间的链路均为Trunk链路，允许VLAN10,20,100（管理VLAN）通过。【SW-Core-1部分配置代码】```bashsystem-viewsysnameSW-Core-1vlanbatch1020100stpmodemststpregion-configurationregion-nameRG1revision-level1instance1vlan10instance2vlan20activeregion-configurationinterfaceGigabitEthernet0/0/1portlink-typetrunkporttrunkallow-passvlan1020100stpinstance1port-priority4096interfaceGigabitEthernet0/0/2portlink-typetrunkporttrunkallow-passvlan1020100stpinstance2port-priority4096stpinstance1rootprimarystpinstance2rootsecondary```【SW-Access-1部分配置代码】```bashsystem-viewsysnameSW-Access-1vlanbatch1020100stpmodemststpregion-configurationregion-nameRG1revision-level1instance1vlan10instance2vlan20activeregion-configurationinterfaceEthernet0/0/1portlink-typeaccessportdefaultvlan10stpedged-portenableinterfaceEthernet0/0/2portlink-typeaccessportdefaultvlan20stpedged-portenableinterfaceGigabitEthernet0/0/24portlink-typetrunkporttrunkallow-passvlan1020100```【问题1】（4分）在MSTP配置中，为了保证整个网络中MSTI（MultipleSpanningTreeInstance）的一致性，必须配置相同的参数。请结合SW-Core-1和SW-Access-1的配置，指出这些必须相同的参数有哪些？（至少列出3个）【问题2】（6分）根据SW-Core-1的配置及设计要求，请解释以下配置命令的含义：1.`stpinstance1rootprimary`2.`stpinstance1port-priority4096`3.`stpedged-portenable`【问题3】（5分）如果SW-Core-1和SW-Core-2之间的链路发生故障，对于VLAN10的流量，SW-Access-1的上行链路状态会发生什么变化？请结合MSTP的选举机制详细描述。【问题4】（5分）网络管理员在SW-Access-1上连接了一台文件服务器，该服务器需要同时被VLAN10和VLAN20访问。若该服务器连接在Ethernet0/0/3接口，应如何配置该接口？请写出相关配置命令。【问题1答案】必须相同的参数包括：1.region-name（区域名称，此处为RG1）2.revision-level（修订级别，此处为1）3.VLAN与实例的映射关系（instance1vlan10;instance2vlan20）【问题1解析】MSTP（多生成树协议）通过将多个VLAN映射到一个实例（MSTI）来减少生成树实例的数量，节省设备资源。为了确保交换机之间对于同一个MSTI的拓扑计算达成一致，它们必须属于同一个MST区域。判断是否属于同一区域的依据就是上述三个参数完全一致。如果参数不一致，交换机会认为彼此属于不同的MST区域，此时这些交换机之间将运行CST（公共生成树），无法实现基于VLAN的负载均衡。【问题2答案】1.`stpinstance1rootprimary`：配置当前交换机在MSTI1中的优先级数值为0，使其成为该实例的根网桥。2.`stpinstance1port-priority4096`：将接口在MSTI1中的端口优先级设置为4096。默认值为128，步长为16，取值范围0-240。该配置用于影响根端口或指定端口的选举，数值越小优先级越高。3.`stpedged-portenable`：将当前端口配置为边缘端口。边缘端口是指不连接任何其他交换机设备的端口（通常直接连接终端）。边缘端口不接收BPDU，且端口状态从Blocking直接跳转到Forwarding，不经历监听和学习状态，从而实现端口快速转发。【问题2解析】在生成树协议中，`rootprimary`是厂商提供的便捷命令，自动将优先级设置为最优值（通常是0或24576，视厂商实现而定），确保该设备成为根桥。端口优先级是在链路带宽相同的情况下，进一步决定哪条链路被阻塞的关键参数。配置4096（即优先级数值256，因为4096/边缘端口配置对于连接PC等终端非常重要，可以防止终端接入时等待30秒-50秒的生成树收敛时间，提升用户体验。同时，开启BPDU保护功能通常配合边缘端口使用，以防止非法交换机接入导致环路。【问题3答案】SW-Core-1和SW-Core-2之间的链路故障前，对于VLAN10（属于Instance1）：SW-Core-1是Instance1的根桥。SW-Access-1会有两个上行端口分别通向Core-1和Core-2。根据根路径成本，通往Core-1的端口（假设为G0/0/24）是根端口，处于转发状态；通往Core-2的端口（假设为G0/0/25）由于Alternate端口，处于阻塞状态。当SW-Core-1和SW-Core-2之间的链路发生故障后，对于VLAN10的流量：SW-Access-1通往Core-2的路径虽然仍然存在，但由于Core-2不是Instance1的根桥，且Core-2到达根桥Core-1的路径发生了变化（链路断开），Core-2会重新计算生成树。实际上，对于SW-Access-1而言，由于它直接连接着根桥SW-Core-1（假设上行链路G0/0/24正常），其根端口依然指向SW-Core-1，状态保持不变。但是，如果题目假设SW-Access-1到SW-Core-1的物理链路也发生故障，或者从整体拓扑看，Core-2无法通过互联链路到达Core-1，那么Core-2可能会试图通过SW-Access-1到达Core-1。在这种情况下，SW-Access-1上通往Core-2的端口可能会从阻塞状态变为转发状态，成为临时的根路径，导致流量路径改变。修正分析：在双核心直连链路断开的情况下，若SW-Access-1到两台核心的链路均正常，SW-Access-1的VLAN10流量路径不受影响，依然首选Core-1。只有在SW-Access-1到Core-1链路也断开时，才会切换到Core-2。题目若指“核心间链路故障”，通常考察的是核心层收敛，对接入层影响较小，除非导致次优路径。但若问“状态变化”，最准确的是：SW-Access-1上连接SW-Core-2的端口对于VLAN10依然处于阻塞（或Discarding）状态，因为SW-Core-1（根桥）依然直接可达，优先级未变。【问题3解析】本题考察MSTP的拓扑收敛机制。根桥选举是基于整个交换机的，而端口角色（根端口、指定端口、Alternate/备份端口）是基于路径成本的。在SW-Core-1依然是根桥的情况下，SW-Access-1到达根桥的最短路径依然是直连SW-Core-1。因此，SW-Access-1的端口状态通常不会因为核心之间的互联链路故障而改变，除非这导致了到达根桥的唯一路径改变。如果SW-Access-1到Core-1的链路也断了，那么连接Core-2的端口会从Blocking转变为Forwarding（成为根端口），流量将经由Core-2转发（尽管可能存在次优路径）。【问题4答案】配置接口为Hybrid或Trunk模式，并允许VLAN10和20的通过。华为设备通常推荐使用Hybrid或Trunk。```bashinterfaceEthernet0/0/3portlink-typetrunkporttrunkallow-passvlan1020```或者：```bashinterfaceEthernet0/0/3portlink-typehybridporthybridtaggedvlan1020```【问题4解析】服务器需要跨VLAN通信，通常服务器网卡本身可以处理VLAN标签（Tagged），或者服务器属于多个VLAN（这在物理接口上不太常见，通常需要虚拟化）。如果服务器只是单网卡需要被两个VLAN访问，通常做法是将服务器放在一个VLAN中，通过三层路由互通，或者服务器连接在交换机的Trunk口上，服务器内部配置子接口。题目假设服务器支持Trunk连接，因此配置为Trunk模式并允许相应VLAN通过。Hybrid模式是华为/H3C特有的模式，可以实现更灵活的Tag/Untag剥离，配置为`porthybridtaggedvlan1020`表示交换机发送给该接口的数据包保留VLAN标签。试题二：边界网络路由协议与NAT配置【背景说明】某企业网络通过一台路由器Router-A连接至ISP。Router-A通过GE0/0/1接口连接ISP，公网IP地址为/30，ISP网关为。企业内部网络规划使用私有地址/16。Router-A内部接口GE0/0/0地址为/24。企业内部运行OSPF协议。为了实现内部员工访问互联网，配置了NAT（网络地址转换）。此外，企业分支结构Router-B通过VPN专线连接至Router-A，运行动态路由协议BGP。【Router-A配置片段】```bashaclnumber2000rule5permitsourcenataddress-group1interfaceGigabitEthernet0/0/1ipaddress30natoutbound2000address-group1natserverglobalinside00iproute-staticospf1area0network55```【问题1】（5分）在上述配置中，`acl2000`和`natoutbound`命令的作用是什么？`natserver`命令的作用是什么？【问题2】（6分）企业申请到了一段公网地址：/29。网络管理员希望将这段地址用于NAT地址池，而不是仅使用接口IP。请修正NAT相关的配置命令。【问题3】（4分）OSPF协议中，Router-A连接外网的默认路由通常不会自动注入到OSPF区域内。如果需要让内部其他路由器学到访问互联网的默认路由，应在Router-A的OSPF配置中添加什么命令？【问题4】（5分）Router-A与Router-B建立EBGP连接，Router-A的AS号为100，Router-B的AS号为200。Router-A的Loopback0接口地址为/32，作为Router-ID。请写出Router-A上配置BGP邻居的基本命令（假设物理接口直连）。【问题1答案】1.`acl2000`：定义访问控制列表，匹配源地址为/16网段的流量。`natoutbound2000address-group1`：EasyIP（或NAPT）配置，将匹配ACL的内部私有地址数据包的源IP转换为地址组1中的公网IP地址（这里只有一个接口IP），并转换端口号，实现多个内部用户共享一个公网IP上网。2.`natserverglobalinside00`：配置静态NAT（端口映射/服务器映射）。将公网IP的所有流量映射到内部服务器00，允许互联网主动访问该内部服务器。【问题1解析】NAT（网络地址转换）主要解决IPv4地址枯竭问题。`natoutbound`属于源NAT（SNAT），用于内网访问外网时修改源IP。ACL用于定义哪些流量可以做NAT。`natserver`属于目的NAT（DNAT），通常用于发布内网服务器。当外网数据包访问公网IP时，路由器将目的IP替换为内网服务器IP。【问题2答案】修改后的配置如下：```bashaclnumber2000rule5permitsourcenataddress-group1interfaceGigabitEthernet0/0/1ipaddress30natoutbound2000address-group1```注意：/29包含(网络地址)到(广播地址)。可用IP范围通常为.1到.6。【问题2解析】/29子网掩码为48。块大小为8。可用主机地址计算公式：−2地址范围：至。配置地址池时需指定起始和结束IP。原配置使用了接口IP，现改为使用地址池。【问题3答案】在Router-A的OSPF进程中使用`default-route-advertise`命令。配置如下：```bashospf1default-route-advertisealways```（注：`always`参数为可选，加上后即使本地路由表没有默认路由也会发布，通常建议加上以保证稳定性）。【问题3解析】OSPF是一种链路状态协议，默认不会自动引入外部路由。为了让内部OSPF网络知道如何前往边界路由器以外的世界（互联网），需要手动将默认路由注入到OSPFLSA中。`default-route-advertise`命令会生成一条Type-5LSA（在NSSA区域为Type-7），向区域内泛洪一条默认路由（/0）。【问题4答案】```bashbgp100router-idpeeras-number200address-familyipv4unicastpeerenable```（假设Router-B连接Router-A的接口IP为，或者根据题目意指Router-A连接Router-B的接口，此处假设直连链路IP已知，若未给出具体IP，用接口IP代替。假设Router-B的接口IP为X.X.X.X，则peerX.X.X.Xas-number200）。修正：题目中Router-AGE0/0/1是连接ISP的，通常Router-B是分支通过专线连接，可能占用GE0/0/2。假设Router-B连接Router-A的接口IP为/30，Router-A为。由于题目未给出Router-B互联IP，此处假设通过Loopback建立IBGP或直连EBGP。若为直连，配置如下：```bashbgp100router-idpeer[Router-B-Interface-IP]as-number200address-familyipv4unicastpeer[Router-B-Interface-IP]enable```注：若题目暗示Router-A和Router-B直连，且未给出IP，通常在填空题中会给出IP或要求填写命令结构。此处写出标准结构。【问题4解析】BGP（边界网关协议）用于自治系统（AS）之间的路由交换。配置BGP首先需启动进程并指定本地AS号。`router-id`用于唯一标识BGP设备。`peer`命令用于指定邻居IP及其所属AS。BGP的报文交互是在TCP179端口上进行的。在IPv4单播地址族视图下激活邻居是必须的步骤（部分老版本不需要进入地址族视图，但现代标准配置推荐使用）。试题三：网络安全与ACL策略部署【背景说明】某公司网络架构中，DMZ区放置了一台Web服务器（IP：00）和一台DNS服务器（IP：01）。内部办公网段为/16。公司防火墙（Firewall）部署在内网出口与DMZ区之间。为了保障安全，网络管理员需要在防火墙上部署访问控制策略，要求：1.允许所有员工访问互联网和DMZ区的Web服务（HTTP/HTTPS）。2.允许所有员工使用DMZ区的DNS服务。3.禁止DMZ区的服务器主动访问内部办公网（防止被攻破后横向渗透）。4.仅允许IP地址为的管理员主机从内网通过SSH（TCP22）管理DMZ区的Web服务器。5.拒绝其他所有未经许可的流量。防火墙接口说明：G1/0/0：连接内网，Trust区域。G1/0/1：连接DMZ，DMZ区域。G1/0/2：连接互联网，Untrust区域。【问题1】（6分）根据需求，请写出配置防火墙安全区域（SecurityZone）的命令，将接口加入对应区域。【问题2】（8分）请在防火墙上配置ACL策略以满足上述需求1-4。假设使用华为USG系列防火墙命令，请写出策略配置命令。（提示：策略按顺序匹配）【问题3】（6分）在配置ACL时，规则的顺序非常重要。如果管理员将“禁止DMZ访问内网”的规则放在“允许特定管理访问”的规则之前，会导致什么问题？请说明原因。【问题1答案】```bashfirewallzonetrustaddinterfaceGigabitEthernet1/0/0firewallzonedmzaddinterfaceGigabitEthernet1/0/1firewallzoneuntrustaddinterfaceGigabitEthernet1/0/2```【问题1解析】防火墙通过安全区域的概念来管理接口。Trust区域通常用于内网，安全级别最高；DMZ区域用于对外服务器，安全级别中等；Untrust区域用于互联网，安全级别最低。将接口加入区域是防火墙部署的第一步。【问题2答案】配置策略如下（假设默认策略为拒绝，需按精确到宽泛的顺序排列）：1.允许特定管理员SSH访问Web服务器：```bashpolicyinterzonetrustdmzpolicy0actionpermitpolicysource32policydestination0032serviceservice-protocoltcpdestination-port22```2.允许内网访问Web服务器：```bashpolicyinterzonetrustdmzpolicy5actionpermitpolicysource16policydestination0032serviceservice-protocolhttpserviceservice-protocolhttps```3.允许内网访问DNS服务器：```bashpolicyinterzonetrustdmzpolicy10actionpermitpolicysource16policydestination0132serviceservice-protocoldns```4.禁止DMZ访问内网：```bashpolicyinterzonedmztrustpolicy15actiondenypolicysource24policydestination16```5.允许内网访问互联网（通常Trust到Untrust默认可能有配置，但此处显式配置）：```bashpolicyinterzonetrustuntrustpolicy20actionpermitpolicysource16```【问题2解析】防火墙策略是自上而下匹配的，一旦命中则不再继续。因此，更具体的规则（如特定主机的SSH）必须放在通用的规则（如禁止DMZ访问内网或允许所有访问）之前。需求1和2涉及Trust到DMZ的流量。需求3涉及DMZ到Trust的流量。需求4涉及Trust到DMZ的特定流量。注意：华为防火墙中，`policyinterzone`用于配置区域间策略。Service需要调用已定义的服务对象或直接使用协议名。【问题3答案】如果“禁止DMZ访问内网”的规则（DMZ->Trust）放在“允许特定管理访问”的规则（Trust->DMZ）之前，且它们是针对不同方向的流量，实际上在区域间策略配置中，它们属于不同的策略视图（`interzonedmztrust`和`interzonetrustdmz`），互不影响。但是，如果题目意图是在同一个方向（例如：配置Trust到DMZ的策略，且规则涉及回程流量，或者是在一个双向的ACL列表中），那么：如果这是一个通用的包过滤防火墙（如路由器ACL），且ACL应用于双向：“禁止DMZ访问内网”通常匹配`Source:DMZ,Dest:Trust`。“允许特定管理访问”匹配`Source:Trust(Admin),Dest:DMZ`。如果“禁止DMZ访问内网”被错误地配置为覆盖了所有相关流量，或者管理员混淆了方向，可能会产生问题。更正分析：在标准状态检测防火墙中，outbound流量（请求）会自动创建回话，允许inbound回程流量。因此，通常只需要配置单向策略。如果题目是指“禁止所有DMZ到Trust”和“允许Trust到DMZ”这两条规则的顺序，它们在不同方向，顺序无所谓。但如果题目是指在“Trust到DMZ”方向上，有一条“拒绝所有”的规则放在了“允许Web”之前，那么Web访问会被阻断。针对题目语境：题目问的是“禁止DMZ访问内网”放在“允许特定管理访问”之前。这可能是考察方向性。由于方向不同，一个是DMZ->Trust，一个是Trust->DMZ，所以顺序不会互相干扰。但，如果题目暗示配置的是全局性规则或物理接口双向ACL（In/Out），且规则写法不严谨（如anyany），则可能导致问题。最可能的考点：管理员配置“禁止DMZ访问内网”时，可能误操作为“禁止DMZ与内网互访”（双向阻断），或者防火墙默认策略是拒绝。标准答案逻辑：在状态防火墙中，这两条规则作用于不同的区域对（Interzone），因此它们在配置列表中的物理先后顺序（如ID5和ID10）不会互相影响。防火墙根据入域和出域查找对应的策略集。试题四：IPv6网络规划与子网划分【背景说明】随着IPv4地址的耗尽，某高校计划部署IPv6网络。ISP向该高校分配了一个IPv6地址前缀：2001:DB8:ACAD::/48。学校网络拓扑分为核心层、汇聚层和接入层。要求根据不同的部门和楼宇进行子网划分。【网络需求】1.计算机学院（CS）需要大约1000个主机。2.电子工程学院（EE）需要大约500个主机。3.行政楼需要大约200个主机。4.所有子网必须支持无状态自动配置（SLAAC）。5.网络中需要配置一台DNS服务器，地址为2001:DB8:ACAD:FFFD::1/64。【问题1】（5分）IPv6地址长度为128位。ISP分配的前缀2001:DB8:ACAD::/48中，前缀长度是多少？该前缀包含了多少个/64子网？请写出计算过程。【问题2】（6分）为了满足各部门需求，请利用子网ID（SubnetID）进行合理的子网规划。请列出计算机学院（CS）、电子工程学院（EE）和行政楼三个子网的IPv6网络地址（要求使用/64前缀）。【问题3】（4分）在IPv6无状态自动配置（SLAAC）中，主机生成IPv6地址的接口ID（InterfaceID）通常有哪两种生成方式？【问题4】（5分）某计算机学院的主机IPv6地址自动配置为：2001:DB8:ACAD:1::5A4:8EFF:FE2F:1C2A/64。请分析该地址的组成，指出前缀部分、子网ID部分和接口ID部分。并判断该接口ID最可能是通过哪种方式生成的？【问题1答案】前缀长度是48位。包含的/64子网数量计算：剩余可分配位数=64−子网数量N=【问题1解析】IPv6地址由前缀和接口ID组成。/48表示前48位为网络部分。若要划分/64子网，意味着借用后16位作为子网ID。根据二进制计算，16位可以表示个不同的组合，即65536个子网。这提供了巨大的地址空间。【问题2答案】规划如下（采用/64子网划分）：1.计算