2026年中级软考《网络工程师》考试历年真题摘选附带答案

2026年中级软考《网络工程师》考试历年真题摘选附带答案一、单项选择题1.在OSI参考模型中，实现端到端传输、差错控制和流量控制的层是（）。A.物理层B.数据链路层C.网络层D.传输层2.某网络地址为192.168.1.0/24，需要划分为4个子网，每个子网至少容纳50台主机，则新的子网掩码应为（）。A.255.255.255.0B.255.255.255.128C.255.255.255.192D.255.255.255.2243.下列协议中，属于链路状态路由协议的是（）。A.RIPB.OSPFC.BGPD.EIGRP4.在TCP/IP协议栈中，负责将IP地址解析为MAC地址的协议是（）。A.ARPB.RARPC.ICMPD.IGMP5.关于VLAN的描述，错误的是（）。A.VLAN可以隔离广播域B.同一个VLAN内的主机可以位于不同的物理网段C.不同VLAN之间的通信必须通过三层设备D.基于端口的VLAN划分方式是最不安全的方式6.生成树协议（STP）中，负责在根桥失效时快速收敛的机制是（）。A.PortFastB.UplinkFastC.BackboneFastD.BPDUGuard7.在IPv6中，地址类型“FE80::/10”用于标识（）。A.全球单播地址B.链路本地地址C.唯一本地地址D.组播地址8.下列加密算法中，属于非对称加密算法的是（）。A.AESB.DESC.RSAD.3DES9.某公司网络使用BGP协议与两个不同的ISP连接，希望优先使用ISP1的链路，在ISP1故障时切换到ISP2。这通常通过配置（）属性来实现。A.LocalPreferenceB.AS_PATHC.MEDD.Community10.在MPLS网络中，用于标识特定转发等价类（FEC）的标签位于数据包的（）。A.二层帧头与三层IP头之间B.三层IP头内部C.二层帧头内部D.传输层头部11.下列无线局域网标准中，工作频段为5GHz的是（）。A.802.11aB.802.11bC.802.11gD.802.11n（2.4GHz）12.用于检测网络连通性并报告错误的协议是（）。A.ARPB.TCPC.ICMPD.UDP13.在Linux系统中，用于查看路由表的命令是（）。A.ifconfigB.netstat-rC.tracerouteD.ping14.下列有关NAT的描述，正确的是（）。A.静态NAT可以实现多对一的地址转换B.动态NAT中，内部地址与外部地址的映射关系是固定的C.PAT（NAPT）使用端口号来区分不同的内部连接D.NAT会提高端到端网络的安全性15.关于QoS中的DiffServ模型，以下说法正确的是（）。A.它为每个数据流单独维护状态信息B.它在IP包头的ToS字段中标记服务类型C.它比IntServ模型更复杂，扩展性更差D.它要求从源到目的路径上的所有路由器都支持RSVP协议16.在光纤通信中，1000BASE-SX标准支持的最大传输距离约为（）。A.100米B.550米C.2公里D.10公里17.下列攻击类型中，属于被动攻击的是（）。A.拒绝服务攻击B.中间人攻击C.网络嗅探D.IP欺骗18.SNMP协议默认使用的端口号是（）。A.TCP20和21B.UDP161和162C.TCP25D.UDP6919.在配置华为交换机端口为Access模式，并划分到VLAN10时，正确的命令序列是（）。A.interfaceGigabitEthernet0/0/1portlink-typeaccessportdefaultvlan10B.interfaceGigabitEthernet0/0/1switchportmodeaccessswitchportaccessvlan10C.interfaceGigabitEthernet0/0/1portlink-typetrunkporttrunkallow-passvlan10D.interfaceGigabitEthernet0/0/1porthybriduntaggedvlan1020.某数据中心采用堆叠技术将多台交换机虚拟成一台逻辑设备。以下哪项不是堆叠技术带来的主要优势？（）A.简化管理B.增加网络端口密度C.实现跨设备的链路聚合D.提高单台交换机的转发性能二、综合应用题1.某企业网络拓扑如下图所示（此处为文字描述）。核心交换机C与汇聚交换机A1、A2通过千兆光纤相连。汇聚交换机A1下接入两个部门（部门1和部门2），分别属于VLAN10和VLAN20。汇聚交换机A2下接入服务器群，服务器网关在核心交换机C上，属于VLAN100。核心交换机C通过路由器R连接到互联网。要求：（1）为实现部门1（VLAN10）与部门2（VLAN20）之间的三层互访，同时保证与服务器区（VLAN100）和互联网的连通性，应在哪台设备上配置什么功能？简述其配置要点。（2）若核心交换机C与汇聚交换机A1之间的链路需要承载VLAN10、20和100的流量，且要求接口配置简单，应将该链路配置为何种类型？写出在华为设备上的关键配置命令。（3）为优化网络，希望在核心交换机C上对服务器区VLAN100的流量进行限速，保证其上行带宽不超过200Mbps，可以使用什么技术？简述其基本原理。2.阅读以下关于OSPF协议的配置和现象描述，回答问题。网络中有三台路由器R1、R2、R3运行OSPF协议，所有接口均宣告在Area0中。R1的配置片段：```interfaceGigabitEthernet0/0/0ipaddress10.1.12.1255.255.255.0ospfcost10```R2的配置片段：```interfaceGigabitEthernet0/0/0ipaddress10.1.12.2255.255.255.0ospfcost100interfaceGigabitEthernet0/0/1ipaddress10.1.23.2255.255.255.0ospfcost10```R3的配置片段：```interfaceGigabitEthernet0/0/1ipaddress10.1.23.3255.255.255.0ospfcost100```现象：在R1上查看到达R3环回口地址（假设为3.3.3.3）的路由，发现下一跳指向R2（10.1.12.2）。问题：（1）计算R1到达R3环回口（3.3.3.3）路径的OSPFCost值。要求写出计算过程。（2）根据配置和现象，分析R1选择经过R2路径的原因。（3）如果希望R1访问R3的流量优先走R1->R2->R3这条路径（即使它不是最短路径），可以在R1上如何调整？写出一种方法及配置命令。3.某公司计划部署IPv6网络。公司内部网络采用私有地址，需要通过边界路由器连接到提供IPv6服务的ISP。ISP分配的公网IPv6地址前缀为2001:DB8:ABCD::/48。要求：（1）公司计划使用该前缀为内部多个部门划分子网，每个子网需要至少支持2000台主机。请问子网前缀长度至少应为多少？请写出计算依据。（2）在边界路由器上，除了配置公网IPv6地址，还需要配置什么地址以实现内部网络的自动地址分配？该地址属于何种类型的IPv6地址？（3）描述一种实现内部私有IPv6网络（使用ULA，例如FD00::/8）访问互联网IPv6资源的常见技术，并说明其工作原理。4.某金融企业网络核心区部署了防火墙、入侵检测系统（IDS）和日志审计系统。拓扑结构为：互联网——防火墙（透明模式）——核心交换机——（IDS旁路部署）——内部服务器区。要求：（1）说明防火墙工作在透明模式（二层模式）与路由模式（三层模式）的主要区别。（2）在此拓扑中，IDS采用旁路方式部署，其流量获取方式通常是什么？与串联部署的入侵防御系统（IPS）相比，旁路部署的IDS有何优缺点？（3）日志审计系统需要收集防火墙、交换机和服务器的日志。请分别说明从这三类设备采集日志时，通常使用的标准协议或方法。三、案例分析题1.【网络升级与割接】某高校原有校园网核心为单台三层交换机，随着业务发展，存在单点故障风险且性能不足。现计划升级为双核心（C1和C2）并采用虚拟化技术（如CSS、iStack等）形成逻辑上一台核心设备，汇聚层交换机（A1,A2）双归接入双核心。网络中存在多个业务VLAN，用户网关原在旧核心上。问题：（1）在割接方案中，需要将用户网关从旧核心迁移到新虚拟化核心上。请设计一种对用户影响最小的网关迁移方案，并说明关键步骤。（2）为实现汇聚层交换机与双核心间的链路冗余和负载分担，应使用什么技术？简述其在该场景下的工作过程。（3）割接后，发现部分VLAN的用户间歇性无法上网。经排查，这些用户的ARP表项中网关MAC地址在C1和C2的物理MAC之间跳动。请分析可能导致此问题的原因及解决方法。2.【VPN与安全互联】总公司与两个分公司需要通过互联网建立安全的通信隧道。总公司有固定公网IP，两个分公司通过PPPoE拨号获取动态公网IP。现要求实现：总公司可以主动访问两个分公司内部网络。两个分公司之间不能直接互访。采用IPSecVPN技术。问题：（1）针对分公司动态IP的情况，在建立IPSecVPN时，通常采用什么模式（站点到站点模式或远程访问模式）？分公司和总公司的设备分别扮演什么角色（发起方或响应方）？（2）为实现总公司能主动发起与分公司的VPN连接，在IPSec配置中需要注意什么？（提示：从连接触发机制考虑）（3）如何满足“两个分公司之间不能直接互访”这一安全要求？请给出在总公司VPN网关上的一种访问控制思路。答案与解析---一、单项选择题1.D解析：OSI模型中，传输层负责端到端的通信，提供可靠的或不可靠的传输服务，包括差错控制、流量控制和拥塞控制等。网络层负责寻址和路由选择，数据链路层负责相邻节点间的帧传输。2.C解析：原网络192.168.1.0/24，主机位8位。需要4个子网，至少需要借2位（=4）。每个子网主机数至少50台，保留的主机位需满足−2≥50，3.B解析：OSPF是典型的链路状态路由协议。RIP是距离矢量协议，BGP是路径矢量协议，EIGRP是Cisco私有的高级距离矢量协议。4.A解析：ARP（地址解析协议）用于根据IP地址获取物理MAC地址。RARP反向地址解析协议，用于根据MAC获取IP。ICMP是网际控制报文协议。IGMP是组播管理协议。5.D解析：基于端口的VLAN划分是最常见、最直接且易于管理的方式，其安全性取决于物理端口的安全接入控制，本身并非“最不安全”。基于MAC、协议等划分方式在管理上可能更复杂。6.B解析：UplinkFast用于在直连链路故障时快速将阻塞端口转换为转发状态，加速收敛。PortFast用于连接终端设备的端口快速进入转发状态。BackboneFast用于处理间接链路故障。BPDUGuard是一种保护机制。7.B解析：IPv6中，FE80::/10是链路本地单播地址前缀，用于同一链路上的节点间通信，自动配置，不可路由。8.C解析：RSA是非对称加密算法（公钥加密算法）。AES、DES、3DES都属于对称加密算法。9.A解析：BGP的LocalPreference属性用于在AS内部影响出口路径选择，值高的路径优先。本题中，在总公司路由器上，将来自ISP1路由的LocalPreference值设置得比来自ISP2的高，即可实现优先选择ISP1。10.A解析：MPLS标签是一个32位的字段，插入在二层帧头（如以太网帧头）和三层数据包（如IP包）之间，称为“垫层”或“标签头”。11.A解析：802.11a工作于5GHz频段。802.11b/g工作于2.4GHz频段。802.11n可工作于2.4GHz和5GHz。12.C解析：ICMP（Internet控制报文协议）用于传递控制信息和错误报告，例如ping命令使用ICMPEchoRequest/Reply报文来测试连通性。13.B解析：`netstat-r`或`route-n`可以查看Linux内核的路由表。`ifconfig`查看和配置网络接口。`traceroute`跟踪路径。`ping`测试连通性。14.C解析：PAT（端口地址转换，NAPT）通过转换TCP/UDP端口号，使多个内部地址共享一个或少数几个外部IP地址，是动态NAT的一种形式。静态NAT是一对一固定映射。动态NAT的映射关系不固定，但仍是地址一对一。NAT会破坏端到端特性，可能隐藏内部拓扑，但其本身并非专门的安全设备。15.B解析：DiffServ（区分服务）模型在IP包头（IPv4的ToS/DSCP字段，IPv6的TrafficClass字段）标记服务类型，网络设备根据标记提供不同级别的转发服务。它无需维护单流状态，扩展性好。IntServ（集成服务）模型需要为每个流维护状态并使用RSVP。16.B解析：1000BASE-SX使用多模光纤，根据光纤类型和直径，最大传输距离通常在220米到550米之间，550米是一个典型值。17.C解析：被动攻击是指在不影响系统资源的情况下，截获、窃取、破译信息，如网络嗅探（窃听）。主动攻击则涉及对数据的篡改或伪造，以及拒绝服务等。18.B解析：SNMP使用UDP161端口进行代理（设备）接收请求，使用UDP162端口进行管理站接收陷阱（Trap）信息。19.A解析：华为交换机配置Access端口并指定VLAN的命令如选项A所示。B选项是Cisco的命令风格。C是配置Trunk端口。D是配置Hybrid端口的命令。20.D解析：堆叠技术将多台物理交换机虚拟成一台，可以统一管理（A）、增加总端口数（B）、支持跨物理设备的链路聚合（C）。但单台交换机的硬件转发性能（如ASIC芯片能力）并不会因为堆叠而提升，堆叠后整机的转发能力是各成员设备能力的总和（或受限于堆叠带宽），但“单台交换机的转发性能”这个指标本身没有变化。二、综合应用题1.答案与解析：（1）应在核心交换机C上配置三层交换功能（SVI接口或VLANIF接口）。配置要点：为VLAN10、VLAN20和VLAN100分别创建VLANIF接口，并配置对应的IP地址作为各网段的网关。同时，在路由器R或核心交换机C上配置默认路由指向互联网。（2）应配置为Trunk链路。关键配置命令（华为）：```interfaceGigabitEthernetX/X/X#进入核心或汇聚的互联接口portlink-typetrunk#设置端口类型为Trunkporttrunkallow-passvlan1020100#允许指定的VLAN通过```（3）可以使用流量监管（TrafficPolicing）或基于类的队列（CBQ）中的限速功能。基本原理：在接口或针对特定流量类（如目的为VLAN100的流量）设置承诺访问速率（CIR）为200Mbps，对超出速率部分的流量进行丢弃或标记降级，从而保证该流量不超过设定的带宽上限。2.答案与解析：（1）R1到达R3环回口的路径有两条：路径1：R1->R2->R3。Cost=R1的GE0/0/0接口Cost(10)+R2的GE0/0/1接口Cost(10)+R3的GE0/0/1接口Cost(100)=10+10+100=120。路径2：R1->(假设有直连或其他路径，但根据配置和现象，此路径未被选择，可能不存在或Cost更高)。根据现象，R1选择了下一跳为R2的路径，说明路径1的Cost值小于或等于其他路径。题目要求计算到达R3环回口的路径Cost，基于现有信息，计算路径1的Cost为120。（2）R1选择经过R2路径的原因：在OSPF中，路由器选择到达目的地址累计Cost值最小的路径。根据（1）的计算，R1通过R2到达R3环回口的路径Cost为120。如果存在其他路径（例如R1直连R3），其Cost值必须大于或等于120，因此R1选择了Cost更小（或唯一）的路径R1->R2->R3。（3）可以在R1上通过调整OSPF接口Cost或使用路由策略（Route-Policy）修改路由的Cost值，使R1->R2->R3路径的Cost值低于其他路径。方法一：调大其他可能路径接口的Cost（如果存在）。方法二：在R1上对从R2学到的关于3.3.3.3的路由，在入方向增加一个偏移量（offset-list），使其管理距离内的度量值减小（或直接修改Cost值，但OSPFCost通常不直接修改入路由）。更直接的方法是确保R1到达R3只有R1->R2->R3这一条低Cost路径。示例（通过修改R1连接R2的接口Cost，使其更小，但题目中已是10，可调为更小如5）：```[R1]interfaceGigabitEthernet0/0/0[R1-GigabitEthernet0/0/0]ospfcost5```3.答案与解析：（1）每个子网需要至少2000台主机。IPv6地址主机位数为128-子网前缀长度。所需主机位数n需满足≥2000（IPv6通常不扣除广播地址等，所有地址均可用于主机）。=2048≥2000，所以n至少为11位。因此，子网前缀长度=128-11=117。但通常子网划分是基于给定的前缀（/48）进一步划分。从/48开始，需要增加子网位。子网位数为117-48=69？这个计算有误。正确思路：从ISP分配的/48开始，需要划分子网。主机位需要至少11位，那么子网前缀长度最大为128-11=117。但子网前缀长度必须大于等于48。所以，可以在/48的基础上，借用一些位作为子网位。例如，如果需要支持2000台主机，主机位需要11位，则网络前缀可以是128-11=117位。那么从/48扩展到/117，中间有117-48=69位可用于子网划分，这69位可以划分出巨量的子网。题目问的是“子网前缀长度至少应为多少”，即网络前缀最多可以是多长？答案是117位。但更常见的表述是：需要的主机位数为（2）还需要配置前缀委托（PrefixDelegation）中使用的地址，或者为内部网络配置一个ULA前缀（如fd00::/64）并结合NAT64或隧道。但题目问的是“实现内部网络的自动地址分配”，在纯IPv6环境下，通常使用SLAAC（无状态地址自动配置）或DHCPv6。对于SLAAC，路由器需要向链路发送RA（路由器通告）报文，其中包含全局前缀（如2001:db8:abcd::/64）。这个前缀就是从ISP分配的/48中分出来的。因此，在边界路由器内网接口上，需要配置一个属于该全局前缀的IPv6地址（例如2001:db8:abcd:1::1/64），并启用RA通告。该地址属于全球单播地址。（3）常见技术是NAT64或IPv6overIPv4隧道。由于题目提到内部使用ULA（私有地址），ULA不可路由到互联网。因此需要一种转换或隧道机制。NAT64：在边界路由器上部署NAT64网关。内部主机使用ULA访问互联网时，NAT64网关将IPv6数据包的目的地址（全球单播地址）映射到一个IPv4地址（如果目的地是IPv4），或者直接转发（如果目的地是IPv6）。同时将源IPv6地址（ULA）转换为一个全球单播IPv6地址（从ISP分配的前缀中取出）。这需要DNS64服务器配合，将域名解析为合成的IPv6地址。隧道技术（如6in4，6to4已废弃）：如果ISP只提供了IPv4连接，可以在边界路由器和隧道服务提供商之间建立隧道，将内部的IPv6数据包封装在IPv4数据包中传输，到达隧道终点后解封装，再进入IPv6互联网。4.答案与解析：（1）主要区别：透明模式（二层）：防火墙作为二层设备（类似网桥）工作，无需配置IP地址到数据转发接口上。它对网络是“透明”的，不改变原有网络拓扑和IP规划。主要基于MAC地址和VLANID进行策略控制。路由模式（三层）：防火墙作为三层设备（类似路由器）工作，每个接口都需要配置IP地址，并参与路由。它分割了不同的广播域，可以进行NAT、路由协议等三层功能，策略基于IP地址、端口号等。（2）流量获取方式：通常通过交换机的端口镜像（SPAN/RSPAN）功能，将需要监控的链路（如核心交换机连接服务器区的上行链路）的流量复制一份，发送到IDS的监控接口。优点：对网络性能无影响，部署灵活，不会成为单点故障。缺点：无法实时阻断攻击，只能检测和告警；可能因镜像端口带宽不足或IDS处理能力有限导致丢包，漏报。（3）采集日志的协议或方法：防火墙：通常支持通过Syslog协议将日志发送到日志服务器。也可支持SNMPTrap或专有API。交换机（网络设备）：通常支持Syslog协议和SNMPTrap。服务器（Windows/Linux）：Windows系统通常使用事件日志，可通过WMI或代理程序收集；Linux系统通常将日志写入本地文件（如/var/log/），可通过Syslog协议转发或使用代理（如Logstash、Fluentd）采集。三、案例分析题1.答案与解析：（1）方案：采用逐步迁移或“网关漂移”方案。关键步骤：1.在新虚拟化核心（C1+C2）上创建与旧核心网关相同IP地址的VLANIF接口，但先将其状态设置为“待机”或“不响应ARP”（例如，在华为设备上可以设置接口为`standby`状态或通过策略禁止其发送免费ARP）。2.在旧核心上，逐步减少各VLAN的网关接口优先级或通过脚本将用户ARP表项老化。3.在割接窗口，将旧核心的网关接口关闭或IP地址删除。4.立即激活新虚拟化核心上的对应网关接口，并发送免费ARP更新网络中的ARP表项。5.此过程需要精确的时间同步和回滚计划，可将VLAN分批迁移以降低风险。（2）技术：使用M-LAG（跨设备链路聚合组）或类似技术（如华为的Eth-Trunk+CSS，Cisco的vPC）。工作过程：汇聚交换机（如A1）通过两条链路分别连接到核心C1和C2，并将这两条链路捆绑成一个逻辑的Eth-Trunk接口。虚拟化后的双核心在逻辑上被视为一台设备，也对应地配置一个Eth-Trunk接口。这样，汇聚和核心之间的链路既实现了冗余（一条故障，流量走另一条），又实现了负载分担（流量通过聚合组内