2026年网络规划设计师(软考高级)真题及答案解析

2026年网络规划设计师(软考高级)真题及答案解析一、上午试题1.在OSI参考模型中，负责在两个相邻节点间可靠传输数据，并提供差错控制和流量控制功能的层是（）。A.物理层B.数据链路层C.网络层D.传输层2.IPv6地址“2001:0DB8:0000:0000:0000:FF00:0042:8329”可以压缩表示为（）。A.2001:DB8::FF00:42:8329B.2001:DB8:0:0:0:FF00:42:8329C.2001:DB8::FF00::42:8329D.2001:DB8:0::FF00:42:83293.在Wi-Fi7(802.11be)标准中，引入的新特性不包括（）。A.320MHz信道带宽B.4KQAM调制技术C.MLO(Multi-LinkOperation)D.MU-MIMO4.某企业网络规划中，核心层交换机需要支持高密度万兆上行，并具备核心路由功能，最适合的设备类型是（）。A.二层交换机B.三层交换机C.接入路由器D.集成接入设备(IAD)5.关于BGP协议，以下描述错误的是（）。A.BGP是路径矢量路由协议B.BGP-4主要用于自治系统之间的路由可达性信息交换C.BGP通过TCP端口179建立连接D.BGP默认使用跳数作为度量值来选择最优路径6.在软件定义网络(SDN)架构中，负责将控制器的逻辑指令转换为底层硬件数据转发规则的层是（）。A.应用层B.控制层C.基础设施层(物理层)D.北向接口层7.以下关于MPLS(多协议标签交换)的描述中，正确的是（）。A.MPLS位于网络层，主要工作在IP层B.MPLS报头中的Label长度为20位C.LSP(标签交换路径)的建立必须使用LDP协议D.MPLS只能支持IP协议8.在网络安全设计中，DMZ(非军事化区)的主要作用是（）。A.存放核心数据，防止外部攻击B.放置对外服务器，隔离内部网络与外部网络C.作为员工上网的缓冲区D.用于管理员的远程维护9.某网络采用CIDR技术，地址块为/23，则该地址块包含的可用IP地址数量为（）。A.256B.512C.510D.102210.在存储网络中，iSCSI协议主要用于实现（）。A.文件级共享B.块级数据传输C.磁带备份D.网络管理11.关于VXLAN技术，以下说法正确的是（）。A.VXLAN使用UDP端口4789封装原始二层数据帧B.VXLAN的VNI(VXLANNetworkIdentifier)长度为12位，支持4096个VLANC.VXLAN主要用于二层网络互联，无法跨越三层网络D.VXLAN不需要VTEP(VXLANTunnelEndpoint)设备12.在网络故障排查中，使用Ping命令测试连通性时，若显示“Requesttimedout”，通常意味着（）。A.对方主机不可达B.对方主机拒绝连接C.请求在规定时间内未收到响应D.本机网络协议未安装13.下列关于HTTPS协议的描述中，错误的是（）。A.HTTPS使用TCP端口443B.HTTPS在HTTP基础上加入了SSL/TLS协议C.HTTPS可以防止数据在传输过程中被窃听和篡改D.HTTPS不需要数字证书即可建立安全连接14.在网络流量工程中，DiffServ(区分服务)模型与IntServ(集成服务)模型的主要区别在于（）。A.DiffServ需要为每个流预留资源，IntServ不需要B.DiffServ基于类的QoS，扩展性好；IntServ基于流的QoS，扩展性差C.DiffServ使用RSVP协议，IntServ不使用D.DiffServ只能在链路层工作，IntServ在网络层工作15.某公司计划部署一套高可用的Web集群，采用LVS(LinuxVirtualServer)技术，其中LVS-NAT模式的特征是（）。A.RealServer的网关必须指向DirectorServerB.RealServer可以使用任何公网IPC.DirectorServer仅处理调度，不处理数据流量D.支持跨网段调度16.在网络规划设计中，进行需求分析时，不需要收集的信息是（）。A.企业的组织架构B.员工的个人社交账号C.现有网络的拓扑结构D.业务增长预测17.关于5G网络架构，以下说法正确的是（）。A.5G核心网采用分布式架构，主要功能集中在基站B.5GRAN(无线接入网)仅包含gNB节点C.5G支持网络切片技术，可为不同业务提供逻辑隔离的网络D.5G的低空口时延特性主要依靠LTE技术实现18.在防火墙配置中，StatefulInspection(状态检测)技术的核心优势是（）。A.检查每个数据包的头部信息B.维护连接状态表，仅允许符合已建立连接的数据包通过C.依赖应用层网关D.过滤速度比包过滤更快19.某信道带宽为4MHz，信噪比为30dB，按照香农定理，该信道的理论极限数据传输速率约为（）。A.40MbpsB.80MbpsC.120MbpsD.160Mbps20.在云计算环境中，关于IaaS(基础设施即服务)的描述，正确的是（）。A.用户只需关注应用软件和数据B.用户需要管理操作系统、中间件和运行环境C.用户需要控制底层网络、存储和计算资源D.典型代表是GoogleAppEngine二、下午试题试题一：大型园区网规划与设计【背景说明】某新建的高科技园区占地面积约2平方公里，包含研发大楼、行政楼、数据中心、员工宿舍及多功能会议中心。园区网需要承载办公、生产研发、安防监控、访客接入等多种业务。随着数字化转型的推进，该园区计划部署Wi-Fi6无线网络全覆盖，并引入IPv6技术以支持未来海量物联网设备的接入。【问题1】在进行网络逻辑拓扑设计时，网络架构师建议采用典型的三层架构（核心层、汇聚层、接入层）。请简述这三层架构中，每一层的主要功能设计要点，并说明为何在大型园区中推荐采用三层架构而非二层扁平架构。【问题2】为满足研发业务的高安全性要求，设计规划将研发部VLAN、财务部VLAN和访客VLAN进行严格隔离。同时，要求访客无线网络只能访问互联网，不能访问内网资源。请基于防火墙技术，说明如何实现上述安全隔离需求（可结合VLAN接口、安全区域、路由策略及NAT配置进行描述）。【问题3】园区计划全面部署IPv6。在IPv6地址规划中，为研发大楼的PC终端分配地址，子网规划为2001:DB8:ACAD::/48。假设研发大楼有5个楼层，每楼层至少需要支持500个主机位。1.请计算每个楼层需要的子网前缀长度（PrefixLength）。2.请给出第3楼层（假设子网ID为3）可用的IPv6子网范围（写出前缀和起止地址示意即可）。【问题4】在无线网络设计中，为了解决高密度接入环境下的同频干扰问题，规划师决定采用信道复用技术。请简述在2.4GHz频段和5GHz频段，信道规划应遵循的基本原则（特别是关于非重叠信道的选择）。试题二：网络性能计算与可靠性分析【背景说明】某电子商务企业的数据中心核心网络架构进行了升级。核心交换机之间采用40Gbps链路互联，并运行OSPF动态路由协议。Web服务器集群通过两条10Gbps链路双归接入两台核心交换机。为了评估网络性能，工程师对关键链路进行了流量分析。【问题1】假设某台核心交换机的CPU利用率为30%，内存利用率为40%。该交换机处理数据包的平均服务时间（不包括排队时间）为。若流入该交换机的流量服从泊松分布，平均速率为λ(包/秒)，交换机的处理能力（最大服务速率）为μ(包/秒)。请利用M/M/1排队模型公式，写出计算数据包在该交换机中平均排队延迟和平均逗留时间（排队+服务）T的公式。若已知μ=1000包/秒，λ=【问题2】该企业Web服务器的响应时间主要由网络传输延迟、服务器处理延迟和排队延迟组成。假设网络单向传播延迟为10ms（即0.01s若TCP连接建立后，客户端发送一个请求，服务器立即返回响应（忽略请求包大小，仅考虑响应包），响应报文大小为1MB，网络链路带宽为请计算从客户端发出请求到完全接收响应的总时间（假设TCP窗口足够大，链路无拥塞，传输延迟=报文大小/带宽）。【问题3】网络设备的可靠性通常用MTBF(MeanTimeBetweenFailures，平均无故障时间)和MTTR(MeanTimeToRepair，平均修复时间)来衡量。某关键路由器的MTBF=100,000小时，MTTR=4小时。1.请计算该路由器的可用性（Availability）。2.为了提高核心层的可用性，网络中部署了两台这样的路由器采用VRRP（或HSRP）冗余协议。假设这两台设备发生故障是相互独立的事件，请计算该系统的可用性（保留小数点后4位）。试题三：网络安全架构设计与VPN应用【背景说明】某跨国集团总部位于北京，在上海、广州设有分公司，同时在纽约设有海外研发中心。集团计划搭建安全互联网络，实现各站点间数据的安全传输，并允许移动办公员工安全访问内网资源。【问题1】针对站点间互联（总部到分公司、总部到海外中心），方案建议采用IPsecVPN技术。1.请画出IPsecVPN在传输模式（TransportMode）和隧道模式（TunnelMode）下，IP数据包封装结构的区别示意图（文字描述封装层次即可）。2.在IKE(InternetKeyExchange)协商阶段中，主要分为两个阶段。请简述IKE第一阶段（主模式或野蛮模式）和第二阶段各自的主要作用。【问题2】为了解决海外研发中心访问国内资源速度慢的问题，同时保证安全性，集团考虑在公网出口部署SSLVPN设备。请对比IPsecVPN和SSLVPN的主要区别，并说明为什么SSLVPN更适合移动办公用户。【问题3】在总部内网部署了入侵检测/防御系统（IDS/IPS）。为了检测VLAN之间的攻击流量，IDS需要监听汇聚交换机的所有流量。1.请说明交换机如何将流量镜像给IDS设备（描述配置技术名称，如PortMirroring或SPAN）。2.若IDS检测到来自外部IP的SQL注入攻击，请列举两种IDS/IPS可以采取的响应动作。试题四：软件定义网络（SDN）与数据中心应用【背景说明】随着云业务的爆发式增长，传统网络架构难以满足虚拟机动态迁移和灵活调度需求。某云服务商计划对现有数据中心进行SDN改造，采用Spine-Leaf（脊-叶）架构，并引入OpenFlow协议和VXLAN技术。【问题1】在Spine-Leaf架构中，所有Leaf交换机都连接到所有Spine交换机，形成全互联拓扑。1.请分析这种全互联拓扑在减少延迟和提升带宽利用率方面的优势。2.在该架构下，任意两台Leaf交换机之间的通信路径数量是多少？【问题2】SDN架构将控制平面和数据平面分离。控制器通过南向接口与转发设备通信。1.除了OpenFlow，请列举两种常见的南向接口协议或技术。2.OpenFlow协议通过流表来指导数据转发。一个OpenFlow流表项通常包含哪些匹配域和指令域？（请各列举至少3个）【问题3】在云数据中心中，需要实现大二层网络以支持虚拟机跨物理主机迁移。1.请解释VXLAN是如何解决传统VLAN数量限制（4096个）问题的。2.在VXLAN网络中，当虚拟机发出ARP请求（请求同网段另一虚拟机的MAC地址）时，VTEP（VXLAN隧道端点）如何处理该ARP请求以减少广播流量？（提示：结合ARP抑制或代理功能描述）。三、参考答案及详细解析【上午试题参考答案及解析】1.答案：B解析：数据链路层的主要功能就是在两个相邻节点间实现可靠的数据传输，通过帧同步、差错控制（如CRC校验）、流量控制等机制，确保物理层传输的比特流形成正确的帧。2.答案：A解析：IPv6地址压缩规则：1.每个段的前导零可以省略；2.连续的全零段可以用“::”代替，但只能出现一次。2001:0DB8:0000:0000:0000:FF00:0042:8329>2001:DB8:0:0:0:FF00:42:8329(省略前导零)>2001:DB8::FF00:42:8329(将中间连续三个0段压缩为::)3.答案：D解析：Wi-Fi7(802.11be)的新特性包括：320MHz超宽信道、4KQAM(4096-QAM)高阶调制、MLO(多链路操作，可同时在多个频段传输)。MU-MIMO(多用户多入多出)在Wi-Fi4(802.11n)及后续标准中已存在，并非Wi-Fi7独有。4.答案：B解析：核心层是网络的主干，需要高速转发和路由功能。三层交换机具备硬件路由转发能力，适合作为核心层设备。二层交换机无法跨网段路由；接入路由器端口密度和吞吐量通常不足以作为核心；IAD主要用于接入层集成语音等业务。5.答案：D解析：BGP是路径矢量协议，不使用跳数作为度量值。它使用AS-Path、Next_Hop、Local_Pref、MED等属性来选择最优路径，主要目的是避免环路（通过AS_PATH）和实施策略。6.答案：C解析：在SDN架构中，基础设施层（也称为数据平面/物理层）负责根据控制层下发的指令（流表）进行纯粹的数据转发。应用层通过北向接口向控制层提出需求，控制层通过南向接口（如OpenFlow）向基础设施层下发规则。7.答案：B解析：MPLS位于第2.5层。MPLS标签长度为20位（Bits20-31）。LSP的建立可以使用LDP、RSVP-TE或MP-BGP等协议，并非必须使用LDP。MPLS最初是为了支持IP，但发展出GMPLS等可支持多种网络层协议。8.答案：B解析：DMZ（非军事化区）是一个位于内部网络和外部网络之间的缓冲网络区域。通常放置对外提供服务的服务器（如Web、DNS、Email）。这样，外部用户只能访问DMZ中的服务器，即使DMZ服务器被攻破，攻击者也难以直接渗透到核心内部网络。9.答案：C解析：CIDR块/23表示子网掩码为23位，即主机位为32−总地址数==512可用IP地址数=总数-2(网络地址+广播地址)=512−10.答案：B解析：iSCSI(InternetSmallComputerSystemInterface)是将SCSI指令封装在TCP/IP数据包中，用于在IP网络上传输存储块级数据。它使得存储区域网络（SAN）可以通过廉价的以太网建立。NFS/CIFS是文件级共享。11.答案：A解析：VXLAN使用IETF定义的4789UDP端口（早期标准可能使用8472，但4789是标准端口）进行封装。VNI长度为24位，支持个VLAN，解决了4096限制。VXLAN通过Overlay技术跨越三层网络。VTEP是VXLAN隧道端点，负责封装和解封装，是必须的。12.答案：C解析："Requesttimedout"表示发送的ICMP回显请求在默认时间限制内未收到回显应答。原因可能包括：目标主机不可达、目标主机防火墙丢弃包、网络拥塞导致严重延迟等，但直接含义是“请求超时”。13.答案：D解析：HTTPS基于HTTP+SSL/TLS。SSL/TLS握手过程中，服务器通常需要发送数字证书给客户端，以证明服务器身份并协商密钥。虽然理论上可以使用匿名DH密钥交换（不验证身份），但在实际商用场景中，HTTPS必须依赖证书来建立可信的安全连接。14.答案：B解析：IntServ模型使用RSVP协议，为每个应用流预留资源，扩展性差，难以在核心网实施。DiffServ模型基于类进行流量标记和调度（PHB），在核心网只进行基于类的调度，扩展性好，是当前主流QoS模型。15.答案：A解析：在LVS-NAT模式下，RealServer（真实服务器）的默认网关必须指向DirectorServer（负载调度器），因为进出的流量都需要经过Director进行地址转换（源地址NAT和目的地址NAT）。DirectorServer会成为瓶颈，因为它处理所有流量。16.答案：B解析：网络需求分析关注的是业务目标、技术约束、组织结构、现有资产和增长预测。员工的个人社交账号属于个人隐私，与网络规划的技术需求无关，不应收集。17.答案：C解析：5G核心网（5GC）采用SBA（服务化架构），是控制与转发分离的云化架构。5GRAN包含gNB，gNB可分解为CU、DU。5G网络切片是其核心特性，允许在同一物理基础设施上切分出多个逻辑网络。5G低时延主要依靠新的无线帧结构、边缘计算（MEC）等技术，而非LTE。18.答案：B解析：状态检测防火墙维护一个连接状态表（如TCP连接的SYN,ACK,FIN状态）。它不仅检查包的头信息，还判断包是否属于一个已知的合法连接。只有符合已知连接状态的包才被允许通过，这比简单的包过滤更安全。19.答案：A解析：香农公式：C=W=信噪比S/C=20.答案：C解析：IaaS提供虚拟化的计算、存储、网络等基础设施资源。用户需要管理操作系统、中间件、运行环境等。PaaS用户只需管理应用和数据。SaaS用户只需使用软件。GoogleAppEngine是PaaS的代表。【下午试题参考答案及解析】试题一：大型园区网规划与设计问题1：答案：三层架构各层功能及设计要点：1.核心层：是网络的主干，负责高速数据转发。设计要点应追求高吞吐量、低延迟、高可靠性（通常采用双机热备、CSS/iStack堆叠或虚拟化技术），避免进行复杂的访问控制列表（ACL）或包过滤策略，以保持高速交换。2.汇聚层：是核心层与接入层的中间层，负责汇聚接入层的流量并进行策略处理。设计要点包括实施VLAN间路由、ACL安全策略、QoS流量分类和标记、部门级接入控制。3.接入层：负责终端用户接入。设计要点包括提供高密度端口、端口安全（如限制最大连接数、防ARP欺骗）、VLAN划分、PoE供电（针对AP和IP电话）。推荐采用三层架构而非二层扁平架构的原因：在大型园区中，接入终端数量巨大。若采用二层扁平架构，广播域过大，会导致广播风暴风险高、生成树协议（STP）收敛慢、ARP表项过于庞大等问题。三层架构通过路由隔离广播域，缩小了故障影响范围，提高了网络的可扩展性、可管理性和稳定性。问题2：答案：基于防火墙的安全隔离实现方案：1.接口与区域划分：将防火墙的接口分别连接到研发VLAN、财务VLAN、访客VLAN的交换机接口，并划分安全区域，例如：将研发接口划入Trust区域（或内部高密区域），财务接口划入Finance区域，访客接口划入DMZ区域（或Guest区域），WAN口划入Untrust区域。2.默认策略：设置防火墙默认拒绝所有区域间的互访。3.内网互访策略：配置安全策略，允许Trust区域（研发）与Finance区域（财务）根据业务需求访问特定的应用服务器（如邮件服务器、DNS），但禁止普通PC之间的直接互访，或完全隔离两个部门。4.访客上网策略：配置NAT策略：将Guest区域的源IP地址转换为公网IP地址（EasyIP或NATPool）。配置安全策略：允许Guest区域访问Untrust区域（互联网）的HTTP/HTTPS/DNS等服务。隔离策略：禁止Guest区域访问Trust区域、Finance区域以及内网其他服务器资源。问题3：答案：1.子网前缀长度计算：总子网为/48。需要划分5个子网，每个子网支持500个主机。IPv6子网通常基于接口ID（64位）进行划分，标准做法是使用/64子网。验证：/64表示主机位为64位，地址空间巨大（），远超500个主机需求。/60可以划分个子网，/61划分个.../64划分个。题目中只有5个楼层，但为了符合标准IPv6子网设计（一个子网通常对应一个/64），且满足扩展性，建议每个楼层使用一个/64子网。因此，子网前缀长度为64。(注：若仅从数学角度计算最小前缀，=512>5002.第3楼层IPv6子网范围：前缀：2001:DB8:ACAD:3::/64范围：2001:DB8:ACAD:3::到2001:DB8:ACAD:3:FFFF:FFFF:FFFF:FFFF问题4：答案：信道规划基本原则：1.2.4GHz频段：该频段只有1、6、11三个互不干扰信道。在蜂窝状覆盖布局中，应遵循1/2.5GHz频段：5GHz频段拥有更多互不干扰的信道（如36,40,44,48,52,56,60,64,149,153,157,161,165等）。应尽量利用DFS（动态频率选择）信道以增加可用带宽。同样遵循蜂窝状复用原则，相邻AP使用不同信道。在高密度场景，可适当降低发射功率，缩小覆盖范围，以增加频率复用度。对于支持Wi-Fi6/7的AP，可启用80MHz或160MHz带宽，需确保绑定的信道内无雷达干扰或重叠。试题二：网络性能计算与可靠性分析问题1：答案：1.公式：利用率ρ平均排队延迟=平均逗留时间T2.计算：已知μ=1000,ρ==或者使用==平均排队延迟为0.0015秒(或1.5ms)。问题2：答案：总时间=网络往返传播延迟+服务器处理延迟+响应报文传输延迟1.网络往返传播延迟：单向10ms，往返2.服务器处理延迟：20m3.响应报文传输延迟：报文大小Si带宽B==≈总时间=20问题3：答案：1.单设备可用性计算：公式：AA=2.双机并联系统可用性计算：假设两台设备可靠性为R，不可用性为U=系统不可用情况为两台设备同时故障：=UU==(=1系统可用性约为0.9999999984(或99.99999984%)。试题三：网络安全架构设计与VPN应用问题1：答案：1.封装结构区别：传输模式：不封装新的IP头。将IP载荷（如TCP/UDP数据）加密，并在原IP头和加密数据之间插入ESP/AH头。原IP头保持不变。隧道模式：将整个原始IP数据包作为载荷，进行加密（如果是ESP），然后添加一个新的IP头（通常是VPN网关的公网IP），最后是ESP/AH头。结构示意：Transport:[原IP头][IPSec头][加密的TCP/UDP数据]Tunnel:[新IP头][IPSec头][加密的(原IP头+TCP/UDP数据)]2.IKE阶段作用：IKE第一阶段（SA建立）：主要作用是建立一个安全通道（ISAKMPSA），用于保护后续的IKE消息。双方在此阶段进行身份认证（预共享密钥或数字证书），并协商加密算法、哈希算法、Diffie等参数，生成密钥材料。IKE第二阶段（IPsecSA建立）：在第一阶段建立的安全通道上，协商具体的IPsec安全关联（SA），用于保护实际的用户数据流量。协商IPsec协议（ESP/AH）、模式（传输/隧道）、密钥生命周期等。问题2：答案：区别对比：1.实现层：IPsecVPN工作在网络层（Layer3）；SSLVPN工作在应用层（Layer4/7，通常基于SSL/TLS）。2.客户端：IPsecVPN通常需要安装专用的客户端软件；SSLVPN可直接利用标准的Web浏览器，无需安装客户端（或通过轻量级插件）。3.访问粒度：IPsecVPN通常提供对整个网络的访问（类似网线接入）；SSLVPN可以提供更细粒度的访问控制，如基于Web的应用、文件共享、特定端口转发等。4.穿透性：SSLVPN基于HTTPS协议（TCP443），极易穿越NAT和防火墙；IPsecVPN（特别是ESP模式）常被NAT阻断，需配合NAT-T技术。为何SSLVPN适合移动办公：移动办公用户使用设备多样（PC、手机、平板），且网络环境复杂（酒店、咖啡厅）。SSLVPN无需安装复杂客户端，利用浏览器即可接入，且能穿透大多数防火墙，部署和使用成本更低，体验更好。问题3：答案：1.流量镜像技术：使用端口镜像技术，也称为PortMirroring或SPAN(SwitchedPortAnalyzer)。配置方法：将汇聚交换机上连接核心层、服务器区等关键端口的入流量和出流量，复制（镜像）到一个专门连接IDS设备的监控端口上。2.IDS