2026年网络工程师题试题及答案

2026年网络工程师精选题试题及答案1.某公司网络管理员在配置交换机时，需要禁止MAC地址为00-1A-2B-3C-4D-5E的设备通过该交换机端口接入网络，该需求对应交换机的以下哪项功能？A.端口安全B.802.1X认证C.MAC地址克隆D.动态ARP检测答案：A解析：端口安全功能可以通过限制交换机端口允许接入的MAC地址，手动禁止或允许特定MAC地址接入，完全符合题干需求。802.1X认证是基于端口的网络接入控制，通过身份凭证验证接入权限，并非直接基于MAC地址禁止特定设备接入；MAC地址克隆是修改设备MAC地址的操作，与题干需求无关；动态ARP检测是用于防范ARP欺骗攻击，校验ARP报文的IP-MAC对应关系，不具备禁止特定MAC地址接入的功能。2.某网络中部署OSPF路由协议，区域0内一台路由器A的接口S1/0宣告进区域1，管理员查看路由表时发现该接口的直连网段没有出现在其他区域路由器的路由表中，以下最可能的原因是？A.区域1配置为STUB区域B.路由器A配置了OSPF被动接口C.接口S1/0的OSPF网络类型配置为P2MPD.路由器A没有配置区域认证答案：B解析：OSPF被动接口会禁止该接口发送和接收OSPF报文，直连网段无法通过OSPF发布给其他OSPF路由器，因此其他区域路由器无法学习到该网段路由。STUB区域只是禁止外部Type5LSA泛洪进入，不禁止区域内直连网段的路由传递；接口OSPF网络类型为P2MP仅改变邻居发现和邻接建立规则，不影响正常路由发布；如果没有配置区域认证，整个区域的OSPF邻接都无法建立，不会只有该直连网段无法被学习，因此B是最可能的原因。3.IPv6地址2001:0db8:0001:0002:0000:0000:0000:1234经过压缩后，以下哪一种表示是符合规范的？A.2001:db8:1:2::1234B.2001:db8:1:2:0:0:0:1234C.2001:db8:1:2:::1234D.选项A和B都是符合规范的正确压缩格式答案：D解析：IPv6地址表示规则中，每个16位段的前导零可以省略，因此0db8可以写为db8，0001可写为1，0002可写为2，符合规则；一段或多段连续的全零段可以用一对双冒号::表示，且整个地址中只能使用一次双冒号压缩。本题原地址中四个连续的全零段，既可以压缩为::，也可以保留每个零段省略前导零写为0，因此2001:db8:1:2::1234和2001:db8:1:2:0:0:0:1234都是符合规范的正确表示，C选项使用三个冒号不符合规则，因此D正确。4.以下哪一种攻击方式属于利用TCP三次握手缺陷，通过发送大量半连接请求消耗服务器资源，导致合法用户无法接入的攻击？A.DDoS攻击中的SYN洪水攻击B.跨站脚本攻击XSSC.SQL注入攻击D.端口扫描攻击答案：A解析：SYN洪水攻击利用TCP三次握手的设计缺陷，攻击者发送大量带有SYN标志位的连接请求，伪造源IP地址后，服务器回复SYN+ACK报文后不会收到攻击者的ACK报文，从而在服务器上产生大量半连接，占用服务器的连接资源和带宽，最终导致服务器无法响应合法用户的连接请求。XSS是攻击者向网页注入恶意脚本代码，诱导用户执行以获取用户敏感信息；SQL注入是攻击者通过在输入参数中插入恶意SQL语句，欺骗数据库执行非授权操作；端口扫描是探测目标开放端口和服务的探测行为，本身不属于资源消耗型的半连接攻击，因此A正确。5.某企业获得一个C类地址段192.168.10.0/24，需要划分为6个规模相同的子网，每个子网最少容纳25台可用主机，请问以下哪个是划分之后第四个子网（从0开始计数，子网位从高位开始划分）的网络地址？A.192.168.10.64B.192.168.10.96C.192.168.10.128D.192.168.10.160答案：B解析：C类地址原掩码为/24，主机位共8位。要满足6个子网的需求，子网位数量需要满足2^n≥6，因此n至少为3，对应剩余主机位为8-3=5位，可用主机数为2^5-2=30，满足每个子网最少25台可用主机的要求。划分后子网掩码为/27，块大小为256-224=32，子网从0开始计数依次为：0号子网192.168.10.0、1号子网192.168.10.32、2号子网192.168.10.64、3号子网192.168.10.96，第四个子网索引为3，对应网络地址为192.168.10.96，因此B正确。6.交换机Trunk端口默认仅允许VLAN1的流量通过，管理员需要让该Trunk端口允许VLAN10到VLAN20的流量通过，不修改VLAN1的允许状态，以下命令正确的是（思科IOS格式）？A.switchporttrunkallowedvlanadd10-20B.switchporttrunkallowedvlan10-20C.switchporttrunkallowedvlanexcept10-20D.switchporttrunknativevlan10-20答案：A解析：switchporttrunkallowedvlanadd命令的作用是在原有的允许VLAN列表基础上新增指定范围的VLAN，不会移除原有允许的VLAN，本题中原有默认允许VLAN1，新增10-20后VLAN1依然保留，符合题干需求。B选项switchporttrunkallowedvlan10-20会覆盖原有允许列表，仅保留10-20，VLAN1会被移除，不符合需求；C选项except的作用是允许除指定范围外的所有VLAN，不符合需求；D选项nativevlan用于指定Trunk中不打标签的本征VLAN，不能修改允许通过的VLAN范围，因此A正确。多项选择题1.以下关于SDN（软件定义网络）的描述，正确的有哪些？A.SDN将网络的控制平面和数据平面分离B.SDN的控制平面集中化，便于统一管理和调度网络资源C.OpenFlow是SDN控制平面和数据平面通信的主流南向协议D.SDN不支持传统网络设备，只能部署在全新的硬件架构上答案：ABC解析：软件定义网络SDN的核心设计就是控制与转发分离，控制平面集中化，通过开放接口实现网络的可编程化，A、B选项描述正确。OpenFlow协议是目前SDN领域应用最广泛的南向接口协议，负责控制器和交换机之间的流表交互，C描述正确。目前很多SDN解决方案支持对传统网络设备进行升级改造接入SDN架构，并非只能部署在全新硬件上，因此D错误，正确选项为ABC。多项选择题2.以下属于无线局域网WLAN安全机制的有？A.WEPB.WPA/WPA2C.WPA3D.802.11ac答案：ABC解析：WEP、WPA/WPA2、WPA3都是WLAN的加密认证安全机制，其中WEP安全性最低已经逐渐被淘汰，WPA2目前广泛应用，WPA3是最新的安全标准，提升了加密强度和抗攻击能力，ABC均符合要求。802.11ac是IEEE定义的无线局域网物理层传输标准，规定了5GHz频段的传输速率和调制方式，不属于安全机制，因此正确选项为ABC。综合分析题：某企业出口通过路由器R1连接运营商互联网，R1下联核心交换机S1，S1下联汇聚交换机S2（办公楼汇聚）和S3（研发楼汇聚），S2下联接入交换机为办公终端提供接入，研发区服务器段部署在S3下联。企业申请公网地址段202.10.10.0/24，内部使用私有地址段192.168.0.0/16，其中办公区为192.168.1.0/24，研发服务器区为192.168.2.0/24，需要满足以下需求：①所有内部终端都能访问互联网，公网地址复用；②外部互联网用户能够访问研发区的Web服务器，Web服务器内部地址为192.168.2.10，对外使用公网地址202.10.10.10；③禁止办公区终端主动访问研发服务器区的服务器，允许研发区主动访问办公区资源；④R1配置默认路由指向运营商，运营商下一跳地址为210.23.12.1。请回答以下问题：问题1：该企业需要在哪个设备上配置哪种地址转换技术满足需求1和需求2？请分别说明对应关系。参考答案及解析：需要在出口路由器R1配置NAT（网络地址转换），需求1需要配置PAT（端口地址转换，属于NAPT的一种），将所有内部私有地址转换为R1出口可用的公网地址，通过不同端口号区分不同内部连接，实现公网地址复用，满足所有终端访问互联网的需求；需求2需要配置静态NAT，将公网地址202.10.10.10和内部Web服务器地址192.168.2.10做一对一的静态地址映射，使得互联网用户发起的访问可以正确转发到内部的Web服务器。问题2：如果要满足需求3，该规则应该如何部署？请写出访问控制规则的配置逻辑。参考答案及解析：将规则部署在核心交换机S1连接S2的接口入方向最为合理，访问控制规则逻辑为：创建扩展访问控制列表，首先拒绝源地址为192.168.1.0/24、目的地址为192.168.2.0/24的所有IP报文，然后允许所有其他流