2026年华为认证HCIE-Datacom实验考试题库

2026年华为认证HCIE-Datacom实验考试题库【拓扑场景描述】某大型跨国企业“Future-Tech”计划重构其全球网络基础设施，采用全新的“云-边-端”一体化架构。网络主要包含三个核心区域：北京总部数据中心、园区接入网以及通过广域网连接的上海分支机构。整个网络要求全面支持IPv6，并引入SRv6（SegmentRoutingoverIPv6）技术实现跨域灵活调度。设备清单与角色：1.数据中心（DC）：采用Spine-Leaf架构。Spine1、Spine2为核心交换机；Leaf1、Leaf2为接入交换机，连接服务器与防火墙墙。2.园区网络：Core1、Core2为园区核心；Agg1、Agg2为汇聚；Acc1、Acc2为接入层。3.广域互联：PE1（北京侧）、PE2（上海侧）为运营商边界设备；P1、P2为广域网核心骨干路由器。4.安全设备：FW1为数据中心边界防火墙；FW2为园区出口防火墙。5.控制器：iMasterNCE-Campus作为统一网络控制器。所有设备均运行VRP操作系统，版本需支持YANG模型、Telemetry遥测及SRv6特性。【第一部分：数据中心网络设计与实现（25分）】任务1.1：Underlay网络构建在数据中心Spine-Leaf架构下，构建基于IPv6的Underlay网络。1.依据拓扑图，完成所有设备物理接口IP地址配置。Loopback0地址格式为2001:DB8:X::X/128，其中X为设备ID。2.在Spine和Leaf设备上部署OSPFv3进程1，实现IPv6路由互通。要求所有Loopback0路由全网可达。3.优化OSPFv3配置，在Spine与Leaf的互联链路上将网络类型配置为P2P，以减少LSA泛洪数量。任务1.2：VXLANEVPN部署在Leaf1和Leaf2上部署VXLAN，作为Overlay网络承载业务流量。1.配置BGPEVPN作为控制平面。Spine1和Spine2作为BGPRouteReflector（RR），Leaf1和Leaf2作为Client。AS号为65000。2.创建Bridge-Domain（BD）和VNI。BD10：VNI5010，承载业务VLAN10。BD20：VNI5020，承载业务VLAN20。3.在Leaf1和Leaf2上配置EVPN实例，并配置二层子接口接入业务VLAN。实现同VPC（VirtualPortChannel）双活接入。4.配置Anycast网关功能。在Leaf1和Leaf2上为BD10和BD20配置相同的虚拟IPv4网关地址（网关地址分别为54/24和54/24）和虚拟MAC地址（00:00:00:00:00:99）。任务1.3：计算题假设Leaf1与Spine1之间的链路带宽为100Gbps，在部署VXLAN时，采用了Head-End复制方式处理BUM（广播、未知单播、组播）流量。若当前BD10中有100个Host接入，且这100个Host分布在Leaf1和Leaf2各50个。当Leaf1下的HostA发送一个广播包时，Leaf1需要复制并发送的流量副本数量是多少？请列出计算过程。答案与解析：任务1.1答案：```bash#以Leaf1为例sysnameLeaf1interface10GE1/0/1undoportswitchipv6enableipv6address2001:DB8:11::1/64ospfv3network-typep2pinterfaceLoopBack0ipv6enableipv6address2001:DB8:11::11/128ospfv31router-id1areanetwork2001:DB8:11::11/128network2001:DB8:11::/64```解析：配置IPv6地址是基础，OSPFv3用于IPv6路由。P2P网络类型避免了DR/BDR选举，适合点对点链路，减少开销。任务1.2答案：```bash#Leaf1配置片段bgp65000peer2001:DB8:1::1as-number65000#Spine1Loopbackpeer2001:DB8:1::1connect-interfaceLoopBack0peer2001:DB8:2::2as-number65000#Spine2Loopbackpeer2001:DB8:2::2connect-interfaceLoopBack0#ipv4-familyunicastpeer2001:DB8:1::1enablepeer2001:DB8:2::2enable#l2vpn-familyevpnpolicyvpn-targetpeer2001:DB8:1::1enablepeer2001:DB8:1::1reflect-clientpeer2001:DB8:2::2enablepeer2001:DB8:2::2reflect-client#bridge-domain10vxlanvni5010evpnroute-distinguisher10:1vpn-target10:1export-extcommunityvpn-target10:1import-extcommunity#vxlantunnelvtep-bindsource2001:DB8:11::11vni5010bindpeer2001:DB8:12::12#Leaf2VTEPIP#interfaceGigabitEthernet0/0/1.10model2encapsulationdot1qvid10bridge-domain10#interfaceVbdif10ipaddress54mac-address0000-0000-0099#AnycastMACarpdistribute-gatewayenable```解析：BGPEVPN通过Type-2路由（MAC/IP）和Type-3路由（InclusiveMulticast）自动建立VXLAN隧道。Anycast网关通过配置相同的虚拟MAC和IP，实现网关级冗余和负载分担，配合`arpdistribute-gateway`实现分布式ARP代理。任务1.3答案与解析：解析：在Head-End复制模式下，VTEP（Leaf1）收到本地接入的广播流量后，需要将其复制并发送给所有其他拥有相同VNI的VTEP。当前拓扑中，VNI5010存在于Leaf1和Leaf2。Leaf1本地有50个Host，Leaf2有50个Host。当Leaf1下的Host发送广播时：1.Leaf1本地处理：由于是二层广播，Leaf1会在本地BD内泛洪，复制给本地其他49个Host（不含源Host）。2.远端复制：Leaf1需要将广播包封装在VXLAN中，发送给远端VTEP（Leaf2）。因为Leaf2下有该VNI的Host，Leaf1必须向Leaf2发送一份拷贝。题目主要询问“Leaf1需要复制并发送的流量副本数量”。通常在考察VXLAN头端复制性能时，关注的是跨设备复制的份数。Leaf1需要发送给远端VTEPLeaf2。副本数量N=TotalVTEPs-LocalVTEP=2-1=1份（发送给Leaf2的VXLAN封装包）。若题目理解为“物理端口发出的总包数”（包括本地二层泛洪），则公式为：NNtotal注：在HCIE实验考试中，通常关注的是控制平面建立的隧道数量或数据平面封装的负载。此处标准答案倾向于关注头端复制机制下，需要向远端VTEP发送的封装包数量。答案：1份（发送给Leaf2的VXLAN隧道封装包）。【第二部分：广域网互联与SRv6部署（30分）】任务2.1：广域网IPv6路由在PE1、PE2、P1、P2之间配置IS-ISIPv6，实现骨干网互联。1.所有设备配置Level-2路由能力。2.启用IPv6拓扑，确保Loopback接口路由全网发布。3.在PE1和PE2上使能BGP-IPv6单播邻居关系，用于后续携带VPNv4/v6路由。任务2.2：SRv6BE（BestEffort）VPN部署利用SRv6技术实现北京总部与上海分支机构的互通。1.在PE1和PE2上配置SRv6Locator。PE1Locator名称：PE1_LOC，前缀：2001:DB8:100::/64，SID分配长度为32。PE2Locator名称：PE2_LOC，前缀：2001:DB8:200::/64，SID分配长度为32。2.配置VPN实例“VPNA”，配置RD和RT。3.在VPN实例IPv6地址族视图下，使能SRv6，指定End.DT4（用于承载IPv4业务）和End.DT6（用于承载IPv6业务）SID。4.在PE1和PE2的BGPVPNv4/v6地址族视图下，配置对等体，并使能SRv6能力。5.在PE1连接总部的接口（GE1/0/0）绑定VPN实例VPNA，IP地址为/24。6.在PE2连接分支的接口（GE1/0/0）绑定VPN实例VPNA，IP地址为/24。任务2.3：SRv6TEPolicy流量工程为了保障关键业务流量，需要在PE1到PE2之间部署一条显式路径的SRv6TEPolicy。1.配置SIDNodeSegment。在P1和P2上配置EndSID。2.在PE1上配置隧道策略，指定显式路径列表：PE1->P1->P2->PE2。3.配置流量引流，将源IP为/24的流量引入该SRv6TEPolicy。答案与解析：任务2.1答案：```bash#以PE1为例isis1is-levellevel-2network-entity49.0001.0000.0000.0001.00ipv6enabletopologyipv6interface10GE1/0/2ipv6enableipv6address2001:DB8:30::1/64isisipv6enable1interfaceLoopBack0ipv6enableipv6address2001:DB8:30::11/128isisipv6enable1```任务2.2答案：```bash#PE1配置segment-routingipv6locatorPE1_LOCipv6-prefix2001:DB8:100::64static32#ipvpn-instanceVPNAipv4-familyroute-distinguisher100:1vpn-target100:1export-extcommunityvpn-target100:1import-extcommunitysegment-routingipv6locatorPE1_LOC#interfaceGigabitEthernet1/0/0ipbindingvpn-instanceVPNAipaddress#bgp65000peer2001:DB8:30::22as-number65000#PE2Loopback#ipv6-familyunicastpeer2001:DB8:30::22enable#ipv4-familyvpn-instanceVPNAsegment-routingipv6best-effortpeer2001:DB8:30::22enablepeer2001:DB8:30::22prefix-sid```解析：SRv6通过IPv6扩展头承载SID，无需MPLS标签。Locator定义了SID的网段范围。`End.DT4`SID用于标识解封装并查找IPv4转发表的动作。任务2.3答案：```bash#配置显式路径sr-tepolicypolicy-pe1-pe2color10end-pointipv62001:DB8:30::22candidate-pathspreference100segment-listlist1index10sidipv62001:DB8:30::33#P1NodeSID(假设)index20sidipv62001:DB8:30::44#P2NodeSID(假设)index30sidipv62001:DB8:200::#PE2EndSID(Locator)##流量引流traffic-policyp1classifierc1behaviorb1classifierc1operatororif-matchsource-ip55behaviorb1sr-tepolicycolor10end-pointipv62001:DB8:30::22#interfaceGigabitEthernet1/0/0traffic-policyp1inbound```解析：SRv6TEPolicy通过Color和Endpoint标识。Segment-list定义了严格的转发路径，确保流量经过指定的中间节点P1和P2，满足SLA要求。【第三部分：园区网络与自动化运维（20分）**任务3.1：园区WLAN高可靠性在园区网络Core1/Core2、Agg1/Agg2及AP（AccessPoint）之间部署WLAN业务。1.配置核心交换机作为DHCPServer，为AP和STA（Station）分配地址。2.配置N+1备份，Core1为主AC，Core2为备AC。3.配置AP认证模式为MAC认证，并配置ESSID为“Future-Tech_Guest”。4.要求STA在二层漫游时，业务不中断。任务3.2：Telemetry遥测配置为了实现网络运维的可视化，需要在Core1上配置Telemetry，将数据上报至iMasterNCE-Campus（假设IP为00）。1.配置Telemetry采样传感器组，监控接口流量统计（接口名称：GigabitEthernet1/0/1）。2.配置采样周期为10秒。3.配置目的组，协议为gRPC，端口为10000。任务3.3：Python自动化脚本编写一个Python脚本（使用HuaweiTelemetry或NetconfAPI），实现批量修改全网设备的系统时间。注：本题需提供脚本核心逻辑代码。答案与解析：任务3.1答案：```bash#Core1配置dhcpenableippoolap-poolnetworkmaskgateway-listippoolsta-poolnetworkmaskgateway-list#wlanacsysnameCore1ap-system-profiledefaultap-auth-modemac-authap-id0ap-macxxxx-xxxx-xxxxap-nameAP-Office1ap-groupdefault#vap-profiledefaultservice-vlanvlan-id100ssid-profileFuture-Tech_Guest```解析：N+1备份中，主AC负责AP管理和业务转发，备AC仅同步状态。二层漫游通过在AC上维护STA的关联信息，并在新AP上快速建立隧道实现。任务3.2答案：```bashtelemetrysensor-groupinterface_statssensor-pathhuawei-ifm:ifm/interfaces/interface[name="GigabitEthernet1/0/1"]/statisticsdestination-groupnce_serveripv4-address00port10000protocolgrpcsubscriptionsubscription1sensor-groupinterface_statssample-interval10000destination-groupnce_server```解析：Telemetry基于gRPC进行高效数据上报。Sensor-path基于YANG模型定义数据节点，`sample-interval`单位为毫秒。任务3.3答案：```pythonimportncclient.managerasmanagerfromncclient.xml_import*importtime#设备连接信息device={"host":"","port":830,"username":"admin","password":"Huawei@123","device_params":{"name":"huawei"}}#RPCPayloadtosetsystemtime#构造NETCONFXMLPayload，设置系统时间current_time=time.strftime("%Y-%m-%d%H:%M:%S",time.localtime())payload="""<systemxmlns="urn:huawei:params:xml:ns:yang:huawei-system"><system-time><current-time>{}</current-time></system-time></system>""".format(current_time)defset_system_time():try:#建立NETCONF会话withmanager.connect(**device)asm:print(f"Connectedto{device['host']}")#发送edit-configRPCresponse=m.edit_config(target='running',config=payload)print("Systemtimeupdatedsuccessfully.")print(response.xml)exceptExceptionase:print(f"Anerroroccurred:{e}")if__name__=="__main__":set_system_time()```解析：脚本使用了Python的`ncclient`库，这是华为网络自动化常用的库。通过NETCONF协议发送`edit-config`请求，修改`huawei-system`YANG模型下的`current-time`节点。实际考试中可能要求使用Telemetry的动态订阅或更复杂的批量处理逻辑。【第四部分：网络安全与边界防护（15分）**任务4.1：防火墙安全策略在FW1（数据中心边界）上配置安全策略。1.配置默认策略为拒绝。2.允许内部网络（/8）访问互联网的HTTP（TCP80）和HTTPS（TCP443）流量。3.拒绝任何来自互联网区域（Untrust）访问内部数据库网段（/24）的流量。4.启用深度包检测（DPI），对出方向流量进行病毒扫描。任务4.2：IPSecVPN配置在FW1和FW2之间建立IPSecVPN，用于保护总部与分支机构间的管理流量。1.IKE版本使用IKEv2。2.认证算法为SHA2-256，加密算法为AES-256。3.使用预共享密钥“Huawei2026”。4.定义感兴趣流（ACL）：/16<->/16。答案与解析：任务4.1答案：```bash#FW1配置firewallzonetrustaddinterface10GE1/0/1firewallzoneuntrustaddinterface10GE1/0/2#security-policyrulenameAllow_Internet_Accesssource-zonetrustdestination-zoneuntrustsource-addressmaskservicehttphttpsactionpermitrulenameDeny_DB_Accesssource-zoneuntrustdestination-zonetrustdestination-addressmaskactiondenyrulenameDefault_Denyactiondeny#profileavdefaultuncompressav#defencepolicyenable```解析：华为USG防火墙的安全策略是按顺序匹配的。DPI（防病毒）需要配置profile并在全局或特定策略下调用。任务4.2答案：```bash#FW1IKEProposalikeproposal10encryption-algorithmaes-256authentication-algorithmsha2-256dhgroup14##IKEPeerikepeerfw2pre-shared-keyHuawei2026remote-address#FW2WANIPike-proposal10##IPSecProposalipsecproposal10encapsulation-modetunneltransformespespauthentication-algorithmsha2-256espencryption-algorithmaes-256##IPSecPolicyipsecpolicymap110isakmpsecurityacl3000ike-peerfw2proposal10#aclnumber3000rule5permitipsource55destination55#interface10GE1/0/3ipsecpolicymap1```解析：IPSecVPN配置涉及IKE（阶段1）和IPSec（阶段2）两套协商参数。ACL定义了需要加密保护的流量范围。【第五部分：故障排查与综合优化（10分）**任务5.1：BGP路由黑洞故障在完成SRv6配置后，发现北京总部的用户无法Ping通上海分支机构的服务器（0）。故障现象：PE1上查看到去往0的路由下一跳为PE2的Loopback地址，但在PE1的转发表中找不到对应的SRv6SID出接口。请分析可能的原因，并给出修复命令。任务5.2：OSPF邻居无法建立在园区核心交换机Core1和Core2之间配置OSPF，但邻居状态一直卡在Init状态。1.检查发现Core1的OSPF接口MTU配置为1500，Core2的OSPF接口MTU配置为9000（JumboFrame）。2.请给出解决该问题的两种方法。任务5.3：网络收敛速度优化在广域网IS-IS网络中，为了提高链路故障时的收敛速度，需要配置BFD（BidirectionalForwardingDetection）与IS-IS联动。请写出在PE1与P1的互联接口上配置BFD单跳检测的命令，并设置检测间隔为10ms，检测倍数为3。答案与解析：任务5.1答案与解析：原因分析：这是典型的SRv6路由黑洞问题。虽然BGPVPNv4路由已传递，但本地PE1可能没有生成到远端End.DT4SID的SRv6转发表项。这通常是因为：1.本地Locator未正确发布或IS-IS/BGP未携带SID信息。2.远端PE2的SID未通过BGPEVPN或SRv6扩展属性正确传递给PE1。3.路由迭代失败，PE1不知道去往PE2SID的IPv6路径。修复命令：```bash#1.检查并确保BGPIPv6邻居Up，且SRv6能