2026年计算机三级《网络技术》设计与应用试题及答案

2026年计算机三级《网络技术》设计与应用试题及答案一、单项选择题（每题1分，共40分）1.关于TCP/IP参考模型的描述中，错误的是（）。A.共分为四个层次B.最底层是网络接口层C.由IETF制定并推广D.传输层包括TCP与ICMP两种协议答案：D解析：TCP/IP参考模型的传输层主要协议是TCP和UDP，ICMP属于网络层协议。2.在OSI参考模型中，负责在两个相邻结点间的线路上无差错地传送以帧为单位的数据的是（）。A.物理层B.数据链路层C.网络层D.传输层答案：B解析：数据链路层的主要功能是在物理层提供的比特流服务基础上，在相邻节点之间建立数据链路，传送以帧为单位的数据。3.10BASE-T以太网采用的传输介质是（）。A.同轴电缆B.双绞线C.光纤D.无线电波答案：B解析：10BASE-T中的“T”代表双绞线（Twistedpair）。4.一个标准的C类IP地址，其默认的子网掩码是（）。A.B.C.D.55答案：C解析：C类IP地址的前三个字节为网络号，因此子网掩码为。5.IPv6地址2001:0DB8:0000:0000:0000:FF00:0042:8329的简化表示中，正确的是（）。A.2001:DB8::FF00:42:8329B.2001:DB8:0:0:0:FF00:42:8329C.2001:DB8::FF00:0042:8329D.2001:DB8:0::FF00:42:8329答案：A解析：IPv6地址简化规则：省略前导零，用双冒号“::”替代连续的一组或多个全零块，但“::”只能使用一次。选项A和B都正确，但A是最简形式。B也是可接受形式，但题目要求“简化表示”，A更符合简化原则。6.下列协议中，属于应用层协议的是（）。A.IPB.TCPC.DNSD.ARP答案：C解析：DNS（域名系统）是典型的应用层协议。IP、ARP属于网络层，TCP属于传输层。7.在以太网中，MAC地址的长度是（）位。A.32B.48C.64D.128答案：B解析：MAC地址，即物理地址或硬件地址，长度为48位（6字节）。8.使用Ping命令测试网络连通性时，使用的是ICMP的（）报文。A.地址掩码请求与应答B.时间戳请求与应答C.回送请求与回送应答D.目的不可达答案：C解析：Ping命令利用ICMP协议的回送请求（EchoRequest）和回送应答（EchoReply）报文来测试目的主机的可达性。9.关于集线器（Hub）与交换机（Switch）的描述，正确的是（）。A.集线器工作在数据链路层，交换机工作在物理层B.集线器所有端口共享带宽，交换机每个端口独享带宽C.集线器可以分割冲突域，交换机不能分割冲突域D.集线器基于MAC地址转发数据帧，交换机广播所有数据答案：B解析：集线器是物理层设备，所有端口处于一个冲突域和广播域，共享带宽；交换机是数据链路层设备，每个端口是一个独立的冲突域，基于MAC地址进行转发，每个端口独享带宽。10.FTP协议在传输文件时，默认使用的控制连接端口号是（）。A.20B.21C.22D.23答案：B解析：FTP使用两个TCP连接：控制连接（端口21，用于发送命令）和数据连接（端口20用于主动模式的数据传输）。11.在TCP连接建立过程中，会用到（）握手过程。A.两次B.三次C.四次D.五次答案：B解析：TCP是面向连接的可靠传输协议，通过“三次握手”建立连接。12.下列无线局域网标准中，工作在2.4GHz频段且理论速率最高可达600Mbps的是（）。A.IEEE802.11aB.IEEE802.11bC.IEEE802.11gD.IEEE802.11n答案：D解析：802.11n同时支持2.4GHz和5GHz频段，采用MIMO等技术，理论最高速率可达600Mbps。13.下列网络设备中，能够隔离广播域的是（）。A.中继器B.网桥C.二层交换机D.路由器答案：D解析：路由器工作在网络层，可以基于IP地址进行路由选择，其每个接口属于不同的广播域，因此能隔离广播域。中继器、网桥、二层交换机均不能隔离广播域。14.在子网划分中，从主机位借位形成子网位。如果一个C类网络需要划分为至少6个子网，每个子网至少容纳25台主机，则应从主机位中借用（）位作为子网位。A.2B.3C.4D.5答案：B解析：C类网络默认主机位为8位。需要至少6个子网，2^3=8>=6，所以需要借3位作为子网位。剩余5位主机位，每个子网可用IP数为2^5-2=30>=25，满足要求。15.关于SNMP协议的描述中，错误的是（）。A.采用管理者-代理模型B.管理信息库（MIB）是一个树形结构C.SNMPv3增强了安全性D.GET请求用于代理主动向管理者报告事件答案：D解析：GET请求是管理者向代理发出的读取请求。代理主动向管理者报告事件使用的是Trap或Inform报文。16.下列加密算法中，属于非对称加密算法的是（）。A.DESB.AESC.RSAD.IDEA答案：C解析：RSA是典型的非对称加密算法（公钥加密算法）。DES、AES、IDEA都属于对称加密算法。17.在DNS系统中，将域名映射为IP地址的过程称为（）。A.递归查询B.迭代查询C.正向解析D.反向解析答案：C解析：将域名转换为IP地址称为正向解析（正向查找）；将IP地址转换为域名称为反向解析（反向查找）。18.HTTP协议是一种（）协议。A.无状态、面向连接B.有状态、面向连接C.无状态、无连接D.有状态、无连接答案：A解析：HTTP协议基于TCP，是面向连接的。HTTP协议本身不记录之前通信的状态，是无状态协议。19.下列IP地址中，属于私有地址（PrivateAddress）的是（）。A.8B.5C.D.5答案：B解析：私有IP地址范围包括：/8，/12，/16。5属于/12范围。20.关于VLAN的描述，不正确的是（）。A.VLAN隔离了广播域B.VLAN间的通信需要三层设备C.基于端口划分VLAN是最常用的方法D.一个VLAN可以跨越多个物理交换机答案：A解析：VLAN隔离的是广播域，但同一VLAN内的设备仍然处于同一个广播域。VLAN将物理的局域网在逻辑上划分成多个广播域。21.在TCP的拥塞控制中，当发生超时或收到三个重复确认时，会进入（）阶段。A.慢启动B.拥塞避免C.快速重传D.快速恢复答案：A解析：TCP拥塞控制中，当发生超时（Timeout）时，会进入慢启动阶段，将拥塞窗口（cwnd）设置为1个MSS。收到三个重复确认（3DuplicateACKs）时，会进入快速重传和快速恢复阶段，但部分教材将超时事件视为更严重的拥塞，直接触发慢启动。22.下列协议中，用于自动分配IP地址的是（）。A.DNSB.FTPC.DHCPD.SNMP答案：C解析：DHCP（动态主机配置协议）用于为主机自动分配IP地址、子网掩码、默认网关等网络参数。23.在计算机网络中，带宽的单位通常用bps表示，其含义是（）。A.字节每秒B.字每秒C.位每秒D.千字节每秒答案：C解析：bps是bitspersecond的缩写，即比特每秒，位每秒。24.关于防火墙技术的描述，错误的是（）。A.包过滤防火墙工作在网络层B.代理服务器防火墙工作在应用层C.状态检测防火墙比包过滤防火墙安全性更高D.防火墙可以完全防止内部网络用户的攻击答案：D解析：防火墙主要防范来自外部的攻击，对于内部网络用户发起的攻击，如果流量不经过防火墙或符合放行规则，则无法防范。25.以下拓扑结构中，可靠性最高，但布线复杂、成本高的是（）。A.总线型B.星型C.环型D.网状型答案：D解析：网状拓扑结构中，节点之间有多条路径相连，容错性强，可靠性最高，但布线复杂，成本高昂。26.电子邮件系统使用的协议中，用于从邮件服务器读取邮件到客户端的是（）。A.SMTPB.POP3C.IMAPD.MIME答案：B解析：POP3（邮局协议第3版）和IMAP（互联网邮件访问协议）都可用于从服务器读取邮件，POP3是常用协议之一。SMTP用于发送邮件，MIME是邮件格式扩展。27.1000BASE-LX标准支持的最大传输距离，在使用单模光纤时约为（）。A.100米B.550米C.5公里D.10公里或更长答案：D解析：1000BASE-LX使用长波激光，支持多模光纤（550米）和单模光纤（可达5公里或更长，通常标准为5km，实际可达10km以上）。28.在OSPF路由协议中，用于标识路由器的唯一ID是（）。A.最小的接口IP地址B.最大的接口IP地址C.手工配置的RouterIDD.随机生成的数字答案：C解析：OSPF的RouterID是一个32位的数字，通常手动配置，也可以自动选择环回接口或物理接口中最大的IP地址，但为了稳定，推荐手动配置。29.下列网络攻击中，属于被动攻击的是（）。A.篡改消息B.拒绝服务C.流量分析D.伪造IP地址答案：C解析：被动攻击试图了解或利用系统的信息但不影响系统资源，如窃听和流量分析。主动攻击则试图改变系统资源或影响其运作，如篡改、拒绝服务、伪造等。30.关于NAT（网络地址转换）的描述，不正确的是（）。A.可以节省公有IP地址B.能够隐藏内部网络结构C.静态NAT是一对一的固定映射D.对端到端的加密通信没有影响答案：D解析：NAT会修改IP数据包的IP头部信息（如IP地址、端口号），这可能对某些需要检查或携带原始IP地址的应用层协议（如IPSec、FTP主动模式等）造成影响，可能破坏端到端的透明性。31.衡量网络时延的参数不包括（）。A.传播时延B.发送时延C.排队时延D.编码时延答案：D解析：网络中的总时延=发送时延+传播时延+处理时延+排队时延。编码过程通常发生在发送时延之前，不是独立的网络时延参数。32.在Linux系统中，用于查看网络接口配置信息的命令是（）。A.ipconfigB.ifconfigC.netstatD.ping答案：B解析：ifconfig用于查看和配置网络接口参数。ipconfig是Windows下的命令。33.以下关于CSMA/CD协议的描述，正确的是（）。A.用于令牌环网络B.全称是载波侦听多路访问/冲突避免C.应用于无线局域网D.发送数据前先侦听信道是否空闲答案：D解析：CSMA/CD（载波侦听多路访问/冲突检测）用于传统以太网（半双工）。其核心机制是“先听后发，边发边听，冲突停发，随机重发”。34.一个B类网络的子网掩码是，则该网络被划分成了（）个子网（不考虑全0全1子网的历史问题）。A.4B.8C.16D.32答案：C解析：B类网络默认掩码。现掩码，二进制为11111111.11111111.11110000.00000000。网络位向主机位借了4位，所以子网数量为2^4=16个。35.下列IPv6地址类型中，用于标识一组接口，数据包会被发送给该组中的所有接口的是（）。A.单播地址B.任播地址C.组播地址D.广播地址答案：C解析：IPv6中没有广播地址，用组播地址代替。组播地址用于标识一组接口，发往该地址的数据包会被组内所有接口接收。36.关于RIP路由协议，描述正确的是（）。A.使用链路状态算法B.最大跳数为16C.支持可变长子网掩码（VLSM）D.默认每隔90秒广播一次路由更新答案：B解析：RIP是距离矢量协议，最大跳数为15（16表示不可达），RIPv1不支持VLSM，RIPv2支持。默认更新周期为30秒。37.在Web服务中，HTTPS协议默认使用的端口号是（）。A.80B.110C.443D.8080答案：C解析：HTTP默认端口80，HTTPS（HTTPoverSSL/TLS）默认端口443。38.网络管理系统中，用于收集被管设备性能数据的功能域是（）。A.故障管理B.配置管理C.性能管理D.安全管理答案：C解析：性能管理负责收集和分析网络及设备的性能数据，如吞吐量、利用率、错误率、响应时间等。39.下列传输介质中，抗电磁干扰能力最强的是（）。A.同轴电缆B.非屏蔽双绞线（UTP）C.屏蔽双绞线（STP）D.光纤答案：D解析：光纤以光脉冲形式传输信号，完全不受外部电磁干扰（EMI）和射频干扰（RFI）的影响。40.关于数据报与虚电路服务的对比，错误的是（）。A.数据报不需要建立连接B.虚电路能保证分组顺序到达C.数据报方式中，每个分组独立选择路由D.虚电路方式中，网络不负责差错控制答案：D解析：虚电路服务是网络层面向连接的可靠服务，通常包含差错控制和流量控制（具体由网络实现决定）。数据报服务是无连接的，网络不保证可靠交付。二、综合应用题（共4题，共60分）1.某公司网络拓扑结构如下图所示（此处以文字描述）：公司总部通过一台路由器R1连接到互联网，内部网络划分为三个子网：行政部子网（VLAN10）、技术部子网（VLAN20）和服务器子网（VLAN30）。所有子网通过一台三层交换机S1互联。路由器R1的S0/0/0接口连接互联网，IP地址由ISP分配（假设为/30），其G0/0接口与三层交换机S1的G0/1接口相连。公司内部使用私有地址空间/16。要求：(1)为节约地址空间并满足需求，请为三个部门子网和路由器与交换机间的互联链路进行子网划分。要求每个子网可用IP地址数不少于50个，互联链路地址数不少于2个。请写出你选择的子网掩码，并列出VLAN10、VLAN20、VLAN30以及R1G0/0接口、S1G0/1接口的IP地址配置（包括IP地址和子网掩码）。（10分）(2)为了让内部网络能够访问互联网，需要在路由器R1上配置NAT。假设公司从ISP获得了一个公网IP地址池0-0。请写出在R1上配置PAT（端口地址转换，即NATOverload）的关键命令序列（以通用路由器配置命令格式）。（8分）(3)在三层交换机S1上需要配置各VLAN的虚拟接口（SVI）并启用路由功能，同时需要配置默认路由指向R1的内部接口。请写出关键配置命令。（7分）答案：(1)子网划分方案：使用/16地址块。要求每个子网可用IP地址数≥50，则主机位需要满足2^h2≥50，h≥6（2^6-2=62）。网络位向主机位借位：32-16-6=10，子网位有10位，可划分2^10=1024个子网，满足要求。因此子网掩码为：92或/26。子网划分及IP配置（方案之一）：互联链路(R1G0/0S1G0/1)：子网/30R1G0/0:/30S1G0/1:/30VLAN10(行政部)：子网4/26S1VLAN10SVI:5/26(网关地址)可用主机地址范围：626VLAN20(技术部)：子网28/26S1VLAN20SVI:29/26(网关地址)可用主机地址范围：3090VLAN30(服务器)：子网92/26S1VLAN30SVI:93/26(网关地址)可用主机地址范围：9454(2)路由器R1PAT配置关键命令：```interfaceGigabitEthernet0/0//内网接口ipnatinside!interfaceSerial0/0/0//外网接口ipaddress52ipnatoutside!ipnatpoolPUBLIC_POOL00netmaskaccess-list1permit55//定义内部允许转换的地址ipnatinsidesourcelist1poolPUBLIC_POOLoverload```或者使用接口地址进行PAT（更常见）：```interfaceGigabitEthernet0/0ipnatinsideinterfaceSerial0/0/0ipaddress52ipnatoutsideaccess-list1permit55ipnatinsidesourcelist1interfaceSerial0/0/0overload```(3)三层交换机S1配置关键命令：```vlan10nameAdminvlan20nameTechvlan30nameServer!interfaceGigabitEthernet0/1//连接路由器的接口noswitchport//配置为路由端口ipaddress52!interfaceVlan10ipaddress592interfaceVlan20ipaddress2992interfaceVlan30ipaddress9392!iprouting//启用IP路由功能iproute//配置默认路由指向R1```2.某大学校园网核心层采用两台三层交换机互为备份，接入层采用二层交换机。网络管理员发现近期网络中存在大量的ARP欺骗攻击，导致部分用户无法正常上网。(1)请解释ARP欺骗攻击的基本原理。（5分）(2)列举三种可以在交换机上实施的、防范或缓解ARP欺骗攻击的技术措施，并简要说明其原理。（9分）(3)除了在交换机上采取措施，还可以在用户终端上如何防范ARP欺骗？（6分）答案：(1)ARP欺骗攻击原理：攻击者通过伪造ARP请求和应答报文，篡改目标主机或网关的IP地址与MAC地址映射关系。例如，攻击者向被攻击主机A发送伪造的ARP应答，声称网关的IP地址对应攻击者主机的MAC地址；同时向网关发送伪造的ARP应答，声称主机A的IP地址对应攻击者主机的MAC地址。这样，主机A与网关之间的通信流量都会被重定向到攻击者主机，攻击者可以实施监听、篡改或中间人攻击。(2)交换机上的防范措施：a.端口安全（PortSecurity）：将交换机端口与特定的MAC地址绑定，或者限制端口学习MAC地址的数量。当检测到未授权的MAC地址或MAC地址数量超过阈值时，可采取关闭端口、丢弃帧等动作，防止攻击者接入网络后发送伪造ARP报文。b.动态ARP检测（DAI，DynamicARPInspection）：DAI依赖于DHCP侦听（DHCPSnooping）建立的合法IP-MAC绑定数据库。对于非信任端口（如接入用户端口）收到的ARP报文，DAI会检查其IP-MAC映射关系是否与数据库匹配。丢弃非法的ARP报文，从而阻止ARP欺骗。c.IP源防护（IPSG，IPSourceGuard）：同样基于DHCPSnooping数据库。在端口上启用后，只允许从该端口发出的、源IP地址符合绑定关系的IP流量通过。这可以防止攻击者使用伪造的源IP地址发送ARP欺骗或其他攻击报文。(3)用户终端防范措施：a.安装ARP防火墙软件，可以检测并拦截本机收到的异常ARP报文，维护正确的ARP缓存表。b.在操作系统上静态绑定网关和重要服务器的IP-MAC地址。例如，在Windows中使用`arp-s`命令将网关IP和其正确的MAC地址进行静态绑定，防止被动态更新。c.保持操作系统和应用程序的更新，及时修补可能被利用的漏洞。提高用户安全意识，不轻易点击不明链接或安装不明软件，防止终端被恶意软件控制成为攻击源。3.阅读以下关于网络故障排除的描述，回答问题。现象：某办公室一台计算机PC1（IP:00/24）突然无法访问同一局域网内的文件服务器FS（IP:0/24），但可以访问互联网网站。网络拓扑简单，所有设备连接在同一台二层交换机上，网关为。排错过程：管理员在PC1上进行了如下测试：测试1：`ping`，成功。测试2：`ping00`，成功。测试3：`ping`，成功。测试4：`ping0`，失败，显示“Requesttimedout”。测试5：`arp-a`，查看ARP缓存表，发现0对应的MAC地址为“00-1A-2B-3C-4D-5E”。测试6：在文件服务器FS上`ping00`，失败。测试7：检查交换机，发现PC1和FS所连接的端口均处于UP状态，且属于同一个VLAN。(1)根据测试1-4的结果，可以初步判断问题出在OSI参考模型的哪一层或哪几层之间？为什么？（5分）(2)测试5中看到的MAC地址“00-1A-2B-3C-4D-5E”可能是谁的MAC地址？这暗示了什么可能的问题？（4分）(3)结合所有测试现象，推断最可能的故障原因是什么？并给出验证该推断的下一步操作建议。（6分）答案：(1)根据测试结果，可以初步判断问题出在网络层及以下，但数据链路层可能有问题。具体分析：测试1、2成功，说明PC1的TCP/IP协议栈和网卡驱动正常（网络层以上及本地环回）。测试3成功，说明PC1到网关的物理连接、数据链路层（本地局域网内ARP解析、交换机转发）和网络层（IP配置、路由）均正常。测试4失败，而测试3成功，说明物理连通性基本没问题，问题可能出在PC1到FS的路径上，具体可能是FS本身的问题、PC1与FS之间的数据链路层通信问题（如ARP异常）、或者网络层访问控制（如FS的防火墙）等问题。由于同属一个子网，不涉及路由，因此问题聚焦在数据链路层或FS主机本身。(2)MAC地址“00-1A-2B-3C-4D-5E”很可能不是文件服务器FS的真实MAC地址，而可能是攻击者伪造的MAC地址，或者是网络中另一台设备的MAC地址。这强烈暗示存在ARP欺骗/ARP缓存中毒。PC1的ARP缓存中关于FS的IP-MAC映射是错误的，导致PC1发往FS的数据帧被送到了错误的MAC地址（即00-1A-2B-3C-4D-5E对应的设备），从而无法到达真正的FS。(3)最可能的故障原因是：网络中存在ARP欺骗攻击，导致PC1的ARP缓存中关于文件服务器FS（0）的MAC地址条目被篡改。验证推断的下一步操作建议：a.在PC1上，先使用`arp-d0`命令清除错误的ARP缓存条目。b.然后尝试`ping0`。此时PC1会发送ARP请求广播。立刻在PC1上再次执行`arp-a`，查看新学习到的0对应的MAC地址是什么。如果与FS真实的MAC地址（需从FS或网络管理资料中获知）一致，则可能是临时性ARP欺骗；如果不一致，则确认存在持续ARP欺骗。c.在交换机上，检查PC1和FS所连端口的MAC地址学习表（`showmac-address-table`），确认从这两个端口学到的MAC地址是否正确。如果发现异常MAC地址（如00-1A-2B-3C-4D-5E）出现在其他端口，则可能定位到攻击源。d.在文件服务器FS上，检查其ARP缓存中关于PC1（00）的MAC地址是否正确。同样可能被篡改，这解释了测试6中FS无法ping通PC1的原因。4.某企业计划部署一个无线局域网（WLAN），覆盖办公区域。要求支持高速数据传输，满足移动办公和视频会议需求，并具备良好的安全性和管理性。(1)当前主流的无线局域网标准是IEEE802.11ac和802.11ax。请比较两者在工作频段、最大理论速率和关键技术方面的主要区别。（9分）(2)为了保障WLAN安全，避免使用已被破解的WEP和存在脆弱性的WPA/WPA2-PSK，计划采用基于802.1X认证的企业级WPA2/WPA3方案。请简述该方案的认证过程（涉及客户端、无线接入点AP和认证服务器RADIUS）。（8分）(3)在部署多个AP时，为避免同频干扰，需要进行信道规划。对于2.4GHz频段（仅考虑1,6,11三个互不重叠的信道），若在一个长条形的办公区域部署3个AP以实现覆盖，请画出AP位置与信道分配的示意图，并说明这样分配的理由。（7分）答案：(1)主要区别：特性IEEE802.11ac(Wi-Fi5)IEEE802.11ax(Wi-Fi6)工作频段仅工作在5GHz频段。同时支持2.4GHz和5GHz频段。最大理论速率单流最高约867Mbps，借助多流（MIMO）等技术，最高可达约6.9Gbps（8流，160MHz带宽）。单流最高约1.2Gbps，理论最高速率可达9.6Gbps（8流，160MHz带宽）。相比11ac，在相同天线数量下提升约37%。关键技术核心：更宽的信道绑定（最高160MHz