2026年中级网络工程师考试题库及答案(真题版)

2026年中级网络工程师考试题库及答案(真题版)1.单项选择题（每题1分，共30分）1.1在OSI七层模型中，负责端到端可靠数据传输的是A.网络层  B.传输层  C.会话层  D.数据链路层答案：B1.2下列关于IPv6地址2035:0000:130F:0000:0000:09C0:876A:130B的写法，正确的是A.2035::130F::9C0:876A:130B  B.2035:0:130F::9C0:876A:130BC.2035::130F:0:0:9C0:876A:130B  D.2035:0:130F::9C0:876A:130B答案：B1.3在BGP路由选择过程中，首先比较的属性是A.MED  B.Local_Pref  C.AS_Path  D.Origin答案：B1.4某交换机收到一个目的MAC为FFFF.FFFF.FFFF的帧，其处理方式为A.丢弃  B.只泛洪到同一VLAN的所有端口  C.只转发到trunk端口  D.只转发到access端口答案：B1.5下列关于802.11ax（Wi-Fi6）的OFDMA技术描述正确的是A.仅下行方向使用  B.仅上行方向使用  C.上下行均支持  D.需终端支持MU-MIMO才生效答案：C1.6在Linux系统中，永久关闭IPv6协议，应修改的配置文件是A./etc/sysctl.conf  B./etc/hosts  C./etc/network/interfaces  D./etc/resolv.conf答案：A1.7使用Wireshark捕获时，过滤条件“tcp.flags.syn==1andtcp.flags.ack==0”表示A.捕获所有SYN报文  B.捕获所有SYN+ACK报文  C.捕获所有FIN报文  D.捕获所有RST报文答案：A1.8在MPLS网络中，用于分发标签的协议是A.LDP  B.RSVP-TE  C.BGP  D.OSPF答案：A1.9下列关于SNMPv3的安全特性，错误的是A.支持认证  B.支持加密  C.使用community字符串  D.基于用户的安全模型答案：C1.10在STP中，决定根桥的首要依据是A.MAC地址  B.端口优先级  C.桥ID优先级  D.路径开销答案：C1.11某企业网使用私网地址/8，需划分4000个子网，每个子网至少支持800台主机，合适的掩码是A./20  B./21  C./22  D./23答案：B1.12在DNS查询过程中，负责返回权威应答的服务器是A.递归解析器  B.根服务器  C.顶级域服务器  D.权威服务器答案：D1.13下列关于VXLAN的说法，正确的是A.使用MPLS封装  B.VNI长度为24bit  C.仅支持L2overL3  D.控制面必须使用EVPN答案：B1.14在IPv6无状态地址自动配置过程中，主机通过哪条报文获取默认网关A.RS/RA  B.NS/NA  C.DHCPv6Solicit  D.DHCPv6Advertise答案：A1.15下列关于零信任架构的描述，错误的是A.默认信任内部网络  B.基于身份认证  C.动态访问控制  D.持续信任评估答案：A1.16在SSL/TLS握手阶段，服务器发送的报文是A.ClientHello  B.ServerHello  C.ChangeCipherSpec  D.Finished答案：B1.17下列关于RAID10的描述，正确的是A.最少需要2块盘  B.允许任意两块盘同时损坏  C.先镜像后条带  D.容量利用率为50%答案：D1.18在Python中，使用socket模块创建TCP服务端时，必须调用的顺序是A.socket()→bind()→listen()→accept()  B.socket()→connect()→send()C.socket()→bind()→send()  D.socket()→listen()→bind()答案：A1.19下列关于SD-WAN的说法，正确的是A.必须使用专用硬件  B.无法整合多条Internet链路  C.支持基于应用选路  D.控制面采用传统OSPF答案：C1.20在WindowsServer2022中，实现网络策略服务器（NPS）角色主要用于A.NAT  B.RADIUS认证  C.DHCP分配  D.DNS解析答案：B1.21下列关于光纤类型描述，单模光纤的特点是A.芯径大  B.使用LED光源  C.传输距离远  D.成本低答案：C1.22在BGPEVPN中，用于通告主机MAC地址的RT类型是A.RT2  B.RT3  C.RT5  D.RT1答案：A1.23下列关于Linuxiptables链的描述，处理本机进程发出数据包的是A.INPUT  B.FORWARD  C.OUTPUT  D.PREROUTING答案：C1.24在802.1X认证中，负责控制端口授权状态的实体是A.Supplicant  B.Authenticator  C.AuthenticationServer  D.ASIC答案：B1.25下列关于网络虚拟化Overlay说法，错误的是A.解耦物理与逻辑网络  B.支持跨三层的大二层  C.必须运行BGP  D.可使用VXLAN封装答案：C1.26在IPv4首部中，用于防止无限循环的字段是A.Protocol  B.TTL  C.Flags  D.IHL答案：B1.27下列关于HTTP/2的特性，错误的是A.多路复用  B.头部压缩  C.基于文本协议  D.服务器推送答案：C1.28在SNMP中，OID..0表示A.系统描述  B.系统运行时间  C.系统名称  D.系统位置答案：B1.29下列关于RAID5写惩罚（WritePenalty）的描述，正确的是A.1  B.2  C.4  D.8答案：C1.30在PythonScapy中，发送三层数据包并等待响应的函数是A.send()  B.sendp()  C.sr()  D.sr1()答案：C2.多项选择题（每题2分，共20分，多选少选均不得分）2.1下列哪些协议支持明文传输A.Telnet  B.FTP  C.SNMPv2c  D.HTTP  E.SSH答案：ABCD2.2关于OSPFLSA类型，属于区域内部的是A.Type1  B.Type2  C.Type3  D.Type4  E.Type5答案：AB2.3下列哪些技术可实现数据中心大二层A.TRILL  B.SPB  C.VXLAN  D.OTV  E.LACP答案：ABCD2.4下列关于Linuxbonding模式，支持负载均衡的是A.mode=0  B.mode=1  C.mode=2  D.mode=4  E.mode=6答案：ACDE2.5下列哪些端口属于HTTP/3A.TCP80  B.TCP443  C.UDP443  D.UDP80  E.QUIC答案：CE2.6下列关于IPv6扩展首部，哪些必须被路径上每一跳处理A.逐跳选项  B.目的选项  C.路由首部  D.分段首部  E.认证首部答案：A2.7下列哪些攻击可导致交换机MAC表溢出A.MACFlooding  B.DHCPStarvation  C.ARPSpoofing  D.STPBPDU攻击  E.CDP攻击答案：AB2.8下列关于WAN优化技术，属于数据冗余消除的是A.WAFS  B.DRE  C.LZ压缩  D.TCP代理  E.SDR答案：BE2.9下列哪些命令可查看Linux路由表A.route-n  B.iproute  C.netstat-rn  D.ss-r  E.traceroute答案：ABC2.10下列关于802.11i安全套件，包含A.WEP  B.TKIP  C.CCMP  D.GCMP  E.AES答案：BCDE3.填空题（每空1分，共20分）3.1在TCP三次握手中，客户端发送的第二个报文标志位为________与________。答案：SYN；ACK3.2IPv6地址中，用于本地链路通信的前缀为________。答案：FE80::/103.3在BGP中，公认必遵属性有ORIGIN、AS_PATH、________。答案：NEXT_HOP3.4在Linux中，查看当前系统监听TCP80端口的命令为ss-________。答案：ltnp3.5在MPLS中，标签栈深度理论上最多________层。答案：2553.6在STP中，端口状态由Blocking到Forwarding，中间需经历________状态。答案：Listening、Learning（两空均答方可得分）3.7在DNSSEC中，用于验证资源记录签名的记录类型是________。答案：RRSIG3.8在802.1Q帧中，TPID字段值为________（十六进制）。答案：0x81003.9在SNMP中，管理信息库的名称缩写为________。答案：MIB3.10在VXLAN中，用于封装原始以太网帧的UDP目的端口为________。答案：47893.11在IPv4选项中，用于记录路径的选项号为________。答案：73.12在BGPEVPN中，RT2路由携带的MAC长度字段值为________字节。答案：63.13在RAID6中，允许同时损坏的磁盘数量为________块。答案：23.14在HTTP响应码中，表示永久重定向的码为________。答案：3013.15在Linux中，将网卡eth0加入bridgebr0的命令为brctl________eth0。答案：addif3.16在SSL/TLS中，用于协商对称密钥的算法称为________密钥交换。答案：ECDHE（或DHE，任答其一）3.17在OSPFv3中，Router-ID长度为________bit。答案：323.18在IPv6中，用于组播地址映射到以太网MAC的固定前缀为________。答案：33:333.19在Python中，使用Scapy构造ICMPv6EchoRequest的类名是________。答案：ICMPv6EchoRequest3.20在WAN线路中，E1线路的速率为________Mbps。答案：2.0484.简答题（共30分）4.1（封闭型，6分）简述TCP快速打开（TFO）的工作原理及安全风险。答案：TFO在三次握手前允许携带数据；客户端先请求TFOCookie，后续握手时携带Cookie与数据；服务器验证Cookie后可直接响应数据。风险：重放攻击，攻击者捕获Cookie后可伪造重复请求；缓解：Cookie时效短、IP检查、限制TFO数据长度。4.2（开放型，6分）某企业采用双活数据中心，需实现跨中心大二层，请给出两种技术方案并对比优劣。答案：方案一：VXLANEVPN，基于IPUnderlay，扩展性好，支持路由优化，需BGP部署复杂；方案二：OTV，Cisco私有，封装于IP，支持FHRP隔离，需额外License，扩展性受限。VXLAN开源生态广，OTV配置简单但厂商锁定。4.3（封闭型，6分）说明SDNOpenFlow流表匹配字段及优先级规则。答案：匹配字段：入端口、以太网类型、VLANID、IP五元组、MPLS标签等；优先级为16位无符号整型，数值越大越优先；若多条匹配，执行最高优先级；若相同优先级，按流表安装顺序；可指定硬超时或空闲超时。4.4（封闭型，6分）列出IPv6无状态地址自动配置的四步交互报文及作用。答案：1.主机发送RS（RouterSolicitation）请求前缀；2.路由器回复RA（RouterAdvertisement）携带前缀/64、标志位、默认网关；3.主机组合接口标识符生成全球单播地址；4.主机发送NS做DAD检测，无NA回应则地址可用。4.5（开放型，6分）某园区网出现DHCP耗竭攻击，描述定位步骤与缓解措施。答案：定位：1.在汇聚交换机查看MAC表异常增长；2.镜像端口抓包发现大量DHCPDiscover源MAC随机；3.对比DHCP服务器租约表发现异常。缓解：1.在交换机启用DHCPSnooping，信任上联端口；2.限制端口MAC学习数量；3.部署802.1X认证；4.记录攻击源MAC并shutdown端口。5.应用题（共50分）5.1计算题（10分）给定地址块/16，需划分600个网点，每个网点含1200台主机，要求连续可聚合，计算：(1)每个网点主机位至少需多少位？(2)每个网点网络前缀？(3)总需多少个/21？(4)剩余可再用地址块？答案：(1)2^10=1024<1200，2^11=2048>1200，主机位11位；(2)前缀/21（32-11=21）；(3)600网点需600个/21，/16含32个/21，不足，需向上借位，/16→/15，含64个/21，满足600需600/64=9.375→借3位得/19，含8个/21，仍不足，最终需向ISP再申请/17，得128个/21，取600个/21；(4)128-600=-472，仍需额外/16，实际需连续/15（2个/16）才够，剩余0。5.2分析题（10分）某企业运行OSPF，Area0为核心，Area1为分支，突然出现Area1无法学习到Area0的/24，但Area0正常。给出排障步骤。答案：1.在Area1ABR查看LSDB，确认是否有Type3LSA；2.若无，检查ABR配置，确认Area1未配置为TotallyStub；3.查看ABR路由表是否存在/24；4.若ABR无，检查Area0内发布该网段的路由器是否生成Type1；5.使用debugipospfevents查看是否过滤；6.检查ABR是否配置distribute-listout；7.确认MTU一致；8.若使用虚链路，检查虚链路状态。5.3综合题（15分）设计一个高可用Web系统：双活数据中心A、B，公网IP/24，需满足：(1)任意中心故障30秒内切换；(2)支持HTTPS卸载；(3)数据库双向同步；(4)防DDoS10Gbps。给出拓扑、设备选型、协议、切换机制。答案：拓扑：两地核心交换机双活，通过DWDM互联，延迟<2ms；边界部署AnycastCDN+ScrubbingCenter；本地SLB采用F5BIG-IPVE集群，VRRP浮动网关；数据库采用MySQLGroupReplication，同步复制；全局负载采用BGPAnycast/24，RPKI防止劫持；DDoS流量清洗后回注GRE；切换：BGPBFD3×300ms检测，失效后撤销路由；SLB采用HApair，配置Auto-Failover，30秒内完成；HTTPS证书双份，通过ACME自动续期；日志集