2026年计算机软考网络工程师(中级)试题与答案

2026年最新计算机软考网络工程师(中级)试题与答案一、选择题（每题2分，共50分）1.在OSI参考模型中，负责建立、管理和终止会话，并在数据流中插入同步点的层是（）。A.传输层B.会话层C.表示层D.应用层答案：B解析：OSI参考模型从下至上依次为物理层、数据链路层、网络层、传输层、会话层、表示层、应用层。其中，会话层主要负责建立、管理和终止应用程序之间的会话，并提供会话同步服务（如插入检查点）。2.某网络地址为/24，需要划分成至少6个子网，每个子网主机数不少于25台。下列子网掩码中最合适的是（）。A.92B.24C.40D.48答案：B解析：原网络为C类，掩码24位。需要至少6个子网，则子网位需要满足≥6，n至少为3（可提供8个子网）。主机位剩余5位（32-24-3=5），每个子网可用主机地址为−3.以下关于RIP（路由信息协议）v2的描述中，错误的是（）。A.使用跳数作为度量值B.最大跳数为16C.支持VLSM和CIDRD.使用TCP520端口进行传输答案：D解析：RIP使用UDP520端口进行路由信息的交换，而不是TCP。RIPv2相比RIPv1，支持VLSM（可变长子网掩码）、CIDR（无类别域间路由）和组播更新（），但其核心度量机制（跳数，最大15跳，16为不可达）未变。4.在TCP连接建立过程中，连接双方交换的报文段序列标志是（）。A.SYN,ACKB.FIN,ACKC.PSH,ACKD.URG,ACK答案：A解析：TCP通过三次握手建立连接。发起方发送SYN=1，ACK=0的报文；接收方回复SYN=1，ACK=1的报文；发起方最后发送ACK=1的报文确认。FIN用于连接释放。5.802.11ac无线标准主要工作在（）频段。A.2.4GHzB.5GHzC.60GHzD.900MHz答案：B解析：802.11ac是Wi-Fi5标准，专门工作在5GHz频段，通过更宽的频道带宽（最高160MHz）、高阶调制（256-QAM）和多用户MIMO等技术提供千兆级无线速率。6.下列协议中，用于将IP地址解析为MAC地址的是（）。A.DNSB.DHCPC.ARPD.ICMP答案：C解析：ARP（地址解析协议）用于在同一个局域网内，根据已知的IP地址查询对应的MAC（物理）地址。DNS用于域名与IP地址的解析，DHCP用于自动分配IP地址，ICMP用于传递控制消息（如ping）。7.在SNMPv3中，提供了加密和认证功能的安全模型是（）。A.基于社区的安全模型B.基于用户的安全模型C.基于视图的访问控制模型D.基于TLS的安全模型答案：B解析：SNMPv3引入了USM（基于用户的安全模型），提供了消息完整性、认证和加密功能，解决了SNMPv1/v2基于社区名（明文传输）的安全性问题。8.某公司网络出口使用NAT技术。内部主机（00）访问外部服务器（33）时，NAT网关会将数据包的（）进行转换。A.源IP地址和源端口B.目的IP地址和目的端口C.源IP地址和目的IP地址D.源端口和目的端口答案：A解析：在基本的NAT（或NAPT，即端口多路复用）中，当内网主机访问外网时，NAT设备会将数据包的源IP地址（私有地址）和源端口替换为NAT设备出口的公网IP地址和一个由NAT设备分配的临时端口，以区分不同内网主机的会话。目的地址和端口不变。9.以下关于生成树协议（STP）中端口状态的转换顺序，正确的是（）。A.Blocking->Listening->Learning->ForwardingB.Disabled->Listening->Learning->ForwardingC.Blocking->Learning->Listening->ForwardingD.Listening->Blocking->Learning->Forwarding答案：A解析：STP中，一个非根桥的指定端口或根端口从初始阻塞状态开始，需要依次经过：阻塞（20秒老化时间）->侦听（15秒，确定拓扑角色）->学习（15秒，构建MAC表）->转发（正常数据转发）状态。禁用（Disabled）是管理关闭状态。10.IPv6地址2001:0DB8:0000:0000:0000:FF00:0042:8329的最简表示形式是（）。A.2001:DB8::FF00:42:8329B.2001:DB8:0:0:0:FF00:42:8329C.2001:DB8::FF00:0042:8329D.2001:DB8::FF00:42:8329答案：A解析：IPv6地址压缩规则：①每组前导零可省略；②连续多组全零可用双冒号“::”表示一次。该地址中，“0DB8”可简写为“DB8”；中间“0000:0000:0000”是三组连续全零，可用“::”替代。注意“0042”应简写为“42”。同时，双冒号在一个地址中只能使用一次。11.在Linux系统中，用于查看当前系统路由表的命令是（）。A.`route-n`B.`netstat-r`C.`iprouteshow`D.以上全部答案：D解析：在Linux中，`route-n`（以数字形式显示）、`netstat-rn`（-r显示路由表，-n不解析名称）以及`iprouteshow`或`ipr`命令都可以用于查看内核路由表。12.下列攻击类型中，属于被动攻击的是（）。A.拒绝服务攻击B.中间人攻击C.流量分析D.缓冲区溢出攻击答案：C解析：被动攻击是指攻击者在不干扰系统正常运行的情况下，进行窃听、截获、流量分析等，以获取信息内容。主动攻击则涉及对数据流的篡改或伪造，如DoS、中间人攻击（兼具主动与被动特性，但窃听阶段为被动，篡改阶段为主动）、缓冲区溢出等。13.使用Traceroute命令诊断网络时，其工作原理是基于（）。A.ICMP回送请求与应答B.ICMP超时与目的不可达消息C.UDP端口不可达消息D.IP数据包的TTL字段递减答案：D解析：Traceroute通过发送TTL（生存时间）值从1开始递增的UDP数据报（或ICMPEcho请求）来工作。路径上的每台路由器将数据包的TTL减1，当TTL为0时，路由器丢弃该包并向源端发送一个ICMP超时消息。通过分析这些ICMP超时消息的源地址，即可获得到达目的地的路径。14.在BGP协议中，用来建立和维护邻居关系的报文是（）。A.OPENB.KEEPALIVEC.UPDATED.NOTIFICATION答案：B解析：BGP使用四种报文：OPEN（打开TCP连接后发送，协商参数）、KEEPALIVE（周期性发送，维持邻居关系）、UPDATE（通告或撤销路由）、NOTIFICATION（报告错误，中断连接）。KEEPALIVE报文是维持已建立的BGP对等体会话的。15.某交换机配置了VLAN10和VLAN20，连接两个VLAN的网关路由器接口需要配置为（）。A.Access模式B.Trunk模式C.Hybrid模式D.三层路由接口或子接口答案：D解析：要实现VLAN间的通信，必须借助三层设备（路由器或三层交换机）。在路由器上，可以通过物理接口（每个VLAN一个物理接口，不经济）或在一个物理接口上配置多个子接口（单臂路由），每个子接口封装802.1Q并作为对应VLAN的网关。交换机和路由器之间的链路通常配置为Trunk模式。16.下列RAID级别中，既提供了数据冗余，又提高了读取性能，且磁盘空间利用率为(N-1)/N的是（）。A.RAID0B.RAID1C.RAID5D.RAID10答案：C解析：RAID5使用块级别的分布式奇偶校验，数据与校验信息交替存储在N块磁盘上。它允许一块磁盘故障而不丢失数据，提供了数据冗余。读取性能有提升（可并行），写入性能因计算奇偶校验而略有开销。有效存储空间为N-1块磁盘的总和，故利用率为(N-1)/N。17.在MPLS网络中，负责为IP分组添加、交换或移除标签的设备是（）。A.CE路由器B.P路由器C.PE路由器D.LSR答案：D解析：LSR（标签交换路由器）是MPLS网络的核心设备，负责根据标签转发数据。具体来说，LER（标签边缘路由器，是LSR的一种，通常指PE）负责添加（入方向）或移除（出方向）标签；核心的P路由器（也是LSR）只进行标签交换。CE是客户边缘设备，不参与MPLS。18.用于实现安全远程登录的协议是（）。A.TelnetB.FTPC.SSHD.SNMP答案：C解析：SSH（安全外壳协议）通过对传输的数据进行加密和认证，提供了安全的远程登录（替代Telnet）、命令执行和文件传输等服务。Telnet是明文传输，不安全。19.在DHCP过程中，客户端发送（）报文来初始化租约过程。A.DHCPDISCOVERB.DHCPOFFERC.DHCPREQUESTD.DHCPACK答案：A解析：DHCP工作过程为：客户端广播DHCPDISCOVER->服务器回应DHCPOFFER->客户端选择并广播DHCPREQUEST->服务器确认并发送DHCPACK。20.以下关于OSPF协议中RouterID的描述，正确的是（）。A.必须手动配置B.优先使用loopback接口中最大的IP地址C.是一个32位的数字，格式与IP地址相同D.在同一区域内必须唯一答案：C解析：OSPFRouterID是一个32位的标识符，格式与IPv4地址相同。其选取顺序是：①手动配置的RouterID优先级最高；②如果没有手动配置，则选择所有环回（Loopback）接口中IP地址最大的；③如果没有环回接口，则选择所有活跃物理接口中IP地址最大的。RouterID在整个OSPF自治系统内必须唯一，而不仅是在区域内。21.下列无线加密协议中，安全性最弱且已被淘汰的是（）。A.WEPB.WPAC.WPA2D.WPA3答案：A解析：WEP（有线等效加密）由于其RC4流加密算法的脆弱性和密钥管理缺陷，非常容易被破解，早已被WPA、WPA2和最新的WPA3所取代。22.网络管理系统中，管理站通过（）操作来获取被管对象的信息。A.GetB.SetC.TrapD.Inform答案：A解析：在SNMP中，管理站（NMS）通过GetRequest或GetNextRequest报文来主动查询代理（Agent）上的管理信息。Set用于修改，Trap是代理主动向管理站发送的告警，Inform是需确认的Trap（用于管理站之间）。23.用于检测网络连通性的命令ping，其ICMP报文类型是（）。A.回送请求（EchoRequest）与回送应答（EchoReply）B.时间戳请求与应答C.目的地不可达D.源站抑制答案：A解析：ping命令利用ICMP协议的回送请求（Type8）和回送应答（Type0）报文来测试主机之间的可达性和往返时间。24.在TCP拥塞控制中，当发生超时重传时，会进入（）阶段。A.慢启动B.拥塞避免C.快速恢复D.慢启动或拥塞避免，取决于具体实现答案：A解析：传统的TCPReno算法中，当发生超时重传（表明网络拥塞严重）时，拥塞窗口（cwnd）会被设置为1个MSS，然后重新进入慢启动阶段。如果是收到3个重复ACK（快速重传），则会进入快速恢复阶段。25.下列IPv6地址类型中，用于在单个链路上通信，且有效范围仅限于本地链路的地址是（）。A.全球单播地址B.链路本地地址C.唯一本地地址D.组播地址答案：B解析：链路本地地址（FE80::/10）用于同一链路上节点间的通信，如邻居发现、无状态地址自动配置等。路由器不转发目的地址为链路本地地址的数据包。二、综合题（共50分）题一（15分）：某企业网络拓扑规划与配置某企业计划部署网络，核心层采用一台三层交换机S1，接入层采用二层交换机S2和S3。要求如下：1.创建VLAN10（市场部）和VLAN20（技术部）。2.主机PC1、PC3属于VLAN10，PC2、PC4属于VLAN20。3.实现所有VLAN间互通，且全网IP地址由一台DHCP服务器（位于VLAN99，管理网段）自动分配。4.在S1上配置路由，使所有VLAN能访问外网（假设外网接口为G0/0，已获IP/30，网关为）。网络连接：S1的F0/1连接S2的F0/24，S1的F0/2连接S3的F0/24。S2的F0/1-10接VLAN10主机，F0/11-20接VLAN20主机。S3类似。S1的G0/1连接DHCP服务器（静态IP：00/24），该接口属于VLAN99。S1的G0/0连接外网。问题：1.（4分）请写出在S2和S3上，将连接主机的端口划入相应VLAN的配置命令片段（以S2为例，接口范围f0/1-10划入VLAN10）。2.（4分）请写出在S1、S2、S3之间互联的端口（S1的F0/1、F0/2；S2的F0/24；S3的F0/24）上配置Trunk的典型命令。3.（4分）请在S1上为VLAN10、20、99配置三层SVI（交换机虚拟接口）并分配IP地址，作为各自VLAN的网关（假设VLAN10网段为/24，VLAN20为/24，VLAN99为/24）。4.（3分）请在S1上配置默认路由指向外网网关。答案与解析：1.接入层交换机端口VLAN划分（以S2为例）：```S2>enableS2#configureterminalS2(config)#vlan10S2(config-vlan)#nameMarketS2(config-vlan)#exitS2(config)#vlan20S2(config-vlan)#nameTechS2(config-vlan)#exitS2(config)#interfacerangefastEthernet0/1-10S2(config-if-range)#switchportmodeaccessS2(config-if-range)#switchportaccessvlan10S2(config-if-range)#exitS2(config)#interfacerangefastEthernet0/11-20S2(config-if-range)#switchportmodeaccessS2(config-if-range)#switchportaccessvlan20S2(config-if-range)#exit```解析：接入层交换机连接终端的端口应配置为Access模式，并指定其所属的VLAN。2.配置Trunk链路：在S1上：```S1(config)#interfacefastEthernet0/1S1(config-if)#switchportmodetrunkS1(config-if)#switchporttrunkallowedvlan10,20,99//允许所有必要VLAN通过，也可用`all`S1(config-if)#exitS1(config)#interfacefastEthernet0/2S1(config-if)#switchportmodetrunkS1(config-if)#switchporttrunkallowedvlan10,20,99S1(config-if)#exit```在S2上（连接S1的F0/24口）：```S2(config)#interfacefastEthernet0/24S2(config-if)#switchportmodetrunkS2(config-if)#switchporttrunkallowedvlan10,20,99S2(config-if)#exit```S3配置与S2类似。解析：交换机之间承载多个VLAN流量的链路需配置为Trunk模式，并使用IEEE802.1Q封装（默认）。`switchporttrunkallowedvlan`命令用于指定允许通过的VLAN列表，增强控制。3.在核心交换机S1上配置SVI作为各VLAN网关：```S1(config)#interfacevlan10S1(config-if)#ipaddressS1(config-if)#noshutdownS1(config-if)#exitS1(config)#interfacevlan20S1(config-if)#ipaddressS1(config-if)#noshutdownS1(config-if)#exitS1(config)#interfacevlan99S1(config-if)#ipaddressS1(config-if)#noshutdownS1(config-if)#exit```解析：在三层交换机上，可以为每个VLAN创建一个SVI（逻辑三层接口），并为其分配IP地址。该地址将作为该VLAN内主机的默认网关，实现VLAN间的路由。4.在S1上配置默认路由：```S1(config)#iproute```解析：默认路由（/0）用于指示去往非本地网络（如互联网）的所有流量下一跳指向出口网关（）。题二（15分）：路由协议分析与故障排查某网络运行OSPF协议，区域0拓扑简图如下：路由器R1（Router-ID）、R2（）、R3（）通过以太网互连在同一网段（/24）。R1的S0/0/0接口连接区域1。所有路由器接口均宣告入OSPF。网络管理员发现，区域1中的网络（比如/24）无法在R2和R3的路由表中被学习到，但R1的路由表正常。问题：1.（3分）在题述的多路访问网络中，谁会被选举为DR（指定路由器）和BDR（备份指定路由器）？选举原则是什么？2.（4分）请列出可能导致区域1路由无法传递到R2和R3的至少两种常见OSPF配置原因。3.（8分）假设故障原因是R1连接区域0的以太网接口（假设为G0/0）的OSPF网络类型被误配置为`point-to-point`。请分析此配置错误为何会导致所述故障，并写出在R1的G0/0接口上将其更正为适合广播网络的OSPF网络类型的配置命令。答案与解析：1.DR/BDR选举：在OSPF广播多路访问网络（如以太网）中，为了避免每对路由器之间都建立邻接关系（形成n(选举原则：①优先级最高的路由器成为DR（默认为1，0表示不参与选举）；②如果优先级相同，则比较RouterID，RouterID最大的获胜。选举是非抢占的。2.可能的原因：区域不匹配：R1连接区域0和区域1的接口，其中一个接口被错误地宣告到了错误的区域（例如，连接区域0的接口被宣告到区域1，或者反之），导致区域间路由无法正确传播。网络类型不匹配：如题目后续假设，R1的G0/0接口网络类型被配置为`point-to-point`，而R2、R3的对应接口保持默认的`broadcast`类型，这将导致它们无法成功建立OSPF邻接关系，从而无法交换路由信息。认证不匹配：R1与R2/R3在区域0的接口上配置的OSPF认证类型（不认证、明文、MD5）或密钥不一致。ACL或防火墙过滤：在链路或路由器接口上，访问控制列表或防火墙规则阻止了OSPF报文（协议号89）的传递。接口未被宣告或被动接口：R1连接区域1的接口没有被正确宣告进OSPF，或者在OSPF进程下被配置为`passive-interface`，导致该接口不发送OSPFHello，但直连网络仍能被通告（取决于具体设备和OSPF实现）。3.故障分析与纠正：分析：OSPF网络类型必须匹配才能建立邻接关系。在广播多路访问网络中，默认的网络类型是`broadcast`。如果R1的G0/0被配置为`point-to-point`，而R2和R3的对应接口是默认的`broadcast`，则它们发送的Hello报文中的网络类型字段值不同。OSPF邻居状态机在收到网络类型不匹配的Hello报文时，无法进入下一步状态，导致邻接关系无法建立。由于R1与R2、R3的邻接关系失败，R1通过区域1学习到的路由（或作为ABR生成的3类LSA）将无法传递给R2和R3。更正命令（在R1上）：```R1>enableR1#configureterminalR1(config)#interfaceGigabitEthernet0/0R1(config-if)#ipospfnetworkbroadcast//或者使用`default`命令恢复默认：`noipospfnetwork`R1(config-if)#endR1#clearipospfprocess//重置OSPF进程，加速邻接关系重建（需确认）```解析：将接口的OSPF网络类型改回`broadcast`，使其与R2、R3匹配。重置OSPF进程可以强制重新建立邻居关系。在实际操作中，更改配置后邻居关系通常会自动尝试重建。题三（10分）：网络安全与ACL配置某公司服务器Server位于DMZ区，IP地址为0。内网网段为/24。公司出口路由器连接互联网。现需在出口路由器外网接口（假设为G0/0/0，in方向）配置扩展ACL以实现以下安全策略：1.允许内网任何主机访问互联网的任何Web服务（HTTP80和HTTPS443）。2.允许互联网特定主机（IP：）访问DMZ区服务器的SSH服务（TCP22）。3.禁止互联网任何主机主动发起对内部网络（/24）的访问。4.允许内网主机访问DMZ区服务器的所有服务。5.隐含拒绝所有其他流量。问题：请写出满足上述需求的扩展ACL配置命令（ACL编号设为101），并将其应用在路由器外网接口G0/0/0的入方向。答案与解析：```Router>enableRouter#configureterminalRouter(config)#ipaccess-listextended101Router(config-ext-nacl)#permittcp55anyeq80Router(config-ext-nacl)#permittcp55anyeq443Router(config-ext-nacl)#permittcphosthost0eq22Router(config-ext-nacl)#denyipany55Router(config-ext-nacl)#permitip55host0Router(config-ext-nacl)#denyipanyany//此条可省略，因为末尾隐含`denyany`Router(config-ext-nacl)#exitRouter(config)#interfaceGigabitEthernet0/0/0Router(config-if)#ipaccess-group101inRouter(config-if)#exit```解析：扩展ACL101用于精细控制。规则1：两条`permit`语句分别放行内网到外网的HTTP和HTTPS流量。源为内网网段，目的端口分别为80和443。规则2：放行特定互联网主机（）到DMZ服务器（0）的SSH（TCP22）流量。规则3：明确拒绝任何源到内网网段的所有IP流量。这条规则至关重要，是边界防护的基本要求。规则4：放行内网到DMZ服务器的所有IP流量（`ip`协议代表所有）。规则5：ACL末尾隐含`denyipanyany`，因此最后一条显式拒绝语句可写可不写，但写上更清晰。将ACL101应用在外网接口的入方向（`in`），可以过滤从互联网进入的流量，符合“外防内保”的原则。内网访问外网的流量在出方向（`out`）或入方向控制皆可，但通常入方向控制更直接。注意ACL语句的顺序至关重要，必须按照逻辑从具体到一般排列。题四（10分）：计算与应用某公司申请到一个公有IP地址块/22。需要分配给以下部门：部门A：需要120个IP地址。部门B：需要60个IP地址。部门C：需要30个IP