2026年度华为认证试卷附答案详解

2026年度华为认证试卷附答案详解一、单项选择题（每题2分，共30分）1.某企业网络部署OSPFv2，区域类型为NSSA，关于该区域的描述，正确的是？A.允许AS外部路由通过Type5LSA传播B.不允许ASBR存在C.产生Type7LSA描述外部路由D.必须配置ABR为该区域注入默认路由答案：C解析：NSSA区域允许ASBR存在（B错误），但外部路由通过Type7LSA传递（C正确），Type7LSA在ABR处转换为Type5LSA（A错误）。NSSA区域是否需要注入默认路由取决于配置，非强制（D错误）。2.以下BGP路由属性中，仅在AS内部传递的是？A.Local_PreferenceB.MEDC.AS_PathD.Origin答案：A解析：Local_Preference（本地优先级）用于AS内部路由选路，仅在IBGP对等体间传递（A正确）。MED（B）在EBGP对等体间传递，AS_Path（C）和Origin（D）在EBGP和IBGP中均传递。3.某MPLS网络中，标签交换路由器（LSR）收到带有标签栈的报文，其中栈顶标签为16，该标签最可能属于？A.静态分配的公网标签B.动态分配的私网标签C.BGP/MPLSIPVPN的私网标签D.LDP分配的公网标签答案：D解析：MPLS公网标签范围通常为16-1023（D正确），其中16是LDP协议默认分配的路由标识标签。静态标签（A）一般手动配置，范围不固定；私网标签（B、C）通常大于1024。4.VXLAN报文的外层UDP目的端口默认是？A.4789B.6789C.8472D.4500答案：A解析：VXLAN默认使用UDP4789端口封装（A正确）。6789是Geneve协议端口（B错误），8472是STT（StreamControlTransmissionProtocol）端口（C错误），4500是IPsecNAT-T端口（D错误）。5.防火墙安全策略中，若源区域为“Trust”，目的区域为“Untrust”，动作为“允许”，则以下哪种流量会被放行？A.内网PC（192.168.1.10）访问外网DNS（8.8.8.8）的UDP53端口流量B.外网PC（202.100.1.1）访问内网Web服务器（192.168.1.20）的TCP80端口流量C.内网PC（192.168.1.10）访问内网文件服务器（192.168.1.30）的TCP445端口流量D.外网PC（202.100.1.1）访问防火墙管理接口（10.0.0.1）的TCP22端口流量答案：A解析：安全策略方向为Trust→Untrust（内网到外网），仅允许内网主动发起的流量（A正确）。B为Untrust→Trust（外网到内网），需反向策略；C为同区域流量，由区域内策略控制；D为外网访问防火墙自身，需单独配置管理策略。6.在SDN架构中，控制器与转发设备之间的接口称为？A.北向接口（NorthboundAPI）B.南向接口（SouthboundInterface）C.东向接口（EastboundInterface）D.西向接口（WestboundInterface）答案：B解析：南向接口用于控制器与转发设备通信（如OpenFlow、NetConf）（B正确）。北向接口是控制器与上层应用交互（A错误），东/西向接口用于控制器间协同（C、D错误）。7.某企业部署IPv6网络，使用EUI-64提供接口ID，若MAC地址为00-1A-2B-3C-4D-5E，则提供的接口ID为？A.021A:2BFF:FE3C:4D5EB.001A:2BFF:FE3C:4D5EC.001A:2BFF:FE3C:4D5FD.021A:2BFF:FE3C:4D5F答案：A解析：EUI-64规则是将MAC地址中间插入FFFE（00-1A-2B变为001A:2BFF，3C-4D-5E变为FE3C:4D5E），并翻转U/L位（MAC首字节00的二进制为00000000，翻转后为00000010即02）（A正确）。8.以下关于VRRP的描述，错误的是？A.主路由器发送VRRP通告报文的默认间隔是1秒B.抢占模式下，优先级更高的备份路由器可抢占主路由器C.VRRPv3仅支持IPv6网络D.VRRP虚拟IP地址必须与接口IP地址在同一网段答案：C解析：VRRPv3支持IPv4和IPv6（C错误）。VRRPv2主要用于IPv4，VRRPv3扩展了地址族支持（A、B、D均正确）。9.某交换机端口配置为trunk模式，允许VLAN10-20和VLAN30，且nativeVLAN为10。当该端口收到一个未打标签的报文时，会被封装为哪个VLAN？A.VLAN10B.VLAN1C.VLAN30D.丢弃答案：A解析：Trunk端口的nativeVLAN用于处理未打标签的报文，默认将其划分到nativeVLAN（本题中为10）（A正确）。未配置nativeVLAN时默认是VLAN1（B错误），但本题已明确nativeVLAN为10。10.以下哪种攻击属于二层网络攻击？A.ARP欺骗B.DNS劫持C.SYNFloodD.ICMP重定向攻击答案：A解析：ARP欺骗通过伪造ARP报文破坏二层地址解析（A正确）。DNS劫持（B）是三层以上攻击，SYNFlood（C）是四层TCP攻击，ICMP重定向（D）是三层路由攻击。11.某企业使用华为eNSP模拟器测试BGP路由引入，将OSPF路由引入BGP时，若未指定路由策略，默认引入的路由类型是？A.所有OSPF路由（包括内部、外部、NSSA）B.仅OSPF内部路由（Type1/2LSA）C.仅OSPF外部路由（Type5LSA）D.仅OSPFNSSA路由（Type7LSA）答案：B解析：华为设备默认引入BGP时，仅引入OSPF的内部路由（由Type1/2LSA描述的路由）（B正确）。外部路由（Type5/7）需通过路由策略显式引入。12.关于MPLSLDP会话建立过程，正确的顺序是？①发送Hello报文发现邻居②发送Initialization报文协商参数③建立TCP连接④发送Keepalive报文维持会话A.①→③→②→④B.①→②→③→④C.③→①→②→④D.①→④→②→③答案：A解析：LDP会话建立流程：通过UDP646端口发送Hello报文发现邻居（①）→建立TCP连接（③）→通过Initialization报文协商参数（②）→通过Keepalive维持会话（④）（A正确）。13.某园区网部署802.1X认证，当终端接入交换机端口时，若认证失败，端口状态为？A.授权状态（Authorized）B.未授权状态（Unauthorized）C.强制授权状态（ForceAuthorized）D.强制未授权状态（ForceUnauthorized）答案：B解析：802.1X认证失败后，端口处于未授权状态，仅允许EAPOL报文通过（B正确）。强制授权/未授权是手动配置的状态（C、D错误）。14.以下关于IPSecVPN的描述，错误的是？A.传输模式仅加密IP负载，隧道模式加密整个IP报文B.AH协议提供数据完整性和认证，不提供加密C.ESP协议提供加密、完整性和认证D.主模式（MainMode）比积极模式（AggressiveMode）更安全答案：A解析：传输模式加密IP负载（TCP/UDP），保留原IP头；隧道模式加密整个原始IP报文（包括原IP头），并添加新IP头（A错误）。其他选项均正确。15.某企业网络中，核心交换机配置STP时，将桥优先级设置为4096，以下哪个数值是该交换机可能的实际优先级？A.4096B.4097C.8190D.8193答案：A解析：STP桥优先级必须是4096的倍数（0,4096,8192,…）（A正确）。其他选项不符合倍数要求。二、多项选择题（每题3分，共15分）16.以下属于OSPFv3与OSPFv2区别的是？A.支持IPv6地址族B.使用链路本地地址发送报文C.LSA头部不再包含网络掩码D.邻居建立不需要IP地址匹配答案：ABCD解析：OSPFv3为IPv6设计（A正确），报文源/目的地址为链路本地地址（B正确），LSA通过接口ID标识链路，不再携带网络掩码（C正确），邻居建立基于接口而非IP地址匹配（D正确）。17.BGP路由选路时，以下哪些属性的比较优先级高于AS_Path？A.本地优先级（Local_Pref）B.路由起源（Origin）C.MED值（Multi-ExitDiscriminator）D.路由器ID（RouterID）答案：AB解析：BGP选路顺序：同步（已弃用）→优选本地提供路由→最高Local_Pref（A）→最短AS_Path（C在AS_Path之后）→最优选Origin（IGP>EGP>INCOMPLETE）（B）→最小MED→内部路由（IBGP>EBGP）→最短IGP度量→最大路由器ID（D在最后）。因此A、B优先级高于AS_Path。18.防火墙NAT策略中，可能涉及的转换类型包括？A.源NAT（SNAT）B.目的NAT（DNAT）C.双向NAT（BNAT）D.静态NAT（StaticNAT）答案：ABCD解析：防火墙支持SNAT（源地址转换）、DNAT（目的地址转换）、BNAT（双向转换）、静态NAT（固定地址映射）（全选正确）。19.关于VXLAN的报文封装，正确的是？A.外层IP头协议号为17（UDP）B.VXLAN头包含24位的VNI（VXLAN网络标识符）C.内层报文可以是IPv4或IPv6D.外层UDP源端口由VXLAN隧道端点（VTEP）随机选择答案：ABCD解析：VXLAN封装在UDP之上（协议号17）（A正确），VXLAN头包含24位VNI（B正确），支持内层IPv4/IPv6（C正确），UDP源端口由VTEP随机提供（D正确）。20.以下属于SDN控制器典型功能的是？A.网络拓扑发现B.流量工程（TE）路径计算C.设备配置下发D.传统路由协议（如OSPF）运行答案：ABC解析：SDN控制器负责拓扑发现（A）、路径计算（B）、配置下发（C），而传统路由协议由转发设备执行（D错误）。三、判断题（每题1分，共10分）21.OSPF的完全Stub区域不允许Type3、Type4、Type5LSA进入。（×）解析：完全Stub区域允许Type3LSA（由ABR注入的默认路由），但拒绝Type4、Type5LSA。22.BGP联邦中，成员AS之间使用EBGPpeering，成员AS内部使用IBGPpeering。（√）解析：联邦通过将大AS划分为成员AS，成员间用EBGP，内部用IBGP，减少全连接需求。23.MPLSLDP协议使用UDP646端口建立邻居关系。（×）解析：LDPHello报文使用UDP646发现邻居，会话建立通过TCP646。24.防火墙的安全区域划分必须基于物理接口，不能基于逻辑接口（如VLAN接口）。（×）解析：华为防火墙支持将逻辑接口（如VLANIF、Tunnel接口）划分到安全区域。25.IPv6的任播（Anycast）地址可以分配给多个接口，报文会被路由到最近的接口。（√）解析：任播地址用于标识多个接口，路由协议选择最优路径转发。26.STP的根桥（RootBridge）选举中，桥优先级越小越优先，若优先级相同，MAC地址越小越优先。（√）解析：STP根桥选举依据：桥优先级（小优）→MAC地址（小优）。27.802.1Q标签的长度是4字节，其中包含12位的VLANID（VID）。（√）解析：802.1Q标签格式：2字节TPID（0x8100）+2字节TCI（含3位优先级、1位CFI、12位VID）。28.IPSec的主模式（MainMode）需要6次报文交换，积极模式（AggressiveMode）需要3次。（√）解析：主模式交换策略、哈希/密钥、ID信息（6次），积极模式合并部分步骤（3次），但安全性较低。29.动态路由协议中，RIP的收敛速度比OSPF快。（×）解析：RIP基于距离矢量，收敛慢；OSPF基于链路状态，收敛更快。30.华为eNSP模拟器中，AR系列设备默认支持的路由协议包括OSPF、BGP、IS-IS，不支持RIPng。（×）解析：AR设备支持RIPng（IPv6的RIP），通过命令“rip1version2ipv6”启用。四、简答题（每题6分，共30分）31.简述OSPF中DR（指定路由器）的作用及选举规则。答案：DR的作用是减少邻接关系数量，代表本网段与其他网段的路由器交换LSA，降低网络流量。选举规则：①比较接口优先级（优先级高者优先，范围0-255，0表示不参与选举）；②优先级相同则比较RouterID（大的优先）；③DR选举在接口Up后立即进行，非抢占（除非DR失效）。32.说明BGP路由属性中“团体属性（Community）”的作用及常见类型。答案：团体属性（Community）用于对路由进行分类标记，便于路由策略批量处理。常见类型：①No_Export（路由不向AS外发布）；②No_Advertise（路由不向任何邻居发布）；③Local_AS（路由仅在本地AS内发布，不向联邦外成员AS发布）；④自定义团体（如65000:100，由用户定义策略）。33.对比MPLSLDP与RSVP-TE的区别（至少4点）。答案：①协议类型：LDP基于标签分发协议，RSVP-TE基于资源预留协议；②标签分配方式：LDP为下游自主分配（DU）或下游按需分配（DoD），RSVP-TE为上游按需分配；③应用场景：LDP用于普通IP路由的标签分发，RSVP-TE用于流量工程（TE）路径的标签分发；④路径选择：LDP使用IGP路由，RSVP-TE可指定约束路径（如带宽、节点排除）。34.简述防火墙“源NAT”与“目的NAT”的典型应用场景。答案：源NAT（SNAT）用于内网主机访问外网时，将私网源IP转换为公网IP（如企业内网通过公网IP访问互联网）；目的NAT（DNAT）用于外网主机访问内网服务器时，将公网目的IP/端口转换为内网服务器的私网IP/端口（如外网用户访问企业内网的Web服务器）。35.说明SDN“控制转发分离”架构的优势。答案：①集中控制：控制器统一管理网络，避免设备独立配置的复杂性；②灵活编程：通过北向API支持上层应用动态调整网络策略；③业务快速部署：无需逐设备配置，通过控制器批量下发规则；④全局视角：控制器掌握全网拓扑，可优化流量路径（如负载均衡、故障绕行）。五、综合题（每题10分，共20分）36.某企业网络拓扑如下：核心交换机S1（IP10.1.1.1/24）连接汇聚交换机S2（IP10.1.1.2/24）和S3（IP10.1.1.3/24），S2下连生产网（VLAN10，192.168.10.0/24），S3下连办公网（VLAN20，192.168.20.0/24）。要求：（1）S1与S2、S3之间通过Trunk链路连接，允许VLAN10、20，nativeVLAN为1；（2）生产网与办公网通过S1实现三层互通；（3）限制生产网主机（192.168.10.0/24）只能访问办公网的Web服务器（192.168.20.10）的TCP80端口。请写出S1的关键配置步骤（包括接口、VLAN、路由、ACL策略）。答案：（1）创建VLAN并配置接口为Trunk：[S1]vlanbatch1020[S1]interfaceGigabitEthernet0/0/1[S1-GigabitEthernet0/0/1]portlink-typetrunk[S1-GigabitEthernet0/0/1]porttrunkallow-passvlan1020[S1-GigabitEthernet0/0/1]porttrunkpvidvlan1[S1]interfaceGigabitEthernet0/0/2[S1-GigabitEthernet0/0/2]portlink-typetrunk[S1-GigabitEthernet0/0/2]porttrunkallow-passvlan1020[S1-GigabitEthernet0/0/2]porttrunkpvidvlan1（2）配置VLANIF接口实现三层互通：[S1]interfaceVlanif10[S1-Vlanif10]ipaddress192.168.10.25424[S1]interfaceVlanif20[S1-Vlanif20]ipaddress192.168.20.25424（3）配置ACL限制生产网访问办公网：[S1]aclnumber3000[S1-acl-adv-3000]rule5permittcpsource192.168.10.00.0.0.255destination192.168.20.100destination-porteq80[S1-acl-adv-3000]rule10denyipsource192.168.10.00.0.0.255destination192.168.20.00.0.0.255（4）在Vlanif10接口应用ACL：[S1]interfaceVlanif10[S1-Vlanif10]traffic-filteroutboundacl300037.某公司部署BGP联邦，AS65000划分为成员AS65100（包含路由器R1、