2026年网络规划设计师应用技术真题

2026年网络规划设计师应用技术真题试题一阅读下列关于某大型互联网企业集团数据中心网络重构的说明，回答问题1至问题4。某大型互联网企业集团随着业务的快速扩张，原有的基于传统三层架构（核心-汇聚-接入）的数据中心网络面临着诸多挑战。为了支撑AI算力集群、大数据分析及微服务架构的云原生应用，集团决定对现有三个数据中心进行网络重构，目标架构为基于Spine-Leaf（脊-叶）架构的SDN（软件定义网络）fabric网络，并全面向IPv6单栈过渡。网络架构设计团队选用了支持VXLAN、EVPN（EthernetVPN）的商用高端交换机作为Spine和Leaf节点。Spine节点负责提供高带宽的IP路由转发，Leaf节点负责连接服务器、防火墙、负载均衡器等终端设备，并作为VXLAN的VTEP（VXLANTunnelEndpoint）。控制平面采用SDN控制器集群进行统一编排，利用BGPEVPN作为控制协议来分发MAC和IP路由信息。为了实现多租户隔离，网络设计采用了VRF（VirtualRoutingandForwarding）+VNI（VXLANNetworkIdentifier）的方案。每个租户对应一个VRF，不同的VXLAN网段通过不同的VNI标识。针对AI训练集群的大流量、低时延需求，设计团队在Leaf交换机与AIGPU服务器之间启用了RoCEv2（RDMAoverConvergedEthernetversion2），并在网络中部署了PFC（Priority-basedFlowControl）和ECN（ExplicitCongestionNotification）等流控机制。在IPv6迁移方面，考虑到部分老旧应用仅支持IPv4，设计计划在数据中心内部采用IPv6单栈，在边界出口部署NAT64/DNS64网关，实现与外部IPv4网络的互通。【问题1】（8分）在Spine-Leaf架构中，请简述该架构相较于传统核心-汇聚-接入三层架构在以下两个方面的优势：（1）跳数与延迟（2）带宽收敛比与网络扩展性【问题2】（10分）EVPN被选作控制平面协议来替代传统的组播泛洪学习方式。请结合VXLAN原理，回答以下问题：（1）在VXLAN网络中，VTEP主要负责哪些功能？（2）BGPEVPN通过什么机制实现了主机IP和MAC地址在VTEP之间的精确分发，从而避免了未知单播流量的泛洪？请列出两种主要的EVPN路由类型（RouteType）。【问题3】（7分）为了保障RoCEv2流量的无损传输，网络中启用了PFC和ECN。（1）请简要说明PFC的工作原理。（2）请写出在拥塞发生时，交换机向数据包的IP头中标记ECN的具体字段名称及标记值（十进制表示）。【问题4】（5分）在IPv6单栈部署中，NAT64网关起到了关键作用。当内部IPv6主机发起访问外部IPv4服务器的请求时，DNS64主要负责处理什么任务？NAT64主要负责处理什么任务？试题二阅读下列关于某金融机构核心业务系统存储与容灾设计的说明，回答问题1至问题4。某商业银行计划建设新一代核心业务系统，对数据存储的可靠性、I/O性能及容灾能力提出了极高要求。系统设计采用了“两地三中心”的容灾架构，即本地生产数据中心、本地同城灾备中心（距离生产中心约50公里）和异地灾备中心（距离生产中心约800公里）。存储架构选用了全闪存存储阵列。生产中心配置了两台高端全闪存阵列A和B，采用双活架构，通过光纤直连或高带宽低延迟链路进行数据实时同步。两台阵列对外同时提供读写服务，互为备份。当单台阵列发生故障时，业务无缝切换至另一台阵列，RPO（RecoveryPointObjective）和RTO（RecoveryTimeObjective）均接近于0。对于同城灾备中心，配置了一台中端全闪存阵列C，通过异步远程复制技术连接到生产中心的阵列A（或B）。异地灾备中心配置了存储阵列D，采用级联复制方式，从同城中心的阵列C进行异步复制。为了应对海量非结构化数据（如柜台监控视频、影像凭证），系统设计引入了分布式存储和对象存储网关。对象存储采用纠删码技术来保证数据可靠性，配置策略为(8【问题1】（9分）在存储双活架构中，数据一致性是核心难点。请回答：（1）生产中心阵列A和B之间通常采用什么机制来保证写入数据时的强一致性？（2）请解释仲裁机制在双活架构中的作用，以及为了防止“脑裂”故障，通常需要配置什么第三方的设备或服务？【问题2】（8分）针对全闪存存储阵列，为了提升性能和延长寿命，通常会采用RAID技术和存储级内存（SCM）作为写缓存。（1）假设该存储阵列支持RAID2.0+（虚拟化RAID），请简述RAID2.0+相较于传统RAID在性能和重构时间上的优势。（2）在计算对象存储纠删码(8,4【问题3】（8分）在“两地三中心”架构中，数据的复制策略至关重要。（1）请对比同步复制和异步复制在RPO、RTO以及对生产性能影响方面的区别。（2）在本案例中，生产中心到同城中心采用了异步复制，同城中心到异地中心也采用了异步复制。假设生产中心发生灾难性故障，且数据正在向同城中心传输过程中链路中断，此时RPO是多少？如果要求异地中心也能保证数据一致性，对网络带宽有什么要求？【问题4】（5分）该银行核心数据库采用了OracleRAC（RealApplicationClusters）集群。为了保证数据库集群节点间的缓存一致性，Oracle使用了高速互连网络。请列举两种常用于OracleRAC私有互连的高性能低延迟网络协议或技术标准。试题三阅读下列关于某智慧城市政务外网安全架构设计的说明，回答问题1至问题4。某市“智慧城市”项目正在建设统一的政务外网，承载全市各级委办局的非涉密业务。网络纵向连接省、市、区县三级节点，横向接入各局委办及互联网出口。安全设计遵循“一个中心，三重防护”的框架，即安全管理中心、安全通信网络、安全区域边界、安全计算环境。在边界防护方面，政务外网互联网出口区部署了下一代防火墙（NGFW）、入侵防御系统（IPS）和Web应用防火墙（WAF）。NGFW开启应用层识别功能，基于用户、应用和内容实施访问控制。为了防御DDoS攻击，出口区串联了抗DDoS设备。纵向联网区通过国密算法加密的IPSecVPN隧道与省政务外网连接。隧道建立过程中，采用基于数字证书的IKEv2协商。为了保障移动办公人员接入的安全性，部署了SSLVPN网关，并集成二次认证系统（如手机动态令牌）。在内部网络区域划分上，将服务器区划分为DMZ区（对外业务）、核心数据区（敏感数据库）和运维管理区。核心数据区部署了数据库审计系统和运维堡垒机。为了防止内网横向移动，在核心交换机旁路部署了网络流量分析（NTA）系统，并利用交换机的sFlow/NetFlow技术进行流量镜像。【问题1】（7分）NGFW与传统状态防火墙在安全检测能力上有显著区别。（1）请列举NGFW相比传统防火墙增加的三个关键功能模块。（2）在NGFW的“应用识别”技术中，除了依赖端口号（如TCP80为HTTP）外，还采用了什么更精准的识别技术？（请列举一种）【问题2】（9分）IPSecVPN是保障纵向数据传输安全的关键技术。IKEv2协商分为两个阶段。（1）请简述IKEv2第一阶段（IKESA协商）的主要任务。（2）在IPSecESP协议中，如果要求同时提供数据机密性、数据完整性和数据源认证，必须配置哪些服务？ESP协议本身不提供抗重放保护吗？如果提供，是通过什么机制实现的？【问题3】（9分）SSLVPN常用于移动办公接入。SSLVPN主要采用代理模式和隧道模式。（1）请对比代理模式和隧道模式在客户端支持和访问范围上的区别。（2）SSLVPN建立过程中，服务器端需要向客户端发送数字证书以进行身份验证。请说明如果客户端无法验证服务器证书的签发机构（CA）的合法性，通常会出现什么情况？如何解决？【问题4】（5分）该网络部署了堡垒机进行运维审计。请简述堡垒机在“运维操作事中控制”和“运维操作事后审计”两个方面的具体功能表现。试题四阅读下列关于工业互联网5G专网与边缘计算融合设计的说明，回答问题1至问题4。某大型汽车制造企业为了实现“柔性生产”和“机器视觉质检”，计划利用5G技术改造工厂车间网络。该工厂环境复杂，存在大量金属干扰，且对数据传输的确定性（低时延、低抖动）要求极高。网络架构采用“5G专网+MEC（多接入边缘计算）”融合模式。核心网用户面功能（UPF）下沉部署在园区机房，实现数据流量本地卸载，不出园区。MEC平台部署在通用服务器上，承载机器视觉AI推理、AGV调度等应用。基站采用CU（集中单元）/DU（分布单元）分离架构，DU部署在车间机房，通过光纤前传连接RRU（射频拉远单元），通过中传连接CU。为了满足工业控制协议（如PROFINET）对时延和抖动的严苛要求，5G网络侧启用了TSN（时间敏感网络）网关功能，并在5G空口配置了5QI（5GQoSIdentifier）参数来保障高优先级切片的带宽。在时间同步方面，全厂部署了高精度时间同步系统。5G基站作为从时钟，通过PTP（PrecisionTimeProtocol）从核心网的时间服务器获取时间，并进而通过空口对工业终端进行授时。【问题1】（8分）5G网络切片技术是该项目的核心。请回答：（1）5G网络切片主要切片哪三个维度？（2）在5GQoS机制中，5QI标识符用于标准化QoS参数。请列举两个由5QI决定的关键QoS参数（非5QI本身）。【问题2】（9分）MEC边缘计算节点的下沉部署带来了显著优势。（1）请从“数据安全”和“业务时延”两个角度分析UPF下沉至园区本地的好处。（2）在MEC平台上，通常采用容器化技术部署应用。请解释容器（Container）与虚拟机在操作系统内核共享方面的区别，以及为什么容器更适合轻量级边缘应用？【问题3】（8分）时间同步是工业自动化控制的基础。（1）PTP协议（IEEE1588v2）相较于NTP协议，主要在哪些方面进行了改进以实现更高精度？（2）计算：假设主从时钟之间的路径延迟是对称的，PTP报文（Sync和Follow_Up）的发送时间戳、接收时间戳，以及Delay_Req报文的发送时间戳、接收时间戳均已知。请写出计算从时钟与主时钟之间时间偏差的公式。【问题4】（5分）5G与TSN的融合是工业互联网的重要趋势。在本案例中，5G网络被视为TSN网桥的一个“虚拟链路”。请简述TSN中的802.1Qbv（时间感知整形器）机制的主要作用是什么？它主要为了解决什么问题？答案与解析试题一【问题1】（1）跳数与延迟：Spine-Leaf架构通常只有两个网络跳数（服务器到Leaf，Leaf到Spine，Spine到Leaf，Leaf到目的服务器），路径固定且最短。传统三层架构下，跨汇聚流量通常需要4跳或更多，导致累积延迟更高。Spine-Leaf架构降低了跳数，从而降低了端到端延迟。（2）带宽收敛比与网络扩展性：Spine-Leaf架构提供无带宽收敛（或低收敛比）的横向带宽，任意两个Leaf节点之间的带宽路径数量等于Spine节点数量，扩展性只需通过增加Spine或Leaf节点即可实现水平扩展，且带宽随之线性增加。传统三层架构通常存在高带宽收敛比（如树根处），且扩展受限于核心设备的端口密度和性能。【问题2】（1）VTEP功能：VTEP负责VXLAN报文的封装与解封装：将原始以太网帧封装在UDP报文中（添加VXLAN头、UDP头、IP头）进行发送；接收端VTEP解封装VXLAN报文，还原原始以太网帧发送给终端。同时，VTEP参与控制平面学习MAC/IP地址。（2）EVPN机制与路由类型：BGPEVPN通过MP-BGP协议，在控制平面发布Type-2（MAC/IPAdvertisementRoute）和Type-3（InclusiveMulticastEthernetTagRoute）等路由，将主机IP、MAC地址及其所属的VNI、VTEPIP信息精确通告给其他VTEP。这使得VTEP能建立MAC/IP到VTEPIP的映射表，从而将已知单播流量直接点对点隧道转发，避免了传统VXLAN依赖数据平面泛洪学习的方式。主要EVPN路由类型：Type-2：MAC/IPAdvertisementRoute（用于通告主机MAC和IP绑定关系）Type-3：InclusiveMulticastEthernetTagRoute（用于通告VTEP及其所属的VNI，用于BUM流量转发）【问题3】（1）PFC工作原理：PFC基于IEEE802.1Qbb标准，它基于802.1p优先级队列进行独立流控。当某个队列的接收缓冲区接近拥塞时，交换机会向发送端反压发送PFC暂停帧，请求发送端暂停发送该优先级队列的数据流，从而实现该队列的零丢包传输。（2）ECN标记字段及值：ECN标记位于IP头中的TOS（IPv4）或TrafficClass（IPv6）字段中，具体使用最后2个比特（ECN字段）。当发生拥塞时，交换机将ECN字段标记为11（二进制），即十进制的3（CE-CongestionExperienced）。【问题4】DNS64任务：DNS64主要负责合成AAAA记录（IPv6地址）。当IPv6客户端发起DNS查询（AAAA记录）时，如果域名只有A记录（IPv4地址），DNS64服务器会提取该IPv4地址，按照预设的前缀规则，合成一个IPv6地址返回给客户端。NAT64任务：NAT64主要负责IPv4与IPv6数据包的协议翻译和地址转换。当内部IPv6主机发送数据包到NAT64网关时，NAT64提取IPv6地址中嵌入的IPv4部分，将IPv6数据包头转换为IPv4数据包头，并将源IPv6地址转换为公网IPv4地址，转发给外部IPv4服务器；反之亦然。试题二【问题1】（1）双活数据一致性机制：通常采用分布式锁管理器或写入日志的强一致性协议。当主机向阵列A写入数据时，阵列A必须先确认数据已成功写入阵列B的日志（或缓存盘），并收到阵列B的确认响应后，才会向主机返回写操作成功。这确保了任一时刻两台阵列的数据视图一致。（2）仲裁机制与设备：仲裁机制用于在双活节点间通信链路中断（脑裂）时，决定哪个节点继续拥有数据写入权，防止数据“裂脑”导致数据不一致。通常需要配置独立的第三方的仲裁服务器或仲裁磁盘，该设备位于两个站点之外的第三方位置，通过心跳投票来决定站点的存活状态。【问题2】（1）RAID2.0+优势：RAID2.0+（虚拟化RAID）将物理硬盘空间切分为小块（CK），分散到所有物理硬盘上构成资源池，然后基于资源池构建RAID组。优势：重构速度快：重构时所有硬盘参与并发重构，重构速度远快于传统RAID（仅限于热备盘和失效盘所在组）。性能负载均衡：I/O负载分散到所有物理盘上，避免了传统RAID中热点盘的瓶颈。（2）纠删码存储效率计算：公式：存储效率=本题中：效率==实际占用空间=【问题3】（1）同步复制与异步复制对比：同步复制：RPO=0（数据零丢失），RTO很低。但对生产性能影响大，因为写操作必须等待远程确认，且受限于链路延迟，通常用于近距离（如同城）。异步复制：RPO>0（可能丢失分钟级数据），RTO较低。对生产性能影响小，写操作不需等待远程确认（只需写入本地），适用于长距离（如异地）。（2）RPO分析及网络要求：如果生产中心向同城中心传输过程中链路中断，且采用异步复制，最新数据尚未传输过去，因此RPO等于最后一次成功同步之后产生的时间窗口内的数据量，即可能丢失数分钟的数据。如果要求异地中心也能保证数据一致性（即RPO=0），则必须采用同步复制（或级联同步）。这对网络带宽要求极高，且必须满足极低的往返时延（RTT），否则会严重拖慢生产中心的主机I/O性能。【问题4】OracleRAC私有互连常用的高性能网络协议或技术：1.InfiniBand(IB)2.RoCE(RDMAoverConvergedEthernet)3.iWARP(InternetWideAreaRDMAProtocol)（注：答出其中任意两个即可）试题三【问题1】（1）NGFW增加的关键功能模块：1.应用识别与控制模块（基于应用层协议特征识别）2.入侵防御系统（IPS）模块3.URL过滤或内容过滤模块（2）精准识别技术：深度包检测（DPI，DeepPacketInspection）技术。【问题2】（1）IKEv2第一阶段（IKESA协商）主要任务：建立IKE安全关联（IKESA）。具体包括：协商加密算法、完整性算法、Diffie-Hellman组等加密参数；交换Nonce（随机数）用于抗重放；通过DH交换生成共享密钥材料；对双方身份进行认证（预共享密钥或数字证书）。（2）ESP服务配置与抗重放：必须配置：机密性服务（如AES-CBC）、完整性服务（如HMAC-SHA1）和数据源认证服务。ESP协议本身提供抗重放保护。实现机制：通过序列号机制。发送端为每个ESP包递增序列号，接收端维护滑动窗口，检查序列号是否在窗口内且未被接收过，从而丢弃重放包。【问题3】（1）代理模式与隧道模式对比：代理模式：无需安装客户端软件（或使用轻量级浏览器插件），通过浏览器Web页面进行代理访问，访问范围局限于支持Web的应用或特定配置的资源。隧道模式：通常需要安装专用VPN客户端软件，在终端创建虚拟网卡，实现三层网络层连接，访问范围更广，可访问所有基于IP的网络资源。（2）证书验证失败及解决：情况：客户端会弹出安全警告，提示证书不可信或存在安全风险，连接可能会被浏览器或客户端拦截。解决：将根CA证书或中间CA证书导入客户端设备的“受信任的根证书颁发机构”存储区中。【问题4】运维操作事中控制：主要进行实时监控和阻断。例如，通过命令字过滤，禁止高危命令（如rm-rf）的执行；通过实时会话监控，发现违规操作立即切断会话。运维操作事后审计：主要记录和回溯。记录所有运维人员的登录、操作命令、返回结果、文件传输等日志，支持以视频或日志形式回放操作过程，便于定责和取证。试题四【问题1】（1）5G网络切片主要切片维度：1.切片/业务类型（如