2026年网络工程师职业技能测试卷网络设备故障诊断与预防试题及答案

2026年网络工程师职业技能测试卷网络设备故障诊断与预防试题及答案一、单项选择题（每题2分，共20分）1.某企业接入层交换机端口连接的PC无法获取IP地址，观察交换机端口状态为“down/down”，最可能的故障原因是（）A.交换机端口速率模式配置为全双工B.网线水晶头接触不良C.交换机未启用DHCP服务D.PC的TCP/IP协议栈损坏答案：B（物理链路故障时，端口状态通常显示为“down/down”，水晶头接触不良属于物理层问题）2.排查路由器OSPF邻居关系无法建立的故障时，首先应检查（）A.两端路由器的RouterID是否冲突B.接口IP地址是否在同一网段C.OSPF区域ID是否一致D.接口网络类型（如广播/点到点）是否匹配答案：B（OSPF邻居建立的前提是接口IP在同一网段，否则无法形成二层通信）3.使用Wireshark抓包分析HTTP访问超时故障时，发现客户端发送SYN包后无响应，最可能的问题是（）A.客户端防火墙拦截了SYN包B.服务器HTTP服务未启动C.中间设备丢弃了SYN包D.DNS解析失败答案：C（SYN包未到达服务器时，服务器不会响应，中间设备（如防火墙、路由器）可能因ACL或路由问题丢弃）4.某核心交换机风扇转速异常升高且伴随异响，最可能的硬件故障是（）A.交换引擎板卡损坏B.电源模块过载C.风扇轴承老化D.内存颗粒故障答案：C（风扇异响通常由轴承磨损或积灰导致，转速升高可能是设备感知温度升高后的自保行为）5.诊断IPv6网络中主机无法访问IPv6网站的故障时，若ping6网关成功但ping6目标网站失败，优先检查（）A.主机IPv6地址是否为全局单播地址B.网关的IPv6路由表是否包含目标网站前缀C.DNS服务器是否返回正确的AAAA记录D.中间设备是否支持IPv6转发答案：C（ping6网关成功说明本地链路层和网关可达，目标不可达可能是DNS未解析出IPv6地址）6.某企业AP频繁离线，日志显示“Radiomoduleoverheat”，最合理的处理措施是（）A.降低AP发射功率B.检查AP安装环境（如密闭空间、散热不良）C.升级AP固件至最新版本D.重置AP为出厂配置答案：B（硬件过热通常与物理环境相关，安装位置通风不良是主因）7.排查VPN隧道中断故障时，发现两端设备的ISAKMPSA已建立但IPSecSA未建立，可能的原因是（）A.预共享密钥不一致B.安全协议（AH/ESP）配置不匹配C.公网IP地址变动D.设备NAT穿越（NAT-T）未启用答案：B（ISAKMPSA建立后，IPSecSA失败通常是安全协议、加密算法或PFS配置不匹配导致）8.某三层交换机端口配置了“switchportmodetrunk”但无法传输VLAN10的流量，可能的配置遗漏是（）A.未配置“switchporttrunkallowedvlan10”B.未配置“spanning-treeportfast”C.未配置“ipaddress”D.未配置“switchporttrunknativevlan10”答案：A（Trunk端口默认允许所有VLAN，但若显式配置了“allowedvlan”且未包含10，则会被过滤）9.某路由器每天凌晨2点CPU利用率骤升至100%，导致业务中断，最可能的原因是（）A.路由震荡（如动态路由协议频繁更新）B.设备硬件老化（如内存故障）C.定时任务（如病毒库更新、日志归档）触发资源消耗D.DDoS攻击（攻击者选择低流量时段）答案：C（定时任务通常设置在业务低峰期，可能因资源调度不当导致CPU峰值）10.预防网络设备配置丢失的最有效措施是（）A.启用“writememory”命令自动保存配置B.配置TFTP/HTTP自动备份至远程服务器C.定期手动复制运行配置到本地存储D.启用设备的配置回滚（rollback）功能答案：B（远程备份可防止设备损坏或误操作导致的配置丢失，自动备份避免人为疏漏）二、填空题（每题2分，共10分）1.交换机环路检测的常用协议是________（写出一种即可）。答案：STP（提供树协议）/RSTP（快速提供树）/MSTP（多提供树）2.路由器接口状态显示“up/down”时，表明________层正常但________层异常。答案：物理；数据链路3.排查DHCP故障时，需重点检查________（服务端）和________（客户端）的日志文件。答案：dhcpd（或dhcp服务器进程）；dhcp客户端（如Windows事件查看器或Linux的/var/log/syslog）4.光纤链路故障的常见硬件原因包括________（写出两种）。答案：光模块不兼容、光纤弯曲半径过小（或光纤断裂、光衰过大）5.网络割接前必须完成的关键步骤是________（写出核心要求）。答案：制定详细的回退方案（或验证回退操作的可行性）三、判断题（每题2分，共10分。正确填“√”，错误填“×”）1.网络设备端口LED灯全灭，说明设备电源模块故障。（）答案：×（可能是接口未激活、模块未插入或接口板卡故障）2.ping通网关但无法访问外网，一定是DNS解析失败导致。（）答案：×（可能是NAT配置错误、出口路由丢失或外网服务器故障）3.SNMPv2c使用团体字认证足够安全，无需升级至v3。（）答案：×（团体字明文传输，易被嗅探，v3支持加密和用户认证更安全）4.设备因过热重启后，只需清理风扇灰尘即可彻底解决问题。（）答案：×（可能需检查散热设计、更换老化风扇或调整设备部署环境）5.配置备份仅需保存当前运行配置（running-config）。（）答案：×（还需保存启动配置（startup-config）和固件版本信息）四、简答题（每题8分，共32分）1.简述网络设备硬件故障的常见表现及诊断步骤。答案：常见表现：①端口无连接（LED灯不亮或频繁闪烁）；②设备周期性重启（无软件日志提示）；③风扇异常（停转、异响或转速恒定）；④电源指示灯报警（如红色常亮）；⑤板卡无法识别（如交换机插入光模块后提示“未检测到模块”）。诊断步骤：①观察前面板/后面板指示灯状态，确认故障模块（如电源、风扇、业务板）；②替换法验证（如更换同型号光模块、电源线）；③使用设备自带硬件检测工具（如Cisco的“showinventory”、华为的“displaydevice”）；④查看硬件日志（如“showenvironment”）确认温度、电压是否异常；⑤若无法定位，联系厂商进行硬件检测（如送修或现场更换）。2.说明使用tracert（Windows）或traceroute（Linux）诊断跨网段不通故障的操作要点及输出结果分析。答案：操作要点：①指定目标地址（如服务器公网IP）；②设置最大跃点数（默认30，可根据网络拓扑调整）；③选择协议类型（Windows默认ICMP，Linux默认UDP，可通过参数指定TCP）；④重复测试（排除偶发丢包）；⑤结合Wireshark抓包分析。结果分析：①某一跳无响应（），可能该节点丢弃ICMP/UDP包（如防火墙拦截）或链路故障；②延迟突然增大（如从10ms增至500ms），可能该跳之后链路拥塞；③到达目标但超时，可能目标主机未监听对应端口（如测试HTTP时目标80端口关闭）；④所有跃点均无响应，可能源到目标路由完全中断（如骨干链路切断）。结果分析：①某一跳无响应（），可能该节点丢弃ICMP/UDP包（如防火墙拦截）或链路故障；②延迟突然增大（如从10ms增至500ms），可能该跳之后链路拥塞；③到达目标但超时，可能目标主机未监听对应端口（如测试HTTP时目标80端口关闭）；④所有跃点均无响应，可能源到目标路由完全中断（如骨干链路切断）。3.列举5种网络设备软件层面的预防措施，并说明其作用。答案：①定期升级固件/软件版本：修复已知漏洞（如缓冲区溢出、路由协议缺陷），提升稳定性。②启用系统日志（Syslog）和审计日志：记录设备操作（如配置修改、用户登录），便于追溯故障原因。③配置访问控制（如ACL、SSH/HTTPS登录限制）：防止未授权用户修改配置，降低人为误操作风险。④设置自动配置备份（每日备份至TFTP/NFS服务器）：避免设备损坏或误删除导致配置丢失，缩短故障恢复时间。⑤部署AAA认证（如RADIUS、TACACS+）：集中管理设备访问权限，防止弱密码或共享账号引发的安全事件。4.某企业核心交换机突然出现大量广播风暴，导致全网卡顿，请设计排查流程。答案：①确认广播风暴现象：使用网管软件（如Cacti、Zabbix）查看核心交换机的广播流量占比（正常应＜20%），确认是否超过阈值（如＞80%）。②定位故障端口：逐端口关闭（或使用交换机的“portsecurity”限制MAC数量），观察广播流量是否下降，确定故障接入端口。③分析广播类型：通过Wireshark抓包，确认广播帧类型（如ARP广播、ICMP广播、STPBPDU）。若为ARP广播异常，可能是ARP欺骗攻击或大量主机发起ARP请求；若为未知单播泛洪，可能是MAC地址表溢出（如接入设备过多）。④检查提供树状态：查看STP/RSTP日志（如“showspanning-tree”），确认是否存在环路（如“topologychange”频繁触发），可能因私接交换机或链路故障导致环路。⑤验证接入设备：检查故障端口连接的终端（如PC、IP电话、摄像头）或下级交换机，确认是否存在故障设备（如网卡损坏持续发送广播）或私接未配置STP的交换机。⑥确认攻击行为：结合IDS/IPS日志，检查是否存在广播型DDoS攻击（如利用Smurf攻击反射放大），必要时启用交换机的广播风暴抑制功能（配置“broadcast-suppression”）。五、综合分析题（每题14分，共28分）1.某公司总部（北京）与分支（上海）通过IPSecVPN互联，总部用户无法访问分支服务器（IP：0），请列出详细排查步骤及对应的验证命令/工具。答案：排查步骤及验证方法：①检查VPN隧道状态：命令：总部设备执行“showipsecsa”或“displayipsecsa”（华为），确认是否存在活跃的IPSecSA（安全关联）。现象：若SA状态为“down”，可能是IKE协商失败（如预共享密钥错误、NAT穿越未启用）。②验证两端路由可达性：命令：总部用户执行“tracert0”，观察是否能到达上海分支的VPN网关（如公网IP：）。现象：若在公网网关前丢包，可能是公网链路故障（联系ISP排查）；若到达公网网关但无法继续，可能是VPN网关未正确路由私网流量。③检查访问控制列表（ACL）：命令：总部设备执行“showaccess-lists”或“displayacl”，确认是否存在允许/24（总部私网）到/24（分支私网）的条目。现象：若ACL拒绝该流量，需添加允许规则（如“permitip5555”）。④抓包分析隧道流量：工具：在总部VPN网关公网接口使用Wireshark抓包，过滤“to==50”（ESP协议号）。现象：若有ESP包发出但无响应，可能是分支VPN网关未正确解密（如加密算法不匹配，总部用AES-128，分支用3DES）。⑤验证NAT配置：命令：总部设备执行“showipnattranslations”，确认是否存在与VPN流量冲突的NAT规则（如总部私网IP被错误NAT为公网IP，导致分支无法识别源地址）。现象：若存在冲突，需配置“natexclude”规则，排除VPN流量的NAT转换。⑥检查DNS解析：命令：总部用户执行“nslookup0”（反向解析）或“ping0”（直接使用IP访问）。现象：若IP访问正常但域名访问失败，说明是DNS问题（分支服务器DNS记录错误或总部DNS服务器未同步）。2.某企业核心路由器（型号：H3CNE5000E）每天凌晨3点周期性重启，无明显告警日志，需分析可能原因及排查方法。答案：可能原因及排查方法：（1）软件层面：①固件缺陷：特定版本固件存在定时任务冲突（如凌晨3点触发的软件升级、日志转储）或内存泄漏（长期运行后内存耗尽触发重启）。排查方法：检查设备日志（“displaylogbuffer”），确认重启前是否有“OScrash”“memoryallocationfailed”等关键词；升级至最新稳定版本固件，观察是否仍重启。②进程崩溃：某个关键进程（如路由协议进程、转发引擎）在凌晨3点因负载过高或资源竞争崩溃，触发设备重启。排查方法：启用进程监控（“displayprocesscpu”），在凌晨2:50-3:10期间实时监控CPU/内存使用率；使用“displaytrapbuffer”查看是否有进程异常退出记录。（2）硬件层面：①电源模块老化：电源模块在高负载时段（如凌晨3点可能因冷却系统启动导致功耗增加