2026年计算机技术与软件专业技术资格(网络工程师)试题与答案_第1页
2026年计算机技术与软件专业技术资格(网络工程师)试题与答案_第2页
2026年计算机技术与软件专业技术资格(网络工程师)试题与答案_第3页
2026年计算机技术与软件专业技术资格(网络工程师)试题与答案_第4页
2026年计算机技术与软件专业技术资格(网络工程师)试题与答案_第5页
已阅读5页,还剩28页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

2026年计算机技术与软件专业技术资格(网络工程师)试题与答案1.在带宽为4000Hz,信噪比为30dB的信道上,根据香农定理,该信道的极限数据传输速率约为()。A.40KbpsB.60KbpsC.80KbpsD.120Kbps答案:A解析:根据香农定理公式C=Wlo(1+S/N)。已知信噪比302.某通信系统采用海明码进行差错控制,若数据位为4位,为确保能纠正一位错误,需要附加的校验位至少为()位。A.2B.3C.4D.5答案:B解析:海明码校验位r与数据位m之间需满足公式≥m+r+1。当m=4时,代入测试:若r3.在CSMA/CD网络中,数据传输速率为1Gbps,信号在网络中的传播速率为A.200mB.409.6mC.512mD.1024m答案:B解析:CSMA/CD网络中,最小帧长度L、传输速率R、网络段长d和传播速率v满足关系:L/R≥2×(d/v)。已知L=512bytes4.以下关于IPv6地址表示中,正确的是()。A.2001:0DB8:0000:130F:0000:0000:09C0:876AB.2001:DB8:0:130F::9C0:876AC.2001:DB8:0:130F:0:0:9C0:876AD.以上均可作为合法的IPv6地址表示答案:D解析:IPv6地址为128位,以16位为一组用十六进制表示,组间用冒号分隔。选项A是完整的标准表示;选项B使用了双冒号“::”进行零压缩,连续的零被替换,一个地址中只能出现一次;选项C是未压缩但省略了前导零的表示。这三种都是合法的IPv6地址表示形式。5.某主机的IP地址为00/26,该主机所在的子网广播地址是()。A.27B.28C.91D.55答案:A解析:IP地址00,子网掩码/26即92。将IP地址最后一段100转为二进制为01100100。掩码最后一段192转为二进制为11000000。按位与运算:01100100&11000000=01000000,即子网网络号为4。主机位全为1即为广播地址,即01000000|00111111=01111111,转为十进制为127。故广播地址为27。6.在BGPv4协议中,用于检测邻居可达性的报文是()。A.OPENB.UPDATEC.KEEPALIVED.NOTIFICATION答案:C解析:BGP有四种报文类型。OPEN用于建立BGP对等体关系;UPDATE用于交换路由信息;KEEPALIVE用于确认OPEN报文并周期性地证实BGP对等体关系是否维持,是检测邻居可达性的主要手段;NOTIFICATION用于通告BGP错误。7.在OSPF协议中,以下关于DR(指定路由器)和BDR(备份指定路由器)的描述,错误的是()。A.DR和BDR的选举是基于接口的,而不是基于路由器的B.在广播网和NBMA网络中需要选举DR和BDRC.DR和BDR一旦选举成功,即使有更高优先级的路由器加入,也不会重新选举D.DRother路由器只与DR和BDR建立邻接关系,DRother之间不建立邻接关系答案:C解析:OSPF中DR和BDR的选举不是抢占式的。如果网络中已经存在DR和BDR,新加入的高优先级路由器不会立即抢占DR的角色,除非当前DR出现故障。但如果是首次选举,或者网络重启,优先级最高的会被选为DR。选项C表述绝对,虽然通常不抢占,但如果原DR故障恢复,或人为重置OSPF进程,都会重新选举,且在OSPF协议标准中,DR的选举本身是为了维持稳定,但并非永久不可变更。最准确的错误描述是认为其永久不重新选举。8.某公司网络通过单台核心交换机进行VLAN划分,VLAN10和VLAN20的网关均在该核心交换机上。现要求VLAN10与VLAN20之间不能互相访问,但都能访问VLAN30(服务器区)。在核心交换机上最佳实现方式是()。A.使用端口隔离B.使用ACL在VLAN接口入方向过滤C.使用VLANMappingD.使用MUXVLAN答案:D解析:MUXVLAN(MultiplexVLAN)提供了一种在VLAN内进行通信隔离的机制。它分为主VLAN和从VLAN,从VLAN又分为互通型和隔离型。在本题场景中,可以将VLAN30设为主VLAN(或互通型从VLAN),VLAN10和VLAN20设为隔离型从VLAN,这样VLAN10和VLAN20内的主机不能互相访问,但都能与主VLAN(VLAN30)通信,且配置集中在单台交换机上,比复杂的ACL规则管理更简洁高效。9.在STP协议中,某交换机端口处于Learning状态时,该端口的功能是()。A.接收和发送BPDU,但不学习MAC地址,也不转发数据帧B.接收和发送BPDU,学习MAC地址,但不转发数据帧C.接收和发送BPDU,不学习MAC地址,但转发数据帧D.接收和发送BPDU,学习MAC地址,并转发数据帧答案:B解析:STP端口状态转换中,Learning状态即学习状态。在此状态下,端口会接收和发送BPDU以参与生成树计算,同时开始根据接收到的数据帧学习MAC地址并构建MAC地址表,但此时端口仍然不能转发用户的业务数据帧,以防止在生成树拓扑未完全收敛时产生环路。10.在TCP/IP协议栈中,当接收方收到一个失序的TCP报文段时,正确的处理方式是()。A.立即丢弃该报文段,并发送RST报文B.暂存该报文段,并立即发送对已收到最新连续数据的ACKC.暂存该报文段,等待中间缺失的报文段到达后一起确认D.丢弃该报文段,并在超时后由发送方重传答案:B解析:TCP协议提供可靠的字节流传输。如果接收方收到失序报文段,通常会将其暂存在接收缓存中。同时,接收方会立即向发送方发送一个ACK,这个ACK的确认号是期望收到的下一个按序字节的序号(即缺失的那一段的起始序号),以此告知发送方已成功接收的最新连续数据位置。发送方收到重复的ACK后,可以触发快速重传机制。11.以下关于IPsecVPN中IKE协议的描述,正确的是()。A.IKE协议工作在OSI模型的传输层,使用TCP端口500B.IKE协议用于自动协商IPsecSA,但不负责协商IKESAC.IKEv2相比IKEv1在交互报文数量上更少,建立效率更高D.IKE协议不支持NAT穿越,因此在NAT环境下必须使用手动配置SA答案:C解析:IKE协议工作在应用层,基于UDP协议,端口号为500。IKE负责协商IKESA(也叫ISAKMPSA)以及IPsecSA。IKEv1建立IPsecSA通常需要经历两个阶段(主模式/野蛮模式与快速模式),报文交互较多;而IKEv2简化了交互过程,通常只需4个报文即可完成SA的建立,效率更高。IKE协议支持NAT-T(NAT穿越),通过UDP封装解决NAT环境下的VPN建立问题。12.在Linux系统中,若要查看当前系统上所有监听的TCP端口及其对应的进程信息,应使用的命令是()。A.netstat-tunlpB.netstat-rnC.ifconfig-aD.tcpdump-iany答案:A解析:`netstat-tunlp`命令中,`-t`表示TCP协议,`-u`表示UDP协议,`-n`表示以数字形式显示地址和端口号,`-l`表示仅显示处于监听状态的连接,`-p`表示显示占用该端口的进程PID和名称。`netstat-rn`用于查看路由表;`ifconfig-a`用于查看所有网络接口;`tcpdump-iany`用于抓取所有接口的数据包。13.SNMPv3协议相比SNMPv2c协议,在安全性上增加的主要特性是()。A.增加了GetBulk操作,提高批量数据获取效率B.引入了基于用户的安全模型(USM)和基于视图的访问控制模型(VACM)C.使用团体字进行身份验证D.支持Trap和Inform通知机制答案:B解析:SNMPv2c虽然增加了GetBulk操作和Inform报文,但其身份验证依然基于明文的团体字,安全性不足。SNMPv3最大的改进是引入了USM(UserSecurityModel),提供数据完整性、数据源认证、防重放攻击和消息隐私保护;同时引入了VACM(View-basedAccessControlModel),定义了更加精细的基于视图的访问控制策略。14.某企业网络核心层采用双机热备(VRRP协议),VRRP组1的虚拟IP为54。交换机A的优先级为120,交换机B的优先级为100。若交换机A发生故障,交换机B在抢占延时结束后,优先级变为()并成为Master。A.100B.110C.120D.254答案:A解析:在VRRP协议中,优先级是配置在路由器接口上的本地属性,并不会因为另一台设备故障而改变。交换机B原本配置的优先级是100,当Master(交换机A)故障后,交换机B在超时时间内收不到A的通告报文,会自动切换为Master状态,但其自身的优先级配置仍然是100。254是IP地址拥有者的默认优先级,若配置了虚拟IP为某接口真实IP,该设备优先级自动为254且不可配置。15.在WLAN网络中,关于CAPWAP协议的描述,正确的是()。A.CAPWAP协议只支持数据报文的传输,不支持管理报文传输B.CAPWAP隧道建立在AP和AC之间,使用UDP作为传输层协议C.AP在获取AC地址阶段,只能通过DHCPOption43方式获取D.CAPWAP隧道建立后,AP的管理报文必须直接经过CAPWAP数据隧道转发答案:B解析:CAPWAP(ControlandProvisioningofWirelessAccessPoints)协议用于AP和AC之间的通信,承载控制报文(管理)和数据报文,使用UDP协议(端口5247用于数据,5246用于控制)。AP获取AC地址有多种方式,包括DHCPOption43、DNS解析、静态配置、广播/组播发现等。CAPWAP隧道建立后,AP与AC之间的管理控制报文通过CAPWAP控制隧道转发,而用户的数据报文可以选择通过CAPWAP数据隧道转发(隧道转发模式)或直接在本地交换机上转发(直接转发模式)。16.以下关于QoS(服务质量)中各类队列调度算法的描述,错误的是()。A.FIFO队列实现简单,但无法提供区分服务,可能导致高优先级业务延迟过大B.PQ(优先级队列)能够保证高优先级业务的实时性,但可能导致低优先级业务长期得不到服务C.CQ(定制队列)按权重轮流调度各队列,能够保证各队列带宽比例,但无法保证高优先级业务的绝对低延迟D.WFQ(加权公平队列)基于流的五元组自动分类,权重越大分配的带宽越少答案:D解析:WFQ(WeightedFairQueuing)是一种基于流的公平队列调度算法。它根据报文的五元组(源IP、目的IP、源端口、目的端口、协议号)自动将报文划分为不同的流,并分配到不同的队列中。WFQ根据权重来分配带宽,权重越大的队列,在调度时分配到的带宽比例也越大,而不是越少。17.在MPLSVPN网络中,关于RD(RouteDistinguisher)和RT(RouteTarget)的描述,正确的是()。A.RD用于控制VPN路由的发布和接收,RT用于解决IPv4地址重叠问题B.RD是一个64位的附加在IPv4路由前缀上的标识符,使得VPNv4路由全局唯一C.同一个VRF只能配置一个RT,且不能同时包含ExportRT和ImportRTD.两个不同VPN站点之间要进行通信,其VRF的ExportRT和ImportRT可以完全不同答案:B解析:在MPLSL3VPN中,RD(路由区分符)长度为8字节(64位),附加在IPv4路由前缀上形成96位的VPNv4前缀,其核心作用是解决IPv4地址空间重叠问题,使其在PE路由器间全局唯一;RD本身不具备控制路由收发的功能。RT(RouteTarget)是BGP的扩展团体属性,用于控制VPN路由的发布和接收,一个VRF可以配置多个ExportRT和ImportRT。两个VPN站点要互通,一端的ExportRT必须与另一端的ImportRT相匹配。18.某公司服务器集群采用Keepalived实现高可用性。以下关于Keepalived工作原理的描述,错误的是()。A.Keepalived底层基于VRRP协议实现主备切换B.当Master节点发生故障时,Backup节点会在超时后自动接管虚拟IP资源C.在同一局域网内,可以配置多个Keepalived实例,通过不同的VRID进行区分D.为了防止脑裂现象,Backup节点在切换为Master后,会主动发送ARP报文强制刷新下端交换机的MAC表答案:D解析:Keepalived确实基于VRRP协议工作。Master故障后Backup节点会接管。多实例可以通过不同的VRID区分。发生脑裂是指两个节点同时认为自己是Master。当Backup切换为Master时,它会发送免费ARP(GratuitousARP)报文,用于刷新网络上其他主机和交换机的ARP表(IP与MAC的映射),使其将数据发往新的Master,而不是去刷新交换机的MAC表(交换机MAC表记录的是端口与MAC的映射,免费ARP本身也能让交换机学习到端口与MAC的对应,但其主要针对的是网络中主机的ARP缓存)。19.在软件定义网络(SDN)架构中,控制器南向接口主要负责()。A.提供网络资源抽象和业务编排功能B.实现控制器与上层业务应用之间的通信C.实现控制器与底层网络设备之间的通信及下发流表D.提供控制器集群节点之间的状态同步答案:C解析:SDN架构通常分为三层:应用层、控制层(控制器)、基础设施层(网络设备)。控制器与上层应用之间的接口称为北向接口(NBI),用于业务编排和资源调用;控制器与底层网络设备之间的接口称为南向接口(SBI),如OpenFlow、NETCONF等,用于下发流表和获取设备状态;控制器集群节点间的通信通常称为东西向接口。因此南向接口负责的是控制器与底层交换机的交互。20.在IPv6无状态地址自动配置(SLAAC)中,主机生成本地链路地址后,在发送RS(路由器请求)报文之前,必须执行的操作是()。A.向本地链路发送邻居请求进行重复地址检测(DAD)B.向默认网关发送ARP请求以获取MAC地址C.向DNS服务器发送查询请求以验证域名唯一性D.向DHCPv6服务器发送SOLICIT报文请求地址分配答案:A解析:在IPv6SLAAC机制中,主机首先根据接口标识符(如EUI-64)生成本地链路地址。在正式使用该地址(包括发送RS报文去请求网络前缀)之前,必须进行重复地址检测(DAD)。主机向本地链路组播发送邻居请求报文,若没有收到其他主机回应的邻居通告报文,则说明该本地链路地址在链路上是唯一的,可以使用,随后才会发送RS报文请求路由器前缀信息。IPv6中不再使用ARP协议。21.某网络管理员在配置静态路由时,发现到达同一目的网络有两条不同下一跳的静态路由。若希望实现基于源IP地址的流量分担,应采用的技术是()。A.等价路由(ECMP)B.策略路由(PBR)C.路由黑洞D.浮动静态路由答案:B解析:等价路由(ECMP)通常基于目的网络进行负载分担,且需要路由的优先级和度量值完全相同。若要求基于源IP地址选择不同的下一跳路径(例如/24的流量走下一跳A,/24的流量走下一跳B),传统的路由表是按目的网络查找的,无法实现。此时需要使用策略路由(Policy-BasedRouting,PBR),在路由查找之前先对数据包的源IP、五元组等进行匹配,并强制重定向到指定的下一跳。22.在Linux系统中,使用`tcpdump`命令抓取所有从00主机发出且目的端口为80的数据包,正确的命令格式是()。A.`tcpdumpsrchost00anddstport80`B.`tcpdumpsrc00anddstport80`C.`tcpdump-ieth0host00andport80`D.`tcpdump-ianysrc00andport80`答案:A解析:tcpdump的表达式规则中,可以使用`srchost`指定源主机IP,`dstport`指定目的端口号。选项A逻辑最为清晰准确。选项B中`src`后直接跟IP在某些版本中也可以,但标准语法推荐使用`srchost`。选项C和D没有限定源主机和目的端口的严格逻辑,抓取的数据量会远超需求。最严谨的命令是`tcpdump-ianysrchost00anddstport80`,题目未指定接口,选项A关注过滤逻辑,是最佳选择。23.在RADIUS认证协议中,当用户发起认证请求时,网络接入服务器(NAS)向RADIUS服务器发送的报文类型是()。A.Access-RequestB.Access-AcceptC.Access-RejectD.Access-Challenge答案:A解析:RADIUS协议采用客户端/服务器模型,NAS作为RADIUS客户端。当用户尝试接入网络时,NAS将用户信息封装在Access-Request(接入请求)报文中发送给RADIUS服务器。服务器验证通过返回Access-Accept,验证失败返回Access-Reject,若需要进一步验证(如动态密码)则返回Access-Challenge。24.以下关于网络存储技术的描述,正确的是()。A.NAS提供了块级数据存储服务,适合数据库应用B.SAN提供了文件级数据存储服务,通过以太网进行传输C.iSCSI协议是在IP网络上运行的SCSI指令协议,属于SAN的一种实现D.FCSAN比IPSAN具有更好的扩展性和更低的部署成本答案:C解析:NAS(网络附加存储)提供文件级存储服务,基于以太网和NFS/CIFS协议,适合文件共享;SAN(存储区域网络)提供块级存储服务,适合数据库等高性能应用,传统上基于光纤通道(FCSAN)。iSCSI是基于TCP/IP网络的SCSI指令集封装,它使得SAN可以通过IP网络实现,属于IPSAN的范畴。相比FCSAN,IPSAN由于基于成熟的以太网,其扩展性更好且部署成本更低。25.某园区网采用链路聚合(LACP模式)将两台核心交换机互联。若SW1的配置为主动模式,SW2的配置为被动模式。以下描述正确的是()。A.两台交换机都不会主动发送LACPDU,导致聚合组无法建立B.只有SW1会主动发送LACPDU,聚合组可以建立C.两台交换机都会主动发送LACPDU,聚合组可以建立D.SW1会发送LACPDU,SW2收到后才会回应发送LACPDU,聚合组可以建立答案:B解析:在LACP协议中,设备工作模式分为主动模式和被动模式。主动模式的设备会周期性地主动发送LACPDU报文来协商聚合;被动模式的设备不会主动发送LACPDU,只有在收到对端发来的LACPDU后才会进行回应。若两端都配置为被动模式,则双方都不发送LACPDU,聚合无法建立;若一端为主动,一端为被动,主动端发送LACPDU,被动端接收并回应,聚合可以正常建立。因此B选项描述准确。26.在Kubernetes网络模型中,用于解决跨节点Pod间通信的核心组件和机制通常是()。A.CoreDNSB.IngressControllerC.CNI插件(如Flannel、Calico)D.Kube-proxy答案:C解析:Kubernetes网络模型要求每个Pod拥有一个独立的IP地址,且Pod之间可以直接通信,无需NAT。跨节点Pod之间的通信由CNI(ContainerNetworkInterface)插件实现。例如Flannel通过VXLAN或Host-Gateway模式构建覆盖网络,Calico基于BGP协议在节点间交换Pod路由。CoreDNS用于服务发现,IngressController处理外部HTTP流量到集群内部的路由,Kube-proxy主要负责处理Service到Pod的负载均衡和流量转发(主要影响ClusterIP和NodePort)。27.在TCP三次握手过程中,若客户端发送的SYN报文段中序列号字段值为seA.xB.xC.xD.x加上SYN报文段中数据的字节数答案:B解析:在TCP建立连接的三次握手中,SYN报文段虽然不携带用户数据,但在序列号空间中会消耗掉一个序号。因此,服务端收到客户端的SYN报文(seq=x)后,期望客户端下一次发送的数据报文序列号为28.某主机发送了一个TTL值为64的ICMPEchoRequest报文。在到达目的主机前,该报文经过了3台路由器。目的主机收到的该报文的TTL值为()。A.61B.62C.63D.64答案:A解析:IP报文头部中的TTL(TimeToLive,生存时间)字段用于防止数据包在网络中无限循环。每当路由器转发一次IP报文,都会将TTL值减1。报文初始TTL为64,经过3台路由器,每经过一台减1,共减3。因此目的主机收到的报文TTL值为64−29.在网络安全攻防中,SYNFlood攻击属于典型的()攻击。A.拒绝服务B.跨站脚本C.SQL注入D.中间人答案:A解析:SYNFlood攻击利用TCP协议三次握手的缺陷。攻击者向目标服务器发送大量伪造源IP地址的SYN报文,服务器为这些半连接分配资源并回复SYN+ACK,但由于源IP是伪造的,无法收到最终的ACK报文,导致服务器上存在大量半开连接,资源耗尽,无法处理正常请求。这是一种典型的拒绝服务攻击。30.在IS-IS协议中,Level-1-2路由器的作用是()。A.只能在同一区域内转发数据B.只能在不同区域间转发数据C.维护Level-1和Level-2两套链路状态数据库,既能区域内转发也能跨区域转发D.只负责将Level-1区域的默认路由引入到Level-2区域答案:C解析:IS-IS协议采用两层架构:Level-1(区域内)和Level-2(区域间)。Level-1路由器只维护Level-1的LSDB,仅负责区域内路由;Level-2路由器只维护Level-2的LSDB,负责区域间路由。Level-1-2路由器同时属于Level-1和Level-2,它同时维护两套LSDB,既能与本区域内的Level-1路由器通信,也能与其他区域的Level-2或Level-1-2路由器通信,充当区域间路由的桥梁。试题一(园区网交换与OSPF网络设计)某企业园区网进行网络升级改造,核心层由两台核心交换机Core-SW1和Core-SW2组成,采用堆叠技术虚拟化为一台逻辑设备。接入层采用多台二层交换机。网络拓扑及VLAN规划如下:1.Core-SW1与Core-SW2通过专用堆叠线缆连接,配置堆叠。2.核心交换机与接入交换机SW-A之间采用链路聚合互联,SW-A上划分VLAN10(办公区,网段/24)和VLAN20(生产区,网段/24)。3.核心交换机作为VLAN10和VLAN20的网关,并在核心交换机上运行OSPF协议,将直连网段宣告进OSPF进程1,Area0。4.核心交换机通过三层接口G0/0/1连接至出口路由器Router-AR,G0/0/1的IP为/30,Router-AR侧接口IP为/30。Router-AR与核心交换机建立OSPF邻接关系(属于Area0)。5.出口路由器Router-AR连接外网,需要将内网VLAN10和VLAN20的流量进行NAT转换访问互联网。问题1(6分)在华为交换机上配置堆叠时,为了防止两台物理设备的堆叠主控竞争导致系统振荡,通常需要配置堆叠成员ID和堆叠优先级。若要求Core-SW1始终作为主设备,Core-SW2作为备设备,请写出在Core-SW2上配置堆叠优先级为50的命令,并简述堆叠分裂时“多主检测”机制的原理。答案:配置命令:`system-view``stack``stackmember1priority50`(注:不同成员ID配置均可,只要说明在备设备上降低优先级即可,默认优先级为1,这里设为50仅为示例,只要主设备优先级更高即可,若要求确切命令也可写为配置优先级低于主设备的命令。假设主设备设为200,备设备设为50,则命令为`stackmember2priority50`)多主检测机制原理:当堆叠系统发生分裂(如堆叠线缆断开)时,原堆叠系统会分裂为两个或多个具有相同MAC和IP配置的独立系统,导致网络冲突。多主检测(MAD)通过在分裂后的多个堆叠系统中发送检测报文进行竞争。通常分为直连检测和代理检测。检测到分裂后,系统会比较堆叠成员的优先级或MAC地址等规则,选举出一个正常运行的堆叠系统,其余竞争失败的堆叠成员设备会将其除保留端口外的所有业务端口关闭,使其进入Recovery状态,从而防止网络中出现多个相同配置的活动设备引发网络故障。问题2(8分)网络管理员需要在核心交换机上配置与SW-A的链路聚合。Core-SW1和Core-SW2分别使用G1/0/1和G2/0/1(堆叠后逻辑接口)与SW-A的G0/0/1和G0/0/2相连。要求采用LACP动态聚合模式,并配置Core侧为LACP主动模式。请补充完成以下核心交换机的配置命令:[Core]interfaceEth-Trunk10[Core-Eth-Trunk10](1)[Core-Eth-Trunk10]trunkport(2)[Core-Eth-Trunk10]portlink-typetrunk[Core-Eth-Trunk10]porttrunkallow-passvlan1020答案:(1)`modelacp`或`modelacp-static`(2)`GigabitEthernet1/0/1`和`GigabitEthernet2/0/1`(也可分开写两行`trunkportGigabitEthernet1/0/1`和`trunkportGigabitEthernet2/0/1`)问题3(6分)在核心交换机上配置VLAN10和VLAN20的SVI接口作为网关,并配置OSPF进程1,将VLAN网段及上行接口网段宣告进Area0。请补充完成以下命令:[Core]interfaceVlanif10[Core-Vlanif10]ipaddress5424[Core]interfaceVlanif20[Core-Vlanif20]ipaddress5424[Core]ospf1router-id[Core-ospf-1]area0[Core-ospf-1-area-](3)55[Core-ospf-1-area-](3)55[Core-ospf-1-area-](3)答案:(3)`network`问题4(5分)在出口路由器Router-AR上,需要配置EasyIP方式的NAT,使得VLAN10和VLAN20的用户能够使用Router-AR连接外网接口的IP地址访问互联网。Router-AR的G0/0/0连接外网,G0/0/1连接核心交换机。请补充完成NAT相关配置:[Router-AR]acl2000[Router-AR-acl-basic-2000]rulepermitsource55[Router-AR-acl-basic-2000]rulepermitsource55[Router-AR]interfaceGigabitEthernet0/0/0[Router-AR-GigabitEthernet0/0/0](4)2000答案:(4)`natoutbound2000`试题二(IPv6过渡与WLAN网络部署)随着业务发展,企业需将现有IPv4网络逐步向IPv6网络过渡。现计划在内部部署IPv6网络,并建设WLAN覆盖办公区域。已知内部使用华为设备。拓扑描述:核心交换机Core-SW为VLAN100(/24)和VLAN200(2026:100::/64)的网关。接入交换机SW-B连接AP1。AP1管理VLAN为100,业务VLAN为200。AC(无线控制器)旁挂于核心交换机,使用52/24作为管理IP。问题1(6分)IPv4到IPv6的过渡技术有多种。若企业希望在不改变现有IPv4网络结构的基础上,在边缘设备上实现IPv4孤岛与IPv6孤岛的跨域互通,最合适的过渡技术是(1);若企业希望在纯IPv6网络上承载IPv4业务,实现IPv4overIPv6,应采用的过渡技术是(2)。A.双栈B.手工隧道C.GRE隧道D.6PEE.DS-Lite答案:(1)C(GRE隧道)(2)E(DS-Lite)解析:6PE用于MPLS骨干网;手工隧道通常是点对点且配置静态目的地址;GRE隧道可以承载多种协议,适合跨域连通孤岛。DS-Lite(Dual-StackLite)技术通过IPv6隧道封装IPv4报文,在纯IPv6网络上传输IPv4流量,并在CGN设备上进行NAT444转换。问题2(8分)在核心交换机Core-SW上配置VLAN200的接口IPv6地址,并开启无状态地址自动配置(SLAAC),使接入AP和用户终端能够获取IPv6前缀。同时开启RA抑制功能(仅允许DHCPv6获取地址)。请补充完成命令:[Core-SW]vlan200[Core-SW-vlan200]quit[Core-SW]interfaceVlanif200[Core-SW-Vlanif200]ipv6enable[Core-SW-Vlanif200](3)2026:100::164[Core-SW-Vlanif200]undo(4)//关闭RA通告答案:(3)`ipv6address`(4)`ipv6ndra`或`ipv6ndrahalt`(注:华为设备命令为`undoipv6ndrahalt`关闭抑制,因此开启抑制的命令是`ipv6ndrahalt`或者类似,根据版本不同,若原命令为`undoipv6ndrahalt`为开启,则此处应为填空为开启抑制。华为常规命令:开启RA通告是`undoipv6ndrahalt`。因此关闭RA通告的命令是`ipv6ndrahalt`。)问题3(6分)WLAN网络中,AP获取AC地址的方式有多种。若采用Option43方式分配AC的IPv4地址,需在DHCP服务器上配置。已知AC的IP为52,在Core-SW的VLANIF100接口下配置DHCP服务器。请写出在VLANIF100地址池中为AP分配Option43属性的命令。[Core-SW]ippoolvlan100[Core-SW-ip-pool-vlan100]gateway-list[Core-SW-ip-pool-vlan100](5)43sub-option3ip-address52答案:(5)`option`或`dhcpserveroption`(华为设备命令为`option43sub-option3ip-address52`或者`option43sub-option3ascii52`,标准命令为`option`。)问题4(5分)在配置WLAN业务时,管理员创建了SSID为“Enterprise-WLAN”的安全策略为WPA3。关于WPA3相比WPA2在安全性上的提升,下列描述不正确的是(6)。A.WPA3采用SAE(对等同步认证)协议替代了WPA2中的PSK,抵御离线字典攻击能力更强。B.WPA3强制使用AES加密算法,不再支持TKIP。C.WPA3支持前向保密,即使密码泄露,已捕获的历史流量也无法被解密。D.在WPA3-Personal模式下,不再需要依赖AP进行认证,完全由终端设备间直接完成认证。答案:(6)D解析:WPA3-Personal引入了SAE(SimultaneousAuthenticationofEquals)替代PSK,有效防止离线字典破解,并提供前向保密。WPA3确实强制使用AES并淘汰了TKIP。但无论WPA2还是WPA3,无线终端依然是通过与AP进行四路握手等机制建立连接,认证过程发生在终端与AP之间,并非终端设备之间直接认证。试题三(防火墙安全策略与IPsecVPN网络部署)企业总部与分支机构之间通过Internet建立IPsecVPN进行安全通信。总部出口部署一台华为USG系列防火墙(FW-HQ),分支机构出口部署一台防火墙(FW-BR)。FW-HQ的公网接口G1/0/1的IP为/30,FW-BR公网接口G1/0/1的IP为/30。总部内网网段为/24,分支内网网段为/24。要求在两台防火墙之间建立基于IKEv2的IPsecVPN,并配置安全策略。问题1(6分)在IPsecVPN建立过程中,IKEv2协商分为两个阶段。第一阶段建立IKESA,第二阶段建立IPsecSA。在IKEv2中,完成第一阶段的交互需要(1)个报文,整个建立过程总共需要(2)个报文。答案:(1)2(2)4解析:IKEv1建立IKESA通常需要主模式6个报文或野蛮模式3个报文,建立IPsecSA需要快速模式3个报文。IKEv2简化了协商过程,第一阶段(IKE_SA_INIT)需要2个报文,第二阶段(IKE_AUTH)也需要2个报文,总共只需要4个报文即可建立IPsecSA。问题2(8分)在配置防火墙安全策略时,必须明确安全域。FW-HQ的G1/0/1属于Untrust区域,连接内网的G1/0/2属于Trust区域。为了让两端内网能够通过IPsecVPN互相访问,需要在FW-HQ上配置允许IPsec协商报文及内网数据穿越防火墙的安全策略。配置放行IPsec协商报文(UDP500,UDP4500,ESP协议)的策略:[FW-HQ]security-policy[FW-HQ-policy-security]rulenamepolicy_ipsec[FW-HQ-policy-security-rule-policy_ipsec]source-zoneuntrust[FW-HQ-policy-security-rule-policy_ipsec]destination-zone(3)[FW-HQ-policy-security-rule-policy_ipsec]destination-address32[FW-HQ-policy-security-rule-policy_ipsec]service(4)[FW-HQ-policy-security-rule-policy_ipsec]actionpermit答案:(3)`local`(4)`ike`或`ipsec`(注:在华为USG防火墙中,通常通过引用服务集`serviceike`和`serviceipsec`,或者直接放行UDP500/4500和ESP。防火墙自身接口参与IPsec协商,目的区域必须为Local域。)问题3(6分)配置放行经过IPsec解封装后的总部与分支内网互访数据流量的策略:[FW-HQ-policy-security]rulenamepolicy_lan[FW-HQ-policy-security-rule-policy_lan]source-zoneuntrust[FW-HQ-policy-security-rule-policy_lan]destination-zonetrust[FW-HQ-policy-security-rule-policy_lan]sourc

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论