2025年上半年網(wǎng)絡(luò)工程師真題及答案解析一、單項(xiàng)選擇題（每題2分，共20分）1.在OSI參考模型中，負(fù)責(zé)將上層數(shù)據(jù)封裝為幀，并通過(guò)MAC地址實(shí)現(xiàn)同一鏈路內(nèi)設(shè)備通信的層次是（）。A.物理層B.數(shù)據(jù)鏈路層C.網(wǎng)絡(luò)層D.傳輸層答案：B解析：數(shù)據(jù)鏈路層的核心功能是將網(wǎng)絡(luò)層的IP數(shù)據(jù)報(bào)封裝為幀（Frame），并通過(guò)MAC地址（物理地址）標(biāo)識(shí)同一物理鏈路中的通信設(shè)備。該層還負(fù)責(zé)處理差錯(cuò)檢測(cè)（如CRC校驗(yàn)）和介質(zhì)訪問(wèn)控制（如CSMA/CD）。物理層僅處理比特流的傳輸；網(wǎng)絡(luò)層負(fù)責(zé)邏輯地址（IP地址）和路由選擇；傳輸層管理端到端的可靠連接（如TCP）或無(wú)連接傳輸（如UDP）。2.關(guān)于TCP和UDP協(xié)議的描述，正確的是（）。A.TCP是無(wú)連接協(xié)議，UDP是面向連接協(xié)議B.TCP提供流量控制，UDP不提供C.UDP適用于文件傳輸，TCP適用于視頻通話D.TCP和UDP均使用端口號(hào)標(biāo)識(shí)應(yīng)用進(jìn)程答案：B、D（注：本題為多選，實(shí)際考試中可能設(shè)計(jì)為單選，此處為示例）解析：TCP是面向連接的可靠協(xié)議，通過(guò)滑動(dòng)窗口機(jī)制實(shí)現(xiàn)流量控制；UDP是無(wú)連接的不可靠協(xié)議，無(wú)流量控制功能。兩者均通過(guò)端口號(hào)（16位）區(qū)分同一主機(jī)上的不同應(yīng)用進(jìn)程（如HTTP使用80端口）。文件傳輸（如FTP）需要可靠性，因此使用TCP；視頻通話（如VoIP）對(duì)延遲敏感，更適合UDP。3.某企業(yè)核心路由器同時(shí)運(yùn)行RIPv2（管理距離120）、OSPF（區(qū)域0，管理距離110）和靜態(tài)路由（管理距離1），當(dāng)存在多條到達(dá)同一目標(biāo)網(wǎng)絡(luò)的路由時(shí)，路由器優(yōu)先選擇（）。A.RIP路由B.OSPF路由C.靜態(tài)路由D.BGP路由（管理距離200）答案：C解析：路由協(xié)議的管理距離（AD，AdministrativeDistance）表示路由來(lái)源的可信度，AD值越小優(yōu)先級(jí)越高。靜態(tài)路由默認(rèn)AD=1，OSPF（AD=110）、RIP（AD=120）、BGP（AD=200）的AD值均大于靜態(tài)路由，因此靜態(tài)路由優(yōu)先。4.以下關(guān)于VLAN（虛擬局域網(wǎng)）的描述，錯(cuò)誤的是（）。A.VLAN可以隔離廣播域B.交換機(jī)的Access端口只能屬于一個(gè)VLANC.交換機(jī)的Trunk端口可以傳輸多個(gè)VLAN的幀D.VLAN1是默認(rèn)VLAN，不可修改或刪除答案：D解析：VLAN1是交換機(jī)的默認(rèn)VLAN，所有未明確劃分VLAN的端口默認(rèn)屬于VLAN1。雖然VLAN1不可刪除，但可以修改其名稱（如通過(guò)“vlan1namedefault”命令）。其他選項(xiàng)均正確：VLAN通過(guò)隔離廣播域減少?gòu)V播風(fēng)暴；Access端口僅屬于一個(gè)VLAN，Trunk端口通過(guò)802.1Q或ISL封裝傳輸多個(gè)VLAN的幀。5.某網(wǎng)絡(luò)中，路由器配置了如下ACL：access-list101permittcp55anyeq80access-list101denyipanyany該ACL的作用是（）。A.允許/24網(wǎng)絡(luò)的所有用戶訪問(wèn)外部HTTP服務(wù)B.允許外部用戶訪問(wèn)/24網(wǎng)絡(luò)的HTTP服務(wù)C.禁止/24網(wǎng)絡(luò)的所有用戶訪問(wèn)外部任何服務(wù)D.允許/24網(wǎng)絡(luò)的用戶通過(guò)TCP訪問(wèn)外部80端口答案：D解析：擴(kuò)展ACL（編號(hào)100-199）基于協(xié)議類(lèi)型、源/目的IP、端口號(hào)過(guò)濾流量。該ACL的第一條規(guī)則表示“允許源IP為/24、協(xié)議為T(mén)CP、目的端口為80（HTTP）的流量通過(guò)”；第二條規(guī)則“denyipanyany”表示拒絕其他所有IP流量（隱含的“permitipanyany”被覆蓋）。因此，僅允許/24網(wǎng)絡(luò)的用戶通過(guò)TCP訪問(wèn)外部80端口（即訪問(wèn)外部Web服務(wù)器）。6.IPv6地址2001:db8::1/64的子網(wǎng)掩碼長(zhǎng)度是（）。A.64位B.128位C.32位D.48位答案：A解析：IPv6地址采用128位表示，子網(wǎng)掩碼（前綴長(zhǎng)度）通過(guò)“/”后數(shù)字標(biāo)識(shí)。題目中“/64”表示前64位為網(wǎng)絡(luò)前綴，后64位為接口標(biāo)識(shí)，因此子網(wǎng)掩碼長(zhǎng)度為64位。7.STP（生成樹(shù)協(xié)議）的主要作用是（）。A.實(shí)現(xiàn)VLAN間路由B.防止二層環(huán)路導(dǎo)致的廣播風(fēng)暴C.優(yōu)化三層路由路徑D.提高無(wú)線AP的覆蓋范圍答案：B解析：STP通過(guò)選舉根橋、根端口、指定端口，阻塞冗余端口，將環(huán)形網(wǎng)絡(luò)拓?fù)滢D(zhuǎn)換為樹(shù)形結(jié)構(gòu)，從而避免二層環(huán)路引發(fā)的廣播風(fēng)暴、MAC地址表震蕩等問(wèn)題。VLAN間路由由三層設(shè)備（如路由器、三層交換機(jī)）實(shí)現(xiàn)；三層路由優(yōu)化由路由協(xié)議（如OSPF）完成；無(wú)線覆蓋范圍與AP功率、天線增益相關(guān)。8.以下關(guān)于BGP（邊界網(wǎng)關(guān)協(xié)議）的描述，正確的是（）。A.BGP是內(nèi)部網(wǎng)關(guān)協(xié)議（IGP），用于自治系統(tǒng)（AS）內(nèi)路由B.BGP通過(guò)跳數(shù)（HopCount）選擇最優(yōu)路徑C.BGP支持路由策略（RoutePolicy），可靈活控制路由發(fā)布與接收D.BGP僅適用于小規(guī)模企業(yè)網(wǎng)絡(luò)答案：C解析：BGP是外部網(wǎng)關(guān)協(xié)議（EGP），用于不同自治系統(tǒng)（AS）間的路由交換，其路徑選擇基于AS路徑、本地優(yōu)先級(jí)（LocalPreference）、MED值等屬性，而非跳數(shù)。BGP支持路由策略（如通過(guò)filter-list、route-map）過(guò)濾或修改路由屬性，適用于大規(guī)模網(wǎng)絡(luò)（如互聯(lián)網(wǎng)運(yùn)營(yíng)商）。IGP包括RIP、OSPF、EIGRP等。9.某無(wú)線局域網(wǎng)（WLAN）使用802.11ac協(xié)議，其最大理論速率可達(dá)（）。A.150MbpsB.300MbpsC.1.3GbpsD.6.9Gbps答案：C解析：802.11ac（Wi-Fi5）支持5GHz頻段，采用MIMO（多輸入多輸出）技術(shù)和80MHz/160MHz信道帶寬，最大理論速率可達(dá)1.3Gbps（單流）或更高（如3流可達(dá)3.9Gbps）。802.11n（Wi-Fi4）最大速率約600Mbps，802.11ax（Wi-Fi6）理論速率可達(dá)9.6Gbps。10.網(wǎng)絡(luò)管理中，SNMP協(xié)議的默認(rèn)端口是（）。A.21B.23C.161D.443答案：C解析：SNMP（簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議）使用UDP端口161（管理站接收代理信息）和162（代理向管理站發(fā)送陷阱Trap）。FTP使用21端口，Telnet使用23端口，HTTPS使用443端口。二、填空題（每題2分，共10分）1.以太網(wǎng)幀的最大傳輸單元（MTU）默認(rèn)是______字節(jié)。答案：1500解析：以太網(wǎng)幀的MTU（最大傳輸單元）定義了數(shù)據(jù)鏈路層能傳輸?shù)淖畲髷?shù)據(jù)報(bào)大小，默認(rèn)值為1500字節(jié)（不包括幀頭和幀尾）。若IP數(shù)據(jù)報(bào)超過(guò)MTU，網(wǎng)絡(luò)層會(huì)進(jìn)行分片（Fragmentation）。2.OSPF協(xié)議中，______區(qū)域是所有其他區(qū)域的中心，必須與其他區(qū)域直接相連。答案：骨干（區(qū)域0）解析：OSPF通過(guò)區(qū)域（Area）劃分實(shí)現(xiàn)分層網(wǎng)絡(luò)設(shè)計(jì)，骨干區(qū)域（Area0）是核心區(qū)域，所有非骨干區(qū)域（如Area1、Area2）必須通過(guò)ABR（區(qū)域邊界路由器）連接到骨干區(qū)域，否則無(wú)法交換路由信息。3.靜態(tài)路由配置中，“iproute”表示目標(biāo)網(wǎng)絡(luò)為_(kāi)_____，下一跳地址為_(kāi)_____。答案：/24；解析：靜態(tài)路由命令格式為“iproute目標(biāo)網(wǎng)絡(luò)地址子網(wǎng)掩碼下一跳地址”。本題中目標(biāo)網(wǎng)絡(luò)是，子網(wǎng)掩碼（即/24），下一跳路由器的接口IP為。4.VLAN的標(biāo)準(zhǔn)編號(hào)范圍是1-4094，其中保留用于FDDI和令牌環(huán)的VLAN是______。答案：1002-1005解析：VLAN1為默認(rèn)VLAN（不可刪除），1002-1005為保留VLAN（用于兼容FDDI和令牌環(huán)網(wǎng)絡(luò)，現(xiàn)代以太網(wǎng)中通常不使用），4095為擴(kuò)展VLAN（部分交換機(jī)支持）。5.網(wǎng)絡(luò)安全中，______攻擊通過(guò)發(fā)送大量偽造的ICMP請(qǐng)求（Ping）導(dǎo)致目標(biāo)設(shè)備資源耗盡。答案：Smurf（或ICMP洪水）解析：Smurf攻擊是一種分布式拒絕服務(wù)（DDoS）攻擊，攻擊者向廣播地址發(fā)送大量源IP為目標(biāo)設(shè)備的ICMPEchoRequest（Ping）包，導(dǎo)致網(wǎng)絡(luò)中的所有主機(jī)同時(shí)回應(yīng)目標(biāo)設(shè)備，造成其帶寬和處理能力耗盡。三、簡(jiǎn)答題（每題8分，共24分）1.簡(jiǎn)述OSPF協(xié)議中DR（指定路由器）和BDR（備份指定路由器）的作用及選舉過(guò)程。答案：DR（DesignatedRouter）和BDR（BackupDesignatedRouter）是OSPF在廣播型網(wǎng)絡(luò)（如以太網(wǎng)）或NBMA網(wǎng)絡(luò)（如幀中繼）中選舉的特殊路由器，用于減少鄰接關(guān)系數(shù)量，降低LSA（鏈路狀態(tài)廣告）泛洪的開(kāi)銷(xiāo)。作用：-DR作為該網(wǎng)絡(luò)的代表，負(fù)責(zé)收集本網(wǎng)段內(nèi)所有路由器的LSA，并向其他網(wǎng)絡(luò)泛洪；-BDR是DR的備份，當(dāng)DR失效時(shí)，BDR立即升級(jí)為DR，避免網(wǎng)絡(luò)中斷；-其他路由器（DROther）僅與DR和BDR建立鄰接關(guān)系，而非全連接，減少鄰接數(shù)（如n臺(tái)路由器時(shí)，鄰接數(shù)從n(n-1)/2降至2(n-1)）。選舉過(guò)程：-基于路由器的優(yōu)先級(jí)（Priority，默認(rèn)1，范圍0-255），優(yōu)先級(jí)高者優(yōu)先；-若優(yōu)先級(jí)相同，選擇RouterID（RID，最大的IP地址或手動(dòng)配置）較大的路由器；-優(yōu)先級(jí)為0的路由器不參與選舉（僅作為DROther）。2.說(shuō)明VLAN間路由的兩種實(shí)現(xiàn)方式，并比較其優(yōu)缺點(diǎn)。答案：VLAN間路由用于實(shí)現(xiàn)不同VLAN（廣播域）內(nèi)主機(jī)的通信，常見(jiàn)實(shí)現(xiàn)方式有兩種：（1）單臂路由（Router-on-a-Stick）：-配置方式：在路由器的一個(gè)物理接口上創(chuàng)建多個(gè)子接口（Sub-interface），每個(gè)子接口對(duì)應(yīng)一個(gè)VLAN，并配置802.1Q封裝（Trunk）。子接口的IP地址作為對(duì)應(yīng)VLAN的網(wǎng)關(guān)。-優(yōu)點(diǎn)：僅需一個(gè)物理接口，節(jié)省路由器端口資源；配置簡(jiǎn)單，適用于小規(guī)模網(wǎng)絡(luò)。-缺點(diǎn)：所有VLAN間流量需經(jīng)過(guò)物理接口，形成瓶頸；可靠性低（物理接口故障導(dǎo)致所有VLAN間通信中斷）。（2）三層交換路由（Layer3Switching）：-配置方式：在三層交換機(jī)上啟用路由功能（如IProuting），為每個(gè)VLAN創(chuàng)建SVI（交換虛擬接口），并為SVI分配IP地址作為網(wǎng)關(guān)。VLAN間流量通過(guò)三層交換機(jī)的硬件轉(zhuǎn)發(fā)（ASIC處理）。-優(yōu)點(diǎn)：轉(zhuǎn)發(fā)效率高（硬件交換），無(wú)單臂路由的瓶頸問(wèn)題；可靠性高（可通過(guò)鏈路聚合提高冗余）。-缺點(diǎn)：需要三層交換機(jī)支持，成本高于普通二層交換機(jī)；配置復(fù)雜度略高（需啟用路由功能并配置SVI）。3.簡(jiǎn)述網(wǎng)絡(luò)安全中防火墻的分類(lèi)及各自特點(diǎn)。答案：防火墻是網(wǎng)絡(luò)安全的核心設(shè)備，根據(jù)工作層次和技術(shù)可分為以下三類(lèi)：（1）包過(guò)濾防火墻（網(wǎng)絡(luò)層防火墻）：-工作層次：OSI第三層（網(wǎng)絡(luò)層）和第四層（傳輸層）。-特點(diǎn)：基于源/目的IP地址、端口號(hào)、協(xié)議類(lèi)型（TCP/UDP/ICMP）過(guò)濾數(shù)據(jù)包；處理速度快（硬件實(shí)現(xiàn)），但無(wú)法識(shí)別應(yīng)用層內(nèi)容（如HTTP的URL）；無(wú)法防御應(yīng)用層攻擊（如SQL注入）。（2）狀態(tài)檢測(cè)防火墻（動(dòng)態(tài)包過(guò)濾防火墻）：-工作層次：網(wǎng)絡(luò)層至傳輸層，同時(shí)跟蹤連接狀態(tài)（StatefulInspection）。-特點(diǎn)：不僅檢查數(shù)據(jù)包的頭部，還維護(hù)連接狀態(tài)表（如TCP的三次握手狀態(tài)），僅允許與已建立連接相關(guān)的數(shù)據(jù)包通過(guò)；安全性高于包過(guò)濾防火墻，能有效防止半開(kāi)連接（如SYNFlood攻擊）。（3）應(yīng)用層防火墻（代理防火墻）：-工作層次：OSI第七層（應(yīng)用層）。-特點(diǎn)：通過(guò)應(yīng)用代理（如HTTP代理、FTP代理）轉(zhuǎn)發(fā)流量，對(duì)應(yīng)用層協(xié)議（如HTTP、SMTP）進(jìn)行深度解析；可識(shí)別具體應(yīng)用行為（如阻止訪問(wèn)惡意網(wǎng)站），但處理延遲較高（需拆包重組）；資源消耗大（需為每個(gè)應(yīng)用維護(hù)代理進(jìn)程）。四、綜合應(yīng)用題（共26分）某企業(yè)網(wǎng)絡(luò)拓?fù)淙缦拢?核心交換機(jī)（S1）連接研發(fā)部（VLAN10，IP范圍/24）、銷(xiāo)售部（VLAN20，IP范圍/24）、財(cái)務(wù)部（VLAN30，IP范圍/24）；-核心交換機(jī)通過(guò)千兆鏈路連接出口路由器（R1），R1連接互聯(lián)網(wǎng)；-要求：研發(fā)部不能訪問(wèn)財(cái)務(wù)部，銷(xiāo)售部可以訪問(wèn)所有部門(mén)，所有部門(mén)均可訪問(wèn)互聯(lián)網(wǎng)。請(qǐng)完成以下配置：（1）核心交換機(jī)S1的VLAN及端口配置（假設(shè)端口E0/1屬于研發(fā)部，E0/2屬于銷(xiāo)售部，E0/3屬于財(cái)務(wù)部，E0/4連接R1）。（8分）（2）出口路由器R1的VLAN間路由配置（使用單臂路由方式）。（8分）（3）核心交換機(jī)或路由器上的ACL配置，實(shí)現(xiàn)研發(fā)部無(wú)法訪問(wèn)財(cái)務(wù)部的需求。（10分）答案：（1）核心交換機(jī)S1的VLAN及端口配置：```S1(config)vlan10S1(config-vlan)nameR&DS1(config-vlan)exitS1(config)vlan20S1(config-vlan)nameSalesS1(config-vlan)exitS1(config)vlan30S1(config-vlan)nameFinanceS1(config-vlan)exit!配置Access端口（E0/1-E0/3）S1(config)interfacee0/1S1(config-if)switchportmodeaccessS1(config-if)switchportaccessvlan10S1(config-if)exitS1(config)interfacee0/2S1(config-if)switchportmodeaccessS1(config-if)switchportaccessvlan20S1(config-if)exitS1(config)interfacee0/3S1(config-if)switchportmodeaccessS1(config-if)switchportaccessvlan30S1(config-if)exit!配置Trunk端口（E0/4連接R1）S1(config)interfacee0/4S1(config-if)switchportmodetrunkS1(config-if)switchporttrunkencapsulationdot1q!啟用802.1Q封裝S1(config-if)switchporttrunkallowedvlanall!允許所有VLAN通過(guò)S1(config-if)exit```（2）出口路由器R1的單臂路由配置：```R1(config)interfacegigabitEthernet0/0!物理接口連接S1的E0/4R1(config-if)noshutdownR1(config-if)exit!創(chuàng)建子接口，對(duì)應(yīng)各VLANR1(config)interfacegigabitEthernet0/0.10R1(config-subif)encapsulationdot1Q10!封裝VLAN10R1(config-subif)ipaddress54!VLAN10網(wǎng)關(guān)R1(config-subif)exitR1(config)interfacegigabitEthernet0/0.20R1(config-subif)enc