思科認證互聯(lián)網(wǎng)專家CCIE考試習題庫(2025年第1部分)含答案一、單選題（每題2分，共30題）1.在CiscoIOSXE17.12版本中，啟用IPv6OSPFv3時，若要將接口的Hello間隔設置為10秒，死亡間隔設置為40秒，正確的配置命令是？A.ipv6ospf1area0hellointerval10deadinterval40B.ospfv31area0hello10dead40C.ipv6ospfhellointerval10deadinterval40area0D.interfaceGigabitEthernet0/1ipv6ospf1area0ospfv3hellointerval10ospfv3deadinterval40答案：D（OSPFv3的Hello/Dead間隔需在接口下通過ospfv3命令單獨配置，而非直接在ipv6ospf關聯(lián)命令中）2.某企業(yè)部署SDAccess網(wǎng)絡，核心層使用Cisco9500系列交換機，接入層為Cisco9300。當接入層交換機通過802.1Qtrunk連接核心時，若要實現(xiàn)用戶終端的MAC地址在核心層被學習，需確保以下哪項配置？A.核心層接口開啟portfastB.接入層接口配置iparpinspectionC.核心層接口啟用macaddresstablelearningD.接入層接口配置stormcontrolbroadcastlevel50答案：C（默認情況下，Cisco交換機的trunk接口會學習對端設備的MAC地址，但某些場景下可能關閉學習功能，需通過macaddresstablelearningenable顯式啟用）3.以下關于BGP路由反射器（RouteReflector）的描述，錯誤的是？A.路由反射器的客戶端之間可以直接傳遞路由，無需經(jīng)過反射器B.非客戶端與路由反射器之間需建立全連接IBGP會話C.路由反射器會將從客戶端收到的路由反射給其他客戶端和非客戶端D.路由反射器的AS_PATH屬性不會被修改（除非配置了aspathprepend）答案：A（客戶端之間的路由傳遞仍需經(jīng)過路由反射器，否則IBGP水平分割規(guī)則仍會阻止路由傳遞）4.在CiscoDNACenter的“Design”模塊中，若要為分支站點配置SDWAN策略，使視頻流量優(yōu)先通過MPLS鏈路傳輸，應在哪個配置層級設置？A.企業(yè)策略（EnterprisePolicy）→應用策略（ApplicationPolicy）B.站點策略（SitePolicy）→網(wǎng)絡策略（NetworkPolicy）C.設備策略（DevicePolicy）→接口策略（InterfacePolicy）D.功能模板（FeatureTemplate）→QoS模板（QoSProfile）答案：A（DNACenter的應用策略用于定義應用流量的傳輸優(yōu)先級和路徑選擇，MPLS鏈路的優(yōu)先級需在此層級關聯(lián)）5.某數(shù)據(jù)中心部署VXLANEVPN，當Leaf交換機收到來自Spine的Type2路由（MAC/IP廣告路由）時，其處理流程正確的是？A.學習MAC地址，關聯(lián)VNI和對應的SpineIP（BUM終點）B.學習MAC地址，關聯(lián)VNI和對應的源LeafIP（端點IP）C.學習IP地址，關聯(lián)VNI和對應的SpineIP（BUM終點）D.學習IP地址，關聯(lián)VNI和對應的源LeafIP（端點IP）答案：B（Type2路由攜帶MAC和IP信息，Leaf通過該路由學習對端端點的MAC地址，并記錄源Leaf的IP作為端點IP，用于單播流量的VXLAN封裝）6.配置CiscoIOSXE的AAA認證時，若希望首先使用本地數(shù)據(jù)庫認證，失敗后嘗試TACACS+，最后使用enable密碼作為回退，正確的aaaauthenticationlogin命令是？A.aaaauthenticationlogindefaultlocaltacacs+enableB.aaaauthenticationlogindefaultgrouptacacs+localenableC.aaaauthenticationlogindefaultlocalgrouptacacs+enableD.aaaauthenticationlogindefaultenablegrouptacacs+local答案：C（認證順序為：先檢查本地數(shù)據(jù)庫（local），失敗后使用TACACS+組（grouptacacs+），最后使用enable密碼（enable））7.在CiscoMerakiMX系列防火墻中，若要阻止所有員工訪問非公司允許的SaaS應用（如TikTok、Instagram），最有效的配置是？A.在安全事件（SecurityEvents）中啟用入侵防御（IPS）規(guī)則B.在流量整形（TrafficShaping）中限制娛樂類應用帶寬C.在內(nèi)容過濾（ContentFiltering）中選擇“阻止社交網(wǎng)絡”類別D.在MXL3/L4防火墻規(guī)則中拒絕目標端口443的流量答案：C（Meraki內(nèi)容過濾支持按應用類別（如社交網(wǎng)絡）全局阻止，比逐端口或逐IP配置更高效）8.以下關于CiscoSDWAN的OMP（OverlayManagementProtocol）的描述，正確的是？A.OMP僅用于傳輸數(shù)據(jù)平面的路由信息，控制平面使用BGPB.OMP報文通過UDP12346端口傳輸，支持可靠傳輸機制C.OMP路由的度量值（metric）包括延遲、抖動、丟包率等動態(tài)參數(shù)D.OMP會將公網(wǎng)IP路由（如/0）自動注入到企業(yè)VPN（VPN0）答案：C（OMP的metric包含鏈路質(zhì)量的動態(tài)指標，用于計算最優(yōu)路徑；OMP使用TCP45112端口，控制平面和路由均通過OMP傳輸；公網(wǎng)路由需手動關聯(lián)到VPN實例）9.某網(wǎng)絡中，R1（AS65001）與R2（AS65002）建立EBGP會話，R2與R3（AS65002）建立IBGP會話。R1向R2發(fā)送一條路由/24，AS_PATH為65001。R2將該路由傳遞給R3時，AS_PATH會變?yōu)?？A.6500165002B.6500265001C.65001（IBGP不修改AS_PATH）D.650016500265002答案：C（IBGP會話中，路由傳遞時不會修改AS_PATH屬性，僅EBGP會添加本地AS到路徑中）10.在CiscoIOSXE中，使用“showcryptoisakmpsa”命令查看IPSecSA狀態(tài)，若輸出顯示“QM_IDLE”，表示？A.IKEv1第一階段（主模式/積極模式）已完成，等待第二階段協(xié)商B.IKEv2協(xié)商已完成，IPSecSA處于活動狀態(tài)C.IKEv1第二階段（快速模式）協(xié)商完成，SA處于空閑狀態(tài)D.IKEv2協(xié)商失敗，正在重試答案：C（QM_IDLE是IKEv1快速模式（QuickMode）完成后的狀態(tài)，表示IPSecSA已建立但無流量，處于空閑等待狀態(tài)）二、多選題（每題3分，共20題）11.以下哪些屬于CiscoDNACenter的“Assurance”模塊功能？（選3項）A.網(wǎng)絡設備配置合規(guī)性檢查B.應用性能分析（APEX）C.設備模板批量部署D.故障根因分析（RCA）E.無線接入點（AP）位置可視化答案：A、B、D（Assurance模塊聚焦網(wǎng)絡監(jiān)控、故障排查和性能分析，包括合規(guī)檢查、應用性能和根因分析；模板部署屬于Design模塊，AP位置可視化屬于Provision模塊）12.部署CiscoCatalyst9800無線控制器（WLC）時，若要實現(xiàn)802.1X認證的客戶端在不同接入點（AP）間漫游時保持認證狀態(tài)，需滿足哪些條件？（選2項）A.所有AP屬于同一FlexConnect組B.WLC啟用跨控制器漫游（InterControllerRoaming）C.客戶端支持802.11r（快速安全漫游）D.WLC配置相同的認證域（AuthenticationDomain）答案：C、D（802.11r協(xié)議支持快速漫游時的密鑰重用，保持認證狀態(tài)；同一認證域確保漫游時無需重新進行EAP協(xié)商）13.在BGP中，以下哪些屬性是公認必遵（WellknownMandatory）屬性？（選2項）A.AS_PATHB.NEXT_HOPC.LOCAL_PREFD.COMMUNITYE.ORIGIN答案：A、E（公認必遵屬性包括AS_PATH、ORIGIN、NEXT_HOP？不，NEXT_HOP是公認discretionary，必遵只有AS_PATH和ORIGIN。注意：NEXT_HOP是公認discretionary，即所有BGP實現(xiàn)必須識別但不一定必須存在。正確必遵是AS_PATH、ORIGIN）修正：正確答案為A、E（AS_PATH和ORIGIN是公認必遵屬性，必須存在于所有更新中；NEXT_HOP是公認discretionary，可選但必須被識別）14.以下關于CiscoSDAccess中“虛擬網(wǎng)絡（VirtualNetwork,VN）”的描述，正確的是？（選3項）A.一個VN對應一個唯一的VNI（VXLANNetworkIdentifier）B.VN用于隔離不同租戶或業(yè)務的流量，基于IP子網(wǎng)劃分C.接入層交換機通過ISIS協(xié)議傳播VN的可達性信息D.核心層交換機根據(jù)VN標簽（如VLAN或VXLAN）進行流量轉發(fā)E.VN支持將物理網(wǎng)絡中的多個VLAN映射到同一個邏輯網(wǎng)絡答案：A、D、E（VN通過VNI標識，核心層基于VNI轉發(fā)；VN是邏輯隔離單元，可映射多個物理VLAN；SDAccess使用LISP或ISIS傳播端點信息，而非單純IP子網(wǎng)）15.配置CiscoIOSXE的QoS時，若要對HTTP流量（TCP80）進行限速（10Mbps）并標記DSCPAF21，可使用以下哪些組件組合？（選2項）A.classmapmatchanyHTTPmatchprotocolhttpB.policymapQoS_PolicyclassHTTPpolice100000002000000exceedactiondropsetdscpaf21C.classmapmatchallHTTPmatchaccessgroupnameHTTP_ACLD.policymapQoS_Policyclassclassdefaultpolice10000000exceedactiontransmit答案：A、B（classmap使用matchprotocolhttp匹配HTTP流量；policymap中對HTTP類應用限速和DSCP標記）三、簡答題（每題5分，共10題）21.請描述CiscoSDWAN中“數(shù)據(jù)策略（DataPolicy）”與“控制策略（ControlPolicy）”的區(qū)別。答案：數(shù)據(jù)策略（DataPolicy）用于控制數(shù)據(jù)平面流量的轉發(fā)行為，包括流量分類、鏈路選擇（如優(yōu)先使用MPLS或公網(wǎng)）、QoS標記等，直接影響流量路徑。控制策略（ControlPolicy）用于控制OMP路由的分發(fā)和選擇，例如限制某些路由的傳播范圍、修改路由的度量值（如延遲、丟包率）以影響最優(yōu)路徑計算。數(shù)據(jù)策略作用于流量轉發(fā)，控制策略作用于路由協(xié)議。22.在IPv6網(wǎng)絡中，路由器R1與R2通過GigabitEthernet0/0接口直連，R1配置了“ipv6routerospf1”，R2配置了“ipv6ospf1area0”，但兩者無法建立OSPFv3鄰居。請列出可能的3個原因。答案：（1）接口未啟用OSPFv3：R1或R2的GigabitEthernet0/0接口未執(zhí)行“ipv6ospf1area0”命令關聯(lián)OSPFv3進程和區(qū)域。（2）接口網(wǎng)絡類型不匹配：R1接口為廣播型（默認），R2接口配置為點到點或其他類型，導致Hello報文參數(shù)（如網(wǎng)絡類型、DR/BDR選舉）不一致。（3）IPv6地址配置問題：接口未配置全局單播地址或鏈路本地地址（OSPFv3依賴鏈路本地地址建立鄰居），或地址不在同一子網(wǎng)。（4）認證配置不匹配：若啟用了OSPFv3認證（如IPSecAH），R1和R2的認證密鑰或算法不一致。23.某企業(yè)使用CiscoFirepowerThreatDefense（FTD）作為邊界防火墻，發(fā)現(xiàn)內(nèi)網(wǎng)用戶訪問外部HTTPS網(wǎng)站時延遲高。請寫出排查步驟（至少5步）。答案：（1）檢查防火墻接口狀態(tài)：使用“showinterface”確認內(nèi)外網(wǎng)接口是否UP，帶寬是否飽和。（2）查看連接表：使用“showconn”或FMC的“實時監(jiān)控”模塊，確認HTTPS流量是否被正常轉發(fā)，是否存在連接超時或拒絕。（3）檢查訪問控制策略（ACL）：確認是否有策略對HTTPS流量（TCP443）進行限速、阻斷或重定向（如流量鏡像）。（4）分析QoS配置：檢查是否有QoS策略對HTTPS流量應用了流量整形（police）或帶寬限制（shape）。（5）抓包驗證：在內(nèi)外網(wǎng)接口使用“packettracer”命令模擬HTTPS流量路徑，或使用Wireshark捕獲接口流量，確認是否存在丟包、亂序或TCP重傳。（6）檢查NAT配置：若啟用了PAT，確認是否有足夠的端口映射，避免端口耗盡導致連接建立延遲。四、實驗題（每題10分，共10題）31.拓撲描述：企業(yè)總部（HQ）有核心交換機SW1（Cisco9500），連接數(shù)據(jù)中心服務器區(qū)（VLAN100，/24）和辦公區(qū)（VLAN200，/24）。分支機構（Branch）有接入交換機SW2（Cisco9300），連接辦公區(qū)（VLAN200，/24）和訪客區(qū)（VLAN300，10.1.300.0/24）。要求實現(xiàn)：HQ與Branch的VLAN200用戶可互訪（跨站點通信）訪客區(qū)VLAN300用戶僅能訪問互聯(lián)網(wǎng)，不能訪問HQ和Branch的內(nèi)部網(wǎng)絡（/16）使用VXLANEVPN實現(xiàn)跨站點二層互聯(lián)請寫出SW1和SW2的關鍵配置步驟（包括VXLAN、EVPN、VLAN映射、路由配置）。答案：SW1（HQ核心）配置步驟：1.啟用VXLAN和EVPN功能：`featurenvoverlay``featurebgp``featurelacp`（可選，若有鏈路聚合）2.配置Loopback0作為VTEPIP（/32）：`interfaceLoopback0``ipaddress/32`3.配置VLAN到VNI映射（VLAN100→VNI1000，VLAN200→VNI2000）：`vlan100``nameServer_VLAN``vnsegment1000``vlan200``nameOffice_VLAN``vnsegment2000`4.配置EVPN實例（VRF用于管理EVPN路由）：`routerbgp65001``bgprouterid``bgpbestpathaspathmultipathrelax``evpn``addressfamilyl2vpnevpn``neighborEVPN_Peerpeergroup``neighborEVPN_Peerremoteas65001``neighborEVPN_PeerupdatesourceLoopback0``neighborpeergroupEVPN_Peer`（SW2的Loopback0IP）5.配置接入接口（連接服務器和辦公區(qū)）：`interfaceGigabitEthernet0/1``switchportmodeaccess``switchportaccessvlan100``spanningtreeportfast``interfaceGigabitEthernet0/2``switchportmodeaccess``switchportaccessvlan200``spanningtreeportfast`SW2（Branch接入）配置步驟：1.啟用VXLAN和EVPN功能（同SW1）：`featurenvoverlay``featurebgp`2.配置Loopback0作為VTEPIP（/32）：`interfaceLoopback0``ipaddress/32`3.配置VLAN到VNI映射（VLAN200→VNI2000，VLAN300→VNI3000）：`vlan200``nameOffice_VLAN``vnsegment2000