2025年計算機(jī)三級考試的經(jīng)典試題及答案一、選擇題（每題2分，共40分）1.某企業(yè)需為研發(fā)部（50臺終端）、銷售部（30臺終端）、財務(wù)部（20臺終端）劃分IP子網(wǎng)，給定公網(wǎng)IP段為/24。若要求子網(wǎng)間路由可達(dá)且子網(wǎng)地址連續(xù)，研發(fā)部的子網(wǎng)掩碼應(yīng)設(shè)置為？A.28B.92C.24D.40答案：B解析：研發(fā)部需50臺終端，主機(jī)位至少6位（2?2=62≥50），子網(wǎng)掩碼為326=26位，即92。銷售部30臺需5位主機(jī)（2?2=30），對應(yīng)子網(wǎng)掩碼27位；財務(wù)部20臺需5位主機(jī)（2?2=30≥20），同樣27位。/24劃分為/26（研發(fā)部：/26）、/27（銷售部：4/27）、/27（財務(wù)部：6/27），滿足連續(xù)且路由可達(dá)。2.以下關(guān)于OSPF協(xié)議的描述，錯誤的是？A.支持區(qū)域劃分（Area）以減少LSA泛洪范圍B.采用Dijkstra算法計算最短路徑C.路由更新時僅發(fā)送增量變化的LSAD.適用于大規(guī)模網(wǎng)絡(luò)時收斂速度慢于RIP答案：D解析：OSPF是鏈路狀態(tài)協(xié)議，通過LSA同步網(wǎng)絡(luò)拓?fù)洌諗克俣冗h(yuǎn)快于距離矢量協(xié)議RIP（RIP依賴周期性全量更新）。區(qū)域劃分可限制LSA泛洪，Dijkstra算法保證最短路徑計算效率，增量更新減少帶寬占用。3.某校園網(wǎng)核心交換機(jī)配置了端口安全功能，將接口G0/1的安全MAC地址數(shù)量限制為1，并設(shè)置違規(guī)動作為shutdown。當(dāng)該接口接入第二臺終端時，可能出現(xiàn)的現(xiàn)象是？A.第二臺終端正常通信，原終端斷開B.兩臺終端均正常通信，MAC地址表更新C.接口狀態(tài)變?yōu)閐own，需手動恢復(fù)D.接口進(jìn)入errdisable狀態(tài)，自動恢復(fù)答案：C解析：端口安全違規(guī)動作“shutdown”會直接關(guān)閉接口（狀態(tài)變?yōu)閐own），需管理員手動執(zhí)行“shutdown”和“noshutdown”恢復(fù)。若動作為“protect”則丟棄非法幀，“restrict”則丟棄并發(fā)送SNMP陷阱。4.以下哪項不是IPv6地址的特性？A.地址長度128位，支持分層路由B.取消廣播地址，采用任播（Anycast）C.強(qiáng)制支持IPSec，增強(qiáng)安全性D.保留傳統(tǒng)的子網(wǎng)掩碼表示法答案：D解析：IPv6使用前綴長度（如2001:db8::/32）表示網(wǎng)絡(luò)部分，不再使用子網(wǎng)掩碼。其他選項均為IPv6特性：128位地址解決地址耗盡，任播用于向一組接口中最近的發(fā)送數(shù)據(jù)，IPSec為必選安全協(xié)議。5.某公司部署了基于SSL的VPN，員工通過公網(wǎng)訪問內(nèi)網(wǎng)資源。以下哪項是SSLVPN的典型應(yīng)用場景？A.分支機(jī)構(gòu)與總部的長期連接B.移動用戶通過瀏覽器訪問內(nèi)部Web應(yīng)用C.數(shù)據(jù)中心之間的高速專線互聯(lián)D.物聯(lián)網(wǎng)設(shè)備的大規(guī)模實時數(shù)據(jù)傳輸答案：B解析：SSLVPN基于HTTPS，主要用于遠(yuǎn)程用戶通過瀏覽器或輕量級客戶端訪問內(nèi)部Web應(yīng)用（如郵件、OA系統(tǒng)）。分支機(jī)構(gòu)長期連接多用IPSecVPN，數(shù)據(jù)中心互聯(lián)需專線或MPLS，物聯(lián)網(wǎng)傳輸常用MQTT等協(xié)議。6.交換機(jī)配置如下：Switch(config)interfacevlan10Switch(configif)ipaddressSwitch(configif)noshutdown該配置的作用是？A.創(chuàng)建VLAN10并配置管理IPB.為VLAN10的接口配置物理層參數(shù)C.啟用VLAN10的三層路由功能D.設(shè)置VLAN10的DHCP服務(wù)器地址答案：A解析：在交換機(jī)上，VLAN接口（SVI）用于三層通信或管理。通過“interfacevlan10”創(chuàng)建VLAN10的邏輯接口，配置IP地址后，該地址成為交換機(jī)管理地址（可通過Telnet/SSH訪問）或VLAN10的網(wǎng)關(guān)。7.以下關(guān)于802.11ac無線協(xié)議的描述，正確的是？A.工作在2.4GHz頻段，支持MIMO技術(shù)B.最高理論速率可達(dá)300MbpsC.采用OFDM調(diào)制，支持波束成形（Beamforming）D.兼容802.11b/g/n，向下兼容能力弱答案：C解析：802.11ac（WiFi5）工作在5GHz頻段，支持MIMO（多入多出）和波束成形（定向發(fā)送信號），最高速率因空間流數(shù)而異（如8×8MIMO可達(dá)6.9Gbps），采用OFDM調(diào)制。兼容802.11a/n，向下兼容能力強(qiáng)于早期協(xié)議。8.網(wǎng)絡(luò)管理員使用tracert命令診斷網(wǎng)絡(luò)故障，發(fā)現(xiàn)前3跳響應(yīng)正常，第4跳無回包，后續(xù)跳也無響應(yīng)。可能的故障點是？A.第4跳路由器接口downB.源主機(jī)到第3跳路由器的鏈路中斷C.目標(biāo)主機(jī)防火墻屏蔽ICMPD.第4跳路由器路由表缺失目標(biāo)網(wǎng)絡(luò)答案：D解析：tracert通過遞增TTL值定位跳數(shù)。前3跳正常（TTL=1/2/3時收到ICMP超時消息），第4跳（TTL=4）無回包，可能是第4跳路由器無法路由到目標(biāo)網(wǎng)絡(luò)（路由表無條目），導(dǎo)致數(shù)據(jù)包被丟棄且未返回ICMP消息。若接口down，第3跳可能無法到達(dá)第4跳；目標(biāo)主機(jī)屏蔽ICMP會導(dǎo)致最后一跳無響應(yīng)，但中間跳應(yīng)正常。9.以下哪項是BGP協(xié)議的特點？A.用于自治系統(tǒng)（AS）內(nèi)部路由選擇B.基于路徑向量（PathVector）算法C.默認(rèn)使用組播地址發(fā)送更新D.支持VLSM（可變長子網(wǎng)掩碼）但不支持CIDR答案：B解析：BGP是外部網(wǎng)關(guān)協(xié)議（EGP），用于AS間路由，基于路徑向量算法（攜帶AS路徑信息防環(huán)）。OSPF使用組播，BGP使用TCP179端口單播更新。BGP支持CIDR（無類別域間路由），是互聯(lián)網(wǎng)核心路由協(xié)議。10.某企業(yè)網(wǎng)絡(luò)中，所有PC的DNS服務(wù)器配置為14（公共DNS），但訪問內(nèi)部ERP系統(tǒng)（域名為erp.local）時無法解析。最可能的原因是？A.內(nèi)部ERP服務(wù)器未配置靜態(tài)IPB.公共DNS未緩存erp.local的域名記錄C.PC的DNS搜索列表未添加local域D.防火墻阻止了PC到公共DNS的UDP53端口通信答案：B解析：erp.local是內(nèi)部私有域名，公共DNS（14）無該域名記錄，因此無法解析。解決方法是在企業(yè)內(nèi)部部署DNS服務(wù)器，配置erp.local的A記錄，并將PC的DNS服務(wù)器指向內(nèi)部DNS（或在公共DNS和內(nèi)部DNS間配置轉(zhuǎn)發(fā)）。11.交換機(jī)的MAC地址表老化時間默認(rèn)是？A.30秒B.300秒C.1800秒D.3600秒答案：B解析：交換機(jī)通過監(jiān)聽數(shù)據(jù)幀學(xué)習(xí)MAC地址，默認(rèn)老化時間為300秒（5分鐘），可通過“macaddresstableagingtime”命令修改。12.以下哪種攻擊屬于應(yīng)用層DDOS？A.SYNFloodB.ICMPFloodC.DNS反射攻擊D.ARP欺騙答案：C解析：DNS反射攻擊利用開放DNS服務(wù)器放大攻擊流量，目標(biāo)是應(yīng)用層（DNS服務(wù)）。SYNFlood（傳輸層TCP半連接攻擊）、ICMPFlood（網(wǎng)絡(luò)層流量洪泛）屬于網(wǎng)絡(luò)層/傳輸層DDOS；ARP欺騙是鏈路層攻擊。13.配置路由器靜態(tài)路由時，命令“iproute100”中的“100”表示？A.路由優(yōu)先級（管理距離）B.跳數(shù)（Metric）C.接口帶寬（Kbps）D.最大傳輸單元（MTU）答案：A解析：靜態(tài)路由命令格式為“iproute目標(biāo)網(wǎng)絡(luò)子網(wǎng)掩碼下一跳地址/出接口[管理距離]”。管理距離（AD）默認(rèn)值為1，此處設(shè)置為100，表示當(dāng)存在多條到達(dá)該網(wǎng)絡(luò)的路由時，優(yōu)先選擇AD更小的路由（如OSPF的AD為110，若靜態(tài)路由AD=100則優(yōu)先級更高）。14.無線AP配置為“信道1”，相鄰AP應(yīng)避免使用的信道是？A.3B.6C.9D.11答案：A解析：2.4GHz頻段（802.11b/g/n）有14個信道（中國開放113），其中不重疊的信道是1、6、11（間隔5個信道以上）。相鄰AP若使用信道1，應(yīng)避免使用2、3（重疊），選擇6或11以減少干擾。15.以下關(guān)于VLAN間路由的實現(xiàn)方式，錯誤的是？A.單臂路由（RouteronaStick）：通過路由器物理接口的子接口實現(xiàn)B.三層交換機(jī)：直接在交換機(jī)內(nèi)實現(xiàn)路由功能C.傳統(tǒng)路由：每個VLAN對應(yīng)路由器的一個物理接口D.所有VLAN必須通過路由器轉(zhuǎn)發(fā)，三層交換機(jī)無法獨立完成答案：D解析：三層交換機(jī)集成了路由功能（三層轉(zhuǎn)發(fā)引擎），可在交換機(jī)內(nèi)部完成VLAN間路由，無需經(jīng)過外部路由器。單臂路由通過路由器子接口（邏輯接口）連接交換機(jī)的一個物理接口，傳統(tǒng)路由需路由器多個物理接口（每個VLAN一個）。16.某網(wǎng)絡(luò)使用RIPv2協(xié)議，若路由器R1的路由表中一條RIP路由的Metric為15，則意味著？A.該路由不可達(dá)（超過RIP最大跳數(shù)）B.該路由的下一跳距離R1有15跳C.該路由的優(yōu)先級高于OSPF路由D.該路由將在30秒后被標(biāo)記為不可達(dá)答案：B解析：RIPv2的Metric表示跳數(shù)（每經(jīng)過一個路由器跳數(shù)+1），最大跳數(shù)為15（16為不可達(dá)）。Metric=15表示下一跳路由器距離當(dāng)前路由器有15跳，再經(jīng)過一跳（Metric=16）則路由失效。17.以下哪項不是SNMPv3的安全特性？A.認(rèn)證（Authentication）B.加密（Privacy）C.訪問控制（ACL）D.團(tuán)體字符串（CommunityString）答案：D解析：SNMPv1/v2c使用團(tuán)體字符串（明文傳輸，不安全），SNMPv3引入了認(rèn)證（如HMACSHA）、加密（如AES）和訪問控制（基于用戶角色），安全性更高。18.網(wǎng)絡(luò)管理員執(zhí)行“showipinterfacebrief”命令，某接口狀態(tài)為“up”，協(xié)議狀態(tài)為“down”?？赡艿脑蚴牵緼.接口物理連接正常，但未配置IP地址B.接口物理連接正常，但對端接口協(xié)議不匹配C.接口被手動關(guān)閉（shutdown）D.接口物理線纜損壞答案：B解析：接口狀態(tài)“up”表示物理層正常（如鏈路燈亮），協(xié)議狀態(tài)“down”通常因數(shù)據(jù)鏈路層問題（如PPP協(xié)商失敗、幀類型不匹配、VLAN配置錯誤）。未配置IP地址時協(xié)議狀態(tài)可能為“up”（如二層接口）；接口shutdown時狀態(tài)為“down”；線纜損壞時狀態(tài)為“down”。19.以下關(guān)于MPLS（多協(xié)議標(biāo)簽交換）的描述，正確的是？A.僅支持IP協(xié)議，不支持ATM、幀中繼B.標(biāo)簽位于IP頭部和數(shù)據(jù)鏈路層頭部之間C.路由決策基于IP地址，轉(zhuǎn)發(fā)基于標(biāo)簽D.標(biāo)簽長度固定為32位答案：C解析：MPLS是多協(xié)議支持的（IP、ATM等），標(biāo)簽位于二層頭部和三層頭部之間（如以太網(wǎng)幀的MPLS標(biāo)簽棧），標(biāo)簽長度為20位（有效位）+3位實驗位+1位棧底標(biāo)志+8位TTL。路由由控制平面（如BGP、OSPF）決定，轉(zhuǎn)發(fā)由數(shù)據(jù)平面（標(biāo)簽交換）完成，提高了轉(zhuǎn)發(fā)效率。20.某企業(yè)部署了DHCP服務(wù)器，地址池為0000，子網(wǎng)掩碼，默認(rèn)網(wǎng)關(guān)，DNS服務(wù)器。若PC獲取到IP地址50，最可能的原因是？A.DHCP服務(wù)器地址池配置錯誤（超出子網(wǎng)范圍）B.PC手動設(shè)置了靜態(tài)IPC.DHCP服務(wù)器啟用了APIPA（自動專用IP尋址）D.子網(wǎng)掩碼錯誤導(dǎo)致地址池擴(kuò)大答案：B解析：DHCP地址池為100200，PC獲取250超出該范圍，說明PC未通過DHCP獲取地址（可能手動設(shè)置了靜態(tài)IP）。APIPA會分配169.254.x.x地址；地址池配置錯誤（如寫成100250）才會分配250；子網(wǎng)掩碼正確時，50屬于該子網(wǎng)（），但不在地址池內(nèi)。二、填空題（每題2分，共20分）1.網(wǎng)絡(luò)層的主要功能是__________，實現(xiàn)主機(jī)間的邏輯通信。答案：路由選擇與分組轉(zhuǎn)發(fā)2.交換機(jī)轉(zhuǎn)發(fā)數(shù)據(jù)幀時，若目的MAC地址不在MAC地址表中，將執(zhí)行__________操作。答案：廣播（泛洪）3.防火墻的三種基本架構(gòu)是包過濾防火墻、__________和狀態(tài)檢測防火墻。答案：應(yīng)用代理防火墻（或應(yīng)用層網(wǎng)關(guān)）4.802.11n協(xié)議支持的最高理論速率為__________（單流、40MHz信道）。答案：150Mbps（注：實際為150Mbps，若4流則為600Mbps）5.IPv6地址“2001:db8::1”的簡寫形式中，雙冒號（::）表示__________。答案：連續(xù)的0位段（至少1個）6.OSPF協(xié)議中，DR（指定路由器）的作用是__________，減少LSA泛洪次數(shù)。答案：代表本網(wǎng)段與其他網(wǎng)段交換LSA7.無線AP的發(fā)射功率通常以__________為單位（如20dBm）。答案：分貝毫瓦（dBm）8.網(wǎng)絡(luò)管理的五大功能域包括配置管理、性能管理、__________、安全管理和計費管理。答案：故障管理9.靜態(tài)路由的管理距離（AD）默認(rèn)值為__________。答案：110.MPLS網(wǎng)絡(luò)中，標(biāo)簽交換路由器（LSR）的兩種類型是LER（標(biāo)簽邊緣路由器）和__________。答案：LER（標(biāo)簽交換路由器，注：應(yīng)為LSR中的核心節(jié)點，正確答案是“核心LSR”或“中間LSR”）三、綜合題（共40分）【題1】（15分）某企業(yè)網(wǎng)絡(luò)拓?fù)淙缦拢嚎偛柯酚善鱎1（接口G0/0：/30，連接運營商；G0/1：/24，連接內(nèi)網(wǎng)交換機(jī)S1）分支機(jī)構(gòu)路由器R2（接口G0/0：/30，連接運營商；G0/1：/24，連接分支內(nèi)網(wǎng)）要求：總部與分支機(jī)構(gòu)通過公網(wǎng)建立IPSecVPN，實現(xiàn)/24與/24的互通。請完成以下配置（基于CiscoIOS）：（1）在R1上配置IPSec的IKEv1策略（認(rèn)證方式預(yù)共享密鑰，加密算法AES128，哈希算法SHA1，DH組2）。（2）配置IPSec轉(zhuǎn)換集（ESPAES128+ESPSHAHMAC）。（3）配置興趣流（總部內(nèi)網(wǎng)到分支內(nèi)網(wǎng)的流量）。（4）配置IPSecSA（安全關(guān)聯(lián)）并應(yīng)用到接口G0/0。答案：（1）R1配置IKEv1策略：R1(config)cryptoisakmppolicy10R1(configisakmp)authenticationpreshareR1(configisakmp)encryptionaes128R1(configisakmp)hashshaR1(configisakmp)group2R1(configisakmp)exit（2）配置轉(zhuǎn)換集：R1(config)cryptoipsectransformsetTS1espaesespshahmacR1(configtransform)modetunnelR1(configtransform)exit（3）配置興趣流（訪問控制列表）：R1(config)accesslist100permitip5555（4）配置IPSecSA并應(yīng)用：R1(config)cryptomapCM110ipsecisakmpR1(configcryptomap)setpeer（R2的公網(wǎng)IP）R1(configcryptomap)settransformsetTS1R1(configcryptomap)matchaddress100R1(configcryptomap)exitR1(config)interfaceG0/0R1(configif)cryptomapCM1【題2】（15分）某三層交換機(jī)S1配置如下，需實現(xiàn)VLAN10（/24）與VLAN20（/24）的互通，并開啟DHCP服務(wù)為兩個VLAN分配地址。（1）補(bǔ)充VLAN10和VLAN20的SVI（交換虛擬接口）配置。（2）配置DHCP地址池，VLAN10的地址范圍00200，網(wǎng)關(guān)；VLAN20的地址范圍00200，網(wǎng)關(guān)，DNS服務(wù)器14。（3）驗證VLAN間路由是否正常，應(yīng)使用什么命令？答案：（1）SVI配置：S1(config)vlan10S1(configvlan)exitS1(config)interfacevlan10S1(configif)ipaddressS1(configif)noshutdownS1(config)vlan20S1(configvlan)exitS1(config)interfacevlan20S1(configif)ipaddressS1(configif)noshutdown（2）DHCP配置：S1(config)servicedhcpS1(config)ipdhcppoolVLAN10S1(dhcpconfig)networkS1(dhcpconfig)defaultrouter