三級(jí)網(wǎng)絡(luò)工程師考試試卷及答案一、單項(xiàng)選擇題（每題2分，共40分）1.在IPv4網(wǎng)絡(luò)中，某主機(jī)的IP地址為00/26，其所在子網(wǎng)的廣播地址是（）。A.27B.3C.91D.552.以下路由協(xié)議中，屬于鏈路狀態(tài)協(xié)議的是（）。A.RIPB.BGPC.OSPFD.EIGRP3.某企業(yè)網(wǎng)絡(luò)需要?jiǎng)澐?個(gè)子網(wǎng)，每個(gè)子網(wǎng)至少支持20臺(tái)主機(jī)，若使用C類地址，則子網(wǎng)掩碼應(yīng)設(shè)置為（）。A.92B.24C.40D.484.交換機(jī)端口配置中，將端口F0/1設(shè)置為Trunk模式并允許VLAN10、20通過(guò)的命令是（）。A.switch(configif)switchportmodetrunk;switch(configif)switchporttrunkallowedvlan10,20B.switch(configif)switchportmodeaccess;switch(configif)switchportaccessvlan10,20C.switch(configif)switchporttrunkencapsulationdot1q;switch(configif)switchportmodeaccessD.switch(configif)switchporttrunknativevlan10;switch(configif)switchportmodetrunk5.以下關(guān)于OSPF協(xié)議的描述，錯(cuò)誤的是（）。A.通過(guò)LSA（鏈路狀態(tài)通告）交換網(wǎng)絡(luò)拓?fù)湫畔.支持區(qū)域劃分（Area0為骨干區(qū)域）C.路由更新使用廣播方式發(fā)送D.收斂速度快于RIP協(xié)議6.在網(wǎng)絡(luò)安全中，用于防止IP地址欺騙的技術(shù)是（）。A.ARP欺騙防護(hù)B.端口安全（PortSecurity）C.訪問控制列表（ACL）D.802.1X認(rèn)證7.某路由器配置了如下靜態(tài)路由：iproute100。其中“100”表示（）。A.路由優(yōu)先級(jí)（管理距離）B.跳數(shù)（Metric）C.接口帶寬D.超時(shí)時(shí)間8.以下IPv6地址表示中，正確的是（）。A.2001:0db8:0:0:8:800:200C:417AB.2001:db8::8:800:200C:417A::C.2001.db.800.200C.417AD.2001:db8:0:0:8::200C:417A9.無(wú)線局域網(wǎng)（WLAN）中，802.11ac標(biāo)準(zhǔn)支持的最高理論速率是（）。A.300MbpsB.600MbpsC.1.3GbpsD.3.5Gbps10.在DHCP服務(wù)器配置中，設(shè)置地址池為0000，子網(wǎng)掩碼，默認(rèn)網(wǎng)關(guān)，DNS服務(wù)器14，正確的配置命令是（）。A.dhcppooltest;network;defaultrouter;dnsserver14B.ipdhcppooltest;network00;defaultrouter;dnsserver14C.ipdhcppooltest;network;range0000;defaultrouter;dnsserver14D.dhcppooltest;range0000;subnet;gateway;dns1411.以下網(wǎng)絡(luò)攻擊類型中，屬于應(yīng)用層攻擊的是（）。A.SYNFloodB.DNS放大攻擊C.SQL注入D.ARP欺騙12.某三層交換機(jī)配置了VLAN間路由，VLAN10的接口IP為/24，VLAN20的接口IP為/24。若主機(jī)A（00/24）無(wú)法訪問主機(jī)B（00/24），最可能的故障原因是（）。A.主機(jī)A的默認(rèn)網(wǎng)關(guān)未配置B.VLAN10和VLAN20的接口未啟用C.交換機(jī)未開啟IP路由功能（iprouting）D.主機(jī)B的子網(wǎng)掩碼錯(cuò)誤13.在網(wǎng)絡(luò)管理中，SNMP協(xié)議使用的端口號(hào)是（）。A.TCP161/162B.UDP161/162C.TCP80/443D.UDP53/5314.以下關(guān)于VPN（虛擬專用網(wǎng)）的描述，正確的是（）。A.IPsecVPN只能在公網(wǎng)中建立，不能在局域網(wǎng)內(nèi)使用B.SSLVPN主要用于遠(yuǎn)程客戶端訪問企業(yè)內(nèi)部資源C.L2TPVPN不支持加密，必須與IPsec結(jié)合使用D.GRE隧道僅支持傳輸IP數(shù)據(jù)包，不支持其他協(xié)議15.某企業(yè)網(wǎng)絡(luò)需要限制部門A的員工只能訪問HTTP（80端口）和HTTPS（443端口），其他端口禁止。在交換機(jī)上配置基于端口的ACL，正確的規(guī)則是（）。A.accesslist100permittcpanyanyeq80;accesslist100permittcpanyanyeq443;accesslist100denyipanyanyB.accesslist100permitudpanyanyeq80;accesslist100permitudpanyanyeq443;accesslist100denyipanyanyC.accesslist10permittcpanyanyeq80;accesslist10permittcpanyanyeq443;accesslist10denyipanyanyD.accesslist100permitipanyanyeq80;accesslist100permitipanyanyeq443;accesslist100denyipanyany16.在STP（生成樹協(xié)議）中，根交換機(jī)的選舉依據(jù)是（）。A.交換機(jī)的MAC地址B.交換機(jī)的優(yōu)先級(jí)+MAC地址C.交換機(jī)的端口優(yōu)先級(jí)D.交換機(jī)的帶寬17.以下關(guān)于網(wǎng)絡(luò)存儲(chǔ)技術(shù)的描述，錯(cuò)誤的是（）。A.NAS（網(wǎng)絡(luò)附加存儲(chǔ)）通過(guò)文件系統(tǒng)共享數(shù)據(jù)，適合文件級(jí)存儲(chǔ)B.SAN（存儲(chǔ)區(qū)域網(wǎng)絡(luò)）通過(guò)光纖通道或iSCSI連接，適合塊級(jí)存儲(chǔ)C.DAS（直連存儲(chǔ)）依賴服務(wù)器主機(jī)，擴(kuò)展性差D.iSCSI協(xié)議基于UDP傳輸，延遲高于光纖通道18.某網(wǎng)絡(luò)的核心層交換機(jī)需要實(shí)現(xiàn)高可用性，以下方案中最有效的是（）。A.配置端口聚合（LACP）B.啟用STP生成樹協(xié)議C.部署VRRP（虛擬路由冗余協(xié)議）D.增加交換機(jī)的內(nèi)存和處理能力19.在網(wǎng)絡(luò)故障排查中，使用tracert命令的作用是（）。A.測(cè)試目標(biāo)主機(jī)的連通性B.查看當(dāng)前網(wǎng)絡(luò)的路由表C.追蹤數(shù)據(jù)包從源到目標(biāo)的路徑D.檢測(cè)網(wǎng)絡(luò)中的廣播風(fēng)暴20.以下關(guān)于IPv6鄰居發(fā)現(xiàn)協(xié)議（NDP）的描述，錯(cuò)誤的是（）。A.替代IPv4中的ARP協(xié)議，用于解析鏈路層地址B.包含路由器請(qǐng)求（RouterSolicitation）和路由器通告（RouterAdvertisement）消息C.使用組播地址FF02::2發(fā)送路由器通告D.支持無(wú)狀態(tài)自動(dòng)配置（SLAAC）二、填空題（每空2分，共20分）1.交換機(jī)的基本工作原理是基于________表轉(zhuǎn)發(fā)數(shù)據(jù)幀，該表通過(guò)學(xué)習(xí)________地址動(dòng)態(tài)生成。2.在OSPF協(xié)議中，區(qū)域0被稱為________區(qū)域，所有其他區(qū)域必須與之相連。3.防火墻的工作模式包括路由模式、________模式和混合模式。4.無(wú)線局域網(wǎng)中，________技術(shù)通過(guò)多天線發(fā)射/接收數(shù)據(jù)，顯著提高了傳輸速率（如802.11n/ac/ax）。5.網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）的常見類型包括靜態(tài)NAT、動(dòng)態(tài)NAT和________。6.在IPv4中，A類地址的第一個(gè)字節(jié)范圍是________（十進(jìn)制）。7.生成樹協(xié)議（STP）的端口狀態(tài)包括阻塞（Blocking）、監(jiān)聽（Listening）、學(xué)習(xí)（Learning）、________和轉(zhuǎn)發(fā)（Forwarding）。8.DHCP協(xié)議的工作過(guò)程包括發(fā)現(xiàn)（Discover）、提供（Offer）、請(qǐng)求（Request）和________四個(gè)階段。9.網(wǎng)絡(luò)管理的五大功能域包括配置管理、性能管理、________、安全管理和計(jì)費(fèi)管理。10.某主機(jī)的IP地址為/8，其所在網(wǎng)絡(luò)的廣播地址是________。三、綜合題（共40分）（一）網(wǎng)絡(luò)規(guī)劃與設(shè)計(jì)（15分）某高校計(jì)劃建設(shè)新校區(qū)網(wǎng)絡(luò)，需求如下：核心層：連接各匯聚層設(shè)備，要求高帶寬（10Gbps）、高可靠性（雙核心冗余）。匯聚層：連接接入層設(shè)備，每個(gè)匯聚層覆蓋3個(gè)教學(xué)區(qū)（共6個(gè)教學(xué)區(qū)），每個(gè)教學(xué)區(qū)約500臺(tái)終端。接入層：每個(gè)教室/辦公室部署24口千兆交換機(jī)，支持PoE供電（為IP攝像頭、無(wú)線AP供電）。安全需求：教學(xué)區(qū)與行政辦公區(qū)隔離，禁止互訪；防止ARP欺騙和DDoS攻擊。請(qǐng)回答以下問題：1.核心層設(shè)備應(yīng)選擇________（填空：二層交換機(jī)/三層交換機(jī)/路由器），并說(shuō)明理由。（5分）2.匯聚層與核心層之間應(yīng)采用________（填空：?jiǎn)捂溌?鏈路聚合/靜態(tài)路由）連接，以實(shí)現(xiàn)高可靠性。（2分）3.教學(xué)區(qū)與行政辦公區(qū)隔離應(yīng)采用________技術(shù)（填空：VLAN/ACL/端口安全），并寫出具體實(shí)現(xiàn)步驟。（5分）4.針對(duì)ARP欺騙，建議的防護(hù)措施是________（至少2條）。（3分）（二）設(shè)備配置與管理（15分）某企業(yè)網(wǎng)絡(luò)拓?fù)淙缦拢汉诵慕粨Q機(jī)S1（三層）連接路由器R1（公網(wǎng)出口）和匯聚交換機(jī)S2、S3。S2管理VLAN10（銷售部，IP范圍54），S3管理VLAN20（技術(shù)部，IP范圍54）。R1的公網(wǎng)IP為/24，內(nèi)網(wǎng)IP為/24（連接S1的G0/1接口）。要求實(shí)現(xiàn)：S1為VLAN10和VLAN20提供三層路由。銷售部和技術(shù)部所有主機(jī)通過(guò)R1訪問公網(wǎng)（NAT轉(zhuǎn)換）。S1的G0/1接口與R1的內(nèi)網(wǎng)接口通過(guò)鏈路聚合（LACP）連接，帶寬冗余。請(qǐng)寫出以下配置命令（假設(shè)設(shè)備為CiscoIOS）：1.S1上創(chuàng)建VLAN10和VLAN20，并配置VLAN接口IP（VLAN10接口IP：/24；VLAN20接口IP：/24）。（5分）2.S1啟用IP路由功能，并配置到公網(wǎng)的默認(rèn)路由（下一跳為R1的內(nèi)網(wǎng)IP）。（3分）3.R1配置NAT地址轉(zhuǎn)換，將內(nèi)網(wǎng)/24和/24轉(zhuǎn)換為公網(wǎng)IP。（5分）4.S1與R1之間配置LACP鏈路聚合（假設(shè)S1的端口為G0/1和G0/2，R1的端口為G0/1和G0/2）。（2分）（三）網(wǎng)絡(luò)安全分析（10分）某企業(yè)網(wǎng)絡(luò)近期頻繁出現(xiàn)以下問題：部分主機(jī)無(wú)法訪問外部網(wǎng)站，但能ping通網(wǎng)關(guān)。核心交換機(jī)CPU利用率持續(xù)高于80%，網(wǎng)絡(luò)延遲明顯增加。日志顯示大量ICMP請(qǐng)求包發(fā)往公網(wǎng)IP，但源IP為內(nèi)網(wǎng)未分配的地址（如50）。請(qǐng)分析可能的故障原因，并提出解決方案。答案一、單項(xiàng)選擇題15:ACBAC610:CAACC1115:CCBBA1620:BDCCD二、填空題1.MAC；源MAC2.骨干3.透明（或橋接）4.MIMO（多輸入多輸出）5.PAT（端口地址轉(zhuǎn)換）6.11267.轉(zhuǎn)發(fā)（注：原順序應(yīng)為阻塞→監(jiān)聽→學(xué)習(xí)→轉(zhuǎn)發(fā)，此處可能題目表述有誤，正確狀態(tài)為阻塞、監(jiān)聽、學(xué)習(xí)、轉(zhuǎn)發(fā)）8.確認(rèn)（Acknowledge）9.故障管理10.55三、綜合題（一）網(wǎng)絡(luò)規(guī)劃與設(shè)計(jì)1.三層交換機(jī)；理由：核心層需實(shí)現(xiàn)跨VLAN路由和高速數(shù)據(jù)轉(zhuǎn)發(fā)，三層交換機(jī)支持IP路由功能，比二層交換機(jī)更適合核心層的路由需求。（5分）2.鏈路聚合（2分）3.VLAN；步驟：①為教學(xué)區(qū)和行政辦公區(qū)分別劃分不同的VLAN（如VLAN10和VLAN20）；②在核心交換機(jī)上配置VLAN間路由，僅允許必要的跨VLAN訪問（或通過(guò)ACL限制）；③確保接入層交換機(jī)端口正確劃分到對(duì)應(yīng)的VLAN。（5分）4.①在接入層交換機(jī)啟用端口安全，綁定IPMAC端口；②在核心/匯聚層部署ARP防火墻，檢測(cè)并攔截非法ARP報(bào)文；③手動(dòng)綁定網(wǎng)關(guān)的IPMAC地址（靜態(tài)ARP）。（3分）（二）設(shè)備配置與管理1.S1配置：```S1(config)vlan10S1(configvlan)nameSalesS1(configvlan)exitS1(config)vlan20S1(configvlan)nameTechS1(configvlan)exitS1(config)interfacevlan10S1(configif)ipaddressS1(configif)noshutdownS1(configif)exitS1(config)interfacevlan20S1(configif)ipaddressS1(configif)noshutdown```（5分）2.S1啟用路由：```S1(config)iproutingS1(config)iproute```（3分）3.R1配置NAT：```R1(config)accesslist100permitip55anyR1(config)accesslist100permitip55anyR1(config)ipnatinsidesourcelist100interfaceGigabitEthernet0/0overloadR1(config)interfaceGigabitEthernet0/0（公網(wǎng)接口）R1(configif)ipnatoutsideR1(configif)exitR1(config)interfaceGigabitEthernet0/1（內(nèi)網(wǎng)接口）R1(configif)ipnatinside```（5分）4.鏈路聚合配置（S1和R1）：```S1(config)interfaceportchannel1S1(configif)exitS1(config)interfaceGigabitEthernet0/1S1(configif)channelgroup1modeactiv