(招聘面試)某企業(yè)招聘網(wǎng)管的筆試題參考答案一、單項選擇題（每題2分，共20分）1.以下關(guān)于OSI參考模型各層功能的描述，正確的是（）答案：C（網(wǎng)絡(luò)層負(fù)責(zé)路由選擇和數(shù)據(jù)包轉(zhuǎn)發(fā)）解析：物理層處理比特流，數(shù)據(jù)鏈路層處理幀同步和錯誤檢測，傳輸層負(fù)責(zé)端到端可靠傳輸，網(wǎng)絡(luò)層通過IP地址實現(xiàn)跨網(wǎng)絡(luò)路由。2.某主機IP地址為00/26，其所在子網(wǎng)的廣播地址是（）答案：27解析：/26子網(wǎng)掩碼為92，每個子網(wǎng)包含64個地址（2^6）。4-27為該子網(wǎng)范圍，廣播地址為子網(wǎng)最后一個地址27。3.以下哪種協(xié)議用于在網(wǎng)絡(luò)設(shè)備間動態(tài)交換路由信息？（）答案：OSPF（開放最短路徑優(yōu)先協(xié)議）解析：HTTP是應(yīng)用層協(xié)議，ICMP用于錯誤報告，ARP用于IP到MAC地址解析，OSPF是典型的鏈路狀態(tài)路由協(xié)議。4.交換機端口處于“err-disable”狀態(tài)的常見原因是（）答案：BPDUGuard觸發(fā)（生成樹協(xié)議保護(hù)機制）解析：環(huán)路會導(dǎo)致廣播風(fēng)暴，VLAN配置錯誤會導(dǎo)致通信異常，端口速率不匹配會協(xié)商失敗，而BPDUGuard在接收到BPDU時會關(guān)閉端口進(jìn)入err-disable。5.在Linux系統(tǒng)中，查看當(dāng)前網(wǎng)絡(luò)連接狀態(tài)的命令是（）答案：netstat-an解析：ifconfig查看接口配置，ping測試連通性，traceroute跟蹤路由，netstat-an顯示所有活動連接和監(jiān)聽端口。二、填空題（每空2分，共20分）1.標(biāo)準(zhǔn)以太網(wǎng)幀的最大傳輸單元（MTU）通常為____字節(jié)。答案：15002.DHCP協(xié)議使用的客戶端端口是____，服務(wù)器端口是____。答案：68；673.防火墻默認(rèn)的訪問控制策略是____（允許/拒絕）所有流量，需通過規(guī)則明確允許特定流量。答案：拒絕4.在WindowsServer中，域控制器的核心服務(wù)是____，用于集中管理用戶賬戶和資源。答案：ActiveDirectory（活動目錄）5.無線局域網(wǎng)（WLAN）中，2.4GHz頻段的非重疊信道通常選擇____、____、____。答案：1；6；11（或1、6、11的順序）三、簡答題（每題8分，共40分）1.請簡述交換機與路由器的主要區(qū)別。答：交換機工作在OSI第二層（數(shù)據(jù)鏈路層），基于MAC地址轉(zhuǎn)發(fā)數(shù)據(jù)幀，用于局域網(wǎng)內(nèi)設(shè)備互聯(lián)，實現(xiàn)廣播域內(nèi)的高效通信；路由器工作在第三層（網(wǎng)絡(luò)層），基于IP地址轉(zhuǎn)發(fā)數(shù)據(jù)包，用于連接不同網(wǎng)絡(luò)（廣播域），實現(xiàn)跨網(wǎng)段通信和路由選擇。交換機通過MAC地址表學(xué)習(xí)轉(zhuǎn)發(fā)，路由器通過路由表選擇最佳路徑。2.請說明TCP三次握手的過程及其作用。答：三次握手過程：（1）客戶端發(fā)送SYN=1，Seq=x的連接請求；（2）服務(wù)器回復(fù)SYN=1，ACK=1，Seq=y，Ack=x+1的確認(rèn)；（3）客戶端發(fā)送ACK=1，Seq=x+1，Ack=y+1的最終確認(rèn)。作用是建立可靠的端到端連接，同步雙方的序列號和確認(rèn)號，防止重復(fù)連接請求導(dǎo)致的錯誤，確保通信雙方準(zhǔn)備好接收數(shù)據(jù)。3.簡述網(wǎng)絡(luò)故障排查的一般步驟。答：（1）確認(rèn)故障現(xiàn)象：明確用戶反饋的具體問題（如無法訪問網(wǎng)頁、延遲高），驗證故障是否普遍存在；（2）劃分故障范圍：判斷是本地終端、局域網(wǎng)、廣域網(wǎng)還是應(yīng)用層問題（可通過ping網(wǎng)關(guān)、DNS解析測試、traceroute等工具）；（3）檢查配置：核對IP地址、子網(wǎng)掩碼、網(wǎng)關(guān)、DNS是否正確，設(shè)備接口狀態(tài)（如是否UP），路由表是否存在目標(biāo)網(wǎng)絡(luò)；（4）排查硬件：測試網(wǎng)線連通性（用測線儀），檢查交換機/路由器端口指示燈，更換備用端口驗證；（5）分析日志：查看設(shè)備日志（如交換機的端口錯誤計數(shù)、路由器的路由更新信息），防火墻是否有攔截記錄；（6）驗證修復(fù)：針對問題調(diào)整配置（如更正IP、重啟服務(wù)、更新路由），再次測試確認(rèn)故障解決。4.請說明企業(yè)網(wǎng)絡(luò)中部署VLAN的主要目的及配置要點。答：目的：（1）隔離廣播域，減少廣播風(fēng)暴影響范圍；（2）提高網(wǎng)絡(luò)安全性，不同VLAN間默認(rèn)無法通信（需通過三層設(shè)備）；（3）靈活劃分邏輯子網(wǎng)，便于管理（如按部門、功能劃分）。配置要點：（1）創(chuàng)建VLAN并命名（如VLAN10-銷售部）；（2）將端口分配到Access或Trunk模式（Access端口屬于單一VLAN，Trunk端口傳輸多個VLAN數(shù)據(jù)）；（3）配置Trunk鏈路的封裝協(xié)議（如802.1Q）；（4）為VLAN配置三層接口（SVI），實現(xiàn)VLAN間路由（需啟用IP路由功能）。5.簡述Linux系統(tǒng)中使用iptables配置防火墻的基本規(guī)則（至少列出3類規(guī)則）。答：（1）過濾規(guī)則：通過iptables-AINPUT-ptcp--dport80-jACCEPT允許HTTP訪問；（2）NAT規(guī)則：使用iptables-tnat-APOSTROUTING-oeth0-jMASQUERADE實現(xiàn)內(nèi)網(wǎng)IP地址偽裝（NAT轉(zhuǎn)換）；（3）限制規(guī)則：通過iptables-AINPUT-ptcp--dport22-mstate--stateNEW-mrecent--set--nameSSH--rsource限制SSH暴力破解；（4）拒絕規(guī)則：iptables-AINPUT-s00-jDROP拒絕特定IP訪問。四、操作題（每題15分，共30分）1.某企業(yè)需在華為S5720交換機上配置以下需求，請寫出具體配置命令：（1）創(chuàng)建VLAN100，命名為“Server_VLAN”；（2）將端口G0/0/1設(shè)置為Access模式，加入VLAN100；（3）配置G0/0/24為Trunk口，允許VLAN100、200通過，且NativeVLAN為VLAN1；（4）為VLAN100配置IP地址/24，作為管理地址。答：system-viewvlan100nameServer_VLANquitinterfaceGigabitEthernet0/0/1portlink-typeaccessportdefaultvlan100quitinterfaceGigabitEthernet0/0/24portlink-typetrunkporttrunkallow-passvlan100200porttrunkpvidvlan1quitinterfaceVlanif100ipaddress24quit2.某公司Linux服務(wù)器（CentOS7）需搭建DNS服務(wù)器，要求主域名“”的A記錄如下：-指向00-指向01-反向解析00對應(yīng)請寫出安裝Bind服務(wù)、主配置文件（named.conf）關(guān)鍵參數(shù)、區(qū)域文件（正向和反向）的配置內(nèi)容。答：（1）安裝Bind：yuminstallbindbind-utils-y（2）主配置文件（/etc/named.conf）關(guān)鍵參數(shù)：options{listen-onport53{any;};監(jiān)聽所有接口allow-query{any;};允許所有主機查詢recursionyes;啟用遞歸查詢};zone""IN{typemaster;file".zone";正向區(qū)域文件};zone"1.168.192."IN{反向區(qū)域（/24）typemaster;file"1.168.192.zone";反向區(qū)域文件};（3）正向區(qū)域文件（/var/named/.zone）：$ORIGIN.$TTL86400@INSOA..(2024030101;Serial3600;Refresh1800;Retry604800;Expire86400);MinimumTTLINNS.;名稱服務(wù)器記錄nsINA00;DNS服務(wù)器自身IP（假設(shè)）wwwINA00mailINA01（4）反向區(qū)域文件（/var/named/1.168.192.zone）：$ORIGIN1.168.192..$TTL86400@INSOA..(2024030101;Serial3600;Refresh1800;Retry604800;Expire86400);MinimumTTLINNS.100INPTR.;00反向解析五、案例分析題（20分）某企業(yè)網(wǎng)絡(luò)拓?fù)淙缦拢嚎偛浚?24）通過路由器R1連接運營商，分支（/24）通過路由器R2連接運營商，R1與R2之間建立IPSecVPN隧道實現(xiàn)內(nèi)網(wǎng)互訪。近日，總部用戶反饋無法訪問分支的文件服務(wù)器（0），但能ping通R2的公網(wǎng)IP（）。請分析可能的故障原因及排查步驟。答：可能的故障原因及排查步驟：1.IPSecVPN隧道未建立或中斷-原因：預(yù)共享密鑰錯誤、IKE階段1協(xié)商失敗（如加密/認(rèn)證算法不匹配）、NAT穿越（NAT-T）配置問題（若R1/R2位于NAT后）。-排查：登錄R1和R2，查看IPSec狀態(tài)（如showipsecsa、showisakmpsa），確認(rèn)IKESA和IPSecSA是否建立（正常應(yīng)有Active狀態(tài)）。檢查IKE策略（版本、加密算法AES/3DES、認(rèn)證算法SHA1/SHA2、DH組）是否兩端一致。2.路由配置問題-原因：R1或R2未配置到對方內(nèi)網(wǎng)的靜態(tài)路由，或動態(tài)路由協(xié)議（如OSPF）未正確宣告/24和/24網(wǎng)段。-排查：在R1上執(zhí)行showiproute，檢查是否存在到/24的路由，下一跳是否為IPSec隧道接口；同理在R2上檢查到/24的路由。若為靜態(tài)路由，確認(rèn)目標(biāo)網(wǎng)絡(luò)和下一跳是否正確；若為動態(tài)路由，檢查路由協(xié)議鄰居是否正常（如OSPF鄰接狀態(tài)是否為Full）。3.ACL（訪問控制列表）限制-原因：R1或R2的接口入/出方向ACL禁止了/24到/24的流量，或IPSec策略中定義的感興趣流（感興趣流量）與實際流量不匹配。-排查：查看R1的IPSec配置，確認(rèn)感興趣流是否為permitip5555（源和目的網(wǎng)絡(luò)是否正確）。檢查接口ACL（如showaccess-lists），確認(rèn)是否有拒絕/24到/24的規(guī)則。4.NAT沖突-原因：若R1或R2開啟了NAT轉(zhuǎn)換（如MASQUERADE），可能將總部內(nèi)網(wǎng)IP轉(zhuǎn)換為公網(wǎng)IP，導(dǎo)致IPSec無法識別原始內(nèi)網(wǎng)地址，與感興趣流不匹配。-排查：檢查R1的NAT配置（如showipnattranslations），確認(rèn)是否對/24網(wǎng)段做了源NAT。若IPSec隧道需要傳輸內(nèi)網(wǎng)流量，應(yīng)配置NAT豁免（如ipnatinsidesourcelist1interfaceGigabitEthernet0/1overload，其中access-list1deny55），避免對IPSec流量做NAT轉(zhuǎn)換。5.分支文件服務(wù)器自身問題-原因：文件服務(wù)器防火墻（如Windows防火墻）禁止了總部IP的訪問，或服務(wù)器網(wǎng)絡(luò)配置錯誤（IP地址、網(wǎng)關(guān)不正確）。-排查：登錄分支文件服務(wù)器，檢查IP地址是否為0，網(wǎng)關(guān)是否為R2的內(nèi)網(wǎng)接口IP（如）。關(guān)閉服務(wù)器防火墻測試連通性，或在服務(wù)器上使用tracert192.168.1.x（總部IP）查看路