2025年軟考網(wǎng)絡(luò)工程師精要試題及答案解析一、單項選擇題（每題2分，共20分）1.在OSI參考模型中，負(fù)責(zé)將上層數(shù)據(jù)封裝為幀并進行差錯檢測與流量控制的是（）。A.物理層B.數(shù)據(jù)鏈路層C.網(wǎng)絡(luò)層D.傳輸層2.某主機的IP地址為00/26，其所在子網(wǎng)的廣播地址是（）。A.27B.3C.91D.553.以下路由協(xié)議中，屬于鏈路狀態(tài)協(xié)議的是（）。A.RIP-2B.OSPFv2C.BGP-4D.EIGRP4.交換機端口配置為trunk模式時，默認(rèn)允許通過的VLAN是（）。A.VLAN1B.VLAN1002-1005C.所有VLAND.僅管理VLAN5.某網(wǎng)絡(luò)的子網(wǎng)掩碼為92，該子網(wǎng)最多可劃分的主機數(shù)量是（）。A.30B.62C.126D.2546.在TCP連接建立過程中，第二次握手的標(biāo)志位組合是（）。A.SYN=1,ACK=0B.SYN=1,ACK=1C.SYN=0,ACK=1D.FIN=1,ACK=17.以下攻擊類型中，屬于拒絕服務(wù)（DoS）攻擊的是（）。A.ARP欺騙B.SQL注入C.ICMP洪水攻擊D.中間人攻擊8.無線局域網(wǎng)（WLAN）中，802.11ac標(biāo)準(zhǔn)的最高理論速率可達（）。A.300MbpsB.867MbpsC.1300MbpsD.3.5Gbps9.網(wǎng)絡(luò)管理中，SNMPv3相比SNMPv2增加的關(guān)鍵安全特性是（）。A.團體名認(rèn)證B.加密與認(rèn)證C.陷阱（Trap）通知D.MIB對象擴展10.某企業(yè)網(wǎng)絡(luò)中，核心交換機與匯聚交換機之間通過兩條物理鏈路連接，為避免環(huán)路并實現(xiàn)負(fù)載均衡，應(yīng)部署的協(xié)議是（）。A.STPB.RSTPC.MSTPD.LACP二、填空題（每空2分，共20分）1.IPv6地址的長度為______位，通常采用______進制表示。2.路由選擇協(xié)議中，RIP的度量值是______，OSPF的度量值是______。3.交換機的MAC地址表通過______機制動態(tài)學(xué)習(xí)，當(dāng)端口接收到數(shù)據(jù)幀時，會記錄源MAC地址與______的映射關(guān)系。4.網(wǎng)絡(luò)安全中，防火墻的工作模式包括______模式和______模式，前者需要配置IP地址，后者作為透明網(wǎng)橋工作。5.廣域網(wǎng)技術(shù)中，PPP協(xié)議通過______協(xié)議實現(xiàn)IP地址動態(tài)分配，通過______協(xié)議支持多種網(wǎng)絡(luò)層協(xié)議。三、綜合分析題（共60分）（一）IP地址規(guī)劃與子網(wǎng)劃分（15分）某企業(yè)申請到一個C類IP地址段/24，需劃分4個子網(wǎng)，每個子網(wǎng)至少支持50臺主機。要求：（1）計算每個子網(wǎng)的子網(wǎng)掩碼；（2）列出每個子網(wǎng)的網(wǎng)絡(luò)地址、可用IP范圍、廣播地址；（3）判斷是否存在地址浪費，若存在，說明浪費原因。（二）路由協(xié)議配置與故障排查（15分）某企業(yè)網(wǎng)絡(luò)拓?fù)淙缦拢?路由器R1連接內(nèi)網(wǎng)（/24）和區(qū)域網(wǎng)A（/24）；-路由器R2連接區(qū)域網(wǎng)A（/24）和區(qū)域網(wǎng)B（/24）；-路由器R3連接區(qū)域網(wǎng)B（/24）和外網(wǎng)（/24）；-所有路由器運行OSPFv2，區(qū)域ID分別為：R1的內(nèi)網(wǎng)接口屬于區(qū)域0，區(qū)域網(wǎng)A接口屬于區(qū)域1；R2的區(qū)域網(wǎng)A接口屬于區(qū)域1，區(qū)域網(wǎng)B接口屬于區(qū)域2；R3的區(qū)域網(wǎng)B接口屬于區(qū)域2，外網(wǎng)接口屬于區(qū)域0。問題：（1）分析該OSPF區(qū)域劃分是否符合規(guī)范，說明原因；（2）若R2的區(qū)域網(wǎng)B接口IP地址配置錯誤（如設(shè)置為55/24），可能導(dǎo)致哪些問題？（3）若內(nèi)網(wǎng)主機無法訪問外網(wǎng)，排查步驟包括哪些？（三）交換網(wǎng)絡(luò)設(shè)計與VLAN配置（15分）某公司辦公網(wǎng)絡(luò)包含銷售部（VLAN10）、技術(shù)部（VLAN20）、財務(wù)部（VLAN30），核心交換機為S1，匯聚交換機為S2（連接銷售部和技術(shù)部）、S3（連接財務(wù)部和管理終端）。要求：（1）設(shè)計S1與S2、S1與S3之間的鏈路類型及配置；（2）配置S2的銷售部接入端口（Gi0/1）為Access模式，允許VLAN10；（3）配置S3的管理終端端口（Gi0/2）為Trunk模式，允許所有VLAN，并設(shè)置NativeVLAN為VLAN99。（四）網(wǎng)絡(luò)安全策略設(shè)計（15分）某企業(yè)需要部署防火墻，要求：-內(nèi)網(wǎng)（/16）可以訪問外網(wǎng)（任意IP）；-外網(wǎng)僅允許訪問內(nèi)網(wǎng)的Web服務(wù)器（00）的80/443端口；-禁止內(nèi)網(wǎng)主機訪問外網(wǎng)的FTP服務(wù)器（0的21端口）；-防止ICMP洪水攻擊。要求：（1）畫出防火墻的典型部署拓?fù)洌?biāo)注接口及區(qū)域）；（2）寫出實現(xiàn)上述策略的ACL規(guī)則（假設(shè)防火墻支持標(biāo)準(zhǔn)和擴展ACL）；（3）說明防止ICMP洪水攻擊的具體措施。參考答案及解析一、單項選擇題1.答案：B解析：數(shù)據(jù)鏈路層的主要功能是將網(wǎng)絡(luò)層的數(shù)據(jù)包封裝為幀（Frame），通過MAC地址實現(xiàn)同一網(wǎng)絡(luò)內(nèi)節(jié)點的通信，并提供差錯檢測（CRC校驗）和流量控制（如停止-等待協(xié)議）。物理層處理比特流（Bit），網(wǎng)絡(luò)層處理數(shù)據(jù)包（Packet），傳輸層處理段（Segment）或用戶數(shù)據(jù)報（Datagram）。2.答案：A解析：/26表示子網(wǎng)掩碼為92，每個子網(wǎng)的主機位為6位（32-26=6）。IP地址00的二進制為：11000000.10101000.00000001.01100100。子網(wǎng)的網(wǎng)絡(luò)地址為前26位，即4（01100000），廣播地址為網(wǎng)絡(luò)地址的主機位全1，即27（01111111）。3.答案：B解析：鏈路狀態(tài)協(xié)議（如OSPF、IS-IS）通過收集網(wǎng)絡(luò)拓?fù)湫畔⑸涉溌窢顟B(tài)數(shù)據(jù)庫（LSDB），并使用SPF算法計算最短路徑。距離矢量協(xié)議（如RIP）通過交換路由表副本更新路由；BGP是路徑矢量協(xié)議；EIGRP是混合協(xié)議（Cisco私有）。4.答案：C解析：交換機Trunk端口默認(rèn)允許所有VLAN通過（VLAN1到4094），但可以通過“switchporttrunkallowedvlan”命令限制。VLAN1是默認(rèn)管理VLAN，但Trunk端口不會僅允許VLAN1。5.答案：B解析：子網(wǎng)掩碼92對應(yīng)的二進制為11111111.11111111.11111111.11000000，主機位為6位（32-26=6）?？捎弥鳈C數(shù)為2?-2=62（減2是排除網(wǎng)絡(luò)地址和廣播地址）。6.答案：B解析：TCP三次握手過程：第一次（C→S）SYN=1，seq=x；第二次（S→C）SYN=1,ACK=1，seq=y，ack=x+1；第三次（C→S）ACK=1，seq=x+1，ack=y+1。第二次握手需同時確認(rèn)SYN并發(fā)送自己的SYN。7.答案：C解析：ICMP洪水攻擊（如PingFlood）通過向目標(biāo)發(fā)送大量ICMP請求包，耗盡其資源，屬于DoS攻擊。ARP欺騙是鏈路層攻擊，SQL注入是應(yīng)用層攻擊，中間人攻擊是竊聽或篡改數(shù)據(jù)，均不屬于DoS。8.答案：B解析：802.11ac（Wi-Fi5）支持5GHz頻段，采用MIMO（最多8×8）和256-QAM調(diào)制，單流最高速率867Mbps（理論值）。802.11ax（Wi-Fi6）最高速率可達9.6Gbps。9.答案：B解析：SNMPv1/v2c使用團體名（CommunityString）進行簡單認(rèn)證（明文傳輸），無加密；SNMPv3引入了USM（用戶安全模型），支持認(rèn)證（如HMAC-SHA）和加密（如AES），增強了安全性。10.答案：D解析：LACP（鏈路聚合控制協(xié)議）可以將多條物理鏈路捆綁為邏輯鏈路（Eth-Trunk），實現(xiàn)負(fù)載均衡和冗余。STP/RSTP/MSTP用于消除環(huán)路，但無法實現(xiàn)負(fù)載均衡（僅允許一條鏈路活躍）。二、填空題1.128；十六解析：IPv6地址長度為128位，采用十六進制冒號分隔表示（如2001:db8::1）。2.跳數(shù)（HopCount）；開銷（Cost，通常為鏈路帶寬的倒數(shù)）解析：RIP以跳數(shù)為度量（最大15跳），OSPF以鏈路帶寬計算開銷（如100Mbps鏈路開銷為10，10Mbps為100）。3.洪泛（Flooding）；端口號（或接口）解析：交換機初始MAC表為空，收到數(shù)據(jù)幀時記錄源MAC地址與接收端口的映射，若目的MAC未知則洪泛（廣播到所有非接收端口）。4.路由（NAT）；透明（橋接）解析：路由模式下防火墻作為三層設(shè)備，需要配置接口IP；透明模式下作為二層設(shè)備，不改變網(wǎng)絡(luò)拓?fù)?，適用于透明接入。5.IP控制（IPCP）；網(wǎng)絡(luò)控制（NCP）解析：PPP協(xié)議通過LCP（鏈路控制協(xié)議）建立鏈路，通過NCP（如IPCP、IPXCP）協(xié)商網(wǎng)絡(luò)層參數(shù)，IPCP用于動態(tài)分配IP地址。三、綜合分析題（一）IP地址規(guī)劃與子網(wǎng)劃分（1）子網(wǎng)掩碼計算每個子網(wǎng)需要至少50臺主機，主機位需滿足2?-2≥50→n≥6（2?-2=62）。因此主機位為6位，子網(wǎng)位=32-24-6=2位（原C類網(wǎng)絡(luò)為/24，即前24位為網(wǎng)絡(luò)位）。但劃分4個子網(wǎng)需要子網(wǎng)位≥2（22=4），因此子網(wǎng)掩碼為/26（92）。（2）子網(wǎng)詳情-子網(wǎng)1：網(wǎng)絡(luò)地址/26，可用IP-2，廣播地址3-子網(wǎng)2：網(wǎng)絡(luò)地址4/26，可用IP5-26，廣播地址27-子網(wǎng)3：網(wǎng)絡(luò)地址28/26，可用IP29-90，廣播地址91-子網(wǎng)4：網(wǎng)絡(luò)地址92/26，可用IP93-54，廣播地址55（3）地址浪費分析存在地址浪費。每個子網(wǎng)實際需要50臺主機，但/26子網(wǎng)提供62個可用地址，每個子網(wǎng)浪費12個地址（62-50=12）。若未來主機數(shù)量增長，可保留冗余；若當(dāng)前需求固定，可選擇更小的子網(wǎng)（如/27，但/27僅提供30個可用地址，不滿足50臺需求）。（二）路由協(xié)議配置與故障排查（1）區(qū)域劃分分析不符合OSPF規(guī)范。OSPF要求所有非骨干區(qū)域（區(qū)域ID≠0）必須與骨干區(qū)域（區(qū)域0）直接相連（通過ABR路由器）。本題中，區(qū)域1（R1-R2）和區(qū)域2（R2-R3）通過R2連接，但區(qū)域2未直接連接到區(qū)域0（R3的外網(wǎng)接口屬于區(qū)域0，區(qū)域2通過R2-R3連接到區(qū)域0），因此需確保R2作為ABR連接區(qū)域1和區(qū)域2，R3作為ABR連接區(qū)域2和區(qū)域0，整體符合“區(qū)域0為中心”的結(jié)構(gòu)，實際可接受，但最佳實踐是讓區(qū)域2直接連接區(qū)域0（如R3的區(qū)域2接口與區(qū)域0接口在同一路由器）。（2）R2接口IP錯誤的影響55/24是該子網(wǎng)的廣播地址，無法作為主機IP使用。若R2配置此地址，會導(dǎo)致：-無法與區(qū)域網(wǎng)B內(nèi)的其他設(shè)備通信（廣播地址不能作為有效IP）；-OSPF鄰居關(guān)系無法建立（R2的區(qū)域網(wǎng)B接口無有效IP，無法發(fā)送Hello包）；-區(qū)域網(wǎng)B與其他區(qū)域的路由無法同步（OSPF無法學(xué)習(xí)到/24的路由）。（3）內(nèi)網(wǎng)訪問外網(wǎng)的排查步驟①檢查內(nèi)網(wǎng)主機IP、子網(wǎng)掩碼、默認(rèn)網(wǎng)關(guān)配置是否正確；②使用ping測試內(nèi)網(wǎng)到R1內(nèi)網(wǎng)接口（）的連通性，確認(rèn)本地鏈路正常；③使用traceroute查看路徑跳數(shù)，確定故障發(fā)生在R1、R2還是R3；④檢查R1、R2、R3的OSPF路由表，確認(rèn)是否存在外網(wǎng)路由（/24）；⑤檢查R3的外網(wǎng)接口是否配置正確（IP、子網(wǎng)掩碼、默認(rèn)路由）；⑥檢查是否存在ACL或防火墻策略阻擋流量（如R3的外網(wǎng)接口是否允許出站流量）；⑦測試外網(wǎng)DNS解析是否正常（若訪問需域名解析）。（三）交換網(wǎng)絡(luò)設(shè)計與VLAN配置（1）鏈路類型及配置-S1與S2、S1與S3之間應(yīng)配置為Trunk鏈路（支持多VLAN傳輸）。配置命令（以S1為例）：```interfaceGigabitEthernet0/1switchportmodetrunkswitchporttrunkallowedvlan10,20,30,99（或允許所有VLAN）```（2）S2銷售部端口配置```interfaceGigabitEthernet0/1switchportmodeaccessswitchportaccessvlan10spanning-treeportfast（可選，加速終端接入）```（3）S3管理終端端口配置```interfaceGigabitEthernet0/2switchportmodetrunkswitchporttrunkallowedvlanallswitchporttrunknativevlan99```注：NativeVLAN用于標(biāo)識未打標(biāo)簽的幀（默認(rèn)VLAN1），此處設(shè)置為VLAN99，需確保S1的對應(yīng)Trunk端口也配置相同NativeVLAN，避免VLAN跳躍攻擊。（四）網(wǎng)絡(luò)安全策略設(shè)計（1）防火墻部署拓?fù)鋊``外網(wǎng)（/16）→防火墻（外網(wǎng)接口，區(qū)域untru