2025年網絡管理員及答案一、單項選擇題（每題2分，共30分）1.在IPv6地址中，用于表示本地鏈路單播地址的前綴是A.FE80::/10??B.FC00::/7??C.2000::/3??D.FF00::/8答案：A解析：FE80::/10是IPv6本地鏈路地址的固定前綴，用于同一鏈路上的節(jié)點通信，不可被路由。2.某企業(yè)采用802.1X對有線接入進行認證，交換機端口在未認證狀態(tài)下默認VLAN為99，認證成功后動態(tài)下發(fā)VLAN20。下列關于VLAN99的描述正確的是A.可訪問財務服務器??B.僅用于EAP報文交互??C.與VLAN20可二層互通??D.需要手工配置網關答案：B解析：VLAN99作為GuestVLAN，僅允許EAPOL報文通過，禁止訪問其他資源。3.在Linux系統(tǒng)中，使用nftables實現(xiàn)源地址轉換，應選擇的hook點是A.ingress??B.forward??C.postrouting??D.output答案：C解析：源地址轉換（SNAT）必須在報文離開本機前完成，故選取postrouting。4.某DNS服務器采用響應速率限制（RRL），若客戶端1秒內查詢同一域名超過閾值，服務器最可能的動作是A.返回SERVFAIL??B.丟棄請求??C.返回REFUSED??D.返回TC=1的截斷響應答案：D解析：RRL通過TC=1強制客戶端轉向TCP，降低放大攻擊風險。5.在BGP最佳路徑選擇中，最先比較的屬性是A.LOCAL_PREF??B.ORIGIN??C.MED??D.WEIGHT答案：D解析：Cisco私有屬性WEIGHT優(yōu)先級最高，僅本地有效。6.某園區(qū)網運行OSPFv3，區(qū)域1被配置為TotallyNSSA，則該區(qū)域ABR會向下游路由器下發(fā)A.Type-3LSA??B.Type-4LSA??C.Type-7LSA??D.默認路由答案：D解析：TotallyNSSA阻斷Type-3、4、5LSA，ABR自動注入默認路由。7.在WindowsServer2025中，實現(xiàn)基于證書的無密碼登錄，需部署的組件是A.NPS??B.WHFB??C.LAPS??D.ADCS答案：B解析：WindowsHelloforBusiness（WHFB）支持密鑰式身份驗證，完全替代密碼。8.某SD-WAN方案采用IPsec隧道，數(shù)據平面加密算法為AES-256-GCM，控制平面認證算法應為A.SHA-1??B.SHA-256??C.AES-128-CBC??D.ECDSA-256答案：D解析：控制平面需抗量子攻擊，采用ECDSA-256提供數(shù)字簽名。9.在Python自動化腳本中，使用netmiko向華為交換機下發(fā)配置，應指定的device_type是A.huawei??B.huawei_vrp??C.hp_comware??D.huawei_smartax答案：B解析：netmiko以vrp區(qū)分華為VRP平臺。10.某Kubernetes集群使用CalicoCNI，啟用eBPF模式后，kube-proxy模式應設為A.userspace??B.iptables??C.ipvs??D.none答案：D解析：eBPF直接替換kube-proxy，需設為none避免沖突。11.在Zabbix7.0中，發(fā)現(xiàn)規(guī)則類型選擇“Zabbixagent（active）”時，被監(jiān)控端需配置的參數(shù)是A.Server??B.ServerActive??C.HostnameItem??D.ListenIP答案：B解析：主動模式由被監(jiān)控端反向連接ServerActive列出的地址。12.某企業(yè)采用零信任架構，所有流量強制通過SDP網關，此時傳統(tǒng)防火墻最合理的部署位置是A.互聯(lián)網邊界??B.核心交換??C.用戶終端??D.取消防火墻答案：A解析：SDP解決應用層訪問控制，互聯(lián)網邊界仍需防火墻抵御DDoS。13.在RAID6中，允許同時損壞的磁盤數(shù)量為A.1??B.2??C.3??D.與磁盤總數(shù)相關答案：B解析：RAID6采用雙奇偶校驗，可容忍雙盤故障。14.某802.11ax網絡采用8×8MIMO，160MHz信道，理論最大速率約為A.1.2Gbps??B.4.8Gbps??C.9.6Gbps??D.14Gbps答案：C解析：按802.11axMCS11、8SS、160MHz、GI=0.8μs計算，約9.6Gbps。15.在Linux中，使用tcpdump抓取經過vethpair的報文，應選擇的接口是A.eth0??B.docker0??C.veth123@if456??D.lo答案：C解析：vethpair成對出現(xiàn)，需抓取容器側接口。二、多項選擇題（每題3分，共30分）16.下列關于HTTP/3的描述正確的有A.基于QUIC??B.默認端口443??C.使用TCP作為傳輸層??D.支持0-RTT??E.頭部壓縮算法為QPACK答案：A、B、D、E解析：HTTP/3基于UDP的QUIC，不支持TCP。17.在MPLS網絡中，以下哪些表項用于轉發(fā)A.FIB??B.LFIB??C.RIB??D.LIB??E.NHLFE答案：B、D、E解析：LFIB保存標簽轉發(fā)表，LIB保存標簽映射，NHLFE為下一跳標簽轉發(fā)項。18.某數(shù)據中心采用VXLANEVPN，以下哪些路由類型用于主機MAC通告A.Type-1??B.Type-2??C.Type-3??D.Type-4??E.Type-5答案：B解析：Type-2路由攜帶MAC/IP信息。19.關于Linux內核參數(shù)dev_max_backlog，正確的有A.控制網卡接收隊列長度??B.影響SYNFlood抗攻擊能力??C.需同時調整ringbuffer??D.僅對UDP生效??E.修改后需重啟主機答案：A、B、C解析：該參數(shù)為全局輸入隊列，TCP/UDP均受影響，改后無需重啟。20.以下哪些技術可用于實現(xiàn)二層環(huán)路保護A.STP??B.RLDP??C.LoopGuard??D.BPDUGuard??E.G.8032答案：A、B、C、D、E解析：G.8032為電信級以太環(huán)保護，其余為常見二層保護機制。21.在Windows環(huán)境中，使用PowerShell獲取所有監(jiān)聽端口的進程，可使用的命令有A.Get-NetTCPConnection??B.netstat-ano??C.Get-Process??D.lsof-i??E.ss-lnt答案：A、B、C解析：lsof與ss為Linux工具。22.以下關于SMTPoverTLS的描述正確的有A.端口465使用TLSwrapper??B.端口587使用STARTTLS??C.端口25禁止明文??D.證書需包含MX主機名??E.可強制OCSPstapling答案：A、B、D、E解析：端口25仍允許明文，取決于服務器配置。23.某KubernetesIngress使用Contour，下列資源對象需創(chuàng)建的有A.Gateway??B.HTTPProxy??C.Ingress??D.Service??E.Secret答案：B、D、E解析：Contour用HTTPProxy替代原生Ingress，仍需Service與TLSSecret。24.在SNMPv3中，提供認證與加密的安全級別有A.noAuthNoPriv??B.authNoPriv??C.authPriv??D.privNoAuth??E.authPrivNoHash答案：B、C解析：SNMPv3僅定義三種級別，authPriv同時提供認證與加密。25.以下關于NVMeoverTCP的描述正確的有A.使用TCP端口4420??B.支持多路徑??C.需啟用NVMe-oFinitiator??D.依賴RDMA??E.封裝NVMe命令集答案：A、B、C、E解析：NVMeoverTCP無需RDMA，使用標準以太網。三、判斷題（每題1分，共10分）26.在Wireshark中，顯示過濾器“tcp.flags.syn==1andtcp.flags.ack==0”可匹配所有SYN報文。答案：正確解析：SYN報文僅置位SYN，ACK=0。27.使用rsync同步時，添加參數(shù)--inplace可確保斷點續(xù)傳。答案：錯誤解析：--inplace直接覆蓋目標文件，斷點續(xù)傳需--partial--append。28.在BGPEVPN中，Type-5路由可用于傳遞主機MAC。答案：錯誤解析：Type-5用于IP前綴，Type-2用于MAC。29.當Linux系統(tǒng)啟用SYNCookies后，半開連接隊列被忽略。答案：正確解析：SYNCookies無需維護半開隊列，抵御SYNFlood。30.在RAID10中，任意兩塊磁盤損壞均不會導致數(shù)據丟失。答案：錯誤解析：RAID10先鏡像后條帶，若兩塊磁盤為同一鏡像對則數(shù)據丟失。31.使用chrony同步時間時，添加“makestep1.03”表示在前三次更新中允許步進1秒。答案：正確解析：makestep1.03允許在3次校正中步進1秒。32.在VXLAN頭部中，VNI字段長度為24位。答案：正確解析：VXLAN封裝定義VNI為24位，支持約1600萬租戶。33.WindowsServer2025的SMBoverQUIC使用UDP端口443。答案：正確解析：SMBoverQUIC復用HTTPS端口，簡化防火墻放行。34.在Python中，使用asyncio創(chuàng)建協(xié)程，需顯式調用loop.run_until_complete()才能執(zhí)行。答案：錯誤解析：Python3.7+可用asyncio.run()簡化。35.在MSTP中，實例0被稱為IST，且必須存在。答案：正確解析：IST是MST區(qū)域的內部生成樹，兼容STP/RSTP。四、填空題（每空2分，共20分）36.在Linux中，使用________命令可查看當前系統(tǒng)所有掛載的cgroup子系統(tǒng)。答案：lscgroup37.在IPv6中，地址________用于本地站點范圍內的所有路由器。答案：FF02::238.某DHCPv6服務器采用前綴代理，下發(fā)前綴為2001:db8:abcd::/56，客戶端LAN接口ID為::1，則LAN地址為________。答案：2001:db8:abcd:1::139.在BGP中，將本地優(yōu)先級設置為200的路由策略，應使用________屬性。答案：LOCAL_PREF40.在Zabbix中，觸發(fā)器表達式{host:net.if.in[eth0].last()}>100M表示接口________速率超過100Mbps。答案：入站41.在Kubernetes中，NetworkPolicy的policyTypes字段若未指定，默認僅________規(guī)則生效。答案：Ingress42.在Wireshark中，過濾表達式“icmp.type==3andicmp.code==4”表示________不可達且需要分片。答案：目的主機43.在RAID5中，若條帶大小為64KB，磁盤數(shù)為5，則單條帶占用單盤________KB。答案：1644.在Windows中，使用________命令可查看當前TCP重傳次數(shù)。答案：Get-NetTCPStatistics45.在VXLANEVPN中，用于抑制ARP泛洪的代理功能稱為________。答案：ARPsuppression五、簡答題（每題10分，共30分）46.描述一次完整的DHCPv4租約更新過程，并說明在WindowsServer2025中如何通過篩選器禁止非公司MAC地址獲取地址。答案：（1）租約更新過程：①客戶端在租期50%時單播DHCPRequest給原服務器，請求續(xù)租；②服務器若同意，返回DHCPACK，更新租期；③若服務器無響應，客戶端在87.5%租期時廣播DHCPRequest，接受任意服務器回應；④若仍失敗，租期到期后客戶端重新發(fā)起DHCPDiscover。（2）WindowsServer2025配置：①打開DHCP管理控制臺，右鍵“IPv4”→“篩選器”→“啟用拒絕篩選器”；②新建拒絕規(guī)則，MAC掩碼設為FF-FF-FF-FF-FF-FF，地址范圍填寫非公司OU的MAC前綴；③勾選“對現(xiàn)有租約生效”，立即阻斷非法終端；④結合NPS策略，對有線802.1X認證失敗終端動態(tài)加入拒絕列表，實現(xiàn)閉環(huán)。47.某園區(qū)網運行OSPFv2，區(qū)域0包含兩臺核心交換機C1、C2，區(qū)域1包含接入交換機A1、A2，A1與A2通過二層鏈路聚合互聯(lián)，C1與C2通過三層ECMP互聯(lián)?，F(xiàn)發(fā)現(xiàn)區(qū)域1內PC訪問外網出現(xiàn)間歇性丟包，排查步驟如下：（1）在A1上執(zhí)行showipospfneighbor，發(fā)現(xiàn)與A2鄰居狀態(tài)持續(xù)在EXSTART/EXCHANGE抖動；（2）在C1、C2上執(zhí)行showipospfdatabaserouter，觀察到區(qū)域1內兩條Type-3默認路由cost相同；（3）抓包發(fā)現(xiàn)A1與A2間存在超過1500字節(jié)的OSPF報文被丟棄。請給出根因與解決方案。答案：根因：A1與A2二層聚合口MTU被誤設為1500，而C1、C2三層口MTU為9216，OSPF在EXSTART階段比較MTU，不匹配導致鄰居無法進入FULL，LSA同步失敗，區(qū)域1生成樹異常，流量繞行鏈路負載不均，出現(xiàn)丟包。解決方案：①在A1、A2聚合口執(zhí)行mtu9216，確保與上游一致；②清除ospf進程，重新建立鄰居；③在C1、C2區(qū)域1接口配置ospfcost100與110，使默認路由優(yōu)選C1，實現(xiàn)deterministicECMP；④在區(qū)域1邊緣部署uRPF，防止非對稱流量；⑤開啟BFDforOSPF，毫秒級檢測，縮短收斂時間。48.描述如何在Kubernetes1.32集群中利用eBPF實現(xiàn)網絡策略的精確審計，并給出Cilium配置示例。答案：（1）原理：Cilium利用eBPF程序在tcingress/egress鉤子點捕獲報文，匹配NetworkPolicy規(guī)則，對命中流量生成審計日志，通過perfeventringbuffer送往用戶態(tài)cilium-agent，再以JSON格式輸出到stdout或遠程Loki。（2）步驟：①安裝CiliumCLI：curl-L/cilium/cilium-cli/releases/latest/download/cilium-linux-amd64.tar.gz|tarxz-C/usr/local/bin②啟用審計：ciliuminstall--version1.16.0--setaudit.enabled=true--setaudit.verdict=both③創(chuàng)建NetworkPolicy并開啟審計：apiVersion:cilium.io/v2kind:CiliumNetworkPolicymetadata:name:audit-demospec:endpointSelector:matchLabels:app:frontendingress:-fromEndpoints:-matchLabels:app:backendtoPorts:-ports:-port:"80"protocol:TCPaudit:Always④查看審計日志：kubectlexec-nkube-systemds/cilium--ciliummonitor-taudit|jq⑤在Grafana添加Loki數(shù)據源，創(chuàng)建Dashboard，字段過濾verdict=denied，實時展示違規(guī)訪問熱力圖。六、綜合應用題（共30分）49.某電商公司計劃將本地VMwarevSphere8.0業(yè)務遷移至混合云，要求：①內網網段/16與云端/16互通；②本地出口為兩條ISP，需基于應用動態(tài)選路；③云端Kubernete