2025年網(wǎng)絡(luò)工程師練習(xí)題及答案1.單項選擇題（每題2分，共40分）1.1在IPv6地址2001:0db8:0000:0000:0000:ff00:0042:8329的壓縮寫法中，最規(guī)范的形式是A.2001:db8::ff00:42:8329B.2001:db8:0:0:0:ff00:42:8329C.2001:db8::ff00:0042:8329D.2001:db8::ff:42:8329答案：A1.2某企業(yè)采用VRRP實現(xiàn)出口冗余，虛擬路由器ID為66，優(yōu)先級設(shè)置為205，搶占模式開啟。當(dāng)主路由器故障恢復(fù)后，以下描述正確的是A.立即奪回Master角色，無需等待B.等待3倍AdvertisementInterval后奪回C.等待SkewTime后奪回D.等待Backup路由器失效后奪回答案：C1.3在BGPEVPNType2路由中，用于通告主機MAC地址的字段是A.RouteDistinguisherB.EthernetSegmentIdentifierC.MACAddressLength+MACAddressD.MPLSLabel2答案：C1.4某段頻譜在5GHz頻段內(nèi)，信道編號為100，其中心頻率為A.5500MHzB.5560MHzC.5600MHzD.5650MHz答案：A1.5在SDWAN方案中，為降低分支到云端的時延，最合理的策略是A.所有流量強制回傳總部B.啟用本地Internetbreakout+DPIC.關(guān)閉所有加密隧道D.采用靜態(tài)路由指向云端答案：B1.6當(dāng)使用Wireshark捕獲TLS1.3握手流量時，無法直接看到的字段是A.ClientHello中的SNI擴展B.ServerHello中的所選密碼套件C.證書明文D.EncryptedExtensions答案：C1.7在Linux內(nèi)核路由表中使用“iprouteadd/24viadeveth0mtu1400”命令，其作用是A.僅修改MTU，不添加路由B.添加路由并限定路徑MTU為1400字節(jié)C.添加路由但MTU通告為1400字節(jié)D.添加路由并強制TCPMSS為1400答案：B1.8某數(shù)據(jù)中心采用SpineLeaf架構(gòu)，Leaf交換機下行端口為10Gbps，上行端口為40Gbps，若收斂比要求為3:1，則每臺Leaf最多可接入A.12臺10G服務(wù)器B.16臺10G服務(wù)器C.24臺10G服務(wù)器D.32臺10G服務(wù)器答案：A1.9在SNMPv3中，用于提供身份驗證與加密組合的SecurityLevel是A.noAuthNoPrivB.authNoPrivC.authPrivD.privNoAuth答案：C1.10當(dāng)802.1X認(rèn)證采用EAPTLS時，客戶端必須A.提供用戶名/密碼B.提供數(shù)字證書私鑰C.提供MAC地址綁定D.提供OTP令牌答案：B1.11在DNSSEC驗證過程中，用于建立信任鏈的記錄類型是A.DSB.NSEC3C.RRSIGD.DNSKEY答案：A1.12某條MPLSLSP的標(biāo)簽棧為[20|implicitnull]，倒數(shù)第二跳路由器執(zhí)行的操作是A.POPB.SWAPC.PUSH20D.PHP答案：D1.13在Python3中使用scapy發(fā)送SYNFlood，以下代碼片段正確的是A.send(IP(dst="")/TCP(dport=80,flags="S"),loop=1)B.sendp(Ether()/IP(dst="")/TCP(dport=80,flags="S"),loop=1)C.sr1(IP(dst="")/TCP(dport=80,flags="S"),loop=1)D.srloop(IP(dst="")/TCP(dport=80,flags="S"))答案：A1.14當(dāng)防火墻開啟ALG功能時，對FTP主動模式的影響是A.無需監(jiān)聽額外端口B.自動允許端口21入站C.動態(tài)預(yù)測并開放數(shù)據(jù)端口D.關(guān)閉PASV命令答案：C1.15在Kubernetes中，Service類型為ClusterIP，其iptables規(guī)則默認(rèn)采用A.NAT表PREROUTING鏈B.NAT表POSTROUTING鏈C.Filter表FORWARD鏈D.NAT表KUBESERVICES鏈答案：D1.16某企業(yè)采用802.11ax，信道寬度160MHz，理論最高速率與以下哪項最不相關(guān)A.MCS索引B.NSS空間流數(shù)量C.GuardIntervalD.BeaconInterval答案：D1.17當(dāng)使用RPKI驗證BGP路由時，若ROA狀態(tài)為“Invalid”，則合理動作是A.直接丟棄B.降低LocalPref50C.提高M(jìn)ED100D.前轉(zhuǎn)并記錄答案：A1.18在VXLAN場景中，用于抑制BUM流量的技術(shù)是A.VXLANEVPNRT5B.IngressReplicationC.PIMSMD.EVPNIRB答案：B1.19某次滲透測試發(fā)現(xiàn)TLS配置支持TLS_RSA_WITH_AES_256_CBC_SHA256，其首要風(fēng)險是A.無法提供前向保密B.使用弱對稱算法C.密鑰長度過短D.不支持AEAD答案：A1.20在零信任架構(gòu)中，用于動態(tài)評估終端安全狀態(tài)的組件是A.SIEMB.NACC.CASBD.SDP答案：B2.多項選擇題（每題3分，共30分；多選少選均不得分）2.1以下哪些技術(shù)可有效緩解IPv6地址掃描攻擊A.使用臨時地址（RFC8981）B.啟用第一跳安全RAGuardC.采用/127點對點鏈路前綴D.隨機化IID并減少地址生存期答案：A、B、D2.2關(guān)于SegmentRoutingoverIPv6（SRv6），正確的有A.使用Type4SIDB.支持網(wǎng)絡(luò)編程C.無需MPLS標(biāo)簽D.通過RH擴展頭攜帶SegmentList答案：B、C、D2.3在DNS日志中發(fā)現(xiàn)大量類型為ANY的查詢，可能的原因包括A.反射放大攻擊B.授權(quán)遞歸配置錯誤C.緩存污染探測D.正常Windows更新答案：A、B、C2.4以下哪些屬于802.1Qbv定義的流量整形機制A.時間感知調(diào)度器TASB.信用整形器CBSC.異步流量整形ATSD.門控列表GCL答案：A、D2.5關(guān)于HTTP/3特性，正確的有A.基于QUIC傳輸B.強制使用TLS1.3C.采用QPACK頭部壓縮D.使用流多路復(fù)用但存在隊頭阻塞答案：A、B、C2.6在Linux中，tc命令可實現(xiàn)A.HTB隊列B.fq_codelC.BPF程序掛載D.NAT轉(zhuǎn)換答案：A、B、C2.7以下哪些BGP屬性在AS之間傳遞時不會被修改A.LocalPreferenceB.MEDC.NextHopD.AS_Path答案：B、D2.8針對勒索軟件橫向移動，可采取的防御措施有A.關(guān)閉SMBv1B.啟用WindowsCredentialGuardC.部署微分段D.關(guān)閉所有445端口答案：A、B、C2.9在WiFi6E中，新增6GHz頻段帶來的優(yōu)勢有A.更多非DFS信道B.更高EIRP限制C.強制WPA3D.降低OFDMA沖突答案：A、C、D2.10關(guān)于容器網(wǎng)絡(luò)接口CNI，正確的有A.Calico使用BGP通告PodIPB.Flannel支持VXLAN與hostgwC.CNI插件必須實現(xiàn)IPAMD.Multus可支持多網(wǎng)絡(luò)平面答案：A、B、D3.填空題（每空2分，共20分）3.1在IPv6中，用于請求節(jié)點多播地址的后24位取自________的低位。答案：目標(biāo)地址（或單播地址）3.2VXLAN頭部中，VNI字段占________位。答案：243.3當(dāng)BGPOPEN消息中的HoldTime協(xié)商為0時，表示________。答案：不發(fā)送Keepalive，永不超時3.4在Wireshark過濾器中，表達(dá)式“tcp.analysis.retransmission”用于顯示________。答案：TCP重傳幀3.5802.11數(shù)據(jù)幀中，用于標(biāo)識QoS等級的字段為________。答案：TID（TrafficIdentifier）3.6在Pythonscapy中，構(gòu)造ICMPv6EchoRequest的類名是________。答案：ICMPv6EchoRequest3.7Linux內(nèi)核參數(shù)dev_max_backlog用于控制________隊列長度。答案：網(wǎng)卡接收軟中斷3.8當(dāng)使用SRIOV時，PF的VF數(shù)量受________寄存器字段限制。答案：SRIOVTotalVFs3.9在DNS響應(yīng)中，RCODE值為5表示________。答案：拒絕（Refused）3.10若TLS1.3握手采用PSK密鑰交換，則省略的握手消息為________。答案：Certificate4.判斷題（每題1分，共10分；正確打“√”，錯誤打“×”）4.1在OSPFv3中，RouterID依然采用32位IPv4格式?！?.2使用NAT64時，IPv6側(cè)主機必須支持DNS64。√4.3WPA3Enterprise僅采用SAE進(jìn)行密鑰交換。×4.4在MSTP中，不同實例可映射不同VLAN，實現(xiàn)流量負(fù)載均衡。√4.5QUIC協(xié)議基于UDP端口443，默認(rèn)支持0RTT?！?.6在Linux中，conntrack條目默認(rèn)超時時間為TCP120秒、UDP60秒?！?.7BGPFlowspec規(guī)則通過MPBGPNLRI傳遞，可匹配五元組。√4.8802.1X認(rèn)證失敗時，端口狀態(tài)一定被shutdown。×4.9在VXLANEVPN中，IRB接口需配置相同的SystemMAC?！?.10使用RDMARoCEv2時，必須啟用PFC以保障無損網(wǎng)絡(luò)。√5.簡答題（每題10分，共30分）5.1描述一次完整的DHCPv6有狀態(tài)地址分配過程，并說明與DHCPv4的主要差異。答案：1.客戶端發(fā)送Solicit消息（UDP547）到ff02::1:2，攜帶ClientIdentifier、IA_NA選項請求地址。2.服務(wù)器回應(yīng)Advertise，提供ServerIdentifier、IA_NA包含IPv6地址、首選/有效生存期、DNS等選項。3.客戶端選擇服務(wù)器并發(fā)送Request，確認(rèn)所需地址。4.服務(wù)器發(fā)送Reply，正式分配地址并綁定ClientDUID。5.客戶端進(jìn)行DAD檢測，無沖突后啟用地址。差異：a.DHCPv6使用ICMPv6RouterAdvertisement中的M與O標(biāo)志決定是否使用有狀態(tài)DHCPv6；DHCPv4依賴客戶端廣播Discover。b.DHCPv6無廣播，采用鏈路本地多播；DHCPv4使用廣播/單播。c.DHCPv6地址分配與前綴委托可分離，支持IA_PD；DHCPv4只能分配地址與選項。d.DHCPv6客戶端標(biāo)識使用DUID而非MAC；DHCPv4使用chaddr字段。e.DHCPv6消息封裝在UDP，端口547（服務(wù)器）與546（客戶端）；DHCPv4使用67/68。5.2給出一種基于eBPF的SYNFlood防御方案，并說明其內(nèi)核態(tài)與用戶態(tài)交互流程。答案：方案：利用XDP程序在驅(qū)動層早期丟棄異常SYN。1.內(nèi)核態(tài)：XDP程序掛載在eth0的XDP_DRV模式，維護(hù)一個eBPFLRUMap存儲源IP計數(shù)器。2.收到SYN包時，解析IP頭部，以src_ip為key查詢Map，若未存在則插入計數(shù)=1，放行；若存在且計數(shù)<閾值，遞增并放行；若計數(shù)≥閾值，直接丟棄并更新Drop統(tǒng)計。3.用戶態(tài)：Go守護(hù)進(jìn)程通過bpf_obj_get讀取Map內(nèi)容，周期性將計數(shù)器同步到Prometheus，同時提供ip白名單接口，通過bpf_map_update_elem將可信IP的計數(shù)器置零并加標(biāo)志位，實現(xiàn)動態(tài)豁免。4.用戶態(tài)通過bpf_map_delete_elem對過期條目進(jìn)行GC，防止Map占滿。5.若檢測到誤判，用戶態(tài)可通過bpf_map_update_elem將特定IP加入blocklist，XDP立即生效，無需重啟驅(qū)動。優(yōu)勢：處理在驅(qū)動最早點，延遲<5μs，單核10Mpps性能，避免iptables/netfilter棧開銷。5.3某數(shù)據(jù)中心計劃從傳統(tǒng)核心匯聚接入三層架構(gòu)演進(jìn)為SpineLeaf架構(gòu)，請給出網(wǎng)絡(luò)虛擬化與多租戶隔離的完整技術(shù)選型，并說明控制平面與數(shù)據(jù)平面協(xié)議。答案：技術(shù)選型：1.Underlay：IPv6/BGPUnnumbered，LeafSpine運行eBGP，ASN按Leaf私有42000000004200099999，Spine私有42100000004210099999，接口配置linklocal地址，BGP下一跳自洽。2.Overlay：EVPNVXLAN，Leaf作為VTEP，采用MPBGPEVPN地址族，RD使用Type0格式“ASN:VXLAN_VNI”，RT使用“ASN:VNI”導(dǎo)出導(dǎo)入，支持對稱IRB。3.多租戶：通過L3VNI實現(xiàn)VRF隔離，每個租戶分配獨立VNI范圍3000140000，RT擴展community使用RouteTarget格式“ASN:VRF_ID”，支持跨Leaf分布式網(wǎng)關(guān)。4.控制平面：BGPEVPNType2負(fù)責(zé)MAC/IP主機路由，Type3負(fù)責(zé)BUM流量入口復(fù)制列表，Type5支持外部路由注入；開啟ARP抑制減少BUM。5.數(shù)據(jù)平面：VXLANUDP4789，采用ECMP負(fù)載均衡，Leaf硬件支持VXLANtermination，芯片pipeline支持VNI>VRF映射，支持1588OneStep時間戳。6.安全：引入微分段，通過BGPFlowspec下發(fā)五元組+VXLANVNI匹配，實現(xiàn)租戶間細(xì)粒度ACL，網(wǎng)關(guān)集成FWaaS。7.運維：基于gNMI/OpenConfigTelemetry，每秒采集VXLANVNIcounters、ECMP成員狀態(tài)，通過Prometheus+Grafana可視化，集成Ansible自動化部署。6.綜合應(yīng)用題（20分）6.背景：某互聯(lián)網(wǎng)公司全球辦公網(wǎng)采用SDWAN，總部在法蘭克福，分支位于上海、紐約。上海分支通過本地ISP1100Mbps、ISP250Mbps雙Internet接入，紐約分支通過ISP3200Mbps，總部通過ISP41Gbps。要求：a.所有流量加密，支持FEC與包復(fù)制，確保語音丟包率<0.1%。b.上海至法蘭克福VoIP流量優(yōu)先使用ISP1，故障時5秒內(nèi)切換。c.基于應(yīng)用識別，Office365流量直接本地breakout，不回流總部。d.提供端到端可視化，RTD、丟包、抖動實時上報。任務(wù)：1.給出控制器與數(shù)據(jù)平面分離架構(gòu)圖（文字描述即可）。2.說明如何基于SLA實現(xiàn)動態(tài)選路，并給出關(guān)鍵配置參數(shù)。3.針對Office365本地breakout，給出DNS與路由策略，并說明如何防止分支成為中轉(zhuǎn)。4.設(shè)計一種輕量級Telemetry方案，滿足每秒上報且?guī)掗_銷<1%。答案：1.架構(gòu)：控制平面：采用集中式控制器集群，部署在法蘭克福AWS，使用AnycastIP/32，通過gRPC與分支CPE建立安全通道，下發(fā)策略。數(shù)據(jù)平面：分支CPE為uCPE，運行VPP+DPDK，支持IPSec、SRTE、FEC。控制器通過BGPLS收集鏈路延遲、丟包，通過PCEP下發(fā)SRPolicy。2.動態(tài)選路：控制器定義SLA模板：V