2025年計算機四級網絡工程師考試筆試試題（附答案）一、單項選擇題（每題1分，共20題）1.在企業(yè)園區(qū)網三層架構設計中，匯聚層的核心功能是？A.提供高速骨干連接B.實現流量的接入與訪問控制C.完成路由聚合與安全策略實施D.保障全網設備的時鐘同步答案：C2.某企業(yè)需要部署IPSecVPN，要求主模式下協商SA時采用預共享密鑰認證，且加密算法為AES-256，認證算法為SHA-256。則IKE第一階段策略中，以下參數配置正確的是？A.encryptionaes-256；authenticationpre-share；hashsha-256B.encryption3des；authenticationrsa-sig；hashmd5C.encryptionaes-128；authenticationpre-share；hashsha-1D.encryptiondes；authenticationdh；hashsha-256答案：A3.采用OSPFv3協議的IPv6網絡中，某路由器的接口配置如下：interfaceGigabitEthernet0/0ipv6ospf1areaipv6ospfnetworkpoint-to-point則該接口在OSPFv3中的鄰居發(fā)現機制使用的組播地址是？A.FF02::5B.FF02::6C.FF02::9D.FF02::A答案：B（注：OSPFv3在點到點網絡使用DR/BDR時，鄰居發(fā)現使用FF02::6（DRother）和FF02::5（DR/BDR），但本題明確網絡類型為point-to-point，此時不選舉DR，直接使用單播或FF02::5發(fā)送Hello）4.某校園網出口鏈路帶寬1000Mbps，平均流量800Mbps，突發(fā)流量1200Mbps。若采用WRED隊列調度，設置最小門限30%，最大門限80%，丟棄概率50%，則當隊列長度達到多少時開始隨機丟棄？A.300MbpsB.800MbpsC.240Mbps（100030%80%）D.30%隊列深度答案：D（WRED基于隊列深度百分比而非帶寬絕對值）5.以下關于BGP路由屬性的描述，錯誤的是？A.Local_Pref僅在AS內部傳遞，用于指示入站路由的優(yōu)先級B.AS_Path是公認必須遵循屬性，用于防止路由環(huán)路C.Origin屬性取值為IGP（0）、EGP（1）、INCOMPLETE（2）D.MED屬性用于向其他AS傳遞路由的優(yōu)先級，默認值為0答案：A（Local_Pref用于AS內部指示出站路由的優(yōu)先級）6.某公司總部與分支機構通過MPLSVPN互聯，PE路由器需要為每個VPN分配獨立的路由表。此時應使用的關鍵技術是？A.VRF（虛擬路由轉發(fā)實例）B.MPLSLDPC.BGP/MPLSIPVPND.RSVP-TE答案：A7.采用802.1X認證的無線局域網中，客戶端發(fā)起認證時，首先發(fā)送的EAPoL幀類型是？A.EAP-Request/IdentityB.EAPoL-StartC.EAP-Response/IdentityD.EAP-Success答案：B8.某三層交換機配置如下：interfaceVlan10ipaddressiphelper-address則該配置的作用是？A.將VLAN10的廣播流量轉發(fā)到B.為VLAN10內的主機提供DHCP中繼服務C.配置VLAN10的默認網關為D.啟用VLAN10的組播路由功能答案：B9.在網絡性能監(jiān)測中，反映網絡服務質量的關鍵指標不包括？A.丟包率B.延遲抖動C.CPU利用率D.吞吐量答案：C（CPU利用率是設備性能指標，非服務質量指標）10.某IPv6網絡中，路由器R1的G0/0接口地址為2001:db8::1/64，現需配置靜態(tài)路由到2001:db8:1::/64，下一跳為2001:db8::2。正確的配置命令是？A.ipv6route2001:db8:1::/642001:db8::2B.iproute2001:db8:1::552001:db8::2C.ipv6route2001:db8:1::/64gigabitethernet0/02001:db8::2D.routeipv62001:db8:1::/64next-hop2001:db8::2答案：A11.以下關于STP/RSTP/MSTP的描述，正確的是？A.STP的端口狀態(tài)轉換需要經歷Blocking→Listening→Learning→Forwarding，總時間30秒B.RSTP通過P/A機制實現快速收斂，邊緣端口收到BPDU會立即轉換為非邊緣端口C.MSTP可以將多個VLAN映射到同一個生成樹實例，減少資源消耗D.STP的根橋優(yōu)先級默認是32768，RSTP默認是4096答案：C12.某企業(yè)部署入侵檢測系統(tǒng)（IDS），要求對網絡流量進行深度內容分析，檢測已知攻擊特征。應采用的檢測方式是？A.異常檢測B.誤用檢測C.協議分析檢測D.流量統(tǒng)計檢測答案：B13.以下關于DHCPv6的描述，錯誤的是？A.無狀態(tài)DHCPv6僅提供DNS服務器等配置信息，不分配IP地址B.有狀態(tài)DHCPv6通過IA_NA（接口地址請求）分配全局單播地址C.DHCPv6的客戶端使用UDP端口546，服務器使用547D.DHCPv6支持中繼代理，通過Option82傳遞中繼信息答案：D（Option82是DHCPv4的中繼信息選項，DHCPv6使用Option82或自定義選項）14.某網絡拓撲中，R1通過兩條鏈路連接R2（鏈路1：100Mbps，延遲10ms；鏈路2：1000Mbps，延遲20ms）。若運行EIGRP協議，且?guī)挋嘀豄1=1，延遲權重K2=0，其他權重為0，則R1選擇的最優(yōu)路徑是？A.鏈路1（計算度量值=10^7/100+10256=100000+2560=102560）B.鏈路2（計算度量值=10^7/1000+20256=10000+5120=15120）C.鏈路1（僅比較帶寬，100Mbps<1000Mbps，所以錯誤）D.鏈路2（帶寬更大，度量值更小）答案：B（EIGRP度量值公式：(K1帶寬+(K2帶寬)/(256-負載)+K3延遲)K5/(可靠性+K4)，本題K1=1，K2=0，其他為0，故度量值=帶寬的倒數（10^7/帶寬）+延遲256。鏈路1：10^7/100=100000，延遲10256=2560，總和102560；鏈路2：10^7/1000=10000，延遲20256=5120，總和15120，更小，選鏈路2）15.以下關于網絡存儲技術的描述，正確的是？A.iSCSI使用TCP端口860和3260，通過以太網傳輸SCSI指令B.NAS基于文件級訪問，通常使用NFS或SMB協議C.FCSAN采用光纖通道協議，傳輸速率可達100GbpsD.FCoE（以太網光纖通道）需要單獨的光纖網絡，不能與IP流量共享答案：B16.某防火墻配置如下：rulenameallow_wwwsource-zonetrustdestination-zoneuntrustsource-ip/24destination-ip/24servicehttpactionpermit則該規(guī)則允許的流量是？A.信任區(qū)域內/24主機訪問非信任區(qū)域/24的HTTP服務B.非信任區(qū)域/24主機訪問信任區(qū)域/24的HTTP服務C.信任區(qū)域內所有主機訪問非信任區(qū)域所有主機的HTTP服務D.非信任區(qū)域內所有主機訪問信任區(qū)域所有主機的HTTP服務答案：A17.在網絡規(guī)劃的需求分析階段，需要確定的關鍵要素不包括？A.用戶分布與流量模型B.設備的具體型號與廠商C.網絡可用性與可靠性要求D.安全等級與合規(guī)性要求答案：B（設備選型屬于邏輯設計或物理設計階段）18.某路由器通過SNMPv3采集到如下MIB數據：ifInOctets.1=12345678，ifOutOctets.1=87654321，ifSpeed.1=100000000（單位bps），則該接口的利用率為？A.(12345678+87654321)8/(100000000采樣間隔)B.max(12345678,87654321)8/(100000000采樣間隔)C.(123456788)/(100000000采樣間隔)D.(876543218)/(100000000采樣間隔)答案：A（利用率=（入流量+出流量）8/（接口帶寬時間））19.以下關于IPv6鄰居發(fā)現協議（NDP）的描述，錯誤的是？A.路由器通過RouterAdvertisement（RA）報文發(fā)布前綴信息B.節(jié)點通過NeighborSolicitation（NS）報文請求目標節(jié)點的鏈路層地址C.重復地址檢測（DAD）通過發(fā)送NS報文并監(jiān)聽響應實現D.NDP完全替代了IPv4中的ARP、ICMP路由器發(fā)現和ICMP重定向功能答案：D（NDP替代了ARP、ICMP路由器發(fā)現和重定向，但ICMPv6仍包含其他功能）20.某企業(yè)網絡中，核心交換機配置了端口安全功能，設置最大連接數為2，靜態(tài)綁定MAC地址00:11:22:33:44:55。當有第三臺設備接入該端口時，采取的默認動作是？A.關閉端口并發(fā)送SNMP陷阱B.僅丟棄未綁定的幀C.允許連接但記錄日志D.發(fā)送警告信息不做其他操作答案：A（默認動作為shutdown）二、填空題（每題2分，共10題）1.網絡規(guī)劃的三個主要階段是需求分析、__________、物理設計。答案：邏輯設計2.OSPF協議中，骨干區(qū)域的區(qū)域號是__________。答案：0（或）3.BGP路由選擇中，當比較MED屬性時，僅在__________的鄰居之間比較。答案：同AS（或同一自治系統(tǒng)）4.802.11ac無線協議支持的最高理論速率是__________Gbps（基于80MHz信道+8空間流）。答案：6.93（或約6.9）5.網絡管理中，CMIP協議基于__________模型（填寫管理模型類型）。答案：面向對象6.IPv6的任播地址用于標識__________個接口（填寫數量）。答案：一（或多個，但任播是發(fā)送到最近的一個）7.MPLS標簽的長度是__________位。答案：208.漏洞掃描分為主機掃描和__________掃描（按掃描對象分類）。答案：網絡9.動態(tài)VLAN的劃分方式包括基于MAC地址、基于IP子網和基于__________。答案：端口（或協議、用戶）10.網絡冗余設計中，VRRP的虛擬路由器ID范圍是__________。答案：1-255三、綜合題（共60分）（一）企業(yè)網設計與配置（20分）某企業(yè)總部有3個部門（研發(fā)部：300人，市場部：200人，財務部：100人），分支機構A（50人）和B（30人）通過運營商提供的MPLSVPN與總部互聯?？偛亢诵臋C房部署兩臺核心交換機（互為冗余）、兩臺出口路由器（連接運營商）、一臺防火墻、一臺DHCP服務器（）和一臺DNS服務器（）。要求：1.設計總部局域網IP地址規(guī)劃（使用/16地址段），滿足子網劃分、地址利用率≥90%，并說明子網掩碼。2.寫出核心交換機實現VLAN間路由的配置步驟（基于CiscoIOS）。3.配置出口路由器的靜態(tài)默認路由，下一跳為運營商提供的。答案：1.IP地址規(guī)劃：-研發(fā)部：300人，需至少512地址（2^9=512），子網掩碼/23（），分配/23（可用地址-54）-市場部：200人，需256地址（2^8=256），子網掩碼/24，分配/24（可用地址-54）-財務部：100人，需128地址（2^7=128），子網掩碼/25，分配/25（可用地址-26）-剩余地址保留用于未來擴展（如28/25等）2.核心交換機VLAN間路由配置步驟（假設VLAN10研發(fā)部，VLAN20市場部，VLAN30財務部）：-啟用三層路由功能：`iprouting`-創(chuàng)建VLAN接口并配置IP：`interfaceVlan10``ipaddress``noshutdown``interfaceVlan20``ipaddress``noshutdown``interfaceVlan30``ipaddress28``noshutdown`-配置DHCP中繼（可選）：`interfaceVlan10``iphelper-address`（同理配置Vlan20、Vlan30）3.出口路由器靜態(tài)默認路由配置：`iproute`（二）路由協議分析（20分）某網絡拓撲如下：R1（AS100）-R2（AS100）-R3（AS200）-R4（AS300）。R1與R2運行OSPF（區(qū)域0），R2與R3運行EBGP，R3與R4運行EBGP。R1的環(huán)回地址/32宣告到OSPF，R2將該路由通過BGP傳遞給R3，R3再傳遞給R4。1.描述R2將OSPF路由引入BGP的配置命令（CiscoIOS）。2.R3收到R2的BGP路由后，AS_Path屬性是什么？3.若R4希望優(yōu)先選擇來自R3的路由，需修改BGP的哪個屬性？如何配置？答案：1.R2的BGP配置：`routerbgp100``neighborremote-as200`（假設R2與R3的連接地址為/30）`networkmask55`（若OSPF路由已在R2的路由表中，也可使用`redistributeospf1matchinternalexternal1external2`）2.AS_Path屬性為(100)（R2屬于AS100，傳遞給R3時添加自身AS號，所以R3收到的路由AS_Path是100）3.需修改Local_Pref（僅在AS內部有效）或MED（傳遞給其他AS）。因R4與R3是EBGP鄰居，應修改MED屬性，使R3傳遞給R4的路由MED值更小。配置命令：`routerbgp200``neighborremote-as300``neighborroute-mapSET_MEDout``route-mapSET_MEDpermit10``setmetric100`（假設原MED為默認0，設置更小值可提升優(yōu)先級，或根據需求調整）（三）網絡安全配置（20分）某企業(yè)需要在邊界防火墻（接口：內網口G0/0，外網口G0/1）配置以下安全策略：-允許內網（/16）訪問外網HTTP（80）、HTTPS（443）服務-禁止外網主動訪問內網任何服務-允許內網DNS服務器（0）響應外網DNS查詢（UDP53）-啟用狀態(tài)檢測防火墻要求寫出具體的配置命令（基于華為USG系列防火墻）。答案：1.配置安全區(qū)域：`firewallzonetrust``addinterfaceGigabitEtherne