2025年華為中級試題《網絡系統(tǒng)建設與運維》附答案一、單項選擇題（每題2分，共30分）1.某企業(yè)園區(qū)網采用OSPFv2作為核心路由協(xié)議，其中Area1被配置為NSSA區(qū)域。以下關于該區(qū)域的描述中，正確的是（）。A.允許接收Type4LSAB.禁止注入外部路由C.提供Type7LSA表示外部路由D.必須存在ABR和ASBR答案：C2.某運營商網絡使用BGP4+承載IPv6路由，當路由反射器（RR）收到客戶機（Client）發(fā)布的路由時，默認會執(zhí)行以下哪項操作？（）A.向非客戶機鄰居發(fā)布該路由B.移除Origin屬性后轉發(fā)C.修改LocalPreference為100D.不修改任何路徑屬性直接反射答案：A3.某數(shù)據(jù)中心核心層部署華為CE6800系列交換機，需實現(xiàn)跨設備鏈路聚合（M-LAG）。以下關于M-LAG配置的關鍵步驟中，錯誤的是（）。A.兩端設備需配置相同的M-LAG域IDB.成員接口需加入Eth-Trunk并配置為靜態(tài)模式C.需通過心跳鏈路同步MAC地址表和ARP表D.心跳鏈路必須使用專用物理接口答案：D4.某企業(yè)分支通過IPSecVPN接入總部，采用主備鏈路（電信+聯(lián)通）冗余方案。當主鏈路故障時，需確保流量快速切換至備用鏈路。以下優(yōu)化措施中，最有效的是（）。A.配置BFDforIPSec，檢測間隔設為50msB.增大IPSecSA的生存周期（Lifetime）C.在分支路由器上配置策略路由，優(yōu)先選擇電信鏈路D.啟用NHRP協(xié)議實現(xiàn)動態(tài)路由發(fā)現(xiàn)答案：A5.某校園網出口部署華為USG6000系列防火墻，需對HTTPS流量進行深度內容檢測（DCIP）。以下配置步驟中，順序正確的是（）。①啟用SSL解密策略②配置證書信任列表（CTL）③定義應用識別策略④關聯(lián)安全策略A.②→①→③→④B.①→②→③→④C.③→①→②→④D.②→③→①→④答案：A6.某企業(yè)采用eSight網管平臺監(jiān)控網絡設備，發(fā)現(xiàn)某接入層交換機CPU利用率持續(xù)高于80%。通過日志分析，最可能的原因是（）。A.端口廣播風暴導致MAC地址表震蕩B.STP協(xié)議收斂時間過長C.設備風扇故障導致溫度過高D.SNMP輪詢頻率過低答案：A7.某運營商城域網部署MPLSL3VPN，客戶A的CE設備通過BGP與PE設備建立鄰居。若客戶A希望僅接收本VPN內的路由，PE設備需配置以下哪項功能？（）A.RouteTarget（RT）導入/導出策略B.BGP團體屬性（Community）過濾C.MPLSLDP標簽分發(fā)限制D.IP前綴列表（Prefix-List）過濾答案：A8.某企業(yè)分支網絡使用華為AR500系列路由器，需配置DHCPServer為終端分配IP地址。若要求地址池排除-0（含網關），正確的命令是（）。A.dhcpserverforbidden-ip0B.dhcpexclude-ip0C.dhcpserverexclude-ip0D.dhcpforbidden-ip0答案：C9.某數(shù)據(jù)中心采用“葉脊”架構（Spine-Leaf），葉交換機與脊交換機之間的鏈路聚合模式應優(yōu)先選擇（）。A.LACP動態(tài)聚合（ModeActive）B.靜態(tài)聚合（ModeStatic）C.鏈路聚合負載分擔（LACPPassive）D.手工負載分擔答案：B10.某企業(yè)網絡部署802.1X認證，接入交換機端口配置為“authentication-methoddot1x”。當終端未安裝802.1X客戶端時，最可能的現(xiàn)象是（）。A.終端獲取IP地址但無法訪問互聯(lián)網B.端口狀態(tài)保持為DownC.觸發(fā)MAC地址認證（MAB）作為fallbackD.交換機向終端推送Web認證頁面答案：C11.某運營商骨干網使用BGP作為核心路由協(xié)議，為避免路由環(huán)路，BGP路由器收到路由時會檢查以下哪個屬性？（）A.AS_PathB.OriginC.Local_PrefD.MED答案：A12.某企業(yè)園區(qū)網核心層交換機配置VRRP主備冗余，主設備優(yōu)先級為100，備設備為90。若主設備接口故障，備設備未搶占成為Master，可能的原因是（）。A.備設備未配置preempt模式B.主設備VRRP定時器（AdverInterval）設置過小C.備設備接口狀態(tài)為DownD.VRRP虛擬IP與接口IP不匹配答案：A13.某企業(yè)分支通過SD-WAN接入總部，需優(yōu)化視頻會議流量的傳輸質量。SD-WAN控制器應優(yōu)先調整以下哪項參數(shù)？（）A.鏈路帶寬利用率閾值B.視頻流量的QoS優(yōu)先級（DSCP）C.路由協(xié)議的Metric計算方式D.加密算法（AES-256→AES-128）答案：B14.某數(shù)據(jù)中心部署華為CloudFabric3.0解決方案，要求服務器流量在葉交換機間實現(xiàn)無阻塞轉發(fā)。葉交換機的上行帶寬總和與下行帶寬總和的比率應滿足（）。A.1:1（OverSubscription1:1）B.2:1（OverSubscription2:1）C.4:1（OverSubscription4:1）D.8:1（OverSubscription8:1）答案：A15.某企業(yè)網絡出現(xiàn)跨VLAN通信故障，接入層交換機VLAN間路由配置為“iprouting”，但無法ping通對端VLAN。通過檢查，發(fā)現(xiàn)交換機未配置（）。A.VLANIF接口IP地址B.ARP代理（ProxyARP）C.靜態(tài)路由指向核心層D.提供樹協(xié)議（STP）答案：A二、填空題（每題2分，共20分）1.華為交換機中，STP協(xié)議的端口狀態(tài)由Blocking→Listening→Learning→Forwarding的轉換過程中，Learning狀態(tài)的主要作用是__________。答案：學習MAC地址但不轉發(fā)數(shù)據(jù)2.BGP路由屬性中，__________屬性（TypeCode）用于標識路由的起源方式（IGP、EGP、Incomplete）。答案：Origin（類型碼1）3.MPLS網絡中，標簽棧的最大深度由設備內存和處理能力決定，華為設備默認支持的標簽棧深度為__________層。答案：324.華為eSight網管平臺中，設備拓撲發(fā)現(xiàn)的常用方式包括SNMP自動發(fā)現(xiàn)、__________和手工添加。答案：IP段掃描5.802.1Q協(xié)議中，VLAN標簽的長度為__________比特，其中VID字段占__________比特。答案：4；126.華為AR系列路由器中，PPP協(xié)議的LCP階段主要用于__________，NCP階段用于__________。答案：建立、配置和測試數(shù)據(jù)鏈路；協(xié)商網絡層協(xié)議（如IP）7.數(shù)據(jù)中心網絡中，ToR（TopofRack）交換機通常部署在__________層，連接服務器與__________層交換機。答案：接入；匯聚（或葉層；脊層）8.網絡流量監(jiān)控中，NetFlow的主要功能是__________，sFlow的主要特點是__________。答案：采集流量統(tǒng)計信息（或流量分析）；采樣轉發(fā)（或基于采樣的流量監(jiān)控）9.華為防火墻的安全策略默認動作為__________，NAT策略默認動作為__________。答案：拒絕（Deny）；不轉換（NoNAT）10.VRRP協(xié)議中，虛擬路由器的優(yōu)先級范圍是__________，其中__________表示設備停止參與VRRP。答案：0-255；0三、簡答題（每題8分，共40分）1.簡述企業(yè)園區(qū)網規(guī)劃的關鍵步驟及各步驟的核心內容。答案：①需求分析：明確用戶規(guī)模（終端數(shù)量）、業(yè)務類型（數(shù)據(jù)/語音/視頻）、性能要求（帶寬/延遲）、安全需求（訪問控制/加密）等；②邏輯設計：確定網絡架構（三層架構/扁平化）、IP地址規(guī)劃（VLAN劃分/子網分配）、路由協(xié)議選擇（OSPF/IS-IS）、冗余方案（VRRP/STP）；③物理設計：設備選型（核心/匯聚/接入層交換機型號）、鏈路規(guī)劃（光纖/銅纜類型、帶寬）、機房布局（設備位置/走線）；④安全設計：部署防火墻/IDS/ACL，制定訪問控制策略，規(guī)劃VPN/IPSec方案；⑤驗證測試：通過模擬環(huán)境（eNSP）測試連通性、冗余切換、QoS效果，優(yōu)化配置參數(shù)；⑥部署實施：按規(guī)劃完成設備安裝、配置下發(fā)，進行現(xiàn)場調測；⑦運維規(guī)劃：制定監(jiān)控方案（eSight/AgileController）、故障處理流程、定期巡檢計劃。2.某企業(yè)接入層交換機（華為S5735）與AP（華為AirEngine6760）連接的端口無法協(xié)商到1Gbps速率，可能的故障原因及排查步驟是什么？答案：可能原因：①網線故障（超五類線不支持1Gbps長距離傳輸、水晶頭接觸不良）；②交換機端口或AP網口硬件損壞；③端口速率/雙工模式強制配置不匹配（如交換機設為100M半雙工，AP設為自動協(xié)商）；④網線長度超過100米（銅纜1Gbps最大傳輸距離）；⑤端口被限速（QoS配置中限制了速率）。排查步驟：①檢查物理連接：更換網線（使用六類線）、測試水晶頭連通性（網線測試儀）；②查看端口狀態(tài)：執(zhí)行“displayinterfaceGigabitEthernet0/0/1”，確認當前速率和雙工模式（如顯示“Speed100,DuplexHalf”）；③檢查配置：執(zhí)行“displaycurrent-configurationinterfaceGigabitEthernet0/0/1”，確認是否有“speed100”或“duplexhalf”的強制配置，若有則刪除并重啟協(xié)商；④測試短距離連接：將AP直接連接到交換機其他端口（如已知正常的端口），驗證是否恢復1Gbps；⑤檢查硬件：通過“displaydevicestatus”查看端口是否有“Fault”告警，必要時更換交換機端口或AP網口模塊。3.簡述BGP路由選路的主要原則（按優(yōu)先級從高到低排列）。答案：BGP選路規(guī)則（優(yōu)先級由高到低）：①優(yōu)選具有可達下一跳的路由；②優(yōu)選本地優(yōu)先級（Local_Pref）更高的路由；③優(yōu)選起源于本地（OriginatedLocally）的路由（通過network或aggregate命令注入）；④優(yōu)選AS路徑（AS_Path）長度更短的路由；⑤優(yōu)選起源類型（Origin）更優(yōu)的路由（IGP<EGP<Incomplete）；⑥優(yōu)選MED（Multi-ExitDiscriminator）更小的路由（僅在同AS鄰居間比較）；⑦優(yōu)選EBGP路由（EBGP>IBGP）；⑧優(yōu)選下一跳IGPMetric更小的路由；⑨優(yōu)選ClusterList更短的路由（路由反射場景）；⑩優(yōu)選RouterID更小的路由（若為路由反射，比較反射器的RouterID；否則比較鄰居的RouterID）。4.數(shù)據(jù)中心網絡架構設計中，“葉脊”（Spine-Leaf）架構相比傳統(tǒng)三層架構的優(yōu)勢有哪些？答案：①低延遲：服務器流量通過葉交換機直接連接脊交換機，減少轉發(fā)跳數(shù)（傳統(tǒng)三層架構需經接入→匯聚→核心，葉脊架構僅需葉→脊）；②高帶寬：葉交換機與脊交換機全連接（Clos架構），提供無阻塞帶寬（帶寬總和=葉交換機數(shù)量×單鏈路帶寬）；③易擴展：通過增加葉/脊交換機即可線性擴展容量，無需復雜的路由協(xié)議調優(yōu)；④自動化支持：適合SDN控制器集中管理（如華為CloudFabric），實現(xiàn)快速業(yè)務發(fā)放和流量調度；⑤故障隔離：單臺葉/脊交換機故障僅影響部分服務器，不影響整體網絡連通性；⑥簡化運維：路由協(xié)議（如eBGP）在葉脊間運行，避免復雜的STP或VRRP配置。5.某企業(yè)網絡出現(xiàn)全網丟包，通過流量監(jiān)控發(fā)現(xiàn)ICMP請求包（Ping）正常，但TCP連接建立成功率低。可能的故障原因及排查方法是什么？答案：可能原因：①防火墻或ACL攔截了TCPSYN包（如未放行特定端口的SYN請求）；②TCPMSS（最大段長度）協(xié)商失?。∕TU過大導致分片，中間設備不支持IP分片）；③網絡中存在TCP會話劫持或攻擊（如SYNFlood）；④設備內存或CPU資源不足（處理TCP連接請求超時）；⑤傳輸鏈路存在誤碼（物理層問題導致TCP報文校驗失?。?。排查方法：①檢查防火墻策略：使用“displayfirewallsessiontable”查看TCP會話狀態(tài)，確認是否有SYN包被丟棄；②測試MTU：通過“ping-s1472”（假設IP頭20字節(jié)，TCP頭20字節(jié)，MTU=1500）測試路徑MTU，若失敗則調整MTU或開啟DF（Don’tFragment）位；③分析流量特征：使用Wireshark捕獲TCP握手報文，查看是否有重復SYN、RST或ACK異常（如SYN包無響應，或收到異常RST）；④監(jiān)控設備資源：通過“displaycpu-usage”和“displaymemory”檢查設備CPU/內存利用率，確認是否因資源不足導致會話建立失敗；⑤測試物理鏈路：使用“l(fā)oopback”測試或光功率計檢查光纖鏈路質量（如光衰超過設備接收靈敏度），銅纜鏈路檢查是否有串擾或接地問題。四、綜合題（每題15分，共30分）1.某企業(yè)計劃將北京、上海、廣州三個分支通過SD-WAN接入總部（深圳），要求：分支用戶數(shù)：北京200人，上海150人，廣州100人；業(yè)務類型：OA系統(tǒng)（HTTP/HTTPS）、視頻會議（UDP50000-50050）、文件共享（SMB/CIFS）；可靠性要求：主備鏈路（電信+聯(lián)通），切換時間<50ms；安全要求：分支到總部流量必須加密，禁止分支間直接互訪。請設計SD-WAN解決方案，包括：（1）設備選型建議（分支/總部）；（2）鏈路規(guī)劃與QoS策略；（3）安全策略設計；（4）冗余切換優(yōu)化措施。答案：（1）設備選型：分支：北京選用華為AR6310（支持雙WAN口、SD-WAN智能選路，帶機量300+）；上海/廣州選用AR5310（帶機量200+）；總部：部署華為NE5000E（核心路由器）+USG6650（防火墻）+AgileController-Campus（SD-WAN控制器），負責集中管理和策略下發(fā)。（2）鏈路規(guī)劃與QoS：鏈路帶寬：北京主鏈路（電信）100Mbps，備鏈路（聯(lián)通）50Mbps；上海主80Mbps，備40Mbps；廣州主50Mbps，備30Mbps（按用戶數(shù)×單用戶帶寬1Mbps估算）；QoS策略：在SD-WAN控制器中定義應用優(yōu)先級，視頻會議（UDP50000-50050）標記為DSCPAF41（優(yōu)先級4），OA系統(tǒng)（HTTP/HTTPS）標記為AF21（優(yōu)先級2），文件共享（SMB）標記為AF11（優(yōu)先級1）；流量調度：視頻會議流量強制走主鏈路（電信，低延遲），OA和文件共享根據(jù)鏈路質量（延遲、丟包）動態(tài)選路。（3）安全策略設計：加密：分支與總部間建立IPSecVPN（主用AES-256，備用AES-128），使用IKEv2協(xié)商SA，配置PFS（DHGroup14）增強安全性；訪問控制：在總部防火墻配置安全策略，僅允許分支到總部的特定端口（HTTP80/HTTPS443、視頻會議UDP50000-50050、SMB445），禁止分支間IP通信（通過源/目的IP地址過濾）；身份認證：分支路由器通過PSK（預共享密鑰）+數(shù)字證書（總部CA簽發(fā)）雙向認證，防止非法設備接入。（4）冗余切換優(yōu)化：BFD聯(lián)動：在主備鏈路上啟用BFDforIP，檢測間隔設為50ms，最小收報間隔50ms，檢測倍數(shù)3（總切換時間<150ms）；鏈路健康檢查：SD-WAN控制器定期探測鏈路的延遲、丟包率、抖動，主鏈路連續(xù)3次探測失敗后觸發(fā)切換；流量快速收斂：啟用ECMP（等價多路徑）結合智能選路，切換時通過路由協(xié)議（如BGP）快速更新路由表，避免流量中斷。2.某高校校園網核心層由兩臺華為CE12800交換機（Core1/Core2）組成，采用VRRP主備冗余（Master為Core1）。近期出現(xiàn)以下故障現(xiàn)象：終端訪問圖書館服務器（IP：00）時，偶發(fā)延遲（500ms-2s）；Core1的G0/0/1接口（連接匯聚層SwitchA）的入方向流量突發(fā)增大（峰值2Gbps，接口帶寬10Gbps）；查看Core1的ARP表，發(fā)現(xiàn)00的MAC地址頻繁變化（每5分鐘更新一次）。請分析可能的故障原因，并設計排查與解決步驟。答案：可能原因分析：①圖書館服務器的網卡故障（如MAC地址自環(huán)或驅動異常，導致頻繁更新MAC地址）；②匯聚層SwitchA與Core1的鏈路存在環(huán)路（STP未正確阻斷冗余鏈路，導致MAC地址震蕩）；③網絡中存在ARP欺騙攻擊（非法設備偽造圖書館服務器的MAC地址，發(fā)送ARPReply）；④圖書館服務器接入的接入層交換機端口配置錯誤（如端口安全使能，導致MAC地址頻繁解綁）；⑤Core1的MAC地址表老化時間過短（默認300秒，但可能被手動調整），導致正常MAC地址被提前老化。排查與解決步驟：（1）定位MAC地址變化源：在Core1上執(zhí)行“displaymac-address00”，查看MAC地址對應的接口（如G0/0/1下的SwitchA）；登錄SwitchA，執(zhí)行“displaymac-address00”，追蹤到具體的接入層交換機（如Access1的G0/0/5）；登錄Access1，檢查G0/0/5端口的MAC地址學習情況（“displaymac-addressinterfaceGigabitEthernet0/0/5”），確認是否有頻繁的MAC地址更新日志（通過“displaylogbuffer”查看）。（2）驗證鏈路環(huán)路：檢查SwitchA的STP狀態(tài)（“displaystpbr