2025年軟考網(wǎng)絡(luò)工程師最終試題與答案一、單項(xiàng)選擇題（每題2分，共20分）1.在OSI參考模型中，負(fù)責(zé)將上層數(shù)據(jù)封裝成幀并進(jìn)行差錯(cuò)檢測(cè)的是（）。A.物理層B.數(shù)據(jù)鏈路層C.網(wǎng)絡(luò)層D.傳輸層答案：B解析：數(shù)據(jù)鏈路層的主要功能是將網(wǎng)絡(luò)層的數(shù)據(jù)包封裝成幀，通過(guò)MAC地址實(shí)現(xiàn)相鄰節(jié)點(diǎn)間的可靠傳輸，并進(jìn)行CRC差錯(cuò)校驗(yàn)。2.某企業(yè)分配到IP地址段/24，需劃分6個(gè)子網(wǎng)，每個(gè)子網(wǎng)至少30臺(tái)主機(jī)，最合適的子網(wǎng)掩碼是（）。A.92B.24C.40D.48答案：B解析：6個(gè)子網(wǎng)需至少3位主機(jī)位（23=8≥6），剩余主機(jī)位5位（2?-2=30），因此子網(wǎng)掩碼為/27（24）。3.關(guān)于OSPF協(xié)議的描述，錯(cuò)誤的是（）。A.采用Dijkstra算法計(jì)算最短路徑B.區(qū)域0是骨干區(qū)域，所有非骨干區(qū)域必須與區(qū)域0相連C.路由器通過(guò)LSA（鏈路狀態(tài)廣告）交換網(wǎng)絡(luò)拓?fù)湫畔.默認(rèn)情況下，OSPFv2支持IPv6路由答案：D解析：OSPFv2僅支持IPv4，OSPFv3支持IPv6。4.交換機(jī)端口配置命令“switchportmodetrunk”的作用是（）。A.將端口設(shè)置為接入模式，只能屬于一個(gè)VLANB.將端口設(shè)置為匯聚模式，實(shí)現(xiàn)鏈路冗余C.將端口設(shè)置為中繼模式，傳輸多個(gè)VLAN的流量D.將端口設(shè)置為動(dòng)態(tài)協(xié)商模式，自動(dòng)匹配鏈路類(lèi)型答案：C解析：Trunk端口用于連接交換機(jī)或路由器，允許傳輸多個(gè)VLAN的標(biāo)記幀。5.以下不屬于網(wǎng)絡(luò)層攻擊的是（）。A.ARP欺騙B.IP分片攻擊C.ICMP洪水攻擊D.IP源路由攻擊答案：A解析：ARP欺騙發(fā)生在數(shù)據(jù)鏈路層，通過(guò)偽造MAC地址干擾ARP緩存。6.在MPLSVPN中，PE路由器的主要功能是（）。A.連接不同VPN的用戶(hù)端設(shè)備B.維護(hù)公網(wǎng)路由并轉(zhuǎn)發(fā)MPLS標(biāo)簽報(bào)文C.為VPN用戶(hù)分配私網(wǎng)IP地址D.實(shí)現(xiàn)私網(wǎng)路由與公網(wǎng)標(biāo)簽的映射答案：D解析：PE（ProviderEdge）路由器負(fù)責(zé)將用戶(hù)側(cè)的私網(wǎng)路由轉(zhuǎn)換為公網(wǎng)MPLS標(biāo)簽，是MPLSVPN的核心節(jié)點(diǎn)。7.802.11ax（Wi-Fi6）相比802.11ac的關(guān)鍵改進(jìn)是（）。A.支持2.4GHz和5GHz雙頻B.采用OFDM技術(shù)C.引入MU-MIMO（多用戶(hù)多輸入多輸出）D.最大理論速率提升至300Mbps答案：C解析：Wi-Fi6通過(guò)MU-MIMO技術(shù)實(shí)現(xiàn)同一時(shí)間與多個(gè)設(shè)備通信，提升網(wǎng)絡(luò)效率。8.以下SNMP版本中，支持加密和認(rèn)證的是（）。A.SNMPv1B.SNMPv2cC.SNMPv3D.以上均不支持答案：C解析：SNMPv3增加了USM（用戶(hù)安全模型）和VACM（視圖訪問(wèn)控制模型），支持認(rèn)證和加密。9.某網(wǎng)絡(luò)中，路由器R1的路由表如下：Destination|Gateway|Interface/24||Eth0/8||Eth1/0||Eth2當(dāng)R1收到目的IP為的數(shù)據(jù)包時(shí)，將通過(guò)（）轉(zhuǎn)發(fā)。A.Eth0B.Eth1C.Eth2D.丟棄答案：B解析：最長(zhǎng)前綴匹配原則，屬于/8，匹配第二條路由，通過(guò)Eth1轉(zhuǎn)發(fā)。10.關(guān)于BGP協(xié)議的描述，正確的是（）。A.用于自治系統(tǒng)（AS）內(nèi)部的路由選擇B.通過(guò)發(fā)送Hello包建立鄰居關(guān)系C.支持路由策略（RoutePolicy）實(shí)現(xiàn)路由過(guò)濾和屬性修改D.默認(rèn)情況下，BGP會(huì)自動(dòng)發(fā)布所有直連路由答案：C解析：BGP是外部網(wǎng)關(guān)協(xié)議（EGP），通過(guò)TCP179端口建立鄰居，需手動(dòng)配置路由發(fā)布，支持路由策略控制路由傳播。二、簡(jiǎn)答題（每題6分，共30分）1.簡(jiǎn)述STP（提供樹(shù)協(xié)議）的工作原理及主要作用。答案：STP通過(guò)在交換網(wǎng)絡(luò)中選舉根橋、根端口、指定端口，阻塞冗余端口，消除環(huán)路。主要步驟：①選舉根橋（BridgeID最小）；②各非根橋選舉到根橋的最短路徑的根端口；③每個(gè)網(wǎng)段選舉離根橋最近的指定端口；④阻塞既非根端口也非指定端口的冗余端口。作用是防止廣播風(fēng)暴、避免MAC地址表震蕩，保證網(wǎng)絡(luò)冗余的同時(shí)消除環(huán)路。2.列舉IPv6相比IPv4的主要優(yōu)勢(shì)（至少4點(diǎn)）。答案：①地址空間極大（128位地址），解決IPv4地址枯竭問(wèn)題；②簡(jiǎn)化報(bào)頭（固定40字節(jié)），提高轉(zhuǎn)發(fā)效率；③內(nèi)置IPSec，支持端到端安全；④支持自動(dòng)配置（無(wú)狀態(tài)地址自動(dòng)配置SLAAC）；⑤取消廣播，采用組播和任播；⑥支持QoS（流標(biāo)簽字段）。3.說(shuō)明ACL（訪問(wèn)控制列表）的分類(lèi)及應(yīng)用場(chǎng)景。答案：ACL分為標(biāo)準(zhǔn)ACL（僅基于源IP地址，編號(hào)1-99/1300-1999）和擴(kuò)展ACL（基于源/目的IP、端口、協(xié)議類(lèi)型，編號(hào)100-199/2000-2699）。標(biāo)準(zhǔn)ACL通常用于過(guò)濾源地址，應(yīng)用在離目標(biāo)較近的位置；擴(kuò)展ACL可精細(xì)控制流量，應(yīng)用在離源較近的位置（如路由器入口）。例如：禁止某IP訪問(wèn)內(nèi)網(wǎng)（標(biāo)準(zhǔn)ACL）、限制HTTP流量?jī)H允許特定IP訪問(wèn)（擴(kuò)展ACL）。4.簡(jiǎn)述OSPF多區(qū)域設(shè)計(jì)的意義及區(qū)域類(lèi)型（至少3種）。答案：多區(qū)域設(shè)計(jì)可減少LSA泛洪范圍，降低路由計(jì)算復(fù)雜度，提高網(wǎng)絡(luò)擴(kuò)展性。區(qū)域類(lèi)型包括：①骨干區(qū)域（區(qū)域0），連接所有非骨干區(qū)域；②標(biāo)準(zhǔn)區(qū)域（常規(guī)區(qū)域，允許接收LSA1-5）；③Stub區(qū)域（不接收外部路由LSA5，用默認(rèn)路由代替）；④完全Stub區(qū)域（不接收LSA3、4、5，僅接收默認(rèn)路由）；⑤NSSA區(qū)域（允許注入外部路由，但以LSA7形式傳播）。5.列舉無(wú)線局域網(wǎng)（WLAN）常見(jiàn)的安全技術(shù)（至少4種），并說(shuō)明WPA3相比WPA2的改進(jìn)。答案：常見(jiàn)安全技術(shù)：WEP（已淘汰，靜態(tài)密鑰易破解）、WPA（TKIP加密）、WPA2（AES加密+CCMP）、WPA3（SAE認(rèn)證+128位AES）、802.1X（基于端口的認(rèn)證）。WPA3改進(jìn)：①使用SAE（安全平等認(rèn)證）替代PSK，防止離線字典攻擊；②支持192位AES加密（增強(qiáng)版）；③個(gè)人模式下強(qiáng)制使用SAE，企業(yè)模式支持EAP協(xié)議；④支持Opportunisticwirelessencryption（OWE），提供開(kāi)放網(wǎng)絡(luò)的加密傳輸。三、計(jì)算題（每題10分，共30分）1.某企業(yè)有三個(gè)部門(mén)：研發(fā)部（60臺(tái)主機(jī)）、銷(xiāo)售部（30臺(tái)主機(jī)）、財(cái)務(wù)部（20臺(tái)主機(jī)），分配到公網(wǎng)IP段/24。要求：①按部門(mén)劃分子網(wǎng)，子網(wǎng)間路由通過(guò)路由器實(shí)現(xiàn)；②每個(gè)子網(wǎng)需保留至少10%的可用地址空間；③寫(xiě)出各子網(wǎng)的網(wǎng)絡(luò)地址、子網(wǎng)掩碼、可用IP范圍、廣播地址。答案：研發(fā)部需≥60×1.1=66臺(tái)主機(jī)，主機(jī)位需7位（2?-2=126≥66），子網(wǎng)掩碼/25（28）。子網(wǎng)1：/25可用IP：-26廣播地址：27銷(xiāo)售部需≥30×1.1=33臺(tái)主機(jī)，主機(jī)位需6位（2?-2=62≥33），子網(wǎng)掩碼/26（92）。子網(wǎng)2：28/26（下一個(gè)可用子網(wǎng)）可用IP：29-90廣播地址：91財(cái)務(wù)部需≥20×1.1=22臺(tái)主機(jī)，主機(jī)位需5位（2?-2=30≥22），子網(wǎng)掩碼/27（24）。子網(wǎng)3：92/27可用IP：93-22廣播地址：23剩余地址：24/27（保留或擴(kuò)展用）。2.某網(wǎng)絡(luò)拓?fù)淙缦拢篟outerA（Fa0/0:/24）連接內(nèi)網(wǎng)，F(xiàn)a0/1:/30連接RouterB；RouterB（Fa0/0:/30）連接RouterA，F(xiàn)a0/1:/24連接公網(wǎng)。要求：①配置RouterA的默認(rèn)路由指向RouterB；②配置RouterB的靜態(tài)路由，使公網(wǎng)/24能訪問(wèn)內(nèi)網(wǎng)/24；③寫(xiě)出具體命令（假設(shè)所有接口已激活）。答案：RouterA配置默認(rèn)路由：RouterA(config)iprouteRouterB配置靜態(tài)路由：RouterB(config)iproute驗(yàn)證：RouterB的公網(wǎng)接口作為網(wǎng)關(guān)，當(dāng)公網(wǎng)主機(jī)訪問(wèn)/24時(shí)，RouterB通過(guò)靜態(tài)路由將流量轉(zhuǎn)發(fā)至RouterA的接口，最終到達(dá)內(nèi)網(wǎng)。3.某交換機(jī)VLAN配置如下：VLAN10（研發(fā)部）、VLAN20（銷(xiāo)售部）、VLAN30（財(cái)務(wù)部），要求實(shí)現(xiàn)VLAN間路由。交換機(jī)為三層交換機(jī)，G0/1連接路由器（單臂路由方式），G0/2-G0/10為VLAN10接入端口，G0/11-G0/20為VLAN20接入端口，G0/21-G0/24為VLAN30接入端口。寫(xiě)出交換機(jī)和路由器的關(guān)鍵配置命令（假設(shè)路由器接口為Fa0/0）。答案：交換機(jī)配置：Switch(config)vlan10Switch(config-vlan)nameR&DSwitch(config-vlan)exit（同理配置VLAN20、30）Switch(config)interfacerangeg0/2-10Switch(config-if-range)switchportmodeaccessSwitch(config-if-range)switchportaccessvlan10（同理配置G0/11-20為VLAN20，G0/21-24為VLAN30）Switch(config)interfaceg0/1Switch(config-if)switchportmodetrunkSwitch(config-if)switchporttrunkallowedvlan10,20,30路由器配置（單臂路由）：Router(config)interfacefa0/0Router(config-if)noshutdownRouter(config-if)exitRouter(config)interfacefa0/0.10Router(config-subif)encapsulationdot1Q10Router(config-subif)ipaddressRouter(config-subif)exitRouter(config)interfacefa0/0.20Router(config-subif)encapsulationdot1Q20Router(config-subif)ipaddressRouter(config-subif)exitRouter(config)interfacefa0/0.30Router(config-subif)encapsulationdot1Q30Router(config-subif)ipaddress（注：若使用三層交換機(jī)實(shí)現(xiàn)VLAN間路由，可直接為VLAN創(chuàng)建SVI接口并配置IP，無(wú)需單臂路由。）四、綜合分析題（20分）某企業(yè)總部位于北京，分支位于上海、廣州，要求構(gòu)建滿足以下需求的網(wǎng)絡(luò)：（1）總部與分支通過(guò)廣域網(wǎng)互聯(lián)，要求高可靠性、支持QoS、可管理流量成本；（2）總部?jī)?nèi)網(wǎng)劃分VLAN100（服務(wù)器區(qū)）、VLAN200（辦公區(qū)）、VLAN300（訪客區(qū)），訪客區(qū)僅允許訪問(wèn)公網(wǎng)，禁止訪問(wèn)內(nèi)部服務(wù)器和辦公區(qū)；（3）無(wú)線覆蓋要求：辦公區(qū)支持雙頻（2.4GHz+5GHz）、無(wú)縫漫游，AP管理采用集中式（AC+瘦AP）；（4）網(wǎng)絡(luò)安全要求：部署防火墻，實(shí)現(xiàn)邊界防護(hù)；關(guān)鍵服務(wù)器（如OA、郵件）部署在DMZ區(qū)，限制僅允許特定IP訪問(wèn)；（5）網(wǎng)絡(luò)管理要求：通過(guò)SNMPv3監(jiān)控全網(wǎng)設(shè)備，采集CPU、內(nèi)存、流量等指標(biāo)，支持告警聯(lián)動(dòng)。請(qǐng)?jiān)O(shè)計(jì)網(wǎng)絡(luò)拓?fù)洳?xiě)出關(guān)鍵設(shè)備配置思路。答案：1.網(wǎng)絡(luò)拓?fù)湓O(shè)計(jì)：核心層：總部部署核心交換機(jī)（三層），連接防火墻、廣域網(wǎng)路由器、無(wú)線AC控制器；接入層：總部接入交換機(jī)連接辦公區(qū)、服務(wù)器區(qū)、訪客區(qū)終端，通過(guò)VLAN隔離；廣域網(wǎng)：總部與分支通過(guò)MPLSVPN互聯(lián)（高可靠性），備用鏈路采用IPSecVPN（成本控制）；安全區(qū)：防火墻劃分內(nèi)網(wǎng)（信任區(qū)）、DMZ（非軍事化區(qū)）、公網(wǎng)（非信任區(qū)），DMZ部署OA、郵件服務(wù)器；無(wú)線覆蓋：辦公區(qū)部署雙頻瘦AP，通過(guò)PoE交換機(jī)供電，AC集中管理AP配置、漫游策略。2.關(guān)鍵配置思路：（1）廣域網(wǎng)互聯(lián)：總部路由器配置MPLSVPN，與運(yùn)營(yíng)商PE路由器建立BGP鄰居，發(fā)布總部?jī)?nèi)網(wǎng)路由（/8）；分支路由器同樣配置MPLSVPN，通過(guò)BGP接收總部路由，備用IPSecVPN配置IKEv2協(xié)商、ESP加密；QoS配置：在廣域網(wǎng)接口定義流量分類(lèi)（如語(yǔ)音、視頻、數(shù)據(jù)），為語(yǔ)音流量分配高優(yōu)先級(jí)（DSCPEF），限制訪客流量帶寬。（2）VLAN與訪問(wèn)控制：核心交換機(jī)為VLAN100（/24）、VLAN200（/24）、VLAN300（/24）創(chuàng)建SVI接口，配置IP地址作為網(wǎng)關(guān)；訪客區(qū)（VLAN300）配置擴(kuò)展ACL：access-list101denyip5555access-list101denyip5555access-list101pe