計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)考試試題及答案一、單項(xiàng)選擇題（每題2分，共30分）1.某校園網(wǎng)采用分層設(shè)計(jì)，核心層交換機(jī)與匯聚層交換機(jī)之間運(yùn)行OSPFv3，管理員在核心設(shè)備上執(zhí)行showipv6ospfneighbor后發(fā)現(xiàn)鄰居狀態(tài)長(zhǎng)期停留在2-Way，最可能的原因是A.兩端AreaID不一致B.兩端Router-ID沖突C.兩端Hello間隔不同D.兩端網(wǎng)絡(luò)類型被手動(dòng)改為Point-to-Point【答案】B【解析】OSPFv3鄰居停留在2-Way表明雙方都能收到Hello，但DR選舉失敗。若Router-ID重復(fù)，鄰居表無法區(qū)分兩臺(tái)設(shè)備，導(dǎo)致選舉異常，狀態(tài)無法進(jìn)入ExStart。2.主機(jī)A使用無線局域網(wǎng)發(fā)送一個(gè)長(zhǎng)度為1500字節(jié)的IP數(shù)據(jù)報(bào)，經(jīng)802.11nMAC層封裝時(shí)，需要添加34字節(jié)的MAC頭與4字節(jié)FCS，若此時(shí)采用A-MSDU聚合，最大可聚合子幀數(shù)為（假設(shè)每個(gè)子幀需添加14字節(jié)子頭）A.42B.44C.46D.48【答案】C【解析】802.11n規(guī)定A-MSDU最大長(zhǎng)度為7935字節(jié)。設(shè)子幀數(shù)為n，則總長(zhǎng)度為n×(1500+14)≤7935，解得n≤46.1，向下取整46。3.某公司出口路由器運(yùn)行BGP，收到兩條前綴/24的路由，本地優(yōu)先級(jí)分別為200與150，MED分別為30與20，AS-Path長(zhǎng)度分別為2與3，則路由器最終選擇的最佳路由依據(jù)的先后順序是A.本地優(yōu)先級(jí)→MED→AS-PathB.本地優(yōu)先級(jí)→AS-Path→MEDC.AS-Path→MED→Router-IDD.MED→本地優(yōu)先級(jí)→AS-Path【答案】B【解析】BGP選路規(guī)則：先比本地優(yōu)先級(jí)，大者勝；再比AS-Path長(zhǎng)度，短者勝；最后比MED，小者勝。4.在Linux系統(tǒng)中，管理員輸入iprouteadd/24viadeveth1mtu1400，該命令生成的路由條目屬于A.主機(jī)路由B.網(wǎng)絡(luò)路由C.默認(rèn)路由D.策略路由【答案】B【解析】/24為網(wǎng)絡(luò)前綴，非單一主機(jī)，也非/0，故為網(wǎng)絡(luò)路由。5.某數(shù)據(jù)中心采用VXLAN構(gòu)建大二層，VNI為6000，外層UDP目的端口為4789，若底層IP網(wǎng)絡(luò)MTU為1500字節(jié)，則VXLAN內(nèi)層主機(jī)可安全傳輸?shù)淖畲骉CP載荷為A.1414B.1418C.1422D.1438【答案】A【解析】1500-20(IP)-8(UDP)-8(VXLAN)-14(Ethernet)=1414，TCP載荷再減20字節(jié)TCP頭即為1394，但題目問的是“TCP載荷”本身，故取1414。6.在SNMPv3中，用戶alice采用authPriv模式，認(rèn)證算法為SHA-1，加密算法為AES-128，則其安全級(jí)別對(duì)應(yīng)的數(shù)值為A.noAuthNoPrivB.authNoPrivC.authPrivD.3【答案】C【解析】SNMPv3安全級(jí)別分為三類，authPriv為最高，含認(rèn)證與加密。7.某企業(yè)部署IPv6，采用SLAAC方式給終端分配地址，前綴為2001:db8:acbd::/64，終端MAC地址為00-0c-29-78-9a-bc，則其生成的全球單播地址中接口ID為A.020c:29ff:fe78:9abcB.0a2c:29ff:fe78:9abcC.020c:2978:9abc:0000D.0a2c:2978:9abc:0000【答案】A【解析】MAC中間插入fffe，首字節(jié)第7位取反，00→02，故為020c:29ff:fe78:9abc。8.某DNS服務(wù)器采用DNSSEC，資源記錄RRSIG的簽名算法字段值為13，則對(duì)應(yīng)的算法名稱是A.RSA/SHA-256B.ECDSA/P-256/SHA-256C.ECDSA/P-384/SHA-384D.Ed25519【答案】B【解析】算法編號(hào)13對(duì)應(yīng)ECDSA曲線P-256，摘要SHA-256。9.在TCP擁塞控制中，發(fā)送端當(dāng)前擁塞窗口cwnd=20MSS，收到3個(gè)重復(fù)ACK后進(jìn)入快重傳，隨后cwnd與ssthresh的變化為A.cwnd=10,ssthresh=10B.cwnd=11,ssthresh=10C.cwnd=21,ssthresh=20D.cwnd=20,ssthresh=10【答案】B【解析】快重傳后ssthresh=cwnd/2=10，cwnd=ssthresh+3=13（部分教材）或立即置為ssthresh+3MSS，但Linux實(shí)現(xiàn)常直接置為ssthresh+3，故選B。10.某交換機(jī)支持IEEE802.1Qbv時(shí)間感知調(diào)度，一個(gè)周期為2000μs，其中隊(duì)列6被分配時(shí)隙400μs，若隊(duì)列6中某幀長(zhǎng)為1234字節(jié)，出口速率為1Gbps，則該幀能否在一個(gè)周期內(nèi)完整發(fā)出A.能B.不能C.取決于幀間隔D.取決于guardband【答案】B【解析】1234×8=9872bit，1Gbps下需9.872μs，遠(yuǎn)小于400μs，但802.1Qbv要求幀必須在分配時(shí)隙開始前已位于輸出隊(duì)列，且時(shí)隙邊界受guardband保護(hù)，若幀到達(dá)時(shí)隙邊界前未能完全發(fā)出，則必須等待下一周期，因此“不能”保證一定在本周期發(fā)出。11.在Python的scapy庫(kù)中，發(fā)送一個(gè)SYN端口掃描包并等待響應(yīng)，下列代碼片段正確的是A.sr1(IP(dst="")/TCP(dport=80,flags="S"))B.send(IP(dst="")/TCP(dport=80,flags="S"))C.sr(IP(dst="")/TCP(dport=80,flags="S"))D.srp(Ether()/IP(dst="")/TCP(dport=80,flags="S"))【答案】A【解析】sr1發(fā)送第三層數(shù)據(jù)包并等待第一個(gè)響應(yīng)，適合單端口掃描。12.某防火墻規(guī)則鏈中，第一條為允許established/related狀態(tài)，第二條為拒絕源/24，第三條為允許目的端口22，現(xiàn)從發(fā)起向外的SSH連接，結(jié)果A.允許B.拒絕C.匹配第三條D.無法判斷【答案】B【解析】向外SSH屬于NEW狀態(tài)，不匹配第一條；源地址匹配第二條被拒絕。13.在MPLS網(wǎng)絡(luò)中，標(biāo)簽分發(fā)協(xié)議LDP使用何種傳輸層協(xié)議A.TCP646B.UDP646C.TCP711D.UDP711【答案】A【解析】LDP使用TCP端口646建立鄰居。14.某企業(yè)采用802.1X認(rèn)證，認(rèn)證服務(wù)器返回的RADIUSAccess-Accept報(bào)文中包含Tunnel-Private-Group-ID=300，則終端最終被分配到A.VLAN300B.VXLANVNI300C.僅做審計(jì)，不切換VLAND.需本地交換機(jī)手動(dòng)配置【答案】A【解析】Tunnel-Private-Group-ID在802.1X中用于動(dòng)態(tài)VLAN分配，值為300即VLAN300。15.在Kubernetes集群中，Service類型為ClusterIP，kube-proxy采用IPVS模式，當(dāng)客戶端Pod訪問Service時(shí)，數(shù)據(jù)包首次命中IPVS規(guī)則后，目標(biāo)MAC地址為A.客戶端Pod所在網(wǎng)卡的MACB.Service虛擬IP對(duì)應(yīng)的虛擬MACC.后端Pod所在節(jié)點(diǎn)的MACD.網(wǎng)關(guān)MAC【答案】C【解析】IPVS在節(jié)點(diǎn)內(nèi)核中完成DNAT，數(shù)據(jù)包仍需經(jīng)二層轉(zhuǎn)發(fā)到目標(biāo)節(jié)點(diǎn)，故目的MAC為后端Pod所在節(jié)點(diǎn)的MAC。二、多項(xiàng)選擇題（每題3分，共30分，多選少選均不得分）16.下列關(guān)于HTTP/2的描述正確的有A.使用二進(jìn)制分幀B.默認(rèn)啟用TLSC.支持服務(wù)器推送D.使用文本格式頭部【答案】A、C【解析】HTTP/2采用二進(jìn)制分幀層，支持服務(wù)器推送；TLS非強(qiáng)制，頭部采用HPACK壓縮，非文本。17.某網(wǎng)絡(luò)運(yùn)行IS-IS協(xié)議，區(qū)域劃分為L(zhǎng)evel-1與Level-2，下列LSA類型中屬于Level-1的有A.LSPB.CSNPC.PSNPD.IIH【答案】A、B、C、D【解析】IS-IS使用LSP、CSNP、PSNP、IIH報(bào)文，均可在Level-1出現(xiàn)。18.下列關(guān)于RAID10與RAID01的區(qū)別，正確的有A.RAID10先鏡像后條帶B.RAID01允許兩塊盤同時(shí)損壞而不丟數(shù)據(jù)C.RAID10的容錯(cuò)能力高于RAID01D.RAID01的寫性能高于RAID10【答案】A、C【解析】RAID10先鏡像后條帶，允許每組壞一塊盤；RAID01先條帶后鏡像，任一鏡像對(duì)壞兩塊即失效，容錯(cuò)低于RAID10。19.在Wireshark中，過濾表達(dá)式“tcp.analysis.retransmission”可捕獲A.超時(shí)重傳B.快速重傳C.SACK重傳D.虛假重傳【答案】A、B、C【解析】Wireshark將超時(shí)、快速、SACK重傳均標(biāo)記為retransmission，虛假重傳標(biāo)記為spurious。20.某SD-WAN方案采用IPsec隧道，使用IKEv2，下列加密套件中支持PFS的有A.AES-256-GCM-SHA384B.AES-256-CBC-SHA256-DH20C.AES-128-GCM-SHA256-ECP256D.CHACHA20-POLY1305【答案】B、C【解析】帶DH或ECP的套件提供PFS，A與D未顯式指定密鑰交換算法。21.下列關(guān)于IPv6任播地址的說法正確的有A.一個(gè)任播地址可分配給多個(gè)接口B.發(fā)往任播地址的包會(huì)被送達(dá)最近節(jié)點(diǎn)C.任播地址與單播地址格式相同D.任播地址不能作為源地址【答案】A、B、C、D【解析】IPv6任播地址格式與單播無法區(qū)分，僅通過配置聲明為任播，不能作為源地址。22.某數(shù)據(jù)中心采用Spine-Leaf架構(gòu)，Leaf交換機(jī)運(yùn)行MLAG，下列關(guān)于MLAG的說法正確的有A.兩臺(tái)Leaf呈現(xiàn)同一MAC地址B.需運(yùn)行STP阻塞環(huán)路C.支持上行鏈路負(fù)載均衡D.控制層面需同步轉(zhuǎn)發(fā)表【答案】A、C、D【解析】MLAG無需STP，通過動(dòng)態(tài)同步MAC與ARP，實(shí)現(xiàn)雙活。23.下列關(guān)于CNAME記錄的說法正確的有A.可指向另一CNAMEB.最終必須解析到A或AAAA記錄C.在DNS響應(yīng)中可與A記錄同包返回D.可用于郵件服務(wù)器負(fù)載均衡【答案】B、D【解析】CNAME鏈不宜過長(zhǎng)，最終需終止于A/AAAA；郵件MX可指向CNAME實(shí)現(xiàn)均衡。24.某防火墻支持深度包檢測(cè)，可識(shí)別下列哪些應(yīng)用特征A.TLSSNI字段B.HTTPHost頭C.DNS查詢名D.TCP端口號(hào)【答案】A、B、C、D【解析】DPI可綜合多維度特征識(shí)別應(yīng)用。25.在Pythonasyncio中，下列關(guān)于事件循環(huán)的說法正確的有A.一個(gè)線程只能運(yùn)行一個(gè)事件循環(huán)B.事件循環(huán)可運(yùn)行多個(gè)協(xié)程C.協(xié)程內(nèi)可嵌套新的事件循環(huán)D.事件循環(huán)可綁定到自定義選擇器【答案】A、B、D【解析】協(xié)程內(nèi)不應(yīng)嵌套新事件循環(huán)，會(huì)拋異常。三、判斷題（每題1分，共10分，正確打“√”，錯(cuò)誤打“×”）26.TCP的TIME_WAIT狀態(tài)僅出現(xiàn)在主動(dòng)關(guān)閉連接的一方?！敬鸢浮俊?7.802.11ax中OFDMA技術(shù)可將20MHz信道劃分為最多256個(gè)子載波?！敬鸢浮俊痢窘馕觥?0MHz下子載波數(shù)256，但可用數(shù)據(jù)子載波約234，并非全部分配。28.在Linux中，/proc/sys/net/ipv4/tcp_tw_reuse參數(shù)允許將TIME_WAIT套接字立即重新用于新連接?！敬鸢浮俊?9.BGP的Community屬性為可選可傳遞屬性?！敬鸢浮俊?0.在VXLAN中，VTEP必須學(xué)習(xí)遠(yuǎn)端VM的MAC地址，否則無法封裝二層幀。【答案】√31.SMTP協(xié)議使用MIME擴(kuò)展后，可直接傳輸二進(jìn)制文件而無需Base64編碼?！敬鸢浮俊痢窘馕觥縈IME仍推薦對(duì)8bit數(shù)據(jù)編碼以保證兼容性。32.在RAID5中，若兩塊盤同時(shí)損壞，陣列仍可正常運(yùn)行?！敬鸢浮俊?3.在IPv6中，鏈路本地地址以fe80::/10開頭?！敬鸢浮俊?4.使用Wireshark捕獲USB流量需加載usbmon內(nèi)核模塊?！敬鸢浮俊?5.在Kubernetes中，Ingress資源本身不提供負(fù)載均衡，僅定義規(guī)則。【答案】√四、填空題（每空2分，共20分）36.在TCP三次握手過程中，客戶端發(fā)送的第二個(gè)報(bào)文段標(biāo)志位為________與________?！敬鸢浮縎YN、ACK37.某IPv4地址3/28，其所在子網(wǎng)的廣播地址為________?！敬鸢浮?38.在RIPng中，路由跳數(shù)達(dá)到________即視為不可達(dá)?！敬鸢浮?639.在Linux中，查看當(dāng)前路由表的命令為________?！敬鸢浮縤proute40.某HTTPS站點(diǎn)采用HSTS，瀏覽器首次訪問時(shí)服務(wù)器返回的響應(yīng)頭中包含字段________?！敬鸢浮縎trict-Transport-Security41.在802.1Q中，VLANID字段共________位，最大可用VLAN數(shù)為________?！敬鸢浮?2、409442.在Python中，使用________庫(kù)可構(gòu)造與發(fā)送ICMP回顯請(qǐng)求?！敬鸢浮縮capy43.在MPLS標(biāo)簽頭中，TTL字段長(zhǎng)度為________字節(jié)。【答案】144.在Wireshark中，快捷鍵________可快速跟隨TCP流?！敬鸢浮緾trl+Alt+Shift+T45.在Kubernetes中，Service的虛擬IP又稱為________?！敬鸢浮緾lusterIP五、簡(jiǎn)答題（每題10分，共30分）46.描述SDN控制器通過OpenFlow1.3實(shí)現(xiàn)負(fù)載均衡的完整流程，包括交換機(jī)流表下發(fā)、Packet-In/Out交互及健康檢查機(jī)制?！敬鸢浮?.控制器預(yù)配置虛擬IP（VIP）與后端真實(shí)服務(wù)器池；2.交換機(jī)初始無匹配流，首包命中Table-Miss，上送Packet-In；3.控制器根據(jù)負(fù)載算法（如輪詢、加權(quán)最小連接）選擇后端RS，生成Flow-Mod：match=tcp_dst=VIP,action=set_field:RS_IP->ip_dst,set_field:RS_MAC->eth_dst,output:port；4.同時(shí)生成反向流：match=tcp_src=RS_IP,action=set_field:VIP->ip_src,set_field:VIP_MAC->eth_src,output:client_port；5.控制器定期向下發(fā)EchoRequest或TCPSYN，RS回應(yīng)則標(biāo)記UP，否則刪除對(duì)應(yīng)流表并觸發(fā)告警；6.若RS宕機(jī)，控制器立即下發(fā)Flow-Remove，并將新流量重定向至其他RS，實(shí)現(xiàn)無縫切換。47.闡述IPv6無狀態(tài)地址分配（SLAAC）與有狀態(tài)DHCPv6在DNS分配上的差異，并給出在CiscoIOS上如何強(qiáng)制終端僅使用DHCPv6獲取DNS?！敬鸢浮縎LAAC依賴RA報(bào)文中的RDNSS選項(xiàng)攜帶DNS地址，但Windows10早期版本不支持，兼容性差；DHCPv6可統(tǒng)一下發(fā)DNS、域名、SNTP。CiscoIOS配置：```interfaceg0/0ipv6ndmanaged-config-flagipv6ndother-config-flagipv6dhcppoolLANdns-server2001:4860:4860::8888domain-name```managed-config-flag置1，告知終端使用DHCPv6獲取全部信息；other-config-flag置1，確保DNS等額外信息由DHCPv6提供。48.說明TLS1.3相比TLS1.2在握手性能上的優(yōu)化，并給出在Nginx上啟用TLS1.3的完整配置片段?！敬鸢浮縏LS1.3將握手由2-RTT降為1-RTT，甚至0-RTT重連；廢除RSA密鑰交換，僅支持ECDHE，減少往返；加密全部握手消息，提升安全性。Nginx配置：```server{listen443sslhttp2;ssl_protocolsTLSv1.3;ssl_ciphersTLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256;ssl_prefer_server_ciphersoff;ssl_early_dataon;add_headerStrict-Transport-Security"max-age=63072000"always;}```需OpenSSL1.1.1+及Nginx1.13.0+支持。六、綜合應(yīng)用題（共30分）49.某企業(yè)網(wǎng)絡(luò)拓?fù)淙鐖D（文字描述）：出口兩臺(tái)防火墻FW1、FW2運(yùn)行VRRP，虛擬IP/24；內(nèi)網(wǎng)核心交換機(jī)SW1、SW2運(yùn)行OSPFArea0，下聯(lián)多對(duì)接入交換機(jī)；服務(wù)器區(qū)部署Web、DB，網(wǎng)關(guān)為SVI54/24；用戶區(qū)網(wǎng)關(guān)為SVI54/24；要求：a)用戶區(qū)僅允許訪問Web的TCP443，禁止訪問DB；b)服務(wù)器區(qū)默認(rèn)拒絕，僅允許用戶區(qū)443、運(yùn)維區(qū)SSH；c)出口雙活，故障切換<3秒；d)記錄所有丟棄日志。請(qǐng)給出：1.防火墻策略條目（以iptables格式示例，共10分）；2.VRRP配置關(guān)鍵片段（CiscoASA語法，5分）；3.核心交換機(jī)ACL示例（5分）；4.日志集中方案（5分）；5.故障驗(yàn)證步驟（5分）?！敬鸢浮?.防火墻策略（F