2026年計(jì)算機(jī)等級(jí)考試三級(jí)網(wǎng)絡(luò)技術(shù)筆試試題及答案1.（單選）在IPv6地址中，用于表示“本地鏈路單播”的前綴固定值為A.FE80::/10??B.FC00::/7??C.FF02::1??D.2001:DB8::/32答案：A解析：FE80::/10是IPv6本地鏈路地址的固定前綴，接口在啟用IPv6時(shí)會(huì)自動(dòng)生成該地址，用于同一二層域內(nèi)的鄰居發(fā)現(xiàn)與無(wú)路由通信。FC00::/7屬于唯一本地地址（ULA），F(xiàn)F02::1是鏈路本地所有節(jié)點(diǎn)組播，2001:DB8::/32是文檔地址，均不符合題意。2.（單選）某園區(qū)網(wǎng)運(yùn)行OSPFv3，管理員在路由器R1上執(zhí)行“ipv6routerospf1”后，再輸入“passive-interfacegig0/0”，則下列說(shuō)法正確的是A.R1不再?gòu)腉0/0發(fā)送任何OSPFv3Hello??B.R1的G0/0網(wǎng)段路由不會(huì)被納入LSA??C.鄰居關(guān)系可以正常建立??D.R1將G0/0視為末梢區(qū)域答案：A解析：passive-interface命令抑制接口發(fā)送Hello報(bào)文，因此不會(huì)建立鄰居，但接口所在網(wǎng)段仍會(huì)被通告進(jìn)LSA，故B、C、D均錯(cuò)誤。3.（單選）在802.11ax中，采用1024-QAM調(diào)制時(shí)，單條空間流在160MHz信道、GI=0.8μs下的物理速率約為A.600Mb/s??B.960Mb/s??C.1200Mb/s??D.1440Mb/s答案：C解析：1024-QAM每符號(hào)攜帶10bit，160MHz含2×996=1992子載波，符號(hào)時(shí)間12.8μs+0.8μs=13.6μs，速率=10×1992/13.6≈1464Mb/s，考慮編碼率5/6，實(shí)際數(shù)據(jù)速率約1220Mb/s，最接近1200Mb/s。4.（單選）某企業(yè)采用MSTP構(gòu)建二層冗余拓?fù)洌芾韱T將VLAN10-20映射到Instance2，并設(shè)置優(yōu)先級(jí)為0，則下列交換機(jī)將成為Instance2的根橋A.MAC地址最小的交換機(jī)??B.優(yōu)先級(jí)數(shù)值最小的交換機(jī)??C.實(shí)例優(yōu)先級(jí)為0的交換機(jī)??D.系統(tǒng)優(yōu)先級(jí)為0且MAC最小的交換機(jī)答案：C解析：MSTP每個(gè)實(shí)例獨(dú)立選舉根橋，先比較實(shí)例優(yōu)先級(jí)，再比較MAC；優(yōu)先級(jí)為0已是最高優(yōu)先級(jí)，無(wú)需再比較MAC。5.（單選）在DNSSEC中，用于驗(yàn)證資源記錄集合未被篡改的鏈表結(jié)構(gòu)稱(chēng)為A.RRSIG??B.NSEC??C.DS??D.DNSKEY答案：B解析：NSEC（NextSecure）記錄通過(guò)哈希鏈表證明某域名不存在或存在，并攜帶RRSIG簽名，用于防止欺騙性否定應(yīng)答。6.（單選）某ISP使用BGP4字節(jié)AS號(hào)，其AS為4200001234，則在A(yíng)S_PATH屬性中該AS號(hào)將以哪種方式編碼A.純十進(jìn)制??B.AS_TRANS23456??C.高字節(jié)低字節(jié)拆分??D.新擴(kuò)展的AS_PATH屬性類(lèi)型答案：D解析：RFC6793定義AS4_PATH屬性，使用32位無(wú)符號(hào)整數(shù)直接存放4字節(jié)AS號(hào)，與2字節(jié)AS號(hào)分屬不同TLV。7.（單選）在Linux中，使用nftables實(shí)現(xiàn)“若連接速率超過(guò)每秒100個(gè)新TCP連接，則丟棄后續(xù)SYN”的策略，應(yīng)選用A.meter??B.limit??C.quota??D.ctcount答案：A解析：meter模塊可基于速率匹配，支持“recentrate”計(jì)算，配合drop動(dòng)作實(shí)現(xiàn)SYN速率限制。8.（單選）某數(shù)據(jù)中心采用VXLAN-EVPN，服務(wù)器發(fā)送的原始幀長(zhǎng)度為1518字節(jié)（含CRC），則經(jīng)過(guò)VTEP封裝后，外層UDP頭后的VXLAN頭長(zhǎng)度為A.8字節(jié)??B.14字節(jié)??C.50字節(jié)??D.54字節(jié)答案：A解析：VXLAN頭固定8字節(jié)，含F(xiàn)lags、VNI、Reserved字段；外層UDP、IP、Eth頭另計(jì)。9.（單選）在SNMPv3中，用于提供“認(rèn)證+加密”安全級(jí)別的安全模型是A.USM??B.TSM??C.CSM??D.VACM答案：A解析：USM（User-basedSecurityModel）支持MD5/SHA認(rèn)證及DES/AES加密，TSM為傳輸安全模型，VACM為視圖訪(fǎng)問(wèn)控制。10.（單選）某高校部署IPv6-only無(wú)線(xiàn)網(wǎng)，需訪(fǎng)問(wèn)IPv4互聯(lián)網(wǎng)，最合適的過(guò)渡技術(shù)是A.DS-Lite??B.464XLAT??C.NAT64??D.6rd答案：C解析：NAT64配合DNS64可在純IPv6客戶(hù)端與IPv4服務(wù)器間動(dòng)態(tài)轉(zhuǎn)換地址與協(xié)議，無(wú)需客戶(hù)端改動(dòng)，464XLAT用于安卓CLAT，DS-Lite需雙?？蛻?hù)端，6rd用于IPv4承載IPv6。11.（單選）在CiscoIOS-XE中，配置“ipsla1icmp-echo2001:DB8::1source-ip2001:DB8::2”后，若要使路由器在抖動(dòng)超過(guò)20ms時(shí)觸發(fā)EEM腳本，需使用的追蹤對(duì)象類(lèi)型為A.rtt??B.jitter-average??C.jitter-sd??D.packet-loss答案：B解析：jitter-average統(tǒng)計(jì)往返抖動(dòng)，EEM可關(guān)聯(lián)閾值觸發(fā)。12.（單選）某ISP使用IS-IS作為IGP，其N(xiāo)ET地址為“49.0001.1921.6800.1001.00”，則該地址中的SystemID長(zhǎng)度為A.3字節(jié)??B.6字節(jié)??C.8字節(jié)??D.可變長(zhǎng)答案：B解析：IS-ISSystemID固定6字節(jié)，位于NET中間。13.（單選）在PIM-SSM中，接收者通過(guò)哪類(lèi)IGMPv3報(bào)文告知最后一跳路由器其期望的源地址A.MembershipReport??B.MembershipQuery??C.LeaveGroup??D.BlockOldSources答案：A解析：IGMPv3MembershipReport攜帶源過(guò)濾模式（INCLUDE/EXCLUDE）及源列表，SSM僅需INCLUDE。14.（單選）某企業(yè)使用802.1X+MAC旁路認(rèn)證，交換機(jī)端口在未認(rèn)證前所屬的VLAN稱(chēng)為A.GuestVLAN??B.RestrictedVLAN??C.CriticalVLAN??D.InitialVLAN答案：A解析：GuestVLAN為未通過(guò)認(rèn)證終端提供有限訪(fǎng)問(wèn)，RestrictedVLAN用于認(rèn)證失敗，CriticalVLAN用于RADIUS不可達(dá)。15.（單選）在SD-WAN方案中，用于動(dòng)態(tài)選擇最佳出口POP的底層協(xié)議通常是A.BGP??B.OSPF??C.GRE??D.VXLAN答案：A解析：SD-WAN控制器通過(guò)BGP-LU/BGP-SDWAN將POP可達(dá)性下發(fā)給CPE，實(shí)現(xiàn)基于應(yīng)用的路由優(yōu)選。16.（單選）在WindowsServer2025中，實(shí)現(xiàn)“多站點(diǎn)透明復(fù)制，且支持自動(dòng)故障轉(zhuǎn)移”的存儲(chǔ)角色是A.StorageSpacesDirect??B.DFS-R??C.FailoverCluster??D.StorageReplica答案：D解析：StorageReplica提供塊級(jí)同步/異步復(fù)制，支持SMB3多通道與自動(dòng)故障轉(zhuǎn)移，S2D僅單站點(diǎn)聚合。17.（單選）某高校DNS服務(wù)器收到查詢(xún)“”，若本地僅緩存“”的NS記錄，則其下一步查詢(xún)的服務(wù)器是A.根服務(wù)器??B.的權(quán)威服務(wù)器??C.cn的權(quán)威服務(wù)器??D.的權(quán)威服務(wù)器答案：B解析：迭代查詢(xún)過(guò)程，本地服務(wù)器直接向的NS發(fā)起查詢(xún)，無(wú)需再回根。18.（單選）在Python3.12中，使用asyncio創(chuàng)建TCP服務(wù)器時(shí)，若需限制最大并發(fā)連接數(shù)為500，應(yīng)調(diào)用的API為A.loop.create_server(limit=500)??B.asyncio.Semaphore(500)??C.Server.socketsbacklog??D.asyncio.Queue(maxsize=500)答案：B解析：在回調(diào)處理函數(shù)前用Semaphore.acquire()控制并發(fā)，達(dá)到限流目的。19.（單選）在Kubernetes1.30中，用于為Pod提供“拓?fù)涓兄眲?dòng)態(tài)PVC供給的存儲(chǔ)類(lèi)參數(shù)是A.volumeBindingMode:WaitForFirstConsumer??B.allowVolumeExpansion:true??C.reclaimPolicy:Retain??D.mountOptions:nolock答案：A解析：WaitForFirstConsumer延遲綁定，調(diào)度器綜合節(jié)點(diǎn)拓?fù)錁?biāo)簽選擇后端PV，實(shí)現(xiàn)拓?fù)涓兄?0.（單選）在RAID6中，可容忍同時(shí)損壞的磁盤(pán)數(shù)為A.1??B.2??C.3??D.與陣列寬度有關(guān)答案：B解析：RAID6采用雙奇偶校驗(yàn)，理論容忍任意兩塊盤(pán)失效。21.（單選）某企業(yè)使用Python腳本批量配置華為交換機(jī)，通過(guò)SSH發(fā)送“displaycurrent-configuration”并保存回顯，為避免分頁(yè)，需在發(fā)送前執(zhí)行的命令是A.screen-length0??B.undopager??C.terminallength0??D.sys答案：A解析：華為VRP使用screen-length命令關(guān)閉分頁(yè)，Cisco使用terminallength。22.（單選）在Wireshark中，過(guò)濾“所有TCP連接中SYN置位且窗口規(guī)模選項(xiàng)值為128”的表達(dá)式為A.tcp.flags.syn==1andtcp.options.wscale==128??B.tcp.syn==1&&tcp.win==128??C.tcp.flags==0x02andtcp.window_size==128??D.tcp.syn&&tcp.wscaleeq128答案：A解析：窗口規(guī)模選項(xiàng)字段名為tcp.options.wscale，值為移位計(jì)數(shù)，需與SYN標(biāo)志同時(shí)匹配。23.（單選）某高校采用DHCPSnooping防止私設(shè)服務(wù)器，下列哪種報(bào)文會(huì)被直接丟棄A.客戶(hù)端發(fā)出的DHCPDiscover??B.非信任端口收到的DHCPOffer??C.信任端口發(fā)出的DHCPACK??D.客戶(hù)端發(fā)出的DHCPRequest答案：B解析：DHCPSnooping僅允許信任端口接收服務(wù)器響應(yīng)報(bào)文，非信任端口收到Offer/ACK即丟棄。24.（單選）在CiscoWLC9800中，將AP的LED關(guān)閉，需使用的命令行接口為A.apled-overridedisable??B.configapled-stateoff??C.apname<ap>led-overrideoff??D.wirelesstagpolicyled-off答案：C解析：WLC9800基于IOS-XE，支持單APLED覆蓋。25.（單選）在Linux內(nèi)核eBPF中，用于在TC層對(duì)報(bào)文進(jìn)行重定向到另一網(wǎng)卡的程序類(lèi)型是A.BPF_PROG_TYPE_SCHED_CLS??B.BPF_PROG_TYPE_XDP??C.BPF_PROG_TYPE_CGROUP_SOCK??D.BPF_PROG_TYPE_TRACEPOINT答案：A解析：TCBPF通過(guò)cls_bpf分類(lèi)器實(shí)現(xiàn)報(bào)文編輯與重定向，XDP在驅(qū)動(dòng)層更早。26.（單選）某企業(yè)使用Zabbix7.0監(jiān)控網(wǎng)絡(luò)設(shè)備，若需采集接口光功率（dBm），應(yīng)選用的SNMPOID節(jié)點(diǎn)為A.ifHCInOctets??B.ifOperStatus??C.entPhysicalSensorValue??D.iso...1答案：D解析：Cisco私有OID..91提供光傳感器實(shí)時(shí)讀數(shù)，單位0.01dBm。27.（單選）在MPLSL3VPN中，用于區(qū)分不同VRF路由表的路由標(biāo)識(shí)符稱(chēng)為A.RD??B.RT??C.VPNLabel??D.BGPID答案：A解析：RD（RouteDistinguisher）在PE本地唯一標(biāo)識(shí)VPNv4地址，RT用于路由導(dǎo)入導(dǎo)出策略。28.（單選）某數(shù)據(jù)中心采用Spine-Leaf架構(gòu)，Leaf交換機(jī)上行鏈路使用ECMP16條，若每條鏈路帶寬100Gb/s，則單Leaf最大上行帶寬為A.400Gb/s??B.800Gb/s??C.1.6Tb/s??D.3.2Tb/s答案：C解析：100G×16=1.6Tb/s，ECMP基于哈希實(shí)現(xiàn)負(fù)載分擔(dān)。29.（單選）在CiscoIOS-XR中，查看BGPEVPN路由類(lèi)型2（MAC/IP）的詳細(xì)信息的命令為A.showbgpevpnroute-type2??B.showevpnmacip??C.showbgpl2vpnevpnrd<rd>mac<mac>??D.showrouteevpn答案：C解析：IOS-XR使用showbgpl2vpnevpn可指定RD與MAC聯(lián)合過(guò)濾。30.（單選）在PythonScapy中，構(gòu)造一個(gè)帶VLANTag200的ICMPv6EchoRequest，正確語(yǔ)法為A.Ether()/Dot1Q(vlan=200)/IPv6(dst="2001::1")/ICMPv6EchoRequest()??B.Ether()/IP(vlan=200)/IPv6()/ICMPv6EchoRequest()??C.Dot1Q(200)/IPv6()/ICMPv6EchoRequest()??D.Ether()/VLAN(200)/IPv6()/ICMPv6EchoRequest()答案：A解析：Scapy使用Dot1Q層表示802.1QTag，字段名為vlan。31.（多選）下列哪些技術(shù)可同時(shí)實(shí)現(xiàn)鏈路聚合與鏈路冗余A.LACP??B.PAgP??C.Static-on??D.MC-LAG??E.FlexLink答案：A,B,C,D解析：LACP、PAgP、Static-on為傳統(tǒng)鏈路聚合，MC-LAG跨設(shè)備聚合，F(xiàn)lexLink為主備非聚合。32.（多選）在IPv6中，哪些地址類(lèi)型不允許出現(xiàn)在IPv6報(bào)文的源地址字段A.::1??B.未指定地址::??C.組播地址FF00::/8??D.任播地址??E.鏈路本地地址答案：B,C解析：源地址不能為未指定地址（僅用于DAD）和組播地址；::1可出現(xiàn)在測(cè)試報(bào)文，鏈路本地與任播允許。33.（多選）下列關(guān)于HTTP/3的描述正確的有A.基于QUIC傳輸??B.默認(rèn)端口443??C.使用TCP作為可靠傳輸??D.支持0-RTT恢復(fù)??E.頭部壓縮算法為QPACK答案：A,B,D,E解析：HTTP/3基于UDP承載的QUIC，TCP不再使用。34.（多選）在CiscoIOS中，可用于實(shí)現(xiàn)“源地址為/8，目的端口為T(mén)CP22”的策略路由的match語(yǔ)句包括A.matchipaddressprefix-listSRC??B.matchipaddress100??C.matchaccess-group100??D.matchlength641500??E.matchipprecedencecritical答案：A,B,C解析：策略路由通過(guò)matchipaddress引用ACL或prefix-list，length與precedence不匹配端口。35.（多選）下列關(guān)于RAID10與RAID01區(qū)別的說(shuō)法正確的有A.RAID10先鏡像后條帶??B.RAID01先條帶后鏡像??C.RAID10容忍任意兩塊盤(pán)失效??D.RAID01只要一對(duì)鏡像中各壞一塊即失效??E.RAID10重建時(shí)間通常更短答案：A,B,D,E解析：RAID10組內(nèi)鏡像，組間條帶，可容忍多盤(pán)壞（非同一鏡像對(duì)）；RAID01只要條帶鏡像對(duì)中各壞一塊即整體失效。36.（多選）在Wireshark中，可用于提取HTTP下載文件的功能包括A.File→ExportObjects→HTTP??B.跟隨TCP流保存原始數(shù)據(jù)??C.tshark-Yhttp-wfile.pcap??D.使用Lua腳本重組chunked數(shù)據(jù)??E.使用“ExportPacketDissections”→CSV答案：A,B,D解析：ExportObjects可直接提取文件；跟隨流手動(dòng)保存；Lua腳本處理chunked；tshark-w僅抓包，CSV不重組文件。37.（多選）下列關(guān)于零信任架構(gòu)核心原則的表述正確的有A.永不信任，持續(xù)驗(yàn)證??B.默認(rèn)放行內(nèi)網(wǎng)流量??C.基于身份、設(shè)備、環(huán)境動(dòng)態(tài)授權(quán)??D.微分段與最小權(quán)限??E.依賴(lài)邊界防火墻即可實(shí)現(xiàn)答案：A,C,D解析：零信任取消默認(rèn)信任，需動(dòng)態(tài)授權(quán)與微分段，不依賴(lài)傳統(tǒng)邊界。38.（多選）在Python3.12異步編程中，可能導(dǎo)致“Eventloopisclosed”異常的操作包括A.在已關(guān)閉的loop上調(diào)用asyncio.run_coroutine_threadsafe??B.在子線(xiàn)程中新建loop但未set_event_loop??C.使用asyncio.run()兩次調(diào)用同一主協(xié)程??D.在finally塊中再次關(guān)閉loop??E.使用nest_asyncio補(bǔ)丁答案：A,B,D解析：重復(fù)關(guān)閉、跨線(xiàn)程未正確傳遞loop均引發(fā)異常；asyncio.run()內(nèi)部自動(dòng)關(guān)閉，二次調(diào)用會(huì)新建loop；nest_asyncio用于解決嵌套。39.（多選）下列關(guān)于MPLS標(biāo)簽字段的描述正確的有A.Label字段20位??B.TC字段3位用于QoS??C.BottomofStack位1位??D.TTL字段8位??E.標(biāo)簽值0-15為保留答案：A,B,C,D,E解析：全部正確，標(biāo)簽0-15保留，其中0為IPv4ExplicitNull。40.（多選）在Linux中，使用tc命令實(shí)現(xiàn)“對(duì)源地址/24限速10Mb/s”所需的組件包括A.qdisc??B.class??C.filter??D.police??E.bpf答案：A,B,C,D解析：HTB/CBQ需class與qdisc，filter匹配地址，police實(shí)現(xiàn)限速；bpf可選。41.（判斷）在802.11i中，CCMP加密算法使用AES-128作為加密核心，其密鑰長(zhǎng)度為128位。（?）答案：正確解析：CCMP采用AES-128-CCM，密鑰128位，MIC64位。42.（判斷）BGP的AS_PATH屬性在IBGP鄰居之間傳遞時(shí)，默認(rèn)會(huì)追加本地AS號(hào)。（?）答案：錯(cuò)誤解析：IBGP不追加AS號(hào)，僅EBGP追加。43.（判斷）在Python中，列表推導(dǎo)式[func(x)forxinlstifx]與list(filter(lambdax:x,map(func,lst)))執(zhí)行結(jié)果永遠(yuǎn)相同。（?）答案：錯(cuò)誤解析：若func(x)返回Falsy值，前者保留后者可能過(guò)濾，結(jié)果不同。44.（判斷）VXLAN使用24位VNI標(biāo)識(shí)租戶(hù)，理論上可支持16777216個(gè)獨(dú)立二層網(wǎng)段。（?）答案：正確解析：2^24=16777216。45.（判斷）RAID5的寫(xiě)懲罰為4，即一次隨機(jī)小寫(xiě)需4次實(shí)際I/O。（?）答案：錯(cuò)誤解析：RAID5寫(xiě)懲罰為4指讀舊數(shù)據(jù)、讀舊校驗(yàn)、寫(xiě)新數(shù)據(jù)、寫(xiě)新校驗(yàn)，共4I/O。46.（判斷）在Linux中，/proc/sys/net/ipv4/tcp_tw_reuse參數(shù)允許TIME_WAIT套接字立即用于新連接，可提高高并發(fā)場(chǎng)景性能。（?）答案：正確解析：tcp_tw_reuse在安全條件下重用TIME_WAIT端口，減少耗盡。47.（判斷）在DNS中，若某域名的SOA記錄中Serial字段未遞增，則從服務(wù)器仍可通過(guò)NOTIFY機(jī)制獲取最新區(qū)數(shù)據(jù)。（?）答案：錯(cuò)誤解析：從服務(wù)器對(duì)比Serial，若未遞增則拒絕刷新。48.（判斷）使用Wireshark捕獲USB流量時(shí)，需加載WinUSB驅(qū)動(dòng)并設(shè)置捕獲過(guò)濾器“usb.idVendor==0x1234”。（?）答案：正確解析：Wireshark支持USBpcap，需指定VID過(guò)濾。49.（判斷）在CiscoIOS-XR中，配置“mplsldpigpsyncdelay10”表示LDP會(huì)話(huà)建立后等待10秒再通知IGP收斂，防止黑洞。（?）答案：正確解析：延遲通告IGP，確保標(biāo)簽分發(fā)完成。50.（判斷）在HTTP/2中，服務(wù)器推送的資源必須由客戶(hù)端顯式請(qǐng)求后才能發(fā)送。（?）答案：錯(cuò)誤解析：服務(wù)器可主動(dòng)推送未請(qǐng)求資源，客戶(hù)端可通過(guò)SETTINGS_DISABLE_PUSH拒絕。51.（填空）在IPv6中，節(jié)點(diǎn)通過(guò)發(fā)送______報(bào)文進(jìn)行地址沖突檢測(cè)，其源地址為_(kāi)_____。答案：鄰居請(qǐng)求（NeighborSolicitation），未指定地址::52.（填空）在CiscoIOS中，使用______命令可查看BGPVPNv4路由的RD值與RT值。答案：showbgpvpnv4all53.（填空）在Linux中，將網(wǎng)卡eth1的RX隊(duì)列綁定到CPU2-5，需使用命令______。答案：ethtool-Leth1combined4&&echof>/sys/class/net/eth1/queues/rx-0/rps_cpus54.（填空）在Python中，使用asyncio創(chuàng)建并發(fā)任務(wù)并獲取最早完成的結(jié)果，應(yīng)使用函數(shù)______。答案：asyncio.wait(return_when=FIRST_COMPLETED)55.（填空）在Wireshark中，顯示過(guò)濾表達(dá)式“tcp.analysis.retransmission”用于篩選______報(bào)文。答案：TCP重傳56.（填空）在802.1Q中，TPID字段固定值為_(kāi)_____。答案：0x810057.（填空）在MPLS中，標(biāo)簽值______表示“路由器告警”，需特殊處理。答案：158.（填空）在RAID10中，若共有8塊盤(pán)，則其有效容量為總?cè)萘康腳_____%。答案：5059.（填空）在BGP中，公認(rèn)必遵屬性包括ORIGIN、AS_PATH、______。答案：NEXT_HOP60.（填空）在Linux中，查看當(dāng)前系統(tǒng)所支持的加密算法列表，應(yīng)讀取文件______。答案：/proc/crypto61.（綜合）某公司擁有兩個(gè)站點(diǎn)A、B，各有一條100Mb/s互聯(lián)網(wǎng)專(zhuān)線(xiàn)，運(yùn)行BGPAS65001。A站點(diǎn)地址塊/24，B站點(diǎn)地址塊/24?，F(xiàn)需實(shí)現(xiàn)：（1）A、B內(nèi)部使用OSPF收斂，BGP僅向ISP通告聚合路由；（2）A、B之間通過(guò)GREoverIPSec實(shí)現(xiàn)備份隧道，當(dāng)ISP鏈路故障時(shí)自動(dòng)切換；（3）在GRE隧道內(nèi)運(yùn)行iBGP，使用Loopback地址建立鄰居；（4）要求GRE隧道內(nèi)MTU為1400字節(jié)，避免分片；（5）使用IPSecAES-256-GCM加密，DH組19，PFS啟用。請(qǐng)給出CiscoIOS-XE關(guān)鍵配置片段，并說(shuō)明故障檢測(cè)與切換機(jī)制。答案與解析：A站點(diǎn)核心配置：```interfaceLoopback0ipaddress55!interfaceTunnel0ipaddress52ipmtu1400iptcpadjust-mss1360tunnelsourcetunneldestinationtunnelprotectionipsecprofileGRE-IPSec!routerospf1network55area0default-informationoriginatemetric10!routerbgp65001bgprouter-idneighborremote-as65001neighborupdate-sourceLoopback0neighborebgp-multihop255networkmaskaggregate-addresssummary-only!cryptoisakmppolicy10encraes256group19hashsha256authenticationpre-sharecryptoisakmpkeySECRETaddress!cryptoipsectransform-setTSesp-gcm256modetransport!cryptoipsecprofileGRE-IPSecsettransform-setTSsetpfsgroup19```B站點(diǎn)配置鏡像，Tunnel0地址，BGProuter-id。故障檢測(cè)：1.使用IPSLAICMP-echo檢測(cè)ISP下一跳可達(dá)性，失敗時(shí)track1down。2.在BGP進(jìn)程內(nèi)使用“neighbor<ISP>fall-overbfd”與“neighborfall-overtrack1”聯(lián)動(dòng)，當(dāng)ISP鏈路失效時(shí)撤回默認(rèn)路由，iBGP通過(guò)GRE隧道繼續(xù)轉(zhuǎn)發(fā)。3.GRE隧道依賴(lài)路由表遞歸，若公網(wǎng)地址不可達(dá)，隧道接口down，BGP會(huì)話(huà)中斷，流量自動(dòng)繞行另一站點(diǎn)。62.（綜合）某高校WLAN采用802.1X認(rèn)證，Radius服務(wù)器為FreeRADIUS3.2，用戶(hù)賬號(hào)存儲(chǔ)于LDAP（OpenLDAP2.6）。現(xiàn)需實(shí)現(xiàn)：（1）用戶(hù)分組下發(fā)VLAN，教師vlan100，學(xué)生vlan200；（2）使用EAP-TLS，證書(shū)由校內(nèi)CA簽發(fā)，支持證書(shū)吊銷(xiāo)列表（CRL）實(shí)時(shí)校驗(yàn)；（3）認(rèn)證成功后，AC通過(guò)COA動(dòng)態(tài)下發(fā)ACL，禁止學(xué)生訪(fǎng)問(wèn)財(cái)務(wù)服務(wù)器/24；（4）記錄認(rèn)證日志至MySQL8.0，包含用戶(hù)身份、MAC、AP位置、時(shí)間。請(qǐng)給出FreeRADIUS關(guān)鍵配置與LDAPschema擴(kuò)展，并說(shuō)明COA下發(fā)流程。答案與解析：1.LDAP擴(kuò)展schema：```attributetype(.4.1.9999.1.1NAME'eduUserRole'DESC'RoleforVLANassignment'EQUALITYcaseIgnoreMatchSYNTAX.4.1.14.15)objectclass(.4.1.9999.2.1NAME'eduPerson'SUPtopAUXILIARYMAY(eduUserRole))```2.FreeRADIUSsites-enabled/default：```authorize{ldapif(LDAP-Group=="teacher"){updatereply{Tunnel-Type=VLAN,Tunnel-Medium-Type=IEEE-802,Tunnel-Private-Group-Id=100}}elsif(LDAP-Group=="student"){updatereply{Tunnel-Private-Group-Id=200}}eap{tls{verify_crl=yescrl_file=/etc/freeradius/3.0/crl.pem}}}post-auth{sqlif(LDAP-Group=="student"){updatecoa{Filter-Id="deny_finance"}}}```3.AC側(cè)配置COA監(jiān)聽(tīng)，端口3799，共享密鑰與Radius一致。4.當(dāng)學(xué)生認(rèn)證成功，F(xiàn)reeRADIUS發(fā)送CoA-Request，攜帶Filter-Id，AC映射為ACL：denyipany55，即時(shí)生效。63.（綜合）某云服務(wù)商提供IPv6-only實(shí)例，用戶(hù)需通過(guò)HTTPS訪(fǎng)問(wèn)外部IPv4網(wǎng)站。平臺(tái)采用NAT64+DNS64，但發(fā)現(xiàn)部分站點(diǎn)加載緩慢，抓包顯示TCP三次握手成功，但TLS握手階段出現(xiàn)大量重傳。經(jīng)排查，發(fā)現(xiàn)NAT64網(wǎng)關(guān)TCPMSS值為1220，而Web服務(wù)器通告MSS1460。請(qǐng)分析原因并給出優(yōu)化方案。答案與解析：原因：IPv6實(shí)例發(fā)出的SYN攜帶MSS1440（以太網(wǎng)MTU1500-IPv6頭40），經(jīng)NAT64轉(zhuǎn)換后，IPv4SYN的MSS應(yīng)被改寫(xiě)為1220（NAT64出口MTU1280-IPv4頭20-IPv6頭20），但網(wǎng)關(guān)未實(shí)施MSS鉗制，導(dǎo)致服務(wù)器返回1460字節(jié)IP層報(bào)文，在NAT64處被分片，部分分片丟失觸發(fā)重傳。優(yōu)化：1.在NAT64網(wǎng)關(guān)啟用TCPMSSClamping：Linux:iptables-tmangle-APOSTROUTING-ptcp--tcp-flagsSYN,RSTSYN-jTCPMSS--clamp-mss-to-pmtu2.調(diào)整出口鏈路MTU至1280，避免PMTUD失效。3.對(duì)DNS