基础题试卷分析

1、根据《中华人民共和国数据安全法》，各地区、各部门应当按照数据（）制度，确定本地区、本部门以及相关行业、领域的重要数据具体目录，对列入目录的数据进行重点保护。
A．谁收集谁负责 B．安全监管协调 C．分类分级保护 D．谁公开谁负责

【答案】C
【解析】《中华人民共和国数据安全法》第二十一条：国家建立数据分类分级保护制度，根据数据在经济社会发展中的重要程度，以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用，对国家安全、公共利益或者个人、组织合法权益造成的危害程度，对数据实行分类分级保护。国家数据安全工作协调机制统筹协调有关部门制定重要数据目录，加强对重要数据的保护。

2、 VxLAN与QinQ相比，说法错误的是（）。

A.通过MAC-in-UDP封装数据包 B.增加VLAN ID数量

C.其工作层具有更高的可扩展性，适应云计算要求 D.技术更昂贵，更复杂，不是所有交换机支持

【答案】B

【解析】VxLAN的一个关键特性就是通过MAC-in-UDP封装数据包，用于在IP网络上封装和传输MAC帧，因此适合在整个数据中心或云环境中扩展虚拟网络。VxLan技术比较复杂，不是所有交换机支持。QinQ通过在数据帧中添加额外的VLAN标签来增加VLAN数量，而VxLAN并不直接增加VLAN ID数量，而是通过创建虚拟网络来扩展虚拟机之间的通信范围。

3、当（）时不应该发送ICMP差错报文。

A.改变路由(重定向)，路由器改变了路由报文

B.终点不可达，路由器或主机不能交付数据报

C.参数问题，路由器或目的主机收到的数据报的首部中有的字段的值不正确

D.组播报文，报文从一个源发出，被转发到一组特定的接收者

【答案】D

【解析】ICMP差错报文用于报告IP数据报传输过程中出现的问题，比如网络不可达、主机不可达、协议不可达等。组播报文是指一个源发送的数据报被转发到一组特定的接收者，这是IP组播技术的一部分，它允许将数据包发送到多个目的地。

4、关于VLAN说法错误的是（）。

A.缺省的VLAN名是系统根据VLANID自动生成的

B.IEEE802.1q标准规定。用于标识VLAN的VLAN ID用10bit

C.VLAN工作在OSI参考模型的第二层

D.每一个VLAN是一个独立的广播域

【答案】B

【解析】IEEE 802.1Q标准规定用于标识VLAN的VLAN ID是12位。

5、CSMA/CD的具体作用是（）。

A.用于监测网络带宽的利用率 B.用于检查数据包的完整性

C.用于检测网络中的冲突和碰撞 D.用于检查网络连接的状态

【答案】C

【解析】CSMA/CD（Carrier Sense Multiple Access with Collision Detection，带冲突检测的载波侦听多路访问）是一种局域网（LAN）中用于控制网络设备如何访问传输介质的协议。CSMA/CD的主要作用是在网络设备发送数据时检测是否有其他设备也在同时发送数据，从而避免数据包冲突和碰撞。

6、SYN泛洪攻击主要利用的是TCP协议的（）过程。

A.数据传输 B.连接建立 C.连接释放 D.序列号校验

【答案】B

【解析】SYN泛洪攻击是一种针对TCP协议的拒绝服务攻击（DDoS），它主要利用的是TCP协议的连接建立过程。在SYN泛洪攻击中，攻击者向目标服务器发送大量的SYN报文，但不会完成三次握手的最后阶段（即不发送ACK报文）。这导致服务器端为每一个SYN报文分配资源，等待完成连接建立，但因为缺少最终的ACK，连接实际上并未建立。随着越来越多的半开连接的累积，服务器资源耗尽，无法处理新的连接请求，最终导致合法用户无法建立连接。

7、 32位操作系统理论上支持的最大内存空间容量为（）。

A.4GB B.16GB C.1GB D.2GB

【答案】A

【解析】32位系统由于其地址总线的宽度限制，只能处理2^32个不同地址，这意味着它最多能识别到4GB的内存空间。

8、下列关于干线子系统的说法中错误的是（）。

A.大楼施工时应为干线子系统预埋暗管

B.干线子系统连接大楼的设备间和各楼层的配线间

C.干线子系统是建筑物的垂直主干线缆

D.干线子系统通常采用光纤作为传输介质

【答案】A

【解析】干线子系统是结构化布线系统的骨干，用于实现设备间子系统之间的互连。干线子系统通常由垂直的大对数铜缆或光缆组成，一头端接于设备间的主配线架上，另一头端接在楼层接线间的管理配线架上。干线子系统在设计时，对于旧建筑物，主要采用楼层牵引管方式铺设，对于新建筑物，则利用建筑物的线井进行铺设。

9、netstat命令中的（）选项可以用于显示网络接口的IP地址和MAC地址。

A.-e B.-i C.-a D.-n

【答案】B

【解析】选项-e显示以太网统计信息；选项-i（interface）用于显示网络接口的统计信息，包括接口的名称、IP地址、子网掩码以及MAC地址等信息；选项-a显示所有连接和侦听端口；选项-n以数字形式显示地址和端口号。

10、（）不能提升多进程的运行效率。

A.使用更高主频的CPU B.使用更高电压的电源 C.使用GPU处理并行计算 D.使用更多核的CPU

【答案】B

【解析】使用更高电压的电源与提升多进程的运行效率没有直接关系。电源的电压影响的是整个系统的供电稳定性和安全性，而不是直接提升CPU或GPU的性能。

11、PON网络中的OLT是什么（）的简称？

A.光线路接入 B.光网络接入 C.光网络终端 D.光线路终端

【答案】D

【解析】OLT全称是Optical Line Terminal，光线路终端，是电信的局端设备，用于连接光纤干线。

12、拥塞控制的最终目标是（）。

A.最小化延迟 B.最小化丢包率 C.最大化带宽利用率 D.防止过多数据注入网络

【答案】D

【解析】拥塞控制的目的是确保网络中的流量不会超过网络的处理能力，从而避免数据包的丢失和延迟的增加。通过适当的拥塞控制机制，可以平衡网络中的流量，确保网络资源得到合理分配和使用，防止过多数据注入网络中。

13 、计算机网络的编码与传输过程中，校验码主要用于（）。

A.流量控制 B.分组分类 C.拥塞控制 D.差错检测

【答案】D

【解析】校验码是一种错误检测机制，用于检测在数据传输过程中是否发生了错误。

14、当VLAN数据帧通过trunk链路转发时加入的802.1q标识位于原始以太网帧的（）。

A.源MAC地址后 B.FCS前 C.目的MAC地址后 D.TYPE后

【答案】A

【解析】在VLAN的trunk链路上，802.1q标签被插入到以太网帧中，在源MAC地址与以太网类型的字段之间添加一个32位的信息，且其中12位用于vlan id。

15、 IPv6地址通常以十六进制数字表示，4个数字为一组用冒号分隔，下面对IPv6地址FE80:0000:0000:0000:004B:EA00:008E:D426正确的简化的写法是（）。

A.FE80::004B:EA00:008E:D426 B.FE8::4B:EA00:8E:D426

C.FE80::4B:EA00:8E:D426 D.FE80::4B:EA::8E:D426

【答案】C

【解析】在IPv6中，连续的0组可以被缩写为一个双冒号::。但这个缩写只能出现一次，且来替代一串0。A项前面部分的0可以省略；B项FE8后面的0不能省略；D项有两个双冒号；

16、关于BGP协议描述不正确的是（）。

A.BGP协议计算路由的过程会暴露AS内部的网络拓扑

B.BGP协议用于实现不同AS之间的路由可达

C.BGP是一种距离矢量路由协议，在设计上就避免了环路的发生

D.BGP协议是基于TCP的路由协议

【答案】A

【解析】BGP（边界网关协议）是一种用于在互联网上交换路由信息的协议，主要用于连接不同的自治系统（AS）。BGP协议设计时考虑了保护自治系统内部的网络拓扑信息，它不会暴露AS内部的详细网络结构。

17、以下不属于5G网络优点的是（）。

A.传输过程中消耗的资源少，对设备的电池更友好

B.支持大规模物联网，能够连接大量低功耗设备，提供更高效的管理

C.引入了网络切片技术，允许将物理网络划分为多个虚拟网络

D.更好的安全性，采用更强大的加密和身份认证技术

【答案】A

【解析】5G网络的优点包括：支持大规模物联网，5G网络设计用于支持大量低功耗设备，提供更高效的管理和连接能力；引入了网络切片技术，5G网络允许将物理网络划分为多个虚拟网络，以满足不同服务和性能需求；更好的安全性，5G网络采用更强大的加密和身份认证技术，提高了安全性；虽然5G网络设计时考虑了能效，但5G网络的高速度和低延迟特性可能会在某些情况下导致设备消耗更多的电力。

18、在Linux系统中，鼠标、键盘等以字节为单位进行输入输出的设备属于（）。

A.虚拟设备 B.块设备 C.网络设备 D.字符设备

【答案】D

【解析】字符设备是直接与CPU通过总线连接的设备，它们通常用于输入输出字符数据流，如键盘、鼠标、串行端口等。

19、下列IP地址（）不属于子网172.16.24.0/21。

A.172.16.30.4 B.172.16.32.56 C.172.16.28.12 D.172.16.26.251

【答案】B

【解析】将子网172.16.24.0/21写成二进制形式：172.16.00011000.00000000

地址范围：172.16.00011000.00000000~172.16.00011111.11111111

十进制即：172.16.24.0 - 172.16.31.255

20、若在光纤通信系统中使用100mW的激光器，当其发射波长为1550m时其光功率为（）。

A.40dBm B.20dBm C.10dBm D.30dBm

【答案】B

【解析】光功率的单位转换通常使用分贝毫瓦（dBm），计算公式为：P(dBm) = 10× log10(P/1mW)。本题中激光器光功率为100mW，则换算成分贝毫瓦为10×(lg10100)=20dBm。

21、在Linux系统中，使用Apache作为Web服务器时其默认的目录是（）。

A./etc/httpd B./home/httpd C./etc/home D./var/log/httpd

【答案】B

【解析】Apache在Linux系统中的默认目录是/home/httpd。

22、TCP协议与UDP协议工作在（）。

A.数据链路层 B.传输层 C.物理层 D.网络层

【答案】B

【解析】TCP和UDP都是传输层的协议。

23、系统维护的功能不包括（）。

A.清除异常任务 B.更新口令 C.数据备份 D.定期更换CPU

【答案】D

【解析】清除异常任务是系统维护的一个常见功能，而定期更换CPU通常不是系统维护的功能之一。

24、根据《中华人民共和国个人信息保护法》，个人信息处理者在（）时不需要事前进行个人信息保护影响评估并对处理情况进行记录。

A.利用匿名化的个人信息进行数据统计 B.处理敏感个人信息

C.向境外提供个人信息 D.进行对个人权益有重大影响的个人信息处理活动

【答案】A

【解析】《中华人民共和国个人信息保护法》第四条：个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。

25、 RSA加密算法的安全性依赖于（）困难性假设。

A.二次剩余 B.大整数分解 C.椭圆曲线高散对数 D.离散对数

【答案】B

【解析】RSA 算法的安全性基于大素数分解的困难性。

26、某系统按照RAID 6冗余设计，要求2个独立的RAID组，且配备1块全局热备盘，该存储系统至少要购置（）块磁盘。

A.10 B.9 C.7 D.8

【答案】B

【解析】RAID-6和RAID-5一样对逻辑盘进行条带化然后存储数据和校验位，只是对每一位数据又增加了一位校验位。这样在使用RAID-6时会有两块硬盘用来存储校验位，增强了容错功能，同时必然会减少硬盘的实际使用容量。以前的raid级别一般只允许一块硬盘坏掉，而RAID-6可以允许坏掉两块硬盘，因此，RAID-6要求至少4块硬盘。2个独立的RAID组，且配备1块全局热备盘则至少需要2×4 1=9块硬盘。

27、以下不属于光纤通信的特点是（）。

A.抗雷电和电磁干扰性能好，在有大电流脉冲干扰的环境下通讯效果良好

B.在有效距离内，设备无须对准某个方向，就能进行通讯

C.传输损耗小，中继距离长，对远距离传输特别经济

D.无串音干扰，保密性好，也不易被窃听或者截取数据

【答案】B

【解析】光纤通信需要光纤的两端精确对准，以确保光信号的有效传输。

28、下列关于自治系统（AS）的描述中正确的是（）。

A.自治系统是一个独立的网络管理实体，由一组IP地址块及相关路由策略组成。

B.自治系统是一个唯一的IP地址块，由一个网络运营商管理。

C.自治系统是一个独立的网络管理实体，由多个互联的计算机组成。

D.自治系统是一个由互联的计算机组成的局域网。

【答案】A

【解析】B选项错在不是唯一的IP地址块；C选项错在不仅仅是由计算机组成，还包含其他的网络互联设备；D选项错在不是一个局域网。

29、下列网络工程项目需求管理应遵循的原则中，不正确的是（）。

A.需求变更不需评估 B.需求要分类管理 C.需求要分优先级 D.需求要有文档记录

【答案】A

【解析】任何需求变更都应该经过严格的评估过程，以确定变更对项目的影响，包括成本、时间、资源和风险等方面。

30、在交换机上执行 display this interface命令，CRC错包呈现出不断上涨的趋势，可以初步排除的是（）。

A.端口状态异常 B.物理链路故障 C.电磁干扰 D.病毒攻击

【答案】D

【解析】病毒攻击通常不会导致CRC错包。

31、SNMP Trap消息用于（）。

A.从设备中获取有关网络时间的信息 B.主动通知管理者有关网络事件的发生

C.向指定的设备发送消息 D.向网络中的所有设备发送广播消息

【答案】B

【解析】SNMP Trap服务用于被管对象检测到差错事件，发送给管理站。

32、下列存储介质中，掉电时已经存储的信息不会丢失的是（）。

A.CPU寄存器 B.高速缓存 C.内存 D.闪存

【答案】D

【解析】只有闪存中的信息在掉电后不会丢失，目前的固态盘、U盘等都有用到闪存芯片。

33、将模拟信号转为数字信号时，为保证采样后的数字信号完整，采样频率采样必须大于或等于最大频率的（）。

A.两倍 B.一倍 C.三倍 D.四倍

【答案】A

【解析】采样定理：f ≥ 2fmax，即采样频率要大于2倍的模拟信号频率。

34、下列AC FIT AP无线组网的说法中错误的是（）。

A.AC可为无线接入终端提供跨AP的L2和L3漫游 B.FIT AP为无线接入终端提供DHCP服务

C.适合大中规模网络应用场景 D.AC通过CAPVAP隧道与AP建立连接并统一管理

【答案】B

【解析】FAT AP为无线接入终端提供DHCP服务，而FIT AP通常只完成无线局域网物理层的功能，即只完成可靠的、高性能的无线射频信号。通过特定的加密隧道协议与接入控制器（AC）通信，其他如用户认证、安全、QoS、网络管理、漫游等功能，均由AC来完成。

35、下面关于卫星通讯的说法，错误的是（）。

A.通讯费用高、延时较大是卫星通信的不足之处

B.卫星通信的好处在于不受气候的影响，误码率低

C.使用卫星通信易于实现广播通信和多址通信

D.卫星通讯的距离长，覆盖的范围广

【答案】B

【解析】尽管卫星通信不像地面通信那样容易受到地形和建筑物的遮挡，但它仍然可能受到某些气候条件的影响，如降雨和大气条件可能会对信号产生衰减。

36、下列关于PPPoE协议的说法正确的是（）。

A.是一种点对点协议 B.在局域网内使用PPP连接 C.为用户分配公网IP地址 D.不能提供身份验证

【答案】A

【解析】A选项PPP是一种点对点的链路层协议，而PPPoE是PPP在以太网上的应用；B选项PPPoE通常用于局域网内的终端通过以太网接口连接到ISP，以实现家庭或小型办公室的网络接入；C选项PPPoE的一个功能是允许ISP为用户动态分配公网IP地址，PPPoE本身并不能为用户分配公网IP地址；D选项PPPoE支持多种身份验证方法，包括PAP和CHAP，以确保连接的安全性。

37、基于时间片轮转的进程调度中，一个进程（）时该进程会从运行态变成就绪态。

A.时间片到 B.向其它进程发消息 C.等待的事件发生 D.等待的事件未发生

【答案】A

【解析】时间片轮转调度算法中，每个进程被分配一个时间片，当时间片用完时，进程会从运行态进入就绪态等待下一次调度。

38、Telnet服务可以利用（）加密协议来保护传输安全。

A.WPA2 B.IPSec C.TLS D.none

【答案】C

【解析】Telnet服务本身是一种明文协议，不提供加密传输，但可以通过TLS（传输层安全性）协议来保护传输安全。

39、在HTTPS请求中，（）用于指定请求的内容类型。

A.If-Modifier-Since B.Cache-Control C.Expires D.Content-Type

【答案】D

【解析】Content-Type头部用于告诉服务器请求体的媒体类型（也称为MIME类型）。例如，当发送一个表单提交的请求时，Content-Type可能会设置为application/x-www-form-urlencoded来表示请求体中包含了URL编码的数据。

40、我国拥有自主知识产权的4G标准是（）。

A.TD-LTE-Advanced B. FDD-LTE C.WCDMA D.TD-SCDMA

【答案】A

【解析】为推动TD-SCDMA的长期可持续发展，我国研究提出了TD-SCDMA后续演进技术TD-LTE，并在此基础上提出了我国的4G标准提案（TD-LTE-Advanced）。

41、下列（）协议可以加密传输电子邮件。

A.SSL B.IMAP C.SMTP D.POP3

【答案】A

【解析】SSL协议可以与电子邮件传输协议结合使用，提供加密的电子邮件传输。

42、SNMP协议中使用（）协议进行通信。

A.ICMP B.UDP C.TCP D.IP

【答案】B

【解析】SNMP使用UDP协议进行通信。

43、在SNMP协议中，（）操作可以用于获取MIB中的信息。

A.GET-RESPONSE B.GET C.TRAP D.GET-NEXT

【答案】B

【解析】SNMP的GET操作用于从设备检索信息。

44、下列关于RIP协议的描述不正确的是（）。

A.限制了网络的规模，它能使用的最大距离为15（16表示不可达)

B.网络拓扑更改时，均需要更新路由表

C.网络出现故障时，会出现慢收敛现象，俗称“坏消息传得慢”。

D.路由器之间需要交换完整路由表，网络规模越大、开销越大

【答案】B

【解析】RIP协议是无触发更新机制，更新路由表是按周期更新，默认更新周期是30s。

45、在Windows中，可以使用（）来浏览日志文件。

A.超级终端 B.事件查看器 C.浏览器 D.信息服务

【答案】B

【解析】在Windows操作系统中，事件查看器（Event Viewer）是一个用于浏览、管理和分析事件日志的工具。

46、以太网10Base-T的编码方式是（）

A.曼彻斯特编码 B.4B/5B编码 C.差分曼彻斯特编码 D.归零编码

【答案】A

【解析】曼彻斯特编码用在以太网（10Base-T）中，差分曼彻斯特编码用在令牌环网中。

47、POP3协议采用（）模式为用户服务。

A.P2P B.C/S C.B/S D.P2S

【答案】B

【解析】POP3协议是基于C/S（Client/Server，客户端/服务器）模式的协议，用于支持使用客户端远程管理在服务器上的电子邮件。

48、数据链路层的帧结构中，帧检验序列的作用是（）

A.保证数据的完整性和准确性 B.标识数据段的起始和结束

C.提供数据的可靠传输 D.实现数据的安全加密

【答案】C

【解析】帧检验序列用于检测帧在传输过程中是否出现了错误。它通常采用循环冗余检验（CRC）算法来实现，通过在帧的尾部附加一个基于帧数据的CRC值，接收方可以使用相同的算法来验证帧的完整性和准确性。

49、在交换机上执行display multicast forwarding-table命令作用是（）。

A.查看IP组播路由表信息 B.查看二层组播转发表信息

C.查看组播组的成员端口信息 D.查看组播转发表信息

【答案】D

【解析】display multicast forwarding-table 命令的作用是查看组播转发表信息；display multicast routing-table命令用来查看IP组播路由表信息；display l2-multicast forwarding-table命令用来查看二层组播转发表项；display igmp-snooping port-info命令用来查看组播组的成员端口信息。

50、RIP协议在更新和维护路由信息时主要使用四个定时器，（）超时，立即发送更新报文。

A. Suppress timer B. Update timer C. Age timer D.Garbage-collect timer

【答案】B

【解析】Update timer（更新计时器）用于周期性地发送路由更新信息，RIP通常每隔30秒使用这个计时器发送更新。

51、WiFi 6的传输速率可以达到（）

A.2Gbps B.5Gbps C.9.6Gbps D.1Gbps

【答案】C

【解析】WiFi 6的最大理论传输速率可以达到9.6Gbps，这是基于其高级特性和技术实现的，如更高的调制编码方式、更宽的频段和MIMO技术等。

52、在DNS服务器中，名字服务器及其优先级由（）资源记录定义。

A. CNAME B.PTR C. MX D.NS

【答案】D

【解析】NS（Name Server）记录是域名服务器记录，用来指定该域名由哪个DNS服务器来进行解析；CNAME为别名记录；PTR为反向记录（从IP地址解释域名）；MX为邮件服务器记录。

53、在局域网中为防止网络环路，应在交换机中配置（）。

A.DHCP (Dymamic Host Configuration Protocol) B. DNS (Domain Name System)

C.STP (Spanning Tree Protocol) D.RIP(Routing Information Protocol)

【答案】C

【解析】STP生成树协议可应用于计算机网络中树形拓扑结构建立，主要作用是防止网络中的冗余链路形成环路工作。

54、下列WPA无线加密技术的说法中错误的是（）

A.WPA无线加密方案包含了认证、加密和数据完整性校验

B.WPA使用802.1x协议对用户的MAC地址进行认证

C.WPA可以防止重放攻击

D.WPA的初始向量长度为32位

【答案】D

【解析】WPA使用的是更长的初始向量以增强安全性，以128位的密钥和48位的初始向量用于RC4加密。

55、DES加密算法对输入的明文首先进行（）。

A.左右分离 B.初始置换 C.乘法运算 D.迭代运算

【答案】B

【解析】DES加密算法对输入的明文首先进行的是初始置换（Initial Permutation），这是DES算法中的第一步。初始置换是一个固定的64位到64位的置换，其作用是将输入的64位明文数据进行重新排列。

56、硬盘属于（）。

A.内部存储器 B.外部存储器 C.只读存储器 D.输出设备

【答案】B

【解析】内部存储器一般是指内存RAM；外部存储器一般是指除计算机内存及CPU缓存以外的储存器，此类储存器一般断电后仍然能保存数据，常见的外存储器有硬盘、软盘、光盘、U盘等；只读存储器（Read-Only Memory，ROM）以非破坏性读出方式工作，只能读出无法写入信息；输出设备是计算机硬件系统的终端设备，用于接收计算机数据的输出显示、打印、声音、控制外围设备操作等，常见的输出设备有显示器、打印机、绘图仪、影像输出系统、语音输出系统、磁记录设备等。

57、在域名解析过程中，通常主机会首先查找（）。

A.辅助域名服务器 B.缓存域名服务器 C.转发域名服务器 D.主域名服务器

【答案】D

【解析】在进行DNS查询时，首先向本机host文件进行域名查询，以获取对应的IP地址。若hosts文件中查询不成功，则发送域名解析请求给本机配置的主域名服务器。

58、下列工具中可以对Web表单进行暴力破解的是（）。

A.BurpSuite B.Nmap C.SQLMap D.Wireshark

【答案】A

【解析】Burp Suite是一款用于攻击Web应用程序的集成平台，它包含了多种工具，包括用于暴力破解登录表单的Intruder模块。用户可以利用Burp Suite的拦截代理服务器功能抓取登录请求，然后通过Intruder模块进行暴力破解尝试；Nmap（Network Mapper）是一款开源的网络探测和安全审核工具，它具备多种功能，主要用于网络发现、安全审计和网络映射；SQLMap是一款开源的自动化SQL注入和数据库取证工具，它能够检测和利用大多数的SQL注入漏洞；Wireshark 是一个开源的网络协议分析工具，它用于捕获和分析网络上的数据包。

59、下列路由协议中属于外部网关协议(EGP)的是（）。

A.BGP B.RIP C.IS-IS D.OSPF

【答案】A

【解析】BGP (Border Gateway Protocol)边界网关协议，属于外部网关协议，是在两个自治系统之间使用的路由选择协议。

60、在Windows下，可以在开始菜单的“运行”窗口中键入（）命令，可运行Microsoft 管理控制台。

A.TTY B.CMD C.MMC D.AUTOEXE

【答案】C

【解析】MMC（Microsoft Management Console）是Windows下的一个管理控制台，用于管理和监视网络资源，在运行窗口输入MMC即可启动它。

61、在Linux系统将所有的外部设备均作为文件统一进行管理，默认情况下，外部设备文件的目录是（）。

A./lib B. /bin C. /etc D./dev

【答案】D

【解析】/dev 目录包含了系统识别的所有设备文件，例如硬盘、光驱、键盘、鼠标等，这些文件使得用户和程序能够以文件操作的方式与硬件设备进行交互。其他选项如 /lib、/bin 和 /etc 分别用于存放库文件、可执行二进制文件和配置文件。

62、下列层次化网络设计的说法中正确的是（）。

A.核心层作为流量汇聚处，应设计数据包过滤功能提供可管理性

B.汇聚层向核心层进行路由宣告时一般不做子网聚合

C.一般设计3个层次即可，过多的层次会降低网络整体性能

D.接入层实现用户接入和策略路由等功能

【答案】C

【解析】A选项数据包过滤功能设计在汇聚层实现；B选项，汇聚层向核心层进行路由宣告时一般要做子网聚合，以减少核心层的路由表条目数；D选项，策略路由一般在汇聚层实现。

63、64、下列选项中属于Linux防火墙工具的是（），使用（）配置可以实现禁止10.0.1.1网段使用ssh登录该服务器，且不做响应。

A.acl B.uount C.iptables D.router

A.-A INPUT -s 10.0.1.1/24 -p tcp -m tcp --dport 22 -j REJECT

B.-A INPUT -s 10.0.1.1/24 -p tcp -m tcp --dport 22 -j DROP

C.-A INPUT -s 10.0.1.1/32 -p tcp -m tcp -dport22 -j REJECT

D.-A INPUT -s 10.0.1.1/32 -p tcp -m tcp --dport 22 -j DROP

【答案】C B

【解析】

iptables是Linux系统中广泛使用的防火墙工具，它能够控制进入和离开Linux系统的IP数据包。

-A INPUT 表示向INPUT链添加规则；-s 10.0.1.1/24 指定了源地址为10.0.1.1及其所在的子网，网络位24位；-p tcp 指定了协议为TCP；-m tcp --dport 22 指定了目标端口为22，即SSH服务的端口；-j DROP 表示匹配到的包将被丢弃，不做任何响应；-j REJECT会发送一个拒绝的响应给尝试连接的客户端。

65、66、在局域网中使用DHCP服务器为客户端分配IP地址的优点不包括（），客户端采用（）方式发送DHCP Discover报文，以查找网络中的DHCP服务器。

A.提高IP地址使用效率 B.降低地址重复分配可能 C.减少人员工作量 D.提高网络传输效率

A.组播 B.任意播 C.单播 D.广播

【答案】D D

【解析】DHCP服务器并不直接影响网络传输效率，它主要负责自动分配和管理IP地址。客户端发送DHCP Discover报文使用的是广播地址。

67、68、在IPv4地址段10.20.30.0/24中，划分至少3个子网，其主机位数最长是（）位，其子网掩码是（）。

A.5 B.8 C.7 D.6

A.255.255.255.192 B.255.255.255.128 C.255.255.255.224 D.255.255.255.0

【答案】D A

【解析】）划分至少3个子网，需要从主机位借2位，其主机位数最长是8-2=6，子网掩码是255.255.255.11000000 = 255.255.255.192。

69、70、下面地址中，可以作为网络地址的是（），其对应的子网掩码是（）。

A.172.16.36.0/19 B.192.168.0.191/27 C.192.168.0.36/27 D.172.20.96.0/19

A.255.255.224.0 B.255.255.255.0 C.255.255.128.0 D.255.255.255.128

【答案】D A

【解析】A选项地址172.16.36.0/19=172.16.00100100.00000000为主机地址；B选项192.168.0.191/27=192.168.0.01111111为广播地址；C选项192.168.0.36/27=192.168.0.00100100为主机地址；D选项172.20.96.0/19=172.20.01100000.00000000，主机位全0是网络地址。子网掩码为11111111.11111111.11100000.00000000=255.255.224.0

71、72、73、74、75、A software-defined wide area network (SD-WAN) is a wide area network that uses software defined network technology, such as communicating over the Internet using overlay (71) which are encrypted when destined for internal organization locations. SD-WAN simplifies the management and operation of a VAN by decoupling the networking hardware from its (72) mechanism. This concept is similar to how software-defined networking.

Implements (73) technology to improve data center management and operation. A key application of SD-WAN is to allow companies to build higher-performance WANs using lower-cost and commercially available (74) access, enabling businesses to partially or wholly replace more expensive private WAN connection technologies. SD-WAN technology supports (75) of Service (QoE) by having application-level awareness, giving bandwidth priority to the most critical applications.

A.paths B.router C.tunnel D.piper

A.adaption B.security C.updating D.control

A.decentralized B.automation C.intelligent D.virtualization

A.private B.internet C.internal D.cross-domain

A.Quantity B.Quality C.Query D.Queue

【答案】C D D B B

【解析】软件定义的广域网（SD-WAN）是一种使用软件定义的网络技术的广域网，例如使用覆盖隧道（协议）通过互联网进行通信，该覆盖隧道在到达内部组织位置时进行加密。SD-WAN通过将网络硬件与其（控制）机制解耦来简化VAN的管理和操作。这个概念类似于软件定义的网络。

实施（虚拟化）技术可以改进数据中心的管理和运营。SD-WAN的一个关键应用是允许公司使用较低成本和商用（互联网）接入来构建更高性能的广域网，使企业能够部分或全部取代更昂贵的专用广域网连接技术。SD-WAN技术通过具有应用程序级别意识来支持服务（质量）（QoE），将带宽优先级赋予最关键的应用程序。

试题一 阅读以下说明，回答问题1至问题5，将解答填入答题纸对应的解答栏内。

【说明】某高校网络拓扑如下图所示，两校区核心（CORE-1、CORE-2），出口防火墙（NGFW-1、NGFW-2）通过校区间光缆互联，配置OSPF实现全校路由收敛，两校区相距40km。两校区默认由本地出口进行互联网访问。

【问题1】新校区规划以双栈方式部署IPv6网络，分配的IPv6地址为240C:DB8:1024::/49。请将IPv6网络地址规划表补充完整。

【问题2】为实现NGFW-2与NGFW-1、CORE-2正常建立OSPF邻居关系，实现路由全收敛，网络工程师对NGFW-2进行相关配置，请补充完善下列由trust到local的配置。

[NGFW-2] firewall zone trust

[NGFW-2-zone-trust] add interface GigabitEthernet 0/0/1

[NGFW-2-zone-trust] add interface GigabitEthernet 0/0/2

[NGFW-2] security-policy

[NGFW-2-policy-security] rule name policy_1

[NGFW-2-policy-security-rule-policy_1] source zone trust

[NGFW-2-policy-security-rule-policy_1] destination-zone（ 4 ）

[NGFW-2-policy-security-rule-policy_1] source-address（ 5 ）

[NGFW-2-policy-security-rule-policy_1] service protocol（ 6 ）

[NGFW-2-policy-security-rule-policy_1] action（ 7 ）

【问题3】网络工程师收到故障报告，某终端用户可成功获取IP地址，正常访问校内业务，却无法访问Internet。在该终端上路由跟踪测试，可正常至NGFW-2，于是在终端上进行ping 114.114.114.114测试，结果显示“请求超时”，同时在NGFW-2查看到如下会话：

请分析该故障的原因并提出解决措施。

【问题4】网络工程师接到故障报告，某终端用户网络时通时断，无法正常上网。在用户终端上通过命令测试结果如下:

通过上图可以判断网络遭受了( 8 )攻击，为解决该故障，网络工程师在用户电脑上配置了静态ARP绑定，同时在设备( 9 )上配置( 10 )功能。

【问题5】网络工程师配置NGFW-2作为SSL VPN网关，为网络管理员提供安全远程接入，可以随时随地对校园网内网络进行访问和管理。SSL VPN充分利用SSL协议基于数字证书提供的安全机制，为应用层之间的通信建立安全连接。

(1) SSL协议安全机制包括：( 11 )、数据加密、( 12 )。

(2)数据加解密算法主要分为对称密钥算法、非对称密钥算法，请简要描述SSL协议如何利用这两类算法实现数据传输的机密性( 13 )。

(3)网络工程师在配置SSL VPN之前，需要向( 14 )申请证书文件，并将其上传至NGFW-2的指定位置。

【答案】

【问题 1】（1）240C:DB8:1024::FFFF:FFFF:FFFF:FFFF（2）240C:DB8:1024:4000::~240C:DB8:1024:7FFF:FFFF:FFFF:FFFF:FFFF（3）50

【问题 2】（4）local（5）10.0.0.2 32（6）89（7）permit

【问题 3】根据图中“10.21.0.25-->114.114.114.114:2048 可判断终端访问Internet的报文在通过防火墙时没有进行NAT转换，从而导致Internet回复的报文无法送回。解决措施是在防火墙上配置基于源地址的NAT转换策略。

【问题 4】（8）arp欺骗（9）CORE-2（10）防ARP欺骗攻击

【问题 5】（11）身份认证（12）消息完整性校验（13）SSL用基于非对称加密算法的握手协议，协商对称加密算法和密钥之后，所有通信用用对称密钥加密传送。（14）CA

试题二 阅读以下说明，回答问题1至问题5，将解答填入答题纸对应的解答栏内。

【说明】某单位网络拓扑如下图所示，SW1、SW2为核心层交换机，PC网关配置在核心层，SW3、SW4为接入层交换机，行政部PC划为vlan10，销售部PC划为vlan20。

【问题1】要求实现骨干链路冗余，需要在哪些设备之间增加连线？增加连线后还需要配置什么避免形成二层环路。

【问题2】要求vlan10的网关默认配置在SW1上，vlan20的网关默认配置在SW2上，当SW1或SW2任意一台设备故障后，不影响PC访问网关，请写出配置要点。

【问题3】要求配置PC能通过DHCP服务器正常获取IP地址，请写出配置要点。

【问题4】为加强终端PC安全防护，要求各PC均不能互访，请写出配置要点。

【问题5】请按照IP地址最小范围规划要求完成下表。

【答案】

【问题 1】要求实现骨干链路冗余，需要在SW1与SW2之间、SW3与SW2之间、SW4与SW1之间增加连线；增加连线后还需要配置生成树协议避免形成二层环路。

【问题2】在SW1和SW2的VLANIF10接口上配置VRRP组，将SW1的VLANIF10接口设置为VLAN10的VRRP主网关，SW2的VLANIF10接口设置为VLAN10的VRRP备用网关；同时在SW1和SW2的VLANIF20接口上配置VRRP组，将SW2的VLANIF20接口设置为VLAN20的VRRP主网关，SW1的VLANIF20接口设置为VLAN20的VRRP备用网关；将VLAN10和VLAN20的主机的默认网关设置为对应的VRRP虚拟网关IP地址。

【问题3】配置静态路由或动态路由协议实现PC到DHCP服务器的路由可达；在DHCP服务器上为VLAN10和VLAN20的子网分别创建地址池、网关地址、DNS等；将SW1和SW2的VLANIF10和VLANID20接口上配置DHCP中继，指向DHCP服务器的IP地址，用于将接收到的DHCP发现和DHCP请求的广播报文进行单播转发到DHCP服务器。

【问题4】在SW3和SW4配置端口隔离，将所有接入PC的端口放入到相同组中，实现PC之间互相隔离。

【问题5】（1）10.0.1.129~10.0.1.157（2）224（3）10.0.1.193~10.0.1.253（4）26

试题三 阅读以下说明，回答问题1至问题3，将解答填入答题纸对应的解答栏内。

【说明】某网络拓扑如下图所示，路由器R1、R2、R3通过OSPF实现网络互通，R1和R3建立iBGP邻居关系，R3和R5建立eBGP邻居关系，R1和R4建立eBGP邻居关系。

【问题1】各路由器IP地址等基本参数已正确配置，且R1、R2、R3之间OSPF邻居关系已建立且完成收敛，在R4配置本地回环Lo0模拟ISP地址210.23.3.4/32，根据要求完成以下配置。

以R1为例配置BGP

[R1] bgp ( 1 )

[R1-bgp] peer ( 2 ) as-number ( 3 ) //与R4建立BGP邻居关系

[R1-bgp] peer 10.14.14.4 enable

……

[R1-bgp] peer 3.3.3.3 next-hop-local //作用是: ( 4 )

在R4将210.23.3.4/32引入BGP

[R4] bgp 200

[R4-bgp] ( 5 ) //将210.23.3.4/32引入BGP

【问题2】上述配置完成后，路由器R5上210.23.3.4/32的路由信息如下图所示，但是却无法ping通210.23.3.4，请分析原因。

【问题3】管理员计划采用BGP路由反射功能解决上述问题。BGP路由反射功能需要遵循如下三条规则：

1.从非客户机学到的路由，反射器发布给( 6 )。

2.从客户机学到的路由，反射器发布给 (7 ) 。

3.从eBGP邻居学到的路由，反射器发布给所有的非客户机和客户机。

#BGP反射器配置片段，配置R1为反射器、R2为客户端。

……略去R2和R1建立BGP邻居配置

[R1-bgp] reflector cluster-id 12 //该条命令的作用是( 8 )

[R1-bgp] peer ( 9 ) reflect-client

【答案】

【问题 1】（1）100（2）10.14.14.4（3）200（4）向对等体发布路由时将自身地址作为下一跳（5）import-route direct

【问题 2】当访问210.23.3.4时，R5查询BGP路由表，首先将报文转发到10.35.35.3，R3接收到报文以后查询路由表发现BGP路由的下一跳地址为R1，由于R1并非自己的直连路由，根据OSPF路由表查询到达R1的下一跳地址为R2，当R2收到上报文后，由于其没有启用BGP路由协议，所以路由表中无法查询到去往210.23.3.4的路由，从而无法转发。这种现象称为BGP路由黑洞，由于发现路由表中没有到达210.23.3.4/32的路由，于是将报文丢弃，从而形成了“路由黑洞”。

【问题 3】（6）所有客户机（7）所有非客户机和客户机（8）配置路由反射器的集群ID为12（9）2.2.2.2

试题四 阅读以下说明，回答问题1至问题2，将解答填入答题纸对应的解答栏内。

【说明】 某公司计划在骨干网络上建立静态MPLS，以便部署L2VPN或者L3VPN业务。其网络拓扑结构如下图所示。

【问题1】MPLS基于( 1 )进行转发，进行MPLS标签交换和报文转发的网络设备称为( 2 )，构成MPLS域（MPLSDomain）。位于MPLS域边缘、连接其他网络的LSR称为( 3 )，区域内部的LSR称为核心LSR（CoreLSR）IP报文进入MPLS网络时，MPLS入口设备分析IP报文的内容并为其添加合适的标签，所有MPLS网络中的LSR根据标签转发数据，当该IP报文离开MPLS网络时，标签由出口LER弹出。

IP报文在MPLS网络中经过的路径称为( 4 )，LSP是一个单向路径，与数据流的方向一致。LSP的入口LER称为( 5 )，位于LSP中间的LSR称为中间节点(Transit)；LSP的出口LER称为( 6 )。一条LSP可以有0个、1个或多个中间节点，但有且只有一个入节点和一个出节点。(1)-(6)备选答案：

A.标签交换路由器LSR（LabelSwitchingRouter）B.标签交换路径LSP（LabelSwitchedPath）

C.标签 D.入节点（Ingress） E.边缘路由器LER（LabelEdgeRouter） F.出节点（Egress）

【问题2】上图中，骨干网络中已完成路由协议配置，各个节点之间可以互通。下面是为该网络配置静态MPLS的代码，请将下面的配置代码补充完整。

#使能LSR-1及各接口的MPLS功能

[LSR-1] mpls ( 7 ) 1.1.1.9

[LSR-1] ( 8 )

[LSR-1-mpls] quit

[LSR-1] interface ( 9 ) 100

[LSR-1-Vlanif100] mpls

[LSR-1-Vlanif100] quit

#创建从LSR-1到LSR-3的静态LSP

[LSR-1] static-Isp ingress LSP1 destination 3.3.3.9 32 nexthop 172.16.1.2 ( 10 ) 20