2022年职业考证-软考-网络规划设计师考试名师押题精选卷I（带答案详解）试卷号73

住在富人区的她2022年职业考证-软考-网络规划设计师考试名师押题精选卷I（带答案详解）（图片可根据实际调整大小）题型12345总分得分一.综合题(共50题)1.单选题

在运行OSPF的路由器中，可以使用(

)命令查看OSPF进程下路由计算的统计信息，使用(

)命令查看OSPF邻居状态信息。

问题1选项

A.displayospfcumulative

B.displayospfspf-statistics

C.displayospfglobal-statics

D.displayospfrequest-queue

问题2选项

A.displayospfpeer

B.displayospfspf-statistics

C.displayospfglobal-statics

D.displayospfrequest-queue

【答案】第1题:B

第2题:A

【解析】displayospfspf-statistics:查看OSPF进程下路由计算的统计信息

display ospf peer:查看各OSPF的邻居

displayospfcumulative:命令用来查看OSPF的统计信息。

2.单选题

EPON可以利用（）定位OLT到ONU段的故障。

问题1选项

A.EPON远端环回测试

B.自环测试

C.OLT端外环回测试

D.ONU端外环回测试

【答案】A

【解析】EPON定位OLT到ONU段的故障可以使用EPON远端环回测试，OLT或ONU段外环回测试无法定位OLT到ONU段的故障。

3.单选题

下图为某windows主机执行tracert命令的结果，其中第13跳返回信息为三个“*”，且地址信息为“Reguesttimedout”，出现这种问题的原因可排除（

）。

问题1选项

A.第13跳路由器拒绝对ICMPEchoreguest做出应答

B.第13跳路由器不响应但转发端口号大于32767的数据报

C.第13跳路由器处于离线状态

D.第13跳路由器的CPU忙，延迟对该ICMPEchoreguest做出响应

【答案】C

【解析】tracert的时候出现*号的行列说明有路由器（也许是出于安全考虑，也许是网络问题）没有回应。例如经过第N跳时，在一定时间内没有收到ICMP超时报文或者ICMP端口不可达报文。

4.单选题

网络管理员进行检查时发现某台交换机CPU占用率超过90%，通过分析判断，该交换机是由某些操作业务导致CPU占用率高，造成该现象的可能原因有（

）。

①生成树

②更新路由表

③频繁的网管操作

④ARP广播风暴

⑤端口频繁UP/DOWN

⑥数据报文转发量过大

问题1选项

A.①②③

B.①②③④

C.①②③④⑤

D.①②③④⑤⑥

【答案】C

【解析】交换机CPU使用率过高的原因主要有：硬件故障、网络攻击、网络震荡（包括STP震荡和路由协议震荡）、网络环路。

华为交换机由转发芯片转发普通数据报文，无需CPU参与。以下场景会将报文发送给CPU处理：

需要交换机终结的协议报文。

所有目的地址为本机的报文均需要上送CPU处理：

各种协议控制报文，如STP、LLDP、LNP、LACP、VCMP、DLDP、EFM、GVRP、VRRP等。

路由更新报文，如RIP、OSPF、BGP、IS-IS等。

SNMP、Telnet、SSH报文。

ARP、ND回应报文。

需要特殊处理的报文。

带option选项的ICMP报文。

带hop-by-hop选项的IPv6报文。

TTL小于或等于1的IPv4/IPv6数据报文。

目的IP地址为本机的数据报文。

ARP/ND/FIBMiss报文。

应用了ACL，需要CPU处理的报文。

开启logging功能后，通过ACLdeny动作丢弃的报文。

流策略重定向到CPU的报文。

组播特性相关的报文。

PIM、IGMP、MLD、MSDP协议报文。

未知IP组播流。

其他特性的相关报文。

DHCP协议报文。

ARP、ND广播请求报文。

5.单选题

以下关于OSPF特性的叙述中，错误的是(

)。

问题1选项

A.OSPF采用链路状态算法

B.每个路由器通过泛洪LSA向外发布本地链路状态信息

C.每台OSPF设备收集LSA形成链路状态数据库

D.OSPF区域0中所有路由器上的LSDB都相同

【答案】D

【解析】存在ABR的话，ABR是包含多个区域的LSDB，而普通的区域0的LSDB只含有一部分LSA，就比如区域1的ABR他的LSDB是含有区域1的LSA1和LSA2的，但是这部分LSA是不会被传递到区域0的，所以不是所有的区域0的路由器的LSDB都是一样的。

6.单选题

假设某计算机的字长为32位，该计算机文件管理系统磁盘空间管理采用位示图，记录磁盘的使用情况，若磁盘的容量为300GB，物理块的大小为4MB，那么位示图的大小为（）个字。

问题1选项

A.2400

B.3200

C.6400

D.9600

【答案】A

【解析】本题考查操作系统中的空闲块管理方法——位示图。

题目指出磁盘容量为：300G，物理盘大小是4MB。则物理盘块个数为：300GB/4MB=75×1024。

每个物理盘块占用1个bit位来标识磁盘有没有被占用，系统中1个字是32位，所以字的个数：（75×1024）/32=2400。

7.单选题

以太网的最大帧长为1518字节，每个数据帧前面有8个字节的前导字段，帧间隙为9.6us。若采用TCP/IP网络传输14600字节的应用层数据，采用100BASE-TX网络，需要的最短时间为（）。

问题1选项

A.1.32ms

B.13.2ms

C.2.63ms

D.26.3ms

【答案】A

【解析】以太帧的最大帧长1518字节，其中IP数据报为1500字节，TCP报文为1480字节，TCP的数据就是1460字节，每个数据帧前面还有8字节的前导字段，帧间隔9.6us。现在传送14600字节的应用层数据，需要分成14600/1460=10个帧传送。

现在一帧的传送时间=（1518+8）×8/100*106=0.00012208秒，10帧的话为1.2208ms，再加上帧间9.6us×10=96us，那么总时间等于1.2208ms+0.096ms=1.32ms。

8.单选题

在华为VRP平台上，直连路由、OSPF、RIP、静态路由按照优先级从高到低的排序是（

）。

问题1选项

A.OSPF、直连路由、静态、RIP

B.直连路由、静态、OSPF、RIP

C.OSPF、RIP、直连路由、静态

D.直连路由、OSPF、静态、RIP

【答案】D

【解析】一条路由比其他的路由拥有更高优先级的概念叫做管理距离AD。主要是比较不同路由协议有多条路径到达目的网络的参数，AD值越小，就表示这条路由可信度级别就越高。

华为的：

直连路由：0；OSPF：10；静态路由：60；RIP：100。

9.单选题

若TCP最大段长为1000字节，在建立连接后慢启动，第1轮次发送了1个段并收到了应答，应答报文中window字段为5000字节，此时还能发送（）字节。

问题1选项

A.1000

B.2000

C.3000

D.5000

【答案】B

【解析】假如TCP最大段长为1000B，在建立连接后慢启动第1轮发送了一个段并收到了应答，那么把窗口扩大到两个报文段，也就是2000B，而应答报文中win字段为5000字节，可以发送，此时发送2000B字节。

10.单选题

下图为某网络拓扑的片段，将1、2两条链路聚合成链路G1,并与链路3形成VRRP主备关系，管理员发现在链路2出现CRC错误告警，此时该网络区域可能会发生的现象是()。

问题1选项

A.从网管系统看链路2的状态是Down

B.部分用户上网将会出现延迟卡顿

C.VRRP主备链路将发生切换

D.G1链路上的流量将会达到负载上限

【答案】B

【解析】CRC错包一般是由于物理链路问题造成的，那么经过G1链路的用户会受到影响，导致上网将会出现延迟卡顿。

11.单选题

以下关于操作系统微内核架构特征的说法中，不正确的是（

）。

问题1选项

A.微内核的系统结构清晰，利于协作开发

B.微内核代码量少，系统具有良好的可移植性

C.微内核有良好的伸缩性，扩展性

D.微内核功能代码可以互相调用，性能很高

【答案】D

【解析】本题考查微内核操作系统的知识。

微内核相比于传统内核，效率较差。D选项的叙述是错误的。

采用微内核结构的操作系统与传统的操作系统相比，其优点是提高了系统的灵活性、可扩充性，增强了系统的可靠性，提供了对分布式系统的支持。其原因如下：

①灵活性和可扩展性：由于微内核OS的许多功能是由相对独立的服务器软件来实现的，当开发了新的硬件和软件时，微内核OS只需在相应的服务器中增加新的功能，或再增加一个专门的服务器。与此同时，也必然改善系统的灵活性，不仅可在操作系统中增加新的功能，还可修改原有功能，以及删除已过时的功能，以形成一个更为精干有效的操作系统。

②增强了系统的可靠性和可移植性：由于微内核是出于精心设计和严格测试的，容易保证其正确性；另一方面是它提供了规范而精简的应用程序接口（API），为微内核外部的程序编制高质量的代码创造了条件。此外，由于所有服务器都是运行在用户态，服务器与服务器之间采用的是消息传递通信机制，因此，当某个服务器出现错误时，不会影响内核，也不会影响其他服务器。另外，由于在微内核结构的操作系统中，所有与特定CPU和I/O设备硬件有关的代码，均放在内核和内核下面的硬件隐藏层中，而操作系统其他绝大部分（即各种服务器）均与硬件平台无关，因而，把操作系统移植到另一个计算机硬件平台上所需做的修改是比较小的。

③提供了对分布式系统的支持：由于在微内核OS中，客户和服务器之间以及服务器和服务器之间的通信，是采用消息传递通信机制进行的，致使微内核OS能很好地支持分布式系统和网络系统。事实上，只要在分布式系统中赋予所有进程和服务器唯一的标识符，在微内核中再配置一张系统映射表（即进程和服务器的标识符与它们所驻留的机器之间的对应表），在进行客户与服务器通信时，只需在所发送的消息中标上发送进程和接收进程的标识符，微内核便可利用系统映射表，将消息发往目标，而无论目标是驻留在哪台机器上。

12.单选题

数字签名首先要生成消息摘要，采用的算法为（

），摘要长度为（

）位。

问题1选项

A.DES

B.3DES

C.MD5

D.RSA

问题2选项

A.56

B.128

C.140

D.160

【答案】第1题:C

第2题:B

【解析】RFC1321提出的报文摘要算法MD5已经获得广泛的应用。它可对任意长度的报文进行运算，得出128位的MD5报文摘要代码。另一种标准是安全散列算法SHA，和MD5相似，但码长为160位，SHA比MD5更安全，但计算的效率不如MD5。

13.案例题

阅读以下说明，回答问题1至问题4，将解答填入答题纸对应的解答栏内。

【说明】

案例一

据新闻报道，某单位的网络维护员张某将网线私自连接到单位内部专网，通过专网远程登录到该单位的某银行储蓄所营业员电脑，破解默认密码后以营业员身份登录系统，盜取该银行83.5万元。该储蓄所使用与互联网物理隔离的专用网络，且通过防火墙设置层层防护，但最终还是被张某非法入侵，并造成财产损失。

案例二

据国内某网络安全厂商通报，我国的航空航天、科研机构、石油行业、大型互联网公司以及政府机构等多个单位受到多次不同程度的APT攻击，攻击来源均为国外几个著名的APT组织。比如某境外APT组织搭建钓鱼攻击平台，冒充“系统管理员"向某科研单位多名人员发送钓鱼邮件，邮件附件中包含伪造Office.PDF图标的PE文件或者含有恶意宏的Word文件，该单位小李打开钓鱼邮件附件后，其工作电脑被植入恶意程序，获取到小李个人邮箱账号和登录密码，导致其电子邮箱被秘密控制。之后，该APT组织定期远程登录小李的电子邮箱收取文件，并利用该邮箱向小李的同事、下级单位人员发送数百封木马钓鱼邮件，导致十余人下载点击了木马程序，相关人员计算机被控制，造成敏感信息被窃取。

【问题1】（4分）

安全运维管理为信息系统安全的重要组成部分，一般从环境管理、资产管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代码管理、备份与恢复管理、安全事件处置、外包运维管理等方面进行规范管理。其中：

1.规范机房出入管理，定期对配电、消防、空调等设施维护管理应属于（1）范围：

2.分析和鉴定安全事件发生的原因，收集证据，记录处理过程，总结经验教训应属于（2）范围：

3.制定重要设备和系统的配置和操作手册，按照不同的角色进行安全运维管理应属于（3）范围：

4.定期开展安全测评，形成安全测评报告，采取措施应对发现的安全问题应属于（4）管理范围。

【问题2】（8分）

请分析案例一中网络系统存在的安全隐患和问题。

【问题3】（8分）

请分析案例二，回答下列问题：

1.请简要说明APT攻击的特点。

2.请简要说明APT攻击的步骤。

【问题4】（5分）

结合上述案例，请简要说明从管理层面应如何加强网络安全防范。

【答案】【问题1】

（1）环境管理

（2）安全事件处置

（3）网络和系统安全管理

（4）漏洞和风险管理

【问题2】

①缺少网络准入控制；

②没有设置远程登录和访问权限，限制非授权访间；

③没有按要求定期更换系统密码或设置复杂度高的密码；

④系统缺少双因子身份认证；

⑤安全管理落实不到位，员工安全意识差。

【问题3】

1.APT攻击的特点：

①潜伏性，在用户网络环境中长久潜伏存在；

②持续性，持续不断地监控和获取敏感信息；

③威胁性大，有组织有预谋，成功率高，危害系数大，近年来频频发生针对我国政府机关和核心部门发起的有组织的APT攻击。

2.APT攻击的步骤：

①收集信息或扫描探测；

②恶意代码投送；

⑧利用漏洞；

④植入木马或植入恶意程序；

⑤命令与控制或远程控制；

⑥横向渗透并达成目标；

⑦清除痕迹或者删除恶意程序。

【问题4】

①明确网络安全管理制度；

②明确网络安全主体责任；

③细化网络安全工作职责，责任到人；

④合理分配人员权限、最小权限和加强审计；

⑤加强网络安全意识和技能培训；

⑥强化网络安全执行监督。

【解析】【问题1】

（1）环境管理主要是机房环境的安全管理，包括出入管理、机房辅助设施、机房管理制度、来访人员管理等。要求指定部门或专人负责机房安全，定期对机房设施进行维护管理，制定机房安全管理规定，同时要求不在重要区域接待来访人员和桌面不能有包含敏感信息的纸档文件、移动介质等。

（2）安全事件管理要求及时向安全管理部门报告安全弱点和可疑事件，制定安全时间报告和处置管理制度，并在事件报告和响应处理过程中分析原因、收集证据、记录处理过程、总结经验教训，重大事件应采用不同的处理程序和报告程序等。

（3）网络和系统安全管理对包括管理员角色和权限的划分、账户及安全策略的控制和规定、日志记录和分析、各项运维活动的规程和审批等做了要求

（4）漏洞和风险管理要求及时识别、发现并修补安全漏洞和隐患，并定期开展安全测评，采取措施应对测评报告中发现的安全问题。

【问题2】

①缺少网络准入控制；

②没有设置远程登录和访问权限，限制非授权访间；

③没有按要求定期更换系统密码或设置复杂度高的密码；

④系统缺少双因子身份认证；

⑤安全管理落实不到位，员工安全意识差。

【问题3】

1.APT（AdvancedPersistentThreat，高级持续性威胁），是一种针对特定目标进行长期持续性网络攻击的攻击模式。典型的APT攻击一般会带有以下特征：

持续性：

攻击者通常会花费大量的时间来跟踪、收集目标系统中的网络运行环境，并主动探寻被攻击者的受信系统和应用程序的漏洞。即使一段时间内，攻击者无法突破目标系统的防御体系。但随着时间的推移，目标系统不断有新的漏洞被发现，防御体系也会存在一定的空窗期（例如设备升级、应用更新等），而这些不利因素往往会导致被攻击者的防御体系失守。

终端性：

攻击者并不是直接攻击目标系统，而是先攻破与目标系统有关系的人员的终端设备（如智能手机、PAD、USB等等），并窃取终端使用者的账号、密码信息。然后以该终端设备为跳板，再攻击目标系统。

针对性：

攻击者会针对收集到的目标系统中常用软件、常用防御策略与产品、内部网络部署等信息，搭建专门的环境，用于寻找有针对性的安全漏洞，测试特定的攻击方法能否绕过检测。

未知性：

传统的安全产品只能基于已知的病毒和漏洞进行攻击防范。但在APT攻击中，攻击者会利用0DAY漏洞（0day漏洞也不是指某一种特定技术的漏洞，它是指软件或系统中已经被发现，但官方还不知道或还没有发布相应补丁的漏洞。）进行攻击，从而顺利通过被攻击者的防御体系。

隐蔽性：

攻击者访问到重要资产后，会通过控制的客户端，使用合法加密的数据通道，将信息窃取出来，以绕过被攻击者的审计系统和异常检测系统的防护。

从以上的攻击特征可以看出，APT攻击相对于传统的攻击模式，手段更先进、攻击更隐蔽、破坏更严重，因此已经成为威胁当今网络安全的一大隐患。

2.APT攻击的步骤：

①收集信息或扫描探测；

②恶意代码投送；

⑧利用漏洞；

④植入木马或植入恶意程序；

⑤命令与控制或远程控制；

⑥横向渗透并达成目标；

⑦清除痕迹或者删除恶意程序。

【问题4】

①确定网络安全管理制度；

②明确网络安全主体责任；

③细化网络安全工作职责，责任到人；

④合理分配人员权限、最小权限和加强审计；

⑤加强网络安全意识和技能培训；

⑥强化网络安全执行监督。

14.单选题

以下关于Kerberos认证的说法中，错误的是（

）。

问题1选项

A.Kerberos是在开放的网络中为用户提供身份认证的一种方式

B.系统中的用户要相互访问必须首先向CA申请票据

C.KDC中保存着所有用户的账号和密码

D.Kerberos使用时间戳来防止重放攻击

【答案】B

【解析】目前常用的密钥分配方式是设立密钥分配中心KDC，KDC是大家都信任的机构，其任务就是给需要进行秘密通信的用户临时分配一个会话密钥。目前用得最多的密钥分配协议是Kerberos。

Kerberos使用两个服务器：鉴别服务器AS、票据授权服务器TGS。

在Kerberos认证系统中，用户首先向认证服务器申请初始票据，然后票据授权服务器（TGS）获得会话密码。

15.单选题

RIP路由协议规定在邻居之间每30秒进行一次路由更新，如果（

）仍未收到邻居的通告消息，则可以判断与该邻居路由器间的链路已经断开。

问题1选项

A.60秒

B.120秒

C.150秒

D.180秒

【答案】D

【解析】RIP三个定时器：

更新定时器：每隔30秒发整张路由表的副表给邻居路由器。

无效定时器：180秒，超过这个时间没有收到邻居路由器发来的更新信息，就认为路由失效。

垃圾收集定时器：当路由器的路由无效后，该路由成为一个无效路由项，COST值会标记为16，缺省时间为120秒，如果在这段时间内没收到该路由的更新消息，计时器结束后清除这条路由表项。

16.单选题

企业级路由器的初始配置文件通常保存在（

）上。

问题1选项

A.SDRAM

B.NVRAM

C.Flash

D.BootROM

【答案】B

【解析】NVRAM：非易失存储器，用来保存的是启动配置文件。

Flash：闪存，用来保存VRP系统软件。

ROM：只读，用来存储引导程序。

RAM：随机存储器，保存当前运行的配置程序，系统关闭或重启信息会丢失。

SDRAM：是系统运行的缓存空间

17.单选题

以下关于HDLC协议的叙述中，错误的是（

）。

问题1选项

A.接收器收到一个正确的信息帧，若顺序号在接收窗口内，则可发回确认帧

B.发送器每接收到一个确认，就把窗口向前滑动到确认序号处

C.如果信息帧的控制字段是8位，则发送顺序号的取值范围是0-127

D.信息帧和管理帧的控制字段都包含确认顺序号

【答案】C

【解析】信息帧用于传送用户数据、通常简称Ｉ帧。Ｉ帧以控制字段第一位为“0”来标识。信息帧的控制字段中的N（S）用于存放发送帧序号，可以让发送方不必等待确认而连续发送多帧。N（R）用于存放下一个预期要接收的帧的序号，N（R）=5，即表示下一帧要接收5号帧，换言之，5号帧前的各帧接收到。N（S）和N（R）均为3位二进制编码，可取值０～７。

管理监控帧用于差错控制和流量控制，其中包含N（R）。

无编号帧用于提供对链路的建立、拆除以及多种控制功能。无编号帧因其控制字段中不包含编号N（S）和N（R）而得名，简称U帧。U帧用于提供对链路的建立、拆除以及多种控制功能，但是当要求提供不可靠的无连接服务时，它有时也可以承载数据。

18.单选题

对于链路状态路由算法而言，若共有N个路由器，路由器之间共有M条链路，则链路状态通告的消息复杂度以及接下来算法执行的时间复杂度分别是(

)。

问题1选项

A.O(M2)和O(N2)

B.O(NM)和O(N2)

C.O(N2)和O(M2)

D.O(NM)和O(M2)

【答案】B

【解析】链路状态通告的消息复杂度O(NM)。

使用最短路径优先算法，算法复杂度为O(n2)n个结点（不包括源结点）

19.单选题

6个速率为64Kb/s的用户按照统计时分多路复用技术(STDM)复用到一条干线上、若每个用户平均效率为80%，干线开销4%，则干线速率为(

)Kb/s。

问题1选项

A.160

B.307.2

C.320

D.400

【答案】C

【解析】64*6*80%/(1-4%)=320。

20.单选题

下面支持IPv6的是(

)。

问题1选项

A.OSPFv1

B.OSPFv2

C.OSPFv3

D.OSPFv4

【答案】C

【解析】OSPF（OpenShortestPathFirst）是IETF组织开发的一个基于链路状态的内部网关协议（InteriorGatewayProtocol）。

目前针对IPv4协议使用的是OSPFVersion2，针对IPv6协议使用OSPFVersion3。

21.单选题

以下关于单模光纤与多模光纤区别的描述中，错误的是（

）。

问题1选项

A.单模光纤的工作波长一般是1310nm，1550nm，多模光纤的工作波长一般是850nm

B.单模光纤纤径一般为9/125μm，多模光纤纤径一般为50/125μm或62.5/125μm

C.单模光纤常用于短距离传输，多模光纤多用于远距离传输

D.单模光纤的光源一般是LD或光谱线较窄的LED，多模光纤的光源一般是发光二极管或激光器

【答案】C

【解析】光纤分为多模光纤和单模光纤两类，多模光纤和单模光纤的区别，主要在于光的传输方式不同，当然带宽容量也不一样。多模光纤直径较大，不同波长和相位的光束沿光纤壁不停地反射着向前传输，造成色散，限制了两个中继器之间的传输距离和带宽，多模光纤的带宽约为2.5Gbps。单模光纤的直径较细，光在其中直线传播，很少反射，所以色散减小、带宽增加，传输距离也得到加长。但是与之配套的光端设备价格较高，单模光纤的带宽超过10Gbps。

22.单选题

以下关于光功率计的功能的说法中，错误的是(

)。

问题1选项

A.可以测量激光光源的输出功率

B.可以测量LED光源的输出功率

C.可以确认光纤链路的损耗估计

D.可以通过光纤一端测得光纤损耗

【答案】D

【解析】光功率计（opticalpowermeter）是指用于测量绝对光功率或通过一段光纤的光功率相对损耗的仪器。

OTDR可以通过光纤一端测得光纤损耗。

23.单选题

在PKI系统中，负责验证用户身份的是（

），（

）用户不能够在PKI系统中申请数字证书。

问题1选项

A.证书机构CA

B.注册机构RA

C.证书发布系统

D.PKI策略

问题2选项

A.网络设备

B.自然人

C.政府团体

D.民间团体

【答案】第1题:B

第2题:A

【解析】第1题:一个典型的PKI系统如图所示，其中包括终端PKI实体、CA、RA和证书/CRL发布点四类实体共同组成。

（1）证书机构CA是PKI的信任基础，它管理公钥的整个生命周期，其作用包括：发放证书、规定证书的有效期和通过发布证书废除列表CRL确保必要时可以废除证书。

（2）注册机构RA是一个受CA委托来完成PKI实体（是指将要向认证中心CA申请数字证书的客户，可以是个人，也可以是集团或团体、某政府机构等）注册的机构，它接收用户的注册申请，审查用户的申请资格，并决定是否同意CA给其签发数字证书，用于减轻CA的负担。建议在部署PKI系统时，RA与CA安装在不同的设备上，减少CA与外界的直接交互，以保护CA的私钥。

（3）RA接收CA返回的证书，发送到轻量级目录访问协议LDAP服务器，并告知用户证书发送成功。

第2题:

24.单选题

下面关于第三方认证的服务说法中，正确的是（

）。

问题1选项

A.Kerberos认证服务中保存数字证书的服务器叫CA

B.Kerberos和PKI是第三方认证服务的两种体制

C.Kerberos认证服务中用户首先向CA申请初始票据

D.Kerberos的中文全称是“公钥基础设施”

【答案】B

【解析】目前常用的密钥分配方式是设立密钥分配中心KDC，KDC是大家都信任的机构，其任务就是给需要进行秘密通信的用户临时分配一个会话密钥。目前用得最多的密钥分配协议是Kerberos。Kerberos使用两个服务器：鉴别服务器AS、票据授权服务器TGS。

PKI（PublicKeyInfrastructure，公钥基础设施）是一个利用公钥理论和技术来实现并提供信息安全服务的具有通用性的安全基础设施。

PKI系统以数字证书的形式分发和使用公钥。数字证书是一个用户的身份和它所持有的公钥的结合。基于数字证书的PKI系统，能够为网络通信和网络交易（例如电子政务和电子商务）提供各种安全服务。

25.单选题

在进行室外无线分布系统规划时，菲涅尔区的因素影响在（

）方面，是一个重要的指标。

问题1选项

A.信道设计

B.宽带设计

C.覆盖设计

D.供电设计

【答案】C

【解析】无线电波波束的菲涅尔区是一个直接环绕在可见视线通路周围的椭球区域。其厚度会因信号通路长度和信号频率的不同而有所变化。

26.单选题

IPv4首部的最大值为(

)字节，原因是IHL字段长度为(

)比特。

问题1选项

A.5

B.20

C.40

D.60

问题2选项

A.2

B.4

C.6

D.8

【答案】第1题:D

第2题:B

【解析】首部长度占4位，可表示的最大十进制数值为15。因此首部长度的最大值是15个4字节（32位）长的字，即60字节。当IP分组的首部长度不是4字节的整数倍的时候，必须利用最后的填充字段加以填充。典型的IP数据报不使用首部中的选项，因此典型的IP数据报首部长度是20字节。

27.单选题

下列命令片段用于配置(

）

system-view

[~HUAWEI]interface10ge1/0/1

[~HUAWEI-10GE1/0/1]loopback-detectenable

[*HUAWEI-10GE1/0/1]commit

问题1选项

A.环路检测

B.流量抑制

C.报文检查

D.端口镜像

【答案】A

【解析】loopback-detectenable命令用来使能所有接口环回检测功能。

28.单选题

每一个光纤通道节点至少包含一个硬件端口，按照端口支持的协议标准有不同类型的端口，其中NLPORT是（

）。

问题1选项

A.支持仲裁环路的节点端口

B.支持仲裁环路的交换端口

C.光纤扩展端口

D.通用端口

【答案】A

【解析】NL_PORT：NL_Port是支持仲裁环路的节点端口。

FL_PORT：FL_PORT是支持仲裁环路的交换端口。

E_PORT：E_Port是一个光纤扩展端口，用于多路交换光纤环境下。

N_PORT：Node_ports既可以用在端到端也可以用在光纤交换环境。

F_PORT：Fabric_Ports用于光纤交换环境下N_port之间的互连，从而所有节点都可以相互通信。

29.单选题

MIMO技术在5G中起着关键作用，以下不属于MIMO功能的是（）。

问题1选项

A.收发分离

B.空间复用

C.赋形抗干扰

D.用户定位

【答案】D

【解析】通过充分利用无线信道的"空间"特性，可以使用布置在无线通信系统中发射机和/或接收机处的多根天线，实质性地提高系统性能。这些系统，现在广泛称为"多路输入多路输出(MIMO)"，即在发射机和接收机处设置两根或更多根天线。

30.单选题

以100Mb/s以太网连接的站点A和B相距2000m，通过停等机制进行数据传输，传播速度为200m/us，最高的有效传输速率为（

）Mb/s。

问题1选项

A.80.8

B.82.9

C.90.1

D.92.3

【答案】B

【解析】一个数据帧帧长最大为1518字节。

其中数据帧发送时间=1518×8/100Mb/s=121.44us

数据帧传播时间=2000m/200m/us=10us。

停等协议是发送一帧，收到确认后再发下一帧，确认帧是64B，则发送时间=64×8/100mbps=5.12us

则总时间=121.44us+5.12us+10us+10us=146.56us。

发送一个数据帧的有效速率=1518×8/146.56=82.9mbps。

31.单选题

某数据中心中配备2台核心交换机CoreA和CoreB，并配置VRRP协议实现冗余，网络管理员例行巡查时，在核心交换机CoreA上发现内容为“ThestateofVRRPchangedformmastertootherstate”的告警日志，经过分析，下列选项中不可能造成该报警的原因是（）。

问题1选项

A.CoreA和CoreB的VRRP优先级发生变化

B.CoreA发生故障

C.CoreB发生故障

D.CoreB从故障中恢复

【答案】C

【解析】交换机A的状态从主交换状态切换成其他状态。

原因1：

主用交换机故障。

原因2：

主用链路故障。

原因3：

主用交换机或备份交换机的VRRP优先级发生变化。

原因4：

主用交换机上VRRP所在的逻辑接口被删除或者是VRRP配置被删除。

原因5：

原主用交换机故障恢复。

原因6：

原主用链路故障恢复。

32.单选题

下列不属于快速UDP互联网连接(QUIC)协议的优势是(

)。

问题1选项

A.高速且无连接

B.避免队头阻塞的多路复用

C.连接迁移

D.前向冗余纠错

【答案】A

【解析】和TCP相反，UDP协议是无连接协议。客户端发出UDP数据包后，只能“假设”这个数据包已经被服务端接收。这样的好处是在网络传输层无需对数据包进行确认，但存在的问题就是为了确保数据传输的可靠性，应用层协议需要自己完成包传输情况的确认。

此时，QUIC协议就登场了。

QUIC是QuickUDPInternetConnections的缩写，谷歌发明的新传输协议。

与TCP相比，QUIC可以减少延迟。

QUIC协议可以在1到2个数据包（取决于连接的服务器是新的还是已知的）内，完成连接的创建（包括TLS）。

QUIC（QuickUDPInternetConnection）是谷歌制定的一种互联网传输层协议，它基于UDP传输层协议，同时兼具TCP、TLS、HTTP/2等协议的可靠性与安全性，可以有效减少连接与传输延迟，更好地应对当前传输层与应用层的挑战。

在UDP上保证可靠传输的QUIC协议，很多实现基本上是照搬了TCP协议，另外做了很多优化。避免队头阻塞

QUIC能够在传输层中区分出不同的数据流，前一个丢包不会阻塞住后面无关的数据包，这样就避免了刚才的队头阻塞问题。

连接迁移

TCP通过四元组（源端口、源IP、目的端口、目的IP）标记一条连接，当网络发生变化是会导致连接断开，比如从Wifi切换到4G时，需要断连重连。QUIC通过一个64位的随机ID数表示一个连接，当网络环境变化时，不会断开连接。

QUIC使用前向纠错的纠错码，每个数据包除了它本身的内容之外，还包括了部分其他数据包的数据，因此少量的丢包可以通过其他包的冗余数据直接组装而无需重传。

33.单选题

由于采用了()技术，ADSL的上行与下行信道频率可部分重叠。

问题1选项

A.离散多音调

B.带通过滤

C.回声抵消

D.定向采集

【答案】C

【解析】ADSL利用铜双绞线的0～1MHz频段传输数据，它将这部分可用频段分成3段，其中0～4kHz频段用于POTS业务，20～138kHz频段用于传送上行(从用户端到局端)控制信息，而下行(从局端到用户端)数字信道可采用频分复用(FDM)方式或频谱重叠方式分别占用138kHz或者20kHz以上的频段。在频谱重叠方式中，ADSL接收端需要采用回波抵消算法来分离上下行信道的信息。

34.单选题

网络管理员检测到局域网内计算机的传输速度变得很慢，可能造成该故障的原因有（

）。

①网络线路介质故障

②计算机网卡故障

③蠕虫病毒

④WannaCry勒索病毒

⑤运营商互联网接入故障

⑥网络广播风暴

问题1选项

A.①②⑤⑥

B.①②③④

C.①②③⑤

D.①②③⑥

【答案】D

【解析】排除掉④，勒索病毒，是一种新型电脑病毒，主要以邮件、程序木马、网页挂马（将木马伪装为页面元素。木马则会被浏览器自动下载到本地）的形式进行传播。该病毒性质恶劣、危害极大，一旦感染将给用户带来无法估量的损失。这种病毒利用各种加密算法对文件进行加密，被感染者一般无法解密，之后向受害者索要数额不等的赎金后才予以解密。

排除掉⑤，互联网接入故障不会影响局域网内传输速度。

35.单选题

假设主机A通过Telnet连接了主机B，连接建立后，在命令行输入“C”，如图所示，主机B收到字符“C”后，用于运输回送消息的TCP段的序列号seq应为（），而确认号ack应为（）。

问题1选项

A.随机数

B.42

C.79

D.43

问题2选项

A.随机数

B.43

C.79

D.42

【答案】第1题:C

第2题:B

【解析】第1题:seq序号：字节流当中的每一个字节都按顺序编号。首部中的序号字段值指的是本报文段所发送的数据的第一个字节的序号。

ack确认号：期望接收到对方下一个报文段的第一个数据字节的序号。

第2题:

36.单选题

下列DHCP报文中，由客户端发送给DHCP服务器的是（）。

问题1选项

A.DhcpDecline

B.DhcpOffer

C.DhcpAck

D.DhcpNack

【答案】A

【解析】DHCPDecline：DHCP客户端收到DHCP服务器回应的ACK报文后，通过地址冲突检测发现服务器分配的地址冲突或者由于其他原因导致不能使用，则发送Decline报文，通知服务器所分配的IP地址不可用。再有就是通知DHCP服务器禁用这个IP地址以免引起IP地址冲突。然后客户端又开始新的DHCP过程

37.案例题

阅读以下说明，回答问题1至问题4，将解答填入答题纸对应的解答栏内。

【说明】

某居民小区FTTB+HGW网络拓扑如图1-1所示。GPONOLT部署在汇聚机房，通过聚合方式接入到城城网：ONU部署在居民楼楼道交接箱里，通过用户家中部署的LAN.上行的HGW来提供业务接入接口。

HGW通过ETH接口上行至ONU设备，下行通过FE/WiFi接口为用户提供Internet业务，通过FE接口为用户提供IPTV业务。

HGW提供PPPoE拨号、NAT等功能，可以实现家庭内部多台PC共享上网。

【问题1】（8分）

1.对网络进行QoS规划时，划分了语音业务、管理业务、IPTV业务、上网业务，其中优先级最高的是（1），优先级最低是（2）。

2.通常情况下，一路语音业务所需的带宽应达到或接近（3）kb/s，一路高清IPTV所需的带宽应达到或接近（4）Mb/s。

（3）、（4）的备选答案：

A.100

B.10

C.1000

D.50

3.简述上网业务数据规划的原则。

【问题2】（10分）

小区用户上网业务需要配置的内容包括OLT、ONU、家庭网关HGW，其中：

1.在家庭网关HGW上配置的有（5）和（6）。

2.在ONU上配置的有（7）.（8）、（9）和（10）。

3.在OLT上配置的有（11）、（12）.（13）和（14）。

（5）-（14）的备选答案：

A.配置语音业务

B.配置上网业务

C.配置IPTV业务

D.配置聚合、拥塞控制及安全策略

E.增加ONU

F.配置OLT和ONU之间的业务通道

G.配置OLT和ONU之间的管理通道

【问题3】（3分）

某OLT.上的配置命令如下所示。

简要说明步骤1~3命令片段实现的功能。

步骤1：（15）。

步骤2：（16）

步骤3：（17）

【问题4】（4分）

在该网络中，用户的语音业务（电话）的上联设备是ONU，采用H.248语音协议，通过运营的（18）接口和语音业务通道接入网络侧的（19）

【答案】【问题1】

1.（1）管理业务

（2）上网业务

2.（3）A

（4）B

3.不同场景下VLAN的规划、VLAN切换策略的规划。

【问题2】

（5）B

（6）C（注：（5）（6）答案可互换）

（7）B

（8）A

（9）C

（10）D（注：（7）-（10）答案可互换）

（11）E

（12）F

（13）G

（14）D（注：（11）~（14）答案可互换）

【问题3】

（15）配置OLT的带内管理VLAN和IP地址。

（16）配置ONU的带内管理VLAN和IP地址。

（17）配置带内管理业务流。

【问题4】

（18）MG

（19）多媒体综合业务平台

【解析】【问题1】

1、解析：对网络进行QoS规划时，划分了语音业务、管理业务、IPTV业务、上网业务，其中优先级最高的是管理业务，对实时性要求最高，优先级最低是普通用户上网业务，对实时性、带宽要求低于语音和IPTV业务。

2.一般语音业务带宽需要达到64Kbps以上，而IPTV是利用宽带网络，集互联网、多媒体、通讯等多种技术于一体，向家庭用户提供包括数字电视在内的多种交互式服务，该服务为家庭宽带用户提供通过机顶盒+电视机的方式，进行视频节目的直播、点播、回看、时移等功能，除此之外还可以通过此方式提供互联网应用和视频通信等丰富的应用业务服务，带宽需要在10Mbps以上。

3.不同用户业务应通过不同的VLANID区分。

【问题2】

（5）-（6）在家庭网关设备中配置上网业务和IPTV业务。

（7）-（10）在光网络单元设备中配置语音业务、上网业务、IPTV业务、配置聚合、拥塞控制和安全策略。

（11）-（14）在光线路终端配置拥塞控制和安全策略、增加ONU、增加OLT和ONU之间的业务通道和管理通道。

【问题3】

（15）配置OLT的带内管理VLAN和IP地址。

（16）配置ONU的带内管理VLAN和IP地址。

（17）配置带内管理业务流。

【问题4】

（18）H.248协议是2000年由ITU-T第16工作组提出的媒体网关控制协议，采用H.248语音协议，通过运营的多媒体网关MG接口和语音业务通道接入网络侧的多媒体综合业务平台。

38.案例题

回答问题1至问题3。

【问题1】(4分)

安全管理制度管理、规划和建设为信息安全管理的重要组成部分。一般从安全策略、安全预案、安全检查、安全改进等方面加强安全管理制度建设和规划。其中，(1)应定义安全管理机构、等级划分、汇报处置、处置操作、安全演练等内容;(2)应该以信息安全的总体目标、管理意图为基础,是指导管理人员行为,保护信息网络安全的指南。

【问题2】(11分)

某天,网络安全管理员发现web服务器访问缓慢,无法正常响应用户请求,通过检查发现,该服务器CPU和内存资源使用率很高、网络带宽占用率很高,进一步查询日志,发现该服务器与外部未知地址有大量的UDP连接和TCP半连接,据此初步判断该服务器受到(3)和(4)类型的分布式拒绝服务攻击(DDos)，可以部署(5)设备进行防护。这两种类型的DDos攻击的原理是(6)、(7)。

(3)~(4)备选答案(每个选项仅限选一次):

APing洪流攻击

BSYN泛洪攻击

CTeardrop攻击

DUDP泛洪攻击

(5)备选答案:

A抗DDoS防火墙

BWeb防火墙

C入侵检测系统

D漏洞扫描系统

【问题3】(10分)

网络管理员使用检测软件对Web服务器进行安全测试,图3-1为测试结果的片段信息,从测试结果可知,该Web系统使用的数据库软件为(8)Web服务器软件为(9)该Web系统存在(10)漏洞，针对该漏洞应采取(11)、(12)等整改措施进行防范。

【答案】【问题1】

（1）安全预案

（2）安全策略

【问题2】

（3）UDP泛洪攻击

（4）SYNflooding攻击

（5）A

（6）UDP泛洪（UDPflood）：攻击者通过向目标主机发送大量的UDP报文，导致目标主机忙于处理这些UDP报文，而无法处理正常的报文请求或响应。

（7）SYNflooding攻击，通常发生在TCP连接需要进行三次握手过程中。当客户端向服务端发出请求时，首先会发送一个TCPSYN数据包。而后响应一个SYNACK数据包。服务器随后将等待从客户端收到一个ACK数据包。如果服务器没有收到ACK数据包，TCP连接将处于半打开状态，直到服务器从客户端收到ACK数据包或者连接因为计时器超时为止。当一个攻击者有意地、重复地向服务器发送SYN数据包，但不对服务器发回的SYNACK数据包答复ACK数据包时，就会发生TCPSYNflooding攻击。这时，服务器将会失去对资源的控制，无法建立任何新的合法TCP连接。WAF防护应用层流量的拒绝服务攻击，适合防御HTTPGet攻击等。

WAF服务并不提供针对四层及以下流量的防护，例如：ACKFlood、UDPFlood等攻击，这类攻击建议使用DDoS及IP高防服务进行防护。

【问题3】

（8）mysql

（9）Apache

（10）SQL注入攻击

（11）使用参数化的过滤性语句

（12）使用专业的漏洞扫描工具、IPS、WAF等设备。

【解析】【问题1】

（1）网络与信息安全应急预案：为了切实做好财政系统网络与信息安全突发事件的防范和应急处理工作，提高财政系统预防和控制网络与信息安全突发事件的能力和水平，减轻或消除突发事件的危害和影响，确保财政系统网络与信息安全，结合工作实际，制定本预案。在安全预案中需要明确安全等级划分、安全管理机构、处置机构、处置流程、处置方法等内容。

（2）安全策略是对信息系统安全管理的目标和意图的描述，是对信息系统安全进行管理和保护的指导原则，是指导管理人员的行为、保护信息网络安全的指南，在安全策略的指导下制定安全管理制度、组织实施、检查改进、保证信息系统安全保护工作的整体性、计划性和规范性，确保技术保护措施和管理手段的正确实施，使得信息系统数据的完整性、机密性和可用性受到全面的保护

【问题2】

（3）（4）（6）（7）发现该服务器与外部未知地址有大量的UDP连接和TCP半连接，可以判断为SYNflooding攻击和UDP泛洪攻击。

UDP泛洪（UDPflood）：攻击者通过向目标主机发送大量的UDP报文，导致目标主机忙于处理这些UDP报文，而无法处理正常的报文请求或响应。

SYNflooding攻击，通常发生在TCP连接需要进行三次握手过程中。当客户端向服务端发出请求时，首先会发送一个TCPSYN数据包。而后响应一个SYNACK数据包。服务器随后将等待从客户端收到一个ACK数据包。如果服务器没有收到ACK数据包，TCP连接将处于半打开状态，直到服务器从客户端收到ACK数据包或者连接因为计时器超时为止。当一个攻击者有意地、重复地向服务器发送SYN数据包，但不对服务器发回的SYNACK数据包答复ACK数据包时，就会发生TCPSYNflooding攻击。这时，服务器将会失去对资源的控制，无法建立任何新的合法TCP连接。

（5）A

【问题3】

（8）从图中可以清晰地看出是mysql数据库，web服务器使用的软件是Apache，改WEB服务器存在SQL注入攻击漏洞，防范措施可以使用参数化的过滤性语句、使用专业的漏洞扫描工具、使用IPS、WAF等设备。

39.单选题

在一个分布式软件系统中，一个构件失去了与另一个远程构件的连接。在系统修复后，连接于30秒之内恢复，系统可以重新正常工作直到其它故障发生。这一描述体现了软件系统的（）

问题1选项

A.安全性

B.可用性

C.兼容性

D.性能

【答案】B

【解析】可用性（availability）是系统能够正常运行的时间比例。经常用两次故障之间的时间长度或在出现故障时系统能够恢复正常的速度来表示。

40.单选题

在光纤通信中，WDM实际上是（

）。

问题1选项

A.OFDM（OrthogonalFrequencyDivisionMultiplexing）

B.OTDM（OpticalTimeDivisionMultiplexing）

C.CDM（CodeDivisionMultiplexing）

D.EDFA（ErbiumDopedFiberAmplifier）

【答案】A

【解析】波分复用WDM是将两种或多种不同波长的光载波信号（携带各种信息）在发送端经复用器汇合在一起，并耦合到光线路的同一根光纤中进行传输的技术；在接收端，经解复用器将各种波长的光载波分离，然后由光接收机作进一步处理以恢复原信号。这种在同一根光纤中同时传输两个或众多不同波长光信号的技术，称为波分复用。波分复用是频分复用的一种形式，因为波长=光速/频率。

OTDM是光时分复用，CDM是码分，EDFA是掺铒光纤放大器。

41.单选题

若要获取某个域的授权域名服务器的地址，应查询该域的（

）记录。

问题1选项

A.CNAME

B.MX

C.NS

D.A

【答案】C

【解析】DNS的资源记录中的NS记录列出负责区域名解析的DNS服务器。CNAME记录是别名记录、MX是邮件交换记录、A是主机记录。

42.单选题

网络需求分析是网络开发过程的起始阶段，收集用户需求最常用的方式不包括（

）。

问题1选项

A.观察和问卷调查

B.开发人员头脑风暴

C.集中访谈

D.采访关键人物

【答案】B

【解析】充分了解网络应用系统需求是做好需求分析的关键。需求分析人员在与用户交流和观察工作流程获取初步需求时，采取一定的技术和技巧可以快速、准确地获取初步需求。

网络规划设计师在收集需求时，获取用户需求的常用方法包括采访、观察、问卷和调查、建立原型等，以此得到潜在用户的反馈。

43.单选题

以下关于OSPF协议路由聚合的描述中，正确的是（

）。

问题1选项

A.ABR会自动聚合路由，无需手动配置

B.在ABR和ASBR上都可以配置路由聚合

C.一台路由器同时做ABR和ASBR时不能聚合路由

D.ASBR上能聚合任意的外部路由

【答案】B

【解析】地址汇总也叫做路由汇聚，是把ABR或ASBR具有相同前缀的路由信息进行聚合，只发布聚合后的路由给其他区域。这样可以大大减少区域内部路由器中的路由条目数，提高路由查询效率。所以在OSPF路由汇总中，主要是在ABR或者ASBR路由上进行的，分别进行的是区域间路由汇总和路由引入的汇总。

44.单选题

如图1所示，某网络中新接入交换机SwitchB，交换机SwitchB的各接口均接入网线后，SwitchA的GE1/0/3接口很快就会处于down状态，拔掉SwitchB各接口的网线后（GE1/0/1除外），Switch