2022年职业考证-软考-网络工程师考试名师押题精选卷I（带答案详解）试卷号56

住在富人区的她2022年职业考证-软考-网络工程师考试名师押题精选卷I（带答案详解）（图片可根据实际调整大小）题型12345总分得分一.综合题(共50题)1.单选题

用户可以使用（）向DHCP服务器重新请求IP地址配置。

问题1选项

A.ipconfig/renew

B.ipconfig/release

C.ipconfig/reconfig

D.ipconfig/reboot

【答案】A

【解析】ipconfig/all：显示本机TCP/IP配置的详细信息；

ipconfig/release：DHCP客户端手工释放IP地址；

ipconfig/renew：DHCP客户端手工向服务器刷新请求；

ipconfig/flushdns：清除本地DNS缓存内容；

ipconfig/displaydns：显示本地DNS内容；

ipconfig/registerdns：DNS客户端手工向服务器进行注册；

2.单选题

某学校网络分为家属区和办公区，网管员将/24、/24两个IP地址段汇聚为/22用于家属区IP地址段，下面的IP地址中可用作办公区IP地址的是（）。

问题1选项

A.54/22

B.20/22

C.55/22

D.1/22

【答案】D

【解析】Normal07.8磅02falsefalsefalseEN-USZH-CNX-NONE

/22，主机位10位，192.168.0001000000000000说明汇聚后的地址范围是—55。只有D选项不在此范围内。

3.单选题

网络管理员用netstat命令监测系统当前的连接情况，若要显示所有80端口的网络连接，则应该执行的命令是（

）。

问题1选项

A.netstat-n-p|grepSYN_REC|wc-I

B.netstat-anp|grep80

C.netstat-anp|grep‘tcp|udp’

D.netstat-plan|awk{‘print$5’}

【答案】B

【解析】Netstat命令用于显示各种网络相关信息，

常见参数

-a(all)显示所有选项，默认不显示LISTEN相关

-t(tcp)仅显示tcp相关选项

-u(udp)仅显示udp相关选项

-n拒绝显示别名，能显示数字的全部转化成数字

-l仅列出有在Listen(监听)的服务状态

-p显示建立相关链接的程序名

-r显示路由信息，路由表

-e显示扩展信息，例如uid等

-s按各个协议进行统计

-c每隔一个固定时间，执行该netstat命令。

4.单选题

在浏览器地址栏输入/进行访问时，首先执行的操作是（）

问题1选项

A.域名解析

B.建立控制命令连接

C.建立文件传输连接

D.发送FTP命令

【答案】A

【解析】在浏览器输入想要访问的域名之后，浏览器会进行域名解析获得IP地址，再建立TCP连接，再进行FTP控制连接和数据连接，最后响应TCP命令。

5.单选题

使用ADSL接入电话网采用的认证协议是（）。

问题1选项

A.802.1x

B.802.5

C.PPPoA

D.PPPoE

【答案】D

【解析】ADSL采用的认证协议是PPPOE。

6.单选题

下列关于项目收尾的说法中错误的是（）。

问题1选项

A.项目收尾应收到客户或买方的正式验收确认文件

B.项目收尾包括管理收尾和技术收尾

C.项目收尾应向客户或买方交付最终产品、项目成果、竣工文档等

D.合同中止是项目收尾的一种特殊情况

【答案】B

【解析】项目收尾(ProjectConclusion)；根据PMI（美国项目管理协会）的概念，项目收尾包括合同收尾和管理收尾两部分。合同收尾就是抓起合同，和客户一项项的核对，是否完成了合同所有的要求，是否可以把项目结束掉，也就是我们通常所讲的验收。

7.单选题

Ping使用了（）类型的ICMP查询报文。

问题1选项

A.EchoReply

B.HostUnreachable

C.RedirectforHost

D.SourceQueach

【答案】A

【解析】源主机（输ping命令的主机）向对方主机发送一个ICMP协议中的EchoRequest包，而对方如果存活，就向源主机返回一个ICMP协议的echo-reply包。

8.单选题

某无线路由器，在2.4GHz频道上配置了2个信道，使用（

）信道间干扰最小。

问题1选项

A.1和3

B.4和7

C.6和10

D.7和12

【答案】D

【解析】IEEE802.11工作在2.4GHz情况下定义了14个信道，每个信道的频带宽度是22MHz。为了最大限度利用频带资源，可以使用（1、6、11），（2、7、12），（3、8、13），（4、9、14）这4组互不干扰的信道来进行无线覆盖。但由于只有部分国家开放了12-14信道频带，所以我们一般情况下就是用1、6、11这3个信道的组合。

9.单选题

Windows系统中，DHCP客户端通过发送（）报文请求IP地址配置信息，当指定的时间内未接收到地址配置信息时，客户端可能使用的IP地址是（）。

问题1选项

A.Dhcpdiscover

B.Dhcprequest

C.Dhcprenew

D.Dhcpack

问题2选项

A.

B.55

C.

D.

【答案】第1题:A

第2题:C

【解析】当DHCP客户机第一次登录网络的时候（也就是客户机上没有任何IP地址数据时），它会通过UDP67端口向网络上发出一个DHCPDISCOVER数据包（包中包含客户机的MAC地址和计算机名等信息）。因为客户机还不知道自己属于哪一个网络，所以封包的源地址为，目标地址为55，然后再附上DHCPdiscover的信息，向网络进行广播。

DHCPdiscover的等待时间预设为1秒，也就是当客户机将第一个DHCPdiscover封包送出去之后，在1秒之内没有得到回应的话，就会进行第二次DHCPdiscover广播。若一直没有得到回应，客户机会将这一广播包重新发送四次（以2，4，8，16秒为间隔，加上1-1000毫秒之间随机长度的时间）。如果都没有得到DHCPServer的回应，客户机会从/16这个自动保留的私有IP地址中选用一个IP地址，并且每隔5分钟重新广播一次，如果收到某个服务器的响应，则继续IP租用过程。

10.单选题

以下关于信息化项目成本估算的描述中，不正确的是（

）。

问题1选项

A.项目成本估算指设备采购、劳务支出等直接用于项目建设的经费估算

B.项目成本估算需考虑项目工期要求的影响，工期要求越短成本越高

C.项目成本估算需考虑项目质量要求的影响，质量要求越高成本越高

D.项目成本估算过粗或过细都会影响项目成本

【答案】A

【解析】项目成本估算需考虑项目工期要求的影响，工程项目都有其特定的工期要求，一般来说，工期越短，工期措施成本越小；但当工期短至一定限度时，工期措施成本则会急剧上升。

项目成本估算指设备采购、劳务支出等直接用于项目建设的经费估算。

11.单选题

在网络系统设计时，不可能使所有设计目标都能达到最优，下列措施中较为合理的是（）。

问题1选项

A.尽量让最低建设成本目标达到最优

B.尽量让最短的故障时间目标达到最优

C.尽量让最大的安全性目标达到最优

D.尽量让优先级较高的目标达到最优

【答案】D

【解析】网络设计面临的冲突：最低的安装成本、最低的运行成本、最高的运行性能、最大的适应性、最短的故障时间、最大的可靠性、最大的安全性。不可能存在一个网络设计方案，能够使得所有的子目标都达到最优。可采用优先级和建立权重的方法权衡各目标的关心度。

12.单选题

Linux防火墙iptables命令的-P参数表示（）。

问题1选项

A.协议

B.表

C.策略

D.跳转

【答案】C

【解析】iptables命令，大写的P代表策略，小写的p代表协议。

13.单选题

使用命令“vlanbatch3040”和“vlanbatch30to40”分别创建的VLAN数量是（

）。

问题1选项

A.11和2

B.2和2

C.11和11

D.2和11

【答案】D

【解析】vlanbatch3040创建30、40。

vlanbatch30to40创建30到40共11个VLAN。

14.单选题

（

）命令不能获得主机域名（）对应的IP地址。

问题1选项

A.

B.nslookupqt=

C.

D.

【答案】D

【解析】Route命令可以在数据包没有有效传递的情况下，利用route命令查看路由表。

15.单选题

《中华人民共和国数据安全法》由中华人民共和国第十三届全国人民代表大会常务委员会第二十九次会议审议通过，自（

）年9月1日起施行。

问题1选项

A.2019

B.2020

C.2021

D.2022

【答案】C

【解析】《中华人民共和国数据安全法》由中华人民共和国第十三届全国人民代表大会常务委员会第二十九次会议审议通过，自2021年9月1日起施行。

16.单选题

以下关于HTTPS的描述中，正确的是（）。

问题1选项

A.HTTPS和SHTTP是同一个协议的不同简称

B.HTTPS服务器端使用的缺省TCP端口是110

C.HTTPS是传输层协议

D.HTTPS是HTTP和SSL/TLS的组合

【答案】D

【解析】HTTPS在HTTP的基础下加入SSL，HTTPS的安全基础是SSL，端口号是443、属于应用层协议。而SHTTP协议(SecureHyperTextTransferProtocal)安全超文本转换协议，shttp仅以普通http形式传输加密的数据。

17.单选题

Networksecurityistheprotectionoftheunderlyingnetworkinginfrastructure(1)access,misuse,ortheft.Itinvolvescreatingasecureinfrastructurefordeviceandapplicationstoworkina(2)manner.

Networksecuritycombinesmultipledefensesattheedgeandinthenetwork.Eachnetworksecuritylayerimplements（3）controls.Authorizedusersgainaccesstonetworkresources.A(4)isanetworkdevicethatmonitorsincomingandoutgoingnetworktrafficanddecideswhetherblockspecifictrafficbasedonadefinedsetofsecurityrules.Avirtual（5）encryptstheconnectionfromanendpointtoanetwork,oftenovertheinternet,remote-accessVPNusesIPseeorSecureSocketsLayertoauthenticatethebetweendeviceandnetwork.

问题1选项

A.unauthorized

B.authorized

C.normal

D.frequent

问题2选项

A.economical

B.secure

C.fair

D.efficient

问题3选项

A.computing

B.translation

C.policies

D.simulations

问题4选项

A.firewall

B.router

C.gateway

D.switch

问题5选项

A.public

B.private

C.personal

D.political

【答案】第1题:A

第2题:B

第3题:C

第4题:A

第5题:B

【解析】网络安全是保护底层网络基础设施免受未经授权的访问、误用或盗窃。它涉及为设备和应用程序提供一个安全的基础设施，并以安全的方式工作。网络安全结合了边缘和网络中的多层防御。每个网络安全层实现策略控制。授权用户可以访问网络资源。防火墙是一种网络安全设备，它监视传入和传出的网络流量，并根据定义的一组安全规则决定是否分配阻止特定流量。虚拟专用网络通常通过internet对从端点到网络的连接进行加密。典型的远程访问VPN使用IPsec或安全套接字层来验证设备和网络之间的通信。

1)A.未经授权的B.经授权的C.一般的D.频繁的

2)A.经济的B.安全的C.合理的D.有效的

3)A.计算B.翻译C.策略D.模拟

4)A.防火墙B.路由器C.网关D.交换机

5)A.公共的B.私人的C.个人的D.政治的

18.单选题

网络设备发生故障时，会向网络管理系统发送（

）类型的SNMP报文。

问题1选项

A.trap

B.get-response

C.set-request

D.get-request

【答案】A

【解析】网络设备发生故障时，会向网络管理系统发送trap类型的SNMP报文。

19.单选题

在Linux中，用于解析主机域名的文件是（）。

问题1选项

A./dev/host.conf

B./etc/hosts

C./dev/resolv.conf

D./etc/resolv.conf

【答案】B

【解析】Host表存放在一个简单的文本文件中，Linux系统下这个文件名是/etc/hosts，Hosts表的格式左边是一个IP地址，右边是该IP地址对应的名称。使用Host表进行解析不够灵活，不适用于规模很大的网络。

20.单选题

在光纤接入技术中，EPON系统中的ONU向OLT发送数据采用（

）技术。

问题1选项

A.TDM

B.FDM

C.TDMA

D.广播

【答案】C

【解析】在PON中，OLT到ONU的数据传输方向称之为下行方向，反之为上行方向。上下行方向数据传输原理是不同的：

下行方向：OLT采用广播方式，将IP数据、语音、视频等多种业务，通过1：N无源光分路器分配到所有ONU单元。当数据信号到达ONU时，ONU根据OLT分配的逻辑标识，在物理层上做判断，接收给它自己的数据帧，丢弃那些给其它ONU的数据帧。

上行方向：来自各个ONU的多种业务信息，采用时分多址接入TDMA(TimeDivisionMultipleAccess)技术，分时隙互不干扰地通过1：N无源光分路器耦合到同一根光纤，最终送到OLT。

21.单选题

PC1的IP地址为6，PC2的IP地址为00，PC1和PC2在同一网段中，其子网掩码可能是（）。

问题1选项

A.40

B.24

C.92

D.28

【答案】D

【解析】让两个地址在同一网络，需要网络位保持一致。

最后一段，相同位是0，那么最后一段的网络位1位：

00010000

01100100

加上前面的192.168.5，那么只有掩码25位满足需求。

22.单选题

使用（）命令可以显示OSPF接口信息。

问题1选项

A.displayospferror

B.displaythis

C.displayospfbrief

D.displayospfinterface

【答案】D

【解析】OSPF/接口。

23.案例题

阅读以下说明，回答问题1至问题3，将解答填入答题纸对应的解答栏内。

【说明】

图2-1所示为某单位网络拓扑图片段。

故障一

某天，网络管理员小王接到网络故障报告，大楼A区用户无法上网，经检查，A区接入交换机至中心机房核心交换机网络不通，中心机房核心交换机连接A区接入交换机的端口灯不亮。

故障二

某天，网络管理员小王接到大楼用户上网故障报告，B区用户小李的电脑网络连接显示正常，但是无法正常打开网页，即时聊天软件不能正常登录。

【问题1】(6分)

针对故障一，网络管理员使用(1)设备对光缆检查，发现光衰非常大，超出正常范围，初步判断为光缆故障，使用(2)设备判断出光缆的故障位置，经检查故障点发现该处光缆断裂，可采用(3)措施处理较为合理。

(1)-(2)备选答案(每个备选答案只可选一次)：

A.网络寻线仪

B.可见光检测笔

C.光时域反射计

D.光功率计

(3)备选答案：

A.使用两台光纤收发器连接

B.使用光纤熔接机熔接断裂光纤

C.使用黑色绝缘胶带缠绕接线

D.使用一台五电口小交换机连接

【问题2】

(8分)

针对故障二，小王在小李的电脑上执行(4)命令显示地址解析协议缓存表内容，检测后发现该缓存表无异常内容；通过执行(5)命令发送ICMP回声请求测试，结果显示与B区接入交换机、核心交换机、上网行为管理系统、入侵检测系统均连接正常，但是与防火墙G1接口和ISP网关不通；通过执行(6)命令显示到达ISP运营商网关的路径，结果显示上网行为管理系统E0接口地址以后均为“*”；更换该电脑的IP地址后，网络正常，由此判断，该故障产生的原因可能是(7)。

(4)一(6)备选答案(每个备选答案只可选一次)：

A.ipconfig

B.ping

C.netstat

D.arp

E.tracert

F.route

G.nslookup

H.net

(7)备选答案：

A.上网行为管理系统禁止该电脑IP访问互联网

B.入侵检测系统禁止该电脑IP访问互联网

C.防火墙禁止该电脑IP访问互联网

D.DNS配置错误

【问题3】

(6分)

为保障数据安全，在数据中心本地和异地定时进行数据备份。其中本地备份磁盘陈列要求至少坏2块磁盘而不丢失数据(不计算热备盘)，应采用(8)磁盘冗余方式；异地备份使用互联网传输数据，应采用(9)措施保障数据传输安全；在有限互联网带宽情况下，应采用(10)措施提高异地备份速度。

(8)各选答案:

A.RAID0

B.RAID1

C.RAID5

D.RAID6

(9)备选答案:

A.两端备份服务器设置复杂密码

B.两端搭建VPN隧道进行传输

C.异地备份点出口部署防火墙设备

D.本地出口部署入侵防御系统

(10)备选答案：

A.增量备份

B.缩短备份周期

C.数据加密

D.工作时间备份

【答案】【问题1】(6分)

（1）D

（2）C

（3）B

【问题2】

(8分)

（4）D

（5）B

（6）E

（7）A

【问题3】

(6分)

（8）D

（9）B

（10）A

【解析】【问题1】(6分)

光功率计（opticalpowermeter）是指用于测量绝对光功率或通过一段光纤的光功率相对损耗的仪器。

光时域反射计（OTDR）是通过对测量曲线的分析，了解光纤的均匀性、缺陷、断裂、接头耦合等若干性能的仪器。它根据光的后向散射与菲涅耳反向原理制作，利用光在光纤中传播时产生的后向散射光来获取衰减的信息，可用于测量光纤衰减、接头损耗、光纤故障点定位以及了解光纤沿长度的损耗分布情况等，是光缆施工、维护及监测中必不可少的工具。

光纤熔接机主要用于光通信中光缆的施工和维护，所以又叫光缆熔接机。一般工作原理是利用高压电弧将两光纤断面熔化的同时用高精度运动机构平缓推进让两根光纤融合成一根，以实现光纤模场的耦合。

【问题2】

(8分)

针对故障二，小王在小李的电脑上执行arp-a命令显示地址解析协议缓存表内容，检测后发现该缓存表无异常内容；通过执行ping命令发送ICMP回声请求测试，结果显示与B区接入交换机、核心交换机、上网行为管理系统、入侵检测系统均连接正常，但是与防火墙G1接口和ISP网关不通；通过执行tracert命令显示到达ISP运营商网关的路径，结果显示上网行为管理系统E0接口地址以后均为“*”；更换该电脑的IP地址后，网络正常，由此判断，该故障产生的原因可能是上网行为管理系统禁止该电脑IP访问互联网。

【问题3】

(6分)

为保障数据安全，在数据中心本地和异地定时进行数据备份。其中本地备份磁盘陈列要求至少坏2块磁盘而不丢失数据(不计算热备盘)，应采用RAID6磁盘冗余方式，因为与RAID5相比，RAID6增加了第二个独立的奇偶校验信息块。两个独立的奇偶系统使用不同的算法，数据的可靠性非常高，即使两块磁盘同时失效也不会影响数据的使用。

异地备份使用互联网传输数据，应采用两端搭建VPN隧道进行传输措施保障数据传输安全；在有限互联网带宽情况下，应采用(10)措施提高异地备份速度。增量备份是备份的一个类型，是指在一次全备份或上一次增量备份后，以后每次的备份只需备份与前一次相比增加或者被修改的数据，能节约备份时间。

24.单选题

SOA(面向服务的架构)是一种（

）服务架构。

问题1选项

A.细粒度、紧耦合

B.粗粒度、松耦合

C.粗粒度、紧耦合

D.细粒度、松耦合

【答案】B

【解析】SOA是一种粗粒度、松耦合服务架构，服务之间通过简单、精确定义接口进行通讯，不涉及底层编程接口和通讯模型。

25.单选题

下面的IP地址中，不属于同一网络的是（）

问题1选项

A.8/21

B.00/21

C.76/21

D.77/21

【答案】D

【解析】根据地址和掩码长度算网络位：

其中A、B、C的网络位为172.20.00100

D选项的网络位为172.20.00101

26.单选题

下列IP地址中属于私有地址的是（

）。

问题1选项

A.0

B.48

C.

D.54

【答案】A

【解析】私有地址范围：

A类地址范围【—55】；27.单选题

要实现PC机切换IP地址后，可以访问不同的VLAN，需采用基于（）技术划分VLAN。

问题1选项

A.接口

B.子网

C.协议

D.策略

【答案】B

【解析】基于IP子网的VLAN（简称子网VLAN）是根据报文源IP地址及子网掩码来进行划分的。设备从端口收到Untagged报文后，会根据报文的源IP地址来确定报文所属的VLAN，然后将报文自动划分到指定VLAN中传输。

28.单选题

显示OSPF邻居信息的命令是（

）。

问题1选项

A.displayospfinterface

B.displayospfrouting

C.displayospfpeer

D.displayospflsdb

【答案】C

【解析】displayospfpeer显示OSPF邻居信息。

29.单选题

以下选项中，不属于计算机操作系统主要功能的是（

）。

问题1选项

A.管理计算机系统的软硬件资源

B.充分发挥计算机资源的效率

C.为其他软件提供良好的运行环境

D.存储数据

【答案】D

【解析】操作系统的基本功能是：1、进程管理。2、存储管理，可分为存储分配、存储共享、存储保护、存储扩张。3、设备管理，可分为设备分配、设备传输控制、设备独立性。4、文件管理。5、作业管理，负责处理用户提交的任何要求。

30.单选题

在Windows系统中，用于清除本地DNS缓存的命令是（）。

问题1选项

A.ipconfig/release

B.ipconfig/flushdns

C.ipconfig/displaydns

D.ipconfig/registerdns

【答案】B

【解析】Ipconfig/all：显示本机TCP/IP配置的详细信息；

Ipconfig/release：DHCP客户端手工释放IP地址；

Ipconfig/renew：DHCP客户端手工向服务器刷新请求，重新获得地址；

Ipconfig/flushdns：清除本地DNS缓存内容；

Ipconfig/displaydns：显示本地DNS内容；

Ipconfig/registerdns：DNS客户端手工向服务器进行注册。

31.单选题

与CSMA相比，CSMA/CD（）。

问题1选项

A.充分利用传播延迟远小于传输延迟的特性，减少了冲突后信道的浪费

B.将冲突的产生控制在传播时间内，减少了冲突的概率

C.在发送数据前和发送数据过程中侦听信道，不会产生冲突

D.站点竞争信道，提高了信道的利用率

【答案】D

【解析】CSMA/CD边发送边监听，一旦监听到冲突就立刻停止发送，使信道能很快空闲下来，提高了信道利用率。

CSMA/CA（CarrierSenseMultipleAccesswithCollisionAvoidance）即载波侦听多路访问／冲突避免。采用该协议要求设备要主动避免冲突而非被动侦测的方式来解决冲突问题。

32.单选题

采用CSMA/CD进行介质访问，两个站点连续冲突3次后再次冲突的概率为（）。

问题1选项

A.12

B.1/4

C.1/8

D.1/16

【答案】C

【解析】以太网采用截断二进制指数退避算法来解决碰撞问题。这种算法让发生碰撞的站在停止发送数据后，不是等待信道变为空闲后就立即再发送数据，而是推迟一个随机的时间。这样做是为了使的重传时再次发生冲突的概念减少。具体的退避算法如下：

（1）确定基本退避时间，一般是取为争用期2t。

（2）从整数集合[0，1，…，(2k-1)]中随机地取出一个数，记为r。重传应退后的时间为r倍的争用期。上面的参数k按下面公式计算：

k=Min[重传次数，10]

可见当重传此数不超过10时，参数k等于重传此数，但当重传次数超过10时，k就不再增大而一直等于10。

（3）当重传次数达16次仍不能成功时，则表明同时打算发送数据的站太多，以至连续发生冲突，则丢弃该帧，并向高层报告。

如题，假设a，b两个站点发送数据，如果不小心同时发送了，就产生了冲突（此时是第一次冲突），产生了冲突就要重传，用二进制指数退避算法，就是在[0，1]去取值。在此时可能会发送冲突，也可能不发生冲突，如果发生冲突，说明a和b都取了同样的数。那如果a和b都取了同样的数，那就产生了第二次冲突，产生冲突又得重传，此时的取值就是[0，1，2，3]。重传的话，可能发生冲突，如果发生冲突，就是第三次冲突，也就说明冲突已经发生了。第三次冲突出现，就要进行重传，取值是[0，1，2，3，4，5，6，7]。题目中问的在这个取值下，发生冲突的概率。即1/8。

33.单选题

在Linux系统通过（）命令，可以拒绝IP地址为的远程主机登录到该服务器。

问题1选项

A.iptables-Ainput-ptcp-s-source-port22-jDENY

B.iptables-Ainput-ptcp-d-source-port22-jDENY

C.iptables-Ainput-ptcp-s-desination-port22-jDENY

D.iptables-Ainput-ptcp-d-desination-port22-jDENY

【答案】C

【解析】iptables是组成Linux平台下的包过滤防火墙，规则（rules）其实就是网络管理员预定义的条件，规则一般的定义为“如果数据包头符合这样的条件，就这样处理这个数据包”。规则存储在内核空间的信息包过滤表中，这些规则分别指定了源地址、目的地址、传输协议（如TCP、UDP、ICMP）和服务类型（如HTTP、FTP和SMTP）等。

当数据包与规则匹配时，iptables就根据规则所定义的方法来处理这些数据包，如放行（accept），拒绝（reject）和丢弃（drop）等。配置防火墙的主要工作是添加、修改和删除等规则。

拒绝IP地址为的远程主机登录到该服务器：

iptables-Ainput-ptcp-s-destination-port22-jDENY

34.单选题

数据包通过防火墙时，不能依据（）进行过滤。

问题1选项

A.源和目的IP地址

B.源和目的端口

C.IP协议号

D.负载内容

【答案】D

【解析】包过滤防火墙的工作是通过查看数据包的源地址、目的地址或端口来实现的，由此不难看出这个层次的防火墙的优点和弱点，由于防火墙只是工作在OSI的第三层（网络层）和第四层（传输层），因此包过滤的防火墙的一个非常明显的优势就是速度，这是因为防火墙只是去检查数据报的报头，而对数据报所携带的内容没有任何形式的检查，因此速度非常快。

35.单选题

以下关于RIPv1和RIPv2路由选择协议说法中，错误的是（

）。

问题1选项

A.都是基于Bellman算法的

B.都是基于跳数作为度量值的

C.都包含有Request和Response两种分组，且分组完全一致的

D.都是采用传输层的UDP协议承载

【答案】C

【解析】RIP数据包

request---请求包

response---响应包（更新包）

RIP在收敛完成后依然会每隔30s发送一个response包，称为RIP的周期更新（异步周期更新）

36.单选题

在OSPF路由协议中，路由器在（）进行链路状态广播。

问题1选项

A.固定30秒后周期性地

B.固定60秒后周期性地

C.收到对端请求后

D.链路状态发生改变后

【答案】D

【解析】OSPF协议要求路由器发送的信息是本路由器与那些路由器相邻，以及链路状态的度量。链路状态的度量主要是指：费用、距离、延时、带宽等。OSPF协议要求当链路状态发生变化时用洪泛法向所有的路由器发送此信息。

37.案例题

试题二（共20分）

阅读以下说明，回答问题1至问题2，将解答填入答题纸对应的解答栏内。

【说明】

某企业内部局域网拓扑如图2-1所示，局域网内分为办公区和服务器区。

图2-1中，办公区域的业务网段为/24，服务器区网段为服务网段的网关均在防火墙上，网关分别对应为54。54；防火墙DHCP服务器，为办公区终端自动下发IP地址，并通过NAT实现用户访问互联网。防火墙外网出口IP地址为/28，办公区用户IP池为0-5。

【问题1】（6分）

防火墙常用工作模式有透明模式、路由模式、混合模式，图2-1中的出口防火墙工作于（1）模式；防火墙为办公区用户动态分配IP地址，需在防火墙完成开启（2）功能。

Server2为WEB服务器，服务端口为tcp443，外网用户通过https://100.1.9:8443访问，在防火墙上需要配置（3）。

（3）备选答案：

A.natserverpolicy_webprotocoltcpglobal8443inside.443unr-route

B.natserverpolicy_webprotocoltcpglobal.8443inside443unr-route

C.natserverpolicy_webprotocoltcpglobal443inside.8443unr-route

D.natserverpolicy_webprotocoltcpglobalinside8443unr-route

【问题2】（14分）

为了使局城网中/24网段的用户可以正常访问Internet，需要在防火墙上完成NAT、安全策略等配置，请根据需求求完善以下配置。

#将对应接口加入trust或者untrust区域。

[FW]firewallzonetrust

[FW-zone-trust]addinterface（4）

[FW-zone-trust]quit

[FW]firewallzoneuntrust

[FW-zone-untrust]addinterface_（5）

[FW-zone-untrust]quit

#配置安全策略，允许局域网指定网段与Internet进行报文交互。

[FW]security-policy

[FW-policysecurity]rulenamepolicy1

#将局域网作为源信任区域，将互联网作为非信任区域

[FW-policy-security-rule-policy1]source-zone（6）

[FW-policy-security-rule-policy1]destination-zoneuntrust

#指定局域网办公区域的用户访同互联网

[FW-policy-security-rule-policy1]source-address（7）

#指定安全策略为允许

[FW-policy-security-rule-policy1]action（8）

[FW-policy-security-rule-policy1]quit

[FW-policy-security]quit

置NAT地址池，配置时开启允许端口地址转换，实现公网地址复用。

[FW]nataddress-groupaddressgroup1

[FW-address-group-addressgroup1]modepat

[FW-address-group-addressgroup1]section0（9）

配置源NAT策略，实现局城网指定网段访问Internet时自动进行源地址转换。

[FW]natpolicy

[FW-policynat]rulenamepolicy_nat1

#指定具体哪线区域为信任和非信任区域

[FW-policy-nat-rulepolicy_nat1]source-zonetrust

[PW-policy-nat-rulepolicy_nat1]destinationzoneuntrust

#指定局域网源IP地址

[FW-policy-nat-rulepolicy_nat1]source-address24

[FW-policy-nal-rule-policy_nat1]actionsource-nataddress-group(10）

[FW-policy-nat-rule-policy_nat1]quit

[PW-policy-nat]quit

【答案】【问题一】（6分）

1、路由模式

2、dhcp

3、A

【问题二】（14分）

4、g0/0/1

5、g0/0/3

6、trust

7、24

8、permit

9、05

10、addressgroup1

【解析】【问题一】

1.防火墙的工作模式有透明模式、路由模式、混合模式，透明模式相当于是一台交换机，接口不配置IP地址，路由模式相当于是一台路由器，接口配置IP地址，因此本题中的出口防火墙工作于路由模式；

防火墙为办公区用户动态分配IP地址由DCHP功能实现，因此需在防火墙上开启DHCP功能。

2.要实现外网用户可直接访问内网服务器，需要配置NATserver，指定其公有IP端口和内网IP端口的映射，因此答案为A。

【问题二】

防火墙安全区域trust区域的接口有两个：ge0/0/1、ge0/0/2

#将局域网作为源信任区域，将互联网作为非信任区域

[FW-policy-security-rule-policy1]source-zonetrust//源信任区域

[FW-policy-security-rule-policy1]destination-zoneuntrust

#指定局域网办公区域的用户访同互联网

[FW-policy-security-rule-policy1]source-address24

#指定安全策略为允许

[FW-policy-security-rule-policy1]actionpermit

[FW-policy-security-rule-policy1]quit

置NAT地址池，配置时开启允许端口地址转换，实现公网地址复用。

[FW]nataddress-groupaddressgroup1

[FW-address-group-addressgroup1]modepat

[FW-address-group-addressgroup1]section005//设定地址池

#指定局域网源IP地址

[FW-policy-nat-rulepolicy_nat1]source-address24

[FW-policy-nal-rule-policy_nat1]actionsource-nataddress-groupaddressgroup1//NAT转换为地址池中的地址

[FW-policy-nat-rule-policy_nat1]quit

38.单选题

下面关于Kerberos认证协议的叙述中，正确的是（

）。

问题1选项

A.密钥分发中心包括认证服务器、票据授权服务器和客户机三个部分

B.协议的交互采用公钥加密算法加密消息

C.用户和服务器之间不需要共享长期密钥

D.协议的目的是让用户获得访问应用服务器的服务许可票据

【答案】D

【解析】应用层安全协议Kerberos：是提供一个中心认证服务器，提供用户到服务器以及服务器到用户的认证服务。Kerberos的核心是使用DES加密技术，实现最基本的认证服务。

它由认证服务器（AS)和票证授予服务器（TGS)两部分组成。票据许可票据是客户访问TGS服务器需要提供的票据，目的是为了申请某一个应用服务器的服务许可票据：它由AS发放。

Kerberos身份验证依赖于几个不同类型密钥，密钥的类型有长期对称密钥，长期非对称密钥和短期对称密钥。

39.单选题

在大型无线网络中，AP通常通过DHCPoption（）来获取AC的IP地址。

问题1选项

A.43

B.60

C.66

D.138

【答案】A

【解析】DHCP的option43选项是告诉AP，AC的IP地址，让AP寻找AC进行注册。

40.单选题

以下关于BGP路由协议的说法中，错误的是（）。

问题1选项

A.BGP协议是一种外部网关协议

B.BGP协议为保证可靠性使用TCP作为承载协议，使用端口号是179

C.BGP协议使用keep-alive报文周期性的证实邻居站的连通性

D.BGP协议不支持路由汇聚功能

【答案】D

【解析】在大规模的网络中，BGP路由表变得十分庞大，存储路由表占有大量的路由器内存资源，传输和处理路由信息所必需的带宽和路由器传送与处理路由信息需要大量的资源。使用路由聚合（RoutesAggregation）可以大大减小路由表的规模；另外通过对路由的条目的聚合，隐藏一些具体的路由从而减少路由震荡对网络带来的影响。BGP路由聚合结合灵活的路由策略，从而使BGP更有效的传递和控制路由。

41.案例题

阅读以下说明，回答问题1至问题2，将解答填入答题纸对应的解答栏内。

【说明】

某公司两个机构之间的通信示意图如下图，为保证通信的可靠性，在正常情况下，R1通过GE1/0/1接口与RB通信，GE1/0/2和GE1/0/3接口作为备份接口，当接口故障或者带宽不足时，快速切换到备份接口，由备份接口来承担业务流量或者负载分担。

【问题1】（8分）

评价系统可靠性通常采用MTBF（MeanTimeBetweenFailures，平均故障间隔时间）和MTTR（MeanTimetoRepair，平均修复时间）这两个技术指标。其中MTBF是指系统无故障运行的平均时间，通常以（1）为单位。MTBF越（2），可靠性也就越高，在实际的网络中，故障难以避免，保证可靠性的技术从两个方面实现，故障检测技术和链路冗余，其中常见的关键链路冗余有接口备份、（3）、（4）和双机热备份技术。

【问题2】（7分）

路由器RA和RB的GE1/0/1接口为主接口，GE1/0/2和GE1/0/3接口分别为备份接口，其优先级分别为30和20，切换延时均为10s。

1.配置各接口IP地址及HostA和HostB之间的静态路由配置R1各接口的IP地址，RB的配置略。

（5）

[Huawei]（6）RA

[RA]interfaceGigabitEthernet1/0/1

[RA-GigabitEthernet0/0/1]（7）

[RA-GigabitEthernet0/0/1]quit……

#在RA上配置去往HostB所在网段的静态路由。

[RA]（8）24……

2.在RA上配置主备接口

[RA]interfaceGigabitEthernet1/0/1

[RA-GigabitEthernet1/0/1]（9）interfaceGigabitEthernet1/0/2（10）

[RA-GigabitEthernet1/0/1]standbyinterfaceGigabitEthernet1/0/320

[RA-GigabitEthernet1/0/1]standby（11）1010

[RA-GigabitEthernet1/0/1]quit

空（5）-（11）

A.sysname/sysnB.timerdelayC.standbyD.30

E.ipaddressF.system-view/sysG.iproute-static

【答案】【问题1】

（1）小时

（2）长

（3）链路聚合

（4）VRRP

【问题2】

（5）F

（6）A

（7）E

（8）G

（9）C

（10）D

（11）B

【解析】【问题1】

MTBF是指系统无故障运行的平均时间，通常以小时为单位。MTBF越长，可靠性也就越高，在实际的网络中，故障难以避免，保证可靠性的技术从两个方面实现，故障检测技术和链路冗余，其中常见的关键链路冗余有接口备份、链路聚合、VRRP和双机热备份技术。

答案：

【问题2】

纯配置，解析略

（5）F

（6）A

（7）E

（8）G

standbyinterface命令用来创建主接口的备份接口并配置其优先级。配置接口GE1/0/2、GE1/0/3为接口GE1/0/1的备份接口。其中接口GE1/0/2优先级为30，接口GE1/0/3优先级为20。整数形式，取值范围是0～255，值越大表示优先级越高，缺省值为0。

（9）standby

（10）D

（11）standbytimerdelay命令用来配置主备接口切换延时。缺省情况下，主备接口切换延时为5秒。

42.单选题

以下关于层次化网络设计模型的描述中，不正确的是（

）。

问题1选项

A.终端用户网关通常部署在核心层，实现不同区域间的数据高速转发

B.流量负载和VLAN间路由在汇聚层实现

C.MAC地址过滤、路由发现在接入层实现

D.接入层连接无线AP等终端设备

【答案】A

【解析】终端用户网关通常部署在汇聚层。

43.案例题

阅读以下说明，回答问题1至问题4，将解答填入答题纸对应的解答栏内。

【说明】

如图，为某公司的网络拓扑图

【问题1】（6分）

某日，网站管理员李工报告网站访问慢，他查看了互联网接入区防火墙的日志。日志如图。

根据日志显示，初步判断该公司服务器遭到（1）攻击。该种攻击最常见的攻击方式为（2）、（3）等，李工立即开启防火墙相关防护功能，几分钟后，服务器恢复了正常使用。

空（1）-（3）备选答案：

A.ARPB.蜜罐C.DDoSD.SQL注入E.IP地址欺骗F.ICMPfloodG.UDPflood

【问题2】（8分）

某日，10层区域用户反映，上网时断时续，网络管理员李工经过现场勘查，发现该用户通过DHCP获取到/24网段的地址，而公司该楼层分配的地址段为/24，经判断该网络有用户私接路由器，于是李工在楼层的接入交换机上开启交换机（4）功能后，用户上网正常，同时开启（5）功能后，可防止公司内部电脑感染病毒，伪造MAC

地址攻击网关。

空（4）-（5）备选答案：

A.ARPdetectionB.DHCPC.DHCPRelayD.DHCPSnooping

为加强终端接入管理，李工对接入交换机配置限制每个端口只能学习1个终端设备的MAC地址，具体如下：

interfaceGigabitEthernet0/0/1

port-security（6）

port-security-mac-nummac-number（7）

【问题3】（4分）

随着业务发展，公司需对存储系统升级，当前需要存储的数据主要为数据库、ERP、图片、视频、文档等。其中，数据库、ERP采用机构SSD硬盘存储。使用RAID5冗余技术。该用于技术通过（8）方式来实现数据冗余保护，每个RAID组至少应配备（9）块硬盘。

【问题4】（2分）

要求存储系统在不中断业务的基础上，快速获得一个LUN在某个时刻的完成数据拷贝进行业务分析，可以使用（10）功能实现。

空（10）备选答案：

A.快照B.镜像C.远程复制D.LUN拷贝

【答案】问题1：

（1）DDOS

（2）F

（3）G

问题2：

（4）D

（5）A

（6）enable

（7）1

问题3：

（8）奇偶校验

（9）3

问题4

（10）A

【解析】问题1：

分布式拒绝服务DDoS：攻击指借助于客户/服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动DDoS攻击，从而成倍地提高拒绝服务攻击的威力。由于其隐蔽性和分布性很难被识别和防御，DDoS攻击技术发展十分迅速。这种攻击规模大、危害性强。包括ACKflood，SYNFlood，ICMPflood等。

（1）DDOS

（2）F

（3）G

问题2：

由于DHCP服务器和客户端之间没有认证机制，所以如果在网络上随意添加一台DHCP服务器，它就可以为客户端分配IP地址以及其他网络参数。只要让该DHCP服务器分配错误的IP地址和其他网络参数，那就会对网络造成非常大的危害。而解决这个问题的方法就是DHCPSnooping技术。DHCPSnooping具有以下两个方面功能：保证DHCP客户端从合法的DHCP服务器处获取IP地址。私自架设的DHCP服务器因为所发出的DHCP服务器应答报文无法被交换机转发，最终不能为DHCP客户端提供IP地址分配。记录DHCP客户端IP地址与MAC地址的对应关系。

ARPDetection功能主要应用于接入设备上，对于合法用户的ARP报文进行正常转发，否则直接丢弃，从而防止仿冒用户、仿冒网关的攻击。

port-securityenable命令用来使能端口安全功能。

执行port-securityenable命令配置端口安全功能后，学习到的MAC地址变为安全动态MAC。缺省情况下，安全动态MAC地址不会被老化，但可以通过配置老化时间使其变为可以老化，设备重启后安全动态MAC地址会丢失，需要重新学习。还可以手工配置安全静态MAC地址，安全静态MAC地址不老化。

port-securitymax-mac-num命令用来配置端口安全MAC地址学习限制数。

（4）D

（5）A

（6）enable

（7）1

问题3：

RAID5把数据和相对应的奇偶校验信息存储到组成RAID5的各个磁盘上，并且奇偶校验信息和相对应的数据分别存储于不同的磁盘上，其中任意N-1块磁盘上都存储完整的数据，也就是说有相当于一块磁盘容量的空间用于存储奇偶校验信息。因此当RAID5的一个磁盘发生损坏后，不会影响数据的完整性，从而保证了数据安全。当损坏的磁盘被替换后，RAID还会自动利用剩下奇偶校验信息去重建此磁盘上的数据，来保持RAID5的高可靠性。RAID5最少3快磁盘。

（8）奇偶校验

（9）3

问题4

快照技术是众多数据备份技术中的一种，其原理与日常生活中的拍照类似，通过拍照可以快速记录下拍照时间点被拍照对象的状态。由于可以瞬间生成快照，通过快照技术，系统管理员能够实现零备份窗口的数据备份，从而满足企业对业务连续性和数据可靠性的要求。华为技术有限公司开发的快照特性名称为HyperSnap。快照是指在不中断正常业务的前提下，生成源数据在某一时间点的一致性数据副本。

物理拷贝快照和镜像的工作方式是一样的，都是将某个目标数据源的内容完整的拷贝到另外的地方，但是快照是在某个时刻点的拷贝，过后目标数据的变化将不再被记录，而镜像是时时刻刻都要保证目标数据和拷贝数据的一致性。

远程复制为用户提供了灵活且强大的数据复制功能，通过远程复制能够实现数据的远端备份和恢复、持续的业务数据支撑、数据的容灾恢复。

LUN拷贝是一种数据拷贝技术，可以同时在设备内或设备间快速地进行数据的传输。LUN拷贝会将所有数据进行完整地复制，需要暂停该LUN的业务。

（10）A

44.单选题

一台运行OSPF路由协议的路由器，转发接口为100Mbps，其cost值应该是（

）。

问题1选项

A.1

B.10

C.100

D.1000

【答案】A

【解析】默认的COST值是按照100Mbps/带宽计算。

45.单选题

在OSI参考模型中，传输层处理的数据单位是（）。

问题1选项

A.比特

B.帧

C.分组

D.报文

【答案】D

【