HCIE笔试详解1-30

1.如图所示是某位网络工程师在排查 OSPF 故障时的输出信息。据此判断，以下哪种原因可能导致邻接关系无法正常建立

A.Hello 报文发送间不一攻

B.认证密码不一致

C.接口的 IP 地址掩码不一致

D.区域类型不一致

答案 C

解析：

直接看图中的非 0 数字就能得出答案。2: Netmask mismatch Netmask 是“掩码”的意思

2.如图所示，路由器的所有接口开启 SPF 协议，链路的 C st 值如图中标识，R2 的 L pback0 接口通告在区域 1。据此判断，R1 到达 10.0.2.2/32 的 c st 值为以下哪一项？

A.50

B.150

C.200

D.100

答案：C

解析：

ospf 优先选择同区域的路由

OSPF 选路原则区域内优于区域间

R2 的 Loopback0 接口通告在区域 1，R1 也在区域 1 同区域之间互传 cost 值 200。

3.iMaster NCE-Campusinsight 采用 SNMP 技术采集网络设备的性能指标和日志数据，基于真实业务流量发现网络异常

A 正确

B 错误

答案：B、

解析：

性能监控：通过 SNMP 定时轮询设备性能数据。
日志管理：支持 Syslog 接收设备日志，并进行分类存储与分析。
流量分析：通常集成 NetEngine 或 HiSec Insight 实现基于流的检测，结合 AI 算法识别异常流量（如 DDoS、病毒传播）。
因此，题干的说法在技术细节上不准确，存在以下偏差：

日志数据应由 Syslog 而非 SNMP 采集。
基于真实业务流量的异常检测需依赖流量探针（如 NetFlow），而非仅 SNMP 性能指标。

4.在大中型虚拟化园区网络场景中，以下关于园区网络出口安全设计的描述中，错误的是哪一项？

A.可以部署防火墙、入侵防御系统等专用安全设备，也可以部署具有安全功能的路由器

B.出口区对外可以部署安全策略和入侵防御，预防非法访问和攻击

C.出口区对内可以部署反病毒和 URL 过滤，实现病毒检测和 URL 访问控制

D.需要进行安全区城划分，其中 Trust 区域通常用于定义对外提供服务的服务器所在区城

答案：D

解析：

DMZ 区域通常用于定义对外提供服务的服务器所在区城，trust 用于定于内部网络

5.根据网络情况的不同，可以在网络中部署二层 Portal 认证或三层 Portal 认证，以下描述中错误的是哪一项？

A.当客户端与接入设备之间为二层网络时，即客户端与接入设备直连（或之间只有二层设备存在），此时可配置二层 Portal 认证

B.当使用二层认证时，接入设备可以学习到客户端的 MAC 地址，则接入设备可以只利用 MAC 地址来识别用户

C.当客户端与接入设备之间包含三层网络时，即客户端与接入设备之间存在三层转发设备，此时需要配置三层 Portal 认证

D.当使用三层认证时，接入设备可以学习到客户端的 IP 地址并利用 IP 地址来识别用户

答案：B

解析：

只靠 MAC 地址来识别用户显然是不行的 =^=
补充：错误的选项是选项 B。因为在二层 Portal 认证中，虽然设备能获取 MAC，但实际认证可能基于 IP 地址，而不是仅仅 MAC 地址。例如，在配置 Portal 认证时，无论是二层还是三层，都需要 IP 地址来识别用户，因为 HTTP 是基于 IP 的，MAC 可能不被用来作为认证的唯一标识。比如，用户可能更换了 MAC 地址但保持同一 IP，或者相反，这时候需要正确的标识符。所以，可能选项 B 的说法是错误的，正确答案是选项 B。因为即使二层环境下，Portal 认证可能还是基于 IP 地址来识别用户，而不是仅用 MAC 地址。所以选项 B 错误。

6.以下关于 VXLAN 虚化园区应用中的 Underlay 的描述，错误的是哪一项？

A.虚拟化园区方案使用 VXLAN 技术采用 MAC in UDP 的封装方式在传统的 IP 网络上虚拟出一层逻辑网络

B.采用 iMaster NCE-Campus 实现 underlay 两络路由域自动编排时仅支持 SPF 路由协议

C.采用 ast r NCE-Campus 实现 underlay 网络路由域自动编排时仅支持路由协议的单区域部署

D.Underlay 同络实现 IP 可达性，使经过 VXLAN 封装后的业务报文在 VTEP 节点之间互通

答案：C

解析：

暂无

7.通过 BGP EVPN 动态建立 VXLAN 隧道的场景中，当使用 BGP EVPN Type2 路由进行主机 MAC 地址通告时，以下描述中正确的是哪一项？

A.会同时携带具体 L2 VNI、L3 VNI 数值

B.会携带具体的 L3 VNI 值

C.携带的 RT 值为 IP VPN 实例中的 Export RT

D.IP Address、 IP Address Length 字段不会携带具体内容

答案：D

解析：

MAC 路由中 MAC Address Length 和 MAC Address 字段为主机 MAC 地址，会同时携带二层 VNI

当 Type2 路由仅用于 MAC 地址通告（未携带 IP 地址）时，IP Address 字段和 IP Address Length 字段为空（IP Address Length 为 0）。
RFC 7432 明确允许 Type2 路由在仅通告 MAC 地址时省略 IP 字段，此时不会携带具体 IP 内容

8.VXLAN L3 Gateway 上用于实现不同 VXLAN 虚拟网络通信的三层逻辑接口是以下哪一项？

A.VBDIF 接口

B.二层子接口

C.VLANIF 接口

D.NVE 接口

答案：A

解析：

VBDIF 接口基于 BD 广播域的虚接口，支持三层特性。可以实现不同 BD 之间、BD 与非 BD 网络之间以及 BD 与三层网络之间的通信

补充:

VXLAN 的三层网关需通过 VBDIF 接口实现跨 VNI 的路由，而传统 VLAN 的三层网关使用 VLANIF 接口。VBDIF 是专为 VXLAN 设计的三层逻辑接口，与 BD（VXLAN 广播域）直接绑定，是不同 VXLAN 虚拟网络互通的核心组件。

9.在园区 VXLAN 网络中，用于连接 Fabric 和 Fabric 外部网络的设备是以下哪一项？

A.Extended

B.Border

C.Transparent

D.Edge

答案：B

解析：

边界网关（Border）节点：用于实现 Fabric 和外部网络之间的互联互通。一般为核心交换机。边缘（Edge）节点：Fabric 边缘设备，用于连接用户侧设备及 Fabric。有线用户的数据从边缘节点进入 VXLAN 封装。

10.当某一无线用户通过 Portal 认证之后，不支持对该用户授权以下事一项参数？

A.free-rule

B.UCL

C.IP 地址

D.ACL

答案：C

解析：

UCL、ACL、free-rule，只有二层 portal 认证支持 vlan 授权，RADIUS 常见的授权信息有：VLAN，ACL，UCL 组

用户无法授权 IP 地址。IP 地址通过 DHCP 获取或者静态配置后，才可能进行 portal 认证。

11.通过 BGP EVPN 态建立 VXLAN 随道的场景中，以下关于 BGP EVPN Type3 路由的作用的描述，错误的是哪一项？

A.如果收到的 Type3 路由其携带的 VTEP IP 地址是三层路由可达的，则会建立一条到对端的 VXLAN 隧道

B.Type3 路由中会携带 L3 VNI

C.Type3 路由传递二层和 VTEP IP 地址信息

D.在 Type3 路由 VTEP IP 地址三层可达的情况下，如果对端与本端相同，则创建一个头端复制表，用于后续 BUM 报文转发

答案：B

解析：

Type3 路由中只会携带 L2 VNI，不会携带 L3 VNI

12.华为 SD-WAN 解决方案中可以通过特定参数控制隧道建立的数量。某网络拓扑如图所示，请问该拓扑中一共能建立几条隧道？

A.2

B.4

C.1

D.3

答案：B

解析：

四条隧道，排列组合的问题，站点 AB 分别是两个出口，2*2 就是四条。即是：只通过网络 A，只通过网络 B，先从网络 A 到网络 B，先从网络 B 到网络 A。共计四条

13.GRE 隧道支持使能 MPLS LDP 功能

A 正确

B 错误

答案：A

14.以下关于 GRE 安全机制的描述中，错误的是哪一项？

A.只有隧道两端设置的识别关键字完全一致时，GRE 隧道才能建立

B.如果本端配置了校验和而对端没有配置，则本端不会对接收到的报文进行校验和检查，但对发送的报文进行校验和检查

C.如果隧道本端配置了关健字而对端没有配置，则隧道能正常转发用户报文

D.如果本端设有配置校验和而对端配置，则本端对从对端发来的报文进行校验和检查，对发送的报文不检查校验和

答案：C

解析：

只有隧道两端设置的识别关键字完全一致时，GRE 隧道才能建立，只有一边有关键字设置无法建立通道、

15.网络信息采集是网络调优的前提，包括网络拓扑与接口带宽采集、链路时延采集和流量统计采集等，以下哪种技术不可用于量统计采集？

A.Telemetry

B.PCEP

C.Netstream

D.SNMP

答案：B

解析：

PCEP（Path Computation Element Protocol）是 IETF PCE（Path Computation Element）工作组定义的基于 TCP 的协议。它定义了一组消息和对象，用于管理 PCEP 会话，以及为多域流量工程 LSP（TE LSP）请求和发送路径。PCEP 为 PCE 给 PCC 的域外 LSP 执行路径计算提供了一种机制。PCEP 交互包括 PCC 向 PCE 发送的 LSP 状态报告，以及 PCE 对 LSP 的托管和优化。

16.以下哪种技术不支持 SR-MPLS?

A.BGP

B.IS-IS

C.LDP

D.SPF

答案：C

LDP 是传统 MPLS 的信令协议，用于独立分配标签。SR-MPLS 的设计目标之一是 取代 LDP，两者功能冲突，无法协同工作。

17.BIER 作为新型的转发技术，采用基础的 IGP 路由协议和单播路由转发机制，使得组播接受者和组播路由器之间不需要再运行 IGMP

A 正确

B 错误

答案：B

18.在客户端 SSH 登陆仅配置了用户名密码认证的服务器的过程中，不会经过密钥交换阶段（不会产生密钥）

A 正确

B 错误

答案：B

19.Python Paramiko 实现了 SSH 协议，在 Python Paramiko 模块中，以下哪个类用于创建 SFTP 会话连接并执行远程文件操作？

A.Packetizer 类

B.Channel 类

C.SFTPClient 类

D.Transport 类

答案：C

解析：

Channel 类：该类用于创建在 SSH Transport 上的安全通道。

Message 类：SSH Message 是字节流。该类对字符串、整数、bools 和无限精度整数（Python 中称为 long）的某些组合进行编码。 Packetizer 类：数据包处理类

Transport 类：该类用于在现有套接字或类套接字对象上创建一个 Transport 会话对象。

SFTPClient 类：该类通过一个打开的 SSH Transport 会话创建 SFTP 会话通道并执行远程文件操作

SSHClient 类：SSHClient 类是与 SSH 服务器会话的高级表示。该类集成了 Transport，Channel 和 SFTPClient 类

20.以下关于 BGP/ MPLS IP VPN 路由交互的描述，错误的是哪一项？

A.出口 PE 在接收到入口 PE 发布的 VPNv4 路由之后，根据路由携带的 RT 属性，对 VPNv4 路由进行过滤

B.出口 PE 可以通过 BGP、IGP 或静态路由的方式向远端 CE 发送 IPv4 路由

C.PE 与 CE 之间交互的是 IPv4 路由信息

D.入口 PE 将从 CE 接收到的 IPv4 路由变成 VNPv4 路由，并根据不同 VPP 实例进行保存

答案：B

解析：

由骨干网的路由协议或静态路由产生，没有 IGP 路由协议

21.以下关于 MP-BGP 的指述，错误的是哪一项？

A.PE 与 CE 之间通过 BGP 交互路由时，需要在 CE 上为每个 VPN 实例创建 BGP 进程

B.MP-BGP 通过 MP_REACHNLRI 和 MP_ UREACH NLRI 两种属性来通告 VPNv4 路由

C.MP-BGP 需要为 VPNv4 路由分配私网标签

D.MP-BGP 的报文类型、VPNv4 路由发布策略与 BGP-4 相同

答案：A

解析：

CE 是用户网络边缘设备，PE 是运营商边缘路由器。首先 CE 是感知不到 VPN 的存在的，所以 CE 上的 VPN 实例的说法肯定是错误的，其次，每个路由器只能创建一个 BGP 进程，而不能区分 VPN 实例创建 BGP 进程

22.如图所示，CE 和 PE 之间运行 SPF 协议，当 CE1 向 CE2 发布本站点路由时，以下描述中错误的是哪一项？

A.当 PE2 收到 PE1 发来的 BGP 路由携带的 D main ID 与本地相同时，对于 Type3 LSA, PE2 将生成 Type5 LSA

B.PE1 配置的 D main ID 可以做为 BGP 的扩属团体属性随路由一起发给 PE2

C.当 PE2 收到 PE1 发来的 BGP 路由携带的 D main ID 与本地不同时，对于所有 LSA，PE2 将生成 Type5 LSA 或 Type7 LSA

D.当 PE2 收到 PE1 发来的 BGP 路由携带的 D main ID 与本地相同时，对于 Type1 LSA 和 Typs2 LSA, PE2 将生成 Type3 LSA

答案：A

解析：

PE 把从远端 PE 学来的 BGP 路由向 CE 发布时，需要根据域标识符的情况选择向 CE 发布 Type3、Type5 或 Type7 的 OSPF 路由。

如果本地的域标识符与 BGP 路由信息中携带的远端域标识符相等或相互兼容，则发布 3 类路由；

否则，发布 Type5 或 Type7 路由。

23.有多种协议可以更改或获取网络设备数据，以下哪种协议不能用于更改网络设备数据？

A.Ipsec

B.NETCONF

C.SNMP

D.RESTCONF

答案：A

解析：

IPsec 是安全传输协议，其他的协议都是控制器和设备间的管理协议

24.工程师经常频繁远程登录设备查看设备状态，现工程师希望通过 Python 脚本实现自动远程登陆，则可以采用 Python Paramiko 库和 telnetlib 库实现上述要求。使用 telentlib 实现远程登陆的安全性更高。

A 正确

B 错误

答案：B

telnetlib基于Telnet协议，无加密机制，安全性极低

25.以下关于 PS 功能应用场景的描述，错误的是哪一项？

A.使用 PS 功能，在某些情况下可以减轻网络环境的影响，如向服务器传输采集的信息时， Python 脚本中可以实现当网络不通时，将执行结果暂存在设备，等网络恢复后再传输到服务器的功能

B.使用 PS 可以实现自动检查设备健康状态的功能

C.用户需要实现网络设备配置被保存后，自动发送配置文件到服务器的功能，可以通过维护助手创建定时器类型触发条件，定时执行 Python 脚本来实现

D.使用 PS 动能实现空配置设备自动部署的场景中， Python 脚本的作用是用来获取软件和配置文件服务器地址，并下载系统软件和配置文件

答案：C

解析：

选项C混淆了事件触发与定时触发的逻辑。定时器无法满足“配置保存后立即上传”的实时性要求，因此描述错误。其他选项均符合PS功能的实际应用场景。

26.iMaster NCE 业务开放可编程使用以下哪种协议完成设备配置？

A.BGP

B.SNMP

C.NETCONF

D.CLI/SSH

答案：C

解析：

网络配置协议 NETCONF（Network Configuration Protocol）为网管和网络设备之间通信提供了一套协议，网管通过 NETCONF 协议对远端设备的配置进行下发、修改和删除等操作。网络设备提供了规范的应用程序编程接口 API（Application Programming Interface），网管可以通过 NETCONF 使用这些 API 管理网络设备。

27.网络切片技术可在网络中划分出独享的网络资源，用于承载高价值业务流量，以下关于网络切片的描述，错误的是哪一项？

A.信道化子接口技术采用单层调度实现接口资源灵活、精细化管理，提供带宽保障

B.一般可基于信道化子接口 FlexE 技术实现网络切片

C.网络切片技术使用的层级与 SR 隧道不同，与 SR 隧道可同时使用

D.FlexE 技术按照 TDM 时隙划分资源，满足了资源独享与隔离的要求，实现对接口资源进行灵活、精细化的管理

答案：A

解析：

信道化子接口：队列资源隔离，采用 ==多层次调度== 实现接口资源灵活、精细化管理，提供带宽保障，并且结合控制器提供端到端资源预留。

FlexE：队列和接口资源隔离，各个资源是按照 TDM 时隙划分，严格隔离，满足了资源独享与隔离的要求，实现对接口资源进行灵活、精细化的管理。

28.通过 iMaster NCE-Campus 部署的拟化园区网络场景中，创建 VN 后，还需要配置 VN 互通。以下关于配置 VN 互通的描述中，正确的是哪一项？

A.实际是为 VN 对应的 VPN- Instance 部署 SPF

B.实际是为 VN 对应的 VPN- Instance 创建静态路由

C.实际是部署路由策略

D.实际是部署流量过滤