HCIE笔试详解351-405

351.某网络所有路由器开启SR-MPLS,R1对某个数据包封装的标签信息如图所示，则此时该数据包的转发路径为以下哪项?

A.R1-R2-R4-R6

B.R1-R3-R5-R6

C.R1-R3-R2-R4-R6

D.R1-R2-R2-R5-R6

答案:C

352.当使用华为IMasterNCE-IP配置SRMPLSTE隧道时，控制器使用以下哪种协议将隧道配置消息下发到网络设备?

A.BGP-LS

B.PCEP

C.NETCONF

D.IS-IS

答案：B

PCEP：专用于路径计算与路径下发。控制器作为PCE（Path Computation Element）通过PCEP向设备（PCC）下发生成的隧道路径（如显式路径），实现集中式流量工程控制。

扩展理解：NETCONF通常用于静态配置（如SRGB范围、Segment定义），而动态的路径优化与即时调整由PCEP实现。这一分工体现了控制平面（PCEP）与配置管理平面（NETCONF）的分离。

353.对于无线商超、门店等场景，若想在给消费者提供无线接入的同时还可以向消费者推送门店活动等信息，则可以采用以下哪项认证方式?

A.802. 1X

B.MAC

C.Portal

D.PSK

答案：C

354.某台路由器开启SR-MPLS功能，其LSDB信息如下，据此推断以下哪个MPLS标签不会出现在SR-MPLSBE转发表中?

A.39002

B.36002

C.38002

D.40002

答案 :D

355.MPLSLDP可以用于构建BGP/MPLSIPVPN的承载隧道，以下关于MPLSLDP的描述，错误的是哪一项?

A.MPLS LDP隧道基于IP最短路径建立，无法进行隧道转发路径规划

B.LDP、RSVP- TE、MP-BGP共享1024~1048575的标签空间

C.由于配置和维护相对简单，BGP/MPLS IP VPN被广泛用于运营商广域承载网和企业广域承载网

D.华为设备缺省采用的标签发布和管理方式为。下游自主方式(DU) +有序标签控制方式(Ordered) +自由标签保持方式(Liberal)

答案: B

356.用户认证成功之前，为满足用户基本的网络访问需求，譬如下载802.1x客户端、更新病毒库等，需要用户免认证就能获取部分网络访问权限。以下关于免认证的描述中，错误的是哪一项?

A用户的免认证规则可以通过普通的免认证规则定义，也可以通过ACL定义

B普通的免认证规则由IP地址、MAC地址、接口、VLAN等参数确定

C无论以何种方式定义的免认证规则都能够指定用户无需认证就可以访问的目的域名

D使用ACL方式配置免认证规则时，使用的ACL编号范围是: 6000~6031

答案：C

解析：

认证规则无法直接基于目的域名配置访问权限。

ACL的匹配条件基于IP地址、端口和协议等网络层信息，而非域名（域名解析由DNS完成，需通过免认证规则单独放行DNS服务器IP）。
普通免认证规则也不支持直接配置域名。因此，无论何种方式均无法直接指定用户可访问的域名。

357.BGP协议的ORF功能可以控制邻居发送的路由条目，为了达到该目的，BGP路由器需要使用以下哪些工具

A.IP Prefix List

B.ACL

C.Router-Policy

D.Filter-Policy

答案:A

358.某园区部署OSPF协议实现网络互通，工程师对R2做了配置，具体配置如图所示，则一下关于OPSF网络内的LSA的描述，错误的是哪一项？

A.Area2内有Type 5 LSA泛洪

B.Area2内没有TYPE 3 LSA泛洪

C.Area1内有TYPE5 LSA泛洪

D.Area1内没有TYPE3LSA泛洪

答案：B

359.以下关于MPLS网络中配置静态LSP的描述，正确的是哪一项？

A.当某一台LSR为Egress LSR时，仅需要配置In Label，范围为16-1023

B.当某一台LSR为 Transit LSR时，需要同时配置In Label和Out Label，范围均为16-1023

C.当某一台LSR为 Ingress LSR时，只需要配置Out Label，范围为16-1048575

D.当某一台LSR为 Transit LSR时,需要同时配置In Label和Out Label,In Label范围为16-1023，Out Label范围为16-1048575

答案:D

360.以下关于Ping和Tracert作用的描述，正确的是哪一项？

A.Tracert一定能够追踪到从源到目的地中间的每一条IP地址

B.Tracert和Ping的作用相同,只是名称不同而已

C.Ping通过单向的icmp echo request报文检测与对端的双向可达性

D.Ping验证了从本段到对端的可达性，不代表对端到本段一定可达。

答案：C

361.NETCONF协议提供—套管理网络设备的机制。NETCONF的操作对象是网络设备的配置库，以下对配置库的描述，错误的是哪一项?

A.＜commit>会提交启动配置库中的配置成为运行配置库中的配置

B.网络设备的配置库可以分为候选配置库、运行配置库、启动配置库

C.＜validate>是对候选配置库的操作

D.＜delete-config>是对启动配置库的操作

答案: A

解析：

的作用是将候选配置库中的修改提交到运行配置库中，而非“启动配置库→运行配置库”。启动配置库仅在设备重启时加载为运行配置，与无关

362.在SSH连接建立的过程中，通信双方进行版本协商。双方发送的版本协商报文不包含以下哪一项数据?

A次协议版本号

B客户端设备类型

C软件版本号

D协议版本号

答案：B

363.SSH连接建立需要依次经历多个阶段，以下描述正确的是哪一项？

A版本协商阶段、用户认证阶段、密钥交换阶段、算法协商阶段、会话交互阶段

B版本协商阶段、用户认证阶段、算法协商阶段、密钥交换阶段、会话交互阶段

C版本协商阶段、密钥交换阶段、算法协商阶段、用户认证阶段、会话交互阶段

D版本协商阶段、算法协商阶段、密钥交换阶段、用户认证阶段、会话交互阶段

答案：D

解析：

SSH连接的建立过程需按照严格的阶段顺序进行。以下是正确阶段的详细分析：

版本协商阶段：客户端和服务器首先交换协议版本，确定双方支持的SSH版本（如SSH-2.0）。这是连接建立的第一步。

算法协商阶段：双方通过交换支持的加密算法、密钥交换算法、MAC算法等列表，协商出共通的算法组合。此阶段确保后续流程中使用的算法一致。

密钥交换阶段：使用已协商的密钥交换算法（如Diffie-Hellman）生成会话密钥。此过程还包含服务端身份验证（如发送公钥供客户端验证），以确保通信安全。

用户认证阶段：客户端通过密码、公钥等方式向服务器证明身份。只有认证成功后，用户才能访问服务。

会话交互阶段：连接正式建立，客户端可通过SSH通道进行操作（如命令行、文件传输等）。

364.某网络所有路由器开启基于OSPF的SR—MPLS功能，缺省情况下，当R3转发目的地址是10.0.4.4的数据包时，其MPLS标签如图所示。则R3的SRGB范围可下哪一项？

A.16000－65530

B.36000－65535

C.16100－36100

D.100－65535

答案：B

365.以下哪一项不是在设计SR-MPLSPolicy隧道需要遵守的原则？

A.考虑今后可能的网络规模扩充

B.单条隧道的流量不要太大，以方便带宽调优的进展

C.业务流量和隧道关联，达到一定程度的路径可视能力

D.尽可能多的增加隧道数量。隧道数量越多，就可以更精细化地隔离业务和保障业务质量

答案:D

366.网络管理员在设备输入display telemetry sensor查看Telemetry相关信息，回显如下，则以下描述错误的是哪一项？

A设备可继续添加Telemetry采样路径

B采样传感器名字为Sensor1

C该设备配置了三个Telemetry采样路径

D该订阅方式为动态订阅

答案：D

367.华为SD-WAN解决方案中CPE与独立部署的RR之间建立的是以下哪一项通道？

A认证通道

B控制通道

C管理通道

D数据通道

答案：B

解析：

核心判断逻辑：

RR的作用是通过BGP协议反射Overlay路由，优化路由同步效率。CPE作为BGP客户端，需与RR建立会话交换路由信息，这属于控制平面层面的交互

控制平面通道的典型特征是传输策略、路由等网络状态信息，而非实际用户流量。这与数据通道的定位明确区分

补充说明：在华为SD-WAN架构中，控制通道由控制平面组件（如vSmart控制器或RR）管理，用于分发路由和策略。独立RR的场景下，CPE通过控制通道与RR同步路由表，确保全网拓扑一致性，而数据通道的建立则基于这些路由决策。此设计遵循控制与转发分离的SDN原则。

368.通过iMasterNCE-Campus部署的虚拟化园区网络场景中，以下关于“添加设备”的描述中，错误的是哪一项？

A.IMaster NCE-Campus支持通过设备角色添加设备

B.IMaster NCE-Campus支持批量添加设备

C.IMaster NCE-Campus支持通过设备类型添加设备

D.IMaster NCE-Campus支持通过设备ESN码添加设备

答案：A

369.在通过控制器动态建立SRPolicy隧道场景中，以下关于SRPolicy方案架构的描述，错误的是哪一项？

A控制器通过NETCONF下发业务接口、路由策略等配置控

B制器通过Telemetry下发SRv6 SID等信息，构建设备SID表项

C控制器通过BGP IPv6 SR Policy下发SR Policy的color、headend、endpoint等信息

D控制器通过BGP—LS收集隧道拓扑信息，计算SR Policy路径

答案：B

解析：

Telemetry是一种数据采集协议，用于设备向控制器主动上报实时状态、性能指标等信息，例如流量统计、CPU利用率等。SRv6 SID信息的构建属于配置下发过程，通常由控制器通过NETCONF或BGP（如BGP SR Policy）完成，而非Telemetry。Telemetry不具备下发配置的功能

370.某企业希望对上网流量进行集中安全管控，则以下哪一项上网方式比较合适？

A集中上网

B按优先级上网

C本地上网

D混合上网

答案：A

371.当IPv6有且只有一个拓展头部SRH(SegmentRoutingHeader)时，IPv6基础头部中的NextHeader字段取值为以下哪项?

A、43

B、50

C、41

D、51

答案：A

解析：

当IPv6数据包中仅包含一个Segment Routing Header（SRH）作为扩展头部时，IPv6基础头部的Next Header字段取值为43

详细解析：

IPv6扩展头部类型编码：

每个扩展头部类型由唯一的数值标识。例如：

Hop-by-Hop Options: 0

Routing Header（传统）: 43（旧类型0已被弃用，新SRH沿用43）

Fragment Header: 44

ESP（封装安全载荷）: 50

AH（认证头）: 51

Destination Options: 60

当基础头部的Next Header字段值为43时，表明下一个头部是SRH。

372.IPsecSA(SecurityAssociation,安全联盟)有两种生成方式，分别是手工方式和IKE自动协商方式。以下关于这两种方式的描述中，错误的是哪一项?

A.手工方式和IKE方式建立的SA都支持动态刷新

B.IKE方式建立的SA,其生存周期由双方配置的生存周期参数控制

C.手工方式下，建立SA所需的全部参数包括加密/验证的密钥等，都需要用户手工配置

D.IKE方式下，建立SA需要的加密/验证的密钥是通过DH算法生成的

答案：A

373.以下关于0SPF和IS-IS说法错误的是?

A.在广播网络中都需要选举DR和BDR

B.OSPF和IS-IS都是链路状态协议

C.OSPF和IS-IS都支持区域划分

D.OSPF和IS-IS都是用He11o报文建立和维护邻居关系

答案：A

解析：

OSPF在广播网络中确实需要选举DR和BDR，用来减少邻接关系数量。
IS-IS在广播网络中仅选举DIS（Designated Intermediate System），不选举备份DIS（没有BDR）

关键差异：IS-IS不需要BDR，当DIS失效时直接重新选举，而OSPF必须维护BDR以确保快速切换

374.四台路由器运行IS-IS且已经建立邻接关系，区域号和路由器的等级如图中标记，在R3设备上配置路由渗透，则R4到达10.0.2.2/32的Cost值为少?

A.80

B.50

C.30

D.40

答案:B

375.以下哪个BGP路由属性不能控制BGP路由选路?

A.Originator ID

B.Community

C.AS_ Path

D.MED

答案：B

376.OSPFv3的Router-ID是?

A.128比特的值

B.64比特的值

C.100比特的值

D.32比特的值

答案：D

377.RPT树建立后，关于SPT切换，描述错误的是?

A.所有组播流量都经过RP路由器，RP路由器可能成为数据转发的瓶颈

B.SPT切换完成后，组播流量依然经过RPT树

C.SPT路径最短，转发性能更优

D.RPT树可能不是组播流量转发的最优路径

答案：B

解析：

SPT切换完成后，组播流量不再经过RPT树。最后一跳路由器会向RP发送Prune消息，断开RPT分支（流量仅通过SPT）

378.在BGP4+中，关于Update报文中的MP＿REACH＿NLRI属性携带的nexthopnetworkaddress字段内容，以下描述正确的是哪一项？

A可以同时携带链路本地地址、全球单播地址

B只能是全球单播地址

C只能是链路本地地址

D可以只是链路本地地址

答案：A

解析：

在RFC 2545中规定，如果AFI=IPv6，下一跳可能包含全局IPv6地址 + 链路本地地址，用逗号分隔

379.iMasterNCE-CampusInsight南向接口实现了CampusInsight与设备之间的对接，完成CampusInsight对设备的管理功能。CampusInsight支持的南向接口类型不包括以下哪一项？

A.NETCONF

B.HTTP/2+ProtoBuf

C.Syslog

D.SNMP

答案：A

380.在华为准入控制解决方案中，Portal认证不支持以下哪一项用户认证方式？

A基于用户名密码

B基于用户的MAC地址

C基于短信验证码

D基于Passcode

答案：B

解析：

Portal认证的核心是要求用户通过网页（门户）主动提交认证信息（如用户名密码、短信验证码、Passcode等）。这一过程需要用户的交互行为，而MAC地址是终端的硬件标识符（静态属性），无法通过用户主动输入获取。

补充说明：MAC地址认证的归属

MAC地址认证属于静态认证方式，通常需要管理员提前在系统中录入终端MAC地址。当用户连接网络时，设备会自动比对终端MAC地址和预置名单，用户无需打开网页或提交信息，因此不符合Portal认证的定义

381.EVPN支持多种服务模式，以下哪种服务模式下，一个接口只能被单个用户使用？

A.VLAN Bundle

B.VLAN Based

C.VLAN-Aware Bundle

D.Port Based

答案：D

解析：

Port Based (D)

整个物理接口完全分配给单一用户，无论是否存在子接口或VLAN划分
适用于类似专线场景，用户独占接口资源（如ISP为高优先级客户分配独立物理端口）

382.在排除VRRP备份组双主故障时，以下描述错误的是哪一项？

A需要检查VRRP组的虚拟IP地址是否相同

B需要检查接口IP地址是否在同一网段

C需要检查接口上的VRRP组ID是否相同

D不需要检查传递VRRP通告报文的交换机端口，是否在同一个VLAN

答案:D

解析：

VRRP通告报文是二层组播报文，目标MAC地址为01-00-5E-00-00-12。若交换机端口分属不同VLAN，报文无法跨VLAN泛洪（若无VLAN间路由），设备将无法收到对方的通告，导致双主故障。因此必须确保交换机端口在同一VLAN或配置合理的中继（Trunk）/路由

383.通过BGPEVPN动态建立VXLAN隧道的场景中，以下关于BGPEVPNType5路由的作用的描述，错误的是哪一项？

A.Type5路由可以携带主机IP地址，此时作用与IRB类型路由是一样的，主要用于分布式网关场景中的主机IP路由通告

B.Type5路由中会携带L3 VNI

C.Type5路由中会携带L2 VNI

D.Type5路由通过IP Prefix Length和IP Prefix字段携带路由信息

答案：C

解析：

Type5路由不携带L2 VNI，而是携带L3 VNI

384.以下描述中不可能是VRRP备份组双主故障原因的是哪一项？

A.Master设备1秒发送1个通告报文

B.两端的VRRP备份组ID不同

C.传输VRRP通告报文的链路故障

D.低优先级的VRRP备份组将收到的VRRP通告报文作为非法报文丢弃

答案：A

385.通过BGPEVPN动态建立VXLAN隧道的场景中，BGPEVPN使用以下哪一项路由进行MAC地址通告、ARP信息通告以及IRB路由通告？

A.Type1

B.Type3

C.Type4

D.Type2

答案: D

解析：

Type 2（MAC/IP Advertisement Route） ✅

MAC地址通告：携带主机的MAC地址及VNI信息。

ARP信息通告：包含MAC和IP的绑定关系（减少广播ARP请求）。

IRB路由通告：当主机IP被集成到网关的路由表中时，Type 2携带IP可达性，实现跨子网三层通信。

386.以下关于GRE隧道的描述中，错误的是哪一项？

A.GRE可以封装IPv4单播报文

B.GRE实现机制简单，对隧道两端的设备负担较小

C.GRE可以封装IPv6单播报文

D.GRE可以封装IPv6广播报文

答案：D

387.某中小型网络中部署OSPF协议，当查看某台设备的路由表时发现只存在直连路由。以下哪一项操作不可能引起该故障？

A路由协议配置错误

B配置的用户权限过低

C路由策略配置有误

D端口地址配置问题

答案：B

388.YANG是一种数据建模语言。以下关于YANG的描述，错误的是哪一项？

A.可以和基于XML的语法的YIN（YANG Indepent Notation）模型无损转换

B.YANG模型的最终呈现是.yang为后缀的文件

C.只支持内置的数据类型，不允许扩展数据类型

D.基于层次化的树状结构建模

答案：C

389.通过iMasterNCE-Campus部署的虚拟化网络场景中，配置完用户账号后，需要配置认证授权。认证授权的配置步骤不包括以下哪一项?

A授权规则

B认证规则

C授权结果

D认证结果

答案：D

解析：

认证结果的实际控制（如允许/拒绝）在认证规则中直接配置，无需单独步骤。配置流程需包含认证规则、授权规则、授权结果，但不包括独立的“认证结果”步骤

390.某一SRv6节点的SID具有类似于SR-MPLS中NodeSegment的功能，请问这个SID对应的指令为以下哪一项?

A.End.T

B.End

C.End. DT4

D.End.X

答案：B

解析：

End：

这是SRv6的基础指令，表示流量到达当前节点后完成当前Segment的处理，后续行为由下一个SID决定。其行为模式与Node Segment完全一致：

数据包必须在当前节点终止当前Segment（类似标签弹出）

节点根据后续SID继续转发，不指定具体出接口（与节点解耦，体现“节点”特性）

明确对应SR-MPLS的Node Segment功能

392.SSH客户端使用公钥认证方式连接到SSH服务端之前，需要事先创建密钥对,客户端使用GitBash创建DS3密钥对，通过以下哪条命令创建?

A.ssh-keygen -t dsa

B.ssh-keygen -t dss

C.ssh-keygen-t ecc

D.ssh-keygen -t rsa

答案：B

393.某用户编写了clear_start_info方法，利用OPS功能清除当前网络设备的配置文件，代码如下:以下描述错误的是哪一项?

A.Ops_conn. create(uri, req_data)执行时,会发送一个”PUT”操作类型的HITP请求

B.Ret是HTTP状态码

C.Rsp_data为请求执行后系统的响应数据,格式可参考网络设备的RESTful API

D.Req_data数据是存放在HTTP请求的主体部分中的

答案：A

解析：

根据 RESTful API 的设计规范：

POST 通常用于创建资源（对应 create 操作）。

PUT 一般用于更新或替换已有资源（如修改配置）。

在华为 OPS 的 create 方法实现中，HTTP 请求的实际操作类型应为 POST，而非 PUT。若选项 A 声称发送的是 PUT 请求，则描述错误。

394.华为网络设备提供OPS功能，以下哪条命令可以查看网络设备上已经安装的OPS脚本信息?

A.check ops script

B.check ops file

C.display ops file

D.display ops script

答案:D

395.MACsec可为用户提供安全的MAC层数据发送和接收服务。以下哪些项不属于MACsec可提供的服务？

A完整性检查

B可控性检查

C用户数据加密

D数据源真实性校验

答案：B

396.华为iMasterNCE-WAN控制器的北向接口类型是以下哪一项？

A.CLI

B.RESTful

C.NETCONF

D.SNMP

答案：B

解析：

北向接口的定义：

北向接口（Northbound Interface）是控制器向上层应用（如OSS/BSS、企业IT系统等）提供的接口，用于实现系统间的数据交互与业务编排。

重点在于标准化和开放性，便于第三方系统集成。

RESTful接口的特点：

基于HTTP/HTTPS协议，使用JSON/XML格式，是现代API设计的标准。

优势：开发友好、跨平台兼容性强、易扩展，符合华为NCE-WAN作为SDN控制器与上层系统对接的需求。