2024-2025华为ICT大赛中国区 实践赛网络赛道(高教组)全国总决赛 理论部分真题+解析

Part 1 数通模块(共8题)：

1、如图所示，RTA属于AS65000，和RR1建立EBGP邻居。RTB、RR1、RR2和RR3同属于AS65001，它们之间如图建立IBGP邻居，RR1、RR2和RR3互为反射器并且它们在不同的Cluster里。从RTA上发布一条路由N1，RTB上发布一条路由N2，在RR1上使用策略使路由沿如图所示箭头传播。那么在此过程中，RR1会通过哪些BGP属性来防止路由环路?（多选题)

A.Next-Hop  B. Originator ID  C. Cluster ID  D. Cluster List

正确答案：BD

解析：在BGP反射机环境中常用的防止环路的机制包括Originator ID和Cluster List。那么Originator ID在这个环境中是如何使用的呢？当RTA向RR1发布路由再由RR1传递给RR3时，此时是EBGP向IBGP邻居发布路由，RR3会将Originator ID标记为RR1的Router ID，RR3再反射给RR2，RR2再反射给RR1，当RR1接收到路由的时候会发现路由里Originator ID和自己路由ID是一样的，就会将该条路由丢弃防止环路。而对于Cluster List，是RTB在向RR1发布路由，RR1反射给RR3，此时因为是IBGP邻居，RR3反射给RR2，然后再反射给RR1，在这个反射过程中，RR1会将Cluster ID放到Cluster List里面，在RR1接收到RR2反射的路由的时候，会发现Cluster List里面包含了自己的Cluster ID,所以最终也会将该路由丢弃。因此选BD。然后再看下A选项，这个是用来指示路由下一跳的，用来转发路由的，和防止路由环路没有任何关系；C选项Cluster ID并不是直接用来检测路由环路的，而是通过把它放到Cluster List里面用来检测，所以并不是BGP的属性。

2、如图所示为BGP MPLS VPN跨域OptionB的典型组网图，PE均使用图示的LP0接口作为Router ID。该跨域场景中有两个VPN客户，均使用了相同的IPv4网段N1和N2。PE1和PE4为VPNA配置的RD值与RT值，以及PE2和PE3为VPNB配置的RD值与RT值如图所示。PE和ASBR之间采用LP0建立BGP邻居。假设其他的配置均正确无误，未提及参数均为默认参数，请问以下描述正确的是哪一项?(单选题)

A. VPNA的用户能正常通信，VPNB的用户也能正常通信

B. VPNA的用户能正常通信，VPNB的用户不能正常通信

C. VPNA的用户不能正常通信，VPNB的用户能正常通信

D. VPNA的用户不能正常通信，VPNB的用户也不能正常通信

正确答案：D

解析：在AS65000中，PE1和PE2会向ASBR1发送路由，但此时PE1和PE2的RD值，也就是在不同VPN中用于唯一标识的路由区分值是不一样的。题目中描述了使用相同的IPv4网段，所以对于ASBR1来说，PE1和PE2是完全相同的两条路由，此时其他参数值均为默认值，对于ASBR1来说，在PCP原则中会选择一条最优最有效的路由，最终通过比较PE1和PE2的Router ID，选择值较小(值越小越优先)即PE1路由进行转发，发送给对端，最终被PE4(即与PE1 RT路由目标值一样)接收。对于AS65001也是一样的，PE3最终被对端的PE2接收。那么对于VPNA和VPNB，只有PE1到PE4和PE3到PE2的单向路由，没有双向路由，因此两个VPN用户都不能正常通信。

3、如图所示，在该跨域MPLS BGP VPN网络中采用了OptionA方案，CE1和CE2属于同一个VPN。在AS100和AS200中都分别运行IGP和LDP协议，ASBR之间使用EBGP协议。图中10.1.1.1/32为CE1的Loopback接口地址，假设CE2可以Ping通CE1的Loopback地址，那么从CE2到CE1的流量在PE2被转发出去时，所使用的内层标签是哪一台路由器分配的?（单选题)

A.PE1    B.ASBR1     C.ASBR2     D.P2

正确答案：C

解析：在跨域OptionA方案中，两个ASBR是不使用MPLS，也不需要进行特殊的跨域配置，ASBR在AS域内作为PE设备，两个ASBR也把对端的ASBR作为自己的CE设备，ASBR会维护一个VPN实例进行IPV4路由的转发，那么在OptionA方案中，AS域内的标签主要由PE和ASBR建立的MPBGP邻居分配，所以对于PE2来说，就是ASBR2给它分配的内存标签，因此选C。

4、如图所示，RTA和RTB运行IGP并开启了认证功能来提升安全性，以下关于IGP认证相关的描述中，正确的有哪些项?（多选题)

A.RTA和RTB运行OSPF，RTA配置区域认证，RTB配置接口认证，如果认证方式和密码等都配置正确，就可以建立邻居

B.RTA和RTB运行OSPF，RTA配置区域认证，RTB配置接口认证，即使认证方式和密码等都配置正确，也不能建立邻居

C.RTA和RTB运行IS-IS，且两端同时配置接口认证和区域认证，只要接口认证两端参数一致，就可以建立邻居

D.RTA和RTB运行IS-IS，且两端同时配置接口认证和区域认证，则需要接口认证和区域认证两端参数均一致,才可以建立邻居

正确答案：AC

解析：主要考察OSPF和IS-IS在认证相关的知识。首先看OSPF，在OSPF里面主要有认证方式和认证密码这两个字段(参数)，无论是配置的区域认证和接口认证，这两个都可以对这个字段进行填充，所以无论对端是如何配置认证方式，只要这两个参数一致，比如都配置的MD5，密码都是abc123，那么就可以通过报文认证来建立邻居关系，所以在AB中选择A；再看CD，IS-IS里主要有三个认证，包括接口认证、区域认证和路由域认证，这三个认证是没有交集的，然后邻居关系主要依靠接口认证(也就hello报文)建立，路由域认证和区域认证主要影响的是L1L2的LSDB的同步，影响的是LSB交换，它和邻居建立没有关系，所以CD中选C，因此本题答案AC。

5、如图所示，某承载网络部署了OSPF和SR-MPLS BE，所有链路的开销以及设备的SRGB如图中标注，为R8的Loopback0接口(IP地址10.1.1.1/32）配置Prefix SID为100，请问此时当R3收到去往R8的Loopback0接口的数据包时，应该封装哪个标签并转发出去?（单选题)

A.2100     B.3100     C.4100     D.5100

正确答案：C

解析：本题主要看图里的cost规划，主要考察OSPF里面的SRBE在选路的规则。SRBE在选路的时候主要依赖IGP计算的最短路径和前缀SID，所以我们可看到图里如果R3收到去往R8的Loopback0接口的数据包时，它的最短路径为R3->R1->R7->R2->R4->R6->R8(这条路的cost是最短的)，cost总共为10，其他路径的cost经计算均大于10，所以最终封装的标签应是R1的SRGB的起始值4000，再加上题干的prefix 100，因此和为4100，选C。

6、某城域网络部署了SRv6，各节点的Locator和END SID如图所示。网络管理员在此城域网部署了一条源为R1，目的为R5的SRv6 Policy隧道。假设此时一个数据包从R1进入到城域网，R1按照图示对数据包进行封装并转发。请问该报文在R1转发到R5的过程中，哪些字段发生了改变?（多选题)

A.DIP  B.SIP  C.SL  D.Payload

正确答案：AC

解析：本题考察SRv6相关知识。从图示封装的数据包得知，里面规定了必经的链路结点，包含R3,R4,R5。首先看A选项，DIP描述的是目的IP，目的IP在SRv6的过程中会逐跳改变，比如经过R1的时候是FC03，经过R2的时候可能变为FC04，所以DIP值会改变；B选项SIP指源IP，数据包的源IP是不改变的，因此排除；C选项SL是Segment Left，指数据包剩余要处理的Segment数量，看到SRH中规定了要经过R3，R4，R5，那么SL在经过这些规定的链路结点时，值就会衰减1，所以SL值也会变；Payload指数据包的有效载荷，也是不变的，因此选AC。

7、如图所示为某园区网络，SWA作为接入交换机，充当PC终端的网关;RTA为园区的出口路由器，与SWA运行路由协议来交换业务网段路由。

管理员为了控制路由发布，在SWA上配置如下前缀列表:

ip ip-prefix TEST permit 192.168.0.0 22 greater-equal 24 less-equal 26请问该前缀列表最多能匹配到多少条路由?（单选题)

A.26    B.28      C.22      D.16

正确答案：B

解析：首先看下脚本命令，TEST是它的名字，然后permit是说它允许以基准地址192.168.0.0，基准掩码是22位，然后greater-equal和less-equal是指掩码长度是24-26位，在子网计算里，掩码长度每增加一位，会把原网络划分一半，所以掩码长度24相较于22掩码长度增加了2位，也就是会匹配到2^2=4条路由，那么依次往后推，掩码长度25会匹配到2^3=8条路由，掩码长度26会匹配到2^4=16条路由，因此总共4+8+16=28条路由，选B。

8、在多业务融合承载的园区网络中，管理员需要规划好业务优先级、调度策略、丢弃策略等QoS配置，最大化保证不同业务的合理运行。以下关于QoS的相关配置的规划中，合理的有哪些项?（多选题)

A.高优先级队列的缓存长度应设置尽可能大，避免因拥塞造成队列中报文丢弃

B.配置WRED模板时，绿色报文丢弃高低门限数值应设置最大，黄色报文次之，红色报文丢弃高低门限应设置最小

C.对于时延敏感的业务，考虑入PQ队列，采用SP调度算法

D.在网络的边界设备上，对不同的数据流进行分类;在网络的中间设备，可以根据分类，对不同类别的流量给予差别服务

正确答案：BCD

解析：本题考察QoS配置基本概念，首先A选项，高优先级队列处理的是关键业务，比如视频会议、语音通话等重要业务，如果缓存设置的过大，可能确实能够避免因拥塞造成队列中报文丢弃，但是也会增加它报文处理的时延，整个业务时间太久的话，像语音通信等即时业务，对于它们来说时延相较于丢包影响更大，所以并不是缓存长度越大越好，而是要根据具体的业务做具体的选择；再看B选项，WRED是在队列没有满的时候就开始随机丢弃报文，避免一些全局同步和TCP拥塞问题，在QoS染色规则中，绿色是最高优先级，黄色是中优先级，红色是低优先级，那么从理论来说，优先级最高的绿色报文是最晚被丢弃的，所以应设置最高的门槛，黄色次之，红色最小，因此正确；C选项PQ队列的Strict Priority算法会优先处理高优先级队列的一些报文，对于时延敏感的业务比如视频会议的业务，使用该算法对时延效果最好，因为会优先处理队列里它们的报文，业务体验会更好，正确；D选项是QoS的基本原则之一，一般对边界设备进行业务的分类和标记，比如802.1P、DSCP等服务，在中间设备上根据标记对设备优先级调度、拥塞管理，在中间设备上不再进行更深层次的分类了，以节约设备的计算资源，因此D正确，因此本题选择BCD。

Part 2 DCN(数据中心网络)模块(共4题)：

1、如图所示为某数据中心网络。网络管理员计划在接入设备Leaf1和Leaf2上部署相关技术来提升服务器接入的可靠性，管理员在部署M-LAG技术或堆叠技术之间做了对比分析，以下关于两者对比分析的描述中，正确的是哪些项?（多选题)

A.从可靠性的角度分析，M-LAG控制面分离，耦合较小，故障只影响一台设备，稳定性较高

B.从性能角度分析，堆叠成员交换机独立转发，CPU载荷保持不变，而M-LAG中Master控制所有堆叠成员的转发面，CPU载荷较重

C.从升级便利性角度分析，M-LAG的成员交换机可独立升级，业务流量转发影响较小;而堆叠中升级会影响控制面，对业务流转发影响较大

D.从配置复杂性角度分析,堆叠采用集中式配置,较简单;而M-LAG配置一般要求两边一致，否则可能导致功能不可用,较复杂

正确答案：ACD

解析：先看A选项，M-LAG控制面独立，所以故障不会相互影响，但堆叠是共用控制面，所以堆叠主设备故障的时候可能整组就瘫痪了，所以A选项正确；B选项堆叠成员实际是共享转发平面的，然而M-LAG设备是完全独立转发的，B选项描述恰好相反；C选项M-LAG可以逐台升级，所以流量可以自动切换进行流量不中断的升级，但堆叠设备升级是需要整组重启，业务是会中断的，C选项正确；D选项堆叠是通过主设备统一来进行配置，然而M-LAG是需要每台设备单独配置，所以配置验证更复杂，D选项正确。总结一下，堆叠其实就是合二为一，适合简化管理；M-LAG是独立协作，比较侧重可靠性。因此本题正确答案ACD。

2、如图所示为某数据中心网络拓扑，Leaf、Spine、DCGW之间部署OSPF实现三层互通。VM1和VM2为同一用户的两台虚拟机，分别运行在Leaf1和Leaf2下挂的服务器上，其IP地址分别为10.1.1.1/24和10.1.1.2/24。为了实现VM1和VM2的互通，需要在Leaf1和Leaf2之间部署VXLAN隧道。以下关于VXLAN的描述中，错误的是哪些项?（多选题)

A.VXLAN隧道的端点称为VTEP，两端VTEP的IP可达性依靠OSPF来实现

B.VM1与VM2互访的流量需要经过vBDIF网关查表转发

C.VM1与VM2互访的流量的物理路径需要经过Spine和DCGW设备

D.Leaf在进行VXLAN封装时，会涉及VNI，VNI的长度为16bit

正确答案：BCD

解析：A选项中VTEP是M-LAG隧道端点，IP可达性是依靠OSPF实现，正确；B选项虚拟机1和虚拟机2属于同网段，属于二层互通，二层互通的流量是通过二层隧道进行二层泛洪和MAC学习来做直接转发，无需经过三层网关，所以B描述错误，只有跨网段访问才需要网关；C选项VXLAN的隧道实际物理流量路径取决于Underlay的路由，图中的Leaf1和Leaf2的VTEP IP如果通过Spine来做路由可达，可能不需要经过DC Gateway，所以选项中说需要经过Spine和DCGW设备描述过于绝对；D选项VNI长度是24bit，因此本题选BCD。

3、在云数据中心中，VXLAN实现了VM间的大二层互访，由于静态方式的VXLAN不够灵活,无法满足云服务灵活部署和调整，因此往往采用EVPN作为VXLAN的控制面来解决这个问题。以下关于EVPN对于云数据中心带来的价值的描述中，错误的是哪一项?（单选题)

A.EVPN可以自动建立VXLAN隧道，避免大量手工配置，提升效率

B.EVPN在控制面进行MAC学习，避免MAC在数据面大量泛洪

C.EVPN在控制面进行主机路由发布和学习，避免大量手工配置

D.EVPN可以自动化创建VM的接入接口,避免大量手工配置

正确答案：D

解析：本题考察VXLAN和EVPN相关技术。A选项正确，因为传统静态VXLAN需要手工配置VTEP之间隧道，而EVPN通过BGP协议自动发现远端的VTEP并建立隧道，减少人工配置的工作量；B选项正确，传统VXLAN依赖数据面泛洪和MAC学习，像传统二层网络，而EVPN是通过控制面直接传递MAC地址信息，避免广播风暴，提升网络效率；C选项中，描述同样正确，EVPN能够发布虚拟机的主机路由，避免手工配置路由的操作；D选项中，EVPN的核心价值在于控制面的信息同步，但是虚拟机接入配置仍需要手工或通过控制器下发，EVPN本身不负责自动创建接入的接口配置的，所以D选项错误。

4、华为CloudFabric数据中心网络解决方案的计算联动场景（如图所示)中不包含云平台，网络业务由网络管理员通过控制器配置，计算资源由计算管理员配置。网络管理员和计算管理员通过企业内部的业务流进行业务协商。以下关于该场景的具体描述中，错误的是哪一项?（单选题)

A. iMaster NCE通过与计算管理平台的对接，完成VM上线、下线时对应网络侧配置的自动下发和修改

B.该场景不含云平台，因此iMaster NCE直接提供UI作为人机交互界面，它通过NETCONF接口对接计算管理平台

C.该场景中SecoManager融合部署在iMaster NCE中，可以实现VAS服务的编排和策略管理

D.该场景中部署FabricInsight可以实现基于真实业务流量发现网络异常

正确答案：B

解析：本题是关于数据中心网络解决方案的场景题。计算联动场景的网络业务配置是由网络管理员通过控制器下发，计算业务是由计算管理员在计算管理平台上下发，然后控制器和计算平台会有API对接，也就是说控制器是根据计算平台的需求实现部分网络自动配置。A选项描述完全正确，是计算联动的核心能力；B选项NETCONF是网络设备的管理协议，用于控制器配置交换机，与该描述没有关系，计算平台和控制器之间用的接口不是NETCONF，而是RESTful之类的协议；C选项描述正确，数据中心网络解决方案的安全控制器SecoManager是和控制器iMaster NCE Fabric是集成部署的关系，即集成在控制器上，能够实现VAS服务；D选项描述正确，FrI(FabricInsight)是通过Telemetry实时采集流量的数据，做到精准网络故障异常定位发现，因此本题选B。

Part 3 安全模块(共4题)：

1、在企业内网实施网络准入控制，可以有效地管理和保护网络资源，防止未经授权的访问和潜在的安全威胁，提高网络的安全性、可靠性及保密性。以下关于准入认证的描述错误的是哪些项?（多选题)

A.802.1X认证不需要安装客户端，安全性较高，需要部署专用的认证服务器

B.MAC认证适用于打印机、传真机等哑终端接入认证场景

C.MAC优先的Portal认证场景:用户进行Portal认证成功后，断开网络一段时间后重新连接，可能需要输入用户名、密码重新进行Portal认证，访问相应网络资源

D.Portal协议包括Portal接入协议和Portal加密协议

正确答案：AD

解析：本题考察准入认证，准入认证是安全中很重要的内容。A选项描述错误，802.1X认证必须依赖客户端，否则无法完成EAP交互，要求PC安装相应软件或者操作系统内置需要支持才可以；B选项MAC认证是通过绑定终端MAC来做接入认证控制，不需要和终端交互，适用于打印机、传真机等哑设备接入，所以B正确；C选项正确，用户认证成功后断开网络一段时间重启后可能重新输入用户密码，是因为认证信息超时或会话终止，重新接入就会触发Portal页面，要求重新认证，所以C选项正确；D选项错误，Portal协议本质上是认证交互流程，它仅定义认证接入过程，加密是依赖其他协议，比如HTTPS，基于SSL等协议，非Portal协议自身包含加密功能，所以D选项偷换概念错误，因此本题选AD。

2、某高等院校在网络边界处部署了USG6000F系列防火墙作为安全网关。网络管理员将该网络规划为办公网络，Internet和内网服务器;并将其部署在对应的防火墙安全区域中。以下关于防火墙安全区域的描述正确的是哪一项?（单选题)

A.缺省情况下，任意两个预定义的安全区域之间的策略动作为禁止

B.将接口添加至local以外的其他安全区域中，是将接口下所连的网络加入该安全区域，接口本身还是属于local安全区域

C.设备中的安全区域分为预定义安全区域和自定义安全区域，所有的安全区域按照安全级别的不同从0到100划分优先级，数字越大表示优先级越高

D.防火墙的MEth管理接口常用于防火墙带外管理维护，属于Local安全区域

正确答案：B

解析：先看A选项，华为防火墙的所有安全区域间没有配置策略就是默认动作为禁止，但是Local区域除外，因为设备自身发起的流量是默认允许的，所以A错误；B选项是安全区域核心概念，接口(物理端口)本身是归属于Local区域的，而接口连接到的外部网络才属于指定划入的安全区域，因此B正确；C选项中安全级别应没有0，因此错误；D选项关于管理接口属于什么区域的问题，实际上题干中提到的USG6000F系列防火墙管理接口不属于任何安全区域，是单独管理和业务隔离的设置，它缺省是不能配置安全区域的，所以D选项错误，因此本题选B。

3、某互联网企业总部通过FW1和FW2接入外网。分支机构员工使用FW3接入总部。要求实现分支机构安全访问IPsec保护的总部内网服务器。公司由多个分支机构组成，其网关为FW3。为提高网络可靠性，FW1和FW2配置部署基于VRRP的主备模式双机热备系统，其中FW1是主设备，上下行设备均为二层交换设备SW1和SW2。以下描述错误的是哪些项?（多选题)

A.在FW1，FW2上分别创建面向SW1和面向SW2的两个VRRP组，需要指定同一台设备为主

B.防火墙双机热备系统Trust区域和Untrust之间的安全策略需要放通控制IKE协商报文

C.当主用设备FW1物理接口、链路或主机故障时，原有的IPsec隧道会被拆除，因而可以实现快速切换

D.FW1和FW2之间需要开启IPsec SA双机一致性检测及备份功能，该功能缺省情况下处于关闭状态

正确答案：BCD

解析：本题考察防火墙设备的双机热备以及IPsec隧道。首先看A选项，防火墙1作为主设备，上下行VRRP均需要指定其为主，正确，因为防火墙和普通网络设备不一样，网络设备平时VRRP组上下行主备其实是没关系的，因为防火墙有上下行流量路径一致的要求，如果会话表流量不一致会丢弃，所以防火墙要求上下行VRRP组需要是同一个组才可以保证流量转发；然后看选项B，IKE协议报文是通过防火墙公网交互，所以安全策略需要放通Local到Untrust的流量，而不是Trust到Untrust之间，题目说的是Trust，其实IPsec隧道是从防火墙开始建立的，所以它这个接口属于Local，与上一题知识点相同，所以B描述错误；然后对于选项C，双机热备通过IPsec SA实时备份实现主备切换，当主设备故障，备设备是直接继承SA状态接管流量的，无需拆除原有隧道，C描述错误；D选项错误，因为华为防火墙IPsec SA双机一致性检测及备份功能默认是处于开启状态的，无需手动开启，因此本题选BCD。

4、某金融企业已经完成了数据中心IPv6的全面改造，但部分园区网络仍然使用IPv4。为实现跨IP协议栈的端到端通信，网络工程师在企业防火墙中部署了NAT64静态映射技术。其中业务组网和地址规划如下图所示:位于IPv4园区网络中的PC，能够跨越防火墙的根系统和虚拟系统，访问位于IPv6数据中心的内部业务服务器。IPv6网络中Server对于IPv4网络中映射的地址为100.1.1.10。以下关于该场景描述正确的是哪一项?（单选题)

A.该组网场景缺少DNS服务器，无法实现NAT64

B.从Server始发前往PC的报文，其目的地址前缀一定为64:ff9b::/96

C.在防火墙vSYS A中，可以将NAT64前缀配置为2025:2:2::/64

D.可以在根系统中部署引流表，将目的地址为100.1.1.10的业务流量导入到vSYS A中

正确答案：D

解析：本题考察NAT64，A选项，对于NAT64静态映射，其实DNS服务器是一个域名解析协议，但NAT64静态映射不需要依赖DNS，因此描述错误；B选项中的目的地址前缀是协议默认前缀，即知名缺省前缀，但是选项说的是其目的地址前缀一定是这个，又防火墙是支持灵活配置的，并非一定使用该前缀，B选项过于绝对；C选项提到可将NAT64前缀配置为2025:2:2::/64，但是从图中可知该地址是防火墙自身的接口IP，NAT64前缀是不能和设备地址重叠的，否则设备接口收到流量会误以为报文是NAT64报文，会进入NAT64流程，因此错误；D选项正确，使用引流表可以简化配置，直接把流量引入目标虚拟系统处理，因此本题选D。

Part 4 WLAN模块(共4题)：

1、在企业环境中，网络管理员需要确保员工在使用无线局域网时能够无缝漫游，以保持稳定的网络连接和良好的用户体验。如图，AP1和AP2连接在同一个接入交换机上，企业通过AP1和AP2同时提供“Employee”名称的Wi-Fi供STA使用，以下关于STA从AP1移动到AP2过程中，STA与AP在不同阶段漫游动作的描述，错误的是哪一项?（单选题)

A.STA监听各信道beacon，发现AP2满足漫游条件，向AP2发probe请求

B.AP2在信道1(AP2的工作信道)中收到请求后，通过在信道1中发送应答来进行响应

C.STA通过信道1(AP2的工作信道)向AP1发送802.11解除关联信息，解除用户与AP1间的关联

D.STA通过信道1(AP2的工作信道)向AP2发送关联请求，AP2使用关联响应做出应答，建立用户与AP2间的关联

正确答案：C

解析：本题主要考察无线漫游，在终端移动过程中会基于AP信号强度进行判断，达到预设阈值之后就会触发漫游，在这期间会有三个动作，第一个是扫描，基于终端扫描当前位置下网络信息，会扫描SSID信息以及相关网络参数；第二阶段是选网，基于当前检测到的网络信息，选择其中的一个BSSID作为漫游目标；第三阶段是漫游，它选中目标之后会基于终端自身能力和网络能力选择匹配的漫游方式。在了解完三个动作后看四个选项，首先STA在从AP1到AP2移动的过程中，如果发现AP2信号强度较强，达到漫游阈值之后，就会向AP2发送连接请求，然后AP2在当前工作信道中，发现STA的probe请求后，会发送连接的响应应答STA，这样STA和AP2建立连接，然后到C选项，STA如果想要与之前关联的AP1解除关联信息，需要在AP1工作的信道发送802.11解除关联的信息，而并不是在AP2工作的信道；D选项，在与AP1解除关联之后，如何和AP2建立关联呢？它是同样需要在AP2的工作信道去发送关联请求信息，而AP2也会在自身工作信道发送关联响应信息与STA建立连接，因此本题选C。

2、国内某高校新校区正在新建图书馆，学校计划在图书馆内做Wi-Fi全覆盖提升师生的信息化体验，假设在其中一个区域需要直线部署AirEngine 8760-X1-PRO型号的AP，使用40MHZ频宽的5G信号，该区域长80米，为了确保Wi-Fi覆盖强度，需要在该直线部署()个AP点位，为避免图书馆相关雷达设备的干扰，需要为对应点位手动规划信道，以下规划最合理的哪一项?（单选题)

A.3个点位,信道从左往右分别为:40，48，136

B.4个点位，信道从左往右分别为:48，56，68，149

C.3个点位，信道从左往右分别为:52，60，161

D.4个点位，信道从左往右分别为:36，44，149，161

正确答案：D

解析：本题是在场景内考察AP点位与信道的手动规划。首先看AP点位，8760-X1-PRO的AP覆盖半径是8-10米，基于80米的场景就需要在直线部署4个AP点位，因此只要在BD选项中选择，而对于信道的选择，在题干中可看到该AP是使用40MHZ频宽的5G信号，由于20MHZ频宽的5.2G信号可用信道是从36开始，一直到40，44,48，52,56,60,64，而5.8G信号可用信道从149开始，到153,157,161,165，从几个可用信道中可以先看B选项，其中56是中国雷达信道，题干中明确提到要避免图书馆相关雷达设备的干扰，因此56信道不可以，另外68也不属于5.2G和5.8G的可用信道的，B选项排除；D选项中36和44是5.2G信号的可用信道，而149和161是5.8G信号的可用信道，因此本题选D。

3、当今社会中连接Wi-Fi上网的场景越来越多。然而，Wi-Fi信号会借助空气传播，一定空间范围内的无线终端都能接收到信号，这给恶意用户侦听正常用户数据提供了更多的可能性。同时,恶意用户也会借助胖AP释放合法的SSID，欺骗用户接入，以获取用户的敏感数据。若某单位使用的是华为Wi-Fi 6/ Wi-Fi 7企业级AP，为了保证无线传输信息的机密性和安全性，网络管理员可采取以下哪些措施?（多选题)

A.使用WPA3等更高级的Wi-Fi加密标准或使用强密码

B.隐藏SSID信号

C.使用AP的空口检测非法SSID，识别出非法设备后进行反制

D.使用IPSec VPN等方式连接Wi-Fi

正确答案：ACD

解析：首先如果使用WPA3等更高级的Wi-Fi加密标准或使用强密码，破解的难度大大增加，一定程度上保证无线信息在传输中的机密性，因此A正确；B选项隐藏SSID信号，即将AP的SSID模式设置为非广播模式，设置之后AP在发送信标帧beacon帧时，其中不会携带相关的SSID信息，普通无线终端就不会通过扫描发现这个网段，但是终端是可以通过手动连接的方式发现该网段连接接入网络，此时无线业务报文仍然会暴露在空气中，被非法侦听设备侦听到；C选项是指在AP和AC的组网方案中使用设备检测和反制的机制实现非法设备的识别，AP会将检测到的设备信息同步到AC，AC判定非法AP之后，监测AP会顶用非法AP的身份发送广播解除认证帧Deauthentication，这样非法用户终端接收到解除认证帧之后就会断开与非法AP的连接，通过反制机制可保证终端不去连接非法AP；对于D选项，对于手机终端或是无线便携电脑，都是可以通过无线接入Wi-Fi，可以通过VPN方式对无线信息加密，这样可以保证无线信息传输的安全性，因此本题选ACD。

4、某大型商场部署SSID为“guest”的无线网络，为来访的客户提供无线网络接入，由于无线终端较多且流动性较大，为确保用户客户端在移动过程中可以顺畅使用无线网络。管理员决定在位于三层网络的WAC上部署启用MAC优先的Portal认证以对用户进行接入控制，关于MAC优先的Portal认证，以下描述正确的有哪些项?（多选题)

A.商场在提供服务性Wi-Fi时，需要提供上网实名认证机制，同时为给用户提供更好的服务体验，通常会部署MAC优先的Portal认证典型方案

B.用户首次认证时，客户端浏览器将弹出页面，并在页面中进行认证后才可接入网络

C.当用户客户端首次认证成功后，Portal服务器会自动保存客户端的MAC地址

D.通常用户通过首次认证后,有效时间内再次来到该商场，可以实现无感知认证,无需弹出Portal页面进行认证

正确答案：ABD

解析：本题考察无线中MAC优先的Portal认证，首先要知道它的机制，当无线终端接入Wi-Fi获取到IP地址之后，会进行首次认证，弹出Portal的认证界面去输入相关认证信息，此时接入终端会把客户端的MAC地址上送到Radius服务器去做认证，当前Radius服务器没有MAC地址的存储信息会判定认证失败，这样会触发终端做Portal认证，当认证成功之后，由于各种原因断开网络连接而再次需要连接网络的时候，此时不需要再次认证，接入设备会直接将客户端的MAC地址上送到Radius服务器做MAC地址的认证，以实现用户终端的无感知认证。了解完机制后，对于A选项，商场在提供公共的服务性Wi-Fi时，我们是需要做实名认证的，为了避免商场用户因为频繁出入商场而带来频繁做实名认证的情况，提高客户的服务体验，就会推荐部署MAC优先的Portal认证方案；而B选项就是上述机制中的一个，首次认证之后需要接入认证才可以接入网络；C选项首次认证成功之后，Radius服务器会保存客户端MAC地址，而不是Portal服务器；D选项首次认证成功之后，如果在有效时间内再次来到该商场，接入终端会直接用客户端的MAC地址去做MAC认证，这样用户无需弹出Portal界面去做进一步实名认证，实现用户无感知认证，提升用户体验，因此本题选ABD。