一、单选题
1.关于DHCP Snooping说法错误的是?
DHCP Snooping可以通过设置信任端口防止非法攻击(默认所有接口为非信任接口)
全局使能DHCP Snooping功能,不带任何后置参数的情况下设备默认只处理DHCPV4报文
在接口视图下使能DHCP Snooping功能,则对该接口下的所有DHCP报文命令功能生效
在VLAN视图下使能DHCP Snooping功能,则对设备所有接口收到的属于该VLAN的DHCP报文命令功能生效
2.下列选项中,哪个关于DHCP Snooping的描述是错误的?
DHCP Snooping可以通过设置信任端口防止非法攻击
在VLAN视图下使能DHCP Snooping功能,则对设备所有接口收到的属于该VLAN的DHCP报文命令功能生效
在VLANIF接口视图下使能DHCP Snooping功能,则对该接口下的所有DHCP报文命令功能生效
在交换机的系统视图下执行dhcp snooping命令,则该交换机可以同时处理DHCPV4和DHCPV6报文
3.二层接入设备使能了DHCP Snooping功能后,从以下哪种报文中获取信息并生成DHCP Snooping绑定表?
DHCP DISCOVER
DHCP ACK
DHCP OFFER
DHCP REQUEST
4.对于此段配置描述错误的是:
如果GiqabitEthernet0/0/1接口收到的DHCP请求报文中,没有Option82的SubOption信息,则设备会生成Option82,并插入到报文中
开启DHCPSnooping配置可以用来防I上DHCPServer仿冒者攻击
配置GigabitEthernet0/0/1接口为信任接口
D)开启DHCPSnooping配置可以用来防止ARP欺骗攻击
5.DHCP服务器分配给客户端的动态IP地址,通常有一定的租借期限,那么关于租借期限的描述错误的是?
租期更新定时器为总租期的50%,当“租期更新定时器”到期时,DHCP客户端必须进行IP地址的更新
重绑定定时器为总租期的87.5%
若“重绑定定时器”到期,但客户端还没有收到服务器的响应,则会一直发送DHCP REQUEST报文给之前分配过IP地址的DHCP服务器,直到总租期到期
在租借期限内,如果客户端收到DHCP NAK报文,客户端就会立即停止使用此IP地址,并返回到初始化状。态,重新申请新的IP地址
6.DHCP协议能够给客户端分配一些与TCP/IP相关的参数信息,在此过程中DHCP定义了多种报文,这些报文采用的封装是
TCP封装
UDP封装
PPP封装
IP封装
7.当组网发生变化时,DHCPSnooping绑定表不会立即老化,因此需要手动清除,那么管理员可以采用以下哪一条命令清除DHCP snoopine绑定表?
resetdhcp snooping statistics global
reset dhcp snooping user-bind ip-addressR
resetsaved-configuration
dhcp snooping user-bind autosave
8.NetEngine 从路由器作为DHcp server可以为同一个网段或不同网段内的客户端分配!P地址。以下哪一原因不会导致客户端无法获取正确地址?
设备未使能DHCP功能
B客户端与服务器之间的链路有故障
IP地址租期小于24小时
地址池中没有可用的IP地址可分配
二、多选题
1.以下哪些情况会导致DHCP客户端无法获取IP地址?
地址池中没有可用的IP地址
客户端与服务器之间的链路有故障
客户端与服务器不在同一个网段,未配置中继设备
客户端的操作系统为Linux
2.关于PC机从DHCP Server获取地址,所使用的命令描述正确的是?
在用户PC机的Windows7 /Windows XP环境下使用ijpconfig/renew命令来申请新的IP地址,此时用户PC机向DHCP服务器发送的是DHCPRENEW报文
在用户PC机的Windows7 /Windows XP环境下使用ipconfig/release命令来主动释放IP地址,此时用户PC机向DHCP服务器发送的是DHCP RELEASE报文
在用户PC机的Windows 7/Windows XP环境下使用ipconfig/release命令来主动释放IP地址,此时用户PC机向DHCP服务器发送的是DHCPREQUEST报文
在用户PC机的Windows7/indows XP环境下使用ipconfig/renew命令来申请新的IP地址,此时用户PC机,向DHCP服务器发送的是DHCP DISCOVER报文
3.DHCP服务器可以采用不同的地址范围为客户机进行分配,关于分配地址的描述,正确的是?
可以是DHCP服务器的数据库中与客户端MAC地址静态绑定的IP地址
可以是客户端曾经使用过的IP地址,即客户端发送的DHCP DISCOVER报文中请求IP地址选项(Requested lP AddrOption)的地地址
在DHCP地址池中,顺序查找可供分配的IP地址,即最先找到的IP地址
关于DHCP服务器查询到的超过租期、发生冲突的IP地址,如果找到可用的IP地址,则可进行分配
可以是客户端曾经和别的客户端产生冲突的IP地址
4.通过查看DHCP配置信息和报文统计信息,可以查看设备运行状态,接收和发送DHCP报文的计数,以方便日常维护过程中的问题定位。以下哪些指令可以用于查看DHCP消息?
display dhcp statistics
display dhcp relay staitstics
display dhcp server statistics
display dhcp
5.DHCP Server即DHCP服务器,负责客户端IP地址的分配,在配置DHCP Servert时,需要包括以下哪些步骤?
全局便能DHCP功能
配置DHCP的option82选项
采用全局地址池的DHCP服务器模式时,配置全局地址池
采用端地址池的DHCP服务器模式时,配置端口地址池
6.DHCP Relay又称为DHCP中继如果需要配置DHCP Relay,那么需要包括以下哪些步骤?
配置DHCP服务器组的组名
配置DHCP服务器组中DHCP服务器IF地址
配置启动DHCP Relay功的接口编号及接口的IP地址
配置option82插入功能
7.DHCP Snooping是一种DHCP安全特性,这项技术可以防御以下哪些攻击?
DHCP Server仿冒者攻击
针对DHCP客户端的畸形报文泛洪攻击
仿冒DHCP报文攻击
DHCP Server的拒绝服务攻击
8.已知某交换机开启了DHCP Snooping功能,且其GEO/0/1被配置为信任接口,其余接口为非信任接口,则该接口可能会发送以下哪些报文?
DHCP REQUEST
DHCP OFFER
DHCP DISCOVER
DHCP ACK
9.配置DHCP Snooping可以用来防止仿写者攻击,那么配置过程中需要包含以下哪些步骤?
使能全局DHCP Snooping功能
使能全局DHCP功能
配置接口信任状态
使能接口或VLAN的DHCP Snooping功能
10.在某台交换机上进行了如图所示的配置,则下列哪些选项中的描述是正确的?
首先需要创建DHCP服务器组并向服务器组添加DHCP服务器
DHCP服务器上必须存在到达VLANIF100的路由
DHCP服务器和DHCP delay都必须全局开启DHCP
VLANIF100接口会将接收到的DHCP报文,通过中继发送到外部DHCP Server
11.DHCP绑定表可以包含以下哪些信息?
端口和UDP端口
MAC地址
IP地址
租约时间
12.DHCP绑定表可以包含以下哪些信息?
接入端口
IP地址
租约时间
MAC地址
13.DHCP会面对很多安全胁的原因?
中间人利用了虚假的IP地址与MAC地址之间的映射关系来同时欺骗DHCP的客户端和服务器
DHCP Server无法区分什么样的CHADDR超合法的,什么样的CHADDR是非法的
DHCP动态分配IP地址的响应时间长
由于DHCP发现报文(DHCP DISCOVER)以广播形式发送
14.为了防止仿冒DHCP服务器接入网络,可以在交换机上开启DHCP Snooping功能,配置步骤包括以下哪些选项?
使能接口的IPSG功能
配置接口信任状态
使能接口或VLAN的DHCP Snooping功能
使能全局DHCP功能
15.对于该配置说法正确的是
[Quidway]dhcp enable
[Quidway]interface vlanif 10
[Quidway-Vlanif10jip addres 10.1.1.1255.255255.128
[Quidway-Vlanif10jdhcp select gloal
[Quidway-Vlanif10]quit
[Quidway]dhcp server ping packets 10
该段命令是用来配置启用DHCP服务的
该命令是配置VLANIF10接口下的客户端都从全局地支持中获取IP地址
接地址池优先于全局地址池分配地址,即若接口上存在接口地址池,即便全局地址池也存在客户端也会优
先从接口地址池中获取地址
DHCP服务器发送ping报文的最大数目为10
DHCP服务器接收ping报文的最大数目为10
16.关于DHCP地址池的描述,确定的是?
配置基于全局地址池的地址分配方式,可以响应所有端口接收到DHCP请求
只有在配置基于全局地址池的地址分配方式,才可以设置不参与自动分配的IP地址范围
配置基于接口的地址分配方式,只会响应该接口的DHCP请求
配置基于接口的地址分配方式,可以响应所有端口接收到DHCP请求
17.DHCP snooping是一种DHCP安全特性,可以用于防御多种攻击,其中包括?
防御改变CHADDR值的饿死攻击
防御DHCP仿冒者攻击
防御TCPflag攻击
防御中间人攻击和IP/MAC Spoofing攻击
18.对于此台交换机上的配置描述正确的是?
配置DHCP服务器和DHCPdelay都必须全局开启DHCP
为VLAN100接指定DHCP服务器组为dhcpgroup1
首先需要创建DHCP服务器组并向服务器组添加DHCP服务器
VLANIF100接口会将接收到的DHCP报文,通过中继发送到外部DHCP Server
默认情况下,dhcpgroup1会自动添加网络中的DHCP服务器
19.若在交换机上执行如图所示的配置命令,则下列哪些选项中的描述是错误的?
若有一台DHCP服务器接入该交换机的GEO/0/1口,则该DHCP服务器可以正常地为DHCP客户端分配地址
当前配置可以用来防止DHCP Server仿冒者攻击
当前配置开启DHCP Snooping配置可以用来防止ARP欺攻击
当该交换机收到DHCP请求报文时,若该报文中没有Option82选项,则插入Option82选项
20.网络管理员在接入交换机上部署了DHCP snoping功能,其中以下哪些方秦可以用来降低攻击者恶意申请IP地址,导致DHCPServer拒绝服务 的影响?
开启设备根据DHCP Snooping绑定表生成接口的静态MAC表项功能
配置DHCP Snooping检查DHCP Request报文中的CHADDR字段
将交换机,上与合法DHCP Server互联的接口设为信任接口
通过DHCP Snooping限制交换机接口学习MAc地址数量
三、判断题
1.当DHCP客户端与DHCP服务器之间存在中继设备时,如果DHCP服务器全局地址池中的IP地址与中继设备上连接客户端的VLANIF接口的IP地址不在同一个网段,则会引起DHCP故障。√
2.当DHCP客户端与DHCP服务器之间存在多个中继设备时,每经过一台中继设备,中继设备都会将DHCP中继报文的源IP地址修改,确保客户端的DHCP报文准确到达DHCP服务器。×
3.企业网中,通常存在DHCP客户端和DHCP服务器不在同一个广播域的场景,在此场景下,可配置网络设备作为DHCP中继服务器。无论有多少台DHCP服务器,网络中只能有一台DHCP中继服务器。×
4.在设备上配置DHCP Relay功能时,其中继连接客户端的VLANIF接口必须绑定DHCP服务器组,而且绑定的DHCP服务器组中必须配置所代理的DHCP服务器IP地址。√
5.当DHCP客户端与DHCP服务器之间存在中继设备时,如果DHCP服务器全局地址池中的IP地址与中继设备上连接客户端的VLANIF接口的IP地址不在同一个网段,则会引起DHCP故障。√
6.使能了DHCP Snooping的设备根据DHCP客户端发送的DHCP请求报文信息会生成DHcPSnoopine绑定表,从而实现后续报文的匹配检查,防范非法用户的攻击。×
7.如图所示的网络,R2GEO/0/0接口开启DHCP Server功能,地址池为全局地址池。R1GE0/0/0和GE0/0/1接口作为DHCP客户端,缺省情况下,R1任何一个接口都不能获取IP地址。√
如图所示的网络,R2 GE0/0/0接口开启DHCP Server功能,地址池为接口地址池。R1GEO/0/0和6E0/0/1接口作为DHCP客户端,缺省情况下,只有一个接口能获取IP地址。×
四、简答题
1.请将下列DHCP攻击类型和相应解释配对
1567
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
