An LDAP user cannot authenticate against a FortiGate device. Examine the real time debug output shown in the exhibit when the user attempted the authentication; then answer the question below. 〖LDAP用户无法根据FortiGate设备进行身份验证。当用户尝试身份验证时,检查显示的实时调试输出;然后回答下面的问题。〗
Based on the output in the exhibit, what can cause this authentication problem? 〖据展示中的输出,什么会导致这种身份验证问题?〗
A.User student is not found in the LDAP server. 〖在LDAP服务器中找不到用户学生。〗
B.User student is using a wrong password. 〖用户学生使用了错误的密码。〗
C.The FortiGate has been configured with the wrong password for the LDAP administrator. 〖该FortiGate为LDAP管理员配置了错误的密码。〗
D.The FortiGate has been configured with the wrong authentication schema.〖该FortiGate已配置了错误的身份验证模式。〗
【分析】
【图例最后一行显示 authenticate ‘ student’ against ‘ WindowsLDAP’ failed!针对“WindowsLDAP”验证“student”失败,所以答案是A】
【答案】A
Examine the following traffic log; then answer the question below. 〖检查以下流量日志;然后回答下面的问题。〗
date-20xx-02-01 time=19:52:01 devname=master device_id="xxxxxxx" log_id=0100020007 type=event
subtype=system pri critical vd=root service=kemel status=failure msg="NAT port is exhausted."
What does the log mean? 〖日志记录是什么意思?〗
A.There is not enough available memory in the system to create a new entry in the NAT port table. 〖系统中没有足够的可用内存来在NAT端口表中创建一个新条目。〗
B.The limit for the maximum number of simultaneous sessions sharing the same NAT port has been reached. 〖共享同一NAT端口的同时会话的最大数量已达到限制。〗
C.FortiGate does not have any available NAT port for a new connection. 〖FortiGate没有任何可用的NAT端口用于新连接。〗
D.The limit for the maximum number of entries in the NAT port table has been reached. 〖已达到NAT端口表中条目的最大数目的限制。〗
【分析】
【答案】C
An administrator cannot connect to the GIU of a FortiGate unit with the IP address 10.0.1.254. The administrator runs the debug flow while attempting the connection using HTTP. The output of the debug flow is shown in the exhibit:〖管理员无法连接到IP地址为10.0.1.254的FortiGate单元的GIU。管理员在使用HTTP尝试连接时运行调试流。调试流的输出显示在下图中:〗
Based on the error displayed by the debug flow, which are valid reasons for this problem? (Choose two.) 〖根据调试流显示的错误,哪些是导致此问题的有效原因?(选择两个)〗
A.HTTP administrative access is disabled in the FortiGate interface with the IP address 10.0.1.254. 〖在IP地址为10.0.1.254的FortiGate接口中禁用http管理访问。〗
B.Redirection of HTTP to HTTPS administrative access is disabled. 〖禁止将HTTP重定向到HTTPS管理访问。〗
C.HTTP administrative access is configured with a port number different than 80. 〖HTTP管理访问配置了不同于80的端口号。〗
D.The packet is denied because of reverse path forwarding check.〖由于反向路径转发检查,该数据包被拒绝。〗
【分析】
上图显示了调试流输出的示例。在本例中,调试流捕获了TCP三路握手的三个数据包。SYN包的输出显示了内核何时创建一个新的会话(带有会话ID),找到到达目的地的路由,并应用NAT。它还显示了匹配此流量的策略ID。
SYN/ACK和ACK包的输出显示会话ID和NAT信息。
此工具对于许多故障排除情况非常有用,例如,当你需要了解为什么包要走特定的路由,或者为什么要应用特定的NAT IP地址时。
【本例在第一个握手时就出现提示 iprope_in_check() check failed on policy 0,drop 】
如果无法正常管理防火墙的时候,debug flow往往会出现提示,msg="iprope_in_check() check failed, drop",一般会有下列三种可能原因所致:
1、当访问NGFW进行远程管理(ping, telnet, ssh ...)时,正在访问的服务未在接口上启用。
2、当访问NGFW进行远程管理时(ping, telnet, ssh ...),正在访问的服务在接口上启用,但是配置了受信任的主机,这些主机与入站数据包的源IP不匹配;
3、当通过同一NGFW的另一个接口访问用于远程管理的NGFW接口(ping,telnet,ssh ...)时,不存在防火墙策略。
【答案】AC
Examine the following routing table and BGP configuration; then answer the question below.〖检查以下路由表和BGP配置;然后回答下面的问题。〗
TheBGP connection is up, but the local peer is NOT advertising the prefix 192.168.1.0/24. Which configuration change will make the local peer advertise this prefix? 〖BGP连接已经建立,但是本地对等端没有公布前缀192.168.1.0/24。哪个配置更改会让本地对等点宣传这个前缀?〗
A.Enable the redistribution of connected routers into BGP.〖启用连接路由器重新分配到BGP。〗
B.Enable the redistribution of static routers into BGP.〖启用静态路由器重新分配到BGP。〗
C.Disable the setting network-import-check. 〖禁用设置network-import-check。〗
D.Enable the setting ebgp-multipath. 〖启用设置ebgp-multipath。〗
【分析】
您还可以使用network命令来配置FortiGate BGP来发布前缀。但是,网络命令中的前缀的精确匹配必须在路由表中激活。如果路由表不包含目标子网与前缀匹配的活动路由,FortiGate就不会公布前缀。你可以通过禁用network-import-check设置来更改此行为。当你禁用这个设置后,FortiGate广告BGP网络表中的所有前缀,而不管活动路由表中出现的路由。
【答案】C
Examine the following partial output from two system debug commands; then answer the question below. 〖检查以下两个系统调试命令的部分输出;然后回答下面的问题。〗
Which of the following statements are true regarding the above outputs? (Choose two.) 〖关于上述输出,下列哪项陈述是正确的?(选择两个)〗
A.The unit is running a 32-bit FortiOS 〖单位运行32位FortiOS〗
B.The unit is in kernel conserve mode 〖该单元处于内核保护模式〗
C. The Cached value is always the Active value plus the Inactive value 〖缓存的值总是活动值加上非活动值〗
D.Kernel indirectly accesses the low memory (LowTotal) through memory paging〖内核通过内存分页间接访问低内存(低total)〗
【分析】
FortiOS是64位架构,因此内核不需要使用内存分页来访问整个内存空间。所有的内存空间都可以被内核直接访问。
【FortiOS是64位架构,所以第1个答案是错的。央为是64位架构,所以内核不需要使用内存分页来访问整个内存空间,因此第4个答案也错的。】
上图显示的命令显示了分配给I/O缓存的内存量。缓存值是所有活动页面和非活动页面的总和。
【缓存值是所有活动页面和非活动页面的总和,因此第3答案是正确的。】
在内核层之上,运行着多个应用程序进程或守护进程。操作系统为每个进程分配独立的内存块。进程可以访问分配给它的内存。但是它不能访问分配给任何其他进程的内存。因此,一个进程不能通过读写数据到分配给另一个进程的内存中来与另一个进程共享信息。为此,操作系统动态分配共享内存(SHM)。多个进程可以访问SHM,允许它们共享信息。
【答案】BC
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
