61、MPLS中使用LDP对标签进行分发有不同的方式,以下关于LDP标签分发控制方式说法错误的是?
A.LDP标签控制可以采用有序方式标记
B.采用有序方式,当LSR是路由器的始发节点,LSR不需要等收到下一跳的标记映射才向上游发出标记映射
C.LDP标签控制不能采用独立方式标记
D.采用独立方式,LSR可以向上游发出标记映射,必须等待来自LSR下一跳的标记映射消息
【正确答案】C,D
【答案解析】独立标签分配控制方式:本地LSR可以自主地分配一个标签绑定到某个IP分组,并通告给上游LSR,而无需等待下游的标签。有序标签分配控制方式:只有当该LSR已经具有此IP分组的下一跳的标签,或者该LSR就是该IP分组的出节点时,该LSR才可以向上游发送此IP分组的标签。所以正确答案是“LDP标签控制不能采用独立方式标记 ”、“采用独立方式,LSR可以向上游发出标记映射,必须等待来自LSR下一跳的标记映射消息”。
62、关于ASPF和Server-map的说法,正确的是?
A.通道建立后的报文还是根据Server-map来转发
B.只有ASPF会生成Server-map表
C.Server-map表项若一直没有报文匹配,经过一定老化时间后就会被删除。这种机制保证了Server-map表项这种较为宽松的通道能够及时被删除,保证了网络
的安全性。当后续发起新的数据连接时会重新触发建立Server-map表项
D.Server-map通常只用检查首个报文,通道建立后的报文还是根据会话表来转发
【正确答案】C,D
【答案解析】Server-map表项经过一定老化时间后就会被删除。当后续发起新的数据连接时会重新触发建立Server-map表项 ,Server-map通常只用检查首个报文,通道建立后的报文还是根据会话表来转发。Server-map表在防火墙转发中非常重要,不只是ASPF会生成,NAT Server等特性也会生成Server-map表。所以正确答案是“Server-map表项若一直没有报文匹配,经过一定老化时间后就会被删除。这种机制保证了Server-map表项这种较为宽松的通道能够及时被删除,保证了网络的安全性。当后续发起新的数据连接时会重新触发建立Server-map表项 ”、“Server-map通常只用检查首个报文,通道建立后的报文还是根据会话表来转发”。
63、在MPLS体系中,标签的分布方式有两种,分别是?
A.下游自主方式DU
B.下游按需方式DoD
C.下游自主方式DoD
D.下游按需方式DU
【正确答案】A,B
【答案解析】标签的发布方式有两种:1)DU(Downstream Unsolicited,下游自主方式):对于一个到达同一目地址报文的分组,LSR无需从上游获得标签请求消息即可进行标签分配与分发。2)DoD(Downstream on Demand,下游按需方式):对于一个到达同一目的地址报文的分组,LSR获得标签请求消息之后才进行标签分配与分发。所以正确答案是“下游自主方式DU”和“下游按需方式DoD ”。
64、流量监管与流量整形的区别是?
A.流量整形对报文着色
B.流量监管对报文着色
C.流量整形引入时延和抖动,需要较多的缓冲资源缓存报文
D.流量监管引入时延和抖动,需要较多的缓冲资源缓存报文
【正确答案】B,C
【答案解析】流量监管TP(Traffic Policing)就是对流量进行控制,通过监督进入网络的流量速率,对超出部分的流量进行“惩罚”,使进入的流量被限制在一个合理的范围之内,对超过流量限制的报文不能进行缓存,可对报文进行着色处理,绿色直接转发、黄色修改优先级后再转发、红色直接丢弃。从而保护网络资源和用户的利益。流量整形与流量监管的主要区别在于,流量整形对原本要被丢弃的报文进行缓存,当令牌桶有足够的令牌时,再均匀的向外发送这些被缓存的报文。流量整形与流量监管的另一区别是,整形可能会增加延迟,而监管几乎不引入额外的延迟。所以正确答案是“流量监管对报文着色”、“流量整形引入时延和抖动,需要较多的缓冲资源缓存报文”。
65、信息安全最关心的三个属性是什么?
A.机密性(confidentiality)
B.完整性(integrity)
C.可用性(availabilty)
D.身份验证(authentication)
【正确答案】A,B,C
66、下面对流量监管的功能描述,正确是?
A.对报文不能进行着色处理
B.对报文进行着色处理
C.对超过流量限制的报文进行缓存
D.对超过流量限制的报文不能进行缓存
【正确答案】B,D
【答案解析】流量监管TP(Traffic Policing)就是对流量进行控制,通过监督进入网络的流量速率,对超出部分的流量进行“惩罚”,使进入的流量被限制在一个合理的范围之内,对超过流量限制的报文不能进行缓存,可对报文进行着色处理,绿色直接转发、黄色修改优先级后再转发、红色直接丢弃。从而保护网络资源和用户的利益。所以正确答案是“对报文进行着色处理 ”、“对超过流量限制的报文不能进行缓存”。
67、在eSight中,网元发现方式支持哪几种协议?
A.SNMP 协议
B.ICMP 协议
C.Telnet 协议
D.Netconf协议
【正确答案】A,B
【答案解析】在esight中,网元发现方式有SNMP协议和ICMP协议。SNMP:支持安装了SNMP组件并配置了SNMP访问参数的网络设备。ICMP:主要是对那些没有SNMP相关参数的网络设备,网管服务器只要可以ping通该设备,就可以将其添加到网管中。所以正确答案是“SNMP协议和ICMP协议”。
68、为避免TCP全局同步现象,可使用的拥塞避免机制有?
A.RED
B.WRED
C.Tail-Drop
D.WFQ
【正确答案】A,B
【答案解析】避免TCP全局同步现象,避免机制基于RED技术,又实现了WRED(Weighted Random Early Detection)技术,可实现每一种优先级都能独立设置报文的丢包的高门限、低门限及丢包率,报文到达低门限时,开始丢包,到达高门限时丢弃所有的报文,随着门限的增高,丢包率不断增加,最高丢包率不超过设置的最大丢包率,直至到达高门限,报文全部丢弃。这样按照一定的丢弃概率主动丢弃队列中的报文,从一定程度上避免了尾丢弃带来的所有缺点。所以正确答案是“RED”和“WRED ”。
69、DHCP绑定表可以包含以下哪些信息?
A.MAC地址
B.IP地址
C.租约时间
D.TCP端口和UDP端口
【正确答案】A,B,C
【答案解析】DHCP绑定表可以包含MAC地址、IP地址、租约时间的信息。所以正确答案是“MAC地址”、“IP地址”、“租约时间 ”。
70、LDP有两种不同的发现对等体的机制,描述正确的是?
A.扩展发现机制是LSR周期性的发送Hello消息到指定地址来发现LDP对等体的
B.两种机制分别是基本发现机制和扩展发现机制
C.基本发现机制是通过周期性的发送Hello报文实现发现LDP对等体的
D.扩展发现机制用来发现链路上非直连的LSR
E.基本发现机制是用于发现链路上直连的LSR
【正确答案】A,B,C,D,E
【答案解析】LDP两种不同发现对等体的机制有基本发现机制和扩展发现机制;基本发现机制是用于发现链路上直连的LSR, 扩展发现机制用来发现链路上非直连的LSR所以题目中各个选项的描述都是正确的。
71、MPLS称为多协议标签交换,关于MPLS中的标签描述,正确的是?
A.标签是一个长度固定、只具有本地意义的段标识符,用于唯一标识一个分组所属的FEC
B.标签与ATM的VPI/VCI以及Frame Relay的DLCI类似,是一种连接标识符
C.标签由报文的头部所携带,不包括拓扑信息,并且具有全局意义
D.MPLS支持单层标签同时也支持多层标签
E.MPLS体系由多种标签发布协议,如LDP就是一种标签发布协议
【正确答案】A,B,D,E
【答案解析】标签是一个长度固定、只具有本地意义的段标识符,用于唯一标识一个分组所属的FEC ,与ATM的VPI、VCI以及Frame Relay的DLCI类似,是一种连接标识符 ,不具有全局意义 ,支持单层标签同时也支持多层标签,LDP是一种标签发布协议 。 所以除了选项“ 标签由报文的头部所携带,不包括拓扑信息,并且具有全局意义”以外,其他几个选项的说法都是正确的。
72、QoS中,Differentiated Service 与 Integrated Service 的主要区别是?
A.Differentiated Service中,去往不同目的地的分组获得的服务是不同的
B.Differentiated Service 里,来自不同信源的分组获得的服务是不同的
C.在Differentiated Service无须为每个流维护状态信息
D.Differentiated Service适合于在大型骨干网络上应用
【正确答案】C,D
【答案解析】DiffServ区分服务工作过程:首先将网络中的流量分成多个类,然后为每个类定义相应的处理行为,使其拥有不同的优先转发、丢包率、时延等业务流分类和标记由边缘路由器来完成。边界路由器可以通过多种条件(比如报文的源地址和目的地址、ToS域中的优先级、协议类型等)灵活地对报文进行分类,然后对不同类型的报文设置不同的标记字段,而其他路由器只需要简单地识别报文中的这些标记,然后对其进行相应的资源分配和流量控制即可。因此,DiffServ是一种基于报文流的QoS模型。它只包含有限数量的服务等级,少量的状态信息来提供有差别的流量控制和转发。一般用此服务模型适用于大型网络。所以正确答案是“在Differentiated Service无须为每个流维护状态信息 ”、“Differentiated Service适合于在大型骨干网络上应用”。
73、在MPLS体系中,标签的发布方式有哪两种?
A.自由方式
B.独立方式
C.保守方式
D.有序方式
【正确答案】B,D
【答案解析】标签的分配控制方式有两种:1)Independent(独立标签分配控制方式),本地LSR可以自主地分配一个标签绑定到某个IP分组,并通告给上游LSR,而无需等待下游的标签。2)Ordered(有序标签分配控制方式):只有当该LSR已经具有此IP分组的下一跳的标签,或者该LSR就是该IP分组的出节点时,该LSR才可以向上游发送此IP分组的标签。所以正确答案是“独立方式”和“有序方式”。
74、下面哪些是对网络进行管理的主要目标?
A.确保网络用户接收到期望的网络服务质量与技术服务信息
B.减少设备的搬迁费用
C.减少网络设备使用年限,和延长服务周期
D.帮助网络工程师面对复杂的网络数据,并确保数据能够快速全面的呈现给使用者
【正确答案】A,D
【答案解析】确保网络用户接收到期望的网络服务质量与技术服务信息、帮助网络工程师面对复杂的网络数据,并确保数据能够快速全面的呈现给使用者,是对网络管理的主要目标。所以正确答案是“确保网络用户接收到期望的网络服务质量与技术服务信息”、“帮助网络工程师面对复杂的网络数据,并确保数据能够快速全面的呈现给使用者”。
75、下列选项中,关于Agile Controller的终端安全管理特点的描述,正确的有哪些?
A.一键修复,降低终端管理维护成本
B.只允许安装标准软件,实现桌面办公标准化
C.控制终端外泄途径,通过准入控制确保入网终端强制安装客户端且符合安全要求
D.禁止非标软件的安装,降低病毒感染风险
【正确答案】A,B,C,D
【答案解析】终端安全管理特点 ——一键修复,降低终端管理维护成本:如果终端不符合企业安全策略,用户往往希望提供自动修复功能,现在已经完全能实现不合规状态的自动修复,用户只需要点击鼠标,即可在最短的时间内实现一键修复。桌面安全标准化、降低病毒感染风险:只允许安装标准软件,实现桌面办公标准化;控制非法的web访问,提高工作效率;禁止非标软件的安装,降低病毒感染风险。终端外设管理和行为监控:控制终端外泄途径,通过准入控制确保入网终端强制安装客户端且符合安全要求,监控通过使用外设和网络进行泄密的行为,同时提供全面审计,满足事后审计需求。所以题目中各个选项的描述都是正确的。
76、通过查看DHCP配置信息和报文统计信息,可以查看设备运行状态、接收和发送DHCP报文的计数,以方便日常维护过程中的问题定位。以下哪些指令可以用于查看DHCP消息?
A.display dhcp relay statistics
B.display dhcp
C.display dhcp statistics
D.display dhcp server statistics
【正确答案】A,C,D
【答案解析】通过display dhcp relay statistics ;display dhcp statistics ;display dhcp server statistics 等查看DHCP配置信息和报文统计信息,可以查看设备运行状态、接收和发送DHCP报文的计数,用于维护过程中的问题定位。所以正确答案是“display dhcp relay statistics”、“display dhcp statistics”、“display dhcp server statistics”。
77、以下哪些属于多通道协议?
A.FTP
B.Telnet
C.H.323
D.SNMP
【正确答案】A,C
【答案解析】多通道协议指的是通信过程中需占用两个或两个以上端口的协议,如大部分多媒体应用协议(如H.323、SIP)、FTP、netmeeting等协议。所以正确答案是“FTP”、“H.323”。
78、在MPLS VPN 网络中,数据包在进入公网被转发时,会加上两层MPLS标签,下列选项中对数据包的处理过程,描述正确的是?
A.数据包在倒数第二跳设备上被弹出外层标签后转发给对端PE设备
B.对端PE设备收到的是不带标签的IP数据包
C.倒数第二跳设备弹出外层标签的依据是数据包携带的外层标签为显示空标签3
D.对端PE设备依据内层标签将数据包正确发送到相应的VPN中
【正确答案】A,D
【答案解析】在MPLS VPN 网络中,数据包在进入公网被转发时,会加上两层MPLS标签,最外层是公网标签,内层是私网标签。所以数据包到达对端设备倒数第二跳的时候弹出特殊隐式空标签3的外层标签,转发到对端PE设备上,然后PE设备依据内层标签将数据包正确转发到相对应的VPN中。所以正确答案是“数据包在倒数第二跳设备上被弹出外层标签后转发给对端PE设备 ”、“对端PE设备依据内层标签将数据包正确发送到相应的VPN中”。
79、下列选项中,关于Agile Controller的终端安全管理特点的描述,正确的是?
A.如果终端不符合企业安全略,用户往往希望提供自动修复功能,现在已经完全能实现不合规状态的自动修复,用户只需要点击鼠标,即可在最短的时间内实现一健修复
B.通过MC管理中心可以集中配置和分发策略到下级终端安全管理服务器
C.可以控制非法的web访问
D.终端安全客户端按照分配的安全策略对终端进行检查,检查通过后服务器可以通知准入控制设备给终端开放网络权限,如果检查不通过,可以对终端进行隔离修复
【正确答案】A,B,C,D
【答案解析】终端安全管理特点 ——一键修复,降低终端管理维护成本:如果终端不符合企业安全策略,用户往往希望提供自动修复功能,现在已经完全能实现不合规状态的自动修复,用户只需要点击鼠标,即可在最短的时间内实现一键修复。桌面安全标准化、降低病毒感染风险:只允许安装标准软件,实现桌面办公标准化;控制非法的web访问,提高工作效率;禁止非标软件的安装,降低病毒感染风险。终端外设管理和行为监控:控制终端外泄途径,通过准入控制确保入网终端强制安装客户端且符合安全要求,监控通过使用外设和网络进行泄密的行为,同时提供全面审计,满足事后审计需求。所以题目中各个选项的描述都是正确的。
80、USG系列防火墙自定义的安全区域的安全级别可设置以下哪些值?
A.150
B.100
C.80
D.40
【正确答案】C,D
【答案解析】华为防火墙安全区域的安全级别的范围1-100 ,除去默认的安全级别5/50/85/100,在范围内根据需求都可以设置。所以正确答案是“80”、“40”。
81、可以根据报文中的哪些信息来进行复杂流量分类?
A.源、目的MAC地址信息
B.协议类型
C.源、目的IP地址信息
D.报文的包长度
【正确答案】A,B,C
【答案解析】复杂流分类是指根据五元组(源地址、目的地址、源端口号、目的端口号、协议号码)等报文信息对报文进行精细的分类。所以正确答案是“源、目的MAC地址信息”、“协议类型”、“源、目的IP地址信息”。
82、VxLAN支持哪几种常用的配置方式?
A.通过虚拟化软件配置
B.通过SDN 控制器配置
C.通过SNMP协议配置
D.自动配置
【正确答案】A,B
【答案解析】VXLAN支持通过虚拟化软件配置和SDN控制器配置。所以正确答案是“通过虚拟化软件配置”、“通过SDN 控制器配置”。
83、下列选项中,关于RT的描述正确的是?
A.每个VPN实例关联一对或多对VPN target属性,用来控制VPN路由信息在各站点之间的发布和接收
B.RT可分为两类VPN target属性: export target与impor target
C.export target和impor target 的设置相互独立,并且都可以设置多个值,能够实现灵活的VPN访问控制
D.RT值以BGP扩展团体属性的方式通过Update消息发布给邻居
【正确答案】A,B,C,D
【答案解析】在MPLS VPN建立过程中,通过RT来区分传输的路由。.每个VPN实例关联一对或多对VPN target属性,RT可分为两类VPN target属性: export target与impor target ,并且都可以设置多个值,能够实现灵活的VPN访问控制 ,RT值以BGP扩展团体属性的方式通过Update消息发布给邻居。所以题目中各个选项的描述都是正确的。
84、NFV常常部署在下列哪些应用环境中?
A.数据中心
B.网络节点
C.用户接入侧
D.客户机/服务器
【正确答案】A,B,C
【答案解析】网络虚拟化通过借用IT的虚拟化技术,可以部署在数据中心、网络节点或是用户家里。网络虚拟化适用于固定、移动网络中任何数据面的分组处理和控制面功能。所以正确答案是“数据中心”、“网络节点”、“用户接入侧 ”。
85、某公司由一个总公司和两个分公司组成,并使用MPLS VPN技术传递私网路由。在Hub-Spoke组网模式中,以下哪些选项可以实现分公司只能与总公司通信,分公司之间不能互相通信?
A.总公司:import Target:1:1,2:2;Export Target: 3:3. 分公司1: Import Target:3:3; Export Target: 1:1 分公司2:import Target: 3:3; Export Target: 2:2
B.总公司:import Target:12:3;Export Target: 3:12. 分公司1: Import Target:3:12; Export Target: 12:3 分公司2:import Target: 3:12; Export Target: 12:3
C.总公司:import Target:1:1;Export Target: 3:3. 分公司1: Import Target:3:3; Export Target: 1:1 分公司2:import Target: 3:3; Export Target: 2:2
D.总公司:import Target:2:2;Export Target: 3:3. 分公司1: Import Target:3:3; Export Target: 1:1 分公司2:import Target: 3:3; Export Target: 2:2
【正确答案】A,B
【答案解析】总公司的import target等于 分公司的export target ;分公司的import target 等于总公司的export target。所以正确答案是“ 总公司:import Target:1:1,2:2;Export Target: 3:3. 分公司1: Import Target:3:3; Export Target: 1:1 分公司2:import Target: 3:3; Export Target: 2:2”和“总公司:import Target:12:3;Export Target: 3:12. 分公司1: Import Target:3:12; Export Target: 12:3 分公司2:import Target: 3:12; Export Target: 12:3 ”。
86、流量监管与流量整形的区别是?
A.流量整形对报文着色
B.流量监管引入时延和抖动,需要较多的缓冲资源缓存报文
C.流量整形引入时延和抖动,需要较多的缓冲资源缓存报文
D.流量监管对报文着色
【正确答案】C,D
87、SDN的网络体系架构主要分为?
A.协同应用层
B.控制层
C.逻辑层
D.转发层
【正确答案】A,B,D
【答案解析】SDN网络体系机构主要分为应用层、控制层和转发层。所以正确答案是“协同应用层”、“控制层”、“转发层”。
88、Esight网管支持的远程告警通知方式包括:
A.邮件
B.语音
C.短信
D.微信
【正确答案】A,C
【答案解析】esight 远程通知的方式包括邮件和短信通知,所以正确答案是“邮件”、“短信”。
89、MPLS中有转发等价类FEC的概念,下列描述错误的是?
A.相同FEC的分组在MPLS网络中会有不同的处理
B.FEC的划分很灵活,可以是以源地址、目的地址、源端口、目的端口、协议类型或VPN等划分依据的任意的组合
C.MPLS将具有相同转发处理方式的分组归为一类,称为FEC
D.一个转发等价类,FEC只会有唯一的标签标记
【正确答案】A,D
【答案解析】MPLS作为一种分类转发技术,将具有相同转发处理方式的报文分为一类,称该类报文为一个FEC(Forwarding Equivalent Class)。FEC的划分方式非常灵活,可以是以源地址、目的地址、源端口、目的端口、协议类型或VPN等为划分依据的任意组合。所以正确答案是“相同FEC的分组在MPLS网络中会有不同的处理”、“一个转发等价类,FEC只会有唯一的标签标记”。
90、VRRP可以同哪些机制结合来监视上行链路的连通性?
A.接口track
B.BFD
C.NQA
D.ip-link
【正确答案】A,B,C,D
【答案解析】VRRP用来监测上行链路的连通性的机制包括track 模块、BFD、NQA、IP-LINK 等。所以题目中各个选项的描述都是正确的。
91、在eSight中,可按照哪些条件来设置告警屏蔽规则?
A.生效时间
B.生效时段
C.告警源
D.告警名称
【正确答案】A,B,C,D
【答案解析】在eSight中,可按照告警源、生效时间、生效时段、告警名称等来设置告警屏蔽规则。所以正确答案是“生效时间”、“生效时段”、“告警源”、“告警名称”。
92、关于MPLS的描述错误的是?
A.传送带有IPLS标记的分组之前先要建立对应的网络连接
B.路由器可以根据转发目标把多个IP流聚合在一起,组成一个转发等价类(FEC)
C.MPLS支持各种网络层协议,而且带有MPLS标记的分组必须封装在帧中进行传送
D.MPLS以标签交换代替IP转发
E.MPLS标记在各个子网中是特定分组的唯一标识
【正确答案】B,C
【答案解析】MPLS协议从各种链路层协议(如PPP、ATM、帧中继、以太网等)得到链路层服务,又为网络层提供面向连接的服务。MPLS能从IP路由协议和控制协议中得到支持,路由功能强大、灵活,可以满足各种新应用对网络的要求。MPLS作为一种分类转发技术,将具有相同转发处理方式的报文分为一类,称该类报文为一个FEC。所以选项“路由器可以根据转发目标把多个IP流聚合在一起,组成一个转发等价类(FEC)”、“MPLS支持各种网络层协议,而且带有MPLS标记的分组必须封装在帧中进行传送”的描述是错误的。
93、可以根据报文的哪些信息对其进行标记或重标记?
A.MAC Address信息
B.报文中的任何信息
C.IP Source、Destination Address、EXP信息
D.IP DSCP、IP Precedence、802.1p、EXP信息
【正确答案】A,C,D
【答案解析】像语音电话、视频终端等设备一般发送的报文都是携带设备默认标识的优先级值。若想通过自定义的值来提供差分服务,可以通过remark操作对报文进行重新标记。比如默认的标识有MAC地址、IP源”、“目的地址、EXP实验位、VLAN的802.1p、IP DSCP等。所以正确答案是“MAC Address信息”、“IP Source、Destination Address、EXP信息”、“IP DSCP、IP Precedence、802.1p、EXP信息 ”。
94、PQ+WFQ的优点有哪些?
A.实现按权重分配带宽
B.可保证低时延业务得到及时调度
C.实现根据用户自定义灵活分类报文的需求
D.不能有差别地对待优先级不同的报文
【正确答案】A,B
【答案解析】PQ调度机制:分为4个队列,分别为高优先队列、中优先队列、正常优先队列和低优先队列,它们的优先级依次降低。在报文出队的时候,PQ会首先让高优先队列中的报文出队并发送,直到高优先队列中的报文发送完,然后发送中优先队列中的报文,同样,直到发送完,然后是正常优先队列和低优先队列。这样的话,将关键业务的报文放入较高优先级的队列,将非关键业务(如E-Mail)的报文放入较低优先级的队列,可以保证关键业务的报文被优先传送,非关键业务的报文在处理关键业务数据的空闲间隙被传送。WFQ按流的优先级来分配每个流应占有的出口带宽。优先级的数值越小,所得的带宽越少。优先级的数值越大,所得的带宽越多。这样就保证了相同优先级业务之间的公平,体现了不同优先级业务之间的权值。 WFQ优点在于配置简单,但由于流是自动分类,无法手工干预,故缺乏一定的灵活性。所以正确答案是“实现按权重分配带宽 ”、“可保证低时延业务得到及时调度”。
95、基于会话的状态检测防火墙对于首包和后续包有不同的处理流程,下面描述正确的是?
A.报文到达防火墙时,会查找会话表,如果没有匹配,防火墙进行首包处理流程
B.报文到达防火墙时,会查找会话表,如果匹配,防火墙会进行后续包处理流程
C.在状态检查机制打开的情况下,防火墙处理TCP报文时,只有SYN报文才能建立会话
D.在状态检查机制打开情况下,后续包也需要进行安全策略检查
【正确答案】A,B,C
【答案解析】状态检测防火墙使用基于连接状态的检测机制,将通信双方之间交互的属于同一连接的所有报文都作为整体的数据流来对待。在状态检测防火墙看来,同一个数据流内的报文不再是孤立的个体,而是存在联系的。为数据流的第一个报文建立会话,数据流内的后续报文直接根据会话进行转发,提高了转发效率。所以正确答案是“报文到达防火墙时,会查找会话表,如果没有匹配,防火墙进行首包处理流程”、“报文到达防火墙时,会查找会话表,如果匹配,防火墙会进行后续包处理流程、“在状态检查机制打开的情况下,防火墙处理TCP报文时,只有SYN报文才能建立会话”。
96、关于VLAN聚合说法不正确的是?
A.VLAN聚合就是在一个物理网络内,用多个VLAN隔离广播域,使不同的VLAN属于同一个子网
B.VLAN聚合可以节省IP地址,解决了IP地址资源浪费的问题
C.VLAN聚合只需要在super-VLAN上配置IP地址,而不必在sub-VLAN上配置,super-VLAN中是可以添加物理端口的
D.用于隔离广播域的VLAN叫做super-VLAN
【正确答案】C,D
97、镜像端口的主要角色分为?
A.镜像端口
B.本地观察端口
C.远程镜像端口
D.中继端口
【正确答案】A,B,C
【答案解析】端口镜像的主要角色包含镜像端口、本地观察端口、远程镜像端口。所以正确答案是“镜像端口 ”、“本地观察端口 ”、“远程镜像端口 ”。
98、包过滤防火墙存在以下哪些问题,因此提出了状态防火墙。
A.无法检测某些来自传输层和应用层的攻击行为(如TCP SYN、Java Applets等)
B.对于多通道的应用层协议(如FTP,SIP等),部分安全策略配置无法预知
C.对于TCP连接均要求其首报文为SYN报文,非SYN报文的TCP首包将被丢弃
D.无法识别来自网络中伪造的ICMP差错报文,从而无法避免ICMP的恶意攻击
【正确答案】A,B
【答案解析】包过滤防火墙只根据设定好的静态规则来判断是否允许报文通过,它认为报文都是无状态的孤立个体,不关注报文产生的前因后果。无法检测某些来自传输层和应用层的攻击行为。状态检测防火墙使用基于连接状态的检测机制,将通信双方之间交互的属于同一连接的所有报文都作为整体的数据流来对待。在状态检测防火墙看来,同一个数据流内的报文不再是孤立的个体,而是存在联系的。为数据流的第一个报文建立会话,数据流内的后续报文直接根据会话进行转发,提高了转发效率。可以对于多通道的应用协议提出更好的应用过滤支持。所以正确答案是“无法检测某些来自传输层和应用层的攻击行为(如TCP SYN、Java Applets等)”、“对于多通道的应用层协议(如FTP,SIP等),部分安全策略配置无法预知 ”。
99、下列关于ASPE和Servermap的说法,正确的是?
A.ASPF检查应用层协议信息并且监控连接的应用层协议状态
B.ASPF通过动态的生成ACL来决定数据包是否通过防火墙
C.配置NAT server生成的静态server-map
D.servermap表用五元组来表示一条会话
【正确答案】A,C
【答案解析】由于某些特殊应用会在通信过程中临时协商端口号等信息,所以需要设备通过检测报文的应用层数据,自动获取相关信息并创建相应的会话表项,以保证这些应用的正常通信。这个功能称为ASPF,所创建的会话表项叫做Server-map表。对于多通道协议,例如FTP,ASPF功能可以检查控制通道和数据通道的连接建立过程,通过生成server-map表项,确保FTP协议能够穿越设备,同时不影响设备的安全检查功能.Server-map通常只是用检查首个报文,通道建立后的报文还是根据会话表来转发。Server-map表在防火墙转发中非常重要,不只是ASPF会生成,NAT Server等特性也会生成Server-map表。所以正确答案是“ASPF检查应用层协议信息并且监控连接的应用层协议状态”、“配置NAT server生成的静态server-map”。
100、以下是关于eSight物理拓扑监控的功能描述,其中正确的选项有?
A.图形化的展示网元、子网、链路的布局以及状态
B.精确可视化的监控全网网络运行状态
C.系统的展示全网网络结构及网络实体在业务上的关系
D.整个网络监控的入口,为客户实现高效运维
【正确答案】A,B,C,D
【答案解析】eSight物理拓扑监控能为客户提高高效运维,展示全网网络结构在业务上的关系,能精确监控全网网络运行状态以及图形化展示布局及状态。所以正确题目中各个选项的说法都是正确的。
101、DHCP会面对很多安全威胁的原因是?
A.中间人利用了虚假的IP地址与MAC地址之间的映射关系来同时欺骗DHCP的客户端和服务器
B.DHCP Server无法区分什么样的CHADDR超合法的,什么样的CHADDR是非法的
C.DHCP动态分配IP地址的响应时间长
D.由于DHCP发现报文(DHCP DISCOVER)以广播形式发送
【正确答案】A,B,D
102、DHCP Snooping 是一种DHCP安全特性,可以用于防御多种攻击,其中包括?
A.防御改变CHADDR值的饿死攻击
B.防御DHCP Server仿冒者攻击
C.防御TCP flag攻击
D.防御中间人攻击和IP/MAC Spoofing攻击
【正确答案】A,B,D
【答案解析】DHCP Snooping 是安全特性,可以用于防御多种攻击,其中包括DHCP饿死攻击、DHCP SERVER仿冒攻击、中间人攻击等。所以正确答案是“防御改变CHADDR值的饿死攻击”、“防御DHCP Server仿冒者攻击”、“防御中间人攻击和IP/MAC Spoofing攻击”。
103、下列关于华为eSight网管软件的描述,正确的是?
A.admin用户的密码丢失了,就只能通过重装eSight来恢复缺省密码
B.eSight支持分级管理,在分级部署模式下,上级网管可以把下级网管加入到系统中,并提供打开下级网管界面的链接
C.eSight应用平台支持同上层OSS系统集成,且通过SNMP实现网络告警上报,并与OSS告警系统进行对接
D.admin用户的密码丢失了,可以通过拨打400电话重置密码。
【正确答案】A,B,C
【答案解析】关于华为eSight网管软件,如果admin用户的密码丢失了,就只能通过重装eSight来恢复缺省密码;在分级部署模式下,上级网管可以把下级网管加入到系统中,并提供打开下级网管界面的链接;eSight应用平台支持同上层OSS系统集成,且通过SNMP实现网络告警上报,并与OSS告警系统进行对接。所以正确答案是“ .admin用户的密码丢失了,就只能通过重装eSight来恢复缺省密码”、“eSight支持分级管理,在分级部署模式下,上级网管可以把下级网管加入到系统中,并提供打开下级网管界面的链接”、“eSight应用平台支持同上层OSS系统集成,且通过SNMP实现网络告警上报,并与OSS告警系统进行对接 ”。
104、下面这段是MuxVLAN中关于主VLAN和从VLAN的配置,关于此配置说法正确的是?
[Quidway]vlan10
[Quidway-vlan10]mux-vlan
[Quidway-vlanlO]subordinate group 11
[Quidway-vian10]subordinate separate 12A.VLAN10为主VLAN
B.VLAN11为主VLAN
C.VLAN12为隔离型从VLAN
D.VLAN11和VLAN12都为从VLAN
E.VLAN10和11都为MUXVLAN
【正确答案】A,C,D
105、拥塞避免机制中的丢弃包策略不包括。
A.FIFO
B.RED
C.ERED
D.WFQ
【正确答案】A,D
【答案解析】拥塞管理包括FIFO/PQ/WFQ/WRR等,拥塞避免包括RED/WRED。所以正确答案是“FIFO”、“WFQ”。
106、常用的队列技术有哪些?
A.FIFO
B.PQ
C.WFQ
D.CBQ
【正确答案】A,B,C,D
107、LDP的Discovery message用于邻居发现,并且LDP在发现邻居时有不同的发现机制,那么下列关于Discovery message消息在基本发现机制中的说法,正确的是?
A.这个消息是封装在UDP报文中的,目的端口号为646
B.该消息被发往指定的LDP Peer
C.该消息的目的IP地址为组播IP地址224.0.0.2
D.TCP连接建立之后,LSR不再继续发送Hello Message
【正确答案】A,C
【答案解析】为了能使开启LDP协议的设备快速发现邻居,LDP的Hello消息使用UDP封装。UDP是无连接的协议,为了保证邻居的有效性和可靠性,Hello消息周期发送,发送周期为5s,使用组播224.0.0.2作为目的IP地址,意思是“发送给网络中的所有路由器”。所以正确答案是“ 这个消息是封装在UDP报文中的,目的端口号为646”和“该消息的目的IP地址为组播IP地址224.0.0.2”。
108、QoS针对各种不同要求,提供不同的服务质量,以下属于QoS所提供的功能有?
A.支持为用户提供专用宽带
B.可以减少报文的丢失率
C.避免和管理网络拥塞
D.可以设置报文源地址
【正确答案】A,B,C
【答案解析】为保证通信质量,就需要满足各类业务对网络的要求,要想提高通信质量,就是要提高带宽减少拥塞、减少时延和抖动、降低丢包率 。所以正确答案是“支持为用户提供专用宽带”、“可以减少报文的丢失率”、“避免和管理网络拥塞”。
109、华为防火墙默认提供的安全区域有?
A.local区域
B.trust区域
C.untrust区域
D.security区域
【正确答案】A,B,C
【答案解析】华为防火墙的默认安全区域包括local、DMZ、trust、untrust 。所以正确答案是“ local”、“trust”、“untrust ”。
110、企业网络的访客接入有哪些特征?
A.访客和员工的访问权限相同
B.访问自带设备接入网络
C.访客访问企业网络范围不受控
D.访客言论、行为不受控
【正确答案】B,C,D
【答案解析】访客接入特征包括访客自带设备接入网络;访客言论、行为不受控;访客访问企业网络范围不受控。所以正确答案是“访问自带设备接入网络”、“访客访问企业网络范围不受控”、“访客言论、行为不受控”。
111、假设有四条流量a、b、c、d均为50M,端口总带宽为100M,发生了流量拥塞,并对其进行拥塞管理。其中,流量a属于PQ队列调度;流量b、c、d属于WFQ队列调度,权重比为1:2:2,则关于对四种流量的调度结果描述错误的是?
A.流量a通过100m
B.流量a通过50m
C.流量b通过10m,流量c、d分别通过20m
D.流量b通过25m,流量c、d分别通过12.5m
【正确答案】A,D
【答案解析】PQ调度机制:分为4个队列,分别为高优先队列、中优先队列、正常优先队列和低优先队列,它们的优先级依次降低。在报文出队的时候,PQ会首先让高优先队列中的报文出队并发送,直到高优先队列中的报文发送完,然后发送中优先队列中的报文,同样,直到发送完,然后是正常优先队列和低优先队列。这样的话,将关键业务的报文放入较高优先级的队列,将非关键业务(如E-Mail)的报文放入较低优先级的队列,可以保证关键业务的报文被优先传送,非关键业务的报文在处理关键业务数据的空闲间隙被传送。在出队的时候,WFQ按流的优先级来分配每个流应占有的出口带宽。优先级的数值越小,所得的带宽越少。优先级的数值越大,所得的带宽越多。这样就保证了相同优先级业务之间的公平,体现了不同优先级业务之间的权值。 所以此题流量a属于PQ队列调度通过的带宽为50M、流量b通过的流量为10M、流量c/d分别的通过的流量为20M。所以正确答案选择“流量a通过100m ”、“流量b通过25m,流量c、d分别通过12.5m”。
112、包过滤防火墙提供了对分片报文进行检测过滤的支持,可以过滤的分片报文有?
A.首片分片报文
B.后续分片报文
C.伪造的ICMP差错报文
D.非分片报文
【正确答案】B,D
【答案解析】实现包过滤的核心技术是访问控制列表。包过滤防火墙只根据设定好的静态规则来判断是否允许报文通过,提供了对后续分片报文的检测过滤,以及非分片报文的检测过滤。所以正确答案是“后续分片报文”、“非分片报文 ”。
113、在NFV架构中,具体的底层物理设备主要包括哪些?
A.存储设备
B.网络设备
C.服务器
D.空调系统
【正确答案】A,B,C
【答案解析】NFV即网络功能虚拟化(Network Functions Virtualization),将许多类型的网络设备(如服务器,网络设备和存储设备等)构建为一个Data Center Network,通过借用IT的虚拟化技术虚拟化形成VM(虚拟机,Virtual Machine),然后将传统的CT业务部署到VM上。所以正确答案是“存储设备”、“网络设备”、“服务器 ”。
114、eSight网管要实现能够接收并管理设备上报的告警,需要具备哪些条件?
A.设备被网管管理
B.设备侧配置了正确的Trap参数
C.网管上被管理设备要配置正确的SNMP协议及参数
D.网管和设备之间要连通
【正确答案】A,B,C,D
【答案解析】eSight网管要实现能够接收并管理设备上报的告警,需要网管和设备之间要连通,设备被网管管理 ,设备侧需要配置正确的Trap参数,网管上被管理设备要配置正确的SNMP协议及参数。所以题目中各个选的描述的条件都是需要的。
115、下列选项中,哪些属于Agile controller的访客生命周期管理环节?
A.账号注册
B.账号审批与分发
C.账号认证
D.账号审计与注销
【正确答案】A,B,C,D
【答案解析】Agile Controller系统为企业提供访客管理功能,支持对访客的生命周期管理,实现访客申请、审批、分发、认证、注销的全流程管理。所以题目中的各选项都是正确的。
116、以下属于MPLS VPN路由的传递过程的是?
A.MP-BGP路由注入VRF的过程
B.CE与PE之间的路由交换
C.公网标签的分配过程
D.VRF路由注入MP-BGP的过程
【正确答案】A,B,C,D
【答案解析】MPLS VPN路由的传递过程将分为四个阶段:CE与PE之间的路由交换、VRF路由注入MP-BGP的过程、公网标签的分配过程、MP-BGP路由注入VRF的过程。所以题目中的各选项都属于MPLS VPN路由的传递过程。
117、TCP/IP v4 版本中,存在的安全隐患有下列哪几项?
A.缺乏数据源验证机制
B.缺乏对数据包的确认机制
C.缺乏对数据完整性的验证机制
D.缺乏机密性保障机制
【正确答案】A,C,D
【答案解析】TCP/IP协议组是目前使用最广泛的网络互连协议。但TCP/IP协议组本身存在着一些安全性问题。比如缺乏对数据来源的验证机制,缺乏对数据完整性的验证机制,缺乏对数据容易被窃取篡改的机密性机制等。所以正确答案是“缺乏数据源验证机制”、“缺乏对数据完整性的验证机制”、“缺乏机密性保障机制”。
118、在Agile controller的安全协防中,关于安全联动组件的描述,正确的是?
A.上报日志设备是由网络中部署的网络设备、安全设备、策略服务器、第三方系统等来承担,主要负责提供网络信息与安全日志
B.客户设备是网络信息与安全日志的产生者
C.联动策略执行设备由交换机来承担,主要负责安全事件发生后的设备联动部分的安全响应,是执行阻断或引流策略的设备
D.Agile Controller的安全协防组件负责对日志采集、处理、事件关联、安全态势展现、安全响应
【正确答案】A,C,D
【答案解析】安全联动解决方案中主要用到三个组件,从下到上依次包括 ——上报日志设备:由网络中部署的设备(网络设备、安全设备、策略服务器、第三方系统等)来承担,主要负责提供网络、安全日志。联动策略执行设备:由交换机来承担,主要负责安全事件发生后的设备联动部分的安全响应,是执行阻断或引流策略的设备。Agile Controller:方案的大脑,本方案用到的是Agile Controller的安全协同组件,这部分负责对日志的采集、处理、事件关联、安全态势展现、安全响应。所以正确答案是“上报日志设备是由网络中部署的网络设备、安全设备、策略服务器、第三方系统等来承担,主要负责提供网络信息与安全日志”、“联动策略执行设备由交换机来承担,主要负责安全事件发生后的设备联动部分的安全响应,是执行阻断或引流策略的设备”、“Agile Controller的安全协防组件负责对日志采集、处理、事件关联、安全态势展现、安全响应”。
119、关于MPLS标签封装格式的描述,正确的是?
A.MPLS单个标签的总长度为4个字节(32bit)
B.标签中的TTL字段和IP分组中的TTL(生存时间)意义相同,也具有防止环路的作用
C.标签中的S字段:1bit,用于标识该标签释放栈底标签,值为1时表明倒数第二层标签标签
D.对于以太网、PPP的分组,标签堆栈像“垫层“一样,位于二层报头于数据之间,有VLAN tag时,放到VLAN tag之前
【正确答案】A,B
【答案解析】MPLS标签封装在链路层和网络层之间,可以支持任意的链路层协议,MPLS标签的长度为4个字节,共分4个字段。1)Label:20bit,标签值域;2)Exp:3bit,用于扩展。现在通常用做CoS(Class of Service),当设备发生阻塞时,优先发送优先级高的报文;3)S:1bit,栈底标识。MPLS支持多层标签,即标签嵌套。S值为1时表明为最底层标签;4)TTL:8bit,和IP报文中的TTL(Time To Live)意义相同。所以正确答案是“ MPLS单个标签的总长度为4个字节(32bit)”、“标签中的TTL字段和IP分组中的TTL(生存时间)意义相同,也具有防止环路的作用 ”。
3350
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
