PAGEPAGE12023年華三杯考試復習題庫及答案一、單選題1.在網絡層上實現網絡互連的設備是______。A、路由器B、交換機C、集線器D、中繼器答案：A解析：路由器和三層交換機2.IKEv1主模式第一階段協(xié)商的第一和第二個報文的作用是身份驗證，從而保證了后續(xù)報文傳遞的合法性，以

上說法是否正確？A、正確B、錯誤答案：A3.防火墻缺省存在local、trust、DMZ、Management、untrust，并上述缺省安全域不能被刪除，以上說法是A、錯誤B、正確答案：B4.防火墻具有隱私內網網絡結構，防止外部攻擊源對內部服務器的攻擊行為，稱之為（）A、攻擊防范B、包過濾C、NATD、地址過濾答案：C5.以下哪些防火墻不支持SSLVPN功能?A、F1000-SB、U200-AC、V100-SD、v100-E答案：C6.防火墻具有隱藏私網內部網絡結構,防止外部攻擊源對內部服務器的攻擊行為的技術,稱之為A、地址過濾;B、NATC、反轉D、IP欺騙答案：B7.AAA授權包括以下哪些？A、本地授權B、遠程授權C、不授權答案：A8.NAT的EasyIP方式可以實現公網地址的復用,有效解決1PV4地址短缺問題。A、正確B、錯誤答案：B9.NAT的NATPAT方式屬于多對一的地址轉換,通過使用”地址+端口號”的形式進行轉換,使多個私網用戶可共用

一個公網IP地址訪問外網。上述說法是A、正確B、錯誤答案：A10.SPX屬于OSI參考模型的______。A、網絡層B、傳輸層C、會話層D、表示層答案：B解析：傳輸層協(xié)議有TCP/IP協(xié)議族的TCP/UDP,以及IPX/SPX協(xié)議族的SPX等11.如下圖所示的網絡中,RTB對RTA發(fā)起IPSec連接,有關NAT穿越描述正確的是A、IPSec隧道兩端不啟用TKE的情況下亦能實現NAT穿越B、通過將IPsec報文封裝在UDP1701端協(xié)議報文中實現IPSec的NAT穿越C、RTA在主模式情況下不能實現NAT穿越D、NAT網關會修改UDP報文頭,IPSec報文的IP頭答案：C12.以下工作于OSI參考模型數據鏈路層的設備是______。A、廣域網交換機B、路由器C、中繼器D、集線器答案：A解析：廣域網交換機-數據鏈路;路由器-網絡層;中繼器-物理層;集線器-物理層13.NAT的NATstatic方式可以實現公網地址的復用，有效解決ipv4地址短缺的問題，上述說法是（）A、錯誤B、正確答案：A14.SMTP協(xié)議使用的端口號是A、21B、25C、110D、22答案：B15.如下NAT命令及其作用對應關系正確的是?A、displaynatsession顯示NAT會話B、displaynatentry顯示地址條目C、displaynat顯示所有NAT配置D、displaynattable顯示地址表答案：A解析：displaynatsession命令用來顯示NAT會話，即經過NAT地址轉換處理的會話。

Displaynatall命令用來顯示所有的NAT配置信息。C錯

BD命令沒有找到16.F100-E固定4個GE接口,一個擴展槽,支持SSLVPN模塊。A、正確B、錯誤答案：B17.HWTACACS協(xié)議和RADIUS協(xié)議的區(qū)別A、以上信息記住B、以上信息記住C、以上信息記住D、以上信息記住答案：A18.以下哪個病毒可以破壞計算機硬件?A、CIH病毒B、宏病毒C、沖擊波病毒D、熊貓燒香病毒答案：A19.以下屬于塊加密算法的是:A、SHA-1B、MD5C、DESD、RC4.答案：C20.用以太網線連接兩臺交換機，互連端口的MDI類型都配置為across，則此以太網線應該為________。A、只能使用交叉網線B、只能使用直連網線C、平行網線和交叉網線都可以D、平行網線和交叉網線都不可以答案：A解析：同層設備交叉線，不同層直連線

以太網交換機接口類型MDI/MDIX自適應

MDI直通線

MDIX交叉線

這里設置成MDI，只能用交叉線21.H3CACG透明模式部署，在配置帶寬管理時，需要將線路綁定在物理接口上，綁定在橋接口上無法生效A、錯誤B、正確答案：B22.在IKE協(xié)商模式中，哪種模式適合用于分支機構采用ADSL撥號與總部IPSec連接A、野蠻模式B、主模式C、傳輸模式D、隧道模式答案：A23.100BASE-TX的標準物理介質是______。A、粗同軸電纜B、細同軸電纜C、3類雙絞線D、5類雙絞線E、光纖答案：D解析：100BASE-TX2對五類雙絞線

100BASE-FX多模光纖

100BASE-T44對三類雙絞線

1000BASE-SX多模光纖

LX單模24.下列關于L2TP的說法正確的有:A、用戶的遠程系統(tǒng)可以通過一個遠程接入方式接入到運營商的LAC中,由LAC對LNS發(fā)起L2tp隧道并建立會話B、當用戶的遠程系統(tǒng)使用VPDN客戶端軟件對LNS發(fā)起L2tp隧道并建立會話時,隧道直接建立在客戶端和LNS之間,此時L2tp系統(tǒng)不存在LACC、L2tp隧道存在于一對LAC與LNS之間。一個隧道內包括一個控制連接(ControlConnection）一個隧道內只支持一個會話D、L2tp是面向連接的,可以為其傳送的信息提供一定的可靠性。LAC維護遠程系統(tǒng)對其發(fā)起的呼叫狀態(tài)和信息。一對LAC和LNS也同時維護在兩者之間的相應信息和狀態(tài)答案：D25.集線器（Hub）工作在OSI參考模型的______。A、物理層B、數據鏈路層C、網絡層D、傳輸層答案：A26.在L2TP報文協(xié)商過程中,進行IP地址分配工作是在以下哪個階段？A、Establish(鏈路建立)階段B、LCP協(xié)商階段C、CHAP或PAP驗證階段D、網絡協(xié)商（NCP）階段答案：D27.NO-PAT方式是指直接使用接口的公網IP地址作為轉換后的源地址進行地址轉換上述說法是A、錯誤B、正確答案：A28.如果以太網交換機中某個運行STP的端口不接收或轉發(fā)數據，接收并發(fā)送BPDU，不進行地址學習，那么該

端口應該處于______狀態(tài)。A、BlockingB、ListeningC、LearningD、ForwardingE、WaitingF、Disable答案：B解析：接收配置BPDU發(fā)送配置BPDUMAC地址學習收發(fā)數據

Disable

Blocking√

Listening√√

Learning√√√

Forwarding√√√√29.H3c負載均衡交換機目前可以支持四層負載均衡，但不支持七層負載均衡A、正確B、錯誤答案：A30.安全的含義包過A、Security（安全）B、Safety（可靠）C、Security（安全）和safety（可靠）D、risk（風險）答案：C31.在防火墻上配置動態(tài)NAT使用命令displaynatsessionverbose有如下信息。

從設備輸出可確定的是：A、設備上配置的是NO-PAT方式的動態(tài)NATB、動態(tài)NAT的配置下發(fā)在G1/0/0口上C、可以ping通.D.地址池中只有1個地址答案：A32.在OSI參考模型中，網絡層的功能主要是______。A、在信道上傳輸原始的比特流B、確保到達對方的各段信息正確無誤C、確定數據包從源端到目的端如何選擇路由D、加強物理層數據傳輸原始比特流的功能，并且進行流量調控答案：C33.如圖所示網絡環(huán)境中，在RTA上執(zhí)行如下NAT配置：

[RTA]aclnumber2000.[RTA-acl-basic-2000]rule0permitsource55.[RTA-acl-basic-2000]nataddress-group111[RTA]interfaceEthernet0/1[RTA-Ethernet0/1]natoutbound2000address-group1配置后，Client_A和Client_B都在訪問Server，則此時RTA的NAT表可能為______。A、ProtocolGlobalAddrPortInsideAddrPortDestAddrPort

111228910241024

VPN:0,status:NOPAT,TTL:00:01:00,Left:00:00:59

1112288512512

VPN:0,status:11,TTL:00:01:00,Left:00:00:51B、ProtocolGlobalAddrPortInsideAddrPortDestAddrPort

111228910241024

VPN:0,status:11,TTL:00:01:00,Left:00:00:59

1212288512512

VPN:0,status:11,TTL:00:01:00,Left:00:00:51C、ProtocolGlobalAddrPortInsideAddrPortDestAddrPort

121228910241024

VPN:0,status:11,TTL:00:01:00,Left:00:00:59

1112288512512

VPN:0,status:11,TTL:00:01:00,Left:00:00:51D、ProtocolGlobalAddrPortInsideAddrPortDestAddrPort

111228910241024

VPN:0,status:11,TTL:00:01:00,Left:00:00:59

1112288512512

VPN:0,status:11,TTL:00:01:00,Left:00:00:51答案：D解析：Napt且地址池只分配了一個地址34.防火墻的DMZ區(qū)的主要用途是(A、解決公共設備如服務器防止問題B、解決軍事侵犯問題C、解決防火墻區(qū)域劃分不夠問題答案：A35.GRE協(xié)議棧如圖所示，以下說法正確的是？A、協(xié)議B是封裝協(xié)議B、協(xié)議B是承載協(xié)議C、協(xié)議A是封裝協(xié)議D、協(xié)議A是承載協(xié)議答案：D解析：協(xié)議A是承載協(xié)議，GRE是封裝協(xié)議36.H3C負載均衡交換機提供了全面的健康檢測算法,負載均衡調度算法以及會話保持功能,可以根據應用場景進

行靈活的選擇,從而達到最優(yōu)的負載均衡效果,下面關于H3C負載均衡交換機描述不正確的是:A、可以提供基于源地址/端口,HITTP頭信息,SSLID,HTTPCookie信息的會話保持B、負戴均衡調度功能和會話保持功能不能同時啟動C、可以提供基于ICMP,TCP,HTTP,VFTP,QSSL92DNS等健康檢測算法;D、可以提供基于輪詢,最小連接,最小響應時間,加權方式,源/目的地址Hash等負載均衡調度算法。答案：B37.標準GRE頭中必選字段包括有A、ProtocolTypeB、checksumtpaeC、KeyFieldD、SequenceNumber答案：A38.H3C防火墻在接口上應用包過濾，方向可以選擇Inbound和lOutboundA、錯誤B、正確答案：B39.ACG1000產品支持旁路部署,在系統(tǒng)管理-部署方式處將接收流量的接口打鉤,并將流里鏡像到該接口即可完

成旁路部署A、對B、錯答案：A40.在運行了RIP的MSR路由器上看到如下路由信息：

displayiprouting-table.RoutingTable:Public

SummaryCount:2.Destination/MaskProtoPreCostNextHopInterface6.6.0/24RIP1001GE0/0.H3C技術交流QQ群13899313/8Static600GE0/0.此時路由器收到一個目的地址為的數據包，那么______。A、該數據包將優(yōu)先匹配路由表中的RIP路由，因為其掩碼最長B、該數據包將優(yōu)先匹配路由表中RIP路由，因為其優(yōu)先級高C、該數據包將優(yōu)先匹配路由表中的靜態(tài)路由，因為其花費Cost小D、該數據包將優(yōu)先匹配路由表中的靜態(tài)路由，因為其掩碼最短答案：A解析：只有優(yōu)先級最高的會被加入路由表，掩碼不同都會被加入路由表路由表查找規(guī)則1）最長匹配轉發(fā)2）非直連網段迭代查找3）默認路由最后匹配41.SecPath防火墻缺省開啟黑名單功能。A、正確B、錯誤答案：B42.查看SecPath防火墻會話的命令是()A、displayfirewallsessiontableB、displayfirewallsessionC、displaysessiontableD、displayaspfsession答案：C43.在L2TP組網中,LNS側對用戶的驗證方式有三種,代理驗證、強制驗證和LCP重協(xié)商。其中優(yōu)先級最高的是A、代理驗證B、強制СНАР驗證C、LCP重協(xié)商D、都相同答案：C44.以下關于DoS攻擊的描述,正確的是?A、攻擊者通過后門程序來入受攻擊的系統(tǒng)B、攻擊者以竊取目標系統(tǒng)上的機密信息為目的C、攻擊行為會導致目標系統(tǒng)無法處理正常用戶的請求D、如果目標系統(tǒng)沒有漏洞,遠程攻擊就不可能成功答案：C45.默認情況下LAC和LNS之間通道的Hello報文發(fā)送時間間隔為A、10B、5C、30D、60.答案：D46.ESP報文格式如下圖所示,關于ESP描述正確的有A、SPI字段可以唯標識這個數據包的IPSecSAB、ESP協(xié)議報文用IP報文協(xié)議號51表示C、根據特定加密算法的要求,可以在Padding字段增加填充位D、驗證字段(AuthenticationData)對于ESP來說是必選字段答案：A47.源主機ping目的設備時，如果網絡工作正常，則目的設備在接收到該報文后，將會向源主機回應

ICMP______報文。A、EchoRequestB、EchoReplyC、TTL-ExceededD、Port-Unreachable答案：B解析：

EchoRequest

————————————————————————————>

EchoReply（正常）

<————————————————————————————

TTL-Exceeded/Port-Unreachable（超時/目的地址不可達）48.一般來說,以下哪些功能不是由防火墻來實現的.A、隔離可信任網絡和不可信網絡B、防止病毒和木馬程序入侵C、隔離內網和外網D、監(jiān)控網絡中會話狀態(tài)答案：B49.DNS工作于OSI參考模型的______。A、網絡層B、傳輸層C、會話層D、應用層答案：D50.下述攻擊手段中，不屬于DOS攻擊的是A、FraggleB、Land攻擊C、跨站攻擊D、Smurf攻擊答案：A51.L2TP數據報文以（）報文的形式發(fā)送，注冊得端口號為（）A、UDP1701B、TCP1701C、UDP1700.D、TCP1700.答案：A52.H3CUTM從高優(yōu)先級域到低優(yōu)先級域是允許訪問的,但是反之不行,上述說法:A、正確B、錯誤答案：A53.以下哪個場景不存在VPN的需求？A、大型企業(yè)園區(qū)互聯(lián)B、出差員工移動辦公C、超市/門店/賣場的聯(lián)網D、加油站/收費站的聯(lián)網答案：A54.L2TP會話的建立是通過()完成的A、TCP報文的3次握手B、UDP報文的3次握手C、TCP報文的4次握手D、UDP報文的4次握手答案：B55.SSL協(xié)議向()提供端到端的、有連接的加密傳輸服務A、傳輸層B、應用層C、網絡層D、數據鏈路層答案：B56.防范SYINFlood攻擊的常見手段是連接限制技術和連接代理技術,其中連接代理技術是指對TCP連接速率進

行檢測,通過設置檢查閾值來發(fā)見并阻斷攻擊流里,上述說法是A、錯誤B、正確答案：B57.在企業(yè)的內部信息平臺中,存在的信息泄露的途徑包括:A、可移動存儲介質B、打印機C、內部網絡共享D、公司對外的FTP服務器答案：A58.IP地址10是______地址。A、A類B、B類C、C類D、D類答案：C59.在OSI參考模型中，加密是______的功能。A、物理層B、傳輸層C、會話層D、表示層答案：D60.現在各種P2P應用軟件層出不窮,P2P流量的識別也必須采用多種方法寫作進行,以上說法是A、正確B、錯誤答案：A61.黑名單表項可以手工添加,也可以有防火墻動態(tài)生成,上述說法是:A、正確B、錯誤答案：A62.SSLVPN支持哪些接入方式?A、WebB、TCPC、IPD、以上都是答案：D63.DES是最著名的對稱密碼算法,其屬于分組密碼,明文分組的位數為A、64B、56C、128D、256答案：A64.SSLVPN主要可以解決:A、適應各種網絡條件下的安全接入B、無法忍受VPN客戶端損壞和網關配置修改后不能訪問C、細粒度訪問控制D、以上全是答案：D65.802.11b協(xié)議在2.4GHz頻段定義了14個信道，相鄰的信道之間在頻譜上存在交疊。為了最大程度地利用頻段資源，可以使用如下哪組信道來進行無線覆蓋？A、1、5、9.B、1、6、11C、2、6、10.D、3、6、9答案：B解析：兩兩之間相差要≥5.66.基本NAT方式是指直接使用接口的公網IP地址作為轉換后的源地址進行轉換,上述說法是A、正確B、錯誤答案：B67.下列關于應用審計配置說法錯誤的是A、URL審計分為預定義URL和自定義URL兩部分B、旁路部署時做全部應用的升級，鏡像流量不需做處理動作C、日志級別默認為“不記錄”仍然可以在日志查詢里查到相關日志信息D、在“審計行為內容”里可以配置某個APP做的相應動作答案：C68.使用防火墻Web過濾功能,可以組織或者允許內部用戶訪問某些特定網頁A、正確B、錯誤答案：A69.安全概念在所屬的各個領域有著不同的含義,那么網絡安全應屬于A、經濟安全領域B、信息安全領域C、生成安全領域D、國家安全領域答案：B70.用______命令可指定下次啟動使用的操作系統(tǒng)軟件。A、startupB、boot-loaderC、bootfileD、bootstartup答案：B71.IP地址10是______地址。A、A類B、B類C、C類D、D類答案：C72.永久黑名單表項建立后,會一直存在,直到超過一定生存時間后防火墻會自動將該黑名單表項刪除,上述說法是A、正確B、錯誤答案：B73.下列關于GRE穿越NAT的說法正確的是A、對于基于端口或協(xié)議的NAT,即NAPT來說,標準GRE協(xié)議報文可以正常穿越,且可以區(qū)分相同源地址發(fā)起

的不同GRE隧道。B、普通的源(目的地址作轉化的NAT,標準GRE封裝協(xié)議報文不可以正常穿越。C、對于基于端口或協(xié)議的NAT,即NAPT來說,NGRE可以通過Key選項來區(qū)分相同源地址發(fā)起的不同GRE

隧道。D、對于基于端口或協(xié)議的NAT,即NAPT來說,GRE可以通過SequenceNumber選項來區(qū)分相同源地址發(fā)起

的不同GRE隧道答案：C74.常見的安全域劃分方式有:A、按照接口劃分B、按照業(yè)務劃分C、按照規(guī)則劃分D、按照IP地址劃分答案：A75.提供端到端可靠數據傳輸和流量控制的是OSI參考模型的______。A、表示層B、網絡層C、傳輸層D、會話層答案：C76.TCP屬于OSI參考模型的______。A、網絡層B、傳輸層C、會話層D、表示層答案：B77.在開放系統(tǒng)互連參考模型（OSI）中，______以幀的形式傳輸數據流。A、網路層B、會話層C、傳輸層D、數據鏈路層答案：D解析：應用層APDU

表示層PPDU

會話層SPDU

傳輸層段segment

網絡層包packet

數據鏈路層幀frame

物理層比特流bit78.GRE協(xié)議的協(xié)議號是：A、50.B、51C、47.D、48.答案：C79.對于H3C防火墻來說，如果不將物理接口添加到某一安全域中，則該接口不能正常收發(fā)報文A、錯誤B、正確答案：B80.工程師小L在調試SecPathU200-S設備時,把缺省的GO/0接口當成內網口G0/1接口配置成了Untrust區(qū)域當成

外網口,此時內網用戶是否可以正常訪問外網?A、能B、不能答案：A81.在配置ISDNDCC的時候，客戶在自己的MSR路由器上配置了如下的dialer-rule：

[MSR]dialer-rule1acl3000那么關于此配置如下哪些說法正確？A、只有匹配ACL3000的數據包能觸發(fā)撥號B、只有匹配ACL3000的數據包會被路由器通過撥號鏈路發(fā)送C、沒有定義permit或者deny，配置錯誤D、正確的配置應為：[MSR]dialer-rule1acl3000permit答案：A82.IP地址00的子網掩碼是40，哪么它所在子網的廣播地址是______。A、07.B、55.C、93.D、23.答案：A解析：10010000.11001111….廣播地址83.SecPathIPS設備的管理口僅支持同網段管理端PC訪問,當管理端PC的地址與設備管理地址不在同一網段時,

無法對設備進行Web管理,以上說法是:A、正確B、錯誤答案：B84.L2TP協(xié)議是承載在UDP協(xié)議之上的,數據包的封裝過程為A、私有IP->L2TP->UDP->PPP->公有IPB、私有IP->PPP->L2TP->UDP->公有IPC、私有IP->PPP->UDP->L2TP->公有IPD、私有IP->L2TP->PPP->UDP->公有1P答案：B85.基本NAT方式是指直接使用接口的公網IP地址作為轉換后的源地址進行地址轉換。上述說法是()-A、正確B、錯誤答案：B86.下列哪一種防火墻運行時速度最慢，并且運行在OSI模型中的最高層A、包過濾防火墻B、狀態(tài)防火墻C、應用代理防火墻D、SMB防火墻答案：C87.OSI參考模型物理層的主要功能是______。A、物理地址定義B、建立端到端連接C、在終端設備間傳送比特流，定義了電壓、接口、電纜標準和傳輸距離等D、將數據從某一端主機傳送到另一端主機答案：C88.防火墻雙機熱備工作填式包括主備模式和負載分擔模式A、正確B、錯誤答案：A89.下述哪個是H3C專有的VPN技術A、IPSecVPNB、GREVPNC、動態(tài)VPND、MPLSVPN答案：C90.UDP屬于OSI參考模型的______。A、網絡層B、傳輸層C、會話層D、表示層答案：B91.AH和ESP的協(xié)議號分別是:A、51,50.B、50,51C、17,47.D、47,17.答案：A92.IPS(入侵防御系統(tǒng))是一種基（）的產品,它對攻擊識別是基于（）匹配的A、應用層,特征庫B、網絡層,協(xié)議C、應用層,協(xié)議D、網絡層,特征庫答案：A93.在防火墻應用中,一臺需要與互聯(lián)網通信的Web服務器放置在以下哪個區(qū)域時最安全?A、DMZ區(qū)域B、Trust區(qū)域C、Local區(qū)域D、Untrust區(qū)域答案：A94.如果在IP網絡中使用GRE協(xié)議在承載IPX協(xié)議，則報文的封裝過程為A、鏈路層協(xié)議->IPX>GRE>IPB、鏈路層協(xié)議->GRE>IPX>IPC、鏈路層協(xié)議->IP>GRE>IPXD、鏈路層協(xié)議->GRE>IP>IPX答案：C95.IP協(xié)議對應于OSI參考模型的第______層。A、5.B、3.C、2.D、1答案：B解析：

應用層協(xié)議：見T13.傳輸層協(xié)議：TCP(6)UDP(17)

網絡層協(xié)議：IP,ICMP（ICMP消息可分為ICMP差錯消息和ICMP查詢消息）,IGMP（互聯(lián)網組管理協(xié)議，負責管理組播組）網絡接口層協(xié)議：以太網、令牌環(huán)，HDLC,PPP,X.25,幀中繼,PSTN,ISDN等96.兩臺空配置的MSR路由器通過圖示的方式連接，通過配置IP地址，兩臺路由器的GE0/0接口可以互通。

如今分別在兩臺路由器上增加如下配置：

RTA：

[RTA]ospf

[RTA-ospf-1]area0.[RTA-ospf-1-area-]network.[RTA-GigabitEthernet0/0]ospfdr-priority2.RTB：

[RTB]ospf[RTB-ospf-1]area0.[RTB-ospf-1-area-]network.[RTB-GigabitEthernet0/0]ospfdr-priority

那么在OSPF鄰居狀態(tài)穩(wěn)定后，______。A、OSPF接口優(yōu)先級相同，在/30網段上不進行OSPFDR選舉B、兩臺路由器中，一臺為DR，一臺為BDRC、兩臺路由器中，一臺為DR，一臺為DRotherD、兩臺路由器的鄰居狀態(tài)分別為FULL、2-Way答案：B解析：[接口]ospfdr-priority（0-255）修改接口優(yōu)先級，默認為1，優(yōu)先級為0的不參與選舉只有廣播網，NBMA網絡中才有DB,BDR選舉，千兆以太口默認接口類型廣播

修改ospf網絡類型：[接口]ospfnetwork-type（）DR,BDR的選舉是針對接口、網段而言的的，并非該RT是DR,BDR。通過比較接口優(yōu)先級（越大越優(yōu)），一樣則比較routerid（越大越優(yōu)）DRother之間另據狀態(tài)停留在2-way97.SSL協(xié)議支持的流加密算法包括A、3DESB、DESC、AESD、RC4.答案：D98.ACG1000產品不支持VRF功能,因此無法可作為MCE設備和MPLS網絡對接A、對B、錯答案：B99.工作數字簽名算法和哈希函數的關系是A、都是用來簽名的算法B、都是用來進行加密的算法C、哈希函數濟生消息摘要,而數字簽名算法對消息摘要進行加密D、數字簽名對消息進行簽名,然后由哈希函數產生摘答案：C100.下列關于對防火墻的功能描述,不正確的是A、防火墻能夠執(zhí)行安全策略B、防火墻能夠產生審計日志C、防火墻能夠限制組織安全狀況的暴露D、防火墻能夠防病毒答案：D101.關于包過濾技術的描述,下列說法錯誤的是:A、H3CUTM產品默認開啟了包過濾功能B、用戶并不知道報文是否被過濾,也就是說包過濾對用戶端是透明的C、包過濾技術主要是根據報文中的IP頭信息來進行過濾D、包過濾技術可以根據報文中的應用層信息進行過濾答案：D102.在如圖所示的TCP連接的建立過程中，SYN中的Z部分應該填入________。A、aB、bC、a+1D、b+1答案：D解析：X=a+1（確認收到a，期望下次發(fā)送a+1）

Y=a+1Z=b+1（確認收到b）103.下列關于L2TP的說法正確的是A、在LAC上會根據接入用戶的PPP驗證信息進行驗證,以確定是否是L2TP的用戶以及用戶屬于哪一個L2tp

組，隨后LAC會向相應的LNS發(fā)起建立隧道的請求B、用戶和LAC之間會進行協(xié)商以獲取IP地址C、隧道建立后,LAC與用戶相連接口的IPCP會變?yōu)閁P狀態(tài)D、CHAP驗證只用在用戶端和LNS端進行答案：A104.以下哪些配置可以實現telnet用戶的AAA認證A、[Device-line-console0]authentication-modeschemeB、[Device-line-vty0-63]authentication-modeschemeC、[Device-line-vty0-63]authentication-modenoneD、[Device-line-vty0-63]authentication-modelocal答案：B105.下面哪個不是VPN技術中用到的加密算法A、DESB、3DESC、AESD、RIP/RIP2.答案：D106.H3C防火墻要么工作在二層模式，要么工作在三層模式，不能同時工作在二層和三層，以上說法正確嗎？A、正確B、錯誤答案：B107.包過濾ACL進行如下配置:

Aclbasic2000match-orderconfig

Rulepermitsource55.A、源地址0目的地址0的報文被丟棄B、源地址目的地址的報文被丟棄C、源地址0目的地址的報文允許通過D、源地址目的地址的報文允許通過答案：D108.L2TP數據報文以報文的形式發(fā)送,注冊的端口號為A、UDP,1700B、TCР,1700C、TCP,1701D、UDP,1701答案：D109.防火墻實現包過濾的核心技術是ACL控制列表?A、正確B、錯誤答案：A110.下列關于L2TP的說法正確的是A、用戶和LAC之間會進行協(xié)商以獲取IP地址B、在LAC上會根接入用戶的PPP驗證信息進行驗證,以確定是否是L2tp的用戶以及用戶屬于哪個L2TP組，

隨后LAC會向相應的LNS發(fā)起建立隧道的請求。C、隨道建立后,LAC與用戶相連接的PCP會變?yōu)閁P狀態(tài)D、CHAP驗證只能在用戶端和LNS端進行答案：B111.TFTP采用的傳輸層知名端口號為______。A、67.B、68.C、69.D、53.答案：C解析：TCP（6）：ftp——20/21ssh——22.telnet——23.smtp——25接收郵件

Pop3——110發(fā)送郵件

DNS——53.http——80.https——443http安全版，下加入ssl層

UDP(17)：DNS——53.Bootp——67服務器/68客戶端（就是dhcp，dhcp基于bootp發(fā)展而來）

Tftp——69.Snmp——161/162服務器監(jiān)聽的端口號161，客戶端監(jiān)聽端口號112.ARP協(xié)議報文包括有ARP請求和ARP應答報文A、錯誤B、正確答案：B113.下列哪些交換模式是在IKE協(xié)商的第二階段存在的?A、主模式B、野蠻模式C、快速模式D、普通模式答案：C114.下面哪一個協(xié)議工作在TCP/IP協(xié)議棧的傳輸層以下?A、SKIPB、SSLC、S-HTTPD、SSH答案：A115.IP地址2和掩碼24代表的是一個______。A、主機地址B、網絡地址C、廣播地址D、以上都不對答案：B解析：01000055.11100000.116.在防火前上使用命令displaynatall有如下信息：

基于以上信息可以得出結論是：A、接口的動態(tài)NAT沒有配置ACL限制B、NAT地址池1中有4個地址C、NAT地址池中有2個地址D、當前設備上有1個地址池答案：C117.通過哪個工具可以簡化IPSecVPN的配置?A、VPNManagerB、VMSC、SMSD、XLOG答案：A118.SecPathF1000-E防火墻Inline轉發(fā)是依據Mac地址表完成的,上述說法是?A、正確B、錯誤答案：B119.下列關于對于NGFW防火墻的功能描述，不正確的是A、防火墻能夠防網頁被篡改B、防火墻能夠限制網絡訪問C、防火墻能夠產生審計日志D、防火墻能夠執(zhí)行安全策略答案：A120.ping實際上是基于______協(xié)議開發(fā)的應用程序。A、ICMPB、IPC、TCPD、UDP答案：A解析：Ping功能是基于ICMP協(xié)議來實現的：源端向目的端發(fā)送ICMP回顯請求（ECHO-REQUEST）報文后，根據是否收到目的端的ICMP回顯應答（ECHO-REPLY）報文來判斷目的端是否可達，對于可達的目的端，再根據發(fā)送報文個數、接收到響應報文個數來判斷鏈路的質量，根據ping報文的往返時間來判斷源端與目的端之間的“距離”。121.下列那一項沒有涉及到密碼技術A、SSHB、SSLC、GRED、IPSec/IKE答案：C122.SSLVPN是解決遠程用戶訪問敏感公司數據最簡單最安全的解決技術。要使用SSLVPN,需安裝哪個軟件?A、客戶端軟件B、瀏覽器C、防火墻D、防病毒答案：B123.NATALG技術可以解決所有多通道應用之間端到端的通信問題。以上說法是否正確A、正確B、錯誤答案：B124.NAT技術可以隱藏私網的網絡結構防止外部攻擊源對內部服務器的攻擊。上述說法是A、正確B、錯誤答案：A125.H3C防火墻的安全域有優(yōu)先級概念。上述說法是否正確。A、正確B、錯誤答案：A126.下列攻擊手段中，不屬于單包攻擊的是（）A、UDPflood攻擊B、WinNukeC、Land攻擊D、Smurf攻擊答案：A127.下面哪個說法是錯誤的？A、VPN可以專線線路的備份,但是缺點在于組網復雜,而且價格昂貴B、相對于PSTN撥號接入,VPN接入方式可以提供更高的性能,而且安全性高C、防火墻的一個功能特性是防止某些基于2層/3層網絡協(xié)議的網絡層攻擊D、防火墻可以提供路由交換、地址轉換(NAT)、身份認證等多種功能答案：A128.地址轉換技術只能用于將私網地址轉換為公網地址，以上說法是否正確？A、正確B、錯誤答案：B129.防火墻的策略一般是應用在安全域之間的,而IPS/AV策略一般應用在某個段上。A、正確B、錯誤答案：A130.在Windows操作系統(tǒng)中，哪一條命令能夠顯示ARP表項信息？A、displayarpB、arp–aC、arp–dD、showarp答案：B解析：arp–d刪除arp表項

Arp–sIPMAC——MAC靜態(tài)綁定arp131.AAA(Authentication、Authorization、Accounting,認證、授權、計費)是網絡安全的一種管理機制,提供了

認證、授權、計費三種安全功能。A、正確B、錯誤答案：A132.源主機ping目的設備時，如果網絡工作正常，則目的設備在接收到該報文后，將會向源主機回應

ICMP______報文。A、EchoRequestB、EchoReplyC、TTL-ExceededD、Port-Unreachable答案：B解析：

EchoRequest

————————————————————————————>

EchoReply（正常）

<————————————————————————————

TTL-Exceeded/Port-Unreachable（超時/目的地址不可達）133.ACG1000的DFI主要用來識別應用的靜態(tài)報文特征A、正確B、錯誤答案：B解析：DPI主要用來識別應用的動態(tài)流量特征134.在下列哪種密碼應用中,我們是使用公鑰加密、私鑰解密?A、非對稱密碼B、對稱密碼C、數字簽名D、DH交換答案：A135.802.11b協(xié)議在2.4GHz頻段定義了14個信道，相鄰的信道之間在頻譜上存在交疊。為了最大程度地利用頻段資源，可以使用如下哪組信道來進行無線覆蓋？A、1、5、9.B、1、6、10.C、2、7、12.D、3、6、9.答案：C解析：

兩兩之間相差要≥5.136.H3C防火墻安全策略規(guī)則中，若引用DPI業(yè)務時，規(guī)則的動作需配置為允許，以上說法是否正確？A、正確B、錯誤答案：A137.FTP默認使用的控制協(xié)議端口是______。A、20.B、21C、23.D、22.答案：B解析：ftp數據連接ftp控制連接telnetssh138.工程師小L在調試SecPathF1020設備是，把缺省的G1/0/0當成內網口Trust，G1/0/0接口配置成untrust區(qū)域

當成外網口，此時內網用戶是否可以正常上網A、不能B、能答案：A139.在UDP端口掃描中，對主機端口是否開放的判斷依據是A、根據被掃描主機開放端口放回的信息判斷B、根據被掃描主機關閉端口返回的信息判斷C、既不根據A也不根據BD、綜合考慮A和B的情況進行判斷答案：A140.下列算法中,既可以用于加密,也可以用于簽名的是A、AESB、DESC、RSAD、DSA答案：C141.下面有關L2TP配置說法正確的有;A、可以配置完整的用戶名或者特定的域名作為觸發(fā)L2TP發(fā)起連接的條件B、當使用ippool命令給對端分配地址時,應確保ippool地址池里的地址和虛模板接口地址在同一網段內C、當L2TPgroup組號為0,且不指定通道對端名remote-name時,發(fā)起L2TP連接時,忽略對端用戶名D、L2TP默認配置情況下啟用了隧道驗證,且驗證密碼為空答案：C142.關于SecPath防火墻,下列說法正確的是口A、防火墻只能通過命令行方式升級版本B、防火墻通過WEB登錄的默認用戶名/密碼是h3c/h3cC、防水墻的默認登錄IP地址是D.防火墻的域間策略只能再Web頁面下配答案：C143.在SSL協(xié)議體系中,服務器端使用()端口接收并處理建立SSL鏈接的請求報文A、443.B、441C、500.D、520.答案：A144.編號3001的ACL對應的類型是A、二層ACLB、七層ACLC、基本ACLD、高級ACL答案：D145.下面關于OSI參考模型的說法正確的是______。A、傳輸層的數據稱為幀（Frame）B、網絡層的數據稱為段（Segment）C、數據鏈路層的數據稱為數據包（Packet）D、物理層的數據稱為比特（Bit）答案：D146.下面關于OSI參考模型各層功能的說法錯誤的是______。A、物理層涉及在通信信道（Channel）上傳輸的原始比特流，它定義了傳輸數據所需要的機械、電氣功能

及規(guī)程等特性。B、網絡層決定傳輸報文的最佳路由，其關鍵問題是確定數據包從源端到目的端如何選擇路由。C、傳輸層的基本功能是建立、維護虛電路，進行差錯校驗和流量控制。D、會話層負責數據格式處理、數據加密等。E、應用層負責為應用程序提供網絡服務。答案：D解析：應用層為應用進程提供網絡服務

表示層定義數據格式與結構、協(xié)商上層數據格式、數據加密壓縮

會話層主機間通信，建立、維護、終結應用程序間會話，文字處理、郵件、表格

傳輸層分段上層數據，端到端連接，透明可靠傳輸，差錯校驗、重傳，流量控制

網絡層編址，路由，擁塞控制，異種網絡互連數據鏈路層編幀、鏈路建立/維持/釋放，流量控制，差錯校驗，尋址，標識上層數據

物理層電壓，接口，線纜，傳輸距離等物理參數。四大特性：機械、電器、功能、規(guī)

程147.下面哪一項不是IKE的特點A、定時更新IPSecSAB、允許端到端動態(tài)驗證C、定時更新IPsec共享密鑰D、允許IPsec提供抗重播服務答案：C148.CHAP是三次握手的驗證協(xié)議，其中第1次握手是完成（）A、驗證方將一段隨機報文和用戶名傳遞到被驗證方B、被驗證方直接將用戶名和令傳遞給驗證方C、被驗證方生成段隨機報文，用自己的令對這段隨機報文進行加密，然后與自己的用戶名一起傳遞給被驗

證方D、驗證方將用戶名和密碼傳遞到被驗證方答案：A149.下列關于加密和解密的說法,正確的是A、將密文解碼為明文的過程稱之為解密,它是加密的相反過程B、加密和解密是互逆的兩個過程,因此加解密的密鑰需要相同C、一般來講,加密比解密要消耗更多的設備性能D、密碼算法的安全性不僅和密鑰相關,也和加解密算法相關,因此算法不能公開答案：A150.boot-loader-加載應用程序文件P192.7.通常情況下，路由器會對長度大于接口MTU的報文分片。為了檢測線路MTU，可以帶______參數ping

目的地址。A、–aB、–dC、–fD、–c答案：C解析：-a——帶源;-f——不允許對ICMPEchoRequest報文進行分片;tos——typeofservicetos域的值默認0（0-255）;-t——報文超時時間，默認2000毫秒;-s——報文大小，默認56字節(jié)（20-8100）;-c——報文數目，默認5.-h——指定報文ttl值，默認255（0-255）;-m——指定發(fā)送報文時間間隔，默認200毫秒（1-65535）151.關于VPN，下述哪個說法是不正確的?A、包轉發(fā)是VPN網關的關鍵性能指標;B、接口數是VPN網關的關鍵性能指標;C、加密吞吐量是VPN網關的關鍵性能指標;D、最大并發(fā)隧道數是VPN網關的關鍵性能指標。答案：A152.配置交換機SWA的橋優(yōu)先級為0的命令為______。A、[SWA]stppriority0.B、[SWA-Ethernet1/0/1]stppriority0.C、[SWA]stprootpriority0.D、[SWA-Ethernet1/0/1]stprootpriority0.答案：A153.如圖所示網絡環(huán)境中，兩臺路由器以串口背靠背相連，要設置互連鏈路的速率為2Mbps，下面說法正確的是

______。A、需要確定接口類型以及線纜滿足V.24規(guī)程B、在RTA的同步口上使用baudrate2048000命令配置C、在RTB的同步口上使用baudrate2048000命令配置D、在RTB的同步口上使用virtual-baudrate2048000命令配置E、在RTA的同步口上使用bandrate2048000命令配置，在RTB的同步口上使用virtual-baudrate2048000.命令配置答案：B解析：V．24支持同、異步：異步最高速率115200bps同步最高速率64000bps

V．35只支持同步：最高速率為2048000bps=2Mbps

在DCE端配置帶寬

DCE（數據控制設備）運行商設備，提供DCE、DTE之間同步時鐘信號

DTE（數據終端設備）用戶設備，接受DCE提供的時鐘信號154.IPSec的加密和認證過程中所使用的密鑰可以由()協(xié)議來自動生成和分發(fā)A、ESPB、IKEC、SPID、AH答案：B155.假設某企業(yè)總部和分支之間原采用物理專線連接的方式構建Intranet網絡;現欲將總部和分支都接入Intranet,

在總部和分支間啟用VPN隨道,并保證數據在網絡上傳輸的私密性,可選擇()VPN技術A、PPTPB、IPsecC、GRED、L2tp答案：B156.在TCP連接的三次握手過程中,第一步是由發(fā)起端發(fā)送A、SYN包B、SCK包C、UDP包D、NULL包答案：A157.廣域網接口多種多樣，下列對于廣域網接口的描述錯誤的是______。A、V.24規(guī)程接口可以工作在同異步兩種方式下，在異步方式下，鏈路層使用PPP封裝。B、V.35規(guī)程接口可以工作在同異步兩種方式下，在異步方式下，鏈路層使用PPP封裝。C、BRI/PRI接口用于ISDN接入，默認的鏈路封裝是PPPD、G703接口提供高速數據同步通信服務。答案：B解析：V．24支持同、異步：異步最高速率115kps同步最高速率64kbps

V．35只支持同步：最高速率為2048000bps=2Mbps;ISDN兩種接入方式：BRI接口→2B+DB信道64kbpsD信道16kbps;PRI接口→E130B+D

T123B+D默認PPP封裝158.數據分段是在OSI參考模型中的______完成的。A、物理層B、網絡層C、傳輸層D、接入層答案：C159.ping實際上是基于______協(xié)議開發(fā)的應用程序。A、ICMPB、IPC、TCPD、UDP答案：A解析：Ping功能是基于ICMP協(xié)議來實現的：源端向目的端發(fā)送ICMP回顯請求（ECHO-REQUEST）報文后，根據是否收到目的端的ICMP回顯應答（ECHO-REPLY）報文來判斷目的端是否可達，對于可達的目的端，再根據發(fā)送報文個數、接收到響應報文個數來判斷鏈路的質量，根據ping報文的往返時間來判斷源端與目的端之間的“距離”。160.如何防范Smurf攻擊?A、檢查ICMP請求報文的目的地址是否為子網地址，是則丟棄B、檢查ICMP請求報文的源地址是否為子網地址，是則丟棄C、檢查ICMP請求報文的目的地址是否為應播地址，是則丟棄D、檢查ICMP請求報文的源地址是否為廣播地址，是則丟棄答案：C161.NAt的easyIP方式可以實現公網地址的復用，有效解決IPv4地址短缺的問題。上述說法是A、錯誤B、正確答案：A162.IP地址10是______地址。A、A類B、B類C、C類D、D類答案：B163.IP地址10是______地址。A、A類B、B類C、C類D、D類答案：B多選題1.下面那個用戶可能存在VPN應用需求?A、某大型網吧,提供高達千北的Intermet接入以及多達臺的主機,需要對上網用戶進行有效的計費,對用戶上網

行為進行有效的管理;B、大型制造企業(yè),內部建設覆蓋整個廠區(qū)的局域網,有統(tǒng)一的intemet出口,企業(yè)內部已經啟動ERP,系統(tǒng),應用

完善,每天有大量的銷售人員出差C、大型連鎖機構,某品牌汽車4S店,總部設在上海,在全國省會額以上城市都有連鎖店面,每天銷售數據和財務

信息需要向總部匯總;D、某省級政府機構,在全省縣級以及縣級以上分布有專屬分支機構,已經通過,線相互連接,正在考慮一種經濟

有效的方式實現專線線路備份。答案：BCD2.網絡通信對安全性的要求包括A、完整性B、私密性C、可控性D、身份驗證答案：ABD3.IPsec的優(yōu)點有A、數據完整性(Dataintergrity）B、數據機密性(Conidentiality)C、身份驗證(DataAuthentication)D、抗DDos（DistributedDenyofService）答案：ABC4.H3CSSLVPN產品的主要功能包括:A、遠程接入B、身份認證C、聯(lián)機檢查D、權限管理E、緩存清除答案：ABCDE5.H3C防火墻防火墻版本升級過程中說法正確的有A、boot-loaderfile命令里必須帶system參數，表示指定該軟件包為系統(tǒng)軟件包B、可以通過FTP/TFTP將軟件版本文件上傳到本地C、執(zhí)行boot-loader命令來指定設備下次啟動時使用的版本文件D、從H3C官網http://.h3c./cn/獲取軟件版本答案：BD6.衡量VPN的性能,主要有以下哪些指標?A、最大并發(fā)連接數B、加密性能C、每秒新建連接數D、最大并發(fā)隧道數答案：ABCD7.ACG帶寬管理通道匹配規(guī)則正確的是？A、在透明模式下部署QoS時，需要將線路綁定在物理接口上，綁定在橋接口上無法生效。B、當父節(jié)點帶寬充足，而需要保障的通道帶寬未達到時，其他通道可以借用此部分空余帶寬，即低優(yōu)先級

搶到上限后，中優(yōu)先級才能搶。C、當存在N個相同優(yōu)先級搶占時，按照均分處理，每個通道平分1/N的帶寬。D、QoS按照樹形結構匹配，只要某節(jié)點存在葉子節(jié)點的情況，就會繼續(xù)向下進行查找，一旦出現不匹配的

情況，此處將會匹配父節(jié)點的默認通道進行QoS。E、所有子節(jié)點的帶寬之和必須小于父節(jié)點的帶寬。答案：ACDE8.H3cSecPath防火墻的默認域間訪問控制策略是A、所有區(qū)域都可以訪問local區(qū)域B、屬于同一個安全域的各個接口之間的報文可以互訪C、未劃分到安全域的接口之間的報文會被丟棄D、安全域間的報文默認丟棄，包括同域之間答案：CD9.網絡安全的研究內容包過A、軟件安全B、內容安全C、互聯(lián)網與電信安全D、工業(yè)網絡安全答案：ABCD10.以下關于電路交換和分組交換的描述正確的是______。A、分組交換網絡資源利用率低B、分組交換延遲大，傳輸實時性差C、電路交換網絡資源利用率高D、電路交換延遲小，傳輸實時性強答案：BD11.利用SsteReset技術可以防范SYNFood攻擊.關于技術原理的描述，以下說法正確的是A、一般而言，應用服務器不會主動對客戶端發(fā)起惡意連接，因此服務器響應客戶端的報文可以不需要經過

防火墻的檢查。防火墻僅需要對客戶端發(fā)往應用服務器的報文進行實時監(jiān)控。服務器響應客戶端的報文

可以根據實際需要選擇是否經過防火墻，因此SafeReset能夠支持更靈活的組網方式。B、客戶端收到SYN/ACK后.按照協(xié)議規(guī)定向服務器回應RST消息。防火墻中途截取這個消息后，提取消息中的序列號。并對該序列號進行Cookie校驗。成功通過校驗的連接被認為是可信的連接，防火墻會分配TCB資源記錄此連接的描述信息，而不可信連接的后續(xù)報文會被防火墻丟棄。C、由于防火墻僅通過對客戶端向服務器首次發(fā)起連接的報文進行認證，就能夠完成對客戶端到服務器的連接檢驗而服務器向客戶端回應的報文即使不經過防火墻也不會影響正常的業(yè)務處理，因此SafeReset技術也稱為單向代理技術。D、客戶端發(fā)送的SYN消息經過防火墻時，防火墻截取該消息，并模擬服務器向客戶端回應SYN/ACK消息，其中，SYN/ACK消息中的ACK序列號與客戶端期望的值一致，同時攜帶Cookie值，此Cookie值是對加密索引與本次連接的客戶端信息(包括P地址、端口號)進行加空運算的結果。答案：ABCD12.客戶的兩臺路由器通過V.35電纜背靠背連接在一起，其中一臺路由器上有如下接口信息：

[MSR-Serial0/0]displayinterfaceSerial0/0.Serial0/0currentstate:UP

Lineprotocolcurrentstate:UP

Description:Serial6/0Interface

TheMaximumTransmitUnitis1500,Holdtimeris10(sec)

InternetAddressis/30Primary

LinklayerprotocolisPPP

LCPopened,IPCPopened

從上述信息可以得知______。A、這臺路由器已經和遠端設備完成了PPP協(xié)商，并成功建立了PPP鏈路B、這臺路由器和遠端設備之間成功完成了PPPPAP或者CHAP的驗證驗證可選項，題中無法看出是否設

有驗證、是否通過C、在這臺路由器上已經可以ping通對端的地址了無法判斷是否通過了驗證，所以對端地址也不一

定可以ping通D、該接口信息提示，在該接口下還可以配置第二個IP地址subordinate答案：AD13.以下關于IP地址的說法正確的是______。A、IP地址可以固化在硬件中，是獨一無二的MACB、IP地址分為A、B、C、D、E五類C、IP地址通常用點分十六進制來表示，例如：11D、IP地址是由32個二進制位組成的答案：BD解析：

IP地址點分十進制：A~55127用作環(huán)路測試表示本機

B~55.C~55.D~55組播地址E240~保留用于研究14.H3c防火墻缺省的安全域包括A、DMZLB、ManagementC、untrustD、localE、trust答案：ABCDE15.以下關于星型網絡拓撲結構的描述錯誤的是______。A、星型拓撲易于維護B、在星型拓撲中，某條線路的故障不影響其它線路下的計算機通信C、星型拓撲具有很高的健壯性，不存在單點故障的問題D、由于星型拓撲結構的網絡是共享總線帶寬，當網絡負載過重時會導致性能下降答案：CD16.H3CSecPath系列防火墻和VPN產品中，哪款不支持SSLVPN功能?A、F1000-AB、F1000-SC、F100-SD、F100-E答案：ABC17.H3CSecPath防火墻中,配置IP地址資源的方式有哪些?A、主機地址B、范圍地址-C、子網地址D、網站域名答案：ABCD18.下列選項中,屬于深度安全防卸技術的是(）A、狀態(tài)監(jiān)測B、應用識別C、內容識別D、威脅識別答案：BCD19.經過IPSec封裝后的報文格式如下圖所示，參與驗證算法生成驗證字段的數據報文有哪些？A、AH頭B、新報文頭C、原始報頭D、共享秘鑰答案：CD20.以下關于星型網絡拓撲結構的描述正確的是______。A、星型拓撲易于維護B、在星型拓撲中，某條線路的故障不影響其它線路下的計算機通信C、星型拓撲具有很高的健壯性，不存在單點故障的中心結點故障D、由于星型拓撲結構的網絡是共享總線帶寬，當網絡負載過重時會導致性能下降答案：AB解析：Hub連接總線型網絡共享總線帶寬21.根據來源的不同，路由表中的路由通?？煞譃橐韵履膸最?？A、接口路由B、直連路由C、靜態(tài)路由D、動態(tài)路由答案：BCD22.以下哪些配置授權給用戶SSLVPN的登陸權限？A、[device-luser-manage-test]service-typesslvpnB、[device-luser-network-test]service-typesslvpnC、[device]local-usertestclassmansgeD、[device]local-usertestclassnetwork答案：BC23.互聯(lián)網中常見的網絡安全威脅方式分為A、主動攻擊B、平面攻擊C、物理攻擊D、立體攻擊答案：ABCD24.下面那些不屬于AAA認證A、授權（authorzation）B、控制（ACL）C、認證（authentication）D、接入（Access）答案：BD25.客戶的兩臺路由器通過V.35電纜背靠背連接在一起，并在V.35接口上運行了PPP協(xié)議，在其中一臺路

由器上有如下接口信息：

[MSR-Serial0/0]displayinterfaceSerial0/0.Serial6/0currentstate:UP

Lineprotocolcurrentstate:DOWN

從如上信息可以推測______。A、兩路由器之間的物理連接正常，但PPP協(xié)議協(xié)商沒有成功B、PPP的LCP協(xié)商有可能未通過C、PPP驗證可能失敗了D、兩路由器V.35接口的IP地址有可能不在同一網段答案：ABC解析：即使不在同一網段，只要兩端配了地址，鏈路層協(xié)議就起來了26.兩臺空配置的MSR路由器RTA、RTB通過各自的Serial1/0接口背靠背互連。在兩臺路由器上做如下配置：

RTA：跳過

[RouterA-Serial1/0]link-protocolfrietf

[RouterA-Serial1/0]ipaddress30.[RouterA-Seria11/0]frmapip30.RTB：

[RouterB-Serial1/0]link-protocolfrietf

[RouterB-Serial1/0]interfaceserial0/0.1[RouterB-Serial1/0.1]ipaddress30.[RouterB-Serial1/0.1]frmapip30.路由器之間的物理鏈路良好，那么下面說法正確的是______。A、兩臺路由器上都沒有配置DLCI，在RTA上不能ping通RTBB、在RTA上不能ping通.C、在RTA上可以ping通D、在上述配置中，如果僅將RTB上子接口serial0/0.1的類型改為P2MP，那么在RTA上不能ping通.E、在上述配置中，如果僅將RTB上子接口serial0/0.1的類型改為P2MP，那么在RTA上可以ping通.答案：BD27.IIS(InternetSecuritySystems)公司提出的PDR安全模型包括哪三個方面?A、響應B、設計C、保護D、檢測答案：ACD28.從管理和控制上來區(qū)分,主流的帶寬管理技術包括:A、基于段的帶寬管理技術B、基于用啟IP地址的帶寬管理技術C、基于應用協(xié)議的帶寬管理技術D、基于MAC地址的帶寬管理技術答案：ABC29.L2TP協(xié)議主要操作包括:A、建立控制連接B、建立會話C、轉發(fā)PPP幀D、KeepaliveE、關閉會話F、關閉控制連接答案：ABCDEF30.IPsec的有點有A、抗DDoS（disributeddenyofsevice）B、身份驗證（dataauthentication）C、參數完整性（dataintegrity）D、數據機密性（Confidenttiality）答案：BCD31.H3CACG產品日志信息可以輸出到不同的目的地，下列說法正確的是？A、最大可以配置3個日志服務器，同時發(fā)送3份日志，實現互為備份B、和第三方日志服務器配合時，建議啟用日志加密功能，防止在傳輸過程中泄露信息C、默認情況下，系統(tǒng)將日志記錄在本地數據庫D、系統(tǒng)可以將日志發(fā)送給日志服務器，推薦使用userlog方式，效率更高。答案：ABCD32.下面關于OSI參考模型各層功能的說法正確的是______。A、會話層負責數據格式處理、數據加密等。B、傳輸層的基本功能是建立、維護虛電路，進行差錯校驗和流量控制。C、網絡層決定傳輸報文的最佳路由，其關鍵問題是確定數據包從源端到目的端如何選擇路由。D、物理層涉及在通信信道（Channel）上傳輸的原始比特流，它定義了傳輸數據所需要的機械、電氣功能

及規(guī)程等特性。E、應用層負責為應用程序提供網絡服務。答案：BCDE33.下列網絡應用程序中,可能會造成帶寬大量占用的應用包括A、迅雷B、PPliveC、BitTorrentD、MSN答案：ABC34.關于H3C防火墻報文轉發(fā)流程，下列說法正確的是A、當報文命中會活表或關聯(lián)表后，則直接查找二三層轉發(fā)表項后轉發(fā)B、若報文命中安全策略的動作為丟棄，則直接丟棄報文，不需要創(chuàng)建會話表項C、對接收的報文首先判斷是否匹配當前會話表或關聯(lián)表D、對接收的報文首先判因是否命中安全策略答案：ABC35.下列算法中，屬于數字簽名算法的是（）A、SHA-1B、DSAC、RSAD、MD5.答案：BC36.有關GRE的特點描述正確有。A、GRE不提供數據加密、身份驗證等安全功能。B、GRE協(xié)議不支持封裝組播報文。C、GRE隧道支持動態(tài)路由協(xié)議。D、GREVPN要求在隧道兩端上靜態(tài)配置隧道接口，不利于大規(guī)模部署。答案：ACD37.根據來源的不同，路由表中的路由通?？煞譃橐韵履膸最?？A、接口路由B、直連路由C、靜態(tài)路由D、動態(tài)路由答案：BCD38.TCP/IP協(xié)議棧包括以下哪些層次？A、網絡層B、傳輸層C、會話層D、應用層E、網絡接口層F、表示層答案：ABDE39.創(chuàng)建安全域后，需要給安全域添加成員。下列哪些可以作為成員加入安全域A、二層接口和VLANB、三層以太網子接口C、三層邏輯接口D、三層以太網接口答案：ABCD40.H3C可提供的VPN解決方案包括哪些?A、IPSecVPN決案B、DVPN解決方案C、SSLVPN解決方案D、思科VPN答案：ABC41.關于IPS攻擊防御策略的下發(fā),下列說法正確的有:A、策略可以基于不同的IP地址(段)下發(fā)B、策略可以基于時間下發(fā)C、策略可以根據用戶的具體應用來制定相應的攻擊防護策略下發(fā)D、策略下發(fā)啟,必須應用到段上,并且激活才能生效答案：ACD42.防火墻能夠防御的攻擊包括:A、畸形報文攻擊B、DoS/DDOSC、掃描窺探攻擊D、病毒木馬答案：ABC43.ACL(訪問控制列表)的類型包括哪些A、基本ACLB、高級ACLC、二層ACLD、基于時間段的包過濾答案：ABC44.下列關于以太網的說法正確的是________。A、以太網是基于共享介質的網絡B、以太網采用CSMA/CD機制C、以太網傳輸距離短，最長傳輸距離為500mD、以上說法均不正確答案：AB解析：

10BASE以太網傳輸距離跟傳輸介質有關

10BASE5粗同軸電纜500m

10BASE2細同軸電纜200m（同軸電纜布設繁瑣，不便使用）

10BASE-T雙絞線三類UTP100m（逐漸成為以太網標準）

五類150m45.哪些不屬于AAAA、ACLB、Access答案：AB46.用戶AAA計費方式包括A、按流量計費B、本地計費C、遠端計費D、不計費答案：BCD解析：認證:確認訪問網絡的遠程用戶的身份,判斷訪問者是否為合法的網絡用戶。

授權:對不同用戶賦予不同的權限,限制用戶可以使用的服務。例如,管理員授權辦公用戶才能對服務器中的文件進行訪問和打印操作,而其它臨時訪客不具備此權限。

計費:記錄用戶使用網絡服務過程中的所有操作,包括使用的服務類型、起始時間、數據流里等,用于收集和記錄用戶對網絡資源的使用情況,并可以實現針對時間,流里的計費需求,也對網絡起到監(jiān)視作用。47.以下關于電路交換和分組交換的描述正確的是______。A、電路交換延遲小，傳輸實時性強B、電路交換網絡資源利用率高C、分組交換延遲大，傳輸實時性差D、分組交換網絡資源利用率低答案：AC解析：電路交換:優(yōu)點延遲小，透明傳輸

缺點固定帶寬，網絡資源利用率低

分組交換：優(yōu)點多路復用，網絡資源利用率高

缺點：延遲大，實時性差，設備功能復雜48.VPNManager的兩大核心作用是？A、VPN部署B(yǎng)、VPN監(jiān)控C、VPN備份D、VPN加速答案：AB49.如圖所示,PC通過LAC建立到LNs的L2TPVPN連接,并通過該VPN隧道訪問HttpSever服務器,發(fā)現能ping通

該服務器,但是訪問不了HttpServer提供的Web頁面,可能的原因為A、LAC到LNS2間存在防火墻設備阻斷了http訪問B、POEEAC之間存在防火墻設備阻斷了http訪問C、LNSHpever之間存在防火墻設備阻斷了httpp訪問D、PC訪問HttpSever交互報文長度為1500,且LAC和LNS之間有不支持IP分片的設備存在答案：ABCD50.SSL協(xié)議支持的塊加密算法包括A、3DESB、DESC、AESD、RC4.答案：ABC解析：此題實際考試是個單選題，不知道該怎么選了，但是除了RC4是流加密算法外，其他3個都是塊加密算法，所以不幸抽中此題建議選B或者C，如果多選則選ABC51.以下關于IP地址的說法正確的是______。A、IP地址可以固化在硬件中，是獨一無二的MACB、IP地址分為A、B、C、D、E五類C、IP地址通常用點分十六進制來表示，例如：11D、IP地址是由32個二進制位組成的答案：BD解析：

IP地址點分十進制：A~55127用作環(huán)路測試表示本機

B~55.C~55.D~55組播地址E240~保留用于研究52.以下哪些配置可以實現SSH用的管理員權限?A、[Device-luser-network-test]service-typesshB、[Device]local-usertestclassnetworkC、[Device-luser-manage-test]service-typesshD、[Device]local-usertestclassmanage答案：AD53.NAT的實現方式包括A、easyIP方式B、Natserver方式C、PAT方式D、no-pat方式答案：ABCD54.信息安全的目標是實現:A、機密性B、完整性C、可用性D、可控性E、可審計性答案：ABCDE55.關于VPN，下述哪個說法是正確的?A、包轉發(fā)率不是VPN網關的關鍵性能指標;B、接口數是VPN網關的關鍵性能指標;C、加密吞吐量是VPN網關的關鍵性能指標;D、最大并發(fā)隧道數是VPN網關的關鍵性能指標。答案：BCD56.為了實現對用戶的訪問控制,SSLVPN需要對用戶的身份進行驗證,H3CSecPathVPN產品支持的認證方式

包括:A、本地認證B、Radius認證C、Ldap認證D、AD認證答案：ABCD57.隨著網絡技術的不斷發(fā)展,防火墻也在完成自己的更新?lián)Q代,防火墻所經歷的技術演進包括有:A、包過濾防火墻B、應用代理防C、Dos防火墻D、狀態(tài)檢測防火墻答案：ABD58.以下關于防火墻用戶說法正確的是？A、接入類用戶主要是portal、sslvpn、ppp等B、可以通過用戶組來實現用戶的統(tǒng)一管理C、防火墻用戶分為管理類和接入類用戶D、管理類用戶主要有ftp、ssh、telnet、http答案：BCD59.H3CSecPath防火墻中,下面哪些攻擊必須和動態(tài)黑名單組合使用?A、WinNuke攻擊B、Land掃描攻擊C、地址掃描攻擊D、Smurf攻擊E、端口掃描攻擊答案：CE60.下列有關光纖的說法哪些是正確的？A、多模光纖可傳輸不同波長不同入射角度的光B、多模光纖的成本比單模光纖低C、采用多模光纖時，信號的最大傳輸距離比單模光纖長D、多模光纖的纖芯較細答案：AB61.關于數字證書的說法,正確的是。A、數字證書就是我們網絡身份證,它提供了證明自己身份和識別對方身份的功能B、數字證書是由CA來頒發(fā)的C、數字證書將個人私鑰和個人身份進行了綁定D、數字證書一旦生成,將永久有效答案：AB62.常見的內網用戶行為監(jiān)管應包括A、內網Web應用的審計B、內網網絡共享應用的審計C、內網Q0MSN應用的審計D、內網FTP應用的審計答案：ACD63.關于H3C防火墻URL過濾功能，下列說法正確的有A、URL是互聯(lián)網上標準資源的地址B、URL格式為：“protocol://host[:port/path/[;parametersJ[?guery］，其中［:parameters][?query］#fragment稱為URLC、URL過濾功能是指對用戶訪問的URL進行控制，即允許或禁止用戶訪問Web資源，達到規(guī)范用戶上網行為的目的D、URL過濾規(guī)則支持文本匹配和正則表達式匹配兩種方式，文本匹配僅能使用指定的字符串對主機進行精確匹配。正則表達式匹配可以使用正則表達式對主機名和URL字段進行模糊匹配答案：AC64.以下屬于NAT技術的優(yōu)點的是A、在網絡發(fā)生變化時避免重新編址B、在地址重復時提供解決方案C、隱藏內部服務器的真實IP地址，提高安全性D、增加連接英特網的靈活性E、節(jié)省合法的注冊地址答案：BCDE65.關于H3C防火墻的命令視圖，以下說法正確的是A、在接口視圖下可以通過portlink-mode命令切換二三層模式B、配置路由應在系統(tǒng)視圖下C、用戶登錄設備后，直接進入用戶視圖D、在用戶視圖下輸入systemview命令進入系統(tǒng)視圖答案：ABD66.根據防火墻的技術演進特征，可以分為A、包過濾防火墻B、狀態(tài)防火墻C、應用代理防火墻D、電信級防火墻答案：ABC67.某公司的MSR路由器的廣域網主鏈路為同異步串口，通過一根V.35電纜接入運營商網絡；該路由器同時以一個ISDNBRI接口做備份鏈路。那么關于線路帶寬，如下哪些說法是正確的？A、備份線路的帶寬可能是64KbpsB、備份線路的帶寬可能是128KbpsC、備份線路的帶寬可能是144KbpsD、主鏈路的帶寬可能是1Mbps答案：ABD解析：ISDN兩種接入方式：BRI接口→2B+DB信道64kbpsD信道16kbps最大速率144kbps

PRI接口→E130B+D最大速率2Mbps

T123B+D最大速率1.544Mbps

B信道用來傳輸數據，D信道用來傳輸控制信令，因此BRI最高提供128kbps帶寬（單位時間可傳輸的數據量）

V．24支持同、異步：異步最高速率115kbps同步最高速率64kbps

V．35只支持同步：最高速率為2048000bps=2Mbps68.H3CIPS功能可以對業(yè)