智传网优云课堂,专注分享IT技术
与IT技术爱好者一起共同学习进步

华为H12-211/HCIA题库-网络安全篇

1.前言

本文主要介绍华为认证考试(H12-211 HCIA-HNTD)的网络安全技术部分的内容,包括以下的知识点:

  • AAA工作原理
  • ACL原理以及在华为路由设备中的配置
  • IPSec VPN、GRE工作原理以及在华为路由设备中的配置
  • 如何利用网络安全技术保证网络安全性

注意:本文提到的题库内容仅仅为考生提供一个练习指引,本文未提到的其他相关内容在考试中也有可能出现。

2.题库内容

5.NAPT是通过TCP或者UDP或者IP报文中的协议号区分不同用户的IP地址。

A. 正确

B. 错误

Correct Answer: B

7.关于访问控制列表编号与类型的对应关系,下面描述正确的是( )。

A. 基本的访问控制列表编号范围是1000-2999

B. 高级的访问控制列表编号范围是3000-9000

C. 基本的访问控制列表编号范围是4000-4999

D. 基本的访问控制列表编号范围是1000-2000

Correct Answer: C

9.ACL不会过滤设备自身产生的访问其他设备的流量,只过滤转发的流量,转发的流量中包括其他设备访问该设备的流量。

A. 正确

B. 错误

Correct Answer: A

43.NAPT可以对哪些元素进行转换?

A. MAC地址+端口号

B. IP地址+端口号

C. 只有MAC地址

D. 只有IP地址

Correct Answer: B

57.启用GRE的keepalive功能后,GRE隧道的本端会周期性地每10s向对端发送一次keepalive报文。

A. 正确

B. 错误

Correct Answer: B

71.在 AR 路由器上创建的认证方案、授权方案、计费方案、HWTACACS 或者 RADIUS 服务器 模板,只有 在域下应用后才能生效。

A. 正确

B. 错误

Correct Answer: A

72.如图所示的数据包中,下列哪些字段将会被IPsec VPN的ESP协议加密?

Huawei HCIA v2.0-HNTD(H12-211)-Question72-Q72.png

A. TCP Header,Data,ESP Trailer

B. ESP Header,TCP Header,Data

C. ESP Header,TCP Header,Data,ESP Trailer

D. ESP Header,TCP Header,Data,ESP Trailer,ESP Auth

Correct Answer: A

79.NAT 在使用动态地址池时,地址池中的地址可以重复使用,即同一 IP 同时映射给多个内网 IP。

A. 正确

B. 错误

Correct Answer: B

81.在华为设备上部署 ACL 时,下面描述正确的是( )。(多选)

A. 在接口下调用 ACL 只能应用于出口方向

B. 同一个 ACL 可以调用在多个接口下

C. ACL 定义规则时,只能按照 10、20、30 这样的顺序

D. ACL 不可以用于过滤 OSPF 流量,因为 OSPF 流量不使用 UDP 协议封装

E. ACL 可以匹配报文的 TCP/UDP 的端口号,且可以指定端口号的范围

Correct Answer: BE

96.在路由器RTA上完成如上所示的ACL配置,则下面描述正确的是( )。

[RTA]acl 2001

[RTA-acl-basic-2001]rule 20 permit source 20.1.1.0 0.0.0.255

[RTA-acl-basic-2001]rule 10 deny source 20.1.1.0 0.0.0.255

A. VRP系统将会自动按配置先后顺序调整第一条规则的顺序编号为5

B. VRP系统不会调整顺序编号,但是会先匹配第一条配置的规则20.1.1.0 0.0.0.255

C. 配置错误,规则的顺序编号必须从小到大配置

D. VRP系统将会按照顺序编号先匹配第二条规则 deny source 20.1.1.0 0.0.0.255

Correct Answer: D

109.

[RTA]aaa

[RTA-aaa]domain huawei

[RTA-aaa-domain-huawei]authentication-scheme au1

[RTA-aaa-domain-huawei]authentication-scheme au2

网络管理员在华为路由器RTA上进行如上所示的配置,若某用户需要在认证域“huawei”中进行认证,则下列 描述正确的是( )。

A. 将使用“authentication-scheme au1”认证

B. 将使用“authentication-scheme au2”认证

C. 将使用“authentication-scheme au1”认证,如果“au1”被删除,将使用“au2”

D. 将使用“authentication-scheme au2”认证,如果“au2”被删除,将使用“au1”

Correct Answer: B

124.下列哪项参数不能用于高级访问控制列表?

A. 物理接口

B. 目的端口号

C. 协议号

D. 时间范围

Correct Answer: A

126.如图所示,根据路由器 R1 上的配置,可以判断两台 PC 能够正常访问 ISP 网络。

Huawei HCIA v2.0-HNTD(H12-211)-Question126-Q126.png

A. 正确

B. 错误

Correct Answer: A

137.NAPT允许多个私有IP地址通过不同的端口号映射到同一个公有IP地址上,则下列光关于NAPT中端口 号描述 正确的是( )。

A. 必须手工配置端口号和私有地址的对应关系

B. 只需要配置端口号的范围

C. 不需要做任何关于端口号的配置

D. 需要使用ACL分配端口号

Correct Answer: C

Section: (none)

148.两台主机之间使用IPsec VPN传输数据,为了隐藏真实的IP地址和尽可能高地保证数据的则使用IPsec VPN那种模式和协议封装较好?(选择2个答案)

Huawei HCIA v2.0-HNTD(H12-211)-Question148-Q148.png

A. AH

B. 传输模式

C. 隧道模式

D. ESP

Correct Answer: CD

152.如图所示,路由器 R1 上部署了静态 NAT 命令,当 PC 访问互联网时,数据包中的目的 地址不会发生任何变化。

Huawei HCIA v2.0-HNTD(H12-211)-Question152-Q152.png

A. 正确

B. 错误

Correct Answer: A

154.

[RTA]acl 2002

[RTA-acl-basic-2002]rule deny source 172.16.1.1 0.0.0.0

[RTA-acl-basic-2002]rule deny source 172.16.0.0 0.255.0.0

在路由器PTA上使用如上所示ACL匹配路由条目,则下列哪些条目将会被匹配上?(多选)

A. 172.16.1.1/32

B. 172.16.1.0/24

C. 192.17.0.0/24

D. 172.18.0.0/16

Correct Answer: AD

156.AR G3 系列路由器的 ACL 支持两种匹配顺序:配置顺序和自动排序。

A. 正确

B. 错误

Correct Answer: A

189.两台路由器之间建立IPsec隧道时,下列哪项参数在IPsec对等体之间不需要确保一致?

A. 所使用的安全协议

B. 数据封装模式

C. Proposal名字

D. 认证算法

Correct Answer: C

215.如果两个IPSec VPN对等体希望同时使用AH和ESP来保证安全通信,则两个对等体总共需要构建多少SA(安全联盟)?

A.1

B.2

C.3

D.4

Correct Answer: D

227.网络中出现故障后,管理员通过排查发现某台路由器的配置被修改了,那么管理员该采取哪些措施来避免这种情况的再次发生?( )多选

A.管理员应该配置除管理员之外的所有账户登录设备的权限级别为0

B.管理员应该配置AAA来对登录设备的用户进行认证和授权

C.管理员应该通过配置ACL来控制只有管理员能够登陆设备

D.管理员应该在路由器的管理端口上启用port-security

Correct Answer: ABC

239.入图所示在IPSec VPN中的封装,这种类型的数据包是使用IPSec VPN中的哪种模式封装的?

A.通用模式

B.传输模式

C.隧道模式

D.此封装错误

Correct Answer: C

251.华为设备上的高级ACL可以用于过滤下面哪些内容?(多选)

A.基于特定源地址的网络流量

B.基于特定应用程序的流量,比如QQ

C.基于特定目的地址的网络流量

D.基于特定端口号的网络流量

E.基于特定用户名的网络流量

Correct Answer: ACD

261.如图所示,私有网络中有一台Web服务器需要向公网用户提供HTTP服务,因此网络管理员需要在网关路由器RTA上配置NAT以实现需求,则下列配置中能够满足需求的正确配置是( )

Huawei HCIA v2.0-HNTD(H12-211)-Question261-Q261.png

A. [RTA-Serial1/0/1]nat server protocol tcp global tcp global 202.10.10.1 www inside 192.168.1.1 8080

B.[RTA-Seiral1/0/1]nat server protocol tcp global 192.168.1.1 www inside 202.10.10.1 8080

C. [RTA-GigabitEthernet0/0/1]nat server protocol tcp global 202.10.10.1 www inside 192.168.1.1 8080

D. [RTA-GigabitEthernet0/0/1]nat server protocol tcp global 192.168.1.1 www inside 202.10.10.1 8080

Correct Answer: A

262.一个公司网络中有50个私有IP地址,管理员使用NAT技术接入公网,且该公司仅有一个公网地址,则下列那种NAT转换方式符合需求?

A.静态转换

B.动态转换

C.easy-ip

D.NAPT

Correct Answer: D

284.IPSec的数据封装模式为隧道模式时,隐藏了内网主机的IP地址,这样做的原因是为了保护整个原始数据包的安全。

A.对

B.错

Correct Answer: A

286.如图所示,网络管理员需要在RTA上配置静态NAT,使得私网内的主机A能够与公网用户主机C正常通信,则下面关于静态NAT的配置,正确的是( )。

Huawei HCIA v2.0-HNTD(H12-211)-Question288-Q288.png

A.[RTA-Serial 1/0/1]nat outbound 200.1.1.10

B.[RTA-Serial 1/0/1]nat static global 200.1.1.10 inside 192.168.1.0

C.[RTA-Serial 1/0/1]nat static global 192.168.1.1 inside 200.1.1.10

D.[RTA-Serial 1/0/1]nat static global 200.1.1.10 inside 192.168.1.1

Correct Answer: D

287.IPSec的数据封装模式为隧道模式时,隐藏了内网主机的IP地址,这样做的原因是为了保护整个原始数据包的安全。

A.对

B.错

Correct Answer: A

290.NAT的实现方式有多种,适用于不同的场景。譬如动态NAT能够将内私网内部的服务器地址翻译成公网IP地址向公网提供服务。

A.对

B.错

Correct Answer: B

292.AAA是认证(Authentication)、授权(Authorization)和计费(Accounting)的缩写

A.对

B.错

Correct Answer: A

294.NAPT最大的优势是灵活,既能够用来做源地址的转换,也能够用来做目的地址的转换,还可以做协议端口的转换。

A.对

B.错

Correct Answer: B

295.参考如下拓扑以及路由器配置,该NAT配置没有指定NAT的Global地址池,所以不能正确执行地址转换。

Huawei HCIA v2.0-HNTD(H12-211)-Question295-Q295.png

A.对

B.错

Correct Answer: B

3.总结

ACL与NAT技术广泛应用于日常生产环境的网络限制和网络边界地址转换,AAA认证技术广泛用于日常生产环境的登录认证和授权,VPN技术则为分支机构部署提供了安全访问的可能性。

赞(2)
未经允许不得转载:IT认证轻松考 » 华为H12-211/HCIA题库-网络安全篇
分享到: 更多 (0)

学习QQ群:581420468

关注微信公众号自助视频学习

评论 抢沙发

评论前必须登录!