华为H12-211/HCIA题库-网络安全篇

1.前言

本文主要介绍华为认证考试（H12-211 HCIA-HNTD）的网络安全技术部分的内容，包括以下的知识点：

• AAA工作原理
• ACL原理以及在华为路由设备中的配置
• IPSec VPN、GRE工作原理以及在华为路由设备中的配置
• 如何利用网络安全技术保证网络安全性

注意：本文提到的题库内容仅仅为考生提供一个练习指引，本文未提到的其他相关内容在考试中也有可能出现。

2.题库内容

5.NAPT是通过TCP或者UDP或者IP报文中的协议号区分不同用户的IP地址。

A. 正确

B. 错误

Correct Answer: B

7.关于访问控制列表编号与类型的对应关系,下面描述正确的是( )。

A. 基本的访问控制列表编号范围是1000-2999

B. 高级的访问控制列表编号范围是3000-9000

C. 基本的访问控制列表编号范围是4000-4999

D. 基本的访问控制列表编号范围是1000-2000

Correct Answer: C

9.ACL不会过滤设备自身产生的访问其他设备的流量,只过滤转发的流量,转发的流量中包括其他设备访问该设备的流量。

A. 正确

B. 错误

Correct Answer: A

43.NAPT可以对哪些元素进行转换?

A. MAC地址+端口号

B. IP地址+端口号

C. 只有MAC地址

D. 只有IP地址

Correct Answer: B

57.启用GRE的keepalive功能后,GRE隧道的本端会周期性地每10s向对端发送一次keepalive报文。

A. 正确

B. 错误

Correct Answer: B

71.在 AR 路由器上创建的认证方案、授权方案、计费方案、HWTACACS 或者 RADIUS 服务器 模板,只有 在域下应用后才能生效。

A. 正确

B. 错误

Correct Answer: A

72.如图所示的数据包中,下列哪些字段将会被IPsec VPN的ESP协议加密?

A. TCP Header,Data,ESP Trailer

B. ESP Header,TCP Header,Data

C. ESP Header,TCP Header,Data,ESP Trailer

D. ESP Header,TCP Header,Data,ESP Trailer,ESP Auth

Correct Answer: A

79.NAT 在使用动态地址池时,地址池中的地址可以重复使用,即同一 IP 同时映射给多个内网 IP。

A. 正确

B. 错误

Correct Answer: B

81.在华为设备上部署 ACL 时,下面描述正确的是( )。(多选)

A. 在接口下调用 ACL 只能应用于出口方向

B. 同一个 ACL 可以调用在多个接口下

C. ACL 定义规则时,只能按照 10、20、30 这样的顺序

D. ACL 不可以用于过滤 OSPF 流量,因为 OSPF 流量不使用 UDP 协议封装

E. ACL 可以匹配报文的 TCP/UDP 的端口号,且可以指定端口号的范围

Correct Answer: BE

96.在路由器RTA上完成如上所示的ACL配置,则下面描述正确的是( )。

[RTA]acl 2001

[RTA-acl-basic-2001]rule 20 permit source 20.1.1.0 0.0.0.255

[RTA-acl-basic-2001]rule 10 deny source 20.1.1.0 0.0.0.255

A. VRP系统将会自动按配置先后顺序调整第一条规则的顺序编号为5

B. VRP系统不会调整顺序编号,但是会先匹配第一条配置的规则20.1.1.0 0.0.0.255

C. 配置错误,规则的顺序编号必须从小到大配置

D. VRP系统将会按照顺序编号先匹配第二条规则 deny source 20.1.1.0 0.0.0.255

Correct Answer: D

109.

[RTA]aaa

[RTA-aaa]domain huawei

[RTA-aaa-domain-huawei]authentication-scheme au1

[RTA-aaa-domain-huawei]authentication-scheme au2

网络管理员在华为路由器RTA上进行如上所示的配置,若某用户需要在认证域“huawei”中进行认证,则下列 描述正确的是( )。

A. 将使用“authentication-scheme au1”认证

B. 将使用“authentication-scheme au2”认证

C. 将使用“authentication-scheme au1”认证,如果“au1”被删除,将使用“au2”

D. 将使用“authentication-scheme au2”认证,如果“au2”被删除,将使用“au1”

Correct Answer: B

124.下列哪项参数不能用于高级访问控制列表?

A. 物理接口

B. 目的端口号

C. 协议号

D. 时间范围

Correct Answer: A

126.如图所示,根据路由器 R1 上的配置,可以判断两台 PC 能够正常访问 ISP 网络。

A. 正确

B. 错误

Correct Answer: A

137.NAPT允许多个私有IP地址通过不同的端口号映射到同一个公有IP地址上,则下列光关于NAPT中端口 号描述 正确的是( )。

A. 必须手工配置端口号和私有地址的对应关系

B. 只需要配置端口号的范围

C. 不需要做任何关于端口号的配置

D. 需要使用ACL分配端口号

Correct Answer: C

Section: (none)

148.两台主机之间使用IPsec VPN传输数据,为了隐藏真实的IP地址和尽可能高地保证数据的则使用IPsec VPN那种模式和协议封装较好?(选择2个答案)

A. AH

B. 传输模式

C. 隧道模式

D. ESP

Correct Answer: CD

152.如图所示,路由器 R1 上部署了静态 NAT 命令,当 PC 访问互联网时,数据包中的目的 地址不会发生任何变化。

A. 正确

B. 错误

Correct Answer: A

154.

[RTA]acl 2002

[RTA-acl-basic-2002]rule deny source 172.16.1.1 0.0.0.0

[RTA-acl-basic-2002]rule deny source 172.16.0.0 0.255.0.0

在路由器PTA上使用如上所示ACL匹配路由条目,则下列哪些条目将会被匹配上?(多选)

A. 172.16.1.1/32

B. 172.16.1.0/24

C. 192.17.0.0/24

D. 172.18.0.0/16

Correct Answer: AD

156.AR G3 系列路由器的 ACL 支持两种匹配顺序:配置顺序和自动排序。

A. 正确

B. 错误

Correct Answer: A

189.两台路由器之间建立IPsec隧道时,下列哪项参数在IPsec对等体之间不需要确保一致?

A. 所使用的安全协议

B. 数据封装模式

C. Proposal名字

D. 认证算法

Correct Answer: C

215.如果两个IPSec VPN对等体希望同时使用AH和ESP来保证安全通信，则两个对等体总共需要构建多少SA（安全联盟）？

A．1

B．2

C．3

D．4

Correct Answer: D

227.网络中出现故障后，管理员通过排查发现某台路由器的配置被修改了，那么管理员该采取哪些措施来避免这种情况的再次发生？（ ）多选

A．管理员应该配置除管理员之外的所有账户登录设备的权限级别为0

B．管理员应该配置AAA来对登录设备的用户进行认证和授权

C．管理员应该通过配置ACL来控制只有管理员能够登陆设备

D．管理员应该在路由器的管理端口上启用port-security

Correct Answer: ABC

239.入图所示在IPSec VPN中的封装，这种类型的数据包是使用IPSec VPN中的哪种模式封装的？

A．通用模式

B．传输模式

C．隧道模式

D．此封装错误

Correct Answer: C

251.华为设备上的高级ACL可以用于过滤下面哪些内容？（多选）

A．基于特定源地址的网络流量

B．基于特定应用程序的流量，比如QQ

C．基于特定目的地址的网络流量

D．基于特定端口号的网络流量

E．基于特定用户名的网络流量

Correct Answer: ACD

261.如图所示，私有网络中有一台Web服务器需要向公网用户提供HTTP服务，因此网络管理员需要在网关路由器RTA上配置NAT以实现需求，则下列配置中能够满足需求的正确配置是（ ）

A. [RTA-Serial1/0/1]nat server protocol tcp global tcp global 202.10.10.1 www inside 192.168.1.1 8080

B．[RTA-Seiral1/0/1]nat server protocol tcp global 192.168.1.1 www inside 202.10.10.1 8080

C. [RTA-GigabitEthernet0/0/1]nat server protocol tcp global 202.10.10.1 www inside 192.168.1.1 8080

D. [RTA-GigabitEthernet0/0/1]nat server protocol tcp global 192.168.1.1 www inside 202.10.10.1 8080

Correct Answer: A

262.一个公司网络中有50个私有IP地址，管理员使用NAT技术接入公网，且该公司仅有一个公网地址，则下列那种NAT转换方式符合需求？

A．静态转换

B．动态转换

C．easy-ip

D．NAPT

Correct Answer: D

284.IPSec的数据封装模式为隧道模式时，隐藏了内网主机的IP地址，这样做的原因是为了保护整个原始数据包的安全。

A．对

B．错

Correct Answer: A

286.如图所示，网络管理员需要在RTA上配置静态NAT，使得私网内的主机A能够与公网用户主机C正常通信，则下面关于静态NAT的配置，正确的是（ ）。

A．[RTA-Serial 1/0/1]nat outbound 200.1.1.10

B．[RTA-Serial 1/0/1]nat static global 200.1.1.10 inside 192.168.1.0

C．[RTA-Serial 1/0/1]nat static global 192.168.1.1 inside 200.1.1.10

D．[RTA-Serial 1/0/1]nat static global 200.1.1.10 inside 192.168.1.1

Correct Answer: D

287.IPSec的数据封装模式为隧道模式时，隐藏了内网主机的IP地址，这样做的原因是为了保护整个原始数据包的安全。

A．对

B．错

Correct Answer: A

290.NAT的实现方式有多种，适用于不同的场景。譬如动态NAT能够将内私网内部的服务器地址翻译成公网IP地址向公网提供服务。

A．对

B．错

Correct Answer: B

292.AAA是认证（Authentication）、授权（Authorization）和计费（Accounting）的缩写

A．对

B．错

Correct Answer: A

294.NAPT最大的优势是灵活，既能够用来做源地址的转换，也能够用来做目的地址的转换，还可以做协议端口的转换。

A．对

B．错

Correct Answer: B

295.参考如下拓扑以及路由器配置，该NAT配置没有指定NAT的Global地址池，所以不能正确执行地址转换。

A．对

B．错

Correct Answer: B

3.总结

ACL与NAT技术广泛应用于日常生产环境的网络限制和网络边界地址转换，AAA认证技术广泛用于日常生产环境的登录认证和授权，VPN技术则为分支机构部署提供了安全访问的可能性。