1.前言
本文主要介绍华为认证考试(H12-211 HCIA-HNTD)的网络安全技术部分的内容,包括以下的知识点:
- AAA工作原理
- ACL原理以及在华为路由设备中的配置
- IPSec VPN、GRE工作原理以及在华为路由设备中的配置
- 如何利用网络安全技术保证网络安全性
注意:本文提到的题库内容仅仅为考生提供一个练习指引,本文未提到的其他相关内容在考试中也有可能出现。
2.题库内容
5.NAPT是通过TCP或者UDP或者IP报文中的协议号区分不同用户的IP地址。
A. 正确
B. 错误
Correct Answer: B
7.关于访问控制列表编号与类型的对应关系,下面描述正确的是( )。
A. 基本的访问控制列表编号范围是1000-2999
B. 高级的访问控制列表编号范围是3000-9000
C. 基本的访问控制列表编号范围是4000-4999
D. 基本的访问控制列表编号范围是1000-2000
Correct Answer: C
9.ACL不会过滤设备自身产生的访问其他设备的流量,只过滤转发的流量,转发的流量中包括其他设备访问该设备的流量。
A. 正确
B. 错误
Correct Answer: A
43.NAPT可以对哪些元素进行转换?
A. MAC地址+端口号
B. IP地址+端口号
C. 只有MAC地址
D. 只有IP地址
Correct Answer: B
57.启用GRE的keepalive功能后,GRE隧道的本端会周期性地每10s向对端发送一次keepalive报文。
A. 正确
B. 错误
Correct Answer: B
71.在 AR 路由器上创建的认证方案、授权方案、计费方案、HWTACACS 或者 RADIUS 服务器 模板,只有 在域下应用后才能生效。
A. 正确
B. 错误
Correct Answer: A
72.如图所示的数据包中,下列哪些字段将会被IPsec VPN的ESP协议加密?
A. TCP Header,Data,ESP Trailer
B. ESP Header,TCP Header,Data
C. ESP Header,TCP Header,Data,ESP Trailer
D. ESP Header,TCP Header,Data,ESP Trailer,ESP Auth
Correct Answer: A
79.NAT 在使用动态地址池时,地址池中的地址可以重复使用,即同一 IP 同时映射给多个内网 IP。
A. 正确
B. 错误
Correct Answer: B
81.在华为设备上部署 ACL 时,下面描述正确的是( )。(多选)
A. 在接口下调用 ACL 只能应用于出口方向
B. 同一个 ACL 可以调用在多个接口下
C. ACL 定义规则时,只能按照 10、20、30 这样的顺序
D. ACL 不可以用于过滤 OSPF 流量,因为 OSPF 流量不使用 UDP 协议封装
E. ACL 可以匹配报文的 TCP/UDP 的端口号,且可以指定端口号的范围
Correct Answer: BE
96.在路由器RTA上完成如上所示的ACL配置,则下面描述正确的是( )。
[RTA]acl 2001
[RTA-acl-basic-2001]rule 20 permit source 20.1.1.0 0.0.0.255
[RTA-acl-basic-2001]rule 10 deny source 20.1.1.0 0.0.0.255
A. VRP系统将会自动按配置先后顺序调整第一条规则的顺序编号为5
B. VRP系统不会调整顺序编号,但是会先匹配第一条配置的规则20.1.1.0 0.0.0.255
C. 配置错误,规则的顺序编号必须从小到大配置
D. VRP系统将会按照顺序编号先匹配第二条规则 deny source 20.1.1.0 0.0.0.255
Correct Answer: D
109.
[RTA]aaa
[RTA-aaa]domain huawei
[RTA-aaa-domain-huawei]authentication-scheme au1
[RTA-aaa-domain-huawei]authentication-scheme au2
网络管理员在华为路由器RTA上进行如上所示的配置,若某用户需要在认证域“huawei”中进行认证,则下列 描述正确的是( )。
A. 将使用“authentication-scheme au1”认证
B. 将使用“authentication-scheme au2”认证
C. 将使用“authentication-scheme au1”认证,如果“au1”被删除,将使用“au2”
D. 将使用“authentication-scheme au2”认证,如果“au2”被删除,将使用“au1”
Correct Answer: B
124.下列哪项参数不能用于高级访问控制列表?
A. 物理接口
B. 目的端口号
C. 协议号
D. 时间范围
Correct Answer: A
126.如图所示,根据路由器 R1 上的配置,可以判断两台 PC 能够正常访问 ISP 网络。
A. 正确
B. 错误
Correct Answer: A
137.NAPT允许多个私有IP地址通过不同的端口号映射到同一个公有IP地址上,则下列光关于NAPT中端口 号描述 正确的是( )。
A. 必须手工配置端口号和私有地址的对应关系
B. 只需要配置端口号的范围
C. 不需要做任何关于端口号的配置
D. 需要使用ACL分配端口号
Correct Answer: C
Section: (none)
148.两台主机之间使用IPsec VPN传输数据,为了隐藏真实的IP地址和尽可能高地保证数据的则使用IPsec VPN那种模式和协议封装较好?(选择2个答案)
A. AH
B. 传输模式
C. 隧道模式
D. ESP
Correct Answer: CD
152.如图所示,路由器 R1 上部署了静态 NAT 命令,当 PC 访问互联网时,数据包中的目的 地址不会发生任何变化。
A. 正确
B. 错误
Correct Answer: A
154.
[RTA]acl 2002
[RTA-acl-basic-2002]rule deny source 172.16.1.1 0.0.0.0
[RTA-acl-basic-2002]rule deny source 172.16.0.0 0.255.0.0
在路由器PTA上使用如上所示ACL匹配路由条目,则下列哪些条目将会被匹配上?(多选)
A. 172.16.1.1/32
B. 172.16.1.0/24
C. 192.17.0.0/24
D. 172.18.0.0/16
Correct Answer: AD
156.AR G3 系列路由器的 ACL 支持两种匹配顺序:配置顺序和自动排序。
A. 正确
B. 错误
Correct Answer: A
189.两台路由器之间建立IPsec隧道时,下列哪项参数在IPsec对等体之间不需要确保一致?
A. 所使用的安全协议
B. 数据封装模式
C. Proposal名字
D. 认证算法
Correct Answer: C
215.如果两个IPSec VPN对等体希望同时使用AH和ESP来保证安全通信,则两个对等体总共需要构建多少SA(安全联盟)?
A.1
B.2
C.3
D.4
Correct Answer: D
227.网络中出现故障后,管理员通过排查发现某台路由器的配置被修改了,那么管理员该采取哪些措施来避免这种情况的再次发生?( )多选
A.管理员应该配置除管理员之外的所有账户登录设备的权限级别为0
B.管理员应该配置AAA来对登录设备的用户进行认证和授权
C.管理员应该通过配置ACL来控制只有管理员能够登陆设备
D.管理员应该在路由器的管理端口上启用port-security
Correct Answer: ABC
239.入图所示在IPSec VPN中的封装,这种类型的数据包是使用IPSec VPN中的哪种模式封装的?
A.通用模式
B.传输模式
C.隧道模式
D.此封装错误
Correct Answer: C
251.华为设备上的高级ACL可以用于过滤下面哪些内容?(多选)
A.基于特定源地址的网络流量
B.基于特定应用程序的流量,比如QQ
C.基于特定目的地址的网络流量
D.基于特定端口号的网络流量
E.基于特定用户名的网络流量
Correct Answer: ACD
261.如图所示,私有网络中有一台Web服务器需要向公网用户提供HTTP服务,因此网络管理员需要在网关路由器RTA上配置NAT以实现需求,则下列配置中能够满足需求的正确配置是( )
A. [RTA-Serial1/0/1]nat server protocol tcp global tcp global 202.10.10.1 www inside 192.168.1.1 8080
B.[RTA-Seiral1/0/1]nat server protocol tcp global 192.168.1.1 www inside 202.10.10.1 8080
C. [RTA-GigabitEthernet0/0/1]nat server protocol tcp global 202.10.10.1 www inside 192.168.1.1 8080
D. [RTA-GigabitEthernet0/0/1]nat server protocol tcp global 192.168.1.1 www inside 202.10.10.1 8080
Correct Answer: A
262.一个公司网络中有50个私有IP地址,管理员使用NAT技术接入公网,且该公司仅有一个公网地址,则下列那种NAT转换方式符合需求?
A.静态转换
B.动态转换
C.easy-ip
D.NAPT
Correct Answer: D
284.IPSec的数据封装模式为隧道模式时,隐藏了内网主机的IP地址,这样做的原因是为了保护整个原始数据包的安全。
A.对
B.错
Correct Answer: A
286.如图所示,网络管理员需要在RTA上配置静态NAT,使得私网内的主机A能够与公网用户主机C正常通信,则下面关于静态NAT的配置,正确的是( )。
A.[RTA-Serial 1/0/1]nat outbound 200.1.1.10
B.[RTA-Serial 1/0/1]nat static global 200.1.1.10 inside 192.168.1.0
C.[RTA-Serial 1/0/1]nat static global 192.168.1.1 inside 200.1.1.10
D.[RTA-Serial 1/0/1]nat static global 200.1.1.10 inside 192.168.1.1
Correct Answer: D
287.IPSec的数据封装模式为隧道模式时,隐藏了内网主机的IP地址,这样做的原因是为了保护整个原始数据包的安全。
A.对
B.错
Correct Answer: A
290.NAT的实现方式有多种,适用于不同的场景。譬如动态NAT能够将内私网内部的服务器地址翻译成公网IP地址向公网提供服务。
A.对
B.错
Correct Answer: B
292.AAA是认证(Authentication)、授权(Authorization)和计费(Accounting)的缩写
A.对
B.错
Correct Answer: A
294.NAPT最大的优势是灵活,既能够用来做源地址的转换,也能够用来做目的地址的转换,还可以做协议端口的转换。
A.对
B.错
Correct Answer: B
295.参考如下拓扑以及路由器配置,该NAT配置没有指定NAT的Global地址池,所以不能正确执行地址转换。
A.对
B.错
Correct Answer: B
3.总结
ACL与NAT技术广泛应用于日常生产环境的网络限制和网络边界地址转换,AAA认证技术广泛用于日常生产环境的登录认证和授权,VPN技术则为分支机构部署提供了安全访问的可能性。
评论前必须登录!
注册