2024年“新華三杯”全國大學生數(shù)字技術(shù)大賽備賽試題庫（含答案）

PAGEPAGE12024年“新華三杯”全國大學生數(shù)字技術(shù)大賽備賽試題庫（含答案）一、單選題1.802.11b協(xié)議在2.4GHz頻段定義了14個信道，相鄰的信道之間在頻譜上存在交疊。為了最大程度地利用頻段資源，可以使用如下哪組信道來進行無線覆蓋？A、1、5、9.B、1、6、11C、2、6、10.D、3、6、9答案：B解析：兩兩之間相差要≥5.2.下列關于GRE穿越NAT的說法正確的是A、對于基于端口或協(xié)議的NAT,即NAPT來說,標準GRE協(xié)議報文可以正常穿越,且可以區(qū)分相同源地址發(fā)起

的不同GRE隧道。B、普通的源(目的地址作轉(zhuǎn)化的NAT,標準GRE封裝協(xié)議報文不可以正常穿越。C、對于基于端口或協(xié)議的NAT,即NAPT來說,NGRE可以通過Key選項來區(qū)分相同源地址發(fā)起的不同GRE

隧道。D、對于基于端口或協(xié)議的NAT,即NAPT來說,GRE可以通過SequenceNumber選項來區(qū)分相同源地址發(fā)起

的不同GRE隧道答案：C3.在SSL協(xié)議體系中,服務器端使用()端口接收并處理建立SSL鏈接的請求報文A、443.B、441C、500.D、520.答案：A4.工程師小L在調(diào)試SecPathF1020設備是，把缺省的G1/0/0當成內(nèi)網(wǎng)口Trust，G1/0/0接口配置成untrust區(qū)域

當成外網(wǎng)口，此時內(nèi)網(wǎng)用戶是否可以正常上網(wǎng)A、不能B、能答案：A5.在防火墻上配置動態(tài)NAT使用命令displaynatsessionverbose有如下信息。

從設備輸出可確定的是：A、設備上配置的是NO-PAT方式的動態(tài)NATB、動態(tài)NAT的配置下發(fā)在G1/0/0口上C、可以ping通.D.地址池中只有1個地址答案：A6.在開放系統(tǒng)互連參考模型（OSI）中，______以幀的形式傳輸數(shù)據(jù)流。A、網(wǎng)路層B、會話層C、傳輸層D、數(shù)據(jù)鏈路層答案：D解析：應用層APDU

表示層PPDU

會話層SPDU

傳輸層段segment

網(wǎng)絡層包packet

數(shù)據(jù)鏈路層幀frame

物理層比特流bit7.集線器（Hub）工作在OSI參考模型的______。A、物理層B、數(shù)據(jù)鏈路層C、網(wǎng)絡層D、傳輸層答案：A8.SSLVPN是解決遠程用戶訪問敏感公司數(shù)據(jù)最簡單最安全的解決技術(shù)。要使用SSLVPN,需安裝哪個軟件?A、客戶端軟件B、瀏覽器C、防火墻D、防病毒答案：B9.ACG1000產(chǎn)品支持旁路部署,在系統(tǒng)管理-部署方式處將接收流量的接口打鉤,并將流里鏡像到該接口即可完

成旁路部署A、對B、錯答案：A10.如果在IP網(wǎng)絡中使用GRE協(xié)議在承載IPX協(xié)議，則報文的封裝過程為A、鏈路層協(xié)議->IPX>GRE>IPB、鏈路層協(xié)議->GRE>IPX>IPC、鏈路層協(xié)議->IP>GRE>IPXD、鏈路層協(xié)議->GRE>IP>IPX答案：C11.下列哪一種防火墻運行時速度最慢，并且運行在OSI模型中的最高層A、包過濾防火墻B、狀態(tài)防火墻C、應用代理防火墻D、SMB防火墻答案：C12.GRE協(xié)議的協(xié)議號是：A、50.B、51C、47.D、48.答案：C13.默認情況下LAC和LNS之間通道的Hello報文發(fā)送時間間隔為A、10B、5C、30D、60.答案：D14.假設某企業(yè)總部和分支之間原采用物理專線連接的方式構(gòu)建Intranet網(wǎng)絡;現(xiàn)欲將總部和分支都接入Intranet,

在總部和分支間啟用VPN隨道,并保證數(shù)據(jù)在網(wǎng)絡上傳輸?shù)乃矫苄?可選擇()VPN技術(shù)A、PPTPB、IPsecC、GRED、L2tp答案：B15.通過哪個工具可以簡化IPSecVPN的配置?A、VPNManagerB、VMSC、SMSD、XLOG答案：A16.下面關于OSI參考模型的說法正確的是______。A、傳輸層的數(shù)據(jù)稱為幀（Frame）B、網(wǎng)絡層的數(shù)據(jù)稱為段（Segment）C、數(shù)據(jù)鏈路層的數(shù)據(jù)稱為數(shù)據(jù)包（Packet）D、物理層的數(shù)據(jù)稱為比特（Bit）答案：D17.L2TP協(xié)議是承載在UDP協(xié)議之上的,數(shù)據(jù)包的封裝過程為A、私有IP->L2TP->UDP->PPP->公有IPB、私有IP->PPP->L2TP->UDP->公有IPC、私有IP->PPP->UDP->L2TP->公有IPD、私有IP->L2TP->PPP->UDP->公有1P答案：B18.下面哪一項不是IKE的特點A、定時更新IPSecSAB、允許端到端動態(tài)驗證C、定時更新IPsec共享密鑰D、允許IPsec提供抗重播服務答案：C19.NAT的NATPAT方式屬于多對一的地址轉(zhuǎn)換,通過使用”地址+端口號”的形式進行轉(zhuǎn)換,使多個私網(wǎng)用戶可共用

一個公網(wǎng)IP地址訪問外網(wǎng)。上述說法是A、正確B、錯誤答案：A20.HWTACACS協(xié)議和RADIUS協(xié)議的區(qū)別A、以上信息記住B、以上信息記住C、以上信息記住D、以上信息記住答案：A21.在L2TP組網(wǎng)中,LNS側(cè)對用戶的驗證方式有三種,代理驗證、強制驗證和LCP重協(xié)商。其中優(yōu)先級最高的是A、代理驗證B、強制СНАР驗證C、LCP重協(xié)商D、都相同答案：C22.以下哪個病毒可以破壞計算機硬件?A、CIH病毒B、宏病毒C、沖擊波病毒D、熊貓燒香病毒答案：A23.永久黑名單表項建立后,會一直存在,直到超過一定生存時間后防火墻會自動將該黑名單表項刪除,上述說法是A、正確B、錯誤答案：B24.以下工作于OSI參考模型數(shù)據(jù)鏈路層的設備是______。A、廣域網(wǎng)交換機B、路由器C、中繼器D、集線器答案：A解析：廣域網(wǎng)交換機-數(shù)據(jù)鏈路;路由器-網(wǎng)絡層;中繼器-物理層;集線器-物理層25.在防火前上使用命令displaynatall有如下信息：

基于以上信息可以得出結(jié)論是：A、接口的動態(tài)NAT沒有配置ACL限制B、NAT地址池1中有4個地址C、NAT地址池中有2個地址D、當前設備上有1個地址池答案：C26.工程師小L在調(diào)試SecPathU200-S設備時,把缺省的GO/0接口當成內(nèi)網(wǎng)口G0/1接口配置成了Untrust區(qū)域當成

外網(wǎng)口,此時內(nèi)網(wǎng)用戶是否可以正常訪問外網(wǎng)?A、能B、不能答案：A27.下列關于對于NGFW防火墻的功能描述，不正確的是A、防火墻能夠防網(wǎng)頁被篡改B、防火墻能夠限制網(wǎng)絡訪問C、防火墻能夠產(chǎn)生審計日志D、防火墻能夠執(zhí)行安全策略答案：A28.在OSI參考模型中，網(wǎng)絡層的功能主要是______。A、在信道上傳輸原始的比特流B、確保到達對方的各段信息正確無誤C、確定數(shù)據(jù)包從源端到目的端如何選擇路由D、加強物理層數(shù)據(jù)傳輸原始比特流的功能，并且進行流量調(diào)控答案：C29.以下哪個場景不存在VPN的需求？A、大型企業(yè)園區(qū)互聯(lián)B、出差員工移動辦公C、超市/門店/賣場的聯(lián)網(wǎng)D、加油站/收費站的聯(lián)網(wǎng)答案：A30.boot-loader-加載應用程序文件P192.7.通常情況下，路由器會對長度大于接口MTU的報文分片。為了檢測線路MTU，可以帶______參數(shù)ping

目的地址。A、–aB、–dC、–fD、–c答案：C解析：-a——帶源;-f——不允許對ICMPEchoRequest報文進行分片;tos——typeofservicetos域的值默認0（0-255）;-t——報文超時時間，默認2000毫秒;-s——報文大小，默認56字節(jié)（20-8100）;-c——報文數(shù)目，默認5.-h——指定報文ttl值，默認255（0-255）;-m——指定發(fā)送報文時間間隔，默認200毫秒（1-65535）31.源主機ping目的設備時，如果網(wǎng)絡工作正常，則目的設備在接收到該報文后，將會向源主機回應

ICMP______報文。A、EchoRequestB、EchoReplyC、TTL-ExceededD、Port-Unreachable答案：B解析：

EchoRequest

————————————————————————————>

EchoReply（正常）

<————————————————————————————

TTL-Exceeded/Port-Unreachable（超時/目的地址不可達）32.下列關于L2TP的說法正確的是A、用戶和LAC之間會進行協(xié)商以獲取IP地址B、在LAC上會根接入用戶的PPP驗證信息進行驗證,以確定是否是L2tp的用戶以及用戶屬于哪個L2TP組，

隨后LAC會向相應的LNS發(fā)起建立隧道的請求。C、隨道建立后,LAC與用戶相連接的PCP會變?yōu)閁P狀態(tài)D、CHAP驗證只能在用戶端和LNS端進行答案：B33.常見的安全域劃分方式有:A、按照接口劃分B、按照業(yè)務劃分C、按照規(guī)則劃分D、按照IP地址劃分答案：A34.在如圖所示的TCP連接的建立過程中，SYN中的Z部分應該填入________。A、B、C、a+1D、b+1答案：D解析：X=a+1（確認收到a，期望下次發(fā)送a+1）

Y=a+1Z=b+1（確認收到b）35.下面哪一個協(xié)議工作在TCP/IP協(xié)議棧的傳輸層以下?A、SKIPB、SSLC、S-HTTPD、SSH答案：A36.防火墻實現(xiàn)包過濾的核心技術(shù)是ACL控制列表?A、正確B、錯誤答案：A37.H3CACG透明模式部署，在配置帶寬管理時，需要將線路綁定在物理接口上，綁定在橋接口上無法生效A、錯誤B、正確答案：B38.NATALG技術(shù)可以解決所有多通道應用之間端到端的通信問題。以上說法是否正確A、正確B、錯誤答案：B39.地址轉(zhuǎn)換技術(shù)只能用于將私網(wǎng)地址轉(zhuǎn)換為公網(wǎng)地址，以上說法是否正確？A、正確B、錯誤答案：B40.在L2TP報文協(xié)商過程中,進行IP地址分配工作是在以下哪個階段？A、Establish(鏈路建立)階段B、LCP協(xié)商階段C、HAP或PAP驗證階段D、網(wǎng)絡協(xié)商（NCP）階段答案：D41.H3C防火墻要么工作在二層模式，要么工作在三層模式，不能同時工作在二層和三層，以上說法正確嗎？A、正確B、錯誤答案：B42.802.11b協(xié)議在2.4GHz頻段定義了14個信道，相鄰的信道之間在頻譜上存在交疊。為了最大程度地利用頻段資源，可以使用如下哪組信道來進行無線覆蓋？A、1、5、9.B、1、6、10.C、2、7、12.D、3、6、9.答案：C解析：

兩兩之間相差要≥5.43.查看SecPath防火墻會話的命令是()A、displayfirewallsessiontableB、displayfirewallsessionC、displaysessiontableD、isplayaspfsession答案：C44.下列關于應用審計配置說法錯誤的是A、URL審計分為預定義URL和自定義URL兩部分B、旁路部署時做全部應用的升級，鏡像流量不需做處理動作C、日志級別默認為“不記錄”仍然可以在日志查詢里查到相關日志信息D、在“審計行為內(nèi)容”里可以配置某個APP做的相應動作答案：C45.防火墻的策略一般是應用在安全域之間的,而IPS/AV策略一般應用在某個段上。A、正確B、錯誤答案：A46.SecPathIPS設備的管理口僅支持同網(wǎng)段管理端PC訪問,當管理端PC的地址與設備管理地址不在同一網(wǎng)段時,

無法對設備進行Web管理,以上說法是:A、正確B、錯誤答案：B47.關于SecPath防火墻,下列說法正確的是口A、防火墻只能通過命令行方式升級版本B、防火墻通過WEB登錄的默認用戶名/密碼是h3c/h3cC、防水墻的默認登錄IP地址是D.防火墻的域間策略只能再Web頁面下配答案：C48.H3C防火墻在接口上應用包過濾，方向可以選擇Inbound和lOutboundA、錯誤B、正確答案：B49.以下屬于塊加密算法的是:A、SHA-1B、MD5C、DESD、RC4.答案：C50.下列關于L2TP的說法正確的是A、在LAC上會根據(jù)接入用戶的PPP驗證信息進行驗證,以確定是否是L2TP的用戶以及用戶屬于哪一個L2tp

組，隨后LAC會向相應的LNS發(fā)起建立隧道的請求B、用戶和LAC之間會進行協(xié)商以獲取IP地址C、隧道建立后,LAC與用戶相連接口的IPCP會變?yōu)閁P狀態(tài)D、CHAP驗證只用在用戶端和LNS端進行答案：A51.基本NAT方式是指直接使用接口的公網(wǎng)IP地址作為轉(zhuǎn)換后的源地址進行地址轉(zhuǎn)換。上述說法是()-A、正確B、錯誤答案：B52.一般來說,以下哪些功能不是由防火墻來實現(xiàn)的.A、隔離可信任網(wǎng)絡和不可信網(wǎng)絡B、防止病毒和木馬程序入侵C、隔離內(nèi)網(wǎng)和外網(wǎng)D、監(jiān)控網(wǎng)絡中會話狀態(tài)答案：B53.ping實際上是基于______協(xié)議開發(fā)的應用程序。A、ICMPB、IPC、TCPD、UDP答案：A解析：Ping功能是基于ICMP協(xié)議來實現(xiàn)的：源端向目的端發(fā)送ICMP回顯請求（ECHO-REQUEST）報文后，根據(jù)是否收到目的端的ICMP回顯應答（ECHO-REPLY）報文來判斷目的端是否可達，對于可達的目的端，再根據(jù)發(fā)送報文個數(shù)、接收到響應報文個數(shù)來判斷鏈路的質(zhì)量，根據(jù)ping報文的往返時間來判斷源端與目的端之間的“距離”。54.下述攻擊手段中，不屬于DOS攻擊的是A、FraggleB、Land攻擊C、跨站攻擊D、Smurf攻擊答案：A55.H3c負載均衡交換機目前可以支持四層負載均衡，但不支持七層負載均衡A、正確B、錯誤答案：A56.如圖所示網(wǎng)絡環(huán)境中，兩臺路由器以串口背靠背相連，要設置互連鏈路的速率為2Mbps，下面說法正確的是

______。A、需要確定接口類型以及線纜滿足V.24規(guī)程B、在RTA的同步口上使用baudrate2048000命令配置C、在RTB的同步口上使用baudrate2048000命令配置D、在RTB的同步口上使用virtual-baudrate2048000命令配置E、在RTA的同步口上使用bandrate2048000命令配置，在RTB的同步口上使用virtual-baudrate2048000.命令配置答案：B解析：V．24支持同、異步：異步最高速率115200bps同步最高速率64000bps

V．35只支持同步：最高速率為2048000bps=2Mbps

在DCE端配置帶寬

DCE（數(shù)據(jù)控制設備）運行商設備，提供DCE、DTE之間同步時鐘信號

DTE（數(shù)據(jù)終端設備）用戶設備，接受DCE提供的時鐘信號57.如果以太網(wǎng)交換機中某個運行STP的端口不接收或轉(zhuǎn)發(fā)數(shù)據(jù)，接收并發(fā)送BPDU，不進行地址學習，那么該

端口應該處于______狀態(tài)。A、BlockingB、ListeningC、LearningD、ForwardingE、WaitingF、Disable答案：B解析：接收配置BPDU發(fā)送配置BPDUMAC地址學習收發(fā)數(shù)據(jù)

Disable

Blocking√

Listening√√

Learning√√√

Forwarding√√√√58.數(shù)據(jù)分段是在OSI參考模型中的______完成的。A、物理層B、網(wǎng)絡層C、傳輸層D、接入層答案：C59.編號3001的ACL對應的類型是A、二層ACLB、七層ACLC、基本ACLD、高級ACL答案：D60.基本NAT方式是指直接使用接口的公網(wǎng)IP地址作為轉(zhuǎn)換后的源地址進行轉(zhuǎn)換,上述說法是A、正確B、錯誤答案：B61.下列哪些交換模式是在IKE協(xié)商的第二階段存在的?A、主模式B、野蠻模式C、快速模式D、普通模式答案：C62.在OSI參考模型中，加密是______的功能。A、物理層B、傳輸層C、會話層D、表示層答案：D63.ACG1000產(chǎn)品不支持VRF功能,因此無法可作為MCE設備和MPLS網(wǎng)絡對接A、對B、錯答案：B64.用以太網(wǎng)線連接兩臺交換機，互連端口的MDI類型都配置為across，則此以太網(wǎng)線應該為________。A、只能使用交叉網(wǎng)線B、只能使用直連網(wǎng)線C、平行網(wǎng)線和交叉網(wǎng)線都可以D、平行網(wǎng)線和交叉網(wǎng)線都不可以答案：A解析：同層設備交叉線，不同層直連線

以太網(wǎng)交換機接口類型MDI/MDIX自適應

MDI直通線

MDIX交叉線

這里設置成MDI，只能用交叉線65.如下圖所示的網(wǎng)絡中,RTB對RTA發(fā)起IPSec連接,有關NAT穿越描述正確的是A、IPSec隧道兩端不啟用TKE的情況下亦能實現(xiàn)NAT穿越B、通過將IPsec報文封裝在UDP1701端協(xié)議報文中實現(xiàn)IPSec的NAT穿越C、RTA在主模式情況下不能實現(xiàn)NAT穿越D、NAT網(wǎng)關會修改UDP報文頭,IPSec報文的IP頭答案：C66.防火墻的DMZ區(qū)的主要用途是(A、解決公共設備如服務器防止問題B、解決軍事侵犯問題C、解決防火墻區(qū)域劃分不夠問題答案：A67.IKEv1主模式第一階段協(xié)商的第一和第二個報文的作用是身份驗證，從而保證了后續(xù)報文傳遞的合法性，以

上說法是否正確？A、正確B、錯誤答案：A68.NAT的NATstatic方式可以實現(xiàn)公網(wǎng)地址的復用，有效解決ipv4地址短缺的問題，上述說法是（）A、錯誤B、正確答案：A69.IP地址10是______地址。A、類B、類C、類D、類答案：B70.SSL協(xié)議支持的流加密算法包括A、3DESB、DESC、AESD、RC4.答案：D71.IP地址00的子網(wǎng)掩碼是40，哪么它所在子網(wǎng)的廣播地址是______。A、07.B、55.C、93.D、23.答案：A解析：10010000.11001111….廣播地址72.CHAP是三次握手的驗證協(xié)議，其中第1次握手是完成（）A、驗證方將一段隨機報文和用戶名傳遞到被驗證方B、被驗證方直接將用戶名和令傳遞給驗證方C、被驗證方生成段隨機報文，用自己的令對這段隨機報文進行加密，然后與自己的用戶名一起傳遞給被驗

證方D、驗證方將用戶名和密碼傳遞到被驗證方答案：A73.SecPathF1000-E防火墻Inline轉(zhuǎn)發(fā)是依據(jù)Mac地址表完成的,上述說法是?A、正確B、錯誤答案：B74.廣域網(wǎng)接口多種多樣，下列對于廣域網(wǎng)接口的描述錯誤的是______。A、V.24規(guī)程接口可以工作在同異步兩種方式下，在異步方式下，鏈路層使用PPP封裝。B、V.35規(guī)程接口可以工作在同異步兩種方式下，在異步方式下，鏈路層使用PPP封裝。C、BRI/PRI接口用于ISDN接入，默認的鏈路封裝是PPPD、G703接口提供高速數(shù)據(jù)同步通信服務。答案：B解析：V．24支持同、異步：異步最高速率115kps同步最高速率64kbps

V．35只支持同步：最高速率為2048000bps=2Mbps;ISDN兩種接入方式：BRI接口→2B+DB信道64kbpsD信道16kbps;PRI接口→E130B+D

T123B+D默認PPP封裝75.SSLVPN支持哪些接入方式?A、WebB、TCPC、IPD、以上都是答案：D76.下述哪個是H3C專有的VPN技術(shù)A、IPSecVPNB、GREVPNC、動態(tài)VPND、MPLSVPN答案：C77.F100-E固定4個GE接口,一個擴展槽,支持SSLVPN模塊。A、正確B、錯誤答案：B78.GRE協(xié)議棧如圖所示，以下說法正確的是？A、協(xié)議B是封裝協(xié)議B、協(xié)議B是承載協(xié)議C、協(xié)議A是封裝協(xié)議D、協(xié)議A是承載協(xié)議答案：D解析：協(xié)議A是承載協(xié)議，GRE是封裝協(xié)議79.在TCP連接的三次握手過程中,第一步是由發(fā)起端發(fā)送A、SYN包B、SCK包C、UDP包D、NULL包答案：A80.如圖所示網(wǎng)絡環(huán)境中，在RTA上執(zhí)行如下NAT配置：

[RTA]aclnumber2000.[RTA-acl-basic-2000]rule0permitsource55.[RTA-acl-basic-2000]nataddress-group111[RTA]interfaceEthernet0/1[RTA-Ethernet0/1]natoutbound2000address-group1配置后，Client_A和Client_B都在訪問Server，則此時RTA的NAT表可能為______。A、ProtocolGlobalAddrPortInsideAddrPortDestAddrPort

111228910241024

VPN:0,status:NOPAT,TTL:00:01:00,Left:00:00:59

1112288512512

VPN:0,status:11,TTL:00:01:00,Left:00:00:51B、ProtocolGlobalAddrPortInsideAddrPortDestAddrPort

111228910241024

VPN:0,status:11,TTL:00:01:00,Left:00:00:59

1212288512512

VPN:0,status:11,TTL:00:01:00,Left:00:00:51C、ProtocolGlobalAddrPortInsideAddrPortDestAddrPort

121228910241024

VPN:0,status:11,TTL:00:01:00,Left:00:00:59

1112288512512

VPN:0,status:11,TTL:00:01:00,Left:00:00:51D、ProtocolGlobalAddrPortInsideAddrPortDestAddrPort

111228910241024

VPN:0,status:11,TTL:00:01:00,Left:00:00:59

1112288512512

VPN:0,status:11,TTL:00:01:00,Left:00:00:51答案：D解析：Napt且地址池只分配了一個地址81.下列關于加密和解密的說法,正確的是A、將密文解碼為明文的過程稱之為解密,它是加密的相反過程B、加密和解密是互逆的兩個過程,因此加解密的密鑰需要相同C、一般來講,加密比解密要消耗更多的設備性能D、密碼算法的安全性不僅和密鑰相關,也和加解密算法相關,因此算法不能公開答案：A82.包過濾ACL進行如下配置:

Aclbasic2000match-orderconfig

Rulepermitsource55.A、源地址0目的地址0的報文被丟棄B、源地址目的地址的報文被丟棄C、源地址0目的地址的報文允許通過D、源地址目的地址的報文允許通過答案：D83.下面關于OSI參考模型各層功能的說法錯誤的是______。A、物理層涉及在通信信道（Channel）上傳輸?shù)脑急忍亓?，它定義了傳輸數(shù)據(jù)所需要的機械、電氣功能

及規(guī)程等特性。B、網(wǎng)絡層決定傳輸報文的最佳路由，其關鍵問題是確定數(shù)據(jù)包從源端到目的端如何選擇路由。C、傳輸層的基本功能是建立、維護虛電路，進行差錯校驗和流量控制。D、會話層負責數(shù)據(jù)格式處理、數(shù)據(jù)加密等。E、應用層負責為應用程序提供網(wǎng)絡服務。答案：D解析：應用層為應用進程提供網(wǎng)絡服務

表示層定義數(shù)據(jù)格式與結(jié)構(gòu)、協(xié)商上層數(shù)據(jù)格式、數(shù)據(jù)加密壓縮

會話層主機間通信，建立、維護、終結(jié)應用程序間會話，文字處理、郵件、表格

傳輸層分段上層數(shù)據(jù)，端到端連接，透明可靠傳輸，差錯校驗、重傳，流量控制

網(wǎng)絡層編址，路由，擁塞控制，異種網(wǎng)絡互連數(shù)據(jù)鏈路層編幀、鏈路建立/維持/釋放，流量控制，差錯校驗，尋址，標識上層數(shù)據(jù)

物理層電壓，接口，線纜，傳輸距離等物理參數(shù)。四大特性：機械、電器、功能、規(guī)

程84.標準GRE頭中必選字段包括有A、ProtocolTypeB、checksumtpaeC、KeyFieldD、SequenceNumber答案：A85.L2TP數(shù)據(jù)報文以報文的形式發(fā)送,注冊的端口號為A、UDP,1700B、TCР,1700C、TCP,1701D、UDP,1701答案：D86.以下哪些配置可以實現(xiàn)telnet用戶的AAA認證A、[Device-line-console0]authentication-modeschemeB、[Device-line-vty0-63]authentication-modeschemeC、[Device-line-vty0-63]authentication-modenoneD、[Device-line-vty0-63]authentication-modelocal答案：B87.現(xiàn)在各種P2P應用軟件層出不窮,P2P流量的識別也必須采用多種方法寫作進行,以上說法是A、正確B、錯誤答案：A88.使用防火墻Web過濾功能,可以組織或者允許內(nèi)部用戶訪問某些特定網(wǎng)頁A、正確B、錯誤答案：A89.IPSec的加密和認證過程中所使用的密鑰可以由()協(xié)議來自動生成和分發(fā)A、ESPB、IKEC、SPID、AH答案：B90.ping實際上是基于______協(xié)議開發(fā)的應用程序。A、ICMPB、IPC、TCPD、UDP答案：A解析：Ping功能是基于ICMP協(xié)議來實現(xiàn)的：源端向目的端發(fā)送ICMP回顯請求（ECHO-REQUEST）報文后，根據(jù)是否收到目的端的ICMP回顯應答（ECHO-REPLY）報文來判斷目的端是否可達，對于可達的目的端，再根據(jù)發(fā)送報文個數(shù)、接收到響應報文個數(shù)來判斷鏈路的質(zhì)量，根據(jù)ping報文的往返時間來判斷源端與目的端之間的“距離”。91.SecPath防火墻缺省開啟黑名單功能。A、正確B、錯誤答案：B92.關于VPN，下述哪個說法是不正確的?A、包轉(zhuǎn)發(fā)是VPN網(wǎng)關的關鍵性能指標;B、接口數(shù)是VPN網(wǎng)關的關鍵性能指標;C、加密吞吐量是VPN網(wǎng)關的關鍵性能指標;D、最大并發(fā)隧道數(shù)是VPN網(wǎng)關的關鍵性能指標。答案：A93.UDP屬于OSI參考模型的______。A、網(wǎng)絡層B、傳輸層C、會話層D、表示層答案：B94.H3CUTM從高優(yōu)先級域到低優(yōu)先級域是允許訪問的,但是反之不行,上述說法:A、正確B、錯誤答案：A95.SMTP協(xié)議使用的端口號是A、21B、25C、110D、22答案：B96.IP協(xié)議對應于OSI參考模型的第______層。A、5.B、3.C、2.D、1答案：B解析：

應用層協(xié)議：見T13.傳輸層協(xié)議：TCP(6)UDP(17)

網(wǎng)絡層協(xié)議：IP,ICMP（ICMP消息可分為ICMP差錯消息和ICMP查詢消息）,IGMP（互聯(lián)網(wǎng)組管理協(xié)議，負責管理組播組）網(wǎng)絡接口層協(xié)議：以太網(wǎng)、令牌環(huán)，HDLC,PPP,X.25,幀中繼,PSTN,ISDN等97.IP地址10是______地址。A、類B、類C、類D、類答案：C98.源主機ping目的設備時，如果網(wǎng)絡工作正常，則目的設備在接收到該報文后，將會向源主機回應

ICMP______報文。A、EchoRequestB、EchoReplyC、TTL-ExceededD、Port-Unreachable答案：B解析：

EchoRequest

————————————————————————————>

EchoReply（正常）

<————————————————————————————

TTL-Exceeded/Port-Unreachable（超時/目的地址不可達）99.兩臺空配置的MSR路由器通過圖示的方式連接，通過配置IP地址，兩臺路由器的GE0/0接口可以互通。

如今分別在兩臺路由器上增加如下配置：

RTA：

[RTA]ospf

[RTA-ospf-1]area0.[RTA-ospf-1-area-]network.[RTA-GigabitEthernet0/0]ospfdr-priority2.RTB：

[RTB]ospf[RTB-ospf-1]area0.[RTB-ospf-1-area-]network.[RTB-GigabitEthernet0/0]ospfdr-priority

那么在OSPF鄰居狀態(tài)穩(wěn)定后，______。A、OSPF接口優(yōu)先級相同，在/30網(wǎng)段上不進行OSPFDR選舉B、兩臺路由器中，一臺為DR，一臺為BDRC、兩臺路由器中，一臺為DR，一臺為DRotherD、兩臺路由器的鄰居狀態(tài)分別為FULL、2-Way答案：B解析：[接口]ospfdr-priority（0-255）修改接口優(yōu)先級，默認為1，優(yōu)先級為0的不參與選舉只有廣播網(wǎng)，NBMA網(wǎng)絡中才有DB,BDR選舉，千兆以太口默認接口類型廣播

修改ospf網(wǎng)絡類型：[接口]ospfnetwork-type（）DR,BDR的選舉是針對接口、網(wǎng)段而言的的，并非該RT是DR,BDR。通過比較接口優(yōu)先級（越大越優(yōu)），一樣則比較routerid（越大越優(yōu)）DRother之間另據(jù)狀態(tài)停留在2-way100.NAT技術(shù)可以隱藏私網(wǎng)的網(wǎng)絡結(jié)構(gòu)防止外部攻擊源對內(nèi)部服務器的攻擊。上述說法是A、正確B、錯誤答案：A101.H3C防火墻的安全域有優(yōu)先級概念。上述說法是否正確。A、正確B、錯誤答案：A102.下面哪個不是VPN技術(shù)中用到的加密算法A、DESB、3DESC、AESD、RIP/RIP2.答案：D103.提供端到端可靠數(shù)據(jù)傳輸和流量控制的是OSI參考模型的______。A、表示層B、網(wǎng)絡層C、傳輸層D、會話層答案：C104.DNS工作于OSI參考模型的______。A、網(wǎng)絡層B、傳輸層C、會話層D、應用層答案：D105.下面哪個說法是錯誤的？A、VPN可以專線線路的備份,但是缺點在于組網(wǎng)復雜,而且價格昂貴B、相對于PSTN撥號接入,VPN接入方式可以提供更高的性能,而且安全性高C、防火墻的一個功能特性是防止某些基于2層/3層網(wǎng)絡協(xié)議的網(wǎng)絡層攻擊D、防火墻可以提供路由交換、地址轉(zhuǎn)換(NAT)、身份認證等多種功能答案：A106.安全概念在所屬的各個領域有著不同的含義,那么網(wǎng)絡安全應屬于A、經(jīng)濟安全領域B、信息安全領域C、生成安全領域D、國家安全領域答案：B107.下列那一項沒有涉及到密碼技術(shù)A、SSHB、SSLC、GRED、IPSec/IKE答案：C108.在企業(yè)的內(nèi)部信息平臺中,存在的信息泄露的途徑包括:A、可移動存儲介質(zhì)B、打印機C、內(nèi)部網(wǎng)絡共享D、公司對外的FTP服務器答案：A109.SPX屬于OSI參考模型的______。A、網(wǎng)絡層B、傳輸層C、會話層D、表示層答案：B解析：傳輸層協(xié)議有TCP/IP協(xié)議族的TCP/UDP,以及IPX/SPX協(xié)議族的SPX等110.NO-PAT方式是指直接使用接口的公網(wǎng)IP地址作為轉(zhuǎn)換后的源地址進行地址轉(zhuǎn)換上述說法是A、錯誤B、正確答案：A111.在運行了RIP的MSR路由器上看到如下路由信息：

displayiprouting-table.RoutingTable:Public

SummaryCount:2.Destination/MaskProtoPreCostNextHopInterface6.6.0/24RIP1001GE0/0.H3C技術(shù)交流QQ群13899313/8Static600GE0/0.此時路由器收到一個目的地址為的數(shù)據(jù)包，那么______。A、該數(shù)據(jù)包將優(yōu)先匹配路由表中的RIP路由，因為其掩碼最長B、該數(shù)據(jù)包將優(yōu)先匹配路由表中RIP路由，因為其優(yōu)先級高C、該數(shù)據(jù)包將優(yōu)先匹配路由表中的靜態(tài)路由，因為其花費Cost小D、該數(shù)據(jù)包將優(yōu)先匹配路由表中的靜態(tài)路由，因為其掩碼最短答案：A解析：只有優(yōu)先級最高的會被加入路由表，掩碼不同都會被加入路由表路由表查找規(guī)則1）最長匹配轉(zhuǎn)發(fā)2）非直連網(wǎng)段迭代查找3）默認路由最后匹配112.NAt的easyIP方式可以實現(xiàn)公網(wǎng)地址的復用，有效解決IPv4地址短缺的問題。上述說法是A、錯誤B、正確答案：A113.IP地址2和掩碼24代表的是一個______。A、主機地址B、網(wǎng)絡地址C、廣播地址D、以上都不對答案：B解析：01000055.11100000.114.FTP默認使用的控制協(xié)議端口是______。A、20.B、21C、23.D、22.答案：B解析：ftp數(shù)據(jù)連接ftp控制連接telnetssh115.OSI參考模型物理層的主要功能是______。A、物理地址定義B、建立端到端連接C、在終端設備間傳送比特流，定義了電壓、接口、電纜標準和傳輸距離等D、將數(shù)據(jù)從某一端主機傳送到另一端主機答案：C116.下列算法中,既可以用于加密,也可以用于簽名的是A、ESB、DESC、RSAD、SA答案：C117.下面有關L2TP配置說法正確的有;A、可以配置完整的用戶名或者特定的域名作為觸發(fā)L2TP發(fā)起連接的條件B、當使用ippool命令給對端分配地址時,應確保ippool地址池里的地址和虛模板接口地址在同一網(wǎng)段內(nèi)C、當L2TPgroup組號為0,且不指定通道對端名remote-name時,發(fā)起L2TP連接時,忽略對端用戶名D、L2TP默認配置情況下啟用了隧道驗證,且驗證密碼為空答案：C118.如下NAT命令及其作用對應關系正確的是?A、displaynatsession顯示NAT會話B、displaynatentry顯示地址條目C、displaynat顯示所有NAT配置D、isplaynattable顯示地址表答案：A解析：displaynatsession命令用來顯示NAT會話，即經(jīng)過NAT地址轉(zhuǎn)換處理的會話。

Displaynatall命令用來顯示所有的NAT配置信息。C錯

BD命令沒有找到119.IP地址10是______地址。A、類B、類C、類D、類答案：C120.配置交換機SWA的橋優(yōu)先級為0的命令為______。A、[SWA]stppriority0.B、[SWA-Ethernet1/0/1]stppriority0.C、[SWA]stprootpriority0.D、[SWA-Ethernet1/0/1]stprootpriority0.答案：A121.以下關于DoS攻擊的描述,正確的是?A、攻擊者通過后門程序來入受攻擊的系統(tǒng)B、攻擊者以竊取目標系統(tǒng)上的機密信息為目的C、攻擊行為會導致目標系統(tǒng)無法處理正常用戶的請求D、如果目標系統(tǒng)沒有漏洞,遠程攻擊就不可能成功答案：C122.H3C防火墻安全策略規(guī)則中，若引用DPI業(yè)務時，規(guī)則的動作需配置為允許，以上說法是否正確？A、正確B、錯誤答案：A123.AAA授權(quán)包括以下哪些？A、本地授權(quán)B、遠程授權(quán)C、不授權(quán)答案：A124.ACG1000的DFI主要用來識別應用的靜態(tài)報文特征A、正確B、錯誤答案：B解析：DPI主要用來識別應用的動態(tài)流量特征125.NAT的EasyIP方式可以實現(xiàn)公網(wǎng)地址的復用,有效解決1PV4地址短缺問題。A、正確B、錯誤答案：B126.L2TP數(shù)據(jù)報文以（）報文的形式發(fā)送，注冊得端口號為（）A、UDP1701B、TCP1701C、UDP1700.D、TCP1700.答案：A127.對于H3C防火墻來說，如果不將物理接口添加到某一安全域中，則該接口不能正常收發(fā)報文A、錯誤B、正確答案：B128.ESP報文格式如下圖所示,關于ESP描述正確的有A、SPI字段可以唯標識這個數(shù)據(jù)包的IPSecSAB、ESP協(xié)議報文用IP報文協(xié)議號51表示C、根據(jù)特定加密算法的要求,可以在Padding字段增加填充位D、驗證字段(AuthenticationData)對于ESP來說是必選字段答案：A129.用______命令可指定下次啟動使用的操作系統(tǒng)軟件。A、startupB、oot-loaderC、bootfileD、bootstartup答案：B130.在Windows操作系統(tǒng)中，哪一條命令能夠顯示ARP表項信息？A、displayarpB、arp–aC、arp–dD、showarp答案：B解析：arp–d刪除arp表項

Arp–sIPMAC——MAC靜態(tài)綁定arp131.在下列哪種密碼應用中,我們是使用公鑰加密、私鑰解密?A、非對稱密碼B、對稱密碼C、數(shù)字簽名D、H交換答案：A132.IPS(入侵防御系統(tǒng))是一種基（）的產(chǎn)品,它對攻擊識別是基于（）匹配的A、應用層,特征庫B、網(wǎng)絡層,協(xié)議C、應用層,協(xié)議D、網(wǎng)絡層,特征庫答案：A133.在IKE協(xié)商模式中，哪種模式適合用于分支機構(gòu)采用ADSL撥號與總部IPSec連接A、野蠻模式B、主模式C、傳輸模式D、隧道模式答案：A134.H3C負載均衡交換機提供了全面的健康檢測算法,負載均衡調(diào)度算法以及會話保持功能,可以根據(jù)應用場景進

行靈活的選擇,從而達到最優(yōu)的負載均衡效果,下面關于H3C負載均衡交換機描述不正確的是:A、可以提供基于源地址/端口,HITTP頭信息,SSLID,HTTPCookie信息的會話保持B、負戴均衡調(diào)度功能和會話保持功能不能同時啟動C、可以提供基于ICMP,TCP,HTTP,VFTP,QSSL92DNS等健康檢測算法;D、可以提供基于輪詢,最小連接,最小響應時間,加權(quán)方式,源/目的地址Hash等負載均衡調(diào)度算法。答案：B135.AAA(Authentication、Authorization、Accounting,認證、授權(quán)、計費)是網(wǎng)絡安全的一種管理機制,提供了

認證、授權(quán)、計費三種安全功能。A、正確B、錯誤答案：A136.防火墻具有隱藏私網(wǎng)內(nèi)部網(wǎng)絡結(jié)構(gòu),防止外部攻擊源對內(nèi)部服務器的攻擊行為的技術(shù),稱之為A、地址過濾;B、NATC、反轉(zhuǎn)D、IP欺騙答案：B137.防范SYINFlood攻擊的常見手段是連接限制技術(shù)和連接代理技術(shù),其中連接代理技術(shù)是指對TCP連接速率進

行檢測,通過設置檢查閾值來發(fā)見并阻斷攻擊流里,上述說法是A、錯誤B、正確答案：B138.以下哪些防火墻不支持SSLVPN功能?A、F1000-SB、U200-AC、V100-SD、v100-E答案：C139.TFTP采用的傳輸層知名端口號為______。A、67.B、68.C、69.D、53.答案：C解析：TCP（6）：ftp——20/21ssh——22.telnet——23.smtp——25接收郵件

Pop3——110發(fā)送郵件

DNS——53.http——80.https——443http安全版，下加入ssl層

UDP(17)：DNS——53.Bootp——67服務器/68客戶端（就是dhcp，dhcp基于bootp發(fā)展而來）

Tftp——69.Snmp——161/162服務器監(jiān)聽的端口號161，客戶端監(jiān)聽端口號140.DES是最著名的對稱密碼算法,其屬于分組密碼,明文分組的位數(shù)為A、64B、56C、128D、256答案：A141.如何防范Smurf攻擊?A、檢查ICMP請求報文的目的地址是否為子網(wǎng)地址，是則丟棄B、檢查ICMP請求報文的源地址是否為子網(wǎng)地址，是則丟棄C、檢查ICMP請求報文的目的地址是否為應播地址，是則丟棄D、檢查ICMP請求報文的源地址是否為廣播地址，是則丟棄答案：C142.在UDP端口掃描中，對主機端口是否開放的判斷依據(jù)是A、根據(jù)被掃描主機開放端口放回的信息判斷B、根據(jù)被掃描主機關閉端口返回的信息判斷C、既不根據(jù)A也不根據(jù)BD、綜合考慮A和B的情況進行判斷答案：A143.下列攻擊手段中，不屬于單包攻擊的是（）A、UDPflood攻擊B、WinNukeC、Land攻擊D、Smurf攻擊答案：A144.SSL協(xié)議向()提供端到端的、有連接的加密傳輸服務A、傳輸層B、應用層C、網(wǎng)絡層D、數(shù)據(jù)鏈路層答案：B145.AH和ESP的協(xié)議號分別是:A、51,50.B、50,51C、17,47.D、47,17.答案：A146.黑名單表項可以手工添加,也可以有防火墻動態(tài)生成,上述說法是:A、正確B、錯誤答案：A147.工作數(shù)字簽名算法和哈希函數(shù)的關系是A、都是用來簽名的算法B、都是用來進行加密的算法C、哈希函數(shù)濟生消息摘要,而數(shù)字簽名算法對消息摘要進行加密D、數(shù)字簽名對消息進行簽名,然后由哈希函數(shù)產(chǎn)生摘答案：C148.下列關于L2TP的說法正確的有:A、用戶的遠程系統(tǒng)可以通過一個遠程接入方式接入到運營商的LAC中,由LAC對LNS發(fā)起L2tp隧道并建立會話B、當用戶的遠程系統(tǒng)使用VPDN客戶端軟件對LNS發(fā)起L2tp隧道并建立會話時,隧道直接建立在客戶端和LNS之間,此時L2tp系統(tǒng)不存在LACC、L2tp隧道存在于一對LAC與LNS之間。一個隧道內(nèi)包括一個控制連接(ControlConnection）一個隧道內(nèi)只支持一個會話D、L2tp是面向連接的,可以為其傳送的信息提供一定的可靠性。LAC維護遠程系統(tǒng)對其發(fā)起的呼叫狀態(tài)和信息。一對LAC和LNS也同時維護在兩者之間的相應信息和狀態(tài)答案：D149.在網(wǎng)絡層上實現(xiàn)網(wǎng)絡互連的設備是______。A、路由器B、交換機C、集線器D、中繼器答案：A解析：路由器和三層交換機150.下列關于對防火墻的功能描述,不正確的是A、防火墻能夠執(zhí)行安全策略B、防火墻能夠產(chǎn)生審計日志C、防火墻能夠限制組織安全狀況的暴露D、防火墻能夠防病毒答案：D151.防火墻具有隱私內(nèi)網(wǎng)網(wǎng)絡結(jié)構(gòu)，防止外部攻擊源對內(nèi)部服務器的攻擊行為，稱之為（）A、攻擊防范B、包過濾C、NATD、地址過濾答案：C152.SSLVPN主要可以解決:A、適應各種網(wǎng)絡條件下的安全接入B、無法忍受VPN客戶端損壞和網(wǎng)關配置修改后不能訪問C、細粒度訪問控制D、以上全是答案：D153.在防火墻應用中,一臺需要與互聯(lián)網(wǎng)通信的Web服務器放置在以下哪個區(qū)域時最安全?A、DMZ區(qū)域B、Trust區(qū)域C、Local區(qū)域D、Untrust區(qū)域答案：A154.100BASE-TX的標準物理介質(zhì)是______。A、粗同軸電纜B、細同軸電纜C、3類雙絞線D、5類雙絞線E、光纖答案：D解析：100BASE-TX2對五類雙絞線

100BASE-FX多模光纖

100BASE-T44對三類雙絞線

1000BASE-SX多模光纖

LX單模多選題1.如下哪種路由協(xié)議只關心到達目的網(wǎng)段的距離和方向？A、IGPB、OSPFC、RIPv1D、RIPv2.答案：CD2.客戶的網(wǎng)絡連接形如：

HostAGE0/0--MSR-1--S1/0WANS1/0--MSR-2--GE0/0HostB

兩臺MSR路由器通過廣域網(wǎng)實現(xiàn)互連，目前物理連接已經(jīng)正常。MSR-1的接口S1/0地址為/30，

MSR-2的接口S1/0地址為/30，現(xiàn)在在MSR-1上配置了如下三條靜態(tài)路由：

Iproute-static.

Iproute-static.

Iproute-static.

其中/22子網(wǎng)是主機HostB所在的局域網(wǎng)段。那么如下描述哪些是正確的？A、這三條路由都會被寫入MSR-1的路由表B、只有第三條路由會被寫入MSR-1的路由表C、這三條路由可以被一條路由iproute-static代替D、只有第一條路由會被寫入MSR-1的路由表答案：AC解析：第三條注意掩碼24位，不能代替前兩條3.用戶AAA授權(quán)方式包括什么？A、管理員授權(quán)B、遠端授權(quán)C、本地授權(quán)D、不授權(quán)答案：BCD4.以下哪些配置授權(quán)給用戶SSLVPN的登陸權(quán)限？A、[device-luser-manage-test]service-typesslvpnB、[device-luser-network-test]service-typesslvpnC、[device]local-usertestclassmansgeD、[device]local-usertestclassnetwork答案：BC5.哪些不屬于AAAA、CLB、Access答案：AB6.SSLVPN同IPSec相比的優(yōu)勢是A、采用B/S架構(gòu),不需要進行客戶端的安裝和維護;B、可以進一步控制VPN內(nèi)數(shù)據(jù)的訪問,進行細粒度訪問控制C、可以定制登錄界面,實現(xiàn)個性化配置;D、實現(xiàn)數(shù)據(jù)加密答案：ABC7.常見的行為識別技術(shù)包括:A、基于端口的識別,主要應用子使用固定端口進行通信的引用,例如,HTTP、FTPB、基于行為特征的識別,主要是基于部分應用的數(shù)據(jù)流里和其它流量在行為特征上的差異來進行C、IP地址的識,,至要是對某些使用固定IP地址的業(yè)務進行識別D、基于負載信息的識別,主要是基于部分協(xié)議在負載中含有,議特征字符串來完成識別答案：ABD解析：共三種，基于端口、基于行為特征、基于負載信息8.NAT的實現(xiàn)方式包括A、easyIP方式B、Natserver方式C、PAT方式D、no-pat方式答案：ABCD9.IPSec支持哪些密鑰協(xié)商？A、DPD方式B、IKE自動協(xié)商方式C、模板方式D、手工配置方式答案：BD10.衡量VPN的性能,主要有以下哪些指標?A、最大并發(fā)連接數(shù)B、加密性能C、每秒新建連接數(shù)D、最大并發(fā)隧道數(shù)答案：ABCD11.H3CACG的帶寬管理功能，可以對通過設備的流量實現(xiàn)基于精細化的管理和控制。A、用戶／用戶組B、源／目的IP地址C、MAC地址D、服務E、時間F、應用/應用組答案：AE12.下列關于衡量防火墻的性能指標說法正確的有A、并發(fā)連接數(shù)是指每秒鐘防火墻能夠處理的新建連接的數(shù)量B、時延是數(shù)據(jù)包進入防火墻到從防火墻輸出的時間間隔C、新建連接數(shù)是指每秒鐘防火墻能夠同時處理的連接總數(shù)D、吞吐量需要對不同大小的數(shù)據(jù)包。不同方向的流量等進行測試答案：ABCD13.客戶路由器的接口GigabitEthernet0/0下連接了局域網(wǎng)主機HostA，其IP地址為/24；接口Serial6/0接口連接遠端，目前運行正?！，F(xiàn)增加ACL配置如下：

Firewallenable

Firewalldefaultpermit

Aclnumber3003.rule0permittcp

Rule5permiticmp

AerfaceGigabitEthernet0/0.firewallpacket-filter3003inbound

Firewallpacket-filter2003outbound

IerfaceSerial6/0.link-protocolppp

Ipaddress.假設其他相關配置都正確，那么______。A、HostA不能ping通該路由器上的兩個接口地址B、HostA不能ping通，但是可以ping通C、HostA不能ping通，但是可以ping通.D、HostA可以Telnet到該路由器上答案：CD解析：ACL實際上起限制作用的只有2003.3003，允許tcpicmp，默認允許無意義

注意：拒絕掉的是源地址/24的所有報文，包括icmp的echo，echo-reply等

用在的是G0/0接口的outbound方向，當Aping網(wǎng)關時，網(wǎng)關返回的icmpechoreply報文被deny如果用在G0/0inbound方向，Aping網(wǎng)關時，發(fā)送的icmpecho報文被deny

Ping同理14.OSI參考模型具有以下哪些優(yōu)點？A、OSI參考模型提供了設備間的兼容性和標準接口，促進了標準化工作。B、OSI參考模型的一個重要特性是其采用了分層體系結(jié)構(gòu)。分層設計方法可以將龐大而復雜的問題轉(zhuǎn)化為

若干較小且易于處理的問題。C、OSI參考模型是對發(fā)生在網(wǎng)絡設備間的信息傳輸過程的一種理論化描述，并且定義了如何通過硬件和軟

件實現(xiàn)每一層功能。D、以上說法均不正確。答案：AB15.H3c防火墻缺省的安全域包括A、DMZLB、ManagementC、untrustD、localE、trust答案：ABCDE16.下面那些不屬于AAA認證A、授權(quán)（authorzation）B、控制（ACL）C、認證（authentication）D、接入（Access）答案：BD17.下列攻擊中,屬于Dos拒絕服務玫擊的是:A、SYNFloodB、ICMPFloedC、WinNuke攻擊D、UDPFlood答案：ABD18.對于分組交換方式的理解，下列說法中正確的是______。A、分組交換是一種基于直通轉(zhuǎn)發(fā)（cut-throughswitching）的交換方式B、傳輸?shù)男畔⒈粍澐譃橐欢ㄩL度的分組，以分組為單位進行轉(zhuǎn)發(fā)C、分組交換包括基于幀的分組交換和基于信元的分組交換D、每個分組都載有接收方和發(fā)送方的地址標識，分組可以不需要任何操作而直接轉(zhuǎn)發(fā)，從而提高了效率答案：BC19.OSI參考模型具有以下哪些優(yōu)點？A、OSI參考模型提供了設備間的兼容性和標準接口，促進了標準化工作。B、OSI參考模型是對發(fā)生在網(wǎng)絡設備間的信息傳輸過程的一種理論化描述，并且定義了如何通過硬件和軟件實現(xiàn)每一層功能。C、OSI參考模型的一個重要特性是其采用了分層體系結(jié)構(gòu)。分層設計方法可以將龐大而復雜的問題轉(zhuǎn)化為若干較小且易于處理的問題。D、以上說法均不正確。答案：AC20.下述哪些是典型的VPN部署模式?A、分支機構(gòu)與總部連接B、移動用戶接入總部網(wǎng)絡C、作為域線路的備份線路D、局域網(wǎng)內(nèi)建立加密通道答案：ABCD21.當出現(xiàn)大量VPN需求時，可以引導那些產(chǎn)品？A、SecPath系列防火墻B、SecPath系列VPNC、H3CIPSD、SR系列路由器答案：ABC22.下面那個用戶可能存在VPN應用需求?A、某大型網(wǎng)吧,提供高達千北的Intermet接入以及多達臺的主機,需要對上網(wǎng)用戶進行有效的計費,對用戶上網(wǎng)

行為進行有效的管理;B、大型制造企業(yè),內(nèi)部建設覆蓋整個廠區(qū)的局域網(wǎng),有統(tǒng)一的intemet出口,企業(yè)內(nèi)部已經(jīng)啟動ERP,系統(tǒng),應用

完善,每天有大量的銷售人員出差C、大型連鎖機構(gòu),某品牌汽車4S店,總部設在上海,在全國省會額以上城市都有連鎖店面,每天銷售數(shù)據(jù)和財務

信息需要向總部匯總;D、某省級政府機構(gòu),在全省縣級以及縣級以上分布有專屬分支機構(gòu),已經(jīng)通過,線相互連接,正在考慮一種經(jīng)濟

有效的方式實現(xiàn)專線線路備份。答案：BCD23.信息安全策略是特定應用環(huán)境中,為確保一定級別的安全保護所必須遵守的規(guī)則。而安全策略建立模型主要

包括A、先進的技術(shù)B、相關法律法規(guī)C、管理審計制度D、先例與經(jīng)驗答案：ABC24.在如圖所示的交換網(wǎng)絡中，所有交換機都啟用了STP協(xié)議。SWA被選為了根橋。根據(jù)圖中的信息來看，

_______端口應該被置為Blocking狀態(tài)。A、SWC的P1B、SWC的P2.C、SWD的P1D、SWD的P2.E、信息不足，無法判斷答案：BD解析：橋ID：橋優(yōu)先級.MAC地址4096倍數(shù)最大65535默認32768.根橋選舉：線比較橋優(yōu)先級，在比較MAC地址，越小越優(yōu)先25.證書注冊中心在收到用戶的證書注冊請求后,需要對注冊用戶進行驗證,其驗證的主要信息有A、確認注冊用戶有中請證書的權(quán)利B、確認注冊用白擁有和證書請求相對應的私鑰C、確認證書用戶的身份信息正確D、確認注冊用戶是否曾注冊過證書答案：BC26.關于H3C防火墻的命令視圖，以下說法正確的是A、在接口視圖下可以通過portlink-mode命令切換二三層模式B、配置路由應在系統(tǒng)視圖下C、用戶登錄設備后，直接進入用戶視圖D、在用戶視圖下輸入systemview命令進入系統(tǒng)視圖答案：ABD27.關于H3CNGFW安全區(qū)域說法正確的是A、防火墻默認有五個安全區(qū)域：Management、Local、Trust、Untrust、DMZB、防火墻自身所有接口都屬于Local區(qū)域C、非管理接口必須加入業(yè)務安全區(qū)域才能轉(zhuǎn)發(fā)數(shù)據(jù)D、處于同一區(qū)域內(nèi)的接口數(shù)據(jù)默認無法互通答案：ABCD28.下列關于證書機構(gòu)的說法中,正確的是A、證書注冊中心(RA)負責證書的生成工作B、數(shù)字證書的生成和維護過程中一般需要證書授權(quán)中心和證書注冊中心兩個機構(gòu)C、證書授權(quán)中心(CA)負責證書的生成工作D、證書授權(quán)中心按照層次結(jié)構(gòu)進行答案：BCD29.ACL(訪問控制列表)的類型包括哪些A、基本ACLB、高級ACLC、二層ACLD、基于時間段的包過濾答案：ABC30.客戶的兩臺路由器通過V.35電纜背靠背連接在一起，其中一臺路由器上有如下接口信息：

[MSR-Serial0/0]displayinterfaceSerial0/0.Serial0/0currentstate:UP

Lineprotocolcurrentstate:UP

Description:Serial6/0Interface

TheMaximumTransmitUnitis1500,Holdtimeris10(sec)

InternetAddressis/30Primary

LinklayerprotocolisPPP

LCPopened,IPCPopened

從上述信息可以得知______。A、這臺路由器已經(jīng)和遠端設備完成了PPP協(xié)商，并成功建立了PPP鏈路B、這臺路由器和遠端設備之間成功完成了PPPPAP或者CHAP的驗證驗證可選項，題中無法看出是否設

有驗證、是否通過C、在這臺路由器上已經(jīng)可以ping通對端的地址了無法判斷是否通過了驗證，所以對端地址也不一

定可以ping通D、該接口信息提示，在該接口下還可以配置第二個IP地址subordinate答案：AD31.常見的內(nèi)網(wǎng)用戶行為監(jiān)管應包括A、內(nèi)網(wǎng)Web應用的審計B、內(nèi)網(wǎng)網(wǎng)絡共享應用的審計C、內(nèi)網(wǎng)Q0MSN應用的審計D、內(nèi)網(wǎng)FTP應用的審計答案：ACD32.廣域網(wǎng)接口多種多樣，下列對于廣域網(wǎng)接口的描述正確的是______。A、V.24規(guī)程接口可以工作在同異步兩種方式下，在異步方式下，鏈路層使用PPP封裝。B、V.35規(guī)程接口可以工作在同異步兩種方式下，在異步方式下，鏈路層使用PPP封裝。C、BRI/PRI接口用于ISDN接入，默認的鏈路封裝是PPPD、G703接口提供高速數(shù)據(jù)同步通信服務。答案：ACD33.用戶AAA計費方式包括A、按流量計費B、本地計費C、遠端計費D、不計費答案：BCD解析：認證:確認訪問網(wǎng)絡的遠程用戶的身份,判斷訪問者是否為合法的網(wǎng)絡用戶。

授權(quán):對不同用戶賦予不同的權(quán)限,限制用戶可以使用的服務。例如,管理員授權(quán)辦公用戶才能對服務器中的文件進行訪問和打印操作,而其它臨時訪客不具備此權(quán)限。

計費:記錄用戶使用網(wǎng)絡服務過程中的所有操作,包括使用的服務類型、起始時間、數(shù)據(jù)流里等,用于收集和記錄用戶對網(wǎng)絡資源的使用情況,并可以實現(xiàn)針對時間,流里的計費需求,也對網(wǎng)絡起到監(jiān)視作用。34.H3CSecPath防火墻中,配置IP地址資源的方式有哪些?A、主機地址B、范圍地址-C、子網(wǎng)地址D、網(wǎng)站域名答案：ABCD35.3C防火墻缺省的安全域包括A、TrustB、UntrustC、LocalD、MZ答案：ABCD36.IPsec的有點有A、抗DDoS（disributeddenyofsevice）B、身份驗證（dataauthentication）C、參數(shù)完整性（dataintegrity）D、數(shù)據(jù)機密性（Confidenttiality）答案：BCD37.IIS(InternetSecuritySystems)公司提出的PDR安全模型包括哪三個方面?A、響應B、設計C、保護D、檢測答案：ACD38.IPsec的優(yōu)點有A、數(shù)據(jù)完整性(Dataintergrity）B、數(shù)據(jù)機密性(Conidentiality)C、身份驗證(DataAuthentication)D、抗DDos（DistributedDenyofService）答案：ABC39.根據(jù)加密時對明文消息是否分組,密鑰體制可以分為A、私鑰密碼體制B、序列密碼C、公鑰密碼體制D、分組密碼答案：BD40.IPSec是在IETF制定的保證在IP網(wǎng)絡上傳送數(shù)據(jù)的安全保密性的三層安全協(xié)議體。IPSec協(xié)議族包含A、PPPB、ESPC、AHD、PKL答案：BC41.一個完整的SSLVPN全握手過程包括:A、協(xié)商SSL協(xié)議版B、協(xié)商加密套C、協(xié)商密鑰參數(shù)D、通信雙方的身份E、建立SSL連接答案：ABCDE42.信息對抗主要的研究方向包括:A、黑客攻擊防范B、入侵檢測C、系統(tǒng)安全性分析與評估D、信息隱藏算法與匿名技術(shù)答案：ABC43.關于H3C防火墻的特征庫功能說法正確的有A、不支持特征庫回滾B、升級特征庫需要license授權(quán)C、支持自定義特征D、不支持自動更新特征庫答案：BC44.關于H3C防火墻License,以下說法正確的是A、正式License過期后不能卸載。壓縮License存儲區(qū)可以釋放License存儲空間。

執(zhí)行壓縮操作時.系統(tǒng)會自動將已經(jīng)過期的或者卸載的License信息刪除，并修改DID.B、設備出現(xiàn)硬件故障后,可以將臨時License遷移至其他設備繼續(xù)使用。C、激活License時，必須提供設備的DID文件D、License的有效期分為永久(Permanent)和絕對時間(Daterestricted)兩種，根據(jù)發(fā)布渠道不同分為臨時的(Trial和正式的(Formal)答案：ACD45.H3CSecPath設備中,ACL主要應用于A、Qos中,對數(shù)據(jù)流里進行分類B、IPSec中用來規(guī)定觸發(fā)建立IPSec的條件C、NAT中,限制哪些地址需要被轉(zhuǎn)換D、域間訪問,控制不同區(qū)域間的互訪E、策略路由答案：ABCE46.H3CSSLVPN產(chǎn)品的主要功能包括:A、遠程接入B、身份認證C、聯(lián)機檢查D、權(quán)限管理E、緩存清除答案：ABCDE47.以下關于RADIUS認證說法正確的是？A、RADIUS最初僅是針對撥號用戶的AAA協(xié)議，后來隨著用戶接入方式的多樣化發(fā)展，RADIUS也被應用

于多種接入方式B、常應用在即要求較高安全性、又允許遠程用戶訪問的各種網(wǎng)絡環(huán)境中C、RADIUS認證是一種分布式的客戶端/服務器結(jié)構(gòu)的信息交互協(xié)議D、基于TCP傳輸，端口號1812、1813分別作為認證/授權(quán)、計費端口答案：ABC48.有關GRE的特點描述正確有。A、GRE不提供數(shù)據(jù)加密、身份驗證等安全功能。B、GRE協(xié)議不支持封裝組播報文。C、GRE隧道支持動態(tài)路由協(xié)議。D、GREVPN要求在隧道兩端上靜態(tài)配置隧道接口，不利于大規(guī)模部署。答案：ACD49.假如Alice和Bob使用DH算法來進行秘鑰協(xié)商，Maliory作為中間人來竊聽他們之間的通信，則以下說法中正確的是？A、中間人Maliory是通過偵聽Alice和Bob協(xié)商的共享秘鑰來實現(xiàn)攻擊目的的B、DH算法天生就容易遭受中間人攻擊C、中間人Maliory在發(fā)起中間人攻擊時，需要分別和Alice和Bob協(xié)商出不同的共享秘鑰D、H算法的安全性是基于“素因子分解難題”的答案：BC50.關于H3C防火墻的安全域，以下說法正確的有A、防火墻無安全區(qū)域優(yōu)先級的概念B、不同安全區(qū)域優(yōu)先級一定不一樣C、防火墻自身所有接口都屬于local區(qū)域D、防火墻有五個安全區(qū)域，management、local、trust、untrust、DMZ答案：BCD51.NAT轉(zhuǎn)換技術(shù)包括A、基于NAT方式，即地址一對一的轉(zhuǎn)換B、NAPT方式，即通過轉(zhuǎn)換端口實現(xiàn)地址復用C、EasyIP方式，即直接使用公網(wǎng)接口做NATD、NATServer，寄映射內(nèi)部服務器答案：ABCD52.下面關于IP地址的說法正確的是______。A、IP地址由兩部分組成：網(wǎng)絡號和主機號。B、A類IP地址的網(wǎng)絡號有8位，實際的可變位數(shù)為7位。C、D類IP地址通常作為組播地址。D、地址轉(zhuǎn)換（NAT）技術(shù)通常用于解決A類地址到C類地址的轉(zhuǎn)換。答案：ABC解析：C類地址第一個8位110起始

NAT用于私網(wǎng)地址到公網(wǎng)地址轉(zhuǎn)換，和地址類型無關53.隨著網(wǎng)絡技術(shù)的不斷發(fā)展,防火墻也在完成自己的更新?lián)Q代,防火墻所經(jīng)歷的技術(shù)演進包括有:A、包過濾防火墻B、應用代理防C、Dos防火墻D、狀態(tài)檢測防火墻答案：ABD54.GREVPN配置任務包括。A、創(chuàng)建虛擬Tunnel接口B、指定Tunnel接口的源端C、指定Tunnel接口的目的端D、設置Tunnel口的網(wǎng)絡地址答案：ABCD55.根據(jù)來源的不同，路由表中的路由通常可分為以下哪幾類？A、接口路由B、直連路由C、靜態(tài)路由D、動態(tài)路由答案：BCD56.H3CSSLVPN的權(quán)限管理體系分為:A、靜態(tài)授權(quán)B、遠程授權(quán)C、動態(tài)授權(quán)D、本地授權(quán)答案：AC57.TCP\IP協(xié)議定義了一個對等的開放性網(wǎng)絡,針對該網(wǎng)絡可能的攻擊和破壞包括A、對硬件的破壞B、對軟件的破壞C、對網(wǎng)絡層，應用層協(xié)議的破壞D、對物理傳輸線路的破壞答案：ABCD58.H3C防火墻防火墻版本升級過程中說法正確的有A、boot-loaderfile命令里必須帶system參數(shù)，表示指定該軟件包為系統(tǒng)軟件包B、可以通過FTP/TFTP將軟件版本文件上傳到本地C、執(zhí)行boot-loader命令來指定設備下次啟動時使用的版本文件D、從H3C官網(wǎng)/cn/獲取軟件版本答案：BD59.與IPSecVPN相比，SSLVPN具有哪些優(yōu)點？A、SSLVPN客戶端免安裝、免維戶，易于使用B、SSLVPN可以根據(jù)遠端主機的安全狀態(tài)實現(xiàn)動態(tài)授權(quán)C、SSLVPN有很好的網(wǎng)絡連通性D、SSLVPN可以擁有高粒度的訪問控制答案：AD60.根據(jù)由加密密鑰得到解密密鑰的算法復雜度差異,密碼體制可以分為A、私鑰密碼體制B、公鑰密碼體制C、流密碼D、分組密碼答案：AB61.下面關于OSI參考模型各層功能的說法正確的是______。A、物理層涉及在通信信道（Channel）上傳輸?shù)脑急忍亓?，它定義了傳輸數(shù)據(jù)所需要的機械、電氣功能及規(guī)程等特性。B、網(wǎng)絡層決定傳輸報文的最佳路由，其關鍵問題是確定數(shù)據(jù)包從源端到目的端如何選擇路由。C、傳輸層的基本功能是建立、維護虛電路，進行差錯校驗和流量控制。D、會話層負責數(shù)據(jù)格式處理、數(shù)據(jù)加密等。E、應用層負責為應用程序提供網(wǎng)絡服務。答案：ABCE62.IPSec協(xié)議支持哪些封裝模式A、隧道模式B、交換模式C、路由模式D、傳輸模式答案：AD63.下面哪些是H3CSecPath系列VPN產(chǎn)品的功能特點?A、支持和RSA公司動態(tài)口令卡的集成,保證口令安全B、支持IPSecVPN的NAT穿越,可以靈活組網(wǎng)C、支持DVPN(動態(tài)VPN)技術(shù),降低配置難度D、VPNmananger實現(xiàn)VPN業(yè)務集中管理答案：BCD64.下面關于GRE說法正確的是A、GRE用來封裝IP協(xié)議報文時,GRE載荷協(xié)議類型號為0x0800,B、GRE是一種在任意協(xié)議上承載任意-種其他協(xié)議的封裝協(xié)議。C、GRE報文對應IP協(xié)議號為50。D、GRE協(xié)議不僅提供了隧道封裝的方法,還提供了數(shù)據(jù)加密功能答案：AB65.H3cSecPath防火墻的默認域間訪問控制策略是A、所有區(qū)域都可以訪問local區(qū)域B、屬于同一個安全域的各個接口之間的報文可以互訪C、未劃分到安全域的接口之間的報文會被丟棄D、安全域間的報文默認丟棄，包括同域之間答案：CD66.H3C目前已經(jīng)推出一系列高性能負載均衡交換機,可以應用在網(wǎng)絡的各個節(jié)點,不面哪些交換機系列支持負載

均衡功能?A、S9500EB、S7500EC、S12500.D、S5800.答案：ABC67.H3cNGFW的特征庫包括以下哪些？A、URL分類特征庫B、ARP特征庫C、防病毒特征庫D、IPS特征庫答案：ABCD68.WLAN（WirelessLAN）是計算機網(wǎng)絡與無線通信技術(shù)相結(jié)合的產(chǎn)物。下列哪些屬于WLAN技術(shù)標準？A、802.11aB、802.11bC、802.11cD、802.11g答案：AB解析：最高傳輸速率802.112Mbps;802.11a54;802.11g54;802.11b11;802.11n300;b/g相互兼容，與a不兼容69.H3CSecpath防火墻具有那些功能，可以保證網(wǎng)絡的安全性A、訪問控制B、NAT轉(zhuǎn)換C、攻擊防范D、黑名單E、入侵防御答案：ABCD70.以下關于easyIP方式NAT配置不生效排查方法，正確的是A、檢查地址池是否正確B、檢查路由是否正常C、檢查NAT配置的接口是否下發(fā)正確D、檢查安全策略是否放通答案：ABCD71.SSLVPN有哪些接入方式?A、WEB接入B、TCP接入C、UDP接入D、IP接入答案：ABD72.利用SNCookie技術(shù)可以防范SYNFlood攻擊，關于技術(shù)原理的描述，以下說法正確的是。A、如果防火墻確認客戶端的ACK消息合法，則模擬客戶端向服務器發(fā)送一個SYN消息進行連接請求，同時

分配TCB資源記錄此連接請求的描述信息。B、防火墻的SYNCookie技術(shù)利用ACK報文攜帶的認證信息，對握手協(xié)商的ACK報文進行認證，從而避免

了防火過早分配TCB資源C、客戶端發(fā)送的SYN消息經(jīng)過防火墻時，防火墻截取該消息，并模擬服務器向客戶端回應SYNACK消息，D、客戶端收到SYN/ACK報文后向服務器發(fā)送ACK消息進行確認，防火墻截取這個消息后，提取該消息中的

ACK序列號，并再次使用客戶端信息與加密索引計算cookie，如果計算結(jié)果與ACK序列號相符，就可以

確認發(fā)起連接請求的是一個真實客戶端答案：ABCD73.SSL握手層包括哪些協(xié)議?A、告警協(xié)議B、握手協(xié)議C、密鑰改變協(xié)議D、會話保持協(xié)議答案：ABC74.ACL（訪問控制列表）的類型包括有（）A、七層ACLB、二層ACLC、高級ACLD、基本ACL答案：BCD75.關于VPN，下述哪個說法是正確的?A、包轉(zhuǎn)發(fā)率不是VPN網(wǎng)關的關鍵性能指標;B、接口數(shù)是VPN網(wǎng)關的關鍵性能指標;C、加密吞吐量是VPN網(wǎng)關的關鍵性能指標;D、最大并發(fā)隧道數(shù)是VPN網(wǎng)關的關鍵性能指標。答案：BCD76.關于H3C防火墻,下列說法正確的是A、防火墻的安全策略只能在Web頁面下配置.B、文字。C、防火境的默認登錄IP地址是D、防火墻通過WEB登錄的默認用戶名/密碼是:admin/adminE、防火墻只能通過命令行方式升級版本答案：BCD77.下列有關光纖的說法哪些是正確的？A、多模光纖可傳輸不同波長不同入射角度的光B、多模光纖的成本比單模光纖低C、采用多模光纖時，信號的最大傳輸距離比單模光纖長D、多模光纖的纖芯較細答案：AB78.當防火墻接收到包含URL參數(shù)的HTTP請求報文時,根據(jù)Web傳輸參數(shù)方式,從報文中獲取URL參數(shù),目前防火

墻支持的Web傳輸參數(shù)有:A、PUTB、GETC、PUSHD、POST答案：ABD79