个人名片:🪪
🐼作者简介:一名大三在校生,喜欢AI编程🎋
🐻❄️个人主页🥇:落798.
🐼个人WeChat:hmmwx53
🐓每日一句:🍭穿越了黑暗时刻,终将见阳光~
欢迎评论 💬点赞👍🏻 收藏 📂加关注+
文章目录
- 每日刷题30道
-
- 单选题 (共计 20 题)
-
- 1、在同一个交换机接口上,管理员只能配置对广播、未知组播、未知单播、已知组播和已知单播报文中的一种进行流量抑制。
- 2、管理员在配置交换机的端口安全功能时,同步开启了静态MAC地址漂移检测功能,若后续发生静态MAC地址漂移现象,交换机就会根据配置的动作对接口做保护处理。请将接口安全保护动作的名称和操作进行一一对应。
- 3、当交换机某端口上配置了基本QinQ功能后,只有从该端口收到带有VLAN Tag的报文,才会为该报文打上本端口缺省VLAN的Tag,从而达到扩展VLAN空间的目的。
- 4、某园区网络通过华为S系列交换机组网,管理员在网络中开启了MAC漂移检测功能,那么以下关于该功能的描述,错误的是哪一项?
- 5、如图所示,网络管理员为了抵御DHCP Server仿冒者攻击,在交换机上部署了DHCP Snooping功能,那么以下哪一个接口应该被设置为DHCP信任接口?
- 6、使能了DHCP Snooping的设备根据DHCP客户端发送的DHCP请求报文信息会生成DHCP Snooping绑定表,从而实现后续报文的匹配检查,防范非法用户的攻击。
- 7、Trap信息是系统检测到故障而产生的通知,主要记录故障等系统状态信息。如果网络管理员想要通过命令行查看Trap信息,需要首先使能SNMP代理功能。
- 8、管理员在交换机上部署流量抑制功能时,在设备的VLAN视图下,不可以对以下哪一类型的报文基于比特速率进行流量抑制?
- 9、为防止攻击者伪造BGP报文对设备进行攻击,可以通过配置GTSI功能检测IP报文头中的TTL值的范围来对设备进行保护。如果某台设备配置了"peer x.x.x.x valid-ttl-hops 100",则被检测的报文的TTL值有效范围为[155,255]。
- 10、管理员在交换机上配置了端口安全功能,并且将端口安全的保护动作设置为了restrict。那么当交换机端口上安全MAC地址数达到限制后,收到源MAC地址不存在的报文时,会执行以下哪一个动作?
- 11、如果交换机连接的用户变动比较频繁,可以通过端口安全把动态MAC地址转换为Sticky MAC地址,这样可以在用户变动时,通过表项老化及时清除绑定的旧MAC地址表项。
- 12、如图所示,SW3是网络中的用户网关及DHCP Relay,管理员准备在SW3上部署DHCP Snooping功能预防DHCP攻击。那么在SW3上不需要配置以下哪一条命令?
- 13、MAC地址表中的表项分为动态表项、静态表项和黑洞表项。同时交换机的MAC地址表中还存在一种业务类型的MAC地址表项,这类表项一般是通过动态表项转换来的。
- 14、NetEngine路由器作为DHCP server可以为同一个网段或不同网段内的客户端分配!P地址。以下哪一原因不会导致客户端无法获取IP地址?
- 15、交换机上的MAC地址表项有多种类型,其中以下哪一类型的表项可以通过四配收到的报文的源目MAC地址来进行报文丢弃,从而达到过滤非法用户的目的?
- 16、灵活QinQ功能可以根据不同的内层报文来加上不同的外层Tag,那么以下关于灵活QinQ的Tag添加情况的描述,错误的是哪一项?
- 17、如图所示,某交换网络中部署了VLAN聚合功能,其中Sub-VLAN 10和Sub-VLAN 20均加入到Super-VLAN 100中。若要实现PC1与PC2、PC1与PC3均可以互访,则以下关于L3 Switch接口类型和应该放通的VLAN的描述,正确的是哪一项?
- 18、当组网发生变化时,DHCP Snooping绑定表不会立即老化,因此需要手动清除,那么管理员可以采用以下哪一条命令清除DHSP Snooping绑定表?
- 19、当交换机配置了端口隔离功能后,缺省情况下,属于同一VLAN的不同主机无法进行二层和三层通信。
- 20、网络管理员在接入交换机上部署IPSG功能来预防IP地址欺骗攻击,那么他需要在交换机的 ________ 接口视图中使能IP报文检查功能。(若填写英文,请所有字母大写)
- 多选题 (共计 6 题)
-
- 21、设备作为SSH客户端登录其他设备,使用公钥认证登录失败,可能的原因有以下哪些项?
- 22、某企业网络通过部署MUX VLAN功能,实现控制员工和访客之间的二层互通,那么关于如图所示的场景,以下描述正确的有哪些项?
- 23、如图所示,某交换网络中部署了VLAN聚合功能,其中Sub-VLAN 10和Sub-VLAN 20均加入到Super-VLAN 100中。那么该场景中PC之间的通信情况,以下描述正确的有哪些项?
- 24、某企业网络中既部署了VLAN聚合,又部署了MUX VLAN,且交换机连接终端的接口均为Access接口。那么在如图所示的场景中,PC3可以访问以下哪些IP地址?
- 25、网络管理员在接入交换机上部署了DHCP Snooping功能,其中以下哪些方案可以用来降低攻击者恶意申请IP地址,导致DHP Server拒绝服务的影响?
- 26、IPSG能够防御IP地址欺骗攻击,那么以下关于IPSG的描述,惜误的有哪些项?
- 欢迎添加微信,加入我的核心小队,请备注来意
每日刷题30道
单选题 (共计 20 题)
1、在同一个交换机接口上,管理员只能配置对广播、未知组播、未知单播、已知组播和已知单播报文中的一种进行流量抑制。
A.正确
B.错误
【正确答案】B
【答案解析】在一般的现代交换机上,网络管理员可以同时对广播(broadcast)、未知组播(unknown multicast)、未知单播(unknown unicast)、已知组播(known multicast)和已知单播(known unicast)报文进行流量抑制。这些类型的流量抑制可以单独或者同时被应用到交换机接口上,这有助于防止交换机接口被特定类型的流量淹没,从而保护网络质量。
2、管理员在配置交换机的端口安全功能时,同步开启了静态MAC地址漂移检测功能,若后续发生静态MAC地址漂移现象,交换机就会根据配置的动作对接口做保护处理。请将接口安全保护动作的名称和操作进行一一对应。
A.restrict -> 2;protect -> 3;shutdown -> 1。
B.本题为拖拽题,答案请参考选项A
【正确答案】A
【答案解析】Restrict:丢弃源MAC地址不存在的报文并上报告警。 Protect:只丢弃源MAC地址不存在的报文,不上报告警。 Shutdown:接口状态被置为error-down,并上报告警。
3、当交换机某端口上配置了基本QinQ功能后,只有从该端口收到带有VLAN Tag的报文,才会为该报文打上本端口缺省VLAN的Tag,从而达到扩展VLAN空间的目的。
A.正确
B.错误
【正确答案】B
【答案解析】端口上配置了基本QinQ功能后,不论从该端口收到报文是否带有VLAN Tag,设备都会为该报文打上本端口缺省VLAN的Tag。
4、某园区网络通过华为S系列交换机组网,管理员在网络中开启了MAC漂移检测功能,那么以下关于该功能的描述,错误的是哪一项?
A.该功能可提供接口保护动作,如使跳变的接口Down,实现自动破环
B.该功能可以上报告警,包括IAC地址、VLAN、跳变接口等信息
C.如果交换机下挂网络中只是在少量VLAN内可能出现环路,建议配置后续动作是让接口从VLAN中退出而不是接口Down
D.交换机开启该功能后,可以整合整网IAC地址漂移信息,并上报告警
【正确答案】D
【答案解析】单一交换机的MAC漂移检测功能并不能够整合整个网络或者说整个园区的MAC地址漂移信息。
5、如图所示,网络管理员为了抵御DHCP Server仿冒者攻击,在交换机上部署了DHCP Snooping功能,那么以下哪一个接口应该被设置为DHCP信任接口?
A.GE0/0/2
B.GE0/0/3
C.GE0/0/1
D.GE0/0/4
【正确答案】A
【答案解析】DHCP信任接口应该是连接到真实DHCP服务器的接口。
6、使能了DHCP Snooping的设备根据DHCP客户端发送的DHCP请求报文信息会生成DHCP Snooping绑定表,从而实现后续报文的匹配检查,防范非法用户的攻击。
A.正确
B.错误
【正确答案】A
【答案解析】使能了DHCP Snooping的设备将用户(DHCP客户端)的DHCP请求报文通过信任接口发送给合法的DHCP服务器。之后设备根据DHCP服务器回应的DHCP ACK报文信息生成DHCP Snooping绑定表。后续设备再从使能了DHCP Snooping的接口接收用户发来的DHCP报文时,会进行匹配检查,能够有效防范非法用户的攻击。
7、Trap信息是系统检测到故障而产生的通知,主要记录故障等系统状态信息。如果网络管理员想要通过命令行查看Trap信息,需要首先使能SNMP代理功能。
A.正确
B.错误
【正确答案】A
【答案解析】SNMP(简单网络管理协议)是一种管理网络设备(如路由器、交换机、服务器)的Internet协议。Trap信息是SNMP的一部分,用来异步通知网络管理系统发生了重要事件,比如设备故障、连接中断等。为了查看这些Trap信息,网络管理员确实需要启用SNMP代理功能。启用SNMP后,设备可以收集信息并在需要时将Trap信息发送到SNMP管理系统。
8、管理员在交换机上部署流量抑制功能时,在设备的VLAN视图下,不可以对以下哪一类型的报文基于比特速率进行流量抑制?
A.未知组播报文
B.广播报文
C.未知单播报文
D.已知单播报文
【正确答案】D
【答案解析】在VLAN视图下,设备支持对广播、未知组播和未知单播报文按比特速率进行流量抑制。
9、为防止攻击者伪造BGP报文对设备进行攻击,可以通过配置GTSI功能检测IP报文头中的TTL值的范围来对设备进行保护。如果某台设备配置了"peer x.x.x.x valid-ttl-hops 100",则被检测的报文的TTL值有效范围为[155,255]。
A.正确
B.错误
【正确答案】B
【答案解析】设备上指令"peer x.x.x.x valid-ttl-hops 100"的含义是,认为源自该对端的报文的TTL值需要大于等于(255-100)=155 才视为有效。因此,报文的TTL值有效范围应为[155,255],这是正确的。但这并不阻止攻击者伪造BGP报文,只是为了阻止由BGP其他对等方之外的部分观察或者篡改消息。这是因为BGP其他对等方并不能保证发送给你的消息的TTL值大于某个值(在这个例子中是100)。
10、管理员在交换机上配置了端口安全功能,并且将端口安全的保护动作设置为了restrict。那么当交换机端口上安全MAC地址数达到限制后,收到源MAC地址不存在的报文时,会执行以下哪一个动作?
A.只丢弃该报文,但不上报告警
B.将接口状态置为error-down,并上报告警
C.丢弃该报文,并上报告警
D.继续接收该报文,并将该报文的源MAC记录为安全动态IC地址
【正确答案】C
【答案解析】"restrict"模式下,交换机将违规报文丢弃,阻止它进一步传播,同时在系统日志中记录一条违规事件。系统不会关闭违规端口,允许正常的流量继续经由该端口传输。
11、如果交换机连接的用户变动比较频繁,可以通过端口安全把动态MAC地址转换为Sticky MAC地址,这样可以在用户变动时,通过表项老化及时清除绑定的旧MAC地址表项。
A.正确
B.错误
【正确答案】A
【答案解析】文档原话“https://support.huawei.com/enterprise/zh/doc/EDOC1100301720?section=j07s”。
12、如图所示,SW3是网络中的用户网关及DHCP Relay,管理员准备在SW3上部署DHCP Snooping功能预防DHCP攻击。那么在SW3上不需要配置以下哪一条命令?
A.[SW3-GigabitEthernet0/0/1] dhcp snooping enable
B.[SW3-GigabitEthernet0/0/2] dhcp snooping enable
C.[SW3]dhcp snooping enable ipv4
D.[SW3-GigabitEthernet0/0/3]dhcp snooping trusted
【正确答案】D
【答案解析】dhcp snooping trusted命令用来配置接口为信任状态,用于DHCP server仿冒者攻击,本图中不是仿冒攻击。
13、MAC地址表中的表项分为动态表项、静态表项和黑洞表项。同时交换机的MAC地址表中还存在一种业务类型的MAC地址表项,这类表项一般是通过动态表项转换来的。
A.正确
B.错误
【正确答案】A
【答案解析】文档原话“https://support.huawei.com/enterprise/zh/doc/EDOC1100276744/42cf0713”。
14、NetEngine路由器作为DHCP server可以为同一个网段或不同网段内的客户端分配!P地址。以下哪一原因不会导致客户端无法获取IP地址?
A.设备未使能DHCP功能
B.客户端与服务器之间的链路有故障
C.IP地址租期小于24小时
D.地址池中没有可用的IP地址可分配
【正确答案】C
【答案解析】只要租期内无其他设备请求或冲突,客户端仍然可以正常使用该IP地址。
15、交换机上的MAC地址表项有多种类型,其中以下哪一类型的表项可以通过四配收到的报文的源目MAC地址来进行报文丢弃,从而达到过滤非法用户的目的?
A.静态MAC地址表
B.业务MAC地址表
C.动态MAC地址表
D.黑洞MAC地址表
【正确答案】D
【答案解析】黑洞MAC地址表这是一种可以被用来屏蔽特定MAC地址或者MAC地址范围的功能。当交换机检测到报文的源或目的MAC地址是黑洞MAC地址表中的地址时,就会丢弃这些报文,从而可以过滤非法用户的数据并防止网络攻击。
16、灵活QinQ功能可以根据不同的内层报文来加上不同的外层Tag,那么以下关于灵活QinQ的Tag添加情况的描述,错误的是哪一项?
A.灵活QinQ可以为具有不同内层VLAN ID的报文添加不同的外层VLAN Tag
B.灵活QinQ可以根据QoS策略添加不同的外层VLAN Tag
C.灵活QinQ可以为具有不同TTL值的报文添加不同的外层VLAN Tag
D.灵活QinQ可以根据报文的原有内层VLAN的802.1p优先级添加不同的外层Tag
【正确答案】C
【答案解析】对于报文的TTL(Time To Live)值,一般情况下,它是在网络层使用,用于防止数据包在网络中无限制地传播,而并不涉及VLAN Tag的添加。
17、如图所示,某交换网络中部署了VLAN聚合功能,其中Sub-VLAN 10和Sub-VLAN 20均加入到Super-VLAN 100中。若要实现PC1与PC2、PC1与PC3均可以互访,则以下关于L3 Switch接口类型和应该放通的VLAN的描述,正确的是哪一项?
A.GE0/0/1口和GE0/0/2口均为Access口,并将PVID设置为VLAN10
B.GE0/0/1口为Trunk口,放通VLAN10和VLAN20;GE0/0/2口为Access口,PVID设置为VLAN 10
C.GE0/0/1口为Access口,PVID设置为VLAN10;GE0/0/2口为Trunk口,并放通VLAN10
D.GE0/0/1口和GE0/0/2口均为Trunk口,并只放通VLAN 10即可
【正确答案】B
【答案解析】VLAN聚合(VLAN Aggregation,也称Super VLAN)指在一个物理网络内,用多个VLAN(称为Sub-VLAN)隔离广播域,并将这些Sub-VLAN聚合成一个逻辑的VLAN(称为Super-VLAN),这些Sub-VLAN使用同一个IP子网和缺省网关,进而达到节约IP地址资源的目的。
18、当组网发生变化时,DHCP Snooping绑定表不会立即老化,因此需要手动清除,那么管理员可以采用以下哪一条命令清除DHSP Snooping绑定表?
A.reset dhcp snooping statistics global
B.dhcp snooping user-bind autosave
C.reset dhcp snooping user-bind ip-address
D.reset saved-configuration
【正确答案】C
【答案解析】reset dhcp snooping user-bind命令用来清除DHCP Snooping绑定表。
19、当交换机配置了端口隔离功能后,缺省情况下,属于同一VLAN的不同主机无法进行二层和三层通信。
A.正确
B.错误
【正确答案】B
【答案解析】缺省情况下,端口隔离模式为二层隔离三层互通。
20、网络管理员在接入交换机上部署IPSG功能来预防IP地址欺骗攻击,那么他需要在交换机的 ________ 接口视图中使能IP报文检查功能。(若填写英文,请所有字母大写)
A.VLANIF
B.本题为填空题,答案请参考选项A
【正确答案】A
【答案解析】IPSG (IP Source Guard) 是一种安全功能,它可以通过在交换机中对源IP地址和MAC地址进行检查,来防止源地址欺骗攻击。使能该功能一般在VLAN Interface(虚拟局域网接口)上操作,这是因为IPSG功能针对的是在VLAN级别的源地址伪装。VLANIF接口就是在交换机上创建的VLAN的逻辑接口。
多选题 (共计 6 题)
21、设备作为SSH客户端登录其他设备,使用公钥认证登录失败,可能的原因有以下哪些项?
A.服务器上保存的用户公钥不正确
B.客户端未使能首次认证功能
C.缺少本地密钥对
D.客户端上保存的服务器私钥不正确
【正确答案】A,B,C
【答案解析】客户端不会保存服务器的私钥。私钥应该只留在服务器上,并保持秘密。客户端只需要知道服务器的公钥,以便在连接过程中验证服务器的身份。
22、某企业网络通过部署MUX VLAN功能,实现控制员工和访客之间的二层互通,那么关于如图所示的场景,以下描述正确的有哪些项?
A.PC3与PC4之间可以二层互通
B.PC1与PC4之间无法二层互通
C.PC1~PC4均可以访问Server
D.PC1与PC2之间无法二层互通
【正确答案】B,C
【答案解析】group vlan内可以二层互访;separate vlan内不可以二层互通;group vlan与separate vlan不可以二层互通;separate vlan和group vlan都可以访问principal vlan。
23、如图所示,某交换网络中部署了VLAN聚合功能,其中Sub-VLAN 10和Sub-VLAN 20均加入到Super-VLAN 100中。那么该场景中PC之间的通信情况,以下描述正确的有哪些项?
A.PC1可以与PC4进行二层通信,因为同-Sub-VLAN内的主机可以二层互通
B.PC2可以直接与PC3二层通信,因为它们属于同一个IP子网段
C.PC2不可以与PC4进行二层通信,因为PC2所属Super-VLAN与PC4所属VLAN不同
D.PC1可以直接与PC2二层通信,因为它们属于同一个Super-VLAN
【正确答案】A,D
【答案解析】同一个Sub-VLAN之间属于同一个广播域,因此相同Sub-VLAN之间可以通过二层直接通信。
24、某企业网络中既部署了VLAN聚合,又部署了MUX VLAN,且交换机连接终端的接口均为Access接口。那么在如图所示的场景中,PC3可以访问以下哪些IP地址?
A.10.1.1.2
B.10.1.1.100
C.10.1.1.15
D.10.1.1.1
【正确答案】A,B,C,D
【答案解析】部署了VLAN聚合,同时也没有进行隔离(Separate VLAN),所以都可以互访。
25、网络管理员在接入交换机上部署了DHCP Snooping功能,其中以下哪些方案可以用来降低攻击者恶意申请IP地址,导致DHP Server拒绝服务的影响?
A.开启设备根据DHCP Snooping绑定表生成接口的静态MAC表项功能
B.配置DHCP Snooping检查DHCP Request报文中的CHADDR字段
C.将交换机上与合法DHCP Server互联的接口设为信任接口
D.通过DHCP Snooping限制交换机接口学习MAC地址数量
【正确答案】A,B,C,D
【答案解析】DHCP Snooping绑定mac地址表;检查DHCP Request报文中CHADDR字段;DHCP Snooping信任接口;DHCP Snooping的MAC地址限制功能。
26、IPSG能够防御IP地址欺骗攻击,那么以下关于IPSG的描述,惜误的有哪些项?
A.IPSG可以利用DHCP Snooping绑定表对报文进行匹配检查
B.IPSG支持在二层物理接口或者VLAN上应用,也支持在三层物理接口或VLANIF等逻辑接口上应用
C.IPSG的信任接口/非信任接口就是DHCP Snooping中的信任接口/非信任接口
D.IPSG可以匹配检查主机发送的IP、ARP、PPPoE等报文
【正确答案】B,D
【答案解析】IP源防攻击IPSG(IP Source Guard)是一种基于二层接口的源IP地址过滤技术;IPSG只匹配检查主机发送的IP报文,包括IPv4和IPv6报文,对于ARP、PPPoE等非IP报文,IPSG不做匹配检查。
欢迎添加微信,加入我的核心小队,请备注来意
👇👇👇👇👇👇👇👇👇👇👇👇👇👇👇