華為HCIPH12-721安全試卷三

精品文檔-下載后可編輯華為HCIPH12-721安全試卷三華為HCIPH12-721安全試卷三

1.【單選題】1分|關(guān)于VRRP報文，以下說法正確的是

AVRRP使用TCP報文

BVRRP使用UDP報文

CVRRP報文的目的地址是8

DVRRP報文是單播報文

2.【多選題】1分|兩臺FW之間通過IPSec互聯(lián)，在FW-A中執(zhí)行displayikesa,結(jié)果顯示如下，下列說法正確的是哪些?

AFW-A是IKE安全通道協(xié)商的發(fā)起者

BFW-B是IKE安全通道的發(fā)起者

C防火墻之間的SA已經(jīng)成功建立

D防火墻之間的SA尚未建成功

3.【多選題】1分|下圖為USG雙機熱備典型應(yīng)用場景，其中USGA為主用設(shè)備,USGB為備用設(shè)備,VRRP備份組及心跳口均已完成配置，其中防火墻A的GE2/0/0與GE2/0/1加入了link-group1以下說法正確的是?

A當防火墻A的GE2/0/1出現(xiàn)物理路障時,USG_A上GE2/0/0的鏈路狀態(tài)為down,物理接口指示燈常亮。

B故障恢復(fù)后，當防火墻檢測到GE2/0/0和GE2/0/1兩個接口狀態(tài)均為UP時,USGA狀態(tài)切換成master。

C當GE2/0/1接口狀態(tài)故障恢復(fù)后,USG_A作為USG_B的備用設(shè)備進行工作。

D如果將GE2/0/2也加入了link-group1,當防火墻A的GE2/0/1出現(xiàn)物理線路故障，主備設(shè)備信息的備份將會被中斷。

4.【多選題】1分|如下圖所示為L2TP-ove.r-lPSsec應(yīng)用場景，客戶端使用pre-shared-key方式進行IPSec認證，在LNS端應(yīng)該如何配置IPSec安全策略?

A采用IKEv1模式進行協(xié)商

B采用IKEv2模式進行協(xié)商

C配置IPSec安全策略

D配置IPSec策略模板

5.【多選題】1分|某企業(yè)分支和總部之間希望能夠傳輸組播報文，如圖所示，F(xiàn)W_B為分支機構(gòu)網(wǎng)關(guān)，并使用該FW_B與總部建立IPSecVPN(采用預(yù)共享密鑰認證)在FW_B.上需要配置如下哪些部分?(多選)

A配置路由，將需要經(jīng)過GREoverIPSec隧道傳輸?shù)牧髁肯乱惶O(shè)置為/24

B在GRETunpel接口.上應(yīng)用IPSec安全框架

C配置securtypolciy,引用規(guī)則為permit:/24-Internet的數(shù)據(jù)流

D配置路由，將需要經(jīng)過GREoverIPSec隧道傳輸?shù)牧骼锵乱惶O(shè)置為tunnel接接口地址

6.【多選題】1分|以下哪些場景可以實現(xiàn)帶寬復(fù)用

A多條流量匹配到了同一個帶寬策略，多條流量之間可以實現(xiàn)帶寬復(fù)用

B多個帶寬策略以策略共享的方式引用帶寬通道，則匹配了帶寬策略的多條流量之間可以實現(xiàn)帶寬復(fù)用

C匹配了父子策略中的多個子策略V的多條流量之間可以實現(xiàn)帶寬復(fù)用。

D多個帶寬策略以策略獨享的方式引用帶寬通道，則也配了帶賈策略的多條流量之間可以實現(xiàn)帶寬復(fù)用。

7.【多選題】1分|關(guān)于虛擬接口的說法,哪些是正確的?(多選)

A虛擬接口有可能會因為未配置IP地址而導(dǎo)致協(xié)議層DOWN

B虛擬接口必須加入安全區(qū)域才可以工作。

C虛擬接口可以不配置IP地址。

D虛擬接口是一個邏輯接口，需要為其配置IP地址

8.【多選題】1分|如圖所示為BFDforOSPF的組網(wǎng)場景:

1，F(xiàn)WA,FWB和FWC三臺設(shè)備之間運行OSPF，互為鄰居。

2.鄰居狀態(tài)到達FULL狀態(tài)，并配置BFD與OSPF聯(lián)動，BFD完成建立BFD會話。

以下哪些說法是正確的?(多選)

A當鏈路a出現(xiàn)故障，BFD首先感知，F(xiàn)WA和FWB會馬，上收斂

BBFD能夠提供秒級別的故障檢測機制

CBFD發(fā)現(xiàn)鄰居Down事件后，設(shè)備之間重新進行路由計算，新的路由為鏈路b

D當鏈路a故障時，OSPF自動收斂并通知BFD

9.【多選題】1分|如圖所示，BFD綁態(tài)路由，管理員在防火墻A.上做了如下配置:

[USG6000A]bfd

[USG6000A-bfd]quit

[USG6000_A]bfdaabindpeer-ip

[USG6000_A-bfd-session-aa]discriminat

orlocal10

[USG6000_A-bfd-session-aa]discriminat

orremote20

[USG6000_A-bfd-session-aa]commit

[USG6000_A-bfd-session-aa]quit

對于該配置,以下哪些說法是正確的?(多選)

A命令"bfdaabindpeer-ip2"用來創(chuàng)建檢測鏈路狀態(tài)的BFD會話綁定策略

B該命令中[USG6000A]bfd配置錯誤，應(yīng)改為[USG600A]bfdenable以便啟用BFD能

C[USG6000A-bfd-session-aa]commit為可選項配置，如不配置系統(tǒng)將缺省提交配置并生成BFD會話日志信息，但不建立會話表

D防火墻上還需要將BFD會話與靜態(tài)路由綁定命令:[USG6000A]iproute-static0trackbfd--sessionaa

10.【多選題】1分|保證流量傳輸不受服務(wù)器或鏈路故障的影響，管理員配置了鏈路的健康檢查，但配置完成后發(fā)健健康檢查的狀態(tài)仍為Down.可能的原因有哪些?(多選)

A對端設(shè)備未開放了相應(yīng)的協(xié)議和端口

B安全策略沒有放行流量

C進行健康檢查的鏈路出現(xiàn)故障

D健康查沒有在接口調(diào)用

11.【多選題】1分|華為USG6000產(chǎn)品資源分配支持以下哪些資源分配方式

A定額分配

B自動分配

C手工分配

D不定額分配

12.【多選題】1分|關(guān)于下面智能選路中的配置命令，以下哪些選項的描述是正確的?(多選)

#

multi-interface

modepriority-of-link-quality

priorit-of-link-qualityparameterdelayji

tterloss.

priority-of-link-qualityprotocoltcp-simpl

e

addinterfaceGigabitEthernet1/0/1

addinterfaceGigabitEthernet1/0/2

A使用的是基于帶寬的負載分擔(dān)方式

B鏈路質(zhì)量探測的參數(shù)有時延、抖動和丟包率

C使用的TCP協(xié)議進行探測

D選擇了3條鏈路進行負載分擔(dān)

13.【多選題】1分|某企業(yè)已經(jīng)部署了esight平臺，此平臺可管理以下哪些設(shè)備?(多選)

A門禁

B存儲設(shè)備

C交換機

D防火墻

14.【多選題】1分|KEv1協(xié)商第一階段主模式協(xié)商過程中包含以下信息?(多選)

AIKE提議集

BIPSec提議集

CDH密鑰交換公共信息

D雙方身份信息

15.【多選題】1分|如下圖所示，防火墻GE0/0/0接口與PC主機通過網(wǎng)線直連。以下哪些命令可以共同完成對系統(tǒng)配置文件vrpgcfg.cfg備份操作?(多選)

A

B

C

D

16.【多選題】1分|在總部-分支結(jié)構(gòu)IPsecVPN網(wǎng)絡(luò)的組網(wǎng)中，進行總部配置時，當總部采用IPSec策略模板時，下列哪些配置為必配項目?(多選)

Aipsecpolicy-templatetemplate-namesec-number

Bproposalproposal-name

Cpolicyenable

Dipsecpolicypolicy-namesec-numberisakmptemplatetemplate-name

17.【多選題】1分|在服務(wù)器負載均均衡中，可以用下列哪些報文進行健康檢查?(多選)

AICMP報文

BUDP報

CTCP報文

DDNS報文

18.【多選題】1分|完成智能選路的配置后，發(fā)現(xiàn)流量并沒有按照配置的方式進行轉(zhuǎn)發(fā)，這時管理員可以采取的措施有哪些?(多選)

A重新配置智能選路策略

B等待會話表老化

C通過命令行resetfrewallsessiontable手動清除會話表信息

D提交配置，使其生效

19.【多選題】1分|以下不提供加密功能的VPN封裝協(xié)議有哪些?(多選)

AESP

BAH

CL2TP

DGRE

20.【多選題】1分|關(guān)于L2TPoverIPSecVPN，下列哪種說法是正確的?(多選)

AIPSec報文觸發(fā)L2TP隧道

BL2TP報文觸發(fā)IPSecSA

CL2TP隧道先建立

DIPSec隧道先建立

21.【多選題】1分|為USG6000系列設(shè)備在部署雙機熱備時，默認情況下，防火墻不會備份以下哪些狀態(tài)信息?(多選)

AIPSec隧道和序號

B到防火墻自身的會話

CPAT方式下的端口映射表

D未完成三次握手的TCP半連接會話

22.【多選題】1分|以下哪些是帶寬管理的限制元素?(多選)

A連接數(shù)

B帶寬

CP2P協(xié)議數(shù)據(jù)流限制

D1M協(xié)議數(shù)據(jù)流限制

23.【多選題】1分|負載均衡實現(xiàn)了將訪問同一個IP地址的用戶流量分配到不同服務(wù)器上的功能，其采用的主要技術(shù)有哪些?(多選)

A虛服務(wù)技術(shù)

B服務(wù)器健康性檢測

C雙機熱備技術(shù)

D負載均衡算法

24.【多選題】1分|某企業(yè)部署了LogCenter日志事件管理系統(tǒng)可用于滿足以下哪些需求?(多選)

ANAT溯源

B報表分析

C智能配置

D無線寬帶集群設(shè)備

25.【多選題】1分|在設(shè)備上配置了Link-group后，輸入displaylifk-group1命令顯示了如下信息:由此可以得出什么結(jié)論?(多選)

displaylink-group

linkgroup1,total2,fault

GigabitEtherneto/0/1:invalid

GigabitEthernet0/0/2:fault

AGigabitEthernet0/0/2接口發(fā)生了故障

BGigabitEthernet0/0/1接口發(fā)生了故障

CGigabitEthernet0/0/2因為組內(nèi)其他接口故障而被強制轉(zhuǎn)換為fault狀態(tài)

DGigabitEthernet0/0/1因為組內(nèi)其他接口故障而被強制轉(zhuǎn)換為fault狀態(tài)

26.【多選題】1分|關(guān)于服務(wù)器負載均衡技術(shù)，以下哪些選項是正確?

A實服務(wù)器的IP地址可以和虛擬防火墻的IP地址相同。

B配置服務(wù)器負載均衡功能后，在配置域間安全策略時，需針對虛擬服務(wù)器的IP地址進行配置。在配置路由時，需針對實服務(wù)器的IP地址進行配置

C配置服務(wù)健康檢查功能后，需要配置FW和實服務(wù)器所在安全域之間的安全策略，允許探測報文通過，否則將導(dǎo)致健康檢查失敗。

D配置服務(wù)健康檢查功能后，需要配置FW和實服務(wù)器所在安全域之間的安全策略，允許探測報文通過，否則將導(dǎo)致健康檢查失敗。

27.【單選題】1分|使用策略路由修改下一跳地址后，流量的沒有按照策略路由轉(zhuǎn)發(fā)，以下哪個選項的說法是錯誤的?

A策略路由有沒有提交生效

B接口的IP地址沒有配置正確

C匹配的源安全區(qū)域不正確

D沒有放行域間流量

28.【單選題】1分|關(guān)于Radius的認證流

程，有以下幾個步驟:

1，網(wǎng)絡(luò)設(shè)備中的Radius客戶端接收用戶名和密碼，并向Radius服務(wù)器發(fā)送認證請求;

2，用戶登錄USG等網(wǎng)絡(luò)設(shè)備時，會將用戶名和密碼發(fā)送給Radius客戶端;

3，Radius服務(wù)器接收到合法的請求后，完成認證，并把所需的用戶授權(quán)信息返回給Radius客戶端;以下哪個選項的順序是正確的?

A1-2-3

B2-1-3

C3-2-1

D2-3-1

29.【單選題】1分|關(guān)于L2TPoverIPSec的報文封裝順序，以下哪項是正確的?

A從先封裝到后封裝的順序是PPPUDP-L2TP-IPSec

B從先封裝到后封裝的順序是PPPL2TP-UDP-IPSec

C從先封裝到后封裝的順序是IPSecL2TP-UDP-PPPD

D從先封裝到后封裝的順序是IPSecPPP-L2TP-UDP

30.【單選題】1分|關(guān)于防火墻帶寬策略,下列哪項說法是錯誤的,

A對于最大帶寬和連接數(shù)限制，子策略不能大于父策略。

B在同一組父子策略中，不能引用同一個帶寬通道。

C如果帶寬管理與源NAT功能同時使用，配置帶寬策略的源地址/地區(qū)匹配條件時應(yīng)指定轉(zhuǎn)換前的地址。

D如果帶寬管理與源NAT功能同時使用，配置帶寬策略的源地址,/地區(qū)匹配條件時應(yīng)指定轉(zhuǎn)換后的地址。

31.【單選題】1分|關(guān)于防火墻開啟虛擬化功能的配置命令，以下哪個選項是正確的?

AVsysenable

BVSySnameenable

Cvsys

Dvsys-viewenable

32.【單選題】1分|某企業(yè)在網(wǎng)絡(luò)中部署了華為USG6000系列防火墻，要實現(xiàn)用戶通過Telnet/SSH訪問防火墻，而且該用戶輸入的每一條命令都要通過服務(wù)器授權(quán)才能執(zhí)行。以下哪種認證方式可以滿足需求?

ARadius

BLDAP

CHWTACACS

DAD

33.【單選題】1分|以下哪個選項不屬于智能選路的方式?

A基于全局選路策略選路

B基于策略路由選路

C基于ISP選路

D基于鏈路質(zhì)量選路

34.【單選題】1分|當需要使用AH和ESP進行報文封裝時,IKE協(xié)商完成后,會建立幾個SA?

A1

B2

C3

D4

35.【單選題】1分|下列哪條命在華為US6000序列防火墻中表示不限流

Ano-qos

Bno-car

Cno-profile

Dno-limit

36.【單選題】1分|在IKEV1協(xié)商中,關(guān)于野蠻模式與主模式的區(qū)別,以下哪項說法是錯誤的?

A主模式在預(yù)共享密鑰方式下不支持NAT穿越,而野蠻模式支持

B主模式協(xié)商消息為6個野蠻模式為3個。

C在NAT穿越場景下，對等體ID不能使用IP地址

D主模式加密了身份信息的交換信息,而野蠻模式?jīng)]有加密身份信息

37.【單選題】1分|華為UMA產(chǎn)品允許特定IP，特定帳號的運維人員通過UMA平臺去管理IT設(shè)備,這屬于下列哪一步驟?

A事前控制

B事中監(jiān)控

C事后審計

D維護準備

38.【單選題】1分|服務(wù)器負載均衡技術(shù)利用Server-map表和會話表實現(xiàn)虛擬服務(wù)器和實服務(wù)器的映射,請問生成的是什么類型的server-map表?

ANATNO-PAT

B轉(zhuǎn)發(fā)/MSN、TFP等STUN類型協(xié)議

C靜態(tài)Server-map表

D動態(tài)Server-map表

39.【單選題】1分|關(guān)于虛擬系統(tǒng)中公網(wǎng)接口和私網(wǎng)接口的說法，,以下哪個選項是錯誤的?

A公網(wǎng)接口是指接口下配置了setpublic-interface命令的接口

B私網(wǎng)接口是未配置setpublic-interface命令的接口。

C私網(wǎng)接口是指使用私有IP地址的接口。

D只有配置了公共接口，資源類中的帶寬資源配置才會生效。

40.【單選題】1分|如果建立IPSecVPN隧道的其中一方的IP地址不固定,則以下哪些配置方法不能適用在該場景?

A策略模板

B配置IKE時要求指定對端地址

C野蠻模式下的Name認證

D野蠻模式下的pre-sharekey認證

41.【單選題】1分|關(guān)于服務(wù)器負載均衡技術(shù)，在防火墻上執(zhí)行的命令和得到的輸出如下:以下哪一選項的描述是正確的?

A該負載均衡策略采用的是加權(quán)最小連接算法。

B該負載均衡策略的真實服務(wù)器均屬于強制不可用狀態(tài)。

C該負載均衡策略采用的是會話保持算法。

D該負載均衡策略啟用了服務(wù)健康檢查功能，采用的檢測報文是ICMP報文。

42.【單選題】1分|以下關(guān)于IP-Link輸出信息的描述，錯誤的是哪一項?

A當有1條鏈路探測失敗時，該IP-Link的狀態(tài)就變?yōu)镈own

BIP-Link的名稱為test

C該IP-Link探測的鏈路條數(shù)為2條

D該IP-Link使用的探測協(xié)議為ICMP

43.【單選題】1分|

如圖所示為L2TPoverIPSec應(yīng)用場景，以下關(guān)于IPSec保護數(shù)據(jù)流的配置，正確的是哪一項?

A[LNS]aclnumber2022[LNS-ac1-basic-2022]rule5permitudpsource10.10.1.055

B[LNS]acnumber3005[LNS-acl-adv-3001]rulepermitsource10.10.1.0o.0.0.255destination0.0.0.255

C[LNS]aclnumber3005[LNS-ac1-adv-3001]rulepermitudpsource-port1705

D[LNS]aclnumber3005[LNS-acl-adv-3001]rulepermitudpsource-porteq1701

44.【單選題】1分|以下關(guān)于防火墻配置的描述，錯誤的是哪一項?

[USG]ftpserverenable

[USG]aaa

[USG-aaa]manager-userftpuser

[USG-aaa-manager-user-ftpuser]passw

ordcipherFtppass#

[USG-aaa-manager-user-ftpuser]level15

[USG-aaa-manager.user-ftpuser]service

-typeftp

[USG-aaa-manager-user-ftpuserlftp-dire

ctoryhda1:/

A防火墻上ftpuser的FTP目錄為hdal:/

Bftpuser的權(quán)限級別為最高級

C防火墻開啟了FTP服務(wù)器的功能

D管理員用戶ftpuser也可以通過SSH登陸防火墻

45.【單選題】1分|以下哪一項支持多種盜鏈錯識別算法，能有效解決單一來源盜鏈、分布式盜鏈和網(wǎng)站數(shù)據(jù)惡意是竊取等信息盜取行為，從而確保網(wǎng)站的資源只能通過本站才能訪問?

AFirewal1

BIPS

CAnti-DDos

DWAF

46.【單選題】1分|當企業(yè)從不同ISP處獲得多條帶寬不等的鏈路時，為了充分利用各鏈路的帶寬，提高鏈路的利用率，可以選擇以下哪一選項的智能選路方式?

A鏈路優(yōu)先級負載分擔(dān)

B鏈路質(zhì)量負載分擔(dān)

C鏈路權(quán)重負載分擔(dān)

D鏈路帶寬負載分擔(dān)

47.【單選題】1分|在配置服務(wù)器負載均衡時，以下哪一項是可選的配置?

A服務(wù)健康檢查

B虛擬服務(wù)器地址

C負載均衡算法

D實服務(wù)器地址

48.【單選題】1分|以下哪種BFD的狀態(tài)表示已經(jīng)能夠與對端系統(tǒng)通信，同時本端希望會話進入Up狀態(tài)?

AInit

BDown

CUp

DAdminUp

49.【單選題】1分|關(guān)于防火墻雙機熱備同步數(shù)據(jù)的特點，以下哪一選項的描述是錯誤的?

A會話備份的設(shè)備區(qū)分主備,只有主設(shè)備可以將自己的會話同步到對方

B批量備份是指在兩臺設(shè)備第一次協(xié)商完成后，批量備份所有信息

C配置批量備份需要消耗較多的資源，缺省情況下是關(guān)閉的

D實時備份是指在設(shè)備運行過程中,新建或者刷新的數(shù)據(jù)實時備份

50.【單選題】1分|關(guān)于VGMP組管理中的搶占管理，以下哪一選項的描述是錯誤的?

AVRRP備份組本身具有搶占功能。即當原來出現(xiàn)故障的主設(shè)備故障恢復(fù)時，其優(yōu)先級也會恢復(fù)，此時可以重新將自己的狀態(tài)搶占為主。

B當VRRP備份組加入到VGP管理組后，奮份組上原來的搶占功能將失效，搶占行為發(fā)生與否必須由VGP管理組統(tǒng)一決定。

C當Slave端五個H