使用 Private VLAN (PVLAN) 功能配置的交换机端口不允许在这些端口上进行流量交换。使用 VLAN、ACL 和交换机端口安全不会阻止流量在交换机的特定端口之间经过。
此试题参考以下领域的内容:
Routing and Switching Essentials
? 3.3.1 对 VLAN 的攻
击
20
哪两项第 2 层安全最佳实践有助于防止 VLAN 跳跃攻击???(请选择两项。)
正确 您的 响应 响应
将本征 VLAN 编号更改为不同于所有用户 VLAN 且非 VLAN 1 的一个编号。 将管理 VLAN 更改为一个普通用户无法访问的不同 VLAN。 以静态方式将连接到最终用户主机设备的所有端口配置为中继模式。 在最终用户端口上禁用 DTP 自动协商。 针对所有远程管理访问使用 SSH。
允许最终用户设备通过 DTP 协商中继设置可能会导致 VLAN 跳跃攻击,因此应当在访问端口禁用 DTP 自动协商。使用最终用户也在使用的本征 VLAN 配置中继链路也可能会导致 VLAN 跳跃攻击。本征 VLAN 应当设置为不在其他任何位置使用的 VLAN。
此试题参考以下领域的内容:
Routing and Switching Essentials
? 3.3.1 对 VLAN 的攻
击
21
请参见图示。接口 Fa0/1 已连接至 PC。Fa0/2 是另一台交换机的中继链路。不使用任何其他端口。管理员忘记配置哪种最佳安全实践???
正确 您的 响应 响应
禁用自动协商并将端口设置为静态访问或静态中继。
将本征 VLAN 更改为不同于所有用户 VLAN 的固定 VLAN,并将其编号更改为除 VLAN 1 之外的其他编号。 将所有未使用的端口配置为不可被网络上任何设备使用的“黑洞”VLAN。 所有用户端口与不同于 VLAN 1 和“黑洞”VLAN 的 VLAN 相关联。
默认情况下,所有访问端口都是 VLAN 1 的一部分。该 VLAN 是用于控制流量的默认 VLAN。安全最佳实践规定应当使用 switchport access vlan ID 命令将用户端口更改为除 VLAN 1 之外的其他 VLAN。
此试题参考以下领域的内容:
Routing and Switching Essentials
? 3.3.2 VLAN 设计的最
佳实践
22
填空题。请使用完整的命令语法。 此命令可以显示所有端口和交换机上现有 VLAN 的 VLAN 分配。
正确答案: show vlan
此试题参考以下领域的内容:
Routing and Switching Essentials
? 3.2.1 VLAN 分配 ? 3.2.4
VLAN
和
TRUNK 故障排除
24
打开 PT 练习。执行练习说明中的任务,然后回答问题。 哪些 PC 会接收到 PC-C 发送的广播???
正确 您的 响应 响应
PC-A、PC-B PC-D、PC-E PC-A、PC-B、PC-E PC-A、PC-B、PC-D、PC-E PC-A、PC-B、PC-D、PC-E、PC-F
只有和 PC-C 在同一 VLAN (VLAN 20) 中的主机才会收到广播。中继链路会将广播传送到 ALS2,并从 ALS2 发送到 PC-D 和 PC-E(也位于 VLAN 20 中)。PC-A、PC-B 和 PC-F 与 PC-C 不在同一 VLAN 中。可以通过发出 show vlan 和 show interfaces trunk命令验证此信息。
此试题参考以下领域的内容:
Routing and Switching Essentials
? 3.1.2 多交换环境中
的 VLAN
如果相邻接口设置为中继或期望模式,则动态自动模式会使该接口变成中继接口。动态期望模式会使接口主动尝试将链路转换为中继链路。中继模式会将接口置为永久中继模式,并协商将相邻链路转换为中继链路。nonegotiate 模式可防止接口生成 DTP 帧。
此试题参考以下领域的内容:
Routing and Switching Essentials
? 3.2.3 动态中继协议
议