H3CS-IMC题库汇总
第一套
1 、下列关于iMC平台组件工作原理的说明中,不正确的是
A、平台主要通过SNMP协议报文与设备交互,读取网络设备上的状态信息
B、ACLM组件通过命令行获取设备状态信息,智能配置管理组件在某些情况下也需要命令行读取数据
C、平台的报表组件是一个很特殊的组件,不需要与网络设备进行交互,而只需要读取数据库的数据
D、iMC平台采用B/S架构,通过浏览器访问管理界面,默认端口是TCP 80 ( D )
2、若要实现802.1x EAD,关于接入交换机上的认证模式(RADIUS的封装模式),以下说法错误的是:
A. H3C交换机在CHAP认证模式下,使用标准RADIUS属性(EAP-Message)下发策略代理服务器的IP和端口,从而使得客户端主动与安全策略服务器之间建立通讯 B. 第三方设备必须使用EAP中继的封装模式才能实现EAD
C. H3C交换机的缺省认证模式为CHAP,通过命令行修改为EAP模式也能实现EAD
D. 如果iMC服务器从微软域控制器上同步帐号信息,实现基于域统一认证方式的EAD,则此时H3C交换机不能够使用CHAP认证模式封装RADIUS报文 (A)
3、关于802.1x EAD在服务器上的基本配置顺序,可以按照以下顺序配置: A. 接入设备?服务?具体的安全检查项?安全策略?安全级别?账户 B. 接入设备?服务?账户?具体的安全检查项?安全级别?安全策略 C. 接入设备?具体的安全检查项?安全级别?安全策略?服务?账户 D. 接入设备?安全级别?安全策略?服务?具体的安全检查项?账户 (C )
4、在H3C交换机上关于认证域的应用,以下说法错误的是: A. 如果客户端不带域名认证,则交换机将为该帐号应用缺省的认证域
B. 在CHAP/PAP认证方式下,如果客户端不带域名认证,交换机上的用户名格式配置为
1
with-domain,则服务器上该帐号一定要关联一个服务后缀为空的服务
C. 在CHAP/PAP认证方式下,如果客户端带域名认证,交换机上的用户名格式配置为with-domain,则服务器上该帐号一定要关联一个服务后缀与交换机上的domain名称一致的服务
D. radius scheme(认证方案)的名称只在交换机上具有本地意义,与服务器上的配置无关 ( B )
5、关于Portal认证,以下说法中错误的是:
A. Portal认证方式没有802.1x认证方式控制严格,但Portal认证支持免客户端安装(网页认证),并且实施简单,适合用于旧网改造
B. 二层Portal模式下,Portal设备以认证终端的IP和MAC地址来唯一标识一个在线用户,而三层Portal模式下,Portal设备以认证终端的IP地址唯一标识一个在线用户 C. 使能Portal的物理接口或VLAN虚接口仅对入方向的报文做控制 D. Portal协议是一种公有的标准认证协议,协议报文基于UDP ( D )
6、关于Portal Free rule的应用,以下说法错误的是: A. Portal free rule在设备全局模式下配置,可配置多条
B. Portal认证的过程要求Portal服务器与Portal设备间通讯正常,在特定组网环境下,必须配置free rule来允许Portal服务器与Portal设备的通讯
C. 如果要支持在网页中输入域名也能重定向至Portal认证页面,则必须在Portal设备上配置一条Free规则,允许认证终端访问DNS服务器的地址
D. Portal认证的前提是认证终端必须和Portal服务器通讯正常。而使能Portal之后,认证终端缺省情况下不能与Portal服务器通讯,必须要在Portal设备上配置free rule允许认证终端与Portal服务器通讯 ( D )需确认
7、某用户关联的安全策略中配置了向设备下发的隔离ACL和安全ACL,该安全策略及其所引用的安全级别配置为:防病毒软件检查采用隔离模式,其他所有检查项都采用提醒模式(VIP模式),并且未配置“不安全提示阈值”。假设该用户的安全检查结果为防病毒软件检查不合格,而其他检查项都合格,则用户登陆过程中,关于基于设备的ACL下发过程,描述正确的是:
A. 只下发隔离ACL,不下发安全ACL B. 先下发安全ACL,后下发隔离ACL C. 只下发安全ACL,不下发隔离ACL
2
D. 先下发隔离ACL,后下发安全ACL ( A )
8、以下关于sFlow日志和NetStream日志的区别的描述错误的有
A、sFlow日志通常将功能内嵌在硬件芯片中,对设备影响小,而NetStream通常由设备软件实现,大流量时可能影响设备性能
B、目前H3C只有部分交换机支持sFlow技术,而NetStream技术则被广泛的应用于路由器设备或交换机中
C、sFlow日志是一种采样日志,而NetStream不支持采样
D、sFlow日志的报文格式相对固定,NetStream V9格式灵活,易于扩展 (BC )
9、EAD安全接入四步曲分别是:身份认证、安全检查、动态授权和实时监控。其中实时监控功能确保了用户在线过程中仍然符合安全策略的要求。假设某用户关联的安全策略中配置了禁止运行某非法软件,安全级别中可控软件组检查采用隔离模式,并且该用户上线时已经成功通过所有安全检查项。关于实时监控功能以下说法错误的是: A. 实时监控功能缺省不启用,需要手工启用
B. 当发现用户在线过程中运行了非法软件,则会实时地将用户隔离
C. 如果用户在线,并且已经被隔离的情况下,这之后用户又关闭了非法软件修复了所有的安全隐患,则会被自动地实时解除隔离
D. 实时监控功能依赖于EAD心跳报文,客户端通过EAD心跳将终端的安全状态实时地上报给服务器 ( C)
10、桌面资产管理客户端重新获取桌面资产管理服务器的新策略的方式不包括下面哪种方式: A. 等待资产策略请求间隔时长 B. 下线后立即重新上线
C. 下线后等待资产管理客户端与服务器心跳超时后再上线 D. 直接在认证终端的Windows任务管理器中杀掉DAMAgent进程 ( B )
11、关于逃生工具,以下描述正确的是 A.逃生工具可以从H3C网站上下载
B.逃生工具支持802.1x认证方式和Portal认证方式
C.逃生工具仅检测用户名和密码,不做授权、绑定的判断,也不做安全检查 D.逃生工具仅支持在Windows操作系统下安装
3
( A)
12、在项目环境中,为了保护服务器一般需要对重要的业务服务器进行安全防护,通过关闭端口防止服务器受到恶意攻击。iMC服务器在运行过程中,不需要开放的端口有 A需要使用网管功能的环境下,需要开放SNMP端口UDP 161,162
B如果要使用ACLM管理设备的ACL,需要开放telnet端口TCP 23或SSH端口TCP 22 C在需要进行接入认证的情况下,还需要开放RADIUS端口UDP 1812,1813 D如果有EAD认证需求,需要放开策略代理服务器监听端口TCP 9019 (D)
13、下列关于iMC安装环境要求,说法正确的是
A只要LINUX内核版本一致,iMC可以在各种LINUX发行版本上安装,如LINUX Redhat Enterprise LINUX,CENTOS,UBuntu等
B如果现场实在找不到符合要求的操作系统,也可以在Windows 7或者XP上安装专业版iMC C使用内嵌数据库时要注意,因为内嵌数据库的数据文件大小受到限制,可能会影响到服务器的性能
D浏览器要求使用IE或Firefox,但是对于其他一些IE内核的浏览器,如360,世界之窗,MyIE等,也完全可以正常访问iMC ( C )
14、关于防内网外联功能,以下描述错误的是: A. 防内网外联功能支持802.1x和Portal认证方式
B. 防内网外联特性属于UAM功能,跟用户是否使用EAD安全策略无关
C.需在定制iNode客户端时选择“防内网外联”功能才能让iNode具备防内网外联特性 D. 要限制用户必须使用防内网外联功能,则在配置“服务”时必须勾选“仅限iNode客户端”和“启用防内网外联” (B )
15、在Portal认证中,服务器上需要分别配置接入设备和Portal设备IP地址。在如下组网中,在BAS设备(H3C V5平台设备)上开启Portal认证,为了让图中所示客户端机器认证,Portal设备地址应该配置为
4
A端口所属的三层接口地址 B端口所属的三层接口地址 C端口所属的三层接口地址 D端口所属的三层接口地址 E端口所属的三层接口地址 (B)
16、认证时客户端提示“Rejected by Local Server”,可能原因为
A用户密码输入错误,可能是大小写开关被打开或者全角半角标点状态有问题 B交换机上未配置默认域,即domain default enable xxx命令 C交换机上未配置认证模式为EAP,导致EAP消息被用户丢弃
D服务器接入设备地址配置错误,应该配置接入设备上离服务器最近的接口地址 ( B )
17、H3C IMC UBA支持采集分析NAT日志,通过采集分析NAT日志,可以分析出来的内容包括( ) A、目的端口号 B、协议号 C、NAT前IP地址 D、NAT后IP地址 E、目的IP地址
5