2VLAN可以跨越交换机;○3VLAN隔离了广播,可以缩小广播风暴的范围) 多个逻辑上独立的区域;○
94、假如3块容量是300G的硬盘做成RAID5阵列,则这个RAID5的容量是600G。解析1:RAID5的存储容量=磁盘容量×(磁盘数-1),注,如果磁盘容量大小不等,以最小的为准;解析2:利用率×磁盘总容量,即300×3= ×900=600G (2017.11)
95、关于层次化网络设计的叙述中,错误的是:接入层应提供丰富接口和多条路径来缓解通信瓶颈。(正确说法:
1核心层实现数据分组从一个区域到另一个区域的高速转发;2汇聚层提供接入层之间的互访;3汇聚层通常进○○○
×
行资源的访问控制和流量控制。)(2017.11 第63题)
96、漏洞扫描不属于入侵检测技术。(属于的有:专家系统、模型检测和简单匹配)(2017.11 第65题)
1通过BootROM可以重置Console口密码;○2telnet登录密码丢97、关于华为交换机密码配置,正确的说法是:○
失,通过Console口登录交换机后重新进行配置。(2017.11 第66题)
98、观察交换机状态指示灯是初步判断交换机故障的检测方法,以下关于交换机状态指示灯的描述中,错误的是:
1交换机指示灯显示红色表明设备故障或告警,需要关STCK指示灯绿色表示接口在提供远程供电。(正确说法:○2SYS指示灯红色表明交换机可能存在风扇或温度告警;3交换机业务接口对应单一指示灯,注和立即采取行动;○○4STCK灯指示设备堆叠信息。常亮表示连接,快闪表示数据传送;○)(2017.11 第67题)
1人工把发生漂移的接口shutdown;○2在接口99、下面消除交换机上MAC地址漂移告警的方法中,正确的是:○
3在接口上配置quit-vlan,使发生漂移的接口指定VLAN域内退上配置error-down,自动down掉漂移的端口;○
出;(2017.11 第68题)
100、两台交换机的光口对接,其中一台设备的光口UP,另一台设备的光口DOWN,定位此类故障的思路包括:
1两端使用的光模块波长和速率是否一样;○2两端COMBO口是否都设置为光口;○3两个光口是否未同时配置自○
4光纤是否交叉对接。协商或者强制协商;○(2017.11 第69题)
101、某STP网络从链路故障中恢复时,端口收敛时间超过30秒,处理该故障的思路不包括:确认端口模式为中
:1确认对端端口开启STP;○2确认端口是工作在STP模式;○3确认端口的链路类型是点继模式。(可以的思路:○
对点。)(2017.11 第70题)
102、在点到点的环境下,配置IPSec VPN隧道需要明确:共享密钥和对端地址或VPN流量、IPSec安全协议、IKE策略。(2017.11 下午试题一)
1断开已感染主机的网络连接;○2为其他103、某公司有一台电脑感染“勒索”病毒,网络管理员应采取的措施:○
3网络层禁止135/137/139/445端口的TCP连接。电脑升级系统漏洞补丁;○(2017.11 下午试题二)
104、网络管理员发现线上商城系统总是受到SQL注入,跨站脚本等攻击,可购置WAF(Web应用防护系统)设备来加强防范。(2017.11 下午试题二)
105、Windows Server 2008支持RIP动态路由协议,在RIP接口属性页中,若希望路由器每隔一段时间向自己的邻居广播路由表以进行路由信息的交换和更新,则需要在“操作模式”中选择周期性的更新模式。在“传出数据包协议”中选择RIPv2广播,(不是RIPv1广播)使网络中其他运行不同版本的邻居路由器都可接受此路由器的路由表;在“传入数据包协议”中选择RIPv1和v2,使网络中其他运行不同版本的邻居路由器都可向此路由器广播路由表。(2017.11 下午试题三)
106、当站点收到“在数据包组装期间生存时间为0”的ICMP报文,说明:因IP数据报部分分片丢失,无法组帧。1回声请求没有得到响应;○2IP数据报目的网络不可达;○3因为拥塞丢弃报文。错误说法:○(2017.11 第60题)
107、MPLS(多协议标记交换)根据标记对分组进行交换,MPLS包头的位置应插入在以太帧头与IP头之间。 108、BGP的4种报文(第五版教材P219) 报文类型 功能描述 打开(open) 更新(update) 通告(notification) 建立邻居关系 发送新的路由信息 报告检测到的错误 保持活动状态(keepalive) 对open的应答/周期性地确认邻居关系 109、RIPV2报文封装在UDP数据报中发送,占用端口号520。
6
110、Linux文件类型与权限 第5版教材P388
可执行的 可读的 可写的 文件类型
无访问权限
—rwxrwx———
其他用户权限
用户权限 用户组权限
1递归查询:当用户发出查询请求时,本地服务器要进行递归查询。这种查询方式要求服务器彻底的进行111、○
名字解析,并返回最后的结果——IP地址或错误信息。若查询请求在本地服务器中不能完成,那么服务器就根据
2迭代查询:它的配置向域名树中的上级服务器进行查询,在最坏的情况下可能要查询到根服务器。○服务器与服务器之间的查询采用此方式进行,发出查询请求的服务器得到的响应可能不是目标的IP地址,而是其他服务器的引用(名字和地址),那么本地服务器就要访问被引用的服务器,做进一步的查询,如此反复多次,每次都更接近目标的授权服务器,直至得到最后的结果——目标的IP地址或错误信息。(教材第五版P419)
112、BIND是在Linux/UNIX系统上实现的域名解析服务软件包。BIND默认情况下可直接作为高速缓存服务器。 113、双向转发检测BFD是一种用于检测邻居路由器之间链路故障的检测机制,通常与路由协议联运,通过快速感知故障并通告使得路由协议能快速的重新收敛,从而减少由于拓扑变化导致的流量丢失。
114、边界网关协议BGP是一种实现自治系统AS之间的路由可达,并选择最佳路由的距离矢量路由协议。其特
1实现自治系统间通信网络的信息可达,点有:○BGP允许一个AS向其他AS通告其内部网络的可达性信息,或是
2多个BGP路由器之间的协调,如果在一个自治系统内部有多个路由器通过该AS可达的其他网络的路由信息。○
3BGP分别使用BGP与其他自治系统中对等路由器进行通信,则通过协调使这些路由器保持路由信息的一致性。○
4BGP只需要在启动时交换一次完整支持基于策略的路径选择,可为域内和域间的网络可达性配置不同的策略。○
信息,不需要在所有路由更新报文中传送完整的路由数据库信息,后续的路由更新报文只通告网络的变化信息,
5在BGP通告目的网络的可达性信息时,除了处理指定目的网络的下一跳避免网络变化使得信息量大幅增加。○
信息之外,通告中还包括了通路向量,即去往目的网络时需要经过的AS的列表,使接受者能够清楚了解去往目
6BGP允许发送方把路由信息聚集在一起,用一个条目来表示多个相关的目的网络,以节约的网络的通路信息。○
7BGP在不同自治系统之间进行路由网络带宽。允许接收方对报文进行鉴别,以验证发送方的身份等多个特点。○
转发,分为EBGP和IBGP两种,EBGP外部边界网关协议,用于在不同的自治系统间交换路由信息。IBGP内部边界网关协议,用于向内部路由器提供更多信息。 5版教材P494-495
1IPSec安全策略应用到的接口一定是建立隧道的接口,且该接口一定是到对端私网路由115、IPSec配置原则:○
2一个接口只能应用一个IPSec安全策的出接口。如果将IPSec安全策略应用到其他接口会导致VPN业务不通。○
3当IPSec安全策略组应用于接口后,不能修改该安全略组,一个IPSec安全策略组也只能应用到一个接口上。○
策略组下安全策略的引用的ACL、引用的IKE。 116、IEEE802.11定义了2种无线网络拓扑结构,一种是基础设施网络,另一种是特殊网络(Ad Hoc Networking)。在基础设施网络中,无线终端通过接入点(AP)访问骨干网设备,接入点如同一个网桥,它负责在802.11和802.3 MAC协议之间转换。一个接入点覆盖的区域叫作一个基本服务区(BSA),接入点控制的所有终端组成一个基本服务集(BSS)。把多个基本服务集互相连接就形成了分布式系统(DS)。DS支持的所有服务叫做扩展服务集(ESS),它由两个以上BSS组成。Ad Hoc网络是一种点对点连接,不需要有线网络和接入点的支持,终端设备之间通过无线网卡可以直接通信。这种拓扑结构适合在移动情况下快速部署网络。802.11支持单跳的Ad Hoc网络,当一个无线终端接入时首先寻找来自AP或其他终端的信标信号,如果找到了信标,则AP或其他终端就宣布新的终端加入了网络;如果没检测到信标,该终端就自行宣布存在于网络之中。还有一个多跳的Ad Hoc网络,无线终端用接力的方法与相距很远的终端进行对等通信。 第5版教材P144-145
117、802.11MAC层定义的分布式协调功能(DFC)利用了CSMA/CA(载波监听多路访问/冲突避免协议)协议。802.11提供了有线等效保密(WEP)技术,又称作无线加密协议。
118、802.15.4定义的低速无线个人网(Low Rate-WPAN)包含两类设备,即全功能设备(FFD)和简单功能设备(RFD),FFD有3种工作模式,可以作为一般的设备、协调器或PAN协调器,而RFD功能简单,只能作为设备使用,例如电灯开关等,这些设备不需要发送大量的信息,通常接受某个FFD的控制。FFD可以与RFD或其他7
FFD通信,而RFD只能与FFD通信,RFD之间不能互相通信。第五版教材P175
119、简单的水平分割方案是:“不能把从邻居学习到的路由发送给那个邻居”,带有反向毒化的水平分割方案是:“把从邻居学习到的路由费用设置为无限大,并立即发送给那个邻居”。采用反向毒化的方案更安全一些,它可以立即中断环路。相反,简单水平分割方案则必须等待一个更新周期才能中断环路的形成。第五版教材P223 120、WiMAX即全球微波互联接入,也叫IEEE802.16无线城域网,WiMAX是一项新兴的宽带无线接入技术,能提供面向互联网的高速连接,数据传输距离最远可达50km。WiMAX还具有QoS保障、传输速率高、业务丰富多样等优点。
121、IP地址是分配给主机的逻辑地址,在因特网中表示唯一的主机;任何子网中主机至少都有一个在子网内部唯一的地址,叫物理地址或硬件地址;从网络互联的角度看,逻辑地址在整个因特网络中有效,而物理地址只是在子网内部有效;从网络协议分层的角度看,逻辑地址由Internet层使用,而物理地址由子网访问子层(具体说就是数据链路层)使用。在Internet中是用地址分解协议(ARP)来实现逻辑地址(IP地址)到物理地址(MAC地址)映像的。RARP是反向ARP协议,即由硬件地址查找逻辑地址。
122、访问控制列表(ACL)根据源地址、目标地址、源端口或目标端口等协议信息对数据包进行过滤,从而达到访问控制的目的。ACL是由编号或名字组合起来的一组语句。编号和名字是路由器引用ACL语句的索引。标准ACL只能根据分组中的IP源地址进行过滤,扩展ACL不仅可以根据源地址或目标地址进行过滤,还可以根据不同的上层协议和协议信息进行过滤。 详见华为设备ACL分类表 第5版教材P525-526 分类 规则定义描述 编号范围 2000~2999 基本ACL 仅用报文的源IP地址、分片信息和生效时间段来定义规则 高级ACL 即可使用IPV4报文的源IP地址,也可使用目的IP协议类型、ICMP类型、 3000~3999 TCP源/目的端口、UDP源/目的端口号、生效时间段等定义规则 二层ACL 使用报文的以太网帧头信息来定义规则 用户ACL 可使用IPV4报文的源IP地址,也可使用目的IP地址、IP协议类型、 ICMP类型、TCP源/目的端口、UDP源/目的端口号等定义规则 4000~4999 6000~6031 路由器自顶向下逐个处理ACL语句,如果在整个列表中没有发现匹配语句,则路由器丢弃该分组。ACL处理规则:1一旦发现匹配语句,2语句的排列顺序很重要;3如果整个列表中没有匹配的○就不再处理列表中的其他语句;○○语句,则分组被丢弃。
R1(config-if)#tunnel mode gre IPV6 //指定IPV6隧道模式为gre
R1(config-if)#tunnel mode ipv6ip isatap //Tunnel模式为IPV6的isatap隧道 R1(config-if)#ip access-group 1 out 将ACL应用到路由器接口
R1(config-if)#ip access-group outfilter out //将outfilter列表应用于某接口出方向
R1(configf)#line vty 0 4 //进入虚拟接口0-4的配置子模式(或0到4个用户可以telnet远程登录) 123、ISO7498-2五种安全服务:鉴别、访问控制、数据保密、数据完整性和防止否认(签名)。网络安全体系包括:物理层安全、网络层安全、应用层安全、系统层安全和安全管理。 华为路由相关命令 5版教材P460-536 对交换机的基本配置
[Switch1]interface vlanif5 //创建交换机管理VLAN的VLANIF接口 [Switch1- vlanif5]ip address 10.10.1.1 24 //配置VLANIF接口IP地址 [Switch1- vlanif5]quit
[Switch1]telnet server enable //Telnet默认是关闭的,需要打开 [Switch1]user-interface vty 0 4 //开启VTY线路模式
[Switch1-ui-vty-0-4]protocol inbound telnet //配置telnet协议 [Switch1-ui-vty-0-4]authentication-mode aaa //配置认证方式 [Switch1-ui-vty-0-4]quit [Switch1]aaa
8