2023年华三杯考试复习题库及答案

PAGEPAGE12023年华三杯考试复习题库及答案一、单选题1.在网络层上实现网络互连的设备是______。A、路由器B、交换机C、集线器D、中继器答案：A解析：路由器和三层交换机2.IKEv1主模式第一阶段协商的第一和第二个报文的作用是身份验证，从而保证了后续报文传递的合法性，以

上说法是否正确？A、正确B、错误答案：A3.防火墙缺省存在local、trust、DMZ、Management、untrust，并上述缺省安全域不能被删除，以上说法是A、错误B、正确答案：B4.防火墙具有隐私内网网络结构，防止外部攻击源对内部服务器的攻击行为，称之为（）A、攻击防范B、包过滤C、NATD、地址过滤答案：C5.以下哪些防火墙不支持SSLVPN功能?A、F1000-SB、U200-AC、V100-SD、v100-E答案：C6.防火墙具有隐藏私网内部网络结构,防止外部攻击源对内部服务器的攻击行为的技术,称之为A、地址过滤;B、NATC、反转D、IP欺骗答案：B7.AAA授权包括以下哪些？A、本地授权B、远程授权C、不授权答案：A8.NAT的EasyIP方式可以实现公网地址的复用,有效解决1PV4地址短缺问题。A、正确B、错误答案：B9.NAT的NATPAT方式属于多对一的地址转换,通过使用”地址+端口号”的形式进行转换,使多个私网用户可共用

一个公网IP地址访问外网。上述说法是A、正确B、错误答案：A10.SPX属于OSI参考模型的______。A、网络层B、传输层C、会话层D、表示层答案：B解析：传输层协议有TCP/IP协议族的TCP/UDP,以及IPX/SPX协议族的SPX等11.如下图所示的网络中,RTB对RTA发起IPSec连接,有关NAT穿越描述正确的是A、IPSec隧道两端不启用TKE的情况下亦能实现NAT穿越B、通过将IPsec报文封装在UDP1701端协议报文中实现IPSec的NAT穿越C、RTA在主模式情况下不能实现NAT穿越D、NAT网关会修改UDP报文头,IPSec报文的IP头答案：C12.以下工作于OSI参考模型数据链路层的设备是______。A、广域网交换机B、路由器C、中继器D、集线器答案：A解析：广域网交换机-数据链路;路由器-网络层;中继器-物理层;集线器-物理层13.NAT的NATstatic方式可以实现公网地址的复用，有效解决ipv4地址短缺的问题，上述说法是（）A、错误B、正确答案：A14.SMTP协议使用的端口号是A、21B、25C、110D、22答案：B15.如下NAT命令及其作用对应关系正确的是?A、displaynatsession显示NAT会话B、displaynatentry显示地址条目C、displaynat显示所有NAT配置D、displaynattable显示地址表答案：A解析：displaynatsession命令用来显示NAT会话，即经过NAT地址转换处理的会话。

Displaynatall命令用来显示所有的NAT配置信息。C错

BD命令没有找到16.F100-E固定4个GE接口,一个扩展槽,支持SSLVPN模块。A、正确B、错误答案：B17.HWTACACS协议和RADIUS协议的区别A、以上信息记住B、以上信息记住C、以上信息记住D、以上信息记住答案：A18.以下哪个病毒可以破坏计算机硬件?A、CIH病毒B、宏病毒C、冲击波病毒D、熊猫烧香病毒答案：A19.以下属于块加密算法的是:A、SHA-1B、MD5C、DESD、RC4.答案：C20.用以太网线连接两台交换机，互连端口的MDI类型都配置为across，则此以太网线应该为________。A、只能使用交叉网线B、只能使用直连网线C、平行网线和交叉网线都可以D、平行网线和交叉网线都不可以答案：A解析：同层设备交叉线，不同层直连线

以太网交换机接口类型MDI/MDIX自适应

MDI直通线

MDIX交叉线

这里设置成MDI，只能用交叉线21.H3CACG透明模式部署，在配置带宽管理时，需要将线路绑定在物理接口上，绑定在桥接口上无法生效A、错误B、正确答案：B22.在IKE协商模式中，哪种模式适合用于分支机构采用ADSL拨号与总部IPSec连接A、野蛮模式B、主模式C、传输模式D、隧道模式答案：A23.100BASE-TX的标准物理介质是______。A、粗同轴电缆B、细同轴电缆C、3类双绞线D、5类双绞线E、光纤答案：D解析：100BASE-TX2对五类双绞线

100BASE-FX多模光纤

100BASE-T44对三类双绞线

1000BASE-SX多模光纤

LX单模24.下列关于L2TP的说法正确的有:A、用户的远程系统可以通过一个远程接入方式接入到运营商的LAC中,由LAC对LNS发起L2tp隧道并建立会话B、当用户的远程系统使用VPDN客户端软件对LNS发起L2tp隧道并建立会话时,隧道直接建立在客户端和LNS之间,此时L2tp系统不存在LACC、L2tp隧道存在于一对LAC与LNS之间。一个隧道内包括一个控制连接(ControlConnection）一个隧道内只支持一个会话D、L2tp是面向连接的,可以为其传送的信息提供一定的可靠性。LAC维护远程系统对其发起的呼叫状态和信息。一对LAC和LNS也同时维护在两者之间的相应信息和状态答案：D25.集线器（Hub）工作在OSI参考模型的______。A、物理层B、数据链路层C、网络层D、传输层答案：A26.在L2TP报文协商过程中,进行IP地址分配工作是在以下哪个阶段？A、Establish(链路建立)阶段B、LCP协商阶段C、CHAP或PAP验证阶段D、网络协商（NCP）阶段答案：D27.NO-PAT方式是指直接使用接口的公网IP地址作为转换后的源地址进行地址转换上述说法是A、错误B、正确答案：A28.如果以太网交换机中某个运行STP的端口不接收或转发数据，接收并发送BPDU，不进行地址学习，那么该

端口应该处于______状态。A、BlockingB、ListeningC、LearningD、ForwardingE、WaitingF、Disable答案：B解析：接收配置BPDU发送配置BPDUMAC地址学习收发数据

Disable

Blocking√

Listening√√

Learning√√√

Forwarding√√√√29.H3c负载均衡交换机目前可以支持四层负载均衡，但不支持七层负载均衡A、正确B、错误答案：A30.安全的含义包过A、Security（安全）B、Safety（可靠）C、Security（安全）和safety（可靠）D、risk（风险）答案：C31.在防火墙上配置动态NAT使用命令displaynatsessionverbose有如下信息。

从设备输出可确定的是：A、设备上配置的是NO-PAT方式的动态NATB、动态NAT的配置下发在G1/0/0口上C、可以ping通.D.地址池中只有1个地址答案：A32.在OSI参考模型中，网络层的功能主要是______。A、在信道上传输原始的比特流B、确保到达对方的各段信息正确无误C、确定数据包从源端到目的端如何选择路由D、加强物理层数据传输原始比特流的功能，并且进行流量调控答案：C33.如图所示网络环境中，在RTA上执行如下NAT配置：

[RTA]aclnumber2000.[RTA-acl-basic-2000]rule0permitsource55.[RTA-acl-basic-2000]nataddress-group111[RTA]interfaceEthernet0/1[RTA-Ethernet0/1]natoutbound2000address-group1配置后，Client_A和Client_B都在访问Server，则此时RTA的NAT表可能为______。A、ProtocolGlobalAddrPortInsideAddrPortDestAddrPort

111228910241024

VPN:0,status:NOPAT,TTL:00:01:00,Left:00:00:59

1112288512512

VPN:0,status:11,TTL:00:01:00,Left:00:00:51B、ProtocolGlobalAddrPortInsideAddrPortDestAddrPort

111228910241024

VPN:0,status:11,TTL:00:01:00,Left:00:00:59

1212288512512

VPN:0,status:11,TTL:00:01:00,Left:00:00:51C、ProtocolGlobalAddrPortInsideAddrPortDestAddrPort

121228910241024

VPN:0,status:11,TTL:00:01:00,Left:00:00:59

1112288512512

VPN:0,status:11,TTL:00:01:00,Left:00:00:51D、ProtocolGlobalAddrPortInsideAddrPortDestAddrPort

111228910241024

VPN:0,status:11,TTL:00:01:00,Left:00:00:59

1112288512512

VPN:0,status:11,TTL:00:01:00,Left:00:00:51答案：D解析：Napt且地址池只分配了一个地址34.防火墙的DMZ区的主要用途是(A、解决公共设备如服务器防止问题B、解决军事侵犯问题C、解决防火墙区域划分不够问题答案：A35.GRE协议栈如图所示，以下说法正确的是？A、协议B是封装协议B、协议B是承载协议C、协议A是封装协议D、协议A是承载协议答案：D解析：协议A是承载协议，GRE是封装协议36.H3C负载均衡交换机提供了全面的健康检测算法,负载均衡调度算法以及会话保持功能,可以根据应用场景进

行灵活的选择,从而达到最优的负载均衡效果,下面关于H3C负载均衡交换机描述不正确的是:A、可以提供基于源地址/端口,HITTP头信息,SSLID,HTTPCookie信息的会话保持B、负戴均衡调度功能和会话保持功能不能同时启动C、可以提供基于ICMP,TCP,HTTP,VFTP,QSSL92DNS等健康检测算法;D、可以提供基于轮询,最小连接,最小响应时间,加权方式,源/目的地址Hash等负载均衡调度算法。答案：B37.标准GRE头中必选字段包括有A、ProtocolTypeB、checksumtpaeC、KeyFieldD、SequenceNumber答案：A38.H3C防火墙在接口上应用包过滤，方向可以选择Inbound和lOutboundA、错误B、正确答案：B39.ACG1000产品支持旁路部署,在系统管理-部署方式处将接收流量的接口打钩,并将流里镜像到该接口即可完

成旁路部署A、对B、错答案：A40.在运行了RIP的MSR路由器上看到如下路由信息：

displayiprouting-table.RoutingTable:Public

SummaryCount:2.Destination/MaskProtoPreCostNextHopInterface6.6.0/24RIP1001GE0/0.H3C技术交流QQ群13899313/8Static600GE0/0.此时路由器收到一个目的地址为的数据包，那么______。A、该数据包将优先匹配路由表中的RIP路由，因为其掩码最长B、该数据包将优先匹配路由表中RIP路由，因为其优先级高C、该数据包将优先匹配路由表中的静态路由，因为其花费Cost小D、该数据包将优先匹配路由表中的静态路由，因为其掩码最短答案：A解析：只有优先级最高的会被加入路由表，掩码不同都会被加入路由表路由表查找规则1）最长匹配转发2）非直连网段迭代查找3）默认路由最后匹配41.SecPath防火墙缺省开启黑名单功能。A、正确B、错误答案：B42.查看SecPath防火墙会话的命令是()A、displayfirewallsessiontableB、displayfirewallsessionC、displaysessiontableD、displayaspfsession答案：C43.在L2TP组网中,LNS侧对用户的验证方式有三种,代理验证、强制验证和LCP重协商。其中优先级最高的是A、代理验证B、强制СНАР验证C、LCP重协商D、都相同答案：C44.以下关于DoS攻击的描述,正确的是?A、攻击者通过后门程序来入受攻击的系统B、攻击者以窃取目标系统上的机密信息为目的C、攻击行为会导致目标系统无法处理正常用户的请求D、如果目标系统没有漏洞,远程攻击就不可能成功答案：C45.默认情况下LAC和LNS之间通道的Hello报文发送时间间隔为A、10B、5C、30D、60.答案：D46.ESP报文格式如下图所示,关于ESP描述正确的有A、SPI字段可以唯标识这个数据包的IPSecSAB、ESP协议报文用IP报文协议号51表示C、根据特定加密算法的要求,可以在Padding字段增加填充位D、验证字段(AuthenticationData)对于ESP来说是必选字段答案：A47.源主机ping目的设备时，如果网络工作正常，则目的设备在接收到该报文后，将会向源主机回应

ICMP______报文。A、EchoRequestB、EchoReplyC、TTL-ExceededD、Port-Unreachable答案：B解析：

EchoRequest

————————————————————————————>

EchoReply（正常）

<————————————————————————————

TTL-Exceeded/Port-Unreachable（超时/目的地址不可达）48.一般来说,以下哪些功能不是由防火墙来实现的.A、隔离可信任网络和不可信网络B、防止病毒和木马程序入侵C、隔离内网和外网D、监控网络中会话状态答案：B49.DNS工作于OSI参考模型的______。A、网络层B、传输层C、会话层D、应用层答案：D50.下述攻击手段中，不属于DOS攻击的是A、FraggleB、Land攻击C、跨站攻击D、Smurf攻击答案：A51.L2TP数据报文以（）报文的形式发送，注册得端口号为（）A、UDP1701B、TCP1701C、UDP1700.D、TCP1700.答案：A52.H3CUTM从高优先级域到低优先级域是允许访问的,但是反之不行,上述说法:A、正确B、错误答案：A53.以下哪个场景不存在VPN的需求？A、大型企业园区互联B、出差员工移动办公C、超市/门店/卖场的联网D、加油站/收费站的联网答案：A54.L2TP会话的建立是通过()完成的A、TCP报文的3次握手B、UDP报文的3次握手C、TCP报文的4次握手D、UDP报文的4次握手答案：B55.SSL协议向()提供端到端的、有连接的加密传输服务A、传输层B、应用层C、网络层D、数据链路层答案：B56.防范SYINFlood攻击的常见手段是连接限制技术和连接代理技术,其中连接代理技术是指对TCP连接速率进

行检测,通过设置检查阈值来发见并阻断攻击流里,上述说法是A、错误B、正确答案：B57.在企业的内部信息平台中,存在的信息泄露的途径包括:A、可移动存储介质B、打印机C、内部网络共享D、公司对外的FTP服务器答案：A58.IP地址10是______地址。A、A类B、B类C、C类D、D类答案：C59.在OSI参考模型中，加密是______的功能。A、物理层B、传输层C、会话层D、表示层答案：D60.现在各种P2P应用软件层出不穷,P2P流量的识别也必须采用多种方法写作进行,以上说法是A、正确B、错误答案：A61.黑名单表项可以手工添加,也可以有防火墙动态生成,上述说法是:A、正确B、错误答案：A62.SSLVPN支持哪些接入方式?A、WebB、TCPC、IPD、以上都是答案：D63.DES是最著名的对称密码算法,其属于分组密码,明文分组的位数为A、64B、56C、128D、256答案：A64.SSLVPN主要可以解决:A、适应各种网络条件下的安全接入B、无法忍受VPN客户端损坏和网关配置修改后不能访问C、细粒度访问控制D、以上全是答案：D65.802.11b协议在2.4GHz频段定义了14个信道，相邻的信道之间在频谱上存在交叠。为了最大程度地利用频段资源，可以使用如下哪组信道来进行无线覆盖？A、1、5、9.B、1、6、11C、2、6、10.D、3、6、9答案：B解析：两两之间相差要≥5.66.基本NAT方式是指直接使用接口的公网IP地址作为转换后的源地址进行转换,上述说法是A、正确B、错误答案：B67.下列关于应用审计配置说法错误的是A、URL审计分为预定义URL和自定义URL两部分B、旁路部署时做全部应用的升级，镜像流量不需做处理动作C、日志级别默认为“不记录”仍然可以在日志查询里查到相关日志信息D、在“审计行为内容”里可以配置某个APP做的相应动作答案：C68.使用防火墙Web过滤功能,可以组织或者允许内部用户访问某些特定网页A、正确B、错误答案：A69.安全概念在所属的各个领域有着不同的含义,那么网络安全应属于A、经济安全领域B、信息安全领域C、生成安全领域D、国家安全领域答案：B70.用______命令可指定下次启动使用的操作系统软件。A、startupB、boot-loaderC、bootfileD、bootstartup答案：B71.IP地址10是______地址。A、A类B、B类C、C类D、D类答案：C72.永久黑名单表项建立后,会一直存在,直到超过一定生存时间后防火墙会自动将该黑名单表项删除,上述说法是A、正确B、错误答案：B73.下列关于GRE穿越NAT的说法正确的是A、对于基于端口或协议的NAT,即NAPT来说,标准GRE协议报文可以正常穿越,且可以区分相同源地址发起

的不同GRE隧道。B、普通的源(目的地址作转化的NAT,标准GRE封装协议报文不可以正常穿越。C、对于基于端口或协议的NAT,即NAPT来说,NGRE可以通过Key选项来区分相同源地址发起的不同GRE

隧道。D、对于基于端口或协议的NAT,即NAPT来说,GRE可以通过SequenceNumber选项来区分相同源地址发起

的不同GRE隧道答案：C74.常见的安全域划分方式有:A、按照接口划分B、按照业务划分C、按照规则划分D、按照IP地址划分答案：A75.提供端到端可靠数据传输和流量控制的是OSI参考模型的______。A、表示层B、网络层C、传输层D、会话层答案：C76.TCP属于OSI参考模型的______。A、网络层B、传输层C、会话层D、表示层答案：B77.在开放系统互连参考模型（OSI）中，______以帧的形式传输数据流。A、网路层B、会话层C、传输层D、数据链路层答案：D解析：应用层APDU

表示层PPDU

会话层SPDU

传输层段segment

网络层包packet

数据链路层帧frame

物理层比特流bit78.GRE协议的协议号是：A、50.B、51C、47.D、48.答案：C79.对于H3C防火墙来说，如果不将物理接口添加到某一安全域中，则该接口不能正常收发报文A、错误B、正确答案：B80.工程师小L在调试SecPathU200-S设备时,把缺省的GO/0接口当成内网口G0/1接口配置成了Untrust区域当成

外网口,此时内网用户是否可以正常访问外网?A、能B、不能答案：A81.在配置ISDNDCC的时候，客户在自己的MSR路由器上配置了如下的dialer-rule：

[MSR]dialer-rule1acl3000那么关于此配置如下哪些说法正确？A、只有匹配ACL3000的数据包能触发拨号B、只有匹配ACL3000的数据包会被路由器通过拨号链路发送C、没有定义permit或者deny，配置错误D、正确的配置应为：[MSR]dialer-rule1acl3000permit答案：A82.IP地址00的子网掩码是40，哪么它所在子网的广播地址是______。A、07.B、55.C、93.D、23.答案：A解析：10010000.11001111….广播地址83.SecPathIPS设备的管理口仅支持同网段管理端PC访问,当管理端PC的地址与设备管理地址不在同一网段时,

无法对设备进行Web管理,以上说法是:A、正确B、错误答案：B84.L2TP协议是承载在UDP协议之上的,数据包的封装过程为A、私有IP->L2TP->UDP->PPP->公有IPB、私有IP->PPP->L2TP->UDP->公有IPC、私有IP->PPP->UDP->L2TP->公有IPD、私有IP->L2TP->PPP->UDP->公有1P答案：B85.基本NAT方式是指直接使用接口的公网IP地址作为转换后的源地址进行地址转换。上述说法是()-A、正确B、错误答案：B86.下列哪一种防火墙运行时速度最慢，并且运行在OSI模型中的最高层A、包过滤防火墙B、状态防火墙C、应用代理防火墙D、SMB防火墙答案：C87.OSI参考模型物理层的主要功能是______。A、物理地址定义B、建立端到端连接C、在终端设备间传送比特流，定义了电压、接口、电缆标准和传输距离等D、将数据从某一端主机传送到另一端主机答案：C88.防火墙双机热备工作填式包括主备模式和负载分担模式A、正确B、错误答案：A89.下述哪个是H3C专有的VPN技术A、IPSecVPNB、GREVPNC、动态VPND、MPLSVPN答案：C90.UDP属于OSI参考模型的______。A、网络层B、传输层C、会话层D、表示层答案：B91.AH和ESP的协议号分别是:A、51,50.B、50,51C、17,47.D、47,17.答案：A92.IPS(入侵防御系统)是一种基（）的产品,它对攻击识别是基于（）匹配的A、应用层,特征库B、网络层,协议C、应用层,协议D、网络层,特征库答案：A93.在防火墙应用中,一台需要与互联网通信的Web服务器放置在以下哪个区域时最安全?A、DMZ区域B、Trust区域C、Local区域D、Untrust区域答案：A94.如果在IP网络中使用GRE协议在承载IPX协议，则报文的封装过程为A、链路层协议->IPX>GRE>IPB、链路层协议->GRE>IPX>IPC、链路层协议->IP>GRE>IPXD、链路层协议->GRE>IP>IPX答案：C95.IP协议对应于OSI参考模型的第______层。A、5.B、3.C、2.D、1答案：B解析：

应用层协议：见T13.传输层协议：TCP(6)UDP(17)

网络层协议：IP,ICMP（ICMP消息可分为ICMP差错消息和ICMP查询消息）,IGMP（互联网组管理协议，负责管理组播组）网络接口层协议：以太网、令牌环，HDLC,PPP,X.25,帧中继,PSTN,ISDN等96.两台空配置的MSR路由器通过图示的方式连接，通过配置IP地址，两台路由器的GE0/0接口可以互通。

如今分别在两台路由器上增加如下配置：

RTA：

[RTA]ospf

[RTA-ospf-1]area0.[RTA-ospf-1-area-]network.[RTA-GigabitEthernet0/0]ospfdr-priority2.RTB：

[RTB]ospf[RTB-ospf-1]area0.[RTB-ospf-1-area-]network.[RTB-GigabitEthernet0/0]ospfdr-priority

那么在OSPF邻居状态稳定后，______。A、OSPF接口优先级相同，在/30网段上不进行OSPFDR选举B、两台路由器中，一台为DR，一台为BDRC、两台路由器中，一台为DR，一台为DRotherD、两台路由器的邻居状态分别为FULL、2-Way答案：B解析：[接口]ospfdr-priority（0-255）修改接口优先级，默认为1，优先级为0的不参与选举只有广播网，NBMA网络中才有DB,BDR选举，千兆以太口默认接口类型广播

修改ospf网络类型：[接口]ospfnetwork-type（）DR,BDR的选举是针对接口、网段而言的的，并非该RT是DR,BDR。通过比较接口优先级（越大越优），一样则比较routerid（越大越优）DRother之间另据状态停留在2-way97.SSL协议支持的流加密算法包括A、3DESB、DESC、AESD、RC4.答案：D98.ACG1000产品不支持VRF功能,因此无法可作为MCE设备和MPLS网络对接A、对B、错答案：B99.工作数字签名算法和哈希函数的关系是A、都是用来签名的算法B、都是用来进行加密的算法C、哈希函数济生消息摘要,而数字签名算法对消息摘要进行加密D、数字签名对消息进行签名,然后由哈希函数产生摘答案：C100.下列关于对防火墙的功能描述,不正确的是A、防火墙能够执行安全策略B、防火墙能够产生审计日志C、防火墙能够限制组织安全状况的暴露D、防火墙能够防病毒答案：D101.关于包过滤技术的描述,下列说法错误的是:A、H3CUTM产品默认开启了包过滤功能B、用户并不知道报文是否被过滤,也就是说包过滤对用户端是透明的C、包过滤技术主要是根据报文中的IP头信息来进行过滤D、包过滤技术可以根据报文中的应用层信息进行过滤答案：D102.在如图所示的TCP连接的建立过程中，SYN中的Z部分应该填入________。A、aB、bC、a+1D、b+1答案：D解析：X=a+1（确认收到a，期望下次发送a+1）

Y=a+1Z=b+1（确认收到b）103.下列关于L2TP的说法正确的是A、在LAC上会根据接入用户的PPP验证信息进行验证,以确定是否是L2TP的用户以及用户属于哪一个L2tp

组，随后LAC会向相应的LNS发起建立隧道的请求B、用户和LAC之间会进行协商以获取IP地址C、隧道建立后,LAC与用户相连接口的IPCP会变为UP状态D、CHAP验证只用在用户端和LNS端进行答案：A104.以下哪些配置可以实现telnet用户的AAA认证A、[Device-line-console0]authentication-modeschemeB、[Device-line-vty0-63]authentication-modeschemeC、[Device-line-vty0-63]authentication-modenoneD、[Device-line-vty0-63]authentication-modelocal答案：B105.下面哪个不是VPN技术中用到的加密算法A、DESB、3DESC、AESD、RIP/RIP2.答案：D106.H3C防火墙要么工作在二层模式，要么工作在三层模式，不能同时工作在二层和三层，以上说法正确吗？A、正确B、错误答案：B107.包过滤ACL进行如下配置:

Aclbasic2000match-orderconfig

Rulepermitsource55.A、源地址0目的地址0的报文被丢弃B、源地址目的地址的报文被丢弃C、源地址0目的地址的报文允许通过D、源地址目的地址的报文允许通过答案：D108.L2TP数据报文以报文的形式发送,注册的端口号为A、UDP,1700B、TCР,1700C、TCP,1701D、UDP,1701答案：D109.防火墙实现包过滤的核心技术是ACL控制列表?A、正确B、错误答案：A110.下列关于L2TP的说法正确的是A、用户和LAC之间会进行协商以获取IP地址B、在LAC上会根接入用户的PPP验证信息进行验证,以确定是否是L2tp的用户以及用户属于哪个L2TP组，

随后LAC会向相应的LNS发起建立隧道的请求。C、随道建立后,LAC与用户相连接的PCP会变为UP状态D、CHAP验证只能在用户端和LNS端进行答案：B111.TFTP采用的传输层知名端口号为______。A、67.B、68.C、69.D、53.答案：C解析：TCP（6）：ftp——20/21ssh——22.telnet——23.smtp——25接收邮件

Pop3——110发送邮件

DNS——53.http——80.https——443http安全版，下加入ssl层

UDP(17)：DNS——53.Bootp——67服务器/68客户端（就是dhcp，dhcp基于bootp发展而来）

Tftp——69.Snmp——161/162服务器监听的端口号161，客户端监听端口号112.ARP协议报文包括有ARP请求和ARP应答报文A、错误B、正确答案：B113.下列哪些交换模式是在IKE协商的第二阶段存在的?A、主模式B、野蛮模式C、快速模式D、普通模式答案：C114.下面哪一个协议工作在TCP/IP协议栈的传输层以下?A、SKIPB、SSLC、S-HTTPD、SSH答案：A115.IP地址2和掩码24代表的是一个______。A、主机地址B、网络地址C、广播地址D、以上都不对答案：B解析：01000055.11100000.116.在防火前上使用命令displaynatall有如下信息：

基于以上信息可以得出结论是：A、接口的动态NAT没有配置ACL限制B、NAT地址池1中有4个地址C、NAT地址池中有2个地址D、当前设备上有1个地址池答案：C117.通过哪个工具可以简化IPSecVPN的配置?A、VPNManagerB、VMSC、SMSD、XLOG答案：A118.SecPathF1000-E防火墙Inline转发是依据Mac地址表完成的,上述说法是?A、正确B、错误答案：B119.下列关于对于NGFW防火墙的功能描述，不正确的是A、防火墙能够防网页被篡改B、防火墙能够限制网络访问C、防火墙能够产生审计日志D、防火墙能够执行安全策略答案：A120.ping实际上是基于______协议开发的应用程序。A、ICMPB、IPC、TCPD、UDP答案：A解析：Ping功能是基于ICMP协议来实现的：源端向目的端发送ICMP回显请求（ECHO-REQUEST）报文后，根据是否收到目的端的ICMP回显应答（ECHO-REPLY）报文来判断目的端是否可达，对于可达的目的端，再根据发送报文个数、接收到响应报文个数来判断链路的质量，根据ping报文的往返时间来判断源端与目的端之间的“距离”。121.下列那一项没有涉及到密码技术A、SSHB、SSLC、GRED、IPSec/IKE答案：C122.SSLVPN是解决远程用户访问敏感公司数据最简单最安全的解决技术。要使用SSLVPN,需安装哪个软件?A、客户端软件B、浏览器C、防火墙D、防病毒答案：B123.NATALG技术可以解决所有多通道应用之间端到端的通信问题。以上说法是否正确A、正确B、错误答案：B124.NAT技术可以隐藏私网的网络结构防止外部攻击源对内部服务器的攻击。上述说法是A、正确B、错误答案：A125.H3C防火墙的安全域有优先级概念。上述说法是否正确。A、正确B、错误答案：A126.下列攻击手段中，不属于单包攻击的是（）A、UDPflood攻击B、WinNukeC、Land攻击D、Smurf攻击答案：A127.下面哪个说法是错误的？A、VPN可以专线线路的备份,但是缺点在于组网复杂,而且价格昂贵B、相对于PSTN拨号接入,VPN接入方式可以提供更高的性能,而且安全性高C、防火墙的一个功能特性是防止某些基于2层/3层网络协议的网络层攻击D、防火墙可以提供路由交换、地址转换(NAT)、身份认证等多种功能答案：A128.地址转换技术只能用于将私网地址转换为公网地址，以上说法是否正确？A、正确B、错误答案：B129.防火墙的策略一般是应用在安全域之间的,而IPS/AV策略一般应用在某个段上。A、正确B、错误答案：A130.在Windows操作系统中，哪一条命令能够显示ARP表项信息？A、displayarpB、arp–aC、arp–dD、showarp答案：B解析：arp–d删除arp表项

Arp–sIPMAC——MAC静态绑定arp131.AAA(Authentication、Authorization、Accounting,认证、授权、计费)是网络安全的一种管理机制,提供了

认证、授权、计费三种安全功能。A、正确B、错误答案：A132.源主机ping目的设备时，如果网络工作正常，则目的设备在接收到该报文后，将会向源主机回应

ICMP______报文。A、EchoRequestB、EchoReplyC、TTL-ExceededD、Port-Unreachable答案：B解析：

EchoRequest

————————————————————————————>

EchoReply（正常）

<————————————————————————————

TTL-Exceeded/Port-Unreachable（超时/目的地址不可达）133.ACG1000的DFI主要用来识别应用的静态报文特征A、正确B、错误答案：B解析：DPI主要用来识别应用的动态流量特征134.在下列哪种密码应用中,我们是使用公钥加密、私钥解密?A、非对称密码B、对称密码C、数字签名D、DH交换答案：A135.802.11b协议在2.4GHz频段定义了14个信道，相邻的信道之间在频谱上存在交叠。为了最大程度地利用频段资源，可以使用如下哪组信道来进行无线覆盖？A、1、5、9.B、1、6、10.C、2、7、12.D、3、6、9.答案：C解析：

两两之间相差要≥5.136.H3C防火墙安全策略规则中，若引用DPI业务时，规则的动作需配置为允许，以上说法是否正确？A、正确B、错误答案：A137.FTP默认使用的控制协议端口是______。A、20.B、21C、23.D、22.答案：B解析：ftp数据连接ftp控制连接telnetssh138.工程师小L在调试SecPathF1020设备是，把缺省的G1/0/0当成内网口Trust，G1/0/0接口配置成untrust区域

当成外网口，此时内网用户是否可以正常上网A、不能B、能答案：A139.在UDP端口扫描中，对主机端口是否开放的判断依据是A、根据被扫描主机开放端口放回的信息判断B、根据被扫描主机关闭端口返回的信息判断C、既不根据A也不根据BD、综合考虑A和B的情况进行判断答案：A140.下列算法中,既可以用于加密,也可以用于签名的是A、AESB、DESC、RSAD、DSA答案：C141.下面有关L2TP配置说法正确的有;A、可以配置完整的用户名或者特定的域名作为触发L2TP发起连接的条件B、当使用ippool命令给对端分配地址时,应确保ippool地址池里的地址和虚模板接口地址在同一网段内C、当L2TPgroup组号为0,且不指定通道对端名remote-name时,发起L2TP连接时,忽略对端用户名D、L2TP默认配置情况下启用了隧道验证,且验证密码为空答案：C142.关于SecPath防火墙,下列说法正确的是口A、防火墙只能通过命令行方式升级版本B、防火墙通过WEB登录的默认用户名/密码是h3c/h3cC、防水墙的默认登录IP地址是D.防火墙的域间策略只能再Web页面下配答案：C143.在SSL协议体系中,服务器端使用()端口接收并处理建立SSL链接的请求报文A、443.B、441C、500.D、520.答案：A144.编号3001的ACL对应的类型是A、二层ACLB、七层ACLC、基本ACLD、高级ACL答案：D145.下面关于OSI参考模型的说法正确的是______。A、传输层的数据称为帧（Frame）B、网络层的数据称为段（Segment）C、数据链路层的数据称为数据包（Packet）D、物理层的数据称为比特（Bit）答案：D146.下面关于OSI参考模型各层功能的说法错误的是______。A、物理层涉及在通信信道（Channel）上传输的原始比特流，它定义了传输数据所需要的机械、电气功能

及规程等特性。B、网络层决定传输报文的最佳路由，其关键问题是确定数据包从源端到目的端如何选择路由。C、传输层的基本功能是建立、维护虚电路，进行差错校验和流量控制。D、会话层负责数据格式处理、数据加密等。E、应用层负责为应用程序提供网络服务。答案：D解析：应用层为应用进程提供网络服务

表示层定义数据格式与结构、协商上层数据格式、数据加密压缩

会话层主机间通信，建立、维护、终结应用程序间会话，文字处理、邮件、表格

传输层分段上层数据，端到端连接，透明可靠传输，差错校验、重传，流量控制

网络层编址，路由，拥塞控制，异种网络互连数据链路层编帧、链路建立/维持/释放，流量控制，差错校验，寻址，标识上层数据

物理层电压，接口，线缆，传输距离等物理参数。四大特性：机械、电器、功能、规

程147.下面哪一项不是IKE的特点A、定时更新IPSecSAB、允许端到端动态验证C、定时更新IPsec共享密钥D、允许IPsec提供抗重播服务答案：C148.CHAP是三次握手的验证协议，其中第1次握手是完成（）A、验证方将一段随机报文和用户名传递到被验证方B、被验证方直接将用户名和令传递给验证方C、被验证方生成段随机报文，用自己的令对这段随机报文进行加密，然后与自己的用户名一起传递给被验

证方D、验证方将用户名和密码传递到被验证方答案：A149.下列关于加密和解密的说法,正确的是A、将密文解码为明文的过程称之为解密,它是加密的相反过程B、加密和解密是互逆的两个过程,因此加解密的密钥需要相同C、一般来讲,加密比解密要消耗更多的设备性能D、密码算法的安全性不仅和密钥相关,也和加解密算法相关,因此算法不能公开答案：A150.boot-loader-加载应用程序文件P192.7.通常情况下，路由器会对长度大于接口MTU的报文分片。为了检测线路MTU，可以带______参数ping

目的地址。A、–aB、–dC、–fD、–c答案：C解析：-a——带源;-f——不允许对ICMPEchoRequest报文进行分片;tos——typeofservicetos域的值默认0（0-255）;-t——报文超时时间，默认2000毫秒;-s——报文大小，默认56字节（20-8100）;-c——报文数目，默认5.-h——指定报文ttl值，默认255（0-255）;-m——指定发送报文时间间隔，默认200毫秒（1-65535）151.关于VPN，下述哪个说法是不正确的?A、包转发是VPN网关的关键性能指标;B、接口数是VPN网关的关键性能指标;C、加密吞吐量是VPN网关的关键性能指标;D、最大并发隧道数是VPN网关的关键性能指标。答案：A152.配置交换机SWA的桥优先级为0的命令为______。A、[SWA]stppriority0.B、[SWA-Ethernet1/0/1]stppriority0.C、[SWA]stprootpriority0.D、[SWA-Ethernet1/0/1]stprootpriority0.答案：A153.如图所示网络环境中，两台路由器以串口背靠背相连，要设置互连链路的速率为2Mbps，下面说法正确的是

______。A、需要确定接口类型以及线缆满足V.24规程B、在RTA的同步口上使用baudrate2048000命令配置C、在RTB的同步口上使用baudrate2048000命令配置D、在RTB的同步口上使用virtual-baudrate2048000命令配置E、在RTA的同步口上使用bandrate2048000命令配置，在RTB的同步口上使用virtual-baudrate2048000.命令配置答案：B解析：V．24支持同、异步：异步最高速率115200bps同步最高速率64000bps

V．35只支持同步：最高速率为2048000bps=2Mbps

在DCE端配置带宽

DCE（数据控制设备）运行商设备，提供DCE、DTE之间同步时钟信号

DTE（数据终端设备）用户设备，接受DCE提供的时钟信号154.IPSec的加密和认证过程中所使用的密钥可以由()协议来自动生成和分发A、ESPB、IKEC、SPID、AH答案：B155.假设某企业总部和分支之间原采用物理专线连接的方式构建Intranet网络;现欲将总部和分支都接入Intranet,

在总部和分支间启用VPN随道,并保证数据在网络上传输的私密性,可选择()VPN技术A、PPTPB、IPsecC、GRED、L2tp答案：B156.在TCP连接的三次握手过程中,第一步是由发起端发送A、SYN包B、SCK包C、UDP包D、NULL包答案：A157.广域网接口多种多样，下列对于广域网接口的描述错误的是______。A、V.24规程接口可以工作在同异步两种方式下，在异步方式下，链路层使用PPP封装。B、V.35规程接口可以工作在同异步两种方式下，在异步方式下，链路层使用PPP封装。C、BRI/PRI接口用于ISDN接入，默认的链路封装是PPPD、G703接口提供高速数据同步通信服务。答案：B解析：V．24支持同、异步：异步最高速率115kps同步最高速率64kbps

V．35只支持同步：最高速率为2048000bps=2Mbps;ISDN两种接入方式：BRI接口→2B+DB信道64kbpsD信道16kbps;PRI接口→E130B+D

T123B+D默认PPP封装158.数据分段是在OSI参考模型中的______完成的。A、物理层B、网络层C、传输层D、接入层答案：C159.ping实际上是基于______协议开发的应用程序。A、ICMPB、IPC、TCPD、UDP答案：A解析：Ping功能是基于ICMP协议来实现的：源端向目的端发送ICMP回显请求（ECHO-REQUEST）报文后，根据是否收到目的端的ICMP回显应答（ECHO-REPLY）报文来判断目的端是否可达，对于可达的目的端，再根据发送报文个数、接收到响应报文个数来判断链路的质量，根据ping报文的往返时间来判断源端与目的端之间的“距离”。160.如何防范Smurf攻击?A、检查ICMP请求报文的目的地址是否为子网地址，是则丢弃B、检查ICMP请求报文的源地址是否为子网地址，是则丢弃C、检查ICMP请求报文的目的地址是否为应播地址，是则丢弃D、检查ICMP请求报文的源地址是否为广播地址，是则丢弃答案：C161.NAt的easyIP方式可以实现公网地址的复用，有效解决IPv4地址短缺的问题。上述说法是A、错误B、正确答案：A162.IP地址10是______地址。A、A类B、B类C、C类D、D类答案：B163.IP地址10是______地址。A、A类B、B类C、C类D、D类答案：B多选题1.下面那个用户可能存在VPN应用需求?A、某大型网吧,提供高达千北的Intermet接入以及多达台的主机,需要对上网用户进行有效的计费,对用户上网

行为进行有效的管理;B、大型制造企业,内部建设覆盖整个厂区的局域网,有统一的intemet出口,企业内部已经启动ERP,系统,应用

完善,每天有大量的销售人员出差C、大型连锁机构,某品牌汽车4S店,总部设在上海,在全国省会额以上城市都有连锁店面,每天销售数据和财务

信息需要向总部汇总;D、某省级政府机构,在全省县级以及县级以上分布有专属分支机构,已经通过,线相互连接,正在考虑一种经济

有效的方式实现专线线路备份。答案：BCD2.网络通信对安全性的要求包括A、完整性B、私密性C、可控性D、身份验证答案：ABD3.IPsec的优点有A、数据完整性(Dataintergrity）B、数据机密性(Conidentiality)C、身份验证(DataAuthentication)D、抗DDos（DistributedDenyofService）答案：ABC4.H3CSSLVPN产品的主要功能包括:A、远程接入B、身份认证C、联机检查D、权限管理E、缓存清除答案：ABCDE5.H3C防火墙防火墙版本升级过程中说法正确的有A、boot-loaderfile命令里必须带system参数，表示指定该软件包为系统软件包B、可以通过FTP/TFTP将软件版本文件上传到本地C、执行boot-loader命令来指定设备下次启动时使用的版本文件D、从H3C官网http://.h3c./cn/获取软件版本答案：BD6.衡量VPN的性能,主要有以下哪些指标?A、最大并发连接数B、加密性能C、每秒新建连接数D、最大并发隧道数答案：ABCD7.ACG带宽管理通道匹配规则正确的是？A、在透明模式下部署QoS时，需要将线路绑定在物理接口上，绑定在桥接口上无法生效。B、当父节点带宽充足，而需要保障的通道带宽未达到时，其他通道可以借用此部分空余带宽，即低优先级

抢到上限后，中优先级才能抢。C、当存在N个相同优先级抢占时，按照均分处理，每个通道平分1/N的带宽。D、QoS按照树形结构匹配，只要某节点存在叶子节点的情况，就会继续向下进行查找，一旦出现不匹配的

情况，此处将会匹配父节点的默认通道进行QoS。E、所有子节点的带宽之和必须小于父节点的带宽。答案：ACDE8.H3cSecPath防火墙的默认域间访问控制策略是A、所有区域都可以访问local区域B、属于同一个安全域的各个接口之间的报文可以互访C、未划分到安全域的接口之间的报文会被丢弃D、安全域间的报文默认丢弃，包括同域之间答案：CD9.网络安全的研究内容包过A、软件安全B、内容安全C、互联网与电信安全D、工业网络安全答案：ABCD10.以下关于电路交换和分组交换的描述正确的是______。A、分组交换网络资源利用率低B、分组交换延迟大，传输实时性差C、电路交换网络资源利用率高D、电路交换延迟小，传输实时性强答案：BD11.利用SsteReset技术可以防范SYNFood攻击.关于技术原理的描述，以下说法正确的是A、一般而言，应用服务器不会主动对客户端发起恶意连接，因此服务器响应客户端的报文可以不需要经过

防火墙的检查。防火墙仅需要对客户端发往应用服务器的报文进行实时监控。服务器响应客户端的报文

可以根据实际需要选择是否经过防火墙，因此SafeReset能够支持更灵活的组网方式。B、客户端收到SYN/ACK后.按照协议规定向服务器回应RST消息。防火墙中途截取这个消息后，提取消息中的序列号。并对该序列号进行Cookie校验。成功通过校验的连接被认为是可信的连接，防火墙会分配TCB资源记录此连接的描述信息，而不可信连接的后续报文会被防火墙丢弃。C、由于防火墙仅通过对客户端向服务器首次发起连接的报文进行认证，就能够完成对客户端到服务器的连接检验而服务器向客户端回应的报文即使不经过防火墙也不会影响正常的业务处理，因此SafeReset技术也称为单向代理技术。D、客户端发送的SYN消息经过防火墙时，防火墙截取该消息，并模拟服务器向客户端回应SYN/ACK消息，其中，SYN/ACK消息中的ACK序列号与客户端期望的值一致，同时携带Cookie值，此Cookie值是对加密索引与本次连接的客户端信息(包括P地址、端口号)进行加空运算的结果。答案：ABCD12.客户的两台路由器通过V.35电缆背靠背连接在一起，其中一台路由器上有如下接口信息：

[MSR-Serial0/0]displayinterfaceSerial0/0.Serial0/0currentstate:UP

Lineprotocolcurrentstate:UP

Description:Serial6/0Interface

TheMaximumTransmitUnitis1500,Holdtimeris10(sec)

InternetAddressis/30Primary

LinklayerprotocolisPPP

LCPopened,IPCPopened

从上述信息可以得知______。A、这台路由器已经和远端设备完成了PPP协商，并成功建立了PPP链路B、这台路由器和远端设备之间成功完成了PPPPAP或者CHAP的验证验证可选项，题中无法看出是否设

有验证、是否通过C、在这台路由器上已经可以ping通对端的地址了无法判断是否通过了验证，所以对端地址也不一

定可以ping通D、该接口信息提示，在该接口下还可以配置第二个IP地址subordinate答案：AD13.以下关于IP地址的说法正确的是______。A、IP地址可以固化在硬件中，是独一无二的MACB、IP地址分为A、B、C、D、E五类C、IP地址通常用点分十六进制来表示，例如：11D、IP地址是由32个二进制位组成的答案：BD解析：

IP地址点分十进制：A~55127用作环路测试表示本机

B~55.C~55.D~55组播地址E240~保留用于研究14.H3c防火墙缺省的安全域包括A、DMZLB、ManagementC、untrustD、localE、trust答案：ABCDE15.以下关于星型网络拓扑结构的描述错误的是______。A、星型拓扑易于维护B、在星型拓扑中，某条线路的故障不影响其它线路下的计算机通信C、星型拓扑具有很高的健壮性，不存在单点故障的问题D、由于星型拓扑结构的网络是共享总线带宽，当网络负载过重时会导致性能下降答案：CD16.H3CSecPath系列防火墙和VPN产品中，哪款不支持SSLVPN功能?A、F1000-AB、F1000-SC、F100-SD、F100-E答案：ABC17.H3CSecPath防火墙中,配置IP地址资源的方式有哪些?A、主机地址B、范围地址-C、子网地址D、网站域名答案：ABCD18.下列选项中,属于深度安全防卸技术的是(）A、状态监测B、应用识别C、内容识别D、威胁识别答案：BCD19.经过IPSec封装后的报文格式如下图所示，参与验证算法生成验证字段的数据报文有哪些？A、AH头B、新报文头C、原始报头D、共享秘钥答案：CD20.以下关于星型网络拓扑结构的描述正确的是______。A、星型拓扑易于维护B、在星型拓扑中，某条线路的故障不影响其它线路下的计算机通信C、星型拓扑具有很高的健壮性，不存在单点故障的中心结点故障D、由于星型拓扑结构的网络是共享总线带宽，当网络负载过重时会导致性能下降答案：AB解析：Hub连接总线型网络共享总线带宽21.根据来源的不同，路由表中的路由通常可分为以下哪几类？A、接口路由B、直连路由C、静态路由D、动态路由答案：BCD22.以下哪些配置授权给用户SSLVPN的登陆权限？A、[device-luser-manage-test]service-typesslvpnB、[device-luser-network-test]service-typesslvpnC、[device]local-usertestclassmansgeD、[device]local-usertestclassnetwork答案：BC23.互联网中常见的网络安全威胁方式分为A、主动攻击B、平面攻击C、物理攻击D、立体攻击答案：ABCD24.下面那些不属于AAA认证A、授权（authorzation）B、控制（ACL）C、认证（authentication）D、接入（Access）答案：BD25.客户的两台路由器通过V.35电缆背靠背连接在一起，并在V.35接口上运行了PPP协议，在其中一台路

由器上有如下接口信息：

[MSR-Serial0/0]displayinterfaceSerial0/0.Serial6/0currentstate:UP

Lineprotocolcurrentstate:DOWN

从如上信息可以推测______。A、两路由器之间的物理连接正常，但PPP协议协商没有成功B、PPP的LCP协商有可能未通过C、PPP验证可能失败了D、两路由器V.35接口的IP地址有可能不在同一网段答案：ABC解析：即使不在同一网段，只要两端配了地址，链路层协议就起来了26.两台空配置的MSR路由器RTA、RTB通过各自的Serial1/0接口背靠背互连。在两台路由器上做如下配置：

RTA：跳过

[RouterA-Serial1/0]link-protocolfrietf

[RouterA-Serial1/0]ipaddress30.[RouterA-Seria11/0]frmapip30.RTB：

[RouterB-Serial1/0]link-protocolfrietf

[RouterB-Serial1/0]interfaceserial0/0.1[RouterB-Serial1/0.1]ipaddress30.[RouterB-Serial1/0.1]frmapip30.路由器之间的物理链路良好，那么下面说法正确的是______。A、两台路由器上都没有配置DLCI，在RTA上不能ping通RTBB、在RTA上不能ping通.C、在RTA上可以ping通D、在上述配置中，如果仅将RTB上子接口serial0/0.1的类型改为P2MP，那么在RTA上不能ping通.E、在上述配置中，如果仅将RTB上子接口serial0/0.1的类型改为P2MP，那么在RTA上可以ping通.答案：BD27.IIS(InternetSecuritySystems)公司提出的PDR安全模型包括哪三个方面?A、响应B、设计C、保护D、检测答案：ACD28.从管理和控制上来区分,主流的带宽管理技术包括:A、基于段的带宽管理技术B、基于用启IP地址的带宽管理技术C、基于应用协议的带宽管理技术D、基于MAC地址的带宽管理技术答案：ABC29.L2TP协议主要操作包括:A、建立控制连接B、建立会话C、转发PPP帧D、KeepaliveE、关闭会话F、关闭控制连接答案：ABCDEF30.IPsec的有点有A、抗DDoS（disributeddenyofsevice）B、身份验证（dataauthentication）C、参数完整性（dataintegrity）D、数据机密性（Confidenttiality）答案：BCD31.H3CACG产品日志信息可以输出到不同的目的地，下列说法正确的是？A、最大可以配置3个日志服务器，同时发送3份日志，实现互为备份B、和第三方日志服务器配合时，建议启用日志加密功能，防止在传输过程中泄露信息C、默认情况下，系统将日志记录在本地数据库D、系统可以将日志发送给日志服务器，推荐使用userlog方式，效率更高。答案：ABCD32.下面关于OSI参考模型各层功能的说法正确的是______。A、会话层负责数据格式处理、数据加密等。B、传输层的基本功能是建立、维护虚电路，进行差错校验和流量控制。C、网络层决定传输报文的最佳路由，其关键问题是确定数据包从源端到目的端如何选择路由。D、物理层涉及在通信信道（Channel）上传输的原始比特流，它定义了传输数据所需要的机械、电气功能

及规程等特性。E、应用层负责为应用程序提供网络服务。答案：BCDE33.下列网络应用程序中,可能会造成带宽大量占用的应用包括A、迅雷B、PPliveC、BitTorrentD、MSN答案：ABC34.关于H3C防火墙报文转发流程，下列说法正确的是A、当报文命中会活表或关联表后，则直接查找二三层转发表项后转发B、若报文命中安全策略的动作为丢弃，则直接丢弃报文，不需要创建会话表项C、对接收的报文首先判断是否匹配当前会话表或关联表D、对接收的报文首先判因是否命中安全策略答案：ABC35.下列算法中，属于数字签名算法的是（）A、SHA-1B、DSAC、RSAD、MD5.答案：BC36.有关GRE的特点描述正确有。A、GRE不提供数据加密、身份验证等安全功能。B、GRE协议不支持封装组播报文。C、GRE隧道支持动态路由协议。D、GREVPN要求在隧道两端上静态配置隧道接口，不利于大规模部署。答案：ACD37.根据来源的不同，路由表中的路由通常可分为以下哪几类？A、接口路由B、直连路由C、静态路由D、动态路由答案：BCD38.TCP/IP协议栈包括以下哪些层次？A、网络层B、传输层C、会话层D、应用层E、网络接口层F、表示层答案：ABDE39.创建安全域后，需要给安全域添加成员。下列哪些可以作为成员加入安全域A、二层接口和VLANB、三层以太网子接口C、三层逻辑接口D、三层以太网接口答案：ABCD40.H3C可提供的VPN解决方案包括哪些?A、IPSecVPN决案B、DVPN解决方案C、SSLVPN解决方案D、思科VPN答案：ABC41.关于IPS攻击防御策略的下发,下列说法正确的有:A、策略可以基于不同的IP地址(段)下发B、策略可以基于时间下发C、策略可以根据用户的具体应用来制定相应的攻击防护策略下发D、策略下发启,必须应用到段上,并且激活才能生效答案：ACD42.防火墙能够防御的攻击包括:A、畸形报文攻击B、DoS/DDOSC、扫描窥探攻击D、病毒木马答案：ABC43.ACL(访问控制列表)的类型包括哪些A、基本ACLB、高级ACLC、二层ACLD、基于时间段的包过滤答案：ABC44.下列关于以太网的说法正确的是________。A、以太网是基于共享介质的网络B、以太网采用CSMA/CD机制C、以太网传输距离短，最长传输距离为500mD、以上说法均不正确答案：AB解析：

10BASE以太网传输距离跟传输介质有关

10BASE5粗同轴电缆500m

10BASE2细同轴电缆200m（同轴电缆布设繁琐，不便使用）

10BASE-T双绞线三类UTP100m（逐渐成为以太网标准）

五类150m45.哪些不属于AAAA、ACLB、Access答案：AB46.用户AAA计费方式包括A、按流量计费B、本地计费C、远端计费D、不计费答案：BCD解析：认证:确认访问网络的远程用户的身份,判断访问者是否为合法的网络用户。

授权:对不同用户赋予不同的权限,限制用户可以使用的服务。例如,管理员授权办公用户才能对服务器中的文件进行访问和打印操作,而其它临时访客不具备此权限。

计费:记录用户使用网络服务过程中的所有操作,包括使用的服务类型、起始时间、数据流里等,用于收集和记录用户对网络资源的使用情况,并可以实现针对时间,流里的计费需求,也对网络起到监视作用。47.以下关于电路交换和分组交换的描述正确的是______。A、电路交换延迟小，传输实时性强B、电路交换网络资源利用率高C、分组交换延迟大，传输实时性差D、分组交换网络资源利用率低答案：AC解析：电路交换:优点延迟小，透明传输

缺点固定带宽，网络资源利用率低

分组交换：优点多路复用，网络资源利用率高

缺点：延迟大，实时性差，设备功能复杂48.VPNManager的两大核心作用是？A、VPN部署B、VPN监控C、VPN备份D、VPN加速答案：AB49.如图所示,PC通过LAC建立到LNs的L2TPVPN连接,并通过该VPN隧道访问HttpSever服务器,发现能ping通

该服务器,但是访问不了HttpServer提供的Web页面,可能的原因为A、LAC到LNS2间存在防火墙设备阻断了http访问B、POEEAC之间存在防火墙设备阻断了http访问C、LNSHpever之间存在防火墙设备阻断了httpp访问D、PC访问HttpSever交互报文长度为1500,且LAC和LNS之间有不支持IP分片的设备存在答案：ABCD50.SSL协议支持的块加密算法包括A、3DESB、DESC、AESD、RC4.答案：ABC解析：此题实际考试是个单选题，不知道该怎么选了，但是除了RC4是流加密算法外，其他3个都是块加密算法，所以不幸抽中此题建议选B或者C，如果多选则选ABC51.以下关于IP地址的说法正确的是______。A、IP地址可以固化在硬件中，是独一无二的MACB、IP地址分为A、B、C、D、E五类C、IP地址通常用点分十六进制来表示，例如：11D、IP地址是由32个二进制位组成的答案：BD解析：

IP地址点分十进制：A~55127用作环路测试表示本机

B~55.C~55.D~55组播地址E240~保留用于研究52.以下哪些配置可以实现SSH用的管理员权限?A、[Device-luser-network-test]service-typesshB、[Device]local-usertestclassnetworkC、[Device-luser-manage-test]service-typesshD、[Device]local-usertestclassmanage答案：AD53.NAT的实现方式包括A、easyIP方式B、Natserver方式C、PAT方式D、no-pat方式答案：ABCD54.信息安全的目标是实现:A、机密性B、完整性C、可用性D、可控性E、可审计性答案：ABCDE55.关于VPN，下述哪个说法是正确的?A、包转发率不是VPN网关的关键性能指标;B、接口数是VPN网关的关键性能指标;C、加密吞吐量是VPN网关的关键性能指标;D、最大并发隧道数是VPN网关的关键性能指标。答案：BCD56.为了实现对用户的访问控制,SSLVPN需要对用户的身份进行验证,H3CSecPathVPN产品支持的认证方式

包括:A、本地认证B、Radius认证C、Ldap认证D、AD认证答案：ABCD57.随着网络技术的不断发展,防火墙也在完成自己的更新换代,防火墙所经历的技术演进包括有:A、包过滤防火墙B、应用代理防C、Dos防火墙D、状态检测防火墙答案：ABD58.以下关于防火墙用户说法正确的是？A、接入类用户主要是portal、sslvpn、ppp等B、可以通过用户组来实现用户的统一管理C、防火墙用户分为管理类和接入类用户D、管理类用户主要有ftp、ssh、telnet、http答案：BCD59.H3CSecPath防火墙中,下面哪些攻击必须和动态黑名单组合使用?A、WinNuke攻击B、Land扫描攻击C、地址扫描攻击D、Smurf攻击E、端口扫描攻击答案：CE60.下列有关光纤的说法哪些是正确的？A、多模光纤可传输不同波长不同入射角度的光B、多模光纤的成本比单模光纤低C、采用多模光纤时，信号的最大传输距离比单模光纤长D、多模光纤的纤芯较细答案：AB61.关于数字证书的说法,正确的是。A、数字证书就是我们网络身份证,它提供了证明自己身份和识别对方身份的功能B、数字证书是由CA来颁发的C、数字证书将个人私钥和个人身份进行了绑定D、数字证书一旦生成,将永久有效答案：AB62.常见的内网用户行为监管应包括A、内网Web应用的审计B、内网网络共享应用的审计C、内网Q0MSN应用的审计D、内网FTP应用的审计答案：ACD63.关于H3C防火墙URL过滤功能，下列说法正确的有A、URL是互联网上标准资源的地址B、URL格式为：“protocol://host[:port/path/[;parametersJ[?guery］，其中［:parameters][?query］#fragment称为URLC、URL过滤功能是指对用户访问的URL进行控制，即允许或禁止用户访问Web资源，达到规范用户上网行为的目的D、URL过滤规则支持文本匹配和正则表达式匹配两种方式，文本匹配仅能使用指定的字符串对主机进行精确匹配。正则表达式匹配可以使用正则表达式对主机名和URL字段进行模糊匹配答案：AC64.以下属于NAT技术的优点的是A、在网络发生变化时避免重新编址B、在地址重复时提供解决方案C、隐藏内部服务器的真实IP地址，提高安全性D、增加连接英特网的灵活性E、节省合法的注册地址答案：BCDE65.关于H3C防火墙的命令视图，以下说法正确的是A、在接口视图下可以通过portlink-mode命令切换二三层模式B、配置路由应在系统视图下C、用户登录设备后，直接进入用户视图D、在用户视图下输入systemview命令进入系统视图答案：ABD66.根据防火墙的技术演进特征，可以分为A、包过滤防火墙B、状态防火墙C、应用代理防火墙D、电信级防火墙答案：ABC67.某公司的MSR路由器的广域网主链路为同异步串口，通过一根V.35电缆接入运营商网络；该路由器同时以一个ISDNBRI接口做备份链路。那么关于线路带宽，如下哪些说法是正确的？A、备份线路的带宽可能是64KbpsB、备份线路的带宽可能是128KbpsC、备份线路的带宽可能是144KbpsD、主链路的带宽可能是1Mbps答案：ABD解析：ISDN两种接入方式：BRI接口→2B+DB信道64kbpsD信道16kbps最大速率144kbps

PRI接口→E130B+D最大速率2Mbps

T123B+D最大速率1.544Mbps

B信道用来传输数据，D信道用来传输控制信令，因此BRI最高提供128kbps带宽（单位时间可传输的数据量）

V．24支持同、异步：异步最高速率115kbps同步最高速率64kbps

V．35只支持同步：最高速率为2048000bps=2Mbps68.H3CIPS功能可以对业