第5章 园区与分支网络接入及QoS技术部署附有答案

第5章园区与分支网络接入及QoS技术部署[复制]一、单选1.一台路由器通过RIP、OSPF和静态路由都学习到了到达同一目的地址的路由。默认情况下，VRP将最终选择通过哪种协议学习到的路由？（）[单选题]*A.三种协议学习到的路由都选择B.静态路由C.OSPF(正确答案)D.RIP2.以下关于静态路由说法错误的是（）[单选题]*A.通过网络管理员手动配置B.路由器之间需要交互路由信息(正确答案)C.不能自动适应网络拓扑的变化D.对系统性能要求低3.管理员计划通过配置静态浮动路由来实现路由备份，则正确的实现方法是（）。[单选题]*A.管理员需要为主用静态路由和备用静态路由配置不同的协议优先级值(正确答案)B.管理员需要为主用静态路由和备用静态路由配置不同的度量值C.管理员需要为主用静态路由和备用静态路由配置不同的TAGD.管理员只需配置两个静态路由4.管理员想通过配置静态浮动路由来实现路由备份，则正确的实现方法是（）。[单选题]*A.管理员需要为主用静态路由和备用静态路由配置不同的协议优先级(正确答案)B.管理员只需要配置两个静态路由就可以了C.管理员需要为主用静态路由和备用静态路由配置不同的TAGD.管理员需要为主用静态路由和备用静态路由配置不同的度量值5.静态路由的缺省管理距离值是（）[填空题]*_________________________________(答案：60)6.必须要由网络管理员手动配置的是（）。[单选题]*A．静态路由(正确答案)B．直连路由C．动态路由D．以上都不对7.在路由器上查看静态路由的信息,备份路由的备用属性表示为()[单选题]*A．BypassB．Inactive(正确答案)C．BackupD．Slave8.客户在路由器上要配置两条去往同一目的地址的静态路由,实现互为备份的目的。那么关于这两条路由的配置的说法正确的是()。[单选题]*A.需要为两条路由配置不同的Preference(正确答案)B.需要为两条路由配置不同的PriorityC.需要为两条路由配置不同的CostD.需要为两条路由配置不同的MED9.XYZ公司深圳分公司的路由器的Serial0/0和Serial0/1接口通过两条广域网线路分别连接两个不同的ISP，通过这两个ISP都可以访问北京总公司的网站。在深圳分公司的路由器上配置了如下的静态路由：

Iproute-static24Serial0/0

Iproute-static24Serial0/1

那么关于这两条路由的描述哪些是正确的？（）。

[单选题]*A.去往北京的流量通过这两条路由可以实现负载分担(正确答案)B.B.去往北京的这两条路由可以互为备份C.C.在该路由器的路由表中只会写入第二条路由D.D.在该路由器的路由表中只会写入第一条路由10.XYZ公司深圳分公司的路由器的Serial0/0和Serial0/1接口通过两条广域网线路分别连接两个不同的ISP，通过这两个ISP都可以访问北京总公司的网站，在深圳分公司的路由器上配置了如下的静态路由：

Iproute-static24Serial0/0preference10

Iproute-static24Serial0/1preference100

那么关于这两条路由的描述哪些是正确的()。

[单选题]*A.两条路由的优先级不一样，路由器会把优先级高的第一条路由写入路由表(正确答案)B.两条路由的优先级不一样，路由器会把优先级高的第二条路由写入路由表C.两条路由的Cost值是一样的D.两条路由目的地址一样，可以实现主备，其中第一条路由为主11.对于一个将被转发的IP报文，匹配了路由表中多条路由，选择路由表中哪一条路由对这个IP报文转发首先取决于（）[单选题]*A.路由表中目的IP网段的掩码长度B.路由的Preference(正确答案)C.路由的Cost/MetricD.路由的下一跳二、多选1.某大型公司深圳分公司的路由器的Serial0/0和Serial0/1接口通过两条广域网线路分别连接两个不同的ISP，通过这两个ISP都可以访问北京总公司的网站，在深圳分公司的路由器上配置了如下的静态路由：

iproute-static24Serial0/0preference10

iproute-static24Serial0/1preference100

那么关于这两条路由的描述哪些是正确的？（）

*A.两条路由的优先级不一样，路由器会把优先级高的第一条路由写入路由表(正确答案)B.两条路由的优先级不一样，路由器会把优先级高的第二条路由写入路由表C.两条路由的Cost值是一样的(正确答案)D.两条路由目的地址一样，可以实现主备，其中第一条路由为主(正确答案)2.下列哪几项是配置静态路由的基本要素？（）*A.目的网段(正确答案)B.出接口的MAC地址C.下一跳的IP地址(正确答案)D.出接口(正确答案)3.某大型公司深圳分公司的路由器的Serial0/0和Serial0/1接口通过两条广域网线路分别连接两个不同的ISP，通过这两个ISP都可以访问北京总公司的网站。在深圳分公司的路由器上配置了如下的静态路由：

iproute-static24Serial0/0

iproute-static24Serial0/1

那么关于这两条路由的描述哪些是正确的？（）

*A.去往北京的流量通过这两条路由可以实现负载分担(正确答案)B.去往北京的这两条路由可以互为备份(正确答案)C.在该路由器的路由表中只会写入第二条路由D.在该路由器的路由表中只会写入第一条路由4.客户的网络连接形如：

HostA---GE0/0—MSR-1—S1/0---WAN---S1/0---MSR-2---GE0/0---HostB

两台MSR路由器通过广域网实现互连，目前物理连接已经正常。MSR-1的接口S1/0地址为/30，MSR-2的接口S1/0地址为/30，现在MSR-1上配置了如下三条静态路由：

iproute-static

iproute-static

iproute-static

其中/22子网是主机HostB所在的局域网段。那么如下描述哪些是正确的?()*A.这三条路由都会被写入MSR-1的路由表(正确答案)B.只有第三条路由会被写入MSR-1的路由表C.这三条路出可以被一条路出iproute-static代替(正确答案)D.只有第一条路由会被写入MSR-1的路由表5.在路由器的路由表中有一条默认路由，其目的网段和掩码都是，而其下一跳是路由器的S0/0接口，那么下列关于此路由的描述正确的是（）*A.当路由器收到去往目的地址的数据包时，如果路出表中没有其他确切匹配项，那么该数据包将匹配此默认路由(正确答案)B.该路由的掩码最短，因此只有在没有其它路由匹配数据包的情况下，数据包才会按照默认路由转发(正确答案)C.这条路由的度量值有可能是3(正确答案)D.这条路由的优先级有可能是100(正确答案)三、判断1.浮动静态路由之所以会成为备份路由，是因为它的优先级小于主路由的优先级。[判断题]*对错(正确答案)一、单选1.下列关于LCP和NCP的说法中，错误的是？（）[单选题]*A.在PPP通信建立过程中，LCP的协商先于NCP完成B.在PPP架构中，NCP的分层高于LCPC.在封装NCP消息时，发送方会先对数据封装NCP，然后再封装LCP(正确答案)D.NCP是一类协议的总称2.在displayinterface命令的显示中，下列（）项的LCP和NCP的状态表示PPP链路已经建立完成。[单选题]*A.LCPClosed，IPCPOpenedB.LCPClosed，IPCPClosedC.LCPOpened，IPCPOpened(正确答案)D.LCPInitial，IPCPClosed3.下面哪个不是静态路由的优点？[单选题]*A.由于静态路由不通过网络进行通告，因此比较安全。B.静态路由适用于大型复杂的网络。(正确答案)C.静态路由不需要消耗路由器额外的资源。D.静态路由不需要消耗链路带宽。4.PPP协议在什么阶段协商LCP协议()[单选题]*A．DeadB．Establish(正确答案)C．NetworkD．Terminate5.在下面的描述中，属于PPP协商阶段的正确的顺序描述是（）。[单选题]*A.dead-establish－network－authenticate－terminateB.lcp－authenticate－terminateC.dead-establish－authenticate－network－terminate(正确答案)D.dead-lcp－establish－ncp6.以下关于PPP协议的说法中，错误的是[单选题]*A．PPP协议用于点对点信道B．PPP协议使用CRC编码产生帧检验序列C．PPP协议只能支持同步传输(正确答案)D．PPP协议支持透明传输7.在PPP协议中,对PAP和CHAP验证描述正确的是().[单选题]*A.PAP认证需要三次握手B.CHAP认证需要两次握手C.PAP认证使用明文发送验证信息(正确答案)D.CHAP使用明文发送验证信息8.下列有关PPP认证协议的叙述,错误的是()[单选题]*A．CHAP采用随机数和MD5的方式进行认证B．CHAP认证过程由网络接入服务器发起C．PAP采用明文方式在网络上传输用户名和口令D．PAP是一种三次握手认证协议(正确答案)9.PPP协议的认证方法PAP/CHAP的描述中下面哪个是错误的？（）。[单选题]*A.PAP以明文形式传递用户名和密码B.CHAP不直接传递用户名和密码信息C.PAP和CHAP的工作方式相同(正确答案)D.CHAP可周期性的发出挑战/应答请求10.两台路由器间通过串口相连接且链路层协议为PPP，如果想在两台路由器上通过配置PPP认证功能来提高安全性，则下列哪种PPP认证更安全？（）[单选题]*A.CHAP(正确答案)B.PAPC.MD5D.SSH二、多选1.默认路由的格式是？(）*A.(正确答案)B.0(正确答案)C.5555D.5532。2.下列关于CHAP协议的说法中，正确的是？（）*A.明文认证B.三次握手(正确答案)C.周期认证(正确答案)D.PPP协议字段取值为0xC023。3.下列协议哪些不属于PPP协议的组成协议()。*A.HDLC(正确答案)B.LCPC.NCPD.IP(正确答案)4.在LCP协商阶段，PPP会协商哪些内容？（）*A.链路层封装协议类型B.验证方式(正确答案)C.最大传输单元(正确答案)D.网络层协议类型5.PPP协议的特点是什么()。*A.PPP协议既支持同步链路又支持异步链路(正确答案)B.具有各种NCP协议，如IPCP，IPXCP更好地支持了网络层协议(正确答案)C.具有验证协议CHAP、PAP，更好了保证了网络的安全性(正确答案)D.易扩充(正确答案)6.下列关于PPP特点的说法正确的是（）。*A.PPP支持同异步链路B.(正确答案)B.PPP支持身份验证，包括PAP验证和CHAP验证(正确答案)C.PPP可以对网络地址进行协商(正确答案)D.PPP可以对IP地址进行动态分配(正确答案)7.下列哪三种说法正确描述了PPP身份验证?()*A.PAP以明文发送。(正确答案)B.CHAP使用基于MD5哈希算法的询问/响应方法。(正确答案)C.PAP可防护反复试验性攻击。D.CHAP通过双向握手建立链路。E.CHAP通过重复询问进行检验。(正确答案)F.PAP通过三次握手建立链路。三、判断1.广域网是一种在小区域内使用的，由多台计算机组成的网络，覆盖范围通常局限在10千米范围之内，属于一个单位或部门组建的小范围网。[判断题]*对错(正确答案)2.PAP认证协议比CHAP协议更安全。[判断题]*对错(正确答案)一、单选1.以下有关NAT作用的说法中，错误的是？（）[单选题]*A.NAT可以把私有IP地址转换为公网IP地址B.NAT可以把公网IP地址转换为私有IP地址C.NAT可以对外隐藏内网IP地址架构D.NAT不能为私有网络提供安全保护(正确答案)2.为了使企业的内部的web服务器可以被Internet上的主机访问，需要部署下面哪种NAT（）？[单选题]*A.NATServer(正确答案)B.动态NATC.PATD.EasyNAT3.以下哪一项是正确的基本NAT配置命令？（）[单选题]*A．[AR1]natstatic00(正确答案)B．[AR1-GigabitEthernet0/0/0]natstatic0C．[AR1]natstatic0D．[AR1-GigabitEthernet0/0/0]natglobalinside04.NAT的主要技术类型有3种,它们是()[单选题]*A.静态NAT、动态NAT和网络地址端口转换NAPT(正确答案)B.集中NAT、分布NAT和网络地址端口转换NAPTC.并行NAT、串行NAT和网络地址端口转换NAPTD.主动NAT、被动NAT和网络地址端口转换NAPT5.以下哪个选项不属于NAT（网络地址转换）。[单选题]*A．静态NATB．动态NATC．网络地址端口转换NAPTD．ARPANET(正确答案)6.下列关于NAT（网络地址翻译转换）的语句中，哪个是错误的？[单选题]*A．可能单一的外部IP地址，有多个NAT表项。B．可能单一的内部IP,Port对，有多个NAT表项。(正确答案)C．一个不包含匹配的外部IP:Port对的输入数据包，将会被丢弃。D．不同的NAT表项可以包含不同的内部IP地址。7.动态NAT为内部地址和外部地址的（）映射。[单选题]*A.多对多(正确答案)B.一对多C．多对一D．一对一8.将内部地址映射到外部网络的一个IP地址的不同接口上的技术是（）[单选题]*A.一对一映射B.静态NATC.动态NATD.NAPT(正确答案)9.严格说来，网络地址端口转换（NAPT）并不是简单的IP地址之间的映射，而是网络套接字映射，网络套接字由IP地址和（）共同组成。[单选题]*A．协议号B．协议类型C．端口号(正确答案)D．物理地址10.NAPT允许多个私有IP地址通过不同的端口号映射到同一个公有IP地址上，则下列关于NAPT的说法正确的是()。[单选题]*A.必须手工配置端口号和私有地址的对应关系B.只需要配置端口号的范围C.不需要做任何关于端口号的配置(正确答案)D.需要使用ACL分配端口号11.NAPT允许多个私网IP地址映射到同一个公有IP地址上，那么NAT如何标识来自不同私网地址的数据报文？[单选题]*A．使用源MAC地址B．使用目的MAC地址C．使用源端口号(正确答案)D．使用目的端口号12.某企业打算采用IPSec协议构建VPN，由于企业申请的全球IP地址不够，企业内部网决定使用本地IP地址，这时在内外网间的路由器上应该采用（）技术。[单选题]*A.NAT技术(正确答案)B.加密技术C.消息鉴别技术D.数字签名技术二、多选1.使用NAT技术进行安全防御好处有（）。*A.内网用户访问外网业务的可用性不受影响(正确答案)B.外部人员无法得到内部网络信息(正确答案)C.内外网路由被隔断(正确答案)D.可以避免两个内部网络互联时由于地址冲突引起的问题(正确答案)2.下列有关基本NAT和NAPT实现的说法中，正确的是？（多选）（）*A.路由器收到内网用户发往外网的数据包时，会根据NAT的配置转换源IP地址(正确答案)B.路由器收到内网用户发往外网的数据包时，会根据NAT的配置转换目的IP地址C.路由器收到内网用户发往外网的数据包时，会根据NAPT的配置转换源IP地址和端口号(正确答案)D.路由器收到内网用户发往外网的数据包时，会根据NAPT的配置转换目的IP地址和端口号3.下面有关NAT描述正确的是（）。*A.NAT全称是网络地址转换，又称为地址翻译(正确答案)B.NAT通常用来实现私有网络地址与公用网络地址之间的转换(正确答案)C.当使用私有地址的内部网络的主机访问外部公用网络的时候，一定不需要NATD.NAT技术为解决IP地址紧张的问题提供了很大的帮助(正确答案)4.NAT包括哪几种方式？*A．静态NAT(正确答案)B．动态NAT(正确答案)C．端口地址转换PAT(正确答案)D．VPN5.NAPT主要对数据包的（）信息进行转换？*A.数据链路层B.网络层(正确答案)C.传输层(正确答案)D.应用层6.下面关于EasyIP的说法中，正确的是（）。*A.EasyIP是NAPT的一种特例(正确答案)B.配置EasyIP时不需要配置ACL来匹配需要被NAT转换的报文C.配置EasyIP时不需要配置NAT地址池(正确答案)D.EasyIP适合用于NAT设备拨号或动态获得公网IP地址的场合(正确答案)三、判断1.静态NAT允许多个内部地址映射到同一个公有地址的不同端口。[判断题]*对错(正确答案)2.采用NAT技术，可以将内部主机映射到互联网上，使得互联网上的主机能够访问内部主机上面的内容，如WWW、FTP。[判断题]*对(正确答案)错3.局域网在公有IP地址不够情况下可采用NAT技术。[判断题]*对(正确答案)错四、简答1.假定一个家庭网络中的拓扑结构如下图所示，其内部网络为/24，路由器的WAN端口的地址为1/24，这是一个全局IP地址，假设PC1和PC2上分别向服务器4/24的80端口发起2个TCP连接，则在路由器R上需要建立4个对应的NAT转换表项，假设在PC1、PC2上的端口号分别为3000~3003，NAT转换表如下所示。请写出服务器返回给PC1的TCP1的数据分组的源、目的地址，及源、目的端口号，写出PC1收到的数据分组的源、目的地址，及源、目的端口号。

路由器上的NAT转换表如下：

TCP连接WAN端IP地址端口号LAN端IP地址端口号

TCP1140003000

TCP2140013001

TCP3140023002

TCP4140033003

（回答时依次写出上述问题的值，用英文分号“;”隔开，结尾无符号。）

例如：;;8000;3000;;;8000;3000）

2.NAT有几种方式？[填空题]*_________________________________答案解析：参考答案：

服务器返回给PC1的TCP1：4；1；80；4000

PC1收到分组：4；；80；3000

2.NAT有几种方式？

参考答案：静态NAT，动态NAT，NAPT，EasyIP,NatServer。一、单选1.通过以下哪一条命令可以查看所有已配置并使用的PBR信息？（）[单选题]*A.displaypolic-based-routeB.displayippolicy-based-route(正确答案)C.displayippolicy-based-routestatisticsD.displayiprouting-table2.某路由器上PBR配置如下：

policy-based-routepbr_apermitnode10

if-matchacl3000

applyoutput-interfaceserial2/0

policy-based-routepbr_adenynode20

if-matchacl3000

假设该策略已成功应用，该路由器上匹配ACL3000的数据流该如何转发？（）

[单选题]*A.匹配ACL3000的数据流将按照策略路由转发(正确答案)B.匹配ACL3000的数据流将按照普通路由转发C.匹配ACL3000的数据流将按照默认路由转发D.匹配ACL3000的数据流将被丢弃3.在PBR配置中，下列哪些动作不可以由apply子句执行（）。[单选题]*A.设定报文优先级B.设定出接口C.设定报文长度(正确答案)D.设定报文下一跳E.设定缺省下一跳4.PBR策略路由不支持根据下列哪种策略来制定数据包的转发的路径（）[单选题]*A.源地址B.目的地址C.源MAC(正确答案)D.报文长度5.已知某路由器PBR配置如下：

Policy-based-routepbr_apermitnode10

If-matchacl3000

If-matchpacket-length1011000

applyoutput-interfaceSerial2/0

假设该策略已经成功应用，该路由器上相关数据流将如何转发？（）

[单选题]*A．匹配ACL3000的数据流将按照策略路由转发B．报文长度为101-1000字节的报文将按照策略路由转发C．匹配ACL3000的数据流中，报文长度为101-1000字节的报文将按照策略路由转发(正确答案)D．匹配ACL3000的数据流以及报文长度为101-1000字节的报文都将按照策略路由转发6.已知某路由器PBR配置如下：

Policy-based-routepbr_apermitnode10

If-matchacl3000

If-matchpacket-length1011000

applyoutput-interfaceSerial2/0

假设该策略已经成功应用，该路由器上相关数据流将如何转发？（）

[单选题]*A．匹配ACL3000的数据流将按照策略路由转发B．报文长度为101-1000字节的报文将按照策略路由转发C．匹配ACL3000的数据流中，报文长度为101-1000字节的报文将不按照策略路由转发D．匹配ACL3000的数据流中，报文长度为1000字节以上的报文将不按照策略路由转发(正确答案)二、多选1.以下关于PBR说法中，正确的是（）。*A.PBR是一种依据用户制定的策略进行路由选择的机制(正确答案)B.通过PBR可以设置路由协议引入的路由属性C.PBR可基于到达报文的源电址进行路由选择(正确答案)D.PBR可基于到达报文的长度进行路由选择(正确答案)2.关于PBR中的本地策略路由与转发策略路由的区别，说法正确的是（）。*A.本地策略路由只对本是产生的报文起作用(正确答案)B.本地策略路由对本地产生的报文和转发的报文都起作用C.转发策略路由只能对转发的报文起作用，对本地产生的报文不起作用(正确答案)D.转发策略路由对本地产生的报文和转发的报文都起作用3.关于路由策略和策略路由描述正确的是（）*A.策略路由主要是控制报文的转发，即可以不按照路由表进行报文的转发(正确答案)B.路由策略主要控制路由信息的引入、发布、接受(正确答案)C.路由策略主要是控制报文的转发，即可以不按照路由表进行报文的转发D.策略路由主要是控制路由信息的引入、发布、接受4.在应用策略路由时，下面哪些描述是错误的？（）*A.在系统视图下应用策略路由，此时的策略路由对通过本路由接收到的所有报文起作用(正确答案)B.在系统视图下应用策略路由，此时的策略路由只对本地产生的报文起作用(正确答案)C.在接口视图下应用策略路四，此时的策略路由只对本接口接收和发送的报文起作用(正确答案)D.在接口视图下应用策略路由，此时的策略路由只对本接口接收到的报文起作用5.如图所示的网络，RTA的缺省下一跳为RTC，且RTA上的PBR配置如下：

Policy-based-routepbr_apermitnode10

If-matchacl3000

applydefault-output-interfaceS2/0

policy-based-routepbr_adenynode20

根据上述配置，关于RTA上匹配ACL3000的数据流，说法错误的是（）*A．当网络中所有链路正常时，报文将被发往RTCB．当网络中所有链路正常时，报文将被发往RTB(正确答案)C．当RTA与RTC间链路故障时，报文将被丢弃(正确答案)D．当RTA与RTC间链路故障时，报文将被发往RTB答案解析：执行缺省下一跳和出接口的前提是：在策略中未配置下一跳或者出接口，或者配置的下一跳和出接口无效，并且在路由表中未找到与报文目的IP地址匹配的路由表项。6.以下关于PBR（policy-based-route，基于策略的路由）负载分担应用的说法中，正确的是（）。*A．PBR可以根据报文的源地址不同，在出接口实现负载分担(正确答案)B．PBR可以根据路由的下一跳不同，在出接口实现负载分担C．PBR可以根据数据流的承载业务不同，在出接口实现负载分担(正确答案)D．PBR可以根据报文长度的不同，在出接口实现负载分担(正确答案)7.RTA的缺省下一跳为RTC，且RTA上的PBR配置如下：

Policy-based-routepbr_apermitnode10

If-matchpacket-length64100

applyip-addressnext-hop

if-matchpacket-length1011000

applyip-addressnext-hop

policy-based-routepbr_adenynode20

假设该策略已经成功应用，则RTA上的数据流该如何转发？（）

*A．报文长度为64-100字节的报文将按照策略路由发往(正确答案)B．报文长度为64-100字节的报文将按照缺省路由发往C．报文长度为101-1000字节的报文将按照策略路由发往(正确答案)D．报文长度为101-1000字节的报文将按照缺省路由发往8.RTA的缺省下一跳为RTC，且RTA上的PBR配置如下：

Policy-based-routepbr_apermitnode10

If-matchpacket-length64100

applyip-addressnext-hop

if-matchpacket-length1011000

applyip-addressnext-hop

policy-based-routepbr_adenynode20

假设该策略已经成功应用，则RTA上的数据流，说法错误的是（）

*A．报文长度为64-100字节的报文将按照策略路由发往B．报文长度为64-100字节的报文将按照缺省路由发往(正确答案)C．报文长度为101-1000字节的报文将按照策略路由发往D．报文长度为101-1000字节的报文将按照缺省路由发往(正确答案)9.在路由器上执行displayippolicy-based-routestatisticinterfaceethernet1/0,有如下输出信息：

InterfaceEthernet1/0policybasedroutingstatisticsinformation:

Policy-based-route:aaa

Permitnode5

Applyoutput-interfaceserial1/0

Denied:0

Forwarded:0

Totaldenied:0,forwarded:0

根据上述输出，可知（）。

*A．该路由器在接口Ethernet1/0上应用了名称为aaa的PBR(正确答案)B．节点编号为5，匹配模式为拒绝模式C．已经匹配的报文指定发送接口为Serial1/0(正确答案)D．该策略路由成功转发和转发失败的次数均为0(正确答案)10.策略路由可以定义以下哪些行为()*A.目的地址B.下一跳IP地址(正确答案)C.转发时间D.下一跳接口(正确答案)三、判断1.本地策略路由只对本地产生的报文起作用,对转发的报文不起作用。[判断题]*对(正确答案)错2.策略路由既可以应用于被转发的报文,又可以应用于路由器本地产生的报文。[判断题]*对(正确答案)错3.通过策略路由能够实现根据报文的某些属性来控制报文转发。[判断题]*对(正确答案)错4.策略路由和路由策略都可以影响数据包的转发过程，但他们对数据包的影响方式是不同的，策略路由是基于策略的转发，失败后再查找路由表转发，基于转发平面，为转发策略服务，需要手工配置，路由策略是基于目的地址按路由表转发；基于控制平面，为路由协议和路由表服务；与路由协议结合完成策略。[判断题]*对(正确答案)错5.策略路由是一种依据用户制定的策略进行路由选择的机制,与单纯依照IP报文的目的地址查找路由表进行转发不同,可应用于安全、负载分担等目的。[判断题]*对(正确答案)错一、单选1.IPSecSA可以通过（）协调建立。[单选题]*A．AH//认证协议AH（AuthenticationHeader,AH）B．ESP//封装安全载荷ESP（EncapsulatingSecurityPayload,ESP）C．SPID．IKE//互联网密钥交换IKE（InternetKeyExchange,IKE）(正确答案)2.下列关于IKE野蛮模式的说法正确的是（）。[单选题]*A.野蛮模式的安全性强于主模式B.野蛮模式的安全性弱于主模式(正确答案)C.野蛮模式的安全性等于主模式D.野蛮模式可以与主模式同时使用3．在如图所示的数据包封装格式中，下面哪些字段将会被IPSecVPN的ESP协议加密？()

[单选题]*A.ESPHeader,TCPHeader,DataB.ESPHeader,TCPHeader,Data,ESPTrailC.ESPHeader,TCPHeader,Data,ESPTrail,ESPAuthDataD.TCPHeader,Data,ESPTrail(正确答案)4.以下关于IPSecVPN中的AH协议的功能说法错误的是？（）[单选题]*A.支持数据完整性校验B.支持防报文重放C.支持报文的加密(正确答案)D.支持数据源验证答案解析：//AH可提供数据来源认证、数据完整性校验和抗重放功能,但不能防止报文被窃听，适合用于传输非机密数据5.以下哪一项不属于VPN技术[单选题]*A．PPTPB．L2TPC．IPSECD．光纤交换(正确答案)6.在IPSec中只能提供认证的安全协议是()。[单选题]*A．AH(正确答案)B．ESPC．IKED．SA7.PSec中包括AH(认证头)和ESP(封装安全载荷)这2个主要协议,其中AH提供下列哪些功能()。[单选题]*A．机密性与认证B．机密性与可靠性C．完整性与可靠性D．完整性与认证(正确答案)8.IPSec通过（）实现密钥交换、管理及安全协商。[单选题]*A.AHB.ESPC.ISAKMP/Oakley//密钥管理协议（InternetSecurityAssociationandKeyManagementProtocol）(正确答案)D.SKIP9.IPSecIETE以RFC形式公布的一组安全协议集，它工作在OSI/RM的()。[单选题]*A．数据链路层B．网络层(正确答案)C．传输层D．应用层10.IPSec协议族的(2)机制不支持保密服务。[单选题]*A．AH(正确答案)B．ESPC．SAD．IKE11.IPSec的密钥管理包括密钥的确定和分发，其支持的密钥管理方式是(3)。[单选题]*A．手工密钥分配B．自动密钥分配C．动态密钥分配D．手工密钥分配和自动密钥分配(正确答案)12.IPSec的两种使用模式分别是（）。[单选题]*A．传输模式、安全壳模式B．传输模式、隧道模式(正确答案)C．隧道模式D.安全壳模式、AH模式二、多选1.下列VPN技术中，属于第三层VPN的是（）。*A．L2TPVPNB．BGP/MPLSVPN(正确答案)C．VLLD．IPSecVPN(正确答案)2.关于IPSEC与IKE的关系描述正确的是（）*A．IKE是IPSEC的信令协议(正确答案)B．IKE可以降低IPSEC手工配置安全联盟的复杂性(正确答案)C．IKE为IPSEC协商建立安全联盟,并把建立的参数及生成的密钥交给IPSEC(正确答案)D．IPSEC使用IKE建立的安全联盟对IP报文加密或验证处理(正确答案)3.下面关于AH(验证头)和ESP(封装安全载荷)的描述正确的是()。*A.AH不能提供数据的完整性保护B.两者都可以提供数据源验证以及可选的抗重播服务(正确答案)C.两者都可以提供机密性保护D.两者可以同时使用(正确答案)4.网络层安全协议包括______。*A．IP验证头（AH）协议(正确答案)B．P封装安全载荷（ESP）协议(正确答案)C．Internet密钥交换（IKE）协议D．SSL协议5.在IPSec中使用ACL的规则，下列说法正确的是（）*A．permit对应使用IPSec保护(正确答案)B．deny对应不使用IPSec保护，透传(正确答案)C．没有定义的数据流被丢弃D．没有定义的数据流被透传(正确答案)6.如果要实现IPSec的防重放功能，可以使用以下哪几种转换方式（）*A．AH(正确答案)B．AH+ESP（加密）(正确答案)C．ESP（验证+加密）(正确答案)D．ESP（加密）7.以下哪些选项可以用来唯一标识一个IPSECSA()*A.SPI(正确答案)B.对端地址(正确答案)C.安全协议号（AH/ESP）(正确答案)D.本端地址8.关于安全联盟（SA）的正确说法包括哪些（）*A．SA包括协议、算法、密钥等内容(正确答案)B．SA具体确定了如何对IP报文进行处理(正确答案)C．安全联盟是双向的//SA是单向的D．在两个安全网关之间的双向通信，需要两个SA来分别对输入数据流和输出数据流进行安全保护(正确答案)三、判断1.IPsec是TCP/IP体系中提供的一种安全传输协议。（）[单选题]对错(正确答案)答案解析：//在网络层对IP数据包进行加密和认证2.DH密钥交换算法的安全性是建立在离散对数的难解性上的。[判断题]*对(正确答案)错3.IKE使用带密钥的Hash算法为IPSec保证报文的完整性和真实性。[判断题]*对错(正确答案)4.安全联盟SA是双向的。[判断题]*对错(正确答案)5.IKESA是双向的。[判断题]*对(正确答案)错一、单选1.局域网上的QoS主要依靠在以太网帧头上加入优先级字段来实现，这个定义在以下哪个标准中（）。[单选题]*A.RFC2474B.RFC2475C.IEEE802.1p/q(正确答案)D.IEEE802.1x2.以下关于QoS中的DSCP，说法错误的是？（）[单选题]*A.用TOS字段前的６比特（高6比特）来标识不同的业务类型，称为DSCPB.可以使用DSCP将流量分成32类(正确答案)C.每个DSCP值对应一个BA（BehaviorAggregate），然后可以对每一个BA指定一种PHBD.可以使用某些QoS机制来实现PHB答案解析：//报文的区分服务编码DSCP（DifferentiatedServicesCodepoint，DSCP）字段3.关于GTS.LR与CAR三者的区别,以下描述错误的是()[单选题]*A.在进行报文流量控制时，CAR对超过流量限制的报文进行丢弃//约定访问速率（CAR）\流量整形（GTS）\B.在进行报文流量控制时，GTS将超过流量限制的报文缓存在GTS队列中C.在进行报文流量控制时，LR对流量限制的报文进行丢弃(正确答案)D.在进行报文流量控制时，LR对超过流量限制的报文不但能进行缓存，还能使报文进入Qos队列进行处理4.下列IPprecedence取值中，代表Immediate业务流量的是？()[单选题]*A.0B.2(正确答案)C.5D.6答案解析：IPprecedence的优先级取值0-7中，2代表直接的业务流量，这种业务要求低延迟，低抖动，低丢包率。所以正确答案是“2”。5.在Diff-Serv网络中，定义EF类的业务类型的主要目的是？()[单选题]*A.为要求低时延、低丢失、低抖动和确保宽带业务优先提供保证(正确答案)B.为报文转发提供通道C.为特定流量确保宽带D.保证报文转发时尽可能低的时延答案解析：EF队列的作用是满足低时延业务，拥有绝对优先级，仅当EF队列中的报文调度完毕后，才会调度其他队列中的报文。所以正确答案是“为要求低时延、低丢失、低抖动和确保宽带业务优先提供保证”。6.假设出端口流量发生拥塞，报文A与报文B被缓存在各自的队列中，报文B属于PQ队列，报文A属于WFQ队列，那么哪种报文会优先被调度出去？()[单选题]*A.报文A优先B.报文B优先(正确答案)C.同时出去D.都被丢弃答案解析：PQ队列是针对关键业务应用设计的，低延迟业务能得到保障；WFQ优点：可完全按照权重分配带宽；自动分类，配置简单，低延迟业务能得不到保障。PQ队列优于WFQ队列。所以正确答案是“报文B优先”。7.下列IPPrecedence的取值中，代表Critical业务流量的是？[单选题]*A.0B.2C.5(正确答案)D.68.下面关于时延与抖动的关系，描述正确的是？()[单选题]*A.抖动的大小跟时延的大小直接关系(正确答案)B.抖动是由于不属于同一个流的数据包的端到端时延不相等造成的C.时延大则抖动范围小，时延小则可能的抖动范围也大D.抖动的大小跟时延不相关答案解析：【答案解析】抖动是由于属于同一个流的数据包的端到端的时延不相等造成的，时延越大则可能抖动的范围就越大。所以正确答案是“抖动的大小跟时延的大小直接关系”。9.以下关于Qos中丢包的说法，错误的有？[单选题]*A.路由器在收到数据包的时候，可能会因为CPU繁忙，没办法处理数据包，导致出现丢包现象B.在把数据包调度到队列的时候，可能会因为队列被装满而导致丢包C.数据包在链路上传输的时候，可能会因为链路故障等原因而导致丢包D.丢包一般是因为时延造成的，在队列满的时候，一般采用尾丢弃丢包(正确答案)10.根据IPPrecedence、MPLSEXP或802.1P信息，可以将报文分为几种业务类型？[单选题]*A.2B.4C.6D.8(正确答案)二、多选1.DiffServ模型中定义了哪几种不同的服务类型？（）*A.AF(正确答案)B.EF(正确答案)C.BE(正确答案)D.FIFO2.QoS策略的要素有（）。*A.class(正确答案)B.behavior(正确答案)C.policy(正确答案)D.if-match答案解析：//QoS策略由如下部分组成：流分类,流行为，策略3.流量监管CAR与流量整形GTS的不同点在于（）。*A.CAR可以缓存报文(正确答案)B.CAR可以标记报文(正确答案)C.CAR可以用在出入两个方向(正确答案)D.CAR可以对非IP报文操作4.在流量监管中对匹配流量实施的监管动作包括（）。*A.转发(正确答案)B.丢弃(正确答案)C.重标记(正确答案)D.下一级监管(正确答案)5.以下关于QoS中的DSCP，说法正确的是？（）*A.用TOS字段前的６比特（高6比特）来标识不同的业务类型，称为DSCP(正确答案)B.可以使用DSCP将流量分成32类C.每个DSCP值对应一个BA（BehaviorAggregate），然后可以对每一个BA指定一种PHB(正确答案)D.可以使用某些QoS机制来实现PHB(正确答案)答案解析：DSCP值有两种表达方式，数字形式和关键字形式。一种表达方式是数字形式。DSCP使用6比特，十进制区间是0~63，可以定义64个等级.另一种关键字形式的DSCP值称为逐跳行为（PHB），目前有三类已定义的PHB，分别是尽力服务（BE）、确保转发（AFxy）和加速转发（EF）6.关于GTS、LR与CAR三者的区别,以下描述正确的是()*A.在进行报文流量控制时，CAR对超过流量限制的报文进行丢弃(正确答案)B.在进行报文流量控制时，GTS将超过流量限制的报文缓存在GTS队列中(正确答案)C.在进行报文流量控制时，LR对流量限制的报文进行丢弃D.在进行报文流量控制时，LR对超过流量限制的报文不但能进行缓存，还能使报文进入Qos队列进行处理(正确答案)答案解析：//约定访问速率（CAR）\流量整形（GTS）7.QOS中常见的队列调度技术有？()*A.CIRB.FIFO(正确答案)C.PQ(正确答案)D.WFQ(正确答案)E.WRR(正确答案)答案解析：常见的队列调度技术有FIFO/PQ/WFQ/WRR/CBQ等.所以正确答案是“FIFO”、“PQ”、“WFQ”、“WRR”。8.影响网络通信质量的因素包括哪几种？（）*A.带宽(正确答案)B.时延(正确答案)C.抖动(正确答案)D.丢包率(正确答案)9.QoS服务模型包括？（）*A.Best-EffortService模型(正确答案)B.IntegratedService模型(正确答案)C.DifferentiatedService模型(正确答案)D.FIFOService模型10.下面关于流量监管的功能描述，正确的是？（）*A.正确报文不能进行标记处理B.对报文进行标记处理(正确答案)C.对超过流量限制的报文进行缓存D.对超过流量限制的报文不能进行缓存(正确答案)11.为避免TCP全局同步现象，可使用的拥塞避免机制有？（）*A.RED(正确答案)B.WRED(正确答