2024年“新华三杯”全国大学生数字技术大赛备赛试题库（含答案）

PAGEPAGE12024年“新华三杯”全国大学生数字技术大赛备赛试题库（含答案）一、单选题1.802.11b协议在2.4GHz频段定义了14个信道，相邻的信道之间在频谱上存在交叠。为了最大程度地利用频段资源，可以使用如下哪组信道来进行无线覆盖？A、1、5、9.B、1、6、11C、2、6、10.D、3、6、9答案：B解析：两两之间相差要≥5.2.下列关于GRE穿越NAT的说法正确的是A、对于基于端口或协议的NAT,即NAPT来说,标准GRE协议报文可以正常穿越,且可以区分相同源地址发起

的不同GRE隧道。B、普通的源(目的地址作转化的NAT,标准GRE封装协议报文不可以正常穿越。C、对于基于端口或协议的NAT,即NAPT来说,NGRE可以通过Key选项来区分相同源地址发起的不同GRE

隧道。D、对于基于端口或协议的NAT,即NAPT来说,GRE可以通过SequenceNumber选项来区分相同源地址发起

的不同GRE隧道答案：C3.在SSL协议体系中,服务器端使用()端口接收并处理建立SSL链接的请求报文A、443.B、441C、500.D、520.答案：A4.工程师小L在调试SecPathF1020设备是，把缺省的G1/0/0当成内网口Trust，G1/0/0接口配置成untrust区域

当成外网口，此时内网用户是否可以正常上网A、不能B、能答案：A5.在防火墙上配置动态NAT使用命令displaynatsessionverbose有如下信息。

从设备输出可确定的是：A、设备上配置的是NO-PAT方式的动态NATB、动态NAT的配置下发在G1/0/0口上C、可以ping通.D.地址池中只有1个地址答案：A6.在开放系统互连参考模型（OSI）中，______以帧的形式传输数据流。A、网路层B、会话层C、传输层D、数据链路层答案：D解析：应用层APDU

表示层PPDU

会话层SPDU

传输层段segment

网络层包packet

数据链路层帧frame

物理层比特流bit7.集线器（Hub）工作在OSI参考模型的______。A、物理层B、数据链路层C、网络层D、传输层答案：A8.SSLVPN是解决远程用户访问敏感公司数据最简单最安全的解决技术。要使用SSLVPN,需安装哪个软件?A、客户端软件B、浏览器C、防火墙D、防病毒答案：B9.ACG1000产品支持旁路部署,在系统管理-部署方式处将接收流量的接口打钩,并将流里镜像到该接口即可完

成旁路部署A、对B、错答案：A10.如果在IP网络中使用GRE协议在承载IPX协议，则报文的封装过程为A、链路层协议->IPX>GRE>IPB、链路层协议->GRE>IPX>IPC、链路层协议->IP>GRE>IPXD、链路层协议->GRE>IP>IPX答案：C11.下列哪一种防火墙运行时速度最慢，并且运行在OSI模型中的最高层A、包过滤防火墙B、状态防火墙C、应用代理防火墙D、SMB防火墙答案：C12.GRE协议的协议号是：A、50.B、51C、47.D、48.答案：C13.默认情况下LAC和LNS之间通道的Hello报文发送时间间隔为A、10B、5C、30D、60.答案：D14.假设某企业总部和分支之间原采用物理专线连接的方式构建Intranet网络;现欲将总部和分支都接入Intranet,

在总部和分支间启用VPN随道,并保证数据在网络上传输的私密性,可选择()VPN技术A、PPTPB、IPsecC、GRED、L2tp答案：B15.通过哪个工具可以简化IPSecVPN的配置?A、VPNManagerB、VMSC、SMSD、XLOG答案：A16.下面关于OSI参考模型的说法正确的是______。A、传输层的数据称为帧（Frame）B、网络层的数据称为段（Segment）C、数据链路层的数据称为数据包（Packet）D、物理层的数据称为比特（Bit）答案：D17.L2TP协议是承载在UDP协议之上的,数据包的封装过程为A、私有IP->L2TP->UDP->PPP->公有IPB、私有IP->PPP->L2TP->UDP->公有IPC、私有IP->PPP->UDP->L2TP->公有IPD、私有IP->L2TP->PPP->UDP->公有1P答案：B18.下面哪一项不是IKE的特点A、定时更新IPSecSAB、允许端到端动态验证C、定时更新IPsec共享密钥D、允许IPsec提供抗重播服务答案：C19.NAT的NATPAT方式属于多对一的地址转换,通过使用”地址+端口号”的形式进行转换,使多个私网用户可共用

一个公网IP地址访问外网。上述说法是A、正确B、错误答案：A20.HWTACACS协议和RADIUS协议的区别A、以上信息记住B、以上信息记住C、以上信息记住D、以上信息记住答案：A21.在L2TP组网中,LNS侧对用户的验证方式有三种,代理验证、强制验证和LCP重协商。其中优先级最高的是A、代理验证B、强制СНАР验证C、LCP重协商D、都相同答案：C22.以下哪个病毒可以破坏计算机硬件?A、CIH病毒B、宏病毒C、冲击波病毒D、熊猫烧香病毒答案：A23.永久黑名单表项建立后,会一直存在,直到超过一定生存时间后防火墙会自动将该黑名单表项删除,上述说法是A、正确B、错误答案：B24.以下工作于OSI参考模型数据链路层的设备是______。A、广域网交换机B、路由器C、中继器D、集线器答案：A解析：广域网交换机-数据链路;路由器-网络层;中继器-物理层;集线器-物理层25.在防火前上使用命令displaynatall有如下信息：

基于以上信息可以得出结论是：A、接口的动态NAT没有配置ACL限制B、NAT地址池1中有4个地址C、NAT地址池中有2个地址D、当前设备上有1个地址池答案：C26.工程师小L在调试SecPathU200-S设备时,把缺省的GO/0接口当成内网口G0/1接口配置成了Untrust区域当成

外网口,此时内网用户是否可以正常访问外网?A、能B、不能答案：A27.下列关于对于NGFW防火墙的功能描述，不正确的是A、防火墙能够防网页被篡改B、防火墙能够限制网络访问C、防火墙能够产生审计日志D、防火墙能够执行安全策略答案：A28.在OSI参考模型中，网络层的功能主要是______。A、在信道上传输原始的比特流B、确保到达对方的各段信息正确无误C、确定数据包从源端到目的端如何选择路由D、加强物理层数据传输原始比特流的功能，并且进行流量调控答案：C29.以下哪个场景不存在VPN的需求？A、大型企业园区互联B、出差员工移动办公C、超市/门店/卖场的联网D、加油站/收费站的联网答案：A30.boot-loader-加载应用程序文件P192.7.通常情况下，路由器会对长度大于接口MTU的报文分片。为了检测线路MTU，可以带______参数ping

目的地址。A、–aB、–dC、–fD、–c答案：C解析：-a——带源;-f——不允许对ICMPEchoRequest报文进行分片;tos——typeofservicetos域的值默认0（0-255）;-t——报文超时时间，默认2000毫秒;-s——报文大小，默认56字节（20-8100）;-c——报文数目，默认5.-h——指定报文ttl值，默认255（0-255）;-m——指定发送报文时间间隔，默认200毫秒（1-65535）31.源主机ping目的设备时，如果网络工作正常，则目的设备在接收到该报文后，将会向源主机回应

ICMP______报文。A、EchoRequestB、EchoReplyC、TTL-ExceededD、Port-Unreachable答案：B解析：

EchoRequest

————————————————————————————>

EchoReply（正常）

<————————————————————————————

TTL-Exceeded/Port-Unreachable（超时/目的地址不可达）32.下列关于L2TP的说法正确的是A、用户和LAC之间会进行协商以获取IP地址B、在LAC上会根接入用户的PPP验证信息进行验证,以确定是否是L2tp的用户以及用户属于哪个L2TP组，

随后LAC会向相应的LNS发起建立隧道的请求。C、随道建立后,LAC与用户相连接的PCP会变为UP状态D、CHAP验证只能在用户端和LNS端进行答案：B33.常见的安全域划分方式有:A、按照接口划分B、按照业务划分C、按照规则划分D、按照IP地址划分答案：A34.在如图所示的TCP连接的建立过程中，SYN中的Z部分应该填入________。A、B、C、a+1D、b+1答案：D解析：X=a+1（确认收到a，期望下次发送a+1）

Y=a+1Z=b+1（确认收到b）35.下面哪一个协议工作在TCP/IP协议栈的传输层以下?A、SKIPB、SSLC、S-HTTPD、SSH答案：A36.防火墙实现包过滤的核心技术是ACL控制列表?A、正确B、错误答案：A37.H3CACG透明模式部署，在配置带宽管理时，需要将线路绑定在物理接口上，绑定在桥接口上无法生效A、错误B、正确答案：B38.NATALG技术可以解决所有多通道应用之间端到端的通信问题。以上说法是否正确A、正确B、错误答案：B39.地址转换技术只能用于将私网地址转换为公网地址，以上说法是否正确？A、正确B、错误答案：B40.在L2TP报文协商过程中,进行IP地址分配工作是在以下哪个阶段？A、Establish(链路建立)阶段B、LCP协商阶段C、HAP或PAP验证阶段D、网络协商（NCP）阶段答案：D41.H3C防火墙要么工作在二层模式，要么工作在三层模式，不能同时工作在二层和三层，以上说法正确吗？A、正确B、错误答案：B42.802.11b协议在2.4GHz频段定义了14个信道，相邻的信道之间在频谱上存在交叠。为了最大程度地利用频段资源，可以使用如下哪组信道来进行无线覆盖？A、1、5、9.B、1、6、10.C、2、7、12.D、3、6、9.答案：C解析：

两两之间相差要≥5.43.查看SecPath防火墙会话的命令是()A、displayfirewallsessiontableB、displayfirewallsessionC、displaysessiontableD、isplayaspfsession答案：C44.下列关于应用审计配置说法错误的是A、URL审计分为预定义URL和自定义URL两部分B、旁路部署时做全部应用的升级，镜像流量不需做处理动作C、日志级别默认为“不记录”仍然可以在日志查询里查到相关日志信息D、在“审计行为内容”里可以配置某个APP做的相应动作答案：C45.防火墙的策略一般是应用在安全域之间的,而IPS/AV策略一般应用在某个段上。A、正确B、错误答案：A46.SecPathIPS设备的管理口仅支持同网段管理端PC访问,当管理端PC的地址与设备管理地址不在同一网段时,

无法对设备进行Web管理,以上说法是:A、正确B、错误答案：B47.关于SecPath防火墙,下列说法正确的是口A、防火墙只能通过命令行方式升级版本B、防火墙通过WEB登录的默认用户名/密码是h3c/h3cC、防水墙的默认登录IP地址是D.防火墙的域间策略只能再Web页面下配答案：C48.H3C防火墙在接口上应用包过滤，方向可以选择Inbound和lOutboundA、错误B、正确答案：B49.以下属于块加密算法的是:A、SHA-1B、MD5C、DESD、RC4.答案：C50.下列关于L2TP的说法正确的是A、在LAC上会根据接入用户的PPP验证信息进行验证,以确定是否是L2TP的用户以及用户属于哪一个L2tp

组，随后LAC会向相应的LNS发起建立隧道的请求B、用户和LAC之间会进行协商以获取IP地址C、隧道建立后,LAC与用户相连接口的IPCP会变为UP状态D、CHAP验证只用在用户端和LNS端进行答案：A51.基本NAT方式是指直接使用接口的公网IP地址作为转换后的源地址进行地址转换。上述说法是()-A、正确B、错误答案：B52.一般来说,以下哪些功能不是由防火墙来实现的.A、隔离可信任网络和不可信网络B、防止病毒和木马程序入侵C、隔离内网和外网D、监控网络中会话状态答案：B53.ping实际上是基于______协议开发的应用程序。A、ICMPB、IPC、TCPD、UDP答案：A解析：Ping功能是基于ICMP协议来实现的：源端向目的端发送ICMP回显请求（ECHO-REQUEST）报文后，根据是否收到目的端的ICMP回显应答（ECHO-REPLY）报文来判断目的端是否可达，对于可达的目的端，再根据发送报文个数、接收到响应报文个数来判断链路的质量，根据ping报文的往返时间来判断源端与目的端之间的“距离”。54.下述攻击手段中，不属于DOS攻击的是A、FraggleB、Land攻击C、跨站攻击D、Smurf攻击答案：A55.H3c负载均衡交换机目前可以支持四层负载均衡，但不支持七层负载均衡A、正确B、错误答案：A56.如图所示网络环境中，两台路由器以串口背靠背相连，要设置互连链路的速率为2Mbps，下面说法正确的是

______。A、需要确定接口类型以及线缆满足V.24规程B、在RTA的同步口上使用baudrate2048000命令配置C、在RTB的同步口上使用baudrate2048000命令配置D、在RTB的同步口上使用virtual-baudrate2048000命令配置E、在RTA的同步口上使用bandrate2048000命令配置，在RTB的同步口上使用virtual-baudrate2048000.命令配置答案：B解析：V．24支持同、异步：异步最高速率115200bps同步最高速率64000bps

V．35只支持同步：最高速率为2048000bps=2Mbps

在DCE端配置带宽

DCE（数据控制设备）运行商设备，提供DCE、DTE之间同步时钟信号

DTE（数据终端设备）用户设备，接受DCE提供的时钟信号57.如果以太网交换机中某个运行STP的端口不接收或转发数据，接收并发送BPDU，不进行地址学习，那么该

端口应该处于______状态。A、BlockingB、ListeningC、LearningD、ForwardingE、WaitingF、Disable答案：B解析：接收配置BPDU发送配置BPDUMAC地址学习收发数据

Disable

Blocking√

Listening√√

Learning√√√

Forwarding√√√√58.数据分段是在OSI参考模型中的______完成的。A、物理层B、网络层C、传输层D、接入层答案：C59.编号3001的ACL对应的类型是A、二层ACLB、七层ACLC、基本ACLD、高级ACL答案：D60.基本NAT方式是指直接使用接口的公网IP地址作为转换后的源地址进行转换,上述说法是A、正确B、错误答案：B61.下列哪些交换模式是在IKE协商的第二阶段存在的?A、主模式B、野蛮模式C、快速模式D、普通模式答案：C62.在OSI参考模型中，加密是______的功能。A、物理层B、传输层C、会话层D、表示层答案：D63.ACG1000产品不支持VRF功能,因此无法可作为MCE设备和MPLS网络对接A、对B、错答案：B64.用以太网线连接两台交换机，互连端口的MDI类型都配置为across，则此以太网线应该为________。A、只能使用交叉网线B、只能使用直连网线C、平行网线和交叉网线都可以D、平行网线和交叉网线都不可以答案：A解析：同层设备交叉线，不同层直连线

以太网交换机接口类型MDI/MDIX自适应

MDI直通线

MDIX交叉线

这里设置成MDI，只能用交叉线65.如下图所示的网络中,RTB对RTA发起IPSec连接,有关NAT穿越描述正确的是A、IPSec隧道两端不启用TKE的情况下亦能实现NAT穿越B、通过将IPsec报文封装在UDP1701端协议报文中实现IPSec的NAT穿越C、RTA在主模式情况下不能实现NAT穿越D、NAT网关会修改UDP报文头,IPSec报文的IP头答案：C66.防火墙的DMZ区的主要用途是(A、解决公共设备如服务器防止问题B、解决军事侵犯问题C、解决防火墙区域划分不够问题答案：A67.IKEv1主模式第一阶段协商的第一和第二个报文的作用是身份验证，从而保证了后续报文传递的合法性，以

上说法是否正确？A、正确B、错误答案：A68.NAT的NATstatic方式可以实现公网地址的复用，有效解决ipv4地址短缺的问题，上述说法是（）A、错误B、正确答案：A69.IP地址10是______地址。A、类B、类C、类D、类答案：B70.SSL协议支持的流加密算法包括A、3DESB、DESC、AESD、RC4.答案：D71.IP地址00的子网掩码是40，哪么它所在子网的广播地址是______。A、07.B、55.C、93.D、23.答案：A解析：10010000.11001111….广播地址72.CHAP是三次握手的验证协议，其中第1次握手是完成（）A、验证方将一段随机报文和用户名传递到被验证方B、被验证方直接将用户名和令传递给验证方C、被验证方生成段随机报文，用自己的令对这段随机报文进行加密，然后与自己的用户名一起传递给被验

证方D、验证方将用户名和密码传递到被验证方答案：A73.SecPathF1000-E防火墙Inline转发是依据Mac地址表完成的,上述说法是?A、正确B、错误答案：B74.广域网接口多种多样，下列对于广域网接口的描述错误的是______。A、V.24规程接口可以工作在同异步两种方式下，在异步方式下，链路层使用PPP封装。B、V.35规程接口可以工作在同异步两种方式下，在异步方式下，链路层使用PPP封装。C、BRI/PRI接口用于ISDN接入，默认的链路封装是PPPD、G703接口提供高速数据同步通信服务。答案：B解析：V．24支持同、异步：异步最高速率115kps同步最高速率64kbps

V．35只支持同步：最高速率为2048000bps=2Mbps;ISDN两种接入方式：BRI接口→2B+DB信道64kbpsD信道16kbps;PRI接口→E130B+D

T123B+D默认PPP封装75.SSLVPN支持哪些接入方式?A、WebB、TCPC、IPD、以上都是答案：D76.下述哪个是H3C专有的VPN技术A、IPSecVPNB、GREVPNC、动态VPND、MPLSVPN答案：C77.F100-E固定4个GE接口,一个扩展槽,支持SSLVPN模块。A、正确B、错误答案：B78.GRE协议栈如图所示，以下说法正确的是？A、协议B是封装协议B、协议B是承载协议C、协议A是封装协议D、协议A是承载协议答案：D解析：协议A是承载协议，GRE是封装协议79.在TCP连接的三次握手过程中,第一步是由发起端发送A、SYN包B、SCK包C、UDP包D、NULL包答案：A80.如图所示网络环境中，在RTA上执行如下NAT配置：

[RTA]aclnumber2000.[RTA-acl-basic-2000]rule0permitsource55.[RTA-acl-basic-2000]nataddress-group111[RTA]interfaceEthernet0/1[RTA-Ethernet0/1]natoutbound2000address-group1配置后，Client_A和Client_B都在访问Server，则此时RTA的NAT表可能为______。A、ProtocolGlobalAddrPortInsideAddrPortDestAddrPort

111228910241024

VPN:0,status:NOPAT,TTL:00:01:00,Left:00:00:59

1112288512512

VPN:0,status:11,TTL:00:01:00,Left:00:00:51B、ProtocolGlobalAddrPortInsideAddrPortDestAddrPort

111228910241024

VPN:0,status:11,TTL:00:01:00,Left:00:00:59

1212288512512

VPN:0,status:11,TTL:00:01:00,Left:00:00:51C、ProtocolGlobalAddrPortInsideAddrPortDestAddrPort

121228910241024

VPN:0,status:11,TTL:00:01:00,Left:00:00:59

1112288512512

VPN:0,status:11,TTL:00:01:00,Left:00:00:51D、ProtocolGlobalAddrPortInsideAddrPortDestAddrPort

111228910241024

VPN:0,status:11,TTL:00:01:00,Left:00:00:59

1112288512512

VPN:0,status:11,TTL:00:01:00,Left:00:00:51答案：D解析：Napt且地址池只分配了一个地址81.下列关于加密和解密的说法,正确的是A、将密文解码为明文的过程称之为解密,它是加密的相反过程B、加密和解密是互逆的两个过程,因此加解密的密钥需要相同C、一般来讲,加密比解密要消耗更多的设备性能D、密码算法的安全性不仅和密钥相关,也和加解密算法相关,因此算法不能公开答案：A82.包过滤ACL进行如下配置:

Aclbasic2000match-orderconfig

Rulepermitsource55.A、源地址0目的地址0的报文被丢弃B、源地址目的地址的报文被丢弃C、源地址0目的地址的报文允许通过D、源地址目的地址的报文允许通过答案：D83.下面关于OSI参考模型各层功能的说法错误的是______。A、物理层涉及在通信信道（Channel）上传输的原始比特流，它定义了传输数据所需要的机械、电气功能

及规程等特性。B、网络层决定传输报文的最佳路由，其关键问题是确定数据包从源端到目的端如何选择路由。C、传输层的基本功能是建立、维护虚电路，进行差错校验和流量控制。D、会话层负责数据格式处理、数据加密等。E、应用层负责为应用程序提供网络服务。答案：D解析：应用层为应用进程提供网络服务

表示层定义数据格式与结构、协商上层数据格式、数据加密压缩

会话层主机间通信，建立、维护、终结应用程序间会话，文字处理、邮件、表格

传输层分段上层数据，端到端连接，透明可靠传输，差错校验、重传，流量控制

网络层编址，路由，拥塞控制，异种网络互连数据链路层编帧、链路建立/维持/释放，流量控制，差错校验，寻址，标识上层数据

物理层电压，接口，线缆，传输距离等物理参数。四大特性：机械、电器、功能、规

程84.标准GRE头中必选字段包括有A、ProtocolTypeB、checksumtpaeC、KeyFieldD、SequenceNumber答案：A85.L2TP数据报文以报文的形式发送,注册的端口号为A、UDP,1700B、TCР,1700C、TCP,1701D、UDP,1701答案：D86.以下哪些配置可以实现telnet用户的AAA认证A、[Device-line-console0]authentication-modeschemeB、[Device-line-vty0-63]authentication-modeschemeC、[Device-line-vty0-63]authentication-modenoneD、[Device-line-vty0-63]authentication-modelocal答案：B87.现在各种P2P应用软件层出不穷,P2P流量的识别也必须采用多种方法写作进行,以上说法是A、正确B、错误答案：A88.使用防火墙Web过滤功能,可以组织或者允许内部用户访问某些特定网页A、正确B、错误答案：A89.IPSec的加密和认证过程中所使用的密钥可以由()协议来自动生成和分发A、ESPB、IKEC、SPID、AH答案：B90.ping实际上是基于______协议开发的应用程序。A、ICMPB、IPC、TCPD、UDP答案：A解析：Ping功能是基于ICMP协议来实现的：源端向目的端发送ICMP回显请求（ECHO-REQUEST）报文后，根据是否收到目的端的ICMP回显应答（ECHO-REPLY）报文来判断目的端是否可达，对于可达的目的端，再根据发送报文个数、接收到响应报文个数来判断链路的质量，根据ping报文的往返时间来判断源端与目的端之间的“距离”。91.SecPath防火墙缺省开启黑名单功能。A、正确B、错误答案：B92.关于VPN，下述哪个说法是不正确的?A、包转发是VPN网关的关键性能指标;B、接口数是VPN网关的关键性能指标;C、加密吞吐量是VPN网关的关键性能指标;D、最大并发隧道数是VPN网关的关键性能指标。答案：A93.UDP属于OSI参考模型的______。A、网络层B、传输层C、会话层D、表示层答案：B94.H3CUTM从高优先级域到低优先级域是允许访问的,但是反之不行,上述说法:A、正确B、错误答案：A95.SMTP协议使用的端口号是A、21B、25C、110D、22答案：B96.IP协议对应于OSI参考模型的第______层。A、5.B、3.C、2.D、1答案：B解析：

应用层协议：见T13.传输层协议：TCP(6)UDP(17)

网络层协议：IP,ICMP（ICMP消息可分为ICMP差错消息和ICMP查询消息）,IGMP（互联网组管理协议，负责管理组播组）网络接口层协议：以太网、令牌环，HDLC,PPP,X.25,帧中继,PSTN,ISDN等97.IP地址10是______地址。A、类B、类C、类D、类答案：C98.源主机ping目的设备时，如果网络工作正常，则目的设备在接收到该报文后，将会向源主机回应

ICMP______报文。A、EchoRequestB、EchoReplyC、TTL-ExceededD、Port-Unreachable答案：B解析：

EchoRequest

————————————————————————————>

EchoReply（正常）

<————————————————————————————

TTL-Exceeded/Port-Unreachable（超时/目的地址不可达）99.两台空配置的MSR路由器通过图示的方式连接，通过配置IP地址，两台路由器的GE0/0接口可以互通。

如今分别在两台路由器上增加如下配置：

RTA：

[RTA]ospf

[RTA-ospf-1]area0.[RTA-ospf-1-area-]network.[RTA-GigabitEthernet0/0]ospfdr-priority2.RTB：

[RTB]ospf[RTB-ospf-1]area0.[RTB-ospf-1-area-]network.[RTB-GigabitEthernet0/0]ospfdr-priority

那么在OSPF邻居状态稳定后，______。A、OSPF接口优先级相同，在/30网段上不进行OSPFDR选举B、两台路由器中，一台为DR，一台为BDRC、两台路由器中，一台为DR，一台为DRotherD、两台路由器的邻居状态分别为FULL、2-Way答案：B解析：[接口]ospfdr-priority（0-255）修改接口优先级，默认为1，优先级为0的不参与选举只有广播网，NBMA网络中才有DB,BDR选举，千兆以太口默认接口类型广播

修改ospf网络类型：[接口]ospfnetwork-type（）DR,BDR的选举是针对接口、网段而言的的，并非该RT是DR,BDR。通过比较接口优先级（越大越优），一样则比较routerid（越大越优）DRother之间另据状态停留在2-way100.NAT技术可以隐藏私网的网络结构防止外部攻击源对内部服务器的攻击。上述说法是A、正确B、错误答案：A101.H3C防火墙的安全域有优先级概念。上述说法是否正确。A、正确B、错误答案：A102.下面哪个不是VPN技术中用到的加密算法A、DESB、3DESC、AESD、RIP/RIP2.答案：D103.提供端到端可靠数据传输和流量控制的是OSI参考模型的______。A、表示层B、网络层C、传输层D、会话层答案：C104.DNS工作于OSI参考模型的______。A、网络层B、传输层C、会话层D、应用层答案：D105.下面哪个说法是错误的？A、VPN可以专线线路的备份,但是缺点在于组网复杂,而且价格昂贵B、相对于PSTN拨号接入,VPN接入方式可以提供更高的性能,而且安全性高C、防火墙的一个功能特性是防止某些基于2层/3层网络协议的网络层攻击D、防火墙可以提供路由交换、地址转换(NAT)、身份认证等多种功能答案：A106.安全概念在所属的各个领域有着不同的含义,那么网络安全应属于A、经济安全领域B、信息安全领域C、生成安全领域D、国家安全领域答案：B107.下列那一项没有涉及到密码技术A、SSHB、SSLC、GRED、IPSec/IKE答案：C108.在企业的内部信息平台中,存在的信息泄露的途径包括:A、可移动存储介质B、打印机C、内部网络共享D、公司对外的FTP服务器答案：A109.SPX属于OSI参考模型的______。A、网络层B、传输层C、会话层D、表示层答案：B解析：传输层协议有TCP/IP协议族的TCP/UDP,以及IPX/SPX协议族的SPX等110.NO-PAT方式是指直接使用接口的公网IP地址作为转换后的源地址进行地址转换上述说法是A、错误B、正确答案：A111.在运行了RIP的MSR路由器上看到如下路由信息：

displayiprouting-table.RoutingTable:Public

SummaryCount:2.Destination/MaskProtoPreCostNextHopInterface6.6.0/24RIP1001GE0/0.H3C技术交流QQ群13899313/8Static600GE0/0.此时路由器收到一个目的地址为的数据包，那么______。A、该数据包将优先匹配路由表中的RIP路由，因为其掩码最长B、该数据包将优先匹配路由表中RIP路由，因为其优先级高C、该数据包将优先匹配路由表中的静态路由，因为其花费Cost小D、该数据包将优先匹配路由表中的静态路由，因为其掩码最短答案：A解析：只有优先级最高的会被加入路由表，掩码不同都会被加入路由表路由表查找规则1）最长匹配转发2）非直连网段迭代查找3）默认路由最后匹配112.NAt的easyIP方式可以实现公网地址的复用，有效解决IPv4地址短缺的问题。上述说法是A、错误B、正确答案：A113.IP地址2和掩码24代表的是一个______。A、主机地址B、网络地址C、广播地址D、以上都不对答案：B解析：01000055.11100000.114.FTP默认使用的控制协议端口是______。A、20.B、21C、23.D、22.答案：B解析：ftp数据连接ftp控制连接telnetssh115.OSI参考模型物理层的主要功能是______。A、物理地址定义B、建立端到端连接C、在终端设备间传送比特流，定义了电压、接口、电缆标准和传输距离等D、将数据从某一端主机传送到另一端主机答案：C116.下列算法中,既可以用于加密,也可以用于签名的是A、ESB、DESC、RSAD、SA答案：C117.下面有关L2TP配置说法正确的有;A、可以配置完整的用户名或者特定的域名作为触发L2TP发起连接的条件B、当使用ippool命令给对端分配地址时,应确保ippool地址池里的地址和虚模板接口地址在同一网段内C、当L2TPgroup组号为0,且不指定通道对端名remote-name时,发起L2TP连接时,忽略对端用户名D、L2TP默认配置情况下启用了隧道验证,且验证密码为空答案：C118.如下NAT命令及其作用对应关系正确的是?A、displaynatsession显示NAT会话B、displaynatentry显示地址条目C、displaynat显示所有NAT配置D、isplaynattable显示地址表答案：A解析：displaynatsession命令用来显示NAT会话，即经过NAT地址转换处理的会话。

Displaynatall命令用来显示所有的NAT配置信息。C错

BD命令没有找到119.IP地址10是______地址。A、类B、类C、类D、类答案：C120.配置交换机SWA的桥优先级为0的命令为______。A、[SWA]stppriority0.B、[SWA-Ethernet1/0/1]stppriority0.C、[SWA]stprootpriority0.D、[SWA-Ethernet1/0/1]stprootpriority0.答案：A121.以下关于DoS攻击的描述,正确的是?A、攻击者通过后门程序来入受攻击的系统B、攻击者以窃取目标系统上的机密信息为目的C、攻击行为会导致目标系统无法处理正常用户的请求D、如果目标系统没有漏洞,远程攻击就不可能成功答案：C122.H3C防火墙安全策略规则中，若引用DPI业务时，规则的动作需配置为允许，以上说法是否正确？A、正确B、错误答案：A123.AAA授权包括以下哪些？A、本地授权B、远程授权C、不授权答案：A124.ACG1000的DFI主要用来识别应用的静态报文特征A、正确B、错误答案：B解析：DPI主要用来识别应用的动态流量特征125.NAT的EasyIP方式可以实现公网地址的复用,有效解决1PV4地址短缺问题。A、正确B、错误答案：B126.L2TP数据报文以（）报文的形式发送，注册得端口号为（）A、UDP1701B、TCP1701C、UDP1700.D、TCP1700.答案：A127.对于H3C防火墙来说，如果不将物理接口添加到某一安全域中，则该接口不能正常收发报文A、错误B、正确答案：B128.ESP报文格式如下图所示,关于ESP描述正确的有A、SPI字段可以唯标识这个数据包的IPSecSAB、ESP协议报文用IP报文协议号51表示C、根据特定加密算法的要求,可以在Padding字段增加填充位D、验证字段(AuthenticationData)对于ESP来说是必选字段答案：A129.用______命令可指定下次启动使用的操作系统软件。A、startupB、oot-loaderC、bootfileD、bootstartup答案：B130.在Windows操作系统中，哪一条命令能够显示ARP表项信息？A、displayarpB、arp–aC、arp–dD、showarp答案：B解析：arp–d删除arp表项

Arp–sIPMAC——MAC静态绑定arp131.在下列哪种密码应用中,我们是使用公钥加密、私钥解密?A、非对称密码B、对称密码C、数字签名D、H交换答案：A132.IPS(入侵防御系统)是一种基（）的产品,它对攻击识别是基于（）匹配的A、应用层,特征库B、网络层,协议C、应用层,协议D、网络层,特征库答案：A133.在IKE协商模式中，哪种模式适合用于分支机构采用ADSL拨号与总部IPSec连接A、野蛮模式B、主模式C、传输模式D、隧道模式答案：A134.H3C负载均衡交换机提供了全面的健康检测算法,负载均衡调度算法以及会话保持功能,可以根据应用场景进

行灵活的选择,从而达到最优的负载均衡效果,下面关于H3C负载均衡交换机描述不正确的是:A、可以提供基于源地址/端口,HITTP头信息,SSLID,HTTPCookie信息的会话保持B、负戴均衡调度功能和会话保持功能不能同时启动C、可以提供基于ICMP,TCP,HTTP,VFTP,QSSL92DNS等健康检测算法;D、可以提供基于轮询,最小连接,最小响应时间,加权方式,源/目的地址Hash等负载均衡调度算法。答案：B135.AAA(Authentication、Authorization、Accounting,认证、授权、计费)是网络安全的一种管理机制,提供了

认证、授权、计费三种安全功能。A、正确B、错误答案：A136.防火墙具有隐藏私网内部网络结构,防止外部攻击源对内部服务器的攻击行为的技术,称之为A、地址过滤;B、NATC、反转D、IP欺骗答案：B137.防范SYINFlood攻击的常见手段是连接限制技术和连接代理技术,其中连接代理技术是指对TCP连接速率进

行检测,通过设置检查阈值来发见并阻断攻击流里,上述说法是A、错误B、正确答案：B138.以下哪些防火墙不支持SSLVPN功能?A、F1000-SB、U200-AC、V100-SD、v100-E答案：C139.TFTP采用的传输层知名端口号为______。A、67.B、68.C、69.D、53.答案：C解析：TCP（6）：ftp——20/21ssh——22.telnet——23.smtp——25接收邮件

Pop3——110发送邮件

DNS——53.http——80.https——443http安全版，下加入ssl层

UDP(17)：DNS——53.Bootp——67服务器/68客户端（就是dhcp，dhcp基于bootp发展而来）

Tftp——69.Snmp——161/162服务器监听的端口号161，客户端监听端口号140.DES是最著名的对称密码算法,其属于分组密码,明文分组的位数为A、64B、56C、128D、256答案：A141.如何防范Smurf攻击?A、检查ICMP请求报文的目的地址是否为子网地址，是则丢弃B、检查ICMP请求报文的源地址是否为子网地址，是则丢弃C、检查ICMP请求报文的目的地址是否为应播地址，是则丢弃D、检查ICMP请求报文的源地址是否为广播地址，是则丢弃答案：C142.在UDP端口扫描中，对主机端口是否开放的判断依据是A、根据被扫描主机开放端口放回的信息判断B、根据被扫描主机关闭端口返回的信息判断C、既不根据A也不根据BD、综合考虑A和B的情况进行判断答案：A143.下列攻击手段中，不属于单包攻击的是（）A、UDPflood攻击B、WinNukeC、Land攻击D、Smurf攻击答案：A144.SSL协议向()提供端到端的、有连接的加密传输服务A、传输层B、应用层C、网络层D、数据链路层答案：B145.AH和ESP的协议号分别是:A、51,50.B、50,51C、17,47.D、47,17.答案：A146.黑名单表项可以手工添加,也可以有防火墙动态生成,上述说法是:A、正确B、错误答案：A147.工作数字签名算法和哈希函数的关系是A、都是用来签名的算法B、都是用来进行加密的算法C、哈希函数济生消息摘要,而数字签名算法对消息摘要进行加密D、数字签名对消息进行签名,然后由哈希函数产生摘答案：C148.下列关于L2TP的说法正确的有:A、用户的远程系统可以通过一个远程接入方式接入到运营商的LAC中,由LAC对LNS发起L2tp隧道并建立会话B、当用户的远程系统使用VPDN客户端软件对LNS发起L2tp隧道并建立会话时,隧道直接建立在客户端和LNS之间,此时L2tp系统不存在LACC、L2tp隧道存在于一对LAC与LNS之间。一个隧道内包括一个控制连接(ControlConnection）一个隧道内只支持一个会话D、L2tp是面向连接的,可以为其传送的信息提供一定的可靠性。LAC维护远程系统对其发起的呼叫状态和信息。一对LAC和LNS也同时维护在两者之间的相应信息和状态答案：D149.在网络层上实现网络互连的设备是______。A、路由器B、交换机C、集线器D、中继器答案：A解析：路由器和三层交换机150.下列关于对防火墙的功能描述,不正确的是A、防火墙能够执行安全策略B、防火墙能够产生审计日志C、防火墙能够限制组织安全状况的暴露D、防火墙能够防病毒答案：D151.防火墙具有隐私内网网络结构，防止外部攻击源对内部服务器的攻击行为，称之为（）A、攻击防范B、包过滤C、NATD、地址过滤答案：C152.SSLVPN主要可以解决:A、适应各种网络条件下的安全接入B、无法忍受VPN客户端损坏和网关配置修改后不能访问C、细粒度访问控制D、以上全是答案：D153.在防火墙应用中,一台需要与互联网通信的Web服务器放置在以下哪个区域时最安全?A、DMZ区域B、Trust区域C、Local区域D、Untrust区域答案：A154.100BASE-TX的标准物理介质是______。A、粗同轴电缆B、细同轴电缆C、3类双绞线D、5类双绞线E、光纤答案：D解析：100BASE-TX2对五类双绞线

100BASE-FX多模光纤

100BASE-T44对三类双绞线

1000BASE-SX多模光纤

LX单模多选题1.如下哪种路由协议只关心到达目的网段的距离和方向？A、IGPB、OSPFC、RIPv1D、RIPv2.答案：CD2.客户的网络连接形如：

HostAGE0/0--MSR-1--S1/0WANS1/0--MSR-2--GE0/0HostB

两台MSR路由器通过广域网实现互连，目前物理连接已经正常。MSR-1的接口S1/0地址为/30，

MSR-2的接口S1/0地址为/30，现在在MSR-1上配置了如下三条静态路由：

Iproute-static.

Iproute-static.

Iproute-static.

其中/22子网是主机HostB所在的局域网段。那么如下描述哪些是正确的？A、这三条路由都会被写入MSR-1的路由表B、只有第三条路由会被写入MSR-1的路由表C、这三条路由可以被一条路由iproute-static代替D、只有第一条路由会被写入MSR-1的路由表答案：AC解析：第三条注意掩码24位，不能代替前两条3.用户AAA授权方式包括什么？A、管理员授权B、远端授权C、本地授权D、不授权答案：BCD4.以下哪些配置授权给用户SSLVPN的登陆权限？A、[device-luser-manage-test]service-typesslvpnB、[device-luser-network-test]service-typesslvpnC、[device]local-usertestclassmansgeD、[device]local-usertestclassnetwork答案：BC5.哪些不属于AAAA、CLB、Access答案：AB6.SSLVPN同IPSec相比的优势是A、采用B/S架构,不需要进行客户端的安装和维护;B、可以进一步控制VPN内数据的访问,进行细粒度访问控制C、可以定制登录界面,实现个性化配置;D、实现数据加密答案：ABC7.常见的行为识别技术包括:A、基于端口的识别,主要应用子使用固定端口进行通信的引用,例如,HTTP、FTPB、基于行为特征的识别,主要是基于部分应用的数据流里和其它流量在行为特征上的差异来进行C、IP地址的识,,至要是对某些使用固定IP地址的业务进行识别D、基于负载信息的识别,主要是基于部分协议在负载中含有,议特征字符串来完成识别答案：ABD解析：共三种，基于端口、基于行为特征、基于负载信息8.NAT的实现方式包括A、easyIP方式B、Natserver方式C、PAT方式D、no-pat方式答案：ABCD9.IPSec支持哪些密钥协商？A、DPD方式B、IKE自动协商方式C、模板方式D、手工配置方式答案：BD10.衡量VPN的性能,主要有以下哪些指标?A、最大并发连接数B、加密性能C、每秒新建连接数D、最大并发隧道数答案：ABCD11.H3CACG的带宽管理功能，可以对通过设备的流量实现基于精细化的管理和控制。A、用户／用户组B、源／目的IP地址C、MAC地址D、服务E、时间F、应用/应用组答案：AE12.下列关于衡量防火墙的性能指标说法正确的有A、并发连接数是指每秒钟防火墙能够处理的新建连接的数量B、时延是数据包进入防火墙到从防火墙输出的时间间隔C、新建连接数是指每秒钟防火墙能够同时处理的连接总数D、吞吐量需要对不同大小的数据包。不同方向的流量等进行测试答案：ABCD13.客户路由器的接口GigabitEthernet0/0下连接了局域网主机HostA，其IP地址为/24；接口Serial6/0接口连接远端，目前运行正常。现增加ACL配置如下：

Firewallenable

Firewalldefaultpermit

Aclnumber3003.rule0permittcp

Rule5permiticmp

AerfaceGigabitEthernet0/0.firewallpacket-filter3003inbound

Firewallpacket-filter2003outbound

IerfaceSerial6/0.link-protocolppp

Ipaddress.假设其他相关配置都正确，那么______。A、HostA不能ping通该路由器上的两个接口地址B、HostA不能ping通，但是可以ping通C、HostA不能ping通，但是可以ping通.D、HostA可以Telnet到该路由器上答案：CD解析：ACL实际上起限制作用的只有2003.3003，允许tcpicmp，默认允许无意义

注意：拒绝掉的是源地址/24的所有报文，包括icmp的echo，echo-reply等

用在的是G0/0接口的outbound方向，当Aping网关时，网关返回的icmpechoreply报文被deny如果用在G0/0inbound方向，Aping网关时，发送的icmpecho报文被deny

Ping同理14.OSI参考模型具有以下哪些优点？A、OSI参考模型提供了设备间的兼容性和标准接口，促进了标准化工作。B、OSI参考模型的一个重要特性是其采用了分层体系结构。分层设计方法可以将庞大而复杂的问题转化为

若干较小且易于处理的问题。C、OSI参考模型是对发生在网络设备间的信息传输过程的一种理论化描述，并且定义了如何通过硬件和软

件实现每一层功能。D、以上说法均不正确。答案：AB15.H3c防火墙缺省的安全域包括A、DMZLB、ManagementC、untrustD、localE、trust答案：ABCDE16.下面那些不属于AAA认证A、授权（authorzation）B、控制（ACL）C、认证（authentication）D、接入（Access）答案：BD17.下列攻击中,属于Dos拒绝服务玫击的是:A、SYNFloodB、ICMPFloedC、WinNuke攻击D、UDPFlood答案：ABD18.对于分组交换方式的理解，下列说法中正确的是______。A、分组交换是一种基于直通转发（cut-throughswitching）的交换方式B、传输的信息被划分为一定长度的分组，以分组为单位进行转发C、分组交换包括基于帧的分组交换和基于信元的分组交换D、每个分组都载有接收方和发送方的地址标识，分组可以不需要任何操作而直接转发，从而提高了效率答案：BC19.OSI参考模型具有以下哪些优点？A、OSI参考模型提供了设备间的兼容性和标准接口，促进了标准化工作。B、OSI参考模型是对发生在网络设备间的信息传输过程的一种理论化描述，并且定义了如何通过硬件和软件实现每一层功能。C、OSI参考模型的一个重要特性是其采用了分层体系结构。分层设计方法可以将庞大而复杂的问题转化为若干较小且易于处理的问题。D、以上说法均不正确。答案：AC20.下述哪些是典型的VPN部署模式?A、分支机构与总部连接B、移动用户接入总部网络C、作为域线路的备份线路D、局域网內建立加密通道答案：ABCD21.当出现大量VPN需求时，可以引导那些产品？A、SecPath系列防火墙B、SecPath系列VPNC、H3CIPSD、SR系列路由器答案：ABC22.下面那个用户可能存在VPN应用需求?A、某大型网吧,提供高达千北的Intermet接入以及多达台的主机,需要对上网用户进行有效的计费,对用户上网

行为进行有效的管理;B、大型制造企业,内部建设覆盖整个厂区的局域网,有统一的intemet出口,企业内部已经启动ERP,系统,应用

完善,每天有大量的销售人员出差C、大型连锁机构,某品牌汽车4S店,总部设在上海,在全国省会额以上城市都有连锁店面,每天销售数据和财务

信息需要向总部汇总;D、某省级政府机构,在全省县级以及县级以上分布有专属分支机构,已经通过,线相互连接,正在考虑一种经济

有效的方式实现专线线路备份。答案：BCD23.信息安全策略是特定应用环境中,为确保一定级别的安全保护所必须遵守的规则。而安全策略建立模型主要

包括A、先进的技术B、相关法律法规C、管理审计制度D、先例与经验答案：ABC24.在如图所示的交换网络中，所有交换机都启用了STP协议。SWA被选为了根桥。根据图中的信息来看，

_______端口应该被置为Blocking状态。A、SWC的P1B、SWC的P2.C、SWD的P1D、SWD的P2.E、信息不足，无法判断答案：BD解析：桥ID：桥优先级.MAC地址4096倍数最大65535默认32768.根桥选举：线比较桥优先级，在比较MAC地址，越小越优先25.证书注册中心在收到用户的证书注册请求后,需要对注册用户进行验证,其验证的主要信息有A、确认注册用户有中请证书的权利B、确认注册用白拥有和证书请求相对应的私钥C、确认证书用户的身份信息正确D、确认注册用户是否曾注册过证书答案：BC26.关于H3C防火墙的命令视图，以下说法正确的是A、在接口视图下可以通过portlink-mode命令切换二三层模式B、配置路由应在系统视图下C、用户登录设备后，直接进入用户视图D、在用户视图下输入systemview命令进入系统视图答案：ABD27.关于H3CNGFW安全区域说法正确的是A、防火墙默认有五个安全区域：Management、Local、Trust、Untrust、DMZB、防火墙自身所有接口都属于Local区域C、非管理接口必须加入业务安全区域才能转发数据D、处于同一区域内的接口数据默认无法互通答案：ABCD28.下列关于证书机构的说法中,正确的是A、证书注册中心(RA)负责证书的生成工作B、数字证书的生成和维护过程中一般需要证书授权中心和证书注册中心两个机构C、证书授权中心(CA)负责证书的生成工作D、证书授权中心按照层次结构进行答案：BCD29.ACL(访问控制列表)的类型包括哪些A、基本ACLB、高级ACLC、二层ACLD、基于时间段的包过滤答案：ABC30.客户的两台路由器通过V.35电缆背靠背连接在一起，其中一台路由器上有如下接口信息：

[MSR-Serial0/0]displayinterfaceSerial0/0.Serial0/0currentstate:UP

Lineprotocolcurrentstate:UP

Description:Serial6/0Interface

TheMaximumTransmitUnitis1500,Holdtimeris10(sec)

InternetAddressis/30Primary

LinklayerprotocolisPPP

LCPopened,IPCPopened

从上述信息可以得知______。A、这台路由器已经和远端设备完成了PPP协商，并成功建立了PPP链路B、这台路由器和远端设备之间成功完成了PPPPAP或者CHAP的验证验证可选项，题中无法看出是否设

有验证、是否通过C、在这台路由器上已经可以ping通对端的地址了无法判断是否通过了验证，所以对端地址也不一

定可以ping通D、该接口信息提示，在该接口下还可以配置第二个IP地址subordinate答案：AD31.常见的内网用户行为监管应包括A、内网Web应用的审计B、内网网络共享应用的审计C、内网Q0MSN应用的审计D、内网FTP应用的审计答案：ACD32.广域网接口多种多样，下列对于广域网接口的描述正确的是______。A、V.24规程接口可以工作在同异步两种方式下，在异步方式下，链路层使用PPP封装。B、V.35规程接口可以工作在同异步两种方式下，在异步方式下，链路层使用PPP封装。C、BRI/PRI接口用于ISDN接入，默认的链路封装是PPPD、G703接口提供高速数据同步通信服务。答案：ACD33.用户AAA计费方式包括A、按流量计费B、本地计费C、远端计费D、不计费答案：BCD解析：认证:确认访问网络的远程用户的身份,判断访问者是否为合法的网络用户。

授权:对不同用户赋予不同的权限,限制用户可以使用的服务。例如,管理员授权办公用户才能对服务器中的文件进行访问和打印操作,而其它临时访客不具备此权限。

计费:记录用户使用网络服务过程中的所有操作,包括使用的服务类型、起始时间、数据流里等,用于收集和记录用户对网络资源的使用情况,并可以实现针对时间,流里的计费需求,也对网络起到监视作用。34.H3CSecPath防火墙中,配置IP地址资源的方式有哪些?A、主机地址B、范围地址-C、子网地址D、网站域名答案：ABCD35.3C防火墙缺省的安全域包括A、TrustB、UntrustC、LocalD、MZ答案：ABCD36.IPsec的有点有A、抗DDoS（disributeddenyofsevice）B、身份验证（dataauthentication）C、参数完整性（dataintegrity）D、数据机密性（Confidenttiality）答案：BCD37.IIS(InternetSecuritySystems)公司提出的PDR安全模型包括哪三个方面?A、响应B、设计C、保护D、检测答案：ACD38.IPsec的优点有A、数据完整性(Dataintergrity）B、数据机密性(Conidentiality)C、身份验证(DataAuthentication)D、抗DDos（DistributedDenyofService）答案：ABC39.根据加密时对明文消息是否分组,密钥体制可以分为A、私钥密码体制B、序列密码C、公钥密码体制D、分组密码答案：BD40.IPSec是在IETF制定的保证在IP网络上传送数据的安全保密性的三层安全协议体。IPSec协议族包含A、PPPB、ESPC、AHD、PKL答案：BC41.一个完整的SSLVPN全握手过程包括:A、协商SSL协议版B、协商加密套C、协商密钥参数D、通信双方的身份E、建立SSL连接答案：ABCDE42.信息对抗主要的研究方向包括:A、黑客攻击防范B、入侵检测C、系统安全性分析与评估D、信息隐藏算法与匿名技术答案：ABC43.关于H3C防火墙的特征库功能说法正确的有A、不支持特征库回滚B、升级特征库需要license授权C、支持自定义特征D、不支持自动更新特征库答案：BC44.关于H3C防火墙License,以下说法正确的是A、正式License过期后不能卸载。压缩License存储区可以释放License存储空间。

执行压缩操作时.系统会自动将已经过期的或者卸载的License信息删除，并修改DID.B、设备出现硬件故障后,可以将临时License迁移至其他设备继续使用。C、激活License时，必须提供设备的DID文件D、License的有效期分为永久(Permanent)和绝对时间(Daterestricted)两种，根据发布渠道不同分为临时的(Trial和正式的(Formal)答案：ACD45.H3CSecPath设备中,ACL主要应用于A、Qos中,对数据流里进行分类B、IPSec中用来规定触发建立IPSec的条件C、NAT中,限制哪些地址需要被转换D、域间访问,控制不同区域间的互访E、策略路由答案：ABCE46.H3CSSLVPN产品的主要功能包括:A、远程接入B、身份认证C、联机检查D、权限管理E、缓存清除答案：ABCDE47.以下关于RADIUS认证说法正确的是？A、RADIUS最初仅是针对拨号用户的AAA协议，后来随着用户接入方式的多样化发展，RADIUS也被应用

于多种接入方式B、常应用在即要求较高安全性、又允许远程用户访问的各种网络环境中C、RADIUS认证是一种分布式的客户端/服务器结构的信息交互协议D、基于TCP传输，端口号1812、1813分别作为认证/授权、计费端口答案：ABC48.有关GRE的特点描述正确有。A、GRE不提供数据加密、身份验证等安全功能。B、GRE协议不支持封装组播报文。C、GRE隧道支持动态路由协议。D、GREVPN要求在隧道两端上静态配置隧道接口，不利于大规模部署。答案：ACD49.假如Alice和Bob使用DH算法来进行秘钥协商，Maliory作为中间人来窃听他们之间的通信，则以下说法中正确的是？A、中间人Maliory是通过侦听Alice和Bob协商的共享秘钥来实现攻击目的的B、DH算法天生就容易遭受中间人攻击C、中间人Maliory在发起中间人攻击时，需要分别和Alice和Bob协商出不同的共享秘钥D、H算法的安全性是基于“素因子分解难题”的答案：BC50.关于H3C防火墙的安全域，以下说法正确的有A、防火墙无安全区域优先级的概念B、不同安全区域优先级一定不一样C、防火墙自身所有接口都属于local区域D、防火墙有五个安全区域，management、local、trust、untrust、DMZ答案：BCD51.NAT转换技术包括A、基于NAT方式，即地址一对一的转换B、NAPT方式，即通过转换端口实现地址复用C、EasyIP方式，即直接使用公网接口做NATD、NATServer，寄映射内部服务器答案：ABCD52.下面关于IP地址的说法正确的是______。A、IP地址由两部分组成：网络号和主机号。B、A类IP地址的网络号有8位，实际的可变位数为7位。C、D类IP地址通常作为组播地址。D、地址转换（NAT）技术通常用于解决A类地址到C类地址的转换。答案：ABC解析：C类地址第一个8位110起始

NAT用于私网地址到公网地址转换，和地址类型无关53.随着网络技术的不断发展,防火墙也在完成自己的更新换代,防火墙所经历的技术演进包括有:A、包过滤防火墙B、应用代理防C、Dos防火墙D、状态检测防火墙答案：ABD54.GREVPN配置任务包括。A、创建虚拟Tunnel接口B、指定Tunnel接口的源端C、指定Tunnel接口的目的端D、设置Tunnel口的网络地址答案：ABCD55.根据来源的不同，路由表中的路由通常可分为以下哪几类？A、接口路由B、直连路由C、静态路由D、动态路由答案：BCD56.H3CSSLVPN的权限管理体系分为:A、静态授权B、远程授权C、动态授权D、本地授权答案：AC57.TCP\IP协议定义了一个对等的开放性网络,针对该网络可能的攻击和破坏包括A、对硬件的破坏B、对软件的破坏C、对网络层，应用层协议的破坏D、对物理传输线路的破坏答案：ABCD58.H3C防火墙防火墙版本升级过程中说法正确的有A、boot-loaderfile命令里必须带system参数，表示指定该软件包为系统软件包B、可以通过FTP/TFTP将软件版本文件上传到本地C、执行boot-loader命令来指定设备下次启动时使用的版本文件D、从H3C官网/cn/获取软件版本答案：BD59.与IPSecVPN相比，SSLVPN具有哪些优点？A、SSLVPN客户端免安装、免维户，易于使用B、SSLVPN可以根据远端主机的安全状态实现动态授权C、SSLVPN有很好的网络连通性D、SSLVPN可以拥有高粒度的访问控制答案：AD60.根据由加密密钥得到解密密钥的算法复杂度差异,密码体制可以分为A、私钥密码体制B、公钥密码体制C、流密码D、分组密码答案：AB61.下面关于OSI参考模型各层功能的说法正确的是______。A、物理层涉及在通信信道（Channel）上传输的原始比特流，它定义了传输数据所需要的机械、电气功能及规程等特性。B、网络层决定传输报文的最佳路由，其关键问题是确定数据包从源端到目的端如何选择路由。C、传输层的基本功能是建立、维护虚电路，进行差错校验和流量控制。D、会话层负责数据格式处理、数据加密等。E、应用层负责为应用程序提供网络服务。答案：ABCE62.IPSec协议支持哪些封装模式A、隧道模式B、交换模式C、路由模式D、传输模式答案：AD63.下面哪些是H3CSecPath系列VPN产品的功能特点?A、支持和RSA公司动态口令卡的集成,保证口令安全B、支持IPSecVPN的NAT穿越,可以灵活组网C、支持DVPN(动态VPN)技术,降低配置难度D、VPNmananger实现VPN业务集中管理答案：BCD64.下面关于GRE说法正确的是A、GRE用来封装IP协议报文时,GRE载荷协议类型号为0x0800,B、GRE是一种在任意协议上承载任意-种其他协议的封装协议。C、GRE报文对应IP协议号为50。D、GRE协议不仅提供了隧道封装的方法,还提供了数据加密功能答案：AB65.H3cSecPath防火墙的默认域间访问控制策略是A、所有区域都可以访问local区域B、属于同一个安全域的各个接口之间的报文可以互访C、未划分到安全域的接口之间的报文会被丢弃D、安全域间的报文默认丢弃，包括同域之间答案：CD66.H3C目前已经推出一系列高性能负载均衡交换机,可以应用在网络的各个节点,不面哪些交换机系列支持负载

均衡功能?A、S9500EB、S7500EC、S12500.D、S5800.答案：ABC67.H3cNGFW的特征库包括以下哪些？A、URL分类特征库B、ARP特征库C、防病毒特征库D、IPS特征库答案：ABCD68.WLAN（WirelessLAN）是计算机网络与无线通信技术相结合的产物。下列哪些属于WLAN技术标准？A、802.11aB、802.11bC、802.11cD、802.11g答案：AB解析：最高传输速率802.112Mbps;802.11a54;802.11g54;802.11b11;802.11n300;b/g相互兼容，与a不兼容69.H3CSecpath防火墙具有那些功能，可以保证网络的安全性A、访问控制B、NAT转换C、攻击防范D、黑名单E、入侵防御答案：ABCD70.以下关于easyIP方式NAT配置不生效排查方法，正确的是A、检查地址池是否正确B、检查路由是否正常C、检查NAT配置的接口是否下发正确D、检查安全策略是否放通答案：ABCD71.SSLVPN有哪些接入方式?A、WEB接入B、TCP接入C、UDP接入D、IP接入答案：ABD72.利用SNCookie技术可以防范SYNFlood攻击，关于技术原理的描述，以下说法正确的是。A、如果防火墙确认客户端的ACK消息合法，则模拟客户端向服务器发送一个SYN消息进行连接请求，同时

分配TCB资源记录此连接请求的描述信息。B、防火墙的SYNCookie技术利用ACK报文携带的认证信息，对握手协商的ACK报文进行认证，从而避免

了防火过早分配TCB资源C、客户端发送的SYN消息经过防火墙时，防火墙截取该消息，并模拟服务器向客户端回应SYNACK消息，D、客户端收到SYN/ACK报文后向服务器发送ACK消息进行确认，防火墙截取这个消息后，提取该消息中的

ACK序列号，并再次使用客户端信息与加密索引计算cookie，如果计算结果与ACK序列号相符，就可以

确认发起连接请求的是一个真实客户端答案：ABCD73.SSL握手层包括哪些协议?A、告警协议B、握手协议C、密钥改变协议D、会话保持协议答案：ABC74.ACL（访问控制列表）的类型包括有（）A、七层ACLB、二层ACLC、高级ACLD、基本ACL答案：BCD75.关于VPN，下述哪个说法是正确的?A、包转发率不是VPN网关的关键性能指标;B、接口数是VPN网关的关键性能指标;C、加密吞吐量是VPN网关的关键性能指标;D、最大并发隧道数是VPN网关的关键性能指标。答案：BCD76.关于H3C防火墙,下列说法正确的是A、防火墙的安全策略只能在Web页面下配置.B、文字。C、防火境的默认登录IP地址是D、防火墙通过WEB登录的默认用户名/密码是:admin/adminE、防火墙只能通过命令行方式升级版本答案：BCD77.下列有关光纤的说法哪些是正确的？A、多模光纤可传输不同波长不同入射角度的光B、多模光纤的成本比单模光纤低C、采用多模光纤时，信号的最大传输距离比单模光纤长D、多模光纤的纤芯较细答案：AB78.当防火墙接收到包含URL参数的HTTP请求报文时,根据Web传输参数方式,从报文中获取URL参数,目前防火

墙支持的Web传输参数有:A、PUTB、GETC、PUSHD、POST答案：ABD79