1cname别名记录,允许将多个名字映射到一台计算机;含的与之相关的资源。DNS中常见的记录有以下七种:○
2A记录:用来指定主机名(或域名)对应的IP地址记录;○3PTR记录:指针记录,PTR记录是A记录的逆向记○
4NS记录:录,作用是把IP地址解析为域名;○域名服务器记录,用来指定该域名由哪个DNS服务器来进行解析;
5SOA记录:起始授权机构记录,SOA记录说明了在众多NS记录里那一台才是主服务器; ○6MX记录:邮件交○
7SRV记换记录,它指向一个邮件服务器,用于电子邮件系统发邮件时根据收信人地址后缀来定位邮件服务器;○
录:服务器资源记录,作用是说明一个服务器能够提供什么样的服务。(2017.11 第35题)
1HTTPS协议要到CA申请证书;2HTTP是超文本传输协议,84、HTTPS和HTTP的区别:○○信息是明文传输,HTTPS
3HTTP和HTTPS使用的是完全不同的连接方式,用的端口也不一样,前则是具有安全性的SSL加密传输协议;○
4HTTP的连接很简单,是无状态的;HTTPS协议是由SSL+HTTP协议构建的可进行加密者是80,后者是443;○
传输、身份认证的网络协议,比HTTP协议安全。 参见82题HTTPS与s-http的区别
85、下列攻击行为中属于典型被动攻击的是:系统干涉(主动攻击[第5版教材P305]:会话拦截、拒绝服务攻击、修1被动攻击主要是收集信息而不是进行访问,数据的合法用户对这种活动一点改数据命令、解密通信数据)解:○
儿也不会觉察到。被动攻击包括嗅探、信息收集等攻击方法。窃听、监听都具有被动攻击的本性,攻击者的目的是获取正在传输的信息。被动攻击包括传输报文内容的泄露和通信流量分析。报文内容的泄露易于理解,一次电话通信、一份电子邮件报文、正在传送的文件都可能包含敏感信息或秘密信息。为此要防止对手获悉这些传输的内容。通信流量分析的攻击较难捉摸。假如有一个方法可屏蔽报文内容或其他信息通信,那么即使这些内容被截获,也无法从这些报文中获得信息。最常用的屏蔽内容技术是加密。然而即使用加密保护内容,攻击者仍有可能观察到这些传输的报文形式。攻击者可能确定通信主机的位置和标识,也可能观察到正在交换的报文频度和长度。
2主动攻击包含对数据流的某些修改,而这些信息对猜测正在发生的通信特性是有用的。○或者生成一个假的数据
流。它可分为五类:伪装、回答(重放)、修改报文、拒绝服务(DosDenial of Service)、分布式拒绝服务(DDosDistributed Denial of Service)。(2017.11 第42题)
86、无线局域网通常采用的加密方式是WPA-2,其中安全加密算法是AES和TKIP。(2017.11 第44题)
87、关于入侵检测系统的描述中,正确的是对进出网络的信息进行实时的检测与对比,及时发现攻击行为。(错
1实现内外网隔离与访问控制;○2隐藏内部网络拓扑;○3预防、检测和消除网络病毒)误说法有:○(2017.11)
88、在SNMP协议中,代理收到管理站的一个GET请求后,若不能提供该实例的值,则返回下个实例的值(。2017.11) 89、IPV4的D类地址是组播地址,224.0.0.1表示本地子网中的所有主机。解析:224.0.0.0 基准地址(保留)224.0.0.1所有主机地址 224.0.0.2所有组播路由器的地址 224.0.0.3不分配 224.0.0.4 DVMRP(距离矢量组播路由协议)路由器 224.0.0.5 OSPF(开放最短路径优先)路由器 224.0.0.6 OSPF DR(指定路由器)224.0.0.7 ST(共享树)路由器 224.0.0.8 ST主机 224.0.0.9 RIP-2路由器 224.0.0.10 EIGRP(增强网关内部路由线路协议)路由器 224.0.0.11 活动代理 224.0.0.12 DHCP服务器/中继代理 224.0.0.13 所有PIM(协议无关组播)路由器 224.0.0.14 RSVP(资源预留协议)封装 224.0.0.15 所有CBT路由器 224.0.0.16 指定SBM(子网带宽管理)224.0.0.17 所有SBMS 224.0.0.18 VRRP(虚拟路由器冗余协议)(2017.11 第51题) 90、以下关于直通交换的叙述中正确的是:存在坏帧传播的风险。(错误说法:A、比存储转发交换速度要慢;B、接收到帧后简单存储,进行CRC检验后快速转发;C、采用软件方式查找站点转发)解析:直通交换:在输入端口检测到一个数据包时,检查该包的包头,获取包的目的地址,启动内部的动态查找表转换成相应的输出端口,在输入与输出交叉处接通,把数据包直通到相应的端口,实现交换功能,由于它只检查数据包的包头(通常只检
1因数据包内容并没查14个字节),不需要存储,所以切入方式具有延迟小,交换速度快的优点。缺点主要有:○
2由于没有缓存,有被以太网交换机保存下来,所以无法检查所传送的数据包是否有误,不能提供错误检测能力;○
3当以太网交换机的端口增加时,交换矩阵就不能将具有不同速率的输入/输出端口直接接通,而且容易丢包;○
得越来越复杂,实现起来就越困难。(2017.11 第56题)
1只能指定给IPV6路由器;91、关于在IPV6中任意播地址的叙述中,错误的是:可以作为源地址。(正确说法:○
2可以用作目标地址;○3代表一组接口的标识符)解析:泛播地址(任意播地址)指派给多个节点的接口。送往○
1任意播地址不能指定给IPV6主机,而泛播地址的数据包只会传递给其中的一个接口(隔得最近的一个接口)。○
2任意播不能用于源地址,只能做目的地址;○3子网前缀必须固定,其余位置全0。 只能指定给IPV6路由器;○
92、在Windows用户管理中,使用组策略A-G-DL-P,其中A表示:用户帐号。(G表示全局组;DL表示域本地组;P表示资源权限。)(2017.11 第61题)
1VLAN把交换机划分成93、关于VLAN的叙述中,错误的是:VLAN只能按交换机端口进行划分。(正确的有:○
5
2VLAN可以跨越交换机;○3VLAN隔离了广播,可以缩小广播风暴的范围) 多个逻辑上独立的区域;○
94、假如3块容量是300G的硬盘做成RAID5阵列,则这个RAID5的容量是600G。解析1:RAID5的存储容量=磁盘容量×(磁盘数-1),注,如果磁盘容量大小不等,以最小的为准;解析2:利用率×磁盘总容量,即300×3= ×900=600G (2017.11)
95、关于层次化网络设计的叙述中,错误的是:接入层应提供丰富接口和多条路径来缓解通信瓶颈。(正确说法:
1核心层实现数据分组从一个区域到另一个区域的高速转发;2汇聚层提供接入层之间的互访;3汇聚层通常进○○○
×
行资源的访问控制和流量控制。)(2017.11 第63题)
96、漏洞扫描不属于入侵检测技术。(属于的有:专家系统、模型检测和简单匹配)(2017.11 第65题)
1通过BootROM可以重置Console口密码;○2telnet登录密码丢97、关于华为交换机密码配置,正确的说法是:○
失,通过Console口登录交换机后重新进行配置。(2017.11 第66题)
98、观察交换机状态指示灯是初步判断交换机故障的检测方法,以下关于交换机状态指示灯的描述中,错误的是:
1交换机指示灯显示红色表明设备故障或告警,需要关STCK指示灯绿色表示接口在提供远程供电。(正确说法:○2SYS指示灯红色表明交换机可能存在风扇或温度告警;3交换机业务接口对应单一指示灯,注和立即采取行动;○○4STCK灯指示设备堆叠信息。常亮表示连接,快闪表示数据传送;○)(2017.11 第67题)
1人工把发生漂移的接口shutdown;○2在接口99、下面消除交换机上MAC地址漂移告警的方法中,正确的是:○
3在接口上配置quit-vlan,使发生漂移的接口指定VLAN域内退上配置error-down,自动down掉漂移的端口;○
出;(2017.11 第68题)
100、两台交换机的光口对接,其中一台设备的光口UP,另一台设备的光口DOWN,定位此类故障的思路包括:
1两端使用的光模块波长和速率是否一样;○2两端COMBO口是否都设置为光口;○3两个光口是否未同时配置自○
4光纤是否交叉对接。协商或者强制协商;○(2017.11 第69题)
101、某STP网络从链路故障中恢复时,端口收敛时间超过30秒,处理该故障的思路不包括:确认端口模式为中
:1确认对端端口开启STP;○2确认端口是工作在STP模式;○3确认端口的链路类型是点继模式。(可以的思路:○
对点。)(2017.11 第70题)
102、在点到点的环境下,配置IPSec VPN隧道需要明确:共享密钥和对端地址或VPN流量、IPSec安全协议、IKE策略。(2017.11 下午试题一)
1断开已感染主机的网络连接;○2为其他103、某公司有一台电脑感染“勒索”病毒,网络管理员应采取的措施:○
3网络层禁止135/137/139/445端口的TCP连接。电脑升级系统漏洞补丁;○(2017.11 下午试题二)
104、网络管理员发现线上商城系统总是受到SQL注入,跨站脚本等攻击,可购置WAF(Web应用防护系统)设备来加强防范。(2017.11 下午试题二)
105、Windows Server 2008支持RIP动态路由协议,在RIP接口属性页中,若希望路由器每隔一段时间向自己的邻居广播路由表以进行路由信息的交换和更新,则需要在“操作模式”中选择周期性的更新模式。在“传出数据包协议”中选择RIPv2广播,(不是RIPv1广播)使网络中其他运行不同版本的邻居路由器都可接受此路由器的路由表;在“传入数据包协议”中选择RIPv1和v2,使网络中其他运行不同版本的邻居路由器都可向此路由器广播路由表。(2017.11 下午试题三)
106、当站点收到“在数据包组装期间生存时间为0”的ICMP报文,说明:因IP数据报部分分片丢失,无法组帧。1回声请求没有得到响应;○2IP数据报目的网络不可达;○3因为拥塞丢弃报文。错误说法:○(2017.11 第60题)
107、MPLS(多协议标记交换)根据标记对分组进行交换,MPLS包头的位置应插入在以太帧头与IP头之间。 108、BGP的4种报文(第五版教材P219) 报文类型 功能描述 打开(open) 更新(update) 通告(notification) 建立邻居关系 发送新的路由信息 报告检测到的错误 保持活动状态(keepalive) 对open的应答/周期性地确认邻居关系 109、RIPV2报文封装在UDP数据报中发送,占用端口号520。
6
110、Linux文件类型与权限 第5版教材P388
可执行的 可读的 可写的 文件类型
无访问权限
—rwxrwx———
其他用户权限
用户权限 用户组权限
1递归查询:当用户发出查询请求时,本地服务器要进行递归查询。这种查询方式要求服务器彻底的进行111、○
名字解析,并返回最后的结果——IP地址或错误信息。若查询请求在本地服务器中不能完成,那么服务器就根据
2迭代查询:它的配置向域名树中的上级服务器进行查询,在最坏的情况下可能要查询到根服务器。○服务器与服务器之间的查询采用此方式进行,发出查询请求的服务器得到的响应可能不是目标的IP地址,而是其他服务器的引用(名字和地址),那么本地服务器就要访问被引用的服务器,做进一步的查询,如此反复多次,每次都更接近目标的授权服务器,直至得到最后的结果——目标的IP地址或错误信息。(教材第五版P419)
112、BIND是在Linux/UNIX系统上实现的域名解析服务软件包。BIND默认情况下可直接作为高速缓存服务器。 113、双向转发检测BFD是一种用于检测邻居路由器之间链路故障的检测机制,通常与路由协议联运,通过快速感知故障并通告使得路由协议能快速的重新收敛,从而减少由于拓扑变化导致的流量丢失。
114、边界网关协议BGP是一种实现自治系统AS之间的路由可达,并选择最佳路由的距离矢量路由协议。其特
1实现自治系统间通信网络的信息可达,点有:○BGP允许一个AS向其他AS通告其内部网络的可达性信息,或是
2多个BGP路由器之间的协调,如果在一个自治系统内部有多个路由器通过该AS可达的其他网络的路由信息。○
3BGP分别使用BGP与其他自治系统中对等路由器进行通信,则通过协调使这些路由器保持路由信息的一致性。○
4BGP只需要在启动时交换一次完整支持基于策略的路径选择,可为域内和域间的网络可达性配置不同的策略。○
信息,不需要在所有路由更新报文中传送完整的路由数据库信息,后续的路由更新报文只通告网络的变化信息,
5在BGP通告目的网络的可达性信息时,除了处理指定目的网络的下一跳避免网络变化使得信息量大幅增加。○
信息之外,通告中还包括了通路向量,即去往目的网络时需要经过的AS的列表,使接受者能够清楚了解去往目
6BGP允许发送方把路由信息聚集在一起,用一个条目来表示多个相关的目的网络,以节约的网络的通路信息。○
7BGP在不同自治系统之间进行路由网络带宽。允许接收方对报文进行鉴别,以验证发送方的身份等多个特点。○
转发,分为EBGP和IBGP两种,EBGP外部边界网关协议,用于在不同的自治系统间交换路由信息。IBGP内部边界网关协议,用于向内部路由器提供更多信息。 5版教材P494-495
1IPSec安全策略应用到的接口一定是建立隧道的接口,且该接口一定是到对端私网路由115、IPSec配置原则:○
2一个接口只能应用一个IPSec安全策的出接口。如果将IPSec安全策略应用到其他接口会导致VPN业务不通。○
3当IPSec安全策略组应用于接口后,不能修改该安全略组,一个IPSec安全策略组也只能应用到一个接口上。○
策略组下安全策略的引用的ACL、引用的IKE。 116、IEEE802.11定义了2种无线网络拓扑结构,一种是基础设施网络,另一种是特殊网络(Ad Hoc Networking)。在基础设施网络中,无线终端通过接入点(AP)访问骨干网设备,接入点如同一个网桥,它负责在802.11和802.3 MAC协议之间转换。一个接入点覆盖的区域叫作一个基本服务区(BSA),接入点控制的所有终端组成一个基本服务集(BSS)。把多个基本服务集互相连接就形成了分布式系统(DS)。DS支持的所有服务叫做扩展服务集(ESS),它由两个以上BSS组成。Ad Hoc网络是一种点对点连接,不需要有线网络和接入点的支持,终端设备之间通过无线网卡可以直接通信。这种拓扑结构适合在移动情况下快速部署网络。802.11支持单跳的Ad Hoc网络,当一个无线终端接入时首先寻找来自AP或其他终端的信标信号,如果找到了信标,则AP或其他终端就宣布新的终端加入了网络;如果没检测到信标,该终端就自行宣布存在于网络之中。还有一个多跳的Ad Hoc网络,无线终端用接力的方法与相距很远的终端进行对等通信。 第5版教材P144-145
117、802.11MAC层定义的分布式协调功能(DFC)利用了CSMA/CA(载波监听多路访问/冲突避免协议)协议。802.11提供了有线等效保密(WEP)技术,又称作无线加密协议。
118、802.15.4定义的低速无线个人网(Low Rate-WPAN)包含两类设备,即全功能设备(FFD)和简单功能设备(RFD),FFD有3种工作模式,可以作为一般的设备、协调器或PAN协调器,而RFD功能简单,只能作为设备使用,例如电灯开关等,这些设备不需要发送大量的信息,通常接受某个FFD的控制。FFD可以与RFD或其他7
FFD通信,而RFD只能与FFD通信,RFD之间不能互相通信。第五版教材P175
119、简单的水平分割方案是:“不能把从邻居学习到的路由发送给那个邻居”,带有反向毒化的水平分割方案是:“把从邻居学习到的路由费用设置为无限大,并立即发送给那个邻居”。采用反向毒化的方案更安全一些,它可以立即中断环路。相反,简单水平分割方案则必须等待一个更新周期才能中断环路的形成。第五版教材P223 120、WiMAX即全球微波互联接入,也叫IEEE802.16无线城域网,WiMAX是一项新兴的宽带无线接入技术,能提供面向互联网的高速连接,数据传输距离最远可达50km。WiMAX还具有QoS保障、传输速率高、业务丰富多样等优点。
121、IP地址是分配给主机的逻辑地址,在因特网中表示唯一的主机;任何子网中主机至少都有一个在子网内部唯一的地址,叫物理地址或硬件地址;从网络互联的角度看,逻辑地址在整个因特网络中有效,而物理地址只是在子网内部有效;从网络协议分层的角度看,逻辑地址由Internet层使用,而物理地址由子网访问子层(具体说就是数据链路层)使用。在Internet中是用地址分解协议(ARP)来实现逻辑地址(IP地址)到物理地址(MAC地址)映像的。RARP是反向ARP协议,即由硬件地址查找逻辑地址。
122、访问控制列表(ACL)根据源地址、目标地址、源端口或目标端口等协议信息对数据包进行过滤,从而达到访问控制的目的。ACL是由编号或名字组合起来的一组语句。编号和名字是路由器引用ACL语句的索引。标准ACL只能根据分组中的IP源地址进行过滤,扩展ACL不仅可以根据源地址或目标地址进行过滤,还可以根据不同的上层协议和协议信息进行过滤。 详见华为设备ACL分类表 第5版教材P525-526 分类 规则定义描述 编号范围 2000~2999 基本ACL 仅用报文的源IP地址、分片信息和生效时间段来定义规则 高级ACL 即可使用IPV4报文的源IP地址,也可使用目的IP协议类型、ICMP类型、 3000~3999 TCP源/目的端口、UDP源/目的端口号、生效时间段等定义规则 二层ACL 使用报文的以太网帧头信息来定义规则 用户ACL 可使用IPV4报文的源IP地址,也可使用目的IP地址、IP协议类型、 ICMP类型、TCP源/目的端口、UDP源/目的端口号等定义规则 4000~4999 6000~6031 路由器自顶向下逐个处理ACL语句,如果在整个列表中没有发现匹配语句,则路由器丢弃该分组。ACL处理规则:1一旦发现匹配语句,2语句的排列顺序很重要;3如果整个列表中没有匹配的○就不再处理列表中的其他语句;○○语句,则分组被丢弃。
R1(config-if)#tunnel mode gre IPV6 //指定IPV6隧道模式为gre
R1(config-if)#tunnel mode ipv6ip isatap //Tunnel模式为IPV6的isatap隧道 R1(config-if)#ip access-group 1 out 将ACL应用到路由器接口
R1(config-if)#ip access-group outfilter out //将outfilter列表应用于某接口出方向
R1(configf)#line vty 0 4 //进入虚拟接口0-4的配置子模式(或0到4个用户可以telnet远程登录) 123、ISO7498-2五种安全服务:鉴别、访问控制、数据保密、数据完整性和防止否认(签名)。网络安全体系包括:物理层安全、网络层安全、应用层安全、系统层安全和安全管理。 华为路由相关命令 5版教材P460-536 对交换机的基本配置
[Switch1]interface vlanif5 //创建交换机管理VLAN的VLANIF接口 [Switch1- vlanif5]ip address 10.10.1.1 24 //配置VLANIF接口IP地址 [Switch1- vlanif5]quit
[Switch1]telnet server enable //Telnet默认是关闭的,需要打开 [Switch1]user-interface vty 0 4 //开启VTY线路模式
[Switch1-ui-vty-0-4]protocol inbound telnet //配置telnet协议 [Switch1-ui-vty-0-4]authentication-mode aaa //配置认证方式 [Switch1-ui-vty-0-4]quit [Switch1]aaa
8