164.在企业内部网络安全策略中,经常使用访问控制列表过滤流量。在以下需求中,不能使用访问控制列表实现的是( )
A、拒绝从一个网段到另一个网段的 ping 流量 B、禁止客户端向某个非法 DNS 服务器发送请求 C、禁止以某个 IP 地址作为源发出的 telnet 流量 D、禁止某些客户端的 P2P 下载应用
165.访问控制列表通过检查报文中的关键字段来进行策略匹配,在运行 RGOS 的锐捷网络设备中,标准的 IP 访问控制列表是通过检查报文的哪一个字段? A、IP 包长度 B、端口号 C、源 IP 地址 D、目的 IP 地址
166.访问控制列表通过检查报文中的关键字段来进行策略匹配,在运行 RGOS 的锐捷网络设备中,以下哪几个选项是扩展的 IP 访问控制列表的检查对象?【选三项】 [多选题] A、源 IP 地址/目的 IP 地址 B、源端口号/目的端口号 C、源 MAC 地址/目的 MAC 地址 D、协议字段 E、以太网类型 F、FCS
167.某些接入层的用户向管理员反映他们的主机不能够发送 Email 了,但他们仍然能够接收到新的电子邮件。那么作为管理员,下面哪一个选项是首先应该检查的? A、该 email 服务器目前是否未连接到网络上
B、处于客户端和 Email 服务器之间的某设备的接口 ACL 是否存在拒绝 TCP25 号端口流量的条目 C、处于客户端和 Email 服务器之间的某设备接口 ACL 是否存在deny any 的条目
D、处于客户端和 Email 服务器之间的某路由器接口的 ACL 是否存在拒绝 TCP110 号端口流量的条目
168.下面能够表示“禁止 129.9.0.0 网段中的主机访问 202.38.16.0 网段内的 WEB 服务器”的访问控制列表是( ) A、access-list 101 deny tcp 129.9.0.0 0.0.255.255 202.38.16.0 0.0.0.255 eq www B、access-list 100 deny tcp 129.9.0.0 0.0.255.255 202.38.16.0 0.0.0.255 eq 53 C、access-list 100 deny udp 129.9.0.0 0.0.255.255 202.38.16.0 0.0.0.255 eq www
D、access-list 99 deny ucp 129.9.0.0 0.0.255.255 202.38.16.0 0.0.0.255 eq 80 169.管理员在一台三层交换上做出了如下配置 access-list 100 deny tcp 10.1.10.0 0.0.0.255 any eq 80 access-list 100 permit ip any any interface vlan 15 ip access-group 100 out 这些配置达成的效果是( )
A、禁止任何主机通过 telnet 远程访问 10.1.10.0 子网中的主机 B、禁止任何主机访问 10.1.10.0 子网中的 WEB 服务
C、禁止 10.1.10.0 子网中的主机访问 VLAN 15 中的 WEB 服务 D、禁止 10.1.10.0 子网中的主机访问 VLAN15 中的 https 服务
170.管理员要在路由器上配置访问控制列表,以实现只允许源自 172.16.0.0/16 子网的流量进入路由器的 serial1/0 接口。以下配置中,哪一项能够实现此目的?
A、ruijie(config)#access-list 10 permit 172.16.0.0 0.0.255.255 ruijie(config)#interface s1/0 ruijie(config-if)#ip access-group 10 out
B、ruijie(config)##access-group 10 permit 172.16.0.0 255.255.0.0 ruijie(config)#interface s1/0 ruijie(config-if)##ip access-list 10 out
C、ruijie(config)#access-list 10 permit 172.16.0.0 0.0.255.255 ruijie(config)#interface s1/0 ruijie(config-if)#ip access-group 10 in
D、ruijie(config)##access-list 10 permit 172.16.0.0 .255.255.0.0 ruijie(config)#interface s1/0 ruijie(config-if)#ip access-group 10 in
171.在下图所示的网络中,使用 RIP 作为路由协议,并且始终运行良好。
由于管理上的要求,要限制 172.16.1.0/24 和 172.16.2.0/24 两个网段的上网应用,只允许 这两个网络的主机访问 Internet 中的 http 和 https 服务。为此,管理员在 RouterA 上做出了 以下操作:
RouterA(config)#access-list 100 permit udp any any eq 53 RouterA(config)#access-list 100 permit tcp any any eq 80 RouterA(config)#access-list 100 permit tcp any any eq 443 RouterA(config)#interface fa 0/1
RouterA(config-if-Fastethernet0/1)#ip access-group 100 in RouterA(config-if-Fastethernet0/1)# interface fa 01/1
RouterA(config-if-Fastethernet0/1)#ip access-group 100 in RouterA(config-if-Fastethernet0/1)#end RouterA#
如上描述的一番配置后,管理员发现 ACL 策略对于 172.16.1.0/24 网络已经生效,而 172.16.2.0/24 网络却出现了无法上网的情况。这是什么原因? A、Fa0/1 接口 ACL 作用的方向配置错误,应该配置为 out
B、只允许了 in 方向的 http 和 https,却没有配置 out 方向的 permit 策略 C、ACL 中没有允许 UDP 520 端口的流量,导致内部网路由不可达 D、ACL 中没有允许 IP 520 协议,导致内部网路由失效
172.管理员为了限制 172.16.1.0/24 子网通过 https 访问服务器 10.1.1.1,在一台三层设备上做 出了以下配置:
access-list 100 deny tcp 172.16.1.0 0.0.0.255 host 10.1.1.1 eq 443 access-list 100 permit ip any any interface fastethernet 0/24 ip access-group 100 out
配置完成后,管理员想起还要限制 172.16.2.0/24 子网对 10.1.1.1 的 https 访问。为了增加 一个条目实现此目的,下列说法正确的是( )
A、access-list 100 已经无法修改,管理员只能删除此列表后重新配置。
B、在全局配置模式下使用命令 access-list 100 deny tcp 172.16.2.0 0.0.0.255 host 10.1.1.1 eq 443,即可实现此目的 C、使用 ip access extended 100 进入命名的列表配置模式,即可插入一个条目。
D、配置一个 access-list 101,禁止 172.16.2.0/24 访问 10.1.1.1 的 443 端口,在fastethernet0/24 接口调用即可 173.公司的出口路由器有两个快速以太网口,其中 Fa0/0 连接到办公楼,地址为 172.16.3.0/24, Fa0/1 连接到行政楼,地址为 172.16.4.0/24。管理员在路由器的 Fa0/1 上的 out 方向调用 了以下访问列表:
access-list 199 deny tcp 172.16.3.0 0.0.0.255 any eq 23 access-list 199 remark deny_telnet_ to_Xingzheng 对于该操作的结果,以下叙述哪个是正确的?
A、拒绝从 172.16.3.0/24 进行 telnet 操作,但允许从 172.16.4.0/24 进行 telnet 操作
B、允许从 172.16.3.0/24 上网浏览网页
C、拒绝 172.16.3.0/24 进行 ftp 操作,但允许从 172.16.3.0/24 进行 telnet 操作 D、172.16.3.0/24 和 172.16.4.0/24 之间所有 IP 流量都被禁止 174.开启 DHCP Snooping 功能后,( )功能可以禁止用户私设 IP? A、 DAI B、 ARP-CHECK C、 IP Source Guard D、 CPP
175.有关 ip dhcp snooping trust 命令,说法错误的是() A、该命令用于防止从非法的 DHCP Server 获得的 IP 地址被绑定 B、所谓 Snooping 实际上就是对 DHCP 报文进行窥探,并记录相关信息 C、启用了此命令的端口上收到报文将不会被窥探
176.ARP-CHECK 功能检查 ARP 报文合法性的来源有( )【选三项】 [多选题] A、 IP+MAC 的端口安全
B、 DHCP Snooping +IP Sourceguard C、 dot1x 授权 D、 DHCP Snooping 表 177.NFPP 说法正确的是( ) A、 NFPP 可以有效防止 ARP 欺骗 B、 NFPP 可以有效防止环路
C、 NFPP 可以有效防止用户私设 IP 地址
D、 NFPP 可以有效防止用户对设备 CPU 等进行攻击
178.配置 IP 防扫描功能的隔离用户时间时,如果将时间设为 0,表示( ) A、不隔离
B、保持当前时间不改变 C、永远隔离 D、无该配置
179.NFPP 在对数据分类时,可分为( )【选三项】 [多选题]
A、 protocol B、 manage C、 route D、 switch
180.设置 NFPP 时可以配置每类报文的( )【选两项】 [多选题] A、最大带宽 B、类型
C、占用队列最大百分比 D、长度
181.在 NFPP 工作过程使用的机制有( )【选四项】 [多选题] A、硬件过滤非法数据 B、使用 CPP 对数据进行分类 C、对报文进行检测和限速
D、监控后的数据进行分类和集中限速
E、数据按最长掩码匹配的顺序优先转发精确数据流 182.以下属于 NFPP 包含有( )【选三项】 [多选题]
A、 ARP 抗攻击 B、 IP 防私设 C、 IP 防扫描 D、 ICMP 抗攻击 183.NFPP 可以针对各类报文配置( )【选两项】 [多选题] A、最小水线 B、告警水线 C、限速水线 D、隔离水线 184.protocol 数据包含( )【选三项】 [多选题] A、 dot1x B、 rldp C、 bpdu D、 arp
185.在启用 PAT 的锐捷路由器上查看 PAT 转换条目的命令是( ) A、show ip nat translations B、show ip nat statistics C、show ip nat convert D、show ip nat table
186.一家只有 50 人的小型公司,为实现访问互联网,只申请到一个公网 IP 地址,因此只能让内部主机共享同一个公网 IP 地址上网。以下哪种技术可以实现这个目的? A、静态 NAT B、动态 NAT C、PAT D、端口映射
187.多出口网络,路由器连接了两个不同 ISP 的 Internet 线路,配置 NAT 时( ) A、可以配置一个地址池,在地址池中配置两个地址段