【每日一题】LDP标签分发控制方式说法错误的是

61、MPLS 使用 LDP 以不同的方式分发标签。下列关于 LDP 标签分发控制的说法错误的是？

A.LDP标签控制可以有序标记

B.有序地，当LSR为路由器的始发节点时，LSR无需等待下一跳的标签映射，即可将标签映射发送给上游

C.LDP标签控制不能独立标注

D.在独立模式下，LSR可以向上游发送标签映射，并且必须等待来自LSR下一跳的标签映射消息

【正确答案】C、D

【答案分析】独立标签分配控制方式：本地LSR可以自主分配标签绑定到IP报文上，无需等待下游标签，就可以将其通告给上游LSR。有序标签分配控制方式：只有当LSR已经拥有IP报文下一跳的标签，或者LSR是IP报文的出节点时，LSR才能将IP报文的标签上行发送。所以正确的答案是“LDP标签控制不能以独立方式标记”、“LSR可以独立地向上游发送标签映射，并且必须等待来自LSR下一跳的标签映射消息”。

62、关于 ASPF 和 Server-map，对吗？

A.通道建立后，消息依然按照Server-map转发

B.只有 ASPF 会生成 Server-map 表

如果C.Server-map表项没有匹配的报文，会在经过一定的老化时间后被删除。这种机制保证了Server-map条目等较为松散的通道能够及时删除，保证网络畅通

安全。当后续发起新的数据连接时，会重新触发Server-map条目的建立

D.Server-map 通常只检查第一条消息，通道建立后的消息仍然按照会话表转发

【正确答案】C、D

【答案分析】Server-map条目会在一定的老化时间后被删除。当随后发起新的数据连接时，将再次触发 server-map 条目的建立。 server-map 通常只检查第一个数据包，通道建立后的数据包仍然根据会话表进行转发。服务器映射表在防火墙转发中非常重要。不仅 ASPF 会生成 server-map 表，NAT Server 等功能也会生成 server-map 表。因此，正确答案是“如果Server-map表项中没有匹配的包，则在一定的老化时间后将其删除。这种机制保证了Server-map表项较松散的通道可以及时删除，确保即网络安全。当后续发起新的数据连接时，会重新触发Server-map条目的建立”、“Server-map通常只检查第一个数据包，通道建立后的数据包仍然转发根据会话表”。

63、在MPLS系统中，标签分发有两种方式，分别是？

A.下游自治模式DU

B.下游按需国防部

C.下游自治国防部

D.下游点播模式DU

【正确答案】A,B

【答案分析】标签发布有两种方式：1）DU（Downstream Unsolicited，下游自治模式）：对于到达相同目的地址的报文，LSR不需要获取标签请求来自上游的消息。标签分配和分发是可能的。 2）DoD（Downstream on Demand）：对于到达同一个目的地址的报文，LSR在获取到标签请求消息后会分配标签。所以正确答案是“下游自治模式DU”和“下游按需模式DoD”。

64、流量监管和流量整形有什么区别？

A.流量整形着色包

B.流量监管颜色数据包

C.流量整形会引入延迟和抖动，需要更多的缓冲资源来缓冲数据包

D.流量监管引入延迟和抖动，需要更多的缓冲资源来缓冲数据包

【正确答案】B,C

【答案解析】Traffic policing TP（Traffic Policing）就是对流量进行控制。通过监控进入网络的流量速率，对多余的流量进行“惩罚”，从而将进入的流量限制在合理的范围内。超过流量限制的报文不能被缓存，报文可以着色，绿色直接转发，黄色改变优先级后转发，红色丢弃。从而保护网络资源和用户的利益。流量整形和流量监管的主要区别在于流量整形缓存了原本要丢弃的数据包。当令牌桶中有足够的令牌时，缓存的数据包被平均发送出去。流量整形和流量监管之间的另一个区别是整形可能会增加延迟，而监管几乎不会引入额外的延迟。因此，正确答案是“流量监管颜色数据包”和“流量整形引入延迟和抖动，需要更多的缓冲资源来缓冲数据包”。

65、信息安全最重要的三个属性是什么？

A.保密

B.诚信

C.可用性

D.身份验证

【正确答案】A,B,C

66、下面流量监管的功能描述对吗？

A.消息无法着色

B.为消息着色

C.缓存超过流量限制的数据包

D.超过流量限制的数据包无法缓存

【正确答案】B、D

【答案解析】Traffic policing TP（Traffic Policing）就是对流量进行控制。通过监控进入网络的流量速率，对多余的流量进行“惩罚”，从而将进入的流量限制在合理的范围内。超过流量限制的报文不能被缓存，报文可以着色，绿色直接转发，黄色改变优先级后转发，红色丢弃。从而保护网络资源和用户的利益。所以正确答案是“给包着色”和“不能缓存超过流量限制的包”。

67、eSight网元发现方式支持哪些协议？

A.SNMP 协议

B.ICMP 协议

C.Telnet 协议

D.Netconf 协议

【正确答案】A,B

【答案分析】在eSight中，网元发现方式包括SNMP和ICMP。 SNMP：支持安装了 SNMP 组件并配置了 SNMP 访问参数的网络设备。 ICMP：主要针对那些没有SNMP相关参数的网络设备，只要网管服务器能ping通设备，就可以加入网管。所以正确答案是“SNMP协议和ICMP协议”。

68、可以使用哪些拥塞避免机制来避免 TCP 全局同步？

A.RED

B.WRED

C.Tail-Drop

D.WFQ

【正确答案】A,B

【答案分析】为避免TCP全局同步现象，避免机制基于RED技术，实现了WRED（Weighted Random Early Detection）技术，可以独立设置每个优先级的丢包高阈值。 ，低阈值和丢包率。当数据包达到低阈值时，它开始丢失数据包。当它达到高阈值时，所有数据包都被丢弃。随着阈值的增加，丢包率不断增加。最大丢包率不超过设置的最大丢包率，直到达到高阈值，丢弃所有包。这样队列中的报文按照一定的丢弃概率主动丢弃，在一定程度上避免了尾丢弃带来的所有弊端。所以正确答案是“RED”和“WRED”。

69、DHCP绑定表可以包含以下哪些信息？

A.MAC 地址

B.IP 地址

C.租赁时间

D.TCP 端口和 UDP 端口

【正确答案】A,B,C

【答案分析】DHCP绑定表可以包含MAC地址、IP地址、租用时间等信息。所以正确答案是“MAC地址”、“IP地址”、“租用时间”。

70、LDP有两种不同的发现对等体的机制，哪个对？

A.扩展发现机制是LSR周期性地向指定地址发送Hello消息来发现LDP对等体

B.两种机制分别是基本发现机制和扩展发现机制

C.基本的发现机制是通过周期性发送Hello报文来发现LDP对等体

D.扩展发现机制用于发现链路上非直连的LSR

E.基本发现机制用于发现链路上直连的LSR

【正确答案】A,B,C,D,E

【答案分析】LDP发现对等体的两种不同机制是基本发现机制和扩展发现机制；基本发现机制用于发现链路上直连的LSR，扩展发现机制是非直连LSR，所以标题中各个选项的描述都是正确的。

71、MPLS称为Multi-Protocol Label Switching，关于MPLS中的标签描述正确吗？

A. tag是一个固定长度、只有局部意义的段标识符，用来唯一标识一个数据包所属的FEC

B.标签类似于ATM的VPI/VCI和Frame Relay的DLCI，是一个连接标识

C.标签由包头携带，不包含拓扑信息，具有全局意义

D.MPLS 支持单层标签和多层标签

E.MPLS系统由多种标签分发协议组成，如LDP就是标签分发协议

【正确答案】A,B,D,E

【答案分析】标签是一个段标识符，长度固定，只有局部意义。用于唯一标识报文所属的FEC。类似于 ATM 的 VPI、VCI 和帧中继的 DLCI，它是一个连接标识符。它没有全球意义。它支持单层标签和多层标签。 LDP 是一种标签分发协议。因此，除了“标签由包头携带，不包含拓扑信息，具有全局意义”选项外，其他选项的表述都是正确的。

72、区分服务和综合服务在QoS方面的主要区别是什么？

在A.Differentiated Service中，发往不同目的地的数据包得到不同的服务

在B.Differentiated Service中，不同来源的分组所获得的服务是不同的

C.差异化服务中无需维护每个流的状态信息

D.Differentiated Service适用于大型骨干网应用

【正确答案】C、D

【答案分析】DiffServ区分服务的工作过程：首先将网络中的流量划分为多个类，然后为每个类定义相应的处理行为，使其具有不同的优先级转发、丢包速率、延迟等。流量分类和标记由边缘路由器完成。边界路由器可以根据各种条件（如报文的源地址和目的地址、ToS字段中的优先级、协议类型等）灵活地对报文进行分类，然后为不同类型的报文设置不同的标签字段其他路由器只需简单地识别数据包中的这些标签，然后对其进行相应的资源分配和流量控制。因此，DiffServ 是一种基于数据包流的 QoS 模型。它只包含有限数量的服务类、少量的状态信息来提供差异化​​的流量控制和转发。这种服务模式一般适用于大型网络。所以正确的答案是“Differentiated Service 中不需要为每个流维护状态信息”，“Differentiated Service 适合在大型骨干网络上应用”。

73、在MPLS系统中，发布标签的两种方式是什么？

A.自由之路

B.独立方式

C.保守的方式

D.排序方式

【正确答案】B、D

【答案分析】标签分配有两种控制方式：1）Independent（独立的标签分配控制方式），本地LSR可以自主分配一个标签绑定到一个IP包上并通告给上游LSR 无需等待下游标签。 2）Ordered（有序标签分配控制方式）：只有当LSR已经拥有IP包下一跳的标签，或者LSR是IP包的出节点时，才可以将LSR发送到此 IP 数据包的上游标签。所以正确的答案是“独立方式”和“有序方式”。

74、以下哪些是管理网络的主要目标？

A.确保网络用户收到预期的网络服务质量和技术服务信息

B.降低移动设备的成本

C.降低网络设备的使用寿命，延长服务周期

D.帮助网络工程师面对复杂的网络数据，确保数据能够快速、全面地呈现给用户

【正确答案】A、D

【答案分析】保证网络用户收到预期的网络服务质量和技术服务信息，帮助网络工程师面对复杂的网络数据，保证数据能够快速、全面地呈现给用户是网络管理的主要方面目标。所以正确答案是“确保网络用户收到预期的网络服务质量和技术服务信息”、“帮助网络工程师面对复杂的网络数据，并确保数据能够快速、全面地呈现给用户”。

75、以下选项中关于Agile Controller终端安全管理特性的描述正确的是？

A.一键维修，降低终端管理维护成本

B.只允许安装标准软件，实现桌面办公标准化

C.控制终端泄露路由，通过准入控制确保网络接入终端强制安装客户端并满足安全要求

D.禁止安装非标准软件，降低病毒感染风险

【正确答案】A,B,C,D

【答案分析】终端安全管理特点——一键修复，降低终端管理维护成本：如果终端不符合企业安全策略，用户往往希望提供自动修复功能。现在完全可以自动实现不合规状态修复，用户只需点击鼠标，在最短时间内实现一键修复。规范桌面安全，降低病毒感染风险：只允许安装标准软件，规范桌面办公；控制非法上网，提高工作效率；禁止安装非标准软件，降低病毒感染风险。终端外设管理与行为监控：控制终端泄露路径，通过准入控制确保网络接入终端强制安装客户端并满足安全要求，监控通过使用外设和网络的泄露行为，提供全面的审计以满足事后审计。需要。所以标题中每个选项的描述都是正确的。

76、通过查看DHCP配置信息和报文统计信息，可以查看设备的运行状态和收发DHCP报文的数量，方便日常维护时的故障排除。下列哪个命令可用于查看 DHCP 消息？

A.显示 dhcp 中继统计信息

B.显示 dhcp

C.显示 dhcp 统计信息

D.显示 dhcp 服务器统计信息

【正确答案】A,C,D

[答案分析] 使用 display dhcp relay statistics ;display dhcp statistics ;display dhcp server statistics 查看 DHCP 配置信息和报文统计信息。可以查看设备的运行状态和维护的DHCP报文数。过程中的问题定位。所以正确答案是“显示 dhcp 中继统计信息”、“显示 dhcp 统计信息”、“显示 dhcp 服务器统计信息”。

77、以下哪些是多通道协议？

A.FTP

B.Telnet

C.H.323

D.SNMP

【正确答案】A、C

【答案分析】多通道协议是指在通信过程中需要占用两个或多个端口的协议，如大多数多媒体应用协议（如H.323、SIP）、FTP、网络会议等协议。所以正确答案是“FTP”、“H.323”。

78、在MPLS VPN网络中，当数据包进入公网转发时，会添加两层MPLS标签。以下哪个选项正确描述了数据包的处理过程？

A.数据包在倒数第二跳设备上弹出外层标签后转发给对端PE设备

B.对端 PE 设备收到一个未标记的 IP 数据包

C.倒数第二跳设备弹出外层标签的依据是数据包携带的外层标签是空标签3

D.对端PE设备根据内层标签正确地将数据包发送到对应的VPN

【正确答案】A、D

【答案分析】在MPLS VPN网络中，当数据包进入公网转发时端口镜像是什么意思，会加两层MPLS标签，最外层是公网标签，内层是私网标签因此，当数据包到达对端设备的倒数第二跳时，会弹出特殊隐含空标签3的外层标签，转发给对端PE设备，PE设备再将数据包正确转发给对端设备。根据内层标签对应的VPN。中间。因此，正确答案是“数据包在倒数第二跳设备上弹出外层标签后转发给对端PE设备”，“对端PE设备根据内层标签正确将数据包发送到对应的VPN” ”。

79、以下选项中关于Agile Controller终端安全管理特性的描述正确的是？

A.如果终端不符合企业安全策略，用户往往希望提供自动修复功能。现已全面实现不合规状态的自动修复。用户只需点击鼠标，即可在最短的时间内实现一键操作。修复

B. MC管理中心可以集中配置策略，下发给下级终端安全管理服务器

C.可以控制非法网络访问

D.终端安全客户端根据分配的安全策略检查终端。检查通过后，服务器可以通知准入控制设备向终端开放网络权限。如果检查失败，可以对终端进行隔离修复

【正确答案】A,B,C,D

【答案分析】终端安全管理特点——一键修复，降低终端管理维护成本：如果终端不符合企业安全策略，用户往往希望提供自动修复功能。现在完全可以自动实现不合规状态修复，用户只需点击鼠标，在最短时间内实现一键修复。规范桌面安全，降低病毒感染风险：只允许安装标准软件，规范桌面办公；控制非法上网，提高工作效率；禁止安装非标准软件，降低病毒感染风险。终端外设管理与行为监控：控制终端泄露路径，通过准入控制确保网络接入终端强制安装客户端并满足安全要求，监控通过使用外设和网络的泄露行为，提供全面的审计以满足事后审计。需要。所以标题中每个选项的描述都是正确的。

80、USG系列防火墙自定义安全区域的安全级别可以设置以下哪个值？

A.150

B.100

C.80

D.40

【正确答案】C、D

【答案分析】华为防火墙安全区域的安全级别范围为1～100，默认安全级别5/50/85/100除外，可在该范围内根据需要进行设置。所以正确答案是“80”、“40”。

81、哪些信息可以用于复杂的流量分类？

A.源和目的MAC地址信息

B.协议类型

C.源和目的IP地址信息

D.消息包长度

【正确答案】A,B,C

【答案分析】复杂流分类是指根据五元组（源地址、目的地址、源端口号、目的端口号、协议号）等报文信息对报文进行精细分类。所以正确答案是“源和目的MAC地址信息”、“协议类型”、“源和目的IP地址信息”。

82、VxLAN支持哪些常用的配置方式？

A.通过虚拟化软件配置

B.通过 SDN 控制器配置

C.通过 SNMP 协议配置

D.自动配置

【正确答案】A,B

【答案分析】VXLAN支持通过虚拟化软件配置和SDN控制器配置。所以正确答案是“通过虚拟化软件配置”，“通过SDN控制器配置”。

83、以下关于 RT 的选项哪个是正确的？

A.每个VPN实例关联一对或多对VPN Target属性，用于控制站点间VPN路由信息的发布和接收

B.RT可以分为两类VPN目标属性：导出目标和导入目标

C.export target和import target的设置相互独立，都可以设置多个值，可以实现灵活的VPN访问控制

D.RT值通过Update消息以BGP扩展社区属性的形式发布给邻居

【正确答案】A,B,C,D

【答案分析】在建立MPLS VPN的过程中，RT是用来区分传输路由的。 . 每个 VPN 实例与一对或多对 VPN 目标属性相关联。 RT可以分为两种VPN目标属性：export target和import target，两者都可以设置多个值，实现灵活的VPN访问控制。 BGP扩展社区属性通过Update消息通告给邻居。所以标题中每个选项的描述都是正确的。

84、NFV经常部署在以下哪些应用环境中？

A.数据中心

B.网络节点

C.用户访问端

D.客户端/服务器

【正确答案】A,B,C

【答案分析】网络虚拟化可以通过借用IT虚拟化技术部署在数据中心、网络节点或者用户家中。网络虚拟化适用于固定和移动网络中任何数据平面的数据包处理和控制平面功能。所以正确答案是“数据中心”、“网络节点”、“用户接入端”。

85、某公司由一个总公司和两个分公司组成，采用MPLS VPN技术传输私网路由。在 Hub-Spoke 组网模式下，以下哪种方案可以实现分公司只能与总公司通信，而分公司不能相互通信？

A.总公司：进口目标：1:1,2:2；导出目标：3：3. 分支 1：导入目标：3:3；导出目标：1:1 分支2：导入目标：3:3；导出目标：2:2

B.总公司：进口目标：12:3；导出目标：3:12. 分支 1：导入目标：3:12；导出目标：12:3 分支 2：导入目标：3:12；导出目标：12:3

C.总公司：进口目标：1：1；导出目标：3：3. 分支 1：导入目标：3:3；导出目标：1:1 分支 2：导入目标：3:3；​​出口目标：2:2

D.总公司：进口目标：2：2；导出目标：3：3. 分支 1：导入目标：3:3；导出目标：1:1 分支 2：导入目标：3:3；​​出口目标：2:2

【正确答案】A,B

【答案分析】总公司的进口目标等于分公司的出口目标；分公司的进口目标等于总公司的出口目标。所以正确答案是“ 总公司：进口目标：1:1,2:2；出口目标：3：3. 分支1：进口目标：3:3；出口目标：1:1 分支2：进口目标：3:3；出口目标：2:2”和“总公司：进口目标：12:3；出口目标：3:12. 分公司 1：进口目标：3:12；出口目标：12 :3 分支 2：导入目标：3:12；导出目标：12:3”。

86、流量监管和流量整形有什么区别？

A.流量整形着色包

B.流量监管引入延迟和抖动，需要更多的缓冲资源来缓冲数据包

C.流量整形会引入延迟和抖动，需要更多的缓冲资源来缓冲数据包

D.流量监管颜色数据包

【正确答案】C、D

87、SDN网络架构主要分为？

A.协同应用层

B.控制层

C.逻辑层

D.转发层

【正确答案】A,B,D

【答案解析】SDN网络架构主要分为应用层、控制层和转发层。所以正确答案是“协同应用层”、“控制层”、“转发层”。

88、Esight网管支持的远程告警通知方式包括：

A.邮件

B.语音

短信

D.微信

【正确答案】A、C

【答案解析】Esight的远程通知方式包括邮件通知和短信通知，所以正确答案是“邮件”和“短信”。

89、MPLS有转发等价类FEC的概念。以下哪项描述是错误的？

A.相同 FEC 的数据包在 MPLS 网络中的处理方式会有所不同

B.FEC的划分非常灵活，可以是源地址、目的地址、源端口、目的端口、协议类型或VPN的任意组合。

C.MPLS将转发处理方式相同的报文归为一类，称为FEC

D.一个转发等价类，FEC只会有一个唯一的tag标签

【正确答案】A、D

【答案解析】 MPLS作为一种分类转发技术，将转发处理方式相同的报文归为一类，将这类报文称为FEC（Forwarding Equivalent Class）。 FEC的划分方式非常灵活，可以根据源地址、目的地址、源端口、目的端口、协议类型、VPN等任意组合。所以正确的答案是“同一个FEC的数据包在MPLS网络中会被区别对待”、“一个转发等价类，FEC只会有一个唯一的label标签”。

90、VRRP 可以结合哪些机制来监控上行链路连接性？

A.界面轨迹

B.BFD

C.NQA

D.ip-link

【正确答案】A,B,C,D

【答案分析】VRRP监控上行连通性的机制包括track模块、BFD、NQA、IP-LINK等，所以标题中每个选项的描述都是正确的。

91、在eSight上，哪些条件可以设置告警屏蔽规则？

A.生效时间

B.有效期

C.报警源

D.报警名称

【正确答案】A,B,C,D

【答案分析】eSight可以根据告警源、生效时间、生效时间、告警名称设置告警屏蔽规则。所以正确答案是“有效时间”、“有效期限”、“报警源”、“报警名称”。

92、MPLS 出了什么问题？

A.在传输带有IPLS标记的数据包之前，必须建立相应的网络连接

B.路由器可以根据转发目标将多个IP流聚合在一起，形成转发等价类（FEC）

C.MPLS支持各种网络层协议，带有MPLS标签的数据包必须封装在帧中才能传输

D.MPLS 用标签交换代替 IP 转发

E.MPLS 标签是每个子网中特定组的唯一标识符

【正确答案】B,C

【答案解析】MPLS协议从各种链路层协议（如PPP、ATM、帧中继、以太网等）中获取链路层服务，为网络层提供面向连接的服务。 MPLS可以得到IP路由协议和控制协议的支持，路由功能强大灵活，可以满足各种新应用对网络的要求。 MPLS作为一种分类转发技术，将转发处理方式相同的报文归为一类，将这类报文称为FEC。所以选项“路由器可以根据转发目标将多个IP流聚合在一起，形成转发等价类（FEC）”，“MPLS支持各种网络层协议，带有MPLS标签的数据包必须封装在帧中进行传输”的描述为不正确。

93、消息可以根据什么信息来标记或重新标记？

A.MAC 地址信息

B.消息中的任何信息

C.IP Source, Destination Address, EXP information

D.IP DSCP, IP Precedence, 802.1p, EXP information

【Correct Answer】A,C,D

[Answer Analysis] The packets sent by devices such as voice phones and video terminals generally carry the priority value of the device’s default ID. If you want to provide differentiated services through a custom value, you can remark the message through the remark operation. For example, the default identifiers include MAC address, IP source”, “destination address, EXP experimental bit, 802.1p of VLAN, IP DSCP, etc. So the correct answer is “MAC Address information”, “IP Source, Destination Address, EXP information”, “IP DSCP, IP Precedence, 802.1p, EXP information”.

94、What are the advantages of PQ+WFQ?

A. Implement bandwidth allocation by weight

B. It can ensure timely scheduling of low-latency services

C. Realize the needs of flexible classification of packets according to user definition

D. Messages with different priorities cannot be treated differently

【Correct Answer】A,B

【Answer analysis】PQ scheduling mechanism: It is divided into 4 queues, namely high priority queue, medium priority queue, normal priority queue and low priority queue, and their priorities decrease in turn. When the packet is dequeued, PQ will first dequeue the packet in the high priority queue and send it until the packet in the high priority queue is sent, and then send the packet in the middle priority queue. Similarly, until the packet is sent out , then the normal priority queue and the low priority queue. In this case, the packets of critical services are put into the queue with higher priority, and the packets of non-critical services (such as E-mail) are placed in the queue of lower priority, which can ensure that the packets of critical services are transmitted preferentially , packets of non-critical services are transmitted in the idle interval of processing critical service data. WFQ allocates the egress bandwidth that each flow should occupy according to the priority of the flow. The lower the priority value, the less bandwidth you get. The higher the priority value, the more bandwidth you get. This ensures fairness between services of the same priority and reflects the weights between services of different priorities. The advantage of WFQ is that the configuration is simple, but because the flow is automatically classified and cannot be manually intervened, it lacks a certain degree of flexibility. Therefore, the correct answer is “to allocate bandwidth by weight” and “to ensure timely scheduling of low-latency services”.

95、The session-based stateful inspection firewall has different processing procedures for the first packet and subsequent packets. Which of the following descriptions is correct?

A. When the packet reaches the firewall, it will look up the session table. If there is no match, the firewall will process the first packet

B. When the packet arrives at the firewall, it will look up the session table. If it matches, the firewall will process the subsequent packet.

C. When the state inspection mechanism is turned on, when the firewall processes TCP packets, only SYN packets can establish a session

D. When the state check mechanism is turned on, subsequent packages also need to be checked for security policy

【Correct answer】A,B,C

【Answer Analysis】The stateful inspection firewall uses a connection state-based detection mechanism to treat all packets belonging to the same connection that are exchanged between two communication parties as a whole data flow. From the point of view of the stateful inspection firewall, the packets in the same data flow are no longer isolated individuals, but are connected. A session is established for the first packet of the data flow, and subsequent packets in the data flow are directly forwarded according to the session, which improves the forwarding efficiency. So the correct answer is “When the packet reaches the firewall, it will look up the session table. If there is no match, the firewall will process the first packet”, “When the packet arrives at the firewall, it will look up the session table. If there is a match, the firewall will process the subsequent packets.” , “When the state inspection mechanism is turned on, when the firewall processes TCP packets, only SYN packets can establish a session.”

96、Which statement about VLAN aggregation is incorrect?

A. VLAN aggregation is to use multiple VLANs to isolate broadcast domains within a physical network, so that different VLANs belong to the same subnet

B. VLAN aggregation can save IP addresses and solve the problem of wasting IP address resources

C. VLAN aggregation only needs to configure the IP address on the super-VLAN, not on the sub-VLAN. Physical ports can be added to the super-VLAN

D. The VLAN used to isolate the broadcast domain is called super-VLAN

【Correct answer】C, D

97、What are the main roles of mirror ports?

A.Mirror Port

B. Local observation port

C. Remote mirror port

D. Trunk Port

【Correct answer】A,B,C

【Answer Analysis】The main roles of port mirroring include mirroring ports, local observation ports, and remote mirroring ports. So the correct answer is “mirror port”, “local observation port”, “remote mirror port”.

98、Which of the following problems exist in packet filtering firewalls, stateful firewalls are proposed.

A. Unable to detect some attacks from the transport layer and application layer (such as TCP SYN, Java Applets, etc.)

B. For multi-channel application layer protocols (such as FTP, SIP, etc.), some security policy configurations are unpredictable

C. For TCP connections, the first packet is required to be a SYN packet, and the first TCP packet of non-SYN packets will be discarded

D. The forged ICMP error message from the network cannot be identified, so the malicious attack of ICMP cannot be avoided

【Correct Answer】A,B

[Answer Analysis] The packet filtering firewall only judges whether to allow packets to pass through based on the static rules set. It considers packets as stateless isolated individuals and does not pay attention to the causes and consequences of packets. Some attacks from the transport layer and application layer cannot be detected. Stateful inspection firewalls use a connection state-based inspection mechanism to treat all packets exchanged between two communicating parties belonging to the same connection as a whole data flow. From the point of view of the stateful inspection firewall, the packets in the same data flow are no longer isolated individuals, but are connected.为数据流的第一个报文建立会话，数据流内的后续报文直接根据会话进行转发，提高了转发效率。可以对于多通道的应用协议提出更好的应用过滤支持。所以正确答案是“无法检测某些来自传输层和应用层的攻击行为（如TCP SYN、Java Applets等）”、“对于多通道的应用层协议（如FTP，SIP等），部分安全策略配置无法预知 ”。

99、下列关于ASPE和Servermap的说法，正确的是？

A.ASPF检查应用层协议信息并且监控连接的应用层协议状态

B.ASPF通过动态的生成ACL来决定数据包是否通过防火墙

C.配置NAT server生成的静态server-map

D.servermap表用五元组来表示一条会话

【正确答案】A,C

【答案解析】由于某些特殊应用会在通信过程中临时协商端口号等信息，所以需要设备通过检测报文的应用层数据，自动获取相关信息并创建相应的会话表项，以保证这些应用的正常通信。这个功能称为ASPF，所创建的会话表项叫做Server-map表。对于多通道协议，例如FTP，ASPF功能可以检查控制通道和数据通道的连接建立过程，通过生成server-map表项，确保FTP协议能够穿越设备，同时不影响设备的安全检查功能.Server-map通常只是用检查首个报文，通道建立后的报文还是根据会话表来转发。 Server-map表在防火墙转发中非常重要，不只是ASPF会生成，NAT Server等特性也会生成Server-map表。所以正确答案是“ASPF检查应用层协议信息并且监控连接的应用层协议状态”、“配置NAT server生成的静态server-map”。

100、以下是关于eSight物理拓扑监控的功能描述，其中正确的选项有？

A.图形化的展示网元、子网、链路的布局以及状态

B.精确可视化的监控全网网络运行状态

C.系统的展示全网网络结构及网络实体在业务上的关系

D.整个网络监控的入口，为客户实现高效运维

【正确答案】A,B,C,D

【答案解析】eSight物理拓扑监控能为客户提高高效运维，展示全网网络结构在业务上的关系，能精确监控全网网络运行状态以及图形化展示布局及状态。所以正确题目中各个选项的说法都是正确的。

101、DHCP会面对很多安全威胁的原因是？

A.中间人利用了虚假的IP地址与MAC地址之间的映射关系来同时欺骗DHCP的客户端和服务器

B.DHCP Server无法区分什么样的CHADDR超合法的，什么样的CHADDR是非法的

C.DHCP动态分配IP地址的响应时间长

D.由于DHCP发现报文(DHCP DISCOVER)以广播形式发送

【正确答案】A,B,D

102、DHCP Snooping 是一种DHCP安全特性，可以用于防御多种攻击，其中包括？

A.防御改变CHADDR值的饿死攻击

B.防御DHCP Server仿冒者攻击

C.防御TCP flag攻击

D.防御中间人攻击和IP/MAC Spoofing攻击

【正确答案】A,B,D

【答案解析】DHCP Snooping 是安全特性，可以用于防御多种攻击，其中包括DHCP饿死攻击、DHCP SERVER仿冒攻击、中间人攻击等。所以正确答案是“防御改变CHADDR值的饿死攻击”、“防御DHCP Server仿冒者攻击”、“防御中间人攻击和IP/MAC Spoofing攻击”。

103、下列关于华为eSight网管软件的描述，正确的是？

A.admin用户的密码丢失了，就只能通过重装eSight来恢复缺省密码

B.eSight支持分级管理，在分级部署模式下，上级网管可以把下级网管加入到系统中，并提供打开下级网管界面的链接

C.eSight应用平台支持同上层OSS系统集成，且通过SNMP实现网络告警上报，并与OSS告警系统进行对接

D.admin用户的密码丢失了，可以通过拨打400电话重置密码。

【正确答案】A,B,C

【答案解析】关于华为eSight网管软件,如果admin用户的密码丢失了，就只能通过重装eSight来恢复缺省密码；在分级部署模式下，上级网管可以把下级网管加入到系统中，并提供打开下级网管界面的链接；eSight应用平台支持同上层OSS系统集成，且通过SNMP实现网络告警上报，并与OSS告警系统进行对接。所以正确答案是“ .admin用户的密码丢失了，就只能通过重装eSight来恢复缺省密码”、“eSight支持分级管理，在分级部署模式下，上级网管可以把下级网管加入到系统中，并提供打开下级网管界面的链接”、“eSight应用平台支持同上层OSS系统集成，且通过SNMP实现网络告警上报，并与OSS告警系统进行对接 ”。

104、下面这段是MuxVLAN中关于主VLAN和从VLAN的配置，关于此配置说法正确的是？

[Quidway]vlan10
[Quidway-vlan10]mux-vlan
[Quidway-vlanlO]subordinate group 11
[Quidway-vian10]subordinate separate 12

A.VLAN10为主VLAN

B.VLAN11为主VLAN

C.VLAN12为隔离型从VLAN

D.VLAN11和VLAN12都为从VLAN

E.VLAN10和11都为MUXVLAN

【正确答案】A,C,D

105、拥塞避免机制中的丢弃包策略不包括。

A.FIFO

B.RED

C.ERED

D.WFQ

【正确答案】A,D

【答案解析】拥塞管理包括FIFO/PQ/WFQ/WRR等，拥塞避免包括RED/WRED。所以正确答案是“FIFO”、“WFQ”。

106、常用的队列技术有哪些？

A.FIFO

B.PQ

C.WFQ

D.CBQ

【正确答案】A,B,C,D

107、LDP的Discovery message用于邻居发现，并且LDP在发现邻居时有不同的发现机制，那么下列关于Discovery message消息在基本发现机制中的说法，正确的是？

A.这个消息是封装在UDP报文中的，目的端口号为646

B.该消息被发往指定的LDP Peer

C.该消息的目的IP地址为组播IP地址224.0.0.2

D.TCP连接建立之后，LSR不再继续发送Hello Message

【正确答案】A,C

【答案解析】为了能使开启LDP协议的设备快速发现邻居，LDP的Hello消息使用UDP封装。 UDP是无连接的协议，为了保证邻居的有效性和可靠性，Hello消息周期发送，发送周期为5s，使用组播224.0.0.2作为目的IP地址，意思是“发送给网络中的所有路由器”。所以正确答案是“ 这个消息是封装在UDP报文中的，目的端口号为646”和“该消息的目的IP地址为组播IP地址224.0.0.2”。

108、QoS针对各种不同要求，提供不同的服务质量，以下属于QoS所提供的功能有？

A.支持为用户提供专用宽带

B.可以减少报文的丢失率

C.避免和管理网络拥塞

D.可以设置报文源地址

【正确答案】A,B,C

【答案解析】为保证通信质量，就需要满足各类业务对网络的要求，要想提高通信质量，就是要提高带宽减少拥塞、减少时延和抖动、降低丢包率 。所以正确答案是“支持为用户提供专用宽带”、“可以减少报文的丢失率”、“避免和管理网络拥塞”。

109、华为防火墙默认提供的安全区域有?

A.local区域

B.trust区域

C.untrust区域

D.security区域

【正确答案】A,B,C

【答案解析】华为防火墙的默认安全区域包括local、DMZ、trust、untrust 。所以正确答案是“ local”、“trust”、“untrust ”。

110、企业网络的访客接入有哪些特征？

A.访客和员工的访问权限相同

B.访问自带设备接入网络

C.访客访问企业网络范围不受控

D.访客言论、行为不受控

【正确答案】B,C,D

【答案解析】访客接入特征包括访客自带设备接入网络；访客言论、行为不受控；访客访问企业网络范围不受控。所以正确答案是“访问自带设备接入网络”、“访客访问企业网络范围不受控”、“访客言论、行为不受控”。

111、假设有四条流量a、b、c、d均为50M，端口总带宽为100M，发生了流量拥塞，并对其进行拥塞管理。其中，流量a属于PQ队列调度；流量b、c、d属于WFQ队列调度，权重比为1:2:2，则关于对四种流量的调度结果描述错误的是？

A.流量a通过100m

B.流量a通过50m

C.流量b通过10m，流量c、d分别通过20m

D.流量b通过25m，流量c、d分别通过12.5m

【正确答案】A,D

【答案解析】PQ调度机制：分为4个队列，分别为高优先队列、中优先队列、正常优先队列和低优先队列，它们的优先级依次降低。在报文出队的时候，PQ会首先让高优先队列中的报文出队并发送，直到高优先队列中的报文发送完，然后发送中优先队列中的报文，同样，直到发送完，然后是正常优先队列和低优先队列。这样的话，将关键业务的报文放入较高优先级的队列，将非关键业务（如E-Mail）的报文放入较低优先级的队列，可以保证关键业务的报文被优先传送，非关键业务的报文在处理关键业务数据的空闲间隙被传送。在出队的时候，WFQ按流的优先级来分配每个流应占有的出口带宽。优先级的数值越小，所得的带宽越少。优先级的数值越大，所得的带宽越多。这样就保证了相同优先级业务之间的公平，体现了不同优先级业务之间的权值。所以此题流量a属于PQ队列调度通过的带宽为50M、流量b通过的流量为10M、流量c/d分别的通过的流量为20M。所以正确答案选择“流量a通过100m ”、“流量b通过25m，流量c、d分别通过12.5m”。

112、包过滤防火墙提供了对分片报文进行检测过滤的支持，可以过滤的分片报文有？

A.首片分片报文

B.后续分片报文

C.伪造的ICMP差错报文

D.非分片报文

【正确答案】B,D

【答案解析】实现包过滤的核心技术是访问控制列表。包过滤防火墙只根据设定好的静态规则来判断是否允许报文通过，提供了对后续分片报文的检测过滤，以及非分片报文的检测过滤。所以正确答案是“后续分片报文”、“非分片报文 ”。

113、在NFV架构中，具体的底层物理设备主要包括哪些？

A.存储设备

B.网络设备

C.服务器

D.空调系统

【正确答案】A,B,C

【答案解析】NFV即网络功能虚拟化（Network Functions Virtualization），将许多类型的网络设备（如服务器，网络设备和存储设备等）构建为一个Data Center Network，通过借用IT的虚拟化技术虚拟化形成VM（虚拟机，Virtual Machine），然后将传统的CT业务部署到VM上。所以正确答案是“存储设备”、“网络设备”、“服务器 ”。

114、eSight网管要实现能够接收并管理设备上报的告警，需要具备哪些条件？

A.设备被网管管理

B.设备侧配置了正确的Trap参数

C.网管上被管理设备要配置正确的SNMP协议及参数

D.网管和设备之间要连通

【正确答案】A,B,C,D

【答案解析】eSight网管要实现能够接收并管理设备上报的告警，需要网管和设备之间要连通，设备被网管管理 ,设备侧需要配置正确的Trap参数，网管上被管理设备要配置正确的SNMP协议及参数。所以题目中各个选的描述的条件都是需要的。

115、下列选项中，哪些属于Agile controller的访客生命周期管理环节？

A.账号注册

B.账号审批与分发

C.账号认证

D.账号审计与注销

【正确答案】A,B,C,D

【答案解析】Agile Controller系统为企业提供访客管理功能，支持对访客的生命周期管理，实现访客申请、审批、分发、认证、注销的全流程管理。所以题目中的各选项都是正确的。

116、以下属于MPLS VPN路由的传递过程的是？

A.MP-BGP路由注入VRF的过程

B.CE与PE之间的路由交换

C.公网标签的分配过程

D.VRF路由注入MP-BGP的过程

【正确答案】A,B,C,D

【答案解析】MPLS VPN路由的传递过程将分为四个阶段：CE与PE之间的路由交换、VRF路由注入MP-BGP的过程、公网标签的分配过程、MP-BGP路由注入VRF的过程。所以题目中的各选项都属于MPLS VPN路由的传递过程。

117、TCP/IP v4 版本中，存在的安全隐患有下列哪几项？

A.缺乏数据源验证机制

B.缺乏对数据包的确认机制

C.缺乏对数据完整性的验证机制

D.缺乏机密性保障机制

【正确答案】A,C,D

【答案解析】TCP/IP协议组是目前使用最广泛的网络互连协议。但TCP/IP协议组本身存在着一些安全性问题。比如缺乏对数据来源的验证机制，缺乏对数据完整性的验证机制，缺乏对数据容易被窃取篡改的机密性机制等。所以正确答案是“缺乏数据源验证机制”、“缺乏对数据完整性的验证机制”、“缺乏机密性保障机制”。

118、在Agile controller的安全协防中，关于安全联动组件的描述端口镜像是什么意思，正确的是？

A.上报日志设备是由网络中部署的网络设备、安全设备、策略服务器、第三方系统等来承担，主要负责提供网络信息与安全日志

B.客户设备是网络信息与安全日志的产生者

C.联动策略执行设备由交换机来承担，主要负责安全事件发生后的设备联动部分的安全响应，是执行阻断或引流策略的设备

D.Agile Controller的安全协防组件负责对日志采集、处理、事件关联、安全态势展现、安全响应

【正确答案】A,C,D

【答案解析】安全联动解决方案中主要用到三个组件，从下到上依次包括 ——上报日志设备：由网络中部署的设备（网络设备、安全设备、策略服务器、第三方系统等）来承担，主要负责提供网络、安全日志。联动策略执行设备：由交换机来承担，主要负责安全事件发生后的设备联动部分的安全响应，是执行阻断或引流策略的设备。 Agile Controller：方案的大脑，本方案用到的是Agile Controller的安全协同组件，这部分负责对日志的采集、处理、事件关联、安全态势展现、安全响应。所以正确答案是“上报日志设备是由网络中部署的网络设备、安全设备、策略服务器、第三方系统等来承担，主要负责提供网络信息与安全日志”、“联动策略执行设备由交换机来承担，主要负责安全事件发生后的设备联动部分的安全响应，是执行阻断或引流策略的设备”、“Agile Controller的安全协防组件负责对日志采集、处理、事件关联、安全态势展现、安全响应”。

119、关于MPLS标签封装格式的描述，正确的是？

A.MPLS单个标签的总长度为4个字节（32bit）

B.标签中的TTL字段和IP分组中的TTL（生存时间）意义相同，也具有防止环路的作用

C.标签中的S字段：1bit,用于标识该标签释放栈底标签，值为1时表明倒数第二层标签标签

D.对于以太网、PPP的分组，标签堆栈像“垫层“一样，位于二层报头于数据之间，有VLAN tag时，放到VLAN tag之前

【正确答案】A,B

【答案解析】MPLS标签封装在链路层和网络层之间，可以支持任意的链路层协议，MPLS标签的长度为4个字节，共分4个字段。 1）Label：20bit，标签值域；2）Exp：3bit，用于扩展。现在通常用做CoS（Class of Service），当设备发生阻塞时，优先发送优先级高的报文；3）S：1bit，栈底标识。 MPLS支持多层标签，即标签嵌套。 S值为1时表明为最底层标签；4）TTL：8bit，和IP报文中的TTL（Time To Live）意义相同。所以正确答案是“ MPLS单个标签的总长度为4个字节（32bit）”、“标签中的TTL字段和IP分组中的TTL（生存时间）意义相同，也具有防止环路的作用 ”。