第10章的试题分析.docx
《第10章的试题分析.docx》由会员分享,可在线阅读,更多相关《第10章的试题分析.docx(18页珍藏版)》请在冰豆网上搜索。
第10章的试题分析
分析:
CCNA认证中关于网络安全概念的试题
英文原题:
Whataretwosecurityappliancesthatcanbeinstalledinanetwork?
(Choosetwo.)
A.ATM
B.IDS
C.IOS
D.IOX
E.IPS
F.SDM
翻译:
哪两个安全设备可以被安装到网络中?
(选择2项)
A.ATM
B.IDS
C.IOS
D.IOX
E.IPS
F.SDM
答案:
B、E。
该题目考查部署在网络中的安全设备,根据提供的答案,入侵检测系统(IDS)和入侵防御系统(IPS)是可以被安装到网络中的安全设备,所以答案B、E正确;ATM是远程接入的一种方案,所以答案A错误;IOS是思科的操作系统,所以答案C错误;IOX与题目无关,所以答案D错误;SDM是配置安全的管理工具,所以答案F错误。
分析:
CCNA认证中关于ACL的试题
英文原题1:
Refertotheexhibit.WhatwillhappentoHTTPtrafficcomingfromtheInternetthatisdestinedfor172.16.12.10ifthetrafficisprocessedbythisACL?
A.Trafficwillbedroppedperline30oftheACL
B.Trafficwillbeacceptedperline40oftheACL
C.Trafficwillbedropped,becauseoftheimplicitdenyallattheendoftheACL
D.Trafficwillbeaccepted,becausethesourceaddressisnotcoveredbytheACL
翻译:
如图所示,来自Internet的HTTP流量目标地址是172.16.12.10,通过ACL处理这些流量,将发生什么?
A.流量会被ACL序列号30这一行丢弃
B.流量会被ACL序列号40这一行所允许
C.流量会被ACL最后隐含的一条拒绝语句所丢弃
D.因为源地址没被ACL列表所包括,所以流量会被允许
答案:
C。
该题目主要考查ACL的过滤行为以及相关的特性,理解语法中的源地址与目标地址,从给出的显示中可以看出,ACL序列号30这一行是丢弃源地址是172.16.0.0,目标是任意地址的HTTP流量,这个答案看上去是正确的,但是,请注意题目的前提是来自Internet的HTTP流量目标地址是172.16.12.10,它不满足源地址是172.16.0.0的要求,所以答案A被排除;同理,答案B所提供的ACL序列号40这一行是允许源地址是172.16.0.0到任意目标的TCP连接,所以也被排除;因为目标地址是172.16.12.10的HTTP流量没有被题目中提供的显示中的任何语句所声明允许,根据ACL的特性它将被ACL列表最后的隐式拒绝语句denyipanyany所拒绝,所以答案C正确,D错误。
D错误的原因是源地址没被ACL列表所包括,流量不会被允许,而是被隐式拒绝。
英文原题2:
AninboundaccesslisthasbeenconfiguredonaserialinterfacetodenypacketentryforTCPandUDPports21,23and25.WhattypesofpacketswillbepermittedbythisACL?
(Choosethree.)
A.FTP
B.Telnet
C.SMTP
D.DNS
E.HTTP
F.POP3
翻译:
入站访问列表已经配置在一个串行接口上,拒绝的包有TCP和UDP端口21、23和25,哪种类型的包能够被ACL允许通过。
(选择3项)
A.FTP
B.Telnet
C.SMTP
D.DNS
E.HTTP
F.POP3
答案:
D、E、F。
事实上,这个题目是通过ACL的过滤来考查应试者对常用协议端口的记忆情况的。
FTP使用21和20号端口,Telnet使用23号端口,SMTP使用25号端口,DNS使用53号端口,HTTP使用80号端口,POP3使用110号端口,由于题目已经明确声明拒绝了21、23、25,所以FTP、Telnet、SMTP被拒绝,那么在所提供的答案中,DNS、HTTP、POP3将被允许,所以答案D、E、F正确。
英文原题3:
InwhichsolutionisarouterACLused?
A.protectingaserverfromunauthorizedaccess.
B.controllingpathselection,basedontheroutemetric
C.reducingrouterCPUutilization
D.filteringpacketsthatarepassingthrougharouter
翻译:
哪一个是在路由器上使用ACL的解决方案?
A.保护未被授权的服务访问
B.根据路由器度量值控制路径选择
C.减少路由器CPU的占用率
D.过滤通过路由器的数据包
答案:
D。
该题目主要考查为什么要在路由器上使用ACL,保护未授权的访问不是ACL的责任,是由AAA(认证、授权、记账)来完成的,所以答案A错误;ACL的作用更不是根据路由器的度量值来控制路径选择,所以答案B也错误;ACL的应用在某种程度上会加重路由器CPU的占用率,所以答案C也错误;ACL是用于过滤通过路由器的数据包的,所以答案D正确。
英文原题4:
WhichitemrepresentsthestandardIPACL?
A.access-list50deny192.168.1.10.0.0.255
B.access-list110permitipanyany
C.access-list2500denytcpanyhost192.168.1.1eq22
D.access-list101denytcpanyhost192.168.1.1
翻译:
以下哪一项是标准ACL的指令?
A.access-list50deny192.168.1.10.0.0.255
B.access-list110permitipanyany
C.access-list2500denytcpanyhost192.168.1.1eq22
D.access-list101denytcpanyhost192.168.1.1
答案:
A。
该题目主要考查不同类型ACL的编号问题,标准ACL的编号是1~99,关于标准ACL的编号还有一个可伸展的范围是1300~1999;扩展ACL的编号是100~199,关于扩展ACL的编号还有一个可伸展的范围是2000~2699;所以根据题目所给出的答案,只有答案A属于标准ACL的范围,答案B、C、D都属于扩展ACL。
英文原题5:
TheaccesscontrollistshowninthegraphichasbeenappliedtotheEthernetinterfaceofrouterR1usingtheipaccess-group101incommand.WhichofthefollowingTelnetsessionswillbeblockedbythisACL?
(Choosetwo)
A.fromhostPC1tohost5.1.1.10
B.fromhostPC1tohost5.1.3.10
C.fromhostPC2tohost5.1.2.10
D.fromhostPC2tohost5.1.3.8
翻译:
根据图中所提供的访问控制列表,将指令ipaccess-group101in应用到路由器R1的以太网接口的入方向上,下面哪一个Telnet会话将被ACL所阻止?
(选择2项)
A.从主机PC1到主机5.1.1.10
B.从主机PC1到主机5.1.3.10
C.从主机PC2到主机5.1.2.10
D.从主机PC2到主机5.1.3.8
答案:
B、D。
该题目主要考查扩展ACL对会话的过滤过程中反码的匹配过程,拒绝Telnet会话的源地址是5.1.1.8,反码是0.0.0.3,有效的源地址如下所示,那么PC1(5.1.1.8/24)和PC2(5.1.1.10/24)都在反码的有效匹配范围内,而目标网络是5.1.3.0,反码是0.0.0.255,那么PC5(5.1.3.8)和PC6(5.1.3.10)都在有效匹配范围内,所以答案B和D正确;答案A错误的原因是ACL不能过滤子网内的通信;答案C错误的原因是目标地址5.1.2.10与给出的ACL列表中的目标地址不匹配。
英文原题6:
Anetworkengineerwantstoallowatemporaryentryforaremoteuserwithaspecificusernameandpasswordsothattheusercanaccesstheentirenetworkovertheinternet.whichACLcanbeused?
A.reflexive
B.extended
C.standard
D.dynamic
翻译:
一个网络工程师希望当远程用户声明用户名和密码后,允许产生一个临时条目,然后远程用户就可以通过Internet访问整个网络,下面哪一种ACL将被应用?
A.自反ACL
B.扩展ACL
C.标准ACL
D.动态ACL
答案:
D。
该题目主要考查动态ACL的特性。
声明用户名与密码后可以加入临时条目供远程用户访问网络,这正是动态ACL的特性,它非常适合于使用传统的ACL无法控制的广泛来源的访问,比如:
Internet。
英文原题7:
Refertotheexhibit.WhichstatementdescribestheeffectthattheRouter1configurationhasondevicesinthe172.16.16.0subnetwhentheytrytoconnecttoSVR-AusingTelnetorSSH?
A.DeviceswillnotbeabletouseTelnetorSSH
B.DeviceswillbeabletouseSSH,butnotTelnet.
C.DeviceswillbeabletouseTelnet,butnotSSH
D.DeviceswillbeabletouseTelnetandSSH
翻译:
根据图中所提供的路由器R1上的配置,下面哪一个描述将影响到172.16.16.0子网中的一个设备通过Telnet或者SSH来连接SVR-A?
A.设备将不能使用Telnet或者SSH
B.设备能够使用SSH,但不能使用Telnet
C.设备能够使用Telnet,但不能使用SSH
D.设备能够使用Telnet和SSH
答案:
B。
该题目要求是172.16.16.0子网中的一个设备通过Telnet或者SSH来连接SVR-A,所以我们首先来分析应用到路由器R1的fa0/0接口入方向上的ACL100,可以看出它允许172.16.16.0子网到172.16.48.63目标端口为22的连接,事实上就是SSH连接,因为SSH使用TCP22号端口,而ACL100的第二条语句错在将允许的协议Telnet写在了访问会话的源地址172.16.16.0之后,应该是配置在会话的目标地址172.16.48.63之后,所以此时Telnet会失败;然后再来分析应用到路由器R1的fa0/1接口入方向上的ACL101,可以看出该ACL的第一条语句允许会话的源地址172.16.48.63,源端口22返回到目标172.16.16.0子网,所以SSH会话会成功,而第二条语句的Telnet端口应该配置在会话的源地址后面,但是它配置在了会话的目标地址后面,所以Telnet会失败。
结合上述对两个ACL的分析,所以172.16.16.0中的某台设备只能使用SSH连接到SVR-A,不能使用Telnet连接。
该题目需要注意的是工程人员在配置ACL时必须清晰地规划会话的源端口和目标端口。
英文原题8:
Whatcanbedonetosecurethevirtualterminalinterfacesonarouter?
A.Administrativelyshutdowntheinterface
B.Physicallysecuretheinterface
C.Createanaccesslistandapplyittothevirtualterminalinterfaceswiththeaccess-group区command
D.Configureavirtualterminalpasswordandloginprocess
E.Enteranaccesslistandapplyittothevirtualterminalinterfacesusingtheaccess-classcommand.
翻译:
需要做什么来确保一台路由器的虚拟终端接口(VTY)的安全?
A.从管理层面关闭接口
B.确保接口的物理安全
C.创建一个ACL列表,并使用access-groupcommand命令将它用于虚拟终端接口
D.配置一个虚拟终端密码和登录过程
E.书写一个ACL列表,并使用access-class命令将它用于虚拟终端接口
答案:
D、E。
此题目考查对VTY访问的安全控制。
答案A“从管理层面关闭接口”,肯定是错的,因为这样做将导致无法完成VTY访问过程;答案B“确保接口的物理安全”,并不是保护VTY访问的方案,所以错误;答案C通过ACL保护VTY的安全看上去正确,但是ACL不能通过access-group应用在Linevty04的线路模式下,只能通过access-class命令应用,具体可参看本章的10.4.1节“演示:
限制VTY(Telnet)的访问”,所以答案C错误,E正确;为VTY的登录过程配置密码是保护VTY的一种方式,所以答案D也正确。
英文原题9:
Whichtwostatementsapplytodynamicaccesslists?
(choosetwo)
A.theyoffersimplermanagementinlargeinternetworks.
B.youcancontrolloggingmessages.
C.theyallowpacketstobefilteredbasedonupper-layersessioninformation.
D.youcansetatime-basedsecuritypolicy.
E.theyprovidealevelofsecurityagainstspoofing.
F.theyareusedtoauthenticateindividualusers.
翻译:
以下哪两种关于使用动态ACL列表的陈述是正确的?
(选择2项)
A.它们在一个大的网络中提供简单管理
B.你能控制日志消息
C.它们允许基于上层会话信息过滤数据包
D.你可以设置一个基于时间的安全策略
E.它们提供了一个防御欺骗的安全等级
F.它们用于验证个别用户
答案:
C、D。
动态ACL不提供针对大型网络的管理,所以答案A错误;也不能控制日志消息,所以答案B错误;动态ACL能基于上层会话信息来过滤数据包,因为在执行动态ACL时需要首先进行一个应用层的Telnet会话,然后再来决定是否允许或丢弃数据包,所以答案C正确;动态ACL是可以设置一个基于时间的安全策略的,它可以设置临时会话的最长时间、空闲超时等,所以答案D正确;动态ACL无法提供一个防御欺骗的安全保护等级,所以答案E错误;关于答案F,有一点争议,因为动态ACL生效前必须使用形式上的Telnet来验证访问来源,所以它具备一定的用户验证能力,如果是选择3项,那么可以选择答案F,但是此题要求选择2个最佳答案,所以这里不选择答案F,因为动态ACL的主要功能不是完成用户验证。
分析:
CCNA认证中关于设备访问的试题
英文原题1:
Anetworkadministratorneedstoconfigureportsecurityonaswitch.whichtwostatementsaretrue?
(choosetwo)
A.Thenetworkadministratorcanapplyportsecuritytodynamicaccessports
B.Thenetworkadministratorcanconfigurestaticsecureorstickysecuremacaddressesinthe voicevlan.
C.Thestickylearningfeatureallowstheadditionofdynamicallylearnedaddressestotherunning configuration.
D.ThenetworkadministratorcanapplyportsecuritytoEtherChannels.
E.Whendynamicmacaddresslearningisenabledonaninterface,theswitchcanlearnnewaddresses,uptothemaximumdefined.
翻译:
有一个网络管理员需要在一台交换机上配置端口安全,以下哪两个陈述是正确的?
(请选择2项)
A.网络管理员可以在安全端口上应用动态接入端口
B.网络管理员可以在语音VLAN中配置静态安全或者黏性MAC地址
C.黏性(sticky)学习特点允许将动态学习到的地址添加到配置文件中
D.网络管理员可以在以太网通道上应用端口安全
E.当端口上的MAC地址动态学习功能开启时,在达到最大定义值(maximum)的上限前交换机都可以学习到新的MAC地址
答案:
C、E。
该题目主要是对交换机安全端口的定义进行考查,端口安全不能被应用到动态协商模式的环境中,端口安全不能用于语音VLAN,端口安全不能应用到以太网通道中,所以答案A、B、D都错误;答案C对黏性(sticky)的定义和答案E对maximum的叙述正确。
英文原题2:
Anetworkadministratormustconfigure200switchportstoaccepttrafficfromonlythecurrentlyattachedhostdevices.WhatwouldbethemostefficientwaytoconfigureMAC-levelsecurityonalltheseports?
A.VisuallyverifytheMACaddressesandthentelnettotheswitchestoentertheswitchport-portsecuritymac-addresscommand.
B.Haveenduserse-mailtheirMACaddresses.Telnettotheswitchtoentertheswitchport-portsecuritymac-addresscommand.
C.Usetheswitchportport-securityMACaddressstickycommandonalltheswitchportsthathaveenddevicesconnectedtothem.
D.Useshowmac-address-tabletodeterminetheaddressesthatareassociatedwitheachportandthenenterthecommandsoneachswitchforMACaddressport-security.
翻译:
为了只接收当前所连接主机的流量,一个网络管理员必须配置200个交换端口,在这些端口上最有效的MAC级别的安全配置的方法是什么?
A.核实每个MAC地址后,当Telnet登录交换机时键入switchport-portsecuritymac-address命令
B.通过E-mail收集终端用户的MAC地址,当Telnet登录交换机时键入switchport-port
securitymac-address命令
C.当所有终端设备都与端口相连时,在交换机端口上使用switchportport-securityMACaddresssticky命令
D.使用showmac-address-table指令确定哪个地址与哪个交换机接口相连,然后再在交换机上使用MAC地址的端口安全
答案:
C。
该题目主要考查交换机端口安全中黏性(sticky)参数的特点,题目已明确要求为网络中的200台终端主机配置端口安全,这样的配置工作量很大,如果使用showmac-address-table查看交换机每个端口所对应的MAC地址后,再一一地在各个交换机端口上做手工配置,这将是一件耗费大量管理开销的事情,而且容易出错,所以答案D是错误的;而端口安全中的黏性特性,可以满足大量需要配置端口安全的接口,它会将交换机通电后,初始化时交换机地址自学习到的源MAC地址保存在配置文件中,作为运用端口安全的合法地址,这适合于大规模地配置MAC级别的安全,所以答案C正确;而答案A和B关于端口安全的定义都不正确。
英文原题3:
Selecttheactionthatresultsfromexecutingthesecommands.
Switch(config-if)#switchportport-security
Switch(config-if)#switchportport-securitymac-addresssticky
A.AdynamicallylearnedMACaddressissavedinthestartup-configurationfile.
B.AdynamicallylearnedMACaddressissavedintherunning-configurationfile.
C.AdynamicallylearnedMACa