HCIMC题库汇总比较全.docx
《HCIMC题库汇总比较全.docx》由会员分享,可在线阅读,更多相关《HCIMC题库汇总比较全.docx(38页珍藏版)》请在冰豆网上搜索。
HCIMC题库汇总比较全
H3CS-IMC题库汇总
第一套
1、下列关于iMC平台组件工作原理的说明中,不正确的是
A、平台主要通过SNMP协议报文与设备交互,读取网络设备上的状态信息
B、ACLM组件通过命令行获取设备状态信息,智能配置管理组件在某些情况下也需要命令行读取数据
C、平台的报表组件是一个很特殊的组件,不需要与网络设备进行交互,而只需要读取数据库的数据
D、iMC平台采用B/S架构,通过浏览器访问管理界面,默认端口是TCP80
(D)
2、若要实现802.1xEAD,关于接入交换机上的认证模式(RADIUS的封装模式),以下说法错误的是:
A.H3C交换机在CHAP认证模式下,使用标准RADIUS属性(EAP-Message)下发策略代理服务器的IP和端口,从而使得客户端主动与安全策略服务器之间建立通讯
B.第三方设备必须使用EAP中继的封装模式才能实现EAD
C.H3C交换机的缺省认证模式为CHAP,通过命令行修改为EAP模式也能实现EAD
D.如果iMC服务器从微软域控制器上同步帐号信息,实现基于域统一认证方式的EAD,则此时H3C交换机不能够使用CHAP认证模式封装RADIUS报文
(A)
3、关于802.1xEAD在服务器上的基本配置顺序,可以按照以下顺序配置:
A.接入设备?
服务?
具体的安全检查项?
安全策略?
安全级别?
账户
B.接入设备?
服务?
账户?
具体的安全检查项?
安全级别?
安全策略
C.接入设备?
具体的安全检查项?
安全级别?
安全策略?
服务?
账户
D.接入设备?
安全级别?
安全策略?
服务?
具体的安全检查项?
账户
(C)
4、在H3C交换机上关于认证域的应用,以下说法错误的是:
A.如果客户端不带域名认证,则交换机将为该帐号应用缺省的认证域
B.在CHAP/PAP认证方式下,如果客户端不带域名认证,交换机上的用户名格式配置为with-domain,则服务器上该帐号一定要关联一个服务后缀为空的服务
C.在CHAP/PAP认证方式下,如果客户端带域名认证,交换机上的用户名格式配置为with-domain,则服务器上该帐号一定要关联一个服务后缀与交换机上的domain名称一致的服务
D.radiusscheme(认证方案)的名称只在交换机上具有本地意义,与服务器上的配置无关
(B)
5、关于Portal认证,以下说法中错误的是:
A.Portal认证方式没有802.1x认证方式控制严格,但Portal认证支持免客户端安装(网页认证),并且实施简单,适合用于旧网改造
B.二层Portal模式下,Portal设备以认证终端的IP和MAC地址来唯一标识一个在线用户,而三层Portal模式下,Portal设备以认证终端的IP地址唯一标识一个在线用户
C.使能Portal的物理接口或VLAN虚接口仅对入方向的报文做控制
D.Portal协议是一种公有的标准认证协议,协议报文基于UDP
(D)
6、关于PortalFreerule的应用,以下说法错误的是:
A.Portalfreerule在设备全局模式下配置,可配置多条
B.Portal认证的过程要求Portal服务器与Portal设备间通讯正常,在特定组网环境下,必须配置freerule来允许Portal服务器与Portal设备的通讯
C.如果要支持在网页中输入域名也能重定向至Portal认证页面,则必须在Portal设备上配置一条Free规则,允许认证终端访问DNS服务器的地址
D.Portal认证的前提是认证终端必须和Portal服务器通讯正常。
而使能Portal之后,认证终端缺省情况下不能与Portal服务器通讯,必须要在Portal设备上配置freerule允许认证终端与Portal服务器通讯
(D)需确认
7、某用户关联的安全策略中配置了向设备下发的隔离ACL和安全ACL,该安全策略及其所引用的安全级别配置为:
防病毒软件检查采用隔离模式,其他所有检查项都采用提醒模式(VIP模式),并且未配置“不安全提示阈值”。
假设该用户的安全检查结果为防病毒软件检查不合格,而其他检查项都合格,则用户登陆过程中,关于基于设备的ACL下发过程,描述正确的是:
A.只下发隔离ACL,不下发安全ACL
B.先下发安全ACL,后下发隔离ACL
C.只下发安全ACL,不下发隔离ACL
D.先下发隔离ACL,后下发安全ACL
(A)
8、以下关于sFlow日志和NetStream日志的区别的描述错误的有
A、sFlow日志通常将功能内嵌在硬件芯片中,对设备影响小,而NetStream通常由设备软件实现,大流量时可能影响设备性能
B、目前H3C只有部分交换机支持sFlow技术,而NetStream技术则被广泛的应用于路由器设备或交换机中
C、sFlow日志是一种采样日志,而NetStream不支持采样
D、sFlow日志的报文格式相对固定,NetStreamV9格式灵活,易于扩展
(BC)
9、EAD安全接入四步曲分别是:
身份认证、安全检查、动态授权和实时监控。
其中实时监控功能确保了用户在线过程中仍然符合安全策略的要求。
假设某用户关联的安全策略中配置了禁止运行某非法软件,安全级别中可控软件组检查采用隔离模式,并且该用户上线时已经成功通过所有安全检查项。
关于实时监控功能以下说法错误的是:
A.实时监控功能缺省不启用,需要手工启用
B.当发现用户在线过程中运行了非法软件,则会实时地将用户隔离
C.如果用户在线,并且已经被隔离的情况下,这之后用户又关闭了非法软件修复了所有的安全隐患,则会被自动地实时解除隔离
D.实时监控功能依赖于EAD心跳报文,客户端通过EAD心跳将终端的安全状态实时地上报给服务器
(C)
10、桌面资产管理客户端重新获取桌面资产管理服务器的新策略的方式不包括下面哪种方式:
A.等待资产策略请求间隔时长
B.下线后立即重新上线
C.下线后等待资产管理客户端与服务器心跳超时后再上线
D.直接在认证终端的Windows任务管理器中杀掉DAMAgent进程
(B)
11、关于逃生工具,以下描述正确的是
A.逃生工具可以从H3C网站上下载
B.逃生工具支持802.1x认证方式和Portal认证方式
C.逃生工具仅检测用户名和密码,不做授权、绑定的判断,也不做安全检查
D.逃生工具仅支持在Windows操作系统下安装
(A)
12、在项目环境中,为了保护服务器一般需要对重要的业务服务器进行安全防护,通过关闭端口防止服务器受到恶意攻击。
iMC服务器在运行过程中,不需要开放的端口有
A需要使用网管功能的环境下,需要开放SNMP端口UDP161,162
B如果要使用ACLM管理设备的ACL,需要开放telnet端口TCP23或SSH端口TCP22
C在需要进行接入认证的情况下,还需要开放RADIUS端口UDP1812,1813
D如果有EAD认证需求,需要放开策略代理服务器监听端口TCP9019
(D)
13、下列关于iMC安装环境要求,说法正确的是
A只要LINUX内核版本一致,iMC可以在各种LINUX发行版本上安装,如LINUXRedhatEnterpriseLINUX,CENTOS,UBuntu等
B如果现场实在找不到符合要求的操作系统,也可以在Windows7或者XP上安装专业版iMC
C使用内嵌数据库时要注意,因为内嵌数据库的数据文件大小受到限制,可能会影响到服务器的性能
D浏览器要求使用IE或Firefox,但是对于其他一些IE内核的浏览器,如360,世界之窗,MyIE等,也完全可以正常访问iMC
(C)
14、关于防内网外联功能,以下描述错误的是:
A.防内网外联功能支持802.1x和Portal认证方式
B.防内网外联特性属于UAM功能,跟用户是否使用EAD安全策略无关
C.需在定制iNode客户端时选择“防内网外联”功能才能让iNode具备防内网外联特性
D.要限制用户必须使用防内网外联功能,则在配置“服务”时必须勾选“仅限iNode客户端”和“启用防内网外联”
(B)
15、在Portal认证中,服务器上需要分别配置接入设备和Portal设备IP地址。
在如下组网中,在BAS设备(H3CV5平台设备)上开启Portal认证,为了让图中所示客户端机器认证,Portal设备地址应该配置为
A端口所属的三层接口地址
B端口所属的三层接口地址
C端口所属的三层接口地址
D端口所属的三层接口地址
E端口所属的三层接口地址
(B)
16、认证时客户端提示“RejectedbyLocalServer”,可能原因为
A用户密码输入错误,可能是大小写开关被打开或者全角半角标点状态有问题
B交换机上未配置默认域,即domaindefaultenablexxx命令
C交换机上未配置认证模式为EAP,导致EAP消息被用户丢弃
D服务器接入设备地址配置错误,应该配置接入设备上离服务器最近的接口地址
(B)
17、H3CIMCUBA支持采集分析NAT日志,通过采集分析NAT日志,可以分析出来的内容包括()
A、目的端口号
B、协议号
C、NAT前IP地址
D、NAT后IP地址
E、目的IP地址
F、NAT前端口号
G、NAT后端口号
H、源端口号
ABCDEFG
18、以下对于可控软件组检查的描述错误的是:
A.可控软件组可以对软件安装、软件运行以及Windows服务运行进行监控
B.当可控软件组的策略是允许类型时,只要可控软件组中有一项检查通过则认为可控软件组检查通过
C.当可控软件组的策略是禁止类型时,只要可控软件组中有一项检查不通过则认为可控软件组检查不通过
D.当可控软件组的策略是允许类型时,可控软件组中的所有检查项必须都通过才认为可控软件组检查通过
(D)
19、以下哪项不是Windows双机热备环境中必须包含的组成
A.共享存储
B.域控制器
C.DHCP服务器
D.DNS服务器
(C)
20、关于实现802.1x方式的EAD,在H3C交换机上的配置(PAP/CHAP认证方式),以下说法错误的是:
A.认证方案中的服务类型必须配置为扩展
B.在不需要计费的环境中,建议将RADIUS计费结束和计费更新报文的重发次数改小
C.V5设备在认证域中必须分别配置认证、计费和授权三条命令引用之前已配置的认证方案
D.计费是可选的,可以只配置认证不配置计费
(D)
21、关于iMC平台版本的特性,以下说法正确的是:
A.只有标准版才支持Linux操作系统
B.标准版内嵌了免费的SQLServerExpress
C.专业版内嵌了免费的SQLServerExpress
D.iMC平台版本分为标准版、专业版和中小企业版三个版本
(BD)
22、以下关于iMC安装和部署的说法正确的是:
A.iMC中“安装”和“部署”是两个概念,“安装”只是将安装文件拷贝到一个指定的目录为后继的部署做准备,而“部署”会执行真正意义上的程序安装,并执行数据库创建等操作
B.iMC支持集中式部署和分布式部署。
如果采用分布式部署,则步骤是先将预计分布式部署的组件在从服务器上完成“安装”,然后在从服务器上完成“部署”
C.分布式安装的环境下,主服务器和从服务器上都需要安装数据库
D.必须部署IMC平台之后,才可以部署其他业务组件,
(ACD)
23、与V5版本的设备配合,在服务器上配置Portal认证时,需要指定两个地址,一个是RADIUS接入设备的地址,另一个是Portal设备的地址。
对于这两个地址,以下说法正确的是:
A.服务器上的Portal设备的地址必须配置为设备上离服务器最近的地址
B.在接入设备上没有指定发送RADIUS的源地址的情况下,服务器上的RADIUS接入设备的地址必须配置为设备上离服务器最近的地址
C.服务器上的Portal设备的地址必须配置为设备上使能Portal认证的接口地址
D.在接入设备上没有指定发送RADIUS的源地址的情况下,服务器上的RADIUS接入设备的地址必须配置为设备上使能Portal认证的接口地址
(BC)
24、iNode客户端管理中心可以定制客户端安装文件中包含哪些功能以及指定一些缺省参数,以下哪些功能必须通过iNode客户端管理中心定制时勾选才能够使用:
A.基于客户端的ACL下发
B.Portal可溶解客户端
C.防内网外联
D.密码卸载
(ACD)
25、关于UAM/EAD组件的安装,以下说法正确的是:
A.UAM组件的安装包中包含了Portal的安装文件
B.EAD组件的安装包中包含了DAM(桌面资产管理)的安装文件
C.策略服务器模块包含在EAD组件安装包中,只有安装了EAD组件才能使用策略服务器
D.在接入用户数量大的情况下,一般推荐将UAM/EAD的后台程序分布式部署
(ABD)
26、关于802.1x认证,以下说法错误的是:
A.认证终端必须能够与AAA服务器正常通讯才能身份认证成功
B.H3C交换机缺省是基于端口的认证
C.启用802.1x认证的接入设备与iMC服务器之间交互的是EAP报文
D.H3C交换机支持pap/chap/eap三种802.1x认证方式
(ABC)
27、安全检查是客户端直接与服务器通讯完成的,一个完整的安全检查流程包含了四个交互报文。
关于安全检查,以下说法正确的是:
A.安全检查由客户端主动发起,目的端口为UDP9019
B.安全检查由服务器主动发起,目的端口为UDP9029
C.如果在配置台上将策略服务器禁用,则客户端不会发起安全检查请求7
D.如果认证的账号不使用安全策略(即只身份认证),则客户端不会发起安全检查请求
(AC)
28、EAD处理流程中,关于向设备下发的ACL,以下说法正确的是:
A.隔离ACL通过私有RADIUS报文下发,安全ACL通过标准RADIUS报文下发
B.隔离ACL通过标准RADIUS报文下发,安全ACL通过私有RADIUS报文下发
C.隔离ACL和安全ACL都通过私有RADIUS报文下发
D.当安全级别中配置了“不安全提示阈值”后,则服务器会先下发安全ACL
(BD)
29、目前EAD安全检查所支持的安全检查项包括有:
A.终端安全软件检查
B.操作系统补丁检查
C.可控软件组检查
D.客户端流量检查
E.操作系统弱密码检查
F.注册表检查
(ABCDEF)
30、EAD解决方案与第三方设备配合时,无法通过向设备下发ACL来创建隔离区和安全区。
为了使得不安全的终端可以在一定的限制条件下访问网络资源用于主机的修复,从技术上可以考虑使用以下哪些方式来实现:
A.使用基于客户端的ACL下发
B.使用VLAN下发
C.使用GuestVLAN
D.使用下线模式加“不安全提示阈值”的方式
(ACD)
31、以下关于DBMAN双机备份的描述正确的是:
A.DBMAN定期将iMC主机的数据库备份通过ftpput的方式上传到iMC备机
B.备用服务器会通过心跳机制检测主服务器是否故障并在主服务器故障时主动接管认证业务
C.dbman进程会在安装iMC PLAT时自动安装部署
D.需要在主备服务器上完成DBMAN双机备份的配置
(ACD)
32、桌面资产管理中的软件分发功能支持哪些方式的分发:
A.FTP
B.HTTP
C.TFTP
D.共享目录
(ABD)
33、关于基于客户端的ACL下发,以下描述正确的是:
A.如果要使用客户端ACL功能,则终端必须安装iNodePC客户端。
iNodeDC与网页认证无法与EAD服务器配置实现客户端ACL功能
B.如果使用管理中心定制客户端时选择了客户端ACL功能,而服务器上没有配置基于客户端的ACL下发,则客户端会被强制下线
C.如果使用管理中心定制客户端时没有选择客户端ACL功能,而服务器上配置了基于客户端的ACL下发,则客户端会被强制下线
D.客户端的ACL功能可以用于802.1x、Portal、L2tp三种EAD场景
(AC)
34、关于混合组网特性的描述,以下正确的有:
A.使用混合组网特性维持在线用户列表和传统的使用RADIUS计费报文维持在线用户列表的机制相比,混合组网特性维持在线用户列表更加可靠,所以应该优选使用混合组网特性
B.启用混合组网特性后,UAM后台将不再根据RADIUS计费报文来创建和删除在线用户列表,而是改用安全认证/心跳/下线报文来维持在线用户列表
C.该特性基于设备实现,同一台设备上接入的所有用户要么都启用混合组网特性,要么都不启用
D.混合组网特性仅限802.1x认证方式
(BCD)
35、关于三种服务器容灾方案的对比,说法正确的是:
A.逃生工具、DBMAN双机备份和双机热备都能够保证故障时在线用户不掉线
B.DBMAN备份和双机热备相比,能够提供独立的两套认证系统,可以解决服务器侧所有的软硬件故障
C.windows双机热备组网中需要包含共享存储设备和AD/DNS服务器
D.双机热备支持Portal认证方式
(BCD)
36、下列关于LDAP认证的说法中,正确的是
A、LDAP认证时交换机不能配置为CHAP认证模式
B、只需安装iMC平台就可以进行LDAP认证
C、IMC与AD服务器进行LDAP认证时,认证用户的账号密码信息都保存在AD服务器上
D、只有802.1X认证时才能进行LDAP认证,Portal认证只能使用本地用户密码
(AC)
37、将一台H3C交换机添加到iMC以后,在设备详细信息发现如下情况,以下说法正确的是
A.可能设备上未配置SNMP协议参数,或者iMC上的SNMP参数与设备不一致
B.可能是设备到网管之间的SNMP端口被防火墙或者ACL屏蔽
C.可能设备型号iMC不支持
D.可能是设备上未添加telnet访问权限
(AB)
38、Portal认证体系可以分为四个组成部分,分别是
A、认证客户端
B、认证服务器
C、策略服务器
D、Portal服务器
E、认证设备
(ABDE)
39、进行802.1X认证时,客户端认证失败,提示RADIUSServernoresponse,可能原因
A.设备到服务器之间路由不通
B.iMC服务器UDP1812端口被其他程序占用
C.设备RADIUS共享密钥配置错误
D.服务器接入设备地址与设备nas-ip配置不一致
(ABCD)
40、进行EAD认证时,客户端提示“安全认证失败,当前连接即将被强行中断,请与管理员联系”。
下列对此问题进行的原因分析中,正确的是
A.接入设备上没有配置RADIUS计费命令
B.身份认证没有通过,可能是用户名密码错误或者服务后缀错误
C.此次认证的身份认证过程正常,在发起安全检查的时候发生错误
D.此用户的安全检查不合格,需要检查服务器上安全日志中用户的安全检查结果
(AC)
41、Portal协议交互在_____之间
A.Portal 客户端
B.Portal设备
C.Portal服务器
D.AAA服务器
(BC)
42、下面关于RADIUS协议默认的认证及计费所使用端口的描述中,正确的是
A.认证使用UDP1812
B.认证使用UDP1813
C.计费使用UDP1812
D.计费使用UDP1813
(AD)
43、iMC作为一个软件系统,实际安装及部署时一般建议打上最新的补丁。
比如在部署一个EAD服务器时,有如下iMC版本及补丁:
iMCPLAT5.0(E0101)
iMCPLAT5.0(E0101P01)
iMCUAM5.0(E0101)
iMCUAM5.0SP1(E0101P03)
iMCEAD5.0(E0101)
iMCEAD5.0SP1(E0101P03)
则下面关于在工程中安装部署iMC及补丁的描述中,正确的是
A.iMC的平台及各组件的补丁必须在平台及各组件的基础版本上安装,补丁不能在没有基础补丁的情况下直接安装。
例如如果之前没有安装部署PLAT5.0(E0101)版本而直接安装PLAT5.0(E0101P01)补丁会安装失败。
B.关于补丁的安装顺序:
先安装部署平台及补丁,再安装及部署各组件的版本及补丁。
各组件之间版本及补丁一般没有安装顺序要求,比如在本例中安装部署了PLAT及补丁、UAM及EAD组件后,先打UAM5.0SP1(E0101P03)还是先打EAD5.0SP1(E0101P03)都可以。
C.iMC各组件的补丁在安装部署时往往要求iMC平台先打上某个补丁,关于这部分内容在各iMC组件补丁的版本说明书中有详细说明。
D.iMC的补丁版本可以从《服务支持》软件下载中下载
( ACD )
45、下面关于防内网外联特性的描述中,正确的是
A.防内网外联不是iNode管理中心默认的定制项,在iNode管理中心定制客户端时需要勾选“防内网外联”,这样定制出来的iNode客户端才有防内网外联功能
B.防内网外联功能必须和EAD一起使用
C.如果在iNode管理中心定制防内网外联功能时默认过滤动作是丢弃,则终端用户安装了带有防内网外联的iNode客户端后默认所有网卡的IP报文均被阻断。
D.在EAD安全策略中可以进一步配置防内网外联的离线ACL与在线非认证网卡ACL,进一步细化iNode客户端防内网外联特性的控制范围。
(AD?
)
46、下面关于终端用户Portal认证通过后的心跳机制描述中,正确的是
A终端用户认证通过后,按Portal服务器的配置主动发送心跳报文给Portal Server服务器
B终端用户认证通过后定期发送心跳报文给Portal设备。
C如果终端异常下线,比如PC掉线、直接关闭认证网页、iNode客户端异常退出等情况,此时PortalServer无法收到终端用户的下线请求报文,待Portal心跳超时后Portal Server主动向Portal设备发起下线请求。
D如果终端异常下线,比如PC掉线、直接关闭认证网页、iNode客户端异常退出等情况,此时PortalServer无法收到终端用户的下线请求报文,待Portal心跳超时后Portal Server主动向3A服务器发起下线请求。
( AC )
47、下面关于受控端口是802.1x协议的核心概念,下面关于802.1x受控端口的描述中,正确的是:
A.对于Authenticator(认证设备)来讲,其端口分为受控端口(ControlledPort)和非受控端口(UncontrolledPort)二类。
B.非受控端口始终处于双向连通状态,不必经过任何授权就可以访问或传递网络资源和服务。
受控端口则必须经过授权才能访问或传递网络资源和服务
C.对于一个全局启用了802.1x的华三设备而言,默认所有的端口都是受控端口
D.端口初始状态一般为非授权(unauthorized),在该状态下,除802.1X报文及广播报文外不允许任何输入、输出通讯。
当客户通过认证,则端口状态切换到授权状态(authorized),允许客户端通过
升级会员 