IMC试题及答案1.docx

1、IMC试题及答案1IMC解决方案渠道培训试题姓名：_ 公司： _班号/日期：_一、单项选择题：共20题，每题1分1. 下列关于iMC平台组件工作原理的说明中，不正确的是（ D ）A. 平台主要通过SNMP协议报文与设备交互，读取网络设备上的状态信息B. ACLM组件通过命令行获取设备状态信息，智能配置管理组件在某些情况下也需要命令行读取数据C. 平台的报表组件是一个很特殊的组件，不需要与网络设备进行交互，而只需要读取数据库的数据D. iMC平台采用B/S架构，通过浏览器访问管理界面，默认端口是TCP 802. 若要实现802.1x EAD，关于接入交换机上的认证模式（RADIUS的封装模式），

2、以下说法错误的是：（ ）A. H3C交换机在CHAP认证模式下，使用标准RADIUS属性（EAP-Message）下发策略代理服务器的IP和端口，从而使得客户端主动与安全策略服务器之间建立通讯B. 第三方设备必须使用EAP中继的封装模式才能实现EADC. H3C交换机的缺省认证模式为CHAP，通过命令行修改为EAP模式也能实现EADD. 如果iMC服务器从微软域控制器上同步帐号信息，实现基于域统一认证方式的EAD，则此时H3C交换机不能够使用CHAP认证模式封装RADIUS报文3. 关于802.1x EAD在服务器上的基本配置顺序，可以按照以下顺序配置：（ ）A. 接入设备服务具体的安全检查项

3、安全策略安全级别账户 B. 接入设备服务账户具体的安全检查项安全级别安全策略 C. 接入设备具体的安全检查项安全级别安全策略服务账户D. 接入设备安全级别安全策略服务具体的安全检查项账户4. 在H3C交换机上关于认证域的应用，以下说法错误的是：（ B ）A. 如果客户端不带域名认证，则交换机将为该帐号应用缺省的认证域B. 在CHAP/PAP认证方式下，如果客户端不带域名认证，交换机上的用户名格式配置为with-domain，则服务器上该帐号一定要关联一个服务后缀为空的服务C. 在CHAP/PAP认证方式下，如果客户端带域名认证，交换机上的用户名格式配置为with-domain，则服务器上该帐号

4、一定要关联一个服务后缀与交换机上的domain名称一致的服务D. radius scheme（认证方案）的名称只在交换机上具有本地意义，与服务器上的配置无关5. 关于Portal认证，以下说法中错误的是：（ D ） cA. Portal认证方式没有802.1x认证方式控制严格，但Portal认证支持免客户端安装（网页认证），并且实施简单，适合用于旧网改造B. 二层Portal模式下，Portal设备以认证终端的IP和MAC地址来唯一标识一个在线用户，而三层Portal模式下，Portal设备以认证终端的IP地址唯一标识一个在线用户 C. 使能Portal的物理接口或VLAN虚接口仅对入方向的报

5、文做控制D. Portal协议是一种公有的标准认证协议，协议报文基于UDP6. 关于Portal Free rule的应用，以下说法错误的是：（ ）A. Portal free rule在设备全局模式下配置，可配置多条B. Portal认证的过程要求Portal服务器与Portal设备间通讯正常，在特定组网环境下，必须配置free rule来允许Portal服务器与Portal设备的通讯C. 如果要支持在网页中输入域名也能重定向至Portal认证页面，则必须在Portal设备上配置一条Free规则，允许认证终端访问DNS服务器的地址D. Portal认证的前提是认证终端必须和Portal服务器

6、通讯正常。而使能Portal之后，认证终端缺省情况下不能与Portal服务器通讯，必须要在Portal设备上配置free rule允许认证终端与Portal服务器通讯7. 某用户关联的安全策略中配置了向设备下发的隔离ACL和安全ACL，该安全策略及其所引用的安全级别配置为：防病毒软件检查采用隔离模式，其他所有检查项都采用提醒模式（VIP模式），并且未配置“不安全提示阈值”。假设该用户的安全检查结果为防病毒软件检查不合格，而其他检查项都合格，则用户登陆过程中，关于基于设备的ACL下发过程，描述正确的是：（ ）A. 只下发隔离ACL，不下发安全ACLB. 先下发安全ACL，后下发隔离ACLC. 只

7、下发安全ACL，不下发隔离ACLD. 先下发隔离ACL，后下发安全ACL8. 桌面资产管理中，关于资产注册，以下说法不正确的是：（ ）A. 资产编号可以通过自动生成，也可以手工添加B. 资产注册后，资产的软硬件信息都将可以在服务器上进行统一管理C. 资产注册与安全检查相关，只有成功触发安全检查，才能实现资产注册D. 只要客户端和服务器之间网络是通的即可实现资产注册9. EAD安全接入四步曲分别是：身份认证、安全检查、动态授权和实时监控。其中实时监控功能确保了用户在线过程中仍然符合安全策略的要求。假设某用户关联的安全策略中配置了禁止运行某非法软件，安全级别中可控软件组检查采用隔离模式，并且该用户

8、上线时已经成功通过所有安全检查项。关于实时监控功能以下说法错误的是：（ ）A. 实时监控功能缺省不启用，需要手工启用B. 当发现用户在线过程中运行了非法软件，则会实时地将用户隔离C. 如果用户在线，并且已经被隔离的情况下，这之后用户又关闭了非法软件修复了所有的安全隐患，则会被自动地实时解除隔离D. 实时监控功能依赖于EAD心跳报文，客户端通过EAD心跳将终端的安全状态实时地上报给服务器 10. 桌面资产管理客户端重新获取桌面资产管理服务器的新策略的方式不包括下面哪种方式：（ ）A. 等待资产策略请求间隔时长B. 下线后立即重新上线C. 下线后等待资产管理客户端与服务器心跳超时后再上线D. 直接

9、在认证终端的Windows任务管理器中杀掉DAMAgent进程11. 关于逃生工具，以下描述正确的是( )A.逃生工具可以从H3C网站上下载B.逃生工具支持802.1x认证方式和Portal认证方式C.逃生工具仅检测用户名和密码，不做授权、绑定的判断，也不做安全检查D.逃生工具仅支持在Windows操作系统下安装12. 在项目环境中，为了保护服务器一般需要对重要的业务服务器进行安全防护，通过关闭端口防止服务器受到恶意攻击。iMC服务器在运行过程中，不需要开放的端口有（ ）A. 需要使用网管功能的环境下，需要开放SNMP端口UDP 161,162B. 如果要使用ACLM管理设备的ACL，需要开放

10、telnet端口TCP 23或SSH端口TCP 22C. 在需要进行接入认证的情况下，还需要开放RADIUS端口UDP 1812,1813D. 如果有EAD认证需求，需要放开策略代理服务器监听端口TCP 901913. 下列关于iMC安装环境要求，说法正确的是（ ）A. 只要LINUX内核版本一致，iMC可以在各种LINUX发行版本上安装，如LINUX Redhat Enterprise LINUX，CENTOS，UBuntu等B. 如果现场实在找不到符合要求的操作系统，也可以在Windows 7或者XP上安装专业版iMC C. 使用内嵌数据库时要注意，因为内嵌数据库的数据文件大小受到限制，可

11、能会影响到服务器的性能D. 浏览器要求使用IE或Firefox，但是对于其他一些IE内核的浏览器，如360，世界之窗，MyIE等，也完全可以正常访问iMC14. 关于防内网外联功能，以下描述错误的是：（ ）A. 防内网外联功能支持802.1x和Portal认证方式B. 防内网外联特性属于UAM功能，跟用户是否使用EAD安全策略无关C.需在定制iNode客户端时选择“防内网外联”功能才能让iNode具备防内网外联特性D. 要限制用户必须使用防内网外联功能，则在配置“服务”时必须勾选“仅限iNode客户端”和“启用防内网外联”15. 在Portal认证中，服务器上需要分别配置接入设备和Portal

12、设备IP地址。在如下组网中，在BAS设备（H3C V5平台设备）上开启Portal认证，为了让图中所示客户端机器认证，Portal设备地址应该配置为（）A. A端口所属的三层接口地址B. B端口所属的三层接口地址C. C端口所属的三层接口地址D. D端口所属的三层接口地址E. E端口所属的三层接口地址16. 认证时客户端提示“Rejected by Local Server”，可能原因为（ B ）A. 用户密码输入错误，可能是大小写开关被打开或者全角半角标点状态有问题B. 交换机上未配置默认域，即domain default enable xxx命令C. 交换机上未配置认证模式为EAP，导致E

13、AP消息被用户丢弃D. 服务器接入设备地址配置错误，应该配置接入设备上离服务器最近的接口地址17. 下列关于iMC license机制的说明中错误的是（A ）A. iMC安装好后，可以试用45天，45天内功能和节点数不受限制B. 申请正式license通过H3C官方网站可以申请，申请时需提供iMC服务器的主机信息（hostid）C. 如果发生服务器硬件变更，需要通过H3C办事处提交license变更申请，重新申请新的licenseD. 由于iMC license机制发生改变，从V3升级到V5时iMC必须重新申请。18. 以下对于可控软件组检查的描述错误的是：（ ）A. 可控软件组可以对软件安装

14、、软件运行以及Windows服务运行进行监控B. 当可控软件组的策略是允许类型时，只要可控软件组中有一项检查通过则认为可控软件组检查通过C. 当可控软件组的策略是禁止类型时，只要可控软件组中有一项检查不通过则认为可控软件组检查不通过D. 当可控软件组的策略是允许类型时，可控软件组中的所有检查项必须都通过才认为可控软件组检查通过19. 以下哪项不是Windows双机热备环境中必须包含的组成( )A.共享存储B.域控制器C.DHCP服务器D.DNS服务器20. 关于实现802.1x方式的 EAD，在H3C交换机上的配置（PAP/CHAP认证方式），以下说法错误的是：( D )A. 认证方案中的服务

15、类型必须配置为扩展B. 在不需要计费的环境中，建议将RADIUS计费结束和计费更新报文的重发次数改小C. V5设备在认证域中必须分别配置认证、计费和授权三条命令引用之前已配置的认证方案D. 计费是可选的，可以只配置认证不配置计费二、多项选择题：共40题，每题2分21. 关于iMC平台版本的特性，以下说法正确的是：（ B ）A. 只有标准版才支持Linux操作系统B. 标准版内嵌了免费的SQL Server Express C. 专业版内嵌了免费的SQL Server ExpressD. iMC平台版本分为标准版、专业版和中小企业版三个版本22. 以下关于iMC安装和部署的说法正确的是：（ AD

16、 ）A . iMC中“安装”和“部署”是两个概念，“安装”只是将安装文件拷贝到一个指定的目录为后继的部署做准备，而“部署”会执行真正意义上的程序安装，并执行数据库创建等操作B. iMC支持集中式部署和分布式部署。如果采用分布式部署，则步骤是先将预计分布式部署的组件在从服务器上完成“安装”，然后在从服务器上完成“部署”C. 分布式安装的环境下，主服务器和从服务器上都需要安装数据库D. 必须部署iMC平台之后，才可以部署其他业务组件，此外某些业务组件之间还存在依赖关系，需要按照一定顺序部署23. 与V5版本的设备配合，在服务器上配置Portal认证时，需要指定两个地址，一个是RADIUS接入设备的

17、地址，另一个是Portal设备的地址。对于这两个地址，以下说法正确的是：（ ）A. 服务器上的Portal设备的地址必须配置为设备上离服务器最近的地址B. 在接入设备上没有指定发送RADIUS的源地址的情况下，服务器上的RADIUS接入设备的地址必须配置为设备上离服务器最近的地址C. 服务器上的Portal设备的地址必须配置为设备上使能Portal认证的接口地址D. 在接入设备上没有指定发送RADIUS的源地址的情况下，服务器上的RADIUS接入设备的地址必须配置为设备上使能Portal认证的接口地址24. iNode客户端管理中心可以定制客户端安装文件中包含哪些功能以及指定一些缺省参数，以下

18、哪些功能必须通过iNode客户端管理中心定制时勾选才能够使用：（ ）A. 基于客户端的ACL下发B. Portal可溶解客户端C. 防内网外联D. 密码卸载25. 关于UAM/EAD组件的安装，以下说法正确的是：（ ）A. UAM组件的安装包中包含了Portal的安装文件B. EAD组件的安装包中包含了DAM（桌面资产管理）的安装文件C. 策略服务器模块包含在EAD组件安装包中，只有安装了EAD组件才能使用策略服务器D. 在接入用户数量大的情况下，一般推荐将UAM/EAD的后台程序分布式部署26. 关于802.1x认证，以下说法错误的是：（ AC ）A. 认证终端必须能够与AAA服务器正常通讯

19、才能身份认证成功B. H3C交换机缺省是基于端口的认证 C. 启用802.1x认证的接入设备与iMC服务器之间交互的是EAP报文D. H3C交换机支持pap/chap/eap三种802.1x认证方式27. 安全检查是客户端直接与服务器通讯完成的，一个完整的安全检查流程包含了四个交互报文。关于安全检查，以下说法正确的是：（ ）A. 安全检查由客户端主动发起，目的端口为UDP 9019B. 安全检查由服务器主动发起，目的端口为UDP 9029C. 如果在配置台上将策略服务器禁用，则客户端不会发起安全检查请求D. 如果认证的账号不使用安全策略（即只身份认证），则客户端不会发起安全检查请求28. EA

20、D处理流程中，关于向设备下发的ACL，以下说法正确的是：（ ）A. 隔离ACL通过私有RADIUS报文下发，安全ACL通过标准RADIUS报文下发B. 隔离ACL通过标准RADIUS报文下发，安全ACL通过私有RADIUS报文下发C. 隔离ACL和安全ACL都通过私有RADIUS报文下发D. 当安全级别中配置了“不安全提示阈值”后，则服务器会先下发安全ACL29. 目前EAD安全检查所支持的安全检查项包括有：（ ）A. 终端安全软件检查B. 操作系统补丁检查C. 可控软件组检查D. 客户端流量检查E. 操作系统弱密码检查F. 注册表检查30. EAD解决方案与第三方设备配合时，无法通过向设备下

21、发ACL来创建隔离区和安全区。为了使得不安全的终端可以在一定的限制条件下访问网络资源用于主机的修复，从技术上可以考虑使用以下哪些方式来实现：（ ）A. 使用基于客户端的ACL下发B. 使用VLAN下发C. 使用Guest VLAND. 使用下线模式加“不安全提示阈值”的方式31. 以下关于DBMAN双机备份的描述正确的是：( )A. DBMAN定期将iMC主机的数据库备份通过ftp put的方式上传到iMC备机B. 备用服务器会通过心跳机制检测主服务器是否故障并在主服务器故障时主动接管认证业务C. dbman进程会在安装iMCPLAT时自动安装部署D. 需要在主备服务器上完成DBMAN双机备份

22、的配置32. 桌面资产管理中的软件分发功能支持哪些方式的分发：（ ）A. FTPB. HTTPC. TFTP D. 共享目录33. 关于基于客户端的ACL下发，以下描述正确的是：（ ）A. 如果要使用客户端ACL功能，则终端必须安装iNode PC客户端。iNode DC与网页认证无法与EAD服务器配置实现客户端ACL功能B. 如果使用管理中心定制客户端时选择了客户端ACL功能，而服务器上没有配置基于客户端的ACL下发，则客户端会被强制下线C. 如果使用管理中心定制客户端时没有选择客户端ACL功能，而服务器上配置了基于客户端的ACL下发，则客户端会被强制下线D. 客户端的ACL功能可以用于80

23、2.1x、Portal、L2tp三种EAD场景34. 关于混合组网特性的描述，以下正确的有：（ ）A. 使用混合组网特性维持在线用户列表和传统的使用RADIUS计费报文维持在线用户列表的机制相比，混合组网特性维持在线用户列表更加可靠，所以应该优选使用混合组网特性B. 启用混合组网特性后，UAM后台将不再根据RADIUS计费报文来创建和删除在线用户列表，而是改用安全认证/心跳/下线报文来维持在线用户列表C. 该特性基于设备实现，同一台设备上接入的所有用户要么都启用混合组网特性，要么都不启用D. 混合组网特性仅限802.1x认证方式35. 关于三种服务器容灾方案的对比，说法正确的是：（ ）A. 逃

24、生工具、DBMAN双机备份和双机热备都能够保证故障时在线用户不掉线B. DBMAN备份和双机热备相比，能够提供独立的两套认证系统，可以解决服务器侧所有的软硬件故障C. windows双机热备组网中需要包含共享存储设备和AD/DNS服务器D. 双机热备支持Portal认证方式36. 下列关于LDAP认证的说法中，正确的是（ ）A. LDAP认证时交换机不能配置为CHAP认证模式B. 只需安装iMC平台就可以进行LDAP认证C. 与AD服务器进行LDAP认证时，认证用户的账号密码信息都保存在AD服务器上D. 只有802.1X认证时才能进行LDAP认证，Portal认证只能使用本地用户密码37. 将

25、一台H3C交换机添加到iMC以后，在设备详细信息发现如下情况，以下说法正确的是（ ）A. 可能设备上未配置SNMP协议参数，或者iMC上的SNMP参数与设备不一致B. 可能是设备到网管之间的SNMP端口被防火墙或者ACL屏蔽C. 可能设备型号iMC不支持D. 可能是设备上未添加telnet访问权限38. Portal认证体系可以分为四个组成部分，分别是（ ）A. 认证客户端B. 认证服务器C. 策略服务器D. Portal服务器E. 认证设备39. 进行802.1X认证时，客户端认证失败，提示RADIUS Server no response，可能原因（ ）A. 设备到服务器之间路由不通B.

26、iMC服务器UDP 1812端口被其他程序占用C. 设备RADIUS共享密钥配置错误D. 服务器接入设备地址与设备nas-ip配置不一致40. 进行EAD认证时，客户端提示“安全认证失败，当前连接即将被强行中断，请与管理员联系”。下列对此问题进行的原因分析中，正确的是（ ）A接入设备上没有配置RADIUS计费命令B. 身份认证没有通过，可能是用户名密码错误或者服务后缀错误C. 此次认证的身份认证过程正常，在发起安全检查的时候发生错误D. 此用户的安全检查不合格，需要检查服务器上安全日志中用户的安全检查结果41. Portal协议交互在（C）之间A Portal客户端B. Portal设备C.

27、Portal服务器D. AAA服务器42. 下面关于RADIUS协议默认的认证及计费所使用端口的描述中，正确的是（ D ）A. 认证使用UDP 1812B. 认证使用UDP 1813C. 计费使用UDP 1812D. 计费使用UDP 181343. iMC作为一个软件系统，实际安装及部署时一般建议打上最新的补丁。比如在部署一个EAD服务器时，有如下iMC版本及补丁：（）iMC PLAT 5.0 (E0101)iMC PLAT 5.0 (E0101P01)iMC UAM 5.0 (E0101)iMC UAM 5.0 SP1 (E0101P03)iMC EAD 5.0 (E0101)iMC EAD

28、 5.0 SP1(E0101P03)则下面关于在工程中安装部署iMC及补丁的描述中，正确的是（ ）A. iMC的平台及各组件的补丁必须在平台及各组件的基础版本上安装，补丁不能在没有基础补丁的情况下直接安装。例如如果之前没有安装部署PLAT 5.0 (E0101)版本而直接安装PLAT 5.0 (E0101P01)补丁会安装失败。B. 关于补丁的安装顺序：先安装部署平台及补丁，再安装及部署各组件的版本及补丁。各组件之间版本及补丁一般没有安装顺序要求，比如在本例中安装部署了PLAT及补丁、UAM及EAD组件后，先打UAM 5.0 SP1 (E0101P03)还是先打EAD 5.0 SP1(E010

29、1P03)都可以。C. iMC各组件的补丁在安装部署时往往要求iMC平台先打上某个补丁，关于这部分内容在各iMC组件补丁的版本说明书中有详细说明。D. iMC的补丁版本可以从服务支持软件下载中下载44. 下面关于防内网外联特性的描述中，正确的是（）A. 防内网外联不是iNode管理中心默认的定制项，在iNode管理中心定制客户端时需要勾选“防内网外联”，这样定制出来的iNode客户端才有防内网外联功能B. 防内网外联功能必须和EAD一起使用C. 如果在iNode管理中心定制防内网外联功能时默认过滤动作是丢弃，则终端用户安装了带有防内网外联的iNode客户端后默认所有网卡的IP报文均被阻断。D.

30、 在EAD安全策略中可以进一步配置防内网外联的离线ACL与在线非认证网卡ACL，进一步细化iNode客户端防内网外联特性的控制范围。45. 下面关于Portal逃生方案的描述中，正确的是（BCD）A. Portal 设备定期向Portal Server发送Portal逃生心跳。B. Portal逃生特性需要在Portal设备及Portal Server上同时配置启用才能正常工作。C. Portal设备连续一定次数未收到Portal Server的逃生心跳后自动切换为逃生状态，此时无论终端用户是否通过Portal认证其报文均会被Portal设备正常转发。D. 如果处于逃生状态的Portal设备又

31、收到了Portal Server的逃生心跳，则设备会自动切换为认证状态，终端用户需要通过Portal认证其报文才能正常被Portal设备转发。46. 下面关于终端用户Portal认证通过后的心跳机制描述中，正确的是（A C）A 终端用户认证通过后，按Portal服务器的配置主动发送心跳报文给PortalServer服务器B 终端用户认证通过后定期发送心跳报文给Portal设备。C 如果终端异常下线，比如PC掉线、直接关闭认证网页、iNode客户端异常退出等情况，此时Portal Server无法收到终端用户的下线请求报文，待Portal心跳超时后PortalServer主动向Portal设备发起下线请求。D 如果终端异常下线，比如PC掉线、直接关闭认证网页、iNode客户