配置安全的分支网络习题

中小型网络构建(6)

配置安全的分支网络习题

1
【单选题】在配置完NAPT 后,发现有些内网地址始终可以ping 通外网,有些则始终不能,可能的原因有______。
A、ACL 设置不正确
B、NAT 的地址池只有一个地址
C、NAT 设备性能不足
D、NAT 配置没有生效
我的答案:A

2
【单选题】下面关于Easy IP 的说法中,错误的是______。
A、Easy IP 是NAPT 的一种特例
B、配置Easy IP 时不需要配置ACL 来匹配需要被NAT 转换的报文
C、配置Easy IP 时不需要配置NAT 地址池
D、Easy IP 适合用于NAT 设备拨号或动态获得公网IP 地址的场合
我的答案:B

3
【单选题】若NAT 设备的公网地址是通过ADSL 由运营商动态分配的,在这种情况下,可以使用______。
A、静态NAT
B、使用地址池的NAPT
C、Basic NAT
D、Easy IP
我的答案:D

5
【单选题】客户的一台MSR 路由通过广域网接口S1/0 连接Internet,通过局域网接口GE0/0 连接办公网络,目前办公网络用户可以正常访问Internet。在路由器上增加如下的ACL 配置:
firewall enable
firewall default deny

acl number 3003
rule 0 deny icmp
rule 5 permit tcp destination-port eq 20

interface GigabitEthernet0/0
firewall packet-filter 3000 inbound
firewall packet-filter 3000 outbound
那么______。
A、办公网用户发起的到Internet 的ICMP 报文被该路由器禁止通过
B、办公网用户发起的到达该路由器的FTP 流量可以正常通过
C、办公网用户发起的到达该路由器GE0/0 的Telnet 报文可以正常通过
D、办公网用户发起的到Internet 的FTP 流量被允许通过该路由器,其他所有报文都被禁止通过该路由器
我的答案:A

6
【单选题】客户路由器MSR-1 的以太网口Ethernet1/0 配置如下:
interface Ethernet0/0 ip address 192.168.0.1 255.255.255.0
该接口连接了一台三层交换机,而此三层交换机为客户办公网络的网段192.168.7.0/24~192.168.83.0/24 的默认网关所在。现在客户要求在MSR-1 上配置ACL 来禁止办公网络所有用户向MSR-1 的地址192.168.0.1发 起Telnet,那么下面哪项配置是正确的?
A、acl number 3000
rule 0 deny 0.0.0.0 255.255.255.255 destination 192.168.0.1 0 destination-port eq telnet
interface Ethernet0/0
ip address 192.168.0.1 255.255.255.0
firewall packet-filter 3000 inbound
B、acl number 3000
rule 0 deny 0.0.0.0 255.255.255.255 destination 192.168.0.1 0 destination-port eq telnet
interface Ethernet0/0
ip address 192.168.0.1 255.255.255.0
firewall packet-filter 3000 outbound
C、acl number 3000
rule 0 deny 255.255.255.255 0 destination 192.168.0.1 0 destination-port eq telnet
interface Ethernet0/0
ip address 192.168.0.1 255.255.255.0
firewall packet-filter 3000 inbound
D、acl number 3000
rule 0 deny 255.255.255.255 0 destination 192.168.0.1 0 destination-port eq telnet
interface Ethernet0/0
ip address 192.168.0.1 255.255.255.0
firewall packet-filter 3000 outbound
我的答案:A

7
【单选题】客户的网络如下所示:
HostA----GE0/0–MSR-1–S1/0---------S1/0–MSR-2–GE0/0----HostB
在两台路由器上的广域网接口分别作了如下配置:
MSR-1:
firewall enable
acl number 3000
rule 0 deny ip source 192.168.0.0 0.0.0.255
rule 5 permit ip
interface Serial1/0
link-protocol ppp
firewall packet-filter 3000 outbound
ip address 6.6.6.2 255.255.255.0
MSR-2:
interface Serial1/0
link-protocol ppp
ip address 6.6.6.1 255.255.255.0
假设HostA 的IP 地址为192.168.0.2/24,路由以及其他相关接口配置都正确,那么_______。
A、HostA 可以ping 通6.6.6.2,但是不能ping 通6.6.6.1
B、HostA 不能ping 通6.6.6.2,同时也不能ping 通6.6.6.1
C、HostA 能ping 通6.6.6.2,同时也能ping 通6.6.6.1
D、在MSR-2 上能ping 通HostA
我的答案:A

8
【单选题】在MSR 路由器上,可以使用______命令清除NAT 会话表项。
A、clear nat
B、clear nat session
C、reset nat session
D、reset nat table
我的答案:C

9
【单选题】网络环境如图所示。在路由器RTA 上做如下NAT 配置:
[RTA]acl number 2000
[RTA-acl-basic-2000]rule 0 permit source 100.0.0.0 0.0.0.255
[RTA]nat address-group 1 200.76.28.11 200.76.28.20
[RTA]interface Ethernet0/1
[RTA-Ethernet0/1]nat outbound 2000 address-group 1 no-pat
配置后,Client_A 和Client_B 同时访问Server,则此时RTA 的NAT 表内容可能为______。
A、Protocol GlobalAddr Port InsideAddr Port DestAddr Port

  • 200.76.28.11 — 100.0.0.2 — --- –
    VPN: 0, status: NOPAT, TTL: 00:04:00, Left: 00:04:00
  • 200.76.28.12 — 100.0.0.1 — --- –
    VPN: 0, status: NOPAT, TTL: 00:04:00, Left: 00:03:59
    1 200.76.28.12 1024 100.0.0.1 1024 200.76.29.4 1024
    VPN: 0, status: NOPAT, TTL: 00:01:00, Left: 00:00:59
    1 200.76.28.11 512 100.0.0.2 512 200.76.29.4 512
    VPN: 0, status:NOPAT, TTL: 00:01:00, Left: 00:01:00
    B、Protocol GlobalAddr Port InsideAddr Port DestAddr Port
  • 200.76.28.11 — 100.0.0.2 — --- –
    VPN: 0, status: NOPAT, TTL: 00:04:00, Left: 00:04:00
  • 200.76.28.12 — 100.0.0.1 — --- –
    VPN: 0, status: NOPAT, TTL: 00:04:00, Left: 00:03:59
    1 200.76.28.12 1024 100.0.0.1 1024 200.76.29.4 1024
    VPN: 0, status: NOPAT, TTL: 00:01:00, Left: 00:00:59
    1 200.76.28.11 511 100.0.0.2 512 200.76.29.4 512
    VPN: 0, status: NOPAT, TTL: 00:01:00, Left: 00:01:00
    C、Protocol GlobalAddr Port InsideAddr Port DestAddr Port
  • 200.76.28.11 — 100.0.0.2 — --- –
    VPN: 0, status: NOPAT, TTL: 00:04:00, Left: 00:04:00
  • 200.76.28.12 — 100.0.0.1 — --- –
    VPN: 0, status: NOPAT, TTL: 00:04:00, Left: 00:03:59
    1 200.76.28.21 1024 100.0.0.1 1024 200.76.29.4 1024
    VPN: 0, status: NOPAT, TTL: 00:01:00, Left: 00:00:59
    1 200.76.28.11 512 100.0.0.2 512 200.76.29.4 512
    VPN: 0, status: NOPAT, TTL: 00:01:00, Left: 00:01:00
    D、Protocol GlobalAddr Port InsideAddr Port DestAddr Port
  • 200.76.28.11 — 100.0.0.2 — --- –
    VPN: 0, status: NOPAT, TTL: 00:04:00, Left: 00:04:00
  • 200.76.28.12 — 100.0.0.1 — --- –
    VPN: 0, status: NOPAT, TTL: 00:04:00, Left: 00:03:59
    1 200.76.28.12 1023 100.0.0.1 1024 200.76.29.4 1024
    VPN: 0, status: NOPAT, TTL: 00:01:00, Left: 00:00:59
    1 200.76.28.11 511 100.0.0.2 511 200.76.29.4 512
    VPN: 0, status: NOPAT, TTL: 00:01:00, Left: 00:01:00
    我的答案:A

10
【单选题】在MSR 路由器上,使用______命令查看路由器的NAT 老化时间。
A、display nat time
B、display nat expire
C、display nat aging-time
D、display nat time-out
我的答案:C

11
【单选题】在MSR 路由器上,如果想查看NAT 转换的报文数量,应该使用______命令。
A、display nat counter
B、display nat
C、display acl
D、display nat session
我的答案:C

12
【多选题】两台路由器MSR-1、MSR-2 通过GigabitEthernet0/0 互连,同时两台路由器之间运行了RIPv2,现在在其中 一台路由器MSR-1 的GigabitEthernet0/0 接口想要只发送RIP 报文而不接受RIP 协议报文,那么如下哪些实 现方式是可行的?
A、在MSR-2 的GigabitEthernet0/0 接口配置silent-interface GigabitEthernet 0/0
B、在MSR-1 的GigabitEthernet0/0 接口配置silent-interface GigabitEthernet 0/0
C、在MSR-2 上配置ACL 并应用在其GigabitEthernet0/0 接口inbound 方向
D、在MSR-1 上配置ACL 并应用在其GigabitEthernet0/0 接口inbound 方向
我的答案:AD

13
【多选题】下面关于Easy IP 的说法中,正确的是______。
A、Easy IP 是NAPT 的一种特例
B、配置Easy IP 时不需要配置ACL 来匹配需要被NAT 转换的报文
C、配置Easy IP 时不需要配置NAT 地址池
D、Easy IP 适合用于NAT 设备拨号或动态获得公网IP 地址的场合
我的答案:ACD

14
【多选题】在路由器MSR-1 上看到如下信息:
[MSR-1]display acl 3000
Advanced ACL 3000, named -none-, 2 rules,
ACL’s step is 5
rule 0 permit ip source 192.168.1.0 0.0.0.255
rule 10 deny ip (19 times matched)
该ACL 3000 已被应用在正确的接口以及方向上。据此可知_______。
A、这是一个基本ACL
B、有数据包流匹配了规则rule 10
C、至查看该信息时,还没有来自192.168.1.0/24 网段的数据包匹配该ACL
D、匹配规则rule 10 的数据包可能是去往目的网段192.168.1.0/24 的
我的答案:BCD

15
【多选题】某网络连接形如:
HostA----GE0/0–MSR-1–S1/0---------S1/0–MSR-2–GE0/0----HostB
两台MSR 路由器MSR1、MSR2 通过各自的S1/0 接口背靠背互连,各自的GigabitEthernet0/0 接口分别连接 客户端主机HostA 和HostB。通过配置IP 地址和路由目前网络中HostA 可以和HostB 实现互通。如今在 MSR-2 上增加了如下配置:
firewall enable
acl number 3000
rule 0 deny tcp destination-port eq telnet
interface Serial1/0
link-protocol ppp
ip address 1.1.1.2 255.255.255.252
firewall packet-filter 3000 inbound
firewall packet-filter 3000 outbound
interface GigabitEthernet0/0
ip address 10.1.1.1 255.255.255.0
那么如下哪些说法是正确的?
A、后配置的firewall packet-filter 3000 outbound 会取代firewall packet-filter 3000 inbound 命令
B、在HostB 上无法成功Telnet 到MSR-1 上
C、在HostB 上可以成功Telnet 到MSR-1 上
D、最后配置的firewall packet-filter 3000 outbound 不会取代firewall packet-filter 3000 inbound 命令
我的答案:BD

16
【多选题】某网络连接形如:
HostA----GE0/0–MSR-1–S1/0---------S1/0–MSR-2–GE0/0----HostB
其中两台MSR 路由器MSR-1、MSR-2 通过各自的S1/0 接口背靠背互连,各自的GE0/0 接口分别连接客户 端主机HostA 和HostB。通过配置IP 地址和路由,目前网络中HostA 可以和HostB 实现互通。HostA 的IP地 址为192.168.0.2/24,默认网关为192.168.0.1。MSR-1 的GE0/0 接口地址为192.168.0.1/24。在MSR-1上增 加了如下配置:
firewall enable
firewall default permit acl number 3003
rule 0 deny icmp source 192.168.0.2 0 icmp-type echo-reply
interface GigabitEthernet0/0
firewall packet-filter 3003 inbound
那么______。
A、在HostA 上无法ping 通MSR-1 的接口GE0/0 的IP 地址
B、在HostA 上可以ping 通MSR-1 的接口GE0/0 的IP 地址
C、在MSR-1 上无法ping 通HostA
D、在MSR-1 上可以ping 通HostA
我的答案:BC

17
【多选题】在一台路由器上配置了如下的ACL:
acl number 2000 match-order auto
rule 0 deny
rule 5 permit source 192.168.9.0 0.0.7.255
假设该ACL 应用在正确的接口以及正确的方向上,那么______。
A、源网段为192.168.15.0/24 发出的数据流被允许通过
B、源网段为192.168.9.0/21 发出的数据流被允许通过
C、源网段为192.168.9.0/21 发出的数据流被禁止通过
D、源网段为192.168.9.0/22 发出的数据流被禁止通过 E. 任何源网段发出的数据流都被禁止通过
我的答案:AB

19
【多选题】客户的网络结构如图所示。要实现如下需求: 在这里插入图片描述

  1. Host C 与Host B 互访
  2. Host B 和Host A 不能互访
  3. Host A 和Host C 不能互访 那么______。
    A、只在MSR-1 的接口GE0/0 上应用高级ACL 可以实现该需求
    B、只在MSR-1 的接口GE0/0 上应用ACL 无法实现该需求
    C、分别在两台路由器的接口GE0/0 上应用高级ACL 可以实现该需求
    D、分别在MSR-1 的接口S1/0、GE0/0 上应用高级ACL 可以实现该需求
    我的答案:ACD

20
【多选题】在路由器MSR-1 上看到如下提示信息:
[MSR-1]display firewall-statistics all
Firewall is enable, default filtering method is ‘permit’.
Interface: GigabitEthernet0/0
In-bound Policy: acl 3000
Fragments matched normally
From 2008-11-08 2:25:13 to 2008-11-08 2:25:46
0 packets, 0 bytes, 0% permitted,
4 packets, 240 bytes, 37% denied,
7 packets, 847 bytes, 63% permitted default,
0 packets, 0 bytes, 0% denied default,
Totally 7 packets, 847 bytes, 63% permitted,
Totally 4 packets, 240 bytes, 37% denied.
据此可以推测______。
A、由上述信息中的37% denied 可以看出已经有数据匹配ACL 3000 中的规则
B、有一部分数据包没有匹配ACL 3000 中的规则,而是匹配了默认的permit 规则
C、ACL 3000 被应用在GigabitEthernet0/0 的inbound 方向
D、上述信息中的0% denied default 意味着该ACL 的默认匹配规则是deny
我的答案:ABC

21
【多选题】路由器MSR-1 的以太网口Ethernet0/0 配置如下:
interface Ethernet0/0 ip address 192.168.0.1 255.255.255.0
在该接口下连接了一台三层交换机,而此三层交换机为客户办公网络的多个网段的默认网关所在,出于安全考虑,现在客户要求在MSR-1 的接口Ethernet0/0 上配置ACL(不限制应用的方向)来禁止办公网络所有用户ping 通192.168.0.1,可以用如下哪种配置?
A、acl number 3000
rule 0 deny icmp destination 192.168.0.1 0 icmp-type echo-reply
B、acl number 3000 rule 0 deny icmp destination 192.168.0.1 0 icmp-type echo
C、acl number 3000
rule 0 deny icmp destination 192.168.0.1 0
D、acl number 3000
rule 0 deny ip destination 192.168.0.1 0 eq icmp
我的答案:BC

22
【多选题】两台MSR 路由器MSR-1、MSR-2 通过各自的S1/0 接口背靠背互连,各自的GigabitEthernet0/0 接口分别连接客户端主机HostA 和HostB:
HostA----GE0/0–MSR-1–S1/0---------S1/0–MSR-2–GE0/0----HostB
通过配置IP 地址和路由目前网络中HostA 可以和HostB 实现互通,如今在路由器MSR-1 上增加如下ACL 配置:
acl number 3000
rule 0 deny icmp icmp-type echo
interface GigabitEthernet0/0
ip address 192.168.0.1 255.255.255.0
firewall packet-filter 3000 inbound
那么如下说法哪些是正确的?
A、在HostA 上将ping 不通自己的网关地址,即MSR-1 上的GE0/0 的接口地址
B、在HostA 上ping 不通HostB
C、在HostB 上能ping 通HostA
D、在MSR-1 上能ping 通HostB
我的答案:ABCD

23
【多选题】客户的网络连接形如:
HostA----GE0/0–MSR-1–S1/0---------S1/0–MSR-2–GE0/0----HostB
该网络已经正确配置了IP 地址和路由,目前网络中HostA 可以和HostB 实现互通。出于某种安全考虑,客户 要求HostB 不能ping 通HostA,但同时HostA 可以ping 通HostB,且HostA 与HostB 之间的其他报文传递不 受限制,那么如下哪些说法是正确的?
A、仅在MSR-1 上配置ACL 无法实现此需求
B、仅在MSR-2 上配置ACL 无法实现此需求
C、仅在MSR-1 上配置ACL 就可以实现此需求
D、仅在MSR-2 上配置ACL 就可以实现此需求
E、使用ping 命令时两主机之间的ICMP 报文是双向的,这个单项互通的需求无法实现
我的答案:CD

24
【多选题】在MSR 路由器上配置了如下ACL: acl number 3999 rule permit tcp source 10.10.10.1 255.255.255.255 destination 20.20.20.1 0.0.0.0 time-range lucky 那么对于该ACL 的理解正确的是_______。
A、该rule 只在lucky 时间段内生效
B、该rule 只匹配来源于10.10.10.1 的数据包
C、该rule 只匹配去往20.20.20.1 的数据包
D、该rule 可以匹配来自于任意源网段的TCP 数据包 E. 该rule 可以匹配去往任意目的网段的TCP 数据包
我的答案:ACD

25
【多选题】使用display nat session 命令查看NAT 信息,显示如下:
There are currently 4 NAT sessions
Protocol GlobalAddr Port InsideAddr Port DestAddr Port

  • 198.80.28.11 — 10.0.0.2 — --- –
    VPN: 0, status: NOPAT, TTL: 00:04:00, Left: 00:04:00
  • 198.80.28.12 — 10.0.0.1 — --- –
    VPN: 0, status: NOPAT, TTL: 00:04:00, Left: 00:03:59
    1 198.80.28.12 1024 10.0.0.1 1024 198.80.29.4 1024
    VPN: 0, status: NOPAT, TTL: 00:01:00, Left: 00:00:59
    1 198.80.28.11 512 10.0.0.2 512 198.80.29.4 512
    VPN: 0, status: NOPAT, TTL: 00:01:00, Left: 00:01:00
    由此信息可知私网地址是______。
    A、192.80.28.12
    B、10.0.0.1
    C、192.80.29.4
    D、10.0.0.2 E. 192.80.28.11
    我的答案:BD

你可能感兴趣的:(路由器,网络,交换机)