【华为认证-每日十题】HCNP-R&S-IENP(11-20)【答】
11 ASPF (Application Specific packet Filter)是一种基于应用层的包过滤,它会检查应用层协议信息并且监控链接的应用层协议状态,并通过server Map表实现了特殊的安全机制。那么关于ASPF和server map表的说法,错误的是:
A ASPF监视通信过程中的报文
B ASPF动态创建和删除过滤规则
C ASPF通过servermap表实现动态允许多通道协议数据通过
D五元组server-map表项实现了和会话表类似的功能
由于某些特殊应用会在通信过程中临时协商端口号等信息,所以需要设备通过检测
报文的应用层数据,自动获取相关信息并创建相应的会话表项,以保证这些应用的
正常通信。这个功能称为ASPF(Application Specific Packet Filter),所创建的
会话表项叫做Server-map表。
对于多通道协议,例如FTP, ASPF功能可以检查控制通道和数据通道的连接建
立过程,通过生成server-map表项,确保FTP协议能够穿越设备,同时不影
响设备的安全检查功能。
Server-map表相当于在防火墙上开通了“隐形通道”,使得像FTP这样的特
殊应用的报文可以正常转发。当然这个通道不是随意开的,是防火墙分析了
报文的应用层信息之后,提前预测到后面报文的行为方式,所以才打开了这
样的一个通道。
Server-map通常只是用检查首个报文,通道建立后的报文还是根据会话表来转
发。
Server-map表在防火墙转发中非常重要,不只是ASPF会生成, NAT Server
等特性也会生成Server-map表。
如图所示:
Server-map表中记录了FTP服务器向FTP客户端的2071端口号发起的数据连接
,服务器向客户端发起数据连接时将匹配这个Server-map表转发,而无需再配置反向安全策略。
数据连接的第一个报文匹配Server-map表转发后,防火墙将生成这条数据连
接的会话,该数据连接的后续报文匹配会话表转发,不再需要重新匹配
Server-map表项。
Server-map表项由于一直没有报文匹配,经过一定老化时间后就会被删除。这
种机制保证了Server-map表项这种较为宽松的通道能够及时被删除,保证了网
络的安全性。当后续发起新的数据连接时会重新触发建立Server-map表项。
12 流镜像分为本地流镜像和远程流镜两种方式。
A正确 B错误
13 下列哪个模块不属于NFV框架内的功能组件?
A VIM
B VNF
C VNFM
D OSS
NFVI:提供VNF的运行环境,包括所需的硬件及软件。硬件包括计算、网络、存储 资源;软件主要包括Hypervisor、网络控制器、存储管理器等工具,NFVI将物理资源 虚拟化为虚拟资源,供VNF使用。
VNF:包括VNF和EMS,VNF网络功能,EMS为单元管理系统,对VNF的功能进行配 置和管理。一般情况下,EMS和VNF是一一对应的。
VIM:NFVI管理模块,通常运行于对应的基础设施站点中,主要功能包括:资源的 发现、虚拟资源的管理分配、故障处理等,为VNF运行提供资源支持。
VNFM:VNF管理模块,主要对VNF的生命周期(实例化、配置、关闭等)进行控制, 一般情况下与VNF一一对应。
NFVO:NS生命周期的管理模块,同时负责协调NS、组成NS的VNFs以及承载各VNF 的虚拟资源的控制和管理。
OSS/BSS:服务提供商的管理功能,不属于NFV框架内的功能组件,但NFVO需要提 供对OSS/BSS的接口。
14 Agile controller服务器的角色不包括下列哪个选项?
A业务管理器
B业务控制器
c安全态势管理器
D业务检查器
15 MPLS,又称为多协议标签交换技术,可以说MPLS技术的核心是标签交换。
A正确 B错误
16 如图所示,在网络中配置了MPLS LSP,并在SWA和SWB之间实现本地LDP 会话,则以下说法正确的是:
 |
A 配置正确
B两台设备mplslsr-id不能配置成一样
c不需要全局使能MPLS
D不需要在端口上时能MP巧
LDP的基本配置如下:
执行命令mplslsr-idlsr-id,配置本节点的LSR ID;配置LSR ID用来在网络中唯一标识一个MPLS路由器。缺省没有配置LSR ID,必须 手工配置。为了提高网络的可靠性,推荐使用LSR某个Loopback接口的地址作为 LSR ID。
执行命令mpls,使能全局MPLS功能,并进入MPLS视图;
执行命令mplsldp,使能全局的LDP功能,并进入MPLS-LDP视图;
执行命令interface interface-type interface-number,进入需要建立LDP会话的接口 视图; 执行命令mpls,使能接口的MPLS能力;
执行命令mplsldp,使能接口的MPLS LDP能力。
17 USG系统防火墙的Servemap表的三要素,不包括:
A目的IP
B目的端口号
c协议号
D源IP
三元组包括:目的IP、目的端口号 、协议号
18 在域间包过滤中,以下属于outbound方向的是哪个选项?
A Trust->untrust
B Untrust->trust
C Untrust->dmz
D Trust->local
19 eSight网管支持的远程告警通知方式包括: (多选)
A邮件
B语音
c短信
D微信
通过当前告警的告警板监控告警:
告警级别用于标识一条告警的严重程度和重要性、紧迫性,eSight按严重程度 递减的顺序可以将告警分为以下四个级别:紧急告警、重要告警、次要告警 、提示告警。
通过当前告警的告警列表监控告警:
白色底板表示未清除的告警;绿色底板表示已清除的告警。如上图,“CPU利 用率超过上限”的告警底板为绿色,则表示该告警已被清除。
清除告警:对一些无法自动清除的告警或者确认已不存在的告警,在eSight上 可以手工清除。
确认告警:确认告警以标识某条告警已经被用户处理,可以不必过多关注。 如果要重新关注该告警,可以对该告警进行反确认操作并采取相应的处理措施。
远程通知规则:可设置告警源、告警级别或具体的告警事件以及通知的用户等信息 ,实现有选择性地进行告警通知。
告警远程通知:当符合条件的告警发生时, 可自动通过邮件或短消息通知给设定的 维护人员,以便维护人员及时了解告警信息并采取相应措施。
20 VXLAN支持哪几种常用的配置方式? (多选)
A通过虚拟化软件配置
B通过SDN控制器配置
c通过SNMP协议配置
D自动配置
