Part1 数通模块(10题)：

1、如图所示，某园区部署了IPv6进行业务测试，该网络中有4台路由器，运行OSPFv3实现网络的互联互通，以下关于该OSPFv3网络产生的LSA的描述，错误的是哪一项?(单选题)

A.R1的LSDB中将存在3条Router LSA，分别为R1、R2、R3所产生

B.R1会收到R2产生的2个Link-LSA，分别描述R2所连接的两个链路信息

C.R2作为ABR会产生Inter-Area-Prefix LSA描述Area 1的IPv6地址前缀，并通告给R1和R3

D.如果R4设备上引入直连路由，R2将产生Inter-Area-Router LSA描述去往R4的路由信息，并通告给R1和R3

正确答案：B

2、在MPLS VPN的Hub&Spoke场景，下列哪种组网方案是错误的?(单选题)

A.Hub-CE与Hub-PE使用EBGP，Spoke-PE与Spoke-CE使用EBGP

B.Hub-CE与Hub-PE使用EBGP,Spoke-PE与Spoke-CE使用ISIS

C.Hub-CE与Hub-PE使用ISIS,Spoke-PE与Spoke-CE使用ISIS

D.Hub-CE与Hub-PE使用ISIS,Spoke-PE与Spoke-CE使用EBGP

正确答案：D

3、某企业将业务划分为EF、AF4、BE这三类。EF的拥塞管理策略为PQ，AF4和BE的拥塞管理策略为WFQ，AF4:BE的权重比=3:1。企业出口带宽是200M，在某瞬间EF流量=40M、AF4流量=200M、BE流量=200M，那么三类业务经过拥塞管理策略后的流量分别为多少?(单选题)

A.EF=OM、AF4=15OM、BE=5OM

B.EF=40M、AF4=120M、BE=40M

C.EF=40M、AF4=20OM、BE=20OM

D.EF=40M、AF4=16OM、BE=OM

正确答案：B

4、在SR MPLS网络中，不同设备上手工配置的Prefix SID可能会发生标签冲突。标签冲突分为前缀冲突和SID冲突，前缀冲突是指相同的前缀关联了两个不同的SID，SID冲突是指相同的SID关联到不同的前缀。假如设备同时收到如下四条路由，则按照冲突处理原则，该设备最终将优选哪些路由?(单选题)

①2.2.2.2/32 3

②1.1.1.1/32 1

③3.3.3.3/32 1

④1.1.1.1/32 2

A.①③

B.①②

C.①④

D.①③④

正确答案：B

5、请根据表中给出的信息判断，以下描述正确的是哪一项?(单选题)

A.AR4未配置设备等级

B.该ISIS路由域中只有1个伪节点

C.该ISIS路由域至少包含4台设备

D.AR4的NET地址可能为49.0001.0000.0000.0004.00

正确答案：D

6、如图所示, R1与R3、R1与R2建立EBGP邻居，三台路由器属于不同的AS。

R3设备上存在路由10.1.3.0/26、10.1.3.112/28、10.1.13.152/30、10.1.3.241/32，R3通过BGP将这些路由传递给了R1，R1又传递给了R2。在R1、R2的IP路由表中，可看到这4条路由。现在R1新增配置如下:

那么此时，R2学习到的路由包含以下哪些项？(多选题)

A.10.1.3.0/26

B.10.1.3.112/28

C.10.1.13.152/30

D.10.1.3.241/32

正确答案：AB

7、如图，某企业两站点之间采用MPLS VPN跨域OptionC方式一实现通信，即ASBR将去往其它AS中的PE路由通过BGP发送给本地PE设备，那么在此架构中，ASBR运行的BGP协议，不包含下列哪些功能?(多选题)

A.向本AS的PE&RR，通告对端AS的VPN路由

B.向本AS的PE&RR，通告对端AS的PE&RR Loopback0路由，并分发标签

C.向对端ASBR，通告本AS的VPN路由

D.向对端ASBR，通告本AS的PE&RR Loopback0路由，并分发标签

正确答案：AC

8、如图所示，四台路由器使用OSPF实现互通，R1、R2、R3与R4建立IBGP对等体关系，且R1、R2、R3为R4的客户端。R4的直连网段192.168.4.0/24通告进BGP协议，则关于R1访问192.168.4.0/24的流量走向，以下描述正确的是哪些项?(多选题)

A.优选的路径是R1-R3-R4

B.R3断电后，将会出现短暂丢包；R3重新上电后，也会出现短暂丢包

C.优选路径是R1-R2-R4

D.若R3配置了stub router on-startup，那么R3断电过程中，会丢包；重新上电过程中，不丢包

正确答案：ABD

9、如图所示的网络中需要部署用户准入认证，以下关于认证方式的描述正确的包括哪些项?(多选题)

A.802.1x认证，适用于对安全要求较高的办公用户认证场景，图中①处适合使用802.1x认证

B.MAC优先的Portal认证，是用户Portal认证成功后，在一定时间内断开网络重新连接，能够直接通过MAC认证接入，图中③处适合使用Portal认证

C.Portal认证需要在办公电脑上安装客户端认证软件

D.MAC认证，适用于IP电话、打印机等哑终端接入的场景，图中②处适合使用MAC认证

正确答案：ABD

10、现网中使用静态部署SRv6的方式会对网络运维带来较大挑战，通过iMaster NCE-IP部署则能较好规避相关问题。通过iMaster NCE-IP部署L3VPN over SRv6 Policy时，在NCE与路由器之间所必须部署的相关协议包括哪些项?(多选题)

A.BGP Link-State-family unicast，即BGP-LS

B.BGP IPv6-family SR-Policy，即BGP SRv6 Policy

C.HTTP

D.NETCONF

正确答案：ABD

Part2 安全模块(7题)：

1、某数据中心网络为全L3组网，Server Leaf为VM1的网关，VM1属于VRF1，当VM1访问Internet时，流量需要流经防火墙。为了控制流量，在防火墙上部署两个vSYS(VRF1与Internet)，vSYS VRF1保障VRF1内业务的安全，vSYS Internet保证访问Internet时的安全，基于此场景，请问VM1访问Internet的流量需要依次经过哪些物理/逻辑设备(不考虑VXLAN场景)?(单选题)

①Server Leaf

②Service Leaf

③Border Leaf

④Spine

⑤vSys VRF1

⑥vSys Internet

A.①④⑤⑥②④③

B.①④⑤⑥②③

C.①④②⑤⑥②④③

D.①②⑤⑥②④③

正确答案：C

2、某企业安全管理员为了提高防火墙可靠性，基于VRRP协议，部署了主备式的双机热备业务，同时为了让内网业务能够访问外网也部署了NAPT服务，但是在实际使用过程中发现内网用户上网流量不稳定，请问下列哪项是产生此现象可能的原因?(单选题)

A.两台防火墙配置了相同的NAPT地址池

B.两台防火墙与Internet互联的接口IP配置的不一致

C.两台防火墙的NAPT地址池都会响应ARP请求

D.基于VRRP的主备方式双机热备不支持NAPT功能

正确答案：C

3、防火墙除了安全功能外也能提供流量调优的功能，比如在数据中心中可以通过防火墙缓解单台WEB服务器负担过重的问题，请问通过以下哪些功能可以在不影响性能的前提下，缓解单台WEB服务器负载过重的问题?(多选题)

A.通过防火墙QoS功能降低访问单台WEB服务器的业务流量

B.通过服务器集群+防火墙服务器负载均衡功能

C.通过SSL卸载功能

D.通过NAT Server功能

正确答案：BC

4、园区接入层是极易受到攻击的区域，即使使用接入认证也无法保证接入设备的安全性，比如通过仿冒DHCP服务器就可以达到获取同子网内不同主机流量的目的。为了防止这种问题，可以部署DHCP Snooping功能。DHCP Snooping功能在接入交换机上部署后能产生一张DHCP绑定表，该绑定表除了被用在DHCP安全场景之外，还能用在别的场景下，请问DHCP绑定表能在以下哪些场景或技术中被使用?(多选题)

A.DHCP Relay场景

B.端口安全技术

C.动态ARP检查（DAI)

D.IP源防攻击（IPSG)

正确答案：CD

5、防火墙部署双机热备后，可以保证单个防火墙失效后依然能够保证网络安全，某企业部署了主备模式的双机热备，并且双机热备正常运行，但是在运行一段时间后，网管人员发现主备设备的会话表不一致，请问造成这种现象可能的原因有哪些?(多选题)

A.双机热备未开启镜像模式

B.会话表同步不是实时的

C.部分会话是到主设备自身的会话

D.TCP会话未收到TCP ACK回复

正确答案：BCD

6、某企业为了控制有线接入用户，在有线网络中部署了Portal认证，并设置每个用户名只能同时使用一台设备上网，经过一段时间，网管发现某员工通过私接路由器的方式突破了每用户名允许一台设备上网的限制，请问该网管可以通过以下哪些方式阻止该行为?(多选题)

A.网关上部署DHCP Relay功能

B.接入交换机部署端口安全

C.接入交换机上部署DAI功能

D.在Radius服务器上绑定用户名与真实设备MAC

正确答案：D

7、黑客入侵到客户内网后，由于不清楚网络结构，第一步做的通常是通过扫描网络内的IP地址和服务端口来搜索攻击或扩散的目标，再利用系统、软件漏洞或暴力破解等手段来攻击目标主机。网络诱捕技术可以感知网络中的扫描行为，将可疑流量诱骗至诱捕器进行深度互动检测，从而保护现有业务网络。请问关于网络诱捕的描述，下列说法正确的包括哪些项?(多选题)

A.华为网络诱捕方案主要由诱捕探针、诱捕器（蜜罐)、分析器Hisec Insight、控制器构成

B.诱捕探针对不在线IP地址和未开放端口的扫描进行响应，诱骗黑客访问诱捕器

C.诱捕器记录黑客的攻击行为，向Hisec Insight上报日志

D.蜜罐可以模拟正常的网络服务，因此黑客无法察觉访问的是否是一个蜜罐

正确答案：ABC

Part3 WLAN模块(3题)：

1、某企业在云端部署了华为Portal服务器，使用华为的Portal 2.0协议进行Portal认证。该企业分支内的WLAN网络(网络架构见拓扑）通过Internet与Portal服务器通信进行Portal认证（Router上部署SNAT使得内网主机能与Portal互联)。当无线用户关联信号后，发现Portal认证界面能够显示，但是认证无法成功。已知Portal服务器运行正常且用户名密码正确，请问下列哪一项是造成该问题的可能原因?(单选题)

A.AC作为DHCP服务器没有分配业务IP给STA

B.用户数据转发方式采用隧道转发，导致Portal服务器无法直接与STA交互报文

C.路由器没有部署NAT Server，导致Portal的认证流量无法发给AC

D.路由器没有部署NAT Server，导致Portal的认证流量无法发给STA

正确答案：C

2、WLAN网络中存在较多用户时，如高密场景，随着上线用户数目的增多，用户间对资源的抢占激烈，导致每个用户的上网质量变差。为了保证在线用户的上网体验，可以部署用户连接准入控制CAC (Call Admission Control)功能,以下关于CAC功能的描述，正确的包括哪些项?(多选题)

A.当多数用户使用的业务类型相同，业务流量平均时，推荐使用基于用户数的CAC

B.用户CAC功能可以基于用户数和终端信噪比来实现，且两种实现方式在AC上可同时配置

C.基于用户数的CAC方式下，当接入数量已达到用户接入门限值，但未达到漫游用户门限值时，漫游用户同样无法接入

D.用户CAC功能主要是由AP通过统计射频的在线终端数或终端信噪比，设置门限值来控制用户的接入

正确答案：ABD

3、无线空口是个比较复杂的环境，WLAN空口的性能与许多因素相关:如非WiFi设备干扰、WLAN设备间同频及邻频干扰等，这些干扰都会使WLAN系统性能降低。请问以下哪些技术能帮助缓解由WLAN设备间同频干扰引起的问题?(多选题)

A.用户CAC

B.频谱分析

C.CCA

D.BSS Coloring

正确答案：CD