2026年交换机安全设置面试要点

2026年交换机安全设置面试要点一、单选题（每题2分，共20题）1.在交换机端口安全配置中，以下哪项措施可以有效防止MAC地址泛洪攻击？A.启用动态ARP检测（DARPD）B.配置端口安全最大MAC地址数C.启用端口镜像（PortMirroring）D.限制端口速率2.交换机中，哪种VLAN划分方式最适合隔离广播域？A.基于端口的VLANB.基于协议的VLANC.基于IP子网的VLAND.基于MAC地址的VLAN3.在配置交换机访问控制列表（ACL）时，以下哪条语句表示允许源IP地址为192.168.1.1的流量通过？A.access-list100permitipanyanyB.access-list100permitip192.168.1.1anyC.access-list100denyipanyanyD.access-list100permitany192.168.1.14.交换机中，哪种认证方式最适用于无线网络？A.802.1XB.密码认证C.RADIUSD.TACACS+5.在配置交换机端口安全时，如果端口被配置为“sticky”，则以下哪项描述是正确的？A.只允许预设的MAC地址通过B.允许动态学习MAC地址，但不会删除C.禁用端口安全功能D.端口自动切换到受限制模式6.交换机中，哪种协议用于动态VLAN分配？A.GVRPB.DTPC.LLDPD.LACP7.在配置交换机端口安全时，如果端口被配置为“secure”，则以下哪项描述是正确的？A.允许动态学习MAC地址，但会删除过期的MAC地址B.只允许预设的MAC地址通过C.端口自动切换到受限制模式D.禁用端口安全功能8.交换机中，哪种技术可以防止未授权的设备接入网络？A.端口安全B.VLANC.ACLD.QoS9.在配置交换机端口安全时，如果端口被配置为“restricted”，则以下哪项描述是正确的？A.允许动态学习MAC地址，但会删除过期的MAC地址B.只允许预设的MAC地址通过C.端口自动切换到受限制模式D.禁用端口安全功能10.交换机中，哪种协议用于设备发现？A.GVRPB.DTPC.LLDPD.LACP二、多选题（每题3分，共10题）1.以下哪些措施可以有效防止交换机中继攻击？A.配置静态VLANB.禁用DTPC.启用PortFastD.配置BPDUGuard2.以下哪些VLAN划分方式可以减少广播域？A.基于端口的VLANB.基于协议的VLANC.基于IP子网的VLAND.基于MAC地址的VLAN3.在配置交换机ACL时，以下哪些语句是正确的？A.access-list100permitipanyanyB.access-list100permitip192.168.1.1anyC.access-list100denyipanyanyD.access-list100permitany192.168.1.14.以下哪些认证方式适用于交换机端口安全？A.802.1XB.密码认证C.RADIUSD.TACACS+5.在配置交换机端口安全时，以下哪些选项是正确的？A.stickyB.secureC.restrictedD.disable6.以下哪些技术可以用于交换机安全配置？A.VLANB.ACLC.PortSecurityD.QoS7.在配置交换机端口安全时，以下哪些情况会导致端口进入受限制模式？A.超过最大MAC地址数B.MAC地址冲突C.接收到非法帧D.端口被禁用8.以下哪些协议可以用于交换机设备发现？A.GVRPB.DTPC.LLDPD.LACP9.在配置交换机端口安全时，以下哪些选项是正确的？A.stickyB.secureC.restrictedD.disable10.以下哪些措施可以有效防止交换机中继攻击？A.配置静态VLANB.禁用DTPC.启用PortFastD.配置BPDUGuard三、判断题（每题1分，共20题）1.交换机中，VLAN可以隔离广播域。（正确）2.交换机中，基于端口的VLAN划分方式最适合隔离广播域。（正确）3.交换机中，ACL可以用于控制端口安全。（错误）4.交换机中，802.1X认证方式适用于有线网络。（正确）5.交换机中，端口安全可以防止MAC地址泛洪攻击。（正确）6.交换机中，动态VLAN分配通常使用GVRP协议。（错误）7.交换机中，静态VLAN可以减少广播域。（正确）8.交换机中，ACL可以用于控制VLAN划分。（错误）9.交换机中，端口安全可以防止未授权的设备接入网络。（正确）10.交换机中，LLDP协议可以用于设备发现。（正确）11.交换机中，DTP协议可以用于动态VLAN分配。（错误）12.交换机中，PortFast功能可以防止交换机中继攻击。（正确）13.交换机中，BPDUGuard功能可以防止交换机中继攻击。（正确）14.交换机中，VLAN可以用于隔离广播域。（正确）15.交换机中，ACL可以用于控制端口安全。（错误）16.交换机中，802.1X认证方式适用于无线网络。（错误）17.交换机中，端口安全可以防止MAC地址冲突。（错误）18.交换机中，静态VLAN可以减少广播域。（正确）19.交换机中，ACL可以用于控制VLAN划分。（错误）20.交换机中，LLDP协议可以用于设备发现。（正确）四、简答题（每题5分，共5题）1.简述交换机端口安全的配置步骤。2.简述交换机VLAN的配置步骤。3.简述交换机ACL的配置步骤。4.简述交换机802.1X认证的配置步骤。5.简述交换机中继攻击的防范措施。五、综合题（每题10分，共5题）1.某企业网络中有100个交换机端口，需要配置端口安全，要求每个端口最多允许5个MAC地址通过，如果超过5个MAC地址，则端口进入受限制模式。请给出配置步骤。2.某企业网络中有200个交换机端口，需要配置VLAN，要求将192.168.1.0/24网段划分到VLAN10，将192.168.2.0/24网段划分到VLAN20。请给出配置步骤。3.某企业网络中有100个交换机端口，需要配置ACL，要求允许192.168.1.0/24网段的流量通过，拒绝其他所有流量。请给出配置步骤。4.某企业网络中有100个交换机端口，需要配置802.1X认证，要求所有端口都启用802.1X认证，并使用RADIUS服务器进行认证。请给出配置步骤。5.某企业网络中有100个交换机端口，需要防范交换机中继攻击，请给出配置步骤。答案与解析一、单选题答案与解析1.B解析：端口安全配置中，限制端口最大MAC地址数可以有效防止MAC地址泛洪攻击。2.A解析：基于端口的VLAN划分方式最适合隔离广播域，因为每个端口属于一个特定的VLAN，从而减少了广播域的规模。3.B解析：access-list100permitip192.168.1.1any表示允许源IP地址为192.168.1.1的流量通过。4.A解析：802.1X认证方式最适用于无线网络，因为它可以提供双向认证，确保只有授权用户才能接入网络。5.B解析：在配置交换机端口安全时，如果端口被配置为“sticky”，则允许动态学习MAC地址，但不会删除。6.A解析：GVRP协议用于动态VLAN分配，可以在交换机之间动态协商VLAN信息。7.A解析：在配置交换机端口安全时，如果端口被配置为“secure”，则允许动态学习MAC地址，但会删除过期的MAC地址。8.A解析：端口安全可以防止未授权的设备接入网络，通过限制端口的MAC地址数量，可以防止未授权设备接入。9.C解析：在配置交换机端口安全时，如果端口被配置为“restricted”，则端口自动切换到受限制模式。10.C解析：LLDP协议用于设备发现，可以在交换机之间发现彼此的设备信息。二、多选题答案与解析1.A,B,C,D解析：配置静态VLAN、禁用DTP、启用PortFast、配置BPDUGuard都可以有效防止交换机中继攻击。2.A,B,C,D解析：基于端口的VLAN、基于协议的VLAN、基于IP子网的VLAN、基于MAC地址的VLAN都可以减少广播域。3.A,B,C,D解析：以上语句都是正确的ACL配置语句。4.A,C,D解析：802.1X、RADIUS、TACACS+都适用于交换机端口安全认证。5.A,B,C解析：sticky、secure、restricted都是交换机端口安全的配置选项。6.A,B,C,D解析：VLAN、ACL、PortSecurity、QoS都可以用于交换机安全配置。7.A,B,C解析：超过最大MAC地址数、MAC地址冲突、接收到非法帧都会导致端口进入受限制模式。8.B,C,D解析：DTP、LLDP、LACP都可以用于交换机设备发现。9.A,B,C解析：sticky、secure、restricted都是交换机端口安全的配置选项。10.A,B,C,D解析：配置静态VLAN、禁用DTP、启用PortFast、配置BPDUGuard都可以有效防止交换机中继攻击。三、判断题答案与解析1.正确解析：VLAN可以隔离广播域，从而提高网络安全性。2.正确解析：基于端口的VLAN划分方式最适合隔离广播域，因为每个端口属于一个特定的VLAN，从而减少了广播域的规模。3.错误解析：ACL用于控制流量，而不是端口安全。4.正确解析：802.1X认证方式适用于有线网络，可以提供双向认证，确保只有授权用户才能接入网络。5.正确解析：端口安全可以防止MAC地址泛洪攻击，通过限制端口的MAC地址数量，可以防止未授权设备接入。6.错误解析：动态VLAN分配通常使用802.1Q协议，而不是GVRP。7.正确解析：静态VLAN可以减少广播域，因为每个端口属于一个特定的VLAN，从而减少了广播域的规模。8.错误解析：ACL用于控制流量，而不是VLAN划分。9.正确解析：端口安全可以防止未授权的设备接入网络，通过限制端口的MAC地址数量，可以防止未授权设备接入。10.正确解析：LLDP协议可以用于设备发现，可以在交换机之间发现彼此的设备信息。11.错误解析：DTP协议用于动态VLAN分配，而不是PortFast。12.正确解析：PortFast功能可以防止交换机中继攻击，因为它可以禁用端口之间的动态VLAN协商。13.正确解析：BPDUGuard功能可以防止交换机中继攻击，因为它可以禁用端口发送或接收BPDU。14.正确解析：VLAN可以隔离广播域，从而提高网络安全性。15.错误解析：ACL用于控制流量，而不是端口安全。16.错误解析：802.1X认证方式适用于有线网络，而不是无线网络。17.错误解析：端口安全可以防止未授权的设备接入，但不能防止MAC地址冲突。18.正确解析：静态VLAN可以减少广播域，因为每个端口属于一个特定的VLAN，从而减少了广播域的规模。19.错误解析：ACL用于控制流量，而不是VLAN划分。20.正确解析：LLDP协议可以用于设备发现，可以在交换机之间发现彼此的设备信息。四、简答题答案与解析1.交换机端口安全的配置步骤：-进入全局配置模式。-进入需要配置的交换机端口。-配置端口安全模式（secure、sticky或restricted）。-配置最大MAC地址数。-配置违规行为（protect、restrict或shutdown）。-保存配置。2.交换机VLAN的配置步骤：-进入全局配置模式。-创建VLAN。-将端口划分到VLAN。-配置VLAN名称。-保存配置。3.交换机ACL的配置步骤：-进入全局配置模式。-创建ACL。-配置ACL语句。-应用ACL到接口。-保存配置。4.交换机802.1X认证的配置步骤：-进入全局配置模式。-配置AAA服务器。-配置802.1X认证。-配置端口认证模式。-保存配置。5.交换机中继攻击的防范措施：-配置静态VLAN。-禁用DTP。-启用PortFast。-配置BPDUGuard。-使用链路聚合技术。五、综合题答案与解析1.交换机端口安全的配置步骤：-进入全局配置模式。-进入需要配置的交换机端口。-配置端口安全模式为secure。-配置最大MAC地址数为5。-配置违规行为为restrict。-保存配置。2.交换机VLAN的配置步骤：-进入全局配置模式。-创建VLAN10。-创建VLAN20。-将端口划分到VLAN10。-将端口划分到VLAN20。-配置VLAN10名称为“Sales”。-配置VLAN20名称为“Engineering”。-保存配置。3.交换机ACL的配置步骤：-进入全局配置模式