CCNA认证考试高真题翻译与分析 第10章的试题分析

分析：CCNA认证中关于网络安全概念的试题英文原题：Whataretwosecurityappliancesthatcanbeinstalledinanetwork?(Choosetwo.)A.ATMB.IDSC.IOSD.IOXE.IPSF.SDM翻译：哪两个安全设备可以被安装到网络中？（选择2项）A.ATMB.IDSC.IOSD.IOXE.IPSF.SDM答案：B、E。该题目考查部署在网络中的安全设备，根据提供的答案，入侵检测系统（IDS）和入侵防御系统（IPS）是可以被安装到网络中的安全设备，所以答案B、E正确；ATM是远程接入的一种方案，所以答案A错误；IOS是思科的操作系统，所以答案C错误；IOX与题目无关，所以答案D错误；SDM是配置安全的管理工具，所以答案F错误。分析：CCNA认证中关于ACL的试题英文原题1：Refertotheexhibit.WhatwillhappentoHTTPtrafficcomingfromtheInternetthatisdestinedfor0ifthetrafficisprocessedbythisACL?A.Trafficwillbedroppedperline30oftheACLB.Trafficwillbeacceptedperline40oftheACLC.Trafficwillbedropped,becauseoftheimplicitdenyallattheendoftheACLD.Trafficwillbeaccepted,becausethesourceaddressisnotcoveredbytheACL翻译：如图所示，来自Internet的HTTP流量目标地址是0，通过ACL处理这些流量，将发生什么？A.流量会被ACL序列号30这一行丢弃B.流量会被ACL序列号40这一行所允许C.流量会被ACL最后隐含的一条拒绝语句所丢弃D.因为源地址没被ACL列表所包括，所以流量会被允许答案：C。该题目主要考查ACL的过滤行为以及相关的特性，理解语法中的源地址与目标地址，从给出的显示中可以看出，ACL序列号30这一行是丢弃源地址是，目标是任意地址的HTTP流量，这个答案看上去是正确的，但是，请注意题目的前提是来自Internet的HTTP流量目标地址是0，它不满足源地址是的要求，所以答案A被排除；同理，答案B所提供的ACL序列号40这一行是允许源地址是到任意目标的TCP连接，所以也被排除；因为目标地址是0的HTTP流量没有被题目中提供的显示中的任何语句所声明允许，根据ACL的特性它将被ACL列表最后的隐式拒绝语句denyipanyany所拒绝，所以答案C正确，D错误。D错误的原因是源地址没被ACL列表所包括，流量不会被允许，而是被隐式拒绝。英文原题2：AninboundaccesslisthasbeenconfiguredonaserialinterfacetodenypacketentryforTCPandUDPports21,23and25.WhattypesofpacketswillbepermittedbythisACL?(Choosethree.)A.FTPB.TelnetC.SMTPD.DNSE.HTTPF.POP3翻译：入站访问列表已经配置在一个串行接口上，拒绝的包有TCP和UDP端口21、23和25，哪种类型的包能够被ACL允许通过。（选择3项）A.FTPB.TelnetC.SMTPD.DNSE.HTTPF.POP3答案：D、E、F。事实上，这个题目是通过ACL的过滤来考查应试者对常用协议端口的记忆情况的。FTP使用21和20号端口，Telnet使用23号端口，SMTP使用25号端口，DNS使用53号端口，HTTP使用80号端口，POP3使用110号端口，由于题目已经明确声明拒绝了21、23、25，所以FTP、Telnet、SMTP被拒绝，那么在所提供的答案中，DNS、HTTP、POP3将被允许，所以答案D、E、F正确。英文原题3：InwhichsolutionisarouterACLused?A.protectingaserverfromunauthorizedaccess.B.controllingpathselection,basedontheroutemetricC.reducingrouterCPUutilizationD.filteringpacketsthatarepassingthrougharouter翻译：哪一个是在路由器上使用ACL的解决方案？A.保护未被授权的服务访问B.根据路由器度量值控制路径选择C.减少路由器CPU的占用率D.过滤通过路由器的数据包答案：D。该题目主要考查为什么要在路由器上使用ACL，保护未授权的访问不是ACL的责任，是由AAA（认证、授权、记账）来完成的，所以答案A错误；ACL的作用更不是根据路由器的度量值来控制路径选择，所以答案B也错误；ACL的应用在某种程度上会加重路由器CPU的占用率，所以答案C也错误；ACL是用于过滤通过路由器的数据包的，所以答案D正确。英文原题4：WhichitemrepresentsthestandardIPACL?A.access-list50deny55B.access-list110permitipanyanyC.access-list2500denytcpanyhosteq22D.access-list101denytcpanyhost翻译：以下哪一项是标准ACL的指令？A.access-list50deny55B.access-list110permitipanyanyC.access-list2500denytcpanyhosteq22D.access-list101denytcpanyhost答案：A。该题目主要考查不同类型ACL的编号问题，标准ACL的编号是1~99，关于标准ACL的编号还有一个可伸展的范围是1300~1999；扩展ACL的编号是100~199，关于扩展ACL的编号还有一个可伸展的范围是2000~2699；所以根据题目所给出的答案，只有答案A属于标准ACL的范围，答案B、C、D都属于扩展ACL。英文原题5：TheaccesscontrollistshowninthegraphichasbeenappliedtotheEthernetinterfaceofrouterR1usingtheipaccess-group101incommand.WhichofthefollowingTelnetsessionswillbeblockedbythisACL?(Choosetwo)A.fromhostPC1tohost0B.fromhostPC1tohost0C.fromhostPC2tohost0D.fromhostPC2tohost翻译：根据图中所提供的访问控制列表，将指令ipaccess-group101in应用到路由器R1的以太网接口的入方向上，下面哪一个Telnet会话将被ACL所阻止？（选择2项）A.从主机PC1到主机0B.从主机PC1到主机0C.从主机PC2到主机0D.从主机PC2到主机答案：B、D。该题目主要考查扩展ACL对会话的过滤过程中反码的匹配过程，拒绝Telnet会话的源地址是，反码是，有效的源地址如下所示，那么PC1（/24）和PC2（0/24）都在反码的有效匹配范围内，而目标网络是，反码是55，那么PC5（）和PC6（0）都在有效匹配范围内，所以答案B和D正确；答案A错误的原因是ACL不能过滤子网内的通信；答案C错误的原因是目标地址0与给出的ACL列表中的目标地址不匹配。英文原题6：Anetworkengineerwantstoallowatemporaryentryforaremoteuserwithaspecificusernameandpasswordsothattheusercanaccesstheentirenetworkovertheinternet.whichACLcanbeused?A.reflexiveB.extendedC.standardD.dynamic翻译：一个网络工程师希望当远程用户声明用户名和密码后，允许产生一个临时条目，然后远程用户就可以通过Internet访问整个网络，下面哪一种ACL将被应用？A.自反ACLB.扩展ACLC.标准ACLD.动态ACL答案：D。该题目主要考查动态ACL的特性。声明用户名与密码后可以加入临时条目供远程用户访问网络，这正是动态ACL的特性，它非常适合于使用传统的ACL无法控制的广泛来源的访问，比如：Internet。英文原题7：Refertotheexhibit.WhichstatementdescribestheeffectthattheRouter1configurationhasondevicesinthesubnetwhentheytrytoconnecttoSVR-AusingTelnetorSSH?A.DeviceswillnotbeabletouseTelnetorSSHB.DeviceswillbeabletouseSSH,butnotTelnet.C.DeviceswillbeabletouseTelnet,butnotSSHD.DeviceswillbeabletouseTelnetandSSH翻译：根据图中所提供的路由器R1上的配置，下面哪一个描述将影响到子网中的一个设备通过Telnet或者SSH来连接SVR-A?A.设备将不能使用Telnet或者SSHB.设备能够使用SSH，但不能使用TelnetC.设备能够使用Telnet，但不能使用SSHD.设备能够使用Telnet和SSH答案：B。该题目要求是子网中的一个设备通过Telnet或者SSH来连接SVR-A，所以我们首先来分析应用到路由器R1的fa0/0接口入方向上的ACL100，可以看出它允许子网到3目标端口为22的连接，事实上就是SSH连接，因为SSH使用TCP22号端口，而ACL100的第二条语句错在将允许的协议Telnet写在了访问会话的源地址之后，应该是配置在会话的目标地址3之后，所以此时Telnet会失败；然后再来分析应用到路由器R1的fa0/1接口入方向上的ACL101，可以看出该ACL的第一条语句允许会话的源地址3，源端口22返回到目标子网，所以SSH会话会成功，而第二条语句的Telnet端口应该配置在会话的源地址后面，但是它配置在了会话的目标地址后面，所以Telnet会失败。结合上述对两个ACL的分析，所以中的某台设备只能使用SSH连接到SVR-A，不能使用Telnet连接。该题目需要注意的是工程人员在配置ACL时必须清晰地规划会话的源端口和目标端口。英文原题8：Whatcanbedonetosecurethevirtualterminalinterfacesonarouter?A.AdministrativelyshutdowntheinterfaceB.PhysicallysecuretheinterfaceC.Createanaccesslistandapplyittothevirtualterminalinterfaceswiththeaccess-group区commandD.ConfigureavirtualterminalpasswordandloginprocessE.Enteranaccesslistandapplyittothevirtualterminalinterfacesusingtheaccess-classcommand.翻译：需要做什么来确保一台路由器的虚拟终端接口（VTY）的安全？A.从管理层面关闭接口B.确保接口的物理安全C.创建一个ACL列表，并使用access-groupcommand命令将它用于虚拟终端接口D.配置一个虚拟终端密码和登录过程E.书写一个ACL列表，并使用access-class命令将它用于虚拟终端接口答案：D、E。此题目考查对VTY访问的安全控制。答案A“从管理层面关闭接口”，肯定是错的，因为这样做将导致无法完成VTY访问过程；答案B“确保接口的物理安全”，并不是保护VTY访问的方案，所以错误；答案C通过ACL保护VTY的安全看上去正确，但是ACL不能通过access-group应用在Linevty04的线路模式下，只能通过access-class命令应用，具体可参看本章的10.4.1节“演示：限制VTY（Telnet）的访问”，所以答案C错误，E正确；为VTY的登录过程配置密码是保护VTY的一种方式，所以答案D也正确。英文原题9：Whichtwostatementsapplytodynamicaccesslists?(choosetwo)A.theyoffersimplermanagementinlargeinternetworks.B.youcancontrolloggingmessages.C.theyallowpacketstobefilteredbasedonupper-layersessioninformation.D.youcansetatime-basedsecuritypolicy.E.theyprovidealevelofsecurityagainstspoofing.F.theyareusedtoauthenticateindividualusers.翻译：以下哪两种关于使用动态ACL列表的陈述是正确的？（选择2项）A.它们在一个大的网络中提供简单管理B.你能控制日志消息C.它们允许基于上层会话信息过滤数据包D.你可以设置一个基于时间的安全策略E.它们提供了一个防御欺骗的安全等级F.它们用于验证个别用户答案：C、D。动态ACL不提供针对大型网络的管理，所以答案A错误；也不能控制日志消息，所以答案B错误；动态ACL能基于上层会话信息来过滤数据包，因为在执行动态ACL时需要首先进行一个应用层的Telnet会话，然后再来决定是否允许或丢弃数据包，所以答案C正确；动态ACL是可以设置一个基于时间的安全策略的，它可以设置临时会话的最长时间、空闲超时等，所以答案D正确；动态ACL无法提供一个防御欺骗的安全保护等级，所以答案E错误；关于答案F，有一点争议，因为动态ACL生效前必须使用形式上的Telnet来验证访问来源，所以它具备一定的用户验证能力，如果是选择3项，那么可以选择答案F，但是此题要求选择2个最佳答案，所以这里不选择答案F，因为动态ACL的主要功能不是完成用户验证。分析：CCNA认证中关于设备访问的试题英文原题1：Anetworkadministratorneedstoconfigureportsecurityonaswitch.whichtwostatementsaretrue?(choosetwo)A.ThenetworkadministratorcanapplyportsecuritytodynamicaccessportsB.Thenetworkadministratorcanconfigurestaticsecureorstickysecuremacaddressesinthevoicevlan.C.Thestickylearningfeatureallowstheadditionofdynamicallylearnedaddressestotherunningconfiguration.D.ThenetworkadministratorcanapplyportsecuritytoEtherChannels.E.Whendynamicmacaddresslearningisenabledonaninterface,theswitchcanlearnnewaddresses,uptothemaximumdefined.翻译：有一个网络管理员需要在一台交换机上配置端口安全，以下哪两个陈述是正确的？（请选择2项）A.网络管理员可以在安全端口上应用动态接入端口B.网络管理员可以在语音VLAN中配置静态安全或者黏性MAC地址C.黏性（sticky）学习特点允许将动态学习到的地址添加到配置文件中D.网络管理员可以在以太网通道上应用端口安全E.当端口上的MAC地址动态学习功能开启时，在达到最大定义值（maximum）的上限前交换机都可以学习到新的MAC地址答案：C、E。该题目主要是对交换机安全端口的定义进行考查，端口安全不能被应用到动态协商模式的环境中，端口安全不能用于语音VLAN，端口安全不能应用到以太网通道中，所以答案A、B、D都错误；答案C对黏性（sticky）的定义和答案E对maximum的叙述正确。英文原题2：Anetworkadministratormustconfigure200switchportstoaccepttrafficfromonlythecurrentlyattachedhostdevices.WhatwouldbethemostefficientwaytoconfigureMAC-levelsecurityonalltheseports?A.VisuallyverifytheMACaddressesandthentelnettotheswitchestoentertheswitchport-portsecuritymac-addresscommand.B.Haveenduserse-mailtheirMACaddresses.Telnettotheswitchtoentertheswitchport-portsecuritymac-addresscommand.C.Usetheswitchportport-securityMACaddressstickycommandonalltheswitchportsthathaveenddevicesconnectedtothem.D.Useshowmac-address-tabletodeterminetheaddressesthatareassociatedwitheachportandthenenterthecommandsoneachswitchforMACaddressport-security.翻译：为了只接收当前所连接主机的流量，一个网络管理员必须配置200个交换端口，在这些端口上最有效的MAC级别的安全配置的方法是什么？A.核实每个MAC地址后，当Telnet登录交换机时键入switchport-portsecuritymac-address命令B.通过E-mail收集终端用户的MAC地址，当Telnet登录交换机时键入switchport-portsecuritymac-address命令C.当所有终端设备都与端口相连时，在交换机端口上使用switchportport-securityMACaddresssticky命令D.使用showmac-address-table指令确定哪个地址与哪个交换机接口相连，然后再在交换机上使用MAC地址的端口安全答案：C。该题目主要考查交换机端口安全中黏性（sticky）参数的特点，题目已明确要求为网络中的200台终端主机配置端口安全，这样的配置工作量很大，如果使用showmac-address-table查看交换机每个端口所对应的MAC地址后，再一一地在各个交换机端口上做手工配置，这将是一件耗费大量管理开销的事情，而且容易出错，所以答案D是错误的；而端口安全中的黏性特性，可以满足大量需要配置端口安全的接口，它会将交换机通电后，初始化时交换机地址自学习到的源MAC地址保存在配置文件中，作为运用端口安全的合法地址，这适合于大规模地配置MAC级别的安全，所以答案C正确；而答案A和B关于端口安全的定义都不正确。英文原题3：Selecttheactionthatresultsfromexecutingthesecommands.Switch(config-if)#switchportport-securitySwitch(config-if)#switchportport-securitymac-addressstickyA.AdynamicallylearnedMACaddressissavedinthestartup-configurationfile.B.AdynamicallylearnedMACaddressissavedintherunning-configurationfile.C.AdynamicallylearnedMACaddressissavedintheVLANdatabase.D.StaticallyconfiguredMACaddressesaresavedinthestartup-configurationfileifframesfromthataddressarereceived.E.StaticallyconfiguredMACaddressesaresavedintherunning-configurationfileifframesfromthataddressarereceived.翻译：选择执行如下命令会导致什么样的结果？Switch(config-if)#switchportport-securitySwitch(config-if)#switchportport-securitymac-addressstickyA.动态MAC地址学习会被保存在启动配置文件中B.动态MAC地址学习会被保存在当前正在运行的配置文件中C.动态MAC地址学习会被保存在VLAN数据库中D.如果收到静态配置的MAC地址的数据帧，那么这个地址就会被保存在启动配置文件中E.如果收到静态配置的MAC地址的数据帧，那么这个地址就会被保存在配置文件中答案：B。该题目仍然是在考查交换机端口安全中黏性（sticky）参数的特点，当使用switchportport-securitymac-addresssticky指令时，动态学习到的MAC地址会被保存到当前正在运行的配置文件中（running-configuration），不会保存在启动配置文件中（startup-configuration），所以答案B正确，A错误；而答案C和D根本不是交换机端口安全中黏性（sticky）参数的特性，所以错误。英文原题4：Refertotheexhibit.Thefollowingcommandsareexecutedoninterfacefa0/1of2950Switch.2950Switch(config-if)#switchportport-security2950Switch(config-if)#switchportport-securitymac-addresssticky2950Switch(config-if)#switchportport-securitymaximum1TheEthernetframethatisshownarrivesoninterfacefa0/1.Whattwofunctionswilloccurwhenthisframeisreceivedby2950Switch?(Choosetwo.)A.TheMACaddresstablewillnowhaveanadditionalentryoffa0/1FFFF.FFFF.FFFF.B.OnlyhostAwillbeallowedtotransmitframesonfa0/1.C.Thisframewillbediscardedwhenitisreceivedby2950Switch.D.Allframesarrivingon2950Switchwithadestinationof0000.00aa.aaaawillbeforwardedoutfa0/1.E.HostsBandCmayforwardframesoutfa0/1butframesarrivingfromotherswitcheswillnotbeforwardedoutfa0/1.F.Onlyframesfromsource0000.00bb.bbbb,thefirstlearnedMACaddressof2950Switch,willbeforwardedoutfa0/1.翻译：根据图中显示，在交换机2950的fa0/1端口上执行了如下的命令：2950Switch(config-if)#switchportport-security2950Switch(config-if)#switchportport-securitymac-addresssticky2950Switch(config-if)#switchportport-securitymaximum1当交换机2950接收到如图所示的以太网数据帧时，将发生哪两个功能？（选择2项）A.MAC地址表新增加了一条记录“fa0/1FFFF.FFFF.FFFF”B.只有主机A允许在fa0/1上传输数据帧C.数据帧到达交换机2950时会被丢弃D.当目标地址是0000.00aa.aaaa的所有数据帧到达交换机2950时，会从fa0/1端口转发E.主机B和C的数据帧能够从fa0/1接口转发，但是当其他交换机的数据帧到达时就不会从fa0/1端口转发F.只有交换机2950首先学习到的MAC地址0000.00bb.bbbb作为源地址发送的帧，才会被fa0/1端口转发答案：B、D。在该题目的配置中为交换机的fa0/1配置了端口安全，而且使用了黏性（sticky）参数，当主机A发起通信时，交换机的fa0/1端口会动态地记录主机A的MAC地址，并把它作为安全MAC的标准，而switchportport-securitymaximum1指令规定该端口只能容纳1个MAC地址，所以只有主机A允许在fa0/1上传输数据帧，同时也只有目标地址是0000.00aa.aaaa的数据帧到达交换机2950时，会从fa0/1端口转发，所以答案B和D正确。英文原题5：Howdoesusingtheservicepasswordencryptioncommandonarouterprovideadditionalsecurity?A.byencryptingallpasswordspassingthroughtherouterB.byencryptingpasswordsintheplaintextconfigurationfileC.byrequiringentryofencryptedpasswordsforaccesstothedeviceD.byconfiguringanMD5encryptedkeytobeusedbyroutingprotocolstovalidateroutingexchangesE.byautomaticallysuggestingencryptedpasswordsforuseinconfiguringtherouter翻译：使用servicepasswordencryption指令能对路由器提供什么样的额外安全？A.加密所有通过路由器的密码B.加密配置文件中的纯文本密码C.要求输入加密的密码来访问设备D.通过配置MD5加密密钥来验证路由协议的路由流量E.配置路由器时自动建议对密码进行加密答案：B。该题目主要考查servicepasswordencryption指令的作用，该指令用于加密配置文件中的纯文本密码，所以答案B正确；它不会加密通过路由器的密码，它也不要求输入加密的密码来访问设备，它更不是用来保障路由协议的验证的，也不会在配置路由器时自动建议对密码进行加密，所以答案A、C、D、E都错误。英文原题6：Whichsetofcommandsisrecommendedtopreventtheuseofahubintheaccesslayer?A.switch(config-if)#switchportmodetrunkswitch(config-if)#switchportport-securitymaximum1B.switch(config-if)#switchportmodetrunkswitch(config-if)#switchportport-securitymac-address1C.switch(config-if)#switchportmodeaccessswitch(config-if)#switchportport-securitymaximum1D.switch(config-if)#switchportmodeaccessswitch(config-if)#switchportport-securitymac-address1翻译：哪组命令是推荐用于预防接入层上有集线器的？A.switch(config-if)#switchportmodetrunkswitch(config-if)#switchportport-securitymaximum1B.switch(config-if)#switchportmodetrunkswitch(config-if)#switchportport-securitymac-address1C.switch(config-if)#switchportmodeaccessswitch(config-if)#switchportport-securitymaximum1D.switch(config-if)#switchportmodeaccessswitch(config-if)#switchportport-securitymac-address1答案：C。该题目主要考查端口安全配置中maximum参数的特性，它指示在该端口上可以容纳的最大MAC地址数，要防御交换机的端口上接入集线器，那么必须将端口所能容纳的安全MAC配置成1，指令是switchportport-securitymaximum1，所以答案C正确；答案A错在它将交换机的接入方式配置成了switchportmodetrunk（干道模式），应该配置为switchportmodeaccess；而答