网络准入策略配置技师（中级）考试试卷及答案

网络准入策略配置技师（中级）考试试卷及答案一、填空题（共10题，每题1分，共10分）1.802.1X协议基于______架构实现端口访问控制。2.RADIUS认证的默认UDP端口号是______。3.网络准入控制（NAC）的核心是管控______的网络接入。4.未通过认证的终端通常被放入______（隔离区域）。5.准入中的“posture评估”主要检查终端______状态。6.DHCPSnooping可防止______的非法DHCP服务器。7.802.1X中，向服务器发起认证请求的角色是______。8.准入策略优先级______（高/低）的先生效。9.防止ARP欺骗的辅助技术是______。10.支持多厂商接入的认证协议是______。二、单项选择题（共10题，每题2分，共20分）1.802.1X核心组件不包括（）A.客户端B.RADIUS服务器C.交换机D.防火墙2.RADIUS计费默认端口是（）A.1812B.1813C.1645D.16463.不属于NAC部署模式的是（）A.硬件inlineB.软件代理C.无线专属D.混合4.未通过posture评估的终端会（）A.直接接入内网B.放入隔离区C.强制断开D.自动升级5.DHCPSnooping信任端口连（）A.接入交换机B.合法DHCP服务器C.终端D.核心交换机6.802.1X认证第一步是（）A.客户端发请求B.交换机转请求C.服务器验证D.终端获IP7.准入控制最终目标是（）A.提升网速B.阻止非法接入C.简化配置D.减少设备8.802.1X支持的认证方式是（）A.PEAPB.WPA2C.WEPD.SSID9.posture评估不检查（）A.病毒库版本B.系统补丁C.终端IPD.防火墙状态10.RBAC准入依据是（）A.终端MACB.用户身份C.接入时间D.流量大小三、多项选择题（共10题，每题2分，共20分）1.准入关键技术包括（）A.802.1XB.RADIUSC.DHCPSnoopingD.ARP检测2.802.1X组成部分有（）A.Supplicant（客户端）B.Authenticator（认证者）C.AS（服务器）D.AP3.RADIUS服务器功能是（）A.身份认证B.授权C.计费D.流量转发4.隔离区作用是（）A.限制终端访问范围B.强制修复健康C.允许访问外网D.完全断连5.posture评估维度包括（）A.终端安全B.软件版本C.硬件配置D.接入位置6.DHCPSnooping配置要点（）A.信任端口配置B.IP-MAC绑定C.非信任端口配置D.开启ARP检测7.准入策略类型（）A.基于身份B.基于终端C.基于时间D.基于流量8.802.1X支持的认证方式（）A.EAP-MD5B.PEAPC.TLSD.CHAP9.NAC部署模式（）A.inlineB.out-of-bandC.云部署D.代理10.防非法接入辅助技术（）A.端口安全B.MAC绑定C.802.1XD.DHCPSnooping四、判断题（共10题，每题2分，共20分）1.802.1X仅支持有线网络。（）2.RADIUS1812/1813均为UDP端口。（）3.隔离区终端可自由访问内网。（）4.posture评估需终端装客户端。（）5.DHCPSnooping可防非法DHCP。（）6.高优先级策略覆盖低优先级。（）7.交换机在802.1X中是Authenticator。（）8.NAC只能用硬件实现。（）9.ARP检测可防ARP欺骗。（）10.RBAC依据终端MAC分配权限。（）五、简答题（共4题，每题5分，共20分）1.简述802.1X认证原理。2.NAC的主要作用是什么？3.简述DHCPSnooping配置步骤。4.如何通过posture评估实现健康准入？六、讨论题（共2题，每题5分，共10分）1.有线与无线网络准入策略配置的差异。2.企业出现非法终端接入时，如何通过准入策略排查处置？---答案部分一、填空题答案1.客户端/服务器（C/S）2.18123.终端（或用户）4.隔离区（或GuestVLAN）5.健康（或安全）6.网络中7.客户端（Supplicant）8.高9.ARP检测（或ARPInspection）10.RADIUS二、单项选择题答案1.D2.B3.C4.B5.B6.A7.B8.A9.C10.B三、多项选择题答案1.ABCD2.ABC3.ABC4.AB5.AB6.ABC7.ABC8.ABC9.ABCD10.ABCD四、判断题答案1.×2.√3.×4.√5.√6.√7.√8.×9.√10.×五、简答题答案1.802.1X认证原理：基于C/S架构，含客户端（Supplicant）、认证者（如交换机）、认证服务器（RADIUS）。流程：客户端发起认证→认证者转发请求→服务器验证身份/权限→返回结果→认证者授权端口（通过则开放数据访问，未通过则隔离）。核心是控制端口状态，未认证时仅转发认证报文。2.NAC主要作用：①阻止非法终端接入；②实现终端健康准入（检查补丁、病毒库等）；③基于身份分配权限（RBAC）；④审计接入行为，满足合规；⑤隔离问题终端，避免风险扩散。3.DHCPSnooping配置步骤：①登录设备全局开启功能；②配置信任端口（连合法DHCP服务器）；③配置非信任端口（接终端）；④（可选）IP-MAC绑定；⑤验证配置（查看信任端口、绑定表）。4.posture评估健康准入：①终端装评估客户端（或Agentless）；②收集补丁、病毒库等信息；③发送至NAC服务器；④对比预设标准；⑤符合则放行，不符合则放入隔离区（强制修复），修复后重评估。六、讨论题答案1.有线与无线准入差异：①无线需结合SSID、AP配置（如WPA2+802.1X），有线仅交换机端口配置；②无线posture评估需关注无线网卡，有线关注有线网卡；③无线隔离用GuestSSID，有线用VLAN；④无线支持STA漫游重认证，有线需防端口移动；⑤无线易受非法接入，需加SSID隐藏、MAC白名单。2.非法终端排查处置：①通过NAC日志定位非法终