最新的Huawei H12-731 中文免費考試真題

問題1

某网络由于网络升级新硬件的 USG ,需要替换图中双机热备 USG_A 和 USG_B ,在不影响业务的前提下,如何进行升级:
USG_A 为 Active 设备, USG_B 为 Standby 设备。
以下正确割接步骤是 ?
① 依次将 5 产线路连接至新 USG_B 。
② 依次将 1 , 2 , 3 线路从旧 USG_A ,连接至新 USG A,
③ 将新 USG_B 和新 USG_A 上电,并将配置导入。
④ 在 USG_B 输入 undo hrp enable ,并依次切断 4 , 5 , 3 线路。
⑤ 调整路由花费,使流量全部通过 USB_B 。
⑥ 新 USG_A 和新 USG_B 输入 hrp enable ,调整路由花费,使符合预期。

A. ③ -> ④ -> ⑤ -> ① -> ② -> ⑥

B. ③ -> ④ -> ① -> ② -> ⑥ -> ⑤

C. ③ -> ④ -> ① -> ⑤ -> ② -> ⑥

D. ④ -> ① -> ⑤ -> ③ -> ② -> ⑥

正確答案: C

問題2

如图所示攻击,相应的防御方法有:

A. 通过关联的 TCP 协议对用户进行验证

B. 载荷检查防御

C. 通过 TTL 检查的方法进行防御

D. 指纹学习防御

E. 通过源认证的方法防御

正確答案: A,B,D

問題3

L2TP Over IPsec 的场景中,中心节点使用 IPsec 模板,此时 LNS 上 IPsec 的 Security ACL 如何配置 ?

A. rule permit tcp source-port eq 1701

B. rule permit udp source-port eq 1701

C. rule permit tcp destination-port eq 1701

D. rule permit udp destination-port eq 1701

正確答案: B

問題4

防火墙部署在无线用户的移动终端和 WAP 网关之间,移动终端在 trust 区域, WAP 网关在 untrust 区域,并做了如下配置:
[USG] ad 3000
[USG-acl-adv-3000] rule permit ip destination 202.10.10.2 0
[USG-acl-adv-3000] quit
[USG] fir-all zone trust
[USG-zone-trust] destination-nat 3000 address 200.10.10.2
[USG-zone-trust] quit
以下描述正确的是:

A. 防火墙将访问 202.10.10.2 网关地址的数据包的目的地址转换为 200.10.10.2

B. 命令 firewall zone trust 应该修改为 firewall interzone untrust trust

C. 该配置还可应用到服务器地址映射场景下

D. 命令 firewall zone trust 应该修改为 firewall interzone trust untrust outbound

正確答案: A

問題5

某客户使用多个分支设备和总部 USG_A 设备做 IPsec 对接,采用点到多点 IPsec ,子策略方式建立 VPN 。多个分支都是固定 IP 地址,大多数分支到总部 IPsec 链路都可以正常通信,并且内网（分支到总部)之间可以互相通信,唯独其中一个分支的内网 PC 和总部内网之间不能正常通信,但是 IPsec VPN 道已经协商成功。
可能有哪些原因 ?

A. ACL 范围配置错误。

B. 可能一端使用 IKEv2 协商,一端使用 IKEv1 协商。

C. 两端的 IPsec 提议算法不一致,导致报文无法解密。

D. 总部没有到达故障分支的回程路由。

正確答案: A,D

問題6

关于 MTU 和 PMTU 说法正确的是 ?

A. 探测 PMTU 是通过探测获取指定目的 IPv4 地址的 PMTU 值,然后使用 MTU 值来发送报文。

B. 设备会在入接口检查 MTU ,如果数据包大小超过 MTU 值,将被丢弃。

C. MTU （ Maximum Transfer Unit )指的是在网络中能够传输的最大数据报文的大小,以字节为单位。

D. 在 IP 网络中,从源地址到目的地址可能会经过具有不同 MTU 值的接口,其中最大的 MTU 值即为该路径的 PMTU 。

正確答案: A,C

問題7

IKEv1 和 IKEv2 的区别,下面哪些描述是正确的 ?

A. IKE SA 的完整性算法仅 IKEv1 支持。

B. IKEv2 可以借助 AAA 服务器分配私网 IP 地址, IKEv1 无法提供此功能。

C. 建立 IKE SA 和 IPsec SA , IKEv2 使用 4 条消息, IKEV1 主模式使用 9 条消息。

D. IKEv1 默认支持 DPD ,只要在一端配置 DPD ,另一端就可以响应 DPD 报文。 IKEv2 不可以。

正確答案: B,C

問題8

某网络使用 Agile Controller 进行 802.1X 认证,其中 S 交换机 GigabitEthernet 0/0/9 连接了终端主机和打印机,打印机通过 MAC 认证,终端主机需要通过 Agent 进行即可通过认证,交换机的正确配置是 ?

A. [Quidway] dot1X authentication-method eap [Quidway] interface GigabitEthernet 0/0/9 [Quidway-GigabitEthernet 0/0/9] port link-type a [Quidway-GigabitEthernet 0/0/9] port default vlan 105 [Quidway-GigabitEthernet 0/0/9] dot1x port-method MAC

B. [Quidway] dot1x enable [Quidway] dot1X authentication-method eap [Quidway] interface GigabitEthernet 0/0/9 [Quidway-GigabitEthernet 0/0/9] port link-type trunk

C. [Quidway] dotlx enable [Quidway] dot1X authentication-method eap [Quidway] interface GigabitEthernet 0/0/9 [Quidway-GigabitEthernet 0/0/9] port link-type a [Quidway-GigabitEthernet 0/0/9] port default vlan 105 [Quidway-GigabitEthernet 0/0/9] dot1x enable [Quidway-GigabitEthernet 0/0/9] dot1x port-method MAC

D. [Quidway] dot1X authentication-method eap [Quidway] interface GigabitEthernet 0/0/9 [Quidway-GigabitEthernet 0/0/9] port link-type a [Quidway-GigabitEthernet 0/0/9] dot1x port-method MAC

正確答案: C

問題9

关于 URL 过滤下列说法哪些是错误的 ?

A. 应用 URL 配置文件到安全策略时不能关联时间对象

B. URL 匹配方式支持黑名单和白名单

C. 前缀、后缀匹配只支持黑白名单不支自定义分类

D. URL 过滤的顺序是白名单 > 黑名单 > 自定义 URL > 预定义 URL

正確答案: A,C

問題10

防火墙的 IP 报文分片重组需要对报文中哪几个字段进行分析 ?

A. 总长度 Total Length

B. 标识符 Identifier

C. 标志 Flags

D. 生命时间 TTL

E. 片偏移 Fragment Offset

正確答案: B,C,E

問題11

关于数据中互联网接入区,规划部署建议正确的是:

A. FW2 主要防范内部的非法流量访问 DMZ 区服务区和非法访问 Internet 网络。

B. DDos 清洗和检测设备必须放置在外网接口区域,保证攻击流量优先检测到。

C. DMZ 区域旁路部署 IPS 设备,如果实现防御功能,需要在 DMZ 区域交换机通过策略路由或者静态路由,让数据通过 IPS 设备。

D. FW1 主要防范外部的非法流量访问 DMZ 区服务区和防范 SSL 隧道内部的攻击流量。

正確答案: A,B,C

問題12

USGA G0/0/2 (30.1.1.2) --------------------------- (30.1.1.1) G0/0/2 USGB
某网络采用如上拓扑,并 USGA 和 USGB 建立 BFD ,但是发现 BFD 会话无法 Up ,下面最有可能的原因是 ?
<USGA> display bfd session all
---------------------------------------------------------------------------------------------------------------
Local Remote Peer IP Address Interface Name State Type
----------------------------------------------------------------------------------------------------------------
60 20 30.1.1.1 GigabitEthernet0/0/2 Down Static
----------------------------------------------------------------------------------------------------------------
<USGB> display bfd session all
---------------------------------------------------------------------------------------------------------------
Local Remote Peer IP Address Interface Name State Type
----------------------------------------------------------------------------------------------------------------
60 20 30.1.1.2 GigabitEthernet0/0/2 Down Static
----------------------------------------------------------------------------------------------------------------

A. BFC 会话一端配置了 shutdown 命令

B. 未绑定出接口的 BFD 会话

C. BFC 会话配置没有提交

D. BFC 会话两端的标识符不对应

正確答案: D

問題13

某局点微信语音（ TCP )业务出现延时较大的故障,延时达到 3 秒。防火墙作为其出口 NAT 网关,配置了 easy-ip 的 nat 方式（单出口),关闭了链路状态检测, TCP 老化时间为 30 秒,业务流量较小,到语音服务器的会话数接近 5 万。通过会话可以看到大量的单向访问语音服务器的报文。
造成这一故障的原因及解决方案正确的是 ?

A. 解决方案可以 TCP 老化时间增加到 600 秒。

B. 防火墙会话老化后,新的连接做 NAT 后的端口与原来和服务器建立连接的端口不一致,导致服务器没有响应,需要客户端超时后再重新建立连接才能发送数据。

C. 如果链路不存在来回路径不一致,可以开启链路状态检测功能,老化时间默认,可以解决这一问题。

D. TCF 会话老化时间太短,防火墙新建会话比较耗时。

正確答案: B,C

問題14

下列关于双机热备说法正确的是 ?

A. 在链路状态检测打开的情况下,并且来回报文分别经主和备 USG 转发, USG 不开启决速备份, TCP 业务可以顺利通过。

B. 防火墙上行连接路由器,下行连接 2 层交换机,可以采用 OSPF+VRRP 方式实现负载分担。

C. 两台设备的物理插卡的槽位号可以不一致。

D. Active 组的默认优先级为 65001 , Standby 组的默认优先级为 65000 。

正確答案: B,D

問題15

在 IPsec 协商失败的过程中,打开 IKE 的调试开关,显示如下信息: got NOTIFY of type INVALID_ID_INFORMATION 或 drop message from A.B.C.D due to notification type INVALID_ID_INFORMATION ,代表什么含义 ?

A. 两端的 ACL 配置不匹配

B. 两端的 IKE 提议不匹配

C. 两端的 LOCAL-ID-TYPE 不一致

D. 两端的 IPsec 提议不匹配

正確答案: A

最新的Huawei HCIE-Security (Huawei Certified Internetwork Expert-Security) (H12-731中文版) - H12-731 中文免費考試真題

聯系我們

站內鏈接

最新更新