CCNA最新中文第五单(2009-01-08 默认情况下,Cisco 路由器如何过滤 IP 流量?
 
 
拦截进出所有接口的流量
 
拦截所有接口的入站流量,但允许所有接口的出站流量
 
允许进出所有接口的流量
 
拦截所有接口的出站流量,但允许所有接口的入站流量
 
2 points for Option 3
 ACL
可使用哪三种参数来过滤流量? (选择三项。)
 
 
数据包大小
 
协议簇
 
源地址
 
目的地址
 
源路由器接口
 
目的路由器接口
 
Option 2, Option 3, and Option 4 are correct. Cisco
标准 ACL 是如何过滤流量的?
 
 
通过目的 UDP 端口
 
通过协议类型
 
通过源 IP 地址
 
通过源 UDP 端口
 
通过目的 IP 地址
 
2 points for Option 3 
下列关于扩展 ACL 的说法中哪两项正确?(选择两项。)
 
 
扩展 ACL 使用 1-99 的编号范围。
 
扩展 ACL 以隐含 permit 语句结尾。
 
扩展 ACL 会检查源地址和目的地址。
 
可通过添加对端口号的检查进一步定义 ACL
 
可将多个相同方向的 ACL 放置到同一个接口上。
 
Option 3 and Option 4 are correct. 
标准访问控制列表应该放置在哪里?
 
 
靠近源地址
 
靠近目的地址
 
在以太网端口上
 
在串行端口上
 
2 points for Option 2 
下列关于 ACL 处理数据包的说法中哪三项正确?(选择三项。)
 
 
隐含的 deny any 会拒绝不符合任何 ACL 语句的所有数据包。
 
数据包可能被拒绝,也可能被转发,这取决于与该数据包相匹配的语句。
 
被一条语句拒绝的数据包可能被后续的语句允许。
 
默认情况下会转发不符合任何 ACL 语句的数据包。
 
会检查每条语句,直到检测到匹配的语句或到达 ACL 语句列表末尾为止。
 
会将每个数据包与 ACL 中每条语句的条件相比较,然后才决定是否转发。
 
Option 1, Option 2, and Option 5 are correct. 
如果数据包未与 ACL 中的任何语句匹配,则会如何处理该数据包? 
 
会将该数据包放置在缓冲区中,并在删除该 ACL 后转发该数据包。

 
会将该数据包连同一则错误通知消息发回给源地址。
 
列表末尾的隐含 permit any 语句会允许该数据包通过。
 
列表末尾的隐含 deny any 语句会导致该数据包被丢弃。
 
2 points for Option 4
请参见图示。 怎样才能在此 ACL 的开头添加一条注释以表明其用途? 
 
使用 remark 命令在此 ACL 的开头添加一条备注。

 
使用 description 命令在此 ACL 的开头添加一条描述。
 
重新创建 ACL 并使用 remark 命令在该 ACL 的开头添加一条备注。
 
重新创建 ACL 并使用 description 命令在该 ACL 的开头添加一条描述。
2 points for Option 3下列扩展 ACL 的说法中哪两项正确? (选择两项。)
access-list 101 deny tcp 172.16.3.0 0.0.0.255 any eq 20
access-list 101 deny tcp 172.16.3.0 0.0.0.255 any eq 21
access-list 101 permit ip any any
 
 
拒绝从网络 172.16.3.0/24 始发的所有 FTP 流量。
 
会隐含拒绝所有流量。
 
会拒绝发往网络 172.16.3.0/24 的所有 FTP 流量。
 
会拒绝从网络 172.16.3.0/24 始发的所有 Telnet 流量。
 
会允许从网络 172.16.3.0 始发的 Web 流量。Option 1 and Option 5 are correct.s0/0/0 的入站方向上已经应用了一个 IP ACL。 当管理员尝试再应用一个入站 IP ACL 时会发生什么情况?
 
 
第二个 ACL 会取代第一个应用到该接口上。
 
两个 ACL 都会应用到该接口上。
 
网络管理员会收到错误消息。
 
只有第一个 ACL 会保持应用到该接口上。
 
2 points for Option 1
请参见图示。 当创建扩展 ACL 以拒绝从网络 192.168.30.0 发往 Web 服务器 209.165.201.30 的流量时,应用 ACL 的最佳位置是哪里?
 
 R3 Fa0/0
入站
 R3 S0/0/1
出站
 R2 S0/0/1
入站
 ISP Fa0/0
出站
2 points for Option 1 
下列关于命名 ACL 的说法,哪三项是正确的?(选择三项。) 名称可用于帮助标识 ACL 的功能。
 
命名 ACL 可提供比编号 ACL 更多的具体过滤选项。
 
修改命名 ACL 时无需重新输入整个 ACL
 
每个路由器接口的每个方向上可应用多个命名 IP ACL
 
某些复杂 ACL(例如自反 ACL)必须在命名 ACL 中定义。
 
只有命名 ACL 才允许注释。 
Option 1, Option 3, and Option 5 are correct.
 必须配置下列哪三项,才能在路由器上运行动态 ACL? (选择三项。) 
 
扩展
ACL
 
自反
ACL
 
控制台日志

 
身份验证
 Telnet
连接
 
权限等级为 15 的用户帐户
 
Option 1, Option 4, and Option 5 are correct.
请参见图示。 此访问列表会如何处理源地址为 10.1.1.1 且目的地址为 192.168.10.13 的数据包?
 
 
允许该数据包,因为该 ACL 的第 20 行允许数据包发往主机 192.168.10.13
 
允许该数据包,因为该 ACL 的第 10 行允许数据包发往 192.168.0.0/16
 
允许该数据包,因为该数据包不符合该 ACL 中的任何项目。
 
它会被丢弃。
2 points for Option 4 
网络管理员需要允许从公司内部发起的会话的流量通过防火墙路由器,同时拦截从公司外部发起的会话的流量。最适合使用哪种 ACL
 
 
动态
 
自反
 
基于时间的
 
基于端口的
 
2 points for Option 2
请参见图示。 Router1 会如何处理符合 EVERYOTHERDAY 的时间范围要求的流量?
 
 
会允许来自网络 172.16.1.254/24 并发往网络 10.1.1.0/24 TCP 流量进入 fa0/0 接口。
 
会允许来自网络 10.1.1.254/24 并发往网络 172.16.1.0/24 TCP 流量进入 fa0/0 接口。
 
会允许来自网络 172.16.1.254/24 并发往网络 10.1.1.0/24 Telnet 流量进入 fa0/0 接口。
 
会允许来自网络 10.1.1.254/24 并发往网络 172.16.1.0/24 Telnet 流量进入 fa0/0 接口。
2 points for Option 4
请参见图示。 ACL 101 中的 "deny ip 64.100.0.0 0.0.7.255 any" 语句发现了 35 个匹配项,最可能的解释是什么?
 
 
内部网络中的一名用户伪造了一台 Internet 主机并正在向该主机发送流量,该主机也正在响应。
 Internet
上的一名用户伪造了内部网络中的一个主机地址,并正在尝试向内部网络发送数据包。
 
一台 Internet 主机正在反复要求内部网络发送流量。
 
内部网络中的一台主机正在反复要求 Internet 发送流量。
2 points for Option 2
CCNA最新中文题库第四学期第单元(2009-01-08 17:07:43) 下列关于网络安全的说法中哪两项正确?(选择两项。)
  
保护网络免受内部威胁侵害具有较低的优先级,因为由公司员工带来的安全风险较低。
 
无论是能自己编写***代码的资深***,还是从 Internet 下载***程序的入门***者都可能对网络安全造成严重威胁。
 
假设一家公司将其 web 服务器部署在防火墙之外,并充分备份 web 服务器,则无需采取其它安全措施来保护 web 服务器,因为即使它被***了也不会造成损失。
 
公众认可的网络操作系统(例如 UNIX)和网络协议(例如 TCP/IP)可采用默认设置工作,因为它们没有内在的安全缺陷。
 
保护网络设备免受水电等外在因素造成的物理破坏是安全策略的必要组成部分。
 Option 2 and Option 5 are correct. 
下列关于网络***的说法中哪两项正确? (选择两项。)
 
 
侦测***本质上始终是电子***,例如 ping 扫描或端口扫描。
 
内部设备不应该完全信任 DMZ 中的设备,应该对 DMZ 和内部设备之间的通信进行身份验证以防止端口重定向等***。
 
蠕虫需要人的参与才能扩散,而病毒不需要。
 
强网络密码可防范大多数 DoS ***。
 
只要暴力***选取了组成密码的字符进行测试,则破解密码只是时间问题。
 
Option 2 and Option 5 are correct.
 
一家公司在 DMZ 内部署了一台 web 服务器以提供外部 web 服务。当审查防火墙日志文件时,管理员发现该 web 服务器曾连接到一台内部电子邮件服务器。进一步调查发现,有人未经授权在内部服务器上创建了一个账户。在此案例中,***者成功实施了哪种***? 
 
网络钓鱼

 
端口重定向
 
信任利用
 
中间人
 
2 points for Option 3 
用户无法访问公司服务器。系统日志显示服务器运行缓慢,因为它正在收到具有高优先级的虚假服务请求。这是什么类型的***?  侦测 访问 DoS
 
蠕虫

 
病毒
 
特洛伊***
 
2 points for Option 3 IT
主管发起了一项活动,旨在提醒用户避免打开来源可疑的电子邮件。 该 IT 主管意在保护用户免受哪种***?
 
 DoS
 DDoS
 
病毒
 
访问
 
侦测
 
2 points for Option 3 
下列关于预防网络***的说法中哪两项正确? (选择两项。)
 
 
现代服务器和 PC 操作系统具有可以信赖的默认安全设置。
 
***防御系统可以记录可疑的网络活动,但在没有用户干预的情况下无法对抗正在进行的***。
 
物理安全威胁的防范包括控制对设备控制台端口的访问、标识关键电缆、安装 UPS 系统以及提供温湿控制。
 
防止网络钓鱼***的最好方法是采用防火墙设备。
 
更改默认的用户名和口令并禁用或取消不必要的服务有助于加强设备安全性。
 
Option 3 and Option 5 are correct.
***检测发生在“安全轮”的哪个阶段? 
 
保护  监控
 
 
测试
 
 
改进
 
 
侦测
 
2 points for Option 2 
安全策略必须实现哪两个目标? (选择两项。)

 
 
提供安全服务器的安装核对表
 
描述防火墙配置
 
记录要保护的资源
 
确定组织的安全目标
 
确定加强路由器安全性所涉及的具体任务
 
Option 3 and Option 4 are 
良好的安全策略有哪三项特点? (选择三项。)
 
 
它定义了对网络资源的使用方式哪些为可接受,哪些为不可接受。
 
它会传达共识并定义职责。
 
它由最终用户制订。
 
它在所有安全设备完全通过测试后制订。
 
它定义了处理安全事故的方法。
 
应该将其加密,因为它包含所有重要的口令和密钥。
 
Option 1, Option 2, and Option 5 are correct.
请参见图示。 下列关于图中所示配置的说法中哪两项正确? (选择两项。)
 
 
该远程会话已加密。
 vty
线路 0 4 上允许 Telnet
 
口令以明文发送。
 vty
线路 0 4 上允许主机 192.168.0.15 访问。
 
不允许来自网络 192.168.0.0 之外的流量经过 Router1
Option 1 and Option 4 are correct.
请参见图示。 下列关于图中所示配置的说法中哪两项正确? (选择两项。)
 
 
通过口令 "local" 授予了访问权限
 R1
上启用了 SSH 服务器功能
 R1
上启用了 SSH 客户端功能
 
因为没有本地用户名数据库,所以远程访问连接会失败
 
远程访问连接将通过安全外壳端口 443 进行
Option 2 and Option 4 are correct 
下列哪两种说法定义了在网络中启用 DNS 服务所带来的安全风险? (选择两项。) 
 
默认情况下,域名查询被发送到广播地址 255.255.255.255

 DNS
域名查询需要在所有路由器的以太网接口上启用 ip directed-broadcast 命令。
 
在一台路由器上使用全局配置命令 ip name-server 会在网络中的所有路由器上启用 DNS 服务。
 
基本 DNS 协议不提供身份验证或完整性保证。
 
路由器配置不提供用于设置主 DNS 服务器和备份 DNS 服务器的选项。
 
Option 1 and Option 4 are correct. 
使用 Cisco AutoSecure 有哪两个好处? (选择两项。)
 
 
管理员可通过它来精确控制各种服务的启用和禁用情况。
 
它可提供立即禁用非关键系统进程和服务的功能。
 
它可自动将路由器配置为与 SDM 协同工作。
 
它可确保与您网络中的其它设备充分兼容。
 
它使管理员无需了解 Cisco IOS 软件的所有功能即可配置安全策略。
 
Option 2 and Option 5 are correct.
请参见图示。 网络管理员正在尝试将路由器配置为使用 SDM,但它无法正常工作。 可能是什么原因?
 
 
用户权限等级配置不正确。
 
身份验证方法配置不正确。
 HTTP
服务器配置不正确。
 HTTP
超时策略配置不正确。
2 points for Option 1 
当用户与 Cisco 路由器建立了 SDM 连接并检查主页的 Configuration Overview(配置概况)区域时,可获得哪三点信息?(选择三项。) 
 
所有 DHCP 客户端的 MAC 地址

 
路由器上受 Cisco SDM 支持的 WAN 接口的总数量
 WAN
接口上启用的压缩类型
 DMZ
接口的总数量
 DNS
服务器的状态
 
站点间 ××× 连接的数量
 
Option 2, Option 4, and Option 6 are correct. 
当用户完成 Cisco SDM ××× 向导后,已输入的信息会被如何处理?
  
信息被保存到一个文本文件中以供配置客户端之用。
 
用户确认后,由 Cisco SDM 生成的 CLI 命令会被发送到路由器上。
 SDM
会生成流量来测试配置,然后才将该配置应用到路由器上。
 
会出现一个对话框,提示用户输入用户名和口令信息。
 2 points for Option 2
请参见图示。 网络管理员正在尝试备份 Cisco IOS 路由器软件,却收到了图中所示的输出。 造成此输出可能的原因有哪两条?(选择两项。)
 
 Cisco IOS
文件的校验和无效。
 
路由器上的 TFTP 客户端损坏
 
路由器无法连接到 TFTP 服务器。
 
尚未启动 TFTP 服务器软件。
 TFTP
服务器上空间不足,无法容纳该软件。
Option 3 and Option 4 are correct. 
网络管理员在试图通过 TFTP 服务器升级 Cisco IOS 映像前,必须检验哪两项?(选择两项。)
 
 
使用 show hosts 命令检验 TFTP 服务器的名称。
 
使用 tftpdnld 命令检验 TFTP 服务器是否正在运行。
 
使用 show version 命令检验映像的校验和是否有效。
 
使用 ping 命令检验路由器与 TFTP 服务器之间的连通性。
 
使用 show flash 命令检验闪存是否具有足够空间容纳新的 Cisco IOS 映像。
 
Option 4 and Option 5 are correct. 
升级 IOS 映像有哪两种有效方法?(选择两项。)
 
 
通过控制台连接复制粘贴
 
通过网络连接复制粘贴
 
通过控制台连接使用 TFTP
 
通过网络连接使用
TFTP
 
通过控制台连接使用
Xmodem
 
通过网络连接使用
Xmodem
 Option 4 and Option 5 are correct. 
口令恢复过程在哪种工作模式下开始,使用哪种连接? (选择两项。)

 
 ROM
监控
 
启动 ROM
 Cisco IOS
 
经过控制台端口的直接连接

 
经过以太网端口的网络连接
 
经过串行端口的网络连接
CCNA最新中文题库第四学期第三单元(2009-01-08 17:06:30) 下列哪项最准确地描述了采用帧中继与采用租用线路或 ISDN 服务相比的优势?
 
 
客户可以更精确地定义其虚电路需求,且带宽需求之间的差别可低至 64 kbps
 
客户只需支付包含本地环路和网络链路的端对端连接的费用。
 
客户只需支付本地环路以及网络提供商所提供的带宽的费用。
 
连接新站点时,所需的新电路安装成本要低于 ISDN 拨号的成本或因租用服务而添加额外硬件的成本。
 
2 points for Option 3 
帧中继技术使用哪两种方法处理包含错误的帧? (选择两项。)
 
 
帧中继服务依靠上层协议来处理错误恢复工作。
 
它要求接收设备请求发送方重新传输错误帧。
 
设置帧中的 FECNBECN DE 位以尽量减少错误。
 
接收设备会丢弃所有包含错误的帧而不会通知发送方。
 
帧中继交换机会通知发送方检测到了错误。
 
Option 1 and Option 4 are correct. 
哪种说法是对数据链路连接标识符 (DLCI) 的最佳描述?
 
 
用于标识通过帧中继网络连接的目的路由器的本地地址
 
用于标识虚电路的具有本地意义的地址
 
用于标识路由器和帧中继交换机之间的接口的逻辑地址
 
用于标识 DCE 的逻辑地址
 
2 points for Option 2
 
如果 WAN 包含一个总部站点和 40 个区域站点,每个区域站点又包含多个站点,则哪种帧中继拓扑能兼顾成本、可靠性和复杂度?  星型
 
全网状
 
部分网状
 
单点对多点
 
点对点
 2 points for Option 3
 在帧中继网络中,下列哪两项使路由器可将数据链路层地址映射到网络层地址?(选择两项。)
  ARP
 RARP
 
代理 ARP
 
逆向
ARP
 LMI
状态消息

 ICMP
Option 4 and Option 5 are correct.
请参见图示。 从路由器 Peanut 向地址 192.168.50.10 发出了一次 ping 命令。 发送该 ping 命令时将使用什么 DLCI
 
 110
 115
 220
 225
2 points for Option 1
 下列哪两项扩展被定义为帧中继本地管理接口的一部分? (选择两项。)
 
 
逆向 ARP
 
组播

 
具有本地意义的 DLCI
 
全局寻址

 DLCI
IP 地址之间的映射
 
Option 2 and Option 4 are correct.
请参见图示。 图中所示的是帧中继功能的哪个部分?
 
 
帧中继可使用 LMI 来确定本地 DLCI
 
帧中继通过逆向 ARP 来获知本地帧交换端口和目的 DLCI
 
每台路由器使用帧中继映射中指定的本地 DLCI 来查询目的 DLCI LMI
 
每台路由器使用 LMI 来确定目的 DLCI,并通过手动帧中继映射或自动逆向 ARP 将该目的地映射到 IP 地址。
2 points for Option 1 
在路由器上配置命令 frame-relay map ip 10.1.1.1 22 后会产生哪两项后果? (选择两项。)
 
 DLCI 22
会取代 ARP 表中条目 10.1.1.1 MAC 地址。
 DLCI
22 的远程电路可以收到 ping
 
会通过逆向 ARP 向帧中继映射中加入 DLCI 22 作为 10.1.1.1 的条目。
 
发往 10.1.1.1 Ping 数据包会通过标有 DLCI 22 的电路发送。
 
路由器会使用 DLCI 22 来向 10.1.1.1 转发数据。
 
Option 4 and Option 5 are correct
请参见图示。 子接口 S0/0.110 上的点对点配置对路由器的运作有什么影响?
 
 
它有助于节约 IP 地址。
 
它与多个物理接口建立多个 PVC 连接。
 
它既消除了水平分割问题,又不增大出现路由环路的可能性。
 
它需要在子接口上配置 encapsulation 命令。
2 points for Option 3 
下列关于多点子接口的说法中哪两项正确? (选择两项。)
 
 
单个多点子接口用于与远程路由器上的多个物理接口建立 PVC 连接。
 
每条多点链路处于独立的子网内。 该物理接口没有 IP 地址。
 
禁用了水平分割,以允许向每个子接口重新传输路由更新。
 
需要在每个多点子接口上发出 encapsulation frame-relay 命令,子接口才能正常工作。
 
Option 1 and Option 3 are correct. 
当帧中继交换机检测到队列中帧过度堆积时,会进行哪三项操作? (选择三项。)
 
 
暂停接受超过 CIR 的帧
 
从队列中丢弃设置了 DE 位的帧
 
减少它发往链路的帧的数量
 
与相连的设备重新协商流量控制
 
对来自拥塞链路的所有帧设置 FECN
 
对发往拥塞链路的所有帧设置 BECN
 
Option 2, Option 5, and Option 6 are correct.
请参见图示。 下列关于图中所示输出的说法中哪两项正确? (选择两项。)
 
 
本地帧中继接口的 IP 地址是 172.16.1.4
 
本地 DLCI 号是 401
 
此连接上正在使用逆向 ARP
 
此接口处于活动状态,且正在协商配置参数。
 
此连接上未启用组播。
Option 2 and Option 3 are correct.
请参见图示。 在排查帧中继连接故障时,管理员发出 show interfaces s0/0 命令后收到了图中所示的输出。此问题可能的原因有哪两条? (选择两项。)
 
 CSU/DSU
与路由器之间的电缆连接断开。
 serial 0/0
接口关闭。
 
未将路由器与交换机配置在同一条帧中继 PVC 上。
 
帧中继交换机上的 LMI 类型不是 ANSI
 
路由表中不存在帧中继交换机的地址。
Option 3 and Option 4 are correct.
请参见图示。 从图中所示的输出中能得出哪三条结论? (选择三项。) debug frame-relay lmi 命令的输出将表明 DLCI 18 的状态为 0x2
 DLCI 16
已在交换机上正确配置,但远程路由器可能配置错误。
 
帧中继交换机正在向路由器 Singapore 发送关于 DLCI 16 LMI 状态消息。
 DLCI 16
上发生了拥塞。
 DLCI 18
上发生了拥塞。
 
某些数据包被设置为在 PVC 发生拥塞时丢弃。
Option 1, Option 2, and Option 3 are correct.
请参见图示。 从图中所示的输出可得出关于该帧中继交换机的什么结论?
 
 
它当前未传输数据。
 
它正处于建立 PVC 的过程中。
 
它已暂停接受超过 CIR 的帧
 
它当前遇到了拥塞现象。