101、BFD只是一种通用的快速检测技术，自身可以实现快速倒换功能，没有必要和其他快速倒换技术一起使用。 A.正确 B.错误  【正确答案】B 【答案解析】BFD快速检测技术，自身不能够建立邻居关系，需要依赖其他协议结合使用。所以题目中的描述是错误的。

102、下列关于防火墙的域间安全策略的描述，正确的是？A.域间安全策略按照排列顺序匹配，排列在前的优先匹配  B.域间安全策略按照ID号码大小匹配，号码小的优先匹配  C.域间安全策略按照ID号码大小匹配，号码大的优先匹配  D.域间安全策略按照序号大小自动排列，当改变排列顺序，号码也跟着改变  【正确答案】A 【答案解析】华为防火墙域间策略按照排列顺序匹配生效，排列在前的优先匹配。所以选项“域间安全策略按照排列顺序匹配，排列在前的优先匹配 ”的说法是正确的。

103、对于一台运行MPLS的设备来说，会有标签转发表的存在，那么标签转发表中所有的入标签？ A.一定不同  B.一定相同 C.可能不同  【正确答案】C

104、VRRP报文类型除了Advertisement报文，还有Hello报文用来进行Mater和Backup的选举。 A.正确 B.错误  【正确答案】B 【答案解析】VRRP协议中只有一种报文就是由mater发送的advertisement 报文。所以题目中的描述是错误的。

105、关于某设备上的VPN配置命令的描述，以下正确的是？ A.VPN命令是在客户网络的CE设备上进行配置的  B.Route-Distinguisher 1:1表明RD的值为1:1，RD不必全局唯一 C.vpn-target 1:1 exportcommunity表明VPN的Export Target为1:1  D.vpn-target 2:2 importcommunity表明VPN的import Target为2:2，import Target只能设置一个  【正确答案】C 【答案解析】VPN的配置设备是在运营商的PE上进行的；RD路由区分符，同一个公司的流量必须全局唯一；RT路由标记分为出向和入向，出向需等于入向的值；当公司总部与多个分布建立VPN时，可以设置多个入向。所以正确答案是“vpn-target 1:1 exportcommunity表明VPN的Export Target为1:1 ”。

106、在设置WRED丢弃策略时，对标记为AF21的流量下限设为35，上限设为40，标记为AF22的流量下限设为30，上限设为40，标记为AF23的流量下限设为25，上限设为40，另外达到上限时的丢弃概率都是10%，那么发生拥塞之前，哪个优先级的数据包能够得到一定的保证？A.都一样  B.AF22  C.AF21  D.AF23  【正确答案】A 【答案解析】发送拥塞之前，数据包得到的优先级保证都是一致的。所以正确答案是“都一样”。

107、以下哪类防火墙处理非首包的数据流时，其转发效率最高？ A.包过滤防火墙  B.代理防火墙 C.状态检测防火墙  D.软件防火墙  【正确答案】C 【答案解析】状态检测防火墙使用基于连接状态的检测机制，将通信双方之间交互的属于同一连接的所有报文都作为整体的数据流来对待。在状态检测防火墙看来，同一个数据流内的报文不再是孤立的个体，而是存在联系的。为数据流的第一个报文建立会话，数据流内的后续报文直接根据会话进行转发，提高了转发效率。所以正确答案是“状态检测防火墙”。

108、在USG系列防火墙的Trust区域视图下，配置add interface Gigabiethernet0/0/1后，则Gigabiethernet0/0/1不再属于Local区域。 A.正确 B.错误  【正确答案】B 【答案解析】local 区域指的是设备自身 ，物理接口不管加不加入其他区域都是属于此区域的。所以题目中的描述是错误的。

109、下列关于VRRP的描述，错误的是？ A.VRRP是一种冗余备份协议，为具有组播或广播能力的局域网（如以太网）设计，保证当局域网内主机的下一跳路由器设备出现故障时，可以及时地由另一台路由器代替，从而保持网络通信的连续性和可靠性 B.在使用VRRP协议时，需要在路由器上配置虚拟路由器号和虚拟IP地址，直接使用主路由器真实MAC，这样在这个网络中加入了一个虚拟路由器  C.网络上的主机与虚拟路由器通信，不需要了解这个网络上物理路由器的所有信息  D.一个虚拟路由器由一个主路由器、若干个备份路由器组成，主路由器实现真正的转发功能，当主路由器出现故障时，一个备份路由器将成为新的主路由器并接 替它的工作  【正确答案】B 【答案解析】一个虚拟路由器拥有一个虚拟MAC地址，格式为：00-00-5E-00-01-{vrid} 。当虚拟路由器回应ARP请求时，使用虚拟MAC地址，而不是接口的真实MAC地址。所以选项“在使用VRRP协议时，需要在路由器上配置虚拟路由器号和虚拟IP地址，直接使用主路由器真实MAC，这样在这个网络中加入了一个虚拟路由器”的说法是错误的，其他说法都正确。

110、在Agile Controller的无线准入控制场景中，推荐使用下列哪种方式来控制企业内部员工和访客接入网络？ A.根据不同的用户名控制接入  B.根据无线终端MAC地址是否注册控制接入 C.为内部员工和访客设置不同的SSID控制接入  D.根据无线终端的类型控制接入  【正确答案】C 【答案解析】在Agile Controller的无线准入控制场景中，控制企业内部员工和访客接入网络推荐使用SSID来区分。所以正确答案是“为内部员工和访客设置不同的SSID控制接入”。

111、运行MPLS设备的标签转发表中，对于同一条路由，入标签和出标签？ A.一定不同  B.一定相同 C.可能相同  【正确答案】C 【答案解析】在MPLS转发表中，对于同一条路由，入标签是自己分配的 ，本地生效，出标签是别的设备分配的。所以正确答案是“可能相同”。

112、USG系列防火墙的Server map表的三要素，不包括： A.目的IP  B.目的端口号  C.协议号 D.源IP  【正确答案】D 【答案解析】设备通过检测报文的应用层数据，自动获取相关信息并创建相应的会话表项，以保证这些应用的正常通信。这个功能称为ASPF，所创建的会话表项叫做server-map表。Server-map表三要素包括目的IP、目的端口号、协议号。所以正确答案是“源IP ”。

113、下列关于不同类型的防火墙的说法，错误的是？ A.包过滤防火墙对于通过防火墙的每个数据包，都进行ACL匹配检查  B.状态检测防火墙只对没有命中会话的首包进行安全策略检查 C.状态检测防火墙需要配置报文的“去”、“回”两个方向的安全策略  D.代理防火墙代理内部网络和外部网络用户之间的业务  【正确答案】C 【答案解析】状态检测防火墙Server-map表记录了应用层数据中的关键信息，报文命中该表后，不再受安全策略的控制。所以选项 ## 状态检测防火墙需要配置报文的“去”、“回”两个方向的安全策略 ## 的说法是错误的。

114、在Diff-serv域的核心路由器通常只需要进行简单流分类。A.正确  B.错误  【正确答案】A 【答案解析】Diffserv一般基于报文中的EXP、802.1p、IPP等字段值进行简单的流分类，以及对相应的流进行流量控制。所以题目中的描述是正确的。

115、拥塞避免通常采用的QoS技术是？ A.GTS  B.LR  C.CAR D.WRED  【正确答案】D 【答案解析】RED、WRED为拥塞避免技术；GTS/LR/CAR 为流量限速技术。所以正确答案是“WRED”。

116、ASPF〔Applicaion Specific Packet Filter〕是一种基于应用层的包过滤，它会检查应用层协议信息并且监控连接的应用层协议状态，并通过Server MAP表实现了特 殊的安全机制。 那么关于ASPF和Server map表的说法，错误的是？ A.ASPF监视通信过程中的报文  B.ASPF动态创建和删除过滤规则  C.ASPF通过Server map表实现动态允许多通道协议数据通过 D.五元组Server map表项实现了和会话表类似的功能  【正确答案】D 【答案解析】通过会话中的五元组信息可以唯一确定通信双方的一条连接。一条会话server map表示通信双方的一个连接。多条会话的集合叫做会话表。所以选项“五元组Server map表项实现了和会话表类似的功能”的说法是错误的。

117、在MPLS网络中，针对标签会有不同的操作类型，其中“pop”动作的含义是？A.在MPLS标签栈中移除顶部标签  B.在MPLS标签栈中加入顶部标签  C.将顶部标签替换成另外一个数值  D.将顶部标签替换成另一组标签  【正确答案】A 【答案解析】POP是弹出的意思 ，就是将现在带有MPLS标签的报文里的标签移除。所以正确答案是“在MPLS标签栈中移除顶部标签”。

118、攻击者通过发送ICMP应答请求，并将请求包的目的地址设为受害网络的广播地址，以实现攻击目的。这种行为属于哪一种攻击？ A.IP欺骗攻击 B.Smurf攻击  C.ICMP重定向攻击  D.SYN flood攻击  【正确答案】B 【答案解析】Smurf攻击方法是发ICMP应答请求，将该请求包的目标地址设置为受害网络的广播地址，这样该网络的所有主机都对此ICMP应答请求作出答复，导致网络阻塞。高级的Smurf攻击，主要用来攻击目标主机。方法是将上述ICMP应答请求包的源地址改为受害主机的地址，最终导致受害主机雪崩。所以正确答案是“Smurf攻击”。

119、下面对于MPLS的转发过程的描述，错误的是？ A.在MPLS中，如果LSP转发数据失败，负责建立LSP的MPLS控制平面能够检测到这种错误  B.MPLS的转发平面的主要功能是对IP包进行标签的添加和删除，同时依据标签转发表，对收到的分组进行转发  C.IP包进入MPLS网络时，MPLS入口的LER会分析IP包的内容并为这些IP包添加合适的标签 D.MPLS依然可以使用ping或者tranceroute来发现LSP错误，并及时定位失败节点  【正确答案】D 【答案解析】MPLS转发数据分为控制层面和转发层面，建立好LSP标签转发路径之后，进行标签数据转发，当数据转发错误，可以用ping或者tranceroute发现并定位错误结点。所以选项“MPLS依然可以使用ping或者tranceroute来发现LSP错误，并及时定位失败节点”的说法是错误的。

120、以下关于QoS中的diff-serv服务模型，说法错误的是？A.它需要信令，即应用程序在发出报文前，不需要通知路由器、网络不需要为每个流维护状态  B.它可以用不同的方法来指定报文的qos，如IP报文优先级位（IP precedence），报文的源地址和目的地址等  C.它一般用来为一些重要的应用提供端到端的QoS保证  D.它可以通过CAR或队列等技术实现  【正确答案】A 【答案解析】IntServ是一种最为复杂的服务模型，它需要用到RSVP协议。该服务模型在发送报文前，需要向网络申请特定的服务。这个请求是通过信令（signal）来完成的，应用程序首先通知网络它自己的流量参数和所需的特定服务质量的请求，包括带宽、时延等。应用程序一般在收到网络的确认信息后，即认为网络已经为这个应用程序的报文发送预留了资源，然后立即发送报文。IntServ模型要求端到端网络的所有节点都支持RSVP协议，且每个节点都需要周期性地同相邻节点交换状态信息，这样就会加大协议报文导致的开销。更关键的是，所有网络节点都需要为每个数据流保存状态信息。所以正确答案是“它需要信令，即应用程序在发出报文前，不需要通知路由器、网络不需要为每个流维护状态 ”。

121、BFD检测报文默认的发送时间间隔是多少？ A.5s  B.100ms C.1000ms  D.10s  【正确答案】C 【答案解析】BFD快速检测机制，默认检测报文发送时间间隔1000ms。所以正确答案是“1000ms”。

122、对Agile Controller的业务随行应用场景的描述，错误的是？ A.各部门办公人员访问服务器资源时，权限策略都由Agile Controller统一部署，而管理员只需关注部门间互访关系的设定，并选取园区中关键位置设备作为策略执行点。等部署完成后，无论用户在何位置、以何种方式接入，都可以获得其访问权限  B.可实现外包人员与内部员工协作办公，并基于策略与IP，结合“策略自动部署”功能，可以快速实现多团队一起办公，同时保证每个用户都能够拥有正确的物理访问权限，这可根据需要控制团队成员间的数据共享行为，保证企业数据的安全  C.当网管资源有限时，可结合自动优选网关VIP优先上线，实现保证VIP用户享有优质网络体验 D.人员的办公需求由Agile Controller自动识别，不需要人工配置，且无论用户在何时何地都可以获得其访问权限  【正确答案】D 【答案解析】策略自动部署，各部门办公人员访问DC的服务器资源，权限策略由Agile Controller统一自动部署，管理员只需关注组间互访关系设计，并选取园区中关键位置设备作为策略执行点（通常为认证点交换机、核心防火墙、边界防火墙/SVN）。初始化部署完成之后，无论用户在何位置，以何种方式接入，都可以获得其访问权限。所以正确答案是“人员的办公需求由Agile Controller自动识别，不需要人工配置，且无论用户在何时何地都可以获得其访问权限”。

123、LDP是专门为标签分发而制定的协议，它的消息类型有多种，其中用来宣告和维护网络中一个LSR存在的消息是？A.Discovery message  B.Session message  C.Advertisement message  D.notifcation message  【正确答案】A 【答案解析】发现（Discovery）消息，用于通告和维护网络中邻居的存在，如Hello消息。所以正确答案是“Discovery message”。

124、RouterA和RouterB属于一个VRRP组，RouteA优先级120，RoaterB优先级100。 VRID的虚拟IP地址和RouterB的接口地址相同。则当网络运行状态良好时，此VRRP 组中的 Master设备是？ A.RouterA B.RouterB  【正确答案】B 【答案解析】当虚拟IP地址和RouterB的接口地址相同 ，当前设备成为IP地址拥有者，优先级255默认为其保留且无法手工配置。所以IP地址拥有者为master。所以正确答案是“RouterB”。

125、关于802.1X和RADIUS两种技术的关系，下列选项描述正确的是？ A.802.1X和RADLUS是同一组技术的不同名称  B.802.1X是一个技术体系，它包含了RADIUS技术  C.RADIUS 是一个技术体系，它包含了802.1X技术 D.802.1X和RADIUS是不同的技术，但经常配合在一起使用，共同完成对终端用户的准入控制  【正确答案】D 【答案解析】802.1X和RADIUS是不同的技术，通常radius 作为服务器端进行验证，802.1X  作为准入控制。所以正确答案是“802.1X和RADIUS是不同的技术，但经常配合在一起使用，共同完成对终端用户的准入控制 ”。

126、配置VRRP抢占时延的命令是： A.vrrp vrid 1 preempt -timer 20 B.vrrp vrid 1 preempt-mode timer delay 20  C.vrrp vrid 1 timer delay 20  D.vrrp vrid 1 preempt-delay 20  【正确答案】B 【答案解析】配置VRRP抢占时延的正确命令是：vrrp vrid 1 preempt-mode timer delay 20 。

127、LDP session建立前需要建立TCP连接，并且在连接之前会选择主动方和被动方，在如下组网中（1.1.1.1/32-SWA-.1--------.2-SWB-2.2.2.2/32），哪个设备将成为TCP发起的主动方？ A.如果Hello Message中携带Transport Address，则Transport Address小的成为主动方  B.如果Hello Message中没有携带Transport Address，则SWB将成为主动方  C.如果Hello Message中没有携带Transport Address，则SWA将成为主动方 D.如果Hello Message中携带Transport Address，则Transport Address大的将成为主动方  【正确答案】D 【答案解析】两个设备之间互相发送Hello消息，Hello消息中携带传输地址，传输地址较大的一方作为主动方，发起TCP连接。所以正确答案是“如果Hello Message中携带Transport Address，则Transport Address大的将成为主动方”。

128、配置BFD与静态默认路由联动的命令是？ A.IP route-static 0.0.0.0.0.0.0.0 10.0.12.2 bfd-session 1 B.IP route-static 0.0.0.0.0.0.0.0 10.0.12.2 trackbfd-session 1  C.IP route-static 0.0.0.0.0.0.0.0 10.0.12.2 track 1  D.IP route-static 0.0.0.0.0.0.0.0 10.0.12.2 track session1  【正确答案】B 【答案解析】配置BFD与静态路由联动的命令IP route-static 0.0.0.0.0.0.0.0 10.0.12.2 track bfd-session 1 。所以正确答案是“IP route-static 0.0.0.0.0.0.0.0 10.0.12.2 trackbfd-session 1”。

129、PQ的分类机制支持时延标准或扩展的IP访问列表？A.正确  B.错误  【正确答案】A 【答案解析】PQ调度，针对于关键业务类型应用设计，PQ调度算法维护一个优先级递减的队列系列并且只有当更高优先级的所有队列为空时才服务低优先级的队列。这样，将关键业务的分组放入较高优先级的队列，将非关键业务（如E-Mail）的分组放入较低优先级的队列，可以保证关键业务的分组被优先传送，非关键业务的分组在处理关键业务数据的空闲间隙被传送。PQ的分类机制支持时延标准或扩展的IP访问列表。所以题目中的描述是正确的。

130、一台VRRP虚拟路由器只能拥有虚拟IP地址。 A.正确 B.错误  【正确答案】B 【答案解析】虚拟IP地址也可以是路由器的物理接口IP，此台设备成为VRRP虚拟IP地址的拥有者。所以题目中的描述是错误的。

131、快速检测技术可以尽早地检测到与相邻设备间的通信故障，以便系统能够及时采取措施，保证业务不中断。A.正确  B.错误  【正确答案】A 【答案解析】快速检测技术目的就是故障快速定位检测，减少或不影响业务的实时运行。所以题目中的描述是正确的。

132、在端口队列调度中，哪种队列没有公平性、且不同的流之间不能相互隔离？ A.CQ+WFQ  B.PQ+WFQ C.FIFO  D.WRR  【正确答案】C 【答案解析】FIFO先入先出队列，谁先来谁先走，没有公平性可言，不同的流量不能区分隔离。所以正确答案是“FIFO”。

133、包过滤防火墙的主要特点包括？ A.随着ACL复杂度和长度的增加，防火墙过滤性能呈指数下降趋势  B.静态的ACL规则难以适应动态的安全过滤要求  C.不检查会话状态也不分析数据，这很容易让黑客蒙混过关 D.能够完全控制网络信息的交换，控制会话过程，具有较高的安全性  【正确答案】D 【答案解析】包过滤防火墙只根据设定好的静态规则来判断是否允许报文通过，它认为报文都是无状态的孤立个体，不关注报文产生的前因后果，“逐包检测”机制，即对设备收到的所有报文都根据包过滤规则每次都进行检查以决定是否对该报文放行。所以正确答案是“能够完全控制网络信息的交换，控制会话过程，具有较高的安全性 ”。

134、在Peer-to-Peer VPN网络中，与客户端设备直接相连，并负责VPN 业务接入运营商网络的设备是？ A.CE设备 B.PE设备  C.P设备  D.Client设备  【正确答案】B 【答案解析】与客户端CE直接相连的运营商端的设备成为PE设备，此设备负责VPN业务接入运营商网络。所以正确答案是“PE设备”。

135、在域间包过滤中，以下属于outbound方向的是哪个选项？A.Trust → untrust  B.Untrust→trust  C.Untrust→dmz  D.trust→local  【正确答案】A 【答案解析】从安全级别高的区域向安全级别低的区域属于outbound方向。所以正确答案是“Trust → untrust”。

136、在不使用BFD检测机制的情况下，通过以太网链路建立邻居关系的OSPF路由器，在链路故障之后最长需要40秒才会中断邻居关系。A.正确  B.错误  【正确答案】A 【答案解析】OSPF邻居之间发送hello时间10S，死亡时间为4倍的hello时间40S。所以题目中的描述是正确的。

137、包过滤防火墙对哪一层的数据报文进行检查？ A.应用层  B.物理层 C.网络层  D.链路层  【正确答案】C 【答案解析】包过滤防火墙对网络层的数据报文进行检查。所以正确答案是“网络层”。

138、BFD机制使用TCP建立连接，其目的端口号为3784。 A.正确 B.错误  【正确答案】B 【答案解析】BFD机制使用TCP建立连接，其目标端口号是3784（默认），也可以是4784。所以题目中的描述是错误的。

139、在SDN中，open flow协议是控制器和转发器之间的控制协议。A.正确  B.错误  【正确答案】A

140、MPLS是一种标签转发技术，对MPLS的描述错误的是？A.采用面向连接的控制平面和无连接的数据平面  B.控制平面实现路由信息的传递和标签的分发，数据平面实现报文在简历的标签转发路径上传送  C.MPLS域内交换机只需要根据封装在IP头外面的标签进行转发即可  D.对于传统的IP转发，MPLS标签转发大大提高了数据转发效率  【正确答案】A 【答案解析】IP路由协议是MPLS建立标签转发路径的控制协议，带MPLS标签的数据依据建立的标签转发路径进行转发，如果带标签的数据需要转发到IP网络中，则去掉标签后根据IP转发表转发，MPLS标签转发提高了数据的转发效率.MPLS标签转发之前是先建立LSP标签转发路径的。所以选项“采用面向连接的控制平面和无连接的数据平面”的说法是错误的。

141、如果两台设备相连，其中一台设备支持BFD检测功能，而另外一台设备不支持，那么支持BFD检测功能的设备可以利用BFD的那个功能特性来实现链路的检测？ A.快速握手  B.接口状态联动 C.单臂回声  D.双向检测  【正确答案】C 【答案解析】支持BFD检测功能的设备可以利用BFD的单臂回声功能特性来实现链路的检测。所以正确答案是“单臂回声”。

142、LDP邻居发现有不同的实现机制和规定，下面关于LDP邻居发现的描述，错误的是？ A.LDP发现机制包括LDP基本发现机制和LDP扩展发现机制  B.LDP基本发现机制可以自动发现直连在同一条链路上LDPPeers  C.LDP扩展发现机制能够发现非直连的LDP Peers D.LDP发现机制都需要明确指明LDP Peer  【正确答案】D 【答案解析】LDP发现机制用于LSR发现潜在的LDP对等体。LDP有两种发现机制：1）基本发现机制：用于发现链路上直连的LSR。LSR通过周期性地发送LDP链路Hello消息（LDP Link Hello），实现LDP基本发现机制，建立本地LDP会话LDP链路Hello消息使用UDP报文，目的地址是组播地址224.0.0.2。如果LSR在特定接口接收到LDP链路Hello消息，表明该接口存在LDP对等体。2）扩展发现机制：用于发现链路上非直连LSR，无需指定LDP Peer。LSR周期性地发送LDP目标Hello消息（LDP Targeted Hello）到指定IP地址，实现LDP扩展发现机制，建立远端LDP会话。LDP目标Hello消息使用UDP报文，目的地址是指定IP地址。如果LSR接收到LDP目标Hello消息，表明该LSR存在LDP对等体。所以选项“LDP发现机制都需要明确指明LDPPeer”的说法是错误的。

143、NAT Server功能即将某个公网IP地址映射为服务器的私网IP地址，是一种转换报文目的IP地址的方式。A.正确  B.错误  【正确答案】A 【答案解析】NAT server 功能是将公网IP 和服务器的私有IP做映射 ，是转换目的IP地址的一种方式 。所以题目中的描述是正确的。

144、Agile Controller作为一个网络资源自动化控制系统，可以提供统一的策略引擎，在整个组织内实施统一的访问策略，实现基于用户身份、接入时间、接入地址、接 入类型、接入方式（简称5H1W）的认证与授权。A.正确  B.错误  【正确答案】A 【答案解析】agile controller在整个组织内实施统一的访问的策略，通过接入网络中的几个要素：谁（Who）、时间（When）、地点（Where）、终端(What)、终端归属(Whose)、如何接入(How)，来动态决定用户的认证与授权所以题目中的描述是正确的。

145、VRRP与BFD进行联动的配置命令是？A.vrrp vrid 1 track bfd-session session-name 1 reduced 100  B.bfd-sesssion vrrp vrid 1 track session-name 1 reduced 100  C.track vrrp vrid 1 bfd-session session-name 1 reduced 100  D.vrrp vrid 1 track bfd-session-name 1 reduced 100  【正确答案】A 【答案解析】VRRP与BFD进行联动的配置命令是vrrp vrid 1 track bfd-session session-name 1 reduced 100 。所以正确答案是“vrrp vrid 1 track bfd-session session-name 1 reduced 100”。

146、使用NAT技术，只可以对数据报文中的网络层信息（IP地址）进行交换。 A.正确 B.错误  【正确答案】B 【答案解析】no-nat 只对网络层信息进行交换，动态NAT 既可以转换IP地址信息，也可以转换端口信息。所以题目中的描述是错误的。

147、为了防御一些网络攻击，可以在交换机上开启DHCP Snooping功能，并设置信任/非信任端口。请问如下组网中（交换机S9300连接A、B、C、D 四个网段，DHCP Server位于网络D中），S9300的哪个端口应该设置为信任端口？ A.与network A相连的端口  B.与network B相连的端口  C.与network C相连的端口 D.与network D相连的端口  【正确答案】D 【答案解析】DHCP snooping 用于防止DHCP server 仿冒功能攻击  ，所以在连接DHCP server 网络的接口上 开启信任端口。所以正确答案是“与network D相连的端口 ”。

148、关于VRRP的描述错误的是？ A.VRRP组中的路由器根据优先级选举出Master  B.Master由器通过发送免费ARP报文，将自己的虚拟MAC地址通知给与它连接的设备哉者主机  C.如果Master路由器出现故障，虚拟路由器中的Backup路由器将根据优先级重新选举新的Master D.因为优先级的范围为1-255，所以当Backup设备收到的VRRP通告报文中的优先级值为0时，Backup将丢弃该报文，不做任何处理  【正确答案】D 【答案解析】VRRP组中根据优先级选举master ；master路由器通过发送免费的ARP报文，将虚拟MAC通知给组内其他的连接的设备或者主机；主路由器出现故障，通过对比优先级重新选举master；当backup 路由器收到优先级为0的报文时，backup路由器立马切换为master路由器。所以正确答案是“因为优先级的范围为1-255，所以当Backup设备收到的VRRP通告报文中的优先级值为0时，Backup将丢弃该报文，不做任何处理”。

149、下面对“报文标记”的描述，错误的是？ A.可以对报文的QoS信息字段进行标记  B.可以对IP报文的DSCP、IP Precedence信息进行标记  C.可以对VLAN报文的802.1p信息进行标记 D.可以对报文的MAC进行标记  【正确答案】D 【答案解析】可以对报文的QoS信息字段进行标记如：IP报文的DCSP字段/IPP字段、VLAN的802.1P字段等。所以选项“可以对报文的MAC进行标记 ”的说法是错误的。

150、VRP版本支持的BFD版本号是？A.version1  B.version2  C.version3  D.version4  【正确答案】A 【答案解析】VRP版本支持的BFD版本号是version1，所以正确答案是“ version1”。

151、在eSight的告警管理功能中，其告警等级分为如下四种。 A.紧急、次要、一般、提示  B.紧急、重要、主要、提示  C.紧急、重要、警告、提示 D.紧急、重要、次要、提示  【正确答案】D 【答案解析】eSight按严重程度递减的顺序可以将告警分为以下四个级别：紧急告警、重要告警、次要告警、提示告警。所以正确答案是“紧急、重要、次要、提示”。

152、RED技术可以解决以下哪些缺陷？A.TCP全局同步现象  B.TCP饿死现象  C.无差别的丢弃  【正确答案】A

153、NFV和SDN是高度互补，相互依赖的关系，所以必须结合使用。 A.正确 B.错误  【正确答案】B 【答案解析】SDN和NFV是两种技术，可以结合使用但不是必须。所以题目中的描述是错误的。

154、VRRP设备在备份组中的默认优先级为？ A.200 B.100  C.150  D.0  【正确答案】B 【答案解析】VRRP备份组中默认的优先级为100。所以正确答案是“100”。

155、一个套接字是由五元组组成，那么以下哪个选项不属于五元组范围？ A.源IP B.源MAC  C.目的IP  D.目的端口  【正确答案】B 【答案解析】五元组包括源IP、目标IP、源端口、目的端口、协议号。所以正确答案是“源MAC”。

156、在状态检测防火墙中，开启状态检测机制时，三次握手的第二个报文（SYN+ACK）到达防火墙的时候，如果防火墙上还没有对应的会话表，则下面说法正确的是？ A.如果防火墙安全策略允许报文通过，则报文可以通过防火墙  B.如果防火墙安全策略允许报文通过，则创建会话表 C.缺省状态下，关闭状态功能后，并配置了允许策略即可通过  D.报文一定通过防火墙，并建立会话表  【正确答案】C 【答案解析】三次握手未完成还没有形成一个连接，所以关闭状态检测功能，配置允许策略及第二个报文可以通过。所以正确答案是“缺省状态下，关闭状态功能后，并配置了允许策略即可通过”。

157、根据IP Precedence、MPLS EXP或802 .1p信息，可以将报文分为几种业务类型？ A.2  B.4  C.6 D.8  【正确答案】D 【答案解析】IP precedence  优先级用3比特表示；mpls exp 优先级用3比特表示；802.1p 用3比特表示；所以都可以将报文分为8种业务类型。所以正确答案是“8”.

158、DHCP snooping是一种DHCP的安全特性，关于DHCP snooping的说法，下列描述错误的是？ A.DHCP snooping绑定表分为动态绑定表和静态绑定表  B.DHCP snooping区分信任端口和非信任端口，对非信任端口，不处理DHCP reply报文 C.静态绑定表在报文入端口手工输入，也可以手工设置表项老化时间  D.在二层上应用DHCP snooping时，不设置option 82 功能也可以获得绑定表所需要的接口信息  【正确答案】C 【答案解析】DHCP snooping 绑定表分为动态绑定表和静态绑定表；接口分为信任接口和非信任接口；在二层应用中，不做其他设置可以直接获得绑定表所需要的接口信息、静态客户端使用静态绑定表，在系统视图下配置实现，不删除将一直存在。所以选项“静态绑定表在报文入端口手工输入，也可以手工设置表项老化时间”的说法是错误的。

159、关于华为交换机设备中的Hybrid端口，下列说法正确的是？ A.Hybrid端口只能用来连接网络设备  B.Hybrid端口只能用来连接主机 C.Hybrid端口既可以用来连接主机，又可以用来连接网络设备  D.Hybrid端口上不能配置默认VLAN  【正确答案】C

160、关于USG系列的安全防火墙的默认安全区域的描述，正确的是？ A.默认安全区域可以删除  B.默认安全区域可以修改安全级别  C.默认安全区域不能删除，但可以修改安全级别 D.默认安全区域有4个  【正确答案】D 【答案解析】华为USG防火墙默认安全区域不可以删除，也不能修改安全级别；默认安全区域有trust、UNtrust、dmz、local。所以正确答案是“默认安全区域有4个”。

161、Overlay VPN的主要特点是客户的路由协议总是在客户设备之间交换，而服务提供商对客户的内部结构一无所知。A.正确  B.错误  【正确答案】A 【答案解析】VPN可以在CE设备上建立隧道并直接传递路由信息，路由协议数据总是在客户设备之间交换，运营商对客户网络结构一无所知。所以题目中的描述是正确的。

162、传统接入网的局限性不包括下列哪项？ A.网络协议实现复杂，运维难度较大  B.流量路径的调整能力不够灵活  C.网络新业务实际的速度较慢 D.不同厂家设备实现机制相似，操作命令差异较小，易于操作  【正确答案】D 【答案解析】不同厂商的设备实现机制不同，操作命令有差异，不便于操作。所以正确答案是“不同厂家设备实现机制相似，操作命令差异较小，易于操作”。

163、在BestEffort、IntegratedService、DifferentiatedService三种服务模型中，只有IntegratedService与DifferentiatedService这两种能提供多服务的QoS保障。在实际网络建设中，网络边缘应该使用IntegratedService方式，网络核心使用DifferentiatedService方式。 A.正确 B.错误  【正确答案】B

164、关于MPLS的标签空间，描述错误的是？ A.16-1023是静态LSP和静态CR-LSP共享标签空间  B.1024以上是LDP、RSVP-TE、MP-BGP等动态信令协议共享的标签空间 C.最后一跳收到标签控件为0的报文直接进行IP转发或进行下一层标签转发  D.倒数第二跳LSR进行标签交换时，如果发现交换后的标签为3，则将标签弹出，并将报文发给最后一跳  【正确答案】C 【答案解析】标签空间是指标签的取值范围。标签空间划分如下：0～15：特殊标签。如标签3，称为隐式空标签，用于倒数第二跳弹出；16～1023：静态LSP和静态CR-LSP共享的标签空间；1024及以上：LDP、RSVP-TE、MP-BGP等动态信令协议的标签空间。所以选项“最后一跳收到标签控件为0的报文直接进行IP转发或进行下一层标签转发 ”的说法是错误的。

165、VRRP的接口lP地址和虚拟lP地址可以相同。A.正确  B.错误  【正确答案】A 【答案解析】如果一个VRRP设备将真实的接口IP地址配置，为虚拟路由器IP地址，则该设备被称为IP地址拥有者。这种情况下VRRP的接口IP地址和虚拟IP地址相同。所以题目中的描述是正确的。

166、传统的丢包策略采用尾部丢弃（Tail-Drop）的方法，这种丢弃方法会导致TCP全局同步现象。A.正确  B.错误  【正确答案】A 【答案解析】由于每个队列长度有限，当某一队列已经被装满时，传统的处理方法会将后续向该队列发送的报文全部丢弃，直至拥塞解除，这种处理方式称为尾丢弃（Tail Drop）。TCP全局同步：对于TCP报文，如果大量的报文被丢弃，将造成TCP超时，从而引发TCP慢启动，使得TCP减少报文的发送。当队列同时丢弃多个TCP连接的报文时，将造成多个TCP连接同时进入拥塞避免和慢启动状态以调整并降低流量，这就被称为TCP全局同步现象。这样多个TCP连接发往队列的报文将同时减少，而后又会在某个时间同时出现流量高峰，如此反复，使网络资源利用率低。所以题目中的描述是正确的。

167、IETF定义的多协议标签交换技术（MPLS）是一种第三层交换技术，它由不同的设备组成，其中负责为网络流添加/删除标记的设备是？ A.标签分发路由器 B.标签边缘路由器  C.标签交换路由器  D.标签传送路由器  【正确答案】B 【答案解析】为MPLS网络添加/删除标记的设备为LER 称为标签边缘路由器；转发标签的设备为LSR称为标签交换路由器。所以正确答案是“标签边缘路由器”。

168、某公司的内网用户采用NAT的No-PAT方式访问互联网，如果所有的公网IP地址均被使用，那么后续上网的内网用户将发生什么情况？ A.自动把NAT切换成PAT后上网 B.后续的内网用户将不能上网  C.将报文同步到其他NAT转换设备进行NAT转换  D.挤掉前一个用户，强制进行NAT转换上网  【正确答案】B 【答案解析】no-pat 只进行IP地址转换，所以公有IP用完之后，内网私有IP将不能再有公网IP进行转换，也就上不了网啦。所以正确答案是“后续的内网用户将不能上网  ”。

169、流镜像分为本地流镜像和远程流镜两种方式。A.正确  B.错误  【正确答案】A 【答案解析】流镜像分为本地流镜像和远程流镜像两种。所以题目中的描述是正确的。

170、在SDN的网络构架中，用于计算路径并下发流表的是？ A.应用服务 B.控制器  C.协同器  D.设备  【正确答案】B 【答案解析】在SDN网络中 ，由控制器计算下发数据流表。所以正确答案是“控制器”。

171、SDN的网络架构所具备的三个基本特征是？A.控制分离、集中控制、开放接口  B.控制分离、分散控制、开放接口  C.转控集中、集中控制、开放接口  D.转控分离、集中控制、封闭接口  【正确答案】A 【答案解析】SDN的网络架构所具备的三个基本特征是转控分离、集中控制、开放接口。所以正确答案是“控制分离、集中控制、开放接口”。

172、防火墙和交换机都能够实现安全防范的功能，交换机、防火墙分别侧重于？A.转发，控制  B.连通性，转发  C.控制，转发  D.转发，连通性  【正确答案】A 【答案解析】路由器和交换机侧重数据转发；防火墙侧重数据的控制。所以正确答案是“转发、控制”。

173、LDP要求可靠而有序的传递消息，除了以下哪个消息使用UDP之外，其余都需要使用TCP报文？A.Discovery message  B.Session  message  C.Advertisement message  D.Notification message  【正确答案】A 【答案解析】session message / advertisement message/notification message 都需要使用TCP报文，但是Discovery message报文使用UDP报文。所以正确答案是“Discovery message”。

174、MPLS标签中，如果出节点分配给倒数第二跳节点的标签值为0，则倒数第二跳LSR需要将值为0的标签正常压入报文标签值顶部，转发给最后一跳，最后一跳发现报文携带的标签值为0，则将标签弹出，0标签只有出现在栈底时才有效。 A.正确 B.错误  【正确答案】B

175、如果两台设备相连，且其中一台设备支持BFD检测功能，而另外一台设备不支持，那么支持BFD检测功能的设备可以利用BFD的哪个功能特性来实现链路的连通性检测？ A.快速握手  B.接口状态联动  C.双向检测 D.单臂回声  【正确答案】D 【答案解析】两台设备互联，当一台设备支持BFD功能，另一台不支持此功能，可以利用BFD的单臂回声功能进行链路连通性的检测。所以正确答案是‘单臂回声’。

176、SDN和NFV本质上是一个概念，都是关于网络功能虚拟化的描述。 A.正确 B.错误  【正确答案】B 【答案解析】SND为软件定义网络，是一种新型网络架构，支持软件编程，可以实现转控分离；NFV（网络功能虚拟化）是指利用虚拟化技术在标准化的通用IT设备（x86服务器，存储和交换设备）上实现各种网络功能。所以题目中的描述是错误的。

177、MPLS支持多层标签和转发平面面向连续性的特性，在很多方面得到广泛的应用，那么部署MPLS的原因不包括？A.各厂商标准普遍认可  B.流量工程能力  C.在基于软件的路由器上简化路由查找  D.有能力使用VPN服务  【正确答案】A 【答案解析】部署MPLS的原因包括 流量工程能力、替代传统的IP数据转发及基于软件的路由器上简化路由查找、MPLS VPN服务等。所以正确答案是“各厂商标准普标认可”。

178、在华为AR路由器上，将接口Eth2/0/3配置为本地观察端口的命令是？A.observe-port interface Etherenet2/0/3  B.mirror-port interface Ethernet2/0/3  C.monitor-port interface Ethernet2/0/3  D.server-port interface Ethernet2/0/3  【正确答案】A 【答案解析】在华为AR路由器上，将接口Eth2/0/3配置为本地观察端口的命令是observe-port interface Etherenet2/0/3。所以正确答案是“observe-port interface Etherenet2/0/3 ”。

179、下面关于BFD会话的建立方式，描述错误的是？A.BFD会话只能通过状态方式建立  B.静态配置BFD会话是指通过命令行、手工配置、BFD 会话参数，包括本地标识符和远端标识符等  C.静态建立BFD会话时，动态分配本地标示符  D.系统通过划分标识符区域的方式，来区分静态BFD会话和动态BFD会话  【正确答案】A 【答案解析】BFD会话的建立有两种方式，即静态建立BFD会话和动态建立BFD会话。静态和动态创建BFD会话的主要区别在于本地标识符（Local Discriminator）和远端标识符（Remote Discriminator）的配置方式不同。BFD通过控制报文中的Local Discriminator和Remote Discriminator区分不同的会话。所以选项“BFD会话只能通过状态方式建立 -此处状态应该是静态”的说法是错误的。

180、传统的拥塞避免机制即尾丢（tail-drop），其缺点不包括？ A.TCP全局同步  B.高抖动和高延迟 C.高费用  D.无差别的丢弃，没有区分各种不同优先级的报文  【正确答案】C 【答案解析】尾丢弃的缺点包括：TCP全局同步现象、引起TCP饿死现象、引起高抖动高延迟、无差别丢弃报文等。并不包括高费用。所以正确答案是“高费用”。

181、在Diff-Serv网络中，用DSCP最多可以定义的取值数目是？ A.3  B.6  C.8 D.64  【正确答案】D 【答案解析】DSCP所占比特扩展到6位，2的6次方为64。所以正确答案是“64”。

182、CAPEX的定义是？ A.成本性支出 B.资本性支出  C.一次性支出  D.日常性支出  【正确答案】B 【答案解析】OPEX（Operating Expense）即运营成本，计算公式为：OPEX=维护费用+营销费用+人工成本+折旧）。CAPEX（Capital Expenditure）即资本性支出，计算公式为：CAPEX=战略性投资+滚动性投资。资本性投资支出指用于基础建设、扩大再生产等方面的，需要在多个会计年度分期摊销的资本性支出。 所以正确答案是“资本性支出”。

183、关于VRRP master设备的描述，错误的是？ A.定期发送VRRP报文  B.以虚拟MAC地址响应对虚拟IP地址的ARP请求  C.转发目的MAC地址为虚拟MAC地址的IP报文 D.即使一台路由器已成为Master，也一定会被优先级高的Backup路由器抢占  【正确答案】D 【答案解析】必须开启抢占功能时（也可以不开启），优先级高的backup路由器才会抢占。选项“即使该路由器已成为Master，也一定会被优先级高的Backup路由器抢占”并没有指定前提条件，所以这个说法是错误的。

184、对于标签可以根据报文的什么信息来进行简单流分类？ A.DSCP 信息  B.IP Precedence 信息 C.MPLS EXP 信息  D.802.1p信息  【正确答案】C 【答案解析】MPLS标签中，可以根据MPLS  EXP信息进行简单流分类。所以正确答案是“MPLS EXP 信息 ”。

185、Intserv模型，在应用程序发送报文前需要向网络申请预留资源。A.正确  B.错误  【正确答案】A 【答案解析】IntServ是一种最为复杂的服务模型，它需要用到RSVP协议。该服务模型在发送报文前，需要向网络申请特定的服务。这个请求是通过信令（signal）来完成的，应用程序首先通知网络它自己的流量参数和所需的特定服务质量的请求，包括带宽、时延等。应用程序一般在收到网络的确认信息后，即认为网络已经为这个应用程序的报文发送预留了资源，然后立即发送报文。IntServ模型要求端到端网络的所有节点都支持RSVP协议，且每个节点都需要周期性地同相邻节点交换状态信息，这样就会加大协议报文导致的开销。更关键的是，所有网络节点都需要为每个数据流保存状态信息。所以题目中的描述是正确的。

186、在SDN的网络架构中，用于计算路径并下发流表的是？ A.应用服务 B.控制器  C.设备  D.协同器  【正确答案】B 【答案解析】在SDN网络中 ，由控制器计算下发数据流表。所以正确答案是“控制器”。

187、下面对DiffServ模型的描述，不正确的是？ A.可以通过设置IP报文头部的QoS参数信息，来告知网络节点它的QoS需求  B.报文传播路径上的各个设备，都可以通过对IP报文头的分析来获知报文的服务需求类别 C.在实施DiffServ 时，下游路由器必须要对报文进行分类  D.Diff Serv是一种基于报文的QoS解决方案  【正确答案】C 【答案解析】在实施diffserv 时，接收数据的上游路由器必须要对报文进行分类，然后对不同类型的流量提供相应的差分服务行为。所以正确答案是“在实施DiffServ 时，下游路由器必须要对报文进行分类”。

188、传统网络的局限性不包括下列哪项？ A.网络协议实现复杂，运维难度较大  B.流量路径的调整能力不够灵活  C.网络新业务升级的速度较慢 D.不同厂家设备实现机制相似，操作命令差异较小，易于操作  【正确答案】D

189、拥塞管理的中心内容是通过定制调度策略，来决定数据包处理的先后顺序。A.正确  B.错误  【正确答案】A 【答案解析】拥塞管理通过制定调度策略及队列，来对数据包进行先后顺序的处理。所以题目中的描述是正确的。

190、在eSight的告警管理界面中，当一条告警底色为绿色时，表示该告警已被确认。 A.正确 B.错误  【正确答案】B 【答案解析】在esight告警管理界面中，通过当前告警的告警列表监控告警：白色底板表示未清除的告警；绿色底板表示已清除的告警。所以题目中的描述是错误的。

191、下列哪个模块不属于NFV框架内的功能组件？ A.VIM  B.VNF  C.VNFM D.OSS  【正确答案】D 【答案解析】OSS是服务提供商的管理功能，不属于NFV框架内的功能组件。所以正确答案是“OSS”。

192、当虚拟路由器回应ARP请求时，使用主路由器的真实MAC地址。 A.正确 B.错误  【正确答案】B 【答案解析】当虚拟路由器回应ARP请求时，使用虚拟MAC地址，而不是接口的真实MAC地址。所以题目中的描述是错误的。

193、LDP是专门为标签分发而制定的协议，它的消息类型有多种，其中用来生成、改变和删除FEC的标签映射的消息是？ A.Discovery message  B.Session message C.Advertisement message  D.Notification message  【正确答案】C 【答案解析】LDP协议主要使用四类消息：发现（Discovery）消息：用于通告和维护网络中邻居的存在，如Hello消息。会话（Session）消息：用于建立、维护和终止LDP对等体之间的会话，如Initialization消息、Keepalive消息。通告（Advertisement）消息：用于创建、改变和删除FEC的标签映射，如Address消息、Label Mapping消息。通知（Notification）消息：用于提供建议性的消息和差错通知。所以正确答案是“Advertisement message”。

194、在LDP session 建立过程中，主动方首先会发送Initialization信息进行参数的协商，如果被动方不接受协商参数，将发送？A.Error Notificationg Message  B.Hello Keepalive  C.Message  D.Initialization  【正确答案】A 【答案解析】被动方RTA收到初始化消息后，如果RTA接受相关参数，则发送初始化消息，同时发送Keepalive消息给主动方RTB。如果被动方RTA不能接受相关参数，则发送Notification消息终止LDP会话的建立。所以正确答案是“Error Notificationg Message”。

195、MPLS header长度为32bit，包括长度20bit的标签，该标签由于报文转发；长度为3bit的EXP通常用来承载IP报文的优先级；长度为1bit的栈底标志S，用来表明释放时最后一个标签（MPLS标签可以多层嵌套）。A.作用类似于IP头部的TTL，用来防止报文环路  B.主要用于标签管理时的控制  C.用于标签分发时对上游设备的控制  D.对于LSR进行限制  【正确答案】A 【答案解析】MPLS 头部长度为32比特，包括20比特的标签位，3比特的EXP实验位用来承载IP报文的优先级，1比特的栈底位用来表明弹出的是否为最后一个标签，因为标签可以多层嵌套；8比特的TTL值 和IP头部的TTL作用类似，用来防止报文环路。所以正确答案是“作用类似于IP头部的TTL，用来防止报文环路 ”。

196、MPLS中有转发等价类〔FEC- Forwarding Equivalence Class)的概念，那么FEC不能基于下列哪些标准进行分配？A.碎片偏移量(Fragment offset)  B.目标地址( Destination Access ）  C.应用协议((Application Protocol)  D.服务类别(Class of Service〕  【正确答案】A 【答案解析】FEC转发等价类的划分方式非常灵活，可以是以源地址、目的地址、源端口、目的端口、协议类型或VPN等为划分依据的任意组合。所以正确答案是“碎片偏移量(Fragment offset) ”。

197、VxLAN的广播域被称为？ A.广播域  B.交换域 C.桥域  D.VLAN域  【正确答案】C 【答案解析】VXLAN 相当于扩展的VLAN  ，一个广播域可以理解为一个二层网桥的区域，简称桥域或BD。所以正确答案是“桥域”。

198、NFV中的VIM管理模块的主要功能包括资源发现、资源分配、资源管理以及？ A.资源调度  B.资源监控  C.资源回收 D.故障处理  【正确答案】D 【答案解析】VIM主要功能包括：资源的发现、虚拟资源的管理分配、故障处理等。所以正确答案是“故障处理”。

199、流镜像端口能够实现将镜像端口上特定业务流的报文，传送到监控设备进行分析和监控的功能。A.正确  B.错误  【正确答案】A 【答案解析】流镜像端口能够实现将镜像端口上特定业务流的报文用ACL区分，然后传送到监控设备进行分析和监控的功能。所以题目中的描述是正确的。

200、单包攻击指攻击者控制僵尸主机，向目标网络发送大量的攻击报文，造成被攻击网络链路拥塞，系统资源耗尽。A.正确  B.错误  【正确答案】A