思科 CCNA2 第五章测验答案

1.下列哪个 SNMPv2 配置步骤是必选步骤？
选择一项：
​记录系统联系人的位置
配置社区字符串和访问权限级别
限制对 NMS 主机的 SNMP 访问
启用 SNMP 代理上的陷阱
反馈
Refer to curriculum topic: 5.2.2
在配置 SNMPv2 时，配置社区字符串和访问权限级别是必选步骤。其他配置步骤（如系统联系人、NMS 主机访问、指定陷阱接收方和启用陷阱）都是可选步骤。
正确答案是：配置社区字符串和访问权限级别

2.哪种服务会在默认情况下在思科路由器上启用，泄露有关路由器的重要信息，并可能使其更易遭受攻击?
选择一项：
HTTP
CDP
FTP
LLDP
反馈
Refer to curriculum topic: 5.1.1
CDP 是从其他相连的思科设备收集信息的思科专有协议，默认情况下在思科设备上启用。LLDP 是提供相同服务的开放标准协议。它可在思科路由器上启用。HTTP 和 FTP 是不收集有关网络设备的信息的应用层协议。
正确答案是：CDP

3.一家公司正在设计网络监控系统，考虑使用 SNMPv3。下列哪三项是 SNMPv3 的特征？（请选择三项。）
选择一项或多项：
它使用 UDP 端口 514 向消息收集器发送事件通知。
它使用消息完整性检查来确保数据包在传输中不被篡改。
它使用扩展的错误代码来确定不同类型的错误条件。
它使用身份验证来确定消息的来源是否有效。
它使用数据包内容加密来阻止未授权的访问。
它使用 MIB 的平面结构来提高信息访问速度。
反馈
Refer to curriculum topic: 5.2.1
SNMPv3 通过提供消息机密性、身份验证和加密来确保安全性，它使用分层式的 MIB 结构。SNMPv2c 使用扩展的错误代码来确定不同类型的错误条件。
正确答案是：它使用消息完整性检查来确保数据包在传输中不被篡改。,
它使用身份验证来确定消息的来源是否有效。,
它使用数据包内容加密来阻止未授权的访问。

4.填空题
DHCP 侦听 是防止欺诈 DHCP 服务器提供错误 IP 配置参数的缓解技术。

5.什么是 SNMP 管理代理？
选择一项：
加载了管理软件并由管理员用于监控网络的计算机
设备保存的有关网络性能的数据库
在由 SNMP 管理的设备上安装的软件
由 SNMP 使用的通信协议
反馈
Refer to curriculum topic: 5.2.1
管理员使用管理站进行监控。MIB 是一个监控信息数据库。简单网络管理协议是管理站与管理代理之间使用的通信协议。管理代理运行使管理员能够收集网络性能数据的软件。
正确答案是：在由 SNMP 管理的设备上安装的软件

6.下列哪三项对 SPAN 和 RSPAN 的描述正确？（选择三项。）
选择一项或多项：
SPAN 可以向其他交换机上的端口发送流量副本。
RSPAN 是系统日志和 SNMP 实施的必需工具。
SPAN 可以配置为将流量副本发送到同一交换机上的目标端口。
SPAN 可以将源端口或源 VLAN 上的流量复制到同一交换机上的目标端口。
RSPAN 需要将源 VLAN 上的流量复制到同一交换机上的目标端口。
RSPAN 可用于将流量转发到对流量进行恶意行为分析的 IPS。
反馈
Refer to curriculum topic: 5.3.1
思科交换机上的交换端口分析器 (SPAN) 功能是将进入源端口（或 VLAN）的帧的副本发送到同一交换机上的其他端口的一类端口镜像。通常情况下，目标端口与数据包嗅探器或 IPS 设备相连。远程 SPAN (RSPAN) 允许源端口和目的端口位于不同的交换机中。
正确答案是：SPAN 可以配置为将流量副本发送到同一交换机上的目标端口。,
SPAN 可以将源端口或源 VLAN 上的流量复制到同一交换机上的目标端口。,
RSPAN 可用于将流量转发到对流量进行恶意行为分析的 IPS。

7.将每项 SNMP 操作与对应的描述进行配对。（并非所有选项都会用到。）
set-request 答案 1
get-response 答案 2
get-next-request 答案 3
get-bulk-request 答案 4
反馈
Refer to curriculum topic: 5.2.1
正确答案是：set-request → 存储特定变量的值, get-response → 回复 NMS 发送的 GET 请求和 SET 请求消息, get-next-request → 按顺序搜索表以检索变量的值, get-bulk-request → 在一次传输中检索表中的多个行

8.如何能够将 SNMP 访问限制到特定 SNMP 管理器？
选择一项：
使用 snmp-server community 命令将社区字符串配置为无访问级别。
通过使用 snmp-server host 命令指定 SNMP 管理器的 IP 地址。
使用 snmp-server traps 命令启用 SNMP 管理器上的陷阱。
定义 ACl 并通过使用 snmp-server community 命令引用它。
反馈
Refer to curriculum topic: 5.2.2
snmp-server community string access-list-number-or-name 命令用于将 SNMP 访问限制到 ACL 允许的 NMS 主机（SNMP 管理器）。snmp-server host host-id [version {1 | 2c | 3 [auth | noauth | priv]}] community-string 命令用于指定 SNMP 陷阱操作的接收方。snmp-server community string {ro | rw} 命令用于配置社区字符串和访问权限级别。snmp-server enable traps notification-types 命令用于启用 SNMP 代理上的陷阱。
正确答案是：定义 ACl 并通过使用 snmp-server community 命令引用它。

9.AAA 框架可提供哪三种服务？（选择三项。）
选择一项或多项：
记帐
自动化
授权
身份验证
自动平衡
自动配置
反馈
Refer to curriculum topic: 5.1.2
身份验证、授权和记账 (AAA) 框架提供服务，帮助保护网络设备访问。
正确答案是：记帐, 授权, 身份验证

10.请参见图示。下列有关交换机 SW1 上本地 SPAN 配置的陈述哪一项是正确的？
选择一项：
SPAN 会话向端口 Fa3/21 上的一台设备传输端口 Fa3/1 上监控的所有流量的一个副本。
SPAN 会话向端口 Fa3/21 上的一台设备传输端口 Fa3/1 上监控的所有流量的一个副本，但前提是端口 Fa3/1 是在 VLAN 10 中配置的。
SPAN 会话向端口 Fa3/21 上的一台设备传输端口 Fa3/1 上监控的所有流量的副本，但前提是端口 Fa3/1 配置为干线。
SPAN 会话只向端口 Fa3/21 上的一台设备传输端口 Fa3/1 上监控的单播流量的一个副本。所有组播和 BPDU 帧将从监控进程中排除。
反馈
Refer to curriculum topic: 5.3.2
思科交换机上的交换端口分析器 (SPAN) 功能是将进入源端口（或 VLAN）的帧的副本发送到同一交换机上的其他端口的一类端口镜像。通常情况下，数据包嗅探器或 IPS 设备与目标端口相连。
正确答案是：SPAN 会话向端口 Fa3/21 上的一台设备传输端口 Fa3/1 上监控的所有流量的一个副本。

11.判断题。
在 802.1X 标准中，尝试访问网络的客户端被称为请求方。
选择一项：
正确
错误
反馈
Refer to curriculum topic: 5.1.2
在 802.1X 术语中，客户端工作站被称为请求方。
正确答案是：正确

12.作为抵御 DHCP 侦听攻击的一部分，在思科交换机上使用哪两种类型的交换机端口? （选择两项。）
选择一项或多项：
未知端口
不可信端口
未获授权端口
可信 DHCP 端口
授权 DHCP 端口
既有 DHCP 端口
反馈
Refer to curriculum topic: 5.1.2
DHCP 侦听可识别思科交换机上的两种类型的端口：
可信 DHCP 端口 - 连接到上游 DHCP 服务器的交换机端口
不可信端口 - 连接到不应提供 DHCP 服务器消息的主机的交换机端口
正确答案是：不可信端口, 可信 DHCP 端口

13.哪种模式用于配置 SNMP？
选择一项：
特权模式
全局配置模式
接口配置模式
路由器配置模式
反馈
Refer to curriculum topic: 5.2.2
配置 SNMP 的所有必需和可选步骤均在全局配置模式下完成。
正确答案是：全局配置模式

14.下列哪两项是 SNMP 团体名的特征？（选择两项。）
选择一项或多项：
SNMPv1、SNMPv2 和 SNMPv3 的一个漏洞是，以明文形式发送团体名。
配置安全 SNMP 时，应使用通常已知的团体名。
如果管理器发送一条正确的只读团体名，它可以在代理中获取信息和设置信息。
SNMP 只读团体名可用于从启用了 SNMP 的设备获取信息。
SNMP 读写团体名可用于在启用了 SNMP 的设备中设置获取信息。
反馈
Refer to curriculum topic: 5.2.1
目前存在两种类型的 SNMP 社区字符串：只读和读写。只读社区字符串允许管理器从代理获取信息，而读写社区字符串则允许管理器在代理中获取或设置信息。
正确答案是：SNMP 只读团体名可用于从启用了 SNMP 的设备获取信息。,
SNMP 读写团体名可用于在启用了 SNMP 的设备中设置获取信息。

15.什么缓解计划最适合阻止创建交换机缓冲区溢出的 DoS 攻击?
选择一项：
禁用 DTP。
禁用 STP。
启用端口安全。
将未使用的端口置于未使用的 VLAN 中。
反馈
Refer to curriculum topic: 5.1.2
MAC 地址 (CAM) 表溢出攻击、缓冲区溢出和 MAC 地址欺骗都可以通过配置端口安全来缓解。网络管理员通常不会禁用 STP，因为它可防止第 2 层环路。禁用 DTP 以阻止 VLAN 跳转。将未使用的端口置于未使用的 VLAN 中可防止未经授权的有线连接。
正确答案是：启用端口安全。