HCIE-Datacom题库_08_安全【12道题】

一、单选题

1.以下关于IPSG的描述，错误的是哪一项?

可以通过IPSG防止主机私自更改IP地址

IPSG可以开启IP报文检查告警功能，联动网管进行告警

IPSG可以防范IP地址欺骗攻击

IPSG是一种基于三层接口的源IP地址过滤技术

解析：IPSG即IP源防攻击（IP Source Guard）是一种基于二层接口的源IP地址过滤技术，IPSG的绑定表维护了网络中主机IP地址、MAC地址等信息的绑定关系，通过将报文信息与绑定表比对，它能够有效防止恶意主机伪造合法主机的IP地址来仿冒合法主机，还能确保非授权主机不能通过自己指定IP地址的方式来访问网络或攻击网络。

2.IGMP Snooping-主要解决的问题

IGMP Report报文合法性问题

网段上有大量接收者主机,路由器会收到大量的IGMP Report报文的问题

解决组播数据报文在2层设备上广播问题,用于管理和控制组摇数据报文的转发

接收者主机仅支持IGMPv2协议,但网络中使用的是SSM组播模型

3.如图所示，若想实现该网络中只允许合法用户(通过合法DHCP服务器获取IP地址的用户或特定的静态IP用户)接入网络,则可以使用以下哪一项方案?

​

DAI+IPSG

DHCP Snooping+ DAI

DAl+Port Security

DHCP Snooping+IPSG

解析：

DHCP Snooping是DHCP（Dynamic Host Configuration Protocol，动态主机配置协议）的一种安全特性，用于保证DHCP客户端从合法的DHCP服务器获取IP地址，并记录DHCP客户端IP地址与MAC地址等参数的对应关系。DHCP Snooping可以抵御网络中针对DHCP的各种攻击，为用户提供更安全的网络环境和更稳定的网络服务。

动态ARP检测: dynamic ARP inspection（DAI）是一种与DHCP监听和IP源防护相结合的安全特性，DAI需要使用DHCP监听绑定表和配置的静态IP源防护绑定。DAI应用场景DAI功能主要用于防御中间人攻击的场景，避免设备上合法用户的ARP表项被攻击者发送的伪造ARP报文错误更新。

**4.**如图所示，若想实现该网络中不允许用户通过静态配置IP地址接入网络，则可以使用以下哪些方案?

​

DAI+IPSG

DHCP Snooping+DAl

DAl+Port Security

DHCP Snooping+IPsG

5.中间人攻击或IP/MACSpooting攻击都会导致信息泄露等危害，且在内网中比较常见。为了防止中间人攻击或IP/MACSpoofin攻击，以下哪一项是可以采取的配置方法?单选

在交换机上配置DHCP Snooping与DAI或IPSG进行联动

限制交换机按口上允许学习到的最多MAC地址数目

配置Trusted/Untrusted接囗

开启DHCP Snoopine检查DHCP REOUEST报文中CHADDR宇段的功能

6.设备Huawei部分配置如图所示，以下关于此段配置的描述中，错误的是哪项?

​

配置GigabitEthernet0/0/1接口为信任接口

开启DHCP Snooping配置可以用来防LARP欺骗攻击

如果GigabitEthernetO/0/1接口收到的DHCP请求报文中，没有Option82 SubOption信息，则设备会生成ption82,并插入到报文中

开启DHCP Snooping配置可以用来防IDHCP Server仿冒者攻击

**7.**以下关于DHCP Snoping的描述中，错误的是哪一项?

DHCP Snoping可以通过设置信任端口防止非法攻击

在接口视图下使能DHCP Snoping功,则对该接口下的所有DHCP报文命今功能生效

在VLAN视图下使能DHCP Snooping功能，则对该设备所有接口收到的属于该VLAN的DHCP报文命令功能生效

全局使能DHCP Snooping功能，不带任何后置参数的情况下设备默认只处理DHCPv4报文

解析：全局使能DHCP Snooping功能，不带任何后置参数的情况下设备默认只处理DHCPv6报文。

二、多选题

**1.**以下关于IGMPsnooping的描述，正确的是哪些项?

IGMP Snooping 通过监听主机发出的IGMP报文，建立组播MAC地址表

IGMP Snooping运行在链路层，是二层以太网交换机上的组播约束机制，用于管理和控制组播组

IGMP Snooping解决组播报文在三层广播的问题

IGMP Snooping中路由器端口只能通过手工配置的方式生成

2.DHCP Snooping****是一种DHCP安全特性，可以用于防御多种攻击。以下关于DHCP Snooping可以防御攻击的种类正确的是哪些项?

防御改变CHADDR值的饿死攻击

防御DHCP仿冒者攻击

防御TCP flag攻击

防御中间人攻击和IP/MAC Spoofing攻击

3.配置DHCP snooping可以用来防止仿冒者攻击，在配置过程中需要包含以下哪些步骤?

使能接口或VLAN的DHCP Snooping功能

使能全局DAl Snooping功能

配置接口信任状态

使能全局DHCP功能

4.以下哪些项是IPSG可以设置的检查项?

VLAN ID

MAC地址

出接口

IP地址

解析：源IP地址、源MAC地址、所属VLAN、入接口。

三、判断题

1.IP****源防攻击(IP Source Guard，IPSG)是一种基于三层接口的源IP地址过滤技术，它能够防止恶意主机伪造合法主机的IP地址来仿冒合法主机，还能确保非授权主机不能通过自己指定IP地址的方式来访问网络或攻击网络。×