HCIE-Datacom题库_07_安全【11道题】
一、单选题
1.MACsec可为用户提供安全的MAC层数据发送和接收服务。以下哪些项不属于MACsec可提供的服务?
完整性检查
可控性检查
用户数据加密
数据源真实性校验
解析:MACsec(Media Access Control Security)是通过身份认证、数据加密、完整性校验、重播保护等功能保证以太网数据帧的安全性,防止设备处理有安全威胁的报文。
2.实现同一个VLAN内不同用户之间的隔离,可以采取以下哪项技术?
IPSG
端口隔离
Super VLAN
以太网端口安全
解析:
IPSG:是一种基于二层接口的源IP地址过滤技术,它能够防止恶意主机伪造合法主机的IP地址来仿冒合法主机,还能确保非授权主机不能通过自己指定IP地址的方式来访问网络或攻击网络。
端口隔离:可以实现同一VLAN内端口之间的隔离。用户只需要将端口加入到隔离组中,就可以实现隔离组内端口之间二层数据的隔离。端口隔离功能为用户提供了更安全、更灵活的组网方案。如果用户希望隔离同一VLAN内的广播报文,但是不同端口下的用户还可以进行三层通信,则可以将隔离模式设置为二层隔离三层互通;如果用户希望同一VLAN不同端口下用户彻底无法通信,则可以将隔离模式配置为二层三层均隔离即可。
Super VLAN:LAN聚合(VLAN Aggregation)指在一个物理网络内,用多个VLAN(称为Sub-VLAN)隔离广播域,并将这些Sub-VLAN聚合成一个逻辑的VLAN(称为Super-VLAN),这些Sub-VLAN使用同一个IP子网和缺省网关,达到节约IP地址资源的目的。
端口安全:将接口学习到的MAC地址转换为安全动态MAC、安全静态MAC或Sticky MAC,接口学习的最大MAC数量达到上限后不再学习新的MAC地址,只允许这些MAC地址和路由器通信。这样可以阻止其他非信任的MAC主机通过本接口和路由器通信,提高路由器与网络的安全性。
3.在设备上使能了接口stickyMAC功能后,缺省情况下,接口学习的MAC地址数量是多少个?
10
15
5
1
4.缺省情况下,以下哪种安全MAC地址类型的表项在设备重启后会丢失?
Sticky MAC地址
黑洞MAC地址
安全静态MAC地址
安全动态MAC地址
5.针对MAC地址欺骗攻击的描述,错误的是?
MAC地址欺骗攻击会导致交换机要发送到正确目的地的数据被发送给了攻击者
攻击者可以通过伪造的源Mac地址数据帧发送给交换机来实施MAC地址欺骗攻击
MAC地址欺骗攻击主要利用了交换机MAC地址学习机制
MAC地址欺骗攻击会造成交换机学习到错误的MAC地址与IP地址的映射关系
二、多选题
1.开启端口安全功能之后,如果接口MAC地址学习数量到达上限,则端口可能会采取以下哪些处理方式:
丢弃新的MAC地址的报文,并上报告警
丢弃新的MAC地址的报文,并不上报告警
接口error-down,上报告警
接口error-down,不上报告警
2.当交换机上使能了端口安全功能之后,若遇到接口MAC地址数达到上限的情况,交换机可能会有以下哪些处理行为?
丢弃源MAC地址不存在的报文并上报告警
接口状态被置为error-down,不上报告警
丟弃源MAC地址不存在的报文,不上报告警
接口状态被置为error-down并上报告警
解析:
protect:不告警。
restrict:告警。
shutdown:告警。
3.端口安全(Port security)通过将部分MAC地址转换为安全MAC地址,阻止除安全MAC之外的主机通过本接口和设备通信,从而增强设备的安全性。以下哪些项属于安全MAC?
Sticky MAC地址
Protected MAC地址
安全静态MAC地址
安全动态MAC地址
三、判断题
1.为了防止黑客通过MAC地址攻击用户设备或网络,可将非信任用户的MAC地址配置为黑洞MAC地址,过滤掉非法MAC地址。当设备收到目的MAC或源MAC地址为黑洞MAC地址的报文则直接丢弃。√
2.以太网中部署端口隔离技术可以实现二层互通三层隔离,使组网更加灵活。×
3.IGMP Snooping无法解决二层交换机上组播流量的带宽浪费,即IGMP Snooping在二层交换机上面配置与否对组播流量无影响。×
解析:运行在二层设备上的组播约束机制,该协议通过侦听和分析主机与三层组播设备之间交互的IGMP(Internet Group Management Protocol)报文来管理和控制组播组,从而可以有效抑制组播数据在二层网络中的扩散。该技术通常应用于连接IP主机和组播路由器的二层交换机上。二层交换机侦听主机与组播路由器间的IGMP报文,获取组播组成员信息。二层交换机根据组播组成员信息进行组播流量的复制与转发,避免组播流量在二层网络中广播。