华为SD-WAN解决方案中使用以下哪一项隧道技术建立数据通道？ {.quiz}

• GRE over IPsec {.correct}
• MPLS
• IPsec
• VxLAN {.options}

使用的是GRE over IPSEC或者GRE，如果需要对数据加密，建议使用GRE OVER IPSEC。

OSPFv3中Link-LSA的作用不包括以下哪一项？ {.quiz}

• 向该链路上其它路由器通告本接口的IPv6前缀列表
• 向该链路上其它路由器通告本链路始发的Network-LSA中设置的可选项
• 向该链路上其它路由器通告本接口的链路本地地址
• 向该链路上其它路由器通告本路由器的接口ID {.correct} {.options}

Link-LSA不会向该链路的其他路由器通告本路由器的ID。

防火墙双机热备场景下，每台防火墙有一个VGMP组，缺省情况下，VGMP组处于以下哪种工作状态？ {.quiz}

• Standby
• Initialize {.correct}
• Active
• Load Balance {.options}

在防火墙的双机热备方案中，加入到VGMP组中的每个设备的状态，刚开始都是“初始化状态”，即Initialize。

通过iMaster NCE-Campus部署的虚拟化园区网络中，在“网络规划”阶段，以下哪一项不是管理员需要完成的操作？ {.quiz}

• 部署Overlay接入资源池
• 创建认证模板 {.correct}
• 部署Fabric全局资源池
• 部署Underlay自动化资源池 {.options}

在网络规划阶段，是进行各种资源的分配。而“创建认证模板”是满足了后期的业务层面的“用户准入”和“业务随行”而设置的。

NETCONF协议的操作可能包含可选的“operation”属性，用来给配置数据指定操作类型。“operation”不包括以下哪一项？ {.quiz}

• create
• remove
• update {.correct}
• merge {.options}

以下关于AH（Authentication Header，报文认证头协议）的描述中，错误的是哪一项？ {.quiz}

• AH提供防报文重放功能
• AH提供报文加密功能 {.correct}
• AH提供数据源验证
• AH提供数据完整性验证 {.options}

AH可以实现防重放攻击，防篡改，和进行身份认证。不支持加密报文。ESP可以对数据进行加密。

SSH连接建立需要依次经历多个阶段，以下描述正确的是哪一项？ {.quiz}

• 版本协商阶段、算法协商阶段、密钥交换阶段、用户认证阶段、会话交互阶段 {.correct}
• 版本协商阶段、用户认证阶段、密钥交换阶段、算法协商阶段、会话交互阶段
• 版本协商阶段、用户认证阶段、算法协商阶段、密钥交换阶段、会话交互阶段
• 版本协商阶段、密钥交换阶段、算法协商阶段、用户认证阶段、会话交互阶段 {.options}

在整个通讯过程中，为实现SSH的安全连接，服务器端与客户端要经历如下五个阶段：版本协商阶段、算法协商阶段、密钥交换阶段、用户认证阶段、会话交互阶段。

如图所示为某路由器上的IPv6 SR-Policy路由信息，请问[10]代表的含义为以下哪一项？ {.quiz}

• distinguisher {.correct}
• policycolor
• Turnnel ID
• endpoint {.options}

SRv6 Policy在BGP路由表呈现为[distinguisher][color][endpoint]。

业务随行基于用户的VLAN和IP进行策略管理及权限控制。 {.quiz}

• 正确
• 错误 {.correct} {.options}

业务随行提出了安全组的概念，安全组仅与用户身份有关，与用户VLAN、IP等网络信息完全解耦。用户策略管理与权限控制都基于安全组执行。

在数据头部中，以下哪一字段不能用于简单流分类？ {.quiz}

• DSCP
• Protocol {.correct}
• EXP
• 802.1P {.options}

Protocol不是标识优先级的字段。

以下关于GRE隧道的描述中，错误的是哪一项？ {.quiz}

• GRE可以封装IPv4单播报文
• GRE实现机制简单，对隧道两端的设备负担较小
• GRE可以封装IPv6单播报文
• GRE可以封装IPv6广播报文 {.correct} {.options}

GRE隧道有明确的源地址和目的地址，可以支持单播报文的转发，无法进行广播报文的传递。

流量整形技术会将超出转发阈值的数据暂时缓存，对于缓存中的数据可以使用拥塞管理技术提前从缓存队列中丢弃数据包，避免缓存队列被充满。 {.quiz}

• 正确
• 错误 {.correct} {.options}

流量整形技术在超出转发值的数据上进行限制，并不会将数据暂时缓存起来。缓存起来的是拥塞管理技术。

遇到大型的网络割接项目，可以将其划分为多个相对独立，但是前后又有关联的小割接。 {.quiz}

• 正确 {.correct}
• 错误 {.options}

大型的项目割接，可以分为多个小型的项目目标，逐个实现。

企业广域网络连接企业总部与分支、企业与云，也实现云之间的互联互通。 {.quiz}

• 正确 {.correct}
• 错误 {.options}

企业广域网络定义:企业广域网络用于实现企业内跨地域的互联互通。企业广域网络连接企业总部与分支、连接企业与云，也实现云之间的互联互通。

中小型园区网络设计中当分支之间需要互访，且分支数量较多（过百）时，推荐使用以下哪一项互联组网模型？ {.quiz}

• Partial-Mesh（部分互联）组网 {.correct}
• Hub-Spoke组网
• Direct组网
• Full-Mesh（全互联）组网 {.options}

因为分支之间需要互访，如果考虑到低延时的业务，那么分支之间直接互访，如果需要HUB监控流量，通过HUB站点进行互访。所以选择partial-mesh组网。

EVPN支持多种服务模式，以下哪种服务模式下，一个接口只能被单个用户使用？ {.quiz}

• VLAN Based
• Port Based {.correct}
• VLAN Bundle
• VLAN-Aware Bundle {.options}

在基于端口的模式下一个接口只能被单个用户使用（见题干补充的图片）。

中间人攻击或IP/MAC Spoofing攻击都会导致信息泄露等危害，且在内网中比较常见。为了防止中间人攻击或IP/MAC Spoofing攻击，以下哪一项是可以采取的配置方法？ {.quiz}

• 限制交换机接口上允许学习到的最多MAC地址数目
• 开启DHCP Snooping检查DHCP REQUEST报文中CHADDR字段的功能
• 在交换机上配置DHCP Snooping与DAI或IPSG进行联动 {.correct}
• 配置Trusted/Untrusted接口 {.options}

为防御中间人攻击与IP/MAC Spoofing攻击，可使用DHCP Snooping的绑定表工作模式，当接口接收到ARP或者IP报文，使用ARP或者IP报文中的“源IP+源MAC”匹配DHCP Snooping绑定表。如果匹配就进行转发，如果不匹配就丢弃。IPSG利用绑定表（源IP地址、源MAC地址、所属VLAN、入接口的绑定关系）去匹配检查二层接口上收到的IP报文，只有匹配绑定表的报文才允许通过，其他报文将被丢弃。常见的绑定表有静态绑定表和DHCP Snooping动态绑定表。

以下哪种EVPN路由类型不携带MPLS标签？ {.quiz}

• MAC/IP Advertisement Route
• Ethernet Segment Route {.correct}
• Ethernet AD Route
• Inclusive Multicast Route {.options}

Ethernet Segment Route(type4) 以太网段路由(Ethernet Segment Route):主要用于DF选举。

以下关于标签的描述，错误的是哪一项？ {.quiz}

• 手工分配标签需要遵循的原则是：上游节点出标签的值就是下游节点入标签的值
• 动态LSP通过标签发布协议动态建立，如MP-BGP，RSVP-TE，LDP
• LSP分为静态LSP和动态LSP两种：静态LSP由管理员手工配置，动态LSP则利用标签协议动态建立
• 通过静态方式分配标签建立的LSP也能根据网络拓扑变化动态调整，无需管理员干预 {.correct} {.options}

静态标签隧道无法感知网络变化，需要手动修改。

OSPFv2演进到OSPFv3时，LSA格式及作用完全相同，只是LSA中的网络层地址由IPv4变为IPv6。 {.quiz}

• 正确
• 错误 {.correct} {.options}

在OSPFv3中，还增加了不同类型的LSA。并且针对OSPFv2中1类LSA的作用还进行了拆解，在OSPFv3中通过1类LSA以及9类LSA来实现。

在Python脚本中执行print(r.json())命令，打印输出如下；该输出含有多个元素，现需要从中筛选出token_id的值并赋值给变量id。则正确的命令为以下哪一项？ {.quiz}

• id=r.json()[‘data’][‘token_id’] {.correct}
• id=-r.json(){‘data’}{‘token_id’}
• id=r.json()(‘data’)([‘token_id’)
• id=r.json()(‘token_id’) {.options}

由以上输出内容格式可知，r.json()是Python中字典类型的数据。字典(dictionary)是灵活的内置数据结构类型，字典用”{ }“标识。字典由索引(key)和它对应的值value组成，用key:value来表示。上面的数据中data为一个key,它的值是{ token_id’: ‘x-eonsfw’, ‘expiredDate’: ‘2020-07-07 07:30:00’}，而{ token_id’: ‘x-eonsfw’, ‘expiredDate’: ‘2020-07-07 07:30:00’}又是个字典。token_id是字典{ token_id’: ‘x-eonsfw’, ‘expiredDate’: ‘2020-07-07 07:30:00’}中的一个key。因此，上面的数据中在字典中嵌套字典。要获取与key相关联的值value，可以依次指定字典名和放在方括号内的key,如：字典名[‘key’]。本题中r.json()是字典名，data和token_id是key,所以要访问token＿id，并赋值给id, 可以用id=r.json()[‘data’][‘token_id’] 来表示。

以下哪种工具不能用来匹配BGP路由条目？ {.quiz}

• Community Filter
• IP Prefix List
• 基本ACL
• 高级ACL {.correct} {.options}

BGP在过滤路由的时候，使用基本ACL进行路由过滤。

为了隔离有线用户终端之间的通信，可以在接入交换机上开启端口隔离；但对于无线用户，AP无法实现用户隔离。 {.quiz}

• 正确
• 错误 {.correct} {.options}

无限用户依然可以实现用户隔离。

当使用EVPN承载VPLS时，以下关于EVPN优势的描述，错误的是哪一项？ {.quiz}

• PE不需要学习CE的MAC地址 {.correct}
• 支持PE成员自动发现
• EVPN支持CE多活接入PE
• 不需要运行STP即可实现环路避免 {.options}

PE还是会学习CE MAC地址的。

某运营商的家庭宽带业务需求如下：该宽带闲时最大下行带宽为100M，忙时保证下行可用带宽为50M。该家庭宽带业务除了承载家庭上网业务外还需承载家庭IP电话业务。以下哪一项配置最匹配该业务需求？ {.quiz}

• qos car inbound cir 100000
• qos car inbound cir 100000 pir 50000
• qos car inbound cir 50000 pir 100000 {.correct}
• qos gts cir 100000 {.options}

按题意双速双桶，PIR（峰值速率）大于CIR（承诺速率），由题意得，承诺信息速率50M，峰值信息速率100M。

通过BGP EVPN动态建立VxLAN隧道的场景中，当VTEP 间传递BGP EVPN路由时，只有当路由携带的RT值与EVPN IRT、IP VPN IRT都不相同时，该BGP EVPN路由才会被丢弃。 {.quiz}

• 正确 {.correct}
• 错误 {.options}

BGP EVPN在传递Type 2路由时携带的RT值是EVPN RT值，收到路由之后，检查该路由携带的RT，如果与本端EVPN实例的Import RT相同，则接收该路由。EVPN实例获取到IRB类型路由后，还能提取到其中包含的ARP类型路由，用于主机ARP通告。检查该路由携带的RT，如果与本端IP VPN实例的Import RT（EVPN）相同，则接收该路由。然后，VPN实例获取到该路由携带的IRB类型路由，从中提取的主机IP地址、三层VNI，在其路由表中保存主机IP路由，并根据路由的下一跳迭代出接口，最终迭代结果是指向VTEP的VXLAN隧道。

OSPF通过以下哪种类型的LSA支持SR-MPLS？ {.quiz}

• Type10 opaque LSA {.correct}
• Type1 Router LSA
• Type7 NSSA External LSA
• Type2 Network LSA {.options}

Type 10 是支持SR-MPLS的LSA；Type 1是自我介绍的LSA；Type 7是NSSA区域的LSA；Type 2是表示DR的LSA。

对于同一个MAC地址，手工配置的MAC表项优先级高于自动生成的表项。 {.quiz}

• 正确 {.correct}
• 错误 {.options}

静态MAC地址由用户手工配置，下发道接口板，优先级高于自动生成的表项，且表项不可老化。

以下关于数据加密方式的描述中，错误的是哪一项？ {.quiz}

• 数据加密方式分为对称加密和非对称加密
• 对称加密算法使用相同的密钥对数据进行加密和解密
• 非对称加密使用公钥加密，私钥解密
• 对称加密算法使用的密钥必须通过邮件的方式交换，否则存在密钥泄露的风险 {.correct} {.options}

对称加密算法使用的密钥还能通过预共享方式交换。

在VxLAN网络中，类似传统网络使用VLAN划分广播域，VxLAN在本地根据以下哪一项标识广播域？ {.quiz}

• VRF
• BD {.correct}
• VNI
• NVE {.options}

NVE是提供网络虚拟化的实体设备，VRF是VPN实例，BD相当于VLAN，VNI相当于VLAN ID。

在虚拟化园区网络设计中，以下关于Fabric组网设计的描述中，错误的是哪一项？ {.quiz}

• 可以根据不同场景选择单/双Border组网，其中VxLAN集中式网关同时支持单Border或双Border部署 {.correct}
• 若多个VN内的用户想要访问外部网络，且每个VN的安全策略不同，则可配置该VN以三层独占出口方式与外部网络互联
• 若要利用原有接入交换机（不支持VxLAN），则可部署覆盖范围从核心层到汇聚层的VxLAN
• 终端规模较少时可以选择集中式网关组网，其中Border作为网关可对网络进行统一管理 {.options}

在部署虚拟化网络采用分布式网关方案时，为了提升核心层的可靠性，可以部署多个Border节点。不是集中式。

以下描述中不可能是VRRP备份组双主故障原因的是哪一项？ {.quiz}

• Master设备1秒发送1个通告报文 {.correct}
• 两端的VRRP备份组ID不同
• 传输VRRP通告报文的链路故障
• 低优先级的VRRP备份组将收到的VRRP通告报文作为非法报文丢弃 {.options}

Master设备每隔一秒发送一个通告报文，通告自己的优先级等信息给backup，维持当前主备状态。

北向接口有多种类型，从SNMP、CORBA、SMP到REST，可谓是百花齐放，但现今各个设备的北向接口正逐渐向REST接口演进。以下哪一项不属于使用REST的原因？ {.quiz}

• REST采用无状态设计
• REST规范了URI命名
• REST实现前后端耦合 {.correct}
• REST跨平台兼容性好 {.options}

REST跨平台兼容性好，实现了前后端分离解耦，无状态，而非前后端耦合。

MPLS LDP可以用于构建BGP/MPLS IP VPN的承载隧道，以下关于MPLS LDP的描述，错误的是哪一项？ {.quiz}

• 华为设备缺省采用的标签发布和管理方式为：下游自主方式（DU）+有序标签控制方式（Ordered）+自由标签保持方式（Liberal）
• MPLS LDP隧道基于IP最短路径建立，无法进行隧道转发路径规划
• LDP、RSVP-TE、MP-BGP共享1024~1048575的标签空间 {.correct}
• 由于配置和维护相对简单，BGP/MPLS IP VPN被广泛用于运营商广域承载网和企业广域承载网 {.options}

动态信令协议的标签空间不是共享的，而是独立且连续的，互不影响。

关于DHCP Snooping的描述中，错误的是哪一项？ {.quiz}

• DHCP Snooping可以通过设置信任端口防止非法攻击
• 在接口视图下使能DHCP Snooping功能，则对该接口下的所有DHCP报文命令功能生效
• 在VLAN视图下使能DHCP Snooping功能，则对该设备所有接口收到的属于该VLAN的DHCP报文命令功能生效
• 全局使能DHCP Snooping功能，不带任何后置参数的情况下设备默认只处理DHCPv4报文 {.correct} {.options}

开启DHCP Snooping功能之后，默认处理DHCPV4和DHCPV6的报文。

在华为准入控制解决方案中，Portal认证不支持以下哪一项用户认证方式？ {.quiz}

• 基于用户的MAC地址 {.correct}
• 基于用户名密码
• 基于Passcode
• 基于短信验证码 {.options}

portal认证可以分为三种。用户名密码认证：提前录入用于认证的用户名和密码，也可以由用户通过Portal推送页面自行注册。短信认证：必须配置对接的短信服务器，iMaster NCE-Campus已预置企信通（fungo）和twilio短信模板。无线终端用户认证时由短信服务器向终端用户发送包含认证密码的短信。Passcode认证：提前录入用于认证的Passcode。

某企业希望对上网流量进行集中安全管控，则以下哪一项上网方式比较合适？ {.quiz}

• 按优先级上网
• 集中上网 {.correct}
• 混合上网
• 本地上网 {.options}

—般适用于站点没有访问Internet的链路，或者需对上网流量进行集中安全管控的场景。配置集中上网网关，其他站点的流量通过verlay网络转发到集中上网网关实现访问Internet。

以下关于配置用户接入认证的描述中，错误的是哪一项？ {.quiz}

• 结合实际组网的认证需求，配置802.1X接入模板、MAC接入模板、Portal接入模板或混合认证模板
• 要想实现对用户的网络准入控制，需要确定用户所属的域以及使用的AAA方案 {.correct}
• 在认证模板中需要绑定接入模板以确认用户的认证方式，然后需要将认证模板应用到接口上开启网络准入
• 如果需要通过RADIUS或HWTACACS服务器进行认证，则需要在AAA方案中配置与认证服务器对接的相关参数 {.options}

想实现对用户的网络准入控制，并不需要确定用户所属的域以及使用的AAA方案。仅需要结合实际组网的认证需求，配置相应的接入模板即可。

在SRv6网络中，Locator是网络拓扑中的一个网络节点的标识，用于路由和转发报文到该节点，在SR域中必须保证每一个节点的Locator唯一。 {.quiz}

• 正确
• 错误 {.correct} {.options}

Locator具有定位功能，所以一般要在SR域内唯一，但是在一些特殊场景，比如Anycast保护场景，多个设备可能配置相同的Locator。节点配置Locator之后，系统会生成一条Locator网段路由，并且通过IGP在SR域内扩散。

以下关于SP调度算法的描述，错误的是哪一项？ {.quiz}

• SP调度算法优先调度高优先级的队列
• 当使用SP调度算法调度多个低优先级队列时，先进入队列的数据包会被现转发
• 为了保证关键业务的质量，可以通过SP算法调度该业务，并设置最小带宽 {.correct}
• 当使用SP调度算法时，如果高优先级占用了大量带宽有可能会造成低优先级队列饿死的现象 {.options}

通过SP算法调度业务，应该设置最大带宽，而不是最小带宽。否则该业务会占用大量带宽，导致低优先队列饿死。

当DHCP客户端与服务器之间存在中继设备时，如果DHCP服务器全局地址池中的IP地址与中继设备上连接客户端的VLANIF接口的IP地址不在同一个网段，则会引起DHCP故障。 {.quiz}

• 正确 {.correct}
• 错误 {.options}

DHCP中继负责转发DHCP服务器和DHCP客户端之间的DHCP报文，协助DHCP服务器向DHCP客户端动态分配网络参数的设备。DHCP客户端广播发送请求报文（即目的IP地址为255.255.255.255），位于同一网段内的DHCP服务器能够接收请求报文。如果DHCP客户端和DHCP服务器不在同一个网段，DHCP服务器无法接收来自客户端的请求报文，此时，需要通过DHCP中继来转发DHCP报文。不同于传统的IP报文转发，DHCP中继接收到DHCP请求或应答报文后，会重新修改报文格式并生成一个新的DHCP报文再进行转发。

华为iMaster NCE-WAN控制器的南向管理采用以下哪一项协议？ {.quiz}

• SNMP
• HIP/2
• NETCONF over DTLS
• NETCONF over SSH {.correct} {.options}

华为SDWAN使用SSH作为传输层协议，传递NETCONF,NETCONF包括传输层、消息层、操作层、内容层。

iFIT支持对端到端的业务报文进行测量，从而得到IP网络中真实业务报文的丢包率、时延等性能指标。 {.quiz}

• 正确 {.correct}
• 错误 {.options}

因为iFit在真实数据包中通过特定的字段来携带染色信息，而不是NQA的模拟数据的方式。所以可以得到真实业务报文的丢包率等指标

公钥是公开的，无需保密。私钥是由个体持有的，不对外公开和传播。 {.quiz}

• 正确 {.correct}
• 错误 {.options}

非对称公钥技术中，私钥是仅有秘钥生成者才知道的，不能泄露。

以下关于VxLAN网关的描述中，错误的是哪一项？ {.quiz}

• VxLAN三层网关用于VxLAN虚拟网络的跨子网通信以及对外部网络（非VxLAN网络）的访问
• VBDIF是基于BD创建的逻辑接口，与传统网络中的VLANIF的概念相似
• VxLAN二层及三层网关都必须维护VBDIF接口，否则用户无法通过该接口实现正常通信 {.correct}
• VxLAN二层网关实现流量进入VxLAN虚拟网络，也可用于实现同一VxLAN虚拟网络的同子网通信 {.options}

VXLAN二层网关不必维护VBDIF接口，相同VNI的二层通信可以直接通过隧道进行同子网之间的通信，不需要VBDIF。

当网络管理员尝试通过Telnet访问内部网络设备时，发现无法访问。以下不可能的原因是哪一项？ {.quiz}

• VTY用户界面下配置了protocol inbound all {.correct}
• 路由不可达，客户端和服务器无法建立TCP连接
• VTY用户界面下绑定了ACl
• 登录设备的用户数到达了上限 {.options}

protocol inbound all命令用来指定VTY用户界面支持所有的协议，包括SSH和Telnet。

网络管理员在排除MSTP故障时执行了display current-configuration命令来获取设备的配置文件，以下关于排障思路的描述，错误的是哪一项？ {.quiz}

• 查看端口配置，确认使能MSTP的端口是否使能了协议上报文上送命令，如bpdu enable
• 与用户终端设备相连的端口MSTP是否是处于去使能状态或配置为边缘端口
• 查看设备端口是否加入正确的VLAN
• 不论设备上是否配置了BPDU Tunnel，都不会对MSTP造成影响 {.correct} {.options}

bpdu-tunnel{enable | disable}命令用来配置接口转发BPDU报文或丢弃BPDU报文。

实现同一个VLAN内不同用户之间的隔离，可以采取以下哪一项技术？ {.quiz}

• IPSG
• 端口隔离 {.correct}
• 以太网端口安全
• Super VLAN {.options}

IPSG是IP安全技术，superVLAN是不同的AccessVLAN来进行隔离，端口安全只避免MAC的欺骗攻击。

SR-MPLS TE隧道的路径可以由控制器或者隧道头节点计算得出。 {.quiz}

• 正确 {.correct}
• 错误 {.options}

SR-MPLS TE 中的数据转发路径，可以让控制器统一计算出来，也可以让头部设备计算出来。

在配置基于VLAN的MAC地址漂移检测功能后，如果MAC地址发生漂移，则可根据需求配置接口做出的动作。以下哪一项不是可以配置的动作？ {.quiz}

• 接口阻断
• 发送告警
• 流量过滤
• MAC地址阻塞 {.correct} {.options}

产生MAC地址漂移的端口，可以配置触发的惩罚动作，比如将端口设置为 error-down的状态并发送告警，比如启动这个端口上配置的流量抑制策略，限制流量的转发。但是不能阻塞MAC地址。

某公司的总部网络和分部网络通过Internet互联，若想通过VPN技术实现总部用户与分部用户之间的数据传输安全可靠，以下哪一项VPN技术最合适？ {.quiz}

• SSL VPN
• MPLS VPN
• L2TP VPN
• IPsec VPN {.correct} {.options}

因为是站点到站点的VPN，且考虑安全性，所以是IPSEC VPN。

DU标签分发方式下，如果采Liberal保持方式，则设备都会保留所有LDP Peer分发的标签，无论该LDP Peer是否为到达目的网段的最优下一跳。 {.quiz}

• 正确 {.correct}
• 错误 {.options}

下游自主+自由的方式，无需请求就可发送标签，并且收到标签无论是否是最优下一跳发来的标签，全都接收。

iMaster NCE-Campus控制器不支持通过SNMP纳管设备。 {.quiz}

• 正确
• 错误 {.correct} {.options}

可以通过NETCONF或者SNMP下发配置和纳管设备。

在接口下配置ISIS IPv6 cost 50，该命令的含义是以下哪一项？ {.quiz}

• 该接口的IS-IS IPv6的Level-1 cost为50
• 该接口的IS-IS IPv6的Level-1、Level-2 cost都为50 {.correct}
• 该接口的IS-IS IPv6的Level-2 cost为50
• 该接口的IS-IS IPv6的Level-1、Level-2 cost都为60 {.options}

在命令没有指定Level-1或Level-2时，就是同时设备Level-1和Level-2的cost值为50。

通过iMaster NCE-Campus部署的虚拟化园区网络场景中，以下关于“添加设备”的描述中，错误的是哪一项？ {.quiz}

• iMaster NCE-campus支持批量添加设备
• iMaster NCE-campus支持通过设备角色添加设备 {.correct}
• iMaster NCE-campus支持通过设备ESN添加设备
• iMaster NCE-campus支持通过设备类型添加设备 {.options}

通过iMaster-NCE Campus可以实现设备的批量导入、ESP逐个导入、基于设备类型批量导入，但是不基于设备角色导入。因为设备角色其实是由功能来定义的，而功能的指定，是基于人为的规划来实现的。所以无法基于该功能来导入设备。

在广播型网络中，如果两台路由器互连接口的DR优先级都设置为0，则OSPF邻居会停留在哪个状态？ {.quiz}

• DOWN
• Exchange
• Full
• 2-way {.correct} {.options}

DR优先级为0，无法参加DR选举，MA中无法选举DR就无法同步数据库，邻居状态会停留在2-way。

以下关于多实例CE（Multi-VPN-Instance CE）的描述，错误的是哪一项？ {.quiz}

• 在MCE设备上需要为不同的VPN创建各自的路由转发表，并绑定到对应的接口
• 连接到同一台MCE但不属于一个VPN实例的用户之间无法互相访问
• MCE与PE之间必须要有多条物理链路以实现不同VPN实例之间的隔离 {.correct}
• 具有MCE功能的设备可以在BP/MPLS IP VPN应用中接入多个VPN实例，减少用户网络设备的投入 {.options}

MCE设备与PE设备之间互联的时候，需要进行不同的VPN实例的流量的区分。但是没必要通过多个物理链路互通，通过一个物理链路划分子自端口的方式，也可以进行互通。

以下哪一项不属于割接中期阶段的操作流程？ {.quiz}

• 业务测试
• 割接准备
• 割接实施
• 现场守局 {.correct} {.options}

守局应该在割接之后。

SR-MPLS Policy是当前主流的实现SR-MPLS的方式之一，以下关于SR-MPLS Policy的描述，错误的是哪一项？ {.quiz}

• 常见SR-MPLS Policy应用场景通过控制器收集全网拓扑、网络带宽、链路时延等信息，根据业务需求计算出SR-MPLS Policy隧道并将策略下发到头节点
• 一条候选路径可包含多条转发列表，基于权重进行负载分担
• 一个SR-MPLS Policy由三元组标识
• 可定义多条候选路径，候选路径之间根据优先级形成主备或负载分担关系 {.correct} {.options}

SID-LIST之间可以负载分担，而候选路径之间无法实现负载分担。

以下关于中小型园区接入控制的描述中，错误的是哪一项？ {.quiz}

• iMaster NCE支持直接作为认证服务器
• 云AP支持Portal本地认证 {.correct}
• iMaster NCE支持对接第三方RADIUS服务器
• iMaster NCE支持作为Portal中继设备 {.options}

云AP本地是没有Portal认证功能的，都是通过 SDN 控制器来控制的。

RESTCONF和NETCONF都是用于管理网络设备配置的协议。以下关于RESTCONF和NETCONF的描述错误的是哪一项？ {.quiz}

• RESTCONF的数据编码格式支持XML或者JSON
• RESTCONF使用HTTP的操作，无状态、有事务机制、有回滚 {.correct}
• RESTCONF的操作方法是GET、POST、PUT、PATCH、DELETE
• RESTCONF操作设备的多个配置库，有事务机制、有回滚 {.options}

RESTCONF协议通过HTTP方法可以识别NETCONF中定义的增删改查操作，用于访问YANG定义的数据。

以下关于OSPFv3的Router-ID的描述，正确的是哪一项？ {.quiz}

• 100比特的值
• 64比特的值
• 128比特的值
• 32比特的值 {.correct} {.options}

OSPFv3的router id固定为32位整数。

华为网络设备OPS（Open Programmability System，开放可编程系统）功能利用HTTP协议的方法对网络设备的管理对象进行访问。为方便用户编写脚本，华为提供了OPS功能的Python脚本模板，脚本模板中发送的HTTP请求报文中的首部字段“Content-type”和“Accept”内容分别为以下哪一项？ {.quiz}

• text/xml, text/json
• text/json, text/xml
• text/json, text/json
• text/xml, text/xml {.correct} {.options}

XML(Extensible Markup Language，可扩展标记语言)，被设计用来传输和存储数据。目前，OPS RESTful API只支持采用XML格式传输数据，未来的版本会支持JSON（JavaScript Object Notation）格式。所以，目前OPS Restful API请求报文和响应报文的主体部分都是XML格式。

以下关于MP-BGP的描述，错误的是哪一项？ {.quiz}

• PE与CE之间通过BGP交互路由时，需要在CE上为每个VPN实例创建BGP进程 {.correct}
• MP-BGP通过MP_REACH NLRI和MP_UNREACH NLRI两种属性来通告VPNv4路由
• MP-BGP需要为VPNv4路由分配私网标签
• MP-BGP的报文类型、VPNv4路由发布策略与BGP4相同 {.options}

无论是在PE上，还是在CE上。无论是多少个 vpn 实例，都永远只能有一个BGP进程，严格来说不叫BGP进程，应该是BGP AS 。

IPsec SA（Security Association，安全联盟）三元组不包括以下哪一项参数？ {.quiz}

• 源IP地址 {.correct}
• 安全协议号（AH或者ESP）
• 目的IP地址
• 安全参数索引SPI（Security Parameter Index） {.options}

IPsec SA由一个三元组来唯一标识，这个三元组包括安全参数索引SPI（Security Parameter Index）、目的IP地址和使用的安全协议号（AH或ESP）。

在分布式网关下，VNI分为L2 VNI和L3 VNI。L2 VNI是普通的VNI，以1:1方式映射到广播域BD，实现VxLAN报文同子网的转发；L3 VNI和VPN实例进行关联，用于VxLAN报文跨子网的转发。 {.quiz}

• 正确 {.correct}
• 错误 {.options}

L2 VNI 用于实现交换的功能，L3 VNI 用于实现路由的功能。

流量监管只能用在入方向，作用是对进入设备的流量进行监控，确保上游设备没有滥用网络资源。 {.quiz}

• 正确
• 错误 {.correct} {.options}

监管在出方向也能使用。

防火墙双机热备场景下，业务接口需要加入安全区域，心跳接口不需要加入安全区域。 {.quiz}

• 正确
• 错误 {.correct} {.options}

双机热备下，心跳接口也需要加入安全区域中。

SR-MPLS中的Node Segment必须手工配置。 {.quiz}

• 正确 {.correct}
• 错误 {.options}

因为NODE SID必须全网唯一，所以是手工配置。

以下关于MPLS标签空间的描述，错误的是哪一项？ {.quiz}

• 如果出标签值为0，则路由器会将该报文直接丢弃 {.correct}
• 1024以上是LDP、RSVP-TE、MP-BGP等动态信令协议共享的标签空间
• 倒数第二跳LSR进行标签交换时，如果发现交换后的标签值为3，默认情况下将标签弹出，并将报文发给最后一跳
• 16~1023是静态LSP和静态CR-LSP共享的标签空间 {.options}

在MPLS的标签空间中，0 是一个特殊的标签。如果设备收到的报文携带着该标签，就会将标签弹掉。并不会将报文丢弃。

NETCONF内容层里，包含可选的“operation”属性，用来给配置数据指定操作类型。如果未携带“operation”属性，则默认为create操作。 {.quiz}

• 正确
• 错误 {.correct} {.options}

merge是默认操作。Operation取值如下：merge：在数据库中修改存在或不存在的目标数据，如果目标数据不存在则创建，如果目标数据存在则修改。这是默认操作。create：当且仅当配置数据库中不存在待创建的配置数据时，才能成功添加到配置数据库。如果配置数据存在，则会返回，其中包含一个值“data-exists”。delete：删除配置数据库中指定的配置数据记录。如果数据存在，则删除该数据，如果数据不存在，则返回，其中包含一个值“data-missing”。remove：删除配置数据库中指定的配置数据记录。如果数据存在，则删除该数据，如果数据不存在，则返回成功。

若在园区网络中部署了网络准入控制，当某一终端设备未通过准入认证时，该终端无法访问所有的网络资源。 {.quiz}

• 正确
• 错误 {.correct} {.options}

基于端口模式：当采用基于端口方式时，只要该端口下的第一个用户认证成功后，其他接入用户无须认证就可使用网络资源。但是当第一个用户下线后，其他用户也会被拒绝使用网络。

请求头部字段Accept-Language表示客户端所希望的语言种类。 {.quiz}

• 正确 {.correct}
• 错误 {.options}

Accep-Language 客户端所希望的语言种类，当服务器能够提供一种以上的语言版本时需要。

业务包（Specific Service Plugin，SSP）通过使用jinja2模板来实现映射。jinja2语法{%...%}中包含控制结构（ControllStructures），例如for循环。 {.quiz}

• 正确 {.correct}
• 错误 {.options}

Jinja2中的for循环语句必须放在{% for statement %}中间，并且还必须有结束的标签{% endfor %}。

在业务随行中，以下关于“安全组”和“资源组”的描述中，正确的是哪一项？ {.quiz}

• 使用资源组时，在策略执行点设备上会根据每个资源组生成一条策略
• 动态安全组的用户IP地址是不固定的，是在用户认证之后动态地将IP地址与安全组关联 {.correct}
• 在配置策略控制矩阵时，资源组可以作为策略的源组和目的组
• 对于IP地址集有重合的服务资源，可以通过静态安全组进行区分 {.options}

在配置策略控制矩阵时，资源组只能作为策略的目的组对于使用相同IP地址的不同服务资源，无法通过静态安全组进行区分。使用资源组时，在策略执行点设备上会根据每个IP地址生成一条策略，而不是一个资源组生成一条策略，可能会导致策略数过多。动态加入用户的IP地址是不固定的，是在用户认证之后动态地与安全组关联，在用户注销后，也会动态地解除关联。用户IP与安全组之间的映射关系只在用户在线期间有效。

在VxLAN实现中 ，VNI与BD的映射关系是以下哪一项？ {.quiz}

• 1:1 {.correct}
• N:1
• 1:N
• N:M {.options}

VNI以1:1方式映射到广播域BD，同一个BD内的终端可以进行二层互通。

以下关于GRE安全机制的描述中，错误的是哪一项？ {.quiz}

• 只有隧道两端设置的识别关键字完全一致时，GRE隧道才能建立
• 如果本端配置了校验和而对端没有配置，则本端不会对接收到的报文进行校验和检查，但对发送的报文进行校验和检查
• 如果隧道本端配置了关键字而对端没有配置，则隧道能正常转发用户报文 {.correct}
• 如果本端没有配置校验和而对端配置了，则本端对从对端发来的报文进行校验和检查，对发送的报文不检查校验和 {.options}

​​​​​​关键字的作用是标志隧道中的流量，属于同一流量的报文使用相同的关键字。在报文解封装时，GRE将基于关键字来识别属于相同流量的数据报文。只有Tunne两端设置的识别关键字完全一致时才能通过验证，否则将报文丢弃。这里的”完全一致”是指两端都不设置识别关键字，或者两端都设置相同的关键字。

ESI（Ethernet Segment Identifier）总长度为10个字节，且在全网范围内唯一。 {.quiz}

• 正确 {.correct}
• 错误 {.options}

ESI长度是10个字节，是PE与CE之间的链接的唯一标识，用于实现CE双归组网环境下的防止环路的功能。

在MA网络环境中，所有IS-IS路由器使能SR-MPLS功能，以下描述正确的是哪一项？ {.quiz}

• DIS将会搜集MA网络中每台设备的SRGB，并通告给其它路由器
• 如果使能SR-MPLS，则不需要选举DIS
• DIS生成的LSP会描述网络中所有的IS-IS路由器 {.correct}
• DIS会产生特殊的Node ID {.options}

在LAN网络中，每个网元仅发布一条到DIS的IS-IS Extended IS reachability TLV-22，然后把到其他邻居的Adj-SID封装在一个新的TLV中，这就是LAN-Adj-SID Sub-TLV。所以，DIS会将描述段邻接的信息，同步给网络中的其他路由器。

以下关于Ping和Tracert作用的描述，正确的是哪一项？ {.quiz}

• Tracert与Ping的作用相同，只是名称不同而已
• Tracert一定能够追踪到从源到目的地中间的每一跳IP地址
• Ping验证了从本端到对端的可达性，不代表对端到本端一定可达 {.correct}
• Ping通过单向的icmp echo request报文检测与对端的双向可达性 {.options}

PING和TRACERT作用不同，ping用来检测可达性，tracert用来检测数据经过的路径。 tracert检测不一定能追踪源到目的的每一条IP地址，很多设备可以防追踪。 如果网络中间有防火墙设备，那会造成A Ping B可以ping通，但B Ping A不一定可以ping通。

以下MPLS L3 VPN跨域解决方案中，ASBR之间不需要运行MPLS的是哪一项？ {.quiz}

• Option B
• Option D
• Option A {.correct}
• Option C {.options}

Option A在ASBR之间使用接口绑定实例，传递IPV4路由通信，无需MPLS。

SD-WAN相比传统网络，能更好地保障应用体验，其主要原因是以下哪一项？ {.quiz}

• SD-WAN能实现基于VRF的多部门业务隔离
• SD-WAN能针对不同应用提供不同选路策略与不同的QoS策略 {.correct}
• SD-WAN能使用IPsec技术实现报文加密传输
• SD-WAN能构建Full Mesh、Hub-Spoke、Partial Mesh等多种组网类型 {.options}

描述的都正确，但是对于选路策略与QoS策略主要是智能选路。

配置准入认证时，在授权结果中需要定义授权给用户的各项内容，不包括以下哪一项？ {.quiz}

• 安全组
• ACL
• VLAN
• IP地址 {.correct} {.options}

在授权的资源中，可以将ACL、安全组、VLAN 作为组员下放给认证成功的用户。

段路由SR（Segment Routing）是基于源路由理念而设计的在网络上转发数据包的一种技术架构，而Segment Routing MPLS是指基于MPLS标签转发的SR，简称SR-MPLS。 {.quiz}

• 正确 {.correct}
• 错误 {.options}

题述正确。

针对需要支持URL过滤、IPS、安全防御、AV反病毒等高级安全功能，同时需要支持多链路上行的场景，出口设备可以选择以下哪一项？ {.quiz}

• AP
• AR
• AC
• FW {.correct} {.options}

在下列的产品中，显而易见的是只有FW（防火墙）支持这么多高级的安全功能。

以下哪种技术不支持SR-MPLS？ {.quiz}

• BGP
• IS-IS
• LDP {.correct}
• OSPF {.options}

ISIS和OSPF通过增加TLV或者SUB TLV或者LSA10来支持SR-MPLS，BGP通过增加属性支持SR-MPLS。LDP是不支持SR-MPLS的。

以下哪种NAT64前缀不需要管理员手动配置？ {.quiz}

• 64:FF9B::/16
• 64:FF9B::/32
• 64:FF9B::/64
• 64:FF9B::/96 {.correct} {.options}

IPv6 地址中专门给 NAT64 划了一个地址池64:ff9b::/96。使用 64:ff9b:: 加上 IPv4 地址就可以通过 NAT64 访问。

在华为SD-WAN解决方案中，CPE上线后会自动选择RR，不需要iMaster NCE-WAN控制器参与。 {.quiz}

• 正确
• 错误 {.correct} {.options}

需要先在控制器上进行配置，NCE下发配置，那么才能选择RR。

以下关于DHCP原理的描述中，错误的是哪一项？ {.quiz}

• DHCP支持给指定的终端分配固定的IP地址，这种分配机制被叫做DHCP静态分配
• 当DHCP客户端与DHCP服务器处在不同的三层网络时，需要配置DHCP中继实现客户端与服务器之间的报文转发
• DHCP报文中的Options字段采用TLV结构，可以携带如NTP服务器地址、AC地址和日志服务器地址等参数信息
• 若只需要给DHCP客户端下发网关和DNS服务器的信息，则DHCP服务器发送给客户端的DHCP Offer报文将不会携带Options字段 {.correct} {.options}

DHCP offer报文中携带了很多option，例如终端的MAC地址，分配的IP和租约等信息。

在VxLAN网络中，用于实现VxLAN网络内跨子网通信以及VxLAN网络访问外部网络（非VxLAN网络）的是以下哪一项？ {.quiz}

• VxLAN L2Gateway
• VLANIF接口
• NVE接口
• VxLAN L3 Gateway {.correct} {.options}

跨子网访问需要L3 GW，使用L3 VNI。

EVPN使用以下哪种路由类型实现快速收敛和水平分割？ {.quiz}

• Inclusive Multicast Route
• MAC/IP Advertisement Route
• Ethernet Segment Route
• Ethernet Auto-discovery Route {.correct} {.options}

(Type 1) Ethernet A-D Route可以通告ESI标签,ESI Label是EVPN Type 1路由所携带的扩展团体属性。在多归场景下，用于实现快速收敛和水平分割。

MACsec可为用户提供安全的MAC层数据发送和接收服务。以下哪一项不属于MACsec可提供的服务？ {.quiz}

• 完整性检查
• 可控性检查 {.correct}
• 用户数据加密
• 数据源真实性校验 {.options}

CAK（Secure Connectivity Association Key，安全连接关联密钥）不直接用于数据报文的加密，由它和其他参数派生出数据报文的加密密钥。CAK可以在802.1X认证过程中下发，也可以由用户直接静态配置。 MKA（MACsec Key Agreement protocol）用于MACsec 数据加密密钥的协商协议。 SAK（Secure Association Key，安全关联密钥）由CAK根据算法推导产生，用于加密安全通道间传输的数据。MKA对每一个SAK可加密的报文数目有所限制，当使用某SAK加密的PN耗尽，该SAK会被刷新。

NETCONF协议提供一套管理网络设备的机制。NETCONF的操作对象是网络设备的配置库，以下对配置库的描述，错误的是哪一项？ {.quiz}

• <delete-config>是对启动配置库的操作
• 网络设备的配置库可以分为候选配置库、运行配置库、启动配置库
• <validate>是对候选配置库的操作
• <commit>会提交启动配置库中的配置成为运行配置库中的配置 {.correct} {.options}

会提交候选配置库中的配置成为运行配置库中的配置。

在SR网络中，如果使用IS-IS传递SID，缺省情况下Level-2路由器发布的Node SID只在同一个区域内传递。 {.quiz}

• 正确
• 错误 {.correct} {.options}

因为IS-IS的level2的邻居关系可以在不同区域之间建立，所以NODE SID可以在level2的多个区域通过LSP进行传递。

DSCP的取值范围是0~63，其中部分取值有专有名称。以下哪种DSCP值代表EF？ {.quiz}

• 46 {.correct}
• 30
• 22
• 38 {.options}

Python Maramiko实现了SSH协议，在Python Paramiko模块中，以下哪个类用于创建SFTP会话连接并执行远程文件操作？ {.quiz}

• Channel类
• SFTPClient类 {.correct}
• Packetizer类
• Transport类 {.options}

Channel类：该类用于创建在SSH Transport上的安全通道。Message类：SSH Message是字节流。该类对字符串、整数、bools和无限精度整数（Python中称为long）的某些组合进行编码。Packetizer类：数据包处理类。Transport类：该类用于在现有套接字或类套接字对象上创建一个Transport会话对象。SFTPClient类：该类通过一个打开的SSH Transport会话创建SFTP会话通道并执行远程文件操作。​​​​​​​SSHClient类：SSHClient类是与SSH服务器会话的高级表示。该类集成了Transport，Channel和SFTPClient类。

通过BGP EVPN动态建立VxLAN隧道的场景中，为了让VTEP对等体能够根据本地的终端ARP信息生成BGP EVPN Type2路由，需要在VBDIF接口下开启以下哪一项命令？ {.quiz}

• arp collect host enable {.correct}
• arp-proxy enable
• mac-address xxxx-xxxx-xxxx
• arp distribute-gateway enable {.options}

arp collect host enable命令用来使能EVN BGP或BGP EVPN进行主机信息搜集的功能。​​​​​​​arp distribute-gateway enable 命令功能 arp distribute-gateway enable命令用来使能分布式网关功能。

在华为SD-WAN解决方案中，拓扑编排的结果通过以下哪一项形式下发到RR？ {.quiz}

• 流表
• OSPF配置
• BGP配置 {.correct}
• SNMP配置 {.options}

EVPN传递TNP信息，包括隧道类型、公网、私网IP地址、以及路由信息，都是通过EVPN进行传递，所以通过BGP配置。

传统的BGP-4只能管理IPv4单播路由信息，MP-BGP为了提供对多种网络层协议的支持，对BGP-4进行了扩展。其中，MP-BGP对IPv6单播网络的支持特性称为BGP4+，BGP4+通过Next_Hop属性携带路由下一跳地址信息。 {.quiz}

• 正确
• 错误 {.correct} {.options}

NLRI属性中携带IPV6的下一跳地址，用MP_REACH_NLRI格式中的Network Address of Next Hop表示。

以下哪一项不是在设计SR-MPLS Policy隧道需要遵守的原则？ {.quiz}

• 单条隧道的流量不要太大，以方便带宽调优的进展
• 业务流量和隧道关联，达到一定程度的路径可视能力
• 考虑今后可能的网络规模扩充
• 尽可能多的增加隧道数量，隧道数量越多，就可以更精细化地隔离业务和保障业务质量 {.correct} {.options}

隧道是为了更好的服务业务，在满足VPN承载前提下，关注调优诉求。在业务路径可视、业务保护、网络可维护性、网络可扩展性等方面达到平衡，需遵循如下原则：业务可视性：业务流量和隧道关联，达到一定程度的路径可视能力。可维护性：总体隧道数量不要太多，以减轻现网维护的压力，并减少调优的时间。易调优性：单条隧道的流量不要太大，以方便带宽调优的进展。可靠性：主要业务要有保护，关键业务要能够快速收敛。可扩展性：考虑今后可能的网络规模扩充。

华为提供OPS功能的Python脚本模板，脚本模板中main方法代码如下，以下描述错误的是哪一项？ {.quiz}

• ops_conn.close()表示关闭HTTP连接
• rsp_dataa = get_startup_info(ops_conn)表示调用get_startup_infc方法，该方法会向设备发送一个HTTP请求，并将设备的响应数据存放到rsp_dataa
• ops_conn = OPSConnection(host)表示创建一个OPSConnection类的ops_conn
• 当在本地PC执行Python脚本时，host的值需设置为网络设备的IP地址 {.correct} {.options}

根据《RESTful API参考》，获取系统启动信息RESTful API对应的HTTP操作是GET，因此调用OPSConnection类实例的get方法。用户可以根据自己需实现的设备管理功能，修改get方法为OPSConnection类的create，delete或set方法。req_data为发送的请求内容，rsp_data为网络设备执行请求操作后的响应消息。main()方法中host表示环路地址，目前RESTful API仅支持设备内部调用，即取值“localhost”。

在华为SD-WAN解决方案中，控制通道采用的协议是以下哪一项？ {.quiz}

• BGP EVPN {.correct}
• 静态路由
• BGP VPNv4
• BGP4 {.options}

当某一无线用户通过Portal认证之后，不支持对该用户授权以下哪一项参数？ {.quiz}

• free-rule
• UCL
• IP地址 {.correct}
• ACL {.options}

用户无法授权IP地址。IP地址通过DHCP获取或者静态配置后，才可能进行portal认证。

在HTTP通信过程中，对于每个HTTP连接客户端只发送一个请求，一旦服务器响应数据发送完毕，连接将被释放。为了解决该问题，采用哪个头部字段扩展可以使得HTTP会话得到保持，不会立即断开连接？ {.quiz}

• Session
• Cookie
• Set-Cookie
• Connection {.correct} {.options}

从HTTP/1.1起，默认使用长连接，用以保持连接特性。使用长连接的HTTP协议，会在响应头加入这行代码：Connection:keep-alive。

SR-MPLS通过扩展的IGP发布标签并且预留带宽，从而支持大带宽业务。 {.quiz}

• 正确
• 错误 {.correct} {.options}

SR-MPLS无法通过IGP路由带宽。

在业务随行中，策略执行点设备收到用户流量后，根据流量携带的以下哪一项信息，查找对应的策略并执行，进而转发/丢弃该流量？ {.quiz}

• 源/目的安全组 {.correct}
• 源/目的IP地址
• 源/目的端口号
• 源/目的MAC地址 {.options}

业务随行解决方案与传统的NAC解决方案最大的区别就是通过“安全组”来组织用户与资源，完成最终的网络资源的授权。

当前华为使用TLS协议作为NETCONF协议的承载协议。 {.quiz}

• 正确
• 错误 {.correct} {.options}

NETCONF传输层首选推荐SSH（Secure Shell）协议，XML信息通过SSH协议承载。

在虚拟化园区网络场景中，VxLAN域内所有设备都必须支持VxLAN特性。 {.quiz}

• 正确
• 错误 {.correct} {.options}

在VXLAN网络中，仅仅是 VXLAN 网络的边界设备支持 VXLAN 特性就可以了，其他的设备可以不支持。

VxLAN使用VNI区别用户，一个租户可以有一个或多个VNI，VNI长度为24bit，所以VxLAN支持多达12M的租户。 {.quiz}

• 正确
• 错误 {.correct} {.options}

16M。

华为AR系列路由器配置IPsec隧道时，必需创建IPsec隧道接口，否则用户数据无法被加密。 {.quiz}

• 正确
• 错误 {.correct} {.options}

在IPsec引流的时候，我们可以使用IPsec隧道虚拟接口的方式，也可以使用ACL的方式，都是可以的。

通过BGP EVPN动态建立的VxLAN隧道的场景中，BGP EVPN使用以下哪一项路由进行MAC地址通告、ARP信息通告以及IRB路由通告？ {.quiz}

• Type1
• Type3
• Type4
• Type2 {.correct} {.options}

只有Type2的路由会进行主机MAC通告和主机ARP通告。

HTTP全称为超文本传输协议，是用于分布式、协作性、超媒体信息系统的应用层协议。 {.quiz}

• 正确 {.correct}
• 错误 {.options}

题述正确。

当园区网络中部署了策略联动之后，会在控制点与执行点设备之间建立CAPWAP（Control And Provisioning of Wireless Access Points）隧道，通过CAPWAP实现用户关联、消息通信、用户授权策略下发、用户业务数据转发等。 {.quiz}

• 正确
• 错误 {.correct} {.options}

策略联动是通过在网关设备上统一管理用户的访问策略，并且在网关设备和接入设备执行用户的访问策略，来解决大型园区策略强度与复杂度之间矛盾的一种解决方案。部署策略联动后，接入设备可以自动透传BPDU报文、实时上报用户下线和用户接入位置，同时控制设备联动接入设备，使其执行用户的访问策略，从而实现了对用户访问网络的控制。认证控制点与认证执行点之间建立CAPWAP（Control And Provisioning of Wireless Access Points）隧道后，可以通过CAPWAP完成认证控制设备和认证执行设备之间的用户关联、消息通信、用户授权策略下发、用户同步等处理。用户的业务数据转发不经过CAPWAP隧道。

在管理员创建策略控制矩阵时，当一个源安全组存在到多个目的组的策略时，需要通过优先级区分对不同策略的匹配顺序。 {.quiz}

• 正确 {.correct}
• 错误 {.options}

当一个源安全组存在到多个目的组的策略时，需要通过优先级区分对不同策略的匹配顺序，比如目的组为资源组的时候，由于目的地址可能存在重复，所以需要通过手动调整策略的优先级实现对某策略的优先匹配。

iMaster NCE-Campus的终端管理提供终端识别功能，可呈现终端的类型、操作系统、生产厂商信息。 {.quiz}

• 正确 {.correct}
• 错误 {.options}

在基于华为云园区网络解决方案的中小型园区网络中，控制器部署模式推荐使用on-Premise模式。 {.quiz}

• 正确 {.correct}
• 错误 {.options}

所谓的On-Premise指的是本地部署。客户购买并拥有控制器、分析器等软件实体，软件可以部署在其数据中心或者公有云平台上。

在华为网络设备上配置snetconf server enable后，客户端可以通过830端口号与设备建立NETCONF连接。 {.quiz}

• 正确
• 错误 {.correct} {.options}

snetconf server enable后，默认通过22和设备建立netconf连接。

为使能VPN实例向BGP-EVPN地址族发布IP路由的功能，在BGP视图中需要开启以下哪一项命令？ {.quiz}

• advertise 12vpn evpn {.correct}
• advertise irb
• advertise vpnv4
• advertise irbv6 {.options}

advertise l2vpn evpn命令用来使能VPN实例向BGP-EVPN地址族发布IP路由功能。

安全MAC地址可以执行的安全保护动作不包括以下哪一项？ {.quiz}

• Remark {.correct}
• Shutdown
• Restrict
• Protect {.options}

Restrict：丢弃源MAC地址不存在的报文并上报告警。Protect：只丢弃源MAC地址不存在的报文，不上报告警。Shutdown：接口状态被置为error-down，并上报告警。

BGP4+中为了发布IPv6路由，Update报文中新增了什么字段？ {.quiz}

• 一个新的路径属性：IPv6_REACH_NLRI
• 一个新的路径属性：MP_REACH_NLRI {.correct}
• 一个新的路径属性：MP_UNREACH_NLRI
• 一个新的NLR类型：IPv6_NLRI，其中携带IPv6 NLRI Prefix length和IPv6 NLRI Prefix {.options}

发布路由是第14个属性多协议可达，撤销是第15属性，多协议不可达。UPDATE报文新增14（多协议可达）和15（多协议不可达）属性。

XML是NETCONF协议的编码格式，NETCONF用文本文件表示复杂的层次化数据。对于以下XML文件，描述正确的有哪些项？ {.quiz .multi}

• encoding：表示字符集编码格式，当前仅支持UTF-8编码 {.correct}

•   											：表示一条指令的开始 {.correct}

• /：表示结束当前标签 {.correct}
• ?>：表示一条指令的结束 {.correct} {.options}

XML编码格式文件头为:其中::表示一条指令的结束。

网络流量优化通过一系列行为解决网络拥塞，主要包含以下哪些阶段？ {.quiz .multi}

• 网络带宽预留 {.correct}
• 网络信息采集 {.correct}
• 网络流量调优计算 {.correct}
• 调优结果下发 {.correct} {.options}

网络流量优化通过一系列行为解决网络拥塞，主要包含以下阶段:A:网络信息采集B:网络流量分析和识别C:网络流量调优计算D:网络带宽预留E:调优结果下发。

网络调优计算即选择合适的调优目的，应用相应的算法，全局或局部地计算优化路径。控制器在计算路径时，可采取以下哪些约束条件？ {.quiz .multi}

• 显式路径 {.correct}
• 跳数 {.correct}
• 优先级 {.correct}
• 带宽 {.correct} {.options}

网络调优计算的约束条件有：优先级，带宽，跳数，显示路径，时延门限，亲和属性等。

以下关于MPLS转发流程中Ingress节点转发的描述，正确的是哪些项？ {.quiz .multi}

• 根据ILM表的Trnnel ID找到对应的NHLFE表项，将LFIB表项和NHLFE表项关联起来
• 查看NHLFE可以得到出接口、下一跳、出标签和标签操作类型，标签操作类型为Push {.correct}
• Ingress节点收到数据包之后会首先查看ILM表，查找Tunnel ID
• 在IP分组报文中压入获得的标签，并根据QoS策略处理EXP，同时处理TTL，然后将封装好的MPLS分组报文发送给下一跳 {.correct} {.options}

Ingress节点收到数据包后会先查FIB，看Tunnel ID是否为0，判断是执行IP转发还是执行标签转发。Ingress节点通过FIB表中的Tunnel ID找到对应的NHLFE，查看标签如何转发。

ping -a X -c Y -s Z -vpn-instance M 10.5.16.2，以下关于该命令的描述，正确的是哪些项？ {.quiz .multi}

• 该ping包属于VPN实例M {.correct}
• 该ping包发送Y个ICMP请求 {.correct}
• 该ping包的源IP地址是X {.correct}
• 该ping的ICMP请求，报文大小为Z（不含IP和ICMP头） {.correct} {.options}

-a：源；-c：请求次数；-s：报文长度；-vpn：实例名。

以下哪些阶段的SSH会话是加密传输的？ {.quiz .multi}

• 版本协商阶段
• 用户认证阶段 {.correct}
• 密钥交换阶段
• 会话交互阶段 {.correct} {.options}

密钥交换阶段：通过密钥交换算法生成会话密钥，此后双方的会话均通过会话密钥加密。用户认证阶段：SSH客户端向服务器端发起认证请求，服务器端对客户端进行认证。​​​​​​​会话交互阶段：认证通过后，服务器端和客户端进行信息的交互。

华为设备配置SFTP服务器时，以下哪些命令不是必须的（服务器采用用户名密码认证，用户名huawei，密码123456）？ {.quiz .multi}

• [Server] ssh user huawei authentication-type rsa {.correct}
• [Server] ssh server enable {.correct}
• [Server] aaa[Server-aaa] local-user huawei password irreversible-cipher 123456[Server-aaa] local-user huawei user-group manage-ug[Server-aaa] local-user huawei service-type ssh[Server-aaa] quit
• [Server] sftp server enable {.options}

A选项命令的意思是配置SSH用户的认证方式，不需要配置公钥认证；B选项不需要开启SSH服务，但是服务类型得是SSH。

在提高承载网络可靠性时，可能会用到以下哪些技术？ {.quiz .multi}

• BFD/SBFD {.correct}
• PIM-SM
• Anycast FRR {.correct}
• Mirror SID {.correct} {.options}

BFD和SBFD用于测试链路和路由可达的状态，anycast FRR和mirrorSID都是用于SID必经节点故障而产生备份的SID，提高承载网的可靠性。

企业广域承载网需要为各类业务提供不同的服务质量保障，此时可通过QoS规划，保障各类业务在承载网上得到合理的转发。以下关于QoS规划原则的描述，正确的有哪些项？ {.quiz .multi}

• 合理性：基于业务的重要性，分配合理的资源 {.correct}
• 可维护性：实际业务变化迅速，日常维护中可能需要经常进行QoS策略调整，需方便调整，维护简单 {.correct}
• 可扩展性：当前制定的QoS策略，需要考虑后续的业务扩展 {.correct}
• 一致性：QoS规划涉及业务分类、标记、调度、限速等各类行为，整网需要保持一致 {.correct} {.options}

QoS规划主要遵循四个原则，合理性；一致性；可扩展性；可维护性。

iFIT通过在业务流中插入报文头做染色标记，以此实现端到端时延和丢包等数据统计。以下关于iFIT的描述，正确的有哪些项？ {.quiz .multi}

• 网络设备通过Telemetry技术向控制器上报信息，控制器通过计算获得时延和丢包等信息 {.correct}
• iFIT for SRv6场景通过SRH拓展头部中的Option TLV携带iFIT相关信息 {.correct}
• iFIT for SR/MPLS场景中，通过标签值12来指示iFIT头部 {.correct}
• 无论是MPLS场景下还是SRv6场景下，iFIT都是带内检测，因此可实时感知业务流状态 {.correct} {.options}

Label：20bits，同MPLS Label，使用标签值为固定的保留标签0x0c，用于标识iFIT标签头。直接携带在标签包中，所以是带内方式。SRv6报文中新增Destination Options Header来封装iFIT的信息，并在其中新增OptionType字段来标识iFIT报文头。

以下关于IPsec使用的安全协议的描述中，正确的有哪些项？ {.quiz .multi}

• ESP的加密范围为整个IP报文
• ESP是一种基于IP的传输层协议，协议号为50 {.correct}
• AH和ESP均支持隧道模式的封装 {.correct}
• AH的完整性验证范围为整个IP报文 {.correct} {.options}

ESP默认情况下，加密的对象仅仅是IP数据包中的有效载荷，不包括IP头部，除非ESP工作在隧道模式下。

某企业的广域承载网络需要支持IPv4和IPv6网络，且有部署SRv6需求，则在进行该网络的IP地址规划时，需要规划以下哪些参数？ {.quiz .multi}

• IPv6 地址 {.correct}
• IPv4 地址 {.correct}
• SRv6 Locator {.correct}
• SRv6 Function {.correct} {.options}

因为要支持IPV4和IPV6，所以V4V6地址是需要的。SRV6部署中，SRv6 SID由Locator、Function和Arguments三部分组成，LOCATOR和FUNCTION是必须的，Arguments可选。

DHCP Snooping是一种DHCP安全特性，可以用于防御多种攻击。以下关于DHCP Snooping可以防御攻击的种类，正确的是哪些项？ {.quiz .multi}

• 防御改变CHADDR值的饿死攻击 {.correct}
• 防御中间人攻击和IP/MAC Spoofing攻击
• 防御DHCP仿冒者攻击 {.correct}
• 防御TCP flag攻击 {.options}

中间人攻击是常见的ARP欺骗攻击方式，应部署动态ARP检测DAI（Dynamic ARP Inspection）功能；防火墙配置firewall defend tcp-flag enable可防御TCP flag攻击。所以排除这两个选项。

华为SD-WAN解决方案中，使用EVPN传递的信息包括以下哪些项？ {.quiz .multi}

• IPsec SA信息 {.correct}
• NAT配置信息
• TNP路由 {.correct}
• 业务路由 {.correct} {.options}

EVPN传递的信息有SA信息，TNP以及业务路由。

在华为云园区网络解决方案中，华为交换机支持的开局方式包括以下哪些项？ {.quiz .multi}

• Web界面 {.correct}
• 基于DHCP Option148 {.correct}
• 命令行界面（CLI） {.correct}
• 基于华为注册查询中心 {.correct} {.options}

华为交换机开局方式灵活多样，所以以上都能够让交换机正常上线。

以下哪些原因可能导致OSPF邻居无法达到Full状态？ {.quiz .multi}

• 邻居的Router ID相同 {.correct}
• 链路工作异常 {.correct}
• 链路两端OSPF的网络类型不一致 {.correct}
• 接口OSPF MTU配置不同 {.correct} {.options}

网络类型不一致的情况下，NBMA和其他所有网络类型都无法建立FULL的邻接关系，相邻的两台设备如果R-ID不同，无法建立邻居，如果配置了mtu检查，MTU不同时也无法到达FULL。

基于华为云广域网络解决方案架构实现SRv6 Policy需要使用到以下哪些关键技术？ {.quiz .multi}

• PCEP {.correct}
• NETCONF {.correct}
• BGP-LS {.correct}
• BGP IPv6 SR Policy {.correct} {.options}

BGP-LS用于传递拓扑和SID以及亲和属性等，NETCONF下发配置，BGP sr policy下发SID-LIST。PCEP可以下发SID-LIST，也可以下发隧道错误等信息。

通告以下哪些方式可以将流量引入SR-MPLS TE隧道？ {.quiz .multi}

• 将SR-MPLS TE隧道当作逻辑链路参与IGP路由计算 {.correct}
• 通过配置静态路由，将静态路由的出接口指定为SR-MPLS TE的隧道接口 {.correct}
• 通过配置隧道策略的方式 {.correct}
• 在策略路由的执行语句中，使用SR-MPLS TE隧道接口作为出接口 {.correct} {.options}

以上四种方式均可以将流量导入隧道。

某园区网络通过iMaster NCE-Campus部署了两个虚拟网络：研发VN和市场VN，其中研发人员属于研发安全组并接入研发VN，销售人员属于销售安全组并接入市场VN。现在该园区网络要求研发人员和销售人员能够实现互访，针对互访需求的实现，网络管理员需要完成以下哪些任务？ {.quiz .multi}

• 部署外部网络 {.correct}
• 配置VN互通 {.correct}
• 部署策略控制矩阵 {.correct}
• 配置网络服务资源 {.options}

如果借用外部网关互通需要部署外部网络，互访不需要配置网络服务资源。

以下关于MPLS头部TTL的描述，正确的是哪些项？ {.quiz .multi}

• MPLS对于TTL的处理有两种方式。一种是IP报文在进入MPLS网络的时候MPLS头部的TTL拷贝IP TTL值；另外一种是在入口LSR将MPLS头部的TTL统一设置为255 {.correct}
• 可以防止报文的无限循环转发 {.correct}
• 禁止了拷贝TTL的情况下，Tracert能看到经过的MPLS域的LSR
• 拷贝IP TTL值的处理方式隐藏了MPLS域的LSR，起到了一定的安全作用 {.options}

MPLS的TTL和IP的TTL工作原理相同都可以用来防环，防止报文无限转发，MPLS对于TTL的处理有两种方式，一种是uniform，一种是pipe。

以下关于MPLS中标签封装格式的描述，正确的是哪些项？ {.quiz .multi}

• 对于以太网、PPP的分组，标签堆栈像“垫层”一样，位于二层报头与数据之间。有VLAN tag时，MPLS头放在以太头与VLAN tag之间
• MPLS单个标签的总长度为4个字节 {.correct}
• 标签中的TTL字段和IP分组中的TTL（Time To Live，生存时间）意义相似，也具有防止环路的作用 {.correct}
• 标签中的S字段长度为1bit，用于标识该标签是否是栈底标签，值为1时表明为倒数第二层标签 {.options}

S置1时代表栈底标签，是最后一个标签的意思。标签应该在L2和L3头之间，不管有没有VLAN TAG。

根据图中给出的信息，以下描述正确的是哪些项？ {.quiz .multi}

• R1访问172.17.1.5出现了环路 {.correct}
• R1有访问172.17.1.5的路由 {.correct}
• R1访问172.17.1.5的路径没有任何问题
• R1没有访问172.17.1.5的路由 {.options}

tracert能够发送出去进行探测就证明路由表中有这条路由，否则不会有回显，而在下面的路径中10.1.12.2，10.1.24.2，10.1.34.1，10.1.13.1重复出现，说明产生了环路。

以下哪些源节点行为可以为IPv6报文插入SRH？ {.quiz .multi}

• H.Insert {.correct}
• H.Insert.Red {.correct}
• H.Encaps {.correct}
• H.Encaps.Red {.correct} {.options}

encaps和insert的区别在于，encaps是封装一个新的IPV6头，而insert是不需要封装一个新的IPv6头部。但是都可以插入SRH，下面两种只是对上面两种的优化，也就是SRH中的first segment不需要放入SRH中。

在域内MPLS VPN网络中，数据包在进入公网被转发时，会被封装上两层MPLS标签。以下关于两层标签的描述，错误的是哪些项？ {.quiz .multi}

• 外层标签用于在PE设备上将数据包正确发送到相应的VPN中 {.correct}
• MPLS VPN的外层标签是由LDP协议或静态分配的，内层标签是由对端的MP-BGP邻居分配的
• 默认情况下，外层标签在数据包转发给最后一跳设备前被弹出
• MPLS VPN的外层标签称为私网标签，内层标签称为公网标签 {.correct} {.options}

MPLS VPN的外层标签称为公网标签，内层标签称为私网标签，内层标签用于在PE设备上将数据包正确发送到相应的VPN中。

在园区网络中，通过手工的方式创建静态VxLAN隧道存在以下哪些项问题？ {.quiz .multi}

• 静态VxLAN隧道在控制面也使用了相关协议，会造成设备资源损耗
• N台设备建立静态VxLAN隧道，则最多需要手工配置N(N-1)/2条隧道，配置量较大 {.correct}
• VTEP只能依赖数据泛洪的方式学习远端MAC地址 {.correct}
• 静态VxLAN隧道方式虽然能够支持分布式网关应用场景，但是配置工作量大，配置调整复杂 {.options}

静态VXLAN没有控制平面，只有数据平面。 静态VXLAN隧道方式不支持分布式网关。

通过BGP EVPN动态建立VLAN隧道的场景中，BGP EVPN Type2路由被用于传递IRB类型路由时，携带的信息包括以下哪些项？ {.quiz .multi}

• 二层VNI {.correct}
• 三层VNI {.correct}
• 主机MAC地址 {.correct}
• 主机IP地址 {.correct} {.options}

IRB型路由的有效字段为主机mac地址+主机地址+二层vni+三层vni。

YANG是NETCONF的数据建模语言，以下哪项属于YANG基础数据模型？ {.quiz .multi}

• Leaf（叶）节点 {.correct}
• List（列表）节点 {.correct}
• Set（集合）节点
• Tree（树）节点 {.options}

YANG的基础数据模型包括Leaf、Leaf-list、list、Container、Choice、Grouping可重用节点组。

华为设备可以针对哪些报文进行流量抑制？ {.quiz .multi}

• 广播 {.correct}
• 组播 {.correct}
• 未知单播 {.correct}
• 已知单播 {.correct} {.options}

流量抑制可以通过配置阈值来限制广播、未知组播、未知单播、已知组播和已知单播报文的速率,防止广播、未知组播报文和未知单播报文产生广播风暴，防止已知组播报文和已知单播报文的大流量冲击。在接口入方向上，设备支持对广播、未知组播、未知单播、已知组播和已知单播报文按百分比、包速率和比特速率进行流量抑制。在接口出方向上，设备支持对广播、未知组播和未知单播报文的阻塞(Block)。

以下关于Portal认证过程中所使用的认证协议的描述中，正确的有哪些项？ {.quiz .multi}

• 当采用HTTP/HTTPS协议作为认证协议时，所有认证过程中涉及的设备均不需要支持Portal协议
• 当采用Portal协议作为认证协议时，Portal服务器和接入设备仅需支持Portal协议，不需要支持HTTP/HTTPS协议 {.correct}
• 当采用Portal协议作为认证协议时，Portal服务器需要与接入设备交互认证信息，再由接入设备将这部分信息发送到认证服务器进行身份认证 {.correct}
• 当采用HTTP/HTTPS接入设备，再由接入设备将这部分信息发送到认证服务器进行身份认证 {.correct} {.options}

portal认证，portal服务器如果支持portal协议，那么不需要使用HTTP和HTTPS。如果不支持，那么客户端必须支持HTTP和HTTPS。

MPLS支持通过静态或动态的方式建立LSP，在MPLS TE场景下，以下哪些协议可以建立动态LSP？ {.quiz .multi}

• OSPF {.correct}
• RSVP-TE {.correct}
• BGP
• IS-IS {.correct} {.options}

SR-MPLS TE通过对IGP协议扩展进行标签分配和扩散。动态 LSP 通过标签发布协议动态建立，如 MP-BGP，RSVP-TE，LDP。

以下关于OSPFv3使用的组播地址的描述，正确的是哪些项？ {.quiz .multi}

• DR路由器使用FF::6
• DR路由器使用FF02::6 {.correct}
• 所有的OSPF Router使用FF02::5 {.correct}
• 所有的OSPF Router使用FF08::5 {.options}

原来的224.0.0.5和224.0.0.6类比FF02::5和FF02::6。

在SSH公钥认证过程中，服务器通过公钥解密客户端生成的数字签名，完成用户认证。对于SSH数字签名的生成需要以下哪些对象参与？ {.quiz .multi}

• 用户名 {.correct}
• 公钥 {.correct}
• 公钥算法 {.correct}
• 私钥 {.correct} {.options}

数字签名：包含用户名，会话ID，公钥算法，公钥等数据，由私钥加密生成。

以下哪些原因可能会引起IS-IS邻居关系故障？ {.quiz .multi}

• 链路两端的接口的IP地址不在同一网段 {.correct}
• 链路两端的设备配置的System ID相同 {.correct}
• 链路两端的IS-IS Level不匹配 {.correct}
• 建立IS-IS Level-1邻接时，链路两端的设备的区域号不匹配 {.correct} {.options}

Level-1路由器负责区域内的路由，它只与属于同一区域的Level-1和Level-1-2路由器形成邻居关系，属于不同区域的Level-1路由器不能形成邻居关系。

在SR-MPLS网络中，不同设备上手工配置的Prefix SID可能会发生标签冲突。假如现有如选项所示的四条路由（前缀/掩码 SID），则按照冲突处理原则，最终会优选以下哪些路由？ {.quiz .multi}

• 3.3.3.3/32 1
• 1.1.1.1/32 2
• 1.1.1.1/32 1 {.correct}
• 2.2.2.2/32 3 {.correct} {.options}

由于Prefix SID通过手工配置生成，不同设备上的配置可能发生标签冲突。标签冲突分为前缀冲突和SID冲突，前缀冲突是指相同的前缀关联了两个不同的SID，SID冲突是指相同的SID关联到不同的前缀。标签冲突处理原则：当冲突产生后，优先处理前缀冲突，之后根据处理结果再进行SID冲突处理，并按如下规则进行优选。前缀掩码更大者优选；前缀更小者优选；SID更小者优选。

如图所示，PE1和PE2之间通过Loopback0接口建立MP-BGP邻接关系。在配置完成之后，发现CE1和CE2之间无法互相学习路由，以下哪些项会导致该问题出现？ {.quiz .multi}

• PE1或PE2上的VPN实例参数配置错误 {.correct}
• PE1或PE2上与各自CE之间的路由协议配置错误 {.correct}
• PE1或PE2上之间的LSP隧道未建立 {.correct}
• PE1或PE2上未在BGP-VPNv4单播地址族视图使能邻居 {.correct} {.options}

以上四种情况都有可能，没VPNV4传不了路由，没/32的LSP认为下一跳不可达，PECE路由问题传不了路由，VPN实例参数有问题可能收不了路由。

通过iMaster NCE-Campus部署的虚拟化网络场景中，在创建Fabric时，需要配置Fabric全局资源池，包括以下哪些项？ {.quiz .multi}

• 桥接广播域（BD） {.correct}
• 互联IP地址资源
• VxLAN网络标识（VNI） {.correct}
• VLAN资源 {.correct} {.options}

互联ip地址资源在underlay自动化资源池部署。

某公司有一个总公司和两个分公司组成，并使用MPLS VPN技术传递私网路由。在Hub&Spoke的组网模式中，分公司只能与总公司收发路由，分公司之间不能相互直接收发路由。以下哪种RT设置方案可以实现上述需求？ {.quiz .multi}

• 总公司：Import Target: 12:3 Export Target: 3:12分公司1：Import Target: 3:12 Export Target: 12:3分公司2：Import Target: 3:12 Export Target: 12:3 {.correct}
• 总公司：Import Target: 1:1,2:2 Export Target: 3:3分公司1：Import Target: 3:3 Export Target: 1:1分公司2：Import Target: 3:3 Export Target: 2:2 {.correct}
• 总公司：Import Target: 1:1 Export Target: 3:3分公司1：Import Target: 3:3 Export Target: 1:1分公司2：Import Target: 3:3 Export Target: 2:2
• 分公司1：Import Target: 3:3 Export Target: 1:1分公司2：Import Target: 3:3 Export Target: 2:2 {.options}

所有的分公司的Export要与总公司的Import一致，分公司Import要与总公司Export一致。

在基于华为云园区网络解决方案的中小型云管理园区网络场景中，支持通过注册查询中心方式进行上线的设备包括以下哪些项？ {.quiz .multi}

• AP {.correct}
• FW {.correct}
• AR {.correct}
• SW {.correct} {.options}

AR、SW、FW、AP均支持注册查询中心。

端口安全（Port Security）通过将部分MAC地址转换为安全MAC地址，阻止除安全MAC之外的主机通过本接口和设备通信，从而增强设备的安全性。以下哪些项属于安全MAC地址？ {.quiz .multi}

• 安全静态MAC地址 {.correct}
• Protected MAC地址
• Sticky MAC地址 {.correct}
• 安全动态MAC地址 {.correct} {.options}

protect是端口安全的一个保护动作。

在基于华为云园区网络解决方案的中小型云管理园区网络场景中，以下哪些设备支持作为Portal认证点设备？ {.quiz .multi}

• RW {.correct}
• SW {.correct}
• AR {.correct}
• AP {.correct} {.options}

中小型云管理园区中，AP、AR、FW、FW均可以作为portal认证点设备。

SR Policy三元组包含以下哪些内容？ {.quiz .multi}

• color {.correct}
• dscp
• endpoint {.correct}
• headend {.correct} {.options}

没有dscp。

OSPFv3中哪些LSA可以在一个区域范围内泛洪？ {.quiz .multi}

• Link-LSA
• Intra-Area-Prefix-LSA {.correct}
• Inter-Area-Router-LSA {.correct}
• Inter-Area-Prefix-LSA {.correct} {.options}

Link-LSA在链路泛洪，而不是区域范围内泛洪。

HTTP/1.1协议的响应消息由哪些部分组成？ {.quiz .multi}

• 响应正文 {.correct}
• 响应头部 {.correct}
• 状态行 {.correct}
• 空行 {.correct} {.options}

HTTP响应消息由四个部分组成，分别是：状态行、响应头部、空行和响应正文。

华为SD-WAN解决方案中，关于Hub-Spoke拓扑的描述，正确的有哪些项？ {.quiz .multi}

• Hub-Spoke拓扑模式支持双Hub站点组网 {.correct}
• Hub-Spoke拓扑模式支持基于网段的Hub站点双活 {.correct}
• Hub-Spoke拓扑模式支持基于Spoke站点的Hub站点双活 {.correct}
• Hub-Spoke拓扑模式支持四Hub站点组网 {.options}

Hub-Spoke拓扑中Hub可靠性可以通过两个方面来实现，一是基于业务网段的多活Hub组网：在多活Hub组网场景下，如果分支站点访问数据中心可以基于不同的业务网段区分，则可以实现基于业务网段的双Hub双活，分支不同的业务访问数据中心关联不同的主备Hub。二是基于Spoke站点的多活Hub组网：如果企业广域网络分布范围广，企业的两个数据中心地理位置距离较远，推荐采用基于Spoke站点的多活Hub方案。在异地的多个数据中心部署Hub站点， Spoke站点关联多个Hub站点，以距离较近的Hub站点为主，距离较远的Hub站点为备，以此获得较好的数据中心业务访问体验。HUB-SPOKE支持双hub，不支持4hub组网。

在业务随行中，以下关于认证点和策略执行点的描述中，正确的有哪些项？ {.quiz .multi}

• 认证点设备会根据流量的源/目的IP地址对应的源/目的安全组执行策略 {.correct}
• 认证点和策略执行点可以是不同设备 {.correct}
• 认证点和策略执行点必须是合一的
• 策略执行点负责执行安全组的组间策略 {.correct} {.options}

认证点和策略执行点可以不是一台设备，但是策略执行点如果需要正常执行组件策略，必须拥有IP-GROUP表项，可以向NCE订阅。

iMaster NCE-Campus支持以下哪些位置上报方式，从而实现基于Wi-Fi的位置服务？ {.quiz .multi}

• 网络设备转存后上报至LBS Server {.correct}
• WLAN AP通过蓝牙Beacon报文上报终端位置数据 {.correct}
• WLAN AP直接上报位置数据 {.correct}
• iMaster NCE-Campus中继上报终端位置数据 {.correct} {.options}

配置DHCP Snooping可以用来防止仿冒者攻击，在配置过程中需要包含以下哪些步骤？ {.quiz .multi}

• 使能全局DAI Snooping功能
• 使能全局DHCP功能 {.correct}
• 使能接口或VLAN的DHCP Snooping功能 {.correct}
• 配置接口信任状态 {.correct} {.options}

DAI针对ARP报文可选的，题目中和没有表明仿冒者具体行为，但其他选项的配置时一定需要的。

华为SD-WAN解决方案中，LAN侧可以通过以下哪些路由协议对接三层网络？ {.quiz .multi}

• IS-IS {.correct}
• BGP {.correct}
• OSPF {.correct}
• RIP {.correct} {.options}

在SD-WAN解决方案中，我们在LAN侧的协议使用，就是和普通的IPv4网络一样，常见的路由协议都可以部署使用。

以下关于运营商转售SD-WAN场景的描述中，正确的有哪些项？ {.quiz .multi}

• 企业可以通过SD-WAN GW实现SD-WAN网络与传统运营商骨干网对接 {.correct}
• 运营商提供统一的SD-WAN控制器为多个企业提供SD-WAN服务 {.correct}
• 企业可以通过运营商分配的租户权限对自己的SD-WAN业务进行管控，也可以托管给运营商，由运营商对该企业SD-WAN业务进行管控 {.correct}
• 企业可以作为租户，租用运营商提供的SD-WAN服务，企业租户可以管控本企业范围内所有站点的SD-WAN业务，但是无法看到其他租户的SD-WAN业务 {.correct} {.options}

SDWAN如果是运营商转售的方式，可能存在多个租户，各自管理自己的网络。是无法查看到其它租户管理的网络设备和业务的，租户可以自己管理，也可以完全托管给运营商管理。运营商可以使用站点本地互通，即通过SDWAN的GW实现和传统网络的互通。

通过BGP EVPN动态建立VxLAN隧道的场景中，以下关于对称IRB转发的描述，正确的有哪些项？ {.quiz .multi}

• Ingress VTEP只执行L2查表转发
• VTEP之间转发跨网段用户通信报文时VxLAN头部中所携带的VNI为L3 VNI {.correct}
• Egress VTEP只执行L2查表转发
• Ingress VTEP、Egress VTEP都会执行L3查表转发 {.correct} {.options}

题干中是“对称IRB”，用L3 VNI、L3转发表；如果是“非对称IRB”，则用L2的。此题有相似的，注意辨别。

以下关于HTTP报文的描述正确的有哪些项？ {.quiz .multi}

• HTTP响应报文主体是Web服务器要返回给客户端的数据 {.correct}
• 首部字段用于补充关于HTTP请求和响应的附加信息 {.correct}
• 起始行在HTTP请求报文中用来说明执行结果，响应报文中说明要执行的操作 {.correct}
• HTTP请求报文主体是客户端要发给Web服务器的数据 {.correct} {.options}

起始行：在请求报文中用来说明要做什么，在响应报文中说明出现了说明情况；首部字段：在起始行行后面，每个首部字段都包含一个名字和一个值，使用冒号(:)分隔；主体：与前面的内容相隔一个空行，其中包含了所有类型的数据。请求主体包括了要发给Web服务器的数据，响应主体包括了要返回给客户端的数据。

某网络运行SR-MPLS，现R1想要访问R7，且其标签栈如图所示。则R1访问R7的路径可能为以下哪些项？ {.quiz .multi}

• R1-R3-R5-R7
• R1-R2-R4-R6-R7 {.correct}
• R1-R4-R5-R4-R7
• R1-R2-R4-R5-R7 {.correct} {.options}

R1根据ADJ-SID1012将数据发给R2，同理R2通过1024发给R4。随后R4去往R7路径不唯一。

HTTP协议的通信过程中具有哪些风险？ {.quiz .multi}

• 篡改风险（tampering）：第三方可以修改通信内容 {.correct}
• 窃听风险（eavesdropping）：第三方可以获知通信内容 {.correct}
• 丢失风险（Losting）：通信内容可能在传输过程中小概率丢失
• 冒充风险（pretending）：第三方可以冒充他人身份参与通信 {.correct} {.options}

不使用TLS带来以下风险：窃听风险（eavesdropping）： HTTP报文明文传输，第三方可以获知通信数据。篡改风险（tampering）：第三方可以修改通信内容。冒充风险（pretending）：第三方可以冒充他人身份参与通信。丢失风险不存在，因为是使用可靠的tcp来传递的。

iMaster NCE-CampusInsight的部署方式包括以下哪些项？ {.quiz .multi}

• MSP自建云CloudCampus部署 {.correct}
• 本地独立部署 {.correct}
• 本地CloudCampus部署 {.correct}
• 华为公有云CloudCampus部署 {.correct} {.options}

以上方式都能部署NCE，都选即可。

华为SD-WAN解决方案中，应用优化功能主要包含以下哪些项？ {.quiz .multi}

• 应用识别 {.correct}
• 智能选路 {.correct}
• QoS {.correct}
• 广域优化 {.correct} {.options}

SD-WAN解决方案针对以上问题，提出了企业应用体验优化方案。包含以下几方面应用识别 、智能选路、QoS和广域优化。

从改造成本、技术先进性以及改造影响范围维度考量，IPv6改造时应遵循以下哪些原则？ {.quiz .multi}

• 从全局角度触发选择合适的IPv6升级演进方案，合理利用，避免资产浪费 {.correct}
• 部署双栈网络，实现IPv4和IPv6网络长期共存 {.correct}
• 确保现有用户无感知，业务迁移平滑 {.correct}
• 构建先进的下一代企业IPv6网络系统架构，以充分支撑企业业务系统的长期发展以及稳定运行，避免网络再造、重复投资 {.correct} {.options}

以上都是IPv6改造时应遵循的原则。

若在广域承载网络中部署SRv6，则需要用到以下哪些技术？ {.quiz .multi}

• BGP-LS
• BGP {.correct}
• IGP {.correct}
• MPLS {.options}

需要用到IGP和BGP的扩展通告SRV6的locator和function。

以下Community属性中，可以保证BGP路由条目的传播范围只在AS内的是哪些项？ {.quiz .multi}

• No_Export_Subconfed {.correct}
• No_Export {.correct}
• Internet
• No_Advertise {.correct} {.options}

Internet，设备在收到具有此属性的路由后，可以向任何BGP对等体发送该路由。No_Advertise，设备收到具有此属性的路由后，将不向任何BGP对等体发送该路。No_Export，设备收到具有此属性的路由后，将不向AS外发送该路由。No_Export_Subconfed，设备收到具有此属性的路由后，将不向AS外发送该路由，也不向AS内其他子AS发布此路由。

SR-MPLS可以使用IGP协议进行拓扑信息、前缀信息、SRGB和标签信息的通告。OSPF协议为了完成上述功能，定义了针对SID和网元SR-MPLS能力的TLV。则OSPF使用以下哪些TLV通告SR-MPLS的Prefix SID和Adjacency SID？ {.quiz .multi}

• LAN Adj-SID Sub-TLV {.correct}
• SID/Label Sub-TLV
• Prefix SID Sub-TLV {.correct}
• Adj-SID Sub-TLV {.correct} {.options}

Prefix SID Sub-TLV用于通告SR-MPLS的Prefix SID，Adj-SID Sub-TLV用于在P2P网络中通告SR-MPLS的Adjacency SID，LAN Adj-SID Sub-TLV用于在LAN网络中通告SR-MPLS的Adjacency SID。

为了保证华为iMaster NCE-WAN控制器的可靠性，可以部署主备控制器。为了保障主备控制器的访问，部分IP地址需要配置成一致的IP，请问以下哪些地址需要设置成相同的IP？ {.quiz .multi}

• 南向私有地址 {.correct}
• 北向地址 {.correct}
• 控制器南向公网地址 {.correct}
• 控制器内部互联地址 {.options}

主站点和备站点上所有节点的物理网卡IP地址不能相同。公有云场景部署时，主集群和备集群对外的南向IP和北向IP地址分别保持一致，即客户或者设备不感知容灾主备切换。