【华为HCIP | 华为数通工程师】821—多选解析—第十九页

多选877、以下关于WLAN漫游流量四种转发模型的描述，正确的是哪些项?

A、三层漫游隧道转发中，若STA想访问原子网，需将报文返回HAP

B、二层漫游直接转发和二层漫游隧道转发之间没有区别，都是直接在FAP或FAC本地的网络转发

C、二层漫游转发和三层漫游转发的区别在于STA漫游前后的子网是否是同一子网

D、三层漫游直接转发和三层漫游隧道转发的区别在于是否需将报文返回HAP

解析：在 WLAN 漫游中，数据转发模型根据漫游类型（二层/三层）和转发方式（直接/隧道）分为四类。

HAP是STA的初始接入点，负责维护 STA 的原始网络配置（如 IP 地址）。在三层漫游隧道转发中，HAP 作为数据流量的锚点，确保 STA 的 IP 地址不变。

多选879、如图所示，RTA的GE0/0/0、GEO/0/1接口分别连接部门1和2,其网段分别为10.1.2.0/24、10.1.3.0/24网段，为限制部门1和2之间的相互访间，在RTA上部署traffic—flter,以下哪些部署方式是正确?

A、配置ACL3000拒绝源为10.1.2.0/24目的为10.1.3.0/24的流量，在GE0/0/1调用outbound方向的traffic-flter调用ACL3000

B、配置ACL3000拒绝源为10.1.3.0/24目的为10.1.2.0/24的流量，在GEO/0/0调用outbound方向的traffic-flter调用ACL3000

C、配置ACL3000拒绝源为10.1.2.0/24目的为10.1.3.0/24的流量，在G0/0/0调用inbound方向的traffic—filter调用ACL3000

D、配置ACL3000拒绝源为10.1.3.0/24目的为10.1.2.0/24的流量，在GE0/0/1调用inbound方向的traffic-filteri调用ACL3000

解析：RTA上做流量过滤，流量有两个方向。部门1访问部门2，部门2 访问部门1，做任意一个方向过滤即可。

部门1访问部门2：源ip为10.1.2.0/24 目的ip为10.1.3.0/24 .在G0/0/0的入口过滤，或G0/0/1口的出口过滤。

部门2访问部门1：源ip为10.1.3.0/24 目的ip为10.1.2.0/24，在G0/0/1的入口过滤，或者在G0/0/0口的出口过滤。

多选880、如图所示是一个组播网络，以下哪些端口是组播组成员端口?

A、IF4 B、IF3 C、IF1 D、IF2

解析：由图可知，交换机的IF1.2.4连接了组播成员，并且设备都进行了加组操作，因此这三个接口为组成员接口，IF3连接的是查询器。

多选881、SDN的网络体系架构主要分为以下哪几种?

A、协同应用层 B、逻辑层 C、转发层 D、控制层

解析： SDN 网络体系机构主要分为应用层、控制层和转发层

多选882、经典的网络转发方式是基于路由表转发。OpenFlow交换机的转发方式是基于流表转发。对于这两种转发方式，以下说法正确的有哪些选项?

A、路由表是定长的。一台设备只能有一张公共的路由表。

B、路由表的匹配方式是匹配拥有最长掩码的目的网段路由。

C、流表是变长的。一台网络设备只能有一张流表。

D、流表的匹配方式是同时匹配流量的MAC地址和IP地址。

解析： Openflow 交换机对数据执行转发时的凭据，功能与传统网络中的路由表类似。在每个 Openflow 交换机中，流表可以有多个，每个流表的流表项也可以有多个。路由表是定长的。路由表通过最长匹配原则执行报文转发。一台网络设备只有一张路由表。故选项“路由表的匹配方式是匹配拥有最长掩码的目的网段路由”，“路由表是定长的，一台设备只能有一张公共的路由表”是正确的

多选883、请问VXLAN支持以下哪几种常用的配置方式?

A、通过虚拟化软件配置 B、通过SDN控制器配置 C、自动配置 D、通过SNMP协议配置

解析： VXLAN 支持通过虚拟化软件配置和 SDN 控制器配置

多选884、以下关于VXLAN报文格式说法哪些是正确的?

A、VNI字段长度为24bit B、UDP头部目的端口号为4789

C、外层封装的源目IP分别为源、目VTEP的IP地址 D、UDP头部的源目端口号都为4789

解析：VXLAN报文格式是在传统以太网帧的基础上，通过添加额外的VXLAN头部、UDP头部、IP头部和外层以太网头部来实现的。

VXLAN报文主要由五个部分组成：外层以太网头部、外层IP头部、外层UDP头部、VXLAN头部以及内层以太网帧。

UDP 头部目的端口号固定为 4789，指示内层封装报文为 VxL AN 报文。UDP 头部的源端口号为原始以太帧通过哈希算法计算后的随机任意值。

多选885、以下关于VXLAN的说法哪些是正确的?

A、VXLAN在网络中应用时要求隧道穿越的设备全部支持VXLAN

B、VXLAN只是一种二层隧道技术，无法实现三层通信

C、特性在本质上属于一种VPN技术，能够在任意路由可达的网络上叠加二层虚拟网络，通过VXLAN网关实现VXLAN网络内部的互通，同时，也可以实现与传统的非VXLAN网络的互通

D、VXLAN采用MAC in UDP封装方式

解析：VXLAN即虚拟扩展局域网，是大二层网络中广泛使用的网络虚拟化技术。在源网络设备与目的网络设备之间建立一条逻辑VXLAN隧道，采用MAC in UDP（User Datagram Protocol）封装方式

VXLAN与VLAN之间有何不同

VLAN作为传统的网络隔离技术，在标准定义中VLAN的数量只有4000个左右，无法满足大二层网络的租户间隔离需求。另外，VLAN的二层范围一般较小且固定，无法支持虚拟机大范围的动态迁移。

VXLAN完美地弥补了VLAN的上述不足，一方面通过VXLAN中的24比特VNI字段，提供多达16M租户的标识能力，远大于VLAN的4000；另一方面，VXLAN本质上在两台交换机之间构建了一条穿越基础IP网络的虚拟隧道，将IP基础网络虚拟成一个巨型“二层交换机”，即大二层网络，满足虚拟机大范围动态迁移的需求。

虽然从名字上看，VXLAN是VLAN的一种扩展协议，但VXLAN构建虚拟隧道的本领已经与VLAN迥然不同。

多选886、以下关于BGP安全性的描述，正确的是哪些项?

A、BGP邻居之间可以使用Keychain认证来降低被攻击的可能性，而且Keychain具有一组密码，可以根据配置自动切换。

B、可以通过display bgp peer verbose命今查看BGP对等体的认证详细信息。

C、在配置MD5认证密码时，如果使用simple选项，密码将以明文形式保存在配置文件中，存在安全隐患。

D、为防止攻击者模拟真实的BGP协议报文对设备进行攻击，可以配置GTSM功能检测IP报文头中的TTL值。

解析：为了保证BGP协议免受攻击，可以在BGP邻居之间使用MD5认证或者Keychain认证来降低被攻击的可能性。

其中MD5如果是simple，密码将以明文形式保存在配置文件中。

其中Keychain具有一组密码，可以根据配置自动切换，但是配置过程较为复杂，适用于对安全性能要求比较高的网络。

可以通过display bgp peer verbose 命今查看BGP 对等体的认证详细信息。

如果TTL值的范围在规定值以内，则允许报文通过，否则丢弃报文，从而达到保护设备的目的。

多选887、路由器的FIB表项中包含以下哪些字段?

A、Protocol B、Destination/Mask C、TimeStam D、Cost

解析：FIB表中包括：目标网段、下一跳地址、标志位、timestamp表示该表项存在的时间、出接口以及隧道id。

多选888、以下关于AS-Extema-LSA中各个字段的描述，正确的是哪些项?

A、Advertising Router代表生成该LSA的Router ID

B、Network Mask描述的是外部路由所使用的度量值类型

C、Link State ID被设置为目的网络地址

D、使用Link State ID和Advertising Router可以唯一标识一条AS-External-LSA

解析：ospf的5类lsa为外部路由。

link state id为所描述路由的目标网段的网络地址，

net mask为目标网段的子网掩码（不为0），通告路由器为产生此lsa的设备的route id，

ls id和通告路由器并不能唯一标识一条5类lsa，还需结合子网掩码、cost等参数。

选889、OSPF中携带LSA头部的报文包括以下哪些项?

A、LSR B、DD C、LSu D、Hello E、LSAck

解析：ospf的报文中携带lsa头部的有lsr、dd、lsack、lsu。Hello报文并不包含lsa的头部信息。

多选890、以下关于IS-IS建立邻接关系原则的描述，正确的是哪些项?

A、对于Level-2路由器来说，Area ID必须一致

B、链路两端IS-IS接口的网络类型必须一致

C、对于Level-1路由器来说，Area ID可以不一致

D、默认情况下，链路两端IS-IS接口的地址必须处于同一网段

解析：对于L2路由器来说，区域ID可以相同，也可以不同。但是对于L1路由器而言，区域ID必须相同。

多选891、在IS-IS的区域认证中，可以对以下哪些报文进行认证?

A、CSNP B、PSNP C、Hello D、LSP

解析：ISIS的报文类型分为：Hello(LAN Hello、P2P Hello）、SNP(CSNP、PSNP)、LSP。

多选892、以下关于BGP中路由反射器应用的描述，正确的是哪些项?

A、RR从EBGP对等体学到的路由，发布给所有的非客户机和客户机

B、当RR收到对等体发来的路由，只选择最佳路由进行反射

C、RR从非客户机IBGP对等体学到的路由，发布给此RR的所有客户机。

D、RR从客户机学到的路由，只发布给此RR的所有非客户机

解析：BGP放射原则为：RR在接收BGP路由时，如果路由反射器从自己的非客户对等体学习到一条IBGP路由，则它会将该路由反射给所有客户。如果路由反射器从自己的客户学习到一条IBGP路由，则它会将该路由反射给所有非客户，以及除了该客户之外的其他所有客户。如果路由学习自EBGP对等体，则发送给所有客户.非客户IBGP对等体。反射器只选择最优路由反射。

多选893、以下哪些原因可能导致BGP邻居建立失败?

A、邻居配置信息错误 B、禁用TCP179端口号 C、光缆中断 D、IP路由不可达

解析：bgp邻居建立之前，首先需要使用tcp 179号端口建立tcp连接，如果邻居配置信息错误，ip路由不可达，光缆中断，都会导致tcp连接无法建立。

BGP邻居关系无法建立的原因

底层IGP网络不通；

接口是否调用了ACL过滤了TCP的179端口；

邻居的Router ID冲突；

配置的邻居的AS号错误；

用Loopback建立邻居时没有配置peer connect-interface；

用Loopback口建立EBGP邻居时未配置peer ebgp-mex-hop；

peer valid-t-hops配置错误；

对端发送的路由数量是否超过peer route-limit命令设定的值；

对端闻置了peer ignore；

两端的地址族不匹配。

多选894、以下关于BGP对等体之间交互路由的描述，正确的是哪些项?

A、路由更新时，BGP设备只发送更新的BGP路由

B、从IBGP对等体获得的BGP路由，BGP设备会发布给它所有的对等体

C、所有对等体发送的路由，BGP设备都会接收

D、当存在多条到达同一目的地址的有效路由时，BGP设备只将最优路由发布给对等体

解析：从IBGP对等体获得的BGP路由，BGP设备只发布给它的EBGP对等体。从EBGP对等体获得的BGP路由，BGP设备发布给它所有对等体。

BGP在选路时，会根据选路原则，一定会选举出一条最优的路由，负载分担需要手动配置。当bgp存在多条有效路由时，bgp 只会将最优的路由发布给对等体。BGP进行路由优选时，从第一条规则开始执行，如果根据第一条规则无法作出判断，例如路由的Preferred-Value属性值相同，则继续执行下一条规则，如果根据当前的规则，BGP能够决策出最优的路由，则不再继续往下执行。

多选895、以下关于Route-Policy的描述，正确的是哪些项?

A、Route-Policy节点间的过滤关系是“或”,即只要通过了一个节点的过滤，就可通过该Route-Policy

B、一个Route-Policyl由多个节点构成，一个节点可包括多个if-match和apply子句

C、if-match子句的过滤规则关系是”与”,即该节点的所有if-match子句都必须匹配

D、if-match子句用来定义该节点的匹配条件，apply子句用来定义通过过滤的路由行为

解析：Route-Policy工具由多个节点构成。一个节可包括多个if- match和apply子句，Route-Policy节点间的过滤关系是“或”，只要通过了一个节点的过滤，就可通过该Route- Policy，if-match子句的过滤规则关系是“与”，即该节点的所有if-match子句都必须匹配，if-match用来匹配条件，apply子句用来为路由策略指定动作，用来设置匹配成功的路由的属性。

多选896、以下关于MSTP中根桥和备份根桥的描述，正确是哪些项?

A、设备在各生成树中的角色互相独立，在作为一棵生成树的根桥或备份根桥的同时，也可以作为其它生成树的根桥或备份根桥

B、当两台或两台以上的设备被指定为同一棵生成树的根桥时，系统将选择MAC地址最小的设备作为根桥

C、在同一棵生成树中，一台设备可同时作为根桥和备份根桥

D、在一棵生成树中，当根桥出现故障或被关机时，备份根桥可以取代根桥成为指定生成树的根桥

解析：在MSTP 协议中，根交换机的选举原则是：首先比较优先级，越小越好；其次比较 MAC 地址，越小越好。如果根交换机出现故障，备份的根交换机会立刻成为根交换机。每个设备可以同时参与到多个生成树中，并且可以在不同的树中承担不同的角色。

多选897、包过滤防火墙的特点包括以下哪些项?

A、攻击者不易通过假冒地址以绕过防火墙安全策略检查

B、包过滤防火墙使用静态ACL难以适应动态的安全需求 C、设计简单，易于实现，成本低廉

D、包过滤防火墙会在检查单个报文之后连带检查其上下文是否统一以确认单个报文流状态

E、包过滤防火墙主要针对数据包的源目IP地址，MAC地址以及报文传递方向来讲行检毒

解析：包过滤防火墙的问题：