̩华为认证网络安全资深工程师培训 HCIP-Security（H12-721）-题库-解析版.pdf

HCIP-Security （H12-721） 1.双机热备组网图如下所示，图中PC1 的网关地址应该为主用设备的接口IP 地 址，即/24。 A.对 B.错 答案：B 解析： 错误，网关不能配置物理接口地址，要配置虚拟IP 地址 /24 2.如图所示为防火墙双机热备组网环境，在该组网环境中，以下哪条命令可以保 证设备自动调整VGMP 管理组优先级，并自动进行主备切换？ A.hrp ospf-cost adjust-enable B.hrp preempt delay 60 C.hrp interface GigabitEthernet 0/0/2 D.hrp auto-sync config 答案：A 解析： A. 正确，根据HRP 状态来自动调整OSPF COST 值，只存在主备状态，主的COST 值为正常COST 值，备的COST 值为65500 B. 错误，抢占延迟为60S，默认就存在，跟自动调整VGMP 无关 C. 错误，表示心跳线为G0/0/2，跟自动调整VGMP 无关 D. 错误，表示同时进行配置命令和连接状态的自动备份，跟调整VGMP 无关 3.某企业组网如图所示，其中USG_A 与USG_B 上配置了双机热备，USG_A 为主设 备。管理员想要在防火墙上配置SSL VPN 使分支机构员工可以通过SSL VPN 访问 总部。该SSL VPN 的虚拟网关地址应该为什么？ A. /24 B. /24 C. /24 D. /24 答案：C 解析： 选VRRP 组2 的虚拟地址为虚拟网关，这样USGA 和USGB 发现故障都不影响访 问，所以地址为/24,选C。 4. 两台FW 之间通过IPSec 互联，在FW_A 中执行display ike sa，结果显示如 下，下列说法正确的是哪些？（多选） A.FW_A 是IKE 安全通道协商的发起者 B.FW_B 是IKE 安全通道协商的发起者 C.防火墙之间的SA 已经成功建立 D.防火墙之间的SA 尚未建立成功 答案：AC 解析： 5.下图为USG 双机热备典型应用场景,其中USGA 为主用设备,USGB 为备用设 备,VRRP 备份组及心跳口均已完成配置,其中防火墙A 的GE2/0/0 与GE2/0/1 加 入了link-group 1 以下说法正确的是?(多选) A.当防火墙A 的GE2/0/1 出现物理路障时,USG_A 上GE2/0/0 的链路状态为 down,物理接口指示灯常亮。 B.故障恢复后,当防火墙检测到GE2/0/0 和GE2/0/1 两个接口状态均为UP 时,USGA 状态切换成master。 C.当GE2/0/1 接口状态故障恢复后,USG_A 作为USG_B 的备用设备进行工作。 D.如果将GE2/0/2 也加入了link-group 1,当防火墙A 的GE2/0/1 出现物理线 路故障,主备设备信息的备份将会被中断。 答案：BD 解析： 此题的关键点在Link-group，link-group 中有任意一个down,所有组内的接 口都down。 A 错误，接口down 了，物理接口指示灯不会常亮 B 正确，只有两个都UP，USGA 才能抢占为master C 错误，G2/0/1 接口恢复后，USGA 会抢占为主设备 D 正确，因为在同一个link-group 组中，一个接口故障，所以接口都down, 心跳线down 肯定不能进行主备的备份，所以正确 6.如下图所示为L2TP-over-IPSsec 应用场景，客户端使用pre-shared-key 方式 进行IPSec 认证，在LNS 端应该如何配置IPSec 安全策略？ A.采用IKEv1 模式进行协商 B.采用IKEv2 模式进行协商 C.配置IPSec 安全策略 D.配置IPSec 策略模板 答案：BD 解析： LNS 主动发起访问使用IKEV2 模式，因为LAC 客户端地址不固定，所以采用 策略模板方式，故选择BD 7.某公司网络管理员为保证较大业务流量的正常转发，利用两台防火墙实现双机 热备。如图所示，当配置完成后，发现当防火墙A 发生故障时，故障前正在传输 的数据流发生了严重的丢包，但是故障后新传输的数据流可以正常工作。 造成该现象可能的原因有哪些？ A.在防火墙上配置的HRP 抢占时间小于OSPF 的收敛时间 B.没有配置根据HRP 状态调整OSPF 的COST 值功能 C.在USG 上没有配置会话快速备份功能，在来回路径不一致的情况下无法正常转 发报文 D.