CCIE Security 350-701 最新笔试题库（含详细实战解析）.docxVIP

CCIESecurity350-701最新笔试题库（含详细实战解析）

说明：本题库适配思科最新CCIE安全笔试350-701考试大纲，剔除老旧冗余考点，题目均为考场高频原题改编，解析贴合工程实战，无空洞理论，适配备考刷题、考点复盘。

一、IPSec与VPN核心考点（高频）

1、在IPSecVPN体系中，ESP协议能够提供的完整安全服务是？（）

A.仅数据认证

B.仅数据加密

C.数据加密+数据认证

D.密钥协商与管理

答案：C

详细解析：ESP是IPSec核心协议，核心能力是对报文载荷加密实现机密性，同时支持完整性校验与数据源认证。AH协议仅提供认证与防重放，无加密能力；密钥协商、密钥生命周期管理是IKE协议的工作，和ESP无关。很多考生容易误以为ESP只加密，忽略其认证功能，这是考场高频易错点。

2、IPSec隧道模式与传输模式的核心区别是？（）

A.仅加密算法不同

B.隧道模式加密整个IP报文，传输模式仅加密载荷

C.传输模式支持NAT穿越，隧道模式不支持

D.隧道模式用于终端加密，传输模式用于网关加密

答案：B

详细解析：传输模式保留原有IP头部，只加密、认证IP报文的数据载荷，适用于终端对终端的加密通信；隧道模式会重新封装一层新IP头部，加密完整的原始IP报文，主要用于网关之间的站点到站点VPN。NAT穿越由NAT-T协议实现，和两种模式无关；D选