HCIE-Datacom题库_11_IPsecVPN【17道题】

一、单选题

1.IPsecSA(SecurityAssociation，安全联盟)有两种生成方式，分别是手工方式和IKE自动协商方式，以下关于这两种方式的描述中，错误的是哪一项?

手工方式和IKE方式建立的SA都支持动态刷新

IKE方式建立的SA,其生存周期由双方配置的生存周期参数控制

手工方式下，建立SA所需的全部参数包括加密/验证的密钥等，都需要用户手工配置

IKE方式下，建立SA需要的加密/验证的密钥是通过DH算法生成的

2.IPsecSA (SecurityAssociation，安全联盟)三元组不包括以下哪一项参数?

安全协议号(AH或者ESP)

目的IP地址

安全参数索引SPl(Security Parameter Index)

源IP地址

3.有多种协议可以更改或获取网络设备数据，以下哪种协议不能用于更改网络设备数据?

SNMP

IPsec

NETCONF

RESTCONF

4.VPN是指在公共网络上构建的虚拟专用网络，以下哪项属于VPN？

GRE VPN

VPLS

L2TP

IPsec

5.某公司的总部网络和分部网络通过Internet互联，若想通过VPN技术实现总部用户与分部用户之前的数据传输安全可靠，以下哪项VPN技术最合适?

IPsec VPN

SSL VPN

L2TP VPN

MPLS VPN

6.按照实现层次的不同，广域VPN可分为L2VPN和L3VPN，以下关于广域VPN的描述，错误的是哪一项?

传统L3VPN使用VPN实例隔离业务，使用BGP VPNV4/v6传递路由

EVPN支持作为L2VPN和L3VPN的控制层面

在华为设备上，EVPN针对L2VPN和L3VPN业务使用不同的地址族

传统的L2VPN主要包含VPLS和VWS两种，可使用LDP或BGP等方式建立虚链路

7.以下关于AH (Authentication Header，报文认证头协议)的描述中，错误的是哪一项?

AH提供报文加密功能

AH提供数据完整性验证

AH提供防报文重放功能

AH提供数据源验证

解析：主要提供数据源验证、数据完整性验证和防报文重放功能，不提供加密功能。

二、多选题

1.IPsec包含以下哪几种协议?

PKI

SSI

AH

ESP

解析：IPSec是IETF（Internet Engineering Task Force）制定的一组开放的网络安全协议。它并不是一个单独的协议，而是一系列为IP网络提供安全性的协议和服务的集合，包括认证头AH（Authentication Header）和封装安全载荷ESP（Encapsulating Security Payload）两个安全协议、密钥交换和用于验证及加密的一些算法等。

2.IPsec并不是一个单独的协议，而是种公开标准的技术解决方案，IPsct协议框架包含的协议有以下哪些项?

ESP

PKI

SSL

AH

3.IPsec支持的封装模式有以下哪些项?

路由模式

传输模式

交换模式

隧道模式

4.建立IPsecSA的方式有以下哪些项?

证书协商方式

建立IKE方式

建立手工方式

建立模板协商方式

5.以下关于IPsec使用的安全协议的描述中，正确的有哪些项?

ESP的加密范围为整个IP报文

AH和ESP均支持隧道模式的封装

ESP是一种基于IP的传输层协议，协议号为50

AH的完整性验证范围为整个IP报文

6.以下关于IKEv1的描述汇总，正确的有哪些项?

IKE第-阶段有两种协商模式:主模式( Main M de)和野蛮模式((Aggressive M de)

IKE第二阶段协商建立lpsec SA

IKE第一阶段协商建立IKESA

IKE第二阶段有两种协商模式，快速模式(Quick Mode)和慢速模式(Slow Mode)

7.以下哪些技术能被用于建立企业广域VPN?

L2TP VPN

IPsec VPN

MPLS VPN

SVPN

三、判断题

1.华为AR系列路由器配置IPsec隧道时，必需创建IPsec隧道接口，否则用户数据无法被加密。×

四、简答题

1.如图所示，如果这个数据包描述的是采用隧道模式的IPsec 报文，请将相应的报文头接入正确的位置。

New IP Header 1

AH Header 2

ESP Header 3

Raw lP Header 4

2.IPsec中的认证头AH(Authanticati nHeader，报文认证头协议）是一种基于IP的传输层协议其IP协议号为 （）(填写阿拉伯数字)。

51