H3C考题答案

1.在TCP/IP网络中，为各种公共服务保留的端口号范围是（ B ）

A. 1~255   B. 1~1023    C. 1~1024   D. 1~65535

2.以IP地址 192.168.145.177/27为例，该地址所处网段中实际可用地址范围为（ D ）

A. 192.168.145.129―――192.168.145.190

B. 192.168.145.161―――192.168.145.175

C. 192.168.145.160―――192.168.145.191

D. 192.168.145.161―――192.168.145.190

3.IP地址239.122.10.135是一个（ A ）

A. 组播地址   B. 单播地址   C. 广播地址

4.下列关于地址解析协议（ARP）说法错误的是（ C ）

A. ARP为IP地址到对应的硬件MAC地址之间提供动态映射

B. PPP协议可以不依赖ARP机制解析地址

C. ARP请求报文和ARP应答报文均以广播形式进行发送

D. 免费ARP(gratuitous ARP)指主机发送ARP查找自己的IP地址

5.如果ARP表没有目的地址的MAC地址表项，源站如何找到目的MAC地址（ C ）

A. 查找路由表    B. 向全网发送一个广播请求    C. 向整个子网发送一个广播请求 

D. 以上说法都不对

6.下面选项中， 不使用面向连接传输服务（TCP）的应用层协议是  （ D ）

A. SMTP   B. FTP   C. HTTP   D. SNMP

7.在PPPOE的会话阶段主要实现（ B ）功能。

A. 识别双方的MAC地址

B. 进行普通PPP的LCP/IPCP协商，包括验证和获取IP地址

C. 建立PPPoE 的会话ID（SESSION ID）

D. 以上说法都不正确

8.如图所示，从PC1 ping PC3 （192.168.1.1），根据下面的ARP表项，PC1会（ C ）

A. 向PC3发送单播的ARP报文

B. 向局域网上的所有接收者发生广播的ARP报文

C. 向PC3发送单播的ICMP报文

D. 以上说法均不正确

9.在以太网中，是根据（   D   ）地址来区分不同的设备的。

A、IP地址    B、IPX地址   C、LLC地址    D、MAC地址 

10.DNS的作用是（   C ）

A、 为客户机分配IP地址        B、访问HTTP的应用程序     

C、将计算机名翻译为IP地址     D、 将MAC地址翻译为IP地  

11.

如上图所示，主机PC1通过一台出口路由器RT1试图连接到一台远端网络中的主机PC2（IP：10.252.1.2），PC1在RT1的直连网段中，RT1上没有运行路由协议，只配置了到远端网络的缺省路由。现在从PC1 ping PC2，显示的结果为：

Reply from 10.252.1.2: Destination host unreachable

根据上述信息，可能的网络状况为（ B ）

A. RT1上没有到10.252.1.2所属网段的有效路由，因此路由失败。

B. PC1上没有配置网关

C. PC1发出的ICMP包已经到达了目的地，但是PC2的回应由于网络原因无法到达

D. 去往目的地址10.252.1.2路径上有严重的拥塞，导致ICMP包无法到达目的地

12.地址转换的优点在于，为内部主机提供了“隐私”（Privacy）保护前提下，实现了内部网络的主机通过该功能访问外部网络资源。但它也有一些缺点，下面关于NAT缺点的说法错误的有（ D）

A. 由于需要对数据报文进行IP地址的转换，涉及IP地址的数据报的报头不能被加密

B. NAT使网络调试变得更加困难。

C. 在高速链路上，地址转换可能会对路由器性能产生一些影响

D. 地址转换的过程中，可能会将IP数据包中数据部分中包含的IP地址信息也进行转换

13.当到某一目的地的静态路由具有（ ）属性时，任何去往该目的地的IP报文都将被丢弃，且不会给源地址任何回复消息。（ B ）

A. reject   B. blackhole   C. static   D. silence

14.对于运行OSPF协议的路由器来说，其Router ID必须在如下哪个范围之内唯一（ C）

A.网段内 B.区域内 C.自治系统内 D.整个Internet 

15.数据包在路由器上与多条路由条目都匹配，路由优选描述正确的是（C）

A.  Cost值越小的路由越优先  B. preference越大的路由越优先

C. 掩码越长越优先   D. 在设备A上优先的路由在设备B上也优先

16.直连路由、静态路由、rip、ospf 按照默认路由优先级从高到低的排序正确的是 （B）

A、直连路由、静态路由、rip、ospf

B、直连路由、ospf、静态路由、rip

C、直连路由、ospf、rip 、静态路由

D、直连路由、rip 、静态路由、ospf

17.CHAP是三次握手的验证协议，其中第一次握手是（ B ）

A. 被验证方直接将用户名和口令传递给验证方

B. 验证方将一段随机报文和用户名传递到被验证方

C. 被验证方生成一段随机报文，用自己的口令对这段随机报文进行加密，然后与自己的用户名一起传递给验证方

D. 验证方将用户名和密码传递到被验证方

18.根据IEEE802.1Q中关于VLAN的标准，系统中最多可定义（ ）个VLAN  (D)

A. 256    B. 512     C. 1024   D. 4096   E. 8192

19.假设某路由器的接口MTU为1492 Bytes，当在此接口上收到大小为1500 Bytes，DF标志位置为1的IP包时，H3C产品默认会（ C ）

A. 直接转发该IP包   B. 分片之后再转发该IP包

C. 丢弃该IP包       D. 以上说法均不正确

20.一个VLAN可以看作是一个（   B   ）

A、 冲突域    B、 广播域    C、 管理域    D、 阻塞域

21.H3C交换机SW1上某接口配置如下，假如交换机SW1的GigabitEthernet1/1/1接口上收到未标记（untagged）的帧时，下列说法中正确的是：（B）

interface GigabitEthernet1/1/1

port link-type trunk

port trunk permit vlan 1

port trunk pvid vlan 5

A、未标记（untagged）帧会缺省打上VLAN1的标记

B、未标记（untagged）帧会自动打上VLAN5的标记

C、未标记（untagged）帧会被丢弃，因为在trunk链路上只能让有标记的帧通过

D、802.1Q标准不支持在trunk链路上传输未标记（untagged）帧

E、未标记（untagged）帧在对端（发端）交换机上会被打上相应的标记

22.对于VRRP协议，我们把正常情况master的优先级称为Priority(master)，把正常情况下backup的优先级称为Priority(backup)，把监控端口失效时对master优先级的影响成为Priority(reduced)，则它们之间应满足如下关系（A）

A、Priority(master)>Priority(backup)>Priority(master)-Priority(reduced)

B、Priority(master)C、Priority(master)>Priority(backup)>Priority(reduced)

D、Priority(master)23.IP报文头中的ToS字段共（  ）bits，可用提供（  ）个优先级或者（  ）个DSCP值（ C）

A、4；4；32     B、8；7；63    C、8；8；     D、4；8；32 

24.在H3C某ICG2000某接口上已经配置了如下命令：“qos car outbound car 1 cir 8000000 cbs 150000 ebs 0 green pass red discard”，则当该接口上发送速率超过1M字节时，将采取的动作是（ B ）

A. 依然可以正常发送      B. 突发到150000比特，然后超过1M的丢弃

C. 突发到150000字节，然后超过1M的丢弃    D. 以上都不对

25.用来检查到一台主机的网络层是否连通命令是    （  A  ）

A、PING     B、 TRACERT     C、TELNET    D、IPCONFIG

26.假如某企业的总部网络和分支机构网络之间原本通过Internet进行连接，现在需要构建VPN，同时要求企业网内运行统一的IGP，那么应该选择下列哪种VPN方式？（ B ）

A、L2tp     B、GRE    C、IPSec    D、IKE的野蛮模式

27.一个经过IPSec处理的数据包如下图所示，根据这些信息我们可以肯定数据包采取的是：（D）

A. 传输模式AH封装

B. 隧道模式AH封装

C. 传输模式ESP封装

D. 隧道模式ESP封装

28.H3C ICG2000默认的WEB登录IP地址是（ D ）

A、192.168.1.254

B、192.168.0.1

C、192.168.0.254

D、192.168.1.1

29.ICG2000包含WAN口和LAN口的个数分别为（  B  ）

A    3、1        B    1、4        C    2、2        D     1、3

30.H3C ICG2000支持的无线标准是（ B ）

A、802.11a        B、802.11b/g        C、Idra            D、3G

31.如果要通过WEB操作界面给H3C ICG2000的WAN口配置IP地址为61.1.1.1，则需要将ICG2000的WAN口配置成（ C ）类型，并输入IP地址61.1.1.1。

A、Auto        B、PPPoE        C、Manual        D、ADSL

32.某企业使用H3C ICG2000通过ADSL拨号共享上网，应该使用何种NAT 技术（ C ） 

A. 静态NAT映射        B. 基于IP的动态NAT映射     C. 基于接口的动态NAT映射 

33.某企业使用H3C ICG2000，只有一个公网地址，内部有Email、DNS、Web 等主机需要对外提供服务，应该如何解决（ B ） 

A. 静态NAT映射     B. 基于IP的动态NAT server映射     C. 基于接口的动态NAT server映射 

34.H3C ICG2000是通过设置（ A ）来标识本设备提供无线网络服务的

A、SSID         B、VLAN        C、DHCP     D、应用协议检测

35.H3C ICG2000在网络中一般处于（    B  ）

A、放置在网络汇聚层，用来做大量PC的接入

B、放置在网络出口，用来做网关，连接Internet

C、放置在服务器出口，保护服务器，提高网络安全

D、以上都不对

36.作为一台高性能的网关产品H3C ICG2000的包转发率可以达到：（ B ）

A、16Kpps

B、160Kpps

C、3Kpps

D、30Kpps

37.H3C ICG2000 WEB操作界面下的设备配置备份和恢复、软件升级是通过（ B ）方式来实现的

38.A、FTP        B、Tftp        C、HTTP        D、SNMP    

39.H3C ICG2000 WEB操作界面下在“设备概览”页面里，不能看到的信息有（ D ）

A、软件版本     B、序列号     C、MAC地址      D、IP地址

40.对H3C ICG2000 WAN口的连接模式描述错误的有（ C ）

A、ICG2000支持Auto、Manual、PPPoE三种接入模式

B、当接入模式为PPPoE模式时候，可以设置接口的MTU值

C、当接入模式为Manual时，不可以设置接口的MTU值

二、多选题

1.在下面的组网中，局域网中www服务器的IP地址为192.168.0.2

路由器上的配置如下：

[Quidway] acl number 2000

[Quidway-acl-basic-2000] rule permit source 192.168.0.0 0.0.0.255

[Quidway-acl-basic-2000] rule deny

[Quidway] interface Ethernet0/1

[Quidway-Ethernet0/1] ip address 192.168.0.1 255.255.255.0

[Quidway] interface Ethernet0/0

[Quidway-Ethernet0/0] ip address 202.1.1.2 255.255.255.248

[Quidway-Ethernet0/0] nat outbound 2000

[Quidway] ip route-static 0.0.0.0 0.0.0.0 202.1.1.1 preference 60

[Quidway-Ethernet0/0]nat server protocol tcp global 202.1.1.2 www inside 192.168.0.2 www

根据上面的配置，下面的说法中哪些是正确的（ ABD ）

A. 局域网中的主机只能通过http://192.168.0.2 访问WWW服务器

B. Internet上的主机只能通过http://202.1.1.2 访问WWW服务器

C. Internet上的主机可以ping通内部的WWW服务器

D. 局域网中的主机可以ping通内部的WWW服务器

2.路由环路（Routing loop）可能导致的结果包括：（ AB ）

A. 目的网段不可达

B. 数据报文在某些设备间循环直到TTL=0

C. 路由协议报文在某些设备间循环直到TTL=0

D. 可能会导致路由震荡

3.关于802.1x端口的有关描述中，正确的是（ AD ）

A.受控端口只允许传输EAPOL协议报文  B.受控端口通过认证前不能传输任何报文

C. 802.1X认证仅能基于物理端口方式    D.非受控端口无需认证即可传输报文

4.有关SYN Flood”攻击原理和防范，描述正确的有：( BC )

A. 攻击者在短时间内向受害主机发送大量UDP 半连接请求报文

B. 被攻击主机被消耗掉所有处理能力，无法响应正常用户的请求

C. 业界厂商通常采用”SYN 代理”技术来防御”SYN Flood”攻击

5.下列VPN 协议属于二层隧道VPN 协议的有（ CD ） 

A. GRE 

B. IPSec 

C. PPTP 

D. L2TP

6.下列选项中哪些属于IPSec的安全特点   （ ACDE ）

A、数据机密性（Confidentiality）

B、入侵检测（Intrude Detection）

C、数据完整性（Data Integrity）

D、数据来源认证 （Data Authentication）

E、反重放（Anti-Replay）

7.下列哪些IP 地址属于私有地址（ AC ） 

A. 10.0.0.0/8    B. 127.0.0.0/8    C. 172.32.0.0/16    D. 192.0.0.0/8

8.下面有关NAT叙述正确的是（ ABD ）

A、 NAT是英文“网络地址转换”的缩写

B、 地址转换又称地址翻译，用来实现私有地址与公用网络地址之间的转换

C、 当内部网络的主机访问外部网络的时候，一定不需要NAT

D、地址转换的提出为解决IP地址紧张的问题提供了一个有效途径

9.下列关于NAT地址转换的说法中哪些是正确的（ABCD）

A、地址转换技术可以有效隐藏局域网内的主机，是一种有效的网络安全保护技术。

B、地址转换可以按照用户的需要，在局域网内向外提供FTP、WWW、Telnet等服务。

C、有些应用层协议在数据中携带IP地址信息，对它们作NAT时还要修改上层数据中的IP地址信息。

D、对于某些非TCP、UDP的协议（如ICMP、PPTP），作上层NAT时，会对它们的特征参数（如ICMP的id参数）进行转换。

10.扩展访问列表可使用哪些字段过滤数据包？   （  ABCDE ）                           

A、源端口    B、目的端口    C、源IP地址   D、目的IP地址    E、协议

11.以下关于拥塞管理与拥塞避免描述正确的是（ ABCD ）

A、报文到达网络接口的速率大于接口的发送能力时，将产生拥塞

B、拥塞发生时，采用PQ，CQ，WFQ，CBQ等队列技术来解决相应的拥塞问题

C、拥塞避免通过丢包技术来实现

D、常用的拥塞避免技术包RED，WRED等

12.下列关于SNMP协议说法正确的是（ ABD ）

A、SNMP目标是保证管理信息在任意两点间传送，便于网络管理员在网络上的任何节点检索信息，对信息进行修改，寻找故障，完成故障诊断、容量规划和报告的生成。

B、SNMP采用轮询机制，提供最基本的功能集，适合于小型、快速和低价格的环境使用。

C、SNMP在传输层上基于TCP协议

D、SNMP的结构分为NMS（Network Management Station）和AGENT 两部分，NMS是运行客户端程序的工作站，AGENT是运行在网络设备上的服务器端软件。

13.下列关于OSPF协议的说法正确的是  （ABD）                                             

A、OSPF 支持基于接口的报文验证

B、OSPF 支持到同一目的地址的多条等值路由

C、OSPF 是一个基于链路状态算法的边界网关路由协议

D、OSPF 发现的路由可以根据不同的类型而有不同的优先级

14.在路由器中，如果去往同一目的地有多条路由，则决定最佳路由的因素有  （AC）       

A、 路由的优先级

B、 路由的发布者

C、 路由的metric值

D、 路由的生存时间

15.动态路由协议相比静态路由协议                         （ CD ）                   

A、带宽占用少

B、简单

C、路由器能自动发现网络变化

D、路由器能自动计算新的路由

16.在路由器上如果配置一条目的网段为192.168.0.0/16，下一跳为Null0接口的静态路由，下面说法正确的是（ CD ）

A、 该静态路由永远有效，因为下一跳接口不会DOWN掉

B、 在该路由器上，所有目的地址属于192.168.0.0/16的数据包都会被丢弃

C、 配置Null0路由再使用“network”命令引入到BGP可以使BGP发布原本在路由表中不存在的路由 

D、 某些情况下，在BGP中发布Null0路由可以起到路由聚合的作用

17.下面哪些是ACL（访问控制列表）可以做到的   （ABC）                                                  

A、允许125.36.0.0/16网段的主机使用FTP协议访问主机129.1.1.1；

B、不让任何主机使用Telnet登录；

C、拒绝一切数据包通过；

D、以上说法都不正确

18.在运行STP协议（生成树协议）的交换机之间通过交换BPDU报文，可以 （ ABCD）

A. 选择出一个根桥

B. 计算出相应端口到根桥的最短距离

C. 为局域网段选择一个指定网桥

D. 在网桥上选择根端口

19.以下的应用程序中，基于TCP协议的有( CDE )

A、 PING

B、 TFTP

C、 TELNET

D、 FTP

E、 WWW

20.在ICG2000里可通过（ AB ）功能来初步排查故障

A    ping            B    tracert        C    netstat        D    以上功能都不支持

21.VLAN端口类型根据对Tag标签的不同处理方式，可以分为（ ABC ）

A、Access类型        B、Trunk类型        C、Hybrid类型        D、Untagged

22.关于H3C ICG2000 QoS下列说法正确的是？（ ABC ）

A、可以对物理端口进行端口限速

B、可以对内网PC进行限速、带宽保证等业务

C、高级QoS策略配置包括：定义流类别、定义流行为、定义策略把流类别和流行为绑定、在接口中引用策略

23.关于目前版本（CMW520 R1618P07及以下）的H3C ICG2000 PPPoE上联（ADSL拨号方式）说法正确的是？（ AB ）

A、PPPoE方式上联通常可以自动获取本端地址和DNS信息

B、PPPoE使用Dialer10虚接口上联，配置完成后，系统会生成一条出接口是Dialer0的默认路由

C、PPPoE使用Dialer10虚接口上联，配置完成后Dialer10接口会自动使能NAT地址转换功能 

24.对于H3C ICG2000网管下列说法正确的是？（ ABC ）

A 支持SNMP网管和TR069网管

B TR069在CWMP中进行配置

C TR069可以实现客户端主动向服务器端发起连接的功能，适合管理大规模地址不固定网关

D SNMP主要由服务器预先建立对客户端的管理连接，适合于管理动态地址网络

25.使用H3C ICG2000关于固定IP上联说法正确的是？（ ABD ）

A WAN口（E0/0）缺省使能了Easy-IP方式NAT

B 可以在专门的NAT配置中修改WAN口NAT配置

C 无需配置默认路由（网关）内网用户即可访问Internet

D 内网PC通过ICG2000动态获得地址，如需通过域名访问WEB服务器，ICG2000需要给PC动态分配DNS服务器地址

26.ICG是一款多功能的设备，以下功能中ICG2000支持的有（ ABCD ）

A    防火墙功能    B    策略路由功能    C    无线功能    D    业务访问控制功能

27.关于H3C ICG2000上传版本文件说法正确的是？（ ACD ）

A 发货版本文件名是main.bin

B 通常在WEB中不可以通过直接覆盖main.bin的方式进行升级

C 如果升级不成功可以通过Console命令行方式在用户视图使用dir命令查看当前版本文件名，版本文件的后缀是.bin

D 可以在命令行中通过delete /unreserved xxx.bin方式删除当前版本再上传版本，也可以通过WEB直接覆盖xxx.bin方式进行升级

28.关于H3C ICG2000版本升级说法正确的是？（ ABC ）

A 升级前必须保证已经将版本文件上传至设备

B 在WEB中可以通过从TFTP服务器下载方式下载版本文件到设备

C 上传完毕后必须通过设备重启方式完成升级

29.对H3C ICG2000 WEB网管前连接说明正确的是？（BC）

A、连接到2-1终端的WAN口（E0/0），E0/0缺省地址是192.168.1.1/24，并开启了DHCP服务

B、连接到2-1终端的LAN口（E0/1~E0/4），Vlan-Interface1缺省地址是192.168.1.1/24，并开启DHCP服务

C、PC连接到正确接口后，以自动获得地址方式获得192.168.1.0/24网段地址，在浏览器中以192.168.1.1地址打开WEB管理页面

30.关于H3C ICG2000设备重启，下列说法正确的是？（ ABC ）

A、重启前建议保存当前配置，以保证设备重启后依然照常工作

B、设备重启前，如果勾选“检查当前配置是否保存到下次启动配置文件中”，当当前配置和保存配置不一致，设备会提示配置不一致而不重启

C、版本升级及配置恢复后均需重启设备，以使版本和配置生效

三、 判断题（T=True，F=False）

1.登录H3C ICG2000 WEB管理页面的用户名和密码都是admin。     （ F ）

2.H3C ICG2000的WLAN业务模块支持SSID隐藏及WEP加密等安全功能。   （ T ）

3.H3C ICG2000提供了内部服务器功能，使得外部网络能够访问内网服务器，配置此功能时内部端口和外部端口必须要一致。                          （ F ）

4.H3C ICG2000支持easy-ip（基于接口的地址转换）、地址池、一对一静态NAT等地址转换方式。                                                   （ T ）

5.H3C ICG2000缺省FTP、Telnet、HTTP和HTTPS服务均已开启。      （ F ） 

6.属于私有地址网段10.0.0.0～10.255.255.255，172.16.0.0～172.32.255.255，192.168.0.0～192.168.255.255的主机在访问Internet时需要进行地址转换。（ T ）

7.使用策略路由能够使目的地址相同但源地址不同的报文选择从不同的出接口转发。（ T ）

8.当OSPF的邻居状态为FULL时，表示邻居路由器的LSDB中所有的LSA本路由器全都有了，OSPF邻居正常建立。                                    （ T ）

9.ADSL使用和传统电话语音POTS不同的频段，因此可以在普通铜质电话线上同时传输语音和数据业务。                                               （ T ）

10.IPSec VPN不能穿越NAT，即：建立IPSec VPN的两节点间不能存在NAT设备。（ F ）

11.DHCP在为PC分配地址时首先考虑DHCP 地址池中最先找到的可用IP 地址。   （ F ）

12.RADIUS使用两个端口集，RFC定义之前常用端口为15和16。RFC2138定义的端口为1812和1813。                                             （ T ）

13.安全网关常见的日志输出格式包括SYSLOG和二进制两种。               （ T ）

14.当有组播信息包到达路由器时，通过检查其源地址，以确定此信息包经过什么接口，并且这些接口是否在从源到此的路径上。                               （ T ）

15.H3C公司7*24小时服务热线为800/400-810-0504。                        （ T ）

16.HTTP缺省采用TCP 443端口，HTTPS是TCP 80端口。                        （ F ）

17.QOS CAR技术使用IP头部的TOS字段来对报文进行分类，对于不同分类的流量，采取不同的动作。                                                  （ T ）     

18.如果以太网交换机中一个运行STP的端口不接收或转发数据,接收但不发送BPDUs,不进行地址学习，那么该端口应该处于Forwarding状态。                   （ F ）

19.H3C ICG2000WAN接口采用固定IP方式需要配置网关和DNS，使用PPPoE和DHCP自动获取地址方式则可以自动获得网关和DNS。                          （ T ）

20.H3C ICG2000（E1710及后续版本）可以实现基于每IP限速，从而避免单个用户占用大量出口带宽，造成出口带宽的拥塞。                             （ T ）

四、简答题

1.NAPT是网络地址端口转换，主要用于多个私网地址转换成同一个公网地址的场合请问其工作原理是什么样的？

答：NAPT（Network Address Port Translation，网络地址端口转换）是NAT 的一种变形，它允许多个内部地址映射到同一个公有地址上，也可称之为“多对一地址转换”或“地址复用”。NAPT 同时映射IP 地址和端口号：来自不同内部地址的数据报的目的地址可以映射到同一外部地址，但它们的端口号被转换为该地址的不同端口号，因而仍然能够共享同一地址，也就是“私有地址＋端口”与“公有地址＋端口”之间的转换。

2.某工程师配置完H3C ICG2000后，发现PC连接在LAN口上能够获得到地址，但是不能正常访问Internet，请列出至少四种可能的原因？

答：本题列出的答案只要合理有可以给分。

    例如：1）ICG2000没有配置地址转换；2）ICG2000没有配置分配给PC用户的DNS地址；3）ICG2000 没有正常连接到Internet；4）ICG2000没有配置指向Internet的缺省路由；5）用户PC中了ARP病毒，网关ARP学习错误   ．．．

3.如下图所示：

H3C ICG2000通过静态地址方式连接到Internet，内网用户通过ICG2000访问Internet，正确配置ICG2000后内网用户能够通过域名正常访问Internet中的某一web站点。假设起初ICG2000的ARP表为空，内网用户的ARP也为空，内网用户访问WEB站点 ，详述内网用户通过域名访问WEB站点的通信过程，包括PC的ARP的学习过程、路由表查找过程等，注意只需要详细描述出报文从内网用户转发到WEB站点的过程即可。

答：1）内网用户通过域名访问WEB站点，首先需要发送DNS报文到DNS服务器解析所访问域名对应的IP地址；

    2）内网用户检查域名服务器与其不在同一网段，通过网关转发；

    3）内网用户检查ARP表，网关不在ARP表里；

    4）内网用户向网关(ICG2000)发送ARP请求，ICG2000学习到内网用户对应地址的ARP表，并向内网用户发送ARP回应报文；

    5）内网用户收到ARP回应报文，将网关地址对应的ARP加到ARP表；

    6）内网用户正常解析到WEB站点域名对应的IP地址，并将访问WEB站点的报文发送到ICG2000；

    7）ICG2000根据目的地址查找路由，得到路由转发的下一跳地址，并通过ARP请求得到此下一跳地址对应的ARP表，将报文从ICG2000和Internet相连的接口转发出口；

    8）报文从ICG2000的WAN接口转发出去的同时，对报文的源地址进行转换，将内网用户的地址转换成公网地址，同时ICG2000生成一条对应的NAT session表。

     注：本题检查时重点检查以下几个知识点

         1）内网用户通过DNS请求WEB站点域名对应的IP地址，即：DNS解析；

         2）内网用户查找网关路由的过程；

         3）内网用户请求网关ARP，同ICG2000的ARP的交互过程；

         4）ICG2000查找路由转发的过程；

         5）ICG2000 NAT地址转换的过程

4.某单位使用H3C ICG2000连接到Internet，内网使用192.168.1.0/24网段，要求192.168.1.2~192.168.1.127这些IP地址不能访问，请列出至少两种实现该要求的方法，并简述配置过程。

答：1）在连接内网的接口上应用访问控制列表ACL

       配置过程：a）定义访问控制列表，禁止源地址为192.168.1.2~192.168.1.127、目的地址为任意的IP报文；b）将定义的访问控制列表应用在内网接口的入方向

    2）在连接Internet的接口上应用访问控制列表ACL

       配置过程：a）定义访问控制列表，禁止源地址为任意、目的地址为192.168.1.2~192.168.1.127的IP报文；b）将定义的访问控制列表应用在连接Internet的接口的入方向

    3）在连接Internet的接口上应用NAT时不允许源地址为192.168.1.2~192.168.1.127的报文进行地址转换

       配置过程：a）定义访问控制列表，禁止源地址为192.168.1.2~192.168.1.127、目的地址为任意的IP报文，允许源地址为192.168.1.128~192.168.1.255、目的地址为任意的IP报文；b）在连接Internet的接口上应用NAT时关联上述定义的访问控制列表。

5.ARP病毒是目前比较流行的内网病毒，请问目前ARP攻击都有哪几种方式，至少列出三点。通常采用什么方式防御ARP攻击？

答：1）仿冒网关，即：ARP病毒通过发送错误的网关MAC对应关系给其他受害者，导致其他终端用户不能正常访问网关。2）欺骗网关，即：发送错误的终端用户的IP＋MAC的对应关系给网关，导致网关无法和合法终端用户正常通信。3）欺骗终端用户，即：发送错误的终端用户/服务器的IP＋MAC的对应关系给受害的终端用户，导致两个终端用户之间无法正常通信。4）ARP FLOODING 攻击，即：发送大量ARP报文给网络设备，造成设备资源被大量占用，无法正常处理业务。

通常采用在PC和设备上静态绑定ARP的方式来实现。