HCNE-shizhan-3

HCNE知识点总结第一章l 物理层的功能：电压水平，数据传输速率，最大传输距离，物理接口。

l 网络层协议有很多种，最常见的网络层协议主要有IP IPX NETBEUI。

NETBEUI是不可路由协议。

l 传输层的基本功能：分段上层数据，建立端到端连接，将数据从一端主机传送到另一端主机，保证数据传输稳定性。

第二章TCP/IPl IP数据包如TCP包包含5个元素：协议号，源地址，目的地址，源端口，目的端口。

l TCP/IP环境中端口共有65535个端口号，其中1024个端口号默认提供给系统和一些经典应用层协议使用。

l TCP/IP的网络层包括互联网络控制消息协议ICMP，地址解析协议ARP，反向地址解析协议RARP.l TCP特点：三次握手，差错检测，面向连接，速度慢，有顺序号和确认号。

UDP速度快。

l ICMP中ECHO REQUEST由PING产生，主机可通过它测试网络的可达性，ECHO REPL Y表示该节点可达。

l A类从1――126，1600个地址；B类128――191，65534个地址；C类192――223，254个地.l IPX特点：地址结构10个字节，接口的MAC地址是逻辑地址的一部分；多种封装格式；路由协议RIP；服务广告SAP；NETW ARE客户机通过GNS请求寻求服务器。

l IP报文结构：IP报文头部中包含代表最小时延、最大吞吐量、最高可靠性等信息l IP报文头部identification字段用来唯一标识每一份数据报文；通常IP报文头部为20字节长l 当路由器接到的IP报文的MTU大于该路由器的最大MTU时，会丢弃该分组。

l TTL的主要作用是防止IP报文在网络中循环转发，浪费带宽；在正常情况下，路由器不应从接口收到TTL＝0的IP报文。

l 支持变长子网掩码的路由协议有：RIP V2 OSPF IS-IS等l CIDR路由表为一个三维组，其内容包括“子网掩码、目的网络地址、下一跳地址”。

实验1 网络设备的基本操纵之袁州冬雪创作1.1实验内容与方针完成实验，您应该可以：●使用Console口登录设备●使用Telnet终端登录设备●掌握基本系统操纵饬令的使用●掌握基本文件操纵饬令的使用●使用FTP、TFTP上传下载文件1.2实验组图图1-1 实验组网图1.3实验过程本实验以一台MSR路由器作为演示设备，使用交换机亦可.实验任务一：通过Console登录本实验的主要任务是熟悉并掌握通过Console电缆毗连停止设备配置的方法.步调一：毗连配置电缆将PC的串口通过尺度Console电缆与路由器的Console口毗连.电缆的RJ-45头一端毗连路由器的Console口；9针RS-232接口一端毗连计算机的串行口.步调二：启动PC，运行超等终端在PC桌面上运行“开端/程序/附件/通信/超等终端”.填入一个任意称号，点击“确定”.如图所示：从“毗连时使用”下拉列表框选择合适的COM口，并点击“确定”.如图所示：这时弹出COM属性页面，点击“还原为默许值”，可以看见每秒位数为9600bps、8位数据位、1位停止位、无奇偶校验和无流量节制，点击“确定”.如图所示：步调三：进入Console配置界面再键入回车，即可见：“H3C_”提示符.实验任务二：使用系统操纵及文件操纵的基本饬令步调一：进入系统视图完成实验任务一时，配置界面处于用户视图下，此时执行system-view饬令进入系统视图.<H3C>system-viewSystem View: return to User View with Ctrl+Z.[H3C]此时提示符变成[***]形式，说明用户已经处于系统视图.在系统视图下，执行quit饬令可以从系统视图切换到用户视图.[H3C]quit<H3C>步调二：学习使用帮忙特性和补全键H3C Comware平台支持对饬令行的输入帮忙和智能补全功能.输入帮忙特性：在输入饬令时，如果忘记某一个饬令的称号，可以在配置视图下仅输入该饬令的前几个字符，然后键入<?>，系统则会自动列车以刚才输入的前几个字符开首的所有饬令.当输入完一个饬令时，也可以用<?>来检查紧随该饬令的下一个饬令参数.[H3C]sys[H3C]sysname[H3C]sysname?TEXT Host name (1 to 30 characters)智能补全功能：在输入饬令时，不需要输入一条饬令的全部字符，仅输入前几个字符，再键入Tab键，系统会自动补全该饬令.如果有多个饬令都具有相同的前缀字符的时候，持续键入Tab，系统会在这几个饬令之间切换.步调三：更改系统称号使用sysname饬令更改系统称号.[H3C]sysname AHPTC[AHPTC]步调四：显示系统运行配置使用display current-configuration饬令显示系统当前运行的配置，由于使用的设备及模块分歧，操纵时显示的详细内容也会有所分歧.在如下配置信息中，请注意检查刚刚配置的sysname AHPTC饬令，同时请查阅接口信息，并与设备的实际接口和模块停止比对.<AHPTC>display current-configuration#version 5.20, Release 1509P01, Basic#sysname AHPTC#domain default enable system#vlan 1#domain systemaccess-limit disablestate activeidle-cut disableself-service-url disable#interface Aux0async mode flowlink-protocol ppp#interface Serial5/0--------More---------用空格键可以继续翻页显示，回车键停止翻行显示，或使用Ctrl+C竣事显示.步调五：保管配置使用save饬令保管配置.<AHPTC>saveThe current configuration will be written to the device. Are you sure? [Y/N]:y选择Y，确定将当前运行配置写进设备存储介质中.Please input the file name(*.cfg)[cf:/startup.cfg]系统提示请输入保管配置文件的文件名，注意文件名的格式为*.cfg.该实验中系统默许将配置文件保管在CF卡中，保管后文件名为config.cfg，如果不更改系统默许保管的文件名，请按回车键.Validating file. Please wait...Now saving current configuration to the device.Saving configuration cf:/config.cfg. Please wait....Configuration is saved to cf successfully.........这是第一次保管配置文件的过程.如果以后再次以config.cfg保管配置文件，则显示如下：<AHPTC>saveThe current configuration will be written to the device. Are you sure? [Y/N]:yPlease input the file name(*.cfg)[cf:/config.cfg]cf:/config.cfg exists, overwrite? [Y/N]:yValidating file. Please wait...Now saving current configuration to the device.Saving configuration cf:/config.cfg. Please wait... .Configuration is saved to cf successfully.显示保管的配置：<AHPTC>display saved-configuration#version 5.20, Release 1509P01, Basic#sysname AHPTC#domain default enable system#vlan 1#domain systemaccess-limit disablestate activeidle-cut disableself-service-url disable#interface Aux0async mode flowlink-protocol ppp#interface Serial5/0link-protocol ppp#interface Serial5/1link-protocol ppp#interface Serial5/2link-protocol ppp#interface Serial5/3link-protocol ppp#interface NULL0#interface GigabitEthernet0/0port link-mode route#interface GigabitEthernet0/1port link-mode route#user-interface con 0user-interface aux 0user-interface vty 0 4#Return由于执行了save饬令，保管配置与运行配置一致.步调六：删除和清空配置当需要删除某条饬令时，可使用undo饬令停止逐条删除.例如删除sysname饬令后，系统称号恢复成H3C.[AHPTC]undo sysname[H3C]当需要恢复到出厂默许配置时，首先在用户视图下执行reset saved-configuration饬令用于清空保管配置（只是清除保管配置，当前配置还是存在的），再执行reboot重启设备后，配置恢复到出厂默许配置.[AHPTC]quit<AHPTC>reset saved-configurationThe saved configuration file will be erased. Are you sure? [Y/N]:yConfiguration file in cf is being cleared.Please wait ...........Configuration file in cf is cleared.<AHPTC>rebootStart to check configuration with next startup configuration file, please wait.........DONE!This command will reboot the device. Current configuration may be lost in next startup if you continue. Continue? [Y/N]:Y步调七：显示文件目次使用dir饬令显示CF卡上所有文件列表.<AHPTC>dirDirectory of cf:/0 drw- - Mar 26 2008 16:07:02 logfile252168 KB total (238628 KB free)File system type of cf: FAT32步调八：文件删除用save饬令保管一个配置文件并定名为，再使用delete删除该配置文件.The current configuration will be saved to cf:/20090901.cfg. Continue? [Y/N]:yNow saving current configuration to the device.Saving configuration cf:/20090901.cfg. Please wait....Configuration is saved to cf successfully.<AHPTC>dirDirectory of cf:/0 drw- - Mar 26 2008 16:07:02 logfile252168 KB total (238626 KB free)File system type of cf: FAT32Delete cf:/20090901.cfg?[Y/N]:y%Delete file cf:/20090901.cfg...Done删除配置文件后，再次检查文件列表，确认该文件已经删除.<AHPTC>dir /allDirectory of cf:/0 drw- - Mar 26 2008 16:07:02 logfile3 -rw- 661 Sep 03 2009 09:43:42 [20090901.cfg]252168 KB total (238624 KB free)File system type of cf: FAT32此时，虽然选择了Y删除该文件，但是在删除该文件前后，为什么CF卡的可用内存空间却一直没有改变？那是因为使用delete饬令删除文件时，被删除的文件被保管在回收站中.如果要完全删除回收站中的某个废弃文件，必须在文件的原归属目次下执行reset recycle-bin饬令，才可以将回收站中的废弃文件完全删除，以回收存储空间.<AHPTC>reset recycle-binClear cf:/~/20090901.cfg ?[Y/N]:y%Cleared file cf:/~/20090901.cfg.<AHPTC>dir /allDirectory of cf:/0 drw- - Mar 26 2008 16:07:02 logfile252168 KB total (238626 KB free)File system type of cf: FAT32还有另外一种法子可以直接删除文件，而不需要颠末清空回收站.使用饬令删除某个文件，则该文件将被完全删除，不克不及恢复.The contents cannot be restored!!! Delete cf:/20090901.cfg?[Y/N]:y%Delete file cf:/20090901.cfg...Done.<AHPTC>dir /allDirectory of cf:/0 drw- - Mar 26 2008 16:07:02 logfile252168 KB total (238626 KB free)File system type of cf: FAT32实验任务三：通过Telnet登录步调一：通过console口配置Telnet用户<AHPTC>sysSystem View: return to User View with Ctrl+Z.[AHPTC]创建一个用户，用户名为test.[AHPTC]local-user testNew local user added.[AHPTC-luser-test]为该用户创建登入时的认证暗码，暗码为test.这里可以password饬令指定暗码显示方式.暗码有两种显示方式，simple指定以明文方式显示暗码，cipher则指定以密文方式显示暗码.[AHPTC-luser-test]password simple test设置该用户使用telnet服务类型，该用户的优先级level为0（0为访问级、1为监控级、2为系统级、3为管理级，数值越小，用户的优先级越低）.[AHPTC-luser-test]service-type telnet[AHPTC-luser-test]level 0[AHPTC-luser-test]quit[AHPTC]步调二：配置super口令Super饬令用来将用户从当前级别切换到指定级别.设置用户切换到level 3的暗码为H3C，暗码明文显示.[AHPTC]super password level 3 simple H3C步调三：配置对telnet用户使用缺省的当地认证进入VTY 0~4用户界面，系统支持5个VTY用户同时访问.VTY口属于逻辑终端线，用于设备停止telnet或SSH访问.[AHPTC]user-interface vty 0 4路由器可以采取当地或第三方服务器来对用户停止认证，这里使用当地认证授权方式（认证形式为scheme）.[AHPTC-ui-vty0-4]authentication-mode scheme步调四：进入接口视图，配置以太口和pc网卡地址使用interface饬令进入以太接口视图，使用ip address配置路由器以太口地址.[AHPTC]interface GigabitEthernet 0/1[AHPTC-GigabitEthernet0/1]同时为pc配置一个与路由器接口相同网段的IP地址.配置完成后，在超等终端上能看到路由器接口GigabitEthernet 0/1自动UP的信息.步调五：打开telnet服务[AHPTC]telnet server enable% Start Telnet server步调六：使用telnet登录使用交叉网线毗连pc和路由器的以太口GigabitEthernet 0/1，在pc饬令窗口中，telnet路由器的以太口IP地址，并回车.输入telnet用户名及口令，进入配置界面，使用?检查此时该用户权限下可使用的饬令.由于此时登录用户级别处于访问级，所以只能看到并使用有限的几个饬令.步调七：更改登录用户级别使用super饬令切换用户级别，输入super口令，进入level 3，与level 0可以使用的饬令停止对比.步调八：保管配置，重新启动先使用save饬令保管当前配置到设备存储介质中，再使用reboot 饬令重新启动系统.实验任务四：使用FTP上传下载系统文件步调一：通过console口配置FTP用户[ahptc]local-user test_ftpNew local user added.[ahptc-luser-test_ftp]password simple test_ftp设置该用户使用FTP服务类型，并设置该用户的优先级level为3.[ahptc-luser-test_ftp]service-type ftp[ahptc-luser-test_ftp]level 3步调二：打开FTP服务[ahptc]ftp server enable步调三：使用FTP登录使用交叉网线毗连pc和路由器的以太口，在pc饬令行窗口中，FTP路由器的以太口IP地址，并回车.输入FTP用户名及口令：步调四：使用FTP上传文件使用put饬令上传系统文件.实验中任意创建一个大小合适的文件来摹拟系统文件，该文件应该存在于上传者的当地目次中，这里当地目次是c:\documents and setting\administrator步调五：使用FTP下载文件使用FTP中的get饬令下载配置文件到当地目次.实验2 网络设备基本毗连与调试2.1 实验内容与方针完成本实验，您应该可以：●掌握路由器通过串口相连的基本方法●掌握ping、tracert系统连通检测的使用方法●掌握debug饬令的使用方法2.2 实验组图图2-1 实验组网图2.3 实验过程实验任务一：搭建基本毗连环境本实验任务供学员熟悉并掌握路由器、交换机、pc的基本网络毗连配置.步调一：完成pc、交换机、路由器互连在教员指导下，完成2台路由器通过串口电缆背靠背相连；路由器以太口分别下接一台交换机；pc通过网线毗连到交换机端口上.步调二：配置IP地址将所有设备的配置清空重启开端下面的配置.使用ip address饬令配置路由器的串口和以太口IP地址.Rta的配置如下：[H3C]sysname rta[rta]interface GigabitEthernet 0/1[rta-GigabitEthernet0/1]ip add 192.168.0.1 24[rta-GigabitEthernet0/1][rta]interface Serial 5/0[rta-Serial5/0]ip address 192.168.1.1 30Rtb的配置如下：[H3C]sysname rtb[rtb]interface GigabitEthernet 0/1[rtb-GigabitEthernet0/1]ip add 192.168.2.1 24[rtb]interface Serial 5/0[rtb-Serial5/0]ip add 192.168.1.2 30Pca的网络IP地址设置如下：Pca通过二层交换机毗连到路由器接口G0/1，那末pca的网关地址应该设置为路由器的接口G0/1的IP地址.实验任务二：使用ping饬令检查连通性步调一：rta ping rtb通过超等终端登入到rta后，ping rtb的串口S6/0,检查路由器之间串口的连通性.PING 192.168.1.2: 56 data bytes, press CTRL_C to breakReply from 192.168.1.2: bytes=56 Sequence=1 ttl=255 time=26 msReply from 192.168.1.2: bytes=56 Sequence=2 ttl=255 time=26 msReply from 192.168.1.2: bytes=56 Sequence=3 ttl=255 time=26 msReply from 192.168.1.2: bytes=56 Sequence=4 ttl=255 time=25 msReply from 192.168.1.2: bytes=56 Sequence=5 ttl=255 time=25 ms--- 192.168.1.2 ping statistics ---5 packet(s) transmitted5 packet(s) received0.00% packet lossround-trip min/avg/max = 25/25/26 ms成果显示，rta收到ICMP的echo reply报文，rta可以ping通rtb.反之亦然.检查路由器ping饬令携带的参数：<rta>ping ?-aSelect source IP address-cSpecify the number of echo requests to be sent-fSpecify packets not to be fragmented-hSpecify TTL value for echo requests to be sent-i Select the interface to send the packets-mSpecify the interval in milliseconds to send packets-nNumeric output only. No attempt will be made to lookup host addresses for symbolic names-pNo more than 8 "pad" hexadecimal characters to fillout the sent packet. For example, -p f2 willfill the sent packet with f and 2 repeatedly-qQuiet output. Nothing will be displayed except forthe summary lines.-rRecord route. Include the RECORD_ROUTE option in the ECHO_REQUEST packets and display the route-sSpecify the number of data bytes to be sent-tSpecify the time in milliseconds to wait for eachreply-tosSpecify TOS value for echo requests to be sent-vDisplay the received ICMP packets other than ECHO-RESPONSE packets. STRING<1-20> IP address or hostname of a remote systemIpIP Protocolipv6IPv6 Protocol例如，可使用参数-c来设定发送50个ping报文：可使用-s参数来设定发送ping报文的字节为512bytes：PING 192.168.1.2: 512 data bytes, press CTRL_C to breakReply from 192.168.1.2: bytes=512 Sequence=1 ttl=255time=142 msReply from 192.168.1.2: bytes=512 Sequence=2 ttl=255time=142 msReply from 192.168.1.2: bytes=512 Sequence=3 ttl=255time=141 msReply from 192.168.1.2: bytes=512 Sequence=4 ttl=255time=141 msReply from 192.168.1.2: bytes=512 Sequence=5 ttl=255time=142 ms--- 192.168.1.2 ping statistics ---5 packet(s) transmitted5 packet(s) received0.00% packet lossround-trip min/avg/max = 141/141/142 ms也可使用参数-a来设定ping报文的源地址，在网络调试中常常使用加源地址ping来检查网络的连通性.这里使用rta接口S5/0地址为源地址，ping rtb S5/0：<rta>ping -a 192.168.1.1 192.168.1.2PING 192.168.1.2: 56 data bytes, press CTRL_C to breakReply from 192.168.1.2: bytes=56 Sequence=1 ttl=255 time=26 msReply from 192.168.1.2: bytes=56 Sequence=2 ttl=255 time=26 msReply from 192.168.1.2: bytes=56 Sequence=3 ttl=255 time=26 msReply from 192.168.1.2: bytes=56 Sequence=4 ttl=255 time=25 msReply from 192.168.1.2: bytes=56 Sequence=5 ttl=255 time=26 ms--- 192.168.1.2 ping statistics ---5 packet(s) transmitted5 packet(s) received0.00% packet lossround-trip min/avg/max = 25/25/26 ms加源地址ping时，只能使用设备自身的当地接口地址.步调二：pca ping pcb进入pca饬令行窗口，ping rta的G0/1口和S5/0口地址.步调三：pca ping pcb进入pca饬令行窗口，ping pcb的IP地址.成果显示，pca无法ping通pcb的IP地址.这是为什么呢？让我们一步一步来排查为什么ping欠亨首先，pca ping rta的G0/1和S5/0口，成果显示可以ping通.其次，pca ping rtb的S5/0口，成果显示无法ping通.最后，pca ping pcb，成果显示无法ping通.成果证明，由于pca 发送给rtb和pcb的ICMP请求报文（echo request），没有收到回应报文（echo reply）.在rta上使用display ip routing-table饬令检查一下rta的路由表：[rta]display ip routing-tableRouting Tables: PublicDestinations : 7 Routes : 7Destination/Mask Proto Pre Cost NextHop Interface192.168.0.1/24 Direct 0 0 192.168.0.1 GE0/1在路由表destination项中，没有看到192.168.2.0表项，所以rta当收到pca发送给pcb的ping报文后，不知道如何转发，会丢弃该报文.成果就是pca无法ping通pcb.但是在路由表中，有详细路由表项，为什么pca无法ping通rtb的串口呢？因为rtb的路由表项中没有表项，所以虽然rta将pcaping请求报文发送给rtb，但是rtb不知道如何转发ping的回应报文给pca.所以，pca也无法ping通rtb的串口.步调五：配置静态路由使用ip route-static饬令分别在路由器rta和rtb上配置静态路由，目标网段为对端路由器与pc的互连网段，并将路由下一跳指向对端路由器的接口地址；Rta上配置：Rtb上配置：步调六：pca ping pcb可见，在rta和rtb上配置完静态路由后，pca可以ping通pcb.实验任务三：使用tracert饬令检查连通性通过使用tracert饬令，用户可以检查报文从源设备传送到目标设备所颠末的路由节点.当网络出现故障时，用户可使用该饬令分析出现故障的网络节点.步调一：在rta上tracert pcb在rta上执行tracert pcb的IP地址traceroute to 192.168.2.10(192.168.2.10) 30 hops max,40bytes packet, press CTRL_C to break1 192.168.1.2 17 ms 16 ms 17 ms2 192.168.2.10 18 ms 19 ms 18 ms成果显示第一跳为rtb，第二跳为pcb.检查路由器tracert饬令携带的参数：<rta>tracert ?-a Select source IP address-f First time to live-m Maximum time to live-p UDP port number-q Number of probe packets-w Timeout in milliseconds to wait for eachreply STRING<1-20> IP address or hostname of a remote systemipv6 IPv6 Protocol实验任务四：使用debug饬令检查调试信息步调一：开启rta终端对信息的监视和显示功能在rta上执行terminal monitor用于开启终端对系统信息的监视功能，执行饬令terminal debugging用于开启终端对调试信息的显示功能.<rta>terminal monitor% Current terminal monitor is on<rta>terminal debugging% Current terminal debugging is on步调二：在rta上执行饬令debug ip icmp用于开启系统ICMP模块的调试功能.<rta>debugging ip icmp步调三：在rta上ping rtb，观察调试信息输出在rta上ping rtb的串口地址，持续发送10个ping报文.步调四：关闭调试开关调试竣事后，使用undo debugging all饬令，关闭所有模块的调试开关.实验3 配置VLAN3.1 实验内容与方针完成本实验，您应该可以：●掌握VLAN的基本工作原理●掌握access链路端口和trunk链路端口的基本配置3.2 实验组网图图3-1 VLAN实验环境图3.3 实验过程实验任务一：配置access链路端口本实验任务通过在交换机上配置access链路端口而使pc间处于分歧VLAN，隔离pc间的访问，从而使学生加深对access链路端口的懂得.步调一：建立物理毗连依照图3-1停止毗连，并检查设备的软件版本及配置信息，确保各设备软件版本符合要求，所有配置为初始状态.如果配置不符合要求，请在用户形式下擦除设备中的配置文件，然后重启设备以使系统采取缺省的配置参数停止初始化.以上步调会用到以下饬令：<swa>display version<swa>reset saved-configuration<swa>reboot步调二：观察缺省VLAN在交换机上检查VLAN，如下所示：[swa]display vlanTotal 1 VLAN exist(s).The following VLANs exist:1(default)[swa]display vlan 1VLAN ID: 1VLAN Type: staticRoute Interface: not configuredDescription: VLAN 0001Tagged Ports: noneUntagged Ports:Ethernet1/0/1 Ethernet1/0/2 Ethernet1/0/3Ethernet1/0/4 Ethernet1/0/5 Ethernet1/0/6Ethernet1/0/7 Ethernet1/0/8 Ethernet1/0/9Ethernet1/0/10 Ethernet1/0/11 Ethernet1/0/12Ethernet1/0/13 Ethernet1/0/14 Ethernet1/0/15Ethernet1/0/16 Ethernet1/0/17 Ethernet1/0/18Ethernet1/0/19 Ethernet1/0/20 Ethernet1/0/21Ethernet1/0/22 Ethernet1/0/23 Ethernet1/0/24GigabitEthernet1/1/1 GigabitEthernet1/1/2 GigabitEthernet1/1/3GigabitEthernet1/1/4[swa]display interface Ethernet 1/0/1 ......PVID: 1Mdi type: autoPort link-type: accessTagged VLAN ID : noneUntagged VLAN ID : 1Port priority: 0......从以上输出可知，交换机上的缺省VLAN是vlan 1，所有的端口处于vlan 1中；端口的pvid 是1，且是access链路端口类型.步调三：配置VLAN并添加端口分别在swa和swb上创建vlan 2，并将pca和pcc所毗连的ethernet 1/0/1端口添加到vlan 2中.配置swa：[swa]vlan 2[swa-vlan2]port ethernet 1/0/1配置swb：[swb]vlan 2[swb-vlan2]port ethernet 1/0/1。

HCIE-Security第一人杜飞很荣幸能够成为通过华为安全HCIE认证的第一人，同时感谢我所在的公司泰克网络实验室，就是因为泰克网络实验室提供了一个很好的平台，使得我可以顺利通过考试。

实际上我在2001年就开始接触IT职业认证，并且通过了当时的HCNE初级网络工程师的认证（类似华为的HCNA-R&S）。

可以说这个证书是我人生中的第一个证书。

我对于网络的理解也来自于当时非常不错的华为官方教材（因为当时大部分的网络技术书籍都是英文翻译，只有华为的教材是原版中文开发，非常通俗易懂）。

时隔多年，华为已经成为国际知名的IT厂商，并且推出了更加完整的认证体系，从得知这个消息起我就希望能够继续考取华为更高级的认证；并且此时我所在公司泰克作为培训行业内知名的培训公司，也非常支持我考取安全方向的HCIE证书，所以从2014年初就一直在进行相关的知识储备，终于在2014年12月5日一次pass了HCIE最后的面试考试。

总的来说，虽然我已经在网络安全领域有了多年的工作积累，并且也在2005年就通过了安全的CCIE认证，但是通过这次考试，感觉还是有非常多的收获，这些收获对自己以后的工作都会有很大的帮助。

华为的HCIE考试分为三个环节，1笔试－2LAB－3面试－获取证书。

1、笔试准备：我在准备笔试考试时主要参考的是华为官方HCIE教材PPT和NGFW、NIP、Agile controller等产品手册，先通过PPT了解华为的考试范围和大概内容重点，然后通过产品手册学习配置和细节，这样确保了可以一次通过笔试考试。

2、Lab准备：由于笔试时就已经参考了大部分的产品实验手册，所以准备LAB时主要把精力放在了每个功能模块的实际操作和综合实验的问题分析上，其实LAB考试相当做一个实战项目，主要是考各个功能模块协作的细节问题，还有如何集成所有功能特性和产品为一个整体解决方案，如果准备LAB考试时能把握这个特点，就很有机会一次pass LAB考试。

51cto学院-实战HCNA之交换技术视频课程[从菜鸟到精通]课程目标本门课程是针对零基础的同学设计开发的，通过本门课程的学习，同学们能够达到独立组建企业局域网和抓包分析网络事件的能力。

适用人群零基础的网络初学者及已经有一定基础的网络爱好者课程简介【实战HCNA之交换技术[从菜鸟到精通]】华为技术成为当今中国网络界的霸主技术已成大势所趋，然而华为教学课程尤其是高品质的教学课程非常少。

为此，寒影都历时半年时间打造出了实战HCNA-交换技术这门课（与实战HCNA-路由技术是姊妹篇课程）。

本门课程难度是HCNA所涉及的交换技术难度的一倍以上，整个讲解过程以实战为主，通过实战通俗易懂的讲解了各个技术细节。

为使同学们能够达到独立完成实验提高实战能力的目的，课程中的所有实验均在华为官方提供的模拟器EPSN中完成。

本门课程是学习华为技术不可多得的精品课程。

课程1实战HCNA-交换技术-001[免费观看]23分钟2实战HCNA-交换技术-002[免费观看]21分钟3实战HCNA-交换技术-003[免费观看]19分钟4[免费观看]26分钟5实战HCNA-交换技术-005 [免费观看]17分钟6实战HCNA-交换技术-006 [免费观看]16分钟7实战HCNA-交换技术-007 [免费观看]22分钟8实战HCNA-交换技术-008 [免费观看]20分钟9实战HCNA-交换技术-009 [免费观看]20分钟1022分钟11实战HCNA-交换技术-01123分钟12实战HCNA-交换技术-01223分钟13实战HCNA-交换技术-01324分钟14实战HCNA-交换技术-01418分钟15实战HCNA-交换技术-01522分钟16实战HCNA-交换技术-01627分钟17实战HCNA-交换技术-01720分钟18实战HCNA-交换技术-01821分钟19实战HCNA-交换技术-01918分钟20实战HCNA-交换技术-020 21分钟21实战HCNA-交换技术-02120分钟22实战HCNA-交换技术-02218分钟2318分钟24实战HCNA-交换技术-02419分钟25实战HCNA-交换技术-02517分钟26实战HCNA-交换技术-02621分钟27实战HCNA-交换技术-02723分钟28实战HCNA-交换技术-02820分钟2918分钟30实战HCNA-交换技术-030 19分钟31实战HCNA-交换技术-03121分钟32实战HCNA-交换技术-03221分钟33实战HCNA-交换技术-03320分钟34实战HCNA-交换技术-03421分钟35实战HCNA-交换技术-03519分钟36实战HCNA-交换技术-03618分钟37实战HCNA-交换技术-03719分钟38实战HCNA-交换技术-03820分钟39实战HCNA-交换技术-03927分钟40实战HCNA-交换技术-040 21分钟41实战HCNA-交换技术-04121分钟4220分钟43实战HCNA-交换技术-04319分钟44实战HCNA-交换技术-04419分钟45实战HCNA-交换技术-04521分钟46实战HCNA-交换技术-04620分钟47实战HCNA-交换技术-04720分钟4821分钟49实战HCNA-交换技术-04920分钟50实战HCNA-交换技术-05020分钟51实战HCNA-交换技术-05121分钟52实战HCNA-交换技术-05221分钟53实战HCNA-交换技术-05326分钟54实战HCNA-交换技术-05419分钟55实战HCNA-交换技术-05519分钟56实战HCNA-交换技术-05620分钟57实战HCNA-交换技术-05721分钟58实战HCNA-交换技术-05818分钟59实战HCNA-交换技术-05925分钟60实战HCNA-交换技术-060 20分钟6120分钟62实战HCNA-交换技术-06222分钟63实战HCNA-交换技术-06320分钟64实战HCNA-交换技术-06424分钟65实战HCNA-交换技术-06516分钟66实战HCNA-交换技术-06626分钟6719分钟68实战HCNA-交换技术-06818分钟69实战HCNA-交换技术-06919分钟70实战HCNA-交换技术-070 22分钟71实战HCNA-交换技术-07121分钟72实战HCNA-交换技术-07219分钟73实战HCNA-交换技术-07322分钟74实战HCNA-交换技术-07423分钟75实战HCNA-交换技术-07519分钟76实战HCNA-交换技术-07616分钟77实战HCNA-交换技术-07721分钟78实战HCNA-交换技术-07821分钟79实战HCNA-交换技术-079 17分钟80实战HCNA-交换技术-080 19分钟81实战HCNA-交换技术-08120分钟82实战HCNA-交换技术-08219分钟83实战HCNA-交换技术-08324分钟84实战HCNA-交换技术-08418分钟85实战HCNA-交换技术-08523分钟86实战HCNA-交换技术-08615分钟87实战HCNA-交换技术-08718分钟88实战HCNA-交换技术-08823分钟89实战HCNA-交换技术-08911分钟90实战HCNA-交换技术-090 30分钟91实战HCNA-交换技术-09117分钟92实战HCNA-交换技术-09218分钟93实战HCNA-交换技术-09317分钟94实战HCNA-交换技术-09422分钟95实战HCNA-交换技术-09520分钟96实战HCNA-交换技术-09621分钟97实战HCNA-交换技术-09719分钟98实战HCNA-交换技术-098 19分钟99实战HCNA-交换技术-09920分钟100实战HCNA-交换技术-10022分钟101实战HCNA-交换技术-10122分钟102实战HCNA-交换技术-10226分钟103实战HCNA-交换技术-10318分钟104实战HCNA-交换技术-10415分钟105实战HCNA-交换技术-10520分钟106实战HCNA-交换技术-10621分钟107实战HCNA-交换技术-10721分钟108实战HCNA-交换技术-10821分钟109实战HCNA-交换技术-10921分钟110实战HCNA-交换技术-110 22分钟111实战HCNA-交换技术-11119分钟112实战HCNA-交换技术-112(结束)21分钟课程地址：/course/course_id-3495.html。

H3C实验指导实验（完整版）适用NE和SE考试目录二、网络设备与通信协议实验 (7)三、交换机配置系列实验基础 (20)交换机实验一交换机基本配置方式实验 (25)交换机实验二交换机端口配置实验 (31)交换机实验三VLAN实验 (37)路由器实验一路由器的基本性能和配置 (41)路由器实验二 WAN接口配置与路由配置实验 (52)路由器实验三防火墙实验 (61)路由器实验四地址转换NAT实验 (68)一、双绞线实验一、实验内容二、实验目的掌握EIA568A、EIA568B标准，根据需要制作各种网络设备之间的互连双绞线，学习使用测试工具，掌握双绞线测试方法。

使用双绞线工具制作EIA568A、EIA568B标准的直连网线和交叉网线，用于网络设备之间互连。

三、实验工具双绞线RJ 45夹线钳若干、双绞线测试工具若干、双绞线若干、RJ45水晶接线头若干。

四、相关预备知识：表1设备连接方式表表3 RJ-45 MDI-X接口引脚分配提示：对比表2和表3可以看出100兆以太网端口只用到了1236四根线，而EIA568B 标准中，1、2为一对互绕在一起的线，3、4为一对互绕在一起的线，这样电流同向的线绕在一起可以有效减少电磁干扰达到比较高的传输速度。

EIA568A和EIA568B的线序恰好是1、2和3、6反绕，因此两端都按EIA568B 标准排列线序则是直连网线；一端按EIA568A标准，另一端按EIA568B标准排列线序则刚好是交叉网线。

千兆以太网端口则使用全部8条线以提高带宽，目前5类和超5类双绞线可以支持千兆速度。

五、网线制作步骤共有四步，可以简单归纳为四个字：“剥”，“理”，“插”，“压”步骤一剥线剥线的长度为13mm～15mm，不宜太长或太短步骤二理线按顺序整理平，遵守规则，否则不能正常通信步骤三插线一定要平行插入到线顶端，以免触不到金属片步骤四压线压过的水晶头的金属脚比没压要低步骤五线缆检测发射器和接收器两端的灯同时亮为正常二、网络设备与通信协议实验一、实验内容学习使用网络基本设备，掌握设备性能和配置方法，熟悉LINUX和WINDOWS环境的TCP/IP协议配置方法，熟悉Internet环境，学习使用DOS下的常用网络命令。

[译]渗透测试实战第三版（红队版）第1章赛前准备——安装译者：作为红队⼈员，我们通常不太关注某次攻击的⽬的（更关注的是攻击⼿法）。

相反，我们想从那些⾼级威胁组织的 TTP（Tactics、Techniques & Procedures）中学到更多。

举个例⼦，这是⼀个来⾃于⽕眼(FireEye)公司的公开的。

从报告中，我们可以看到：这个威胁组织使⽤推特作为 C2 服务器，也使⽤了 github 作为存储加密图⽚和经过信息隐写⽂件的仓库。

我们可以参考此报告，根据攻击⼿法的特点来针对性的做出合适的防御⽅案，来看你的公司是否能发现并拦截这种攻击。

让我们对 APT 攻击做⼀些基本的介绍。

由 MITRE 公司提出的 ATT&CK 矩阵( Adversarial Tactics, Techniques, and Common Knowledge matrix ) 是对 APT 攻击的详细分解。

这个矩阵中是⼀个在各种攻击场景中使⽤的不同 TTP 的⼤集合。

商⽤ ATT&CK 矩阵 - Windows版译者注：1. 上⾯的矩阵仅仅包扩适⽤于 Windows 平台的技术。

完整的商⽤ Enterprise ATT＆CK 矩阵也包括适⽤于和平台的技术。

2. 矩阵中的内容严格复制⾃原书。

只是因为原书图⽚分辨率太低，为了读者的阅读体验，特意重新作图。

ATT&CK 矩阵⾄今没有中⽂翻译，因为译者才疏学浅，不敢献丑翻译，故保留英⽂。

但是需要说明的是，书中列出的矩阵内容，跟 MITRE 公司官⽹给出的矩阵内容存在差异，可能是因为矩阵被重新修订了。

故给出供读者参考。

另⼀个资源是整理的。

这个⾕歌⽂件列举了世界多个国家的疑似 APT 组织及其使⽤的⼯具集。

对于红队成员来说，我们可以参考此⽂档来模拟不同的攻击。

当然，我们可能不会使⽤与⽂档中列举的相同的⼯具，但是我们可以构建类似的⼯具来做同样的攻击。

假定攻破练习⾯对安全问题，企业的正确态度是从⼀开始就应该预设⾃⼰已经被攻破了。

HCNP-RS-IENPV2.0认证考试复习资料HCNP-RS-IENP V2.0认证考试复习资料通过HCNA认证，将证明您对中小型网络有初步的了解，了解中小型网络的通用技术，并具备协助设计中小型网络以及使用华为路由交换设备实施设计的能力。

以下是关于HCNP-R&S-IENP V2.0认证考试复习资料，希望可以帮助大家!1.华为H12-222-CHS HCNP-R&S-IENP V2.0认证考试2.1 考试内容HCNP-R&S-IENP考试覆盖MPLS、MPLS **、DHCP、镜像、QoS、VRRP、BFD技术的原理与配置;信息安全综述、防火墙基础功能的介绍;eSight、Agile Controller产品的功能及使用;SDN、VXLAN、NFV的产生背景及基本实现过程。

2.2 知识点MPLS/MPLS **技术：1.MPLS原理与实现：MPLS帧格式封装，MPLS数据转发流程，LDP邻居发现和会话建立，LDP标签管理2.MPLS **的配置应用DHCP协议：1.DHCP、DHCP Relay以及扩展特性DHCP Snooping的基本实现过程及配置镜像技术：1.镜像的分类及配置应用eSight基本功能：1.eSight的安装部署与基本功能、应用Agile Controller产品特性：1.Agile Controller的产品特性以及基础的.配置应用QoS技术：1.IP Qos基本服务模型，区分服务模型的基本能实现过程2.分类和标记、拥塞管理、拥塞避免、监管和整形基本原理网络安全基础：1.信息安全综述2.防火墙基础功能及配置应用VRRP协议：1.VRRP的基本原理及配置应用BFD协议：1. BFD的基本原理及配置应用SDN/VXLAN/NFV协议：SDN/VXLAN/NFV基本原理及配置应用请注意：本文提到的考试内容仅仅为考生提供一个通用的考试指引，本文未提到的其他相关内容在考试中也有可能出现。

CCNA实验手册Version 3.0By @红茶三杯 敏捷的网络工程师之路修订记录文档说明目录1实验准备 (4)1.1通过Console接口登录设备 (4)1.2Cisco IOS基础 (10)1.3GNS模拟器 (13)2路由篇 (21)2.1路由器基础配置 (21)2.2静态路由 (27)2.3RIPv2 (33)2.4EIGRP (40)2.5OSPF单区域 (45)2.6OSPF多区域 (49)3交换篇 (54)3.1二层交换基础 (54)3.2使用以太网子接口实现VLAN之间的互访 (57)3.3二层交换机的管理VLAN (60)3.4使用SVI实现VLAN间的互访 (67)4安全篇 (70)4.1标准ACL (70)4.2扩展ACL (72)4.3NAT (75)4.4DHCP (81)4.5综合实验1 (83)4.6综合实验2 (86)5广域网篇 (90)5.1PPP（PAP认证） (90)5.2PPP（CHAP单向认证） (92)5.3PPP（CHAP双向认证） (94)5.4帧中继基础实验 (95)5.5帧中继Hub&Spoke模型基础实验 (98)5.6帧中继P2P子接口实验 (102)6综合实验 (105)6.1综合实验1 (105)6.2综合实验2 (116)1 实验准备1.1 通过Console接口登录设备图1-1 数据网络在网络工程领域，数据网络（Data Network），如图1-1所示，指的是由各种网络设备（例如路由器、交换机、防火墙、负载均衡器）、终端及服务器等搭建而成的一张网。

数据网络的基本功能是使得网络上不同节点之间能够相互通信，从而使得各种业务系统能够在网络上正常运行。

当然这些设备是需要经过我们的配置及部署之后才能够发挥作用，数通工程师（在许多场合也被称为网络工程师）根据实际的需求，对网络进行规划、设计，并最终将设备调试妥当，把网络搭建起来。

通常对于设备的调试，大多是基于命令行的。

1、客户端A和服务器B之间建立TCP连接，再三次握手中，B往A发送的SYN+ACK（seq=b，ack=a+1），下列说法对的的有：A、该数据包是对序号b的SYN数据包进行确认B、该数据包是对序号a+1的SYN数据包进行确认C、B下一个希望收到的ACK数据包的序号为bD、B下一个希望收到的ACK数据包的序号为a+12、rule permit ip source 192.168.11.35 0.0.0.31表达的地址范围是：A、192.168.11.0-192.168.11.255B、192.168.11.32-192.168.11.63C、192.168.11.31-192.168.11.64D、192.168.11.32-192.168.11.643、下列关于防火墙分片缓存功能，说法对的的有：（多选）A、配置分片报文直接转发功能后，防火墙不对分片报文进行缓存B、配置分片报文直接转发功能后，对于不是首片报文的分片报文，防火墙将根据域间包过滤策略进行转发C、分片报文也会创建会话表，转发时也会查找会话表D、分片报文的非首片报文，由于没有端标语，所以分片报文直接转发功能一般不能用在NAT环境4、下面哪个选项不属于UTM（Unified Treat Management）的功能？A、IPS入侵防御B、上网行为C、终端安全管理D、AV网关防病毒5、终端安全系统重要由以下哪些组件组成：（多选）A、防病毒服务器B、SC控制服务器C、准入控制设备D、SM管理服务器6、对称加密算法的加密秘钥和解密秘钥均相同，非对称加密算法的加密秘钥和解密秘钥均不相同。

Ipsec在业务数据加解密时使用的是对称加密算法。

-------- T（true）7、华为USG防火墙VRRP HELLO报文为组播报文，所以规定备份组中的各路由器必须可以实现直接的二层互通。

-----------------T （true）8、在ARP地址解析时，ARP REPLY报文采用广播的方式发送，同一个二层网络上主机都可以收到，并据此学习到IP和MAC地址相应关系。

新版HCNE笔记>>>第1页6．1 培训目标广域网协议概述、HDLC协议原理及配置、PPP、MP协议原理、配置及维护X．25协议原理、配置及维护、帧中继协议原理及维护6．2 6．2广域网协议概述l 广域网简称WAN （wide areanetwork），是在一个广泛范围内建立的计算机通信网l 广域网是一种跨地区的数据通讯网络，使用电信运营商提供的设备作为信息传输平台l 广域网主要用来将距离较远的局域网彼此连接起来对于OSI参考模型，广域网技术主要位于底层的3个层次，分别是物理层、数据链路层和网络层。

OSI参考模型 WAN技术Network Layer(网络层) X.25Data link layer(数据链路层) LAPB、Frame Relay、HDLC、PPP、SDLCPhsical Layer (物理层)x.21bits、EIA/TIA-232、EIT/TIE-449、v.24、v.35、EIA-530广域网连接方式：一、点到点连接：主要形式有拨号电话线路、ISDN拨号线路、DDN专线、E1线路等。

链路层上的封装协议有两种：PPP和HDLC、PPP协议是华为路由器上的确省封装。

二、分组交换方式：多个网络设备在传输数据时共享一个点到点的连接，也就是说这条连接不是被某个设备独占，而是由多个设备共享使用。

网络在进行数据传输时使用“虚电路VC”来提供端到端的连接。

通常这种连接要经过分作交换网络，而这种网络一般都由电信运营商来提供。

常见的广域网分组形式有X.25、帧中继（FrameRelay）、ATM等。

分组交换设备将用户信息封装在分组或数据帧中进行传输，在分组头或帧头中包含用于路由选择、差错控制和流量控制的信息。

6．3HDLC协议原理及配置6．3．1 HDLC协议原理标志地址控制信息帧校验标志l 面向比特l 透明传输-----零比特填充法l 运行于同步串行线路高级数据链路控制HDLC是一种面向比特的链路层协议，其最大的特点是不需要数据必须是规定的字符集，对任何一种比特流，均可以实现透明的传输。

HCNE知识点总结第一章●物理层的功能：电压水平，数据传输速率，最大传输距离，物理接口。

●网络层协议有很多种，最常见的网络层协议主要有IP IPX NETBEUI。

NETBEUI是不可路由协议。

●传输层的基本功能：分段上层数据，建立端到端连接，将数据从一端主机传送到另一端主机，保证数据传输稳定性。

第二章 TCP/IP●IP数据包如TCP包包含5个元素：协议号，源地址，目的地址，源端口，目的端口。

●TCP/IP环境中端口共有65535个端口号，其中1024个端口号默认提供给系统和一些经典应用层协议使用。

●TCP/IP的网络层包括互联网络控制消息协议ICMP，地址解析协议ARP，反向地址解析协议RARP.●TCP特点：三次握手，差错检测，面向连接，速度慢，有顺序号和确认号。

UDP速度快。

●ICMP中ECHO REQUEST由PING产生，主机可通过它测试网络的可达性，ECHO REPLY表示该节点可达。

●A类从1――126，1600个地址；B类128――191，65534个地址；C类192――223，254个地.●IPX特点：地址结构10个字节，接口的MAC地址是逻辑地址的一部分；多种封装格式；路由协议RIP；服务广告SAP；NETWARE客户机通过GNS请求寻求服务器。

●IP报文结构：IP报文头部中包含代表最小时延、最大吞吐量、最高可靠性等信息●IP报文头部identification字段用来唯一标识每一份数据报文；通常IP报文头部为20字节长●当路由器接到的IP报文的MTU大于该路由器的最大MTU时，会丢弃该分组。

●TTL的主要作用是防止IP报文在网络中循环转发，浪费带宽；在正常情况下，路由器不应从接口收到TTL＝0的IP报文。

●支持变长子网掩码的路由协议有：RIP V2 OSPF IS-IS等●CIDR路由表为一个三维组，其内容包括“子网掩码、目的网络地址、下一跳地址”。

●RFC文档是IETF组织的工作文档第三章接口与线缆`●10MBPS由802.3定义,100M由802.3U,1000M由802.3Z和802.3AB.●VLAN采用802.1Q,生成树采用802.1D●电子电器工程师协会IEEE802.3以太网标准,802.5令牌环网标准,802.11无线网标准.●1000BASE－LX单模光纤的理论最大长度为10公里，多模为550米●在同一冲突域中，千兆以太网不允许中继器互连。

4. 在如图所示的TCP 连接的建立过程中，SYN 中的Z 部分应该填入________。

A. aB. bC. a+1D. b+1Answer: D9. 在如图所示的交换网络中，所有交换机都启用了STP 协议。

SWA 被选为了根桥。

根据图中的信息来看，_______端口应该被置为Blocking 状态。

（选择一项或多项）A. SWC 的P1B. SWC 的P2C. SWD 的P1D. SWD 的P2E. 信息不足，无法判断Answer: BD17. 两台空配置的MSR 路由器通过图示的方式连接，通过配置IP 地址，两台路由器的GE0/0 接口可以互通。

如今分别在两台路由器上增加如下配置：RTA：[RTA]ospf[RTA-ospf-1]area 0[RTA-ospf-1-area-0.0.0.0]network 192.168.1.1 0.0.0.3[RTA-GigabitEthernet0/0]ospf dr-priority 2RTB：[RTB]ospf[RTB-ospf-1]area 0[RTB-ospf-1-area-0.0.0.0]network 192.168.1.1 0.0.0.3[RTB-GigabitEthernet0/0]ospf dr-priority那么在OSPF 邻居状态稳定后，______。

（选择一项或多项）A. OSPF 接口优先级相同，在192.168.1.0/30 网段上不进行OSPF DR 选举B. 两台路由器中，一台为DR，一台为BDRC. 两台路由器中，一台为DR，一台为DRotherD. 两台路由器的邻居状态分别为FULL、2-WayAnswer: B22. 如图所示网络环境中，在RTA 上执行如下NAT 配置：[RTA]acl number 2000[RTA-acl-basic-2000]rule 0 permit source 10.0.0.0 0.0.0.255[RTA-acl-basic-2000]nat address-group 1 200.76.28.11 200.76.28.11[RTA]interface Ethernet0/1[RTA-Ethernet0/1]nat outbound 2000 address-group 1配置后，Client_A 和Client_B 都在访问Server，则此时RTA 的NAT 表可能为______。

网络安全工程师认证模拟试题及答案(最新)一、选择题（每题2分，共40分）1. 以下哪项不是常见的网络攻击类型？A. DDoS攻击B. SQL注入C. 数据加密D. 钓鱼攻击答案：C解析：数据加密是一种安全防护手段，而非攻击类型。

DDoS攻击、SQL注入和钓鱼攻击都是常见的网络攻击手段。

2. 以下哪种加密算法属于对称加密算法？A. RSAB. AESC. ECCD. SHA-256答案：B解析： AES（高级加密标准）是对称加密算法，而RSA和ECC是非对称加密算法，SHA-256是哈希算法。

3. 以下哪项不是防火墙的基本功能？A. 包过滤B. 状态检测C. 数据加密D. 应用层代理答案：C解析：防火墙的基本功能包括包过滤、状态检测和应用层代理，数据加密不是防火墙的基本功能。

4. 以下哪种协议主要用于邮件传输？A. HTTPB. FTPC. SMTPD. DNS答案：C解析：SMTP（简单邮件传输协议）主要用于邮件传输。

HTTP是超文本传输协议，FTP是文件传输协议，DNS是域名系统。

5. 以下哪项不是入侵检测系统（IDS）的主要功能？A. 实时监控网络流量B. 阻止恶意流量C. 记录异常行为D. 自动修复漏洞答案：D解析： IDS的主要功能是实时监控网络流量、记录异常行为和报警，但不具备自动修复漏洞的功能。

6. 以下哪种攻击属于社会工程学攻击？A. DDoS攻击B. SQL注入C. 钓鱼攻击D. DNS劫持答案：C解析：钓鱼攻击利用人的心理弱点进行欺骗，属于社会工程学攻击。

DDoS攻击、SQL注入和DNS劫持都是技术性攻击。

7. 以下哪种技术可以防止中间人攻击？A. VPNB. IDSC. 防火墙D. 数据备份答案：A解析： VPN（虚拟专用网络）通过加密通信隧道，可以有效防止中间人攻击。

IDS、防火墙和数据备份无法直接防止中间人攻击。

8. 以下哪种哈希算法输出的哈希值长度为256位？A. MD5B. SHA-1C. SHA-256D. SHA-512答案：C解析： SHA-256输出的哈希值长度为256位。

1、应用程序PING 发出的是___报文。

（C）A、TCP 请求报文。

B、TCP 应答报文。

C、ICMP 请求报文。

D、ICMP 应答报文。

2、以下属于物理层的设备是（A）A. 中继器B. 以太网交换机C. 桥D. 网关3、标准以太网使用（）标准线缆（ A ）A、10 BASE-TB、100 BASE-TC、10 BASE-5D、10 BASE-24、以下情况可以使用访问控制列表准确描述的是：（ A ）A、禁止所有使用Telnet的用户访问我的主机B、禁止使用UNIX系统的用户访问我的主机C、禁止有CIH病毒的文件到我的主机D、只允许系统管理员可以访问我的主机5、可以分割广播域的设备有 C、DA、网桥B、中继器C、具有VLAN功能的以太网交换机D、路由器6、PPP协议支持的验证方式有：A、PAPB、MD5C、CHAPD、SAPANSWER：A、C7、下列哪一条命令可以阻塞一网段的RIP广播报文？A、access-list 101 deny tcp any 255.255.255.255B、access-list 101 deny udp any any eq 520C、access-list 101 deny udp any any eq 53D、access-list 10 deny udp any 255.255.255.255 ANSWER：B8、路由环路问题的解决方法包括：A、采用水平分割B、加快路由更新报文的发送频率C、路由保持D、配置静态路由E、定义路由权的最大值ANSWER：A、B、C、E9、在下面的网络中（如图所示），Quidway路由器配置命令如下（PC默认网关配置正确）：A、CRouterA#show running-configNow create configuration…Current configuration!version 1.4.1!interface Ethernet0speed autoduplex autono loopbackip address 192.168.1.1 255.255.255.0!interface Serial0clock-select DTECLK3encapsulation pppip address 10.1.1.2 255.255.255.0!interface Serial1encapsulation pppip address 10.1.3.1 255.255.255.0!exitrouter ripnetwork all!EndRouterB#show running-configNow create configurationCurrent configuration!version 1.4.1interface Ethernet0speed autoduplex autono loopbackip address 192.168.2.1 255.255.255.0 !interface Serial0encapsulation pppip address 10.1.1.1 255.255.255.0! interface Serial1encapsulation pppip address 10.1.2.1 255.255.255.0!exitrouter ripnetwork all!EndRouterC#show running-configNow create configurationCurrent configuration!version 1.4.1!interface Ethernet0speed autoduplex autono loopback!interface Serial0encapsulation pppip address 10.1.2.2 255.255.255.0! interface Serial1clock-select DTECLK1encapsulation pppip address 10.1.3.2 255.255.255.0!exitrouter ripnetwork all!以下说法正确的是：A、PCA可以ping通PCBB、PCA不可以ping通PCBC、RouterA可以ping通RouterBD、RouterA不可以ping通RouterB10、下列关于IANA预留的私有IP地址的说法错误的是什么？A、预留的私有IP地址是：10.0.0.0~10.255.255.255，172.12.0.0~172.31.255.255， 192.128.0.0~192.128.255.255B、为了实现与Internet的通信，这些私有地址需要转换成公有地址。

根据H3CNE考试题库来学习NE的知识点，并做了如下笔记。

术语：BPDU 桥协议数据单元（Bridge Protocol Data Unit）IGP（Interior Gateway Protocol，内部网关协议）EGP（Exterior Gateway Protocol，外部网关协议）MDI 介质有关接口（Media Dependent Interface）：PC机、路由器MDIX ：交换机、集线器接入口；交换机、集线器级联口笔记：光纤多模和单模的区别:根据传输点模数的不同，光纤可分为单模光纤和多模光纤。

所谓"模"是指以一定角速度进入光纤的一束光。

单模光纤采用固体激光器做光源，多模光纤则采用发光二极管做光源。

多模光纤允许多束光在光纤中同时传播，从而形成模分散(因为每一个“模”光进入光纤的角度不同它们到达另一端点的时间也不同，这种特征称为模分散。

)，模分散技术限制了多模光纤的带宽和距离，因此，多模光纤的芯线粗，传输速度低、距离短，整体的传输性能差，但其成本比较低，一般用于建筑物内或地理位置相邻的环境下。

单模光纤只能允许一束光传播，所以单模光纤没有模分散特性，因而，单模光纤的纤芯相应较细，传输频带宽、容量大，传输距离长，但因其需要激光源，成本较高FTP使用的端口号：控制端口一般为21，而数据端口不一定是20，这和FTP的应用模式有关，如果是主动模式，应该为20，如果为被动模式，由服务器端和客户端协商而定TFTP采用的端口号：69SSH: 22TELNET 23DNS：53电路交换和分组交换的区别与联系：电路（基于电话网的电话）：延迟小、透明传输；带宽固定、网络资源利用率低、初始连接建立慢分组（以分组为单位存储转发）：多路复用、网络资源利用率高；延迟大、实时性差、设备功能复杂分组交换的理解分组交换网是继电路交换网和报文交换网之后一种新型交换网络，它主要用于数据通信。

分组交换是一种存储转发的交换方式，它将用户的报文划分成一定长度的分组，以分组为存储转发，因此，它比电路交换的利用率高，比报文交换的时延要小，而具有实时通信的能力。