Study-NotesPhase3-Security-SDN第三階段:進階應用與資安技術 — 答案說明

第三階段:進階應用與資安技術 — 答案說明

第三階段:進階應用與資安技術 — 答案說明

答案速覽

題號答案題號答案題號答案
1C11B21B
2C12B22B
3C13C23C
4B14D24B
5B15B25C
6C16B26C
7B17C27C
8C18B28B
9B19B29B
10C20D30B

詳細解說

1. 答案:C(3000–3999) 華為 ACL 編號分類:

  • 基本 ACL:2000–2999(只匹配源IP)
  • 高級 ACL:3000–3999(五元組匹配)
  • 二層 ACL:4000–4999(MAC 位址匹配)

2. 答案:C(五元組) 高級 ACL 可匹配:源IP + 目的IP + IP協定類型 + 源Port + 目的Port,稱為五元組。這使得過濾更精確,例如可以只禁止某個 IP 的 HTTP 流量,而不影響其他服務。

3. 答案:C(從小到大,命中即停) ACL 匹配邏輯:

  1. 按 Rule ID 從小到大依序比對
  2. 一旦命中某條規則(permit 或 deny)→ 立即停止,執行對應動作
  3. 所有規則都不匹配 → 執行預設動作(通常為放行) 不存在「隨機匹配」或「先匹配 permit 再 deny」的機制。

4. 答案:B(高級 ACL 靠近源端) 部署原則:

  • 基本 ACL(只看源IP)→ 靠近目的端(避免誤傷其他流量)
  • 高級 ACL(五元組精確匹配)→ 靠近源端(盡早阻斷,減少不必要的網路負載)

5. 答案:B(traffic-filter inbound acl 3000) 華為設備套用 ACL 到介面的指令:

interface GigabitEthernet 0/0/1
 traffic-filter inbound acl 3000    ← 入方向
 traffic-filter outbound acl 3000   ← 出方向

ip access-group 是 Cisco IOS 的語法,不適用於華為。

6. 答案:C(靜態 NAT) 只有靜態 NAT(一對一固定映射)才能讓外部主機主動訪問內部伺服器,因為公網 IP 和私網 IP 是固定對應的。PAT/NAPT 和 Easy-IP 是動態的,只支援由內向外發起的連線。

7. 答案:B(同時轉換 IP 和 Port) PAT(NAPT)的核心:在轉換 IP 位址的同時,也轉換 TCP/UDP Port 號,用不同的源 Port 號區分不同的內部主機,讓多個私有 IP 共享同一個公網 IP。

8. 答案:C(公網 IP 不固定環境) Easy-IP = NAPT 的簡化版。特點:不需要設定固定的公網 IP 地址池,直接使用出口介面(WAN 口)的 IP 做 NAT,適用於 PPPoE 撥號、動態 IP 的寬帶上網場景。

9. 答案:B(外網→公網IP:80 轉發到內網:8080) NAT Server 指令分析:

nat server protocol tcp global 203.1.1.1 80 inside 192.168.1.10 8080
  • 外網訪問公網 IP 203.1.1.1:80(TCP 流量)
  • → 路由器轉發到內網 192.168.1.10:8080
  • 這叫「目的 NAT」或「端口映射(DNAT)」

10. 答案:C(決定能執行哪些操作) AAA 三功能:

  • Authentication(認證):「你是誰?」驗證身份
  • Authorization(授權):「你能做什麼?」→ 本題答案
  • Accounting(計費/審計):「你做了什麼?」記錄行為

11. 答案:B(UDP,Port 1812) RADIUS 協定:

  • 傳輸層:UDP(非 TCP)
  • 認證/授權:UDP Port 1812
  • 計費:UDP Port 1813 TACACS+ 才使用 TCP Port 49。

12. 答案:B(認證/授權分離,加密整包) TACACS+ 優勢:

  1. 認證(Authentication)與授權(Authorization)分開處理,更細緻靈活
  2. 使用 TCP,可靠性更高
  3. 加密整個封包(RADIUS 只加密密碼欄位) 缺點:思科私有協定,非開放標準。

13. 答案:C(SSH 取代 Telnet) Telnet(Port 23)以明文傳輸所有資料,包括帳號密碼,極易被嗅探。**SSH(Port 22)**建立加密通道,是遠端管理設備的安全標準做法。設置複雜密碼不能防止傳輸中被截取。

14. 答案:D(WEP) 無線加密安全等級:

  • WEP:使用 RC4 加密,已被多種工具在數分鐘內破解,已淘汰
  • WPA:使用 TKIP,存在漏洞,建議避免
  • WPA2:使用 CCMP/AES,現行安全標準
  • WPA3:最新標準,使用 SAE,安全性最高

15. 答案:B(DAI + 靜態 ARP 綁定) ARP 欺騙防禦:

  • 動態 ARP 檢測(DAI):交換機驗證 ARP 報文,與 DHCP Snooping 表對比,防止偽造 ARP
  • 靜態 ARP 綁定:手動綁定 IP↔MAC,不信任動態 ARP 更新 STP 和 DHCP 無法防止 ARP 欺騙。

16. 答案:B(支援加密和認證) SNMP 版本比較:

  • v1/v2c:使用 Community String 明文認證,無加密,安全性低
  • v3:新增 USM(基於用戶的安全模型),支援 MD5/SHA 認證 + DES/AES 加密,是唯一真正安全的版本

17. 答案:C(SNMP Trap) SNMP Trap:被管設備(Agent)在發生特定事件(如介面宕機、CPU過高)時,主動向 NMS(網管系統)發送告警,不需要 NMS 輪詢查詢。使用 UDP Port 162 接收。

18. 答案:B(UDP 161) SNMP Port 對應:

  • UDP 161:NMS 主動向 Agent 查詢(Get/GetNext/Set 操作)
  • UDP 162:Agent 主動向 NMS 發送 Trap 告警

19. 答案:B(控制平面與轉發平面分離) SDN 核心革新:

  • 傳統網路:每台設備獨立運行控制平面(OSPF/STP 等)和轉發平面
  • SDN:控制平面集中到 SDN 控制器;設備只保留轉發平面(按流表轉發) 這使得整個網路可以通過軟體集中管理,靈活調度。

20. 答案:D(南向介面 SBI) SDN 介面分類:

  • 北向介面(NBI):控制器 ↔ 上層應用(REST API、Python SDK)
  • 南向介面(SBI):控制器 ↔ 底層轉發設備(OpenFlow 是最常見的 SBI 協定) 東/西向介面用於控制器之間的橫向通訊。

21. 答案:B(OpenFlow = 南向介面) SDN 三層架構:

應用層 ←─北向介面(REST API)─→ 控制層(SDN Controller) ←─南向介面(OpenFlow)─→ 轉發層

OpenFlow 是控制器下發流表規則到底層交換機的標準協定,屬於南向介面(SBI)

22. 答案:B(軟硬體解耦) NFV 目標:將防火牆、路由器、LB 等傳統專用硬體設備的功能,以軟體形式(VNF)部署在通用 x86 伺服器上。好處:降低硬體成本、快速部署、靈活擴縮,實現軟硬體解耦

23. 答案:C(VNFM 管理 VNF 生命週期) MANO 三大組件:

  • NFVO(NFV Orchestrator):整體業務編排
  • VNFM(VNF Manager):管理 VNF 生命週期(實例化/擴縮/更新/終止)← 本題答案
  • VIM(Virtualised Infrastructure Manager):管理底層虛擬化資源(如 OpenStack 管理計算/儲存/網路)

24. 答案:B(立即讀取緩衝區資料,非阻塞) read_very_eager()非阻塞的讀取方法,立即返回 Telnet 緩衝區中已收到的所有資料(即使不完整)。通常搭配 time.sleep() 使用,等設備輸出完畢後再讀取。 相比之下,read_until() 是阻塞的,等待直到收到指定的字符串。

25. 答案:C(netmiko) Python 網路自動化程式庫:

  • telnetlib:Telnet 自動化(明文,不安全)
  • paramiko:SSH 底層庫
  • netmiko:基於 paramiko,支援 Cisco/Huawei/Juniper 等多廠商設備,最常用
  • NAPALM:更高層的跨廠商統一 API

26. 答案:C(SSH,Port 830) NETCONF 協定:

  • 傳輸層:SSH(安全Shell)
  • Port:830(專用端口,與一般 SSH 的 22 不同)
  • 用於結構化的設備配置管理,資料格式為 XML

27. 答案:C(DoS / DDoS)

  • DoS:單一來源,耗盡目標資源(CPU/頻寬/連線數)
  • DDoS:多個殭屍主機協同攻擊,更難防禦
  • ARP 欺騙 = 劫持流量;MITM = 竊聽/篡改;SQL 注入 = 資料庫攻擊

28. 答案:B(service password-encryption) service password-encryption 指令啟用後,設備會對設定檔中儲存的明文密碼進行加密(使用 Type 7 加密),防止管理員查看設定檔時直接看到密碼。設定密碼長度不影響儲存方式。

29. 答案:B(步長5,方便插入新規則) ACL 規則預設步長為 5(Rule 5, 10, 15…),原因: 如果需要在 Rule 5 和 Rule 10 之間插入新規則,可以使用 Rule 6/7/8/9,無需重排整個 ACL。如果步長為 1,就沒有空間插入新規則了。

30. 答案:B(SDN 控制集中 + NFV 功能虛擬化,兩者互補) SDN 與 NFV 的關係:

  • SDN:解決「如何控制網路」→ 控制平面集中化,靈活調度
  • NFV:解決「硬體成本」→ 網路功能軟體化,部署在通用伺服器
  • 兩者互補,常在雲端和電信網路中結合使用(如 5G 網路切片)
  • 但兩者是獨立的技術概念,可以單獨使用
Built with LogoFlowershow