| H3CNE | 您所在的位置:网站首页 › 网络认证计费方式 › H3CNE |
H3CNE
|
AAA 技术原理 主要考察什么是 AAA、AAA 认证方式、RADIUS 认证、RADIUS 报文结构、RADIUS属性、RADIUS 配置、HWTACACS 认证、HWTACACS 配置、LDAP 认证、LDAP 配置等。 问题1AAA认证主要包括了什么(ABC) A. 计费(Accounting) B. 授权(Authonzation) C. 认证(Authentization) D. 接入(Access) 说明/参考: AAA(Authentication、Authorization、Accounting,认证、授权、计费)是网络安全的一种管理机制,提供了认证、授权、计费三种安全功能。 认证:确认访问网络的远程用户的身份,判断访问者是否为合法的网络用户。 授权:对不同用户赋予不同的权限,限制用户可以使用的服务。例如,管理员授权办公用户才能对服务器中的文件进行访问和打印操作,而其它临时访客不具备此权限。 计费:记录用户使用网络服务过程中的所有操作,包括使用的服务类型、起始时间、数据流量等,用于收集和记录用户对网络资源的使用情况,并可以实现针对时间、流量的计费需求,也对网络起到监视作用。 问题2以下关于HWTACACS协议与RADIUS协议说法正确的是(BCD) A. HWTACACS和RADIUS都支持对设备的配置命令进行授权使用 B. RADIUS只对认证报文中的密码字段进行加密 C. HWTACACS对报文主体全部进行加密 D. HWTACACS采用TCP传输, RADIUSR用UDP 说明/参考:  仅HWTACACS支持对设备的配置命令进行授权使用。 问题3用户AAA授权方式包括什么?(BCD) A. 管理员授权 B. 远端授权 C. 本地授权 D. 不授权 说明/参考: AAA支持以下授权方法: 不授权:接入设备不请求授权信息,不对用户可以使用的操作以及用户允许使用的网络服务进行授权。此时,认证通过的login用户只有系统给予的缺省用户角色level-0,其中FTP/SFTP/SCP用户的工作目录是设备的根目录,但并无访问权限;认证通过的非login用户,可直接访问网络。关于用户角色level-0的详细介绍请参见"基础配置指导"中的"RBAC"。 本地授权:授权过程在接入设备上进行,根据接入设备上为本地用户配置的相关属性进行授权。 远端授权:授权过程在接入设备和远端服务器之间完成。RADIUS协议的认证和授权是绑定在一起的,不能单独使用RADIUS进行授权。RADIUS认证成功后,才能进行授权,RADIUS授权信息携带在认证回应报文中下发给用户。HWTACACS/LDAP协议的授权与认证相分离,在认证成功后,授权信息通过授权报文进行交互。当远端服务器无效时,可配置备选授权方式完成授权。 问题4下面那些不属于AAA认证(BD) A. 授权(authorzation) B. 控制(ACL) C. 认证(authentication) D. 接入(Access) 说明/参考: AAA(Authentication、Authorization、Accounting,认证、授权、计费)是网络安全的一种管理机制,提供了认证、授权、计费三种安全功能。 问题5AAA(Authentication、Authorization、Accounting,认证、授权、计费)是网络安全的一种管理机制,提供了认证、授权、计费三种安全功能。(A) A.正确 B.错误 问题6用户AAA计费方式包括(BCD) A. 按流量计费 B. 本地计费 C. 远端计费 D. 不计费 说明/参考: AAA支持以下计费方法: 不计费:不对用户计费。 本地计费:计费过程在接入设备上完成,实现了本地用户连接数的统计和限制,并没有实际的费用统计功能。 远端计费:计费过程在接入设备和远端的服务器之间完成。当远端服务器无效时,可配置备选计费方式完成计费。 问题7哪些不属于AAA(AB) A.ACL B.Access 说明/参考: AAA(Authentication、Authorization、Accounting,认证、授权、计费)是网络安全的一种管理机制,提供了认证、授权、计费三种安全功能。 问题8AAA授权包括以下哪些?(ABC) A.本地授权 B.远程授权 C.不授权 说明/参考: AAA支持以下授权方法: 不授权:接入设备不请求授权信息,不对用户可以使用的操作以及用户允许使用的网络服务进行授权。此时,认证通过的login用户只有系统给予的缺省用户角色level-0,其中FTP/SFTP/SCP用户的工作目录是设备的根目录,但并无访问权限;认证通过的非login用户,可直接访问网络。关于用户角色level-0的详细介绍请参见"基础配置指导"中的"RBAC"。 本地授权:授权过程在接入设备上进行,根据接入设备上为本地用户配置的相关属性进行授权。 远端授权:授权过程在接入设备和远端服务器之间完成。RADIUS协议的认证和授权是绑定在一起的,不能单独使用RADIUS进行授权。RADIUS认证成功后,才能进行授权,RADIUS授权信息携带在认证回应报文中下发给用户。HWTACACS/LDAP协议的授权与认证相分离,在认证成功后,授权信息通过授权报文进行交互。当远端服务器无效时,可配置备选授权方式完成授权。 问题9HWTACACS协议和RADIUS协议的区别(A) A. HWTACACS协议使用TCP,网络传输更可靠 B. RADIUS协议使用TCP,网络传输更可靠 C. HWTACACS协议只对认证报文中的密码字段进行加密 D. RADIUS协议支持对设备的配置命令进行授权使用 说明/参考: 问题10以下哪些配置可以实现telnet用户的AAA认证(B) A. [Device-line-console0]authentication-mode scheme B. [Device-line-vty0-63]authentication-mode scheme C. [Device-line-vty0-63]authentication-mode none D. [Device-line-vty0-63]authentication-mode local 说明/参考: 设备提供如下类型的用户线: Console用户线:用来管理和监控通过Console口登录的用户。 VTY(Virtual Type Terminal,虚拟类型终端)用户线:用来管理和监控通过Telnet或SSH登录的用户。 在用户线下配置认证方式,可以要求当用户使用指定用户线登录时是否需要认证,以提高设备的安全性。设备支持配置如下认证方式: 认证方式为none:表示下次使用该用户线登录时不需要进行用户名和密码认证,任何人都可以登录到设备上,这种情况可能会带来安全隐患。 认证方式为password:表示下次使用该用户线登录时,需要输入密码。只有密码正确,用户才能登录到设备上。配置认证方式为password后,请妥善保存密码。 认证方式为scheme:表示下次使用该用户线登录设备时需要进行用户名和密码认证,用户名或密码错误,均会导致登录失败。配置认证方式为scheme后,请妥善保存用户名及密码。 问题11以下关于HWTACACS认证说法正确的是(BCD) A. 用UDP传输,网络传输效率更高。 B. 该协议与RADIUS协议类似,采用客户端/服务器模式实现NAS与HWTACACS服务器之间的通信。 C. 主要用户PPP和VPDN接入用户及终端用户的认证、授权和计费。 D. HWTACACS(HW Terminal Access Controller Access Control System,HW终端访问控制器控制系统协议) 说明/参考: HWTACACS(HW Terminal Access Controller Access Control System,HW终端访问控制器控制系统协议)是在TACACS(RFC 1492)基础上进行了功能增强的安全协议。该协议与RADIUS协议类似,采用客户端/服务器模式实现NAS与HWTACACS服务器之间的通信。 HWTACACS协议主要用于PPP(Point-to-Point Protocol,点对点协议)和VPDN(Virtual Private Dial-up Network,虚拟专用拨号网络)接入用户及终端用户的认证、授权和计费。其典型应用是对需要登录到NAS设备上进行操作的终端用户进行认证、授权以及对终端用户执行的操作进行记录。 防火墙用户分类主要考察设备管理类用户、网络接入类用户。 问题1以下关于防火墙用户说法正确的是?(ABCD) A. 接入类用户主要是portal、sslvpn、ppp等 B. 可以通过用户组来实现用户的统一管理 C. 防火墙用户分为管理类和接入类用户 D. 管理类用户主要有ftp、ssh、telnet、http 说明/参考:    为了简化本地用户的配置,增强本地用户的可管理性,引入了用户组的概念。用户组是一个本地用户属性的集合,某些需要集中管理的属性可在用户组中统一配置和管理,用户组内的所有本地用户都可以继承这些属性。 防火墙用户管理及应用主要考察基于域的用户管理、基于 ISP 域的 AAA 实现、本地用户配置、本地用户组配置、管理类用户的本地认证和授权配置、接入类用户的 RADIUS 认证和授权配置、上网类用户的认证和授权配置等。 问题1以下关于RADIUS认证说法正确的是?(ABC) A. RADIUS最初仅是针对拨号用户的AAA协议,后来随着用户接入方式的多样化发展,RADIUS也被应用于多种接入方式 B. 常应用在既要求较高安全性、又允许远程用户访问的各种网络环境中 C. RADIUS认证是一种分布式的客户端/服务器结构的信息交互协议 D. 基于TCP传输,端口号1812、1813分别作为认证/授权、计费端口 说明/参考: RADIUS(Remote Authentication Dial-In User Service,远程认证拨号用户服务)是一种分布式的、客户端/服务器结构的信息交互协议,能保护网络不受未授权访问的干扰,常应用在既要求较高安全性、又允许远程用户访问的各种网络环境中。RADIUS协议合并了认证和授权的过程,它定义了RADIUS的报文格式及其消息传输机制,并规定使用UDP作为封装RADIUS报文的传输层协议,UDP端口1812、1813分别作为认证/授权、计费端口。 RADIUS最初仅是针对拨号用户的AAA协议,后来随着用户接入方式的多样化发展,RADIUS也适应多种用户接入方式,如以太网接入、ADSL接入。它通过认证授权来提供接入服务,通过计费来收集、记录用户对网络资源的使用。 问题2以下哪些配置可以实现SSH用的管理员权限? (CD) A. [Device-luser-network-test]service-type ssh B. [Device]local-user test class network C. [Device-luser-manage-test]service-type ssh D. [Device]local-user test class manage 说明/参考: class:指定本地用户的类别。若不指定本参数,则表示设备管理类用户。 manage:设备管理类用户,用于登录设备,对设备进行配置和监控。此类用户可以提供ftp、http、https、telnet、ssh和terminal服务。 network:网络接入类用户,用于通过设备接入网络,访问网络资源。此类用户可以提供advpn、ike、portal、ppp、sslvp服务。 |
【本文地址】