HCIE笔试详解301-350

301.某企业有三类业务，语音与视频都是关键业务需要重点保证，FTP为非重点业务。以下哪一种调度方式最匹配业务需求？

A.IP语音使用PQ调度，视频使用PQ调度，FTP下载使用PQ调度

B.IP语音使用LPQ调度，视频使用PQ调度，FTP下载使用WFQ调度

C.IP语音使用WFQ调度，视频使用WFQ调度，FTP下载使用WFQ调度

D.IP语音使用PQ调度，视频使用PQ调度，FTP下载使用WFQ调度

答案: D

解析：

在QoS队列调度机制中，不同调度方式的特性与题目业务需求匹配如下：

PQ（Priority Queuing）

绝对优先级：高优先级队列需先处理完毕才会处理低优先级队列。适用于对延迟敏感的实时业务（如语音、视频）。
问题：若多个关键业务均使用PQ，需明确其队列优先级顺序。例如，语音和视频需分别配置为PQ的最高和次高优先级队列，防止互相阻塞。

WFQ（Weighted Fair Queuing）

公平调度：按权值分配带宽，避免单一业务独占资源。适合非关键业务（如FTP），确保其最低带宽但不优先处理。

LPQ（Low Priority Queuing）

最低优先级队列：仅在更高优先级队列空闲时调度。若关键业务配置为LPQ，会导致无法及时处理，与需求矛盾。

总结：
语音和视频作为关键业务，需通过PQ调度确保低延迟和高优先级。
FTP作为非关键业务，通过WFQ获得公平带宽分配，避免完全阻塞。

302.检查标记使用EVPN承载L2VPN，当转发单播流量时，需要以下哪种路由类型分配的单播标签？

A.Ethernet Segment Route

B.Inclusive Multicast Route

C.MAC/IP Advertisement Route

D.Ethernet A-D Route

答案:C

解析：

单播流量需要精确的端到端转发路径，而 MAC/IP Advertisement Route 通过携带目的主机的MAC/IP及其对应的单播标签（MPLS Label1），使PE能够直接建立单播转发表项。相比之下，其他路由类型仅用于多归协调（A）、BUM泛洪（B）或拓扑维护（D），与单播标签无关

303.假设你需要部署一家医院病房区的无线网络，以下哪一项的部署方式最适合低成本地实现无线覆盖？

A.Leader AP

B.云管理AP

C.敏捷分布式AP

D.AC+FIT AP

答案：C

304.以下哪条命令可以用来在PE上查看BGP VPNv4路由和BGP私网路由的信息？

A.display bgp vpnv4 all routing-table

B.display bgp routing-table address-family vpnv4

C.display vpnv4 bgp routing-table

D.display bgp routing-table ipv4-family vpnv4

答案：A

305.检查标记防火墙双机热备场景下，VGMP报文不会携带以下哪种信息？

A本端设备的软件版本

B本端设备是否处于忙状态

C本端VGMP组的优先级

D本端VGMP组的状态

答案: A

解析：

VGMP报文不会携带软件版本信息。
双机热备要求主备设备的软件版本预先一致（需在配置时保证），这一过程不由VGMP报文动态传递。
VGMP更关注运行时状态（如活跃/备援）而非静态版本信息

306.请根据图中给出的信息判断，以下关于R4路由表中路由的描述，正确的是哪些项？

A.1条默认路由

B.4条等价的默认路由

C.2条等价的默认路由

D.2条cost不等的默认路由

答案：C

307.以下MPLS L3VPN跨域解决方案中，ASBR之间不需要运行MPLS的是哪一项？

A.Option A

B.Option D

C.Option B

D.Option C

答案：A

解析：

在MPLS L3VPN跨域解决方案中，不同Option的关键区别在于ASBR之间的连接方式和MPLS的依赖。以下是各选项的分析：

Option A

ASBR之间通过普通IP接口互联，无需运行MPLS。

ASBR为每个VPN维护独立的VRF，并使用EBGP在VRF之间传递VPN路由

数据平面：流量在ASBR之间直接通过IP转发，不需要MPLS标签。

特点：适用小规模网络，但扩展性差（需为每个VPN配置接口或子接口）

Option B

ASBR之间需要运行MPLS和MP-EBGP。

ASBR通过MP-EBGP交换带标签的VPNv4路由，并为VPN流量分配外层标签。

数据平面：依赖MPLS标签转发跨域流量，ASBR必须支持MPLS。

Option C

核心思路是通过跨AS的多跳MP-EBGP（PE间直接建立会话）。

ASBR交换带标签的IPv4路由，而非VPNv4路由。

数据平面：需要全局IPv4路由的标签转发，ASBR间必须运行MPLS

结论：只有Option A（选项A）在ASBR之间不需要运行MPLS，正确答案为 A

308.通过iMaster NCE—Campus部署的虚拟化园区网络场景中，以下关于配置网络服务资源的描述中，正确的是哪一项？

A.网络服务资源包括DHCP服务器、RADIUS服务器、Portal服务器，以及其他服务器等

B.网络服务资源中的互联地址需属于“Underlay自动化资源池”中的“互联IP”

C.配置网络服务资源就是配置Fabric的全局资源池

D.若场景选择为“直连交换机”，意味着Border将互联端口以不带标签的方式加入互联VLAN

答案：A

309.如图所示，R1和R4建立GRE隧道用于传递PC1发往PC2的数据，从R1的GE0／0／1接口发出的报文内层头部TTL为126，则从R3的GE0／0／3接口发出时报文的内层TTL为以下哪一项？

A.124

B.127

C.125

D.126

答案：D

解析：

从R1到R4的GRE隧道场景中，报文的内层头部是原始IP数据包的头部，而其外层是隧道的IP封装。关键点如下：

GRE隧道工作原理

内层IP报文（PC1发往PC2）被封装在GRE和新的外层IP头部中。中间路由器（如R2、R3）仅处理外层IP头部，不修改内层TTL。

内层TTL的减少发生在解封装后的设备（即隧道终点R4）处理时，而非中间节点。

题目关键分析

R1的GE0/0/1发出时内层TTL为126。

R3处于隧道中间，仅转发外层封装的报文。内层TTL全程未被修改。

外层IP头的TTL会被逐跳减少，但这不影响内层TTL值。

（内层TTL在中间节点保持不变，只有隧道终点解封装后才可能被修改。）

310.华为云广域网络解决方案中，能基于真实业务流量进行性能检测的技术是以下哪一项？

A.TWAMP

B.iFIT

C.Telemetry

D.BGP FlowSpec

答案：B

解析:

TWAMP (Two-Way Active Measurement Protocol)

作用：通过主动发送探测报文测量网络的时延、抖动、丢包等性能指标。

局限性：需要生成额外的探测流量（非实际业务流量），可能无法完全反映真实业务的网络状况。

排除原因：探测流量与真实业务流量分离，不直接检测实际业务流。

iFIT (In-situ Flow Information Telemetry)

作用：在真实业务流量中嵌入检测信息（如报文计数、时戳等），实时采集路径、丢包率、时延等性能数据。

核心特点：

基于实际业务流量（无需额外探测包），真实反映网络质量。

支持全路径跟踪（逐跳检测），适用于广域网络复杂拓扑场景。

适用场景：华为云广域网络的智能运维和实时性能监控，直接关联业务感知。

Telemetry

作用：通过设备主动推送数据（如接口状态、CPU利用率等），实现网络监控。

局限性：采集的是设备本身的性能参数（非流量的端到端性能），无法直接检测业务流的时延、丢包等具体指标。

定位：更多是设备级状态监控，而非业务流性能检测。

BGP FlowSpec

作用：通过BGP协议动态下发流量过滤规则，实现流量工程和安全防护（如缓解DDoS攻击）。

排除原因：与网络性能检测无关，属于安全策略控制技术

iFIT（选项B）是唯一直接基于真实业务流量进行端到端性能检测的技术，能够精确反映实际业务体验，符合题目要求。

311.当手工配置基于OSPF的SR—MPLS BE隧道时，以下哪一项不是必须步骤？

A配置路由器的LSR ID

B全局使能MPLS

C配置每条链路的Adjacency SID

D全局使能Segment Routing

答案：C

312.某公司网络管理员将OPS功能的Python脚本demo.py上传到网络设备后，执行以下哪条命令可以运行脚本？

A.ops set file demo.py ops run python demo.py

B.ops install file demo.py ops run python demo.py

C.ops set file demo.py ops execute python demo.py

D.ops install file demo.py ops execute python demo.py

答案：B

313.Python Paramiko库实现了SSH协议，在Python Paramiko模块中，以下哪种方法可以开启SSH交互式会话？

A.invoke_shell()

B.Transport()

C.from_transport()

D.connect()

答案：A

314.网络管理员在设备输入display telemetry sensor-path查看Telemetry相关信息，回显如下，则以下描述错误的是哪一项？

A.对于huawei-ifm：interfaces／interface采样路径，设备最小采样间隔为100ms

B.对于接口统计信息可以并行采样，采样路径为huawei-ifm：ifm／interfaces／interface／ifStatistics

C.对于huawei-mac：mac／bdMacTotalNumbers／bdMacTotalNumber采样路径，在10000ms内能采集到的最大实例数为200

D.该设备支持IPV4路由使用情况采样，采样路径为huawei-fibstatus：fibstatus／ipRouteEntryCounts／ipRouteEntryCount

答案：D

315.如图所示，所有路由器开启基于OSPF的SR—MPLS功能，则当R1转发数据包到目的地址10.0.3.3时，从R1发出的数据包携带的MPLS标签为以下哪一项？

A.3

B.40100

C.30100

D.由于R1和R3在不同的区域，R1不存在到达10.0.3.3的标签

答案：B

316.以下关于中小型园区接入控制的描述中，错误的是哪一项？

A.iMaster NCE支持对接第三方RADIUS服务器

B.iMaster NCE支持直接作为认证服务器

C.云AP支持Portal本地认证

D.iMaster NCE支持作为Portal中继设备

答案：C

解析：

云AP（如华为Cloud AP）的管理和控制功能集中由iMaster NCE实现，自身无法本地存储Portal页面或处理认证逻辑（如用户名密码验证）。所有Portal认证请求需转发至iMaster NCE或第三方服务器处理。

云AP的角色是单纯的无线接入点，认证功能需依赖iMaster NCE或外部服务器，无法独立支持Portal本地认证。错误选项为C

317.如图所示，以下关于EVPN和VXLAN配置命令的描述中，错误的是哪一项？

A.VBDIF10中绑定的L3 VNI为5000

B.EVPN实例IRT值为0：10

C.BD10中绑定的L2VNI为10

D.EVPN实例RD值为20：4

答案：D

318.以下哪一项算法是数据加密算法？

A.MD5

B.SHA1

C.DES

D.SHA-256

答案：C

解析：

A. MD5：经典哈希算法，生成128位摘要，已被证明不安全（易碰撞攻击）。不可逆，非加密。
B. SHA1：哈希算法，生成160位摘要，同样存在安全性问题。不可逆，非加密。
C. DES：对称加密算法，使用56位密钥加密数据，虽因密钥过短被AES取代，但明确属于加密算法（可加解密）。
D. SHA-256：SHA-2家族成员，生成256位摘要，广泛用于区块链等场景。哈希算法，非加密

319.华为SD-WAN解决方案中，当CPE位于NAT设备后的私网时，特别是两个站点的CPE同时位于NAT设备后的私网时，CPE之间需要使用NAT穿越技术。华为SD-WAN解决方案中使用以下哪一项技术帮助CPE之间实现NAT穿越？

A.NAT ALG

B.NAT server

C.IPsec VPN

D.STUN

答案：D

320.如图所示，R1和R2建立GRE隧道。以下关于该场景的描述中，正确的是哪一项？

A.缺省情况下，在R1设备执行命令“Ping10.3.1.1”,无法Ping通

B.缺省情况下，在R2设备执行命令“Ping10.1.1.1”,可以Ping通

C.R1的GE0/0/1接口Down,不会影响R1的Tunnel0/0/0接口的状态

D.由于隧道两端的接口IP地址不在同一个网段，因此隧道状态为Down

答案：A

解析：

选项分析

选项A

结论：正确
R1的隧道接口配置为 10.1.1.1/24，而R2的隧道接口为 10.3.1.1/24，两者属于不同子网。

关键点：GRE隧道本身不强制要求隧道接口IP在同一网段，但此时若要通信，必须存在路由将流量指向隧道接口。

缺省情况下：若未配置静态路由或动态路由协议，R1的路由表仅包含直连网络（如 10.1.1.0/24 和物理接口 10.0.12.0/24），但 无到 10.3.1.0/24 的路由，因此R1无法通过隧道将数据包发送到R2的隧道接口地址 10.3.1.1，导致 ping 失败。

选项B

结论：错误
R2的隧道接口参数与R1类似。

同理：R2的路由表缺省情况下不包含到 10.1.1.0/24 的路由，因此无法通过隧道到达R1的隧道接口IP 10.1.1.1，ping 同样失败。

选项C

结论：错误
R1的GRE隧道配置中将 source 指定为物理接口 GE0/0/1 的IP 10.0.12.1。

华为设备行为：若隧道源接口（即 GE0/0/1）状态为 Down，隧道接口会因源地址不可达而自动进入 Down 状态。

因此，若 GE0/0/1 接口Down，Tunnel0/0/0 状态必定受影响，选项C的说法与实际情况相反。

选项D

结论：错误

GRE隧道两端隧道接口的IP地址是否在同一网段 不影响隧道本身的状态（如Up/Down）。

隧道状态仅取决于源地址（source）和目的地址（destination）的 IP可达性（物理层是否连通）。

题目中，R1和R2的物理接口 GE0/0/1 在不同子网（原文描述可能存在矛盾*，根据问题补充更正为R1物理接口IP 10.0.12.1/24，R2为 10.0.12.2/24），两者是直连可通的，因此隧道状态应为 Up，与隧道接口IP无关。

总结

只有 选项A 正确：缺省情况下，R1无法通过未配置的路由到达R2的隧道接口IP 10.3.1.1，导致 ping 失败。

补充说明

路由必要性：即使隧道状态Up，仍需显式配置路由（如静态路由 ip route-static 10.3.1.0 255.255.255.0 Tunnel0/0/0）以实现跨隧道IP的通信。

源接口依赖：华为设备中，隧道接口依赖源接口的链路状态。若源接口Down，隧道接口状态会自动Down。

321.某台设备输出信息如图所示，据此判断，当本设备转发数据包到10.0.2.2时，需要携带的MPLS标签为以下哪一项？

A.40100

B.36100

C.40200

D.36200

答案: C

322.以下是NETCONF协议报文中的一部分内容，

A操作层

B传输层

C消息层

D内容层

答案:C

解析：

NETCONF报文分为三层：

传输层（Transport Protocol）：提供通信通道，通常使用SSH（默认端口830）或SOAP over HTTP。
RPC层（RPC Protocol）：封装操作请求和响应，通过标签实现。
内容层（Content Layer）：包含具体的配置或状态数据，基于YANG模型定义（使用XML或JSON格式）

323.iMaster NCE-Campus:北向开放API的默认端口号为以下哪一项？

A.18000

B.18008

C.18006

D.18002

答案：B

解析：

iMaster NCE-Campus的北向开放API默认端口号为18008，对应选项B。

详细解释：

北向API的作用
iMaster NCE-Campus的北向接口（Northbound API）用于与上层管理系统（如网管平台、运维系统等）或第三方应用集成，通过开放的API实现自动化运维和能力调用。

默认端口的选择依据

在iMaster NCE-Campus的架构中，北向API服务默认绑定在HTTPS协议，保证数据传输的安全性。

华为官方文档及培训材料明确指出，其默认端口为18008（参考《iMaster NCE-Campus产品文档》中的端口配置章节）。

其他端口（如18000、18002、18006）通常分配给不同的功能模块（如Web界面、南向接口等）。

关键排除点

18000：通常用于管理面Web界面（如Portal）的默认端口。

18002：常见于南向接口（Southbound Interface），用于与设备通信（如SNMP/Netconf）。

18006：可能用于内部服务或特定组件（如分布式消息总线）。

结论：
北向API的默认端口为18008（选项B），此端口用于通过RESTful API实现外部系统对NCE-Campus的功能调用

324.在业务随行中，策略执行点设备收到用户流量后，根据流量携带的以下哪项信息，查找对应的策略并执行，进而转发/丢弃该流量?

A源/目的IP地址

B源/目的安全组

C源/目的端口号

D源/目的MAC地址

答案：B

解析：

业务随行模型中，用户终端会被动态划分到安全组（如研发组、市场组）。流量经过认证后，设备会为报文打上源安全组标签（如SGT），策略执行点通过源/目的安全组的组合匹配预定义的权限矩阵（策略），实现动态控制。安全组标签是策略匹配的核心标识

扩展说明：

安全组标签（SGT）原理：
用户在认证时会被动态分配到安全组（如802.1X或MAC认证），设备将安全组信息（如SGT）封装到报文中（如通过VLAN或特殊字段）。策略执行点提取SGT标签后，直接比对控制器下发的安全组间策略矩阵，无需关心实际IP拓扑，大幅简化运维。

华为实现参考：
华为业务随行方案中，控制器（如Agile Controller）定义安全组间策略，并通过安全通道下发至所有策略执行点（防火墙、交换机）。用户流量经过认证后携带安全组属性（如SVF中的Group ID），策略匹配基于此实现

325.NVE在对原始数据帧进行VXLAN封装时，在外层IP头部之内，且在VXLAN头部之外封装的是以下哪项信息?

A.Ethernet

B.TCP

C.UDP

D.IP

答案：C

解析：

在VXLAN封装过程中，数据帧的封装顺序如下：

原始数据帧（Ethernet + 载荷）
VXLAN头部（包含VNI等控制信息）
UDP头部（源端口随机，目的端口 4789，并扩展了VXLAN标识字段）
外层IP头部（源IP为本地VTEP地址，目的IP为远端VTEP地址）
外层以太网头部（用于物理网络传输）

VXLAN的完整封装层次为：
原始帧 → VXLAN头 → UDP头 → 外层IP头 → 外层Ethernet头
因此，外层IP头部与VXLAN头部之间的协议是 UDP。

326.VPN是指在公共网络上构建的虚拟专用网络，以下哪项属于VPN?

A.GRE VPN

B.VPLS

C.L2TP

D.IPsec

答案：D

327.以下关于OPS功能应用场景的指述，错误的是哪一项?

A.使用OPS功能实现空配置设备自动部署的场景中，Python脚本的作用是用来获取软件和配置文件服务器地址，并下载系统软件和配置文件

B.使用OPS功能，在某些情况下可以减轻网络环境的影响，如向服务器传输采集的信息时，Python脚本中可以实现当网络不通时，将执行结果暂存在设备,等网络恢复后再传输到服务器的功能

C.用户需要实现网络设备配置被保存后，自动发送配置文件到服务器的功能，可以通过维护助手创建定时器类型触发条件，定时执行Python脚本来实现

D.使用OPS可以实现自动检查设备健康状态的功能

答案:C

328.在SSH连接的建立过程中,服务端和客户端双方需要协商多种算法,以下哪种算法可用于SSH用户认证过程?

A.aes128-ctr

B.3des-cbc

C.ssh-dss

D.hmac-sha1

答案：C

解析：

ssh-dss
是数字签名算法（DSA），属于公钥算法，直接用于用户认证。例如在公钥认证中，客户端使用私钥签名挑战信息，服务端用公钥验证，属于认证阶段协商的算法。

关键记忆点

认证算法（公钥类）：如ssh-dss（DSA）、ssh-rsa（RSA）、ecdsa-sha2（ECDSA）等，用于用户身份验证。

加密算法（对称类）：如aes128-ctr、3des-cbc，用于数据加密。

MAC算法：如hmac-sha1，用于数据完整性保护。

用户认证阶段协商的是认证方法（如公钥类型），而非加密或完整性算法

329.华为网络设备OPS （Open Programmability System,开放可编程系统）功能利用HTTP协议的方法对网络设备的管理对象进行访问。为方便用户编写脚本，华为提供了OPS功能的Python脚本模板。Python脚本模板中发送的HTTP请求报文中的首部字段“Content-type” 和“Accept”内容分别为以下哪一项?

A.text/json, text/json

B.text/xml, text/xml

C.text/json, text/xml

D.text/xml, text/json

答案:B

330.工程师需要通过SFTP下载设备的配置文件vrpcfg.cfg到本地,然后将配置文件重命名为backup.cfg并重新上传至设备默认目录下。已知设备的配置文件路径为/vrpcfg.cfg，位于设备默认的目录/下。工程师本地的文件路径为C:\ ，以下哪一项Python Paramiko代码可以实现上述功能?

A.sftp.get(‘ /vrpcfg.cfg’,r’C:\backup.cfg’) sftp.put(r’C: \backup.cfg’, ‘/backup.cfg’)

B.sftp.get(r’C: \backup.cfg’,’/vrpcfg.cfg’) sftp.put(‘ /backup.cfg ,r’

C.sftp.get( ‘/vrpcfg.cfg’ , r’C: \vrpcfg.cfg’) sftp.put(‘ /backup.cfg’, r’C:\vrpcfg.cfg’)

D.sftp.get(‘ /vrpcfg.cfg’,r’C:\’) sftp.put(r’C:\backup.cfg’,’/’)

答案：A

331.工程师想要通过发送打印print请求消息iMaster NCE的Token值编写了以下python代码调用 iMaster NCE Restful接口来实现上述功能。针对该代码，以下描述错误的是哪项?

A.可通过print (r. json())将服务端的响应消息打印出来

B.Token资源的具体位置为https://139.9.213.72: 18002/controller/v2/tokens

C.该请求报文的消息体为JSON格式的数据

D.该HTTP请求消息采用了get方法去查询Token值

答案:D

332.iMaster NCE-Campus基于WI-FI的位置服务实现过程中,终端数据被HTTP请求上报至位置服务平台。该HTTP请求使用以下哪种数据格式?

A.XML

B.HTML

C.YAML

D.JSON

答案：D

333.流量整形使用的是以下哪种令牌桶技术？

A单桶单速

B双桶双速

C双桶单速

D单桶双速

答案：A

解析：

334.IPsec SA （Security Association，安全联盟）三元组不包括以下哪一项参数？

A安全协议号（AH或者ESP）

B目的IP地址

C安全参数索引SPI （Security Parameter Index）

D源IP地址

答案：D

解析：

IPsec SA（安全联盟）的唯一性由三元组（Triplet）决定，这个三元组包括以下三个参数：

安全参数索引（SPI, Security Parameter Index）：

是一个32位的唯一标识符，用于区分相同目的IP地址和协议下的不同SA。
例如：接收方通过SPI来确定用于解封装数据包的密钥和算法。

安全协议号：

标识使用的协议类型是 AH（Authentication Header）还是 ESP（Encapsulating Security Payload）。
AH协议号为51，ESP协议号为50。

目的IP地址：

表示SA生效的目标设备（例如VPN对端设备的公网IP地址）

为什么源IP地址（选项D）不属于三元组？

SA三元组的目的是唯一标识一个安全通道。对于单向通信（如IPsec VPN），SA仅在接收端用于匹配（通过SPI、目的IP和协议号），无需源IP地址参与。
即使双向通信需要两个SA（入方向和出方向），每个SA仍通过其自身的“目的IP地址”定义（例如发起方的出方向SA的目的地址是对方的IP地址，对端的入方向SA的目的地址是自己）。

举例说明：

当一台设备向另一台设备发送加密数据时，接收设备通过三元组（SPI、目的IP、协议号）找到对应的SA，而无需关心数据包的源IP地址。即使网络中存在多个源IP地址（如多宿主节点），SA仍然通过三元组唯一确定。

335.某公司由一个总公司和两个分公司组成，并使用MPLSVPN技术传递私网路由。在Hub&Spoke的组网模式中，分公司只能与总公司收发路由，分公司之间不能相互直接收发路由。以下哪种RT设置方案可以实现上述需求？

A.总公司：Import Target 2:2， Export Target：3:3. 分公司1：Import Target：3:3：Export Target 1:1.分公司2：Import Target：3:3：Export Target：2:2

B.总公司：Import Target：1:1； Export Target：3:3.分公司1：Import Target：3:3， Export Target：1:1，分公司2：Import Target：3:3； Export Target：2:2

C.总公司：Import Target：12:3：Export Target：3:12，分公司1：Import Target 3:12， Export Target：12:3.分公司2：Import Target：3:12； Export Target：12:3

D.总公司：Import Target：1:1， 2:2：Export Target 3:3.分公司1：Import Target：3:3； Export Target：1:10分公司2：Import Target：3:3：Export Target：2:2

答案：C

336.如图所示，在网络中配置了MPLSLSP，目标是SWA和STB之间建立LDP会话，则以下描述正确的是哪一项？

A.不需要在端口上使能IPLS

B.不需要全局使能MPLS

C.两台设备mpls lsr-id不能配置成一样

D.配置正确

答案：C

337.以下关于业务随行方案设计的描述中，错误的是哪一项？

A部署业务随行时，一般选择用户网关设备作为策略执行点和认证点

B在现划安全组间策略时，只需要考虑单方向策略，反向策略相同

C可以根据5V1H的方法，进行动态安全组设计

D业务随行的用户认证阶段也需要考虑认证方式和认证点的选择

答案：B

338.以下关于配置认证模板的描述中，正确的是哪一项？

A在同一设备的同一接口下，所有的认证只能配置相同的默认域或强制域

B当认证模板下绑定多个接入模板时，触发认证的顺序为802.1X->Portal->MAC

C若配置了用户的强制域，无论用户名中是否携带域名，都会强制用户在强制域中进行认证

D用户默认接入的域为default域，无法通过命令修改

答案：C

340.在业务随行中,以下关于“安全组”和“资源组”的描述中,正确的是哪一项?

A动态安全组的用户IP地址是不固定的,是在用户认证之后动态地将IP地址与安全组关联

B使用资源组时,在策略执行点设备上会根据每个资源组生成一条策略

C对于IP地址集有重合的服务资源,可以通过静态安全组进行区分

D在配置策略控制矩阵时，资源组可以作为策略的源组和目的组

答案:A

341.SNMP与NETCONF都可以用于网络设备的管理，以下关于这两种协议的描述中，正确的是哪一项？

A两种协议均通过网络设备上的MIB对不同的对象进行管理

B当需要通过SNMP管理华为交换机时，缺省情况下必须手工配置每一台交换机的SNMP参数

C当需要通过NETCONF管理华为交换机时，缺省情况下必须手工配置每一台交换机的NETCONF参数

D两种协议均采用Client/Server架构，NMS作为服务端，被管理的网络设备作为客户端

答案：B

342.当使用华为iMasterNCE-IP配置SR-MPLSTE隧道时，控制器使用以下哪种协议采集设备运行状态等信息？

A.BGP-LS

B.Telnet

C.IS-IS

D.Telemetry

答案：A

343.以下关于MPLSHeader中TTL的描述，正确的是哪一项？

A为了控制标签分发

B对于LSR进行限制

C作用类似IP头部的TTL，用来防止报文环路

D用于标签分发时对上游设备的控制

答案：C

344.EVPN使用以下哪种路由类型实现快速收敛和水平分割？

A.Inclusive Multicast Route

B.MAC/IP Advertisement Route

C.Ethernet Segment Route

D.Ethernet A-D Route

答案：D

解析：

Ethernet A-D Route（类型1）是唯一直接解决多归场景下拓扑快速收敛和环路避免的路由类型

Ethernet A-D Route（类型1路由）的主要作用是实现多归场景下PE设备的自动发现，并管理网络冗余拓扑。它通过BGP传递PE设备的冗余信息，确保同一以太网段（Ethernet Segment，ES）的PE设备能够感知彼此的存在。

快速收敛

当某台PE设备故障时，Ethernet A-D Route能够快速撤回（BGP协议触发更新）。其他PE设备收到路由撤销后，立即更新转发表，将流量切换到备用路径，从而实现亚秒级的收敛速度

345.以下关于display current-configuration | include vlan命令的含义，正确的是哪一项？

A查看所有包含“VLAN”关键字的配置

B查看VLANIF接口的IP地址

C查看各VLAN下绑定的物理接口信息

D查看当前创建了哪些VLAN

答案：A

346.通过BGP EVPN动态建立VXLAN隧道的场景中，为了让VTEP对等体能够根据本地的终端ARP信息生成BGPEVPNType2路由，需要在VBDIF接口下开启以下哪一项命令？

A.arp collect host enable

B.arp-proxy enable

C.mac-address xxxx-xxxx-xxxx

D.arp distribute-gateway enable

答案：A

解析：

该命令的作用是在VBDIF接口下启用主机ARP信息收集功能。开启后，VTEP会主动收集本地连接的终端设备的ARP表项（IP和MAC地址），并将其封装为BGP EVPN Type2路由。这些路由会通过BGP EVPN协议传递给其他VTEP，从而在VXLAN域内实现终端信息的动态同步

347.在华为SD-WAN解决方案中，控制通道采用的协议是以下哪一项？

A.静态路由

B.BGP4

C.BGP VPNv4

D.BGP EVPN