2025年5月HCIP题库（带解析）

某个ACL规则如下:则下列哪些IP地址可以被permit规则匹配：

rule 5 permit ip source 10.0.2.0 0.0.254.255

A、10.0.4.5 B、10.0.5.6 C、10.0.6.7 D、10.0.2.1

试题答案：A;C;D

试题解析：

10.0.2.0=00001010.00000000.00000010.00000000

0.0.254.255=00000000.00000000.11111110.11111111

0严格匹配，1任意匹配，所以得到的允许通过网段为：00001010.00000000.xxxxxxx0.xxxxxxxx,

B选项为：00001010.00000000.00000101.00000110，不符合，ACD符合。

基于会话的状态检测防火墙对于首包和后续包有不同的处理流程,关于该流程描述正确的是哪些选项？

A、报文达防火墙时会查找会话表如果没有匹配防火墙会施行首包处理流程。

B、在状态检查机制打开的清况下，防火墙处理TCP报文时，只有SYN报文才建立会话。

C、在状态检查机制打开的情况下，后续包也需要进行安全策略检查。

D、报文到达防火墙时，会查找会话表如果匹配，防火墙会进行后续包处理流程。

试题答案：A;B;D

试题解析：在状态检查机制打开情况下，后续包只要匹配会话表，不需要进行安全策略检查。

路由器Radius信息配置如下，下列说法正确的有?（）【多选题】

Radius-server template Huawei

Radius-server shared-key cipher Huawei

Radius-server authentication 200.0.12.1 1812

Radius-server accounting 200.0.12.1 1813

Radius-attribute nas-ip 200.0.12.2

A、路由器发送Radius报文的源IP地址为200.0.12.2 B、授权服务器的IP地址为200.0.12.1

C、认证服务器的IP地址为200.0.12.1 D、计费服务器的IP地址为200.0.12.1

试题答案：A;C;D

试题解析：Radius-server authentication200.0.12.1 ：认证服务器的IP地址为200.0.12.1，Radius-server accounting 200.0.12.1：计费服务器的IP地址为200.0.12.1，Radius-attribute nas-ip 200.0.12.2：路由器发送Radius报文的源IP地址为200.0.12.2，因此答案选ACD。

防火墙的接口有如下工作模式（）。

A、交换模式 B、透明模式 C、传输模式 D、路由模式

试题答案：B;D

试题解析：防火墙能够工作在三种模式下：路由模式、透明模式、混合模式。因此该题选择BD。此题属于记忆题型。

防火墙安全策略进行流量匹配的条件有以下哪些选项?

A、源目安全区域 B、报文长度 C、源目IP地址 D、应用

试题答案：A;C;D

试题解析：包括源/目的安全区域、源/目的IP地址、源/目的地区和VLAN。地区本质上是IP地址在地理区域上的映射。

包过滤防火墙提供了对分片报文进行检测过速的支持，包过滤防火墙可以过滤的

分片报文有（）

A、后续分片报文 B、非分片报文 C、伪造的ICMP差错报文 D、首片分片报文

试题答案：A;B

试题解析：实现包过滤的核心技术是访问控制列表。包过滤防火墙只根据设定好的静态规则来判断是否允许报文通过，提供了对后续分片报文的检测过滤，以及非分片报文的检测过滤。所以正确答案是“后续分片报文”、“非分片报文 ”。

如图所示的网络，通过以下哪些配置可以实现主机A不能访问主机B的HTTP服务，主机B不能访问主机A的FTP服务？

A、 acl number 3000Rule 5 deny tcp source 100.0.13.0 0.0.0.255 sourceport eq www destination 100.0.12.0 0.0.0.255acl number 3001Rule 5 deny tcp source 100.0.12.0 0.0.0.255 sourceport eq ftp destination 100.0.13.0 0.0.0.255Interface GigabitEthernet 0/0/1 trafficfilter outbound acl 3000Interface GigabitEthernet 0/0/2 trafficfilter outbound acl 3001

B、 acl number 3000Rule 5 deny tcp source 100.0.12.0 0.0.0.255 sourceport eq www destination 100.0.13.0 0.0.0.255acl number 3001Rule 5 deny tcp source 100.0.13.0 0.0.0.255 sourceport eq ftp destination 100.0.12.0 0.0.0.255Interface GigabitEthernet 0/0/1 trafficfilter outbound acl 3000Interface GigabitEthernet 0/0/2 trafficfilter outbound acl 3001

C、 acl number 3000Rule 5 deny tcp source 100.0.12.0 0.0.0.255 sourceport eq www destination 100.0.13.0 0.0.0.255acl number 3001Rule 5 deny tcp source 100.0.13.0 0.0.0.255 sourceport eq ftp destination 100.0.12.0 0.0.0.255Interface GigabitEthernet 0/0/1 trafficfilter inbound acl 3000Interface GigabitEthernet 0/0/2 trafficfilter inbound acl 3001

D、 acl number 3000Rule 5 deny tcp source 100.0.13.0 0.0.0.255 sourceport eq www destination 100.0.12.0 0.0.0.255acl number 3001Rule 5 deny tcp source 100.0.12.0 0.0.0.255 sourceport eq ftp destination 100.0.13.0 0.0.0.255Interface GigabitEthernet 0/0/1 trafficfilter inbound acl 3000Interface GigabitEthernet 0/0/2 trafficfilter inbound acl 3001

试题答案：B;D

试题解析：inbound：选择D选项配置；outbound ：选择B选项配置。

华为设备上的高级ACL可以用于过滤下面哪些内容?

A、基于特定源地址的网络流量 B、基于特定目的地址的网络流量

C、基于特定用户名的网络流量 D、基于特定端口号的网络流量 E、基于特定源MAC地址的流量

试题答案：A;B;D

试题解析：高级ACL是能够匹配一个IP数据包中的源IP地址、目的IP地址、协议类型、ICMP类型、源目的端口，生效时间段来定义规则，二层ACL使用以太网帧头来定义规则，如根据源目MAC地址二层协议等，用户自定义ACL可以使用用户自定义字符串来定义规则，所以答案选ABD。

信息安全最关心的三个属性是什么

A、机密性(confidentiality) B、完整性(integrity)

C、可用性(availabilty) D、身份验证(authentication)

试题答案：A;B;C

试题解析：机密性、完整性、可用性是信息安全最关心的三个属性。因此ABC选项正确。

信息安全体系是()()()三者的互动

A、人员 B、管理 C、技术 D、设备

试题答案：A;B;C

试题解析：在信息安全问题上，要综合考虑人员与管理、技术与产品、流程与体系。信息安全管理体系是人员、管理与技术三者的互动。因此ABC选项正确。

基于ACL规则，ACL可以划分为以下哪些类型?

A、基本ACL B、用户ACL C、高级ACL D、二层ACL

试题答案：A;B;C;D

试题解析：ACL被划分为基本ACL、高级ACL、二层ACL、用户自定义ACL和用户ACL这五种类型。因此答案选ABCD。

下列关于ASPF和Server-map的说法，正确的是

A、通道建立后的报文还是根据Server-map来转发 B、只有ASPF会生成Server-map表

C、Server-map表项若一直没有报文匹配，经过一定老化时间后就会被删除。这种机制保证了Server-map表项这种较为宽松的通道能够及时被删除，保证了网络的安全性。当后续发起新的数据连接时会重新触发建立Server-map表项

D、Server-map通常只用检查首个报文，通道建立后的报文还是根据会话表来转

试题答案：C;D

试题解析：

Server-map表项经过一定老化时间后就会被删除。当后续发起新的数据连接时会重新触发建立Server-map表项，Server-map通常只用检查首个报文，通道建立后的报文还是根据会话表来转发。Server-map表在防火墙转发中非常重要，不只是ASPF会生成，NAT Server等特性也会生成Server-map表。因此CD选项正确。

在Telnet中应用如下所配置的ACL.则只允许IP地址为172.16.105.2的设备进行远程登录。（）

acl number 2000

rule 5 permit source 172.16.105.2 0

A、对 B、错

试题答案：A

试题解析：rule 5 permit source 172.16.105.2 0 ###此命令中通配符为0 ，代表精确匹配172.16.105.2这个主机地址，因此答案为对。

二层ACL可以匹配源MAC.目的MAC.源IP目的IP等信息。（）

A、对 B、错

试题答案：B

试题解析：二层ACL只能够匹配mac地址，而不能匹配ip地址。因此答案选错。

NAPT是通过TCP或者UDP或者IP报文中的协议号区分不同用户的IP地址。（）

A、对 B、错

试题答案：B

试题解析：NAPT是从地址池中选择地址进行地址转换时不仅转换IP地址，同时也会对端口号进行转换，从而实现公有地址与私有地址的1:n映射，可以有效提高公有地址利用率，所以napt是通过端口号区分不同的ip地址的。因此答案选错。

静态NAT只能实现私有地址和公有地址的一对一映射。（）

A、对 B、错

试题答案：A

试题解析：静态、动态nat都只能实现私有地址和公有地址的一对一映射，如果想实现多对一，就需要使用到napt。因此答案选对。

RADIUS实现AAA的常见协议。（）

A、对 B、错

试题答案：A

试题解析：AAA认证常见的认证方式有：不认证、本地认证、redius服务器认证、HWTACACS服务器认证。因此答案选对。

config模式是华为设备上缺省的ACL匹配顺序。（）

A、对 B、错

试题答案：A

试题解析：华为设备支持两种匹配顺序：自动排序（auto模式）和配置顺序（config模式）。缺省的ACL匹配顺序是config模式，对于config模式，系统按照ACL规则编号从小到大的顺序进行报文匹配，规则编号越小越容易被匹配。因此答案选对。

在AR路由器上创建的认证方案、授权方案、计费方案、TACACS或者RADIUS服务器模板，只有在域下应用后才能生效。（）

A、对 B、错

试题答案：A

试题解析：NAS基于域来对用户进行管理，每个域都可以配置不同的认证、授权和计费方案，用于对该域下的用户进行认证、授权和计费。因此答案选对。

主机使用IP地址192.168.1.2访问Internet—定要经过NAT。（）

A、对 B、错

试题答案：A

试题解析：私有IP地址不能上公网，必须经过NAT把私有IP地址转换成公有IP地址。

如图所示，路由器R1上部署了静态NAT命令，当PC访问互联网时，数据包中的目的地址不会发生任何变化。（）

[R1]interface GigabitEthcrnet0/0/1

[R1-GigabitEthernet0/0/1]ip address 192.168.0.1 255.255.255.0

[R1]interface GigabitEthcrnet0/0/2

[R1-GigabitEthernet0/0/2]ip address 202.10.1.2 255.255.255.0

[R1 ]nat static global 202.10.1. 3 inside 192.168 0.2 netmask 255.255.255.255

[R1 ]ip route-static 0.0.0.0 0.0.0.0 202.10.1.1

A、对 B、错

试题答案：A

试题解析：NAT原地址将发生变化，目的地址不变，本题选对。

在华为设备上,如果使用AAA认证进行授权，当远程服务器无响应时，可以从网络设备端进行授权。

A、对 B、错

试题答案：A

试题解析：AAA认证、授权可以在NAS设备上完成，也可以交由服务器完成。因此该题说法正确。

如果报文匹配ACL的结果是“拒绝”,该报文最终被丢弃.

A、对 B、错

试题答案：B

试题解析：无论报文匹配ACL的结果是“不匹配”、“允许”还是“拒绝”，该报文最终是被允许通过还是拒绝通过，实际是由应用ACL的各个业务模块来决定的。不同的业务模块，对命中和未命中规则报文的处理方式也各不相同。只要报文未命中规则且仍剩余规则，系统会一直从剩余规则中选择下一条与报文进行匹配。因此题中说法错误。

如果配置的ACL规则存在包含关系，应注意严格条件的现则编号需要排序靠前，宽松条件的规则编号需要排序靠后，避免报文因命中宽松条件的规则而停止往下继读匹配，从而使其无法命中严格条件的规则。

A、对 B、错

试题答案：A

试题解析：ACL的语句顺序决定了对数据包的控制顺序。在ACL中各描述语句的放置顺序是很重要的。当路由器决定某一数据包是被转发还是被阻塞时，会按照各项描述语句在ACL中的顺序，根据各描述语句的判断条件，对数据报进行检查，一旦找到了某一匹配条件就结束比较过程，不再检查以后的其他条件判断语句。因此最有限制性的语句应该放在ACL语句的首行。把最有限制性的语句放在ACL语句的首行或者语句中靠近前面的位置上，把“全部允许”或者“全部拒绝”这样的语句放在末行或接近末行，这样可以防止出现诸如本该拒绝(放过)的数据包被放过(拒绝)的情况。因此该题说法正确。

使用FTP进行文件传输时，会建立多少个TCP连接？（）

A、2 B、1 C、3 D、4

试题答案：A

试题解析：一个连接用于TCP控制，一个连接用于传输数据。所以本题选A。

DHCP DISCOVER报文的目的IP地址为？（）

A、127.0.0.1 B、224.0.0.1 C、224.0.0.2 D、255.255.255.255

试题答案：D

试题解析：dhcp 的discover主要作用是设备通过发送广播报文来找到网络中存在的dhcp sever ，广播报文目的ip为255.255.255.255 ，所以答案选D 。

某公司网络管理员希望能够远程管理分支机构的网络设备，则下面哪个协议会被用到?（）

A、RSTP B、CIDR C、TeInet D、VLSM

试题答案：C

试题解析：

答案A中的RSTP是解决二层环路问题。答案B中的CIDR是缓解IPV4地址紧缺。

答案C中的TELNET是管理远程设备。答案D的VLSM是做子网划分。

在使用FTP协议升级路由器软件时、传输模式应该选用？（）

A、二进制模式 B、流字节模式 C、节模式 D、字模式

试题答案：A

试题解析：

FTP传输数据时支持两种传输模式：ASCII模式和二进制模式。

ASCII模式用于传输文本。发送端的字符在发送前被转换成ASCII码格式之后进行传输，接收端收到之后再将其转换成字符。二进制模式常用于发送图片文件和程序文件。发送端在发送这些文件时无需转换格式，即可传输。软件升级属于文件传输，应该选择二进制模式，因此答案选A。

如下图所示的网络，主机A.通过Telnet登录到路由器A,然后在远程的界面通过FTP获取路由器B.的配置文件，此时路由器A.存在多少个TCP连接？（）

A、1 B、2 C、3 D、4

试题答案：C

试题解析：主机A.通过Telnet登录到路由器A,此时会使用到tcp的23号端口建立一个tcp连接，然后在远程的界面通过FTP获取路由器B.的配置文件，又会使用到TCP的20、21号端口建立数据通道和控制通道，此时又会产生两个tcp连接，一共是三个。因此答案选C 。

一台windows主机初次启动，如果采用DHCP的方式获取IP地址，那么此主机发送的第一个数据包的源IP地址是？（）

A、0.0.0.0 B、169.254.2.33 C、255.255.255.255 D、127.0.0.1

试题答案：A

试题解析：当主机初次启动，需要通过dhcp 自动获取ip地址的时候，此时主机需要发送dhcp discover报文请求IP地址，由于此时主机是没有ip地址的，所以需要使用的0.0.0.0 这个ip地址作为源ip地址封装数据包。因此答案选A。

DHCP服务器使用哪种报文确认主机可以使用IP地址？（）

A、DHCP DISCOVER B、DHCP ACK C、DHCP OFFER D、DHCP REQUSET

试题答案：B

试题解析：dhcp获取ip的流程为，主机先发送dhcp discover报文找到dhcp sever并且请求ip地址，dhcp sever收到后回复dhcp offer报文，提供ip地址以及其他的网络参数给客户端，客户端收到offer报文后，再回复dhcp request报文发送给dhcp服务器，其作用是告诉dhcp服务器是否使用了他提供的ip地址，当dhcp服务器收到request报文后，发送dhcp ack报文对其进行确定，只有再收到dhcp ack报文后，客户端才可以使用服务器分配的ip地址。因此答案选B。

园区网络搭建时，使用以下哪种协议可以避免出现二层环路？（）

A、SNMP B、RSTP C、NAT D、OSPF

试题答案：B

试题解析：SNMP主要用于监控和管理网络设备，NAT用于网络地址转化，OSPF是动态路由协议。只有RSTP用于解决环路，所以本题选B。

DHCP协议能够给客户端分配一些与TCP/IP相关的参数信息,在此过程中DHCP定义了多种报文，这些报文采用的封装是

A、 TCP封装 B、 UDP封装 C、PPP封装 D、IP封装

试题答案：B

试题解析：试题解析：DHCP报文定义的多种报文,采用的都是UDP协议封装，因此答案选B。

DHCP服务器分配给客户端的动态IP地址。通常有一定的租借期限，那么关于租借期限的描述，错误的是

A、租期更新定时器为总租期的50%，当“租期更新定时器”到期时，DHCP客户端必须进行IP地址的更新

B、重绑定定时器为总租期的87.5%

C、若“重绑定定时器”到期但客户端还没有收到服务器的响应则会一直发送DHCPREQUEST报文给之前分配过IP地址的DHCP服务器，直到总租期到期

D、在租借期限内，如果客户端收到DHCP NAK报文客户端就会立即停止使用此IP地址，并返回到初始化状态，重新申请新的P地址

试题答案：C

试题解析：试题解析：IP 租约期限达到 87.5%（T2）时，如果仍未收到 DHCP 服务器的应答， DHCP 客户端会自动向 DHCP 服务器发送更新其 IP 租约的广播报文。如果收到 DHCP ACK 报文，则租约更新成功；如果收到 DHCP NAK 报文，则重新发起申请过程。因此答案选C。

管理员在路由器上做了如图配置，同时管理员希望给DHCP指定一个较短的租期，请问该使用如下哪条命令？

A、 lease day 0 hour 10 B、 lease 24 C、 dhcp select relay D、 lease

试题答案：A

试题解析：配置IP地址租期的命令为----[Huawei-ip-pool-2] lease { day day [ hour hour [ minute minute ] ] | unlimited }，此题选A。

管理员在Router上进行了如图配置，那么连接在该路由器的G1/0/0接口下的一台主机.能够通过 DHCP获取到什么样的P地址?

A、该主机获取的IP地址属于10.10.10.0/24网络

B、该主机获取的IP地址属于10.20.20.0/24网络

C、该主机获取的IP地址可能属于10.10.10.0/24网络。也可能属于10.20.20.0/24网络

D、该主机获取不到地址

试题答案：A

试题解析：由于G1/0/0接口IP地址为10.10.10.1/24, dhcp select global 使用全局地址池，10.10.10.1/24会匹配到网段所属的pool 1也就是10.10.10.0/24网段，此题选A。

使用FTP协议进行路由器升级时,传输模式应该选用哪—种?

A、字节模式 B、文字模式 C、语言模式 D、二进制模式

试题答案：D

试题解析：

针对传输的文件类型不同，FTP可以采用不同的传输模式：

ASCII模式：传输文本文件（TXT.LOG.CFG ）时会对文本内容进行编码方式转换，提高传输效率。当传输网络设备的配置文件.日志文件时推荐使用该模式。

Binary（二进制）模式：非文本文件（cc.BIN.EXE.PNG），如图片.可执行程序等，以二进制直接传输原始文件内容。当传输网络设备的版本文件时推荐使用该模式。

路由器升级传输的是非文本文件，此题选D。

路由器开启FTP服务用户名和密码均为huawei，并且设置FTP的根目录为flash:/dhcp/.则以下哪些命令是必须要配置的？（）

A、ftp server enable B、local-user huawei ftp-directory flash:/dhcp/

C、local-user huawei password cipher huawei D、local-user huawei service-type ftp

试题答案：A;B;C;D

试题解析：

ftp server enable###开启ftp功能。

local-user huawei ftp-directory flash:/dhcp/ ###指定账号为huawei的用户访问的根目录。

local-user huawei password cipher huawei###创建用户名为huawei 密码为huawei的账户。

local-user huawei service-type ftp###指定账号为huawei的用户使用与ftp服务。

因此答案选择ABCD。

使用动态主机配置协议DHCP分配IP地址有哪些优点？（）

A、工作量大且不好管理 B、可以实现IP地址重复利用 C、避免IP地址冲突

D、配置信息发生变化（如DNS），只需要管理员在DHCP服务器上修改，方便统一管理

试题答案：B;C;D

试题解析：DHCP方便且便于管理。本题选B、C、D。

动态主机配置协议DHCP可以分配以下哪些网络参数？（）

A、IP地址 B、网关地址 C、操作系统名称 D、DNS地址

试题答案：A;B;D

试题解析：DHCP不能分配操作系统名称。本题选A、B、D。

网络中部署了一台DHCP服务器，但是管理员发现部分主机并没有正确获取到该DHCP服务器所指定的地址，请问可能的原因有哪些？（）

A、DHCP服务器的地址池已经全部分配完毕

B、部分主机无法与该DHCP服务器正常通信，这些主机客户端系统自动生成了169.254 0.0范围内的地址

C、网络中存在另外一台工作效率更高的DHCP服务器

D、部分主机无法与该DHCP服务器正常通信，这些主机客户端系统自动生成了127.254.0.0范围内的地址

试题答案：A;B;C

试题解析：A、C都有可能导致此结果。部分主机无法与该DHCP服务器正常通信，自动生成的应该是169.254 0.0而不是环回地址127.254.0.0。本题选A、B、C。

管理员无法通过Telnet登录华为路由器，但是其他管理员可以正常登录，那么下面哪些项时可能的原因？

A、该管理员用户账户已经被删除 B、该管理员用户账户已经被禁用

C、 AR2200路由器的Telnet服务已经被禁用 D、该管理员用户账户的权限级别已经被修改为0

试题答案：A;B

试题解析：管理员无法通过Telnet登录华为路由器，但是其他管理员可以正常登录，那么该管理员的账号可能以被删除或者被禁用。所以AB选项正确。C选项，若路由器的Telnet服务已经被禁用，那应该所有的人员都不能登录，所以C选项错误。D选项，即使管理员用户账户的权限级别被修改为0，那应该也能登录，只是不能进行操作。因此D选项错误。

关于PC机从DHCP Sever获取地址所使用的命令描述正确的是（）

A、在用户PC机的Windows 7/windowws xP环境下使用ipconfig/release命令来主动释放IP地址，此时用户PC机向DHCP服务器发送的是DHCP RELEASE报文

B、在用户PC机的Windows 7/windows xP环境下使用ipconfig/renew命令来申请新的IP地址，此时用PC机向DHCP服务器发送的是DHCP RENEW报文

C、在用户PC机的Windows 7/windows xP环境下使用ipconfig/renew命令来申请新的IP地址，此时用户PC机向DHCP服务器发送的是DHCP DISCOVER报文

D、在用户PC机的windows 7/windowsxP环境下使用ipconfig/release命令来主动释放IP地址，此时用户PC机向DHCP服务器发送的是DHCP REQUEST报文

试题答案：A;C

试题解析：PC从DHCP获取地址的过程：PC广播发送dhcpdiscover包；DHCP服务器单播发送dhcp offer 应答包；PC收到后，会广播发送 dhcp request 请求包；DHCP服务器收到后，会回应DHCP ack/nak ; 当PC主动释放地址的时候用ipconfig /release ；当PC 想重新获取IP 地址的时候用ipconfig /renew 。因此AC选项正确。

关于DHCP地址池的描述，确定的是

A、配置基于全局地址池的地址分配方式,可以响应所有端口接收到DHCP请求

B、只有在配置基于全局地址池的地址分配方式，才可以设置不参与自动分配的IP地址范围

C、配置基于接口的地址分配方式只会响应该接口的DHCP请求

D、配置基于接口的地址分配方式,可以响应所有端口接收到DHCP请求

试题答案：A;C

试题解析：基于接口地址池的DHCP服务器，连接这个接口网段的用户都从该接口地址池中获取IP地址等配置信息。由于地址绑定在特定的接口上，可以限制用户的使用条件，因此在保障了安全性的同时也存在一定局限性。当用户从不同接口接入DHCP服务器且需要从同一个地址池了获取IP地址时，就需要配置基于全局地址池的DHCP。因此BD选项错误。只有AC选项正确。

DHCP会面对很多安全威胁的原因：

A、中间人利用了虚假的IP地址与MAC地址之间的映射关系来同时欺骗DHCP的客户端和服务器.

B、DHCP Server无法区分什么样的CHADDR是合法的，什么样的CHADDR是非法的

C、DHCP动态分配IP地址的响应时间长

D、由于DHCP发现报文(DHCP DISCOVER)以广播形式发送

试题答案：A;B;D

试题解析：DHCP会面对很多安全威胁的原因有：DHCP服务欺骗攻击，ARP“中间人”攻击，IP/MAC欺骗攻击和DHCP报文泛洪攻击。因此答案选ABD。

DHCP服务器可以采用不同的地址范围为客户机进行分配，关于分配地址的描述，正确的是

A、可以是DHCP服务器的数据库中与客户端MAC地址静态绑定的IP地址

B、可以是客户端管经使用过的IP地址即客户端发送的DHCP DISCOVER报文中请求IP地址选项(Requested IpAddrOption)的地址

C、在DHCP地址池中，顺序查找可供分配的IP地址，即最先找到的IP地址

D、关于DHCP服务器查询到的超过租期、发生冲突的IP地址如果找到可用的IP地址，则可进行分配

E、可以是客户端经常和别的客户端产生冲突的IP地址

试题答案：A;B;C;D

试题解析：客户端管经常和别的客户端产生冲突的IP地址应当从地址池中排除，选项E错误。

DHCP Snooping是一种DHCP安全特性，可以用于防御多种攻击，其中包括

A、防御改变CHADDR值的烧死攻击 B、防御DHCP1仿冒者攻击

C、防御TCPHag攻击 D、防御中间人攻击和IP/MAC Spoofing攻击

试题答案：A;B;D

试题解析：DHCP Snooping主要是解决网络中应用DHCP时设备遇到DHCP DoS攻击、DHCP Server仿冒者攻击、改变CHADDR值的烧死攻击、ARP中间人攻击及IP/MAC Spoofing攻击的问题。答案为ABD。

DHCP Server即DHCP服务器，负责客户端IP地址的分配，在配置DHCP Server时,需要包括以下哪些步骤

A、全局使能DHCP功能 B、配置DHCP的option82选项

C、采用全局地址池的DHCP服务器模式时，配置全局地址池

D、采用端地址池的DHCP服务器模式时，配置端口地址池

试题答案：A;C;D

试题解析：Option82选项记录了DHCP Client的位置信息。设备通过在DHCP请求报文中添加Option82选项，可将DHCP Client的位置信息发送给DHCP Server，DHCP Option82必须配置在设备的用户侧，不是在DHCP Server上的配置，ACD为需要配置。

DHCP Relay又称为DHCP中继,如果需要配置DHCP Relay,那么需要包括以下哪些步骤?

A、配置DHCP服务器组的组名 B、配置DHCP服务器组中DHCP服务器地址

C、配置启动DHCP Relay功的接口编号及接口的IP地址 D、配置option82插入功能

试题答案：A;B;C

试题解析：Option82选项记录了DHCP Client的位置信息。设备在DHCP请求报文中添加Option82选项，DHCP Relay 代理将请求报文封装成IP单播报文转发给DHCP sever，D选项错误；ABC为正确步奏。

通过查看DHCP配置信息和报文统计信息，可以查看设备运行状态，接收和发送DHCP报文的计数以方使日常维护过程中的问题定位。以下哪些指令可以用于直看DHCP消息。

A、display dhcp statistics B、display dhcp relay staitstics

C、display dhcp server statistics D、display dhcp

试题答案：A;B;C

试题解析：display dhcp statistics命令用来查看DHCP报文统计信息。 display dhcp relay statistics命令用来查看DHCP中继的相关报文统计信息。display dhcp server statistics命令用来查看DHCP Server的统计信息。display dhcp命令不完整。因此ABC选项正确。