2015年度AC高级认证培训检测题目参考答案（汇总）.doc

《SANGFOR_AC&SG_v6.0_2015年度渠道高级认证培训01_安装部署.ppt》 问题及参考答案： 1. 请描述双机部署和多机部署的不同点。 答： （1）一般默认情况下，两台设备路由部署时考虑用双机，网桥部署时考虑用多机。 （2）双机部署的两台设备，软件版本和硬件型号要一致。多机部署的设备，要求软件版本一致，硬件平台无要求。 （3）双机部署的两台设备配置自动实时同步，完全一样。多机配置无法实时同步，需要人为点击同步按钮 （4）只能2台设备部署为双机，2台以上不支持部署双机。两台或两台以上的设备可以部署多机 （5）双机部署的两台设备，只有一台在工作，另一台在监听。多机部署的设备同时工作，没有主备之分 （6）双机通过console口维护心跳及同步配置。当console出现故障时，可以通过网口维护主备关系。多机部署的设备通过网口同步配置。 2. AC网桥模式部署在trunk环境，应该怎样配置？ 答：按网桥模式配置，其中桥地址任意配置一个不属于任何vlan的ip地址，设备启用vlan配置，添加穿透设备的每个vlan id和此vlan中空闲的IP地址，设备网关配置任意vlan的网关，设备DNS配置可用的DNS，完成上述配置即可。 3. 内网有代理服务器时，AC应该部署在代理服务器哪个方向？ 答：应该部署PC到代理服务器之间，即代理服务器内网口方向。 《SANGFOR_AC&SG_v6.0_2015年度渠道高级认证培训02_短信认证.ppt》 问题及参考答案： 1. 短信认证在什么场景下使用？可以给客户带来价值？ 答：一般用于银行、电信营业厅、商场、机场等公从场所或企事业单位外来人员，这些上网需要实名制认证，希望上网行为日志能追踪到具体用户。同时客户手机号对银行营业厅和商场也是重要营销资源，可以通过生信认证获取手机号为后续产品推广提供支撑。 2. 两台设备多机部署，只有一个短信猫，如何实现两台设备都可以做短信认证？ 答：可以将短信猫接在一台PC上，设备使用外置短信猫发送短信。 《SANGFOR_AC&SG_v6.0_2015年度渠道高级认证培训03_微信认证.ppt》 1. 哪一种微信认证方案，任何场景都可以使用？ 答：扫一扫（一键关注）方案 《SANGFOR_AC&SG_v6.0_2015年度渠道高级认证培训04_单点登录.ppt》 1. AC/SG设备支持哪些单点登录方式？ 答：LDAP单点登录 POP3单点登录 PROXY单点登录 WEB单点登录 第三方设备单点登录（H3C IMC，城市热点，锐捷Sam系统，H3C cams系统）数据库单点登录 PPPoE单点登录 深信服设备之间单点登录 2. 哪些单点登录方式可以实现认证及注销，即用户从系统上线或下线时，都能从AC上认证或注销？ 答：AD域组件单点登录 H3C IMC 城市热点 数据库单点登录 《SANGFOR_AC&SG_v6.0_2015年度渠道高级认证培训05_AD域单点登录.ppt》 1. 配置域脚本单点登录的时候，如果PC不能与AC通信，是否能单点登录成功？为什么？ 答：不能成功，PC登录域时需要运行脚本，并将运行结果（PC域用户名和IP）发给AC实现认证，如果PC不能和AC通信，则无法单点登录成功。 2. 请说出脚本，免插件，IWA三种单点登录的适用场景 答：脚本方式适用客户允许修改域组策略，或实现同时实现用户登录域时从AC认证，用户从域中注销时，也能同时从AC注销，也是单点登录首推方案。 免插件和IWA：这两个一般结合起来一起使用，当用户担心域的安全性，不愿意修改域任何配置时，推荐使用这两种方案。 《SANGFOR_AC&SG_v6.0_2015年度渠道高级认证培训06_上网策略.ppt》 1. 设备本身不能上网，SSL内容识别和邮件延迟审计是否生效？为什么？ 答：都不生效。因为ｓｓｌ内容识别和邮件延迟审计是通过设备程序代理实现的，如果设备本身无法上网，则设备程序代理将不生效，最终导致ｓｓｌ内容识别和邮件延迟审计不生效。 2. 启用SSL内容识别会弹出证书不安全告警框，请问怎样消除此告警框？ 答：从上网权限策略，ｓｓｌ内容识别配置页面将根证书下载下安装到电脑即可消除证书告警框，如果PC很多，且有域环境，还可以通过域统一推送下发安装。 3. 请简述https论坛发贴关键字过滤配置步骤 答:主要是以下三步 （1） 确保设备本身可以上网 （2） 建立上网权限策略，启用ssl内容识别，将需要识别的域名填入域名识别列表，识别结果配置为识别并过滤，最后将此上网策略关联给用户或组 （3） 定义需要过滤的关键字，并新建上网权限策略，配置web关键字过滤，最终关联给用户或组 《SANGFOR_AC&SG_v6.0_2015年度渠道高级认证培训07_数据中心.ppt》 1. 内置搜索系统，可以搜索哪些类型的日志？ 答：可以搜索 访问网页内容，邮件内容，搜索关键字，webmail/bbs/微薄内容，聊天内容搜索 2. 激活了数据中心Key功能，如果使用没有启用key的管理员帐号登录数据中心是有日志查询权限？ 答：没有查询权限，只要激活了数据中心Key，只有插入key才有权限，其它帐号（无论是否配置了key）不插入key均无日志查询权限 《SANGFOR_AC&SG_v6.0_2015年度渠道高级认证培训08_流量管理.ppt》 1.某客户新建的通道策略如下图，3楼领导的用户看P2P类的在线视频最多可以达到多大的速度？ 答：最多可以达到15Mb/s。会精确匹配到“3楼领导”的那条子通道。 《SANGFOR_AC&SG_v6.0_2015年度渠道高级认证培训09_无线管理.ppt》 1. AC合入无线功能后，手机接入无线使用微信认证，如何实现？ 答：创建开放式无线网络，无线网络认证方式选择不需要认证，AC认证策略配置微信认证。 《SANGFOR_AC&SG_v6.0_2015年度渠道高级认证培训10_安全防护.ppt》 1. 网关杀毒可以针对哪些协议杀毒？ 答：http下载，ftp下载，pop3/imap收邮件及smtp发邮件这几种协议杀毒 2. 启用了防DOS攻击，但PC的IP不在防DOS内网网段列表中，请问PC是否可以访问AC内置数据中心？ 答：不可以登录内置数据中心。开启防dos攻击后，如果本机所在的网段不在防dos内网网段列表中，则本机到设备443，51111和22345三个端口是默认放行的，到设备其它端口或经过设备的数据流会全部被拦截。 《SANGFOR_AC&SG_v6.0_2015年度渠道高级认证培训11_系统管理.ppt》 1. 静态路由，策略路由和多线路选路优先级关系是怎样的？ 答：静态路由最优先，其实是策略路由，最后是多线路选路 2. 如果设备外网线路无法解析域名，策略路由是否生效？为什么？ 答：不会生效。因为有多线路时，策略路由程序会根据当前线路配置的dns是否可以解析域名判断线路是否正常，如果不能解析则程序会认为当前线路故障，导致策略路由不生效。