华为防火墙usg6000 能做双机热备吗

是这样的，双机热备正常使用的时候，只有一个核心在进行数据交换，而另外一台核心只是在线，而不交换数据。但是VRRP可以相应的配置合理的用两台核心进行负载分担。比如对于一个VRRP备份组你南楼的是主，但是对于你另外一个VRRP备份组，你北楼的

1 HWTACACS仅仅只能对密码部分进行加密而Radius协议除Radius报文头以外，同时对报文主体全部进行加密。( )

True False

2 负载均衡实现了将访问不同IP地址的用户流量分配到同一服务器上的功能。( )

True False

3 以下哪个不是IP-link的探测时发送的报文 ( )

(Select 2 Answers)

A ARP报文

B IGMP报文

C ICMP报文

D Hello报文

4 USGA与USGB配置了静态BFD会话，下列关于BFD会话建立和拆除的过程，说法正确的是( )

(Select 2 Answers)

A USG A和USG B各自启动BFD状态机，初始状态为Down，发送状态为Down的BFD报文，Your Discriminator的值是0。

B USG B本地BFD状态为Init后，如果接下来继续接收到状态为Down的报文，重新进行处理更新自己的本地状态。

C USG B收到状态为Init的BFD报文后，本地状态切换至Up。

D USG A和USG B发生“DOWN => INIT”的状态迁移后，会启动一个超时定时器。如果定时器超时仍未收到状态为Init或Up的BFD报文，则本地状态自动切换回Down。

5USG系列防火墙双机热备不包括以下那些协议：( )

A HRP

BVRRP

C VGMP

D IGMP

6 在配置USG双机热备时，(假设备份组号是1)虚拟地址的配置命令，正确的是哪项( )

A vrrp vrid 1 virtual-ip ip address master

B vrrp virtual-ip ip address vrid 1 master

C vrrp virtual-ip ip address master vrid 1

D vrrp master virtual-ip ip address vrid 1

7 下列关于VRRP和VGMP的协议报文，说法正确的是什么 ( )

(Select 2 Answers)

A VGMP管理组与VRRP备份组之间使用VGMP Hello报文通信

B VGMP管理组之间通过VGMP Hello报文通信

C VGMP管理组之间通过VRRP报文通信

D VGMP管理组与VRRP备份组之间使用VGMP报文通信

8在一个Eth-Trunk接口中，通过在各成员链路上配置不同的权重，可以实现流量负载分担。( )

True False

9 虚拟防火墙技术特点不包括以下哪项( )

A 提供路由多实例、安全多实例、配置多实例、NAT多实例、多实例，应用灵活，可满足多种组网需要。

B 每个虚拟防火墙均可以独立支持TRUST、UNTRUST、DMZ等 4个安全区域，接口灵活划分和分配。

C 从技术上保证了每一个虚系统和一个独立防火墙从实现上是一样的，而且非常安全，各个虚系统之间可以直接实现访问。

D 每个虚系统提供独立的管理员权限。

10 以下不提供加密功能的协议有哪些 ( )

(Select 3 Answers)

A ESP

B AH

C L2TP

D GRE

11 在IPSec 中，以下哪个报文信息不存在( )

A AH报文头

B AH报文尾

C ESP报文头

D ESP报文尾

12 IPSec 做NAT穿越的情况下，必须使用IKE的野蛮模式。( )

True False

13下列关于IPSec和IKE的说法正确的是：( )

(Select 3 Answers)

A IPSec有两种协商方式建立安全联盟，一种是手工方式(manual)，一种是IKE 自动协商(isakmp)方式。

B IKE 野蛮模式可以选择根据协商发起端的IP 地址或者ID，来查找对应的身份验证字并最终完成协商。

C NAT 穿越功能删去了IKE协商过程中对UDP 端口号的验证过程，同时实现了对 隧道中NAT 网关设备的发现功能，即如果发现NAT 网关设备，则将在之后的IPSec 数据传输中使用UDP 封装。

D IKE 的安全机制包括DH Diffie-Hellman 交换及密钥分发，完善的前向安全性(Perfect Forward Secrecy PFS)以及SHA1等加密算法。

14 如果建立IPSec 隧道双方，一方的IP地址不固定，则以下哪些配置方法不能适用在IP地址不固定的网关 ( )

A 策略模板

B 策略

C 野蛮模式下的Name认证

D 野蛮模式下的pre-share key认证

15 网络攻击的分类有流量型攻击、扫描窥探攻击、畸形报文攻击和特殊报文攻击。 ( )

True False

16 IP-MAC地址绑定配置如下：

[USG] firewall mac-binding 2021691681 00e0-fc00-0100

当数据包通过华为防火墙设备时候，不考虑其他的策略情况(如包过滤，攻击防范)，下列数据能通过防火墙的有 ( )

(Select 2 Answers)

A 数据包源IP：2021691681

数据包源MAC：FFFF-FFFF-FFFF

B 数据包源IP：2021691682

数据包源MAC：00e0-fc00-0100

C 数据包源IP：202111

数据包源MAC：00e0-fc11-1111

D 数据包源IP：2021691681

数据包源MAC：00e0-fc00-0100

17 CC攻击是哪种攻击方式( )

A 拒绝服务型攻击

B 扫描窥探攻击

C 畸形报文攻击

D 基于系统漏洞的攻击

18 DHCP Snooping功能需要维护绑定表，其绑定表的内容包括哪些( )

A MAC

B Vlan

C 接口

D DHCP Server的IP

19 在DDos攻击防范中，如果通过服务学习功能，发现正常流量中根本没有某种服务或某种服务流量很小，则可以在Anti-DDos设备上分别采用阻断或限流方法来防御攻击。 ( )

True False

20 >采用多核架构,扩展插槽2个
防火墙吞吐量4Gbps,最大并发连接数400万,每秒新建连接数6万
固定千兆电口8个和千兆光口4个,最大可扩展接口数28个千兆接口+4个万兆接口,支持并配置USB接口2个
支持交流双电源；默认SSL 并发数100；IPSec 隧道4000个；虚拟防火墙数量100
支持硬件电口Bypass卡,支持300G硬盘扩展
可识别应用层协议数量≥5000种,基于特征检测，支持超过3000特征的攻击检测和防御
支持BFD链路检测，支持BFD与VRRP联动实现双机快速切换，支持BFD与OSPF联动实现双机快速切换
支持IPv6协议栈、IPV6穿越技术、IPV6路由协议
至于跟其它的对比，其它型号太多，不好比较

IGMP。根据查询usg6000防火墙相关信息得知，实现usg6000防火墙的双机热备功能不需要IGMP协议。双机热备是应用于服务器的一种解决方案，其构造思想是主机和从机通过TCP/IP网络连接，正常情况下主机处于工作状态，从机处于监视状态，一旦从机发现主机异常，从机将会在很短的时间之内代替主机，完全实现主机的功能。

ar系列不建议双线负载均衡，但是热备可以简单实现，添加静态路由就行。
负载均衡就比较讨厌了，ar系列记得并不支持的很好，只能通过策略路由来实现简单的分流。
做acl匹配，之后traffic就行，可以做到192168240走1，192168250 走2，或者固定ip地址走1其他走2，或者基于端口或者协议都行
usg系列支持isp的选路，可以考虑usg系列的

---