书后习题答案网络设备调试与优化.doc

第一章 VLAN技术附录一、复习答案1. 在网络中使用VLAN技术可以带来哪些好处？答：通过在网络中使用 VLAN 技术，可以减小广播域范围，从而减少广播流量，并且还能提供一定的故障隔离。2. VLAN ID 的编号范围是多少？答：VLAN ID 表示的范围是04095，但是用户在设备上可以配置的VLAN 范围是14094。3. 当要跨交换机实现VLAN内的通信时，应如何实现？答：跨交换机实现同 VLAN 之间的通信时，交换机之间的级联接口应设置为Trunk。4. 在穿过Trunk和Access接口时，VLAN中的数据帧是如何被处理的？答：在穿过Trunk 前，除Native VLAN 外的所有的VLAN 数据帧都需要打上802.1q 标签，穿过Trunk 时标签保留。在穿过Access 接口发出数据前，VLAN 数据中的802.1q 标签会被剥除。5. 实现VLAN间通信有哪些方式？答：实现 VLAN 间通信有三种方式：路由接口、SVI 接口和单臂路由。6. 通过SVI如何实现VLAN间通信？答：通过 SVI 方式实现VLAN 间路由，需要在三层交换机上为VLAN 的SVI 接口配置IP 地址，并且此地址作为本VLAN 中主机的默认网关，主机在发送数据到其他网段时，将数据发送给网关即三层交换机，再利用三层交换机的路由功能实现路由。7. 通过单臂路由方式如何实现VLAN间通信？答：需要在路由器接口上创建以太网子接口，并将子接口封装 802.1q 划分到各VLAN中，最后为子接口配置IP 地址作为本VLAN 主机的默认网关。8. 相比单臂路由方式，通过SVI方式实现VLAN间通信有哪些优点？答：通过三层交换机的 SVI 方式实现VLAN 间路由，由于使用SVI 逻辑端口所以不受物理端口密度的限制，并且不会造成网络瓶颈，实施起来更加灵活方便。9. Private VLAN中的属于同一VLAN的隔离端口是否可以通信？答：不能。10. Super VLAN的不同Sub VLAN的端口是否可以实现二层通信？答：不能第二章生成树协议 附录一、复习答案1、相对于STP，RSTP中增加了哪些端口角色？答：RSTP中增加了替代端口（Alternate Port）和备份端口（Backup Port）这两种端口角色。2、RSTP中的替代端口（Alternate Port）作为什么端口的备份端口？答：替换端口是根端口的备份端口。3、RSTP中的备份端口（Backup Port）是作为什么端口的备份端口？答：备份端口是指定端口的备份端口。4、在RSTP中，点对点类型的链路和共享式的链路的收敛有什么区别？答：在点对点的的链路类型中，双方交换机端口只需要经过一次协商便可进入转发状态。在共享式链路中，则只能经过监听状态和学习状态才能进入转发状态。5、在RSTP中，当拓扑发生变化时，交换机是如何传递拓扑变更到整个网络的？答：在RSTP中，发现拓扑变化的交换机直接向网络中泛洪TC BPDU报文。6、如何将一个端口配置为RSTP边缘端口？答：使用接口命令spanning-tree portfast。7、运行STP和RSTP的网络会存在什么样的问题？答：STP 和RSTP 均没在网络中考虑VLAN 的环境，因此在网络中进行生成树运算并阻断链路时，可能会导致某些VLAN 的通信受阻，并且会导致冗余链路空闲，造成带宽资源浪费。8、相比较STP与RSTP，MSTP最主要的区别是什么？答：MSTP 可以在网络中运行多个生成树。9、在运行MSTP的交换机中，默认情况下VLAN属于哪个实例？答：属于实力 0（instance 0）。10、运行MSTP的网络中，具有哪些相同特性或配置的交换机会被视为在同一个区域中？答：配置相同的区域配置名称、修正号以及 VLAN 与生成树实例的映射关系。11、在运行MSTP的网络中，如何实现负载分担？答：当网络中有多个 VLAN 时，将不同的VLAN 划分到不同的instance 中，这样每个instance 会自己计算独立的生成树，再将不同instance 中的根交换机通过优先级的配置设置为不同的交换机，从而使不同的VLAN 可以通过不同的链路发送数据，实现数据的负载分担。第三章虚拟路由器冗余协议（VRRP） 附录一、复习答案1、VRRP运行过程中会经历哪三种状态？答：Initialize、Master 和Backup。2、VRRP报文的组播地址是多少？协议号是多少？答：组播地址为 224.0.0.18，IP 协议号为112。3、VRRP是如何进行选举的？答：运行 VRRP 的路由器通过发送和接收VRRP 通告报文来比较优先级，优先级大的将成为主路由器，其它路由器都为备份路由器。4、VRRP使用几个定时器？各定时器的作用是什么？答：VRRP 使用两个时间定时器，通告间隔定时器和主路由器失效间隔定时器。通告间隔定时器用于定义路由器发送VRRP 通告报文的间隔，主路由器失效定时器用于定义备份路由器在认为主路由器失效前所等待的时间。5、什么是IP地址拥有者？答：虚拟 IP 地址与接口IP 地址相同的VRRP 路由器被称为IP 地址拥有者。6、VRRP使用什么方法实现流量的负载均衡？答：通过将路由器加入到多个VRRP 组中，并且使路由器在不同的组中承担不同的角色来实现负载均衡。7、VRRP接口跟踪的作用是什么？答：接口跟踪能够使 VRRP 根据路由器其它接口的状态自动调整该路由器VRRP 优先级。接口跟踪能确保当主路由器的重要接口不可用时，该路由器不再是主路由器，从而使备份路由器有机会成为新的主路由器。8、判断正误：我们可配置的VRRP优先级的范围为0255。答：错误。9、判断正误：VRRP虚拟IP地址要与接口地址处于同一个子网中。答：正确。10 使用抢占模式的优点是什么？答：抢占模式可以使主链路恢复故障后，数据仍然通过主链路传输。 第四章路由信息协议（RIP） 附录一、复习答案1RIPv2 消息格式中包含了哪3 个新的字段？路由标记、子网掩码、下一跳2除了上述问题1 中的3 个字段定义的扩展特性外，RIPv2 相比RIPv1 还有哪两个主要的改变？支持手工汇总、支持路由认证3在RIPv2 中有几种汇总方式？其配置命令是什么？自动汇总、手动汇总Router(config-if)#ip summary-addrss rip summary-address netmask4当RIPv1 和RIPv2 在一个网络中，那么需要配置其兼容性开关，其配置命令是什么？对于这个开关，4 个设置是：RIP-1、RIP-2、Both、Noneip rip send | receive version 1 | 2第五章开放式最短路径优先协议（OSPF） 附录一、复习答案题号 1 2 3 4 5 6 7 8答案 A B B A B AC BC ABCD第六章路由重分发与路由控制 附录一、 复习答案1什么是重分发？路由重分发是指连接到不同路由选择域的边界路由器，在不同路由选择域（自主系统）之间交换和通告路由选择信息的能力。2各种路由协议的默认种子度量值是？将路由重分发到该协议中默认种子度量值RIP 无穷大OSPF BGP 路由为1，其他路由为20IS-IS 0BGP BGP 度量值被设置为IGP 度量值3路由重分发的原则是什么？1度量如果向 OSFP 重分发RIP 路由，RIP 的度量是跳数，而OSPF 使用的是代价。在这种情况下，接收重分发路由的协议必须能够将自己的度量与这些路由联系起来。2管理距离度量差异性产生了另一个问题，如果路由器正在运行多个路由选择协议，并从每个协议都学习到一条到达相同目标网络的路由，那么应该选择哪一条路由呢？因为每一个路由选择协议都使用自己的度量方案定义最优路径，比较不同的度量值，例如代价和跳数。3从无类别路由协议向有类别路由协议重分发有类路由选择协议不能通告携带子网掩码的路由，路由器所接收到的每一条路由，无外有下面两种情况之一： 路由器有一个或多个接口连接到主网上； 路由器没有接口连接到主网络上。4配置到RIP协议中的重分发时，参数metric-value是什么？路由的度量值(16)。没有配置将使用default-metric 命令设置的metric 值。5什么命令将导致RIP生成一条默认路由？default-information originate第七章网络安全控制 附录一、复习题答案1、通常发动ARP欺骗攻击的攻击者通过伪造什么报文来达到欺骗的目的？答：ARP 应答报文。2、判断正误：如果要成功地启用ARP检查功能来防止ARP欺骗攻击，需要首先启用端口安全特性。答：正确。3、在配置ARP检查时，需要配置什么类型的安全地址？答：IP 地址类型的安全地址。4、通常攻击者如何发动基于DHCP的攻击？答：通过在网络中假设非法的 DHCP 服务器。5、DHCP监听将端口分为哪些状态？不同状态的端口的操作各是什么？答：Trust 状态和Untrust 状态。对于信任端口，DHCP 监听特性将允许任何DHCP 报文通过；对于非信任端口，DHCP 监听特性将只允许DHCP Discover 与DHCP Request 通过，另外一些由DHCP 服务器发送的报文，例如DHCP Offer 报文将被丢弃。6、DHCP监听数据库中都包括什么信息？答：客户端的 IP 地址、MAC 地址、连接的端口、VLAN 号、地址租用期限等信息。7、DAI是一种基于什么特性的安全功能？作用是什么？答：基于 DHCP Snooping。用于防止ARP 欺骗攻击。8、ARP检查与DAI的区别是什么？答：ARP 检查用于静态的寻址环境，DAI 用于动态（DHCP）的寻址环境。9、DAI中存在哪些端口状态？不同状态的端口的操作各是什么？答：Trust 状态和Untrust 状态。对于信任端口，DAI 将不检查收到的ARP 报文；对于非信任端口，DAI 检查收到的所有ARP 报文（ARP 请求与ARP 响应），并根据DHCP 监听表项检查ARP 报文的合法性。10、启用DAI特性需要做什么配置？答：首先要启用 DHCP Snooping 特性，然后全局性的启用DAI 后，还需要在特定的VLAN启用DAI。11、请简单描述标准IP ACL与扩展IP ACL的区别。答：标准 IP ACL 只能对数据包的源地址进行检查。扩展IP ACL 能够对数据包的协议、源地址、目的地址、源端口和目的端口进行检查。12、判断正误：基于MAC的ACL可以对L2、L3 和L4 的信息进行检测。答：错误。13、在基于时间的ACL中，我们可以使用哪些类型的时间段？答：绝对时间段、周期时间段和混合时间段。14、请简单描述在部署标准ACL和扩展ACL时的原则。答：在应用标准IP ACL 时，通常将其放置到尽可能靠近目标的位置；应用扩展IP ACL 时，通常将其放置到尽可能靠近源端的位置。第八章 AAA和802.1x 附录一、复习题答案1. AAA模型包含哪三个模块？答：认证、授权、计费。2. AAA模型在提供网络访问控制上具有哪些优点？答：灵活性、可控性、可扩展性、可靠性、标准化协议。3. 当在验证列表中配置了多个验证方法，当第一种验证方法返回拒绝信息，NAS设备是否会尝试下一种方法？答：不会。4. 默认情况下，RADIUS服务器标准的认证和计费端口号是什么？答：UDP 1812 和UDP 1813。5. RADIUS模型由哪几部分组成？答：认证客户端、NAS、认证服务器。6. RADIUS采用哪种传输层协议来传输信息？答：UDP。7. 什么命令可以修改路由器或交换机发送RADIUS报文使用的源地址？答：ip radius source-interface 命令。8. 802.1x是一种基于什么的访问控制机制？答：基于端口的访问控制机制。9. 802.1x体系结构中都包括哪些组件？答：恳求者系统（Supplicant System）、认证系统（Authenticator System）和认证服务器系统（Authentication Server System）。10. 802.1x在各个结构组件之间使用什么协议进行交互？答：恳求者与认证系统之间使用 EAPoL 帧，认证系统与认证服务器系统之间使用RADIUS协议通信。11. 请简单描述EAP中继模式与EAP终结模式的区别。答：EAP 中继模式是IEEE 802.1x 标准中定义的认证模式，交换机将EAP 协议报文封装到RADIUS 报文中通过网络发送到RADIUS 服务器。对于这种模式，需要RADIUS 服务器支持EAP 属性。EAP 终结模式中，交换机将EAP 信息终结，交换机与RADIUS 服务器之间无需交互EAP 信息，RADIUS 服务器无需支持EAP 属性。第九章网络出口设计 附录一、复习题答案1. NAT技术主要用于解决什么问题？它提供了一种在多个未节网络中使用相同的似私有 IP 地址空间，从而减少所需公有IP地址数量的解决方案。NAT 让网络管理员能够在组织内部使用私有IP 地址空间，同时使用全球惟一的公有地址通过连接到Internet 进行通信。对于不同的内部用户组，可以使用不同的公有地址池，这使用得管理互联性更为容易。对于大多数需要连接到Internet 的公司来说，都必须实现NAT，ISP 为成百上千的用户提供Internet 接入服务，但通常只被分配极少数量的IP 地址，因此ISP 使用NAT 将数百个内部地址映射到分配给公司的几个公网地址。NAT技术让使用非公共IP 地址的私有IP 网络能够连接到公共网络2. 在NAT中将地址分为哪些类型？术语 定义内部本地 IP 地址分配给内部网络中的主机的 IP 地址，通常这种地址来自RFC 1918 指定的私有地址空间。内部全局 IP 地址内部全局 IP 地址，对外代表一个或多个内部本地IP 地址，通常这种地址来自全局惟一的地址空间，通常是ISP 提供的。外部全局 IP 地址外部网络中的主机的 IP 地址，通常来自全局可路由的地址空间。外部本地 IP 地址在内部网络中看到的外部主机的 IP 地址，通常来自RFC 1918 定义的私有地址空间。3. 如果某网络只能申请到少量公网IP，为了让内部大量主机能够访问公网，应使用哪种NAT技术？超载（Overloading）NAT：4. 当内部网络存在需要对外提供服务的主机时，为了使外部网络能够访问到该主机，应使用哪种NAT技术？静态 NAT5. NAT技术是否能支持UDP连接的负载分担？不支持6. 判断正误：内部主机能看到的外部主机的地址是属于哪类地址？外部本地 IP 地址7. 策略路由可以根据报文的哪些信息对报文进行路由？源地址、目的地址、协议类型、报文长度等元素第十章远程接入技术 附录一、复习题答案1、广域网和局域网本质的区别是什么？广域网：覆盖范围广，可达数千甚至数万千米，数据传输速率较低，通常为几千位每秒至几兆位每秒，使用多种传输介质，例如有线网络有光纤、双绞线、同轴电缆等，无线网络有微波、卫星、红外线、激光等，数据传输延时大，如卫星通信的延时可达几秒，数据传输质量不高，如误码率提高，广域网管理、维护困难。局域网：覆盖范围有限，有较高的通信带宽，数据传输率高，数据传输可靠，误码率低，通常采用同轴电缆或双绞线作为传输介质，拓扑结构简单简洁，网络的控制一般为分布式，网络同常规单一组织所拥有和使用。2、广域网链路分为电路交换和分组交换，什么是电路交换？什么是分组交换？电路交换是广域网所使用的一种交换方式。可以通过运营商网络为每一次会话过程建立，维持和终止一条专用的物理电路。电路交换也可以提供数据报和数据流两种传送方式。电路交换的实例：公共交换电话网（PSTN）、ISDN 基本速接口、（BRI ISDN）ISDN 基群速率接口（PRI ISDN）分组是指包含用户数据和协议头（包括地址和管理信息）的块，每个分组通过网络交换机或路由器被传送到正确目的地。一个信息可能被细分为多个分组，每个分组独立进行传输，并能遵循不同的路由到达最终的目的地。分组交换包含两种基本途径：虚拟电路分组交换：在两个终端节点会话期间，为传送所有分组信息，需在中间节点间建立路由，即我们所知的初始安装阶段。在每个中间节点中，需要在表中注册一个实体，表示连接中需要的路由已经建立。数据报交换：该途径采用一种不同的、更动态的模式决定网络链路中的路由。将每个分组看作一个实体，每个分组头部包含关于分组目的地的全部信息。中间节点通过检查分组头部，决定能发送分组到达目的地的节点。3、综合业务数字网（Integrated Services Digital Network，ISDN）是一个数字电话网络国际标准，是一种典型的电路交换网络系统。请阐述ISDN的特性及工作原理。综合业务数字网：即 ISDN（Integrated Service Digital Network），也是一种拨号连接方式。低速接口为128kbps（高速可达2M），它使用ISDN 线路或通过电信局在普通电话线上加装ISDN 业务。ISDN 将本地环路转化为TDM 数字连接，该连接有用来传输语音或数据的64kbit/s 承载信道和一条用来进行呼叫建立和其他用途的信令信道，承载信道和信令信道也就是B 信道和D 信道。ISDN 支持两种接口：基本速率接口和主要速率接口。基本速率接口(BRI)的数据传输速率为144Kbps。BRI 接口由三个信道构成：两个64Kbps 的B 信道用于传输数据、语音和图形，一个16Kbps 的D 信道用于传输通信信令、包交换和信用卡验证。在ISDN 中，D 信道的主要功能是建立呼叫和撤消呼叫，开始和终止一次通信会话。BRI 主要用于LAN 到LAN 的连接、视频会议、到ISP 的Internet 连接和对远程计算机和家庭办公室的高速连接。因为许多传统的LAN 具有的数据速率为116Mbps，ISD 不太适合于某些网络应用，例如大文件传输和图形应用，除非将信道捆绑到一起。例如，一个BRI 线路的两个64Kbps 的信道可以形成一个128Kbps 的连接，再加上D 信道便可以得到144Kbps 的传输速率。另外一个例子是将三个BRI 线路的6 个 64Kpbs 信道捆绑到一起形成一个384Kbps 的传输信道，BRI ISDN 一般用于家庭和小型企业。4、PPP的主要特征是什么？PPP（Point-to-Point Protocol 点到点协议）是为在同等单元之间传输数据包这样的简单链路设计的链路层协议。PPP 提供了一种在点对点的链路上封装多协议数据报（ IP 、IPX 和AppleTalk）的标准方法。它具有以下特性：能够控制数据链路的建立；能够对IP 地址进行分配和使用；允许同时采用多种网络层协议；能够配置和测试数据链路；能够进行错误检测；支持身份验证；有协商选项，能够对网络层的地址和数据压缩等进行协商。5、简述PPP认证的过程？当对端收到该配置请求报文后，如果支持配置参数选项中的认证方式，则回应一个确认报文；否则回应一个Config-Nak（配置否认）报文，并附带上自希望双方采用的认证方式。当对方接收到Config-Ack （配置确认）报文后就可以开始进行认证了， 而如果收到得是Config-Nak（配置否认）报文，则根据自身是否支持Config-Nak 报文中的认证方式来回应对方，如果支持则回应一个新的Config-Request（配置请求）（并携带上Config-Nak 报文中所希望使用的认证协议），否则将回应一个Config-Reject 报文，那么双方就无法通过认证，从而不可能建立起PPP 链路。身份验证时需要检索本地数据库或安全服务器，以检查用户所提供的用户名和密码是否匹配CHAP 或PAP 验证方式中指定的信息。如果是 PAP 验证方式，在PPP 链路建立后，被验证方重复向验证方发送用户名和密码，直到验证通过或链路终止。如果是 CHAP 验证方式，在PPP 链路建立后，验证方发送一个挑战消息到被验证方。远程节点使用一个数值来回应挑战。这个数值是由单向哈希函数（MD5）基于密码和挑战消息计算得出的。Client 路由器向Server 路由器发起连接呼叫，LCP 协商选项中使用CHAP 和MD5。Server 路由器向Client 路由器发送挑战报文。报文包含：挑战分组类型标识符（01）、标识该挑战分组的序列号（ID）、随机数、挑战方的认证名，该挑战分组的ID 和随机数由Server路由器保存保存。挑战报文发送到client 路由器，Server 路由器会维护一个已发出的挑战消息的列表.Client 路由器收到挑战报文后，将序列号放入MD5 哈希生成器，将随机数放入MD5哈希生成器，查找本地数据库，找到与Server 匹配的密码条目，将口令放入MD5 哈希生成器。这个结果就是一个单向MD5 哈希数值，这个值将会被放到CHAP 回应中，发回挑战验证方。发回验证方的回应报文包含：CHAP 回应分级类型标识符（02）、序列号（ID），直接从挑战报文复制过来、MD5 哈希生成器的输出结果（hash）、本设备的认证名，这是为挑战方的需要，挑战方用这个认证名查找核对验证时所需的用户名和密码。当 server 路由器收到回应报文后，用序列号找出原始的挑战分组，把序列号放入MD5哈希生成器，把原始挑战报文中的随机数放入MD5 哈希生成器，使用client 路由器的认证名从本地数据库或远程认证接入用户服务（RADIUS）服务器查找口令，将口令放入MD5哈希生成器，将回应报文中收到的哈希值与自己所计算出来的哈希值相比较，如果自己计算出的结果与所收到的MD5 哈希值是一致的，那么CHAP 验证就成功了。验证成功后，发送一个 CHAP 验证成功报文，其报文包含：CHAP 验证成功消息类型标识符（03）、序列号（ID）直接从回应分组中复制过来、某种简单文本消息（welcome in）。6、比较PAP、CHAP的优缺点？密码验证协议（PAP，Password Authentication Protocol）通过两握手机制，为建立远程节点的验证提供了一个简单的方法。PAP 不是一种健壮的身份验证协议。身份验证时在链路上以明文发送，而且由于验证重试的频率和次数由远程节点来控制，因此不能防止回放攻击和重复的尝试攻击。挑战握后验证协议（CHAP，Challenge Hand Authentication Protocol）使用三次握手机制来启动一条链路和周期性的验证远程节点。其具有较高的安全性，但其点用链路的带宽。7、请阐述帧中继工作理原理及其配置？为了任何两帧中继站点之间的通信，ISP 必须在这个帧中继网络中为这两个站点建立一条虚拟电路，所以帧中继网络中两台DTE 设备之间的连接为逻辑连接或虚电路（VC），通过向网络发送信令消息动态地建立虚电路。并使用DLCI 将两端帧中继交换机关联起来。当帧中继为多个逻辑数据会话提供多路复用时，ISP 的交换设备首先要建立一个表，该表用来将不同的DLCI 值映射到出站端口，其次，当接收到一个数据帧时，交换设备分析其连接标识符并将该数据帧发送到相应的端口。最后，在第一个数据帧发送之前，将建立一条通往目的地的完全路径。第一步：配置封装协议，在接口模式下，使用如下命令完成配置：Ruijie(config-if)# encapsulation frame-relay ietf第二步：配置动态或静态映射，静态地址映射反映远端设备的IP 地址和本地DLCI 的对应关系，地址映射可以手工配置，可以使用下面命令完成配置：Ruijie(config-if)# frame-relay map ip ip-address dlci broadcast|ietf|cisco第三步：配置本地管理接口，Ruijie(config-if)# frame-relay lmi-type type第十一章虚拟专用网（VPN） 附录一、选择题答案题号 1 2 3 4 5 6 7 8 9 10答案B B C B D D D B C D