书后习题答案网络设备调试与优化

第一章VLAN技术附录一、复习答案1.在网络中使用VLAN技术可以带来哪些好处？答：通过在网络中使用VLAN技术，可以减小广播域范围，从而减少广播流量，并且还能提供一定的故障隔离。2.VLANID的编号范围是多少？答：VLANID表示的范围是0~4095，但是用户在设备上可以配置的VLAN范围是1~4094。3.当要跨交换机实现VLAN内的通信时，应如何实现？答：跨交换机实现同VLAN之间的通信时，交换机之间的级联接口应设置为Trunk。4.在穿过Trunk和Access接口时，VLAN中的数据帧是如何被处理的？答：在穿过Trunk前，除NativeVLAN外的所有的VLAN数据帧都需要打上802.1q标签，穿过Trunk时标签保留。在穿过Access接口发出数据前，VLAN数据中的802.1q标签会被剥除。5.实现VLAN间通信有哪些方式？答：实现VLAN间通信有三种方式：路由接口、SVI接口和单臂路由。6.通过SVI如何实现VLAN间通信？答：通过SVI方式实现VLAN间路由，需要在三层交换机上为VLAN的SVI接口配置IP地址，并且此地址作为本VLAN中主机的默认网关，主机在发送数据到其他网段时，将数据发送给网关即三层交换机，再利用三层交换机的路由功能实现路由。7.通过单臂路由方式如何实现VLAN间通信？答：需要在路由器接口上创建以太网子接口，并将子接口封装802.1q划分到各VLAN中，最后为子接口配置IP地址作为本VLAN主机的默认网关。8.相比单臂路由方式，通过SVI方式实现VLAN间通信有哪些优点？答：通过三层交换机的SVI方式实现VLAN间路由，由于使用SVI逻辑端口所以不受物理端口密度的限制，并且不会造成网络瓶颈，实施起来更加灵活方便。9.PrivateVLAN中的属于同一VLAN的隔离端口是否可以通信？答：不能。10.SuperVLAN的不同SubVLAN的端口是否可以实现二层通信？答：不能第二章生成树协议附录一、复习答案1、相对于STP，RSTP中增加了哪些端口角色？答：RSTP中增加了替代端口（AlternatePort）和备份端口（BackupPort）这两种端口角色。2、RSTP中的替代端口（AlternatePort）作为什么端口的备份端口？答：替换端口是根端口的备份端口。3、RSTP中的备份端口（BackupPort）是作为什么端口的备份端口？答：备份端口是指定端口的备份端口。4、在RSTP中，点对点类型的链路和共享式的链路的收敛有什么区别？答：在点对点的的链路类型中，双方交换机端口只需要经过一次协商便可进入转发状态。在共享式链路中，则只能经过监听状态和学习状态才能进入转发状态。5、在RSTP中，当拓扑发生变化时，交换机是如何传递拓扑变更到整个网络的？答：在RSTP中，发现拓扑变化的交换机直接向网络中泛洪TCBPDU报文。6、如何将一个端口配置为RSTP边缘端口？答：使用接口命令spanning-treeportfast。7、运行STP和RSTP的网络会存在什么样的问题？答：STP和RSTP均没在网络中考虑VLAN的环境，因此在网络中进行生成树运算并阻断链路时，可能会导致某些VLAN的通信受阻，并且会导致冗余链路空闲，造成带宽资源浪费。8、相比较STP与RSTP，MSTP最主要的区别是什么？答：MSTP可以在网络中运行多个生成树。9、在运行MSTP的交换机中，默认情况下VLAN属于哪个实例？答：属于实力0（instance0）。10、运行MSTP的网络中，具有哪些相同特性或配置的交换机会被视为在同一个区域中？答：配置相同的区域配置名称、修正号以及VLAN与生成树实例的映射关系。11、在运行MSTP的网络中，如何实现负载分担？答：当网络中有多个VLAN时，将不同的VLAN划分到不同的instance中，这样每个instance会自己计算独立的生成树，再将不同instance中的根交换机通过优先级的配置设置为不同的交换机，从而使不同的VLAN可以通过不同的链路发送数据，实现数据的负载分担。第三章虚拟路由器冗余协议（VRRP）附录一、复习答案1、VRRP运行过程中会经历哪三种状态？答：Initialize、Master和Backup。2、VRRP报文的组播地址是多少？协议号是多少？答：组播地址为224.0.0.18，IP协议号为112。3、VRRP是如何进行选举的？答：运行VRRP的路由器通过发送和接收VRRP通告报文来比较优先级，优先级大的将成为主路由器，其它路由器都为备份路由器。4、VRRP使用几个定时器？各定时器的作用是什么？答：VRRP使用两个时间定时器，通告间隔定时器和主路由器失效间隔定时器。通告间隔定时器用于定义路由器发送VRRP通告报文的间隔，主路由器失效定时器用于定义备份路由器在认为主路由器失效前所等待的时间。5、什么是IP地址拥有者？答：虚拟IP地址与接口IP地址相同的VRRP路由器被称为IP地址拥有者。6、VRRP使用什么方法实现流量的负载均衡？答：通过将路由器加入到多个VRRP组中，并且使路由器在不同的组中承担不同的角色来实现负载均衡。7、VRRP接口跟踪的作用是什么？答：接口跟踪能够使VRRP根据路由器其它接口的状态自动调整该路由器VRRP优先级。接口跟踪能确保当主路由器的重要接口不可用时，该路由器不再是主路由器，从而使备份路由器有机会成为新的主路由器。8、判断正误：我们可配置的VRRP优先级的范围为0~255。答：错误。9、判断正误：VRRP虚拟IP地址要与接口地址处于同一个子网中。答：正确。10使用抢占模式的优点是什么？答：抢占模式可以使主链路恢复故障后，数据仍然通过主链路传输。第四章路由信息协议（RIP）附录一、复习答案1．RIPv2消息格式中包含了哪3个新的字段？路由标记、子网掩码、下一跳2．除了上述问题1中的3个字段定义的扩展特性外，RIPv2相比RIPv1还有哪两个主要的改变？支持手工汇总、支持路由认证3．在RIPv2中有几种汇总方式？其配置命令是什么？自动汇总、手动汇总Router(config-if)#ipsummary-addrssripsummary-addressnetmask4．当RIPv1和RIPv2在一个网络中，那么需要配置其兼容性开关，其配置命令是什么？对于这个开关，4个设置是：RIP-1、RIP-2、Both、Noneiprip[send|receive]version[1|2]第五章开放式最短路径优先协议（OSPF）附录一、复习答案题号12345678答案ABBABACBCABCD第六章路由重分发与路由控制附录一、复习答案1．什么是重分发？路由重分发是指连接到不同路由选择域的边界路由器，在不同路由选择域（自主系统）之间交换和通告路由选择信息的能力。2．各种路由协议的默认种子度量值是？将路由重分发到该协议中默认种子度量值RIP无穷大OSPFBGP路由为1，其他路由为20IS-IS0BGPBGP度量值被设置为IGP度量值3．路由重分发的原则是什么？1．度量如果向OSFP重分发RIP路由，RIP的度量是跳数，而OSPF使用的是代价。在这种情况下，接收重分发路由的协议必须能够将自己的度量与这些路由联系起来。2．管理距离度量差异性产生了另一个问题，如果路由器正在运行多个路由选择协议，并从每个协议都学习到一条到达相同目标网络的路由，那么应该选择哪一条路由呢？因为每一个路由选择协议都使用自己的度量方案定义最优路径，比较不同的度量值，例如代价和跳数。3．从无类别路由协议向有类别路由协议重分发有类路由选择协议不能通告携带子网掩码的路由，路由器所接收到的每一条路由，无外有下面两种情况之一：路由器有一个或多个接口连接到主网上；路由器没有接口连接到主网络上。4．配置到RIP协议中的重分发时，参数metric-value是什么？路由的度量值(1～6)。没有配置将使用default-metric命令设置的metric值。5．什么命令将导致RIP生成一条默认路由？default-informationoriginate第七章网络安全控制附录一、复习题答案1、通常发动ARP欺骗攻击的攻击者通过伪造什么报文来达到欺骗的目的？答：ARP应答报文。2、判断正误：如果要成功地启用ARP检查功能来防止ARP欺骗攻击，需要首先启用端口安全特性。答：正确。3、在配置ARP检查时，需要配置什么类型的安全地址？答：IP地址类型的安全地址。4、通常攻击者如何发动基于DHCP的攻击？答：通过在网络中假设非法的DHCP服务器。5、DHCP监听将端口分为哪些状态？不同状态的端口的操作各是什么？答：Trust状态和Untrust状态。对于信任端口，DHCP监听特性将允许任何DHCP报文通过；对于非信任端口，DHCP监听特性将只允许DHCPDiscover与DHCPRequest通过，另外一些由DHCP服务器发送的报文，例如DHCPOffer报文将被丢弃。6、DHCP监听数据库中都包括什么信息？答：客户端的IP地址、MAC地址、连接的端口、VLAN号、地址租用期限等信息。7、DAI是一种基于什么特性的安全功能？作用是什么？答：基于DHCPSnooping。用于防止ARP欺骗攻击。8、ARP检查与DAI的区别是什么？答：ARP检查用于静态的寻址环境，DAI用于动态（DHCP）的寻址环境。9、DAI中存在哪些端口状态？不同状态的端口的操作各是什么？答：Trust状态和Untrust状态。对于信任端口，DAI将不检查收到的ARP报文；对于非信任端口，DAI检查收到的所有ARP报文（ARP请求与ARP响应），并根据DHCP监听表项检查ARP报文的合法性。10、启用DAI特性需要做什么配置？答：首先要启用DHCPSnooping特性，然后全局性的启用DAI后，还需要在特定的VLAN启用DAI。11、请简单描述标准IPACL与扩展IPACL的区别。答：标准IPACL只能对数据包的源地址进行检查。扩展IPACL能够对数据包的协议、源地址、目的地址、源端口和目的端口进行检查。12、判断正误：基于MAC的ACL可以对L2、L3和L4的信息进行检测。答：错误。13、在基于时间的ACL中，我们可以使用哪些类型的时间段？答：绝对时间段、周期时间段和混合时间段。14、请简单描述在部署标准ACL和扩展ACL时的原则。答：在应用标准IPACL时，通常将其放置到尽可能靠近目标的位置；应用扩展IPACL时，通常将其放置到尽可能靠近源端的位置。第八章AAA和802.1x附录一、复习题答案1.AAA模型包含哪三个模块？答：认证、授权、计费。2.AAA模型在提供网络访问控制上具有哪些优点？答：灵活性、可控性、可扩展性、可靠性、标准化协议。3.当在验证列表中配置了多个验证方法，当第一种验证方法返回拒绝信息，NAS设备是否会尝试下一种方法？答：不会。4.默认情况下，RADIUS服务器标准的认证和计费端口号是什么？答：UDP1812和UDP1813。5.RADIUS模型由哪几部分组成？答：认证客户端、NAS、认证服务器。6.RADIUS采用哪种传输层协议来传输信息？答：UDP。7.什么命令可以修改路由器或交换机发送RADIUS报文使用的源地址？答：ipradiussource-interface命令。8.802.1x是一种基于什么的访问控制机制？答：基于端口的访问控制机制。9.802.1x体系结构中都包括哪些组件？答：恳求者系统（SupplicantSystem）、认证系统（AuthenticatorSystem）和认证服务器系统（AuthenticationServerSystem）。10.802.1x在各个结构组件之间使用什么协议进行交互？答：恳求者与认证系统之间使用EAPoL帧，认证系统与认证服务器系统之间使用RADIUS协议通信。11.请简单描述EAP中继模式与EAP终结模式的区别。答：EAP中继模式是IEEE802.1x标准中定义的认证模式，交换机将EAP协议报文封装到RADIUS报文中通过网络发送到RADIUS服务器。对