网络设备与集成作业

 

 

一、填空题：

1、最早的智能建筑是出现在(1984)年，由美国联合技术公司（UTC）在美国康涅狄格州（Connecticut）哈特福德市（Hartford）改建的都市花园大厦（City Palace Building）。

2、智能建筑的高效和经济效益来源于对(结构、系统、服务、管理)进行的优化组合。

3、 按照规定，综合布线系统的设计分为(基本型，增强型，综合型) 三种标准设计等级。

4、干线垂直通道有两种方法可供选择：（电缆孔）和（电缆井）方法。

5、建筑群之间的干线敷设方法可以采用（架空电缆、直埋电缆或地下管道）或者是这三者的灵活组合。

6、在牵引常见的八芯双绞线时，10根线缆所能承受的最大拉力是（400）（N根线缆，拉力为N×50+50N；不管多少根线缆，最大拉力不能超过400N。）

7、按照配置形式上的区别，集线器分为（独立式，堆叠式，模块化）三种。

8、交换机的三种转发方式为（直通式，存储转发式，无碎片直通式）。

9、光纤通常按照传输模数分类，按照传输原理，采用全反射方式的是（多模）光纤；采用波导方式的是（单模）光纤。

10、千兆以太网中，将争用期由512位扩展到512字节，即凡是发送帧长不足512字节时，就填充特殊字符（0F）补足，这种方法称之为（载波延伸）。与之相应的效率弥补方式为（帧突发）。

11、重复

12、STP是绞合技术和屏蔽技术的产物，采用绞合技术可以防止（线路串扰），采用屏蔽技术可以防止（外部电磁干扰）。

13、已知信息点共计50个，最短信息点长度30米，最长信息点长度80米，则由此可以估算需要水平电缆（双绞线）（11）箱。（11*3.3*50*（30+80）/2=10.98下取整加1）

14、EIA568中规定双绞线RJ-45接口A型线序为（白绿、绿、白橙、蓝、白蓝、橙、白棕、棕）。

二、简答题：

1、写出目前结构化综合布线的主要标准（美国标准、国家标准、中国标准）的代号和名称。

国际标准：1995年底，EIA/TIA568标准正式更新为EIA/TIA568A，同时，国际标准化组织（ISO）推出相应标准ISO/IEC/IS11801；1997年TIA出台六类布线系统草案，同期，基于光纤的千兆网络标准推出；1999年至今，TIA又陆续推出六类布线系统的正式标准，ISO推出了七类布线标准；

我国标准：于2000年正式推出的GB/T50311-2000 《建筑与建筑群综合布线系统工程设计规范》

美国标准：EIA/TIA568A《商业建筑电信布线标准》把综合布线系统划分成6个独立子系统，即建筑群子系统、设备间子系统、垂直干线子系统、管理间子系统、水平布线子系统和工作区子系统

2、除结构化综合布线外，智能建筑还具有哪些主要特征？

结构化综合布线是智能建筑的一个重要特点，除此以外，智能建筑还具有以下的一些主要特征：

建筑物自动化（Building Automation, BA）；通信自动化（Communication Automation, CA）；办公自动化（Office Automation, OA）；消防自动化（Fire Automation, FA）；管理自动化（Maintenance Automation, MA）

注意：3A标准不包括后两个！

3、五类双绞线布线的信道监测主要包含那些内容？

近端串扰 (NEXT)：当电信号在线缆及连接器件上传送时，它自身会在导体周围产生一个电磁场。这个电磁场辐射到相邻线对上，就会对其信号传输造成不良干扰；近端串扰的测量，需要测所传送信号与对相邻线对的串扰信号。NEXT的计量单位为分贝，即dB；NEXT的计算公式为传输信号与串扰信号比的对数，值越大越好。NEXT(dB)=10log10 Vn/Vi；Vi输入值(也是正常电压值)，Vn是所产生的干扰信号。

衰减（ATTENUATION）：当电信号在介质上的传输过程中，一定会有能量损耗，这就意味着我们在接收端接收到的信号能量一定会比发送端发送的信号能量小。如果信号经过损耗，其能量与干扰信号相当，则接收端就无法分辨原先所传送的信号了；衰减的测量需要测系统所传送的信号及接收端所接收到的信号强度的比值。它的计量单位也是dB，计算公式为接收到的信号与所传送信号的比的对数，值越小越好；衰减会随长度的增加或频率的上升而递增。

衰减串扰比 (ACR)：衰减串扰比也称信噪比（ACR）是在某一频率上测得的串扰与衰减的差。ACR是表征衰减与串扰关系的一个重要参数。对于一个两对线的应用来说，ACR是体现整个系统信号与串扰比SNR的唯一参数。ACR是体现系统性能余量的重要参数。ACR用于保证4对线应用的有机统一性。6类（ISO/IEC-11801 E级）标准的草案中指出，在200MHz时ACR不能小于3.0 dB；随着高速网络应用的出现，二对线传输信号以不能满足全双工、高带宽的传输要求，因此一些新的参数需要考虑在内，以保证数据传输的顺利进行。在千兆以太网中，这些新增加的参数包括综合ELFEXT，综合NEXT，回波损耗以及传输时延差等

4、什么是智能MDI/MDIX接口？

不需要知道电缆另一端为MDI还是MDIX设备两种电缆（普通、交叉）都可连接交换机、集线器或NIC设备；消除由于电缆配错引起的连接错误简化10/100M网络安装维护，降低开销。

5、描述设备级联和堆叠的区别。

级联：交换机之间利用以太网接口连接起来；扩展网络范围；单链路带宽瓶颈；延时大；

堆叠：通过堆叠线缆将交换机的背板连接起来，扩大级联带宽；堆叠线缆短（1米）；解决带宽瓶颈（单链路1G或更大）；延时小；统一管理。

 

6、简要说明以太网和快速以太网中使用物理层中继设备时应该注意的事项。

中继器无路径检测和交换功能，不能过滤网络业务，只是将所有经过的数据都转发到所有输出段，而不论它是否需要去那里，致使网络上有过多的无效业务量，增加了网络负载；中继器不具备检错和纠错功能，出错的数据单元仍被传递；中继器还会引入设备时延。因此，中继器只有当网络负载很轻和网络延时要求不高的条件下才能使用。使用中继器应当注意两点：1不能形成环路，环路将导致广播风暴而使网络崩溃；2考虑到网络的传输延迟和负载情况，不能无限制地使用中继器。

三、论述题

1、参考OSI和TCP/IP协议体系，逐层介绍常见的网络设备，并具体说明其功能。

物理层互联设备-中继器

负责在两个节点的物理层上按位传递信息，完成信号的复制、调整和放大功能，以此来延长网络的长度。用中继器可扩大网络的范围；用中继器可增加网络节点的数目；用中继器可互连不同的传输介质。

物理层设备-集线器

集线器Hub是中继器的一种扩展形式，是一个多端口的中继器，属于OSI参考模型物理层的网络连接设备。集线器是以星形拓扑结构连接网络结点的一种中枢网络设备。

数据链路层互联设备-网桥

网桥（Bridge）是一个局域网与另一个局域网之间建立连接的桥梁。网桥的作用是扩展网络和通信手段，在各种传输介质中转发数据信号，扩展网络的距离，同时又有选择地将有地址的信号从一个传输介质发送到另一个传输介质，并能有效地限制两个介质系统中无关紧要的通信。

数据链路层设备—以太网交换机

交换机是一种具有简化、低价、高性能和高端口密集特点的交换产品。二层交换机属数据链路层设备，可以识别数据包中的MAC地址信息，根据MAC地址进行转发，并将这些MAC地址与对应的端口记录在自己内部的一个地址表中。

网络层互连设备---路由器

作用：实现不同IP网段主机间的相互访问；实现不同通信协议网段主机间的相互访问；不转发广播数据包

功能；基于IP地址的寻径和转发；不同通信协议的转换；特定IP数据包的分片和重组

网络层互连设备---三层交换机

在逻辑上三层交换和路由是等同的，三层交换的过程就是IP报文选路的过程。三层交换机与路由器在转发操作上的主要区别在于其实现的方式：三层交换机通过硬件实现查找和转发传统路由器通过微处理器上运行的软件实现查找和转发；三层交换机的转发路由表与路由器一样，需要软件通过路由协议来建立和维护

应用层互联设备---防火墙

防火墙作用:一方面阻止来自因特网的对受保护网络的未授权或未验证的访问，另一方面允许内部网络的用户对因特网进行Web访问或收发E-mail等;防火墙也可以作为一个访问因特网的权限控制关口，如允许组织内的特定的人;可以访问因特网。特点:现在的许多防火墙同时还具有一些其他特点，如进行身份鉴别，对信息进行安全（加密）处理等等。

应用层互联设备---IDS/IPS

IDS—入侵检测系统：对流经内网的数据根据既定的规则进行安全检测，如有安全事件则发出安全警告。

根据特征库的更新，可以检测出常见病毒、攻击、木马、系统漏洞

IPS—入侵防御系统：对流经内网的数据根据既定的规则进行安全检测，对于非法数据包进行

安全过滤，保证内网安全地接入外网。

 

 

1

 
 

 

2

 
 

 

3

 
 

 

4

 
 

 

5

 
 

 

6

 
 
2、结构化综合布线的系统组成如下图所示，请在右边空白处写出编号处的子系统名称，并具体说明其功能。

 

 

 

 

 

 

 

 

工作区 ：在用户工作的地方，将用户所需要的各种通信设备连接到综合布线的子系统。

水平布线： 作为整个布线系统的一部分，将干线子系统延伸到用户工作区。

管理： 实现配线功能，作为水平电缆的终点和集中点，可方便连接各个子系统。

干线： 建筑物SCS的骨干，实现个水平系统（楼层）之间的连接。

设备间： 机房子系统，集中安装大型通讯设备的场所。

建筑群 ：即户外系统，指用于连接各楼群之间的通信设备，传输介质及各种支持设备。

 

 

 

一、填空题：

1、VLAN是在一个物理网络上划分出来的逻辑网络。这个网络对应于OSI 模型的(二)层。

2、RGNOS中VLAN的划分方法是(基于端口的VLAN（Port-Based）)。

3、VLAN的Trunk实现采用Frame-Tagging（帧标记）方式，目前常用的两个标准分别是(ISL：Inter-Switch link，是Cisco交换机独有的协议)和(IEEE802.1Q：是国际标准协议，被几乎所有的网络设备生产商所共同支持)

4、IEEE802.1Q数据帧中用于表示VLAN ID的字段为(12)比特，可以表示的实际取值范围是(1－4094)。

5、在网络中提供冗余链路解决(单点故障)问题，但当交换网络中出现环路会产生(广播风暴、mac地址表不稳定)或(多帧复制)现象，严重影响网络正常运行。

6、生成树的选举过程中，应遵循以下优先顺序来选择最佳路径。首先比较(Root path cost)；其次比较(Sender’s Bridge ID)；之后比较(Sender’s Port ID)；最后比较(Port ID)

7、生成树协议端口的状态包括(Forwarding)、(Listening)、(Learning)和(Blocking)其中稳定状态为(Forwarding)和(Blocking)

8、RGNOS配置生成树，默认的交换机优先级是(32768)；默认的端口优先级是(128)。

9、BPDU的目的地址是(0180.C200.0000)；默认时间选项中hello-time为(2秒)、forward-time为(15秒)、max-age为(20秒)。

10、MSTP中，Instance其实是指（一台交换机的一个或多个vlan 的集合）

11、制定于1999年的(IEEE802.3adLink Aggregation Control Protocol，LACP链路聚合控制协议)协议定义了以太网端口聚合的标准。

12、配置二层聚合端口时，流量平衡可以选择根据（报文的源MAC地址、目的MAC地址）或（IP地址进行流量平衡）

二、简答题：

1、交换机的管理方式有哪些？

带外管理：通过带外对交换机进行管理(PC 与交换机直接相连)

带内管理：通过Telnet 对交换机进行远程管理；通过Web 对交换机进行远程管理；通过SNMP 工作站对交换机进行远程管理

带外交换机配置

连线：利用配置线将主机的COM口和交换机的console口相连；打开超级终端；从开始→程序→附件→通讯→超级终端，打开超级终端程序；配置超级终端；为连接命名；选择合适的COM口；配置正确的参数

TELNET管理交换机

在主机DOS命令行下输入：telnet ip address（交换机管理IP）；输入telnet密码和特权密码即可进入到交换机的配置界面

基于WEB的管理

在web页面中输入交换机的管理IP可以进入交换机的web管理页面

基于SNMP协议的管理

2、VLAN的主要功能和好处是什么？

由于实现了广播域分隔，VLAN可以将广播风暴控制在一个VLAN内部，划分VLAN后，随着广播域的缩小，网络中广播包消耗的带宽所占的比例大大降低，网络性能得到显著提高；不同的VLAN间的数据传输是通过第三层（网络层）的路由来实现的，因此使用VLAN技术，结合数据链路层和网络层的交换设备可搭建安全可靠的网络；同时，由于VLAN是逻辑的而不是物理的，因此在规划网络时可以避免地理位置的限制。控制网络广播、提高网络性能；分隔网段、确保网络安全；简化网络管理、提高组网灵活性。

3、简介生成树协议的技术发展和标准。

IEEE 802.1d协议通过在交换机上运行一套复杂的算法，使冗余端口置于“阻塞状态”，从而使网络中的计算机通信时只有一条链路生效，而当这个链路出现故障时，STP将会重新计算出网络的最优链路，将“阻塞状态”的端口重新打开，从而确保网络连接的稳定可靠。生成树协议和其它协议一样，是随着网络的不断发展而不断更新换代的。按照功能特点的改进情况，习惯上生成树协议的发展过程被分为三代：第一代生成树协议：STP/RSTP；第二代生成树协议：PVST/PVST+；第三代生成树协议：MISTP/MSTP MSTP ：802.1S多生成树协议RSTP：802/1W 快速生成树协议；STP：802/1D 生成树协议

4、简介生成树协议的工作原理。

生成树协议（Spanning Tree Protocol，STP）最初是由美国数字设备公司（DEC）开发的，后经IEEE修改并最终制定了IEEE 802.1d标准。STP协议的主要思想是当网络中存在备份链路时，只允许主链路激活，如果主链路失效，备份链路才会被打开。大家知道，自然界中生长的树是不会出现环路的，如果网络也能够像树一样生长就不会出现环路。STP协议的本质就是利用图论中的生成树算法，对网络的物理结构不加改变，而在逻辑上切断环路，封闭某个网桥，提取连通图，形成一个生成树，以解决环路所造成的严重后果。交换网络中所有交换机共同选举一台设备为根交换机（Root Bridge）比较Bridge ID   交换机ID=交换机优先级+交换机MAC地址Bridge ID 最小的交换机为根交换机初始：交换机Root ID 等于Bridge ID所有非根交换机选择一条到达根交换机的最短路径；所有非根交换机产生一个到达根交换机的端口：根端口（Root Port）；每个LAN都会选择一台设备为指定交换机，通过该设备的端口连接到根，该端口为指定端口（Designated port ）；网络中所有设备的根端口(RP)和指定端口（DP）为转发状态（Forwarding），其他端口为阻塞状态（Blocking）

5、快速生成树协议是对生成树协议的补充，为了更快的实现收敛，快速生成树协议做了哪些改进？

为根端口和指定端口设置了快速切换用的替换端口（Alternate Port）和备份端口（Backup Port）两种角色，当根端口/指定端口失效的情况下，替换端口/备份端口就会无时延的进入转发状态，而无须等待两倍Forward Delay的时间；

在只连接了两个交换端口的点对点链路中，指定端口只需与下游交换机进行一次握手就可以无时延地进入转发状态；如果是连接了三台以上交换机的共享链路则需要等待两倍Forward Delay的时间；

直接与终端计算机相连而不是连接其它交换机的端口可以被配置为边缘端口（Edge Port），边缘端口可以直接进入转发状态而不需要任何时延。

三、论述题

1、比较生成树协议和以太网链路聚合协议的区别和使用上的差别。

交换网络中的问题

对于局域网交换机之间以及从交换机到高需求服务的许多网络连接来说，100M甚至1000M的带宽无法满足用户应用需求。

端口聚合（又称为链路聚合)，将交换机上的多个端口在物理上连接起来，在逻辑上捆绑在一起，形成一个拥有较大宽带的逻辑端口，形成一条干路，可以实现负载分担，并提供冗余链路。

制定于1999年的IEEE802.3ad（Link Aggregation Control Protocol，LACP）链路聚合控制协议定义了以太网端口聚合的标准。

注意：锐捷交换机最多支持8个物理端口组成一个聚合端口组，不同设备支持的最多聚合端口组不定：如S2126G支持6组 Aggregate Port （简称AP），符合IEEE802.3ad标准。可以把多个端口的带宽叠加起来使用，比如全双工快速以太网端口形成的AP 最大可以达到800Mbps，或者千兆以太网接口形成的AP最大可以达到8Gbps。链路聚合技术（也称端口聚合）帮助用户减少来自带宽的压力；802.3ad的另一个主要优点是可靠性；链路聚合标准在点到点链路上提供了固有的、自动的冗余性。

 

班级：_________________学号：__________________姓名：________________

一、填空题：

1、RGNOS路由器带外配置时，需要将主机的COM口和路由器的Console口相连，并在超级终端中设置正确的参数，其中每秒位数为9600。

2、按照路由信息源的区别，路由分为 直连 路由、动态路由和静态路由。

3、在动态路由中，处于一个管理机构控制之下的路由器和网络群组称为一个自治系统。

4、RIP基于UDP，端口520；OSPF基于IP，协议号89。

5、不同的路由算法使用不同的度量值来衡量，其中RIP的度量值为跳数；OSPF的度量值为cost。

6、采用组播方式进行报文交换，其中224.0.0.5代表全部OSPF路由器；224.0.0.6代表指定路由器。

7、路由再发布的原则是度量和管理距离

8、策略路由一般用于接入双线路的网络。

9、通常接入路由器的同步串口（Serial）支持 HDLC、ppp和Frame-Rralay协议封装。

10、PPP协议使用HDLC协议实现基本报文封装；使用LCP（Link Control Protocol）协议启动线路、测试、任选功能的协商及关闭连接；使用NCP（Network Control Protocol）协议来建立和配置不同的网络层协议。

11、PPP LCP的协商选项包括 Authentication认证、Callback回拨、Compression压缩和Multilink多路捆绑。

12、PPP协议的验证使用PAP和CHAP协议。

13、ISDN中的B信道用于传输语音或数据信息；D信道用于控制信道。

15、帧中继地址映射可以采用静态方式，也可以使用动态方式。动态方式通过反转ARP实现。

16、RGNOS系统支持三种帧中继的LMI类型是ITU-Q.933、ANSI TI.617和_CISCO格式。

17、在创建帧中继的子接口时，指定接口的类型包括_点对点_和_多点_。

 

二、简答题：

1、距离矢量算法中，解决路由环路的方法有哪些？（具体说明）

答：水平分割；毒性反转；触发更新；Hold-down倒计时。

2、比较静态路由和动态路由的区别和适用环境。

答：静态路由是指由网络管理员手工配置的路由信息。当网络的拓扑结构或链路的状态发生变化时，网络管理员需要手工去修改路由表中相关的静态路由信息。静态路由信息在缺省情况下是私有的，不会传递给其他的路由器。当然，网管员也可以通过对路由器进行设置使之成为共享的。静态路由一般适用于比较简单的网络环境，在这样的环境中，网络管理员易于清楚地了解网络的拓扑结构，便于设置正确的路由信息。

 动态路由是指路由表不是由网络管理人员手动设定，而是由路由器通过端口进行地址学习自动生成路由表的方式。动态路由是由路由器每隔一段时间自动生成路由表，有不同的协议可以实现，比如OSPF，RIP等等，这些协议都会有个接收、发布路由信息和生成新的路由表所需要的收敛时间的问题，如果设置不当，有可能会引致路由器出错。动态路由的好处是对网络变化的适应性强能够根据实际实际情况的变化适时地进行调整，适用于网络环境变化大的网络系统。

3、什么是路由决策原则？

4、OSPF报文有哪几种，分别实现什么功能？

答：Hello：用于建立和维护相邻的两个OSPF路由器的关系，该数据包是周期性地发送的。

Database Description：用于描述整个数据库，该数据包仅在OSPF初始化时发送。

Link state request：用于向相邻的OSPF路由器请求部分或全部的数据，这种数据包是在当路由器发现其数据已经过期时才发送的。

Link state update：这是对link state请求数据包的响应，即通常所说的LSA数据包。

Link state acknowledgment-是对LSA数据包的响应。

5、比较第一版和第二版RIP协议的区别。

答：1.RIPv1是有类路由协议，RIPv2是无类路由协议

2.RIPv1不能支持VLSM，RIPv2可以支持VLSM

3.RIPv1没有认证的功能，RIPv2可以支持认证，并且有明文和MD5两种认证

4.RIPv1没有手工汇总的功能，RIPv2可以在关闭自动汇总的前提下，进行手工汇总

5.RIPv1是广播更新，RIPv2是组播更新，地址：224.0.0.9

6.RIPv1对路由没有标记的功能，RIPv2可以对路由打标记（tag），用于过滤和做策略

7.RIPv1发送的updata最多可以携带25条路由条目，RIPv2在有认证的情况下最多只能携带24条路由

8.RIPv1发送的updata包里面没有next-hop属性，RIPv2有next-hop属性，可以用与路由更新的重定向。

6、简要说明单臂路由的配置过程。

进入或创建一个封装802.1Q的子接口

Red-Giant(config)# interface FastEthernet Sub_interface_number

封装802.1Q并指定VLAN ID号

Red-Giant((config-subif))# encapsulation dot1Q VlanID

注意：VLANID必须与交换机上的其中一个VLANID一致

指定接口IP地址

Red-Giant((config-subif))# ip address ip-address mask

 

三、论述题

1、描述OSPF邻居路由器之间建立LS数据同步的基本过程。

① Down状态：停止状态，OSPF进程还没有和任何邻居交换信息

② Init状态:初始状态，OSPF路由器以固定的时间间隔（缺省为10秒）发送Hello分组，以便与相邻路由器建立联系。当一个接口收到第一个Hello分组后，即进入Init状态，路由器将把Hello分组中的路由器ID添加到自己的邻居列表中。

③ Two-Way状态: 双向状态，路由器发送的Hello分组中含有路由器已知的邻居列表，当路由器看到自己出现在对方的列表中时，就进入到Two-Way状态；

此时，OSPF邻居间最基本的关系已经建立，但还不能建立路由，而邻居间交换彼此的链路状态数据信息就不是仅仅Hello分组所能解决的了，这需要另外4类分组的共同参与。

④ Exstart 状态:准启动状态，邻居路由器使用Hello分组来决定双方的主从关系，拥有路由器ID大的路由器将成为“主”。

⑤ Exchange状态:交换状态，邻居路由器使用DBD分组以握手方式交换彼此的链路状态信息。路由器将学到的对方链路状态数据库的描述信息与自己的数据库做比较，如果发现有新的链路信息，就进入Loading状态。

⑥ Loading状态:加载状态，在相互描述过各自的链路状态数据库后，路由器将使用LSR分组来请求更加完整的信息；当路由器接收到LSR后，会用LSU来进行回应；LSU分组的工作需要LSAck分组来确认。在OSPF协议中，第4类分组LSU提供了具体的链路状态数据，是整个链路状态类型路由选择协议的核心。

⑦ Full adjacency状态:全邻接状态，Loading状态结束后，OSPF路由器就成为Full状态。

2、网路连接如下图所示，认证用户ruijie，认证口令star2009。请完成PAP单向、CHAP单向和CHAP双向的配置（只写出PPP相关的配置，要求提示符和完整的模式操作）。

（1）PAP单向

R1(config)# interface serial 1/2

R1(config-if)# encapsulation ppp

R1(config-if)# ppp authentication pap

R1(config)# ppp pap sent-username ruijie password 0 star2009

R2(config)# interface serial 1/2

R2(config-if)# encapsulation ppp

R2(config-if)# username ruijie password 0 star2009

（2）CHAP单向

R1(config)# interface serial 1/2

R1(config-if)# encapsulation ppp

R1(config-if)# ppp authentication chap

R1(config-if)# no shutdown

R1(config-if)# ppp chap ruijie

R1(config-if)# ppp chap password 0 star2009

 

R2(config)# interface serial 1/2

R2(config-if)# encapsulation ppp

R2(config-if)# no shutdown

R2(config)# username ruijie password 0 star2009

（3）CHAP双向

R1配置如下：

R1(config)# interface serial 1/2

R1(config-if)# ppp authentication chap

R1(config)# username ruijie password 0 star 2009

R2配置如下：

R2(config)# interface serial 1/2

R2(config-if)# ppp authentication chap

R1(config)# username ruijie password 0 star2009

 

班级：_________________学号：__________________姓名：________________

一、填空题：

1、222.31.46.1/27的子网掩码为（255.255.255.224）；通配符掩码为（0.0.0.31）。

2、DHCP攻击的手段主要为（恶意DHCP请求）和（伪装DHCP Server）。

3、ARP攻击的手段主要为（ARP欺骗）和（ARP流量攻击）。

4、交换机端口安全的基本功能是（限制交换机的最大连接数）和（端口的安全地址绑定）。

5、交换机端口安全中安全违例的处理可以选择（protect）、（restrict）或（shutdown）。

6、IP标准访问控制列表的表号范围（1-99号列表）；IP扩展访问控制列表的表号范围是（100-199号列表）。

7、在NAT中，外部网络的主机在内部网络中表现的IP地址（该地址是内部可路由地址）被称为（外部本地）地址。

8、VRRP是OSI参考模型（网络层）的协议；思科的相同功能的协议是（HSRP热备份路由协议）。

9、VRRP虚拟的MAC地址是（00-00-5E-00-01-（VRID））；VRRP报文承载在IP报文之上，使用协议号（112）；报文使用的IP组播地址是（224.0.0.18）。

10、VRRP路由器的状态有（初始状态init）、（活动状态master）和（备份状态backup）三种，其中不是稳定状态的是(活动状态)(该空不确定)。

11、层次化网络设计在互联网组件的通信中引入了三个关键层的概念，这三个层次分别是(核心层)、(汇聚层)和(接入层)。

二、简答题：

1、简述现有网络安全体制中主要的应用技术。

 

杀毒软件；IDS/IPS；防火墙；ACL（包过滤)；VPN虚拟专用网

接入层：VLAN划分、交换机端口安全保证用户安全接入、ACL控制用户访问网络资源。

汇聚层：VLAN间路由、ACL策略、端口聚合提高链路带宽、MSTP＋VRRP实现数据流的负载平衡和链路自动冗余。

核心层：三平面分离技术、MSTP+VRRP、路由

外网接入：NAT技术、防火墙安全策略、IPS入侵防御、流量控制网络管理,全网拓扑发现、网络性能监视和预警、网络事件管理

 

2、说明IP ACL的基本准则。

一切未被允许的就是禁止的：定义访问控制列表规则时，最终的缺省规则是拒绝所有数据包通过；按规则链来进行匹配：使用源地址、目的地址、源端口、目的端口、协议、时间段进行匹配；规则匹配原则：从头到尾，至顶向下的匹配方式；匹配成功马上停止；立刻使用该规则的“允许/拒绝

 

3、说明NAT/NAPT技术的功能和好处。

NAT/NAPT技术的好处：解决地址空间不足的问题；IPv4的空间已经严重不足；私有IP地址网络与公网互联；10.0.0.0/8，172.16.0.0/12，192.168.0.0/16；非注册IP地址网络与公网互联；建网时分配了全局IP地址－但没注册；网络改造中，避免更改地址带来的风险

NAT 功能：内部网络地址转换；复用内部的全局地址（将一个内部全局地址用于同时代表多个内部局部地址主要用IP地址和端口号的组合来唯一区分各个内部主机）；TCP 负载均衡（用于将一台虚拟的主机映射到几台真实的主机上）；解决网络地址重叠。

4、配置基于内部源的动态NAPT的一般步骤是什么。

配置静态NAPT

定义全局IP地址池

Router(config)#ip nat inside source static {UDP | TCP} local-address port global-address port

定义内网接口和外网接口

 Router(config)# interface interface-type interface-number

 Router(config-if)#ip nat inside

 Router(config)# interface interface-type interface-number

 Router(config-if)#ip nat outside

如果有条件，尽量不要用outside接口的全局地址作为内部全局地址，该接口地址的所有者是互联网服务提供商（ISP）。当线路变更时该地址就会改变，就需要更改DNS记录了，如果是直接通过IP提供服务，那就更麻烦了，而线路的变更是常有的事。

配置动态NAPT

定义内网接口和外网接口

 Router(config-if)#ip nat outside

 Router(config-if)#ip nat inside

定义内部本地地址范围，只有匹配该列表才转换

 Router(config)# access-list access-list-number permit ip-address wildcard

定义内部全局地址池

 Red-Giant(config)#ip nat pool address-pool start-address end-address {netmask mask | prefix-length prefix-length}

建立映射关系

 Router(config)# ip nat inside source list access-list-number pool address-pool overload

5、简述VRRP协议的工作原理。

VRRP的三种状态：

初始状态(Initialize)路由器刚刚启动时进入此状态，通过VRRP报文交换数据后进入其他状态。

活动状态(Master)VRRP组中的路由器通过VRRP报文交换后确定的当前转发数据包的一种状态

备份状态(Backup)VRRP组中的路由器通过VRRP报文交换后确定的处于监听的一种状态

 

在VRRP路由器组中，按优先级选举主控路由器，VRRP协议中优先级范围是0—255。若VRRP路由器的IP地址和虚拟路由器的接口IP地址相同，则称该虚拟路由器作VRRP组中的IP地址所有者；IP地址所有者自动具有最高优先级：255。优先级0一般用在IP地址所有者主动放弃主控者角色时使用。可配置的优先级范围为1—254。优先级的配置原则可以依据链路的速度和成本、路由器性能和可靠性以及其它治理策略设定。主控路由器的选举中，高优先级的虚拟路由器获胜，因此，假如在VRRP组中有IP地址所有者，则它总是作为主控路由的角色出现。对于相同优先级的候选路由器，按照IP地址大小顺序选举。VRRP还提供了优先级抢占策略，假如配置了该策略，高优先级的备份路由器便会剥夺当前低优先级的主控路由器而成为新的主控路由器。

三、论述题

1、什么是层次化网络设计，在园区网中如何应用。

层次化网络设计在互联网组件的通信中引入了三个关键层的概念，这三个层次分别是：

接入层功能：

接入层为用户提供对网络的访问接口，是整个网络的可见部分，也是用户与该网的连接场所；

用户的安全接入控制

汇聚层功能：

用于把大量接入层的路径进行汇聚和集中，并连接至核心层，同时在接入层和核心层之间提供协议转换和带宽管理。

核心层功能：

核心层为网络提供了骨干组件或高速交换组件。在纯粹的分层设计中，核心层只完成数据交换的特殊任务。

按照分层结构规划网络拓扑时，应遵守两条基本原则：

网络中因拓扑结构改变而受影响的区域应被限制到最小程度；

路由器（及其他网络设备）应传输尽量少的信息