CCNP SWITCh(642-813)选择试题答案解析中文版：1-15题

完全是个人查找资料，欢迎指正

1、解析：只有非边缘端口(nonedge)状态置成forwarding时会产生TC BPDU，才会引起RSTP拓扑发生变化。

2、解析：一个GLBP组只能有一个AVG。AVG的选举和HSRP中活动路由器的选举非常类似，优先级最高的路由器为AVG，次之的为Backup AVG，其余的为监听状态。每个GLBP组中最多有4个虚拟MAC地址，非AVG路由器（即AVF）由AVG按序分配虚拟MAC地址。AVG分配虚拟的MAC地址给其他GLBP组成员，所有的GLBP组中的路由器（包括AVG和AVF）都转发包，但是各路由器只负责转发与自己的虚拟MAC地址的相关的数据包。作为AVG和负载均衡，需要响应不同的虚拟MAC地址和虚拟IP地址的ARP请求。

3、解析：Master路由器周期性地发送VRRP报文，在虚拟路由器中公布其配置信息（优先级等）和工作状况。Backup路由器通过接收到VRRP报文的情况来判断Master路由器是否工作正常。当Master路由器发生网络故障而不能发送VRRP报文的时候，Backup路由器并不能立即知道其工作状况。Backup路由器等待一段时间之后，如果还没有接收到VRRP报文，那么会认为Master路由器无法正常工作，而把自己升级为Master路由器，周期性发送VRRP报文。如果此时多个Backup路由器竞争Master路由器的位置，将通过优先级来选举Master路由器。Backup路由器默认等待的时间称为Master_Down_Interval，取值为：（3×VRRP报文的发送时间间隔）＋Skew time，单位为秒。在性能不够稳定的网络中，Backup路由器可能因为网络堵塞而在Master_Down_Interval期间没有收到Master路由器的报文，而主动抢占为Master位置，如果此时原Master路由器的报文又到达了，就会出现虚拟路由器的成员频繁的进行Master抢占现象。为了缓解这种现象的发生，特制定了延迟等待定时器。它可以使得Backup路由器在等待了Master_Down_Interval后，再等待延迟等待时间。如在此期间仍然没有收到VRRP报文，则此Backup路由器才会切换为Master路由器，对外发送VRRP报文。

4、解析：攻击主机通过程序伪造大量包含随机源MAC地址（source mac）的数据帧发往交换机。有些攻击程序一分钟可以发出十几万个伪造的MAC地址，交换机根据帧中的MAC进行学习，一般交换机的MAC地址表容量也就几千条，交换机的MAC地址表瞬间被伪造的MAC地址填满，交换机的MAC表填满后，交换机再收到数据，不管是单播、广播还是组播，交换机都不在学习MAC地址，如果交换机在MAC地址表中找到目的MAC地址对应的端口，交换机将像集线器一样，向所有端口广播数据。

 5、解析：中间人攻击 （ Man-in-the-middle attack，通常缩写为MITM ）是指攻击者与通讯的两端分别建立独立的联系，并交换其所收到的数据，使通讯的两端认为他们正在通过一个私密的连接与对方直接对话，但事实上整个会话都被攻击者完全控制。在中间人攻击中，攻击者可以拦截通讯双方的通话并插入新的内容。当交换机开启了DHCP-Snooping后，会对DHCP报文进行侦听，并可以从接收到的DHCP Request或DHCP Ack报文中提取并记录IP地址和MAC地址信息。另外，DHCP-Snooping允许将某个物理端口设置为信任端口或不信任端口。信任端口可以正常接收并转发DHCP Offer报文，而不信任端口会将接收到的DHCP Offer报文丢弃。

 6、解析：PVLAN(Private VLAN 私有VLAN)通常用于企业内部网，用来防止连接到某些接口或接口组的网络设备之间的相互通信，但却允许与默认网关进行通信。尽管各设备处于不同的PVLAN中，它们可以使用相同的IP子网。在PVLAN中，交换机端口有3种类型：Isolated Port(隔离端口)、Community Port(团体端口)和Promiscuous Port(混杂端口)；它们分别对应不同的VLAN类型：Isolated Port属于Isolated PVLAN，Community Port属于Community PVLAN，而代表一个Private VLAN整体的是Primary PVLAN(主要VLAN)，前面两类VLAN也称为Secondary PVLAN(辅助VLAN)，它们需要和Primary PVLAN绑定在一起。Promiscuous Port属于Primary PVLAN。PVLAN的2种VLAN：主要VLAN(Primary VLAN)：把流量从混杂端口传送到隔离、团体和同一个VLAN内部的其它主要混杂端口。   辅助VLAN(Secondary VLAN)：辅助VLAN包含两种VLAN类型：A、隔离VLAN(Isolated VLAN)：把流量从隔离端口传送到一个混杂端口。隔离VLAN中的端口，使其不能与PVLAN(另一个团体VLAN端口或相同隔离VLAN内的端口)内部的任何其它端口进行第2层通信。若要与其它端口通信，则必须穿越混杂端口。B、 团体VLAN(Community VLAN)：在相同团体VLAN内部的团体端口之间传送流量并传送到混杂端口，团体VLAN内的 端口可以在第2层彼此通信(只是在相同团体VLAN内部)，但是不能与其它团体或隔离VLAN的端口进行通信。若要与其它端口进行通信，则必须穿越混杂端口。 PVLAN的2种端口类型：混杂端口(Promiscuous Port)：隶属于“Primary VLAN”，一个混杂端口可以与所有接口通信，包括PVLAN内的隔离和团体端口；混杂端口的功能是在团体和隔离的VLAN端口之间传递流量。主机端口(Host Port)：隶属于“Secondary VLAN”，由于“Secondary VLAN”具有两种属性，那么主机端口依“Secondary VLAN”属性的不同也有两种分类：(1) 隔离端口(Isolated Port)：它与PVLAN内的所有其它端口相分离，除混杂端口外；来源于隔离端口的流量仅仅传送给混杂端口。(2) 团体端口(Community Port)：它在逻辑上把相同区域内部的各个端口和混杂端口结合到一起，流量可以在它们之间传送。

7、解析：udld reset：特权模式下重启所有被UDLD关闭的接口

8、解析：Dynamic ARP inspection是一种验证网络中ARP包的安全特性，可以阻止、记录并丢弃非法IP和MAC地址绑定的ARP包。Dynamic ARP inspection保证只有合法的ARP请求和响应可以传播。交换机会完成如下工作，截取所有来自非信任端口ARP请求和响应，在更新ARP缓存或传播数据包之前验证所截取的数据包IP-MAC地址绑定是否合法，丢弃非法的ARP包。

DAI的配置方针：

1、DAI是ingress安全特性，不会做egress的安全校验

2、DAI的工作需依赖DHCP snooping

3、如果DHCP snooping被关闭或者，这是一个无DHCP 的网络环境，例如纯静态IP地址的环境，使用ARP ACLs来放行或丢弃ARP报文

4、DAI在access接口, trunk 接口, EtherChannel 接口, 及 private VLAN 接口上都支持

9、参考第八题解析

10、参考第八题解析

11、解析：一个GLBP组只能有一个AVG。AVG的选举和HSRP中活动路由器的选举非常类似，优先级最高的路由器为AVG（此题中DSW1和DSW2优先级相同，由于DSW2有更高的的IP，所以选DSW2为AVG）。每个GLBP组中最多有4个虚拟MAC地址，非AVG路由器（即AVF）由AVG按序分配虚拟MAC地址。AVG响应所有的虚拟路由器地址的ARP请求。 

12、13答案略

 14、解析：VLAN hopping（跳跃攻击）：是一种网络攻击方式，指的是恶意设备通过为攻击流量打上特定的VLAN ID(VID)标，或者协商Trunk链路试图访问或者接收与其配置不同的VLAN的流量。VLAN跳跃攻击(VLAN hopping)依靠的是动态中继协议(DTP协议)。VLAN跳跃攻击充分利用了DTP，在VLAN跳跃攻击中，黑客可以欺骗计算机，冒充成另一个交换机发送虚假的DTP协商消息，宣布它想成为中继; 真实的交换机收到这个DTP消息后，以为它应当启用802.1Q中继功能，而一旦中继功能被启用，通过所有VLAN的信息流就会发送到黑客的计算机上。

15、解析：启用了BPDU Guard特性的端口在收到BPDU的时候会使端口进入err-disable状态，就相当于被关闭了,不会转发任何数据，也就切断了环路，从而避免桥接环路，保护了整个网络。一般BPDU Guard是和PortFast结合使用，在端口上启用了PortFast之后，如果没有启用BPDU Guard，那么端口收到BPDU的时候，STP会让端口进入blocking状态，当配置了BPDU Guard之后，端口收到BPDU的时候就进入err-disable。