網絡管理與維護課后習題參考答案項目11.答：略。2.答：1、配置管理包括網絡運維管理中對設備開局初始化，運營過程中的設備配置管理與維護，必要時設備的關閉與重新啟動等一系列操作。2、故障管理旨在快速的發現、定位、恢復網絡故障，實時動態的維護網絡的有效性。3、網絡性能管理即通過實時地持續性地對管理的網絡進行主要性能指標的監測，預測網絡運行趨勢，對已經發生或可能發生的網絡性能瓶頸及時發現，為網絡性能優化和管理提供支持和依據。4、網絡安全管理是指通過加密、認證、數字簽名等一系列安全訪問控制措施使得網絡資源不被非法訪問，網絡系統可以有效的防止非法入侵，網絡操作與事件具備符合國家安全法律法規的記錄和可追溯性，從而確保網絡可以安全可靠的承載數據和業務。5、計費管理一方面是正確計算和收取使用網絡服務的用戶的費用，另一方面通過網絡成本投入與收益的核算，考核網絡運營經濟效益。在實踐中，網絡計費通常有基于流量計費、基于時間計費和基于服務計費三種類型。3.分享一次運行命令行工具進行的簡單的網絡故障排除的過程。答：略。項目2填空題藍橙綠棕超5類橙白-1橙-2綠白-3藍-4藍白-5綠-6棕白-7棕-8布線光纜光纖跳線光纖連接器玻璃膠套硅塑料單模參考值選擇題D（2）C（3）C（4）D（5）B（6）A（7）D（8）A

項目3參考拓撲如下圖所示：

項目41.答：VLAN聚合技術通過引入超級VLAN和子VLAN的概念，使每個子VLAN對應一個廣播域，并讓多個子VLAN和一個超級VLAN關聯，只給超級VLAN分配一個IP子網，所有子VLAN都使用超級VLAN的IP子網和缺省網關進行三層通信。這樣，多個子VLAN共享一個網關地址，節約了子網號、子網定向廣播地址、子網缺省網關地址，且各子VLAN間的界線也不再是從前的子網界線了，它們可以根據各自主機的需求數目在超級VLAN對應子網內靈活的劃分地址范圍，從而即保證了各個子VLAN作為一個獨立廣播域實現廣播隔離，又節省了IP地址資源，提高了編址的靈活性。華為的VLAN聚合和華三的superVLAN能提供類似功能。2.答：參考關鍵命令如下：①系統視圖下，配置設備MSTP工作模式執行命令stpmodemstp，配置交換設備的MSTP工作模式。缺省情況下，交換設備的工作模式為MSTP。②配置MST域并激活執行命令system-view，進入系統視圖。執行命令stpregion-configuration，進入MST域視圖。執行命令region-namename，配置MST域的域名。缺省情況下，MST域的域名等于交換設備橋MAC的MAC地址。執行命令instanceinstance-idvlan{vlan-id1[tovlan-id2]}&<1-10>，配置多生成樹實例和VLAN的映射關系。缺省情況下，MST域內所有的VLAN都映射到生成樹實例0。在確認域參數無誤后，執行命令activeregion-configuration激活新的MST域配置，此時MSTP域名、VLAN映射表和MSTP修訂級別生效。參考拓撲如下圖所示。3.答：常見的ARP共計主要有：ARP欺騙攻擊和ARP泛洪攻擊。(1)ARP欺騙主要是攻擊者偽造ARP應答報文或主動向目標主機發送ARP應答報文，而收到到ARP應答報文的主機會依據收到的報文修改本地ARP緩存，并使用偽造的MAC地址通信，攻擊者可以有機會截獲目標主機前往外部或者特定主機的信息。ARP欺騙攻擊防御方法：ARP表項固化，動態ARP檢測，ARP防網關沖突，ARP報文合法性檢查等。(2)ARP泛洪攻擊是一種DoS攻擊，其主要手段是在同一時間段內偽造大量的ARP報文，使得設備資源耗盡無法處理合法用戶的請求導致通信故障。設備處理ARP報文和維護ARP表項都需要消耗系統資源，同時為了滿足ARP表項查詢效率的要求，一般設備都會對ARP表項規模有規格限制。攻擊者就利用這一點，通過偽造大量源IP地址變化的ARP報文，使得設備ARP表資源被無效的ARP條目耗盡，合法用戶的ARP報文不能繼續生成ARP條目，導致正常通信中斷。攻擊者利用工具掃描本網段主機或者進行跨網段掃描時，會向設備發送大量目標IP地址不能解析的IP報文，導致設備觸發大量ARPMiss消息，生成并下發大量臨時ARP表項，并廣播大量ARP請求報文以對目標IP地址進行解析，從而造成CPU（CentralProcessingUnit）負荷過重，嚴重的影響設備的報文轉發效率。ARP泛洪攻擊防御措施：ARP報文限速，ARP表項嚴格學習，ARP表項限制，禁止接口學習ARP表項等。

項目5填空題network子網通配符掩碼DHCPDISCOVERDHCPOFFERDHCPREQUESTDHCPACK128FE80::/10簡答題1.答：DHCPv6客戶端通常情況交互4個報文完成地址獲取從而接入網絡：圖5-19DHCPv6客戶端接入(1)DHCPv6客戶端組播發送Solicit報文，請求DHCPv6服務器為其分配IPv6地址和網絡配置參數。(2)DHCPv6服務器響應Advertise報文，通知客戶端可以為其分配的地址和網絡配置參數。(3)如果DHCPv6客戶端接收到多個服務器響應的Advertise報文，一般根據報文達到順序和報文中的服務器優先級等參數，選擇一臺服務器并向所有的服務器發送Request組播報文，該報文中攜帶已選擇的DHCPv6服務器的DUID。(4)DHCPv6服務器響應Reply報文，確認將地址和網絡配置參數分配給客戶端使用。2.答：VRRP的工作過程如下：①VRRP備份組中的設備根據優先級選舉出Master。Master設備通過發送免費ARP報文，將虛擬MAC地址通知給與它連接的設備或者主機，從而承擔報文轉發任務。②Master設備周期性向備份組內所有Backup設備發送VRRP通告報文，以公布其配置信息（優先級等）和工作狀況。③如果Master設備出現故障，VRRP備份組中的Backup設備將根據優先級重新選舉新的Master。④VRRP備份組狀態切換時，Master設備由一臺設備切換為另外一臺設備，新的Master設備會立即發送攜帶虛擬路由器的虛擬MAC地址和虛擬IP地址信息的免費ARP報文，刷新與它連接的主機或設備中的MAC表項，從而把用戶流量引到新的Master設備上來，整個過程對用戶完全透明。⑤原Master設備故障恢復時，若該設備為IP地址擁有者（優先級為255），將直接切換至Master狀態。若該設備優先級小于255，將首先切換至Backup狀態，且其優先級恢復為故障前配置的優先級。⑥Backup設備的優先級高于Master設備時，由Backup設備的工作方式（搶占方式和非搶占方式）決定是否重新選舉Master。搶占模式：在搶占模式下，如果Backup設備的優先級比當前Master設備的優先級高，則主動將自己切換成Master。非搶占模式：在非搶占模式下，只要Master設備沒有出現故障，Backup設備即使隨后被配置了更高的優先級也不會成為Master設備。VRRP兩種典型應用場景：①VRRP主備應用，②VRRP負載分擔應用。3.答：雙向轉發檢測BFD（BidirectionalForwardingDetection）BFD協議是一種與傳輸介質無關、與傳輸協議無關的故障檢測協議，具有檢測速度快、實時性高、部署簡單易用的特點，BFD能夠支持設備接口故障、數據鏈路故障和設備本身引發的故障。BFD通過在意定的端到端的兩臺設備之間建立會話，用來檢測網絡設備間的雙向轉發路徑，為上層應用服務，BFD支持與靜態路由、OSPF、BGP、VRRP等多種協議聯動，及時將故障信息傳遞給聯動的應用協議，使設備具備毫秒的故障檢測能力，使得OSPF等路由選擇協議快速感知鏈路故障，迅速啟動路由恢復計算，加快網絡路由收斂，從而保障業務持續運營。4.答：OSPF中對鏈路狀態信息的描述都是封裝在LSA中發布出去，常用的六中類型的LSA：①RouterLSA（Type-1）：由每個路由器產生，描述路由器的鏈路狀態和開銷，在其始發的區域內傳播。②NetworkLSA（Type-2）：由DR產生，描述本網段所有路由器的鏈路狀態，在其始發的區域內傳播。③NetworkSummaryLSA（Type-3）：由ABR（AreaBorderRouter，區域邊界路由器）產生，描述區域內某個網段的路由，并通告給其他區域。④ASBRSummaryLSA（Type-4）：由ABR產生，描述到ASBR（AutonomousSystemBoundaryRouter，自治系統邊界路由器）的路由，通告給相關區域。⑤ASExternalLSA（Type-5）：由ASBR產生，描述到AS（AutonomousSystem，自治系統）外部的路由，通告到所有的區域（除了Stub區域和NSSA區域）。⑥NSSAExternalLSA（Type-7）：由NSSA（Not-So-StubbyArea）區域內的ASBR產生，描述到AS外部的路由，僅在NSSA區域內傳播。

項目61.答：NAT（NetworkAddressTranslation）網絡地址轉換對于每位網絡管理員來說都不陌生，它為了解決IPv4地址匱乏問題提出的一種技術措施，大量的內部IPv4私有地址通過重用少量的公網IPv4地址就能訪問互聯網資源。雖然目前IPv6網絡得到大力推廣，但是由于目前大部分網絡設備及應用仍然基于IPv4，在IPv4向IPv6過度期間NAT仍然將發揮其重要的作用。NAT大致可以分為如下幾類：（1）靜態NAT：管理員手動在出口設備配置內部一個私有IP地址對應一個公網IP，這種方式由于并沒有解決IPv4地址匱乏的問題，實際網絡很少用到。（2）動態NAT：管理員在出口設備配置NAT動態轉換地址池，內部主機訪問互聯網時，從地址池中挑出一個空閑的公網IP與內部私有IP進行一對一轉換。（3）NAPT：結合動態NAT轉換的優勢，而且啟用了傳輸層端口轉換，以內部私有IP+端口與外部公網IP+端口映射的的方式，使得多個私有IP地址可以重復映射到同一個公網IP，映射同一公網IP的用戶通過傳輸層端口來區分，NAPT相較于動態NAT更加節約公網IP資源。（4）NATServer：內部業務服務器（如WEB，FTP）需要向互聯網用戶提供服務，NATServer將內部服務器私有IP和服務端口映射到一個或多個固定的公網IP和端口上，當互聯網用戶向映射的公網IP和端口發起服務請求時，通過NATServer映射表和會話表，將Server外網公網地址和端口轉換成內部服務器的內部私網地址和端口，內部服務器將收到請求并作出應答。2.IPSec包括傳輸模式封裝和隧道模式封裝。AH傳輸模式封裝ESP傳輸模式封裝AH隧道模式封裝ESP隧道模式封裝答：L2TP（Layer2TunnelingProtocol，二層隧道協議）允許用戶通過不安全的互聯網（Internet）建立分支與總部或個人與企業的點到點的L2TP隧道，運用該隧道承載PPP（Point-to-PointProtocol，點對點協議）數據幀，允許二層鏈路端點和PPP會話點駐留在不同設備上，將ppp會端點擴展到遠端設備，這樣使得分支或出差的個人用戶利用PPP接入互聯網后，能夠通過L2TP隧道與企業內部網絡通信，訪問企業內部網絡資源，從而為遠端用戶接入私有的企業網絡提供了一種安全、經濟且