网络管理与维护第四版课后答案彭治湘

网络管理与维护课后习题参考答案项目11.答：略。2.答：1、配置管理包括网络运维管理中对设备开局初始化，运营过程中的设备配置管理与维护，必要时设备的关闭与重新启动等一系列操作。2、故障管理旨在快速的发现、定位、恢复网络故障，实时动态的维护网络的有效性。3、网络性能管理即通过实时地持续性地对管理的网络进行主要性能指标的监测，预测网络运行趋势，对已经发生或可能发生的网络性能瓶颈及时发现，为网络性能优化和管理提供支持和依据。4、网络安全管理是指通过加密、认证、数字签名等一系列安全访问控制措施使得网络资源不被非法访问，网络系统可以有效的防止非法入侵，网络操作与事件具备符合国家安全法律法规的记录和可追溯性，从而确保网络可以安全可靠的承载数据和业务。5、计费管理一方面是正确计算和收取使用网络服务的用户的费用，另一方面通过网络成本投入与收益的核算，考核网络运营经济效益。在实践中，网络计费通常有基于流量计费、基于时间计费和基于服务计费三种类型。3.分享一次运行命令行工具进行的简单的网络故障排除的过程。答：略。项目2填空题蓝橙绿棕超5类橙白-1橙-2绿白-3蓝-4蓝白-5绿-6棕白-7棕-8布线光缆光纤跳线光纤连接器玻璃胶套硅塑料单模参考值选择题D（2）C（3）C（4）D（5）B（6）A（7）D（8）A

项目3参考拓扑如下图所示：

项目41.答：VLAN聚合技术通过引入超级VLAN和子VLAN的概念，使每个子VLAN对应一个广播域，并让多个子VLAN和一个超级VLAN关联，只给超级VLAN分配一个IP子网，所有子VLAN都使用超级VLAN的IP子网和缺省网关进行三层通信。这样，多个子VLAN共享一个网关地址，节约了子网号、子网定向广播地址、子网缺省网关地址，且各子VLAN间的界线也不再是从前的子网界线了，它们可以根据各自主机的需求数目在超级VLAN对应子网内灵活的划分地址范围，从而即保证了各个子VLAN作为一个独立广播域实现广播隔离，又节省了IP地址资源，提高了编址的灵活性。华为的VLAN聚合和华三的superVLAN能提供类似功能。2.答：参考关键命令如下：①系统视图下，配置设备MSTP工作模式执行命令stpmodemstp，配置交换设备的MSTP工作模式。缺省情况下，交换设备的工作模式为MSTP。②配置MST域并激活执行命令system-view，进入系统视图。执行命令stpregion-configuration，进入MST域视图。执行命令region-namename，配置MST域的域名。缺省情况下，MST域的域名等于交换设备桥MAC的MAC地址。执行命令instanceinstance-idvlan{vlan-id1[tovlan-id2]}&<1-10>，配置多生成树实例和VLAN的映射关系。缺省情况下，MST域内所有的VLAN都映射到生成树实例0。在确认域参数无误后，执行命令activeregion-configuration激活新的MST域配置，此时MSTP域名、VLAN映射表和MSTP修订级别生效。参考拓扑如下图所示。3.答：常见的ARP共计主要有：ARP欺骗攻击和ARP泛洪攻击。(1)ARP欺骗主要是攻击者伪造ARP应答报文或主动向目标主机发送ARP应答报文，而收到到ARP应答报文的主机会依据收到的报文修改本地ARP缓存，并使用伪造的MAC地址通信，攻击者可以有机会截获目标主机前往外部或者特定主机的信息。ARP欺骗攻击防御方法：ARP表项固化，动态ARP检测，ARP防网关冲突，ARP报文合法性检查等。(2)ARP泛洪攻击是一种DoS攻击，其主要手段是在同一时间段内伪造大量的ARP报文，使得设备资源耗尽无法处理合法用户的请求导致通信故障。设备处理ARP报文和维护ARP表项都需要消耗系统资源，同时为了满足ARP表项查询效率的要求，一般设备都会对ARP表项规模有规格限制。攻击者就利用这一点，通过伪造大量源IP地址变化的ARP报文，使得设备ARP表资源被无效的ARP条目耗尽，合法用户的ARP报文不能继续生成ARP条目，导致正常通信中断。攻击者利用工具扫描本网段主机或者进行跨网段扫描时，会向设备发送大量目标IP地址不能解析的IP报文，导致设备触发大量ARPMiss消息，生成并下发大量临时ARP表项，并广播大量ARP请求报文以对目标IP地址进行解析，从而造成CPU（CentralProcessingUnit）负荷过重，严重的影响设备的报文转发效率。ARP泛洪攻击防御措施：ARP报文限速，ARP表项严格学习，ARP表项限制，禁止接口学习ARP表项等。

项目5填空题network子网通配符掩码DHCPDISCOVERDHCPOFFERDHCPREQUESTDHCPACK128FE80::/10简答题1.答：DHCPv6客户端通常情况交互4个报文完成地址获取从而接入网络：图5-19DHCPv6客户端接入(1)DHCPv6客户端组播发送Solicit报文，请求DHCPv6服务器为其分配IPv6地址和网络配置参数。(2)DHCPv6服务器响应Advertise报文，通知客户端可以为其分配的地址和网络配置参数。(3)如果DHCPv6客户端接收到多个服务器响应的Advertise报文，一般根据报文达到顺序和报文中的服务器优先级等参数，选择一台服务器并向所有的服务器发送Request组播报文，该报文中携带已选择的DHCPv6服务器的DUID。(4)DHCPv6服务器响应Reply报文，确认将地址和网络配置参数分配给客户端使用。2.答：VRRP的工作过程如下：①VRRP备份组中的设备根据优先级选举出Master。Master设备通过发送免费ARP报文，将虚拟MAC地址通知给与它连接的设备或者主机，从而承担报文转发任务。②Master设备周期性向备份组内所有Backup设备发送VRRP通告报文，以公布其配置信息（优先级等）和工作状况。③如果Master设备出现故障，VRRP备份组中的Backup设备将根据优先级重新选举新的Master。④VRRP备份组状态切换时，Master设备由一台设备切换为另外一台设备，新的Master设备会立即发送携带虚拟路由器的虚拟MAC地址和虚拟IP地址信息的免费ARP报文，刷新与它连接的主机或设备中的MAC表项，从而把用户流量引到新的Master设备上来，整个过程对用户完全透明。⑤原Master设备故障恢复时，若该设备为IP地址拥有者（优先级为255），将直接切换至Master状态。若该设备优先级小于255，将首先切换至Backup状态，且其优先级恢复为故障前配置的优先级。⑥Backup设备的优先级高于Master设备时，由Backup设备的工作方式（抢占方式和非抢占方式）决定是否重新选举Master。抢占模式：在抢占模式下，如果Backup设备的优先级比当前Master设备的优先级高，则主动将自己切换成Master。非抢占模式：在非抢占模式下，只要Master设备没有出现故障，Backup设备即使随后被配置了更高的优先级也不会成为Master设备。VRRP两种典型应用场景：①VRRP主备应用，②VRRP负载分担应用。3.答：双向转发检测BFD（BidirectionalForwardingDetection）BFD协议是一种与传输介质无关、与传输协议无关的故障检测协议，具有检测速度快、实时性高、部署简单易用的特点，BFD能够支持设备接口故障、数据链路故障和设备本身引发的故障。BFD通过在意定的端到端的两台设备之间建立会话，用来检测网络设备间的双向转发路径，为上层应用服务，BFD支持与静态路由、OSPF、BGP、VRRP等多种协议联动，及时将故障信息传递给联动的应用协议，使设备具备毫秒的故障检测能力，使得OSPF等路由选择协议快速感知链路故障，迅速启动路由恢复计算，加快网络路由收敛，从而保障业务持续运营。4.答：OSPF中对链路状态信息的描述都是封装在LSA中发布出去，常用的六中类型的LSA：①RouterLSA（Type-1）：由每个路由器产生，描述路由器的链路状态和开销，在其始发的区域内传播。②NetworkLSA（Type-2）：由DR产生，描述本网段所有路由器的链路状态，在其始发的区域内传播。③NetworkSummaryLSA（Type-3）：由ABR（AreaBorderRouter，区域边界路由器）产生，描述区域内某个网段的路由，并通告给其他区域。④ASBRSummaryLSA（Type-4）：由ABR产生，描述到ASBR（AutonomousSystemBoundaryRouter，自治系统边界路由器）的路由，通告给相关区域。⑤ASExternalLSA（Type-5）：由ASBR产生，描述到AS（AutonomousSystem，自治系统）外部的路由，通告到所有的区域（除了Stub区域和NSSA区域）。⑥NSSAExternalLSA（Type-7）：由NSSA（Not-So-StubbyArea）区域内的ASBR产生，描述到AS外部的路由，仅在NSSA区域内传播。

项目61.答：NAT（NetworkAddressTranslation）网络地址转换对于每位网络管理员来说都不陌生，它为了解决IPv4地址匮乏问题提出的一种技术措施，大量的内部IPv4私有地址通过重用少量的公网IPv4地址就能访问互联网资源。虽然目前IPv6网络得到大力推广，但是由于目前大部分网络设备及应用仍然基于IPv4，在IPv4向IPv6过度期间NAT仍然将发挥其重要的作用。NAT大致可以分为如下几类：（1）静态NAT：管理员手动在出口设备配置内部一个私有IP地址对应一个公网IP，这种方式由于并没有解决IPv4地址匮乏的问题，实际网络很少用到。（2）动态NAT：管理员在出口设备配置NAT动态转换地址池，内部主机访问互联网时，从地址池中挑出一个空闲的公网IP与内部私有IP进行一对一转换。（3）NAPT：结合动态NAT转换的优势，而且启用了传输层端口转换，以内部私有IP+端口与外部公网IP+端口映射的的方式，使得多个私有IP地址可以重复映射到同一个公网IP，映射同一公网IP的用户通过传输层端口来区分，NAPT相较于动态NAT更加节约公网IP资源。（4）NATServer：内部业务服务器（如WEB，FTP）需要向互联网用户提供服务，NATServer将内部服务器私有IP和服务端口映射到一个或多个固定的公网IP和端口上，当互联网用户向映射的公网IP和端口发起服务请求时，通过NATServer映射表和会话表，将Server外网公网地址和端口转换成内部服务器的内部私网地址和端口，内部服务器将收到请求并作出应答。2.IPSec包括传输模式封装和隧道模式封装。AH传输模式封装ESP传输模式封装AH隧道模式封装ESP隧道模式封装答：L2TP（Layer2TunnelingProtocol，二层隧道协议）允许用户通过不安全的互联网（Internet）建立分支与总部或个人与企业的点到点的L2TP隧道，运用该隧道承载PPP（Point-to-PointProtocol，点对点协议）数据帧，允许二层链路端点和PPP会话点驻留在不同设备上，将ppp会端点扩展到远端设备，这样使得分支或出差的个人用户利用PPP接入互联网后，能够通过L2TP隧道与企业内部网络通信，访问企业内部网络资源，从而为远端用户接入私有的企业网络提供了一种安全、经济且