一、选择题
1. 当交换机检测到一个数据包携带的目的地址与源地址属于同一个端口时,交换机会怎样处理? ( B )
A. 把数据转发到网络上的其他端口
B. 不再把数据转发到其他端口
C. 在两个端口间传送数据
D. 在工作在不同协议的网络间传送数据
2. 以下关于以太网交换机的说法哪些是正确的? ( D )
A. 以太网交换机是一种工作在网络层的设备
B. 以太网交换机最基本的工作原理就是802.1D
C. 生成树协议解决了以太网交换机组建虚拟私有网的需求
D. 使用以太网交换机可以隔离冲突域
3. 关于交换机交换方式的描述正确的是:( B )
A. 碎片隔离式交换:交换机只检查进入交换机端口的数据帧头部的目的MAC地址部
分,即把数据转发出去
B. 存储转发式交换:交换机要完整地接收一个数据帧,并根据校验的结果以确定是否转发数据
C. 直通式交换:交换机只转发长度大于64字节的数据帧,而隔离掉小于64字节的数据
D. 这些说法全部正确
4. 下面哪些地址可以正确地表示MAC地址:( C )
A. 0067.8GCD.98EF
B. 007D.7000.ES89
C. 0000.3922.6DDB
D. 0098.FFFF.0AS1
5. ( A )为两次握手协议,它通过在网络上以明文的方式传递用户名及口令来对用户进行验证
A. PAP
B. IPCP
C. CHAP
D. RADIUS
6. 在访问控制列表中地址和掩码为168.18.64.0 0.0.3.255表示的IP地址范围( B )
A. 168.18.67.0~168.18.70.255
B. 168.18.64.0~168.18.67.255
C. 168.18.63.0~168.18.64.255
D. 168.18.64.255~168.18.67.255
7. 把一台WWW服务器从一个网段转移到另外一个网段,以下哪个措施能够最好地保持客户端浏览器与WWW服务器之间原有的映射关系? ( D )
A. 改变服务器的IP地址和URL地址
B. 改变服务器的IP地址而不改变URL地址
C. 不改变服务器的IP地址而改变URL地址
D. 不改变服务器的IP地址也不改变URL地址
8. 如果需要配置一个交换机作为网络的根,则应该配置下面哪个参数 ( B )
A. 桥的HelloTime
B. 桥的优先级
C. 该桥所有端口配置为边缘端口
D. 将给该桥所有端口的路径花费配置为最小
9. 广播风暴是如何产生的 ( B )
A. 大量ARP报文产生
B. 存在环路的情况下,如果端口收到一个广播报文,则广播报文会增生从而产生广播风暴
C. 站点太多,产生的广播报文太多
D. 交换机坏了,将所有的报文都广播
10. 下面关于生成树协议的原理描述,哪个是错误的 ( D )
A. 从网络中的所有网桥中,选出一个作为根网桥(Root)
B. 计算本网桥到根网桥的最短路径
C. 对每个LAN,选出离根桥最近的那个网桥作为指定网桥,负责所在LAN上的数据转发
D. 网桥选择若干个根端口,该端口给出的路径是此网桥到根桥的最佳路径
11. 要从一台主机远程登录到另一台主机,使用的应用程序为 ( C )
A. HTTP
B. PING
C. TELNET
D. TRACERT
12. 能正确描述了数据封装的过程的是 ( D )
A. 数据段->数据包->数据帧->数据流->数据
B. 数据流->数据段->数据包->数据帧->数据
C. 数据->数据包->数据段->数据帧->数据流
D. 数据->数据段->数据包->数据帧->数据流
13. 共享式以太网采用了( D )协议以支持总线型的结构
A. ICMP
B. ARP
C. SPX
D. CSMA/CD
14. 一台IP地址为10.110.9.113/21 主机在启动时发出的广播IP是 ( B )
A. 10.110.9.255
B. 10.110.15.255
C. 10.110.255.255
D. 10.255.255.255
15. 采用CSMA/CD技术的以太网上的两台主机同时发送数据,产生碰撞时,主机应该做何处理 ( A )
A. 产生冲突的两台主机停止传输,在一个随机时间后再重新发送
B. 产生冲突的两台主机发送重定向信息,各自寻找一条空闲路径传输帧报文
C. 产生冲突的两台主机停止传输,同时启动计时器,15秒后重传数据
D. 主机发送错误信息,继续传输数据
16. 集线器一般用于哪种网络拓扑中:( B )
A. 总线形
B. 星形网络
C. 环形网络
D. 树形网络
17. 传输层协议端口号小于(端口号可自由分配
A. 100
B. 199
C. 1024
D. 2048
18. IP协议的特征是 ( B )
A. 可靠,无连接
C )的已保留与现有服务一一对应,此数字以上的
B. 不可靠,无连接
C. 可靠,面向连接
D. 不可靠,面向连接
19. 可能会使用以下哪些信息实现地址转换 ( A. IP地址
B. TCP端口号
C. UDP端口号
D. 其他都不是
20. D类地址的缺省子网掩码有( D )位
A. 8
B. 16
C. 24
D. 其他三项都不对
ABC )
21. 交换机如何知道将帧转发到哪个端口 ( A )
A. 用MAC地址表
B. 用ARP地址表
C. 读取源ARP地址
D. 读取源MAC地址
22. 列对OSI参考模型各层对应的数据描述不正确的是:( C )
A. 应用层、表示层和会话层的数据统称为协议数据单元(PDU)
B. 网络层的数据被称为数据报(Datagram)
C. 传输层的数据被称为数据报(Datagram)
D. 物理层的数据被称为数据位(Bits)
23. 哪种网络设备可以屏蔽过量的广播流量?( B )
A. 交换机
B. 路由器
C. 集线器
D. 防火墙
24. 以太网交换机一个端口在接收到数据帧时,如果没有在MAC地址表中查找到目的MAC地址,通常如何处理? ( C )
A. 把以太网帧复制到所有端口
B. 把以太网帧单点传送到特定端口
C. 把以太网帧发送到除本端口以外的所有端口
D. 丢弃该帧
25. 以太网是( A )标准的具体实现
A. IEEE802.3
B. IEEE802.4
C. IEEE802.1Q
D. IEEE802.z
26. 下列对访问控制列表的描述不正确的是:( C )
A. 访问控制列表能决定数据是否可以到达某处
B. 访问控制列表可以用来定义某些过滤器
C. 一旦定义了访问控制列表,则其所规范的某些数据包就会严格被允许或拒绝
D. 访问控制列表可以应用于路由更新的过程当中
27. 分层网络设计模型中的哪一层称为互连网络的高速主干层,其中高可用性和冗余性是该层的关键?( B )
A.接入层 B.核心层 C.数据链路层 D.分布层 E.网络层 F.物理层
28. 分层网络设计模型中的哪一层提供了将设备接入网络的途径并控制允许那些设备通过网络进行通信?( B )
A.应用层 B.接入层 C.分布层 D.网络层 E.核心层
29. 在以太网中,是根据__B_地址来区分不同的设备的。 ( B )
A. LLC地址 B. MAC地址 C. IP地址 D. IPX地址
30. 应该在分层网络的哪一层或哪几层实现链路聚合? ( D )
A.仅核心层 B.分布层和核心层 C.接入层和分布层 D.接入层、分布层和核心层
31. ( B )
请参见图示。如果 SW1 的 MAC 地址表为空,SW1 会对从 PC_A 发送到 PC_C 的帧采取以下哪项操作?
A.SW1 会丢弃该帧。
B.SW1 会将该帧从除端口 Fa0/1 之外的所有端口泛洪出去。
C.SW1 会将该帧从该交换机上除端口 Fa0/23 和 Fa0/1 之外的所有端口泛洪出去。
D.SW1 会采用 CDP 协议同步两台交换机的 MAC 地址表,然后将帧转发到 SW2 上的所有端口。
32. 以下对STORE AND FORWARD描述正确的是(选择两项。) ( CE )
A. 收到数据后不进行任何处理,立即发送
B.收到数据帧头后检测到目标MAC地址,立即发送
C. 收到整个数据后进行CRC校验,确认数据正确性后再发送
D. 发送延时较小
E.发送延时较大
33. 以下对交换机工作方式描述正确的是(选择三项。) ABD )
34. A. 可以使用半双工方式工作
35. B. 可以使用全双工方式工作
36. C.使用全双工方式工作时要进行回路和冲突检测
37. D.使用半双工方式工作时要进行回路和冲突检测38. VLAN的主要作用有(多) ABCD )
39. A. 保证网络安全 . 抑制广播风暴
(
( B
40. C. 简化网络管理 D. 提高网络设计灵活性
41.
请参见图示。所有交换机都配置有默认的网桥优先级。如果所有链路都在相同的带宽下运行,哪个端口将作为非指定端口? ( A )
A. 交换机 A 的 Fa0/1 接口 B.交换机 A 的 Fa0/2 接口
C. 交换机 B 的 Fa0/1 接口 D.交换机 B 的 Fa0/2 接口
E.交换机 C 的 Fa0/1 接口 F.交换机 C 的 Fa0/2 接口
42.
请参见图示。图中显示网络中存在多少个冲突域?( B )
A.1 B.2 C.4 D.6 E.7 F.8
43. 下列关于第 2 层以太网交换机的说法中哪两项正确?(选择两项。)( BE )
A.第 2 层交换机可阻止广播。 B.第 2 层交换机有多个冲突域。
C.第 2 层交换机在不同网络间路由通信。 数量。
D.第 2 层交换机可减少广播域的
E.第 2 层交换机可根据目的 MAC 地址发送通信。
44. 如果网络管理员在交换机上输入以下命令,会有什么结果?( A )
Switch1(config-line)# line console 0
Switch1(config-line)# password cisco
Switch1(config-line)# login
A.采用口令 \"cisco\" 来保护控制台端口。 B.通过将可用的线路数指定为 0 来拒绝用户访问控制台端口。
C.通过提供所需的口令来访问线路配置模式。 D.配置用于远程访问的特权执行
口令。
45. 网络管理员希望将大楼 A 中的主机划分到编号分别为 20 和 30 的 VLAN 中,下列关于 VLAN 配置的说法中哪两项正确? ( AD )
A.可以为这些 VLAN 命名。 B.VLAN 信息保存在启动配置中。
C.手动创建的非默认 VLAN 必须使用扩展范围的 VLAN 编号。
D.网络管理员可在全局配置模式或 VLAN 数据库模式下创建 VLAN。
46.
请参见图示。计算机 1 向计算机 4 发送了一个帧。在计算机 1 与计算机 4 之间路径的哪些链路上会将 VLAN ID 标记添加到该帧中? ( E )
A. A B. A、B C.A、B、D、G D.A、D、F E.C、E
47. 网络管理员希望将大楼 A 中的主机划分到编号分别为 20 和 30 的 VLAN
中,下列关于 VLAN 配置的说法中哪两项正确? (选择两项。) ( AD )
A.可以为这些 VLAN 命名。
B.VLAN 信息保存在启动配置中。
C.手动创建的非默认 VLAN 必须使用扩展范围的 VLAN 编号。
D.网络管理员可在全局配置模式或 VLAN 数据库模式下创建 VLAN。
E.两个 VLAN 都可命名为 BUILDING_A 以与处于不同地理位置的其它 VLAN 区分。
48. 端口处于哪种 STP 状态下时会记录 MAC 地址但不转发用户数据? ( B )
A.阻塞 B.学习 C.禁用 D.侦听 E.转发
49. 网络管理员可采取什么措施来影响 STP 交换机根桥选举?( D )
A.将交换机上的所有接口都配置为静态根端口。
B.将交换机的 BPDU 更改为比网络中的其它交换机的 BPDU 低的值。
C.为交换机分配比网络中其它交换机的 IP 地址小的 IP 地址。
D.将交换机的优先级设置为比网络中的其它交换机的优先级低的值。
50. 当网络中使用 VLAN 间路由时,下列关于 ARP 的说法中哪项正确?( C )
A.当采用单臂路由器 VLAN 间路由时,每个子接口在响应 ARP 请求时都会发送独立的 MAC 地址。
B.当采用 VLAN 时,交换机收到 PC 发来的 ARP 请求后,会使用通向该 PC 的端口的 MAC 地址来响应该 ARP 请求。
C.当采用单臂路由器 VLAN 间路由时,路由器会使用物理接口的 MAC 地址响应 ARP 请求。
D.当采用传统的 VLAN 间路由时,所有 VLAN 中的设备均使用同一个物理路由器接口作为它们的代理 ARP 应答来源。
51. 在实施 VLAN 间路由的过程中,在配置路由器的子接口时必须考虑什么重要事项?( D )
A.该物理接口必须配置有 IP 地址。
B.子接口编号必须与 VLAN ID 号匹配。
C.必须在每个子接口上运行 no shutdown 命令。
D.各个子接口的 IP 地址必须是各个 VLAN 子网的默认网关地址。
52. 某路由器有两个快速以太网接口,需要连接到本地网络中的四个 VLAN。在不降低网络必要性能的情况下,如何才能使用数量最少的物理接口达到此要求? ( A )
A.实施单臂路由器配置。
B.另加一台路由器来处理 VLAN 间的通信。
C.使用集线器将四个 VLAN 与路由器上的一个快速以太网接口相连。
D.VLAN 之间通过另外两个快速以太网接口互连。
53. 可采用哪两种方法删除交换机的 MAC 地址表中的条目? ( AC )
A.关闭交换机电源并再次打开以清除所有动态获知的地址。
B.可采用 clear switching-tables 命令删除静态配置的条目。
C.可采用 clear mac-address-table 命令删除静态配置和动态配置的条目。
D.可采用 erase flash 命令删除静态配置的所有条目。
E.在交换机端口不活动达 300 分钟后,地址表中静态配置的 MAC 地址会被自动删
除。
54. 访问控制列表配置中,操作符“gt portnumber”表示控制的是 ( B )
55. A.可以为这些 VLAN 命名。 B.端口号大于此数字的服务
56. C.端口号等于此数字的服务 D.端口号不等于此数字的服务
57. 使用 NAT 的两个好处是什么? (选择两项。) ( AB )
58. A.它可节省公有 IP 地址。 B. 它可增强网络的私密性和安全性。
59. C.它可增强路由性能。 D. 它可降低路由问题故障排除的难度。
E.它可降低通过 IPsec 实现隧道的复杂度。
60. 下列对于PAP协议描述正确的是(多) ( AC )
61. A. 使用两步握手方式完成验证 B. 使用三步握手方式完成
验证
62. C. 使用明文密码进行验证 D. 使用加密密码进行验证
63. 请参见图示。网络管理员计划要在 S3 上的整个 VTP 域内多共享五个 VLAN。
管理员在另行创建 VLAN 之前应该采取什么措施? ( A )
A. 在处于 VTP 服务器模式的一台交换机上创建 VLAN 并允许这些 VLAN 传播到域中的其它交换机上。 B. 将配置修订版号修改为 10 以支持另行额外的 VLAN。
C. 启用 VTP 修剪模式以便在 S3 上创建 VLAN。
D. 启用 VTP v2 模式。
64.
请参见图示。管理员记录下一台以太网交换机的 CAM 表输出,内容如图所示。当该交换机收到图中底部所示的帧时,会进行什么操作? ( E )
A.丢弃该帧 B. 将该帧从端口 2 转发出去
C. 将该帧从端口 3 转发出去 D. 将该帧转发出所有端口
E.将该帧从除端口 3 以外的所有端口转发出去
65. 与平面网络设计相比,分层网络模型有哪两项优点?(选择两项。) ( BE )
66. A. 设备成本降低 B.网络可用性提高
C. 杜绝设备停机事件 D.物理网络布局范围减小
E.管理和故障排除工作简化 F.无需第 3 层功能
67. dhcp客户端是使用地址____来申请一个新的ip地址的 ( A )
68. A.0.0.0.0
69. B.10.0.0.1
70. C.127.0.0.1
71. D.255.255.255.255
72. 标准访问控制列表应该放置在哪里? ( B )
A.靠近源地址 B.靠近目的地址 C.在以太网端口上 D.在串行端口上
73. 一名技术员正在创建 ACL,他需要仅指示子网 172.16.16.0/21 的方法。使用下列哪种网络地址和通配符掩码的组合可以完成这项任务? ( C )
A.172.16.0.0 0.0.255.255
B.127.16.16.0 0.0.0.255
C.172.16.16.0 0.0.7.255
D.172.16.16.0 0.0.15.255
E.172.16.16.0 0.0.255.255
74. 访问控制列表 access-list 101 permit ip 10.25.30.0 0.0.0.255 any 的结果是 ( B )
A. 允许源地址匹配10.25.30.0前24位的所有数据包到达任何目的地址
B. 允许目的地址匹配10.25.30.0前24位的所有数据包到达任何目的地址
C. 允许所有从其他子网来的数据包到达所有的目的地址
D. 允许所有主机位在源地址的数据包到达所有的目的地址
二、简答题
1. 请简述STP协议判断最短路径的规则
答:①比较路径开销,带宽越小开销越大;
② 比较发送者的Bridge ID,选择参数小的;
③ 比较发送者的Port ID,选择参数小的;
④ 比较接收者的Port ID,选择参数小的
2. 请简要说明交换网络中为什么形成环路、产生广播风暴的原理?
答:交换网络中单链路的网络容易形成单点故障,为了缓解单点故障对网络造成的影响,希望能够在交换网络中提供冗余链路,也就是从一点到达另一点时有多条链路可以达到。
交换机对于广播帧的处理方式是除接收数据接口外,向其他所有接口进行复制、扩散。这样,在存在环路的交换网络中,只要有一个广播数据帧,所有交换机将不停地复制、扩散,在很短的时间内使整个交换网络中充斥着大量的广播数据,占用大量的带宽和设备CPU资源,从而造成全网性能下降或网络中断。
3. 请讲述交换机的启动过程
答:①交换机开机加电自检硬件;
②交换机从ROM中读取微代码从FLASH中加载操作系统
③将操作系统加载到RAM中,操作系统启动完成
④系统从FLASH中检测是否有配置文件(config.text),如有,将配置文件加载到RAM中(running-config)
⑤如无配置文件,将启动setup命令,进行交互式基本配置。
4. 二层交换机与路由器有什么区别,为什么交换机一般用于局域网内主机的互联,不能实现不同IP网络的主机互相访问。
答:①从OSI的角度分析交换机和路由器的区别:
交换机属于数据链路层设备,识别数据帧的MAC地址信息进行转发;路由器属于网络层设备,通过识别网络层的IP地址信息进行数据转发。
②数据处理方式的区别:
交换机对于数据帧进行转发,交换机不隔离广播,交换机对于未知数据帧进行扩散;路由器对IP包进行转发,路由器不转发广播包,路由器对于未知数据包进行丢弃。
③数据转发性能方面:
交换机是基于硬件的二层数据转达,转发性能强;路由器是基于软件的三层数据转发,转发性能相对较差。
④接口类型:
交换机一般只具备以太网接口,类型单一,接口密度大;路由器能够提供各种类型的广域网接口,能够连接不同类型的网络链路,接口数较少。
⑤应用环境:
交换机一般应用于局域网内部,大量用户的网络接入设备。路由器一般用于网络间的互联。
5. 请讲述VLAN技术的种类和各自的特点
答:①基于端口的VLAN:针对交换机的端口进行VLAN的划分,不受主机的变化影
响
②基于协议的VLAN:在一个物理网络中针对不同的网络层协议进行安全划分
③基于MAC地址的VLAN:基于主机的MAC地址进行VLAN划分,主机可以任意在网络移动而不需要重新划分
④基于组播的VLAN:基于组播应用进行用户的划分
⑤基于IP子网的VLAN:针对不同的用户分配不同子网的IP地址,从而隔离用户主机,一般情况下结合基于端口的VLAN进行应用
6. 请简要说明一下NAT可以解决的问题以及NAT受到的限制。
答:NAT可以解决的问题:
① 解决地址空间不足的问题; ② 私有IP地址网络与公网互联;
③ 非注册IP地址网络与公网互联; ④ 网络改造中,避免更改地址带来的风险
NAT受到的限制:
①影响网络性能; ②不能处理IP报头加密的报文;
③无法实现端到端的路径跟踪(traceroute);④某些应用可能支持不了:内嵌IP地
址
7. PAP和CHAP各自的特点是什么?
答:PAP的特点:
① 由客户端发出验证请求,服务器端无法区分是否为合法请求,可能引起攻击
② 客户端直接将用户名和密码等验证信息以明文方式发送给服务器端,安全性低
③ 由客户端发出验证请求,容易引起客户端利用穷举法暴力破解密码
④相比CHAP性能高,两次握手完成验证
CHAP的特点:
① 由服务器端发出挑战报文 ② 在整个认证过程中不发送用户名和密码
③解决了PAP容易引起的问题 ④ 占用网络资源,认证过程相对于PAP慢
8. 请问端口号的作用是什么?请问当一台客户端主机访问互联网某服务器的WEB服务时,传输层封装的源端口、目的端口分别是什么?
答:1、传输层端口号的作用:区分上层应用层的不同应用服务进程的
2、客户端向服务器端发数据时,源端口为大于1024随机端口,如 1150,目的
端口为服务器WEB服务端口,如 80 。
3、当服务器端向客户端发数据时,源端口为80,目的端口为1150 。
9. IP地址与MAC地址的区别:
答:1、IP地址是网络层逻辑地址,MAC地址是数据链路层物理地址;
2、IP地址用于表示网络中某设备或节点的身份;
3、MAC地址用于表示某设备或节点在本以太网链路中的物理地址;
4、IP地址由32位,MAC由48位组成;
5、IP地址可区别不同网段,MAC地址无法进行区分。
10. ARP协议的工作原理:
答:TCP/IP协议中,A给B发送IP包时,在A不知道B的MAC地址情况下,A就广播一个ARP请求包,请求包中填有B的IP,以太网中的所有计算机都会接收这个请求,正常情况下只有B会给出ARP应答包,包中就填充上了B的MAC地址,并回复给A,A得到ARP应答后,将B的MAC地址放入本机缓存,便于下次使用。
11. 交换网络中运行了生成树协议,在主要链路断开,到启用备份链路中间需要经过几个阶段?有什么特点?
答:Blocking learning listening forwarding discarding
1、Blocking 接收BPDU,不学习MAC地址,不转发数据帧
2、Listening 接收BPDU,不学习MAC地址,不转发数据帧,但交换机向其他交换机通告该端口,参与选举根端口或指定端口
3、Learning 接收BPDU,学习MAC地址,不转发数据帧
4、Forwarding 正常转发数据帧
12. 应用访问控制列表规则时的建议方法是?原因?
答:标准访问列表一般应用在,离目的比较近的位置,
扩展访问列表一般应用在,离源比较近的位置。
原因:标准访问列表是根据数据的源地址进行过滤的,无法过滤数据包的目的地址,如果应用在离源比较近的位置可能会造成对其他网络的访问影响。例:拒绝192.168.1.0 访问192.168.2.0 但可以访问192.168.3.0。如果在192.168.1.0所在的接口应用的规则,那192.168.1.0 将无法访问192.168.3.0。但如果将规则应用在192.168.2.0所在接口将不会造成影响。
扩展访问列表是根据数据的多种元素进行过滤的,根据通过多重信息对数据进行准确的过滤和处理,一般规则定义正确的话,不会对其他的网络访问造成影响,为了节省网络带宽资源,一般应用在离源近的位置。
13. MAC地址表的作用及形成过程?
14. 请叙述园区网络分层模型中的三个层次的特点、作用和组成?
答:园区网络分层模型有三个层次:接入层,分布层,核心层。
接入层的主要目的是提供一种将设备连接到网络并控制允许网络上的哪些设备进行通信的方法。二层交换机。分布层先汇聚接入层交换机发送的数据,再将其传输到核心层,最后发送到最终目的地。三层交换机,核心层是网际网络的高速主干。核心层也可连接到Internet 资源。
15. 说明何谓NAT?动态NAT和静态NAT、PAT过载三者之间的区别?
1、静态地址转换适用的环境
静态地址转换将内部本地地址与内部合法地址进行一对一的转换,且需要指定和哪个合法地址进行转换。
E-mail服务器或FTP服务器等可以为外部用户提供的服务,这些服务器的IP地址必须采用静态地址转换,以便外部用户可以使用这些服务。
2、动态地址转换适用的环境:
动态地址转换也是将本地地址与内部合法地址一对一的转换,但是动态地址转换是从内部合法地址池中动态地选择一个末使用的地址对内部本地地址进行转换。
3、复用动态地址转换适用的环境:
复用动态地址转换首先是一种动态地址转换,但是它可以允许多个内部本地地址共用一个内部合法地址。只申请到少量IP地址但却经常同时有多于合法地址个数的用户上外部网络的情况,这种转换极为有用。
注意:当多个用户同时使用一个IP地址,外部网络通过路由器内部利用上层的如TCP或UDP端口号等唯一标识某台计算机。 ,也称多对一NAT,地址过载(address overloading),NAT过载,PAT (port level NAT)
三、填空
1. 在处于不同的 VLAN 中的设备间配置通信需要使用 OSI 模型中 层。
2. 交换机可以工作在第二、第三、第四层,对应的技术称为第二层、第三层和每四层交换技术,第 层交换机是目前使用最多的交换机。
3. 在分层模型中的 层上,交换机通常不需要以线路速度来处理所有端口。
4. Cisco IOS中都可以使用符号 获取命令及其用法的帮助。
5. 在TCP/IP网络中,主机用IP地址来标识和区分,IP地址由 地址和主机地址(或称网络号和主机号)两部分组成。
6. ACL 可使用 、 、 三个参数来过滤流量
7. 网络中的主机(计算机或其他网络设备)可使用两种地址:MAC地址和IP地址。 地址用于在数据链路的通信,是网卡的物理地址,而后者则是用于确定主机位置的逻辑地址。
8. 网络管理员应该使用哪种 NAT 来确保外部网络一直可访问内部网络中的 web 服务器
1. VTP有那三种模式: 透明 服务器 客户端 。
2. 第二层的网络设备有: 交换机 、 网卡 、 网桥 。
3. 交换机转发数据帧的几种方式是 直通 , 存储转发 。
4. 解决网桥循环问题采用的是 stp 。
5. 在IP协议中,标准访问控制列表对应的列表号是_1-99__,扩展访问控制列表对应的列表号是_100-199__。
6. 数据链路层分为: mac 和 llc 两个子层。
7. VLAN有那2种: 动态 、静态 。
8. NAT有哪3种: 动态 、 静态 、 pat 。
9. PPP协议的身份验证协议有 pap 、 chap 等。
10. 生成树有哪3个阶段: 阻塞 监听 学习 转发 。
11. 数据链路层的网络协议有: ppp 、 hdlc 、 帧中继 。
12. 交换机环路带来的问题有 地址表不稳定 , 多帧复制 。
13. 访问控制列表基本上分为__标准_和____扩展__两种。。
14. 数据链路层分为: mac 和 hdlc 两个子层。
15. ISDN服务有____B____和 _____D_____两种接口。
16. NAT有哪3种: 静态 、 动态 、 过载 。
17. PPP协议的身份验证协议有 pap 、 CHAP 等。
18.802.1Q协议规定表示VLAN ID的Bit位数 12
配置题:
CISCO路由器上的NAT配置
一、NAT简介
NAT(Network Address Translation)的功能,就是指在一个网络内部,根据需要可以随意自定义的IP地址,而不需要经过申请。在网络内部,各计算机间通过内部的IP地址
进行通讯。而当内部的计算机要与外部internet网络进行通讯时,具有NAT功能的设备(比如:路由器)负责将其内部的IP地址转换为合法的IP地址(即经过申请的IP地址)进行通信。
二、NAT的应用环境
情况1:一个企业不想让外部网络用户知道自己的网络内部结构,可以通过NAT将内部网络与外部Internet隔离开,则外部用户根本不知道通过NAT设置的内部IP地址。
情况2:一个企业申请的合法Internet IP地址很少,而内部网络用户很多。可以通过NAT功能实现多个用户同时公用一个合法IP与外部Internet 进行通信。
三、设置NAT所需路由器的硬件配置和软件配置:
设置NAT功能的路由器至少要有一个内部端口(Inside),一个外部端口(Outside)。内部端口连接的网络用户使用的是内部IP地址。
内部端口可以为任意一个路由器端口。外部端口连接的是外部的网络,如Internet。外部端口可以为路由器上的任意端口。
设置NAT功能的路由器的IOS应支持NAT功能(本文示例所用路由器为Cisco2501,其IOS为11.2版本以上支持NAT功能)。
四、关于NAT的几个概念:
内部本地地址(Inside local address):分配给内部网络中的计算机的内部IP地址。
内部合法地址(Inside global address):对外进入IP通信时,代表一个或多个内部本地地址的合法IP地址。需要申请才可取得的IP地址。
五、思科路由器上NAT通常有3种应用方式,分别适用于不同的需求:
1. 静态地址转换:静态地址转换将内部本地地址与内部合法地址进行一对一的转换,且需要指定和哪个合法地址进行转换。如果内部网络有E-mail服务器或FTP服务器等可以为外部用户提供的服务,这些服务器的IP地址必须采用静态地址转换,以便外部用户可以使用这些服务。适用于企部业内部服务器向企业网外部提供服务(如WEB,FTP等),需要建立服务器内地址到固定合法地址的静态映射。
2. 动态地址转换:动态地址转换也是将本地地址与内部合法地址一对一的转换,但是动态地址转换是从内部合法地址池中动态地选择一个末使用的地址对内部本地地址进行转换。常适用于租用的地址数量较多的情况;企业可以根据访问需求,建立多个地址池,绑定到不同的部门。这样既增强了管理的粒度,又简化了排错的过程。
3. 端口地址复用:复用动态地址转换首先是一种动态地址转换,但是它可以允许多个内部本地地址共用一个内部合法地址。只申请到少量IP地址但却经常同时有多于合法地址个数的用户上外部网络的情况,这种转换极为有用。适用于地址数很少,多个用户需要同时访问互联网的情况。
六、配置步骤
1.静态地址转换
1) 在内部本地地址与内部合法地址之间建立静态地址转换。在全局设置状态下输入:
2) Ip nat inside source static 内部本地地址 内部合法地址
3) 指定连接网络的内部端口 在端口设置状态下输入:
4) ip nat inside
5) 指定连接外部网络的外部端口 在端口设置状态下输入:
6) ip nat outside
7) 注:可以根据实际需要定义多个内部端口及多个外部端口。
2.动态地址转换
1) 在全局设置模式下,定义内部合法地址池
2) ip nat pool 地址池名称 起始IP地址 终止IP地址 子网掩码
3) 其中地址池名称可以任意设定。
4) 在全局设置模式下,定义一个标准的access-list规则以允许哪些内部地址可以进行动态地址转换。
5) Access-list 标号 permit 源地址 通配符
6) 其中标号为1-99之间的整数。
7) 在全局设置模式下,将由access-list指定的内部本地地址与指定的内部合法地址池进行地址转换。
8) ip nat inside source list 访问列表标号 pool 内部合法地址池名字
9) 指定与内部网络相连的内部端口在端口设置状态下:
10) ip nat inside
11) 指定与外部网络相连的外部端口
12) ip nat outside
3.PAT
1) 在全局设置模式下,定义内部合法地址池
2) ip nat pool 地址池名称 起始IP地址 终止IP地址 子网掩码
3) 其中地址池名称可以任意设定。
4) 在全局设置模式下,定义一个标准的access-list规则以允许哪些内部地址可以进行动态地址转换。
5) Access-list 标号 permit 源地址 通配符
6) 其中标号为1-99之间的整数。
7) 在全局设置模式下,将由access-list指定的内部本地地址与指定的内部合法地址池进行地址转换。
8) ip nat inside source list 访问列表标号 pool 内部合法地址池名字 overload
9) 指定与内部网络相连的内部端口在端口设置状态下:
10) ip nat inside
11) 指定与外部网络相连的外部端口
12) ip nat outside
七、配置实例
互联网如火如荼的应用,加NAT(Network Address Translat企业可以仅使用较少的互联网有时提供了一定的安全性。
NAT的实现方案多种多样,本文以思科2611路由器为平台,通过一个实例描述了NAT的应用。
如图1所示,企业从ISP获得6个有效IP地址(202.103.100.128~202.103.100.135,掩码为255.255.255.248,128和135为网络地址和广播地址,不可用),通过一台2611路由器接入互联网。内部网络根据职能分成若干子网,并期望服务器子网对外提供WEB服务,财务部门使用独立的地址池接入互联网,其它部门共用剩余的地址池。地址具体分配如下表:
具体配置步骤如下:
1.选择E0作为内部接口,S0作为外部接口
interface e0
ip address 192.168.100.1 255.255.255.0
ip nat inside/*配置e0为内部接口*/
interface s0
ip address 202.103.100.129 255.255.255.248
ip nat outside/*配置s0为外部接口*/
2.为各部门配置地址池(finance-财务部门;other-其它部门):
ip nat pool finance 202.103.100.131 202.103.100.131 netmask 255.255.255.248
ip nat pool other 202.103.100.132 202.103.100.134 netmask 255.255.255.248
3.用访问控制列表检查数据包的源地址并映射到不同的地址池
ip nat inside source list 1 pool finance overload /*overload-启用端口复用
*/
ip nat inside source list 2 pool other /*动态地址转换*/
4.定义访问控制列表
access-list 1 permit 192.168.20.0 0.0.0.255
access-list 2 permit 192.168.30.0 0.0.0.255
5.建立静态地址转换,并开放WEB端口(TCP 80)
ip nat inside source static tcp 192.168.10.2 80 202.103.100.130 80
6.设置缺省路由
ip route 0.0.0.0 0.0.0.0 s0
经过上述配置后,互联网上的主机可以通过202.103.100.130:80访问到企业内部WEB服务器192.168.10.2;财务部门的接入请求将映射到202.103.100.131;其它部门的接入请求被映射到202.103.100.131~134地址段。至此,一个企业NAT互联网接入方案就完成了。
单臂路由实现VLAN间路由
1.实验通过本实验,读者可以掌握如下技能:
①路由器以太网接口上的子接口;
②单臂路由实现VLAN间路由的配置。
2.实验拓扑
实验拓扑图如图15-3所示。
图15-3 实验1拓扑图
3.实验步骤
我们要用R1来实现分别处于VLAN1和VLAN2的PC1和PC2间的通信。
(1)步骤1:在S1上划分VLAN
S1(config)#vlan 2
S1(config-vlan)#exit
S1(config)#int f0/5
S1(config-if)#switchport mode access
S1(config-if)#switchport access vlan 1
S1(config-if)#in f0/6
S1(config-if)#switchport mode access
S1(config-if)#switchport access vlan 2
(2)步骤2:要先把交换上的以太网接口配置成Trunk接口
S1(config)#int f0/1
S1(config-if)#switch trunk enacp dot1q
S1(config-if)#switch mode trunk
(3)在路由器的物理以太网接口下创建子接口,并定义封装类型
R1(config)#int g0/0
R1(config-if)#no shutdown
R1(config)#int g0/0.1
R1(config-subif)#encapture dot1q 1 native
//以上是定义该子接口承载哪个VLAN流量,由于交换上的Native VLAN是VLAN 1,所以我们这里也要指明该VLAN就是Native VLAN。实际上,默认时,Native VLAN就是VLAN 1
R1(config-subif)#ip address 172.16.1.254 255.255.255.0
//在子接口上配置IP地址,这个地址就是VLAN 1的网关
R1(config)#int g0/0.2
R1(config-subif)#encapture dot1q 1
R1(config-subif)#ip address 172.16.2.254 255.255.255.0
因篇幅问题不能全部显示,请点此查看更多更全内容