交換與路由技術(shù)李春平課后參考答案

習題參考答案第一章一、選擇題（單選）1.A2.D3.A4.D5.C6.A7.C8.D9.A10.C11.C12.B13.A14.B15.C16.A17.C18.D19.A20.B21.C22.B23.D24.B25.A二、判斷題1.√2.√3.×4.×5.√6.√7.×8.√9.√10.×三、問答題1.答：從本質(zhì)上說，由物理層、數(shù)據(jù)鏈路層和網(wǎng)絡層組成的通信子網(wǎng)為網(wǎng)絡環(huán)境中的主機提供。點到點的服務，而傳輸層為網(wǎng)絡中的主機提供端到端的通信．直接相連的結(jié)點之間的通信叫點到點通信．它只提供一臺機器到另一臺機器之間的通信不會涉及程序或進程的概念。同時點到點通信并不能保證數(shù)據(jù)傳輸?shù)目煽啃?，也不能說明源主機與目的主機之間是哪兩個進程在通信，這些工作都是由傳輸層來完成的。端到端通信建立在點到點通信的基礎(chǔ)上．它是由一段段的點到點通信信道構(gòu)成的，是比點到點通信更高一級的通信方式，以完成應用程序（進程）之間的通信?！岸恕笔侵赣脩舫绦虻亩丝?，端口號標識了應用層中不同的進程。2.答：第一點：①OSI參考模型有七層:應用層：為用戶提供使用網(wǎng)絡的接口或手段。表示層：數(shù)據(jù)格式轉(zhuǎn)換、數(shù)據(jù)加密和解密等。會話層：進行會話管理與會話同步。傳輸層：在端到端之間可靠地傳輸報文。網(wǎng)絡層：在源和目的結(jié)點之間選擇路由和控制擁塞。數(shù)據(jù)鏈路層：在相鄰結(jié)點之間無差錯地傳輸幀。物理層：透明地傳輸原始比特流。發(fā)送數(shù)據(jù)時從應用層開始，每經(jīng)過一層就附加控制信息，到數(shù)據(jù)鏈路層將信息加上首和尾后變成幀，經(jīng)物理層發(fā)送到接收方。目的系統(tǒng)接收數(shù)據(jù)后按照相反的動作層層去掉控制信息，最后把數(shù)據(jù)傳送給接收方。TCP／IP體系結(jié)構(gòu)分為：網(wǎng)絡接口層、網(wǎng)際層、傳輸層、應用層。②相似點：都是獨立的協(xié)議棧的概念；層的功能大體相似。③不同點：0S1更好地區(qū)分了服務、接口和協(xié)議的概念，因此比TCP／IP具有更好的隱藏性，能夠比較容易地進行替換；0S1是先有的模型的概念，然后再進行協(xié)議的實現(xiàn)，而TCP／IP是先有協(xié)議，然后再建立描述該協(xié)議的模型；層次數(shù)量有差別；TCP／IP沒有會話層和表示層，OSI不支持網(wǎng)絡互連；0SI在網(wǎng)絡層支持無連接和面向連接的通信，而在傳輸層僅有面向連接的通信，而TCP／IP在網(wǎng)絡層僅有一種通信模式（無連接），但在傳輸層支持兩種模式；第二點實現(xiàn)網(wǎng)絡的互聯(lián)，其關(guān)鍵思想是在底層物理網(wǎng)絡與高層應用程序和用戶之間加入中間層次，屏蔽底層細節(jié)，向用戶提供通用一致的網(wǎng)絡服務。在用戶看來，整個互聯(lián)網(wǎng)是一個統(tǒng)一的整體，雖然在物理上由很多使用不同標準的各種類型網(wǎng)絡互聯(lián)而成，但在邏輯上是一個統(tǒng)一的網(wǎng)絡，提供通用一致的網(wǎng)絡服務。第三點相互通信的兩個計算機系統(tǒng)必須高度協(xié)調(diào)工作，“分層”可將復雜的協(xié)調(diào)問題，轉(zhuǎn)化為若干較小的局部問題，更易于研究和處理。計算機網(wǎng)絡中的數(shù)據(jù)交換必須遵守事先約定好的規(guī)則。這些規(guī)則明確規(guī)定了所交換數(shù)據(jù)的格式及同步問題，稱為協(xié)議。分層后，各層之間是獨立的；靈活性好；結(jié)構(gòu)上可分割開；易于實現(xiàn)和維護；能促進標準化工作。第四點設(shè)某協(xié)議要求達到100％可靠，需要A和B雙方交換信息共N次，而這N次交換信息都是必不可少的。假定第N次交換的信息是從B發(fā)送給A，要求A確認。若不需要A的確認，則表示B發(fā)送的信息丟失或出現(xiàn)差錯都不要緊，那么B發(fā)送的這個信息就可以取消，因而這個協(xié)議就只需要A和B交換信息N-1次而不是N次。這就和原有的假定不符。如果B最后發(fā)送的信息需要A加以確認，那么這個協(xié)議需要A和B交換信息的次數(shù)就不是N次，而是N＋1次。這和原來假定的“雙方交換信息共N次”相矛盾。這樣就反證了協(xié)議不能設(shè)計成100％可靠的。3.答：當發(fā)送進程有數(shù)據(jù)要傳給接收進程時，它把數(shù)據(jù)交給應用層，應用層在數(shù)據(jù)前面加上應用層報頭，即應用層的協(xié)議控制信息，再把結(jié)果交給表示層。表示層可能以各種方式對應用層的報文進行格式轉(zhuǎn)換，并且也要在報文前面加上一個報文頭，并把結(jié)果交給會話層。這過程重復進行下去，即當報文通過源結(jié)點的各個網(wǎng)絡層次時，每層的協(xié)議實體都給它加上控制信息。報文抵達物理層之后，以物理信號的形式通過物理線路傳輸。抵達目的結(jié)點后，在接收主機里，當信息向上傳遞時，各種協(xié)議控制信息被一層一層地剝?nèi)ィ詈髷?shù)據(jù)到達接收進程。4.答：計算機網(wǎng)絡由以下三個主要部分組成：若干個主機，它們向各用戶提供服務；一個通信子網(wǎng)，它由一些專用的結(jié)點交換機和連接這些結(jié)點的通信鏈路所組成；一系列的協(xié)議，它們支持主機之間或主機和子網(wǎng)之間的通信。5.答：①計算機網(wǎng)絡的各層及其協(xié)議的集合稱為網(wǎng)絡的體系結(jié)構(gòu)。換種說法，計算機網(wǎng)絡的體系結(jié)構(gòu)就是這個網(wǎng)絡及其部件所應完成的功能的精確定義。②計算機網(wǎng)絡是一個龐大而復雜的系統(tǒng)，綜合了當代計算機技術(shù)和通信技術(shù)，又涉及其他應用領(lǐng)域的知識和技術(shù)。如何在由不同廠家生產(chǎn)的軟硬件系統(tǒng)、不同的通信網(wǎng)絡以及各種外部輔助設(shè)備連接構(gòu)成的網(wǎng)絡系統(tǒng)中高速、可靠地進行信息共享是計算機網(wǎng)絡面臨的主要難題。為了解決這個問題，人們必須為網(wǎng)絡系統(tǒng)定義一個使不同的計算機、不同的通信系統(tǒng)和不同的應用都能夠互聯(lián)和互操作的開放式網(wǎng)絡體系結(jié)構(gòu)?；ヂ?lián)意味著不同的計算機能夠通過通信子網(wǎng)互相連接起來進行數(shù)據(jù)通信?；ゲ僮饕馕吨煌挠脩裟軌蛟诼?lián)網(wǎng)的計算機上，用相同的命令或相同的操作使用其他計算機中的資源和信息，如同使用本地計算機系統(tǒng)中的資源和信息一樣。第二章一、選擇題1.BCD2.D3.A4.C5.A6.D7.A8.C9.D10.C11.A12.B13.D14.B15.C16.C17.C18.D19.C20.D21.A22.B23.A24.C25.A二、判斷題1.×2.√3.√4.√5.×6.√7.×8.√9.×10.×三、問答題1.①比較路徑開銷,帶寬越小開銷越大；②比較發(fā)送者的BridgeID,選擇參數(shù)小的；③比較發(fā)送者的PortID,選擇參數(shù)小的；④比較接收者的PortID,選擇參數(shù)小的。2.交換網(wǎng)絡中單鏈路的網(wǎng)絡容易形成單點故障，為了緩解單點故障對網(wǎng)絡造成的影響，希望能夠在交換網(wǎng)絡中提供冗余鏈路，也就是從一點到達另一點時有多條鏈路可以達到。交換機對于廣播幀的處理方式是除接收數(shù)據(jù)接口外,向其他所有接口進行復制、擴散。這樣,在存在環(huán)路的交換網(wǎng)絡中，只要有一個廣播數(shù)據(jù)幀，所有交換機將不停地復制、擴散，在很短的時間內(nèi)使整個交換網(wǎng)絡中充斥著大量的廣播數(shù)據(jù)，占用大量的帶寬和設(shè)備CPU資源,從而造成全網(wǎng)性能下降或網(wǎng)絡中斷。3.①交換機開機加電自檢硬件；②交換機從ROM中讀取微代碼從FLASH中加載操作系統(tǒng)（RGNOS）；③將操作系統(tǒng)（RGNOS）加載到RAM中，操作系統(tǒng)啟動完成；④系統(tǒng)從FLASH中檢測是否有配置文件（config.text）,如有，將配置文件加載到RAM中（running-config）⑤如無配置文件,將啟動setup命令,進行交互式基本配置。4.①從OSI的角度分析交換機和路由器的區(qū)別:交換機屬于數(shù)據(jù)鏈路層設(shè)備,識別數(shù)據(jù)幀的MAC地址信息進行轉(zhuǎn)發(fā);路由器屬于網(wǎng)絡層設(shè)備,通過識別網(wǎng)絡層的IP地址信息進行數(shù)據(jù)轉(zhuǎn)發(fā)。②數(shù)據(jù)處理方式的區(qū)別:交換機對于數(shù)據(jù)幀進行轉(zhuǎn)發(fā),交換機不隔離廣播,交換機對于未知數(shù)據(jù)幀進行擴散;路由器對IP包進行轉(zhuǎn)發(fā),路由器不轉(zhuǎn)發(fā)廣播包,路由器對于未知數(shù)據(jù)包進行丟棄。③數(shù)據(jù)轉(zhuǎn)發(fā)性能方面:交換機是基于硬件的二層數(shù)據(jù)轉(zhuǎn)達，轉(zhuǎn)發(fā)性能強；路由器是基于軟件的三層數(shù)據(jù)轉(zhuǎn)發(fā)，轉(zhuǎn)發(fā)性能相對較差。④接口類型:交換機一般只具備以太網(wǎng)接口，類型單一，接口密度大；路由器能夠提供各種類型的廣域網(wǎng)接口,能夠連接不同類型的網(wǎng)絡鏈路，接口數(shù)較少。⑤應用環(huán)境:交換機一般應用于局域網(wǎng)內(nèi)部，大量用戶的網(wǎng)絡接入設(shè)備。路由器一般用于網(wǎng)絡間的互聯(lián)。5.①基于端口的VLAN:針對交換機的端口進行VLAN的劃分，不受主機的變化影響②基于協(xié)議的VLAN:在一個物理網(wǎng)絡中針對不同的網(wǎng)絡層協(xié)議進行安全劃分③基于MAC地址的VLAN:基于主機的MAC地址進行VLAN劃分，主機可以任意在網(wǎng)絡移動而不需要重新劃分④基于組播的VLAN:基于組播應用進行用戶的劃分⑤基于IP子網(wǎng)的VLAN:針對不同的用戶分配不同子網(wǎng)的IP地址，從而隔離用戶主機，一般情況下結(jié)合基于端口的VLAN進行應用第三章一、選擇題（單選、多選）1.B2.ABC3.A4.D5.AB6.AB7.ABC8.B9.ABCD10.ABCD11.A12.B13.C14.B15.A16.B17.D18.A19.A20.A21.D22.C23.B24.C25.B二、判斷題1.×2.√3.√4.×5.×6.×7.×8.×9.√10.√三、問答題1.創(chuàng)建vlan后，使用dispalyvlan命令查看VLAN的相關(guān)信息，[Huawei]displayvlan。2.使用system-view命令，進入系統(tǒng)視圖；在該模式下輸入port-group1，這個1就是你的端口組的名稱；就可以批量設(shè)置端口模式，設(shè)置端口組的模式[Huawei-port-group-1]portlink-typeaccess，這里設(shè)置為access模式；也可以是trunk模式的；設(shè)置完成端口模式之后我們就可以添加到vlan了，添加到Vlan中；[Huawei-port-group-1]portdefaultvlan3；3.使用system-view命令，進入[]模式；創(chuàng)建一個vlan[Huawei]vlan2；添加端口[Huawei-vlan2]portEthernet0/0/13to0/0/15；然后使用displaycurrent查看端口是否屬于這個vlan；當然我們也可以用displayvlan來查看vlan信息；配置vlanIP[Huawei]interfaceVlanif2；配置vlanifip地址；[Huawei]interfaceVlanif2；[Huawei-Vlanif2]ipaddress；配置完成之后再次使用displaycurrent來查看下配置信息；完成之后吧你的電腦接入到vlan2的接口上，并設(shè)置好你的IP地址，然后ping是否正常。4.在進入用戶模式下，輸入system-view進入配置模式；進入子接口視圖，如圖輸入interfaceGigabitEthernet0/0/1，具體端口根據(jù)實際修改；在子接口視圖下，輸入命令displaythis，查看當前端口配置，如圖所示其端口模式為access；輸入命令undoportdefaultvlan，把端口從當前vlan中刪除。5.登陸華為交換機，然后輸入<Huawei>resetsaved-configuration指令；是否初始化，輸入Y回車；初始化后重啟交換機，輸入reboot；重啟成功之后需要重新設(shè)置密碼；2次密碼設(shè)置完成；使用displaycurrent來查看當前配置；注意查看一下配置是否是我們以前配置；完成。第4章一、選擇題1.D2.B3.BC4.A5.B6.A7.A8.A9.A10.B11.D12.B13.A14.BCD二、填空題1.小2.橋優(yōu)先級、橋MAC地址3.轉(zhuǎn)發(fā)、學習、禁用4.根端口、指定端口、替代端口、備份端口5.BPDU保護、根保護、環(huán)路保護、防TCBPDU攻擊6.配置BPDU、TCBPDU7.替代端口8.小9.3276810.手動模式、LACP模式三、簡答題1.會產(chǎn)生廣播風暴，從而導致用戶通信質(zhì)量下降，甚至通信中斷。2.禁用、阻塞、監(jiān)聽、學習、轉(zhuǎn)發(fā)3.選舉根橋：根橋是根據(jù)各交換機的BID來確定的，BID是由橋優(yōu)先級（BridgePriority）與橋MAC地址兩部分組成，先比較橋優(yōu)先級，具有更小橋優(yōu)先級的交換機成為根橋，若橋優(yōu)先級相等，則需要再比較橋MAC地址，具有更小橋MAC地址的交換機成為根橋。選舉根端口：選擇根路由開銷（PathCost）最小的端口。如果根路由開銷相等，就選擇對端BID最小的端口。如果對端BID也相等，就選擇對端端口ID最小的端口。選舉指定端口：選擇根路由開銷最小的端口。如果有多個端口的根路由開銷相等，就選擇對端BID最小的端口。如果有多個端口的對端BID相等，就選擇對端的端口ID最小的端口。4.在交換網(wǎng)絡中選舉一個根橋。在每臺非根橋上選舉一個根端口。在每條鏈路上選舉一個指定端口。阻塞備份端口。5.根橋是交換機3，交換機1的G0/0/2和交換機2的G0/0/2是根端口6.Proposal/Agreement機制根端口快速切換機制引入邊緣端口7.手動模式、LACP模式8.增加帶寬、提高可靠性、負載分擔、可動態(tài)配置第5章一、選擇題1.B2.C3.D4.D5.D6.D7.C8.D9.A10.D二、填空題1.接入路由器、企業(yè)路由器、骨干路由器2.NVRAM3.網(wǎng)絡層4.Console端口5.system-view6.?7.AAA認證8.SSH三、簡答題1.局域網(wǎng)端口，廣域網(wǎng)端口，配置端口。2.默認網(wǎng)關(guān)是將流量從本地網(wǎng)絡路由到遠程目的地的網(wǎng)絡設(shè)備，通常用于將本地網(wǎng)絡連接到互聯(lián)網(wǎng)。3.檢查數(shù)據(jù)包的目的地。確定信息源。發(fā)現(xiàn)可能的路由。選擇最佳路徑。驗證和維護路由信息。4.ROM、RAM、FLASH、NVRAM。5.根橋是交換機3，交換機1的G0/0/2和交換機2的G0/0/2是根端口6.用戶可以根據(jù)自身業(yè)務需求，對模塊化路由器進行靈活配置，同時可以根據(jù)未來業(yè)務需求的增長和變化，通過增加相應的模塊，實現(xiàn)原有網(wǎng)絡的平滑擴充和升級，既減少了對原有網(wǎng)絡架構(gòu)的改動，又保護了原有設(shè)備投資。7.第一次配置路由器，一般在本地進行，可以通過Console端口登錄路由器來進行配置。在配置前，先使用Console線的DB9串口連接器（母頭）端連接計算機的COM端口，RJ-45端口端連接路由器的Console端口，計算機和筆記本電腦沒有內(nèi)置串口，可以使用特殊的USB口轉(zhuǎn)COM端口線路8.如果與輸入字符匹配的關(guān)鍵字唯一，那么按Tab鍵系統(tǒng)將自動補全關(guān)鍵字。如果與輸入字符匹配的關(guān)鍵字不唯一，那么反復按Tab鍵可循環(huán)顯示所有以輸入字符開頭的關(guān)鍵字。9.SSH是一種安全的網(wǎng)絡協(xié)議，它在客戶端和服務器之間建立一條安全通信通道，使得客戶端可以通過該通道與服務器進行加密通信。SSH擁有數(shù)據(jù)加密、數(shù)據(jù)完整性、權(quán)限認證等安全機制，能夠保證數(shù)據(jù)傳輸?shù)陌踩?。?章一、選擇題1.D2.C3.D4.D5.B6.A7.C8.B9.D10.A11.D12.B(60秒)13.C14.A15.D16.C17.C18.B19.A20.B21.B22.A二、填空題1.小2.接入路由器、企業(yè)路由器、骨干路由器3.displayipv6routing-tableprotocol4.155.距離矢量路由協(xié)議、鏈路狀態(tài)路由協(xié)議6.7.displayiprouting-table8.BGP9.1010.iproute-staticip-address{mask|mask-length}nexthop-address11.骨干12.60秒三、簡答題1.靜態(tài)路由比較適用于規(guī)模較小、結(jié)構(gòu)簡單的網(wǎng)絡。2.靜態(tài)路由不額外占用路由器的CPU、內(nèi)存和網(wǎng)絡帶寬，也更安全。3.將由默認靜態(tài)路由指定使用哪個出口設(shè)備。4.（1）OSPF協(xié)議支持VLSM和手動路由匯總。（2）OSPF協(xié)議能夠避免路由環(huán)路。（3）OSPF協(xié)議收斂速度快，能夠在最短時間內(nèi)將路由變化傳遞到整個AS。（4）OSPF協(xié)議適合應用于大范圍的網(wǎng)絡。（5）OSPF協(xié)議在設(shè)計時就考慮到了鏈路帶寬對路由開銷的影響。5.（1）點到點（PointtoPoint，P2P）網(wǎng)絡。（2）廣播型（BroadcastMulti-Access，BMA）網(wǎng)絡。（3）非廣播多路訪問（Non-BroadcastMultipleAccess，NBMA）網(wǎng)絡。（4）點到多點（PointtoMultiplePoint，P2MP）網(wǎng)絡。6.（1）鄰居發(fā)現(xiàn)階段。（2）路由通告階段。（3）路由選擇階段。7.（1）DR的選舉是基于端口的。（2）OSPF路由器端口優(yōu)先級最高的為DR，次高的為BDR。（3）當端口優(yōu)先級相同時，比較RouterID，RouterID越大越優(yōu)先。（4）默認的OSPF路由器端口優(yōu)先級為1；端口優(yōu)先級為0的不參與選舉。（5）若DR選舉等待時間結(jié)束還沒有進行DR選舉，那么OSPF路由器會選舉自己為DR（OSPF路由器端口優(yōu)先級為0的除外）。8.OSPF協(xié)議將一個AS劃分為若干個更小的范圍，即區(qū)域（Area），每個區(qū)域用區(qū)域號（AreaID）來標識。當網(wǎng)絡中包含多個區(qū)域時，OSPF協(xié)議有特殊的規(guī)定，即其中必須有一個Area0，通常稱之為骨干區(qū)域（BackboneArea）。9.劃分區(qū)域的好處是，可以把大型網(wǎng)絡中LSA報文的泛洪范圍控制在一個區(qū)域內(nèi)而不是整個AS內(nèi)，這就減少了整個網(wǎng)絡上的通信量，減小了LSDB的大小，提高了網(wǎng)絡的擴展性，提高了網(wǎng)絡的收斂速度。10.有5種報文，分別是：OPEN報文、UPDATE報文、KEEPALIVE報文、NOTIFICATION報文、ROUTER-REFRESH報文11.靜態(tài)路由協(xié)議，優(yōu)先級是6012.iproute-static第7章一、單項選擇題1、D2、B3、A4、B5、C6、B7、D8、B9、A10、C二、填空題1、DHCPDiscovery、DHCPOffer、DHCPRequest、DHCPACK2、ipconfig/all、ipconfig/release、ipconfig/renew3、DynamicHostConfigurationProtocol4、授權(quán)5、DHCPv6中繼、DHCPv6客戶端、DHCPv6服務器6、IPv6地址7、Solicit、Advertise、Request、Reply三、簡單題略第8章：一、單項選擇題1．（C）2．（C）3．（B）4．（A）5．（B）6．（B）7．（C）8．（D）9．（A）10．（A）二、判斷題1．（對）2．（對）3．（對）4．（對）5．（對）6．（對）7．（對）8．（對）9．（對）10．（錯）三、簡答題1．訪問控制列表的主要工作原理是通過檢查用戶的訪問權(quán)限，并根據(jù)這些權(quán)限來決定是否允許用戶或?qū)嶓w訪問特定的資源。每個訪問控制列表都由一個或多個規(guī)則組成，這些規(guī)則定義了允許或拒絕特定類型的請求。規(guī)則通常包括源地址、目標地址、協(xié)議類型、端口號以及其他相關(guān)參數(shù)。通過這些規(guī)則的組合，訪問控制列表可以對網(wǎng)絡流量進行精確的控制。2．根據(jù)ACL規(guī)則定義方式分類：（1）基本ACL（2）高級ACL（3）二層ACL（4）用戶自定義ACL（5）用戶控制ACL訪問列表的作用包括：（1）網(wǎng)絡流量控制（2）網(wǎng)絡訪問控制（3）網(wǎng)絡安全保護（4）網(wǎng)絡性能優(yōu)化3．使用命令行界面配置ACL時，應遵循設(shè)備的語法規(guī)則和操作指南，以確保配置的正確性和安全性。在選擇和使用第三方工具配置ACL時，應注意其兼容性、性能和安全性等因素，以確保網(wǎng)絡設(shè)備和數(shù)據(jù)的安全。4．采用如下的思路在華為路由器上進行配置：（1）配置基本ACL和基于ACL的流分類，使設(shè)備可以對部門主管之外的主機報文進行過濾。（2）配置流行為，拒絕匹配上ACL的報文通過。（3）配置并應用流策略，使ACL和流行為生效。操作步驟：（1）配置ACL#創(chuàng)建基本ACL2001并配置ACL規(guī)則，拒絕源IP地址為6/24的主機報文通過。（2）配置基于基本ACL的流分類#配置流分類tc1，對匹配ACL2001的報文進行分類。（3）配置流行為#配置流行為tb1，動作為拒絕報文通過。（4）配置流策略#定義流策略，將流分類與流行為關(guān)聯(lián)。（5）在接口下應用流策略#可以在接口出方向應用流策略。（6）驗證配置結(jié)果#查看ACL規(guī)則的配置信息。#查看流分類的配置信息。#查看流策略的配置信息。5．查看接口是否綁定了訪問列表：（1）查看流分類的配置信息：displaytrafficclassifieruser-defined（2）查看流策略的應用信息：displaytraffic-policyapplied-record顯示指定訪問列表的內(nèi)容：查看ACL規(guī)則的配置信息：displayaclxxxx（xxxx是相關(guān)acl編號）6．采用如下的思路在華為路由器上進行配置：（1）配置高級ACL和基于ACL的流分類，使設(shè)備可以基于ACL，對用戶訪問服務器的報文進行過濾，從而允許內(nèi)部網(wǎng)和外網(wǎng)用戶訪問該服務器。（2）配置流行為，允許匹配上ACL的permit規(guī)則的報文通過。（3）配置并應用流策略，使ACL和流行為生效。操作步驟：（1）配置ACL#創(chuàng)建高級ACL3002并配置ACL規(guī)則，允許位于內(nèi)網(wǎng)主機訪問WWW服務器的報文通過，允許外網(wǎng)用戶訪問WWW服務器的報文通過。（2）配置基于ACL的流分類#配置流分類c_network，對匹配ACL3002的報文進行分類。（3）配置流行為#配置流行為b_network，動作為允許報文通過。（4）配置流策略#配置流策略p_network，將流分類c_network與流行為b_network關(guān)聯(lián)。（5）應用流策略#由于內(nèi)外網(wǎng)訪問WWW服務器的流量均從接口出口流向服務器，所以可以在接口的出方向應用流策略p_network。。（6）驗證配置結(jié)果#查看ACL規(guī)則的配置信息。#查看流分類的配置信息。#查看流策略的配置信息。#查看流策略的應用信息。第九章一、單選題1.C2.B3.C4.D5.B6.D7.D8.A9.D10.C二、簡答題1.NAT是網(wǎng)絡地址轉(zhuǎn)換（NetworkAddressTranslation）的簡稱，是一種把內(nèi)部私有網(wǎng)絡地址（IP地址）翻譯成合法公網(wǎng)IP地址的技術(shù)，以便在外部公共網(wǎng)絡中傳輸數(shù)據(jù)流；NAT可以讓那些使用私有地址的內(nèi)部網(wǎng)絡連接到Internet或其它IP網(wǎng)絡上。2.NAT有三種類型：靜態(tài)地址轉(zhuǎn)換、動態(tài)地址轉(zhuǎn)換和端口地址轉(zhuǎn)換。靜態(tài)NAT是指將內(nèi)部網(wǎng)絡的私有IP地址轉(zhuǎn)換為公網(wǎng)IP地址，IP地址對是一對一的，是一成不變的，某個私有IP地址只轉(zhuǎn)換為某個公網(wǎng)IP地址。動態(tài)NAT是指將內(nèi)部網(wǎng)絡的私有IP地址轉(zhuǎn)換為公網(wǎng)IP地址時，IP地址是不確定的，是隨機的，是多對多的關(guān)系，所有被授權(quán)訪問上Internet的私有IP地址可隨機轉(zhuǎn)換為任何指定的合法公網(wǎng)IP地址。也就是說，只要指定哪些內(nèi)部地址可以進行轉(zhuǎn)換，以及用哪些合法地址作為外部地址時，就可以進行動態(tài)轉(zhuǎn)換。動態(tài)轉(zhuǎn)換可以使用多個合法外部地址集。端口地址轉(zhuǎn)換PAT（PortAddressTranslation，端口地址轉(zhuǎn)換），也稱為端口地址映射、端口多路復用或者NAPT（NetworkAddressPortTranslation，網(wǎng)絡地址端口轉(zhuǎn)換）。PAT在動態(tài)NAT上又進了一步，簡單地說，其工作模式就是多對一，可以將多個內(nèi)部網(wǎng)絡的私有IP地址對應到一個公網(wǎng)IP地址。具體來說，就是內(nèi)網(wǎng)地址+端口號與公網(wǎng)地址+端口號進行對應。3.NAT的功能就是把局域網(wǎng)內(nèi)部地址轉(zhuǎn)換成可在外部公共網(wǎng)絡或Internet上路由的全局地址。NAT可以使多臺計算機共享Internet連接，這一功能很好地解決了公共IP地址緊缺的問題。NAT的作用主要體現(xiàn)在以下三個方面：（1）節(jié)省了IP地址空間：通過使用NAT，內(nèi)部主機可以使用同一個合法IP地址來與外部網(wǎng)絡通信；這樣只需要較少的公共地址就可以支持眾多的內(nèi)部主機，從而節(jié)省了IP地址。（2）避免了重新編址：通過使用NAT，網(wǎng)絡管理員不必給需要訪問外部網(wǎng)絡的內(nèi)部主機重新分配IP地址，從而節(jié)省了時間和費用，減輕了工作負擔。（3）提高了網(wǎng)絡安全性：NAT對外部只通告合法的IP地址，屏蔽了內(nèi)部網(wǎng)絡的拓撲結(jié)構(gòu)和IP地址，內(nèi)部網(wǎng)的主機對外部網(wǎng)來說是不可見的，從而提高了內(nèi)部網(wǎng)絡的安全性。4.靜態(tài)NAT的工作原理如下：靜態(tài)NAT使用私有地址和公有地址的一對一映射，這些映射由網(wǎng)絡管理員進行配置，并保持不變。假如內(nèi)網(wǎng)主機A（）和主機B（）分別實現(xiàn)對外網(wǎng)Web服務器的訪問，可用的公有地址為和。在NAT路由器中，預先配置了NAT映射表，每一個私有地址都有一個與之對應且固定的公有地址。其中，主機A私有地址對應于公有地址；主機B私有地址對應于公有地址。其工作過程如下：（1）當內(nèi)網(wǎng)主機A訪問公網(wǎng)Web服務器時，其發(fā)送的數(shù)據(jù)包源IP地址為私有IP地址，目的地址為公有IP地址。（2）數(shù)據(jù)包到達配置了NAT的路由器。（3）數(shù)據(jù)包到達NAT路由器后，NAT路由器查找NAT映射表，按照其對應關(guān)系將數(shù)據(jù)包源私有IP地址轉(zhuǎn)換為公有IP地址進行封裝發(fā)送，這樣源IP地址和目的IP地址都為合法的公網(wǎng)地址。（4）Web服務器收到數(shù)據(jù)包后，認為是公網(wǎng)地址發(fā)來的數(shù)據(jù)包，因此，封裝的應答數(shù)據(jù)包其源IP地址為，目的IP地址為。（5）NAT路由器收到應答數(shù)據(jù)包時，查找NAT映射表的對應關(guān)系，將數(shù)據(jù)包中目的公有IP地址替換回原有的私有IP地址，源地址不變，并完成數(shù)據(jù)包在內(nèi)部網(wǎng)絡的轉(zhuǎn)發(fā)。（6）主機A收到公網(wǎng)Web服務器的應答數(shù)據(jù)包，完成一次會話過程。在整個過程中，出口NAT路由器根據(jù)配置的規(guī)則進行IP地址的檢測并進行轉(zhuǎn)換。主機B訪問公網(wǎng)Web服務器的工作過程同上。5.動態(tài)NAT的工作原理如下：靜態(tài)NAT嚴格地進行一對一地址映射，這就導致即使內(nèi)網(wǎng)主機長期離線或者不發(fā)送數(shù)據(jù)，也會長期占用與之對應的公網(wǎng)IP地址。為了避免公網(wǎng)地址的浪費，動態(tài)NAT引入了地址池的概念：所有可用的公網(wǎng)地址組成了地址池。當內(nèi)部主機訪問外部網(wǎng)絡時臨時分配一個地址池中未使用（NotUse）的公網(wǎng)IP地址，并將該地址標記為“InUse”；當該主機不再訪問外部網(wǎng)絡時收回所分配的地址，并重新將該地址標記為“NotUse”，即釋放該公網(wǎng)IP地址。假如內(nèi)網(wǎng)主機A（）采用動態(tài)NAT的地址轉(zhuǎn)換過程。其工作過程如下：（1）當內(nèi)網(wǎng)主機A訪問外網(wǎng)Web服務器時，其發(fā)送的數(shù)據(jù)包源IP地址為私有IP地址，目的地址為公有IP地址。（2）數(shù)據(jù)包到達配置了NAT的路由器。（3）數(shù)據(jù)包到達NAT路由器后，NAT路由器查找地址池（公網(wǎng)地址池由至0共19個IP地址組成），在地址池中按順序找到一個未分配的公網(wǎng)IP地址，將其狀態(tài)置為“InUse”，按照其對應關(guān)系將數(shù)據(jù)包源私有IP地址轉(zhuǎn)換為公有IP地址進行封裝轉(zhuǎn)發(fā)。同時，生成一個臨時的NAT地址映射表，添加私有IP地址對應公網(wǎng)IP地址的表項。（4）Web服務器收到數(shù)據(jù)包后，認為是公網(wǎng)地址發(fā)來的數(shù)據(jù)包，因此，封裝的應答數(shù)據(jù)包其源IP地址為，目的IP地址為。（5）NAT路由器收到應答數(shù)據(jù)包時，查找臨時NAT映射表的對應關(guān)系，將數(shù)據(jù)包中目的公有IP地址替換回原有的私有IP地址，源地址不變，并完成數(shù)據(jù)包在內(nèi)部網(wǎng)絡的轉(zhuǎn)發(fā)。（6）主機A收到公網(wǎng)Web服務器的應答數(shù)據(jù)包，完成一次會話過程。當內(nèi)網(wǎng)主機A結(jié)束與外網(wǎng)Web服務器的訪問時，NAT路由器清除臨時NAT映射表的對應關(guān)系，并將地址池中對應的公網(wǎng)地址置為“NotUse”狀態(tài)，釋放對該公網(wǎng)地址的占用，以便其它內(nèi)網(wǎng)主機可以使用該公網(wǎng)地址。6.PAT的工作原理如下：PAT是把多個內(nèi)部地址映射為一個公有IP地址，但以不同的協(xié)議端口號（端口地址）與不同的內(nèi)部私有地址相對應，即“內(nèi)部私有IP地址+內(nèi)部端口”與“外部公有IP地址+外部端口”之間的轉(zhuǎn)換。PAT也稱為“多對一”的NAT，或者叫NPAT（NetworkPortAddressTranslation，網(wǎng)絡端口地址轉(zhuǎn)換）、地址復用（AddressOverloading）。PAT與動態(tài)NAT不同，它將內(nèi)部連接映射到外部網(wǎng)絡中的一個單獨的IP地址上，同時在該地址上加上一個由NAT設(shè)備選定的TCP或UDP端口號，通過轉(zhuǎn)換TCP或UDP端口號以及地址來提供并發(fā)性。從而實現(xiàn)公有地址與私有地址的一對多的映射，可以有效提高公有地址的利用率，基本解決了動態(tài)NAT地址池地址不足的問題。假如內(nèi)網(wǎng)主機A（）訪問外網(wǎng)Web服務器采用PA