0 01、網絡管理的五大功能（包括每項功能的具體情況）

1.配置管理：ISO定義的管理功能域中，配置管理包括視圖管理、拓撲管理、軟件管理、網絡規(guī)劃、資源管理，是網絡管理中最重要的功能之一

2.故障管理的主要功能有：

n 報警監(jiān)測、

n 故障定位

n 測試

n 業(yè)務恢復及修復

n 故障日志

3.性能管理：

包括性能監(jiān)測，性能分析及性能控制，性能監(jiān)測功能聯機監(jiān)測網絡性能數據，報告網絡元素狀態(tài)、控制狀態(tài)、擁塞狀態(tài)及業(yè)務量。同時，統計網絡運行狀態(tài)信息，對網絡的使用發(fā)展做出測評、估計，為網絡進一步規(guī)劃與調整提供依據。

4.安全管理系統包含風險分析功能，安全服務功能，報警、日志和報告功能，網絡管理系統保護功能等。

5.計費管理的主要目的是正確地計算和收取用戶使用網絡服務的費用，合理的分配和使用網絡資源。

1.? ISO定義的系統管理功能域中，測試管理功能屬于（B）

A、配置管理B、故障管理C、性能管理D、安全管理

2. SNMP的_______是一個代理和多個管理站之間的認證和訪問控制關系。（）

A、代理B、管理站C、委托代理D、團體

19、SNMP屬性窗口中，設置團體名稱所在窗口是（B）

A、代理B、陷阱C、安全性D、服務

2、網絡管理常用協議（RMON、CMIP/CMIS及建立在OSI的幾層之上。

RMON建立在OSI的網絡層，而CMIP/CMIS建立在OSI的應用層上。

3、SNMP的協議體系包括哪些內容（簡答題 ）

SNMP協議體系具體包括四個主要的組成部分：管理進程（管理者）；管理信息庫MIB；簡單網絡管理協議SNMP；管理信息結構SMI。

1)管理進程：通常是一個分立的設備，這里指的是進程，也可以利用共享系統來實現。管理者作為網絡管理員和網絡系統的接口。

2)MIB（管理信息庫）：是一個關于被管理設備的信息存儲庫，MIB存儲這些被管理設備的配置信息。MIB分別由公共管理信息庫MIB-I與MIB-II以及私有MIB兩部分組成。

3)SNMP是一系列協議組和規(guī)范，提供了一種從網絡上的設備中收集網絡管理信息的方法。同時也為設備向網絡管理工作站報告問題和錯誤提供了一種方法。從被管理設備中收集數據有兩種方式：輪詢方式和基于中斷方式。

4)SMI（管理信息結構）：定義和說明MIB的總體框架、數據類型的表示方法和命名方法。

4、網絡管理系統的基本模型（簡答題 ）

主要由四部分組成：管理進程、管理代理、管理信息庫、管理協議

5、管理代理的幾種模式（特別是委托代理） （簡答題 ）

（1）單一代理：被管理的網絡設備中只有一個代理進程。它既要與管理進程進行相互通信，完成管理進程下達的各項操作指令。又要對本設備進行管理，搜集該設備的相關信息數據。

特點：簡單，容易實現，可擴展性差，MIB對代理的依賴比較嚴重

委托代理：可以管理若干臺不支持tcp/ip的設備，并代表這些設備接受管理站的查詢，實際上委托代理起到了協議轉換的作用，委托代理和管理站之間按snmp通信，而與被管設備之間則按專用的協議通信。

（3）可擴展代理：包含了一個主代理和多個子代理。主代理負責處理來自管理進程的指令。每個子代理負責一個特定的MIB視圖。

6、SNMP的五種操作語句的特點（填空選擇）

Get Request：管理者用來從代理處取回某些變量的值

Get Next-Request：從代理處取回變量的下個變量的值

Set Request：管理者用來設置（或改變）代理上某一個變量的取值

Get Response：代理向管理者發(fā)送的應答

Trap：代理向管理者報告發(fā)生某一異常變量

SNMP是透過UDP的161及162端口來做為訊息傳輸的管道。

UDP的161端口是提供給取得（get）與設定（set）指令群使用。

UDP的162端口則是警示（trap）指令群所使用。管理器以UDP的161端口來傳送SNMP訊息（如SetRequest、GetRequest、GetNextRequest等）給代理器，而代理器則以UDP的162端口來傳送SNMP訊息（如Trap）給管理器。

7、SNMP的認證方式和V1、V2、V3版本之間的區(qū)別及管理信息庫（MIB）的結構（選擇填空）

V2是在V1基礎上改進的，V1和V2安全機制和請求報文格式和響應報文格式一致，V2相對于V1出來set操作是原子性的，其他操作都是飛原子性的，增加了GetBulk操作，操作 效率更高，具有更豐富的錯誤狀態(tài)和錯誤碼，支持更豐富的數據類型，trap報文和其他操作類型的報文格式統一。V3在V2基礎上，提供了認證、加密、訪問控制

SNMPv1使用 （41） 進行報文認證，這個協議是不安全的。SNMPv3定義了 （42） 的安全模型，可以使用共享密鑰進行報文認證。

（41）A．版本號（Version） 　B．協議標識（Protocol ID）

C．團體名（Community） D．制造商標識（Manufacturer ID）

（42）A．基于用戶 B．基于共享密鑰

C．基于團體 D．基于報文認證

試題解析：

SNMPv1向SNMPv2發(fā)展，主要擴充了SNMP的管理功能，SNMPv2向SNMPv3發(fā)展除了擴充管理功能之外，更重要的是加強了SNMP的身份認證和數據保密功能。

在SNMPv1和SNMPv2中安全控制主要是通過識別應用實體的共同體名稱，判斷是否屬于統一個管理域。而SNMPv3引入了基于用戶的安全模型，來保證消息安全性。這種安全管理方式支持不同安全性。目前該安全模型定義了使用HMAC-MD5-96和HMAC-SHA-96作為可能的鑒別協議，使用CBC-DES作為保密協議。

答案：（41）C （42）A

管理信息庫（MIB）的結構：MIB為樹狀結構，它對信息進行分層。MIB由兩個部分組成，分別是公共管理信息庫MIB-I(RFC 1156)與MIB-II(RFC 1213)以及私有MIB.

8、網絡管理員的基本任務和掌握的知識點。

網絡管理員的基本任務：

1、網絡服務器的管理

?配置和管理服務器屬性

?安裝和設置TCP/IP和遠程訪問服務協議

?安裝和管理 DNS服務器

?安裝WWW主頁服務器

?安裝E-mail郵件服務器

2、網絡用戶的管理

?為用戶分配IP地址、賬號、密碼

?為用戶分配上網資源

?用戶的增加和刪除、移動等

3、網絡文件與目錄的管理

4、網絡打印機的配置和管理

5、IP地址管理

?分配固定IP地址

?采用DHCP動態(tài)分配

?對一些工作站的訪問分配公用IP地址

6、網絡安全管理

7、網絡布線的日常維護

?建立網絡布線基準文檔

?網絡布線故障的測試與定位

8、關鍵設備的管理

?關鍵設備指網絡主干交換機、中心路由器及關鍵服務器

應掌握的知識點：作為一個合格的網絡管理員，需要有寬廣的技術背景知識，熟練掌握各種系統和設備配置和操作，閱讀和熟記網絡系統中各種系統和設備的使用說明書，以便在系統或網絡發(fā)生故障時，能迅速判斷出問題所在，給出解雇方案，使網絡恢復正常服務。在網絡操作系統、數據庫、網絡設備、網絡管理、網絡安全、應用開發(fā)等六個方面都具備扎實的理論知識和應用技能。

9、交換機的VLAN工作模式和劃分方法

VLAN工作模式：用戶模式、特權模式、配置模式（全局配置模式、接口配置模式、控制臺接口模式）

劃分方法：基于端口的VLAN（靜態(tài)劃分）；基于MAC地址的VLAN；基于協議的VLAN；基于網絡地址的VLAN；基于定義規(guī)則的VLAN

10、生成樹協議有哪幾種，各有什么特點

三種：STP、RSTP、MSTP

STP：通過阻斷冗余鏈路來消除橋接網絡中可能存在的路徑回環(huán)；當前路徑發(fā)生故障時，激活冗余備份鏈路，恢復網絡連通性；端口從阻塞狀態(tài)進入轉發(fā)狀態(tài)必須經歷兩倍的Forwarding delay時間。如果網絡中的拓撲結構變化頻繁，網絡會頻繁失去連通性

RSTP：是STP優(yōu)化版，具備stp所有功能且可以實現快速的收斂

MSTP：多生成樹協議將多個VLAN捆綁到一個實例，每個實例生成獨立的生成樹，在多條Trunk鏈路上實現vlan級負載負擔。且具有RSTP的快速收斂同時也有負載分擔機制，還兼容STP和RSTP

（生成樹協議的工作狀態(tài)：關閉、偵聽、阻塞、學習、轉發(fā)）

11、防火墻的工作方式和優(yōu)缺點。 （簡答題 ）

防火墻是一種將內部網和公眾網分開的方法。它能限制被保護的網絡與與其他網絡之間進行的信息存取、傳遞操作。

在邏輯上，防火墻是一個分離器，一個限制器，也是一個分析器，有效地監(jiān)控了內部網和 Internet 之間的任何活動，保證了內部網絡的安全。

優(yōu)點：(1)網絡的安全屏障 (2)強化網絡安全策略 (3)對網絡存取和訪問進行監(jiān)控審計 (4)防止內部信息的外泄

缺點：(1)不能防范惡意的知情者 (2)不能防范不通過它的連接 (3)不能防備全部的威脅 (4)防火墻不能防范病毒

（防火墻的體系結構：1．屏蔽路由器 2．雙宿主機網關 3．屏蔽主機網關 4．屏蔽子網

防火墻的實現技術：1、包過濾技術2、電路級網關3、應用代理服務技術4、狀態(tài)檢測防火墻）

12、DHCP的工作方式（網絡工程師P361）（選擇填空）

13、DNS的負載均衡（選擇填空）

DNS負載均衡技術的實現原理是在DNS服務器中為同一個主機名配置多個IP地址，在應答DNS查詢時，DNS服務器對每個查詢將以DNS文件中主機記錄的IP地址按順序返回不同的解析結果，將客戶端的訪問引導到不同的機器上去，使得不同的客戶端訪問不同的服務器，從而達到負載均衡的目的。

優(yōu)點：DNS負載均衡的優(yōu)點是經濟簡單易行，并且服務器可以位于internet上任意的位置

不足：第一，不能夠按照Web服務器的處理能力分配負載。DNS負載均衡采用的是簡單的輪循負載算法，不能區(qū)分服務器之間的差異，不能反映服務器的當前運行狀態(tài)。所以DNS服務器將Http請求平均地分配到后臺的Web服務器上，而不考慮每個Web服務器當前的負載情況。如果后臺的Web服務器的配置和處理能力不同，最慢的 Web服務器將成為系統的瓶頸，處理能力強的服務器不能充分發(fā)揮作用。不能做到為性能較好的服務器多分配請求，甚至會出現客戶請求集中在某一臺服務器上的情況。

第二，不支持高可靠性，DNS負載均衡技術沒有考慮容錯。如果后臺的某臺Web服務器出現故障，DNS服務器仍然會把DNS 請求分配到這臺故障服務器上，導致不能響應客戶端。

第三，可能會造成額外的網絡問題。為了使本DNS服務器和其他DNS服務器及時交互，保證DNS數據及時更新，使地址能隨機分配，一般都要將DNS的刷新時間設置的較小，但太小將會使DNS流量大增造成額外的網絡問題。

第四，一旦某個服務器出現故障，即使及時修改了DNS設置，還是要等待足夠的時間(刷新時間)才能發(fā)揮作用，在此期間，保存了故障服務器地址的客戶計算機將不能正常訪問服務器。

15、網絡故障的排除步驟及方法（簡答題 ）

網絡故障一般分為物理故障和邏輯故障

（1）網絡故障的排除步驟：1.故障定位；2.收集相關信息；3.考慮故障的可能原因；3.確定解決方案；4.實施解決方案.5.測試驗證；6.記錄解決方案.7.確定預防措施.

（2）方法：排除法（根據故障現象，羅列出故障發(fā)生的可能性，然后逐步排除）；對比法（以本系統正常運行的設備或其他的設備作基準，對比故障設備和正常設備之間的區(qū)別，找出故障所在）；替換法（用正常的設備替換有疑問的設備）。

16、各種網絡常用命令及工具的使用（PING ,TRACERT、router 、netstat等）

(1)利用Arp工具檢驗MAC地址解析

?Arp –a：顯示本機arp緩存內容

?Arp –d：清空本機arp緩存內容

?Arp –s：在本機添加一條靜態(tài)緩存

（2）利用Hostname工具查看主機名-----Hostname：顯示本機的主機名稱

（3）利用Ipconfig工具檢測網絡配置

?Ipconfig /all：顯示本機TCP/IP配置的詳細信息；

?Ipconfig /release：DHCP客戶端手工釋放IP地址；

?Ipconfig /renew：DHCP客戶端手工向服務器刷新請求；

?Ipconfig /flushdns：清除本地DNS緩存內容；

?Ipconfig /displaydns：顯示本地DNS內容；

?Ipconfig /registerdns：DNS客戶端手工向服務器進行注冊；

?Ipconfig /showclassid：顯示網絡適配器的DHCP類別信息；

?Ipconfig /setclassid：設置網絡適配器的DHCP類別。

（4）、利用Nbtstat工具查看NetBIOS使用情況

?nbtstat –n：查看客戶機注冊的NetBIOS名稱

?nbtstat –c：顯示本機NetBIOS緩存信息

?nbtstat –r：顯示本機?NetBIOS統計信息

?nbtstat –a 遠程主機IP地址：顯示遠程主機的

（5）、利用Netstat工具查看協議統計信息

1．Netstat：解決NetBOIS名稱解析問題的有用的工具

要顯示 NetBIOS 計算機名為 CORP07 的遠程計算機的 NetBIOS 名稱表，請鍵入：

nbtstat -a CORP07

要顯示所分配 IP 地址為 10.0.0.99 的遠程計算機的 NetBIOS 名稱表，請鍵入：

nbtstat -A 10.0.0.99

要顯示本地計算機的 NetBIOS 名稱表，請鍵入： nbtstat -n

要顯示本地計算機 NetBIOS 名稱緩存的內容，請鍵入： nbtstat -c

要清除 NetBIOS 名稱緩存并重新裝載本地 Lmhosts 文件中帶標記 #PRE 的項目，請鍵入： nbtstat -R

要釋放通過 WINS 服務器注冊的 NetBIOS 名稱并對其重新注冊，請鍵入： nbtstat -RR

要每隔 5 秒以 IP 地址顯示 NetBIOS 會話統計資料，請鍵入： nbtstat -S 5

2.了解網絡的整體使用情況

-a 顯示所有活動的 TCP 連接以及計算機偵聽的 TCP 和 UDP 端口。

-e 顯示以太網統計信息，如發(fā)送和接收的字節(jié)數、數據包數。該參數可以與 -s 結合使用。

-n 以數字形式顯示地址和端口號，卻不嘗試確定名稱。

-o 顯示活動的 TCP 連接并包括每個連接的進程 ID (PID)。

-p Protocol 顯示 Protocol 所指定的協議的連接。

-s顯示每個協議使用狀態(tài)的統計信息。

-r 顯示 IP 路由表的內容。該參數與 route print 命令等價。

（6）利用Ping工具檢測網絡連通性

?Ping命令用于檢測網絡中計算機的連通性，可以按照下面的步驟進行檢測：

?Ping 127.0.0.1

?Ping 本機IP地址

?Ping 缺省網關

?Ping 外網主機IP地址

?Ping 主機名

Ping在路由器的命令：

-a? ping報文中使用的源IP地址

-c? ping報文的個數，缺省值為5；

-t? 設置ping報文的超時時間，單位為毫秒，缺省值為2000；

-s? 設置ping報文的大小，以字節(jié)為單位，缺省值為56。

Ping在PC機上或Windwos NT為平臺的服務器上的命令：

-n? ping報文的個數，缺省值為5；

-t? 持續(xù)地ping 直到人為地中斷，Ctr+Breack暫時中止，而Ctr+C則中斷命令的執(zhí)行。

-l? 設置ping報文所攜帶的數據部分的字節(jié)數，設置范圍從0至65500。

(7)、利用Telnet工具進行遠程管理

（8）、利用?Tracert工具進行路由檢測

?Tracert：顯示到達目標地址所經過的路由器

的IP地址。

?Pathping：顯示路由信息，進行路由跟蹤。

Tracert在路由器的命令：

-a? ? 指定一個發(fā)送UDP報文的源地址；

-f? ? 指定初始報文的TTL大小，缺省值為1；

-m? ? 指定最大TTL大小，缺省值為30；

-p? ? 目的主機的端口號，缺省值為33434；

-q? ? 每次發(fā)送的探測報文的個數，缺省值為3；

-w? 指明UDP報文的超時時間，單位為毫秒，缺省值為5000。

Tracert在PC機上或Windwos NT為平臺的服務器上的命令：

-d? 不解析主機名；

-h? 指定最大TTL大?。?/p>

-j? 設定松散源地址路由列表；

-w? 用于設置UDP報文的超時時間，單位毫秒；

（9）Route命令

?1. route

在DOS提示符下,輸入route(或輸入route / )命令后,會顯示route命令的使用格式及其參數的詳細說明.

【例8-11】 C:\WINDOWS>route

2. Route print

Route print命令是顯示路由表中的當前信息.根據顯示的信息可知本機的網關,IP地址,廣播地址,環(huán)回測試等信息.

?3.Route add 和route delete

使用Route add 和route delete命令可以增加和刪除路由信息.利用Route Delete 和 Route ADD 兩條命令還可以實現跨網段訪問,此時計算機應安裝雙網卡.下面舉例說明.

【例】.當計算機上安裝有2塊網卡時,route命令可實現手工添加路由信息,實現兩個跨網段訪問.兩個IP分別是兩個網段的網關:10.71.1.10和61.128.66.111.命令如下:

rout delet 0.0.0.0

Route add 10.71.0.0 mask 255.255.255.0 61.128.66.111 metrc 1

Route add 0.0.0.0 mask 255.255.255.0 10.71.173.10 metrc 1

17、網絡入侵檢測技術的結構及類型

根據CIDF規(guī)范，一般從功能上將入侵檢測系統劃分為四個基本部分：數據采集子系統、數據分析子系統、控制臺子系統、數據庫管理子系統；主要分為基于主機的入侵檢測系統（HIDS）；基于網絡的入侵檢測系統（NIDS）兩種類型。

知識回顧：入侵檢測系統（IDS）可以被定義為對計算機和網絡資源的惡意使用行為進行識別和相應處理的系統。包括系統外部的入侵和內部用戶的非授權行為,是為保證計算機系統的安全而設計與配置的一種能夠及時發(fā)現并報告系統中未授權或異?，F象的技術，是一種用于檢測計算機網絡中違反安全策略行為的技術。

入侵檢測技術是為保證計算機系統的安全而設計與配置的一種能夠及時發(fā)現并報告系統中未授權或異?，F象的技術，是一種用于檢測計算機網絡中違反安全策略行為的技術。進行入侵檢測的軟件與硬件的組合便是入侵檢測系統（IntrusionDetectionSystem，簡稱IDS）。

18、網絡故障的診斷及排除請參考課件中的案例。 （論述題 ）

原因分析：路由器沒有正常啟動（所以路由器本身是故障的、所提供的電源不符合要求、電源線有問題）

路由器正常啟動但是沒有在超級終端上顯示（超級終端各參數設置錯誤、配置電纜故障）

處理過程：（1）用同一跟配置電纜連接到另一臺路由器上，超級終端上正常顯示，至此定位為路由器沒有正常啟動

（2）更換路由器，電源線不換，超級終端上正常顯示，至此排除電源和電源線的問題，定位為路由器本身或與之相連的設備故障

（3）把與路由器相連的所有不必要的設備拔掉，再啟動路由器，發(fā)現路由器能夠正常啟動，超級終端輸出正常。定位為路由器相連設備故障導致路由器無法正常啟動。

（4）一個一個地插上其他設備，發(fā)現插上轉接頭后路由器無法正常啟動，更換轉接頭，路由器正常啟動

案例二：用ping命令進行故障處理

（1）是連通性問題還是性能問題？

?工程師小L，在配置完一臺路由器之后執(zhí)行ping命令檢測鏈路是否通暢。發(fā)現5個報文都沒有ping通，小L斷定是連通性問題。

?檢查雙方的配置命令并查看路由表，卻一直沒有找到錯誤所在。最后又重復執(zhí)行了一遍相同的ping命令，發(fā)現這一次5個報文中有1個ping 通了－－原來是線路質量不好存在比較嚴重的丟包現象

?工程師小L又配置了一臺路由器，然后執(zhí)行ping命令訪問Internet上某站點的IP地址，但沒有ping通。有了上次的教訓小L，再一次ping了20個報文，仍舊沒有響應。于是這次小L覺得能夠斷定是連通性故障。

?在費勁周折檢查了配置鏈路之后仍沒有發(fā)現任何可疑之處，最后小L采取逐段檢測的方法對鏈路中的網關進行逐級測試，發(fā)現都可以ping 通，但是響應的時間越來越長，最后一個網關的響應時間在1800ms左右。會不會是由于超時而導致顯示為ping 不同呢？受此啟發(fā)，小L將ping 命令報文的超時時間改為4000ms，這次成功ping通了，顯示所有的報文響應時間都在2200ms 左右。

總結：使用一般的ping命令，缺省是發(fā)送5個報文的，超時時長是2000ms。如果ping不通情況發(fā)生，最好能夠再用帶參數-c和-t的ping命令再執(zhí)行一遍，如： ping -c 20 -t 4000 ip-address，即連續(xù)發(fā)送20個報文，每個報文的超時時長為4000ms，這樣一般可以判斷出到底是連通性問題還是性能問題。

（2）使用大包ping對端進行MTU不一致的故障處理？

?某次開局，使用Quidway路由器與其他廠商的某路由器互連，并運行OSPF協議。數據配置完畢后，一切正常，并在今后相當長的時間內設備運轉穩(wěn)定。但兩個月后，用戶反饋網絡中斷。

相關信息顯示：

?登錄到兩臺路由器上，發(fā)現雙方連接正常，可以相互ping通對端地址。但OSPF協議中斷；

?登錄Quidway路由器查看鄰居狀態(tài)，發(fā)現鄰居狀態(tài)機處于Exstart狀態(tài)。打開相應的debug開關查看相應的報文信息，發(fā)現雙方都可以收到Hello報文，但Quidway路由器發(fā)送DD報文后，一直沒有收到對方回應的DD報文；

?登錄其他廠商的那臺路由器，打開相應的debug開關，發(fā)現對方收到Quidway路由器發(fā)送的DD報文后，已發(fā)送了相應的DD報文予以回應。

原因分析：

?初步斷定，Quidway路由器沒有收到DD回應報文，但對方確實發(fā)出來了。

?既然可以接收到HELLO 報文說明鏈路是通暢的，而且多播報文的收發(fā)也沒有問題。那么有可能是對方發(fā)送的DD 報文有錯誤導致Quidway路由器拒收，但查看相應的信息，并沒有報告接收到錯誤的DD 報文。

?仔細查看某廠商路由器的調試信息發(fā)現這個DD報文很大有2000 多字節(jié)。會不會是由于報文太大導致的問題呢？試著ping了一個2000字節(jié)的報文，結果不通。那么故障原因很可能是－－由于雙方的MTU不一致導致大包不通。

處理過程：

?檢查配置，發(fā)現對方路由器的MTU設置為4000多而Quidway路由器的MTU設置為1500，于是修改對端路由器的MTU為1500。故障消除。

?那么為什么工程初期沒有問題呢？這是因為前期DD報文長度小于1500字節(jié)，而后來網絡擴容導致路由信息過多使DD 報文的長度超過了1500 字節(jié)。

總結：由于ping 缺省報文是56 個字節(jié)，所以顯示的ping 通信息只是表示56字節(jié)的報文可以通而并不一定表示其他大小的報文仍舊可以通。所以，應當善于使用ping的其他參數來進行故障處理。

（3）A能ping通B，B就一定能ping通A嗎？

?在RouterA上配置一條指向2.0.0.0/8的靜態(tài)路由：

[Quidway] ip route-static 2.0.0.0 255.0.0.0 1.1.1.1

?在RouterA 上ping路由器RouterB 的以太網地址2.2.2.2，顯示可以正常ping通；但是在RouterB上ping路由器RouterA的以太網地址3.3.3.3，卻無法ping通。

原因分析：

?由于在RouterB上沒有相應的配置到3.0.0.0/8 路由，所以在RouterB上ping不通RouterA的以太網口3.3.3.3 。

?但是為何在A上可以ping 通2.2.2.2 呢？同樣是沒有回程路由。打開路由器上的IP報文調試開關發(fā)現，原來從RouterA上發(fā)出的ICMP報文的源地址填寫的是1.1.1.1而不是3.3.3.3，由于兩臺路由器的s0口處于同一網段，所以響應報文可以順利到達RouterB。

總結：A能夠ping通B則B一定能夠ping通A（不考慮防火墻的因素）,這句話的對錯取決于A和B到底是指主機還是指路由器。

?如果是指兩臺主機，那么這句話就是正確的。

?如果是指兩臺路由器那就是錯誤的，因為路由器通常會有多個IP地址?，F在就有如下問題：當從一臺路由器上執(zhí)行ping命令它發(fā)出的ICMP Echo報文的源地址究竟選擇哪一個呢？實際情況是路由器選擇發(fā)出報文的接口的IP地址。

案例三：使用tracert命令進行故障處理

（1）使用tracert命令定位不當的網絡配置點

?某校園網中，RouterB和RouterC同屬于一個運行RIPv2路由協議的網絡，主機4.0.0.2訪問數據庫服務器5.0.0.2，用戶抱怨訪問性能差。

?登錄到RouterC，使用帶參數的ping遠端服務器5.0.0.2，顯示如下：

[RouterC] ping -c 10 -s 4000 -t 6000 5.0.0.2

PING 5.0.0.2: 4000? data bytes, press CTRL_C to break

Reply from 5.0.0.2: bytes=4000 Sequence=0 ttl=249 time = 552 ms

Reply from 5.0.0.2: bytes=4000 Sequence=1 ttl=249 time = 5733 ms

Reply from 5.0.0.2: bytes=4000 Sequence=2 ttl=249 time = 552 ms

Reply from 5.0.0.2: bytes=4000 Sequence=3 ttl=249 time = 5714 ms

Reply from 5.0.0.2: bytes=4000 Sequence=4 ttl=249 time = 552 ms

Reply from 5.0.0.2: bytes=4000 Sequence=5 ttl=249 time = 5711 ms

Reply from 5.0.0.2: bytes=4000 Sequence=6 ttl=249 time = 552 ms

Reply from 5.0.0.2: bytes=4000 Sequence=7 ttl=249 time = 5709 ms

Reply from 5.0.0.2: bytes=4000 Sequence=8 ttl=249 time = 552 ms

Reply from 5.0.0.2: bytes=4000 Sequence=9 ttl=249 time = 5710 ms

原因分析：上面的ping顯示出一個規(guī)律：奇數報文的返回時長短，而偶數報文返回時長很長（是奇數報文的10倍多）?？梢猿醪脚袛嗥鏀祱笪暮团紨祱笪氖峭ㄟ^不同的路徑傳輸的。現在我們需要使用tracert命令來追蹤這不同的路徑。在RouterC上，tracert遠端RouterA的以太網接口5.0.0.1。

[RouterC] tracert -q 8 5.0.0.1

traceroute to 5.0.0.1(5.0.0.1) 30 hops max,40 bytes packet

1 4.0.0.1 6 ms? 4 ms? 4 ms? 4 ms? 4 ms? 4 ms? 4 ms? 4 ms

……

5 3.0.0.2 20 ms? 16 ms? 15 ms? 16 ms? 16 ms? 16 ms? 16 ms? 16 ms

6 5.0.0.1 30 ms? 278 ms? 25 ms? 279 ms? 25 ms? 278 ms? 25 ms? 277 ms

RouterC(config)#

從上面的顯示可看到，直至3.0.0.2，UDP探測報文的返回時長都基本一致，而到5.0.0.1時，則發(fā)生明顯變化，呈現奇數報文時長短，偶數報文時長長的現象。于是判斷，問題發(fā)生在RouterB和RouterA之間。

?通過詢問該段網絡的管理員，得知這兩路由器間有一主一備兩串行鏈路，主鏈路為2.048Mbps（s0口之間），備份鏈路為128Kbps（s1口之間）。網絡管理員在此兩路由器間配置了靜態(tài)路由。

RouterB上如下配置：

[RouterB] ip route-static 5.0.0.0 255.0.0.0 1.0.0.2

[RouterB] ip route-static 5.0.0.0 255.0.0.0 2.0.0.2

RouterA上如下配置：

[RouterA] ip route-static 0.0.0.0 0.0.0.0 1.0.0.1

[RouterA] ip route-static 0.0.0.0 0.0.0.0 2.0.0.1

于是問題就清楚了。例如RouterB，由于管理員配置時沒有給出靜態(tài)路由的優(yōu)先級，這兩條路由項的優(yōu)先級就同為缺省值60，于是就同時出現在路由表中，實現的是負載分擔，而不能達到主備的目的。

處理過程：可以有兩種處理方法：

?繼續(xù)使用靜態(tài)路由，進行配置更改

RouterB上進行如下更改：

[RouterB] ip route-static 5.0.0.0 255.0.0.0 1.0.0.2 （主鏈路仍使用缺省優(yōu)先級60）

[RouterB]ip route-static 5.0.0.0 255.0.0.0 2.0.0.2 100（備份鏈路的優(yōu)先級降低至100）

RouterA上進行如下更改：

[RouterA] ip route-static 0.0.0.0 0.0.0.0 1.0.0.1

[RouterA] ip route-static 0.0.0.0 0.0.0.0 2.0.0.1 100

這樣，只有當主鏈路發(fā)生故障，備份鏈路的路由項才會出線在路由表中，從而接替主鏈路完成報文轉發(fā)，實現主備目的。

?在兩路由器上運行動態(tài)路由協議，如OSPF等，但不要運行RIP協議（因為RIP協議僅以hop作為Metric的）

（2）使用tracert命令發(fā)現路由環(huán)路

?三臺路由器均配置靜態(tài)路由，完成后，登錄到RouterA上ping主機4.0.0.2，發(fā)現不通。

相關信息顯示

[RouterA] ping -c 6 -t 5000 4.0.0.2

PING 4.0.0.1: 56? data bytes, press CTRL_C to break

Request time out

Request time out

Request time out

Request time out

Request time out

Request time out

[RouterA] tracert 4.0.0.2

traceroute to 4.0.0.2(4.0.0.2) 30 hops max,40 bytes packet

1 1.0.0.1 6 ms? 4 ms? 4 ms? （RouterB）

2 1.0.0.2 8 ms? 8 ms? 8 ms? （RouterA）

3 1.0.0.1 12 ms? 12 ms? 12 ms （RouterB）

4 1.0.0.2 16 ms? 16 ms? 16 ms （RouterA）

……

原因分析

?從上面的tracert命令的顯示可以立即發(fā)現，在RouterA和RouterB間產生了路由環(huán)路。由于是配置的是靜態(tài)路由，基本可以斷定是RouterA或RouterB的靜態(tài)路由配置錯誤。

?檢查RouterA的路由表，配置的是缺省靜態(tài)路由：ip route-static 0.0.0.0 0.0.0.0 1.0.0.1，沒有問題。

?檢查RouterB的路由表，配置到4.0.0.0網絡的靜態(tài)路由為：ip route-static 4.0.0.0 255.0.0.0 1.0.0.2――下一跳配置的是1.0.0.2，而不是3.0.0.1。這正是錯誤所在。

處理過程

修改RouterB的配置如下：

[RouterB] no ip route-static 4.0.0.0 255.0.0.0 1.0.0.2

[RouterB] ip route-static 4.0.0.0 255.0.0.0 3.0.0.1

故障處理完成。

案例四：路由器通過DDN專線連接時的調試方法

目前路由器在網上較多的一種應用是通過DDN專線連接，這種應用對路由器來說配置并不太復雜，而問題多容易出在線路和Modem方面。以下是對這種組網實際調試中的一些經驗。

?正常情況下，Modem上指示燈狀態(tài)為：PWR（電源指示燈）、RTS、DCD三個燈常亮，TD、RD在有數據收發(fā)時閃爍。兩側路由器連上并完成配置后，S口應激活，線路協議應激活，雙方可以相互ping通。

?當出現問題時，可按照以下步驟進行測試：

?在Router1上打開調試開關。以封裝PPP為例，在全局模式下輸入debug ppp packet命令。

?將Modem A上的ANA鍵按下。此時Modem的RTS、DCD、TEST常亮，在Router1上能看到大量經過環(huán)回的LCP層收發(fā)消息包。此時表示Modem A和Router1之間連接正常。

?將Modem A的REM鍵按下。此時若燈狀態(tài)同上，路由器上看到的debug消息也同上，則表示從Router1到Modem B之間連接正常。

?請本地數據局在節(jié)點機C上進行環(huán)回，觀察是否有環(huán)回的數據包。

?請對端數據局在節(jié)點機D上向本端進行環(huán)回，觀察是否有環(huán)回的數據包。

?對端將Modem F的DIG鍵按下，若能看到環(huán)回的數據包，則表示從Router1一直到Modem F都正常。若不通，可以在Router2上重復以上操作步驟，直至找出有問題的一段。

?這是我們在檢查硬件是否存在問題時最常用的方法。當懷疑是網線問題時，更換一根確定是好的網線試一試；當懷疑是接口模塊有問題時，更換一個其他接口模塊試一試。

18、實驗中的交換機DHCP配置和路由重分發(fā)（論述題 ）

注：配置看實驗，太多整理不好。

19.IP地址的劃分（子網掩碼）

1.求下面的網絡地址、子網廣播地址？

192.16.1.68/25? ? 152.16.70.128/18

解：計算出子網掩碼為：255.255.255.128,子網掩碼與IP地址相與得到網絡地址為：192.16.1.0.子網廣播地址：子網掩碼取反，再加上網絡地址最后一位數。所以子網的廣播地址為：192.16.1.127。有效IP地址的求法：網絡地址的最后一位數加1，廣播地址最后一位數減1。所以有效IP地址為：192.16.1.1~192.16.1.126,192.16.1.129~192.16.1.254.

計算出子網掩碼為：255.255.192.0,得到網絡地址為：152.16.64.0，子網廣播地址：152.16.127.0.

2.求子網主機數

網絡202.12.3.64/27中可分配的主機IP地址數是多少個？

解：計算出子網掩碼為：255.255.255.224,故網絡地址為：202.12.3.64.反子網掩碼為：0.0.0.31.求的廣播地址為：202.12.3.95.所以可分配的IP地址數范圍為：202.12.3.65~202.12.3.94,共有30個。（或-2=30個）

網絡202.12.3.64, 255.255.255.192中可分配的主機IP地址數是多少個？

解：由子網掩碼可知網絡號+子網號=26位，所以可分配的主機數為（-2=62個）

?19、實驗中的交換機DHCP配置和路由重分發(fā)（論述題 ）

注：配置看實驗，太多整理不好。

?20、SNIFFER的工作過程及案例。（論述題 ）

20.SNIFFER的工作過程:（注：網上只找到工作原理，查閱很多資料都是）

通常在同一個網段的所有網絡接口都有訪問在物理媒體上傳輸的所有數據的能力，而每個網絡接口都還應該有一個硬件地址，該硬件地址不同于網絡中存在的其他網絡接口的硬件地址，同時，每個網絡至少還要一個廣播地址。（代表所有的接口地址），在正常情況下，一個合法的網絡接口應該只響應這樣的兩種數據幀：

1、幀的目標區(qū)域具有和本地網絡接口相匹配的硬件地址。

2、幀的目標區(qū)域具有"廣播地址"。

在接受到上面兩種情況的數據包時，網絡計算機通過cpu產生一個硬件中斷，該中斷能引起操作系統注意，然后將幀中所包含的數據傳送給系統進一步處理。

而sniffer就是一種能將本地網絡計算機狀態(tài)設成混雜狀態(tài)的軟件，當網絡計算機處于這種"混雜"方式時，該網絡計算機具備"廣播地址"，它對所有遭遇到的每一個幀都產生一個硬件中斷以便提醒操作系統處理流經該物理媒體上的每一個報文包。（絕大多數的網絡計算機具備置成?混雜方式的能力）

可見，sniffer工作在網絡環(huán)境中的底層，它會攔截所有的正在網絡上傳送的數據，并且通過相應的軟件處理，可以實時分析這些數據的內容，進而分析所處的網絡狀態(tài)和整體布局。值得注意的是：sniffer是極其安靜的，它是一種消極的安全攻擊。

SNIFFER的案例:

a)蠕蟲病毒流量分析

b)DOS攻擊流量分析

c)路由環(huán)流量分析

d)Telnet密碼捕獲

e)FTP密碼捕獲

21、交換機和路由器的訪問方式和命令模式

交換機的訪問方式：

（1）通過Console端口直接連接登陸（即PC與交換機直接相連）?（2）通過Telnet方式登陸管理?（3）通過Web方式登陸，遠程管理交換機

交換機命令模式：

?用戶模式：switch>

?特權模式：命令：switch>enable

switch#

?全局配置模式：switch#config terminal

switch（config）#

?接口配置模式：switch（config）#interface fastethernet0/1

switch（config-if）#

?Line模式（線程配置模式）：switch（config）#line console 0

switch（config-line）#

?VLAN配置模式?switch（config-vlan）#

路由器的訪問方式：

（1）帶外管理? ??

通過帶外對路由器進行管理(PC 與路由器直接相連)? ??

（2）帶內管理? ??

?通過Telnet 對路由器進行遠程管理? ??

?通過Web 對路由器進行遠程管理? ??

?通過SNMP 工作站對路由器進行遠程管理

路由器命令模式：

?用戶模式：router>

?特權模式：router#

?全局配置模式：router（config ）#

?接口配置模式：router（config-if）#

?路由配置模式: router (config-router) #

22、網絡存儲相關技術和磁盤陣列

網絡存儲技術（Network?Storage?Technologies）是基于數據存儲的一種通用網絡術語。網絡存儲分為：

a)DAS存儲技術

b)SAN存儲技術

c)NAS存儲技術

磁盤陣列（RAID）：獨立冗余磁盤陣列，指一種海量存儲設備。

常用的RAID級別有：RAID0，RAID1，RAID5和RAID10（RAID 0+1）

注：小題，內容太多，自己參看第五章課件，了解一下。

23、無線網絡的標準、信道及POE、FAT、FIT設備特點

無線網絡的標準：

1、IEEE 802.11b? ? ? 2、IEEE 802.11a? ? 3、IEEE 802.11g? ? ? 4、IEEE 802.11n? ? ? ? ? ? ? ? ? ? ? 5、IEEE 802.11d? ? ? ? 6、IEEE 802.11e

無線網絡的信道：

1、短波信道2、超短波信道3、微波信道

（注：無線信道即常說的無線的“頻段”，所以個人認為此題應該會考IEEE802.11x所工作的頻段，然后將這些頻段多少個信道，圖2為課件第8章第23頁的截圖，但僅是個人觀點哈！??！要是你有更好的見解，可以和我說說哦?。?/p>

POE、FAT、FIT設備特點：

POE設備的特點:

POE (Power Over Ethernet)在為一些基于IP的終端（如IP電話機、無線局域網接入點AP、網絡攝像機等）傳輸數據信號的同時，還能為此類設備提供直流供電的技術。POE技術能在確?，F有結構化布線安全的同時保證現有網絡的正常運作，最大限度地降低成本。

Fat AP的主要特點：

1.Fat AP是與Fit AP相對來講的， Fat AP將WLAN的物理層、用戶數據加密、用戶認證、QoS、網絡管理、漫游技術以及其他應用層的功能集于一身。

2.Fat AP無線網絡解決方案可由由Fat AP直接在有線網的基礎上構成。

3.Fat AP設備結構復雜，且難于集中管理。

Fit AP的主要特點：

a)Fit AP是相對Fat AP來講的，它是一個只有加密、射頻功能的AP，功能單一，不能獨立工作。

b)整個Fit AP無線網絡解決方案由無線交換機和Fit AP在有線網的基礎上構成。

c)Fit AP上“零配置”，所有配置都集中到無線交換機上。這也促成了Fit AP解決方案更加便于集中管理，并由此具有三層漫游、基于用戶下發(fā)權限等Fat AP不具備的功能。

24、網絡（包括無線網絡）的安全相關技術

1.設置防火墻

2.加強主機安全

3.安裝防病毒軟件

4.使用虛擬專用網

5.部署入侵檢測系統

6.安裝備份恢復與審計報警系統

?訪問控制技術：是網絡安全防范和保護的主要策略，它的主要任務是保證網絡資源不被非法使用和訪問，包括入網訪問控制、網絡權限控制、目錄級控制以及屬性控制等多種手段

?防火墻技術：是一種將內部網和公眾網分開的方法。它能限制被保護的網絡與與其他網絡之間進行的信息存取、傳遞操作。

?入侵信息安全檢測：對系統的運行狀態(tài)進行監(jiān)視，發(fā)現各種攻擊企圖、攻擊行為或者攻擊結果，以保證系統資源的機密性、完整性和可用性。主要借助于信息收集技術和信息分析技術。

?隱患掃描技術：采用模擬黑客攻擊的形式對目標可能存在的已知安全漏洞和弱點進行逐項掃描和檢查，向系統管理員提供周密可靠的安全性分析報告。

?VPN技術：利用現有的不安全的公共網絡環(huán)境，構建的具有安全性、獨占性、自成一體的虛擬網絡。

?網絡病毒防范技術：防止病毒進入計算機系統，破壞計算機功能或者毀壞數據。

?備份恢復與審計報警技術