計算機網(wǎng)絡實用技術附錄-習題答案

1、附錄 各章習題參考答案第1章 習題參考答案1. 答：參見表1-1。2. 答：TCP/IP是Internet的基本協(xié)議，是Transmission Control Protocol/Internet Protocol的簡稱。TCP/IP協(xié)議定義了網(wǎng)絡通信的過程，定義了數(shù)據(jù)單元應該采用什么樣的外觀以及它應該包含什么信息，使得接收端的計算機能夠正確地翻譯對方發(fā)送來的信息，TCP/IP協(xié)議還定義了如何在支持TCP/IP協(xié)議的網(wǎng)絡上處理、發(fā)送和接收數(shù)據(jù)。至于網(wǎng)絡通信的具體實現(xiàn)，是由TCP/IP協(xié)議軟件的軟件組件來實現(xiàn)的。TCP/IP分層模型，主要由構筑在硬件層上的4個概念性層次構成，即應用層、傳輸層、網(wǎng)

2、絡層和數(shù)據(jù)鏈路層，(1) 應用層應用層處于分層模型的最高層，用戶調(diào)用應用程序來訪問TCP/IP互聯(lián)網(wǎng)絡，使用網(wǎng)絡提供的各種服務。應用程序負責向傳輸層發(fā)送信息和處理從傳輸層接收到的信息。每個應用程序可以選擇所需要的傳輸服務類型，例如，IE、NetScape只發(fā)送和接收HTTP的數(shù)據(jù)；WS-FTP只發(fā)送和接收FTP的數(shù)據(jù)等。SMTP、FTP、HTTP等協(xié)議屬于應用層。(2) 傳輸層傳輸層的基本任務是提供應用程序之間的通信服務。傳輸層既要系統(tǒng)地管理數(shù)據(jù)信息的流動，又要提供可靠的傳輸服務以確保數(shù)據(jù)無差錯的、無亂序的到達目的地。因此，傳輸層的協(xié)議軟件需要進行協(xié)商：讓接收方回送確認信息以及讓發(fā)送方重發(fā)丟失

3、的分組。傳輸層所要提供的這些功能由兩個重要的協(xié)議傳輸控制協(xié)議TCP(Transmission Control Protocol)和用戶數(shù)據(jù)報協(xié)議UDP(User Datagram Protocol)進行規(guī)范和定義。(3) 網(wǎng)絡層網(wǎng)絡層，又稱IP層，主要用于處理機器之間的通信問題。Internet層接收傳輸層請求，傳送具有目的地址信息的分組；選擇下一個數(shù)據(jù)報發(fā)送的目標機；把數(shù)據(jù)報交給下面的鏈路層中相應的網(wǎng)絡接口模塊。Internet層還要處理接收到的數(shù)據(jù)，檢驗其正確性；決定是在本地處理接收到的數(shù)據(jù)，還是繼續(xù)向前發(fā)送接收到的數(shù)據(jù)。如果數(shù)據(jù)的目標機處于本機所在的網(wǎng)絡，該層軟件就把數(shù)據(jù)報的報頭剝?nèi)?，?/p>

4、后選擇適當?shù)膫鬏攲訁f(xié)議軟件進行處理。在IP層定義的協(xié)議有ICMP、ARP和RARP等，這些協(xié)議定義了網(wǎng)絡通信中不可缺少的一系列服務標準。(4) 鏈路層鏈路層是TCP/IP協(xié)議的最底層，它定義了對網(wǎng)絡硬件和傳輸媒體等進行訪問的有關標準。它負責接收IP數(shù)據(jù)報和把數(shù)據(jù)報通過選定的網(wǎng)絡發(fā)送出去。由于物理網(wǎng)絡的復雜性和多樣性，TCP/IP不可能提供一個在鏈路層上的完整的協(xié)議，它必須與TCP/IP之外的物理層的協(xié)議相結合，才能實現(xiàn)數(shù)據(jù)信息在底層網(wǎng)絡的通信。例如，由TCP/IP定義的SLIP協(xié)議和PPP協(xié)議，就沒有涉及到與其他計算機相連的網(wǎng)絡物理連接。3. 答：參見內(nèi)容4. 答：為了確保Internet上的

5、每一個網(wǎng)絡地址始終是惟一的，國際網(wǎng)絡信息中心組織(InterNIC)根據(jù)公司網(wǎng)絡的大小給他們分配了一系列的IP地址。在Ipv4中，IP地址由4個八位域(叫作Octets)組成。Octets被點號分開代表在0到255范圍內(nèi)的十進制數(shù)字。用二進制格式時共有32位組成，為了方便記憶，用點號每八位一分割，稱為點分十進制。因為TCP/IP網(wǎng)絡是為大規(guī)模的互聯(lián)網(wǎng)絡設計的，所以不能用全部的32位來表示網(wǎng)絡上主機的地址。事實上是用IP地址的一部分來標識網(wǎng)絡，剩下的部分標識其中的網(wǎng)絡設備。IP地址中用來標識設備所在網(wǎng)絡的部分叫做網(wǎng)絡ID，標識網(wǎng)絡設備的部分叫做主機ID，這些ID包含在同一個IP地址之中。Inte

6、rnet組織定義了5種IP地址類，以容納不同大小的網(wǎng)絡。(1) A類地址用于主機數(shù)目非常多的超大型網(wǎng)絡(2) B類地址用于中型到大型的網(wǎng)絡(3) C類地址用于小型本地網(wǎng)絡(4) D類地址用于多重廣播組(5) E類是一個通常不用的實驗性地址5. 答：1. 吞吐量吞吐量是指單位時間內(nèi)介質(zhì)能傳輸?shù)臄?shù)據(jù)量。吞吐量也被稱為容量或傳輸速率，這種傳輸介質(zhì)的物理性質(zhì)決定了它的潛在吞吐量。吞吐量通常用每秒兆或Mbps進行度量。我們知道，介質(zhì)的帶寬限制了它的最大傳輸速率(吞吐量)，帶寬越高，吞吐量就越高。而與傳輸介質(zhì)相關的噪聲和設備能進一步限制吞吐量。實際上，帶寬這個術語常常與吞吐量交換使用。 2. 成本傳輸介質(zhì)

7、的成本主要包括介質(zhì)的購買成本、安裝成本、維護和升級成本等。不過介質(zhì)的購買成本差別很大，如雙絞線比光纖要便宜得多。安裝成本需要考慮施工安裝時的管道鋪設、安裝的難易程度。維護成本是指網(wǎng)絡日常管理的成本中與介質(zhì)有關的成本，例如，以前用同軸電纜中的50歐姆細纜建設的網(wǎng)絡常常出現(xiàn)網(wǎng)絡故障，因此維護成本很高。升級成本是指網(wǎng)絡升級時部分或全部更換介質(zhì)的成本。若你幾年前選擇的介質(zhì)能與新的連接硬件兼容或能夠滿足新的帶寬要求，那么升級成本就很小。3. 可擴展性可擴展性是指網(wǎng)絡介質(zhì)允許的三種物理規(guī)格：最大段長度、每段的最大節(jié)點數(shù)以及最大網(wǎng)絡長度。一個信號在傳輸一定的距離之后，可能因信號衰減而無法被正確解釋，因此需要

8、使用中繼器進行重發(fā)和放大信號。一個信號能夠傳輸并仍能被正確解釋的最大距離即為最大段長度。若超過這個長度，可能會發(fā)生數(shù)據(jù)損失。每段最大節(jié)點數(shù)也與衰減有關，對一個網(wǎng)絡段每增加一個設備都將略微增加信號的衰減，故為了保證一個清晰的強信號，必須限制一個網(wǎng)絡段中的節(jié)點數(shù)。另外，一個信號從它的發(fā)送到它的最后接收之間存在一個延遲，稱為時延。當連接多個網(wǎng)絡段時，將增加網(wǎng)絡上的時延。每種類型的介質(zhì)都標定一個最大的連接段數(shù)。4. 連接性連接性是指介質(zhì)與網(wǎng)絡設備的連接特性。網(wǎng)絡設備可以是一個文件服務器、工作站、交換機或打印機。每種網(wǎng)絡介質(zhì)都對應一種特定類型的連接器。所使用的連接器的種類將影響網(wǎng)絡安裝和維護的成本、網(wǎng)絡

9、升級的難易度。5. 抗噪性正如前面提到的，噪聲會導致數(shù)據(jù)信號變形，會影響數(shù)據(jù)傳輸。這里，噪聲常指電磁干擾(EMI)和射頻干擾(BR)。不同的介質(zhì)受噪聲的影響不同。通?？梢赃h離強大的電磁源進行布線，以減少噪聲的影響。如果環(huán)境仍然使網(wǎng)絡易受影響，應選擇一種抗噪性好的電線，如光纜。6. 答：(1) 轉發(fā)方式(2) 延時(3) 管理功能(4) MAC地址數(shù)(5) 背板帶寬(6) 交換機的協(xié)議功能(7) 端口(8) 光纖解決方案7. 答：路由器是一種用于連接多個網(wǎng)絡或網(wǎng)段的網(wǎng)絡設備，它能將不同網(wǎng)絡或網(wǎng)段之間的數(shù)據(jù)信息進行“翻譯”，以使路由器之間能夠相互“讀懂”對方的數(shù)據(jù)，從而相連成一個更大的網(wǎng)絡。路由器

10、與交換機不同，它不是應用于同一網(wǎng)段的設備，而是應用于不同網(wǎng)段或不同網(wǎng)絡之間的設備，屬于網(wǎng)際設備。路由器之所以能在不同網(wǎng)絡之間起到“翻譯”的作用，是因為它不是一個純硬件設備，而是具有相當豐富的路由協(xié)議的軟、硬結構設備，例如RIP協(xié)議、OSPF協(xié)議、EIGRP和IPV6協(xié)議等。8. 答：1. 同軸電纜同軸電纜可分為粗纜和細纜兩類，這種電纜在實際應用中很廣，比如有線電視網(wǎng)，就是使用同軸電纜。不論是粗纜還是細纜，其中央都是一根銅線，外面包有絕緣層。同軸電纜由內(nèi)部導體環(huán)繞絕緣層以及絕緣層外的金屬屏蔽網(wǎng)和最外層的護套組成，這種結構的金屬屏蔽網(wǎng)可防止中心導體向外輻射電磁場，也可用來防止外界電磁場干擾中心導體

11、的信號。2. 雙絞線非屏蔽雙絞線電纜具有以下優(yōu)點：a) 無屏蔽外套，直徑小，節(jié)省所占用的空間。b) 重量輕、易彎曲、易安裝。c) 將串擾減至最小或加以消除。d) 具有阻燃性。e) 具有獨立性和靈活性，適用于結構化綜合布線。3. 光纜吞吐量光纜可以以每秒1兆的速度可靠地傳輸數(shù)據(jù)，將來進一步改進后有可能超過這一限制。光纜驚人的吞吐量與光在玻璃纖維上傳輸?shù)奈锢硖匦杂嘘P。與電脈沖通過銅線不同，光實際上不會遇到阻抗，因此能以比電脈沖更快的速度可靠傳輸。實際上，純的玻璃纖維束每秒可接收高達1億個激光脈沖。成本光纜是一種層昂貴的電纜。將光纜連接到每個臺式機上的成本在目前幾乎是負擔不起的，因此，光纜一般僅用于

12、長距離傳翰或必須負擔非常大量的通信業(yè)務的網(wǎng)絡主干中。不僅光纜本身比金屬電纜貴，而且它的網(wǎng)絡接口卡和集線器的價格也比普通的網(wǎng)絡接口卡和集線器貴。除此之外，光纜安裝比雙絞線電纜安裝花費要多。連接性光纜有三種連接方式。首先可以使用許多不同類型的連接器進行連接。通過連接器連接要損失近20的光。第二種是用機械方法連接，將兩根切割好的光纖放在一個套管中，然后鉗起來。這種方法大約損失10的光。第三種方法是焊接，將兩根光纖融合在一起。這種方法光的損失最小。抗噪性光纜不受外界噪聲的影響?？蓴U展性由光纜組成的網(wǎng)絡的網(wǎng)段長度根據(jù)所使用的光纜類型的不同而不同。對于多模光纜，網(wǎng)段長度應限制為2km；對單根光纜，網(wǎng)段長度

13、為30km。9. 答：局域網(wǎng)(Local Area Network，簡稱LAN)是一種傳輸距離有限，傳輸速度較高，以共享網(wǎng)絡資源為目的的網(wǎng)絡系統(tǒng)。局域網(wǎng)一般應用在辦公樓群和校園網(wǎng)中，一個局域網(wǎng)可以容納幾臺至幾千臺計算機，還被廣泛應用于工廠及企事業(yè)單位的個人計算機和工作站的組網(wǎng)方面。除了文件共享和打印機共享服務之外，局域網(wǎng)通常還包括與Internet有關的應用，例如Web頁、Web瀏覽器、文件傳輸、網(wǎng)址、電子郵件及新聞組等。局域網(wǎng)區(qū)別于其他網(wǎng)絡類型的特點主要體現(xiàn)如下：l 數(shù)據(jù)傳輸率高，一般在0.11000Mb/s。l 地理分布范圍小，站點數(shù)目有限，為企業(yè)、單位、部門甚至家庭所擁有。其連線距離有限

14、，一般為0.125km。l 數(shù)據(jù)誤碼率低，一般數(shù)據(jù)誤碼率在1011108。l 一般為廣播式通信。l 各站點之間為平等關系。l 資源共享簡單、方便，組網(wǎng)費用低。l 系統(tǒng)升級、擴展、調(diào)整比較容易，組網(wǎng)靈活性好。l 響應快，可靠性高。局域網(wǎng)通?？煞譃閷Φ染W(wǎng)和基于服務器的網(wǎng)絡，兩種網(wǎng)絡除了對網(wǎng)絡用戶數(shù)量要求不同以外，更重要的是提供的服務功能不同。 對等網(wǎng)對等網(wǎng)是最基本的網(wǎng)絡類型，由于沒有服務器的存在，連接入網(wǎng)的計算機互相之間的地位是對等的。在對等網(wǎng)中，計算機之間只能一些簡單的文件共享和硬件設備共享等，網(wǎng)絡安全性也不及有服務器支持時強大。幾乎所有的流行操作系統(tǒng)都提供對它的支持。 基于服務器的網(wǎng)絡這種網(wǎng)絡

15、使用的標準有以太網(wǎng)、FDDI(光纖分布式數(shù)據(jù)接口)和令牌環(huán)等。基于服務器的網(wǎng)絡就是在網(wǎng)絡中配置功能比較強大的服務器用以控制和管理網(wǎng)絡并提供特殊的服務。10. 答：網(wǎng)絡拓撲指網(wǎng)絡中各個節(jié)點相互聯(lián)接的方法和形式，主要有總線拓撲、星型拓撲、環(huán)型拓撲、樹型拓撲和網(wǎng)狀拓撲幾大類。第2章 網(wǎng)絡服務器的配置和管理1. 答：請參考本章DNS服務器的配置與管理有關描述。2. 答：請參考本章DHCP服務器的配置與管理有關描述。3. 答：請參考本章Web服務器的配置有關描述。4. 答：請參考本章FTP服務器的配置與管理有關描述。5. 答：請參考本章電子郵件服務器的配置與管理有關描述。6. 略。第3章 交換機的相關配

16、置1. 答：交換機的工作原理是存儲轉發(fā)，當交換機從某一節(jié)點收到一個幀時（廣播幀除外），將對地址表執(zhí)行兩個動作，一是檢查該幀的源MAC地址是否已在地址表中，如果沒有，則將該MAC地址加到地址表中，這樣以后就知道該MAC地址在哪一個節(jié)點；二是檢查該幀的目的MAC地址是否已在地址表中，如果該MAC地址已在地址表中，則將該幀發(fā)送到對應的節(jié)點即可，如果該MAC地址不在地址表中，則將該幀發(fā)送到所有其他節(jié)點（源節(jié)點除外），相當于該幀是一個廣播幀。2. 答：交換機有本地配置和遠程配置方式。其中遠程配置方式主要有SSH/Telnet、Web瀏覽器和網(wǎng)絡管理軟件等方式。3. 答：除了通過控制端口外，對交換機的配置

17、與管理還可以通過遠程配置方式。對于一臺新交換機必須先對其進行本地配置，一般是先配置好IP地址和用戶賬號，然后再用遠程配置方式對其進行配置。4. 答：交換機包括6種不同的命令狀態(tài)：用戶命令狀態(tài)（User Exec）、特權命令狀態(tài)（Privileged Exec）、虛擬網(wǎng)配置狀態(tài)（VLAN dataBase）、全局配置狀態(tài)（Global configuration）、接口配置狀態(tài)（Interface configuration）和局部配置狀態(tài)（Line configuration）。其中用戶命令狀態(tài)（User Exec）的訪問方法是開始一個進程，用途是改變終端設置執(zhí)行基本測試并顯示系統(tǒng)信息。特權命

18、令狀態(tài)（Privileged Exec）的訪問方法是在User Exec狀態(tài)中輸入enable命令，用途是校驗輸入的命令，該狀態(tài)有密碼保護。虛擬網(wǎng)配置狀態(tài)（VLAN dataBase）的訪問方法是在Privileged Exec狀態(tài)中輸入vlan database命令，用途是配置VLAN參數(shù)。全局配置狀態(tài)（Global configuration）的訪問方法是在privileged Exec狀態(tài)中輸入configure命令，用途是將配置的參數(shù)應用于整個交換機中。接口配置狀態(tài)（Interface configuration）的訪問方法是在Global Configuration狀態(tài)中，輸入int

19、erface命令，用途是為相應端口配置參數(shù)。局部配置狀態(tài)（Line configuration）的訪問方法是在Global Configuration狀態(tài)，輸入相應的局部配置命令，用途是配置相應局部參數(shù)。5. 虛擬局域網(wǎng)VLAN的優(yōu)越性體現(xiàn)在：增加了網(wǎng)絡連接的靈活性，控制網(wǎng)絡上的廣播和增加了網(wǎng)絡的安全性。6. 虛擬局域網(wǎng)VLAN的劃分方法有基于端口劃分的VLAN，基于MAC地址劃分VLAN，基于網(wǎng)絡層協(xié)議劃分VLAN，根據(jù)IP組播劃分VLAN，按策略劃分VLAN和按用戶定義、非用戶授權劃分VLAN。7. VLAN Trunk是用于在交換機之間或者在交換機與路由器之間進行VLAN信息傳輸?shù)耐ǖ馈?/p>

20、為了在VLAN Trunk上識別不同的VLAN幀，采用了相應的VLAN幀標記技術。在Cisco的Catalyst交換機上，有兩種標記封裝格式可供選擇，一種基于Cisco的專用協(xié)議ISL，另一種基于IEEE所提供的開放標準IEEE 802.1Q。當不同廠商的設備實驗Trunk連接時，必須使用IEEE 802.1Q標準。8. 交換機的Trunk連接使用UTP交叉線纜，在單臺交換機上實現(xiàn)VLAN時不需要Trunk。9. 略。10. 略。第4章 習題參考答案1. 答：局域網(wǎng)與廣域網(wǎng)不同之處在于：（1）作用范圍局域網(wǎng)的網(wǎng)絡通常分布在一座辦公大樓、實驗室或者宿舍大樓中，為一個部門所有，涉及范圍一般在幾公里

21、以內(nèi)。廣域網(wǎng)的網(wǎng)絡分布通常在一個地區(qū)、一個國家甚至全球的范圍。（2）結構 局域網(wǎng)的結構簡單，局域網(wǎng)中計算機數(shù)量少，一般是規(guī)則的結構，可控性、可管理性以及安全性都比較好。廣域網(wǎng)由眾多異構、不同協(xié)議的局域網(wǎng)連接而成，包括眾多各種類型的計算機，以及上面運行的種類繁多的業(yè)務。因此廣域網(wǎng)的結構往往是不規(guī)則的，且管理和控制復雜，安全性也比較難于保證。（3）通信方式 局域網(wǎng)多數(shù)采用廣播式的通信方式，采用數(shù)字基帶傳輸。廣域網(wǎng)通常采用分組點到點的通信方式，無論是在電話線傳輸、借助衛(wèi)星的微波通信以及光纖通信采用的都是模擬傳輸方式。（4）通信管理局域網(wǎng)信息傳輸?shù)臅r延小、抖動也小，傳輸?shù)膸挶容^寬，線路的穩(wěn)定性比較好

22、，因此通信管理比較簡單。在廣域網(wǎng)中，由于傳輸?shù)臅r延大、抖動大，線路穩(wěn)定性比較差，同時，通信設備多種多樣，通信協(xié)議也種類繁多，因此通信管理非常復雜。（5）通信速率局域網(wǎng)的信息傳輸速率比較高，一般能達到100Mbps、1000Mbps，甚至能夠達到萬兆。傳輸誤碼率比較低。而在廣域網(wǎng)中，傳輸?shù)膸捙c多種因素相關。同時，由于經(jīng)過了多個中間鏈路和中間節(jié)點，傳輸?shù)恼`碼率也比局域網(wǎng)高。（6）工作層次廣域網(wǎng)是由結點交換機以及連接這些交換機的鏈路組成。結點交換機執(zhí)行分組存儲轉發(fā)的功能。結點之間都是點到點的連接。從層次上看，局域網(wǎng)和廣域網(wǎng)主要區(qū)別是：局域網(wǎng)使用的協(xié)議主要在數(shù)據(jù)鏈路層，廣域網(wǎng)技術主要體現(xiàn)在OSI參考

23、模型的下3層：物理層、數(shù)據(jù)鏈路層和網(wǎng)絡層，重點在于在網(wǎng)絡層。2. 答：（1）對稱DSL技術,對稱DSL技術主要HDSL、SDSL、MVL及IDSL等幾種。  （2）非對稱DSL技術適用于對雙向帶寬要求不一致的應用，諸如Web瀏覽、多媒體點播及信息發(fā)布等，非對稱DSL技術主要有ADSL、RADSL及VDSL等。  3. 答：（1）RJ-45端口（2）高速同步串口（SERIAL）（3）異步串口（4）ISDN BRI端口（5）FDDI端口（6） 光纖端口4. 答： （1） 綜合業(yè)務數(shù)字網(wǎng)（ISDN ）（2） ATM網(wǎng) （3） 幀中繼網(wǎng) （4） 數(shù)據(jù)數(shù)據(jù)網(wǎng)DDN （5） 衛(wèi)星通信系

24、統(tǒng) （6） 數(shù)字用戶線路（DSL）5. 答：（1）通過Internet實現(xiàn)遠程用戶訪問 （2）通過Internet實現(xiàn)網(wǎng)絡互連 （3）使用專線連接分支機構和企業(yè)局域網(wǎng)。 （4）使用撥號線路連接分支機構和企業(yè)局域網(wǎng)。 （5）連接企業(yè)內(nèi)部網(wǎng)絡計算機。第5章 習題參考答案1. 答：工作在OSI模型第三層網(wǎng)絡層。2. 答：（1）處理器：和計算機擁有CPU一樣，路由器也包含了一個“中央處理器(CPU)”。不同系列和型號的路由器，CPU也不盡相同。路由器的處理器負責執(zhí)行處理數(shù)據(jù)包所需的工作，比如維護路由和橋接所需的各種表格以及作出路由決定等等。路由器處理數(shù)據(jù)包的速度在很大程度上取決于處理器的類型。（2）內(nèi)

25、存 ：所有計算機都安裝丁某些形式的內(nèi)存。路由器主要采用了四種類型： RAM是會在路由器啟動或供電間隙時丟失其內(nèi)容的唯一一種內(nèi)存； 在下面的介紹中，我們將簡單說明路由器的每種內(nèi)存的主要用途。 ROM保存著路由器的引導(啟動)軟件。這是路由器開始運行時候運行的第一個軟件，負責引導程序讓路由器進入正常工作狀態(tài)。功能有些類似與計算機的CMOS RAM存儲芯片。有些路由器將一套完整的IOS保存在ROM中，以便在另個IOS不能使用時。作救急之用。ROM通常做在一個或多個芯片上，焊接在路由器的主機板上。FLASH的主要用途是保存IOS軟件，維持路由器的正常工作。功能有些類似與計算機存放操作系統(tǒng)和其他配置信息

26、的硬盤。若路由器安裝了閃存，它便是用來引導路由器的10S軟件的默認位置。只要閃存容量足夠，使可保存多個IOS映像，以提供多重啟動選項。閃存要么做在主機板的SIMM上，要么做成一張PCMCIA卡。 RAM的作用很廣泛，在此不可能一一列出。功能有些類似與計算機的內(nèi)存。但有兩樣東西值得一提，即IOS系統(tǒng)表與緩沖。IOS通過RAM滿足其所有的常規(guī)存儲需要。 NVRAM的主要作用是保存IOS在路由器啟動時讀入的配置數(shù)據(jù)。這種配置稱為“啟動配置”。 我們對路由器所做出的配置信息，若保存則就放在路由器的NVRAM上，下次路由器啟動是自動讀取這些配置信息。（3）接口 ：所有路由器都有“接口”(Interfac

27、e)?？刂婆_接口、輔助接口、以太網(wǎng)接口、廣域網(wǎng)接口等。3. 答：靜態(tài)路由優(yōu)先級高。4. 答：缺省路由是一種特殊的路由。簡單地說，缺省路由就是在沒有找到匹配的路由表入口項時才使用的路由。即只有當沒有合適的路由時，缺省路由才被使用。在路由表中，缺省路由以到網(wǎng)絡5. 答：（1）ACL可以限制網(wǎng)絡流量、提高網(wǎng)絡性能。例如，ACL可以根據(jù)數(shù)據(jù)包的協(xié)議，指定數(shù)據(jù)包的優(yōu)先級。 （2）ACL提供對通信流量的控制手段。例如，ACL可以限定或簡化路由更新信息的長度，從而限制通過路由器某一網(wǎng)段的通信流量。 （3）ACL是提供網(wǎng)絡安全訪問的基本手段。如圖1所示，ACL允許主機A訪問人力資源網(wǎng)絡，而拒絕主機B訪問。 （

28、4）ACL可以在路由器端口處決定哪種類型的通信流量被轉發(fā)或被阻塞。例如，用戶可以允許E-mail通信流量被路由，拒絕所有的Telnet通信流量。6. 答：(1)路由信息協(xié)議（RIP）是一個真正的距離適矢量路由選擇協(xié)議。它每隔30秒鐘就送出自己完整的路由表到所有激活接口。RIP只使用跳數(shù)來決定到達遠程網(wǎng)絡的最佳方式。并且在默認時它所允許的最大跳計數(shù)為15跳。也就是說16跳的距離將認為是不可達的。在小型的網(wǎng)絡中，RIP會運轉良好，但是對于使用慢速WAN鏈接的大型網(wǎng)絡或者對于安裝有大量路由器的網(wǎng)絡來說，它的效率就很低了。 (2)開放最短路徑優(yōu)行（OSPF）是一個開放標準的路由選擇協(xié)議。它被各種網(wǎng)絡開

29、發(fā)商所廣泛使用，其中包括CISCO。OSPF是通過使用Dijkstra算法來工作的。首先，要構建一個最短路徑樹，然后使用最佳路徑的計算結果來組建路由表。OSPF會聚很快，并且它也支持到達相同目標的多個等開銷路由。OSPF是被設計用于分層的結構中，使用OSPF你可以將大型的互聯(lián)網(wǎng)絡分割成一些小的被稱為地區(qū)的小互聯(lián)網(wǎng)絡。第6章 習題參考答案1. 答：參見6.1、6.2節(jié)內(nèi)容。2. 答：一般入侵檢測的主要方法如下：1. 靜態(tài)配置分析2. 異常性檢測方法3. 基于行為的檢測方法4. 搭建一個基于網(wǎng)絡的IDS3. 答：1物理安全策略物理安全策略的目的是保護計算機系統(tǒng)、網(wǎng)絡服務器、打印機等硬件實體和通信鏈

30、路免受自然災害、人為破壞和搭線攻擊；驗證用戶的身份和使用權限、防止用戶越權操作；確保計算機系統(tǒng)有一個良好的電磁兼容工作環(huán)境；建立完備的安全管理制度，防止非法進入計算機控制室和各種偷竊、破壞活動的發(fā)生。抑制和防止電磁泄漏(即TEMPEST技術)是物理安全策略的一個主要問題。目前主要的防護措施有兩類：一類是對傳導發(fā)射的防護，主要是對電源線和信號線加裝性能良好的濾波器，減小傳輸阻抗和導線間的交叉耦合；另一類是對輻射的防護，這類防護措施又可分為兩種，一是采用各種電磁屏蔽措施，例如對設備的金屬屏蔽和各種接插件的屏蔽，同時對機房的下水管、暖氣管和金屬門窗進行屏蔽和隔離，二是干擾的防護措施，即在計算機系統(tǒng)工

31、作的同時，利用干擾裝置產(chǎn)生一種與計算機系統(tǒng)輻射相關的偽噪聲向空間輻射，以掩蓋計算機系統(tǒng)的工作頻率和信息特征。2.訪問控制策略訪問控制是網(wǎng)絡安全防范和保護的主要策略，它的主要任務是避免網(wǎng)絡資源被非法使用和非常訪問，它也是維護網(wǎng)絡系統(tǒng)安全和保護網(wǎng)絡資源的重要手段。各種安全策略必須相互配合才能真正起到保護作用，其中，訪問控制可以說是保證網(wǎng)絡安全最重要的核心策略之一。以下將分別敘述各種訪問控制策略。(1) 入網(wǎng)訪問控制入網(wǎng)訪問控制為網(wǎng)絡訪問提供了第一層訪問控制。它控制哪些用戶可以登錄到服務器并獲取網(wǎng)絡資源，控制準許用戶入網(wǎng)的時間和準許他們在哪臺工作站入網(wǎng)。用戶的入網(wǎng)訪問控制可分為3個步驟：用戶名的識別

32、與驗證、用戶口令的識別與驗證、用戶賬號的默認限制檢查。3道關卡中只要任何一關未過，該用戶便不能進入該網(wǎng)絡。對網(wǎng)絡用戶的用戶名和口令進行驗證是防止非法訪問的第一道防線。用戶注冊時，首先輸入用戶名和口令，服務器將驗證所輸入的用戶名是否合法。如果驗證合法，再繼續(xù)驗證用戶輸入的口令；否則，用戶將被拒絕在網(wǎng)絡之外。用戶的口令是用戶入網(wǎng)的關鍵所在。為保證口令的安全性，用戶口令不能顯示在顯示屏幕上，口令長度不應少于6個字符，口令字符最好是數(shù)字、字母和其他字符的組合，用戶口令必須經(jīng)過加密。用戶還可采用一次性用戶口令，也可以使用便攜式驗證器(如智能卡)來驗證用戶的身份。網(wǎng)絡管理員應該可以控制和限制普通用戶的賬號

33、使用、訪問網(wǎng)絡的時間和方式。用戶名或用戶賬號是所有計算機系統(tǒng)中最基本的安全形式。用戶賬號只有系統(tǒng)管理員才能建立。用戶口令則是每個用戶訪問網(wǎng)絡所必須提交的“證件”、用戶可以修改自己的口令，但是系統(tǒng)管理員應該可以控制口令的以下幾個方面的限制：最小口令長度、強制修改口令的時間間隔、口令的唯一性、口令過期失效后允許入網(wǎng)的寬限次數(shù)。用戶名和口令驗證有效之后，再進一步履行用戶賬號的默認限制檢查。網(wǎng)絡應能控制用戶登錄入網(wǎng)的站點、限制用戶入網(wǎng)的時間、限制用戶入網(wǎng)的工作站數(shù)量。當用戶對交費網(wǎng)絡的訪問“資費”用盡時，網(wǎng)絡還應當能對用戶的賬號加以限制，用戶此時將無法進入網(wǎng)絡訪問網(wǎng)絡資源。網(wǎng)絡應對所有的用戶訪問進行審

34、計。如果多次輸入口令不正確，則認為是非法用戶的入侵，應當給出報警信息。(2) 網(wǎng)絡的權限控制網(wǎng)絡的權限控制是針對網(wǎng)絡非法操作所提出的一種安全保護措施。用戶和用戶組被賦予一定的權限。網(wǎng)絡控制用戶和用戶組可以訪問哪些目錄、子目錄、文件和其他資源，可以指定用戶對這些文件、目錄、設備能夠執(zhí)行哪些操作。受托者指派和繼承權限屏蔽(IRM)可作為它的兩種實現(xiàn)方式。受托者指派控制用戶和用戶組如何使用網(wǎng)絡服務器的目錄、文件和設備。繼承權限屏蔽相當于一個過濾器，可以限制子目錄從父目錄那里繼承哪些權限。3.信息加密策略信息加密的目的是保護網(wǎng)內(nèi)的數(shù)據(jù)、文件、口令、控制信息和網(wǎng)上傳輸?shù)臄?shù)據(jù)。網(wǎng)絡加密常用的方法有鏈路加密

35、、端點加密和節(jié)點加密3種。鏈路加密的目的是保護網(wǎng)絡節(jié)點之間的鏈路信息安全；端點加密的目的是對源端用戶到目的端用戶的數(shù)據(jù)進行保護；節(jié)點加密的目的是對源節(jié)點到目的節(jié)點之間的傳輸鏈路進行保護。用戶可以根據(jù)網(wǎng)絡情況需求酌情選擇上述加密方式。4.防病毒技術隨著計算機技術的不斷發(fā)展，計算機病毒也變得越來越復雜和高級，對整個計算機系統(tǒng)造成了非常大的威脅。加強防病毒的工作能夠有利于保證本地或者網(wǎng)絡的安全。防病毒軟件從功能上可以分為網(wǎng)絡防病毒軟件和單機防病毒軟件兩大類。單機防病毒軟件一般安裝在單臺PC機器上，對整個PC機器起到了清楚病毒、分析掃描等作用。而網(wǎng)絡防病毒軟件則能夠保護整個網(wǎng)絡，避免遭到病毒的攻擊。5

36、.防火墻技術防火墻技術是網(wǎng)絡安全防范的有效方法之一，配置防火墻是達到實現(xiàn)網(wǎng)絡安全最基本、最經(jīng)濟、最有效的安全措施之一。防火墻可以有硬件和軟件兩種，它對內(nèi)部網(wǎng)絡訪問及管理內(nèi)部用戶訪問外界網(wǎng)絡的權限進行了規(guī)范。防火墻技術能夠極大提高一個網(wǎng)絡的安全性，降低網(wǎng)絡崩潰的危險系數(shù)。6.網(wǎng)絡入侵檢測技術入侵檢測是從多種計算機系統(tǒng)及網(wǎng)絡中收集信息，再通過這些信息分析入侵特征。它被稱為是防火墻后的第二道門，可以使得入侵在入侵攻擊之前被檢測出來，并通過報警與防護系統(tǒng)將入侵拒絕，從而盡量減少被攻擊。入侵技術是為保證計算機系統(tǒng)的安全而設計與配置的一種能夠及時發(fā)現(xiàn)并報告系統(tǒng)中未授權或異常現(xiàn)象的技術，是一種用于檢測計算機

37、網(wǎng)絡中違反安全策略行為的技術。7.網(wǎng)絡安全管理策略在網(wǎng)絡安全中，除了采用上述安全技術措施之外，加強網(wǎng)絡的安全管理，制定有關規(guī)章制度，對于確保網(wǎng)絡的安全、可靠地運行，將起到十分有效的作用。網(wǎng)絡的安全管理策略包括：確定安全管理等級和安全管理范圍；制訂有關網(wǎng)絡操作使用規(guī)程和人員出入機房管理制度；制定網(wǎng)絡系統(tǒng)的維護制度和應急措施等。4. 答：電腦在Internet上相互通信需要使用TCP/IP協(xié)議，根據(jù)TCP/IP協(xié)議規(guī)定，電腦有256×256（65536）個端口，這些端口可分為TCP端口和UDP端口兩種。如果按照端口號劃分，它們又可以分為以下兩大類：1.系統(tǒng)保留端口（從0到1023）這些端

38、口不允許你使用，它們都有確切的定義，對應著因特網(wǎng)上常見的一些服務，每一個打開的此類端口，都代表一個系統(tǒng)服務，例如80端口就代表Web服務。21對應著FTP，25對應著SMTP、110對應著POP3等。2.動態(tài)端口（從1024到65535）當你需要與別人通信時，Windows會從1024起，在本機上分配一個動態(tài)端口，如果1024端口未關閉，再需要端口時就會分配1025端口供你使用，依此類推。但是有個別的系統(tǒng)服務會綁定在1024到49151的端口上，例如3389端口（遠程終端服務）。從49152到65535這一段端口，通常沒有捆綁系統(tǒng)服務，允許Windows動態(tài)分配給你使用。5. 答：根據(jù)防火墻所

39、采用技術的不同，可以將防火墻分為包過濾防火墻、代理防火墻、NAT和檢測型防火墻4種。(1) 包過濾防火墻包過濾防火墻設置在網(wǎng)絡層，可以在路由器上實現(xiàn)包過濾。首先，應該建立一定數(shù)量的信息過濾表，信息過濾表是以其收到的數(shù)據(jù)包頭信息為基礎而建成的。信息包頭包含有數(shù)據(jù)包源IP地址、目的IP地址、傳輸協(xié)議類型(例如：TCP、UDP、ICMP等)、協(xié)議源端口號、協(xié)議目的端口號、連接請求方向、ICMP報文類型等。防火墻通過讀取數(shù)據(jù)包中的地址信息來判斷這些數(shù)據(jù)包是否來自可信任的安全站點，系統(tǒng)管理員也可以根據(jù)實際情況來靈活制定判斷規(guī)則。當一個數(shù)據(jù)包滿足過濾表中的規(guī)則時，則允許數(shù)據(jù)包通過防火墻，否則禁止通過防火墻

40、。這種防火墻可以用于禁止外部的不合法用戶對內(nèi)部進行訪問，也可以用于禁止訪問某些服務類型。包過濾技術的優(yōu)點是簡單實用，實現(xiàn)成本較低，在應用環(huán)境比較簡單的情況下，能夠以較小的代價在一定程度上保證網(wǎng)絡系統(tǒng)的安全。 但是包過濾技術的缺陷也是明顯的。包過濾技術是一種完全基于網(wǎng)絡層的安全技術，只能根據(jù)數(shù)據(jù)包的來源、目標和端口等網(wǎng)絡信息進行判斷，無法識別基于應用層的惡意侵入，無法實施對應用層協(xié)議的處理，也無法處理UDP、RPC和動態(tài)的協(xié)議，例如，惡意的Java小程序和電子郵件中附帶的病毒等。有經(jīng)驗的黑客能輕易地偽造IP地址，通過包過濾型防火墻。(2) 代理防火墻代理防火墻又被稱為應用層網(wǎng)關級防火墻，它由代理

41、服務器和過濾路由器組成，是目前比較流行的一種防火墻。它將過濾路由器和軟件代理技術結合在一起。過濾路由器負責網(wǎng)絡互聯(lián)，并對數(shù)據(jù)進行嚴格選擇，然后將已篩選的數(shù)據(jù)傳送到代理服務器。代理服務器起到外部網(wǎng)絡申請訪問內(nèi)部網(wǎng)絡的中間轉接作用，其功能類似于一個數(shù)據(jù)轉發(fā)器，它主要用于控制哪些用戶可以訪問哪些服務類型。當外部網(wǎng)絡向內(nèi)部網(wǎng)絡申請某種網(wǎng)絡服務時，代理服務器接受申請，然后根據(jù)其服務類型、服務內(nèi)容、被服務的對象、服務者申請的時間、申請者的域名范圍等來決定是否接受此項服務，如果接受，它就向內(nèi)部網(wǎng)絡轉發(fā)這項請求。代理防火墻無法快速支持一些新出現(xiàn)的業(yè)務(如多媒體)。目前較為流行的代理服務器軟件是WinGate和

42、Proxy Server。代理型防火墻的優(yōu)點是安全性較高，可以針對應用層進行檢測和掃描，對付基于應用層的侵入和病毒都十分有效。其缺點是對系統(tǒng)的整體性能有較大的影響，而且，代理服務器必須針對客戶機可能產(chǎn)生的所有應用類型逐一進行設置，增加了系統(tǒng)管理的復雜性。(3) 網(wǎng)絡地址轉換 NAT 網(wǎng)絡地址轉換用于將IP地址轉換成臨時的、外部的、注冊的IP地址標準。它允許具有私有IP地址的內(nèi)部網(wǎng)絡訪問因特網(wǎng)。它還意味著用戶不需要為其網(wǎng)絡中的每一臺機器取得注冊的IP地址。 NAT的工作過程為：在內(nèi)部網(wǎng)絡通過安全網(wǎng)卡訪問外部網(wǎng)絡時，將產(chǎn)生一個映射記錄。系統(tǒng)將外出的源地址和源端口映射為一個偽裝的地址和端口，使這個偽

43、裝的地址和端口通過非安全網(wǎng)卡與外部網(wǎng)絡連接，對外隱藏了真實的內(nèi)部網(wǎng)絡地址。在外部網(wǎng)絡通過非安全網(wǎng)卡訪問內(nèi)部網(wǎng)絡時，它并不知道內(nèi)部網(wǎng)絡的連接情況，而只是通過一個開放的IP地址和端口來請求訪問。NAT防火墻根據(jù)預先定義好的映射規(guī)則來判斷這個訪問是否安全。當訪問符合規(guī)則時，防火墻認為該訪問是安全的，可以接受訪問請求，也可以將連接請求映射到不同的內(nèi)部計算機中。當訪問不符合規(guī)則時，防火墻則認為該訪問是不安全的，不能被接受，防火墻將屏蔽外部的連接請求。網(wǎng)絡地址轉換的過程對于用戶來說是透明的，不需要用戶進行任何設置，用戶只需進行常規(guī)的操作即可。(4) 監(jiān)測型防火墻監(jiān)測型防火墻是新一代的產(chǎn)品，該技術實際已經(jīng)超

44、越了最初的防火墻定義。監(jiān)測型防火墻能夠對各層的數(shù)據(jù)進行主動的、實時的監(jiān)測，在對這些數(shù)據(jù)加以分析的基礎上，監(jiān)測型防火墻能夠有效地判斷各層中的非法侵入，同時，檢測型防火墻一般還附帶有分布式探測器，這些探測器安置在各種應用服務器和其他網(wǎng)絡的節(jié)點之中，不僅能夠檢測來自網(wǎng)絡外部的攻擊，同時，對來自內(nèi)部的惡意破壞也有著極強的防范作用。據(jù)權威機構統(tǒng)計，在針對網(wǎng)絡系統(tǒng)的攻擊中，有相當比例的攻擊來自網(wǎng)絡內(nèi)部，因此，監(jiān)測型防火墻不僅超越了傳統(tǒng)防火墻的定義，而且在安全性上也超越了前兩代產(chǎn)品。 6. 答：網(wǎng)絡病毒的防治是一個系統(tǒng)性的工程，它既包括技術方面的措施，又包括管理方面的措施。1. 選擇有效的防毒/殺毒軟件在網(wǎng)

45、絡環(huán)境中，計算機中的資源是可以被互相訪問的，網(wǎng)絡中的所有計算機構成了一個完整的系統(tǒng)。對于同一種殺毒軟件，版本越新殺毒能力越強，版本越老殺毒能力越弱。如果在網(wǎng)絡中殺毒軟件版本不一致，就意味著在網(wǎng)絡中至少有一臺計算機，它的殺毒軟件版本較老，以致于無法防范某些已知病毒。單機版殺毒產(chǎn)品由于沒有考慮到網(wǎng)絡環(huán)境的特殊性，它無法確保整網(wǎng)中各節(jié)點的殺毒軟件同步升級。比如說，某客戶端計算機和服務器計算機上都安裝了單機版殺毒軟件，但是由于該客戶端計算機沒有及時得到升級，感染了某種新型病毒并且已發(fā)作，病毒發(fā)出將服務器上的文件刪除的命令，雖然服務器上的單機版軟件已及時得到升級，但是也無法阻止文件被刪除(它只能阻止服務器上的文件被感染)。一個防毒嚴密的網(wǎng)絡版軟件必須做到：(1)主動同步自動升級，即一臺計算機中的殺毒軟件升級后，網(wǎng)絡版控制系統(tǒng)將自動通知所有計算機中的殺毒軟件立即升級，保證整個網(wǎng)絡內(nèi)的殺毒軟件版本的一致性，確保所有計算機上的殺毒軟件都是最新的；(