参考答案 第 1 章 原理练习题 问答题 1：数据通信五元组指的是数据的发送方、接收方、数据报文、传输介质和协议五个要素。 问答题 2：MAC 子层面向物理层负责介质访问，包括定义物理地址、线路规范，提供差错检测、流量控 制等功能。LLC 子层则面向上层网络层，提供不同的数据封装。 问答题 3：分组在源端从高层到低层会做数据封装的操作，在传输层加上传输层报头，在网络层加上相 应的网络层报头，譬如 IP 头部信息，在数据链路层加上帧头部和帧校验尾部。 问答题 4：TCP 通过数据的确认与重传机制来保证传输可靠性。 问答题 5：早期共享式以太网存在三项重大缺陷，包括网络冲突导致的带宽利用率低，广播报文泛滥， 网络安全性差。 问答题 6：ARP 协议的作用是将 IP 地址解析成相应的 MAC 地址。 问答题 7：已知需求是四个部门需单独划分广播域，即需要划分四个子网。向主机位借两位就足以划分 四个子网（两位子网位可有 00，01，10，11 四种不同变化，即四个子网），尚余 6 位主机位，2 的 6 次方 为 64，满足每个子网 50 台主机的需求。因此网段规划如下，部门 1 分配网段 192.168.100.0/26（有效地 址 为 192.168.100.1-192.168.100.62 ） ， 部 门 2 分 配 网 段 192.168.100.64/26 （ 有 效 地 址 为 192.168.100.65-192.168.100.126 ） ， 部 门 3 分 配 网 段 192.168.100.128/26 （ 有 效 地 址 为 192.168.100.129-192.168.100.190 ） ， 部 门 4 分 配 网 段 192.168.100.192/26 （ 有 效 地 址 为 192.168.100.193-192.168.100.254）。 第 2 章 原理练习题 问答题 1：VLAN TAG 是在 TCP/IP 模型的第二层数据链路层实现的。 问答题 2：GVRP 可以实现 VLAN 的动态注册，使得交换机之间可以互相交换 VLAN 配置信息，提供了交 换机上 VLAN 的动态管理。 问答题 3：为了实现 VLAN 间路由的功能，需要在三层 VLAN 接口上配置 VLANIF 接口 IP。 问答题 4：生成树协议解决了二层网络中环路的问题。 问答题 5:初始化端口状态为 Disabled，该状态不进行任何操作，端口正常启用后过渡到 Listening 状 态，经过计算，端口若为预备端口，则过渡到 Blocking 状态，若为根端口或指定端口则过渡到 Learning 状态，等待一个时间周期后从 Learning 过渡到 Forwarding 可以正常转发数据。 问答题 6：一个 Forwarding Delay 的时间间隔是 15s。 问答题 7：VRRP 提供了在多网关场景下网关的保护，通过将一组网关设备组合成一个虚拟网关，并将 网络内主机的默认网关指向虚拟网管 IP 的方式，实现终端设备自动在多个物理网关间选路，并提供网络故 障情况下主备网关的快速保护倒换。 问答题 8：VRRP 的主备关系选举原则首先比较 VRRP 优先级，若优先级相同 IP 地址大的成为主设备。 

第 3 章 原理练习题 问答题 1：路由表由目的前缀/掩码、协议字段、优先级字段、开销字段、下一跳字段和出接口字段 6 个要素组成。 问答题 2：当去往同一目的网段的两条或两条以上的路由，协议优先级一致，开销也一致，则认为这些 路由是等价的，等价路由可以实现负载分担，负载分担方式有逐包与逐流两种方式。 问答题 3：静态路由相比动态路由协议配置方式简单，但若在网络规模较大、需要路由条目较多的情况 下，静态路由需要管理员手工配置，工作量较大因此不适用。而且，在网络拓扑变动的时候，静态路由不 够灵活，无法自己进行路由的更新，需要管理员手工修改。 问答题 4：RIPv1 是有类路由协议，RIPv2 是无类路由协议。RIPv1 采用广播更新协议报文，RIPv2 采用 广播或组播，RIPv1 采用周期更新，RIPV2 采用周期+触发更新，RIPv1 不支持认证，RIPv2 支持明文和 MD5 密文认证。 问答题 5：距离矢量协议常用的防环机制有水平分割、毒性反转、抑制时间、触发更新等。 问答题 6：OSPF 协议报文类型有五种，分别是 HELLO 报文，用来建立和维护 OSPF 的邻居关系。DD 报文， 用来向邻居更新自己 LSDB 中所有 LSA 摘要信息。LSR 报文，用来向邻居请求某些 LSA 头部的详细信息。LSU 报文，用来应答 LSR 报文，其中包含了邻居所请求的 LSA 的详细信息。LSACK 报文，用来应答 LSU 报文，表 示确认收到了 LSU。 问答题 7：链路状态算法计算最优路由的过程第一步是建立相邻路由器间的邻居与邻接关系，第二步是 泛洪链路状态信息并且收集邻居向自己泛洪的链路状态信息，第三步以自己本路由器为根节点运行 SPF 算 法算出最短路径树，把去往目的网段最优路由存放到路由表中。 问答题 8：IS-IS 协议中的 NET 地址由 AREA ID、SYSTEM ID 与 NSEL 三个字段组成。 问答题 9：IS-IS 中 ATT 比特位被置位为 1，表示该 L-1-2 路由器可以通往外部，会生成一条默认路由 向自己本区域内 L1 路由器泛洪。 问答题 10：基本 ACL 只能基于源地址过滤，扩展 ACL 可以基于源、目的、协议等参数实现过滤。 第 4 章 原理练习题 问答题 1：MPLS 报文头部共有四个字段，包括 Label、EXP、S 和 TTL。Label 字段用来表示标签值，该 标签用于标记报文，实现报文转发。EXP 字段用来标记报文优先级，在 QOS 流分类中会应用到。S 表示栈底 位，当一个报文封装多重 MPLS 标签时用栈底位来表示是否是栈底标签（最靠近 IP 头部的标签）。TTL 值字 段与 IP 头部中 TTL 值字段作用相同，用来防止报文环路。 问答题 2：入节点 LSR 做标签压入（PUSH）的操作，中间节点 LSR 做标签交换（SWAP）的操作，出节点 LSR 做标签弹出（POP）的操作。 问答题 3：静态 LSP 必须手工根据 LSP 方向分配 LSP 路径上 LSR 的标签值，而动态 LSP 可以通过动态信 息协议自行分配标签建立 LSP。动态 LSP 在某些场景下主 LSP 发生故障后可自行计算备用 LSP 并切换至备用， 而静态 LSP 不具备此功能。 问答题 4：链路层 LLC 子层功能可识别上层协议报文类型，可以识别 MPLS 报文。且报文位置中，MPLS 头部在 IP 头部之前，可以先被解封装识别。 问答题 5：MPLS 报文头部 TTL 值有两种情况，若沿用原先 IP 报文 TTL 值，则 MPLS 头部中 TTL 值减 1， IP 头部中 TTL 值也相应减 1。若使用 MPLS 默认 TTL 值（255）则 MPLS 头部 TTL 值减 1，IP 头部中 TTL 值不 变。 问答题 6：不能，RT 值只能在私网路由被目的设备接收到后用来确定归属哪个 VPN，在传递过程中还需 

要引入 RD 值区分不同 VPN 的私网路由。若没有 RD，例如两个 VPN 中都存在 192.168.1.0/24 的路由时，目 的设备接收到第一条路由后，第二条将被认为是重复的路由而丢弃。 问答题 7：MPLS BGP VPN 中公网标签是 LDP 协议分配的，私网标签是 MP-BGP 协议分配的。 问答题 8：VPWS 适用于建立点到点的 L2VPN，VPLS 适用于建立多点的 L2VPN，例如在 IPRAN 网络环境中 使用的 PW 就属于 VPWS。 第 5 章 原理练习题 问答题 1：IPv6 地址可以分为单播地址、组播地址、任意播地址三类。 问答题 2：共有 IEEE EUI-64 规范、手工配置、设备随机生成三种配置方式。 问答题 3：2001:DB8::32A:2D70。 第 6 章 原理练习题 问答题 1：总共经历了三代防火墙，第一代防火墙称为包过滤防火墙，针对单个数据包定义规则进行过 滤；第二代叫作代理防火墙，代理防火墙把防火墙作为业务访问的中间节点，安全性较好，但难以针对每 一种应用研发针对性的代理防火墙，因此不能支持很丰富的业务；第三代状态检测防火墙，会通过检测连 接状态动态地决定报文是否可以通过防火墙。 问答题 2：防火墙通过定义不同的安全区域来区分不同的网络，通过将物理接口加入安全区域并在安全 区域之间定义过滤策略，从而实现对流经不同安全区域的信息流进行安全过滤。华为 VRP 系统中默认自带 的安全区域有 Local、Trust、DMZ、Untrust。 问答题 3：当数据流从安全等级低的区域流向安全等级高的区域成为入方向，从安全等级高的区域流向 安全等级低的区域称为出方向。 问答题 4：必须用到 HRP（华为冗余协议）、VGMP（VRRP 组管理协议）、VRRP（虚拟路由器冗余协议） 三个模块。 问答题 5：部署防火墙安全策略首先需要创建安全策略，在安全策略视图下配置匹配流量的源或目的， 定义策略相关的行为，最后在安全区域间调用该策略。 第 7 章 原理练习题 问答题 1：SDN 的关键特征有网络架构改变、网络能力开放、网络资源虚拟化。 问答题 2：SDN 的三层架构从低到高分别是物理网络、SDN 控制器、SDN 应用。 问答题 3：首先是集中控制和管理的挑战，其次是网络架构、接口、协议的标准化和互操作的挑战，第 三是对现有运维体系、流程和人才的巨大挑战，第四是对通用硬件的性能和可靠性的挑战，第五是软件的 复杂性和有效性挑战。 问答题 4：SDN 的技术理念是以软件实施网络资源的整合，实现网络设备及业务的集中控制。