高中信息技术（必选3）X2-ZT2安全组建局域网知识点

高中信息技术（必选3）X2-ZT2安全组建局域网知识点整理一、课程主要学习内容总结本课程聚焦“安全组建局域网”核心目标，系统涵盖局域网组建的基础逻辑、核心设备功能、安全风险识别及防护措施落地等内容。具体包括：局域网的定义、分类及拓扑结构选择；路由器、交换机、防火墙等核心网络设备的安全配置要点；局域网IP地址规划与地址分配安全；网络访问控制技术（如账户权限管理、MAC地址绑定）；常见局域网安全威胁（如ARP欺骗、IP冲突、恶意接入）及应对策略；局域网数据传输加密基础；局域网安全检测与日常维护方法等。通过理论学习与实践操作结合，掌握从规划、组建到安全防护的全流程技能，保障局域网的稳定性、保密性和可用性。二、核心知识点梳理及配套练习题知识点1：局域网基础及拓扑结构核心内容：1.局域网（LAN）定义：将地理范围较小（如校园、企业、家庭）内的计算机、服务器、网络设备等通过传输介质连接起来，实现资源共享和数据通信的网络。2.常见拓扑结构：星型、总线型、环型、树型；其中星型拓扑（以交换机为中心，各终端单独连接）因故障排查便捷、稳定性强，是当前组建局域网的主流选择。3.拓扑结构选择原则：结合用户数量、设备布局、容错需求、成本预算等因素，优先保障稳定性和可扩展性。练习题下列关于局域网的描述，错误的是（）

A.局域网地理覆盖范围通常在几公里内

B.局域网可实现终端间的文件共享和打印机共享

C.局域网的传输速率通常低于广域网

D.家庭内部由路由器连接的网络属于局域网

某企业计划组建局域网，要求单个终端故障不影响整个网络运行，且便于后期新增终端设备，应优先选择的拓扑结构是（）

A.总线型

B.星型

C.环型

D.树型

简述星型拓扑结构的优点和缺点。答案及解析1.答案：C

解析：局域网传输速率通常较高（如以太网常见100Mbps、1000Mbps），而广域网因覆盖范围广、传输介质复杂，传输速率往往低于局域网。A、B、D选项描述均正确。2.答案：B

解析：星型拓扑以交换机为核心，各终端独立连接到交换机，单个终端故障仅影响自身，不会导致整个网络瘫痪（容错性强）；新增终端时只需将设备连接到交换机空闲端口，扩展性好，符合企业需求。总线型拓扑单个节点故障可能导致整个网络中断，环型拓扑容错性差，树型拓扑多用于层级化网络（如校园网主干），均不满足题干核心要求。3.答案：

优点：①容错性强，单个终端或连接线故障不影响其他节点通信；②故障排查便捷，可快速定位故障终端；③扩展性好，新增终端只需占用交换机空闲端口。

缺点：①依赖核心设备（交换机），交换机故障会导致整个网络瘫痪；②相较于总线型，需要更多的传输线缆，成本略高。知识点2：局域网核心设备及安全配置核心内容：1.核心设备：①交换机：连接局域网内各终端，实现终端间的数据转发，核心安全配置包括端口限速、端口隔离（防止终端间非法访问）、关闭闲置端口（避免恶意设备接入）；②路由器：连接局域网与外网，实现不同网络间的通信，核心安全配置包括设置强密码、关闭远程管理、开启防火墙、过滤异常端口；③防火墙：分为硬件防火墙和软件防火墙，核心功能是数据包过滤、访问控制，阻止非法访问和恶意攻击。2.设备安全基础：所有网络设备需修改默认账户和密码，定期更新固件，关闭不必要的服务（如Telnet，优先使用SSH）。练习题下列关于路由器安全配置的操作，不合理的是（）

A.保留路由器默认的管理员账户和密码

B.开启路由器内置防火墙

C.关闭不需要的端口和服务

D.设置WiFi加密（如WPA2-PSK模式）

某校园局域网内，为防止学生终端之间通过局域网非法访问彼此电脑文件，可对交换机进行的配置是（）

A.端口隔离

B.端口限速

C.开启DHCP功能

D.修改交换机管理密码

简述防火墙在安全组建局域网中的作用，并举出2项防火墙的核心配置操作。为保障局域网核心设备安全，列举3项基础安全操作。答案及解析1.答案：A

解析：路由器默认账户和密码易被破解，可能导致设备被非法控制（如篡改DNS、限制网速），因此必须修改默认账户和密码，提升设备安全性。B、C、D选项均为合理的安全配置操作。2.答案：A

解析：交换机端口隔离功能可实现同一交换机下不同端口连接的终端之间无法直接通信，从而防止终端间非法访问文件，符合题干需求。端口限速用于限制终端最大传输速率，避免占用过多带宽；DHCP功能用于自动分配IP地址，与终端访问控制无关；修改管理密码是保障交换机自身安全，不影响终端间通信。3.答案：

作用：防火墙作为局域网与外部网络（或局域网内部不同区域）的“屏障”，通过预设规则过滤进出局域网的数据包，阻止非法访问、恶意攻击（如端口扫描、病毒入侵），保障局域网内设备和数据的安全。

核心配置操作：①配置访问控制列表（ACL），允许合法IP地址/端口的数据包通过，拒绝非法数据包；②开启入侵检测/防御功能，识别并拦截常见攻击行为；③设置DMZ区域，将服务器等需要对外提供服务的设备放置在DMZ，隔离内网与外网。（任举2项即可）4.答案：①修改设备默认账户和密码，设置复杂度高的密码（含字母、数字、特殊符号）；②定期更新设备固件，修复已知安全漏洞；③关闭不必要的服务和端口（如Telnet、FTP等非必需服务）；④开启设备内置防火墙或安全防护功能；⑤限制设备管理权限，仅授权指定人员管理。（任举3项即可）知识点3：局域网IP地址规划与地址分配安全核心内容：1.私有IP地址范围：局域网常用私有IP地址段，避免与公网IP冲突，包括：①A类：~55；②B类：~55；③C类：~55（最常用，如家庭局域网多采用/24段）。2.IP地址分配方式：①静态分配：手动为终端设置固定IP，适用于服务器、打印机等需要稳定地址的设备，优点是地址固定易管理，缺点是配置繁琐；②动态分配（DHCP）：通过DHCP服务器（多集成在路由器中）自动为终端分配IP，优点是配置便捷，缺点是地址不固定，需注意地址池规划避免地址耗尽。3.地址分配安全：①绑定IP与MAC地址，防止IP地址被盗用或冲突；②合理规划DHCP地址池，预留部分静态IP给关键设备；③禁止非法DHCP服务器接入，避免地址分配混乱。练习题下列IP地址中，不属于局域网常用私有IP地址的是（）

A.00

B.3

C.8

D.8

某企业局域网内有50台终端，且需要为3台服务器设置固定IP，适合该局域网的IP地址规划方案是（）

A.采用/24段，预留~0为静态IP，1~0为DHCP地址池

B.采用/24段，所有终端均使用静态IP

C.采用/24段，开启DHCP自动分配IP

D.采用/16段，DHCP地址池设置为~00

简述“IP与MAC地址绑定”的作用，并说明其在安全组建局域网中的意义。某家庭局域网使用路由器开启DHCP功能，近期出现部分设备无法上网的情况，排查发现是IP地址冲突。请分析可能的原因，并给出解决措施。答案及解析1.答案：D

解析：8属于公网IP地址，用于互联网中设备的标识；A、B、C选项分别对应C类、B类、A类私有IP地址，是局域网常用的IP地址段。2.答案：A

解析：/24段属于C类私有IP，可容纳254台终端（1~254），满足50台终端+3台服务器的需求；预留10个静态IP给服务器及关键设备，DHCP地址池规划50个地址（11~60），既避免地址浪费，又防止地址冲突，方案合理。B选项所有终端静态分配，配置繁琐且易出错；C选项/24是公网IP，不可用于局域网；D选项/16段地址范围过大，对于50台终端的局域网来说过于冗余，且地址池规划未预留静态IP，不符合需求。3.答案：

作用：IP与MAC地址绑定是将局域网内终端的IP地址与对应的MAC地址（硬件地址，唯一标识网络设备）建立一一对应关系，路由器或交换机仅允许绑定后的IP和MAC地址组合接入网络。

意义：①防止IP地址被盗用：避免非法设备伪造合法IP接入网络，占用网络资源或窃取数据；②避免IP地址冲突：防止多台设备手动设置同一IP导致的网络故障；③便于网络管理：可精准定位接入网络的设备，提升网络可控性。4.答案：

可能原因：①DHCP地址池范围过小，当接入设备数量超过地址池容量时，新设备无法获取IP，或部分设备手动设置的IP与DHCP分配的IP冲突；②存在非法设备手动设置了与局域网内已分配IP相同的地址；③路由器DHCP服务异常，导致地址分配混乱。

解决措施：①扩大DHCP地址池范围，确保地址数量大于接入设备数量；②排查局域网内设备，删除手动设置的冲突IP，统一由DHCP分配；③开启路由器的“IP与MAC地址绑定”功能，仅允许家庭内合法设备接入；④重启路由器，修复DHCP服务异常；⑤预留部分静态IP给常用设备，避免自动分配导致的冲突。知识点4：局域网常见安全威胁及防护措施核心内容：1.常见安全威胁：①ARP欺骗：攻击者伪造ARP响应包，篡改终端或路由器的ARP缓存表，导致数据传输指向攻击者设备，实现监听或断网；②恶意设备接入：非法人员将电脑、手机等设备接入局域网，窃取数据或发起攻击；③IP冲突：多台设备使用同一IP地址，导致设备无法正常上网；④病毒/木马入侵：通过U盘、共享文件、外网访问等途径，病毒或木马进入局域网，感染设备并窃取信息。2.核心防护措施：①应对ARP欺骗：开启路由器ARP防护功能，绑定网关IP与MAC地址，安装ARP防火墙软件；②应对恶意接入：关闭交换机闲置端口，开启WiFi加密（WPA2/WPA3），绑定终端MAC地址，设置访问控制列表；③应对IP冲突：合理规划IP地址，开启DHCP并绑定IP与MAC；④应对病毒/木马：所有终端安装杀毒软件并定期更新病毒库，开启防火墙，禁止随意共享敏感文件，规范U盘等移动设备使用。练习题下列攻击方式中，属于通过篡改ARP缓存表实现的是（）

A.端口扫描

B.ARP欺骗

C.病毒入侵

D.IP冲突

为防止非法人员将设备接入企业局域网，下列措施中无效的是（）

A.关闭交换机上未使用的端口

B.为WiFi设置复杂密码并采用WPA3加密模式

C.定期更新终端杀毒软件病毒库

D.在路由器中设置MAC地址白名单

某校园局域网内部分学生反映电脑突然无法上网，排查发现终端ARP缓存表中网关的MAC地址被篡改。请判断该故障的原因，并给出具体的解决和防护措施。列举3种局域网常见的安全威胁，并分别对应给出至少1项防护措施。答案及解析1.答案：B

解析：ARP欺骗的核心原理是攻击者发送伪造的ARP数据包，篡改目标终端或网关的ARP缓存表，使目标将攻击者的MAC地址误认为网关MAC地址，从而实现数据劫持或断网。端口扫描是通过扫描设备开放端口寻找攻击漏洞；病毒入侵是通过恶意程序感染设备；IP冲突是IP地址重复分配，均与篡改ARP缓存表无关。2.答案：C

解析：定期更新杀毒软件病毒库主要用于防范病毒、木马等恶意程序，无法阻止非法设备接入局域网。A选项关闭闲置端口可避免攻击者通过空闲端口接入；B选项WiFi加密可防止非法设备连接无线局域网；D选项MAC地址白名单仅允许白名单内的设备接入，均能有效防范恶意接入。3.答案：

故障原因：该故障是典型的ARP欺骗攻击，攻击者发送伪造的ARP响应包，篡改了学生终端ARP缓存表中网关的MAC地址，导致学生终端发送的网络数据无法正常到达网关，从而无法上网。

解决措施：①手动清除终端ARP缓存表（Windows系统可通过命令“arp-d*”实现），重新获取网关正确的MAC地址；②登录路由器，开启ARP防护功能（如ARP绑定、ARP欺骗检测），绑定网关IP与正确的MAC地址；③在终端上安装ARP防火墙软件，实时拦截伪造的ARP数据包。

防护措施：①长期开启路由器ARP防护功能，定期检查ARP缓存表；②对局域网内所有终端进行IP与MAC地址绑定，提升网络安全性；③加强网络监控，及时发现并定位ARP欺骗攻击源，采取隔离措施。4.答案：

①安全威胁：ARP欺骗；防护措施：开启路由器ARP防护，绑定网关IP与MAC地址，终端安装ARP防火墙。

②安全威胁：恶意设备接入；防护措施：关闭交换机闲置端口，设置MAC地址白名单，WiFi采用WPA3加密。

③安全威胁：病毒/木马入侵；防护措施：终端安装杀毒软件并定期更新病毒库，开启防火墙，禁止随意共享敏感文件。

④安全威胁：IP冲突；防护措施：合理规划DHCP地址池，绑定IP与MAC地址，避免手动设置重复IP。（任举3种即可）知识点5：局域网安全检测与日常维护核心内容：1.安全检测：①设备状态检测：检查路由器、交换机等设备的运行状态，查看是否有异常连接、端口占用、流量峰值；②地址检测：通过命令（如Windows“arp-a”“ipconfig”，Linux“ifconfig”“arp-n”）查看IP与MAC地址对应关系，排查地址冲突或ARP欺骗；③漏洞检测：使用局域网漏洞扫描工具，检测终端和网络设备的安全漏洞，及时修复；④流量检测：监控局域网进出口流量，识别异常流量（如大量数据包发送、未知IP的高频访问）。2.日常维护：①定期备份网络设备配置（如路由器、交换机配置），便于故障后恢复；②定期更新设备固件和终端系统补丁，修复安全漏洞；③清理无效的IP与MAC绑定记录，优化地址分配；④制定网络使用规范，禁止终端安装非法软件、访问恶意网站；⑤定期开展网络安全培训，提升用户安全意识。练习题在Windows系统中，若要查看当前终端的IP地址、子网掩码、网关等信息，可使用的命令是（）

A.arp-a

B.ipconfig

C.ping

D.netstat

下列不属于局域网日常维护内容的是（）

A.定期备份路由器配置

B.检测局域网内是否存在ARP欺骗

C.为终端分配静态IP地址

D.更新交换机固件

简述使用“arp-a”命令在局域网安全检测中的作用，并说明如何通过该命令排查ARP欺骗攻击。某企业局域网管理员需制定日常安全维护计划，请列出至少4项核心维护任务，并说明每项任务的目的。答案及解析1.答案：B

解析：ipconfig命令用于查看Windows系统终端的IP地址、子网掩码、网关、DNS服务器等网络配置信息；arp-a用于查看ARP缓存表，显示IP与MAC地址的对应关系；ping用于测试终端与目标IP的连通性；n