网络设备安装与调试（eNSP）（AIGC版）课后习题答案-项目7

练习题1．选择题（1）答案：C解析端口安全核心功能：绑定合法MAC、限制端口学习MAC数量，可防范MAC地址泛洪攻击，防止MAC地址表被恶意填满。A：私接路由器一般用IP+MAC绑定、防私接策略解决；B：生成树收敛慢用RSTP/MSTP解决；D：冗余环路用STP解决。（2）答案：D解析端口安全可配置端口最大学习MAC地址数，超出数量后执行违规动作（关闭端口、丢弃报文等），完全匹配题干需求。A端口保护：防止端口之间二层互访；B端口聚合：链路捆绑增加带宽、冗余；C端口映射：镜像流量用于抓包分析。（3）答案：C解析基本ACL：仅依据源IP地址做过滤，编号一般2000~2999；高级ACL：依据源IP、目的IP、端口号、协议等多条件过滤。（4）答案：B解析要按目的端口8080封禁流量，需要匹配端口号，只能用高级ACL。A基本ACL只能匹配源IP，不能匹配端口；C端口安全只管控MAC地址，无法封禁应用端口；DNAT是地址转换，不是防病毒封禁流量的技术。2．实训题宏宏互联科技有限公司有大量用户，公司内部网络面临计算机病毒的扩散和内部人员的恶意攻击的风险。为了提高网络安全，该公司的网络管理员决定在交换机上使用技术手段，防止MAC地址泛洪攻击和DHCP欺骗攻击，避免合法用户的数据被窃取等安全问题。网络拓扑图如7-16所示。图7-16实训题的网络拓扑图关键步骤提示如下：（1）配置VLAN。（2）配置DHCP服务器。（3）配置交换机端口安全。（4）配置交换机的DHCPSnooping功能。关键步骤提示如下：配置VLAN。SWA的配置如下：//配置SWA的VLAN<Huawei>system-view[Huawei]sysnameSWA[SWA]vlan10[SWA-vlan10]quit[SWA]interfaceVlanif10[SWA-Vlanif10]ipaddress172.16.1.25424[SWA-Vlanif10]quit//配置连接SWB的接口(GE0/0/1)[SWA]interfaceGigabitEthernet0/0/1[SWA-GigabitEthernet0/0/1]portlink-typetrunk[SWA-GigabitEthernet0/0/1]porttrunkallow-passvlanall[SWA-GigabitEthernet0/0/1]quit

SWB的配置如下：<Huawei>system-view[Huawei]sysnameSWB[SWB]vlan10[SWB-vlan10]quit//配置上行接口(连接SWA的GE0/0/1)[SWB]interfaceGigabitEthernet0/0/1[SWB-GigabitEthernet0/0/1]portlink-typetrunk[SWB-GigabitEthernet0/0/1]porttrunkallow-passvlanall[SWB-GigabitEthernet0/0/1]quit配置DHCP服务器。//在SWA开启DHCP功能[SWA]dhcpenable//创建地址池[SWA]ippoolvlan10_pool[SWA-ip-pool-vlan10_pool]network172.16.1.0mask24[SWA-ip-pool-vlan10_pool]gateway-list172.16.1.254[SWA-ip-pool-vlan10_pool]dns-list8.8.8.8[SWA-ip-pool-vlan10_pool]quit//在VLANIF接口下选择全局地址池模式[SWA]interfaceVlanif10[SWA-Vlanif10]dhcpselectglobal[SWA-Vlanif10]quit（3）配置交换机端口安全。配置交换机SWB的端口安全(防止MAC地址泛洪)//配置连接PC1的接口[SWB]interfaceEthernet0/0/1[SWB-Ethernet0/0/1]portlink-typeaccess[SWB-Ethernet0/0/1]portdefaultvlan10[SWB-Ethernet0/0/1]port-securityenable//限制最大MAC地址数为1，动作设为保护（丢弃超出流量）或限制（丢弃并告警）[SWB-Ethernet0/0/1]port-securitymax-mac-num1[SWB-Ethernet0/0/1]port-securitymac-addresssticky[SWB-Ethernet0/0/1]port-securityprotect-actionprotect[SWB-Ethernet0/0/1]quit//配置连接PC2的接口[SWB]interfaceEthernet0/0/2[SWB-Ethernet0/0/2]portlink-typeaccess[SWB-Ethernet0/0/2]portdefaultvlan10[SWB-Ethernet0/0/2]port-securityenable[SWB-Ethernet0/0/2]port-securitymax-mac-num1[SWB-Ethernet0/0/2]port-securitymac-addresssticky[SWB-Ethernet0/0/2]port-securityprotect-actionprotect[SWB-Ethernet0/0/2]quit//配置连接PC3的接口[SWB]interfaceEthernet0/0/3[SWB-Ethernet0/0/3]portlink-typeaccess[SWB-Ethernet0/0/3]portdefaultvlan10[SWB-Ethernet0/0/3]port-securityenable[SWB-Ethernet0/0/3]port-securitymax-mac-num1[SWB-Ethernet0/0/3]port-securitymac-addresssticky[SWB-Ethernet0/0/3]port-securityprotect-actionprotect[SWB-Ethernet0/0/3]quit（4）配置交换机的DHCPSnooping功能。配置交换机SWB的DHCPSnooping功能(防止DHCP欺骗)---//全局开启DHCPSnooping[SWB]dhcpenable[SWB]dhcpsnoopingenable//在接入端口（连接PC的端口）开启DHCPSnooping[SWB]interfaceEthernet0/0/1[SWB-Ethernet0/0/1]dhcpsnoopingenable[SWB-Ethernet0/0/1]quit[SWB]interfaceEthernet0/0/2[SWB-Ethernet0/0/2]dhcpsnoopingenable[SWB-Ethernet0/0/2]quit[SWB]interfaceEthernet0/0/3[SWB-Ethernet0/0/4]dhcpsnoopingenable[SWB-Ethernet0/0/4]quit//配置上行