第6章 路由与交换技术 《计算机网络技术与应用》 （电工版第四版） 章节过关卷

第6章 路由与交换技术 《计算机网络技术与应用》 章节过关卷（解析版） 考试时间：60分钟 满分：100分 班级________ 姓名________ 学号________ 成绩________ 一、单选题（本题共25道小题，每题2分，共50分） 1. 路由器根据 信息来决定数据包的转发路径（ ）。 A. MAC地址表 B. 路由表 C. ARP表 D. NAT表 2. RIP路由协议的最大有效跳数是（ ）。 A. 15 B. 16 C. 255 D. 无限 3. OSPF路由协议属于（ ）。 A. 路径向量路由协议 B. 距离向量路由协议 C. 链路状态路由协议 D. 静态路由协议 4. 以下关于静态路由和动态路由的描述，正确的是（ ）。 A. 静态路由由管理员手动配置，不随网络拓扑变化自动调整 B. 静态路由比动态路由消耗更多CPU和带宽资源 C. 动态路由不需要任何网络资源 D. 静态路由适用于大型复杂网络 5. 802.1Q Trunk链路上发送的数据帧与普通以太网帧的区别是（ ）。 A. 帧中未添加标签的属于特例 B. 帧头中的MAC地址字段变长 C. 帧的CRC校验字段加倍 D. 帧中插入了4字节的VLAN标签 6. 以下关于RIP与OSPF的区别，描述错误的是（ ）。 A. RIP使用SPF算法，OSPF使用Bellman-Ford算法 B. RIP基于距离向量，OSPF基于链路状态 C. RIP最大15跳，OSPF无跳数限制 D. OSPF收敛速度通常快于RIP 7. 在交换机上配置VLAN Trunk端口时，通常需指定（ ）。 A. 端口的IP地址 B. 端口的MAC地址 C. 端口的工作速率 D. 允许通过的VLAN列表 8. 端口聚合的主要作用是（ ）。 A. 将多个物理链路捆绑为一个逻辑链路，增加带宽和提供冗余 B. 将多个VLAN合并为一个更大的VLAN C. 限制单个端口的接入MAC地址数量 D. 将交换机拆分为多个逻辑交换机 9. 标准ACL的过滤依据是（ ）。 A. 源端口号 B. 目的IP地址 C. 源IP地址 D. 传输层协议类型 10. 路由表中的默认路由，其网络前缀表示为（ ）。 A. 0.0.0.0/0 B. 255.255.255.255/32 C. 127.0.0.0/8 D. 192.168.0.0/16 11. 关于交换机、路由器和集线器的描述，错误的是（ ）。 A. 路由器根据IP地址转发数据 B. 交换机根据MAC地址转发数据 C. 集线器根据MAC地址转发数据 D. 交换机隔离冲突域 12. 三层交换机与路由器的主要区别在于（ ）。 A. 三层交换机只能工作在第二层 B. 三层交换机不支持路由功能 C. 路由器不能做VLAN间路由 D. 三层交换机将路由功能集成在硬件交换矩阵中，转发速度更快 13. 在OSPF中，区域概念用于（ ）。 A. 将大型网络分割为更小的路由域，减少链路状态数据库规模 B. 将网络按省市级行政区划归类 C. 区分不同路由协议的优先级 D. 标识防火墙的安全区域 14. 三层网络结构中，接入层的主要功能是（ ）。 A. 高速数据包转发 B. 提供终端设备的网络接入 C. 路由汇总和策略控制 D. 广域网连接 15. 以下关于NAT三种类型的描述，不正确的是（ ）。 A. PAT通过不同的端口号区分不同连接 B. 静态NAT实现固定的一对一映射 C. PAT允许多个内网地址共享一个公网IP D. 动态NAT实现固定的内网地址到外网地址的一对一映射 16. 端口安全功能可以限制交换机的单个端口上（ ）。 A. 允许接入的最大安全MAC地址数量 B. 最大数据传输速率 C. 允许的最大VLAN数量 D. 最大连接的集线器数量 17. 在RIP网络中，路由每 秒发送一次完整的路由表更新。（ ） A. 10 B. 30 C. 60 D. 90 18. 以下关于扩展ACL与标准ACL的区别，描述正确的是（ ）。 A. 扩展ACL可基于源/目的IP、协议类型和端口号过滤 B. 标准ACL的功能多于扩展ACL C. 标准ACL编号范围为100~199 D. 扩展ACL只能基于源地址过滤 19. 某公司获得C类网段192.168.10.0/24，如需划分为4个子网，子网掩码应为（ ）。 A. 255.255.255.128 B. 255.255.255.192 C. 255.255.255.224 D. 255.255.255.240 20. 以下关于OSPF协议中DR和BDR的描述，正确的是（ ）。 A. DR故障时网络需要重新收敛，BDR无实际作用 B. DR和BDR在所有OSPF网络类型中都需要选举 C. DR和BDR用于多路访问网络中减少LSA泛洪 D. 每台OSPF路由器既是DR也是BDR 21. LACP的标准是（ ）。 A. IEEE 802.3ad B. IEEE 802.1Q C. IEEE 802.1D D. IEEE 802.1X 22. 在子网划分中，若需要5个子网，正确计算子网位数的方法是（ ）。 A. 借4位 B. 借1位即可 C. 借3位确保子网数≥5 D. 不需要借用任何主机位 23. RIP协议的收敛时间较长的根本原因是（ ）。 A. 采用周期性完整路由表更新，可能导致慢收敛和路由环路 B. 路由表条目太多需要逐条计算 C. 协议设计错误 D. 需要先建立TCP连接再交换路由信息 24. 在交换机上查看MAC地址表的命令通常以 开头。（ ） A. show mac address-table B. ip route show C. display ip routing-table D. arp -a 25. 以下关于NAT穿越问题的描述，正确的是（ ）。 A. NAT穿越问题不会影响FTP传输 B. NAT不影响任何应用层协议 C. NAT仅影响TCP协议，不影响UDP D. NAT修改IP头而不修改应用层数据，可能导致某些应用层协议失效 二、填空题（本题共10道小题，每题2分，共20分） 26. 路由器转发数据包所依据的核心数据结构是__________。 27. RIP协议属于__________向量路由协议，以跳数为度量标准。 28. 在VLAN中，能够承载多个VLAN标记帧的交换机端口称为__________端口。 29. LACP通过__________协商实现多个物理端口动态聚合。 30. OSPF协议中，所有非骨干区域必须与__________区域相连。 31. 交换机端口安全功能中，违规处理模式有protect、restrict和__________三种。 32. C类IP地址192.168.1.0/27划分后，每个子网有__________个可用的主机地址。 33. 在企业网标准的三层架构中，由上至下分别为核心层、汇聚层和__________层。 34. 将私有IP地址转换为公网IP地址并利用不同端口号区分会话的技术称为__________。 35. OSPF路由器通过交换__________报文来建立和维护邻居关系。 三、简答题（本题共5道小题，每题6分，共30分） 36. 比较RIP和OSPF两种动态路由协议的工作原理、优缺点和适用场景。 37. 阐述企业网络三层架构中核心层、汇聚层、接入层的功能及设计原则。 38. 以一台C类网络划分为例，说明子网划分的原理及计算步骤，并列出各子网的网络地址和可用IP范围。 39. 说明NAT的三种实现方式的原理和区别，并分析各自适用场景。 40. 阐述交换机端口安全的配置要素，并设计一个典型办公环境交换机端口的安全策略。 原创精品资源学科网独家享有版权，侵权必究！ 学科网（北京）股份有限公司 学科网（北京）股份有限公司 学科网（北京）股份有限公司 $ 第6章 路由与交换技术 《计算机网络技术与应用》 章节过关卷（解析版） 考试时间：60分钟 满分：100分 班级________ 姓名________ 学号________ 成绩________ 一、单选题（本题共25道小题，每题2分，共50分） 1. 路由器根据 信息来决定数据包的转发路径（ ）。 A. MAC地址表 B. 路由表 C. ARP表 D. NAT表 【答案】B 【解析】路由器根据路由表中存储的网络前缀、下一跳地址、出接口等信息，通过最长前缀匹配算法决定数据包转发路径。 2. RIP路由协议的最大有效跳数是（ ）。 A. 15 B. 16 C. 255 D. 无限 【答案】A 【解析】RIP（路由信息协议）以跳数（Hop Count）作为度量值，最大有效跳数为15，16跳表示不可达。这个限制使得RIP不适合大型网络。 3. OSPF路由协议属于（ ）。 A. 路径向量路由协议 B. 距离向量路由协议 C. 链路状态路由协议 D. 静态路由协议 【答案】C 【解析】OSPF（开放最短路径优先）是典型的链路状态路由协议，每台路由器维护完整的网络拓扑数据库，使用Dijkstra算法计算到各网络的最短路径。 4. 以下关于静态路由和动态路由的描述，正确的是（ ）。 A. 静态路由由管理员手动配置，不随网络拓扑变化自动调整 B. 静态路由比动态路由消耗更多CPU和带宽资源 C. 动态路由不需要任何网络资源 D. 静态路由适用于大型复杂网络 【答案】A 【解析】静态路由需手工配置，不产生协议报文开销，适合小型简单网络。动态路由协议自动学习和更新路由，适合大型网络但消耗一定系统资源。 5. 802.1Q Trunk链路上发送的数据帧与普通以太网帧的区别是（ ）。 A. 帧中未添加标签的属于特例 B. 帧头中的MAC地址字段变长 C. 帧的CRC校验字段加倍 D. 帧中插入了4字节的VLAN标签 【答案】D 【解析】802.1Q标准在以太网帧的源MAC地址和类型/长度字段之间插入4字节VLAN标签（TPID+PCP+CFI+VID），其中VID（VLAN ID）12位可标识4094个VLAN。 6. 以下关于RIP与OSPF的区别，描述错误的是（ ）。 A. RIP使用SPF算法，OSPF使用Bellman-Ford算法 B. RIP基于距离向量，OSPF基于链路状态 C. RIP最大15跳，OSPF无跳数限制 D. OSPF收敛速度通常快于RIP 【答案】A 【解析】RIP使用Bellman-Ford（距离向量）算法，OSPF使用Dijkstra（SPF，最短路径优先）算法。A选项将两者算法搞反了。 7. 在交换机上配置VLAN Trunk端口时，通常需指定（ ）。 A. 端口的IP地址 B. 端口的MAC地址 C. 端口的工作速率 D. 允许通过的VLAN列表 【答案】D 【解析】配置Trunk端口时需要指定（或默认允许所有）VLAN通过列表，控制哪些VLAN的数据帧可以通过该Trunk链路传输，实现VLAN间流量控制。 8. 端口聚合的主要作用是（ ）。 A. 将多个物理链路捆绑为一个逻辑链路，增加带宽和提供冗余 B. 将多个VLAN合并为一个更大的VLAN C. 限制单个端口的接入MAC地址数量 D. 将交换机拆分为多个逻辑交换机 【答案】A 【解析】端口聚合（EtherChannel/LACP）将多个物理端口捆绑为一个逻辑通道，带宽叠加（如4个1Gbps=4Gbps），同时提供链路冗余：某成员链路故障，流量自动切换。 9. 标准ACL的过滤依据是（ ）。 A. 源端口号 B. 目的IP地址 C. 源IP地址 D. 传输层协议类型 【答案】C 【解析】标准ACL（编号1~99）仅根据源IP地址进行过滤，功能简单。扩展ACL（编号100~199）可根据源/目的IP、协议类型、端口号等更细粒度匹配。 10. 路由表中的默认路由，其网络前缀表示为（ ）。 A. 0.0.0.0/0 B. 255.255.255.255/32 C. 127.0.0.0/8 D. 192.168.0.0/16 【答案】A 【解析】默认路由（Default Route）以0.0.0.0/0表示，匹配所有IP地址。当路由表中无精确匹配项时，数据包按默认路由转发，通常指向下一跳网关。 11. 关于交换机、路由器和集线器的描述，错误的是（ ）。 A. 路由器根据IP地址转发数据 B. 交换机根据MAC地址转发数据 C. 集线器根据MAC地址转发数据 D. 交换机隔离冲突域 【答案】C 【解析】集线器工作在物理层，收到数据后向所有端口广播（除入端口外），不识别MAC地址。交换机工作在数据链路层，根据MAC地址表精确转发。 12. 三层交换机与路由器的主要区别在于（ ）。 A. 三层交换机只能工作在第二层 B. 三层交换机不支持路由功能 C. 路由器不能做VLAN间路由 D. 三层交换机将路由功能集成在硬件交换矩阵中，转发速度更快 【答案】D 【解析】三层交换机通过ASIC硬件实现路由查找和包转发（路由一次，交换多次），比软件路由的路由器转发效率高，适合局域网内部VLAN间路由。 13. 在OSPF中，区域概念用于（ ）。 A. 将大型网络分割为更小的路由域，减少链路状态数据库规模 B. 将网络按省市级行政区划归类 C. 区分不同路由协议的优先级 D. 标识防火墙的安全区域 【答案】A 【解析】OSPF通过划分区域实现分层路由：区域内部路由器维护详细的链路状态数据库（LSDB），区域间通过区域边界路由器（ABR）汇总路由，骨干区域（Area 0）连接各非骨干区域。 14. 三层网络结构中，接入层的主要功能是（ ）。 A. 高速数据包转发 B. 提供终端设备的网络接入 C. 路由汇总和策略控制 D. 广域网连接 【答案】B 【解析】三层架构中：核心层提供高速交换和转发；汇聚层提供路由汇总、策略实施和安全控制；接入层提供终端设备（PC、打印机等）的网络接入和端口安全。 15. 以下关于NAT三种类型的描述，不正确的是（ ）。 A. PAT通过不同的端口号区分不同连接 B. 静态NAT实现固定的一对一映射 C. PAT允许多个内网地址共享一个公网IP D. 动态NAT实现固定的内网地址到外网地址的一对一映射 【答案】D 【解析】静态NAT是一对一固定映射；动态NAT从地址池中动态分配一对一映射；PAT/NAPT（端口地址转换）通过IP+端口实现多对一映射。 16. 端口安全功能可以限制交换机的单个端口上（ ）。 A. 允许接入的最大安全MAC地址数量 B. 最大数据传输速率 C. 允许的最大VLAN数量 D. 最大连接的集线器数量 【答案】A 【解析】端口安全限制端口可学习的安全MAC地址数量（通常1~132个），当违规时（超过限制或陌生MAC），可配置为protect（丢弃）、restrict（丢弃+日志）或shutdown（关闭端口）。 17. 在RIP网络中，路由每 秒发送一次完整的路由表更新。（ ） A. 10 B. 30 C. 60 D. 90 【答案】B 【解析】RIP每30秒向邻居路由器广播（v1）或多播（v2，224.0.0.9）发送完整路由表。若180秒未收到路由更新则标记为不可达，240秒后删除路由。 18. 以下关于扩展ACL与标准ACL的区别，描述正确的是（ ）。 A. 扩展ACL可基于源/目的IP、协议类型和端口号过滤 B. 标准ACL的功能多于扩展ACL C. 标准ACL编号范围为100~199 D. 扩展ACL只能基于源地址过滤 【答案】A 【解析】标准ACL（1~99，1300~1999）仅基于源IP过滤；扩展ACL（100~199，2000~2699）可基于源/目的IP、协议（TCP/UDP/ICMP）、端口号、TCP标志等精确匹配。 19. 某公司获得C类网段192.168.10.0/24，如需划分为4个子网，子网掩码应为（ ）。 A. 255.255.255.128 B. 255.255.255.192 C. 255.255.255.224 D. 255.255.255.240 【答案】B 【解析】4个子网需借用2位（2²=4，但全0和全1子网在现代网络中可用，实际3位也可），掩码为/26即255.255.255.192。每个子网64个地址（62个可用主机）。 20. 以下关于OSPF协议中DR和BDR的描述，正确的是（ ）。 A. DR故障时网络需要重新收敛，BDR无实际作用 B. DR和BDR在所有OSPF网络类型中都需要选举 C. DR和BDR用于多路访问网络中减少LSA泛洪 D. 每台OSPF路由器既是DR也是BDR 【答案】C 【解析】在多路访问网络（如以太网）中，选举DR（指定路由器）和BDR（备份指定路由器），其他路由器（DROther）只与DR/BDR建立邻接关系并交换LSA，减少泛洪和CPU开销。点对点网络不需要DR/BDR。 21. LACP的标准是（ ）。 A. IEEE 802.3ad B. IEEE 802.1Q C. IEEE 802.1D D. IEEE 802.1X 【答案】A 【解析】LACP基于IEEE 802.3ad（后并入802.1AX）标准，实现动态协商端口聚合，自动检测链路故障并从聚合组中移除故障成员。 22. 在子网划分中，若需要5个子网，正确计算子网位数的方法是（ ）。 A. 借4位 B. 借1位即可 C. 借3位确保子网数≥5 D. 不需要借用任何主机位 【答案】C 【解析】2³=8≥5，需从主机位借用3位作为子网位（假设全0全1子网可用）。借2位仅4个子网不足5个。借4位16个子网虽可行但地址利用率低，最佳为借3位。 23. RIP协议的收敛时间较长的根本原因是（ ）。 A. 采用周期性完整路由表更新，可能导致慢收敛和路由环路 B. 路由表条目太多需要逐条计算 C. 协议设计错误 D. 需要先建立TCP连接再交换路由信息 【答案】A 【解析】RIP的慢收敛问题源于距离向量协议特性：坏消息传得慢（无穷计数问题），需通过水平分割、毒性反转、触发更新等机制缓解。链路状态协议如OSPF收敛快得多。 24. 在交换机上查看MAC地址表的命令通常以 开头。（ ） A. show mac address-table B. ip route show C. display ip routing-table D. arp -a 【答案】A 25. 以下关于NAT穿越问题的描述，正确的是（ ）。 A. NAT穿越问题不会影响FTP传输 B. NAT不影响任何应用层协议 C. NAT仅影响TCP协议，不影响UDP D. NAT修改IP头而不修改应用层数据，可能导致某些应用层协议失效 【答案】D 【解析】某些应用层协议（如FTP的主动模式、SIP）在应用数据中嵌入了IP地址和端口，NAT只修改IP头而应用数据中的地址未转换，导致穿越失败。ALG（应用层网关）可解决部分问题。 二、填空题（本题共10道小题，每题2分，共20分） 26. 路由器转发数据包所依据的核心数据结构是__________。 【答案】路由表 【解析】路由表记录目的网络、子网掩码、下一跳地址和出接口等信息，路由器查表决定转发路径。 27. RIP协议属于__________向量路由协议，以跳数为度量标准。 【答案】距离 【解析】RIP是典型的距离向量协议，通过Bellman-Ford算法计算路由，每30秒与邻居交换完整路由表。 28. 在VLAN中，能够承载多个VLAN标记帧的交换机端口称为__________端口。 【答案】Trunk/中继 【解析】Trunk端口通过802.1Q标记在单一物理链路上传输多个VLAN的数据帧，实现跨交换机的VLAN通信。 29. LACP通过__________协商实现多个物理端口动态聚合。 【答案】LACPDU/链路聚合控制协议数据单元 【解析】LACP定期发送LACPDU进行协商：双方交换系统优先级、端口键值等信息，协商将兼容的端口聚合为一个逻辑链路。 30. OSPF协议中，所有非骨干区域必须与__________区域相连。 【答案】骨干/Area 0 【解析】OSPF分层架构要求Area 0（骨干区域）连接所有其他区域（通过ABR），非骨干区域间通信必须经过骨干区域。 31. 交换机端口安全功能中，违规处理模式有protect、restrict和__________三种。 【答案】shutdown 【解析】三种违规模式：protect（静默丢弃违规帧）、restrict（丢弃并生成SNMP Trap/日志）、shutdown（将端口置为err-disable状态并关闭）。 32. C类IP地址192.168.1.0/27划分后，每个子网有__________个可用的主机地址。 【答案】30 【解析】/27掩码意味着32-27=5位主机位，2⁵=32个地址，减去网络地址和广播地址各1个，可用主机数为30。 33. 在企业网标准的三层架构中，由上至下分别为核心层、汇聚层和__________层。 【答案】接入 【解析】三层网络架构：核心层（高速转发）→汇聚层（路由汇总与策略）→接入层（终端接入），各层功能明确，便于管理和扩展。 34. 将私有IP地址转换为公网IP地址并利用不同端口号区分会话的技术称为__________。 【答案】PAT/NAPT/端口地址转换 【解析】PAT（Port Address Translation）将多个内部IP+端口映射到同一个公网IP+不同端口，实现多对一转换，是最常见的NAT形式。 35. OSPF路由器通过交换__________报文来建立和维护邻居关系。 【答案】Hello 【解析】OSPF通过周期性（广播网10秒，非广播网30秒）发送Hello报文发现邻居、选举DR/BDR、维持邻接关系。4倍Hello间隔未收到Hello则认为邻居失效。 三、简答题（本题共5道小题，每题6分，共30分） 36. 比较RIP和OSPF两种动态路由协议的工作原理、优缺点和适用场景。 【答案】工作原理：RIP（距离向量）——每30秒与邻居交换完整路由表，用Bellman-Ford算法，以跳数（最大15）为度量；OSPF（链路状态）——通过Hello报文建立邻接关系，交换LSA构建全网拓扑数据库（LSDB），用Dijkstra SPF算法独立计算最优路径，触发更新+定期刷新。优点比较：RIP——配置简单、资源消耗小、兼容性好；OSPF——收敛快、无环路、支持分层（区域）、支持VLSM/CIDR、度量更科学（基于带宽）。缺点：RIP——慢收敛、最大15跳限制、不支持VLSM、广播更新占用带宽；OSPF——配置复杂、CPU和内存消耗大、规划要求高。适用场景：RIP适合小型简单网络（校园网、小型企业）或实验环境；OSPF适合中大型复杂网络（企业园区网、运营商网络）。 37. 阐述企业网络三层架构中核心层、汇聚层、接入层的功能及设计原则。 【答案】接入层：功能——提供终端设备网络接入（交换机端口）、实施端口安全（MAC地址限制、802.1X认证）、VLAN划分（Access端口）、PoE供电；设计原则——端口密度高、成本敏感、即插即用。汇聚层：功能——汇聚接入层流量、VLAN间路由（三层交换机）、实施访问控制策略（ACL）、路由汇总、实现冗余（HSRP/VRRP网关冗余）；设计原则——高可用性（设备/链路冗余）、策略集中部署点。核心层：功能——骨干高速转发（线速交换）、全网互联、高可靠性和低延迟；设计原则——极简设计（只做转发不做策略）、最高硬件性能、100%冗余（设备和链路）、避免影响核心层稳定性的配置。三层架构实现了功能解耦和故障隔离，是大型企业网络设计的经典范式。 38. 以一台C类网络划分为例，说明子网划分的原理及计算步骤，并列出各子网的网络地址和可用IP范围。 【答案】子网划分原理：采用借位方法，从主机位中借出部分高位作为子网号。以192.168.1.0/24划分为4个子网为例：①需借主机位n满足2^n≥4→n=2；②子网掩码从/24变为/26（255.255.255.192）；③主机位剩6位（32-26=6），每子网2⁶=64个地址（62个可用）。计算步骤：a.确定子网增量=2^(8-n)=2⁶=64；b.各子网网络地址=192.168.1.0、192.168.1.64、192.168.1.128、192.168.1.192；c.各子网广播地址=子网地址+63；d.可用IP范围：子网1:192.168.1.1~192.168.1.62，子网2:192.168.1.65~192.168.1.126，子网3:192.168.1.129~192.168.1.190，子网4:192.168.1.193~192.168.1.254。注意首尾地址分别为网络地址和广播地址，不可分配。 39. 说明NAT的三种实现方式的原理和区别，并分析各自适用场景。 【答案】静态NAT：固定的一对一映射，内网IP与公网IP永久绑定。适用场景：内部服务器需对外提供固定公网访问入口（如Web服务器映射）。配置简单但公网IP利用率低。动态NAT：从公网IP地址池中动态分配一个空闲IP给内网主机，会话结束后释放回池。适用场景：内网主机需访问Internet但无需固定公网IP。需要足够公网IP地址。PAT（NAPT/端口地址转换）：通过TCP/UDP端口号实现多内网IP映射到一个公网IP的不同端口。转换表记录：{内网IP:端口→公网IP:新端口}。适用场景：最常见NAT形式，用于家庭/企业出口（多用户共享一个公网IP上网）。地址利用率最高但端口资源有限（每个IP约65535个端口）。 40. 阐述交换机端口安全的配置要素，并设计一个典型办公环境交换机端口的安全策略。 【答案】端口安全核心配置要素：①安全MAC地址——静态配置或动态学习（sticky），设置端口允许接入的设备MAC地址；②最大安全MAC数量——端口允许学习的MAC地址数上限（通常为1，连接用户终端）；③违规模式——protect（丢弃违规帧不告警）、restrict（丢弃并记录日志/Syslog）、shutdown（关闭端口需手动恢复）；④MAC地址老化时间——静态安全MAC不老化，动态安全MAC可设置超时时间。典型办公环境端口安全策略：①启用端口安全（switchport port-security）；②最大MAC地址数设为1（单用户接入）；③违规模式设为shutdown（严格策略，防止未授权设备接入）；④MAC地址采用sticky学习（自动学习首个MAC并转为安全MAC保存到run-config）；⑤结合802.1X认证实现端口级用户认证（NAC）；⑥设置端口安全老化时间为无限（工作终端固定不移动）。该策略能有效防止未授权接入和MAC地址欺骗。 原创精品资源学科网独家享有版权，侵权必究！ 学科网（北京）股份有限公司 学科网（北京）股份有限公司 学科网（北京）股份有限公司 $