中级网络工程师2015上半年下午试题

试题一

阅读以下说明，根据要求回答问题。 [说明]

某企业网络拓扑图如图所示。

某企业网络拓扑图

工程师给出了该网络的需求：

1．用防火墙实现内外网地址转换和访问控制策略；

2．核心交换机承担数据转发，并且与汇聚层两台交换机实现OSPF功能； 3．接入层到汇聚层采用双链路方式组网； 4．接入层交换机对地址进行VLAN划分； 5．对企业的核心资源加强安全防护。 1、[问题1]

该企业计划在①、②或③的位置部署基于网络的入侵检测系统(NIDS)，将NIDS部署在①的优势是______；将NIDS部署在②的优势是______、______；将NIDS部署在③的优势是______。 备选答案：

A．检测外部网络攻击的数量和类型 B．监视针对DMZ中系统的攻击

C．监视针对关键系统、服务和资源的攻击 D．能减轻拒绝服务攻击的影响 2、[问题2]

OSPF主要用于大型、异构的IP网络中，是对______路由的一种实现。若网络规模较小，可以考虑配置静态路由或______协议实现路由选择。 A．链路状态 B．距离矢量 C．路径矢量 A．EGP B．RIP C．BGP 3、[问题3]

对汇聚层两台交换机的F0/3、F0/4端口进行端口聚合，F0/3、F0/4端口默认模式是______，进行端口聚合时应配置为______模式。 备选答案：

A．multi B．trunk C．access 4、[问题4]

为了在汇聚层交换机上实现虚拟路由冗余功能，需配置______协议，可以采用竞争的方式选择

主路由设备，比较设备优先级大小，优先级大的为主路由设备。若备份路由设备长时间没有收到主路由设备发送的组播报文，则将自己的状态转为______。为了避免二层广播风暴，需要在接入与汇聚设备上配置______。

第二、三空备选答案：

A．Master B．Backup C．VTP Server D．MSTP 5、[问题5]

阅读汇聚交换机Switch1的部分配置命令，回答下面的问题。

VLAN20 standby默认优先级的值是______。 VLAN20设置preempt的含义是______。

试题二

阅读以下说明，根据要求回答问题。 [说明]

某公司内部搭建了一个小型局域网，拓扑图如图1所示。公司内部拥有主机约120台，用C类地址段192.168.100.0/24。采用一台Linux服务器作为接入服务器，服务器内部局域网接口地址为192.168.100.254，ISP提供的地址为202.202.212.62。

图1 某公司局域网拓扑图

6、[问题1]

在Linux中，DHCP的配置文件是______。 7、[问题2]

内部邮件服务器IP地址为192.168.100.253，MAC地址为01:A8:71:8C:9A:BB；内部文件服务器IP地址为192.168.100.252，MAC地址为01:15:71:8C:77:BC。公司内部网络分为4个网段。

为方便管理，公司使用DHCP服务器为客户机动态配置IP地址，下面是Linux服务器为192.168.100.192/26子网配置DHCP的代码，将其补充完整。

8、[问题3]

配置代码“option time-offset-18000”的含义是______。“default-lease-time 21600”表明，租约期为______小时。 第一空备选答案：

A．将本地时间调整为格林尼治时间 B．将格林尼治时间调整为本地时间 C．设置最长租约期 9、[问题4]

在一台客户机上使用ipconfig命令输出如图2所示，正确的说法是______。

图2 ipconfig命令输出信息

A．本地网卡驱动未成功安装

B．未收到DHCP服务器分配的地址

C．DHCP服务器分配给本机的IP地址为169.254.146.48 D．DHCP服务器的IP地址为169.254.146.48

此时可使用______命令释放当前IP地址，然后使用______命令向DHCP服务器重新申请IP地址。

试题三

阅读以下说明，根据要求回答问题。 [说明]

某企业在采用Windows Server 2003配置了共享打印、FTP和DHCP服务。 10、[问题1]

1．Internet共享打印使用的协议是______。

A．PPI B．IPP C．TCP D．IP

2．Internet共享打印配置完成后，需在如图1所示的Web服务扩展选项卡中将“Active Server Pages”设置为“允许”，其目的是______。

图1 [扩展]选项卡

3．检验Internet打印服务是否安装正确的方法是在Web浏览器的地址栏输入URL是______。 A．HTTP://127.0.0.1/PRINTERS B．FTP://127.0.0.1/PRINTERS C．HTTP://PRINTERS D．FTP://PRINTERS 4．使用Internet共享打印流程为6个步骤： ①在终端上输入打印设备的URL

②服务器向用户显示打印机状态信息 ③客户端向打印服务器发送身份验证信息 ④用户把要打印的文件发送到打印服务器

⑤打印服务器生成一个cabinet文件，下载到客户端 ⑥通过。Internet把HTTP请求发送到打印服务器 对以上步骤进行正确的排序______。 11、[问题2]

FTP的配置如图2、图3所示。

图2 [目录安全性]选项卡

图3 [FTP站点]选项卡

1．默认情况下，用户登录FTP服务器时，服务器端建立的TCP端口号为______。 2．如果只允许一台主机访问FTP服务器，参考图2给出具体的操作步骤______。 3．参考图3，在一台服务器上搭建多个FTP站点的方法是______。 4．如点击图3中“当前会话”按钮，显示的信息是______。 12、[问题3]

DHCP的配置如图4和图5所示。

图4 [常规]选项卡 图5 [新路由协议]对话框

1．图4中填入的IP地址是______。

A．分配给客户端的IP地址 B．默认网关的IP地址 C．DHCP服务器的IP地址

2．图5中配置DHCP中继代理程序，可以实现______。 A．使普通客户机获取IP等信息 B．跨网段的地址分配 C．特定用户组访问特定网络

试题四

阅读以下说明，根据要求回答问题。 [说明]

某企业的网络拓扑结构如图所示。

某企业网络拓扑结构图

由于该企业路由设备数量较少，为提高路由效率，要求为该企业构建基于静态路由的多层安全交换网络。根据要求创建4个VLAN分别属于网管中心、生产部、销售部以及研发中心，各部门的VLAN

号及IP地址规划如图所示。

该企业网采用三层交换机Switch-core为核心交换机，Switch-core与网管中心交换机Switch1和研发中心交换机Switch4采用三层连接，Switch-core与生产部交换机Switch2及销售部交换机Switch3采用二层互联。

各交换机之间的连接以及接口IP地址如下表所示。 各交换机之间的连接以及接口IP地址表 上联端口 交换机 端口 G0/1 G0/2 F0/1 F0/2 F0/3 F0/4 F0/5 G1/1 G0/1 F0/1 F0/2 F0/3 F0/4 F0/1 描述 scsw-g1/1 wgsw-g0/1 yfsw-f0/1 yfsw-f0/2 yfsw-f0/3 yfsw-f0/1 xssw-f0/1 core-g0/1 core-g0/2 core-f0/1 core-f0/2 core-f0/3 core-f0/4 core-f0/5 IP地址 192.168.101.1/24 192.168.102.1/24 192.168.101.2/24 192.168.102.2/24 Switch-core Switch2 Swith1 Switch4 Switch3

13、[问题1]

随着企业网络的不断发展，研发中心的上网计算机数急剧增加，在高峰时段研发中心和核心交换机之间的网络流量非常大，在不对网络进行大的升级改造的前提下，网管人员采用了以太信道(或端口聚合)技术来增加带宽，同时也起到了______和______的作用，保证了研发中心网络的稳定性和安全性。

在两台交换机之间是否形成以太信道，可以用协议自动协商。目前有两种协商协议：一种是______，是Cisco私有的协议；另一种是______，是基于IEEE 802.3ad标准的协议。 第三、四空备选答案：

A．端口聚合协议(PAgP) B．多生成树协议(MSTP) C．链路聚合控制协议(LACP) 14、[问题2]

核心交换机Switch-core与网管中心交换机Switch1通过静态路由进行连接。根据需求，完成或解释Switch-core与Switch1的部分配置命令。 (1)配置核心交换机Switch-core

(2)配置网管中心交换机Switch1

15、[问题3]

为确保研发中心网络的稳定性，在现有条件下尽量保证带宽，要求实现核心交换机Switch-core与研发中心交换机Switch4的三层端口聚合，然后通过静态路由进行连接。根据需求，完成或解释以下配置命令。

(1)继续配置核心交换机Switch-core

(2)配置研发中心交换机Switch4

16、[问题4]

为了保障局域网用户的网络安全，防范欺骗攻击，以生产部交换机Switch2为例，配置DHCP侦听。根据需求完成或解释Switch2的部分配置命令。

答案:

试题一

1、B A或D D或A且与第二空不同 C

基于如图所示的网络拓扑结构及工程师给出的网络需求信息，该企业网络拓扑按分区域、层次化结构进行设计，主要分为网络出口区域、外部服务器区域、核心交换区域、汇聚层区域、接入层区域、核心服务器区域等。其中，位置③左侧内网防火墙保护的是存储该企业核心资源的关键服务器，以实现“对企业的核心资源加强安全防护”这一网络安全需求。位置①为该企业外网防火墙的DMZ区域，用于放置对外提供Web、E-mail等服务的各种服务器；位置②为该企业与因特网服务提供商(ISP)互连的外部网络区域。

基于网络的入侵检测系统(NIDS)是依照一定的安全策略，通过软、硬件，对网络、系统的运行状况进行监视，尽可能发现各种攻击企图、攻击行为或者攻击结果，并根据监视结果进行警报或阻断等响应，以保证网络系统的相关资源。若将NIDS部署在位置①，则能够监视针对外网防火墙DMZ中系统的攻击；若将NIDS部署在位置②，则能够检测外部网络攻击的数量和类型，并能够减轻拒绝服务攻击(Denial of Service，DoS)的影响；若将NIDS部署在位置③，则能够监视针对内网关键系统、服务和资源的攻击。

2、A B

开放最短路径优先(OSPF)协议是一种分布式、基于链路状态(L-S)算法的动态路由选择协议，具有收敛速度快、支持区层次化路由、CIDR等开销的多路径和身份认证等特点，适合大型与特大型的、异构的IP网络使用。

RIP是一种基于向量-距离(V-D)的动态路由选择协议，其特点是算法简单、易于配置实现，比较适合小型与中型的(网络直径小于16跳)、多路径的、动态的IP网络使用。

外部网关协议(EGP)是不同自治系统的路由器之间交换路由信息的协议，其典型协议是边界网关协议(BGP)。

3、C B

链路聚合是一种将两条或更多数据信道合并成逻辑上单个、更高带宽的通信信道的技术。网络规划设计过程中，在网络带宽比较紧张、网络流量大且需求迫切的情况下，可以通过逻辑聚合扩展带宽到原链路的n倍；在需要对链路进行动态备份的情况下，可以通过配置链路聚合实现同一聚合组各个成员端口之间彼此动态备份。例如，如图在两台汇聚层交换机之间应用链路聚合技术，以实现负载分担及链路动态备份。汇聚层交换机Switch1的F0/3、F0/4端口默认为access模式，进行链路聚合时应配置为trunk模式。

4、VRRP A D

虚拟路由器冗余协议(VRRP)是为具有多播或广播能力的局域网(如以太网)设计的容错协议。它是冗余网关技术的国际标准，允许在不同厂商的设备之间运行。在图中，为了在汇聚层交换机上实现虚拟路由冗余功能，需配置VRRP，可以采用竞争的方式选择主路由设备，比较设备优先级大小，优先级大的为主路由设备。VRRP中接口只有三种状态：初始状态(Initialize)、主状态(Master)和备份状态(Backup)。若备份路由设备长时间没有收到主路由设备发送的组播报文，则将自己的状态由Backup转为Master，状态切换时间通常小于5s。

在网络规划设计中，引入冗余链路可以增强网络的可用性，但也会由此引起交换环路。交换环路会带来的主要问题有：①广播风暴；②同一数据帧的多个副本等。生成树协议(STP)可以解决这些问题，其基本思想是阻断一些交换机接口，构建一棵没有环路的转发树。而基于IEEE 802.1s标准的多生成树协议(MSTP)兼容STP和RSTP(快速生成树协议)，并且可以弥补STP和RSTP的缺陷。它既可以快速收敛，也能使不同VLAN的流量沿各自的路径分发，从而为冗余链路提供更好的负载分担机制。在图中，为了避免二层广播风暴，需要在接入交换机与汇聚交换机上配置MSTP。

VLAN中继协议(VTP)是用来使VLAN配置信息在交换网内其他交换机上进行动态注册的一种链路层协议，它可简化局域网中交换机的配置、维护管理工作。任何一台运行VTP的交换机可以工作在3种模式：VTP Server、VTP Client及VTP Transparent。其中，工作在VTP Server模式的

交换机将维护该VTP域中所有VLAN信息列表，可以增加、删除或修改VLAN。

5、100 开启HSRP抢占模式

热备份路由器协议(HSRP)是Cisco的专有协议，它利用一个优先级方案来决定哪个配置了HSRP的路由器成为默认的主动路由器。路由器的默认优先级是100。如果一个路由器的优先级设置得比所有其他路由器的优先级高，则该路由器成为主动路由器。由此可知，VLAN20 standby默认优先级的值为100。

HSRP的基本配置均在端口配置模式(Switch(config-if)#下完成，使用命令“standby＜组号＞IP＜虚拟IP地址＞”启用HSRP功能，并设置该HSRP组的虚拟IP地址；使用命令“standby＜组号＞preempt”设置HSKP抢占。由此可知，汇聚交换机Switch1配置命令standby 2 ip

192.168.20.250，用于建立组号为2的HSRP组并设置其虚拟IP地址为192.168.20.250。配置命令standby 2 preempt，用于开启组号为2的HSRP组抢占模式。 试题二

6、/etc/dhcpd.conf 在Linux操作系统中，与DHCP相关的主要配置文件如下：DHCP服务器配置文件/etc/dhcpd.conf，启动DHCP服务的脚本/etc/rc.d/init.d/dhcpd，执行DHCP服务的程序/usr/sbin/dhcpd，记录客户端租用信息的文件/var/state/dhcpd.leases。 7、192.168.100.192 255.255.255.192 255.255.255.192 192.168.100.255 192.168.100.193 192.168.100.251 01:A8:71:8C:9A:BB 192.168.100.252

依题意，子网地址192.168.100.192/26中，“/26”表示该IP地址块的网络号和子网号长度为26位，其对应的子网掩码二进制表示为1111 1111.1111 1111.1111 1111.1100 0000，即255.255.255.192，表明该网络的子网号向主机号借用了两个比特位(即把内部网络分为4个网段)。将IP地址192.168.100.192与其子网掩码255.255.255.192进行“逻辑与”运算，得到的二进制表示为。其中，阴影部分为子网掩码比特“1”所覆盖的范围。可见，可供该子网实际分配的IP地址范围是192.168.100.193～192.168.100.254，其直接广播地址(或定向广播地址)为192.168.100.255。 该DHCP服务器/etc/dhcpd.conf配置文件中，其相关配置内容及其解释如下。

其中，在配置DHCP服务器动态分配的IP地址池时，应从地址范围192.168.100.193～

192.168.100.254中扣除分配给内部文件服务器的IP地址192.168.100.252、分配给内部邮件服务器的IP地址192.168.100.253和作为默认网关的IP地址192.168.100.254。

8、A 6

在/etc/dhcpd.conf配置文件中，配置代码“option time-offset-18000”用于将本地时间调整为格林尼治时间，二者的偏移时间为18000s(即5小时)；配置代码“default-lease-time 21600”表明，DHCP客户所获得的IP地址的租约期为21600s(即6小时)。

9、B

ipconfig/release ipconfig/renew

254.x.x/16是一个保留的特殊地址段，也称为APIPA(自动专用IP寻址)地址。当DHCP客户机无法与其服务器通信时(例如DHCP服务器发生故障)，Windows操作系统则自动为本地DHCP客户机的网卡分配169.254.0.1～169.254.255.254网段的某一IP地址，子网掩码为255.255.0.0，以使所有获取不到IP地址的DHCP客户机之间能够相互通信。

依题意，该DHCP客户机在图中所获得的IP地址为169.254.146.48，这是一个APIPA地址，说明该客户机未收到DHCP服务器分配的IP地址信息。此时，可以使用命令ipconfig/release释放当前IP地址，接着使用命令ipconfig/renew向DHCP服务器重新申请IP地址。 试题三

10、B

允许运行Internet打印服务的AAP脚本(答案类似即可) A

1-6-3-2-5-4

互联网打印协议(IPP，Internet Printing Protocol)是一个在互联网上共享打印的标准网络协议，它允许用户可以透过互联网做远距离打印及管理打印机(例如控制打印分辨率、纸张的种类)等工作。

基于Windows server 2003操作系统配置共享打印，需要先安装打印机驱动程序，并设置打印机共享。接着通过“控制面板”中的“添加/删除程序|添加/删除Windows组件”安装IIS和

Internet打印组件。然后依次单击“开始|管理工具|Internet信息服务管理”，选择“Web服务扩展”，在[扩展]选项卡分别将“Internet打印”和“Active Server Pages”设置为“允许”状态，其中将“Active Server Pages”设置为“允许”的目的是，允许运行Internet打印服务的ASP脚本。此时打印服务器就具备了共享打印服务功能，检验Internet打印服务是否能正常工作的方法是，在Web浏览器的地址栏输入：HTTP://127.0.0.1/PRITERS，如果出现本地打印机列表就表示共享打印服务安装成功。

在客户端的Web浏览器地址栏输入http://server/printers，其中“server”是提供共享打印的计算机IP地址(或主机名)，printers为打印机的共享名称。回车后即可看到可供共享的打印机列表，双击相应的打印机图标，接着按系统提示信息即可完成共享打印驱动程序的安装。

通常，使用Internet共享打印流程是：先在终端上输入打印设备的URL；接着通过Internet把HTTP请求发送到打印服务器；客户端向打印服务器发送身份验证信息；若服务器通过其身份验证则向用户显示打印机状态信息；打印服务器生成一个cabinet文件下载到客户端；最后用户把要打印的文件发送到打印服务器。

11、21

先选中[拒绝访间]单选按钮，单击[添加]按钮；接着在[授权访间]对话框中，选中[一台计算机]单选按钮，在[网络标识]文本框中输入允许访间的主机IP地址；最后单击[确定]按钮

方法①：先为服务器的网卡配置多个IP地址，接着在图3“IP地址”下拉选择框中为每个FTP站点分别选择一个IP地址；方法②：使用同一个IP地址，但在图3“TCP端口”文本框中为每个FTP站点分别输入不同的TCP端口号

当前连接的客户端会话信息(答案类似即可)

FTP使用客户机/服务器(C/S)的工作方式。在进行文件传送时，FTP客户机和服务器之间要建立两个TCP连接：控制连接(TCP 21)和数据连接(TCP 20)。FTP服务器进程在TCP 21端口上被动地等待客户机的连接。客户机进程则以主动方式在一个TCP随机端口上打开，请求与FTP服务器建立控制连接。

如果只允许一台主机访问FTP服务器，则在如图2所示的[目录安全性]选项卡中，先选中[拒绝访间]单选按钮，单击[添加]按钮，打开[授权访间]对话框；接着选中[一台计算机]单选按钮，在[网络标识]文本框中输入允许访间的主机IP地址；最后单击[确定]按钮以保存相关配置信息。需要注意的是，解题时要仔细理解图2中“默认情况下，所有计算机都将被授权访问(或拒绝访问)，下面列出的除外……”的提示信息。

Windows Server 2003操作系统的IIS6.0允许使用虚拟服务器的方法，实现在同一台服务器上构建多个FTP站点，从而节约硬件资源和投资经费。在确保客户端的请求能到达正确的FTP服务器，必须为该服务器上的每个FTP站点配置唯一的标识。同一服务器上搭建多个FTP站点可以使用主机头名称、IP地址和非标准TCP端口号等标识符进行区分。通过设定这3种标识符中的一个，可以为多个FTP站点创建唯一的标识，而无须为每个站点安装一个专用的服务器。同时也可以为每个FTP站点创建唯一的主目录并且将内容存储在本地服务器或远程网络共享上，使得每个FTP站点都成为一个独立的虚拟服务器。

在图3中，为同一台服务器搭建多个FTP站点可以有两种方法。一是先为服务器的网卡配置多个IP地址，接着在“IP地址”下拉选择框中为每个FTP站点分别选择一个IP地址。二是这些FTP站点都使用同一个IP地址，但在“TCP端口”文本框中为每个FTP站点分别输入不同的TCP端口号(例如，使

用注册端口号1024～49151)。

在如图3所示的[FTP站点]选项卡中单击[当前会话]按钮，进入如图6所示的[FTP用户会话]对话框。从中可以查看到当前登录到本FTP站点的用户名称、IP地址、登录累计时间，也可强制关闭某个或全部FTP用户与本FTP站点之间的连接。

图6 [FTP用户会话]对话框

12、B B

在如图4所示的[服务器选项]对话框中，先在[可用选项]列中选中[003路由器]复选框，激活[数据输入]选项组。在[IP地址]文本框中输入该企业默认网关的IP地址(例如192.168.1.254)，并单击[添加]按钮将其添加到列表框中。最后单击[确定]按钮以保存相关配置信息。

若在图5中配置DHCP中继代理程序，则允许DHCP客户机跨网段动态获取IP地址。 试题四

13、负载分担(或负载均衡)

链路冗余(或链路动态备份) A C

EtherChannel(以太通道)也称为端口聚合，是由Cisco公司开发的、应用于交换机之间的多链路捆绑技术。其基本原理是：将两个设备间多条快速以太或千兆以太物理链路捆绑在一起组成一条逻辑链路，从而达到带宽增加、在多条链路上均衡分配流量等目的。当一条或多条链路出现故障时，只要还有链路正常，流量将转移到其他的链路上，整个过程在几毫秒内完成，从而起到业务动态备份的冗余作用。

两台交换机之间是否形成EtherChannel可以用端口聚合协议(PAgP)或链路聚合控制协议(LACP)等协议自动协商。其中，PAgP是Cisco专有的协议，用来自动创建快速EtherChannel链路。在使用PAgP配置EtherChannel链路时，PAgP数据包就会在启用了EtherChannel的端口之间发送，以协商建立起这条通道。在PAgP识别出匹配的以太网链路之后，它就会将这些链路放入一个EtherChannel组中。而生成树会将EtherChannel看成是一个单独的桥接端口。 基于IEEE 802.3ad标准的LACP是一种实现链路动态汇聚的协议。它通过LACPDU(链路汇聚控制协议数据单元)与对端交互信息。启用某端口的LACP协议后，该端口将通过发送LACPDU向对端通告自己的系统优先级、系统MAC地址、端口优先级、端口号和操作Key。对端接收到这些信息后，将这些信息与其他端口所保存的信息比较以选择能够汇聚的端口，从而双方可以对端口加入或退出某个动态汇聚组达成一致。

14、设置当前端口的描述信息

关闭二层功能、启用三层路由功能 192.168.101.1 255.255.255.0

限制网络设备进行域名解析(或禁止DNS查询) 192.168.101.2 255.255.255.0

192.168.10.1 255.255.255.0 vlan 10

在核心交换机Switch-core全局配置模式Switch-core(config)#下，使用命令interface gigabitEthernet 0/2进入端口G0/2配置模式，然后使用命令description wgsw-g0/1设置当前端口的物理连接信息——本端口是网管交换机G0/1端口的上连端口，使得网络管理员可以从中了解交换机端口的物理连接情况。

由于核心交换机Switch-core是一种带有三层路由功能的交换机，其端口既有三层路由功能，也具有二层交换功能。三层交换机端口默认为二层模式，接口配置模式下使用不带参数的命令

switchport，把一个接口设置为二层模式；若需要关闭二层功能、启用三层功能，则需要在此端口输入命令no switchport。

由表所给出的接口IP地址信息可知，Switch-core端口G0/2的IP地址为

192.168.101.1/24，因此应在配置该端口IP地址的第三空缺处中填入192.168.101.1 255.255.255.0。

假如在CLI下输入了1条网络设备不能识别的命令，系统默认通过DNS来进行解析(即系统认为可能是主机名)，造成额外的等待DNS解析完的时间。在全局配置模式下，使用命令no ip domain-lookup限制网络设备进行域名解析。

由表可知，网管中心交换机Switch1的G0/1是Switch-core G0/2的下连端口，其IP地址为192.168.101.2/24，因此第五空缺处应填入192.168.101.2 255.255.255.0。

由图所给出的地址规划信息可知，网管中心Vlan的VLAN号为Vlan10，该VLAN的IP地址段为192.168.10.0/24，默认网关地址为192.168.10.1，因此应在配置该VLAN IP地址的第六空缺处中填入192.168.10.1 255.255.255.0。

网管中心交换机Switch1端口2～20应设置成为Vlan10的成员，需先使用命令interface range f0/2-20将该交换机的配置模式切换到组配置状态，然后使用命令switchport mode access设置该组端口工作在访问(接入)模式，最后使用命令switchport access vlan 10设置该组端口为Vlan10的成员。

15、创建组号为10的以太通道并进入其配置模式 192.168.102.1 255.255.255.0

将当前端口组加入到组号为10的以太通道中，并设为手动以太通道模式 192.168.102.2 255.255.255.0

ip route 0.0.0.0 0.0.0.0 192.168.102.1 ip routing end

依题意，为实现核心交换机Switch-core与研发中心交换机Switch4的三层端口聚合，需要在这两台交换机的全局配置模式下，分别使用命令interface port-channel＜number＞创建组号为number的以太通道并进入其配置模式。

由表所给出的接口IP地址信息可知，核心交换机Switch-core端口F0/1～F0/4的IP地址为192.168.102.1/24，因此应在配置组号为10的以太通道IP地址的第二空缺处中填入192.168.102.1255.255.255.0。

在端口配置模式下，使用命令channel-group＜number＞mode＜

on|desirable|auto|active|passive＞将当前接口加入到组号为number的以太通道中，并指明以太通道模式。参数on为手动配置模式，参数desirable和auto分别为PAGP的desirable和auto模式，参数active和passive分别为LGAP的active和passive模式。因此配置命令

channel-group 10 mode on，表示将当前端口组加入到组号为10的以太通道中，并设为手动以太通道模式。 由表可知，研发中心交换机Switch4端口F0/1～F0/4的IP地址为192.168.102.2/24，因此该交换机在配置组号为10的以太通道IP地址时，第一空缺处中填入192.168.102.2 255.255.255.0。

对于Switch4，配置其默认路由时，数据包转发的下一跳应指向核心交换机Switch-core，因此第二空缺处中填入ip route 0.0.0.0 0.0.0.0 192.168.102.1。其中，“0.0.0.0 0.0.0.0”

表示未知主机/网段，即任何无法判断的目的主机/网段地址。

三层交换机默认情况下路由功能是关闭的，需要使用命令ip routing手动开启路由功能。因此第三空缺处中填入ip routing。

在交换机接口组配置模式Switch(config-if-range)#，可以使用命令end退回到特权模式Switch#。

16、开启交换机的DHCP侦听功能

将当前端口设为信任端口，以正常接收并转发DHCP Offer报文

DHCP Snooping技术是DHCP安全特性，通过建立和维护DHCP Snooping绑定表过滤不可信任的DHCP信息。DHCP Snooping绑定表包含不可信任区域的用户MAC地址、IP地址、租用期、VLAN-ID接口等信息。当交换机开启DHCP-Snooping功能后，会对DHCP报文进行侦听，并从接收到的DHCP Request或DHCP Ack报文中提取并记录IP地址和MAC地址信息。DHCP-Snooping允许将某个物理端口设置为信任端口或非信任端口。信任端口可以正常接收并转发DHCP Offer报文，而非信任端口会将接收到的DHCP Offer报文丢弃，从而实现交换机对假冒DHCP服务器的屏蔽作用，确保客户端从合法的DHCP服务器动态获取IP地址。

在交换机全局配置模式Switch(config)#下，使用命令ip dhcp snooping开启交换机的DHCP侦听功能；使用命令ip dhcp snooping vlan＜number＞，在相应VLAN启用DHCP侦听。 在交换机接口配置模式Switch(config-if)#下，使用命令ip dhcp snooping trust，将当前端口设为信任端口(默认是非信任端口)，以正常接收并转发DHCP Offer报文，不记录IP地址和MAC地址的绑定信息。