原文地址

本地AAA

RADIUS 上的本地 AAA

TACACS+ 上的本地 AAA

基于服务器的 AAA

基于服务器的 AAA over RADIUS

基于服务器的 AAA over TACACS+

答案解释和提示：在具有少量网络设备的小型网络中，可以使用本地数据库以及存储在网络设备上的用户名和密码来实现 AAA 身份验证。使用 TACACS+ 或 RADIUS 协议的身份验证将需要专用的 ACS 服务器，尽管此身份验证解决方案在大型网络中可以很好地扩展。

NTP

TACACS+

SSH

HTTPS

半径

章

答案解释和提示：通过使用 TACACS+ 或 RADIUS，AAA 可以从集中存储在服务器（如 Cisco ACS 服务器）上的用户名和密码数据库对用户进行身份验证。

合法客户端无法租用 IP 地址。

客户端从恶意 DHCP 服务器接收 IP 地址分配。

攻击者向客户端提供不正确的 DNS 和默认网关信息。

分配给合法客户端的 IP 地址被劫持。

答案解释和提示：DCHP 饥饿攻击由攻击者发起，目的是为 DHCP 客户端创建 DoS。为了实现这一目标，攻击者使用一种工具发送许多 DHCPDISCOVER 消息来租用整个可用 IP 地址池，从而拒绝合法主机使用它们。

使用开放标准 LLDP 而不是 CDP。

在不需要的所有接口上禁用这两种协议。

使用 CDP 和 LLDP 的默认路由器设置。

在边缘设备上启用 CDP，在内部设备上启用 LLDP。

答案解释和提示：两种发现协议都可以为黑客提供敏感的网络信息。它们不应在边缘设备上启用，如果不需要，应在全局或每个接口的基础上禁用。CDP 默认启用。

SCP

SSH

TFTP

SNMP

答案解释和提示：Telnet 使用纯文本在网络中进行通信。如果数据传输被截获，用户名和密码可以被捕获。SSH 对两个网络设备之间的数据通信进行加密。TFTP 和 SCP 用于通过网络传输文件。SNMP 用于网络管理解决方案。

它将帧视为未知单播并将所有传入帧泛洪到交换机上的所有端口。

它将帧视为未知单播并将所有传入帧泛洪到本地 VLAN 内的所有端口。

它将帧视为未知单播并将所有传入帧泛洪到冲突域内的所有端口。

它将帧视为未知单播并将所有传入帧泛洪到多个交换机的所有端口。

答案解释和提示：当 MAC 地址表已满时，交换机将帧视为未知单播，并开始将所有传入流量泛洪到仅在本地 VLAN 内的所有端口。

默认为所有端口启用混合双工模式

内容可寻址内存空间的有限大小

默认为所有端口启用混合端口带宽支持

默认为所有端口启用自动中继端口功能

答案解释和提示：VLAN 跳跃攻击使来自一个 VLAN 的流量可以在没有路由的情况下被另一个 VLAN 看到。在基本的 VLAN 跳跃攻击中，攻击者利用了大多数交换机端口默认启用的自动中继端口功能。

默认为所有端口启用混合双工模式

内容可寻址内存空间的有限大小

默认为所有端口启用自动中继端口功能

中继端口的native VLAN与用户VLAN相同

答案解释和提示：双标记（或双封装）VLAN 跳跃攻击利用了大多数交换机上的硬件运行方式。大多数交换机只执行一级 802.1Q 解封装，这允许攻击者在帧内嵌入隐藏的 802.1Q 标签。此标记允许将帧转发到原始 802.1Q 标记未指定的 VLAN。双封装 VLAN 跳跃攻击的一个重要特征是，即使中继端口被禁用，它也能正常工作，因为主机通常会在不是中继链路的网段上发送帧。这种类型的攻击是单向的，并且仅当攻击者连接到与中继端口的本地 VLAN 位于同一 VLAN 中的端口时才有效。

审计

会计

授权

验证

答案解释和提示：AAA 中的组件之一是授权。用户通过 AAA 认证后，授权服务确定用户可以访问哪些资源以及允许用户执行哪些操作。

可访问性

会计

验证

授权

答案解释和提示：AAA 的组成部分之一是会计。通过 AAA 对用户进行身份验证后，AAA 服务器会详细记录经过身份验证的用户在设备上执行的操作。

请求身份验证的客户端

控制网络访问的交换机

正在执行客户端身份验证的身份验证服务器

用作默认网关的路由器

答案解释和提示：802.1X 认证过程中涉及的设备如下： 请求者，即请求网络访问 的客户端 认证者，即客户端连接的交换机，实际控制物理网络访问 认证服务器，它执行实际的身份验证

01

S1 和 PC1 之间的连接是通过交叉电缆。

S1的Fa0/24接口配置了与Fa0/2接口相同的MAC地址。

S1 已经配置了 switchport port-security 老化命令。

连接Fa0/2接口的PC1的MAC地址不是配置的MAC地址。

答案解释和提示：Fa0/2 的安全违规计数器已增加（SecurityViolation 列中的 1 证明了这一点）。端口 Fa0/2 上允许的最安全地址是 1，并且该地址是手动输入的。因此，PC1 的 MAC 地址必须与为端口 Fa0/2 配置的 MAC 地址不同。终端设备和交换机之间的连接，以及路由器和交换机之间的连接，都是使用直通电缆进行的。

请参见图示。端口 Fa0/2 已正确配置。IP电话和PC正常工作。如果网络管理员有以下目标，哪种交换机配置最适合端口 Fa0/2？ 任何人都不允许断开 IP 电话或 PC 并连接其他有线设备。

如果连接了不同的设备，则端口 Fa0/2 将关闭。

交换机应自动检测 IP 电话和 PC 的 MAC 地址，并将这些地址添加到运行配置中。

02

SWA(config-if)# switchport port-securitySWA(config-if)# switchport port-security mac-address sticky

SWA(config-if)# switchport port-security mac-address stickySWA(config-if)# switchport port-security maximum 2

SWA(config-if)# switchport port-security SWA(config-if)# switchport port-security maximum 2 SWA(config-if)# switchport port-security mac-address sticky

SWA(config-if)# switchport port-security

​

答案解释和提示：端口安全违规的默认模式是关闭端口，因此不需要 switchport port-security违规命令。必须输入 switchport port-security 命令，不带任何其他选项来启用端口的端口安全性。然后，可以添加额外的端口安全选项。

来自 PC1 的帧将被丢弃，并且将创建一条日志消息。

来自 PC1 的帧将被丢弃，并且不会有违规记录。

来自 PC1 的帧将导致接口立即关闭，并生成一个日志条目。

来自 PC1 的帧将被转发到其目的地，并且将创建一个日志条目。

来自 PC1 的帧将被转发到其目的地，但不会创建日志条目。

由于缺少交换机端口端口安全违规命令，来自 PC1 的帧将被转发。

答案解释和提示：已为端口 fa0/12 输入了单个允许的 MAC 地址的手动配置。PC1 具有不同的 MAC 地址，连接后将导致端口关闭（默认操作），自动创建日志消息，并且违规计数器增加。建议使用默认的关闭操作，因为如果正在进行攻击，restrict 选项可能会失败。

离开

严格

保护

关闭

答案解释和提示：在 Cisco 交换机上，可以将接口配置为三种违规模式之一，指定发生违规时要采取的操作： 保护 - 丢弃具有未知源地址的数据包，直到删除足够数量的安全 MAC 地址，或者最大允许地址数增加。没有发生安全违规的通知。 限制 - 丢弃具有未知源地址的数据包，直到删除足够数量的安全 MAC 地址，或增加最大允许地址的数量。在此模式下，会通知已发生安全违规。 Shutdown – 接口立即变为错误禁用状态，端口 LED 熄灭。

防止恶意交换机添加到网络中

防止第 2 层环路

强制放置根桥

防止缓冲区溢出攻击

答案解释和提示：BPDU 防护立即错误禁用接收 BPDU 的端口。这可以防止恶意交换机被添加到网络中。BPDU 防护应仅应用于所有最终用户端口。

DTP 欺骗

DHCP 欺骗

VLAN 双重标记

DHCP 饥饿

答案解释和提示：作为 VLAN 跳跃攻击的一部分，欺骗 DTP 消息会强制交换机进入中继模式，但即使中继端口被禁用，VLAN 双重标记仍然有效。将本地 VLAN 从默认 VLAN 更改为未使用的 VLAN 可降低此类攻击的可能性。DHCP 欺骗和 DHCP 饥饿利用 DHCP 消息交换中的漏洞。

1

3

5

7

答案解释和提示：DHCP Snooping 配置包括构建 DHCP Snooping 绑定数据库和在交换机上分配必要的可信端口。可信端口指向合法的 DHCP 服务器。在此网络设计中，由于 DHCP 服务器连接到 AS3，因此应将 7 个交换机端口分配为可信端口，一个在 AS3 上指向 DHCP 服务器，一个在 DS1 上指向 AS3，一个在 DS2 上指向 AS3，并且两个 AS1 上的连接和 AS2（朝向 DS1 和 DS2），共 7 个。

严格

禁用

保护

关闭

答案解释和提示：如果在交换机端口上启用端口安全时未指定违规模式，则安全违规模式默认为关闭。

网络管理员在交换机 SW1 上输入以下命令。

SW1(config)# interface range fa0/5 – 10 SW1(config-if)# ip dhcp snooping limit rate 6

输入这些命令后有什么作用？

FastEthernet 端口 5 到 10 每秒最多可以接收 6 条 DHCP 发现消息。

FastEthernet 端口 5 到 10 每秒最多可以接收 6 条任何类型的 DHCP 消息。

如果任何 FastEthernet 端口 5 到 10 每秒接收超过 6 条 DHCP 消息，该端口将被关闭。

如果任何 FastEthernet 端口 5 到 10 每秒接收超过 6 条 DHCP 消息，该端口将继续运行，并将向网络管理员发送一条错误消息。

答案解释和提示：配置 DHCP snooping 时，应使用 ip dhcp snooping limit rate interface 配置命令对不信任端口每秒可以接收的 DHCP 发现消息数进行限速。当一个端口接收到的消息多于允许的速率时，多余的消息将被丢弃。

它根据 MAC 地址表检查以太网报头中的源 MAC 地址。

它根据用户配置的 ARP ACL 检查以太网报头中的源 MAC 地址。

它检查以太网报头中的源 MAC 地址与 ARP 正文中的目标 MAC 地址。

它检查以太网报头中的源 MAC 地址与 ARP 正文中的发送者 MAC 地址。

答案解释和提示：DAI 可以配置为检查目标或源 MAC 和 IP 地址： 目标 MAC – 检查以太网报头中的目标 MAC 地址与 ARP 正文中的目标 MAC 地址。 源 MAC — 检查以太网报头中的源 MAC 地址与 ARP 正文中的发送者 MAC 地址。 IP 地址 – 检查 ARP 正文中是否存在无效和意外 IP 地址，包括地址 0.0.0.0、255.255.255.255 和所有 IP 多播地址。

S1(config)# 生成树 bpduguard 默认值

S1(config-if)# spanning-tree bpduguard enable

S1(config-if)# 启用生成树 bpduguard

S1(config-if)# spanning-tree portfast bpduguard

S1(config)# spanning-tree portfast bpduguard default

答案解释和提示：可以使用 spanning-tree portfast bpduguard default 全局配置命令在所有启用 PortFast 的端口上启用 BPDU 防护。或者，可以通过使用 spanning-tree bpduguard enable interface 配置命令在启用 PortFast 的端口上启用 BPDU 防护。

自动保护 MAC 地址

动态安全 MAC 地址

静态安全 MAC 地址

粘性安全 MAC 地址

答案解释和提示：使用粘性安全 MAC 寻址，可以动态学习或手动配置 MAC 地址，然后将其存储在地址表中并添加到运行配置文件中。相反，动态安全 MAC 寻址提供仅存储在地址表中的动态学习 MAC 寻址。

信标

探测请求

验证

探测响应

答案解释和提示：信标是唯一可以由 AP 定期广播的管理帧。探测、认证和关联帧仅在关联（或重新关联）过程中使用。

全向

定向的

八木

盘子

答案解释和提示：全向天线在天线周围以 360 度模式发送无线电信号。这为位于接入点周围任何地方的设备提供了覆盖。碟形天线、定向天线和八木天线将无线电信号集中在一个方向，使其不太适合覆盖大面积开放区域。

它在无需担心知道 SSID 的公共场所提供免费 Internet 访问。

客户端必须手动识别 SSID 才能连接到网络。

SSID 很难被发现，因为 AP 不会广播它们。

这是保护无线网络的最佳方式。

答案解释和提示：SSID 隐藏是一种弱安全功能，由 AP 和某些无线路由器通过允许禁用 SSID 信标帧来执行。虽然客户端必须手动识别要连接到网络的 SSID，但可以很容易地发现 SSID。保护无线网络的最佳方式是使用身份验证和加密系统。SSID 伪装不能在公共场所提供免费的 Internet 访问，但在这种情况下可以使用开放系统身份验证。

发送 ARP 请求

发送广播帧

发送探测请求

发起三次握手

接收广播信标帧

答案解释和提示：无线设备可以使用两种方法来发现和注册接入点：被动模式和主动模式。在被动模式下，AP 发送一个包含 SSID 和其他无线设置的广播信标帧。在主动模式下，必须手动为无线设备配置 SSID，然后设备广播探测请求。

特别指定

热点

基础设施

混合模式

答案解释和提示：Ad hoc 模式（也称为独立基本服务集或 IBSS）用于对等无线网络，例如使用蓝牙时。当启用具有蜂窝数据访问权限的智能手机或平板电脑来创建个人无线热点时，就会出现 ad hoc 拓扑的变体。混合模式允许较旧的无线 NIC 连接到可以使用较新无线标准的接入点。

企业

个人的

共享密钥

WEP

答案解释和提示：WPA 和 WPA2 有两种类型：个人和企业。Personal 用于家庭和小型办公网络。共享密钥允许三种不同的身份验证技术：(1) WEP、(2) WPA 和 (3) 802.11i/WPA2。WEP 是一种加密方法。

802.11a

802.11b

802.11g

802.11n

802.11ac

802.11ad

答案解释和提示：802.11a 和 802.11ac 标准仅在 5 GHZ 范围内运行。802.11b 和 802.11g 标准仅在 2.4 GHz 范围内运行。802.11n 标准在 2.4 和 5 GHz 范围内运行。802.11ad 标准在 2.4、5 和 60 GHz 范围内运行。

禁用 SSID 的广播

启用不同的 802.11 标准

提供更强大的安全模式

避免来自附近无线设备的干扰

答案解释和提示：选择通道 1、6 和 11，因为它们相隔 5 个通道。从而最大限度地减少对相邻信道的干扰。频道频率会干扰主频率两侧的频道。所有无线设备都需要在不相邻的频道上使用。

积极的

混合

打开

被动的

答案解释和提示：Active 是一种用于配置接入点的模式，因此客户端必须知道 SSID 才能连接到接入点。AP 和无线路由器可以在混合模式下运行，这意味着支持多种无线标准。开放是接入点的一种身份验证模式，它对客户端的可用无线网络列表没有影响。当接入点配置为被动模式时，会广播 SSID，以便无线网络的名称将出现在客户端可用网络列表中。

802.11n

802.11ac

802.11g

802.11b

答案解释和提示：802.11ac 提供高达 1.3 Gb/s 的数据速率，并且仍然向后兼容 802.11a/b/g/n 设备。802.11g 和 802.11n 是较旧的标准，无法达到 1Gb/s 以上的速度。802.11ad 是一种较新的标准，可提供高达 7 Gb/s 的理论速度。

更换连接速度较慢的计算机上的无线网卡。

在 2.4 GHz 和 5 GHz 频段之间拆分流量。

禁用接入点上的 DHCP 并将静态地址分配给无线客户端。

升级无线接入点上的固件。

答案解释和提示：因为有些用户抱怨网络太慢，所以正确的选择是拆分流量，让两个网络同时使用不同的频率。更换无线网卡不一定能纠正网络速度变慢的问题，而且对公司来说可能代价高昂。DHCP 与静态寻址应该不会对网络速度慢造成影响，并且让所有用户为其无线连接分配静态寻址将是一项艰巨的任务。升级无线接入点上的固件总是一个好主意。但是，如果某些用户的网络连接速度较慢，这很可能不会显着提高网络性能。

在无线路由器和连接的无线设备上配置加密。

禁用无线网络 SSID 广播。

更改无线路由器的默认用户名和密码。

在无线路由器上启用 MAC 地址过滤。

答案解释和提示：技术人员为保护新无线网络而应采取的第一项措施是更改无线路由器的默认用户名和密码。下一步通常是配置加密。然后，一旦初始无线主机组连接到网络，MAC 地址过滤将启用，SSID 广播将禁用。这将防止新的未经授权的主机发现并连接到无线网络。

盗贼

先进的

接入点

网络摘要

答案解释和提示：当用户登录到 WLC 时，会显示 Cisco 3504 WLC 仪表板。它提供了一些基本设置和菜单，用户可以快速访问以实现各种常用配置。通过单击高级按钮，用户将访问高级摘要页面并访问 WLC 的所有功能。

无线局域网

安全

无线的

管理

答案解释和提示：Cisco 3504 WLC 高级摘要页面中的 WLAN 选项卡允许用户访问 WLAN 的配置，包括安全性、QoS 和策略映射。

AAA

SNMP

DHCP

半径

答案解释和提示：简单网络管理协议 (SNMP) 用于监控网络。

域名系统

NAT

DHCP

半径

答案解释和提示：第一个八位位组中带有 10 的任何地址都是私有 IPv4 地址，不能在 Internet 上路由。无线路由器将使用称为网络地址转换 (NAT) 的服务将私有 IPv4 地址转换为互联网可路由的 IPv4 地址，以便无线设备访问互联网。

NAT

服务质量

域名系统

DHCP

答案解释和提示：许多无线路由器都有用于配置服务质量 (QoS) 的选项。通过配置 QoS，某些时间敏感的流量类型（例如语音和视频）优先于时间不敏感的流量（例如电子邮件和 Web 浏览）。

创建一个新的 SSID。

创建一个新的 VLAN 接口。

构建或拥有一个可用的 SNMP 服务器。

构建或拥有可用的 RADIUS 服务器。

答案解释和提示：Cisco 3500 系列 WLC 上配置的每个新 WLAN 都需要自己的 VLAN 接口。因此，在创建新的 WLAN 之前，需要先创建一个新的 VLAN 接口。

5 GHz 频段具有更大的范围，因此很可能是无干扰的。

要求用户切换到 5 GHz 频段进行流媒体播放是不方便的，并且会导致访问这些服务的用户减少。

5 GHz 频段比 2.4 GHz 频段拥有更多频道且不那么拥挤，这使得它更适合流媒体。

唯一可以切换到 5 GHz 频段的用户将是那些拥有最新无线 NIC 的用户，这将减少使用率。

答案解释和提示：无线范围由接入点天线和输出功率决定，而不是由使用的频带决定。在这种情况下，所有用户都拥有符合最新标准的无线网卡，因此所有人都可以访问 5 GHz 频段。虽然有些用户可能会觉得切换到 5 Ghz 频段访问流媒体服务不方便，但更多的频道，而不是更少的用户，将提高网络性能。

要求所有无线设备使用 802.11n 标准。

检查并保持更新无线路由器的固件。

确保 2.4 GHz 和 5 GHz 频段使用不同的 SSID。

将 Wi-Fi 范围扩展器添加到 WLAN，并将 AP 和范围扩展器设置为服务不同的频段。

答案解释和提示：默认情况下，双频路由器和 AP 在 2.4GHz 频段和 5GHz 频段使用相同的网络名称。对流量进行分段的最简单方法是重命名其中一个无线网络。

共享密码的目的是什么？

它允许用户验证和访问 WLAN。

RADIUS 服务器使用它来验证 WLAN 用户。

它用于对 WLAN 上的用户数据进行身份验证和加密。

它用于加密 WLC 和 RADIUS 服务器之间的消息。

答案解释和提示：RADIUS 协议使用安全功能来保护 RADIUS 服务器和客户端之间的通信。共享密钥是 WLC 和 RADIUS 服务器之间使用的密码。它不适用于最终用户。

确保已启用无线网卡。

确保已连接笔记本电脑天线。

确保选择了无线 SSID。

确保选择了正确的网络媒体。

确保为正确的频率配置了 NIC。

答案解释和提示：除非最近实施了维修，否则无线笔记本电脑通常不连接天线。如果启用了无线 NIC，将使用正确的媒体无线电。当 NIC 检测到接入点时，会自动使用正确的频率。

SSID

接入点密码

天线频率

无线信标时间

无线网络密码

无线客户端操作系统密码

答案解释和提示：将 AP 从包装箱中取出后，应设置默认设备密码、SSID 和安全参数（无线网络密码）。可以调整无线天线的频率，但这不是必需的。信标时间通常未配置。无线客户端操作系统密码不受家庭无线网络配置的影响。

港口安全

IP 源保护

DHCP 侦听

网络安全设备

动态 ARP 检查

答案解释和提示：思科提供的解决方案有助于缓解第 2 层攻击，包括： IP Source Guard (IPSG) – 防止 MAC 和 IP 地址欺骗攻击 动态 ARP 检查 (DAI) – 防止 ARP 欺骗和 ARP 中毒攻击 DHCP Snooping – 防止 DHCP 饥饿和 SHCP 欺骗攻击 端口安全 – 防止多种类型的攻击，包括 MAC 表溢出攻击和 DHCP 饥饿攻击 Web 安全设备 (WSA) 是一种针对基于 Web 的威胁的缓解技术。

禁用 DTP。

手动启用中继。

将本机 VLAN 设置为未使用的 VLAN。

启用 BPDU 防护。

启用源保护。

使用专用 VLAN。

答案解释和提示：可以通过禁用动态中继协议 (DTP)、手动将端口设置为中继模式以及将中继链路的本机 VLAN 设置为未使用的 VLAN 来减轻 VLAN 攻击。

端口已关闭。

该端口有两个连接的设备。

端口违例模式是启用端口安全的任何端口的默认设置。

该端口具有为端口安全配置的第 2 层交换机端口支持的最大 MAC 地址数。

答案解释和提示：如果已为特定交换机端口输入了 switchport port-security 命令（没有选项），则端口安全行仅显示启用状态。如果发生端口安全违规，则会出现不同的错误消息，例如 Secure-shutdown 。支持的最大 MAC 地址数为 50。Maximum MAC Addresses 行用于显示可以学习的 MAC 地址数（在本例中为 2）。Sticky MAC Addresses 行显示只有一台设备已被交换机自动连接和学习。当一个端口由两个带单独笔记本电脑的隔间共享人员共享时，可以使用此配置。

AAA

NAT

SNMP

半径

答案解释和提示：远程身份验证拨入用户服务 (RADIUS) 是一种协议和服务器软件，可为组织提供基于用户的身份验证。当 WLAN 配置为使用 RADIUS 服务器时，用户将输入用户名和密码凭证，这些凭证在 RADIUS 服务器验证后才允许进入 WLAN。

更改 SSID。

将设备配置为使用不同的通道。

在 802.11n 2.4 GHz 频段和 5 GHz 频段之间拆分无线流量。

更新新路由器上的固件。

答案解释和提示：在 802.11n 2.4 GHz 频段和 5 GHz 频段之间拆分无线流量将允许 802.11n 将这两个频段用作两个独立的无线网络来帮助管理流量，从而提高无线性能。

意外干扰

配置不正确的设备

截取数据

恶意接入点

答案解释和提示：拒绝服务攻击可能是由于设备配置不当而导致 WLAN 失效。来自微波炉和无绳电话等设备的意外干扰会影响 WLAN 的安全性和性能。中间人攻击可以让攻击者拦截数据。恶意接入点可能允许未经授权的用户访问无线网络。

CAPWAP 提供接入点和无线 LAN 控制器之间无线用户流量的封装和转发。

CAPWAP 提供接入点和无线客户端之间的无线用户流量加密。

CAPWAP 在使用 IPv6 寻址的接入点和使用 IPv4 寻址的无线客户端之间提供连接。

CAPWAP 在传输控制协议 (TCP) 端口上创建隧道，以允许 WLC 配置自主接入点。

答案解释和提示：CAPWAP 是一种 IEEE 标准协议，使 WLC 能够管理多个 AP 和 WLAN。CAPWAP 还负责封装和转发 AP 和 WLC 之间的 WLAN 客户端流量。

打开 PT 活动。执行活动说明中的任务，然后回答问题。

如果交换机 S1 接口 Fa0/1 上存在端口安全违规，会发生什么事件？

发送通知。

系统日志消息被记录。

源地址未知的数据包将被丢弃。

接口将进入错误禁用状态。

答案解释和提示：可以通过发出 show port-security interface 命令查看违规模式。接口 FastEthernet 0/1 配置了保护违规模式。如果存在违规，接口 FastEthernet 0/1 将丢弃 MAC 地址未知的数据包。