问答题
[说明]
某园区网的部分拓扑结构如图6-15所示。
.2.gif)
某园区网的部分拓扑结构如图6-15所示。
问答题
使用可变长子网掩码技术将IP地址块172.30.160.128/25划分出3个子网,分别用于图6-15中的单位 A、单位B和服务器群。其中,第1个子网(即单位A)要求能容纳60台主机,第2个子网(即单位B)要求能容纳28台主机,第3个子网(即服务器群)要求至少能容纳的服务器数量为12台。请按子网序号顺序分配网络地址,将表6-9中(1)~(9)空缺处的内容填写完整。
[*]
[*]
【正确答案】(1) 255.255.255.192 (2) 255.255.255.224
(3) 255.255.255.224 (4) 172.30.160.128
(5) 172.30.160.192 (6) 172.30.160.224
(7) 172.30.160.129~172.30.160.190 (8) 172.30.160.193~172.30.160.222
(9) 172.30.160.225~172.30.160.254
(3) 255.255.255.224 (4) 172.30.160.128
(5) 172.30.160.192 (6) 172.30.160.224
(7) 172.30.160.129~172.30.160.190 (8) 172.30.160.193~172.30.160.222
(9) 172.30.160.225~172.30.160.254
【答案解析】[解析]
地址172.30.160.0是一个B类IP地址。IP地址块172.30.160.128/25中的“/25”表示子网掩码为25个“1”比特的掩码,即255.255.255.128。它在B类IP地址标准子网掩码255.255.0.0的基础上扩展了9个比特位。第2个子网要求能够容纳60台主机,由于26-2=64-2=62>60>25-2=32-2=30,因此第2个子网表示主机号的比特位也至少需要6位。当主机号的比特位为6位时,其所对应的子网掩码为255.255.255.192。如果将子网掩码从255.255.255.128扩展为255.255.255.192,则可以产生2个子网(新子网号分别为0、1)。若按子网序号顺序分配网络地址,则第1个子网所使用的新子网号为0,其网络地址及可用的IP地址范围求解过程如表6-12所示。
.7.gif)
由表6-12可知,第1个子网所使用的子网掩码为255.255.255.192,网络地址为172.30.160.128/26,可实际分配的主机地址范围为172.30.160.129~172.30.160.190。
第2个子网要求能够容纳28台主机,由于25-2=32-2=30>28>24-2=14,因此第2个子网表示主机号的比特位至少需要5位。当主机号的比特位为5位时,所对应的子网掩码为255.255.255.224。如果将子网掩码从255.255.255.128扩展为255.255.255.224,则可以产生4个子网(新子网号分别为00、01、10、11)。但其中新子网号00、01已被第1个子网占用,因此按子网序号顺序分配网络地址,第2个子网所使用的新子网号为10,第3个子网所使用的新子网号为11。第2个子网的网络地址及可用的IP地址范围求解过程如表6-13所示。第3个子网的网络地址及可用的IP地址范围求解过程如表6-14所示。
.8.gif)
.9.gif)
地址172.30.160.0是一个B类IP地址。IP地址块172.30.160.128/25中的“/25”表示子网掩码为25个“1”比特的掩码,即255.255.255.128。它在B类IP地址标准子网掩码255.255.0.0的基础上扩展了9个比特位。第2个子网要求能够容纳60台主机,由于26-2=64-2=62>60>25-2=32-2=30,因此第2个子网表示主机号的比特位也至少需要6位。当主机号的比特位为6位时,其所对应的子网掩码为255.255.255.192。如果将子网掩码从255.255.255.128扩展为255.255.255.192,则可以产生2个子网(新子网号分别为0、1)。若按子网序号顺序分配网络地址,则第1个子网所使用的新子网号为0,其网络地址及可用的IP地址范围求解过程如表6-12所示。
由表6-12可知,第1个子网所使用的子网掩码为255.255.255.192,网络地址为172.30.160.128/26,可实际分配的主机地址范围为172.30.160.129~172.30.160.190。
第2个子网要求能够容纳28台主机,由于25-2=32-2=30>28>24-2=14,因此第2个子网表示主机号的比特位至少需要5位。当主机号的比特位为5位时,所对应的子网掩码为255.255.255.224。如果将子网掩码从255.255.255.128扩展为255.255.255.224,则可以产生4个子网(新子网号分别为00、01、10、11)。但其中新子网号00、01已被第1个子网占用,因此按子网序号顺序分配网络地址,第2个子网所使用的新子网号为10,第3个子网所使用的新子网号为11。第2个子网的网络地址及可用的IP地址范围求解过程如表6-13所示。第3个子网的网络地址及可用的IP地址范围求解过程如表6-14所示。
问答题
如果该网络使用动态地址分配的方法,请写出在交换机1上配置DHCP IP地址池的相关思路(或配置步骤)。
【正确答案】在全局配置模式下,配置IP地址池(Pool)的名称,并进入DHCPPool配置模式
在DHCPPool配置模式下,配置IP地址池的子网地址和子网掩码、默认网关、域名和域名服务器的IP地址、IP地址的租用时间等参数
返回至全局配置模式下,将所要保留的IP地址从预定义的IP地址池中排除
在DHCPPool配置模式下,配置IP地址池的子网地址和子网掩码、默认网关、域名和域名服务器的IP地址、IP地址的租用时间等参数
返回至全局配置模式下,将所要保留的IP地址从预定义的IP地址池中排除
【答案解析】[解析]
在三层交换机(即图6-15中的交换机1)全局配置模式“Router(config)#”下,使用命令中dhcppool<name>为地址池赋予一个名称,并进入DHCP Pool配置模式“Router(dhcp-config)#”。其中,地址池名称可以是一组字符串(如test)或数字(如1234)。
在DHCP Pool配置模式下,使用命令network<network-number>[mask|/pretix-length]配置分配给 DHCP客户的有效IP地址池的子网地址和子网掩码。其中,子网掩码参数允许以点分十进制数、掩码前缀长度两种形式表达。使用命令default-router address[address2…address8]配置地址池的默认网关。使用命令 domain name<name>配置IP地址池的域名。使用命令dns-server address[address2…address8]配置IP地址池的域名服务器的IP地址。使用命令lease{days|hours)Iminutes]|[infinite]}修改IP地址池的地址租用时间。
最后返回至全局配置模式,使用命令ip dhcp excluded-address low-address[high-address]将所要保留的 IP地址从预定义的IP地址池中排除,使之成为不能动态分配的IP地址。使用命令no ip dhcp conflict logging取消掉地址冲突日志的记录功能,以免配置数据库代理。
在三层交换机(即图6-15中的交换机1)全局配置模式“Router(config)#”下,使用命令中dhcppool<name>为地址池赋予一个名称,并进入DHCP Pool配置模式“Router(dhcp-config)#”。其中,地址池名称可以是一组字符串(如test)或数字(如1234)。
在DHCP Pool配置模式下,使用命令network<network-number>[mask|/pretix-length]配置分配给 DHCP客户的有效IP地址池的子网地址和子网掩码。其中,子网掩码参数允许以点分十进制数、掩码前缀长度两种形式表达。使用命令default-router address[address2…address8]配置地址池的默认网关。使用命令 domain name<name>配置IP地址池的域名。使用命令dns-server address[address2…address8]配置IP地址池的域名服务器的IP地址。使用命令lease{days|hours)Iminutes]|[infinite]}修改IP地址池的地址租用时间。
最后返回至全局配置模式,使用命令ip dhcp excluded-address low-address[high-address]将所要保留的 IP地址从预定义的IP地址池中排除,使之成为不能动态分配的IP地址。使用命令no ip dhcp conflict logging取消掉地址冲突日志的记录功能,以免配置数据库代理。
问答题
在如图6-15所示的网络拓扑结构中,各台服务器接入到交换机1的设计方案具有哪些优缺点?针对该设计方案的缺点,结合该园区网的应用需求,在不增加网络投资的情况下,请提出一种优化的部署方案。
【正确答案】优点:可以分担核心交换机的带宽
缺点:容易形成带宽瓶颈,存在单点故障的潜在危险
优化方案:将这些服务器直接连接至交换机1的1000Base-Tx(或千兆)以太网端口
缺点:容易形成带宽瓶颈,存在单点故障的潜在危险
优化方案:将这些服务器直接连接至交换机1的1000Base-Tx(或千兆)以太网端口
【答案解析】[解析]
在如图6-15所示的网络拓扑中,该园区网的各台服务器通过交换机4连接至核心交换机1。该设计方案的优点是可以分担核心交换机的带宽,缺点是容易形成带宽瓶颈,并且存在单点故障的潜在危险。
在不增加网络投资,且核心交换机1拥有足够数量的1000Base-Tx以太网端口的情况下,则可以移除交换机4,直接将这些服务器连接至核心交换机1的干兆以太网端口,从而直接利用核心交换机的带宽为用户提供服务。
在如图6-15所示的网络拓扑中,该园区网的各台服务器通过交换机4连接至核心交换机1。该设计方案的优点是可以分担核心交换机的带宽,缺点是容易形成带宽瓶颈,并且存在单点故障的潜在危险。
在不增加网络投资,且核心交换机1拥有足够数量的1000Base-Tx以太网端口的情况下,则可以移除交换机4,直接将这些服务器连接至核心交换机1的干兆以太网端口,从而直接利用核心交换机的带宽为用户提供服务。
问答题
为防止“冲击波”蠕虫病毒对图6-15中服务器群的影响,在交换机1上定义了一个编号为104的访问控制列表。该列表用于过滤所有访问图6-15中服务器群的4444端口的数据包。写出将该访问控制列表应用于交换机1上相应端口的配置命令。
【正确答案】Router(config )#access-list 104 deny tcp any any eq 4444
Router(config )#access-list 104 deny udp any any eq 4444
Router(config )#access-list 104 permit ip any any
Router(config)#interface Gi1/3
Router(config-if)#ip access-group 104 in
Router(config-if)#ip access-group 104 out
Router(config )#access-list 104 deny udp any any eq 4444
Router(config )#access-list 104 permit ip any any
Router(config)#interface Gi1/3
Router(config-if)#ip access-group 104 in
Router(config-if)#ip access-group 104 out
【答案解析】[解析]
交换机1上已定义了一个编号为104、用于过滤所有访问图6-15中服务器群的4444端口的数据包的访问控制列表。其相关配置语句如下:
Router(config) #access-list 104 deny tcp any any eq 4444
Router(config) #access-list 104 deny udp any any eq 4444
Router(config) #access-list 104 permit ip any any
而在图6-15中,服务器群通过交换机4连接至核心交换机1的Gi1/3端口。因此将该扩展访问控制列表应用于Gi1/3端口的配置语句如下:
Router(config)#interface Gi1/3
Router(config-if)#ip access-group 104 in
Router(config-if)#ip access-group 104 out
交换机1上已定义了一个编号为104、用于过滤所有访问图6-15中服务器群的4444端口的数据包的访问控制列表。其相关配置语句如下:
Router(config) #access-list 104 deny tcp any any eq 4444
Router(config) #access-list 104 deny udp any any eq 4444
Router(config) #access-list 104 permit ip any any
而在图6-15中,服务器群通过交换机4连接至核心交换机1的Gi1/3端口。因此将该扩展访问控制列表应用于Gi1/3端口的配置语句如下:
Router(config)#interface Gi1/3
Router(config-if)#ip access-group 104 in
Router(config-if)#ip access-group 104 out
问答题
如果入侵检测设备用于检测所有的访问图6-15中服务器群的流量,则交换机1上需要将 (10) 端口定义为被镜像端口,将 (11) 端口定义为镜像端口。
【正确答案】Gi1/3 (11) Gi1/2
【答案解析】[解析]
网络入侵检测系统一般由控制台和探测器(Sensor)组成。其中,控制台提供图形界面来进行数据查询、查看警报并配置传感器。一个控制台可以管理多个探测器。探测器的基本功能是捕获网络数据包,并对数据包进行进一步分析和判断,当发现可疑的事件时触发探测器发送警报。控制台和探测器之间的通信是加密传输的。
对于如图6-15所示的交换型网络,各台交换机仅将数据包转发到相应的端口。因此需要对交换机进行端口镜像,将流向相应端U的数据包复制一份给监控端口,探测器从监控端口获取数据包并进行分析和处理。在图6-15中,入侵检测设备连接至核心交换机1的Gi1/2端口,服务器群通过交换机4连接至核心交换机1的Gi1/3端口。若要使用该入侵检测设备检测所有访问服务器群的流量,则交换机1上被镜像的端口为Gi1/3端口,镜像的端口为Gi1/2端口。
在Cisco交换机全局配置模式下,被镜像端口、镜像端口的相关配置语句如下:
Switch1(config)#monitor session 3 source interface Gi1/3 (配置被镜像端口)
Switch1(config)#monitor session 3 destination interface Gi1/2 (配置镜像端口)
Switch1(config)#exit (退出全局配置模式》
Switch1#show monitor session 3 (检查端口镜像的相关配置)
Session 3
Type : Local Session
Source PortS :
Both : Gi1/3
Destination Ports : Gi1/2
网络入侵检测系统一般由控制台和探测器(Sensor)组成。其中,控制台提供图形界面来进行数据查询、查看警报并配置传感器。一个控制台可以管理多个探测器。探测器的基本功能是捕获网络数据包,并对数据包进行进一步分析和判断,当发现可疑的事件时触发探测器发送警报。控制台和探测器之间的通信是加密传输的。
对于如图6-15所示的交换型网络,各台交换机仅将数据包转发到相应的端口。因此需要对交换机进行端口镜像,将流向相应端U的数据包复制一份给监控端口,探测器从监控端口获取数据包并进行分析和处理。在图6-15中,入侵检测设备连接至核心交换机1的Gi1/2端口,服务器群通过交换机4连接至核心交换机1的Gi1/3端口。若要使用该入侵检测设备检测所有访问服务器群的流量,则交换机1上被镜像的端口为Gi1/3端口,镜像的端口为Gi1/2端口。
在Cisco交换机全局配置模式下,被镜像端口、镜像端口的相关配置语句如下:
Switch1(config)#monitor session 3 source interface Gi1/3 (配置被镜像端口)
Switch1(config)#monitor session 3 destination interface Gi1/2 (配置镜像端口)
Switch1(config)#exit (退出全局配置模式》
Switch1#show monitor session 3 (检查端口镜像的相关配置)
Session 3
Type : Local Session
Source PortS :
Both : Gi1/3
Destination Ports : Gi1/2