阅读以下基于VPN网络互连的网络规划设计的技术说明,根据要求回答问题1至问题3。【说明】 某软件开发公司总部和子公司A、子公司B分别位于3个不同的省城,公司总部通过一台带VPN功能的防火墙与Internet连接。该防火墙支持PPTP、L2TP、IPsec,SSL等VPN接入协议,各子公司指定网段的主机可以通过VPN接入到公司总部的网段(192.168.10.0/24)进行软件的协同开发,其VPN网络互连的网络拓扑结构如图4-4所示。.jpg)
问答题
L2TP协议是一种基于(1)协议的二层隧道协议,它结合了Cisco的L2F和Microsoft PPTP的优点。该协议报文在传输层封装(2)协议之上,为了保证传输的可靠性,L2TP协议对控制报文采取了(3)机制,并要求tunne1对端设备在隧道(tunne1)建立之后,定期交互hello报文。
【正确答案】正确答案:(1)PPP协议(2)UDP (3)报义丢失重任机制
【答案解析】解析:这是一道要求读者掌握L2TP协议特点的问答题。对于本题的解答需要读者掌握以下几个知识点: 1)L2TP协议是一种基于PPP协议的二层隧道协议,其报文封装在UDP之上,使用UDP 1701端口。图4-11示意了L2TP数据帧的部分封装结构。.jpg)
问答题
公司总部和各子公司在VPN特定网段的主机数如表4-4所示。.jpg)
该公司采用一个C类地址块192.168.10.0/24来组建VPN虚拟专用网,请将表4-5中的(4)~(8)处空缺的可分配的主机地址范围或子网掩码填写完整。.jpg)
该公司采用一个C类地址块192.168.10.0/24来组建VPN虚拟专用网,请将表4-5中的(4)~(8)处空缺的可分配的主机地址范围或子网掩码填写完整。
【正确答案】正确答案:(4)192.168.10.94 (5)255.255.255.224 (6)192.168.10.97 (7)192.168.10.126 (8)192.168.10.129
【答案解析】解析:这是一道要求读者掌握变长子网掩码(VLSM)进行网络规划设计的分析理解题。试题中已给出了 VLSM的设计,读者只需依照子网掩码等信息填写可分配的主机地址范围。本题的解答思路如下。 1)由题干关键信息“某软件开发公司总部和子公司A、子公司B分别位于3个不同的省城”,且从表4-4可知,公司总部和各子公司所拥有的主机数各不相同,因此需要对已给出的C类地址块 192.168.10.0/24进行子网化。 2)试题中192.168.10.0/24的“/24”表示子网掩码为24位掩码的255.255.255.0。由于试题中有“公司总部”、“子公司A”、“子公司B”等3个子网,因此需将掩码扩展2位(共26位,即255.255.255.192),以产生22=4个子网(子网号分别为00、01、10、11)。因为子网号全0、全1的子网被保留,于是还剩下2个子网可供分配。在“192.168.10.0/24”地址中用于表示主机部分的最右边8位中剩下的6位,由于26=64,因此每个子网中独立的主机地址有64个,其中全0的地址被保留标志子网本身,全1的地址被保留用做该子网的广播地址,这样剩余的62个IP地址能够满足该公司总部50台主机的要求。而另一个子网地址可按同样的分析思路再次划分,以分配给子公司A、子公司B。 3)公司总部可分配的主机地址范围求解过程见表4-7示。.jpg)
4)由以上分析可知, 公司总部使用的子网号为“10”,可分配的主机地址范围为 192.168.10.129~192.168.10.190,又由于该公司总部有50台主机,需要使用的主机位为6位(25=32<50<26=64),因此(8)空缺处应填入192.168.10.129。 5)由于公司总部的网段地址为192.168.10.128,因此各子公司只能在网段地址为192.168.10.64的子网中再进行划分,即对于子网掩码为255.255.255.192的另一个可用的子网号为“01”,子公司A、子公司 B的子网掩码需要在255.255.255.192基础上扩展一位,也就是说,子公司A或子公司B需要使用的子网号为“010”或“011”。 6)由试题中已给出的子公司B的子网掩码“255.255.255.224”可知,该掩码将掩码扩展了3位,每一个子网可供分配的主机数为25-2=30台。由于24-2=14<20<25<25-2=30,因此每个子网可供分配的30个主机地址能够满足了公司A的25台主机、子公司B的20台主机的要求。由此可推理出(5)空缺处所填写的内容是“255.255.255.224”。 7)子公司A可分配的主机地址范围求解过程见表4-8。.jpg)
8)由以上分析可知,子公司A使用的子网号为“010”,可分配的主机地址范围为 192.168.10.65~192.168.10.94,因此(4)空缺处应填入的内容是“192.168.10.94”。 9)由题干的关键信息“各子公司指定网段的主机可以通过VPN接入到公司总部的网段 (192.168.10.0/24)进行软件的协同开发”可知,子公司B在VPN专用虚拟网中的IP地址也应处于192.168.10.0/24网段。 10)子公司B可分配的主机地址范围求解过程见表4-9。.jpg)
4)由以上分析可知, 公司总部使用的子网号为“10”,可分配的主机地址范围为 192.168.10.129~192.168.10.190,又由于该公司总部有50台主机,需要使用的主机位为6位(25=32<50<26=64),因此(8)空缺处应填入192.168.10.129。 5)由于公司总部的网段地址为192.168.10.128,因此各子公司只能在网段地址为192.168.10.64的子网中再进行划分,即对于子网掩码为255.255.255.192的另一个可用的子网号为“01”,子公司A、子公司 B的子网掩码需要在255.255.255.192基础上扩展一位,也就是说,子公司A或子公司B需要使用的子网号为“010”或“011”。 6)由试题中已给出的子公司B的子网掩码“255.255.255.224”可知,该掩码将掩码扩展了3位,每一个子网可供分配的主机数为25-2=30台。由于24-2=14<20<25<25-2=30,因此每个子网可供分配的30个主机地址能够满足了公司A的25台主机、子公司B的20台主机的要求。由此可推理出(5)空缺处所填写的内容是“255.255.255.224”。 7)子公司A可分配的主机地址范围求解过程见表4-8。8)由以上分析可知,子公司A使用的子网号为“010”,可分配的主机地址范围为 192.168.10.65~192.168.10.94,因此(4)空缺处应填入的内容是“192.168.10.94”。 9)由题干的关键信息“各子公司指定网段的主机可以通过VPN接入到公司总部的网段 (192.168.10.0/24)进行软件的协同开发”可知,子公司B在VPN专用虚拟网中的IP地址也应处于192.168.10.0/24网段。 10)子公司B可分配的主机地址范围求解过程见表4-9。
问答题
在图4-4所示的网络拓扑结构中,公司总部的主机PC1无法访问位于Internet网的www.test.com等网站,做如下检查: 1)查看网上邻居,发现该PC机可以访问子公司A内其他主机。 2)在主机PC1上使用(9)命令来检查与路由器内网接口的连通性,结果正常。 3)在主机PC1上使用(10)协议登录到路由器的配置模式,以查看路由器的配置信息。 4)如果在路由器的配置模式下用show arp查看(11)表,发现路由器的MAC地址与工作人员以前保存在该表中的MAC地址不同,而是公司内部某个用户的MAC地址。进入到路由器的(12)模式,将该接口关闭后重新激活,路由器新的ARP表更新了到路由器的子接口MAC地址,随后主机PCI能正常登录Internet的www.test.com网站。可以采用(13)方法防止IP地址被盗用。 5)如果主机PC1可以通过域名访问位于Internet网中的某台FTP服务器,但该PC机无法访问 www.test.com网站。在路由器的配置模式下用(14)命令检查路由器的访问控制列表,发现有问题,那么造成该现象的故障原因可能是(15)。 【可供选择的答案】 (9) A.arp www.test.com B.netstat www.test.com C.nslookup www.test.com D.tracert www.test.com (10) A.ARP B.FTP C.TELNET D.SSL (13) A.设置包访问过滤规则 B.IP地址与MAC地址进行绑定 C.IP地址与子网掩码进行绑定 D.IP地址与路由器地址进行绑定 (15) A.主机PC1的网关配置错误 B.主机PC1的DNS服务器地址配置错误 C.主机PC1的子网掩码配置错误 D.路由器对主机PC1访问Web服务器的权限进行了限制
【正确答案】正确答案:(9)D,或tracert www.test.com (10)C,或TELNET (11) 地址解析协议 (12) 子接口配置 (13) B,或IP地址与MAC地址进行绑定 (14)show access-list (15) D,或路由器对该PC机访问web服务器的权限进行了限制
【答案解析】解析:这是一道要求读者根据网络故障现象进行故障排除的分析理解题。本题的解答思路如下。 1)在安装有Windows 98/2000/XP/2003系列的操作系统中,tracert是系统中一个路由跟踪命令。通过该命令的返回结果,可以获得本地到达目标主机所经过的路由器数目。其命令语法是:tracert [-d] [-h maximum_hops] [-j host-list][-w timeout] target_name。其中,选项“-d”表示不需要把IP地址转换成域名;选项“-h maximum_hops”用于设置允许跟踪的最大跳数;选项“-j host-list”可列出所经过的主机列表;选项“-w timeout”用于设置每次回复的最大允许延时。 2)执行tracert www.test.com命令可测试出从主机PCI到www.test.com网站的IP数据报转发路径,也可间接检查与路由器内网接U的连通性。 (9)空缺处的选项C——“nslookup www.test.com”可用于查看域名为www.test.com网站所对应的 IP地址。选项A(arp www.test.com)和选项B(netstat www.test.com)的命令语法(格式)是错误的。 3)在主机PC1上使用telnet协议登录到路由器,并进入路由器的配置模式,以查看路由器的配置信息。 4)如果在路由器的配置模式下用show arp查看地址解析协议表,发现路由器的MAC地址与工作人员以前保存在该表中的MAC地址不同,而是公司内部某个用户的MAC地址。进入到路由器的子接口配置模式,将该接口关闭后重新激活,路山器新的ARP表更新了到路由器的子接口MAC地址,随后主机 PCI能正常登录Intenet网的www.test.com网站,故障排除。 5)在进行网络管理时,通常可以采用IP地址与MAC地址进行绑定的方法以防止IP地址被盗用。 6)在路由器的配置模式下,可以使用show ip route观察路由表,或使用show access-list命令检查路由器的访问控制列表。 试题中已给出关键信息“可以访问子公司A内其他主机”,说明主机PC1的IP地址、子网掩码均已正确配置。由于试题假设了“主机PC1可以通过域名访问位于Internet网中的某台FTP服务器”,因此间接说明了主机PC1的网关地址、DNS服务器地址也都正确配置了。因此造成该PC机无法访问www.test.com网站的原因可能足路由器对主机PC1访问Web服务器的权限进行了限制等。