问答题

某公司网络结构如图6-15所示。其中，网管中心位于A楼，B楼与A楼物理距离约300米。

问答题

从表6-4中为图6-15中的(1)～(4)处选择合适的设备名称(每个设备限选一次)。

表6-4 网络设备说明表

设备类型	设备名称	数量
路由器	Router1	1
三层交换机	Switch1	1
二层交换机	Switch2	2

【正确答案】

【答案解析】(1) Router1 (2) Switch2 (3) Switch1 (4) Switch2 [考点透解] 这是一道要求考生掌握网络方案设计中设备部署的拓扑结构设计题。基于表6-4中每一网络设备限选一次的条件，本题的解答思路如下。路由器是工作在TCP/IP协议族网络层的互连设备，为经过路由器的每个数据帧寻找一条最佳传输路径，并将该数据有效地传送到目的站点。其安全性高于网桥或交换机，还可用于连接异构或同构的网络。通常，在企业网或校园网的边界部署一台路由器，用于负责内部网和Internet之间的路由计算。因此，图6-15中(1)空缺处的网络设备应选择路由器(Router1)。在如图6-15所示的网络拓扑结构中，(2) 空缺处的网络设备部署在防火墙的DMZ区域，并提供若干个高速以太网电口(或光纤接口)，用于连接与其相连的服务器群(例如，DNS、Web服务器等)。因此，(2) 空缺处的网络设备应选择设备名称为Switch2的二层交换机。由图6-15所示的拓扑结构可知，该企业网的结构是一个典型的核心层、汇聚层、接入层的网络拓扑。通常，网络管理站部署在企业网或校园网的核心层，且由题干关键信息“网管中心位于A楼”可知，(3)空缺处的网络设备应为该企业网的核心层设备，即设备名称为Switch1的三层交换机。 B楼的(4) 空缺处的汇聚层网络设备上连至A楼网络核心层的三层交换机，下连至各楼层交换机，因此，(4) 空缺处应选择设备名称为Switch2的二层交换机。

问答题

从以下备选传输介质中为图6-15中的(5)～(7)处选择适当的传输介质。备选传输介质(每种传输介质限选一次)：百兆位双绞线、千兆位双绞线、千兆位多模光纤

【正确答案】

【答案解析】(5) 千兆光纤 (6) 百兆双绞线 (7) 千兆双绞线 [考点透解] 这是一道要求考生掌握网络方案设计中传输介质选择的分析设计题。基于每种传输介质限选一次的条件，本题的解答思路如下。 ①在综合布线系统中，位于两个建筑物之间的“建筑物子系统”通常采用光纤介质。由于“网管中心位于A楼”，且“B楼与A楼距离约300m”，因此，对于本网络方案，建议(5) 空缺处的传输介质选择62.5μm或50μm的千兆多模光纤(MMF)。 ②综合考虑到与Switch2交换机相连接的服务器群要求较高的通信性能，且在如图6-15所示的拓扑结构中，(2) 空缺处的Switch2交换机设备支持千兆以太网(GE)接口类型，则(7) 空缺处的传输介质可选择“千兆双绞线(例如6类非屏蔽双绞线等)”。 ③通常，位于网络核心层的网络管理工作站与(3) 空缺处的Switch1三层交换机距离不会超过100m，因此，(6) 空缺处的传输介质可选择“百兆双绞线(例如超5类非屏蔽双绞线等)”。

问答题

为了保证工作站A能够访问Internet，需要路由器A对工作站A的地址进行什么样的处理?

【正确答案】

【答案解析】网络地址转换或NAT
[考点透解] 这是一道要求考生掌握网络地址转换(NAT)技术基本概念的分析理解题。本题的解答思路如下。
由图6-15的拓扑结构可知，工作站A通过一台普通交换机连接至路由器A中IP地址为192.168.0.254/24的端口处。其中，“/24”表示C类IP地址标准的子网掩码，即255.255.255.0。工作站A所在子网可实际分配的IP地址范围分析过程如表6-8所示。

表6-8 工作站A所在子网可实际分配的IP地址范围分析表

步骤	项目	数值
①	已求知的子网掩码	255.255.255.0
②	该子网掩码转化为二进制数形式	11111111.11111111.11111111.00000000
③	图6-15中已给出的IP地址	192.168.0.254
④	该IP地址转化为二进制数形式	11000000.10101000.00000000.11111110
⑤	将以上两个二进制数进行AND运算	11000000.10101000.00000000.00000000
⑥	故工作站A所在子网的网段地址为	192.168.0.0/24
⑦	该子网的IP地址范围	192.168.0.0～192.168.0.255
⑧	工作站A所在子网最小可实际分配IP地址的二进制数形式为	11000000.10101000.00000000.00000001
⑨	工作站A所在子网最大可实际分配IP地址的二进制数形式为	11000000.10101000.00000000.11111110
⑩	该子网中可实际分配的主机地址范围	192.168.0.1～192.168.0.254

扣除已分配给路由器的192.168.0.254/24这一IP地址，可实际分配给工作站A的IP地址可以是192.168.0.1～192.168.0.253中的任意一个，子网掩码为255.255.255.0。
网关(Gateway)实质上是一个网络通向另一个网络的IP地址，即内网中的主机发现数据包的目的地址不在本地网络中，就把数据包转发给它自己的网关，再由网关转发给外部网络。通常，网关地址是与工作站同在一个广播域的路由器相应接口的IP地址。在如图6-15所示的网络拓扑图中，工作站A的“默认网关”地址是“192.168.0.254”。
由于192.168.0.0/24属于私网专用IP地址，主要用于内部网络的通信。如果拥有该网段某个IP地址的主机需要访问Internet，则必须由运行网络地址转换(NAT)功能的路由器将内部的专用IP地址转换成全局IP地址。例如，在图6-15中需要将地址192.168.0.1～192.168.0.253转换成61.103.110.101。

问答题

如果要在路由器A上定义一条名为block1434、禁止转发端口号为1434的所有UDP数据包的访问控制列表(ACL)。请写出定义该ACL相应的配置模式及配置语句。

【正确答案】

【答案解析】RouterA(config)# ip access-list extended block1434 RouterA(config-ext-nacl)# deny udp any any eq 1434 RouterA(config-ext-nacl)# permit ip any any (或其他等价配置语句) [考点透解] 用名字标识访问控制列表(ACL)需要在路由器全局配置模式下，使用命令ip access-1ist ＜extended |standard＞＜access-1ist-number | name＞标识一个访问控制列表，并进入扩展(或标准)访问控制模式(如Router(config-ext-nacl)#)。然后使用命令＜permit | deny＞ protocol source wildcarld-mask destination wildcard-mask。[operator][operand]配置相应的过滤规则。其中，operator(操作)有lt(小于)、gt(大于)、eq(等于)、neq(不等于)，operand(操作数)指的是端口号。依题意，定义一条名为block1434、禁止转发端口号为1434的所有UDP数据包的ACL配置命令如下： RouterA(config)# ip access-list extended block1434 RouterA(config-ext-nacl)# deny udp any any eq 1434 RouterA(config-ext-nacl)# permit ip any any RouterA(config-ext-nacl)#

问答题

如果采用了入侵检测设备对进出网络的流量进行检测，并且探测器是在图6-15中(3)空缺处设备上通过端口镜像方式获得流量的。图6-16是通过相关命令显示的镜像配置信息。

【正确答案】

【答案解析】G2/1端口 [考点透解] 网络入侵检测系统一般由控制台和探测器(Sensor)组成。其中，控制台提供图形界面来进行数据查询、查看警报并配置传感器。一个控制台可以管理多个探测器。探测器的基本功能是捕获网络数据包，并对数据包进一步分析和判断，当发现可疑的事件时触发探测器发送警报。控制台和探测器之间的通信是加密传输的。实现网络监听的关键，是能够将探测器部署在被监听网段上。对于交换型网络，交换机仅将数据包转发到相应的端口，因此需要对交换机进行端口镜像以获取网络中相应的流量。由[问题1]考点透解可知，图6-15中(3)空缺处是一台三层交换机设备(即Switch1)。由图6-16中的信息“Source Ports: Both: G0/1”可知，交换机Switchl端口G0/1被设置为被镜像端口(即镜像的源端口)。由信息“Destination Ports: G2/1”可知，交换机1端口G2/1被设置为镜像端口(即镜像的目标端口)。可见，端口G0/1的数据包流量被镜像到端口G2/1。探测器应连接在交换机Switch1的G2/1端口上。

问答题

假设图6-15所示的B楼某部门中，使用IP地址192.168.1.0/25划分3个子网，其中，第1个子网能够容纳50台

【正确答案】

【答案解析】子网子网掩码可用的IP地址段
子网1 255.255.255.192 192.168.1.1～192.168.1.62
子网2 255.255.255.224 192.168.1.65～192.168.1.94
子网3 255.255.255.224 192.168.1.97～192.168.1.126
[考点透解] IP地址块192.168.1.0/25中的“/25”表示子网掩码为25个1比特的掩码，即255.255.255.128。它是在C类IP地址标准子网掩码255.255.255.0的基础上扩展了1个比特位。由于第1个子网要求能够容纳50台主机，2⁶-2=64-2=62＞50＞2⁵-2=32-2=30，其中，“-2”表示全0的地址被保留标志子网本身，全1的地址被保留用做该子网的广播地址，因此第1个子网表示主机号的比特位至少需要6位。当主机号的比特位为6位时，所对应的子网掩码为255.255.255.192。若按子网序号顺序分配网络地址，则第1个子网网络地址及可用的IP地址范围求解过程如表6-9所示。

表6-9 第1个子网网络地址及可用的IP地址范围分析表

步骤	项目	数值
①	已求知的子网掩码	255.255.255.192
②	该子网掩码转化为二进制表示	1111 1111.1111 1111.1111 1111.1110 0000
③	题干已给出的IP地址	192.168.1.0
④	该IP地址转化为二进制表示	1100 0000.1010 1000.0000 0001.0000 0000
⑤	将以上两个二进制数进行AND运算	1100 0000.1010 1000.0000 0001.0{{U}}0{{/U}}00 0000(下划线部分表示该子网的子网号)
⑥	故第1个子网的网络地址为	192.168.1.0/26
⑦	该子网的IP地址范围	192.168.1.0～192.168.1.63
⑧	该子网最小可实际分配的IP地址的二进制表示	1100 0000.1010 1000.0000.0001.0{{U}}0{{/U}}00 0001
⑨	该子网最大可实际分配的IP地址的二进制表示	1100 0000.1010 1000.0000.0001.0{{U}}0{{/U}}11 1110
⑩	该子网中可实际分配的主机地址范围	192.168.1.1～192.168.1.62

由表6-9可知，第1个子网使用的子网号为“0”，网络地址为192.168.1.0/26，可实际分配的主机地址范围为192.168.1.1～192.168.1.62。由于另外两个子网都要求分别能够容纳30台主机，2⁵-2=32-2=30＞2⁴-2=14，因此另外两个子网表示主机号的比特位至少需要5位。当主机号的比特位为5位时，所对应的子网掩码为255.255.255.224。如果将子网掩码从255.255.255.128变更为255.255.255.224.，则可以产生4个子网(新子网号分别为00、01、10、11)。但第1个子网已占用了其中的子网号00、01，则第2个子网所使用的子网号为10，第3个子网所使用的子网号为11。第2个、第3个子网网络地址及可用的IP地址范围求解过程分别如表6-10和表6-11所示。

表6-10 第2个子网网络地址及可用的IP地址范围分析表

步骤	项目	数值
①	已求知的子网掩码	255.255.255.224
②	该子网掩码转化为二进制表示	1111 1111.1111 1111.1111 1111.1110 0000
③	题干已给出的IP地址	192.168.1.0
④	该IP地址转化为二进制表示	1100 0000.1010 1000.0000 0001.0000 0000
⑤	用子网号“10”标识第2个子网，其网络地址的二进制表示	1100 0000.1010.1000.0000 0001.0{{U}}10{{/U}}0 0000(下划线部分表示该子网的子网号)
⑥	该IP地址转化为十进制表示	192.168.1.64/27
⑦	该子网的IP地址范围	192.168.1.64～192.168.1.95
⑧	该子网最小可实际分配的IP地址的二进制表示	1100 0000.1010 1000.0000 0001.0{{U}}10{{/U}}0 1110
⑨	该子网最大可实际分配的IP地址的二进制表示	1100 0000.1010 1000.0000 0001.0{{U}}10{{/U}}1 1110
⑩	该子网中可实际分配的主机地址范围	192.168.1.65～192.168.1.94

表6-11 第3个子网网络地址及可用的IP地址范围分析表

步骤	项目	数值
①	已求知的子网掩码	255.255.255.224
②	该子网掩码转化为二进制表示	1111 1111.1111 1111.1111 1111.1110 0000
③	题干已给出的IP地址	192.168.1.0
④	该IP地址转化为二进制表示	1100 0000.1010 1000.0000 0001.0000 0000
⑤	用子网号“11”标识第3个子网，其网络地址的二进制表示	1100 0000.1010.1000.0000 0001.0{{U}}11{{/U}}0 0000(下划线部分表示该子网的子网号)
⑥	该IP地址转化为十进制表示	192.168.1.96/27
⑦	该子网的IP地址范围	192.168.1.96～192.168.1.127
⑧	该子网最小可实际分配的IP地址的二进制表示	1100 0000.1010 1000.0000 0001.0{{U}}11{{/U}}0 0001
⑨	该子网最大可实际分配的IP地址的二进制表示	1100 0000.1010 1000.0000 0001.0{{U}}11{{/U}}1 1110
⑩	该子网中可实际分配的主机地址范围	192.168.1.97～192.168.1.126

由表6-10可知，第2个子网使用的子网号为“10”，网络地址为192.168.1.64/27，可实际分配的主机地址范围为192.168.1.65～192.168.1.94。由表6-11可知，第3个子网使用的子网号为“11”，网络地址为192.168.1.96/27，可实际分配的主机地址范围为192.168.1.97～192.168.1.126。