问答题
请根据如图1-8所示的网络结构回答下列问题。
问答题
请将表1-5中路由器RG的路由表项①~⑤填写完整。
|
表1-5 路由器RG的路由表
|
【正确答案】
【答案解析】244/30
②59.67.63.0/28或59.67.0.0/22
③59.67.63.16/28或59.67.56.0/22
④59.67.0.0/22或59.67.63.0/28,但需与②不同
⑤59.67.56.0/22或59.67.63.16/28,但需与③不同 [解析]
图1-8中连接路由器的接口标有S0(Serial 0)、S1(Serial 1)的是串行线路标记,E0、E1、E2表示 Ethernet接口。其中,路由器RG通过两条专线S0、S1分别与路由器RE、RF连接;路由器RE通过两个 Ethernet接口分别与路由器RA、RB连接;路由器RF通过两个Ethernet接口分别与路由器RC、RD连接。 RA、RB、RC、RD分别连接了59.67.0.0/24~59.67.3.0/24、156.26.56.0/24~59.67.59.0/24等8个子网。由于在如图1-8所示的网络中共有12个子网,因此路由器RG的路由表可能会有12个条目,如表1-8所示。
观察表1-8可知,路由器RG的路由表可以简化。其中,前4项可以保留,后8项可以考虑合并成两项。按照“最长前缀匹配”的原则,可以寻找到相同输出接口(S0)的59.67.0.0/24~59.67.3.0/24等4项的最长相同的前缀。分别将这4条路由地址中第3个字节数字转化为二进制数,即0=(0000 0000)
2
,1=(0000 0001)
2
,2=(0000 0010)
2
,3=(0000 0011)
2
。这些数字只有前6位二进制数(阴影部分)相同,因此路由汇聚后的IP地址的第3个字节数字的二进制表示为:0000 0000,即这4条路由进行路由汇聚后的IP地址为: 59.67.0.0/22。 同理,可以寻找到相同输出接口(S1)的59.67.56.0/24~59.67.59.0/24等4项的最长相同的前缀。分别将这4条路由地址中第3个字节数字转化为二进制数,即56=(0011 1000)
2
,57=(0011 1001)
2
,58=(00l1 1010)
2
,59=(00ll 1011)
2
。这些数字只有前6位二进制数(阴影部分)相同,因此这4条路由进行路由汇聚后的IP地址为:59.67.56.0/22。 综上分析,经CIDR路由汇聚后的核心路由器RG路由表如表1-9所示,路由条目数由12条减少到6条。
②59.67.63.0/28或59.67.0.0/22
③59.67.63.16/28或59.67.56.0/22
④59.67.0.0/22或59.67.63.0/28,但需与②不同
⑤59.67.56.0/22或59.67.63.16/28,但需与③不同 [解析]
图1-8中连接路由器的接口标有S0(Serial 0)、S1(Serial 1)的是串行线路标记,E0、E1、E2表示 Ethernet接口。其中,路由器RG通过两条专线S0、S1分别与路由器RE、RF连接;路由器RE通过两个 Ethernet接口分别与路由器RA、RB连接;路由器RF通过两个Ethernet接口分别与路由器RC、RD连接。 RA、RB、RC、RD分别连接了59.67.0.0/24~59.67.3.0/24、156.26.56.0/24~59.67.59.0/24等8个子网。由于在如图1-8所示的网络中共有12个子网,因此路由器RG的路由表可能会有12个条目,如表1-8所示。
|
表1-8 路由器RG的路由表
|
|
表1-9 经路由汇聚后的路由器RG路由表
|
问答题
如果该网内服务器群的IP地址为59.67.57.11~59.67.57.25,并且采用一种设备能够对服务器群提供如下的保护措施:发送到服务器群的数据包将被进行过滤检测,如果检测到恶意数据包时,系统发出警报并阻断攻击。请写出这种设备的名称。
这种设备应该布置在图1-8中的哪个设备的哪个接口?
这种设备应该布置在图1-8中的哪个设备的哪个接口?
【正确答案】
【答案解析】基于网络的入侵防护系统,或NIPS
路由器RC的E1接口 [解析]
基于网络的入侵防护系统(Network-based Intrusion Prevention System,NIPS)兼有防火墙、入侵检测系统和防病毒等安全组件的特性,当数据包经过时,将对它进行过滤检测,以确定该数据包是否包含有威胁网络安全的特征。如果检测到一个恶意的数据包,系统不但发出警报,还将采取相应措施(如丢弃含有攻击性的数据包或阻断连接)阻断攻击。
由于服务器群的IP地址范围为59.67.57.11~59.67.57.25,其归属于路由器RC的E1接口所连接的 59.67.57.0/24网段。因此该NIPS设备应串联在路由器RC的E1接口上,使得进出服务器群的数据流都必须通过它,从而保护整个服务器群网段的安全。
路由器RC的E1接口 [解析]
基于网络的入侵防护系统(Network-based Intrusion Prevention System,NIPS)兼有防火墙、入侵检测系统和防病毒等安全组件的特性,当数据包经过时,将对它进行过滤检测,以确定该数据包是否包含有威胁网络安全的特征。如果检测到一个恶意的数据包,系统不但发出警报,还将采取相应措施(如丢弃含有攻击性的数据包或阻断连接)阻断攻击。
由于服务器群的IP地址范围为59.67.57.11~59.67.57.25,其归属于路由器RC的E1接口所连接的 59.67.57.0/24网段。因此该NIPS设备应串联在路由器RC的E1接口上,使得进出服务器群的数据流都必须通过它,从而保护整个服务器群网段的安全。
问答题
128/25划分3个子网,其中第一个子网能够容纳60台主机,另外两个子网分别能够容纳25台主机,请写出子网掩码及可用的IP地址段(注:请按子网序号顺序分配网络地址)。
【正确答案】
【答案解析】子网 子网掩码 可用的IP地址段
子网1 255.255.255.192 59.67.59.129~59.67.59.190
子网2 255.255.255.224 59.67.59.193~59.67.59.222
子网3 255.255.255.224 59.67.59.225~59.67.59.254 [解析]
IP地址块59.67.59.128/25中的“/25”表示子网掩码为25个1比特的掩码,即255.255.255.128。它是在C类IP地址标准子网掩码255.255.255.0的基础上扩展了一个比特位。由于第1个子网要求能够容纳60台主机,2 6 -2=62>60>2 5 -2=30,其中,“-2”表示全0的地址被保留标志子网本身,全1的地址被保留用做该子网的广播地址,因此第1个子网表示主机号的比特位至少需要6位。当主机号的比特位为6位时,所对应的子网掩码为255.255.255.192。若按子网序号顺序分配网络地址,则第1个子网网络地址及可用的IP地址范围求解过程如表1-10所示。
由表1-10可知,第1个子网的网络地址为59.67.59.128/26,可实际分配的主机地址范围为 59.67.59.129~59.67.59.190。 由于另外两个子网只要求分别能够容纳25台主机,2
5
-2=30>25>2
4
-2=14,因此另外两个子网表示主机号的比特位至少需要5位。当主机号的比特位为5位时,所对应的子网掩码为255.255.255.224。如果将子网掩码从255.255.255.128变更为255.255.255.224,则可以产生4个子网(新子网号分别为00、01、10、11)。但第1个子网已占用了其中的子网号00、01,则第2个子网所使用的子网号为10,第3个子网所使用的子网号为11。第2个、第3个子网网络地址及可用的IP地址范围求解过程分别如表1-11、表1-12所示。
由表1-11可知,第2个子网的网络地址为59.67.59.192/27,可实际分配的主机地址范围为 59.67.59.193~59.67.59.222。由表1-12可知,第3个子网的网络地址为59.67.59.240/28,可实际分配的主机地址范围为59.67.59.225~59.67.59.254。
子网1 255.255.255.192 59.67.59.129~59.67.59.190
子网2 255.255.255.224 59.67.59.193~59.67.59.222
子网3 255.255.255.224 59.67.59.225~59.67.59.254 [解析]
IP地址块59.67.59.128/25中的“/25”表示子网掩码为25个1比特的掩码,即255.255.255.128。它是在C类IP地址标准子网掩码255.255.255.0的基础上扩展了一个比特位。由于第1个子网要求能够容纳60台主机,2 6 -2=62>60>2 5 -2=30,其中,“-2”表示全0的地址被保留标志子网本身,全1的地址被保留用做该子网的广播地址,因此第1个子网表示主机号的比特位至少需要6位。当主机号的比特位为6位时,所对应的子网掩码为255.255.255.192。若按子网序号顺序分配网络地址,则第1个子网网络地址及可用的IP地址范围求解过程如表1-10所示。
|
表1-10 第一个子网网络地址及可用的IP地址范围分析表
|
|
表1-11 第2个子网网络地址及可用的IP地址范围分析表
|
|
表1-12 第3个子网网络地址及可用的IP地址范围分析表
|