问答题
阅读以下说明,根据要求回答问题。
[说明]
某集团公司的部分网络拓扑结构及各路由器的各接口IP参数如图8-27所示。
[说明]
某集团公司的部分网络拓扑结构及各路由器的各接口IP参数如图8-27所示。
问答题
经CIDR路由汇聚后的核心路由器RG路由表如表8-4所示。请将表8-4中①~⑧空缺处填写完整。
| 表8-4 经路由汇聚后的路由器RG路由表 | |||||
| 目标网络 | 下一跳地址 | 输出接口 | 目标网络 | 下一跳地址 | 输出接口 |
| ① | —(直接连接) | S0 | 152.19.63.8/29 | ⑤ | S1 |
| ② | —(直接连接) | S1 | ⑥ | 152.19.63.193 | S0 |
| ⑧ | ④ | S0 | ⑦ | ⑧ | S1 |
【正确答案】①152.19.63.192/30 ②152.19.63.196/30
③152.19.63.0/29 ④152.19.63.193
⑤152.19.63.198 ⑥152.19.0.0/22
⑦152.19.56.0/22 ⑧152.19.63.198
③152.19.63.0/29 ④152.19.63.193
⑤152.19.63.198 ⑥152.19.0.0/22
⑦152.19.56.0/22 ⑧152.19.63.198
【答案解析】在图8-27中,连接路由器的接口标有S0(Serial 0)、S1(Serial 1)的是串行线路标记,E0、E1、E2表示Ethernet接口。路由器RG的端口SO通过专线与路由器RE的端口S0相连接。RG端口S0所配置的IP地址为152.19.63.194,其对应的二进制表示形式是10011000.00010011.00111111.11000010;RE端口S0所配置的IP地址152.19.63.193,其对应的二进制表示形式是10011000.00010011.00111111.11000001。其中,这两个数据的阴影部分为两者的共同部分,共有30位,即这两个IP地址所形成的子网的子网掩码长度为30位(即255.255.255.252)。从这两个端口所配置的IP地址可知,在RG与RE之间将形成一个152.19.63.192/30的子网。
同理,RG端口S1所配置的IP地址152.19.63.197,其对应的二进制表示形式是10011000.00010011.00111111.11000101;RE端口so所配置的IP地址152.19.63.198,其对应的二进制表示形式是10011000.00010011.00111111.11000110。这两个数据的阴影部分共有30位,即在RG与RE之间将形成一个152.19.63.196/30的子网。
RE端口EO所配置的IP地址152.19.63.1,其对应的二进制表示形式是10011000.00010011.00111111.00000001;RA端口E2所配置的IP地址152.19.63.2,其对应的二进制表示形式是10011000.00010011.00111111.00000010;RB端口E2所配置的IP地址152.19.63.3,其对应的二进制表示形式是10011000.00010011.00111111.00000011。由于主机号全1的地址,称之为某个子网的直接广播地址。据此,以上3个二进制数的子网掩码可能是/29,即在RE、RA与RB之间将形成一个152.19.63.0/29的子网。
RF端口EO所配置的IP地址152.19.63.9,其对应的二进制表示形式是10011000.00010011.00111111.00001001;RC端口E2所配置的IP地址152.19.63.10,其对应的二进制表示形式是10011000.00010011.00111111.00001010;RD端口E2所配置的IP地址152.19.63.11,其对应的二进制表示形式是10011000.00010011.00111111.00001011。由于主机号全1的地址,称之为某个子网的直接广播地址。据此,以上3个二进制数的子网掩码可能是/29,即在RF、RC与RD之间将形成一个152.19.63.8/29的子网。
RA、RB分别连接了152.19.0.0/24、152.19.1.0/24、152. 19.2.0/24、152.19.3.0/24等4个子网;RC、RD分别连接了152.19.56.0/24、152.19.57.0/24、152.19.58.0/24、152.19.59.0/24等4个子网。
在图8-27网络拓扑结构中,共有12个子网,因此路由器RG的路由表可能会有12个条目,如表8-5所示。
观察表8-5可以看出,路由器RG的路由表可以简化。其中,前4项可以保留,后8项可以考虑合并成两项。按照“最长前缀匹配”的原则,可以寻找到相同输出接口(S0)的152.19.0.0/24~152.19.3.0/24等4项的最长相同的前缀。分别将这4条路由地址中第3个字节数字转化为二进制数,即0=(0000 0000)2,1=(0000 0001)2,2=(0000 0010)2,3=(0000 0011)2。这些数字只有前6位二进制数(阴影部分)相同,因此路由汇聚后的IP地址的第3个字节数字的二进制表示是:0000 0000,即这4条路由进行路由汇聚后的IP地址为:152.19.0.0/22。 同理,可以寻找到相同输出接口(S1)的152.19.56.0/24~152.19.59.0/24等4项的最长相同的前缀。分别将这4条路由地址中第3个字节数字转化为二进制数,即56=(0011 1000)2,57=(00111001)2,58=(0011 1010)2,59=(0011 1011)2。这些数字只有前6位二进制数(阴影部分)相同,因此这4条路由进行路由汇聚后的IP地址为:152.19.56.0/22。 综上分析,经CIDR路由汇聚后的核心路由器RG路由表如表8-6所示,路由条目数由12条减少到6条。
同理,RG端口S1所配置的IP地址152.19.63.197,其对应的二进制表示形式是10011000.00010011.00111111.11000101;RE端口so所配置的IP地址152.19.63.198,其对应的二进制表示形式是10011000.00010011.00111111.11000110。这两个数据的阴影部分共有30位,即在RG与RE之间将形成一个152.19.63.196/30的子网。
RE端口EO所配置的IP地址152.19.63.1,其对应的二进制表示形式是10011000.00010011.00111111.00000001;RA端口E2所配置的IP地址152.19.63.2,其对应的二进制表示形式是10011000.00010011.00111111.00000010;RB端口E2所配置的IP地址152.19.63.3,其对应的二进制表示形式是10011000.00010011.00111111.00000011。由于主机号全1的地址,称之为某个子网的直接广播地址。据此,以上3个二进制数的子网掩码可能是/29,即在RE、RA与RB之间将形成一个152.19.63.0/29的子网。
RF端口EO所配置的IP地址152.19.63.9,其对应的二进制表示形式是10011000.00010011.00111111.00001001;RC端口E2所配置的IP地址152.19.63.10,其对应的二进制表示形式是10011000.00010011.00111111.00001010;RD端口E2所配置的IP地址152.19.63.11,其对应的二进制表示形式是10011000.00010011.00111111.00001011。由于主机号全1的地址,称之为某个子网的直接广播地址。据此,以上3个二进制数的子网掩码可能是/29,即在RF、RC与RD之间将形成一个152.19.63.8/29的子网。
RA、RB分别连接了152.19.0.0/24、152.19.1.0/24、152. 19.2.0/24、152.19.3.0/24等4个子网;RC、RD分别连接了152.19.56.0/24、152.19.57.0/24、152.19.58.0/24、152.19.59.0/24等4个子网。
在图8-27网络拓扑结构中,共有12个子网,因此路由器RG的路由表可能会有12个条目,如表8-5所示。
| 表8-5 路由器RG的路由表 | |||||
| 目标网络 | 下一跳地址 | 输出接口 | 目标网络 | 下一跳地址 | 输出接口 |
| 152.19.63.192/30 | —(直接连接) | S0 | 152.19.2.0/24 | 152.19.63.193 | S0 |
| 152.19.63.196/30 | —(直接连接) | S1 | 152.19.3.0/24 | 152.19.63.193 | S0 |
| 152.19.63.0/29 | 152.19.63.193 | S0 | 152.19.56.0/22 | 152.19.63.198 | S1 |
| 152.19.63.8/29 | 152.19.63.198 | S1 | 152.19.57.0/24 | 152.19.63.198 | S1 |
| 152.19.0.0/24 | 152.19.63.193 | S0 | 152.19.58.0/24 | 152.19.63.198 | S1 |
| 152.19.1.0/24 | 152.19.63.193 | S0 | 152.19.59.0/24 | 152.19.63.198 | S1 |
| 表8-6 经路由汇聚后的路由器RG路由表 | |||||
| 目标网络 | 下一跳地址 | 输出接口 | 目标网络 | 下一跳地址 | 输出接口 |
| 152.19.63.192/30 | —(直接连接) | S0 | 152.19.63.8/29 | 152.19.63.198 | S1 |
| 152.19.63.196/30 | —(直接连接) | S1 | 152.19.0.0/22 | 152.19.63.193 | S0 |
| 152.19.63.0/29 | 152.19.63.193 | S0 | 152.19.56.0/22 | 152.19.63.198 | S1 |
问答题
路由器RC为Cisco路由器,且配置了以下部分命令语句:
access-list 130 denty udp any any eq 1434
access-list 130 permit ip any any
如果使用访问控制列表130来禁止对152.19.57.0/24的UDP 1434端口的访问,请写出路由器RC的E1接口相关配置命令。
access-list 130 denty udp any any eq 1434
access-list 130 permit ip any any
如果使用访问控制列表130来禁止对152.19.57.0/24的UDP 1434端口的访问,请写出路由器RC的E1接口相关配置命令。
【正确答案】RC(config)#interface Ethernet1
RC(config-if)#ip access-group 130 out
RC(config-if)#ip access-group 130 out
【答案解析】依题意,路由器RC上已使用扩展访问控制列表定义了一个编号为130的过滤规则。该ACL规则的功能是,禁止对UDP 1434端口的访问。网段152.19.57.0/24连接至路由器RC的端口E1,若要使用编号为130的ACL规则来禁止对152.19.57.0/24的UDP1434端口的访问,则应将该扩展访问控制列表应用于E1端口的输出方向,其对应的配置语句示例如下:
RC(config) #interface Ethernet1
RC(config-if) #ip access-group 130 out
RC(config) #interface Ethernet1
RC(config-if) #ip access-group 130 out
问答题
如果该企业网内服务器群的lP地址为152.19.56.101~52.19.56.125,并且采用一种安全设备能够对服务器群提供如下的保护措施:发送到服务器群的数据包将被进行过滤检测,如果检测到恶意数据包时,系统发出警报并阻断攻击。请写出这种安全设备的名称,并回答这种安全设备应该部置在图8-27中的哪个设备的哪个接口?
【正确答案】基于网络的入侵防护系统,或NIPS;
串接于路由器RC的E0接口
串接于路由器RC的E0接口
【答案解析】基于网络的入侵防护系统(Network-based Intrusion Prevention System,NIPS)兼有防火墙、入侵检测系统和防病毒等安全组件的特性,当数据包经过时,将对它进行过滤检测,以确定该数据包是否包含有威胁网络安全的特征。如果检测到一个恶意的数据包,系统不但发出警报,还将采取相应措施(如丢弃含有攻击性的数据包或阻断连接)阻断攻击。
依题意,该企业网内服务器群的IP地址为152.19.56.101-152.19.56.125,归属于路由器RC所连接的152.19.56.0/24这一个网段。因此该NIPS设备应串联在路由器RC的E0接口上,使得进出服务器群的数据流都必须通过NIPS,从而保护这两个服务器群网段的整体安全。
依题意,该企业网内服务器群的IP地址为152.19.56.101-152.19.56.125,归属于路由器RC所连接的152.19.56.0/24这一个网段。因此该NIPS设备应串联在路由器RC的E0接口上,使得进出服务器群的数据流都必须通过NIPS,从而保护这两个服务器群网段的整体安全。
问答题
如果需要监听路由器RF和RG之间的所有流量,可以在该链路中串入一种网络设备,请写出这种网络设备的名称。
【正确答案】集线器或分路器(TAP)设备或其他具有数据包嗅探功能且具有至少3个端口的设备
【答案解析】网络监听是用于监控和管理网络的重要技术,它在1办助网络管理员监测网络传输数据、排除网络故障等方面具有不可替代的作用。实现网络监听的关键,是能够将探测器部署于被监听网段上。通过具有数据包嗅探功能的探测器设备,来监听并捕捉其所连接网段的所有网络数据,并通过软件将捕捉到的数据进行实时分析,进而分析网络的运行状态。根据网络拓扑结构的不同,探测器可以通过流量镜像、串接集线器设备、串接TAP(分路器)设备等方式部署在被检测的网络中。
在共享型网络中,只要将嗅探器部署到网络中的任意一个接口上或者插入到任何一个节点的通信链路中,就可以捕捉到其所连接网段的所有数据包。而在交换型网络中,交换机仅将数据包转发到相应的端口。因此,需要采用通过对交换机进行端口镜像的方式,来获得网络中相应端口的数据包。
在图8-27所示网络拓扑结构中,若要监听路由器RF和RG之间的所有流量,则可以在该链路中串入一台至少有3个端口的集线器,或者是串入一台分路器(TAP)设备等。
在共享型网络中,只要将嗅探器部署到网络中的任意一个接口上或者插入到任何一个节点的通信链路中,就可以捕捉到其所连接网段的所有数据包。而在交换型网络中,交换机仅将数据包转发到相应的端口。因此,需要采用通过对交换机进行端口镜像的方式,来获得网络中相应端口的数据包。
在图8-27所示网络拓扑结构中,若要监听路由器RF和RG之间的所有流量,则可以在该链路中串入一台至少有3个端口的集线器,或者是串入一台分路器(TAP)设备等。
问答题
若要探测从Windows主机152.19.1.215到主机152.19.3.195数据包的传输路径,请写出所使用的测试命令名称,并依次写出该测试数据包所经过的路由器名称。
【正确答案】tracert 152.19.3.195或pathping 152.19.3.195或其他等价命令
RB→RA
RB→RA
【答案解析】Windows命令tracert通过发送包含不同TTL的ICMP超时通告报文并监听回应报文,来探测到达目的计算机的路径。而命令pathping结合了ping和tracert命令的功能,将报文发送到所经过的所有路由器,并根据每跳返回的报文进行统计。因此可以在Windows主机152.19.1.215命令行模式下使用tracert 152.19.3.195(或pathping 152.19.3.195)命令,探测从本地主机到主机152.19.3.195数据包的传输路径。
在图8-27所示网络拓扑结构中,主机152.19.1.215位于路由器RB的E0接口所连接的网段152.19.1.0/24,而主机152.19.3.195位于路由器RA的El接口所连接的网段152.19.3.0/24,而RA的E2接口和RB的E2接口均处于152.19.63.0/29子网中。因此到达RB的数据包转发时,其下一跳路由可以直接到达RA的E2接口,即从主机152.19.1.215发往主机152.19.3.195数据包所经过的路由器是RB→RA。
在图8-27所示网络拓扑结构中,主机152.19.1.215位于路由器RB的E0接口所连接的网段152.19.1.0/24,而主机152.19.3.195位于路由器RA的El接口所连接的网段152.19.3.0/24,而RA的E2接口和RB的E2接口均处于152.19.63.0/29子网中。因此到达RB的数据包转发时,其下一跳路由可以直接到达RA的E2接口,即从主机152.19.1.215发往主机152.19.3.195数据包所经过的路由器是RB→RA。