1、
本题考查的知识点是:路由表规划、网络管理、IP地址规划
(1)考察路由汇聚:
此处只是路由表中的路由汇聚,并非分配IP地址,所以只需要把对应的网络地址汇聚成一个就可以。
由拓扑图可知,需要把Rg的不同端口通往(左侧或右侧)的网络汇聚,近似的网络或IP(包含Gg自身端口的IP地址)汇聚到一个网络,但是要注意左右的网络不能被汇聚到一起,同时汇聚后的地址不能包含题中提到的几个IP地址。
具体做法是分别将各IP或网络地址全部转换至二进制形式,仔细对比它们的二进制形式,将需要汇聚的地址从左侧开始数,完全相同的部分利用子网掩码设置为网络位,剩余部分设置为主机位。确认网络位和主机位后,计算汇聚后的网络地址(计算方法是网络位不变原样照抄,主机位直接置0,然后转换回十进制形式)。
①将172.2.14.129、172.2.14.130汇聚
172.2.14.129的二进制形式是:10101100.00000010.00001110.10000001
172.2.14.130的二进制形式是:10101100.00000010.00001110.10000010
经过对比,可得知它们的前30位完全相同,即子网掩码是/30,网络位是30位,主机位2位(网络位和主机位共32位),汇聚后的网络地址是10101100.00000010.00001110.10000000(网络位不变,主机位全部置0),转换成点分十进制后是172.2.14.128/30。
②同理可将172.2.14.133、172.2.14.134汇聚得172.2.14.132/30。
③172.2.14.73的二进制形式是:10101100.00000010.00001110.01001001
172.2.14.74的二进制形式是:10101100.00000010.00001110.01001010
172.2.14.75的二进制形式是:10101100.00000010.00001110.01001011
经过对比,可得知它们的前30位完全相同,但是由于主机位不能全0或全1,所以子网掩码只能是/29,网络位是29位,主机位3位(网络位和主机位共32位),汇聚后的网络地址是10101100.00000010.00001110.01001000(网络位不变,主机位全部置0),转换成点分十进制后是172.2.14.72/29。
④将172.2.14.56、172.2.14.57、172.2.14.58汇聚结果为172.2.14.48/28
⑤将172.2.32.0、172.2.33.0、172.2.34.0、172.2.35.0汇聚结果为172.2.32.0/22
⑥将172.2.64.0、172.2.65.0、172.2.66.0、172.2.67.0汇聚结果为172.2.64.0/22
(注:问题3、问题5答案互换后依旧正确,问题4、问题6答案互换后依旧正确)。
(2)考察windows server 2003域的相关知识,从windows2000开始,微软引入了活动目录的概念,此处答案为:活动目录。
(3)考察路由汇聚,由(1)可知路由器Rf汇聚了2组IP地址,情况分别如下:
(a)S0端口--172.2.14.132/30,掩码/30,即30位全部都是网络位,可容纳4台主机,已容纳2台,剩余2个;扣除全0和全1的情况,剩余0个IP地址可供聚合。
(b)E0端口--汇聚了172.2.14.48/28,在汇聚计算的过程中已知进行汇聚的部分共4位,共有16(2的4次方)种数值排列组成,已经使用1000、1001、1010三种情况,剩余13种,扣除0000(全0)和1111(全1)的情况,剩余11个IP地址可供聚合。
此时Rf的可用IP地址共计11个,可接入11台路由器。
(4)考察子网划分。
172.2.33.128/25,转换成二进制形式是10101100.00000010.00100001.1 0000000。(/25,表示网络位是25位)
划分子网,是通过更改子网掩码,将主机位借用给网络位,即更改网络位的位数。如果把第26位借用给网络位,那么对于172.2.33.128/25而言,因为这一位子网位(第26位)能出现两种不同的取值(0和1),那么也就把172.2.33.128/25拆分成了如下两个子网:
这样,172.2.33.128/25就被拆分为2个子网,分别是172.2.33.128/26和172.2.33.192/26,而这两个子网又可以按照相同的方法进一步拆分。
题目要求从小到大依次分配,意思是将172.2.33.128/26拆分后分别分配给第一个和第二个子网,将172.2.33.192/26分配给第三个子网。
将172.2.33.128/26进一步拆分得到如下两个子网:
所以,拆分后得到的三个子网按顺序分别是172.2.33.128/27、172.2.33.160/27、172.2.33.192/26。
对于第一个子网(172.2.33.128/27),由于其掩码是/27(255.255.255.224),主机位共5位(网络位+主机位共32位),共可容纳2^5-2=30台主机,符合题目容纳25台的要求,并且主机位最小值是00001,最大值是11110(主机地址不允许全0和全1)。
结合其二进制形式10101100.00000010.00100001.10000000/27,将主机位替换掉末尾5位可得IP地址号段:
最小:10101100.00000010.00100001.10000001(十进制形式172.2.33.129)
最大:10101100.00000010.00100001.10011110(十进制形式172.2.33.158)
同样的方法计算可得:
第二个子网(172.2.33.160/27),子网掩码/27(255.255.255.224),主机位5位,可容纳2^5-2=30台主机,符合题目25台的要求,最小IP地址172.2.33.161,最大IP地址172.2.33.190。
第三个子网(172.2.33.192/26),子网掩码/26(255.255.255.192),主机位6位,可容纳2^6-2=62台主机,符合题目60台的要求,最小IP地址172.2.33.193,最大IP地址172.2.33.254。
故本题答案是:
[1]:172.2.14.128/30
[2]:172.2.14.132/30
[3]:172.2.14.72/29(且[5]为172.2.32.0/22) 或 172.2.32.0/22(且[5]172.2.14.72/29)
[4]:172.2.14.48/28(且[6]为172.2.64.0/22) 或 172.2.64.0/22(且[6]为172.2.14.48/28)
[5]:172.2.32.0/22(且[3]为172.2.14.72/29) 或 172.2.14.72/29(且[3]为172.2.32.0/22)
[6]:172.2.64.0/22(且[4]为172.2.14.48/28) 或 172.2.14.48/28(且[4]为172.2.64.0/22)
[7]:活动目录
[8]:11
[9]:255.255.255.224或/27
[10]:172.2.33.129
[11]:172.2.33.158
[12]:255.255.255.192或/26
[13]:172.2.33.193
[14]:172.2.33.254
2、IPS(入侵防护系统)
3、NAT网络地址转换
4、
(3)考察防火墙配置命令。
本题中涉及的全部都是10.0.0.0/8的地址,这是私有IP,不允许出现在internet上,必须把地址转换成公网IP(非10、172.16、192.168开头的IP地址),而这种地址转换的技术就是NAT。对应的防火墙命令也正是nat,所以本题应填nat。
进行NAT后,需要使用global命令配置允许访问外网的地址,所以本题还需答global。由于是按照公网IP指定的,所以global需要在nat之后设置。
5、
(3)考察防火墙配置命令。本题填fixup或fixup protocol ftp
6、
(3)考察防火墙配置命令。
把内网地址(10或172.16或192.168开头的)换成公网IP(非10、10.10、192.168开头的IP地址),这种地址转换的技术是NAT,但是为内网的一个特定IP地址转换成一个固定的公网IP地址,对应的防火墙命令是static,所以本题应答static。
7、
(2)考察监控软件的相关知识,要做监控,那就必须使用相应的网络管理协议。目前使用最为广泛的网络管理协议是SNMP,所以问题7应答SNMP。
8、ACL
(2)考察ACL的相关知识。ACL是访问控制列表,对进出本端口的所有数据按照指定规则进行过滤。由图可知,服务器群位于Rc的下方,那么要过滤访问服务器群的数据,必须让所有进出服务器的数据都能够被过滤,只有Rc的E0端口满足要求,所以此处应分别填写Rc和E0
9、入侵检测系统的探测器的部署
(2)考察的是入侵检测系统的探测器的部署,可以通过三种方式部署:
1、在交换机上做镜像端口(网络接口卡与交换设备的监控端口连接,通过交换设备的span/mirror功能将流向各端口的数据包复制一份给监控端口)。
2、串接HUB集线器(在网络中增加一台集线器,通过集线器获取数据包。
3、部署TAP分路器(通过一个TAP对交换式网络中的数据包进行分析和处理)。
通常,采用第二、三种方案最为便捷,所以应在Rb的E0端口,串入集线器(或HUB)或分路器(或TAP)。所以第(2)小题应填集线器(或分路器或HUB或TAP)、RB、E0。