計算機三級網(wǎng)絡(luò)技術(shù)學(xué)習(xí)筆記

up在2020年疫情在家的時候看b站網(wǎng)課記的筆記，后來因為日程原因沒有參加考試，把筆記分享出來，供大家參考和自己溫習(xí)知識。

按照考綱來的，看官方參考書和一些網(wǎng)課都適用。歡迎點贊、投幣、收藏

加粗的詞句屬于需要重點看的地方。

應(yīng)用題專項講解

考點1：CIDR(在路由聚合中應(yīng)用)

考點2：子網(wǎng)劃分與VLSM

考點3：入侵防護系統(tǒng)

考點4：入侵檢測系統(tǒng)部署

考點5： ACL

考點6：組網(wǎng)設(shè)備 ? ? ? ? ? ?5/6/其它考點 串并與其他考點講解

? ? ? ?其他考點

考點1 CIDR

題型與考核方式：

? ? ? 根據(jù)給定網(wǎng)絡(luò)結(jié)構(gòu)圖，填寫路由器RG的路由表項，路由表項使用無類域間路由（CIDR）匯聚連續(xù)網(wǎng)絡(luò)。將路由表中的許多路由條目合并為成更少的數(shù)目，因此可以限制路由器中路由表的增大，減少路由通告。

首先我們應(yīng)該掌握路由表的結(jié)構(gòu)：

• 路由表的項目由“網(wǎng)絡(luò)前綴”和“下一跳地址”兩項內(nèi)容組成。

• ? ? ? ?

• ? ? ? ?CIDR匯聚就是就通過子網(wǎng)的劃分的相反過程。

? ? ? ?

? ? ? ?【2010年3月】請根據(jù)圖3所示網(wǎng)絡(luò)結(jié)構(gòu)回答下列問題。

（1）填寫路由器RG的路由表項①至⑥。

第1步：按路由表的結(jié)構(gòu)，寫出正常的路由表項。

表項1—4中的目標網(wǎng)絡(luò)可能需要計算，接口可能填空。

第2步：根據(jù)題目給定的路由表表項（6項）對連續(xù)的子網(wǎng)進行CIDR聚合。

CIDR聚合的方法為“最大前綴匹配法”

第一步：將連續(xù)的子網(wǎng)從左向右比較多最多相同的位數(shù)(二進制)

156.26.000000 00.0

156.26.000000 01.0

156.26.000000 10.0

156.26.000000 11.0

第二步：相同的位數(shù)就是聚合后新網(wǎng)絡(luò)的網(wǎng)絡(luò)號位數(shù)，即掩碼長度為“/22”

第三步：相同位數(shù)數(shù)值不變，不同位數(shù)數(shù)值寫成“0，

即使網(wǎng)絡(luò)地址：156.26.0.0/22

同理對以下4個子網(wǎng)進行聚合：

156.26.001110 00.0

156.26.001110 01.0

156.26.001110 10.0

156.26.001110 11.0

聚合后網(wǎng)絡(luò)地址：156.26.56.0/22

? ? ? ?【2013年3月】請根據(jù)圖3所示網(wǎng)絡(luò)結(jié)構(gòu)回答下列問題。

（1）填寫路由器RG的路由表項①至⑥。

• 路由表項前兩個直連目的網(wǎng)絡(luò)：

• 一般情況下，在規(guī)劃子網(wǎng)時對于點到點的連接通常使用30位的子網(wǎng)掩碼，可提供2個可用IP，以提高IP地址的使用率。

• 根據(jù)給定的路由器接口IP地址判斷：

RG與RE連接使用的IP分別為172.0.147.169和172.0.147.170。

172.0.147.101010 01

172.0.147.101010 10 可得到網(wǎng)絡(luò)地址為： 172.0.147.168/30

? ? ? ?

? ? ? ?若采用/29或更短的掩碼長度，將出現(xiàn)此子網(wǎng)的可用IP與其他子網(wǎng)沖突。如RG與RF間的子網(wǎng)。

同理RG與RF連接使用的IP分別為172.0.147.173和172.0.147.174。

172.0.147.101011 01

172.0.147.101011 10 可得到網(wǎng)絡(luò)地址為： 172.0.147.172/30

故① ②題答案為：

1. ?路由表項③輸出端口S0的網(wǎng)絡(luò)應(yīng)該具有可用IP：

? ? ?172.0.147.161-172.0.147.163。

2. ?根據(jù)CIDR“最大前綴匹配法”計算此目的網(wǎng)絡(luò)

172.0.147.10100 ? 001

172.0.147.10100 ? 011

172.0.147.10100 ? 100

? ? ? ?

? ? ? ?可得到網(wǎng)絡(luò)地址為： 172.0.147.160/29

3. ?同理，計算路由表項④

? ? ?172.0.147.144-172.0.147.146

172.0.147.100100 ?00

172.0.147.100100 ?01

172.0.147.100100 10 ? 若使用30位掩碼的網(wǎng)絡(luò)172.0.147.144/30掩碼，則172.0.147.144中主機為全“0”，不是一可用IP。必須向前推位。

172.0.147.100 ? 10000

172.0.147.100 ? 10001

172.0.147.100 ? 10010

? ? ? ?

? ? ? ?可得到網(wǎng)絡(luò)地址為： 172.0.147.128/27

4. ?計算路由表項⑤

? ? 目標網(wǎng)絡(luò)⑤是以下四個子網(wǎng)的聚合：

? ? 172.0.32.0/24~172.0.35.0/24

172.0. 101000 ?00. 0

172.0. 101000 ?01. 0

172.0. 101000 ?10. 0

172.0. 101000 ?11. 0

根據(jù)CIDR“最大前綴匹配法”計算此目的網(wǎng)絡(luò)可得到網(wǎng)絡(luò)地址為： 172.0.32.0/22

? ? ? ?

? ? ? ?5. ⑥項：聚合方法是同樣道理

考點2 VLSM（P66-67）

命令形式與考核方式：

? ? ? 根據(jù)給定的用戶需求，一般是某公司已申請一個IP地址空間，按要求對其進行VLSM規(guī)劃，為不同的部門規(guī)劃處相應(yīng)的子網(wǎng)。

? ? ? 需求中一般要求規(guī)劃出3個子網(wǎng)，滿足不同用戶數(shù)的三個部分。如果用等長子網(wǎng)掩碼規(guī)劃，用戶數(shù)不能滿足，或子網(wǎng)數(shù)不能滿足。必須使用VLSM方式規(guī)劃。

【2008年9月】應(yīng)用題（1）：使用192.168.1.192/26劃分3個子網(wǎng)，其中第一個子網(wǎng)能容納25臺主機，另外兩個子網(wǎng)分別能容納10臺主機，請寫出子網(wǎng)掩碼、各子網(wǎng)網(wǎng)絡(luò)地址及可用的IP地址段（9 ?分）。（注：請按子網(wǎng)序號順序分配網(wǎng)絡(luò)地址）

解析：

第一步：確定需要從主機號借幾位表示子網(wǎng)，因為需要3個子網(wǎng)，所以至少需要借2位。

第二步：計算機新子網(wǎng)的主機號位數(shù)是否能滿足各個子網(wǎng)的主機數(shù)。原主機號位數(shù)為6，借位后為4，支持主機個數(shù)為14。不能滿足第一個子網(wǎng)的容納25臺主機的需求。

而借位一位的話，能滿足子網(wǎng)的容納主機需求，子網(wǎng)個數(shù)只有2個。

? ? ? ?

? ? ? ?第三步：根據(jù)上面的分析，需要采取VLSM子網(wǎng)劃分方式。劃分思想如下：

子網(wǎng)掩碼，各子網(wǎng)網(wǎng)絡(luò)地址及可用的IP地址段分別為：

【2011年9月】應(yīng)用題（3）：如果將59.67.149.128/25劃分3個子網(wǎng)，其中前兩個子網(wǎng)分別能容納25臺主機，第三個子網(wǎng)能容納55臺主機，請寫出子網(wǎng)掩碼及可用的IP地址段（6分）。

（注：請按子網(wǎng)序號順序分配網(wǎng)絡(luò)地址。從小到大按先0后1，帶0的子網(wǎng)給前面的用，所以這個題里主機最多的子網(wǎng)3給的帶"1"的子網(wǎng)，子網(wǎng)1、2用帶“0”的）。

解析：

第一步：確定需要從主機號借幾位表示子網(wǎng)，因為需要3個子網(wǎng)，所以至少需要借2位。

第二步：計算機新子網(wǎng)的主機號位數(shù)是否能滿足各個子網(wǎng)的主機數(shù)。原本主機號位數(shù)為7，借位后為5，支持主機個數(shù)為30。不能滿足第三個子網(wǎng)的容納55臺主機的需求。

而借位一位的話，能滿足子網(wǎng)的容納主機需求，子網(wǎng)個數(shù)只有2個。

? ? ? ?

? ? ? ?第三步：根據(jù)上面的分析，需要采取VLSM子網(wǎng)劃分方式。劃分思想如下：

子網(wǎng)掩碼，各子網(wǎng)網(wǎng)絡(luò)地址及可用的IP地址段分別為：

備注：答題時按題目要求只寫出“子網(wǎng)掩碼”與“可用IP地址段”

考點3 入侵防護系統(tǒng)（P300-302）

命令形式與考核方式：

? ? ? 根據(jù)給定網(wǎng)絡(luò)結(jié)構(gòu)圖，提出入侵防護的需求，判斷入侵防護系統(tǒng)的部署位置。其中主要考核三類入侵防護系統(tǒng)的保護對象，及其作用。

? ? ? ?

? ? ? ?【2008年9月】某網(wǎng)絡(luò)結(jié)構(gòu)如圖所示，請回答以下有關(guān)問題。

①如果該網(wǎng)絡(luò)使用上述地址（私有地址），邊界路由器上應(yīng)該具有 NAT 功能？（2分）

②如果為了保證外網(wǎng)能夠訪問到該網(wǎng)絡(luò)內(nèi)的服務(wù)器，那么應(yīng)在邊界路由器對網(wǎng)絡(luò)中服務(wù)器的地址進行 靜態(tài)NAT映射/“一對一”地址轉(zhuǎn)換 的處理？（2分）

入侵防護系統(tǒng)的基本分類

1. 基于主機的入侵防護系統(tǒng)（HIPS）:安裝在受保護的主機系統(tǒng)中，檢測并阻攔正對本機的威脅和供給。

2. 基于網(wǎng)絡(luò)的入侵防護系統(tǒng)（NIPS）：布置于網(wǎng)絡(luò)出口處，一般串聯(lián)與防火墻與路由器之間，網(wǎng)絡(luò)進出的數(shù)據(jù)流都必須通過它，從而保護整個網(wǎng)絡(luò)的安全。如果檢測到一個惡意的數(shù)據(jù)包時，系統(tǒng)不但發(fā)出警報，還將采取響應(yīng)措施（如丟棄含有攻擊性的數(shù)據(jù)包或阻斷連接）阻斷攻擊。

3. 應(yīng)用入侵防護系統(tǒng)（AIPS）：一般部署于應(yīng)用服務(wù)器前端，從而將基于主機的入侵防護系統(tǒng)功能延伸到服務(wù)器之前的高性能網(wǎng)絡(luò)設(shè)備上，進而保證了應(yīng)用服務(wù)器的安全性。

③采用一種設(shè)備能夠?qū)υ摼W(wǎng)絡(luò)提供如下的保護措施：數(shù)據(jù)包進入網(wǎng)絡(luò)時將被進行過濾檢測，并確定此包是否包含有威脅網(wǎng)絡(luò)安全的特征。如果檢測到一個惡意的數(shù)據(jù)包時，系統(tǒng)不但發(fā)出警報，還將采取響應(yīng)措施（如丟棄含有攻擊性的數(shù)據(jù)包或阻斷連接）阻斷攻擊。請寫出這種設(shè)備的名稱。（2分）這種設(shè)備應(yīng)該部署在圖中的位置1~位置3的哪個位置上？（2分）

答案：NIPS，位置2 ? ?（邊界路由器和核心交換機之間？）

④如果該網(wǎng)絡(luò)采用Windows 2003域用戶管理功能來實現(xiàn)網(wǎng)絡(luò)資源的訪問控制，那么域用戶信息存在區(qū)域控制器的 活動目錄 （3分）

考點4 入侵檢測系統(tǒng)部署（P314）

網(wǎng)絡(luò)入侵檢測系統(tǒng)常用部署方法：

1. 網(wǎng)絡(luò)接口卡與交換設(shè)備的監(jiān)控端口連接，通過交換設(shè)備的Span/Mirror功能將流向個端口的數(shù)據(jù)包復(fù)制一份給監(jiān)控端口。（源端口是被鏡像端口(被監(jiān)聽端口,接要檢測的流量一端)，目的端口為鏡像端口（監(jiān)控端口，接入侵檢測））

2. 在網(wǎng)絡(luò)中增加一臺集線器改變網(wǎng)絡(luò)拓撲結(jié)構(gòu)，通過集線器（共享式監(jiān)聽方式）獲取數(shù)據(jù)包。

3. 入侵檢測傳感器通過一個TAP（分路器）設(shè)備對交換式網(wǎng)絡(luò)中的數(shù)據(jù)包進行分析和處理。

? ? ? ?

? ? ? ?【2009年3月】某網(wǎng)絡(luò)結(jié)構(gòu)如圖3所示，圖中網(wǎng)絡(luò)均為Cisco設(shè)備，請回答以下有關(guān)問題。

②如果入侵檢測設(shè)備用于檢測所有的訪問圖中服務(wù)器群的流量，請寫出交換機1上被鏡像的端口。（2分）

G1/3

③如果在交換機1上定義了一個編號為105的訪問控制列表，該列表用于過濾所有訪問圖中服務(wù)器群的1434端口的數(shù)據(jù)包，請寫出該訪問控制列表應(yīng)用端口的配置命令。（4分）（P195）

interface Gi1/3

ip access-group 105 out

? ? ? ?

? ? ? ?④如果該網(wǎng)絡(luò)使用動態(tài)地址分配的方法，請寫出路由交換機上DHCP IP地址池的配置內(nèi)容。（5分）（P166-169）

名稱、子網(wǎng)地址和子網(wǎng)掩碼、缺省網(wǎng)關(guān)、域名系統(tǒng)、地址租用時間

【2013年3月】請根據(jù)圖3所示網(wǎng)絡(luò)結(jié)構(gòu)回答下列問題。

（2）如果需要監(jiān)聽路由器RE和RG之間的所有流量，可以在該鏈路中串入一種設(shè)備。請寫出這種設(shè)備的名稱（2分）。

TAP/分路器 (這里使用的s0、s1為串口，用不了集線器）

? ? ? ?

? ? ? ?【2011年3月】

請根據(jù)圖3所示網(wǎng)絡(luò)結(jié)構(gòu)回答下列問題。

②請寫出路由器RG和路由器RE的S0口的IP地址。（2分）

172.19.63.193 ?172.19.63.194

③如果該網(wǎng)絡(luò)內(nèi)服務(wù)器群的IP地址為172.19.52.100~172.19.52.126和172.19.53.100~172.19.53.200，要求用一種設(shè)備對服務(wù)器群提供如下保護：檢測發(fā)達到服務(wù)器群的數(shù)據(jù)包，如果發(fā)現(xiàn)惡意數(shù)據(jù)包，系統(tǒng)發(fā)出警報并阻斷攻擊。請回答以下兩個問題：

第一，寫出這種設(shè)備的名稱。（2分）

第二，該設(shè)備應(yīng)該部署在圖中的哪個設(shè)備的哪個接口。（2分）

NIPS,RD的E2接口

【2010年3月】請根據(jù)圖所示網(wǎng)絡(luò)結(jié)構(gòu)回答下列問題。

（2）路由器RC為Cisco路由器，并且有以下配置：

? ? access-list 130 deny udp any any eq 1434

? ? access-list 130 permit ip any any

如果使用訪問控制列表130來禁止對152.19.57.0/24的UDP1434端口的訪問，請寫出路由器RC的E1接口的配置命令（2分）。

int E1

ip access-group 130 out

注意 ? ? ? ? ? ? ? ?

? ? ? ?ACL的過濾方向 訪問152.19.27.0/24的流量對于RC的E1來說是出方向

本專項學(xué)習(xí)建議與命題方向

1. IP路由選擇與路由匯聚（重點掌握的計算方法）

2. VLSM子網(wǎng)規(guī)劃（一般三個子網(wǎng)，注意一個子網(wǎng)需要的主機數(shù)多、注意序號和子網(wǎng)對應(yīng)）

3. 入侵防護系統(tǒng)（三類防護系統(tǒng)作用與部署位置）

4. 入侵檢測系統(tǒng)部署（三種部署方式：交換機鏡像端口、集線器、TAP）

5. ACL（重點掌握接口中應(yīng)用的命令，過濾方向的判別）

其他考點也盡量掌握（NAT、域、DHCP）