正确答案:
【问题1】(2分)
被动接口是指阻止路由更新报文通过的路由器接口,即被动接口只接收路由更新但不发送路由更新。在RIP路由配置模式下,使用命令passive.interface指定一个路由器接口为被动接口。passive.interface命令可用于所有IP内部网关协议(如RIP、IGRP、EIGRP、OSPF和IS.IS等)。本问题要求过滤进入LANl的路由更新,可将路由器R2连接LANl的f0/0端口配置为被动接口。其相关的配置过程示例如下:
![clip_image008_0125.jpg](https://cdn.niusouti.com/asset/images/e7aafddd622f2d1b5a5d020ae9ab578.jpg)
【问题2】(5分)
为了过滤不必要的通信流量,可以通过配置访问控制列表(ACL)来实现。IP访问控制列表是一种基于路由设备接口的控制列表,可根据事先制定的访问控制准则来控制接口对数据包的接收和拒绝。IP访问控制列表主要有标准访问控制列表和扩展访问控制列表两种
类型。标准访问控制列表只能检查数据包的源地址,根据源网络、子网或主机的IP地址来决定对数据包的过滤,其表号范围是l~99、1300~1999。在全局配置模式下,使用命令access—listaccess.1ist.number{permitIdeny,sourcewildcar
D.mask配置标准访问控制列表。访问控制列表通配符(Wildcard—Mask)的作用是,指出访问控制列表过滤的IP地址范围,即路由器在进行基于源IP地址、目的IP地址过滤时,通配符告诉路由器应检查哪些地址位,忽略哪些地址位。通配符为0,表示检查相应的地址位;通配符为1,表示忽略,即不检查相应的地址位。通配符与IP地址总是成对出现的。通常,ACL通配符用32位二进制数表示,表示形式与IP地址、子网掩码相同。实际上,通配符就是子网掩码的反码。·
扩展访问控制列表可以通过检查数据包的源IP地址、目的IP地址、指定的协议、端口号等来决定对数据包的过滤。其表号范围是l00~199、2000~2699。在全局配置模式下,使用命令access.1ist
access-list’number{permitIdeny}protocolsourcewildcar
D.maskdestinationwildcard—mask[operaeor】[operand]配置扩展访问控制列表。其中,0perator(操作)有It(小二于:)、gt(大于)、eq(等于)、neq(不等于);operand(操作数)指的是端口号。本问题要求“阻止192.16
B.2.0/24网络中的主机访问192·168·4-0/24网络”中出现了源网段地址和目的网段地址,因此需要使用扩展访问控制列表才能完成这一配置需求。
配置ACL的具体步骤:①定义一个标准(或扩展)的访问控制列表;②为访问控制列表酉j置
包过滤的准则;③配置访问控制列表的应用接口。
ACL通过过滤数据包并且丢弃不希望抵达目的地的数据包来控制通信流量。然而能否有交!地减少网络中不必要的通信流量,还要取决于网络管理员将ACL部署在哪个具体地方。其部署原则是:标准ACL要尽量靠近目的端,扩展ACL则要尽量靠近源端。因此,本问题应在路由器R3上配置扩展访问控制列表,其相应的配置过程示例如下:
![clip_image010_0108.jpg](https://cdn.niusouti.com/asset/images/d5a04ba9ff53c79cdf82931c9351a6.jpg)
【问题3】(6分)
策略路由是能够根据网络管理者制定的规则进行数据包转发的一种机制。基于策略的路由:匕传统路由能力更强,使用更灵活,它使网络管理者不仅能够根据目的地址来选择转发路径,而且丕能够根据协议类型、报文大小、应用或IP源地址来选择转发路径。尽管策略路由可以用于在,。S中控制数据流,但它通常用于控制AS间的路由。,.
策略路由的策略由路由映射图(RouteMap)来定y.,其对应的配置语句是route.m印<map.ta}r><pemitdeny><sequence’number>。其中,map-ta9是route—map的标识号,sequence.number是每.一个route。map条件的标识号。route-map命令可将路由器的模式改变为路由映射图配置模式(confi:一map。router),在该模式下,可以为路由映射图配置条件。每个route.m印命令中都有一组set和mat‘:h命令。
match命令用于定义匹配的条件,匹配语句在路由器的输入端口对数据包进行检测。常用的匹配条件包括IP地址、接口、度量值及数据包长度等。其常用的配置语句是matchipaddress<accesi.1ist.number>。
set命令用于定义对符合匹配条件的语句采取的一些动作。命令setipnext-hop<address>设定数据包下一跳地址;命令setinterface设定数据包输出接口;命令setipdefaultneXt.hop设定默认的
下一跳地址;命令setdefaultinterface设定默认的输出接口;命令setiptos设定数据包的IPToS值;命令setipprecedence设定IP数据包的优先级。路由映射图的运行机制和访问控制列表相似,都是逐行进行检查的,遇到匹配就立即进行处理。
在接口配置模式下,使用命令ippolicyroute.map<map.tag>应用相应的策略路由。在全局配
置模式下,使用命令iplocalpolicyroute—map<map.tag>在本地应用相应的策略路由。
可以在路由器Rl上配置以下策略路由解决本问题,其配詈讨稗示例如下:
![clip_image012_0102.jpg](https://cdn.niusouti.com/asset/images/19d156326f4ea12d43dd1fc9051d394.jpg)
【问题4】(2分)
当许多运行多路由的网络要集成到一起时,必须在这些不同的路由选择协议之间共享路由信息。例如,从RIP路由进程所学习到的路由可能需要被注入到IGRP路由进程中。在路由选择协议之间交换路由信息的过程被称为路由重发布(RouteRedistribution)。这种重发布可以是单向的也可以是双向的,单向是指一种路由协议从另一种路由协议那里接收路由,双向是指两种路由选择协议互相接收对方的路由。
执行路由重发布的路由器被称为边界路由器,因为它们位于两个或多个自治系统(AS)的边界上。路由重发布时计量单位和管理距离是必须要考虑的。在路由协议配置子模式下,使用命令redistribute配置路由协议重发布。若要求自治系统1中的路由器R2能学习到自治系统2(OSPF网络)中的路由信息,同时R5也能学习到自治系统1中的路由信息,则需要在路由器Rl上配置路由重发布。
![clip_image014_0090.jpg](https://cdn.niusouti.com/asset/images/699546fc9796419646029924bf94e7.jpg)