一、题目
路由条目10.0.0.24/29可能由如下哪几条子网路由汇聚而来?
A. 10.0.0.24/30
B. 10.0.0.32/30
C. 10.0.0.28/30
D. 10.0.0.23/30
二、答案
AC
三、解析
路由条目10.0.0.24/29,它的子网范围为10.0.0.24-10.0.0.31.接下来我们来看下各个选项的子网范围:
A. 10.0.0.24/30 范围是10.0.0.24到10.0.0.27。这个子网的一部分包含在10.0.0.24/29的范围内。
B. 10.0.0.32/30 范围是10.0.0.32到10.0.0.35。这个子网的一部分不包含在10.0.0.24/29的范围内。
C. 10.0.0.28/30 范围是10.0.0.28到10.0.0.31。这个子网的一部分也包含在10.0.0.24/29的范围内。
D. 10.0.0.23/30 范围是10.0.0.20到10.0.0.23。这个子网的一部分不包含在10.0.0.24/29的范围内。
所以,可以汇聚到10.0.0.24/29的子网是A和C。答案是A和C。
扩展–源地址欺骗防范
网络中经常基于 IP 地址信任主机,而源 IP 地址欺骗就通过伪造源地址获得信任,从而窃取网络信息或破坏系统通信。
防止基于源 IP 地址欺骗的网络攻击行为,主要针对伪造 IP 源地址的 DoS 攻击。
1)严格模式
严格模式下,设备不仅要求报文源地址在 FIB 表中存在相应表项,还要求接口匹配才能通过 URPF检查。如图所示,在攻击者上伪造源地址为 2.1.1.1 的报文向 S1 发起请求,S1 响应请求时将向真正的
“2.1.1.1”即 PC1 发送报文。这种非法报文对 S1 和 PC1 都造成了攻击。如果在 S1 上启用 URPF,则S1 在收到源地址为 2.1.1.1 的报文时,URPF 检查到以此报文源地址对应的接口与收到该报文的接口不
匹配,报文会被丢弃。建议在路由对称的环境下使用 URPF 严格模式,例如两个网络边界设备之间只有一条路径的话,这时,使用严格模式能够最大限度的保证网络的安全性。
2) 松散模式
松散模式下,设备不检查接口是否匹配,只要 FIB 表中存在该报文源地址的路由,报文就可以通过。建议在不能保证路由对称的环境下使用 URPF 的松散模式,例如两个网络边界设备之间如果有多条路径连接的话,路由的对称性就不能保证,在这种情况下,URPF 的松散模式也可以保证较强的安全性。