杏花亭_中級(jí)網(wǎng)絡(luò)工程師2014下半年下午試題

1、中級(jí)網(wǎng)絡(luò)工程師2014下半年下午試題試題一閱讀以下說(shuō)明，根據(jù)要求回答下面問(wèn)題。    說(shuō)明    某企業(yè)的網(wǎng)絡(luò)結(jié)構(gòu)如下圖所示。    1、圖中的網(wǎng)絡(luò)設(shè)備應(yīng)為_(kāi)，網(wǎng)絡(luò)設(shè)備應(yīng)為_(kāi)，從網(wǎng)絡(luò)安全的角度出發(fā)，Switch9所組成的網(wǎng)絡(luò)一般稱為_(kāi)區(qū)。    2圖中處的網(wǎng)絡(luò)設(shè)備的作用是檢測(cè)流經(jīng)內(nèi)網(wǎng)的信息，提供對(duì)網(wǎng)絡(luò)系統(tǒng)的安全保護(hù)。該設(shè)備提供主動(dòng)防護(hù)，能預(yù)先對(duì)入侵活動(dòng)和攻擊性網(wǎng)絡(luò)流量進(jìn)行攔截，避免造成損失，而不是簡(jiǎn)單地在惡意流量傳送時(shí)或傳送后才發(fā)出警報(bào)。網(wǎng)絡(luò)設(shè)備應(yīng)為_(kāi)，其連接的Switch1的G1/1端口稱為_(kāi)端口，這種連接方式一

2、般稱為_(kāi)。2、隨著企業(yè)用戶的增加，要求部署上網(wǎng)行為管理設(shè)備，對(duì)用戶的上網(wǎng)行為進(jìn)行安全分析、流量管理、網(wǎng)絡(luò)訪問(wèn)控制等，以保證正常的上網(wǎng)需求。部署上網(wǎng)行為管理設(shè)備的位置應(yīng)該在上圖中的_和_之間比較合理。    2網(wǎng)卡的工作模式有直接、廣播、多播和混雜四種模式，默認(rèn)的工作模式為_(kāi)和_，即它只接收廣播幀和發(fā)給自己的幀。網(wǎng)絡(luò)管理機(jī)在抓包時(shí)，需要把網(wǎng)卡置于_，這時(shí)網(wǎng)卡將接受同一子網(wǎng)內(nèi)所有站點(diǎn)所發(fā)送的數(shù)據(jù)包，這樣就可以達(dá)到對(duì)網(wǎng)絡(luò)信息監(jiān)視的目的。3、針對(duì)上圖中的網(wǎng)絡(luò)結(jié)構(gòu)，各臺(tái)交換機(jī)需要運(yùn)行_協(xié)議，以建立一個(gè)無(wú)環(huán)路的樹狀網(wǎng)絡(luò)結(jié)構(gòu)。按照該協(xié)議，交換機(jī)的默認(rèn)優(yōu)先級(jí)值為_(kāi)，根交換機(jī)是根據(jù)_來(lái)選擇的

3、，值小的交換機(jī)為根交換機(jī)；如果交換機(jī)的優(yōu)先級(jí)相同，再比較_。    當(dāng)上圖中的Switch1Switch3之間的某條鏈路出現(xiàn)故障時(shí)，為了使阻塞端口直接進(jìn)入轉(zhuǎn)發(fā)狀態(tài)，從而切換到備份鏈路上，需要在Switch1Switch3上使用_功能。4、根據(jù)層次化網(wǎng)絡(luò)的設(shè)計(jì)原則，從上圖中可以看出該企業(yè)網(wǎng)絡(luò)采用了由_層和_層組成的兩層架構(gòu)。其中，MAC地址過(guò)濾和IP地址綁定等功能是由_完成的，分組的高速轉(zhuǎn)發(fā)是由_完成的。試題一答案1、路由器或邊界路由器    防火墻或統(tǒng)一安全網(wǎng)關(guān)(LISG)，或其他具有類似功能的網(wǎng)絡(luò)安全設(shè)備    DMZ或非軍事 &#

4、160;  入侵防護(hù)系統(tǒng)(IPS)或基于網(wǎng)絡(luò)的入侵防護(hù)系統(tǒng)(NIPS)    鏡像    旁路模式解析 由上圖所給出的設(shè)備連接信息可知，該企業(yè)網(wǎng)絡(luò)拓?fù)浒捶謪^(qū)域、層次化結(jié)構(gòu)進(jìn)行設(shè)計(jì)，主要分為網(wǎng)絡(luò)出口區(qū)域、外部服務(wù)器區(qū)域、核心交換區(qū)域、接入交換區(qū)域、網(wǎng)絡(luò)管理區(qū)域等。路由器具有廣域網(wǎng)互連、隔離廣播信息和異構(gòu)網(wǎng)互連等能力，是企業(yè)網(wǎng)與Internet連接必不可少的網(wǎng)絡(luò)互連設(shè)備。該企業(yè)網(wǎng)要接入Internet，因此需要在企業(yè)網(wǎng)的邊界(即網(wǎng)絡(luò)設(shè)備處)部署一臺(tái)路由器，用于實(shí)現(xiàn)邊界路由計(jì)算；在網(wǎng)絡(luò)設(shè)備處部署一臺(tái)防火墻，用于實(shí)現(xiàn)服務(wù)器區(qū)域、企業(yè)內(nèi)網(wǎng)區(qū)域和網(wǎng)絡(luò)出口區(qū)

5、域之間的邏輯隔離，提高服務(wù)器區(qū)域和企業(yè)內(nèi)網(wǎng)區(qū)域的網(wǎng)絡(luò)安全性能。    防火墻中的DMZ區(qū)也稱為非軍事區(qū)，它是為了解決安裝防火墻后外部網(wǎng)絡(luò)不能訪問(wèn)內(nèi)部網(wǎng)絡(luò)服務(wù)器的問(wèn)題而設(shè)立的一個(gè)非安全系統(tǒng)與安全系統(tǒng)之間的緩沖區(qū)。這個(gè)緩沖區(qū)位于企業(yè)內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的小網(wǎng)絡(luò)區(qū)域內(nèi)。在上圖中，Switch9所組成的網(wǎng)絡(luò)區(qū)域內(nèi)放置了一些公開(kāi)的服務(wù)器，例如企業(yè)Web服務(wù)器、DNS服務(wù)器、E-mail服務(wù)器等。因此，從網(wǎng)絡(luò)安全的角度考慮，Switch9所組成的網(wǎng)絡(luò)一般稱為非軍事區(qū)(或DMZ區(qū))。    入侵防護(hù)系統(tǒng)(IPS)是一種主動(dòng)防護(hù)的網(wǎng)絡(luò)安全技術(shù)，所有接收到的數(shù)據(jù)包都要經(jīng)

6、過(guò)它檢查之后來(lái)決定是否放行，或執(zhí)行緩存、拋棄策略。當(dāng)發(fā)生攻擊時(shí)及時(shí)發(fā)出警報(bào)，并將網(wǎng)絡(luò)攻擊事件及所采取的措施和結(jié)果進(jìn)行記錄。依題意，在圖中網(wǎng)絡(luò)設(shè)備應(yīng)部署入侵防護(hù)系統(tǒng)(IPS)。對(duì)于交換型網(wǎng)絡(luò)，交換機(jī)僅將數(shù)據(jù)包轉(zhuǎn)發(fā)到相應(yīng)的端口。因此需要對(duì)交換機(jī)進(jìn)行端口鏡像配置，以將流向各端口的數(shù)據(jù)包復(fù)制一份給監(jiān)控端口，IPS從監(jiān)控端口獲取數(shù)據(jù)包并進(jìn)行分析和處理。因此，網(wǎng)絡(luò)設(shè)備連接到Switch1的G1/1端口稱為鏡像端口(即鏡像的目標(biāo)端口)。這種連接方式通常稱為旁路模式。2、防火墻或網(wǎng)絡(luò)設(shè)備    Switch1    廣播模式    直接模式 

7、0;  混雜模式解析 在企業(yè)網(wǎng)絡(luò)中通過(guò)部署上網(wǎng)行為管理設(shè)備，對(duì)用戶的上網(wǎng)行為進(jìn)行安全分析、網(wǎng)頁(yè)訪問(wèn)過(guò)濾、網(wǎng)絡(luò)訪問(wèn)控制、帶寬流量管理、信息收發(fā)審計(jì)等，以保證正常上網(wǎng)需求。通常，將上網(wǎng)行為管理設(shè)備串接在防火墻(網(wǎng)絡(luò)設(shè)備)和核心交換機(jī)Switch1之間。    網(wǎng)卡的工作模式有直接(Direct)、廣播(Broad Cast)、多播(Multi Cast)和混雜(Promiscuous)4種模式。其中，工作在直接模式下的網(wǎng)卡只接收目的地址是自己MAC地址的幀。工作在廣播模式的網(wǎng)卡接收物理地址(MAC地址)為0xFFFFFF的廣播幀。多播傳送地址作為目的物理地址的幀可以被

8、組內(nèi)的其他主機(jī)同時(shí)接收，而組外主機(jī)卻接收不到。但是若將網(wǎng)卡設(shè)置為多播傳送模式，它可以接收所有的多播傳送幀，而不論它是不是組內(nèi)成員。工作在混雜模式下的網(wǎng)卡將接收所有流過(guò)它的幀。網(wǎng)卡的默認(rèn)工作模式包含廣播模式和直接模式，即它只接收廣播幀和發(fā)給自己的幀。網(wǎng)絡(luò)管理機(jī)在抓包時(shí)，需要把網(wǎng)卡置于混雜模式，這時(shí)網(wǎng)卡將接受同一子網(wǎng)內(nèi)所有站點(diǎn)所發(fā)送的數(shù)據(jù)包，這樣就可以達(dá)到對(duì)網(wǎng)絡(luò)信息監(jiān)視捕獲的目的。3、STP或生成樹協(xié)議    32768    交換機(jī)ID    交換機(jī)MAC地址    BackboneFast解析 生成樹協(xié)議(STP)

9、是一種根據(jù)生成樹算法制定的協(xié)議，能夠邏輯地阻斷網(wǎng)絡(luò)中存在的冗余鏈路，以消除路徑中的環(huán)路，并可以在活動(dòng)路徑出現(xiàn)故障時(shí)，重新激活冗余鏈路來(lái)恢復(fù)網(wǎng)絡(luò)的連通，保證網(wǎng)絡(luò)的正常工作。在上圖中，核心交換機(jī)Switch1Switch3之間形成一個(gè)物理閉合環(huán)路。若不采取任何措施，將會(huì)帶來(lái)數(shù)據(jù)包廣播風(fēng)暴等網(wǎng)絡(luò)故障。為了使該企業(yè)網(wǎng)能夠正常運(yùn)行，需要在圖中各臺(tái)交換機(jī)需要運(yùn)行STP協(xié)議，以建立一個(gè)無(wú)環(huán)路的樹狀結(jié)構(gòu)網(wǎng)絡(luò)。    生成樹優(yōu)先級(jí)的取值范圍是061440，增量為4096。優(yōu)先級(jí)的值越小，優(yōu)先級(jí)越高。默認(rèn)情況下，交換機(jī)的生成樹優(yōu)先級(jí)值為32768。    由交換機(jī)構(gòu)成的局域

10、網(wǎng)中，構(gòu)造生成樹首先要選擇一臺(tái)交換機(jī)作為生成樹的根。實(shí)現(xiàn)方法是選擇交換機(jī)ID最小的交換機(jī)作為根交換機(jī)。通常，運(yùn)行STP的每臺(tái)交換機(jī)的ID由優(yōu)先級(jí)值(長(zhǎng)度為2B)和交換機(jī)MAC地址(長(zhǎng)度為6B)組成。如果每臺(tái)交換機(jī)的優(yōu)先級(jí)相同，則再比較交換機(jī)MAC地址的大小。    STP的BackboneFast功能是使阻塞端口無(wú)須等待一個(gè)生成樹最大存活時(shí)間(約30s)，而直接進(jìn)入轉(zhuǎn)發(fā)狀態(tài)，從而提高交換機(jī)到根交換機(jī)的間接鏈路失效情況下的收斂速度。在上圖中，Switch1Switch3是網(wǎng)絡(luò)的骨干交換機(jī)。當(dāng)它們相互之間的某條鏈路(例如Switch1與Switch2之間的鏈路)發(fā)生故障時(shí)，為了

11、使阻塞端口直接進(jìn)入轉(zhuǎn)發(fā)狀態(tài)，從而切換到備份鏈路(例如Switch1與Switch3之間的鏈路)上，則需要在Switch1Switch3上使能STP的BackboneFast功能。4、核心    接入    接入層    核心層解析 根據(jù)層次化網(wǎng)絡(luò)的設(shè)計(jì)原則，從上圖中可以看出該企業(yè)網(wǎng)絡(luò)采用了由核心層和接入層組成的兩層架構(gòu)。其中，分組的高速轉(zhuǎn)發(fā)、接入Internet等功能是由核心層完成，MAC地址過(guò)濾、IP地址綁定、計(jì)費(fèi)管理、訪問(wèn)日志記錄等功能是由接入層完成的。試題二閱讀以下說(shuō)明，根據(jù)要求回答下面問(wèn)題。    說(shuō)明 &

12、#160;  某中學(xué)為兩個(gè)學(xué)生課外興趣小組提供了建立網(wǎng)站的軟硬件環(huán)境。網(wǎng)站環(huán)境的基本配置方案如下：    1兩個(gè)網(wǎng)站配置在同一臺(tái)服務(wù)器上，網(wǎng)站服務(wù)由Win 2003環(huán)境下的IIS 6.0提供；    2網(wǎng)站的管理通過(guò)Win 2003的遠(yuǎn)程桌面實(shí)現(xiàn)，并啟用Win 2003的防火墻組件；    3為興趣小組建立各自獨(dú)立的文件夾作為上傳目錄和網(wǎng)站的主目錄，對(duì)用戶使用磁盤空間大小進(jìn)行了設(shè)定；    4通過(guò)不同的域名分別訪問(wèn)課外興趣小組各自的網(wǎng)站。    按照方案，學(xué)校的網(wǎng)絡(luò)工程師安裝了Win

13、2003服務(wù)器，使用IIS6.0建立Web及FTP服務(wù)器，配置了遠(yuǎn)程桌面管理、防火墻，在服務(wù)器上為兩個(gè)課外興趣小組分配了不同的用戶名，進(jìn)行了初步的權(quán)限配置。5、Windows 2003遠(yuǎn)程桌面服務(wù)的默認(rèn)端口是_，對(duì)外提供服務(wù)使用_協(xié)議。    在下圖中，若要拒絕外部設(shè)備PING服務(wù)器，在防火墻的ICMP配置界面上應(yīng)該如何操作?     6、在下圖中，Web服務(wù)擴(kuò)展選項(xiàng)中“所有未知CGI擴(kuò)展禁止”的含義是什么?        2在上圖中，如何配置Web服務(wù)擴(kuò)展，網(wǎng)站才能提供對(duì)或asp程序的支持。7、在上圖中，選擇II

14、S管理器中的“FTP站點(diǎn)新建虛擬目錄”，分別設(shè)置FTP用戶與_、_的對(duì)應(yīng)關(guān)系。    由于IIS內(nèi)置的FTP服務(wù)不支持_，因此FTP用戶密碼是以明文方式在網(wǎng)絡(luò)上傳輸，安全性較弱。8、在IIS 6.0中，每個(gè)Web站點(diǎn)都具有唯一的、由三部分組成的標(biāo)識(shí)符，用來(lái)接收和響應(yīng)請(qǐng)求，分別是_、_和_。網(wǎng)絡(luò)工程師通過(guò)單擊網(wǎng)站屬性網(wǎng)站高級(jí)選項(xiàng)，通過(guò)添加_的方式在一個(gè)IP地址上建立多個(gè)網(wǎng)站。9、在_文件系統(tǒng)下，為了預(yù)防用戶無(wú)限制的使用磁盤空間可以使用磁盤配額管理。啟動(dòng)磁盤配額時(shí)，設(shè)置的兩個(gè)參數(shù)分別是_和_。試題二答案5、3389    RDP或遠(yuǎn)程顯示取消“允許傳入回顯請(qǐng)

15、求”復(fù)選框的選中狀態(tài)，然后單擊【確定】按鈕解析 遠(yuǎn)程桌面協(xié)議(RDP)是一個(gè)多通道的協(xié)議，提供了客戶端(或稱“本地電腦”)與服務(wù)器端(或稱“遠(yuǎn)程電腦”)之間的連接服務(wù)。通常，服務(wù)器端開(kāi)放TCP 3389端口來(lái)接收相關(guān)的通信數(shù)據(jù)。在Windows Servet 2003操作系統(tǒng)中，遠(yuǎn)程桌面服務(wù)的默認(rèn)端口是3389，其對(duì)外提供服務(wù)使用RDP協(xié)議。    命令ping通過(guò)發(fā)送ICMP的Echo請(qǐng)求報(bào)文并監(jiān)聽(tīng)Echo應(yīng)答報(bào)文，來(lái)檢查與遠(yuǎn)程或本地計(jì)算機(jī)的連接。在防火墻的ICMP選項(xiàng)卡中(如上圖所示)，若要拒絕外部設(shè)備ping服務(wù)器，則需要取消“允許傳入回顯請(qǐng)求”復(fù)選框的選中狀態(tài)，然后

16、單擊確定按鈕以保存這一配置信息。6、1.禁止網(wǎng)站添加任何的CGI(通用網(wǎng)關(guān)接口)擴(kuò)展(指向.exe文件的應(yīng)用程序擴(kuò)展)    2.將“Activce Server Pages”的狀態(tài)由“禁止”更改為“允許”解析 “Web服務(wù)擴(kuò)展”功能用于確保IIS的安全。默認(rèn)安裝的IIS在Web服務(wù)擴(kuò)展處全部都為禁用，只允許訪問(wèn)靜態(tài)頁(yè)面。若需要用到某個(gè)功能，則需要先在“Web服務(wù)擴(kuò)展”中開(kāi)啟對(duì)應(yīng)功能。如果在網(wǎng)站中添加了新的后綴對(duì)應(yīng)的應(yīng)用程序擴(kuò)展(例如.php)，也需要在“Web服務(wù)擴(kuò)展”處添加該擴(kuò)展并設(shè)置成允許后才可以使用。例如，如果開(kāi)啟“所有未知CGI(通用網(wǎng)關(guān)接口)擴(kuò)展”功能，則網(wǎng)站添

17、加任何的CGI擴(kuò)展(指向.exe文件的應(yīng)用程序擴(kuò)展)都被允許執(zhí)行；如果開(kāi)啟“所有未知ISAPI(服務(wù)器應(yīng)用程序編程接口)擴(kuò)展”功能，則網(wǎng)站添加任何的。ISAPI擴(kuò)展(指向.dll文件的應(yīng)用程序擴(kuò)展)都被允許執(zhí)行。    如果網(wǎng)站需要提供對(duì)程序(以.aspx結(jié)尾)或asp程序(以.asp結(jié)尾)的支持，則在上圖中應(yīng)將“Activce Server Pages”由原先的“禁止”狀態(tài)更改為“允許”狀態(tài)。7、主目錄    目錄的訪問(wèn)權(quán)限    SSL協(xié)議解析 FTP站點(diǎn)中的數(shù)據(jù)通常保存在主目錄中，然而主目錄所在的磁盤空間畢竟有限，不能滿足日益增

18、長(zhǎng)的數(shù)據(jù)存儲(chǔ)要求。通過(guò)創(chuàng)建FTP站點(diǎn)虛擬目錄可以較好地解決這個(gè)問(wèn)題。虛擬目錄可以作為FTP站點(diǎn)主目錄下的子目錄來(lái)使用。究其實(shí)質(zhì)，虛擬目錄是在FTP站點(diǎn)的根目錄下創(chuàng)建一個(gè)子目錄，然后將這個(gè)子目錄指向本地磁盤中的任意目錄或網(wǎng)絡(luò)中的共享文件夾。創(chuàng)建FTP虛擬目錄的步驟如下：    打開(kāi)“Internet信息服務(wù)(IIS)管理器”窗口，在左窗格中展開(kāi)FTP站點(diǎn)目錄。右鍵單擊創(chuàng)建的FTP站點(diǎn)名稱，在彈出的快捷菜單中依次選擇新建虛擬目錄命令，打開(kāi)虛擬目錄創(chuàng)建向?qū)?duì)話框。    在歡迎對(duì)話框中單擊下一步按鈕，打開(kāi)的“虛擬目錄別名”對(duì)話框。用戶可以根據(jù)需要設(shè)置連接到該虛

19、擬目錄時(shí)使用的名稱。虛擬目錄的別名不必跟指向的實(shí)際目錄名相同。在別名文本框中輸入虛擬目錄名稱，并單擊下一步按鈕。    在打開(kāi)“FTP站點(diǎn)內(nèi)容目錄”對(duì)話框，單擊瀏覽按鈕在本地磁盤中選中虛擬目錄需要指向的實(shí)際目錄，或者直接在路徑文本框中輸入目錄的路徑名稱，并單擊下一步按鈕。    在打開(kāi)的“虛擬目錄訪問(wèn)權(quán)限”對(duì)話框中設(shè)置該目錄的訪問(wèn)權(quán)限，用戶可以根據(jù)實(shí)際需要決定讀取、寫入、記錄訪問(wèn)3個(gè)復(fù)選框的選中狀態(tài)。    依次單擊下一步完成按鈕完成創(chuàng)建過(guò)程。    由于IIS內(nèi)置的FTP服務(wù)不支持安全套接層(SSL)協(xié)議，因此F

20、TP用戶名和密碼是以明文方式在網(wǎng)絡(luò)上傳輸，安全性較弱。8、IP地址    端口號(hào)    主機(jī)頭名稱    不同的端口號(hào)或不同的主機(jī)頭名稱解析 在IIS 6.0中，每個(gè)Web站點(diǎn)都具有唯一的由IP地址、端口號(hào)、主機(jī)頭名稱3個(gè)部分組成的標(biāo)識(shí)符，用來(lái)接收和響應(yīng)請(qǐng)求，如下圖所示。網(wǎng)絡(luò)工程師通過(guò)單擊網(wǎng)站屬性網(wǎng)站高級(jí)選項(xiàng)，通過(guò)添加不同的端口號(hào)或主機(jī)頭名稱的方式，達(dá)到在同一個(gè)IP地址上建立多個(gè)網(wǎng)站。    9、NTFS    磁盤空間限制(或配額限制)    磁盤配額警告級(jí)別(或警告等級(jí))

21、解析 Windows Server 2003磁盤配額功能能夠跟蹤每個(gè)用戶在每個(gè)盤符中的使用情況，并根據(jù)用戶的磁盤配額進(jìn)行控制。由于配額是以每個(gè)用戶為單位進(jìn)行跟蹤的，因此不管用戶在某個(gè)NTFS格式的盤符下任何地方儲(chǔ)存文件都會(huì)被記錄。需要注意的是，磁盤配額必須建立在NTFS格式的盤符上，否則將無(wú)法使用該功能。換而言之，磁盤配額管理需要NTFS文件系統(tǒng)的支持。啟動(dòng)磁盤配額時(shí)，需要分別設(shè)置“將磁盤空間限制為”和“將警告等級(jí)設(shè)為”兩個(gè)參數(shù)，如下圖所示。    試題三閱讀以下說(shuō)明，根據(jù)要求回答下面問(wèn)題。    說(shuō)明    某企業(yè)的網(wǎng)絡(luò)結(jié)構(gòu)如下圖所

22、示。        按照網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)為該企業(yè)網(wǎng)絡(luò)進(jìn)行網(wǎng)絡(luò)地址配置，地址分配如下表所示。 某企業(yè)網(wǎng)絡(luò)地址分配表設(shè)備地址Router-NATF0/1：/24SO：00/24S1：00/24Web服務(wù)器00ISP-A00/24ISP-B00/24ISP-A地址池0002ISP-B地址池000210、企業(yè)網(wǎng)絡(luò)中使用私有地址，如果內(nèi)

23、網(wǎng)用戶要訪問(wèn)互聯(lián)網(wǎng)，一般使用_技術(shù)將私有網(wǎng)路地址轉(zhuǎn)換為公網(wǎng)地址。在使用該技術(shù)時(shí)，往往是用_技術(shù)指定允許轉(zhuǎn)換的內(nèi)部主機(jī)地址范圍。    一般來(lái)說(shuō)，企業(yè)內(nèi)服務(wù)器需要被外部用戶訪問(wèn)，就必須對(duì)其做地址變換，內(nèi)部服務(wù)器映射的公共地址不能隨意更換，需要使用_NAT技術(shù)。但是對(duì)于企業(yè)內(nèi)部用戶來(lái)講，使用一一映射的技術(shù)為每個(gè)員工配置一個(gè)地址很不現(xiàn)實(shí)，一般使用_NAT技術(shù)以提高管理效率。11、一般企業(yè)用戶可能存在于任何一家運(yùn)營(yíng)商的網(wǎng)絡(luò)中，為了確保每個(gè)運(yùn)營(yíng)商網(wǎng)絡(luò)中的客戶都可以高效地訪問(wèn)本企業(yè)所提供的網(wǎng)絡(luò)服務(wù)，企業(yè)有必要同時(shí)接入多個(gè)運(yùn)營(yíng)商網(wǎng)絡(luò)。根據(jù)企業(yè)網(wǎng)絡(luò)的拓?fù)鋱D和網(wǎng)絡(luò)地址規(guī)劃表，實(shí)現(xiàn)該企業(yè)出口的

24、雙線接入。    首先，為內(nèi)網(wǎng)用戶配置NAT轉(zhuǎn)換，其中以/24代表ISP-A所有網(wǎng)段；其次為外網(wǎng)用戶訪問(wèn)內(nèi)網(wǎng)服務(wù)器配置NAT轉(zhuǎn)換。根據(jù)需求，完成以下Route-NAT的有關(guān)配置命令。    Route-Switch (config) #access-list 100 permit ip any 55    /定義到達(dá)ISP-A所有網(wǎng)段的ACL    Route-Switch (config) #access-list 101 _ ip any 61.192

25、.93.0 55    Route-Switch (config) #access-list 101 _    /定義到達(dá)ISP-B所有網(wǎng)段的ACL    RoUte-Switch (config) #ip nat pool ISP-A _ netmask    /定義訪問(wèn)ISP-A的合法地地池    Route-Switch (config) #ip nat pool ISP-B _ netmask    

26、;/定義訪問(wèn)ISP-B的合法地址池    Route-Switch (config) #ip nat inside source liSt100 pool ISP-A overload    Route-Switch (confg) #ip nat inside source _    /為內(nèi)網(wǎng)用戶實(shí)現(xiàn)區(qū)分目標(biāo)運(yùn)營(yíng)商網(wǎng)絡(luò)進(jìn)行匹配的NAT轉(zhuǎn)換    Route-Switch (config) #ip nat inside source static tcp _ extendable    /為內(nèi)網(wǎng)

27、WEB服務(wù)器配置ISP-A的靜態(tài)NAT轉(zhuǎn)換    Route-Switch (config) #ip nat inside source static tcp _ extendable/為內(nèi)網(wǎng)WEB服務(wù)器配置ISP-B的靜態(tài)NAT轉(zhuǎn)換deny    permit ip any 55    00 02    00 02    list 101 pool ISP-

28、B overload    00 80 00 80    00 80 00 8012、在路由器的內(nèi)部和外部接口啟用NAT，同時(shí)為了確保內(nèi)網(wǎng)可以訪問(wèn)外部網(wǎng)絡(luò)，在出口設(shè)備配置靜態(tài)路由。根據(jù)需求，完成(或解釋)Route-NAI的部分配置命令。    Route-Switch (config) #int s0    Route-Switch (config) # _    /指定NAT的外部轉(zhuǎn)換接口  

29、;  Route-Switch (config) #int s1    Route-Switch (config) # _    /指定NAT的外部轉(zhuǎn)換接口    Route-Switch (config) #int f0/1    Route-Switch (config) # _    /指定NAT的內(nèi)部轉(zhuǎn)換接口    Route-Switch (config) # _    /配置到達(dá)ISP-A的流量從s0口轉(zhuǎn)發(fā)    

30、Route-Switch (config) # _    /配置默認(rèn)路由指定從s1口轉(zhuǎn)發(fā)Route-Switch (config) #ip route s0 120    / _iP nat outside    iP nat outside    iP natinside    iP route sOiP route S1 配置默認(rèn)路由指定從s0接口轉(zhuǎn)發(fā)，管理距離為12

31、013、 QoS(服務(wù)質(zhì)量)主要用來(lái)解決網(wǎng)絡(luò)延遲和阻塞等問(wèn)題，它主要有三種工作模式，分別為_(kāi)模型、Integrated Service(或集成服務(wù))模型及_模型，其中使用比較普遍的方式是_模型。試題三答案10、網(wǎng)絡(luò)地址轉(zhuǎn)換或NAT    訪問(wèn)控制列表或ACL    靜態(tài)    動(dòng)態(tài)解析 網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)技術(shù)的主要功能是將組織機(jī)構(gòu)網(wǎng)絡(luò)中使用的某一類IP地址(如私有IP地址10.x.x.x、172.15.x.x172.31.x.x、192.168.x.x等)轉(zhuǎn)換成另一類IP地址(如公網(wǎng)IP地址)。它被廣泛應(yīng)用于各種Internet接

32、入方式和各種類型的網(wǎng)絡(luò)中。因?yàn)镹AT不僅能夠解決IP地址短缺的問(wèn)題，還能夠有效地避免來(lái)自網(wǎng)絡(luò)外部的攻擊，隱藏并保護(hù)網(wǎng)絡(luò)內(nèi)部的計(jì)算機(jī)。在使用NAT技術(shù)時(shí)，往往是用訪問(wèn)控制列表(ACL)技術(shù)指定允許轉(zhuǎn)換的內(nèi)部主機(jī)地址范圍。    NAT主要有靜態(tài)NAT、動(dòng)態(tài)NAT和端口地址轉(zhuǎn)換(PAT)3種轉(zhuǎn)換方式。其中，靜態(tài)NAT是指將IP地址一對(duì)一地映射到指定的合法IP地址。動(dòng)態(tài)NAT是先定義一個(gè)外部網(wǎng)絡(luò)合法的IP地址池，轉(zhuǎn)換時(shí)動(dòng)態(tài)選擇一個(gè)未使用的地址與內(nèi)部地址進(jìn)行一對(duì)一的轉(zhuǎn)換。PAT允許多個(gè)內(nèi)部地址同時(shí)共用一個(gè)外部IP地址池，外部網(wǎng)絡(luò)通過(guò)端口號(hào)來(lái)唯一標(biāo)識(shí)某個(gè)內(nèi)部IP地址，即實(shí)現(xiàn)端口級(jí)的復(fù)

33、用。    由于企業(yè)網(wǎng)中內(nèi)部服務(wù)器映射的公共地址不能隨意更換，因此需要使用靜態(tài)NAT技術(shù)。    對(duì)于企業(yè)內(nèi)部用戶而言，通常使用動(dòng)態(tài)NAT技術(shù)來(lái)提高網(wǎng)絡(luò)管理效率。11、deny    permit ip any 55    00 02    00 02    list 101 pool ISP-B overload    

34、;00 80 00 80    00 80 00 80解析 在路由器上配置訪問(wèn)控制列表(ACL)的一般操作步驟是：定義一個(gè)標(biāo)準(zhǔn)(或擴(kuò)展)的ACL；為ACL配置包過(guò)濾的準(zhǔn)則；配置ACL的應(yīng)用接口。在路由器全局配置模式下，配置擴(kuò)展ACL的命令是access-list access-list-number permit | deny protocol source wildcard-mask destination wildcard-mask operator operand。其中，表號(hào)a

35、ccess-list-number可以是100199和20002699范圍中的任何一個(gè)數(shù)字；通配符(wildcard-mask)是子網(wǎng)掩碼的反碼形式；operator(操作)指的是lt(小于)、gt(大于)、eq(等于)和neq(不等于)；operand(操作數(shù))指的是端口號(hào)。    依題意，配置語(yǔ)句access-list 100 permit ip any 55的功能是，定義一條表號(hào)為100、允許企業(yè)內(nèi)網(wǎng)中任何IP地址的主機(jī)可以訪問(wèn)運(yùn)營(yíng)商ISP-A所有網(wǎng)段的ACL。    同理，配置語(yǔ)句access-list 10

36、1 deny ip any 55的功能是，定義一條表號(hào)為101、禁止企業(yè)內(nèi)網(wǎng)中任何IP地址的主機(jī)訪問(wèn)運(yùn)營(yíng)商ISP-A所有網(wǎng)段的ACL。    由上表可知，運(yùn)營(yíng)商ISP-B所有網(wǎng)段的地址為00/24。定義一條表號(hào)為101、允許企業(yè)內(nèi)網(wǎng)中任何IP地址的主機(jī)訪問(wèn)運(yùn)營(yíng)商ISP-B所有網(wǎng)段的ACL配置語(yǔ)句是：access-list 101 permit ip any 55。    在路由器全局配置模式下，使用命令ip nat pool address-pool

37、-name start-address end-address netmask mask | prefix-length prefix-length定義全局IP地址池。由上表可知，運(yùn)營(yíng)商ISP-A地址池范圍為0002。因此，定義訪問(wèn)ISP-A的合法地址池的配置語(yǔ)句是：ip nat pool ISP-A 00 02 netmask 。    同理，運(yùn)營(yíng)商ISP-B地址池范圍為0002，因此，定義訪問(wèn)ISP-B的合

38、法地址池的配置語(yǔ)句是：ip nat pool ISP-B 00 02 netmask 。    在路由器全局配置模式下，使用命令ip natinside source list access-list-number pool address-pool定義內(nèi)部源地址動(dòng)態(tài)轉(zhuǎn)換關(guān)系。依題意，配置語(yǔ)句ip nat inside source list 100 pool ISP-A overload的功能是，滿足表號(hào)為100的ACL訪問(wèn)規(guī)則的內(nèi)網(wǎng)用戶與ISP-A的合法地址池進(jìn)行動(dòng)態(tài)NAT轉(zhuǎn)換。  

39、  同理，滿足表號(hào)為101的ACL訪問(wèn)規(guī)則的內(nèi)網(wǎng)用戶與ISP-B的合法地址池進(jìn)行動(dòng)態(tài)NAT轉(zhuǎn)換的配置語(yǔ)句是：ip nat inside source list 101 pool ISP-B overload。    靜態(tài)NAPT需要向外網(wǎng)絡(luò)提供信息服務(wù)的服務(wù)器永久的一對(duì)一“IP地址+端口”映射關(guān)系。為外網(wǎng)用戶訪問(wèn)內(nèi)網(wǎng)服務(wù)器配置NAT轉(zhuǎn)換時(shí)，需在路由器全局配置模式下，使用命令ip nat inside source static UDP | TCP)/ocal-address port global-address port extendable定義全局IP地址池。

40、依題意，Web服務(wù)器的IP地址為00，ISP-A的IP地址為00/24。因此，為內(nèi)網(wǎng)Web服務(wù)器配置ISP-A的靜態(tài)NAT轉(zhuǎn)換的配置語(yǔ)句是：ip natinside source statictcp 00 80 00 80 extendable。    同理，ISP-B的IP地址為00/24。因此，為內(nèi)網(wǎng)Web服務(wù)器配置ISP-B的靜態(tài)NAT轉(zhuǎn)換的配置語(yǔ)句是：ip nat inside source static tcp 192.168.1-100 80 202

41、.102.100.200 80 extendable。12、iP nat outside    iP nat outside    iP natinside    iP route sO    iP route S1    配置默認(rèn)路由指定從s0接口轉(zhuǎn)發(fā)，管理距離為120解析 在路由器全局配置模式下，使用命令ip nat outside將當(dāng)前接口定義為NAT的外部轉(zhuǎn)換接口。由上圖所示的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和上表中Rout

42、er-NAT設(shè)備的地址信息可知，S0和S1均應(yīng)定義為NAT的外部轉(zhuǎn)換接口。    Router-NAT設(shè)備的F0/1應(yīng)定義為NAT的內(nèi)部轉(zhuǎn)換接口。    在路由器全局配置模式下，使用ip route命令配置靜態(tài)路由，其命令格式是：ip route目的網(wǎng)絡(luò)地址子網(wǎng)掩碼下一跳路由器的IP地址|本地路由器IP包的輸出接口。依題意，ISP-A的網(wǎng)段地址為，子網(wǎng)掩碼為。若要使得到達(dá)ISP-A的流量從S0口轉(zhuǎn)發(fā)，則相應(yīng)的配置語(yǔ)句是ip route s0。  

43、  默認(rèn)路由是靜態(tài)路由的一個(gè)特例。默認(rèn)路由中的“ ”表示未知主機(jī)，即任何無(wú)法判斷的目的主機(jī)地址。依題意，默認(rèn)路由指定從s1口轉(zhuǎn)發(fā)，則相應(yīng)的配置語(yǔ)句是ip route s1。    同理，配置語(yǔ)句ip route s0 120的功能是，配置默認(rèn)路由指定從s0接口轉(zhuǎn)發(fā)，管理距離為120。其中，120是路由信息協(xié)議(RJP)的路由管理距離。13、Differentiated Service或區(qū)分服務(wù)    Best-Effort Service或盡力而為服務(wù)

44、   Best-Effort Service或盡力而為服務(wù)解析 Qos(服務(wù)質(zhì)量)主要用來(lái)解決網(wǎng)絡(luò)延遲和阻塞等問(wèn)題，主要有3種工作模式，分別為Differentiated Service(區(qū)分服務(wù))模型、Integrated Service(集成服務(wù))模型及Best-Effort Service(盡力而為服務(wù))模型。其中，DiffServ(區(qū)分服務(wù))實(shí)現(xiàn)Oos的基本思想是：將網(wǎng)絡(luò)中傳輸?shù)臉I(yè)務(wù)量分成多個(gè)類，并按不同方式進(jìn)行處理。其實(shí)現(xiàn)過(guò)程可簡(jiǎn)述為：邊界路由器對(duì)數(shù)據(jù)包進(jìn)行分類，設(shè)置不同的標(biāo)識(shí)，并根據(jù)SLA(服務(wù)等級(jí)協(xié)定)和PHB(逐跳轉(zhuǎn)發(fā)行為)選擇不同的隊(duì)列轉(zhuǎn)發(fā)。  

45、  集成服務(wù)(IntServ)實(shí)現(xiàn)OoS的基本思想是：在通信開(kāi)始之前利用資源預(yù)留方式為通信雙方預(yù)留所需的資源，保證所需要的服務(wù)質(zhì)量。它是對(duì)端到端的行為進(jìn)行控制，使得網(wǎng)絡(luò)中的各元素能夠控制和實(shí)現(xiàn)這些行為，從而使延遲得到有效控制。    Best-Effort Service模型是一個(gè)單一的服務(wù)模型，也是最簡(jiǎn)單的服務(wù)模型。在該服務(wù)模型中，網(wǎng)絡(luò)盡最大的可能性來(lái)發(fā)送報(bào)文，但對(duì)延時(shí)、可靠性等性能不提供任何保證。Best-Errort服務(wù)模型是網(wǎng)絡(luò)的默認(rèn)服務(wù)模型，通過(guò)FIFO(先入先出)隊(duì)列來(lái)實(shí)現(xiàn)。它適用于大多數(shù)網(wǎng)絡(luò)應(yīng)用，例如FTP、E-Mail等。試題四閱讀以下說(shuō)明，根據(jù)要

46、求回答下面問(wèn)題。    說(shuō)明    某公司網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如下圖所示。公司內(nèi)部使用C類私有IP地址，其中公司兩個(gè)部門分別處于VLAN10和VLAN20，VLAN10采用/24網(wǎng)段，VLAN20采用/24網(wǎng)段，每段最后一個(gè)地址作為網(wǎng)關(guān)地址。     14、公司使用VTP協(xié)議規(guī)劃VLAN，三層交換機(jī)S1為VTP Sever，其他交換機(jī)為VTP Client，并通過(guò)S1實(shí)現(xiàn)VLAN間通信。請(qǐng)根據(jù)網(wǎng)絡(luò)拓?fù)浜托枨笳f(shuō)明，完成交換機(jī)S1和S2的配置。    S1enable  

47、;  S1#configure terminal    S1 (config) #vtp mode _    S1 (config) #vtp domain shx    S1 (config) #vtp password shx    S1 (config) #vlan 10    S1 (eonfig-vlan) #exit    S1 (config) #vlan 20    S1 (config-vlan) #exit   &#

48、160;S1 (config) #interface vlan 10    S1 (config-if) #ip address _  _    S1 (config-if) #exit    S1 (config) #interface vlan 20    S1 (config-if) #ip address 54    S1 (config-if) #exit    S1 (config) #intetrac

49、e _ fastethernet 0/22-23    S1 (config-if-range) #switchport mode access    S1 (config-if-range) #switchporn mode _    S1 (config-if-range) #exit    S1 (config) #interface fastEthernet 0/1    S1 (config-if) # _    /關(guān)閉二層功能S1 (config-if) #ip

50、add 54    S1 (config-if) #exit        S1 (config) # _  _     /開(kāi)啟路由功能    S1 (config) #    S2enable    S2#configure terminal    S2 (config) #vtp mode _    S2 (config) #vtp domain sh

51、x    S2 (config) #vtp password shx    S2 (config) #intererce fastethernet 0/24    S2 (config-if) #switchport mode _    /設(shè)定接口模式    S2 (config-if) #end    S2#15、公司申請(qǐng)了/29地址段，使用NAT-PT為用戶提供Internet訪問(wèn)，外部全局地址為，Web服務(wù)器使用的外部

52、映射地址為。請(qǐng)根據(jù)網(wǎng)絡(luò)拓?fù)浜托枨笳f(shuō)明，完成路由器R1的配置。    R1 (confiG) #interface serial 0/0/0    R1 (config-if) #ip address 48    R1 (config-if) #no shutdown    R1 (config-if) #clock rate 4000000    R1 (config-if) #ip address 192.168.

53、50.254    R1 (config-if) #no shutdown    R1 (config-if) #exit    R1 (config) #ip nat inside source _ 1 interface S0/0/0 Overload    R1 (config) #ip nat inside source static _    R1 (config) #interface fastethernet 0/0 

54、0;  R1 (config-if) #ip nat _    R1 (config-if) #interface serial 0/0/0    R1 (config-if) #ip nat _    R1 (config-if) #end    R1#permit    list        inside    outside試題四答案14、server    192.168.

55、10.254        range    trunk    no swichport    ip    routing    client    trunk解析 通過(guò)VLAN中繼協(xié)議(VTP)可以減少在多臺(tái)設(shè)備上配置同一VLAN信息的工作量，并保證整個(gè)網(wǎng)絡(luò)VLAN配置的一致性。VTP有3種工作模式：服務(wù)模式(VTP Setver)、客戶模式(VTP client)和透明模式(VTP Transparent)

56、。通常，一個(gè)VTP域內(nèi)的整個(gè)網(wǎng)絡(luò)只設(shè)1個(gè)VTP Server。VTP Server維護(hù)該VTP域中所有VLAN信息列表，VTP Server可以建立、刪除或修改VLAN，發(fā)送并轉(zhuǎn)發(fā)相關(guān)的通告信息，同步vlan配置，并把配置保存在NVRAM中。依題意，在三層交換機(jī)S1全局配置模式下，使用命令vtp mode server可將當(dāng)前交換機(jī)的VTP模式設(shè)置為VTP Sever。    由題干給出的“VLAN10采用/24網(wǎng)段，VLAN20采用/24網(wǎng)段，每段最后一個(gè)地址作為網(wǎng)關(guān)地址”等關(guān)鍵信息可知，VLAN10的網(wǎng)關(guān)地址為192.16

57、8.10.254/24，VLAN20的網(wǎng)關(guān)地址為54/24。參照VLAN20網(wǎng)關(guān)地址的配置語(yǔ)句ip address 54 ，可得VLAN10網(wǎng)關(guān)地址的配置語(yǔ)句ip address 54    配置命令interface range fastehternet用于綁定一組交換機(jī)端口，并進(jìn)入端口批量配置視圖。    虛擬局域網(wǎng)中繼(VLAN Trunk)是在同一個(gè)域的交換機(jī)與交換機(jī)(或交換機(jī)與路由器)之間的物理鏈路上能夠傳輸多個(gè)VLAN

58、信息的技術(shù)。在端口配置模式下，使用命令switchportmode trunk將當(dāng)前交換端口設(shè)置為Trunk模式。根據(jù)上圖所示的公司網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，三層交換機(jī)S1通過(guò)端口f0/23、f0/24分別與接入層交換機(jī)S2和S3的f0/24端口進(jìn)行連接。因此，需要將S1的f0/23、f0/24端口設(shè)置為Trunk模式，使得這兩個(gè)端口能夠傳輸VLAN1、VLAN10、VLAN20等信息。    三層交換機(jī)是一種帶有三層路由功能的交換機(jī)，其端口既有三層路由功能，也具有二層交換功能。三層交換機(jī)端口默認(rèn)為二層模式，接口配置模式下使用不帶參數(shù)的switchport命令，把一個(gè)接口設(shè)置為二層模式

59、；若需要關(guān)閉二層功能、啟用三層功能，則需要在此端口輸入no switchport命令。    三層交換機(jī)默認(rèn)情況下路由功能是關(guān)閉的，需要使用命令ip routing手動(dòng)開(kāi)啟路由功能。    VTP Client雖然也維護(hù)所有VLAN信息列表，但其VLAN的配置信息是從VTP Server學(xué)習(xí)的。VTP Client不能建立、刪除或修改VLAN，但可以轉(zhuǎn)發(fā)通告，同步vlan配置，但不把配置保存配置到NVRAM中。依題意，交換機(jī)S2的VTP模式設(shè)置為VTP Client。15、permit    list    192

60、.168.40.1    inside    outside解析 在路由器全局配置模式下，配置標(biāo)準(zhǔn)ACL的命令是access-list access-list-number permit | deny source wildcard-mask。其中，表號(hào)access-list-number可以是199和13001999范圍中的任何一個(gè)數(shù)字；通配符(Wildcard-mask)是子網(wǎng)掩碼的反碼形式。依題意，定義一條表號(hào)為1、允許企業(yè)內(nèi)網(wǎng)中/24網(wǎng)段(即VLANl0)的主機(jī)可以訪問(wèn)Internet的標(biāo)準(zhǔn)ACL配置語(yǔ)句是：access-

61、list 1 permit 55。    在路由器全局配置模式下，使用命令ip nat inside source list access-list-number interface interfaceport定義內(nèi)部源地址動(dòng)態(tài)轉(zhuǎn)換關(guān)系。依題意，配置語(yǔ)句ip nat inside source list 1 interface S0/0/0 Overload的功能是，滿足表號(hào)為1的ACL訪問(wèn)規(guī)則的內(nèi)網(wǎng)用戶與S0/0/0所配置的合法地址池進(jìn)行動(dòng)態(tài)NAT轉(zhuǎn)換。    根據(jù)上圖所示的網(wǎng)絡(luò)拓?fù)湫畔⒖芍?，Web服務(wù)器配置的內(nèi)

62、網(wǎng)IP地址為/24。結(jié)合題干給出的“Web服務(wù)器使用的外部映射地址為”等關(guān)鍵信息，需要使用靜態(tài)NAT技術(shù)來(lái)映射這一Web服務(wù)器，其相應(yīng)的配置語(yǔ)句為ip nat inside source static 。    在路由器全局配置模式下，使用命令ip nat outside將當(dāng)前接口定義為NAT的外部轉(zhuǎn)換接口；使用命令ip nat inside將當(dāng)前接口定義為NAT的內(nèi)部轉(zhuǎn)換接口。由上圖所示的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和題干所給出的地址信息可知，路由器的S0/0/0接口應(yīng)定義為NAT的外部

63、轉(zhuǎn)換接口，f0/0接口應(yīng)定義為NAT的內(nèi)部轉(zhuǎn)換接口。答案:試題一1、路由器或邊界路由器    防火墻或統(tǒng)一安全網(wǎng)關(guān)(LISG)，或其他具有類似功能的網(wǎng)絡(luò)安全設(shè)備    DMZ或非軍事    入侵防護(hù)系統(tǒng)(IPS)或基于網(wǎng)絡(luò)的入侵防護(hù)系統(tǒng)(NIPS)    鏡像    旁路模式解析 由上圖所給出的設(shè)備連接信息可知，該企業(yè)網(wǎng)絡(luò)拓?fù)浒捶謪^(qū)域、層次化結(jié)構(gòu)進(jìn)行設(shè)計(jì)，主要分為網(wǎng)絡(luò)出口區(qū)域、外部服務(wù)器區(qū)域、核心交換區(qū)域、接入交換區(qū)域、網(wǎng)絡(luò)管理區(qū)域等。路由器具有廣域網(wǎng)互連、隔離廣播信息和異構(gòu)網(wǎng)互連等能力，是企業(yè)網(wǎng)與Internet連接必不可少的網(wǎng)絡(luò)互連設(shè)備。該企業(yè)網(wǎng)要接入Internet，因此需要在企業(yè)網(wǎng)的邊界(即網(wǎng)絡(luò)設(shè)備處)部署一臺(tái)路由器，用于實(shí)現(xiàn)邊界路由計(jì)算；在網(wǎng)絡(luò)設(shè)備處部署一臺(tái)防火墻，用于實(shí)現(xiàn)服務(wù)器區(qū)域、企業(yè)內(nèi)網(wǎng)區(qū)域和網(wǎng)絡(luò)出口區(qū)域之間的邏輯隔離，提高服務(wù)器區(qū)域和企業(yè)內(nèi)網(wǎng)區(qū)域的網(wǎng)絡(luò)安全性能。    防火墻中的DMZ區(qū)也稱為非軍事區(qū)，它是為了解決安裝防火墻后外部網(wǎng)絡(luò)不能訪問(wèn)內(nèi)部網(wǎng)絡(luò)服務(wù)器的問(wèn)題而設(shè)立的一個(gè)非安全系統(tǒng)與安全系