A区。因为整个网络中心及服务器机房部署在A区，是网络业务流量最为集中的核心区域，网络架构成本低，且便于今后网络运行维护等。
   千兆裸光纤互连方式的可靠性更高。因为裸光纤互连是物理层的点对点连接，传输损耗低、抗干扰能力强；MPLS VPN互联的通信线路通常是SDH网络专线，数据传输过程中易受到各种干扰。
   AB区之间采用裸光纤进行互连；AC区之间采用MPLS-VPN方式进行互连。

[解析] 依题意，该单位总部设在A区，且单位的主要网络业务需求在A区，网络中心及服务器机房亦部署在A区，即A区是整个网络业务流量最为集中的区域，综合考虑网络架构成本、便于今后网络运行维护等方面的因素，建议两家运营商的Internet接入线路应部署在A区。
   MPLS-VPN是一种基于宽带IP网络，采用MPLS(多协议标记交换)技术，在公共IP网络上构建企事业单位IP专网，实现数据、语音、图像等多业务宽带连接，并结合差别服务、流量工程等相关技术，为用户提供高质量的网络连接服务。
   裸光纤租赁业务是指用户向电信或其他公司租用光纤作为传输媒体，电信或其他公司通常只提供光纤物理通道，不提供数据处理等服务，整条光纤干线也不经过任何数据处理设备，由用户自行配置两端的收发设备。其具有传输距离远、通信容量大、传输速度快、损耗低、抗干扰能力强、租赁成本较高等业务特点。普通单模光纤链路上最远可以传递70km，使用高质量单模光纤链路最远可至100km。
   MPLS-VPN互联方式的通信线路通常是同步数字体系(SDH)网络专线，而裸光纤互联是物理层的点对点连接。二者相比而言，裸光纤互联方式的可靠性高。
   由上图可知，AB区之间物理距离为20km，AC区之间物理距离为80km。由于“B区的网络业务流量需求远大于C区”，即AB区之间需要较高带宽进行通信，而裸光纤互联方式的传输带宽远大于MPLS-VPN互联方式，因此建议AB区之间采用裸光纤进行互联。远距离裸光纤互联的租赁费用较昂贵，而MPLS-VPN互联方式的租赁费用相对便宜。由于AC区之间的数据通信距离较远，且C区网络业务量小，因此建议AC区之间采用MPLS-VPN方式进行互联。

2    C    B    A    27    19    7    A

[解析] 基于表1中“备注”栏目中给出的“所有区域采用三层局域网结构部署，其中A区采用双核心交换机冗余”等关键信息可知，该单位的整个网络分为核心层、汇聚层、接入层，且通过与核心层设备互连的路由设备接入Internet。位于A区的网络核心层需要部署两台核心三层交换机，并分别与汇聚层交换机进行双链路连接，实现核心节点、线路N+1冗余设计。两条链路都处于使用状态，无论采用热备方式还是负载均衡方式，当任何一条链路出现故障后，汇聚层网络仍能继续与核心层网络进行数据通信。
   由表2中所给出的数据可知，A区网络中部署了2台核心交换机、5台汇聚交换机。“所有汇聚点采用单模光纤上连至核心交换机”，且核心交换机与汇聚交换机之间采用双链路冗余连接以提高网络的可靠性，即每台汇聚交换机需要配置2个SFP单模模块。5台汇聚交换机共需要配置10个SFP单模模块，每台核心交换机对应需要配置5个SFP单模模块。另外，A区与B区、A区与C区的核心交换机之间采用光纤进行互接，对此每台核心交换机还需要配置1个SFP单模模块。因此，表3中共有22个SFP单模模块的区域为A区，即5×2+5×2+1×2=22个。
   同理，B区网络中部署了1台核心交换机、3台汇聚交换机。核心交换机与汇聚交换机之间采用单条链路进行连接，则3台汇聚交换机共需要配置3个SFP单模模块，核心交换机上对应需要配置3个SFP单模模块；并且核心交换机还需要配置1个SFP单模模块用于与A区核心交换机的光纤互连。因此，表3中共有7个SFP单模模块的区域为B区，即3+3+1=7个。
   同理，C区网络中部署了1台核心交换机、2台汇聚交换机。核心交换机与汇聚交换机之间采用单条链路进行连接，则2台汇聚交换机共需要配置2个SFP单模模块，核心交换机上对应需配置2个SFP单模模块；并且核心交换机还需要配置1个SFP单模模块用于MPLS-VPN中SDH的光纤互连，以实现与A区核心交换机的数据通信。因此，表2中共有5个SFP单模模块的区域为C区，即2+2+1=5个。
   由表1中所给出的数据可知，A区网络中的信息点数量至少有124+86+78+200+115=603个。由于“所有接入交换机采用双绞线上联至汇聚交换机”，即每台接入交换机需要使用1个以太端口连接汇聚层交换机，因此A区网络中接入层交换机数量至少需要27台，即603/(24-1)≈26.22台，将计算结果向上取整数得27台。
   同理，B区网络中的信息点数量至少有106+126+198=430个，对此接入层交换机数量至少需要19台，即430/(24-1)≈18.70台，将计算结果向上取整数得19台。
   C区网络中的信息点数量至少有86+54=140个，对此接入层交换机数量至少需要7台，即140/(24-1)≈6.09台，将计算结果向上取整数得7台。
   由问题1的要点解析可知，两家运营商的Internet接入线路应部署在A区，因此表2中负责单位网络边界路由计算的路由器应部署在A区。

[解析] 综合上两道题的分析结果，该单位的A区网络拓扑结构如下图所示。
   
   在图所示的网络结构中，两台核心三层交换机分别与每台汇聚层交换机、千兆服务器接入交换机、认证及流控设备等设备进行链路连接，实现核心层网络结构的双链路冗余设计，减少网络单点故障；两台核心三层交换机之间采用以太网通道技术以提高主干道的吞吐量，并实现冗余设计；3台业务服务器先连接至千兆服务器接入交换机，再接入到核心三层交换机；通过部署一台认证及流控设备用于实现网络身份认证和上网行为管理；通过部署一台防火墙设备用于保护单位网络的边界安全，防止外部网络用户以非法手段进入内部网络或访问内部网络资源；在防火墙与网络运营商之间部署一台出口路由器，用于实现该单位网络的边界路由计算等功能，且该出口路由器采用双ISP互连方式分别连接至网络运营商ISP1、ISP2，以满足该单位网络用户访问Internet的相关业务需求。主核心三层交换机通过SFP单模模块分别与B区网络的裸光纤、与C区网络的MPLS-VPN实现互连。

117.112.89.67   443    E:\gsdata    B或读取

[解析] SSL协议的一个典型应用是安全的HTTP协议——HTTPS协议，它基于传输控制协议(TCP)的443端口来发送或接受报文，用于解决信任主机、通信过程中的数据泄密和被篡改等问题。依题意，由题干给出的关键信息“要求用户在浏览器地址栏必须输入https://www.yinfu.com/index.html或https://117.112.89.67/index.html来访问该公司网站”等可知，该公司网站的域名为www.yinfu.com，对应的IP地址为117.112.89.67，网站首页的文件名为index.html，用户访问该网站使用的是“https://”方式(而不是“http://”)。因此，在图1所示的[网站]选项卡中的“IP地址”下拉文本框的内容应为117.112.89.67；“SSL端口”文本框中的内容应为443。其中，若该网站服务器仅配置了117.112.89.67这一个IP地址，则“IP地址”文本框还可以选中其下拉菜单中的“全部未分配”来完成配置，此时站点将响应分配给该服务器但没有分配给其他站点的所有IP地址，并使它成为默认网站的IP地址。
   由题干关键信息“index.html文件存放在网站所在服务器E:\gsdata目录中”可知，在图2所示的[主目录]选项卡中“本地路径”文本选择框的内容应为E:\gsdata，以指明网站首页文档的物理存放路径。
   为保障客户端对该企业网站的访问，在图2中应至少勾选[读取]复选框，并单击[确定](或[应用])按钮。

CA颁发证书    A或验证网站的真伪    D或网站的私钥

[解析] 为了配置安全的Web网站，需要在如图3所示的[目录安全性]选项卡中，单击[安全通信]组件框中的[服务器证书]按钮，来获取服务器证书。获取服务器证书共有以下4个步骤：①生成证书请求文件；②CA颁发证书；③从CA导出证书文件；④在IIS服务器上导入并安装证书。
   数字证书能够验证一个实体身份，而这是在保证数字证书本身有效性的前提下才能够实现的。验证数字证书的有效性是通过验证证书颁发机构(CA)的签名实现的。某个Web网站向CA申请了数字证书。当用户登录该网站时，通过验证CA对其的签名来确认该数字证书的有效性，从而验证该网站的真伪。在用户与网站进行安全通信时，用户可以通过该网站数字证书中的公钥进行加密和验证，该网站则通过只有自身拥有的私钥对信息进行解密和签名。
   CA颁发给Web网站的数字证书中包含多项内容(例如网站的公钥、CA的签名、证书的有效期等)，但是不包括网站的私钥。

“要求安全通道(SSL)(R)”    “要求客户端证书(U)”

[解析] 依题意，配置该Web网站时，在图3所示的[目录安全性]选项卡中，单击[安全通信]组件框中的[编辑]按钮，系统将打开如图4所示的[安全通信]对话框。若要求客户只能使用HTTPS服务访问该公司的Web站点，则应选中[要求安全通道(SSL)]复选框，并单击[确定]按钮。建立了SSL安全机制后，只有SSL允许的客户才能与该企业Web站点进行通信，并且在使用URL资源定位器时，要注意输入的是“https://”，而不是“http://”。
   如果在图4中选择“要求安全通道(SSL)(R)”复选框，并选中“要求客户证书(U)”单选按钮，那么Web服务器将对客户端证书进行强制认证。其中，“要求客户证书”单选按钮需要在选中“要求安全通道(SSL)”后才被激活。选择该选项后，则仅允许具有有效客户端证书的用户才能该Web站点。没有有效客户端证书的用户将被拒绝访问该站点。

C或网上交易    TLS或传输层安全协议

[解析] HTTPS用于在客户计算机和服务器之间提供安全通信，广泛用于因特网上安全敏感的应用，例如网上银行、电子商务的网上交易等业务应用。
   SSL目前的版本是3.0，被IETF定义在RFC6101中。IETF对SSL进行升级后的继任者是传输层安全协议(TLS1.0)。IETF的传输层安全协议(TLS1.0)与SSL3.0是等价的。

不能

[解析] HTTPS不是一个单独的协议，而是两个协议的结合，即在加密的安全套接层(SSL)或传输层安全(TLS)上进行普通的HTTP交互传输。它只是服务器与客户机交互时进行安全性验证以及保护信息通信过程中的安全。但是它不能保证服务器自身的安全性，例如服务器遭受到病毒入侵、木马攻击、DOS攻击、ARP欺骗、DNS欺骗等。

255.255.255.248    192.168.2.34    192.168.2.33

[解析] 基于上图所示的网络结构信息，Web服务器的eth1网卡通过交换机4连接至路由器E3接口所在的子网。因此，该子网的网关地址为路由器E3接口的IP地址192.168.2.33/29，即网关地址为192.168.2.33、子网掩码为255.255.255.248。而Web服务器的eth1网卡的IP地址为192.168.2.34。

255.255.255.248    192.168.2.2    192.168.2.1

[解析] DNS服务器的eth0网卡通过交换机3连接至路由器E2接口所在的子网。因此，该网卡所在子网的网关地址为路由器E2接口的IP地址192.168.2.1/29，即网关地址为192.168.2.1、子网掩码为255.255.255.248。而DNS服务器的IP地址为192.168.2.2。

C或192.168.2.10    C(或192.168.2.4或者192.168.2.34)    B或192.168.2.34

[解析] BIND服务器的区域类型配置文件为/etc/named.conf。在/etc/named.conf文件中，options字段用于声明域服务器的cache文件、正向/反向解析区域文件的名称及其位置；type字段用于设置服务器类型，master为主服务器，slave为从服务器，hint为缓存服务器；file字段用于设置相应的查询文件名称。
   子网192.168.1.0/25所覆盖的可实际分配的IP地址为192.168.1.1～192.168.1.126；
   子网192.168.1.128/25所覆盖的可实际分配的IP地址为192.168.1.129～192.168.1.254；
   子网192.168.2.0/29所覆盖的可实际分配的IP地址为192.168.2.1～192.168.2.6；
   子网192.168.2.32/29所覆盖的可实际分配的IP地址为192.168.2.33～192.168.2.38。
   文件named.conf中，语句acl “A” {192.168.1.0/25；}；的功能是定义一条名为A、地址范围为192.168.1.1～192.168.1.126的访问控制列表；语句allow-recursion {A;B;C;D)；的功能是允许名为A、B、C、D的访问控制列表所定义的IP地址使用该DNS服务器进行递归查询。由于地址192.168.2.10既不属于子网192.168.2.0/29，也不属于子网192.168.2.32/29，因此该IP地址不允许使用此DNS服务器进行递归查询。
   子网1通过交换机1连接至路由器E0接口所在的子网。而路由器E0口的IP地址为192.168.1.1/25，即该子网的网关地址为192.168.1.1、子网掩码为255.255.255.128。由文件named.conf中，视图view”A”的相关语句可知，对于网段192.168.1.0/25的客户机访问域名为www.yinfu.com的Web服务器时，使用Web服务器的IP地址192.168.2.4给出域名递归查询的解析结果。而视图view“B”的相关语句可知，对于任何网段(包括网段192.168.1.0/25)的客户机访问域名为www.yinfu.com的Web服务器时，使用Web服务器的IP地址192.168.2.34给出域名递归查询的解析结果。因此，子网1中的客户端访问www.yinfu.com时，该DNS解析返回的IP地址可能是192.168.2.4、192.168.2.34中的任何一个。
   子网2通过交换机2连接至路由器E1接口所在的子网。而路由器E1口的IP地址为192.168.1.129/25，即该子网的网关地址为192.168.1.129、子网掩码为255.255.255.128。子网2中的客户端(例如PC1)访问www.yinfu.com时，将使用视图view“B”给出域名递归查询的解析结果，该DNS解析返回的IP地址为192.168.2.34。

7    192.168.2.35    192.163.2.38    192.168.2.2

[解析] 在Linux操作系统中，DHCP服务器配置文件/etc/dhcpd.conf。在/etc/dhcpd.conf配置文件中，选项range的功能是指定DHCP客户机能获得的IP地址范围；选项default-lease-time的功能是设置默认租用时间(单位为秒)；选项max-lease-time的功能是设置最大租用时间(单位为秒)；选项option subnet-mask的功能是设置子网掩码；选项option broadcast-address的功能是设置直接广播地址；选项option router的功能是设置默认网关；选项option domain-name-servers的功能是设置域名服务器IP地址；语句option domain-name的功能是设置域名；选项subnet＜ip_address＞netmask＜netmask＞{ }的功能是针对个别IP网段进行相关参数配置；选项host＜host name＞{ }的功能是为某个MAC地址绑定相应的IP地址。
   由配置语句default-lease-time 604800；可知，该DHCP服务的默认租期为604800s，即604800/(60×60×24)=7天。
   由配置语句range 192.168.2.35 192.168.2.38；DHCP客户机能够动态获得的IP地址范围是192.168.2.35～192.168.2.38。
   由配置语句option domain-name-servers 192.168.2.2；可知，DHCP客户机动态获得的DNS服务器IP地址为192.168.2.2。

接口配置或端口配置    192.168.1.1 255.255.255.0    激活(或开启，或使能，或其他等价词语)    100pback 0    192.168.1.20 255.255.255.255    line vty0 4    secret

[解析] 在路由器全局配置模式RouterA(config)}#下，使用命令interface＜port＞进入所指定接口配置子模式RouterA(config-if)#。
   由上表该企业的网络地址规划信息可知，RouterA的f0/0接口的IP地址为192.168.1.1、子网掩码为255.255.255.0。因此，在接口配置子模式下，使用命令“ip address＜IP地址＞＜子网掩码＞”配置当前接口的IP地址信息。
   默认情况下，路由器的所有接口都为down(非激活)状态。在接口配置子模式下，使用命令no shutdown激活路由器当前接口，使其处于工作状态(Active)。
   在路由器上，Loopback接口没有一个实际的物理接口与之对应，也没有与其他网络节点相连接的物理链路。它是一个虚拟的环回接口，其接口号的有效值为0～2 147 483 647。Loopback接口主要用于网络管理。网络管理员为Loopback接口分配一个IP地址作为管理地址，其子网掩码应为255.255.255.255。该接口不受网络故障的影响，永远处于激活状态。可以使用该接口管理地址远程登录到路由器，从而对路由器进行配置与管理。在路由器全局配置模式下，使用命令interface loopback 0进入loopback 0的接口配置子模式。
   由题干给出的关键信息“配置RouterA的远程管理地址(192.168.1.20)”。
   由于路由器是互连不同的逻辑子网的设备，因此其每个接口都必须配置唯一的IP地址。在远程登录到路由器时，可以使用任意一个处于激活状态接口的IP地址，因此，路由器无需单独配置设备管理地址，只需在虚拟终端线上配置远程登录的密码。在路由器全局配置模式下，使用命令line vty 0 4进入虚拟接口0-4(虚拟终端)配置子模式“RouterA(cortfig-line)#”。
   在路由器全局配置模式下，使用命令enable password ＜password＞配置超级用户明文密码；使用命令enable secret＜password＞配置超级用户密文密码。若同时配置了这两种密码，则密文密码起作用。

permit    deny    S0    F0/0(或fastethemet0/0)    S0(或serial 0)

[解析] 在路由器全局配置模式下，配置扩展访问控制列表(ACL)的命令是access-list access-list-number {permit | deny} protocol source wildcard-mask destination wildcard-mask [operator] [operand]。其中，表号access-list-number可以是100～199和2000～2699范围中的任何一个数字；通配符(wildcard.mask)是子网掩码的反码形式；operator(操作)指的是lt(小于)、gt(大于)、eq(等于)和neq(不等于)；operand(操作数)指的是端口号。
   依题意，该企业总部在A地，分支机构在B地，AB两地需要在网络上进行频繁的数据传输。结合上表网络地址规划信息可知，A地网络的网段地址为192.168.1.0、子网掩码为255.255.255.0；B地网络的网段地址为172.16.1.0、子网掩码为255.255.255.0。因此，对路由器RouterA配置加密访问控制列表时，需要使用配置语句access-list 101 permit ip 192.168.1.0 0.0.0.255 172.16.1.0 0.0.0.255，定义一条表号为101、允许企业总部本地网段192.168.1.0/24主机能够连通分支机构远端网段172.16.1.0/24主机的ACL。同时，使用配置语句access-list 101 deny ip 192.168.1.0 0.0.0.255 any，定义一条表号为101、禁止企业总部本地网段192.168.1.0/24主机访问其他任何网段(即除172.16.1.0/24之外的网段)任何主机的ACL。ACL默认执行顺序是自上而下。
   在路由器全局配置模式下，使用命令ip nat inside source list access-list-number interface interface-port定义内部源地址动态转换关系。由上图所示的网络拓扑结构信息可知，路由器RouterA通过S0接口与Internet互连。配置语句ip nat inside source list 101 interfaceS0 overload的功能是，满足表号为101的ACL访问规则的企业总部内网用户IP地址与S0所配置的公网IP地址进行动态NAT转换。
   在路由器全局配置模式下，使用命令ip nat inside将当前接口定义为NAT的内部转换接口；使用命令ip nat outside将当前接口定义为NAT的外部转换接口。如上图所示的网络拓扑结构和题干所给出的地址信息可知，路由器的S0接口应定义为NAT的外部转换接口，F0/0接口应定义为NAT的内部转换接口。

172.16.1.0 0.0.0.255 192.168.1.0 0.0.0.255    enable    202102.100.1    S0(或serial 0)

[解析] 结合上题的分析结果，对路由器RouterB配置加密访问控制列表时，需要使用配置语句access-list 102 permit ip 172.16.1.0 0.0.0.255 192.168.1.0 0.0.0.255，定义一条表号为102、允许企业分支机构网段172.16.1.0/24的主机能够连通总部网段192.168.1.0/24的主机的ACL。
   在路由器全局配置模式下，使用命令crypto isakmp enable启用ISAKMP(IKE)。
   在全局配置模式下，使用命令crypt isakmp key＜key＞address＜peer_address＞设置与对等体共享的预共享密钥。结合上图所示的网络结构及其所给出的配置参数，路由器RouterB的peer address值为对等体路由器RouterA S0接口的IP地址(即202.102.100.1)。
   在接口配置子模式下使用命令crypto map＜map name＞将加密映射表(或加密图)应用于当前接口。依题意，路由器RouterB的外部接口为S0。
   本试题中，RouterB配置IPSec VPN相关命令的功能解释如下。
   RouterB (config) #access-list 102 permit ip 172.15.1.0 0.0.0.255 192.168.1.0 0.0.0.255//定义需要通过VPN加密传输的数据流
   RouterB (config) #crypto isakmp enable    //启用ISAKMP (IKE)
   RouterB (config) #crypto isakmp policy 10    //建立IKE协商策略10
   RouterB (config-isakmp) #authentication pre-share   //采用预共享密钥认证方法
   RouterB (config-isakmp) #encryption des    //采用56位DES对称加密算法
   RouterB (config-isakmp) #hash md5    //采用MD5散列算法
   RouterB (config-isakmp) #group 2    //配置1024位Diffie-Hellman非对称加密算法
   RouterB (config) #crypto isakmp identity address
   //指定ISAKMP与分支机构路由器进行身份认证时使用IP地址作为标志
   RouterB (config) #crypto isakmp key abc001 address 202.102.100.1
   //指定共享密钥为abc001和对端设备地址
   RouterB (config) #crypto ipsec transform-set ccie esp-des esp-md5-hmae  //创建名为ccie的变换集，并指定了两种变换，即：ESP使用DES加密算法，使用HMAC的变种MD5提供身份验证服务
   RouterB (cfg-crypto-trans) #model tunnel  //配置隧道模式
   RouterB (config) #crypto map abc001 10  ipsec-isakmp
   //创建名为abc001、序列号为10的加密图
   RouterB (config) #int S0  //进入S0的接口配置子模式
   RouterB (config-if) #crypto map abc001    //在外部接口S0上应用加密图

网络层    隧道    传输    ISAKMP/Oaktey

[解析] IPsec工作于TCP/IP协议族的网络层，为上层协议提供安全服务。IPSec安全体系结构包括AH (Authentication Header) 协议、ESP (Encapsulating Security Payload) 协议、密钥管理协议(ISAKMP)3个最基本的协议。其中，AH协议为IP包提供数据源认证、数据完整性和抵抗重放攻击保护；ESP协议提供数据保密、数据源认证、无连接完整性、抵抗重放攻击保护和有限的数据流保密等；密钥管理协议(ISAKMP)提供双方交流时的共享安全信息。
   IPSec有两种工作模式：传输模式和隧道模式。传输模式用来保护IP包内的数据载荷，对原IP头部分不处理；而隧道模式用来保护整个IP数据包。相比而言，隧道模式的安全性较强，传输模式的安全性较弱。
   IPSec传送认证或加密数据之前，必须就协议、加密算法和使用的密钥与对端进行协商，Internet密钥交换(IKE)提供了这个功能，并且在将密钥交换之前还要对远程系统进行初始的认证。IKE实际上是ISAKMP、Oakley、SKEME 3个协议的混合体。其中，ISAKMP提供了认证和密钥交换的框架，但是没有给出具体的定义；Oakley描述了密钥交换的模式；SKEME定义了密钥交换技术。IKE使用熟知的UDP 500端口号进行信息交换。IKE协商策略由ISAKMP/Oakley进行定义。