路由器或边界路由器    防火墙或统一安全网关(LISG)，或其他具有类似功能的网络安全设备    DMZ或非军事    入侵防护系统(IPS)或基于网络的入侵防护系统(NIPS)    镜像    旁路模式

[解析] 由上图所给出的设备连接信息可知，该企业网络拓扑按分区域、层次化结构进行设计，主要分为网络出口区域、外部服务器区域、核心交换区域、接入交换区域、网络管理区域等。路由器具有广域网互连、隔离广播信息和异构网互连等能力，是企业网与Internet连接必不可少的网络互连设备。该企业网要接入Internet，因此需要在企业网的边界(即网络设备①处)部署一台路由器，用于实现边界路由计算；在网络设备④处部署一台防火墙，用于实现服务器区域、企业内网区域和网络出口区域之间的逻辑隔离，提高服务器区域和企业内网区域的网络安全性能。
   防火墙中的DMZ区也称为非军事区，它是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题而设立的一个非安全系统与安全系统之间的缓冲区。这个缓冲区位于企业内部网络和外部网络之间的小网络区域内。在上图中，Switch9所组成的网络区域内放置了一些公开的服务器，例如企业Web服务器、DNS服务器、E-mail服务器等。因此，从网络安全的角度考虑，Switch9所组成的网络一般称为非军事区(或DMZ区)。
   入侵防护系统(IPS)是一种主动防护的网络安全技术，所有接收到的数据包都要经过它检查之后来决定是否放行，或执行缓存、抛弃策略。当发生攻击时及时发出警报，并将网络攻击事件及所采取的措施和结果进行记录。依题意，在图中网络设备③应部署入侵防护系统(IPS)。对于交换型网络，交换机仅将数据包转发到相应的端口。因此需要对交换机进行端口镜像配置，以将流向各端口的数据包复制一份给监控端口，IPS从监控端口获取数据包并进行分析和处理。因此，网络设备③连接到Switch1的G1/1端口称为镜像端口(即镜像的目标端口)。这种连接方式通常称为旁路模式。

防火墙或网络设备②    Switch1    广播模式    直接模式    混杂模式

[解析] 在企业网络中通过部署上网行为管理设备，对用户的上网行为进行安全分析、网页访问过滤、网络访问控制、带宽流量管理、信息收发审计等，以保证正常上网需求。通常，将上网行为管理设备串接在防火墙(网络设备②)和核心交换机Switch1之间。
   网卡的工作模式有直接(Direct)、广播(Broad Cast)、多播(Multi Cast)和混杂(Promiscuous)4种模式。其中，工作在直接模式下的网卡只接收目的地址是自己MAC地址的帧。工作在广播模式的网卡接收物理地址(MAC地址)为0xFFFFFF的广播帧。多播传送地址作为目的物理地址的帧可以被组内的其他主机同时接收，而组外主机却接收不到。但是若将网卡设置为多播传送模式，它可以接收所有的多播传送帧，而不论它是不是组内成员。工作在混杂模式下的网卡将接收所有流过它的帧。网卡的默认工作模式包含广播模式和直接模式，即它只接收广播帧和发给自己的帧。网络管理机在抓包时，需要把网卡置于混杂模式，这时网卡将接受同一子网内所有站点所发送的数据包，这样就可以达到对网络信息监视捕获的目的。

STP或生成树协议    32768    交换机ID    交换机MAC地址    BackboneFast

[解析] 生成树协议(STP)是一种根据生成树算法制定的协议，能够逻辑地阻断网络中存在的冗余链路，以消除路径中的环路，并可以在活动路径出现故障时，重新激活冗余链路来恢复网络的连通，保证网络的正常工作。在上图中，核心交换机Switch1～Switch3之间形成一个物理闭合环路。若不采取任何措施，将会带来数据包广播风暴等网络故障。为了使该企业网能够正常运行，需要在图中各台交换机需要运行STP协议，以建立一个无环路的树状结构网络。
   生成树优先级的取值范围是0～61440，增量为4096。优先级的值越小，优先级越高。默认情况下，交换机的生成树优先级值为32768。
   由交换机构成的局域网中，构造生成树首先要选择一台交换机作为生成树的根。实现方法是选择交换机ID最小的交换机作为根交换机。通常，运行STP的每台交换机的ID由优先级值(长度为2B)和交换机MAC地址(长度为6B)组成。如果每台交换机的优先级相同，则再比较交换机MAC地址的大小。
   STP的BackboneFast功能是使阻塞端口无须等待一个生成树最大存活时间(约30s)，而直接进入转发状态，从而提高交换机到根交换机的间接链路失效情况下的收敛速度。在上图中，Switch1～Switch3是网络的骨干交换机。当它们相互之间的某条链路(例如Switch1与Switch2之间的链路)发生故障时，为了使阻塞端口直接进入转发状态，从而切换到备份链路(例如Switch1与Switch3之间的链路)上，则需要在Switch1～Switch3上使能STP的BackboneFast功能。

核心    接入    接入层    核心层

[解析] 根据层次化网络的设计原则，从上图中可以看出该企业网络采用了由核心层和接入层组成的两层架构。其中，分组的高速转发、接入Internet等功能是由核心层完成，MAC地址过滤、IP地址绑定、计费管理、访问日志记录等功能是由接入层完成的。

3389    RDP或远程显示取消“允许传入回显请求”复选框的选中状态，然后单击【确定】按钮

[解析] 远程桌面协议(RDP)是一个多通道的协议，提供了客户端(或称“本地电脑”)与服务器端(或称“远程电脑”)之间的连接服务。通常，服务器端开放TCP 3389端口来接收相关的通信数据。在Windows Servet 2003操作系统中，远程桌面服务的默认端口是3389，其对外提供服务使用RDP协议。
   命令ping通过发送ICMP的Echo请求报文并监听Echo应答报文，来检查与远程或本地计算机的连接。在防火墙的[ICMP]选项卡中(如上图所示)，若要拒绝外部设备ping服务器，则需要取消“允许传入回显请求”复选框的选中状态，然后单击[确定]按钮以保存这一配置信息。

1．禁止网站添加任何的CGI(通用网关接口)扩展(指向.exe文件的应用程序扩展)    2．将“Activce Server Pages”的状态由“禁止”更改为“允许”

[解析] “Web服务扩展”功能用于确保IIS的安全。默认安装的IIS在Web服务扩展处全部都为禁用，只允许访问静态页面。若需要用到某个功能，则需要先在“Web服务扩展”中开启对应功能。如果在网站中添加了新的后缀对应的应用程序扩展(例如.php)，也需要在“Web服务扩展”处添加该扩展并设置成允许后才可以使用。例如，如果开启“所有未知CGI(通用网关接口)扩展”功能，则网站添加任何的CGI扩展(指向.exe文件的应用程序扩展)都被允许执行；如果开启“所有未知ISAPI(服务器应用程序编程接口)扩展”功能，则网站添加任何的。ISAPI扩展(指向.dll文件的应用程序扩展)都被允许执行。
   如果网站需要提供对asp.net程序(以.aspx结尾)或asp程序(以.asp结尾)的支持，则在上图中应将“Activce Server Pages”由原先的“禁止”状态更改为“允许”状态。

主目录    目录的访问权限    SSL协议

[解析] FTP站点中的数据通常保存在主目录中，然而主目录所在的磁盘空间毕竟有限，不能满足日益增长的数据存储要求。通过创建FTP站点虚拟目录可以较好地解决这个问题。虚拟目录可以作为FTP站点主目录下的子目录来使用。究其实质，虚拟目录是在FTP站点的根目录下创建一个子目录，然后将这个子目录指向本地磁盘中的任意目录或网络中的共享文件夹。创建FTP虚拟目录的步骤如下：
   ①打开“Internet信息服务(IIS)管理器”窗口，在左窗格中展开[FTP站点]目录。右键单击创建的FTP站点名称，在弹出的快捷菜单中依次选择[新建]→[虚拟目录]命令，打开[虚拟目录创建向导]对话框。
   ②在欢迎对话框中单击[下一步]按钮，打开的“虚拟目录别名”对话框。用户可以根据需要设置连接到该虚拟目录时使用的名称。虚拟目录的别名不必跟指向的实际目录名相同。在[别名]文本框中输入虚拟目录名称，并单击[下一步]按钮。
   ③在打开“FTP站点内容目录”对话框，单击[浏览]按钮在本地磁盘中选中虚拟目录需要指向的实际目录，或者直接在[路径]文本框中输入目录的路径名称，并单击[下一步]按钮。
   ④在打开的“虚拟目录访问权限”对话框中设置该目录的访问权限，用户可以根据实际需要决定[读取]、[写入]、[记录访问]3个复选框的选中状态。
   ⑤依次单击[下一步]→[完成]按钮完成创建过程。
   由于IIS内置的FTP服务不支持安全套接层(SSL)协议，因此FTP用户名和密码是以明文方式在网络上传输，安全性较弱。

IP地址    端口号    主机头名称    不同的端口号或不同的主机头名称

[解析] 在IIS 6.0中，每个Web站点都具有唯一的由IP地址、端口号、主机头名称3个部分组成的标识符，用来接收和响应请求，如下图所示。网络工程师通过单击网站属性→网站→高级选项，通过添加不同的端口号或主机头名称的方式，达到在同一个IP地址上建立多个网站。
   

NTFS    磁盘空间限制(或配额限制)    磁盘配额警告级别(或警告等级)

[解析] Windows Server 2003磁盘配额功能能够跟踪每个用户在每个盘符中的使用情况，并根据用户的磁盘配额进行控制。由于配额是以每个用户为单位进行跟踪的，因此不管用户在某个NTFS格式的盘符下任何地方储存文件都会被记录。需要注意的是，磁盘配额必须建立在NTFS格式的盘符上，否则将无法使用该功能。换而言之，磁盘配额管理需要NTFS文件系统的支持。启动磁盘配额时，需要分别设置“将磁盘空间限制为”和“将警告等级设为”两个参数，如下图所示。
   

网络地址转换或NAT    访问控制列表或ACL    静态    动态

[解析] 网络地址转换(NAT)技术的主要功能是将组织机构网络中使用的某一类IP地址(如私有IP地址10.x.x.x、172.15.x.x～172.31.x.x、192.168.x.x等)转换成另一类IP地址(如公网IP地址)。它被广泛应用于各种Internet接入方式和各种类型的网络中。因为NAT不仅能够解决IP地址短缺的问题，还能够有效地避免来自网络外部的攻击，隐藏并保护网络内部的计算机。在使用NAT技术时，往往是用访问控制列表(ACL)技术指定允许转换的内部主机地址范围。
   NAT主要有静态NAT、动态NAT和端口地址转换(PAT)3种转换方式。其中，静态NAT是指将IP地址一对一地映射到指定的合法IP地址。动态NAT是先定义一个外部网络合法的IP地址池，转换时动态选择一个未使用的地址与内部地址进行一对一的转换。PAT允许多个内部地址同时共用一个外部IP地址池，外部网络通过端口号来唯一标识某个内部IP地址，即实现端口级的复用。
   由于企业网中内部服务器映射的公共地址不能随意更换，因此需要使用静态NAT技术。
   对于企业内部用户而言，通常使用动态NAT技术来提高网络管理效率。

deny
   permit ip any 202.102.100.0 0.0.0.255
   61.192.93.100 61.192.93.102
   202.102.100.100 202.102.100.102
   list 101 pool ISP-B overload
   192.168.1.100 80 61.192.93.200 80
   192.168.1.100 80 202.102.100.100 80

[解析] 在路由器上配置访问控制列表(ACL)的一般操作步骤是：①定义一个标准(或扩展)的ACL；②为ACL配置包过滤的准则；③配置ACL的应用接口。在路由器全局配置模式下，配置扩展ACL的命令是access-list access-list-number {permit | deny} protocol source wildcard-mask destination wildcard-mask [operator] [operand]。其中，表号access-list-number可以是100～199和2000～2699范围中的任何一个数字；通配符(wildcard-mask)是子网掩码的反码形式；operator(操作)指的是lt(小于)、gt(大于)、eq(等于)和neq(不等于)；operand(操作数)指的是端口号。
   依题意，配置语句access-list 100 permit ip any 61.192.93.0 0.0.0.255的功能是，定义一条表号为100、允许企业内网中任何IP地址的主机可以访问运营商ISP-A所有网段的ACL。
   同理，配置语句access-list 101 deny ip any 61.192.93.0 0.0.0.255的功能是，定义一条表号为101、禁止企业内网中任何IP地址的主机访问运营商ISP-A所有网段的ACL。
   由上表可知，运营商ISP-B所有网段的地址为202.102.100.200/24。定义一条表号为101、允许企业内网中任何IP地址的主机访问运营商ISP-B所有网段的ACL配置语句是：access-list 101 permit ip any 202.102.100.0 0.0.0.255。
   在路由器全局配置模式下，使用命令ip nat pool address-pool-name start-address end-address {netmask mask | prefix-length prefix-length}定义全局IP地址池。由上表可知，运营商ISP-A地址池范围为61.192.93.100～61.192.93.102。因此，定义访问ISP-A的合法地址池的配置语句是：ip nat pool ISP-A 61.192.93.100 61.192.93.102 netmask 255.255.255.0。
   同理，运营商ISP-B地址池范围为202.102.100.100～202.102.100.102，因此，定义访问ISP-B的合法地址池的配置语句是：ip nat pool ISP-B 202.102.100.100 202.102.100.102 netmask 255.255.255.0。
   在路由器全局配置模式下，使用命令ip natinside source list access-list-number pool address-pool定义内部源地址动态转换关系。依题意，配置语句ip nat inside source list 100 pool ISP-A overload的功能是，满足表号为100的ACL访问规则的内网用户与ISP-A的合法地址池进行动态NAT转换。
   同理，满足表号为101的ACL访问规则的内网用户与ISP-B的合法地址池进行动态NAT转换的配置语句是：ip nat inside source list 101 pool ISP-B overload。
   静态NAPT需要向外网络提供信息服务的服务器永久的一对一“IP地址+端口”映射关系。为外网用户访问内网服务器配置NAT转换时，需在路由器全局配置模式下，使用命令ip nat inside source static {UDP | TCP)/ocal-address port global-address port extendable定义全局IP地址池。依题意，Web服务器的IP地址为192.168.1.100，ISP-A的IP地址为61.192.93.200/24。因此，为内网Web服务器配置ISP-A的静态NAT转换的配置语句是：ip natinside source statictcp 192.168.1.100 80 61.192.93.200 80 extendable。
   同理，ISP-B的IP地址为202.102.100.200/24。因此，为内网Web服务器配置ISP-B的静态NAT转换的配置语句是：ip nat inside source static tcp 192.168.1-100 80 202.102.100.200 80 extendable。

iP nat outside
   iP nat outside
   iP natinside
   iP route 61.192.93.0 255.255.255.0 sO
   iP route 0.0.0.0 0.0.0.0 S1
   配置默认路由指定从s0接口转发，管理距离为120

[解析] 在路由器全局配置模式下，使用命令ip nat outside将当前接口定义为NAT的外部转换接口。由上图所示的网络拓扑结构和上表中Router-NAT设备的地址信息可知，S0和S1均应定义为NAT的外部转换接口。
   Router-NAT设备的F0/1应定义为NAT的内部转换接口。
   在路由器全局配置模式下，使用ip route命令配置静态路由，其命令格式是：ip route＜目的网络地址＞＜子网掩码＞＜下一跳路由器的IP地址|本地路由器IP包的输出接口＞。依题意，ISP-A的网段地址为61.192.93.0，子网掩码为255.255.255.0。若要使得到达ISP-A的流量从S0口转发，则相应的配置语句是ip route 61.192.93.0 255.255.255.0 s0。
   默认路由是静态路由的一个特例。默认路由中的“0.0.0.0 0.0.0.0”表示未知主机，即任何无法判断的目的主机地址。依题意，默认路由指定从s1口转发，则相应的配置语句是ip route 0.0.0.0 0.0.0.0 s1。
   同理，配置语句ip route 0.0.0.0 0.0.0.0 s0 120的功能是，配置默认路由指定从s0接口转发，管理距离为120。其中，120是路由信息协议(RJP)的路由管理距离。

Differentiated Service或区分服务
   Best-Effort Service或尽力而为服务
   Best-Effort Service或尽力而为服务

[解析] Qos(服务质量)主要用来解决网络延迟和阻塞等问题，主要有3种工作模式，分别为Differentiated Service(区分服务)模型、Integrated Service(集成服务)模型及Best-Effort Service(尽力而为服务)模型。其中，DiffServ(区分服务)实现Oos的基本思想是：将网络中传输的业务量分成多个类，并按不同方式进行处理。其实现过程可简述为：边界路由器对数据包进行分类，设置不同的标识，并根据SLA(服务等级协定)和PHB(逐跳转发行为)选择不同的队列转发。
   集成服务(IntServ)实现OoS的基本思想是：在通信开始之前利用资源预留方式为通信双方预留所需的资源，保证所需要的服务质量。它是对端到端的行为进行控制，使得网络中的各元素能够控制和实现这些行为，从而使延迟得到有效控制。
   Best-Effort Service模型是一个单一的服务模型，也是最简单的服务模型。在该服务模型中，网络尽最大的可能性来发送报文，但对延时、可靠性等性能不提供任何保证。Best-Errort服务模型是网络的默认服务模型，通过FIFO(先入先出)队列来实现。它适用于大多数网络应用，例如FTP、E-Mail等。

server
   192.168.10.254
   255.255.255.0
   range
   trunk
   no swichport
   ip
   routing
   client
   trunk

[解析] 通过VLAN中继协议(VTP)可以减少在多台设备上配置同一VLAN信息的工作量，并保证整个网络VLAN配置的一致性。VTP有3种工作模式：服务模式(VTP Setver)、客户模式(VTP client)和透明模式(VTP Transparent)。通常，一个VTP域内的整个网络只设1个VTP Server。VTP Server维护该VTP域中所有VLAN信息列表，VTP Server可以建立、删除或修改VLAN，发送并转发相关的通告信息，同步vlan配置，并把配置保存在NVRAM中。依题意，在三层交换机S1全局配置模式下，使用命令vtp mode server可将当前交换机的VTP模式设置为VTP Sever。
   由题干给出的“VLAN10采用192.168.10.0/24网段，VLAN20采用192.168.20.0/24网段，每段最后一个地址作为网关地址”等关键信息可知，VLAN10的网关地址为192.168.10.254/24，VLAN20的网关地址为192.168.20.254/24。参照VLAN20网关地址的配置语句ip address 192.168.20.254 255.255.255.0，可得VLAN10网关地址的配置语句ip address 192.168.10.254 255.255.255.0
   配置命令interface range fastehternet用于绑定一组交换机端口，并进入端口批量配置视图。
   虚拟局域网中继(VLAN Trunk)是在同一个域的交换机与交换机(或交换机与路由器)之间的物理链路上能够传输多个VLAN信息的技术。在端口配置模式下，使用命令switchportmode trunk将当前交换端口设置为Trunk模式。根据上图所示的公司网络拓扑结构，三层交换机S1通过端口f0/23、f0/24分别与接入层交换机S2和S3的f0/24端口进行连接。因此，需要将S1的f0/23、f0/24端口设置为Trunk模式，使得这两个端口能够传输VLAN1、VLAN10、VLAN20等信息。
   三层交换机是一种带有三层路由功能的交换机，其端口既有三层路由功能，也具有二层交换功能。三层交换机端口默认为二层模式，接口配置模式下使用不带参数的switchport命令，把一个接口设置为二层模式；若需要关闭二层功能、启用三层功能，则需要在此端口输入no switchport命令。
   三层交换机默认情况下路由功能是关闭的，需要使用命令ip routing手动开启路由功能。
   VTP Client虽然也维护所有VLAN信息列表，但其VLAN的配置信息是从VTP Server学习的。VTP Client不能建立、删除或修改VLAN，但可以转发通告，同步vlan配置，但不把配置保存配置到NVRAM中。依题意，交换机S2的VTP模式设置为VTP Client。

permit
   list
   192.168.40.1
   inside
   outside

[解析] 在路由器全局配置模式下，配置标准ACL的命令是access-list access-list-number {permit | deny} source wildcard-mask。其中，表号access-list-number可以是1～99和1300～1999范围中的任何一个数字；通配符(Wildcard-mask)是子网掩码的反码形式。依题意，定义一条表号为1、允许企业内网中192.168.10.0/24网段(即VLAN10)的主机可以访问Internet的标准ACL配置语句是：access-list 1 permit 192.168.10.0 0.0.0.255。
   在路由器全局配置模式下，使用命令ip nat inside source list access-list-number interface interfaceport定义内部源地址动态转换关系。依题意，配置语句ip nat inside source list 1 interface S0/0/0 Overload的功能是，满足表号为1的ACL访问规则的内网用户与S0/0/0所配置的合法地址池进行动态NAT转换。
   根据上图所示的网络拓扑信息可知，Web服务器配置的内网IP地址为192.168.40.1/24。结合题干给出的“Web服务器使用的外部映射地址为202.165.200.3”等关键信息，需要使用静态NAT技术来映射这一Web服务器，其相应的配置语句为ip nat inside source static 192.168.40.1 202.165.200.3。
   在路由器全局配置模式下，使用命令ip nat outside将当前接口定义为NAT的外部转换接口；使用命令ip nat inside将当前接口定义为NAT的内部转换接口。由上图所示的网络拓扑结构和题干所给出的地址信息可知，路由器的S0/0/0接口应定义为NAT的外部转换接口，f0/0接口应定义为NAT的内部转换接口。