(1)路由器或边界路由器
   (2)防火墙或统一安全网关(USG)或其他具有类似功能的网络安全设备
   (3)非军事或DMZ
   (4)基于网络的入侵防护系统，或NIPS
   (5)流量镜像方式

路由器具有广域网互连、隔离广播信息和异构网互连等能力，是企业网(或园区网)建设和互联网络建设中必不可少的网络互连设备。由图9-7中的网络拓扑结构可知，设备(1)处于该企业网和Internet之间，因此需要使用路由器设备进行网络互连，以实现该企业网路由信息的边界计算、网络地址转换等功能。
   防火墙的主要功能是：①检查所有从外部网络进入内部网络和从内部网络流出到外部网络的数据包；②执行安全策略，限制所有不符合安全策略要求的数据包通过。
   通常，Internet是一个“不可信任的网络”，而内部局域网要求是一个“可信任的网络”。因此在图9-7中设备(2)需要部署防火墙设备，从而保护内部网络资源不被外部非授权用户使用，防止内部受到外部非法用户的攻击。
   另外，防火墙中的DMZ区也称为非军事区，它是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题，而设立的一个非安全系统与安全系统之间的缓冲区。这个缓冲区位于企业内部网络和外部网络之间的小网络区域内。在这个小网络区域内可以放置一些对外公开的服务器。例如，图9-7中的Web服务器、DNS服务器和E-mail服务器等。DMZ防火墙方案为要保护的内部网络增加了一道安全防线，通常认为是比较安全的。同时它提供了一个区域放置公共服务器，从而又能有效地避免一些互连应用需要公开，而与内部安全策略相矛盾的情况发生。
   基于网络的入侵防护系统(Network-based Intrusion Prevention System，NIPS)兼有防火墙、入侵检测系统(IDS)和防病毒等安全组件的特性，当数据包经过时，将对它进行过滤检测，以确定该数据包是否含有威胁网络安全的特征。如果检测到一个恶意的数据包，系统不但发出警报，还将采取相应措施(如丢弃含有攻击性的数据包或阻断连接)阻断攻击。
   根据网络拓扑结构的不同，NIPS的探测器可以通过流量镜像、串接集线器设备、串接TAP设备等方式部署在被检测的网络中。在图9-7中，设备(3)直接连接在交换机1的Gil/2端口(此端口称为镜像端口)，用于检测、分析和处理从设备(2)(即防火墙)进入交换机1(即内部网络)Gil/1端口(此端口称为被镜像端口)的数据包。通常将这种设备部署方式称为流量镜像方式。

(6)交换机5、交换机6、交换机7和交换机8(或交换机5～交换机8)
   (7)接入
   (8)生成树或STP
   (9)BackboneFast

图9-7所示的网络结构采用核心层、接入层的两层架构理念。其中，由交换机1-交换机3组成核心层，主要完成的功能有：①分组的高速转发；②汇接接入层的用户流量，进行数据分组传输的汇聚、转发与交换；③根据接入层的用户流量，进行本地路由、数据包过滤、协议转换、流量均衡、QoS优先级管理，以及安全控制、IP地址转换、流量整形等处理。
   在图9-7中由交换机5-交换机8组成接入层，主要完成的功能有：①为用户提供了在本地网段访问应用系统的能力，解决相邻用户之间相互访问的需求，并且为这些访问提供足够的带宽；②适当地负责部分用户管理功能(如MAC层过滤、IP地址绑定、用户认证、计费管理等)；③负责部分用户信息收集工作(如用户的IP地址、MAC地址、访问日志等)。
   生成树协议(Spanning Tree Protocol，STP)是一个数据链路层的管理协议。其主要功能是在保证网络中没有逻辑回路的基础上，允许在第2层链路中提供冗余路径，以保证网络可靠、稳定地运行。STP运行在交换机设备上，通过在交换机之间传递网桥协议数据单元(BPDU)，并用生成树算法(STA)对其进行比较计算，以建立一个稳定、无回路的树状结构网络。
   STP的BackboneFast功能是：使阻塞端口无须等待一个生成树最大存活时间(约30s)，就可直接进入转发状态，从而提高普通交换机到根交换机的间接链路失效情况下的收敛速度。BackboneFast功能需要在全部参与STP计算的交换机上配置。在图9-7中，交换机1～交换机3是网络的骨干交换机。当它们相互之间的某条链路(例如交换机1～交换机2的链路)有故障时，为了使阻塞端口直接进入转发状态，从而切换到备份链路(例如交换机1～交换机3的链路)上，则需要在图9-7中交换机1～交换机3、交换机5～交换机8上使能STP的BackboneFast功能。

采用基于MAC地址的方式划分VLAN；或基于网络层协议划分VLAN

根据VLAN的成员定义，大致有基于端口划分、基于MAC地址划分、基于第3层地址划分、基于策略划分(或基于应用划分)这4种VLAN划分方法。其中，基于端口划分VLAN是一种静态VLAN的划分方式，其余划分方法则属于动态VLAN的划分方式。若网络用户的物理位置需要经常移动，则应采用基于MAC地址的方式划分VLAN，或基于第3层地址(网络层协议)划分VLAN。

①交换机1设备(2)(可防火墙等)连接关系
   ②各台接入交换机与核心交换机的连接关系

网络冗余设计允许通过设置双重网络元素来满足网络的可用性需求，冗余避免了网络的单点故障，其目标是重复设置网络组件，以避免单个组件的失效而导致应用失效。随着计算机网络技术的发展，冗余度也不再仅局限于设备和线路层次，更多的冗余度开始体现到网络设备的模块、部件层次。这些组件可以是一台核心路由器或交换机，可以是两台设备间的一条链路，可以是一个广域网连接，也可以是电源、风扇、设备引擎等设备上的模块等。
   在图9-7所示的网络设备连接图中，仅由交换机1与设备(2)连接，一旦交换机1或该连接链路出现故障，该企业网与Internet的通信链路将被断开。由此可见，交换机1与设备(2)连接关系是一个故障单点。
   各台接入交换机(即交换机5-交换机8)仅通过一条链路上连至核心层，一旦该上连链路出现故障，将会导致相关接入交换机与核心层网络断开，使得相关用户将无法访问该企业网和Internet资源。由此可见，各台接入交换机与核心交换机的连接关系是一个故障单点。

(1)B，或tar

在Linux操作系统中，对于扩展名为tar.gz的文件，则需要使用“tar-xvzf[文件名].tar.gz”将其恢复成源文件，即将文件bcm5700-8.3.14.tar.gz解压缩的命令是：tar-xvzf bcm5700-8.3.14.tar.gz。
   如果在Linux操作系统中，扩展名为.rpm的文件，则需要使用“rpm-ivh*.rpm”或“rpm-Uvh*.rpm”完成软件包的安装。

(2)A，或yes    (3)255.255.255.128
   (4)255.255.255.128

Linux内核默认内置有IP伪装功能。但是，使用一个没有内置IP伪装功能的内核，则需要重新编译，装载一些模块，然后设置数据包过滤规则以便允许转换的进行。为了让IP伪装能够工作，需要打开服务器的IP转发功能，即将/etc/sysconfig/network文件中的FORWARD_IPV4设置为yes而启用IP转发。
   一个较完整的/etc/sysconfig/network-scripts/ifcfg-eth0文件清单是：
   DEVICE=eth0        /*指明网卡的名称*/
   IPADDR=192.168.1.126        /*指明分配给网卡的IP地址*/
   NETMASK=255.255.255.128        /*指定子网密码，因为该子网有126个可用的IP地址*/
   NETWORK=192.168.1.0        /*指明网络地址*/
   BROADCAST=192.168.1.127        /*指明广播地址*/
   ONBOOT=yes        /*指明在系统启动时是否激活网卡*/
   BOOTPROTO=none        /*指明是否使用bootp协议*/
   同理，由于技术部子网可用的IP地址有126个，因此在/etc/sysconfig/network-scripts/ifcfg-eth1文件中子网掩码也应设置为255.255.255.128，即NETMASK=255.255.255.128。
   一旦配置完Linux网关计算机的网络配置文件，应该使用/etc/rc.d/init.d/network restart命令来重新启动网络以使之修改生效。

(5)ifup    (6)网络接口(或设备)名称，或eth0

命令ifconfig、ifup、ifdown的作用都是用于启动/关闭网络接口，但ifup与ifdown仅能就/etc/sysconfig/network-scripts内的ifcfg-ethx (x=0，1，2，3…)进行启动或关闭的动作，并不能直接修改网络参数，除非手动调整ifcfg-ethx文件内容。当执行ifup eth0时，操作系统会找出ifcfg-eth0这个文件的内容，然后来加以设定。
   在本试题中/etc/sysconfig/network-scripts/目录下只给出ifcfg-eth0文件，所以运行ifup命令可以启动eth0所在的网络，其命令参数是网络接口(或设备)名称eth0。

(7)B，或ifconfig    (8)192.168.0.255
   (9)255.255.255.0    (10)A，或正常
   (11)最大传输单元

在Linux操作系统中，可使用ifconfig命令来查看本地主机当前获得的TCP/IP参数配置信息。使用不带任何参数的ifconfig命令可以显示所有网络接口的状态。若要检查特定网络接口的状态，则需使用ifconfig [interface]命令。例如，可以使用“ifconfig eht0”命令来查看该BCM5751网卡的运行情况。
   从试题中给出的输出信息可知，DHCP服务器分配给该BCM5751网卡的IP地址是192.168.1.63。由于192.168.1.63是一个C类IP地址，其默认的子网掩码(Mask)为255.255.255.0。
   TCP/IP协议规定，将某个IP地址中表达主机部分的各比特位全部设置为“l”的IP地址称为该主机的直接广播地址。由于C类IP地址是用最右边一个字节的比特位来表达主机地址部分，因此192.168.1.63的本地直接广播地址为192.168.1.255。
   从ifconfig命令的输出信息——“UP”、“RX packets:1501”、“TX packets:74”、“RXbytes:164444  (160.5 KB) TX bytes:9167  (8.9KB)”可判断该BCM5751网卡处于正常收发数据包的运行状态。
   在ifconfig命令的输出信息——“MTU:1500”中，MTU表示最大传输单元，它是跟网络接口层特性相关的。在以太网中，RFC894定义的以太帧格式的MTU值为1500字节。
   在一个IP包中，扣除IP包头的20个字节，可以传输的最大数据长度为1480个字节；在TCP包中，扣除20个字节的TCP包头，可以传输的最大数据段为1460个字节；在UDP包中，扣除UDP包头的8个字节，可以传输的最大数据段为1492个字节。因此，当数据超过最大数据长度时，将对该数据进行分段处理，在IP包头中会看到有多个数据段在传输，但这些数据段的标识号是相同的，表示是同一个数据包。

(12)A，或traceroute    (13)B，或0

在Linux操作系统中使用基于UDP协议的traceroute命令进行路由跟踪，该命令在Windows操作系统中对应是“tracert”。在计算机可以通过nslookup命令测试DNS配置情况，或实现某个域名及其对应的IP地址间的相互查询。route命令主要用于创建或删除某条路由。
   标准的GNU/Linux提供了很多可调节的内核参数。例如在/proc虚拟文件系统中存在一些可调节的内核参数。这个文件系统中的每个文件都表示一个或多个参数，它们可以通过cat工具进行读取，或使用echo命令进行修改。以下例子展示了如何查询或启用一个可调节的参数的实验过程。
   [root@camus]# cat/proc/sys/net/ipv4/ip_forward
                                                     /*查询计算机的内核是否支持IP转发*/
   0                                                 /*查询结果，0表示不支持或未启用*/
   [root@camus]#echo "1”＞/poc/sys/net/ipv4/ip_forward
                                                     /*在TCP/IP栈中启用IP转发*/
   [root@camus]# cat/proc/sys/net/ipv4/ip_forward
                                                     /*继续查询计算机的内核是否支持IP转发*/
   1                                                 /*查询结果，1表示支持或已启用*/

(1)yinfu.com    (2)yinfu.com.dns

在Windows Server 2003操作系统中，依次选择[开始]→[程序]→[管理工具]→[计算机管理]→[服务和应用程序]→[DNS]命令，进入如图3-26所示的DNS控制台窗口。接着用鼠标右键单击“正向搜索区域”，然后在快捷菜单中选择[新建区域]命令。当“新建区域向导”启动后，单击[下一步]按钮。
   接着系统将提示选择区域类型。区域类型包括：①主要区域；②辅助区域；③存根区域等。其中，①主要区域可以用于创建直接在此服务器上更新的区域的副本，此区域信息存储在一个.dns文本文件中。②标准辅助区域从它的主DNS服务器复制所有信息。主IDNS服务器可以是为区域复制而配置的Active Directory区域、主要区域或辅助区域。③存根区域只包含用于标识该区域的权威DNS服务器所需的资源记录，这些资源记录包括邮件交换机(MX)、名称服务器(NS)、起始授权机构(SOA)、主机资源记录(A)和别名资源记录(CNAME)等。
   如果要创建可以直接在此服务器上更新区域的副本，则区域类型应选择“主要区域”，然后单击[下一步]按钮。
   域按层次结构命名，由若干个分量组成，各分量之间用“.”(是小数点的点)隔开。各分量分别代表不同级别的域名，最高级别的名字放在最右边，最低级别的名字放在最前面。域名www.yinfu.com由www、yinfu、com这3个分量组成(根结点标识符为空，省略不写)，其顶级域为com，第二级域为yinfu.com，最低级的域为www.yinfu.com。因此，在图9-10“区域名称”文本框中输入“yinfu.com”，接着单击[下一步]按钮。系统将弹出如图9-11所示的“区域文件”对话框，其中系统自动生成的默认区域文件名为“区域名+.dns”，即“yinfu.com.dns”。

(3)新建主机    (4)www
   (5)111.20.30.24

要实现DNS服务必须添加主机记录。主机记录用于静态地建立主机名与IP地址之间的对应关系。只有当用户输入域名(即主机名和区域名称的组合)时，DNS服务器才能将域名解析为对应的IP地址，从而实现用户对相应站点的访问。添加主机记录的操作步骤如下：
   ①打开DNS控制台窗口，在左窗格中展开“正向搜索区域”目录。
   ②用鼠标右键单击准备添加主机资源记录的区域名称“yinfu.com”，在弹出的快捷菜单中选择[新建主机]命令。
   ③在图9-13所示的“新建主机”对话框中的“名称”文本框中输入“www”，并在“IP地址”文本框中输入映射该域名计算机的IP地址“111.20.30.24”(见图9-9)。
   ④接着单击[添加主机]按钮，完成为Web服务器添加一条域名为“www.yinfu.com”，且映射到IP为“111.20.30.24”的正向搜索区域的主机资源记录。

(6)C，或新建别名
   (7)nslookup ftp.yinfu.com(或ping ftp.yinfu.com，或tracert ftp.yinfu.com等)

在实际应用中，一台DNS服务器可以同时拥有多个不同的主机名称，而这种应用需求是通过创建别名(CNAME)资源记录的方法来实现的。所谓别名(Alias)是指可通过另外一个主机名称访问该计算机。
   CNAME资源记录是DNS中的规范名(Criterion NAME)资源记录，它可以为其他记录(例如，主机地址(A)记录)建立一个别名。若要为ftp.yinfu.com建立正向搜索区域记录，则需在如图9-12所示的快捷菜单中选择[新建别名]命令。接着在系统弹出的“别名CNAME”对话框中，“别名”文本框中输入“ftp”，“目标主机的完全合格的域名”文本框输入“www.yinfu.com”(或通过单击[浏览]按钮逐步选择)，最后单击[确定]按钮，即可为“www.yinfu.com”建立一个名为“ftp.yinfu.com”的别名记录。
   命令程序nslookup用于测试域名与其对应的IP地址之间相互解析的功能。如果仅测试域名到IP地址的转换，使用命令ping、tracert等也可以完成这个任务。因此，在客户端可以通过nslookupftp.yinfu.com(或ping ftp.yinfu.com，或tracert ftp.yinfu.com)等命令来测试FTP服务器的域名是否配置成功。

(8)nslookup www.yinfu.com(或ping www.yinfu.com，或tracert www.yinfu.com等)
   (9)http://www.yinfu.com:8080

在客户端可以通过nslookup www.yinfu.com(或ping www.yinfu.com，或tracert www.yinfu.com)等命令来测试该服务器Web站点的域名是否配置成功。例如，在客户端的cmd窗口中，输入“pingwww.yinfu.com”命令，则需要先将域名转换成对应的IP地址，然后再测试到主机(110.20.30.24)的连通性。如果cmd窗口中出现“Pinging www.yinfu.com [110.20.30.24] with 32 bytes of data:”等提示信息，则说明该DNS服务器中Web站点的域名配置正确。
   在图9-9中，该Web站点的TCP端口号配置为8080，而非Web服务器默认的端口号80，结合题干中关键信息“Web站点的域名为www.yinfu.com”可知，在客户端要访问该服务器的默认Web站点，则需在浏览器的地址栏中输入“http://www.yinfu.com:8080”。

(10)hosts    (11)首选DNS服务器(或DNS服务器)
   (12)ipconfig/displaydns

对于安装Windows操作系统的客户端，假设其系统盘默认为C:\，则在cmd窗口中执行命令ping www.yinfu.com。域名解析系统首先读取本机“C:\WINDOWS\system32\drivers\etc”目录下的hosts文件，在其中查找对应域名的IP地址。若查找失败，则将域名解析任务提交给PC1主机中网络连接所配置的“首选DNS服务器”进行查询。
   基于Windows操作系统的客户端在排除DNS域名解析故障时，输入ipconfig/displaydns命令可以显示当前计算机的DNS缓存；输入ipconfig /flushdns命令可以清除当前DNS缓存，即刷新DNS解析器的当前缓存。

(1)B或tracert www.yinfu.gov.cn

命令tracert通过发送包含不同TTL的ICMP超时通告报文并监听回应报文，来探测到达目的计算机的路径。在Windows操作系统的DOS命令窗口中，运行tracert www.yinfu.gov.cn命令将得到类似如图9-16所示的系统返回信息。

(2)ipconfig/all    (3)10.3.12.186
   (4)255.255.255.0    (5)10.3.12.253

命令ipconfig用于显示当前TCP/IP网络配置(如IP地址、子网掩码、默认网关等信息)。选项/all用于显示所有适配器的完整TCP/IP配置信息，包括了每个适配器的物理地址、IP地址、子网掩码、默认网关和DNS等。在Windows操作系统的DOS命令窗口中，运行ipconfig/all命令将得到类似如图9-17所示的系统返回信息。
   由图9-16中信息“Tracing route to www.yinfu.gov.cn[59.151.5.241]……”可知，域名www.yinfu．gov．cn已被解析为59.151.5.241的这一IP地址。由图9-16中信息“1 21ms 20ms 20ms10.3.12.253”可知，从PCl送出的数据包第一步到达的路由接口地址为10.3.12.253。通常，这一IP地址为PC1所配置的默认网关(Default Gateway)的IP地址。结合图9-14拓扑结构知，地址10.3.12.253为防火墙eth0接口的IP地址。
   命令netstat用于显示活动的TCP连接、侦听的端口、以太网统计信息、IP路由表和IP统计信息。选项咀用于显示出所有连接和侦听端口；选项-n以数字形式显示地址和端口号。在图9-15中，地址59.151.5.241是处于“Foreign address(外部地址)”这一列，与之对应的“Local address(本机地址)”列的IP地址为10.3.12.186。由此可知，PC1的IP地址(IP Address)为10.3.12.186。
   由题干信息“公司内部使用的IP地址块为10.3.12.0/24”，其中“/24”是子网掩码255.255.255.0的缩写表示形式，即PC1的子网掩码(Subnet Mask)为255.255.255.0。

(6)E或inside    (7)F或outside
   (8)D或dmz    (9)10.3.12.253.255.255.255.0

这是一道要求根据防火墙接口配置命令nameif的理解分析题，本题的解答思路如下：
   PIX防火墙的基本配置命令nameif，用于配置防火墙接口的名字，并指定安全级别。安全级别取值越大，则其安全级别越高。由图9-14所示的网络拓扑结构可知，该防火墙的e0端口用于连接该公司的内部网络，通常称为内网(inside)端口，其安全级别为最高(100)；e1端口通过一台路由器与Internet连接，通常称之为外网(outside)端口，其安全级别为最低(0)；e2端口用于连接该公司对外提供服务(如Web、E-mail服务等)的DMZ网络，通常称为DMZ端口，其安全级别介于inside端口和outside端口之间(60)。
   图9-14中防火墙eth0接口的IP地址为10.3.12.253，因此对该接口IP地址的配置语句是ip address inside 10.3.12.253 255.255.255.0。

(10)216.5.9.254

由图9-16中信息“2 1ms 2ms 5ms 216.5.9.254”可知，从PC1送出的数据包第二跳到达的路由接口地址为216.5.9.254，即对应于与该公司互连的第一个ISP路由器Router接口eth0的IP地址。由问题3中，防火墙ethl接口IP地址的配置语句ip address outside 216.5.9.253 255.255.255.252也可计算得出本答案。因为予网掩码为255.255.255.252的网段216.5.9.252中只有两个可实际分配的IP地址，即地址216.5.9.253和216.5.9.254。

(11)WWW服务或Web服务    (12)1024～65535

在默认情况下，Web服务所使用的超文本传输协议(HTTP)的TCP端口号为80。由图9-15“Foreign address(外部地址)”列中信息“59.151.5.241:80”知，PCI正在请求的Internet服务为WWW服务(或Web服务)。
   在TCP/IP网络中，传输层的传输控制协议(TCP)和用户数据报协议(UDP)的源端口、目的端口均占用16b，其所能表达的最大端口号值为2¹⁶-1=65535。其中，为各种公共服务保留的端口号范围是1～1023。端口号范围1024～49151为注册端口号，通常用于终端用户连接服务器时短暂使用的源端口号，但它们也可以用来标识已被第三方注册(或被命名)的服务。端口号范围49152～65535为临时端口号，可由任何进程随机选取使用。因此，PC1请求Web服务时，其所使用的源端口号的可能取值范围为1024～65535。例如，图9-15“Local Address”列中的3331、3333、3335、30606等。

(13)B    (14)D

这是一道要求掌握标准访问控制列表的具体应用的理解题。本题的解答思路如下：
   访问控制列表(Access Control List，ACL)是路由器接口的指令列表，用来控制端口进出的数据包。ACL默认的执行顺序是自上而下。在配置ACL列表时，要遵循最小特权原则、最靠近受控对象原则以及默认丢弃原则。最简单的ACL就是标准访问控制列表。它通过使用IP包中的源IP地址进行过滤，使用访问控制列表号1～99来创建相应的ACL。其具体的语法格式如下：
   access-list ＜ACL＞ permit|deny  host ＜ip地址＞
   例如，access-list 1 deny ip host 10.3.12.55 any配置语句可将所有来自10.3.12.55地址的数据包丢弃。对于标准访问控制列表而言，可以省略默认的关键词host。换言之，语句access-list 1 deny ip host 10.3.12.55 any与语句access-list 1 deny ip 10.3.12.55 any是等价的。
   当然也可以用网段来表示，以实现对某个网段的数据包的过滤。例如，access-list 1 permit ip 10.3.12.0 0.0.0.255 any配置语句，允许所有来自198.168.46.0/24网段内所有计算机的数据包通过防火墙。其中，0.0.0.255是子网掩码255.255.255．O的反向掩码。

(1)passive-interface

被动接口是指阻止路由更新报文通过的路由器接口，即被动接口只接收路由更新但不发送路由更新。在RIP路由配置模式下，使用命令passive-interface指定一个路由器接口为被动接口。passive-interface命令可用于所有IP内部网关协议(如RIP、IGRP、EIGRP、OSPF和IS-IS等)。本问题要求过滤进入LAN l的路由更新，可将路由器R2连接LANl的f0/0端口配置为被动接口。其相关的配置过程示例如下：
   R2(config)#router rip
   R2(config-router)# passive-interface  f0/0

(2)deny ip    (3)0.0.0.255
   (4)0.0.0.255    (5)permit
   (6)101

为了过滤不必要的通信流量，可以通过配置访问控制列表(ACL)来实现。IP访问控制列表是一种基于路由设备接口的控制列表，可根据事先制定的访问控制准则来控制接口对数据包的接收和拒绝。IP访问控制列表主要有标准访问控制列表和扩展访问控制列表两种类型。标准访问控制列表只能检查数据包的源地址，根据源网络、子网或主机的IP地址来决定对数据包的过滤，其表号范围是1～99、1300～1999。在全局配置模式下，使用命令access-list access-list-number{permit}deny} source wildcard-mask配置标准访问控制列表。访问控制列表通配符(Wildcard-Mask)的作用是，指出访问控制列表过滤的IP地址范围，即路由器在进行基于源IP地址、目的IP地址过滤时，通配符告诉路由器应检查哪些地址位，忽略哪些地址位。通配符为0，表示检查相应的地址位；通配符为1，表示忽略，即不检查相应的地址位。通配符与IP地址总是成对出现的。通常，ACL通配符用32位二进制数表示，表示形式与IP地址、子网掩码相同。实际上，通配符就是子网掩码的反码。
   扩展访问控制列表可以通过检查数据包的源IP地址、目的IP地址、指定的协议、端口号等来决定对数据包的过滤。其表号范围是100～199、2000～2699。在全局配置模式下，使用命令access-listaccess-list-number{permit|deny} protocol source wildcard-mask destination wildcard-mask [operator][operand]配置扩展访问控制列表。其中，operator(操作)有It(小于)、gt(大于)、eq(等于)、neq(不等于)；operand(操作数)指的是端口号。本问题要求“阻止192.168.2.0/24网络中的主机访问192.168.4.0/24网络”中出现了源网段地址和目的网段地址，因此需要使用扩展访问控制列表才能完成这一配置需求。
   配置ACL的具体步骤：①定义一个标准(或扩展)的访问控制列表；②为访问控制列表配置包过滤的准则；③配置访问控制列表的应用接口。
   ACL通过过滤数据包并且丢弃不希望抵达目的地的数据包来控制通信流量。然而能否有效地减少网络中不必要的通信流量，还要取决于网络管理员将ACL部署在哪个具体地方。其部署原则是：标准ACL要尽量靠近目的端，扩展ACL则要尽量靠近源端。因此，本问题应在路由器R3上配置扩展访问控制列表，其相应的配置过程示例如下：
   R3(config)#access-list 110 denty ip 192.168.2.0 0.0.0.255 192.168.0 0.0.0.255
   R3(config)#access-list 110 permit ip any any
   R3(config)#interface f0/0
   R3(config-ip)#ip access-group 110 in
   或者：
   R3(config)# ip access-list extended denyLAN2
   R3(config-ext-nac1)# deny ip 192.168.2.0 0.0.0.255 192.168.4.0 0.0.0.255
   R3(config-ext-nac1)# permit ip any any
   R3(config-ext-nacl)#exit
   R3(config)#interface f0/0
   R3(config-if)#ip access-group denyLAN2 in

(7)2    (8)seria10/0
   (9)1    (10)seria10/1
   (11)ISP2    (12)f0/0

策略路由是能够根据网络管理者制定的规则进行数据包转发的一种机制。基于策略的路由比传统路由能力更强，使用更灵活，它使网络管理者不仅能够根据目的地址来选择转发路径，而且还能够根据协议类型、报文大小、应用或IP源地址来选择转发路径。尽管策略路由可以用于在AS中控制数据流，但它通常用于控制AS间的路由。
   策略路由的策略由路由映射图(Route Map)来定义，其对应的配置语句是route-map ＜map-tag＞＜permitIdeny＞＜sequence-number＞。其中，map-tag是route-map的标识号，sequence-number是每一个route-map条件的标识号。route-map命令可将路由器的模式改变为路由映射图配置模式(config-map-router)，在该模式下，可以为路由映射图配置条件。每个route-map命令中都有一组set和match命令。
   match命令用于定义匹配的条件，匹配语句在路由器的输入端口对数据包进行检测。常用的匹配条件包括IP地址、接口、度量值及数据包长度等。其常用的配置语句是match ip address ＜access-list-number＞。
   set命令用于定义对符合匹配条件的语句采取的一些动作。命令set ip next-hop ＜address＞设定数据包下一跳地址；命令set interface设定数据包输出接口；命令set ip default next-hop设定默认的下一跳地址；命令set default interface设定默认的输出接口；命令set ip tos设定数据包的IP ToS值；命令set ip precedence设定IP数据包的优先级。路由映射图的运行机制和访问控制列表相似，都是逐行进行检查的，遇到匹配就立即进行处理。
   在接口配置模式下，使用命令ip policy route-map＜map-tag＞应用相应的策略路由。在全局配置模式下，使用命令ip local policy route-map ＜map-tag＞在本地应用相应的策略路由。
   可以在路由器Rl上配置以下策略路由解决本问题，其配置过程示例如下：
   R1(config)#access-list 1 permit 192.168.1.0 0.0.0.255
   R1(config)#access-list 2 permit 192.168.1.0 0.0.0.255
   R1(config)#route-map ISP1 permit 10
   R1(config-route-map)#match ip address 2
   R1(config-route-map)#set interface serial0/0
   R1(config-route-map)#exit
   R1(config)#route-map ISP2 permit 20
   R1(config-route-map)#match ip address 1
   R1(config-route-map)#set interface serial0/2
   R1(config-route-map)#exit
   R1(config)#interface f0/1
   R1(config)#interface f0/2
   R1(config-if)#ip policy route-map ISP2
   R1(config-if)#interface f0/0
   R1(config-if)#ip policy route-map-ISP1
   R1(config-if)#

(13)D或R1    (14)B或路由重分布

当许多运行多路由的网络要集成到一起时，必须在这些不同的路由选择协议之间共享路由信息。例如，从RIP路由进程所学习到的路由可能需要被注入到IGRP路由进程中。在路由选择协议之间交换路由信息的过程被称为路由重发布(Route Redistribution)。这种重发布可以是单向的也可以是双向的，单向是指一种路由协议从另一种路由协议那里接收路由，双向是指两种路由选择协议互相接收对方的路由。
   执行路由重发布的路由器被称为边界路由器，因为它们位于两个或多个自治系统(AS)的边界上。路由重发布时计量单位和管理距离是必须要考虑的。在路由协议配置子模式下，使用命令redistribute配置路由协议重发布。若要求自治系统1中的路由器R2能学习到自治系统2(OSPF网络)中的路由信息，同时R5也能学习到自治系统1中的路由信息，则需要在路由器R1上配置路由重发布。