【计算机类职业资格】软件水平考试（中级）网络工程师下午（应用技术）试题-试卷22及答案解析.doc

1、软件水平考试（中级）网络工程师下午（应用技术）试题-试卷 22及答案解析(总分：84.00，做题时间：90 分钟)一、试题一(总题数：2，分数：16.00)1.试题一（）（分数：8.00）_阅读以下关于 ADSL宽带接入 Internet的技术说明，请结合网络拓扑结构图，根据要求回答问题 1至问题5。【说明】 某边远山区的行政机关需要与该地区的市委行政机关进行网络互连，提高行政办事效率，并要求与 Internet 网互连，从而打开该山区原信息闭塞的局面。目前，该山区的行政机关所传输的信息量比较少，但要求通信数据传输可靠，与 Internet网的互连成本又不能太高。为此，负责该项目的谢工程师经过

2、对几个宽带网络互连方案进行分析、对比和探讨后，根据该地区的现状决定采用 ADSL接入Internet网。同时，谢工程师向所在地的 ISP(电信局)提出宽带网接入申请并获批准，且 ISP提供了一台ADSL MODEM、一台用户端滤波器。谢工程师另外采购了组网所需的一台带 16个电端，的普通交换机及数百米的超 5类双绞线。 该山区的行政机关采用 ADSL接入 Internet的网络拓扑结构图如图 2-2所示。（分数：8.00）(1).非对称数字用户线(Asymmetric Digital Subscriber Line，ADSL)是一种利用现有的传统电话线路高速传输数字信息的技术。ADSL 技术可

3、以充分利用现有铜线网路，只要在用户线路两端加装 ADSL设备即可为用户提供服务。ADSL 系统构成模型如图 2-2所示。 请将以下术语所对应的编号，将图 2-2所示的拓扑结构中(1)(8)空缺处的名称填写完整。 【供选择的答案】 AATU-R 模块 BATU-C 模块 C用户端ADSL MODEM D模拟信号 E数字信号 F程控交换机 G局端 PS H局端 ADSL MODEM（分数：2.00）_(2).在该山区的行政机关的办公室内，按照 GDMT最高速率标准上传一个 45MB的文件至少需用多少秒时间? (请简要写出计算过程)（分数：2.00）_(3).ADSL MODEM利用数字信号处理器技

4、术将大量的数据压缩到双绞铜质电话线上，再应用转换器、分频器、模/数转换器等组件来进行处理。目前，我国采用的是离散多音频(DMT)调制技术，其频谱分布如图2-3所示。 请将“上行信道”、“下行信道”、“传统电话”等技术术语填入图 2-3中(9)(11)空缺处的相应位置。 （分数：2.00）_(4).假设该山区的行政机关大楼停电了，那么根据图 2-2所示的网络拓扑结构图判断，此时是否会影响电话机的使用?（分数：2.00）_二、试题二(总题数：2，分数：16.00)2.试题二（）（分数：8.00）_阅读以下关于某硬件防火墙相关配置的技术说明，根据要求回答问题 1至问题 4。【说明】 某单位在部署内部

5、局域网时选用了一款硬件防火墙，该防火墙分别带有“WAN”、“LAN”“DMZ”、“FUN”等 4个网络接口，支持 Web界面、命令行等多种管理模式。该单位接入 Internet部分的相关网络参数和网络拓扑结构如图 3-7所示。 （分数：8.00）(1).根据该单位防火墙与外部网络相关的网络连接参数，请将以下命令行中(1)(4)空缺处的内容填写完整，以完成对防火墙相应的网络接口进行地址初始化的配置。 FireWall (config) #ip address inside (1) (2) FireWall (config) #ip address outside (3) (4)（分数：2.00）

6、_(2).防火墙的网络地址转换功能工作在 TCP/IP协议族的(5)。在图 3-7所示的网络拓扑图中，内部网络经由防火墙采用 NAT方式与 Internet网络进行通信，防火墙的网络地址转换功能的配置界面如图 3-8所示。请将图 3-8中(6)(8)空缺处的内容填写完整，以实现整个内部网络段的多个用户共享同一个公网 IP地址。 （分数：2.00）_(3).包过滤规则策略是防火墙实现安全管理的重要手段，通常防火墙包过滤规则的默认策略为拒绝。图 3-9给出了防火墙的包过滤规则的相关配置界面。若要求内部所有主机不能访问外部 IP地址段为 202.117.12.0/24的 Web服务器，请将图 3-9

7、中(9)(12)空缺处的内容填写完整，以完成相应的配置任务。 （分数：2.00）_(4).在图 3-7所示的网络拓扑图中，要求使计算机 PC1仅在访问外部网站(端口号为 80)时启动 HTTP代理服务(端口号为 3128)，通过 HTTP缓存提高浏览速度。 图 3-10给出了主机 PC1的“局域网(LAN)设置”的配置界面。请用 200字以内的文字简要的说明完成以上配置任务的操作步骤。 （分数：2.00）_三、试题三(总题数：2，分数：16.00)3.试题三（）（分数：8.00）_阅读以下在政务网中基于 MPLS的 IP-VPN应用服务的技术说明，回答问题 1至问题 5。【说明】 为了保证政务

8、外网各系统的安全，必须要为各系统的网络互联提供安全隔离及网络服务质量保证，使用基于MPLS的 IP-VPN是在 IP网上解决这种安全隔离的一种较好手段。图 4-6示意了某省省直机关 A、省直机关B各自的总部网点与分部网点基于 MPLS的 IP-VPN网络拓扑结构图。 （分数：8.00）(1).多协议标签交换(MPLS，Multiprotocol Label Switch)是一种第三代网络架构技术，也是新一代的IP高速骨干网络交换标准。一旦在路由器上启用 MPLS协议进程，路由器便开始邻居发现和标签交换。MPLS交换使用(1)协议进行邻居发现，使用(2)进行标签交换。 在 MPLS网络中负责为网

9、络流添加/删除标记的是(3)路由器。具有 MPLS功能的路由器可以根据转发目标把多个 IP流聚合在一起，组成一个(4)。（分数：2.00）_(2).在图 4-6所示的 MPLS网络上捕获并分析省直机关 A总部网点及其分部网点经由 MPLS网通信的 PPP数据帧，该 PPP帧结构如图 4-7所示，请在下列供选择的答案中选择正确选项填入到图 4-7相应的空缺处。 (a) IP头 (b) PPP 头 (C) ICMP 头 (d) UDP 头 (e) MPLS 标记 （分数：2.00）_(3).在 MPLS头标中 S比特和(8)字段可防止分组转发过程中出现的循环路径。根据图 4-6所示的拓扑结构中各路

10、由器相互交换的的信息，将以下在路由器 Router1上生成的基于 MPLS的 IP-VPN标记转发表(见表4-6)中，(9)(12)空缺处的内容填写完整。 （分数：2.00）_(4).路由器 Router2的各接口已启用 MPLS协议进程。在路由器 Router2特权模式下分别输入以下 3条命令： show mpls ldp neighbor show mpls ldp discovery show mpls ldp bindings 请解释以上3条配置命令各自完成什么功能?（分数：2.00）_四、试题四(总题数：2，分数：20.00)4.试题四（）（分数：10.00）_阅读以下关于网络应用系

11、统运行及性能分析的技术说明，根据要求回答问题 1至问题 5。【说明】 某企业应用 IPSec协议部署一个合同管理与查询系统的虚拟专用网(VPN)，其网络拓扑结构如图 5-17所示。该系统由 1台数据服务器和 350台客户机(PC1PC350)构成，数据服务器和客户机之间通过局域网进行通信，数据服务器通过 VPN隧道连接到两个异地的交易网关 X和 Y。 系统中的 350台客户机的配置完全相同。每一台客户机一次只能处理一个应用，不能同时处理多个应用。一个应用完成之后，才能处理下一个应用任务。 数据服务器直接从交易网关接收数据(这个操作被称为接收任务)，即便是在峰值时间也必须在 10s内完成，否则数

12、据会丢失。 数据服务器采用对称多处理器系统(双核系统以上)，操作系统使用虚拟存储(操作系统需要 80MB的主存，假设与 CPU的数量无关)。由于该系统使用虚拟存储，因此没有必要全部从主存中为操作系统和每个任务申请存储空间。但是，如果系统从主存中分配给操作系统的存储空间不到其所需的 80%，分配给应用任务的存储空间不到其所需的 50%，分配给接收任务的存储空间不到其所需的 80%，系统性能会下降到不能接受的程度。 数据服务器需根据客户机选择的应用创建不同的应用任务。当客户机上的处理完成后，相应的应用任务也完成了。服务器启动时，分别为每个交易网关创建一个接收任务。在峰值时间点，处理应用任务 1的客

13、户机有 100台，处理应用任务 2的客户机有 200台，处理应用任务 3的客户机有 50台。 合同管理与查询系统系统需要完成应用任务 1至应用任务 3的操作，以及从交易网关接收数据等 4种类型的处理操作，见表 5-8。 （分数：10.00）(1).假设在服务器和客户机之间均采用 TCP/IP协议通信。请估算出在峰值时间点，该局域网上传输的数据的最小流量是多少? (请简要写出计算过程)（分数：2.00）_(2).假设该企业每名员工配备有一台计算机，每个部门有独立子网：员工所用 PC机的 IP地址由其所在部门指派，由企业信息部负责 IP地址的管理，应用软件的配置、维护和升级等工作。若该企业要求实现

14、各子系统的用户只能通过安装在本部门的客户机处理其业务的访问控制策略 1，例如合同管理子系统的用户在处理业务时只能使用安装在本部门的客户机，则需要通过检测客户机的(1)地址，用以判断客户端是否来自授权部门。 若该企业要求实现只允许授权职工通过为其配置的客户机使用差旅审批子系统的访问控制策略 2，则需要通过检测客户机的(2)地址，用以判断客户端是否来自授权的计算机。（分数：2.00）_(3).针对本合同管理与查询系统的不同应用，说明在该系统中哪些应用任务适合采用 UDP作为服务器与客户机的通信协以?请用 200字以内的文字简要说明理由。（分数：2.00）_(4).要保证在峰值时间点，应用任务的处理

15、速度仍可接受，服务器所需的最小主存是多少兆字节? (请简要写出计算过程)（分数：2.00）_(5).在峰值时间，可能使用单独的 CPU无法保证在规定的时间内完成各种应用。为了解决这个问题，需要增加 CPU的数量。根据题干所提供的信息且近似认为服务器处理速度与 CPU的数量成正比，计算在服务器上需要安装的最小的 CPU数量。(请简要写出计算过程)（分数：2.00）_五、试题五(总题数：2，分数：16.00)5.试题五（）（分数：8.00）_阅读以下关于交换机 VTP协议配置的技术说明，根据要求回答问题 1至问题 4。【说明】 利用 VLAN技术可以把物理上连接的网络从逻辑上划分为多个不同的虚拟子

16、网，可以对各个子网实施不同的管理策略。利用 show vtp status命令在某台交换机的特权模式下查看其 VTP配置，系统输出的配置信息如图 6-18所示。 （分数：8.00）(1).如果在网络设计过程中划分了很多 VLAN，则可采用 VTP来简化其管理。交换机管理 IP地址只能创建在(1)中，而 VTP信息只能在(2)端口上传播。共享相同 VLAN数据库的交换机构成一个(3)。不同交换机平台、不同的 IOS版本支持的 VLAN数量不同，从图 6-18所示的输出信息可知，交换机 SwitchA允许用户创建的 VLAN数最多可达(4)个。（分数：2.00）_(2).结合图 6-18所示的输出

17、信息，将以下(5)(9)空缺处的内容填写完整，以完成交换机 SwitchA的相关配置任务。 Switchenable (进入特权模式) Switch#config terminal (进入配置子模式) Switch (config#) (5) SwitchA (config#) exit (退出配置子模式) SwitchA# vlan database SwitchA(vlan)# (6) (配置 VTP协议版本) SwitchA(vlan)# (7) (配置本交换机的 VTP模式) SwitchA(vlan)# (8) (配置VTP管理域名) SwitchA(vlan)# (9) (启动修剪

18、功能) SwitchA(vlan)#end SwitchA#（分数：2.00）_(3).使交换机 SwitchA的千兆位端口允许除 VLAN 6之外的所有 VLAN数据通过的相关配置语句如下，请给出(10)空缺处的命令解释及(11)、(12)空缺处的配置内容。 SwitchA#config terminal (进入配置子模式) SwitchA(config)#interface gigabit0/1 (10) SwitchA(config-if)#switchport (11) SwitchA(config-if)#switchport (12) SwitchA(config-if)#end（

19、分数：2.00）_(4).在默认情况下，交换机刚加电启动时，每个端口都要经历生成树的 4个阶段。为了加速交换机端口状态转化时间，可以将某交换机端口设置成为快速端口。设置为快速端口的端口当交换机启动或端口有工作站接入时，将会直接进入(13)状态。如果需要将交换机 SwitchA的端口 110 设置为快速端口，请完成以下(14)、(15)空缺处的相关配置。 SwitchA#config terminal (进入配置子模式) SwitchA(config)# (14) fastethemet0/1-10 SwitchA(config-if- range)# (15) portfast (设置端口 1

20、10 为快速端口)（分数：2.00）_软件水平考试（中级）网络工程师下午（应用技术）试题-试卷 22答案解析(总分：84.00，做题时间：90 分钟)一、试题一(总题数：2，分数：16.00)1.试题一（）（分数：8.00）_解析：阅读以下关于 ADSL宽带接入 Internet的技术说明，请结合网络拓扑结构图，根据要求回答问题 1至问题5。【说明】 某边远山区的行政机关需要与该地区的市委行政机关进行网络互连，提高行政办事效率，并要求与 Internet 网互连，从而打开该山区原信息闭塞的局面。目前，该山区的行政机关所传输的信息量比较少，但要求通信数据传输可靠，与 Internet网的互连成本

21、又不能太高。为此，负责该项目的谢工程师经过对几个宽带网络互连方案进行分析、对比和探讨后，根据该地区的现状决定采用 ADSL接入Internet网。同时，谢工程师向所在地的 ISP(电信局)提出宽带网接入申请并获批准，且 ISP提供了一台ADSL MODEM、一台用户端滤波器。谢工程师另外采购了组网所需的一台带 16个电端，的普通交换机及数百米的超 5类双绞线。 该山区的行政机关采用 ADSL接入 Internet的网络拓扑结构图如图 2-2所示。（分数：8.00）(1).非对称数字用户线(Asymmetric Digital Subscriber Line，ADSL)是一种利用现有的传统电话线

22、路高速传输数字信息的技术。ADSL 技术可以充分利用现有铜线网路，只要在用户线路两端加装 ADSL设备即可为用户提供服务。ADSL 系统构成模型如图 2-2所示。 请将以下术语所对应的编号，将图 2-2所示的拓扑结构中(1)(8)空缺处的名称填写完整。 【供选择的答案】 AATU-R 模块 BATU-C 模块 C用户端ADSL MODEM D模拟信号 E数字信号 F程控交换机 G局端 PS H局端 ADSL MODEM（分数：2.00）_正确答案：(正确答案：(1) 局端 ADSL MODEM (2) 局端信号分离器 PS (3) 电话程控交换机 (4) ATU-C模块 (5) 数字信号 (6

23、) 模拟信号 (7) ATU-R 模块 (8) 用户端 ADSL MODEM)解析：解析：这是一道要求读者掌握 ADSL系统接入模型的分析理解题。本题的解答思路如下。 1)用户端ADSLMODEM是位于用户家中的终端设备，其一端使用电话线与 PSTN网络相连接，另一端使用交叉双绞线与用户的计算机或交换机相连接。在图 2-2所示的拓扑结构中，(8)空缺处的网络设备就是“用户端 ADSL MODEM”。 2)由于 ADSL MODEM必须成对使用，因此在电信局端和用户家中所用的 ADSL MODEM被分别称为ATU-C(C表示端局，Central Office)和 ATU-R(R表示远端，Remo

24、te)。同时将电信局端 ADSL MODEM所在的功能模块称为中央交换局端模块(ATU-C 模块)，即在图 2-2所示的网络拓扑结构中(4)空缺处需填入“ATU-C模块”。将用户 ADSL MODEM所在的功能模块称为远端模块(ATU-R 模块)，即在图 2-2所示的网络拓扑结构中(7)空缺处需填入“ATU-R 模块”。由图 2-2所示的网络拓扑结构可见，一个典型的 ADSL系统接入模型主要由中央交换局端模块和远端模块组成。 3)位于用户家中的信号滤波器，也称信号分离器(PS，POTS Splitter)，用于将电话线路中的高频用户信号和低频语音信号进行分离。由于局端和用户的ADSL MODE

25、M必须成对使用，信号分离器 PS也需成对使用，即用户家中的信号分离器 PS经过接线盒连接至 PSTN网，在局端跳线架之后需先经过一个局端信号分离器 PS，用于把话音信号分离后送至电话程控交换机，因此在图 2-2所示的网络拓扑结构中(2)空缺处需填入“局端信号分离器 PS”，(3)空缺处的网络设备就是“电话程控交换机”。由此也可判断出在图 2-2所示的网络拓扑结构中，与 Internet网互连的网络设备就是“局端 ADSL MODEM” (即(1)空缺处所填写的内容)。 4)由以上分析可知，信号滤波器用于将电话线路中的低频语音信号和高频数字信号进行分离。其中，低频语音信号由分离器接电话机用来传输

26、普通语音信息，而高频数字信号则送入 ADSL MODEM，用来传输 Internet网数据信息。 5)低频语音信号在图 2-2所示的网络拓扑结构中的传输路径是：局端的电话程控交换机局端滤波器PSTN 网用户端滤波器电话机。 6)在图 2-2所示的网络拓扑结构中，高频数字信号的传榆路径是：Internet网局端 ADSL MODEM局端滤波器PSTN 网用户端滤波器用户端 ADSL MODEM交换机用户计算机。 7)因此，在图 2-2所示的网络拓扑结构中(5)空缺处传输的信号是“数字信号”，(6)空缺处传输的信号是“模拟信号”。 8)最后将以上分析结果归纳整理，可得出一张完整的 ADSL宽带接入

27、Internet网的网络拓扑结构图，如图 2-10所示。(2).在该山区的行政机关的办公室内，按照 GDMT最高速率标准上传一个 45MB的文件至少需用多少秒时间? (请简要写出计算过程)（分数：2.00）_正确答案：(正确答案：根据数据传输速率的计算公式 将计算结果取整数为 252秒(即 4分 12秒)解析：解析：这是一道要求读者掌握 ADSL宽带接入技术数据传输速率标准的计算题。本题的解答思路如下。 1)目前比较成熟的 ADSL速率标准有G.DMT 和G.Lite 两种。其中，G.DMT 标准是全速率的 ADSL标准，支持高速下行速率为 8Mb/s，上行速率为 1.5Mb/s。该标准要求用

28、户端安装 POTS分离器，比较复杂且价格贵，比较适用于小型或家庭办公室。由此可知，试题中关键信息“按照 G.DMT最高速率标准上传”指的是 G.DMT的上行数据传输速率 R=1.5Mb/s。 另外，G.Lite 标准的下行速率为 1.5Mb/s，上行速率为 512kb/s，成本较低且便于安装，比较适用于普通家庭用户。 2)一个 45MB的文件所包含的比特数 D=452102108b=36010242b。 3)按照 G.DMT最高速率标准，设上传一个 45MB的文件所用的时间为 t。根据数据传输速率的基本计算公式 得：(3).ADSL MODEM利用数字信号处理器技术将大量的数据压缩到双绞铜质电

29、话线上，再应用转换器、分频器、模/数转换器等组件来进行处理。目前，我国采用的是离散多音频(DMT)调制技术，其频谱分布如图2-3所示。 请将“上行信道”、“下行信道”、“传统电话”等技术术语填入图 2-3中(9)(11)空缺处的相应位置。 （分数：2.00）_正确答案：(正确答案：(9) 传统电话 (10) 上行信道 (11) 下行信道)解析：解析：这是一道要求读者掌握 ADSL宽带接入技术中离散多音频(DMT)调制原理的分析理解题。本题所涉及的知识点有： 1)离散多音频(DMT)调制技术核心思想是：将整个传输频带分成若干子信道，每个子信道对应不同频率的载波，在不同载波上分别进行正交幅度调制(

30、QAM)1，不同信道上传输的信息容量(即每个载波调制的数据信号)根据当前子信道的传输性能决定。 2)DMT 调制技术是一种多载波调制技术，它采用频分复用的方法将 01.104MHz 的带宽分割成 256 (0255)个子信道(tone)，每个子信道占用4.3125kHz的频带。子信道 0(04kHz)用来传输电话音频；子信道 1至子信道 5(4kHz26kHz)没有使用，用来分隔语音信道和数据信道；40kHz 以上的高端频谱划分为多个子信道，其中子信道 6至子信道 31(共25个)用做上行传输，子信道 33至于信道 255(共 249个)用做下行传输。每个子信道最多可以进行 15比特的星位图调

31、制。 3)由以上分析可知，在图 2-3所示的频谱分布图中，04kHz 频段供传统电话信号使用，即(9)空缺处可填入“传统电话”。由“频率”横向坐标的箭头方向可知，(10)空缺处可填入“上行信道”，(11)空缺处可填入“下行信道”。 4)对应于不同的频段分布情况，ANSI T1E1.4 工作组建议的ADSL传输业务分类如表 2-4所示。(4).假设该山区的行政机关大楼停电了，那么根据图 2-2所示的网络拓扑结构图判断，此时是否会影响电话机的使用?（分数：2.00）_正确答案：(正确答案：不会)解析：解析：这是一道要求读者掌握 ADSL宽带接入技术网络设备作用的分析理解题。本题的解答思路如下。 1

32、)在图 2-2所示的网络拓扑结构中，局端和用户端的信号分离器 PS用于将电话线路中的低频语音信号和高频数字信号进行分离。其中，低频语音信号由分离器接电话机用来传输普通语音信息，而高频数字信号则送入 ADSL MODEM，用来传输 Internet网数据信息。 2)通常信号分离器 PS是无源的(即不需要220V、50Hz 市电等电源电压的支持)，其目的是为了在停电时不影响传统电话的使用。 3)在图 2-2所示的网络拓扑结构中，对于低频电话信号的传输路径是：局端的电话程控交换机局端滤波器PSTN网用户端滤波器电话机。可见，只要保障通信线路无损坏且局端的电话程控交换机正常工作，不管局端停电还是用户家

33、中停电都能保证用户正常使用电话。二、试题二(总题数：2，分数：16.00)2.试题二（）（分数：8.00）_解析：阅读以下关于某硬件防火墙相关配置的技术说明，根据要求回答问题 1至问题 4。【说明】 某单位在部署内部局域网时选用了一款硬件防火墙，该防火墙分别带有“WAN”、“LAN”“DMZ”、“FUN”等 4个网络接口，支持 Web界面、命令行等多种管理模式。该单位接入 Internet部分的相关网络参数和网络拓扑结构如图 3-7所示。 （分数：8.00）(1).根据该单位防火墙与外部网络相关的网络连接参数，请将以下命令行中(1)(4)空缺处的内容填写完整，以完成对防火墙相应的网络接口进行地

34、址初始化的配置。 FireWall (config) #ip address inside (1) (2) FireWall (config) #ip address outside (3) (4)（分数：2.00）_正确答案：(正确答案：(1) 192.168.10.254 (2) 255.255.255.0 (3) 211.156.169.2 (4) 255.255.255.252)解析：解析：这是一道要求读者掌握防火墙设备内外网接口地址配置的分析题。本题的解答思路如下。 1)从图 3-7所示的网络拓扑结构图中可以看出，该防火墙是基于访问控制策略而设立在内外网之间的一道安全保护机制，实现物

35、理上将内外网隔开。 2)在图 3-7所示时网络拓扑图中，防火墙 FireWall分别使用了“WAN”(211.156.169.2/30)、“LAN”(192.168.10.254/24)、“DMZ”(211.156.169.2/28)等 3个接口，分别与外网、内网、DMZ 区相连。 3)在对防火墙网络接口进行地址初始化配置时，“ip address inside”中的“inside”表示内部网卡，因此根据图 3-7所示的网络结构中防火墙内网接口与区域 B网络的连接参数“192.168.10.254/24”可知，(1)、(2)空缺处的配置参数分别是“192.168.10.254”、“255.25

36、5.255.0”。 4)同理，“ip address outside”中的“outside”表示外部网卡，因此根据图 3-7所示的网络结构中防火墙内网接口与区域 A网络的连接参数“211.156.169.2/30”可知，(3)、(4)空缺处的配置参数分别是“211.156.169.2”、“255.255.255.252”。(2).防火墙的网络地址转换功能工作在 TCP/IP协议族的(5)。在图 3-7所示的网络拓扑图中，内部网络经由防火墙采用 NAT方式与 Internet网络进行通信，防火墙的网络地址转换功能的配置界面如图 3-8所示。请将图 3-8中(6)(8)空缺处的内容填写完整，以实现

37、整个内部网络段的多个用户共享同一个公网 IP地址。 （分数：2.00）_正确答案：(正确答案：(5) C，或网络层 (6) D，或 any (7) A，或 WAN (8) B，或 211.156.169.2)解析：解析：这是一道要求读者掌握防火墙设备 NAT配置的分析理解题。本题的解答思路是，与路由器一样，防火墙的网络地址转换功能可以实现内部网络共享出口 IP地址的任务，它工作在 TCP/IP协议族的网络层，即(5)空缺处所填写的内容。 要实现整个内部网络段(192.168.10.0/24)的多个用户共享同一个公网 IP地址的功能，且考虑到试题中未对访问权限加以限制(图 3-8中“协议”为“a

38、ny”)，因此(6)空缺处的“目的地址”可设置为“any”。 因为是“内部网络段的多个用户共享公网 IP地址”，所以图 3-8中(7)空缺处的“转换接口”应设置为防火墙 FireWall的外网接口，即 WAN口。(8)空缺处的“转换后地址”为防火墙 FireWall的外网接口的 IP地址，即 211.156.169.2。(3).包过滤规则策略是防火墙实现安全管理的重要手段，通常防火墙包过滤规则的默认策略为拒绝。图 3-9给出了防火墙的包过滤规则的相关配置界面。若要求内部所有主机不能访问外部 IP地址段为 202.117.12.0/24的 Web服务器，请将图 3-9中(9)(12)空缺处的内容

39、填写完整，以完成相应的配置任务。 （分数：2.00）_正确答案：(正确答案：(9) A，或 192.168.10.0/24 (10) D，或 any (11) B，或 TCP (12) C，或LANWXN)解析：解析：这是一道要求读者掌握防火墙设备包过滤规则策略配置的分析理解题。本题的解答思路如下。1)注意到试题中关键信息“要求内部所有主机不能访问外部 IP地址段为 202.117.12.0/24的 Web服务器”的“内部所有主机”，这些主机在图 3-7所示的网络拓扑图中对应于区域 B的计算机。由于防火墙与区域B相连接的接口 IP地址为 192.168.10.254/24，其中子网掩码为 255.255.255.0，而区域 B仅给出了一台交换机，可见区域 B就是一个广播域。因此(9)空缺处应填入区域 B的网段地址(192.168.10.0/24)， (10)空缺处的填写内容应选择“any”。 2)通