【答案解析】子网 网络地址 子网掩码 可用的IP地址段
子网1192.168.1.192/27 255.255.255.224 192.168.1.193～192.168.1.222
子网2192.168.1.224/28 255.255.255.240 192.168.1.225～192.168.1.238
子网3192.168.1.240/28 255.255.255.240 192.168.1.241～192.168.1.254 [解析]
可变长度子网掩码(VLSM)规定了如何在一个进行了子网划分的网络中的不同部分使用不同的子网掩码，比较适用于网络内部不同网段需要不同大小子网的场合。IP地址块192.168.1.192/26中的“/26”表示子网掩码为26个“1”比特的掩码，即255.255.255.192。它是在C类IP地址标准子网掩码255.255.255.0的基础上扩展了2个比特位。由于第1个子网要求能够容纳25台主机，2 ⁵ -2=32-2=30>25>2 ⁴ -2=14。其中，“-2”表示全0的地址被保留标志子网本身，全1的地址被保留用做该子网的广播地址，因此第1个子网表示主机号的比特位至少需要5位。当主机号的比特位为5位时，所对应的子网掩码为255.255.255.224。
若按子网序号顺序分配网络地址，则第1个子网网络地址及可用的IP地址范围求解过程如表1所示。

表1 第一个子网络地址及可用的IP地址范围分析表 步骤 项目 数值 ① 已求知的子网掩码 255.255.255.224 ② 该子网掩码转化为二进制表示 11111111.11111111.11111111.11100000 ③ 题干已给出的IP地址 192.168.1.192 ④ 该IP地址转化为二进制表示 11000000.10101000.00000001.11000000 ⑤ 将以上2个二进制数进行AND运算 11000000.10101000.00000001.11000000(阴影部分表示该子网的子网号) ⑥ 故第一个子网的网络地址为 192.168.1.192/27 ⑦ 该子网的IP地址范围 192.168.1.192～192.168.1.223 ⑧ 该子网最小可实际分配的1P地址的二进制表示 11000000.10101000.00000001.11000001 ⑨ 该子网最大可实际分配的IP地址的二进制表示 11000000.10101000.00000001.11011110 ⑩ 该子网中可实际分配的主机地址范围 192.168.1.193～192.168.1.222

由表1可知，第1个子网使用的子网号为“0”，网络地址为192.168.1.192/27，可实际分配的主机地址范围为192.168.1.193～192.168.1.222。 由于另外两个子网只要求分别能够容纳10台主机，2 ⁴ -2=14>10>2 ³ -2=6，因此另外两个子网表示主机号的比特位至少需要4位。当主机号的比特位为4位时，所对应的子网掩码为255.255.255.240。如果将子网掩码从255.255.255.192变更为255.255.255.240，则可以产生4个子网(新子网号分别为00、01、10、 11)。但第1个子网已占用了其中的子网号00、01，则第2个子网所使用的子网号为10，第3个子网所使用的子网号为11。第2个、第3个子网网络地址及可用的IP地址范围求解过程分别如表2和表3所示。

表2 第2个子网络地址及可用的IP地址范围分析表 步骤 项目 数值 ① 已求知的子网掩码 255.255.255.240 ② 该子网掩码转化为二进制表示 11111111.11111111.111 11111.11110000 ③ 题干已给出的IP地址 192.168.1.192 ④ 该IP地址转化为二进制表示 11000000.10101000.00000001.11000000 ⑤ 用子网号“10”标识第2个子网，其网络地址的二进制表示 11000000.10101000.00000001.11100000(阴影部分表示该子网的子网号) ⑥ 该IP地址转化为十进制表示 192.168.1.224/28 ⑦ 该子网的IP地址范围 192.168.1.224～192.168.1.239 ⑧ 该子网最小可实际分配的IP地址的二进制表示 11000000.10101000.00000001.111000001 ⑨ 该子网最大可实际分配的IP地址的二进制表示 11000000.10101000.00000001.11101110 ⑩ 该子网中可实际分配的主机地址范围 192.168.1.225～192.168.1.238

表3 第3个子网络地址及可用的IP地址范围分析表 步骤 项目 数值 ① 已求知的子网掩码 255.255.255.240 ② 该子网掩码转化为二进制表示 11111111.11111111.111 11111.11110000 ③ 题干已给出的IP地址 192.168.1.192 ④ 该IP地址转化为二进制表示 11000000.10101000.00000001.11000000 ⑤ 用子网号“11”标识第2个子网，其网络地址的二进制表示 11000000.10101000.00000001.11110000(阴影部分表示该子网的子网) ⑥ 该IP地址转化为十进制表示 192.168.1.240/28 ⑦ 该子网的IP地址范围 192.168.1.240～192.168.1.255 ⑧ 该子网最小可实际分配的IP地址的二进制表示 11000000.10101000.00000001.111000001 ⑨ 该子网最大可实际分配的IP地址的二进制表示 11000000.10101000.00000001.11111110 ⑩ 该子网中可实际分配的主机地址范围 192.168.1.241～192.168.1.254

由表2可知，第2个子网使用的子网号为“10”，网络地址为192.168.1.224/28，可实际分配的主机地址范围为192.168.1.225～192.168.1.238。由表3可知，第3个子网使用的子网号为“11”，网络地址为 192.168.1.240/28，可实际分配的主机地址范围为192.168.1.241～192.168.1.254。

【答案解析】变长子网掩码(VLSM)功能
网络地址转换(NAT)处理 [解析]
如果该网络使用问题(1)中所描述的IP地址，则边界路由器应该具有可变长子网掩码(VLSM)功能。
RFC1518文件对A类、B类、C类地址中全局IP地址和专用IP地址的范围和使用做出了规定。IPv4为内部网络预留的专用IP地址有3组。第1组是A类地址的1个地址块，即10.0.0.0～10.255.255.255；第2组是B类地址的16个地址块(172.16.0.0～172.31.255.255)；第3组是C类地址的256个地址块 (192.168.0.0～192.168.255.255)。本试题中，地址块192.168.1.192/26属于C类专用IP地址块。专用IP地址用于内部网络的通信，如果需要访问外部Internet主机，必须由运行网络地址转换(NAT)的主机或路由器将内部的专用IP地址转换成全局IP地址。因此，为了保证外网能够访问到该网络内的服务器，应在边界路由器对网络中服务器的IP地址进行“一对一”或“一对多”网络地址转换(NAT)处理。

【答案解析】基于网络的入侵防护系统，或HIPS
位置2 [解析]
基于网络的入侵防护系统(Network-based Intrusion Prevention System，NIPS)兼有防火墙、入侵检测系统和防病毒等安全组件的特性，当数据包经过时，将对它进行过滤检测，以确定该数据包是否包含有威胁网络安全的特征。如果检测到一个恶意的数据包，系统不但发出警报，还将采取相应措施(如丢弃含有攻击性的数据包或阻断连接)阻断攻击。
NIPS部署于网络出口处，一般串联于路由器、三层交换机(或防火墙)之间，网络进出的数据流都必须通过它，从而保护整个网络的安全。根据如图3-5所示的拓扑结构，该NIPS设备应该部署在“位置2”。

【答案解析】活动目录 [解析]
Windows Server 2003中有本地用户和域用户两种用户类型。其中，本地用户信息存储在本地计算机的账户管理数据库中，用户登录后只能根据权限访问本地计算机。域用户信息存储在域控制器的活动目录中，用户登录后可以根据权限访问整个域中的资源。
活动目录是Windows Server 2003操作系统中的一个中央数据库，存储着各种资源信息，而它的实现仅需一个存储在中央目录服务器的用户账户。活动目录使用DNS命名，提供了一个可伸缩、易整理的架构化网络连接视图。Windows Server 2003操作系统的活动目录必须安装在NTFS分区中。