阅读以下说明，回答问题1至问题4，将解答填入答题纸对应的解答栏内。【说明】某企业网络拓扑如图1-1所示，A～E是网络设备的编号。

问答题根据图1—1，将设备清单表1-1所示内容补充完整。

【正确答案】正确答案：(1)B (2)A (3)C (4)D

【答案解析】解析：本题考查网络设备配置的相关知识。此类题目要求考生认真阅读题目中给出的配置文件内容，了解设备需要实现的网络功能。对于路由器、防火墙、交换机等网络设置的部署，应该兼顾不同设备的特点、网络业务和安全需求。防火墙的防护区域可分为内、外网和DMZ区域，在本题网络拓扑中，A的位置是路由器，在配置文件中定义了外网接口，可以与外部网络进行通信。同时，在路由器上定义NAT，对内网地址进行了有效屏蔽，也起到了节省公网地址作用。B的位置是防火墙，可以对内网用户和服务器进行有效保护，抵御来自外部网络的攻击。C位置是交换机，用于服务器设备的接入。D的位置是服务器，一般只限于内网访问访问。

问答题以下是AR2220的部分配置。 [AR2220]acl 2000 [AR2220一acl一2000]rule normal permit source 192．168．0．0 0．0．255．255 [AR2220-acl一2000]rule normal deny source any [AR2220一acl-2000]quit [AR2220]interface Ethemet0 [AR2220-Ethemet0]ip address 1 92．1 68．0．1 255．255．255．0 [AR2220一Ethemet0]quit [AR2220]interface Ethernet 1 [AR2220—Ethemet1]ip address 59．41．221．100 255．255．255．0 [AR2220-Ethemet 1]nat outbound 2000 interface [AR2220-Ethemet 1]quit [AR2220]ip route-static 0．0．0．0 0．0．0．0 59．74．22 1．254 设备AR2220使用 (5) 接口实现NAT功能，该接口地址的网关是 (6) 。

【正确答案】正确答案：(5)Ethemetl(6)59．74．221．254

【答案解析】解析：设备AR2220的配置文件主要定义了内、外网接口，并且配置了内、外网络访问的策略，将内网地址转换成外网接口地址用于访问外部网络。有关命令解释如下。 (1)mle normal permit source与rule normal deny source any命令配合使用，表示源地址段以外的地址禁止通过。 (2)interface Ethernet0与ip address配合使用，定义设备的接口地址，配置文件中定义了两个接口地址。 (3)nat outbound 2000 interface命令是在设备上启用了NAT规则。 (4)ip route．static是～条静态路由命令，告诉路由器默认数据的下一跳地址。

问答题若只允许内网发起邱、http连接，并且拒绝来自站点2．2．2．1l的Java Applets报文。在USG3000设备中有如下配置，请补充完整。 [USG3 000]acl number 3 000 [USG3000-acl-adv-3000]role permit tcp destination-port eq www [USG3 000-acl-adv一3 000]role permit tep destination—port eq ftp [USG3 000-acl-adv-3 000]rule permit tcp destination—port eq ftp-data [USG3000]acl number 20 1 0 [USG3000一acl-basic-20 1 0]rule (7)source 2．2．2．1 1 0．0．0．0 [USG3000-acl-basic-20 1 0]rule permit source any [USG3000] (8) interzone trust untmst [USG3 000一interzone-trust．untmst]packet．filter 3 000(9) [USG3 000．interzone．trust．untrustl detect ftp [USG3000．interzone．trust．untrustl detect http [USG3000一interzone—trust．untrust]detect jav@A@blocking 20 1 0(7)～(9)备选答案：A．firewallB．trustC．denyD．permitE．outboundF．inbotmd

【正确答案】正确答案：(7)C (8)A (9)E

【答案解析】解析：设备USG3000的配置文件主要内容是配置内、外网访问策略。有关命令解释如下： (1)acl number 3000规则，允许www、ftp、ftp-data等协议。 (2)acl number 2010规则，配置对HTTP、FTP协议指定ASPF策略。 ASPF(application specific packet filter)是针对应用层的包过滤，即基于状态的报文过滤。它和普通的静态防火墙协同工作，以便于实施内部网络的安全策略。包括dos(denial of service，拒绝服务)的检测和防范。java blocking(java阻断)保护网络不受有害java applets的破坏。 activex blocking(activex阻断)保护网络不受有害activex的破坏。

问答题 PC-1、PC-2、PC-3网络设置如表1-2。

【正确答案】正确答案：(10)192．168．4．1 (11)192．168．100．0 (12)定义端口为trunk

【答案解析】解析：RIP协议是动态路由选择协议，通过路由表的自动更新使IP进行数据交换时获取正确的路径。 port link—type trunk定义接口类型，Trunk类型的端口可以允许多个VLAN通过，可以接收和发送多个VLAN的报文，一般用于交换机之间连接的端口。