【正确答案】基本思路(示例，答案包含但不限于以下方案)：按10.m.n.X/Y的模式进行相关的IP地址分配，其中m表示不同的单位；n表示同一单位的不同部门，X表示同一部门中不同的计算机设备，Y表示子网掩码的长度。 具体分配方案(示例，答案包含但不限于以下方案)： 经理办：10.0.0.0/27 人事：10.0.1.0/26 财务：10.0.2.0/25 调度：10.0.3.0/26 生产：10.0.4.0/25 销售：10.0.5.0/26 采购：10.0.6.0/27 后勤：10.0.7.0/27

【答案解析】设计本问题的目的是加深读者对IP地址规划设计的理解。本题的解答思路如下。
根据需求，机关大楼为整个园区网的中心，其他厂区和服务区分别为不同的功能部门，可以根据部门的划分来划分不同功能域。由于每个单位下面又分为几个不同的部门，因此可采用变长子网掩码技术进行IP地址规划及分配。为了有效地利用地址空间，可以对IP地址进行子网划分，从地址的主机部分借取若干位作为子网号，剩余部分仍然表示主机号。
对于该集团公司，IP地址规划及分配可以采用拓扑结构划分，并结合按行政划分和按地理划分的组合方案。首先按照公司组织机构设置划分出7个大的子网，即机关大楼、厂区1、厂区2、辅助厂区1、辅助厂区2、服务区、网络信息中心，接着根据网络安全及网络管理的要求再划分出全网网络设备管理子网、内部服务器子网、外部服务器子网等，然后根据具体的业务功能对每个大子网进一步细化子网的划分。
根据IETF中定义的内部网专用IP地址块分别是：10.0.0.0～10.255.255.255(A类网)，172.16.0.0～172.31.255.255(B类网)，192.168.0.0～192.168.255.255(C类网)。由于试题既要求从一个点分十进制表示的IP地址块的某个字节中明显地区分出不同的单位(如公司机关、厂区1、厂区2等)，又要求从该IP地址块的某个字节中明显地区分出同一单位的不同部门(如公司机关中的经理办、人事、财务等部门)。而同一个部门中还要为不同的计算机设备分配相应的IP地址，因此在IP地址块(点分十进制表示)中需要有3个字节来分别表示上述功能要求。故而该集团公司需要选用10.0.0.0～10.255.255.255这一A类内部网专用IP地址块来进行IP地址规划及分配。例如，采用按10.m.n.X/Y的模式进行相关的IP地址分配。m用于表示不同的单位；n用于表示同一单位的不同部门，X用于表示同一个部门中不同的计算机设备，Y表示子网掩码的长度。
在“能为未来5年内公司信息点增长预留出一定的地址分配空间”、“预计5年后集团公司各单位中各部门的信息点增长量小于等于30%”、“要求每个子网尽可能少地分配IP地址空间(以防止诸如外来设备的非法接入)”的条件下，可得到表2所示的一种集团公司IP地址分配具体方案。

{{B}}表2 集团公司IP地址分配方案{{/B}}
单位	部门	现有信息点数	5年之后信息点数	分配的地址空间	子网内最大实际利用的地址数
公司机关	经理办	15	20	10.0.0.0/27	30
	人事	30	39	10.0.1.0/26	62
	财务	54	71	10.0.2.0/25	126
	调度	30	39	10.0.3.0/26	62
	生产	62	81	10.0.4.0/25	126
	销售	31	41	10.0.5.0/26	62
	采购	23	30	10.0.6.0/27	30
	后勤	21	28	10.0.7.0/27	30
厂区1	炼油厂	65	85	10.1.0.0/25	126
	化肥厂	60	78	10 1.1.0/25	126
	热电厂	110	143	10.1.2.0/24	254
厂区2	腈纶厂	36	47	10.2.0.0/26	62
	塑料厂	61	80	10.2.1.0/25	126
	氯碱厂	90	118	10.2.2.0/25	126
……	……	……	……	……	……

表2中，“5年之后信息点数”列数据按各部门信息点的最大增长率30%进行计算。以公司机关大楼中人事部门为例进行相关说明，给人事部门分配的IP地址块为10.0.1.0/26，其中左边的“0”用于表示该IP地址位于机关大楼内，“1”用于表示这是一个人事部门的IP地址。该IP地址块共有6位主机号(即32-26=6)，其总共的地址数为2⁶=64个。由于该地址块需要消耗掉一个网络地址(如10.0.1.0/26)和一个网段的直接广播地址(如10.0.1.63/26)，因此该子网内最大可实际利用的地址数共有64-2=62个。由于62＞39，因此该地址块能够满足机关大楼内人事部门未来5年之内信息点增长下的IP地址分配需求。

【正确答案】(1)产生的总流量约为0.4Mbps (2)超过局域网带宽10%时，需要减少轮询的参数数量，和/或延长轮询的时间间隔；不足局域网带宽1%时，需要增加轮询的参数数量，和/或减少轮询的时间间隔

【答案解析】设计本问题的目的是加深读者对网络管理流量计算及相关参数调整的理解。本题的解答思路如下。
依题意，该集团公司共有70台交换机设备，每台交换机设备监测13个管理特征参数，那么基于SNMP的网络管理平台在一个轮询时间间隔(7s)内所发出的请求数据包数量N₁=70×13=910个，其相应的应答数据包数量N₂=910个。
由于每个SNMP请求数据包平均大小为128B，每个SNMP应答数据包平均大小为256B，因此这一网络管理业务应用将对集团公司网络产生的总流量约为0.4Mbps。具体计算过程如下。
[*]
通常，对于多数局域网技术标准，网管流量设计原则是：网管流量的数据传输速率应占用局域网带宽的2%～5%。对于本问题的例子中，如果该集团公司建设的是100Mbps以太网环境，该网络管理数据将使用0.4%的网络可用带宽，显然是可以接受的。
在集团公司局域网上测算网管流量时，如果网管流量的数据传输速率超过了局域网带宽的10%，则需要考虑将监管行为分布化，减少轮询的参数数量，和/或延长轮询的时间间隔；反之，如果网管流量的数据传输速率不足局域网带宽的1%，则需要考虑进一步加强监管行为，增加轮询的参数数量，和/或减少轮询的时间间隔。

【正确答案】①在Internet出口处部署防火墙，实现严格的边界逻辑隔离、防护和访问控制，应在集团公司的Internet出口边界部署防火墙。防火墙至少配置4个不同的安全级别的端口，分别连接到Internet、DMZ区、其他分支机构路由器及内网； ②入侵检测系统(如：IPS、IDS等)部署于防火墙的前后及重要机密服务器之前，实时收集各个系统的入侵动向，并与防火墙等安全系统进行联动，以应对来自Internet、内网的已知攻击行为； ③在内网部署漏洞检测服务器(或安全扫描设备)，及时发现网络安全漏洞； ④在内网安装网络版计算机病毒防护系统，实时更新计算机病毒特征库，实现全网防病毒工作集中统一管理； ⑤在Internet出口链路上部署上网行为管理设备，对进出集团公司内部数据包进行监控和审计

【答案解析】设计本问题的目的是加深读者对网络安全解决方案规划设计的理解。本题的解答思路如下。 作为一个园区的网络，一方面是网络内部的安全性，另一方面是内部网络和Internet互连时的安全性。其中网络内部的安全性要从管理、网络系统、网络应用、安全管理系统、病毒防护等多方面进行考虑。在互连Internet时，为避免网络运行平台受到外部的攻击，通常采用防火墙技术，并配置采用入侵检测系统、上网行为管理等安全产品进行实时监测和处理。 在网络层面上，该集团公司园区网相关安全解决方案至少需要考虑以下内容。 ①在Internet出口处部署一台(或两台)防火墙。不同的网络安全边界应该通过部署防火墙来实现各安全域之间的逻辑隔离和访问控制。根据集团公司信息安全保障体系建设的要求，需要实现严格的边界防护和访问控制，应在集团公司的Internet出口边界部署防火墙。防火墙至少配置4个端口，分别设置不同的安全级别，分别连接到Internet、DMZ区、其他分支机构路由器及内部网。其中内部网安全级别最高，Internet接口的安全级别最低。DMZ区主要提供Web、E-mail、FTP等服务，通过防火墙和路由器中的访问控制表(ACL)规则的设置，限制应用服务可被访问的客户地址段，禁止未使用的服务端口对外开放，实现集团总部和外地分支机构之间访问的数据进行强制访问控制，防范非法的访问和恶意攻击行为等。若在建设资金许可等情况下，建议在内部服务器区域之前也部署一台防火墙。 ②入侵检测系统(如IPS、IDS等)部署于防火墙的前及重要机密服务器之前，统一收集各个系统的入侵动向，进行实时分析和汇总，以应对来自Internet、内网的已知攻击行为。并将入侵检测系统和防火墙等其他安全系统进行联动，从而更加有效地防止网络攻击。 ③在信息中心内网部署漏洞检测服务器(或安全扫描设备)，安装漏洞检测软件。统一收集各个系统的安全漏洞，进行分析和汇总，及时发现网络安全漏洞。 ④安装网络版计算机病毒防护系统。在信息中心内网部署网络版防病毒系统中心服务器，在各台服务器、重要工作计算机上安装网络版防病毒客户端，以实时更新计算机病毒特征库，并实现全网防病毒工作集中统一管理。 ⑤在防火墙连接内网核心路由交换设备之间部署一台上网行为管理设备，对进出集团公司内部数据包进行监控和审计。同时，要求该设备能够提供硬件防毒墙功能，对通过Internet进入集团内部的电子邮件、网页信息等进行扫描和杀毒，进一步防止计算机病毒或木马的传播和感染。