【正确答案】子网1：192.168.1.192 子网掩码：255.255.255.224 可用ip：192.168.1.193-192.168.1.222 子网2：192.168.1.224 子网掩码：255.255.255.240 可用ip：192.168.1.225-192.168.1.238 子网3：192.168.1.240 子网掩码：255.255.255.240 可用ip：192.168.1.241-192.168.1.254

【正确答案】变长子网掩码(VLSM)功能 网络地址转换(NAT)处理

【答案解析】[解析] 如果该网络使用问题(1)中所描述的IP地址，则边界路由器应该具有可变长子网掩码(VLSM)功能。 RFC1518文件对A类、B类、C类地址中全局IP地址和专用IP地址的范围和使用做出了规定。IPv4为内部网络预留的专用IP地址有3组。第1组是A类地址的1个地址块，即10.0.0.0～10.255.255.255；第2组是B类地址的16个地址块(172.16.0.0～172.31.255.255)；第3组是C类地址的256个地址块 (192.168.0.0～192.168.255.255)。本试题中，地址块192.168.1.192/26属于C类专用IP地址块。专用IP地址用于内部网络的通信，如果需要访问外部Internet主机，必须由运行网络地址转换(NAT)的主机或路由器将内部的专用IP地址转换成全局IP地址。因此，为了保证外网能够访问到该网络内的服务器，应在边界路由器对网络中服务器的IP地址进行“一对一”或“一对多”网络地址转换(NAT)处理。

【正确答案】基于网络的入侵防护系统，或HIPS 位置2

【答案解析】[解析] 基于网络的入侵防护系统(Network-based Intrusion Prevention System，NIPS)兼有防火墙、入侵检测系统和防病毒等安全组件的特性，当数据包经过时，将对它进行过滤检测，以确定该数据包是否包含有威胁网络安全的特征。如果检测到一个恶意的数据包，系统不但发出警报，还将采取相应措施(如丢弃含有攻击性的数据包或阻断连接)阻断攻击。 NIPS部署于网络出口处，一般串联于路由器、三层交换机(或防火墙)之间，网络进出的数据流都必须通过它，从而保护整个网络的安全。根据如图3-5所示的拓扑结构，该NIPS设备应该部署在“位置2”。

【正确答案】活动目录

【答案解析】[解析] Windows Server 2003中有本地用户和域用户两种用户类型。其中，本地用户信息存储在本地计算机的账户管理数据库中，用户登录后只能根据权限访问本地计算机。域用户信息存储在域控制器的活动目录中，用户登录后可以根据权限访问整个域中的资源。 活动目录是Windows Server 2003操作系统中的一个中央数据库，存储着各种资源信息，而它的实现仅需一个存储在中央目录服务器的用户账户。活动目录使用DNS命名，提供了一个可伸缩、易整理的架构化网络连接视图。Windows Server 2003操作系统的活动目录必须安装在NTFS分区中。