【正确答案】广域网链路选择示例(包含但不限于以下方案)： ①上海总部与其他大区分公司之间的链路，建议分别租用1条电信10Mbps的DDN专线； ②各地区分公司与所属大区分公司之间的链路，建议分别租用2条电信2Mbps的DDN专线： ③广州、北京、重庆3个大区分公司之间的备用链路，建议分别租用1～2条2Mbps的ADSL宽带专线(或租用1～2条2Mbps的帧中继专线，或租用1条电信2Mbps的DDN专线)； ④访问Internet的链路，建议租用1条电信10Mbps的DDN专线

【答案解析】设计本问题的目的是加深读者是根据具体应用情况选择通信链路类型的理解。本题的解答思路如下。 根据该集团公司的网络流量需求，同时考虑价格和通信线路质量，在网络的不同位置设置不同的广域网链路类型，选择不同的广域网互连技术。由上图拓扑结构可知，上海总部与其他大区分公司之间的链路是流汇聚的主干，链路通信性能要求较高，其安全可靠性要求也较高，根据其链路流量需求2Mbps～3.6Mbps，同时考虑租用价格和通信线路质量，并预留一定的链路带宽，建议这些链路可以分别租用1条电信10Mbps的DDN专线。 同理，各地区分公司与所属大区分公司之间的链路通信性能要求较高，链路流量需求为300Kbps～1.2Mbps，因此建议这些链路，可以分别租用2条电信2Mbps的DDN专线。 在上图中，广州、北京、重庆3个结点之间的链路属于备用链路，其对性能要求不高，根据其链路流量需求600Kbps～1.3Mbps，因此建议这些链路可以分别租用1～2条2Mbps的ADSL宽带专线(或租用1～2条2Mbps的帧中继专线，或租用1条电信2Mbps的DDN专线)。 由于访问Internet的链路流量为2.7Mbps～4.5Mbps，该链路同时要负担起远程VPN的访问流量，链路通信性能要求较高，建议该Internet连接链路可以租用1条电信10Mbps的DDN专线。

【正确答案】⑴10.1.0.0/22 ⑵10.2.0.0/23 ⑶10.3.0.0/23 ⑷10.4.0.0/23 ⑸10.5.0.0/24 ⑹10.5.1.0/24 ⑺10.5.2.0/24 ⑻10.6.0.0/24 ⑼10.6.1.0/24 ⑽10.6.2.0/24 ⑾64 ⑿1022 ⒀510 ⒁254 ⒂254

【答案解析】设计本问题的目的是加深读者对IP地址规划设计的理解。本题的解答思路如下。
由于该集团公司广域骨干网为企业内部专网，因此广域网中所有的网络设备及互连的IP地址可以全部采用私有IP地址。若规划师采用变长子网掩码技术，并按10.m.n.X/8的模式进行相关的IP地址分配，在“预计5年后总公司和每个大区域分公司的员工增长量为30%，各地区分公司的员工增长量为20%”、“能为未来5年公司员工增长预留出一定的地址分配空间”、“尽可能少的IP地址消耗量(即最大限度地利用IP地址)”的条件下，可得到表2所示的一种IP地址分配具体方案。其中，m为各大区域分公司的序号；n为各大区域分公司所管辖的子公司的序号(注：对于各大区域分公司，则该字节可作为主机号进行分配)。

{{B}}表2 一种可能的IP地址分配方案{{/B}}
网络互联链路		19条	19条	10.0.0.0/25	64
上海总公司		480人	624人	10.1.0.0/22	1022
北京分公司		300人	390人	10.2.0.0/23	510
广州分公司		290人	377人	10.3.0.0/23	510
重庆分公司		280人	364人	10.4.0.0/23	510
上海直属的分公司 (目前共190人，5年之后共228 人)	南京	90人	108人	10.5.0.0/24	254
	杭州	55人	66人	10.5.1.0/24	254
	合肥	45人	54人	10.5.2.0/24	254
北京管辖的分公司 (目前共147人，5年之后共178 人)	大连	66人	80人	1 0.6.0.0/24	254
	济南	36人	44人	10.6.1.0/24	254
	西安	45人	54人	10.6.2.0/24	254
广州管辖的分公司 (目前共250人，5年之后共300 人)	深圳	105人	126人	10.7.0.0/24	254
	厦门	90人	108人	10.7.1.0/24	254
	南昌	55人	66人	10.7.2.0/24	254
重庆管辖的分公司 (共168人，5年之后共202人)	成都	75人	90人	10.8.0.0/24	254
	南宁	38人	46人	10.8.1.0/24	254
	昆明	55人	66人	10.8.2.0/24	254
备用		***		其他	***

对于每一条网络互联链路(如路由器R1、R3之间的链路)，每个路由器接口各需要分配一个IP地址。对于点对点链路最节省IP地址的子网掩码可设置为255.255.255.252。但是每个链路子网还需要消耗掉一个网络地址(如10.0.0.0/30)和一个网段的直接广播地址(如10.0.0.3/30)，因此每条点对点链路总共占用的IP地址数量为4个。对于地址块10.0.0.0/25，共有7位主机号，该地址块总共的地址数为2⁷=128个，总共可再划分的子网数为128/4=32个。而其中每个子网可实际利用的地址数只有2个，因此该地址块最大可实际利用的地址数共有32×2=64个。
对于上海总公司的地址块10.1.0.0/22，共有10位主机号，该地址块总共的地址数为2¹⁰=1024个。由于该地址块需要消耗掉一个网络地址(如10.1.0.0/22)和一个网段的直接广播地址(如10.1.3.255/22)，因此该子网内最大可实际利用的地址数共有1024-2=1022个。由于1022＞624，因此该地址块能够满足上海总公司未来5年之内员工IP地址的分配需求。
对于北京分公司的地址块10.2.0.0/23，共有9位主机号，该地址块总共的地址数为2⁹=512个。由于该地址块需要消耗掉一个网络地址(如10.2.0.0/23)和一个网段的直接广播地址(如10.2.1.255/23)，因此该子网内最大可实际利用的地址数共有512-2=510个。由于510＞390，因此该地址块能够满足北京分公司未来5年之内员工IP地址的分配需求。同理，可得出其他大区域分公司的子网内最大可实际利用的地址数也为510个。
对于南京分公司的地址块10.5.0.0/24，共有8位主机号，该地址块总共的地址数为2⁸=256个。由于该地址块需要消耗掉一个网络地址(如10.5.0.0/24)和一个网段的直接广播地址(如10.5.0.255/24)，因此该子网内最大可实际利用的地址数共有256-2=254个。由于254＞108，因此该地址块能够满足南京分公司未来5年之内员工IP地址的分配需求。同理，可得出其他各地区分公司的子网内最大可实际利用的地址数也为254个。

【正确答案】建议该集团公司网络采用OSPF路由协议、静态路由和默认路由相结合的方式。 由上海、北京、广州、重庆4个路由器结点构成OSPF主干路由区域Area 0，以便于网络结构的扩展和网络拓扑的改变。 在各地区分公司(含南京、杭州和合肥3个路由器结点)的路由器上合理采用汇总的静态路由，实现各地区分公司内部子网之间及进入主干网的路由；其下一级结点配置指向各地区分公司路由器的默认路由。

【答案解析】设计本问题的目的是考核读者结合具体应用场合进行路由设计的综合应用能力。本题的解答思路如下。 从上图网络拓扑结构可知，该集团公司网络拓扑设计适合公司的组织机构，总体上是层次化结构。上海总公司结点与北京、广州和重庆大区域级结点是核心层；而与大区域级结点相连的各地区级结点原则上是汇聚层，另外也将与上海总部结点直接相连的南京、杭州和合肥3个结点划分为汇聚层。根据网络业务需求，在上海总部与各海外办事点之间建立VPN通信链路。从网络层次化结构及网络安全性角度考虑，该集团公司网络的Internet出口链路只设一条，并位于上海总部。 根据该集团公司网络互连拓扑及其特性，上图所示网络在路由方面有如下特点。 ①上海总公司结点与北京、广州、重庆等大区域结点形成全互连网状拓扑结构，形成主干路由区域。 ②每个大区域级结点与其所属各地区分公司结点以星状结构互连，形成主干下一级的一个路由区域。 基于以上特点，建议该集团公司网络采用OSPF路由协议、静态路由和默认路由相结合的方式。由上海、北京、广州、重庆4个路由器结点(即上图中路由器R1、R3、R4、R5)构成OSPF主干路由区域Area 0，以便于网络结构的扩展和网络拓扑的改变。 由于每个大区域级路由器结点与所属下一级地区分公司路由器结点构成的网络(分公司汇聚层网络)结点数有限且以标准星状拓扑结构互连，因此为简化路由结构和提高路由效率，在各地区分公司(含南京、杭州和合肥3个路由器结点)的路由器上合理采用汇总的静态路由，实现各地区分公司内部子网之间及进入主干网的路由，其下一级结点配置指向各地区分公司路由器的默认路由。这样设计的好处在于：①静态和默认路由不仅本身开销小，而且易于管理和控制，在对接入的合法性有严格要求的应用领域，完全可以由设定静态路由来控制接入的结点，避免了动态路由的路由信息自动散发造成的安全隐患；②由于汇总技术的运用，各地区分公司路由器的配置工作量不是很大，而其下一级结点的配置也仅仅是添加1～2条默认路由，其总体配置复杂度要比使用动态路由协议减少了很多。

【正确答案】授权侵犯指的是被授权以某一目的使用某一系统或资源的某个人，将此权限用于其他非授权的目的，也称为“内部攻击”。 名称：抗抵赖框架。 内容：包括证据的生成、验证和记录，以及在解决纠纷时随即进行的证据恢复和再次验证。 目标：提供有关特定事件或行为的证据。例如，必须确认数据原发者和接收者的身份和数据完整性，在某些情况下，可能需要涉及上下文关系(如日期、时间和原发者/接收者的地点等)的证据等。

【答案解析】设计本问题的目的是加深读者对网络安全技术及其解决方案的理解。本题的解答思路如下。 信息系统安全规划是一个非常细致和非常重要的工作，各种不同安全规划方法的侧重点也是不同的，但都需要围绕技术安全、管理安全、组织安全进行全面的考虑。依题意，授权侵犯是指被授权以某一目的使用某一系统或资源的某个人，却将此权限用于其他非授权的目的，也称做“内部攻击”。 防止授权侵犯的主要手段是提供类似于审计的功能，从系统安全体系架构的设计角度而言，即提供抗抵赖(Non-Repudiation)框架。抗抵赖服务包括证据的生成、验证和记录，以及在解决纠纷时随即进行的证据恢复和再次验证。该框架中抗抵赖服务的目的是提供有关特定事件或行为的证据。事件或行为本身以外的其他实体可以请求抗抵赖服务。当涉及消息内容的抗抵赖服务时，为提供原发证明，必须确认数据原发者和接收者的身份和数据完整性。在某些情况下，还可能需要涉及上下文关系(如日期、时间和原发者/接收者的地点等)的证据等。通常，抗抵赖服务由4个独立的阶段组成：证据生成，证据传输、存储和恢复，证据验证，解决纠纷。