【正确答案】①核心交换机2直接上连至边界路由器，其通信数据无法得到防火墙的安全防护； ②两台核心交换机之间没有进行双高速链路相互连接； ③汇聚交换机3缺少了一条与核心交换机1连接的高速通信链路； ④内部服务器区不能连接在接入交换机4上，应该直接连接到两台核心交换机，保证高速访问； ⑤有一个桌面用户同时连接至接入交换机2和接入交换机3； ⑥双网卡用户同时通过该校园网和ADSL宽带接入方式访问Internet，形成了接入层的“后门”现象

【答案解析】依题意，在图1所示的网络设备连接结构图中，存在以下几点不合理之处及相应的改进方案。
(1)图1中核心交换机2错误地直接上连至边界路由器，核心交换机2的相关通信数据无法得到防火墙的相关安全防护。改进方案：将核心交换机2上连至防火墙，如图2中虚线所示。


(2)图1中两台核心交换机之间没有相互连接。改进方案：将两台核心交换机之间进行双千兆(或万兆)链路连接，并通过应用链路聚合技术(如[*])提高主干道的吞吐量，并实现负载分担，以提高核心层的高速数据转发，如图2所示。
(3)该中学5台内部高性能服务器连接在接入交换机4上，增大了服务延迟时间，无法实现题意中“中学内部用户能够高速的访问”的性能要求。改进方案①去掉接入交换机，将汇聚交换机3更换成较高性能的汇聚交换机，新汇聚交换机与核心交换机之间实现双千兆链路冗余连接，然后将5台服务器连接在新汇聚交换机上，如图2所示。改进方案②若两台核心交换机分别有5个可供使用的高速以太端口，则在5台内部服务器上分别安装(或替换)两块高速以太网卡，两块网卡分别连接到两台核心交换机的高速以太端口，以保证服务器的高速访问，如图3所示。


图1中有一个桌面用户的客户机错误地同时连接至接入交换机2和接入交换机3，形成了接入层的“后门”现象，违背了层次化网络设计所应遵循的基本原则。改进方案：删除该客户机连接至接入交换机3(或接入交换机2)的连接链路，如图2(或图3)所示。
连接至接入交换机1的一台双网卡用户客户机错误地通过ADSL宽带接入方式，再次连接至Internet，形成了接入层的另一种“后门”现象，从而可能引起不可预知的选路问题或其他异常的网络故障现象等。改进方案：删除该客户机的ADSL宽带接入链路，使该客户机仅通过该校园网访问Internet，如图2(或图3)所示。

【正确答案】10.2.3.126 255.255.255.128 10.2.3.129～10.2.3.190 255.255.255.192 10.2.3.225～10.2.3.254 255.255.255.224

【答案解析】该教研综合楼所分配到的地址块10.2.3.0/24中，“/24”表示子网掩码为24位掩码，即255.255.255.0。表1给出了该单位多媒体教室1的计算机数量为80台。由于2⁶-2=62＜80＜2⁷-2=126，其中，“-2”表示保留全0的IP地址(被保留标志子网本身)和全1的IP地址(被保留用做该子网的广播地址)，因此对已给出的A类地址块10.2.3.0/24进行子网化时，对于“多媒体教室1”这个子网所用的主机地址位数至少需要7位，则A类地址块10.2.3.0的最后一个字节的最高位可用做子网号，用于标识“多媒体教室1”子网和其他子网。由此也可推知，多媒体教室1的新子网掩码为25位掩码，即第二个空缺处为255.255.255.128。
由于表2中已给出多媒体教室1子网可实际分配的IP地址范围中的起始IP地址(即10.2.3.1)，将它与子网掩码255.255.255.0进行与(AND)运算，即可得到多媒体教室1子网的网段地址为10.2.3.0。由此可知，多媒体教室1的子网号为0。此多媒体教室1的子网号同时决定了多媒体教室2、教研室A和教研室B的IP地址中最后一个字节的最高位为1。换言之，其他子网的IP地址中最后一个字节用于标识子网的最高位为1。
多媒体教室1子网可分配的主机地址范围求解过程如表3所示。

{{B}}表3 多媒体教室1子网可分配的主机地址范围分析表{{/B}}
①	已求知的子网掩码	255.255.255.128
②	该子网掩码转化为二进制数形式	11111111.11111111.11111111.10000000
③	表2已给出的IP地址	10.2.3.1
④	该IP地址转化为二进制数形式	00001010.00000010.00000011.00000001
⑤	将以上两个二进制数进行AND运算	00001010.00000010.00000011.00000000
⑥	多媒体教室1子网的网段地址为	10.213.0/25
⑦	该子网的IP地址范围	10.2.3.0～10.2.3.127
⑧	多媒体教室1子网最小可实际分配的IP地址的二进制数形式为	00001010.00000010.00000011.00000001
⑨	多媒体教室1子网最大可实际分配的IP地址的二进制数形式为	00001010.00000010.00000011.01111110
⑩	该子网中可实际分配的主机地址范围	10.2.3.1～10.2-3.126

由以上分析可知，多媒体教室1子网使用的子网号为0，可实际分配的主机地址范围为10.2.3.1～10.2.3.126，因此表2中第一个空缺处所填写的内容可以是10.2.3.126。 由于2⁵-2=30＜50＜2⁶-2=62，因此对于“多媒体教室2”这个子网所用的主机地址位数至少需要6位，则A类地址块10.2.3.0的最后一个字节的最高位、次高位可用做子网号，即用于标识“多媒体教室2”子网。由此也可推知，多媒体教室2的新子网掩码为26位掩码，即第四个空缺处的子网掩码为255.255.255.192。 由于2⁴-2=14＜18＜22＜2⁵-2=30，因此对于“教研室A”、“教研室B”这两个子网所用的主机地址位数至少需要5位，这两个子网的子网号为3位。因此，这两个子网的新子网掩码为27位掩码，即第六个空缺处的子网掩码为255.255.255.224。 将子网掩码255.255.255.224与表2中已给出的教研室B可分配的地址范围10.2.3.193～10.2.3.222进行与(AND)运算，即可得到教研室B所使用的子网号为110。由于“多媒体教室2”的子网号为两位，因此由教研室B所使用的子网号110可得，“多媒体教室2”的子网号为10。同理，可得教研室A的子网号为111。 由表4所示的分析过程可知，多媒体教室2可实际分配的主机地址范围为10.2.3.129～10.2.3.190，即第三空缺处应填入10.2.3.129～10.2.3.190。

{{B}}表4 多媒体教室2子网可分配的主机地址范围分析表{{/B}}
步骤	项目	数值
①	已求知的子网掩码	255.255.255.192
②	该子网掩码转化为二进制数形式	11111111.11111111.11111111.11000000
③	用子网号10标识“多媒体教室2”子网，则其网段地址的二进 制数形式为	00001010.00000010.00000011.10000000
④	该IP地址转化为十进制数形式	10.2.3.128/26
⑤	该子网的IP地址范围	10.2.3.128～10.213.191
⑥	多媒体教室2子网最小可实际分配的IP地址的二进制数形式为	00001010.00000010.00000011.10000001
⑦	多媒体教室2子网最大可实际分配的IP地址的二进制数形式为	00001010.00000010.00000011.10111110
⑧	该子网中可实际分配的主机地址范围的十进制数形式	10.2.3.129～10.2.3.190

由表5所示的分析过程可知，教研室A可实际分配的主机地址范围为10.2.3.225～10.2.3.254，即第五个空缺处应填入10.2.3.225～10.2.3.254。

{{B}}表5 教研室A子网可分配的主机地址范围分析表{{/B}}
步骤	项目	数值
①	已知的子网掩码	255.255.255.224
②	该子网掩码转化为二进制数形式	11111111.11111111.11111111.11100000
③	用子网号111标识“教研室A”子网，则其网段地址的二进制 数形式为	00001010.00000010.00000011.11100000
④	该IP地址转化为十进制数形式	10.2.3.224/27
⑤	该子网的IP地址范围	10.2.3.224～10.213.255
⑥	教研室A子网最小可实际分配的IP地址的二进制数形式为	00001010.00000010.00000011.11100001
⑦	教研室A子网最大可实际分配的IP地址的二进制数形式为	00001010.00000010.00000011.11111110
⑧	该子网中可实际分配的主机地址范围的十进制数形式	10.2.3.225～10.2.3.254