三、应用题

　　45请根据下图所示网络结构回答下列问题。

　　1.设备1应选用哪种网络设备?

　　2.若对整个网络实施保护，防火墙应加在下图中位置1～位置3的哪个位置上?

　　3.如果采用了入侵检测设备对进出网络的流量进行检测，并且探测器是在交换机1上通过端口镜像方式获得流量。下面是通过相关命令显示的镜像设置的信息：

　　请问探测器应该连接在交换机1的哪个端口上?

　　除了流量镜像方式外，还可以采用什么方式来部署入侵检测探测器?

　　4.使用IP地址212.103.10.128/25划分4个相同大小的子网，每个子网中能够容纳30台主机，请写出子网掩码、各个子网网络地址及可用的IP地址段。(10分)

　　参考解析：

　　【解题思路】

　　本题考点为变长子网掩码(VLSM)技术、子网划分、防火墙部署问题以及网络入侵检测系统探测器等。

　　【参考答案】

　　1.【解析】路由器具有广域网互连、隔离广播信息和异构网互连等能力，是园区网建设和互联网络建设中必不可少的网络互连设备。由题中所示的网络拓扑结构可知，设备l处于内部局域网核心层交换机1和Internet之间。由于这些网络属于不同的逻辑网络，且都有不同的网络地址，因此需要路由器设备进行互连。

　　2.【解析】防火墙的主要功能包括：(1)检查所有从外部网络进入内部网络和从内部网络流出到外部网络的数据包。(2)执行安全策，限制所有不符合安全策要求的数据包通过。(3)具有防攻击能力，保证自身的安全性。

　　通常，Internet是一个“不可信任的网络”，而内部局域网要求是一个“可信任的网络”。因此在两者之间需要设置防火墙设备，从而保护内部网络资源不被外部非授权用户使用以及防止内部网络受到外部非法用户的攻击。若对整个网络实施保护，防护墙应部署在位置2处。

　　3.【解析】(1)由图中信息“Source Poas：Both：G12/12”可知，交换机1端口G12/12被配置为被复制的端口(镜像源端口)。由信息“Destination Ports：G12/16”可知，交换机1端口G12/16被配置为复制的端口(镜像目的端口)。可见，端口G12/12的数据包流量被镜像到端口G12/16。探测器应连接在交换机l的G12/16端口上。

　　(2)根据网络拓扑结构的不同，入侵检测系统的探测器可以通过以下3种方式部署在被检测的网络中。

　　①流量镜像方式。网络接口卡与交换设备的监控端口连接，通过交换设备的Span/Mirror功能将流向各端口的数据包复制一份给监控端口，探测器从监控端口获取数据包并进行分析和处理。②新增集线器方式。在网络中新增一台集线器改变网络拓扑结构，并通过集线器(共享式监听方式)获取数据包。③TAP分流方式。通过一个TAP(分路器)设备对交换式网络中的数据包进行分析和处理。

　　4.【解析】题中IP地址212.103.10.128/25中的子网掩码为255.255.255.128，它是在c类IP地址标准子网掩码255.255.255.0的基础上扩展了1个比特位。由于题意要求需划分4个相同大小的子网，即22=4，因此至少需要再将子网掩码扩展2位，以产生4个子网(新子网号分别为O0、01、10、11)。最后得到的是27位掩码，即255.255.255.224。在255.255.255.224子网掩码中，用于表示主机部分的位数剩余5位，由于25—2=30(除去全0地址和全l地址)，因此每个子网中独立的主机IP地址有30个，符合题目要求。所以最终划分的网络如下表所示：

　　子网网络地址可用IP地址段

　　子网l(30台)212,103.10.128/27212.103.10.129.212.103.10.158

　　子网2(30台)212.103.10.l60/27212.103.10.161-212.103.10.190

　　子网3(30台)212.103.10.192/27212.103.10.193-212.103.10.222

　　子网4(30台)212.103.10.224/27212.103.10.225-212.103.10.254

　　相关推荐：

　　2015年9月计算机等级考试考场拿高分技巧

　　2015年9月计算机等级考试各科目考前必做试题

　　2015计算机三级《网络技术》上机考试冲刺试题汇总

　　2015计算机等级考试《三级网络技术》预测试卷汇总