单选题某公司采用100M宽带接入Internet，公司内部有15台PC机，要求都能够上网。另外有2台服务器对外分别提供Web和E-mail服务，采用防火墙接入公网，拓扑结构如下图所示。如果防火墙采用NAPT技术，则该单位至少需要申请（）个可用的公网地址。A 1B 2C 3D 4

正确答案：星型拓扑
星型拓扑 解析：FTTX+LAN这是一种利用光纤加5类网络线方式实现宽带接入方案，实现千兆光纤到小区(大楼)中心交换机，中心交换机和楼道交换机以百兆光纤或5类网络线相连，楼道内采用综合布线，用户上网速率可达10Mb/s，网络可扩展性强，投资规模小。另有光纤到办公室、光纤到户、光纤到桌面等多种接入方式满足不同用户的需求。
其技术特点如下：
(1)高速传输。
用户上网速率为10～100Mb/s以后可根据用户需要升级。
(2)网络可靠、稳定。
楼道交换机和小区中心交换机、小区中心交换机和局端交换机之间通过光纤相连。网络稳定性高、可靠性强。
(3)用户投资少、价格便宜。
用户只需要一台带有网络接口卡(NIC)的PC机即可上网。
(4)安装方便。
小区、大厦、写字楼内采用综合布线，用户端采用5类网络线方式接入，即插即用。
(5)应用广泛。
通过FTTX+LAN方式可以实现高速上网、远程办公、VOD点播、VPN等多种业务。
其业务功能如下：
(1)高速数据接入。
用户可以通过FTTX+LAN宽带接入方式快速地浏览各种因特网上的信息、进行网上交谈、收发电子邮件等。
(2)视频点播。
由于FTTX+LAN方式高带宽的接入，特别适合用户对音乐、影视和交互式游戏点播的需求，还可根据用户的个性化需要进行随意控制。
(3)家庭办公。
实现家庭办公，客户只需通过高速接入方式，在网上查阅自己本企业(单位)信息库中您所需要的信息，甚至可以面对面地和同事进行交谈，完成工作任务。
(4)远程教学、远程医疗等。
通过宽带接入方式，客户可以在网上获得图文并茂的多媒体信息，或与老师、医生进行随意交流、探讨。
FTTx+LAN方式采用星型网络拓扑，用户共享带宽。

正确答案：路由
路由

正确答案：A

正确答案：(1)1
(1)1 解析：本题考查的是。
在使用防火墙时，NAT技术主要用于连接和安全方面。目前企业内部网络用户数量大，而能申请的合法的全球唯一IP地址有限。NAT能够有效的解决企业IP地址短缺问题，利用NAT技术能够实现多个用户共同使用一个合法的IP地址连接互联网。NAT包括有静态NAT、动态地址NAT和端口多路复用地址转换3种技术类型。静态NAT是把内部网络中的每个主机地址永久映射成外部网络中的某个合法地址；动态地址NAT是采用把外部网络中的一系列合法地址使用动态分配的方法映射到内部网络；端口多路复用地址转换是把内部地址映射到外部网络的一个IP地址的不同端口上。根据不同的需要，选择相应的NAT技术类型。
如果ISP提供的合法IP地址数量较多，当然可以采用静态地址转换+端口复用动态地址转换技术实现。如果只获得1个合法IP地址，可以采用TCP/UDP端口NAT映射。既然只有一个可用的合法IP地址，当然采用端口复用方式来实现NAT。不过，由于同时有要求网络内部的服务器要被Internet访问到，因此必须采用PAT创建TCP/UDP端口的NAT映射。
所以根据题目要求，该单位至少应有1个公网IP地址。

正确答案：5类UTP(答双绞线也给全分)介质需要做成直通线100米。
5类UTP(答双绞线也给全分)，介质需要做成直通线，100米。 解析：使用符合100Base-TX标准的交换机构建小型局域网当前比较流行，问题1考查的是所用电缆的相关知识点。
在实际应用中，要理解交换机的两种连接方式：堆叠方式和级联方式，明确二者的优缺点。问题2中，交换机1和交换机2之间相距20米，超过了堆叠线缆的长度范围。
问题4中，集线器和网桥均不具备路由能力，不能充当网关设备的角色。而路由器和代理服务器是常见的两种用来连接内外网的设备。

正确答案：(5)202.117.12.37或202.117.12.38 (6)端口号
(5)202.117.12.37或202.117.12.38 (6)端口号

正确答案：
【问题1】(5分)
WindowsSerVer2003的“路由和远程访问’’服务包括NAT路由协议。如果在运行“路由和远程访问，，的服务器上安装和配置NAT路由协议，则可将使用私有IP地址的内部网络客户端通过NAT服务器的外部接口访问Internet。
在图7-20所示网络拓扑结构中，配置路由和远程访问NAT服务器Serverl的操作步骤如下：(1)依次单击【开始】l【程序】l【路由和远程访问】命令，弹出如图7-30所示的“路由和远程访问”配置窗口。


(2)展开左窗格中服务器的名称，展开“IP路由选择”，右击【常规】选项，在右键菜单中选择【新建路由协议】命令。
(3)在弹出的对话框中，选择“NAT／基本防火墙”，单击【确定】按钮。
(4)右击图7-30左窗格中的“NAT／基本防火墙”选项，选择【新建接口】命令。
(5)选中某个网络接口的接口名称，单击【确定】按钮，弹出如图7—21所示的对话框。
(6)在图7—21中，【专用接口连接到专用网络】单选按钮用于指定刚才所选中的网络接口，是连接到内部私有网络上的专用接口；【公用接口连接到Intemet]单选按钮用于指定该网络接口是连接到Internet的公用接口；【仅基本防火墙】单击按钮指定此接口不执行网络地址转换，但受基本防火墙保护，此接口仅路由响应来自该服务器的请求而发送的通信。
(7)通常，用于内部局域网的IP地址分配的私有地址有l0．X．X．X、172．16．X．x～172．31．x．X、192．168．X．X。依图7．20所示拓扑结构信息可知，服务器Serverl的LAN接口配置的IP地址10．1．2．254／24是一个A类的私有IP地址。因此，LAN接口的网络连接应在图7．21中选中【专用接口连接到专用网络】单选按钮进行配置。
(8)同理，依图7．20所示拓扑结构信息可知，服务器Serverl的WAN接口连接的是该公司边界路由器，该接口应配置一个公网IP地址。WAN接口的网络连接应先选中【公用接口连接到Imernet]单选按钮，接着分别选中刚激活的【在此接口上启用NAT】、【在此接口上启用基本防火墙】两个复选按钮，如图7．31所示。
【问题2】(8分)
由题干关键信息“公司从ISP处租用的公网IP地址段是202．101．1．88／29”可知，“／29”是子网掩码255．255．255．248的简化缩写形式。IP地址202．101．1．88中“88”的二进制表示形式(其中阴影部分为子网掩码“l”比特位所覆盖的范围)，因此该子网的地址池区间为从202．101．1．88～202．101．1．95的8个IP地址。其中，202．101．1．88是该网段的子网地址，202．101．1．95是该子网的直接广播地址。该子网的地址池可实际使用的IP地址为202．101．1,89～202．101．1．94的6个IP地址。而图7．20所示网络结构中，路由器eth0接口所分配的IP地址为202．101．1．94。为保证内网PC可以访问Internet，图7．22所示WAN接口的地址池中，【起始地址】栏应填入202．101．1．89，【掩码】栏应填入255．255．255．248，【结束地址】栏应填入202．101．1．93。
在图7．20所示网络拓扑结构中，WebServer所配置的IP地址为10．1．2．100。如果该公司内网中WebServer对外提供服务的IP地址是202．101．1．91，则需要在图7．23【添加保留区】对话框中，【保留此公用IP地址】文本框用于指定公共地址池中被保留的IP地址，此处应填入202．101．1．91；【为专用网络上的计算机】文本框用于指定希望对公网用户可用的内部私有网络计算机的IP地址，此处应填入l0．1．2．100；【允许将会话传入到此地址】复选框用于指定是否允许来自公共网络的会话。
【问题3】(2分)
为保证WebServer能正常对外提供服务，需要在防火墙上创建例外，还需要在图7．24所示的【服务和端口】选项卡中，应选中【w曲Server(HTTP)】复选框，再单击【确定】(或【应用】)按钮。命令pin9通过发送ICMP协议的Ech0请求报文并监听Ech0应答报文，来检查与远程或本地计算机的连接。为了让Internet上的用户可以通过pin9命令测试本地主机与提供Web服务的服务器之间的连通性，需要允许pin9消息通过防火墙。具体的操作方法是，在图7—25所示的[ICMP]选项卡中，选中【传入的回应请求】复选框，再单击【确定】(或【应用】)按钮。

正确答案：√
1 解析：这是一道要求掌握网络地址端口转换(NAPT)技术需要最少的公网IP地址数量的理解题。本题的解答思路如下。
网络地址转换(Network Address Translation，NAT)是一个IETF(Internet Engineering Task Force， Internet工程任务组)标准，允许一个整体机构以一个公用IP地址出现在Internet上。换言之，它是一种把内部私有网络地址(IP地址)翻译成合法网络IP地址的技术。
NAT有三种类型：静态NAT、动态NAT、网络地址端口转换(NAPT)。其中，静态NAT设置起来最为简单，内部网络中的每台主机都被永久映射成外部网络中的某个合法的地址。动态NAT则是在外部网络中定义一系列的合法地址，采用动态分配的方法映射到内部网络。网络地址端口转换(Network Address Port Translation，NAPT)则是把内部地址映射到外部网络的一个"地址的不同端口上。
动态NAT只是转换IP地址，它为每个内部的IP地址分配1个临时的外部IP地址，主要应用于拨号，对于频繁的远程连接也可以采用动态NAT。当远程用户连接上之后，动态地址NAT就会分配给他一个IP地址。当该用户断开网络连接时，该IP地址就会被释放并留待以后使用。
NAPT是人们比较熟悉的一种转换方式，普遍应用于接入设备中。它可以将中小型的网络隐藏在 1个合法的IP地址后面。NAPT与动态NAT不同，它将内部连接映射到外部网络中的1个单独的IP地址上，同时在该地址上加上一个由NAT设备选定的TCP端口号。
由以上分析可知，如果防火墙采用NAPT技术，则至少需要向ISP机构申请1个可用的公网地址。

正确答案：(1) 图4-2(a) (2) 图4-2(b)
(1) 图4-2(a) (2) 图4-2(b)

正确答案：区域(A)中所接入的计算机传送给Internet的数据包的源IP地址经代理服务器地址转换协议变换后是以202．117．12．34源p地址的形式在Internet上出现从而可达到隐藏自己当前实际IP地址的作用从而有效防止恶意用户的非法攻击因此处于区域(A)的计算机安全性比区域(B)高。 而对于那些对外发布信息的Web服务器而言则应部署在图5-5的区域(B)这样处于Internet网的客户、外部访问者或其他潜在用户无须通过内网就可以直接获得他们所需要的关于公司的一些信息。同时建议该单位通过相关技术将区域(B)部署成防火墙中的DMZ区(即非军事区)允许外网用户有限度地使用其中的资源从而保障该Web服务器的安全。
区域(A)中所接入的计算机传送给Internet的数据包的源IP地址，经代理服务器地址转换协议变换后是以202．117．12．34源p地址的形式在Internet上出现，从而可达到隐藏自己当前实际IP地址的作用，从而有效防止恶意用户的非法攻击，因此处于区域(A)的计算机安全性比区域(B)高。 而对于那些对外发布信息的Web服务器而言，则应部署在图5-5的区域(B)，这样处于Internet网的客户、外部访问者或其他潜在用户无须通过内网，就可以直接获得他们所需要的关于公司的一些信息。同时建议该单位通过相关技术，将区域(B)部署成防火墙中的DMZ区(即非军事区)，允许外网用户有限度地使用其中的资源，从而保障该Web服务器的安全。