阅读以下说明，回答问题1至问题4。[说明]某单位的两个分支机构各有1台采用IM的主机，计划采用IPv6-over-IPv4 GRE隧道技术实现两个分支机构的IM主机通信，其网络拓扑结构如图5-1所示。使用IPv6

正确答案：1．①LAC(L2TP Access Concentrator或L2TP访问集中器) ②LNS(L2TP Network Server或L2TP网络服务器) 2．LAC是附属在网络上的具有PPP端系统和L2TP协议处理能力的设备LAC一般就是一个网络接入服务器用于为用户提供网络接入服务。 LNS是PPP端系统上用于处理L2TP协议服务器端部分的软件。
1．①LAC(L2TP Access Concentrator或L2TP访问集中器) ②LNS(L2TP Network Server或L2TP网络服务器) 2．LAC是附属在网络上的具有PPP端系统和L2TP协议处理能力的设备，LAC一般就是一个网络接入服务器，用于为用户提供网络接入服务。 LNS是PPP端系统上用于处理L2TP协议服务器端部分的软件。 解析：对于构建VPN来说，网络隧道(Tunneling)技术是关键技术。网络隧道技术指的是利用一种网络协议来传输另一种网络协议，也就是将现有的透明网络信息进行再次封装，从而保证网络信息传输的安全性。它主要利用网络隧道协议来实现这种功能，具体包括二层隧道协议(用于传输二层网络协议)和三层隧道协议(用于传输三层网络协议)。第二层隧道协议有L2F、PPTP和L2TP等，是先把各种网络协议封装到PPP中，再把整个数据包装入隧道协议中。这种双层封装方法形成的数据包靠第二层协议进行传输。第三层隧道协议有GRE、IPSEC等。第二层隧道协议和第三层隧道协议的本质区别在于在隧道内用户的数据包是被封装在哪种数据包中进行传输的。
二层隧道协议L2TP (Layer 2 Tunneling Protocol)是一种基于点对点协议PPP的二层隧道协议，是典型的被动式隧道协议，它结合了L2F和PPTP的优点，可以让用户从客户端或访问服务器端发起VPN连接。L2TP是把链路层PPP帧封装在公共网络设施 (如IP、ATM、帧中继)中进行隧道传输的封装协议。在由L2TP构建的VPN中，有两种类型的服务器，一种是L2TP访问集中器LAC (L2TP Access Concentrator)，它是附属在网络上的具有PPP端系统和L2TP协议处理能力的设备，LAC一般就是一个网络接入服务器，用于为用户提供网络接入服务；另一种是L2TP网络服务器LNS(L2TP Network Server)，是PPP端系统上用于处理L2TP协议服务器端部分的软件。
在LNS和LAC之间存在着两种类型的连接，一种是隧道(tunnel)连接，它定义了一个LNS和LAC对；另一种是会话(session)连接，它复用在隧道连接之上，用于表示承载在隧道连接中的每个PPP会话过程。
L2TP连接的维护以及PPP数据的传送都是通过L2TP消息的交换来完成的， L2TP消息可以分为两种类型，一种是控制消息，另一种是数据消息。控制消息用于隧道连接和会话连接的建立与维护，数据消息用于承载用户的PPP会话数据包。这些消息都通过UDP的1701端口承载于TCP/IP之上。
L2TP的好处在于支持多种协议，用户可以保留原有的IPX、Appletalk等协议或公司原有的IP地址。L2TP还解决了多个PPP链路的捆绑问题，PPP链路捆绑要求其成员均指向同一个NAS (Network Access Server)，L2TP可以使物理上连接到不同NAS的PPP链路，在逻辑上的终结点为同一个物理设备。L2TP还支持信道认证，并提供了差错和流量控制。L2TP层的数据传输具有非常强的扩展性和可靠性。控制消息中的参数用AVP值对(Attribute Value Pair)来表示，使得协议具有很好的扩展性；控制消息的传输过程中应用了消息丢失重传和定时检测通道连通性等机制来保证L2TP层传输的可靠性。数据消息用于承载用户的PPP会话数据包。虽然L2TP数据消息的传输不采用重传机制，无法保证传输的可靠性，但这一点可以通过上层协议如TCP等得到保证；数据消息的传输可以根据应用的需要灵活地采用流控或不流控机制，可以在传输过程中动态地使用消息序列号从而动态地激活消息顺序检测和流量控制功能；在采用流量控制的过程中，对于失序消息的处理采用了缓存重排序的方法来提高数据传输的有效性。
L2TP主要由LAC(L2TP Access Concentrator)和LNS(L2TP Network Server)构成， LAC支持客户端的L2TP，用于发起呼叫、接收呼叫和建立隧道；LNS是所有隧道的终点，LNS终止所有的PPP流。在传统的PPP连接中，用户拨号连接的终点是LAC，L2TP使得PPP协议的终点延伸到LNS。

正确答案：共有3个子网；B主机和C主机属于同一网段；D主机和E主机属于同一网段。
共有3个子网；B主机和C主机属于同一网段；D主机和E主机属于同一网段。 解析：子网掩码IP协议标准规定：每一个使用子网的网点都选择一个32位的子网掩码 (subnet mask)，若子网掩码中的某位置1，则对应IP地址中的某位为网络地址(包括网络号和子网号)中的一位；若子网掩码中的某位置0，则对应IP地址中的某位为主机地址中的一位。例如，位模式：11111111.11111111.11111111 11100000中，前19位全1，代表对应IP地址中的高19位为网络地址；低5位全0，代表对应IP地址中的低5位为主机地址。
[*]
例如；
IP地址192.168.1.254
子网掩码255.255.255.244
转化为二进制进行运算：
IP地址11000000.10101000.00000001.11111110
子网掩码11111111.11111111.11111111.11100000
AND运算
11000000.10101000.00000001.11100000
转化为十进制后为：
网络地址：192.168.1.224
子网地址：0.0.0.224
主机地址：0.0.0.30
子网掩码的定义提供了设置掩码的灵活性，允许子网掩码中的“0”和“1”位不连
续。但是，这样的子网掩码会给分配主机地址和理解寻径表都带来一定困难，并且只有极少的路由器支持在子网中使用低序或无序的位，因此在实际应用中通常各网点采用连续方式的子网掩码。
同一网络内部，属于同一子网内的机器之间可以直接通信，而不同子网间的机器需要通过设置网关或路由器才能通信。解答本题首先要根据子网掩码计算出给定的各IP地址的网络地址、子网地址和主机地址。
可以用以下几个步骤来实现。
(1)IP地址
A主机IP地址：192.168.75.18
B主机IP地址：192.168.75.146
C主机IP地址：192.168.75.158
D主机IP地址：192.168.75.161
E主机IP地址：192.168.75.173
子网掩码：255.255.255.240
(2)转化为二进制进行运算
A主机IP地址：11000000.10101000.01001011.00010010
B主机IP地址：11000000.10101000.01001011.10010010
C主机IP地址：11000000.10101000.01001011.10011110
D主机IP地址；11000000.10101000.01001011.10100001
E主机IP地址：11000000．10101000.01001011.10101101
子网掩码：11111111.11111111.11111111.11110000
(3)进行AND运算
A主机网络地址：11000000.10101000.01001011.00010000
B主机网络地址：11000000.10101000.01001011.10010000
C主机网络地址：11000000.10101000.01001011.10010000
D主机网络地址：11000000.10101000.01001011.10100000
E主机IP地址：11000000.10101000.01001011.10t00000
(4)转化为十进制
A主机网络地址：192.168.75.16
B主机网络地址；192.168.75.144
C主机网络地址；192.168.75.144
D主机网络地址：192.168.75.160
E主机网络地址：192.168.75.160
因此，B和C主机的子网地址相同，D和E主机的子网地址相同。即地址块 192.168.75.0中的5台主机A、B、C、D和E共有：3个子网：B主机和C主机属于同一
网段；D主机和E主机属于同一网段。

正确答案：星型拓扑
星型拓扑 解析：FTTX+LAN这是一种利用光纤加5类网络线方式实现宽带接入方案，实现千兆光纤到小区(大楼)中心交换机，中心交换机和楼道交换机以百兆光纤或5类网络线相连，楼道内采用综合布线，用户上网速率可达10Mb/s，网络可扩展性强，投资规模小。另有光纤到办公室、光纤到户、光纤到桌面等多种接入方式满足不同用户的需求。
其技术特点如下：
(1)高速传输。
用户上网速率为10～100Mb/s以后可根据用户需要升级。
(2)网络可靠、稳定。
楼道交换机和小区中心交换机、小区中心交换机和局端交换机之间通过光纤相连。网络稳定性高、可靠性强。
(3)用户投资少、价格便宜。
用户只需要一台带有网络接口卡(NIC)的PC机即可上网。
(4)安装方便。
小区、大厦、写字楼内采用综合布线，用户端采用5类网络线方式接入，即插即用。
(5)应用广泛。
通过FTTX+LAN方式可以实现高速上网、远程办公、VOD点播、VPN等多种业务。
其业务功能如下：
(1)高速数据接入。
用户可以通过FTTX+LAN宽带接入方式快速地浏览各种因特网上的信息、进行网上交谈、收发电子邮件等。
(2)视频点播。
由于FTTX+LAN方式高带宽的接入，特别适合用户对音乐、影视和交互式游戏点播的需求，还可根据用户的个性化需要进行随意控制。
(3)家庭办公。
实现家庭办公，客户只需通过高速接入方式，在网上查阅自己本企业(单位)信息库中您所需要的信息，甚至可以面对面地和同事进行交谈，完成工作任务。
(4)远程教学、远程医疗等。
通过宽带接入方式，客户可以在网上获得图文并茂的多媒体信息，或与老师、医生进行随意交流、探讨。
FTTx+LAN方式采用星型网络拓扑，用户共享带宽。

正确答案：操作过程可以分成5个主要步骤： (1)IPSec过程启动——根据配置IPSec对等体(公司总部主机和分支机构主机)中的IPSec安全策略指定要被加密的数据流启动IKE(Internet密钥交换)过程； (2)IKE阶段1——在该连接阶段IKE认证IPSec对等体协商IKE安全关联(SA)并为协商IPSec安全关联的参数建立一个安全传输道路； (3)IKE阶段2——IKE协商IPSec的SA参数并在对等体中建立起与之匹配的IPSecSA； (4)数据传送——根据存储在SA数据库中的IPSec参数和密钥在IPSec对等体间传送数据： (5)IPSec隧道终止——通过删除或超时机制结束IPSec SA。
操作过程可以分成5个主要步骤： (1)IPSec过程启动——根据配置IPSec对等体(公司总部主机和分支机构主机)中的IPSec安全策略，指定要被加密的数据流，启动IKE(Internet密钥交换)过程； (2)IKE阶段1——在该连接阶段，IKE认证IPSec对等体，协商IKE安全关联(SA)，并为协商IPSec安全关联的参数建立一个安全传输道路； (3)IKE阶段2——IKE协商IPSec的SA参数，并在对等体中建立起与之匹配的IPSecSA； (4)数据传送——根据存储在SA数据库中的IPSec参数和密钥，在IPSec对等体间传送数据： (5)IPSec隧道终止——通过删除或超时机制结束IPSec SA。

正确答案：
【问题1】(8分)
从图8．20所示的网络拓扑结构可知，路由器Rl的e0接口处于IPv4网络一侧，其IP地：l上信息为l0．3．2．254／24，因此在R1的e0接口IP地址参数配置语句中，(1)空缺处应填入ipaddress10．3．2．254255．255．255．0。
根据(2)空缺处配置语句的相关解释，在接口配置模式下，可以使用配置语句ipv6nat芏当
前接口上启用NAT-PT机制。
路由器Rl的el接口处于IPv6网络一侧，其IP地址信息为2011：2fc6：：l／64，因此在R“勺el
接口IP地址参数配置语句中，(3)空缺处应填入ipv6address2011：2fc6：：l／64。
在全局配置模式下，可以使用配置语句ipv6natprefix<ipv6一address>／96声明在IPv6或内NAT-PT使用的IPv6前缀。结合题干已给出的关键信息“其中IPv4主机PCI静态映射到具有NKF-PT网络前缀的IPv6地址2011：2fc6：0：0：0：1：：9”可得，(4)空缺处应填入2011：2fc6：0：0：0：l：：／96。
依题意，在全局配置模式下，可以使用配置语句ipv6natv6v4source2011：2fc6：：210．3．2．2(2强制将源IPv6地址为2011：2fc6：：2的输出IPv6数据包转换成源IPv4地址为10．3．2．202的IPv4数据包。在全局配置模式下，可以使用配置语句ipv6natv4v6source<ipv4-address><ipv6一address>强制将源IPv4地址的输出IPv4数据包转换成IPv6数据包。结合题干已给出的关键信息“IPv4主机PCI静态映射到具有NAT-PT网络前缀的IPv6地址2011：2fc6：0：0：0：1：：9”可得，(6)空缺处应填入V4V6，(7)空缺处应填入l0．3．2．1，(8)空缺处应填入2011：2fc6：0：0：0：1：：9。
【问题21(5分)
在全局配置模式下，可以使用配置语句ipv6access—list6一netpermit2011：2fc6：：／64any配置一个名为v6net的标准IPv6ACL，以规定IPv6单协议网络中允许被转换的IPv6地址范围。
在全局配置模式下，可以使用配置语句ipv6natprefix<ipv6一address>／96声明在IPv6域内NAT-PT使用的IPv6前缀。结合题干已给出的关键信息“IPv6网络使用NAT-PT网络前缀为2011：2fc6：0：0：0：1：：／96”可得，(10)空缺处应填入natprefix2011：2fc6：0：0：0：1：：／96。
在全局配置模式下，可以使用配置语句ipv6natv6v4pool<natpt—pool。nitme><start．ipv4-addreSS><end．ipv4．address>prefix—length<prefix．1ength>规定动态NAT-PT转换过程中使用的源IPv4地址池。结合题干已给出的关键信息“其中IPv6网络中的任意节点动态映射到IPv4地址池10．3．2．211～10．3．2．220中的某个IP地址”，以及图8．20中路由器Rl的e0接口IP地址信息10．3．2．254／24可得，该源IPv4地址池的前缀长度为24位，即(11)空缺处应填入24。
在全局配置模式下，可以使用配置语句ipv6natv6v4source<listlroute-map><list—namelroute．map．name>pool<natpt—pool—name>『overload]配置动态NAT-PT映射。由配置语句ipv6access-listv6netpermit2011：2fc6：：／64any可得，<list．name>应为v6net，即(12)空缺处应填入v6net。由配置语句ipv6natv6v4poolipv4A)ooll0．3．2．21110．3．2．220prefix-lengthJ。11)司得，<natpt．pool：name>应为ipv4A)ool，即(13)空缺处应填入ipV4_p001。
【问题3】(2分)
支持NAT-PT的网关路由器Rl应具有IPv4地址池，在从IPv6域向IPv4域中转发数据包时使用，地址池中的地址是用来转换IPv6报文中的源地址的。此外，网关路由器Rl需要DNS-ALG和FTP．ALG这两种常用的应用层网关的支持，在IPv6节点访问IPv4节点时发挥作用。若没有DNS．ALG的支持，则只能实现由IPv6节点发起的与IPv4节点之间的通信；而无法实现IPv4节点发起的与IPv6节点之间的通信。若没有FTP．ALG的支持，则IPv4网络中的主机将不能用FTP软件从IPv6网络中的服务器上下载文件或者上传文件，反之亦然。

正确答案：(1)A或单模光纤 (2)要点：传输速率千兆距离超过550m
(1)A或单模光纤 (2)要点：传输速率千兆，距离超过550m 解析：本题考查的是，包括通信介质选择、服务器部署和IP地址分配。
按照千兆以太网的规范，使用双绞线其传输距离足中间的线缆长度+两端的跳线长度不能超过100m；同轴电缆在千兆传输时能够达到25m的距离；而多模光纤，千兆数据通信的距离规范为220m～550m，其中当使用的光纤核心直径是62.5μm时，通信距离为220m，光纤核心直径是50μm时，通信距离为550m；对于单模光纤而言，在千兆传输时最大连接距离可达5公里。按照题目要求网络中心与图书馆相距700m，而且两者之间采用千兆连接，那么两个楼之间的通信介质应选择单模光纤。

正确答案：(1)不考虑应用服务器和路由器对内部用户的权限、服务等限制的情况下单纯从拓扑结构来看在应用服务器关机的情况下公司员工是能够连接上因特网的。 (2)如果应用服务器对内部的用户进行身份认证和授权、计费甚至对IP地址的分配有严格的控制则在应用服务器关机的情况下用户无法通过认证进入网络或者因为没有获得合适的IP地址而无法连接入因特网。
(1)不考虑应用服务器和路由器对内部用户的权限、服务等限制的情况下，单纯从拓扑结构来看，在应用服务器关机的情况下，公司员工是能够连接上因特网的。 (2)如果应用服务器对内部的用户进行身份认证和授权、计费甚至对IP地址的分配有严格的控制，则在应用服务器关机的情况下，用户无法通过认证进入网络，或者因为没有获得合适的IP地址而无法连接入因特网。 解析：从网络的拓扑结构来看，如果内部网络的PC机使用静态的IP分配方案，并且router没有限制客户机直接上网，ISP对客户的认证是在路由器上设置好了，比如设置了DDR，那么在内部应用服务器关机的情况下，内部PC可以直接通过路由器接入因特网。
如果内部应用服务器承担对内部PC分配IP地址的任务，并且对内部PC做身份认证、计费和访问权限设置的作用等，那么内部应用服务器关机，客户端肯定无法获得登入网络的身份认证，也无法获得IP地址，所以此时不能接入因特网。

正确答案：PPTP
PPTP

正确答案：PPTPPPP
PPTP,PPP 解析：问题一中，在Windows Server 2003的“路由和远程访问”中提供两种隧道协议来实现VPN服务：PPTP和L2TP，L2TP协议将数据封装在PPP协议帧中进行传输。点对点隧道协议(PPTP)是一种支持多协议虚拟专用网络的网络技术，它工作在第二层。通过该协议，远程用户能够通过Microsoft Windows NT工作站、Windows 95和Windows98操作系统以及其他装有点对点协议的系统安全访问公司网络，并能拨号连人本地ISP，通过Internet安全链接到公司网络。L2TP协议是一种工业标准的Intemet隧道协议，功能大致和PPlrP协议类似，比如同样可以对网络数据流进行加密。不过也有不同之处，比如PPTP要求网络为IP网络，L2TP要求面向数据包的点对点连接；PPTP使用单一隧道，L2TP使用多隧道；L2TP提供包头压缩、隧道验证，而PPTP不支持。

正确答案：(1)ADSL Modem通常被称为ATU-R(ADSLTransmission Unit-Remote)。(2)分离器或称滤波器。
(1)ADSL Modem，通常被称为ATU-R(ADSLTransmission Unit-Remote)。(2)分离器，或称滤波器。