阅读以下说明，回答问题1至问题3，将解答填入答题纸对应的解答栏内。

某单位计划部署园区网络，该单位总部设在A区，另有两个分部分别设在B区和C区，各个地区之间的距离分部如图1-1所示。

该单位的主要网络业务需求在A区，网络中心及服务器机房亦部署在A区；B区的网络业务流量需求远大于C区；C区虽然业务量小，但是网络可靠性高。根据业务需求，要求三个区的网络能够互联互通并且都能访问互联网。同时基于安全考虑，该单位要求采用一套认证设备进行身份认证和上网行为管理。

【问题1】（6分）

为保障业务需求，该单位采用两家运营商接入Internet。根据题目需求，回答以下问题：

1.两家运营商的Internet接入线路应部署在哪个区？为什么？

2.网络运营商提供了MPLSVPN和千兆裸光纤两种互联方式，哪一种可靠性高？为什么？

3.综合考虑网络需求及运行成本，AB区之间与AC区之间分别采用上述哪种方式进行互联？

【问题2】（8分）

该单位网络部署接入点情况如表1-1所示。

表1-1

根据网络部署需求，该单位采购了相应的网络设备，请根据题目说明及表1-1,确定表1-2所示的设备数量及合理的部署位置（注：不考虑双绞线的距离限制）》

表1-2

【问题3】（6分）

根据题目要求，在图1-2的方框中画出该单位的A区网络拓扑示意图（汇聚层以下不画）。

某公司采用Windows Server 2003操作系统搭建该公司的企业网站，要求用户在浏览器地址栏必须输入https://www.gongsi.com/index.html或https://117.112.89.67/index.html来访问该公司网站。其中，index.html文件存放在网站所在服务器E:\gsdata目录中。在服务器上安装完成IIS6.0后，网站的属性窗口【网站】、【主目录】选项卡分别如图2-1和图2-2所示。

【问题1】（4分）

1.按照题目说明，图2-1中的“IP地址”文本框中的内容应为（1）；“SSL端口”文本框中的内容为（2）。

2.在图2-2中，“本地路径”文本框中的内容为（3）；同时要保障用户通过题目要求的方式来访问网站，必须至少勾选（4）复选框。

（4）备选答案：

A．脚本资源访问B．读取C．写入D．目录浏览

【问题2】（6分）

1.配置该网站时，需要在如图2-3所示的【目录安全性】选项卡中单击【服务器证书】按钮来获取服务器证书。其中获取服务器证书的步骤顺序如下：①生成证书请求文件；②（5）；③从CA导出证书文件；④在IIS服务器上导入并安装证书。

配置完成后，当用户登录该网站时，通过验证CA的签名来确认该数字证书的有效性，从而（6），CA颁发给Web网站的数字证书中不包括（7）。

（6）~（7）备选答案：

（6）A．验证网站的真伪B．判断用户的权限

C．加密发往服务器的数据D．解密所接受的客户端数据

（7）A．证书的有效期B．网站的公钥

C．证书的序列号D．网站的私钥

【问题3】（2分）

配置该网站时，在图2-3所示的窗口中单击【安全通信】栏目中的【编辑】按钮，弹出如图2-4所示的窗口。按照题目要求，客户端浏览器只能通过HTTPS方式访问服务器，此时应勾选图2-4中的（8）框。如果要求客户端和服务器进行双向认证，此时应该勾选图2-4中的（9）框。

【问题4】（2分）

HTTPS用于在客户计算机和服务器之间提供安全通信，广泛用于因特网上安全敏感的应用，例如（10）应用。

HTTPS使用安全套接字层（SSL）进行信息交换。SSL目前的版本是3.0，被IETF定义在RFC 6101中。IETF对SSL讲行升级后的继任者是（11）。

（10）备选答案如下：

A．网络聊天B．网络视频C．网上交易D．网络下载

【问题5】（1分）

使用HTTPS能不能确保服务器自身的安全？

某单位网络拓扑结构如图3-1所示，在Linux系统下构建DNS服务器、DHCP服务器和Web服务器，要求如下：

1、路由器连接各个子网的接口信息如下：

（1）路由器E0口的IP地址为192.168.1.1/25；

（2）路由器E1口的IP地址为192.168.1.129/25；

（3）路由器E2口的IP地址为192.168.2.1/29；

（4）路由器E3口的IP地址为192.168.2.33/29。

2、子网1和子网2内的客户机通过DHCP服务器动态分配IP地址；

3、服务器设置固定IP地址，其中：

（1）DNS服务器采用BIND构建，IP地址为192.168.2.2；

（2）DHCP服务器IP地址为192.168.2.3；

（3）Web服务器网卡eth0的IP地址为192.168.2.4,eth1的IP地址为192.168.2.34。

【问题1】（3分）

请完成图3-1中Web服务器eth1的配置。

DEVICE=eth1

BOOTPROTE=static

ONBOOT=yes

HWADDR=08:00:27:24:F8:9B

NETMASK=（1）

IPADDR=（2）

GATEWAY=（3）

TYPE=Ethernet

NAME="Syestem eht1"

IPV6INT=no

【问题2】（3分）

请完成图3-1中DNS服务网卡的配置。

DEVICE=eth0

BOOTPROTO=static

ONBOOT=yes

HWADDR=08:00:27:21:A1:78

NETMASK=（4）

IPADDR=（5）

GATEWAY=（6）

TYPE=Ethernet

NAME="Syestem eht0"

IPV6INT=no

【问题3】（6分）

请在（7）、（8）、（9）处填写恰当的内容。

在Linux系统中设置域名解释服务器，一直改域名服务器上文件named.conf的部分内容如下：

options{

directory"/var/named";

hostname"ns1.test.com"

allow-query{any;};

allow-recursion{A;B;C;D};

Recursion yes;

};

acl"A"{192.168.1.0/25;};

acl"B"{192.168.1.128/25;};

acl"C"{192.168.2.0/29};

acl"D"{192.168.2.32/29;};

view"A"{

Match-clients{A;};

Recursion yes;

Zone"test.com"{

Type master;

File"test.com.zone.A"

};

};

view"B"{

Match-clients{any;};

Recursion yes;

Zone"test.com"{

type master;

file"test.com.zone.B"

};

};

test.com.zone.A文件的部分配置如下：WWW?IN?A 192.168.2.4

test.com.zone.B文件的部分配置如下：WWW?IN?A 192.168.2.34

IP地址（7）不允许使用该DNS进行递归查询，子网1和子网2中的客户端访问www.test.com时，该DNS解析返回的IP地址分别为（8）和（9）。

（7）备选答案：

A．192.168.1.8?B．192.168.2.34

C．192.168.2.10?D．192.168.2.6

（8）和（9）备选答案：

A．192.168.2.4?B．192.168.2.34

C．192.168.2.4或者192.168.2.34 D．192.168.2.4和192.168.2.34

【问题4】（8分）

DHCP服务器配置文件如下所示：

authoritative;

ddns-updates off;

max-lease-time 604800;

default-lease-time 604800;

allow unknown-clients;

option domain-name-servers 192.168.2.2

ddns-update-style none;

allow client-updates;

subnet 192.168.2.32 netmask 255.255.255.248{

option routers 192.168.2.33;

range 192.168.2.35 192.168.2.38;

}

根据这个文件中的内容，该DHCP服务的默认租期是（10）天，DHCP客户机能获得的IP地址范围是：从（11）到（12）获得的DNS服务器IP地址为（13）。

某企业总部设立在A地，在B地建有分支机构，分支机构和总部需要在网络上进行频繁的数据传输，该企业网络采用IPSec VPN虚拟专用网技术实现分支机构和总部之间安全、快捷、经济的跨区域网络连接。

该企业的网络拓扑结构如图4-1所示。

该企业的网络地址规划及配置如表4-1所示。

表4-1网络规划地址配置表

【问题1】（7分）

为了完成对RouterA和RouterB的远程连接管理，以RouterA为例，完成初始化路由器，并配置RouterA的远程管理地址（192.168.1.20)，同时开启RouterA的Telnet功能并设置全局配置模式的访问密码，请补充完成下列配置命令。

RouterA>enable

RouterA#configure terminal

RouterA(config)#interface f0/0//进入F0/0的(1)子模式

RouterA(config-if)#ip addr(2)//为F0/0接口配置IP地址

RouterA(config-if)#no shut//(3)F0/0接口，默认所有路由器的接口都为down状态

RouterA(config-iQ#inter(4)//进入loopback 0的接口配置子模式

RouterA(config-if)#ip addr(5)//为loopback0接口配置IP地址

RouterA(config)#(6)//进入虚拟接口0-4的配置子模式

RouterA(config4ine)#pass word abc00 1//配置vty口令为”abc001“

RouterA(config)#enable password abc001//配置全局配置模式的明文密码为“abc001”

RouterA(config)#enable(7)abc001//配置全局配置模式的密文密码为“abc001”

【问题2】（5分）

VPN是建立在两个局域网出口之间的隧道连接，所以两个VPN设备必须能够满足内网访问互联网的要求，以及需要配置NAT。按照题目要求以RouterA为例，请补充完成下列配置命令。

RouterA(config)#access-list 101(8)ip 192.168.1.0 0.0.0.255 172.16.1.0 0.0.0.255

RouterA(config)#access-list 101(9)ip 192.168.1.0 0.0.0.255 any//定义需要被NAT的数据流

RouterA(config)#ip nat inside source list 101 interface(10)overload//定义NAT转换关系

RouterA(config)#int(11)

RouterA(config-if)#ip nat inside

RouterA(config)#int(12)

RouterA(config-iQ#ip nat outside//定义NAT的内部和外部接口

【问题3】(4分)

配置IPSec VPN时要注意隧道两端的设备配置参数必须对应匹配，否则VPN配置将会失败。以RouterB为例配置IPSecVPN，请完成相关配置命令。

RouterB(config)#access-list 102 permit ip(13)//定义需要通过VPN加密传输的数据流

RouterB(config)#crypto isakmp(14)//启用ISAKMP(IKE)

RouterB(config)#crypto isakmp policy 10

RouterB(config-isakmp)#authentication pre-share

RouterB(config-isakmp)#encryption des

RouterB(config-isakmp)#hash md5

RouterB(config-isakmp)#group 2

RouterB(config)#crypto isakmp identity address

RouterB(config)#crypto isakmp key abcOOl address(15)//指定共享密钥和对端设备地址RouterB(config)#crypto ipsec transform-set ccie esp-des esp_md5_hmac

RouterB(cfg-crypto-trans)#model tunnel

RouterB(config)#crypto map abc001 10 ipsec-isakmp

RouterB(config)#int(16)

RouterB(config)-if）#crypto map abc001//在外部接口上应用加密图

【问题4】

根据题目要求，企业分支机构与总部之间采用IPSec VPN技术互连，IPSec(IP Security)是IETE为保证在Internet上传送数据的安全保密性而制定的框架协议，该协议用用在（17）层，用于保证和认证用户IP数据包。

IP S ec VPN可使用的模式有两种，其中（18）模式的安全性较强，（19）模式的安全性较弱。IPSec主要由AH/ESP和IKE组成，在使用IKE协议时，需要定义IKE协商策略，该策略由（20）进行定义。

某软件项目的活动图如下图所示，其中顶点表示项目里程碑，连接顶点的边表示包含的活动，边上的数字表示相应活动的持续时间（天），则完成该项目的最少时间为（ ） 天。活动BC和BF最多可以晚开始（本题） 天而不会影响整个项目的进度。