阅读以下说明，回答问题1至问题2，将解答填入答题纸对应的解答栏内。
【说明】
某公司的网络拓扑结构如图4-1所示。

公司管理员对各业务使用的VLAN作如下规划：

为了便于统一管理，避免手工配置，管理员希望各种终端均能够自动获取IP地址，语音终端根据其MAC地址为其分配固定的IP地址，同时还需要到FTP服务器10.10.10.1上动态获取启动配置文件configuration.ini，公司DNS服务器地址为10.10.10.2，所有地址段均路由可达。

【问题1】(3分)
公司拥有多种业务，例如Internet，IPTV，VoIP等，不同业务使用不同的IP地址段。为了便于管理，需要根据业务类型对用户进行管理。以便路由器R1能通过不同的VLAN分流不同的业务。
VLAN划分可基于(1)、子网、(2)、协议和策略等多种方法。
本例可采用基于(3)的方法划分VILAN子网。
【问题2】(12分)
下面是在SW1上创建DHCP Option模板，并在DHCP Option模板视图下配置需要为语音客户端IP Phone分配的启动配置文件和获取启动配置文件的文件服务器地址，请将配置代码或注释补充完整。
(4)
[HUAWEI] sysname SW1
[SW1](5)option template template1
[SW1-dhcp-option-template-template1] gateway-list(6)    //配置网关地址
[SW1-dhcp-option-template-template1] bootfile(7)    //获取配置文件
[SW1-dhcp-option-template-template1] next-server(8)    //配置获取配置文件地址
[SW1-dhcp-option-template-template1] quit
下面创建地址池，同时为IP Phone 分配固定IP地址以及配置信息。请将配置代码补充完整。
[SW1]ip pool pool3
[SW1-ip-pool-pool3] network(9)mask 255.255.255.0
[SW1-ip-pool-pool3] dns-list(10)
[SW1-ip-pool-pool3] (11)192.168.3.1
[SW1-ip-pool-pool3] excluded-ip-address (12) 192.168.3.254
[SW1-ip-pool-pool3] lease unlimited
[SW1-ip-pool-pool3] static-bind ip-address 192 168.3.2 mac-address (13) option-templale  template1 //使用模板

[SW1-ip-pool-pool3] quit
#在对应VLAN上使能DHCP
[SW1] interface vlanif (14)
[SW1-Vlanif300] (15) select global
[SW1-Vlanif300] quit

阅读以下说明，回答问题1至问题4，将解答填入答题纸对应的解答栏内。
【说明】
图3-1为某大学的校园网络拓扑，其中出口路由器R4连接了三个ISP网络，分别是电信网络（网关地址218.63.0.1/28）、联通网络（网关地址221.137.0.1/28）以及教育网（网关地址210.25.0.1/28）。路由器R1、R2、R3、 R4在内网一侧运行RIPv2.0协议实现动态路由的生成。

PC机的地址信息如表3-1所示，路由器部分接口地址信息如表3-2所示。

【问题1】(2分)
如图3-1所示，校本部与分校之间搭建了IPSec VPN。IPSee的功能可以划分为认证头AH、封装安全负荷ESP以及密钥交换IKE。其中用于数据完整性认证和数据源认证的是（1）。
【问题2】(2分)
为R4添加默认路由，实现校园网络接入Internet 的默认出口为电信网络，请将下列命令补充完整。
[R4]ip route-static（2）
【问题3】(5分)
在路由器RI上配置RIP协议，请将下列命令补充完整：
[R1]（3）
[R1-rip-1]network（4）
[R1-ip-1]version2
[R1-rip-1]undo summary
各路由器上均完成了RIP协议的配置，在路由器R1上执行display ip routing-table，由RIP生成的路由信息如下所示：

根据以上路由信息可知。下列RIP路由是由（5）路由器通告的：

请问PCI此时是否可以访问电信网络？为什么？
答：（6）。
【问题4】(11分)
图3-1中，要求PC1访问Internet时导向联通网络，禁止PC3在工作日8:00至18:00访问电信网络。
请在下列配置步骤中补全相关命令：
第1步：在路由器R4上创建所需ACL
创建用于PC1策略的ACL：
[R4]acl 2000
[R4-acl-basic -2000] rule 1 permit source（7）
[R4-acl-basic- 2000] quit
创建用于PC3策略的ACL：
[R4] time-range satime（8）working-day
[R4]acl number 3001
[R4-acl-adv-3001] rule deny source（9）destination 218.63.0.0 240.255.255.255 time-range satime
第2步：执行如下命令的作用是（10）。
[R4]trafficlassifer 1
[R4-classifier-1]if-match acl 2000
[R4-classifier-1]quit
[R4]traffic classifier3
[R4-classifier-3]if-match acl 3001
[R4-classifier-3]quit
第3步：在路由器R4上创建流行为并配置重定向
[R4]traffic behavior 1
[R4-bchavior-1]redirect（11）221.137.0.1
[R4-behavior-1]quit
[R4]traffic behavior 3
[R4-behavior-3]（12）
[R4-behavior-3]quit
第4步：创建流策略，并在接口上应用（仅列出了R4上GigabitEthernet 0/0/0接口的配置）
[R4]traffic policy 1
[R4-trafficpolicy-1]classifier 1（13）
[R4-trafficpolicy-1]classifier 3（14）
[R4-trafficpolicy-1]quit
[R4]interGigabitEthernet 0/0/0
[R4-GigabitEthernet0/0/0]traffic-policy 1（15）
[R4-GigabitEthernet0/0/0]quit

阅读以下说明，回答问题1至问题4，将解答填入答题纸对应的解答栏内。
【说明】
小王为某单位网络中心网络管理员，该网络中心部署有业务系统、网站对外提供信息服务，业务数据通过SAN存储网络，集中存储在磁盘阵列上，使用RAID实现数据冗余；部署邮件系统供内部人员使用，并配备有防火墙、入侵检测系统、Web应用防火墙、上网行为管理系线，反垃圾邮件系统等安全防护系统，防范来自内外部网络的非法访问和攻击。

【问题1】(4分)
网络管理员在处理终端A和B无法打开网页的故障时，在终端A上ping 127.0.0.1不通，故障可能是（1）原因造成；在终端B上能登录互联网即时聊天软件，但无法打开网页，故障可能是（2）原因造成。
(1)~(2)的备选答案：
A. 链路故障
B. DNS配置错误
C. TCP/IP协议故障
D. IP配置错误
【问题2】(8分)
网络管理员监测到部分境外组织借新冠疫情对我国信息系统频繁发起攻击，其中，图2-1访问日志所示为（3）攻击，图2-2访问日志所示为（4）攻击。

网络管理员发现邮件系统收到大量不明用户发送的邮件，标题含“武汉旅行信息收集”、“新型冠状病毒肺炎的预防和治疗”等和疫情相关字样，邮件中均包含相同字样的Excel文件，经检测分析，这些邮件均来自某境外组织，Excel文件中均含有宏，并诱导用户执行宏，下载和执行木马后门程序，这些驻留程序再收集重要目标信息，进一步扩展渗透，获取敏感信息，并利用感染电脑攻击防疫相关的信息系统，上述所示的攻击手段为（5）攻击，应该采取（6）等措施进行防范。
(3)~(5)备选答案：
A.跨站脚本
B.SQL注入
C.宏病毒
D.APT
E.DDos
F.CC
G.蠕虫病毒
H. 一句话木马
【问题3】(5分)
存储区域网络（Storage Area Network, 简称SAN）可分为（7）、（8）两种，从部署成本和传输效率两个方面比较这两种SAN，比较结果为（9）。
【问题4】(3分)
请简述RAID2.0技术的优势（至少列出2点优势）。

阅读以下说明，回答问题1至问题3，将解答填入答题纸对应的解答栏内。
【说明】
某校园宿舍网络拓扑结构如图1-1所示，数据规划如表1-1内容所示。该网络采用敏捷分布式组网在每个宿舍部署一个AP，AP连接到中心AP，所有AP和中心AP统一由AC进行集中管理，为每个宿舍提供高质量的WLAN网络覆盖。

表1-1  

【问题1】（10分）
补充命令片段的配置。
1.Router 的配置文件
[Huawei] sysname Router
[Router] vlan batch(1)
[Router] interface gigabitethernet 1/0/0
[Router GigabitEthernet 1/0/0] port link-type trunk
[Router GigabitEthernet 1/0/0] port trunk allow-pass vlan 101
[Router GigabitEthernet 1/0/0] quit
[Router] interface vlanif 101
[Router-Vlanifl01]ip address (2)
[Router-Vlanifl01]quit
2.AC的配置文件
#配置AC和其他网络设备互通
[HUAWEI]sysname (3)
[AC] vlan batch 100 101
[AC] interface gigabitethernet 0/0/1
[AC-GigabitEthernet0/0/1] port link -type trunk
[AC-GigabitEthernet0/0/1] port trunk pvid vlan 100
[AC-GigabitEthernet0/0/1] port trunk allow-pass vlan 100
[AC-GigabitEthernet0/0/1] port-isolate(4) //实现端口隔离
[AC-GigabitEthernet0/0/1] quit
[AC] interface gigabitethernet 0/0/2
[AC-GigabitEthernet0/0/2] port link-type trunk
[AC-GigabitEthernet0/0/2] port trunk allow-pass vlan 101
[AC-GigabitEthernet0/0/2] quit
#配置中心AP和AP上线
[AC] wlan
[AC-wlan-view] ap-group name ap-groupl
[AC-wlan-ap-group-ap-group1] quit
[AC-wlan-view] regulatory-domain-profile name default
[AC-wlan-regulate-domain-default] country-code (5)
[AC-wlan-regulate domain-default] quit
[AC-wlan-view]ap-group name ap-group1
[AC-wlan-ap-group-ap-group1] regulatory-domain-profile(6)
Warning: Modifying the country code will clear channel, power and antenna gain config
Of the config send reset the AP Continue?[Y/N]:y
[AC-wlan-ap-group-ap-group1]quit
[AC-wlan-view]quit
[AC]capwap source interface(7)
[AC] wlan
[AC-wlan-view] ap auth mode mac-auth
[AC-wlan-view] ap-id 0 ap-mac 68a8-2845-62fd//中心AP的MAC地址
[AC-wlan-ap-0] ap-name central AP
Warning: This operation may cause AP reset Continue?[Y/N]:y
[AC-wlan-ap-0] ap-group ap-group1
Warning: This operation may cause AP reset.If the country code changes,it will clear channel,power and antenna gain configuration s of the radio,Whether to continue?[Y/N]:y
[AC- wlan-ap-0] quit
其他相同配置略去
#配置WLAN业务参数
[AC-wlan-view] security-profile name wlan-net
[AC-wlan-sec-prof-wlan-net] security wpa-wpa2 psk pass-phrase(8) aes
[AC-wlan-sec-prof-wlan-net] quit
[AC-wlan-view] ssid-profile name wlan-net
[AC-wlan-ssid-prof-wlan-net] ssid(9)
[AC-wlan-ssid-prof-wlan-net] quit
[AC-wlan-view] vap-profile name wlan-net
[AC-wlan-vap-prof-wlan-net] forward-mode tunnel
[AC-wlan-vap-prof-wlan-net] service-vlan vlan-id(10)
[AC-wlan-vap-prof-wlan-net] security-profile wlan-net
[AC-wlan-vap-prof-wlan-net] ssid-profile wlan-net
[AC-wlan-vap-prof-wlan-net] quit
[AC-wlan-view] ap-group name ap-group1
[AC-wlan-ap-group-ap-groupl] vap-profile wlan-net wlan 1 radio 0
[AC-wlan-ap-group-ap-group1] vap-profile wlan-net wlan 1 radio 1
[AC-wlan-ap-group-ap-group1] quit
【问题2】（6分）
上述网络配置命令中AP的认证方式是（11）方式，通过配置（12）实现统一配置。
（11）、（12）的备选答案：
A.MAC
B.SN
C.AP地址
D.AP组
将AP加电后，执行（13）命令可以查看到AP是否正常上线。
（13）备选答案：
A.display ap all
B.display vap ssid
【问题3】(4分)
1.组播报文对无线网络空口的影响主要是（14），随着业务数据转发的方式不同，组播报文的抑制分别在（15）和（16）配置。
2.该网络AP部署在每一间宿舍的原因是（17）。

阅读以下说明，回答问题1和问题2，将解答填入答题纸对应的解答栏内。
【说明】
某公司在网络环境中部署多台IP电话和无线AP，计划使用PoE设备为IP电话和无线AP供电，拓扑结构如图4-1所示。

【问题1】(5分)
PoE (Power Over Ethernet) 也称为以太网供电，是在现有的以太网Cat.5布线基础架构不作任何改动的情况下，利用现有的标准五类、超五类和六类双纹线在为基于IP的终端(如IP电话机、无线局城网接入点AP、网络摄像机等)同时(1)和(2)。
完整的PoE系统由供电端设备(PSE, Power Sourcing Equipment))和受电端设备(PD.Powered Devic)两部分组成。依据IEEE 802.3af/at标准，有两种供电方式，使用空闲脚供电和使用(3)脚供电，当使用空闲脚供电时，双绞线的(4)线对为正极、(5)线对为负极为PD设备供电。
(1)~ (5)备选答案：
A.提供电功率
B.4、5
C.传输数据
D.7、8
E.3、6
F.数据
【问题2】 (10分)
公司的IP-Phonel和API为公司内部员工提供语音和联网服务，要求有较高的供电优先级，且AP的供电优先级高于IP-Phone；IP-Phone2 和AP2用于放置在公共区域，为游客提供语音和联网服务，AP2 在每天的2: 00-6: 00时间段内停止供电。IP-Phone的功率不超过5W, AP的功率不超过I5W。配置接口最大输出功率，以确保设备安全。
请根据以上需求说明，将下面的配置代码补充完整。
(6)
(7) SW1
[SW1] poe power-management (8)
[SW 1] interface gigabitethernet 00/1
[SWI-GigabitEthermeto/0/1]poe power (9)
[SW1-GigabitEthermet0/0/1]1 poe priority (10)
[SW1-GigabitEthemet/0/1]quit
[SW1]interface gigabitethernet 0/0/2
[SiI-GigabitEthernet0/0/2]poe power (11)
[SiI-GigabitEthernet0/0/2]poe priority (12)
[SW1-GigabitEthernet0/0/2]quit
[SW1]interface (13)
[SW1-GigabitEthernet0/0/3] poe power 5000
[SW1-GigabitEthernet0/0/3]quit
[SW1] (14) tset 2:00 to 6:00 daily
[SW1] interface gigabitethernet 0/0/4
[SW1-GigabitEthernet0/0/4] por(15)time-range tset
Warning: This operation will power off the PD during this time range poe.Continue?[YN]:y
[SW1-GigabitEthernet0/0/4]quit
(6)~ (15)备选答案：
A. sysname/ sysn
B.5000
C. time-range
D. power-off
E. auto
F. system-view/sys
G. critical
H. high
I.15000
J. gigabitethernet 0/0/3

阅读以下说明，回答问题1至问题3，将解答填入答题纸对应的解答栏内。
【说明】
图3-1为某大学的校园网络拓扑，由于生活区和教学区距离较远，R1和R6分别作为生活区和教学区的出口设备，办公区内部使用OSPF作为内部路由协议。通过部署BGP获得所需路由，使生活区和教学区可以互通。通过配置路由策略，将R2<__>R3<__>R4链路作为主链路，负责转发R1和R6之间的流量；当主链路断开时，自动切换到R2<__>R5<__>R4这条路径进行通信。

                                                                                                                                            图3-1

办公区自制系统编号100、生活区自制系统编号200、教学区自制系统编号300，路由器接口地址信息如表3-1所示。

【问题1】(2分)
该网络中，网络管理员要为PC2和PC3设计一种接入认证方式，如果无法通过认证，接入交换机S1可以拦藏PC2和PC3的业务数据流量。下列接入认证技术可以满足要求的是(1)。
(1)备选答案:
A. WEB/PORTAL
B. PPPoE
C. IEE 802.1x
D. 短信验证码认证
【问题2】  (2分)
在疫情期间，利用互联网开展教学活动，通过部署VPN实现Internet访问校内受限的资源。以下适合通过浏览器访问的实现方式是(2)。
(2)备选答案:
A. IPSee VPN
B. SSL VPN
C. L2TP VPN
D. MPLS VPN
【问题3】  (16分)
假设各路由器已经配置好了各个接口的参数，根据说明补全命令或者回答相应的问题。
以RI为例配置BGP的部分命令如下:
//启动BGP，指定本地AS号，指定BGP路由器的Router ID为1.1.1.1，配置R1和R2建立EBGP连接
[R1]bgp(3)
[R1-bgp]router-id 1.1.1.1
[R1-bgp]peer 10.20.0.2 as-number 100
以R2为例配置OSPF:
[R2]ospf 1
[R2 ospf-1] import-route (4) //导入R2的直连路由
[R2-ospf-1] import-route bgp
[R2-ospf-1] area (5)
[R2-ospf-1-area-0.0.0.0]network 10.1.0.0.0.0.0.255
[R2-ospf-1-area-0.0.0.0]network 10.30.0.0.0.0.0.255
以路由器R2为例配置BGP：
//启动BGP，指定本地AS号，指定BGP路由器的Router ID为2.2.2.2
[R2]bgp 100
[R2-bgp]router-id 2.2.2.2
[R2-bgp]peer 10.2.0.101 as-number 100
//上面这条命令的作用是(6)。
[R2-bgp]peer 10.40.1.101 as number 100
[R2-bgp]peer 10.20.0.1 as-number 200
//配置R2发布路由

[R2-bgp]ipv4-family unicast
[R2-bgp-af-ipv4]undo synchronization
[R2-bgp-af-ipv4]preference 255 100 130
//上面这条命令执行后，IBGP路由优先级高还是OSPF路由优先级高？
答：（7）
#以路由器R2为例配置路由策略：
//下面两条命令的作用是(8)。
[R2] acl number 2000
[R2-acl-basic-20000 rule 0 permit source 10.20.0.0.0.0.0.255
//配置路由策略，将从对等体10.20.0.1 学习到的路由发布给对等体10.2.0.101时，设置本地优先级为200，请补全以下配置命令
[R2] route-policy local-pre permit node 10
[R2-route-policy-local-pre-10]if-match ip route-source acl (9)
[R2-route-policy-local-pre-10]apply local-preference (10)

阅读以下说明，回答问题1至问题3，将解答填入答题纸对应的解答栏内。
【说明】
图2-1所示为某单位网络拓扑图片段。

故障一
某天，网络管理员小王接到网络故障报告，大楼A区用户无法上网，经检查，A区接入交换机至中心机房核心交换机网络不通，中心机房核心交换机连接A区接入交换机的端口灯不亮。
故障二
某天，网络管理员小王接到大楼用户上网故障报告，B区用户小李的电脑网络连接显示正常，但是无法正常打开网页，即时聊天软件不能正常登录。

【问题1】(6分)
针对故障一，网络管理员使用(1)设备对光缆检查，发现光衰非常大，超出正常范围，初步判断为光缆故障，使用(2)设备判断出光缆的故障位置，经检查故障点发现该处光缆断裂，可采用(3)措施处理较为合理。
(1)- (2)备选答案(每个备选答案只可选一次)：
A.网络寻线仪
B.可见光检测笔
C.光时域反射计
D.光功率计
(3)备选答案：
A.使用两台光纤收发器连接
B.使用光纤熔接机熔接断裂光纤
C.使用黑色绝缘胶带缠绕接线
D.使用一台五电口小交换机连接
【问题2】  (8分)
针对故障二，小王在小李的电脑上执行(4)命令显示地址解析协议缓存表内容，检测后发现该缓存表无异常内容；通过执行(5)命令发送ICMP回声请求测试，结果显示与B区接入交换机、核心交换机、上网行为管理系统、入侵检测系统均连接正常，但是与防火墙G1接口和ISP网关不通；通过执行(6) 1.85.62.1命令显示到达ISP运营商网关的路径，结果显示上网行为管理系统E0接口地址以后均为“*”；更换该电脑的IP地址后，网络正常，由此判断，该故障产生的原因可能是(7)。
(4)一(6)备选答案(每个备选答案只可选一次)：
A. ipconfig
B. ping
C. netstat
D. arp
E. tracert
F. route
G. nslookup
H. net
(7)备选答案：
A.上网行为管理系统禁止该电脑IP访问互联网
B.入侵检测系统禁止该电脑IP访问互联网
C.防火墙禁止该电脑IP访问互联网
D. DNS配置错误
【问题3】  (6分)
为保障数据安全，在数据中心本地和异地定时进行数据备份。其中本地备份磁盘陈列要求至少坏2块磁盘而不丢失数据(不计算热备盘)，应采用(8)磁盘冗余方式；异地备份使用互联网传输数据，应采用(9)措施保障数据传输安全；在有限互联网带宽情况下，应采用(10)措施提高异地备份速度。
(8)各选答案:
A. RAID 0
B. RAID 1
C. RAID 5
D. RAID 6
(9)备选答案:
A.两端备份服务器设置复杂密码
B.两端搭建VPN隧道进行传输
C.异地备份点出口部署防火墙设备
D.本地出口部署入侵防御系统
(10)备选答案：
A.增量备份
B.缩短备份周期
C.数据加密
D.工作时间备份

阅读以下说明，回答问题1至问题4，将解答填入答题纸对应的解答栏内。
【说明】
某企业网络拓扑图如图1-1所示。该网络可以实现的网络功能有:
1.汇聚层交换机A与交换机B采用VRRP技术组网；
2.用防火墙实现内外网地址转换和访问策略控制；
3.对汇聚层交换机、接入层交换机（各车间部署的交换机）进行VLAN划分。

                                                                                               图1-1

【问题1】(6分)
为图1-1中的防火墙划分安全域，接口①应配置为(1)区域，接口②应配置为(2)区域，接口③应配置为(3)区域。
【问题2】  (4分)
VRRP技术实现(4)功能，交换机A与交换机B之间的连接线称为(5)线，其作用是(6).
【问题3】   (6分)
图1-1中PC1的网关地址是(7)；在核心交换机上配置与防火墙互通的默认路由，其目标地址应是(8)；若禁止PC1访问财务服务器，应在核心交换机上采取(9)措施实现。
【问题4】  (4分)
若车间1增加一台接入交换机C，该交换机需要与车间1接入层交换机进行互连，其连接方式有(10)和(11)；其中(12)方式可以共享使用交换机背板带宽，(13)方式可以使用双绞线将交换机连接在一起。

（此题目前多半以选择题的方式出现，值得一做）

阅读以下说明，回答问题1至问题4，将解答填入答题纸对应的解答栏内。
【说明】
某省运营商的社区宽带接入网络结构如图1-1所示。


 

【问题1】（7分）
高速数据主干网的一个建设重点是解决“最后一公里”的问题，即宽带接入问题。图1-1所示的四个社区采用的小区宽带接入方法分别是：社区1（1） ，社区2（2） ，社区3（3） ，社区4（4） 。除了这几种宽带接入方法以外，采用有线电视网进行宽带接入的方法是（5） ，利用电力网进行宽带接入的方法是（6） ，遵循IEEE802.16标准进行宽带接入的方法是（7） 。
空（1）~（7）备选答案：
A．FTTx + PON  
B．HFC 
C．FTTx + LAN   
D．WLAN
E.WiMax   
F.xDSL
G.PLC（Power-Line-Communication）
H.GPRS
【问题2】（3分）
在宽带接入中，FTTx是速度最快的一种有线接入方式，而PON（Passive Optical Network）技术是未来FTTx的主要解决方案。PON目前有两种主要的技术分类，分别是GPON和EPON，EPON是（8）技术和（9）技术的结合，它可以实现上下行（10）的速率。
【问题3】（6分）
宽带接入通常采用PPPoE进行认证。PPP协议一般包括三个协商阶段，（11） 协议用于建立和测试数据链路；（12）协议用于协商网络层参数；（13）协议用于通信双方确认对方的身份。
【问题4】（4分）
在运营商中，一般会有多个用户和不同的业务流需要融合。运营商常用外层VLAN区分不同的（14），在ONU或家庭网关处采用内层VLAN来区分不同的（15）；这种处理方式要求运营商网络或用户局域网中的交换机都支持（16）协议，同时通过802.1ad（运营商网桥协议）来实现灵活的QinQ技术。

（此题的问题2、问题3可做，其他的小题不做，考的是思科的PIX防火墙的内容，已经在新版考试大纲删除）

认真阅读下列说明信息，回答问题1至问题4。将答案填入答题纸对应的解答栏内。
【说明】
为了保障网络安全，某公司安装了一款防火墙，对内部网络、Web服务器以及外部网络进行逻辑隔离，其网络结构如图2-1所示。

图 2-1

【问题1】（4分）
包过滤防火墙使用ACL实现过滤功能，常用的ACL分为两种，编号为1-99的ACL根据IP报文的源地址域进行过滤，称为（1） ；编号为100-199的ACL根据IP报文中的更过域对数据包进行控制，称为（2） 。
【问题2】（3分）
依据图2-1，防火墙的三个端口连接的网络分别称为（3） 、（4） 和（5） 。
【问题3】（7分）
防火墙配置要求如下：
● 公司内部局域网用户可以访问Web Server和Internet；
● Internet用户可以访问Web Server；
● Internet上特定主机202.110.1.100可以通过Telnet访问Web Server；
● Internet用户不能访问公司内部局域网。
   请按照防火墙的最小特权原则补充完成表2-1。

表2-1

【问题4】（6分）
由于防火墙出现故障，现将网络拓扑进行调整，增加一台包过滤路由器R2，与Proxy Server和路由器R1共同组成一个屏蔽子网防火墙，结构如图2-2所示。为了实现与表2-1相同的过滤功能，补充路由器R1上的ACL规则。