1、网络规划设计师-1 及答案解析(总分:99.99,做题时间:90 分钟)一、B论述题/B(总题数:3,分数:100.00)阅读以下说明,根据要求回答问题。说明某地区市属重点中学欲构建一个局域网,考虑到该中学的很多现代化教学业务依托于网络,要求中学内部用户能够高速的访问相关的 5 台内部高性能服务器,并且要求通过网络的冗余性设计来获得较高各类业务服务的可用性。某系统集成公司根据该中学的相关需求,将网络拓扑结构设计为双核心来进行负载均衡和容错。该公司给出的网络拓扑如图 1 所示。(分数:33.00)(1).根据用户需求和设计要求,请简要指出图 1 中不合理的设计之处,并简要给出改进措施。(分数:1
2、1.00)_(2).该校园网在进行 IP 地址部署时,给某栋教研综合楼分配了一个地址块 10.2.3.0/24,该教研综合楼内的计算机数量分布如表 1 所示。要求各部门处于不同的网段,请将表 2 中的空缺的主机地址(或范围)和子网掩码填写完整。 B表 1 某教研综合楼计算机数量分布表/B部门 主机数多媒体教室 1 80多媒体教室 2 50教研室 A 22教研室 B 18B表 2 各部门 IP 地址规划表/B多媒体教室 110.2.3.1_ _多媒体教室 2_ _教研室 A _ 255.255.255.224教研室 B 10.2.3.19310.2.3.222 _(分数:11.00)_(3).(
3、a)假设平均每天常浏览网页的用户数为 300 个,每用户每分钟平均产生 12 个事务处理任务,事务量大小为 0.05MB,则该校园网浏览网页需要的信息传输速率约为_Mbps。 (b)假设该校园网共有 20 间多媒体教室,平均每间多媒体教室有 4 个摄像机,每台摄像机采用 CIF 格式(分辨率为 352288)实时采集视频流,码流为 512kbps,则该校园网多媒体教室视频监控的应用业务流量约为_Mbps。(分数:11.00)填空项 1:_阅读以下说明,根据要求回答问题。说明某集团公司是一家拥有 25 个直属子公司、12 个分公司、6 个海外办事处的上市公司。2009 年 5 月,集团高层研究决
4、定对整个企业的资源进行整合,需要对原有的企业网络进行升级改造。集团公司所委托的设计单位经过 30 多天的调查研究,经相关规划设计师多方论证,为该企业提供了一套较完整的网络建设设计方案。该设计方案采用了分区域规划设计策略。例如,由于集团总部部门较多,同时还会涉及各分支机构及各合作公司的接入,从网络架构的合理性及易管理性方面考虑,整个集团总部的网络根据各应用的功能不同,分为核心交换区域、内部服务器区域、外部服务器区域、网络出口区域、办公接入区域、网络视频会议区域、IP 语音区域、网络安全区域及网络管理区域等。其中,集团总部网络出口区域的网络拓扑结构如图所示。(分数:33.00)(1).该集团公司整
5、个广域网连接方案中,集团下属异地二级单位均采用了 SDH 专线链路、基于 Internet的 VPN 连接链路两种技术实现与集团总部的互连。结合你的网络规划设计经验,请回答以下相关问题。 (1)说明和图中 SDH 专网路由器 R1、Internet 出口路由器 R2 和 VPN 网关在该设计方案所承担的主要功能。(2)给出一个 SDH 主链路与 VPN 备份链路故障自动切换的路由设计方案。(分数:11.00)_(2).(1)每秒抓包数(pps)是上图中 NIDS 设备的主要性能指标之一。假设网络数据包的平均大小为 512B,上图中 NIDS 设备某个接口在 10000pps 每秒抓包数的性能情
6、况下,请计算该 NIDS 设备接口每秒能够处理的数据流量。 (2)上图中 NIDS 设备配置了 6 个千兆接口,请计算该 NIDS 设备的吞吐量至少需要达到多少Mpps,才能够确保所有端口均能线速工作,并提供无阻塞的数据交换? (3)结合你的网络规划设计经验,请简要叙述选购上图中 NIDS 产品时需要考虑的主要要点。(分数:11.00)_(3).集团总部要求对进出集团内部的电子邮件、网页等信息进行扫描和杀毒,防止计算机病毒或木马的传播和感染。在不增加任何网络设备情况下,该需求最可能在上图中哪种网络设备上实现?在上图中,该设备还承担了哪些主要功能?(分数:11.00)_阅读以下说明,根据要求回答
7、问题。说明某中等规模的机制制造企业的所有员工人数不超过 1500 人,且所有员工在同一城市的不同地域工作。企业目前分为一个总部和 3 个分部(分布范围都不超过4.5km),总部人数不超过 500 人,各分部人数不超过 350 人。企业与 Internet采用统一对外接口,带宽需求约为 100Mbps 以内,且流入通信量和流出通信量基本均衡;企业总部与各分部之间的通信流量在 1000Mbps 以内。企业组织机构有 9 个(如行政管理、生产和销售等),每个机构在总部或单个分部最多 45 人。该企业一期网络工程项目对安全性要求不高,主要目标是以较高的性价比并基于主流组网技术实现联网和访问 Inter
8、net。郭工对该企业进行逻辑网络设计时,给出了如图所示的网络拓扑结构。(分数:33.99)(1).请列举出在上图中各分部局域网采用双链路接入总部局域网的 3 个主要优点。(分数:11.33)_(2).对该企业逻辑网络设计的局域网技术进行选择时,上图中空处适宜选用_,空处适宜选用_,空处适宜选用_,空处适宜选用_。 空缺处备选答案如下(注:每项只能选择一次)。A100Base-Tx BMSTP C1000Base-LX DWiMAX E1000Base-SX F10000Base-L4 G10000Base-ER H1000Base-T(分数:11.33)填空项 1:_(3).(a)在上图所示的
9、总部网络结构中,两台核心三层交换机之间宜采用_技术来提高主干道的吞吐量,以及实现冗余设计。若分部国局域网的两台汇聚交换机之间运行_协议,则这两台汇聚交换机工作在热备份方式,当任何一台汇聚交换机出现故障时,网关及路由层面可以实现无缝热切换。 (b)对该企业逻辑网络设计的接入因特网技术进行选择时,适宜选用_接入技术。EPON 是该接入技术中被广泛商用的主流技术,其采用_拓扑结构,下行信号的传输模式为_方式。 (7)AADSL BHFC CFTTx DLTE (8)A树形 B总线形 C星形 D环形 (9)AFDM BTDMA CWDM D广播(分数:11.33)填空项 1:_网络规划设计师-1 答案
10、解析(总分:99.99,做题时间:90 分钟)一、B论述题/B(总题数:3,分数:100.00)阅读以下说明,根据要求回答问题。说明某地区市属重点中学欲构建一个局域网,考虑到该中学的很多现代化教学业务依托于网络,要求中学内部用户能够高速的访问相关的 5 台内部高性能服务器,并且要求通过网络的冗余性设计来获得较高各类业务服务的可用性。某系统集成公司根据该中学的相关需求,将网络拓扑结构设计为双核心来进行负载均衡和容错。该公司给出的网络拓扑如图 1 所示。(分数:33.00)(1).根据用户需求和设计要求,请简要指出图 1 中不合理的设计之处,并简要给出改进措施。(分数:11.00)_正确答案:(核
11、心交换机 2 直接上连至边界路由器,其通信数据无法得到防火墙的安全防护; 两台核心交换机之间没有进行双高速链路相互连接; 汇聚交换机 3 缺少了一条与核心交换机 1 连接的高速通信链路; 内部服务器区不能连接在接入交换机 4 上,应该直接连接到两台核心交换机,保证高速访问;有一个桌面用户同时连接至接入交换机 2 和接入交换机 3; 双网卡用户同时通过该校园网和 ADSL宽带接入方式访问 Internet,形成了接入层的“后门”现象)解析:依题意,在图 1 所示的网络设备连接结构图中,存在以下几点不合理之处及相应的改进方案。(1)图 1 中核心交换机 2 错误地直接上连至边界路由器,核心交换机
12、2 的相关通信数据无法得到防火墙的相关安全防护。改进方案:将核心交换机 2 上连至防火墙,如图 2 中虚线所示。*图 2 某中学网络设备连接图(改正 1)(2)图 1 中两台核心交换机之间没有相互连接。改进方案:将两台核心交换机之间进行双千兆(或万兆)链路连接,并通过应用链路聚合技术(如*)提高主干道的吞吐量,并实现负载分担,以提高核心层的高速数据转发,如图 2 所示。(3)该中学 5 台内部高性能服务器连接在接入交换机 4 上,增大了服务延迟时间,无法实现题意中“中学内部用户能够高速的访问”的性能要求。改进方案去掉接入交换机,将汇聚交换机 3 更换成较高性能的汇聚交换机,新汇聚交换机与核心交
13、换机之间实现双千兆链路冗余连接,然后将 5 台服务器连接在新汇聚交换机上,如图 2 所示。改进方案若两台核心交换机分别有 5 个可供使用的高速以太端口,则在 5 台内部服务器上分别安装(或替换)两块高速以太网卡,两块网卡分别连接到两台核心交换机的高速以太端口,以保证服务器的高速访问,如图 3 所示。*图 3 某中淡定网络设备连接图(改正 2)图 1 中有一个桌面用户的客户机错误地同时连接至接入交换机 2 和接入交换机 3,形成了接入层的“后门”现象,违背了层次化网络设计所应遵循的基本原则。改进方案:删除该客户机连接至接入交换机 3(或接入交换机 2)的连接链路,如图 2(或图 3)所示。连接至
14、接入交换机 1 的一台双网卡用户客户机错误地通过 ADSL 宽带接入方式,再次连接至 Internet,形成了接入层的另一种“后门”现象,从而可能引起不可预知的选路问题或其他异常的网络故障现象等。改进方案:删除该客户机的 ADSL 宽带接入链路,使该客户机仅通过该校园网访问 Internet,如图 2(或图 3)所示。(2).该校园网在进行 IP 地址部署时,给某栋教研综合楼分配了一个地址块 10.2.3.0/24,该教研综合楼内的计算机数量分布如表 1 所示。要求各部门处于不同的网段,请将表 2 中的空缺的主机地址(或范围)和子网掩码填写完整。 B表 1 某教研综合楼计算机数量分布表/B部门
15、 主机数多媒体教室 1 80多媒体教室 2 50教研室 A 22教研室 B 18B表 2 各部门 IP 地址规划表/B多媒体教室 110.2.3.1_ _多媒体教室 2_ _教研室 A _ 255.255.255.224教研室 B 10.2.3.19310.2.3.222 _(分数:11.00)_正确答案:(10.2.3.126 255.255.255.128 10.2.3.12910.2.3.190 255.255.255.192 10.2.3.22510.2.3.254 255.255.255.224)解析:该教研综合楼所分配到的地址块 10.2.3.0/24 中,“/24”表示子网掩码为
16、 24 位掩码,即255.255.255.0。表 1 给出了该单位多媒体教室 1 的计算机数量为 80 台。由于 26-2=62802 7-2=126,其中,“-2”表示保留全 0 的 IP 地址(被保留标志子网本身)和全 1 的 IP 地址(被保留用做该子网的广播地址),因此对已给出的 A 类地址块 10.2.3.0/24 进行子网化时,对于“多媒体教室 1”这个子网所用的主机地址位数至少需要 7 位,则 A 类地址块 10.2.3.0 的最后一个字节的最高位可用做子网号,用于标识“多媒体教室 1”子网和其他子网。由此也可推知,多媒体教室 1 的新子网掩码为 25 位掩码,即第二个空缺处为
17、255.255.255.128。 由于表 2 中已给出多媒体教室 1 子网可实际分配的 IP 地址范围中的起始 IP 地址(即 10.2.3.1),将它与子网掩码 255.255.255.0 进行与(AND)运算,即可得到多媒体教室 1 子网的网段地址为 10.2.3.0。由此可知,多媒体教室 1 的子网号为 0。此多媒体教室 1 的子网号同时决定了多媒体教室 2、教研室 A 和教研室B 的 IP 地址中最后一个字节的最高位为 1。换言之,其他子网的 IP 地址中最后一个字节用于标识子网的最高位为 1。 多媒体教室 1 子网可分配的主机地址范围求解过程如表 3 所示。 B表 3 多媒体教室 1
18、 子网可分配的主机地址范围分析表/B 已求知的子网掩码 255.255.255.128 该子网掩码转化为二进制数形式 11111111.11111111.11111111.10000000 表 2 已给出的 IP 地址 10.2.3.1 该 IP 地址转化为二进制数形式 00001010.00000010.00000011.00000001 将以上两个二进制数进行 AND 运算 00001010.00000010.00000011.00000000 多媒体教室 1 子网的网段地址为 10.213.0/25 该子网的 IP 地址范围 10.2.3.010.2.3.127 多媒体教室 1 子网最小
19、可实际分配的 IP 地址的二进制数形式为 00001010.00000010.00000011.00000001 多媒体教室 1 子网最大可实际分配的 IP 地址的二进制数形式为 00001010.00000010.00000011.01111110 该子网中可实际分配的主机地址范围 10.2.3.110.2-3.126由以上分析可知,多媒体教室 1 子网使用的子网号为 0,可实际分配的主机地址范围为10.2.3.110.2.3.126,因此表 2 中第一个空缺处所填写的内容可以是 10.2.3.126。 由于 25-2=30502 6-2=62,因此对于“多媒体教室 2”这个子网所用的主机地
20、址位数至少需要 6 位,则 A 类地址块 10.2.3.0 的最后一个字节的最高位、次高位可用做子网号,即用于标识“多媒体教室 2”子网。由此也可推知,多媒体教室 2 的新子网掩码为 26 位掩码,即第四个空缺处的子网掩码为 255.255.255.192。 由于 24-2=1418222 5-2=30,因此对于“教研室 A”、“教研室 B”这两个子网所用的主机地址位数至少需要 5 位,这两个子网的子网号为 3 位。因此,这两个子网的新子网掩码为 27 位掩码,即第六个空缺处的子网掩码为 255.255.255.224。 将子网掩码 255.255.255.224 与表 2 中已给出的教研室
21、B 可分配的地址范围 10.2.3.19310.2.3.222 进行与(AND)运算,即可得到教研室 B 所使用的子网号为 110。由于“多媒体教室 2”的子网号为两位,因此由教研室 B 所使用的子网号 110 可得,“多媒体教室 2”的子网号为 10。同理,可得教研室 A 的子网号为 111。 由表 4 所示的分析过程可知,多媒体教室 2 可实际分配的主机地址范围为 10.2.3.12910.2.3.190,即第三空缺处应填入 10.2.3.12910.2.3.190。 B表 4 多媒体教室 2 子网可分配的主机地址范围分析表/B步骤 项目 数值 已求知的子网掩码 255.255.255.1
22、92 该子网掩码转化为二进制数形式 11111111.11111111.11111111.11000000用子网号 10 标识“多媒体教室 2”子网,则其网段地址的二进制数形式为00001010.00000010.00000011.10000000 该 IP 地址转化为十进制数形式 10.2.3.128/26 该子网的 IP 地址范围 10.2.3.12810.213.191 多媒体教室 2 子网最小可实际分配的 IP 地址的二进制数形式为 00001010.00000010.00000011.10000001 多媒体教室 2 子网最大可实际分配的 IP 地址的二进制数形式为 00001010
23、.00000010.00000011.10111110 该子网中可实际分配的主机地址范围的十进制数形式 10.2.3.12910.2.3.190由表 5 所示的分析过程可知,教研室 A 可实际分配的主机地址范围为 10.2.3.22510.2.3.254,即第五个空缺处应填入 10.2.3.22510.2.3.254。 B表 5 教研室 A 子网可分配的主机地址范围分析表/B步骤 项目 数值 已知的子网掩码 255.255.255.224 该子网掩码转化为二进制数形式 11111111.11111111.11111111.11100000用子网号 111 标识“教研室 A”子网,则其网段地址的
24、二进制数形式为00001010.00000010.00000011.11100000 该 IP 地址转化为十进制数形式 10.2.3.224/27 该子网的 IP 地址范围 10.2.3.22410.213.255 教研室 A 子网最小可实际分配的 IP地址的二进制数形式为 00001010.00000010.00000011.11100001 教研室 A 子网最大可实际分配的 IP地址的二进制数形式为 00001010.00000010.00000011.11111110 该子网中可实际分配的主机地址范围的十进制数形式 10.2.3.22510.2.3.254(3).(a)假设平均每天常浏览
25、网页的用户数为 300 个,每用户每分钟平均产生 12 个事务处理任务,事务量大小为 0.05MB,则该校园网浏览网页需要的信息传输速率约为_Mbps。 (b)假设该校园网共有 20 间多媒体教室,平均每间多媒体教室有 4 个摄像机,每台摄像机采用 CIF 格式(分辨率为 352288)实时采集视频流,码流为 512kbps,则该校园网多媒体教室视频监控的应用业务流量约为_Mbps。(分数:11.00)填空项 1:_ (正确答案:25.17 或 24 40.96)解析:某个应用业务的网络流量计算公式是:应用的数据传输速率=平均事务量大小每字节位数每个会话事务数平均用户数/平均会话长度。 依题意
26、,该校园网经常浏览网页的用户数为 300 个,每用户每分钟(60s)平均产生 12 个事务处理任务,事务量大小为 0.05MB(即 0.05102410248bit),则浏览网页需要的信息传输速率为 25.17Mbps。具体计算过程如下。 0.0510241024812300/(60)=25165824bps25.17Mbps 若考试不允许带计算器,则该校园网浏览网页应用的流量估算值也可按下式近似计算:300120.058/60=24Mbps。 在实际网络工程规划与设计过程中,为了保证峰值情况下所设计的网络能够正常运行,在考虑峰值用户数等因素的情况下,应用的数据传输速率=平均事务量大小每字节位
27、数每个会话事务数峰值用户数/平均会话长度。 对于该校园网多媒体教室视频监控的应用业务,峰值用户数为 204=80 个,每个会话的事务数为 1 个。因此,该应用的流量约为5121000180bps=40960000bps=40.96Mbps。阅读以下说明,根据要求回答问题。说明某集团公司是一家拥有 25 个直属子公司、12 个分公司、6 个海外办事处的上市公司。2009 年 5 月,集团高层研究决定对整个企业的资源进行整合,需要对原有的企业网络进行升级改造。集团公司所委托的设计单位经过 30 多天的调查研究,经相关规划设计师多方论证,为该企业提供了一套较完整的网络建设设计方案。该设计方案采用了分
28、区域规划设计策略。例如,由于集团总部部门较多,同时还会涉及各分支机构及各合作公司的接入,从网络架构的合理性及易管理性方面考虑,整个集团总部的网络根据各应用的功能不同,分为核心交换区域、内部服务器区域、外部服务器区域、网络出口区域、办公接入区域、网络视频会议区域、IP 语音区域、网络安全区域及网络管理区域等。其中,集团总部网络出口区域的网络拓扑结构如图所示。(分数:33.00)(1).该集团公司整个广域网连接方案中,集团下属异地二级单位均采用了 SDH 专线链路、基于 Internet的 VPN 连接链路两种技术实现与集团总部的互连。结合你的网络规划设计经验,请回答以下相关问题。 (1)说明和图
29、中 SDH 专网路由器 R1、Internet 出口路由器 R2 和 VPN 网关在该设计方案所承担的主要功能。(2)给出一个 SDH 主链路与 VPN 备份链路故障自动切换的路由设计方案。(分数:11.00)_正确答案:(1)答案包含但不限于以下内容 R1:负责 SDH 传输专网的路由计算,以建立起集团总部与各分支机构(或二级单位)的主用专网链路等。 R2:负责集团总部内部网和 Internet 之间的路由计算;实施 NAT 地址转换;实施带宽管理策略等。 VPN 网关:对各分支机构用户进行身份认证、信息认证、数据加密、访问控制等 (2)链路故障自动切换的路由设计方案示例(答案类似即可,答案
30、包含但不限于以下方案): SDH 专网区域全网设备运行 OSPF 动态路由协议,而 VPN 链路区域则配置低优先级的静态路由。当 SDH 链路出现故障时,OSPF 协议可以在较短的时间内学习到,并及时、自动地修正路由。此时静态路由就会在在态路由失效的情况下启用,从而实现 SDH 链路故障时自动启用 VPN 备份链路的功能。当 SDH 链路从故障中恢复时,OSPFor 协议也会在较短时间内更新自己的路由表,以接替静态路由的工作,从而实现自动从 VPN 备份链路切换回来的功能)解析:设计本问题的目的是考核读者对路由器、VPN 网关在具体应用环境下主要作用的理解,以及对广域网链路故障自动切换的路由设
31、计方案的规划。本题的解答思路如下。 (1)该集团公司网络建议设计方案采用分区域规划设计策略,模块化的区域设计便于后期的管理以及系统的扩展。该集团总部网络出口区域主要由 SDH 专网路由器 R1、Internet 出口路由器 R2 和 VPN 网关组成。其中,SDH 专网路由器 R1 主要负责SDH 传输专网的路由计算,通过 SDH 传输专网建立起集团总部与各分支机构(或二级单位)的主用专网链路。Internet 出口路由器 R2 的主要作用主要有 3 个方面:作为边界路由器,负责集团总部内部网和外部网(Internet)之间的路由计算;实施 NAT 地址转换,使集团总部内网用户能够访问 Int
32、ernet 及位于Internet 中的外网服务器,使普通的 Internet 用户能够访问位于集团总部外部服务器区域中的相关应用服务(如集团的 Web 站点等),同时使各分支机构(或二级单位)用户能够访问位于集团总部外部服务器区域中的相关应用服务(如集团的 E-mail 系统、FTP 服务器等);实施带宽管理策略,即充分保障每个集团总部内网用户访问 Internet 的公平性,从而使网络出口带宽不被个别员工(或个别业务应用,或诸如P2P、网络视频等应用服务)过分地占用。并且在为每个用户公平分配带宽的同时,也能够实施弹性带宽的管理策略,即能够保证具有高优先级的业务应用出口带宽的同时,在访问 I
33、nternet 的信息点数量较少时,每用户可以分配到较大的出口带宽;在访问 Internet 的信息点数量较多时,每用户则平均分配出口带宽。该集团公司共计 43 个直连分支机构(即 25+12+6=43)。为了实现集团总部与下属各个分支机构的安全互连,需要在总部及各分支机构出口处部署专业级 VPN 网关。在上图中,集团总部通过部署两台专业的高速VPN 网关,实现双机冗余。该 VPN 网关主要负责对各分支机构(或二级单位)用户进行身份认证(即鉴别用户的身份)、信息认证(即保证信息的完整性、合法性),基于隧道对访问位于集团总部内部服务器区域中的相关应用服务(如集团的财务记账系统、内部数据服务器等)
34、进行数据加密,并提供访问控制(即不同的用户具有不同的资源访问权限)等。另外,对于具有数据缓存功能的 VPN 网关,还能够节省分支机构访问集团总部资源的带宽资源,提升两者之间的数据传输速度。 为了实现上述功能,可以进行以下规划设计:SDH 专网区域全网设备运行 OSPF 动态路由协议,而 VPN 链路区域则配置低优先级的静态路由。当 SDH 链路出现故障时,OSPF 动态路由协议可以在较短的时间内学习到,并及时、自动地修正路由。此时静态路由就会在动态路由失效的情况下启用,从而实现 SDH 链路故障时自动启用 VPN 备份链路的功能。而当 SDH链路从故障中恢复时,OSPF 动态路由协议也会在较短
35、时间内更新自己的路由表,以接替静态路由的工作,从而实现 SDH 链路故障恢复时,自动从 VPN 备份链路切换回来的功能。整个切换过程无须网络管理员的协助,统一由网络系统自行完成。 SDH 和 VPN 两种广域网连接除了链路互为备份以外,其优势还在于:可以利用 SDH 技术先天的传输低时延特性和稳定性保障业务数据(特别是视频会议数据、项目管理系统数据、后期的财务系统数据)的优先传输;尽量少地占用 Internet 的带宽,以保障集团总部到 Internet的访问带宽等。(2).(1)每秒抓包数(pps)是上图中 NIDS 设备的主要性能指标之一。假设网络数据包的平均大小为 512B,上图中 NI
36、DS 设备某个接口在 10000pps 每秒抓包数的性能情况下,请计算该 NIDS 设备接口每秒能够处理的数据流量。 (2)上图中 NIDS 设备配置了 6 个千兆接口,请计算该 NIDS 设备的吞吐量至少需要达到多少Mpps,才能够确保所有端口均能线速工作,并提供无阻塞的数据交换? (3)结合你的网络规划设计经验,请简要叙述选购上图中 NIDS 产品时需要考虑的主要要点。(分数:11.00)_正确答案:(42.56Mbps 8.928Mpps 需要考虑的主要要点 价格; 性能指标(如每秒抓包数等); 是否通过了国家权威机构的评测; 特征库升级与维护的费用; 反躲避能力; 所支持的入侵特征数;
37、可伸缩性; 后期维护的响应方法; 运行与维护产品的开销(如技术人员数量)等)解析:设计本问题的目的是加深读者对网络安全设备性能指标及其选购要点的理解。本题的解答思路如下。(1)在上图核心交换区域中,部署了一台基于网络的入侵检测系统(NIDS),采用旁路方式接入网络。由于核心交换机采用双核心方式,且主干网络采用千兆方式,为保证网络不出现瓶颈及与防火墙之间的安全联动,该 IDS 设备配置了 6 个千兆接口,且支持标准的联动协议(IAP、OPSEC、IDEF、SNMP 等)。 每秒数据流量(Mbps 或 Gbps)和每秒抓包数(pps 或 Mpps)是两个反映网络入侵检测系统(NIDS)性能的重要指
38、标。其中,每秒数据流量是指网络上每秒通过某节点(或某个网络接口)的数据量。其单位一般使用 Mbps 或Gbps。NIDS 的基本结构由数据包捕获模块、网络协议分析模块、存取模块、告警数据库、入侵事件检测模块、规则解析模块和攻击特征库等组成。通常,NIDS 将网卡设置成“混杂模式”,以便收集网络中出现的数据帧。如果每秒数据流量超过网络传感器的处理能力,NIDS 就可能会丢包,从而不能正常检测攻击。但是 NIDS 是否会丢包,不是主要取决于每秒数据流量,而是主要取决于每秒抓包数。 每秒抓包数是指网络互连设备在不丢失任何数据包的情况下所能转发数据包的最大速率。它等于每秒网络流量除以网络数据包的平均大
39、小。其单位一般使用 pps 或 Mpps。例如,网络数据包的平均大小为 512B,NIDS 设备某个接口在 10000pps 每秒抓包数的性能情况下,系统每秒能够处理的数据流量可达到 10000pps(512+8+12)8bit=42.56Mbps。其中,在以上计算过程中考虑了 8B 帧头和 12B 帧间隙的固定开销。当数据流量超过42.56Mbps 时,就会因为 NIDS 系统处理过载而出现丢包现象。 (2)当 NIDS 设备的端口按理论上的最大值转发数据包时,就称该端口处于线速工作状态。由于以太网数据帧的最小长度为 64B,因此以太网包转发线速的衡量标准是以单位时间内发送 64B 的数据包
40、(最小包)的个数作为计算基准的。在考虑 8B 帧头和12B 帧间隙的固定开销情况下,一个线速的千兆以太网端口在转发 64B 包时的包转发率为 1.488Mpps,其具体计算过程如下。 * 若上图中 NIDS 设备配置了 6 个千兆接口,且要求所有端口均能线速工作,以提供无阻塞的数据交换,则该 NIDS 设备的吞吐量至少达到 61.488Mpps=8.928Mpps。 (3)在选购上图中NIDS 产品时,需要考虑的主要要点如下。 产品的价格。通常,需要在产品的性能价格比和所要保护的网络系统价值之间进行权衡。 产品的性能指标,如最大可处理的每秒抓包数、每秒数据流量、每秒能监控的网络连接数、每秒能够
41、处理的事件数(或事件处理引擎的性能参数、报警事件记录的性能参数)等。 产品是否通过了国家权威机构的评测。主要的权威测评机构有:国家信息安全测评认证中心、公安部计算机信息系统安全产品质量监督检验中心等。 产品特征库升级与维护的费用。入侵检测产品的特征库需要不断地实时更新,才能检测出新出现的攻击方法。 产品的反躲避能力。常用的躲开入侵检测的方法有:分片、TTL 欺骗、异常 TCP 分段、慢扫描、协同攻击等。 产品支持的入侵特征数。不同厂商对检测特征库大小的计算方法都不一样,因此不能偏听一面之辞。 产品的可伸缩性,即产品所支持的传感器数目、最大数据库大小、传感器与控制台之间通信带宽和对审计日志溢出的
42、处理等。 产品后期维护的响应方法。需要从本地现场技术支持、本地电话支持、远程电话支持、远程桌面技术支持等多个角度进行综合考察。 运行与维护产品的开销。产品报表结构、处理误报的方便程度、事件与事志查询的方便程度以及使用该入侵检测产品所需的技术人员数量。(3).集团总部要求对进出集团内部的电子邮件、网页等信息进行扫描和杀毒,防止计算机病毒或木马的传播和感染。在不增加任何网络设备情况下,该需求最可能在上图中哪种网络设备上实现?在上图中,该设备还承担了哪些主要功能?(分数:11.00)_正确答案:(上网行为管理设备 对进出集团总部的数据包进行监控和审计,提供用户上网行为分析、信息内容审计、网页访问过滤
43、、网络应用控制、带宽流量管理等功能)解析:设计本问题的目的是加深读者对上网行为管理设备功能的理解。本题所涉及的知识点如下。 在上图所示的集团总部 Internet 链路上,部署一台上网行为管理设备,对进出集团内部数据包进行监控和审计。同时,可以在该设备中内嵌硬件防毒墙功能,对通过 Internet 和 VPN 的进入集团内部的电子邮件、网页信息等进行扫描和杀毒,防止计算机病毒或木马的传播和感染。 通常,上网行为管理设备内置行业中比较全面的应用识别规则库和最大的网页地址库,结合深度内容检测技术、网页智能识别等专利技术,提供用户上网行为分析、信息内容审计、网页访问过滤、网络应用控制、带宽流量管理、
44、日志管理,详见下表。 B上网行为管理设备功能/B功能说明上 随网行为分析着互联网上的活动带来病毒情况愈演愈烈,实时掌握员工互联网使用状况可以避免很多隐藏的风险。通过上网行为管理产品,用户可以实时了解、统计、分析互联网使用状况,并根据分析结果对管理策略做调整和优化信息内容审计发邮件、泡BBS、写Blog、聊IM已经司空见惯,然而信息的机密性、健康性、政治性等问题也随之而来。通过上网行为管理产品,用户可以制定全面的信息收发监控策略,有效控制关键信息的传播范围,以及规避可能引起的法律风险网页访问过滤互联网上的网页资源非常丰富,如果员工长时间访问内嵌计算机病毒或木马的色情、博彩等具有高度安全风险的网页
45、,以及网上购物、聊天、炒股等与工作无关的网页,将极大地降低生产效率。通过上网行为管理产品,用户可以根据行业特征、业务需要和企业文化来制定个性化的网页访问策略,过滤与业务工作无关的网页网络应用控制聊天、看网络视频、玩游戏、炒股等Internet应用可谓五花八门,如果员工长期沉迷于这些应用,这也将成为企业生产效率的巨大杀手,并可能造成网速缓慢、信息外泄。通过上网行为管理产品,用户可以制定有效的网络应用控制策略,封堵与业务无关的网络应用,引导员工在合适的时间做合适的事带宽流量管理P2P下载、在线游戏、在线视频等都在抢占着有限的带宽资源。面对日益紧张的带宽资源,除了增加预算扩充带宽之外,企业还可以通过上网行为管理产品来合理分配、管理带宽。通过制定精细的带宽管理策略,对不同岗位的员工、不同网络应用划分带宽通道,并设定优先级,合理利用有限的带宽资源,节省投入成本日志管理通过日志的分类显示
