1、网络规划设计师-逻辑网络设计及答案解析(总分:99.99,做题时间:90 分钟)一、B论述题/B(总题数:4,分数:100.00)阅读下列有关企业发展和企业网络建设的说明,根据要求回答问题。说明某企业最初只有一个办公地点,所有人员都集中在一个相对较小的封闭空间进行工作。由于是小型企业,社会影响不大,因此对安全性要求不高,主要目标是以最小的代价(费用)实现联网和访问互联网(Internet),企业内部无对外提供的任何互联网服务。后来,随着企业不断发展,其网络建设也不断升级更新。(注:以下问题均不考虑无线网络技术)(分数:24.00)(1).假定初期员工不超过 50 人,所有员工工作在同一楼层的不
2、同房间,对互联网的访问带宽需求小于2Mbps,且主要为进入企业内部的流量。 针对该企业网络建设,请从下面几个方面简要说明网络设计内容及依据:(1)网络结构;(2)物理层技术选择;(3)局域网技术选择;(4)广域网技术选择;(5)网络地址规划。(分数:8.00)_(2).假定企业发展为中等规模,人数不超过 1000 人,所有员工在同一城市的不同地域工作。企业目前分为一个总部和三个分部(分布范围都不超过 2km),总部人数不超过 400 人,分部人数不超过 200 人。企业与互联网采用统一对外接口,带宽需求规模为 100Mbps 以内,且流入数据量和流出数据量基本均衡;企业总部和分部之间的数据流量
3、小于 1000Mbps。由于企业规模较大,对网络的依赖度大大增加,要求分部到总部和总部至互联网出口有备份,以增加网络的健壮性和可用性。 请从下面 3 个方面简要给出总部/分部网络和企业整体网络的结构和设计要点:(1)网络结构;(2)物理层和局域网技术选择;(3)接入互联网技术选择。(分数:8.00)_(3).如果企业规模扩大 10000 人,需要对外提供互联网服务(服务器的域名与 IP 一一对应),对内提供企业内部服务,并允许员工访问互联网。假定企业总部和分部数量有 50 个,总部最多 500 人,分部最多400 人。企业组织机构有 10 个(如行政管理、生产、销售等),每个机构在总部或单个分
4、部最多 60 人。 (1)请简要分析该企业网络的网络地址类型及规模。 (2)考虑管理便利、信息相互隔离和路由聚合等因素,请说明应如何规划该企业网络的子网层次。 (3)举例说明如何进行子网划分(子网划分举例必须能够看出子网划分的规律,至少给出三个以上的子网号)。(分数:8.00)_阅读以下关于某机构网络的叙述,根据要求回答问题。说明某机构打算新建一个网络,其中有内部办公计算机若干台,内部数据库服务器1 台,内部文件传输(FTP)服务器 1 台,网页(Web)服务器 1 台,邮件服务器 l台。要求能对外提供万维网(WWW)访问和邮件服务,内部办公计算机、内部数据库和文件传输(FTP)服务器对外不可
5、见。(分数:24.00)(1).请划分该机构网络的安全区域和安全级别,说明各机器属于哪个区域和级别。(分数:8.00)_(2).为提高安全性,请设计该机构网络的防火墙方案,并给出防火墙的相关规则的配置策略。(分数:8.00)_(3).如果想要监听、检测内部办公计算机之间的连接和攻击,应该在何位置配置何种设各?(分数:8.00)_阅读以下关于某电子政务网络平台的叙述,根据要求回答问题。说明某省准备建立电子政务网络平台,实现全省上下各级部门之间的信息交换和资源共享。遵照国家信息化领导小组关于推进国家电子政务网络建设的意见的要求,电子政务网络分为电子政务外网和电子政务内网,该省即将建设的网络平台被定
6、性为“非涉密”的电子政务外网。在第一期工程中,主要建设覆盖省直部门和各地市州的电子政务外网。电子政务外网是办公自动化、行政审批、电子监察等跨部门应用系统的运行网络,还是一个网络承载平台,可以承载各类 VPN。例如,在当前的省级外网平台建设中,外网平台就需要承载两个VPN:(1)互连各个部门的国库支付 VPN;(2)互连各个部门的视频监控 VPN。(分数:24.99)(1).电子政务外网承载 VPN,可以采用 L2TP、MPLS VPN、IPSec 三类技术,请对三种技术进行比较,将有关内容填入表 1 的空白中(备注档不用填)。 B表 1 VPN 技术比较/B比较项目 L2TPMPLS VPNI
7、PSec 对隧道的协议层次进行比较隧道协议层次 对隧道的协议层次进行比较是否支持数据加密设备的要求比较网络核心、边缘设备的协议支持要求是否支持移动 VPN 客户端(分数:8.33)_(2).各地市州、各省直部门在接入电子政务外网平台时,需要配置接入路由器、防火墙、前置服务器,请考虑如下连接要求,并添加相应的连接线路或设备,给出接入电子政务外网的设备连接图。 (1)部门网络与电子政务外网之间为逻辑隔离。 (2)部门应用系统主动把数据推送至前置服务器,数据中心在进行数据获取时,不允许进入部门网络。 (3)在调试防火墙的各类过滤规则时,不会对电子政务外网的路由造成影响。 (4)可根据用户负载的需要,
8、随时添置前置服务器。(分数:8.33)_(3).如图 1 所示,采用 MPLS VPN 技术,省级电子政务外网平台承载了两个 VPN,分别为国库支付 VPN 和视频监控 VPN。请从以下方面描述电子政务外网 PE 路由器上的 MPLSVPN 配置内容。(1)VPN 接口配置。(2)PE-CE 配置。(3)OSPF 配置。(4)MPLS 配置。(分数:8.33)_阅读以下关于某市行政审批服务中心网络规划的叙述,回答问题。说明某市行政审批服务中心大楼内涉及几类网络:互联网(Internet)、市电子政务专网、市电子政务外网、市行政审批服务中心大楼内局域网以及各部门业务专网。行政审批服务中心网络规划
9、工作组计划以市电子政务专网为基础,建设市级行政审批服务中心专网(骨干万兆、桌面千兆)。大楼内部署 5 套独立链路,分别用于连接政务外网、政务专网、大楼内局域网、互联网和涉密部门内网。行政审批服务中心网络结构(部分)如图所示。(分数:27.00)(1).请指出上图中的安全接入平台中可采用的技术或安全设备有哪些。(分数:9.00)_(2).上图中 DMZ 区交换机共提供 12 个千兆端口和 8 个百兆端口,请问该交换机的吞吐量至少达到多少Mpps,才能够确保所有端口均能线速工作,并提供无阻塞的数据交换。(分数:9.00)_(3).市行政审批服务中心大楼监控系统采用目前国际上最先进的 IP 智能监控
10、架构,并且能和门禁系统、报警系统、车牌管理系统进行联动。大楼监控系统可提供实时监控、存储和随时调看 CIF 格式(352288像素)和 D1 格式(720576 像素)分辨率的图像,支持 MPEG-2、MPEG-4、H.264 等编码格式,尤其是在高动态图像监控场合,可以提供广播级的高清图像质量,满足市大楼安防监控的要求。 (1)大楼内预计共有监控点 500 个,如果保存的是 CIF 格式的图像,码流为 512Kbps,请计算每小时保存楼内全部监控点视频流需要多大的存储空间(Bytes 或 GB)。 如果保存的是 D1 格式的图像,码流为 2048Kbps,请计算每小时保存楼内全部监控点视频流
11、需要多大的存储空间(Bytes 或 GB)。 (2)系统实施时,图像格式采用了 CIF,码流为 512Kbps,请计算保存楼内全部监控点 30 天的视频流需要的存储空间(Bytes、GB 或 TB)。 全部监控视频流信息保存在 IP SAN 设备 S2600 中,S2600 控制框(双控,220V 交流,4GB 内存,8*GE iSCSI 主机接口,磁盘数量 12 个/框,最大支持附加 7 个磁盘扩展框)。假设在本项目中采用 SATA 1TB 7.2K RPM 硬盘,在 IP SAIN 配置的 RAID 组级别为 RAID10。 请指出 RAID10 的磁盘利用率,并计算出保存 30 天视频流
12、至少需要的硬盘数,以及至少需要配置的 S2600 控制框数量。 (3)假设在 IP SAN 设备中创建了 2 个RAID 组 RAID001 和 RAID002。其中,RAID001 组采用 RAID5,包含 6 个磁盘;RAID002 组采用 RAID6,包含8 个磁盘。请分别计算这两个 RAID 组的磁盘的利用率。(分数:9.00)_网络规划设计师-逻辑网络设计答案解析(总分:99.99,做题时间:90 分钟)一、B论述题/B(总题数:4,分数:100.00)阅读下列有关企业发展和企业网络建设的说明,根据要求回答问题。说明某企业最初只有一个办公地点,所有人员都集中在一个相对较小的封闭空间进
13、行工作。由于是小型企业,社会影响不大,因此对安全性要求不高,主要目标是以最小的代价(费用)实现联网和访问互联网(Internet),企业内部无对外提供的任何互联网服务。后来,随着企业不断发展,其网络建设也不断升级更新。(注:以下问题均不考虑无线网络技术)(分数:24.00)(1).假定初期员工不超过 50 人,所有员工工作在同一楼层的不同房间,对互联网的访问带宽需求小于2Mbps,且主要为进入企业内部的流量。 针对该企业网络建设,请从下面几个方面简要说明网络设计内容及依据:(1)网络结构;(2)物理层技术选择;(3)局域网技术选择;(4)广域网技术选择;(5)网络地址规划。(分数:8.00)_
14、正确答案:(1)由于网络规模较小,因此建议采用单核心局域网结构。配置一台核心二层(或三层)交换机,由分布在不同房间的多台普通交换机共同组成接入层。依据:这种网络结构易于扩展和升级。 (2)物理层技术选择:传输介质建议选择 5 类 UTP(或超 5 类 UTP);网卡建议选择 10/100M 网卡。依据:所有员工在同一楼层办公,且网络通信流量相对较小。 (3)局域网技术选择:10/100/1000M 以太网技术。依据:技术成熟,性价比高,应用广泛。 (4)广域网技术选择:建议申请电信运营商的 ADSL 接入 Internet(或选用光纤同轴电缆混合网(HFC)接入 Internet)。依据:初期
15、无须对外提供互联网服务,入流量大于出流量。(5)地址规划:目前无须公网地址,采用一个 C 类私网 IP 地址进行地址分配。依据:企业初期人数最多50 人。若每个业务部门(或房间)需要安全逻辑隔离,则可以使用 VLAN 技术并划分 IP 子网)解析:这是一道要求读者掌握逻辑网络设计之网络结构设计、物理层技术选择、局域网技术选择、广域网技术选择、IP 地址规划设计的综合应用题。本题的解答思路如下。依题意,由于该企业初期所有员工在同一楼层的不同房间办公,且总人数不超过 50 人,即从其 网络需求 分析,网络规模较小,因此结合项目工程经验,建议该企业初期采用如图 1 所示的单核心局域网结构。*图 1
16、某企业初期单核心局域网结构图(示例)由于该局域网(LAN)的用户数较少,“对互联网的访问带宽需求小于 2Mbps,且主要为进入企业内部的流量”,即 LAN 内部的通信流量相对较小。综合考虑组网的扩展性、性价比等因素,在图所示的网络结构中,可以在核心层配置一台 16 个电端口的普通二层交换机(或三层交换机),在相应的房间内共配置 3 台 16 个电端口的普通二层交换机组成接入层。通常,同一楼层的物理长度不会超过 200m。由于该企业所有员工在同一楼层的不同房间办公,通过合理选择核心层交换机所在的房间,则核心层交换机到每一台接入层交换机的物理长度不会超过 100m,接入层交换机到每一台计算机的物理
17、长度也不会超过 100m。而且在无特殊业务应用的情况下,该 LAN 的通信流量可能不会超过 100Mbps。因此建议整个 LAN 采用技术成熟、性价比高、应用广泛的 10/100/1000Mbps以太网技术(例如 100BASE-Tx),网络传输介质建议选择 5 类(或超 5 类)非屏蔽双绞线(UTP);每一台计算机的网卡建议选择 10/100Mbps 以太网卡。由于“企业内部无对外提供的任何互联网服务”,且“对互联网的访问带宽需求小于 2Mbps,且主要为进入企业内部的流量”,而基于 GDMT 标准的非对称数字用户线(ADSL)最高上行、下行数速率分别为1.5Mbps、8Mbps,即 8Mb
18、ps2Mbps。因此建议该企业的广域网技术选择向电信运营商申请 ADSL 来接入Internet。由于该企业初期“对安全性要求不高”,因此在图 1 的核心层交换机与 ADSL Modem 之间没有配置一台防火墙进行安全逻辑隔离。此外,该企业还可以选用光纤同轴电缆混合网(HFC)接入Internet,HFC 接入技术的最高上行、下行数速率分别为 10Mbps、30Mbps。由于“企业内部无对外提供的任何互联网服务”,因此该企业初期无须向运营商申请公网 IP 地址。而该企业初期人数最多为 50 人,因此该 LAN 可以使用一个 C 类私网 IP 地址进行地址规划。例如,按192.168.n.X/Y
19、 的模式进行相关的 IP 地址分配。其中,n 表示同一单位的不同业务部门(或房间),X 表示同一个部门(或房间)中不同的计算机,/Y 表示子网掩码的长度(例如 1/24)。如果每个业务部门(或房间)需要安全逻辑隔离,则可以使用虚拟局域网(VLAN)技术并划分 IP 子网来实现。例如,将市场部的所有计算机划分到 VLAN2,将财务部的所有计算机划分到 VLAN3 等。(2).假定企业发展为中等规模,人数不超过 1000 人,所有员工在同一城市的不同地域工作。企业目前分为一个总部和三个分部(分布范围都不超过 2km),总部人数不超过 400 人,分部人数不超过 200 人。企业与互联网采用统一对外
20、接口,带宽需求规模为 100Mbps 以内,且流入数据量和流出数据量基本均衡;企业总部和分部之间的数据流量小于 1000Mbps。由于企业规模较大,对网络的依赖度大大增加,要求分部到总部和总部至互联网出口有备份,以增加网络的健壮性和可用性。 请从下面 3 个方面简要给出总部/分部网络和企业整体网络的结构和设计要点:(1)网络结构;(2)物理层和局域网技术选择;(3)接入互联网技术选择。(分数:8.00)_正确答案:(1)网络结构设计:整个企业网络建议采用双核心分层网络结构;总部局域网和各分部局域网采用双核心局域网结构;配备双核心路由器对外与 Internet 互连,双核心三层交换机对内与分部局
21、域网的双汇聚交换机(或路由器)互连。 (2)物理层和局域网技术选择:总部局域网和分部局域网采用:10/100/1000M 以太网技术,传输介质选用超 5 类 UTP 或多模光纤;总部局域网和分部局域网之间采用1000Base-LX(或 1000BaseZX)以太网技术互连,传输介质选用单模光纤。 (3)接入互联网技术选择:100Mbps 以太网接入,或 1Gbps 以太网接入,或以太无源光网络(EPON)接入)解析:这也是一道要求读者掌握逻辑网络设计之可扩展性网络结构设计、物理层技术选择、局域网技术选择和广域网技术选择的综合应用题。本题的解答思路如下。依题意,该企业中期的主要网络需求“企业与互
22、联网采用统一对外接口”、“要求分部到总部和总部至互联网出口有备份,以增加网络的健壮性和可用性”,且总部及分部的员工人数为中等规模,网络规模中等,因此结合项目工程经验,建议该企业中期采用如图 2 所示的双核心分层网络结构。在图 2 所示的总部网络结构中,通过部署两台核心三层交换机、两台边界路由器及其相关的双链路,实现总部至 Internet 出口的备份要求。两台核心层交换机与总部、各分部汇聚层交换机之间分别采用双链路连接,实现核心结点、汇聚结点、线路 N+1 冗余设计。两台核心三层交换机之间、各汇聚层交换机之间采用多链路捆绑技术(如链路汇聚控制协议 LCAP 等)来提高主干道的吞吐量,以及实现冗
23、余设计。当总部(或各分部)的两台汇聚交换机之间运行冗余网关协议(如 VRRP、HSRP、GLBP 等)时,这两台汇聚交换机工作在热备份方式,当任何一台汇聚交换机出现故障时,网关及路由层面可以实现无缝热切换,网络用户无须修改任何网络配置参数仍可以访问网络中的服务器(或访问 Internet)。从路由层面考虑,图 2 所示的网络结构路径选择比较灵活,可以有多条备选路径,易于实现网络流量的负载均衡,且便于今后扩展。*图 2 某企业中期双核心分层网络结构图(示例)结合项目工程经验,建议该企业总部局域网和各分部局域网都采用技术成熟、性价比高、应用广泛的100/1000Mbps 以太网技术(例如 100B
24、ASE-Tx、1000Base-T、1000Base-Sx);每一台计算机的网卡建议选择100Mbps 以太网卡;内部服务器建议选择 1000Mbps 以太网卡;计算机与接入交换机之间的传输介质建议选择超 5 类(或 6 类)非屏蔽双绞线(uTP);接入交换机与汇聚交换机、内部服务器与汇聚交换机(或核心交换机)之间的传输介质建议选择 6 类非屏蔽双绞线(UTP,网络覆盖范围可达 100m)或多模光纤(MMF,网络覆盖范围可达 550m)。基于 IEEE 802.3z 标准的千兆以太网 1000Base-LX 采用 62.5m 或 50m 单模光纤(工作波长为 1300nm)时,半双工工作模式的
25、网络覆盖范围为 316m,全双工工作模式的网络覆盖范围可达 5km。由于“总部和三个分部的分布范围都不超过 2km”,且“企业总部和分部之间的数据流量小于 1000Mbps”,5km2km550m,因此建议总部核心三层交换机与各分部汇聚交换机之间采用 1000Base-LX(或1000BaseZX)以太网技术互连。由于“企业与互联网带宽需求规模为 100Mbps 以内,且流入数据量和流出数据量基本均衡”,因此建议该企业的广域网技术选择向电信运营商申请 100Mbps 光纤接入 Internet。此外,该企业还可以选用EPON(基于以太网的 PON)接入 Internet。EPON 采用树型拓扑
26、结构、ODN(光分配网络)级联、单纤双向的传输模式。目前,EPON 的数据率为 1Gbps,未来可达 10Gbps。(3).如果企业规模扩大 10000 人,需要对外提供互联网服务(服务器的域名与 IP 一一对应),对内提供企业内部服务,并允许员工访问互联网。假定企业总部和分部数量有 50 个,总部最多 500 人,分部最多400 人。企业组织机构有 10 个(如行政管理、生产、销售等),每个机构在总部或单个分部最多 60 人。 (1)请简要分析该企业网络的网络地址类型及规模。 (2)考虑管理便利、信息相互隔离和路由聚合等因素,请说明应如何规划该企业网络的子网层次。 (3)举例说明如何进行子网
27、划分(子网划分举例必须能够看出子网划分的规律,至少给出三个以上的子网号)。(分数:8.00)_正确答案:(1)由于该企业员工总数约为 1 万人,综合考虑每人平均一个 IP 地址再加上服务器 IP 地址、网络设备管理 IP 地址等因素,因此建议使用 B 类私网地址块 172.16.0.0/16172.32.0.0/16 中的任意一个进行 IP 地址规划 (2)先将所选用的 B 类私网地址块划分出 50 个以上的子网,且这些子网要能满足两个条件:每个子网至少包含 500 个可用的 IP 地址;能够继续划分出 10 个新子网,每个新子网至少包含60 个可用的 IP 地址。 (3)以 172.16.0
28、.0/16 为例,第 1 次子网划分之后采用/22(或 255.255.252.0)的子网掩码,即把该 B 类地址块划分出 64 个子网以满足“企业总部和分部数量有 50 个”的需求;每个子网最多可以包含。1022 个可用 IP 地址,能满足总部(或分部)每人一个 IP 地址的划分需求。 第 1 个子网:172.16.0.0/22 第 2 个子网:172.16.4.0/22 第 3 个子网:172.16.8.0/22 第 49 个子网:172.16.192.0/22 第 50 个子网:172.16.196.0/22 第 63 个子网:172.16.248.0/22 第 64 个子网:172.1
29、6.252.0/22 第 2 次子网划分之后采用/26(或 255.255.255.192)的子网掩码,每个子网再划分出 16个新子网以满足 10 个部门机构的划分需求;每个新子网最多可以包含 62 个可用 IP 地址,能满足每个机构每人一个 IP 地址的划分需求。以 172.16.0.0/22 为例说明新子网划分的规律: 第 1 个新子网:172.16.0.0/26 第 2 个新子网:172.16.0.64/26 第 3 个新子网:172.16.0.128/26 第 9 个新子网:172.16.2.0/26 第 10 个新子网:172.16.2.64/26 第 15 个新子网:172.16.
30、3.128/26 第 16 个新子网:172.16.3.192/26)解析:这是一道要求读者掌握可变长子网规划设计的综合应用题。本题的解答思路如下。依题意,由于该企业员工总数约为 1 万人,综合考虑每位员工平均一个 IP 地址,再加上对外提供互联网服务的公网服务器 IP 地址、对内提供企业内部服务的内部服务器 IP 地址、网络设备管理 IP 地址等因素,因此建议该企业使用一个 B 类私网地址块进行 IP 地址规划。因为一个 B 类地址块的网络号为 16 位,主机号为 16 位,其可实际分配的 IP 地址数=2 16-2=6553410000。具体而言,可以选择172.16.0.0/16172.
31、31.0.0/16 中的任意一个地址块进行 IP 地址规划。由题干给出的关键信息“企业总部和分部数量有 50 个”,再加上内部服务器网段、网络设备管理网段等情况,可知该企业 IP 地址规划时至少需要 50 个以上的子网。而由“总部最多 500 人,分部最多 400 人”等关键信息间接可知,每个子网至少要包含 500 个可实际分配的 IP 地址。由“企业组织机构有 10 个(如行政管理、生产、销售等),每个机构在总部或单个分部最多 60 人”等关键信息间接可知,第次划分的每个子网要能继续划分出 10 个新子网(例如企业总部子网需要依据 10 个组织机构分别划分出 10 个对应的新子网),且每个新
32、子网要能提供 60 个可实际分配的 IP 地址。下面以地址块 172.16.0.0/16 为例说明该企业子网划分的规律。在地址块 172.16.0.0/16 中,“/16”表示子网掩码为 16 位掩码,即 255.255.0.0。由于 26=64502 5=32,因此需要借用 6 位主机号作为第一次划分的子网号,才能满足“总部子网+分部子网+内部服务器子网+其他子网”50 个以上子网的需求。此时所对应的子网掩码为“/(16+6)”或“/22”,即 255.255.252.0。其中,每个子网的主机号为 10 位,其可实际分配的 IP 地址数=2 10-2=1022500400,即能够满足总部/分
33、部子网 IP 地址数的需求。子网掩码 255.255.252.0 的二进制数形式:*地址块 172.16.0.0 的二进制数形式:10101100.00010000.00000000.00000000第 1 个子网的二进制数形式:*,即 172.16.0.0/22(阴影部分表示子网号部分,即所借用的主机号部分)第 2 个子网的二进制数形式:*,即 172.16.4.0/22第 3 个子网的二进制数形式:*,即 172.16.8.0/22第 49 个子网的二进制数形式:*,即 172.16.192.0/22第 50 个子网的二进制数形式:*,即 172.16.196.0/22第 63 个子网的二
34、进制数形式:*,即 172.16.248.0/22第 64 个子网的二进制数形式:*,即 172.16.252.0/22同理,由于 24=16102 3=8,因此需要继续借用 4 位主机号作为第 2 次划分的子网号,才能满足“每个子网继续划分出 10 个新子网”的需求。此时所对应的子网掩码为“/(16+6+4)”或“/26”,即255.255.255.192。其中,每个新子网的主机号为 6 位,其可实际分配的 IP 地址数=2 6-2=6260,即能够满足“每个机构在总部或单个分部最多 60 人”的 IP 地址数需求。下面以地址块 172.16.0.0/22 为例说明新子网划分的规律。子网掩码
35、 255.255.255.192 的二进制数形式:*地址块 172.16.0.0/22 的二进制数形式:*第 1 个新子网的二进制数形式:*,即 172.16.0.0/26(阴影部分表示新子网号部分)第 2 个新子网的二进制数形式:*,即 172.16.0.64/26第 3 个新子网的二进制数形式:*,即 172.16.0.128/26第 9 个新子网的二进制数形式:*,即 172.16.2.0/26第 10 个新子网的二进制数形式:*,即 172.16.2.64/26第 15 个新子网的二进制数形式:*,即 172.16.3.128/26第 16 个新子网的二进制数形式:*,即 172.16
36、.3.192/26阅读以下关于某机构网络的叙述,根据要求回答问题。说明某机构打算新建一个网络,其中有内部办公计算机若干台,内部数据库服务器1 台,内部文件传输(FTP)服务器 1 台,网页(Web)服务器 1 台,邮件服务器 l台。要求能对外提供万维网(WWW)访问和邮件服务,内部办公计算机、内部数据库和文件传输(FTP)服务器对外不可见。(分数:24.00)(1).请划分该机构网络的安全区域和安全级别,说明各机器属于哪个区域和级别。(分数:8.00)_正确答案:(建议将该机构网络划分为 3 个不同安全级别的安全区域: 内部网络:安全级别最高,是可信的、重点保护的区域,用于部署内部办公计算机、
37、内部数据库服务器和内部文件传输(FTP)服务器; 外部网络:安全级别最低,是不可信的、要防备的区域,Internet 上的用户主机和公用设备等属于该区域; DMZ 区域(非军事化区):安全级别中等,是受一定的保护的区域,用于部署网页(Web)服务器和电子邮件服务器)解析:这是一道要求读者掌握逻辑网络设计之网络安全设计的综合分析题。本题解答思路是: 依题意,可以将该机构网络划分为 3 个不同安全级别的安全区域: 内部网络区域:安全级别最高,是可信的(Trust)、重点保护的区域。该区域用于部署对外不可见的所有的内部办公计算机、内部数据库服务器和内部文件传输(FTP)服务器。 外部网络区域:安全级
38、别最低,是不可信的(Untrust)、要防备的区域。Internet 上的用户主机、服务器和公用设备等归属于该区域。 DMZ 区域(非军事化区):安全级别中等,因为需要对外开放某些特定的服务和应用,受一定保护的区域。该区域用于部署对外提供万维网(WWW)服务的 Web 服务器,以及提供电子邮件服务的 E-mail 服务器等。(2).为提高安全性,请设计该机构网络的防火墙方案,并给出防火墙的相关规则的配置策略。(分数:8.00)_正确答案:(建议选用被屏蔽子网体系结构防火墙方案,如解析图所示。 防火墙相关规则的配置策略 外部屏蔽路由器的访问策略:允许外部网络用户访问 DMZ 区 Web 服务器提
39、供的 WWW 服务、电子邮件服务器提供的邮件服务,其他禁止; 内部屏蔽路由器的访问策略:允许内部网络用户访问外部网络,不允许外部网络用户访问内部网络;允许内部网络用户访问 DMZ 网络,不允许 DMZ 网络用户访问内部网络)解析:这是一道要求读者掌握防火墙方案设计及其 ACL 策略配置的综合分析题。本题的解答思路如下。防火墙是一种逻辑隔离的网络安全设备,其最基本的功能就是控制在计算机网络中,不同信任程度区域之间传送的数据流,以避免安全策略中禁止的一些通信。防火墙的经典体系结构主要有 3 种形式:双重宿主主机体系结构;被屏蔽主机体系结构;被屏蔽子网体系结构。根据该机构的具体网络需求,建议选用被屏
40、蔽子网体系结构防火墙方案,如图所示。*某机构的网络结构图在上图所示的防火墙方案中,外部屏蔽路由器主要用于保护 DMZ 网络和内部网络,是本防火墙体系结构的第 1 道屏障。在其上设置了对 DMZ 网络和内部网络进行访问的过滤规则,该规则主要针对外网用户。例如:限制外网用户只能访问 DMZ 网络的 Web 服务、电子邮件服务而不能访问内部网络。内部屏蔽路由器用于隔离 DMZ 网络和内部网络,是本防火墙体系结构的第 2 道屏障。在其上设置了针对内部用户的访问过滤规则,对内部用户访问 DMZ 网络和外部网络进行限制。例如,允许内部网络用户访问外部网络(即 Internet),不允许外部网络用户访问内部
41、网络;允许内部网络用户访问 DMZ 网络,不允许 DMZ 网络用户访问内部网络。DMZ 网络允许对外部用户提供 WWW、E-mail 等应用服务,并接受来自外部网络用户的服务资源访问请求。简而言之,外网、DMZ、内网三者之间的访问关系,应满足:外网可访问 DMZ,不能访问内网;DMZ 可访问外网,不能访问内网;内网可访问外网和 DMZ。(3).如果想要监听、检测内部办公计算机之间的连接和攻击,应该在何位置配置何种设各?(分数:8.00)_正确答案:(配置一台基于网络的入侵检测系统(NIDS)(或 IDS),部署在与被监控的内部办公计算机的同一 VLAN 的交换机端口中(或者部署在内网核心交换机
42、的某个端口中)解析:这是一道要求读者掌握入侵检测系统的功能及其部署的综合分析题。本题解答思路是: 入侵检测系统(IDS)是一种主动保护自己的网络安全技术,它能依照一定的安全策略,通过软、硬件,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,并根据监视结果进行警报等响应,以保证网络系统资源的机密性、完整性和可用性。因此,若想要监听、检测内部办公计算机之间的连接和攻击,则可以在内部网络核心交换机的某个端口中连接一台基于网络的 IDS(NIDS)(见上图),或者将 NIDS 部署在被监控的内部办公计算机的同一 VLAN 中。NIDS 将网卡设置成“混杂模式”,以便收集网
43、络中出现的数据帧。NIDS 担负着保护整个网段的任务。它不停地监视网段中的各种数据包,对每一个可疑的数据包进行特征分析:若数据包与内置的某些规则吻合,则发出警报甚至直接切断网络连接。阅读以下关于某电子政务网络平台的叙述,根据要求回答问题。说明某省准备建立电子政务网络平台,实现全省上下各级部门之间的信息交换和资源共享。遵照国家信息化领导小组关于推进国家电子政务网络建设的意见的要求,电子政务网络分为电子政务外网和电子政务内网,该省即将建设的网络平台被定性为“非涉密”的电子政务外网。在第一期工程中,主要建设覆盖省直部门和各地市州的电子政务外网。电子政务外网是办公自动化、行政审批、电子监察等跨部门应用
44、系统的运行网络,还是一个网络承载平台,可以承载各类 VPN。例如,在当前的省级外网平台建设中,外网平台就需要承载两个VPN:(1)互连各个部门的国库支付 VPN;(2)互连各个部门的视频监控 VPN。(分数:24.99)(1).电子政务外网承载 VPN,可以采用 L2TP、MPLS VPN、IPSec 三类技术,请对三种技术进行比较,将有关内容填入表 1 的空白中(备注档不用填)。 B表 1 VPN 技术比较/B比较项目 L2TPMPLS VPNIPSec 对隧道的协议层次进行比较隧道协议层次 对隧道的协议层次进行比较是否支持数据加密设备的要求比较网络核心、边缘设备的协议支持要求是否支持移动 VPN 客户端(分数:8.33)_