[计算机类试卷]2011年下半年软件水平考试（高级）网络规划设计师下午（案例分析）试题真题试卷及答案与解析.doc

资源描述

1、2011年下半年软件水平考试（高级）网络规划设计师下午（案例分析）试题真题试卷及答案与解析一、试题一 0 阅读下列有关企业发展和企业网络建设的说明，回答问题 1至问题 3，将解答填入答题纸的对应栏内。说明某企业最初只有一个办公地点，所有人员都集中在一个相对较小的封闭空间进行工作。由于是小型企业，社会影响不大，所以对安全性要求不高，主要目标是以最小的代价 (费用 )实现联网和访问互联网 (Internet)，企业内部无对外提供的任何互联网服务。后来，随着企业不断发展，其网络建设也不断升级更新。 (注：以下问题均不考虑无线网络技术 ) 1 假定初期员工不超过 50人，所有员工工作在同一楼层

2、的不同房间，对互联网的访问带宽需求小于 2Mbps，且主要为进入企业内部的流量。针对该企业网络建设，请从下面几个方面简要说明网络设计内容及依据： (1)网络结构； (2)物理层技术选择； (3)局域网技术选择； (4)广域网技术选择； (5)网络地址规划。 2 假定企业发展为中等规模，人数不超过 1000人，所有员工在同一城市的不同地域工作。企业目前分为一个总部和三个分部 (分布范围都不超过 2km)，总部人数不超过 400人，分部人数不超过 200人。企业与互联网采用统一对外接口，带宽需求规模为 100Mbps以内，且流入数据量和流出数据量基本均衡；企业总部和分部之间的数据流量小于 100

3、0Mbps。由于企业规模较大，对网络的依赖度大大增加，要求分部到总部和总部至互联网出口有备份，以增加网络的健壮性和可用性。请从下面 3 个方面简要给出总部 /分部网络和企业整体网络的结构和设计要点： (1)网络结构； (2)物理层和局域网技术选择； (3)接入互联网技术选择。 3 如果企业规模扩大到 10000人，需要对外提供互联网服务 (服务器的域名与 IP一一对应 )，对内提供企业内部服务，并允许员工访问互联网。假定企业总部和分部数量有 50个，总部最多 500人，分部最多 400人。企业组织机构有 10个 (如行政管理、生产、销售等 )，每个机构在总部或单个分部最多 60人。 (1)

4、请简要分析该企业网络的网络地址类型及规模。 (2)考虑管理便利、信息相互隔离和路由聚合等因素，请说明应如何规划该企业网络的子网层次。 (3)举例说明如何进行子网划分 (子网划分举例必须能够看出子网划分的规律，至少给出三个以上的子网号 )。二、试题二 3 阅读下列说明，回答问题 1至问题 4，将解答填入答题纸的对应栏内。说明某单位的计算机网络结构如图 2-1所示。4 如果单位想把员工分组，每组的信息相互隔离，另外保证每个员工能独享10Mbps带宽，请指出：最简单的升级方式是什么 ?对新设备的功能和性能有什么要求 (接入的计算机数量不大于 20个，要说明如何实现分组的信息隔离 )。 5

5、随着单位规模的扩大，企业网络发展成了如图 2-2所示的结构。公用服务器均位于主网段。主网段没有用户，均为公用设备。用户均匀分布在网段 1、网段 2和网段 3。假定条件如下：网段 l、 2、 3大致相同，不考虑协议封装的开销。用户收发邮件量大体相同。内部交流属于用户之间的 P2P流量， 80%的流量发生在网段内部用户之间，20%的流量发生在不同网段的用户之间，且平均分配流量。办公系统均为用户访问服务器，按上、下行不对称的一般原则分配流量。视频监控流量按用户比例在不同网段之间平均分配，属于 P2P流量。请根据表 2-1中已有的信息将出流量、入流量和网内流量填写完整；将表 2-2的目的

6、网段和总流量填写完整。6 (1)请计算出接入路由器内部交换流量、网段至主网段流量、网段之间流量和总流量。 (2)请计算出核心路由器的出、入流量和总流量。 (3)在 10/100/1000Mbps的局域网技术中，应该选择哪一个作为网段内部互联技术(说明对路由器交换容量的最小要求 )? (4)在 10/100/1000Mbps的局域网技术中，应该选择哪一个作为网段至主网段互联技术 (说明对路由器交换容量的最小要求 )? (5)如果主网段和网段之间协议开销最大可增加 20%流量，是否需要升级网络 ?如果需要升级，最佳方案是什么 ?如果不需要升级，请说明原因。 7 参见本题图 2-2。如果要提高普通

7、网段访问主网段的可靠性和可用性，即在核心路由器出现故障时仍能访问主网段，请简要说明应该增加什么设备，新增设备与核心路由器之间可使用哪些协议以及这些协议之间主要有何区别。三、试题三 7 阅读以下关于某机构网络的叙述。某机构打算新建一个网络，其中有内部办公计算机若干台，内部数据库服务一台，内部文件传输 (FTP)服务器一台，网页 (Web)服务器一台，邮件服务器一台。要求能对外提供万维网 (WWW)访问和邮件服务，内部办公计算机和内部数据库、文件传输 (FTP)服务器对外不可见。 8 请划分该机构网络的安全区域和安全级别，说明各机器属于哪个区域和级别。 9 为提高安全性，请设计该机构网络的

8、防火墙方案，画出拓扑图，并给出防火墙的相关规则的配置策略。 10 如果想要监听、检测内部办公计算机之间的连接和攻击，应该在何位置配置何种设备 ?画出相关拓扑图。 2011年下半年软件水平考试（高级）网络规划设计师下午（案例分析）试题真题试卷答案与解析一、试题一 1 【正确答案】因为网络规模较小，所以采用单核心局域网结构。配置一个核心二层或三层交换机，每个房间配备接入交换机。这种结构便于扩展和升级。 (2)物理层技术选择：通信介质选择 5类 UTP双绞线；网卡选择 10/100M网卡。 (3)局域网技术选择： 10/100/1000M以太网技术。技术成熟，性价比最高，应用最广泛。 (4)广

9、域网技术选择：由于初期无需对外提供互联网服务，入流量大于出流量，最佳接入技术是申请电信运营商的 ADSL接入 Internet。 (5)地址规划：目前无需公网地址。采用私网地址即可。考虑初期人数最多 50人，使用一个 C类地址即可。如果每个房间需要隔离，可以使用 VLAN并划分 IP子网。【试题解析】网络规划与设计过程一般会经历需求分析、逻辑网络设计、物理网络设计、规划及实施阶段。本题重点考查需求分析、逻辑网络设计这两个方面。逻辑网络设计工作包括：网络结构设计；物理层技术选择；局域网技术选择；广域网技术选择；地址设计与命名模型；路由选择协议；网络管理；网络安全和逻辑网络设计文档。在逻辑

10、网络设计方面，本题侧重考查网络结构设计、局域网技术选择、广域网技术选择、网络地址规划以及可扩展性网络结构设计方面的问题。 (1)逻辑网络设计原则根据用户需求设计逻辑网络，选择正确的网络技术比较关键，在选择时应考虑如下因素：通信带宽所选择的网络技术必须保证足够的带宽，能够为用户访问应用系统提供保障；在进行选择时，不能仅局限于现有的应用要求，还要考虑适当的带宽增长需求。技术成熟度所选择的网络技术必须是成熟稳定的技术，有些新的应用技术在尚没有大规模投入应用时，还存在着较多的不确定因素，而这些不确定因素可能会为网绍的建设带来很多不可估量的损失。虽然新技术的自身发展离不开工程应用，但是对于大

11、型网络工程来说，项目本身不能成为新技术的实验田；因此，使用较为成熟、拥有较多案例的技术是明智的选择。当然，在面对技术变革时，可采用试点的方式逐步应用。连接服务类型连接服务类型是逻辑设计时必须考虑的问题，传统的连接服务分为面向连接服务与非连接服务，逻辑设计需要在无连接和面向连接的协议之间进行权衡。互联网采用 TCP/IP协议簇，其网络层协议是 IP协议，提供无连接的服务，因此选择连接服务类型，主要是针对 IP协议底层的承载协议进行选择。如果选择面向连接服务类型，则可以选择 ATM、 SDH等协议；如果选择非连接服务类型，则可以选择以太网等协议。不同的网络工程，对连接服务类型的需求不同，

12、设计者不能仅局限于一种连接服务而进行设计。可扩展性网络设计者的设计依据是较为详细的需求分析，但是在选择网络技术时，不能仅考虑当前的需求，而忽视未来的发展；在大多数情况下，设计人员都会在设计中预留一定的冗余，无论是在带宽、通信容量、数据吞吐量、用户并发数等方面，网络实际需求和设计目标之间的比例应小于一个特定值以便于未来的发展；一般来说，这个值介于 70% 80%之间，在不同的工程中，可根据需要进行调整。高投资产出选择网络技术的最关键一条，不是技术的扩展性、高性能，也不是成本最低等概念，决定设计和网络管理人员采用某种技术的最关键点是技术的投入产出比，只有通过投入产出分析，才能最后决定技

13、术的使用。 (2)网络结构设计网络结构是对网络进行逻辑抽象，描述网络中的主要连接设备和计算机结点分布而形成的网络主体框架。网络结构和网络拓扑结构的最大区别在于：网络拓扑结构中，只有点和线，不会出现任何的设备和计算机结点；网络结构主要是描述连接设备和计算机结点的连接关系。由于当前的网络主要由局域网和实现局域网互联的广域网构成，因此可以将网络工程中的网络结构设计分为局域网结构和广域网结构两个设计部分，其中局域网结构主要关注数据链路层的设备互连方式；广域网结构主要关注网络层设备的互连方式。 (3)局域网结构单核心局域网结构由一台核心三层交换机设备为中心构建的一种局域网结构，计算机结点通过多

14、台接入交换机接入核心。整个局域网通过核心交换机与公共的互联网相连。单核心结构局域网的主要特点：一台核心交换设备，路由功能只存在于核心设备上；结构简单，管理维护方便；投资小；网络覆盖范围小，要求网络分布比较紧凑；核心设备故障将导致网络瘫痪；可扩展为双核心局域网结构或层级结构的局域网。双核心局域网结构双核心结构主要由两台三层交换机设备构建局域网核心。核心交换机与公共互联网相连。局域网内部的计算机结点通过接入交换机接入核心。双核心结构局域网的主要特点：两台核心交换设备组成局域网核心，路由功能只存在于局域网核心；核心设备之间运行特定的网关保护或负载均衡协议，如 HSRP、VRR

15、、 GLBP等；网络结构可靠性高；设备投资比单核心高；网络覆盖范围较大，取决于核心设备之间互联的技术：可升级为层次局域网结构。双核心典型结构如图 1-2所示。环型局域网结构环型局域网结构有多台核心三层设备连接成双 RPR动态弹性分组环，构建整个局域网的核心。环型结构的局域网应用较少，其典型结构如下：层次局域网结构层次结构主要定义了根据功能要求不同将局域网络划分层次构建的方式，从功能上定义为核心层、汇聚层、接入层。其典型结构如图 1-4所示。层次局域网主要特点核心层实现高速数据转发；汇聚层实现丰富的接口和接入层之间进行互访控制；接入层实现用于接入；网络拓扑结构故障定位可分

16、级便于维护：网络拓扑利用扩展；适用于大型的网络结构；网络投资大。 4.广域网结构典型的广域网结构有：单核心广域网结构、双核心广域网结构、环型广域网结构、半冗余广域网结构以及层次子域广域网结构。广域网组网主要应用于大型的电信服务公司组网以及大型的跨国公司组网。 5.局域网技术选择目前可以使用的局域网技术有IEEE802系列局域网技术、 FDDI技术和 ATM技术，其中 IEEE802系列局域网技术主要有 IEEE802.3。从逻辑网络设计原则看，最佳的选择技术是 IEEE802.3，即以太网技术。以太网技术的主要优势是：技术成熟；性价比高；组网、管理方便；支持多种速率和通信介质；

17、支持除环型局域网以外的其他局域网结构。 6广域网技术选择就企业网来说，主要考虑企业网如何接入 Internet，因此就本题的广域网技术选择来说，就是选择公共 Internet的接入技术。从需求看，企业初期网络规模小，地理位置集中。可选择单核心结构的局域网结构。随着企业规模的扩大，可以升级为双核心结构或层次结构。从逻辑网设计原则看，局域网技术选择以太网技术。以太网技术有： 10Mpbs以太网技术具体连网可选择 10Base-T全双工、半双工交换式连接以及共享式连接； 100Mbp以太网技术 100Base-TX全双工、半双工交换式以及共享式连接。 100Base-FX全双工、半双工交换式

18、以及共享式连接。 1000Mbps以太网技术 1000Mbps以太网简称 GE，它是目前建设高速 LAN的主要技术之一，其标准为 802.3z。千兆以太网标准出现之前，局域网主干采用 FDDI或 ATM技术。 FDDI是基于光纤的 100Mbps局域网技术，是一个很成熟的技术，但价格相对较高。 ATM可以提供从 155Mbps以上的带宽，但技术复杂，设备价格高，维护管理复杂。 100M以太网技术用于组建骨干局域网，其性能和速率均显不足。千兆以太网的几种规范及应用领域如下表所示：以太网连网主要设备有：交换机。广域网接入技术分析如下：单独考查 Internet，可以把接入Internet的

19、技术分为两类：一类是传统的接入技术，一类是新兴的接入技术。传统的接入技术有：使用 Modem经 PSTN网络接入因特网。专线接入。租用电信公司 (NSP)的线路接入因特网。局域网接入。由本地局域网直接接入因特网。无线接入。通过无线网络接入因特网。新兴的接入技术主要有： ADSL技术。采用数字用户线技术通过电话线实现因特网接入。 HDSL技术。另一种采用数字用户线技术，通过电话线实现因特网接入。 HFC技术。通过 CATV网络接入因特网。光纤接入技术。以光纤为介质在用户和局端传输信息。目前，针对企业用户，可以选择的接入技术主要是： ADSL技术、专线技术、局域网接入和光纤接入

20、。 ASDL技术；上行速率最大 640Kbps，下行速率最大 8Mbps。主要特点：使用方便、投资少，适合主要为 Web访问的网络；内部网络中不适合设置能对外提供公共服务的服务器。专线接入：上下行速率相同。需要向电信部门 (NSP)申请通信链路，通信链路一般是由 FR帧中继网络和 DDN网络提供的。专线入网一般通过路由器把用户端和局端相连。专线入网有以下特点是：采用租用专线作为数据传输的通道；租用专线以包月制计费，费用较高；专线入网提供 64Kbps100Mbps的传输速率；适合小的集团用户。局域网接入：本地局域网直接通过路由器与 Internet相连。局域网接入的特点是：可以利用局域网

21、本身的各种优点；可接入大量用户；通信速率高；可靠性高；费用适中； (平均分配到每个用户 )；局域网本身自成体系，方便管理；适合大量的集群用户，如用户小区等。局域网接入需要一定的条件才能实现，即局域网和公共广域网设备在同一个地理位置。比如在一个校园内，校园本身是一个大型的局域网，而本校园又是 Internet的一个区域结点，公共广域网设备就在校园内。光纤接入：本地局域网通过光纤接入公共的 Internet。特点：通信速率高；扩展性好；可靠性高；费用最贵；适合对通信带宽、质量要求较高的用户选择。总结：采用单核心交换式以太网；选择10/100Mbps自适应物理层；选择 ADSL作为接入技术；

22、50人采用一个 C类网 (私有地址 )即可，无需划分子网。 2 【正确答案】 (1)网络结构设计：总部局域网和分部局域网可以采用双核心局域网结构。企业整体网络采用分层局域网结构，配备双核心路由器对外与互联网相连，对内与分部局域网的双核心交换机或路由器相连。 (2)物理层和局域网技术选择总部局域网和分部局域网采用： 10/100/1000M以太网技术。通信介质可使用 5类UTP双绞线或多模光纤。总部局域网和分部局域网之间互联采用： 1000BaseZX以太网技术。通信介质：单模光纤。 (3)接入互联网技术选择最佳方式： 100Mbps以太网接入。其他可选方式： 1000Mbps以太网

23、接入以及光纤接入 (EPON)。【试题解析】本问题主要考查网络扩展问题。现在企业分为 4个部分，对应 4个局域网；从整体网络结构上看，可以选择的是：双核心局域网结构和层次局域网结构。针对企业整体网络结构， 1000人的企业应该属于中、大型企业，企业整体网络结构优先选择层次局域网结构 (骨干层：双核心路由器，提供与公共Internet的双链路连接；汇聚层：分部的双核心路由器；接入层：分部的接入交换机 )；企业分部 (或总部 )内的局域网，从可靠性要求上看，应选择双核心局域网结构 (对应层次结构的汇聚层和接入层，汇聚层选择双核心 )。可靠性除考虑可靠的网络结构外，企业骨干层设备之间、局域网

24、骨干设备之间以及骨干设备和局域网骨干设备之间应考虑采用 GE光纤连接 (单模光纤最远 3km，如使用新的光收发器，最远可达 70km，满足地理覆盖分布要求 )。分部和总部内的局域网接入交换机仍采用 10/100Mbps自适应 5类 UTP连接。 Internet接入技术可选择双 100Mbps光纤局域网接入或 1000Mbp光纤局域网接入。其他 100Mbps以上、可靠的接入技术也可选择。 (100Mbps以太网接入，从综合效益上看是最佳选择 )。 3 【正确答案】 (1)由于公司员工总数为 10000人，考虑每人平均一个 IP地址再加上公用设备地址、服务器地址等公用地址，可使用一个 B类

25、网。可以选择172.16.0.0/16 172.32.0.0/16中的任意一个。 (2)首先需要对 B类网划分 50个以上的子网。这 50个子网要满足两个条件：每个子网能包含 500以上的可用 IP地址，并且能继续划分为 10个子网，再次划分的 10个子网，每个子网要能包含 60个可用的 IP地址。 (3)举例以 172.16.0.0/16为例采用 /22或 255.255.252.0的子网掩码，可以把 B类网划分为 64个子网。 (满足总部加分部 50个 ) 172.16.0.0/22 172.16.4.0/22 172.16.252.0/22 每个子网再可划分 16个子网： (满足每

26、个总部或分部有 10个部门 ) 以 172.16.4.0/22为例： 172.16.4.0/26 172.16.4.64/26 每个子网可以包含最多： 62个 IP地址 (满足每个人一个 IP地址 ) 【试题解析】问题 3重点考查地址规划和信息隔离问题。局域网上的信息隔离可以使用 VLAN技术来解决；子网划分总体需求是：总体规模： 10000人，至少每人一个 IP地址；其他地址：公共服务器地址；网络互联设备地址等。考虑使用一个 B类网。最多可容纳 65534个 IP地址。总部 +分部子网数： 50个，每个包含 500以上地址 (可考虑 20%余量 ) 考虑： B类网中增加 6bi

27、t子网 ID:包含 64个子网。每个子网最多可包含 1022个IP地址。总部或分部内部子网数： 10个；最多 60个地址考虑：再增加 4bit子网 ID，每个子网可再分为 16个子网。每个子网最多可包含62个 IP地址。二、试题二 4 【正确答案】 (1)用二层交换机取代 10M共享式集线器。 (2)二层交换机需要支持 VLAN功能，通过 VLAN的划分，不同的 VLAN对应不同的员工组， VLAN之间的信息相互隔离。 (3)VLAN策略可以通过基于交换机物理端口的策略来划分。接入不同端口的员工加入不同的 VLAN，即加入了不同的组。 (4)对交换机性能方面，可以使用 24端口的 10

28、/100Mbps自适应以太网交换机。 (5)背板交换容量最低应达到 1024/2=120Mbps。如果考虑所有端口 100Mbps速率，则背板交换容量最低应达到 1.2Gbps。【试题解析】试题二重点考查网络规划设计中的通信流量分析和依据流量对网络设备的选择。本问题主要考查对 VLAN、共享式以太网、交换式以太网的理解。 VLAN可以把 LAN划分成逻辑上信息隔离的区域；共享式以太网连接时，连接在共享式集线器 (HUB)上的所有计算机站点共享相同的带宽。交互式以太网连接需要二层以太网交换机，每个端口连接一个计算机设备。交换式以太网可以实现独享带宽。 VLAN的划分必须是基于二层交换设

29、备。集线器(HUB)不支持 VLAN功能。 VLAN的实现策略有很多种类，最简单的是基于二层交换机的物理端口划分VLAN。其他 VLAN划分策略还有：基于 MAC地址；基于 IP地址或协议等。交换机性能计算原则：一个端口连接一台计算机。背板交换容量计算公式是：交换机的背板交换容量 =(交换机的端口数 /2)每端口的标称速率全双工系数。如果交换机支持全双工，则全双工系数为 2；如果只支持半双工，全双工系数为 1。二层交换机的端口数量一般是 8、 16、 24、 48。 20台计算机可选择 24端口的交换机。 5 【正确答案】网段 2用户流量分析表。网段 2的总流量分配表。通信流量

30、分布的简单规则在通信规范分析中，最终的目标是产生通信量，其中必要的工作是分析网络中信息流量的分布问题。在整个过程中，需要依据需求分析的结果来产生单个信息流量的大小，依据通信模式、通信边界的分析，明确不同信息流在网络不同区域、边界的分布，从而获得区域、边界上的总信息流量。对较为简单的网络，可以不需要进行复杂的通信流量分布分析，仅采用一些简单的方法，例如 80/20规则、 20/80规则等；但是对于复杂的网络，仍必须进行复杂的通信流量分布分析。 2 80/20规则 80/20规则是传统网络中广泛应用的一般规则。 80/20规则是基于这样的可能性：在一个网段中，通信流量的 80%是在该网段内流

31、动，只有 20%的通信流量是访问其他网段。 80/20规则适用于内部交流较多、外部访问相对较少、网络较为简单、不存在特殊应用的网络或网段。 3 20/80规则随着互联网的发展，一些特殊的网络不断产生，例如小区内计算机用户形成的局域网、大型公司用于实现远程协同工作的工作组网络等。这些网络的特征就是：网段的内部用户之间相互访问较少，大多数网络访问都是对网段外的资源进行访问。对应这些流量分布则位于另一个极端，可以采用 20/80规则。 20/80规则的思路是：根据对用户和应用需求的统计，计算网段内的通信总量，其中 20%的通信流量是在该网段内流动， 80%的通信流量是访问外部网段。 80/20规则

32、和 20/80规则虽然比较简单，但这些规则是建立在大量的工程经验基础上的；另外通过这些规则的应用，可以很快完成一个复杂网络中大多数网段的通信流量分析工作，可以合理减少大型网络中的设计工作量。 4通信流量分析步骤步骤一：把网络分成易管理的网段。步骤二：确定个人用户和网段应用的通信流量。步骤三：确定本地和远程网段上的通信流量。步骤四：对每个网段重复步骤一、步骤二、步骤三。步骤五：分析基于各网段信息的广域网和骨干网络的通信流量。 5常见互联网业务流量规则。 E-mail：发送邮件和接收邮件(只与邮件服务器发生流量 )。视为对等流量，即 50%流出， 50%流入。 Web：浏览网络，从 W

33、eb下载的流量大 (只与 Web服务器发生流量 )。使用 20/80法则。流出： 20%，流入 80%。 FTP或文件共享业务：等同电子邮件业务 (只与 FTP或文件共享服务器发生流量 )。流入、流出各 50%。办公自动化业务：等同 Web业务 (只与办公自动化服务器发生流量 )。 20%流出， 80%流入。视频监控：属于 P2P业务类型 (用户之间发生流量 )，在内部网络中流量平均分配。内部交流：属于 P2P业务类型 (用户之间发生流量 )， 80%发生在网段内部， 20%发生在网段之间。根据问题2给出的条件。网段 2的流量计算如下：电子邮件业务：总流量 48Mbps， 50%流出

34、本网段 24Mbps， 50%流入本网段 24Mbps。无内部流量。办公系统：总流量48Mbps， 20%流出本网段 9.6Mbps， 80%流入本网段 38.4Mbps。无内部流量。视频监控：总流量 48Mbps，三个网段平均分配，则外部流量占 2/3，即 32Mbps，流入流出各占 50%，即：流入 16Mbps、流出 16Mbps；网内流量占 1/3，即16Mbps。内部交流：总流量 4.8Mbps， 20%网段之间流量，出入平均分配则流出： 0.48Mbps、流入 0.48Mbps； 80%网段内部，即 3.84Mbps。 6 【正确答案】 (1)接入路由器：网段内部交换流量：

35、19.84Mbps 网段至主网段流量： 48Mbps+48Mbps=96Mbps 网段之间流量： 32.96Mbps 总流量： 483+4.8=148.8Mbps (2)核心路由器：网段与主网段之间总流量： 96Mbps3=288Mbps; 其中：主网段到网段流量 (出流量 )： (24+38.4)3=187.2Mbps; 网段到主网段流量 (入流量 )： (24+9.6)3=100.8Mbps。网段之间的转发流量： 32.96Mbps3=98.88Mbps 总流量： 286.88Mbps (3)网段内部选择 100Mbps以太网技术，接入路由器背板交换容量在 200Mbps以上。 (4)

36、网段和主网段之间选择 100Mbps以太网技术交互式连接，核心路由器背板交换容量在 400Mbps以上。 (5)需要升级网络。核心路由器和接入路由器之间采用全双工 100Mbps交换式连接。核心路由器背板交换容量 600Mbps以上。【试题解析】问题 3依据问题 2的流量分布进行计算。按三个子网段相同来计算，以网段 2为例。接入路由器：内部流量：视频监控内部流量 16Mbps+内部交流内部流量 3.84Mbps 网段至主网段流量 (出流量 +入流量 )： 48+48=96Mbps 网段之间的流量 (出流量 +入流量 )： 32+0.96=32.96Mbps 总流量： 48*3+4.

37、8=148.8Mbps 核心路由器：网段之间转发流量 (出流量 +入流量 )： 32.96Mbps*3=98.88Mbps 网段到主网段流量 (出流量 +入流量 )： 96Mbps*3=288Mbps 总流量： 286.88Mbps 路由器背板交换容量选择原则：大于总流量，并有 20% 30%的冗余。取整为200Mbps的整数倍。 7 【正确答案】 (1)再增加一个核心路由器。 (2)两个核心路由器之间运行 VRRP、 HSRP协议或 GLBP协议。 VRRP协议是公开的虚拟路由器冗余协议。 HSRP是 Cisco开发的热备份路由协议。 (3) VRRP和 HSRP基本功能类似，其缺点是存在

38、路由器闲置问题。 GLBP协议与VRRP和 HSRP功能类似，但能够实现负载均衡功能。【试题解析】本问题主要考查单核心局域网结构和双核心局域网结构在可靠性方面的区别，以及双核心局域网结构中核心设备之间重要的可靠性协议 (冗余备份协议、流量均衡协议 )。单核心局域网结构的主要缺点是，核心结点故障将导致整个网络瘫痪 (不可用 )，增加可靠性和可用性的最佳方法是增加一台新的核心路由器。两台核心路由器之间运行 VRRP协议、 HSRP协议或 GLBP协议。 VRRP(Virtual Router Redundancy Protocol，虚拟路由冗余协议 )是一种容错协议。通常，一个网络内的所有

39、主机都设置一条缺省路由，这样，当主机发出数据包的目的地址不在本网段时，报文将被通过缺省路由发往网关路由器，从而实现了主机与外部网络的通信。当某网络的默认网关 (路由器 )故障时，本网段内所有主机将不能与外部网络通信。 VRRP就是为解决这一严重问题而提出的，它为具有多播或广播能力的局域网设计。 VRRP将局域网的一组路由器 (包括一个 Master即主控路由器和若干个 Backup即备份路由器 )组织成一个虚拟路由器，称之为一个备份组。在 VRRP协议中，有两组重要的概念： VRRP路由器和虚拟路由器，主控路由器和备份路由器。 VRRP路由器是指运行 VRRP的路由器，是物理实体，虚拟路由

40、器是指 VRRP协议创建的，是逻辑概念。一组 VRRP路由器协同工作，共同构成一台虚拟路由器。该虚拟路由器对外表现为一个具有唯一固定 IP地址和 MAC地址的逻辑路由器。处于同一个 VRRP组中的路由器具有两种互斥的角色：主控路由器和备份路由器，一个 VRRP组中有且只有一台处于主控角色的路由器，可以有一个或者多个处于备份角色的路由器。 VRRP协议使用选择策略从路由器组中选出一台作为主控路由器，负责 ARP响应和转发 IP数据包，组中的其他路由器作为备份的角色处于待命状态。当主控路由器发生故障时，其中一台备份路由器能在几秒钟的时延后升级为主路由器。由于切换非常迅速而且不用改变 lP地址和

41、MAC地址，故对用户是透明的。 HSRP是 Cisco开发的热备份路由协议，与 VRRP基本功能类似。 GLBP协议与VRRP和 HSRP功能类似，但能够实现负载均衡功能。三、试题三 8 【正确答案】整个网络分为三个不同级别的安全区域： 1内部网络：安全级别最高，是可信的、重点保护的区域。包括所有内部办公计算机，内部数据库服务器和内部 FTP服务器。 2外部网络：安全级别最低，是不可信的、要防备的区域。包括外部因特网用户主机和设备。 3 DMZ区域 (非军事化区 )：安全级别中等，因为需要对外开放某些特定的服务和应用，受一定的保护，是安全级别较低的区域。包括对外提供 WWW访问的Web服

42、务器和邮件服务器。【试题解析】本题涉及网络安全区域的划分、防火墙和入侵检测等的内容。要保障一个网络系统的安全，首先应该分析该网络系统的特点和安全需求，分析对外需要提供的服务，评估需要保护的数据的安全级别和面临的风险，划分不同的安全区域，然后再制定系统安全策略，决定实现时采用何种方式和手段。本题所述机构的网络中有内部数据库服务和内部文件传输 (FTP)服务器各一台，内部办公计算机若干台。服务器上存储的数据信息量大，且是内部数据，安全级别要求最高，内部办公计算机处理的数据也是内部数据，不对外公开，其安全级别也可定位最高。因此这些机器应该统一划分在同一个安全区域，以便采用统一的安全策略来

43、实施重点保护。本题所述机构的网络中有网页 (Web)服务器和邮件服务器各一台。由于要求能对外提供万维网 (WWW)访问服务和邮件服务，则这两台服务器对本机构网络外部的设备是可见的，外部设备会访问这两台服务器，可能会受到外网不安全因素的威胁，其安全级别会降低。因此不能同内部服务器等放在同一区域，以免在遭受攻击时影响内部网络。因此这两台服务器应该统一划分在同一个安全区域，以便采用统一的安全策略来统一实施保护，以保证能对外提供正常的服务。本机构网络之外的因特网设备和主机，能访问该机构网络中有网页 (Web)服务器和邮件服务器，这部分设备和主机是不可信的、要防备的区域，安全级别最低，可划分为同一个

44、安全区域。 9 【正确答案】配置策略：外部屏蔽路由区的访问策略：允许外部网络客户访问DMZ区的 WWW服务器提供的 WWW服务和邮件服务器提供的邮件服务，其他禁止；内部屏蔽路由器的访问策略：允许内部网客户访问外部网络，不允许外部网络客户访问内部网；允许内部网客户访问 DMZ区，不允许 DMZ区网络客户访问内部网。【试题解析】防火墙的典型体系结构 (部署方式 )有三种形式：双重宿主主机体系结构、屏蔽主机体系结构、屏蔽子网体系结构，具体部署时需根据网络的特点和具体的安全需求、安全策略来决定。防火墙的双重宿主主机体系结构是指以一台双重宿主主机作为防火墙系统的主体，执行分离外部网络和内部

45、网络的任务。一个典型的双宿主主机防火墙如图 3-1所示，它使用一个双宿主主机完成防火墙功能。该主机至少有两个网络接口，一个是内部网络接口，一个是因特网接口，故称为双宿主主机。防火墙的屏蔽主机体系结构如图 3-2所示，通过屏蔽路由器和堡垒主机结合的方式来构造防火墙。其中屏蔽路由器是一个单独的路由器，采用包过滤方式来实现内、外部网络的隔离和对内网的保护，而堡垒主机是因特网中的主机能够访问的唯一的内部网中的主机，内部网中的其他主机对外都是不可见的，故称为屏蔽主机防火墙。堡垒主机通常是安全管理员标识的作为网络安全中关键点的系统，这类系统健壮安全，能抗攻击，故称为堡垒主机。在屏蔽主机防火墙中，堡垒

46、主机用于对外提供一定的服务，如 WWW服务，而且任何外部的主机只有通过这台主机才能得到内部系统的服务 (在外部主机看来，没有内部网络，只有堡垒主机 )。由于堡垒主机暴露在因特网中，故堡垒主机需保持较高的安全等级，具有一定的抗攻击能力。防火墙的屏蔽子网体系结构的最简单形式如图 3-3所示，防火墙由外部屏蔽路由器、内部屏蔽路由器和堡垒主机共同组成。与前两种防火墙体系结构有明显区别的是，在外 /内部屏蔽路由器间有一个称为非军事化区的子网，进一步将内部网络同因特网隔离开来，起到屏蔽内部网络的作用，提供更进一步的安全性，故称为屏蔽子网防火墙。非军事化区即 DMZ： De-Militarized Z

47、one，原指古代战场上交战双方的开火区及后方保护区之间的隔离地带，在该隔离地带中，会有一些冲突和一定的危险，但危害性不大且容易控制，而且在大规模战争爆发前能及时告警。此概念用于网络安全中是指额外的安全保护子网，信任度较低、易受攻击的对外提供服务的服务器和堡垒主机都放置在该子网中，远离内部网络。 DMZ概念的出现源于用户对防火墙使用中的需求，早期简单的防火墙提供的是内部网与外部网之间的边界保护，而内部网中对外提供服务的服务器 (如邮件服务器 )比其他的内部网的机器遭到入侵的可能性要高很多，且这些服务器一旦被入侵，将被用来做为跳板攻击整个内部网。有了非军事化区后，一旦入侵者侵入非军事化区，最坏

48、会损坏其中的服务器和堡垒主机，但不会损伤到内部网的完整性，而且通过在周边网络上隔离对外提供服务的服务器和堡垒主机，还减少了网络安全对堡垒主机的依赖。非军事化区中的主机主要通过主机安全来保证其安全性。屏蔽子网防火墙使用了两个屏蔽路由器，消除了内部网络的单一侵入点，增强了网络的安全性。但两个屏蔽路由器的规则设置的侧重点不同。配置防火墙的访问策略时，一般按服务来配置规则。首先要分析网络的特点及网络对外提供的服务，弄清各服务的工作原理及正常的工作流程，然后再分析各服务在防火墙环境下如何工作，并对服务配置 10 【正确答案】 (1)应该配置入侵检测系统 (IDS系统 )。 (2)拓扑图为：【试题解析】防火墙和操作系统加固技术等传统安全技术都是静态安全防御技术，不能提供足够的安全性；入侵检测系统能使系统对入侵事件和过程做出实时响应，提供系统的动态安全性。入侵检测系统是通过从计算机网络和系统的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为或遭到入侵的迹象，并依据既定的策略采取一定措施的技术。入侵检测系统包括三部分内容：信息收集、信息分析和响应。其中收集信息的可靠性和正确性在很大程度上决定了入侵检测系统的有效性和准确性。需要在合适的位置上放置，以保证采集信息的准确性和充足性。

展开阅读全文