1、2013年下半年软件水平考试(高级)网络规划设计师下午(案例分析)试题真题试卷及答案与解析 一、试题一 0 阅读以下关于某园区企业网络的叙述,回答问题 1至问题 4。【说明】 企业网络拓扑结构如图 1-1所示。1 企业网络的可用性和可靠性是至关重要的,经常会出现因网络设备、链路损坏等导致整个网络瘫痪的现象。为了解决这个问题,需要在已有的链路基础上再增加一条备用链路,这称作网络冗余。 (1)对于企业来说,直接增加主干网络链路带宽的方法有哪些 ?并请分析各种方法的优缺点。 (2)一般常用的 网络冗余技术可以分为哪两种。 2 (1)网络冗余是当前网络为了提高可用性、稳定性必不可少的技术,在本企业网络
2、中要求使用双核心交换机互做备份实现两种网络冗余技术,同时出口路由器因为负载过重也需要进行网络结构调整优化,请画图说明在不增加网络设备的情况下完成企业主干网络结构调优。 (2)在两台核心交换机上配置 VRRP冗余,以下为部分配置命令。根据需求,完成 (或解释 )核心交换机 Switch A的部分配置命令。 Switch A: Switch A(config)#track 100 interface F0 1 line protocol / Switch A(config track)#exit Switch A(config)#int, VLAN 1 Switch A(config if)#Vr
3、rp 1 ip 192 168 1 254 在 VLAN1中配置 VRRP组 1,并指定虚拟路由器的 IP地址为192 168 1 254 switch A(config if)# 开启主路由器身份抢占功能 Switch A(config if)#vrrp lauthentication md5 key string cisco 配置 VRRP协议加密认证 Switch A(config if)#vrrp 1 track 100 decrement 30 / 3 随着企业网络的广泛应用,用户对于移动接入企业网的需求不断增加,无线网络作为有线网络的有效补充,凭借着投资少、建设周期短、使用方便灵活
4、等特点越来越受到企业的重视,近年来企业也逐步加大无线网络的建设力度。 (1)构建企业无线网络如何保证有效覆盖区域并尽可能减少死角 ? (2)IEEE认定的四种无线协议标准是什么 ? (3)简单介绍三种无线安全的加密方式。 4 随着企业关键网络应用业务的发展,在企业网络中负载均衡的应用需求也越来越大。 (1)负载均衡技术是什么 ?负载均衡会根据网络的不同层次 (网络七层 )来划分。其中,第二层的负载均衡是什么技术 ? (2)服务器集群技术和服务器负载均衡技术的区别是什么 ? 二、试题 二 4 阅读以下说明,回答问题 1至问题 5,将解答填入答题纸对应的解答栏内。【说明】某高校校园网使用 3个出口
5、,新老校区用户均通过老校区出口访问互联网,其中新老校区距离 20公里,拓扑结构如图 2-1所示,学校服务器区网络拓扑结构如图 2-2所示。5 实现多出口负载均衡通常有依据源地址和目标地址两种方式,分别说明两种方式的实现原理和特点。 6 根据学校多年实际运行情况,现需对图 2-1所示网络进行优化改造,要求: (1)在只增加负载均衡设备的情况下,且仅限通过老校区核心交换机 1连接出口路由器; (2)采用网络的冗余,解决新老校区互联网络中的单点故障; (3)通过多出口线路负载,解决单链路过载; (4)考虑教育网的特定应用,需采用明确路由。 试画出图 2-1优化后的网络拓扑结构,并说明改造理由。 7
6、现学校有两套存储设备,均放置于老校区中心机房,存储 1是基于 IP-SAN技术,存储 2是基于 FC-SAN技术。试说明图 2-2中数据库服务器和容灾服务器应采用哪种存储技术,并说明理由。 8 当前存储磁盘柜中通常包含 SAS和 SATA磁盘类型,试说明图 2-2中数据库服务器 和容灾服务器各应选择哪种磁盘类型,并说明理由。 9 目前存储中使用较多的是 RAID5和 RAID10,试说明图 2 2中数据库服务器和容灾服务器 (数据级 )各应选择哪种 RAID技术,并说明理由。 三、试题三 9 阅读以下说明,回答问题 1至问题 4,将解答填入答题纸对应的解答栏内。【说明】 某高校网络拓扑结构如图
7、 3-1所示。10 目前网络中存在多种安全攻击,需要在不同的位置部署不同的安全措施进行防范。常见的安全防范措施有: 1防非法 DHCP欺骗 2用户访问权限控制技术 3开启环路检测 (STP) 4防止 ARP网关欺骗 5广播风暴的控制 6并发连接数控制 7病毒防治 其中:在安全设备 1上部署的措施有: (1) ; 在安全设备 2上部署的措施有: (2) ; 在安全设备 3上部署的措施有: (3) ; 在安全设备 4上部署的措施有: (4) 。 11 学校服务器群目前共有 200台服务器为全校提供服务,为了保证各服务器能提供正常的服务,需对图 3-1所示防火墙 1进行安全配置,设计师 制定了 2套
8、安全方案,请根据实际情况选择合理的方案并说明理由。 方案一:根据各业务系统的重要程度,划分多个不同优先级的安全域,每个安全域采用一个独立子网,安全域等级高的主机默认允许访问安全域等级低的主机,安全域等级低的主机不能直接访问安全域等级高的主机,然后根据需要添加相应安全策略。 方案二:根据各业务系统提供的服务类型,划分为数据库、 Web、认证等多个不同虚拟防火墙,同一虚拟防火墙中相同 VLAN下的主机可以互访,不同 VLAN下的主机均不允许互访,不同虚拟防火墙之间主机均不能互访。 12 为了防止资源的不合理使用,通常在核心层架设流控设备进行流量管理和终端控制,请列举出 3种以上流控的具体实现方案。
9、 13 非法 DHCP欺骗是网络中常见的攻击行为,说明其实现原理并说明如何防范。 2013年下半年软件水平考试(高级)网络规划设计师下午(案例分析)试题真题试卷答案与解析 一、试题一 1 【正确答案】 (1)一般有两种方法,一是直接升级主干网络带宽。优点是效果显著,不足之处是这种方法投入较大;二是采用以太网信道或者端口聚合技术。优点是投入较小,缺点是使用该技术需要两端设备都支持端口聚合技术 ,且进行端口捆绑的多个接口状态必须相同。 (2)一般常用的网络冗余技术可以分为二层链路冗余和三层网关冗余。 【试题解析】 本问题主要考查网络冗余技术。 互联网发展速度迅猛,企业对于网络的性能、网速和带宽的要
10、求日益增加,在这种发展势头下,企业网络难免会出现链路带宽不足的现象。对于企业来说,解决链路带宽不足可以采用多种方法来解决。一是直接升级主干网络带宽,如将百兆网络升级为千兆网络,千兆网络升级为万兆网络等,这种升级效果比较明显,但是在升级中不单是要考虑更换网络连接线缆,很多设备往往也要更 换,因此需要结合企业的经济状况和业务需求综合考虑。 另外一种方法是将关键设备间的链路数量增加,这样一来升级成本就大大降低。但是直接在设备之间连接多条线缆的话可能会造成环路,导致广播风暴。所以还要采用相应的技术限制环路的产生,一般这里使用的技术被称为以太网信道或者端口聚合。使用该技术首先需要两端的设备都要支持端口聚
11、合技术 (以太网信道技术 ),同时进行端口捆绑的多个接口状态必须相同,如带宽、速度、双工模式等,最好用相邻的端口。 随着 Internet的发展,大型园区网络从简单的信息承载平台转变成一个 公共服务提供平台。作为终端用户,希望能时时刻刻保持与网络的联系,因此健壮、高效和可靠成为园区网发展的重要目标,而要保证网络的可靠性,就需要使用到冗余技术。高冗余网络就是在网络设备、链路发生中断或者变化的时候,用户几乎感觉不到。一般常用的网络冗余技术可以分作二层链路冗余和三层网关冗余。在二层链路中实现冗余的方式主要有两种,生成树协议和链路捆绑技术。其中生成树协议是一个纯二层协议,但是链路捆绑技术在二层接口和三
12、层接口上都可以使用。三层链路冗余技术较二层链路冗余技术丰富很多,依靠各种路由协议可以实现三层链路冗余和 负载均衡。另外三层链路捆绑技术也提供了路由协议之外的一种选择。对于使用网络的终端用户来讲,也需要一种机制来保证其与园区网络的可靠连接,这就是三层网关级冗余技术。 VRRP(Virtual RouterRedundancy Protocol,虚拟路由冗余协议 )、 HSRP(Hot Stand by Router Protocol,热备份路由器协议 )及 GLBP(Gateway Load Balancing Protocol,网关负载均衡协议 )都是比较常用的网关冗余方法。但是 HSRP和
13、GLBP是思科的专有协议, VRRP协议是开放的。所以在设备比较复杂的大型网络里面,大都使用 VRRP协议实现网关冗余。 2 【正确答案】 (1)如图 1-3所示,虚线为增加的链路。首先在两台核心交换机之间实现链路聚合以增加主干网络带宽。其次是要把两台核心交换机定义为 STP的根桥;同时要做网关备份,主要是在双核心交换机上配置 VRRP协议。最后为了减少出口路由器的负担,考虑把服务器群接入到核心交换机 A或者 B上。(2) 开启路由器端口跟踪功能。 vrrp 1 preempt。 端口跟踪,当发现链路故障时,自动将优先级降低 30,以便其他可用 链路的设备抢夺 VRRP主路由器身份。 【试题解
14、析】 本问题主要考查网络的优化及基于 VLAN的多层网络冗余配置。 在图 1 1中,整个企业网络在网络冗余方面几乎没有做任何设置,如两台核心交换机之间没有互联,汇聚交换机到核心交换机之间没有链路冗余,这样主干网的带宽和链路冗余都得不到保障,因此整个网络的可靠性会很差。其次,在网络出口路由器上接入了服务器群,这样在网络进出口流量比较大的时候,出口路由器负担就会比较重,会影响网络的正常访问速度,需要调整服务器群的接入位置。 如图 1 2所示,优化整个网络布局。其中虚线为 增加的链路。首先在两台核心交换机之间实现链路聚合以增加主干网络带宽。其次按照图中的连接方法已经构成了二层环路,链路冗余已经产生,
15、关键是要把两台核心交换机定义为 STP的根桥;三层网关冗余技术主要是做网关备份,因此,需要在双核心交换机上配置 VRRP协议。最后为了减少出口路由器的负担,考虑把服务器群接入到核心交换机 A或者 B上。 三层链路冗余技术主要是做网关备份,在配置之前首先要确保网络访问畅通。所以要正确配置接口 IP地址及合适的路由。在配置网关冗余时主要使用 VRRP协议,每一个 VLAN作为一个 VRRP组进行配置 ,按照题目要求,为双核心三层交换机的 VLAN配置 VRRP协议的部分配置命令如下: Switch-A: SwitchA(config)#track 100 interface F0 1 line p
16、rotocol 开启路由器端口跟踪功能,当三层交换机上端链路故障时可通过接口 F0 1的跟踪功能判断整条链路故障,从而使 VRRP主路由器身份跳转。 Switch-A(config track)#exit Switch-A(config)#int VLAN 1 Switch-A(config if)#vrrp 1 ip 192 168 1 254 在VLAN1中配置 VRRP组 1,并指定虚拟路由器的 IP地址为 192 168 1 254 Switch A(config if)#vrrp 1 preempt 开启主路由器身份抢占功能 Switch-A(config if)#vrrp laut
17、hentication md5 key string Cisco 配置 VRRP协议加密认证 Switch A(config if)#vrrp 1 track 100 decrement 30 端口跟踪,当发现链路故障时 ,自动将优先级降低 30,以便其他可用链路的设备抢夺 VRRP主路由器身份。 3 【正确答案】 (1)构建企业无线网络为了减少死角,必须让两个 AP覆盖的无线区域重叠。除此之外,选择 AP时也要考虑当前物理环境,如果是空旷的环境可以选择使用放射信号为球形的 AP设备,如果是在楼层中可以考虑使用向某个区域放射信号的 AP设备。 (2)目前,主流的无线协议都是由 IEEE所制定,
18、 IEEE认定的四种无线协议标准分别为 IEEE 802 11a、 IEEE 802 11b、 IEEE 802 11g和 IEEE 802 11n。 (3)第一种: WEP加密 WEP(有线对等保密 )协议 第二种: WPA加密 WPA和 WPA2 第三种: WPA-PSK加密 WPA-PSK和 WPA2-PSK 【试题解析】 (1)在架设无线网络过程中,因为无线网络并不像有线网络那么直观,所以在架设无线网络时一般为了减少死角,必须让两个相邻的 AP覆盖的无线区域重叠。因为一个 AP覆盖的无线网络区域一般是球形的,只有两个区域部分相互重叠才能确保无线信号更全面。除此之外,选择 AP时也要考虑
19、当前物理环境,如果是空旷的环境可以选择使用放射信号为球形 的 AP设备 (全向天线 ),如果是在楼层中可以考虑使用向某个区域放射信号的 AP设备 (定向天线 )。 (2)目前,主流的无线协议都是由 IEEE所制定, IEEE认定的四种无线协议标准分别为 IEEE 802 11a、 IEEE 802 11b、 IEEE 802 11g和 IEEE 802 11n。IEEE 802 11a标准工作在 5GHzU NII频带,物理层速率最高可达 54Mbps,传输层速率最高可达 25Mbps。 IEEE 802 11b是无线局域网的一个标准。其载波的频率为 2 4GHz,传送速度为 11Mbit s
20、。 IEEE802 11b是所有无线局域网标准中最著名,也是普及最广的标准。 IEEE802 11b的后继标准是 IEEE 802 11g,其载波的频率为 2 4GHz(跟 802 11b相同 ),原始传送速度为 54Mbit s,净传输速度约为 24 7Mbiffs(跟 802 11a相同 )。 IEEE802 11n于 2009年 9月正式批准。使用 2 4GHz频段和 5GHz频段,传输速度 300Mbps,最高可达 600Mbps,可向下兼容 802 11b、 802 11g。 (3)无线网络通过无线信号进行信息传输,数据的安全性难以保障,因此为了保障无线网络数据的安全性,各种各样的无
21、线加密算法应运而生。第一种: WEP加密, WEP(有线对等保密 )协议,它主要用于 WLAN中链路层信息数据的加密,采用的是静态的密钥。第二种: WPA加密,如 WPA和 WPA2, WPA算法主要用于增强 WLAN系统的数据保护和访问控制水平,采用了动态的密钥, WPA2是在WPA的基础之上经 WiFi联盟验证过的 IEEE802 11i标准的验证形式,是目前公认的比较安全的无线加密算法。第三种: WPA-PSK加 密,如 WPA PSK和WPA2一 PSK,由于 WPA操作复杂,因此经常采用其简化版 WPA-PSK和WPA2-PSK,不需要设置复杂的身份证明等信息,因而在实际使用中最为普
22、遍。 4 【正确答案】 (1)负载均衡 (Load Balancing)技术建立在现有网络结构之上,它提供了一种廉价有效透明的方法,扩展网络设备和服务器的带宽,增加吞吐量,加强网络数据处理能力,提高网络的灵活性和可用性。 第二层的负载均衡指将多条物理链路当作一条单一的聚合逻辑链路使用,即链路聚合 (Trunking)技术。 (2)集群 (Cluster):是一组独立的计算机系统构成一个松耦合的多处理器系统,它们之间通过网络实现进程间的通信。应用程序可以通过网络共享内存进行消息传送,实现分布式计算。主要解决高可靠性 (HA)和高性能计算 (HP)。 负载均衡技术提供了一种廉价有效的方法,扩展服务
23、器带宽和增加吞吐量,加强网络数据处理能力,提高网络的灵活性和可用性。主要解决的是大量的并发访问或数据流量分担到多台节点设备上分别处理,减少用户等待响应的时间。 【试题解析】 (1)负载均衡 (Load Balancing)技术建立在 现有网络结构之上,它提供了一种廉价有效透明的方法,扩展网络设备和服务器的带宽,增加吞吐量,加强网络数据处理能力,提高网络的灵活性和可用性。 负载均衡有两方面的含义:首先,单个重负载的运算分担到多台节点设备上做并行处理,每个节点设备处理结束后,将结果汇总,返回给用户,系统处理能力得到大幅度提高,这就是常说的集群 (Clustering)技术。第二层含义就是:大量的并
24、发访问或数据流量分担到多台节点设备上分别处理,减少用户等待响应的时间,这主要针对 Web服务器、 FTP服务器、企业关键应用服务器等网络应用。通常,负载均衡会根据网络的不同层次 (网络七层 )来划分。其中,第二层的负载均衡指将多条物理链路当作一条单一的聚合逻辑链路使用,这就是链路聚合 (Trunking)技术,它不是一种独立的设备,而是交换机等网络设备的常用技术。现代负载均衡技术通常操作于网络的第四层或第七层,这是针对网络应用的负载均衡技术,它完全脱离于交换机、服务器而成为独立的技术设备。近年来,四到七层网络负载均衡首先在电信、移动、银行、大型网站等单位进行了应用,因为其网络流量瓶颈的现象最突
25、出。这也就是为何每通一次电话,就会经过负载均衡设备的原因。另外 ,在很多企业,随着企业关键网络应用业务的发展,负载均衡的应用需求也越来越大了。 (2)集群 (Cluster):集群就是一组连在一起的计算机,从外部看它是一个系统,各节点可以是不同的操作系统或不同硬件构成的计算机。如一个提供 Web服务的集群,对外界来看是一个大 Web服务器。不过集群的节点也可以单独提供服务。因此可以说集群是一组独立的计算机系统构成一个松耦合的多处理器系统,它们之间通过网络实现进程间的通信。应用程序可以通过网络共享内存进行消息传送,实现分布式计算机。主要解决高可靠性 (HA)和高性能计算 (HP)。 负载均衡建立
26、在现有网络结构之上,它提供了一种廉价有效的方法扩展服务器带宽和增加吞吐量,加强网络数据处理能力,提高网络的灵活性和可用性。它主要完成以下任务:解决网络拥塞问题,服务就近提供,实现地理位置无关性;为用户提供更好的访问质量;提高服务器响应速度;提高服务器及其他资源的利用效率;避免了网络关键部位出现单点失效。 区别是集群系统 (Cluster)主要解决下面几个问题:高可靠性 (HA),利用集群管理软件,当主服务器故障时,备份服务器能够自动接管主服务器的工作,并及时切换过去,以实现 对用户的不间断服务;高性能计算 (HP):即充分利用集群中的每一台计算机的资源,实现复杂运算的并行处理,通常用于科学计算
27、领域,比如基因分析,化学分析等。负载平衡:即把负载压力根据某种算法合理分配到集群中的每一台计算机上,以减轻主服务器的压力,降低对主服务器的硬件和软件要求。主要解决的是大量的并发访问或数据流量分担到多台节点设备上分别处理,减少用户等待响应的时间。 二、试题二 5 【正确答案】 依据源地址负载均衡:根据源 IP地址来选择不同外网出口,可以根据各出口带宽按比例划分对应的源 IP子网段,达到出口 负载均衡的作用,但是访问同一资源时,部分用户响应快,部分用户响应慢。 依据目的地址负载均衡:根据目的 IP地址来选择不同外网出口,内部用户可以根据不同运营商提供的资源,选择相应运营商的出口,但是会导致提供资源
28、丰富的运营商出口负载过大,提供资源相对比较少的运营商出口负载很轻,造成各出口不均衡的现象。 【试题解析】 本问题考查依据源地址和目的地址的负载均衡的实现原理和优缺点,是理论性知识。依据源地址负载均衡根据源 IP地址来选择不同外网出口,可以根据各出口带宽按比例划分对应的源 IP子网段,达到出口负载 均衡的作用,但是访问同一资源时,部分用户响应快,部分用户响应慢。 依据目的地址负载均衡根据目的 IP地址来选择不同外网出口,内部用户可以根据不同运营商提供的资源,选择相应运营商的出口,但是会导致提供资源丰富的运营商出口负载过大,提供资源相对比较少的运营商出口负载很轻,造成各出口不均衡的现象。 6 【正
29、确答案】 改造后的出口网络拓扑如图 2-3所示。改造原因: (1)将 4台核心交换机组成环网结构,避免新老校区设备或单链路故障造成新老校区网络中断; (2)在电信、联通链路增加负载均衡设备,平衡各出口的 负载和加快内部用户访问外网的速度; (3)同时考虑教育网的特定应用,配置教育网走明确路由。 【试题解析】 整合改造方案中,要根据题目中的限制条件进行设计优化改造方案。 根据题目要求,可以看出需要改造的地方: (1)将 4台核心交换机组成环网结构,避免新老校区设备或单链路故障造成新老校区网络中断; (2)在电信、联通链路增加负载均衡设备,平衡各出口的负载和加快内部用户访问外网的速度; (3)同时
30、考虑教育网的特定应用,配置教育网走明确路由。 7 【正确答案】 (1)容灾服 务器:容灾服务器和存储设备距离 20公里,需要远距离传输,所以只能选择 IP-SAN技术; (2)数据库服务器:需要高性能、大并发、快速响应,最合理的应该选择 FCSAN技术。 【试题解析】 本问题考查 IP-SAN技术和 FC-SAN技术的优缺点,结合实际应用选择。 (1)容灾服务器:容灾服务器和存储设备距离 20公里,需要远距离传输,所以只能选择 IP-SAN技术。 (2)数据库服务器:需要高性能、大并发、快速响应,最合理应该选择 FC-SAN技术。 8 【正确答案】 数据库服务器 选择 SA S磁盘,容灾服务器
31、选择 SATA磁盘。原因如下: (1)SAS是双端口,采用全双工的工作方式传输数据,而 SATA是单端口,采用半双工的工作方式传输数据; (2)SAS使用 SCSI命令进行错误校正和错误报告,这比 SATA采用的 ATA命令集有更多的功能; (3)SAS磁盘容量小,价格比较昂贵, SATA磁盘容量大,价格比较便宜。 【试题解析】 数据库服务器和容灾服务器相比,数据库服务器数据容量小,读写频繁,要求速度快,而容灾服务器不追求速度,侧重于大容量。 所以综合 SAS磁盘和 SATA磁盘在传输速率、安全型和性价比方面的优缺点,采取数据库服务器选择 SAS磁盘,容灾服务器选择 SATA磁盘。 9 【正确
32、答案】 数据库服务器选择 RAID10,容灾服务器选择 RAID5。原因如下: (1)I O:读操作上, RAID10和 RAID5是相当的,写操作上, RAID10好于RAID5; (2)数据重构:在一块磁盘失效,进行数据重构期间, RAID5要比 RAID10耗时长,负荷大,数据丢失可能性高,可靠性低。 【试题解析】 数据库服务器性能、安全级别都 比容灾服务器要求高,所以数据库服务器选择 RAID10,容灾服务器选择 RAID5。原因如下: (1)I O:读操作上, RAID10和 RAID5是相当的,写操作上, RAID10好于RAID5; (2)数据重构:在一块磁盘失效,进行数据重构期
33、间, RAID5要比RAID10耗时长,负荷大,数据丢失可能性高,可靠性低。 三、试题三 10 【正确答案】 (1)6并发连接数控制 (2)2用户访问权限控制技术 (3)1防非法 DHCP欺骗 3开启环路检测 (STP) 4防止 ARP网关欺骗 5广播风暴的控制 (4)7病毒防治 【试题解析】 本问题主要考查安全技术加载的位置。 从 DHCP工作原理可以看出,如果客户端是第一次、重新登录或租期已满不能更新租约,客户端都是以广播的方式来寻找服务器,并且只接收第一个到达的服务器提供的网络配置参数,如果在网络中存在多台 DHCP服务器 (有一台或更多台是非授权的 ),谁先应答,客户端就采用其提供的网
34、络配置参数。假如非授权的DHCP服务器先应答,这样客户端最后获得的网络参数即是非授权的,客户端即被欺骗了。 而在实际应用 DHCP的网络中,基本上都会采用 DHCP中继,这样的话,本网络的非授权 DHCP服务器一般都会先于其余网络的授权 DHCP服务器的应答 (由于网络传输的延迟 ),在这样的应用中, DHCP欺骗更容易完成。对 DHCP欺骗的防范方法主要是在交换机上启用 DHCPSNOOPING功能。 用户访问权限控制通常读取第三层及第四层包头中的信息如源地址、目的地址、源端口、目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。通常加载在汇聚层交换机上。 频繁改动网络时很
35、容易引发网络环路,网络 环路引起的网络堵塞现象常常具有较强的隐蔽性,不利于故障现象的高效排除。开启环路检测 (STP)通常加载在接入交换机上,通过配置交换机的环回监测功能,快速地判断局域网中是否存在网络环路。 ARP网关欺骗是局域网中一台机器,反复向其他机器,特别是向网关,发送假冒的 ARP应答信息包,造成严重的网络堵塞。解决的方法是在某个网络内采用检测技术,防止欺骗。 并发连接数控制整个网络中的连接数,需在核心层完成。 病毒防治在网络内,通常在单机上完成。 11 【正确答案】 1选择方案二 2理由: (1)如果服务器规模比较大,方案一按照主机添加安全策略,所以防火墙的安全策略数量比较多,对防
36、火墙的资源消耗也会比较大,方案二按照服务添加安全策略,所以防火墙安全策略数量不多,对防火墙的资源消耗也会比较小; (2)如果某一主机感染病毒或木马时,方案一安全域级别低或者相同的其他主机会受到影响,方案二相同虚拟防火墙中相同 VLAN主机会受到影响,其余主机不会影响; (3)后期服务器数量大幅增加,方案一需新增加多条安全策略,方案二服务类型不新增的情况下,安全策略基本不需增加。 【试题解析】 方案一按照主机添加安全策略,防火墙的安全策略数量比较多,对防火墙的资源消耗也会比较大,方案二按照服务添加安全策略,所以防火墙安全策略数量不多,对防火墙的资源消耗也会比较小。 如果某一主机感染病毒或木马时,
37、方案一安全域级别低或者相同的其他主机会受到影响,方案二相同虚拟防火墙中相同 VLAN主机会受到影响,其余主机不会影响;而且后期服务器数量大幅增加,方案一需新增加多条安全策略,方案二服务类型不新增的情况下,安全策略基本不需增加。 综上,选择方案二。 12 【正确答案】 (1)针对 地址进行带宽限制。针对源 IP地址、目的 IP地址进行带宽限制,防止某地址独占带宽。 (2)针对子网进行带宽限制。针对子网进行带宽限制,防止某子网独占带宽,如某个部门划分一个子网。 (3)针对服务进行带宽限制。针对服务进行带宽限制,防止某服务独占带宽,如视频、 BT等。 【试题解析】 通常在核心层架设流控设备进行流量管
38、理和终端控制,有以下 3种: (1)针对地址进行带宽限制。针对源 IP地址、目的 IP地址进行带宽限制,防止某地址独占带宽。 (2)针对子网进行带宽限制。针对子网进行 带宽限制,防止某子网独占带宽,如某个部门划分一个子网。 (3)针对服务进行带宽限制。针对服务进行带宽限制,防止某服务独占带宽,如视频、 BT等。 13 【正确答案】 1非法 DHCP欺骗原理:客户端第一次登录、重新登录或租期已满不能更新租约时,以广播方式寻找服务器,并且只接收第一个到达的服务器提供的网络配置参数,如果在网络中存在多台 DHCP服务器 (有一台或更多台是非授权的 ),并且非授权的 DHCP服务器先应答,那么客户端就
39、会获得非授权的网络参数。 2防范:可以在交换机上开启 DHCP SNOOPING,通过建立和维护 DHCP SNOOPING绑定表并过滤不可信任的 DHCP信息,只让合法的 DHCP应答通过交换机,阻断非法应答,从而防止 DHCP欺骗。 【试题解析】 客户端第一次登录、重新登录或租期已满不能更新租约时,以广播方式寻找服务器,并且只接收第一个到达的服务器提供的网络配置参数,如果在网络中存在多台 DHCP服务器 (有一台或更多台是非授权的 ),并且非授权的DHCP服务器先应答,那么客户端就会获得非授权的网络参数。可以在交换机上开启 DHCP SNOOPING,通过建立和维护 DHCP SNOOPING绑定表并过滤不可信任的 DHCP信息,只让合法的 DHCP应答通过交换机,阻断非法应答,从而防止 DHCP欺骗。
