1、2015年下半年软件水平考试(高级)网络规划设计师下午(案列分析)真题试卷及答案与解析 一、试题一 0 阅读以下说明,回答问题 1至问题 4,将解答填入答题纸对应的解答栏内。【说明】某企业网络拓扑如图 1-1所示。1 【问题 1】根据图 11,对该网络主要设备清单表 1一 1所示内容补充完整。2 【问题 2】 1网络中 A、 B设备连接的方式是什么 ?依据 A、 B设备性能及双链路连接,计算两者之间的最大带宽。 2交换机组 F的连接方式是什么 ?采用这种连接方式的好处是什么 ? 3 【问题 3】 该网络拓扑中连接 到各分部可采用租赁 ISP的 DDN、 Frame Relay、 ISDN线路等
2、方式,请简要介绍这几种连接方式。 4 【问题 4】 若考虑到成本问题,对其中一条连接到分部的线路用 VPN的方式,在分部路由器上做下列配置: sub-company(config)#crypto isakmp policy 1 sub-company(config-isakmp)#encry des sub-company(config-i sakmp)#hash md5 sub-company(config-isakmp)#authentication pre-share sub-company(config-isakmp)#exit sub-company(config)#crypto i
3、sakmp key 6 cisco address x x x x 该命令片段配置的是 _。 备选答案: A定义 ESP B IKE策略 C IPSce VPN数据 D路由映射 在该配置中, IP地址 x x x x是该企业总部 IP地 址还是分部 IP地址 ? 二、试题二 4 阅读以下说明,回答问题 1至问题 4,将解答填入答题纸对应的解答栏内。【说明】 传统业务结构下,由于多种技术之间的孤立性,使得数据中心服务器总是提供多个对外 I O接口。在云计算模式发展的推动下,数据中心正在从过去的存储处理中心演变成为应用中心,并逐步向服务中心和运营中心转变。而对客户来说,由于技术,经验,资金等限制,
4、在转变过程中会遇到各种挑战,例如:虚拟化带来的技术复杂性,规模扩大带来的运维压力,系统和数据迁移的困难以及数据中心的高能耗等。 传统业务结构下的数据中心网拓 扑结构图如图 2-1所示。5 【问题 1】 (1)如图 21所示,数据中心有多个网络,一个是前端用户通信网络,一个是后端做数据更新或者做集群计算的通讯网络,还有后台光纤存储网络。针对这 3种网络分别举出一个例子。 (2)如上所述,除以上 3种网络外,有的数据中心还有专门用于虚拟机迁移的网络,都会在服务器上做集中。这样一台服务器最多需要几块网卡与之相连 ?随着TRILL等技术的出现,这个专用网络还需要吗 ? (3)网络成为数据中心资源的交换
5、枢纽,当前数据中心分为 IP数据网络、存储网络、服务 器集群网络。随着数据中心规模的逐步增大,简单分析带来的问题。 6 【问题 2】 FCoE采用增强型以太网作为物理网络传输架构,是专门为低延迟性、高性能、二层数据中心网络所设计的网络协议。目前国际标准化组织已经开发了针对以太网标准的扩展协议族,即 “融合型增强以太网 (CEE)”,这些扩展协议族可以进行所有类型的传输。试简述 FCoE技术的优点。 7 【问题 3】 为了实现统一管理、简化运维,采用基于 FCoE技术的数据中心统一I O能够实现用少数的 CNA(Converged Network adapter)代替数量较多的 NIC、HBA、
6、 HCA,所有的流量通过 CNA万兆以太网传输。 按照 18台服务器 (单网卡 )为例,使用 FCoE后每台服务器只需要一块专用适配器 (网卡 ),一套布线 (以太网 )系统,统一管理维护简单。表 21为使用 FCoE前 18台服务器需要的网卡、交换机、电缆以及上联端口的数量;请核算出使用 FCoE后的相应部件数量,填充表 2-2。8 【问题 4】 (1)随着数据中心的发展,数据中心的能耗已经成为一个严峻的问题, PUE值已经成为国际上比较通行的数据中心电力使用效率的衡量指标。请问 PUE是什 么,它的基准是多少,其越接近多少表示一个数据中心的绿色化程度越高 ? (2)在现代机房的机柜布局中,
7、人们为了美观和便于观察会将所有的机柜朝同一个方向摆放。如果按照这种摆放方式,机柜盲板有效阻挡冷热空气的效果将大打折扣。正确的摆放方式是什么 ?请简述其原因。 (3)水冷空调系统是目前新一代大型数据中心制冷的首选方案,采用水冷空调在部分地区可以采取免费冷却技术以节能。免费冷却技术是什么 ? 三、试题三 8 阅读以下说明,回答问题 1至问题 5,将解答填入答题纸对应的解答栏内。 【说明】 某学 校拥有内部数据库服务器 1台,邮件服务器 1台, DHCP服务器 1台, FTP服务器 1台,流媒体服务器 1台, Web服务器 1台。要求为所有的学生宿舍提供有线网络接入服务,对外提供 Web服务、邮件服
8、务、流媒体服务,内部主机和其他服务器对外不可见。 9 【问题 1】 请划分防火墙的安全区域,说明每个区域的安全级别,指出各台服务器所处的安全区域。 10 【问题 2】 请按照你的思路为该校进行服务器和防火墙部署设计,对该校网络进行规划,画出网络拓扑结构图。 11 【问题 3】 学校在原有校园网络 基础上进行了扩建,采用 DHCP服务器动态分配 IP地址。运行一段时间后,网络时常出现连接不稳定、用户所使用的 IP地址被 “莫名其妙 ”修改、无法访问校园网的现象。经检测发现网络中出现多个未授权 DHCP地址。 请分析上述现象及遭受攻击的原理,该如何防范 ? 12 【问题 4】 学生宿舍区经常使用的
9、服务有 Web、即时通信、邮件、 FTP等,同时也因视频流导致大量的 P2P流量,为了保障该区域中各项服务均能正常使用,应采用何种设备合理分配每种应用的带宽 ?该设备部署在学校网络中的什么位置 ?一般采用何种方式接入 网络 ? 13 【问题 5】 当前防火墙中,大多都集成了 IPS服务,提供防火墙与 IPS的联动。区别于IDS, IPS主要增加了什么功能 ?通常采用何种方式接入网络 ? 2015年下半年软件水平考试(高级)网络规划设计师下午(案列分析)真题试卷答案与解析 一、试题一 1 【正确答案】 (1)C (2)汇聚交换机 (3)D (4)核心路由器 (5)E (6)边界防火墙 【试题解析
10、】 本题考查接入网技术和网络规划及配置的相关知识。 此类题目要求考生认真阅读题目或给出的网络拓扑图,对网络拓扑 中采用组网技术进行分析说明。 要求对组网设备的性能和功能分析,结合网络拓扑图和设备列表补充完善表格中的空白处。网络拓扑中没有在设备列表中标注的有 C、 D、 E、 G等设备。看图例可知 D、 E分别是路由器和防火墙, C是介于 A、 B和 F的交换机设备。根据D、 E、 C设备在网络中承担的任务,参照表中的产品描述, C为汇聚交换机、 D为核心路由器、 E为核心路由器。 2 【正确答案】 1链路聚合或捆绑 2G(或答 20G也正确 ) 2堆叠 扩大接入规模,简化网络管理 【试题解析】
11、 网络中 A、 B设备连接的方式是链路聚合或捆绑。链路聚合是将两个或更多数据信道结合成一个单个的信道,该信道以一个单个的更高带宽的逻辑链路出现。链路聚合一般用来连接一个或多个带宽需求大的设备,例如连接骨干网络的服务器或服务器群。 A、 B设备可以配置干兆或者万兆的接口,在双链路聚合的前提下,最大带宽是 2G或 20G。 交换机组 F的连接方式是堆叠,堆叠需要专用的堆叠模块和堆叠线缆。堆叠可以扩大网络接入规模,对所有的交换机进行统一配置和管理,达到提高交换机背板容量,实现所有交换机高速连接的目的。 3 【正确答案】 DDN是利用数字信道提供永久性连接电路,用来传输数据信号的数字传输网络。 帧中继
12、是一种数据包交换技术,可以动态共享网络介质和可用带宽。 ISDN是一个数字电话网络标准,是一种典型的电路交换网络系统。 【试题解析】 DDN专线接入向用户提供的是永久性的数字连接,沿途不进行复杂的软件处理,因此延时较短,避免了传统的分组网中传输协议复杂、传输时延长且不固定的缺点; DDN专线接入采用交叉连接装置,可根据用户需要,在约定的时间内接通所需带宽的线路,信道容量的分配和接续均在计算机控制下进行,具有极大的灵活性和可靠性 ,使用户可以开通各种信息业务,传输任何合适的信息。 帧中继是一种局域网互联的 WAN协议,它工作在 OSI参考模型的物理层和数据链路层。它为跨越多个交换机和路由器的用户
13、设备间的信息传输提供了快速和有效的方法。帧中继是一种数据包交换技术,与 X 25类似。它可以使终端站动态共享网络介质和可用带宽。 ISDN综合业务数字网 (Integrated Services Digital Network)是一个数字电话网络国际标准,是一种典型的电路交换网络系统。在 ITU的建议中, ISDN是一种在数字电话网 IDN的基础上发展起来的通信网络, ISDN能够支持多种业务,包括电话业务和非电话业务。 4 【正确答案】 (7)B 总部 IP地址 【试题解析】 采用 VPN连接,网络对等端需要建立信任关系,必须交换某种形式的认证密钥。 Internet密钥交换 (Intern
14、et Key Exchange, IKE)是一种为 IPSec管理和交换密钥的标准方法。该过程一般包括定义策略、定义加密算法、定义散列算法、定义认证方式等步骤。 在分部路由器上配置 IKE策略, x x x x是对端地址。 二、试题二 5 【正确答 案】 (1)前端:以太网 后端:高性能计算 Infiniband网络 后台: FC光纤 (2)8个网卡 不需要 (3)每个服务器要多个专用适配器 (网卡 )以及不同的布线系统; 机房要支持更多设备; 管理的复杂性增加; 部署配置运维困难。 成本增加 (人员,能耗,运维成本等 ) 【试题解析】 本题考查云计算模式下的数据中心的相关知识及应用。 本问题
15、主要考查传统数据中心的问题及 I O融合趋势。 传统业务结构下,由于多种技术之间的孤立性 (LAN与 SAN),使得数据中心服务器总是提供多个对外 I O接口 (在此,可理解成服务器的网卡 ),即用于数据计算与交互的 LAN接口以及数据访问的存储接口,某些特殊:吓境如特定 HPC(高性能计算 )环境下的超低时延接口。服务器的多个 I O接口导致了数据中心环境下多个独立运行的网络同时存在,不仅使得数据中心布线复杂,不同的网络、接口形体造成的异构还直接增加了额外人员的运行维护、培训管理等高昂成本投入,特别是存储网络的低兼容性特点,使得数据中心的业务扩展往往存在约束。 数据中心里会有两个网络,一个是
16、前端 IP网络,后 端可能会是光纤网络,都会在服务器上做。因此,集中服务器上以太网卡、光纤网卡,跟外部数据交互时通过 IP网络进行交互。如果说得更极端一点,在大型数据中心会存在:一是前端的用户通信网络 (以太网 );二是后台存储网络光纤的通道 (FC光纤网络 );三是后端做数据更新或者做 集群计算的通信网络 (高性能计算 Infiniband网络 );四是专门用于虚拟机迁移的网络 (各个服务器上有一个普通的以太网网卡,连接到独立的交换机组成的网络上,专门做虚拟机迁移。随着 TRILL等技术的出现,这个专用的网络不再需要 )。在这种情况下最多会有八个网卡,这些都是现有的设计视为理所当然的。 网络
17、渐渐成为数据中心资源的交换枢纽。当前数据中心分为 IP数据网络、存储网络、服务器集群网络。但随着数据中心规模的逐步增大,也带来以下问题:每个服务器要多个专用适配器 (网卡 ),要有不同的布线系统;机房要支持更多设 备:空间、耗电、制冷;多套网络无法统一管理,不同的维护人员;部署配置管理运维困难。 6 【正确答案】 光纤存储和以太网共享同一个端口; 更少的线缆和适配器; 软件配置 I O: 与现有的 SAN环境可以互操作。 【试题解析】 FCoE采用增强型以太网作为物理网络传输架构,能够提供标准的光纤通道有效内容载荷,避免了 TCP IP协议开销,而且 FCoE能够像标准的光纤通道那样为上层软件
18、层 (包括操作系统、应用程序和管理工具 )服务。 FCoE可以提供多种光纤通道服务,比如发现、全局名称命名、分区等 ,而且这些服务都可以像标准的光纤通道那样运作。不过,由于 FCoE不使用 TCP IP协议,因此 FCoE数据传输不能使用 IP网络。 FCoE是专门为低延迟性、高性能、二层数据中心网络所设计的网络协议。 和标准的光纤通道 FC一样, FCoE协议也要求底层的物理传输是无损失的。因此,国际标准化组织已经开发了针对以太网标准的扩展协议族,尤其是针对无损10Gb以太网的速度和数据中心架构。这些扩展协议族可以进行所有类型的传输。这些针对以太网标准的扩展协议族被国际标准组织称为 “融合型
19、增强以太网(CEE)”(思科称为 “数 据中心以太网 (DCE)”)。 数据中心 FCoE(FC over Ethemet)技术实现在以太网架构上映射 FC(Fibre Channel)帧,使得 FC运行在一个无损的数据中心以太网络上 (需要无损的以太网(CEE DCE DCB)保证不丢包 )。 FCoE技术有以下的一些优点:光纤存储和以太网共享同一个端口;更少的线缆和适配器;软件配置 I O;与现有的 SAN环境可以互操作。 基于 FCoE技术的数据中心统一 I O能够实现用少数的 CNA(Converged Network Adapter)代替数量较 多的 NIC、 HBA、 HCA,所有
20、的流量通过 CNA万兆以太网传输。 使用 FCoE后的好处:每个服务器只需要一个专用适配器 (网卡 ),一套布线 (以太网 )系统 (以前需要多个网卡,多套布线 (以太网和光纤 )系统 );机房不再要支持更多设备:空间、耗电、制冷,更加节能绿色;只有一套网络,统一管理维护简单(原来是多套网络无法统一管理,不同的维护人员维护困难 );部署配置管理运维简单。 7 【正确答案】 (1)0 (2)0 (3)0 (4)0 (5)0 (6)0 (7)0 (8)4 (9)18 (10)2 (11)36 (12)6 【试题解析】 使用前 (按照 18台服务器为例,如下表 )1 72根光纤、 36个网卡 (36
21、根以太网光纤、 36个以太网网卡, 18根 FC光纤、 18个 FC光纤网卡 )2 4台交换机 (2台以太网交换机, 2台 FC光纤交换机 )3上联端口 (6个,以太网交换机要 2个,光纤交换机需要 4个 )使用后 (按照 18台服务器为例,如下表 )1 36根光纤、 18个网卡 (36根光纤、 18个 CNA网卡 )2 2台交换机 (2台 FCoE交换机 )3上联端口 (6个,以太网交换机要 2个,光纤交换机需要 4个 ) 8 【正确答案】 (1)PUE:数据中心总设备能耗 IT设备能耗,基准是 2,越接近 1表明能效水平越好。 (2)将服务器机柜面对面或背对背的方式摆放。 因为这样将会形成
22、 “冷 ”通道和 “热 ”通道,提高制冷效果。 (3)免费冷却 (Free Cooling)技术指全部或部分使用自然界的免费冷源进行制冷从而减少压缩机或冷冻机消耗的能量。 【试题解析】 本问题主要考查数据中心能耗的相关知识。 随着能源成本上升,我们越来越关注 IT对环境的影响,技术管理人员现在面临着双重任务:创造和保持高可用性的 IT环境,并推行绿色倡议。用于数据 中心保证设备运行的能源消耗需求惊人。 (1)PUE是: Power Usage Effectiveness的简写,是评价数据中心能源效率的指标,是数据中心消耗的所有能源与 IT负载使用的能源之比,是 DCIE(Data Center
23、 Infrastructure Efficiency)的反比。 PUE=数据中心总设备能耗 IT设备能耗,PUE是一个比值,基准是 2,越接近 1表明能效水平越好。PUE(PowerUsageEffectiveness,电源使用效率 )值已经成为国际上比较通行的数据中心电力使用效率的 衡量指标。 PUE值是指数据中心消耗的所有能源与 IT负载消耗的能源之比。 PUE值越接近于 1,表示一个数据中心的绿色化程度越高。 (2)以往在机柜的布局中,人们为了美观和便于观察,常常会将所有的机柜朝同一个方向摆放。如果按照这种摆放方式,机柜盲板有效阻挡冷热空气的效果将大打折扣。正确的摆放方式应该是将服务器机
24、柜面对面或背对背的摆放方式摆放,这样便形成了冷风通道和热风通道,机柜之间的冷热风不会混合在一起,形成短路气流,有效提高制冷效果,保护好冷热通道不被破坏。即当机柜内或机架上的设备为前进风后出风方式冷 却时,机柜或机架的布置宜采用面对面、背对背方式。 (3)水冷式空调的发明源于生活的细节,夏季人站在海边感觉特别凉爽,这是因为海水吸收空气中的热量而蒸发,使空气温度下降,从而带给我们凉爽的冷空气。细心的人们发现了这一现象,并将这一现象巧妙地运用到温度调节中来,进而发明了节能环保的水冷空调。水冷空调又叫环保空调,是一种利用自来水的温度,来达到冷却室内温度的空调机。 水冷空调系统是目前新一代大型数据中心制
25、冷的首选方案,采用水冷空调在部分地区可以采取免费冷却技术以节能。免费冷却技术指全部或部分使用自然 界的免费冷源进行制冷从而减少压缩机或冷冻机消耗的能量。目前常用的免费冷源主要是冬季或者春秋季的室外空气,因此,如果可能的话,数据中心的选址应该在天气比较寒冷或低温时间比较长的地区。在中国,北方地区都是非常适合采用免费制冷技术。 三、试题三 9 【正确答案】 整个网络分为 3个不同级别的安全区域: 1内部网络:安全级别最高,是可信的、重点保护的区域。包括所有内部主机,数据库服务器、 DHCP服务器和 FTP服务器。 2外部网络:安全级别最低,是不可信的、要防备的区域。包括外部因特网用户主机 和设备。
26、 3 DMZ区域 (非军事化区 ):安全级别中等,因为需要对外开放某些特定的服务和应用,受一定的保护,是安全级别较低的区域。包括对外提供 www访问的 Web服务器、邮件服务器和流媒体服务器。 【试题解析】 本题考查局域网安全部署的基本知识及应用。 根据题目中关于该学校所拥有的服务器类型和服务器数量、基本要求以及服务器对用户的访问权限等说明,考虑到防火墙的 3种区域划分,可将网络分为内部网络、外部网络和 DMZ区 3个区域,这 3个区域中,内部网络的安全要求级别最高, DMZ区次之,外部网络的安 全要求级别最高。 10 【正确答案】 拓扑结构图如下:注: 1 DMZ区服务器群,内网服务器群放置
27、位置,防火墙位置,网络层次结构,学生宿舍汇聚接入。 2合理的服务器放置和防火墙配置也正确,比如出口防火墙采用端口映射来区别是否为外网提供服务。 【试题解析】 根据问题 1对该学校网络区域的划分,将不同的服务器放置在相应的区域即可,对于具体的网络连接细节则不必过多地考虑,在防火墙的 DMZ区中,由于需要连接多台服务器,应使用一台局域网交换机进行连接。 11 【正确答案】 攻击原理: (1)当 DHCP客户端第一次连接网络、重新连接或者地址租期已满时,会以广播的方式向 DHCP服务器发送 DHCP Discover消息,以获取重新获取 IP地址: (2)若网络中存在多台 DHCP服务器,均能收到该
28、消息并应答; (3)非授权 DHCP服务器会先于授权 DHCP服务器发出应答; (4)客户端使用非授权服务器发出的应答包,并用作自己的 IP地址: (5)客户端地址被修改,无法访问校园网。 防范措施: (1)启用接入层交换机的 DHCP Snooping功能; (2)DHCP Snooping功能将交换机接口分为信任接口和非信任接口; (3)连接客户端的接口为非信任接口,上连到汇聚交换机的接口为信任接口; (4)非信任接口上接收到 DHCP Offer、 DHCP ACK、 DHCPNCK报文时,交换机会将其丢弃; (5)DHCP Snooping功能可阻止连接在非信任接口上的非授权 DHCP
29、服务器为客户端提供 IP地址配置信息。 【试题解析】 当采用 DHCP服务器为客户端动态分配 IP地址时,出现网络连接不稳定、用户的地址会被 “莫名其妙 ”修改,导致无法访问校 园网的现象,经查是出现了多个未授权的 DHCP服务器所致。这些所谓 “未授权 ”的服务器为客户机分配了其他的非法 IP地址,导致用户无法访问网络。这类攻击为 DHCP攻击,DHCP攻击的原理是距离客户端较近的 DHCP服务器会先于授权 DHCP服务器相应客户端的请求,而导致客户端接收到非法 IP地址,无法访问网络。防范的方法一般是在接入层交换机上启用 DtCP Snooping功能,以过滤非信任接口上收到的DHCP o
30、ffer、 DHCP ACK和 DHCPNCK报文,从而防止非法的 DHCP服务器为客户端分配 IP地址。 12 【正确答案】 应采用流量控制设备,部署在核心交换机与学生宿舍区汇聚交换机之间,采用串接方式接入网络。 【试题解析】 根据问题的描述,由于网络中存在大量的 P2P流量,而导致其他各项服务正常工作,应对 P2P流量进行控制。要实现该功能,一般所选用的设备为流控设备,流控设备一般部署在被控流量区域的主干区域,应采用串接方式接入网络。 13 【正确答案】 区别于 IDS, IPS提供主动防护,增加了深入检测和分析功能,提供高效处理 (拦截或阻断 )能力。采用串接方式接入网络。 【试题解析】
31、 随着网络攻击技术 的发展,对安全技术提出了新的挑战。防火墙技术和 IDS自身具有的缺陷阻止了它们进一步的发展。防火墙不能阻止内部网络的攻击,对于网络上流行的各种病毒也没有很好的防御措施; IDS只能检测入侵而不能实时地阻止攻击,而且 IDS具有较高的漏报和误报率。 在这种情况下入侵防御系统 (Intrusion Prevention System, IPS)成了新一代的网络安全技术。 IPS提供主动、实时的防护,其设计旨在对网络流量中的恶意数据包进行检测,对攻击性的流量进行自动拦截,使它们无法造成损失。 IPS如果检测到攻击企图, 就会自动地将攻击包丢掉或采取措施阻断攻击源,而不把攻击流量放进内部网络。 IPS和 IDS的部署方式不同。串接式部署是 IPS和 IDS区别的主要特征。 IDS产品在网络中是旁路式工作, IPS产品在网络中是串接式工作。串接式工作保证所有网络数据都经过 IPS设备, IPS检测数据流中的恶意代码,核对策略,在未转发到服务器之前,将信息包或数据流拦截。由于是在线操作,因而能保证处理方法适当而且可预知。 IPS系统根据部署方式可以分为 3类:基于主机的入侵防护 (HIPS)、基于网络的入侵防护 (NIPS)、应用入 侵防护 (AIP)。
