1、软件水平考试(高级)网络规划设计师下午(案例分析)试题模拟试卷 2及答案与解析 一、试题一 1 阅读以下技术说明,根据要求回答问题 1问题 4。 说明 某学校新建一栋 21层教学综合大楼,楼层两端相距 100m,距一端 50m处有一弱电竖井,弱电竖井贯穿每层的弱电室。每层楼均有 100个信息点 (所有信息点要求具有 100Mb/s的数据传输率 )。教学综合大楼距离原校园一期网络工程的核心交换机 (布置在图书馆 )约 650m。 随着不同的网络应用系统在网络工程的深入应用,网络数据的安全性越来越重要。网络系统的 数据备份策略、网络安全策略的作用也日益突显。一个实用的网络工程项目的应用系统设计中必
2、须有网络数据备份、恢复手段和灾难恢复计划等。 1 该 21层教学综合大楼网络规划方案不仅要体现所设计的网络能满足现有及未来几年信息系统的应用需求,还需具有较高的平均无故障时间和尽可能低的平均故障率。该 21层教学综合大楼网络规则方案中除了实用性和高可靠性之外,还有哪些特性需要考虑 ? 2 根据你的网络工程经验,请用 250字以内的文字简要描述该 21层教学综合大楼网络层次结构的设计要点。 (不要求画图 ) 3 请用 300字以内 的文字,以提纲形式描述该 21层教学综合大楼综合布线设计的方案设计要点。 4 网络规划设计师必须能够与具有不同背景的利益相关者 (如政府各个部门、企事业单位、业务工作
3、人员、网络管理人员等 )进行沟通交流,以提取和细化各方面的需求,并向这些利益相关者描述网络系统的体系结构。请用 100字以内文字简要叙述在网络规划设计过程中常用的沟通交流技巧。 二、试题二 5 阅读下列技术说明,根据要求回答问题 1问题 5。 说明 为了保障内部网络的安全,某公司在 Internet的连接处安装了 CiscoPIX525防火墙。该 防火墙带有 3个网络接口,其网络拓扑如图 4-13所示。5 在网络工程规划与设计过程中,选择防火墙之前应该考虑的因素有哪些 ?请用300字以内的文字简要回答。 6 请为图 4-13拓扑结构中 PIX 525防火墙各接口命名,并指定相应的安全级别和IP
4、 地址的配置语句。 7 该公司允许内部网段 192.168.1.0/26的所有主机对外访问 Internet。请写出 PIX 525防火墙与之相关的配置语句。 8 在图 4-13拓扑结构中 PIX 525防火墙有如下配置语句,请写出每条配置语句的功能注释。 Pix525(config)# route outside 0 0 211.156.169.1 (1) Pix525(config)# static(inside, outside) 211.156.169.2 211.156.169.5 (2) Pix525(config)# conduit deny icmp any any (3) P
5、ix525(config)# fixup protocol http 8080 (4) 9 只封禁一台地址为 192.168.1.230主机的 access-list正确配置是 (5) 。 A access-list 110 permit中 anyany access-list 110 deny中 host 192.168.1.230 any access-list 110 deny ip anyhost 192.168.1.230 B access-list 110 deny中 host 192.168.1.230 any access-list 110 deny中 any host 192
6、.168.1.230 access-list 110 permit ip anyany C access-list 110 deny ip host 192.168.1.230 any access-list 110 deny ip any host 192.168.1.230 D access-list 110 deny ip host 192.168.1.230 any access-list 110 permit ip anyany access-list 110 deny ip any host 192.168.1.230 三、试题三 10 阅读下列关于系统运行的叙述,根据要求回答问题
7、 1问题 4。 说明 A公司准备建立一个合同管理和查询系统。该系统由 1台服务器和 100台客户机构成,服务器和客户机之间通过局域网进行通信,服务器通过专线连接到两个交易网关 A和B。系统构成如图 5-14所示。 服务器是对称多处理器系统,操作系统使用虚拟存储。操作系统需要 60MB的主存 (假设与 CPU的数量无 关 )。 系统需要处理 4种类型的操作:从交易网关接收数据,完成应用 1到应用 3的操作。 服务器直接从交易网关接收数据 (该操作被称为接收任务 )。应用 l至应用 3需要客户机与服务器协作完成,其中由服务器执行的部分被分别称为应用任务 1、应用任务 2和应用任务 3(如表 5-9
8、所示 )。对于接收任务,即便是在峰值时间,也必须在 10s内完成,否则数据会丢失。 系统中的100台客户机的配置完全相同。一台客户机一次只能处理一个应用,不能同时处理多个应用。一个应用完成之后,才能处理下一个应用。 服务器根据客户机选择的应用创建不同的应用 任务。当客户机上的处理完成后,相应的应用任务也完成了。当服务器启动时,分别为每个交易网关创建一个接收任务。 在峰值时间,处理应用 1的客户机有 50台,处理应用 2的客户机有 30台,处理应用 3的客户机有 20台。 由于该系统使用虚拟存储,因此没有必要全部从主存中为操作系统和每个任务申请存储空间。但是,如果系统从主存中分配给操作系统的存储
9、空间不到其所需的 80%,分配给应用任务的存储空间不到其所需的 50%,分配给接收任务的存储空间不到其所需的 80%,则系统性能会下降到不能接受的程度。 10 要保证在峰值时间应用任 务的处理速度仍可接受,服务器所需的最小主存是多少 ?(单位: MB) 11 在峰值时间,使用单独的 CPU无法保证在规定的时间内完成各种应用。为了解决这个问题,需要增加 CPU的数量。计算在这种情况下,服务器上安装的 CPU的最小数量。 (注:假设处理速度与 CPU的数量成正比。 ) 12 如果在服务器和客户机之间采用 TCP/IP协议通信,则在峰值时间,局域网上传输的数据的最小流量是多少 ? 13 在该系统中是
10、否适合采用 UDP作为服务器与客户机的通信协议 ?用 150字以内的文字说明原因 (可针对不同应用进行讨论 )。 四、试题四 14 阅读以下技术说明,根据要求回答问题 1问题 4。 说明 随着网络规模扩大,网络带宽增加,异构性和复杂性不断提高,网络新业务不断出现,网络运行质量的问题日益突出。网络运行质量的好坏直接关系到网络能否正常运行及用户体验,因此在网络建设初期及网络运行过程中有必要进行网络测试。假设网络工程项目 P包括 A H 8个网络应用子系统,其结构如图 6-17所示,其中子系统 D与 G的业务运行依赖于公共模块 E。 现计划采用自顶向下的方法执行网络工程 P的测试项目,该项目包括多个
11、作业。设作业 A的任务是对模块 A进 行测试,作业 B的任务是对模块 B进行测试 依次类推。作业 P的任务是对项目 P进行整体测试。表 6-11列出了该项目各作业计划所需的天数、至少必须的天数 (即再增大花费也不能缩短的天数 ),以及每缩短 1天测试所需增加的费用。图 6-18是尚未完成的该项目计划图,其中,每条箭线表示一个测试作业,箭线上标注的字母表示作业名,数字表示计划测试天数。 14 请通过填补箭线完成图 6-18所示的该网络工程项目计划图。若为虚作业,请画成虚箭线;若为实箭线,则请在箭线上注明作业名及计划测试天数。 15 完成该网络工程测试项 目的工期是多少天 ? 16 (1)如果要求
12、该网络工程测试项目比原计划提前 1天完成,则至少应增加多少费用 ?应将哪些测试作业缩短 1天 ? (2)如果要求该网络工程测试项目在 (1)的基础上提前 1天完成,则至少应再增加多少费用,应再将哪些测试作业缩短 1天 ? 17 假设该网络工程测试项目已按原计划部署,到了第 7天末,发现模块 A与模块B已按计划测试完成,但模块 F却刚测试完,比原计划延迟了 2天。为了保证该项目仍能在原计划总天数内完成,则至少应增加多少费用 ?应缩短哪些作业多少天 ? 软件水平考试(高级)网络规划 设计师下午(案例分析)试题模拟试卷 2答案与解析 一、试题一 1 【正确答案】 可扩展性原则,既要考虑到近期目标,也
13、要为网络的进一步发展留有扩展的余地 先进性原则,尽可能采用先进而成熟的技术,应在一段时间内保证其主流地位 开放性原则,采用开放的 IEEE 802系列标准、 TCP/IP协议等技术,利于与外部网络的互联互通 易用性原则,具有良好的可管理性,易于管理、安装和使用,较高的资源利用率等 安全性原则,以确保网络系统和内部数据的安全运行 【试题解析】 这是一道要求读 者掌握大型网络系统方案设计原则的简答题,本题所涉及的知识点如下。 完成该 21层教学综合大楼网络建设的需求分析之后,接着进入的是网络系统方案的设计阶段。首先应明确采用哪些网络技术和网络标准,以及构筑一个满足哪些应用的多大规模的网络。同时网络
14、设计中不仅要考虑网络实施的成本,而且还要考虑网络运行成本。如果网络工程分期实施,应明确分期工程的目标、建设内容、所需工程费用、时间和进度计划等。 该 21层教学综合大楼网络建设,关系到现在和将来学校网络信息化水平、网上应用系统的成败,在设计前对主要设计原则进行 选择和平衡,并排定其在方案设计中的优先级。 试题中已给出了总体设计原则的 “实用性原则 ”,即该 21层教学综合大楼网络规则方案,要体现所设计的网络能满足现有及未来几年信息系统的应用需求,但计算机设备、服务器设备和网络设备在技术性能逐步提升的同时,其价格却在逐年下降,因此在该 21层教学综合大楼网络建设中不可能也没必要实现所谓 “一步到
15、位 ”。因此,网络方案设计中应把握 “够用 ”和 “实用 ”原则,网络系统应采用成熟可靠的技术和设备,达到实用、经济和有效的结果。 在试题中已给出了总体设计原则的 “高可靠性原则 ”,即要求该 21层教学综合大楼网络建设具有较高的平均无故障时间和尽可能低的平均故障率。 由于网络总体设计不仅要考虑到近期目标,也要为网络的进一步发展留有扩展的余地,因此该 21层教学综合大楼网络建设中应要求在规模和性能两方面具有良好的可扩展性,即 “可扩展性原则 ”。 建设一个现代化的网络系统,应尽可能采用先进而成熟的技术,应在一段时间内保证其主流地位。因此该 21层教学综合大楼网络应采用当前较先进的技术 (如干兆
16、位以太网和全交换以太网技术 )和设备,符合网络未来发展的潮流,即 “先进性原则 ”。 现 阶段对校园网等网络建设中通常采用开放的 IEEE802.3 系列标准、 TCP/IP协议等技术,从而有利于未来网络系统扩充,同时也利于与外部网络 (例如Internet网等 )互联互通。 通常对于大型校园网要求具有 “易用性 ”,即所建设的网络系统必须具有良好的可管理性,易于管理、安装和使用,并且在满足现有网络应用的同时为以后的应用升级奠定基础。同时网络系统还应具有较高的资源利用率。 现阶段校园网等网络建设中通常还会考虑 “网络的安全性 ”,以确保网络系统和内部数据的安全运行。 2 【正确答案】 各楼层
17、的信息点与各楼层交换机的连接构成该网络结构的接入层 各楼层交换机通过其上连端口与中间层交换机连接构成该网络结构的汇聚层 各汇聚层交换机通过其上连的光纤端口与该大楼核心交换机连接,以及与图书馆机房中原核心交换机进行连接,两台核心交换机通过光纤链路进行聚合连接从而构成该网络的核心层的连接成为该网络结构的核心层 (答案类似即可 ) 【试题解析】 这是一道要求读者掌握大型校园网网络方案设计要点的简答题,本试题所涉及的知识点如下。 通常从逻辑设计的角度来看,该 21层教学综合大楼网络结构可分为 接入层、汇聚层和核心层 3个层次。 各楼层的信息点与各楼层交换机的连接构成该网络的接入层。 各楼层交换机通过其
18、上连端口,与中间层交换机连接构成该网络的汇聚层。 各汇聚层交换机通过其上连的光纤端口与该大楼核心交换机连接,以及与图书馆机房中原核心交换机进行连接;两台核心交换机通过光纤链路进行聚合连接从而构成该网络的核心层的连接构成该网络结构的核心层。 3 【正确答案】 在该 21层教学综合大楼的一楼 (或其他楼层 )设置一主配线间 其余各楼层弱电室均设为本楼层的配线间 水平 布线采用超 5类 UTP(或 6类 UTP)及其相应的连接模块与配线架 垂直干线采用多模光纤把各配线间连接到主配线间 采用单模光纤连接主配线间与图书馆的原核心交换机 【试题解析】 这是一道要求读者掌握大型校园网综合布线方案设计要点的简
19、答题,本题所涉及的知识点如下。 在该 21层教学综合大楼的一楼 (或其他楼层 )设置一主配线间。 其余各楼层弱电室均设为本楼层的配线间。 水平布线采用超 5类 UTP(或 6类 UTP)及其相应的连接模块与配线架。 垂直干线采用多模光纤把各配线间 连接到主配线间。 采用单模光纤连接主配线间与图书馆上的原核心交换机。 4 【正确答案】 观察与问卷调查、访谈、演示、组交互 (会议 )、采访关键人物和书面交流 (电子邮件 )等 【试题解析】 网络规划设计师必须能够与具有高度复杂背景的利益相关者进行沟通交流,以提取和细化需求,并向这些利益相关者描述系统的网络体系结构。在交流之前,需要先确定这个组织的关
20、键人员和关键群体,再实施交流。在整个设计和实施阶段,应始终保持与关键人员之间的交流,以确保网络工程建设不偏离用户需求。 在网络规划、设计与实施过 程中,都要注意与用户群交流的方法和技巧,应避免交流不充分和交流过于频繁。避免交流不充分的关键是,没有注意交流的对象和方式。找到正确、对业务非常清晰的人 (即行业专家 )既可以减少交流的工作量,也可以避免由于过量而无用的信息导致设计出现的偏差。应针对不同的人员采用不同的交流方式,例如对于一线工作人员,可采用先下发调查问卷,再依据调查问卷进行访谈的方式。避免交流过于频繁的关键在于,每次交流前都要有明确的交流目标,同时交流后的归纳和总结同样可以提高交流的效
21、率,否则就会使管理层和用户群体在项目结束前就厌烦听到有关网络开 发的细节,从而产生抵触情绪,给工作带来麻烦。常见的沟通、交流技巧主要包括如下几个方面。 组交互:与不同组中的成员进行交流,而这些人具有不同的背景、技能和日程安排。通常,这包括与各种参与者开会,所有的人一起或者集中部分人。 演示:向听众介绍所提出的网络体系结构。创建清楚且有效的 PPT 演示文档,该文档需要避免使用填满了项目符号的大量幻灯片,力求使用图表的表示方法,并围绕相关的图表展开介绍。 观察与问卷调查:通过各种调查来发现需求。调查的问题应该是清楚的、明确的,并且是具有启发性的。问卷的 制作应简单、可操作性强,尽量使用选择方式,
22、而不是让用户填写大段的文字;而观察工作,重点是注意用户对各类信息、报表、文件的处理。另外,问卷调查的方式还可以根据用户的情况进行调整。对于计算机操作能力不强的用户群,只能采用下发调查问卷,并录入调查结构的方式;对于计算机操作能力很强的用户群,可以采用下发电子文档或者开发调查网页的方式,简化调查结果录入工作。 集中访谈:与组织中来自于不同的技术和业务部门、各个级别的利益相关者进行访谈,就问卷形式无法解决的问题进行讨论,从而发现深层次的问题。 书面方式: 通常,书面交流需要比口头交流更加小心。与面对面的直接交流相比,它无法 (表情图标除外 )通过面部的表情和身体语言来传达微妙的暗示。这在电子邮件消
23、息中尤其困难,它很容易就会被误解。 采访关键人物:通常,这些关键人物主要是各级领导和行业专家。各级领导主要从管理角度明确需求,而行业专家则明确的是业务需求。采访关键人物之前,一定要有针对地制订问题提纲,并最好先将提纲发给被采访人员:在采访过程开始前,应首先获取联系方式,最好和访谈者约定邮件、电话、即时通信机制;对关键人物不可能一次访谈就明确了所有需求,但是第一次 访谈一定要形成需求的大致框架,以便于后期访谈工作的开展。 二、试题二 5 【正确答案】 预算方面的考虑,应在保持经济、有效的同时提供尽可能高级别的服务,避免因成本限制而对网络服务造成的潜在损失。 现有设备的考察。例如,是否有可以安装防
24、火墙功能模块的路由器等。 可用性的考虑。主要考虑是否需要防火墙在所有的时间都可用 ?是否需要考虑采用冗余组件或备用设备的方法增强防火墙的可用性等。 可扩展性的考虑。主要考虑防火墙是否有易于扩展的功能模块或接口,避免因网络流量快速增长而成为网络的瓶颈等。 所需功能的考虑。例如,是否支持防御 DoS/DDoS,是否支持 VPN,能否保护特定主机的特定服务等 【试题解析】 在选择防火墙之前应该考虑的因素包括预算、现有设备、可用性、可扩展性和所需的功能等。 预算方面的考虑。网络环境中的每个防火墙应该在保持经济、有效的同时提供尽可能高级别的服务,但是如果防火墙过分受成本限制,则可能会对企业造成潜在的损失
25、。例如,考虑网络服务因遭受拒绝服务攻击而被中断时的停机时间成本。 现有设备的考察。主要考虑企事业单位中是否有可利用的现有设备。例如,是否有 可以重新利用的防火墙,是否有可以安装防火墙功能模块的路由器。 可用性的考虑。主要考虑是否需要防火墙在所有的时间都可用、如何减少防火墙的故障修复时间、是否需要考虑采用冗余组件或备用设备的方法增强防火墙的可用性等。 可扩展性的考虑。主要考虑防火墙是否有易于扩展的功能模块或接口。当企事业单位网络需要增加新的网络出口时,防火墙是否能通过增加模块来支持更多的接口;当网络流量快速增长时,防火墙会不会成为网络的瓶颈。此类利于未来发展的需求也应纳入可扩展性的考虑范畴。 所
26、需功能的考虑。主要是指需要哪 一种具体的防火墙功能。例如,是否支持防御 DoS/DDoS,是否支持 VPN,是否支持 SNMPv3,能否保护特定主机的特定服务等。 6 【正确答案】 Pix525(config)#nameif ethernet0 E1 security100 Pix525(config)#nameif ethernet1 E3 security60 Pix525(config)#nameif ethernet2 E2 security0 Pix525(config)#ip addressE3 210.156.169.6 255.255.255.240 Pix525(config
27、)#ip addressE1 192.168.10.1 255.255.255.0 Pix525(config)#ip addressE2 211.156.169.2 255.255.255.252 【试题解析】 在如图 4-13所示的网络拓扑中, PIX 525防火墙是基于访问控制策略而设立在内外网之间的一道安全保护机制,实现内外网的物理分隔。它使用了“WAN”(211.156.169.2/30)、 “LAN”(192.168.10.254/24)、 “DMZ”(211.156.169.2/28)等 3个接口,分别与外网、内网、 DMZ区相连。 DMZ区是放置公共信息的最佳位置,它对外网或内
28、网用户来说是开放的、透明的。公司客户、潜在客户及外部访问者不用通过内网就可以直接获得他们所需要的信息。在图 4, 13中防火墙的DMZ区就是区域 B的服务器群网段。 公司中机密的、私人的信息则需安全地存放在内部局域网中,即 DMZ的后面。DMZ中服务器不应包含任何商业机密、资源代码或私人信息。内部局域网的安全级别最高, DMZ区域次之, Internet网的安全级别最低。 PIX 525防火墙的基本配置命令 nameif 用于配置防火墙接口的名字,并指定安全级别。安全级别取值范围为 1 99,数字越大安全级别越高。根据如图 4-13所示的网络拓扑,结合试题中己给出的配置信息可得, PIX防火墙
29、的 ethernet0端口被命名为 E1,安全级别为 100; ethernet1端口被命名为 E3,安全级别为 60:ethernet2端口被命名为 E2,安全级别为 0。相比之下, E1端口安全级别最高,适合作为内部接口: E2端口安全级别最低,适合作为外部接口; E3端口适合作为DMZ接口。 PIX 525防火墙配置接口名字,并指定安全级别的相关配置语句示例如下: Pix525(config)#nameif ethernet0 E1 security100 (配置接口名字,并指定安全级别 ) Pix525(config)#nameif ethernet1 E3 security60 Pi
30、x525(config)#nameif ethernet2 E2 security0 对 PIX防火墙网络接口进行地址初始化配置时,需要指明网络接口的名字、 IP地址和子网掩码等参数。根据如图 4-13所示的网络结构中防火墙各网络接口的名字和 IP地址配置信息可得如下相关配置语句: Pix525(config)#ip address E3 210.156.169.6 255.255.255.240 (为 DMZ接口进行IP地址配置 ) Pix525(config)#ip address E1 192.168.10.1 255.255.255.0 (为内网口 E1进行 IP地址配置 ) Pix5
31、25(config)#ip address E2 211.156.169.2 255.255.255.252 (为外网口 E2进行IP地址配置 ) 7 【正确答案】 Pix525(config)#global(outside)1 211.156.169.2 Pix525(config)#nat(inside)1 192.168.1.0 255.255.255.192 【试题解析】 Cisco PIX 525防火墙的 “nat”命令用于指定要进行转换的内部地址, “global”命令用于指定外部 IP地址范围 (地址池 )。 “nat”命令总是与 “global”命令 起使用,因为 “nat”命
32、令可以指定一台主机或一段 IP地址范围的主机访问外网,访问外网时需要利用 “global”所指定的地址池进行对外访问。 “nat”命令格式如下: nat(if_name) nat_id local_ipnetmask 其中, “if_name”是内网接口名字,例如 inside; “nat_id”是全局地址池标识,使它与其相应的 “global”命令相匹配; “local_ip”是内网被分配的 IP地址;“netmask”是内网 IP地址的子网掩码。 “global”命令格式如下: global (if_name) nat_id ip_address-ip_address netmask gl
33、obal_mask 其中, “if name”是外网接口名字,例如 outside: “nat_id”是全局地址池标识;“ip_address-ip address”是 NAT 转换后的单个 IP地址或某段 IP地址范围;“netmaskglobal mask”是全局 IP地址的子网掩码。 若某公司允许内部网段 192.168.1.0/26 的所有主机对外访问 Internet,则在其网络边界防火墙 Cisco PIX525可能执行的配置语句示例如下: Pix525(config)# global(outside)1 211.156.169.2 Pix525(eonfig)# nat(insi
34、de) 1 192.168.1.0 255.255.255.192 8 【正确答案】 (1) 定义一条指向边界路由器 (或下一跳 IP 地址为 211.156.169.1的路由器 )的默认路由。 (2) 建立内部 IPDMZ区地址 172.30.98.56 211.156.169.5 与外部 IP 地址 172.32.65.98 211.156.169.2之间的静态映射。 (3) 禁止 icmp消息任意方向通过防火墙。 (4) 启用 HTTP协议,并指定 HTTP的端口号为 8080 【试题解析】 (1)在配置模式下命令 “route”用于设置指向内网和外网的静态路由。其语法格式如下: rou
35、te if_name 0 0 gateway_ipmetric 其中, “if_name”是接口名字,例如 inside、 outside; “gateway_ip”是网关路由器的 IP地址; “metric”是到 gateway_ip的跳数,其默认值为 1。 配置语句 route outside 0 0 211.156.169.1 表示一条指向边界路由器 (或下一跳 IP地址为 211.156.169.1的路由器 )的默认路由。 (2)在配置模式下,命令 “static”用于配置静态 NAT 功能。如果从外网发起一个会话,会话的目的地址是一个内网的 IP地址, “static”命令就把内部地
36、址翻译成一个指定的全局地址,允许这个会话建立。其命令格式如下: static(internal_if_name.external_if_name)outside_ip_address inside_ip_address 其中, “internal if name”是内部网络接口名字,如 inside等; “extemal_if_name”是外部网络接口名字,如 outside等; “outside中 address”是外部 IP地址;“inside_ip_address”是内部 IP地址。 配置语句 static(inside,outside)211.156.169.2211.156.169.
37、5 用于建立 DMZ区地址211.156.169.5与外部 IP地址 211.156.169.2之间的静态映射。 (3)管道命令 (conduit)用于允许数据流从具有较低安全级别的接口流向具有较高安全级别的接口,例如允许从 Internet网到 DMZ(或内部接口 )方向的会话。“conduit”命令的配置语法如下: conduit permit | deny global_ip port -port protocol foreign_ip 其中, “permit”为允许访问策略, “deny”为拒绝访问策略; “global_ip”是指由“global”或 “static”命令定义的全局
38、IP地址,如果 “global_ip”为 0,可用 any来代替 0,如果 “global_ip”为某台主机,则需使用 host命令参数; “port”是指服务所作用的端口,可以通过服务名称或端口数字来指定端口; “protocol”是指连接协议,例如 TCP、 UDP、 ICMP等; “foreign_ip”表示可访问 “global_ip”的外部 IP地址,对于任意主机,可以用 any表示,如果 “foreign_ip”是一台主机,则需使用host命令参数。 配置语 句 conduit deny icmp any any 表示禁止 icmp 消息 (如 ping的回声请求 /响应消息 )的
39、任意方向通过防火墙。 (4)“fixup”命令用于启用、禁止、改变一个服务或协议通过 PIX防火墙。由“fixup”命令指定的端口是 PIX防火墙要侦听的服务。配置语句 fix up protocol http 8080表示,启用 HTTP协议,并指定 HTTP的端口号为 8080。 9 【正确答案】 (5) B 【试题解析】 访问控制列表 (ACL)用于过滤流入和流出路由器接口的数据包。它是一种基 于接口的控制列表,可根据网络管理员制定的访问控制准则来控制接口对数据包的接收和拒绝,从而提高网络的安全性。 IP访问控制列表是一个连续的列表,至少由一个 “permit(允许 )”语句和一个或多个
40、 “deny(拒绝 )”语句组成。 ACL 列表用名字 (name)或表号 (number)标识和引用。配置 IP访问控制列表的首要任务就是使用命令 “access-list”定义一个访问控制列表。在配置过滤规则时,需要注意的是 ACL语句的顺序。因为路由器接口执行哪一条 ACL 是按照配置的访问控制列表中的条件语句 (准则 ),从第 1条 开始按顺序执行的。数据包只有在跟前一个判断条件不匹配时,才能跟交给 ACL 的下一个条件语句进行比较。可见, ACL 语句的先后顺序非常重要。例如,只封禁一台地址为 192.168.1.230的主机的 access-list正确配置示例如下: access
41、-list 110 deny ip host 192.168.1.230 any access-list 110 deny ip any host 192.168.1.230 access-list 110 permit ip any any 如果将 “access-list 110 permit ip any any”放在 ACL 规则的最前面 (见选项 A),则其后两条 deny语句将不起作用,即不能按照预期的应用需求正确地控制数据包的接收与拒绝。 选项 C的 ACL 规则中,缺少 “permit(允许 )”语句,它将封禁全网所有的通信。 选项 D的 ACL 规则将封禁地址为 192.16
42、8.1.230的主机对外的单向通信,允许其他主机或路由器访问 192.168.1.230的主机。 三、试题三 10 【正确答案】 操作系统本身需要的主存为 60MB 应 用任务 1至应用任务 3所需的主有为 506+306+2010=680MB 接收任务所需要的主存为 25=10MB 服务器所需的最小主存为 60MB80%+680MB50%+10MB80%=396MB 【试题解析】 这是一道要求读者根据实际应用环境计算服务器最小内存的综合题。本题的计算思路如下。 由题干的关键信息 “数据服务器操作系统使用虚拟存储,操作系统需要 60MB的主存 ”可知,操作系统本身需要的主存为 60MB。 根据
43、题干的关键信息 “在峰值时间点,处理应用任务 1的客户机 有 50台,处理应用任务 2的客户机有 30台,处理应用任务 3的客户机有 20台 ”,结合表 5-9中“占用的主存 ”列所提供的信息可计算出,应用任务 1至应用任务 3所需的主存为506+306+2010=680MB。 在图 5-14所示的网络拓扑结构中,服务器需要通过专线链路与交易网关 A、交易网关 B进行通信,即服务器中有 2个相对应的接收任务 (此处是本题解答的难点之一,考生在计算过程中往往只按 1个接收任务进行计算 );结合表 5-9所提供的信息可计算出接收任务所需要的主存为 25=10MB。 根据题干的关键信 息 “如果系统
44、从主存中分配给操作系统的存储空间不到其所需的 80%,分配给应用任务的存储空间不到其所需的 50%,分配给接收任务的存储空间不到其所需的 80%,系统性能会下降到不能接受的程度 ”可知,在峰值时间点,服务器所需的最小主存为 60MB80%+680MB50%+10MB80%=396MB。 11 【正确答案】 应用任务 1至应用任务 3所需的 CPU处理时间为50300ms+30200ms=21000ms=21s 接收任务所需的 CPU处理时间为 2 200 400ms=0.4s 在服务器上需 要安装的最小的 CPU数量为 (21s+0.4s)/10s=2.14=3个 【试题解析】 这是一道要求读
45、者根据实际应用环境计算服务器最小 CPU数量的分析理解题。本题的解答思路如下。 根据题干的关键信息 “在峰值时间点,处理应用任务 1的客户机有 50台,处理应用任务 2的客户机有 30台,处理应用任务 3的客户机有 20台 ”,结合表 5-9中“CPU处理时间 ”列所提供的信息可计算出应用任务 1至应用任务 3所需的 CPU处理时间为 50300ms+30200ms=21000ms=21s。 由 问题 1的分析可 知,服务器需要处理分别来自交易网关 A、交易网关 B 的接收任务,结合表 5-9中每个接收任务所需的 CPU处理时间为 200ms可计算出系统总的接收任务所需的 CPU处理时间为 2
46、200=400ms=0.4s。 根据题干的关键信息 “对于接收任务,即便是在峰值时间,也必须在 10s内完成,否则数据会丢失 ”可知,要保证在 10s 内不丢失数据,则在服务器上需要安装的最小的 CPU数量为 (21s+0.4s)/10s=2.14 个,将计算结果向上取整数后为 3个。 12 【正确答案】 应用任务 1的数据量: D1=502000648b=51.2106b 应用任务 2的数据量: D2=301000648b=15.36106b 应用任务 3的数据量:D3=2036008b=0.576106b 峰值时间段局域网上传输的数据的最小流量: =(5.12+1.536+0.0192)1
47、06b/s=6.6752Mbps 【试题解析】 这是一道要求读者根据实际应用环境熟练应用数据传输速率公式进行计算的综合题。本题的计算思路如下。 根据表 5-9所提供的信息,由于试题中未给出服务器直接从交易网关接收数据的接收任务的具体数据量,而它与 计算峰值时间点该局域网上传输的数据流量无关,因此可不做考虑。 由于在峰值时间,处理应用任务 1的客户机有 50台,而应用任务 1由 2000个记录构成,每个记录 64B,因此峰值时间段局域网上传输应用任务 1的数据量 D1为: D1=502000648b=51200000b=51.2106b 注意计算时要把 64B 转换成 648b,以便统一单位,为
48、后面计算数据传输速率奠定基础。 同理,处理系统中应用任务2的客户机有 30台,而应用任务 2由 1000个记录构成,每个记录 64B,因此峰值时间段局域网上传输应用任务 2的数 据量 D2为: D2=301000648b=15360000b=15.36106b 处理系统中应用任务 3的客户机有20台,而应用任务 3的 “合同包含的数据为 3600B”,因此峰值时间段局域网上传输应用任务 3的数据量 D3为: D3=2036008b=1536106b 峰值时间段局域网上传输的数据的最小流量,是指这 100台客户机同时与服务器进行相互通信的数据传输速率。设该数据的最小流量为 R,根据数据传输速率计
49、算公式 R=D/t可得: =(5.12+1.536+0.0192)106b/s=6.6752106b/s=6.6752Mbps 若考虑该局域网上的控制信息的开销 (以太网帧头、 IP头、 TCP/UDP 头等 ),则该局域网上传输的数据的最小流量约为 7Mbps。 注意,常见的一种错误计算过程如下: 产生这种错误计算结果的原因有二:含糊地理解数据传输速率计算公式所表示的意义;没注意到题目中“每台客户机一次只能处理一个应用任务 ”这个关键信息。 13 【正确答案】 由于 UDP协议是一种不可靠、无连接的协议,其报头长度固定为 8B,适用于一些要求运行效率较高的应用,而应用任务 1、应用任务 2用于实时显示 交易数据,且数据在局域网内部传输,偶发性的数据包丢失关系不大,因此适合选择 UDP协议
