1、软件水平考试(高级)网络规划设计师下午(案例分析)试题模拟试卷 3及答案与解析 一、试题一 1 阅读下列技术说明,根据要求回答问题 1问题 5。 说明 某学校在原校园网的基础上进行网络升级改造,网络拓扑结构如图 4-12所示。其中网管中心位于办公楼第 6层,采用动态 IP地址及静态 IP地址结合的方式进行 IP地址的管理和分配。 1 网络逻辑结构设计是体现网络规划与设计核心思想的关键阶段。通常,网络逻辑结构设计工作主要包括哪些方面的内容 ? 2 从表 4-14中为图 4-12中的 (1) (5)处选择合适的设 备,将设备名称写在答题卡的相应位置上 (每一设备限选一次 )。3 为图 4-12中
2、(6) (9)处选择介质,填写在答题卡的相应位置上。 备选介质 (每种介质限选一次 ): 6类 UTP 超 5类 UTP 双千兆光纤链路 千兆光纤 4 该学校网络系统在安全设计上采用分层控制方案,将整个网络分为外部网络传输控制层、内外网间访问控制层、内部网络访问控制层、操作系统及应用软件层和数据存储层。对各层的安全采取不同的技术措施,请将表 4-15中 (10) (14)处空缺信息填写完整。 (10) (14)空缺处供选择的答案: A基于主机的入侵检测系统 B RAID技术 C网络地址转换 (NAT)技术 D虚拟专用网 (VPN)技术 E用户权限控制 F IP地址和 MAC地址绑定 5 当该校
3、园网中存在多条路径时,路由协议使用度量值来决定使用哪条路径。在网络规划设计过程中,对路由度量值主要有哪些方面的考虑 ? 二、试题二 6 阅读以下关于电子政务系统安全体系结构的技术说明,根据要求回答问题 1问题 4。 说明 某城市计划建设电子政务系统,由于经费、政务应用成熟度、使用人员观念等多方面的原 因,计划采用分阶段实施的策略来建设电子政务,最先建设急需和重要的部分。在安全建设方面,先投入一部分资金保障关键部门和关键信息的安全,之后在总结经验教训的基础上分 2年逐步完善系统。因此,初步考虑使用防火墙、入侵检测、病毒扫描、日志审计、 PKI技术和服务等保障电子政务的安全。 在一次关于安全的方案
4、讨论会上,张工认为由于政务网对安全性的要求比较高,因此要建设防火墙、入侵检测、病毒扫描、安全扫描、日志审计、网页防篡改、私自拨号检测系统,这样就可以全面保护电子政务系统的安全。李工则认为张工的方案不够全面,还应该 在张工提出的方案的基础上,使用 PKI技术,进行认证、机密性、完整性和抗抵赖性保护,使用 FCSAN/IPSAN提供数据安全和快速数据访问。 6 请用 300字以内的文字,从网络安全方面,特别针对张工所列举的建设防火墙、入侵检测、安全扫描、日志审计系统进行分析,评论这些措施能够解决的问题和不能解决的问题。 7 请用 250字以内的文字,主要从认证、机密性、完整性和抗抵赖性方面,论述李
5、工的建议在安全上有哪些优点。 8 对于复杂系统的设计与建设,在不同阶段都有很多非常重要的问题需要注意,既有技术因素阻力,又 有非技术因素阻力。请结合工程的实际情况,用 200字以内的文字,简要说明使用 PKI还存在哪些重要的非技术因素方面的阻力。 9 请用 300字以内的文字,论述李工所提建议中的 FCSAN和 IPSAN的差别。 三、试题三 10 阅读以下关于业务持续和灾难恢复的叙述,根据要求回答问题 1问题 3。 说明 随着信息系统的深入应用,它在政府或企业中发挥着越来越重要的作用。由此也产生了一些问题:一旦由于故障甚至灾难导致信息系统局部或全部瘫痪,就会对相关的政府或企业造成重大的损失,
6、因此需要业务持续和灾难恢复规 划。 业务持续和灾难恢复规划涉及一些特定的或相关的规划,当正常的信息处理业务突然中断时,用来减轻甚至避免其所带来的影响。它们用来保证维持组织运作的关键系统的可用性。 某大型网上书店通过 Internet为用户提供网上图书查询及订购等多种服务。由于每天的业务量非常多,因此对业务有持续性要求,并且需要具备灾难恢复功能。在对原有系统的改进方案中提供: (1)对于一些关键应用系统,采用双机冗余热备的方式进行保护。 (2)由于资金问题,公司并不打算建设自己专有的用于备份数据的备份中心 (假设这里的 备份中心仅用于备份数据 ),而是决定租用其他公司提供的商业备份中心,每隔一段
7、时间,把公司的业务数据备份到备份中心。 10 请用 200字以内的文字,说明双机冗余热备方式主要解决的是系统运行中的哪些问题,以及在选择双机冗余热备产品时通常需要考虑哪些问题。 11 对于关键业务系统,在发生水灾、火灾、地震、爆炸等自然灾害或恐怖事件时,必须保证系统不会因之而瘫痪,称为系统的容灾能力。请用 300字以内的文字简要叙述系统容灾能力和系统备份与恢复之间的差别。 12 请用 300字以内的文字,从技术方面说明备份中心的 作用,以及在租用商业备份中心时的注意事项。 13 请用 300字以内的文字,分析公司向备份中心备份数据的时间间隔的选取、公司日常业务系统的运行性能,以及在灾难发生时数
8、据损失情况三者之间的关系。 四、试题五 14 阅读下列技术说明,根据要求回答问题 1问题 4。 说明 某企业计划建设一个企业数据中心,该数据中心支持 A、 B、 C、 D、 E 5项业务,各业务完全独立运行,各项业务运行的操作系统均不相同。在单台某型服务器上,除了为系统开销预留 30%的 CPU占用率之外,各业务在繁忙时段 (白天 )及非繁忙时段 (夜间 )的 CPU占用率如表 3-14所示。 现该企业准备全部采用该类型服务器,张工和李工据此提出了不同的设计方案。张工认为需要采购 5台服务器,每项业务分配一台服务器。但李工捉出了一种基于虚拟化技术的解决方案,采用的服务器数量少于 5台。 14
9、在数据中心中应用虚拟化技术会带来哪些收益 ?请用 300字以内的文字简要描述,至少给出 3项。 15 李工的方案需要配置几台服务器 ?应如何设计 ? 16 为了进一步节省电力,按照李工的方案,非繁忙时段最少只需几台服务器工作即可满足业务负载要求 ?应如何设计 ? 17 为保证该 企业数据中心在发生各种信息安全事件时,能够从容处理并解决安全事件,要求制订相关的应急预案。请用 250字以内的文字简要描述该应急预案应包括哪些主要内容 ? 软件水平考试(高级)网络规划设计师下午(案例分析)试题模拟试卷 3答案与解析 一、试题一 1 【正确答案】 网络结构的设计。主要包括局域网结构中数据链路层设备互连方
10、式,广域网结构中网络层设备互连方式等。 物理层技术选择。主要包括缆线类型、网卡的选用。 局域网技术选择与应用。主要考虑 STP、 VLAN、 WLAN、链路聚合技术、冗余网关协议 、线路冗余和负载均衡、服务器冗余与负载均衡等因素。 广域网技术选择与应用。主要考虑城域网远程接入技术 (如 ISDN、 ADSL等 )、广域网互联技术 (如 DDN、 SDH、 VPN等 )、广域网性能优化等因素。 地址设计和命名模型。主要明确的内容有是否需要公网 IP地址、私有 IP地址和公网 IP地址如何翻译、 VLSM的设计、 CIDR的设计、 DNS的命名设计等。 路由选择协议。主要的考虑因素有动态路由的协议
11、类型、度量、权值排序等;静态路由选择协议;内部与外部路由选择协议:分类与无分类路由选择协议等。 网络管理。主要包含行政管理 (如机构的设置、岗位职责和管理制度的制定等 )和技术管理 (如 NMS、 TMS、 RMS和 AMS的选用 )。 网络安全。主要的工作内容有机房及物理线路安全、网络安全 (如安全域划分、路由交换设备安全策略等 )、系统安全 (如身份认证、桌面安全管理、系统监控与审计等 )、应用安全 (如数据库安全、 Web服务安全等 )、数据容灾与恢复、安全运维服务体系 (如应急预案的制定等 )、安全管理体系 (如建立安全组织机构等 )。 编写逻辑网络设计文档。主要的组成元素有主管人员评
12、价、逻辑网络设计讨论、 新的逻辑设计图表、总成本估测、审批部分、修改注释部分等 【试题解析】 网络逻辑结构设计的工作任务是基于用户需求中描述的网络行为、性能等要求,根据网络用户的分类、分布形成特定的网络结构。该网络结构大致描述了设备的互联及分布,但是不对具体的物理位置和运行环境进行确定。网络逻辑结构设计过程主要由以下 4个步骤组成: 确定逻辑设计目标; 网络服务评价; 技术选项评价: 进行技术决策。 网络逻辑结构设计工作主要包括的内容如下。 网络结构的设计。主要包括局域网结构和广域网结构两个设计部分的内容。其中, 局域网结构主要关注数据链路层的设备互连方式,广域网结构主要关注网络层的设备互连方
13、式。 物理层技术选择。主要选择内容包括缆线类型、网卡的选用等。 局域网技术选择与应用。主要考虑生成树协议 (STP)、扩展 STP、虚拟局域网(VLAN)、无线局域网 (WLAN)、链路聚合技术、冗余网关协议 (如 VRRP、HSRP、 GLBP等 )、线路冗余和负载均衡、服务器冗余与负载均衡等因素。 广域网技术选择与应用。主要考虑城域网远程接入技术 (如 PSTN、 ISDN、ADSL等 )、广域网互联技术 (如 DDN、 SDH、 VPN等 )、广域网性能优化等因素。 地址设计和命名模型。在地址设计工作中,主要明确的内容有:是否需要公有地址和私有地址;只需要访问专用网络的主机分布;需要访问
14、公网的主机分布;私有地址和公有地址如何翻译;私有地址和公有地址的边界; VLSM的设计、CIDR的设计等。网络中的命名工作主要涉及 NetBIOS名字和域名两个方面。 路由选择协议。主要的考虑因素有:动态路由的协议类型;路由选择协议的度量;路由选择协议的顺序 (如权值排序等 ):静态路由选择协议;内部与外部路由选择协议;分类与无分类路由选择协 议;层次化与非层次化路由选择协议等。 网络管理。主要包含行政管理和技术管理。行政管理方面主要包含机构的设置、各类相关人员的岗位职责、行政管理制度的制定等。技术管理方面又依据管理技术的层次性划分为 TMS(传输管理系统 )、 NMS(网络管理系统 )、 R
15、MS(资源管理系统 )和 AMS(应用管理系统 )等。 网络安全。主要的工作内容有:机房及物理线路安全;网络安全 (如安全域划分、边界安全策略、路由交换设备安全策略、防火墙安全配置等 ):系统安全 (如身份认证、账尸管理、桌面安全管理、系统监控与审计、病毒防护、 访问控制等 );应用安全 (如数据库安全、电子邮件服务安全、 Web服务安全等 )、数据容灾与恢复;安全运维服务体系 (如应急预案的制定、系统监控与管理服务等 );安全管理体系 (如建立安全组织机构、安全管理规章制度的制定等 )。 编写逻辑网络设计文档。主要的组成元素有主管人员评价;逻辑网络设计讨论;新的逻辑设计图表;总成本估测;审批
16、部分;修改注释部分等。 2 【正确答案】 (1) Router1 (2) Switch1 (3) Switch2 (4) Switch3 (5) Switch3 【试题解析】 这是一道要求读者掌握网络方案设计中设备部署的拓扑结构设计题。基于表 4-14中每一网络设备限选一次的条件,本题的解答思路如下。 由表 4-14中关于路由器设备的性能描述 “ 固定的广域网接口 +可选广域网接口,固定的局域网接口 ” 可知,图 4-12中 (1)空缺处的网络设备应选择路由器(Router1)。通过 Router1的广域网接口连接到 Internet网, Router1的100/1000Base-T/TX局域
17、网接口连接至防火墙的外网接口 (即 WAN接口 )。 从交换容量、转发性 能、可支持接口类型、电源冗余模块等方面对比表 4-14中交换机设备 Switch1、 Switch2、 Switch3可知,设备 Switch1的性能最好,可能是一台三层交换机设备,设备 Switch2的性能次之。 仔细阅读图 4-12的拓扑结构可知, (2)空缺处的网络设备位于校园网核心层,它是校园网内部的核心设备。它至少需要提供一个百兆 /千兆电口用于连接至防火墙的内网接口 (即 LAN接口 ),若干个快速以太网电口或光口用于连接至位于办公楼的各楼层交换机和与 (2)空缺处网络设备相连接的服务器组。而表 4-14中关
18、于 交换机设备 Switch1的性能描述 “ 可支持接口类型: 100/1000Base-T、 GE、10GE” 信息可满足以上网络连接要求,因此由以上分析可知, (2)空缺处的网络设备应选择设备名称为 Switch1的交换机设备。 由图 4-12的拓扑结构可知,该校园网的拓扑结构是一个典型的核心层、汇聚层、接入层的网络拓扑。分别位于图书馆楼及实训楼的 (4)、 (5)空缺处的网络设备上连至核心层的三层交换机,即 (2)空缺处的网络设备,下连至各楼层交换机。考虑到综合布线系统中各大楼建筑物之间通常采用光纤作为传输介质,结合 表 4-14中关于交换机设备 Switch3的性能描述 “ 可支持接口
19、类型: FE、 GE, 24千兆光口 ” 信息可知, (4)、 (5)空缺处的网络设备应选择设备名称为 Switch3的交换机设备。 结合工程经验可知,在如图 4-12所示的拓扑结构中, (3)空缺处的网络设备至少需要提供一个百兆 /千兆电口用于连接至防火墙的 DMZ接口,若干个快速以太网电口或光口用于连接与其相连接的服务器组、用户管理器和网络管理计算机。而表 4-14中关于交换机设备 Switch2的性能描述 “ 可支持接口类型: GE, 20百 /千兆自适应电 口 ” 信息可满足以上网络连接的要求,因此 (3)空缺处的网络设备应选择设备名称为 Switch2的交换机设备。 3 【正确答案】
20、 (6) 双千兆光纤链路 (7) 千兆光纤 (8) 千兆双绞线 (9) 百兆双绞线 【试题解析】 这是一道要求读者掌握网络方案设计中传输介质选择的分析设计题。基于每种传输介质限选一次的条件,本题的解答思路如下。 由 IEEE802.3ad工作组制定的链路聚合 (Port Trunking)技术,支持 IEEE802.3协议,是一种用来在两台核心交换机之间扩 大通信吞吐量、提高可靠性的技术。该技术可使交换机之间连接最多 4条负载均衡的冗余连接。当某一台核心层交换机出现故障或核心层交换机与接入层 /汇聚层交换机的某一条互连线路出现故障时,系统会将通信业务快速自动切换到另一台正常工作的核心层交换机上
21、。在图 4-12所示的拓扑结构中, (2)空缺处的核心层交换机与原校园网的连接介质建议采用双千兆光纤链路,即 (6)空缺处应填入 “双千兆光纤链路 ”。 结合 问题 1的要点解析可知,在图 4-12拓扑结构中 (3)空缺处的 Switch2交换机设备可支持千兆以太网 (GE)接口类型,且 有 20个百 /千兆自适应电口。综合考虑到与 Switch2交换机相连接的服务器组要求较高的通信性能,因此 (8)空缺处的传输介质可选择 “千兆双绞线 ”(如 6类非屏蔽双绞线等 )。 同理,由于 (3)空缺处的 Switch2交换机设备有 20个百 /千兆自适应电口,而位于区域 A中的网络管理计算机与 (3
22、)空缺处的交换机设备距离通常不会超过 100m,因此 (9)空缺处的传输介质可选择 “百兆双绞线 ”(例如超 5类非屏蔽双绞线等 )。 结合工程经验可知,在进行层次化网络方案设计时,应综合考虑到未来的网络应用牵涉到数据、音频、视频 传输,为保证传输带宽和质量,通常垂直干线子系统采用多模光纤把各配线间连接到主配线间。在图 4-12所示的拓扑结构中, (2)空缺处的核心层交换机与各楼层交换机的连接介质建议采用千兆光纤,即 (7)空缺处的传输介质可选择 “千兆光纤 ”。 4 【正确答案】 (10)E和 F,或用户权限控制、 IP地址和 MAC地址绑定 (11) D或虚拟专用网 (VPN)技术 (12
23、) C或网络地址转换 (NAT)技术 (13) B或 RAID技术 (14) A或基于主机的入侵检测系统 【试题解析】 在网络安全方面 ,可以采用多种技术从不同角度来保证该政府机构整个网络的安全。如只采用单纯的防护技术,可能导致对系统的某个或某些方面采取了安全措施,而对其他方面有所忽视的盲目性。因此在该政府机构的网络安全设计上适合采用分层控制方案,将整个网络分为外部网络传输控制层、内外网间访问控制层、内部网络访问控制层、操作系统及应用软件层和数据存储层,对各层的安全采取不同的技术措施,如表 4-16所示。5 【正确答案】 对度量值的限制设定。例如,设定基于跳数路由协议的有效路径度量值必须小于
24、16。 多个路由协议共存时的度量值 转换,例如,需要考虑延迟、带宽、可靠性等因素 【试题解析】 当网络中存在多条路径时,路由协议使用度量值来决定使用哪条路径。不同的路由选择协议的度量值是不同的,传统路由选择协议以路由器的跳数作为度量值,新一代路由选择协议还将参考延迟、带宽、可靠性及其他因素。 对路由度量值主要存在着两个方面的考虑。一是对度量值的限制设定。例如,设定基于跳数路由协议的有效路径度量值必须小于 16,这些度量值的设定直接决定了网络的连通性和效率。二是多个路由协议共存时的度量值转换。路由器上可能会运行多个协议,不同的路由协议 对路径的度量值不同,设计人员需要建立起不同度量值之间的映射关
25、系,完成相应的路由重分布设计,让多个路由选择协议之间相互补充。 二、试题二 6 【正确答案】 防火墙能够防止外网未经授权访问内网,能够防止外网对内网的攻击,也能防止内网未经授权访问外网,仅使用防火墙不能有效地防止内网的攻击 入侵检测系统能够实时应对来自内网已知的攻击,对来知的攻击检测能力较弱,且存在误报率高的缺点 安全扫描能够及时发现安全漏洞,但依赖于相关数据库的实时更新,且不能采取主动防护措施 日志审计能够在事件发 生时或事件发生后发现安全问题,有助于追查责任,定位故障,恢复系统,但无法在事前发现可能的攻击 【试题解析】 这是一道要求读者掌握防火墙、入侵检测、安全扫描、日志审计系统等常见的网
26、络安全防护技术的应用场合,以及其限制与约束的分析理解题。保证电子政务的安全运行是电子政务构建与运作过程中的首要问题和核心问题。在本试题中只是列举出了这些技术手段的名称,并没有详细地展开说明,因此对答案的构思需要读者能够根据平时的学习和掌握的知识来总结。对于本题的解答需要读者掌握的知识点如表 5-17所示。 如果能将入侵检测系统和防 火墙等其他安全系统进行联动,就能够更加有效地防止网络攻击。另外,常见的病毒扫描技术仅能够检测、标识或清除操作系统中的病毒程序,对其他方面没有太多的保护措施。 防火墙、入侵检测、病毒扫描、安全扫描、日志审计有各自的应用目的和优点,但都不能解决网络中身份认证、机密性、数
27、据完整性和抗抵赖性等问题。 7 【正确答案】 张工方案不能解决政务网中的认证、机密性、完整性和抗抵赖性问题 身份认证能够实现通信或数据访问中对对方身份的认可,便于访问控制,授权管理 机密性防止信息在传输、存储过程中被泄漏 完整性防止对数据进行未授权的创建、修改或破坏,避免通信双方数据一致性受到损坏 抗抵赖性有助于责任追查 【试题解析】 这是一道要求读者掌握 PKI技术在认证、机密性、完整性、抗抵赖性方面的优点的综合分析题。本题解答过程中所涉及的知识点如下。 在本试题中提到 “李工认为张工的方案不够全面,还应该在张工提出的方案基础上,使用 PKI技术,进行认证、机密性、完整性和抗抵赖性保护 ”,
28、明确地说明了公钥基础设施 (Public Key Infrastructure, PKI)技术主要的适用性,同时也说明防火墙、入侵检测、病毒扫描、安全扫描、日志审计、网页防篡改、私自拨号检测系统都不能全面解决政务网中的认证、机密性、完整性和抗抵赖性问题。 PKI技术是利用公钥理论和技术建立的提供信息安全服务的基础设施,是国际公认的互联网电子商务的安全认证机制。它利用现代密码学中的公钥密码技术在开放的 Internet网络环境中提供数据加密及数字签名服务的统一的技术框架。利用 PKI可以方便地建立和维护一个可信的网络计算环境,从而使得人们能够在这个无法直接相互面对的环境中确认彼此的身份和所交换的
29、信息。 典型实用的 PKI系统主要由认证机构 (CA)、注册机构 (RA)、证书库、密钥备份及恢复、 PKI客户端等组成。其中,证书颁发机构 (CA)作为 PKI核心的认证中心,由 CA签发的证书是网上用户的电子身份标识;注册机构 (RA)则是用户与认证中心的接口,其主要功能是核实证书申请者的身份,它所获证书的申请者身份的准确性是 CA颁发证书的基础;证书库用来存放经 CA签发的证书和证书注销列表 (CRL),为用户和网络应用提供证书及验证证书状态;密钥备份及恢复是密钥管理的主要内容,避免用户由于某些原因将解密数据的密钥丢失,从而使已被加密的密 文无法解开的现象,当用户证书生成时,加密密钥即被
30、 CA备份存储,当需要恢复时,用户只需向 CA提出申请, CA就会为用户自动进行恢复; PKI客户端的主要功能是使各种网络应用能够以透明、安全、一致、可信的方式与 PKI交互,从而使用户能够方便地使用加密、数字签名等安全服务。 PKI技术体系作为支持认证、完整性、机密性和抗抵赖性的技术基础,从技术上解决网上身份认证、信息完整性和抗抵赖等安全问题,为网络应用提供可靠的安全保障。其中, PKI通过数据证书进行身份认证。证书是一个可信的第三方证明,通过它可以使通信双方安 全地进行互相认证,而不用担心对方是假冒的。可见, PKI的身份认证可实现通信或数据访问中对对方身份的认可,便于访问控制,授权管理。
31、 PKI技术体系可以在认证的基础上协商一把会话密钥,并用它加密通信数据。因此在电子政务的网络中,密钥恢复是密钥管理的一个重要方面。 PKI能够通过良好的密钥恢复能力,提供可信的、可管理的密钥恢复机制,从而保证网上活动的健康有序发展。可见, PKI的机密性可用于防止信息在传输、存储过程中被泄漏。 完整性与抗抵赖性是 PKI提供的最基本的服务。一般来说,完整性也可以通过双方协 商一个秘密来解决,但当一方有意抵赖时,这种完整性就无法接受第三方的仲裁。而 PKI提供的完整性是可以通过第三方仲裁的,并且这种可以由第三方进行仲裁的完整性是通信双方都不可否认的。 “不可否认 ”可通过 PKI数字签名机制来完
32、成。可见,完整性用于防止对数据进行未授权的创建、修改或破坏,避免通信双方的数据不一致;抗抵赖性有助于事件责任的追查。 8 【正确答案】 对所有系统的有关设计、开发、使用、维护、管理等人员进行必要的安全教育,使大家认识到信息安全的重要性 在系统的设计、建设、运行阶段都要投入大量的资金,需充分咨询相关领域的专家 在系统的设计、建设、运行阶段,需要对不同的设计、开发、使用、管理、维护等人员进行针对性的培训 相关法律与法规制度的建立、执行与监督 【试题解析】 本问题要求读者能够对实施 PKI时会遇到的非技术方面的阻力有清晰的认识,并简要进行描述。本题解答过程中所涉及的知识点如下。 对所有系统的有关设计
33、、开发、使用、维护、管理等人员进行必要的安全教育,使大家认识到信息安全的重要性。 由于在系统的设计、建设 、运行阶段都要投入大量的资金,因此需要充分咨询相关领域的专家。 在系统的设计、建设、运行阶段,需要对不同的设计、开发、使用、管理、维护等人员进行针对性的培训。 相关法律与法规制度的建立、执行与监督。 9 【正确答案】 FCSAN使用专用光纤通道设备, IPSAN使用通用的 IP网络及设备,因此 FCSAN与 IPSAN相比传输速度高,但价格比 IPSAN高 相对于 IPSAN, FCSAN可以承接更多的并发访问用户数,且在稳定性、安全性及高性能等方面有较大优势 基于 iSCSI标准的 IP
34、SAN提供了 initiator与目标端两方面的身份验证 (使用CHAP、 SRP、 Kerberos和 SPKM),能够阻止未经授权的访问,只允许那些可信赖的节点进行访问,可通过 IPSec协议确保其数据的安全性,且 IP SAN比 FC SAN具有更好的伸展性 【试题解析】 存储区域网络 (SAN)是一个由存储设备和系统部件构成的网络。所有的通信都在一个与应用网络隔离的单独的网络上完成,可以被用来集中和共享存储资源。实现 SAN的硬件基础设施的是光纤通道,用光纤通道构筑的 SAN由 3部分构成:存储和备份设备 (包括磁带库 、磁盘阵列和光盘库等 )、光纤通道网络连接部件 (包括主机总线适配
35、卡 (HBA)、驱动程序、光缆 (线 )、集线器、交换机、光纤通道与 SCSI间的桥接器 (Bridge)等 )和应用和管理软件 (包括备份软件、存储资源管理软件和设备管理软件 )。 SAN置于 LAN之下,而不涉及 LAN。利用 SAN不仅可以提供大容量的存储数据,而且地域上可以分散,并缓解了大量数据传输对局域网的影响。 SAN的结构允许任何服务器连接到任何存储阵列,不管数据放置在哪里,服务器都可以直接存取所需的数据。 相对于传统的存储架构, SAN不必宕机 或中断与服务器的连接即可增加存储,还可以集中管理数据,从而降低总体拥有成本。利用协议技术, SAN可以有效地传输数据块。通过支持在存储
36、和服务器之间传输海量数据块, SAN提供了数据备份的有效方式。 SAN分为 FCSAN、 IPSAN和 IBSAN等。其中, FCSAN使用专用光纤通道设备, IPSAN使用通用的 IP网络及设备,因此 FCSAN与 IPSAN相比传输速度高,但价格比 IPSAN高。 从应用上来说,相对于 IPSAN, FCSAN可以承接更多的并发访问用户数。当并发访问存储的用户数不多时, FCSAN与 IPSAN两者的性能相差无几。但一旦外接用户数呈大规模增长趋势, FCSAN就显示出其在稳定性、安全性及高性能等方面的优势。在稳定性方面,由于 FCSAN使用高效的光纤通道协议,因此大部分功能都是基于硬件来实
37、现的。例如,后端存储子系统的存储虚拟通过带有高性能处理器的专用 RAID控制器来实现,中间的数据交换层通过专用的高性能 ASIC来进行基于硬件级的交换处理,在主机端通过带有 ASIC芯片的专用 HBA来进行数据信息的处理。因此在大量减少主机处理开销的同时,也提高了整个 FCSAN的稳定性。在安全性方面, FCSAN是服务 器后端的专用局域网络,安全性比较高。 采用 IPSAN可以将 SAN为服务器提供的共享特性及 IP网络的易用性很好地结合在一起,且为用户提供了类似于服务器本地存储的高性能体验。 iSCSI是实现IPSAN最重要的技术。在 iSCSI出现之前, IP网络与块模式 (主要是光纤通
38、道 )是两种完全不兼容的技术。由于 iSCSI是运行在 TCP/IP之上的块模式协议,它将IP网络与块模式的优势很好地结合起来,使得 IPSAN的成本低于 FCSAN。 基于 iSCSI标准的 IPSAN提供了 initiator与目标端两方面的身份验证 (使用CHAP、 SRP、 Kerberos和 SPKM),能够阻止未经授权的访问,只允许那些可信赖的节点进行访问,可通过 IPSec协议确保其数据的安全性。 由于 IP技术的普及和发展,利用 iSCSI技术搭建的 IPSAN可以随着网络延伸至全球任意一个角落,从根本上解决了信息孤岛的问题。甚至可以通过 IPSAN来连接各个 FCSAN的孤岛
39、,因此 IPSAN比 FC SAN具有更好的伸展性。 三、试题三 10 【正确答案】 采用双机冗余热备方式,当本地某个系统发生故障时,系统能够自动快速切换到正常的系统,通过本地故障恢复 确保系统持续提供服务 采用双机冗余热备方式,通常需要考虑的问题有: 双机热备产品适用的规模 支持的操作系统 支持的数据库系统 对正常业务系统的性能影响 提供的 GUI管理工具功能易用性 能够完全实现多应用多级切换,适用于多种应用并存的系统,某一应用的切换可以不对其他应用产生影响 集中管理配置能力 远程监控和管理能力 切换速度 磁盘管理方面的功能 【试题解析】 这是一道要求读者掌握双机冗余热备方式可以解决哪些问题
40、及在进行 产品选型时需要考虑哪些问题的综合实践题。本试题的解答思路如下。 1)容错技术是指在一定程度上容忍故障的技术,也称为故障掩盖技术(FaultMasking)。容错主要依靠冗余设计来实现,以增加资源换取可靠性。由于资源的不同,冗余技术分为硬件冗余、软件冗余、时间冗余和信息冗余。也可以是元器件级、部件级、系统级的冗余设计。 2)采用双机冗余热备方式,当本地某个系统发生故障时,系统能够自动快速切换到正常的系统,通过本地故障恢复确保系统持续提供服务。在这种方案中,需采用双机热备份软件,用于提高服务器的可靠 性。可选用离线数据备份及灾难恢复软件,保证数据的可靠性。还需要用到磁带机、磁带库和磁盘阵
41、列等硬件设备。 3)双机热备份方式的两台服务器都处于热机状态,如果一台服务器坏了,另一台服务器可以将所有的业务接管过来。它有两种工作方式: Online方式 两台服务器都在工作,分别担负不同的任务,均衡负载。缺点是成本大,管理难;Standby方式 备份机不工作,只是监测作业机的工作状况。缺点是服务器之间的切换时间较长。 4)目前有许多不同厂家提供双机冗余热备的产品,采用双机冗余热备方式,涉及以下众多因素: 双机热备产品适用的规模;支持的操作系统;支持的数据库系统;对正常业务系统的性能影响;提供的 GUI管理工具功能易用性;能够完全实现多应用多级切换 (应用级切换 ),适用于多种应用并存的系统
42、,某一应用的切换可以不对其他应用产生影响;集中管理配置能力;远程监控和管理能力;切换速度:磁盘管理方面的功能等。 11 【正确答案】 要实现系统容灾必须有 2个或 2个以上完成同样功能、同时运行的系统,并有相应的措拖使得这些系统的数据状态保持一致,而系统备份则不一定需要 系统备份只要求备份数据和系统分别放在不同的地方,而系 统容灾则要求不同的系统应位于同时发生灾难的概率很小的不同地域。一旦发生灾难,没有容灾能力的系统及其备份很可能同时被破坏,而容灾系统则至少存在一个可正常运行的系统 当发生灾难时,容灾系统不需要复制数据,系统切换时间短,而当备份系统恢复时一般需要复制大量的数据,系统切换时间长
43、【试题解析】 这是一道要求读者分析系统容灾和系统备份 /恢复之间的区别的综合题。本试题的解答思路如下。 1)系统容灾主要通过冗余技术 (包括硬件冗余和软件冗余 )来完成,即要实现系统容灾必须有 2个或 2个以上完成同样功能、同时运 行的系统,并有相应的措施使得这些系统的数据状态保持一致。 2)通常系统容灾要求不同的系统位于同时发生灾难的概率很小的不同地域,以保证一旦发生灾难,具有容灾能力的系统至少存在一个可正常运行的系统。 3)系统备份只要求备份数据和系统分别放在不同的地方,它不一定需要 2个或 2个以上完成同样功能、同时运行的系统。它允许备份数据与当前数据存在一定时间间隔的差别。一旦发生灾难
44、,没有容灾能力的系统及其备份很可能同时被破坏。 4)当发生灾难时,由于有容灾能力的系统不需要复制数据,而当系统备份恢复时一般需要复 制大量的数据,因此有容灾能力的系统切换时间一般小于系统备份恢复所需要的时间。 12 【正确答案】 作用:在灾难发生时能够有效地保护数据,保证核心业务数据在灾难发生后能够及时恢复 租用商业备份中心时应注意: 备份中心与公司的系统有充分远的距离 (大于 10km) 备份中心要有足够的带宽确保与数据中心的数据同步 备份中心具有抗灾能力 不能在重要设施密集地区、交通要道附近等 具有充足的双回路电力保障 所提供的备份时间段要合理 是否部署一定的网络安全系统 (如入侵检测等
45、) 【试题解析】 这是一道要求读者说明备份中心的作用及其租用注意事项的综合题。本试题的解答思路如下。 1)由于故障甚至灾难导致信息系统局部或全部瘫痪,会对相关的政府或企业造成重大的损失,因此需要业务持续和灾难恢复规划。业务持续和灾难恢复规划涉及一些特定的或相关的规划,当正常的信息处理业务突然中断时,用来减轻甚至避免其所带来的影响。它们用来保证维持组织运作的关键系统的可用性。 2)与双机冗余热备相比,备份中心的主要作用是在灾难发生时能够有效地保护数据,保证企事业网络核心业务数据 在灾难发生后能够及时恢复。 3)在租用商业备份中心时应该考虑的因素有:备份中心与公司的数据系统有充分远的距离 (几十公
46、里甚至几千公里 );网络基础设施较完善,备份中心要有足够的带宽确保与数据中心的数据同步;不能在地震、洪涝、台风、雷击等地质灾害和天气灾害的多发地区;不能在重要设施密集的地区;不能在交通要道附近;不能与重要建筑和标志性建筑相临;是否具有充足的双回路电力保障;所提供的备份时间段是否合理;是否部署一定的安全系统 (如入侵检测等 )以保证容灾系统的网络安全等。 13 【正确答案】 系统向异地备份中 心的备份时间段越小,就会越及时地把业务数据备份到备份中心,在灾难发生时损失的数据就越少,但对系统日常运行性能产生的影响越大 在极端情况下,如果每次有新的交易就向异地备份中心备份数据,则当灾难发生时,只会损失
47、最新发生的交易。但备份时间越短,要求系统的备份链路有越高的带宽,需付出的代价也越大。同时也会影响数据中心的性能 在实际中应根据具体的业务情况平衡备份时间段、业务系统的运行性能以及灾难发生时数据的损失这三者的关系,作出较为合理的决定 【试题解析】 这是一道要求读者分析备份数据时间间隔的选取与公 司日常业务系统的运行性能、灾难发生后数据损失情况关系的综合题。本试题的解答思路如下。 1)人们总是希望信息系统能够在日常的运行中具有高性能,在灾难发生时能够不损失任何数据,但事实上却很难实现这一目标。 2)系统向异地备份中心的备份时间段越小,就会越及时地把业务数据备份到备份中心,在灾难发生时损失的数据就越
48、少,但是对系统日常运行性能产生的影响就越大。 3)在极端情况下,如果每次有了新的交易就向异地备份中心备份数据,则当灾难发生时,只会损失最新发生的交易。但是备份时间越小,就要求系统的备份链路有越高的带宽,需要付出的代价也越大。另一方面,这也会影响数据中心的性能。 4)因此,在实际中需要根据具体的业务情况平衡备份时间段、业务系统的运行性能及灾难发生时数据的损失这三者的关系,作出较为合理的决定。当然,要达到最优化通常非常困难。 四、试题五 14 【正确答案】 能有效提高服务器的资源利用率,支持运行在不同操作系统之上的多个业务共享同一台服务器,从而减少企业数据中心中的服务器数量,最终降低企业数据中心建
49、设的硬件成本,节约场地面积,节能环保 【试题解析】 在计算机领域,虚拟化通常是指计 算元件在虚拟的 (而不是真实的 )基础上运行。虚拟化技术可以扩大硬件的容量,简化软件的重新配置过程。 CPU的虚拟化技术可用单 CPU模拟多 CPU的并行处理过程,允许一个平台同时运行多个操作系统,并且应用程序都可以在相互独立的空间内运行而互不影响,从而显著提高计算机的工作效率。 虚拟化技术与多任务及超线程技术完全不同。多任务是指在一个操作系统中多个程序同时并行运行,在虚拟化技术中可以同时运行多个操作系统,并且每一个操作系统中都有多个程序在运行,每一个操作系统都运行在一个虚拟的 CPU或者是虚拟主机上;而超线程技 术只是单 CPU模拟双 CPU来平衡程序的运行性能,这两个模拟出来的 CPU不能分离,只能协同工作。 虚拟化技术可以有不同的实现方法,例如完全虚拟化、准虚拟化、操作系统层虚拟化等。 目前,流行的虚拟化方法是使用名
