推荐等级:
发布时间: 2021-12-14 11:39
扫码用手机做题
某学校拥有内部数据库服务器l台,邮件服务器1台,DHCP服务器1台,FTP服务器1台,流媒体服务器1台,Web服务器1台,要求为所有的学生宿舍提供有线网络接入服务,对外提供Web服务,邮件服务,流媒体服务,内部主机和其他服务器对外不可见。
【问题1】(5分)
请划分防火墙的安全区域,说明每个区域的安全级别,指出各台服务器所处的安全区域。
【问题2】(5分)
请按照你的思路为该校进行服务器和防火墙部署设计,对该校网络进行规划,画出网络拓扑结构图。
【问题3】(5分)
学校在原有校园网络基础上进行了扩建,采用DHCP。服务器动态分配IP地址运行一段时间后,网络时常出现连接不稳定、用户所使用的IP地址被“莫名其妙”修改、无法访问校园网的现象。经检测发现网络中出现多个未授权DHCP地址。
请分析上述现象及遭受攻击的原理,该如何防范
【问题4】(6分)
学生宿舍区经常使用的服务有Web、即时通信、邮件、FTP等,同时也因视频流导致大量的P2P流量,为了保障该区域中各项服务均能正常使用,应采用何种设备合理分配每种应用的带宽 该设备部署在学校网络中的什么位置 一般采用何种方式接入网络
【问题5】(4分)
当前防火墙中,大多都集成了IPS服务,提供防火墙与IDS的联动。区别于IDS,IPS主要增加了什么功能 通常采用何种方式接入网络
本题解析:
【问题1】(5分)
划分三个不同安全级别的区域。
(1)内部网络 (2)外部网络 (3)DMZ区域(非军事化区)
内部网络区域的安全级别最高,可信的、重点保护的区域。包括内部的数据库服务器、内部的FTP服务器、DHCP服务器。
外部网络:安全级别最低,不可信的、需要防备的区域。
DMZ区域(非军事化区):安全级别中等,通过该区域对外开放一些特定的服务与应用,受一定的保护。包括Web服务器、邮件服务器、流媒体服务器。
【问题2】(5分)
【问题3】(5分)
用户无法访问校园网是因为获取的IP不是授权的DHCP服务器分配给它的。解决该问题从DHCP服务器给用户分配IP的原理着手。DHCP服务器给用户分配IP时会发送DHCP Offer和DHCP ACK报文。如果让交换机端口只接收授权DHCP服务器发过来的DHCP报文,其它端口不接收这些报文,该问题就得以解决。
防范方法:在交换机上启用DHCP SNOOPING功能。
DHCP SNOOPING通过建立和维护DHCP SNOOPING绑定表并过滤不可信任的DHCP信息来防止DHCP欺骗。
【问题4】(6分)
使用流量控制设备,为重要的业务提供更好的带宽资源。将该设备部署在与互联网接入位置,针对各类业务流量进行流量模型定义即可。可直接使用串行方式接入网络中。如考虑到流量模型较大,可能因流量控制设备处理能力问题,使其成为网络瓶颈,可考虑在学生宿舍区和核心交换机位置采用引流并行方式接入,来保障网络的健壮性。
【问题5】(4分)
入侵检测系统IDS通过对全网信息的收集、分析,了解信息系统的安全状况,进而指导信息系统安全建设目标以及安全策略的确立和调整,而入侵防御系统IPS主要用于对数据的深度分析及安全策略的实施,比如说对黑客行为的阻击。
IPS部署以串接的方式部署于主干线路上,办公网中,至少需要在以下区域部署IPS,即办公网与外部网络的连接部位(入口/出口);重要服务器集群前端;办公网内部接入层。
传统业务结构下,由于多种技术之间的孤立性,使得数据中心服务器总是提供多个对外I/O接口。在云计算模式发展的推动下,数据中心正在从过去的存储处理中心演变成为应用中心,并逐步向服务中心和运营中心转变。而对客户来说,由于技术、经验、资金等限制,在转变过程中会遇到各种挑战,例如:虚拟化带来的技术复杂性,规模扩大带来的运维压力,系统和数据迁移的困难以及数据中心的高能耗等。
传统业务结构存储下的数据中心网络扑结构图如图2-1所示。
图2-1
【问题1】(9分)
(1)如图2-1所示,数据中心有多个网络,一个是前端用户通信网络,一个是后端做数据更新或者做集群计算的通讯网络,还有后台光纤存储网络。针对这三种网络分别举出一个例子。
( 2)如上所述,除以上三种网络外有的数据中心还有专门用于虚拟机迁移的网络,都会在服务器上做集中。这样一台服务器最多需要几块网卡与之相连 随着TRILL等技术的出现,这个专用网络还需要吗
(3)网络成为数据中心资源的交换枢纽,当前数据中心纷为IP数据网络、存储网络、服务器集群网络。随着数据中心规模的逐步增大,简单分析带来的问题。
【问题2】 (4分)
FCoE采用增强型以太网作为物理网络传输架构,是专门为低延迟性、高性能、二层数据中心网络所设计的网络协议。目前国际标准化组织已经开发了针对以太网标准的扩展协议族,即“融合型增强以太网(CEE)”,这些扩展协议族可以进行所有类型的传输。试简述FCoE技术的优点。
【问题3】(6分)
为了实现统二管理、简化运维,采用基于FCoE技术的数据中心统一I/O能够实现用少数的CNA(Converged Network adapter)代替数量较多的NIC、HBA、HCA,所有的流量通过CNA万兆以太网传输 。
按照18台服务器(单网卡)为例,使用FCoE后每台服务器只需要一块专用适配器(网卡),一套布线(以太网)系统,统一管理维护简单。表2-1为使用FcoE前1 8台服务器需要的网卡、交换机、电缆以及上联端口的数量;请核算出使用FCoE后的相应部件数量,填充表2-2。
表2-1 使用FcoE前
表2-2 使用FcoE后
【问题4】(6分)
(1)随着数据中心的发展,数据中心的能耗已经成为一个严峻的问题,PU已经成为国际上比较通行的数据中心电力使用效率的衡量指标。请问PUE是什么,它的基准是多少,其越接近多少表示一个数据中心的绿色化程度越高
(2)在现代机房的机柜布局中,人们为了美观和便于观察会将所有的机柜朝同一个方向摆放。如果按照这种摆放方式,机柜盲板有效阻挡冷热空气的效果将大打折扣。正确的摆放方式是什么 请简述其原因。
(3)水冷空调系统是目前新一代大型数据中心制冷的首选方案,采用水冷空调在部分地区可以采取免费冷却技术以节能。免费冷却技术是什么
本题解析:
【问题1】(9分)
(1)主要包含以下三种网络:
1、以太网:前端的用户通信网络。
2、FC光纤网络:后台存储网络光纤的通道。
3、高性能计算Infiniband网络(服务器集群网络):后端做数据更新或者做集群计算的通讯网络。
(2)最多需要8块网卡与之相连。如使用trill(多链接透明互联)后,该网络无需存在。(实际服务器需与4个网络相连,每个网络需要两块网卡,故需要8块),随着TRILL技术出现,专用网络不需要。
(3)随着数据中心的不断扩大,将带来以下困难:
1、每个服务器要多个专用适配器(网卡),要不同的布线系统。
2、机房要支持更多设备:空间、耗电、制冷。
3、多套网络无法统一管理,不同的维护人员。
4、部署/配置/管理/运维困难。
【问题2】(4分)
FCoE技术有以下的一些优点:光纤存储和以太网共享同一个端口;更少的线缆和适配器;软件配置I/O;与现有的SAN环境可以互操作。
基于FCoE技术的数据中心统一I/O能够实现用少数的CNA(Converged Network adapter)代替数量较多的NIC、HBA、HCA,所有的流量通过CNA万兆以太网传输。
FCoE:FC帧直接映射到以太网上进行承载。
FC数据流和其他数据流共享以太网链路,FCOE 保留原FC网络中 N_Port、F_Port、E_Port 的结构,FCOE 保留原FC的管理模式,保护原有投资。
兼容原有网络:原有FC存储网络(FC交换机)可连接到数据中心以太网交换机上。
下一代网络:FCoE磁盘阵列可直接连接到数据中心交换机上。
使用FcoE的好处:
每个服务器只需要一个专用适配器(网卡),一套布线(以太网)系统(以前需要多个网卡,多套布线(以太网和光纤)系统)。
机房不再要支持更多设备:空间、耗电、制冷,更加节能绿色。
只有一套网络,统一管理维护简单(原来是多套网络无法统一管理,不同的维护人员维护困难)
部署/配置/管理/运维简单。
网卡、交换机、光纤需要的数量减半,投资减少50%,能耗及维护费用极大降低。
【问题3】(6分)
(1)0
(2)0
(3)0
(4)0
(5)0
(6)0
(7)0
(8)4
(9)18
(10)2
(11)36
(12)6
【问题4】(6分)
(1)PUE是评价数据中心能源效率的指标,是数据中心消耗的所有能源与IT负载使用的能源之比。
PUE = 数据中心总设备能耗/IT设备能耗,PUE是一个比值,基准值是2,越接近1表明能效水平越好。
(2)可以采用冷热通道区分设计,即‘面对面,背靠背’设计。这样设计可更有效提高冷却效率.
数据中心热通道冷通道设计是交叉行排列服务器机架,让冷空气的进口朝一边,热空气的出口朝另一边。机架前端组成的行称为冷通道。通常情况下,冷通道面向空调的输出管道。热空气输出的那一行称为热通道。通常情况下,热通道面向空调的回风管道。有效减低冷热空气混合,达到良好的散热及节能作用。
(3)免费冷却技术指全部或部分使用自然界的免费冷源进行制冷从而减少压缩机或冷冻机消耗的能量。目前常用的免费冷源主要是冬季或春秋季的室外空气。
某企业网络拓扑如图1-1所示。
图1-1
【问题1】(6分)
根据图1-1,对该网络主要设备清单表1-1所示内容补充完整。
表1-1
【问题2】(8分)
1.网络中A、B设备连接的方式是什么依据A、B设备性能及双链路连接,计算两者之间的最大宽带。
2.交换机组F的连接方式是什么采用这种连接方式的好处是什么
【问题3】(6分)
该网络拓扑中连接到各分部可采用租赁ISP的DDN、Frame Relay、ISDN线路等方式,请简要介绍这几种连接方式。
【问题4】(5分)
若考虑到成本问题,对其中一条连接用VPN的方式,在分部路由器上做下列配置:
sub-company(config)#crypto isakmp policy 1
sub-company(config-isakmp)#encry des
sub-company(config-isakmp)#hash md5
sub-company(config-isakmp)#authentication pre-share
sub-company(config)# crypto isakmp key 6 cisco address x.x.x.x
该命令片段配置的是 (7)
(7)备选答案:
A、定义ESP
B、IKE策略
C、IPSce VPN 数据
D、路由映射
在该配置中,IP地址x.x.x.x是该企业总部IP地址还是分部IP地址
本题解析:
【问题1】(6分)
(1)C
(2)汇聚交换机
(3)D
(4)路由器
(5)E
(6)防火墙
【问题2】(8分)
链路聚合或者链路捆绑 在两台设备间采用链路聚合后,在不考虑协议开销的前提下,其带宽是原来单链路带宽的2倍。
双链路上行和菊花型堆叠,增加了冗余, 扩大网络规模,简化管理、提高网络可靠性与健壮性。
【问题3】(6分)
DDN:专线连接方式,点对点通信,用户独占一条永久的、速率固定的专用线路,并独享带宽,延迟小,成本高,线路利用率低。
Frame Relay:采用分组交换技术,点对多点通信,将传输的信息划分为一定长度的分组,采用动态复用技术来传送几个分组,虽然在任意时刻线路总是被某一个分组独占,但线路的带宽在统计上得到复用,有效提高了线路的利用率,由于要对数据进行分组,因此该技术相比专线方式延迟大,但成本低。
ISDN:是电路交换技术的典型代表,延迟小,点对点通信,线路利用率低。
【问题4】(5分)
(7)B
总部IP地址
试卷分类:高级信息系统项目管理师
练习次数:0次
试卷分类:高级系统架构设计师
练习次数:0次
试卷分类:中级系统集成项目管理工程师
练习次数:0次
试卷分类:中级信息系统监理师
练习次数:0次
试卷分类:中级软件设计师
练习次数:0次
试卷分类:高级网络规划设计师
练习次数:0次
试卷分类:高级网络规划设计师
练习次数:0次
试卷分类:高级网络规划设计师
练习次数:0次
试卷分类:中级网络工程师
练习次数:0次
试卷分类:中级网络工程师
练习次数:0次