高级网络规划设计师案例分析

试卷预览

1 问答题 1分

某银行上海中心机房是某行信息化运行的核心。机房服务承载了该行的大量业务系统，这些系统在运行过程中产生了大量的数据，而这些数据是银行业务的核心和最重要的资产之一。为保证该银行的操作系统、集群软件及应用、数据库等正常运行，需要提供额外的大数据量存储，而原有的存储容量、负载都无法满足信息迅猛增长及对存储系统高性能、高可用性的要求。为此，银行向某集成商购买了一套SAN存储系统。当存储设备到货时，集成商技术员小李拟按图1方式构建RAID级别。而存储厂商工程师朱工认为需要按图2方式构建RAID级别。其中，Di表示数据段，Pi表示校验段。

【问题1】（5分）图1所示的RAID方式是（1） ，请简述该方式的优缺点。【问题2】（5分）图2所示的RAID方式是（2） ，请简述该方式的优缺点。【问题3】（4分）结合项目实际，请指出小李和朱工的构建RAID方式，哪一种最合适，并说明理由。【问题4】（5分）存储厂商刘工指出，朱工的构建RAID方式存在安全隐患，还需要为每个RAID组分配一块HotSpare盘。这种配置HotSpare盘的方式属于全局方式还是局部方式？请简述HotSpare盘的功能。【问题5】（4分）图1 所示，RAID 的条带深度是（3）KB，条带宽度是（4）。【问题6】（2分）RAID5中最低需要（5）块盘才能实现写并发。

查看答案 开始考试

正确答案：

本题解析：

【问题1】（5分）RAID 0（2分）RAID0的优点是读写性能将是单个磁盘读取性能的N倍，且磁盘空间的存储效率最大（100％）；RAID0的缺点：不提供数据冗余保护，一旦数据损坏，将无法恢复。【问题2】（5分）RAID 10（2分）RAID10的优点是既利用了RAID0极高的读写效率，又利用了RAID1的高可靠性。RAID10的缺点是比较浪费磁盘空间。【问题3】（4分）朱工方案最合适（2分）；银行数据非常重要，需要更可靠的RAID 10来保障。【问题4】（5分）局部热备盘（2分）。HotSpare盘（热备盘）是在建立RAID的时候，制定一块空闲、加电并待机的磁盘为热备盘。热备盘平常不操作，当某一个正在使用的磁盘发生故障后，该磁盘将马上代替故障盘，并自动将故障盘的数据重构在热备盘上。【问题5】（4分）32KB，条带宽度是4。【问题6】（2分）4

【解析】

【问题1】~【问题3】RAID0也称为条带化（stripe），将数据分成一定的大小顺序的写道阵列的磁盘里，RAID0可以并行的执行读写操作，可以充分利用总线的带宽，理论上讲，一个由N个磁盘组成的RAID0系统，它的读写性能将是单个磁盘读取性能的N倍。且磁盘空间的存储效率最大（100％）RAID0有一个明显的缺点：不提供数据冗余保护，一旦数据损坏，将无法恢复。RAID10是RAID1和RAID0的结合，也称为RAID（0+1），先做镜像然后做条带化，既提高了系统的读写性能，有提供了数据冗余保护，RAID10的磁盘空间利用率和RAID1是一样的，为50％。RAID10适用于既有大量的数据需要存储，有对数据安全性有严格要求的领域，比如金融，证券等。【问题4】HotSpare盘（热备盘）是在建立RAID的时候，制定一块空闲、加电并待机的磁盘为热备盘。热备盘平常不操作，当某一个正在使用的磁盘发生故障后，该磁盘将马上代替故障盘，并自动将故障盘的数据重构在热备盘上。热备盘分为全局热备盘和局部热备盘。（1）全局热备盘：针对整个阵列，对阵列所有RAID组起作用。（2）局部热备盘：只针对特定的一个RAID组起作用。【问题5】条带深度就是一个segment所包含数据块或者扇区的个数或者字节容量。条带宽度：是指可以同时读、写条带数量，等于RAID中的物理硬盘数量。【问题6】RAID5中最低需要4块盘才能实现写并发。其中，两块盘写数据，另外两块盘写校验数据。

2 问答题 1分

以下是某公司的网络拓扑图，公司要求全网范围内实现IP地址的动态分配，请根据拓扑图将配置补充完整。

【问题1】（5分）图中的区域（a）的名称是（1），区域（b）的名称是（2），区域（c）的名称是（3），若设备是华为设备，其中区域（C）的默认安全级别是（4）。此防火墙工作模式是（5）。【问题2】（7分）公司的服务器群主要部署了基于WEB的各种应用，尽管在防火墙上设置相应的安全措施，在实际应用中，服务器群总是遭到各种攻击。管理员用网络监测工具发现大量的如下URL：http://www.abc.com/showdetail.asp?id=1 and (select count(*) from sysobjects)>0http://www.abc.com/showdetail.asp?id=1 and user>0…则公司的服务器遭受了（6）攻击，合理的解决方法是（7）。也可以在防火墙的区域(b)与switch5之间部署（8）设备增强Web服务的安全。【问题3】（6分）以下是设备的部分配置，根据题意完成命令填空或者解释。…[Switch1]vlan 2 创建vlan2、3[Switch1-vlan2]quit[Switch1]vlan 3 [Switch1-vlan3]quit[Switch1]vlan 100 [Switch1-vlan100]quit[Switch1] （9） //配置名为net1的地址池[Switch1-ip-pool-net1] （10）[Switch1-ip-pool-net1] gateway-list 192.168.1.254[Switch1-ip-pool-net1] dns-list （11）[Switch1-ip-pool-net1] quit[Switch1][Switch1] ip pool net2[Switch1-ip-pool-net2] network 192.168.2.0 mask 255.255.255.0 [Switch1-ip-pool-net2] gateway-list 192.168.2.254[Switch1-ip-pool-net2] dns-list 114.114.114.114 [Switch1-ip-pool-net2] static-bind ip-address 192.168.2.10 mac-address 0001-1111-2222 [Switch1-ip-pool-net2] quit….[Switch1] （12）[Switch1-Vlanif2] ip address （13）[Switch1-vlanif2] （14） //接口下开启全局DHCP分配功能[Switch1-Vlanif2] quit[Switch1][Switch1] interface vlan 3[Switch1-Vlanif3] ip address 192.168.2.254[Switch1-vlanif3] dhcp select global [Switch1-Vlanif3] quit[Switch1][Switch1] interface vlan 100[Switch1-Vlanif100] ip address 192.168.100.254[Switch1-Vlanif100] quit[Switch1]【问题4】（5分）系统运行一段时间，内网不断有用户报告网络故障，不能访问Internet。管理员在故障机器上，使用（15）命令，可以得到如下信息

则该故障的原因是（16），解决故障的方法是（17）。【问题5】（2分）根据拓扑图，防火墙需要配置默认路由，则正确的命令是（18）和内网的回程路由（19）

查看答案 开始考试

正确答案：

本题解析：

【问题1】（5分）（1）外网 （2）DMZ （3） 内网或者trust （4）85（5）路由模式【问题2】（7分）（6）SQL注入 （2分）（7）1. 严格检查输入变量的类型和格式，进行严格校验 2. 过滤和转义特殊字符 3. 利用预编译机制 （3分）（8）WAF或者web应用防火墙。（2分）【问题3】（6分）（9）ip-pool-net1（10）network 192.168.1.0 mask 255.255.255.0 （11）114.114.114.114（12）Interface vlan 2(13) 192.168.1.254 255.255.255.0(14) Dhcp select global【问题4】（5分）（15）ipconfig/all （1分）（16）存在有非法的dhcp服务器（2分） （17）开启交换机上的dhcp snooping 功能。（2分）【问题5】（2分）（18）ip route-static 0.0.0.0 0.0.0.0 210.112.1.1（19）ip route-static 192.168.0.0 255.255.128.0 192.168.100.254

【解析】

【问题1】防火墙三个基本区域的名字和安全级别是最基础的概念。因为SW1的g0/0/1接口和云端的服务器接口有不同网段的IP地址，因此是路由模式。【问题2】这是典型的SQL注入攻击，通常采用的方式是1. 严格检查输入变量的类型和格式，进行严格校验2. 过滤和转义特殊字符3. 利用预编译机制。针对web应用的安全，简单的方式增加一个WAF设备，直接对web应用进行安全防护。【问题3】略【问题4】略【问题5】略

3 问答题 1分

某大型企业早期拥有各类管理信息系统10多个，企业信息办副主任老张设计了高可靠性机房，并购置了大量的服务器，用于承载相关应用。每台服务器上运行一到两个重要应用。近年来，企业发展迅速，企业应用迅速扩展到80多个，现有服务器需要淘汰一批、更新一批。信息办小李设计了新的机房服务器扩展和存储方案，并设计了新的服务器拓扑图，如图1所示。信息办副主任老张认为，该方案还存在较多的问题，并没有降低管理效率。但小李并不认同老张的看法。

【问题1】（6分）你同意小李的服务器配置方案吗？并说明理由。【问题2】（8分）在虚拟化计算资源设计时，需要遵循一些基本的原则。请判断并标记以下说法的正确性。（1）单个虚拟服务器配置CPU、内存可以超过物理计算资源集群中单台物理机的最大CPU、内存配置。 （ ）（2）单台物理服务器上所有虚拟主机的VCPU之和不超过物理机总核心的1.5倍。（ ）（3）单台物理服务器上所有虚拟主机内存之和不超过物理机内存的200%。 （ ）（4）为了利用存储空间，可以考虑把老旧服务器的内置硬盘利用起来，存放虚拟机。（ ）【问题3】（6分）（1）简述虚拟化裸金属架构，简述其优缺点。（2）简述虚拟化寄居架构，简述其优缺点。【问题4】（2分，多选题）以下选项中（1）属于虚拟化的关键特征A.分区B.隔离C.封装D.独立性【问题5】（3分）新服务器拓扑图中，存储网络部分是否存在单点故障？应该如何改进？

查看答案 开始考试

正确答案：

本题解析：

【问题1】不同意（2分）服务器可以先做虚拟化，大部分应用可运行在虚拟系统上面（4分）。【问题2】（1）×、（3）√、（3）×、（4）×【问题3】（1）裸金属架构就是直接在硬件上面安装虚拟化软件，再在其上安装操作系统和应用，依赖虚拟层内核和服务器控制台进行管理。优点：虚拟机不依赖于操作系统，可以支持多种操作系统，多种应用，更加灵 活缺点：虚拟层内核开发难度较大（2）寄居架构就是在操作系统之上安装和运行虚拟化程序，依赖于主机操作系统对设备的支持和物理资源的管理;优点：简单，便于实现缺点：安装和运行应用程序依赖于主机操作系统对设备的支持【问题4】（2分，多选少选均没有分）ABCD【问题5】（3分）存在单点故障。（1分）可以配置两台FC光纤交换机，服务器配置双HBA卡连接至两台FC光纤交换机，存储设备连接至两台FC光纤交换机。（2分）

【解析】

【问题1】不同意，服务器可以先做虚拟化，大部分应用可运行在虚拟系统上面。【问题2】1）单个虚拟服务器CPU、内存最大配置建议不超过物理计算资源集群中单台物理服务器的最大CPU，内存配置；2）单台物理服务器上所有虚拟主机的VCPU之和不超过物理机总核心的1.5倍；3）单台物理服务器上所有虚拟主机内存之和不超过物理机内存的120%；4）本地磁盘即内置磁盘的可用性及I/O吞吐能力均较弱，不建议在其上存放虚拟机，推荐使用外置高性能磁盘阵列；【问题3】（1）裸金属架构就是直接在硬件上面安装虚拟化软件，再在其上安装操作系统和应用，依赖虚拟层内核和服务器控制台进行管理。优点：虚拟机不依赖于操作系统，可以支持多种操作系统，多种应用，更加灵 活缺点：虚拟层内核开发难度较大举例：VMWare ESXi Server（2）寄居架构就是在操作系统之上安装和运行虚拟化程序，依赖于主机操作系统对设备的支持和物理资源的管理;优点：简单，便于实现缺点：安装和运行应用程序依赖于主机操作系统对设备的支持举例：VMware Server, Workstation【问题4】虚拟化的关键特征包含：（1）分区，在单一物理服务器上同时运行多个虚拟机；（2）隔离，每一个虚拟机都与同一个服务器上的其他虚拟机相隔离；（3）封装，虚拟机将整个系统，包括硬件配置操作系统以及应用等封装在文件里；（4）独立性，可以在其他机器上不加修改地使用虚拟机。【问题5】新服务器拓扑图中，存储网络中的服务器到FC光纤交换机、FC光纤交换机到存储设备存在等单点故障。可以配置两台FC光纤交换机，服务器配置双HBA卡连接至两台FC光纤交换机，存储设备连接至两台FC光纤交换机。

4 问答题 1分

某测评公司依照国家《计算机信息系统安全保护等级划分准则》、《网络安全等级保护基本要求》、《信息系统安全保护等级定级指南》等标准，以及某大学对信息系统等级保护工作的有关规定和要求，对某大学的网络和信息系统进行等级保护定级，按信息系统逐个编制定级报告和定级备案表，并指导该大学信息化人员将定级材料提交当地公安机关备案。【问题1】（7分）测评公司小李分析了某大学现有网络拓扑结构，认为学校信息系统网络系统未严格按“系统功能、应用相似性”、“资产价值相似性”、“安全要求相似性”、“威胁相似性”等原则对现有网络结构进行安全区域的划分。导致网络结构没有规范化、缺少区域访问控制和网络层防病毒措施、不能有效控制蠕虫病毒等信息安全事件发生后所影响的范围，从而使得网络和安全管理人员无法对网络安全进行有效的管理。因此，小李按照学校系统的重要性和网络使用的逻辑特性划分安全域，具体将学校网络划分为外部接入域、核心交换域、终端接入域、核心数据域、核心应用域、安全管理域、存储网络域共7个域，具体拓扑如图1所示。请将7个域名称，填入图1（1）~（7）空中。

【问题2】（8分）某高校信息中心张主任看到该拓扑图后，认为该拓扑图可能存在一些明显的设计问题。请依据个人经验，回答下列问题。（1）核心交换域是否存在设计问题？如果存在问题，则具体问题是什么，理由是什么，该如何解决？（2）核心应用域是否存在设计问题？如果存在问题，则具体问题是什么，理由是什么，该如何解决？【问题3】（6分）测评公司小李把测评指标和测评方式结合到信息系统的具体测评对象上，构成了可以具体测评的工作单元。具体分为物理安全、网络安全、主机系统安全、应用安全、数据安全及备份恢复、安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等十个层面。通过访谈相关负责人，检查机房及其除潮设备等过程，测评信息系统是否采取必要措施来防止水灾和机房潮湿属于（8）测评；通过访谈安全员，检查防火墙等网络访问控制设备，测试系统对外暴露安全漏洞情况等，测评分析信息系统对网络区域边界相关的网络隔离与访问控制能力属于（9）测评；通过访谈系统建设负责人，检查相关文档，测评外包开发的软件是否采取必要的措施保证开发过程的安全性和日后的维护工作能够正常开展属于（10）测评。【问题4】（4分）简述部署漏洞扫描系统带来的好处。

查看答案 开始考试

正确答案：

本题解析：

【问题1】（7分）（1）外部接入域（2）核心交换域（3）核心数据域（4）存储网络域（5）核心应用域（6）终端接入域（7）安全管理域【问题2】（8分）（1）存在问题（1分）；具体问题是核心交换域核心交换机只有一台（1分），存在单点故障的可能（1分）；解决办法是增加一台核心交换机，做双核心（1分）。（2）存在问题（1分）；具体问题是WAF只能做Web应用防护（1分），不合适架设在其他应用服务器前（1分）。解决办法是将WAF设备只部署在Web应用服务前。【问题3】（6分）（8）物理安全（9）网络安全（10）系统建设管理【问题4】（4分）部署漏洞扫描系统，可周期性对网络中的设备、服务器进行安全漏洞扫描，发现安全漏洞，及时进行补丁更新，落实安全管理在安全运维方面的要求。

【解析】

【问题1】基本概念题。【问题2】拓扑设计经验题。【问题3】基本概念题。【问题4】基本概念题。

5 问答题 1分

阅读下列说明，回答问题1至问题3，将解答填入答题纸的对应栏内。【说明】图1-1是网企业网络拓扑结构图。根据题意，回答问题1-问题5。

【问题1】（6分）根据该公司网络规划和安全设计需求，需在相应的位置部署设备，为拓扑图中的相应位置部署合适的安全设备。在设备1处部署(1)，在设备2处部署(2)，在设备3处部署(3)，在设备4处部署(4)，设备5处部署（5），设备6处部署（6）。(1)～(6)备选答案：A．防火墙 B．入侵检测系统(IDS) C．接入路由器 D.FC交换机 E.千兆交换机 F.WAF【问题2】（6分）为了加强对数据存储资源的管理和利用，节省设备投入。在应用服务器和数据库服务器之间需要尽可能高速，稳定的存储资源池，因此适合采用 （7）存储技术，而Web服务器也希望能共享存储资源池，根据拓扑结构图，从技术角度考虑，只能使用（8）。（9）技术是一种可以供硬件设备使用的在（10）协议的上层运行的SCSI指令集，这种指令集可以实现在IP网络上运行SCSI协议，能够在千兆以太网上进行路由选择。这种设计虽然能在技术上实现，但是可能存在（11）的安全问题。【问题3】（4分）存储资源池建设中，目前主要可选的磁盘有SATA、SAS，和SSD三种。适用于大、中型企业关键任务资料的存储的磁盘是（12），适合高性价比，海量资源存储的是（13），适合大批量，小数据库快，高随机读写频率的是（14）。这三种硬盘中，IOPS最高的是（15）。【问题4】（4分）在单个磁盘无法满足高的读写速率是，可以使用（16）技术提高读写速率和数据可靠性。 该技术的核心是（17），就是一个数据分成多个段，每段数据分别写入到阵列中的不同磁盘上。为了提高传输的性能，在其他条件不变时应该（18）条带大小:【问题5】（5分）若随着存储区域网络规模的扩大，原来的FC交换机端口不够，则可以通过（19）方式，将多个光纤交换机组成一个大规模的(20),它就像一个大型的、虚拟的（21）。

查看答案 开始考试

正确答案：

本题解析：

【问题1】（1）A （2）F (3) C (4)D （5）E （6）B【问题2】（7）FC-SAN（1分） （8）IP-SAN（1分）（9）iSCSI（1分）（10）IP （1分） （11）web服务器被攻陷时，内部存储资源池的信息被泄露（2分）【问题3】（12）SAS（13）SATA （14） SSD （15）SSD【问题4】（16）Raid （1分） （17） 条带化 （1分）(18) 减少 （2分）【问题5】（19）级联 （1分） （20）Fabric （2分） （21）FC交换机 （2分）

【解析】

【问题1】设备1用于连接Internet，内网和服务器之间，因此应该选防火墙。设备2连接在防火墙与web服务器之间，用于对web安全进行加强的设备，因此选WAF。设备3接于防火墙与Internet之间，通常是接入路由器。适合的设备是入侵防御系统。设备4连接于数据库服务器与存储设备之间，用于高速的数据传输，因此应该选光纤交换机，专用于FC san区域，不能用千兆交换机。而5处是存储资源池与核心交换机相连的链路，因此是建立IP san，用普通千兆交换机即可。6处是核心交换机，用于对内网的安全进行检测，因此适合使用IDS。【问题2】iSCSI技术是一种可以供硬件设备使用的在IP协议的上层运行的SCSI指令集，这种指令集可以实现在IP网络上运行SCSI协议，使其能够在高速千兆以太网上进行路由选择。【问题3】目前存储用的磁盘主要类型有SATA、SAS，和SSD三种。 SAS实际上是串行连接SCSI,SAS硬盘主要应用在线、高可用性、随机读取的情况，适用于大、中型企业关键任务资料的存储，效能高而且扩充性极高。【问题4】条带：是把连续的数据分割成相同大小的数据块，把每段数据分别写入到阵列中的不同磁盘上的方法，能使多个进程同时访问数据的多个不同部分而不会造成磁盘冲突，而且在需要对这种数据进行顺序访问的时候可以获得最大程度上的 I/O 并行能力和高的数据传输率（每秒传输的数据量，TPS）。减小条带大小: 由于条带大小减小了，则文件被分成了更多个，更小的数据块。这些数据块会被分散到更多的硬盘上存储，因此提高了传输的性能。【问题5】光纤交换机提供将许多交换机级联成一个大规模的Fabric的能力。通过连接两台交换机的一个或多个端口组成大的Fabric，其上的任何节点都可以和其他节点进行通信。从本质上讲，通过级联交换机，能够建立一个大型的、虚拟的、具有分布式优点的交换机，并且它可以跨越的距离非常大。由多个交换机建立起来的Fabric，看起来就像是一个由单独的交换机组成的Fabric，所有交换机上的端口可以像访问本地交换机一样查看和访问Fabric上的所有其他端口。统一的名字服务器和管理服务允许通过单独的接口查看和修改全部Fabric的信息。

6 问答题 1分

证券公司A拥有总部网络和多个营业部网络，在各地营业部网络和总部网络之间通过互联网网络连接。每个营业部大约有员工50~60多人。具体拓扑如图1所示。

【问题1】（10分）

根据券商网络安全防范需求，需在不同位置部署不同的安全设备，进行不同的安全防范。

为了避免券商网站服务器被非法攻击和篡改，需要部署（1）

为了方便分析网络攻击和网络访问情况，同时对日志进行备份，需要部署（2）

为了审计系统管理员的操作，方便系统管理员安全远程管理多台服务器与管理系统，需要部署（3）

为了对关键数据进行备份，实现虚拟化备份，需要部署（4）

为了规范管理员的数据库操作，对删除、插入字段等行为进行监管，需要部署（5）

A.防火墙 B. IDS C. IPS D.WAF

E.数据库审计 F.日志备份与审计 G.堡垒机 H.备份一体机

【问题2】（6分）

通常的IDS采用何种方式接入网络？IPS采用何种方式接入网络？IPS与IDS最大不同在哪里？

【问题3】（4分）

桌面虚拟化为券商实现移动办公、构建轻型营业部、实现非现场开户、实现股票行情、交易系统虚拟化带来了较大的便利。但虚拟化技术并不尽人意，简述现阶段虚拟化技术的缺点。

【问题4】（2分）

证券行业在实现交易大集中后，证券公司的技术风险随之向券商总部集中，应《网络安全法》要求，券商的某交易系统被定为等保三级，为了确保该系统安全同时符合等级保护制度，该信息系统，应每（1）年做一次等保测评。

A.1 B.2 C.3 D.4

【问题5】（3分）

注入语句：http：//xxx．xxx.xxx/abc.asp?pYY and user>0，不仅可以判断服务器的后台数据库是否为SQL-SERVER，还可以得到(1)。

A．当前连接数据库的用户数量

B．当前连接数据库的用户名

C．当前连接数据库的用户口令

D．当前连接的数据库名

查看答案 开始考试

正确答案：

本题解析：

【问题1】（10分）（1）D（2）F（3）G（4）H（5）E【问题2】（6分）IDS采用旁路部署，IPS采用串行部署方式；IPS主要增加对那些被明确判断为攻击的行为进行即时的检测和防御，并能阻断正在发生的攻击。【问题3】（4分）初始成本较高。虚拟桌面的性能还不如物理桌面，3D动画、高清视频处理等应用还有局限性。虚拟桌面的高度管控可能引起使用者反感。【问题4】（2分）A或者1【问题5】（3分）B

【解析】

【问题1】略【问题2】入侵防御系统（IPS）是一个能够监视网络或网络设备的通信传输行为的计算机网络安全设备，能够即时中断、调整或隔离一些不正常或是具有破坏性的网络通信行为。IDS只对那些异常的、可能是入侵行为的数据进行检测和报警，报告网络中的实时状况，是一种侧重于风险管理的安全产品。旁路部署的IDS可以及时发现那些穿透防火墙的深层攻击行为，作为防火墙的有益补充，但是无法进行实时的阻断。IPS对那些被明确判断为攻击行为，会对网络、数据造成危害的恶意行为进行检测和防御，降低使用者对异常状况的处理资源开销，是一种侧重于风险控制的安全产品。IPS通常是以在线、串行的形式部署在网络中。【问题3】略【问题4】三级等保系统，每年做一次测评工作。【问题5】利用数据库服务器的系统变量进行区分 SQL-SERVER有user,db_name()等系统变量，利用这些系统值不仅可以判断SQL-SERVER，而且还可以得到大量有用信息。如： HTTP://xxx.xxx.xxx/abc.asp?p=YY and user>0 不仅可以判断是否是SQL-SERVER，而还可以得到当前连接到数据库的用户名；