軟件水平考試(高級)系統(tǒng)架構(gòu)設(shè)計師案例真題及答案近年合集

PAGE"pagenumber"pagenumber/SECTIONPAGES"numberofpages"numberofpages軟件水平考試_(高級)系統(tǒng)架構(gòu)設(shè)計師_案例_真題及答案近年合集1.2013軟件水平考試(高級)網(wǎng)絡(luò)規(guī)劃設(shè)計師真題及答案案例2.2014軟件水平考試(高級)網(wǎng)絡(luò)規(guī)劃設(shè)計師真題及答案案例3.2016軟件水平考試(高級)網(wǎng)絡(luò)規(guī)劃設(shè)計師真題及答案案例4.2016軟件水平考試(高級)網(wǎng)絡(luò)規(guī)劃設(shè)計師真題及答案案例第02套5.2017軟件水平考試(高級)網(wǎng)絡(luò)規(guī)劃設(shè)計師真題及答案案例6.2018軟件水平考試(高級)網(wǎng)絡(luò)規(guī)劃設(shè)計師真題及答案案例7.2019軟件水平考試(高級)網(wǎng)絡(luò)規(guī)劃設(shè)計師真題及答案案例2013軟件水平考試(高級)網(wǎng)絡(luò)規(guī)劃設(shè)計師真題及答案案例[問答題]1.【說明】某高校網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)下圖所示：【問題1】（7分）目前網(wǎng)絡(luò)中存在多種安全攻擊，需要在不同位置部署不同的安全措施進行防范。常見的安全防范措施有：1．防非法DHCP欺騙2．用戶訪問權(quán)限控制技術(shù)3．開啟環(huán)路檢測（STP）4．防止ARP網(wǎng)關(guān)欺騙5．廣播風(fēng)暴的控制6．并發(fā)連接數(shù)控制7．病毒防治其中：在安全設(shè)備1上部署的措施有：（1）；在安全設(shè)備2上部署的措施有：（2）；在安全設(shè)備3上部署的措施有：（3）；在安全設(shè)備4上部署的措施有：（4）?！締栴}2】（8分）學(xué)校服務(wù)器群目前共有200臺服務(wù)器為全校提供服務(wù)，為了保證各服務(wù)器能提供正常的服務(wù)，需對圖3-1所示的防火墻1進行安全配置，設(shè)計師制定了2套安全方案，請根據(jù)實際情況選擇合理的方案并說明理由。方案一：根據(jù)各業(yè)務(wù)系統(tǒng)的重要程度，劃分為多個不同優(yōu)先級的安全域，每個安全域采用一個獨立子網(wǎng)，安全域等級高的主機默認(rèn)允許訪問安全域等級低的主機，安全域等級低的主機不能直接訪問安全域等級高的主機，然后根據(jù)需要添加相應(yīng)安全策略。方案二：根據(jù)各業(yè)務(wù)系統(tǒng)提供的服務(wù)類型，劃分為數(shù)據(jù)庫、Web.認(rèn)證等多個不同虛擬防火墻，同一虛擬防火墻中相同VLAN下的主機可互訪，不同VLAN下的主機均不允許互訪，不同虛擬防火墻之間主機均不能互訪。【問題3】（6分）為了防止資源的不合理使用，通常在核心層架設(shè)流控設(shè)備進行流量管理和終端控制，請列舉出3種以上流控的具體實現(xiàn)方案?！締栴}4】（4分）非法DHCP欺騙是網(wǎng)絡(luò)中常見的攻擊行為，說明其實現(xiàn)原理并說明如何防范。答案:問題一：在安全設(shè)備1上部署的措施有：4．防止ARP網(wǎng)關(guān)欺騙6．并發(fā)連接數(shù)控制在安全設(shè)備2上部署的措施有：3．開啟環(huán)路檢測（STP）5．廣播風(fēng)暴的控制在安全設(shè)備3上部署的措施有：1．防非法DHCP欺騙5．廣播風(fēng)暴的控制在安全設(shè)備4上部署的措施有：2．用戶訪問權(quán)限控制技術(shù)7．病毒防治問題二：學(xué)校服務(wù)器群選擇虛擬防火墻方式更加合理。在一臺物理設(shè)備上可以虛擬出多個獨立的防火墻，每個虛擬的防火墻設(shè)備都可以看做是獨立的防火墻。因此可以增加系統(tǒng)部署靈活性，降低部署的復(fù)雜度，減少維護的工作量。降低用戶投資。問題三：1.降低非關(guān)鍵業(yè)務(wù)的流量帶寬，進行合理的帶寬控制。對關(guān)鍵業(yè)務(wù)進行帶寬保證。2.對實時性要求較高的業(yè)務(wù)，進行報文段智能檢測，根據(jù)流量變化情況，進行合理的丟包補償，降低丟包對實時業(yè)務(wù)的質(zhì)量影響。問題四：參考答案：根據(jù)dhcp的原理，對于客戶端收到的多個響應(yīng)，只會選擇最早到達的響應(yīng)進行處理。而通常的企業(yè)網(wǎng)絡(luò)應(yīng)用中，dhcp會采用中繼的形式進行，因此非法dhcp會比授權(quán)的中繼dhcp服務(wù)器更早響應(yīng)客戶端，造成非法dhcp的工作更加破壞力強。因此可以采用阻斷非授權(quán)dhcp應(yīng)答的形式進行防治。如dhcpsnooping解析:[問答題]2.【說明】企業(yè)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖1-1所示。【問題1】（5分）企業(yè)網(wǎng)絡(luò)的可用性和可靠性是至關(guān)重要的，經(jīng)常會出現(xiàn)因網(wǎng)絡(luò)設(shè)備、鏈路損壞等導(dǎo)致整個網(wǎng)絡(luò)癱瘓的現(xiàn)象。為了解決這個問題，需要在已有的鏈路基礎(chǔ)上再增加一條備用鏈路，這稱為網(wǎng)絡(luò)冗余。（1）對于企業(yè)來說，直接增加主干網(wǎng)絡(luò)鏈路帶寬的方法有哪些？并請分析各種方法的優(yōu)缺點。（3分）（2）一般常用的網(wǎng)絡(luò)冗余技術(shù)可以分為哪兩種。（2分）【問題2】（10分）（1）網(wǎng)絡(luò)冗余是當(dāng)前網(wǎng)絡(luò)為了提高可用性、穩(wěn)定性必不可少的技術(shù)，在本企業(yè)網(wǎng)絡(luò)中要求使用雙核心交換機互做備份實現(xiàn)兩種網(wǎng)絡(luò)冗余技術(shù)，同時出口路由器因為負(fù)載過重也需要進行網(wǎng)絡(luò)結(jié)構(gòu)調(diào)整優(yōu)化，請畫圖說明在不增加網(wǎng)絡(luò)設(shè)備的情況下完成企業(yè)主干網(wǎng)絡(luò)結(jié)構(gòu)調(diào)優(yōu)。（4分）（2）在兩臺核心交換機上配置VRRP冗余，以下為部分配置命令。根據(jù)需求，完成（或解釋）核心交換機Switch-A的部分配置命令（6分）Switch-A：Switch-A(config)#track100interfaceF0/1line-protocol//①Switch-A(config-track)#exitSwitch-A(config)intVLAN1Switch-A(config-if)vrrp1ip54//在VLAN1中配置VRRP組1，并指定虛擬路由器的IP地址為54Switch-A(config-if)#②//開啟主路由器身份搶占功能Switch-A(config-if)vrrp1authenticationmd5key-stringCisco//配置VRRP協(xié)議加密認(rèn)證Switch-A(config-if)#VRRP1track100decrement30//③【問題三】（6分）隨著企業(yè)網(wǎng)絡(luò)的廣泛應(yīng)用，用戶對于移動接入企業(yè)網(wǎng)的需求不斷增加，無線網(wǎng)絡(luò)作為有線網(wǎng)絡(luò)的有效補充，憑借著投資少、建設(shè)周期短、使用方便靈活等特點越來越受到企業(yè)的重視，近年來企業(yè)也逐步加大無線網(wǎng)絡(luò)的建設(shè)力度。（1）構(gòu)建企業(yè)無線網(wǎng)絡(luò)如何保證有效覆蓋區(qū)域并盡可能減少死角？（2分）（2）IEEE認(rèn)定的四種無線協(xié)議標(biāo)準(zhǔn)是什么？（2分）（3）簡單介紹三種無線安全的加密方式。（2分）【問題4】（4分）隨著企業(yè)關(guān)鍵網(wǎng)絡(luò)應(yīng)用業(yè)務(wù)的發(fā)展，在企業(yè)網(wǎng)絡(luò)中負(fù)載均衡的應(yīng)用需求也越來越大。（1）負(fù)載均衡技術(shù)是什么？負(fù)載均衡會根據(jù)網(wǎng)絡(luò)的不同層次（網(wǎng)絡(luò)七層）來劃分。其中第二層的負(fù)載均衡是什么技術(shù)？（2分）（2）服務(wù)器集群技術(shù)和服務(wù)器負(fù)載均衡技術(shù)的區(qū)別是什么？（2分）答案:問題一：1.通常兩種方式a升級主干網(wǎng)絡(luò)的帶寬，但是投入較高，效果最好。b使用端口聚合，同樣可以增加帶寬，投入低，但是要求兩端設(shè)備都要能支持端口聚合技術(shù)。問題二:（1）提高可靠性，可以在核心和匯聚層設(shè)備之間增減冗余鏈路。在雙核心之間增減端口聚合，提高帶寬。由于引入冗余鏈路，需要設(shè)置STP協(xié)議。將核心交換機作為根橋。出口使用網(wǎng)關(guān)冗余VRRP技術(shù)。同時做負(fù)載分擔(dān)。（2）開啟路由器端口跟蹤功能vrrp1preempt端口跟蹤：當(dāng)鏈路故障時，自動降低優(yōu)先級30，其他鏈路可以搶占VRRP主設(shè)備身份。問題三（1）為了實現(xiàn)無縫覆蓋，需要兩個AP信號范圍重疊。另外注意AP的物理環(huán)境，空曠區(qū)域可以使用球形AP，全向發(fā)送信號。部分有限制區(qū)域如樓層，可以使用定向AP（2）主流IEEE無線標(biāo)準(zhǔn)802.11a/b/g/n(3)WEP加密。wpa的兩個標(biāo)準(zhǔn)wpa和wpa2.wpa-psk加密有wpa-psk和wpa2-psk問題四負(fù)載均衡技術(shù)可以提高吞吐量，靈活性和可用性集群技術(shù)：主要解決高可靠性和高性能計算。解析:[問答題]3.閱讀以下說明，回答問題1至問題5，將解答填入答題紙對應(yīng)的解答欄內(nèi)。【說明】某高校校園網(wǎng)使用3個出口，新老校區(qū)用戶均通過老校區(qū)出口訪問互聯(lián)網(wǎng)，其中新老校區(qū)距離20公里，拓?fù)淙鐖D2-1所示，學(xué)校服務(wù)器區(qū)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖2-2所示?！締栴}1】（3分）實現(xiàn)多出口負(fù)載均衡通常有依據(jù)源地址和目標(biāo)地址兩種方式，分別說明兩種方式的實現(xiàn)原理和特點?！締栴}2】（7分）根據(jù)學(xué)校多年實際運行情況，現(xiàn)需對圖2-1所示網(wǎng)絡(luò)進行優(yōu)化改造，要求：（1）在只增加負(fù)載均衡設(shè)備的情況下，且僅限通過老校區(qū)核心交換機1連接出口路由器；（2）采用網(wǎng)絡(luò)的冗余，解決新老校區(qū)互聯(lián)網(wǎng)絡(luò)中的單點故障；（3）通過多出口線路負(fù)載，解決單鏈路過載；（4）考慮教育網(wǎng)的特定應(yīng)用，需采用明確路由。試畫出圖2-1優(yōu)化后的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，并說明履行理由?！締栴}3】（5分）現(xiàn)學(xué)校有兩套存儲設(shè)備，均放置于老校區(qū)中心機房，存儲1是基于IP-SAN技術(shù)，存儲2是基于FC-SAN技術(shù)。試說明2-2中數(shù)據(jù)庫服務(wù)器和容災(zāi)服務(wù)器應(yīng)采用哪種存儲技術(shù)，并說明理由?！締栴}4】（5分）當(dāng)前存儲磁盤柜中通常包含SAS和SATA磁盤類型，試說明2-2中數(shù)據(jù)庫服務(wù)器和容災(zāi)服務(wù)器應(yīng)選擇哪種磁盤類型，并說明理由?！締栴}5】（5分）目前存儲中使用較多的RAID5和RAID10，試說明圖2-2中數(shù)據(jù)庫服務(wù)器和容災(zāi)服務(wù)器（數(shù)據(jù)級）各應(yīng)選擇哪種RAID技術(shù)，并說明理由。答案:問題一：1.基于源地址的負(fù)載均衡，根據(jù)源地址的情況，同一源地址的請求，轉(zhuǎn)發(fā)到同一臺服務(wù)器或者某個指定的鏈路上。適用于按照源地址將請求分類，然后轉(zhuǎn)發(fā)到指定的服務(wù)器或者鏈路的情況。目標(biāo)地址的負(fù)載均衡與源地址類似，只是決定的依據(jù)是目標(biāo)地址。問題二：1.核心交換機與出口路由之間添加負(fù)載均衡，通過此設(shè)備進行流量負(fù)載分擔(dān)。2.老區(qū)與新區(qū)之間核心路由器，量量連接，避免單點故障。3.對教育網(wǎng)的流量，可以進行基于目標(biāo)地址的負(fù)載均衡，去往教育網(wǎng)的流量走教育網(wǎng)，。而另外兩個出口可以基于源地址的負(fù)載均衡，分別為不同的內(nèi)網(wǎng)用戶提供不同出口訪問服務(wù)。問題三：對效率，穩(wěn)定性要求較高的網(wǎng)絡(luò)存儲系統(tǒng)，通常采用FC-SAN。而數(shù)據(jù)庫服務(wù)器因為對數(shù)據(jù)的安全，穩(wěn)定性和效率都有較高的要求，因此適合選用FC-SAN。IP-san具有成本低，傳輸距離遠(yuǎn)，與IP網(wǎng)絡(luò)融合性好以及高可擴展性等特點，對于一些訪問性能要求不是很高的應(yīng)用特別合適，如典型的備份系統(tǒng)。問題四：SATA最大的特點的容量大，成本低，與SAS硬盤的兼容性也不錯。用于在線，近線作業(yè)較好。SAS主要適合于在線，高可用性，隨機讀寫的環(huán)境，對關(guān)鍵業(yè)務(wù)系統(tǒng)的數(shù)據(jù)存儲比較合適，而且效能高，擴充性好。問題五：根據(jù)幾種raid的特點和應(yīng)用場景的數(shù)據(jù)要求，在典型的對性能要求高的OLTP環(huán)境中，建議采用raid10.對典型的OLAP，數(shù)據(jù)倉庫中，建議用RAID5，數(shù)據(jù)庫系統(tǒng)用raid10更好。備份也選用raid5.解析:2014軟件水平考試(高級)網(wǎng)絡(luò)規(guī)劃設(shè)計師真題及答案案例[問答題]1.【說明】[問題2](5分)PoE和PPPoE都是技術(shù)較成熟的認(rèn)證技術(shù)，在標(biāo)準(zhǔn)化程度、安全性、精確計費、帶寬/端0的控制方面都有相似的優(yōu)點。(1)隨著TriplePlay?三重播放?業(yè)務(wù)和以廣播pPIV為代表的多媒體業(yè)務(wù)的發(fā)展，請簡單敘述采用PPPoE接入方式會帶來的問題。(2)目前，業(yè)界正逐步推動PPPoE認(rèn)證技術(shù)向IPoE認(rèn)證技術(shù)轉(zhuǎn)換，請簡單描述IPoE的特點以及大規(guī)模商用需解決的關(guān)鍵問題。[問題3](6分)PoE部署要從運營支撐系統(tǒng)、核心層、業(yè)務(wù)控制層和接入層分別進行部署。(1)圖2-1的IPoE部署采用的是多邊緣架構(gòu)進行業(yè)務(wù)接入?yún)^(qū)分優(yōu)化，請對其進行簡要描述。(2)如果對IPoE部署采用單邊緣架構(gòu)的部署方案，請對圖2-1簡單修改并畫出其拓?fù)浣Y(jié)構(gòu)。(3)比較多邊緣和單邊緣兩種IPoE部署方案的優(yōu)缺點。[問題4](4分)目前電信運營商的用戶采用IPoE的寬帶接入主要認(rèn)證場景為大客戶專線接入認(rèn)證、IPTV等,IPOE和PPPOE的交叉場景就是PTV,下面就IPTV應(yīng)用PPPoE和IPoE的場景進行分析。(1)請在圖2-2中分別完成PTV使用PPPoE和IPoE認(rèn)證方式時多播視頻流的流向和流數(shù)，并予以簡單說明(其中，采用IPoE時多播復(fù)制點選擇在園區(qū)交換機和OLT上)。(2)請根據(jù)上述比較簡要敘述IPTV業(yè)務(wù)發(fā)展不同階段時的認(rèn)證方式選擇。答案:問題1：1.高2.低3.數(shù)據(jù)鏈路層4.應(yīng)用層5.認(rèn)證前分配6.認(rèn)證后分配7.分離8.分離9.不支持10.支持問題2PPPoE的認(rèn)證機制較復(fù)雜，對設(shè)備的處理能力，內(nèi)存資源等要求較高。而傳統(tǒng)的BRAS不是多業(yè)務(wù)承載的，所以在設(shè)備的擴展性，可靠性等方面不足。IPoE認(rèn)證涉及到用戶設(shè)備，網(wǎng)絡(luò)業(yè)務(wù)系統(tǒng)等，并不是簡單的支持dhcp。并且IPoE認(rèn)證不是點對點的通信，必須解決的關(guān)鍵問題是安全問題，目前標(biāo)準(zhǔn)不統(tǒng)一的問題。問題3：（1）利用BRAS作為PPPoE的邊緣控制設(shè)備，業(yè)務(wù)路由器SR作為使用IPoE的IPTV、流媒體等關(guān)鍵業(yè)務(wù)的邊緣控制設(shè)備，形成多邊緣的網(wǎng)絡(luò)架構(gòu)。（2）多邊緣優(yōu)點在接入規(guī)模發(fā)展后，大大降低設(shè)備成本。IPTV和上網(wǎng)業(yè)務(wù)在核心和匯聚層走不同的通道，減少上網(wǎng)流量對IPTV的影響缺點：不同業(yè)務(wù)由不同設(shè)備接入，并且在匯聚層對流量分離，使結(jié)構(gòu)，功能更復(fù)雜。單邊緣優(yōu)點：寬帶上網(wǎng)和IPTV都由BRAS統(tǒng)一接入，初期實現(xiàn)簡單。缺點：后期BRAS承受壓力過大，不能持續(xù)發(fā)展。問題4：在業(yè)務(wù)發(fā)展初期，可以使用PPPoe的方式處理，網(wǎng)絡(luò)改動小。在發(fā)展后期，選擇IPoE方式，上網(wǎng)流量和IPTV流量分別接入，滿足網(wǎng)絡(luò)的性能和服務(wù)質(zhì)量。【解析】問題1：1.高2.低3.數(shù)據(jù)鏈路層4.應(yīng)用層5.認(rèn)證前分配6.認(rèn)證后分配7.分離8.分離9.不支持10.支持問題2PPPoE的認(rèn)證機制較復(fù)雜，對設(shè)備的處理能力，內(nèi)存資源等要求較高。而傳統(tǒng)的BRAS不是多業(yè)務(wù)承載的，所以在設(shè)備的擴展性，可靠性等方面不足。IPoE認(rèn)證涉及到用戶設(shè)備，網(wǎng)絡(luò)業(yè)務(wù)系統(tǒng)等，并不是簡單的支持dhcp。并且IPoE認(rèn)證不是點對點的通信，必須解決的關(guān)鍵問題是安全問題，目前標(biāo)準(zhǔn)不統(tǒng)一的問題。問題3：（1）利用BRAS作為PPPoE的邊緣控制設(shè)備，業(yè)務(wù)路由器SR作為使用IPoE的IPTV、流媒體等關(guān)鍵業(yè)務(wù)的邊緣控制設(shè)備，形成多邊緣的網(wǎng)絡(luò)架構(gòu)。（2）多邊緣優(yōu)點在接入規(guī)模發(fā)展后，大大降低設(shè)備成本。IPTV和上網(wǎng)業(yè)務(wù)在核心和匯聚層走不同的通道，減少上網(wǎng)流量對IPTV的影響缺點：不同業(yè)務(wù)由不同設(shè)備接入，并且在匯聚層對流量分離，使結(jié)構(gòu)，功能更復(fù)雜。單邊緣優(yōu)點：寬帶上網(wǎng)和IPTV都由BRAS統(tǒng)一接入，初期實現(xiàn)簡單。缺點：后期BRAS承受壓力過大，不能持續(xù)發(fā)展。問題4：在業(yè)務(wù)發(fā)展初期，可以使用PPPoe的方式處理，網(wǎng)絡(luò)改動小。在發(fā)展后期，選擇IPoE方式，上網(wǎng)流量和IPTV流量分別接入，滿足網(wǎng)絡(luò)的性能和服務(wù)質(zhì)量。解析:[問答題]2.[說明]圖3-1是某制造企業(yè)網(wǎng)絡(luò)拓?fù)?，該網(wǎng)絡(luò)包括制造生產(chǎn)、研發(fā)設(shè)計、管理及財務(wù)、服務(wù)器群和銷售部等五個部分。該企業(yè)通過對路由器的配置、劃分VLAN、使用NaT技術(shù)以及配置QoS與ACL等實現(xiàn)對企業(yè)網(wǎng)絡(luò)的安全防護與管理。隨著信息技術(shù)與企業(yè)信息化應(yīng)用的深入融合，一方面提升了企業(yè)的管理效率,同時企業(yè)在經(jīng)營中面臨的網(wǎng)絡(luò)安全風(fēng)險也在不斷增加。為了防范網(wǎng)絡(luò)攻擊、保護企業(yè)重要信息數(shù)據(jù)，企業(yè)重新制定了網(wǎng)絡(luò)安全規(guī)劃，提出了改善現(xiàn)有網(wǎng)絡(luò)環(huán)境的幾項要求。1.優(yōu)化網(wǎng)絡(luò)拓?fù)?，改善網(wǎng)絡(luò)影響企業(yè)安全運行的薄弱環(huán)節(jié);2.分析企業(yè)網(wǎng)絡(luò)，防范來自外部攻擊，制定相應(yīng)的安全措施;3.重視企業(yè)內(nèi)部控制管理，制定技術(shù)方案，降低企業(yè)重要數(shù)據(jù)信息的泄露風(fēng)險;4.在保證I投資合理的范圍，解決遠(yuǎn)程用戶安全訪問企業(yè)網(wǎng)絡(luò)的問題;5.制定和落實對服務(wù)器群安全管理的企業(yè)內(nèi)部標(biāo)準(zhǔn)。[問題1](5分)請分析說明該企業(yè)現(xiàn)有的網(wǎng)絡(luò)安全措施是如何規(guī)劃與部署的，應(yīng)從哪些角度實現(xiàn)對網(wǎng)絡(luò)的安全管理。[問題2](5分)請分析說明該企業(yè)的網(wǎng)絡(luò)拓?fù)涫欠翊嬖诎踩[患,原有網(wǎng)絡(luò)設(shè)備是否可以有效防御外來攻擊。[問題3](5分)入侵檢測系統(tǒng)(IDS)是-種對網(wǎng)絡(luò)傳輸進行即時監(jiān)視，在發(fā)現(xiàn)可疑傳輸時發(fā)出警報或者采取主動反應(yīng)措施的網(wǎng)絡(luò)安全設(shè)備。請簡要說明該企業(yè)部署IDS的必要性以及如何在該企業(yè)網(wǎng)絡(luò)中部署IDS。[問題4](5分)銷售部用戶接入企業(yè)網(wǎng)采用VPN的方式，數(shù)據(jù)通過安全的加密隧道在公共網(wǎng)絡(luò)中傳播，具有節(jié)省成本、安全性高、可以實現(xiàn)全面控制和管理等特點。簡要說明VPN采用了哪些安全技術(shù)以及主要的VPN隧道協(xié)議有哪些。[問題5](5分)請結(jié)合自己做過的案例,說明在進行企業(yè)內(nèi)部服務(wù)器群的安全規(guī)劃時需要考慮哪些因素。答案:問題1：現(xiàn)有安全部署比較欠缺，服務(wù)器區(qū)直接接入核心交換機，缺乏有效的防火墻和IDS的保護。對于管理、財務(wù)部們的重要數(shù)據(jù)也不能僅僅使用vlan，ACL隔離。重點從接入訪問控制，身份認(rèn)證，操作系統(tǒng)安全，應(yīng)用系統(tǒng)授權(quán)等方面進行處理。問題2：拓?fù)浣Y(jié)構(gòu)存在的安全隱患1.核心層設(shè)備沒有冗余，存在單點故障2.接入層設(shè)備到核心層設(shè)備的鏈路也存在單點故障，應(yīng)配置冗余鏈路。3.制造生產(chǎn)部應(yīng)該雙鏈路直接連接到核心交換機上，而不是接入研發(fā)部分的交換機上4.服務(wù)器群有條件應(yīng)該設(shè)置專門的服務(wù)器區(qū)，添加防火墻或者IDS進行保護。原有設(shè)備不能提供有效的防御，應(yīng)該在出口路由器上添加防火墻設(shè)備。問題3：必要性：IDS主要用于防范來自內(nèi)部網(wǎng)絡(luò)的攻擊，同時也可以防止因為防火墻失效或者被攻破之后來自外圍的攻擊行為。是企業(yè)網(wǎng)絡(luò)安全中的重要技術(shù)。內(nèi)部部署：通常放置于內(nèi)部網(wǎng)絡(luò)中需要重點保護的位置，如服務(wù)器群和其他的核心部門。問題4：VPN主要采用的技術(shù)有：身份認(rèn)證技術(shù)、數(shù)據(jù)加密技術(shù)、密鑰管理技術(shù)、隧道技術(shù)等，主流的VPN隧道技術(shù)有2層的L2TP、PPTP和3層Ipsec。問題5：由于服務(wù)器的運行情況直接影響到整個網(wǎng)絡(luò)應(yīng)用，尤其需要分析企業(yè)的核心業(yè)務(wù)對應(yīng)的服務(wù)器，重點進行保護。如合理組織多臺服務(wù)器形成服務(wù)器集群，在集群上創(chuàng)建原來的多個服務(wù)，從而提高穩(wěn)定，可靠性。進行合理的負(fù)載均衡，保證服務(wù)器的性能。重點保護數(shù)據(jù)安全，部署IDS系統(tǒng)和數(shù)據(jù)備份，恢復(fù)系統(tǒng)。部署IDS系統(tǒng)和其他相關(guān)的安全設(shè)備，完善服務(wù)器日志系統(tǒng)，建立安全審計等。解析:[問答題]3.閱讀以下說明，回答問題1至問題5，將解答填入答題紙對應(yīng)的解答欄內(nèi)?！菊f明】某高校擬對學(xué)生公寓網(wǎng)絡(luò)（已知主機超過3000臺）進行改造。該校網(wǎng)絡(luò)部門在技術(shù)討論過程中，提出了以太網(wǎng)接入，ADSL接入和GPON接入三種思路，該部門主管在對三種方案的建設(shè)成本，網(wǎng)絡(luò)安全，系統(tǒng)維護，寬帶綜合業(yè)務(wù)等方面綜合考慮后，決定采用GPON接入方式，并給出了基于GPON的學(xué)生公寓寬帶初步設(shè)計方案如圖1-1所示。[問題1](5分)請比較以太網(wǎng)接入、ADSL接入以及GPON接入三種方式的特點，并簡要說明選擇GPON接入方式的理由。[問題2](5分)已知網(wǎng)絡(luò)部門對學(xué)生公寓網(wǎng)絡(luò)分配了一個地址段5974.116.0/24.請給出學(xué)生公寓網(wǎng)絡(luò)地址規(guī)劃與設(shè)計方案。[問題3](6分)請依據(jù)圖1-1設(shè)計方案，并且結(jié)合用戶上網(wǎng)方式是撥號上網(wǎng)、網(wǎng)絡(luò)安全控制以及采用帶內(nèi)管理方式管理網(wǎng)絡(luò)等技術(shù)因素。說明BRAS(BroadbandRemoteAccessServer)和OLT設(shè)備性能及配置描述。[問題4](5分)如果將圖1-1中BRAS設(shè)備用路由器(Router)替換，請分析在學(xué)生公寓網(wǎng)絡(luò)規(guī)劃上可能有哪些變化。[問題5](4分)請簡要說明GPON接入相比EPON接入對支持?三網(wǎng)合一?的發(fā)展有什么優(yōu)勢。答案:問題1以太網(wǎng)接入技術(shù)的優(yōu)點是技術(shù)非常成熟、標(biāo)準(zhǔn)化、平均端口成本低、帶寬高、用戶端設(shè)備成本低，將一個小區(qū)作為一個局域網(wǎng)來處理，方便，高效。ADSL接入的特點是利用已有的電話線路作為傳輸介質(zhì)，不需要改造或者重新布線，安裝方便。但是傳輸數(shù)據(jù)是不對稱的，上行1Mbps，下載最大8Mbps，適合3-5KM的小范圍內(nèi)使用。GPON是一種無源光網(wǎng)絡(luò)標(biāo)準(zhǔn)，由局端OLT，光分配網(wǎng)ODN及用戶端ONT/ONU組成，最大特點是高帶寬，高效率，大覆蓋范圍，用戶接口豐富等,能用QoS保證的全業(yè)務(wù)接入，很好地支持TDM業(yè)務(wù)，簡單、高效的適配封裝，強大的OAM能力。問題2可以將/24劃分為64個子網(wǎng)，每個子網(wǎng)對應(yīng)一個學(xué)生公寓的VLAN連接，僅僅用于接入。l學(xué)生公寓區(qū)域的用戶則可以通過本vlan段的三層設(shè)備做NAT訪問網(wǎng)絡(luò)。問題3BRAS（BroadbandRemoteAccessServer，寬帶遠(yuǎn)程接入服務(wù)器）配置PPPOE主要實現(xiàn)寬帶網(wǎng)絡(luò)用戶的接入、認(rèn)證、計費、管理的網(wǎng)絡(luò)設(shè)備，是寬帶網(wǎng)絡(luò)可運營、可管理的基礎(chǔ)。OLTopticallineterminal(光線路終端），用于連接光纖干線的終端設(shè)備，一端連接用戶，另一端連接BRAS。問題4使用router代替BRAS之后，通常需要根據(jù)接入網(wǎng)絡(luò)的規(guī)模來確定其變化，對于較大規(guī)模的網(wǎng)絡(luò)，內(nèi)部網(wǎng)絡(luò)會采用路由器或者多層交換機進行網(wǎng)絡(luò)的劃分，因此router只要考慮路由優(yōu)化與快速檢測等問題即可。二規(guī)模較小的接入網(wǎng)，可能是普通的2層網(wǎng)絡(luò)，需要router提供較靈活的接入方式。如vlan接入。問題5EPON是基于以太網(wǎng)的PON技術(shù)。它采用點到多點結(jié)構(gòu)、無源光纖傳輸，在以太網(wǎng)之上提供多種業(yè)務(wù)。GPON比EPON帶寬更大，它的業(yè)務(wù)承載更高效、分光能力更強，可以傳輸更大帶寬業(yè)務(wù)，實現(xiàn)更多用戶接入，更注重多業(yè)務(wù)和QoS保證，但實現(xiàn)更復(fù)雜，這樣就是導(dǎo)致其成本相對EPON也較高。解析:2016軟件水平考試(高級)網(wǎng)絡(luò)規(guī)劃設(shè)計師真題及答案案例[問答題]1.閱讀下列說明，回答問題1至問題4，將解答填入答題紙的對應(yīng)欄內(nèi)?！菊f明】圖3-1是某互聯(lián)網(wǎng)服務(wù)企業(yè)網(wǎng)絡(luò)拓?fù)?，該企業(yè)主要對外提供網(wǎng)站消息發(fā)布、在線銷售管理服務(wù)，Web網(wǎng)站和在線銷售管理服務(wù)系統(tǒng)采用JavaEE開發(fā)，中間件使用Weblogic，采用訪問控制、NAT地址轉(zhuǎn)換、異常流量檢測、非法訪問阻斷等網(wǎng)絡(luò)安全措施?！締栴}1】（6分）根據(jù)網(wǎng)絡(luò)安全防范需求，需在不同位置部署不同的安全設(shè)備，進行不同的安全防范，為上圖中的安全設(shè)備選擇相應(yīng)的網(wǎng)絡(luò)安全設(shè)備。在安全設(shè)備1處部署(1)；在安全設(shè)備2處部署(2)；在安全設(shè)備3處部署(3)。(1)～(3)備選答案：A.防火墻B.入侵檢測系統(tǒng)(IDS)C.入侵防御系統(tǒng)(IPS)【問題2】（6分，題）在網(wǎng)絡(luò)中需要加入如下安全防范措施：A.訪問控制B.NATC.上網(wǎng)行為審計D.包檢測分析E.數(shù)據(jù)庫審計F.DDoS攻擊檢測和阻止G.服務(wù)器負(fù)載均衡H.異常流量阻斷I.漏洞掃描J.Web應(yīng)用防護其中，在防火墻上可部署的防范措施有(4)；在IDS上可部署的防范措施有(5)；在IPS上可部署的防范措施有(6)?！締栴}3】（5分）結(jié)合上述拓?fù)洌埡喴f明入侵防御系統(tǒng)(IPS)的不足和缺點?！締栴}4】（8分）該企業(yè)網(wǎng)絡(luò)管理員收到某知名漏洞平臺轉(zhuǎn)發(fā)在線銷售管理服務(wù)系統(tǒng)的漏洞報告，報告內(nèi)容包括：1.利用Java反序列化漏洞，可以上傳jsp文件到服務(wù)器。2.可以獲取到數(shù)據(jù)庫鏈接信息。3.可以鏈接數(shù)據(jù)庫，查看系統(tǒng)表和用戶表，獲取到系統(tǒng)管理員登錄帳號和密碼信息，其中登錄密碼為明文存儲。4.使用系統(tǒng)管理員帳號登錄銷售管理服務(wù)系統(tǒng)后，可以操作系統(tǒng)的所有功能模塊。針對上述存在的多處安全漏洞，提出相應(yīng)的改進措施。答案:（1）A（2）B（3）C（4）ABF（5）D（6）HJ問題31.單點故障2.性能瓶頸3.五保和漏報問題4.匹配規(guī)則庫更新問題4。1.升級漏洞補丁2.數(shù)據(jù)庫連接信息保密3.控制好用戶權(quán)限4.用戶密碼加密處理5.過濾weblogi相關(guān)協(xié)議【解析】問題1基礎(chǔ)概念題，基本安全設(shè)備部署位置要熟悉問題2對應(yīng)安全措施和設(shè)備要分清。問題3ips一般串接，通過匹配特征庫實現(xiàn)攔截，所有串接設(shè)備都存在單點故障的問題，也可能有性能瓶頸問題。問題4web應(yīng)用漏洞主要是java反序列化，這是一種漏洞，需要補丁修復(fù)。數(shù)據(jù)庫連接信息泄露，需要進行加密保存。用戶權(quán)限過大，導(dǎo)致的問題只能優(yōu)化權(quán)限。解析:[問答題]2.閱讀以下說明，回答問題1至問題5，將解答填入答題紙對應(yīng)的解答欄內(nèi)?！菊f明】某企業(yè)實施數(shù)據(jù)機房建設(shè)項目，機房位于該企業(yè)業(yè)務(wù)綜合樓二層，面積約50平方米。機房按照國家B類機房標(biāo)準(zhǔn)設(shè)計，估算用電量約50KW，采用三相五線制電源輸入，雙回路向機房設(shè)備供電，對電源系統(tǒng)提供三級防雷保護。要求鋪設(shè)抗靜電地板、安裝微孔回風(fēng)吊項，受機房高度影響，靜電地板高20厘米。機房分為配電間和主機間兩個區(qū)域，分別是15和35平方米。配電間配置市電配電柜、UPS主機及電池柜等設(shè)備；主機間配置網(wǎng)絡(luò)機柜、服務(wù)器機柜以及精密空調(diào)等設(shè)備。項目的功能模塊如圖1-1所示?！締栴}1】（4分）數(shù)據(jù)機房設(shè)計標(biāo)準(zhǔn)分為（1）類，該項目將數(shù)據(jù)機房設(shè)計標(biāo)準(zhǔn)確定為B類，劃分依據(jù)是（2）?！締栴}2】（6分）該方案對電源系統(tǒng)提供第二、三級防雷保護，對應(yīng)的措施是(3)和(4)。機房接地一般分為交流工作接地、直流工作接地、保護接地和(5)，若采用聯(lián)合接地的方式將電源保護接地接入大樓的接地極，則接地極的接地電阻值不應(yīng)大于(6)。(3)～(4)備選答案：A.在大樓的總配電室電源輸入端安裝防雷模塊B.在機房的配電柜輸入端安裝防雷模塊C.選用帶有防雷器的插座用于服務(wù)器、工作站等設(shè)備的防雷擊保護D.對機房中UPS不間斷電源做防雷接地保護【問題3】（4分）在機房內(nèi)空調(diào)制冷一般有下送風(fēng)和上送風(fēng)兩種方式。該建設(shè)方案采用上送風(fēng)的方式，選擇該方式的原因是(7)、(8)。(7)~(8)備選答案：A.靜電地板的設(shè)計高度沒有給下送風(fēng)預(yù)留空間B.可以及時發(fā)現(xiàn)和排除制冷系統(tǒng)產(chǎn)生的漏水，消除安全隱患C.上送風(fēng)建設(shè)成本較下送風(fēng)低，系統(tǒng)設(shè)備易于安裝和維護D.上送風(fēng)和下送風(fēng)應(yīng)用的環(huán)境不同，在IDC機房建設(shè)時要求采用上送風(fēng)方式【問題4】（6分）網(wǎng)絡(luò)布線系統(tǒng)通常劃分為工作區(qū)子系統(tǒng)、水平布線子系統(tǒng)、配線間子系統(tǒng)、（9）、管理子系統(tǒng)和建筑群子系統(tǒng)等六個子系統(tǒng)。機房的布線系統(tǒng)主要采用（10）和（11）?！締栴}5】（5分）判斷下述觀點是否正確（正確的打√；錯誤的打×）。1.機房滅火系統(tǒng)，主要是氣體滅火，其滅火劑包括七氟丙烷、二氧化碳、氣溶膠等對臭氧層無破壞的滅火劑，分為管網(wǎng)式和無管網(wǎng)式。(12)2.機房環(huán)境監(jiān)控系統(tǒng)監(jiān)控的對象主要是機房動力和環(huán)境設(shè)備，比如配電、UPS、空調(diào)、溫濕度、煙感、紅外、門禁、防雷、消防等設(shè)備設(shè)施。(13)3.B級機房對環(huán)境溫度要求是18℃~28℃，相對濕度要求是40%～70%。(14)4.機房新風(fēng)系統(tǒng)中新風(fēng)量值的計算方法主要按房間的空間大小和換氣次數(shù)作為計算依據(jù)。(15)5.機房活動地板下部的電源線盡可能地遠(yuǎn)離計算機信號線，避免并排敷設(shè)，并采取相應(yīng)的屏蔽措施。（16）答案:問題1：答案：（1）三（2）系統(tǒng)運行中斷造成的損失或者影響程度劃分?！峨娮有畔C房設(shè)計規(guī)范》GB50174-2008中，將電子信息機房定義為A,B,C三類，其中A類要求最高。劃分依據(jù)是系統(tǒng)中斷導(dǎo)致經(jīng)濟損失或者公共秩序混亂的程度。問題2：答案：（3）B（4）D（5）防雷接地(6)1歐姆數(shù)據(jù)機房的接地一般分為交流工作接地、直流工作接地、保護接地和防雷接地。聯(lián)合接地電阻值一般不大于1Ω或取聯(lián)合接地中各接地的最小值。本題中防雷保護采取三級防雷保護，第一級在大樓的總配電室電源輸入端安裝防雷模塊，第二級在機房的配電柜輸入端安裝防雷模塊，第三級對機房中UPS不間斷電源做防雷接地保護。問題3：答案：（7）A（8）B機房送風(fēng)包括風(fēng)帽上送風(fēng)、風(fēng)管送風(fēng)、地板下送風(fēng)等。最常用的是地板下送風(fēng)方式。機柜近距離送風(fēng)又稱為近距離制冷、精確制冷等，包括機柜行間制冷（側(cè)前送風(fēng)、側(cè)后回風(fēng)）、封閉機柜內(nèi)部制冷等。目前，數(shù)據(jù)中心常用的機房空調(diào)系統(tǒng)氣流組織方式有下送風(fēng)上回風(fēng)、上送風(fēng)前回風(fēng)（或側(cè)回風(fēng)）等方式。1、風(fēng)帽上送風(fēng)風(fēng)帽上送風(fēng)方式的安裝較為簡單、整體早教較低，對機房的要求也較低，所以在中小行機房中采用較多。風(fēng)帽上送風(fēng)機組的有效送風(fēng)距離較近，有效距離約為15m，兩臺對吹也只達到30m左右，而且送回風(fēng)容易收到機房各種條件的影響（如走線架、機柜擺放、空調(diào)擺放、機房形狀等），所以機房內(nèi)的溫度場相對不是很均勻。風(fēng)管上送風(fēng)工程造價高于風(fēng)帽送風(fēng)方式，安裝及維護也較為復(fù)雜，對機房的層高也有較高的要求要求層高大于4M。問題4：本題是綜合布線基本概念，需要熟練掌握。（9）垂直干線子系統(tǒng)（10）管理子系統(tǒng)（11）配線間子系統(tǒng)問題5本題考查是機房建設(shè)規(guī)范基礎(chǔ)要求，建議就這個描述進行記憶。其中第14空，A、B類機房的溫度都是23度+-1度，濕度為40-55%，C類機房溫度為18-28度，濕度為35%-75%。（12）√（13）√（14）×(15)√(16)√【解析】問題1：答案：（1）三（2）系統(tǒng)運行中斷造成的損失或者影響程度劃分?！峨娮有畔C房設(shè)計規(guī)范》GB50174-2008中，將電子信息機房定義為A,B,C三類，其中A類要求最高。劃分依據(jù)是系統(tǒng)中斷導(dǎo)致經(jīng)濟損失或者公共秩序混亂的程度。問題2：答案：（3）B（4）D（5）防雷接地(6)1歐姆數(shù)據(jù)機房的接地一般分為交流工作接地、直流工作接地、保護接地和防雷接地。聯(lián)合接地電阻值一般不大于1Ω或取聯(lián)合接地中各接地的最小值。本題中防雷保護采取三級防雷保護，第一級在大樓的總配電室電源輸入端安裝防雷模塊，第二級在機房的配電柜輸入端安裝防雷模塊，第三級對機房中UPS不間斷電源做防雷接地保護。問題3：答案：（7）A（8）B機房送風(fēng)包括風(fēng)帽上送風(fēng)、風(fēng)管送風(fēng)、地板下送風(fēng)等。最常用的是地板下送風(fēng)方式。機柜近距離送風(fēng)又稱為近距離制冷、精確制冷等，包括機柜行間制冷（側(cè)前送風(fēng)、側(cè)后回風(fēng)）、封閉機柜內(nèi)部制冷等。目前，數(shù)據(jù)中心常用的機房空調(diào)系統(tǒng)氣流組織方式有下送風(fēng)上回風(fēng)、上送風(fēng)前回風(fēng)（或側(cè)回風(fēng)）等方式。1、風(fēng)帽上送風(fēng)風(fēng)帽上送風(fēng)方式的安裝較為簡單、整體早教較低，對機房的要求也較低，所以在中小行機房中采用較多。風(fēng)帽上送風(fēng)機組的有效送風(fēng)距離較近，有效距離約為15m，兩臺對吹也只達到30m左右，而且送回風(fēng)容易收到機房各種條件的影響（如走線架、機柜擺放、空調(diào)擺放、機房形狀等），所以機房內(nèi)的溫度場相對不是很均勻。風(fēng)管上送風(fēng)工程造價高于風(fēng)帽送風(fēng)方式，安裝及維護也較為復(fù)雜，對機房的層高也有較高的要求要求層高大于4M。解析:[問答題]3.閱讀下列說明，回答問題1至問題5，將解答填入答題紙的對應(yīng)欄內(nèi)?！菊f明】圖2-1為某企業(yè)數(shù)據(jù)中心拓?fù)鋱D，圖中網(wǎng)絡(luò)設(shè)備接口均為千兆帶寬，服務(wù)器1至服務(wù)器4均配置為4顆CPU、256GB內(nèi)存、千兆網(wǎng)卡。實際使用中發(fā)現(xiàn)服務(wù)器使用率較低，為提高資產(chǎn)利用率，進行虛擬化改造，擬采用裸金屬架構(gòu)，將服務(wù)器1至服務(wù)器4整合為一個虛擬資源池。圖中業(yè)務(wù)存儲系統(tǒng)共計50TB，其中10TB用于虛擬化改造后的操作系統(tǒng)存儲，20TB用于Oracle數(shù)據(jù)庫存儲，20TB分配給虛擬化存儲用于業(yè)務(wù)數(shù)據(jù)存儲?！締栴}1】（6分）常見磁盤類型有SATA、SAS等，從性價比考慮，本項目中業(yè)務(wù)存儲系統(tǒng)和備份存儲應(yīng)如何選擇磁盤類型，請簡要說明原因。若要進一步提升存儲系統(tǒng)性能，在磁盤陣列上可以采取哪些措施？【問題2】（3分）常用虛擬化實現(xiàn)方式有一虛多和多虛多，本例中應(yīng)選擇哪種方式，請說明理由?！締栴}3】（8分）常用存儲方式包括FC-SAN、IP-SAN，本案例中，服務(wù)器虛擬化改造完成后，操作系統(tǒng)和業(yè)務(wù)數(shù)據(jù)分別采用什么方式在業(yè)務(wù)存儲系統(tǒng)上存儲？服務(wù)器本地磁盤存儲什么數(shù)據(jù)？請說明原因。【問題4】（4分）常見備份方式主要有Host-Base、LAN-Base、LAN-Free、Server-Free，為該企業(yè)選擇備份方式，說明理由?！締栴}5】（4分）服務(wù)器虛擬化改造完成后，每臺宿主機承載的虛擬機和應(yīng)用會更多，可能帶來什么問題？如何解決。答案:【問題1】（6分）1.業(yè)務(wù)存儲系統(tǒng)選擇SAS,備份存儲選擇SATA磁盤。2.SATA磁盤相對于SAS磁盤成本較低、轉(zhuǎn)速低、傳輸速率慢;備份存儲對于數(shù)據(jù)傳輸速率要求相對低，一般采用SATA磁盤;業(yè)務(wù)存儲系統(tǒng)對于數(shù)據(jù)傳輸速率要求高，一般采用SAS，降低磁盤IO瓶頸。3.配置SSD磁盤、高速緩存卡、更高轉(zhuǎn)速磁盤?！締栴}2】（3分）多虛多。采用獨立的服務(wù)器方式資源利用率低，為提高資源利用率，將多臺服務(wù)器整合為一個虛擬化資源池，并根據(jù)需求會虛擬出多個虛擬機，所以，屬于多虛多方式。【問題3】（8分）1.操作系統(tǒng)與數(shù)據(jù)庫系統(tǒng)采用FC-SAN方式存儲、業(yè)務(wù)數(shù)據(jù)采用IP-SAN方式存儲。2.本地磁盤存儲虛擬化軟件數(shù)據(jù)。3.FC-SAN高速度、低延遲、高穩(wěn)定性適合存儲操作系統(tǒng)數(shù)據(jù);IP-SAN高利用率、擴展性強、維護管理便捷適合存儲業(yè)務(wù)數(shù)據(jù)。可以節(jié)省投資、進行磁帶庫共享、集中備份管理。【問題4】（4分）1.LAN-Base。2.本例中，備份的數(shù)據(jù)傳輸以網(wǎng)絡(luò)為基礎(chǔ)，配置一臺服務(wù)器作為備份服務(wù)器，負(fù)責(zé)整個系統(tǒng)的備份管理，完全符合LAN-Base備份方式。缺點是對網(wǎng)絡(luò)傳輸壓力大?！締栴}5】（4分）1.可能會出現(xiàn)服務(wù)器虛擬化和存儲虛擬化網(wǎng)絡(luò)帶寬瓶頸。可能出現(xiàn)服務(wù)器每臺資源利用過分集中，且某些應(yīng)用占用資源高，會影響到服務(wù)器的整體性能。2.網(wǎng)絡(luò)交換機、防火墻、服務(wù)器1~4、存儲虛擬化服務(wù)器1~2均升級為萬兆網(wǎng)絡(luò)帶寬。對每臺服務(wù)器的資源進行限制，對于重要的服務(wù)，優(yōu)先占用資源?！窘馕觥俊締栴}1】（6分）SATA硬盤通常采用較低的轉(zhuǎn)速(常見為7200rpm)和較短平均無故障工作時間（MTBF），單盤容量大(常見為1TB、4TB或者更大)，價格便宜，常用于容量要求較大、事務(wù)性處理少、數(shù)據(jù)可用性非關(guān)鍵指標(biāo)的應(yīng)用中。、SAS硬盤通常采用較高的轉(zhuǎn)速(10Krpm或15Krpm)和更長平均無故障工作時間(MTBF)，單盤容量較小(常見為300GB，600GB)，具有更高的可靠性，相對價格較貴。常被使用于數(shù)據(jù)量大，數(shù)據(jù)可用性極為關(guān)鍵、可靠性要求高的應(yīng)用中。存儲系統(tǒng)的主要性能指標(biāo)為IOPS(InphtlOutputOperationsPerSecond):即每秒讀寫操作的次數(shù)，指的是系統(tǒng)在單位時間內(nèi)能處理的最大的I/O頻度。決定IOPS的因素主要有:物理磁盤、Cache命中率、磁盤陣列算法?！締栴}2】（3分）服務(wù)器虛擬化常見有?一虛多??多虛多?。?一虛多?是將一臺物理服務(wù)器虛擬成多臺服務(wù)器，分割成多個相互獨立、互不干擾的虛擬環(huán)境。?多虛多?是將多臺物理服務(wù)器虛擬成邏輯服務(wù)器池，然后再將其劃分為多個虛擬服務(wù)器。本例中，將四臺物理服務(wù)器整合為一個虛擬資源池，再將其劃分為多個服務(wù)器，其形式為典型的多虛多方式?！締栴}3】（8分）SAN指存儲區(qū)域網(wǎng)絡(luò)，目前常見的主要有FC-SAN和IP-SAN。FC-SAN是采用FC協(xié)議，采用專用光纖通道傳輸，將光纖通道設(shè)備映射為一個操作系統(tǒng)可訪問的邏輯驅(qū)動器，進行數(shù)據(jù)傳輸時，光纖鏈路的利用率高，傳輸速率達到4Gb以上。其高性能、低延遲、高成本等特性，適合數(shù)據(jù)傳輸速度要求高、高性能的業(yè)務(wù)需求。IP-SAN使用iSCSI協(xié)議，采用IP網(wǎng)絡(luò)通道傳輸，當(dāng)前普遍千兆網(wǎng)絡(luò)環(huán)境下，進行數(shù)據(jù)傳輸時，鏈路的利用率和傳輸速率比FC通道傳輸?shù)秃芏?。其低成本、開放性好，網(wǎng)絡(luò)適應(yīng)能力強，容易實現(xiàn)遠(yuǎn)程數(shù)據(jù)訪問，共享存儲資源，提高資源利用率等特性，適合數(shù)據(jù)訪問速度要求不高，大容量，低成本投入等業(yè)務(wù)需求。本例中，由于操作系統(tǒng)對數(shù)據(jù)傳輸速度要求高和高性能需求，應(yīng)采用FC-SAN；業(yè)務(wù)數(shù)據(jù)主要是指非機構(gòu)化文檔的存儲，對數(shù)據(jù)訪問速度要求不高，而容量大，適合采用IP-SAN。本例中，特別說明虛擬化改造采用裸金屬架構(gòu)，那么虛擬化軟件就應(yīng)直接安裝硬件上，接管所有硬件資源，所以，服務(wù)器本地磁盤會存儲虛擬化軟件。【問題4】（4分）LAN-Base備份結(jié)構(gòu)中，以網(wǎng)絡(luò)為基礎(chǔ)進行數(shù)據(jù)的傳輸，其中配置一臺服務(wù)器作為備份服務(wù)器，由它負(fù)責(zé)整個系統(tǒng)的備份操作。備份存儲系統(tǒng)(磁帶庫或者磁盤陣列)則接在某臺服務(wù)器上，在數(shù)據(jù)備份時備份對象把數(shù)據(jù)通過網(wǎng)絡(luò)傳輸?shù)絺浞荽鎯ο到y(tǒng)中實現(xiàn)備份。本例中，配置單獨的備份服務(wù)器，并通過網(wǎng)絡(luò)，將業(yè)務(wù)存儲系統(tǒng)的數(shù)據(jù)備份到備份存儲中，符合LAN-Base備份結(jié)構(gòu)?！締栴}5】（4分）本例中，業(yè)務(wù)數(shù)據(jù)采用IP-SAN方式存儲，備份采用LAN-Base，在業(yè)務(wù)上都依賴網(wǎng)絡(luò)傳輸，同時每臺物理服務(wù)器上會劃分更多的虛擬機，但是上述網(wǎng)絡(luò)傳輸為千兆，每臺物理服務(wù)器上的虛擬機都共享該設(shè)備的網(wǎng)絡(luò)帶寬，當(dāng)虛擬機數(shù)量增多后，有可能出現(xiàn)網(wǎng)絡(luò)帶寬瓶頸。針對上述問題，需要提升網(wǎng)絡(luò)帶寬，可以采用端口聚合適當(dāng)提升網(wǎng)絡(luò)帶寬，也可以升級到萬兆網(wǎng)絡(luò)帶寬。解析:[問答題]4.閱讀以下說明，回答問題1至問題4，將解答填入答題紙對應(yīng)的解答欄內(nèi)。（共25分）【說明】傳統(tǒng)業(yè)務(wù)結(jié)構(gòu)下，由于多種技術(shù)之間的孤立性，使得數(shù)據(jù)中心服務(wù)器總是提供多個對外I/O接口。在云計算模式發(fā)展的推動下，數(shù)據(jù)中心正在從過去的存儲處理中心演變成為應(yīng)用中心，并逐步向服務(wù)中心和運營中心轉(zhuǎn)變。而對客戶來說，由于技術(shù)、經(jīng)驗、資金等限制，在轉(zhuǎn)變過程中會遇到各種挑戰(zhàn)，例如：虛擬化帶來的技術(shù)復(fù)雜性，規(guī)模擴大帶來的運維壓力，系統(tǒng)和數(shù)據(jù)遷移的困難以及數(shù)據(jù)中心的高能耗等。傳統(tǒng)業(yè)務(wù)結(jié)構(gòu)存儲下的數(shù)據(jù)中心網(wǎng)絡(luò)撲結(jié)構(gòu)圖如圖2-1所示。(1)如圖2-1所示，數(shù)據(jù)中心有多個網(wǎng)絡(luò)，一個是前端用戶通信網(wǎng)絡(luò)，一個是后端做數(shù)據(jù)更新或者做集群計算的通訊網(wǎng)絡(luò)，還有后臺光纖存儲網(wǎng)絡(luò)。針對這三種網(wǎng)絡(luò)分別舉出一個例子。(2)如上所述，除以上三種網(wǎng)絡(luò)外有的數(shù)據(jù)中心還有專門用于虛擬機遷移的網(wǎng)絡(luò)，都會在服務(wù)器上做集中。這樣一臺服務(wù)器最多需要幾塊網(wǎng)卡與之相連？隨著TRILL等技術(shù)的出現(xiàn)，這個專用網(wǎng)絡(luò)還需要嗎？(3)網(wǎng)絡(luò)成為數(shù)據(jù)中心資源的交換樞紐，當(dāng)前數(shù)據(jù)中心紛為IP數(shù)據(jù)網(wǎng)絡(luò)、存儲網(wǎng)絡(luò)、服務(wù)器集群網(wǎng)絡(luò)。隨著數(shù)據(jù)中心規(guī)模的逐步增大，簡單分析帶來的問題?！締栴}2】(4分)FCoE采用增強型以太網(wǎng)作為物理網(wǎng)絡(luò)傳輸架構(gòu)，是專門為低延遲性、高性能、二層數(shù)據(jù)中心網(wǎng)絡(luò)所設(shè)計的網(wǎng)絡(luò)協(xié)議。目前國際標(biāo)準(zhǔn)化組織已經(jīng)開發(fā)了針對以太網(wǎng)標(biāo)準(zhǔn)的擴展協(xié)議族，即?融合型增強以太網(wǎng)(CEE)?，這些擴展協(xié)議族可以進行所有類型的傳輸。試簡述FCoE技術(shù)的優(yōu)點。【問題3】（6分）為了實現(xiàn)統(tǒng)二管理、簡化運維，采用基于FCoE技術(shù)的數(shù)據(jù)中心統(tǒng)一I/O能夠?qū)崿F(xiàn)用少數(shù)的CNA(ConvergedNetworkadapter)代替數(shù)量較多的NIC.HBA.HCA，所有的流量通過CNA萬兆以太網(wǎng)傳輸。按照18臺服務(wù)器（單網(wǎng)卡）為例，使用FCoE后每臺服務(wù)器只需要一塊專用適配器（網(wǎng)卡），一套布線（以太網(wǎng)）系統(tǒng)，統(tǒng)一管理維護簡單。表2-1為使用FcoE前18臺服務(wù)器需要的網(wǎng)卡、交換機、電纜以及上聯(lián)端口的數(shù)量；請核算出使用FCoE后的相應(yīng)部件數(shù)量，填充表2-2。【問題4】（6分）?(1)隨著數(shù)據(jù)中心的發(fā)展，數(shù)據(jù)中心的能耗已經(jīng)成為一個嚴(yán)峻的問題，PUE已經(jīng)成為國際上比較通行的數(shù)據(jù)中心電力使用效率的衡量指標(biāo)。請問PUE是什么，它的基準(zhǔn)是多少，其越接近多少表示一個數(shù)據(jù)中心的綠色化程度越高？?(2)在現(xiàn)代機房的機柜布局中，人們?yōu)榱嗣烙^和便于觀察會將所有的機柜朝同一個方向擺放。如果按照這種擺放方式，機柜盲板有效阻擋冷熱空氣的效果將大打折扣。正確的擺放方式是什么？請簡述其原因。?(3)水冷空調(diào)系統(tǒng)是目前新一代大型數(shù)據(jù)中心制冷的首選方案，采用水冷空調(diào)在部分地區(qū)可以采取免費冷卻技術(shù)以節(jié)能。免費冷卻技術(shù)是什么？答案:參考答案【問題1】(9分)（1）前端:以太網(wǎng)后端:高性能計算Infiniband網(wǎng)絡(luò)后臺:FC光纖（2）8個網(wǎng)卡不需要（3）每個服務(wù)器要多個專用適配器(網(wǎng)卡)以及不同的布線系統(tǒng)；機房要支持更多設(shè)備；管理的復(fù)雜性增加；部署/配置/運維困難。成本增加(人員，能耗，運維成本等)【問題2】(4分)光纖存儲和以太網(wǎng)共享同一個端口;更少的線纜和適配器;軟件配置I/O;與現(xiàn)有的SAN環(huán)境可以互操作?！締栴}3】(6分)（1）~（7）0（8）4（9）18（10）2（11）3（12）6【問題4】(6分)（1）PUE=數(shù)據(jù)中心總設(shè)備能耗//IT設(shè)備能耗，基準(zhǔn)是2，越接近1表明能效水平越好。（2）將服務(wù)器機柜面對面或背對背的方式擺放。因為這樣將會形成?冷?通道和?熱?通道，提高制冷效果。（3）免費冷卻(FreeCooling)技術(shù)指全部或部分使用自然界的免費冷源進行制冷從而減少壓縮機或冷凍機消耗的能量?！窘馕觥吭囶}分析【問題1】傳統(tǒng)業(yè)務(wù)結(jié)構(gòu)下，由于多種技術(shù)之間的孤立性(LAN與SAN)，使得數(shù)據(jù)中心服務(wù)器總是提供多個對外I/O接口(在此可理解成網(wǎng)卡)，即用于數(shù)據(jù)計算與交互的LAN接口以及數(shù)據(jù)訪問的存儲接口，某些特殊環(huán)境如特定HPC高性能計算)環(huán)境下的超低時延接口。服務(wù)器的多個I/O接口導(dǎo)致了數(shù)據(jù)中心環(huán)境下多個獨立運行的網(wǎng)絡(luò)同時存在，不僅使得數(shù)據(jù)中心布線復(fù)雜，不同的網(wǎng)絡(luò)、接口形體造成的異構(gòu)還直接增加了額外人員的運行維護、培訓(xùn)管理等高昂成本投入。數(shù)據(jù)中心里會有兩個網(wǎng)絡(luò)，一個是前端IP網(wǎng)絡(luò)，后端可能會是光纖網(wǎng)絡(luò)，都會在服務(wù)器上做。因此，集中服務(wù)器上以太網(wǎng)卡、光纖網(wǎng)卡，跟外部數(shù)據(jù)交互時通過IP網(wǎng)絡(luò)進行交互。如果說得更極端一點，在大型數(shù)據(jù)中心會存在:一是前端的用戶通信網(wǎng)絡(luò)(以太網(wǎng));二是后臺存儲網(wǎng)絡(luò)光纖的通道(FC光纖網(wǎng)絡(luò));三是后端做數(shù)據(jù)更新或者做集群計算的通信網(wǎng)絡(luò)(高性能計算Infmiband網(wǎng)絡(luò));四是專門用于虛擬機遷移的網(wǎng)絡(luò)(各個服務(wù)器上有一個普通的以太網(wǎng)網(wǎng)卡，連接到獨立的交換機組成的網(wǎng)絡(luò)上，專門做虛擬機遷移。隨著TRILL等技術(shù)的出現(xiàn)，這個專用的網(wǎng)絡(luò)不再需要)。在這種情況下會有多個網(wǎng)卡，這些都是現(xiàn)有的設(shè)計視為理所當(dāng)然的。網(wǎng)絡(luò)漸漸成為數(shù)據(jù)中心資源的交換樞紐。當(dāng)前數(shù)據(jù)中心分為IP數(shù)據(jù)網(wǎng)絡(luò)、存儲網(wǎng)絡(luò)、服務(wù)器集群網(wǎng)絡(luò)。但隨著數(shù)據(jù)中心規(guī)模的逐步增大，也帶來以下問題:每個服務(wù)器要多個專用適配器(網(wǎng)卡)，要有不同的布線系統(tǒng);機房要支持更多設(shè)備:空間、耗電、制冷;多套網(wǎng)絡(luò)無法統(tǒng)一管理，不同的維護人員;部署/配置/管理/運維困難。【問題2】FCoE采用增強型以太網(wǎng)作為物理網(wǎng)絡(luò)傳輸架構(gòu)，能夠提供標(biāo)準(zhǔn)的光纖通道有效內(nèi)容載荷，避免了TCP/ZP協(xié)議開銷，而且FCoE能夠像標(biāo)準(zhǔn)的光纖通道那樣為上層軟件層(包括操作系統(tǒng)、應(yīng)用程序和管理工具)服務(wù)。FCoE可以提供多種光纖通道服務(wù)，比如發(fā)現(xiàn)、全局名稱命名、分區(qū)等，而且這些服務(wù)都可以像標(biāo)準(zhǔn)的光纖通道那樣運作。不過，由于FCoE不使用TCP/IP協(xié)議，因此FCoE數(shù)據(jù)傳輸不能使用IP網(wǎng)絡(luò)。FCoE是專門為低延遲性、高性能、二層數(shù)據(jù)中心網(wǎng)絡(luò)所設(shè)計的網(wǎng)絡(luò)協(xié)議。和標(biāo)準(zhǔn)的光纖通道FC一樣，F(xiàn)CoE協(xié)議也要求底層的物理傳輸是無損失的。因此，國際標(biāo)準(zhǔn)化組織己經(jīng)開發(fā)了針對以太網(wǎng)標(biāo)準(zhǔn)的擴展協(xié)議族，尤其是針對無損10Gb以太網(wǎng)的速度和數(shù)據(jù)中心架構(gòu)。這些擴展協(xié)議族可以進行所有類型的傳輸。這些針對以太網(wǎng)標(biāo)準(zhǔn)的擴展協(xié)議族被國際標(biāo)準(zhǔn)組織稱為?融合型增強以太網(wǎng)(CEE)"(思科稱為?數(shù)據(jù)中心以太網(wǎng)(DCE)")。數(shù)據(jù)中心FCoE(FCoverEthernet)技術(shù)實現(xiàn)在以太網(wǎng)架構(gòu)上映射FC(FibreChannel)幀，使得FC運行在一個無損的數(shù)據(jù)中心以太網(wǎng)絡(luò)上(需要無損的以太網(wǎng)(CEE/DCE/DCB)保證不丟包)。FCoE技術(shù)有以下的一些優(yōu)點:光纖存儲和以太網(wǎng)共享同一個端口;更少的線纜和適配器;軟件配置I/O;與現(xiàn)有的SAN環(huán)境可以互操作?；贔CoE技術(shù)的數(shù)據(jù)中心統(tǒng)一I/O能夠?qū)崿F(xiàn)用少數(shù)的CNA(ConvergedNetworkAdapter)代替數(shù)量較多的NIC,HBA,HCA，所有的流量通過CNA萬兆以太網(wǎng)傳輸。使用FCoE后的好處:每個服務(wù)器只需要一個專用適配器(網(wǎng)卡)，一套布線(以太網(wǎng))系統(tǒng)(以前需要多個網(wǎng)卡，多套布線(以太網(wǎng)和光纖)系統(tǒng));機房不再要支持更多設(shè)備:空間、耗電、制冷，更加節(jié)能綠色;只有一套網(wǎng)絡(luò)，統(tǒng)一管理維護簡單(原來是多套網(wǎng)絡(luò)無法統(tǒng)一管理，不同的維護人員維護困難);部署/配置/管理/運維簡單。【問題4】隨著能源成本上升，我們越來越關(guān)注IT對環(huán)境的影響，技術(shù)管理人員現(xiàn)在面臨著雙重任務(wù):創(chuàng)造和保持高可用性的IT環(huán)境，并推行綠色倡議。用于數(shù)據(jù)中心保證設(shè)備運行的能源消耗需求驚人。（1）PUE是PowerUsageEffectiveness的簡寫，是評價數(shù)據(jù)中心能源效率的指標(biāo)，是數(shù)據(jù)中心消耗的所有能源與IT負(fù)載使用的能源之比，是DCIE<DataCenterInfrastructureEfficiency)的反比。PUE=數(shù)據(jù)中心總設(shè)備能耗//IT設(shè)備能耗，PUE是一個比值，基準(zhǔn)是2，越接近1表明能效水平越好。PUECPowerUsageEffectiveness，電源使用效率)值已經(jīng)成為國際上比較通行的數(shù)據(jù)中心電力使用效率的衡量指標(biāo)。PUE值是指數(shù)據(jù)中心消耗的所有能源與IT負(fù)載消耗的能源之比。PUE值越接近于1，表示一個數(shù)據(jù)中心的綠色化程度越高。（2）以往在機柜的布局中，人們?yōu)榱嗣烙^和便于觀察，常常會將所有的機柜朝同一個方向擺放。如果按照這種擺放方式，機柜盲板有效阻擋冷熱空氣的效果將大打折扣。正確的擺放方式應(yīng)該是將服務(wù)器機柜面對面或背對背的擺放方式擺放，這樣便形成了冷風(fēng)通道和熱風(fēng)通道，機柜之間的冷熱風(fēng)不會混合在一起，形成短路氣流，有效提高制冷效果，保護好冷熱通道不被破壞。即當(dāng)機柜內(nèi)或機架上的設(shè)備為前進風(fēng)/后出風(fēng)方式冷卻時，機柜或機架的布置宜采用面對面、背對背方式。（3）水冷式空調(diào)的發(fā)明源于生活的細(xì)節(jié)，夏季人站在海邊感覺特別涼爽，這是因為海水吸收空氣中的熱量而蒸發(fā)，使空氣溫度下降，從而帶給我們涼爽的冷空氣。細(xì)心的人們發(fā)現(xiàn)了這一現(xiàn)象，并將這一現(xiàn)象巧妙地運用到溫度調(diào)節(jié)中來，進而發(fā)明了節(jié)能環(huán)保的水冷空調(diào)。水冷空調(diào)又叫環(huán)?？照{(diào)，是一種利用自來水的溫度，來達到冷卻室內(nèi)溫度的空調(diào)機。水冷空調(diào)系統(tǒng)是目前新一代大型數(shù)據(jù)中心制冷的首選方案，采用水冷空調(diào)在部分地區(qū)可以采取免費冷卻技術(shù)以節(jié)能。免費冷卻技術(shù)指全部或部分使用自然界的免費冷源進行制冷從而減少壓縮機或冷凍機消耗的能量。目前常用的免費冷源主要是冬季或者春秋季的室外空氣，因此，如果可能的話，數(shù)據(jù)中心的選址應(yīng)該在天氣比較寒冷或低溫時間比較長的地區(qū)。在中國，北方地區(qū)都是非常適合采用免費制冷技術(shù)。解析:[問答題]5.閱讀以下說明，回答問題1至問題5；將解答填入答題紙對應(yīng)的解答欄內(nèi)。（25分）【說明】某學(xué)校擁有內(nèi)部數(shù)據(jù)庫服務(wù)器1臺，郵件服務(wù)器1臺，DHCP服務(wù)器1臺，F(xiàn)TP服務(wù)器1臺，流媒體服務(wù)器1臺，Web服務(wù)器1臺，要求為所有的學(xué)生宿舍提供有線網(wǎng)絡(luò)接入服務(wù)，對外提供Web服務(wù)，郵件服務(wù)，流媒體服務(wù)，內(nèi)部主機和其他服務(wù)器對外不可見?！締栴}1】（5分）請劃分防火墻的安全區(qū)域，說明每個區(qū)域的安全級別，指出各臺服務(wù)器所處的安全區(qū)域?！締栴}2】（5分）請按照你的思路為該校進行服務(wù)器和防火墻部署設(shè)計，對該校網(wǎng)絡(luò)進行規(guī)劃，畫出網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖?！締栴}3】（5分）學(xué)校在原有校園網(wǎng)絡(luò)基礎(chǔ)上進行了擴建，采用DHCP。服務(wù)器動態(tài)分配IP地址，運行一段時間后，網(wǎng)絡(luò)時常出現(xiàn)連接不穩(wěn)定、用戶所使用的IP地址被?莫名其妙?修改、無法訪問校園網(wǎng)的現(xiàn)象。經(jīng)檢測發(fā)現(xiàn)網(wǎng)絡(luò)中出現(xiàn)多個未授權(quán)DHCP地址。請分析上述現(xiàn)象及遭受攻擊的原理，該如何防范？【問題4】（6分）學(xué)生宿舍區(qū)經(jīng)常使用的服務(wù)有Web、即時通信、郵件、FTP等，同時也因視頻流尋致大量的P2P流量，為了保障該區(qū)域中各項服務(wù)均能正常使用，應(yīng)采用何種設(shè)備合理分配每種應(yīng)用的帶寬？該設(shè)備部署在學(xué)校網(wǎng)絡(luò)中的什么位置？一般采用何種方式接入網(wǎng)絡(luò)？【問題5】（4分）當(dāng)前防火墻中，大多都集成了IPS服務(wù)，提供防火墻與IPS的聯(lián)動。區(qū)別于IDS，IPS主要增加了什么功能？通常采用何種方式接入網(wǎng)絡(luò)？答案:參考答案【問題1】（5分）整個網(wǎng)絡(luò)分為3個不同級別的安全區(qū)域：1.內(nèi)部網(wǎng)絡(luò):安全級別最高，是可信的、重點保護的區(qū)域。包括所有內(nèi)部主機，數(shù)據(jù)庫服務(wù)器、DHCP服務(wù)器和FTP服務(wù)器。2.外部網(wǎng)絡(luò):安全級別最低，是不可信的、要防備的區(qū)域。包括外部因特網(wǎng)用戶主機和設(shè)備。3.DMZ區(qū)域(非軍事化區(qū)):安全級別中等，因為需要對外開放某些特定的服務(wù)和應(yīng)用，受一定的保護，是安全級別較低的區(qū)域。包括對外提供WWW訪問的Web服務(wù)器、郵件服務(wù)器和流媒體服務(wù)器?！締栴}2】（5分）【問題3】（5分）攻擊原理:（1）當(dāng)DHCP客戶端第一次連接網(wǎng)絡(luò)、重新連接或者地址租期已滿時，會以廣播的方式向DHCP服務(wù)器發(fā)送DHCPDiscover消息，以獲取/重新獲取IP地址；（2）若網(wǎng)絡(luò)中存在多臺DHCP服務(wù)器，均能收到該消息并應(yīng)答；（3）非授權(quán)DHCP服務(wù)器會先于授權(quán)DHCP服務(wù)器發(fā)出應(yīng)答；（4）客戶端使用非授權(quán)服務(wù)器發(fā)出的應(yīng)答包，并用作自己的IP地址；（5）客戶端地址被修改，無法訪問校園網(wǎng)。防范措施:（1）啟用接入層交換機的DHCPSnooping功能;（2）DHCPSnooping功能將交換機接口分為信任接口和非信任接口;（3）連接客戶端的接口為非信任接口，上連到匯聚交換機的接口為信任接口;（4）非信任接口上接收到DHCPOffer,DHCPACK,DHCPNACK報文時，交換機會將其丟棄;（5）DHCPSnooping功能可阻止連接在非信任接口上的非授權(quán)DHCP服務(wù)器為客戶端提供IP地址配置信息?！締栴}4】（6分）應(yīng)采用流量控制設(shè)備，部署在核心交換機與學(xué)生宿舍區(qū)匯聚交換機之間，采用串接方式接入網(wǎng)絡(luò)?！締栴}5】（4分）區(qū)別于IDS、IPS提供主動防護，增加了深入檢測和分析功能，提供高效處理(攔截或阻斷)能力。采用串接方式接入網(wǎng)絡(luò)【解析】試題分析【問題1】略?！締栴}2】根據(jù)問題1對該學(xué)校網(wǎng)絡(luò)區(qū)域的劃分，將不同的服務(wù)器放置在相應(yīng)的區(qū)域即可，對于具體的網(wǎng)絡(luò)連接細(xì)節(jié)則不必過多地考慮，在防火墻的DMZ區(qū)中，由于需要連接多臺服務(wù)器，應(yīng)使用一臺局域網(wǎng)交換機進行連接。【問題3】當(dāng)采用DHCP服務(wù)器為客戶端動態(tài)分配IP地址時，出現(xiàn)網(wǎng)絡(luò)連接不穩(wěn)定、用戶的地址會被?莫名其妙?修改，導(dǎo)致無法訪問校園網(wǎng)的現(xiàn)象，經(jīng)查是出現(xiàn)了多個未授權(quán)的DHCP服務(wù)器所致。這些所謂?未授權(quán)?的服務(wù)器為客戶機分配了其他的非法IP地址，導(dǎo)致用戶無法訪問網(wǎng)絡(luò)。這類攻擊為DHCP攻擊，DHCP攻擊的原理是距離客戶端較近的DHCP服務(wù)器會先于授權(quán)DHCP服務(wù)器相應(yīng)客戶端的請求，而導(dǎo)致客戶端接收到非法IP地址，無法訪問網(wǎng)絡(luò)。防范的方法一般是在接入層交換機上啟用DHCPSnooping功能，以過濾非信任接口上收到的DHCPoffer,DHCPACK和DHCPNACK報文，從而防止非法的DHCP服務(wù)器為客戶端分配IP地址?！締栴}4】根據(jù)問題的描述，由于網(wǎng)絡(luò)中存在大量的P2P流量，而導(dǎo)致其他各項服務(wù)正常工作，應(yīng)對P2P流量進行控制。要實現(xiàn)該功能，一般所選用的設(shè)備為流控設(shè)備，流控設(shè)備一般部署在被控流量區(qū)域的主干區(qū)域，應(yīng)采用串接方式接入網(wǎng)絡(luò)?！締栴}5】隨著網(wǎng)絡(luò)攻擊技術(shù)的發(fā)展，對安全技術(shù)提出了新的挑戰(zhàn)。防火墻技術(shù)和IDS自身具有的缺陷阻止了它們進一步的發(fā)展。防火墻不能阻止內(nèi)部網(wǎng)絡(luò)的攻擊，對于網(wǎng)絡(luò)上流行的各種病毒也沒有很好的防御措施;IDS只能檢測入侵而不能實時地阻比攻擊，而且IDS具有較高的漏報和誤報率。在這種情況下入侵防御系統(tǒng)(IntrusionPreventionSystem，IPS)成了新一代的網(wǎng)絡(luò)安全技術(shù)。IPS提供主動、實時的防護，其設(shè)計旨在對網(wǎng)絡(luò)流量中的惡意數(shù)據(jù)包進行檢測，對攻擊性的流量進行自動攔截，使它們無法造成損失。IPS如果檢測到攻擊企圖，就會自動地將攻擊包丟掉或采取措施阻斷攻擊源，而不把攻擊流量放進內(nèi)部網(wǎng)絡(luò)。IPS和IDS的部署方式不同。串接式部署是IPS和IDS區(qū)別的主要特征。IDS產(chǎn)品在網(wǎng)絡(luò)中是旁路式工作，IPS產(chǎn)品在網(wǎng)絡(luò)中是串接式工作。串接式工作保證所有網(wǎng)絡(luò)數(shù)據(jù)都經(jīng)過IPS設(shè)備，IPS檢測數(shù)據(jù)流中的惡意代碼，核對策略，在未轉(zhuǎn)發(fā)到服務(wù)器之前，將信息包或數(shù)據(jù)流攔截。由于是在線操作，因而能保證處理方法適當(dāng)而且可預(yù)知。IPS系統(tǒng)根據(jù)部署方式可以分為3類：基于主機的入侵防護(HIPS)、基于網(wǎng)絡(luò)的入侵防護(NIPS)、應(yīng)用入侵防護(AIP)。解析:[問答題]6.試題一（共25分）閱讀以下說明，回答問題1至問題4，將解答填入答題紙對應(yīng)的解答欄內(nèi)?！菊f明】某企業(yè)網(wǎng)絡(luò)拓?fù)淙鐖D1-1所示?！締栴}1】（6分）根據(jù)圖1-1，對該網(wǎng)絡(luò)主要設(shè)備清單表1-1所示內(nèi)容補充完整.【問題2】（8分）1．網(wǎng)絡(luò)中A.B設(shè)備連接的方式是什么？依據(jù)A.B設(shè)備性能及雙鏈路連接，計算兩者之間的最大寬帶。2．交換機組F的連接方式是什么？采用這種連接方式的好處是什么？【問題3】（6分）該網(wǎng)絡(luò)拓?fù)渲羞B接到各分部可采用租賃ISP的DDN、FrameRelay、ISDN線路等方式，請簡要介紹這幾種連接方式?！締栴}4】（5分）若考慮到成本問題，對其中一條連接用VPN的方式，在分部路由器上做下列配置：sub-company(config)#cryptoisakmppolicy1sub-company(config-isakmp)#encrydessub-company(config-isakmp)#hashmd5sub-company(config-isakmp)#authenticationpre-sharesub-company(config)#cryptoisakmpkey6ciscoaddressx.x.x.x該命令片段配置的是(7)(7)備選答案：A、定義ESPB、IKE策略C、IPSceVPN數(shù)據(jù)D、路由映射在該配置中，IP地址x.x.x.x是該企業(yè)總部IP地址還是分布IP地址？答案:參考答案【問題1】（6分）(1)C(2)匯聚交換機(3)D(4)核心路由器(5)E(6)邊界防火墻【問題2】（8分）1.鏈路聚合或捆綁2G(或答20G也正確)2.堆疊擴大接入規(guī)模，簡化網(wǎng)絡(luò)管理【問題3】（6分）DDN是利用數(shù)字信道提供永久性連接電路，用來傳輸數(shù)據(jù)信號的數(shù)字傳輸網(wǎng)絡(luò)。幀中繼是一種數(shù)據(jù)包交換技術(shù)，可以動態(tài)共享網(wǎng)絡(luò)介質(zhì)和可用帶寬。ISDN是一個數(shù)字電話網(wǎng)絡(luò)標(biāo)準(zhǔn)，是一種典型的電路交換網(wǎng)絡(luò)系統(tǒng)。【問題4】（5分）(7)B總部IP地址【解析】試題分析【問題1】網(wǎng)絡(luò)拓?fù)渲袥]有在設(shè)備列表中標(biāo)注的有C、D、E、G等設(shè)備?？磮D例可知D、E分別是路由器和防火墻，C是介于A、B和F的交換機設(shè)備。根據(jù)D、E、C設(shè)備在網(wǎng)絡(luò)中承擔(dān)的任務(wù)，參照表中的產(chǎn)品描述，C為匯聚交換機、D為核心路由器、E為核心路由器。思科設(shè)備型號，可以不用了解了，改了解華為設(shè)備?！締栴}2】網(wǎng)絡(luò)中A、B設(shè)備連接的方式是鏈路聚合。鏈路聚合是將兩個或更多數(shù)據(jù)信道結(jié)合成一個單個的信道，該信道以一個單個的更高帶寬的邏輯鏈路出現(xiàn)。鏈路聚合一般用來連接一個或多個帶寬需求大的設(shè)備，例如連接骨干網(wǎng)絡(luò)的服務(wù)器或服務(wù)器群。A、B設(shè)備可以配置千兆或者萬兆的接口，在雙鏈路聚合的前提下，最大帶寬是2G或20G。交換機組F的連接方式是堆疊，堆疊需要專用的堆疊模塊和堆疊線纜。堆疊可以擴大網(wǎng)絡(luò)接入規(guī)模，對所有的交換機進行統(tǒng)一配置和管理，達到提高交換機背板容量，實現(xiàn)所有交換機高速連接的目的。【問題3】略【問題4】采用VPN連接，網(wǎng)絡(luò)對等端需要建立信任關(guān)系，必須交換某種形式的認(rèn)證密鑰。Internet密鑰交換(InternetKeyExchange,IKE)是一種為IPSec管理和交換密鑰的標(biāo)準(zhǔn)方法。該過程一般包括定義策略、定義加密算法、定義散列算法、定義認(rèn)證方式等步驟。在分部路由器上配置IKE策略，x.x.x.x是對端地址。具體配置語句，可以不用了解了。解析:2016軟件水平考試(高級)網(wǎng)絡(luò)規(guī)劃設(shè)計師真題及答案案例第02套[問答題]1.閱讀以下說明，回答問題1至問題5，將解答填入答題紙對應(yīng)的解答欄內(nèi)?！菊f明】某企業(yè)實施數(shù)據(jù)機房建設(shè)項目，機房位于該企業(yè)業(yè)務(wù)綜合樓二層，面積約50平方米。機房按照國家B類機房標(biāo)準(zhǔn)設(shè)計，估算用電量約50KW，采用三相五線制電源輸入，雙回路向機房設(shè)備供電，對電源系統(tǒng)提供三級防雷保護。要求鋪設(shè)抗靜電地板、安裝微孔回風(fēng)吊項，受機房高度影響，靜電地板高20厘米。機房分為配電間和主機間兩個區(qū)域，分別是15和35平方米。配電間配置市電配電柜、UPS主機及電池柜等設(shè)備；主機間配置網(wǎng)絡(luò)機柜、服務(wù)器機柜以及精密空調(diào)等設(shè)備。項目的功能模塊如圖1-1所示。問題：1.1（4分）數(shù)據(jù)機房設(shè)計標(biāo)準(zhǔn)分為（1）類，該項目將數(shù)據(jù)機房設(shè)計標(biāo)準(zhǔn)確定為B類，劃分依據(jù)是（2）。問題：1.2（6分）該方案對電源系統(tǒng)提供第二、三級防雷保護，對應(yīng)的措施是(3)和(4)。機房接地一般分為交流工作接地、直流工作接地、保護接地和(5)，若采用聯(lián)合接地的方式將電源保護接地接入大樓的接地極，則接地極的接地電阻值不應(yīng)大于(6)。（3）～(4)備選答案：A．在大樓的總配電室電源輸入端安裝防雷模塊B．在機房的配電柜輸入端安裝防雷模塊C．選用帶有防雷器的插座用于服務(wù)器、工作站等設(shè)備的防雷擊保護D．對機房中UPS不間斷電源做防雷接地保護。問題：1.3（4分）在機房內(nèi)空調(diào)制冷一般有下送風(fēng)和上送風(fēng)兩種方式。該建設(shè)方案采用上送風(fēng)的方式，選擇該方式的原因是(7)、(8)。（7）~(8)備選答案：A．靜電地板的設(shè)計高度沒有給下送風(fēng)預(yù)留空間B．可以及時發(fā)現(xiàn)和排除制冷系統(tǒng)產(chǎn)生的漏水，消除安全隱患C．上送風(fēng)建設(shè)成本較下送風(fēng)低，系統(tǒng)設(shè)備易于安裝和維護D．上送風(fēng)和下送風(fēng)應(yīng)用的環(huán)境不同，在IDC機房建設(shè)時要求采用上送風(fēng)方式。問題：1.4(6分)網(wǎng)絡(luò)布線系統(tǒng)通常劃分為工作區(qū)子系統(tǒng)、水平布線子系統(tǒng)、配線間子系統(tǒng)、（9）、管理子系統(tǒng)和建筑群子系統(tǒng)等六個子系統(tǒng)。機房的布線系統(tǒng)主要采用（10）和（11）。問題：1.5（5分）判斷下述觀點是否正確（正確的打√；錯誤的打×）。1.機房滅火系統(tǒng)，主要是氣體滅火，其滅火劑包括七氟丙烷、二氧化碳、氣溶膠等對臭氧層無破壞的滅火劑，分為管網(wǎng)式和無管網(wǎng)式。(12)2．機房環(huán)境監(jiān)控系統(tǒng)監(jiān)控的對象主要是機房動力和環(huán)境設(shè)備，比如配電、UPS、空調(diào)、溫濕度、煙感、紅外、門禁、防雷、消防等設(shè)備設(shè)施。(13)3．B級機房對環(huán)境溫度要求是18℃~28℃，相對濕度要求是40%～70%。(14)4．機房新風(fēng)系統(tǒng)中新風(fēng)量值的計算方法主要按房間的空間大小和換氣次數(shù)作為計算依據(jù)。(15)5．機房活動地板下部的電源線盡可能地遠(yuǎn)離計算機信號線，避免并排敷設(shè)，并采取相應(yīng)的屏蔽措施。（16）答案:問題1：答案：（1）三（2）系統(tǒng)運行中斷造成的損失或者影響程度劃分?！峨娮有畔C房設(shè)計規(guī)范》GB50174-2008中，將電子信息機房定義為A,B,C三類，其中A類要求最高。劃分依據(jù)是系統(tǒng)中斷導(dǎo)致經(jīng)濟損失或者公共秩序混亂的程度。問題2：答案：（3）B（4）D（5）防雷接地(6)1歐姆數(shù)據(jù)機房的接地一般分為交流工作接地、直流工作接地、保護接地和防雷接地。聯(lián)合接地電阻值一般不大于1Ω或取聯(lián)合接地中各接地的最小值。本題中防雷保護采取三級防雷保護，第一級在大樓的總配電室電源輸入端安裝防雷模塊，第二級在機房的配電柜輸入端安裝防雷模塊，第三級對機房中UPS不間斷電源做防雷接地保護。問題3：答案：（7）A（8）B機房送風(fēng)包括風(fēng)帽上送風(fēng)、風(fēng)管送風(fēng)、地板下送風(fēng)等。最常用的是地板下送風(fēng)方式。機柜近距離送風(fēng)又稱為近距離制冷、精確制冷等，包括機柜行間制冷（側(cè)前送風(fēng)、側(cè)后回風(fēng)）、封閉機柜內(nèi)部制冷等。目前，數(shù)據(jù)中心常用的機房空調(diào)系統(tǒng)氣流組織方式有下送風(fēng)上回風(fēng)、上送風(fēng)前回風(fēng)（或側(cè)回風(fēng)）等方式。1、風(fēng)帽上送風(fēng)風(fēng)帽上送風(fēng)方式的安裝較為簡單、整體早教較低，對機房的要求也較低，所以在中小行機房中采用較多。風(fēng)帽上送風(fēng)機組的有效送風(fēng)距離較近，有效距離約為15m，兩臺對吹也只達到30m左右，而且送回風(fēng)容易收到機房各種條件的影響（如走線架、機柜擺放、空調(diào)擺放、機房形狀等），所以機房內(nèi)的溫度場相對不是很均勻。風(fēng)管上送風(fēng)工程造價高于風(fēng)帽送風(fēng)方式，安裝及維護也較為復(fù)雜，對機房的層高也有較高的要求要求層高大于4M。問題4：本題是綜合布線基本概念，需要熟練掌握。（9）垂直干線子系統(tǒng)（10）管理子系統(tǒng)（11）配線間子系統(tǒng)問題5本題考查是機房建設(shè)規(guī)范基礎(chǔ)要求，建議就這個描述進行記憶。其中第14空，A、B類機房的溫度都是23度+-1度，濕度為40-55%，C類機房溫度為18-28度，濕度為35%-75%。（12）√（13）√（14）×(15)√(16)√解析:[問答題]2.閱讀下列說明，回答問題1至問題4，將解答填入答題紙的對應(yīng)欄內(nèi)?！菊f明】圖3-1是某互聯(lián)網(wǎng)服務(wù)企業(yè)網(wǎng)絡(luò)拓?fù)?，該企業(yè)主要對外提供網(wǎng)站消息發(fā)布、在線銷售管理服務(wù)，Web網(wǎng)站和在線銷售管理服務(wù)系統(tǒng)采用JavaEE開發(fā)，中間件使用Weblogic，采用訪問控制、NAT地址轉(zhuǎn)換、異常流量檢測、非法訪問阻斷等網(wǎng)絡(luò)安全措施。問題：3.1（6分）根據(jù)網(wǎng)絡(luò)安全防范需求，需在不同位置部署不同的安全設(shè)備，進行不同的安全防范，為上圖中的安全設(shè)備選擇相應(yīng)的網(wǎng)絡(luò)安全設(shè)備。在安全設(shè)備1處部署(1)；在安全設(shè)備2處部署(2)；在安全設(shè)備3處部署(3)。(1)～(3)備選答案：A．防火墻B．入侵檢測系統(tǒng)(IDS)C．入侵防御系統(tǒng)(IPS)問題：3.2（6分，題）在網(wǎng)絡(luò)中需要加入如下安全防范措施：A．訪問控制B．NATC．上網(wǎng)行為審計D．包檢測分析E．?dāng)?shù)據(jù)庫審計F．DDoS攻擊檢測和阻止G．服務(wù)器負(fù)載均衡H．異常流量阻斷I．漏洞掃描J．Web應(yīng)用防護其中，在防火墻上可部署的防范措施有(4)；在IDS上可部署的防范措施有(5)；在IPS上可部署的防范措施有(6)。問題：3.3（5分）結(jié)合上述拓?fù)?，請簡要說明入侵防御系統(tǒng)(IPS)的不足和缺點。是一部能夠監(jiān)視網(wǎng)絡(luò)或網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)資料傳輸行為的計算機網(wǎng)絡(luò)安全設(shè)備，能夠即時的中斷、調(diào)整或隔離一些不正常或是具有傷害性的網(wǎng)絡(luò)資料傳輸行為。問題：3.4（8分）該企業(yè)網(wǎng)絡(luò)管理員收到某知名漏洞平臺轉(zhuǎn)發(fā)在線銷售管理服務(wù)系統(tǒng)的漏洞報告，報告內(nèi)容包括：1．利用Java反序列化漏洞，可以上傳jsp文件到服務(wù)器。2．可以獲取到數(shù)據(jù)庫鏈接信息。3．可以鏈接數(shù)據(jù)庫，查看系統(tǒng)表和用戶表，獲取到系統(tǒng)管理員登錄帳號和密碼信息，其中登錄密碼為明文存儲。4．使用系統(tǒng)管理員帳號登錄銷售管理服務(wù)系統(tǒng)后，可以操作系統(tǒng)的所有功能模塊。針對上述存在的多處安全漏洞，提出相應(yīng)的改進措施。答案:問題1：答案：ABC問題2：答案（4）A、B、G（5）D、F、I（6）C、E、H、J問題3：答案:IPS是入侵防御系統(tǒng)，IPS會對數(shù)據(jù)包做重組，會對數(shù)據(jù)的傳輸層，網(wǎng)絡(luò)層，應(yīng)用層中各字段做分析并與簽名庫做比對，會加大網(wǎng)絡(luò)的延遲，形成瓶頸。同時，網(wǎng)絡(luò)中部署一個IPS會存在有單點故障。問題4：1、針對此安全及時更新補丁，采取相應(yīng)措施防止反序列化漏洞；2、軟件代碼設(shè)計嚴(yán)謹(jǐn)，避免不安全代碼執(zhí)行；3、數(shù)據(jù)庫相關(guān)安全設(shè)置，帳號密碼采用密文等加密手段；4、各個系統(tǒng)的登錄帳號密碼采取不同的字符。解析:[問答題]3.閱讀下列說明，回答問題1至問題5，將解答填入答題紙的對應(yīng)欄內(nèi)?！菊f明】圖2-1為某企業(yè)數(shù)據(jù)中心拓?fù)鋱D，圖中網(wǎng)絡(luò)設(shè)備接口均為千兆帶寬，服務(wù)器1至服務(wù)器4均配置為4顆CPU、256GB內(nèi)存、千兆網(wǎng)卡。實際使用中發(fā)現(xiàn)服務(wù)器使用率較低，為提高資產(chǎn)利用率，進行虛擬化改造，擬采用裸金屬架構(gòu)，將服務(wù)器1至服務(wù)器4整合為一個虛擬資源池。圖中業(yè)務(wù)存儲系統(tǒng)共計50TB，其中10TB用于虛擬化改造后的操作系統(tǒng)存儲，20TB用于Oracle數(shù)據(jù)庫存儲，20TB分配給虛擬化存儲用于業(yè)務(wù)數(shù)據(jù)存儲。問題：2.1（6分）常見磁盤類型有SATA、SAS等，從性價比考慮，本項目中業(yè)務(wù)存儲系統(tǒng)和備份存儲應(yīng)如何選擇磁盤類型，請簡要說明原因。若要進一步提升存儲系統(tǒng)性能，在磁盤陣列上可以采取哪些措施？問題：2.2（3分）常用虛擬化實現(xiàn)方式有一虛多和多虛多，本例中應(yīng)選擇哪種方式，請說明理由。問題：2.3（8分）常用存儲方式包括FC-SAN、IP-SAN，本案例中，服務(wù)器虛擬化改造完成后，操作系統(tǒng)和業(yè)務(wù)數(shù)據(jù)分別采用什么方式在業(yè)務(wù)存儲系統(tǒng)上存儲？服務(wù)器本地磁盤存儲什么數(shù)據(jù)？請說明原因。問題：2.4（4分）常見備份方式主要有Host-Base、LAN-Base、LAN-Free、Server-Free，為該企業(yè)選擇備份方式，說明理由。問題：2.5（4分）服務(wù)器虛擬化改造完成后，每臺宿主機承載的虛擬機和應(yīng)用會更多，可能帶來什么問題？如何解決。答案:問題1；1.業(yè)務(wù)系統(tǒng)采用SAS，備份存儲選用sata。2.Sata硬盤相對成本較低，速度慢。備份數(shù)據(jù)量大，對存儲速度要求不