201111网规下午真题
第 1 题
阅读下列有关企业发展和企业网络建设的说明,回答问题l至问题3,将解答填入答题纸的对应栏内。
【说明】
某企业最初只有一个办公地点,所有人员都集中在一个相对较小的封闭空间进行工作。由于是小型企业,社会影响不大,所以对安全性要求不高,主要目标是以最小的代价(费用)实现联网和访问互联网(Internet),企业内部无对外提供的任何互联网服务。后来,随着企业不断发展,其网络建设也不断升级更新。(注:以下问题均不考虑无线网络技术)
【问题1】(10分)
假定初期员工不超过50人,所有员工工作在同一楼层的不同房间,对互联网的访问带宽需求小于2Mbps,且主要为进入企业内部的流量。 针对该企业网络建设,请从下面几个方面简要说明网络设计内容及依据:
(1)网络结构;
(2)物理层技术选择;
(3)局域网技术选择;
(4)广域网技术选择;
(5)网络地址规划。
【问题2】(10分)
假定企业发展为中等规模,人数不超过1000人,所有员工在同一城市的不同地域工作。企业目前分为一个总部和三个分部(分布范围都不超过2km),总部人数不超过400人,分部人数不超过200人。企业与互联网采用统一对外接口,带宽需求规模为100Mbps以内,且流入数据量和流出数据量基本均衡;企业总部和分部之间的数据流量小于1000Mbps。由于企业规模较大,对网络的依赖度大大增加,要求分部到总部和总部至互联网出口有备份,以增加网络的健壮性和可用性。 请从下面3个方面简要给出总部/分部网络和企业整体网络的结构和设计要点:
(1)网络结构;
(2)物理层和局域网技术选择;
(3)接入互联网技术选择。
【问题3 】(10分)
如果企业规模扩大到10000人,需要对外提供互联网服务(服务器的域名与IP一一对应),对内提供企业内部服务,并允许员工访问互联网。假定企业总部和分部数量有50个,总部最多500人,分部最多400人。企业组织机构有10个(如行政管理、生产、销售等),每个机构在总部或单个分部最多60人。
(1)请简要分析该企业网络的网络地址类型及规模。
(2)考虑管理便利、信息相互隔离和路由聚合等因素,请说明应如何规划该企业网络的子网层次。
(3)举例说明如何进行子网划分(子网划分举例必须能够看出子网划分的规律,至少给出三个以上的子网号)。
答案与解析
- 试题难度:较难
- 知识点:案例分析>企业网络规划
- 试题答案:
【问题1】(10分)
(1)因为网络规模较小,所以采用单核心局域网结构。配置一个核心二层或三层交换机,每个房间配备接入交换机。这种结构便于扩展和升级。
(2)物理层技术选择:通信介质选择双绞线UTPcat5;网卡选择10/100M网卡。
(3)局域网技术选择:10/100/1000M以太网技术。技术成熟,性价比最高,应用最广泛。
(4)广域网技术选择:由于初期无需对外提供互联网服务,入流量大于出流量,最佳接入技术是申请电信运营商的ADSL接入Internet。
(5)地址规划:目前内网不需要公网地址。采用私网地址即可。考虑初期人数最多50人,使用一个C类私有网段即可。如果每个房间需要隔离,可以使用VLAN并划分IP子网。【问题2】(10分)
(1)网络结构设计:总部局域网和分部局域网可以采用双核心局域网结构。企业整体网络采用分层局域网结构,配备双核心路由器对外与互联网相连,对内与分部局域网的双核心交换机或路由器相连。
(2)物理层和局域网技术选择。总部局域网和分部局域网采用10/100/1000M以太网技术,通信介质可使用UTPcat5或多模光纤;总部局域网和分部局域网之间互联采用1000BaseLX以太网技术,通信介质使用单模光纤。
(3)接入互联网技术选择:最佳方式为100Mbps以太网接入,其它可选方式有1000Mbps以太网接入以及光纤接入(EPON)。
【问题3】(10分)
(1)由于公司员工总数为10000人,考虑每人平均一个IP地址再加上公用设备地址、互联地址、服务器地址等公用地址,使用一个B类网足够了。可以选择172.16.0.0/16~172.31.0.0/16中的任意一个。
(2)首先需要对B类网划分50个以上的子网。这50个子网要满足两个条件:每个子网能包含500以上的可用IP地址,并且能继续划分为10个子网。再次划分的10个子网,每个子网要能包含60个可用的IP地址。
(3)实际举例如下:以172.16.0.0/16为例采用/22或255.255.252.0的子网掩码,可以把B类网划分为64个子网。(满足总部加分部50个)
172.16.0.0/22
172.16.4.0/22
.................
172.16.252.0/22
每个子网再可划分16个子网:(满足每个总部或分部有10个部门)以172.16.4.0/22为例:
172.16.4.0/26
172.16.4.64/26
..................
每个子网可以包含最多:62个IP地址(满足每个人一个IP地址) - 试题解析:网络规划与设计过程一般会经历需求分析、逻辑网络设计、物理网络设计、规划及实施阶段。本题重点考查需求分析、逻辑网络设计这两个方面。
逻辑网络设计工作包括:网络结构设计;物理层技术选择;局域网技术选择;广域网技术选择;地址设计与命名模型;路由选择协议;网络管理;网络安全和逻辑网络设 计文档。在逻辑网络设计方面,本题侧重考查网络结构设计、局域网技术选择、广域网技术选择、网络地址规划以及可扩展性网络结构设计方面的问题。
1.逻辑网络设计原则
根据用户需求设计逻辑网络,选择正确的网络技术比较关键,在选择时应考虑如下因素:
·通信带宽
所选择的网络技术必须保证足够的带宽,能够为用户访问应用系统提供保障;在进行选择时,不能仅局限于现有的应用要求,还要考虑适当的带宽增长需求。
·技术成熟度
所选择的网络技术必须是成熟稳定的技术,有些新的应用技术在尚没有大规模投入应用时,还存在着较多的不确定因素,而这些不确定因素可能会为网络的建设带来很多不可估量的损失。虽然新技术的自身发展离不开工程应用 ,但是对于大型网络工程来说, 项目本身不能成为新技术的实验田;因此,使用较为成熟、拥有较多案例的技术是明智的选择。
当然,在面对技术变革时,可采用试点的方式逐步应用。
·连接服务类型连接服务类型是逻辑设计时必须考虑的问题,传统的连接服务分为面向连接服务与非连接服务 ,逻辑设计需要在无连接和面向连接的协议之间进行权衡。
互联网采用 TCP/IP协议簇,其网络层协议是IP协议,提供无连接的服务,因此选择连接服务类型,主要是针对IP协议底层的承载协议进行选择。如果选择面向连接服务类型,则可以选择 ATM 、SDH 等协议;如果选择非连接服务类型,则可以选择以太网等协议。不同的网络工程,对连接服务类型的需求不同,设计者不能仅局限于一种连接服务而进行设计。
·可扩展性
网络设计者的设计依据是较为详细的需求分析,但是在选择网络技术时,不能仅考虑、当前的需求,而忽视未来的发展;在大多数情况下,设计人员都会在设计中预留一定的冗余,无论是在带宽、通信容量、数据吞吐量、用户并发数等方面,网络实际需求和 设计目标之间的比例应小于一个特定值以便于未来的发展;一般来说,这个值介于 70%~ 80%之间,在不同的工程中,可根据需要进行调整。
·高投资产出
选择网络技术的最关键一条,不是技术的扩展性、高性能性,也不是成本最低等概念,决定设计和网络管理人员采用某种技术的最关键点是技术的投入产出比,只有通过投入产出分析,才能最后决定技术的使用。
2.网络结构设计
网络结构是对网络进行逻辑抽象,描述网络中的主要连接设备和计算机结点分布而形成的网络主体框架。网络结构和网络拓扑结构的最大区别在于:网络拓扑结构中,只有点和线,不会出现任何的设备和计算机结点;网络结构主要是描述连接设备和计算机结点的连接关系。
由于当前的网络主要由局域网和实现局域网互联的广域网构成,因此可以将网络工程中的网络结构设计分为局域网结构和广域网结构两个设计部分,其中局域网结构主要关注数据链路层的设备互连方式;广域网结构主要关注网络层设备的互连方式。
3. 局域网结构
·单核心局域网结构
由一台核心三层交换机设备为中心构建的一种局域网结构,计算机结点通过多台接入交换机接入核心。整个局域网通过核心交换机与公共的互联网相连。
图 1-1 单核心局域网结构•单核心结构局域网的主要特点:
一台核心交换设备,路由功能只存在于核心设备上;
结构简单,管理维护方便;
投资小;
网络覆盖范围小,要求网络分布比较紧凑;
核心设备故障将导致网络瘫痪;
可扩展为双核心局域网结构或层级结构的局域网。
.双核心局域网结构 双核心结构主要由两台三层交换机设备构建局域网核心。核心交换机与公共互联网相连。局域网内部的计算机结点通过接入交换机接入核心。
•双核心结构局域网的主要特点:
两台核心交换设备组成局域网核心,路由功能只存在于局域网核心;
核心设备之间运行特定的网关保护或负载均衡协议,如HSRP 、VRRP 、GLBP 等;
网络结构可靠性高;
设备投资比单核心高;
网络覆盖范围较大,取决于核心设备之间互联的技术;
可升级为层次局域网结构。
双核心典型结构如图 1-2 所示。图1-2 双核心局域网结构•环型局域网结构
环型局域网结构由多台核心三层设备连接成双RPR动态弹性分组环,构建整个局域网的核心。环型结构的局域网应用较少,其典型结构如下:图1-3 环型局域网结构•层次局域网结构
层次结构主要定义了根据功能要求不同将局域网络划分层次构建的方式,从功能上定义为核心层 、汇聚层、接入层。其典型结构如图1-4所示。图 1-4层次局域网络构•层次局域网主要特点
核心层实现高速数据转发;
汇聚层实现丰富的接口和接入层之间进行互访控制;
接入层实现用于接入;
网络拓扑结构故障定位可分级便于维护;
网络拓扑利用扩展;
适用于大型的网络结构;
网络投资大。
4.广域网结构
典型的广域网结构有:单核心广域网结构、双核心广域网结构、环型广域网结构、半冗余广域网结构以及层次子域广域网结构。
广域网组网主要应用于大型的电信服务公司组网以及大型的跨国公司组网。
5.局域网技术选择
目前可以使用的局域网技术有 IEEE802 系列局域网技术、 FDDI 技术和 ATM 技术,其中IEEE802系列局域网技术主要有 IEEE802.3 。
从逻辑网络设计原则看,最佳的选择技术是 IEEE802.3 ,即以太网技术。以太网技术的主要优势是:技术成熟;性价比高;组网、管理方便;支持多种速率和通信介质;支持除环型局域网以外的其他局域网结构。
6.广域网技术选择
就企业网来说,主要考虑企业网如何接入Internet,因此就本题的广域网技术选择来说,就是选择公共Internet 的接入技术。
【问题 1】
从需求看,企业初期网络规模小,地理位置集中。可选择单核心结构的局域网结构。 随着企业规模的扩大,可以升级为双核心结构或层次结构。从逻辑网设计原则看,局域网技术选择以太网技术。
以太网技术有:
• l0Mpbs 以太网技术
具体连网可选择l0Base-T全双工、半双工交换式连接以及共享式连接;
• 100Mbp 以太网技术
L00Base-TX 全双工、半双工交换式以及共享式连接。
100Base-FX 全双工、半双工交换式以及共享式连接。
l000Mbps 以太网技术
l000Mbps 以太网简称GE ,它是目前建设高速LAN的主要技术之一,其标准为802.3z。千兆以太网标准出现之前,局域网主干采用FDDI或ATM技术。 FDDI 是基于光纤的100Mbps局域网技术,是一个很成熟的技术,但价格相对较高。 ATM 可以提供从155Mbps 以上的带宽,但技术复杂,设备价格高,维护管理复杂。100M 以太网技术用于组建骨干局域网,其性能和速率均显不足。千兆以太网的几种规范及应用领域如下表所示:
</div>以太网连网主要设备有:交换机。<br> 广域网接入技术分析如下:<br> 单独考查Internet ,可以把接入Internet的技术分为两类:一类是传统的接入技术,一类是新兴的接入技术。<br> 传统的接入技术有:<br> •使用 Modem 经PSTN网络接入因特网。<br> •专线接入。租用电信公司(NSP)的线路接入因特网。<br> •局域网接入。由本地局域网直接接入因特网。<br> •无线接入。通过无线网络接入因特网。<br> 新兴的接入技术主要有:<br> •ADSL 技术。采用数字用户线技术通过电话线实现因特网接入。<br> • HDSL 技术。另一种采用数字用户线技术,通过电话线实现因特网接入。<br> •HFC技术。通过CATV网络接入因特网。<br> •光纤接入技术。以光纤为介质在用户和局端传输信息。<br> 目前,针对企业用户,可以选择的接入技术主要是:ADSL 技术、专线技术、局域网接入和光纤接入。<br> ASDL 技术;上行速率最大640Kbps,下行速率最大8Mbps。主要特点:使用方便、 投资少,适合主要为Web访问的网络;内部网络中不适合设置能对外提供公共服务的服务器。<br> 专线接入:上下行速率相同。需要向电信部门 (NSP) 申请通信链路,通信链路一般是由 FR 帧中继网络和 DDN 网络提供的。专线入网一般通过路由器把用户端和局端相连。专线入网有以下特点是:采用租用专线作为数据传输的通道 ;租用专线以包月制计费,费用较高;专线入网提供 64Kbps~100Mbps的传输速率;适合小的集团用户。<br> 局域网接入:本地局域网直接通过路由器与Internet相连。局域网接入的特点是:可以利用局域网本身的各种优点;可接入大量用户;通信速率高;可靠性高;费用适中; (平均分配到每个用户);局域网本身自成体系,方便管理;适合大量的集群用户,如用户小区等。局域网接入需要一定的条件才能实现,即局域网和公共广域网设备在同一个地理位置。比如在一个校园内,校园本身是一个大型的局域网,而本校园又是Internet的一个区域结点,公共广域网设备就在校园内。<br> 光纤接入:本地局域网通过光纤接入公共的Internet。特点:通信速率高;扩展性好;可靠性高;费用最贵;适合对通信带宽、质量要求较高的用户选择。<br> 总结:采用单核心交换式以太网;选择10/100Mbps自适应物理层;选择ADSL作 为接入技术;50 人采用一个C 类网(私有地址)即可,无需划分子网。<br> 【问题 2】<br> 本问题主要考查网络扩展问题。现在企业分为4 个部分,对应4个局域网;从整体 网络结构上看,可以选择的是:双核心局域网结构和层次局域网结构。针对企业整体网络结构,1000人的企业应该属于中、大型企业,企业整体网络结构优先选择层次局域网结构(骨干层:双核心路由器,提供与公共Internet的双链路连接;汇聚层:分部的双核心路由器;接入层:分部的接入交换机);企业分部(或总部)内的局域网,从可靠性要求上看,应选择双核心局域网结构(对应层次结构的汇聚层和接入层,汇聚层选择双核心)。<br> 可靠性除考虑可靠的网络结构外,企业骨干层设备之间、局域网骨干设备之间以及骨干设备和局域网骨干设备之间应考虑采用 GE 光纤连接(单模光纤最远3km,如使用新的光收发器,最远可达70km,满足地理覆盖分布要求)。<br> 分部和总部内的局域网接入交换机仍采用10/l00Mbps自适应5类UTP连接。<br> Internet 接入技术可选择双100Mbps光纤局域网接入或1000Mbp光纤局域网接入。其他 100Mbps 以上、可靠的接入技术也可选择。(100Mbps 以太网接入,从综合效益上看是最佳选择)。<br> 【问题3】<br> 问题 3 重点考查地址规划和信息隔离问题。局域网上的信息隔离可以使用 VLAN 技术来解决;子网划分总体需求是:<br> •总体规模:<br> 10000 人,至少每人一个IP地址;<br> 其他地址:公共服务器地址;网络互联设备地址等。<br> 考虑使用一个B 类网。最多可容纳65534 个IP地址。<br> •总部+分部子网数:<br> 50 个,每个包含500 以上地址(可考虑 20%余量)<br> 考虑:B类网中增加6bit子网ID:包含64个子网。每个子网最多可包含1022个IP地址。<br> •总部或分部内部子网数:<br> 10个;最多 60 个地址<br> 考虑:再增加4bit子网 ID ,每个子网可再分为16个子网。每个子网最多可包含62个IP地址。</div>
第 2 题
阅读下列说明,回答问题1至问题4,将解答填入答题纸的对应栏内。
【说明】:某单位的计算机网络结构如图2-1所示。
图2-1 一个简单的初级网络
【问题1】(5分)
如果单位想把员工分组,每组的信息相互隔离,另外保证每个员工能独享10Mbps带宽,请指出:
最简单的升级方式是什么?对新设备的功能和性能有什么要求(接入的计算机数量不大于20个,要说明如何实现分组的信息隔离)。
【问题2】(10分)
随着单位规模的扩大,企业网络发展成了如图2-2所示的结构。公用服务器均位于主网段。主网段没有用户,均为公用设备。用户均匀分布在网段1、网段2和网段3。
图2-2 公司规模扩大后的网络结构
请根据表2-1中已有的信息将出流量、入流量和网内流量填写完整;将表2-2的目的网段和总流量填写完整。
表2-1 网段2用户流量分析表
表2-2 网段2的总流量分配表
【问题3】(9分)
(1)请计算出接入路由器内部交换流量、网段至主网段流量、网段之间流量和总流量。
(2)请计算出核心路由器的出、入流量和总流量。
(3)在10/100/1000Mbps的局域网技术中,应该选择哪一个作为网段内部互联技术(说明对路由器交换容量的最小要求)?
(4)在10/100/1000Mbps的局域网技术中,应该选择哪一个作为网段至主网段互联技术(说明对路由器交换容量的最小要求)?
(5)如果主网段和网段之间协议开销最大可增加20%流量,是否需要升级网络?如果需要升级,最佳方案是什么?如果不需要升级,请说明原因。
【问题4】(6分)
参见本题图2-2。如果要提高普通网段访问主网段的可靠性和可用性,即在核心路由器出现故障时仍能访问主网段,请简要说明应该增加什么设备,新增设备与核心路由器之间可使用哪些协议以及这些协议之间主要有何区别。
答案与解析
- 试题难度:较难
- 知识点:案例分析>其他
- 试题答案:
【问题1】(5分)
(1)用二层交换机取代10M共享式集线器。
(2)二层交换机需要支持VLAN功能,通过VLAN的划分,不同的VLAN对应不同的员工组,VLAN之间的信息相互隔离。
(3)VLAN策略可以通过基于交换机物理端口的策略来划分。员工接入不同的端口即加入不同的VLAN,实际上等于加入了不同的组。
(4)对交换机性能方面,可以使用24端口的10/100Mbps自适应以太网交换机。
(5)背板交换容量最低应达到10×24×2 = 480Mbps。如果考虑所有端口100Mbps速率,则背板交换容量最低应达到4.8Gbps。【问题2】(10分)
【问题3】(9分)
(1)接入路由器:
内部交换流量=19.84Mbps
网段2和主网段流量=48Mbps+48Mbps=96Mbps
网段之间的流量=32.96Mbps
网段2总流量=48*3+4.8=148.8Mbps
(2)核心路由器:
网段1,2,3与主网段之间总流量:96Mbps×3=288Mbps
其中:主网段到网段1,2,3流量:(24+38.4)×3=187.2Mbps
网段1,2,3到主网段流量:(24+9.6)×3=100.8Mbps
网段之间的转发流量:32.96Mbps×3=98.88Mbps
总流量:288Mbps+98.88Mbps=386.88Mbps
(3)因为:网段2内部流量为:19.84Mbps,网段2接入路由器总流量为:96+32.96=128.96Mbps.
所以:网段交换机互连选择100Mbps以太网技术,接入路由器背板交换容量在200Mbps以上。
(4)因为:网段2到服务器上行流量为:33.6+32.96/2=50.08Mbps,下行流量为:62.4+32.96/2=78.88Mbps.
所以:接入路由器和核心路由器之间的链路应为100M全双工以太网链路。
因为:主网段到网段1,2,3流量:(24+38.4)×3=187.2Mbps。网段1,2,3到主网段流量:(24+9.6)×3=100.8Mbps。核心路由器总流量为386.88Mbps.
所以:主网段和核心路由之间链路应选择1000Mbps以太网技术连接,核心路由器背板交换容量在400Mbps以上。
(5)因为增加20%开销后,核心路由器总流量为:386.88×1.2=464.254Mbps.所以需要升级核心路由器背板交换容量升级至600Mbps以上。链路带宽可满足要求。
【问题4】(6分)
(1)再增加一个核心路由器。
(2)两个核心路由器之间运行VRRP或者HSRP协议或者GLBP协议。
VRRP协议是公开的虚拟路由器冗余协议。HSRP是cisco开发的热备份路由协议。
(3)VRRP和HSRP基本功能类似,其缺点是存在路由器闲置问题。GLBP协议与VRRP和HSRP功能类似,但能够实现负载均衡功能。
本题重点考查网络规划设计中的通信流量分析和依据流量对网络设备的选择。
【问题 1】
本问题主要考查对VLAN 、共享式以太网、交换式以太网的理解。
VLAN 可以把 LAN 划分成逻辑上信息隔离的区域;
共享式以太网连接时,连接在共享式集线器(HUB)上的所有计算机站点共享相同的带宽。
交互式以太网连接需要二层以太网交换机,每个端口连接一个计算机设备。交换式以太网可以实现独享带宽。VLAN 的划分必须是基于二层交换设备。集线器(HUB)不支持VLAN 功能。
VLAN 的实现策略有很多种类,最简单的是基于二层交换机的物理端口划分VLAN 。 其他 VLAN 划分策略还有:基于 MAC 地址;基于IP地址或协议等。
交换机性能计算原则:一个端口连接一台计算机。背板交换容量计算公式是:交换机的背板交换容量= (交换机的端口数/2)×每端口的标称速率×全双工系数。如果交换机支持全双工,则全双工系数为 2; 如果只支持半双工,全双工系数为 1。
二层交换机的端口数量一般是 8、16、24、48。20台计算机可选择 24端口的交换机。
【问题 2 】
1.通信流量分布的简单规则在通信规范分析中,最终的目标是产生通信量,其中必要的工作是分析网络中信息流量的分布问题。在整个过程中,需要依据需求分析的结果来产生单个信息流量的大小, 依据通信模式、通信边界的分析,明确不同信息流在网络不同区域、边界的分布,从而获得区域、边界上的总信息流量。
对较为简单的网络,可以不需要进行复杂的通信流量分布分析,仅采用一些简单的方法,例如 80/20 规则、 20/80 规则等;但是对于复杂的网络,仍必须进行复杂的通信流量分布分析。
2.80/20 规则
80/20 规则是传统网络中广泛应用的一般规则。80/20 规则是基于这样的可能性:在一个网段中,通信流量的 80%是在该网段内流动,只有 20% 的通信流量是访问其他网段。
80/20规则适用于内部交流较多、外部访问相对较少、网络较为简单、不存在特殊应用的网络或网段。
3.20/80规则
随着互联网的发展,一些特殊的网络不断产生,例如小区内计算机用户形成的局域网、大型公司用于实现远程协同工作的工作组网络等。这些网络的特征就是:网段的内部用户之间相互访问较少,大多数网络访问都是对网段外的资源进行访问。对应这些流量分布则位于另一个极端,可以采用 20/80 规则。
20/80 规则的思路是:根据对用户和应用需求的统计,计算网段内的通信总量,其中 20% 的通信流量是在该网段内流动, 80%的通信流量是访问外部网段。
80/20规则和 20/80 规则虽然比较简单,但这些规则是建立在大量的工程经验基础上的;另外通过这些规则的应用,可以很快完成一个复杂网络中大多数网段的通信流量分析工作,可以合理减少大型网络中的设计工作量。
4. 通信流量分析步骤
步骤一:把网络分成易管理的网段。
步骤二:确定个人用户和网段应用的通信流量。
步骤三:确定本地和远程网段上的通信流量。
步骤四:对每个网段重复步骤一、步骤二、步骤三。
步骤五:分析基于各网段信息的广域网和骨干网络的通信流量。
5. 常见互联网业务流量规则。
E-mail:发送邮件和接收邮件(只与邮件服务器发生流量)。视为对等流量,即 50%流出, 50%流入。
Web:浏览网络,从 Web 下载的流量大(只与 Web 服务器发生流量)。使用 20/80法则。流出:20%,流入80%。
FTP或文件共享业务:等同电子邮件业务(只与 FTP 或文件共享服务器发生流量)。流入、流出各50%。
办公自动化业务:等同Web业务(只与办公自动化服务器发生流量)。20%流出, 80%流入。
视频监控:属于P2P业务类型(用户之间发生流量),在内部网络中流量平均分配。
内部交流:属于P2P业务类型(用户之间发生流量), 80%发生在网段内部, 20%发生在网段之间。
根据问题2给出的条件。网段2的流量计算如下:
电子邮件业务:总流量48Mbps,50%流出本网段 24Mbps,50%流入本网段 24Mbps。无内部流量。
办公系统:总流量 48Mbps ,20%流出本网段 9.6Mbps,80%流入本网段 38.4Mbps 。 无内部流量。
视频监控:总流量 48Mbps,三个网段平均分配,则外部流量占2/3 ,即 32Mbps , 流入流出各占50%,即:流入16Mbps、流出16Mbps;网内流量占113,即16Mbps。
内部交流:总流量4.8Mbps ,20%网段之间流量,出入平均分配则流出:0.48Mbps、流入 0.48Mbps; 80%网段内部,即 3.84Mbps 。
【问题 3】
问题 3 依据问题 2 的流量分布进行计算。
按三个子网段相同来计算,以网段 2 为例。
接入路由器:
内部流量:视频监控内部流量 16Mbps+内部交流内部流量3.84Mbps
网段至主网段流量(出流量+入流量):48+48=96Mbps
网段之间的流量(出流量+入流量):32+0.96=32.96Mbps
总流量:48*3+4.8 = 148.8Mbps
核心路由器:
网段之间转发流量(出流量+入流量):32.96Mbps×3 = 98.88Mbps
网段到主网段流量(出流量+入流量):96Mbps×3 = 288Mbps
总流量:286.88Mbps
路由器背板交换容量选择原则:大于总流量,并有20%~ 30% 的冗余。取整为200Mbps 的整数倍。
【问题 4 】
本问题主要考查单核心局域网结构和双核心局域网结构在可靠性方面的区别,以及双核心局域网结构中核心设备之间重要的可靠性协议(冗余备份协议、流量均衡协议)。
单核心局域网结构的主要缺点是,核心结点故障将导致整个网络瘫痪(不可用), 增加可靠性和可用性的最佳方法是增加一台新的核心路由器。两台核心路由器之间运行 VRRP 协议、 HSRP 协议或 GLBP 协议。
VRRP (Virtual Router Redundancy Protocol ,虚拟路由冗余协议)是一种容错协议。通常,一个网络内的所有主机都设置一条缺省路由,这样,当主机发出数据包的目的地址不在本网段时,报文将被通过缺省路由发往网关路由器,从而实现了主机与外部网络的通信。当某网络的默认网关(路由器)故障时,本网段内所有主机将不能与外部网络通信。VRRP就是为解决这一严重问题而提出的,它为具有多播或广播能力的局域网设计。VRRP将局域网的一组路由器(包括一个Master 即主控路由器和若干个 Backup 即备份路由器)组织成一个虚拟路由器,称之为一个备份组。
在 VRRP 协议中,有两组重要的概念:VRRP 路由器和虚拟路由器,主控路由器和备份路由器。VRRP 路由器是指运行VRRP的路由器,是物理实体,虚拟路由器是指 VRRP协议创建的,是逻辑概念。一组VRRP路由器协同工作,共同构成一台虚拟路由器。该虚拟路由器对外表现为一个具有唯一固定 IP 地址和 MAC地址的逻辑路由器。处于同一个 VRRP组中的路由器具有两种互斥的角色:主控路由器和备份路由器,一个 VRRP 组中有且只有一台处于主控角色的路由器,可以有一个或者多个处于备份角色的路由器。VRRP协议使用选择策略从路由器组中选出一台作为主控路由器,负责ARP响应和转发IP数据包,组中的其他路由器作为备份的角色处于待命状态。当主控路由器发生故障时, 其中一台备份路由器能在几秒钟的时延后升级为主路由器。由于切换非常迅速而且不用改变IP地址和 MAC 地址,故对用户是透明的。
HSRP 是 Cisco 开发的热备份路由协议,与VRRP基本功能类似。GLBP协议与VRRP和 HSRP功能类似,但能够实现负载均衡功能。
阅读以下关于某机构网络的叙述,回答问题1、问题2和问题3。
某机构打算新建一个网络,其中有内部办公计算机若干台,内部数据库服务器1台,内部文件传输(FTP)服务器1台,网页(Web)服务器1台,邮件服务器1台。要求能对外提供万维网(WWW)访问和邮件服务,内部办公计算机、内部数据库和文件传输(FTP)服务器对外不可见。
【问题1】(6分)
请划分该机构网络的安全区域和安全级别,说明各机器属于哪个区域和级别。
【问题2】(6分)
为提高安全性,请设计该机构网络的防火墙方案,并给出防火墙的相关规则的配置策略。
【问题3】(3分)
如果想要监听、检测内部办公计算机之间的连接和攻击,应该在何位置配置何种设备?
【问题1】(6分)
整个网络分为三个不同级别的安全区域:
(1)内部网络:安全级别最高,是可信的、重点保护的区域。包括所有内部办公计算机,内部数据库服务器和内部FTP服务器。
(2)外部网络:安全级别最低,是不可信的、要防备的区域。包括外部因特网用户主机和设备。
(3)DMZ区域(非军事化区):安全级别中等,因为需要对外开放某些特定的服务和应用,受一定的保护,是安全级别较低的区域。包括对外提供WWW访问和邮件服务的Web服务器和邮件服务器。
[【问题2】(6分)
方案说明中包括DMZ区,外部防火墙、内部防火墙两个防火墙(屏蔽路由器)。
配置策略:
外部防火墙(屏蔽路由器)的访问策略:允许外部网络客户访问DMZ区的WWW服务器提供的WWW服务和邮件服务器提供的邮件服务,其他禁止。
内部防火墙(屏蔽路由器)的访问策略:允许内部网客户访问外部网络,不允许外部网络客户访问内部网;
允许内部网客户访问DMZ区,不允许DMZ区网络客户访问内部网。
【问题3】(3分)
1、应配置IDS(入侵检测系统)
2、应接在交换机端口上,并在交换上配置镜像端口,以获取内网数据包信息。
【问题 1】
要保障一个网络系统的安全,首先应该分析该网络系统的特点和安全需求,分析对外需要提供的服务,评估需要保护的数据的安全级别和面临的风险,划分不同的安全区域,然后再制定系统安全策略,决定实现时采用何种方式和手段。
本题所述机构的网络中有内部数据库服务和内部文件传输(FTP) 服务器各一台, 内部办公计算机若干台。服务器上存储的数据信息量大,且是内部数据,安全级别要求最高,内部办公计算机处理的数据也是内部数据,不对外公开,其安全级别也可定位最高。因此这些机器应该统一划分在同一个安全区域,以便采用统一的安全策略来实施重点保护。
本题所述机构的网络中有网页 (Web) 服务器和邮件服务器各一台。由于要求能对外提供万维网 (WWW) 访问服务和邮件服务,则这两台服务器对本机构网络外部的设 备是可见的,外部设备会访问这两台服务器,可能会受到外网不安全因素的威胁,其安 全级别会降低。因此不能同内部服务器等放在同一区域,以免在遭受攻击时影响内部网 络。因此这两台服务器应该统一划分在同一个安全区域,以便采用统一的安全策略来统一实施保护,以保证能对外提供正常的服务。
本机构网络之外的因特网设备和主机,能访问该机构网络中有网页 (Web) 服务器 和邮件服务器,这部分设备和主机是不可信的、要防备的区域,安全级别最低,可划分为同一个安全区域。
【问题 2 】
防火墙的双重宿主主机体系结构是指以一台双重宿主主机作为防火墙系统的主体,执行分离外部网络和内部网络的任务。一个典型的双宿主主机防火墙如图3-1 所示,它 使用一个双宿主主机完成防火墙功能。该主机至少有两个网络接口,一个是内部网络接口,一个是因特网接口,故称为双宿主主机。
堡垒主机通常是安全管理员标识的作为网络安全中关键点的系统,这类系统健壮安全,能抗攻击,故称为堡垒主机。在屏蔽主机防火墙中,堡垒主机用于对外提供一定的 服务,如 www 服务,而且任何外部的主机只有通过这台主机才能得到内部系统的服务(在外部主机看来,没有内部网络,只有堡垒主机)。由于堡垒主机暴露在因特网中,故堡垒主机需保持较高的安全等级,具有一定的抗攻击能力。
防火墙的屏蔽子网体系结构的最简单形式如图3-3 所示,防火墙由外部屏蔽路由器、内部屏蔽路由器和堡垒主机共同组成。与前两种防火墙体系结构有明显区别的是,在外/ 内部屏蔽路由器间有一个称为非军事化区的子网,进一步将内部网络同因特网隔离开来, 起到屏蔽内部网络的作用,提供更进一步的安全性,故称为屏蔽子网防火墙。
图3-2 屏蔽主机体系结构防火墙
屏蔽子网防火墙使用了两个屏蔽路由器,消除了内部网络的单一侵入点,增强了网络的安全性。但两个屏蔽路由器的规则设置的侧重点不同。
配置防火墙的访问策略时,一般按服务来配置规则。首先要分析网络的特点及网络对外提供的服务,弄清各服务的工作原理及正常的工作流程,然后再分析各服务在防火墙环境下如何工作,并对服务配置。
【问题 3】
防火墙和操作系统加固技术等传统安全技术都是静态安全防御技术,不能提供足够的安全性;入侵检测系统能使系统对入侵事件和过程做出实时响应 ,提供系统的动态安全性。
入侵检测系统是通过从计算机网络和系统的若干关键点收集信息并对其进行分析, 从中发现网络或系统中是否有违反安全策略的行为或遭到入侵的迹象,并依据既定的策 略采取一定措施的技术。
入侵检测系统包括三部分内容:信息收集、信息分析和响应。其中收集信息的可靠性和正确性在很大程度上决定了入侵检测系统的有效性和准确性。需要在合适的位置上放置,以保证采集信息的准确性和充足性。