201211网规下午真题
第 1 题
阅读以下关于某大学校园网的叙述,回答问题1至问题4。
【说明】
某大学校园网经过多年的建设已初具规模,由于校内相关的科研单位有接入到以IPv6为核心的下一代互联网中进行相关研究的需求,同时为了积极探索解决学校公网IPv4地址的短缺、现有网络安全等方面的问题,学校网络中心计划对现有校园网进行IPv6技术升级。学校现有的网络拓扑如图1-1所示。
(1)接入层:完成IPv4用户接入,设备是二层接入交换机、三层接入交换机。
(2)汇聚层:完成接入用户的汇聚,汇聚交换机是盒式或机架式三层交换机,目前不支持IPv6业务。
(3)核心层:是整个网络的核心(机架式三层交换机,目前不支持IPv6业务),同时连接外部网络的出口,是整个园区网业务流量通,是IPv4主干网或者IPv6主干网的必经之路。
图1-1 校园网拓扑图
【问题1】(5分)
为了实现IPv4网络向IPv6网络的过渡和转换,IETF制订的解决过渡问题的基本技术方案有三种。在进行IPv6升级的初期,由于教学科研区访问IPv6网络的需求比较迫切,学校希望花费较少的资金就能使教学科研区访问IPv6网络上的相关资源,简述三种技术方案的要点,并依据需求进行过渡技术方案选择。
【问题2】(8分)
随着网络建设的不断升级,为把校园网积极推进到以IPv6为核心的下一代互联网中,要求学生区和教学科研区的IPv6用户能够访问IPv6网络资源,同时实现这两个区域之间IPv6资源的互访。
(1)基于上述的需求,对过渡方案进行了调整,网络结构如图1-2所示,请在尽量节省资金的情况下给出该校园网IPv6技术升级的过渡方案,并进行设备升级和网络调优(网络设备调整等)的方案设计。
图2-1 过渡方案网拓扑图
(2)因家属区个别用户也想接入到IPv6网络中访问相关资源,现在核心交换机2上开启ISATAP隧道,隧道服务器地址为isatap.xuexiao.edu.cn。
若家属区客户机为win xp(sp1及以上),完成下面的步骤,使得客户机能够通过ISATAP隧道接入IPv6网络。
C:> ① //安装JPv6协议
C:> ② //设置隧道终点
【问题3】(8分)
NDP(Neighbor Discovery Protocol,邻居发现协议)是IPv6的一个关键协议,它组合了IPv4中的ARP、ICMP路由器发现和ICMP重定向等协议,并对它们做了改进,作为IPv6的基础性协议,NDP还提供了前缀发现、邻居不可达检测、重复地址监测、地址自动配置等功能。进行IP地址规划及路由方案设计,包括:
(1)在现阶段网络的IPv6技术升级中,IPv6地址分配的两种分配机制是什么?
(2)在本方案中服务器端和用户端分别采用的IPv6地址分配机制是什么?
(3)在IPv4的网络中,校园网内部路由协议采用OSPF,在lPv6的网络中采用的路由协议是什么?
(4)接入到IPv6网络中的边界路由器采用何种接入方式。
【问题4】(4分)
近年来国家大力推进IPv4向IPv6的过渡,但是基于IPv6的网络部署还不能达到国家的战略要求。
(1)你认为影响IPv6发展的因素主要有哪些。
(2)对于学校现有IPv6网络的运维的建议。
答案与解析
- 试题难度:较难
- 知识点:案例分析>网络新技术
- 试题答案:
【问题1】(5分)
IPv4/IPv6过渡技术有:
(1)双协议栈技术:双栈技术通过节点对IPv4和IPv6双协议栈的支持,从而支持两种业务的共存。
(2)隧道技术:隧道技术通过在IPv4网络中部署隧道,实现在IPv4网络上对IPv6业务的承载,保证业务的共存和过渡。
(3)NAT-PT技术:NAT-PT使用网关设备连接IPv6和IPv4网络。当IPv4和IPv6节点互相访问时,NAT-PT网关实现两种协议的转换翻译和地址的映射。要求在实现教学科研区访问IPV6网络上的相关资源功能的基础上费用花费最小,网络结构不变且部署方便,可以在核心设备上采用隧道接入技术实现其功能。
【问题2】(8分)
(1)实现的技术方案选择双栈模式。
设备升级模式为:新建(升级)学生区和教学科研区的核心和汇聚交换机,支持IPV6.
网络调优方案:将学生区和教学科研区的核心、汇聚交换机以及其他不能进行IPV6升级的设备调整到家属区的网络,以满足家属区网络的运维要求。(2)①ipv6 install
②netsh interface ipv6 isatap set router isatap.xuexiao.edu.cn
【问题3】(8分)
(1)IPv6地址配置可以分为手动地址配置和自动地址配置2种方式。自动地址配置方式又可以分为无状态地址自动配置和有状态地址自动配置2种。
(2)在本方案中服务器端采用手动地址配置,用户端采用无状态地址自动配置。
(3)在IPv4的网络中,校园网内部路由协议采用OSPF,在lPv6的网络中采用的路由协议是OSPFV3
(4)边界路由器对外出口只有一个,可采用静态路由方式接入。【问题4】(4分)
(1)当前影响IPV6发展的因素只要是软硬件设备的升级,IPV6网络资源不足,应用缺乏支持;V4V6的透明过渡和无缝连接技术问题;运营商的需求不大等问题,其中最关键是还是缺乏上层应用支持。
(2)目前大多数网管产品还不支持IPV6下的管理功能,计费认证功能也有待开发,因此现阶段的运维能力比较强的学校可采用利用开源产品自主开发,也可以和厂商合作开发。 - 试题解析:
这是一道典型的校园网IPv6应用的案例分析题,涉及IPv6网络规划、地址分配方式以及相关接入与配置。
【问题1】
IETF的IPv6过渡工作组已提出多种建议方案,并定义了多种IPv4/IPv6过渡技术,以保证IPv4向IPv6的过渡中业务共存和互操作。主要有以下几种:
1、双栈技术
双栈技术通过节点对IPv4和IPv6双协议栈的支持,从而支持两种业务的共存。由于IPv6和IPv4是功能相近的网络层协议,两者都基于相同的物理平台,而且加载于其上的都是传输层协议TCP和UDP,若主机同时支持IPv6和IPv4协议栈,成为双栈节点,则该主机将既能与支持IPv4协议的主机通信,又能与支持IPv6协议的主机通信。
如果大多数节点的应用软件都已升级为同时支持IPv4和IPv6,双栈技术能够实现节点与任何节点互操作。
2、隧道技术
隧道技术通过在IPv4网络中部署隧道,实现在IPv4网络上对IPv6业务的承载,保证业务的共存和过渡。隧道技术利用现有IPv4网络传送IPv6数据包,通过将IPv6数据包封装在IPv4数据包中,IPv4分组的源地址和目的地址分别是隧道入口和出口的IPv4地址。因此,要求隧道的起点和终点设备都同时支持IPv4和IPv6协议,隧道起点将要经过隧道传送的IPv6数据包封装在IPv4包中发给隧道终点,隧道终点将IPv4封装去掉,取出IPv6数据包再转给目的节点。
在实际实现中,隧道封装时还涉及到对MTU、TTL等的处理,种类较多。由于隧道技术只要求在隧道的入口和出口处进行修改,对其他部分没有要求,因而非常容易实现,是IPv4向IPv6过渡的初期最易于采用的技术。
3、NAT-PT
在IPv4/IPv6互操作技术中网络地址转换/协议转换技术(NAT-PT Network Address Translation/Protocol Translation)提供了较完整的网络层解决方案,可以支持一定规模的网络互联。NAT-PT使用网关设备连接IPv6和IPv4网络。当IPv4和IPv6节点互相访问时,NAT-PT网关实现两种协议的转换翻译和地址的映射。NAT-PT网关在工作时,将维护一个IPv4地址池。与传统NAT方式一样,NAT-PT网关支持为IPv6网络中的节点动态分配IPv4地址。维护地址映射关系,并且完成IPv4协议和IPv6协议的转换,从而实现纯IPv6节点和纯IPv4节点之间的互通。NAT-PT技术可以较好地解决IPv4和IPv6的互通问题,使得大部分应用层协议不需要修改就能够实现互通。但对于需要在应用层协议的控制平面传送IP层信息的应用,不能够通过基本NAT-PT设备互通。必须结合相应的应用层网关(ALG)来实现这些应用层协议的转换
IPv6校园网组网方案
建立IPv6校园网主要应当考虑校园网升级支持IPv6业务和采用同时支持IPv6/IPv4网络设备进行新建校园网建设两种情况,这里提供四种方案供参考。
方案一:隧道模式,升级核心快速实现IPv6接入
适用对象:
校园网中存在大量IPv4设备没有IPv6功能,或者不能升级到IPv6,快速将网络均升级为IPv6需要较长的时间。为了保护IPv4投资,同时又需要让新增用户使用IPv6业务,可以采用此方案。
组网模式:
升级的重点在于核心层。原有IPv4网络不进行改造,在核心增加一台支持IPv6 业务的核心交换机或者更换原有的核心交换机。
核心交换机开启双栈功能,向上连接IPv6网络,向下开启ISATAP(站内自动隧道寻址协议)隧道功能,开启IPv6/IPv4主机可采用ISATAP隧道方式直接接入核心交换机。
网络中其余设备均无任何变化,原有IPv4业务正常运行。
方案优势:
只需增加一台支持IPv6业务的核心设备,其余设备保持不变,保护原有投资。
只需简单开启ISATAP隧道功能即可,快速实现校园网IPv6主机接入。新增的IPv6用户可以正常访问IPv6网络及IPv6业务。
原有IPv4业务不产生任何变化,正常运行。
双栈用户可以直接访问IPv4网络及IPv4业务。
方案二:隧道模式,升级核心与部分汇聚逐步支持IPv6
适用对象:
为了使原有的IPv4网络逐步升级到IPv6网络,在原有改造核心层设备基础上,逐步针对汇聚的三层设备进行更换。
组网模式:
升级的重点在汇聚层。在原有核心层改造基础上,逐步针对汇聚的三层设备进行更换,可以将汇聚层的原有三层交换机更换双栈设备。
在双栈汇聚交换机与双栈核心交换机之间也可能会存在IPv4网络,可以使用IPv6 over IPv4隧道方式实现IPv6的连接。核心与汇聚交换机开启双栈功能,同时配置6over4隧道,如手工隧道技术实现IPv6业务在原有IPv4网络上运行。
网络中其余设备均无任何变化,原有IPv4业务正常运行。
方案优势:
逐步实现对原有IPv4网络的改造,将部分汇聚与核心设备更换,为下一步实现整网IPv6网络部署奠定基础。
新增汇聚与核心之间可能存在IPv4网络,通过汇聚与核心之间开启隧道技术,新增的IPv6用户可以正常访问IPv6网络及IPv6业务。
原有IPv4业务不产生任何变化,正常运行。
双栈用户可以直接访问IPv4网络及IPv4业务。
方案三:双栈模式,升级核心与部分汇聚逐步支持IPv6
适用对象:
部分新建模式建议重新建设支持IPv6业务核心层和汇聚层,IPv4业务可以经由原有网络转发,IPv6业务经由新核心进行转发。为了使原有的IPv4网络逐步升级到IPv6网络,采用新建核心汇聚,支持IPv6,接入二层设备增加接口连入新网络中。
组网模式:
新增核心层支持IPv6的核心交换机,针对汇聚或者接入的三层IPv4设备进行更换,可以将汇聚层的原有三层交换机更换为双栈设备,直接连接到双栈核心,并部署IPv6路由功能如OSPFv3、IPv6静态路由等。
新增双栈汇聚/接入交换机与新增核心交换开启双栈功能。新增汇聚/接入可直接连接到双栈核心,开启IPv6路由功能,实现部分校园网的IPv6功能升级。
原有IPv4业务正常运行。
方案优势:
逐步实现对原有IPv4网络的改造,将部分汇聚与核心设备更换,为下一步实现整网IPv6网络部署奠定基础。同时也开启了IPv6路由功能,为未来整网维护IPv6路由积累管理经验。
新增的IPv6用户可以正常访问IPv6网络及IPv6业务。
原有IPv4业务不产生任何变化,正常运行。
双栈用户可以直接访问IPv4网络及IPv4业务。
方案四:新建IPv6网络
适用对象:
新建IPv6校园网,可采用全网支持IPv6的设备部署。
组网模式:
新建核心层、汇聚层全双栈部署IPv6路由,实现全网IPv6。
部分业务区域可采用二层到桌面,接入交换机可采用百兆或千兆到桌面,汇聚层VRRP功能保证冗余。部分区域可采用百兆/千兆三层到桌面模型,直接将IPv6网关部署在接入三层双栈交换机上。
方案优势:
接入层与汇聚层、汇聚层与核心层间采用双上联实现链路冗余,汇聚层、核心层设备采用双节点实现节点冗余。汇聚层设备作为用户接入点网关设备,通过运行VRRP实现网关冗余。保证整个IPv6网络的高可靠性。
核心层的双栈设备分别连接IPv4和IPv6网络,新增IPv6用户可以正常访问IPv6网络及业务。双栈用户可以直接访问IPv4网络及业务。
【问题2】
WINDOWS XP配置:
打开cmd窗口
安装ipv6协议栈: ipv6 install 或netsh interface ipv6 install
配置隧道的ipv4目的地址:netsh interface ipv6 isatap set router隧道地址或域名
【问题3】分析略
【问题4】分析略
第 2 题
阅读以下关于某国有大型煤化集团数据中心的叙述,回答问题1至问题4。
近年来,云计算技术的蓬勃发展为整个IT行业带来了巨大变革。传统数据中心已经难以满足新形势下日益增长的高性能及高性价比需求,并且无法支持云环境下更加灵活的按带宽租赁数据中心网络的运营方式。该集团随着信息系统业务的不断扩展上线,对高密度服务器及高度自动化管理系统的需求不断增长,建设云数据中心的需求应运而生。
【问题1】(7分)
如图2-1所示,依据集团总部业务应用的需求,集团数据中心网络按功能将划分为七大区:核心交换区、核心业务区,办公区、互联网接入区、运维管理区、广域网接入区、外联业务区。二级板块及其下属子分公司可参考建立符合自身情况的局域网络。
你认为这七大区域应该如何分布,请根据图2-1所示填写图中(1)~(7)区域名称。
图2-1 集团总部网络拓扑图
【问题2】(6分)
云数据中心是指以客户为中心、以服务为导向,基于高效、低能耗的IT与网络基础架构,利用云计算技术,自动化地按需提供各类云计算服务的新一代数据中心。云数据中心是传统数据中心的升级,是新一代数据中心的演进方向。
(1)请简述云数据中心的特点。
(2)云计算的关键技术有虚拟化技术、分布式计算技术、安全与隐私保护技术等,请简要说明云数据中心在IT基础设施虚拟化技术方面主要包括哪些技术。
【问题3】(6分)
为增强该集团业务应用系统、重要数据的可用性,抵御灾难发生时带来的风险,该集团按照国家要求需要建设两地三中心的容灾备份方案。两地三中心是指主数据中心、同城灾备及异地灾备中心。两地三中心机房为业务应用系统建设提供基础配套设施。请画图说明两地三中心的数据中心架构采用的网络互联拓扑方案,并给出理由。
【问题4】(6分)
该集团数据存储量巨大,生产数据、安全数据以及测试数据等需要进行频繁的快速读写,为保障这种应用的需求,该集团希望在数据中心的数据存储方式上既要保证存储的可扩展性还要保证数据的快速访问,同时对薪服务器的部署也要考虑快速部署。
数据中心中数据采用的存储方式主要有DAS、NAS、SAN三种,请分别描述三种存储方式的原理,并根据集团要求设计在该集团的数据中心建设中应采用的存储方式,叙述采用这种方式的优点。
答案与解析
- 试题难度:较难
- 知识点:案例分析>网络存储
- 试题答案:
【问题1】(7分)
(1):广域网接入区
(2):核心业务区
(3):互联网接入区
(4):办公区
(5):运维管理区
(6):外联业务区
(7):核心交换区
【问题2】(6分)
(1)资源池化、按需供给、面向服务、高效智能、绿色低碳。
(2)虚拟化技术包括服务器虚拟化、存储虚拟化、网络虚拟化、应用程序虚拟化等等。
【问题3】(6分)
典型的建设方案组网图为:原因如下:
1、同城双中心的应用切换:采用Symantec Veritas的VCS(Veritas Cluster Server)集群软件来实现,并通过组件GCO(Global Cluster Option)在本地和远程的集群之间进行状态监测。
2、在网络层,同城双中心之间采用WDM(波分复用)技术连接,保证双中心之间较大的带宽,以响应实时的业务数据需求,同城异地之间采用专网或IP广域网(如:SDH/MSTP)即可实现,以节约成本。
3、同城双中心的数据采用同步复制,在同城灾备中心建立一个在线更新的数据副本。当有数据下发到生产中心阵列时,阵列间的同步复制都会同时将数据复制一份到同城灾备中心。
4、同城灾备中心与异地灾备中心之间采用异步复制方式,定期将数据进行复制备份,异步复制支持增量复制方式,可以节省数据备份的带宽占用,缩短数据的备份时间。【问题4】(6分)1、直连方式存储(Direct Attached Storage-DAS)
存储设备是通过电缆(通常是SCSI接口电缆)直接到服务器。I/O请求直接发送到存储设备。这种方式是连接单独的或两台小型集群的服务器。
特点:是初始费用可能比较低;容量的再分配困难;没有集中管理解决方案;整体的管理成本较高。
2、网络连接存储(Network Attached Storage - NAS)
NAS设备通常是集成了处理器和磁盘/磁盘柜,类似于文件服务器。连接到TCP/IP网络上(可以通过LAN或WAN),通过文件存取协议(例如NFS,CIFS等)存取数据。
特点:NAS系统有较低的成本,易于实现文件共享;不适合于不采用文件系统进行存储管理的系统,如某些数据库。
3、存储区域网络(Storage Area Network - SAN)
存储设备组成单独的网络,大多利用光纤连接,采用光纤通道协议(Fiber Channel,简称FC)。服务器和存储设备间可以任意连接,I/O请求也是直接发送到存储设备。
存储区域网络的特点:
服务器和存储设备之间更远的距离(光纤通道网络10公里相比较DAS的SCSI的25米)。
高可靠性及高性能。
多个服务器和存储设备之间可以任意连接。
集中的存储设备替代多个独立的存储设备,支持存储容量共享。
通过相应的软件使得SAN上的存储设备表现为一个整体,因此有很高的扩展性。
可以通过软件集中管理和控制SAN上的存储设备,提供数据共享。
由于SAN通常是基于光纤通道的解决方案,需要专用的光纤通道交换机和管理软件,以SAN的初始费用比DAS和NAS高。
该集团的数据中心建设中应采用的SAN方式进行数据存储。 - 试题解析:本题考查企业网络规划设计、云数据中心相关技术等内容。
【问题1】
集团数据中心网络按功能将划分为七大区:核心交换区、核心业务区、办公区、互联网接入区、运维管理区、广域网接入区、外联业务区。其中各部分功能大致如下:(1)核心交换区实现网络分区之间的通信流量路由、交换功能,是数据中心网络最 核心的部分。核心交换区需要具备高可用、高性能架构,以来确保核心网络高可用及高效运行。
(7)外联业务区即企业边界网区域,具有如下特点:与外网互联,风险较大;与内网相连进行数据通信。
(2) 核心业务区将提供核心业务应用系统的网络接入功能。核心业务区域集中了核心业务应用服务器和核心业务应用数据库服务器,为内部用户、内部业务人员提供应用 服务的核心区域,需要采用较高可用性和更全面的安全防护措施。
(3)办公区包括两部分功能: 一部分是办公用户网络接入提供内部员工办公电脑、移动等设备网络接入功能,满足企业内部员工访问内部业务应用系统:另一部分是用户 互联网访问、办公邮件处理、内部文件传输等功能。
(4)互联网接入区提供互联网业务的接入访问网络,为保证网络安全需要部署外网防火墙,用于保护业务应用前端应用:部署内网防火墙,用于保护集团内部网络的安全:采用多条冗余的互联网链路,提高网络接入的可靠性 。
(5)运维管理区提供运维管理系统(监控、信息化服务 管理等)网络互联功能,运维管理系统需与公司范围内的应用、基础设施通信,安全性要求较高。
(6)广域网接入区用于连接广域网络连接设备。
根据网络拓扑结构和各大区域网络功能划分可方便的区分各区域名称。
【问题2】
云计算是一种将池化的集群计算能力通过互联网向内外部用户提供按需服务的互联网新业务,是传统领域和通信领域技术进步、需求推动和商业模式变化共同促进的结果,具有以网络为中心、以服务为提供方式、高扩展高可靠性、资源池化与透明化等4个特点,云计算的出现,使IT资源具备了可运营的条件。数据中心是云计算生态系统中的重要一环,在云计算模式下,信息的存储、处理、传递等功能均由网络侧完成,实际上由数据中心承担。由于传统数据中心存在资源利用率低、自动化程度低、能耗过高等一系列问题,无法有效承载云计算业务,因此基于云计算技术的新一代数据中心应运而生。
云数据中心是指以客户为中心、以服务为导向,基于高效、低能耗的 IT 与网络基础架构,利用云计算技术,自动化地按需提供各类云计算服务的新一代数据中心。云数据中心是传统数据中心的升级,是新一代数据中心的演进方向。云数据中心具有以下5个特点。(1)资源池化云数据中心内的 IT 资源和网络资源将构成统一的资源池,实现物理资源与逻辑资源的去耦合,用户仅需对逻辑资源进行相关操作而无需关注底层实际物理设备。
(2)服务器虚拟化
(2)高效智能基于虚拟化、分布式计算等技术,利用低成本的集群设备实现高效廉价的信息承载、存储与处理,同时通过管理平台实现自动化的资源监控、部署与调度以及业务生命周期的智能管理。
(3)面向服务整体架构以服务为导向,通过松耦合的方式实现多服务的综合承载与提供,云数据中心由提供资源变成提供服务,用户通过服务目录选择相关的服务,对底层实际资源透明。
(4)按需供给底层基础架构在资源池化的基础上根据实际需求实现资源的动态伸缩,并提供完备的、细颗粒的计费功能,云数据中心还将根据上层应用的发展趋势,实现对底层物理设备的智能容量规划。
(5)绿色低碳通过模块化的设计以及虚拟化等绿色节能技术,降低云数据中心的设备投入成本以及运营维护成本,实现低PUE值的绿色低碳运营。 云计算的关键技术有虚拟化技术、分布式计算技术、安全与隐私保护技术等。 虚拟化技术是基础设施资源池建设的重要部分,虚拟化技术从软、硬件资源中抽象出来,提供不同颗粒度,功能相同的虚拟资源。虚拟化技术将增加软、硬件的复用,提升基础设施资源的利用率、灵活性及安全性、可用性。
基础设施虚拟化技术包括网络虚拟化、服务器虚拟化及存储虚拟化。
(1)网络虚拟化
相对于传统的物理网络资源,网络虚拟化能够带来的优点包括:虚拟网络资源带来了更好的灵活性及可扩展性;在不改变物理网络拓扑情况下,实现网络灵活配置满足信息系统的快速部署需求;通过共享的模式,最大限度地利用现有资源,降低成本。
常见的网络虚拟化包括:虚拟交换机、网络核心虚拟交换、虚拟防火墙等。
虚拟交换机包括基于软件或硬件设备虚拟交换机,单台交换机虚拟成多台虚拟交换机,实现虚拟服务器灵活的网络接入。主要提供虚拟服务器网络连接;实现对虚拟服务器网络配置策略的统一管理;实现物理刀片服务器的配置属性信息(网络及存储连接等) 的集中管理,服务器的配置属性文件应用可加速失败服务器更换;实现虚拟服务器网络配置信息跨数据中心迁移。
网络核心虚拟交换技术去除了由生成树协议带来的网络资源空闲的状态,将两台交换机虚拟成为一台交换机,并作单一设备进行管理和使用,在网络中表现为一个网元节点:网络核心虚拟交换将简化网络架构、简化管理及配置,进一步增强冗余可靠性。实现负载均衡,提高网络设备性能。
虚拟防火墙将一台物理防火墙虚拟成若干相互独立、功能相同的虚拟防火墙。提供网络流量安全隔离功能,实现安全的虚拟网络环境。
服务器虚拟化的主要优点包括:提高服务器资源利用率,可减少能源消耗,降低基础设施总成本;提高运行在虚拟机上的应用系统的可用性;提高应用系统的安全性,实现快速备份及恢复。当前主流的服务器虚拟化技术包括:X86服务器虚拟化及Unix服务器虚拟化。
Unix 架构虚拟化技术包括分区技术及软件虚拟化技术,如下表所示。Unix服务器架构的分区技术使操作系统能够直接访问到底层的物理资源,硬件分区技术支持的资源颗粒度较粗,例如最小单位是l颗 CPU;软件虚拟化技术的资源颗粒度较细,资源划分颗粒度较分区技术更小,资源调整更加灵活,例如最小单位是0.1颗 CPU 。
Unix 服务器架构虚拟化使用:测试、开发环境对资源的要求灵活,需要使用多种的虚拟化技术,如硬件、逻辑分区、软件虚拟化;生产环境采用硬件分区或逻辑分区技术。
X86服务器虚拟化技术包括基于硬件的虚拟化技术和基于软件两种的虚拟化技术, 如下表所示。
X86 服务器虚拟化使用:X86 服务器虚拟化技术已比较成熟,并且硬件虚拟化的技术已成为主流;开发、测试环境选用不同厂商基于硬件的 X86 服务器虚拟化技术;生产环境采用基于硬件技术的 X86 服务器虚拟化技术,并边用成熟的、对 Windows 和 Linux 操作系统兼容的虚拟化技术,如 Microsoft Hyper-V 、VMware 技术。
(3)存储虚拟化存储虚拟化的优点包括:存储空间的统一分配,提高存储资源利用率;具有优异的灵活性及可扩展性;提供自动精简配置;自动数据迁移。 存储虚拟化主流技术包括基于主机的存储虚拟化,存储网络的虚拟化,以及基于存储设备的虚拟化,如下表所示。
【问题3】
为增强业务应用系统、重要数据的可用性,抵御灾难发生时带来的风险,集团需要建设两地三中心。两地三中心是指主数据中心、同城灾备及异地灾备中心。两地三中心机房为业务应用系统建设提供基础配套设施。
如果只有两个站点就不多说了,直接在两个站点的核心或汇聚设备之间拉两根光纤就可以了,也用不到什么特别的技术。唯一需要注意的是在两个站点之间的链路上做些报文控制,对广播和 STP 等报文限制一下发送速率和发送范围,避免一个站点的广播风暴或拓扑收敛影响到其他站点的转发。
当站点为两个以上时,理论上有两种结构可用:
星型结构:专门找几台设备作为交换核心,所有站点都通过光纤直连到此组交换核心设备上,缺点是可靠性较低,核心不工作就都连不通了,而且交换核心放置的位置也不易规划。这种结构不是值得推荐的模型。
环型结构:推荐模型,尤其在云计算这种多站点等同地位互联的大型数据中心组网下,环型结构既省设备省钱,又能提供故障保护,以后肯定会成为建设趋势。
从技术上讲星型拓扑不需要额外的二层互联技术,只部署一些报文过滤即可,可以通过链路捆绑增强站点到核心间链路故障保护和链路带宽扩展。而环型拓扑必须增加专 门的协议用于防止环路风暴,同样可以部署链路捆绑以增加带宽冗余。
环型拓扑的公共标准控制协议主要是STP和 RPR(Resilient Packet Ring IEEE802.17) ,STP 的缺点前面说了很多, RPR 更适合数据中心多站点连接的环型拓扑。 另外很多厂商开发了私有协议用于环路拓扑的控制,如EAPS (Ethemet Automatic Protection Switching ,IETF RFC 3619 ,Extreme Networks) ,RRPP CRapid Ring Protection Protocol ,H3C) ,MRP ( Metro Ring Protocol ,Foundry Networks) ,MMRP (Mu1ti Mater Ring Procol ,Hitachi Cable) ,ERPC Ethemet Ring Protection ,Siemens AG)等。未来几年的云计算数据中心建设,除非在所有站点采用相同厂家的设备还有可能使用一些私有协议组环(可能性比较低),前面提到预测会以站点为单位选择不同厂家进行建设,这时就需要公共标准用于多站点互联了。在光纤直连方式下成熟技术中最好的选择就是 RPR 。根据以上分析,两地三中心的网络互联方案可考虑采用环型结构,具体拓扑结构见参考答案。【问题 4 】存储技术经历了从基于服务器的存储 (DAS) ,基于磁盘阵列的存储(SCSI)发展到基于网络的存储模式 (NAS 及 SAN) ,在数据存储容量和读写速度上有较大幅度的提高,每秒传输的兆或者吉字节数和每秒完成的输入/输出量 (IOPS)是存储设备的性能的两种主要参数,目前的网络存储技术大致发展为三类:DAS 、NAS 以及 SAN。(1)DASDAS是一种将存储介质直接安装在服务器上或者安装在服务器外的存储方式。例 如,将存储介质连接到服务器的外部 SCSI 通道上也可以认为是一种直连存储方式。DAS己经存在了很长时间,并且在很多情况下仍然是一种不错的存储选择。由于这种存储方式在磁盘系统和服务器之间具有很快的传输速率,在要求快速磁盘访问的情况下, DAS 仍然是一种理想的选择。更进一步地,在 DAS 环境中,运转大多数的应用程序都不会存在问题。对于那些对成本非常敏感的企业来说,在很长一段时间内, DAS 将仍然是一种比较便宜的存储机制。当然,这是在只考虑硬件物理介质成本的情况下才有这种结论。如果与其他的技术进行一个全面的比较——考虑到管理开销和存储效率等方面的因素的话, DAS将不再占有绝对的优势。对于那些非常小的不再需要其他存储介质的环境来说,这也是一种理想的选择。(2)NASNAS 存储设备是以网络为中心面向文件服务的结构方式,NAS 存贮设备是单独作为一个文件服务器直接连接在网络上的,应用和数据存储部分不在同一服务器上,网络中设备的数据全部存贮在 NAS 存贮设备中,应用服务器通过标准 LAN 的接口与作为网络文件系统的数据服务器连接。 NAS 存储系统能将数据从网络中独立出来,降低了服务器的负载,从而较好提高了整个网络的性能。在以下两种情形中, NAS 设备是非常合适的:首要的是网页服务,其次是常用文件的存储。这两种应用都需要大量的磁盘空间,但是很少要求直接对服务器进行数据访问。 相反,通过这两种类型的存储访问的大多数数据都是通过网络来实现的。NAS 设备适合于网页服务和文件服务,而不适合于数据库存储和 Exchange存储。这与所谓的文件级数据访问和块级数据访问有关系。在文件级访问系统中,数据的访问是通过文件名字来实现的,因为文件名字是带有一定含义的。而在块级访问系统中,数据的访问是通过数据块的地址来实现的,这个地址是特定数据存放的位置。在一个客户机/服务器的环境中,如果需要从文件服务器读取一个文件时,要指定文件,服务器完成数据块的读取工作,并且将得到的数据返回就可以了。数据库存储和 Exchange 存储在这 种方式的通信过程中存在着很多问题。所以并不适合存储于 NAS 设备中。(3)SANSAN 是一种以光纤通道 (FiberChannel ,FC) 实现服务器和存储设备之间通讯的网 络结构,其中的服务器和存储系统通过高带宽 FC 交换机相连,各应用工作站通过局域网访问服务器,各存储设备之间交换数据时可以不通过服务器,能有效减少大流量数据 传输时发生的阻塞和冲突,较大程度减轻服务器承受的压力,具有很强的灵活性和伸缩 性。作为存储解决方案中的重要一员, SAN 是最昂贵的存储选项,同时也是最复杂的选项。然而,虽然 SAN 在初始阶段需要投入大量的费用,但是 SAN 却可以提供其他解决方案所不能提供的能力,并且可以在合适的情形下可以为公司节约一定的资金。SAN解决方案通常会采取以下两种形式:光纤信道以及 iSCSI或者基于IP的SAN。光纤信道是 SAN 解决方案中最熟悉的类型,但是,基于iSCSI的SAN解决方案开始大量出现在市场上,与光纤通道技术相比较而言,这种技术具有良好的性能,而且价格低廉。SAN真正的综合了DAS和 NAS两种存储解决方案的优势。例如,在一个很好的SAN解决方案实现中,可以得到一个完全冗余的存储网络,这个存储网络具有不同寻常的扩展性,确切地说,可以得到只有 NAS存储解决方案才能得到的几百太字节的存储空间,但是还可以得到块级数据访问功能,而这些功能只能在DAS解决方案中才能得 到。对于数据访问来说,还可以得到一个合理的速度,对于那些要求大量磁盘访问的操作来说, SAN 显得具有更好的性能。利用 SAN 解决方案,还可以实现存储的集中管理,从而能够充分利用那些处于空闲状态的空间。更高优势的一点是,在某些实现中,甚至可以将服务器配置为没有内部存储空间的服务器,要求所有的系统都直接从SAN (只能在光纤通道模式下实现)引导。这也是一种即插即用技术。SAN 在需要容量扩容时只需要将新的 SAN 存储设备连接并入网络并进行简单的配置,即可实现在线扩容;并且 SAN 设备 RAID 组中同时损坏两块硬盘的情况下仍然可以保证数据完整不丢失,而且磁盘阵列无需重启即可更换损坏的硬盘,实现在线的数据容灾及各份性能。因此具有简易扩容及高效容错性能。相比较 SAN 的优势和缺陷,并结合集团数据中心的建设需求,可以说采用SAN的存储架构对于大型国有集团是比较合理的。
第 3 题
阅读以下关于一卡通信息化建设平台的叙述,回答问题1至问题4。
某部队院校早期的一卡通建设方案主要为保障校内师生的图书、食宿、医疗等服务,系统包括了一卡通专网建设、一卡通平台建设、一卡通数据中心以及校园门禁与校园网视频监控等内容。行政办公、家属区、食堂、学生宿舍、开水房等营业网点通过汇聚交换机接入核心交换机,服务器及存储设备直接连接核心交换机,网络拓扑结构如图3-1所示。
图3-1 部队院校网络拓扑图
由于部队的医疗服务具有较高的知名度,经研究决定,扩大一卡通营业范围以方便社会人群的就医,具体安全要求如下:
1.新增外部应用网点和分部办事处,通过安全设备来进行远程接入,要求能提供主动、实时的防护,对网络中的数据流进行逐字节的检查,对攻击性的流量进行自动拦截。
2.由于互联网的引入,需要相应的安全措施来保障部队院校行政办公的安全。
3.需要提供安全审计功能,来识别、存储安全相关行为。
【问题1】(8分)
依据一卡通业务扩大的需求及安全要求,设计解决方案,画出修改后的网络拓扑结构,并标注采用的硬件设备及相关安全技术。
【问题2】(6分)
传统的防火墙存在只能对网络层和传输层进行检查,无法阻止内部人员的攻击等缺点。IDS和IPS技术却能在应用层对数据流进行分析,并在网络遭受攻击之前进行报警和响应,针对部署的方式和实现的原理对IDS和IPS进行比较。
【问题3】(6分)
随着加密、隧道、认证等技术的发展,在Internet上的位于不同地方的两个或多个企业内部网之间建立一条安全的通讯线路,就可以为企业各部门提供安全的网络互联服务。针对该单位网络情况,请给出至少两种新增外部应用网点与公司核心交换机远程接入方案。
【问题4】(5分)
安全审计能够检测和制止对安全系统的入侵、发现计算机的滥用情况、为系统管理员提供系统运行的日志,从而能发现系统入侵行为和潜在的漏洞和对已经发生的系统攻击行为提供有效的追纠证据。请叙述安全审计的工作流程。
答案与解析
- 试题难度:较难
- 知识点:案例分析>网络安全方案
- 试题答案:
【问题1】(8分)
改造后的拓扑:注:
(1)外部网络要求外部网点和分部办事处能提供主动、实时的防护,对网络中的数据流进行安全检查,对攻击性的数据流进行自动拦截,合适的技术为IDS、防火墙。
(2)行政办公部门需要保证安全,需采用网闸进行连接。
(3)安全审计需要接在核心交换机上,进行审计分析。【问题2】(6分)
1、部署方式不同
IDS以并联的方式部署,在交换式网络中的位置一般选择为:尽可能靠近攻击源、尽可能靠近受保护资源。这些位置通常是:服务器区域的交换机上、Internet接入路由器之后的第一台交换机上、重点保护网段的局域网交换机上。
IPS部署以串接的方式部署于主干线路上,办公网中,至少需要在以下区域部署IPS,即办公网与外部网络的连接部位(入口/出口);重要服务器集群前端;办公网内部接入层。
2、工作目标不同
入侵检测系统IDS的核心价值在于通过对全网信息的收集、分析,了解信息系统的安全状况,进而指导信息系统安全建设目标以及安全策略的确立和调整,而入侵防御系统IPS的核心价值在于对数据的深度分析及安全策略的实施—对黑客行为的阻击
【问题3】(6分)
(1)可采用IPSEC VPN、L2TP VPN、MPLS VPN等方式实现远程接入。(2)端到端的加密技术,通过相关的加密算法,保障传输数据的安全性。
【问题4】(5分)
安全审计工作流程是:收集来自内核和核外的事件,根据相应的审计条件判断是否是审计事件。对审计事件的内容按日志的模式记录到审计日志中。当审计事件满足报警阈值时,则向审计入员发送报警信息并记录其内容。当事件在一定时间内连续发生,满足逐出系统阈值,则将引起该事件的用户逐出系统并记录其内容。 - 试题解析:
这是一道网络安全方面的问题。涉及网络安全拓扑、IDS/IPS、VPN以及安全审计等方面的知识。
【问题1】
根据题干要求:
1、新增外部应用网点和分部办事处,通过安全设备来进行远程接入,要求能提供主动、实时的防护,对网络中的数据流进行逐字节的检查,对攻击性的流量进行自动拦截。
可通过防火墙、路由器或专用的VPN设备和分支机构通过IPSEC VPN进行安全的远程连接,可保护数据的机密性、完整性和不可否认性。要求主动、实时的防护,并且对数据流进行逐字节检查,可采用IPS(入侵检测系统),串接于主干线路上,对数据流进行主动、实时的逐字节检查,并且可对攻击性流量进行自动拦截。
2、由于互联网的引入,需要相应的安全措施来保障部队院校行政办公的安全。
在行政办公网络交换上安装IDS(入侵防御系统),针对于异常流量进行检测,并可实现和防火墙联动。
3、需要提供安全审计功能,来识别、存储安全相关行为。
在汇聚交换机或核心交换机上部署审计系统,针对所有进出流量进行审计,便于事后跟踪取证。
改造后的拓扑见参考答案。
【问题2】
1、入侵检测系统(IDS)
IDS是英文“Intrusion Detection Systems”的缩写,中文意思是“入侵检测系统”。专业上讲就是依照一定的安全策略,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。
我们做一个比喻——假如防火墙是一幢大厦的门锁,那么IDS就是这幢大厦里的监视系统。一旦小偷进入了大厦,或内部人员有越界行为,只有实时监视系统才能发现情况并发出警告。
与防火墙不同的是,IDS入侵检测系统是一个旁路监听设备,没有也不需要跨接在任何链路上,无须网络流量流经它便可以工作。因此,对IDS的部署的唯一要求是:IDS应当挂接在所有所关注的流量都必须流经的链路上。在这里,“所关注流量”指的是来自高危网络区域的访问流量和需要进行统计、监视的网络报文。
IDS在交换式网络中的位置一般选择为:尽可能靠近攻击源、尽可能靠近受保护资源。
这些位置通常是:
服务器区域的交换机上;
Internet接入路由器之后的第一台交换机上;
重点保护网段的局域网交换机上。
2、入侵防御系统(IPS)
IPS是英文“Intrusion Prevention System”的缩写,中文意思是入侵防御系统。
随着网络攻击技术的不断提高和网络安全漏洞的不断发现,传统防火墙技术加传统IDS的技术,已经无法应对一些安全威胁。在这种情况下,IPS技术应运而生,IPS技术可以深度感知并检测流经的数据流量,对恶意报文进行丢弃以阻断攻击,对滥用报文进行限流以保护网络带宽资源。
对于部署在数据转发路径上的IPS,可以根据预先设定的安全策略,对流经的每个报文进行深度检测(协议分析跟踪、特征匹配、流量统计分析、事件关联分析等),如果一旦发现隐藏于其中网络攻击,可以根据该攻击的威胁级别立即采取抵御措施,这些措施包括(按照处理力度):向管理中心告警;丢弃该报文;切断此次应用会话;切断此次TCP连接。
进行了以上分析以后,我们可以得出结论,办公网中,至少需要在以下区域部署IPS,即办公网与外部网络的连接部位(入口/出口);重要服务器集群前端;办公网内部接入层。至于其他区域,可以根据实际情况与重要程度,酌情部署,在本案例中突出是军事行政办公,考虑其安全性更高,可以部署网闸实现物理隔离。。
入侵检测系统IDS的核心价值在于通过对全网信息的收集、分析,了解信息系统的安全状况,进而指导信息系统安全建设目标以及安全策略的确立和调整,而入侵防御系统IPS的核心价值在于对数据的深度分析及安全策略的实施—对黑客行为的阻击;入侵检测系统需要部署在网络内部,监控范围可以覆盖整个子网,包括来自外部的数据以及内部终端之间传输的数据,入侵防御系统则必须部署在网络边界,抵御来自外部的入侵,对内部攻击行为无能为力。
【问题3】
根据VPN所使用的隧道协议类型,VPN隧道可以分为多种类型,主要包括LSP、GRE隧道、IPSec隧道和L2TP。分别如下:
LSP:
在MPLS网络中,边缘路由器对报文打上MPLS标签,网络内部路由器根据标签对报文进行转发。标签报文所经过的路径称为标签交换路径LSP(Label Switched Path)。RFC2547中使用的隧道类型为LSP。如果核心网只提供纯IP功能,而网络边缘的PE路由器具备MPLS功能,可以通过GRE或IPSec替代LSP,在核心网提供三层或二层VPN解决方案。
GRE隧道:
GRE隧道使用GRE协议封装原始数据报文,基于公共IP网络实现数据的透明传输。GRE隧道不能配置二层信息,但可以配置IP地址。利用为隧道指定的实际物理接口完成转发。
IPSec隧道:
IPSec是IETF制定的一个框架协议,用于保证在Internet上传送数据的安全保密性。IPSec提供传输模式和隧道模式两种操作模式,隧道模式的封装过程为:
首先为需要通信的两个私有网络地址定义一个IP流,流的建立可以使用IP层以上某个协议的端口;
定义IPSec隧道的源和目的地址信息,这个源和目的地址是公网信息;
配置缺省路由,下一跳指向IPSec隧道源地址所在链路的对端地址。
在进行VPN通信时,所有去往对端VPN的报文在出接口进行IPSec封装,到对端解封装,然后再进行转发。
L2TP:
L2TPv2支持PPP方式的二层封装,通过UDP承载。L2TPv2应用于VPDN,只要实现L2TP就可以完成VPDN的功能。L2TP隧道支持拥塞控制和隧道端点验证。
各种类型隧道也可以混合使用,如建立GRE隧道时使用IPSec安全机制可以提高数据的安全性;在L2TP隧道两端建立IPSec安全机制可以保证VPDN的安全性。
【问题4】分析
安全审计工作流程是:收集来自内核和核外的事件,根据相应的审计条件判断是否是审计事件。对审计事件的内容按日志的模式记录到审计日志中。当审计事件满足报警阈值时,则向审计人员发送报警信息并记录其内容。当事件在一定时间内连续发生,满足逐出系统阈值,则将引起该事件的用户逐出系统并记录其内容。
安全审计过程如下:
1、记录和搜集有关的审计信息,产生审计数据记录。
2、对数据记录进行安全违反分析,以检查安全违反与安全入侵原因。
3、对其分析产生相应的分析报表。
4、评估系统安全,并提出改进意见。