201311网规下午真题
第 1 题
阅读以下关于某园区企业网络的叙述,回答问题1至问题4。
【说明】
企业网络拓扑结构如图1-1所示。
图1-1
【问题1】(5分)
企业网络的可用性和可靠性是至关重要的,经常会出现因网络设备、链路损坏等导致整个网络瘫痪的现象。为了解决这个问题,需要在已有的链路基础上再增加一条备用链路,这称为网络冗余。
(1)对于企业来说,直接增加主干网络链路带宽的方法有哪些?并请分析各种方法的优缺点。(3分)
(2)一般常用的网络冗余技术可以分为哪两种。(2分)
【问题2】(10分)
(1)网络冗余是当前网络为了提高可用性、稳定性必不可少的技术,在本企业网络中要求使用双核心交换机互做备份实现两种网络冗余技术,同时出口路由器因为负载过重也需要进行网络结构调整优化,请画图说明在不增加网络设备的情况下完成企业主干网络结构调优。(4分)
(2)在两台核心交换机上配置VRRP冗余,以下为部分配置命令。根据需求,完成(或解释)核心交换机Switch-A的部分配置命令(6分)
Switch-A:
Switch-A(config)#track 100 interface F0/1 line-protocol
// ①
Switch-A(config-track)#exit
Switch-A(config)int VLAN 1
Switch-A(config-if)vrrp 1 ip 192.168.1.254
//在VLAN1中配置VRRP组1,并指定虚拟路由器的IP地址为192.168.1.254
Switch-A(config-if)# ②
//开启主路由器身份抢占功能
Switch-A(config-if)vrrp 1 authentication md5 key-string Cisco
//配置VRRP协议加密认证
Switch-A(config-if)#VRRP 1 track 100 decrement 30
// ③
【问题3】(6分)
随着企业网络的广泛应用,用户对于移动接入企业网的需求不断增加,无线网络作为有线网络的有效补充,凭借着投资少、建设周期短、使用方便灵活等特点越来越受到企业的重视,近年来企业也逐步加大无线网络的建设力度。
(1)构建企业无线网络如何保证有效覆盖区域并尽可能减少死角?(2分)
(2)IEEE认定的四种无线协议标准是什么?(2分)
(3)简单介绍三种无线安全的加密方式。(2分)
【问题4】(4分)
随着企业关键网络应用业务的发展,在企业网络中负载均衡的应用需求也越来越大。
(1)负载均衡技术是什么?负载均衡会根据网络的不同层次(网络七层)来划分。其中第二层的负载均衡是什么技术?(2分)
(2)服务器集群技术和服务器负载均衡技术的区别是什么?(2分)
答案与解析
- 试题难度:较难
- 知识点:案例分析>企业网络规划
- 试题答案:
【问题1】(5分)
(1)增加链路带宽一般有两种方法,一种是直接升级到高速率模块,如添加千兆或万兆模块进行升级。另一种方法是通过链路聚合的方法,将多条物理链路捆绑成一条逻辑链路,实现带宽扩容。这两种方法各有优劣,升级模块方式成本较高,但不会占用已有的端口数量。而链路聚合方式不需要增加额外成本,但会占用现有端口数量。
(2)一般网络冗余技术可以包括二层冗余链路、三层网关冗余设备。
【问题2】(10分)
(1)主干网络调整如下图:核心交换之间通过链路捆绑连接;增加汇聚交换机到核心交换机的链路。核心交换机部署STP协议和VRRP协议,把服务器群接入至核心交换机A或B。(2)
①针对接口f0/1配置一个track,编号为100。
② vrrp 1 preempt
③在vrrp组1中应用track100,当F0/1端口down掉时,优先级降低30。
【问题3】(6分)
(1)构建企业无线网络如何保证有效覆盖区域并尽可能减少死角的方法有:
1)改变无线AP的位置
2)改变无线频段或信道
3)升级路由器固件
4)升级无线适配器固件
5)架设第二台AP进行无线中继
6)升级天线
7)部署最新的无线AP、适配器
8)向厂商定制专有无线方案
(2)IEEE认定的无线协议主要有:IEEE802.15,IEEE802.11,IEEE802.16,IEEE802.20。
(3)无线加密三种选择:WEP、WPA和WPA2
WEP(Wired Equivalent Privacy,有线等效保密)。为RC4的RSA数据加密技术,常见的是64位和128位WEP加密。
WPA(WiFi Protected Access,WiFi网络安全存取)。使用了全新的TKIP(临时密钥完整性)协议。WPA有两种认证模式,一种是使用802.1x协议进行认证(面向企业用户);一种是称为预先共享密钥PSK模式(面向个人用户)。
WPA2,即WPA加密的升级版。它采用CCMP(计数器模式密码块链消息完整码协议)认证AES加密。与WPA加密相同,WPA2同样有两种认证模式可供选择。
【问题4】(4分)
(1)负载均衡(又称为负载分担),英文名称为Load Balance,其意思就是将负载(工作任务)进行平衡、分摊到多个操作单元上进行执行,例如Web服务器、FTP服务器、企业关键应用服务器和其他关键任务服务器等,从而共同完成工作任务。链路聚合技术(第二层负载均衡)将多条物理链路当作一条单一的聚合逻辑链路使用。
(2)集群是一组独立的计算机系统构成一个松耦合的多处理器系统,它们之间通过网络实现进程间的通信。应用程序可以通过网络共享内存进行消息传送,实现分布式计算机。集群系统主要解决高可靠性(HA)和高性能计算(HP)。
负载均衡了一种廉价有效的方法扩展服务器带宽和增加吞吐量,加强网络数据处理能力,提高网络的灵活性和可用性。 - 试题解析:
这是一道关于网络可靠性和无线方面的题目。
【问题1】分析
(1)增加链路带宽一般有两种方法,一种是直接升级到高速率模块,如添加千兆或万兆模块进行升级。另一种方法是通过链路聚合的方法,将多条物理链路捆绑成一条逻辑链路,实现带宽扩容。这两种方法各有优劣,升级模块方式成本较高,但不会占用已有的端口数量。而链路聚合方式不需要增加额外成本,而且能实现数据的负载均衡,缺点是会占用现有端口数量。
(2)一般网络冗余技术可以包括冗余链路、冗余设备以及冗余模块等。
冗余链路是指在局域网或广域网的设计中,针对关键的通信线路,通过提供多条线路,避免单条线路失效而导致网络失效。冗余链路的使用方式有人工切换方式、热备方式、负载均衡方式等。
冗余设备是指在计算机网络中,对于关键设备,提供两个以上,并处于热备或负载均衡状态,以避免由于设备失效而导致的网络整体失效。
冗余模块,例如核心多层交换机上的冗余路由引擎,网络设备和服务器设备上的冗余电源与风扇,服务器设备上的镜像内存,存储设备的热备硬盘等。
【问题2】分析
(1)主干网络调整:核心交换之间通过链路捆绑连接;增加汇聚交换机到核心交换机的链路。核心交换机部署STP协议和VRRP协议,把服务器群接入至核心交换机A或B。(2)
Switch-A:
Switch-A(config)#track 100 interface F0/1 line-protocol
//针对接口f0/1配置一个track,编号为100。
Switch-A(config-track)#exit
Switch-A(config)int VLAN 1
Switch-A(config-if)vrrp 1 ip 192.168.1.254
//在VLAN1中配置VRRP组1,并指定虚拟路由器的IP地址为192.168.1.254
Switch-A(config-if)# vrrp 1 preempt
//开启主路由器身份抢占功能
Switch-A(config-if)vrrp 1 authentication md5 key-string Cisco
//配置VRRP协议加密认证
Switch-A(config-if)#VRRP 1 track 100 decrement 30
// 在vrrp组1中应用track100,当F0/1端口down掉时,优先级降低30。
【问题3】分析
(1)构建企业无线网络如何保证有效覆盖区域并尽可能减少死角的方法有:
1)改变无线路由器的位置
因为不论何种品牌的无线路由器,其有效覆盖范围是有限的,从几十米到上百米不等。在这个范围以内,Wi-Fi表现是较为快速稳定的。可如果超出这个范围的话,无线信号便会开始衰减,即便有再好的电脑,再强的无线终端,那么通过无线来看网络视频,也会产生较大延迟。建议大家摆放无线路由器时,尽可能地避开阻碍性最强的上述物体,减少死角。
2)改变无线频段或信道
现在支持2.4GHz和5GHz双频段的无线产品逐渐普及,鉴于应用在5GHz频段的家用级无线设备并不丰富,用户可以将路由器切换到5GHz频段进行使用,Wi-Fi速率便会有明显提升。
而对于一般的2.4GHz单频段无线路由器来说,提升Wi-Fi的手段则可以采用改变路由无线信道的方法进行。一般单频无线路由器将频段分为11或13个信道,如果不加调整的话,路由器会使用它的默认信道,那么增加了使用相同信道的几率,令无线信号相互冲突、干扰,降低无线传输质量。
3)升级路由器固件
固件是一种嵌入在硬件当中的控制程序,对于路由器的性能有重要影响。更新路由器的固件是无线用户常常忽视的一步,就像软件必须定时更新一样,无线路由器也需要常常检查更新来修补Bug,并提升设备的运作效能。例如,某品牌的路由器进行固件更新后,无线传输速率提升了近百兆,Wi-Fi提升明显。
4)升级无线适配器固件
无线适配器是使电脑或移动终端可以利用无线方式来上网的一个“接收”(实际也支持发射)装置,与其配套的则是具有无线发射功能是无线路由器或者无线AP。无线路由器和无线适配器必须搭配使用,才能连接无线网络上网。如果无线适配器性能较弱,就会对无线路由器的传输产生瓶颈,无法发挥出其最好性能。
5)架设第二台路由进行无线中继
使用无线中继来进行Wi-Fi拓展,你需要拥有第二台无线路由器,这是个简单快速的无线拓展方法。无线中继模式可以进行一点对多点的桥接,在延长了无线信号传输距离的同时,使用无线中继模式的无线路由器也可以接受其他无线设备的接入,覆盖方式更为全面灵活。
6)升级天线
由于Wi-Fi信号传递是通过天线来进行收发的,所以市面上也有不少单独的增益天线产品,让使用者可以更换无线路由器或网卡上的天线,当然这些设备必须支持天线的可拆卸。
7)部署最新的无线路由器、适配器
为了获得更流畅、广阔的无线网络,可以部署最新的802.11ac无线路由器和无线适配器。
802.11ac产品有多重优势,从传输速度和功耗方面看,802.11ac方案可提供3倍于802.11n的无线速率,并将功耗降低为以前的1/6。其次,在使用的频谱方面,802.11ac使用80/160MHz频道,将带宽扩大了4倍。同时利用更高速的256 QAM调制方案,实现了高效率数据传送,降低了能耗。而且802.11ac利用波束成形技术实现了更高的可靠性、更长的传输距离和更大的覆盖范围。
8)向厂商定制专有无线方案
如果上述方法仍无法满足你的无线覆盖、传输需求,除了选购专用的无线拓展设备外,还可以向网络设备厂商咨询或定制专有的无线解决方案,来为你量身打造一套有效的无线接入方式。
(2)IEEE认定的无线协议主要有:
IEEE802.15 蓝牙标准
IEEE802.11 WLAN标准
IEEE802.16 WIMAX无线城域网标准
IEEE802.20 移动宽带无线接入
(3)无线加密三种选择:WEP、WPA和WPA2
WEP(Wired Equivalent Privacy,有线等效保密)。为RC4的RSA数据加密技术,常见的是64位和128位WEP加密。
WPA(WiFi Protected Access,WiFi网络安全存取)。使用了全新的TKIP(临时密钥完整性)协议,是IEEE 802.11i标准中的过渡方案。WPA有两种认证模式,一种是使用802.1x协议进行认证(面向企业用户);一种是称为预先共享密钥PSK模式(面向个人用户)。
WPA2,即WPA加密的升级版。它是WiFi联盟验证过的IEEE 802.11i标准的认证形式,WPA2实现了802.11i的强制性元素,特别是Michael算法被公认彻底安全的CCMP(计数器模式密码块链消息完整码协议)讯息认证码所取代、而RC4加密算法也被AES(高级加密)所取代。与WPA加密相同,WPA2同样有两种认证模式可供选择。
【问题4】分析
(1)负载均衡(又称为负载分担),英文名称为Load Balance,其意思就是将负载(工作任务)进行平衡、分摊到多个操作单元上进行执行,例如Web服务器、FTP服务器、企业关键应用服务器和其他关键任务服务器等,从而共同完成工作任务。负载均衡按照应用的网络层次(指OSI参考模型)来分:
链路聚合技术(第二层负载均衡)将多条物理链路当作一条单一的聚合逻辑链路使用。
第三层负载均衡,可以用路由协议实现。如EIGRP,BGP通过配置,允许多链路负载分担。
第四层负载均衡将一个Internet上合法注册的IP地址映像为多个内部服务器的IP地址,对每次TCP连接请求动态使用其中一个内部IP地址,达到负载均衡的目的。
第七层负载均衡控制应用层服务的内容,提供了一种对访问流量的高层控制方式,适合对HTTP服务器群的应用。(把数据流量引向相应内容的服务器来处理)
(2)集群:是一组独立的计算机系统构成一个松耦合的多处理器系统,它们之间通过网络实现进程间的通信。应用程序可以通过网络共享内存进行消息传送,实现分布式计算机。
负载均衡:先得从集群讲起,集群就是一组连在一起的计算机,从外部看它是一个系统,各节点可以是不同的操作系统或不同硬件构成的计算机。如一个提供Web服务的集群,对外界来看是一个大Web服务器。不过集群的节点也可以单独提供服务。
在现有网络结构之上,负载均衡提供了一种廉价有效的方法扩展服务器带宽和增加吞吐量,加强网络数据处理能力,提高网络的灵活性和可用性。集群系统主要解决下面几个问题:
高可靠性(HA):利用集群管理软件,当主服务器故障时,备份服务器能够自动接管主服务器的工作,并及时切换过去,以实现对用户的不间断服务。
高性能计算(HP):即充分利用集群中的每一台计算机的资源,实现复杂运算的并行处理,通常用于科学计算领域,比如基因分析,化学分析等。
第 2 题
阅读以下说明,回答问题1至问题5,将解答填入答题纸对应的解答栏内。
【说明】
某高校校园网使用3个出口,新老校区用户均通过老校区出口访问互联网,其中新老校区距离20公里,拓扑如图2-1所示,学校服务器区网络拓扑结构如图2-2所示。
图2-1
图2-2
【问题1】(3分)
实现多出口负载均衡通常有依据源地址和目标地址两种方式,分别说明两种方式的实现原理和特点。
【问题2】(7分)
根据学校多年实际运行情况,现需对图2-1所示网络进行优化改造,要求:
(1)在只增加负载均衡设备的情况下,且仅限通过老校区核心交换机1连接出口路由器;
(2)采用网络的冗余,解决新老校区互联网络中的单点故障;
(3)通过多出口线路负载,解决单链路过载;
(4)考虑教育网的特定应用,需采用明确路由。
试画出图2-1优化后的网络拓扑结构,并说明履行理由。
【问题3】(5分)
现学校有两套存储设备,均放置于老校区中心机房,存储1是基于IP-SAN技术,存储2是基于FC-SAN技术。试说明2-2中数据库服务器和容灾服务器应采用哪种存储技术,并说明理由。
【问题4】(5分)
当前存储磁盘柜中通常包含SAS和SATA磁盘类型,试说明2-2中数据库服务器和容灾服务器应选择哪种磁盘类型,并说明理由。
【问题5】(5分)
目前存储中使用较多的RAID5和RAID10,试说明图2-2中数据库服务器和容灾服务器(数据级)各应选择哪种RAID技术,并说明理由。
答案与解析
- 试题难度:较难
- 知识点:案例分析>网络存储
- 试题答案:
【问题1】(3分)
(1)基于源IP的负载均衡:将来自同一个源IP的请求映射到一台服务器或链路上。适用于需要保证来自同一个用户的请求分发到同一个服务器或链路的情况。
(2)基于目的IP负载均衡:将去往同一个目的IP的请求映射到一台服务器或链路上。适用于需要保证到达同一个目的地的请求分发到同一台服务器或链路的情况。
【问题2】(7分)(1)在校区核心交换机与出口路由器之间添加负载均衡设备,通过此设备进行流量负载分担。
(2)老校区与新校区核心设备之间进行两两连接,避免单点故障。
(3)针对于访问教育网的流量,做基于目标地址的负载均衡,通过教育网出口进行转发。而其它流量做基于源地址的负载均衡,通过电信和联通出口路由器转发。
【问题3】(5分)
在对安全、高效、稳定性要求较高的网络存储系统中,多采用FC-SAN。数据库服务直接面向应用,对各方面的要求较高,所以选择FC-SAN较适合。
IP-SAN技术虽然具有成本小、管理门坎及维护成本低、无距离限制、组建方式灵活,可扩展性高等优势,但IP-SAN扰人的噪声碰撞问题、传输速率不高,加之IP网络环境复杂,安全性也相对令人质疑。备份服务器没有面向应用,对相关要求不是很高,所以选择IP-SAN更加合适。
【问题4】(5分)
SATA硬盘主要应用在线、近线作业、高可用性、随机读取、循序读取的情况。容量高、成本低、与SAS兼容。
SAS硬盘主要应用在线、高可用性、随机读取的情况,适用于大、中型企业关键任务资料的存储,效能高而且扩充性极高,与SATA兼容。
数据库服务器选择SAS硬盘更加适合,而备份服务器选择SATA更适合。
【问题5】(5分)
如果是以大量的事务性的操作,在典型的OLTP 环境里,我们考虑RAID10更好些,因为OLTP 环境,IO 性能上我们考虑的主要方面。RAID10的IO性能比RAID5高。对于典型的数据仓库环境,OLAP 环境,我们选择RAID5 ,因为从空间上来说,RAID5更合适。
所以数据库系统选用RAID10更好,而备份服务器选择RAID5。 - 试题解析:
【问题1】分析
(1)基于源IP的负载均衡
将来自同一个源IP的请求映射到一台服务器或链路上。适用场景:需要保证来自同一个用户的请求分发到同一个服务器或链路。
(2)基于目的IP负载均衡
将去往同一个目的IP的请求映射到一台服务器或链路上。适用场景:需要保证到达同一个目的地的请求分发到同一台服务器或链路。适用于网关负载均衡和链路负载均衡。
【问题2】分析(1)在校区核心交换机与出口路由器之间添加负载均衡设备,通过此设备进行流量负载分担。
(2)老校区与新校区核心路由器之间进行两两连接,避免单点故障
(3)针对于访问教育网的流量,做基于目标地址的负载均衡,通过教育网出口进行转发。而其它流量做基于源地址的负载均衡,通过电信和联通出口路由器转发。
【问题3】分析
数据库服务器采用FC-SAN,而备份服务器采用IP-SAN。
在对安全、高效、稳定性要求较高的网络存储系统中,多采用FC-SAN。数据库服务直接面向应用,对各方面的要求较高,所以选择FC-SAN较适合。
IP-SAN技术虽然具有成本小、管理门坎及维护成本低、无距离限制、组建方式灵活,可扩展性高等优势,但IP-SAN扰人的噪声碰撞问题、传输速率不高,加之IP网络环境复杂,安全性也相对令人质疑。备份服务器没有面向应用,对相关要求不是很高,所以选择IP-SAN更加合适。
【问题4】分析
SATA硬盘采用新的设计结构,数据传输快,节省空间,相对于IDE硬盘具有很多优势:
1、SATA硬盘比IDE硬盘传输速度高。SATA可以提供150MB/s的高峰传输速率。今后将达到300 MB/s和600 MB/s。到时我们将得到比IDE硬盘快近10倍的传输速率。
2、相对于IDE硬盘的PATA40针的数据线,SATA的线缆少而细,传输距离远,可延伸至1米,使得安装设备和机内布线更加容易。连接器的体积小,这种线缆有效的改进了计算机内部的空气流动,也改善了机箱内的散热。
3、相对于IDE硬盘系统功耗有所减少。SATA硬盘使用500毫伏的电压就可以工作。 SAS(Serial Attached SCSI)即串行连接SCSI,是新一代的SCSI技术,和现在流行的Serial ATA(SATA)硬盘相同,都是采用串行技术以获得更高的传输速度,并通过缩短连结线改善内部空间等。SAS是并行SCSI接口之后开发出的全新接口。此接口的设计是为了改善存储系统的效能、可用性和扩充性,并且提供与SATA硬盘的兼容性。
和传统并行SCSI接口比较起来,SAS不仅在接口速度上得到显著提升(主流Ultra 320 SCSI速度为320MB/sec,而SAS才刚起步速度就达到300MB/sec,未来会达到600MB/sec甚至更多),而且由于采用了串行线缆,不仅可以实现更长的连接距离,还能够提高抗干扰能力,并且这种细细的线缆还可以显著改善机箱内部的散热情况。
SATA硬盘主要应用在线、近线作业、高可用性、随机读取、循序读取的情况。容量高、成本低、与SAS兼容。
SAS硬盘主要应用在线、高可用性、随机读取的情况,适用于大、中型企业关键任务资料的存储,效能高而且扩充性极高,与SATA兼容。
数据库服务器选择SAS硬盘更加适合,而备份服务器选择SATA更适合。
【问题5】分析
做RAID 的时候考虑使用哪种RAID ,应该看公司的应用需要。 如果是以大量的事务性的操作,在典型的OLTP 环境里,我们考虑RAID10更好些,因为OLTP 环境,IO 性能上我们考虑的主要方面。对于典型的数据仓库环境,OLAP 环境,我们选择RAID5,因为从空间上来说,RAID5更合适。
在实际应用中,数据库类型操作,如ERP等应用,建议采用RAID10;而大型文件存储,数据仓库,如医疗PACS系统、视频编辑系统则从空间利用的角度,建议采用RAID5。
所以数据库系统选用RAID10更好,而备份服务器选择RAID5。
第 3 题
阅读以下说明,回答问题1至问题4,将解答填入答题纸对应的解答栏内。
【说明】
某高校网络拓扑结构下图所示:
【问题1】(7分)
目前网络中存在多种安全攻击,需要在不同位置部署不同的安全措施进行防范。常见的安全防范措施有:
1.防非法DHCP欺骗
2.用户访问权限控制技术
3.开启环路检测(STP)
4.防止ARP网关欺骗
5.广播风暴的控制
6.并发连接数控制
7.病毒防治
其中:在安全设备1上部署的措施有: (1) ;
在安全设备2上部署的措施有: (2) ;
在安全设备3上部署的措施有: (3) ;
在安全设备4上部署的措施有: (4) 。
【问题2】(8分)
学校服务器群目前共有200台服务器为全校提供服务,为了保证各服务器能提供正常的服务,需对图3-1所示的防火墙1进行安全配置,设计师制定了2套安全方案,请根据实际情况选择合理的方案并说明理由。
方案一:根据各业务系统的重要程度,划分为多个不同优先级的安全域,每个安全域采用一个独立子网,安全域等级高的主机默认允许访问安全域等级低的主机,安全域等级低的主机不能直接访问安全域等级高的主机,然后根据需要添加相应安全策略。
方案二:根据各业务系统提供的服务类型,划分为数据库、WeB,认证等多个不同虚拟防火墙,同一虚拟防火墙中相同VLAN下的主机可互访,不同VLAN下的主机均不允许互访,不同虚拟防火墙之间主机均不能互访。
【问题3】(6分)
为了防止资源的不合理使用,通常在核心层架设流控设备进行流量管理和终端控制,请列举出3种以上流控的具体实现方案。
【问题4】(4分)
非法DHCP欺骗是网络中常见的攻击行为,说明其实现原理并说明如何防范。
答案与解析
- 试题难度:较难
- 知识点:案例分析>网络安全方案
- 试题答案:
【问题1】(7分)
在安全设备1上部署的措施有:6.并发连接数控制;
在安全设备2上部署的措施有:2.用户访问控制权限控制;
在安全设备3上部署的措施有:1.防非法DHCP欺骗、3.开启环路检测(STP)4.防止ARP地址欺骗 5.广播风暴控制;
在安全设备4上部署的措施有:7.病毒防治。
【问题2】(8分)
在学校服务器群选用虚拟防火墙方式更加合理。
虚拟防火墙可以在一个单一的硬件平台上提供多个防火墙实体,每台虚拟防火墙都可以被看成是一台完全独立的防火墙设备,可拥有独立的管理员、安全策略、用户认证数据库等。
虚拟防火墙组网模式极大的减少了用户拥有成本,降低了网络安全部署的复杂度,减少了运维中需要管理维护的网络设备,简化了网络管理的复杂度。
【问题3】(6分)通常在核心层架设留空设备进行流量管理和终端控制
1、针对地址进行带宽限制,针对源IP、目的IP进行带宽限制。
2、针对子网进行带宽限制,防止某子网独占带宽。
3、针对服务进行带宽限制,比如视频、BT。【问题4】(4分)
从DHCP工作原理可以看出,如果客户端是第一次、重新登录或租期已满不能更新租约,客户端都是以广播的方式来寻找服务器,并且只接收第一个到达的服务器提供的网络配置参数,如果在网络中存在多台DHCP服务器(有一台或更多台是非授权的),谁先应答,客户端就采用其提供的网络配置参数。假如非授权的DHCP服务器先应答,这样客户端最后获得的网络参数即是非授权的,客户端即被欺骗了。而在实际应用DHCP的网络中,基本上都会采用DHCP中继,这样的话,本网络的非授权DHCP服务器一般都会先于其余网络的授权DHCP服务器的应答(由于网络传输的延迟),在这样的应用中,DHCP欺骗更容易完成。
防范原理:为了防止DHCP欺骗,只要不让非授权的的DHCP服务器的应答通过网络即可,目前网络基本都采用交换机直接到桌面,并且交换机的一个端口只接一台计算机,因此,可以在交换机上做控制,只让合法的DHCP应答通过交换机,阻断非法的应答,从而防止DHCP欺骗,并且对用户的计算机不用做任何的改变。
防范方法:在交换机上启用DHCP SNOOPING功能。
DHCP SNOOPING通过建立和维护DHCP SNOOPING绑定表并过滤不可信任的DHCP信息来防止DHCP欺骗。 - 试题解析:
【问题1】
防非法DHCP欺骗一般在接入交换机配置DHCP Snooping实现。
用户访问权限控制技术一般是读取数据报3、4层信息,通常是在汇聚交换机实现。
开启环路检测(STP)一般是应该在接入交换机上实现。
防止ARP网关欺骗可通过IP和MAC绑定实现。
广播风暴的控制可通过接入或汇聚交换机划分VLAN实现。
并发连接数控制需要在核心层实现。
病毒防治通过在终端安装防病毒软件。
【问题2】
虚拟防火墙是一个逻辑概念,该技术可以在一个单一的硬件平台上提供多个防火墙实体,即把一台防火墙设备在逻辑上划分成多台虚拟防火墙,每台虚拟防火墙都可以被看成是一台完全独立的防火墙设备,可拥有独立的管理员、安全策略、用户认证数据库等。每个虚拟防火墙能够实现防火墙的大部分特性,并且虚拟防火墙之间相互独立,一般情况下不允许相互通信。
虚拟防火墙具有如下技术特点:
每个虚拟防火墙独立维护一组安全区域;
每个虚拟防火墙独立维护一组资源对象(地址/地址组,服务/服务组等);
每个虚拟防火墙独立维护自己的包过滤策略;
每个虚拟防火墙独立维护自己的ASPF策略、NAT策略、ALG策略;
可限制每个虚拟防火墙占用资源数,如防火墙Session以及ASPF Session数目。
每个虚拟防火墙都是VPN实例和安全实例的综合体,能够为虚拟防火墙用户提供私有的路由转发业务和安全服务。每个虚拟防火墙中可以包含三层接口、二层物理接口、三层VLAN子接口和二层Trunk接口+VLAN。
虚拟防火墙组网模式极大的减少了用户拥有成本。随着业务的发展,当用户业务划分发生变化或者产生新的业务部门时,可以通过添加或者减少防火墙实例的方式十分灵活的解决后续网络扩展问题,在一定程度上降低了网络安全部署的复杂度。另一方面,由于以逻辑的形式取代了网络中的多个物理防火墙,减少了运维中需要管理维护的网络设备,简化了网络管理的复杂度,减少了误操作的可能性。
在学校服务器群选用虚拟防火墙方式更加合理。
【问题3】通常在核心层架设留空设备进行流量管理和终端控制
1、针对地址进行带宽限制,针对源IP、目的IP进行带宽限制。
2、针对子网进行带宽限制,防止某子网独占带宽。
3、针对服务进行带宽限制,比如视频、BT。【问题4】
从DHCP工作原理可以看出,如果客户端是第一次、重新登录或租期已满不能更新租约,客户端都是以广播的方式来寻找服务器,并且只接收第一个到达的服务器提供的网络配置参数,如果在网络中存在多台DHCP服务器(有一台或更多台是非授权的),谁先应答,客户端就采用其提供的网络配置参数。假如非授权的DHCP服务器先应答,这样客户端最后获得的网络参数即是非授权的,客户端即被欺骗了。而在实际应用DHCP的网络中,基本上都会采用DHCP中继,这样的话,本网络的非授权DHCP服务器一般都会先于其余网络的授权DHCP服务器的应答(由于网络传输的延迟),在这样的应用中,DHCP欺骗更容易完成。
防范原理:为了防止DHCP欺骗,只要不让非授权的的DHCP服务器的应答通过网络即可,目前网络基本都采用交换机直接到桌面,并且交换机的一个端口只接一台计算机,因此,可以在交换机上做控制,只让合法的DHCP应答通过交换机,阻断非法的应答,从而防止DHCP欺骗,并且对用户的计算机不用做任何的改变。
防范方法:在交换机上启用DHCP SNOOPING功能。
DHCP SNOOPING通过建立和维护DHCP SNOOPING绑定表并过滤不可信任的DHCP信息来防止DHCP欺骗。
DHCP SNOOPING截获交换机端口的DHCP应答报文,建立一张包含有用户MAC地址、IP地址、租用期、VLAN ID、交换机端口等信息的一张表,并且DHCP SNOOPING还将交换机的端口分为可信任端口和不可信任端口,当交换机从一个不可信任端口收到DHCP服务器的报文时,比如DHCP0FFER报文、DHCPACK报文、DHCPNAK报文,交换机会直接将该报文丢弃;对信任端口收到的DHCP服务器的报文,交换机不会丢弃而直接转发。一般将与用户相连的端口定义为不可信任端口,而将与DHCP服务器或者其他交换机相连的端口定义为可信任端口,也就是说,当在一个不可信任端口连接有DHCP服务器的话,该服务器发出的报文将不能通过交换机的端口。因此只要将用户端口设置为不可信任端口,就可以有效地防止非授权用户私自设置DHCP服务而引起的DHCP欺骗。