201511网规下午真题

第 1 题

阅读以下说明,回答问题1至问题4,将解答填入答题纸对应的解答栏内。
【说明】 
某企业网络拓扑如图1-1所示。 


图1-1

【问题1】(6分)
根据图1-1,对该网络主要设备清单表1-1所示内容补充完整。

表1-1

【问题2】(8分)
1.网络中A、B设备连接的方式是什么?依据A、B设备性能及双链路连接,计算两者之间的最大宽带。
2.交换机组F的连接方式是什么?采用这种连接方式的好处是什么?
【问题3】(6分)
该网络拓扑中连接到各分部可采用租赁ISP的DDN、Frame Relay、ISDN线路等方式,请简要介绍这几种连接方式。
【问题4】(5分)
若考虑到成本问题,对其中一条连接用VPN的方式,在分部路由器上做下列配置:
sub-company(config)#crypto isakmp policy 1

sub-company(config-isakmp)#encry des
sub-company(config-isakmp)#hash md5
sub-company(config-isakmp)#authentication pre-share
sub-company(config)# crypto isakmp key 6 cisco address x.x.x.x
该命令片段配置的是 (7)

(7)备选答案:
A、定义ESP
B、IKE策略
C、IPSce VPN 数据
D、路由映射
在该配置中,IP地址x.x.x.x是该企业总部IP地址还是分部IP地址?  **答案与解析** - 试题难度:较难 - 知识点:案例分析>网络安全方案 - 试题答案:
【问题1】(6分)
(1)C  
(2)汇聚交换机 
(3)D 
(4)路由器 
(5)E 
(6)防火墙
【问题2】(8分)
链路聚合或者链路捆绑 在两台设备间采用链路聚合后,在不考虑协议开销的前提下,其带宽是原来单链路带宽的2倍。
双链路上行和菊花型堆叠,增加了冗余, 扩大网络规模,简化管理、提高网络可靠性与健壮性。
【问题3】(6分)
DDN:专线连接方式,点对点通信,用户独占一条永久的、速率固定的专用线路,并独享带宽,延迟小,成本高,线路利用率低。
Frame Relay:采用分组交换技术,点对多点通信,将传输的信息划分为一定长度的分组,采用动态复用技术来传送几个分组,虽然在任意时刻线路总是被某一个分组独占,但线路的带宽在统计上得到复用,有效提高了线路的利用率,由于要对数据进行分组,因此该技术相比专线方式延迟大,但成本低。
ISDN:是电路交换技术的典型代表,延迟小,点对点通信,线路利用率低。
【问题4】(5分)
(7)B  
总部IP地址
- 试题解析:【问题1】(6分)
根据图中的拓扑及网络分层的设计思想,就能解答出该题,题意中已给出Cisco6509设备是核心层设备,连接核心设备的C下面再连接了两台交换机,因此可以推断出该设备是汇聚层交换机。D是与分 部路由器相连的设备,根据题意和设备型号可以推断出是路由器。E根据拓扑图及图标标识就可以推断出是防火墙。
(1)C  
(2)汇聚交换机 
(3)D 
(4)路由器 
(5)E 
(6)防火墙
【问题2】(8分)
1、根据图中标识可以看出是采用链路聚合,也叫链路捆绑。在两台设备间采用链路聚合后,在不考虑协议开销的前提下,其带宽是原来单链路带宽的2倍。
2、图中F组交换机先是串接在一起,最后上、下两个设备通过一条链路级联起来,该连接方式即是菊花式堆叠,该堆叠不但方便了对设备的管理,提供链路冗余,还提升了网络的可靠性,为保障该菊花式堆叠与上行设备的可靠性,该堆叠采用了双上行接入方式。
【问题3】(6分)
三种技术都是广域网的连接方式。DDN:专线连接方式,点对点通信,用户独占一条永久的、速率固定的专用线路,并独享带宽,延迟小,成本高,线路利用率低。
Frame Relay(帧中继):分组交换技术的典型代表,点对多点通信,将传输的信息划分为一定长度的分组,采用动态复用技术来传送几个分组,虽然在任意时刻线路总是被某一个分组独占,但线路的带宽在统计上得到复用,有效提高了线路的利用率,由于要对数据进行分组,因此该技术相比专线方式延迟大,但成本低。
ISDN:是电路交换技术的典型代表,延迟小,点对点通信,线路利用率低。
【问题4】(5分)
sub-company(config)#crypto isakmp policy 1 (建立IKE协商策略并配置IKE协商参数)

sub-company(config-isakmp)#encry des(设置加密所需要的算法为DES)
sub-company(config-isakmp)#hash md5 (设置密钥认证所用的算法)
sub-company(config-isakmp)#authentication pre-share(设置预先共享的密钥来验证身份)

sub-company(config)# crypto isakmp key 6 cisco address x.x.x.x(设置IPSec对等体的验证方法),配置IPSEC,先要明确要保护什么数据,通过ACL来实现,其次配置IKE策略协商,再次配置加密映射并安全关联,最后应用到端口才能生效。既然是对等体,肯定就是对方的IP地址,题目已告诉是在分部的设备上作配置,那么其对等体的地址就是总部的IP地址。
### 第 2 题 阅读以下说明,回答问题l至问题4,将解答填入答题纸对应的解答栏内。
【说明】
传统业务结构下,由于多种技术之间的孤立性,使得数据中心服务器总是提供多个对外I/O接口。在云计算模式发展的推动下,数据中心正在从过去的存储处理中心演变成为应用中心,并逐步向服务中心和运营中心转变。而对客户来说,由于技术、经验、资金等限制,在转变过程中会遇到各种挑战,例如:虚拟化带来的技术复杂性,规模扩大带来的运维压力,系统和数据迁移的困难以及数据中心的高能耗等。
传统业务结构存储下的数据中心网络扑结构图如图2-1所示。

图2-1

【问题1】(9分)

(1)如图2-1所示,数据中心有多个网络,一个是前端用户通信网络,一个是后端做数据更新或者做集群计算的通讯网络,还有后台光纤存储网络。针对这三种网络分别举出一个例子。
( 2)如上所述,除以上三种网络外有的数据中心还有专门用于虚拟机迁移的网络,都会在服务器上做集中。这样一台服务器最多需要几块网卡与之相连?随着TRILL等技术的出现,这个专用网络还需要吗?
(3)网络成为数据中心资源的交换枢纽,当前数据中心纷为IP数据网络、存储网络、服务器集群网络。随着数据中心规模的逐步增大,简单分析带来的问题。
【问题2】 (4分)
FCoE采用增强型以太网作为物理网络传输架构,是专门为低延迟性、高性能、二层数据中心网络所设计的网络协议。目前国际标准化组织已经开发了针对以太网标准的扩展协议族,即“融合型增强以太网(CEE)”,这些扩展协议族可以进行所有类型的传输。试简述FCoE技术的优点。
【问题3】(6分)

为了实现统二管理、简化运维,采用基于FCoE技术的数据中心统一I/O能够实现用少数的CNA(Converged Network adapter)代替数量较多的NIC、HBA、HCA,所有的流量通过CNA万兆以太网传输 。
按照18台服务器(单网卡)为例,使用FCoE后每台服务器只需要一块专用适配器(网卡),一套布线(以太网)系统,统一管理维护简单。表2-1为使用FcoE前1 8台服务器需要的网卡、交换机、电缆以及上联端口的数量;请核算出使用FCoE后的相应部件数量,填充表2-2。

2-1  使用FcoE


2-2  使用FcoE


【问题4】(6分)
(1)随着数据中心的发展,数据中心的能耗已经成为一个严峻的问题,PU已经成为国际上比较通行的数据中心电力使用效率的衡量指标。请问PUE是什么,它的基准是多少,其越接近多少表示一个数据中心的绿色化程度越高?
(2)在现代机房的机柜布局中,人们为了美观和便于观察会将所有的机柜朝同一个方向摆放。如果按照这种摆放方式,机柜盲板有效阻挡冷热空气的效果将大打折扣。正确的摆放方式是什么?请简述其原因。
(3)水冷空调系统是目前新一代大型数据中心制冷的首选方案,采用水冷空调在部分地区可以采取免费冷却技术以节能。免费冷却技术是什么?

答案与解析

  • 试题难度:较难
  • 知识点:案例分析>网络存储
  • 试题答案:

    【问题1】(9分)
    (1)主要包含以下三种网络:
    1、以太网:前端的用户通信网络。
    2、FC光纤网络:后台存储网络光纤的通道。
    3、高性能计算Infiniband网络(服务器集群网络):后端做数据更新或者做集群计算的通讯网络。
    (2)最多需要8块网卡与之相连。如使用trill(多链接透明互联)后,该网络无需存在。(实际服务器需与4个网络相连,每个网络需要两块网卡,故需要8块),随着TRILL技术出现,专用网络不需要。
    (3)随着数据中心的不断扩大,将带来以下困难:
    1、每个服务器要多个专用适配器(网卡),要不同的布线系统。
    2、机房要支持更多设备:空间、耗电、制冷。
    3、多套网络无法统一管理,不同的维护人员。
    4、部署/配置/管理/运维困难。

    【问题2】(4分)
    FCoE技术有以下的一些优点:光纤存储和以太网共享同一个端口;更少的线缆和适配器;软件配置I/O;与现有的SAN环境可以互操作。
    基于FCoE技术的数据中心统一I/O能够实现用少数的CNA(Converged Network adapter)代替数量较多的NIC、HBA、HCA,所有的流量通过CNA万兆以太网传输。
    FCoE:FC帧直接映射到以太网上进行承载。
    FC数据流和其他数据流共享以太网链路,FCOE 保留原FC网络中 N_Port、F_Port、E_Port 的结构,FCOE 保留原FC的管理模式,保护原有投资。
    兼容原有网络:原有FC存储网络(FC交换机)可连接到数据中心以太网交换机上。
    下一代网络:FCoE磁盘阵列可直接连接到数据中心交换机上。
    使用FcoE的好处:
    每个服务器只需要一个专用适配器(网卡),一套布线(以太网)系统(以前需要多个网卡,多套布线(以太网和光纤)系统)。
    机房不再要支持更多设备:空间、耗电、制冷,更加节能绿色。
    只有一套网络,统一管理维护简单(原来是多套网络无法统一管理,不同的维护人员维护困难)
    部署/配置/管理/运维简单。
    网卡、交换机、光纤需要的数量减半,投资减少50%,能耗及维护费用极大降低。
    【问题3】(6分)

    (1)0
    (2)0
    (3)0
    (4)0
    (5)0
    (6)0
    (7)0
    (8)4
    (9)18
    (10)2
    (11)36
    (12)6

    【问题4】(6分)
    (1)PUE是评价数据中心能源效率的指标,是数据中心消耗的所有能源与IT负载使用的能源之比。
    PUE = 数据中心总设备能耗/IT设备能耗,PUE是一个比值,基准值是2,越接近1表明能效水平越好。
    (2)可以采用冷热通道区分设计,即‘面对面,背靠背’设计。这样设计可更有效提高冷却效率.
    数据中心热通道冷通道设计是交叉行排列服务器机架,让冷空气的进口朝一边,热空气的出口朝另一边。机架前端组成的行称为冷通道。通常情况下,冷通道面向空调的输出管道。热空气输出的那一行称为热通道。通常情况下,热通道面向空调的回风管道。有效减低冷热空气混合,达到良好的散热及节能作用。
    (3)免费冷却技术指全部或部分使用自然界的免费冷源进行制冷从而减少压缩机或冷冻机消耗的能量。目前常用的免费冷源主要是冬季或春秋季的室外空气。
  • 试题解析:【问题1】(9分)
    1、前端用户通信网络-以太网网络;后台光纤存储网络:FC光纤网络;后端做数据更新或者做集群计算的通讯网络:高性能计算Infiniband网络(服务器集群网络)。
    InfiniBand技术将会被应用于服务器与服务器(比如复制,分布式工作等),服务器和存储设备(比如SAN和直接存储附件)以及服务器和网络之间(比如LAN,WANs和the Internet)的通信。设计InfiniBand的目的主要是用于企业数据中心,大型的或小型的。目标主要是实现高的可靠性、可用性、可扩展性和高的性能。InfiniBand可以在相对短的距离内提供高带宽、低延迟的传输,而且在单个或多个互联网络中支持冗余的I/O通道,因此能保持数据中心在局部故障时仍能运转。
    2、题目问的是最多需要几块网卡,为提高网络的可靠性,服务器连接前端、存储、集群计算、虚拟机迁移都采用双网卡的方式,因此一台服务器最多需要八块网卡。
    随着TRILL等技术的出现,这个专用网络不需要:网络设备虚拟化构建的大二层网络不需要像传统的二层网络采用STP来破环,但是各网络设备厂商采用的网络设备虚拟化技术都是私有技术,相互之间不兼容。而TRILL是IETF推出的技术,各厂商都认同,该技术核心思想与三层网络数据转发原理一样,到一个目的地有多条路径会通过计算选择到目的地最优的路径,在二层网络中不需要采用生成树破环,因此现有的专用网络在TRILL中根本就不需要。
    目前构建大二层数据中心还有IT厂商提出来的VXLAN(VMWARE)与微软提出来的NVGRE技术,微软及其他IT厂商提出该技术解决大二层网络技术中虚拟机的迁移不再依赖网络设备厂商的技术。但是该技术实现起来比较复杂。
    目前还有一种技术可以实现构建跨大二层网络的数据,也就是用在大二层网络数据中心之间的技术EVLAN,采用MP-BGP来实现MAC地址信息的交互。
    3、(1)每个服务器要多个专用适配器(网卡),要不同的布线系统;
    (2)机房要支持更多设备:空间、耗电、制冷;
    (3)多套网络无法统一管理,不同的维护人员;
    (4)部署/配置/管理/运维困难。
    【问题2】(4分)
    FCOE技术实现来用以太网帧来承载FC帧,当帧到达目的地时再拆封装,将FC帧交给SAN网络来处理,实现了以太网与存储网络的融合(光纤存储和以太网共享同一个端口)。该技术需要服务器用专门的CAN网卡来处理以太网帧与FC帧,同时也需要专业来处理FCOE帧的FCF交换机。
    1、每个服务器只需要一个专用适配器(网卡),一套布线(以太网)系统(以前需要多个网卡,多套布线(以太网和光纤)系统)。
    2、机房不再要支持更多设备:空间、耗电、制冷,更加节能绿色。
    只有一套网络,统一管理维护简单(原来是多套网络无法统一管理,不同的维护人员维护困难)。
    3、部署/配置/管理/运维简单。
    4、网卡、交换机、光纤需要的数量减半,投资减少50%,能耗及维护费用极大降低。
    【问题3】(6分)
    一个CNA的适配卡可以同时传输以太网和FC帧,因此一台服务器不再需要专门用来传输以太网数据的适配卡与专门用来传输FC帧的HBA适配卡,所以表(1),(5)填0,合计18块网卡。FCOE网络中的交换机也能同时支持处理以太网帧与FC帧。因此不需要专门处理以太网帧的交换机与专业处理FC帧的交换机,交换机合计为2。融合型增强以太网(CEE)电缆36根。一个CAN网卡有两个接口,采用双上行的方式连接两个CEE网络的交换机。18块卡,36个接口,因此CEE网络需要36根电缆。同样不需要电缆再接以太网和存储网络。
    上联端口:FCOE的技术改造只是针对接入层网络,上行还是和原来一样,原来网络是怎么连还是怎么连,CEE已有2个上连端口连以太网,那么还是需要四个端口来连存储网络的FC交换机。
    【问题4】(6分)
    1、现在啥行业都讲究绿色环保,网络也不例外。所谓的PUE值是数据中心总设备能耗/IT设备能耗,基准值是2,该值越接近1表明能效水平越好。
    2、即‘面对面,背靠背’设计。这样设计可更有效提高冷却效率,让冷空气与热空气走不同的通道,不让冷热风混在一起,提高制冷效果。
    3、让外面的冷空气进入数据中心,不需要像空调一样还需要制冷环节,让冷空气经过数据中心带走热量,并将热量送到出风口。

第 3 题

阅读以下说明,回答问题l至问题5;将解答填入答题纸对应的解答栏内。

【说明】

某学校拥有内部数据库服务器l台,邮件服务器1台,DHCP服务器1台,FTP服务器1台,流媒体服务器1台,Web服务器1台,要求为所有的学生宿舍提供有线网络接入服务,对外提供Web服务,邮件服务,流媒体服务,内部主机和其他服务器对外不可见。

【问题1】(5分)
 请划分防火墙的安全区域,说明每个区域的安全级别,指出各台服务器所处的安全区域。
【问题2】(5分)
请按照你的思路为该校进行服务器和防火墙部署设计,对该校网络进行规划,画出网络拓扑结构图。  
【问题3】(5分)
学校在原有校园网络基础上进行了扩建,采用DHCP。服务器动态分配IP地址运行一段时间后,网络时常出现连接不稳定、用户所使用的IP地址被“莫名其妙”修改、无法访问校园网的现象。经检测发现网络中出现多个未授权DHCP地址。
请分析上述现象及遭受攻击的原理,该如何防范?
【问题4】(6分)
学生宿舍区经常使用的服务有Web、即时通信、邮件、FTP等,同时也因视频流导致大量的P2P流量,为了保障该区域中各项服务均能正常使用,应采用何种设备合理分配每种应用的带宽?该设备部署在学校网络中的什么位置?一般采用何种方式接入网络?  
【问题5】(4分)
当前防火墙中,大多都集成了IPS服务,提供防火墙与IDS的联动。区别于IDS,IPS主要增加了什么功能?通常采用何种方式接入网络?

答案与解析

  • 试题难度:较难
  • 知识点:案例分析>网络安全方案
  • 试题答案:
    【问题1】(5分)
    划分三个不同安全级别的区域。
    (1)内部网络 (2)外部网络 (3)DMZ区域(非军事化区)
    内部网络区域的安全级别最高,可信的、重点保护的区域。包括内部的数据库服务器、内部的FTP服务器、DHCP服务器。
    外部网络:安全级别最低,不可信的、需要防备的区域。
    DMZ区域(非军事化区):安全级别中等,通过该区域对外开放一些特定的服务与应用,受一定的保护。包括Web服务器、邮件服务器、流媒体服务器。
    【问题2】(5分)

     
    【问题3】(5分)
    用户无法访问校园网是因为获取的IP不是授权的DHCP服务器分配给它的。解决该问题从DHCP服务器给用户分配IP的原理着手。DHCP服务器给用户分配IP时会发送DHCP Offer和DHCP ACK报文。如果让交换机端口只接收授权DHCP服务器发过来的DHCP报文,其它端口不接收这些报文,该问题就得以解决。
    防范方法:在交换机上启用DHCP SNOOPING功能。
    DHCP SNOOPING通过建立和维护DHCP SNOOPING绑定表并过滤不可信任的DHCP信息来防止DHCP欺骗。
    【问题4】(6分)
    使用流量控制设备,为重要的业务提供更好的带宽资源。将该设备部署在与互联网接入位置,针对各类业务流量进行流量模型定义即可。可直接使用串行方式接入网络中。如考虑到流量模型较大,可能因流量控制设备处理能力问题,使其成为网络瓶颈,可考虑在学生宿舍区和核心交换机位置采用引流并行方式接入,来保障网络的健壮性。
    【问题5】(4分)
    入侵检测系统IDS通过对全网信息的收集、分析,了解信息系统的安全状况,进而指导信息系统安全建设目标以及安全策略的确立和调整,而入侵防御系统IPS主要用于对数据的深度分析及安全策略的实施,比如说对黑客行为的阻击。
    IPS部署以串接的方式部署于主干线路上,办公网中,至少需要在以下区域部署IPS,即办公网与外部网络的连接部位(入口/出口);重要服务器集群前端;办公网内部接入层。
  • 试题解析:【问题1】(5分)
    该题是考大家对防火墙的几大区域熟练程度。防火墙分为三大区域,(1)内部网络 (2)外部网络 (3)DMZ区域(非军事化区)
    内部网络区域的安全级别最高,是可信的、重点保护的区域。包括内部的数据库服务器、内部的DHCP服务器等等。
    外部网络:安全级别最低,不可信的、需要防备的区域。
    DMZ区域(非军事化区):安全级别中等,通过该区域对外开放一些特定的服务与应用,受一定的保护。包括Web服务器、FTP服务器、邮件服务器、流媒体服务器。
    【问题2】(5分)
    略。
    【问题3】(5分)
    出现该现象是有用户自己私自架设了DHCP服务器,从而使用获取的IP地址不是真正DHCP服务器给它分配的IP,使用户不能正常访问校园网。解决办法根据问题三:用户无法访问校园网是因为获取的IP不是授权的DHCP服务器分配给它的。解决该问题从DHCP服务器给用户分配IP的原理着手。DHCP服务器给用户分配IP时会发送DHCP Offer和DHCP ACK报文。如果让交换机端口只接收授权DHCP服务器发过来的DHCP报文,不接收非授权服务器发过来的这些报文,该问题就得以解决。
    【问题4】(6分)
    根据试题的题意,就可以看出需要对业务进行流量控制,保障重要业务数据优先传送,因此需要流控设备来保障重要的业务数据合理的带宽资源。流控设备一般采用串接的方式接入到网络。
    【问题5】(4分)
    入侵检测系统IDS并行接入网络,只能对全网信息的收集、分析,不能防御。而入侵防御系统IPS主要用于对数据的深度分析,可以对数据来进行安全策略的实施,比如说对黑客行为的阻击。
    IPS部署以串接的方式部署于主干线路上,办公网中,至少需要在以下区域部署IPS,即办公网与外部网络的连接部位(入口/出口);重要服务器集群前端;办公网内部接入层。

results matching ""

    No results matching ""