201811网规下午真题

第 1 题

阅读以下说明,回答问题1至问题4,将解答填入答题纸对应的解答栏内。
【说明】
某园区组网方案如图1-1所示,数据规划如表1-1内容所示。



【问题1】(8分)

该网络对汇聚层交换机进行了堆叠,在此基础上进行链路聚合并配置接口,补充下列命令片段。
[SW3] interface(1)
[SW3-Eth-Trunk30] quit
[SW3] interface gigabitethernet 1/0/1
[SW3-GigabitEthernet1/0/1] eth-trunk 30
[SW3-GigabitEthemet1/0/1] quit
[SW3] interface gigabitethernet 2/0/1
[SW3-GigabitEthernet2/0/1] eth-trunk 30
[SW3-GigabitEthernet2/0/1] quit
[SW3] vlan batch(2)
[SW3] interface eth-trunk 30
[SW3-Eth-Trunk30] port link-type(3)
[SW3-Eth-Trunk30] port trunk allow-pass vlan 30 40
[SW3-Eth-Trunk30] quit
[SW3] interface vlanif 30
[SW3-Vlanif30] ip address(4)
[SW3-Vlanif30] quit
【问题2】(8分)
该网络对核心层交换机进行了集群,在此基础上进行链路聚合并配置接口,补充下列命令片段。
[CSS] interface loopback 0
[CSS-LoopBack0] ip address 3.3.3.3 32
[CSS-LoopBack0] quit
[CSs] vlan batch 10 30 40 50
[CSS] interface eth-trunk 10
[CSS-Eth-Trunk10] port link-type access
[CSS- Eth-Trunk10] port default vlan 10
[CSS- Eth-Trunk10] quit
[CSS] interface eth-trunk 20
[CSS-Eth-Trunk20] port link-type(5)
[CSS- Eth-Trunk20] port default vlan 10
[CSS-Eth-Trunk20] quit
[CSS] interface eth-trunk 30
[CSS- Eth-Trunk30] port link-type(6)
[CSS-Eth-Trunk30] port trunk allow-pass vlan 30 40
[CSS-Eth-Trunk30] quit
[CSS] interface vlanif 10
[CSS-Vlanif10] ip address 172.16.10.3 24
[CSS-Vlanif10] quit
[CSS] interface vlanif 30
[CSS-Vlanif30] ip address 172.16.30.1 24
[CSS-Vlanif30] quit
[CSS] interface vlanif 40
[CSS-Vlanif40] ip address(7)
[CSS-Vlanif40] quit
[CSS] interface gigabitethernet 1/1/0/10
[CSS-GigabitEthernet1/1/0/10] port link-type access
[CSS-GigabitEthernet/1/0/10] port default vlan 50
[CSS-GigabitEthernetl/1/0/10] quit
[CSS] interface vlanif 50
[CSS-Vlanif50] ip address(8)
[CSS-Vlanif50] quit
【问题3】(3分)
配置FW1时,下列命 令片段的作用是(9)。
[FW1] iterface eth-trunk 10
[FW1-Eth-Trunk10] quit
[FW1] interface gigabitethernet 1/0/3
[FW1-GigabitEthernet1/0/3] eth- trunk 10
[FW1-GigabitEthernet1/0/3] quit
[FW1] interface gigabitethernet 1/0/4
[FW1-GigabitEthernet1/0/4] eth-trunk 10
[FW1-GigabitEthernet1/0/4] quit
【问题4】(6分)
在该网络以防火墙作为出口网关的部署方式,相比用路由器作为出口网关,防火墙旁挂的部署方式,最主要的区别在于(10)。

为了使内网用户访问外网,在出口防火墙的上行配置(11),实现私网地址和公网地址之间的转换;在出口防火墙上配置(12),实现外网用户访问HTTP服务器。ss( 4 )
[SW3-Vlanif30] quit
【问题2】(8分)
该网络对核心层交换机进行了集群,在此基础上进行链路聚合并配置接口,补充下列命令片段。
[CSS] interface loopback 0
[CSS-LoopBack0] ip address 3.3.3.3 32
[CSS-LoopBack0] quit
[CSs] vlan batch 10 30 40 50
[CSS] interface eth-trunk 10
[CSS-Eth-Trunk10] port link-type access
[CSS- Eth-Trunk10] port default vlan 10
[CSS- Eth-Trunk10] quit
[CSS] interface eth-trunk 20
[CSS-Eth-Trunk20] port link-type( 5 )
[CSS- Eth-Trunk20] port default vlan 10
[CSS-Eth-Trunk20] quit
[CSS] interface eth-trunk 30
[CSS- Eth-Trunk30] port link-type( 6 )
[CSS-Eth-Trunk30] port trunk allow-pass vlan 30 40
[CSS-Eth-Trunk30] quit
[CSS] interface vlanif 10
[CSS-Vlanif10] ip address 172.16.10.3 24
[CSS-Vlanif10] quit
[CSS] interface vlanif 30
[CSS-Vlanif30] ip address 172.16.30.1 24
[CSS-Vlanif30] quit
[CSS] interface vlanif 40
[CSS-Vlanif40] ip address( 7 )
[CSS-Vlanif40] quit
[CSS] interface gigabitethernet 1/1/0/10
[CSS-GigabitEthernet1/1/0/10] port link-type access
[CSS-GigabitEthernet/1/0/10] port default vlan 50
[CSS-GigabitEthernetl/1/0/10] quit
[CSS] interface vlanif 50
[CSS-Vlanif50] ip address( 8 )
[CSS-Vlanif50] quit
【问题3】(3分)
配置FW1时,下列命 令片段的作用是( 9 )
[FW1] iterface eth-trunk 10
[FW1-Eth-Trunk10] quit
[FW1] interface gigabitethernet 1/0/3
[FW1-GigabitEthernet1/0/3] eth- trunk 10
[FW1-GigabitEthernet1/0/3] quit
[FW1] interface gigabitethernet 1/0/4
[FW1-GigabitEthernet1/0/4] eth-trunk 10
[FW1-GigabitEthernet1/0/4] quit
【问题4】(6分)
在该网络以防火墙作为出口网关的部署方式,相比用路由器作为出口网关,防火墙旁挂的部署方式,最主要的区别在于( 10 )
为了使内网用户访问外网,在出口防火墙的上行配置( 11 ),实现私网地址和公网地址之间的转换;在出口防火墙上配置( 12 ),实现外网用户访问HTTP服务器。

答案与解析

  • 试题难度:较难
  • 知识点:案例分析>企业网络规划
  • 试题答案:

    【问题1】(8分)
    (1)eth-trunk30
    (2)30 40
    (3)Trunk
    (4)172.16.30.2 255.255.255.0
    【问题2】(8分)
    (5)access
    (6)trunk
    (7)172.16.40.1 255.255.255.0
    (8)171.16.50.1 255.255.255.0
    【问题3】(8分)
    (9)把g1/0/3和g1/0/4加入eth-trunk 10接口中。
    【问题4】(6分)
    (10)旁挂模式可以有选择地将流量引导到防火墙上,即对需要进行安全检测的流量引导到防火墙上进行处理,对不需要进行安全检测的流量直接通过路由器转发。
    (11)NAT
    (12)NAT Server

    </div>
  • 试题解析:

    【问题1】(8分)
    (1)eth-trunk30
    (2)30 40
    (3)Trunk
    (4)172.16.30.2 255.255.255.0
    【问题2】(8分)
    (5)access
    (6)trunk
    (7)172.16.40.1 255.255.255.0
    (8)171.16.50.1 255.255.255.0
    【问题3】(8分)
    (9)把g1/0/3和g1/0/4加入eth-trunk 10接口中。
    【问题4】(6分)
    (10)旁挂模式可以有选择地将流量引导到防火墙上,即对需要进行安全检测的流量引导到防火墙上进行处理,对不需要进行安全检测的流量直接通过路由器转发。
    (11)NAT
    (12)NAT Server
    (NAT三种动态NAT、静态NAT和NAT Server(NAT服务器),在实际应用中,分别对应配置动态地址转换、配置静态地址转换和配置内部服务器。NAT Server属于内网向外网提供服务,内网服务器不能被屏蔽,这是一种由外网发起向内网访问的NAT转换情形。外网用户访问内网服务器,通过“公网IP地址:端口号”与服务器的“私网IP地址:端口号”的固定映射,从私网IP地址与公网IP地址的映射关系看,也是一种静态映射关系。由外网向内网服务器发送的请求报文中转换的仅是目的IP和目的端口号(源IP和源端口号不变)

第 2 题

阅读下列说明,回答问题1至问题4,将解答填入答题纸的对应栏内。
【说明】
图2-1为某台服务器的RAID(Redundant Array of Independent Disk,独立冗余磁盘阵列)示意图,一般进行RAID配置时会根据业务需求设置相应的RAID条带深度和大小,本服务器由4块磁盘组成,其中P表示校验段、D表示数据段,每个数据块为4KB,每个条带在一个磁盘上的数据段包括4个数据块。

【问题1】(6分)

图2-1所示的RAID方式是(1) ,该RAID最多允许坏(2)块磁盘而数据不丢失,通过增加(3)盘可以减小磁盘故障对数据安全的影响。
【问题2】(5分)
1. 图2-1 所示,RAID 的条带深度是(4)KB,大小是(5)KB。
2.简述该RAID方式的条带深度大小对性能的影响。
【问题3】(7分)
图2-1所示的RAID方式最多可以并发(6)个 IO写操作,通过(7)措施可以提高最大并发数,其原因是(8)。
【问题4】(7分)
某天,管理员发现该服务器的磁盘0故障报警,管理员立即采取相应措施进行处理。
1.管理员应采取什么措施?

2.假设磁盘0被分配了80%的空间,则在RAID重构时,未被分配的20%空间是否参与重构?请说明原因。

答案与解析

  • 试题难度:较难
  • 知识点:案例分析>网络存储
  • 试题答案:

    【问题1】(6分)
    (1)RAID5
    (2)1
    (3)热备。
    【问题2】(5分)
    (4)16
    (5)64
    减小条带深度大小:由于条带深度大小减小了,则文件被分成了更多数量,更小的数据块。这些数据块会被分散到更多的硬盘上存储,因此提高了传输的性能,但是由于要多次寻找不同的数据块,磁盘定位的性能就下降了。
    增加条带深度大小:与减小条带深度大小相反,会降低传输性能,提高定位性能。
    【问题3】(7分)
    (6)2
    (7)增加硬盘数目
    RAID5是将校验数据分散在每个盘是分布式的,依附于数据盘。把条带做得很大,保证每次IO不会占满整个条带。2块盘的RAID 5系统,对于写操作来说不能并发IO,因为访问一块盘的时候,校验信息一定在另一块盘中。同理,3块盘也不能。所以最低可以并发IO的RAID 5 需要4块盘,此时最多可以并发两个IO。RAID5中硬盘越多,并发能力越强。
    【问题4】(7分)
    更换同样型号磁盘、未分配的空间参与重构,RAID2.0+能够通过元数据感知已分配空间中哪些是已使用的,因此在重构时仅重构已使用空间,减少了重构数据量,进一步缩短了重构时间,降低了重构风险。而RAID 1.0无法区分。

  • 试题解析:

    【问题1】
    RAID技术经过不断的发展,现在已拥有了从RAID 0到7这八个基本的RAID 级别。另外,还有一些基本RAID级别的组合形式,如RAID 10(RAID 1与RAID 0的组合),RAID 50(RAID 0与RAID 5的组合)等。不同RAID级别代表着不同的存储性能、数据安全性和存储成本。
    从图中看出此RAID级别是RAID5,因为RAID 5不单独指定的奇偶盘,而是在所有磁盘上交叉地存取数据及奇偶校验信息。在RAID 5上,读/写指针可同时对阵列设备进行操作,提供了更高的数据流量。RAID5最多允许1块磁盘坏掉,通过增加热备盘可以减少磁盘故障对数据安全的影响。
    【问题2】
    条带化技术就是将一块连续的数据分成很多小部分并把他们分别存储到不同磁盘上去。这就能使多个进程同时访问数据的多个不同部分而不会造成磁盘冲突,而且在需要对这种数据进行顺序访问的时候可以获得最大程度上的 I/O 并行能力,从而获得非常好的性能。
    条带宽度:是指同时可以并发读或写的条带数量。这个数量等于RAID中的物理硬盘数量。例如一个经过条带化的,具有4块物理硬盘的阵列的条带宽度就是 4。增加条带宽度,可以增加阵列的读写性能。在使用分条数据映射的磁盘阵列中,条带内的块数量。本题中块数量是4。
    而条带大小是一个条带数据的大小,本题中为64KB。条带深度指的是单块磁盘上条带的大小,本题中为16KB。
    减小条带深度大小:由于条带深度大小减小了,则文件被分成了更多数量,更小的数据块。这些数据块会被分散到更多的硬盘上存储,因此提高了传输的性能,但是由于要多次寻找不同的数据块,磁盘定位的性能就下降了。
    增加条带深度大小:与减小条带深度大小相反,会降低传输性能,提高定位性能。
    【问题3】
    RAID5是将校验数据分散在每个盘是分布式的,依附于数据盘。把条带做得很大,保证每次IO不会占满整个条带。3块盘的RAID 5系统,对于写操作来说不能并发IO,因为访问一块盘的时候,校验信息一定在另一块盘中,再写第三块盘的信息,校验信息还是在某块盘中。所以最低可以并发IO的RAID 5 需要4块盘,此时最多可以并发两个IO。RAID5中硬盘越多,并发能力越强。
    【问题4】
    (1)RAID5阵列在坏一个硬盘的情况下,只要更换同样型号的磁盘就可以自动恢复数据。
    (2)未分配的空间参与重构。RAID2.0+能够通过元数据感知已分配空间中哪些是已使用的,因此在重构时仅重构已使用空间,减少了重构数据量,进一步缩短了重构时间,降低了重构风险。而RAID 1.0无法区分。

第 3 题

阅读下列说明,回答问题1至问题4,将解答填入答题纸的对应栏内。
【说明】
图3-1为某公司拟建数据中心的简要拓扑图,该数据中心安全规划设计要求符合信息安全等级保护(三级)相关要求。

【问题1】(9分)
1.在信息安全规划和设计时,一般通过划分安全域实现业务的正常运行和安全的有效保障,结合该公司实际情况,数据中心应该合理地划分为( 1 )、( 2 )、( 3 )三个安全域。
2.为了实现不同区域的边界防范和隔离,在图3-1的设备①处应部署( 4 )设备,通过基于HTTP/HTTPS的安全策略进行网站等Web应用防护,对攻击进行检测和阻断;在设备②处应部署( 5 )设备, 通过有效的访问控制策略,对数据库区域进行安全防护;在设备③处应部署( 6 )设备,定期对数据中心内服务器等关键设备 进行扫描,及时发现安全漏洞和威胁,可供修复和完善。

【问题2】(6分)
信息安全管理一般从安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理等方面进行安全管理规划和建设。 其中应急预案制定和演练、安全事件处理属于( 7 )方面; 人员录用、安全教育和培训属于( 8 ) 方面; 制定信息安全方针与策略和日常操作规程属于( 9 )方面; 设立信息安全工作领导小组,明确安全管理职能部门的职责和分工属于( 10 )方 面。
【问题3】(4分)
随着DDoS (Distributed Denial of Service,分布式拒绝服务)攻击的技术门槛越来越低,使其成为网络安全中最常见、最难防御的攻击之一,其主要目的是让攻击目标无法提供正常服务。请列举常用的DDoS攻击防范方法。
【问题4】(6分)

随着计算机相关技术的快速发展,简要说明未来十年网络安全的主要应用方向。

答案与解析

  • 试题难度:较难
  • 知识点:案例分析>网络安全方案
  • 试题答案:问题1:
    应用业务安全域、数据库安全域、安全运维管理安全域。
    在设备1处部署WAF设备,设备2处部署防火墙,在设备3处部署漏洞扫描设备。
    问题2:
    系统运维管理、人员安全管理、安全管理制度、安全管理机构。
    问题3:
    1,确保服务器采用最新系统,并打上安全补丁。在服务器上删除未使用的服务,关闭未使用的端口。
    2,服务器前部署专业的硬件防护墙,比如防火墙。
    3,实施CDN内容分发网络,通过在网络各处放置节点服务器所构成的在现有的互联网基础之上的一层智能虚拟网络,CDN系统能够实时地根据网络流量和各节点的连接、负载状况以及到用户的距离和响应时间等综合信息将用户的请求重新导向离用户最近的服务节点上。其目的是使用户可就近取得所需内容,解决Internet网络拥挤的状况,提高用户访问网站的响应速度。这样的话,只要CDN够大,就可以抵御很大程度的DDOS攻击。
    4,提高网站带宽。
    5、购买流量清洗服务。
    问题4:
    大数据安全平台、人工智能在网络安全中的应用、安全专用芯片的持续发展、云计算与物联网安全、区块链安全、安全技术融合。

  • 试题解析:问题1:
    为了消除数据中心存在的安全隐患,为核心数据提供可靠、便捷的使用环境,可以将数据中心安全体系划分为

应用业务安全域、数据库安全域、安全运维管理安全域 。
由于是基于HTTP和HTTPS的安全策略进行WEB应用防护。在设备1处部署WAF设备,由于是通过有效的访问控制策略,所以在设备2处部署防火墙。在设备3处由于体现了漏洞扫描,所以是漏洞扫描设备。
问题2:
应急预案的制定和演练,安全事件处理属于系统运维管理。
人员录用,安全教育和培训属于人员安全管理。
制定信息安全方针和策略、日常操作规程属于安全管理制度。
设立信息安全工作领导小组,明确安全职责属于安全管理机构。

问题3:
1,确保服务器采用最新系统,并打上安全补丁。在服务器上删除未使用的服务,关闭未使用的端口。
2,服务器前部署专业的硬件防护墙,比如防火墙。
3,实施CDN内容分发网络,通过在网络各处放置节点服务器所构成的在现有的互联网基础之上的一层智能虚拟网络,CDN系统能够实时地根据网络流量和各节点的连接、负载状况以及到用户的距离和响应时间等综合信息将用户的请求重新导向离用户最近的服务节点上。其目的是使用户可就近取得所需内容,解决Internet网络拥挤的状况,提高用户访问网站的响应速度。这样的话,只要CDN够大,就可以抵御很大程度的DDOS攻击。
4,提高网站带宽。

5、购买流量清洗服务。
问题4:
大数据安全平台、人工智能在网络安全中的应用、安全专用芯片的持续发展、云计算与物联网安全、区块链安全、安全技术融合。

9、访问摄像头路由,目的地址为摄像头网段10.104.1.0/24 。
10、ap控制器缺省路由目的地址为any 0.0.0.0/0.0.0.0 下一跳为它的上联设备SwitchA的GE0/0/8接口地址:10.100.1.1 。
11、命令配置的是给ap网段vlan105下发dhcp option43字段地址为10.100.1.2 。
作用是ap接收到此字段根据里面的地址寻找到ac控制器,通过dhcp option43下发ac地址给ap。


results matching ""

    No results matching ""