2020年下半年网络规划设计师考试下午真题(专业解析+参考答案)

第 1 题

阅读以下说明,回答问题1至问题4,将解答填入答题纸对应的解答栏内。
【说明】
某居民小区FTTB+HGW网络拓扑如图1-1所示。GPON OLT部署在汇聚机房,通过聚合方式接入到城城网: ONU部署在居民楼楼道交接箱里,通过用户家中部署的LAN.上行的HGW来提供业务接入接口。
HGW通过ETH接口上行至ONU设备,下行通过 FE/WiFi接口为用户提供Internet业务,通过FE接口为用户提供IPTV业务。
HGW提供PPPoE拨号、NAT等功能,可以实现家庭内部多台PC共享上网。

【问题1】 (8分)
1.对网络进行QoS规划时,划分了语音业务、管理业务、IPTV业务、上网业务, 其中优先级最高的是(1), 优先级最低是(2)。
2.通常情况下,一路语音业务所需的带宽应达到或接近(3)kb/s,一路高清IPTV所需的带宽应达到或接近(4)Mb/s。
(3)、(4) 的备选答案:
A.100
B.10
C.1000
D.50
3.简述上网业务数据规划的原则。
【问题2】 (10分)
小区用户上网业务需要配置的内容包括OLT、ONU、家庭网关HGW,其中:
1.在家庭网关HGW上配置的有 (5)和 (6)。
2.在ONU上配置的有(7).(8)、(9)和(10)。
3.在OLT上配置的有 (11) 、 (12) . (13) 和 (14) 。
(5) - (14)的备选答案:
A.配置语音业务
B.配置上网业务
C.配置IPTV业务
D.配置聚合、拥塞控制及安全策略
E.增加ONU
F.配置OLT和ONU之间的业务通道
G.配置OLT和ONU之间的管理通道
【问题3】 (3分)
某OLT.上的配置命令如下所示。

简要说明步骤1~3命令片段实现的功能。
步骤1:(15)。
步骤2:(16)
步骤3:(17)
【问题4】 (4分)
在该网络中,用户的语音业务(电话)的上联设备是ONU,采用H.248语音协议,通过运营的 (18) 接口和语音业务通道接入网络侧的 (19)


答案与解析

  • 试题难度:一般
  • 知识点:案例分析>广域网技术
  • 试题答案:

    【问题1】
    1.(1)管理业务
        (2)上网业务
    2. (3) A
        (4) B
    3.不同场景下VLAN的规划、VLAN切换策略的规划。
    【问题2】
    (5) B
    (6) C (注: (5) (6)答案可互换)
    (7) B
    (8) A
    (9)C
    (10) D (注: (7) - (10)答案可互换)
    (11) E
    (12) F
    (13) G
    (14) D (注: (11) ~ (14) 答案可互换)
    【问题3】
    (15)配置OLT的带内管理VLAN和IP地址。
    (16)配置ONU的带内管理VLAN和IP地址。
    (17)配置带内管理业务流。
    【问题4】
    (18) MG
    (19) 多媒体综合业务平台

  • 试题解析:

    【问题1】
    1、解析:对网络进行QoS规划时,划分了语音业务、管理业务、IPTV业务、上网业务, 其中优先级最高的是管理业务,对实时性要求最高, 优先级最低是普通用户上网业务,对实时性、带宽要求低于语音和IPTV业务。
    2. 一般语音业务带宽需要达到64Kbps以上,而IPTV是利用宽带网络,集互联网、多媒体、通讯等多种技术于一体,向家庭用户提供包括数字电视在内的多种交互式服务,该服务为家庭宽带用户提供通过机顶盒+电视机的方式,进行视频节目的直播、点播、回看、时移等功能,除此之外还可以通过此方式提供互联网应用和视频通信等丰富的应用业务服务,带宽需要在10Mbps以上。
    3.不同用户业务应通过不同的VLAN ID区分。
    【问题2】
    (5)-(6)在家庭网关设备中配置上网业务和IPTV业务。
    (7)-(10) 在光网络单元设备中配置语音业务、上网业务、IPTV业务、配置聚合、拥塞控制和安全策略。
    (11)-(14) 在光线路终端配置拥塞控制和安全策略、增加ONU、增加OLT和ONU之间的业务通道和管理通道。
    【问题3】
    (15)配置OLT的带内管理VLAN和IP地址。
    (16)配置ONU的带内管理VLAN和IP地址。
    (17)配置带内管理业务流。
    【问题4】
    (18)H.248协议是2000年由 ITU-T第 16工作组提出的媒体网关控制协议,采用H.248语音协议,通过运营的多媒体网关MG接口和语音业务通道接入网络侧的多媒体综合业务平台。

第 2 题

阅读以下说明, 回答问题1至问题4,将解答填入答题纸对应的解答栏内。
【说明】
某企业数据中心拓扑如图2-1所示,均采用互联网双线接入,实现冗余和负载。两台核心交换机通过虚拟化配置实现关键链路冗余和负载均衡,各服务器通过SAN存储网络与存储系统连接。关键数据通过虚拟专用网络加密传输,定期备份到异地灾备中心,实现数据冗余。

【问题1】 (8分)
在①处部署 (1) 设备, 实现链路和业务负载,提高线路和业务的可用性。
在②处配置 (2) 实现 SwichA与两台核心交换机之间的链路冗余。
在③处部署 (3) 设备, 连接服务器HBA卡和各存储系统,在该设备上配置 (4)将连接在SAN网络中的设备划分为不同区域,隔离不同的主机和设备。
【问题2】 (8分)
为保障关键数据安全,利用虚拟专用网络,在本地数据中心与异地灾备中心之间建立隧道,使用IPSec协议实现备份数据的加密传输,IPSec使用默认端口。
根据上述需求回答以下问题:
1.应在④处部署什么设备实现上述功能需求?
2.在两端防火墙上需开放UDP4500和什么端口?
3.在有限带宽下如何提高异地备份时的备份效率?
4.请简要说明增量备份和差异备份的区别。
【问题3】 (6分)
分布式存储解决方案在实践中得到广泛应用。请从成本、扩容、IOPS、冗余方式、稳定性五个方面对传统集中式存储和分布式存储进行比较,并说明原因。
【问题4】 (3分)
数据中心设计是网络规划设计的重要组成部分,请简述数据中心选址应符合的条件和要求。(至少回答3点)


答案与解析

  • 试题难度:一般
  • 知识点:案例分析>网络存储
  • 试题答案:

    【问题1】
    (1)负载均衡
    (2)链路聚合
    (3)光纤交换机光纤通道交换机SAN交换机
    (4) zone
    【问题2】
    1. VPN设备或VPN加密网关。
    2. UDP500。
    3.数据去重技术、数据压缩技术。
    4.增量备份:备份上一次全备或者增量备份以来变化的部分:差异备份:备份上一次全备以来所有变化的部分。
    【问题3】
    成本:集中式存储成本高,分布式存储成本低。原因:分布式存储采用普通服务器和廉价大容量磁盘作为存储节点,成本较低。
    扩容:集中式存储扩容较难,分布式存储扩容方便。原因:集中式存储扩容需要RAID重建,风险高,对业务影响大:分布式存储扩容一般是增加存储节点, 扩容非常方便。
    IOPS:分布式存储比集中式存储可以达到更高的IOPS。原因:分布式存储的数据存储于多个节点上,可以提供数倍于集中式存储的聚合IOPS,且随着存储节点的增加而线性增长。
    冗余方式:集中式存储采用RAID实现数据冗余,分布式存储采用多节点多副本存储方式实现数据冗余。
    稳定性:集中式存储稳定性高,分布式存储稳定性相对较差。原因:集中式存储为一个或一套完整的产品,出厂经过严格测试:分布式存储由不同厂家的多套软硬件集成,结构较复杂,容易受网络和带宽影响,稳定性较差。
    【问题4】
    (1)电力供给充足可靠,通信快速畅通,交通便捷;
    (2)采用水蒸发冷却制冷应考虑水源是否充足;
    (3)环境温度有利于节约能源;
    (4)远离产生粉尘、油烟、有害气体或贮存具有腐蚀性、易燃易爆物品的场所;
    (5)远离水灾、火灾和自然灾害隐患区域;
    (6)远离强振源和强噪声源;
    (7)避开强电磁场干扰;
    (8)不宜建在公共停车库的正上方;
    (9)大中型数据中心不宜建在住宅小区和商业区内。
    注:答出以上条款中的三条即可。

  • 试题解析:

    【问题1】
    (1)负载均衡:负载均衡建立在现有网络结构之上,它提供了一种廉价有效透明的方法扩展网络设备和服务器的带宽、增加吞吐量、加强网络数据处理能力、提高网络的灵活性和可用性。负载均衡(Load Balance)其意思就是分摊到多个操作单元上进行执行。
    (2)链路聚合:链路聚合是将两个或更多数据信道结合成一个单个的信道,该信道以一个单个的更高带宽的逻辑链路出现。 链路聚合能够提高链路带宽,增强网络可用性,支持负载分担。
    (3)在③处部署光纤通道交换机设备, 连接服务器HBA卡和各存储系统,在该设备上配置ZONE将连接在SAN网络中的设备划分为不同区域,隔离不同的主机和设备。
    (4) zone
    【问题2】
    1. 为保障关键数据安全,利用虚拟专用网络,在本地数据中心与异地灾备中心之间建立隧道,使用IPSec协议实现备份数据的加密传输,需要有VPN设备。
    2. IKE协商的初始端口使用的是500,完成NAT-T能力检测和NAT网关探测后,封装ISAKMP消息的UDP端口号被修改为4500,后续协商及数据传输都使用这个端口。
    3.数据去重技术通过消除重复的冗余数据从而极大地节省了存储空间,在数据备份系统,数据归档系统中得到广泛应用。
    数据压缩技术是指在不丢失信息的前提下,缩减数据量以减少存储空间,提高其传输、存储和处理效率的一种技术,或者指按照一定的算法对数据进行重新组织,减少数据的冗余和存储的空间。。
    4.增量备份:备份上一次完全备份或者增量备份以来变化的部分:差异备份:备份上一次完全备份以来所有变化的部分。
    【问题3】
    集中式存储:
    集中式存储系统指由一台或多台主计算机组成中心节点,数据集中存储于这个中心节点中,并且整个系统的所有业务单元都集中部署在这个中心节点上,系统所有的功能均由其集中处理。也就是说,集中式系统中,每个终端或客户端及其仅仅负责数据的录入和输出,而数据的存储与控制处理完全交由中心节点来完成。
    集中式系统最大的特点就是部署结构简单,由于集中式存储往往依赖于底层性能卓越的大型主机,因此无需考虑如何对服务进行多个节点的部署,也就不用考虑多个节点之间的分布式协作问题。集中式有非常明显的单点问题,大型主机虽然在性能和稳定性方面表现卓越,但并不代表其永远不会出故障。一旦一台大型主机出现了故障,那么整个系统将处于不可用的状态,后果相当严重。最后,随着业务的不断发展,用户访问量迅速提高,计算机系统的规模也在不断扩大,在单一大型主机上进行扩容往往比较困难。
    分布式存储系统,是将数据分散存储在多台独立的设备上。分布式存储系统采用可扩展的系统结构,利用多台存储服务器分担存储负载,利用位置服务器定位存储信息,它不但提高了系统的可靠性、可用性和存储效率,还容易进行扩展。因为分布式存储具备区块链去中心化的特质,可以弥补过度中心化缺陷。其存储网络的拓扑结构可以是P2P网络,可以是存在几个联盟的中介服务商或运营商的去中心化网络,抛开了单一中心化存储服务商经营风险。
    【问题4】
    (1)电力供给充足可靠,通信快速畅通,交通便捷;
    (2)采用水蒸发冷却制冷应考虑水源是否充足;
    (3)环境温度有利于节约能源;
    (4)远离产生粉尘、油烟、有害气体或贮存具有腐蚀性、易燃易爆物品的场所;
    (5)远离水灾、火灾和自然灾害隐患区域;
    (6)远离强振源和强噪声源;
    (7)避开强电磁场干扰;
    (8)不宜建在公共停车库的正上方;
    (9)大中型数据中心不宜建在住宅小区和商业区内。

第 3 题

阅读以下说明,回答问题1至问题4,将解答填入答题纸对应的解答栏内。
【说明】
案例一
据新闻报道,某单位的网络维护员张某将网线私自连接到单位内部专网,通过专网远程登录到该单位的某银行储蓄所营业员电脑,破解默认密码后以营业员身份登录系统,盜取该银行83.5万元。该储蓄所使用与互联网物理隔离的专用网络,且通过防火墙设置层层防护,但最终还是被张某非法入侵,并造成财产损失。
案例二
据国内某网络安全厂商通报,我国的航空航天、科研机构、石油行业、大型互联网公司以及政府机构等多个单位受到多次不同程度的APT攻击,攻击来源均为国外几个著名的APT组织。比如某境外APT组织搭建钓鱼攻击平台,冒充“系统管理员"向某科研单位多名人员发送钓鱼邮件,邮件附件中包含伪造Office. PDF图标的PE文件或者含有恶意宏的Word文件,该单位小李打开钓鱼邮件附件后,其工作电脑被植入恶意程序,获取到小李个人邮箱账号和登录密码,导致其电子邮箱被秘密控制。之后,该APT组织定期远程登录小李的电子邮箱收取文件,并利用该邮箱向小李的同事、下级单位人员发送数百封木马钓鱼邮件,导致十余人下载点击了木马程序,相关人员计算机被控制,造成敏感信息被窃取。

【问题1】 (4分)
安全运维管理为信息系统安全的重要组成部分,一般从环境管理、资产管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代码管理、备份与恢复管理、安全事件处置、外包运维管理等方面进行规范管理。其中:
1.规范机房出入管理,定期对配电、消防、空调等设施维护管理应属于(1)范围:
2.分析和鉴定安全事件发生的原因,收集证据,记录处理过程,总结经验教训应属于(2)范围:
3.制定重要设备和系统的配置和操作手册,按照不同的角色进行安全运维管理应属于(3)范围:
4.定期开展安全测评,形成安全测评报告,采取措施应对发现的安全问题应属于(4)管理范围。
【问题2】 (8分)
请分析案例一中网络系统存在的安全隐患和问题。
【问题3】 (8分)
请分析案例二,回答下列问题:
1.请简要说明APT攻击的特点。
2.请简要说明APT攻击的步骤。
【问题4】 (5分)
结合上述案例,请简要说明从管理层面应如何加强网络安全防范。

答案与解析

  • 试题难度:一般
  • 知识点:案例分析>网络安全方案
  • 试题答案:

    【问题1】
    (1)环境管理
    (2)安全事件处置
    (3)网络和系统安全管理
    (4)漏洞和风险管理
    【问题2】
    ①缺少网络准入控制;
    ②没有设置远程登录和访问权限,限制非授权访间;
    ③没有按要求定期更换系统密码或设置复杂度高的密码;
    ④系统缺少双因子身份认证;
    ⑤安全管理落实不到位,员工安全意识差。
    【问题3】
    1. APT攻击的特点:
    ①潜伏性,在用户网络环境中长久潜伏存在;
    ②持续性,持续不断地监控和获取敏感信息;
    ③威胁性大,有组织有预谋,成功率高,危害系数大,近年来频频发生针对我国政府机关和核心部门发起的有组织的APT攻击。
    2. APT攻击的步骤:
    ①收集信息或扫描探测;
    ②恶意代码投送;
    ⑧利用漏洞;
    ④植入木马或植入恶意程序;
    ⑤命令与控制或远程控制;
    ⑥横向渗透并达成目标;
    ⑦清除痕迹或者删除恶意程序。
    【问题4】
    ①明确网络安全管理制度;
    ②明确网络安全主体责任;
    ③细化网络安全工作职责,责任到人;
    ④合理分配人员权限、最小权限和加强审计;
    ⑤加强网络安全意识和技能培训;
    ⑥强化网络安全执行监督。

  • 试题解析:

    【问题1】
    (1)环境管理主要是机房环境的安全管理,包括出入管理、机房辅助设施、机房管理制度、来访人员管理等。要求指定部门或专人负责机房安全,定期对机房设施进行维护管理,制定机房安全管理规定,同时要求不在重要区域接待来访人员和桌面不能有包含敏感信息的纸档文件、移动介质等。
    (2)安全事件管理要求及时向安全管理部门报告安全弱点和可疑事件,制定安全时间报告和处置管理制度,并在事件报告和响应处理过程中分析原因、收集证据、记录处理过程、总结经验教训,重大事件应采用不同的处理程序和报告程序等。
    (3)网络和系统安全管理对包括管理员角色和权限的划分、账户及安全策略的控制和规定、日志记录和分析、各项运维活动的规程和审批等做了要求
    (4)漏洞和风险管理要求及时识别、发现并修补安全漏洞和隐患,并定期开展安全测评,采取措施应对测评报告中发现的安全问题。
    【问题2】
    ①缺少网络准入控制;
    ②没有设置远程登录和访问权限,限制非授权访间;
    ③没有按要求定期更换系统密码或设置复杂度高的密码;
    ④系统缺少双因子身份认证;
    ⑤安全管理落实不到位,员工安全意识差。
    【问题3】
    1. APT(Advanced Persistent Threat,高级持续性威胁),是一种针对特定目标进行长期持续性网络攻击的攻击模式。典型的APT攻击一般会带有以下特征:
    持续性:
    攻击者通常会花费大量的时间来跟踪、收集目标系统中的网络运行环境,并主动探寻被攻击者的受信系统和应用程序的漏洞。即使一段时间内,攻击者无法突破目标系统的防御体系。但随着时间的推移,目标系统不断有新的漏洞被发现,防御体系也会存在一定的空窗期(例如设备升级、应用更新等),而这些不利因素往往会导致被攻击者的防御体系失守。
    终端性:
    攻击者并不是直接攻击目标系统,而是先攻破与目标系统有关系的人员的终端设备(如智能手机、PAD、USB等等),并窃取终端使用者的账号、密码信息。然后以该终端设备为跳板,再攻击目标系统。
    针对性:
    攻击者会针对收集到的目标系统中常用软件、常用防御策略与产品、内部网络部署等信息,搭建专门的环境,用于寻找有针对性的安全漏洞,测试特定的攻击方法能否绕过检测。
    未知性:
    传统的安全产品只能基于已知的病毒和漏洞进行攻击防范。但在APT攻击中,攻击者会利用0DAY漏洞(0day漏洞也不是指某一种特定技术的漏洞,它是指软件或系统中已经被发现,但官方还不知道或还没有发布相应补丁的漏洞。)进行攻击,从而顺利通过被攻击者的防御体系。
    隐蔽性:
    攻击者访问到重要资产后,会通过控制的客户端,使用合法加密的数据通道,将信息窃取出来,以绕过被攻击者的审计系统和异常检测系统的防护。
    从以上的攻击特征可以看出,APT攻击相对于传统的攻击模式,手段更先进、攻击更隐蔽、破坏更严重,因此已经成为威胁当今网络安全的一大隐患。
    2. APT攻击的步骤:
    ①收集信息或扫描探测;
    ②恶意代码投送;
    ⑧利用漏洞;
    ④植入木马或植入恶意程序;
    ⑤命令与控制或远程控制;
    ⑥横向渗透并达成目标;
    ⑦清除痕迹或者删除恶意程序。
    【问题4】
    ①确定网络安全管理制度;
    ②明确网络安全主体责任;
    ③细化网络安全工作职责,责任到人;
    ④合理分配人员权限、最小权限和加强审计;
    ⑤加强网络安全意识和技能培训;
    ⑥强化网络安全执行监督。

results matching ""

    No results matching ""