试卷详情

2013年下半年(下午)《网络规划设计师(案例分析)》真题

开始做题

试卷预览

问答题

某高校网络拓扑结构下图所示:

高级网络规划设计师,历年真题,2013年下半年(下午)《网络规划设计师(案例分析)》真题

【问题1】(7分)

目前网络中存在多种安全攻击,需要在不同位置部署不同的安全措施进行防范。常见的安全防范措施有:

1.防非法DHCP欺骗

2.用户访问权限控制技术

3.开启环路检测(STP)

4.防止ARP网关欺骗

5.广播风暴的控制

6.并发连接数控制

7.病毒防治

其中:在安全设备1上部署的措施有: (1) ;

在安全设备2上部署的措施有: (2) ;

在安全设备3上部署的措施有: (3) ;

在安全设备4上部署的措施有: (4) 。

【问题2】(8分)

学校服务器群目前共有200台服务器为全校提供服务,为了保证各服务器能提供正常的服务,需对图3-1所示的防火墙1进行安全配置,设计师制定了2套安全方案,请根据实际情况选择合理的方案并说明理由。

方案一:根据各业务系统的重要程度,划分为多个不同优先级的安全域,每个安全域采用一个独立子网,安全域等级高的主机默认允许访问安全域等级低的主机,安全域等级低的主机不能直接访问安全域等级高的主机,然后根据需要添加相应安全策略。

方案二:根据各业务系统提供的服务类型,划分为数据库、WeB,认证等多个不同虚拟防火墙,同一虚拟防火墙中相同VLAN下的主机可互访,不同VLAN下的主机均不允许互访,不同虚拟防火墙之间主机均不能互访。

【问题3】(6分)

为了防止资源的不合理使用,通常在核心层架设流控设备进行流量管理和终端控制,请列举出3种以上流控的具体实现方案。

【问题4】(4分)

非法DHCP欺骗是网络中常见的攻击行为,说明其实现原理并说明如何防范。

查看答案开始考试

正确答案:

本题解析:

【问题1】(7分)

在安全设备1上部署的措施有:6.并发连接数控制;

在安全设备2上部署的措施有:2.用户访问控制权限控制;

在安全设备3上部署的措施有:1.防非法DHCP欺骗、3.开启环路检测(STP)4.防止ARP地址欺骗 5.广播风暴控制;

在安全设备4上部署的措施有:7.病毒防治。

【问题2】(8分)

在学校服务器群选用虚拟防火墙方式更加合理。

虚拟防火墙可以在一个单一的硬件平台上提供多个防火墙实体,每台虚拟防火墙都可以被看成是一台完全独立的防火墙设备,可拥有独立的管理员、安全策略、用户认证数据库等。

虚拟防火墙组网模式极大的减少了用户拥有成本,降低了网络安全部署的复杂度,减少了运维中需要管理维护的网络设备,简化了网络管理的复杂度。

【问题3】(6分)

通常在核心层架设留空设备进行流量管理和终端控制

1、针对地址进行带宽限制,针对源IP、目的IP进行带宽限制。

2、针对子网进行带宽限制,防止某子网独占带宽。

3、针对服务进行带宽限制,比如视频、BT。

【问题4】(4分)

从DHCP工作原理可以看出,如果客户端是第一次、重新登录或租期已满不能更新租约,客户端都是以广播的方式来寻找服务器,并且只接收第一个到达的服务器提供的网络配置参数,如果在网络中存在多台DHCP服务器(有一台或更多台是非授权的),谁先应答,客户端就采用其提供的网络配置参数。假如非授权的DHCP服务器先应答,这样客户端最后获得的网络参数即是非授权的,客户端即被欺骗了。而在实际应用DHCP的网络中,基本上都会采用DHCP中继,这样的话,本网络的非授权DHCP服务器一般都会先于其余网络的授权DHCP服务器的应答(由于网络传输的延迟),在这样的应用中,DHCP欺骗更容易完成。

防范原理:为了防止DHCP欺骗,只要不让非授权的的DHCP服务器的应答通过网络即可,目前网络基本都采用交换机直接到桌面,并且交换机的一个端口只接一台计算机,因此,可以在交换机上做控制,只让合法的DHCP应答通过交换机,阻断非法的应答,从而防止DHCP欺骗,并且对用户的计算机不用做任何的改变。

防范方法:在交换机上启用DHCP SNOOPING功能。

DHCP SNOOPING通过建立和维护DHCP SNOOPING绑定表并过滤不可信任的DHCP信息来防止DHCP欺骗。

问答题

某高校校园网使用3个出口,新老校区用户均通过老校区出口访问互联网,其中新老校区距离20公里,拓扑如图2-1所示,学校服务器区网络拓扑结构如图2-2所示。

高级网络规划设计师,历年真题,2013年下半年(下午)《网络规划设计师(案例分析)》真题

图2-1

高级网络规划设计师,历年真题,2013年下半年(下午)《网络规划设计师(案例分析)》真题

图2-2

【问题1】(3分)

实现多出口负载均衡通常有依据源地址和目标地址两种方式,分别说明两种方式的实现原理和特点。

【问题2】(7分)

根据学校多年实际运行情况,现需对图2-1所示网络进行优化改造,要求:

(1)在只增加负载均衡设备的情况下,且仅限通过老校区核心交换机1连接出口路由器;

(2)采用网络的冗余,解决新老校区互联网络中的单点故障;

(3)通过多出口线路负载,解决单链路过载;

(4)考虑教育网的特定应用,需采用明确路由。

试画出图2-1优化后的网络拓扑结构,并说明履行理由。

【问题3】(5分)

现学校有两套存储设备,均放置于老校区中心机房,存储1是基于IP-SAN技术,存储2是基于FC-SAN技术。试说明2-2中数据库服务器和容灾服务器应采用哪种存储技术,并说明理由。

【问题4】(5分)

当前存储磁盘柜中通常包含SAS和SATA磁盘类型,试说明2-2中数据库服务器和容灾服务器应选择哪种磁盘类型,并说明理由。

【问题5】(5分)

目前存储中使用较多的RAID5和RAID10,试说明图2-2中数据库服务器和容灾服务器(数据级)各应选择哪种RAID技术,并说明理由。

查看答案开始考试

正确答案:

本题解析:

【问题1】(3分)

(1)基于源IP的负载均衡:将来自同一个源IP的请求映射到一台服务器或链路上。适用于需要保证来自同一个用户的请求分发到同一个服务器或链路的情况。

(2)基于目的IP负载均衡:将去往同一个目的IP的请求映射到一台服务器或链路上。适用于需要保证到达同一个目的地的请求分发到同一台服务器或链路的情况。

【问题2】(7分)

高级网络规划设计师,历年真题,2013年下半年(下午)《网络规划设计师(案例分析)》真题

(1)在校区核心交换机与出口路由器之间添加负载均衡设备,通过此设备进行流量负载分担。

(2)老校区与新校区核心设备之间进行两两连接,避免单点故障。

(3)针对于访问教育网的流量,做基于目标地址的负载均衡,通过教育网出口进行转发。而其它流量做基于源地址的负载均衡,通过电信和联通出口路由器转发。

【问题3】(5分)

在对安全、高效、稳定性要求较高的网络存储系统中,多采用FC-SAN。数据库服务直接面向应用,对各方面的要求较高,所以选择FC-SAN较适合。

IP-SAN技术虽然具有成本小、管理门坎及维护成本低、无距离限制、组建方式灵活,可扩展性高等优势,但IP-SAN扰人的噪声碰撞问题、传输速率不高,加之IP网络环境复杂,安全性也相对令人质疑。备份服务器没有面向应用,对相关要求不是很高,所以选择IP-SAN更加合适。

【问题4】(5分)

SATA硬盘主要应用在线、近线作业、高可用性、随机读取、循序读取的情况。容量高、成本低、与SAS兼容。

SAS硬盘主要应用在线、高可用性、随机读取的情况,适用于大、中型企业关键任务资料的存储,效能高而且扩充性极高,与SATA兼容。

数据库服务器选择SAS硬盘更加适合,而备份服务器选择SATA更适合。

【问题5】(5分)

如果是以大量的事务性的操作,在典型的OLTP 环境里,我们考虑RAID10更好些,因为OLTP 环境,IO 性能上我们考虑的主要方面。RAID10的IO性能比RAID5高。对于典型的数据仓库环境,OLAP 环境,我们选择RAID5 ,因为从空间上来说,RAID5更合适。

所以数据库系统选用RAID10更好,而备份服务器选择RAID5。

问答题

企业网络拓扑结构如图1-1所示。

高级网络规划设计师,历年真题,2013年下半年(下午)《网络规划设计师(案例分析)》真题

图1-1

【问题1】(5分)

企业网络的可用性和可靠性是至关重要的,经常会出现因网络设备、链路损坏等导致整个网络瘫痪的现象。为了解决这个问题,需要在已有的链路基础上再增加一条备用链路,这称为网络冗余。

(1)对于企业来说,直接增加主干网络链路带宽的方法有哪些 并请分析各种方法的优缺点。(3分)

(2)一般常用的网络冗余技术可以分为哪两种。(2分)

【问题2】(10分)

(1)网络冗余是当前网络为了提高可用性、稳定性必不可少的技术,在本企业网络中要求使用双核心交换机互做备份实现两种网络冗余技术,同时出口路由器因为负载过重也需要进行网络结构调整优化,请画图说明在不增加网络设备的情况下完成企业主干网络结构调优。(4分)

(2)在两台核心交换机上配置VRRP冗余,以下为部分配置命令。根据需求,完成(或解释)核心交换机Switch-A的部分配置命令(6分)

Switch-A:

Switch-A(config)#track 100 interface F0/1 line-protocol

// ①

Switch-A(config-track)#exit

Switch-A(config)int VLAN 1

Switch-A(config-if)vrrp 1 ip 192.168.1.254

//在VLAN1中配置VRRP组1,并指定虚拟路由器的IP地址为192.168.1.254

Switch-A(config-if)# ②

//开启主路由器身份抢占功能

Switch-A(config-if)vrrp 1 authentication md5 key-string Cisco

//配置VRRP协议加密认证

Switch-A(config-if)#VRRP 1 track 100 decrement 30

// ③

【问题3】(6分)

随着企业网络的广泛应用,用户对于移动接入企业网的需求不断增加,无线网络作为有线网络的有效补充,凭借着投资少、建设周期短、使用方便灵活等特点越来越受到企业的重视,近年来企业也逐步加大无线网络的建设力度。

(1)构建企业无线网络如何保证有效覆盖区域并尽可能减少死角 (2分)

(2)IEEE认定的四种无线协议标准是什么 (2分)

(3)简单介绍三种无线安全的加密方式。(2分)

【问题4】(4分)

随着企业关键网络应用业务的发展,在企业网络中负载均衡的应用需求也越来越大。

(1)负载均衡技术是什么 负载均衡会根据网络的不同层次(网络七层)来划分。其中第二层的负载均衡是什么技术 (2分)

(2)服务器集群技术和服务器负载均衡技术的区别是什么 (2分)

查看答案开始考试

正确答案:

本题解析:

【问题1】(5分)

(1)增加链路带宽一般有两种方法,一种是直接升级到高速率模块,如添加千兆或万兆模块进行升级。另一种方法是通过链路聚合的方法,将多条物理链路捆绑成一条逻辑链路,实现带宽扩容。这两种方法各有优劣,升级模块方式成本较高,但不会占用已有的端口数量。而链路聚合方式不需要增加额外成本,但会占用现有端口数量。

(2)一般网络冗余技术可以包括二层冗余链路、三层网关冗余设备。

【问题2】(10分)

(1)主干网络调整如下图:核心交换之间通过链路捆绑连接;增加汇聚交换机到核心交换机的链路。核心交换机部署STP协议和VRRP协议,把服务器群接入至核心交换机A或B。

高级网络规划设计师,历年真题,2013年下半年(下午)《网络规划设计师(案例分析)》真题

(2)

①针对接口f0/1配置一个track,编号为100。

② vrrp 1 preempt

③在vrrp组1中应用track100,当F0/1端口down掉时,优先级降低30。

【问题3】(6分)

(1)构建企业无线网络如何保证有效覆盖区域并尽可能减少死角的方法有:

1)改变无线AP的位置

2)改变无线频段或信道

3)升级路由器固件

4)升级无线适配器固件

5)架设第二台AP进行无线中继

6)升级天线

7)部署最新的无线AP、适配器

8)向厂商定制专有无线方案

(2)IEEE认定的无线协议主要有:IEEE802.15,IEEE802.11,IEEE802.16,IEEE802.20。

(3)无线加密三种选择:WEP、WPA和WPA2

WEP(Wired Equivalent Privacy,有线等效保密)。为RC4的RSA数据加密技术,常见的是64位和128位WEP加密。

WPA(WiFi Protected Access,WiFi网络安全存取)。使用了全新的TKIP(临时密钥完整性)协议。WPA有两种认证模式,一种是使用802.1x协议进行认证(面向企业用户);一种是称为预先共享密钥PSK模式(面向个人用户)。

WPA2,即WPA加密的升级版。它采用CCMP(计数器模式密码块链消息完整码协议)认证AES加密。与WPA加密相同,WPA2同样有两种认证模式可供选择。

【问题4】(4分)

(1)负载均衡(又称为负载分担),英文名称为Load Balance,其意思就是将负载(工作任务)进行平衡、分摊到多个操作单元上进行执行,例如Web服务器、FTP服务器、企业关键应用服务器和其他关键任务服务器等,从而共同完成工作任务。

链路聚合技术(第二层负载均衡)将多条物理链路当作一条单一的聚合逻辑链路使用。

(2)集群是一组独立的计算机系统构成一个松耦合的多处理器系统,它们之间通过网络实现进程间的通信。应用程序可以通过网络共享内存进行消息传送,实现分布式计算机。集群系统主要解决高可靠性(HA)和高性能计算(HP)。

负载均衡了一种廉价有效的方法扩展服务器带宽和增加吞吐量,加强网络数据处理能力,提高网络的灵活性和可用性。

其他考生还关注了更多 +