某企业的网络结构如图2-1所示。
该企业通过一台路由器接入到互联网,企业内部按照功能的不同分为6个VLAN。分别是网络设备与网管(VLAN1)、内部服务器(VLAN2)、Internet连接(VLAN3)、财务部(VLAN4)、市场部(VLAN5)、研发部门(VLAN6)。
图2-1
【问题1】(7分)
1.访问控制列表ACL是控制网络访问的基本手段,它可以限制网络流量,提高网络性能。ACL使用(1)技术来达到访问控制目的。ACL分为标准ACL和扩展ACL两种,标准访问控制列表的编号为(2)和1300~1999之间的数字,标准访问控制列表只使用(3)进行过滤,扩展的ACL的编号使用(4)以及2000~2699之间的数字。
2.每一个正确的访问列表都至少应该有一条(5)语句,具有严格限制条件的语句应放在访问列表所有语句的最上面,在靠近(6)的网络接口上设置扩展ACL,在靠近(7)的网络接口上设置标准ACL。
【问题2】(5分)
网管要求除了主机10.1.6.66能够进行远程telnet到核心设备外,其它用户都不允许进行tehet操作。同时只对员工开放Web服务器(10.1.2.20)、FTP服务器(10.1.2.22)和数据库服务器(10.1.2.21:1521),研发部除IP为10.1.6.33的计算机外,都不能访问数据库服务器,按照要求补充完成以下配置命令。
…
Switch-core#conf t
Switch-core(config)#access-list 1permit host(8)
Switch-core(config)#line(9)0 4
Switch-core(config-line)#access-class 1(10)
…
Switch-core(config)#ip access-list extend server-project
Switch-core(config–ext-nacl)#permit tcp host(11)host 10.1.2.21 eq 1521
Switch-core(config–ext-nacl)#deny tcp(12)0.0.0.255 host 10.1.2.21 eq 1521
Switch-core(config–ext-nacl)#permit tcp 10.1.0.0.0.0.255.255 host 10.1.2.21 eq 1521
Switch-core(config–ext-nacl)#permit tcp 10.1.0.0.0.0.255.255 host 10.1.2.20 eq www
Switch-core(config–ext-nacl)#permit tcep 10.1.0.0.0.0.255.255 host 10.1.2.22 eq ftp
【问题3】(4分)
该企业要求在上班时间内(9:00-18:00)禁止内部员工浏览网页(TCP 80和TCP 443端口),禁止使用QQ(TCP/UDP 8000端口以及UDP 4000)和MSN(TCP 1863端口)。另外在2015年6月1日到2日的所有时间内都不允许进行上述操作。除过上述限制外。在任何时间都允许以其它方式访问Internet。为了防止利用代理服务访问外网,要求对常用的代理服务端口TCP 8080、TCP 3128和TCP 1080也进行限制。按照要求补充完成(或解释)以下配置命令。
...
Switch-core(config)#time-range TR1
Switch-core(config-time-range)#absolute start 00:00 1 June 2015 end 00:00 3 June 2015
Switch-core(config-time-range)#periodic weekdays start(13)
Switch-core(config-time-range)#exit
...
Switch-core(config)#ip access-list extend internet_limit
Switch-core(config-ext-nacl)#deny tcp 10.1.0.0?0.0.255.255?any?eq?80 time-range TR1
Switch-core(config-ext-nacl)#deny tcp 10.1.0.0 0.0.255.255 any eq 443 time-range TR1
//(14)
Switch-core(config-ext-nacl)#deny tcp 10.1.0.0 0.0.255.255 any eq 1863 time-range TR1
//(15)
Switch-core(config-ext-nacl)#deny tcp 10.1.0.0 0.0.255.255 any eq 8000 time-range TR1
Switch-core(config-ext-nacl)#deny tcp 10.1.0.0 0.0.255.255 any eq 8000 time-range TR1
Switch-core(config-ext-nacl)#deny tcp 10.1.0.0 0.0.255.255 any eq 4000 time-range TR1
Switch-core(config-ext-nacl)#deny tcp 10.1.0.0 0.0.255.255 any eq 3128 time-range TR1
Switch-core(config-ext-nacl)#deny tcp 10.1.0.0 0.0.255.255 any eq 8080 time-range TR1
Switch-core(config-ext-nacl)#deny tcp 10.1.0.0 0.0.255.255 any eq 1080 time-range TR1
Switch-core(config-ext-nacl)#permit ip any any
Switch-core(config-ext-nacl)#exit
Switch-core(config)#int(16)
Switch-core(config-if)#ip access-group internrt_limit out
...
【问题4】(4分)
企业要求市场和研发部门不能访问财务部Vlan中的数据,但是财务部门做为公司的核心管理部门,又必须能访问到市场和研发部门Vlan内的数据。按照要求补充完成(或解释)以下配置命令。
...
Switch-core(config)#ip access-list extend fi-main
Switch-core(config-ext-nacl)#permit tcp any 10.1.0.0 0.0.255.255 reflect r-main timeout 120
Switch-core(config-ext-nacl)#permit udp any 10.1.0.0 0.0.255.255 reflect r-main timeout 200
Switch-core(config-ext-nacl)#permit icmp any 10.1.0.0 0.0.255.255 reflect r-main timeout 10
Switch-core(config-ext-nacl)#permit ip any any
Switch-core(config-ext-nacl)#exit
Switch-core(config-ext-nacl)#int(17)
Switch-core(config-if)#ip access-group fi-main in
…
Switch-core(config)#ip access-list extend fi-access-limit
Switch-core(config-ext-nacl)#evaluate r-main
Switch-core(config-ext-nacl)#deny ip any(18)
Switch-core(config-ext-nacl)#permit ip any any
Switch-core(config-ext-nacl)#exit
Switch-core(config)#int(19)
Switch-core(config-if)#ip access-group fi-access-limit in
Switch-core(config-if)#int(20)
Switch-core(config-if)#ip access-group fi-access-limit in
...
正确答案及解析
正确答案
解析
【问题1】(7分)
(1)对数据包进行过滤
(2)1-99
(3)源地址
(4)100-199
(5)允许
(6)出口(数据源地址)
(7)入口(数据目的地址)
【问题2】(5分)
(8)10.1.6.66
(9)vty
(10)in
(11)10.1.6.33
(12)10.1.6.0
【问题3】(4分)
(13)9:00 18:00
(14)禁止10.1.0.0/16的主机在上班时间通过443端口访问Web服务器
(15)禁止10.1.0.0/16的主机在上班时间通过1863端口登录MSN
(16)vlan 3
【问题4】(4分)
(17)vlan 4
(18)10.1.4.0 0.0.0.255
(19)vlan 5
(20)vlan 6
【问题1】(7分)
访问控制列表就是用来在路由技术的网络中,决定这些数据流量是应该被转发还是被丢弃的技术。同时访问控制列表成为实现防火墙实现的重要手段。
访问控制列表用来限制使用者或设备,达到控制网络流量,解决拥塞,提高安全性等。在IP网络中,可以使用的访问列表有标准访问列表(值为1~99)、扩展访问列表(标号为100~199)两种。
同时访问控制列表实际上是一系列的判断语句,这些语句是一种自上而下的逻辑排列的关系。当我们把一个访问控制列表放在接口上面的时候,被过滤的数据包会一个一个地和这些语句的条件进行顺序的比较,以找出符合条件的数据包。当数据包不能符合一条语句的条件,它将向下与下一条语句的条件比较,如果一直不能符合的话。在访问控制列表的最后一项,有一条隐藏的语句,拒绝所有,把数据包丢弃。
对于过滤从同一个源地址到目地址的数据流,在网络中应用标准访问控制列表和应用扩展的访问控制列表的位置是不同的。标准的访问控制列表要尽量放在接近数据流目的的地方,也就是路由器的in接口。扩展的访问控制列表要尽量放在接近数据流源的地方,也就是路由器的OUT接口。
【问题2】(5分)
网管要求除了主机10.1.6.66能够进行远程telnet到核心设备外,其它用户都不允许进行telnet操作。同时只对员工开放Web服务器(10.1.2.20)、FTP服务器(10.1.2.22)和数据库服务器(10.1.2.21:1521),研发部除IP为10.1.6.33的计算机外,都不能访问数据库服务器,按照要求补充完成以下配置命令。
Access-list 1 permit host 10.1.6.66
Line vty 0 4
Access-class 1 in
Permit tcp host 10.1.6.33 host 10.1.2.21 eq 1521
Deny tcp 10.1.6.0 0.0.0.255 host 10.1.2.21 eq 1521
【问题3】(4分)
本题主要考察基于时间的ACL:
第一步,定义一个时间范围;
第二步,在访问表中用Time-range引用刚刚定义的时间范围。
一、定义时间范围
定义时间范围又分为两个步骤。
1:使用全局Time-range命令来正确地指定时间范围。
格式:time-range time-range-name
2:使用Absolute(绝对时间)或者一个或多个Periodic(循环时间)语句来定义时间范围,每个时间范围只能有一个Absolute语句,但它可以有多个Periodic语句。
所以:periodic weekdays start 9:00 18:00
Deny tcp 10.1.0.0 0.0.255.255 any eq 443 time-range TR1//禁止10.1.0.0/16的主机在上班时间通过443端口访问Web服务器
Deny tcp 10.1.0.0 0.0.255.255 any eq 1863 time-range TR1//禁止10.1.0.0/16的主机通过1863端口登录MSN
Int vlan 3//配置在核心交换机vlan3这边的接口上
【问题4】(4分)
两个主机进行通信,需要满足A到B、B到A这两个反向的数据包都不能阻断,
当财务部访问市场部门和研发部门的时候,当这些部门主机在到达核心交换机的时候,由于普通的ACL不具备监测会话状态的能力,就会被deny ip any 10.1.4.0 0.0.0.255这条ACL阻断了,所以不能访问成功。
要实现单方向的访问控制,我们可以在财务部访问市场和研发部门时候,在市场和研发部门的ACL临时生成一个反向的ACL条目,就能实现。
int vlan4//反向的ACL应用在财务部所在VLAN4的in接口上。
Denyip any 10.1.4.0 0.0.0.255
int vlan 5
int vlan 6
包含此试题的试卷
你可能感兴趣的试题
阅读以下关于Web系统架构设计的教述,在答题纸上回答问题1至问题3。
【说明】
某公司拟开发一个智能家居管理系统,该系统的主要功能需求如下:1)用户可使用该系统客户端实现对家居设备的控制,且家居设备可向客户端反馈实时状态;2)支持家居设备数据的实时存储和查询;3)基于用户数据,挖掘用户生活习惯,向用户提供家居设备智能化使用建议。
基于上述需求,该公司组建了项目组,在项目会议上,张工给出了基于家庭网关的传统智能家居管理系统的设计思路,李工给出了基于云平台的智能家居系统的设计思路。经过深入讨论,公司决定采用李工的设计思路。
【问题1】 (8分)
请用400字以内的文字简要描述基于家庭网关的传统智能家居管理系统和基于云平台的智能家居管理系统在网关管理、数据处理和系统性能等方面的特点,以说明项目组选择李工设计思路的原因。
【问题2】 (12分)
请从下面给出的(a) ~ (j) 中进行选择,补充完善图5-1中空(1) ~ (6)处的内容,协助李工完成该系统的架构设计方案。
(a) Wi-FI
(b) 蓝牙
?驱动程序
(d)数据库
(e)家庭网关
(f)云平台
(g)微服务
(h)用户终端
(i)鸿蒙
(j)TCP/IP
【问题3】 (5分)
该系统需实现用户终端与服务端的双向可靠通信,请用300字以内的文字从数据传输可靠性的角度对比分析TCP和UDP通信协议的不同,并说明该系统应采用哪种通信协议
- 查看答案
某医院拟委托软件公司开发一套预约挂号管理系统,以便为患者提供更好的就医体验,为医院提供更加科学的预约管理。本系统的主要功能描述如下:
(a)注册登录
(b)信息浏览
(c)账号管理
(d)预约挂号
(e)查询与取消预约
(F)号源管理
(g)报告查询
(h)预约管理
(i)报表管理
(j)信用管理
【问题1】 (6 分)
若采用面向对象方法对预约挂号管理系统进行分析,得到如图2-1所示的用例图。请将合适的参与者名称填入图2-1中的(1)和(2)处,使用题干给出的功能描述(a)(j),完善用例(3)(12)的名称,将正确答案填在答题纸上。
【问题2】 (10分)
预约人员(患者)登录系统后发起预约挂号请求,进入预约界面。进行预约挂号时使用数据库访问类获取医生的相关信息,在数据库中调用医生列表,并调取医生出诊时段表,将医生出诊时段反馈到预约界面,并显示给预约人员;预约人员选择医生及就诊时间后确认预约,系统反馈预约结果,并向用户显示是否预约成功。
采用面向对象方法对预约挂号过程进行分析,得到如图2-2所示的顺序图,使用题干中给出的描述,完善图2-2中对象(1),及消息(2)~(4)的名称,将正确答案填在普题纸上请简要说明在描述对象之间的动态交互关系时,协作图与顺序图存在哪些区别?
【问题3】 (9分)
采用面向对象方法开发软件,通常需要建立对象模型、动态模型和功能模型,请分别介绍这3种模型,并详细说明它们之间的关联关系,针对上述模型,说明哪些模型可用于软件的需求分析?
- 查看答案
阅读以下关于数据库设计的叙述,在答题纸上回答问题1至问题3。
【说明】
某医药销售企业因业务发展,需要建立线上药品销售系统,为用户提供便捷的互联网药品销售服务、该系统除了常规药品展示、订单、用户交流与反馈功能外,还需要提供当前热销产品排名、评价分类管理等功能。通过对需求的分析,在数据管理上初步决定采用关系数据库(MySQL)和数据库缓存(Redis)的混合架构实现。
经过规范化设计之后,该系统的部分数据库表结构如下所示。
供应商(供应商ID,供应商名称,联系方式,供应商地址);
药品(药品ID,药品名称,药品型号,药品价格,供应商ID);
药品库存(药品ID,当前库存数量);
订单(订单号码,药品ID,供应商ID,药品数量,订单金额)。
【问题1】 (9分)
在系统初步运行后,发现系统数据访问性能较差。经过分析,刘工认为原来数据库规范化设计后,关系表过于细分,造成了大量的多表关联查询,影响了性能。例如当用户查询商品信息时,需要同时显示该药品的信息、供应商的信息、当前库存等信息。
为此,刘工认为可以采用反规范化设计来改造药品关系的结构,以提高查询性能。修改后的药品关系结构为:
药品(药品ID,药品名称,药品型号,药品价格,供应商ID,供应商名称,当前库存数量) ;
请用200字以内的文字说明常见的反规范化设计方法,并说明用户查询商品信息应该采用哪种反规范化设计方法
【问题2】 (9分)
王工认为,反规范化设计可提高查询的性能,但必然会带来数据的不一致性问题。请用200字以内的文字说明在反规范化设计中,解决数据不一致性问题的三种常见方法,并说明该系统应该采用哪种方法。
【问题3】 (7分)
该系统采用了Redis来实现某些特定功能(如当前热销药品排名等),同时将药品关系数据放到内存以提高商品查询的性能,但必然会造成Redis和MySQL的数据实时同步问题。
(1) Redis的数据类型包括String、 Hash、 List、 Set和ZSet等,请说明实现当前热销药品排名的功能应该选择使用哪种数据类型。
(2)请用200字以内的文字解释说明解决Redis和MySQL数据实时同步问题的常见方案
- 查看答案
某公司拟开发一套机器学习应用开发平台,支持用户使用浏览器在线进行基于机器学习的智能应用开发活动。该平台的核心应用场景是用户通过拖拽算法组件灵活定义机器学习流程,采用自助方式进行智能应用设计、实现与部署,并可以开发新算法组件加入平台中。在需求分析与架构设计阶段,公司提出的需求和质量属性描述如下:
(a)平台用户分为算法工程师、软件工程师和管理员等三种角色,不同角色的功能界面有所不同;
(b)平台应该具备数据库保护措施,能够预防核心数据库被非授权用户访问;
(c)平台支持分布式部署,当主站点断电后,应在20秒内将请求重定向到备用站点;
(d)平台支持初学者和高级用户两种界面操作模式,用户可以根据自己的情况灵活选择合适的模式;
(e)平台主站点宕机后,需要在15秒内发现错误并启用备用系统;
(f)在正常负载情况下,机器学习流程从提交到开始执行,时间间隔不大于5秒;
(g)平台支持硬件扩容与升级,能够在3人天内完成所有部署与测试工作;
(h)平台需要对用户的所有操作过程进行详细记录,便于审计工作;
(i)平台部署后,针对界面风格的修改需要在3人天内完成;
(j)在正常负载情况下,平台应在0.5秒内对用户的界面操作请求进行响应;
(k)平台应该与目前国内外主流的机器学习应用开发平台的界面风格保持一致;
(l)平台提供机器学习算法的远程调试功能,支持算法工程师进行远程调试。
在对平台需求、质量属性描述和架构特性进行分析的基础上,公司的架构师给出了三种候选的架构设计方案,公司目前正在组织相关专家对平台架构进行评估。
【问题1】 (9分)
在架构评估过程中,,质量属性效用树(utility tree)是对系统质属性进行识别和优先级排序的重要工具。 请将合适的质量属性名称域入图1-1中(1)、(2)空白处,并从题干中的(a)-(i)中选择合适的质量属性描述,填入(3)-(6)空白处,完成该平台的效用树。
【问题2】 (16分)
针对该系统的功能,赵工建议采用解释器(interpreter)架构风格,李工建议采用管道过滤器(ppe-and-hlter)的架构风格,王工则建议采用隐式调用(implicit invocation)架构风格。请针对平台的核心应用场景,从机器学习流程定义的灵活性和学习算法的可扩展性两个方面对三种架构风格进行对比与分析,并指出该平台更适合采用哪种架构风格
- 查看答案
某项目进入详细设计阶段后,项目经理为后续活动制定了如图2所示的网络计划图,图中的“△”标志代表开发过程的一个里程碑,此处需进行阶段评审,模块1和模块2都要通过评审后才能开始修复。
项目经理对网络图中的各活动进行了成本估算,估计每人每天耗费的成本为1000元,安排了各活动的人员数量并统计了模块1、模块2的开发和测试活动的工作量(如表2所示),其中阶段评审活动不计入项目组的时间和人力成本预算,如表2所示。
[问题1] (3分)
请计算该项目自模块开发起至模块测试全部结束的计划工期。
[问题2] (10分)
详细设计完成后,项目组用了11天才进入阶段评审。在阶段评审中发现:模块1开发已完成,测试尚未开始;模块2的开发和测试均已完成,修复工作尚未开始,模块2的实际工作量比计划多用了3人?天。
(1)请计算自详细设计完成至阶段评审期间模块1的PV、EV、AC,并评价其进度和成本绩效。
(2)请计算自详细设计完成至阶段评审期间模块2的PV、EV、AC,并评价其进度和成本绩效。
[问题3] (8分)
(1)如果阶段评审未作出任何调整措施,项目仍按当前状况进展,请预测从阶段评审结束到软件集成开始这一期间模块l、模块2的ETC(完工尚需成本)(给出公式并计算结果)。
(2)如果阶段评审后采取了有效的措施,项目仍按计划进展,请预测从阶段评审结束到软件集成开始这一期间模块1、模块2的ETC(完工尚需成本)(给出公式并计算结果)。
[问题4] (4分)
请结合软件开发和测试的一般过程,指出项目经理制定的网络计划和人力成本预算中存在的问题。
- 查看答案