1.閱讀以下說(shuō)明，回答問(wèn)題1至問(wèn)題4，將解答填入答題紙對(duì)應(yīng)的解答欄內(nèi)。

 【說(shuō)明】某企業(yè)網(wǎng)絡(luò)拓?fù)淙鐖D1-1所示。

【問(wèn)題1】（6分）

根據(jù)國(guó)1-1，對(duì)該網(wǎng)絡(luò)主要設(shè)備清單表1-1所示內(nèi)容補(bǔ)充完整。

【問(wèn)題2】（8分）

1.網(wǎng)絡(luò)中A、B設(shè)備連接的方式是什么？依據(jù)A、B設(shè)備性能及雙鏈路連接，計(jì)算兩者之間的最大寬帶。

2.交換機(jī)組F的連接方式是什么？采用這種連接方式的好處是什么？

【問(wèn)題3】(6分)該網(wǎng)絡(luò)拓?fù)渲羞B接到各分部可采用租賃ISP的DDN、Frame Relay、ISDN線路等方式，請(qǐng)簡(jiǎn)要介紹這幾種接方式。

【問(wèn)題4】(5分)若考慮到成本問(wèn)題，對(duì)其中條連接用VPN的方式，在分部路由器上做下列配置：

sub-company(config)#crypto isakmp policy 1

sub-company(config-isakmp)#encry des

sub-company(config-isakmp)#hash md5

sub-company(config-isakmp)#authentication pre-share

sub-company(config)# crypto isakmp key 6 cisco address x.x.x.x

該命令片段配置的是（7）

(7)備選答案：

A、定義ESP

B、IKE策略

C、IPSce VPN數(shù)據(jù)

D、路由映射

在該配置中，IP地址×.×.×.×是該企業(yè)總部IP地址還是分布IP地址?

參考答案：

【問(wèn)題1】

(1)C  (2)匯聚交換機(jī)  (3)D  (4)路由器  (5)E  (6)防火墻

【問(wèn)題2】

鏈路聚合或者鏈路捆綁在兩臺(tái)設(shè)備間采用鏈路聚合后，在不考慮協(xié)議開(kāi)銷的前題下，其帶寬是原來(lái)單鏈路帶寬的2倍。

雙鏈路上行和菊花型堆疊，增加了冗余，提高網(wǎng)絡(luò)可靠性與健壯性。

【問(wèn)題3】

DDN：專線連接方式，點(diǎn)對(duì)點(diǎn)通信，用戶獨(dú)占一條永久的、速率固定的專用線路，并獨(dú)享帶寬，延遲小，成本高，線路利用率低。

Frame Relay：采用分組交換技術(shù)，點(diǎn)對(duì)多點(diǎn)通信，將傳輸?shù)男畔澐譃橐欢ㄩL(zhǎng)度的分組，采用動(dòng)態(tài)復(fù)用技術(shù)來(lái)傳送幾個(gè)分組，雖然在任意時(shí)刻線路總是被某一個(gè)分組獨(dú)占，但線路的帶寬在統(tǒng)計(jì)上得到復(fù)用，有效提高了線路的利用率，由于要對(duì)數(shù)據(jù)進(jìn)行分組，因此該技術(shù)相比專線方式延遲大，但成本低。

ISDN：是電路交換技術(shù)的典型代表，延遲小，點(diǎn)對(duì)點(diǎn)通信，線路利用率低。

【問(wèn)題4】(7)B   總部地址

2.閱讀以下說(shuō)明，回答問(wèn)題l至問(wèn)題4，將解答蟪入答題紙對(duì)應(yīng)的解答欄內(nèi)。

【說(shuō)明】傳統(tǒng)業(yè)務(wù)結(jié)構(gòu)下，由于多種技術(shù)之間的孤立性，使得數(shù)據(jù)中心服務(wù)器總是提供多個(gè)對(duì)外I/O接口。在云計(jì)算模式發(fā)展的推動(dòng)下，數(shù)據(jù)中心正在從過(guò)去的存儲(chǔ)處理中心演變成為應(yīng)用中心，并逐步向服務(wù)中心和運(yùn)營(yíng)中心轉(zhuǎn)變。而對(duì)客戶來(lái)說(shuō)，由于技術(shù)、經(jīng)驗(yàn)、資金等限制，在轉(zhuǎn)變過(guò)程中會(huì)遇到各種挑戰(zhàn)，例如虛擬化帶來(lái)的技術(shù)復(fù)雜性，規(guī)模擴(kuò)大帶來(lái)的運(yùn)維壓力，系統(tǒng)和數(shù)據(jù)遷移的困難以廈數(shù)據(jù)中心的高能耗等。

傳統(tǒng)業(yè)務(wù)結(jié)構(gòu)存儲(chǔ)下的數(shù)據(jù)中心網(wǎng)絡(luò)撲結(jié)構(gòu)圖如圖2-1所示。

【問(wèn)題1】（9分）

(1)如圖2-1所示，數(shù)據(jù)中心有多個(gè)網(wǎng)絡(luò)，一個(gè)是前端用戶通信網(wǎng)絡(luò)，一個(gè)是后端做數(shù)據(jù)更新或者做集群計(jì)算的通訊網(wǎng)絡(luò)，還有后臺(tái)光纖存儲(chǔ)網(wǎng)絡(luò)。針對(duì)這三種網(wǎng)絡(luò)分別舉出一個(gè)例子。

(2)如上所述，除以上三種網(wǎng)絡(luò)外有的數(shù)據(jù)中心還有專門用于虛擬機(jī)遷移的網(wǎng)絡(luò)，都會(huì)在服務(wù)器上做集中。這樣一臺(tái)服務(wù)器最多需要幾塊網(wǎng)卡與之相連？隨著TRILL等技術(shù)的出現(xiàn)，這個(gè)專用網(wǎng)絡(luò)還需要嗎？

(3)網(wǎng)絡(luò)成為數(shù)據(jù)中心資源的交換樞紐，當(dāng)前數(shù)據(jù)中心紛為IP數(shù)據(jù)網(wǎng)絡(luò)、存儲(chǔ)網(wǎng)絡(luò)、服務(wù)器集群網(wǎng)絡(luò)。隨著數(shù)據(jù)中心規(guī)模的逐步增大，簡(jiǎn)單分析帶來(lái)的問(wèn)題。

【問(wèn)題2】（4分）

FCoE采用增強(qiáng)型以太網(wǎng)作為物理網(wǎng)絡(luò)傳輸架掏，是專門為低延遲性高性能、二層數(shù)據(jù)中心網(wǎng)絡(luò)所設(shè)計(jì)的網(wǎng)絡(luò)協(xié)議。目前國(guó)際標(biāo)準(zhǔn)化組織已經(jīng)開(kāi)發(fā)了針對(duì)以太網(wǎng)標(biāo)準(zhǔn)的擴(kuò)展協(xié)議族，即“融合型增強(qiáng)以太網(wǎng)（CEE），這些擴(kuò)展協(xié)議族可以進(jìn)行所有類型的傳輸。試簡(jiǎn)述FCoE技術(shù)的優(yōu)點(diǎn)。

【問(wèn)題3】（6分）

為了實(shí)現(xiàn)統(tǒng)二管理、簡(jiǎn)化運(yùn)維，采用基于FCoE技術(shù)的數(shù)據(jù)中心統(tǒng) -1／0能夠?qū)崿F(xiàn)用少數(shù)的CNA(Converged Network adapter)代替數(shù)量較多的NIC HBA，HCA，所有的流量通過(guò)CNA萬(wàn)兆以太網(wǎng)傳輸。

按照18臺(tái)服務(wù)器（單網(wǎng)卡）為例，使用FCoE后每臺(tái)服務(wù)器只需要塊專用適配器（網(wǎng)卡），一套布線（以太網(wǎng)）系統(tǒng)，統(tǒng)一管理維護(hù)簡(jiǎn)單。表2-1為使用FcoE前18臺(tái)服務(wù)器需要的網(wǎng)卡、交換機(jī)、電纜以廈上聯(lián)端口的數(shù)量，請(qǐng)核算出使用FCoE后的相應(yīng)部件數(shù)量，填充表2-2。

【問(wèn)題4】（6分）

(1)隨著數(shù)據(jù)中心的發(fā)展，數(shù)據(jù)中心的能耗已經(jīng)成為一個(gè)嚴(yán)峻的問(wèn)題，PU已經(jīng)成為國(guó)際上比較通行的數(shù)據(jù)中心電力使用效率的衡量指標(biāo)。請(qǐng)問(wèn)PUE是什么，它的基準(zhǔn)是多少，其越接近多少表示一個(gè)數(shù)據(jù)中心的綠色化程度越高？

(2)在現(xiàn)代機(jī)房的機(jī)柜布局中，人們?yōu)榱嗣烙^和便于觀察會(huì)將所有的機(jī)柜朝同一個(gè)方向擺放。如果按照這種擺放方式，機(jī)柜盲板有效阻擋冷熱空氣的效果將大打折扣。正確的擺放方式是什么？請(qǐng)簡(jiǎn)述其原因。

(3)水冷空調(diào)系統(tǒng)是目前新一代大型數(shù)據(jù)中心制冷的首選方案，采用水冷空調(diào)在部分地區(qū)可以采取免費(fèi)冷卻技術(shù)以節(jié)能。免費(fèi)冷卻技術(shù)是什么？

參考答案：

【問(wèn)題1】

（1）主要包含以下三種網(wǎng)絡(luò)

1．以太網(wǎng)：前端的用戶通信網(wǎng)絡(luò)

2．FC光纖網(wǎng)絡(luò)：后臺(tái)存儲(chǔ)網(wǎng)絡(luò)光纖的通道

3．高性能計(jì)算Infiniband網(wǎng)絡(luò)（服務(wù)器集群網(wǎng)絡(luò)）：后端做數(shù)據(jù)更新或者做集群計(jì)算的通訊網(wǎng)絡(luò)

（2）最多需要8塊網(wǎng)卡與之相連。如使用trill（多鏈接透明互聯(lián)）后，該網(wǎng)絡(luò)無(wú)需存在。（實(shí)際服務(wù)器需與4個(gè)網(wǎng)絡(luò)相連，每個(gè)網(wǎng)絡(luò)需要兩塊網(wǎng)卡，故需要8塊）

（3）隨著數(shù)據(jù)中心的不斷擴(kuò)大，將帶來(lái)以下困難

1．每個(gè)服務(wù)器要多個(gè)專用適配器（網(wǎng)卡），要不同的布線系統(tǒng)

2．機(jī)房要支持更多設(shè)備：空間、耗電、制冷

3．多套網(wǎng)絡(luò)無(wú)法統(tǒng)管理，不同的維護(hù)人員

4．部署／配置／管理/運(yùn)維困難

【問(wèn)題2】

FCoE技術(shù)有以下的些優(yōu)點(diǎn)：光纖存儲(chǔ)和以太網(wǎng)共享同個(gè)端口；更少的線纜和適配器軟件配置l/O與現(xiàn)有的SAN環(huán)境可以互操作。

基于FCoE技術(shù)的數(shù)據(jù)中心統(tǒng)-l/o能夠?qū)崿F(xiàn)用少數(shù)的CNA(Converged Network adapter)代替數(shù)量較多的NIC、HBA、HCA，所有的流量通過(guò)CNA萬(wàn)兆以太網(wǎng)傳輸。

FCoE：FC埴接映射到以太網(wǎng)上進(jìn)行承載。

FC數(shù)據(jù)流和其它數(shù)據(jù)流共享以太網(wǎng)鏈路，F(xiàn)COE保留原FC網(wǎng)絡(luò)中N Port、F Port、E Port的結(jié)構(gòu)，F(xiàn)COE保留原FC的管理模式，保護(hù)原有投資。

兼容原有網(wǎng)絡(luò)：原有FC存儲(chǔ)網(wǎng)絡(luò)（FC交換機(jī)）可連接到數(shù)據(jù)中心以太網(wǎng)交換機(jī)上。

下代網(wǎng)絡(luò)：FCoE磁盤陣列可直接連接到數(shù)據(jù)中心交換機(jī)上。

使用FcoE的好處：

每個(gè)服務(wù)器只需要個(gè)專用適配器（網(wǎng)卡），套布線（以太網(wǎng)）系統(tǒng)（以前需要多個(gè)網(wǎng)卡，多套布線（以太網(wǎng)和光纖）系統(tǒng)）。

機(jī)房不再要支持更多設(shè)備：空間、耗電、制冷，更加節(jié)能綠色。

只有套網(wǎng)絡(luò)，統(tǒng)管理維護(hù)簡(jiǎn)單（原來(lái)是多套網(wǎng)絡(luò)無(wú)法統(tǒng)一管理，不同的維護(hù)人員維護(hù)困難）

部署／配置／管理/運(yùn)維簡(jiǎn)單。

網(wǎng)卡、交換機(jī)、光纖需要的數(shù)量減半，投資減少50%，能耗及維護(hù)費(fèi)用極大降低。

【問(wèn)題3】

（1）0  （2）0  （3）O  （4）O  （5）0  （6）O  （7）O 

（8）4  （9）18  （10）2  （11）36  （12）6

【問(wèn)題4】

（1）PUE是評(píng)價(jià)數(shù)據(jù)中心能源效率的指標(biāo)，是數(shù)據(jù)中心消耗的所有能源與IT負(fù)載使用的能源之比

PUE=數(shù)據(jù)中心總設(shè)備能耗/IT設(shè)備能耗，PUE是個(gè)比值，基準(zhǔn)值是2，越接近1表明能效水平越好

（2）可以采用冷熱通道區(qū)分設(shè)計(jì)，即‘面對(duì)面，背靠背’設(shè)計(jì)。這樣設(shè)計(jì)可更有效提高冷卻效率數(shù)據(jù)中心熱通道冷通道設(shè)計(jì)是交叉行排列服務(wù)器材機(jī)架，讓冷空氣的進(jìn)口朝一邊，熱空氣的出口朝另一邊。機(jī)架前端組成的行稱為冷通道。通常情況下，冷通道面向空調(diào)的輸出管道。熱空氣輸出的那行稱為熱通道。通常情況下，熱通道面向空調(diào)的回風(fēng)管道。有效減低冷熱空氣混合，達(dá)到良好的散熱及節(jié)能作用。

（3）免費(fèi)冷卻技術(shù)指全部或部分使用自然界的免螢冷源進(jìn)行制冷從而減少壓縮機(jī)或冷凍柵肖耗的能量。目前常用的免螢冷源主要是冬季或春秋季的室外空氣。

3.閱讀以下說(shuō)明，回答問(wèn)題l至問(wèn)題表；將解答填入答題紙對(duì)應(yīng)的解答欄內(nèi)。

【說(shuō)明】某學(xué)校擁有內(nèi)部數(shù)據(jù)庫(kù)服務(wù)器l臺(tái)，郵件服務(wù)器1臺(tái)，DHCP服務(wù)期1臺(tái)，F(xiàn)TP服務(wù)期1臺(tái)，流媒體服務(wù)期1臺(tái)，Web服務(wù)期1臺(tái)，要求為所有的學(xué)生宿舍提供有限網(wǎng)絡(luò)接入服務(wù)，要求為所有的學(xué)生宿舍提供有線網(wǎng)絡(luò)接入服務(wù)，對(duì)外提供Web服務(wù)，郵件服務(wù)，流媒體服務(wù)，內(nèi)部主機(jī)和其他服務(wù)期對(duì)外不可見(jiàn)。

【問(wèn)題1】請(qǐng)劃分防火墻的安全區(qū)域，說(shuō)明每個(gè)區(qū)域的安全級(jí)別，指出各臺(tái)服務(wù)器所處的安全區(qū)域。

【問(wèn)題2】（5分）請(qǐng)按照你的思路為該校進(jìn)行服務(wù)器和防火墻部署設(shè)計(jì)，對(duì)該校網(wǎng)絡(luò)進(jìn)行規(guī)劃，畫出網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖。

【問(wèn)題3】(5分)學(xué)校在原有校園網(wǎng)絡(luò)基礎(chǔ)上進(jìn)行了擴(kuò)建，采用DHCP。服務(wù)器動(dòng)態(tài)分配口地址口運(yùn)行一段時(shí)間后,網(wǎng)絡(luò)時(shí)常出現(xiàn)連接不穩(wěn)定、用戶所使用的口地址被“莫名其妙”修改、無(wú)法訪問(wèn)校園網(wǎng)的現(xiàn)象。經(jīng)檢測(cè)發(fā)現(xiàn)網(wǎng)絡(luò)中出現(xiàn)多個(gè)未授權(quán)DHCP地址。

請(qǐng)分析上述現(xiàn)象及遭受攻擊的原理，該如何防范？

【問(wèn)題4】（6分）學(xué)生宿舍區(qū)經(jīng)常使用的服務(wù)有Web、即時(shí)通信、郵件、FTP等，同時(shí)也因視頻流尋致大量的P2P流量，為了保障該區(qū)域中各項(xiàng)服務(wù)均能正常使用，應(yīng)采用何種設(shè)備合理分配每種應(yīng)用的帶寬？該設(shè)備部署在學(xué)校網(wǎng)絡(luò)中的什么位置？一般采用何種方式接入網(wǎng)絡(luò)？

【問(wèn)題5】(4分)當(dāng)前防火墻中，大多都集成了IPS服務(wù)，提供防火墻與口S的聯(lián)動(dòng)。區(qū)別于IDS，IPS主要增加了什么功能？通常采用何種方式接入網(wǎng)絡(luò)？

參考答案：

【問(wèn)題1】

劃分三個(gè)不同安全級(jí)別的區(qū)域。

（1）內(nèi)部網(wǎng)絡(luò)（2）外部網(wǎng)絡(luò)（3）DMZ區(qū)域（非軍事化區(qū)）

內(nèi)部網(wǎng)絡(luò)區(qū)域的安全級(jí)別最高，可信的、重點(diǎn)保護(hù)的區(qū)域。包括內(nèi)部的數(shù)據(jù)庫(kù)服務(wù)器、內(nèi)部的FTP服務(wù)器、DHCP服務(wù)器。

外部網(wǎng)絡(luò)：安全級(jí)別最低，不可信的、需要防備的區(qū)域。

DMZ區(qū)域（非軍事化區(qū)）：安全級(jí)別中等，通過(guò)該區(qū)域?qū)ν忾_(kāi)放些特定的服務(wù)與應(yīng)用，受定的保護(hù)。包括Web服務(wù)器、郵件服務(wù)器、流媒體服務(wù)器。

【問(wèn)題3】

用戶無(wú)法訪問(wèn)校園網(wǎng)是因?yàn)楂@取的IP不是授權(quán)的DHCP服務(wù)器分配給它的。解決該問(wèn)題從DHCP服務(wù)器給用戶分配IP的原理著手。DHCP服務(wù)器給用戶分配IP時(shí)會(huì)發(fā)送DHCP Offer和DHCP ACK文。如果讓交換機(jī)端口只接收授權(quán)DHCP服務(wù)器發(fā)過(guò)來(lái)的DHCP報(bào)文，其它端口不接收這些報(bào)文，該問(wèn)題就得以解決。

防范方法：在交換機(jī)上啟用DHCP SNOOPING功能。

DHCP SNOOPING誦過(guò)建立和維護(hù)DHCP SNOOPING綁定表并過(guò)濾不可信任的DHCP信息來(lái)防止DHCP欺騙。

【問(wèn)題4】

使用流量控制設(shè)備，為重要的業(yè)務(wù)提供更好的帶寬資源。將該設(shè)備部署在與互聯(lián)網(wǎng)接入位置，

針對(duì)各類業(yè)務(wù)流量模型定義即可。可直接使用串行方式接入網(wǎng)絡(luò)中。如考慮到流量模型較大，可能應(yīng)流量控制設(shè)備處理能力問(wèn)題，使其成為網(wǎng)絡(luò)瓶頸，可考慮在互聯(lián)網(wǎng)接入位置采用引流并行方式接入，來(lái)保障網(wǎng)絡(luò)的健壯性。

【問(wèn)題5】

入侵檢測(cè)系統(tǒng)IDS通過(guò)對(duì)全網(wǎng)信息的收集、分析，了解信息系統(tǒng)的安全狀況，進(jìn)而指導(dǎo)信息系統(tǒng)安全建設(shè)目標(biāo)以及安全策略的確立和調(diào)整，而入侵防御系統(tǒng)IPS主要用于對(duì)數(shù)據(jù)的深度分析及安全策略的實(shí)施，比如說(shuō)對(duì)黑客行為的阻擊。

IPS部署以串接的方式部署于主干線路上，辦公網(wǎng)中，至少需要在以下區(qū)域部署IPS，即辦公網(wǎng)與外部網(wǎng)絡(luò)的連接部位（入口／出口）；重要服務(wù)器集群前端；辦公網(wǎng)內(nèi)部接入層。