推荐等级:
发布时间: 2021-12-14 11:37
扫码用手机做题
某机构打算新建一个网络,其中有内部办公计算机若干台,内部数据库服务器1台,内部文件传输(FTP)服务器1台,网页(Web)服务器1台,邮件服务器1台。要求能对外提供万维网(WWW)访问和邮件服务,内部办公计算机、内部数据库和文件传输(FTP)服务器对外不可见。
【问题1】(6分)
请划分该机构网络的安全区域和安全级别,说明各机器属于哪个区域和级别。
【问题2】(6分)
为提高安全性,请设计该机构网络的防火墙方案,并给出防火墙的相关规则的配置策略。
【问题3】(3分)
如果想要监听、检测内部办公计算机之间的连接和攻击,应该在何位置配置何种设备
本题解析:
【问题1】(6分)
整个网络分为三个不同级别的安全区域:
(1)内部网络:安全级别最高,是可信的、重点保护的区域。包括所有内部办公计算机,内部数据库服务器和内部FTP服务器。
(2)外部网络:安全级别最低,是不可信的、要防备的区域。包括外部因特网用户主机和设备。
(3)DMZ区域(非军事化区):安全级别中等,因为需要对外开放某些特定的服务和应用,受一定的保护,是安全级别较低的区域。包括对外提供WWW访问和邮件服务的Web服务器和邮件服务器。
[【问题2】(6分)
方案说明中包括DMZ区,外部防火墙、内部防火墙两个防火墙(屏蔽路由器)。
配置策略:
外部防火墙(屏蔽路由器)的访问策略:允许外部网络客户访问DMZ区的WWW服务器提供的WWW服务和邮件服务器提供的邮件服务,其他禁止。
内部防火墙(屏蔽路由器)的访问策略:允许内部网客户访问外部网络,不允许外部网络客户访问内部网;
允许内部网客户访问DMZ区,不允许DMZ区网络客户访问内部网。
【问题3】(3分)
1、应配置IDS(入侵检测系统)
2、应接在交换机端口上,并在交换上配置镜像端口,以获取内网数据包信息。
【说明】:某单位的计算机网络结构如图2-1所示。
图2-1 一个简单的初级网络
【问题1】(5分)
如果单位想把员工分组,每组的信息相互隔离,另外保证每个员工能独享10Mbps带宽,请指出:
最简单的升级方式是什么 对新设备的功能和性能有什么要求(接入的计算机数量不大于20个,要说明如何实现分组的信息隔离)。
【问题2】(10分)
随着单位规模的扩大,企业网络发展成了如图2-2所示的结构。公用服务器均位于主网段。主网段没有用户,均为公用设备。用户均匀分布在网段1、网段2和网段3。
图2-2 公司规模扩大后的网络结构
请根据表2-1中已有的信息将出流量、入流量和网内流量填写完整;将表2-2的目的网段和总流量填写完整。
表2-1 网段2用户流量分析表
表2-2 网段2的总流量分配表
【问题3】(9分)
(1)请计算出接入路由器内部交换流量、网段至主网段流量、网段之间流量和总流量。
(2)请计算出核心路由器的出、入流量和总流量。
(3)在10/100/1000Mbps的局域网技术中,应该选择哪一个作为网段内部互联技术(说明对路由器交换容量的最小要求)
(4)在10/100/1000Mbps的局域网技术中,应该选择哪一个作为网段至主网段互联技术(说明对路由器交换容量的最小要求)
(5)如果主网段和网段之间协议开销最大可增加20%流量,是否需要升级网络 如果需要升级,最佳方案是什么 如果不需要升级,请说明原因。
【问题4】(6分)
参见本题图2-2。如果要提高普通网段访问主网段的可靠性和可用性,即在核心路由器出现故障时仍能访问主网段,请简要说明应该增加什么设备,新增设备与核心路由器之间可使用哪些协议以及这些协议之间主要有何区别。
本题解析:
【问题1】(5分)
(1)用二层交换机取代10M共享式集线器。
(2)二层交换机需要支持VLAN功能,通过VLAN的划分,不同的VLAN对应不同的员工组,VLAN之间的信息相互隔离。
(3)VLAN策略可以通过基于交换机物理端口的策略来划分。员工接入不同的端口即加入不同的VLAN,实际上等于加入了不同的组。
(4)对交换机性能方面,可以使用24端口的10/100Mbps自适应以太网交换机。
(5)背板交换容量最低应达到10×24×2 = 480Mbps。如果考虑所有端口100Mbps速率,则背板交换容量最低应达到4.8Gbps。
【问题2】(10分)
【问题3】(9分)
(1)接入路由器:
内部交换流量=19.84Mbps
网段2和主网段流量=48Mbps+48Mbps=96Mbps
网段之间的流量=32.96Mbps
网段2总流量=48*3+4.8=148.8Mbps
(2)核心路由器:
网段1,2,3与主网段之间总流量:96Mbps×3=288Mbps
其中:主网段到网段1,2,3流量:(24+38.4)×3=187.2Mbps
网段1,2,3到主网段流量:(24+9.6)×3=100.8Mbps
网段之间的转发流量:32.96Mbps×3=98.88Mbps
总流量:288Mbps+98.88Mbps=386.88Mbps
(3)因为:网段2内部流量为:19.84Mbps,网段2接入路由器总流量为:96+32.96=128.96Mbps.
所以:网段交换机互连选择100Mbps以太网技术,接入路由器背板交换容量在200Mbps以上。
(4)因为:网段2到服务器上行流量为:33.6+32.96/2=50.08Mbps,下行流量为:62.4+32.96/2=78.88Mbps.
所以:接入路由器和核心路由器之间的链路应为100M全双工以太网链路。
因为:主网段到网段1,2,3流量:(24+38.4)×3=187.2Mbps。网段1,2,3到主网段流量:(24+9.6)×3=100.8Mbps。核心路由器总流量为386.88Mbps.
所以:主网段和核心路由之间链路应选择1000Mbps以太网技术连接,核心路由器背板交换容量在400Mbps以上。
(5)因为增加20%开销后,核心路由器总流量为:386.88×1.2=464.254Mbps.所以需要升级核心路由器背板交换容量升级至600Mbps以上。链路带宽可满足要求。
【问题4】(6分)
(1)再增加一个核心路由器。
(2)两个核心路由器之间运行VRRP或者HSRP协议或者GLBP协议。
VRRP协议是公开的虚拟路由器冗余协议。HSRP是cisco开发的热备份路由协议。
(3)VRRP和HSRP基本功能类似,其缺点是存在路由器闲置问题。GLBP协议与VRRP和HSRP功能类似,但能够实现负载均衡功能。
某企业最初只有一个办公地点,所有人员都集中在一个相对较小的封闭空间进行工作。由于是小型企业,社会影响不大,所以对安全性要求不高,主要目标是以最小的代价(费用)实现联网和访问互联网(Internet),企业内部无对外提供的任何互联网服务。后来,随着企业不断发展,其网络建设也不断升级更新。(注:以下问题均不考虑无线网络技术)
【问题1】(10分)
假定初期员工不超过50人,所有员工工作在同一楼层的不同房间,对互联网的访问带宽需求小于2Mbps,且主要为进入企业内部的流量。 针对该企业网络建设,请从下面几个方面简要说明网络设计内容及依据:
(1)网络结构;
(2)物理层技术选择;
(3)局域网技术选择;
(4)广域网技术选择;
(5)网络地址规划。
【问题2】(10分)
假定企业发展为中等规模,人数不超过1000人,所有员工在同一城市的不同地域工作。企业目前分为一个总部和三个分部(分布范围都不超过2km),总部人数不超过400人,分部人数不超过200人。企业与互联网采用统一对外接口,带宽需求规模为100Mbps以内,且流入数据量和流出数据量基本均衡;企业总部和分部之间的数据流量小于1000Mbps。由于企业规模较大,对网络的依赖度大大增加,要求分部到总部和总部至互联网出口有备份,以增加网络的健壮性和可用性。 请从下面3个方面简要给出总部/分部网络和企业整体网络的结构和设计要点:
(1)网络结构;
(2)物理层和局域网技术选择;
(3)接入互联网技术选择。
【问题3 】(10分)
如果企业规模扩大到10000人,需要对外提供互联网服务(服务器的域名与IP一一对应),对内提供企业内部服务,并允许员工访问互联网。假定企业总部和分部数量有50个,总部最多500人,分部最多400人。企业组织机构有10个(如行政管理、生产、销售等),每个机构在总部或单个分部最多60人。
(1)请简要分析该企业网络的网络地址类型及规模。
(2)考虑管理便利、信息相互隔离和路由聚合等因素,请说明应如何规划该企业网络的子网层次。
(3)举例说明如何进行子网划分(子网划分举例必须能够看出子网划分的规律,至少给出三个以上的子网号)。
本题解析:
【问题1】(10分)
(1)因为网络规模较小,所以采用单核心局域网结构。配置一个核心二层或三层交换机,每个房间配备接入交换机。这种结构便于扩展和升级。
(2)物理层技术选择:通信介质选择双绞线UTPcat5;网卡选择10/100M网卡。
(3)局域网技术选择:10/100/1000M以太网技术。技术成熟,性价比最高,应用最广泛。
(4)广域网技术选择:由于初期无需对外提供互联网服务,入流量大于出流量,最佳接入技术是申请电信运营商的ADSL接入Internet。
(5)地址规划:目前内网不需要公网地址。采用私网地址即可。考虑初期人数最多50人,使用一个C类私有网段即可。如果每个房间需要隔离,可以使用VLAN并划分IP子网。
【问题2】(10分)
(1)网络结构设计:总部局域网和分部局域网可以采用双核心局域网结构。企业整体网络采用分层局域网结构,配备双核心路由器对外与互联网相连,对内与分部局域网的双核心交换机或路由器相连。
(2)物理层和局域网技术选择。总部局域网和分部局域网采用10/100/1000M以太网技术,通信介质可使用UTPcat5或多模光纤;总部局域网和分部局域网之间互联采用1000BaseLX以太网技术,通信介质使用单模光纤。
(3)接入互联网技术选择:最佳方式为100Mbps以太网接入,其它可选方式有1000Mbps以太网接入以及光纤接入(EPON)。
【问题3】(10分)
(1)由于公司员工总数为10000人,考虑每人平均一个IP地址再加上公用设备地址、互联地址、服务器地址等公用地址,使用一个B类网足够了。可以选择172.16.0.0/16~172.31.0.0/16中的任意一个。
(2)首先需要对B类网划分50个以上的子网。这50个子网要满足两个条件:每个子网能包含500以上的可用IP地址,并且能继续划分为10个子网。再次划分的10个子网,每个子网要能包含60个可用的IP地址。
(3)实际举例如下:以172.16.0.0/16为例采用/22或255.255.252.0的子网掩码,可以把B类网划分为64个子网。(满足总部加分部50个)
172.16.0.0/22
172.16.4.0/22
.................
172.16.252.0/22
每个子网再可划分16个子网:(满足每个总部或分部有10个部门)以172.16.4.0/22为例:
172.16.4.0/26
172.16.4.64/26
..................
每个子网可以包含最多:62个IP地址(满足每个人一个IP地址)【问题1】(10分)
(1)因为网络规模较小,所以采用单核心局域网结构。配置一个核心二层或三层交换机,每个房间配备接入交换机。这种结构便于扩展和升级。
(2)物理层技术选择:通信介质选择双绞线UTPcat5;网卡选择10/100M网卡。
(3)局域网技术选择:10/100/1000M以太网技术。技术成熟,性价比最高,应用最广泛。
(4)广域网技术选择:由于初期无需对外提供互联网服务,入流量大于出流量,最佳接入技术是申请电信运营商的ADSL接入Internet。
(5)地址规划:目前内网不需要公网地址。采用私网地址即可。考虑初期人数最多50人,使用一个C类私有网段即可。如果每个房间需要隔离,可以使用VLAN并划分IP子网。
【问题2】(10分)
(1)网络结构设计:总部局域网和分部局域网可以采用双核心局域网结构。企业整体网络采用分层局域网结构,配备双核心路由器对外与互联网相连,对内与分部局域网的双核心交换机或路由器相连。
(2)物理层和局域网技术选择。总部局域网和分部局域网采用10/100/1000M以太网技术,通信介质可使用UTPcat5或多模光纤;总部局域网和分部局域网之间互联采用1000BaseLX以太网技术,通信介质使用单模光纤。
(3)接入互联网技术选择:最佳方式为100Mbps以太网接入,其它可选方式有1000Mbps以太网接入以及光纤接入(EPON)。
【问题3】(10分)
(1)由于公司员工总数为10000人,考虑每人平均一个IP地址再加上公用设备地址、互联地址、服务器地址等公用地址,使用一个B类网足够了。可以选择172.16.0.0/16~172.31.0.0/16中的任意一个。
(2)首先需要对B类网划分50个以上的子网。这50个子网要满足两个条件:每个子网能包含500以上的可用IP地址,并且能继续划分为10个子网。再次划分的10个子网,每个子网要能包含60个可用的IP地址。
(3)实际举例如下:以172.16.0.0/16为例采用/22或255.255.252.0的子网掩码,可以把B类网划分为64个子网。(满足总部加分部50个)
172.16.0.0/22
172.16.4.0/22
.................
172.16.252.0/22
每个子网再可划分16个子网:(满足每个总部或分部有10个部门)以172.16.4.0/22为例:
172.16.4.0/26
172.16.4.64/26
..................
每个子网可以包含最多:62个IP地址(满足每个人一个IP地址)
试卷分类:高级系统规划与管理师
练习次数:82次
试卷分类:中级系统集成项目管理工程师
练习次数:94次
试卷分类:中级软件设计师
练习次数:99次
试卷分类:中级网络工程师
练习次数:108次
试卷分类:初级网络管理员
练习次数:111次
试卷分类:中级数据库系统工程师
练习次数:102次
试卷分类:中级软件评测师
练习次数:90次
试卷分类:中级信息安全工程师
练习次数:84次
试卷分类:中级信息安全工程师
练习次数:83次
试卷分类:中级软件设计师
练习次数:87次