1.閱讀以下說明，回答問題1至問題4，將解答填入答題紙對應的解答欄內(nèi)。

 【說明】某企業(yè)網(wǎng)絡拓撲如圖1-1所示。

【問題1】（6分）

根據(jù)國1-1，對該網(wǎng)絡主要設備清單表1-1所示內(nèi)容補充完整。

【問題2】（8分）

1.網(wǎng)絡中A、B設備連接的方式是什么？依據(jù)A、B設備性能及雙鏈路連接，計算兩者之間的最大寬帶。

2.交換機組F的連接方式是什么？采用這種連接方式的好處是什么？

【問題3】(6分)該網(wǎng)絡拓撲中連接到各分部可采用租賃ISP的DDN、Frame Relay、ISDN線路等方式，請簡要介紹這幾種接方式。

【問題4】(5分)若考慮到成本問題，對其中條連接用VPN的方式，在分部路由器上做下列配置：

sub-company(config)#crypto isakmp policy 1

sub-company(config-isakmp)#encry des

sub-company(config-isakmp)#hash md5

sub-company(config-isakmp)#authentication pre-share

sub-company(config)# crypto isakmp key 6 cisco address x.x.x.x

該命令片段配置的是（7）

(7)備選答案：

A、定義ESP

B、IKE策略

C、IPSce VPN數(shù)據(jù)

D、路由映射

在該配置中，IP地址×.×.×.×是該企業(yè)總部IP地址還是分布IP地址?

參考答案：

【問題1】

(1)C  (2)匯聚交換機  (3)D  (4)路由器  (5)E  (6)防火墻

【問題2】

鏈路聚合或者鏈路捆綁在兩臺設備間采用鏈路聚合后，在不考慮協(xié)議開銷的前題下，其帶寬是原來單鏈路帶寬的2倍。

雙鏈路上行和菊花型堆疊，增加了冗余，提高網(wǎng)絡可靠性與健壯性。

【問題3】

DDN：專線連接方式，點對點通信，用戶獨占一條永久的、速率固定的專用線路，并獨享帶寬，延遲小，成本高，線路利用率低。

Frame Relay：采用分組交換技術(shù)，點對多點通信，將傳輸?shù)男畔澐譃橐欢ㄩL度的分組，采用動態(tài)復用技術(shù)來傳送幾個分組，雖然在任意時刻線路總是被某一個分組獨占，但線路的帶寬在統(tǒng)計上得到復用，有效提高了線路的利用率，由于要對數(shù)據(jù)進行分組，因此該技術(shù)相比專線方式延遲大，但成本低。

ISDN：是電路交換技術(shù)的典型代表，延遲小，點對點通信，線路利用率低。

【問題4】(7)B   總部地址

2.閱讀以下說明，回答問題l至問題4，將解答蟪入答題紙對應的解答欄內(nèi)。

【說明】傳統(tǒng)業(yè)務結(jié)構(gòu)下，由于多種技術(shù)之間的孤立性，使得數(shù)據(jù)中心服務器總是提供多個對外I/O接口。在云計算模式發(fā)展的推動下，數(shù)據(jù)中心正在從過去的存儲處理中心演變成為應用中心，并逐步向服務中心和運營中心轉(zhuǎn)變。而對客戶來說，由于技術(shù)、經(jīng)驗、資金等限制，在轉(zhuǎn)變過程中會遇到各種挑戰(zhàn)，例如虛擬化帶來的技術(shù)復雜性，規(guī)模擴大帶來的運維壓力，系統(tǒng)和數(shù)據(jù)遷移的困難以廈數(shù)據(jù)中心的高能耗等。

傳統(tǒng)業(yè)務結(jié)構(gòu)存儲下的數(shù)據(jù)中心網(wǎng)絡撲結(jié)構(gòu)圖如圖2-1所示。

【問題1】（9分）

(1)如圖2-1所示，數(shù)據(jù)中心有多個網(wǎng)絡，一個是前端用戶通信網(wǎng)絡，一個是后端做數(shù)據(jù)更新或者做集群計算的通訊網(wǎng)絡，還有后臺光纖存儲網(wǎng)絡。針對這三種網(wǎng)絡分別舉出一個例子。

(2)如上所述，除以上三種網(wǎng)絡外有的數(shù)據(jù)中心還有專門用于虛擬機遷移的網(wǎng)絡，都會在服務器上做集中。這樣一臺服務器最多需要幾塊網(wǎng)卡與之相連？隨著TRILL等技術(shù)的出現(xiàn)，這個專用網(wǎng)絡還需要嗎？

(3)網(wǎng)絡成為數(shù)據(jù)中心資源的交換樞紐，當前數(shù)據(jù)中心紛為IP數(shù)據(jù)網(wǎng)絡、存儲網(wǎng)絡、服務器集群網(wǎng)絡。隨著數(shù)據(jù)中心規(guī)模的逐步增大，簡單分析帶來的問題。

【問題2】（4分）

FCoE采用增強型以太網(wǎng)作為物理網(wǎng)絡傳輸架掏，是專門為低延遲性高性能、二層數(shù)據(jù)中心網(wǎng)絡所設計的網(wǎng)絡協(xié)議。目前國際標準化組織已經(jīng)開發(fā)了針對以太網(wǎng)標準的擴展協(xié)議族，即“融合型增強以太網(wǎng)（CEE），這些擴展協(xié)議族可以進行所有類型的傳輸。試簡述FCoE技術(shù)的優(yōu)點。

【問題3】（6分）

為了實現(xiàn)統(tǒng)二管理、簡化運維，采用基于FCoE技術(shù)的數(shù)據(jù)中心統(tǒng) -1／0能夠?qū)崿F(xiàn)用少數(shù)的CNA(Converged Network adapter)代替數(shù)量較多的NIC HBA，HCA，所有的流量通過CNA萬兆以太網(wǎng)傳輸。

按照18臺服務器（單網(wǎng)卡）為例，使用FCoE后每臺服務器只需要塊專用適配器（網(wǎng)卡），一套布線（以太網(wǎng)）系統(tǒng)，統(tǒng)一管理維護簡單。表2-1為使用FcoE前18臺服務器需要的網(wǎng)卡、交換機、電纜以廈上聯(lián)端口的數(shù)量，請核算出使用FCoE后的相應部件數(shù)量，填充表2-2。

【問題4】（6分）

(1)隨著數(shù)據(jù)中心的發(fā)展，數(shù)據(jù)中心的能耗已經(jīng)成為一個嚴峻的問題，PU已經(jīng)成為國際上比較通行的數(shù)據(jù)中心電力使用效率的衡量指標。請問PUE是什么，它的基準是多少，其越接近多少表示一個數(shù)據(jù)中心的綠色化程度越高？

(2)在現(xiàn)代機房的機柜布局中，人們?yōu)榱嗣烙^和便于觀察會將所有的機柜朝同一個方向擺放。如果按照這種擺放方式，機柜盲板有效阻擋冷熱空氣的效果將大打折扣。正確的擺放方式是什么？請簡述其原因。

(3)水冷空調(diào)系統(tǒng)是目前新一代大型數(shù)據(jù)中心制冷的首選方案，采用水冷空調(diào)在部分地區(qū)可以采取免費冷卻技術(shù)以節(jié)能。免費冷卻技術(shù)是什么？

參考答案：

【問題1】

（1）主要包含以下三種網(wǎng)絡

1．以太網(wǎng)：前端的用戶通信網(wǎng)絡

2．FC光纖網(wǎng)絡：后臺存儲網(wǎng)絡光纖的通道

3．高性能計算Infiniband網(wǎng)絡（服務器集群網(wǎng)絡）：后端做數(shù)據(jù)更新或者做集群計算的通訊網(wǎng)絡

（2）最多需要8塊網(wǎng)卡與之相連。如使用trill（多鏈接透明互聯(lián)）后，該網(wǎng)絡無需存在。（實際服務器需與4個網(wǎng)絡相連，每個網(wǎng)絡需要兩塊網(wǎng)卡，故需要8塊）

（3）隨著數(shù)據(jù)中心的不斷擴大，將帶來以下困難

1．每個服務器要多個專用適配器（網(wǎng)卡），要不同的布線系統(tǒng)

2．機房要支持更多設備：空間、耗電、制冷

3．多套網(wǎng)絡無法統(tǒng)管理，不同的維護人員

4．部署／配置／管理/運維困難

【問題2】

FCoE技術(shù)有以下的些優(yōu)點：光纖存儲和以太網(wǎng)共享同個端口；更少的線纜和適配器軟件配置l/O與現(xiàn)有的SAN環(huán)境可以互操作。

基于FCoE技術(shù)的數(shù)據(jù)中心統(tǒng)-l/o能夠?qū)崿F(xiàn)用少數(shù)的CNA(Converged Network adapter)代替數(shù)量較多的NIC、HBA、HCA，所有的流量通過CNA萬兆以太網(wǎng)傳輸。

FCoE：FC埴接映射到以太網(wǎng)上進行承載。

FC數(shù)據(jù)流和其它數(shù)據(jù)流共享以太網(wǎng)鏈路，F(xiàn)COE保留原FC網(wǎng)絡中N Port、F Port、E Port的結(jié)構(gòu)，F(xiàn)COE保留原FC的管理模式，保護原有投資。

兼容原有網(wǎng)絡：原有FC存儲網(wǎng)絡（FC交換機）可連接到數(shù)據(jù)中心以太網(wǎng)交換機上。

下代網(wǎng)絡：FCoE磁盤陣列可直接連接到數(shù)據(jù)中心交換機上。

使用FcoE的好處：

每個服務器只需要個專用適配器（網(wǎng)卡），套布線（以太網(wǎng)）系統(tǒng)（以前需要多個網(wǎng)卡，多套布線（以太網(wǎng)和光纖）系統(tǒng)）。

機房不再要支持更多設備：空間、耗電、制冷，更加節(jié)能綠色。

只有套網(wǎng)絡，統(tǒng)管理維護簡單（原來是多套網(wǎng)絡無法統(tǒng)一管理，不同的維護人員維護困難）

部署／配置／管理/運維簡單。

網(wǎng)卡、交換機、光纖需要的數(shù)量減半，投資減少50%，能耗及維護費用極大降低。

【問題3】

（1）0  （2）0  （3）O  （4）O  （5）0  （6）O  （7）O 

（8）4  （9）18  （10）2  （11）36  （12）6

【問題4】

（1）PUE是評價數(shù)據(jù)中心能源效率的指標，是數(shù)據(jù)中心消耗的所有能源與IT負載使用的能源之比

PUE=數(shù)據(jù)中心總設備能耗/IT設備能耗，PUE是個比值，基準值是2，越接近1表明能效水平越好

（2）可以采用冷熱通道區(qū)分設計，即‘面對面，背靠背’設計。這樣設計可更有效提高冷卻效率數(shù)據(jù)中心熱通道冷通道設計是交叉行排列服務器材機架，讓冷空氣的進口朝一邊，熱空氣的出口朝另一邊。機架前端組成的行稱為冷通道。通常情況下，冷通道面向空調(diào)的輸出管道。熱空氣輸出的那行稱為熱通道。通常情況下，熱通道面向空調(diào)的回風管道。有效減低冷熱空氣混合，達到良好的散熱及節(jié)能作用。

（3）免費冷卻技術(shù)指全部或部分使用自然界的免螢冷源進行制冷從而減少壓縮機或冷凍柵肖耗的能量。目前常用的免螢冷源主要是冬季或春秋季的室外空氣。

3.閱讀以下說明，回答問題l至問題表；將解答填入答題紙對應的解答欄內(nèi)。

【說明】某學校擁有內(nèi)部數(shù)據(jù)庫服務器l臺，郵件服務器1臺，DHCP服務期1臺，F(xiàn)TP服務期1臺，流媒體服務期1臺，Web服務期1臺，要求為所有的學生宿舍提供有限網(wǎng)絡接入服務，要求為所有的學生宿舍提供有線網(wǎng)絡接入服務，對外提供Web服務，郵件服務，流媒體服務，內(nèi)部主機和其他服務期對外不可見。

【問題1】請劃分防火墻的安全區(qū)域，說明每個區(qū)域的安全級別，指出各臺服務器所處的安全區(qū)域。

【問題2】（5分）請按照你的思路為該校進行服務器和防火墻部署設計，對該校網(wǎng)絡進行規(guī)劃，畫出網(wǎng)絡拓撲結(jié)構(gòu)圖。

【問題3】(5分)學校在原有校園網(wǎng)絡基礎上進行了擴建，采用DHCP。服務器動態(tài)分配口地址口運行一段時間后,網(wǎng)絡時常出現(xiàn)連接不穩(wěn)定、用戶所使用的口地址被“莫名其妙”修改、無法訪問校園網(wǎng)的現(xiàn)象。經(jīng)檢測發(fā)現(xiàn)網(wǎng)絡中出現(xiàn)多個未授權(quán)DHCP地址。

請分析上述現(xiàn)象及遭受攻擊的原理，該如何防范？

【問題4】（6分）學生宿舍區(qū)經(jīng)常使用的服務有Web、即時通信、郵件、FTP等，同時也因視頻流尋致大量的P2P流量，為了保障該區(qū)域中各項服務均能正常使用，應采用何種設備合理分配每種應用的帶寬？該設備部署在學校網(wǎng)絡中的什么位置？一般采用何種方式接入網(wǎng)絡？

【問題5】(4分)當前防火墻中，大多都集成了IPS服務，提供防火墻與口S的聯(lián)動。區(qū)別于IDS，IPS主要增加了什么功能？通常采用何種方式接入網(wǎng)絡？

參考答案：

【問題1】

劃分三個不同安全級別的區(qū)域。

（1）內(nèi)部網(wǎng)絡（2）外部網(wǎng)絡（3）DMZ區(qū)域（非軍事化區(qū)）

內(nèi)部網(wǎng)絡區(qū)域的安全級別最高，可信的、重點保護的區(qū)域。包括內(nèi)部的數(shù)據(jù)庫服務器、內(nèi)部的FTP服務器、DHCP服務器。

外部網(wǎng)絡：安全級別最低，不可信的、需要防備的區(qū)域。

DMZ區(qū)域（非軍事化區(qū)）：安全級別中等，通過該區(qū)域?qū)ν忾_放些特定的服務與應用，受定的保護。包括Web服務器、郵件服務器、流媒體服務器。

【問題3】

用戶無法訪問校園網(wǎng)是因為獲取的IP不是授權(quán)的DHCP服務器分配給它的。解決該問題從DHCP服務器給用戶分配IP的原理著手。DHCP服務器給用戶分配IP時會發(fā)送DHCP Offer和DHCP ACK文。如果讓交換機端口只接收授權(quán)DHCP服務器發(fā)過來的DHCP報文，其它端口不接收這些報文，該問題就得以解決。

防范方法：在交換機上啟用DHCP SNOOPING功能。

DHCP SNOOPING誦過建立和維護DHCP SNOOPING綁定表并過濾不可信任的DHCP信息來防止DHCP欺騙。

【問題4】

使用流量控制設備，為重要的業(yè)務提供更好的帶寬資源。將該設備部署在與互聯(lián)網(wǎng)接入位置，

針對各類業(yè)務流量模型定義即可。可直接使用串行方式接入網(wǎng)絡中。如考慮到流量模型較大，可能應流量控制設備處理能力問題，使其成為網(wǎng)絡瓶頸，可考慮在互聯(lián)網(wǎng)接入位置采用引流并行方式接入，來保障網(wǎng)絡的健壯性。

【問題5】

入侵檢測系統(tǒng)IDS通過對全網(wǎng)信息的收集、分析，了解信息系統(tǒng)的安全狀況，進而指導信息系統(tǒng)安全建設目標以及安全策略的確立和調(diào)整，而入侵防御系統(tǒng)IPS主要用于對數(shù)據(jù)的深度分析及安全策略的實施，比如說對黑客行為的阻擊。

IPS部署以串接的方式部署于主干線路上，辦公網(wǎng)中，至少需要在以下區(qū)域部署IPS，即辦公網(wǎng)與外部網(wǎng)絡的連接部位（入口／出口）；重要服務器集群前端；辦公網(wǎng)內(nèi)部接入層。