网络结构设计考点.docx
- 文档编号:17663110
- 上传时间:2023-07-27
- 格式:DOCX
- 页数:18
- 大小:132.92KB
网络结构设计考点.docx
《网络结构设计考点.docx》由会员分享,可在线阅读,更多相关《网络结构设计考点.docx(18页珍藏版)》请在冰点文库上搜索。
网络结构设计考点
第一题
考点1:
网络设备
设备1应选用哪种网络设备?
答:
路由器
路由器具有广域网互联、隔离广播信息和异构网互联等能力。
图中,设备1处于内部局域网核心交换机1和Internet之间,由于这些网络属于不同的逻辑网络,所以需要使用路由器进行互联。
这一题主要就是要你知道,交换机构成的内部网络和外部Internet网络之间的设备是什么,就是网关,也就是路由器,图中三层交换机再上面就是路由器了。
考点2:
防火墙设置的位置
若对整个网络实施保护,防火墙应加在图中位置1—位置3的哪个位置上?
答:
位置2
防火墙应该位于边界路由器与局域网连接处,用来过滤数据,保护局域网安全。
考点3:
IDS(入侵检测设备)的部署
如果采用入侵检测设备对进出网络流量进行检测,并且探测器是在交换机1上通过端口镜像方式获得流量的。
下面是通过相关命令显示的镜像设置信息:
请问探测器应该连接在交换机1的哪个端口上?
答:
Gi2/16端口
端口镜像是把进出被镜像端口的数据报文完全复制一份到镜像端口,这样来进行流量检测或者故障定位。
探测器应该连接在DestinationPorts,故应该连接交换机1的Gi2/16端口。
探测器主要分两类:
基于网络流量的和基于主机的。
基于网络流量的探测器负责嗅探网络连接,监视例如TCP包的流量等,看看有没有被攻击的迹象;基于主机的探测器在重要的系统服务中、工作站或用户机器上运行,监视OS或系统事件级别的可疑活动。
题目又问了:
除了流量镜像方式外,还可以采用什么方式来部署入侵检测探测器?
根据网络拓扑结构的不同,入侵检测系统的探测器可以通过以下3种方式部署在被检测的网络中。
1.流量镜像方式。
网络接口卡与交换设备的监控端口连接,通过交换设备的Span/Mirror功能将流向个端口的数据包复制一份给监控端口,探测器从监控端口获取数据包并进行分析和处理。
2.新增集线器方式。
在网络中新增一台集线器改变网络拓扑结构,并通过集线器(共享式监听方式)获取数据包。
3.TAP分流方式。
通过一个TAP(分路器)设备对交换式网络中的数据包进行分析和处理。
第二题
最佳管理的园区网通常是按照分级模型来设计的。
在分级设计模型中,通常把网络设计分为3层,即核心层、汇聚层和接入层。
图中所示的是某公司的网络拓扑图,但该公司采用的是紧缩核心模型,即将核心层和汇聚层由同一交换机来完成
考点1:
网络分级设计模型模型
在分级设计模型中,核心层应具有什么样的特征?
路由功能主要由哪一层来完成?
答:
核心层必须要有高可靠性及冗余性,并提供故障隔离,具有迅速升级能力、较少的时延和好的可管理型等。
路由器主要由汇聚层完成。
在分级设计模型中,核心层的目的是高速数据交换,其主要工作时交换数据包。
因此核心层必须要有高可靠性及冗余性,并提供故障隔离,具有迅速升级能力、较少的时延和好的可管理性等。
汇聚层从位置上处于核心层与网络层的分界,需要大量低速的连接(接入层设备的连接)通过少数宽带的链接接入核心层,以实现通信量的收敛,以提高网络中聚合点的效率,同时减少核心层设备可选择的路由路径得数量。
并可以汇聚层为设计模块,实现网络拓扑变化的隔离,增强网络的稳定性。
接入层为用户提供对网络的访问接口,是整个网络的可见部分,也是用户与该网的连接场所。
它将本地用户的信息通过内部高速局域网、分组交换网或拨号接入等方式接入汇聚层,实现网络流量的访问。
另外,由于接入层是用户与网络的接入点,因此也是入侵者试图闯入的好地方,需要在访问接入层实施安全控制策略,以保障网络安全。
由此可见,路由功能主要由汇聚层来完成。
考点2:
防火墙的屏蔽子网结构
公司网络中的设备或系统(包括:
存储商业机密的数据库服务器、邮件服务器、存储资源代码的PC、应用网关、存储私人信息的PC、电子商务系统)哪些应放在DMZ中,哪些应放在内网中?
并给予简要说明。
答:
该公司的防火墙应该属于屏蔽子网结构。
在这个结构中,DMZ(非军事区)是周边防御段,它受到安全威胁不会影响到内部网络,是放置公共信息的最佳位置,通常把WWW、FTP、电子邮件等服务器都存放在该区域。
要保证该公司的商业机密避免外部网络的用户直接访问,同时避免内部网络XX的用户访问,所有有商业机密的数据库服务应该放在内部网络中,确保安全。
同样的道理,那些存储代码的PC和存储私人信息的PC也要放在内部网络中。
而邮件服务器、电子商务系统、应用网关等,既要内部主机可以访问,又要外部网络的用户可以访问,并且要保证安全,所以它们可以放在DMZ。
考点3:
生成树协议
在图中,两台三层交换机4507R互为备份,它们之间是通过多条双绞线连接,构成了网络环路,但不会产生广播风暴而影响网络的稳定性,这是为什么?
如果希望在这多条双绞线中既要实现链路冗余,又要实现负载均衡,如何实现?
答:
由于交换机中都运行了生成树协议STP,若出现环路时,STP会自动将一些端口阻断,从而形成一个没有环路的树。
要实现负载均衡,可以通过修改VLAN的port-priority(端口优先级),也可以通过修改端口的STP路径值(cost),使不同VALN的生成树一样,从而实现负载均衡。
除此之外,还可以通过端口聚合技术,将多条链路看成一条链路。
第三题
某公司内部组建了100BaseTX局域网,其结构如图所示。
请根据网络结构图回答以下有关问题。
考点1:
网络设备
图
(1)、
(2)中各采用什么设备?
答:
(1)处是路由器,
(2)处是防火墙
考点2:
防火墙系统
填写出图中(3)、(4)、(5)区域的名称?
答(3)是DMZ区域、(4)是内部网络区域、(5)是外部网络区域
考点3:
IPS
为保护内部局域网用户,常用安全防护系统有哪些?
答:
防火墙系统、网络防病毒系统、入侵监测系统、漏洞扫描系统
考点4:
交换机的连接
交换机1与交换机2都没有Uplink口,应使用什么类型的双绞线互连?
如何制作?
两台交换机间的距离不能超过多少米?
答:
一端按EIA/TIA568A线序,另一端按EIA/TIA568B线序;两台交换机间的距离不能超过100米。
由于交换机1与交换机2都没有Uplink口,要实现这两台交换机级联,必须使用交叉的双绞线互连。
交叉的双绞线制作方法是一端按EIA/TIA568A线序制作,另一端按EIA/TIA568B线序制作。
两交换机通过双绞线级联时,它们之间的距离不能超过100米。
第四题
某公司要组建一个小型windows局域网,包括1台服务器和10台PC,网络结构如图所示。
该公司在服务器上建立自己的商业网站,网站域名为。
请根据网络结构图回答以下问题。
考点1:
网络设备
为了将公司内所有的计算机连接起来,图中的
(1)处可采用哪两种类型的设备?
答:
集线器(HUB)或者交换机(SWITCH)
在局域网中一般采用集线器或交换机来将网络中的计算机连接起来。
不过集线器工作在物理层,连接到一个极限器的所有结点共享一个冲突域,结点共享带宽。
而交换机可以实现多个结点间的并发连接,各个节点独享带宽,且支持虚拟局域网服务。
考点2:
网络拓扑结构
该网络的物理拓扑结构是什么类型的?
答:
星型
在局域网中所有计算机都连接在一台设备上,这是一种典型的星型拓扑结构。
考点3:
DNS的功能
该公司在服务器上安装了DNS,以便把公司主页发布到Internet上。
请问DNS的主要功能是什么?
答:
DNS服务器为客户提供存储、查询和搜索其他主机域名和IP地址得服务。
主要实现域名与IP地址之间的转换,以解决IP地址难以记忆的问题。
域名系统是一种TCP/IP的标准服务,它是一种组织成域层次结构的计算机和网络服务命名系统,负责IP地址和域名之间的转换。
DNS服务允许网络上的客户端注册和解析DNS域名。
这些名称为搜索和访问网络上的计算机提供定位。
考点4:
代理服务器
给出“局域网上所有用户以共享同一IP地址方式来访问Internet”的两种解决方案。
答:
(1)在服务器上安装代理服务器软件(例如Wingate),各PC通过代理服务器访问Internet。
(2)在服务器端启动Internet连接共享服务,各PC共享服务器的Internet连接。
考点5:
访问控制列表
在服务器和Internet接入之间安装采用IP过滤技术的防火墙,请问IP过滤技术是如何实现的的?
答:
(1)由管理员配置IP分组过滤表ACL,IP过滤模块根据IP分组中报头的源地址、目的地址、端口号等信息,对来往IP分组进行过滤,允许或禁止某些IP地址访问。
(2)通过配置代理服务器来限制内部用户对Internet的访问。
第五题
某网络结构如图所示,图中网络设备均为Cisco设备,请回答以下问题
考点1:
IDS(入侵检测系统)
如果入侵检测设备用于检测所有的访问图中服务器群的流量,请写出交换机1上被镜像的端口。
答:
Gil/5
服务器群通过交换机1的Gil/5端口与网络连接在一起,入侵检测设备连接在交换机1的Gil/2端口对数据进行检测。
如果入侵检测设备用于检测所有的访问图中服务器群的流量,
则可知其目标端口是将Gil/5的流量镜像到端口Gil/2.
配置被镜像端口:
Switch(config)#monitorsession1sourceinterfaceGil/5
配置镜像端口:
Switch(config)#monitorsession1destinationinterfaceGil/2
考点2:
ACL(访问控制列表)
如果在交换机1上定义了一个编号为105的访问控制列表,该列表用于过滤所有访问图中服务器群的1434端口的数据包,请写出该访问控制列表应用端口的控制命令。
Router(config)#ipaccess-listextendedtest1
Router(config-ext-nacl)#accesslist105denyhttpanyanyeq1434
Router(config-ext-nacl)#Permithttpanyany
Router(config-ext-nacl)#exit
Router(config)#interfaceGil/5
Router(config)#ipaccess-group105in
Router(config)#ipaccess-group105out
Router(config)#
如果该网络使用动态地址分配方法,请写出路由交换机上DHCPIP地址池的配置内容。
考点3:
DHCP
如果该网络使用动态地址分配的方法,请写出路由交换上DHCPIP地址池的配置内容
设置路由器为DHCP服务器,在路由器上需要完成的配置任务主要是
第一步:
建立IP地址池
IP地址池=IP地址池的范围—被排除的IP地址—保留地址—上一个时间点被DHCP服务器分配的IP地址
设置被排除的地址
ipdhcpexcluded-address192.168.1.4192.168.1.7
第二步
配置IP地址池(Pool)的名称,并由此进入DHCPPool配置模式
ipdhcppoolglobal
第三步:
在DHCPPool配置模式下,配置IP地址池的子网地址和子网掩码
network192.168.0.0255.255.0
第四步:
配置IP地址池的默认网关
default-router192.168.1.254//为客户机配置DNS服务器
第五步:
配置IP地址池域名
domain-nameG//为客户机配置域后缀
第六步:
配置IP地址池的域名服务器的IP地址
dns-server192.168.1.1
第七步:
配置IP地址得租用时间
lease0530//设置地址租用期为5小时30分
第八步:
配置取消地址冲突记录日志
noipdhcpconflictlogging//取消地址冲突记录日志
第六题
考点1:
NAT
(1)如果该网络使用上述地址,边界路由器应该具有什么功能?
网络地址转换功能
(2)如果为了保证外网能够访问到该网络内的服务器,那么应在边界路由器上对网络服务器的地址进行什么样的处理?
一对一地址转换处理
为了保证外网能够访问到该网络内部内的服务器,应该在边界路由器上对网络服务器上的IP地址进行“一对一”的网络地址转换处理
考点2:
防火墙
采用一种设备能够对该网络提供如下保护措施:
数据包进入网络时将被进行过滤检测,并确定此包是否包含威胁网络安全的特征。
如果检测到一个恶意的数据包时,系统不但发出警报,还将采取响应措施(如丢弃含有攻击性的数据包或阻断连接)阻断攻击。
请写出这种设备的名称。
这种设备应该部署在图中的位置1—位置3的哪个位置上?
设备为:
防火墙
位置为:
位置2
防火墙可以检查所有从外部网络进入内部网络和从内部网络流出到外部网络的数据包,并执行安全策略,限制所有不符合安全策略所要求的数据包通过。
所以可以采用防火墙作为网络的入侵防护系统,布置在网络出口处,即位置2
考点3:
WindowsServer2003
如果该网络采用Windows2003域用户管理功能来实现网络资源的访问控制,那么域用户信息存储在区域控制器的哪个部分?
活动目录
WindowsServer2003中的用户类型包括本地用户和域用户。
本地用户信息存储在本地计算机的帐户管理数据库中;域用户信息存储在域控制器的活动目录中。
第七题
某企业采用Windows2000操作系统部署企业虚拟专用网(VPN),将企业的两个异地网络通过公共Internet安全地互联起来。
微软Windows2000操作系统当中对IPSec具备完善的支持,图中给出了基于Windows2000系统部署IPSecVPN的网络结构图
考点1:
密钥分配
IPSec的密钥管理包括密钥的确定和分发。
IPSec支持自动密钥分配和______两种密钥管理方式。
试比较这两种方式的优点。
手工密钥分配
手工密钥是系统管理员手工配置系统之间进行通信时使用的密钥,配置简单,用于规模小、机器分布相对固定的环境。
自动密钥管理系统可按需要自动建立SA的密钥,特别适用于规模大,结构多变的分布式系统。
自动密钥管理灵活方便,但配置复杂,且需要软件协议支持,规模小的系统没必要采用。
考点2:
NAT
如果按照图中所示的网络结构配置IPSecVPN,安全机制选择的是ESP,那么IPSec工作在隧道模式。
一般情况下,在图中的四个网络接口中,将________和_______配置为公网IP
,将_________和_________配置为内网IP。
NIC2或NIC3
NIC3或NIC2
NIC1或NIC4
NIC4或NIC1
由题目中所给的网络拓扑图知NIC2、NIC3与公网直接相连,因此应该将它们配置成公网IP,而NIC1和NIC4分别连接各自的子网,因此应该将它们配置成内网IP。
第八题
某单位建立一个Intrernet,建立自己的Web服务器、DNS服务器、E-mail服务器和内部服务器。
Intrernet上有几台客户机联网,要求这些机器有的可以连到Intrernet上,有的只允许访问自己的Web服务器。
请作出规划、解决如下问题:
考点1:
网络设备—SwitchandRouter
如何根据网络流量选择联网设备?
给出所选设备的作用?
选择网络交换机连接服务器和PC,对于连接服务器的交换机可以选择100Mbit/s或1000Mbit/s端口连接,对于一般的PC可以选择10Mbit/s或100Mbit/s连接端口。
选择路由器作为连接Internet的接入设备。
考点2:
防火墙—DMZ
如何规划防火墙,将内部业务服务器和部分PC与internet隔离?
可以构建一个非军事区,将对外服务的服务器如Web服务器、DNS服务器和E-mail服务器等放置在非军事区,通过外网路由器连接Internet。
在非军事区和内网之间设置设置路由器或代理服务器作为防火墙,限制外部的访问。
考点3:
接入技术
在我国,目前可供大用户选择的接入方式有哪些?
各自的接入速率为多少?
DDN,最高2M;ISDN,64k*2(2B+D);帧中继,最高2M;X.25,64K
‘
第九题
考点:
防火墙
在对局域网的运行与维护前,首先要判断其拓扑结构和信道访问方式,然后要判断其故障类型,网络故障的分类方式不尽相同,一般可以根据故障性质分为物理故障和逻辑故障。
随着Internet的广泛应用,为了保证网络稳定运行,网络安全尤为重要,而防火墙是一种综合性的技术,设计计算机网络技术、密码技术、安全技术、软件技术、安全协议、网络标准化组织的安全规范以及安全操作系统等多方面,防火墙技术一般可以分为;两类,即包过滤防火墙(采用报文动态分组)和代理服务防火墙(采用代理服务机制),而后者又包括代理服务模块、代理客户模块和协议分析模块。
第十题
考点:
防火墙
为了保障内部网络安全,某公司在Internet的连接处安装了PIX防火墙,其网络结构如图
对网络接口进行初始化配置
Firewall(config)#ipaddressinside______________________
192.168.0.1255.255.255.0
Firewall(config)#ipaddressoutside______________________
61.144.51.42255.255.255.248
防火墙就是配置了防御功能的路由器
内网和外网端口用
ipaddressinside+端口地址+子网掩码
ipaddressoutside+端口地址+子网掩码
防火墙配置:
Firewall(config)#global(outside)161.144.51.42
//global指定公网地址范围、定义地址池,
Global(if_name)nat_idip_address-ip_address[netmakglobal_mask]
(if_name):
表示外网接口名称,一般为outside
Nat_id:
建立地址池标识(nat要引用)
ip_address-ip_address:
表示一段IP地址范围
[netmakglobal_mask]:
表示全局IP地址得网络掩码
Firewall(config)#nat(inside)10.0.0.00.0.0.0
//表示当内网的地址访问外网时,地址同一映射为ip_address—ip_address地址段的地址
Firewall(config)#static(inside,outside)192.168.0.161.144.51.42
//内网地址和外网地址在服务器的映射,内外网IP地址依依对应
第十一题
考点:
防火墙
在对局域网的运行与维护前,首先要判断其拓扑结构和信道访问方式,然后要判断其故障类型,网络故障的分类方式不尽相同,一般可以根据故障的性质分为物理故障和逻辑故障。
随着Internet的广泛应用,为了保证网络稳定运行,网络安全性尤为重要,而防火墙是一种综合性的技术,涉及计算机网络技术、密码技术、安全技术、软件技术、安全协议、网络标准化组织的安全规范以及操作系统等多方面,防火墙技术一般可以分为两类,即包过滤防火墙(采用报文动态分组)和代理服务防火墙(采用代理服务机制),而后者又包括代理服务器模块、代理客户模块和协议分析模块
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 网络 结构设计 考点