网络规划设计师2012年下午题-案例分析附答案

1、网络规划设计师2012年下午题-1-案例分析(附答案)试题一某大学校园网经过多年的建设已初具规模，由于校内相关的科研单位有接入到IPv6为核心的下一代互联网中进行相关研究的需求，同时为了积极探索解决学校公网IPv4地址的短缺、现有网络安全等方面的问题，学校网络中心计划以现有校园网进行IPv6技术升级。学校现有的网络拓扑如图1-1所示。接入层：完成IPv4用户接入，设备是二层接入交换机/三层接入交换机。汇聚层：完成接入用户的汇聚，汇聚交换机是盒式或机架式三层交换机，目前不支持IPv6业务。核心层：是整个网络的核心(机架式三层交换机，目前不支持IPv6业务)，同时连接外部网络的出口，是整个园区网业

2、务流量通往IPv4主干网或者IPv6主干网的必经之路。图1-1【问题1 为了实现IPv4网络向IPv6网络的过渡和转换，IETF制订的解决过渡问题的基本技术方案有三种。在进行IPv6升级的初期，由于教学科研区访问IPv6网络的需求比较迫切，学校希望花费较少的资金就能使教学科研区访问的IPv6网络上的相关资源，简述三种技术方案的要点，并依据需求进行过渡技术方案选择。【问题2】随着网络建设的不断升级，为把校园网积极推进到以IPv6为核心的下一代互联网中，要求学生区和教学科研区的 IPv6用户能够访问IPv6网络资源，同时实现这两个区域之间IPv6资源的互访。基于上述的需求，对过渡方案进行了调整，网

3、络结构如图1-2所示，请在尽量节省资金的情况下给出该校园网IPv6技术升级的过渡方案，并进行设备升级和网络调优(网络设备调等)的方案设计。5Ml：符而因家属区个别用户也想接入到IPv6网络中访问相关资源，现在核心交换机2上开启ISATAP隧道，隧道服务器地址为 。若家属区客户机为 winxp(sp1及以上)，完成下面的步骤，使得客户机能够通过ISATAP隧道接入IPv6网络。C:1)安装IPv6协议C:2)设置隧道终点【问题3】NDP (Neighbor Discovery Protocol ,邻居发现协议)是 IPv6 一个关键协议，它组合了 IPv4 中的ARP、ICMP路由器发现和ICM

4、P重定向协议，并对它们做了改进，作为 IPv6的基础 性协议，NDP还提供了前缀发现、邻居不可达检测、重复地址监测、地址自动配置等功能。 进彳T IP地址规划及路由方案设计，包括：在现阶段网络的IPv6技术升级中，IPv6地址分配的两种分配机制是什么？在本方案中服务器端和用户端分别采用的IPv6地址分配机制是什么？在IPv4的网络中，校园网内部路由协议采用OSPF,在IPv6的网络中采用的路由协议是什么？接入到IPv6网络中的边界路由器采用何种接入方式。【问题4】近年来国家大力推进IPv4向IPv6的过渡，但是基于IPv6的网络部署还不能达到国家的战 略要求。你认为影响IPv6发展的因素主要有

5、哪些。对于学校现有IPv6网络的运维的建议。试题二近年来，云计算技术的蓬勃发展为整个IT行业带来了巨大变革。传统数据中心已经难以满足新形势下日益增长的高性能及高性价比需求，并且无法支持去环境下更加灵活的按带宽租对高密度服务器及赁数据中心网络的运营方式。 该集团随着信息系统业务的不断扩展上线, 调试自动化管理系统的需求不断增长，建设云数据中心的需求应运而生。【问题1 如图2-1所示，依据集团总部业务应用的需求，集团数据中心网络按功能将划分七大区：核心交换区、核心业务区、办公区、互联网接入区、运维管理区、广域网接入区、外联业务区。你认为这七大区域应该如二级板块及其下属子分公司可参考建立符合自身情况

6、的局域网络。何分布，请根据图2-1所示填写图中(1) (7)区域名称。(I)E捋卜，1C1E1I qjj MrtPfik ii电下的”加器扑取网用 1II： ,-hi4U与产值 iijs姓却【问题2】IT与网络基础架构，云数据中心是传统云数据中心是指以客户为中心、以服务为导向、基于高效、低能耗的利用云计算技术，自动化地按需提供各类云计算服务的新一代数据中心。 数据中心的升级，是新一代数据中心的演进方向。【问题请简述云数据中心的特点。云计算的关键技术有虚拟化技术、分布式计算技术、安全与隐私保护技术等，请简 要说明云数据中心在IT基础设施虚拟化技术方面主要包括哪些技术。3】为增强该集团业务应用系统

7、、 重要数据的可用性，抵御灾难发生时带来的风险， 该集团按照 国家要求需要建设两地三中心的容灾备份方案。 两地三中心是指主数据中心、 同城灾备及异请画图说明两地三中地灾备中心。两地三中心机房为业务应用系统建设提供基础配套设施。 心的数据中心架构采用的网络互联拓扑方案，并给出理由。【问题4】该集团数据存储量巨大，生产数据、安全数据以及测试数据等需要进行频繁的快速读写，为保障这种应用的需求，该集团希望在数据中心的数据存储方式上既要保证存储的可扩展性还 要保证数据的快速访问，同时对新服务器的部署也要考虑快速部署。数据中心中数据采用的存储方式主要有DAS、NAS、SAN三种，请分别描述三种存储方式的原

8、理，并根据集团要求设计在该集团的数据中心建设中应采用的存储方式，叙述采用这种方式的优点。试题三某部队院校早期的一卡通建设方案主要为保障校内师生的图书、食宿、医疗等服务，系统包括了一卡通专网建设、 一卡通平台建设、一卡通数据中心以及校园门禁与校园网视频监控等 内容。行政中心、家属区、食堂、学生宿舍、开水房等营业点通过汇聚交换机接入到核心交 换机，服务器及存储设备直接连接核心交换机，网络拓扑结构如图3-1所示。| /服务罂；/ %精怡*| T图M图3-1由于部队的医疗服务具有较高的知名度，经研究决定，扩大一卡通营业范围以方便社会人群的就医，具体安全要求如下：.新增外部应用网点和分部办事处，通过安全

9、设备来进行远程接入，要求能提供主动、实 时的防护，对网络中的数据流进行逐字节的检查，对攻击性的流量进行自动拦截。.由于互联网的引入，需要相应的安全措施来保障部队院校行政办公的安全。.需要提供安全审计功能，来识别、存储安全相关行为。【问题1 依据一卡通业务扩大的需求及安全要求，设计解决方案，画出修改后的网络拓扑结构，并标注采用的硬件设备及相关安全技术。【问题2】传统的防火墙存在只能对网络层和传输层进行检查，无法阻止内部人员的攻击等缺点。IDS和IPS技术却能在应用层对数据流进行分析， 并在网络遭受攻击之前进行报警和响应， 针对 部署的方式和实现的原理对 IDS和IPS进行比较。【问题3】随着加密

10、、隧道、认证等技术的发展，在Internet上的位于不同地方的两个或多个企业内部网之间建立一条安全的通讯线路，就可以为企业各部门提供安全的网络互联服务。针对该单 位网络情况，请给出至少两种新增外部应用网点与公司核心交换机远程接入方案。【问题4】安全审计能够检测和制止对安全系统的入侵、发现计算机的滥用情况，为系统管理员提供系统运行的日志，从而能发现系统入侵行为和潜在的漏洞，并对已经发生的系统攻击行为提供有效的追纠证据。请叙述安全审计的工作流程。Answer:试题一【问题1 IPv4/IPv6过渡技术有：(1)双协议栈技术：双栈技术通过节点对IPv4和IPv6双协议栈的支持，从而支持两种业务的共存

11、。(2)隧道技术：隧道技术通过在IPv4网络中部署隧道，实现在IPv4网络上对IPv6业务的承 载，保证业务的共存和过渡。(3) NAT-PT技术：NAT-PT使用网关设备连接 IPv6和IPv4网络。当IPv4和IPv6节点互相 访问时，NAT-PT网关实现两种协议的转换翻译和地址的映射。隧道模式，升级核心快速实现IPv6接入。升级的重点在于核心层。原有IPv4网络不进行改造，在核心增加一台支持IPv6业务的核心交换机或者更换原有的核心交换机。核心交换机开启双栈功能，向上连接IPv6网络，向下开启ISATAP隧道功能，开启IPv6/IPv4主机可采用ISATAP隧道方式直接接入核心交换机网络

12、中其余设备均无任何变化，原有IPv4业务正常运行。【问题2】(1)采用隧道模式，升级核心与部分汇聚逐步支持IPv6。升级的重点在汇聚层。在原有核心层改造基础上，逐步针对学生区和教学科研区汇聚的 三层设备进行更换，可以将汇聚层的原有三层交换机更换双栈设备。新增汇聚与核心之间可能存在IPv4网络，通过汇聚与核心之间开启隧道技术，新增的IPv6用户可以正常访问IPv6网络及IPv6业务。原有IPv4业务不产生任何变化，正常运行。双栈用户可以直接访问IPv4网络及IPv4业务。(2) 1) ipv6 install2) ipv6 rlu 2 或 netsh interface ipv6 isatap

13、set router 【问题3】(1) IPv6地址配置可以分为手动地址配置和自动地址配置2种方式。自动地址配置方式又可以分为无状态地址自动配置和有状态地址自动配置2种。(2)在本方案中服务器端采用手动地址配置或者是有状态地址自动配置，用户端采用无状态地址自动配置。(3)在IPv4的网络中，校园网内部路由协议采用OSPF,在IPv6的网络中采用的路由协议是 OSPFv3。(4)本案例中用户网为IPv6/IPv4双栈网络，应该使用BGP+和静态路由和 CERNET2互连，不仅可实现全球IPv6网络访问，而且可以利用IPv4 over IPv6隧道技术，通过CERNET2 主干网实现全球IPv4网

14、络访问。【问题4】(1)首先需要政府部门围绕IPv6发展的现状、未来等方面，在体制、机制、环境等方面加强协调、管控、不断细化政策，为其营造更好的发展环境。其次，产业链各方都或多或少地提前布局，在无形中造成了标准不一、各自为战的局面，这在一定程度上影响了IPv6的规模推进。第三，商业模式还在探索之中，这是影响IPv6最为关键的因素。从运营商的角度来看， 推动IPv6意味着网络升级改造，这需要花费大量成本，而在没有相关应用、内容推出 的背景下，如何实现赢利也成为其面临的一道课题。(2)可采用扁平化网络设计：扁平化的网络实际就是将原来核心、汇聚、接入三层结构从逻辑上变成业务控制层和接入层两层架构。扁

15、平化带来的优势很明显：第一，网络层次清晰化，将原来各个层次模糊的功能区分清晰化，不同层次各司其职，有利于管理和维护。第二，精细化控制。该架卞实现用户之间/业务之间的有效隔离，避免相互之间的干扰和影响，做到可细分、可隔离。通过接入认证机制，对用户的各种信息，如用 户账号、MAC地址、IP地址、上线时间及其访问行为的识别和记录，做到可跟 踪、可追查。试题二【问题1 (1)广域网接入区(2)核心业务区(3)互联网接入区(4)办公区(5)运维管理区(6)外联业务区(7)核心交换区【问题2】(1)标准化、高密度、模块化以及集中化管理是云时代数据中心基础设施的4个主要特征。.标准化：新一代的数据中心一定是

16、采用各种标准化的组件，符合各种国际标准。.高密度：云计算是一种集中化的部署方式，要在有限空间内支持高负载，刀片式服 务器等高密度设备是必然选择。.模块化：数据中心要满足动态的需求，必须具有一定伸缩性。同时，为了节省投资，最好能边成长边投资，而模块化就是最好的选择。.集中化管理：传统数据中心IT设备与基础设施是由不同的人分开管理的，这种分工不适应当前的需要，应采用集中式管理模式。(2)虚拟化技术包括服务器虚拟化、存储虚拟化、网络虚拟化、应用程序虚拟化等等。【问题3】生产中心LAN3DL,生产百列/异装复蒯异比文备除列同城交管中心同通贡鸟泽列IP卷珞FC链路 曷建网同步复制FC SANWAN异地衣

17、窗中心原因如下:.同城双中心的应用切换：采用 Symantec Veritas的VCS （ Veritas Cluster Server）集群软 件来实现，并通过组件 GCO （Global Cluster Option ）在本地和远程的集群之间进行状态 监测。.在网络层，同城双中心之间采用WDM （波分复用）技术连接，保证双中心之间较大的带宽，以响应实时的业务数据需求，同城异地之间采用专用网或IP广域网（如SDH/MSTP ）即可实现，以节约成本。.同城双中心的数据采用同步复制，在同城灾备中心建立一个在线更新的数据副本。当有 数据下发到生产中心阵列时，阵列间的同步复制都会同时将数据复制一份到

18、同城灾备中o.同城灾备中心与异地灾备中心之间采用异步复制方式，定期将数据进行复制备份，异步 复制支持增量复制方式，可以节省数据备份的带宽占用，缩短数据的备份时间。【问题4】. 直连方式存储（Direct Attached Storage-DAS ）存储设备是通过电缆 （通常是SCSI接口电缆）直接到服务器。I/O请求直接发送到存储 设备。这种方式是连接单独的或两台小型集群的服务器。特点：是初始费用可能比较低；容量的再分配困难；没有集中管理解决方案；整体的管 理成本较高。.网络连接存储（Network Attached Storage-NAS ）NAS设备通常是集成了处理器和磁盘假盘柜，类似于文

19、件服务器。连接到 TCP/IP网络上（可通过LAN或WAN）,通过文件存取协议（例如 NFS、CIFS等）存取数据。特点：NAS系统有较低的成本，易于实现文件共享；不适合于不采用文件系统进行存储 管理的系统，如某些数据库。.存储区域网络（Storage Area Network-SAN ）存储设备组成单独的网络，大多利用光纤连接，采用光纤通道协议（ Fiber Channel,简 称FC）。服务器和存储设备间可以任意连接，I/O请求也是直接发送到存储设备。存储区域网络的特点：服务器和存储设备之间更远的距离（光纤通道网络10公里相比较 DNS的SCSI25米）。高可靠性及高性能。多个服务器和存储设备之间可以任意连接。集中的存储设备替代多个存储设备，支持存储容量共享。通过相应的软件使得 SAN上的存储设备表现为一个整体，因此有很高的扩展性。可以通过软件集中管理和控制 SAN上的存储设备，提供数据共享。由于SAN通常是基于光纤通道的解决方案，需要专用的光纤通道交换机和管理软件,所以SAN的初始费用比 DAS和NAS高。该集团的数据中心建设中应采用SAN方式进行数据存储。试题三【问题1 修改后的拓扑：.带VPN功能的防火墙和分支机构通过IPSec VPN进行安全的远程连接，可保护数据的机密性、完整性和不