2021年11月网络规划设计师考试网络规划与设计案例分析下午真题

2021年11月网络规划设计师考试网络规划与设计案例分析下午真题(总分：11.00，做题时间：180分钟)一、问答题(总题数：11，分数：11.00)1.某园区组网图如图1-1所示，该网络中接入交换机利用QinQ技术实现二层隔离，根据不同位置用户信息打外层VLAN标记，可以有效避免广播风暴，实现用户到网关流量得统一管理。同时在网络中部署集群交换机系统CSS及Eth-trunk,提高网络得可靠性。请简要分析该网络接入层的组网特点(优点及缺点各回答2点)。

（分数：1.00）__________________________________________________________________________________________

正确答案：(优点：QinQ使得各部门可以任意规划自己的VLAN、有效避免广播风暴、更容易实现统一管理、能够提供丰富的业务特性和更加灵活的组网能力。缺点：接入层交换机的可靠性不足、成本上升。)解析：本题的接入层交换机使用了QinQ技术，这个技术通过对数据帧封装两次Vlan标记以实现数据帧的传输管理，由于采用了两次标记，可以支持的vlan高达4094×4094个，因此有足够的vlan数量冗余，方便各个部门规划自己的Vlan。用这种技术还可以有效地避免广播风暴，实现统一管理。在网络规划中可以使用不同的VlanID对应不同的业务，因此可以提供丰富的业务特性和灵活强大的组网能力。但是由于接入层交换机存在的可靠性不足有问题会一直存在，所以会导致整个网络的可靠性降低。由于要求接入层交换机支持QinQ技术，因此成本会增加。2.某园区组网图如图1-1所示，该网络中接入交换机利用QinQ技术实现二层隔离，根据不同位置用户信息打外层VLAN标记，可以有效避免广播风暴，实现用户到网关流量得统一管理。同时在网络中部署集群交换机系统CSS及Eth-trunk,提高网络得可靠性。当该园区网用户接入点增加,用户覆盖范围扩大,同时要求提高网络可靠性时,某网络工程师拟采用环网接入+虚拟网关的组网方式(1)如何调整交换机的连接方式组建环网?(2)在接入环网中如何避免出现网络广播风暴?(3)简要回答如何设置虚拟网关。

（分数：1.00）__________________________________________________________________________________________

正确答案：((1)调整树形结构为环形、星型的混合结构；(2)采用STP或MSTP进行防环处理；(3)配置核心交换机为VRRP（因为图中所示核心具有三层转发能力）)解析：目前的网络拓扑结构为星型结构，如果要采用环网接入，则必须将网络拓扑结构调整为环形和新型的混合结构，才可以方便的实现环网接入和通过其他的可靠性技术如VRRP实现虚拟网关，增强整个系统的可靠性。由于网络结构调整为环形，网络中会出现环路，在2层网络中为了避免广播风暴，必须采用生成树协议以防止出现环路引起的广播风暴。要设置虚拟网关的组网方式必须在支持VRRP协议的设备上，启用虚拟网关。本题中可以在核心交换机上设置VRRP组，设置合理的虚拟网关。3.某园区组网图如图1-1所示，该网络中接入交换机利用QinQ技术实现二层隔离，根据不同位置用户信息打外层VLAN标记，可以有效避免广播风暴，实现用户到网关流量得统一管理。同时在网络中部署集群交换机系统CSS及Eth-trunk,提高网络得可靠性。该网络通过核心层进行认证计费,可采用的认证方式有哪些?

（分数：1.00）__________________________________________________________________________________________

正确答案：(可采用的认证方式有802.1X，MAC认证，Portal认证。)解析：网络通过核心层进行认证和计费，通常采用的方式可以有PPPOE，802.1X，MAC认证，WEBPortal认证等方式，通常PPPOE和802.1X在客户端安装相应的认证程序，并在使用网络时输入用户名和密码进行验证。而webportal方式不需要安装专用客户端，用户在需要上网时，系统会自动将连接请求转换到portal页面，在网页端实现用户认证之后才可以上网。4.某园区组网图如图1-1所示，该网络中接入交换机利用QinQ技术实现二层隔离，根据不同位置用户信息打外层VLAN标记，可以有效避免广播风暴，实现用户到网关流量得统一管理。同时在网络中部署集群交换机系统CSS及Eth-trunk,提高网络得可靠性。(1)该网络中,出口路由器的主要作用有哪些?(2)应添加什么设备加强内外网络边界安全防范?放置在什么位置?

（分数：1.00）__________________________________________________________________________________________

正确答案：(（1）路由选择、NAT、ACL等（2）增加防火墙，放在路由器与核心之间。)解析：在本网络中，出口路由器主要用于将内网等流量通过合适的方式转发到运营商，因此路由器所起的主要作用是进行路由选择。同时内网的用户通常会使用私有地址，为了能让私有地址用户使用因特网还需要进行地址转换。另外，在网络中往往需要根据业务需求进行适当的网络访问控制，也可以在路由器上使用ACL对用户的访问行为进行具体的控制。根据题目要求，要加强内外网络边界的安全防范，需要配置防火墙，防火墙主要用于内外网络的边界，用于防御外网可能带来的安全威胁。在本题中，路由器直接用于连接因特网，因此防火墙最佳的部署位置是路由器和核心交换机之间。5.图2-1为某数据中心分布式存储系统网络架构拓扑图，每个分布式节点均配置1块双端口10GE光口网卡和1块1GE电口网卡,SW3是存储系统管理网络的接入交换机，交换机SW1和SW2连接各分布式节点和SW3交换机,用户通过交换机SW4接入访问分布式存储系统。图2-1中,通过(1)技术将交换机SW1和SW2连接起来,从逻辑上组合成一台交换机,提高网络稳定性和交换机背板带宽；分布式节点上的2个10GE口采用(2)技术,可以实行存储节点和交换机之间的链路冗余和流量负载；交换机SW1与分布式节点连接介质应采用(3),SW3应选用端口速率至少为(4)bps的交换机,SW4应选用端口速率至少为(5)bps的交换机。

（分数：1.00）__________________________________________________________________________________________

正确答案：(（1）堆叠（2）链路聚合（3）多模光纤（4）1G（5）10G)解析：从题干中我们可以看出，交换机SW1和SW2作为分布式存储节点的主要连接设备，要将这两台设备从逻辑上组合成一台交换机，并且要利用交换机的背板带宽，所能采用的方式只有堆叠。尽管两台交换机也可以通过级联的形式连接起来，但是这种连接方式下两台设备并不能提高稳定性和充分利用交换机背板带宽。分布式节点上的2个10GE口分别连接到交换机SW1和SW2，而这两台交换机通过堆叠变成了一台逻辑交换机，因此这2个端口要实现交换机之间的链路冗余和流量负载，最适合的方式就只能使用链路聚合。因为SW3是分布式存储节点的管理接口，而存储设备的管理接口是千兆，因此这个交换机应该选用端口速率至少为1千兆bps。因为SW4是用户接入的交换机，一端连接用户，另外一端连接SW1和SW2，这2个交换机使用的是万兆链路，为了让交换机下面的用户能够以较快的速度接入到分布式存储节点，最好是让该交换机端口速率达到1万兆。6.图2-1为某数据中心分布式存储系统网络架构拓扑图，每个分布式节点均配置1块双端口10GE光口网卡和1块1GE电口网卡,SW3是存储系统管理网络的接入交换机，交换机SW1和SW2连接各分布式节点和SW3交换机,用户通过交换机SW4接入访问分布式存储系统。分布式存储系统采用什么技术实现数据冗余?分布式系统既要性能高,又要在考虑成本的情况下采用了廉价大容量磁盘,请说明如何配置磁盘较为合理?并说明配置的每种类型磁盘的用途。常见的分布式存储架构有无中心节点架构和有中心节点架构,HDFS(HadoopDistributionFileSystem)分布式文件系统属于(6)架构,该文件系统由一个(7)节点和若干个DataNode组成。

（分数：1.00）__________________________________________________________________________________________

正确答案：(1、副本策略、纠删码2、配置SSD+HDD混合式存储，由一级RAM、二级SSD、三级大容量磁盘的磁盘结构。RAM用于缓存数据，RAM将需要写入磁盘的数据先快速存入SSD，由于不用寻到，所以速度很快，SSD承担二级缓存的作用，磁盘驱动器再从SSD中数据写入磁盘。有效避免数据直接写入时I/O过程中廉价磁盘的寻道延时。3、（6）有中心节点（7）NameNode)解析：副本策略和纠删码是存储领域常见的两种数据冗余技术。相比于副本策略，纠删码具有更高的磁盘利用率。纠删码是一种编码技术，它可以将n份原始数据，增加m份数据，并能通过n+m份中的任意n份数据，还原为原始数据。即如果有任意小于等于m份的数据失效，仍然能通过剩下的数据还原出来。多副本策略即将数据存储多个副本，如HDFS系统中，一般是三副本，当某个副本丢失时，可以通过其他副本复制回来。存储系统中为了满足存储的速度和存储容量的高性价比，通常采用的方式是配置小容量的高速存储和大容量的持久化存储设备。小容量高速存储设备用于做缓存，这种设备速度快，但是价格昂贵，不适合做大量的数据存储。通常为了追求大容量存储的高性价比，可以采用速度相对较低，但是存储容量大，价格比较低的硬盘。因此合适的方式是配置SSD+HDD混合式存储。其中SSD用于做缓存，HDD要有做持久化存储。HDFS分布式文件系统属于一种有中心节点的架构，也就是常用的master/slave架构.以glusterfs为代表的属于无中心架构。HDFS文件系统由一个NameNode节点和若干个DataNode组成。7.图2-1为某数据中心分布式存储系统网络架构拓扑图，每个分布式节点均配置1块双端口10GE光口网卡和1块1GE电口网卡,SW3是存储系统管理网络的接入交换机，交换机SW1和SW2连接各分布式节点和SW3交换机,用户通过交换机SW4接入访问分布式存储系统。随着数据中心规模的不断扩大和能耗不断提升,建设绿色数据中心是构建新一代信息基础设施的重要任务,请简要说明在数据中心设计时可以采取哪些措施可以降低数据中心用电耗？（至少回答3点措施）

（分数：1.00）__________________________________________________________________________________________

正确答案：(优化冷却系统（水冷代替风冷）、利用外部冷源、采用虚拟化等技术减少物理主机、采用低能耗CPU等硬件产品、重组数据中心、减少不必要设备的应用、健全用电制度和强化用电管理。)解析：充分利用自然冷源，风、水、空气等自然冷源对于数据中心来说，这些既环保；又省钱。因此可以充分利用外部冷源。优化冷却系统。利用冷却效率更好的水冷代替风冷，可以静一步降低PUE。采用虚拟化，灵活调整系统所需计算资源，降低物理主机的的能源消耗，提高PUE。采用新型低能耗硬件产品，降低硬件能耗。强化机房用电管理和用电制度，合理利用能源。8.案例一安全测评工程师小张对某单位的信息系统进行安全渗透测试时，首先获取A系统部署的WebServer版本信息然后利用A系统的软件中间件漏洞，发现可以远程在A系统服务器上执行命令。小张控制A服务器后，尝试并成功修改网页。通过向服务器区域横向扫描，发现B和C服务器的root密码均为123456,利用该密码成功登录到服务器并获取root权限。案例二网络管理员小王在巡查时发现网站访问日志中有多条非正常记录。其中，日志1访问记录为:/param=1'andupdatexml(1,concat(0x7e(SELECTMD5(1234),0x7e),1)日志2访问记录为/js/url.substring(0,indexN2)}/alert(url);url+=小王立即采取措施,加强Web安全防范。案例三某信息系统在2018年上线时，在公安机关备案为等级保护第三级,单位主管认为系统已经定级,此后无须再做等保安全评测。信息安全管理机构是行使单位信息安全管理职能的重要机构,各个单位应设立(1）领导小组,作为本单位信息安全工作的最高领导决策机构。设立信息安全管理岗位并明确职责,至少应包含安全主管和“三员”岗位,其中“三员”岗位中:(2)岗位职责包括信息系统安全监督和网络安全管理,沟通、协调和组织处信息安全事件等；系统管理员岗位职责包括网络安全设备和服务器的配置、部署、运行维护和日常管理等工作；(3)岗位职责包括对安全、网络、系统、应用、数据库等管理人员的操作行为进行审计,监督信息安全制度执行情况。

（分数：1.00）__________________________________________________________________________________________

正确答案：(（1)信息安全（2）安全保密员（3）安全审计员)解析：本题实际考查的是一个基础概念题，就是根据题干中间所给出的相关解释确定对应的概念。根据国家对信息安全有关规定，要求各单位必须成立信息安全管理机构，成立信息安全领导小组，作为本单位信息安全工作的最高领导和决策机构。设立信息安全相关管理岗位，主要包括安全主管和安全保密员、系统管理员和安全审计员等。其中，安全保密员岗位职责包括信息系统安全监督和网络安全管理,沟通、协调和组织处信息安全事件。系统管理员岗位职责包括网络安全设备和服务器的配置、部署、运行维护和日常管理等工作。安全审计员岗位职责包括对安全、网络、系统、应用、数据库等管理人员的操作行为进行审计。9.案例一安全测评工程师小张对某单位的信息系统进行安全渗透测试时，首先获取A系统部署的WebServer版本信息然后利用A系统的软件中间件漏洞，发现可以远程在A系统服务器上执行命令。小张控制A服务器后，尝试并成功修改网页。通过向服务器区域横向扫描，发现B和C服务器的root密码均为123456,利用该密码成功登录到服务器并获取root权限。案例二网络管理员小王在巡查时发现网站访问日志中有多条非正常记录。其中，日志1访问记录为:/param=1'andupdatexml(1,concat(0x7e(SELECTMD5(1234),0x7e),1)日志2访问记录为/js/url.substring(0,indexN2)}/alert(url);url+=小王立即采取措施,加强Web安全防范。案例三某信息系统在2018年上线时，在公安机关备案为等级保护第三级,单位主管认为系统已经定级,此后无须再做等保安全评测。1.请分析案例一信息系统存在的安全隐患和问题(至少回答5点)；2.针对案例一存在的安全隐患和问题，提出相应的整改措施(至少回答4点)

（分数：1.00）__________________________________________________________________________________________

正确答案：(WebServer的版本信息没有屏蔽；中间件系统没有定时升级；没有部署漏洞扫描设备；弱口令；没有禁止root用户远程登录；没有部署WAF安全设备导致网页被随意修改。屏蔽WebServer的版本信息；定时升级中间件系统；部署漏洞扫描、入侵检测、WAF等安全设备；使用强口令，并要求定期更新口令；禁止root用户远程登录。)解析：根据案例以中间的相关描述，可以确定系统中主要存在以前安全问题：1.WebServer的版本信息没有进行屏蔽处理，一旦被攻击者获得服务器版本信息，可能会根据服务器版本情况进行相应攻击。2.中间件系统没有及时升级，导致存在漏洞。3.系统没有部署相关的漏洞扫描设备，系统存在漏洞也不能够被及时发现。4.系统中用户的口令设置比较随意，没有设置相应的口令规则，允许弱口令存在。5.系统中也没有对root用户进行远程登录控制，导致可以远程登录系统。6.系统在没有对web应用系统进行安全防护，导致网页可以被修改。根据以上对可能存在的安全隐患可以采取对应的解决措施：1.屏蔽WebServer的版本信息；2.及时升级中间件系统；3.部署漏洞扫描、入侵检测、WAF等安全设备；4.使用强口令，并要求定期更新口令；5.禁止root用户远程登录。10.案例一安全测评工程师小张对某单位的信息系统进行安全渗透测试时，首先获取A系统部署的WebServer版本信息然后利用A系统的软件中间件漏洞，发现可以远程在A系统服务器上执行命令。小张控制A服务器后，尝试并成功修改网页。通过向服务器区域横向扫描，发现B和C服务器的root密码均为123456,利用该密码成功登录到服务器并获取root权限。案例二网络管理员小王在巡查时发现网站访问日志中有多条非正常记录。其中，日志1访问记录为:/param=1'andupdatexml(1,concat(0x7e(SELECTMD5(1234),0x7e),1)日志2访问记录为/js/url.substring(0,indexN2)}/alert(url);url+=小王立即采取措施,加强Web安全防范。案例三某信息系统在2018年上线时，在公安机关备案为等级保护第三级,单位主管认为系统已经定级,此后无须再做等保安全评测。1.案例二中，日志1所示访问记录是(4)攻击，日志2所示访问记录是(5)攻击2.案例二中，小王应采取哪些措施加强web安全防范?

（分数：1.00）__________________________________________________________________________________________

正确答案：(SQL注入（5）跨站攻击加强服务器配置与设置，部署WAF安全设备。)解析：从题干日志所展示的信息来看，里面有非常明显的SQL语句，“SELECTMD5(1234),0x7e),1)”等，而该语句是嵌入在URL中，所以明显就是一种SQL注入攻击。从题干中的日志，可以看到其中有“substring(0,i