2. 计算机
  3. 阅读以下说明,回答问题1至问题4,将解答填入答题纸对应的解答栏内。 【说明】 某企业的网络结构如图1-1所示。 【问题1】 1.图1-1中的网络设备①应为 (1) ,网络设备②应为 (2) ,从网络安全的角度出发,Switch9所

阅读以下说明,回答问题1至问题4,将解答填入答题纸对应的解答栏内。 【说明】 某企业的网络结构如图1-1所示。 【问题1】 1.图1-1中的网络设备①应为 (1) ,网络设备②应为 (2) ,从网络安全的角度出发,Switch9所

admin2016-05-11  27
问题 阅读以下说明,回答问题1至问题4,将解答填入答题纸对应的解答栏内。
【说明】
    某企业的网络结构如图1-1所示。

【问题1】
    1.图1-1中的网络设备①应为  (1)  ,网络设备②应为  (2)  ,从网络安全的角度出发,Switch9所组成的网络一般称为  (3)  区。
2.图1-1中③处的网络设备的作用是检测流经内网的信息,提供对网络系统的安全保护。该设备提供主动防护,能预先对入侵活动和攻击性网络流量进行拦截,避免造成损失,而不是简单地在恶意流量传送时或传送后才发出警报。网络设备③应为  (4)  ,其连接的Switch1的G1/1端口称为  (5)  端口,这种连接方式一般称为  (6)  。
【问题2】
    1.随着企业用户的增加,要求部署上网行为管理设备对用户的上网行为进行安全分析、流量管理、网络访问控制等,以保证正常的上网需求。部署上网行为管理设备的位置应该在图1—1中的  (7)  和  (8)  之间比较合理。
    2.网卡的工作模式有直接、广播、多播和混杂四种模式,缺省的工作模式为  (9)和  (10)  ,即它只接收广播帧和发给自己的帧。网络管理机通常在用抓包工具时,需要把网卡置于  (11)  ,这时网卡将接受同一子网内所有站点所发送的数据包,这样就可以达到对网络信息监视的目的。
【问题3】
    针对图1—1中的网络结构,各台交换机需要运行  (12)  协议,以建立一个无环路的树状网络结构。默认情况下,该协议的优先级值为  (13)  。在该协议中,根交换机是根据  (14)  来选择的,值小的为根交换机;如果相同,再比较  (15)  。
    当图1-1中的Switchl~Switch3之间的某条链路出现故障时,为了使阻塞端口直接进入转发状态,从而切换到备份链路上,需要在Switch1~Switch8上使用  (16)功能。
【问题4】
    根据层次化网络的设计原则,从图1-1中可以看出该企业网络采用了由  (17)  层和  (18)  层组成的两层架构,其中MAC地址过滤和IP地址绑定等功能是由  (19)完成的,分组的高速转发是由  (20)  完成的。
选项
答案【问题1】 (1)路由器 (2)防火墙或其他具有类似功能的网络安全设备 (3)非军事/DMZ (4)IPS(入侵防御系统)或IDS(入侵检测系统) (5)镜像 (6)旁路方式 【问题2】 (7)主交换机或Switchl——(7)和(8)答案可互换 (8)防火墙或网络设备②——(7)和(8)答案可互换 (9)广播模式——(9)和(10)答案可互换 (10)直接模式——(9)和(10)答案可互换 (11)混杂模式 【问题3】 (12)STP或生成树 (13)32768 (14)交换机优先级 (15)MAC地址 (16)BackboneFast 【问题4】 (17)核心 (18)接入 (19)Switch4~Switch8或接入层交换机 (20)Switch1~Switch3或核心层交换机
解析 本题考查网络规划设计方面的相关知识。
【问题1】
    本问题主要考查网络拓扑结构。
    路由器具有广域网互联、隔离广播信息和异构网络互连等能力,是企业网建设和互联网络建设中必不可少的设备。从图中的网络拓扑结构可知,设备(1)处于该企业网和Internet之间,因此需要使用路由器进行互联,以实现该企业网路由信息的边界计算网络地址转换等功能。
    通常Internet是一个不可信任的网络,而企业内部网络要求是一个可信任的网络。因此设备(2)需要部署防火墙设备,从而保护内部网络资源不会被外部非授权用户使用,防止内部网络受到外部非法用户的攻击。防火墙一般按照防护的区域可分为信任区、非信任区以及DMZ区。其中DMZ区是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题,而设立的一个非安全系统与安全系统之间的缓冲区。这个缓冲区位于企业内部网络和外部网络之间的小网络区域内,在这个小网络区域内可以放置一些必须公开的服务器设施,如企业Web服务器、Mail服务器和DNS等。另一方面,通过这样一个DMZ区域,更加有效地保护了内部网络,因为这种网络部署,比起一般的防火墙方案,对攻击者来说又多了一道关卡。
    入侵防护系统(IPS)兼有防火墙、IDS和防病毒等安全组件的特性,当数据包经过时将对其进行过滤检测,以确保该数据包是否含有威胁网络安全的特征。如果检测到一个恶意的数据包,系统不但发出警报,还将采取相应措施阻断攻击。图中设备(3)直接接在交换机1的G1/1接口上(此接口为镜像端口),用于检测、分析和处理从设备(2)进入交换机1的数据包。根据网络拓扑结构和安全要求的不同,IPS可以通过旁路接入或者直接串接等方式部署在被检测的网络中。
【问题2】
    本问题主要考查上网行为管理设备和网卡的工作模式。
    上网行为管理是指帮助互联网用户控制和管理对互联网的使用,包括对网页访问过滤、网络应用控制、带宽流量管理、信息收发审计和用户行为分析。通过对上网行为管理的需求进行分析,根据图中的网络拓扑结构,可以得出该设备应该部署在交换机1和设备(2)之间,这样才能满足企业的要求。
    网卡具有如下的四种工作模式:
    (1)广播模式(Broad Cast Model):物理地址(MAC)是0Xffffff的帧为广播帧,工作在广播模式的网卡接收广播帧。
    (2)多播传送(MultiCast Model):多播传送地址作为目的物理地址的帧可以被组内的其他主机同时接收,而组外主机却接收不到。但是,如果将网卡设置为多播传送模式,它可以接收所有的多播传送帧,而不论它是不是组内成员。
    (3)直接模式(Direct Model):工作在直接模式下的网卡只接收目的地址是自己Mac地址的帧。
    (4)混杂模式(Promiscuous Model):工作在混杂模式下的网卡接收所有的流过网卡的帧,信包捕获程序就是在这种模式下运行的。
    网卡的缺省工作模式包含广播模式和直接模式,即它只接收广播帧和发给自己的帧。如果采用混杂模式,一个站点的网卡将接收同一网络内所有站点所发送的数据包,这样就可以达到对网络信息监视捕获的目的。
【问题3】
    本问题主要考查生成树协议。
    生成树协议(STP)是一个数据链路层的协议。其基本原理是通过在交换机之间传递一种特殊的协议报文,网桥协议数据单元(Bridge Protocol Data Unit,简称BPDU),来确定网络的拓扑结构。BPDU有两种:配置BPDU(Configuration BPDU)和TCN BPDU。前者是用于计算无环的生成树的,后者则是用于在二层网络拓扑发生变化时产生用来缩短CAM表项的刷新时间的(由默认的300s缩短为15s)。Spanning Tree Protocol(STP)在IEEE 802.1D文档中定义。该协议的原理是按照树的结构来构造网络拓扑,消除网络中的环路,避免由于环路的存在而造成广播风暴问题。在该协议中,交换机是根据交换机优先级来选择的,值小的为根交换机。如果相同,再比较MAC地址。交换机优先级是一个十进制数,用来在生成树算法中衡量一个交换机的优先度,其值的范围是0~65535,默认情况下,其值为32768。
    BackboneFast是对UplinkFast的一种补充,UplinkFast能够检测直连链路的失效,BackboneFast是用来检测间接链路的失效。当启用了BackboneFast的交换机检测到间接链路失效之后,会马上使阻塞的端口进入监听状态,少了20s的老化时间。如果要启用BackboneFast特性,应该在网络中的所有交换机上都启用。
【问题4】
    本问题主要考查网络分层概念。
    图中所示的网络拓扑结构采用了核心层和接入层的两层架构理念。其中,由交换机1~交换机3组成核心层,主要完成的功能有:分组的高速转发;汇聚下一层的用户流量,进行数据分组传输的汇聚、转发和交换;根据接入层的用户流量,进行本地路由、数据包过滤、协议转换、流量均衡、QoS优先级管理以及安全控制、IP地址转换、流量整型等处理。由交换机4~交换机8组成了接入层,主要完成的功能是:为用户提供了在本地网段访问应用系统的能力,解决相邻用户之间互相访问的需求,并且为这些访问提供足够的带宽;适当地负责部分用户管理功能(如MAC层过滤、IP地址绑定、用户认证、计费管理等);负责部分用户信息收集工作(如用户的IP地址、MAC地址、访问日志等)。
转载请注明原文地址:https://kaotiyun.com/show/LuPZ777K
本试题收录于: 网络工程师下午应用技术考试题库软考中级分类
0

网络工程师下午应用技术考试

软考中级

相关试题推荐
随机试题
最新回复(0)