1.閱讀以下說明，回答問題1至問題4，將解答填入答題紙對應的解答欄內。

 【說明】某企業網絡拓撲如圖1-1所示。

【問題1】（6分）

根據國1-1，對該網絡主要設備清單表1-1所示內容補充完整。

【問題2】（8分）

1.網絡中A、B設備連接的方式是什么？依據A、B設備性能及雙鏈路連接，計算兩者之間的最大寬帶。

2.交換機組F的連接方式是什么？采用這種連接方式的好處是什么？

【問題3】(6分)該網絡拓撲中連接到各分部可采用租賃ISP的DDN、Frame Relay、ISDN線路等方式，請簡要介紹這幾種接方式。

【問題4】(5分)若考慮到成本問題，對其中條連接用VPN的方式，在分部路由器上做下列配置：

sub-company(config)#crypto isakmp policy 1

sub-company(config-isakmp)#encry des

sub-company(config-isakmp)#hash md5

sub-company(config-isakmp)#authentication pre-share

sub-company(config)# crypto isakmp key 6 cisco address x.x.x.x

該命令片段配置的是（7）

(7)備選答案：

A、定義ESP

B、IKE策略

C、IPSce VPN數據

D、路由映射

在該配置中，IP地址×.×.×.×是該企業總部IP地址還是分布IP地址?

參考答案：

【問題1】

(1)C  (2)匯聚交換機  (3)D  (4)路由器  (5)E  (6)防火墻

【問題2】

鏈路聚合或者鏈路捆綁在兩臺設備間采用鏈路聚合后，在不考慮協議開銷的前題下，其帶寬是原來單鏈路帶寬的2倍。

雙鏈路上行和菊花型堆疊，增加了冗余，提高網絡可靠性與健壯性。

【問題3】

DDN：專線連接方式，點對點通信，用戶獨占一條永久的、速率固定的專用線路，并獨享帶寬，延遲小，成本高，線路利用率低。

Frame Relay：采用分組交換技術，點對多點通信，將傳輸的信息劃分為一定長度的分組，采用動態復用技術來傳送幾個分組，雖然在任意時刻線路總是被某一個分組獨占，但線路的帶寬在統計上得到復用，有效提高了線路的利用率，由于要對數據進行分組，因此該技術相比專線方式延遲大，但成本低。

ISDN：是電路交換技術的典型代表，延遲小，點對點通信，線路利用率低。

【問題4】(7)B   總部地址

2.閱讀以下說明，回答問題l至問題4，將解答蟪入答題紙對應的解答欄內。

【說明】傳統業務結構下，由于多種技術之間的孤立性，使得數據中心服務器總是提供多個對外I/O接口。在云計算模式發展的推動下，數據中心正在從過去的存儲處理中心演變成為應用中心，并逐步向服務中心和運營中心轉變。而對客戶來說，由于技術、經驗、資金等限制，在轉變過程中會遇到各種挑戰，例如虛擬化帶來的技術復雜性，規模擴大帶來的運維壓力，系統和數據遷移的困難以廈數據中心的高能耗等。

傳統業務結構存儲下的數據中心網絡撲結構圖如圖2-1所示。

【問題1】（9分）

(1)如圖2-1所示，數據中心有多個網絡，一個是前端用戶通信網絡，一個是后端做數據更新或者做集群計算的通訊網絡，還有后臺光纖存儲網絡。針對這三種網絡分別舉出一個例子。

(2)如上所述，除以上三種網絡外有的數據中心還有專門用于虛擬機遷移的網絡，都會在服務器上做集中。這樣一臺服務器最多需要幾塊網卡與之相連？隨著TRILL等技術的出現，這個專用網絡還需要嗎？

(3)網絡成為數據中心資源的交換樞紐，當前數據中心紛為IP數據網絡、存儲網絡、服務器集群網絡。隨著數據中心規模的逐步增大，簡單分析帶來的問題。

【問題2】（4分）

FCoE采用增強型以太網作為物理網絡傳輸架掏，是專門為低延遲性高性能、二層數據中心網絡所設計的網絡協議。目前國際標準化組織已經開發了針對以太網標準的擴展協議族，即“融合型增強以太網（CEE），這些擴展協議族可以進行所有類型的傳輸。試簡述FCoE技術的優點。

【問題3】（6分）

為了實現統二管理、簡化運維，采用基于FCoE技術的數據中心統 -1／0能夠實現用少數的CNA(Converged Network adapter)代替數量較多的NIC HBA，HCA，所有的流量通過CNA萬兆以太網傳輸。

按照18臺服務器（單網卡）為例，使用FCoE后每臺服務器只需要塊專用適配器（網卡），一套布線（以太網）系統，統一管理維護簡單。表2-1為使用FcoE前18臺服務器需要的網卡、交換機、電纜以廈上聯端口的數量，請核算出使用FCoE后的相應部件數量，填充表2-2。

【問題4】（6分）

(1)隨著數據中心的發展，數據中心的能耗已經成為一個嚴峻的問題，PU已經成為國際上比較通行的數據中心電力使用效率的衡量指標。請問PUE是什么，它的基準是多少，其越接近多少表示一個數據中心的綠色化程度越高？

(2)在現代機房的機柜布局中，人們為了美觀和便于觀察會將所有的機柜朝同一個方向擺放。如果按照這種擺放方式，機柜盲板有效阻擋冷熱空氣的效果將大打折扣。正確的擺放方式是什么？請簡述其原因。

(3)水冷空調系統是目前新一代大型數據中心制冷的首選方案，采用水冷空調在部分地區可以采取免費冷卻技術以節能。免費冷卻技術是什么？

參考答案：

【問題1】

（1）主要包含以下三種網絡

1．以太網：前端的用戶通信網絡

2．FC光纖網絡：后臺存儲網絡光纖的通道

3．高性能計算Infiniband網絡（服務器集群網絡）：后端做數據更新或者做集群計算的通訊網絡

（2）最多需要8塊網卡與之相連。如使用trill（多鏈接透明互聯）后，該網絡無需存在。（實際服務器需與4個網絡相連，每個網絡需要兩塊網卡，故需要8塊）

（3）隨著數據中心的不斷擴大，將帶來以下困難

1．每個服務器要多個專用適配器（網卡），要不同的布線系統

2．機房要支持更多設備：空間、耗電、制冷

3．多套網絡無法統管理，不同的維護人員

4．部署／配置／管理/運維困難

【問題2】

FCoE技術有以下的些優點：光纖存儲和以太網共享同個端口；更少的線纜和適配器軟件配置l/O與現有的SAN環境可以互操作。

基于FCoE技術的數據中心統-l/o能夠實現用少數的CNA(Converged Network adapter)代替數量較多的NIC、HBA、HCA，所有的流量通過CNA萬兆以太網傳輸。

FCoE：FC埴接映射到以太網上進行承載。

FC數據流和其它數據流共享以太網鏈路，FCOE保留原FC網絡中N Port、F Port、E Port的結構，FCOE保留原FC的管理模式，保護原有投資。

兼容原有網絡：原有FC存儲網絡（FC交換機）可連接到數據中心以太網交換機上。

下代網絡：FCoE磁盤陣列可直接連接到數據中心交換機上。

使用FcoE的好處：

每個服務器只需要個專用適配器（網卡），套布線（以太網）系統（以前需要多個網卡，多套布線（以太網和光纖）系統）。

機房不再要支持更多設備：空間、耗電、制冷，更加節能綠色。

只有套網絡，統管理維護簡單（原來是多套網絡無法統一管理，不同的維護人員維護困難）

部署／配置／管理/運維簡單。

網卡、交換機、光纖需要的數量減半，投資減少50%，能耗及維護費用極大降低。

【問題3】

（1）0  （2）0  （3）O  （4）O  （5）0  （6）O  （7）O 

（8）4  （9）18  （10）2  （11）36  （12）6

【問題4】

（1）PUE是評價數據中心能源效率的指標，是數據中心消耗的所有能源與IT負載使用的能源之比

PUE=數據中心總設備能耗/IT設備能耗，PUE是個比值，基準值是2，越接近1表明能效水平越好

（2）可以采用冷熱通道區分設計，即‘面對面，背靠背’設計。這樣設計可更有效提高冷卻效率數據中心熱通道冷通道設計是交叉行排列服務器材機架，讓冷空氣的進口朝一邊，熱空氣的出口朝另一邊。機架前端組成的行稱為冷通道。通常情況下，冷通道面向空調的輸出管道。熱空氣輸出的那行稱為熱通道。通常情況下，熱通道面向空調的回風管道。有效減低冷熱空氣混合，達到良好的散熱及節能作用。

（3）免費冷卻技術指全部或部分使用自然界的免螢冷源進行制冷從而減少壓縮機或冷凍柵肖耗的能量。目前常用的免螢冷源主要是冬季或春秋季的室外空氣。

3.閱讀以下說明，回答問題l至問題表；將解答填入答題紙對應的解答欄內。

【說明】某學校擁有內部數據庫服務器l臺，郵件服務器1臺，DHCP服務期1臺，FTP服務期1臺，流媒體服務期1臺，Web服務期1臺，要求為所有的學生宿舍提供有限網絡接入服務，要求為所有的學生宿舍提供有線網絡接入服務，對外提供Web服務，郵件服務，流媒體服務，內部主機和其他服務期對外不可見。

【問題1】請劃分防火墻的安全區域，說明每個區域的安全級別，指出各臺服務器所處的安全區域。

【問題2】（5分）請按照你的思路為該校進行服務器和防火墻部署設計，對該校網絡進行規劃，畫出網絡拓撲結構圖。

【問題3】(5分)學校在原有校園網絡基礎上進行了擴建，采用DHCP。服務器動態分配口地址口運行一段時間后,網絡時常出現連接不穩定、用戶所使用的口地址被“莫名其妙”修改、無法訪問校園網的現象。經檢測發現網絡中出現多個未授權DHCP地址。

請分析上述現象及遭受攻擊的原理，該如何防范？

【問題4】（6分）學生宿舍區經常使用的服務有Web、即時通信、郵件、FTP等，同時也因視頻流尋致大量的P2P流量，為了保障該區域中各項服務均能正常使用，應采用何種設備合理分配每種應用的帶寬？該設備部署在學校網絡中的什么位置？一般采用何種方式接入網絡？

【問題5】(4分)當前防火墻中，大多都集成了IPS服務，提供防火墻與口S的聯動。區別于IDS，IPS主要增加了什么功能？通常采用何種方式接入網絡？

參考答案：

【問題1】

劃分三個不同安全級別的區域。

（1）內部網絡（2）外部網絡（3）DMZ區域（非軍事化區）

內部網絡區域的安全級別最高，可信的、重點保護的區域。包括內部的數據庫服務器、內部的FTP服務器、DHCP服務器。

外部網絡：安全級別最低，不可信的、需要防備的區域。

DMZ區域（非軍事化區）：安全級別中等，通過該區域對外開放些特定的服務與應用，受定的保護。包括Web服務器、郵件服務器、流媒體服務器。

【問題3】

用戶無法訪問校園網是因為獲取的IP不是授權的DHCP服務器分配給它的。解決該問題從DHCP服務器給用戶分配IP的原理著手。DHCP服務器給用戶分配IP時會發送DHCP Offer和DHCP ACK文。如果讓交換機端口只接收授權DHCP服務器發過來的DHCP報文，其它端口不接收這些報文，該問題就得以解決。

防范方法：在交換機上啟用DHCP SNOOPING功能。

DHCP SNOOPING誦過建立和維護DHCP SNOOPING綁定表并過濾不可信任的DHCP信息來防止DHCP欺騙。

【問題4】

使用流量控制設備，為重要的業務提供更好的帶寬資源。將該設備部署在與互聯網接入位置，

針對各類業務流量模型定義即可?？芍苯邮褂么蟹绞浇尤刖W絡中。如考慮到流量模型較大，可能應流量控制設備處理能力問題，使其成為網絡瓶頸，可考慮在互聯網接入位置采用引流并行方式接入，來保障網絡的健壯性。

【問題5】

入侵檢測系統IDS通過對全網信息的收集、分析，了解信息系統的安全狀況，進而指導信息系統安全建設目標以及安全策略的確立和調整，而入侵防御系統IPS主要用于對數據的深度分析及安全策略的實施，比如說對黑客行為的阻擊。

IPS部署以串接的方式部署于主干線路上，辦公網中，至少需要在以下區域部署IPS，即辦公網與外部網絡的連接部位（入口／出口）；重要服務器集群前端；辦公網內部接入層。