- 1、本文档共20页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多
網络结构设计考点
第一题
考点1:网络设备
设备1应选用哪种网络设备?
答:路由器
路由器具有广域网互联、隔离广播信息和异构网互联等能力。图中,设备1处于内部局域网核心交换机1和Internet之间,由于这些网络属于不同的逻辑网络,所以需要使用路由器进行互联。这一题主要就是要你知道,交换机构成的内部网络和外部Internet网络之间的设备是什么,就是网关,也就是路由器,图中三层交换机再上面就是路由器了。
考点2:防火墙设置的位置
若对整个网络实施保护,防火墙应加在图中位置1—位置3的哪个位置上?
答:位置2
防火墙应该位于边界路由器与局域网连接处,用来过滤数据,保护局域网安全。
考点3:IDS(入侵检测设备)的部署
如果采用入侵检测设备对进出网络流量进行检测,并且探测器是在交换机1上通过端口镜像方式获得流量的。下面是通过相关命令显示的镜像设置信息:
请问探测器应该连接在交换机1的哪个端口上?
答:Gi2/16端口
端口镜像是把进出被镜像端口的数据报文完全复制一份到镜像端口,这样来进行流量检测或者故障定位。探测器应该连接在Destination Ports,故应该连接交换机1的Gi2/16端口。探测器主要分两类:基于网络流量的和基于主机的。基于网络流量的探测器负责嗅探网络连接,监视例如TCP包的流量等,看看有没有被攻击的迹象;基于主机的探测器在重要的系统服务中、工作站或用户机器上运行,监视OS或系统事件级别的可疑活动。
题目又问了:除了流量镜像方式外,还可以采用什么方式来部署入侵检测探测器?
根据网络拓扑结构的不同,入侵检测系统的探测器可以通过以下3种方式部署在被检测的网络中。
流量镜像方式。网络接口卡与交换设备的监控端口连接,通过交换设备的Span/Mirror功能将流向个端口的数据包复制一份给监控端口,探测器从监控端口获取数据包并进行分析和处理。
新增集线器方式。在网络中新增一台集线器改变网络拓扑结构,并通过集线器(共享式监听方式)获取数据包。
TAP分流方式。通过一个TAP(分路器)设备对交换式网络中的数据包进行分析和处理。
第二题
最佳管理的园区网通常是按照分级模型来设计的。在分级设计模型中,通常把网络设计分为3层,即核心层、汇聚层和接入层。图中所示的是某公司的网络拓扑图,但该公司采用的是紧缩核心模型,即将核心层和汇聚层由同一交换机来完成
考点1:网络分级设计模型模型
在分级设计模型中,核心层应具有什么样的特征?路由功能主要由哪一层来完成?
答:核心层必须要有高可靠性及冗余性,并提供故障隔离,具有迅速升级能力、较少的时延和好的可管理型等。路由器主要由汇聚层完成。
在分级设计模型中,核心层的目的是高速数据交换,其主要工作时交换数据包。因此核心层必须要有高可靠性及冗余性,并提供故障隔离,具有迅速升级能力、较少的时延和好的可管理性等。
汇聚层从位置上处于核心层与网络层的分界,需要大量低速的连接(接入层设备的连接)通过少数宽带的链接接入核心层,以实现通信量的收敛,以提高网络中聚合点的效率,同时减少核心层设备可选择的路由路径得数量。并可以汇聚层为设计模块,实现网络拓扑变化的隔离,增强网络的稳定性。接入层为用户提供对网络的访问接口,是整个网络的可见部分,也是用户与该网的连接场所。它将本地用户的信息通过内部高速局域网、分组交换网或拨号接入等方式接入汇聚层,实现网络流量的访问。另外,由于接入层是用户与网络的接入点,因此也是入侵者试图闯入的好地方,需要在访问接入层实施安全控制策略,以保障网络安全。由此可见,路由功能主要由汇聚层来完成。
考点2:防火墙的屏蔽子网结构
公司网络中的设备或系统(包括:存储商业机密的数据库服务器、邮件服务器、存储资源代码的PC、应用网关、存储私人信息的PC、电子商务系统)哪些应放在DMZ中,哪些应放在内网中?并给予简要说明。
答:该公司的防火墙应该属于屏蔽子网结构。在这个结构中,DMZ(非军事区)是周边防御段,它受到安全威胁不会影响到内部网络,是放置公共信息的最佳位置,通常把WWW、FTP、电子邮件等服务器都存放在该区域。
要保证该公司的商业机密避免外部网络的用户直接访问,同时避免内部网络未经授权的用户访问,所有有商业机密的数据库服务应该放在内部网络中,确保安全。同样的道理,那些存储代码的PC和存储私人信息的PC也要放在内部网络中。而邮件服务器、电子商务系统、应用网关等,既要内部主机可以访问,又要外部网络的用户可以访问,并且要保证安全,所以它们可以放在DMZ。
考点3:生成树协议
在图中,两台三层交换机4507R互为备份,它们之间是通过多条双绞线连接,构成了网络环路,但不会产生广播风暴而影响网络的稳定性,这是为什么?如果希望在这多条双绞线中既要实现链路冗余,又要实现负载均衡,如何实现?
答:由
文档评论(0)