软考常见的网络拓扑结构(知识点总结)

以2014下半年软考网工(中级)下午第1道题为例

1、图中的网络设备①应为_路由器_(一般为流控路由器),网络设备②应为__防火墙(或其他具有类似功能的网络完全设备)_,从网络安全的角度出发,Switch9所组成的网络一般称为__非军事(DMZ)_区。
 

    2.图中③处的网络设备的作用是检测流经内网的信息,提供对网络系统的安全保护。该设备提供主动防护,能预先对入侵活动和攻击性网络流量进行拦截,避免造成损失,而不是简单地在恶意流量传送时或传送后才发出警报。网络设备③应为_入侵防御系统(IDS)或入侵检测系统(IPS)_,其连接的Switch1的G1/1端口称为__镜像__端口,这种连接方式一般称为__旁路方式___。

2、随着企业用户的增加,要求部署上网行为管理设备,对用户的上网行为进行安全分析、流量管理、网络访问控制等,以保证正常的上网需求。部署上网行为管理设备的位置应该在上图中的_主交换机_和_防火墙_之间比较合理。

注:

路由器具有广域网互联、隔离广播信息和异构网络互连等能力,是企业网建设和互联网络建设中必不可少的设备。从图中的网络拓扑结构可知,设备(1)处于该企业网和Internet之间,因此需要使用路由器进行互联,以实现该企业网路由信息的边界计算网络地址转换等功能。

通常Internet是一个不可信任的网络,而企业内部网络要求是一个可信任的网络。因此设备(2)需要部署防火墙设备,从而保护内部网络资源不会被外部非授权用户使用,防止内部网络受到外部非法用户的攻击。防火墙一般按照防护的区域可分为信任区、非信任区以及DMZ区。其中DMZ区是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题,而设立的一个非安全系统与安全系统之间的缓冲区。这个缓冲区位于企业内部网络和外部网络之间的小网络区域内,在这个小网络区域内可以放置一些必须公开的服务器设施,如企业Web服务器Mail服务器和DNS等。另一方面,通过这样一个DMZ区域,更加有效地保护了内部网络,因为这种网络部署,比起一般的防火墙方案,对攻击者来说又多了一道关卡。入侵防护系统(IPS)兼有防火墙、IDS和防病毒等安全组件的特性,当数据包经过时将对其进行过滤检测,以确保该数据包是否含有威胁网络安全的特征。如果检测到一个恶意的数据包,系统不但发出警报,还将采取相应措施阻新攻击。图中设备(3)直接接在交换机1的G1/1接口上(此接口为镜像端口),用于检测、分析和处理从设备(2)进入交换机1的数据包。根据网络拓扑结构和安全要求的不同,IPS可以通过旁路接入或者直接串接等方式部署在被检测的网络中。

关于DMZ区域:
1.内网可以访问外网

2.内网可以访问DMZ

3.外网不能访问内网

4.外网可以访问DMZ

5.DMZ访问内网有限制

6.DMZ不能访问外网

安全级别

local(100):本地区域---->trust(85):受信任区域----->DMZ(50):非军事化区域----->untrust(0):外网

数字越大,安全级别越高

    2.网卡的工作模式有直接、广播、多播和混杂四种模式,默认的工作模式为__广播__和直接模式__,即它只接收广播帧和发给自己的帧。网络管理机在抓包时,需要把网卡置于__混杂模式____,这时网卡将接受同一子网内所有站点所发送的数据包,这样就可以达到对网络信息监视的目的。

注:
上网行为管理是指帮助互联网用户控制和管理对互联网的使用,包括对网页访问过滤、网络应用控制、带宽流量管理、信息收发审计和用户行为分析。通过对上网行为管理的需求进行分析,根据图中的网络拓扑结构,可以得出该设备应该部署在交换机1和设备(2)之间,这样才能满足企业的要求。
网卡具有如下的四种工作模式:

(1)广播模式(Broad CastModel):物理地址(MAC)是OXffifflf的帧为广播帧,工作在广播模式的网卡接收广播帧。

(2)多播传送(MulticastModel):多播传送地址作为目的物理地址的帧可以被组内的其他主机同时接收,而组外主机却接收不到。但是,如果将网片设置为多播传送模式:它可以接收所有的多播传送帧,而不论它是不是组内成员。

(3)直接模式(DirectModel):工作在直接模式下的网卡只接收目的地址是自己Mac地址的帧。

(4)混杂模式(PromiscuousModel):工作在混杂模式下的网卡接收所有的流过网卡的帧,信包捕获程序就是在这种模式下运行的。网卡的缺省工作模式包含广播模式和直接模式,即它只接收广播帧和发给自己的帧。如果采用混杂模式,一个站点的网卡将接收同一网络内所有站点所发送的数据包,这样就可以达到对网络信息监视捕获的目的。

3、针对上图中的网络结构,各台交换机需要运行__STP或生成树__协议,以建立一个无环路的树状网络结构。按照该协议,交换机的默认优先级值为_32768__根交换机是根据网桥ID__来选择的,值小的交换机为根交换机;如果交换机的优先级相同,再比较___mac地址___。

注:
生成树协议(STP)是一个数据链路层的协议。其基本原理是通过在交换机之间传递一种特殊的协议报文,网桥协议数据单元(Bridge Protocol DataUnit简称BPDU),来确定网络的拓扑结构。

BPDU有两种:配置BPDU(ConfiqurationBPDU)和TCN BPDU,前者是用于计算无环的生成树的后者则是用于在二层网络拓扑发生变化时产生用来缩短CAM表项的刷新时间的(由默认的300s缩短为15s)

SpanningTreeProtocol(STP)在EEE 802.1D文档中定义。该协议的原理是按照树的结构来构造网络拓扑,消除网络中的环路,避免由于环路的存在而造成广播风暴问题。在该协议中,交换机是根据交换机优先级来选择的,值小的为根交换机。如果相同,再比较MAC地址。交换机优先级是一个一进制数,用来在生成树算法中衡量一个交换机的优先度,其值的范围是0~65535,默认情况下,其值为32768。BackboneFast是对UplinkFast的一种补充,UplinkFast能够检测直连链路的失效,BackboneFast是用来检测间接链路的失效。当启用了BackboneFast的交换机检测到间接链路失效之后,会马上使阻塞的端口进入监听状态。少了20s的老化时间。如果要启用BackboneFast特性,应该在网络中的所有交换机上都启用。

    当上图中的Switch1~Switch3之间的某条链路出现故障时,为了使阻塞端口直接进入转发状态,从而切换到备份链路上,需要在Switch1~Switch3上使用___BackBoneFast___功能。

4、根据层次化网络的设计原则,从上图中可以看出该企业网络采用了由___核心___层和___接入___层组成的两层架构。其中,MAC地址过滤和IP地址绑定等功能是由___接入层交换机___完成的,分组的高速转发是由__核心层交换机____完成的。

注:

图中所示的网络拓扑结构采用了核心层和接入层的两层架构理念。

由交换机1~交换机3组成核心层,主要完成的功能有:分组的高速转发;汇聚下一层的用户流量,进行数据分组传输的汇聚、转发和交换:根据接入层的用户流量,进行本地路由、数据包过滤、协议转换、流量均衡、QoS优先级管理以及安全控制、IP地址转换、流量整型等处理。

由交换机4~交换机8组成了接入层,主要完成的功能是:为用户提供了在本地网段访问应用系统的能力,解决相邻用户之间互相访问的需求,并且为这些访问提供足够的带宽:适当地负责部分用户管理功能(如MAC层过滤、IP地址绑定、用户认证、费管理等):负责部分用户信息收集工作(如用户的IP地址、MAC地址、访问日志等)。

另外还有在接入层交换机和汇聚层交换机中间的汇聚层交换机,具有实施策略,安全,工作组接入,虚拟局域网(VLAN)之间的路由,源地址或目的地址过滤等多种功能。

2017年下软考网工(第2题)

某天,公司有一台电脑感染“勒索”病毒,网络管理员应采取(1 )、(2)、(3)措施。

(1)~(3)备选答案:

A.断开已感染主机的网络连接

B.更改被感染文件的扩展名

C.为其他电脑升级系统漏洞补丁

D.网络层禁止135/137/139/445 端口的TCP连接

E.删除已感染病毒的文件

答案:A,C,D

“勒索”病毒即Wannacry蠕虫病毒软件,该病毒利用Windows操作系统漏洞进行传播,并且能够自我复制和主动传播。常见防范措施包括:①立即断网进行排查阻止相互感染:②下载并更新微软发布的漏洞补丁:③终端电脑关闭445端口或者核心网络设备禁止445等相关端口通信;④备份重要资料,安装杀毒软件,加强网络安全防护等:⑤如果发现有电脑已经中病毒,应立即隔离。

【问题2】(8分)

图 2-1 中,为提高线上商城的并发能力,公司计划增加两台服务器,三台服务器同时对外提供服务,通过在图中(4)设备上执行(5)策略,可以将外部用户的访问负载 平均分配到三台服务器上。

(5) 备选答案:

A.散列

B.轮询

C.最少连接

D.工作-备份

答案:负载均衡系统,B 

负载均衡就是将应用请求按照一定规则,分配到多个不同处理节点。本例中,计划由三台服务器同时对外提供服务,提高线上商城的并发处理能力,同时需要将外部用户的访问负载平均分配到三台服务器上,则需要在负载均衡设备上进行应用负载相关配置,并且将负载策略配置为轮询。

轮询算法是一种常见的负载均衡算法,将用户请求轮流分配给服务器节点,从节点1开始,至节点n结束,然后重新开始循环。

【问题3】(4分)

网络管理员发现线上商城系统总是受到SQL注入、跨站脚本等攻击,公司计划购置(8)设备/系统,加强防范;该设备应部署在图2-1中设备①~④的(9)处。

A.杀毒软件

B.主机加固

C.WAF(Web应用防护系统)

D.漏洞扫描

答案:C,④

WAF(Web应用防护系统)即Web应用防火墙,一般通过基于HTTP/HTTPS的安全策略进行网站等Web应用防护

本例中,线上商城系统总是受到SQL注入、跨站脚本等攻击,应该配备WAF安全设备进行防护。WAF一般串行部署在需要防护的服务器前端,对攻击进行检测和阻新,尽量靠近服务器部署,故本例中部署在设备④处。实际使用中,也有个别用户采用端口镜像模式,旁挂在服务器前端的交换机上,这种部署方式仅可以检测异常流量,无法阻断,也无法防止SQL注入、跨站脚本等攻击,不适合本例。

【问题4】(2分)

图2-1中,存储域网络采用的是(10)网络。

答案:FC-SAN网络

FC存储网络为SAN(StorageAreaNetwork)的一种,采用网状通道技犬,由光纤交换机连接服务器和存储阵列通过光纤通道协议转发SCSI协议。故本例中的存储域网络为FC-SAN网络。

注:FC-SAN存储常通过光纤与服务器的光纤通道卡连接

补充(IP-SAN):

IP-SAN(IP存储)的通信通道是使用IP通道,而不是光纤通道,把服务器与存储设备连接起来的技术,除了标准已获通过的iSCSI,还有FCIP、iFCP等正在制定的标准。而iSCSI发展最快,已经成了IP存储一个有力的代表。

像光纤通道一样,IP存储是可交换的,但是与光纤通道不一样的是,IP网络是成熟的,不存在互操作性问题,而光纤通道SAN最令人头痛的就是这个问题。IP已经被IT业界广泛认可,有非常多的网络管理软件和服务产品可供使用。

fc-san和ip-san的区别与对比

http://t.csdn.cn/Eg45n

2019下半年案例分析第二题

问题:2.1

在①处部署(1)设备,实现各会议室的无线网络统一管理,无缝漫游:在②处部署(2)设备,实现内部用户使用用户名和密码认证登录,外来访客通过扫描二维码或者手机短信验证登录无线网络:在③处部署(3)设备,实现无线AP的接入和供电;大型会议室部署(4)设备,实现高密度人群的无线访问在小型会议室借助86线盒部署(5)设备,实现无线访问。
(1)~(5)备选答案:

A、面板式AP    B、高密吸顶式AP    C、无线遥控机     D、无线认证系统    E、无线路由器

F、普遍吸顶式AP       G、普通交换机      H、POE交换机

问题:2.2在核心交换机上配置(6),可以实现无线网络和办公区网络、服务器区网络逻辑隔离:在④处部署(7)设备,可以对所有用户的互联网访问进行审计和控制,阻止并记录非法访问:在⑤处部署(8)设备,实现服务器区域的边界防护,防范来自无线区域和办公区域的安全威胁;在路由器上配置基于(9)地址的策略路由,实现无线区域用户通过运营商1访问互联网,办公区域和服务器区域通过运营商2访问互联网。问题:2.3图2-1所示的存储系统由9块4TB的磁盘组成一个RAID5级别的RAID组,并配置1块全局热备盘,则该存储系统最多可坏掉(10)块磁盘而不丢失数据,实际可用容量为(11)TB(每块磁盘的实际可用容量按照4TB计算),该存储域网络为(12)网络。

 答案:

(1~5)  C,D,H,B,A

(6)vlan (7)上网行为管理设备   (8)防火墙  (9)源  (10)1  (有争议)(11)32

(12)NAS或IP SAN

推荐阅读:http://t.csdn.cn/PVZaq

  • 1
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 5
    评论
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值