【计算机类职业资格】计算机水平考试高级网络规划设计师2012年下半年下午真题Ⅰ及答案解析.doc

1、计算机水平考试高级网络规划设计师 2012年下半年下午真题及答案解析(总分：75.00，做题时间：150 分钟)一、问答试题(总题数：3，分数：75.00)（分数：25.00）(1). （分数：6.25）_(2). （分数：6.25）_(3). （分数：6.25）_(4). （分数：6.25）_（分数：25.00）(1). （分数：6.25）_(2). （分数：6.25）_(3).问题 3(6分) 为增强该集团业务应用系统、重要数据的可用性，抵御灾难发生时带来的风险，该集团按照国家要求需要建设两地三中心的容灾备份方案。两地三中心是指主数据中心、同城灾备及异地灾各中心。两地三中心机房为业务应用系

2、统建设提供基础配套设施。请画图说明两地三中心的数据中心架构采用的网络互联拓扑方案，并给出理由。（分数：6.25）_(4).问题 4(6分) 该集团数据存储量巨大，生产数据、安全数据以及测试数据等需要进行频繁的快速读写，为保障这种应用的需求，该集团希望在数据中心的数据存储方式上既要保证存储的可扩展性还要保证数据的快速访问，同时对新服务器的部署也要考虑快速部署。 数据中心中数据采用的存储方式主要有DAS、NAS、SAN 三种，请分别描述三种存储方式的原理，并根据集团要求设计在该集团的数据中心建设中应采用的存储方式，叙述采用这种方式的优点。（分数：6.25）_（分数：25.00）(1).问题 1(8

3、分) 依据一卡通业务扩大的需求及安全要求，设计解决方案，画出修改后的网络拓扑结构，并标注采用的硬件设备及相关安全技术。（分数：6.25）_(2).问题 2(6分) 传统的防火墙存在只能对网络层和传输层进行检查，无法阻止内部人员的攻击等缺点。IDS和 IPS技术却能在应用层对数据流进行分析，并在网络遭受攻击之前进行报警和响应，针对部署的方式和实现的原理对 IDS和 IPS进行比较。（分数：6.25）_(3).问题 3(6分) 随着加密、隧道、认证等技术的发展，在 Internet上的位于不同地方的两个或多个企业内部网之间建立一条安全的通讯线路，就可以为企业各部门提供安全的网络互联服务。针对该单位

4、网络情况，请给出至少两种新增外部应用网点与公司核心交换机远程接入方案。（分数：6.25）_(4).问题 4(5分) 安全审计能够检测和制止对安全系统的入侵、发现计算机的滥用情况、为系统管理员提供系统运行的日志，从而能发现系统入侵行为和潜在的漏洞和对已经发生的系统攻击行为提供有效的追纠证据。请叙述安全审计的工作流程。（分数：6.25）_计算机水平考试高级网络规划设计师 2012年下半年下午真题答案解析(总分：75.00，做题时间：150 分钟)一、问答试题(总题数：3，分数：75.00)（分数：25.00）(1). （分数：6.25）_正确答案：( 简述三种技术要点： 隧道技术，以现有 IPv4

5、网络传递 IPv6数据，无须大量 IPv6路由和专用链路，是过渡阶段最容易采用的技术，一般用来进行纯 IPv4网络上的 IPv6孤岛之间通信。 双栈技术，同时运行 IPv4和 IPv6两套协议栈，完全兼容 IPv4和 IPv6。 翻译技术，在通信中间设备完成 IPv4和IPv6网络之间地址转换和协议翻译，分组路由对端节点透明。IPv4 节点访问 IPv6节点的方法复杂，网络设备开销大，一般在其他互通方式实现不了的情况下使用。 要求在实现教学科研区访问 IPv6网络上的相关资源功能的基础上费用花费最小，网络结构不变且部署方便，可在核心设备上采用隧道接入技术实现其功能。)解析： 为了适应大众的需要

6、，网络业务逐步呈现出宽带化、综合化、多样化和个性化的特点，IPv4 向IPv6网络过渡已是大势所趋。基于 IPv6的下一代互联网技术的迅速发展，为网络发展提供了更为有利的扩展空间，然而受到诸多条件的限制，想要很快完成从 IPv4到 IPv6网络的转换是不切实际的。 目前已有多种策略和技术方案及其实现可以完成从 IPv4向 IPv6的转换，但都仍有局限性。按工作原理划分有以下三种：隧道技术、双协议栈技术和协议翻译技术。 1隧道技术 隧道技术：隧道技术的工作原理是在IPv6网络与 IPy4网络间的隧道入口处，路由器将 IPv6的数据分组封装入 IPv4中。IPv4 分组的源地址和目的地址分别是隧道

7、入口和出口的 IPv4地址，在隧道的出口处再将 IPv6分组取出转发给目的节点。换句话说，就是通过 IPv4网络实现“IPv6 孤岛”之间的互通。 这种技术能充分利用现有的网络资源，但是没有解决 IPv4和 IPv6网络之间的互通，因此只能是是过渡初期较为方便的选择。 2双协议栈技术 双栈协议技术指在完全过渡到 IPv6之前，使一部分主机或路由器同时支持 IPv4和 IPv6两种协议，这样双协议栈设备既能识别 IPv4报文也能识别 IPv6报文，从而实现与 IPV4和 IPv6网络的数据通信。主机具体使用 IPv4协议还是 IPv6协议来发送和接收数据包是由目的地址来决定的。 这种机制主要用来

8、解决纯IPv6网络中的双栈主机与其他 IPv4节点通信的问题，但没有解决 IPv4地址的问题。 3协议翻译技术 翻译技术实际是一种协议转换技术，即为了使 IPv4和 IPv6网络中的主机能相互识别对方而进行的协议头之间的转换。其中 NAT-PT是实现翻译策略的一种主要技术。翻译转换技术的优点是不需要进行IPv4、IPv6 节点的改造就能有效解决 IPv4节点与 IPv6节点相互通信的问题，根据 NAT-PT原理，过渡初期“IPv6 孤岛”中的主机通过转换设备，将其 IPv6地址转换成合法的 IPv4地址进而访问 IPv4的网络。 以上是目前存在的一些由 IPv4网络过渡到 IPv6的机制，无论

9、采取哪一种机制，对 DNS的扩展都是必须的。这些过渡机制仍不是普遍适用的，常常需要和其他技术组合使用。在实际应用时需要综合考虑各种实际情况来制定合适的过渡策略。表 1给出三种不同技术的过渡方案对比。 (2). （分数：6.25）_正确答案：( (1)实现的技术方案选择双栈模式。 设备升级模式为：新建(升级)学生区和教学科研区的核心和汇聚交换机，支持 IPv6。 网络调优方案：将学生区和教学科研区的核心、汇聚交换机以及其他不能进行 IPv6升级的设备调整到家属区的网络，以满足家属区网络的运维需求。 (2)netsh interface ipv6 install或者 ipv6 install ne

10、tsh interface ipv6 isatap set router isatapxuexiaoeducn)解析： 根据题目要求，目前校园网已经发展到 IPv4与 IPv6的共存期。 全双栈模式适合在新建的校园网或原有网络不断更新发展到中期时使用。全双栈模式要求核心层和汇聚层选用双栈交换机，接人层可使用现有的二层交换机，其中汇聚层也可采用双栈路由设备。对于双栈终端，IPv4 网关和 IPv6网关均部署在汇聚双栈三层交换机上。IPv4 和 IPv6协议可以同时运行，使用协议翻译机制让纯 IPv4节点和 IPv6节点进行通信。全双栈模式提供的 IPv6接入服务范围广，可获得较大规模 IPv6建

11、设和使用经验。不必为不同类型的用户单独部署网络配置，开销小，方便管理，IPv4 和 IPv6的逻辑界面清晰。 针对网络拓扑结构，可考虑购买或者升级学生区和教学科研区的核心和汇聚交换机，支持 IPv6，接入层网络设备暂时不用调整。同时为保护投资，如果学生区和教学科研区有淘汰下来的网络设备也可用在家属区的网络维护中。 ISAIAP的全名是 Intra-Site Automatic Tunnel Addressing Protocol，它将 IPv4地址夹入 IPv6地址中，当两台 ISATAP主机通讯时，可自动抽取出 IPv4地址建立 Tunne1即可通讯，且并不需透过其他特殊网络设备，只要彼此间

12、 IPv4网络通畅即可。 通过 ISATAP隧道接入 IPv6环境的方法 学校 ISATAP隧道路由器的 IPv4地址是：isatapxuexiaoeducn 用户设置 ISATAP隧道的接入点为：isatapxuexiaoeducn Windows XP2003 下配置方法 进入命令提示符 C：netsh netshint netsh interfaceIPv6 netsh interfaceIPv6install 安装 IPv6协议 netsh interface IPv6ISATAP netsh interface IPv6 ISATAPset router isatapxuexiaoe

13、ducn/设置隧道终点 此后，通过 ipconfig应该可以看到一个本校前缀的 v6地址，hostid 为 0：5efe：abcd，其中abcd 为你的真实的 IPV4地址，这样即可访问 IPv6资源。(3). （分数：6.25）_正确答案：( (1)两种，无状态地址自动分配机制，状态地址自动分配机制。 (2)用户端采用无状态地址自动分配机制，服务器端采用静态手工配置方式。 (3)采用 OSPFv3，实现与 IPv4网络的隔离与统一。 (4)边界路由器对外出口只有一个，采用静态路由方式接入。)解析： IPv6 地址是独立接口的标识符，所有的 IPv6地址都被分配到接口，而非节点。由于每个接口都

14、属于某个特定节点，因此节点的任意一个接口地址都可用来标识一个节点。IPv6 有三种类型地址： 1单点传送(单播)地址 一个 IPv6单点传送地址与单个接口相关联。发给单播地址的包传送到由该地址标识的单接口上。但是为了满足负载平衡系统，在 RFC 2373中允许多个接口使用同一地址，只要在实现中这些接口看起来形同一个接口。 2多点传送(组播)地址 一个多点传送地址标识多个接口。发给组播地址的包传送到该地址标识的所有接口上。IPv6 协议不再定义广播地址，其功能可由组播地址替代。 3任意点传送(任播)地址 任意点传送地址标识一组接口(通常属于不同的节点)，发送给任播地址的包传送到该地址标识的一组接

15、口中根据路由算法度量距离为最近的一个接口。如果说多点传送地址适用于one-to-many的通讯场合，接收方为多个接口的话，那么任意点传送地址则适用于 one-to-one-of-many的通讯场合，接收方是一组接口中的任意一个。 IPv6 地址为 128位，如果手工设置要花费很多时间。IPv6协议可以手工静态输入，也支持地址自动配置，地址自动配置是一种即插即用的机制。IPv6 节点通过地址自动配置得到 IPv6地址和网关地址。 IPv6 支持无状态地址自动配置和状态地址自动配置两种地址自动配置方式。在无状态地址自动配置方式下，需要配置地址的网络接口先使用邻居发现机制获得一个链路本地地址。网络接

16、口得到这个链路本地地址之后，再接收路由器宣告的地址前缀，结合接口标识得到一个全球地址。而状态地址自动配置的方式，如动态主机配置协议(DHCP)，需要一个 DHCP服务器，通过客户机服务器模式从 DHCP服务器处得到地址配置的信息。 在本次升级方案中，用户端数量众多，而且IPv6地址长达 128位，可采用无状态地址自动分配机制来自动分配地址，服务器端因为数量较少且固定，同时要在域名系统中配置可考虑采用静态手工配置方式。 校园网内部路由协议采用 OSPF动态路由协议，IPv6路由协议可采用 OSPFv3动态路由。这样在地址规划、区域设计上就具有很大的便利性。 在出口路由方面，因为目前 IPv6的出

17、口只有一个，所以考虑采用静态路由的方式。(4). （分数：6.25）_正确答案：( (1)当前影响 IPv6发展的因素主要有软硬件设备的升级；IPv6 网络资源不足，应用缺乏；v4v6 的透明过渡历缝连接技术问题；运营商的需求不大等问题，其中最关键的应该是缺少杀手级的应用。 (2)目前大多数网管产品还不支持 IPv6下的管理功能，计费认证功能等也亟待开发，因此现阶段的运维技术实力较强的学校可采用利用开源产品自主开发，技术实力一般的学校采用与厂商合作开发的方式。)解析： IPv4 向 IPv6过渡主要包含以下几个方面的过渡： (1)网络的过渡 为了支持 IPv6协议，主要有两种方式可以选择：一是

18、用软件升级现有的 IPv4路由设备，使它能够运行 IPv6协议；另一种方法是购买新的支持 IPv6协议的路由设备，并采用相应的链路资源，这样使它们在物理上构成两个独立的网络环境。网络的过渡包括网络节点的过渡、网络设备的过渡、网关的过渡。 (2)客户端的过渡 过渡到 IPv6协议需要升级用户的终端设备，它包括客户端的网络协议和应用程序的升级。 (3)应用程序的过渡 由于 IPv6协议的应用程序不及 IPv4协议的应用程序那般普及，所以开发的应用程序对于低层协议应是透明的，即IPv4协议下能使用，IPv6 协议下也能使用。另外，将来 IPv6在得到普遍支持后，用户还可以继续使用原来的纯 IPv4应

19、用程序。 (4)IPv4IPv6 网络互通 校园网络正面临从传统 IPv4到 IPv6的过渡以及一段时期的共存。如果主机不支持双栈，那么就必然存在纯 IPv4和纯 IPv6节点之间的互通问题，这也是过渡时期必须面对的主要问题之一。使用网络地址翻译协议翻译(NAT-PT)转换技术能较好地解决该问题，但它在支持数据的透明性方面存在一定的问题。校园网络的过渡各个环节紧密相扣，相辅相成。网络的过渡脱离了客户端的过渡、应用程序的过渡及 IPv4IPv6 的网络互通，网络的过渡就无法进行。因此，这四个方面的演进必须同时进行。 IPv4 向 IPv6过渡是一个复杂的、系统的社会工程，超越了简单的技术范畴，也

20、超出了各大运营商的职责范畴，需要产业链协同推动。IPv4 向 IPv6过渡有其内在的规律，我们只有在认识规律并遵循规律的基础上，顺势而为，才能获得成功。这个规律就是过渡需要经历 IPv4资产保值、IPv6 淮备和 IPv6繁荣这三个演进阶段，我们只能在有限范围内缩短或者延长某一阶段的时间，但是无法颠倒顺序。不同阶段的场景和任务不同，所依赖的技术也不同，所以不同的技术将先后登场，是一场技术的接力赛。中间过渡技术在完成使命后，最后全部退出舞台，只留下 IPv6造福人类。在向 IPv6过渡期间，重点和难点在接入网络部分，其次是互联互通部分，骨干网络基本具备。当然，在过渡过程中，基于 IPv6的应用资

21、源还是较少，这中间最关键的因素可能是缺少杀手级的应用来推动。 校园网 IPv6技术升级中的网络部分改造虽然可以很快完成，但相关的支撑系统的建设和应用系统的迁移才刚刚开始，需要继续完善校园网网络管理与安全监控系统、接入和计费等，使其成为学校新一代先进的教学和科研信息基础设施。同时，如何建设一个安全的下一代互联网是一个全新的课题。要想将下一代互联网建设到目前IPv4网络的阶段，还有比较长的一段路要走。在这些方面，有实力的学校可以进行有益的探索，进行自主科研开发，也可以通过和厂商合作进行共同开发，如果有成熟的产品也可进行推广应用。（分数：25.00）(1). （分数：6.25）_正确答案：( )解析

22、： 集团数据中心网络按功能将划分为七大区：核心交换区、核心业务区、办公区、互联网接入区、运维管理区、广域网接入区、外联业务区。其中各部分功能大致如下： (1)核心交换区实现网络分区之间的通信流量路由、交换功能，是数据中心网络最核心的部分。核心交换区需要具备高可用、高性能架构，以来确保核心网络高可用及高效运行。 (2)核心业务区将提供核心业务应用系统的网络接入功能。核心业务区域集中了核心业务应用服务器和核心业务应用数据库服务器，为内部用户、内部业务人员提供应用服务的核心区域，需要采用较高可用性和更全面的安全防护措施。 (3)办公区包括两部分功能：一部分是办公用户网络接入提供内部员工办公电脑、移动

23、等设备网络接入功能，满足企业内部员工访问内部业务应用系统；另一部分是用户互联网访问、办公邮件处理、内部文件传输等功能。 (4)互联网接入区提供互联网业务的接入访问网络，为保证网络安全需要部署外网防火墙，用于保护业务应用前端应用；部署内网防火墙，用于保护集团内部网络的安全；采用多条冗余的互联网链路，提高网络接入的可靠性。 (5)运维管理区提供运维管理系统(监控、信息化服务管理等)网络互联功能，运维管理系统需与公司范围内的应用、基础设施通信，安全性要求较高。 (6)广域网接入区用于连接广域网络连接设备。 (7)外联业务区即企业边界网区域，具有如下特点：与外网互联，风险较大；与内网相连进行数据通信。

24、 根据网络拓扑结构和各大区域网络功能划分可方便的区分各区域名称。(2). （分数：6.25）_正确答案：( )解析： (3).问题 3(6分) 为增强该集团业务应用系统、重要数据的可用性，抵御灾难发生时带来的风险，该集团按照国家要求需要建设两地三中心的容灾备份方案。两地三中心是指主数据中心、同城灾备及异地灾各中心。两地三中心机房为业务应用系统建设提供基础配套设施。请画图说明两地三中心的数据中心架构采用的网络互联拓扑方案，并给出理由。（分数：6.25）_正确答案：( )解析： (4).问题 4(6分) 该集团数据存储量巨大，生产数据、安全数据以及测试数据等需要进行频繁的快速读写，为保障这种应用的

25、需求，该集团希望在数据中心的数据存储方式上既要保证存储的可扩展性还要保证数据的快速访问，同时对新服务器的部署也要考虑快速部署。 数据中心中数据采用的存储方式主要有DAS、NAS、SAN 三种，请分别描述三种存储方式的原理，并根据集团要求设计在该集团的数据中心建设中应采用的存储方式，叙述采用这种方式的优点。（分数：6.25）_正确答案：( )解析： （分数：25.00）(1).问题 1(8分) 依据一卡通业务扩大的需求及安全要求，设计解决方案，画出修改后的网络拓扑结构，并标注采用的硬件设备及相关安全技术。（分数：6.25）_正确答案：( )解析： 由于新增外部应用网点和分部办事处，通过安全设备来

26、进行远程接入，要求能提供主动、实时的防护，对网络中的数据流进行逐字节的检查，对攻击性的流量进行自动拦截，因此需要采用具有胆 S功能的防火墙。 由于引入了互联网，部队院校行政办公的安全需要采用网闸来与 Internet进行物理隔离。 安全审计功能需对所有进出系统的流量进行记录，来识别、存储安全相关行为。 相应修改的拓扑结构见参考答案。(2).问题 2(6分) 传统的防火墙存在只能对网络层和传输层进行检查，无法阻止内部人员的攻击等缺点。IDS和 IPS技术却能在应用层对数据流进行分析，并在网络遭受攻击之前进行报警和响应，针对部署的方式和实现的原理对 IDS和 IPS进行比较。（分数：6.25）_正

27、确答案：( )解析： IPS 的工作原理是分类、过滤和更新。和 IDS相比，IPS 主要是对检测到的恶意代码进行核对策略，在未转发到服务器之前，将信息包或数据流拦截。由此也带来了更大的网络负载。(3).问题 3(6分) 随着加密、隧道、认证等技术的发展，在 Internet上的位于不同地方的两个或多个企业内部网之间建立一条安全的通讯线路，就可以为企业各部门提供安全的网络互联服务。针对该单位网络情况，请给出至少两种新增外部应用网点与公司核心交换机远程接入方案。（分数：6.25）_正确答案：( (1)采用 VPN技术，利用公共网络建立私有专用网络，数据通过安全的“加密隧道”在公共网络中传播，连接在

28、 Internet上的位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路，就好比是架设了一条专线一样。 (2)端到端加密技术，通过加密算法，保障传输数据的安全性。)解析： 在 Internet上的位于不同地方的两个或多个企业内部网之间建立一条安全的通讯线路，主要的实现技术是采用 VPN技术和端到端加密。(4).问题 4(5分) 安全审计能够检测和制止对安全系统的入侵、发现计算机的滥用情况、为系统管理员提供系统运行的日志，从而能发现系统入侵行为和潜在的漏洞和对已经发生的系统攻击行为提供有效的追纠证据。请叙述安全审计的工作流程。（分数：6.25）_正确答案：( 安全审计的工作流程如下： (1)记录和搜集有关的审计信息，产生审计数据记录。 (2)对数据记录进行安全违反分析，以检查安全违反与安全入侵原因。 (3)对其分析产生相应的分析报表。 (4)评估系统安全，并提出改进意见)解析： 安全审计主要的工作流程是搜集记录、分析检查、安全评估。具体流程如下： (1)记录和搜集有关的审计信息，产生审计数据记录。 (2)对数据记录进行安全违反分析，以检查安全违反与安全入侵原因。(3)对其分析产生相应的分析报表。 (4)评估系统安全，并提出改进意见。