2019年11月网络规划设计师案例分析真题解析

2019年11月软考网络规划设计师案例分析真题解 析 说明 某物流公司采用云管理平台构建物流网络 如图1 1所示 以1个配送站为例 数 据规划如表1 1所示 项目特点 1 单个配送站人员少于20人 仅一台云防火墙就能满足需求 2 总部与配送站建立IPSec 配送站通过IPSec接入总部 内部用户需要认证后才有 访问网络的权限 3 配送站的云防火墙采用IPSec智能选路与总部两台防火墙连接 IPSec智能选路 探测隧道质量 当质量不满足时切换另外一条链路 4 配送站用户已无线接入为主 备注 Agile Controller Campus是新一代园区与分支网络控制器 支持网络部署自 动化 策略自动化 SD WAN等 让网络服务更加便捷 问题1 配置传统防火墙FW A配置命令的注释 1 10 备选答案 A 配置IKE Peer B 引用安全策略模板并应用到接口 C 配置访问控制列表 D 配置序号为10的IKE安全提议 E 配置接口加入安全域 F 允许封装前和解封后的报文能通过FW A G 配置接口IP地址 H 配置名称为tran1的IPSec安全提议 I 配置名称为map temp 序号为1的IPSec安全策略模板 J 允许IKE协商报文能正常通过FW A 解析 1 G 2 E 3 F 4 J 5 C 6 H 7 D 8 A 9 I 10 B 问题2 4分 物流公司进行用户 配送站 侧验收时 在配送站FW C 上查看IPSec智能选路情况 如下图所示 则配送站智能接入的设备是 11 该选路策略在 12 设备上配置 解析 11 FW A 12 FW C 问题3 5分 物流公司组建该网络相比传统网络体现出哪些优势 解析 该网络与传统网络相比 部署效率高 网络管理简单 灵活度高 可扩展性强 便于多地网络的自动化运维和集中化管理 问题4 6分 简要说明该云管理网络构建及运营与MSP Mananaged Sservices Provider 的区别 解析 1 设备要求不一致 云管理网络一般要求必须采用指定厂商的网络设备 MSP一般需与主流产品兼容 2 依托基础不一致 云管理中心依托的是数据中心和云计算 MSP依托网络 运作中心来实施服务 3 提供的服务不一致 云管理网络提供的一站式的云服务 除网络运维 还 有云安全 云解析 大数据分析等服务 msp为用户提供系统监控 安全管理 运行环境管理 维护和支持 提升管理效率 说明 图2 1为某政府部门新建大楼 网络设计 拓扑图 根据业务需求 共有三条链路接 入 分别连接电子政务外网 互联网 电子政务内网 涉密网 其中机要系统通过 电子政务内网访问上级部门门机要系统 并由加密机进行数据加密 3条接入链 路共用大楼局域网 通过VLAN逻辑隔离 大楼内部署有政府服务系统集群 对外提 供政务服务 建设有四个视频会议室 部署视频会议系统 与上级单位和下级各 部门 召开业务视频 会议及项目评审会议等 要求录播存储 录播系统将视频存储 以NFS格式挂载为网络磁盘 存储视频 文件 问题1 9分 1 图2 1所示设计的网络结构为大二层结构 简述该网络结构各层的主要功能和作 用 并简要说明该网络结构的优缺点 2 图2 1所示网络设计 中 如何实现互联网终端仅能访问互联网 电子政务外网 终端仅能访问政务外网 机要系统仅能访问电 子政务内网 3 机要系统和电子政务内网设计是否违规 请说明原因 解析 1 大二层网络包含核心层和接入层 核心层 高速数据转发 智能选路 接入层 用户接入 优点 扁平化管理 采用虚拟化技术 支持高效能 高智能 有效避免环路 网络震荡快速收敛 部署方便 网络结构简单 维护方便 可以有效利用现有 冗余链路带宽 2 按注册设备MAC地址划分VLAN或者通过账号登录下发对应 的IP地址 然后 策略路由 3 违规 电子政务网络由政务内网和政务外网组成 政务内网与政务外网 之间物理隔离 政务外网与互联网之间逻辑 隔离 机要系统应与外网隔离 问题2 6分 4 视频会议1080p格式传输视频 码流为8Mbps 请计算每个视频会议室每小时会 占用多少存储空间 单位要用MB或者GB 并说明原因 5 每个视频会议室每年使用约100天 每天按8小时计算 视频文件至少保存2年 图2 1中设计的录播系统将视频存储挂载为网络磁盘 存储视频 文件 该存储 系统 规划配置4TB 实际容量按3 63TB计算 磁盘 RAID6方式冗余 设置全局热备盘 1块 请计算该存储系统至少需要配置多少块磁盘并说明原因 解析 4 每个视频会议室每小时占用空间数为 8 8 3600 3600MB 5 4个视频会议室总共需要的存储空间 4 2 100 8 3600MB 5760000MB 22TB 该空间需要22TB 3 63 7块盘存储数据 由于RAID 6需要配置两块盘的空间做冗余 同时还需要 设置全局热备盘 1块 所以一共需要配置10块盘 问题3 6分 6 各视频会议室的视频终 端和MCU是否需要一对一做NAT 映射公网IP地址 请说明 原因 7 召开视频会议使用的协议是什么 需要在防火墙开放的TCP端口是什么 解析 6 各视频会议室的视频终 端和MCU不需要一对一做NAT 这样比 较浪费IP地址 可以多对一做NAT 7 视频会议使用的协议是H 323 TCP端口为2776 2777 问题4 4分 图2 1所示的虚拟化平台连接的存储系统连接方式是 8 视频存储的连接方式 是 9 解析 8 FC SAN 9 NAS 回答问题1至问题3 将解答填入答题纸对应 的解答栏内 问题1 4分 安全管理制度管理 规划和建设为信息安全管理的重要组成部分 一般 从安全策略 安全预案 安全检查 安全改进等方面加强安全管理制度 建设和规划 其中 1 应定义安全管理机构 等级划分 汇 报处置 处置操作 安全演练等内容 2 应该以信息安全的 总体目标 管理意图为基础 是指导管理人员行为 保护信息网络安全 的指南 解析 1 安全管理制度管理 2 安全规划 问题2 11分 某天 网络安全管理员发现 w eb服务器访问缓 慢 无法正常响应用户请求 通 过检查发现 该服务器CPU和内存资源使用率很高 网络带宽 占用率很高 进 一步查询日志 发现该 服务器与外部未知地址有大量的UDP连接和TCP半连接 据此初步判断该服务器受到 3 和 4 类型的分布式拒绝服务攻 击 DDos 可以部署 5 设备进 行防护 这两种类型的DDos攻击的原 理是 6 7 3 4 备选答案 每个选项仅 限选一次 A Ping洪流攻击 B SYN泛洪攻击 C Teardrop攻击 D UDP泛洪攻击 5 备选答案 A 抗DDoS防火墙 B Web防火墙 C 入侵检测系统 D 漏洞扫描系统 解析 3 B 4 D 3 4 答案可以互换 5 A 6 SYN是TCP三次握手中的第一个数据包 而当服务器返回ACK后 该攻击者 就不对其进行再确认 那这个TCP连接就处于挂起状态 也就是所谓的半连接 状态 服务器收不到再确认的话 还会重复发送ACK给攻击者 这样会浪费服 务器的资源 攻击者就对服务器发送非常大量的这种TCP连接 由于每一个都 没法完成三次握手 所以最后服务器耗光资源而无法为正常用户提供服务 7 UDP泛洪攻击者通过向目标主机发送大量的UDP报文 导致目标主机忙于 处理这些UDP报文 而无法处理正常的报文请求或响应 问题3 10分 网络管理员使用检测软 件对Web服务器进行安全测试 图3 1为测试结 果的片段信 息 从测试结 果可知 该Web系统使用的数据库软件为 8 Web服务器软 件为 9 该Web系统存在 10 漏洞 针对该 漏洞应采取 11 12 等整改措施进行防范 解析 8 Mysql 9 Apache 10 SQL注入 11 部署WAF设备 12 下载SQL通用防注入系统的程序或者防范注入分析器