2022年软考-网络规划设计师考试名师点拨押题密卷53（含答案详解）

2022年软考-网络规划设计师考试名师点拨押题密卷（含答案详解）1. 案例题阅读下列说明，回答问题1至问题4 。【说明】图2-1为某政府部门新建大楼，网络设计拓扑图，根据业务需求，共有三条链路接入，分别连接电子政务外网、互联网、电子政务内网（涉密网），其中机要系统通过电子政务内网访问上级部门机要系统，并由加密机进行数据加密。3条接入链路共用大楼局域网， 通过VLAN逻辑隔离。大楼内部署有政府服务系统集群，对外提供政务服务，建设有四个视频会议室，部署视频会议系统，与上级单位和下级各部门召开业务视频会议及项目评审会议等，要求录播存储，录播系统将视频存储以NFS格式挂载为网络磁盘，存储视频文件。【问题1】（ 9分）（1）图2-1所示设计的网络结构为大二层结构，简述该网络结构各层的主要功能和作用，并简要说明该网络结构的优缺点。（2）图2-1所示网络设计中，如何实现互联网终端仅能访问互联网、电子政务外网终端仅能访问政务外网，机要系统仅能访问电子政务内网？（3）机要系统和电子政务内网设计是否违规？请说明原因。【问题2】（ 6分）（4）视频会议1080p格式传输视频，码流为8Mbps ，请计算每个视频会议室每小时会占用多少存储空间（单位要用MB或者GB） ，并说明原因。（5）每个视频会议室每年使用约100天（每天按8小时计算） ，视频文件至少保存2年。图2-1中设计的录播系统将视频存储挂载为网络磁盘，存储视频文件，该存储系统规划配置4TB （实际容量按3.63TB计算）磁盘， RAID6方式冗余， 设置全局热备盘1块。请计算该存储系统至少需要配置多少块磁盘并说明原因。【问题3】 （ 6分）（6）各视频会议室的视频终端和MCU是否需要一对一做NAT ，映射公网IP地址?请说明原因。（7）召开视频会议使用的协议是什么?需要在防火墙开放的TCP端口是什么?【问题4】 （ 4分）图2-1所示的虚拟化平台连接的存储系统连接方式是（8）视频存储的连接方式是（9）。【答案】【问题1】（1）大二层网络结构包括接入层和核心层。园区网是一种用户高密度的网络，在有限的空间内聚集了大量的终端和用户。扁平化大二层网络的设计注重的是三个“易”：易管理，易部署，易维护。1、易管理：扁平化的大二层网络，整体简化了网络结构，网络中大量的接入、汇聚作为逻辑二层设备只需要做简单的VLAN划分、端口隔离配置即可，不需要过多管理，核心设备作三层网关，启用路由、认证、安全相关功能，日常维护中，管理员只需要维护核心设备即可，大大降低了网络的运维难度，简化了工作量。2、易部署：大二层网络，无论是有线用户还是无线用户，无论是采用802.1x认证还是portal认证，认证点统一集中在核心，部署方便快捷。同时，在大二层的环境中，大量的接入、汇聚设备配置基本类似，一些专注在行业的厂商也推出了快速配置工具用于批量设备上线时的快速配置下发，利用配置工具，操作过程简便，之前需要耗时几天的部署工作在2个小时内即可完成。3、易维护：网络结构的简化将带来维护工作的简化，设备配置的简化必然会大幅度降低设备出问题的概率。从另一方面看，园区网的维护，需要在网络出现问题时能够快速定位，在网络管理层面上，需要把用户和端口对应起来，明确用户是从哪个端口接入上网，大二层架构中，利用VLAN聚合技术，可以轻松定位用户到具体的端口。缺点是容易形成广播风暴，不适合大规模复杂网络。（2）通过对用户终端固定分配IP的方式，然后在路由设备上做策略路由。（3）机要终端信息系统不能接入其他网络中，应该是一个独立的网络；电子政务内网和电子政务外网之间需要使用物理隔离设备网闸、电子政务外网和互联网之间需要逻辑隔离设备防火墙。【问题2】（4）每个视频会议每小时占用的存储空间为：8Mbps*3600/8=3600MB。（5）总的数据量=3600*4*2*100*8/1024*1024=22TB，存储这些用户数据需要22TB/3.6TB=7，题目说明用的RAID6以及有全局热备盘，所以还需要2块校验盘+1块热备盘，一共需要10块磁盘。【问题3】（6）视频终端不需要。召开视频会议时候，由MCU连接各会场的视频终端，召开多方会议；局域网以外的其他部门的终端通过互联网访问MCU，需要对MCU配置一对一的NAT，映射公网IP，以供外部访问。（7）本视频会议用的是标准协议H.323，需要在防火墙的规则中， 打开端口。端口 1503（TCP）：Microsoft NetMeeting T.120 数据共享。端口 1718 （UDP）：网守查找。端口 1719 （UDP）：网守 RAS （必须为双向）。端口 1720 （TCP）：H.323 呼叫设置（必须为双向）。端口 1731 （TCP）：音频呼叫控制（必须为双向） 。【问题4】FC-SAN，NAS。【解析】【问题1】（1）大二层网络结构包括接入层和核心层。园区网是一种用户高密度的网络，在有限的空间内聚集了大量的终端和用户。扁平化大二层网络的设计注重的是三个“易”：易管理，易部署，易维护。1、易管理：扁平化的大二层网络，整体简化了网络结构，网络中大量的接入、汇聚作为逻辑二层设备只需要做简单的VLAN划分、端口隔离配置即可，不需要过多管理，核心设备作三层网关，启用路由、认证、安全相关功能，日常维护中，管理员只需要维护核心设备即可，大大降低了网络的运维难度，简化了工作量。2、易部署：大二层网络，无论是有线用户还是无线用户，无论是采用802.1x认证还是portal认证，认证点统一集中在核心，部署方便快捷。同时，在大二层的环境中，大量的接入、汇聚设备配置基本类似，一些专注在行业的厂商也推出了快速配置工具用于批量设备上线时的快速配置下发，利用配置工具，操作过程简便，之前需要耗时几天的部署工作在2个小时内即可完成。3、易维护：网络结构的简化将带来维护工作的简化，设备配置的简化必然会大幅度降低设备出问题的概率。从另一方面看，园区网的维护，需要在网络出现问题时能够快速定位，在网络管理层面上，需要把用户和端口对应起来，明确用户是从哪个端口接入上网，大二层架构中，利用VLAN聚合技术，可以轻松定位用户到具体的端口。缺点是容易形成广播风暴，不适合大规模复杂网络。（2）通过对用户终端固定分配IP的方式，然后在路由设备上做策略路由。缺点：1、成本提高。缺省汇聚设备，导致对万兆/10万兆的端口数增加；2、对设备本身转发机制，计算处理能力，甚至产品架构提出更高要求，设备损耗老化较快。（3）机要终端信息系统不能接入其他网络中，应该是一个独立的网络；电子政务内网和电子政务外网之间需要使用物理隔离设备网闸、电子政务外网和互联网之间需要逻辑隔离设备防火墙。【问题2】（4）每个视频会议每小时占用的存储空间为：8Mbps3600/8=3600MB。（5）总的数据量=3600421008/10241024=22.5TB，存储这些用户数据需要22TB/ 3600MB/1024TB=7，题目说明用的RAID6以及有全局热备盘，所以还需要2块校验盘+1块热备盘，一共需要10块磁盘。【问题3】（6）视频终端不需要。召开视频会议时候，由MCU连接各会场的视频终端，召开多方会议；局域网以外的其他部门的终端通过互联网访问MCU，需要对MCU配置一对一的NAT，映射公网IP，以供外部访问。（7）从题目的描述来看，本视频会议用的是标准协议H.323，需要在防火墙的规则中，在防火墙中打开在媒体端口范围 （UDP 和 TCP）字段中指定的同一端口范围。 还必须打开防火墙中的以下端口：端口 1503 （TCP）：Microsoft NetMeeting T.120 数据共享。端口 1718 （UDP）：网守查找。端口 1719 （UDP）：网守 RAS （必须为双向）。端口 1720 （TCP）：H.323 呼叫设置（必须为双向）。端口 1731 （TCP）：音频呼叫控制（必须为双向）。 【问题4】图中存储系统连接FC交换机，应该是FC-SAN，视频存储题干已经说明以NFS格式挂载存储视频文件，所以是NAS。2. 单选题假设一个IP数据段的长度为4000B，要经过一段MTU为1500B的链路，该IP报文必须经过分片才能通过该链路，以下关于分片的描述中，正确的是（ ）。问题1选项A.该原始IP报文是IPv6数据报B.分片后的报文将在通过该链路后的路由器进行重组C.数据报需分为三片，这三片的总长度为4000BD.分片中的最后一片，标志位Flag为0，Offset字段为370【答案】D【解析】IP数据报的长度是4000B，要经过一段MTU为1500B的链路，需要进行分片，三个报片的长度是：第一片的长度：20+1480第二片的长度：20+1480第三片的长度：20+1020其中最后一片的，MF=0，片偏移是370。3. 单选题由于采用了( ) 技术，ADSL的上行与下行信道频率可部分重叠。问题1选项A.离散多音调B.带通过滤C.回声抵消D.定向采集【答案】C【解析】ADSL利用铜双绞线的01 MHz频段传输数据，它将这部分可用频段分成3段，其中04 kHz频段用于POTS业务，20138 kHz频段用于传送上行(从用户端到局端)控制信息，而下行(从局端到用户端)数字信道可采用频分复用(FDM)方式或频谱重叠方式分别占用138 kHz或者20 kHz以上的频段。在频谱重叠方式中，ADSL接收端需要采用回波抵消算法来分离上下行信道的信息。4. 案例题阅读以下说明， 回答问题1至问题4，将解答填入答题纸对应的解答栏内。【说明】某企业数据中心拓扑如图2-1所示，均采用互联网双线接入，实现冗余和负载。两台核心交换机通过虚拟化配置实现关键链路冗余和负载均衡，各服务器通过SAN存储网络与存储系统连接。关键数据通过虚拟专用网络加密传输，定期备份到异地灾备中心，实现数据冗余。【问题1】 （8分）在处部署 （1） 设备， 实现链路和业务负载，提高线路和业务的可用性。在处配置 （2） 实现 SwichA与两台核心交换机之间的链路冗余。在处部署 （3） 设备， 连接服务器HBA卡和各存储系统，在该设备上配置 （4）将连接在SAN网络中的设备划分为不同区域，隔离不同的主机和设备。【问题2】 （8分）为保障关键数据安全，利用虚拟专用网络，在本地数据中心与异地灾备中心之间建立隧道，使用IPSec协议实现备份数据的加密传输，IPSec使用默认端口。根据上述需求回答以下问题：1.应在处部署什么设备实现上述功能需求？2.在两端防火墙上需开放UDP4500和什么端口？3.在有限带宽下如何提高异地备份时的备份效率？4.请简要说明增量备份和差异备份的区别。【问题3】 （6分）分布式存储解决方案在实践中得到广泛应用。请从成本、扩容、IOPS、冗余方式、稳定性五个方面对传统集中式存储和分布式存储进行比较，并说明原因。【问题4】 （3分）数据中心设计是网络规划设计的重要组成部分，请简述数据中心选址应符合的条件和要求。（至少回答3点）【答案】【问题1】（1）负载均衡（2）链路聚合（3）光纤交换机光纤通道交换机SAN交换机（4） zone【问题2】1. VPN设备或VPN加密网关。2. UDP500。3.数据去重技术、数据压缩技术。4.增量备份：备份上一次全备或者增量备份以来变化的部分：差异备份：备份上一次全备以来所有变化的部分。【问题3】成本：集中式存储成本高，分布式存储成本低。原因：分布式存储采用普通服务器和廉价大容量磁盘作为存储节点，成本较低。扩容：集中式存储扩容较难，分布式存储扩容方便。原因：集中式存储扩容需要RAID重建，风险高，对业务影响大：分布式存储扩容一般是增加存储节点， 扩容非常方便。IOPS：分布式存储比集中式存储可以达到更高的IOPS。原因：分布式存储的数据存储于多个节点上，可以提供数倍于集中式存储的聚合IOPS，且随着存储节点的增加而线性增长。冗余方式：集中式存储采用RAID实现数据冗余，分布式存储采用多节点多副本存储方式实现数据冗余。稳定性：集中式存储稳定性高，分布式存储稳定性相对较差。原因：集中式存储为一个或一套完整的产品，出厂经过严格测试：分布式存储由不同厂家的多套软硬件集成，结构较复杂，容易受网络和带宽影响，稳定性较差。【问题4】（1）电力供给充足可靠，通信快速畅通，交通便捷；（2）采用水蒸发冷却制冷应考虑水源是否充足；（3）环境温度有利于节约能源；（4）远离产生粉尘、油烟、有害气体或贮存具有腐蚀性、易燃易爆物品的场所；（5）远离水灾、火灾和自然灾害隐患区域；（6）远离强振源和强噪声源；（7）避开强电磁场干扰；（8）不宜建在公共停车库的正上方；（9）大中型数据中心不宜建在住宅小区和商业区内。注：答出以上条款中的三条即可。【解析】【问题1】（1）负载均衡：负载均衡建立在现有网络结构之上，它提供了一种廉价有效透明的方法扩展网络设备和服务器的带宽、增加吞吐量、加强网络数据处理能力、提高网络的灵活性和可用性。负载均衡（Load Balance）其意思就是分摊到多个操作单元上进行执行。（2）链路聚合：链路聚合是将两个或更多数据信道结合成一个单个的信道,该信道以一个单个的更高带宽的逻辑链路出现。 链路聚合能够提高链路带宽,增强网络可用性,支持负载分担。（3）在处部署光纤通道交换机设备， 连接服务器HBA卡和各存储系统，在该设备上配置ZONE将连接在SAN网络中的设备划分为不同区域，隔离不同的主机和设备。（4） zone【问题2】1. 为保障关键数据安全，利用虚拟专用网络，在本地数据中心与异地灾备中心之间建立隧道，使用IPSec协议实现备份数据的加密传输，需要有VPN设备。2. IKE协商的初始端口使用的是500，完成NAT-T能力检测和NAT网关探测后，封装ISAKMP消息的UDP端口号被修改为4500，后续协商及数据传输都使用这个端口。3.数据去重技术通过消除重复的冗余数据从而极大地节省了存储空间，在数据备份系统，数据归档系统中得到广泛应用。数据压缩技术是指在不丢失信息的前提下，缩减数据量以减少存储空间，提高其传输、存储和处理效率的一种技术，或者指按照一定的算法对数据进行重新组织，减少数据的冗余和存储的空间。4.增量备份：备份上一次完全备份或者增量备份以来变化的部分：差异备份：备份上一次完全备份以来所有变化的部分。【问题3】集中式存储：集中式存储系统指由一台或多台主计算机组成中心节点，数据集中存储于这个中心节点中，并且整个系统的所有业务单元都集中部署在这个中心节点上，系统所有的功能均由其集中处理。也就是说，集中式系统中，每个终端或客户端及其仅仅负责数据的录入和输出，而数据的存储与控制处理完全交由中心节点来完成。集中式系统最大的特点就是部署结构简单，由于集中式存储往往依赖于底层性能卓越的大型主机，因此无需考虑如何对服务进行多个节点的部署，也就不用考虑多个节点之间的分布式协作问题。集中式有非常明显的单点问题，大型主机虽然在性能和稳定性方面表现卓越，但并不代表其永远不会出故障。一旦一台大型主机出现了故障，那么整个系统将处于不可用的状态，后果相当严重。最后，随着业务的不断发展，用户访问量迅速提高，计算机系统的规模也在不断扩大，在单一大型主机上进行扩容往往比较困难。分布式存储系统，是将数据分散存储在多台独立的设备上。分布式存储系统采用可扩展的系统结构，利用多台存储服务器分担存储负载，利用位置服务器定位存储信息，它不但提高了系统的可靠性、可用性和存储效率，还容易进行扩展。因为分布式存储具备区块链去中心化的特质，可以弥补过度中心化缺陷。其存储网络的拓扑结构可以是P2P网络，可以是存在几个联盟的中介服务商或运营商的去中心化网络，抛开了单一中心化存储服务商经营风险。【问题4】（1）电力供给充足可靠，通信快速畅通，交通便捷；（2）采用水蒸发冷却制冷应考虑水源是否充足；（3）环境温度有利于节约能源；（4）远离产生粉尘、油烟、有害气体或贮存具有腐蚀性、易燃易爆物品的场所；（5）远离水灾、火灾和自然灾害隐患区域；（6）远离强振源和强噪声源；（7）避开强电磁场干扰；（8）不宜建在公共停车库的正上方；（9）大中型数据中心不宜建在住宅小区和商业区内。5. 单选题以下关于延迟的说法中，正确的是（ ）。问题1选项A.在对等网络中，网络的延迟大小与网络中的终端数量无关B.使用路由器进行数据转发所带来的延迟小于交换机C.使用internet服务器可最大程度地减小网络延迟D.服务器延迟的主要影响因素是队列延迟和磁盘IO延迟【答案】D【解析】如果不考虑网络环境，服务器的延迟的主要因素是队列延迟和磁盘IO延迟。6. 单选题某Web网站向CA申请了数字证书。用户登录过程中可通过验证( ) 确认该字证书的有效性，以( )。问题1选项A.CA的签名B.网站的签名C.会话密钥D.DES密码问题2选项A.向网站确认自己的身份B.获取访问网站的权限C.和网站进行双向认证D.验证网站的真伪【答案】第1题:A第2题:D【解析】数字证书颁发过程一般为：用户首先产生自己的密钥对，并将公共密钥及部分个人身份信息传送给认证中心。认证中心在核实身份后，将执行一些必要的步骤，以确信请求确实由用户发送而来，然后，认证中心将发给用户一个数字证书，该证书内包含用户的个人信息和他的公钥信息，同时还附有认证中心的签名信息。用户就可以使用自己的数字证书进行相关的各种活动。7. 单选题以下关于DHCP服务器租约的说法中，正确的是（ ）。问题1选项A.当租约期过了50%时，客户端更新租约期B.当租约期过了80%时，客户端更新租约期C.当租约期过了87.5%时，客户端更新租约期D.当租约期到期后，客户端更新租约期【答案】A【解析】客户机会在租期过去50%的时候，直接向为其提供IP地址的DHCP Server发送单播的DHCP REQUEST消息包。如果客户机接收到该服务器回应的DHCP ACK消息包，客户机就根据包中所提供的新的租期以及其他已经更新的TCP/IP参数，更新自己的配置，IP租用更新完成。如果没有收到该服务器的回复，则客户机继续使用现有的IP地址，因为当前租期还有50%。如果在租期过去50%的时候没有更新，则客户机将在租期过去87.5%的时候再次向为其提供IP地址的DHCP联系，发送广播的DHCP REQUEST消息包。如果还不成功，到租约的100%时候，客户机必须放弃这个IP地址，重新申请。如果此时无DHCP可用，客户机会使用169.254.0.0/16中随机的一个地址，并且每隔5分钟再进行尝试。8. 案例题阅读以下说明，回答问题1至问题4，将解答填入答题纸对应的解答栏内。【说明】某居民小区FTTB+HGW网络拓扑如图1-1所示。GPON OLT部署在汇聚机房，通过聚合方式接入到城城网： ONU部署在居民楼楼道交接箱里，通过用户家中部署的LAN.上行的HGW来提供业务接入接口。HGW通过ETH接口上行至ONU设备，下行通过 FE/WiFi接口为用户提供Internet业务，通过FE接口为用户提供IPTV业务。HGW提供PPPoE拨号、NAT等功能，可以实现家庭内部多台PC共享上网。 【问题1】 （8分）1.对网络进行QoS规划时，划分了语音业务、管理业务、IPTV业务、上网业务， 其中优先级最高的是（1）， 优先级最低是（2）。2.通常情况下，一路语音业务所需的带宽应达到或接近（3）kb/s，一路高清IPTV所需的带宽应达到或接近（4）Mb/s。（3）、（4） 的备选答案：A.100B.10C.1000D.503.简述上网业务数据规划的原则。【问题2】 （10分）小区用户上网业务需要配置的内容包括OLT、ONU、家庭网关HGW，其中：1.在家庭网关HGW上配置的有 （5）和 （6）。2.在ONU上配置的有（7）.（8）、（9）和（10）。3.在OLT上配置的有 （11） 、 （12） . （13） 和 （14） 。（5） - （14）的备选答案：A.配置语音业务B.配置上网业务C.配置IPTV业务D.配置聚合、拥塞控制及安全策略E.增加ONUF.配置OLT和ONU之间的业务通道G.配置OLT和ONU之间的管理通道【问题3】 （3分）某OLT.上的配置命令如下所示。 简要说明步骤13命令片段实现的功能。步骤1：（15）。步骤2：（16）步骤3：（17）【问题4】 （4分）在该网络中，用户的语音业务（电话）的上联设备是ONU，采用H.248语音协议，通过运营的 （18） 接口和语音业务通道接入网络侧的 （19）【答案】【问题1】1.（1）管理业务（2）上网业务2. （3） A（4） B3.不同场景下VLAN的规划、VLAN切换策略的规划。【问题2】（5） B（6） C （注： （5） （6）答案可互换）（7） B（8） A（9）C（10） D （注： （7） - （10）答案可互换）（11） E（12） F（13） G（14） D （注： （11） （14） 答案可互换）【问题3】（15）配置OLT的带内管理VLAN和IP地址。（16）配置ONU的带内管理VLAN和IP地址。（17）配置带内管理业务流。【问题4】（18） MG（19） 多媒体综合业务平台【解析】【问题1】1、解析：对网络进行QoS规划时，划分了语音业务、管理业务、IPTV业务、上网业务， 其中优先级最高的是管理业务，对实时性要求最高， 优先级最低是普通用户上网业务，对实时性、带宽要求低于语音和IPTV业务。2. 一般语音业务带宽需要达到64Kbps以上，而IPTV是利用宽带网络，集互联网、多媒体、通讯等多种技术于一体，向家庭用户提供包括数字电视在内的多种交互式服务，该服务为家庭宽带用户提供通过机顶盒+电视机的方式，进行视频节目的直播、点播、回看、时移等功能，除此之外还可以通过此方式提供互联网应用和视频通信等丰富的应用业务服务，带宽需要在10Mbps以上。3.不同用户业务应通过不同的VLAN ID区分。【问题2】（5）-（6）在家庭网关设备中配置上网业务和IPTV业务。（7）-（10） 在光网络单元设备中配置语音业务、上网业务、IPTV业务、配置聚合、拥塞控制和安全策略。（11）-（14） 在光线路终端配置拥塞控制和安全策略、增加ONU、增加OLT和ONU之间的业务通道和管理通道。【问题3】（15）配置OLT的带内管理VLAN和IP地址。（16）配置ONU的带内管理VLAN和IP地址。（17）配置带内管理业务流。【问题4】（18）H.248协议是2000年由 ITU-T第 16工作组提出的媒体网关控制协议，采用H.248语音协议，通过运营的多媒体网关MG接口和语音业务通道接入网络侧的多媒体综合业务平台。9. 单选题若循环冗余校验码CRC的生成器为10111，则对于数据10100010000计算的校验码应为( )。该CRC校验码能够检测出的突发长度不超过( )。问题1选项A.1101B.11011C.1001D.10011问题2选项A.3B.4C.5D.6【答案】第1题:A第2题:B【解析】10100010000添加4个0后。模2除10111，余数为A。R位CRC校验码能够检测出的突发长度不超过R位。10. 单选题( ) 是由我国自主研发的无线网络安全协议。问题1选项A.WAPIB.WEPC.WPAD.TKIP【答案】A【解析】WAPI （Wireless LAN Authentication and Privacy Infrastructure）是无线局域网鉴别和保密基础结构，是一种安全协议，同时也是中国无线局域网安全强制性标准，最早由西安电子科技大学综合业务网理论及关键技术国家重点实验室提出。11. 单选题下面支持IPv6的是 ( )。问题1选项A.OSPFv1B.OSPFv2C.OSPFv3D.OSPFv4【答案】C【解析】OSPF（Open Shortest Path First）是IETF组织开发的一个基于链路状态的内部网关协议（Interior Gateway Protocol）。目前针对IPv4协议使用的是OSPF Version 2，针对IPv6协议使用OSPF Version 3。12. 案例题回答问题1至问题3。【问题1】( 4分)安全管理制度管理、规划和建设为信息安全管理的重要组成部分。一般从安全策略、安全预案、安全检查、安全改进等方面加强安全管理制度建设和规划。其中， (1)应定义安全管理机构、等级划分、汇报处置、处置操作、安全演练等内容;(2)应该以信 息安全的总体目标、管理意图为基础,是指导管理人员行为,保护信息网络安全的指南。【问题2】( 11分)某天,网络安全管理员发现web服务器访问缓慢,无法正常响应用户请求,通过检查发现,该服务器CPU和内存资源使用率很高、网络带宽占用率很高,进一步查询日志,发现该服务器与外部未知地址有大量的UDP连接和TCP半连接,据此初步判断该服务器受到 (3)和(4)类型的分布式拒绝服务攻击( DDos)，可以部署(5)设备进行防护。这两种类型的DDos攻击的原理是(6)、(7)。(3) (4)备选答案(每个选项仅限选一次) :A Ping洪流攻击 B SYN泛洪攻击C Teardrop攻击 D UDP泛洪攻击(5)备选答案:A 抗DDoS防火墙 B Web防火墙C 入侵检测系统 D 漏洞扫描系统【问题3】( 10分)网络管理员使用检测软件对Web服务器进行安全测试,图3-1为测试结果的片段信息,从测试结果可知,该Web系统使用的数据库软件为(8)Web服务器软件为(9)该Web系统存在(10)漏洞，针对该漏洞应采取(11) 、(12)等整改措施进行防范。【答案】【问题1】（1）安全预案（2）安全策略【问题2】（3）UDP泛洪攻击（4）SYN flooding攻击（5）A（6）UDP泛洪（UDP flood）：攻击者通过向目标主机发送大量的UDP报文，导致目标主机忙于处理这些UDP报文，而无法处理正常的报文请求或响应。（7）SYN flooding攻击，通常发生在TCP连接需要进行三次握手过程中。当客户端向服务端发出请求时，首先会发送一个TCP SYN数据包。而后响应一个SYN ACK数据包。服务器随后将等待从客户端收到一个ACK 数据包。如果服务器没有收到ACK 数据包，TCP连接将处于半打开状态，直到服务器从客户端收到ACK数据包或者连接因为计时器超时为止。当一个攻击者有意地、重复地向服务器发送 SYN数据包，但不对服务器发回的SYN ACK 数据包答复ACK数据包时，就会发生TCP SYN flooding攻击。这时，服务器将会失去对资源的控制，无法建立任何新的合法TCP连接。WAF防护应用层流量的拒绝服务攻击，适合防御HTTP Get攻击等。WAF服务并不提供针对四层及以下流量的防护，例如：ACK Flood、UDP Flood等攻击，这类攻击建议使用DDoS及IP高防服务进行防护。【问题3】（8）mysql（9）Apache（10）SQL注入攻击（11）使用参数化的过滤性语句（12）使用专业的漏洞扫描工具、IPS、WAF等设备。【解析】【问题1】（1）网络与信息安全应急预案：为了切实做好财政系统网络与信息安全突发事件的防范和应急处理工作，提高财政系统预防和控制网络与信息安全突发事件的能力和水平，减轻或消除突发事件的危害和影响，确保财政系统网络与信息安全，结合工作实际，制定本预案。在安全预案中需要明确安全等级划分、安全管理机构、处置机构、处置流程、处置方法等内容。（2）安全策略是对信息系统安全管理的目标和意图的描述，是对信息系统安全进行管理和保护的指导原则，是指导管理人员的行为、保护信息网络安全的指南，在安全策略的指导下制定安全管理制度、组织实施、检查改进、保证信息系统安全保护工作的整体性、计划性和规范性，确保技术保护措施和管理手段的正确实施，使得信息系统数据的完整性、机密性和可用性受到全面的保护【问题2】（3）（4）（6）（7）发现该服务器与外部未知地址有大量的UDP连接和TCP半连接，可以判断为SYN flooding攻击和UDP泛洪攻击。UDP泛洪（UDP flood）：攻击者通过向目标主机发送大量的UDP报文，导致目标主机忙于处理这些UDP报文，而无法处理正常的报文请求或响应。SYN flooding攻击，通常发生在TCP连接需要进行三次握手过程中。当客户端向服务端发出请求时，首先会发送一个TCP SYN数据包。而后响应一个SYN ACK数据包。服务器随后将等待从客户端收到一个ACK 数据包。如果服务器没有收到ACK 数据包，TCP连接将处于半打开状态，直到服务器从客户端收到ACK数据包或者连接因为计时器超时为止。当一个攻击者有意地、重复地向服务器发送 SYN数据包，但不对服务器发回的SYN ACK 数据包答复ACK数据包时，就会发生TCP SYN flooding攻击。这时，服务器将会失去对资源的控制，无法建立任何新的合法TCP连接。（5）A【问题3】（8）从图中可以清晰地看出是mysql数据库，web服务器使用的软件是Apache，改WEB服务器存在SQL注入攻击漏洞，防范措施可以使用参数化的过滤性语句、使用专业的漏洞扫描工具、使用IPS、WAF等设备。13. 单选题在Linux系统中，保存密码口令及其变动信息的文件是（ ）。问题1选项A./etc/usersB./etc/groupC./etc/passwdD./etc/shadow【答案】D【解析】现在的Linux系统中，口令不再直接保存在passwd文件中，通常将passwd文件中的口令字段使用一个“x”来代替，将/etc /shadow作为真正的口令文件，用于保存包括个人口令在内的数据。当然shadow文件是不能被普通用户读取的，只有超级用户才有权读取。点拨：/etc/users无此文件/etc/group 用户组的配置文件14. 单选题以下关于OSPF协议路由聚合的描述中，正确的是（ ）。问题1选项A.ABR会自动聚合路由，无需手动配置B.在ABR和ASBR上都可以配置路由聚合C.一台路由器同时做ABR和ASBR时不能聚合路由D.ASBR上能聚合任意的外部路由【答案】B【解析】地址汇总也叫做路由汇聚，是把ABR或ASBR具有相同前缀的路由信息进行聚合，只发布聚合后的路由给其他区域。这样可以大大减少区域内部路由器中的路由条目数，提高路由查询效率。所以在OSPF路由汇总中，主要是在ABR或者ASBR路由上进行的，分别进行的是区域间路由汇总和路由引入的汇总。15. 单选题提高网络的可用性可以采取的措施是（ ）。问题1选项A.数据冗余B.链路冗余C.软件冗余D.电路冗余【答案】B【解析】提高网络的可用性的措施主要包括冗余设备、冗余模块、冗余链路。16. 单选题1000BASE-TX 采用的编码技术为（）。问题1选项A.PAM5B.8B6TC.8B10BD.MLT-3【答案】C【解析】1000Base-TX，它不是由IEEE制定的，而是由 TIA/EIA 于1995年发布，对应的标准号为 TIA/EIA-854。1000Base-TX 也是基于4对双绞线，采用快速以太网中与 100Base-TX 标准类似的传输机制，是以2对线发送和2对线接收。由于每对线缆本身不进行双向的传输，线缆之间的串扰就大大降低，同时其编码方式也是 8b/10b。17. 单选题光纤通信提供了三种不同的拓扑结构，在光纤交换拓扑中N_PORT端口通过相关链路连接至（ ）。问题1选项A.NL_PORTB.FL_PORTC.F_PORTD.E_PORT【答案】C【解析】F_PORT：Fabric_Ports用于光纤交换环境下N_port之间的互连，从而所有节点都可以相互通信。18. 单选题IPv4报文分片和重组分别发生在( )。问题1选项A.源端和目的端B.需要分片的中间路由器和目的端C.源端和需要分片的中间路由器D.需要分片的中间路由器和下一跳路由器【答案】B【解析】在IP层下面的每一种数据链路层都有其自己的帧格式，其中包括帧格式中的数据字段的最大长度。这称为最大传送单元MTU，当一个IP数据报封装成链路层的帧时，此数据报的总长度一定不能超过下面的数据链路层的MTU值。当数据报长度超过网络所容许的最大传送单元MTU时，就必须把过长的数据报进行分片后才能在网络上传送。分片发生在路由器，重组在目的主机重组19. 单选题在下图所示的网络拓扑中，假设自治系统AS3和AS2内部运行OSPF, AS1和AS4内部运行RIP。各自治系统间用BGP作为路由协议，并假设AS2和AS4之间没有物理链路。则路由器3c基于( )协议学习到网络x的可达性信息。1d通过( )学习到x的可达性信息。问题1选项A.OSPFB.RIPC.eBGPD.iBGP问题2选项A.3aB.1aC.1bD.1c【答案】第1题:C第2题:B【解析】一台BGP路由器运行在一个单一的AS内，在和其它BGP路由器建立邻居时，如果对方路由器和自己属于相同AS，则邻居关系为iBGP，如果属于不同AS，则邻居关系为eBGP。RIP是基于跳数选择最佳路由。20. 单选题以下关于CMIP（公共管理信息协议）的描述中，正确的是（ ）。问题1选项A.由IETF制定B.针对TCP/IP环境C.结构简单，易于实现D.采用报告机制【答案】D【解析】CMIP协议是在ISO制订的网络管理框架中提出的网络管理协议。通用管理信息协议（CMIP）是构建于开放系统互连（OSI）通信模型上的网络管理协议。在网络管理过程中，CMIP是通过事件报告进行工作的。CMIP在设计上以SNMP为基础，对SNMP的缺陷进行了改进，是一种更加复杂、更加详细的网络管理协议。