2016軟件水平考試(高級(jí))網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)師真題及答案案例

試卷科目：軟件水平考試(高級(jí))系統(tǒng)架構(gòu)設(shè)計(jì)師案例2016軟件水平考試(高級(jí))網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)師真題及答案案例PAGE"pagenumber"pagenumber/SECTIONPAGES"numberofpages"numberofpages2016軟件水平考試(高級(jí))網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)師真題及答案案例第1部分：問答題，共6題，請(qǐng)?jiān)诳瞻滋幪顚懻_答案。[問答題]1.閱讀下列說明，回答問題1至問題4，將解答填入答題紙的對(duì)應(yīng)欄內(nèi)?！菊f明】圖3-1是某互聯(lián)網(wǎng)服務(wù)企業(yè)網(wǎng)絡(luò)拓?fù)洌撈髽I(yè)主要對(duì)外提供網(wǎng)站消息發(fā)布、在線銷售管理服務(wù)，Web網(wǎng)站和在線銷售管理服務(wù)系統(tǒng)采用JavaEE開發(fā)，中間件使用Weblogic，采用訪問控制、NAT地址轉(zhuǎn)換、異常流量檢測(cè)、非法訪問阻斷等網(wǎng)絡(luò)安全措施?！締栴}1】（6分）根據(jù)網(wǎng)絡(luò)安全防范需求，需在不同位置部署不同的安全設(shè)備，進(jìn)行不同的安全防范，為上圖中的安全設(shè)備選擇相應(yīng)的網(wǎng)絡(luò)安全設(shè)備。在安全設(shè)備1處部署(1)；在安全設(shè)備2處部署(2)；在安全設(shè)備3處部署(3)。(1)～(3)備選答案：A.防火墻B.入侵檢測(cè)系統(tǒng)(IDS)C.入侵防御系統(tǒng)(IPS)【問題2】（6分，題）在網(wǎng)絡(luò)中需要加入如下安全防范措施：A.訪問控制B.NATC.上網(wǎng)行為審計(jì)D.包檢測(cè)分析E.數(shù)據(jù)庫審計(jì)F.DDoS攻擊檢測(cè)和阻止G.服務(wù)器負(fù)載均衡H.異常流量阻斷I.漏洞掃描J.Web應(yīng)用防護(hù)其中，在防火墻上可部署的防范措施有(4)；在IDS上可部署的防范措施有(5)；在IPS上可部署的防范措施有(6)。【問題3】（5分）結(jié)合上述拓?fù)?，?qǐng)簡要說明入侵防御系統(tǒng)(IPS)的不足和缺點(diǎn)?！締栴}4】（8分）該企業(yè)網(wǎng)絡(luò)管理員收到某知名漏洞平臺(tái)轉(zhuǎn)發(fā)在線銷售管理服務(wù)系統(tǒng)的漏洞報(bào)告，報(bào)告內(nèi)容包括：1.利用Java反序列化漏洞，可以上傳jsp文件到服務(wù)器。2.可以獲取到數(shù)據(jù)庫鏈接信息。3.可以鏈接數(shù)據(jù)庫，查看系統(tǒng)表和用戶表，獲取到系統(tǒng)管理員登錄帳號(hào)和密碼信息，其中登錄密碼為明文存儲(chǔ)。4.使用系統(tǒng)管理員帳號(hào)登錄銷售管理服務(wù)系統(tǒng)后，可以操作系統(tǒng)的所有功能模塊。針對(duì)上述存在的多處安全漏洞，提出相應(yīng)的改進(jìn)措施。答案:（1）A（2）B（3）C（4）ABF（5）D（6）HJ問題31.單點(diǎn)故障2.性能瓶頸3.五保和漏報(bào)問題4.匹配規(guī)則庫更新問題4。1.升級(jí)漏洞補(bǔ)丁2.數(shù)據(jù)庫連接信息保密3.控制好用戶權(quán)限4.用戶密碼加密處理5.過濾weblogi相關(guān)協(xié)議【解析】問題1基礎(chǔ)概念題，基本安全設(shè)備部署位置要熟悉問題2對(duì)應(yīng)安全措施和設(shè)備要分清。問題3ips一般串接，通過匹配特征庫實(shí)現(xiàn)攔截，所有串接設(shè)備都存在單點(diǎn)故障的問題，也可能有性能瓶頸問題。問題4web應(yīng)用漏洞主要是java反序列化，這是一種漏洞，需要補(bǔ)丁修復(fù)。數(shù)據(jù)庫連接信息泄露，需要進(jìn)行加密保存。用戶權(quán)限過大，導(dǎo)致的問題只能優(yōu)化權(quán)限。解析:[問答題]2.閱讀以下說明，回答問題1至問題5，將解答填入答題紙對(duì)應(yīng)的解答欄內(nèi)。【說明】某企業(yè)實(shí)施數(shù)據(jù)機(jī)房建設(shè)項(xiàng)目，機(jī)房位于該企業(yè)業(yè)務(wù)綜合樓二層，面積約50平方米。機(jī)房按照國家B類機(jī)房標(biāo)準(zhǔn)設(shè)計(jì)，估算用電量約50KW，采用三相五線制電源輸入，雙回路向機(jī)房設(shè)備供電，對(duì)電源系統(tǒng)提供三級(jí)防雷保護(hù)。要求鋪設(shè)抗靜電地板、安裝微孔回風(fēng)吊項(xiàng)，受機(jī)房高度影響，靜電地板高20厘米。機(jī)房分為配電間和主機(jī)間兩個(gè)區(qū)域，分別是15和35平方米。配電間配置市電配電柜、UPS主機(jī)及電池柜等設(shè)備；主機(jī)間配置網(wǎng)絡(luò)機(jī)柜、服務(wù)器機(jī)柜以及精密空調(diào)等設(shè)備。項(xiàng)目的功能模塊如圖1-1所示。【問題1】（4分）數(shù)據(jù)機(jī)房設(shè)計(jì)標(biāo)準(zhǔn)分為（1）類，該項(xiàng)目將數(shù)據(jù)機(jī)房設(shè)計(jì)標(biāo)準(zhǔn)確定為B類，劃分依據(jù)是（2）?！締栴}2】（6分）該方案對(duì)電源系統(tǒng)提供第二、三級(jí)防雷保護(hù)，對(duì)應(yīng)的措施是(3)和(4)。機(jī)房接地一般分為交流工作接地、直流工作接地、保護(hù)接地和(5)，若采用聯(lián)合接地的方式將電源保護(hù)接地接入大樓的接地極，則接地極的接地電阻值不應(yīng)大于(6)。(3)～(4)備選答案：A.在大樓的總配電室電源輸入端安裝防雷模塊B.在機(jī)房的配電柜輸入端安裝防雷模塊C.選用帶有防雷器的插座用于服務(wù)器、工作站等設(shè)備的防雷擊保護(hù)D.對(duì)機(jī)房中UPS不間斷電源做防雷接地保護(hù)【問題3】（4分）在機(jī)房內(nèi)空調(diào)制冷一般有下送風(fēng)和上送風(fēng)兩種方式。該建設(shè)方案采用上送風(fēng)的方式，選擇該方式的原因是(7)、(8)。(7)~(8)備選答案：A.靜電地板的設(shè)計(jì)高度沒有給下送風(fēng)預(yù)留空間B.可以及時(shí)發(fā)現(xiàn)和排除制冷系統(tǒng)產(chǎn)生的漏水，消除安全隱患C.上送風(fēng)建設(shè)成本較下送風(fēng)低，系統(tǒng)設(shè)備易于安裝和維護(hù)D.上送風(fēng)和下送風(fēng)應(yīng)用的環(huán)境不同，在IDC機(jī)房建設(shè)時(shí)要求采用上送風(fēng)方式【問題4】（6分）網(wǎng)絡(luò)布線系統(tǒng)通常劃分為工作區(qū)子系統(tǒng)、水平布線子系統(tǒng)、配線間子系統(tǒng)、（9）、管理子系統(tǒng)和建筑群子系統(tǒng)等六個(gè)子系統(tǒng)。機(jī)房的布線系統(tǒng)主要采用（10）和（11）。【問題5】（5分）判斷下述觀點(diǎn)是否正確（正確的打√；錯(cuò)誤的打×）。1.機(jī)房滅火系統(tǒng)，主要是氣體滅火，其滅火劑包括七氟丙烷、二氧化碳、氣溶膠等對(duì)臭氧層無破壞的滅火劑，分為管網(wǎng)式和無管網(wǎng)式。(12)2.機(jī)房環(huán)境監(jiān)控系統(tǒng)監(jiān)控的對(duì)象主要是機(jī)房動(dòng)力和環(huán)境設(shè)備，比如配電、UPS、空調(diào)、溫濕度、煙感、紅外、門禁、防雷、消防等設(shè)備設(shè)施。(13)3.B級(jí)機(jī)房對(duì)環(huán)境溫度要求是18℃~28℃，相對(duì)濕度要求是40%～70%。(14)4.機(jī)房新風(fēng)系統(tǒng)中新風(fēng)量值的計(jì)算方法主要按房間的空間大小和換氣次數(shù)作為計(jì)算依據(jù)。(15)5.機(jī)房活動(dòng)地板下部的電源線盡可能地遠(yuǎn)離計(jì)算機(jī)信號(hào)線，避免并排敷設(shè)，并采取相應(yīng)的屏蔽措施。（16）答案:問題1：答案：（1）三（2）系統(tǒng)運(yùn)行中斷造成的損失或者影響程度劃分。《電子信息機(jī)房設(shè)計(jì)規(guī)范》GB50174-2008中，將電子信息機(jī)房定義為A,B,C三類，其中A類要求最高。劃分依據(jù)是系統(tǒng)中斷導(dǎo)致經(jīng)濟(jì)損失或者公共秩序混亂的程度。問題2：答案：（3）B（4）D（5）防雷接地(6)1歐姆數(shù)據(jù)機(jī)房的接地一般分為交流工作接地、直流工作接地、保護(hù)接地和防雷接地。聯(lián)合接地電阻值一般不大于1Ω或取聯(lián)合接地中各接地的最小值。本題中防雷保護(hù)采取三級(jí)防雷保護(hù)，第一級(jí)在大樓的總配電室電源輸入端安裝防雷模塊，第二級(jí)在機(jī)房的配電柜輸入端安裝防雷模塊，第三級(jí)對(duì)機(jī)房中UPS不間斷電源做防雷接地保護(hù)。問題3：答案：（7）A（8）B機(jī)房送風(fēng)包括風(fēng)帽上送風(fēng)、風(fēng)管送風(fēng)、地板下送風(fēng)等。最常用的是地板下送風(fēng)方式。機(jī)柜近距離送風(fēng)又稱為近距離制冷、精確制冷等，包括機(jī)柜行間制冷（側(cè)前送風(fēng)、側(cè)后回風(fēng)）、封閉機(jī)柜內(nèi)部制冷等。目前，數(shù)據(jù)中心常用的機(jī)房空調(diào)系統(tǒng)氣流組織方式有下送風(fēng)上回風(fēng)、上送風(fēng)前回風(fēng)（或側(cè)回風(fēng)）等方式。1、風(fēng)帽上送風(fēng)風(fēng)帽上送風(fēng)方式的安裝較為簡單、整體早教較低，對(duì)機(jī)房的要求也較低，所以在中小行機(jī)房中采用較多。風(fēng)帽上送風(fēng)機(jī)組的有效送風(fēng)距離較近，有效距離約為15m，兩臺(tái)對(duì)吹也只達(dá)到30m左右，而且送回風(fēng)容易收到機(jī)房各種條件的影響（如走線架、機(jī)柜擺放、空調(diào)擺放、機(jī)房形狀等），所以機(jī)房內(nèi)的溫度場(chǎng)相對(duì)不是很均勻。風(fēng)管上送風(fēng)工程造價(jià)高于風(fēng)帽送風(fēng)方式，安裝及維護(hù)也較為復(fù)雜，對(duì)機(jī)房的層高也有較高的要求要求層高大于4M。問題4：本題是綜合布線基本概念，需要熟練掌握。（9）垂直干線子系統(tǒng)（10）管理子系統(tǒng)（11）配線間子系統(tǒng)問題5本題考查是機(jī)房建設(shè)規(guī)范基礎(chǔ)要求，建議就這個(gè)描述進(jìn)行記憶。其中第14空，A、B類機(jī)房的溫度都是23度+-1度，濕度為40-55%，C類機(jī)房溫度為18-28度，濕度為35%-75%。（12）√（13）√（14）×(15)√(16)√【解析】問題1：答案：（1）三（2）系統(tǒng)運(yùn)行中斷造成的損失或者影響程度劃分?！峨娮有畔C(jī)房設(shè)計(jì)規(guī)范》GB50174-2008中，將電子信息機(jī)房定義為A,B,C三類，其中A類要求最高。劃分依據(jù)是系統(tǒng)中斷導(dǎo)致經(jīng)濟(jì)損失或者公共秩序混亂的程度。問題2：答案：（3）B（4）D（5）防雷接地(6)1歐姆數(shù)據(jù)機(jī)房的接地一般分為交流工作接地、直流工作接地、保護(hù)接地和防雷接地。聯(lián)合接地電阻值一般不大于1Ω或取聯(lián)合接地中各接地的最小值。本題中防雷保護(hù)采取三級(jí)防雷保護(hù)，第一級(jí)在大樓的總配電室電源輸入端安裝防雷模塊，第二級(jí)在機(jī)房的配電柜輸入端安裝防雷模塊，第三級(jí)對(duì)機(jī)房中UPS不間斷電源做防雷接地保護(hù)。問題3：答案：（7）A（8）B機(jī)房送風(fēng)包括風(fēng)帽上送風(fēng)、風(fēng)管送風(fēng)、地板下送風(fēng)等。最常用的是地板下送風(fēng)方式。機(jī)柜近距離送風(fēng)又稱為近距離制冷、精確制冷等，包括機(jī)柜行間制冷（側(cè)前送風(fēng)、側(cè)后回風(fēng)）、封閉機(jī)柜內(nèi)部制冷等。目前，數(shù)據(jù)中心常用的機(jī)房空調(diào)系統(tǒng)氣流組織方式有下送風(fēng)上回風(fēng)、上送風(fēng)前回風(fēng)（或側(cè)回風(fēng)）等方式。1、風(fēng)帽上送風(fēng)風(fēng)帽上送風(fēng)方式的安裝較為簡單、整體早教較低，對(duì)機(jī)房的要求也較低，所以在中小行機(jī)房中采用較多。風(fēng)帽上送風(fēng)機(jī)組的有效送風(fēng)距離較近，有效距離約為15m，兩臺(tái)對(duì)吹也只達(dá)到30m左右，而且送回風(fēng)容易收到機(jī)房各種條件的影響（如走線架、機(jī)柜擺放、空調(diào)擺放、機(jī)房形狀等），所以機(jī)房內(nèi)的溫度場(chǎng)相對(duì)不是很均勻。風(fēng)管上送風(fēng)工程造價(jià)高于風(fēng)帽送風(fēng)方式，安裝及維護(hù)也較為復(fù)雜，對(duì)機(jī)房的層高也有較高的要求要求層高大于4M。解析:[問答題]3.閱讀下列說明，回答問題1至問題5，將解答填入答題紙的對(duì)應(yīng)欄內(nèi)。【說明】圖2-1為某企業(yè)數(shù)據(jù)中心拓?fù)鋱D，圖中網(wǎng)絡(luò)設(shè)備接口均為千兆帶寬，服務(wù)器1至服務(wù)器4均配置為4顆CPU、256GB內(nèi)存、千兆網(wǎng)卡。實(shí)際使用中發(fā)現(xiàn)服務(wù)器使用率較低，為提高資產(chǎn)利用率，進(jìn)行虛擬化改造，擬采用裸金屬架構(gòu)，將服務(wù)器1至服務(wù)器4整合為一個(gè)虛擬資源池。圖中業(yè)務(wù)存儲(chǔ)系統(tǒng)共計(jì)50TB，其中10TB用于虛擬化改造后的操作系統(tǒng)存儲(chǔ)，20TB用于Oracle數(shù)據(jù)庫存儲(chǔ)，20TB分配給虛擬化存儲(chǔ)用于業(yè)務(wù)數(shù)據(jù)存儲(chǔ)?！締栴}1】（6分）常見磁盤類型有SATA、SAS等，從性價(jià)比考慮，本項(xiàng)目中業(yè)務(wù)存儲(chǔ)系統(tǒng)和備份存儲(chǔ)應(yīng)如何選擇磁盤類型，請(qǐng)簡要說明原因。若要進(jìn)一步提升存儲(chǔ)系統(tǒng)性能，在磁盤陣列上可以采取哪些措施？【問題2】（3分）常用虛擬化實(shí)現(xiàn)方式有一虛多和多虛多，本例中應(yīng)選擇哪種方式，請(qǐng)說明理由?！締栴}3】（8分）常用存儲(chǔ)方式包括FC-SAN、IP-SAN，本案例中，服務(wù)器虛擬化改造完成后，操作系統(tǒng)和業(yè)務(wù)數(shù)據(jù)分別采用什么方式在業(yè)務(wù)存儲(chǔ)系統(tǒng)上存儲(chǔ)？服務(wù)器本地磁盤存儲(chǔ)什么數(shù)據(jù)？請(qǐng)說明原因?！締栴}4】（4分）常見備份方式主要有Host-Base、LAN-Base、LAN-Free、Server-Free，為該企業(yè)選擇備份方式，說明理由?！締栴}5】（4分）服務(wù)器虛擬化改造完成后，每臺(tái)宿主機(jī)承載的虛擬機(jī)和應(yīng)用會(huì)更多，可能帶來什么問題？如何解決。答案:【問題1】（6分）1.業(yè)務(wù)存儲(chǔ)系統(tǒng)選擇SAS,備份存儲(chǔ)選擇SATA磁盤。2.SATA磁盤相對(duì)于SAS磁盤成本較低、轉(zhuǎn)速低、傳輸速率慢;備份存儲(chǔ)對(duì)于數(shù)據(jù)傳輸速率要求相對(duì)低，一般采用SATA磁盤;業(yè)務(wù)存儲(chǔ)系統(tǒng)對(duì)于數(shù)據(jù)傳輸速率要求高，一般采用SAS，降低磁盤IO瓶頸。3.配置SSD磁盤、高速緩存卡、更高轉(zhuǎn)速磁盤?！締栴}2】（3分）多虛多。采用獨(dú)立的服務(wù)器方式資源利用率低，為提高資源利用率，將多臺(tái)服務(wù)器整合為一個(gè)虛擬化資源池，并根據(jù)需求會(huì)虛擬出多個(gè)虛擬機(jī)，所以，屬于多虛多方式?！締栴}3】（8分）1.操作系統(tǒng)與數(shù)據(jù)庫系統(tǒng)采用FC-SAN方式存儲(chǔ)、業(yè)務(wù)數(shù)據(jù)采用IP-SAN方式存儲(chǔ)。2.本地磁盤存儲(chǔ)虛擬化軟件數(shù)據(jù)。3.FC-SAN高速度、低延遲、高穩(wěn)定性適合存儲(chǔ)操作系統(tǒng)數(shù)據(jù);IP-SAN高利用率、擴(kuò)展性強(qiáng)、維護(hù)管理便捷適合存儲(chǔ)業(yè)務(wù)數(shù)據(jù)?？梢怨?jié)省投資、進(jìn)行磁帶庫共享、集中備份管理?！締栴}4】（4分）1.LAN-Base。2.本例中，備份的數(shù)據(jù)傳輸以網(wǎng)絡(luò)為基礎(chǔ)，配置一臺(tái)服務(wù)器作為備份服務(wù)器，負(fù)責(zé)整個(gè)系統(tǒng)的備份管理，完全符合LAN-Base備份方式。缺點(diǎn)是對(duì)網(wǎng)絡(luò)傳輸壓力大?！締栴}5】（4分）1.可能會(huì)出現(xiàn)服務(wù)器虛擬化和存儲(chǔ)虛擬化網(wǎng)絡(luò)帶寬瓶頸?？赡艹霈F(xiàn)服務(wù)器每臺(tái)資源利用過分集中，且某些應(yīng)用占用資源高，會(huì)影響到服務(wù)器的整體性能。2.網(wǎng)絡(luò)交換機(jī)、防火墻、服務(wù)器1~4、存儲(chǔ)虛擬化服務(wù)器1~2均升級(jí)為萬兆網(wǎng)絡(luò)帶寬。對(duì)每臺(tái)服務(wù)器的資源進(jìn)行限制，對(duì)于重要的服務(wù)，優(yōu)先占用資源?！窘馕觥俊締栴}1】（6分）SATA硬盤通常采用較低的轉(zhuǎn)速(常見為7200rpm)和較短平均無故障工作時(shí)間（MTBF），單盤容量大(常見為1TB、4TB或者更大)，價(jià)格便宜，常用于容量要求較大、事務(wù)性處理少、數(shù)據(jù)可用性非關(guān)鍵指標(biāo)的應(yīng)用中。、SAS硬盤通常采用較高的轉(zhuǎn)速(10Krpm或15Krpm)和更長平均無故障工作時(shí)間(MTBF)，單盤容量較小(常見為300GB，600GB)，具有更高的可靠性，相對(duì)價(jià)格較貴。常被使用于數(shù)據(jù)量大，數(shù)據(jù)可用性極為關(guān)鍵、可靠性要求高的應(yīng)用中。存儲(chǔ)系統(tǒng)的主要性能指標(biāo)為IOPS(InphtlOutputOperationsPerSecond):即每秒讀寫操作的次數(shù)，指的是系統(tǒng)在單位時(shí)間內(nèi)能處理的最大的I/O頻度。決定IOPS的因素主要有:物理磁盤、Cache命中率、磁盤陣列算法。【問題2】（3分）服務(wù)器虛擬化常見有?一虛多??多虛多?。?一虛多?是將一臺(tái)物理服務(wù)器虛擬成多臺(tái)服務(wù)器，分割成多個(gè)相互獨(dú)立、互不干擾的虛擬環(huán)境。?多虛多?是將多臺(tái)物理服務(wù)器虛擬成邏輯服務(wù)器池，然后再將其劃分為多個(gè)虛擬服務(wù)器。本例中，將四臺(tái)物理服務(wù)器整合為一個(gè)虛擬資源池，再將其劃分為多個(gè)服務(wù)器，其形式為典型的多虛多方式?！締栴}3】（8分）SAN指存儲(chǔ)區(qū)域網(wǎng)絡(luò)，目前常見的主要有FC-SAN和IP-SAN。FC-SAN是采用FC協(xié)議，采用專用光纖通道傳輸，將光纖通道設(shè)備映射為一個(gè)操作系統(tǒng)可訪問的邏輯驅(qū)動(dòng)器，進(jìn)行數(shù)據(jù)傳輸時(shí)，光纖鏈路的利用率高，傳輸速率達(dá)到4Gb以上。其高性能、低延遲、高成本等特性，適合數(shù)據(jù)傳輸速度要求高、高性能的業(yè)務(wù)需求。IP-SAN使用iSCSI協(xié)議，采用IP網(wǎng)絡(luò)通道傳輸，當(dāng)前普遍千兆網(wǎng)絡(luò)環(huán)境下，進(jìn)行數(shù)據(jù)傳輸時(shí)，鏈路的利用率和傳輸速率比FC通道傳輸?shù)秃芏?。其低成本、開放性好，網(wǎng)絡(luò)適應(yīng)能力強(qiáng)，容易實(shí)現(xiàn)遠(yuǎn)程數(shù)據(jù)訪問，共享存儲(chǔ)資源，提高資源利用率等特性，適合數(shù)據(jù)訪問速度要求不高，大容量，低成本投入等業(yè)務(wù)需求。本例中，由于操作系統(tǒng)對(duì)數(shù)據(jù)傳輸速度要求高和高性能需求，應(yīng)采用FC-SAN；業(yè)務(wù)數(shù)據(jù)主要是指非機(jī)構(gòu)化文檔的存儲(chǔ)，對(duì)數(shù)據(jù)訪問速度要求不高，而容量大，適合采用IP-SAN。本例中，特別說明虛擬化改造采用裸金屬架構(gòu)，那么虛擬化軟件就應(yīng)直接安裝硬件上，接管所有硬件資源，所以，服務(wù)器本地磁盤會(huì)存儲(chǔ)虛擬化軟件?！締栴}4】（4分）LAN-Base備份結(jié)構(gòu)中，以網(wǎng)絡(luò)為基礎(chǔ)進(jìn)行數(shù)據(jù)的傳輸，其中配置一臺(tái)服務(wù)器作為備份服務(wù)器，由它負(fù)責(zé)整個(gè)系統(tǒng)的備份操作。備份存儲(chǔ)系統(tǒng)(磁帶庫或者磁盤陣列)則接在某臺(tái)服務(wù)器上，在數(shù)據(jù)備份時(shí)備份對(duì)象把數(shù)據(jù)通過網(wǎng)絡(luò)傳輸?shù)絺浞荽鎯?chǔ)系統(tǒng)中實(shí)現(xiàn)備份。本例中，配置單獨(dú)的備份服務(wù)器，并通過網(wǎng)絡(luò)，將業(yè)務(wù)存儲(chǔ)系統(tǒng)的數(shù)據(jù)備份到備份存儲(chǔ)中，符合LAN-Base備份結(jié)構(gòu)?！締栴}5】（4分）本例中，業(yè)務(wù)數(shù)據(jù)采用IP-SAN方式存儲(chǔ)，備份采用LAN-Base，在業(yè)務(wù)上都依賴網(wǎng)絡(luò)傳輸，同時(shí)每臺(tái)物理服務(wù)器上會(huì)劃分更多的虛擬機(jī)，但是上述網(wǎng)絡(luò)傳輸為千兆，每臺(tái)物理服務(wù)器上的虛擬機(jī)都共享該設(shè)備的網(wǎng)絡(luò)帶寬，當(dāng)虛擬機(jī)數(shù)量增多后，有可能出現(xiàn)網(wǎng)絡(luò)帶寬瓶頸。針對(duì)上述問題，需要提升網(wǎng)絡(luò)帶寬，可以采用端口聚合適當(dāng)提升網(wǎng)絡(luò)帶寬，也可以升級(jí)到萬兆網(wǎng)絡(luò)帶寬。解析:[問答題]4.閱讀以下說明，回答問題1至問題4，將解答填入答題紙對(duì)應(yīng)的解答欄內(nèi)。（共25分）【說明】傳統(tǒng)業(yè)務(wù)結(jié)構(gòu)下，由于多種技術(shù)之間的孤立性，使得數(shù)據(jù)中心服務(wù)器總是提供多個(gè)對(duì)外I/O接口。在云計(jì)算模式發(fā)展的推動(dòng)下，數(shù)據(jù)中心正在從過去的存儲(chǔ)處理中心演變成為應(yīng)用中心，并逐步向服務(wù)中心和運(yùn)營中心轉(zhuǎn)變。而對(duì)客戶來說，由于技術(shù)、經(jīng)驗(yàn)、資金等限制，在轉(zhuǎn)變過程中會(huì)遇到各種挑戰(zhàn)，例如：虛擬化帶來的技術(shù)復(fù)雜性，規(guī)模擴(kuò)大帶來的運(yùn)維壓力，系統(tǒng)和數(shù)據(jù)遷移的困難以及數(shù)據(jù)中心的高能耗等。傳統(tǒng)業(yè)務(wù)結(jié)構(gòu)存儲(chǔ)下的數(shù)據(jù)中心網(wǎng)絡(luò)撲結(jié)構(gòu)圖如圖2-1所示。(1)如圖2-1所示，數(shù)據(jù)中心有多個(gè)網(wǎng)絡(luò)，一個(gè)是前端用戶通信網(wǎng)絡(luò)，一個(gè)是后端做數(shù)據(jù)更新或者做集群計(jì)算的通訊網(wǎng)絡(luò)，還有后臺(tái)光纖存儲(chǔ)網(wǎng)絡(luò)。針對(duì)這三種網(wǎng)絡(luò)分別舉出一個(gè)例子。(2)如上所述，除以上三種網(wǎng)絡(luò)外有的數(shù)據(jù)中心還有專門用于虛擬機(jī)遷移的網(wǎng)絡(luò)，都會(huì)在服務(wù)器上做集中。這樣一臺(tái)服務(wù)器最多需要幾塊網(wǎng)卡與之相連？隨著TRILL等技術(shù)的出現(xiàn)，這個(gè)專用網(wǎng)絡(luò)還需要嗎？(3)網(wǎng)絡(luò)成為數(shù)據(jù)中心資源的交換樞紐，當(dāng)前數(shù)據(jù)中心紛為IP數(shù)據(jù)網(wǎng)絡(luò)、存儲(chǔ)網(wǎng)絡(luò)、服務(wù)器集群網(wǎng)絡(luò)。隨著數(shù)據(jù)中心規(guī)模的逐步增大，簡單分析帶來的問題?！締栴}2】(4分)FCoE采用增強(qiáng)型以太網(wǎng)作為物理網(wǎng)絡(luò)傳輸架構(gòu)，是專門為低延遲性、高性能、二層數(shù)據(jù)中心網(wǎng)絡(luò)所設(shè)計(jì)的網(wǎng)絡(luò)協(xié)議。目前國際標(biāo)準(zhǔn)化組織已經(jīng)開發(fā)了針對(duì)以太網(wǎng)標(biāo)準(zhǔn)的擴(kuò)展協(xié)議族，即?融合型增強(qiáng)以太網(wǎng)(CEE)?，這些擴(kuò)展協(xié)議族可以進(jìn)行所有類型的傳輸。試簡述FCoE技術(shù)的優(yōu)點(diǎn)?！締栴}3】（6分）為了實(shí)現(xiàn)統(tǒng)二管理、簡化運(yùn)維，采用基于FCoE技術(shù)的數(shù)據(jù)中心統(tǒng)一I/O能夠?qū)崿F(xiàn)用少數(shù)的CNA(ConvergedNetworkadapter)代替數(shù)量較多的NIC.HBA.HCA，所有的流量通過CNA萬兆以太網(wǎng)傳輸。按照18臺(tái)服務(wù)器（單網(wǎng)卡）為例，使用FCoE后每臺(tái)服務(wù)器只需要一塊專用適配器（網(wǎng)卡），一套布線（以太網(wǎng)）系統(tǒng)，統(tǒng)一管理維護(hù)簡單。表2-1為使用FcoE前18臺(tái)服務(wù)器需要的網(wǎng)卡、交換機(jī)、電纜以及上聯(lián)端口的數(shù)量；請(qǐng)核算出使用FCoE后的相應(yīng)部件數(shù)量，填充表2-2?！締栴}4】（6分）?(1)隨著數(shù)據(jù)中心的發(fā)展，數(shù)據(jù)中心的能耗已經(jīng)成為一個(gè)嚴(yán)峻的問題，PUE已經(jīng)成為國際上比較通行的數(shù)據(jù)中心電力使用效率的衡量指標(biāo)。請(qǐng)問PUE是什么，它的基準(zhǔn)是多少，其越接近多少表示一個(gè)數(shù)據(jù)中心的綠色化程度越高？?(2)在現(xiàn)代機(jī)房的機(jī)柜布局中，人們?yōu)榱嗣烙^和便于觀察會(huì)將所有的機(jī)柜朝同一個(gè)方向擺放。如果按照這種擺放方式，機(jī)柜盲板有效阻擋冷熱空氣的效果將大打折扣。正確的擺放方式是什么？請(qǐng)簡述其原因。?(3)水冷空調(diào)系統(tǒng)是目前新一代大型數(shù)據(jù)中心制冷的首選方案，采用水冷空調(diào)在部分地區(qū)可以采取免費(fèi)冷卻技術(shù)以節(jié)能。免費(fèi)冷卻技術(shù)是什么？答案:參考答案【問題1】(9分)（1）前端:以太網(wǎng)后端:高性能計(jì)算Infiniband網(wǎng)絡(luò)后臺(tái):FC光纖（2）8個(gè)網(wǎng)卡不需要（3）每個(gè)服務(wù)器要多個(gè)專用適配器(網(wǎng)卡)以及不同的布線系統(tǒng)；機(jī)房要支持更多設(shè)備；管理的復(fù)雜性增加；部署/配置/運(yùn)維困難。成本增加(人員，能耗，運(yùn)維成本等)【問題2】(4分)光纖存儲(chǔ)和以太網(wǎng)共享同一個(gè)端口;更少的線纜和適配器;軟件配置I/O;與現(xiàn)有的SAN環(huán)境可以互操作?！締栴}3】(6分)（1）~（7）0（8）4（9）18（10）2（11）3（12）6【問題4】(6分)（1）PUE=數(shù)據(jù)中心總設(shè)備能耗//IT設(shè)備能耗，基準(zhǔn)是2，越接近1表明能效水平越好。（2）將服務(wù)器機(jī)柜面對(duì)面或背對(duì)背的方式擺放。因?yàn)檫@樣將會(huì)形成?冷?通道和?熱?通道，提高制冷效果。（3）免費(fèi)冷卻(FreeCooling)技術(shù)指全部或部分使用自然界的免費(fèi)冷源進(jìn)行制冷從而減少壓縮機(jī)或冷凍機(jī)消耗的能量?！窘馕觥吭囶}分析【問題1】傳統(tǒng)業(yè)務(wù)結(jié)構(gòu)下，由于多種技術(shù)之間的孤立性(LAN與SAN)，使得數(shù)據(jù)中心服務(wù)器總是提供多個(gè)對(duì)外I/O接口(在此可理解成網(wǎng)卡)，即用于數(shù)據(jù)計(jì)算與交互的LAN接口以及數(shù)據(jù)訪問的存儲(chǔ)接口，某些特殊環(huán)境如特定HPC高性能計(jì)算)環(huán)境下的超低時(shí)延接口。服務(wù)器的多個(gè)I/O接口導(dǎo)致了數(shù)據(jù)中心環(huán)境下多個(gè)獨(dú)立運(yùn)行的網(wǎng)絡(luò)同時(shí)存在，不僅使得數(shù)據(jù)中心布線復(fù)雜，不同的網(wǎng)絡(luò)、接口形體造成的異構(gòu)還直接增加了額外人員的運(yùn)行維護(hù)、培訓(xùn)管理等高昂成本投入。數(shù)據(jù)中心里會(huì)有兩個(gè)網(wǎng)絡(luò)，一個(gè)是前端IP網(wǎng)絡(luò)，后端可能會(huì)是光纖網(wǎng)絡(luò)，都會(huì)在服務(wù)器上做。因此，集中服務(wù)器上以太網(wǎng)卡、光纖網(wǎng)卡，跟外部數(shù)據(jù)交互時(shí)通過IP網(wǎng)絡(luò)進(jìn)行交互。如果說得更極端一點(diǎn)，在大型數(shù)據(jù)中心會(huì)存在:一是前端的用戶通信網(wǎng)絡(luò)(以太網(wǎng));二是后臺(tái)存儲(chǔ)網(wǎng)絡(luò)光纖的通道(FC光纖網(wǎng)絡(luò));三是后端做數(shù)據(jù)更新或者做集群計(jì)算的通信網(wǎng)絡(luò)(高性能計(jì)算Infmiband網(wǎng)絡(luò));四是專門用于虛擬機(jī)遷移的網(wǎng)絡(luò)(各個(gè)服務(wù)器上有一個(gè)普通的以太網(wǎng)網(wǎng)卡，連接到獨(dú)立的交換機(jī)組成的網(wǎng)絡(luò)上，專門做虛擬機(jī)遷移。隨著TRILL等技術(shù)的出現(xiàn)，這個(gè)專用的網(wǎng)絡(luò)不再需要)。在這種情況下會(huì)有多個(gè)網(wǎng)卡，這些都是現(xiàn)有的設(shè)計(jì)視為理所當(dāng)然的。網(wǎng)絡(luò)漸漸成為數(shù)據(jù)中心資源的交換樞紐。當(dāng)前數(shù)據(jù)中心分為IP數(shù)據(jù)網(wǎng)絡(luò)、存儲(chǔ)網(wǎng)絡(luò)、服務(wù)器集群網(wǎng)絡(luò)。但隨著數(shù)據(jù)中心規(guī)模的逐步增大，也帶來以下問題:每個(gè)服務(wù)器要多個(gè)專用適配器(網(wǎng)卡)，要有不同的布線系統(tǒng);機(jī)房要支持更多設(shè)備:空間、耗電、制冷;多套網(wǎng)絡(luò)無法統(tǒng)一管理，不同的維護(hù)人員;部署/配置/管理/運(yùn)維困難?！締栴}2】FCoE采用增強(qiáng)型以太網(wǎng)作為物理網(wǎng)絡(luò)傳輸架構(gòu)，能夠提供標(biāo)準(zhǔn)的光纖通道有效內(nèi)容載荷，避免了TCP/ZP協(xié)議開銷，而且FCoE能夠像標(biāo)準(zhǔn)的光纖通道那樣為上層軟件層(包括操作系統(tǒng)、應(yīng)用程序和管理工具)服務(wù)。FCoE可以提供多種光纖通道服務(wù)，比如發(fā)現(xiàn)、全局名稱命名、分區(qū)等，而且這些服務(wù)都可以像標(biāo)準(zhǔn)的光纖通道那樣運(yùn)作。不過，由于FCoE不使用TCP/IP協(xié)議，因此FCoE數(shù)據(jù)傳輸不能使用IP網(wǎng)絡(luò)。FCoE是專門為低延遲性、高性能、二層數(shù)據(jù)中心網(wǎng)絡(luò)所設(shè)計(jì)的網(wǎng)絡(luò)協(xié)議。和標(biāo)準(zhǔn)的光纖通道FC一樣，F(xiàn)CoE協(xié)議也要求底層的物理傳輸是無損失的。因此，國際標(biāo)準(zhǔn)化組織己經(jīng)開發(fā)了針對(duì)以太網(wǎng)標(biāo)準(zhǔn)的擴(kuò)展協(xié)議族，尤其是針對(duì)無損10Gb以太網(wǎng)的速度和數(shù)據(jù)中心架構(gòu)。這些擴(kuò)展協(xié)議族可以進(jìn)行所有類型的傳輸。這些針對(duì)以太網(wǎng)標(biāo)準(zhǔn)的擴(kuò)展協(xié)議族被國際標(biāo)準(zhǔn)組織稱為?融合型增強(qiáng)以太網(wǎng)(CEE)"(思科稱為?數(shù)據(jù)中心以太網(wǎng)(DCE)")。數(shù)據(jù)中心FCoE(FCoverEthernet)技術(shù)實(shí)現(xiàn)在以太網(wǎng)架構(gòu)上映射FC(FibreChannel)幀，使得FC運(yùn)行在一個(gè)無損的數(shù)據(jù)中心以太網(wǎng)絡(luò)上(需要無損的以太網(wǎng)(CEE/DCE/DCB)保證不丟包)。FCoE技術(shù)有以下的一些優(yōu)點(diǎn):光纖存儲(chǔ)和以太網(wǎng)共享同一個(gè)端口;更少的線纜和適配器;軟件配置I/O;與現(xiàn)有的SAN環(huán)境可以互操作。基于FCoE技術(shù)的數(shù)據(jù)中心統(tǒng)一I/O能夠?qū)崿F(xiàn)用少數(shù)的CNA(ConvergedNetworkAdapter)代替數(shù)量較多的NIC,HBA,HCA，所有的流量通過CNA萬兆以太網(wǎng)傳輸。使用FCoE后的好處:每個(gè)服務(wù)器只需要一個(gè)專用適配器(網(wǎng)卡)，一套布線(以太網(wǎng))系統(tǒng)(以前需要多個(gè)網(wǎng)卡，多套布線(以太網(wǎng)和光纖)系統(tǒng));機(jī)房不再要支持更多設(shè)備:空間、耗電、制冷，更加節(jié)能綠色;只有一套網(wǎng)絡(luò)，統(tǒng)一管理維護(hù)簡單(原來是多套網(wǎng)絡(luò)無法統(tǒng)一管理，不同的維護(hù)人員維護(hù)困難);部署/配置/管理/運(yùn)維簡單?！締栴}4】隨著能源成本上升，我們?cè)絹碓疥P(guān)注IT對(duì)環(huán)境的影響，技術(shù)管理人員現(xiàn)在面臨著雙重任務(wù):創(chuàng)造和保持高可用性的IT環(huán)境，并推行綠色倡議。用于數(shù)據(jù)中心保證設(shè)備運(yùn)行的能源消耗需求驚人。（1）PUE是PowerUsageEffectiveness的簡寫，是評(píng)價(jià)數(shù)據(jù)中心能源效率的指標(biāo)，是數(shù)據(jù)中心消耗的所有能源與IT負(fù)載使用的能源之比，是DCIE<DataCenterInfrastructureEfficiency)的反比。PUE=數(shù)據(jù)中心總設(shè)備能耗//IT設(shè)備能耗，PUE是一個(gè)比值，基準(zhǔn)是2，越接近1表明能效水平越好。PUECPowerUsageEffectiveness，電源使用效率)值已經(jīng)成為國際上比較通行的數(shù)據(jù)中心電力使用效率的衡量指標(biāo)。PUE值是指數(shù)據(jù)中心消耗的所有能源與IT負(fù)載消耗的能源之比。PUE值越接近于1，表示一個(gè)數(shù)據(jù)中心的綠色化程度越高。（2）以往在機(jī)柜的布局中，人們?yōu)榱嗣烙^和便于觀察，常常會(huì)將所有的機(jī)柜朝同一個(gè)方向擺放。如果按照這種擺放方式，機(jī)柜盲板有效阻擋冷熱空氣的效果將大打折扣。正確的擺放方式應(yīng)該是將服務(wù)器機(jī)柜面對(duì)面或背對(duì)背的擺放方式擺放，這樣便形成了冷風(fēng)通道和熱風(fēng)通道，機(jī)柜之間的冷熱風(fēng)不會(huì)混合在一起，形成短路氣流，有效提高制冷效果，保護(hù)好冷熱通道不被破壞。即當(dāng)機(jī)柜內(nèi)或機(jī)架上的設(shè)備為前進(jìn)風(fēng)/后出風(fēng)方式冷卻時(shí)，機(jī)柜或機(jī)架的布置宜采用面對(duì)面、背對(duì)背方式。（3）水冷式空調(diào)的發(fā)明源于生活的細(xì)節(jié)，夏季人站在海邊感覺特別涼爽，這是因?yàn)楹Ｋ湛諝庵械臒崃慷舭l(fā)，使空氣溫度下降，從而帶給我們涼爽的冷空氣。細(xì)心的人們發(fā)現(xiàn)了這一現(xiàn)象，并將這一現(xiàn)象巧妙地運(yùn)用到溫度調(diào)節(jié)中來，進(jìn)而發(fā)明了節(jié)能環(huán)保的水冷空調(diào)。水冷空調(diào)又叫環(huán)保空調(diào)，是一種利用自來水的溫度，來達(dá)到冷卻室內(nèi)溫度的空調(diào)機(jī)。水冷空調(diào)系統(tǒng)是目前新一代大型數(shù)據(jù)中心制冷的首選方案，采用水冷空調(diào)在部分地區(qū)可以采取免費(fèi)冷卻技術(shù)以節(jié)能。免費(fèi)冷卻技術(shù)指全部或部分使用自然界的免費(fèi)冷源進(jìn)行制冷從而減少壓縮機(jī)或冷凍機(jī)消耗的能量。目前常用的免費(fèi)冷源主要是冬季或者春秋季的室外空氣，因此，如果可能的話，數(shù)據(jù)中心的選址應(yīng)該在天氣比較寒冷或低溫時(shí)間比較長的地區(qū)。在中國，北方地區(qū)都是非常適合采用免費(fèi)制冷技術(shù)。解析:[問答題]5.閱讀以下說明，回答問題1至問題5；將解答填入答題紙對(duì)應(yīng)的解答欄內(nèi)。（25分）【說明】某學(xué)校擁有內(nèi)部數(shù)據(jù)庫服務(wù)器1臺(tái)，郵件服務(wù)器1臺(tái)，DHCP服務(wù)器1臺(tái)，F(xiàn)TP服務(wù)器1臺(tái)，流媒體服務(wù)器1臺(tái)，Web服務(wù)器1臺(tái)，要求為所有的學(xué)生宿舍提供有線網(wǎng)絡(luò)接入服務(wù)，對(duì)外提供Web服務(wù)，郵件服務(wù)，流媒體服務(wù)，內(nèi)部主機(jī)和其他服務(wù)器對(duì)外不可見?！締栴}1】（5分）請(qǐng)劃分防火墻的安全區(qū)域，說明每個(gè)區(qū)域的安全級(jí)別，指出各臺(tái)服務(wù)器所處的安全區(qū)域。【問題2】（5分）請(qǐng)按照你的思路為該校進(jìn)行服務(wù)器和防火墻部署設(shè)計(jì)，對(duì)該校網(wǎng)絡(luò)進(jìn)行規(guī)劃，畫出網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖?！締栴}3】（5分）學(xué)校在原有校園網(wǎng)絡(luò)基礎(chǔ)上進(jìn)行了擴(kuò)建，采用DHCP。服務(wù)器動(dòng)態(tài)分配IP地址，運(yùn)行一段時(shí)間后，網(wǎng)絡(luò)時(shí)常出現(xiàn)連接不穩(wěn)定、用戶所使用的IP地址被?莫名其妙?修改、無法訪問校園網(wǎng)的現(xiàn)象。經(jīng)檢測(cè)發(fā)現(xiàn)網(wǎng)絡(luò)中出現(xiàn)多個(gè)未授權(quán)DHCP地址。請(qǐng)分析上述現(xiàn)象及遭受攻擊的原理，該如何防范？【問題4】（6分）學(xué)生宿舍區(qū)經(jīng)常使用的服務(wù)有Web、即時(shí)通信、郵件、FTP等，同時(shí)也因視頻流尋致大量的P2P流量，為了保障該區(qū)域中各項(xiàng)服務(wù)均能正常使用，應(yīng)采用何種設(shè)備合理分配每種應(yīng)用的帶寬？該設(shè)備部署在學(xué)校網(wǎng)絡(luò)中的什么位置？一般采用何種方式接入網(wǎng)絡(luò)？【問題5】（4分）當(dāng)前防火墻中，大多都集成了IPS服務(wù)，提供防火墻與IPS的聯(lián)動(dòng)。區(qū)別于IDS，IPS主要增加了什么功能？通常采用何種方式接入網(wǎng)絡(luò)？答案:參考答案【問題1】（5分）整個(gè)網(wǎng)絡(luò)分為3個(gè)不同級(jí)別的安全區(qū)域：1.內(nèi)部網(wǎng)絡(luò):安全級(jí)別最高，是可信的、重點(diǎn)保護(hù)的區(qū)域。包括所有內(nèi)部主機(jī)，數(shù)據(jù)庫服務(wù)器、DHCP服務(wù)器和FTP服務(wù)器。2.外部網(wǎng)絡(luò):安全級(jí)別最低，是不可信的、要防備的區(qū)域。包括外部因特網(wǎng)用戶主機(jī)和設(shè)備。3.DMZ區(qū)域(非軍事化區(qū)):安全級(jí)別中等，因?yàn)樾枰獙?duì)外開放某些特定的服務(wù)和應(yīng)用，受一定的保護(hù)，是安全級(jí)別較低的區(qū)域。包括對(duì)外提供WWW訪問的Web服務(wù)器、郵件服務(wù)器和流媒體服務(wù)器。【問題2】（5分）【問題3】（5分）攻擊原理:（1）當(dāng)DHCP客戶端第一次連接網(wǎng)絡(luò)、重新連接或者地址租期已滿時(shí)，會(huì)以廣播的方式向DHCP服務(wù)器發(fā)送DHCPDiscover消息，以獲取/重新獲取IP地址；（2）若網(wǎng)絡(luò)中存在多臺(tái)DHCP服務(wù)器，均能收到該消息并應(yīng)答；（3）非授權(quán)DHCP服務(wù)器會(huì)先于授權(quán)DHCP服務(wù)器發(fā)出應(yīng)答；（4）客戶端使用非授權(quán)服務(wù)器發(fā)出的應(yīng)答包，并用作自己的IP地址；（5）客戶端地址被修改，無法訪問校園網(wǎng)。防范措施:（1）啟用接入層交換機(jī)的DHCPSnooping功能;（2）DHCPSnooping功能將交換機(jī)接口分為信任接口和非信任接口;（3）連接客戶端的接口為非信任接口，上連到匯聚交換機(jī)的接口為信任接口;（4）非信任接口上接收到DHCPOffer,DHCPACK,DHCPNACK報(bào)文時(shí)，交換機(jī)會(huì)將其丟棄;（5）DHCPSnooping功能可阻止連接在非信任接口上的非授權(quán)DHCP服務(wù)器為客戶端提供IP地址配置信息?！締栴}4】（6分）應(yīng)采用流量控制設(shè)備，部署在核心交換機(jī)與學(xué)生宿舍區(qū)匯聚交換機(jī)之間，采用串接方式接入網(wǎng)絡(luò)。【問題5】（4分）區(qū)別于IDS、IPS提供主動(dòng)防護(hù)，增加了深入檢測(cè)和分析功能，提供高效處理(攔截或阻斷)能力。采用串接方式接入網(wǎng)絡(luò)【解析】試題分析【問題1】略。【問題2】根據(jù)問題1對(duì)該學(xué)校網(wǎng)絡(luò)區(qū)域的劃分，將不同的服務(wù)器放置在相應(yīng)的區(qū)域即可，對(duì)于具體的網(wǎng)絡(luò)連接細(xì)節(jié)則不必過多地考慮，在防火墻的DMZ區(qū)中，由于需要連接多臺(tái)服務(wù)器，應(yīng)使用一臺(tái)局域網(wǎng)交換機(jī)進(jìn)行連接?！締栴}3】當(dāng)采用DHCP服務(wù)器為客戶端動(dòng)態(tài)分配IP地址時(shí)，出現(xiàn)網(wǎng)絡(luò)連接不穩(wěn)定、用戶的地址會(huì)被?莫名其妙?修改，導(dǎo)致無法訪問校園網(wǎng)的現(xiàn)象，經(jīng)查是出現(xiàn)了多個(gè)未授權(quán)的DHCP服務(wù)器所致。這些所謂?未授權(quán)?的服務(wù)器為客戶機(jī)分配了其他的非法IP地址，導(dǎo)致用戶無法訪問網(wǎng)絡(luò)。這類攻擊為DHCP攻擊，DHCP攻擊的原理是距離客戶端較近的DHCP服務(wù)器會(huì)先于授權(quán)DHCP服務(wù)器相應(yīng)客戶端的請(qǐng)求，而導(dǎo)致客戶端接收到非法IP地址，無法訪問網(wǎng)絡(luò)。防范的方法一般是在接入層交換機(jī)上啟用DHCPSnooping功能，以過濾非信任接口上收到的DHCPoffer,DHCPACK和DHCPNACK報(bào)文，從而防止非法的DHCP服務(wù)器為客戶端分配IP地址?！締栴}4】根據(jù)問題的描述，由于網(wǎng)絡(luò)中存在大量的P2P流量，而導(dǎo)致其他各項(xiàng)服務(wù)正常工作，應(yīng)對(duì)P2P流量進(jìn)行控制。要實(shí)現(xiàn)該功能，一般所選用的設(shè)備為流控設(shè)備，流控設(shè)備一般部署在被控流量區(qū)域的主干區(qū)域，應(yīng)采用串接方式接入網(wǎng)絡(luò)?！締栴}5】隨著網(wǎng)絡(luò)攻擊技術(shù)的發(fā)展，對(duì)安全技術(shù)提出了新的挑戰(zhàn)。防火墻技術(shù)和IDS自身具有的缺陷阻止了它們進(jìn)一步的發(fā)展。防火墻不能阻止內(nèi)部網(wǎng)絡(luò)的攻擊，對(duì)于網(wǎng)絡(luò)上流行的各種病毒也沒有很好的防御措施;IDS只能檢測(cè)入侵而不能實(shí)時(shí)地阻比攻擊，而且IDS具有較高的漏報(bào)和誤報(bào)率。在這種情況下入侵防御系統(tǒng)(IntrusionPreventionSystem，IPS)成了新一代的網(wǎng)絡(luò)安全技術(shù)。IPS提供主動(dòng)、實(shí)時(shí)的防護(hù)，其設(shè)計(jì)旨在對(duì)網(wǎng)絡(luò)流量中的惡意數(shù)據(jù)包進(jìn)行檢測(cè)，對(duì)攻擊性的流量進(jìn)行自動(dòng)攔截，使它們無法造成損失。IPS如果檢測(cè)到攻擊企圖，就會(huì)自動(dòng)地將攻擊包丟掉或采取措施阻斷攻擊源，而不把攻擊流量放進(jìn)內(nèi)部網(wǎng)絡(luò)。IPS和IDS的部署方式不同。串接式部署是IPS和IDS區(qū)別的主要特征。IDS產(chǎn)品在網(wǎng)絡(luò)中是旁路式工作，IPS產(chǎn)品在網(wǎng)絡(luò)中是串接式工作。串接式工作保證所有網(wǎng)絡(luò)數(shù)據(jù)都經(jīng)過IPS設(shè)備，IPS檢測(cè)數(shù)據(jù)流中的惡意代碼，核對(duì)策略，在未轉(zhuǎn)發(fā)到服務(wù)器之前，將信息包或數(shù)據(jù)流攔截。由于是在線操作，因而能保證處理方法適當(dāng)而且可預(yù)知。IPS系統(tǒng)根據(jù)部署方式可以分為3類：基于主機(jī)的入侵防護(hù)(HIPS)、基于網(wǎng)絡(luò)的入侵防護(hù)(NIPS)、應(yīng)用入侵防護(hù)(AIP)。解析:[問答題]6.試題