网络规划师案例分析汇总

Caijxlinux
网规
2025-10-13
663热度
0评论

1、请按照网络安全等级保护第三级要求，为该企业规划安全区域边界层面的网络安全防范方案、简要说明方案中网络安全设备的部署规划（包括设备名称、部署区域、部署方式），并说明每个设备在网络安全防范体系中的作用。8 分

(1)在互联网出口/分支机构区域部署下一代防火墙（NGFW），串行部署，进行网络边界隔离。
(2)在核心交换机区域部署防火墙板卡，与核心交换机集成部署，进行办公区域隔离。
(3)在互联网出口区部署 IPS，串行部署，对进出网络的流量进行检查，能够立即阻断攻击流量，防止攻击渗透到企业内部网络。
(4)在核心交换区部署 IDS，旁路部署，对重点流量进行镜像检测分析。
(5)在互联网出口区域部署沙箱，旁路部署，对异常流量进行深入检测和分析。
(6)在互联网出口区域部署上网行为管理，串行部署，对用户访问互联网的异常行为进行阻断和记录。
(7)在服务器区域部署防毒墙、CAC、DLP，旁路部署，对病毒和垃圾邮件进行检测，并防止数据泄密。
(8)在互联网出口区域和核心交换区域部署日志审计系统，旁路部署，对进行网络和跨区域的流量和日志进行审计记录。
(9)在办公区域部署防火墙，串行部署，对进出办公区域的流量进行检测。
(10)在服务器区域部署 WAF 或防火墙，串行部署，进行区域边界隔离，对 WEB 服务进行防护，防止 WEB 应用程序被篡改或数据泄露。
(11)在服务器区域部署堡垒机，旁路部署，对运维操作进行审计，并禁止输入高危命令。
(12)在服务器区域部署漏扫系统，旁路部署，定期对系统进行漏洞扫描，并对漏洞及时修复。

2、在网络边界部署防火墙时，防火墙会默认划分Local、（1）、Untrust、DMZ四个安全区域，根据业务需要，管理员新建了一个名为Server的安全区域，优先级为90，这五个安全区域按照优先级从高到低的排序为（2）>（3）>（4）>（5）>（6）。6 分

(1)trust
(2)local
(3)server
(4)trust
(5)dmz
(6)untrust

3、以下为防火墙策略配置代码。

[FW] policy interzone trust untrust inbound

[FW-policy-interzone-trust-untrust-inbound] policy 1

[FW-policy-interzone-trust-untrust-inbound-1] policy service service-set https

[FW-policy-interzone-trust-untrust-inbound-1] action permit

[FW-policy-interzone-trust-untrust-inbound-1] policy 2

[FW-policy-interone-tust-untrust-inboud-2] policy service service-set icmp

[FW-policy-interone-tust-untrust-inbound-2]action deny

请简要说明上述策略配置代码的作用。3 分

配置安全策略，放行非信任区域(utrust)到信任区域(trust)的入方向(inbound)的 https 流量，拒绝 utrust 区域到 trust 的 imcp 流量。

4、该企业规划的VPN通道起点和终点分别为总部Router-1、分部Router-2的Internet接口，通过VPN通道传输的数据应进行加密保护，同时尽可能提升总部与分支之间VPN通道传输的效率。网络管理员老夏经过需求分析，可选的VPN技术有GRE VPN技术和IPSec VPN技术，结合题目请回答以下问题：

老夏进行了GRE与IPSec的优劣势分析，发现二者优缺点互补，将二者同时启用才能满足业务需求，请问将二者同时启用的VPN技术是（1）。

老夏规划IPSec的封装模式选择（2），对传输的IP报文进行保护的安全协议选择（3）。

在此场景下，IPSec通过ACL定义需要保护的数据流，参照以下地址规划表，则总部Router-1上配置ACL匹配的源地址为（4），目的地址（5）。10 分

(1)gre over ipsec
(2)传输模式
(3)ESP
(4)123.63.146.7/28
(5)210.5.75.3/27

GRE支持组播，明文传输，IPSec支持加密，但不支持组播，而题目需要跑OSPF，会有组播流量，所以需要将GRE和IPSec结合，即GRE over IPSec，一般很少用IPSec over GRE，这样也不能支持组播，因为IPSec已经加密了，GRE看不到里面的内容。

传输模式和隧道模式的区别如下：
（1）安全性不同：隧道模式下可以隐藏原始报文的IP地址、协议类型和端口，从而完整地对原始报文进行加密和验证。
（2）对性能的影响不同：隧道模式下生成了一个额外的IP头，因此会比传输模式占用更多的带宽资源。
（3）应用场景不同：传输模式主要应用于“主机-主机”或“主机-网关”之间的通信；隧道模式主要应用于“网关-网关”或“主机-网关”之间的通信。由于GRE封装时已经增加了一个公网IP头，而隧道模式跟传输模式相比又增加了一个新的公网IP头，从而使报文长度更长，效率低，题目要求尽可能提升传输效率，所以要采用传输模式。

IPSec 用于保护公网（Internet）上传输的流量（因为公网是 “非可信” 网络，需要加密 / 认证来保障数据安全）。因此，ACL 需要匹配的是公网层面的源 / 目的地址 （也就是隧道两端的公网 IP），而不是 GRE 隧道内部的私网地址。

5、在网络中配置OSPF时，网络管理员进行了优化操作，请回答以下问题：

为提高链路状态变化时OSPF的收敛速度，可在Router-1、Router-2、Core-1、Core-2上配置（6）与OSPF联动，可以快速检测链路状态，使得故障检测时间可以达到毫秒级。

管理员规划在Router-1、Router-2上为OSPF引入缺省路由，由OSPF将缺省路由通告全网。在Router-1、Router-2采用手动配置命令方式，配置完成后路由器将产生一个（7）LSA，并通告到全网，达到全网缺省路由学习的目的。

为提高OSPF的安全性，当用户接口启用OSPF时，可在用户接口上配置（8），防止非法设备接入用户网络与现网设备建立邻居关系，这也是防止路由环路的一种方法；同时启用OSPF的（9）认证，对本区域所有接口下的OSPF报文进行认证，防止非法设备与网络设备建立邻居关系。8 分

(6)BFD
(7)5 类
(8)静默接口
(9)区域认证

6、该企业计划对总部数据中心的Web业务进行IPv6改造升级。网络管理员对现网评估后规划在Router-1配置NAT64方式实现，通常该方式需要搭配（10）以起实现。已知NAT64前缀为：2001:CD:5:10A::/64，WEB服务器IPv4地址为：124.75.36.100，请问IPv6用户最终向该WEB服务器发起访问的IPv6地址为（11）。4 分

(10)DNS64
(11)2001:CD:5:10A::7C4B:2464

7、为保证企业内网安全，该企业计划启用网络准入认证方案，对所有接入网络的设备进行统一的认证和访问授权管理。已知现网设备支持的认证方式有PPPoE、802.1x、MAC认证和Web认证。请针对以下场景选择合适的认证方式，同时保证不为业务带来额外的开销。3 分

企业内生产部门、研发部门等人员集中、信息安全要求严格的区域，设备接入网络需进行（12）认证。

针对企业会客厅、接待室、访客室等访客、临时人员可能停留的区域，开通访客网络进行（13）认证。

企业中还存在打印机、传真机、智能门锁等设备，此类设备入网可采用（14）认证。

(12)802.1x
(13)web
(14)mac

8、【说明】某物流企业网络如图3-1所示。物流监控中心负责货运调度。货运车辆通过接收GPS信息，将车辆信息及其状况发回物流监控中心。仓储中心的AGV（Automated Guided Vehicle）、AMR（Automated Mobile Robot）等通过Wi-Fi接收指令进行自动化运行。

请从实际运营的角度，对图3-1所示的物流企业网络需要配置的软件（平台）、硬件设备进行规划，列出主要软件或平台、硬件名称及实现功能。10 分

一、感知层
（1）智能AMR和AGV设备，根据后台下发的指令自动化运行，完成货物搬运和安放。
（2）车辆运行状态采集设备（含GPS模组），采集车辆的运行时速、位置、驾驶员状态等信息。
二、传输层
（1）Wi-Fi系统：包括AP、AC和PoE交换机等设备，为仓储中心智能设备提供无线接入服务。
（2）GPS模组：通过卫星传送位置信息（购买服务即可）。
（3）4G/5G网络：配置4G/5G流量卡，通过运营商网络传输车辆状态信息。
三、应用层
（1）硬件：服务器、存储、交换机、防火墙、管理PC等硬件设备。
（2）软件平台
① 仓储管理平台：对货物出入口、堆存、保管、保养、维护等进行管理。
② 物流监控平台：权衡运输服务和运输成本，对运费，运输时间，频度，运输能力，货物的安全性，时间的准确性，适用性，伸缩性等综合分析和评估，并进行货运调度（题干已知的写上去）。
③ PLC控制服务器：安装工控平台，实现前端AMR和AGV的智能控制。
④ 运维审计平台：对用户登录和权限进行统一管理，并审计用户操作。

9、AGV 使用的无线 WI-FI 网络规划设计有哪些要求。10 分

(1)信号无盲区：确保仓储中心、生产车间等 AGV 运行的所有区域实现 Wi-Fi 信号无缝覆盖，避免出现信号盲区
(2)信号具有足够强度：AGV 运行过程中，接收的 Wi-Fi 信号强度需满足通信要求，一般信号强度需保持在 -70dBm 以上，S/N > 30dbm 以确保数据稳定传输。
(3)抗干扰：信道应该与其他网络信号信道交错，避免同频干扰。同时调整 AP 功率，控制合适的重叠区域。物流环境中可能存在多种干扰源，如叉车、大型机械设备等，Wi-Fi 网络要具备较强抗干扰能力。可选用 5GHz 频段减少同频干扰，或采用 Mesh 组网技术，当某一节点受到干扰时，数据可通过其他路径传输。
(4)漫游切换：当 AGV 在不同 AP（接入点）覆盖区域间移动时，要实现快速、无缝的漫游切换，切换时间通常需控制在 50ms 以内，保证通信不中断，避免影响 AGV 正常作业。
(5)容量支持：如果仓储中心或车间内有多台 AGV 同时运行，Wi-Fi 网络要能支持多台设备同时接入且稳定工作。单个 AP 至少应能支持 30 - 50 台 AGV 的并发接入，避免因接入设备过多导致网络拥塞。
(6)带宽保障：AGV 运行过程中，除接收基本运行指令外，可能还会传输设备状态信息、视觉图像信息（如配备视觉识别功能）等。这要求 Wi-Fi 网络能提供足够带宽，一般每台 AGV 需保障至少 1 - 5Mbps 的稳定带宽，以满足数据传输需求。
(7)故障监测与恢复:部署网络管理系统，实时监测 Wi-Fi 网络状态，一旦发现故障（如 AP 掉线、信号异常），能及时报警并自动尝试恢复，减少 AGV 因网络故障导致的停机时间
(8)加密认证:为防止 AGV 控制指令被窃取或篡改，Wi-Fi 网络需采用 WPA2 或更高级别的加密方式，对网络进行身份认证，如 802.1x 认证，确保只有授权的 AGV 设备才能接入网络。
(9)访问控制:设置严格的访问控制策略，限定 AGV 只能访问特定的服务器和控制终端，防止非法设备接入网络后对 AGV 进行恶意控制，保障物流作业安全。

10、简要说明 5G 在提升物流网络效能方面发挥的作用。5 分

(1)车辆智能调度：5G 的高速率和低时延性，能让货运车辆信息精准回传，精准调度车辆，规划最优路线，减少运输时间和成本，提高运输效率。
(2)提高物流效率。5G技术具有高速度和低时延的特点，这使得智慧物流的数据传输速度更快，稳定性更高。这为智慧物流中的各种应用场景，如智能配送、智能仓储、智能运输等提供了更精准、更高效的数据支持和服务。
(3)改善服务质量：提供端到端的监控覆盖、物流跟踪以及盗窃防范等功能。
(4)供应链协同：5G 使物流企业与上下游供应商、客户之间的信息交互更加及时、顺畅。例如，生产企业可以实时了解原材料的物流运输状态，提前安排生产计划；客户能实时查询货物的配送进度，合理安排接货时间 。这有助于整个供应链的协同运作，提高供应链的响应速度和灵活性。
(5)远程监控与管理：借助 5G 网络，物流企业管理人员可以通过高清视频对物流园区、仓库、运输车辆等进行远程实时监控。比如，在发生突发事件时，能及时做出决策和指挥调度；还可以远程对设备进行故障诊断和维护，减少现场运维人员的投入，提高管理效率。
(6)物联网应用拓展：5G 的大连接特性能够满足物流领域大量物联网设备的接入需求，如智能标签、智能包装等。这些设备可以实时采集货物的位置、温度、湿度、震动等信息，实现对货物全生命周期的实时监控和管理，进一步提升物流服务质量。

11、【说明】某大型制造企业计划建设“F5G全光工厂”，以支撑智能制造和数字化转型。工厂原有的千兆有线+Wi-Fi网络已难以满足高清视频检测、机器人协作、AGV（自动导引车）、工业物联网传感器和云MES系统的需求。企业在新规划中，结合国家“新型工业化”和“东数西算”战略，决定引入F5G（第五代固定网络）全光方案，通过FTTR（光纤到房间/车间）、无源光网络（PON）、TSN（时间敏感网络）与IPv6部署，实现低时延、高可靠、易扩展的工业通信网络。规划网络架构如图1-1所示。

请分析传统工厂网络面临的主要瓶颈，并说明F5G全光网络在带宽、时延和可靠性上的优势。6 分

传统工厂网络主要瓶颈
(1)带宽不足：传统千兆有线+WIFI 网络，对于高清视频检测、工业互联网传感器大量数据传输以及机器人协作的高带宽需求，难以提供足够的带宽支持，容易出现网络拥堵，导致数据传输慢，视频卡顿等问题。
(2)时延高：在机器人协作、AGV 自动导引等对实时性要求高的场景中，传统网络的延时较高，会影响设备之间的协同操作，可能导致生产流程出现误差或延迟，降低生产效率。
(3)可靠性差：传统网络的设备连接和传输环节可能存在较多的故障点，且在应对复杂的工业环境（如电磁干扰、粉尘等）时，稳定性不足，容易出现网络中断，影响工厂的正常生产运营。
(4)传输距离受限：双绞线物理传输距离小于 100m，跨厂房需多级有源设备，链路复杂、维护困难。
F5G 全光网络的优势
(1)带宽高：基于 XGS‑PON/50G‑PON 与 FTTR，单PON可达10G/50G，相比传统网络，能够提供更大的带宽容量，可轻松满足高清视频检测、工业互联网传感器和云 MES 系统对高带宽的需求，支持大量数据的快速、稳定传输。
(2)时延低：低时延能有效减少数据传输的延迟，保障机器人协作、AGV 自动导引等实时性要求高的应用场景中设备的快速响应和协同操作，提升生产的实时性和效率。
(3)可靠性高：采用 PON 等技术，减少了有源设备的使用，降低了故障发生的概率。同时，光纤传输受电磁干扰等外界因素影响小，网络的稳定性高，能为工厂生产提供更可靠的网络支持，减少因网络故障导致的生产中断。

请简要说明在本项目需求分析阶段，连接WAN侧（运营商互联）需要收集和分析哪些内容？（至少回答4点）4 分

(1)运营商资源与接入方式：收集可合作运营商的类型（如电信、联通、移动等）、支持的 WAN 接入技术（如 SD-WAN、MPLS VPN、专线（如 OTN/SDH）、互联网专线），以及不同接入方式的覆盖范围、开通周期、物理链路部署条件（如光纤是否已到机房、无线信号强度），分析哪种接入方式适配项目业务场景（如是否需低时延、高可靠）。
(2)带宽与业务流量需求：统计项目各类业务（如核心数据传输、机器人协同、机械控制）的带宽需求，包括平均带宽、峰值带宽、带宽增长趋势（如未来 1-3 年业务扩容需求）；分析流量特征（如上行 / 下行流量占比、流量峰值时段、是否有突发流量），确保 WAN 侧带宽配置能满足业务实时传输需求，避免拥堵。
(3)网络可靠性与冗余要求：收集业务对 WAN 连接的可靠性指标要求（如全年可用性需达到 99.99%），分析是否需部署冗余链路（如双运营商、双接入方式备份）；明确故障切换机制需求（如自动切换、切换时延要求），同时确认运营商是否提供链路冗余保障服务（如链路中断后的恢复时效、SLA 服务等级协议）。
(4)网络安全与合规要求：收集项目所属行业的合规标准（如制造行业的等保三级、数据跨境传输规范），分析 WAN 侧需部署的安全措施（如防火墙、VPN 加密、入侵检测 / 防御系统（IDS/IPS））；确认运营商是否提供安全增值服务（如 DDoS 防护、域名过滤），以及数据传输过程中的加密协议需求（如 IPsec、TLS），保障 WAN 侧数据传输安全。
(5)成本与运维管理需求（补充，可选）：收集不同运营商的资费标准（如带宽月租、初装费、冗余链路额外成本），分析成本与业务价值的平衡；确认运维责任划分（如运营商负责链路维护、我方负责设备管理），以及是否需对接运营商的运维监控平台，实现 WAN 链路状态的实时可视化管理。

如图1-1所示，工业ONU和园区ONU产品和规划有什么区别？4 分

产品特性
(1)工业 ONU 设计时会充分考虑工业环境的严苛性，能在高温、低温、粉尘、强磁干扰、震动的恶劣环境下稳定工作。园区 ONU 主要应用于园区内等相对温和的环境下，对极端环境的适应性相对较低。
(2)工业 ONU 会设计双电源、双上行等冗余措施，确保部分组件故障时，设备仍能正常运行，园区 ONU 在冗余设计和抗干扰设计的要求没有那么严苛。
(3)工业 ONU 面向传感器、PLC/机器人、工业相机，强调微秒级同步与网络隔离；园区ONU面向安防与办公，强调语音/视频/上网与便捷运维。
(4)工业 ONU除了常见的以太网接口外， 为了适配工业设备， 还会配备多种工业通信接口， 如 RS-232、RS-485、CAN 总线接口等， 方便与工业传感器、控制器等设备进行连接。园区 ONU 以以太网接口为主。
规划
(1)工业 ONU 根据工业生产的布局和设备分布进行规划，通常会部署在车间内靠近工业设备的位置，以减少网络传输距离， 降低时延。园区 ONU 一般根据园区的建筑布局、用户分布和网络覆盖需求进行部署，会设置在园区内的弱电间、机房或楼层配线间等位置。
(2)工业 ONU 主要承载工业生产相关业务， 如机器设备的远程控制、生产数据采集与监控等，对网络的安全性、实时性和精准性要求极高。在管理上， 会与工业控制系统紧密结合，纳入工业网络管理平台进行统一管理，确保工业生产的稳定运行。园区 ONU 承载园区内的办公、安防、访客网络等多种业务，管理上更注重用户权限管理、带宽分配和网络服务质量的保障。

工业 ONU 配置双接口，采用 TypeC 保护主干和分支光纤线路；园区 ONU 配置单接口，采用 TypeB 保护主干光纤链路。

在等保2.0与工控安全要求下，企业如何在全光工厂中实现安全防护？请从网络隔离、身份认证、加密传输和入侵检测等方面提出合理的规划设计方案。8 分

网络隔离
(1)生产控制网、安防网、办公网三网分离，在OLT设备上通过VRF+VLAN实现逻辑隔离，关键产线独占PON端口。
(2)在OLT 设备、核心交换机及安全区域边界部署安全设备，如防火墙、网闸实现物理和逻辑的双重隔离，制定精细化的访问策略，同时禁用不必要的端口，确保生产网不受外网攻击。
身份认证
(1)网络准入采用802.1X认证，为每个设备颁发唯一的 X.509 证书，不支持的工控设备使用MAC地址绑定+设备白名单。同时对接企业级 CA 认证中心，实现证书的统一发放、吊销与管理。
(2)对运维人员、管理人员的网络访问采用多因素认证（MFA）+ 最小权限策略，运维人员只能通过堡垒机进行接入。
(3)全光网络的 OLT 与 ONU 之间采用GPON/EPON 协议自带的加密认证机制（如 GPON 的 AES-128 加密），同时在 OLT 侧配置 “PON 口接入认证”，仅允许已注册的 ONU 设备接入，防止非法 ONU 私接光链路窃取数据或发起攻击。
加密传输
(1)跨网络边界通信采用IPsec VPN，支持国密SM2/SM4算法。
(2)设备管理采用SSH、SNMPv3等安全协议，禁用明文传输。
(3)PTP 安全配置防劫持。
入侵检测
(1)在核心生产区与监控运维区的边界、OLT 设备出口处部署工业专用 IDS/IPS，能针对工控协议进行深度分析，异常流量制定检测规则。支持对工业设备的 “正常行为基线” 学习（如 PLC 的常规指令频率、传感器数据的正常波动范围），当检测到偏离基线的行为时（如非授权设备向 PLC 下发停机指令），立即触发告警并阻断攻击流量。
(2)利用全光网络管理平台的 “光链路诊断” 功能，实时监测 OLT 与 ONU 之间的光功率、误码率、链路连接状态，当发现光功率异常（如分光器被非法接入导致光功率骤降）、ONU 异常离线时，立即推送告警至运维平台；同时对接网络流量分析（NTA）系统，监控各安全域的流量特征，识别隐藏的异常通信（如办公区设备向核心生产区的异常数据传输）。
(3)建立安全运营中心(SOC)，集中收集分析安全日志，实现7×24小时安全监控,制定应急预案，当发生严重入侵事件时（如核心生产区被攻击），隔离受攻击的 ONU 网段，同时启动备份链路保障关键生产业务不中断；事后留存完整的日志与告警数据，用于攻击溯源与安全审计。

从改造成本、改造影响范围以及技术先行性维度考量，建议企业IPv6改造应遵循哪些原则？3 分

改造成本
(1)优先选择低成本、易落地的过渡技术（如 NAT64/DNS64），避免一次性大规模替换硬件设备。
(2)利用现有设备的IPv6升级能力，通过软件升级替代硬件更换。
改造影响范围
(1)采用 “业务不中断” 的改造策略，优先在非核心业务时段（如夜间、节假日）实施改造，避免影响生产、办公等关键业务。优先改造核心设备，核心设备是IPv6路由和转发的关键节点，必须具备完整的IPv6能力才能支撑全网IPv6业务。
(2)优先选择兼容 IPv4/IPv6 双栈的方案，允许双协议栈并行运行，确保改造期间 IPv4 业务正常访问，降低业务中断风险。需要制定可靠的回滚方案。
技术先行性
(1)优先采用符合行业标准、具备长期扩展性的技术（如双栈技术、SLACC 无状态地址配置），避免选用过渡性强、未来易淘汰的方案。
(2)兼顾现有 IT 架构兼容性，确保改造后的 IPv6 网络能与现有运维平台（如监控系统、安全设备）对接，无需额外重构运维体系，保障技术落地可行性。

(1)经济可行:应结合当前企业网络系统情况，从全局角度出发选择合适的 IPv6 开级演进方案，合理利旧，避免资产浪费。
(2)平滑演进：IPv6 网络升级改造是基础协议的变更，网络演进过程应尽量确保现有用户无感知，现有业务迁移平滑。
(3)面向未来：把握 IPv6 演进升级机会，构建先进的下一代企业 IPv6 网络系统架构，以充分支撑企业业务系统的长期发展以及稳定运行，避免网络再造、重复投资。
(4)架构调优：企业网络 IPv6演进是企业系统管理架构整体刷新或者重构的机会，如企业地址的管控（有状态 DHCPv6 和无状态）、DNS 资源的统筹管理（A和AAAA记录）、IPv6 路由协议、服务器操作系统、数据库系统、Web 网站、网管系统等。

12、【说明】某企业数据中心计划进行升级改造，现网拓扑如图2-1所示，通过Spine-Leaf组网，构建数据交换矩阵。

进行数据中心规划设计之前，需要进行调研，了解哪些建设需求？（包含功能性需求、非功能性需求和其他需求）10 分

功能性需求
(1)业务系统需求：明确数据中心需承载的业务类型（如核心业务系统、数据库系统、Web 服务、虚拟化平台等），各业务的部署位置、交互关系及对网络、计算、存储资源的需求，未来3-5年的容量规划、水平/垂直扩展能力。
(2)网络功能需求：确定网络架构（如 Spine - Leaf 的层级、各层设备功能）、网络服务需求（如负载均衡、防火墙、VPN 等安全与优化功能）、网络分区（生产区、测试区、办公区等）及各分区的访问控制策略、收敛比。
(3)计算资源需求：统计物理服务器、虚拟化服务器的数量、规格（CPU、内存、存储等），以及服务器的部署方式（机架布局、供电散热需求）。
(4)存储资源需求：明确存储架构（SAN、NAS、分布式存储等）、存储容量、性能（IOPS、带宽）要求，以及数据备份、容灾策略对存储的需求。
非功能性需求
(1)安全性需求：安全防护等级（如等保 2.0 要求）、数据加密需求、入侵检测与防御、访问控制、日志审计等安全措施的需求。
(2)可靠性管理：系统的可用性目标（如 99.99%）、冗余设计要求（设备冗余、链路冗余）、故障恢复时间（RTO）和数据丢失量（RPO）等容灾相关指标。以及监控告警、自动化运维、故障处理流程。
(3)机房环境：供电容量、制冷能力、机柜空间、网络布线。
(4)预算约束：建设预算、运营成本、投资回报周期。
其他需求
(1)运维管理标准:运维工具的需求（如网络管理平台、服务器监控系统）、运维流程规范、人员技能要求等。
(2)成本需求：项目预算限制，包括设备厂商偏好、设备采购、部署实施、运维管理等各阶段的成本控制目标。

数据中心网络进行路由规划时，通常采用（1）、BGP等协议，构建底层underlay网络，可以通过（2）和（3）等方法，加速路由收敛。然后，通过（4）按需构建overlay网络，此过程一般需要将（5）设备配置为路由反射器。5分

(1)OSPF/IS-IS
(2)-（3）
配置 OSPF 与 BFD 联动
配置 OSPF 路由计算时间间隔
调证 Hello/Dead 时间间隔
调整 OSPF 接口类型为 P2P
(4)BGP EVPN
(5)Spine

该数据中心有4排机柜，每排机架上共有10台TOR交换机需要连接到Spine交换机，每台TOR交换机万兆下行，并通过2个40GE接口接入到Spine层设备，服务器通过光纤接入到对应TOR。

本项目供选设备如下，TOR交换机建议采用设备型号为（1），此时Leaf节点规划设计收敛比为（2）。若Spine交换机采用CE8855-48CQ4BQ，且每台配置4个200G连接至Bord-Leaf，若要满足此节点1:1收敛比，需要配置（3）台Spine。6分

交换机型号	描述
S6730-H48X6C	48个万兆SFP+，6个40GE QSFP28光接口
CE6850-48S6Q-H	48个万兆SFP+，6个40GE QSFP28光接口
CE6857F-48T6CQ	48个万兆电口，6个40/100GE QSFP28光接口
CE6885L-48YS8CQ	48个25GE光口，8个40/100GE QSFP28光接口
CE8855-48CQ4BQ	48个40/100GE光口 + 4个200GE光接口

(1)CE6850-48S6Q-H
关键信息：万兆、光纤、7 系列是园区网、3 系列是运营商集中采购、8 系列是数据中心
(2)6:1
(3)4 台
Leaf 节点上行：4 排机柜*10 台 TOR*每台 TOR 配置 2 个40G 上行=3200G
Spine 下行带宽=Leaf 上行带宽=3200G=1:1 收敛比

简要论述堆叠和M-LAG组网的优缺点。4分

(1)堆叠可让多台交换机视为单一设备，方便管理，可形成高带宽的堆叠链路，提升系统的带宽容量，当主交换机出现故障时，备用交换机可快速接管，实现控制平面的无缝切换，保障网络业务不中断。
(2)堆叠通常只支持同厂商同型号的设备堆叠，存在厂商绑定。虽然控制平面有冗余，但堆叠卡或堆叠线缆的故障，会影响整个堆叠系统的运行。升级堆叠软件，可能需要重启整个堆叠系统，导致网络出现短暂中断。
(3)M-LAG 支持不同厂商的设备互联，避免厂商锁定。单台设备出现故障，流量可快速切换。支持单台设备升级。
(4)M-LAG配置复杂，对维护人员要求高，需要额外的链路资源，如心跳链路和冗余的互联链路，增加了网络建设和维护的成本。

(1)堆叠可以实现设备多虚一，简化网络管理；M-LAG 依旧是管理单台设备，配置管理比较复杂；
(2)堆叠统一配置层面后，可靠性风险高；M-LAG 是独立设备，可靠性更高。
(3)堆叠是私钥技术，不支持跨厂商设备；M-LAG 是共有技术，可跨厂商支持。
(4)堆叠升级系统时，会有业务中断；M-LAG 系统升级不会中断业务。

13、案例一：最近学校师生反馈，教务系统访问速度很慢，经常登录不上去。工程师小夏经过排查发现，该服务器访问量并不大，但CPU利用率却经常高达100%。分析设备近期日志发现有大量针对TCP 22端口的访问流量，且日志中大部分显示failed。另外，当前网络连接中存在可疑IP地址43.129.150.140，分析结果如下：

案例二：小王通过域名访问单位文件服务器，总是跳转到小鸟壁纸官网，通过IP直接访问则正常，其他用户不存在这个问题。另外，最近大量用户反馈，文件服务器资源不能正常读取，查看文件夹目录显示如下图所示。

请分析案例一中受到哪些网络攻击？（至少回答2种）

(1)SSH 暴力破解攻击
(2)挖矿木马

针对案例一中受到的网络攻击，提出相应的防护措施。（至少回答2种）6 分

(1)修改 SSH 服务的默认端口 22 为其他不常用的端口，减少攻击者的扫描和攻击目标。
(2)配置强认证机制，启用 SSH 的公钥认证和启用最小权限原则，设置复杂的密码策略，定期更换密码，提供登录的安全性
(3)结合威胁情报平台，及时获取恶意 IP 的信息，对已知的恶意 IP 进行批量封禁。
(4)部署 IDS/IPS 设备，对服务器流量和行为进行实时监控，及时发现和阻断异常的流量。
(5)定时漏扫，修复已知的安全漏洞，减少攻击者可利用的入口。

请分析案例二中受到哪些网络攻击？（至少回答2种）

(1)域名劫持攻击 勒索病毒
(2)恶意木马攻击与文件篡改/感染

针对案例二中受到的网络攻击，提出相应的防护措施。（至少回答2种）8 分

(1)检查与修复本地的 hosts 文件，查看是否有指向小鸟壁纸的非法条目，若有则删除，并清理当前的 DNS 缓存。
(2)使用安全可靠的 DNS 服务器，如 8.8.8.8 或 223.5.5.5，避免使用被污染或者恶意的 DNS 服务器，保证域名解析的准确性。
(3)对被感染的主机进行网络隔离，避免横向感染，并使用专业的杀毒软件进行全盘扫描，检测并清除恶意软件，防止其进一步破坏系统和文件。
(4)检查文件服务器和相关设备的操作系统、应用程序是否存在漏洞，及时安装官方发布的补丁进行修复，对文件服务器进行安全加固，如设置复杂密码，关闭不必要的端口和服务，降低被恶意软件入侵的风险。
(5)使用杀毒软件进行查杀，定期备份关键数据。

某政务网站计划部署于当地政务云，按照等保2.0相关规定，信息安全等级原则上不低于几级？如何基于安全通信网络进行规划设计？6 分

按照等保2.0规定，政务网站的信息安全等级原则上不低于二级。
在安全通信网络设计上，应：
（1）实行网络分区与安全域划分，内外网隔离；
（2）部署防火墙、入侵防御、WAF等安全边界防护；
（3）采用VPN或SSL/TLS等安全通信加密技术；
（4）加强访问控制与身份认证；
（5）建设安全审计与日志集中管理；
（6）配置抗DDoS、防病毒及链路冗余，确保政务云网站安全与可靠运行。

1. 网络分层隔离，划分安全域
政务云内部分区：将政务网站部署环境划分为 “互联网接入区、Web 服务区、应用服务区、数据库区”，各区域通过政务云自带的虚拟防火墙、安全组实现逻辑隔离；其中，Web 服务区与数据库区之间设置 “单向访问控制”（仅允许应用服务区向数据库区发起查询 / 写入请求，禁止数据库区主动对外通信）。
跨网络边界隔离：政务网站与政务云外网络（如互联网、其他政务系统）的通信，需通过 “政务云边界防火墙 + 网闸” 双重防护；互联网用户访问政务网站时，流量需先经过云边界的 WAF（Web 应用防火墙）过滤，再进入 Web 服务区，阻断 SQL 注入、XSS 等常见攻击。
2. 全链路传输加密，保障数据机密性
外部访问加密：强制要求政务网站采用 HTTPS 协议（配置 SSL/TLS 1.2 及以上版本证书），对互联网用户与 Web 服务器之间的通信数据（如用户登录信息、政务办理数据）进行加密，避免数据被窃听或篡改；证书需通过国家认可的 CA 机构颁发，并定期更新。
云内通信加密：政务网站各层级（Web 服务 - 应用服务 - 数据库）之间的内部通信，采用 “虚拟专用通道” 加密（如政务云提供的 VPC 专线、IPsec VPN），或在应用层采用 API 加密（如 HTTPS、国密算法 SM4），防止云内数据在传输过程中被窃取。
3. 精细化访问控制，限制非法接入
边界访问控制：在政务云边界防火墙配置 “基于 IP、端口、协议的访问控制规则”，仅开放政务网站必需的端口（如 80/443 端口），禁用不必要的端口（如 22、3389 等远程管理端口）；对来源 IP 进行过滤，仅允许合法用户（如公众用户、政务工作人员）的 IP 段访问。
内部访问控制：政务工作人员通过内部网络访问政务网站后台（如内容管理系统、数据库）时，需采用 “多因素认证（MFA）+VPN” 双重验证，结合 RBAC（基于角色的访问控制）模型分配权限（如编辑仅能修改内容，管理员才能配置系统），杜绝越权访问。
4. 实时安全监测，及时发现异常
流量监测与审计：在政务云边界、Web 服务区部署 “网络流量分析（NTA）设备” 和 “日志审计系统”，实时监测通信流量特征（如异常连接数、大流量传输），记录用户访问日志（含访问 IP、操作行为、时间戳），日志留存时间不低于 6 个月（符合等保 2.0 审计要求）。
异常告警与响应：配置自动化告警机制，当检测到 “异常 IP 频繁访问、HTTPS 证书异常、传输流量突增” 等风险时，立即向政务云运维团队推送告警；同时制定应急预案，若发现通信网络被攻击（如 DDoS 攻击），可快速触发 “流量清洗” 或 “链路切换”，保障政务网站不中断服务。

某单位业务系统定级为三级，根据相关建设要求，应配备（1），不可兼任。应针对系统变更、重要操作、物理访问和系统接入等事项建立审批程序，按照审批程序执行审批过程，对重要活动建立（2）制度。应加强与网络安全职能部门、各类供应商、（3）及安全组织的合作与沟通。应定期进行常规安全检查，检查内容包括系统日常运行、系统漏洞和（4）等情况。应对各类人员进行（5）和岗位技能培训，并告知相关的安全责任和惩戒措施。5 分

（1）专职安全管理员
（2）逐级审批
（3）业界专家
（4）数据备份
（5）安全意识教育

14、【说明】某学校校园网架构如图1-1所示，通过不同线缆完成各类设备接入，配置Wi-Fi7 AP实现校园网无线覆盖，同时配置网络分析器和自动化管理系统，实现高效的运维管理。

简要分析Wi-Fi7有哪些优势？中心AP与远端单元部署方案有哪些优点？6 分

WIFI7 优势
1、超高传输速率，满足8K 视频直播、VR/AR 教学、大规模文件秒传等高速需求。
2、更低延迟，通过 MLO 可在多个频段传输数据，减少传输卡顿。
3、多设备承载能力，可为更多终端提供稳定连接，避免高峰期网络拥堵。
4、抗干扰能力提升，利用 66GHz 频段的大带宽资源，减少与其他无线设备的干扰。

中心 AP 与远端单元部署方案的优点
1、覆盖灵活且无死角：中心 AP 通过远端单元（RU）可将无线信号延伸至大空间、多楼层或结构复杂的建筑（如教学楼、实验室），有效消除信号盲区，实现校园全域无线覆盖。
2、容量与性能提升：多个远端单元分担用户接入压力，每个 RU 负责特定区域的终端接入，大幅提升网络整体容量，可应对课间、大型活动等高密度用户并发场景。
3、部署与运维成本降低：中心 AP 集中部署，远端单元可根据场景灵活安装（如吊顶、墙面），减少布线复杂度；且故障排查、配置升级可集中在中心 AP 层面，运维效率更高。
4、统一管理与体验一致性：通过校园自动化管理系统（如 iMaster NCE-Campus）可对所有远端单元进行集中配置、监控，确保各区域无线参数一致，保障用户网络体验的统一性。
5、干扰控制更精准：远端单元的发射功率和覆盖范围可精准调控，减少同频干扰，提升无线信号质量，为师生提供稳定的 Wi-Fi 体验。

光电混合缆能解决什么问题？小行星方案具有哪些优势？4 分

光电混合缆能解决的问题
1、布线复杂度高的问题：传统布线需分别铺设光纤（传数据）和电缆（供电），光电混合缆将光信号传输（数据）与电信号传输（供电）整合在一根线缆中，大幅简化布线流程，减少线缆数量和施工空间。
2、供电与数据传输分离的痛点：对于部署在天花板、墙面等位置的 AP 设备，光电混合缆可通过一根线缆同时完成数据传输和设备供电（支持 PoE/PoE+），避免单独拉电源线的繁琐，尤其适合楼宇内部结构复杂、供电点位不足的场景。
3、施工与运维成本问题：减少线缆种类和布线工作量，降低材料采购、施工人力及后期维护的成本；同时，一体化线缆的故障点更少，便于快速排查和修复。

小行星方案的优点
1、部署灵活高效：设备体积小巧，可根据校园场景（如教室、宿舍、走廊）灵活安装在吊顶、墙面等位置，快速完成无线接入点的布局，适应校园内多样化的空间结构。
2、供电与传输一体化：依托光电混合缆，小行星设备可直接实现 “数据传输 + 供电” 一体化，无需额外部署电源插座或电源线，解决了校园部分区域供电点位不足的问题，也避免了电源线杂乱的隐患。
3、高密度场景适配性强：多个小行星设备可分散部署在同一区域（如大教室、图书馆），分担用户接入压力，提升无线覆盖的密度和并发能力，满足校园高密度用户（如课间、考试季）的网络需求。
4、运维管理便捷：设备结构简单、故障点少，结合校园自动化管理系统（如 iMaster NCE-Campus）可实现集中配置、监控和故障排查，大幅降低运维难度和人力成本。
5、成本控制优化：小型化设计降低了设备采购成本，同时简化的布线和运维流程也减少了整体项目的实施成本，适合校园大规模无线覆盖的场景。

校园网计划进行F5G升级改造，需要引入哪些设备和组件？若要通过DBA对校园网上网、VoIP、网络直播课、视频监控等业务进行带宽保障，分析业务对时延和带宽的需求，并配置适当DBA带宽策略。8 分

校园网 F5G 升级改造需引入的设备和组件
1、光线路终端（OLT）：部署于校园核心机房，作为 F5G 网络的核心汇聚设备，提供光信号的集中分发与管理，支持大带宽、多业务接入。
2、光网络单元（ONU）：根据场景分为盒式 ONU（部署于楼栋弱电间）和分布式 ONU（适配复杂空间布局），负责将光信号转换为电信号，为终端设备（如 AP、交换机、摄像头等）提供接入。
3、光纤基础设施：主干光纤：采用万兆多模 / 单模光纤，实现 OLT 与 ONU 之间的高速光传输。入户 / 入楼光纤：完成终端设备与 ONU 的最后一公里光接入，支持千兆到桌面 / 楼宇。
4、光分路器（ODN 组件）：用于将 OLT 的光信号分光到多个 ONU，常见分光比为 1:8、1:16 等，根据校园规模和接入密度选择，实现光纤资源的高效利用。
5、F5G 业务网关 / 路由器：具备高速转发、多业务承载能力，集成防火墙、QoS、DBA 等功能，实现校园网与外部网络的互联及业务策略管控。
6、运维管理平台：如华为 iMaster NCE 系列，支持 F5G 网络的设备配置、性能监控、故障诊断及自动化运维，保障网络高效管理。
6、终端设备：Wi-Fi 7 AP：结合 F5G 高带宽特性，实现校园无线全域高速覆盖。VoIP 终端（IP 电话）：支持语音业务的 F5G 接入，满足校园办公、应急通信需求。高清 / 4K 视频监控摄像头：支持光接入或高带宽电接入，实现校园安防的高清化、智能化。网络直播编码器：适配 F5G 高带宽，保障直播课的高清、低延迟传输。

需求与策略
1、VoIP对时延极敏感，需要小于 150ms，单路通话 64kbps。网络直播课对时延较敏感，需小于 200ms，1080P 直播需要 4-8Mbps，4K 直播需 15-25Mbps。上网业务与视频监控对时延不敏感，高峰期多用户并发千兆级别贷款，1080P 摄像头需 2-4Mbps，4K 摄像头需 8-12Mbps。

DBA（动态带宽分配）需基于业务优先级、时延敏感性、带宽需求进行差异化策略设计：
1、优先级排序：VoIP（最高）> 网络直播课（次高）> 上网业务（中等）> 视频监控（中等偏下）。
2、为 VoIP 的每路通话预留固定带宽，确保基础语音传输不受带宽波动影响，设置时延最高调度优先级。为网络直播课预留每门课 10Mbps 带宽，并支持动态调整，避免因带宽不足导致画面卡顿，时延设置次高调度优先级。上网业务设置最小保障带宽，空闲时可抢占其他业务多余贷款，满足高峰时多用户并发需求。视频监控业务设置最小保障带宽，空闲时带宽可被其他高优先级业务占用，高峰期保障基础监控传输。

该学校有一个异地分校，拟采用IPSec VPN技术实现两个校区互联，同时保证通信信息的完整性和机密性，采用的安全协议应该选择（1），如果分校没有固定公网IP地址，建议采用（2）模式。已知学校某部门IP为192.168.10.0/24，该部门可以访问互联网，同时可以访问分校服务器，在出口防火墙配置如下，补充完整。7 分

[FW-1] nat-policy
[FW-1-policy-nat] rule name EASY_IP
[FW-1-policy-nat-rule-EASY_IP]          source-zone trust
[FW-1-policy-nat-rule-EASY_IP]          destination-zone untrust
[FW-1-policy-nat-rule-EASY_IP]          source-address 192.168.10.0 24
[FW-1-policy-nat-rule-EASY_IP]          action （3）easy-ip
[FW-1] security-policy
[FW-1-policy-security] rule name IN_TO_OUT
[FW-1-policy-security-rule-IN_TO_OUT]           source-zone trust
[FW-1-policy-security-rule-IN_TO_OUT]           destination-zone untrust
[FW-1-policy-security-rule-IN_TO_OUT]           action （4）
[FW-1-policy-security-rule-IN_TO_OUT]           quit
[FW-1-policy-security] rule name OUT_TO_LOCAL
[FW-1-policy-security-rule-OUT_TO_LOCAL]            service protocol （5）             //放行AH流量
[FW-1-policy-security-rule-OUT_TO_LOCAL]            service protocol udp destination-port 500  //（6）

(1)隧道模式
(2)野蛮模式
(3)nat
(4)permit
(5)51
(6)放行 IKE 协议流量

【补充1】简述三层网络架构可能存在的问题？（不记分）

【补充2】简要分析该学校网络架构可能存在的问题，并给出优化方案。（不记分）

15、【说明】某数据中心物理连接和逻辑拓扑如图2-1所示

该网络布线方式是（1），有哪些优缺点？4 分

布线方式：ToR（Top‑of‑Rack，机架顶交换机），逻辑为 Leaf–Spine。
优点：机架内短链路、布线整洁；易扩展（加叶/脊横向扩容）；故障域小；服务器上行可用DAC/短跳线，成本低。  
缺点：交换机数量多，设备/能耗/运维开销高；机架内端口易闲置；上联需光模块与光纤成本高且要规划汇聚比；跨机架流量需经脊增加一跳，并常需MLAG/双归带来复杂度。

简述数据中心可以通过哪些方式提升数据中心网络层面可靠性。（至少写出3点）6 分

1、架构与设备冗余设计：采用Spine-Leaf 全互联架构，核心 Spine 设备、接入 Leaf 设备均冗余部署，且 Leaf 与多台 Spine 设备全互联。这种多路径设计可避免单点故障，保障流量在链路或设备故障时自动切换，满足数据中心 “7×24” 不间断运行的可靠性要求。同时，核心网络设备（如 Spine 交换机、防火墙）可采用双机热备或集群部署，进一步强化设备级冗余。
2、故障快速检测与恢复技术：部署 BFD，通过毫秒级的故障检测机制，快速发现链路或设备故障，触发网络协议（如 OSPF、BGP）或冗余机制（如 VRRP、ECMP）快速收敛，大幅缩短故障恢复时间。
3、链路冗余与聚合：对设备间的物理链路采用链路聚合（LACP）技术，将多条物理链路捆绑为逻辑链路，既提升带宽又实现链路冗余，某条链路故障时流量可自动切换至其他链路。部署冗余布线（如光纤或铜缆的双路备份），确保单条线缆故障时，备用线缆可立即承载流量，避免物理链路单点故障导致业务中断。
4、自动化运维与监控：实时监控设备状态、链路质量、流量异常等指标，配置自动化故障告警、流量调度策略（如基于流量负载的链路自动切换）。同时，结合日志分析和 AI 算法，提前预警潜在风险（如设备性能瓶颈、链路衰减），实现 “主动防御” 式的可靠性保障，降低人工运维失误对网络可靠性的影响。

规划Underlay网络采用BGP，需要开启（1）功能，实现ECMP。为了加快路由收敛，建议部署BGP与（2）联动。根据承担VTEP角色的设备形态的不同，VXLAN Overlay网络可以分为Network Overlay、（3）、（4）三种类型。L4-L7业务也被称为VAS（Value-added Service ）增值服务，本项目中由Firewall和LoadBalance提供的相关服务，可以提供（5）、（6）等功能。6 分

(1)BGP等价多路径
(2)BFD
(3)Host Overlay
(4)Edge Overlay
(5)访问控制
(6)负载均衡

本次项目存储网络建设中，拟用RoCE（以太网）替代FC，请从带宽、成本、可靠性、易用性、管理等几个方面分析他们的优劣势。6 分

带宽
1、RoCE基于以太网，10/25/40/100/200/400Gb、µs级时延（NIC offload，RoCEv2跨三层）；FC常见16/32/64G，时延稳定但速率阶梯慢、规模受限。
成本
1、RoCE 的整体拥有成本（TCO）显著更低。一方面，它可直接复用现有以太网基础设施（如办公网、业务网的交换机、线缆），无需单独部署专用存储网络，减少了硬件采购和布线成本；FC 需要购买全套专用设备，FC HBA 卡、FC 交换机、FC 光纤，并且 FC 网络无法复用 IP 网络资源。
可靠性
1、FC 的核心优势是原生存储级可靠性。作为专用存储协议架构，FC 网络的隔离性极强，不存在 IP 网络中的广播风暴、路由震荡等风险；且协议内置双活、多路径（MPIO）、链路冗余等机制。RoCE 的可靠性需通过额外技术配置实现。它基于通用以太网，默认存在广播域、冲突域等潜在风险，需通过 VLAN/VRF 划分存储流量隔离域，或部署 RoCEv2（支持跨网段路由）结合无损以太网技术（如 DCB 流量控制、QoS 优先级）避免数据包丢失。
易用性
1、RoCE基于以太网技术，运维人员无需学习专用 FC 协议，仅需掌握 IP 网络知识即可上手。FC 的易用性受限于专用属性。它需要专业的 FC 运维人员，设备封闭性强（如 FC 交换机仅支持 FC 协议），与 IP 网络融合需通过 FCIP 网关进行协议转换，兼容性差。
管理
1、RoCE 的管理效率更高。它可复用现有以太网管理工具（如 SNMP、SDN 控制器、Zabbix），无需专用管理平台，存储网络与 IP 网络能实现统一监控、配置和故障排查，减少跨平台运维成本；同时支持 Ansible 等自动化脚本，可适配混合 IT 环境的管理需求，提升运维效率。FC 的管理呈 “割裂状态”。它需要专用管理工具（如 Brocade Fabric OS 平台），与 IP 网络管理工具完全不兼容；存储网络的链路状态、交换机性能需单独监控，无法与业务网形成统一视图；故障排查时需使用 FC 专用命令（如 fabos 命令集），运维人员需在不同平台间切换，效率远低于 RoCE。

2024年，相关部门发布了《关于开展“网络去NAT”专项工作进一步深化IPv6部署应用的通知》，推进IPv6建设。如果采用隧道技术进行过渡，可以采用的隧道技术有哪些？某些特殊单位或特殊场景，即使部署了IPv6，也可能采用地址转换，这个技术叫什么？

隧道过渡可选：手工 6in4（IPv6-over-IPv4）、GRE 6in4、6to4、ISATAP、Teredo
特殊场景的地址转换：NAT66（即 NPTv6，IPv6 前缀转换；若为 IPv6 访问 IPv4 则用 NAT64/DNS64）

【补充1】某企业内部准备从IPv4向IPv6升级过渡，并实现外部主机可以访问内部Web服务器，可能需要采购哪些设备或服务？

【补充2】简述服务器虚拟化的价值。

16、阅读以下说明，回答问题1至问题3，将解答填入对应的解答栏内。
事件一：某单位数据库系统访问异常缓慢，工程师老夏经排查发现大量如下日志：

2025-10-23T02:14:05 10.0.0.5 "GET /index.php?cmd=whoami HTTP/1.1" 200 512 "-" "Mozilla/5.0"

2025-10-23T02:15:02 10.0.0.5 "POST /login username=guest' OR '1'='1 password=yyy"

事件二：进行等保建设中，工程师小王认为核心交换机非常重要，应该定级为三级等保，并书写材料，到相关部门进行了备案。

（1）请分析案例一中数据库受到了什么网络攻击？（至少回答2种）

（2）针对案例一中受到的网络攻击，提出相应的防护措施。（至少回答2种）

(1)SQL注入和命令注入
(2)针对命令注入：输入严格过滤与危险函数禁用。针对 SQL 注入：参数化查询与 SQL 审计。通用防护：Web 应用防火墙（WAF）与日志实时审计。最小化权限原则，WEB 与 DB 分权。

（1）小王的操作是否合理？为什么？（4分）

（2）根据等保2.0建设安全管理中心，可以部署哪些设备，分别实现什么功能？（4分）

(1) 不合理。等保定级对象是“信息系统”整体，按业务/数据的重要性与受损影响定级，经主管部门确定并向公安备案；单台设备（如核心交换机）不能独立定级，只随所属系统等级落实要求。  
(2) 安全管理中心：态势感知/SIEM/日志审计平台—集中采集日志、关联分析告警与留存报表；运维堡垒机—统一运维入口、账号授权/审批、命令与会话审计回放。  
(3) 统一身份与CA（IAM/AD/PKI/MFA）—账户生命周期、SSO、证书与多因素；漏洞与配置合规平台—漏洞扫描、基线检查、补丁与配置合规、资产台账与风险评估。

该单位系统规划为三级等保，根据等保2.0中安全管理部分的要求，需要进行安全建设管理，定级和备案应将备案材料报（1）备案；应组织相关部门和有关安全专家对安全整体规划及其配套文件的合理性和正确性进行（2），经过批准后才能正式实施；应在发生重大变更或级别发生变化时进行（3）；应定期对系统相关的人员进行应急预案培训，并进行应急预案的（4）。

(1)公安机关
(2)评审
(3)重新定级备案
(4)演练

随着云计算与大数据发展，可以帮助客户网络管理员快速识别网络中潜在的安全威胁，并将安全态势直观的展现，使得客户可以轻松方便的掌握所有资产的安全情况，并自动或手动对安全威胁事件做安全响应，构筑安全网络。简述建设网络安全态势感知系统核心技术原理，需要购买哪些设备或系统。

核心原理：全网多源采集（日志/NetFlow/PCAP/主机与应用），标准化与资产归一；融合威胁情报，基于规则+关联分析+行为画像/UEBA+异常检测/机器学习建模，按杀伤链/ATT&CK溯源与风险评分，可视化呈现。  
响应闭环：SOAR编排与自动化处置（封禁IP/下发ACL、隔离终端、拉取取证、告警联动）。  
需采购/部署：旁路流量获取TAP或交换机镜像口、NTA/IDS/IPS探针，日志审计平台与Agent，主机安全HIDS/EDR，资产与漏洞扫描/合规平台，威胁情报平台/订阅，沙箱/蜜罐。  
中心平台：大数据存储与SIEM/态势感知平台+可视化大屏，SOAR平台并联动防火墙/WAF/负载均衡/网关等防护设备。

16、【说明】某高校两个校区相距30公里，通过互联网相连。两校区网络相互独立，并采用两套认证系统，管理维护较繁琐。现需要对校园网进行升级改造，将老校区网络作为一个子网通过线路A接入到新校区，与新校区有机融合到一起，实现统一的运营和管理。升级改造后校园网拓扑如图1-1所示。网络升级项目还包括对老校区网络两台核心交换机更新，设备订货配件如表1-1所示。

图1-1中，线路A可以用裸光纤或光纤专线。请简要说明这两种配置的特点和利弊。

裸光纤：一条纯净光纤线路，中间不经过任何交换机或路由器，只经过配线架或配线箱做光纤跳纤，可以理解成运营商仅仅提供一条物理线路。裸纤一般按距离收费，带宽由用户配置的交换机接口和光模块决定，可以灵活扩展。裸光纤底层没有安全保障机制，如果光纤被挖断，会出现网络中断。

光纤专线：由运营商控制带宽、协议和服务，用户仅需接入运营商提供的接口（如以太网口）。初期投入低，按带宽和时长付费，长期高带宽需求下费用较高。专线底层有环网等技术保障，即使出现部分线路被挖断，业务也不一定中断，可靠性更高。

（1）本案例中老校区核心交换机升级要考虑哪些因素？
（2）校园网拓扑图1-1规划了设备冗余，其实现技术分别有哪些？

与新校区的互联：确保与新校区通过线路A高效互联，端口配置需满足带宽需求,考虑未来拓展
向下兼容性：支持现有接入层交换机的接口类型和协议，平滑过渡
性能需求：处理能力、交换容量、转发性能需满足业务增长
冗余配置：采用双机或集群方式实现高可用，支持无缝故障转移
管理功能：支持VLAN划分、QoS、安全策略等管理需求
成本预算：设备采购、安装、培训等总体成本

链路冗余：
•  EtherChannel/LAG：多条物理链路绑定为逻辑链路，提高带宽和可靠性
•  RSTP（快速生成树协议）：实现链路冗余，故障自动切换，收敛时间快

设备冗余：
•  VRRP（虚拟路由冗余协议）：两台核心交换机共享虚拟IP，主机故障自动切换到备机
•  集群技术：多台交换机组成集群，统一管理和控制

其他冗余技术：
•  双上联：接入层交换机连接到两台核心交换机
•  跨域冗余：新老校区间多条链路并行
•  负载均衡：流量分散到多条链路，提高效率

（1）在配件编号2、3中配置的光纤模块SFP+、SFP的速率分别是多少？

（2）在配件编号4、5中配置A、B两块主控单元的目的是什么？

SFP+：万兆 SFP：千兆

配置双主控处理单元（A 和 B）是为了实现主控单元的冗余备份。当其中一块主控单元发生故障时，另一块可立即接管所有控制功能，确保核心设备（如核心交换机）的控制平面持续运行，避免因主控单元单点故障导致设备瘫痪，从而提升网络的可靠性和稳定性。

升级后的校园网实现统一运营和管理后，在技术层面上具备哪些功能？

1. 统一网络管理：支持多校区（新老校区）、多类型设备（核心、汇聚、接入层交换机，服务器等）的集中配置、监控与故障排查，通过统一管理平台实现设备状态可视化、配置模板化，提升运维效率。
2. 统一认证授权：集成认证系统，支持802.1X、Portal等多种认证方式，实现全校用户身份的统一管理与权限控制，保障网络访问的合规性与安全性。
3. 安全防护：通过具备防火墙、NAT功能的设备（配件6），实现访问控制（如基于IP、端口的策略）、网络地址转换（内外网地址映射）、入侵防御（阻断恶意流量），构建多层次安全防护体系。
4. 负载均衡与资源优化：借助负载均衡功能，对服务器集群的访问流量进行智能调度，提升资源利用率与服务响应速度，保障教学、科研等核心业务的稳定性。
5. 高可用性保障：核心层集群技术、双主控单元（配件4、5）、链路聚合等冗余设计，确保设备、链路故障时业务不中断；VRRP等协议实现网关冗余，提升网络可靠性。
6. 流量管理与QoS：支持流量识别与分类，对教学、办公、科研等不同业务流量进行优先级调度（QoS），保障关键应用的带宽需求；同时可实时监控网络流量，为带宽规划与故障定位提供数据支撑。
7. IPv4/IPv6双栈支持：满足IPv6部署要求，实现IPv4与IPv6网络的平滑过渡与互通，支持下一代互联网协议的业务拓展。
8. 自动化运维与审计：具备配置自动化下发、批量设备管理功能，减少人工操作失误；同时支持网络操作日志的集中审计，满足等保合规要求。
9. 网络虚拟化与隔离：通过VLAN、VPN等技术，实现不同部门、业务的网络逻辑隔离，保障数据隐私与业务独立性；支持远程接入（如VPN），满足师生移动办公需求。

【说明】某单位计划对园区网进行升级改造，为响应国家政策要求相关业务支持IPv6访问。园区网出口包括：1Gbps电信IPv4 、300Mbps移动IPv4和500Mbps电信IPv6。作为该单位网络管理员，结合单位需求进行了相关网络设计，拓扑如图2-1所示。

IPv6采用（1）位地址长度，在为终端分配IPv6地址时，动态分配方式包括（2）和（3）。

(1)128
(2)有状态地址配置
(3)无状态地址自动配置

为保证园区内用户正常稳定访问互联网，同时充分考虑出口链路的冗余，请简要描述出口链路的配置要点。

(1)出口防火墙配置NAT，让内网用户进行地址转换后，访问互联网。
(2)出口防火墙配置访问控制等安全策略，防止非法访问和攻击。
(3)出口防火墙配置基于目的地址的策略路由，实现稳定访问和负载均衡。 
1、分别通过ACL匹配不同运营商的目的地址。,配置流分类、流行为和流策略，并在接口上引用，实现访问电信的服务器走电信出口，其他出口作为备份；访问联通的服务器走联通出口，其他出口作为备份；访问IPv6的流量走IPv6出口，其他出口作为备份。
2、配置链路健康检查，BFD 和 ICMP echo 检测，实时监控出口链路的可达性，如果判定链路故障，自动切换出口线路。

网络规划中要考虑常见网络攻击的防护，请简要描述二层网络中可能面临的攻击（至少三种）。

(1)ARP 欺骗：指攻击者发送虚假 ARP 应答，伪造 IP 与 MAC 地址的映射关系，劫持目标设备的流量，导致通信中断或数据被窃取。
(2)ARP 泛洪：攻击者发送大量伪造 ARP 包，填满交换机 MAC 地址表，使交换机无法正常学习合法设备的 MAC - 端口映射，引发网络通信异常。
(3)MAC 泛洪攻击：攻击者向交换机发送大量携带伪造 MAC 地址的以太网帧，耗尽交换机 MAC 地址表资源。当表项饱和后，交换机将所有帧广播到所有端口（泛洪模式），攻击者可通过监听端口捕获全网流量，同时严重消耗设备资源，影响正常转发。
(4)VLAN 跳跃攻击：利用 VLAN 标签处理漏洞，攻击者非法跨越 VLAN 隔离。例如双标签攻击，发送携带两个 VLAN 标签的帧，利用交换机对标签的解析缺陷，绕过 VLAN 访问控制，非法访问其他 VLAN 的资源，破坏网络隔离性。
(5)广播风暴：最常见于二层网络环路（如未启用生成树协议时，交换机之间形成物理链路环路），此时广播帧会在环路中无限转发，每经过一次交换机就复制一次，短时间内充斥全网；也可由攻击者主动发送大量伪造广播帧（如伪造 ARP 请求、DHCP 发现报文）触发。
(6)生成树 BPDU 攻击：生成树协议（STP/RSTP/MSTP）是二层网络用于 “阻断环路、保障拓扑稳定” 的核心协议，BPDU（桥协议数据单元）是生成树的控制报文（用于选举根桥、确定端口角色）。BPDU 攻击通过伪造 BPDU 报文，篡改生成树拓扑或耗尽设备资源，破坏网络稳定性。

按照规划采用双栈方式，实现单位Web服务的IPv6升级改造。互联网用户可通过IPv6网络访问Web服务的http/https业务。Web服务域名为www.abc.gov.cn，分配的IPv6地址为240C:C28F::1/32，请简要描述此次Web服务升级改造的配置项目及涉及的内容。

1、核心设备支持 IPv6 协议。
2、WEB 服务器配置 IPv6 地址。
3、中间件服务配置 IPv6 地址监听。
4、DNS 双栈解析配置，添加对应的 AAAA 解析。
5、放通对应的 IPv6 路由，安全设备配置 NAT，将 WEB 服务器地址映射到公网，并放行对应的流量。

案例一：某单位网站受到攻击，首页被非法篡改。经安全专业机构调查，该网站有一个两年前被人非法上传的后门程序，本次攻击就是因为其他攻击者发现该后门程序并利用并实施非法篡改。

案例二：网站管理员某天打开本单位门户网站首页后，发现自动弹出如下所示图，手动关闭后每次刷新首页均会弹出。

安全人员管理是信息系统安全管理的重要组成部分，新员工入职时应与其签署（1）明确安全责任，与关键岗位人员应签署（2）明确岗位职责和责任；人员离职时，应终止离岗人员的所有（3）权限，办理离职手续，并承诺离职后（4）的义务。

(1)保密协议
(2)岗位责任协议
(3)访问
(4)保密

（1）请分析案例一信息系统存在的安全隐患和问题。（至少回答2点）

（2）针对案例一存在的安全隐患和问题，提出相应的整改措施。（至少回答2点）

1、安全检测与运维管理缺失：网站存在两年前非法上传的后门程序却未被发现，说明缺乏定期的安全漏洞扫描、后门检测等运维机制，对网站的安全状态缺乏持续监控。
2、访问控制与入侵防御不足：攻击者能非法上传后门程序并利用其实施篡改，反映出网站的文件上传功能未做严格的权限校验和内容过滤，且缺乏有效的入侵防御手段（如 Web 应用防火墙），无法拦截非法上传和后续的攻击行为。

1、建立定期安全检测机制：制定周期性（如每周 / 每月）的安全检测计划，使用专业的漏洞扫描工具、后门检测工具对网站进行全面检测，及时发现并清除恶意程序、安全漏洞。
2、强化访问控制与攻击拦截：对网站的文件上传功能进行严格权限管理，仅授权特定角色用户可上传，并对上传文件的类型、大小、内容进行严格过滤（如禁止上传可执行脚本文件）。部署 Web 应用防火墙（WAF），配置针对文件上传、SQL 注入、XSS 等攻击的拦截规则，实时监控并阻断异常访问行为。

（1）请分析案例二中门户网站存在有什么漏洞？

（2）针对案例二中存在的漏洞，在软件编码方面应如何修复问题？

XSS跨站脚本攻击

1、输入验证（白名单过滤）：对所有用户输入的数据（如表单提交、评论、文件上传等）进行严格的白名单验证，仅允许符合业务规则的合法字符和格式通过。例如，限制输入内容的长度、类型，过滤掉<、>、"、'、script等可能用于注入脚本的特殊字符和关键词。
2、输出编码（HTML 实体编码）：在将数据输出到网页之前，对内容进行 HTML 实体编码，将特殊字符（如&编码为&，<编码为<，>编码为>等）转换为安全的实体形式，使恶意脚本无法被浏览器解析执行。
3、使用安全开发框架 / 库：采用内置 XSS 防护机制的开发框架（如 Spring Boot、Django 等）或安全类库，这些工具会自动对输入输出进行安全处理，减少手动编码引入漏洞的风险。

该数据中心按照等级保护第三级要求，应从哪些方面考虑安全物理环境规划？（至少回答五点）

1、机房位置选择，避开地震活跃带、强风、雷击频发区域
2、物理访问控制，如门禁（生物识别）、保安、进出登记
3、部署 UPS 放置意外断电
4、环境安全控制：湿度、防火、防水防潮、防静电
5、电磁防护
6、设备固定与防破坏

某园区组网图如图1-1所示。该网络中接入交换机利用QinQ技术实现二层隔离，根据不同位置用户信息打外层VLAN标记，可以有效避免广播风暴，实现用户到网关流量的统一管理。同时，在网络中部署集群交换机系统CSS及 Eth-trunk，提高网络的可靠性。

请简要分析该网络接入层的组网特点（优点及缺点各回答2点）。

优点：
1、二层隔离与广播风暴抑制：接入层利用 QinQ 技术，为不同位置用户流量打上外层 VLAN 标签，实现用户间二层隔离，有效避免广播风暴，提升网络稳定性。
2、链路可靠性高：接入层与汇聚层通过 Eth-Trunk（链路聚合）互联，多条物理链路捆绑为逻辑链路，既增加了链路带宽，又实现了链路冗余，单条链路故障时不影响业务传输。
3、网络架构简单，接入交换机只与单台汇聚相连，节省线路资源。
4、部署 QinQ 技术可以解决 VLAN 数量不足的问题。
缺点：
1、接入交换机存在单点故障问题。
2、单链路上行，可靠性不足，且面临性能瓶颈。
3、QinQ 技术需精准配置外层 VLAN 与内层 VLAN 的映射关系，对接入层交换机的配置和维护要求较高，增加了运维工作量。

当该园区网用户接入点增加，用户覆盖范围扩大，同时要求提高网络可靠性时，某网络工程师拟采用环网接入+虚拟网关的组网方式。

（1）如何调整交换机的连接方式组建环网？

（2）在接入环网中如何避免出现网络广播风暴？

（3）简要回答如何设置虚拟网关。

将2台汇聚交换机相连，同时接入交换机双上行到两台汇聚交换机。

采用STP/MSTP或堆叠/虚拟化技术打破环路，从而避免广播风暴。

在两台核心交换机上配置VRRP，虚拟出PC网关地址，PC网关均指向虚拟网关。

该网络通过核心层进行认证计费，可采用的认证方式有哪些？

802.1x PPPoE Portal 认证 MAC 地址认证 短信认证

（1）该网络中，出口路由器的主要作用有哪些？

（2）应添加什么设备加强内外网络边界安全防范？放置在什么位置？

NAT、策略路由、路由选择、协议转换、多链路负载均衡、访问控制与基础安全

防火墙，部署在出口路由器与核心交换机之间

图2-1为某数据中心分布式存储系统网络架构拓扑图，每个分布式节点均配置1块双端口10GE光口网卡和1块1GE电口网卡，SW3是存储系统管理网络的接入交换机，交换机SW1和SW2连接各分布式节点和SW3交换机，用户通过交换机SW4接入访问分布式存储系统。

图2-1中，通过（1）技术将交换机SW1和SW2连接起来，从逻辑上组合成一台交换机，提高网络稳定性和交换机背板带宽；分布式节点上的2个10GE口采用（2）技术，可以实行存储节点和交换机之间的链路冗余和流量负载；交换机SW1与分布式节点连接介质应采用（3），SW3应选用端口速率至少为（4）bps的交换机，SW4应选用端口速率至少为（5）bps的交换机。

(1)堆叠
(2)链路聚合/端口聚合
(3)光纤
(4)1G
(5)10G

1.分布式存储系统采用什么技术实现数据冗余？

2.分布式系统既要性能高，又要在考虑成本的情况下采用了廉价大容量磁盘，请说明如何配置磁盘较为合理？并说明配置的每种类型磁盘的用途。

3.常见的分布式存储架构有无中心节点架构和有中心节点架构，HDFS（Hadoop Distribution File System）分布式文件系统属于（6）架构，该文件系统由一个（7）节点和若干个DataNode组成。

多副本和纠删码技术

配置SSD+SATA盘组合。SSD速度快，成本高，作为系统盘和缓存盘，存储 热数据（访问频率高、对时延敏感的数据），如实时业务数据、高频查询的数据库文件、分布式存储的元数据（如索引、目录信息）。SATA容量大，成本低，性能相对较低，作为数据盘，存储 冷数据（访问频率低、对性能要求低的数据），如历史备份数据、归档文件、不常用的业务日志等。

有中心节点 NameNode

随着数据中心规模的不断扩大和能耗不断提升，建设绿色数据中心是构建新一代信息基础设施的重要任务，请简要说明在数据中心设计时可以采取哪些措施可以降低数据中心用电能耗？（至少回答3点措施）

1、合理选择数据中心的位置
2、合理使用自然冷却
3、优化 IT 设备的选型和部署，IT 设备选择绿色节能的设备，服务器机柜采用面对面，背对背排列，降低核心负载能耗
4、采用虚拟化技术，提升设备资源利用率，减少物理设备数量

案例一：

安全测评工程师小张对某单位的信息系统进行安全渗透测试时，首先获取A系统部署的WebServer版本信息，然后利用A系统的软件中间件漏洞，发现可以远程在A系统服务器上执行命令。小张控制A服务器后，尝试并成功修改网页。通过向服务器区域横向扫描，发现B和C服务器的root密码均为123456，利用该密码成功登录到服务器并获取root权限。

案例二：

网络管理员小王在巡查时，发现网站访问日志中有多条非正常记录。其中，日志1访问记录为:

www.xx.com/param=l'and updatexml（l，concat（Ox7e，（SELECT MD5（1234），0x7e），1）

日志 2 访问记录为

www.xx.com/js/url.substring（0，indexN2）}/alert（url）；url+=，

小王立即采取措施，加强Web安全防范。

案例三：

某信息系统在2018年上线时，在公安机关备案为等级保护第三级，单位主管认为系统已经定级，此后无须再做等保安全评测。

信息安全管理机构是行使单位信息安全管理职能的重要机构，各个单位应设立（1）领导小组，作为本单位信息安全工作的最高领导决策机构。设立信息安全管理岗位并明确职责，至少应包含安全主管和“三员”岗位，其中“三员”岗位中:（2）岗位职责包括信息系统安全监督和网络安全管理，沟通、协调和组织处信息安全事件等；系统管理员岗位职责包括网络安全设备和服务器的配置、部署、运行维护和日常管理等工作；（3）岗位职责包括对安全、网络、系统、应用、数据库等管理人员的操作行为进行审计，监督信息安全制度执行情况。

(1)指导和管理网络安全工作的
(2)安全管理员
(3)审计管理员

1.请分析案例一信息系统存在的安全隐患和问题（至少回答5点）；

2.针对案例一存在的安全隐患和问题，提出相应的整改措施（至少回答4点）。

1、没有隐藏WebServer版本信息
2、软件中间件没有及时打补丁或升级
3、没有定期扫描检测内部系统漏洞
4、没有部署WAF等安全设备
5、存在弱口令
6、没有关闭root用户的远程登录

1、屏蔽WebServer的版本信息
2、定时升级中间件系统
3、定期进行内部系统漏洞扫描
4、部署WAF等安全设备
5、使用强口令，并定期修改口令
6、禁止root用户远程登录

1.案例二中，日志1所示访问记录是（4）攻击，日志2所示访问记录是（5）攻击

2.案例二中，小王应采取哪些措施加强web安全防范？

SQL注入 XSS 攻击

用户输入检查 部署 WAF 设备

案例三中，单位主管的做法明显不符合网络安全等级保护制度要求，请问，该信息系统应该至少（6）年进行一次等保安全评测，该信息系统的网络日志至少应保存（7）个月。

1 6