现在位置: 首页 / 未分类 / 软考 / 正文

网络规划师案例分析汇总

  • Caijxlinux
  • 未分类
  • 3天前
  • 26热度
  • 0评论

1、请按照网络安全等级保护第三级要求,为该企业规划安全区域边界层面的网络安全防范方案、简要说明方案中网络安全设备的部署规划(包括设备名称、部署区域、部署方式),并说明每个设备在网络安全防范体系中的作用。8 分

(1)在互联网出口/分支机构区域部署下一代防火墙(NGFW),串行部署,进行网络边界隔离。
(2)在核心交换机区域部署防火墙板卡,与核心交换机集成部署,进行办公区域隔离。
(3)在互联网出口区部署 IPS,串行部署,对进出网络的流量进行检查,能够立即阻断攻击流量,防止攻击渗透到企业内部网络。
(4)在核心交换区部署 IDS,旁路部署,对重点流量进行镜像检测分析。
(5)在互联网出口区域部署沙箱,旁路部署,对异常流量进行深入检测和分析。
(6)在互联网出口区域部署上网行为管理,串行部署,对用户访问互联网的异常行为进行阻断和记录。
(7)在服务器区域部署防毒墙、CAC、DLP,旁路部署,对病毒和垃圾邮件进行检测,并防止数据泄密。
(8)在互联网出口区域和核心交换区域部署日志审计系统,旁路部署,对进行网络和跨区域的流量和日志进行审计记录。
(9)在办公区域部署防火墙,串行部署,对进出办公区域的流量进行检测。
(10)在服务器区域部署 WAF 或防火墙,串行部署,进行区域边界隔离,对 WEB 服务进行防护,防止 WEB 应用程序被篡改或数据泄露。
(11)在服务器区域部署堡垒机,旁路部署,对运维操作进行审计,并禁止输入高危命令。
(12)在服务器区域部署漏扫系统,旁路部署,定期对系统进行漏洞扫描,并对漏洞及时修复。

2、在网络边界部署防火墙时,防火墙会默认划分Local、(1)、Untrust、DMZ四个安全区域,根据业务需要,管理员新建了一个名为Server的安全区域,优先级为90,这五个安全区域按照优先级从高到低的排序为(2)>(3)>(4)>(5)>(6)。6 分

(1)trust
(2)local
(3)server
(4)trust
(5)dmz
(6)untrust

3、以下为防火墙策略配置代码。

[FW] policy interzone trust untrust inbound

[FW-policy-interzone-trust-untrust-inbound] policy 1

[FW-policy-interzone-trust-untrust-inbound-1] policy service service-set https

[FW-policy-interzone-trust-untrust-inbound-1] action permit

[FW-policy-interzone-trust-untrust-inbound-1] policy 2

[FW-policy-interone-tust-untrust-inboud-2] policy service service-set icmp

[FW-policy-interone-tust-untrust-inbound-2]action deny

请简要说明上述策略配置代码的作用。3 分

配置安全策略,放行非信任区域(utrust)到信任区域(trust)的入方向(inbound)的 https 流量,拒绝 utrust 区域到 trust 的 imcp 流量。

4、该企业规划的VPN通道起点和终点分别为总部Router-1、分部Router-2的Internet接口,通过VPN通道传输的数据应进行加密保护,同时尽可能提升总部与分支之间VPN通道传输的效率。网络管理员老夏经过需求分析,可选的VPN技术有GRE VPN技术和IPSec VPN技术,结合题目请回答以下问题:

拓扑

老夏进行了GRE与IPSec的优劣势分析,发现二者优缺点互补,将二者同时启用才能满足业务需求,请问将二者同时启用的VPN技术是(1)。

老夏规划IPSec的封装模式选择(2),对传输的IP报文进行保护的安全协议选择(3)。

在此场景下,IPSec通过ACL定义需要保护的数据流,参照以下地址规划表,则总部Router-1上配置ACL匹配的源地址为(4),目的地址(5)。10 分

image-20251011100311011

(1)gre over ipsec
(2)传输模式
(3)ESP
(4)123.63.146.7/28
(5)210.5.75.3/27

GRE支持组播,明文传输,IPSec支持加密,但不支持组播,而题目需要跑OSPF,会有组播流量,所以需要将GRE和IPSec结合,即GRE over IPSec,一般很少用IPSec over GRE,这样也不能支持组播,因为IPSec已经加密了,GRE看不到里面的内容。

传输模式和隧道模式的区别如下:
(1)安全性不同:隧道模式下可以隐藏原始报文的IP地址、协议类型和端口,从而完整地对原始报文进行加密和验证。
(2)对性能的影响不同:隧道模式下生成了一个额外的IP头,因此会比传输模式占用更多的带宽资源。
(3)应用场景不同:传输模式主要应用于“主机-主机”或“主机-网关”之间的通信;隧道模式主要应用于“网关-网关”或“主机-网关”之间的通信。由于GRE封装时已经增加了一个公网IP头,而隧道模式跟传输模式相比又增加了一个新的公网IP头,从而使报文长度更长,效率低,题目要求尽可能提升传输效率,所以要采用传输模式。

IPSec 用于保护公网(Internet)上传输的流量(因为公网是 “非可信” 网络,需要加密 / 认证来保障数据安全)。因此,ACL 需要匹配的是公网层面的源 / 目的地址 (也就是隧道两端的公网 IP),而不是 GRE 隧道内部的私网地址。

5、在网络中配置OSPF时,网络管理员进行了优化操作,请回答以下问题:

为提高链路状态变化时OSPF的收敛速度,可在Router-1、Router-2、Core-1、Core-2上配置(6)与OSPF联动,可以快速检测链路状态,使得故障检测时间可以达到毫秒级。

管理员规划在Router-1、Router-2上为OSPF引入缺省路由,由OSPF将缺省路由通告全网。在Router-1、Router-2采用手动配置命令方式,配置完成后路由器将产生一个(7)LSA,并通告到全网,达到全网缺省路由学习的目的。

为提高OSPF的安全性,当用户接口启用OSPF时,可在用户接口上配置(8),防止非法设备接入用户网络与现网设备建立邻居关系,这也是防止路由环路的一种方法;同时启用OSPF的(9)认证,对本区域所有接口下的OSPF报文进行认证,防止非法设备与网络设备建立邻居关系。8 分

(6)BFD
(7)5 类
(8)静默接口
(9)区域认证

6、该企业计划对总部数据中心的Web业务进行IPv6改造升级。网络管理员对现网评估后规划在Router-1配置NAT64方式实现,通常该方式需要搭配(10)以起实现。已知NAT64前缀为:2001:CD:5:10A::/64,WEB服务器IPv4地址为:124.75.36.100,请问IPv6用户最终向该WEB服务器发起访问的IPv6地址为(11)。4 分

(10)DNS64
(11)2001:CD:5:10A::7C4B:2464

7、为保证企业内网安全,该企业计划启用网络准入认证方案,对所有接入网络的设备进行统一的认证和访问授权管理。已知现网设备支持的认证方式有PPPoE、802.1x、MAC认证和Web认证。请针对以下场景选择合适的认证方式,同时保证不为业务带来额外的开销。3 分

企业内生产部门、研发部门等人员集中、信息安全要求严格的区域,设备接入网络需进行(12)认证。

针对企业会客厅、接待室、访客室等访客、临时人员可能停留的区域,开通访客网络进行(13)认证。

企业中还存在打印机、传真机、智能门锁等设备,此类设备入网可采用(14)认证。

(12)802.1x
(13)web
(14)mac

8、【说明】某物流企业网络如图3-1所示。物流监控中心负责货运调度。货运车辆通过接收GPS信息,将车辆信息及其状况发回物流监控中心。仓储中心的AGV(Automated Guided Vehicle)、AMR(Automated Mobile Robot)等通过Wi-Fi接收指令进行自动化运行。

请从实际运营的角度,对图3-1所示的物流企业网络需要配置的软件(平台)、硬件设备进行规划,列出主要软件或平台、硬件名称及实现功能。10 分

一、感知层
(1)智能AMR和AGV设备,根据后台下发的指令自动化运行,完成货物搬运和安放。
(2)车辆运行状态采集设备(含GPS模组),采集车辆的运行时速、位置、驾驶员状态等信息。
二、传输层
(1)Wi-Fi系统:包括AP、AC和PoE交换机等设备,为仓储中心智能设备提供无线接入服务。
(2)GPS模组:通过卫星传送位置信息(购买服务即可)。
(3)4G/5G网络:配置4G/5G流量卡,通过运营商网络传输车辆状态信息。
三、应用层
(1)硬件:服务器、存储、交换机、防火墙、管理PC等硬件设备。
(2)软件平台
① 仓储管理平台:对货物出入口、堆存、保管、保养、维护等进行管理。
② 物流监控平台:权衡运输服务和运输成本,对运费,运输时间,频度,运输能力,货物的安全性,时间的准确性,适用性,伸缩性等综合分析和评估,并进行货运调度(题干已知的写上去)。
③ PLC控制服务器:安装工控平台,实现前端AMR和AGV的智能控制。
④ 运维审计平台:对用户登录和权限进行统一管理,并审计用户操作。

9、AGV 使用的无线 WI-FI 网络规划设计有哪些要求。10 分

(1)信号无盲区:确保仓储中心、生产车间等 AGV 运行的所有区域实现 Wi-Fi 信号无缝覆盖,避免出现信号盲区
(2)信号具有足够强度:AGV 运行过程中,接收的 Wi-Fi 信号强度需满足通信要求,一般信号强度需保持在 -70dBm 以上,S/N > 30dbm 以确保数据稳定传输。
(3)抗干扰:信道应该与其他网络信号信道交错,避免同频干扰。同时调整 AP 功率,控制合适的重叠区域。物流环境中可能存在多种干扰源,如叉车、大型机械设备等,Wi-Fi 网络要具备较强抗干扰能力。可选用 5GHz 频段减少同频干扰,或采用 Mesh 组网技术,当某一节点受到干扰时,数据可通过其他路径传输。
(4)漫游切换:当 AGV 在不同 AP(接入点)覆盖区域间移动时,要实现快速、无缝的漫游切换,切换时间通常需控制在 50ms 以内,保证通信不中断,避免影响 AGV 正常作业。
(5)容量支持:如果仓储中心或车间内有多台 AGV 同时运行,Wi-Fi 网络要能支持多台设备同时接入且稳定工作。单个 AP 至少应能支持 30 - 50 台 AGV 的并发接入,避免因接入设备过多导致网络拥塞。
(6)带宽保障:AGV 运行过程中,除接收基本运行指令外,可能还会传输设备状态信息、视觉图像信息(如配备视觉识别功能)等。这要求 Wi-Fi 网络能提供足够带宽,一般每台 AGV 需保障至少 1 - 5Mbps 的稳定带宽,以满足数据传输需求。
(7)故障监测与恢复:部署网络管理系统,实时监测 Wi-Fi 网络状态,一旦发现故障(如 AP 掉线、信号异常),能及时报警并自动尝试恢复,减少 AGV 因网络故障导致的停机时间
(8)加密认证:为防止 AGV 控制指令被窃取或篡改,Wi-Fi 网络需采用 WPA2 或更高级别的加密方式,对网络进行身份认证,如 802.1x 认证,确保只有授权的 AGV 设备才能接入网络。
(9)访问控制:设置严格的访问控制策略,限定 AGV 只能访问特定的服务器和控制终端,防止非法设备接入网络后对 AGV 进行恶意控制,保障物流作业安全。

10、简要说明 5G 在提升物流网络效能方面发挥的作用。5 分

(1)车辆智能调度:5G 的高速率和低时延性,能让货运车辆信息精准回传,精准调度车辆,规划最优路线,减少运输时间和成本,提高运输效率。
(2)提高物流效率。5G技术具有高速度和低时延的特点,这使得智慧物流的数据传输速度更快,稳定性更高。这为智慧物流中的各种应用场景,如智能配送、智能仓储、智能运输等提供了更精准、更高效的数据支持和服务。
(3)改善服务质量:提供端到端的监控覆盖、物流跟踪以及盗窃防范等功能。
(4)供应链协同:5G 使物流企业与上下游供应商、客户之间的信息交互更加及时、顺畅。例如,生产企业可以实时了解原材料的物流运输状态,提前安排生产计划;客户能实时查询货物的配送进度,合理安排接货时间 。这有助于整个供应链的协同运作,提高供应链的响应速度和灵活性。
(5)远程监控与管理:借助 5G 网络,物流企业管理人员可以通过高清视频对物流园区、仓库、运输车辆等进行远程实时监控。比如,在发生突发事件时,能及时做出决策和指挥调度;还可以远程对设备进行故障诊断和维护,减少现场运维人员的投入,提高管理效率。
(6)物联网应用拓展:5G 的大连接特性能够满足物流领域大量物联网设备的接入需求,如智能标签、智能包装等。这些设备可以实时采集货物的位置、温度、湿度、震动等信息,实现对货物全生命周期的实时监控和管理,进一步提升物流服务质量。

11、【说明】某大型制造企业计划建设“F5G全光工厂”,以支撑智能制造和数字化转型。工厂原有的千兆有线+Wi-Fi网络已难以满足高清视频检测、机器人协作、AGV(自动导引车)、工业物联网传感器和云MES系统的需求。企业在新规划中,结合国家“新型工业化”和“东数西算”战略,决定引入F5G(第五代固定网络)全光方案,通过FTTR(光纤到房间/车间)、无源光网络(PON)、TSN(时间敏感网络)与IPv6部署,实现低时延、高可靠、易扩展的工业通信网络。规划网络架构如图1-1所示。

image-20251011143901217

请分析传统工厂网络面临的主要瓶颈,并说明F5G全光网络在带宽、时延和可靠性上的优势。6 分

传统工厂网络主要瓶颈
(1)带宽不足:传统千兆有线+WIFI 网络,对于高清视频检测、工业互联网传感器大量数据传输以及机器人协作的高带宽需求,难以提供足够的带宽支持,容易出现网络拥堵,导致数据传输慢,视频卡顿等问题。
(2)时延高:在机器人协作、AGV 自动导引等对实时性要求高的场景中,传统网络的延时较高,会影响设备之间的协同操作,可能导致生产流程出现误差或延迟,降低生产效率。
(3)可靠性差:传统网络的设备连接和传输环节可能存在较多的故障点,且在应对复杂的工业环境(如电磁干扰、粉尘等)时,稳定性不足,容易出现网络中断,影响工厂的正常生产运营。
F5G 全光网络的优势
(1)带宽高:基于 XGS‑PON/50G‑PON 与 FTTR,单PON可达10G/50G,相比传统网络,能够提供更大的带宽容量,可轻松满足高清视频检测、工业互联网传感器和云 MES 系统对高带宽的需求,支持大量数据的快速、稳定传输。
(2)时延低:低时延能有效减少数据传输的延迟,保障机器人协作、AGV 自动导引等实时性要求高的应用场景中设备的快速响应和协同操作,提升生产的实时性和效率。
(3)可靠性高:采用 PON 等技术,减少了有源设备的使用,降低了故障发生的概率。同时,光纤传输受电磁干扰等外界因素影响小,网络的稳定性高,能为工厂生产提供更可靠的网络支持,减少因网络故障导致的生产中断。

请简要说明在本项目需求分析阶段,连接WAN侧(运营商互联)需要收集和分析哪些内容?(至少回答4点)4 分

(1)运营商资源与接入方式:收集可合作运营商的类型(如电信、联通、移动等)、支持的 WAN 接入技术(如 SD-WAN、MPLS VPN、专线(如 OTN/SDH)、互联网专线),以及不同接入方式的覆盖范围、开通周期、物理链路部署条件(如光纤是否已到机房、无线信号强度),分析哪种接入方式适配项目业务场景(如是否需低时延、高可靠)。
(2)带宽与业务流量需求:统计项目各类业务(如核心数据传输、机器人协同、机械控制)的带宽需求,包括平均带宽、峰值带宽、带宽增长趋势(如未来 1-3 年业务扩容需求);分析流量特征(如上行 / 下行流量占比、流量峰值时段、是否有突发流量),确保 WAN 侧带宽配置能满足业务实时传输需求,避免拥堵。
(3)网络可靠性与冗余要求:收集业务对 WAN 连接的可靠性指标要求(如全年可用性需达到 99.99%),分析是否需部署冗余链路(如双运营商、双接入方式备份);明确故障切换机制需求(如自动切换、切换时延要求),同时确认运营商是否提供链路冗余保障服务(如链路中断后的恢复时效、SLA 服务等级协议)。
(4)网络安全与合规要求:收集项目所属行业的合规标准(如制造行业的等保三级、数据跨境传输规范),分析 WAN 侧需部署的安全措施(如防火墙、VPN 加密、入侵检测 / 防御系统(IDS/IPS));确认运营商是否提供安全增值服务(如 DDoS 防护、域名过滤),以及数据传输过程中的加密协议需求(如 IPsec、TLS),保障 WAN 侧数据传输安全。
(5)成本与运维管理需求(补充,可选):收集不同运营商的资费标准(如带宽月租、初装费、冗余链路额外成本),分析成本与业务价值的平衡;确认运维责任划分(如运营商负责链路维护、我方负责设备管理),以及是否需对接运营商的运维监控平台,实现 WAN 链路状态的实时可视化管理。

如图1-1所示,工业ONU和园区ONU产品和规划有什么区别?4 分

产品特性
(1)工业 ONU 设计时会充分考虑工业环境的严苛性,能在高温、低温、粉尘、强磁干扰、震动的恶劣环境下稳定工作。园区 ONU 主要应用于园区内等相对温和的环境下,对极端环境的适应性相对较低。
(2)工业 ONU 会设计双电源、双上行等冗余措施,确保部分组件故障时,设备仍能正常运行,园区 ONU 在冗余设计和抗干扰设计的要求没有那么严苛。
(3)工业 ONU 面向传感器、PLC/机器人、工业相机,强调微秒级同步与网络隔离;园区ONU面向安防与办公,强调语音/视频/上网与便捷运维。
(4)工业 ONU除了常见的以太网接口外, 为了适配工业设备, 还会配备多种工业通信接口, 如 RS-232、RS-485、CAN 总线接口等, 方便与工业传感器、控制器等设备进行连接。园区 ONU 以以太网接口为主。
规划
(1)工业 ONU 根据工业生产的布局和设备分布进行规划,通常会部署在车间内靠近工业设备的位置,以减少网络传输距离, 降低时延。园区 ONU 一般根据园区的建筑布局、用户分布和网络覆盖需求进行部署,会设置在园区内的弱电间、机房或楼层配线间等位置。
(2)工业 ONU 主要承载工业生产相关业务, 如机器设备的远程控制、生产数据采集与监控等,对网络的安全性、实时性和精准性要求极高。在管理上, 会与工业控制系统紧密结合,纳入工业网络管理平台进行统一管理,确保工业生产的稳定运行。园区 ONU 承载园区内的办公、安防、访客网络等多种业务,管理上更注重用户权限管理、带宽分配和网络服务质量的保障。
(3)

在等保2.0与工控安全要求下,企业如何在全光工厂中实现安全防护?请从网络隔离、身份认证、加密传输和入侵检测等方面提出合理的规划设计方案。8 分

网络隔离
(1)生产控制网、安防网、办公网三网分离,在OLT设备上通过VRF+VLAN实现逻辑隔离,关键产线独占PON端口。
(2)在OLT 设备、核心交换机及安全区域边界部署安全设备,如防火墙、网闸实现物理和逻辑的双重隔离,制定精细化的访问策略,同时禁用不必要的端口,确保生产网不受外网攻击。
身份认证
(1)网络准入采用802.1X认证,为每个设备颁发唯一的 X.509 证书,不支持的工控设备使用MAC地址绑定+设备白名单。同时对接企业级 CA 认证中心,实现证书的统一发放、吊销与管理。
(2)对运维人员、管理人员的网络访问采用多因素认证(MFA)+ 最小权限策略,运维人员只能通过堡垒机进行接入。
(3)全光网络的 OLT 与 ONU 之间采用GPON/EPON 协议自带的加密认证机制(如 GPON 的 AES-128 加密),同时在 OLT 侧配置 “PON 口接入认证”,仅允许已注册的 ONU 设备接入,防止非法 ONU 私接光链路窃取数据或发起攻击。
加密传输
(1)跨网络边界通信采用IPsec VPN,支持国密SM2/SM4算法。
(2)设备管理采用SSH、SNMPv3等安全协议,禁用明文传输。
入侵检测
(1)在核心生产区与监控运维区的边界、OLT 设备出口处部署工业专用 IDS/IPS,能针对工控协议进行深度分析,异常流量制定检测规则。支持对工业设备的 “正常行为基线” 学习(如 PLC 的常规指令频率、传感器数据的正常波动范围),当检测到偏离基线的行为时(如非授权设备向 PLC 下发停机指令),立即触发告警并阻断攻击流量。
(2)利用全光网络管理平台的 “光链路诊断” 功能,实时监测 OLT 与 ONU 之间的光功率、误码率、链路连接状态,当发现光功率异常(如分光器被非法接入导致光功率骤降)、ONU 异常离线时,立即推送告警至运维平台;同时对接网络流量分析(NTA)系统,监控各安全域的流量特征,识别隐藏的异常通信(如办公区设备向核心生产区的异常数据传输)。
(3)建立安全运营中心(SOC),集中收集分析安全日志,实现7×24小时安全监控,制定应急预案,当发生严重入侵事件时(如核心生产区被攻击),隔离受攻击的 ONU 网段,同时启动备份链路保障关键生产业务不中断;事后留存完整的日志与告警数据,用于攻击溯源与安全审计。

从改造成本、改造影响范围以及技术先行性维度考量,建议企业IPv6改造应遵循哪些原则?3 分

改造成本
(1)优先选择低成本、易落地的过渡技术(如 NAT64/DNS64),避免一次性大规模替换硬件设备。
(2)利用现有设备的IPv6升级能力,通过软件升级替代硬件更换。
改造影响范围
(1)采用 “业务不中断” 的改造策略,优先在非核心业务时段(如夜间、节假日)实施改造,避免影响生产、办公等关键业务。优先改造核心设备,核心设备是IPv6路由和转发的关键节点,必须具备完整的IPv6能力才能支撑全网IPv6业务。
(2)优先选择兼容 IPv4/IPv6 双栈的方案,允许双协议栈并行运行,确保改造期间 IPv4 业务正常访问,降低业务中断风险。需要制定可靠的回滚方案。
技术先行性
(1)优先采用符合行业标准、具备长期扩展性的技术(如双栈技术、SLACC 无状态地址配置),避免选用过渡性强、未来易淘汰的方案。
(2)兼顾现有 IT 架构兼容性,确保改造后的 IPv6 网络能与现有运维平台(如监控系统、安全设备)对接,无需额外重构运维体系,保障技术落地可行性。

12、【说明】某企业数据中心计划进行升级改造,现网拓扑如图2-1所示,通过Spine-Leaf组网,构建数据交换矩阵。

进行数据中心规划设计之前,需要进行调研,了解哪些建设需求?(包含功能性需求、非功能性需求和其他需求)10 分

功能性需求
(1)业务系统需求:明确数据中心需承载的业务类型(如核心业务系统、数据库系统、Web 服务、虚拟化平台等),各业务的部署位置、交互关系及对网络、计算、存储资源的需求,未来3-5年的容量规划、水平/垂直扩展能力。
(2)网络功能需求:确定网络架构(如 Spine - Leaf 的层级、各层设备功能)、网络服务需求(如负载均衡、防火墙、VPN 等安全与优化功能)、网络分区(生产区、测试区、办公区等)及各分区的访问控制策略。
(3)计算资源需求:统计物理服务器、虚拟化服务器的数量、规格(CPU、内存、存储等),以及服务器的部署方式(机架布局、供电散热需求)。
(4)存储资源需求:明确存储架构(SAN、NAS、分布式存储等)、存储容量、性能(IOPS、带宽)要求,以及数据备份、容灾策略对存储的需求。
非功能性需求
(1)安全性需求:安全防护等级(如等保 2.0 要求)、数据加密需求、入侵检测与防御、访问控制、日志审计等安全措施的需求。
(2)可靠性管理:系统的可用性目标(如 99.99%)、冗余设计要求(设备冗余、链路冗余)、故障恢复时间(RTO)和数据丢失量(RPO)等容灾相关指标。以及监控告警、自动化运维、故障处理流程。
(3)机房环境:供电容量、制冷能力、机柜空间、网络布线。
(4)预算约束:建设预算、运营成本、投资回报周期。
其他需求
(1)运维管理标准:运维工具的需求(如网络管理平台、服务器监控系统)、运维流程规范、人员技能要求等。
(2)成本需求:项目预算限制,包括设备厂商偏好、设备采购、部署实施、运维管理等各阶段的成本控制目标。

数据中心网络进行路由规划时,通常采用(1)、BGP等协议,构建底层underlay网络,可以通过(2)和(3)等方法,加速路由收敛。然后,通过(4)按需构建overlay网络,此过程一般需要将(5)设备配置为路由反射器。5分

(1)OSPF/IS-IS
(2)BFD
(3)ECMP
(4)VXLAN
(5)Spine

该数据中心有4排机柜,每排机架上共有10台TOR交换机需要连接到Spine交换机,每台TOR交换机万兆下行,并通过2个40GE接口接入到Spine层设备,服务器通过光纤接入到对应TOR。

本项目供选设备如下,TOR交换机建议采用设备型号为(1),此时Leaf节点规划设计收敛比为(2)。若Spine交换机采用CE8855-48CQ4BQ,且每台配置4个200G连接至Bord-Leaf,若要满足此节点1:1收敛比,需要配置(3)台Spine。6分

交换机型号 描述
S6730-H48X6C 48个万兆SFP+,6个40GE QSFP28光接口
CE6850-48S6Q-H 48个万兆SFP+,6个40GE QSFP28光接口
CE6857F-48T6CQ 48个万兆电口,6个40/100GE QSFP28光接口
CE6885L-48YS8CQ 48个25GE光口,8个40/100GE QSFP28光接口
CE8855-48CQ4BQ 48个40/100GE光口 + 4个200GE光接口 
(1)
(2)
(3)

简要论述堆叠和M-LAG组网的优缺点。4分

(1)堆叠可让多台交换机视为单一设备,方便管理,可形成高带宽的堆叠链路,提升系统的带宽容量,当主交换机出现故障时,备用交换机可快速接管,实现控制平面的无缝切换,保障网络业务不中断。
(2)堆叠通常只支持同厂商同型号的设备堆叠,存在厂商绑定。虽然控制平面有冗余,但堆叠卡或堆叠线缆的故障,会影响整个堆叠系统的运行。升级堆叠软件,可能需要重启整个堆叠系统,导致网络出现短暂中断。
(3)M-LAG 支持不同厂商的设备互联,避免厂商锁定。单台设备出现故障,流量可快速切换。支持单台设备升级。
(4)M-LAG配置复杂,对维护人员要求高,需要额外的链路资源,如心跳链路和冗余的互联链路,增加了网络建设和维护的成本。

13、案例一:最近学校师生反馈,教务系统访问速度很慢,经常登录不上去。工程师小夏经过排查发现,该服务器访问量并不大,但CPU利用率却经常高达100%。分析设备近期日志发现有大量针对TCP 22端口的访问流量,且日志中大部分显示failed。另外,当前网络连接中存在可疑IP地址43.129.150.140,分析结果如下:

案例二:小王通过域名访问单位文件服务器,总是跳转到小鸟壁纸官网,通过IP直接访问则正常,其他用户不存在这个问题。另外,最近大量用户反馈,文件服务器资源不能正常读取,查看文件夹目录显示如下图所示。

请分析案例一中受到哪些网络攻击?(至少回答2种)

(1)SSH 暴力破解攻击
(2)恶意 IP 关联攻击

针对案例一中受到的网络攻击,提出相应的防护措施。(至少回答2种)6 分

(1)修改 SSH 服务的默认端口 22 为其他不常用的端口,减少攻击者的扫描和攻击目标。
(2)配置强认证机制,启用 SSH 的公钥认证和启用最小权限原则,设置复杂的密码策略,定期更换密码,提供登录的安全性
(3)结合威胁情报平台,及时获取恶意 IP 的信息,对已知的恶意 IP 进行批量封禁。
(4)部署 IDS/IPS 设备,对服务器流量和行为进行实时监控,及时发现和阻断异常的流量。
(5)定时漏扫,修复已知的安全漏洞,减少攻击者可利用的入口。

请分析案例二中受到哪些网络攻击?(至少回答2种)

(1)域名劫持攻击
(2)恶意木马攻击与文件篡改/感染

针对案例二中受到的网络攻击,提出相应的防护措施。(至少回答2种)8 分

(1)检查与修复本地的 hosts 文件,查看是否有指向小鸟壁纸的非法条目,若有则删除,并清理当前的 DNS 缓存。
(2)使用安全可靠的 DNS 服务器,如 8.8.8.8 或 223.5.5.5,避免使用被污染或者恶意的 DNS 服务器,保证域名解析的准确性。
(3)对被感染的主机进行网络隔离,避免横向感染,并使用专业的杀毒软件进行全盘扫描,检测并清除恶意软件,防止其进一步破坏系统和文件。
(4)检查文件服务器和相关设备的操作系统、应用程序是否存在漏洞,及时安装官方发布的补丁进行修复,对文件服务器进行安全加固,如设置复杂密码,关闭不必要的端口和服务,降低被恶意软件入侵的风险。

某政务网站计划部署于当地政务云,按照等保2.0相关规定,信息安全等级原则上不低于几级?如何基于安全通信网络进行规划设计?6 分

按照等保2.0规定,政务网站的信息安全等级原则上不低于三级。
在安全通信网络设计上,应:
(1)实行网络分区与安全域划分,内外网隔离;
(2)部署防火墙、入侵防御、WAF等安全边界防护;
(3)采用VPN或SSL/TLS等安全通信加密技术;
(4)加强访问控制与身份认证;
(5)建设安全审计与日志集中管理;
(6)配置抗DDoS、防病毒及链路冗余,确保政务云网站安全与可靠运行。

1. 网络分层隔离,划分安全域
政务云内部分区:将政务网站部署环境划分为 “互联网接入区、Web 服务区、应用服务区、数据库区”,各区域通过政务云自带的虚拟防火墙、安全组实现逻辑隔离;其中,Web 服务区与数据库区之间设置 “单向访问控制”(仅允许应用服务区向数据库区发起查询 / 写入请求,禁止数据库区主动对外通信)。
跨网络边界隔离:政务网站与政务云外网络(如互联网、其他政务系统)的通信,需通过 “政务云边界防火墙 + 网闸” 双重防护;互联网用户访问政务网站时,流量需先经过云边界的 WAF(Web 应用防火墙)过滤,再进入 Web 服务区,阻断 SQL 注入、XSS 等常见攻击。
2. 全链路传输加密,保障数据机密性
外部访问加密:强制要求政务网站采用 HTTPS 协议(配置 SSL/TLS 1.2 及以上版本证书),对互联网用户与 Web 服务器之间的通信数据(如用户登录信息、政务办理数据)进行加密,避免数据被窃听或篡改;证书需通过国家认可的 CA 机构颁发,并定期更新。
云内通信加密:政务网站各层级(Web 服务 - 应用服务 - 数据库)之间的内部通信,采用 “虚拟专用通道” 加密(如政务云提供的 VPC 专线、IPsec VPN),或在应用层采用 API 加密(如 HTTPS、国密算法 SM4),防止云内数据在传输过程中被窃取。
3. 精细化访问控制,限制非法接入
边界访问控制:在政务云边界防火墙配置 “基于 IP、端口、协议的访问控制规则”,仅开放政务网站必需的端口(如 80/443 端口),禁用不必要的端口(如 22、3389 等远程管理端口);对来源 IP 进行过滤,仅允许合法用户(如公众用户、政务工作人员)的 IP 段访问。
内部访问控制:政务工作人员通过内部网络访问政务网站后台(如内容管理系统、数据库)时,需采用 “多因素认证(MFA)+VPN” 双重验证,结合 RBAC(基于角色的访问控制)模型分配权限(如编辑仅能修改内容,管理员才能配置系统),杜绝越权访问。
4. 实时安全监测,及时发现异常
流量监测与审计:在政务云边界、Web 服务区部署 “网络流量分析(NTA)设备” 和 “日志审计系统”,实时监测通信流量特征(如异常连接数、大流量传输),记录用户访问日志(含访问 IP、操作行为、时间戳),日志留存时间不低于 6 个月(符合等保 2.0 审计要求)。
异常告警与响应:配置自动化告警机制,当检测到 “异常 IP 频繁访问、HTTPS 证书异常、传输流量突增” 等风险时,立即向政务云运维团队推送告警;同时制定应急预案,若发现通信网络被攻击(如 DDoS 攻击),可快速触发 “流量清洗” 或 “链路切换”,保障政务网站不中断服务。

某单位业务系统定级为三级,根据相关建设要求,应配备(1),不可兼任。应针对系统变更、重要操作、物理访问和系统接入等事项建立审批程序,按照审批程序执行审批过程,对重要活动建立(2)制度。应加强与网络安全职能部门、各类供应商、(3)及安全组织的合作与沟通。应定期进行常规安全检查,检查内容包括系统日常运行、系统漏洞和(4)等情况。应对各类人员进行(5)和岗位技能培训,并告知相关的安全责任和惩戒措施。5 分

(1)专职安全管理员
(2)逐级审批
(3)业界专家
(4)数据备份
(5)安全意识教育