网络结构设计考点

第一题

考点1：网络设备

设备1应选用哪种网络设备？

答：路由器

路由器具有广域网互联、隔离广播信息和异构网互联等能力。图中，设备1处于内部局域网核心交换机1和Internet之间，由于这些网络属于不同的逻辑网络，所以需要使用路由器进行互联。这一题主要就是要你知道，交换机构成的内部网络和外部Internet网络之间的设备是什么，就是网关，也就是路由器，图中三层交换机再上面就是路由器了。

考点2：防火墙设置的位置

若对整个网络实施保护，防火墙应加在图中位置1—位置3的哪个位置上？

答：位置2

防火墙应该位于边界路由器与局域网连接处，用来过滤数据，保护局域网安全。

考点3：IDS（入侵检测设备）的部署

如果采用入侵检测设备对进出网络流量进行检测，并且探测器是在交换机1上通过端口镜像方式获得流量的。下面是通过相关命令显示的镜像设置信息：

请问探测器应该连接在交换机1的哪个端口上？

答：Gi2/16端口

端口镜像是把进出被镜像端口的数据报文完全复制一份到镜像端口，这样来进行流量检测或者故障定位。探测器应该连接在Destination Ports，故应该连接交换机1的Gi2/16端口。探测器主要分两类：基于网络流量的和基于主机的。基于网络流量的探测器负责嗅探网络连接，监视例如TCP包的流量等，看看有没有被攻击的迹象；基于主机的探测器在重要的系统服务中、工作站或用户机器上运行，监视OS或系统事件级别的可疑活动。

题目又问了：除了流量镜像方式外，还可以采用什么方式来部署入侵检测探测器？

根据网络拓扑结构的不同，入侵检测系统的探测器可以通过以下3种方式部署在被检测的网络中。

1.流量镜像方式。网络接口卡与交换设备的监控端口连接，通过交换设备的Span/Mirror

功能将流向个端口的数据包复制一份给监控端口，探测器从监控端口获取数据包并进行分析和处理。

2.新增集线器方式。在网络中新增一台集线器改变网络拓扑结构，并通过集线器（共享

式监听方式）获取数据包。

3.TAP分流方式。通过一个TAP（分路器）设备对交换式网络中的数据包进行分析和

处理。

第二题

最佳管理的园区网通常是按照分级模型来设计的。在分级设计模型中，通常把网络设计分为3层，即核心层、汇聚层和接入层。图中所示的是某公司的网络拓扑图，但该公司采用的是紧缩核心模型，即将核心层和汇聚层由同一交换机来完成

考点1：网络分级设计模型模型

在分级设计模型中，核心层应具有什么样的特征？路由功能主要由哪一层来完成？

答：核心层必须要有高可靠性及冗余性，并提供故障隔离，具有迅速升级能力、较少的时延和好的可管理型等。路由器主要由汇聚层完成。

在分级设计模型中，核心层的目的是高速数据交换，其主要工作时交换数据包。因此核心层必须要有高可靠性及冗余性，并提供故障隔离，具有迅速升级能力、较少的时延和好的可管理性等。

汇聚层从位置上处于核心层与网络层的分界，需要大量低速的连接（接入层设备的连接）通过少数宽带的链接接入核心层，以实现通信量的收敛，以提高网络中聚合点的效率，同时减少核心层设备可选择的路由路径得数量。并可以汇聚层为设计模块，实现网络拓扑变化的隔离，增强网络的稳定性。接入层为用户提供对网络的访问接口，是整个网络的可见部分，也是用户与该网的连接场所。它将本地用户的信息通过内部高速局域网、分组交换网或拨号接入等方式接入汇聚层，实现网络流量的访问。另外，由于接入层是用户与网络的接入点，因此也是入侵者试图闯入的好地方，需要在访问接入层实施安全控制策略，以保障网络安全。由此可见，路由功能主要由汇聚层来完成。

考点2：防火墙的屏蔽子网结构

公司网络中的设备或系统（包括：存储商业机密的数据库服务器、邮件服务器、存储资源代码的PC、应用网关、存储私人信息的PC、电子商务系统）哪些应放在DMZ中，哪些应放在内网中？并给予简要说明。

答：该公司的防火墙应该属于屏蔽子网结构。在这个结构中，DMZ（非军事区）是周边防御段，它受到安全威胁不会影响到内部网络，是放置公共信息的最佳位置，通常把WWW、FTP、电子邮件等服务器都存放在该区域。

要保证该公司的商业机密避免外部网络的用户直接访问，同时避免内部网络未经授权的用户访问，所有有商业机密的数据库服务应该放在内部网络中，确保安全。同样的道理，那些存储代码的PC和存储私人信息的PC也要放在内部网络中。而邮件服务器、电子商务系统、应用网关等，既要内部主机可以访问，又要外部网络的用户可以访问，并且要保证安全，所以它们可以放在DMZ。

考点3：生成树协议

在图中，两台三层交换机4507R互为备份，它们之间是通过多条双绞线连接，构成了网络环路，但不会产生广播风暴而影响网络的稳定性，这是为什么？如果希望在这多条双绞线中既要实现链路冗余，又要实现负载均衡，如何实现？

答：由于交换机中都运行了生成树协议STP，若出现环路时，STP会自动将一些端口阻断，从而形成一个没有环路的树。要实现负载均衡，可以通过修改VLAN的port-priority（端口优先级），也可以通过修改端口的STP路径值（cost），使不同V ALN的生成树一样，从而实现负载均衡。除此之外，还可以通过端口聚合技术，将多条链路看成一条链路。

第三题

某公司内部组建了100BaseTX局域网，其结构如图所示。请根据网络结构图回答以下有关问题。

考点1：网络设备

图（1）、（2）中各采用什么设备？

答：（1）处是路由器，（2）处是防火墙

考点2：防火墙系统

填写出图中（3）、（4）、（5）区域的名称？

答（3）是DMZ区域、（4）是内部网络区域、（5）是外部网络区域

考点3：IPS

为保护内部局域网用户，常用安全防护系统有哪些？

答：防火墙系统、网络防病毒系统、入侵监测系统、漏洞扫描系统

考点4：交换机的连接

交换机1与交换机2都没有Uplink口，应使用什么类型的双绞线互连？如何制作？两台交换机间的距离不能超过多少米？

答：一端按EIA/TIA568A线序，另一端按EIA/TIA568B线序；两台交换机间的距离不能超过100米。

由于交换机1与交换机2都没有Uplink口，要实现这两台交换机级联，必须使用交叉的双绞线互连。交叉的双绞线制作方法是一端按EIA/TIA568A线序制作，另一端按EIA/TIA568B线序制作。两交换机通过双绞线级联时，它们之间的距离不能超过100米。

第四题

某公司要组建一个小型windows局域网，包括1台服务器和10台PC，网络结构如图所示。该公司在服务器上建立自己的商业网站，网站域名为。请根据网络结构图回答以下问题。