某数据中心架构拓扑图

试题一、阅读以下说明，回答问题1至问题4，将解答填入答题纸对应的解答栏内。

【说明】某企业分支与总部组网方案如图1-1所示，企业分支网络规划如表1-1所示。

企业分支与总部组网说明：1. 企业分支采用双链路接入Internet，其中ADSL有线链路作为企业分支的主Internet 接口；3G/LTE Cellular无线链路作为企业分支的备用Internet接口。

2. 指定Router1作为企业出口网关，由Router1为企业内网用户分配IP地址。

3. 在Router1上配置缺省路由，使企业分支内网的流量可以通过xDSL和3G/LTE Cellular 无线链路访问Internet。

4. 企业分支与总部之间的3G/LTE Cellular无线链路采用加密传输。

问题内容：【问题1】（每空2分，共4分）依据组网方案，为企业分支Router1配置互联网接口板卡，应该在是（1 ）和（2 ）单板中选择配置。

（1）～（2）备选答案：A. xDSLB.以太WANC. 3G/LTED. E3/T3【问题2】（每空2分，共6分）在Router1上配置DHCP服务的命令片段如下所示，请将相关内容补充完整。

[Huawei] dhcp enable[Huawei] interface vlanif 123[Huawei-Vlanif123] dhcp select global // （3 ）[Huawei-Vlanif123 ] quit[Huawei] ip（4 ）lan[Huawei-ip-pool-lan] gateway-list（5 ）[Huawei-ip-pool-lan] network 192.168.100.0 mask 24[Huawei-ip-pool-lan] quit【问题3】（每空1分，共6分）在Router1配置上行接口的命令如下所示，请将相关内容补充完整。

.#配置NAT地址转换[Huawei] acl number 3002[Huawei-acl-adv-3002] rule 5 permit ip source 192.168.100.0 0.0.0.255[Huawei-acl-adv-3002] quit[Huawei] interface virtual-template 10 // （6 ）[Huawei-Virtual-Template 10] ip address ppp-negotiate[Huawei-Virtual-Template 10] nat outbound （7 ）[Huawei-Virtual-Template 10] quit#配置ATM接口[Huawei] interface atm 1/0/0[Huawei-Atm1/0/0] pvc voip 1/35 //创建PVC （ATM 虚电路）[Huawei-atm-pvc-Atm1/0/0-1/35-voip] map ppp virtual-template 10 //配置PVC上的PPPoA映射[Huawei-atm-pvc-Atm1/0/0-1/35-voip] quit[Huawei-Atm1/0/0] standby interface cellular 0/0/0 // （8 ）[Huawei-Atm1/0/0] quit#配置APN与网络连接方式[Huawei] apn profile 3gprofile[Huawei-apn-profile-3gprofile] apn wcdma[Huawei-apn-profile-3gprofile] quit[Huawei] interface cellular 0/0/0[Huawei-Cellular0/0/0] mode wcdma （9 ）//配置3G modem[Huawei-Cellular0/0/0] dialer enable-circular //使能轮询DCC功能[Huawei-Cellular0/0/0] apn-profile （10 ）//配置3G Cellular 接口绑定APN模板[Huawei-Cellular0/0/0] shutdown[Huawei-Cellular0/0/0] undo shutdown[Huawei-Cellular0/0/0] quit#配置轮询DCC拨号连接[Huawei] dialer-rule[Huawei-dialer-rule] dialer-rule 1 ip permit[Huawei-dialer-rule] quit[Huawei] interface cellular 0/0/0[Huawei-Cellular0/0/0] link-protocol ppp[Huawei-Cellular0/0/0] ip address ppp-negotiate[Huawei-Cellular0/0/0] dialer-group 1[Huawei-Cellular0/0/0] dialer timer idle （11 ）[Huawei-Cellular0/0/0] dialer number *99#[Huawei-Cellular0/0/0] nat outbound 3002[Huawei-Cellular0/0/0] quit【问题4】（每空2分，共4分）在现有组网方案的基础上，为确保分支机构与总部之间的数据传输安全，配置（12 ）协议，实现在网络层端对端的（13 ）。

全国计算机技术与软件专业技术资格（水平）考试2016年下半年网络规划设计师下午试卷试题一阅读以下说明，回答问题1至问题5，将解答填入答题纸对应的解答栏内。

【说明】某企业实施数据机房建设项目，机房位于该企业业务综合楼二层，面积约50平方米。

机房按照国家B类机房标准设计，估算用电量约50KW，采用三相五线制电源输入，双回路向机房设备供电，对电源系统提供三级防雷保护。

要求铺设抗静电地板、安装微孔回风吊项，受机房高度影响，静电地板高20厘米。

机房分为配电间和主机间两个区域，分别是15和35平方米。

配电间配置市电配电柜、UPS主机及电池柜等设备；主机间配置网络机柜、服务器机柜以及精密空调等设备。

项目的功能模块如图1-1所示。

【问题1】（4分）数据机房设计标准分为（1）类，该项目将数据机房设计标准确定为B类，划分依据是（2）。

【问题2】（6分）该方案对电源系统提供第二、三级防雷保护，对应的措施是 (3) 和 (4) 。

机房接地一般分为交流工作接地、直流工作接地、保护接地和 (5) ，若采用联合接地的方式将电源保护接地接入大楼的接地极，则接地极的接地电阻值不应大于 (6) 。

(3)～(4)备选答案：A．在大楼的总配电室电源输入端安装院雷模块B．在机房的配电柜输入端安装防雷模块C．选用带有防雷器的插座用于服务器、工作站等设备的防雷击保护D．对机房中UPS不间断电源做防雷接地保护【问题3】（4分）在机房内空调制冷一般有下送风和上送风两种方式。

该建设方案采用上送风的方式，选择该方式的原因是 (7) 、 (8) 。

(7)~(8)备选答案：A．静电地板的设计高度没有给下送风预留空间B．可以及时发现和排除制冷系统产生的漏水，消除安全隐患C．上送风建设成本较下送风低，系统设备易于安装和维护D．上送风和下送风应用的环境不同，在IDC机房建设时要求采用上送风方式【问题4】 (6分)网络布线系统通常划分为工作区子系统、水平布线子系统、配线间子系统、（9）、管理子系统和建筑群子系统等六个子系统。

弱电工程数据中心的网络架构及其设计思路如果把数据中心比作一个“人”，则服务器和存储设备构成了数据中心的“器官”，而网络（交换机，路由器，防火墙）就是这个数据中心的“神经脉络”。

本文就针对数据中心的网络架构和一般设计来说。

01正文01网络分区与等保一般情况下，本着灵活、安全、易管理的设计原则，企业都会对数据中心网络的物理设备进行分区。

通常情况下，数据中心都会采用核心—汇聚—接入三层的网络结构，核心用于所有流量的快速转发，而汇聚则是在每个网络分区上，担任网关的功能。

一般来说，数据中心的网络分区中，每一个区域会根据预期的流量和服务器的数量，分配不同的业务网段。

同时，在一些等保要求较高的区域，还会设置防火墙这样的安全设备，来控制进出这个区域的流量，如下图所示：“等保”是等级保护的简写，在设置数据中心服务器区域的时候，不同业务的服务器的等级保护是不一样的。

比如后台存储，带库，数据库这些服务器的等保和Web、前端、APP的等保就不一样。

而在数据中心网络中，防火墙的功能，就是用来划分“等保”，同时用来控制不同等保之间的互访。

那如何更好的来理解这个“等保”的概念呢？在目前的数据中心网络架构中，要考虑到不同等保之间的流量控制，又要考虑到在设计路由的时候的简便和快捷，目前数据中心的防火墙几乎都会采用旁路的方式来部署，再配合汇聚交换机上的VRF来控制流量。

02数据中心网络分区的方式分区的划分方式有以下三种，不同分区方式各有优缺点，通常结合使用。

A.按照服务器类型分区比如x86服务器、小型机、刀片机、大型机、虚拟机进行分类。

完全按照服务器型号分类的话，在实际应用中，可能某个企业小型机被大量使用，而大型机几乎没用，就会导致小型机的网络区域流量巨大而大型机这个区域闲置了。

所以，现在的数据中心，几乎看不见如此分配区域的情形了。

B.按照应用层次分区比如Web、APP是前端服务器，而数据库、存储、NFS这些是后端服务器，所以把前端服务器放在一个区域，后端服务器放在一个区域。

ISP 1ISP 2LC1500黑洞D D OSSD D OS嘉实基金金地数据中心网络拓扑图G1/22G1/24Ip:10.0.8.17/29G1/24Ip:10.0.8.18/29G1/23IP:10.0.8.33/29G1/23IP:10.0.8.34/29G1/21连接生产火墙连接OMT 火墙连接外联火墙连接Internet 火墙G2/1 Vlan 815IP:10.0.11.2/29G2/1 Vlan815IP:10.0.11.3/29连接VPNIn 连接VPNOutG2/2 Vlan816Ip:10.0.11.10/29G2/2 Vlan816IP:10.0.11.11/29G5/1IP ：10.0.8.45/31G3/17IP ：10.0.8.46/31移动和内层防火墙ASA5540汇聚交换机4506外层防火墙ISG 1000F5 LC15001250i核心交换机6509ED D OSD D OSCisco 3750G1.3 IP:10.0.9.30/28G1.1G1/1G1/1G1/12G1/12G1.2G1.1电信对端:220.231.47.161/24电信：220.231.47.163电信（VIP):220.231.47.162/28 118.102.22.1/23电信：(1)220.231.47.163 (2)220.231.47.164 (1)118.102.22.2 (2)118.102.22.3G1.8 IP:1.1.1.1 G1.8 IP:1.1.1.2汇聚交换机4506Citrix汇聚交换机4506G3/6G1/2防火墙ASA5540G1/0互联网Server防火墙ISG 1000汇聚交换机4506防火墙ASA5540互联网汇聚交换机4506Citrix 防火墙ISG 1000防火墙ASA5540SSL VPN IPX2000INOUTG1/0G3/2Vlan813汇聚交换机4506G2/3virtual site:108.102.22.11—>10.0.205.11/25—> —>10.0.64.0/24 OA-AD 认证virtual site:108.102.22.12—>10.0.205.12/25—> —>10.0.65.0/24 VIP-RSA 认证virtual site:108.102.22.11—>10.0.205.13/25—> —>10.0.66.0/24 Enc(暂无序列号)核心6509ESSL VPN IPX2000INOUT核心6509Evirtual site:10.0.225.1/24—>10.0.72.0/24 OA-ACS-AD 认证G1/2 VLAN 807-管理G1/2 VLAN 807-管理Ip:10.0.8.182/29G1/1 VLAN 805-测试Ip:10.0.8.165/29G1/1 VLAN805-测试Ip:10.0.8.166/29 CHANNEL:G1/2G1/24G0/3 VLAN 24-OA24Ip:10.0.24.254/24G0/3 VLAN 25-OA25Ip:10.0.25.254/24G0/3 VLAN806-OAIp:10.0.8.173/29G0/3 VLAN806-OAIp:10.0.8.174/29G0/3 VLAN 24-OA24Ip:10.0.24.253/24G0/3 VLAN 25-OA25Ip:10.0.25.253/24核心交换机6509E3560G机接入防火墙ASA5540CHANNEL:G1/2OMT 区ASA5540办公区/Call Center 区核心交换机6509ECHANNEL:G1/2管理Vlan:699，Vlan:699，IP:10.0.4.130Extranet 合作伙伴接入区Intranet 广域网接入区CHANNEL:G1/1本地交换机线路123G1/0/13 4567G2/0/13 8交换机3750核心交换机6509E防火墙ISG1000管理Vlan:699，管理IP:10.0.4.67—86/26网关IP ：10.0.4.87管理Vlan:699管理IP:10.0.4.65/26网关IP ：10.0.4.87Vlan:699IP:10.0.4.66/26IP ：10.0.4.87管理Vlan:699管理IP:10.0.4.87/26。