网工 2021案例

某园区组网图如图1-1所示,该网络中接入交换机利用QinQ技术实现二层隔离,根据不同位置用户信息打外层VLAN标记,可以有效避免广播风暴,实现用户到网关流量得统一管理。同时在网络中部署集群交换机系统CSS及Eth-trunk,提高网络得可靠性。

  • 【问题1】(8分)
  • 请简要分析该网络接入层得组网特点(优点及缺点各回答2点)
  • 【问题2】(6分)
  • 当该园区网用户接入点增加,用户覆盖范围扩大,同时要求提高网络可靠性时,某网络工程师拟采用环网接入+虚拟网关得组网方式
  • (1) 如何调整交换机得连接方式组建环网?
  • (2) 在接入环网中如何避免出现网络广播风暴?
  • (3) 简要回答如何设置虚拟网关
  • 【问题3】(6分)
  • 该网络通过核心层进行认证计费,可采用得认证方式有哪些?
  • 【问题4】(5分)
  • (1)该网络中,出口路由器的主要作用有哪些?
  • (2)应添加什么设备加强内外网络边界安全防范?放置在什么位置?

问题1 :优点:vlan空间扩展,安全性、隔离性好、方便组网统一管理。缺点:设备要求高成本上升、存在单点故障

问题2:1)调整为环形或星形组建;2)核心层和接入层配置STP/MSTP;3)核心层交换机配置VRRP

问题3:MAC认证、802.1x、PORTAL(web)认证

问题4:1)NAT、ACL、路由;2)部署防火墙设备、放置在路由器和核心交换机之间

  • 利用QinQ提供接入时具用以下的优点:
    · 可以解决日益紧缺的公网VLAN ID资源问题;
    · 用户可以规划自己的私网VLAN ID,不会导致与公网VLAN ID冲突;
    · 提供一种较为简单的二层VPN解决方案;
    · 使用户网络具有较高的独立性,在服务提供商升级网络时,用户网络不必更改原有的配置;
    · 可以按不同层次的VLAN ID来区分不同的业务;
    · QinQ技术上完全可以多层嵌套,没有限制,仅受Ethernet报文长度的限制,具有很好的扩充性。
    缺点:对设备要求比较高、成本高、扩展性不强。

图2-1为某数据中心分布式存储系统网络架构拓扑图,每个分布式节点均配置1块双端口10GE光口网卡和1块1GE电口网卡,SW3是存储系统管理网络的接入交换机,交换机SW1和SW2连接各分布式节点和SW3交换机,用户通过交换机SW4接入访问分布式存储系统。

  • 【问题1】(10分)
  • 图2-1中,通过(1)技术将交换机SW1和SW2连接起来,从逻辑上组合成一台交换机,提高网络稳定性和交换机背板带宽;分布式节点上的2个10GE口采用(2)技术,可以实行存储节点和交换机之间的链路冗余和流量负载;交换机SW1与分布式节点连接介质应采用(3),SW3应选用端口速率至少为(4)bps的交换机,SW4应选用端口速率至少为(5)bps的交换机。
  • 【问题2】(9分)
  • 1.分布式存储系统采用什么技术实现数据冗余?
  • 2.分布式系统既要性能高,又要在考虑成本的情况下采用了廉价大容量磁盘,请说明如何配置磁盘较为合理?并说明配置的每种类型磁盘的用途。
  • 3.常见的分布式存储架构有无中心节点架构和有中心节点架构,HDFS(Hadoop Distribution File System)分布式文件系统属于(6)架构,该文件系统由一个(7)节点和若干个DataNode组成。
  • 【问题3】(6分)
  • 随着数据中心规模的不断扩大和能耗不断提升,建设绿色数据中心是构建新一代信息基础设施的重要任务,请简要说明在数据中心设计时可以采取哪些措施可以降低数据中心用电耗?(至少回答3点措施)

问题1:1)虚拟化技术(堆叠); 2)端口聚合; 3)光纤;4)1G ;5)10G

问题2:1、分布式存储的存储系统采用多副本机制和纠删码技术来保证数据的可靠性. ;2、当然随着SSD硬盘的迅猛发展,目前把SSD磁盘作为存储系统的Cache来降低内存对机械硬盘的访问延迟。SSD缓存的设计思想是把一块或多块SSD磁盘组成Cache资源池,通过系统对数据块访问频率的实时统计,把服务器当前访问频繁的热点数据从传统机械硬盘中动态地缓存到由SSD组成的Cache资源池中,利用SSD存取速度快的特点,来提升应用服务器的读写性能、提高应用服务器的访问效率。而存储数据从性价比的角度来看的话,可以选择SATA磁盘和SAS磁盘。3、有中心架构 、NameNode

问题3:1、采用水冷技术;2、机房选址在气候适宜地带;3、使用功耗低的CPU、4、服务器虚拟化技术;5、选择合适的空调系统;6、机柜布局合理(面对面)

  • 试题3
  • 案例一 安全测评工程师小张对某单位的信息系统进行安全渗透测试时,首先获取A系统部署的WebServer版本信息然后利用A系统的软件中间件漏洞,发现可以远程在A系统服务器上执行命令。小张控制A服务器后,尝试并成功修改网页。通过向服务器区域横向扫描,发现B和C服务器的root密码均为123456,利用该密码成功登录到服务器并获取root权限。
  • 案例二 网络管理员小王在巡查时发现网站访问日志中有多条非正常记录。 其中,日志1访问记录为: www.xx.com/ param=1″and updatexml(1, concat(0x7e (SEL ECT MD5(1234),0x7e), 1) 日志2访问记录为 www.xx.com/js/url. substring(0, indexN2)}/ alert(url);url+= 小王立即采取措施,加强Web安全防范。
  • 案例三 某信息系统在2018年上线时,在公安机关备案为等级保护第三级,单位主管认为系统已经定级,此后无须再做等保安全评测。
  • 【问题1】(6分)
  • 信息安全管理机构是行使单位信息安全管理职能的重要机构,各个单位应设立(1)领导小组,作为本单位信息安全工作的最高领导决策机构。设立信息安全管理岗位并明确职责,至少应包含安全主管和“三员”岗位,其中“三员”岗位中:(2)岗位职责包括信息系统安全监督和网络安全管理沟通、协调和组织处信息安全事件等;系统管理员岗位职责包括网络安全设备和服务器的配置、部署、运行维护和日常管理等工作;(3)岗位职责包括对安全、网络、系统、应用、数据库等管理人员的操作行为进行审计,监督信息安全制度执行情况。
  • 【问题2】(9分)
  • 1.请分析案例一信息系统存在的安全隐患和问题(至少回答5点);
  • 2.针对案例一存在的安全隐患和问题,提出相应的整改措施(至少回答4点)
  • 【问题3】(6分)
  • 1. 案例二中,日志1所示访问记录是(4)攻击,日志2所示访问记录是(5)攻击
  • 2. 案例二中,小王应采取哪些措施加强web安全防范?
  • 【问题4】(4分)
  • 案例三中,单位主管的做法明显不符合网络安全等级保护制度要求,请问,该信息系统应该至少(6)年进行一次等保安全评测,该信息系统的网.络日志至少应保存(7)个月。

问题1:1、信息安全领导小组、安全管理员、安全审计员

问题2:1、WebServer版本未屏蔽、弱密码、密码复杂度策略失效、未定期修改密码、root用户远程登录未禁止;中间件漏洞没有修复2、添加部署漏洞扫描系统、修改强密码、添加WAF防护、禁用root远程登录 、定期修改密码

问题3:1、SQL注入攻击 、跨站脚本攻击 ;2、添加部署WAF、IPS、IDS设备、禁止特殊字符输入、严格输入输出

问题4:1年、6个月