免费智能真题库 > 历年试卷 > 网络规划设计师 > 2023年下半年 网络规划设计师 下午试卷 案例
  第2题      
  知识点:   net   VPN   防火墙   链路   线路

 
某企业网络拓扑如图所示,总部Core1与分部Core2之间租用专线链路互联,作为两个单位主通信线路,总部的Router1与分部的Router2通过Internet线路构建VPN 通道,作为两个单位的备用线路。总部的Router1、Core1和分部的Router2、Core2之间运行 OSPF,配置为单区域Area0。防火墙NGFW1、NGFW2以透明模式(业务接口工作在二层)部署在网络中。
 
问题:2.1   问题1(10分)
该企业规划的VPN通道起点和终点分别为总部Router1、分部Router2的Internet 接口,通过VPN通道传输的数据应进行加密保护,同时尽可能提升总部与分支之间VPN通道传输的效率。网络管理员经过需求分析,可选的VPN 技术有GRE VPN技术和IPSecVPN技术,结合题目请回答以下问题。
1.通过对比 GRE 与 IPSec的优劣势,发现二者优缺点互补,将二者同时启用才能满足业务需求,请问将二者同时启用的VPN 技术是(1)。
2.规划 IPSec 的封装模式选择(2),对传输的IP报文进行保护的安全协议选择(3)。
3.在此场景下,IPSec通过ACL定义需要保护的数据流,参照以下地址规划表,则总部Router1上配置ACL 匹配的源地址为(4),目的地址(5)。

 
问题:2.2   在网络中配置OSPF时,网络管理员进行了优化操作,请回答以下问题。
1.为提高链路状态变化时OSPF的收敛速度,可在Router1、Router2、Core1、Core2上配置(6)与OSPF联动,快速检测链路状态,使得故障检测时间达到毫秒级。
2.网络管理员规划在Router1、Router2上为OSPF引入缺省路由,由OSPF将缺省路由通告全网。在Router1、Router2采用手动配置命令方式,配置完成后路由器将产生一个(7)LSA,并通告到全网,达到全网缺省路由学习的目的。
3.为提高 OSPF 的安全性,当用户接口启用OSPF时,可在用户接口上配置(8),防止非法设备接入用户网络与现有网络设备建立邻居关系,这也是防止路由环路的一种方法;同时启用 OSPF的(9)认证,对本区域所有接口下的OSPF报文进行认证,防止非法设备与网络设备建立邻居关系。
 
问题:2.3   该企业计划对总部数据中心的Web业务进行IPv6改造升级。网络管理员对现有网络评估后规划在Router1配置NAT64方式实现,通常该方式需要搭配(10)一起实现。已知NAT64 前缀为:2001:CD:5:10A::/64,WEB服务器 IPv4 地址为:124.75.36.100,请问IPv6用户最终向该 WEB 服务器发起访问的IPv6 地址为(11)。
 
问题:2.4   为保证企业内网安全,计划启用网络准入认证方案,对所有接入网络的设备进行统一的认证和访问授权管理。已知现有网络设备支持的认证方式有PPPOE、802.1x、MAC认证和Web认证。请针对以下场景选择合适的认证方式,同时保证不为业务带来额外的开销。
1.企业内生产部门、研发部门等人员集中、信息安全要求严格的区域,设备接入网络需进行(12)认证。
2.针对企业会客厅、接待室、访客室等访客、临时人员可能停留的区域,开通访客网络进行(13)认证。
3.企业中存在打印机、传真机、智能门锁等设备,此类设备入网可采用(14)认证。
 
 
 

   知识点讲解    
   · net    · VPN    · 防火墙    · 链路    · 线路
 
       net
        在网络管理中,最为常用的就是net命令家族。常用的net命令有以下几个。
        .net view命令:显示由指定的计算机共享的域、计算机或资源的列表。
        .net share:用于管理共享资源,使网络用户可以使用某一服务器上的资源。
        .net use命令:用于将计算机与共享的资源相连接或断开,或者显示关于计算机连接的信息。
        .net start命令:用于启动服务,或显示已启动服务的列表。
        .net stop命令:用于停止正在运行的服务。
        .net user命令:可用来添加或修改计算机上的用户账户,或者显示用户账户的信息。
        .net config命令:显示正在运行的可配置服务,或显示和更改服务器服务或工作站服务的设置。
        .net send命令:用于将消息(可以是中文)发送到网络上的其他用户、计算机或者消息名称上。
        .net localgroup命令:用于添加、显示或修改本地组。
        .net accounts命令:可用来更新用户账户数据库、更改密码及所有账户的登录要求。
 
       VPN
        VPN是一种建立在公网上的虚拟专用网络,它利用IPSec、PFTP、LZTP和建立在PKI基础上的加密与数字签名技术获得机密性保护。在VPN中使用PKI技术能增强VPN的身份认证能力,确保数据的完整性和不可否认性。使用PKI技术能够有效建立和管理信任关系,利用数字证书既能阻止非法用户访问VPN,又能够限制合法用户对VPN的访问,同时还能对用户的各种活动进行严格审计。
 
       防火墙
               防火墙的基本概念
               防火墙的概念源于早期为防止火灾蔓延在房屋周围修建的矮墙。在网络安全中,防火墙是在内部网与外部网之间构筑的一道保护屏障,是执行访问控制策略的一个或一组系统。通过执行访问控制策略,提供授权通信,保护内部网不受外部非法用户的入侵,控制内部网与外部网之间数据流量。
               防火墙可以是硬件,也可以是软件,或是二者结合。防火墙系统决定了哪些内部服务可以被外界访问,外界的哪些人可以访问内部服务,哪些外部服务可以被内部人员访问等。防火墙必须只允许授权的数据通过,其本身也必须能够免于渗透,但防火墙不是对网络内的每台计算机分别进行保护,而是让所有外部对内部网计算机的信息访问都通过某个点,防火墙就是保护这个点。防火墙技术是实现网络安全的主要手段之一。目前,企业内部网络与因特网之间的有效隔离方式大都采用的是防火墙技术。
               防火墙的功能
               防火墙主要用于实现网络路由的安全性。网络路由的安全性包括两个方面:限制外部网对内部网的访问,从而保护内部网特定资源免受非法侵犯;限制内部网对外部网的访问,主要是针对一些不健康信息及敏感信息的访问。
               防火墙具有以下优点:
               (1)保护那些易受攻击的服务。防火墙能过滤那些不安全的服务(如NFS等)。只有预先被允许的服务才能通过防火墙,这样就降低了受到攻击的风险性,大大地提高了网络的安全性。
               (2)控制对特殊站点的访问。防火墙能控制对特殊站点的访问。如有些主机能被外部网络访问,而有些则要被保护起来,防止不必要的访问。通常会有这样一种情况,在内部网中只有Mail服务器、FTP服务器和WWW服务器能被外部网访问,而其他访问则被主机禁止。
               (3)集中化的安全管理。对于一个企业而言,使用防火墙比不使用防火墙可能更加经济一些。这是因为如果使用了防火墙,就可以将所有修改过的软件和附加的安全软件都放在防火墙上集中管理;而不使用防火墙,就必须将所有软件分散到各个主机上。
               (4)对网络访问进行记录和统计。如果所有对Internet的访问都经过防火墙,那么防火墙就能记录下这些访问,并能提供网络使用情况的统计数据。当发生可疑动作时,防火墙能够报警,并提供网络是否受到监测和攻击的详细信息。
               防火墙也有一些不能实现的功能:
               (1)限制有用的网络服务。防火墙为了提高被保护网络的安全性,限制或关闭了很多有用但存在安全缺陷的网络服务。
               (2)不能防范内部网络用户的攻击。目前防火墙只提供了对外部网络用户攻击的防护,对来自内部网络用户的攻击只能依靠内部网络主机系统的安全性。
               (3)不能完全防范病毒。因为病毒的类型很多,操作系统各异,编码与压缩二进制文件的方法也各不相同,因此防火墙不能完全防止传送已感染病毒的软件或文件,不能期望防火墙对每一个文件进行扫描,查出潜在的病毒。
               防火墙的分类
               从技术角度分类,防火墙可以分为包过滤防火墙、代理服务防火墙和复合型防火墙。
                      包过滤防火墙
                      网络传输数据是以“包”为单位进行的,数据被分割成一定大小的数据包,每个数据包中都会含有一些特定的信息,如数据的源地址、目标地址、TCP/UDP源端口和目标端口等。防火墙可通过对数据包的源地址、目的地址及端口等的检查,判断数据包是否来自可信任的安全站点。如果发现来自危险站点的数据包,防火墙将会拒绝其通过。
                      包过滤防火墙是最简单的防火墙,使用方便,实现成本低。分组过滤在网络层实现,不要求改动应用程序,也不要求用户学习任何新的东西,对用户来讲是透明的,用户基本感觉不到分组过滤器的存在。但也存在一个问题,就是过滤器不能在用户层次上进行安全过滤,即在同一台机器上,过滤器分辨不出是哪个用户的报文。
                      包过滤防火墙的工作原理如下图所示。
                      
                      包过滤防火墙
                      代理服务防火墙
                      代理服务防火墙使用一个客户程序与特定的中间节点(防火墙)连接,然后中间节点与服务器进行实际连接。代理服务防火墙使内网用户对外网的访问变成防火墙对外网的访问,然后再由防火墙转发给内网用户。
                      代理服务防火墙工作原理如下图所示。
                      
                      代理服务防火墙
                      代理服务防火墙也被称为应用网关防火墙,其核心技术就是代理服务器技术。它采用为每种所需服务在网关上安装特殊代码(代理服务)的方式来管理Internet服务。其应用原理是:当代理服务器收到客户对自己代理的某Web站点的访问请求后,就检查该请求是否符合规定;如果规则允许用户访问该站点时,代理服务器代理客户在该站点取回所需信息,再转发给客户。代理服务器在外部网络向内部网络申请服务时发挥了中间转接的作用,体现了“应用代理”的角色。
                      使用代理服务器技术,所有通信都必须经应用层代理软件转发,访问者任何时候都不能与服务器建立直接的TCP连接,彻底隔断了内网与外网的直接通信,从外部网只能看到代理服务器而不能了解内部网的资源信息,如用户的真实IP地址等。代理服务器提供详细的日志和审计功能,应用层的协议会话过程必须符合代理的安全策略要求,访问业务都由“守规矩”的代理服务器代劳。因此,代理服务防火墙的安全性大大提高。
                      代理服务器基于特定的应用,因此需要对每个应用服务(如Telnet、FTP)安装相应的代理服务软件,未被服务器支持的网络服务用户不能使用,因此代理服务防火墙维护量大,使用具有一定的局限性。由于需要代理服务,造成了网络性能下降,网络访问速度变慢。此外,每类应用服务需要使用特殊的客户端软件,并进行一些相关设置,使得代理服务防火墙的透明性较差。
                      复合型防火墙
                      复合型防火墙将前两类防火墙结合起来,形成新的产品,以发挥各自优势,克服各自缺点,满足更高安全性要求。
               防火墙的安全控制模型
               防火墙通常有两种安全模型可以选择:没有被列为允许访问的服务都是被禁止的;没有被列为禁止访问的服务都是被允许的。
               为网络建立防火墙,首先需要决定防火墙采取何种安全控制模型。采取第一种安全控制模型,需要确定所有可以被提供的服务以及它们的安全特性,开放这些服务;将所有其他未被列入的服务排除在外,禁止访问。采取第二种安全控制模型,正好相反,需要确定那些被认为是不安全的服务,禁止其访问;而其他服务则被认为是安全的,允许访问。找出网络所有的漏洞,排除所有的非法服务,一般是很难的。从安全性角度考虑,第一种模型更可取一些,而从灵活性和使用方便性的角度考虑,则第二种模型更合适。
               防火墙与Web服务器的配置方式
               根据需要,防火墙与Web服务器的配置会有所不同,主要有三种:
               (1)Web服务器置于防火墙之内。这种方式Web服务器可以得到安全保护,不易被外界攻击,但Web服务器本身也不易被外界所用。
               (2)Web服务器置于防火墙之外。这种方式主要保证了内部网安全,Web服务器不受到保护。需要注意的是,有些防火墙结构不允许将Web服务器设置在防火墙之外。
               (3)Web服务器置于防火墙之上。这种方式增强了Web服务器的安全性,但是如果Web服务器出现问题,整个Web站点和内部网都会处于危险之中。
 
       链路
        链路(link)指的是从发信点到收信点(即从信源到信宿)的一串结点和线路。链路通信是指端到端的通信。
        计算机网络从逻辑结构上可以分成两部分:负责数据处理、向网络用户提供各种网络资源及网络服务的外层用户资源子网和负责数据转发的内层通信子网。通信子网由分组交换结点(简记为R)及连接这些结点的链路组成,负责在主机(Host,H)间传输分组。资源子网由连在网上的主机构成,为网上用户提供共享资源,入网途径和方法。局域网中的每台主机都通过网卡连接到传输介质上,网卡负责在各个主机间传递数据,显然,网卡和传输介质构成了局域网的通信子网,而主机集合则构成了资源子网。用户子网指的是由主计算机、终端、通信控制设备、连网外设、各种软件资源等组成。通信子网分为点对点通信子网和广播式通信子网。它主要有三种组织形式:结合型、专用型和公用型,如下图所示。
        
        网络的组织形式
        计算机网络也可以看作是在物理上分布的相互协作的计算机系统。其硬件部分除了单体计算机、光纤、同轴电缆以及双绞线等传输媒体之外,还包括插入计算机中用于收发数据分组的各种通信网卡(在操作系统中,这些网卡不当成一种外部设备),把多台计算机连接到一起的集线器(hub,该设备近年正逐步被相应的交换机取代),扩展带宽和连接多台计算机用的交换机(switch)以及负责路径管理、控制网络交通情况的路由器或ATM交换机等。其中路由器或ATM交换机是构成广域网络的主要设备,而交换机和集线则是构成局域网络的主要设备。这些设备都可看作一种专用的计算机。
        综上所述,计算机网络是一个由不同传输媒体构成的通信子网,与这个通信子网连接的多台地理上分散的具有唯一地址的计算机,将数据划分为不同长度分组进行传输和处理的协议软件以及应用系统所组成的传输和共享信息的系统。
 
       线路
        在两个结点间承载信息流的信道称为线路(line)。线路可以是采用电话线、电缆、光纤等有线信道,也可以是无线电信道。
   题号导航      2023年下半年 网络规划设计师 下午试卷 案例   本试卷我的完整做题情况  
1 /
2 /
3 /
 
第2题    在手机中做本题