免费智能真题库 > 历年试卷 > 网络工程师 > 2023年上半年 网络工程师 下午试卷 案例
  第1题      
  知识点:   防火墙   光纤   交换机

 
某企业办公楼网络拓扑如图1-1所示。该网络中交换机Switch1-Switch4均是二层设备,分布在办公楼的各层,上联采用千兆光纤。核心交换机防火墙、服务器部署在数据机房,其中核心交换机实现冗余配置。
 
问题:1.1   (4分)
该企业办公网络采用172.16.1.0/25地址段,部门终端数量如表1-1所示,请将网络地址规划补充完整。
 
问题:1.2   (6分)
(1)简要说明图1-1中干线布线与水平布线子系统分别对应的区间。
(2)在网络线路施工中应遵循哪些规范?(至少回答4点)
 
问题:1.3   (6分)
若将PC-1、PC-2划分在同一个VLAN进行通信,需要在相关交换机上做哪些配置?在配置完成后应检查哪些内容?
 
问题:1.4   (4分)
(1)简要说明该网络中核心交换机有哪几种冗余配置方式。
(2)在该网络中增加终端接入认证设备,可以选择在接入层、核心层或者DMZ区部署。请选择最合理的部署区域并说明理由。
 
 
 

   知识点讲解    
   · 防火墙    · 光纤    · 交换机
 
       防火墙
               防火墙的基本概念
               防火墙的概念源于早期为防止火灾蔓延在房屋周围修建的矮墙。在网络安全中,防火墙是在内部网与外部网之间构筑的一道保护屏障,是执行访问控制策略的一个或一组系统。通过执行访问控制策略,提供授权通信,保护内部网不受外部非法用户的入侵,控制内部网与外部网之间数据流量。
               防火墙可以是硬件,也可以是软件,或是二者结合。防火墙系统决定了哪些内部服务可以被外界访问,外界的哪些人可以访问内部服务,哪些外部服务可以被内部人员访问等。防火墙必须只允许授权的数据通过,其本身也必须能够免于渗透,但防火墙不是对网络内的每台计算机分别进行保护,而是让所有外部对内部网计算机的信息访问都通过某个点,防火墙就是保护这个点。防火墙技术是实现网络安全的主要手段之一。目前,企业内部网络与因特网之间的有效隔离方式大都采用的是防火墙技术。
               防火墙的功能
               防火墙主要用于实现网络路由的安全性。网络路由的安全性包括两个方面:限制外部网对内部网的访问,从而保护内部网特定资源免受非法侵犯;限制内部网对外部网的访问,主要是针对一些不健康信息及敏感信息的访问。
               防火墙具有以下优点:
               (1)保护那些易受攻击的服务。防火墙能过滤那些不安全的服务(如NFS等)。只有预先被允许的服务才能通过防火墙,这样就降低了受到攻击的风险性,大大地提高了网络的安全性。
               (2)控制对特殊站点的访问。防火墙能控制对特殊站点的访问。如有些主机能被外部网络访问,而有些则要被保护起来,防止不必要的访问。通常会有这样一种情况,在内部网中只有Mail服务器、FTP服务器和WWW服务器能被外部网访问,而其他访问则被主机禁止。
               (3)集中化的安全管理。对于一个企业而言,使用防火墙比不使用防火墙可能更加经济一些。这是因为如果使用了防火墙,就可以将所有修改过的软件和附加的安全软件都放在防火墙上集中管理;而不使用防火墙,就必须将所有软件分散到各个主机上。
               (4)对网络访问进行记录和统计。如果所有对Internet的访问都经过防火墙,那么防火墙就能记录下这些访问,并能提供网络使用情况的统计数据。当发生可疑动作时,防火墙能够报警,并提供网络是否受到监测和攻击的详细信息。
               防火墙也有一些不能实现的功能:
               (1)限制有用的网络服务。防火墙为了提高被保护网络的安全性,限制或关闭了很多有用但存在安全缺陷的网络服务。
               (2)不能防范内部网络用户的攻击。目前防火墙只提供了对外部网络用户攻击的防护,对来自内部网络用户的攻击只能依靠内部网络主机系统的安全性。
               (3)不能完全防范病毒。因为病毒的类型很多,操作系统各异,编码与压缩二进制文件的方法也各不相同,因此防火墙不能完全防止传送已感染病毒的软件或文件,不能期望防火墙对每一个文件进行扫描,查出潜在的病毒。
               防火墙的分类
               从技术角度分类,防火墙可以分为包过滤防火墙、代理服务防火墙和复合型防火墙。
                      包过滤防火墙
                      网络传输数据是以“包”为单位进行的,数据被分割成一定大小的数据包,每个数据包中都会含有一些特定的信息,如数据的源地址、目标地址、TCP/UDP源端口和目标端口等。防火墙可通过对数据包的源地址、目的地址及端口等的检查,判断数据包是否来自可信任的安全站点。如果发现来自危险站点的数据包,防火墙将会拒绝其通过。
                      包过滤防火墙是最简单的防火墙,使用方便,实现成本低。分组过滤在网络层实现,不要求改动应用程序,也不要求用户学习任何新的东西,对用户来讲是透明的,用户基本感觉不到分组过滤器的存在。但也存在一个问题,就是过滤器不能在用户层次上进行安全过滤,即在同一台机器上,过滤器分辨不出是哪个用户的报文。
                      包过滤防火墙的工作原理如下图所示。
                      
                      包过滤防火墙
                      代理服务防火墙
                      代理服务防火墙使用一个客户程序与特定的中间节点(防火墙)连接,然后中间节点与服务器进行实际连接。代理服务防火墙使内网用户对外网的访问变成防火墙对外网的访问,然后再由防火墙转发给内网用户。
                      代理服务防火墙工作原理如下图所示。
                      
                      代理服务防火墙
                      代理服务防火墙也被称为应用网关防火墙,其核心技术就是代理服务器技术。它采用为每种所需服务在网关上安装特殊代码(代理服务)的方式来管理Internet服务。其应用原理是:当代理服务器收到客户对自己代理的某Web站点的访问请求后,就检查该请求是否符合规定;如果规则允许用户访问该站点时,代理服务器代理客户在该站点取回所需信息,再转发给客户。代理服务器在外部网络向内部网络申请服务时发挥了中间转接的作用,体现了“应用代理”的角色。
                      使用代理服务器技术,所有通信都必须经应用层代理软件转发,访问者任何时候都不能与服务器建立直接的TCP连接,彻底隔断了内网与外网的直接通信,从外部网只能看到代理服务器而不能了解内部网的资源信息,如用户的真实IP地址等。代理服务器提供详细的日志和审计功能,应用层的协议会话过程必须符合代理的安全策略要求,访问业务都由“守规矩”的代理服务器代劳。因此,代理服务防火墙的安全性大大提高。
                      代理服务器基于特定的应用,因此需要对每个应用服务(如Telnet、FTP)安装相应的代理服务软件,未被服务器支持的网络服务用户不能使用,因此代理服务防火墙维护量大,使用具有一定的局限性。由于需要代理服务,造成了网络性能下降,网络访问速度变慢。此外,每类应用服务需要使用特殊的客户端软件,并进行一些相关设置,使得代理服务防火墙的透明性较差。
                      复合型防火墙
                      复合型防火墙将前两类防火墙结合起来,形成新的产品,以发挥各自优势,克服各自缺点,满足更高安全性要求。
               防火墙的安全控制模型
               防火墙通常有两种安全模型可以选择:没有被列为允许访问的服务都是被禁止的;没有被列为禁止访问的服务都是被允许的。
               为网络建立防火墙,首先需要决定防火墙采取何种安全控制模型。采取第一种安全控制模型,需要确定所有可以被提供的服务以及它们的安全特性,开放这些服务;将所有其他未被列入的服务排除在外,禁止访问。采取第二种安全控制模型,正好相反,需要确定那些被认为是不安全的服务,禁止其访问;而其他服务则被认为是安全的,允许访问。找出网络所有的漏洞,排除所有的非法服务,一般是很难的。从安全性角度考虑,第一种模型更可取一些,而从灵活性和使用方便性的角度考虑,则第二种模型更合适。
               防火墙与Web服务器的配置方式
               根据需要,防火墙与Web服务器的配置会有所不同,主要有三种:
               (1)Web服务器置于防火墙之内。这种方式Web服务器可以得到安全保护,不易被外界攻击,但Web服务器本身也不易被外界所用。
               (2)Web服务器置于防火墙之外。这种方式主要保证了内部网安全,Web服务器不受到保护。需要注意的是,有些防火墙结构不允许将Web服务器设置在防火墙之外。
               (3)Web服务器置于防火墙之上。这种方式增强了Web服务器的安全性,但是如果Web服务器出现问题,整个Web站点和内部网都会处于危险之中。
 
       光纤
        光纤全称“光导纤维”。光纤是由前香港中文大学校长高锟提出并发明的。1970年美国康宁公司首先研制出衰减为20dB/km的单模光纤,从此以后,世界各国纷纷开展光纤研制和光纤通信的研究,并得到了广泛的应用。
        光纤是一种由玻璃或塑料制成的纤维,利用光的全反射原理而进行光传导的介质。是一种外包了一层保护层的、横截面积非常小的双层同心圆柱体。光纤结构如下图所示。
        
        光纤剖面图
        通常光纤与光缆两个名词会被混淆,多数光纤在使用前必须由几层保护结构包覆,包覆后的缆线即被称为光缆。
               光纤传输的优点
               与其他传输介质相比,光纤传输的主要优点如下:
               (1)传输频带宽、通信容量大。频带的宽窄代表传输容量的大小。载波的频率越高,可以传输信号的频带宽度就越大。载波频率为48.5~300MHz的VHF(Very high frequency,甚高频)频段,带宽约250MHz。可见光的频率达100THz,比VHF频段高出一百多万倍。尽管由于光纤对不同频率的光有不同的损耗,使频带宽度受到影响,但在最低损耗区的频带宽度也可达30THz。目前单个光源的带宽只占了其中很小的一部分(多模光纤的频带约几百兆赫,好的单模光纤可达10GHz以上),采用先进的相干光通信可以在30THz范围内安排2000个光载波,进行波分复用,传输频带更宽。
               (2)损耗低。在同轴电缆组成的系统中,最好的电缆在传输800MHz信号时,每公里的损耗都在40dB以上。相比之下,光导纤维的损耗则要小得多,传输1.31μm的光,每公里损耗在0.5dB以下,若传输1.55μm的光,每公里损耗更小,可达0.2dB以下。这就是同轴电缆的功率损耗的亿分之一倍,使其能传输的距离要远得多。此外,光纤传输损耗还有两个特点,一是在全部有线电视频道内具有相同的损耗,不需要像电缆干线那样必须引人均衡器进行均衡;二是其损耗几乎不随温度而变,不用担心因环境温度变化而造成干线电平的波动。
               (3)电磁绝缘性能好。光纤线缆传输的是光束,而光束是不受外界电磁干扰影响的,而且光纤本身也不向外辐射信号,也不容易窃听,因此它适用于长距离的信息传输以及要求高安全的场合。
               (4)中继器的间距距离大。整个通道的中继器数目可以减少,可以降低成本。根据贝尔实验室的测试,光纤线路中当数据速率为420Mb/s且距离为119km无中继器,误码率可以达到10-8
               (5)重量轻。因为光纤非常细,单模光纤芯线直径一般小于10μm,外径也只有125μm,加上防水层、加强筋、护套等,用4~48根光纤组成的光缆直径还不到13mm,比标准同轴电缆的直径47mm要小得多,加上光纤是玻璃纤维,比重小,使它具有直径小、重量轻的特点,安装十分方便。
               (6)工作性能可靠。一个系统的可靠性与组成该系统的设备数量有关。设备越多,发生故障的机会越大。因为光纤系统包含的设备数量少(不像电缆系统那样需要几十个放大器),可靠性自然也就高,加上光纤设备的寿命都很长,无故障工作时间达50万~75万小时,其中寿命最短的是光发射机中的激光器,最低寿命也在10万小时以上。故一个设计良好、正确安装调试的光纤系统的工作性能是非常可靠的。
               (7)成本不断下降。目前,有人提出了新摩尔定律,也叫做光学定律(Optical Law)。该定律指出,光纤传输信息的带宽,每6个月增加1倍,而价格降低1倍。光通信技术的发展,为Internet宽带技术的发展奠定了非常好的基础。这就为大型有线电视系统采用光纤传输方式扫清了最后一个障碍。由于制作光纤的材料(石英)来源十分丰富,随着技术的进步,成本还会进一步降低;而电缆所需的铜原料有限,价格会越来越高。显然,今后光纤传输将占绝对优势。
               光纤通信原理
               实际上,如果不是利用光全反射的原理,光纤传输系统会由于光纤的漏光而变得没有实际利用价值。当光线经过两种不同折射率的介质进行传播时(如从玻璃到空气),光线会发生折射,如下图(a)所示。假定光线在玻璃上的入射角为α1时,则在空气中的折射角为β1。折射量取决于两种介质的折射率之比。当光线在玻璃上的入射角大于某一临界值时,光线将完全反射回玻璃,而不会射入空气,这样,光线将被完全限制在光纤中,而且几乎无损耗地向前传播,如下图(b)所示。
               
               光折射原理
               在上图(b)中仅给出了一束光在玻璃内部全反射传播的情况。实际上,任何以大于临界值角度入射的光线,在不同介质的边界都将按全反射的方式在介质内传播,而且不同频率的光线在介质内部将以不同的反射角传播。
               光纤的分类
               根据光纤纤芯直径的粗细,可将光纤分为多模光纤(Multi-mode Fiber,MMF)和单模光纤(Single-mode Fiber,SMF)两种。如果光纤纤芯的直径较粗,则当不同频率的光信号(实际上就是不同颜色的光)在光纤中传播时,就有可能在光纤中沿不同传播路径进行传播,将具有这种特性的光纤称为多模光纤。如果将光纤纤芯直径一直缩小,直至光波波长大小的时候,则光纤此时如同一个波导,光在光纤中的传播几乎没有反射,而是沿直线传播,这样的光纤称为单模光纤。
               (1)单模光纤。单模光纤的纤芯直径很小,在给定的工作波长上只能以单一模式传输,传输频带宽,传输容量大。单模光纤的芯径为8~10μm,包层直径为125μm;使用的光波波长为1310nm、1550nm。
               (2)多模光纤。多模光纤是在给定的工作波长上能以多个模式同时传输的光纤。多模光纤的纤芯直径较粗一般为50~200μm,包层直径为125~230μm;使用的光波波长为850nm、1300nm。
               单模光纤的造价很高,且需要激光作为光源,但其无中继传输距离非常远,且能获得非常高的数据传输速率,一般用于广域网主干线路上。多模光纤相对来说无中继传播距离要短些,而且数据传输速率要小于单模光纤;但多模光纤的价格便宜一些,并且可以用发光二极管作为光源,多模光纤一般用于局域网组网时的传输介质。单模光纤与多模光纤的比较如下表所示。
               
               单模光纤与多模光纤的比较
               光纤的主要传播特性
               光纤的主要传播特性为损耗和色散。损耗是光信号在光纤中传输时发生的信号衰减,其单位为dB/km。色散是到达接收端的延迟误差,即脉冲宽度,其单位是μs/km。光纤的损耗会影响传输的中继距离,色散会影响数据传输速率,两者都很重要。自1976年以来,人们发现使用1.3μm和1.55μm波长的光信号通过光纤传输时的损耗幅度大约为0.5~0.2dB/km;而使用0.85μm波长的光信号通过光纤传输时的损耗幅度大约为3dB/km。使用0.85μm波长的光信号在多模光纤中传输时,色散可以降至10μs/km以下;而使用1.3μm波长的光信号在单模光纤中传输时,产生的色散近似于零。因此单模光纤在传输光信号时,产生的损耗和色散都比多模光纤要低得多,因此单模光纤支持无中继距离和数据传输速率都比多模光纤要高得多。
 
       交换机
        交换机是一个具有简化、低价、高性能和高端口密集特点的交换产品,它是按每一个包中的MAC地址相对简单地决策信息转发,而这种转发决策一般不考虑包中隐藏的更深的其他信息。交换机转发数据的延迟很小,操作接近单个局域网性能,远远超过了普通桥接的转发性能。交换技术允许共享型和专用型的局域网段进行带宽调整,以减轻局域网之间信息流通出现的瓶颈问题。
        交换机的工作过程为:当交换机从某一节点收到一个以太网帧后,将立即在其内存中的地址表(端口号一MAC地址)进行查找,以确认该目的MAC的网卡连接在哪一个节点上,然后将该帧转发至该节点。如果在地址表中没有找到该MAC地址,也就是说,该目的MAC地址是首次出现,交换机就将数据包广播到所有节点。拥有该MAC地址的网卡在接收到该广播帧后,将立即做出应答,从而使交换机将其节点的“MAC地址”添加到MAC地址表中。
        交换机的三种交换技术:端口交换、帧交换和信元交换。
        (1)端口交换技术用于将以太模块的端口在背板的多个网段之间进行分配、平衡。
        (2)帧交换技术对网络帧的处理方式分为直通交换和存储转发。其中,直通交换方式可提供线速处理能力,交换机只读出网络帧的前14个字节,便将网络帧传送到相应的端口上;存储转发方式通过对网络帧的读取进行验错和控制。
        (3)信元交换技术采用长度(53个字节)固定的信元交换,由于长度固定,因而便于用硬件实现。
   题号导航      2023年上半年 网络工程师 下午试卷 案例   本试卷我的完整做题情况  
1 /
2 /
3 /
4 /
 
第1题    在手机中做本题