某校园网拓扑结构如图1-1所示。<br /><br />3.所有计算机采用静态IP地址。<br />4.学校..

免费智能真题库 > 历年试卷 > 网络工程师 > 2010年上半年网络工程师下午试卷案例

第1题

知识点： IP地址 net FTP 防火墙交换机流媒体数据库数据流线路

某校园网拓扑结构如图1-1所示。

该网络中的部分需求如下：
1.信息中心距图书馆2千米，距教学楼300米，距实验楼200米。
2.图书馆的汇聚交换机置于图书馆主机房内，楼层设备间共2个，分别位于二层和四层，距图书馆主机房距离均大于200米，其中，二层设备间负责一、二层的计算机接入，四层设备间负责三、四、五层的计算机接入，各层信息点数如表1-1所示。

3.所有计算机采用静态IP地址。
4.学校网络要求千兆干线，百兆到桌面。
5.信息中心有两条百兆出口线路，在防火墙上根据外网IP设置出口策略，分别从两个出口访问Internet。
6.信息中心共有多台服务器，通过交换机接入防火墙。
7.信息中心提供的信息服务包括Web、FTP、数据库、流媒体等，数据流量较大，要求千兆接入。

问题：1.1 根据网络的需求和拓扑图，在满足网络功能的前提下，本着最节约成本的布线方式，传输介质1应采用（1)，传输介质2应采用（2),传输介质3应采用（3), 传输介质4应采用（4)。
(1)〜（4)备选答案：
A.单模光纤
B.多模光纤
C.基带同轴电缆
D.宽带同轴电缆
E. 1类双绞线
F. 5类双绞线

问题：1.2 学校根据网络需求选择了四种类型的交换机，其基本参数如表1-2所示。

根据网络需求、拓扑图和交换机参数类型，在图1-1中，Switch 1应采用（5)类型交换机，Switch 2应采用（6)类型交换机，Switch3应采用（7)类型交换机， Switch 4应采用（8)类型交换机。　　
根据需求描述和所选交换机类型，图书馆二层设备间最少需要交换机（9)台，图书馆四层设备间最少需要交换机（10)台。

问题：1.3 该网络采用核心层、汇聚层、接入层的三层架构。根据层次化网络设计的原则，数据包过滤、协议转换应在（11)层完成;(12)层提供高速骨干线路:MAC层过滤和IP地址绑定在（13)层完成。

问题：1.4 根据该网络的需求，防火墙至少需要（14)个百兆接口和（15)个千兆接口。


知识点讲解
· IP地址 · net · FTP · 防火墙 · 交换机 · 流媒体 · 数据库 · 数据流 · 线路

IP地址

一个IP地址由网络号和主机号两部分组成，由4字节共32位的数字串组成，这4字节通常用小数点分隔。每字节可用十进制表示，如192.46.8.22。IP地址也可以用二进制和十六进制表示。

IP地址分类

IP地址分为5类，如下表所示，其中A、B、C类是常用地址。

Internet的IP地址空间容量

IP地址除了标识一台主机外，还有几种具有特殊意义的形式。

（1）本网络的本台主机。若一个IP地址由全0组成，即0.0.0.0，表示在本网络上本台主机，当一台主机在运行引导程序但又不知道其IP地址时使用该地址。

（2）本网络的某台主机。网络号各位全为"0"的IP地址，表示在这个网络中的特定主机。它用于一个主机向同网络中其他主机发送报文。

（3）网络地址。主机号各位全为"0"的IP地址标识本网络的网络地址，不分配给任何主机。

（4）直接广播地址（有时就简称为广播地址）。主机号各位全为"1"的IP地址，不分配给任何主机，它用于将一个分组发送给特定网络上的所有主机，即对全网广播。

（5）受限（本地）广播地址。受限广播地址是32位全1的IP地址（255.255.255.255）。该地址用于主机配置过程中IP数据报的目的地址，此时，主机可能还不知道它所在网络的网络掩码，甚至连它的IP地址也不知道。在任何情况下，路由器都不转发目的地址为受限的广播地址的数据报，这样的数据报仅出现在本地网络中。

（6）回送地址（Loopback Address）。A类网络地址127.X.X.X是一个保留地址，用于网络软件测试以及本地进程间的通信。

如果一个组织不需要接入到因特网上，但需要在其网络上运行TCP/IP协议，最佳选择是使用私网地址，但Internet中路由器一般不转发目标地址为私网地址的数据包。私网地址如下表所示。

私网IP地址空间

子网划分和子网掩码

由于IP地址的分配是以"网络"为单位进行的，如果一个部门拥有256个用户接入Internet，至少应该为该部门分配两个连续的C类网地址。很显然，这种分配制度导致了大量的IP地址资源的浪费。为了提高IP地址的使用效率，可采用借位的方式将一个网络划分为子网：从主机号最高位开始借位变为新的子网号，所剩余的部分仍为主机号。这使得IP地址的结构分为3部分：网络号、子网号和主机号。

引入子网划分技术后带来了一个重要问题，即主机路由和路由设备如何判断一个给定的IP地址是否已经进行了子网划分，从而能正确地从IP地址中分离出有效的网络标识。通常，将引入子网划分技术前的A、B、C类地址称为有类别（Classful）的IP地址；将引入子网划分技术后的IP地址称为无类别（Classless）的IP地址，并因此引入子网掩码来描述IP地址中关于网络标识和主机号位数的组成情况。

子网掩码（Subnetmask）通常与IP地址配对出现，其功能是告知主机或路由设备，IP地址的哪一部分代表网络号部分，哪一部分代表主机号部分。子网掩码使用与IP地址相同的编码格式，长32位，由一串1和跟随的一串0组成。子网掩码中的1对应于IP地址中的网络号（net-id）和子网号（subnet-id），而子网掩码中的0对应于IP地址中的主机号（host-id）。要得到网络或子网地址，只需将IP地址和子网掩码按位进行"与"运算即可。

子网掩码有两种表示方法。

（1）用点分十进制表示法表示，如256.256.256.0、256.256.256.240等。

（2）在IP地址后加一个"／网络号和子网号的位数"。例如，210.46.12.58/28就表示该IP地址的网络号（net-id）和子网号（subnet-id）共占用28位，主机号占用32-28=4位，如果用点分十进制表示法表示，则子网掩码为256.256.256.240，其二进制表示为

11111111 11111111 11111111 11110000

采用子网掩码是对网络编址的有益补充，但是还存在着一些缺陷，如划分的子网中较小的会浪费许多地址。为了解决这个问题，避免任何可能的地址浪费，就出现了可变长子网掩码（Variable Length Subnetwork Mask, VLSM）的编址方案。VLSM允许一个网络使用不同的网络掩码以适应不同规模的子网要求。

net

在网络管理中，最为常用的就是net命令家族。常用的net命令有以下几个。

.net view命令：显示由指定的计算机共享的域、计算机或资源的列表。

.net share：用于管理共享资源，使网络用户可以使用某一服务器上的资源。

.net use命令：用于将计算机与共享的资源相连接或断开，或者显示关于计算机连接的信息。

.net start命令：用于启动服务，或显示已启动服务的列表。

.net stop命令：用于停止正在运行的服务。

.net user命令：可用来添加或修改计算机上的用户账户，或者显示用户账户的信息。

.net config命令：显示正在运行的可配置服务，或显示和更改服务器服务或工作站服务的设置。

.net send命令：用于将消息（可以是中文）发送到网络上的其他用户、计算机或者消息名称上。

.net localgroup命令：用于添加、显示或修改本地组。

.net accounts命令：可用来更新用户账户数据库、更改密码及所有账户的登录要求。

FTP

文件传输协议（File Transfer Protocol，FTP）用来在计算机之间传输文件。通常，一个用户需要在FTP服务器中进行注册，即建立用户账号，在拥有合法的登录用户名和密码后，才有可能进行有效的FTP连接和登录。FTP在客户端与服务器的内部建立两条TCP连接：一条是控制连接，主要用于传输命令和参数（端口号为21）；另一条是数据连接，主要用于传送文件（端口号为20）。

防火墙

防火墙的基本概念

防火墙的概念源于早期为防止火灾蔓延在房屋周围修建的矮墙。在网络安全中，防火墙是在内部网与外部网之间构筑的一道保护屏障，是执行访问控制策略的一个或一组系统。通过执行访问控制策略，提供授权通信，保护内部网不受外部非法用户的入侵，控制内部网与外部网之间数据流量。

防火墙可以是硬件，也可以是软件，或是二者结合。防火墙系统决定了哪些内部服务可以被外界访问，外界的哪些人可以访问内部服务，哪些外部服务可以被内部人员访问等。防火墙必须只允许授权的数据通过，其本身也必须能够免于渗透，但防火墙不是对网络内的每台计算机分别进行保护，而是让所有外部对内部网计算机的信息访问都通过某个点，防火墙就是保护这个点。防火墙技术是实现网络安全的主要手段之一。目前，企业内部网络与因特网之间的有效隔离方式大都采用的是防火墙技术。

防火墙的功能

防火墙主要用于实现网络路由的安全性。网络路由的安全性包括两个方面：限制外部网对内部网的访问，从而保护内部网特定资源免受非法侵犯；限制内部网对外部网的访问，主要是针对一些不健康信息及敏感信息的访问。

防火墙具有以下优点：

（1）保护那些易受攻击的服务。防火墙能过滤那些不安全的服务（如NFS等）。只有预先被允许的服务才能通过防火墙，这样就降低了受到攻击的风险性，大大地提高了网络的安全性。

（2）控制对特殊站点的访问。防火墙能控制对特殊站点的访问。如有些主机能被外部网络访问，而有些则要被保护起来，防止不必要的访问。通常会有这样一种情况，在内部网中只有Mail服务器、FTP服务器和WWW服务器能被外部网访问，而其他访问则被主机禁止。

（3）集中化的安全管理。对于一个企业而言，使用防火墙比不使用防火墙可能更加经济一些。这是因为如果使用了防火墙，就可以将所有修改过的软件和附加的安全软件都放在防火墙上集中管理；而不使用防火墙，就必须将所有软件分散到各个主机上。

（4）对网络访问进行记录和统计。如果所有对Internet的访问都经过防火墙，那么防火墙就能记录下这些访问，并能提供网络使用情况的统计数据。当发生可疑动作时，防火墙能够报警，并提供网络是否受到监测和攻击的详细信息。

防火墙也有一些不能实现的功能：

（1）限制有用的网络服务。防火墙为了提高被保护网络的安全性，限制或关闭了很多有用但存在安全缺陷的网络服务。

（2）不能防范内部网络用户的攻击。目前防火墙只提供了对外部网络用户攻击的防护，对来自内部网络用户的攻击只能依靠内部网络主机系统的安全性。

（3）不能完全防范病毒。因为病毒的类型很多，操作系统各异，编码与压缩二进制文件的方法也各不相同，因此防火墙不能完全防止传送已感染病毒的软件或文件，不能期望防火墙对每一个文件进行扫描，查出潜在的病毒。

防火墙的分类

从技术角度分类，防火墙可以分为包过滤防火墙、代理服务防火墙和复合型防火墙。

包过滤防火墙

网络传输数据是以“包”为单位进行的，数据被分割成一定大小的数据包，每个数据包中都会含有一些特定的信息，如数据的源地址、目标地址、TCP/UDP源端口和目标端口等。防火墙可通过对数据包的源地址、目的地址及端口等的检查，判断数据包是否来自可信任的安全站点。如果发现来自危险站点的数据包，防火墙将会拒绝其通过。

包过滤防火墙是最简单的防火墙，使用方便，实现成本低。分组过滤在网络层实现，不要求改动应用程序，也不要求用户学习任何新的东西，对用户来讲是透明的，用户基本感觉不到分组过滤器的存在。但也存在一个问题，就是过滤器不能在用户层次上进行安全过滤，即在同一台机器上，过滤器分辨不出是哪个用户的报文。

包过滤防火墙的工作原理如下图所示。

包过滤防火墙

代理服务防火墙

代理服务防火墙使用一个客户程序与特定的中间节点（防火墙）连接，然后中间节点与服务器进行实际连接。代理服务防火墙使内网用户对外网的访问变成防火墙对外网的访问，然后再由防火墙转发给内网用户。

代理服务防火墙工作原理如下图所示。

代理服务防火墙

代理服务防火墙也被称为应用网关防火墙，其核心技术就是代理服务器技术。它采用为每种所需服务在网关上安装特殊代码（代理服务）的方式来管理Internet服务。其应用原理是：当代理服务器收到客户对自己代理的某Web站点的访问请求后，就检查该请求是否符合规定；如果规则允许用户访问该站点时，代理服务器代理客户在该站点取回所需信息，再转发给客户。代理服务器在外部网络向内部网络申请服务时发挥了中间转接的作用，体现了“应用代理”的角色。

使用代理服务器技术，所有通信都必须经应用层代理软件转发，访问者任何时候都不能与服务器建立直接的TCP连接，彻底隔断了内网与外网的直接通信，从外部网只能看到代理服务器而不能了解内部网的资源信息，如用户的真实IP地址等。代理服务器提供详细的日志和审计功能，应用层的协议会话过程必须符合代理的安全策略要求，访问业务都由“守规矩”的代理服务器代劳。因此，代理服务防火墙的安全性大大提高。

代理服务器基于特定的应用，因此需要对每个应用服务（如Telnet、FTP）安装相应的代理服务软件，未被服务器支持的网络服务用户不能使用，因此代理服务防火墙维护量大，使用具有一定的局限性。由于需要代理服务，造成了网络性能下降，网络访问速度变慢。此外，每类应用服务需要使用特殊的客户端软件，并进行一些相关设置，使得代理服务防火墙的透明性较差。

复合型防火墙

复合型防火墙将前两类防火墙结合起来，形成新的产品，以发挥各自优势，克服各自缺点，满足更高安全性要求。

防火墙的安全控制模型

防火墙通常有两种安全模型可以选择：没有被列为允许访问的服务都是被禁止的；没有被列为禁止访问的服务都是被允许的。

为网络建立防火墙，首先需要决定防火墙采取何种安全控制模型。采取第一种安全控制模型，需要确定所有可以被提供的服务以及它们的安全特性，开放这些服务；将所有其他未被列入的服务排除在外，禁止访问。采取第二种安全控制模型，正好相反，需要确定那些被认为是不安全的服务，禁止其访问；而其他服务则被认为是安全的，允许访问。找出网络所有的漏洞，排除所有的非法服务，一般是很难的。从安全性角度考虑，第一种模型更可取一些，而从灵活性和使用方便性的角度考虑，则第二种模型更合适。

防火墙与Web服务器的配置方式

根据需要，防火墙与Web服务器的配置会有所不同，主要有三种：

（1）Web服务器置于防火墙之内。这种方式Web服务器可以得到安全保护，不易被外界攻击，但Web服务器本身也不易被外界所用。

（2）Web服务器置于防火墙之外。这种方式主要保证了内部网安全，Web服务器不受到保护。需要注意的是，有些防火墙结构不允许将Web服务器设置在防火墙之外。

（3）Web服务器置于防火墙之上。这种方式增强了Web服务器的安全性，但是如果Web服务器出现问题，整个Web站点和内部网都会处于危险之中。

交换机

交换机是一个具有简化、低价、高性能和高端口密集特点的交换产品，它是按每一个包中的MAC地址相对简单地决策信息转发，而这种转发决策一般不考虑包中隐藏的更深的其他信息。交换机转发数据的延迟很小，操作接近单个局域网性能，远远超过了普通桥接的转发性能。交换技术允许共享型和专用型的局域网段进行带宽调整，以减轻局域网之间信息流通出现的瓶颈问题。

交换机的工作过程为：当交换机从某一节点收到一个以太网帧后，将立即在其内存中的地址表（端口号一MAC地址）进行查找，以确认该目的MAC的网卡连接在哪一个节点上，然后将该帧转发至该节点。如果在地址表中没有找到该MAC地址，也就是说，该目的MAC地址是首次出现，交换机就将数据包广播到所有节点。拥有该MAC地址的网卡在接收到该广播帧后，将立即做出应答，从而使交换机将其节点的“MAC地址”添加到MAC地址表中。

交换机的三种交换技术：端口交换、帧交换和信元交换。

（1）端口交换技术用于将以太模块的端口在背板的多个网段之间进行分配、平衡。

（2）帧交换技术对网络帧的处理方式分为直通交换和存储转发。其中，直通交换方式可提供线速处理能力，交换机只读出网络帧的前14个字节，便将网络帧传送到相应的端口上；存储转发方式通过对网络帧的读取进行验错和控制。

（3）信元交换技术采用长度（53个字节）固定的信元交换，由于长度固定，因而便于用硬件实现。

流媒体

“流”是近年在Internet上出现的新概念，其定义非常广泛，主要指通过网络传输多媒体数据的技术总称。流媒体包含广义和狭义两种内涵：广义上的流媒体指的是使音频和视频形成稳定和连续的传输流和回放流的一系列技术、方法和协议的总称，即流媒体技术；狭义上的流媒体是相对于传统的下载-回放方式而言的，指的是一种从Internet上获取音频和视频等多媒体数据的新方法，它能够支持多媒体数据流的实时传输和实时播放。通过运用流媒体技术，服务器能够向客户机发送稳定和连续的多媒体数据流，客户机在接收数据的同时以一个稳定的速率回放，而不用等数据全部下载完之后再进行回放。

目前实现流媒体传输主要有两种方法：顺序流传输和实时流传输，它们分别适合不同的应用场合。

（1）顺序流传输。顺序流传输采用顺序下载的方式进行传输，在下载的同时用户可以在线回放多媒体数据，但给定时刻只能观看已经下载的部分，不能跳到尚未下载的部分，也不能在传输期间根据网络状况对下载速度进行调整。由于标准的HTTP服务器就可以发送这种形式的流媒体，而不需要其他特殊协议的支持，因此也常常被称作HTTP流式传输。顺序流式传输比较适合高质量的多媒体片段，如片头、片尾或者广告等。

（2）实时流传输。实时流式传输保证媒体信号带宽能够与当前网络状况相匹配，从而使得流媒体数据总是被实时地传送，因此特别适合现场事件。实时流传输支持随机访问，即用户可以通过快进或者后退操作来观看前面或者后面的内容。从理论上讲，实时流媒体一经播放就不会停顿，但事实上仍有可能发生周期性的暂停现象，尤其是在网络状况恶化时更是如此。与顺序流传输不同的是实时流传输需要用到特定的流媒体服务器，而且还需要特定网络协议的支持。

在流媒体传输中，使用的主要协议如下：

（1）PNA（Progressive Networks Audio，顺序网络音频）：Real专用的实时传输协议，它一般采用UDP协议，并占用7070号端口，但当服务器在防火墙内且7070号端口被挡，服务器把SmartingNetwork设为真时，则采用HTTP协议，并占用默认的80号端口。

（2）MMS（Microsoft Media Server Protocol，微软的流媒体服务器协议）：连接Windows Media单播服务的默认方法。

（3）RTP（Real-time Transport Protocol，实时传输协议）：在Internet上处理多媒体数据流的一种网络协议，利用它能够在单播或者多播的网络环境中实现流媒体数据的实时传输。RTP通常使用UDP来进行多媒体数据的传输，但如果需要的话可以使用TCP或者ATM等其他协议，整个RTP协议由两个密切相关的部分组成：RTP数据协议和RTP控制协议。

（4）RTCP（Real-time Transport Control Protocol，实时传输控制协议）：需要与RTP数据协议配合使用，当应用程序启动一个RTP会话时将同时占用两个端口，分别供RTP和RTCP使用。RTP本身并不能为按序传输数据包提供可靠的保证，也不提供流量控制和拥塞控制，这些都由RTCP来负责完成。通常RTCP会采用与RTP相同的分发机制，向会话中的所有成员周期性地发送控制信息，应用程序通过接收这些数据，从中获取会话参与者的相关资料，以及网络状况、分组丢失概率等反馈信息，从而能够对服务质量进行控制或者对网络状况进行诊断。

（5）RTSP（Real Time Streaming Protocol，实时流协议）：位于RTP和RTCP之上，其目的是希望通过IP网络有效地传输多媒体数据。作为一个应用层协议，RTSP提供了一个可供扩展的框架，它的意义在于使得实时流媒体数据的受控和点播变得可能。RTSP主要用来控制具有实时特性的数据发送，但它本身并不传输数据，而必须依赖于下层传输协议所提供的某些服务。RTSP可以对流媒体提供诸如播放、暂停、快进等操作，它负责定义具体的控制消息、操作方法、状态码等，此外还描述了与RTP间的交互操作。

数据库

数据库（DataBase，DB）是指长期存储在计算机内的、有组织的、可共享的数据集合。数据库中的数据按一定的数据模型组织、描述和存储，具有较小的冗余度、较高的数据独立性和易扩展性，并可为各种用户共享。

系统使用的所有数据存储在一个或几个数据库中。

数据流

数据流由一组固定成分的数据组成，表示数据的流向。在DFD中，数据流的流向可以有以下几种：从一个加工流向另一个加工；从加工流向数据存储（写）；从数据存储流向加工（读）；从外部实体流向加工（输入）；从加工流向外部实体（输出）。

DFD中的每个数据流用一个定义明确的名字表示。除了流向数据存储或从数据存储流出的数据流不必命名外，每个数据流都必须有一个合适的名字，以反映该数据流的含义。

数据流或者由具体的数据属性（也称为数据结构）构成，或者由其他数据流构成。组合数据流是由其他数据流构成的数据流，它们用于在高层的数据流图中组合相似的数据流，以使数据流图更便于阅读。

控制流是对数据流图的补充，采用虚线表示，是对由触发系统功能的事件进行描述。

另外，一个加工可以有多个输入数据流和多个输出数据流，此时可以加上一些扩充字符符号或图形元素来描述多个数据流之间的关系。如：

（1）星号（*）。星号表示数据流之间存在“与”关系。如果是输入流则表示所有输入数据流全部到达后才能进行加工处理；如果是输出流则表示加工结束将同时产生所有的输出数据流。

（2）加号（+）。加号表示数据流之间存在“或”关系。如果是输入流则表示其中任何一个输入数据流到达后就能进行加工处理；如果是输出流则表示加工处理的结果是至少产生其中一个输出数据流。

（3）异或（⊕）。异或表示数据流之间存在“互斥”关系。如果是输入流则表示当且仅当其中一个输入流到达后才能进行加工处理；如果是输出流则表示加工处理的结果是仅产生这些输出数据流中的一个。

线路

在两个结点间承载信息流的信道称为线路（line）。线路可以是采用电话线、电缆、光纤等有线信道，也可以是无线电信道。

题号导航 2010年上半年网络工程师下午试卷案例

本试卷我的完整做题情况



	第1题在手机中做本题