杏花亭_中级网络工程师2014下半年下午试题解读.doc

中级网络工程师 2014 下半年下午试题试题一阅读以下说明,根据要求回答下面问题。[说明] 某企业的网络结构如下图所示。 1、图中的网络设备①应为______ ,网络设备②应为______ ,从网络安全的角度出发,Switch9 所组成的网络一般称为______ 区。 ③处的网络设备的作用是检测流经内网的信息,提供对网络系统的安全保护。该设备提供主动防护,能预先对入侵活动和攻击性网络流量进行拦截,避免造成损失,而不是简单地在恶意流量传送时或传送后才发出警报。网络设备③应为______ ,其连接的 Switch1 的G1/1 端口称为______ 端口, 这种连接方式一般称为______ 。 2 、随着企业用户的增加,要求部署上网行为管理设备,对用户的上网行为进行安全分析、流量管理、网络访问控制等,以保证正常的上网需求。部署上网行为管理设备的位置应该在上图中的______ 和______ 之间比较合理。 2 .网卡的工作模式有直接、广播、多播和混杂四种模式,默认的工作模式为______ 和______ , 即它只接收广播帧和发给自己的帧。网络管理机在抓包时,需要把网卡置于______ ,这时网卡将接受同一子网内所有站点所发送的数据包,这样就可以达到对网络信息监视的目的。 3、针对上图中的网络结构,各台交换机需要运行______ 协议,以建立一个无环路的树状网络结构。按照该协议,交换机的默认优先级值为______ ,根交换机是根据______ 来选择的,值小的交换机为根交换机;如果交换机的优先级相同,再比较______ 。当上图中的 Switch1 ~Switch3 之间的某条链路出现故障时,为了使阻塞端口直接进入转发状态, 从而切换到备份链路上,需要在 Switch1 ~Switch3 上使用______ 功能。 4、根据层次化网络的设计原则,从上图中可以看出该企业网络采用了由______ 层和______ 层组成的两层架构。其中,MAC 地址过滤和 IP 地址绑定等功能是由______ 完成的,分组的高速转发是由______ 完成的。试题一答案 1、路由器或边界路由器防火墙或统一安全网关(LISG) ,或其他具有类似功能的网络安全设备DMZ 或非军事入侵防护系统(IPS) 或基于网络的入侵防护系统(NIPS) 镜像旁路模式[ 解析] 由上图所给出的设备连接信息可知,该企业网络拓扑按分区域、层次化结构进行设计,主要分为网络出口区域、外部服务器区域、核心交换区域、接入交换区域、网络管理区域等。路由器具有广域网互连、隔离广播信息和异构网互连等能力,是企业网与 连接必不可少的网络互连设备。该企业网要接入 ,因此需要在企业网的边界( 即网络设备①处) 部署一台路由器,用于实现边界路由计算;在网络设备④处部署一台防火墙,用于实现服务器区域、企业内网区域和网络出口区域之间的逻辑隔离,提高服务器区域和企业内网区域的网络安全性能。防火墙中的 DMZ 区也称为非军事区,它是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题而设立的一个非安全系统与安全系统之间的缓冲区。这个缓冲区位于企业内部网络和外部网络之间的小网络区域内。在上图中,Switch9 所组成的网络区域内放置了一些公开的服务器,例如企业 Web 服务器、 DNS 服务器、 E-mail 服务器等。因此,从网络安全的角度考虑, Switch9 所组成的网络一般称为非军事区(或DMZ 区)。入侵防护系统(IPS) 是一种主动防护的网络安全技术,所有接收到的数据包都要经过它检查之后来决定是否放行,或执行缓存、抛弃策略。当发生攻击时及时发出警报,并将网络攻击事件及所采取的措施和结果进行记录。依题意,在图中网络设备③应部署入侵防护系统(IPS) 。对于交换型网络,交换机仅将数据包转发到相应的端口。因此需要对交换机进行端口镜像配置,以将流向各端口的数据包复制一份给监控端口, IPS 从监控端口获取数据包并进行分析和处理。因此,网络设备③连接到 Switch1 的 G1/1 端口称为镜像端口(即镜像的目标端口)。这种连接方式通常称为旁路模式。 2、防火墙或网络设备②Switch1 广播模式直接模式混杂模式[解析]在企业网络中通过部署上网行为管理设备,对用户的上网行为进行安全分析、网页访问过滤、网络访问控制、带宽流量管理、信息收发审计等,以保证正常上网需求。通常,将上网行为管理设备串接在防火墙(网络设备②)和核心交换机 Switch1 之间。网卡的工作模式有直接(Direct) 、广播(Broad Cast) 、多播(Multi Cast) 和混杂(Promiscuous)4 种模式。其中,工作在直接模式下的网卡只接收目的地址是自己 MAC 地址的帧。工作在广播模式的网卡接收物理地址(M