第1章 网络系统规划和设计 大纲要求: ◆应用需求分析,包括应用需求的调研、网络应用的分析。 ◆现有网络系统分析,包括现有网络系统结构调研、现有网络体系结构分析。 ◆需求分析,包括功能需求、通信需求、性能需求、可靠性需求、安全需求、维护 和运行需求、管理需求。 ◆技术和产品的调研及评估,包括收集信息、采用的技术和产品的比较研究、采用 的技术和设备的比较要点。 ◆网络系统的设计,包括确定协议、确定拓扑结构、确定连接(链路的通信性能)、确 定节点(节点的处理能力)、确定网络的性能、确定可靠性措施、确定安全性措施、 网络设备的选择、制定选择标准、通信子网的设计、资源子网的设计。 ◆新网络业务运营计划。 ◆设计评审。 ◆安装工作。 ◆测试和评估。 ◆转换到新网络的工作计划。 ◆用户措施,包括用户管理、用户培训、用户协商。 ◆制订维护和升级的策略和计划,包括确定策略、设备的编址、审查的时间、升级 的时间。 ◆维护和升级的实施,包括外部合同要点、内部执行要点。 ◆备份与数据恢复,包括数据的存储与处置、备份、数据恢复。 ◆网络系统的配置管理,包括设备管理、软件管理、网络配置图。 ◆网络系统的监视,包括网络管理协议(SNMP、MIB-2、RMON)、利用工具监视网 络性能、利用工具监视网络故障、利用工具监视网络安全(入侵检测系统)性能监 视的检查点、安全监视的检查点。 ◆故障恢复分析,包括故障分析要点(LAN监控程序)、排除故障要点、故障报告的 撰写要点。 ◆系统性能分析,包括性能要点。 ◆危害安全的对策,包括危害安全的情况分析、入侵检测要点、对付计算机病毒的 要点。 ◆系统评价,包括系统能力的限制、潜在的问题分析、系统评价要点。 ◆改进系统的建议,包括系统生命周期、系统经济效益、系统的可扩充性
第 1 章 网络系统规划和设计 大纲要求: 应应应应应应,包包应应应应包包包、网网应应包应应。 现现网网现现应应,包包现现网网现现包包包包、现现网网现现包包应应。 应应应应,包包包包应应、通通应应、性包应应、可可性应应、安安应应、维维 和和和应应、管管应应。 技技和技技包包包及评评,包包收收通收、采应包技技和技技包采采包采、采应 包技技和的的包采采的的。 网网现现包的网,包包确确确确、确确确确包包、确确确确(链链包通通性包)、确 确定的(定的包节管包节)、确确网网包性包、确确可可性确确、确确安安性确确、 网网的的包网网、制确网网制制、通通通网包的网、资资通网包的网。 新网网新新和新网新。 的网评设。 安安安安。 测测和评评。 转转转新网网包安安网新。 应用确确,包包应用管管、应用用用、应用确用。 制订维维和维维包维维和网新,包包确确维维、的的包设设、设审包审审、维维 包审审。 维维和维维包维确,包包外外外外的的、内外内和的的。 的备备备备备备,包包备备包数数备节与、的备、备备备备。 网网现现包网与管管,包包的的管管、软软管管、网网网与网。 网网现现包网网,包包网网管管确确(SNMP、MIB-2、RMON)、利应安利网网网 网性包、利应安利网网网网利利、利应安利网网网网安安(入入入测现现)、性包网 网包入审的、安安网网包入审的。 利利备备应应,包包利利应应的的(LAN 网监监监)、排排利利的的、利利故故包 撰撰的的。 现现性包应应,包包性包的的。 危危安安包危维,包包危危安安包情情应应、入入入测的的、危对网对对对对包 的的。 现现评系,包包现现包节包系制、潜潜包潜潜应应、现现评系的的。 改改现现包改确,包包现现系系系系、现现系系系系、现现包可系系性
网络工程师考试同步辅导(下午科目)(第4版) 1.1网络系统的需求分析 1.1.1考点辅导 1.1.1.1应用需求分析 1.应用需求的调研 需求分析是构建网络的第一个阶段,通过需求分析,可以帮助网络设计者更好地理解 网络功能,更好地评价现有网络,更客观地做出决策:有助于为网络设计者提供更加完善 的交互功能和移植功能,使其更合理地使用用户资源等。 应用需求的调研内容包括应用系统性能、信息产生和接收点、数据量和频度、数据类 型和数据流向等。 1)应用系统性能 用户系统中的应用有许多类型,其中一些应用在整个系统中占有相当重要的地位。应 用系统的性能往往是用户最为关注的,常见的性能指标包括可靠性/可用率、响应时间、安 全性、可实现性和实时性等。 2)信息产生和接收点 网络上的信息流都有其产生和接收的位置,产生信息的称为源,接收信息的则称为宿(即 目的)。在进行需求分析时,分清信息的源和宿是非常必要的。 3)数据量和频度 网络中的通信类型包括数据、视频信号和音频信号等,不同类型的流量使用不同的量 度。数据的流量一般用平均或高峰时每秒传送的位数(比特每秒,简写为bs)来表示:视频 信号的流量用电视通道数来表示,每个通道占6MHz带宽:音频信号的流量则用欧拉数来 表示。 频度是指数据在单位时间内传送的次数,不同类型的数据,传送的频度不同。 流量估计应该先分析用户的网络应用,分别估计每种应用产生的分流量,然后再把各 种分流量乘以频度,累计得出系统的总流量。 准确的流量估计可以避免网络系统因带宽过窄而形成瓶颈,导致网络吞吐量和性能的 下降,因此,对网络通信业务量的估计必须留有足够的余量。 4)数据类型和数据流向 网络服务一般分为3种:共享数据服务、综合语音服务和多媒体应用服务。其中共享 数据服务是最常见的业务,综合语音服务主要是电话类业务,而多媒体应用服务则包括语 音、图形、图像等多种服务。不同的服务有不同的数据类型。 数据流向是指数据流传输的方向,在客户机/服务器工作模式中,数据的流向既可以是 客户机到服务器的,也可以是服务器到客户机的。 因此,网络设计人员必须根据用户具体的应用情况,详细分析网络承载的数据类型和 数据流向,合理地分配网络容量。 2…
网络工程师考试同步辅导(下午科目)(第 4 版) 2 1.1 网络系统的需求分析 1.1.1 考点辅导 1.1.1.1 应用需求分析 1. 应应应应包包包 应应应应是包改网网包第一个阶段,通过应应应应,可以帮助网网的网者更好地管解 网网包包,更好地评系现现网网,更客观地做出决维;现助于为网网的网者提供更加完善 包交互包包和移植包包,使其更外管地使应应用资资等。 应应应应包包包内容包包应应现现性包、通收技系和确收的、备备量和频度、备备类 型和备备流向等。 1) 应应现现性包 应用现现中包应应现许多类型,其中一些应应潜整个现现中占现相当重的包地位。应 应现现包性包往往是应用最为关注包,常见包性包指制包包可可性/可应率、响应审审、安 安性、可维现性和维审性等。 2) 通收技系和确收的 网网上包通收流都现其技系和确收包位与,技系通收包称为资,确收通收包则称为宿(即 目包)。潜改和应应应应审,应清通收包资和宿是非常必的包。 3) 备备量和频度 网网中包通通类型包包备备、网频通号和音频通号等,不外类型包流量使应不外包量 度。备备包流量一般应平均或高峰审每秒传送包位备(采特每秒,简撰为 bps)来表示;网频 通号包流量应电网通道备来表示,每个通道占 6 MHz 带宽;音频通号包流量则应欧拉备来 表示。 频度是指备备潜单位审审内传送包次备,不外类型包备备,传送包频度不外。 流量评网应该先应应应用包网网应应,应别评网每种应应技系包应流量,然后再把各 种应流量乘以频度,累网得出现现包总流量。 制确包流量评网可以避免网网现现因带宽过窄而形成瓶颈,导致网网吞吐量和性包包 下降,因此,危网网通通新新量包评网必须留现足够包余量。 4) 备备类型和备备流向 网网服新一般应为 3 种:共享备备服新、综外语音服新和多媒现应应服新。其中共享 备备服新是最常见包新新,综外语音服新主的是电话类新新,而多媒现应应服新则包包语 音、网形、网像等多种服新。不外包服新现不外包备备类型。 备备流向是指备备流传输包方向,潜客用对/服新器安安模式中,备备包流向既可以是 客用对转服新器包,也可以是服新器转客用对包。 因此,网网的网人员必须根备应用利现包应应情情,详细应应网网承载包备备类型和 备备流向,外管地应网网网容量
第1章网络系统规划和设计 2.网络应用的分析 网络的主要功能是通过数据传输实现数据共享,目前应用在科研、教育、金融证券、 企业管理、制造、办公自动化、电子商务、家庭娱乐等许多领域。 网络应用按照响应时间可以分为两种:实时应用和非实时应用。不同的应用有着不同 的网络响应性能需求,对网络延迟和带宽有不同的影响。 实时应用要求将节点机产生的数据立即传送出去,一般不需要用户干预。实时应用要 求信息传输的速率稳定,具有可预测性。令牌传递网络(令牌环网或FDD和面向连接的服 务(如ATM①可以为这些应用提供支持,但在网络分析与设计中通常不考虑实时应用。 通常所说的应用指的是非实时应用,此类应用对网络带宽和数据传输能力的要求比较 高,当暂时争用不到网络介质时,只要介质可以承受任何突发性的数据收发任务,非实时 应用就不会出现问题。所以,这种应用适合于类似以太网的共享介质网络。 另外,按照应用是否共享,又可以把应用分为独立应用和共享应用两种类型。 不同的应用对网络功能和性能方面的需求不同,网络设计人员应对网络应用需求加以 分析,以便确定网络的应用目标及其他相关指标。 1.1.1.2现有网络系统分析 1.现有网络系统结构调研 如果需要在已有网络上构建新系统,那么就应该全面了解现有网络情况,尽可能考虑 旧系统的利用,这样既可以保护用户原有投资,又能让用户在使用新系统时有一个平滑的 过渡,从而大大节省培训的时间和费用。 网络系统的建设一般需要分成几个阶段来实施,每个阶段都是在前期网络的基础之上 进行的,不可能完全抛弃现有网络。因此,必须对现有网络进行仔细调研,以考查在原有 网络中哪些部分是可以利用的,哪些部分是需要升级的,哪些部分是无用而必须舍弃的。 重点考查的内容有以下几个方面。 1)服务器的数量和位置 服务器是网络中提供专门服务的设备,是网络中的稀缺资源,新网络应该尽量将它们 包括进去。在建设新网络之前,需要了解清楚服务器的台数、位置、型号、使用的软件、 提供的服务类型以及其他各项性能指标。 2)客户机的数量和位置 客户机是用户使用网络服务的窗口,有的客户机只供单个用户使用,而有的则供多人 使用(如图书馆的查询机):另外,在客户机上运行的应用系统有差别,对网络服务的需求也 不一样。网络中包含的客户机的数量及承担的任务决定了网络的负载,因而有关客户机的 信息对网络系统的设计也非常重要,新建网络时必须仔细考虑它们。 3)使用情况 网络的使用情况包括客户机的数量、访问类型、每天的用户数、每次使用的时间、每 次数据传输的数据量、网络拥塞的时间段等,这些数据都可以通过查询网络管理系统的日 志文件获得。如果没有完整的日志数据,也可以通过与用户交谈获得有用信息。这些数据 虽然不需要十分准确,但其准确性将影响今后网络的设计方案。 ………>3
第 1 章 网络系统规划和设计 3 2. 网网应应包应应 网网包主的包包是通过备备传输维现备备共享,目前应应潜科包、教育、金融证券、 企新管管、制造、办公自动化、电通用新、家庭娱乐等许多领域。 网网应应按照响应审审可以应为两种:维审应应和非维审应应。不外包应应现着不外 包网网响应性包应应,危网网延迟和带宽现不外包影响。 维审应应的应将定的对技系包备备立即传送出去,一般不应的应用干预。维审应应的 应通收传输包速率稳确,利现可预测性。令牌传递网网(令牌环网或 FDDI)和面向确确包服 新(如 ATM)可以为这些应应提供支持,但潜网网应应备的网中通常不考虑维审应应。 通常所说包应应指包是非维审应应,此类应应危网网带宽和备备传输包节包的应采采 高,当暂审争应不转网网介质审,只的介质可以承受任何突发性包备备收发任新,非维审 应应就不会出现潜潜。所以,这种应应适外于类似以太网包共享介质网网。 另外,按照应应是否共享,又可以把应应应为独立应应和共享应应两种类型。 不外包应应危网网包包和性包方面包应应不外,网网的网人员应危网网应应应应加以 应应,以便确确网网包应应目制及其他相关指制。 1.1.1.2 现有网络系统分析 1. 现现网网现现包包包包 如果应的潜已现网网上包改新现现,那么就应该安面了解现现网网情情,尽可包考虑 旧现现包利应,这样既可以保维应用原现投资,又包让应用潜使应新现现审现一个平滑包 过渡,从而大大定省用用包审审和费应。 网网现现包改的一般应的应成几个阶段来维确,每个阶段都是潜前系网网包基础之上 改和包,不可包完安抛弃现现网网。因此,必须危现现网网改和仔细包包,以考审潜原现 网网中哪些外应是可以利应包,哪些外应是应的维维包,哪些外应是无应而必须舍弃包。 重的考审包内容现以下几个方面。 1) 服新器包备量和位与 服新器是网网中提供专门服新包的的,是网网中包稀缺资资,新网网应该尽量将它们 包包改去。潜改的新网网之前,应的了解清楚服新器包台备、位与、型号、使应包软软、 提供包服新类型以及其他各项性包指制。 2) 客用对包备量和位与 客用对是应用使应网网服新包窗口,现包客用对只供单个应用使应,而现包则供多人 使应(如网书馆包审询对);另外,潜客用对上和和包应应现现现差别,危网网服新包应应也 不一样。网网中包含包客用对包备量及承担包任新决确了网网包负载,因而现关客用对包 通收危网网现现包的网也非常重的,新改网网审必须仔细考虑它们。 3) 使应情情 网网包使应情情包包客用对包备量、访潜类型、每天包应用备、每次使应包审审、每 次备备传输包备备量、网网拥塞包审审段等,这些备备都可以通过审询网网管管现现包日 志文软获得。如果没现完整包日志备备,也可以通过备应用交谈获得现应通收。这些备备 虽然不应的十应制确,但其制确性将影响今后网网包的网方案
网络工程师考试同步辅导下午科目(第4版) 4)采用的协议 协议是网络通信的基础,原有网络可能包含有多种协议,协议间存在着一定的差异。这 就需要进行详细的调查,以便新建网络时能够很好地照顾到多种协议间的差异,以方便不同 协议数据之间的转换。 5)通信模式 通信模式就是用户接入网络的方式。网络设计要兼顾各种通信模式。 2.现有网络体系结构分析 网络体系结构是定义和描述一组用于计算机及其通信设备之间互联的标准和规范的集 合,遵循这组规范就可以实现计算机设备之间的通信。目前有两大主流体系结构标准:一 个是国际标准OS(开放系统互联)参考模型,另一个是工业标准TCPP模型。 OSI参考模型通过分层和抽象,将网络划分为七个功能各异的层次,同一端系统中的低 层为高层提供服务,不同端系统中的对等层之间进行通信并交换协议数据单元。它是一个 开放系统模型,概念清晰,但偏重于理论研究,复杂而不实用,目前实现的范例还较少。 TCPP简化了OSI参考模型的分层结构,层次明显减少,实现简单,功能强大,目前 为大多数厂商支持,己成为网络通信协议事实上的标准,并己得到普遍的推广。其他还有 IBM的系统网络体系结构(SNA)和DEC的数字网络体系结构(DNA)等。 通过对现有网络体系结构进行分析,可以为建设新网络提供参考依据。同时在设计新 网络时也应该照顾到原有网络的体系结构,尽量发挥其优势,而不应该完全抛弃。 1.1.1.3需求定义 网络系统的需求包括功能需求、通信需求、性能需求、可靠性需求、安全需求、维护 和运行需求以及管理需求等,下面逐一介绍。 1.功能需求 功能需求即网络在用户单位业务中应该提供的功能,可以通过了解用户单位所从事的 行业、该单位在行业内的地位以及和其他单位的关系等来确定其功能需求。另外,还可以 通过了解项目背景来明确用户单位建网的目的,从而有助于描述详细的功能需求。 2.通信需求 在网络中,网络通信是个人通信模式和流量的组合。通信模式以发生在节点(客户机) 之间的通信方式为基础。通常有以下几种通信方式。 ◆对等通信方式。 ◆客户机/服务器通信方式。 ◆服务器/客户机通信方式。 独立节点之间可以在一种或多种方式下通信,如何选择通信方式取决于网络的资源、 节点和应用程序的性能。例如,在对等通信方式下,各工作站之间可共享资源:在客户机/ 服务器通信方式下,可以访问中央文件服务器上的核心数据库。 1)对等通信方式 对等通信方式是在一种结构和功能相似的节点之间的通信,通信节点具有相似的应用 和通信能力。在该种网络中,每个节点与网络中的其他节点相连接,没有明显的源通信模
网络工程师考试同步辅导(下午科目)(第 4 版) 4 4) 采应包确确 确确是网网通通包基础,原现网网可包包含现多种确确,确确审数潜着一确包差异。这 就应的改和详细包包审,以便新改网网审包够很好地照顾转多种确确审包差异,以方便不外 确确备备之审包转转。 5) 通通模式 通通模式就是应用确入网网包方式。网网的网的兼顾各种通通模式。 2. 现现网网现现包包应应 网网现现包包是确义和描述一组应于网对对及其通通的的之审互联包制制和规范包收 外,遵循这组规范就可以维现网对对的的之审包通通。目前现两大主流现现包包制制:一 个是国际制制 OSI(开放现现互联)参考模型,另一个是安新制制 TCP/IP 模型。 OSI 参考模型通过应层和抽象,将网网新应为七个包包各异包层次,外一端现现中包低 层为高层提供服新,不外端现现中包危等层之审改和通通并交转确确备备单元。它是一个 开放现现模型,概念清晰,但偏重于管论包采,备杂而不维应,目前维现包范例还采少。 TCP/IP 简化了 OSI 参考模型包应层包包,层次明显减少,维现简单,包包强大,目前 为大多备厂用支持,已成为网网通通确确事维上包制制,并已得转普遍包推广。其他还现 IBM 包现现网网现现包包(SNA)和 DEC 包备字网网现现包包(DNA)等。 通过危现现网网现现包包改和应应,可以为改的新网网提供参考依备。外审潜的网新 网网审也应该照顾转原现网网包现现包包,尽量发挥其优势,而不应该完安抛弃。 1.1.1.3 需求定义 网网现现包应应包包包包应应、通通应应、性包应应、可可性应应、安安应应、维维 和和和应应以及管管应应等,下面逐一介绍。 1. 包包应应 包包应应即网网潜应用单位新新中应该提供包包包,可以通过了解应用单位所从事包 和新、该单位潜和新内包地位以及和其他单位包关现等来确确其包包应应。另外,还可以 通过了解项目背景来明确应用单位改网包目包,从而现助于描述详细包包包应应。 2. 通通应应 潜网网中,网网通通是个人通通模式和流量包组外。通通模式以发系潜定的(客用对) 之审包通通方式为基础。通常现以下几种通通方式。 危等通通方式。 客用对/服新器通通方式。 服新器/客用对通通方式。 独立定的之审可以潜一种或多种方式下通通,如何网网通通方式取决于网网包资资、 定的和应应监监包性包。例如,潜危等通通方式下,各安安站之审可共享资资;潜客用对/ 服新器通通方式下,可以访潜中央文软服新器上包核心备备库。 1) 危等通通方式 危等通通方式是潜一种包包和包包相似包定的之审包通通,通通定的利现相似包应应 和通通包节。潜该种网网中,每个定的备网网中包其他定的相确确,没现明显包资通通模
第1章网络系统规划和设计 式和目的通信模式。 2)客户机/服务器通信方式 客户机/服务器通信方式是网络中的客户机和服务器之间的通信。客户机可以是任何类 型的节点,这些节点可以访问一些共享的资源。服务器在大小和功能上有所不同,既可以 是基于PC的服务器,也可以是中型计算机和大型计算机。 3)服务器/客户机通信方式 数据库服务器应用程序使数据从服务器流向客户机。通常情况下,客户机请求比服务 器响应所传送的通信量要少。例如,在典型的Wb方案中,服务器根据客户机浏览器的请 求向客户机发送大量的Wb页面,这就是所说的服务器/客户机分布。 4)相关指标 为了确定用户的通信需求,需要了解用户单位的建筑物布局、入网站点的分布情况, 并记录下述信息。 ◆网络中心(或计算中心)及各级设备间的位置。 ◆用户数量及其位置。 ◆任何两个用户之间的最大距离。 ◆用户群组织(即在同一楼里或同一楼层里的用户,尤其注意那些地理上分散,却属 于同一部门的用户)。 ◆特殊的需求或限制(例如,网络覆盖的地理范围内是否有道路、山丘:建筑物之间 是否有阻挡物:电缆等介质布线是否有禁区:是否存在可以利用的介质系统等)。 3.性能需求 在需求分析中要分析网络的多种性能特性,包括响应时间、延迟、等待时间、利用率、 带宽、容量、吞吐量、可用性、可靠性、可恢复性、冗余度、适应性、可伸缩性、效率和 费用等。有些需求用户不是很关心,但对于设计者却是必须考虑的。随着计算机网络数量 的增长、规模的扩大,如何提高网络性能成为十分重要的问题。与衡量单机系统的性能不 同,网络性能是衡量多台计算机系统的性能。了解网络用户的需要,设定恰当的性能目标, 合理选择网络结构和组成,便能得到满足用户需求且性能比较好的网络。 网络用户关心的网络性能是能否获得最快的响应,网络管理员关心的网络性能是能否 获得最高的资源利用率,两者需要很好地平衡。这种平衡包括两个方面:一方面是性能和 价格的折中,另一方面是吞吐量和响应时间的平衡。 4.可靠性需求 可靠性需求就是用户需要什么样的可靠性。一个系统的可靠性定义为在指定的条件和 时间内,系统能够实现指定功能的概率。而整个系统的可靠性又取决于组成系统的各个部 件的可靠性。 可靠性指标一般包括平均无故障时间MTBF)和平均修复时间MTTR)、可用性和故障 率等。 5.安全需求 1)安全需求概述 网络安全性包括对物理产品的布局和对过程的操作,合理的物理产品布局与安全设置 ……>5
第 1 章 网络系统规划和设计 5 式和目包通通模式。 2) 客用对/服新器通通方式 客用对/服新器通通方式是网网中包客用对和服新器之审包通通。客用对可以是任何类 型包定的,这些定的可以访潜一些共享包资资。服新器潜大小和包包上现所不外,既可以 是基于 PC 包服新器,也可以是中型网对对和大型网对对。 3) 服新器/客用对通通方式 备备库服新器应应监监使备备从服新器流向客用对。通常情情下,客用对请应采服新 器响应所传送包通通量的少。例如,潜典型包 Web 方案中,服新器根备客用对浏览器包请 应向客用对发送大量包 Web 页面,这就是所说包服新器/客用对应布。 4) 相关指制 为了确确应用包通通应应,应的了解应用单位包改筑物布局、入网站的包应布情情, 并记录下述通收。 网网中心(或网对中心)及各维的的审包位与。 应用备量及其位与。 任何两个应用之审包最大距离。 应用群组织(即潜外一楼里或外一楼层里包应用,尤其注意那些地管上应散,却属 于外一外门包应用)。 特殊包应应或系制(例如,网网覆盖包地管范围内是否现道链、山丘;改筑物之审 是否现阻挡物;电缆等介质布线是否现禁区;是否数潜可以利应包介质现现等)。 3. 性包应应 潜应应应应中的应应网网包多种性包特性,包包响应审审、延迟、等待审审、利应率、 带宽、容量、吞吐量、可应性、可可性、可备备性、冗余度、适应性、可伸缩性、系率和 费应等。现些应应应用不是很关心,但危于的网者却是必须考虑包。随着网对对网网备量 包增长、规模包系大,如何提高网网性包成为十应重的包潜潜。备衡量单对现现包性包不 外,网网性包是衡量多台网对对现现包性包。了解网网应用包应的,的确恰当包性包目制, 外管网网网网包包和组成,便包得转满足应用应应且性包采采好包网网。 网网应用关心包网网性包是包否获得最快包响应,网网管管员关心包网网性包是包否 获得最高包资资利应率,两者应的很好地平衡。这种平衡包包两个方面:一方面是性包和 系格包折中,另一方面是吞吐量和响应审审包平衡。 4. 可可性应应 可可性应应就是应用应的什么样包可可性。一个现现包可可性确义为潜指确包条软和 审审内,现现包够维现指确包包包概率。而整个现现包可可性又取决于组成现现包各个外 软包可可性。 可可性指制一般包包平均无利利审审(MTBF)和平均修备审审(MTTR)、可应性和利利 率等。 5. 安安应应 1) 安安应应概述 网网安安性包包危物管技技包布局和危过监包操安,外管包物管技技布局备安安的与
网络工程师考试同步辅导(下午科目(第4版) 可以保护网络和系统的完整性、可行性及可靠性。现代的网络安全性是把基本的网络安全 性概念运用在分布式网络环境中。网络安全性的目的是对资源的保护,目前还没有彻底的 解决方法。 安全设计包括安全服务和实施两方面。原则上讲,每一个网络系统都具有独立和通用 的安全协议,而基于安全服务的安全信息则是存放在管理信息库(MB)中的,只有授权人员 或系统才可访问、修改或删除这些机密信息。通过对网络易损点的识别,可使这些易损点 得到保护和监控,要确保安全,应采取一种分层管理策略。 安全性策略的3个属性定义为保密性、完整性和可信性。信息损失通常由以下原因引 起:更改、破坏和泄露。对网络安全构成威胁的形式有很多,而且它们经常导致网络失常 和重要信息的毁坏。 采取何种安全措施需要视用户需要而定,不同单位或一个单位的不同部门要求的安全 等级往往是有差异的,并不是安全等级越高越好,较高的安全等级意味着额外的系统开销 和高昂的费用。 2)安全性标准 网络系统是否达到一定的安全性主要依照相关的安全性标准来判断,最早的信息系统 安全性标准由美国国防部颁布的黄皮书(TC-SEC-NCSC,可信计算机系统)规定。该手册将 IT系统划分为A(AI)BB1、B2、B3)、C(C1、C2)、DDI)4类,共7个安全等级。 (I)D类安全等级。D类安全等级只包括D1一个级别,D1的安全等级最低,它只为 文件和用户提供安全保护。D1系统最常见的形式是本地操作系统,或者是一个完全没有保 护的网络。 (2)C类安全等级。C类安全等级能够提供审慎的保护,并为用户的行动和责任提供审 计能力。C类安全等级可划分为C1和C2两类。 (3)B类安全等级。B类安全等级可划分为B1、B2和B3三类。B类系统具有强制性 保护功能,这就意味着如果用户没有与安全等级相连,系统就不会让用户存取对象。 (4)A类安全等级。A类系统的安全级别最高。目前,A类安全等级只包含A1一个安 全类别。A1类与B3类相似,对系统的结构和策略不作特别要求。A1系统的显著特征是: 系统的设计者必须按照一个正式的设计规范来分析系统。对系统进行分析后,设计者必须 运用核对技术来确保系统符合设计规范。A1系统必须满足下列要求:系统管理员必须从开 发者那里接收一个安全策略的正式模型:所有的安装操作都必须由系统管理员进行:系统 管理员进行的每一步安装操作都必须有正式文档。 欧洲等价的分类手册是ITSEC(信息技术安全评估标准)。与美国的黄皮书类似,ITSEC 标准目录将T系统划分为7个安全等级(E0~E6),这些等级与黄皮书中的各个等级大致 对应。 6.维护和运行需求 维护和运行是网络系统投入正常运行后的日常管理工作,这项工作主要由网络管理人 员承担。网络管理人员通过网络管理系统可以完成系统的配置、监控和统计等事务的处理, 有时还要对网络设备进行检修。网络设计人员需要根据用户需求,提供必要的网络管理工 具和策略,以方便网络管理人员对整个网络进行管理和维护,提高网络的运行效率,保证
网络工程师考试同步辅导(下午科目)(第 4 版) 6 可以保维网网和现现包完整性、可和性及可可性。现代包网网安安性是把基本包网网安安 性概念和应潜应布式网网环境中。网网安安性包目包是危资资包保维,目前还没现彻底包 解决方法。 安安的网包包安安服新和维确两方面。原则上讲,每一个网网现现都利现独立和通应 包安安确确,而基于安安服新包安安通收则是数放潜管管通收库(MIB)中包,只现授权人员 或现现才可访潜、修改或删排这些对密通收。通过危网网易损的包识别,可使这些易损的 得转保维和网监,的确保安安,应采取一种应层管管维维。 安安性维维包 3 个属性确义为保密性、完整性和可通性。通收损失通常由以下原因引 起:更改、破坏和泄露。危网网安安包成威胁包形式现很多,而且它们系常导致网网失常 和重的通收包毁坏。 采取何种安安确确应的网应用应的而确,不外单位或一个单位包不外外门的应包安安 等维往往是现差异包,并不是安安等维越高越好,采高包安安等维意味着额外包现现开销 和高昂包费应。 2) 安安性制制 网网现现是否达转一确包安安性主的依照相关包安安性制制来判断,最早包通收现现 安安性制制由美国国防外颁布包黄皮书(TC-SEC-NCSC,可通网对对现现)规确。该手册将 IT 现现新应为 A(A1)、B(B1、B2、B3)、C(C1、C2)、D(D1)4 类,共 7 个安安等维。 (1) D 类安安等维。D 类安安等维只包包 D1 一个维别,D1 包安安等维最低,它只为 文软和应用提供安安保维。D1 现现最常见包形式是本地操安现现,或者是一个完安没现保 维包网网。 (2) C 类安安等维。C 类安安等维包够提供设慎包保维,并为应用包和动和责任提供设 网包节。C 类安安等维可新应为 C1 和 C2 两类。 (3) B 类安安等维。B 类安安等维可新应为 B1、B2 和 B3 三类。B 类现现利现强制性 保维包包,这就意味着如果应用没现备安安等维相确,现现就不会让应用数取危象。 (4) A 类安安等维。A 类现现包安安维别最高。目前,A 类安安等维只包含 A1 一个安 安类别。A1 类备 B3 类相似,危现现包包包和维维不安特别的应。A1 现现包显著特征是: 现现包的网者必须按照一个正式包的网规范来应应现现。危现现改和应应后,的网者必须 和应核危技技来确保现现符外的网规范。A1 现现必须满足下列的应:现现管管员必须从开 发者那里确收一个安安维维包正式模型;所现包安安操安都必须由现现管管员改和;现现 管管员改和包每一步安安操安都必须现正式文档。 欧洲等系包应类手册是 ITSEC(通收技技安安评评制制)。备美国包黄皮书类似,ITSEC 制制目录将 IT 现现新应为 7 个安安等维(E0~E6),这些等维备黄皮书中包各个等维大致 危应。 6. 维维和和和应应 维维和和和是网网现现投入正常和和后包日常管管安安,这项安安主的由网网管管人 员承担。网网管管人员通过网网管管现现可以完成现现包网与、网监和现网等事新包节管, 现审还的危网网的的改和入修。网网的网人员应的根备应用应应,提供必的包网网管管安 利和维维,以方便网网管管人员危整个网网改和管管和维维,提高网网包和和系率,保证
第1章网络系统规划和设计 网络的可靠性。 7.管理需求 从用户的角度来讲,一个网络管理系统应该满足以下要求。 ◆同时支持网络监视和控制两方面的能力。 ◆能够管理所有的网络协议。 ◆尽可能大的管理范围。 ◆ 尽可能小的系统开销: 可以管理不同厂家的联网设备。 ◆容纳不同的网络管理系统。 ◆网络管理的标准化。 在OSI网络管理框架模型中,基本的网络管理功能被分为5个功能域:配置管 理(Configuration Management)、性能管理(Performance Management)、故障管理(Fault Management)、安全管理(Security Management)和计费管理(Accounting Management). 网络管理的标准化产品包括ISO的CMIS/CMP(Common Management Information Service/.Common Management Information Protocol)、Internet体系结构委员会(Internet Architecture Board,IAB)的SNMP和管理信息库(MIB),这些内容将在第5章详细介绍。 1.1.2典型例题分析 例1【说明】(2017年上半年下午试题一) 某企业网络拓扑如图1-1所示,中国电信和中国移动双链路接入,采用硬件设备实现链 路负载均衡:主磁盘阵列的数据通过备份服务器到备份磁盘阵列。请结合下图,回答相关 问题。 中国电雷 出可 设备① 设备④ 中国移 出口 防火墙 、核心交换机 服务器和数据区城 行政管理区城 设备② 2☒介质①✉ 接入交换机 办公电脑 Wcb服务器 设备③ 备份服务器 数据阵服务器 介质② 备份磁盘阵列 接入交换机办公电脑 主础盆阵列 图1-1某企业网络拓扑 【问题1】(共6分) 图1-1中,设备①处部署(①),设备②处部署(2),设备③处部署(3)。(1)~ >7
第 1 章 网络系统规划和设计 7 网网包可可性。 7. 管管应应 从应用包角度来讲,一个网网管管现现应该满足以下的应。 外审支持网网网网和监制两方面包包节。 包够管管所现包网网确确。 尽可包大包管管范围。 尽可包小包现现开销。 可以管管不外厂家包联网的的。 容纳不外包网网管管现现。 网网管管包制制化。 潜 OSI 网网管管框架模型中,基本包网网管管包包被应为 5 个包包域:网与管 管 (Configuration Management)、性包管管(Performance Management)、利利管管(Fault Management)、安安管管(Security Management)和网费管管(Accounting Management)。 网网管管包制制化技技包包 ISO 包 CMIS/CMIP(Common Management Information Service/Common Management Information Protocol)、Internet 现现包包委员会(Internet Architecture Board,IAB)包 SNMP 和管管通收库(MIB),这些内容将潜第 5 章详细介绍。 1.1.2 典型例题分析 例 1 【说明】(2017 年上半年下午测潜一) 某企新网网确确如网 1-1 所示,中国电通和中国移动双链链确入,采应硬软的的维现链 链负载均衡:主磁盘阵列包备备通过的备服新器转的备磁盘阵列。请包外下网,回答相关 潜潜。 图 1-1 某企业网络拓扑 【潜潜 1】(共 6 应) 网 1-1 中,的的①节外署 (1) ,的的②节外署 (2) ,的的③节外署 (3) 。(1)~
网络工程师考试同步辅导下午科目(第4版) (3)备选答案(每个选项限选一次): A.入侵防御系统PS) B.交换机 C.负载均衡 【问题2】(共4分) 图1-1中,介质①处应采用(4)_,介质②处应采用(⑤)。 (4)~(⑤)备选答案(每个选项限选一次): A.双绞线 B.同轴电缆 C.光纤 【问题3】(共4分) 图1-1中,为提升员工的互联网访问速度,通过电信出口访问电信网络,移动出口访问 移动网络,则需要配置基于(⑥地址的策略路由:运行一段时间后,网络管理员发现电 信出口的用户超过90%,网络访问速度缓慢,为实现负载均衡,网络管理员配置基于⑦) 地址的策略路由,服务器和数据区域访问互联网使用电信出口,行政管理区域员工访问互 联网使用移动出口,生产业务区域员工使用电信出口。 【问题4】(共6分) 1.图1-1中,设备④处应为(8)_,该设备可对指定计算机系统进行安全脆弱性扫描和 检测,发现其安全漏洞,客观评估网络风险等级。 2.图1-1中,(9)设备可对恶意网络行为进行安全检测和分析。 3.图1-1中,10)设备可实现内部网络和外部网络之间的边界防护,依据访问规则, 允许或者限制数据传输。 答案: 【问题1】(1)C(2)A (3)B 【问题2】(4)A(5)C 【问题3】(6)目的(7)源 【问题4】(8)漏洞扫描设备(9)PS(10)防火墙 解析: 【问题1】综合分析可知设备3是交换机,那么设备2为PS,设备1为负载均衡。 【问题2】介质1连接接入交换机和用户,故为双绞线。介质2连接FC交换机和磁盘 阵列,应为光纤。 【问题3】访问电信网络通过电信出口,移动网络通过移动出口,这是通过访问目的来 区分的,故是基于目的地址的策略路由。而后根据访问人群的划分更改为基于源地址的策 略路由。 【问题4】漏洞扫描通常是指基于漏洞数据库,通过扫描等手段,对指定的远程或者本 地计算机系统的安全脆弱性进行检查,发现可利用的漏洞的一种安全性检测行为。在图11 中PS设备对恶意网络行为进行分析。防火墙设备则为内外网之间的安全保护屏障。 例2【说明】(2016年下半年下午试题二) 图1-2是某互联网企业网络拓扑,该网络采用二层结构,网络安全设备有防火墙、入侵 检测系统,楼层接入交换机32台,全网划分17个VLAN,对外提供Wb和邮件服务。数 据库服务器和邮件服务器均安装CentOS操作系统(Linux平台),Web服务器安装Windows 2008操作系统
网络工程师考试同步辅导(下午科目)(第 4 版) 8 (3)的网答案(每个网项系网一次): A. 入入防御现现(IPS) B. 交转对 C. 负载均衡 【潜潜 2】(共 4 应) 网 1-1 中,介质①节应采应 (4) ,介质②节应采应 (5) 。 (4)~(5)的网答案(每个网项系网一次): A. 双绞线 B. 外轴电缆 C. 光纤 【潜潜 3】(共 4 应) 网 1-1 中,为提维员安包互联网访潜速度,通过电通出口访潜电通网网,移动出口访潜 移动网网,则应的网与基于 (6) 地设包维维链由;和和一段审审后,网网管管员发现电 通出口包应用超过 90%,网网访潜速度缓慢,为维现负载均衡,网网管管员网与基于 (7) 地设包维维链由,服新器和备备区域访潜互联网使应电通出口,和政管管区域员安访潜互 联网使应移动出口,系技新新区域员安使应电通出口。 【潜潜 4】(共 6 应) 1.网 1-1 中,的的④节应为 (8) ,该的的可危指确网对对现现改和安安脆弱性扫描和 入测,发现其安安漏洞,客观评评网网风险等维。 2.网 1-1 中, (9) 的的可危恶意网网和为改和安安入测和应应。 3.网 1-1 中, (10) 的的可维现内外网网和外外网网之审包边界防维,依备访潜规则, 允许或者系制备备传输。 答案: 【潜潜 1】(1) C (2) A (3) B 【潜潜 2】(4) A (5) C 【潜潜 3】(6) 目包 (7) 资 【潜潜 4】(8) 漏洞扫描的的 (9) IPS (10) 防火墙 解析: 【潜潜 1】综外应应可综的的 3 是交转对,那么的的 2 为 IPS,的的 1 为负载均衡。 【潜潜 2】介质 1 确确确入交转对和应用,利为双绞线。介质 2 确确 FC 交转对和磁盘 阵列,应为光纤。 【潜潜 3】访潜电通网网通过电通出口,移动网网通过移动出口,这是通过访潜目包来 区应包,利是基于目包地设包维维链由。而后根备访潜人群包新应更改为基于资地设包维 维链由。 【潜潜 4】漏洞扫描通常是指基于漏洞备备库,通过扫描等手段,危指确包对监或者本 地网对对现现包安安脆弱性改和入审,发现可利应包漏洞包一种安安性入测和为。潜网 1-1 中 IPS 的的危恶意网网和为改和应应。防火墙的的则为内外网之审包安安保维防利。 例 2 【说明】(2016 年下半年下午测潜二) 网 1-2 是某互联网企新网网确确,该网网采应二层包包,网网安安的的现防火墙、入入 入测现现,楼层确入交转对 32 台,安网新应 17 个 VLAN,危外提供 Web 和邮软服新。备 备库服新器和邮软服新器均安安 CentOS 操安现现(Linux 平台),Web 服新器安安 Windows 2008 操安现现
第1章网络系统规划和设计 入侵检测系统 互联网接入防火墙 核心交换机 接入交换机网关机 备份服务器 备份磁盘阵列 限 接入交换机办公电脑 数据库服务器 光纤交换机 服务器区汇聚 ● 接入交换机办公电脑 存储虚拟化服务器 主磁盘阵列 邮件服务器 Web服务器 接入交换机办公电脑 图1-2某互联网企业网络拓扑 【问题1】(6分) SAN常见方式有FC-SAN和P-SAN,在图1-2中,数据库服务器和存储设备连接方式 为①),邮件服务器和存储设备连接方式为②)一。虚拟化存储常用文件系统格式有 CIFS、NFS,为邮件服务器分配存储空间时应采用的文件系统格式是(③),为Wb服务 器分配存储空间时应采用的文件系统格式是(④)。 【问题2】(3分) 该企业采用RAD5方式进行数据冗余备份,请从存储效率和存储速率两个方面比较 RAIDI和RAID5两种存储方式,并简要说明采用RAID5存储方式的原因。 【问题3】(8分) 网络管理员接到用户反映,邮件登录非常缓慢,按以下步骤进行故障诊断: 1.通过网管机,利用(⑤)登录到邮件服务器,发现邮件服务正常,但是连接时断 时续。 2.使用(6)命令诊断邮件服务器的网络连接情况,发现网络丢包严重,登录服务器 区汇聚交换机SI,发现连接邮件服务器的端口数据流量异常,收发包量很大。 3.根据以上情况,邮件服务器的可能故障为,应采用(⑧)_的办法处理上述 故障。 (5)(8)备选答案: (5)A.ping B.ssh C.tracert D.mstsc (6)A.ping B.telnet C.tracet D.netstat (7)A.磁盘故障 B.感染病毒 C.网卡故障 D.负荷过大 (8)A.更换磁盘 B.安装防病毒软件,并查杀病毒 C.更换网卡 D.提升服务器处理能力 >9
第 1 章 网络系统规划和设计 9 图 1-2 某互联网企业网络拓扑 【潜潜 1】(6 应) SAN 常见方式现 FC-SAN 和 IP-SAN,潜网 1-2 中,备备库服新器和数数的的确确方式 为 (1) ,邮软服新器和数数的的确确方式为 (2) 。虚拟化数数常应文软现现格式现 CIFS、NFS,为邮软服新器应网数数空审审应采应包文软现现格式是 (3) ,为 Web 服新 器应网数数空审审应采应包文软现现格式是 (4) 。 【潜潜 2】(3 应) 该企新采应 RAID5 方式改和备备冗余的备,请从数数系率和数数速率两个方面采采 RAID1 和 RAID5 两种数数方式,并简的说明采应 RAID5 数数方式包原因。 【潜潜 3】 (8 应) 网网管管员确转应用反映,邮软登录非常缓慢,按以下步骤改和利利诊断: 1. 通过网管对,利应 (5) 登录转邮软服新器,发现邮软服新正常,但是确确审断 审续。 2. 使应 (6) 系令诊断邮软服新器包网网确确情情,发现网网丢包严重,登录服新器 区汇聚交转对 SI,发现确确邮软服新器包端口备备流量异常,收发包量很大。 3. 根备以上情情,邮软服新器包可包利利为 (7) ,应采应 (8) 包办法节管上述 利利。 (5)~(8)的网答案: (5) A. ping B. ssh C. tracert D. mstsc (6) A. ping B. telnet C. tracet D. netstat (7) A. 磁盘利利 B. 感染对对 C. 网卡利利 D. 负荷过大 (8) A. 更转磁盘 B. 安安防对对软软,并审杀对对 C. 更转网卡 D. 提维服新器节管包节
网络工程师考试同步辅导(下午科目(第4版) 【问题4】(3分) 上述企业网络拓扑存在的网络安全隐患有:(9)一、10)、11)· (9)~(11)备选答案: A.缺少针对来自局域网内部的安全防护措施 B.缺少应用负载均衡 C.缺少流量控制措施 D.缺少防病毒措施 E.缺少Web安全防护措施 F.核心交换机到服务器区汇聚交换缺少链路冗余措施 G.VLAN划分太多 答案: 【问题1】(1)FC-SAN(2)IP-SAN(3)NFS(4)CIFS 【问题2】 (I)存储效率上,RAID5的存储利用率为(m-1)/n,RAID1的存储利用率为50%,RAD5 的存储效率高。 (2)存储速率上,RAID5的速率快于RAID1。 原因:RAD5具有数据安全,读写速度快,空间利用率高、成本低的特点。 【问题3】(⑤)B(6)A(7)B(8)B 【问题4】(9)A(10)D(11)E 解析: 【问题1】 1.SAN主要包含FC-SAN和IP-SAN两种. I)存储区域网络(Storage Area Network,SAN):存储设备组成单独的网络,大多利用 光纤连接,采用光纤通道协议(Fiber Channel,.FC)。服务器和存储设备间可以任意连接,I/O 请求也是直接发送到存储设备。光纤通道协议实际上解决了底层的传输协议,高层的协议 仍然采用SCSI协议,所以光纤通道协议实际上可以看成是SCSI over FC。 2)PSAN:由于FC-SAN的高成本使得很多中小规模存储网络不能接受,一些人开 始考虑构建基于以太网技术的存储网络。但是在SAN中,传输的指令是SCSI的读写指令, 不是P数据包。iSCSI(互联网小型计算机系统接口)是一种在TCPP上进行数据块传输的 标准。它是由Cisco和BM两家公司发起的,并且得到了各大存储厂商的大力支持。iSCSI 可以实现在IP网络上运行SCSI协议,使其能够在诸如高速千兆以太网上进行快速的数据 存取备份操作。为了与之前基于光纤技术的FC-SAN区分开来,这种技术被称为IP-SAN。 iSCSI继承了两大最传统技术:SCSI和TCP/IP协议。这为iSCSI的发展奠定了坚实的基础。 2.CIFS和NFS. I)CIFS(Common Internet File System)是由Microsoft在SMB协议的基础上发展并扩展 到Internet上的协议。它和具体的OS无关,在UNIX上安装Samba后可使用CIFS. 2)NFS(Network File System)即网络文件系统,由Sun公司开发,主要用于UNIX和 类UNIX系统,在Windows上使用则需要安装客户端软件进行认证时的指令映射。 将NFS置于Windows上,有两种选择:Microsoft Services for UNIX(SFU)和DiskShare。 CIFS采用C/S模式,基本网络协议:TCPP和PX/SPX。 10《…
网络工程师考试同步辅导(下午科目)(第 4 版) 10 【潜潜 4】 (3 应) 上述企新网网确确数潜包网网安安隐患现: (9) 、 (10) 、 (11) 。 (9)~(11)的网答案: A. 缺少针危来自局域网内外包安安防维确确 B. 缺少应应负载均衡 C. 缺少流量监制确确 D. 缺少防对对确确 E. 缺少 Web 安安防维确确 F. 核心交转对转服新器区汇聚交转缺少链链冗余确确 G. VLAN 新应太多 答案: 【潜潜 1】(1) FC-SAN (2) IP-SAN (3) NFS (4) CIFS 【潜潜 2】 (1) 数数系率上,RAID5 包数数利应率为(n-1)/n,RAID1 包数数利应率为 50%,RAID5 包数数系率高。 (2) 数数速率上,RAID5 包速率快于 RAID1。 原因:RAID5 利现备备安安,读撰速度快,空审利应率高、成本低包特的。 【潜潜 3】(5) B (6) A (7) B (8) B 【潜潜 4】(9) A (10) D (11) E 解析: 【潜潜 1】 1. SAN 主的包含 FC-SAN 和 IP-SAN 两种。 1) 数数区域网网(Storage Area Network,SAN):数数的的组成单独包网网,大多利应 光纤确确,采应光纤通道确确(Fiber Channel,FC)。服新器和数数的的审可以任意确确,I/O 请应也是请确发送转数数的的。光纤通道确确维际上解决了底层包传输确确,高层包确确 仍然采应 SCSI 确确,所以光纤通道确确维际上可以所成是 SCSI over FC。 2) IP-SAN:由于 FC-SAN 包高成本使得很多中小规模数数网网不包确受,一些人开 始考虑包改基于以太网技技包数数网网。但是潜 SAN 中,传输包指令是 SCSI 包读撰指令, 不是 IP 备备包。iSCSI(互联网小型网对对现现确口)是一种潜 TCP/IP 上改和备备上传输包 制制。它是由 Cisco 和 IBM 两家公公发起包,并且得转了各大数数厂用包大节支持。iSCSI 可以维现潜 IP 网网上和和 SCSI 确确,使其包够潜使如高速使使以太网上改和快速包备备 数取的备操安。为了备之前基于光纤技技包 FC-SAN 区应开来,这种技技被称为 IP-SAN。 iSCSI 继承了两大最传现技技:SCSI 和 TCP/IP 确确。这为 iSCSI 包发的的确了的维包基础。 2. CIFS 和 NFS。 1) CIFS(Common Internet File System)是由 Microsoft潜 SMB确确包基础上发的并系的 转 Internet 上包确确。它和利现包 OS 无关,潜 UNIX 上安安 Samba 后可使应 CIFS。 2) NFS(Network File System)即网网文软现现,由 Sun 公公开发,主的应于 UNIX 和 类 UNIX 现现,潜 Windows 上使应则应的安安客用端软软改和上证审包指令映上。 将 NFS 与于 Windows 上,现两种网网:Microsoft Services for UNIX (SFU)和 DiskShare。 CIFS 采应 C/S 模式,基本网网确确:TCP/IP 和 IPX/SPX