2007年上半年软件水平考试系统分析师考试下午试题参考答案-软件水平考试-优易学网

2007年上半年软件水平考试系统分析师考试下午试题参考答案

来源：优易学 2009-1-8 14:26:37 【优易学：中国教育考试门户网】资料下载 IT书店

全站文章页内部300*250广告位

试题五（25分）

阅读以下说明，在答题纸上回答问题1至问题6。

某学校在原校园网的基础上进行网络改造，网络方案如图5-1所示。其中网管中心位于办公楼第三层，采用动态及静态结合的方式进行IP地址的管理和分配。

（点击查看大图）图5-1

【问题1】

设备选型是网络方案规划设计的一个重要方面，请用200字以内文字简要叙述设备选型的基本原则。

【问题2】

从表5-1中为图5-1中（1）～（5）处选择合适设备，将设备名称写在答题纸的相应位置（每一设备限选一次）。

表5-1

【问题3】（4分）

为图5-1中（6）～（9）处选择介质，填写在答题纸的相应位置。

备选介质（每种介质限选一次）：

千兆双绞线百兆双绞线双千兆光纤链路千兆光纤

【问题4】

请用200字以内文字简要叙述针对不同用户分别进行动态和静态IP地址配置的优点，并说明图中的服务器以及用户采用哪种方式进行IP地址配置。

【问题5】

通常有恶意用户采用地址假冒方式进行盗用IP地址，可以采用什么策略来防止静态IP地址的盗用？

【问题6】

（1）图5-1中区域A是什么区？（请从以下选项中选择）

A．服务区 B．DMZ区 C．堡垒主机 D．安全区

（2）学校网络中的设备或系统有存储学校机密数据的服务器、邮件服务器、存储资源代码的PC、应用网关、存储私人信息的PC、电子商务系统等，这些设备哪些应放在区域A中，哪些应放在内网中？请简要说明。

试题五分析

【问题1】

设备选型是网络方案规划设计的一个重要方面，在为网络升级选择网络设备时，应当遵循以下原则。

（1）厂商的选择

所有网络设备尽可能选取同一厂家的产品，这样在设备可互连性、协议互操作性、技术支持和价格等方面都更有优势。从这个角度来看，产品线齐全、技术认证队伍力量雄厚、产品市场占有率高的厂商是网络设备品牌的首选。其产品经过更多用户的检验，产品成熟度高，而且这些厂商出货频繁，生产量大，质保体系完备。作为系统集成商，不应依赖于任何一家的产品，应能够根据需求和费用公正地评价各种产品，选择最优的。在制定网络方案之前，应根据用户承受能力来确定网络设备的品牌。

（2）扩展性考虑（1分）

在网络的层次结构中，主干设备选择应预留一定的能力，以便将来扩展，而低端设备则够用即可，因为低端设备更新较快，且易于扩展。由于企业网络结构复杂，需要交换机能够接续全系列接口，例如光口和电口、百兆、千兆和万兆端口，以及多模光纤接口和长距离的单模光纤接口等。其交换结构也应能根据网络的扩容灵活地扩大容量。其软件应具有独立知识产权，应保证其后续研发和升级，以保证对未来新业务的支持。

（3）根据方案实际需要选型（1分）

主要是在参照整体网络设计要求的基础上，根据网络实际带宽性能需求、端口类型和端口密度选型。如果是旧网改造项目，应尽可能保留并延长用户对原有网络设备的投资，减少在资金投入方面的浪费。

（4）选择性能价格比高、质量过硬的产品（1分）

为使资金的投入产出达到最大值，能以较低的成本、较少的人员投入来维持系统运转，网络开通后，会运行许多关键业务，因而要求系统具有较高的可靠性。全系统的可靠性主要体现在网络设备的可靠性，尤其是GBE主干交换机的可靠性以及线路的可靠性。作为骨干网络节点，中心交换机、汇聚交换机和厂区交换机必须能够提供完全无阻塞的多层交换性能，以保证业务的顺畅。

（5）可靠性

由于升级的往往是核心和骨干网络，其重要性不言而喻，一旦瘫痪则影响巨大。

（6）可管理性

一个大型网络可管理程度的高低直接影响着运行成本和业务质量。因此，所有的节点都应是可网管的，而且需要有一个强有力且简洁的网络管理系统，能够对网络的业务流量、运行状况等进行全方位的监控和管理。

（7）安全性

随着网络的普及和发展，各种各样的攻击也在威胁着网络的安全。不仅仅是接入交换机，骨干层次的交换机也应考虑到安全防范的问题，例如访问控制、带宽控制等，从而有效控制不良业务对整个骨干网络的侵害。

（8）QoS控制能力

随着网络上多媒体业务流（如语音、视频等）越来越多，人们对核心交换节点提出了更高的要求，不仅要能进行一般的线速交换，还要能根据不同的业务流的特点，对它们的优先级和带宽进行有效的控制，从而保证重要业务和时间敏感业务的顺畅。

（9）标准性和开放性

由于网络往往是一个具有多种厂商设备的环境，因此，所选择的设备必须能够支持业界通用的开放标准和协议，以便能够和其他厂商的设备有效地互通。

【问题2】

根据图5-1，（1）处应为一个路由器，故填入Router1；（2）～（5）处应选择交换机，根据图中要求的性能，（2）处为核心交换机，性能要求最高，故填入Switch1；（3）处和（4）、（5）处相比，性能要求较高一些，故填入Switch2；（4）、（5）处为汇聚层交换机，且要求光口，故填入Switch3。

【问题3】

核心交换机和汇聚交换机之间需要有较高的可靠性，故（6）处应填入双千兆光纤链路；核心交换机和楼层交换机之间考虑距离因素，应选择光纤，故（7）处应填入千兆光纤；服务器群性能要求较网管机性能要高，故（8）处应填入千兆双绞线。

（9）处应填入百兆双绞线。

【问题4】

IP地址管理是用户管理的重要内容，也是构件完整的安全架构中不可或缺的一部分，应该在网络设计初期就对网络多种用户的IP地址分配方式进行统一规划。

IP地址的管理和分配采用动态及静态结合的方式。普通用户的IP地址由DHCP服务器动态分配；服务器、设备管理地址等需要固定IP地址，由网络管理部门静态分配。

普通用户采用动态获取IP地址的地址分配方式，可以减少IP地址分配的复杂度，同时防止IP地址重叠的情况发生。重要用户以及特殊用户（比如网管系统）可以配置静态IP地址，并在用户接入的网络设备上静态添加用户的IP地址。

故邮件服务器和网管PC采用静态配置IP地址，配备固定的IP地址，与MAC地址相绑定；学生PC采用动态配置IP地址。

【问题5】

可以配置静态IP地址并在用户接入的网络设备上静态添加用户的IP地址并且实现IP＋MAC＋端口的绑定，一方面保证了用户IP地址的固定配置，另一方面也防止了其他恶意用户的地址假冒。

【问题6】

（1）图5-1中区域A是DMZ区。DMZ是英文"demilitarized zone"的缩写，中文名称为"隔离区"，也称"非军事化区"。它是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题，而设立的一个非安全系统与安全系统之间的缓冲区，这个缓冲区位于企业内部网络和外部网络之间的小网络区域内。在这个小网络区域内可以放置一些必须公开的服务器设施，如企业Web服务器、FTP服务器和论坛等。另一方面，通过这样一个DMZ区域，更加有效地保护了内部网络，因为这种网络部署，比起一般的防火墙方案，对攻击者来说又多了一道关卡。网络结构如下图所示。

DMZ防火墙方案为要保护的内部网络增加了一道安全防线，通常认为是非常安全的。同时它提供了一个区域放置公共服务器，从而又能有效地避免一些互联应用需要公开，而与内部安全策略相矛盾的情况发生。在DMZ区域中通常包括堡垒主机、MODEM池以及所有的公共服务器，但要注意的是，电子商务服务器只能用作用户连接，真正的电子商务后台数据需要放在内部网络中。

（2）出于对数据安全性的考虑，有商业机密的数据库服务器，存储资源代码的PC和存储私人信息的PC等应该放在内部网络中。因为内部网络的用户对防火墙而言是值得信任的，可以不经过防火墙的防护，并且这样可以保证在公司内部的员工可以高速地访问应用服务器，效率较高。而外部没有授权的用户因为有防火墙的防护，无法直接访问，因此确保了商业机密数据的安全。

邮件服务器、电子商务系统和应用网关等设备所存储的数据的安全要求没有数据库的要求高，要能保证公司的员工在公司内部和公司外部都能访问，而且公司的客户也要能使用电子商务系统，在公司外部能访问。所以它们可以放在DMZ区。

解答要点

【问题1】

（1）厂商的选择

（2）扩展性考虑

在网络的层次结构中，主干设备选择应预留一定的能力，以便将来扩展，而低端设备则够用即可，因为低端设备更新较快，且易于扩展。

（3）根据方案实际需要选型

（4）选择性能价格比高、质量过硬的产品

为使资金的投入产出达到最大值，能以较低的成本、较少的人员投入来维持系统运转，网络开通后，会运行许多关键业务，因而要求系统具有较高的可靠性。全系统的可靠性主要体现在网络设备的可靠性，尤其是GBE主干交换机的可靠性以及线路的可靠性。

【问题2】

从表5-1中为图5-1中（1）～（5）处选择合适设备，填写在答题纸的相应位置（每一设备限选一次）。

（1）Router1 （2）Switch1