職業資格-網絡規劃設計師真題庫_91、單選題PPP是連接廣域網的一種封裝協議，下面關于PPP的描述中錯誤的是()。A、

能夠控制數據鏈路的建立B、

能夠分配和管理廣域網的IP地址C、

只能采用I（江南博哥）P作為網絡層協議D、

能夠有效地進行錯誤檢測正確答案：

C

參考解析：PPP（點到點協議）是為在同等單元之間傳輸數據包這樣的簡單鏈路設計的鏈路層協議。這種鏈路提供全雙工操作，并按照順序傳遞數據包。設計目的主要是用來通過撥號或專線方式建立點對點連接發送數據，使其成為各種主機、網橋和路由器之間簡單連接的一種共通的解決方案。點對點協議（PPP）為在點對點連接上傳輸多協議數據包提供了一個標準方法。PPP最初設計是為兩個對等節點之間的IP流量傳輸提供一種封裝協議。在TCP-IP協議集中它是一種用來同步調制連接的數據鏈路層協議（OSI模式中的第二層），替代了原來非標準的第二層協議，即SLIP。除了IP以外PPP還可以攜帶其它協議，包括DECnet和Novell的Internet網包交換（IPX）。2、單選題S/MIME發送報文的過程中對消息M的處理包括生成數字指紋、生成數字簽名、加密數字簽名和加密報文4個步驟，其中生成數字指紋采用的算法是（請作答此空），加密數字簽名采用的算法是()。A、

MD5B、

3DESC、

RSAD、

RC2正確答案：

A

參考解析：S/MIME發送報文的過程中，對消息M的處理包括生成數字指紋、生成數字簽名、加密數字簽名和加密報文4個步驟。首先生成的數字指紋是對消息采用Hash運算之后的摘要，四個選項中只有MD5是摘要算法;生成數字簽名通常采用公鑰算法;加密數字簽名需采用對稱密鑰，四個選項中只有3DES是對稱密鑰;加密報文也得采用對稱密鑰，計算復雜性較小。3、單選題以下關于入侵檢測系統功能的敘述中，()是不正確的。A、

保護內部網絡免受非法用戶的侵入B、

評估系統關鍵資源和數據文件的完整性C、

識別已知的攻擊行為D、

統計分析異常行為正確答案：

A

參考解析：入侵檢測通過執行以下任務來實現：監視、分析用戶及系統活動，查找出威脅系統安全的因素；審計系統構造；識別已知攻擊的模式并報警；統計分析異常行為；評估重要系統與數據文件的完整性；審計跟蹤管理對系統的操作，識別用戶違法、濫用特權行為。入侵檢測能避免合法用戶違法與濫用特權。4、單選題病毒和木馬的根本區別是（）。A、

病毒是一種可以獨立存在的惡意程序，只在執行時才會起破壞作用。木馬是分成服務端和控制端兩部分的程序，只在控制端發出命令后才起破壞作用B、

病毒是一種可以獨立存在的惡意程序，只在傳播時才會起破壞作用。木馬是分成服務端和控制端兩部分的程序，一般只在控制端發出命令后才起破壞作用C、

病毒是一種可以跨網絡運行的惡意程序，只要存在就有破壞作用。木馬是駐留在被入侵者計算機上的惡意程序，一旦駐留成功就有破壞作用D、

病毒是一種可以自我隱藏的惡意程序，木馬是不需要自我隱藏的惡意程序正確答案：

A

參考解析：二者最大區別是，木馬是分成兩部分的，病毒通常是一個整體。5、單選題殺毒軟件報告發現病毒Macro.Melissa，這類病毒主要感染目標是()。A、

EXE或COM可執行文件B、

Word或Excel文件C、

DLL系統文件D、

磁盤引導區正確答案：

B

參考解析：惡意代碼的一般命名格式為：惡意代碼前綴.惡意代碼名稱.惡意代碼后綴。惡意代碼前綴是根據惡意代碼特征起的名字，具相同前綴的惡意代碼通常具有相同或相似的特征。前綴Macro表示Macro.Melissa是一種宏病毒，主要感染office文件。6、單選題特洛伊木馬攻擊的威脅類型屬于()。A、

授權侵犯威脅B、

滲入威脅C、

植入威脅D、

旁路控制威脅正確答案：

C

參考解析：主要的滲入威脅有：(1)假冒：即某個實體假裝成另外一個不同的實體。這個末授權實體以一定的方式使安全守衛者相信它是一個合法的實體，從而獲得合法實體對資源的訪問權限。這是大多黑客常用的攻擊方法。(2)旁路：攻擊者通過各種手段發現一些系統安全缺陷，并利用這些安全缺陷繞過系統防線滲入到系統內部。(3)授權侵犯：對某一資源具有一定權限的實體，將此權限用于未被授權的目的，也稱“內部威脅”。主要的植入威脅有：病毒、特洛伊木馬、陷門、邏輯炸彈、間諜軟件。7、單選題S/MIME發送報文的過程中對消息M的處理包括生成數字指紋、生成數字簽名、加密數字簽名和加密報文4個步驟，其中生成數字指紋采用的算法是()，加密數字簽名采用的算法是（請作答此空）。A、

MD5B、

RSAC、

3DESD、

SHA-1正確答案：

C

參考解析：S/MIME發送報文的過程中，對消息M的處理包括生成數字指紋、生成數字簽名、加密數字簽名和加密報文4個步驟。首先生成的數字指紋是對消息采用Hash運算之后的摘要，四個選項中只有MD5和sha-1是摘要算法;生成數字簽名通常采用公鑰算法;加密數字簽名需采用對稱密鑰，四個選項中只有3DES是對稱密鑰;加密報文也得采用對稱密鑰，計算復雜性較小。8、單選題網絡隔離技術的目標是確保把有害的攻擊隔離，在保證可信網絡內部信息不外泄的前提下，完成網絡間數據的安全交換。下列隔離技術中，安全性最好的是()。A、

多重安全網關B、

防火墻C、

VLAN隔離D、

物理隔離正確答案：

D

參考解析：網絡隔離（NetworkIsolation）技術的目標是確保把有害的攻擊隔離，在保證可信網絡內部信息不外泄的前提下，完成網絡間數據的安全交換。常考的網絡隔離技術有以下幾種：（1）防火墻通過ACL進行網絡數據包的隔離，是最常用的隔離方法?？刂凭窒抻趥鬏攲右韵碌目刂疲瑢τ诓《尽⒛抉R、蠕蟲等應用層的攻擊毫無辦法；適合小網絡隔離，不合適大型、雙向訪問業務網絡隔離。（2）多重安全網關多重安全網關稱為統一威脅管理（UTM，UnifiedThreatManagement）被稱為新一代防火墻，能做到從網絡層到應用層的全面檢測。UTM的功能有ACL、防入侵、防病毒、內容過濾、流量整形、防DOS。（3）VLAN劃分VLAN劃分技術避免了廣播風暴，解決有效數據傳遞問題；通過劃分VLAN隔離各類安全性部門。（4）人工策略斷開網絡物理連接，使用人工方式交換數據，這種方式安全性最好。9、單選題針對用戶的需求，設計師提出了用物理隔離來實現網絡安全的方案。經過比較，決定采用隔離網閘實現物理隔離。物理隔離的思想是內外網隔開，但分時對一存儲設備寫和讀，間接實現信息交換隔離網閘的主要實現技術不包括（）A、

實時開關技術B、

單向連接技術C、

網絡開關技術D、

隔離卡技術正確答案：

D

參考解析：網閘的主要實現技術包括實時開關技術、單向連接技術和網絡開關技術。實時開關的原理是使用硬件連接兩個網絡，兩個網絡之間通過硬件開關來保證不同時連通。通過開關的快速切換，并剝去TCP報頭，通過不可路由的數據轉存池來實現數據轉發。單向連接是指數據只能從一個網絡單向向另外一個網絡擺渡數據，兩個網絡是完全斷開的。單向連接實際上通過硬件實現一條"只讀"的單向傳輸通道來保證安全隔離。網絡開關技術是將一臺機器虛擬成兩套設備，通過開關來確保兩套設備不連通，同一時刻最多只有一個虛擬機是激活的。10、單選題按照RSA算法，取兩個最大素數p和q，n=p*q，令φ(n)=(p-1)*(q-1)，取與φ(n)互質的數e，d=e-1modφ(n)，如果用M表示消息，用C表示密文，下面()是加密過程，（請作答此空）是解密過程。A、

M=CnmodeB、

M=CdmodnC、

M=Cdmodφ(n)D、

M=Cnmodφ(n)正確答案：

B

參考解析：RSA公鑰（e，n）加密，私鑰d解密。11、單選題IDS是一類重要的安全技術，其基本思想是()。A、

過濾特定來源的數據包B、

過濾發往特定對象的數據包C、

利用網閘等隔離措施D、

通過網絡行為判斷是否安全正確答案：

D

參考解析：IDS是入侵檢測系統（IntrusionDetectionSystem）的縮寫，是一種通過對網絡流量、系統日志等進行實時監測和分析，來判斷網絡是否遭受攻擊的安全技術。其基本思想是通過對網絡行為的分析和判斷，來識別和防范各種安全威脅，包括入侵、攻擊、病毒、蠕蟲等。因此，選項D“通過網絡行為判斷是否安全”是正確的。選項A和B是針對特定來源或對象的數據包進行過濾，而IDS的監測范圍更廣泛，不僅限于特定來源或對象。選項C則是利用隔離措施來保護網絡安全，與IDS的監測和分析功能不同。因此，本題的正確答案為D。12、單選題OSPF默認的Hello報文發送間隔時間是()秒，默認無效時間間隔是Hello時間間隔的()倍，即如果在（請作答此空）秒內沒有從特定的鄰居接收到這種分組，路由器就認為那個鄰居不存在了。Hello組播地址為()。A、

50B、

60C、

40D、

30正確答案：

C

參考解析：Hello用于發現鄰居，保證鄰居之間keeplive，能在NBMA上選舉指定路由器（DR）、備份指定路由器（BDR）。默認的Hello報文的發送間隔時間是10秒，默認的無效時間間隔是Hello時間間隔的4倍，即如果在40秒內沒有從特定的鄰居接收到這種分組，路由器就認為那個鄰居不存在了。Hello包應該包含：源路由器的RID、源路由器的AreaID、源路由器接口的掩碼、源路由器接口的認證類型和認證信息、源路由器接口的Hello包發送的時間間隔、源路由器接口的無效時間間隔、優先級、DR/BDR接口IP地址、五個標記位、源路由器的所有鄰居的RID。Hello組播地址為。13、單選題在下面4種病毒中，()可以遠程控制網絡中的計算機。A、

worm.Sasser.fB、

Win32.CIHC、

Trojan.qq3344D、

Macro.Melissa正確答案：

C

參考解析：worm.Sasser.f（震蕩波變種f），該自運行的蠕蟲通過使用Windows的一個漏洞來傳播。該病毒并不通過郵件傳播，而是通過命令易受感染的機器下載特定文件并運行，來達到感染的目的。Win32.CIH，CIH病毒的一種，屬文件型病毒，主要感染各種Windows95以上系統中的可執行文件。Trojan.qq3344（QQ尾巴）是一種攻擊QQ軟件的木馬程序，中毒之后，QQ會無故向好友發送垃圾消息或木馬網址，而接受消息方點擊相關URL后，本地計算機就有可能被植入木馬，被遠程控制。Macro.Melissa（梅麗莎病毒）是一種宏病毒。14、單選題假設3DES算法的密鑰為K1和K2，明文為M，密文為C，則以下關于3DES加密過程，說法正確的是()。A、

K1對K2加密得到C1，然后用C1對M進行加密得到CB、

K2對K1加密后的結果，對M進行加密得到CC、

K1對M進行加密得到C1，然后用K2對C1解密得到C2，最后使用K1加密C2得到C3D、

K1對M進行加密得到C1，然后用K2對C1加密得到C2，最后使用K2加密C2得到C3正確答案：

C

參考解析：3DES中的K1=K3，加密過程是使用K1對M進行DES加密得到C1，然后使用K2對C1進行DES解密得到C2，最后使用K1對C2進行DES加密得到C3。15、單選題在Kerberos認證系統中，()就是一個密鑰分配中心A、

應用服務器B、

密鑰分發中心KDCC、

票據授予服務器TGSD、

驗證服務器AS正確答案：

D

參考解析：驗證服務器AS，就是一個密鑰分配中心。同時負責用戶的AS注冊、分配賬號和密碼，負責確認用戶并發布用戶和TGS之間的會話密鑰。16、單選題以下關于前綴和病毒類型不匹配的是（）A、

前綴為win32的是系統病毒B、

前綴是worm的是網絡蠕蟲病毒C、

前綴是script的是木馬程序D、

前綴是macro的是宏病毒正確答案：

C

參考解析：本題考查對于常見病毒類型的了解。前綴為win32的病毒通常是針對Windows操作系統的，而不是系統病毒；前綴是worm的病毒通常是通過網絡傳播的蠕蟲病毒；前綴是macro的病毒通常是利用宏功能傳播的病毒。因此，選項A、B、D都是正確的。而前綴是script的病毒通常是利用腳本語言傳播的木馬程序，因此選項C不匹配，是本題的正確答案。17、單選題安全管理制度中信息安全有三條基本的管理原則____A、

人員允許下不單獨工作、限制使用范圍、責任落實B、

人員允許下不單獨工作、限制使用時間、責任分散C、

建立文檔制度、建立管理制度、建立責任制度D、

建立總體方針、建立管理制度、建立操作規程正確答案：

B

參考解析：本題考查安全管理制度中信息安全的基本管理原則。選項A中的“限制使用范圍”和“責任落實”是正確的，但“人員允許下不單獨工作”不符合實際情況，因為有些情況下需要單獨工作。選項C中的“建立文檔制度”和“建立責任制度”是正確的，但“建立管理制度”過于籠統。選項D中的“建立總體方針”和“建立操作規程”是正確的，但同樣過于籠統。只有選項B中的“人員允許下不單獨工作”、“限制使用時間”和“責任分散”三個原則是比較全面、準確的，因此選B。18、單選題為防止服務器遭攻擊，通常設置一個DMZ.外網、DMZ，內網三者之間的關系，如果在DMZ中沒有()，則訪問規則可更簡單。A、

郵件服務器B、

數據庫服務器C、

DNS服務器D、

Web服務器數據庫服務器正確答案：

A

參考解析：DMZ通常是內網服務器的一個代理，用于替代內網服務器供外網用戶訪問，使得內網服務器不暴露給外網用戶。一旦DMZ中的服務器被攻擊導致失效，可利用內網服務器快速恢復。郵件服務器是內外網用戶都要訪問的服務器，當DMZ中沒有郵件服務器時，可以完全限制DMZ與內網之間的聯系，只允許內網到DMZ的單向訪問，內網安全性進一步提高。19、單選題甲和乙要進行通信，甲對發送的消息附加了數字簽名，乙收到該消息后利用()驗證該消息的真實性。A、

甲的公鑰B、

甲的私鑰C、

乙的公鑰D、

乙的私鑰正確答案：

A

參考解析：甲和乙要進行通信，甲對發送的消息附加了數字簽名，乙收到該消息后利用甲的公鑰驗證該消息的真實性。20、單選題下列測試指標中，屬于光纖指標的是（請作答此空），儀器()可在光纖的一端測得光纖的損耗。A、

波長窗口參數B、

線對間傳播時延差C、

回波損耗D、

近端串擾正確答案：

A

參考解析：光纖指標包含波長窗口參數，光纖布線鏈路的最大衰減值。回波損耗，又稱為反射損耗。是電纜鏈路由于阻抗不匹配所產生的反射，是一對線自身的反射。21、單選題某網站向CA中請了數字證書，用戶通過()來驗證網站的真偽。在用戶與網站進行安全通信時，用戶可以通過()進行加密和驗證，該網站通過（請作答此空）進行解密和簽名。A、

CA的簽名B、

證書中的公鑰C、

網站的私鑰D、

用戶的公鑰正確答案：

C

參考解析：在X.509標準中，包含在數字證書中的數據域有證書、版本號、序列號（唯一標識每一個CA下發的證書）、算法標識、頒發者、有效期、有效起始日期、有效終止日期、使用者、使用者公鑰信息、公鑰算法、公鑰、頒發者唯一標識、使用者唯一標識、擴展、證書簽名算法、證書簽名（發證機構即CA對用戶證書的簽名）。數字證書能驗證實體身份，而驗證證書有效性的主要是依據數字證書所包含的證書簽名。如圖1所示，網站通訊用戶發送數據時使用網站的公鑰（從數字證書中獲得）加密，收到數據時使用網站的公鑰驗證網站的數字簽名；網站利用自身的私鑰對發送的消息簽名和對收到的消息解密。22、單選題網管人員在監測網絡運行狀態時，發現下列現象：服務器上有大量的TCP連接，收到了大量源地址各異、用途不明的數據包；服務器收到大量的ARP報文。網管人員的判斷是受到了DDoS攻擊和ARP欺騙攻擊，針對后一現象可能采取的措施是（）。A、

升級交換機內的軟件B、

加裝一個內部路由器C、

在服務器上安裝ARP防火墻D、

在內部網的每臺主機上安裝ARP防火墻正確答案：

D

參考解析：解決方法是在每臺計算機上安裝ARP防火墻或殺毒軟件，發現并殺掉該病毒。23、單選題海明碼是一種糾錯編碼，一對有效碼字之間的海明距離是()。A、

兩個碼字的比特數之和B、

兩個碼字的比特數之差C、

兩個碼字之間相同的比特數D、

兩個碼字之間不同的比特數正確答案：

D

參考解析：海明碼實際上是一種多重奇偶校驗碼，其工作原理是：在有效信息位中加入校驗位形成海明碼，并把海明碼的每一個二進制位分配到不同的奇偶校驗組中。當某一位出錯后，就會引起有關校驗位的值發生變化，因此不但可以發現錯誤，還能指出錯誤的位置，所以還可以進行糾錯。碼字之間的海明距離是一個碼字要變成另一個碼字時必須改變的最小位數。24、單選題為了實現QoS控制的資源預約協議RSVP，下面描述中正確的是()A、

由發送方向數據傳送路徑上的各個路由器預約帶寬資源B、

由發送方向接收方預約數據緩沖資源C、

由接收方和發送方共同商定各條鏈路上的資源分配D、

在數據傳送期間，預約的路由信息必須定期刷新正確答案：

D

參考解析：本題考察RSVP協議的相關知識。資源預留協議（ResourceReservationProtocol，簡稱RSVP）是一個通過網絡進行資源預留的協議，是為實現綜合業務網而設計的。RSVP要求接收者在連接建立之初進行資源預留，它必須支持單播和多播數據流，并具有很好的可伸縮性和強壯性。主機或者路由器可以使用RSVP滿足不同應用程序數據流所需的不同的服務質量。RSVP定義應用程序如何進行資源預留并在預留的資源不用時如何進行預留資源的刪除。RSVP將會使得路徑上每個節點都進行資源預留。RSVP有兩種主要的消息：（1）路徑消息路徑消息被沿著數據路徑從發送方主機發送，并記錄路徑上每個節點的的路徑狀態。路徑狀態包括先前節點的IP地址和一些數據對象：sendertemplate（發送方模板）是用于描述發送方數據格式、sendertspec（數據流的話務描述特征）是用于描述數據流傳輸特征、adspec攜帶廣告數據。（2）預留消息預留消息是由接收方沿著反向路徑發送到發送方。在每個節點上，預留消息的IP目的地址將會改成反向路徑上下一節點的地址，同時IP源地址將會改成反向路徑上前一節點的地址。預留消息包括流量說明數據對象，這個數據對象上用于確定流需要的資源。一個需要按特定服務質量發送數據流的RSVP主機將會傳輸一個RSVP路徑消息，這個路徑消息將會沿單播或組播路由通過路由協議預先建立的路徑傳輸。如果路徑消息到達一個不理解RSVP的路由器，將會將這個消息轉發并不對其內容進行分析而且不會為這個流進行資源預留。當目的路由器接收到路徑消息，它將會：按照請求的參數進行資源預留。對此，許可控制和策略控制處理請求參數并通知分組分類以便正確處理選定的數據分組，或者和上層協商如何進行分組處理。向上游轉發請求（朝著發送方方向）。在每個節點上，預留消息的流量說明（flowspec）可以由前向節點更改。主要特征：RSVP為每個流請求資源：這是只有一個發送者但可以有一個或多個接收者的流。RSVP不是一個路由協議，而是用于互聯現在的和將來的路由協議。RSVP是由數據流的接收者發起并維護資源預留。RSVP維護主機和路由器的軟狀態（每個節點上的資源預留都需要周期性的更新），因此支持源自適應網絡變化。RSVP提供多種預留類型（一組預留選項）并允許將來加入其他類型，進行協議改進，以支持不同的應用程序。RSVP傳輸并維持通信和策略控制參數，這些對于RSVP都是不透明的。25、單選題在報文摘要算法MD5中，首先要進行明文分組與填充，其中分組時明文報文摘要按照()位分組。A、

128B、

256C、

512D、

1024正確答案：

C

參考解析：消息摘要算法采用“單向函數”，即只能從輸入數據得到輸出數據，無法從輸出數據得到輸入數據。常見報文摘要算法有安全散列標準SHA-1、MD5系列標準。（1）MD5消息摘要算法5（MD5），把信息分為512比特的分組，并且創建一個128比特的摘要。（2）SHA-1安全hash算法（SHA-1），也是基于MD5的，使用一個標準把信息分為512比特的分組，并且創建一個160比特的摘要。26、單選題基于數論原理的RSA算法的安全性建立在()的基礎上。RSA廣泛用于（請作答此空）。A、

檔案文本數據加密B、

視頻監控數據加密C、

視頻流數據加密D、

秘鑰分發正確答案：

D

參考解析：現在主要的兩大類算法是：建立在基于“分解大數的困難度”基礎上的算法，和建立在“以大素數為模來計算離散對數的困難度”基礎上的算法?；跀嫡撛淼腞SA算法的安全性建立在分解大數的困難的基礎上。但是使用RSA來加密大量的數據則速度太慢了，因此RSA一般廣泛用于密鑰的分發。27、單選題甲收到一份來自乙的電子訂單后，將訂單中的貨物送達到乙時，乙否認自己曾經發送過這份訂單，為了解除這種紛爭，采用的安全技術是()。A、

數字簽名技術B、

數字證書C、

消息認證碼D、

身份認證技術正確答案：

A

參考解析：本題考查的是信息安全中的數字簽名技術。數字簽名技術是一種基于公鑰密碼學的技術，用于驗證數字文檔的完整性、真實性和不可抵賴性。在本題中，甲收到的電子訂單可能被篡改或偽造，而數字簽名技術可以通過對訂單進行數字簽名，確保訂單的完整性和真實性，從而避免紛爭的發生。因此，選項A“數字簽名技術”是本題的正確答案。選項B“數字證書”是一種用于證明公鑰擁有者身份的技術，不是本題的正確答案。選項C“消息認證碼”是一種用于驗證消息完整性的技術，不是本題的正確答案。選項D“身份認證技術”是一種用于驗證用戶身份的技術，不是本題的正確答案。28、單選題工程師利用測試設備對某信息點已經連接好的網線進行測試時，發現有4根線不通，但計算機仍然能利用該網線連接上網。則不通的4根線可能是()。某些交換機級聯時，需要交換UTP一端的線序，其規則是（請作答此空），對變更了線序的UTP，最直接的測試方式是()。A、

1＜-->2，3＜-->4B、

1＜-->2，3＜-->6C、

1＜-->3，2＜-->6D、

5＜-->6，7＜-->8正確答案：

C

參考解析：本題考查網絡布線與測試方面的基本知識。根據相關標準，10Mbps以太網只使用四根線，UTP電纜中的1-2-3-6四個線是必須的，分別配對成發送和接收信道。具體規定為：1、2線用于發送，3、6線用于接收。但百兆以太網、千兆以太網需要使用全部8根線。當需要交換線序時，將線的其中一端的1<-->3，2<-->6分別對調。對變更了線序的UTP進行測試時，最簡單的方法是利用萬用表測試。29、多選題采用802.1q協議的VLAN可以是基于_____的VLANA、

端口B、

MAC地址C、

策略D、

網絡層協議正確答案：

A

B

C

D

參考解析：802.1q協議是一種VLAN標準，它可以基于不同的因素來劃分VLAN。具體來說，可以基于端口、MAC地址、策略和網絡層協議來劃分VLAN。A.端口：基于端口的VLAN是最常見的一種VLAN劃分方式。通過將不同的端口劃分到不同的VLAN中，可以實現不同VLAN之間的隔離和互通。B.MAC地址：基于MAC地址的VLAN可以根據設備的MAC地址來劃分VLAN。這種方式可以實現設備級別的VLAN劃分，比如將同一類型的設備劃分到同一個VLAN中。C.策略：基于策略的VLAN可以根據不同的策略來劃分VLAN。比如可以根據用戶的身份、應用程序的類型等因素來劃分VLAN。D.網絡層協議：基于網絡層協議的VLAN可以根據不同的網絡層協議來劃分VLAN。比如可以將所有使用TCP/IP協議的設備劃分到同一個VLAN中。綜上所述，采用802.1q協議的VLAN可以基于端口、MAC地址、策略和網絡層協議來劃分VLAN，因此答案為ABCD。30、多選題下面對防火墻描述錯誤的有__。A、

對計算機系統安裝個人防火墻有利于企業網絡安全，降低了安全管理難度B、

應用層防火墻雖然在速度上不及包過濾防火墻，但功能更加強大C、

防火墻有軟硬之分，基于硬件設備的物理防火墻屬于物理隔離設備，所以工作效率更高D、

要使防火墻起到安全防護作用，被防火墻保護的網絡中任何的通訊數據都必須通過防火墻正確答案：

A

C

參考解析：A選項描述錯誤。雖然個人防火墻可以提高計算機系統的安全性，但是對于企業網絡來說，個人防火墻并不能降低安全管理難度，反而會增加管理難度，因為需要對每個計算機的個人防火墻進行管理和維護。B選項描述正確。應用層防火墻可以檢測和過濾應用層協議數據，功能更加強大，但是在速度上可能不如包過濾防火墻。C選項描述錯誤?；谟布O備的物理防火墻雖然可以提高工作效率，但是并不是所有的物理防火墻都屬于物理隔離設備，還有一些基于軟件的物理防火墻。D選項描述正確。防火墻的作用是過濾和控制網絡通訊數據，因此被防火墻保護的網絡中任何的通訊數據都必須通過防火墻。31、多選題以下哪些是惡意代碼？A、

熊貓燒香，冰河等木馬病毒B、

其它選項所述都是惡意代碼C、

后門，DDoS程序D、

蠕蟲正確答案：

D

A

C

B

參考解析：惡意代碼是指故意編制或設置的、對網絡或系統會產生威脅或潛在威脅的計算機代碼。最常見的惡意代碼有計算機病毒（簡稱病毒）、特洛伊木馬（簡稱木馬）、計算機蠕蟲（簡稱蠕蟲）、后門、邏輯炸彈等。32、多選題以下內容中是計算機病毒的特點的是：A、

傳播性，破壞性B、

非授權性，隱蔽性C、

潛伏性和可觸發性D、

都是程序正確答案：

A

B

C

D

參考解析：計算機病毒是一種能夠自我復制并傳播的惡意程序，具有以下特點：A.傳播性：病毒能夠通過網絡、存儲介質等途徑傳播到其他計算機系統，從而感染更多的計算機系統。B.破壞性：病毒能夠破壞計算機系統的正常運行，例如刪除文件、修改系統設置等。C.潛伏性和可觸發性：病毒能夠在計算機系統中潛伏一段時間，等待特定的條件觸發，例如特定的日期、時間或者用戶操作等。D.都是程序：病毒是一種程序，需要被執行才能發揮作用。因此，選項ABCD都是計算機病毒的特點。33、單選題海明碼是一種糾錯編碼，如果信息為6位，要求糾正1位錯，按照海明編碼規則，需要增加的校驗位是()位。A、

3B、

4C、

5D、

6正確答案：

D

參考解析：海明碼是一種用于糾錯編碼的方法，主要用于數據傳輸中的錯誤檢測和糾正。對于給定的信息位長度（如6位）和糾錯位長度（如1位錯），海明編碼規則要求增加的校驗位數量為信息位長度加上糾錯位數量減1。因此，對于信息為6位，要求糾正1位錯的情況，需要增加的校驗位為6+1-1=6位。所以，答案為D。34、單選題以太網幀結構中“填充”字段的作用是()。A、

承載任選的路由信息B、

用于捎帶應答C、

發送緊急數據D、

保持最小幀長正確答案：

D

參考解析：以太網幀結構中由下列幾個字段組成，每一個字段有一定含義和用途。每個字段長度不等，下面分別加以簡述。（1）前導字段：形為1010…1010，長度為7個字節。（2）幀起始符字段：固定格式為10101011，長度為1個字節。（3）目的地址、源地址字段：可以是6個字節。最高位為0，代表普通地址；最高位為1，代表組地址；全1的目標地址是廣播地址。（4）類型字段：標識上一層使用什么協議，以便把收到的MAC幀數據上交給上一層協議，也可以表示長度。類型字段是DIX以太網幀的說法，而IEEE802.3幀中的該字段被稱為長度字段。由于該字段有兩個字節，可以表示0～65535，因此該字段可以賦予多個含義，0～1500可以表示長度值，1536～65535（0x0600～0xFFFF）被用于描述類型值?？荚囍?，該字段常標識為長度字段。（5）數據字段：上一層的協議數據，長度為0～1500字節。（6）填充字段：確保最小幀長為64個字節，長度為0～46字節。（7）校驗和字段：32位的循環冗余碼，檢驗算法見本書的CRC部分。35、單選題當一個主機要獲取通信目標的MAC地址時，()。A、

單播ARP請求到默認網關B、

廣播發送ARP請求C、

與對方主機建立TCP連接D、

轉發IP數據報到鄰居結點正確答案：

B

參考解析：當一個主機要獲取通信目標的MAC地址時，它會發送ARP請求。ARP（AddressResolutionProtocol）是一種用于將IP地址解析為MAC地址的協議。在發送數據包之前，發送方需要知道目標主機的MAC地址，因此發送方會發送一個ARP請求，請求目標主機的MAC地址。由于發送方并不知道目標主機的MAC地址，因此ARP請求是廣播發送的，即發送給本網絡中的所有主機。當目標主機收到ARP請求后，會回復一個ARP響應，其中包含它的MAC地址。因此，選項B正確。選項A是錯誤的，因為單播ARP請求只會發送給一個特定的主機，而不是廣播發送。選項C是錯誤的，因為建立TCP連接并不需要獲取目標主機的MAC地址。選項D是錯誤的，因為轉發IP數據報到鄰居結點也不需要獲取目標主機的MAC地址。36、單選題假設生產管理網絡系統采用B/S工作方式，經常上網的用戶數為300個，每用戶每分鐘產生16個事務處理任務，平均事務量大小為0.1MB，則這個系統需要的信息傳輸速率為()。A、

22Mb/sB、

8Mb/sC、

64Mb/sD、

16Mb/s正確答案：

C

參考解析：根據題目中的數據，可以計算出每分鐘需要傳輸的數據量：300個用戶×16個事務處理任務×0.1MB/事務處理任務=480MB/min將其轉換為Mbps，即：480MB/min×8Mb/MB÷60s/min=64Mbps因此，答案為B。37、單選題在采用CSMA/CD控制方式的總線網絡上，假定τ=總線上單程傳播時間，T0=發送一個幀需要的時間（=幀長/數據率），a=τ/T0。信道利用率的極限值為()。A、

1/(1+a)B、

a/(1+a)C、

a/(1+2a)D、

1/(1+2a)正確答案：

A

參考解析：本題考查應用數學中概率統計知識的應用。信道利用率達到極限的條件是：一個節點發送的一個幀到達目的地后，某一個節點接著發送，介質沒有空閑，也沒有出現沖突的情況。此時，發送1幀的時間是T0，幀的傳播延遲是τ，總時間為T0+τ，利用率為T0/（T0+τ）=1/（1+a）。38、單選題以下關于IPSEC說法不正確的是()。A、

ESP支持數據的保密性，使用DES、Triple-DES、RC5、RC4、IDEA等算法。B、

AH可以提供數據源認證（確保接收到的數據是來自發送方）、數據完整性（確保數據沒有被更改）以及防中繼保護（確保數據到達次序的完整性）C、

IPSec是一個協議體系，由建立安全分組流的密鑰交換協議和保護分組流的協議兩個部分構成，前者即為IKE協議，后者則包含AH和ESP協議D、

IPSec是一個標準的應用層安全協議，是一個協議包正確答案：

D

參考解析：IPSec是一個標準的應用層安全協議，它不是一個協議包，因此選項D是不正確的。其他選項中，A、B、C均是對IPSec的正確描述。39、單選題局域網A為采用CSMA/CD工作方式的10Mbps以太網，局域網B為采用CSMA/CA工作方式的11MbpsWLAN。假定A、B上的計算機、服務器等設備配置相同，網絡負載大致相同，現在分別在A、B上傳送相同大小的文件，所需時間分別為Ta和Tb，以下敘述正確的是()。A、

Ta大于TbB、

Ta小于TbC、

Ta和Tb相同D、

無法判斷Ta和Tb的大小關系正確答案：

B

參考解析：從CSMA/CD的工作原理可知，以太網在發送數據時連續偵測介質，一旦空閑就開始發送，并且邊發送邊監聽，一旦出現沖突立即停止發送，不需要等待應答就能知道發送操作是否正常完成。而CSMA/CA在發現介質空閑時，還要繼續等待一個幀間隔（IFS）時間，在發送過程中即使出現沖突，也不能馬上知道，需要依靠是否收到對方的有效應答才能確定發送是否正常完成。定性分析的結果，CSMA/CA成功發送一幀所需要的時間更長。定量地看，CSMA/CD方式：幀長=1500B（數據）+18B（幀頭）=1518B，發送一幀的時間=1518B/lOMbps=1214μs。CSMA/CA方式：幀長=1500B（數據）+36B（幀頭）=1536B，幀間隔360μs，幀的發送時間=1536B/11Mbps+360μs≈1477μs。假定確認幀很短，其發送時間可忽略，但其等待發送的幀間隔時間不能忽略，則確定一幀正常發送完畢的時間約為1477+360=1837μs。所以CSMA/CA發送一幀的實際時間明顯大于CSMA/CD的時40、單選題OSPF默認的Hello報文發送間隔時間是()秒，默認無效時間間隔是Hello時間間隔的()倍，即如果在()秒內沒有從特定的鄰居接收到這種分組，路由器就認為那個鄰居不存在了。Hello組播地址為（請作答此空）。A、

B、

C、

D、

正確答案：

A

參考解析：Hello用于發現鄰居，保證鄰居之間keeplive，能在NBMA上選舉指定路由器（DR）、備份指定路由器（BDR）。默認的Hello報文的發送間隔時間是10秒，默認的無效時間間隔是Hello時間間隔的4倍，即如果在40秒內沒有從特定的鄰居接收到這種分組，路由器就認為那個鄰居不存在了。Hello包應該包含：源路由器的RID、源路由器的AreaID、源路由器接口的掩碼、源路由器接口的認證類型和認證信息、源路由器接口的Hello包發送的時間間隔、源路由器接口的無效時間間隔、優先級、DR/BDR接口IP地址、五個標記位、源路由器的所有鄰居的RID。Hello組播地址為。41、單選題在以太網CSMA/CD協議中，使用1-堅持型監聽算法。與其他監聽算法相比，這種算法的主要特點是（）A、

傳輸介質利用率低，但沖突概率高B、

傳輸介質利用率低，沖突概率也低C、

能及時搶占信道，但增加了沖突的概率D、

能及時搶占信道，且減少了沖突的概率正確答案：

C

參考解析：1-堅持型監聽算法是指當一個站點要發送數據時，先監聽信道，如果信道空閑，則立即發送數據；如果信道忙，則等待一段時間后再次監聽，如果仍然忙，則繼續等待，直到信道空閑，然后再發送數據。這種算法的主要特點是能夠及時搶占信道，但增加了沖突的概率。因為如果多個站點同時等待信道空閑，同時發送數據，就會發生沖突。因此，1-堅持型監聽算法的傳輸介質利用率低，但能夠及時搶占信道，適用于網絡負載較輕的情況。因此，選項C是正確的。42、單選題城域以太網在各個用戶以太網之間建立多點第二層連接，IEEE802.1ad定義運營商網橋協議提供的基本技術是在以太網幀中插入()字段。A、

運營商VLAN標記B、

運營商虛電路標識C、

用戶VLAN標記D、

用戶幀類型標記正確答案：

A

參考解析：本題考查城域以太網中的運營商網橋協議，該協議使用IEEE802.1ad標準，提供多點第二層連接。在以太網幀中，需要插入特定的字段來實現該協議。根據IEEE802.1ad標準，該字段為運營商VLAN標記，因此選項A為正確答案。選項B中的虛電路標識是ATM網絡中的概念，與本題無關；選項C中的用戶VLAN標記是指用戶自定義的VLAN標記，與運營商網橋協議無關；選項D中的幀類型標記也與本題無關。因此，選項A是本題的正確答案。43、單選題IEEE802.11采用了類似于IEEE802.3CSMA/CD協議的CSMA/CA協議，不采用CSMA/CD協議的原因是()。A、

CSMA/CA協議的效率更高B、

CSMA/CD協議的開銷更大C、

為了解決隱蔽終端問題D、

為了引進其他業務正確答案：

C

參考解析：IEEE802.11采用了類似于IEEE802.3CSMA/CD協議的載波偵聽多路訪問/沖突避免協議（CarrierSenseMultipleAccess/CollisionAvoidance，CSMA/CA），不采用CSMA/CD協議的原因有兩點：①無線網絡中，接收信號的強度往往遠小于發送信號，因此要實現碰撞花費過大。②隱蔽站（隱蔽終端問題），并非所有站都能聽到對方。而暴露站的問題是檢測信道忙碌，但是未必影響數據發送。因此，CSMA/CA就是減少碰撞，而不是檢測碰撞。44、單選題A、B是局域網上兩個相距1km的站點，A采用同步傳輸方式以1Mb/s的速率向B發送長度為200,000字節的文件。假定數據幀長為128比特，其中首部為48比特：應答幀為22比特，A在收到B的應答幀后發送下一幀。傳送文件花費的時間為()s，有效的數據速率為（請作答此空）Mb/s（傳播速率為200m/us）A、

0.2B、

0.5C、

0.7D、

0.8正確答案：

B

參考解析：傳輸文件總時間=傳播時間+傳輸時間。45、單選題城域以太網在各個用戶以太網之間建立多點第二層連接，IEEE802.1ad定義運營商網橋協議提供的基本技術是在以太網幀中插入營商VLAN標記字段，這種技術被稱為()技術。A、

Q-in-QB、

IP-in-IPC、

NAT-in-NATD、

MAC-in-MAC正確答案：

A

參考解析：Q-in-Q工作原理就是：數據在私網中傳輸時帶一個私網的tag，定義為C－VLANTag，數據進入到服務商的骨干網后，再打上一層公網的VLANtag，定義為P－VLANTag。到目的私網后再把P－VLANTag剝除，為用戶提供了一種較為簡單的二層VPN隧道。P-VLANTag標簽是嵌在以太網源MAC地址和目的MAC地址之后。也包含一個12位的P-VLANID，可支持1-4094個VLAN。P-VLANCoS域包含3位，支持8個級別的優先級。在基于Q-in-Q網絡中，運營商為每個VLAN分配一個P-VLANID，然后把用戶的C-VLANID實例映射到這些P-VLANID上。因此，用戶的C－VLANID就被保護起來。46、單選題采用ADSL虛擬撥號接入方式中，用戶端需要安裝()軟件。A、

PPPB、

PPPoEC、

PPTPD、

L2TP正確答案：

B

參考解析：通過ADSL方式上網的計算機大都是通過以太網卡（Ethernet）與互聯網相連的。同樣使用的還是普通的TCP/IP方式，并沒有附加新的協議。另外一方面，調制解調器的撥號上網，使用的是PPP協議，即點到點協議，該協議具有用戶認證及通知IP地址的功能。PPPoE協議是在以太網絡中轉播PPP幀信息的技術，尤其適用于ADSL等方式。47、單選題CHAP協議是PPP鏈路中采用的一種身份認證協議，這種協議采用（三次）握手方式周期性的驗證通信對方的身份，當認證服務器發出一個挑戰報文時，則終端就計算該報文的()并把結果返回服務器。A、

密碼B、

補碼C、

CHAP值D、

HASH值正確答案：

D

參考解析：本題考查的是CHAP協議的工作原理和實現方式。CHAP協議是PPP鏈路中采用的一種身份認證協議，其主要作用是驗證通信對方的身份。在CHAP協議中，認證服務器會周期性地向終端發送挑戰報文，終端需要計算該報文的HASH值并將結果返回給服務器，以此來驗證自己的身份。因此，本題的正確答案為D，即HASH值。選項A的密碼是指用戶的密碼，不是計算挑戰報文的結果；選項B的補碼是一種數值表示方式，與CHAP協議的實現無關；選項C的CHAP值是指CHAP協議中使用的一種加密算法，也不是計算挑戰報文的結果。48、單選題OSI中，實現系統間二進制信息組的正確傳輸，為上一層提供可靠、無錯誤的數據信息的協議層是()A、

物理層B、

數據鏈路層C、

網絡層D、

運輸層正確答案：

B

參考解析：基礎概念題。從題干意思可以看到，二進制信息組這個關鍵詞，指的是數據幀。49、簡答題隨著信息化技術應用變化快速發展，某高校的信息化系統也日趨完善，各種學習平臺、教學、辦公、管理平臺都運行在數據中心，一旦數據中心發生故障，將影響到全校信息化系統的正常運轉。面對這些情況，需要認真設計數據中心建設改造方案。某打印社C根據中心老師的草稿，為中心制作的網絡拓撲圖，如圖1所示。【問題1】（6分）數據中心具有重要信息系統（一卡通、教務、研究生、人事）數據約10T，檔案歸檔數據約30T，各類設備日志數據約80T，年數據增長量約20%。某集成公司A的售前王工，針對數據中心已有數據量和數據需求，提供了一套較為完整的SAN存儲方案，其中方案設計的存儲裸容量約200T。問該方案是否可行，并給出理由?！締栴}2】（4分）常見磁盤類型有SATA、SAS、SSD等。某集成公司B的售前李工的，針對數據中心已有數據量和數據需求，給出的解決方案中的存儲使用的是全SATA盤存儲。學校信息中心施主任，覺得方案設計不太符合小部分應用對高速數據存儲的要求。問李工的方案如何調整。這樣做有什么好處?！締栴}3】（8分）簡述FC-SAN和IP-SAN的特性?！締栴}4】（5分）打印社C為學校制作的拓撲圖的存儲網絡部分是否與學?，F實不符？（2分）請指出并說明理由（3分）。【問題5】（2分）常見備份方式主要有Host-Base、LAN-Base、LAN-Free、Server-Free，哪幾種備份基于SAN。請輸入答案,該題沒有正確答案請自行判斷..0/500正確答案：

參考解析：【問題1】不可行（2分），方案應該盡量滿足5年數據存儲和擴展的要求，而本方案裸容量只有200T，做完RAID和熱備盤，就已經不能滿足現有數據存儲與將來業務擴展的要求了。（4分）【問題2】考慮存儲采用SATA、SAS、SSD混合硬盤（2分）。這樣可以為高速應用，提供較高速的硬盤區。【問題3】（8分）FC-SAN采用FC協議，采用專用光纖通道傳輸，將光纖通道設備映射為一個操作系統可訪問的邏輯驅動器，進行數據傳輸時，光纖鏈路的利用率高，傳輸速率達到4Gb以上。其高性能、低延遲、高成本等特性，適合數據傳輸速度要求高、高性能的業務需求。IP-SAN使用iSCSI協議，采用IP網絡通道傳輸，當前普遍千兆網絡環境下，進行數據傳輸時，鏈路的利用率和傳輸速率比FC通道傳輸低很多。其低成本、開放性好，網絡適應能力強，容易實現遠程數據訪問，共享存儲資源，提高資源利用率等特性，適合數據訪問速度要求不高，大容量，低成本投入等業務需求?！締栴}4】不符（2分）FCSAN為獨立的FC網絡，服務器需安裝HBA卡，連接光纖存儲交換機（5分）?！締栴}5】（2分）LAN-Free、Server-Free備份基于SAN?！窘馕觥俊締栴}1】不可行（2分），方案應該盡量滿足5年數據存儲和擴展的要求，而本方案裸容量只有200T，做完RAID和熱備盤，就已經不能滿足現有數據存儲與將來業務擴展的要求了。（4分）【問題2】考慮采用SATA、SAS、SSD混合硬盤。這樣可以為高速應用，提供較高速的硬盤區?！締栴}3】略【問題4】FCSAN為獨立的FC網絡，主機使用存儲，需用HBA卡，連接光纖存儲交換機?！締栴}5】略50、簡答題閱讀下列說明，回答問題1至問題3，將解答填入答題紙的對應欄內。【說明】圖1-1是某互聯網企業網絡拓撲結構圖，該企業主要對外提供基于Web的各種服務，對Web網站的安全有一定的安全要求。希望通過采用訪問控制、非法訪問阻斷等措施保證web服務器的安全性。問題1（8分）根據該公司網絡安全防范需求，需在相應的位置部署安全設備，進行安全防范，為拓撲圖中的相應位置部署合適的安全設備。在設備1處部署(1)，訪問控制和NAT等基本功能；在設備2處部署(2)，攻擊檢測，包檢測分析等；在設備3處部署(3)，web應用防護、異常流量阻斷。在設備4處部署(4)，實現數據的高速透傳。(1)～(4)備選答案：A．防火墻B．入侵檢測系統(IDS)C．入侵防御系統(IPS)D.光纖交換機E.三層交換機問題2：（10分）為了降低能耗，應當合理的進行機柜的布局。通常使機柜（5）的形式排列，形成冷、熱通道。按照冷、熱通道交替設置的原則布置機柜，（6）設在機柜前面，（7）設在機柜的后面，可以減少冷熱氣流的混流，提高冷風的利用率，從而起到提高制冷率，降低數據中心用電成本。本機房在設計裝修機房時鋪設了防靜電地板，本機房宜采用送風形式是（8）的布局。目前新型的數據中心機房中，為了應對云計算、虛擬化、集中化、高密化等服務器的變化，提高數據中心的運營效率，降低能耗，通常采用（9）形式組建數據中心.問題3（7分）目前的SAN技術主要有IP-san和FC-san。其中IP-SAN在服務器和客戶機的數據通信中采用（10）命令傳輸，數據處理采用的（11），而安全性和速度相對較高的FC-SAN在通信中是直接傳輸（12）命令。FC-SAN最終將實現在（13）操作系統下，最大限度的數據共享和數據優化管理，以及系統的無縫擴充。（10-12）備選答案A．SCSIB.iSCSIC.FCIOD.文件級E.塊級F.字節級（13）備選答案A．異種B.同種請輸入答案,該題沒有正確答案請自行判斷..0/500正確答案：

參考解析：問題一：（1）A（2）B(3)C(4)D問題二：（5）面對面、背對背（6）冷通道（7）熱通道（8）下進風，上回風（9）微模塊問題三：(10)B，(11)E(12)A(13).A【解析】問題一：設備1用于連接Internet，因此應該選防火墻。設備2連接在核心交換機上，用于對整個網絡的內網安全性進行檢測。設備3接于web服務器與交換機之間，用于對web服務器的安全性進行安全提升。適合的設備是入侵防御系統。設備4連接于數據庫服務器與存儲設備之間，用于高速的數據傳輸，因此應該選光纖交換機，專用于FCsan區域，不能用三層交換機。問題二：使機柜“面對面、背對背”的排列，形成冷、熱通道。按照冷、熱通道交替設置的原則布置機柜，冷通道設在機柜前面，熱通道設在機柜的后面，可以減少冷熱氣流的混流，提高冷風的利用率，從而起到提高制冷率，降低數據中心用電成本。機房專用精密空調機送風形式多為上送下回和下送上回式。在機房中鋪設防靜電活動地板，機房專用精密空調通常采用下送上回式送風，使冷氣直接進入活動地板下，這樣使地板下形成靜壓箱，然后通過地板送風口，把冷氣均勻地送入機房內，送入設備機柜內。采用這種送風形式可大大提高空調效率，同時還可以大幅度節省管道送風的工程費用，降低工程造價，使室內布局美觀。這是機房理想的送風方式。當然，機房送風形式要與設備散熱形式一致。微模塊數據中心，是按照行業標準對數據中心場地進行微模塊劃分，即把整個數據中心分為若干個獨立區域，每個區域的規模、功率負載、配置等均按照統一標準進行設計。這種方式能較好的應對云計算、虛擬化、集中化、高密化等服務器的變化，提高數據中心的運營效率，降低能耗，實現快速擴容且互不影響。問題三：IP-SAN和服務器和客戶機的數據通信通過iSCSI（互聯網小型計算機系統接口）是一種在internet協議網絡上，特別是以太網上進行數據塊傳輸的標準。簡單地說，iSCSI可以實現在IP網絡上運行SCSI協議，使其能夠在諸如高速千兆以太網上進行路由選擇，實現了SCSI和TCP/IP協議的連接。iSCSI是基于IP協議的技術標準，該技術允許用戶通過TCP/IP網絡來構建存儲區域網（SAN）。數據處理是“塊級”（blocklevel）。SAN最終將實現在異種操作系統下，最大限度的數據共享和數據優化管理，以及系統的無縫擴充。FC中常用的兩種是端到端(EE-Credit)和緩沖區到緩沖區(BB-Credit)的流量控制。中間的交換機不參與端到端流量控制。51、簡答題某大型企業早期擁有各類管理信息系統10多個，企業信息辦副主任老張設計了高可靠性機房，并購置了大量的服務器，用于承載相關應用。每臺服務器上運行一到兩個重要應用。近年來，企業發展迅速，企業應用迅速擴展到80多個，現有服務器需要淘汰一批、更新一批。信息辦小李設計了新的機房服務器擴展和存儲方案，并設計了新的服務器拓撲圖，如圖1所示。信息辦副主任老張認為，該方案還存在較多的問題，并且降低了管理效率。但小李并不認同老張的看法。【問題1】（6分）你同意小李的服務器配置方案嗎？并說明理由?！締栴}2】（8分）在虛擬化計算資源設計時，需要遵循一些基本的原則。請判斷并標記以下說法的正確性。（1）單個虛擬服務器配置CPU、內存可以超過物理計算資源集群中單臺物理機的最大CPU、內存配置。()（2）單臺物理服務器上所有虛擬主機的VCPU之和不超過物理機總核心的1.5倍。()（3）單臺物理服務器上所有虛擬主機內存之和不超過物理機內存的200%。()（4）為了利用存儲空間，可以考慮把老舊服務器的內置硬盤利用起來，存放虛擬機。()【問題3】（6分）（1）簡述虛擬化裸金屬架構，簡述其優缺點。（2）簡述虛擬化寄居架構，簡述其優缺點?！締栴}4】（2分，多選題）以下選項中（1）屬于虛擬化的關鍵特征A.分區B.隔離C.封裝D.獨立性【問題5】（3分）新服務器拓撲圖中，存儲網絡部分是否存在單點故障？應該如何改進？請輸入答案,該題沒有正確答案請自行判斷..0/500正確答案：

參考解析：【問題1】不同意（2分）服務器可以先做虛擬化，大部分應用可運行在虛擬系統上面（4分）?！締栴}2】（1）×、（3）√、（3）×、（4）×【問題3】（1）裸金屬架構就是直接在硬件上面安裝虛擬化軟件，再在其上安裝操作系統和應用，依賴虛擬層內核和服務器控制臺進行管理。優點：虛擬機不依賴于操作系統，可以支持多種操作系統，多種應用，更加靈活缺點：虛擬層內核開發難度較大（2）寄居架構就是在操作系統之上安裝和運行虛擬化程序，依賴于主機操作系統對設備的支持和物理資源的管理;優點：簡單，便于實現缺點：安裝和運行應用程序依賴于主機操作系統對設備的支持【問題4】（2分，多選少選均沒有分）ABCD【問題5】（3分）存在單點故障。（1分）可以配置兩臺FC光纖交換機，服務器配置雙HBA卡連接至兩臺FC光纖交換機，存儲設備連接至兩臺FC光纖交換機。（2分）【解析】【問題1】不同意，服務器可以先做虛擬化，大部分應用可運行在虛擬系統上面?！締栴}2】1）單個虛擬服務器CPU、內存最大配置建議不超過物理計算資源集群中單臺物理服務器的最大CPU，內存配置；2）單臺物理服務器上所有虛擬主機的VCPU之和不超過物理機總核心的1.5倍；3）單臺物理服務器上所有虛擬主機內存之和不超過物理機內存的120%；4）本地磁盤即內置磁盤的可用性及I/O吞吐能力均較弱，不建議在其上存放虛擬機，推薦使用外置高性能磁盤陣列；【問題3】（1）裸金屬架構就是直接在硬件上面安裝虛擬化軟件，再在其上安裝操作系統和應用，依賴虛擬層內核和服務器控制臺進行管理。優點：虛擬機不依賴于操作系統，可以支持多種操作系統，多種應用，更加靈活缺點：虛擬層內核開發難度較大舉例：VMWareESXiServer（2）寄居架構就是在操作系統之上安裝和運行虛擬化程序，依賴于主機操作系統對設備的支持和物理資源的管理;優點：簡單，便于實現缺點：安裝和運行應用程序依賴于主機操作系統對設備的支持舉例：VMwareServer,Workstation【問題4】虛擬化的關鍵特征包含：（1）分區，在單一物理服務器上同時運行多個虛擬機；（2）隔離，每一個虛擬機都與同一個服務器上的其他虛擬機相隔離；（3）封裝，虛擬機將整個系統，包括硬件配置操作系統以及應用等封裝在文件里；（4）獨立性，可以在其他機器上不加修改地使用虛擬機?！締栴}5】新服務器拓撲圖中，存儲網絡中的服務器到FC光纖交換機、FC光纖交換機到存儲設備存在等單點故障?？梢耘渲脙膳_FC光纖交換機，服務器配置雙HBA卡連接至兩臺FC光纖交換機，存儲設備連接至兩臺FC光纖交換機。52、簡答題閱讀以下說明，回答問題1～3，將解答填入答題紙的對應欄內。某公司的網絡拓撲如下圖所示，隨著業務的發展，接待區wifi的接入設備過多，導致無線用戶掉線，網絡不穩定。網絡管理員提出進行改造，設計如圖3-1的接待區所示。問題1.（5分）因接待區的范圍較大，AP3所處的位置不便于布線，并且有無線盲區，為了解決信號覆蓋問題，實現無縫漫游，AP3最合適的工作模式是（1），并簡述這兩種模式下SSID的區別？問題2.（6分）無線網絡部署中，管理員需要關注無線信號的覆蓋，通?？梢哉{整AP的發射功率和匹配不同增益的天線，發射功率的常用的單位是（2），天線增益的常用單位是（3），通常天線的增益越高，信號覆蓋范圍越（4）。問題3（10分）AC控制器在網絡中有兩種部署方式，分別是旁掛式和直連式。本例中AC的部署方式是（5），在使用AC+AP組網方式中，AC與AP之間的管理數據流是通過（6）傳輸，這個協議支持兩種操作模式：SPlitMAC和（7）。在（7）模式下，業務數據流是通過（8）幀格式傳輸的。在已經部署了AC的網絡中，為了提高擴展性和性價比，通常AP選擇用（9）備選答案（6）A.CAPWAPB.直接轉發C.打上管理VlantagD.打上數據Vlantag（8）A.802.3B.802.1xC.802.11bD.802.11i（9）A.fatAPB.fitAP【問題4】（4分）1．根據需求在接待區安裝AP。如果采用符合（10）規范的AP，由于將MIMO技術和（11）調制技術結合在一起，理論上最高可以提供600Mb/s的傳輸速率。（10）備選答案A．IEEE802.11aB．IEEE802.11eC．IEEE802.11iD．IEEE802.11n（11）備選答案A．BFSKB．QAMC．OFDMD．MFSK請輸入答案,該題沒有正確答案請自行判斷..0/500正確答案：

參考解析：問題1.1.中繼模式2.中繼模式時，網絡SSID號均一致，而在橋接模式時，網絡SSID號不同問題2.2dbm3dbi4大問題3（5）旁掛（6）A（7）LocalMAC（8）A（9）B問題4（10）D（11）C【解析】問題1.中繼模式時，SSID和加密方式與原來的AP保持一致，用戶可以直接使用相同的SSID進行漫游接入。使用中繼模式時，網絡SSID號均一致，而在橋接模式時，網絡SSID號不同。問題2.AP發射功率單位是dbm，天線增益的單位是dbi，這兩個值越高，說明無線設備的信號穿透力越強問題3AC有直連式組網和旁掛式組網兩種方式。AC承載管理流和數據業務流，管理數據流必須封裝在CAPWAP（ControlAndProvisioningofWirelessAccessPoints）隧道傳輸，數據流可以根據實際情況選擇是否封裝在CAPWAP隧道中傳輸。CAPWAP有兩種操作模式：SPlitMAC和LocalMAC。1.在SplitMAC模式下，所有二層的無線業務數據和管理數據都被CAPWAP協議封裝，通過隧道傳輸，用于AC和AP之間交互，工作站的業務數據流被AP直接封裝，轉發給AC。在這種模式下，無線報文無需經過報文轉換，交給AC處理。2.在LocalMAC模式下，允許數據幀用本地橋或者使用802.3的幀形式轉發。二層無線管理幀在AP本地處理，然后再轉發給AC。工作組傳送的無線業務數據在AP中被轉換成802.3數據幀進行傳輸。通常數據流不選擇隧道，而是直接轉發。CAPWAP定義了無線接入點（AP）與無線控制器（AC）之間的通信規則，為實現AP和AC之間的互通性提供通用封裝和傳輸機制。所謂的胖AP，通常就是無線路由器。與純AP的區別在于，除無線接入功能外，一般具備WAN、LAN兩個接口，多支持DHCP服務器、DNS和MAC地址克隆，防火墻等安全功能。瘦AP：瘦AP是"代表自身不能單獨配置或者使用的無線AP產品，這種產品僅僅是一個WLAN系統的一部分，需要AC進行控制和管理，自身可以實現零配置"。問題4基礎概念，最新的802.11n采用MIMO和OFDM調制技術結合，可以提供高達600Mbps的傳輸速率。53、簡答題證券公司A擁有總部網絡和多個營業部網絡，在各地營業部網絡和總部網絡之間通過互聯網網絡連接。每個營業部大約有員工50~60多人。具體拓撲如圖1所示?！締栴}1】（10分）根據券商網絡安全防范需求，需在不同位置部署不同的安全設備，進行不同的安全防范。為了避免券商網站服務器被非法攻擊和篡改，需要部署（1）為了方便分析網絡攻擊和網絡訪問情況，同時對日志進行備份，需要部署（2）為了審計系統管理員的操作，方便系統管理員安全遠程管理多臺服務器與管理系統，需要部署（3）為了對關鍵數據進行備份，實現虛擬化備份，需要部署（4）為了規范管理員的數據庫操作，對刪除、插入字段等行為進行監管，需要部署（5）A.防火墻B.IDSC.IPSD.WAFE.數據庫審計F.日志備份與審計G.堡壘機H.備份一體機【問題2】（6分）通常的IDS采用何種方式接入網絡？IPS采用何種方式接入網絡？IPS與IDS最大不同在哪里？【問題3】（4分）桌面虛擬化為券商實現移動辦公、構建輕型營業部、實現非現場開戶、實現股票行情、交易系統虛擬化帶來了較大的便利。但虛擬化技術并不盡人意，簡述現階段虛擬化技術的缺點?！締栴}4】（2分）證券行業在實現交易大集中后，證券公司的技術風險隨之向券商總部集中，應《網絡安全法》要求，券商的某交易系統被定為等保三級，為了確保該系統安全同時符合等級保護制度，該信息系統，應每（1）年做一次等保測評。A.1B.2C.3D.4【問題5】（3分）注入語句：http：//xxx．xxx.xxx/abc.asp?pYYanduser>0，不僅可以判斷服務器的后臺數據庫是否為SQL-SERVER，還可以得到(1)。A．當前連接數據庫的用戶數量B．當前連接數據庫的用戶名C．當前連接數據庫的用戶口令D．當前連接的數據庫名請輸入答案,該題沒有正確答案請自行判斷..0/500正確答案：

參考解析：【問題1】（10分）（1）D（2）F（3）G（4）H（5）E【問題2】（6分）IDS采用旁路部署，IPS采用串行部署方式；IPS主要增加對那些被明確判斷為攻擊的行為進行即時的檢測和防御，并能阻斷正在發生的攻擊?！締栴}3】（4分）