网络规划设计师下午8

1、 模拟 网络规划设计师下午 8案例分析题阅读以下关于某大学校园网的叙述，根据要求回答下列问题。 说明 某大学校园网经过多年的建设已初具规模， 由于校内相关的科研单位有 接入到以 IPv6 为核心的下一代互联网中进行相关研究的需求，同时为了积极探 索解决学校公网 IPv4 地址的短缺、现有网络安全等方面的问题，学校网络中心 计划对现有校园网进行了 IPv6 技术升级。学校现有的网络拓扑如图 1-3 所示。(1) 接入层：完成 IPv4 用户接入，设备是二层接入交换机 / 三层接入交 换机。(2) 汇聚层：完成接入用户的汇聚，汇聚交换机是盒式或机架式三层交 换机，目前不支持 IPv6 业务。(3)

2、 核心层：是整个网络的核心 ( 机架式三层交换机， 目前不支持 IPv6 业 务) ，同时连接外部网络的出口，是整个园区网业务流量通往IPv4 主干网或者IPv6 主干网的必经之路。第 1 题： 问题 1为了实现 IPv4 网络向 IPv6 网络的过渡和转换， IETF 制订的解决过渡问题 的基本技术方案有三种。在进行 IPv6 升级的初期，由于教学科研区访问 IPv6 网络的需求比较迫切，学校希望花费较少的资金就能使教学科研区访问 IPv6 网 络上的相关资源，简述三种技术方案的要点，并依据需求进行过渡技术方案选 择。 参考答案：双协议栈技术：主机或路由器同时装有 IPv4 和 IPv6 两

3、个协议栈。 隧 道技术：在 IPv6 分组进入 IPv4 网络时，将 IPv6 分组作为高层数据封装成 IPv4 数据包在 IPv4 网络中传送， 在离开 IPv4 网络时，还原为 IPv6 分组在 IPv6 网络 中传送。 IPv4 数据包的源地址和目的地址分别是 IPv4 网络入口和出口的 IPv4 地址。对 IPv4 分组在 IPv6 网络中的传送，方法类似。 网络地址转换 协议转换 (NAT-PT)：通过使用 NAT网关将一种 IP 网络的地址转换为另一种 IP 网 络的地址；同时根据 IPv6 和 IPv4 之间的差异对数据包的首部做相应的修改以符 合对方网络的格式要求，且对上层的

4、TCP/UDP等数据也做相应的修改选择的过渡技术方案：隧道技术 详细解答：第 2 题： 问题 2随着网络建设的不断升级，为把校园网积极推进到以 IPv6 为核心的下一代 互联网中，要求学生区和教学科研区的 IPv6 用户能够访问 IPv6 网络资源，同 时实现这两个区域之间 IPv6 资源的互访。(1) 基于上述需求，对过渡方案进行了调整，网络结构如图 1-4 所示，请在 尽量节省资金的情况下给出该校园网 IPv6 技术升级的过渡方案，并进行设备升 级和网络调优 ( 网络设备调整等 ) 的方案设计。(2) 因家属区个别用户也想接入到 IPv6 网络中访问相关资源，在核心交换机 2 上开启 IS

5、ATAP隧道，隧道服务器地址为 。若家属区客户机为 Win XP(spl 及以上 ) ，完成下面的步骤，使得客户机能 够通过 ISATAP隧道接入 IPv6 网络。C: / 安装 IPv6 协议C: / 设置隧道终点 参考答案：(1) 过渡方案：双协、议栈技术和隧道技术相结合。 方案设计要点包括： 将核心三层交换机 2 升级为核心双栈路由交换设备； 若项目资金允许， 将与核心交换机 2 互连的两台汇聚层交换机升级为双栈路由交换设备； 若项目资 金不允许， 则汇聚层网络采用隧道技术； 接入层采用 ISATAP隧道技术为 用户提供 IPv6 接入； 部署一台支持 IPv6 的路由器连接核心三层交换

6、机 2和 IPv6 网络(或 CERNET2：)校园网内部 IPv6 网络运行 OSPFv3协议，校园网边界与 CERNET2主干网之间使用 IPv6 静态路由或 BGP4+动态路由协议； 在校园网中部署或更新升级与 IPv6 相关的业务应用服务器(2) ipv6install 详细解答：(1) 依题意，为把校园网推进到以 IPv6 为核心的下一代互联网中，实现学生 区和教学科研区访问 IPv6 网络资源，且实现这两个区域之间 IPv6 资源的互访， 同时综合考虑“尽量节省资金” 等约束限制， 建议采用双协议栈技术和隧道技术 相结合作为该阶段网络升级的过渡方案。该过渡方案设计要点包括 ( 但不

7、限于 ) ： 对核心三层交换机 2 进行软硬件升级，使之成为核心双栈路由交换设备 ( 如购 买支持 IPv6 业务的插板、升级背板的相关底层程序等 ) ；在项目资金允许的情 况下，将两台与核心交换机 2 互连的汇聚层交换机更新升级为双栈路由交换设 备；若项目资金不允许，则汇聚层网络采用隧道技术；接入层采用ISATAP隧道技术为用户提供 IPv6 接入；部署一台支持 IPv6 的路由器连接核心三层交换 机 2和 CERNET，2用于传输 IPv6 业务；核心交换机 2 和相关升级的汇聚层交 换机运行 OSPFv3协议，新增的 IPv6 路由器与 CERNET主2 干网之间使用 IPv6 静态路由

8、或 BGP4+动态路由协议；在校园网中部署或更新升级与 IPv6 相关的业 务应用服务器，如 DNS、DHCPv、6 Web和 FTP等服务器。(2) 站内自动隧道寻址协议 (Intra-Site Automatic Tunnel Addressing Protocol，ISATAP)是一种自动隧道技术，同时也可以进行地址自动配置。在 ISATAP隧道的两端设备之 间可以运行邻居发现 (Neighbor Discovery ，ND)协议。配置了 ISATAP隧道以后， IPv6 网络将底层的 IPv4 网络看成一个非广播的点到多点的链路 (NBMA。)依题意，在基于 Windowrs XP操作

9、系统的家属区客户机上，完成下面的步骤，使得 客户机能够通过 ISATAP 隧道接入 IPv6 网络。 C: ipv6 install / 安装 IPv6 协议 C: / 设置隧道终点 第 3 题： 问题 3NDP (Neighbor Discovery Protocol，邻居发现协议 ) 是 IPv6 的一个关键协议，它组合了 IPv4 中的 ARP、ICMP路由器发现和 ICMP重定向等协议，并对 它们做了改进，作为 IPv6 的基础性协议， NDP还提供了前缀发现、邻居不可达 检测、重复地址监测、地址自动配置等功能。 IP 地址规划及路由方案设计包 括：(1) 在现阶段网络的 IPv6 技

10、术升级中， IPv6 地址分配的两种分配机制是什 么?(2) 在本方案中，服务器端和用户端分别采用的 IPv6 地址分配机制是什么 ?(3) 在 IPv4 的网络中，校园网内部路由协议采用 OSPF，在 IPv6 的网络中 采用的路由协议是什么 ?(4) 接入到 IPv6 网络中的边界路由器采用何种接入方式 ? 参考答案：(1) 无状态分配方式和有状态分配方式 (2) 服务器端采用有状态分配方 式，用户端采用无状态分配方式 (3)OSPFv3 协议 (4)IPv6 静态路由接 入或 BGP4+动态路由协议接入详细解答：(1) 在 IPv6 网络中， IPv6 地址配置就是分配一个 IPv6 地

11、址，同时指定前缀 长度。在默认状态下， IPv6 主机的地址是自动配置的， IPv6 路由器除链路本地 地址是自动配置外，其他类型地址和参数必须手工配置。 IPv6 地址自动配置可 分为无状态和有状态两种方式。 当节点并不是特别关心所使用的确切地址， 只要 求地址是唯一的， 并且是可路由的时， 就能使用无状态方式； 当节点严格控制地 址分配时， 使用有状态方式。(2) 一个节点可以为自己自动配置地址， 属于无状态地址自动配置。 IPv6 自动配置的地址主要是本地单播地址。该配置方式 要求有两点：所生成的 IPv6 地址由 64位前缀和 64位EUI-64接口 ID组成； 本地链路支持组播， 而

12、且网卡能够发送和接收组播包。 通过该配置方式获得的 IPv6 地址是唯一的， 且内嵌一个由网卡 MAC地址生成的 EUI-64 接口 ID 。由于网 卡 MAC地址是全球唯一的， 因此所获得的 IPv6 地址也是唯一的。有状态地址自动配置需要 DHCPv6服务器的支持，其工作过程可以简述为： IPv6 主机发 送一个 DHCP Server Solicitation 报文给特定组播地址，以发现 DHCPv6服务器； DHCP服务器使用 UDP端口 547监听 DHCPv6报文，当收到上述报文后，返 回一个 Unicast Reply 报文，其中包括分配的 IPv6 地址及配置参数； IPv6

13、主 机使用 UDP端口 546 监听报文，当收到应答报文后， 利用收到的参数进行自动配 置。 依题意，在现阶段网络的 IPv6 技术升级中， 服务器端一般采用有状态 分配方式，用户端采用无状态分配方式。 （3） 在校园网内部 IPv6 网络中， 应该采用 OSPFv3协议。 OSPFv3是 OSPF（Open Shortest Path First ，开放式最 短路径优先 ） 版本 3 的简称，主要提供对 IPv6 的支持，遵循的标准为 RFC 2740（OSPF for IPv6） 。OSPFv3和 OSPFv2在以下方面是相同的 （但不限于 ）： Router ID、Area ID 仍然是

14、 32 位的；相同类型的报文： Hello 报文，DD（Database Description ，数据库描述 ） 报文， LSR（Link State Request ，链路状态请求 ） 报 文， LSU（Link State Update，链路状态更新） 报文和 LSAck（Link State Acknowledgment，链路状态确认 ） 报文；相同的邻居发现机制和邻接形成机制； 相同的 LSA扩散机制和老化机制。OSPFv3和 OSPFv2的区别之处有 （ 但不限于） ：OSPFv3基于链路（Link） 运行， OSPFv2基于网段（Network） 运行； OSPFv3在同一条链路

15、上可以运行多个实例； OSPFv3通过 Router ID 来标识邻 接的邻居， OSPFv2则通过 IP 地址来标识邻接的邻居。（4） 接入到 IPv6 网络中的边界路由器可以采用 IPv6 静态路由接入方式，也可以采用 BGP4+动态路 由协议接入方式。第 4 题： 问题 4近年来国家大力推进 IPv4 向 IPv6 的过渡，但是基于 IPv6 的网络部署还不 能达到国家的战略要求。（1） 你认为影响 IPv6 发展的因素主要有哪些 ?（2） 对于学校现有 IPv6 网络的运维有哪些建议 ? 参考答案：（1）影响因素主要有 （但不限于） ：运营商、用户、应用程序服务商、 设备制 造商等对保

16、护现有 IPv4 网络相关软硬件投资成本的考虑； 运营商对保 护现在用户群体的考虑； 部署 IPv6 所需的基础设施 （ 硬件、操作系统、 中间软件和管理工具、运维人员等 ） 还处于成长阶段； 现有 IPv6 网络上 相关应用资源还不够丰富，资源的应用价值还没有突出彰显； 国家的政 策（ 如全民 IPv6 知识的应用培训、信息素养的提升等 ） 、资金等支持力度还有待 进一步加大。 （2） 对运维的建议有 （但不限于 ） ：从学校层面对相关师生加 强 IPv6 知识的普及性应用培训， 在进一步提高 IPv6 网络安全的同时， 也会减少 IPv6 网络管理维护的工作量；加大对 IPv6 网络的安全

17、监控及防范，如阻止来 自于低信誉 IPv6 地址的信息流量等； 加强运维人员自身对 IPv6 网络知识的学 习及研究，鼓励在工作实践中多总结、分享相关经验 详细解答：（1） 可以从“设备制造商运营商用户应用程序服务商” 这一条完 整的互相制约的供应链来分析影响 IPv6 发展的主要因素。 从运营商的角度分析， 运营商要铺设 IPv6 网络，需考虑的主要问题有：已有投资成本的考虑，应尽 量有效利用已有的投资， 同时，若投资另一种新技术， 则要能确保回收率大于投 资率，这样才能刺激运营商发展 IPv6 网络；用户因素的考虑，要保证已有的 用户群不离开， 同时又要能吸引更多的用户群。 要达到此目的，

18、 就需要给用户提 供的网络服务要比以前的性价比高。 从用户的角度分析，要使用户能支持 IPv6 网络，需满足以下的条件：收费便宜，优惠的价格是吸引用户的最佳因 素。运营商要向用户推行 IPv6 网络，就必须提供优惠的价格，若有难度，则至 少不能比以前贵。 若上网性能比以前强很多， 价格稍贵点也能让用户接受。 保 证已有的应用服务， 用户网络节点升级至 IPv6 ，在应用服务上应没有减弱， 同时 升级不应太麻烦， 也不需用户投资。 并且，升级后以前积累的数据应在升级后的 应用程序中照常使用。 从应用程序服务商的角度分析，主要考虑的因素是 是否有更多的用户购买，能获得更多的利润。如果已有 IPv4

19、 应用程序升级到 IPv6 后，价钱没有多大的变化， 且应用商升级的投资量又很大， 这就必然阻碍服务商 对 IPv6 的发展。然而，用户又不可能无缘无故花费更多的费用去购买升级的版 本。要解决此矛盾，唯一的办法就是确保应用程序从支持 IPv4 升级到支持 IPv6 时投资量不大，以确保升级后的价格能稳定不变。 从设备制造商的角度分 析，要想使设备制造商推出 IPv6 产品，并积极推动 IPv6 的发展， 应考虑以下因 素的影响： 要保证产品升级后他们以前的市场份额不变或提升， 如果市场份额 因为升级而下降，他们在推动 IPv6 发展时就比较消极。受其上帝运营商 的支配，如果运营商推出 IPv6

20、 网络，就会促进设备制造商推出 IPv6 产品。 (2) 对于学校现有 IPv6 网络的运维的建议包括 (但不限于 ) ：从学校层面对相关师 生加强 IPV6 知识的普及性应用培训， 在进一步提高 IPv6 网络安全的同时， 也会 减少 IPv6 网络管理维护的工作量； 加大对 IPv6 网络的安全监控及防范， 如阻 止来自于低信誉 IPv6 地址的信息流量等； 加强运维人员自身对 IPv6 网络知识 的学习及研究，鼓励在工作实践中多总结、分享相关经验。阅读以下关于某国有大型煤化集团数据中心的叙述， 根据要求回答下列问题。 说明 近年来，云计算技术的蓬勃发展为整个 IT 行业带来了巨大变革。传

21、统 数据中心已经难以满足新形势下日益增长的高性能及高性价比需求， 并且无法支 持云环境下更加灵活的按带宽租赁数据中心网络的运营方式。 该集团随着信息系 统业务的不断扩展上线， 对高密度服务器及高度自动化管理系统的需求不断增长， 建设云数据中心的需求应运而生。第 5 题： 问题 1如图 1-5 所示，依据集团总部业务应用的需求，集团数据中心网络按功能 将划分为七大区：核心交换区、核心业务区、办公区、互联网接入区、运维管 理区、广域网接入区、外联业务区。二级板块及其下属子分公司可参考建立符 合自身情况的局域网络。你认为这七大区域应该如何分布，请根据图 1-5 所示填写图中 (1) (7) 区 域的

22、名称。 参考答案：(1) 广域网接入区； (2) 核心业务区； (3) 互联网接入区； (4) 办公区； (5) 运维管理区； (6) 外联业务区； (7) 核心交换区详细解答：依题意，结合七大功能区域的一些基本特征及常识，图 1-5 中七大区域的一 种可能分布情况是： (1) 广域网接入区； (2) 核心业务区； (3) 互联网接入区； (4) 办公区； (5) 运维管理区； (6) 外联业务区； (7) 核心交换区。 第 6 题： 问题 2云数据中心是指以客户为中心、以服务为导向，基于高效、低能耗的 IT 与 网络基础架构，利用云计算技术，自动化地按需提供各类云计算服务的新一代 数据中心。

23、云数据中心是传统数据中心的升级，是新一代数据中心的演进方 向。(1) 请简述云数据中心的特点。(2) 云计算的关键技术有虚拟化技术、分布式计算技术、安全与隐私保护技 术等，请简要说明云数据中心在 IT 基础设施虚拟化技术方面主要包括哪些技 术。 参考答案：(1) 资源池化；高效智能；面向服务；按需供给；绿色低碳 (2) 服务器虚拟化技术；存储虚拟化技术；网络虚拟化技术 详细解答：(1) 通常，云数据中心具有以下 5个特点(但不限于 )。资源池化。云数据中心内的 IT 资源和网络资源将构成统一的资源池，实现物理资源与逻辑资 源的去耦合，用户仅需对逻辑资源进行相关操作而无需关注底层实际物理设备。

24、高效智能。基于虚拟化、分布式计算等技术， 利用低成本的集群设备实现高效 廉价的信息承载、 存储与处理， 同时通过管理平台实现自动化的资源监控、 部署 与调度以及业务生命周期的智能管理。 面向服务。整体架构以服务为导 向，通过松耦合的方式实现多服务的综合承载与提供， 云数据中心由提供资源变 成提供服务，用户通过服务目录选择相关的服务， 对底层实际资源透明。 按需供给。底层基础架构在资源池化的基础上根据实际需求实现资源的动态伸缩， 并提供完备的、细颗粒的计费功能，云数据中心还将根据上层应用的发展趋势， 实现对底层物理设备的智能容量规划。 绿色低碳。通过模块化的设计以 及虚拟化等绿色节能技术，降低云

25、数据中心的设备投入成本以及运营维护成本， 实现低 PUE(Power Usage Effectiveness) 值的绿色低碳运营。 (2) 广义的 虚拟化是指计算元件在虚拟的基础上 ( 而不是在真实的基础上 ) 运行，是一个为了 简化管理、 优化资源的解决方案。 其本质是实现底层物理设备与逻辑资源的去耦 合。平常所讲的虚拟化是指服务器虚拟化， 可以在相同的一套硬件上运行彼此独 立的操作系统和应用软件。服务器虚拟化具有同质、高效、资源受控的特点。虚 拟化后的虚拟机可以根据需求弹性增加或减少其分配的硬件资源， 提高资源配置 的灵活性，同时可以在单一物理服务器上运行多个虚拟机，提高了资源利用率， 降

26、低了能耗。通过服务器虚拟化可以将整个系统 （ 包括硬件配置、操作系统以及 应用等 ）封装在文件里，实现 （虚拟机 ） 系统的快速部署、软件发布和系统备份， 同时在业务不中断的情况下， 实现在不同物理服务器上的动态迁移， 增强系统的 可靠性和扩展性。 除服务器虚拟化外，虚拟化技术还包括存储虚拟化和网 络虚拟化。存储虚拟化是指通过对存储 （ 子） 系统或存储服务的内部功能进行抽象、 隐藏或隔离，使存储或数据的管理与应用、服务器、网络资源的管理分离，从而 实现应用和网络的独立管理。 存储虚拟化可以在系统的多个层面实现， 如建立类 似于 HSM分（ 级存储管理 ） 的系统，同时，存储虚拟化技术的出现解

27、决了系统异构 的问题。网络虚拟化的狭义概念是传统虚拟专用网络，通过 VPN或者 VLAN的方 式在公共网络上建立虚拟专用网。近年，计算虚拟化“多对一”的特征对网络提 出了与底层虚拟机相适配、 互感知的新要求， 充实了网络虚拟化的概念。 传统网 络逐步具备了虚拟交换机、虚拟网卡、虚拟化动态感知以及大二层网络等特点。 第 7 题： 问题 3为增强该集团业务应用系统、重要数据的可用性，抵御灾难发生时带来的 风险，该集团按照国家要求需要建设两地三中心的容灾备份方案。两地三中心 是指主数据中心、同城灾备及异地灾备中心。两地三中心机房为业务应用系统 建设提供基础配套设施。请画图说明两地三中心的数据中心架构

28、采用的网络互 联拓扑方案，并给出理由。 参考答案： 网络互联拓扑方案如图 1-7 所示理由：使用主流的传送网技术 DWDM技术作为主数据中心与同城灾备中心 之间的网络链路。 因为：DWDM具有超大的带宽及较强的扩展能力， 特别适合数 据存储业务带宽需求较大、后续带宽扩展频繁的应用场景；DWDM作为一种成熟的技术形态， 在网络安全、可靠性方面已非常完备； 经过多年的发展， DWDM已能支持当前所有主流的存储业务接口。采用 MSTP、WDM等技术构建异地灾备系统。 因为：MSTP支持几乎所有的以太网和存储业务接口类型， 可以 满足灾备系统接口多样性的需求；MSTP在网络可靠性方面已非常成熟。详细解

29、答： 第 8 题： 问题 4 该集团数据存储量巨大，生产数据、安全数据以及测试数据等需要进行频 繁的快速读写，为保障这种应用的需求，该集团希望在数据中心的数据存储方 式上既要保证存储的可扩展性还要保证数据的快速访问，同时也要考虑对新服 务器的快速部署。数据中心中数据采用的存储方式主要有 DAS、 NAS、SAN三种，请分别描述 三种存储方式的原理，并根据集团要求设计在该集团的数据中心建设中应采用的存储方式，叙述采用这种方式的优点 参考答案：直接连接存储 (DAS)：将磁盘阵列、磁带库等数据存储设备通过 SCS扩展接 口直接连接到服务器或客户端。 网络附加存储 (NAS)：将存储设备通过标准 的

30、网络拓扑结构 (如以太网 ) ，连接到一群计算机上，提供数据和文件服务。 NAS 服务器通常由存储硬件、操作系统及其上的文件系统等几个部分组成。 存 储区域网络 (SAN)：通过高速网络将一个 (或多个 )网络存储设备和服务器连接起 来的专用存储系统。它主要采取数据块的方式进行数据存储。 采用的存储 方式：IP SAN该存储方式的优点：整体部署成本低；高传输速度；高可靠性：传输距离不受限制；具有强大的文件系统及数据管理功能 详细解答：直接连接存储 (DAS)也称为 SAS(服务器附加存储 ) ，它将磁盘阵列、 磁带库等 数据存储设备通过扩展接口 (通常是 SCSI接口 )直接连接到服务器或客户

31、端。它 依赖于服务器，其本身是硬件的堆叠，不带有任何存储操作系统。 网络附 加存储(NAS)与 DAS不同，它的存储设备不是直接连接到服务器，而是直接连接 到网络，通过标准的网络拓扑结构连接到服务器。 NAS 实际上是一个带有“瘦” 服务的存储设备，其作用类似于一个专用的文件服务器，只不过省略了显示器、 键盘、鼠标等设备。 NAS 用于存储服务，可以大大降低存储设备的成本。另外， NAS中的存储信息都是采用 RAID方式进行管理的， 可以有效地保护数据。存储区域网络 (SAN)是通过专用高速网络将一个 ( 或多个)网络存储设备和服务器连 接起来的专用存储系统。 它主要采取数据块的方式进行数据存

32、储， 因此其数据存 取速度比 NAS快。目前， SAN主要有 IP SAN和FC SAN两种形式(分别使用 IP 和 光纤通道 ) 。光纤通道是一种高性能、高成本的技术，它实现了主机互连，企业 间共享存储系统的需求。 可以为存储网络用户提供高速、 高可靠性及稳定安全性 的传输。 IP SAN技术继承了 FC SAN技术的优点，并且通过 IP，能利用廉价的以 太网交换机、路由器和线缆实现低成本、 低风险的基于 IP的 SAN存储。iSCSI 是 实现 IP SAN最重要的技术。 由于 iSCSI 是运行在 TCP/IP 之上的块模式协议， 因 此它可将 IP 网络与块模式的优势很好地结合起来，且

33、使 IP SAN的成本低于 FC SAN。依题意，由于该集团“数据存储量巨大”、所存储的数据“需要进行频繁的快速读写” ，并且提出“存储的可扩展性” 、“对新服务器要能快速部署” 等要求，因此建议该数据中心建设采用 IPSAN的存储方式。阅读以下关于一卡通信启、化建设平台的叙述，根据要求回答下列问题。 说明 某部队院校早期的一卡通建设方案主要为保障校内师生的图书、食宿、 医疗等服务，系统包括一卡通专网建设、 一卡通平台建设、 一卡通数据中心以及 校园门禁与校园网视频监控等内容。行政办公、家属区、食堂、学生宿舍、开水 房等营业网点通过汇聚交换机接入到核心交换机， 服务器及存储设备直接连接核 心交

34、换机，网络拓扑结构如图 1-6 所示。由于部队的医疗服务具有较高的知名度，经研究决定，扩大一卡通营业范围 以方便社会人群的就医，具体安全要求如下：(1) 新增外部应用网点和分部办事处，通过安全设备来进行远程接入， 要求能提供主动、 实时的防护， 对网络中的数据流进行逐字节的检查， 对攻击性 的流量进行自动拦截。(2) 由于互联网的引入，需要相应的安全措施来保障部队院校行政办公 的安全。(3) 需要提供安全审计功能，来识别、存储安全相关行为。第 9 题： 问题 1 依据一卡通业务扩大的需求及安全要求，设计解决方案，画出修改后的网 络拓扑结构，并标注采用的硬件设备及相关安全技术。 参考答案：如图

35、1-8 所示。( 入侵防护系统 (IPS) 及其相关连接，隔离网闸及其相关连接， 安全审计系统服务器及其相关连接 )详细解答：第 10 题： 问题 2 传统的防火墙存在只能对网络层和传输层进行检查，无法阻止内部人员的 攻击等缺点。 IDS和 IPS 技术却能在应用层对数据流进行分析，并在网络遭受 攻击之前进行报警和响应，针对部署的方式和实现的原理对 IDS和 IPS进行比 较。 参考答案：IDS：依照一定的安全策略， 通过软、硬件，对网络、 系统的运行状况进行监 视，尽可能发现各种攻击企图、 攻击行为或者攻击结果， 并根据监视结果进行警 报等响应。 IPS ：整合了防火墙技术和入侵检测技术， 所有接收到的数据包 都要经过入侵防护系统检查之后来决定是否放行， 或执行缓存、 抛弃策略。 当发 生攻击时及时发出警报，并将网络攻击事件及所采取的措施和结果进行记录。 通常， IDS采用旁路式部署方式， IPS 采用串接式部署方式详细解答：第 11 题：