网络规划范文

2023-09-21

网络规划范文第1篇

企业网络安全解决方案

姓名：

学号：

指导老师：

系名：

专业：

班级：

XXXXXXXXXX计算机专业毕业设计

摘

要

随着社会的飞速发展，网络技术的也在飞速的发展之中，现如今网络已经无所不在的影响着社会的政治、经济、文化、军事、意识形态和社会生活等各个方面。同时在全球范围内，针对重要信息资源和网络基础设施的入侵行为和企图入侵行为的数量仍然不断增加，网络攻击与入侵行为对国家安全、经济和社会生活造成了极大的威胁。计算机病毒的不断的通过网络产生和传播，计算机网络被不断地非法入侵，重要情报、资料被窃取，甚至造成网络系统的瘫痪等等，诸如此类的事件已经给政府以及企业造成了巨大的损失，甚至危害到国家的安全。网络安全已经成为世界各国当今共同关注的焦点，网络安全的重要性是不言而喻的。

本文是构思了一个虚拟的企业网络的设计，重点研究了公司不同分部之间通过VPN技术来实现在广域网中的加密连接。以及详细的设计了总公司的网络安全策略，保证了内部服务器等的信息安全，按照需求对企业网络安全进行了系统的规划，对计算机网络安全进行了全面的分析。在满足了各个子网连通的前提下，提出了包括AAA认证、SSH登陆、Easy VPN、访问控制限制、NAT技术、入侵检测部署、病毒防护、扫描系统管理措施和安全技术在内的整套方案。目的是建设一个完整的、安全的网络体系，是网络安全系统真正获得较好的效果。关键词：网络，安全，VPN，防火墙，防病毒

XXXXXXXXXX计算机专业毕业设计

Abstract

With the rapid development of society and also the rapid development of network technology, is now the network has been the ubiquitous influence of society in all aspects of political, economic, cultural, military, ideological and social life. Worldwide for the intrusion and the number of attempted intrusions of the important information resources and network infrastructure is still growing, network attacks and intrusions caused a grave threat to national security, economic and social life. Computer virus continues through the network and dissemination, computer networks are the illegal invasion, important information, data theft, and even cause paralysis of the network system, such events have caused huge losses to the government and enterprises, and even harm to national security. Network security has become the focus of attention today in the world, the importance of network security is self-evident. This article is the idea of a virtual enterprise network design, focusing on the encrypted connection between the different segments of the company through VPN technology to achieve WAN. And detailed design of the network security policy of the Corporation to ensure the internal server, such as information security, in accordance with the needs of enterprise network security planning of the system, conducted a comprehensive analysis of computer network security. Satisfy the premise that each subnet connectivity, including the AAA authentication, SSH login to the Easy VPN, access control restrictions, the NAT technology, intrusion detection deployment, virus protection, scanning system management measures and security technologies, including the package. The purpose is to build a complete, secure network architecture, network security systems really get better results.

Keywords: network, security, VPN, firewall, anti-virus

XXXXXXXXXX计算机专业毕业设计

摘

要 ............................................................................................................................................................ I 第一章绪

论 ............................................................................................................................................... 1 1.1 网络的起源 ...................................................................................................................................... 1 1.2网络安全的重要性 ........................................................................................................................... 1 第二章企业网络安全概述 ........................................................................................................................... 3 2.1 企业网络的主要安全隐患 ............................................................................................................ 3 2.2 企业网络的安全误区 .................................................................................................................... 3 第三章

企业网络总体设计方案 ................................................................................................................. 5 3.1 公司背景 .......................................................................................................................................... 5 3.2 企业网络安全需求 .......................................................................................................................... 5 3.3 需求分析 .......................................................................................................................................... 5 3.4 企业网络结构 .................................................................................................................................. 6 3.5 企业IP地址的划分 ........................................................................................................................ 9 第四章企业网络安全技术介绍 ................................................................................................................... 9 4.1 Easy VPN .......................................................................................................................................... 9 4.1.1 什么是VPN .......................................................................................................................... 9 4.1.2 VPN 的分类 ........................................................................................................................ 10 4.1.3 Easy VPN ............................................................................................................................. 10 4.2 SSH ................................................................................................................................................. 11 4.2.1 SSH介绍 .............................................................................................................................. 11 4.2.2 SSH与Telnet的区别 .......................................................................................................... 11 4.3 AAA服务器 ................................................................................................................................... 12 4.3.1 AAA介绍 ............................................................................................................................ 12 4.3.2 认证(Authentication) ........................................................................................................... 12 4.3.3 授权(Authorization) ............................................................................................................ 12 4.3.4 审计(Accounting) ................................................................................................................ 13 4.4 IDS 入侵检测系统 ..................................................................................................................... 13 4.5 firewall 防火墙 ........................................................................................................................... 13 4.5.1 什么是防火墙 ..................................................................................................................... 13 4.5.2 防火墙类型 ......................................................................................................................... 14 第五章企业网络设备实施方案 ................................................................................................................. 14 5.1 企业物理安全规划 ...................................................................................................................... 14 5.2 设备选型 ........................................................................................................................................ 15 5.3 设备配置 ........................................................................................................................................ 16 5.3.1 交换机 ................................................................................................................................. 16 5.3.2 路由器与防火墙 ................................................................................................................. 25 5.3.3 服务器 ................................................................................................................................. 28 第六章项目测试 ......................................................................................................................................... 30 6.1 DHCP验证 ..................................................................................................................................... 32 6.2 网络连通性 .................................................................................................................................... 35 6.3 网络安全性 .................................................................................................................................... 37 6.3.1 SSH与console的权限 ....................................................................................................... 37 6.3.2 网络连通安全性 ................................................................................................................. 40 6.4 分公司与总公司安全性 ................................................................................................................ 42 总

结 ........................................................................................................................................................... 45 致

谢 ........................................................................................................................................................... 46 参考文献 ....................................................................................................................................................... 47

III

XXXXXXXXXX计算机专业毕业设计

第一章绪

论

1.1 网络的起源

与很多人的想象相反，Internet并非某一完美计划的结果，Internet的创始人也绝不会想到它能发展成目前的规模和影响。在Internet面世之初，没有人能想到它会进入千家万户，也没有人能想到它的商业用途。

1969年12月，Internet的前身--美国的ARPA网(为了能在爆发核战争时保障通信联络，美国国防部高级研究计划署ARPA资助建立了世界上第一个分组交换试验网ARPANET)投入运行，它标志着我们常称的计算机网络的兴起。这个计算机互联的网络系统是一种分组交换网。分组交换技术使计算机网络的概念、结构和网络设计方面都发生了根本性的变化，它为后来的计算机网络打下了基础。

八十年代初，随着PC个人微机应用的推广，PC联网的需求也随之增大，各种基于PC互联的微机局域网纷纷出台。这个时期微机局域网系统的典型结构是在共享介质通信网平台上的共享文件服务器结构，即为所有联网PC设置一台专用的可共享的网络文件服务器。PC是一台“麻雀虽小，五脏俱全”的小计算机，每个PC机用户的主要任务仍在自己的PC机上运行，仅在需要访问共享磁盘文件时才通过网络访问文件服务器，体现了计算机网络中各计算机之间的协同工作。由于使用了较PSTN速率高得多的同轴电缆(费用少，传输距离100米)、光纤等高速传输介质，使PC网上访问共享资源的速率和效率大大提高。这种基于文件服务器的微机网络对网内计算机进行了分工：PC机面向用户，微机服务器专用于提供共享文件资源。所以它实际上就是一种客户机/服务器模式。

进入九十年代，计算机技术、通信技术以及建立在计算机和网络技术基础上的计算机网络技术得到了迅猛的发展。特别是1993年美国宣布建立国家信息基础设施NII后，全世界许多国家纷纷制定和建立本国的NII，从而极大地推动了计算机网络技术的发展，使计算机网络进入了一个崭新的阶段。目前，全球以美国为核心的高速计算机互联网络即Internet已经形成，Internet已经成为人类最重要的、最大的知识宝库。而美国政府又分别于1996年和1997年开始研究发展更加快速可靠的互联网2(Internet 2)和下一代互联网(Next Generation Internet)。可以说，网络互联和高速计算机网络正成为最新一代的计算机网络的发展方向。

1.2网络安全的重要性

随着信息化技术的飞速发展，许多有远见的企业都认识到依托先进的IT技术构建企业自身的业务和运营平台将极大地提升企业的核心竞争力，使企业在残酷的竞争环境中脱颖而出。经营管理对

XXXXXXXXXX计算机专业毕业设计

计算机应用系统的依赖性增强，计算机应用系统对网络的依赖性增强。计算机网络规模不断扩大，网络结构日益复杂。计算机网络和计算机应用系统的正常运行对网络安全提出了更高的要求。信息安全防范应做整体的考虑，全面覆盖信息系统的各层次，针对网络、系统、应用、数据做全面的防范。信息安全防范体系模型显示安全防范是一个动态的过程，事前、事中和事后的技术手段应当完备，安全管理应贯穿安全防范活动的始终。

网络安全问题伴随着网络的产生而产生，可以说，有网络的地方就存在网络安全隐患。像病毒入侵和黑客攻击之类的网络安全事件，目前主要是通过网络进行的，而且几乎每时每刻都在发生，遍及全球。除此之外，像恶意软件入侵、攻击，用户的非法访问和操作，用户邮件的非法截取和更改等都是普遍存在的安全事实。网络安全事件所带来的危害，相信我们每个计算机用户都或多或少地亲身体验过一些：轻则使电脑系统运行不正常，重则使整个计算机系统中的磁盘数据全部覆灭，甚至导致磁盘、计算机等硬件的损坏。

为了防范这些网络安全事故的发生，每个计算机用户，特别是企业网络用户，必须采取足够的安全防范措施，甚至可以说要在利益均衡情况下不惜一切代价。但要注意，企业网络安全策略的实施是一项系统工程，它涉及许多方面。因此既要充分考虑到那些平时经常提及的外部网络威胁，又要对来自内部网络和网络管理本身所带来的安全隐患有足够的重视，不能孤立地看待任何一个安全隐患和安全措施。因为这些安全隐患爆发的途径可以是多方面的，而许多安全措施都是相辅相成的。

XXXXXXXXXX计算机专业毕业设计

第二章企业网络安全概述

2.1 企业网络的主要安全隐患

现在网络安全系统所要防范的不再仅是病毒感染，更多的是基于网络的非法入侵、攻击和访问，由于企业在各地可能有不同公司，但是公司之间信息通过广域网相连，所以信息很容易被黑客等截下。现如今企业网络安全威胁的主要来源主要包括。

1) 病毒、木马和恶意软件的入侵。 2) 网络黑客的攻击。

3) 重要文件或邮件的非法窃取、访问与操作。 4) 关键部门的非法访问和敏感信息外泄。 5) 外网的非法入侵。

6) 备份数据和存储媒体的损坏、丢失。

针对这些安全隐患，所采取的安全策略可以通过安装专业的网络版病毒防护系统，同时也要加强内部网络的安全管理，配置好防火墙过滤策略和系统本身的各项安全措施，及时安装系统安全补丁，本部与分部之间运行VPN等防护通信信息的安全性，加强内部网络的安全管理，严格实行“最小权限”原则，为各个用户配置好恰当的用户权限;同时对一些敏感数据进行加密保护，如财政部等要设立访问权限;根据企业实际需要配置好相应的数据策略，并按策略认真执行。

2.2 企业网络的安全误区

(一) 安装防火墙就安全了

防火墙主要工作都是控制存取与过滤封包，所以对DoS攻击、非法存取与篡改封包等攻击模式的防范极为有效，可以提供网络周边的安全防护。但如果攻击行为不经过防火墙，或是将应用层的攻击程序隐藏在正常的封包内，便力不从心了，许多防火墙只是工作在网络层。

防火墙的原理是“防外不防内”，对内部网络的访问不进行任何阻挠，而事实上，企业网络安全事件绝大部分还是源于企业内部。

(二) 安装了最新的杀毒软件就不怕病毒了

安装杀毒软件的目的是为了预防病毒的入侵和查杀系统中已感染的计算机病毒，但这并不能保证就没有病毒入侵了，因为杀毒软件查杀某一病毒的能力总是滞后于该病毒的出现。

(三) 在每台计算机上安装单机版杀毒软件和网络版杀毒软件等效

XXXXXXXXXX计算机专业毕业设计

网络版杀毒软件核心就是集中的网络防毒系统管理。网络版杀毒软件可以在一台服务器上通过安全中心控制整个网络的客户端杀毒软件同步病毒查杀、监控整个网络的病毒。同时对于整个网络，管理非常方便，对于单机版是不可能做到的。

(四) 只要不上网就不会中毒

虽然不少病毒是通过网页传播的，但像QQ聊天接发邮件同样是病毒传播的主要途径，而且盗版光盘以及U盘等也会存在着病毒。所以只要计算机开着，就要防范病毒。

(五) 文件设置只读就可以避免感染病毒

设置只读只是调用系统的几个命令，而病毒或黑客程序也可以做到这一点，设置只读并不能有效防毒，不过在局域网中为了共享安全，放置误删除，还是比较有用的。

(六) 网络安全主要来自外部

基于内部的网络攻击更加容易，不需要借助于其他的网络连接方式，就可以直接在内部网络中实施攻击。所以，加强内部网络安全管理，特别是用户帐户管理，如帐户密码、临时帐户、过期帐户和权限等方面的管理非常必要了。

XXXXXXXXXX计算机专业毕业设计

第三章

企业网络总体设计方案

3.1 公司背景

公司北京总部有一栋大楼，员工人数大约800人，在全国设有4个分公司(上海、广州、重庆和西安)。总部与分公司利用当地的ISP连接。通过网络安全方案设计，加固企业网络，避免因为安全问题导致的业务停滞;同时保证总部与分公司之间高安全、低成本的要求。公司对网络的依赖性很强，主要业务都要涉及互联网以及内部网络。面对对频繁出现的黑客入侵和网络故障，直接危害网络的运行和业务的正常开展。因此构建健全的网络安全体系是当前的重中之重。

3.2 企业网络安全需求

公司根据网络需求，建设一个企业网络，北京总部存储主要机密信息在服务器中，有AAA服务器、内部DNS服务器、FTP服务器、HTTP服务器。企业分经理办公室、财政部、市场部、软件部、系统集成部以及外来接待厅，需要各部门隔开，同时除了经理办公室外其余不能访问财政部，而接待厅不能访问公司内部网络，只能连通外网。同时由于考虑到Inteneter的安全性，以及网络安全等一些因素，如VPN、NAT等。因此本企业的网络安全构架要求如下：

(1) 根据公司需求组建网络 (2) 保证网络的连通性 (3) 保护网络信息的安全性

(4) 防范网络资源的非法访问及非授权访问 (5) 防范入侵者的恶意攻击与破坏

(6) 保护企业本部与分部之间通信信息的完整与安全性 (7) 防范病毒的侵害 (8) 实现网络的安全管理。

3.3 需求分析

通过对公司的实际需求来规划网络设计，为公司的网络安全建设实施网络系统改造，提高企业网络系统运行的稳定性，保证企业各种设计信息的安全性，避免图纸、文档的丢失和外泄。通过软件或安全手段对客户端的计算机加以保护，记录用户对客户端计算机中关键目录和文件的操作，使企业有手段对用户在客户端计算机的使用情况进行追踪，防范外来计算机的侵入而造成破坏。通过

XXXXXXXXXX计算机专业毕业设计

网络的改造，使管理者更加便于对网络中的服务器、客户端、登陆用户的权限以及应用软件的安装进行全面的监控和管理。因此需要

(1) 构建良好的环境确保企业物理设备的安全 (2) IP地址域的划分与管理 (3) 划分VLAN控制内网安全 (4) 安装防火墙体系

(5) 建立VPN(虚拟专用网络)确保数据安全 (6) 安装防病毒服务器 (7) 加强企业对网络资源的管理 (8) 做好访问控制权限配置 (9) 做好对网络设备访问的权限

3.4 企业网络结构

北京总公司网络拓扑图，如图2-1所示:

XXXXXXXXXX计算机专业毕业设计

服务器群IDS入侵检测经理办公室汇聚交换机核心交换机接入交换机财务部汇聚交换机汇聚交换机防火墙接入交换机接入交换机接入交换机软件部市场部系统集成部接待部

图2-1 北京总部网络结构

分公司网络拓扑,如图2.2所示：

XXXXXXXXXX计算机专业毕业设计

上海分公司广州分公司重庆分公司西安分公司Internet广域网Web服务器

图2-2 公司分部网络结构

图2.1与2.2通过防火墙相连，防火墙上做NAT转换，Easy VPN等。核心交换机配置基于VLAN的DHCP，网络设备仅仅只能由网络管理员进行远程控制，就算是Console控制也需要特定的密码，外部分公司通过VPN连接能够访问北京总公司内部网络，北京总公司内网中，接待厅网络设备仅仅能访问外部网络，无法访问公司内网。

XXXXXXXXXX计算机专业毕业设计

3.5 企业IP地址的划分

由于是现实中，公网IP地址需要向ISP运行商申请，而本解决方案是虚拟题，故公网IP为虚拟的，由于现如今IPv4地址及其短缺，而IPv6技术还不是很成熟，所以公司内部使用私有地址网段，本着节省地址的原则，北京公司内部一共有800左右终端，所以由192.168.0.0/22网络段划分。由于本课题重点为总公司内部网络安全，以及总公司与分公司之间连通性的网络安全，所以分公司内部没有详细化，所以分公司地址一律192.168.1.1/24网段，ip地址分配为一下：

总公司总网段：192.168.0.0/22

名称 VLAN ID IPv4地址段网关地址

经理办公室 10 192.168.3.192/26 192.168.3.193 财政部 20 192.168.3.128/26 192.168.3.129 软件部 30 192.168.0.0/24 192.168.0.1 市场部 40 192.168.1.0/24 192.168.1.1 系统集成中心 50 192.168.2.0/24 192.168.2.1 参观中心 60 192.168.3.0/25 192.168.3.1 网管中心 99 192.168.3.240/30 192.168.3.241 服务器集群 100 192.168.3.224/28 192.168.3.225 核心与路由器无 192.168.3.244/30 路由器与防火墙无 192.168.3.248/29 其他分公司 1 192.168.1.0/24 192.168.1.1

第四章企业网络安全技术介绍

4.1 Easy VPN 4.1.1 什么是VPN 虚拟专用网络(Virtual Private Network ，简称VPN)指的是在公用网络上建立专用网络的技术。其之所以称为虚拟网，主要是因为整个VPN网络的任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是架构在公用网络服务商所提供的网络平台，如Internet、ATM(异步传

XXXXXXXXXX计算机专业毕业设计

输模式〉、Frame Relay (帧中继)等之上的逻辑网络，用户数据在逻辑链路中传输。它涵盖了跨共享网络或公共网络的封装、加密和身份验证链接的专用网络的扩展。VPN主要采用了隧道技术、加解密技术、密钥管理技术和使用者与设备身份认证技术。

4.1.2 VPN 的分类

根据不同的划分标准，VPN可以按几个标准进行分类划分

1. 按VPN的协议分类 VPN的隧道协议主要有三种，PPTP，L2TP和IPSec，其中PPTP和L2TP协议工作在OSI模型的第二层，又称为二层隧道协议;IPSec是第三层隧道协议，也是最常见的协议。L2TP和IPSec配合使用是目前性能最好，应用最广泛的一种。

2. 按VPN的应用分类

1) Access VPN(远程接入VPN)：客户端到网关，使用公网作为骨干网在设备之间传输VPN的数据流量。从PSTN、ISDN或PLMN接入。

2) Intranet VPN(内联网VPN)：网关到网关，通过公司的网络架构连接来自同公司的资源。

3) Extranet VPN(外联网VPN)：与合作伙伴企业网构成Extranet,将一个公司与另一个公司的资源进行连接

3. 按所用的设备类型进行分类

网络设备提供商针对不同客户的需求，开发出不同的VPN网络设备，主要为交换机，路由器，和防火墙

1)路由器式VPN：路由器式VPN部署较容易，只要在路由器上添加VPN服务即可只支持简单的PPTP或IPSEC。

2)交换机式VPN：主要应用于连接用户较少的VPN网络

3)防火墙式VPN：防火墙式VPN是最常见的一种VPN的实现方式，许多厂商都提供这种配置类型

4.1.3 Easy VPN easy VPN又名EzVPN，是Cisco专用VPN技术。它分为EASY VPN SERVER和EASY VPN REMOTE两种，EASY VPN SERVER 是REMOT--ACCESS VPN专业设备。配置复杂，支持POLICY PUSHING等特性，此技术基于IPsec协议为基础，扩展的的cisco私有协议，支持远程登录，并且根据自己的AAA的服务器去认证其可靠性，如认证通过，会为访问者分配自己内部IP地址，保证其访问内部信息。在Easy VPN连接成功后，对于ISP运行商来说总公司与分公司数据的传输是透明的，就像拉了一根专线一样，通过抓包等方式捕获数据包会发现全为ESP数据，无法从数据包中获得任何信息，由于其加密方式为HASH速算，根据其雪崩效应想通过加密包算出真是数据的可能性几乎为0，所以数据的传输上的安全性被大大地保证了。

XXXXXXXXXX计算机专业毕业设计

4.2 SSH 4.2.1 SSH介绍

SSH 为 Secure Shell 的缩写，由 IETF 的网络工作小组(Network Working Group)所制定;SSH 为建立在应用层和传输层基础上的安全协议。

SSH 主要有三部分组成：

1)传输层协议 [SSH-TRANS]

提供了服务器认证，保密性及完整性。此外它有时还提供压缩功能。 SSH-TRANS 通常运行在 TCP/IP连接上，也可能用于其它可靠数据流上。 SSH-TRANS 提供了强力的加密技术、密码主机认证及完整性保护。该协议中的认证基于主机，并且该协议不执行用户认证。更高层的用户认证协议可以设计为在此协议之上。

2)用户认证协议 [SSH-USERAUTH]

用于向服务器提供客户端用户鉴别功能。它运行在传输层协议 SSH-TRANS 上面。当SSH-USERAUTH 开始后，它从低层协议那里接收会话标识符(从第一次密钥交换中的交换哈希H )。会话标识符唯一标识此会话并且适用于标记以证明私钥的所有权。 SSH-USERAUTH 也需要知道低层协议是否提供保密性保护。

3)连接协议 [SSH-CONNECT]

4.2.2 SSH与Telnet的区别

传统的网络服务程序，如：ftp、pop和telnet在本质上都是不安全的，因为它们在网络上用明文传送口令和数据，别有用心的人非常容易就可以截获这些口令和数据。而且，这些服务程序的安全验证方式也是有其弱点的，就是很容易受到“中间人”(man-in-the-middle)这种方式的攻击。所谓“中间人”的攻击方式，就是“中间人”冒充真正的服务器接收你传给服务器的数据，然后再冒充你把数据传给真正的服务器。服务器和你之间的数据传送被“中间人”一转手做了手脚之后，就会出现很严重的问题。

SSH是替代Telnet和其他远程控制台管理应用程序的行业标准。SSH命令是加密的并以几种方式进行保密。

在使用SSH的时候，一个数字证书将认证客户端(你的工作站)和服务器(你的网络设备)之间的连接，并加密受保护的口令。SSH1使用RSA加密密钥，SSH2使用数字签名算法(DSA)密钥保护连接和认证。加密算法包括Blowfish，数据加密标准(DES)，以及三重DES(3DES)。SSH保护并且有助于防止欺骗，“中间人”攻击，以及数据包监听。

通过使用SSH，你可以把所有传输的数据进行加密，这样"中间人"这种攻击方式就不可能实现了，而且也能够防止DNS欺骗和IP欺骗。使用SSH，还有一个额外的好处就是传输的数据是经过压缩的，所以可以加快传输的速度。SSH有很多功能，它既可以代替Telnet，又可以为FTP、PoP、甚至为PPP提供一个安全的"通道"。

XXXXXXXXXX计算机专业毕业设计

4.3 AAA服务器

4.3.1 AAA介绍

AAA是认证、授权和记账(Authentication、Authorization、Accounting )三个英文单词的简称。其主要目的是管理哪些用户可以访问网络服务器，具有访问权的用户可以得到哪些服务，如何对正在使用网络资源的用户进行记账。具体为：

1、认证(Authentication): 验证用户是否可以获得访问权限;

2、授权(Authorization) : 授权用户可以使用哪些服务;

3、审计(Accounting) : 记录用户使用网络资源的情况。

4.3.2 认证(Authentication) 认证负责在用户访问网络或网络服务器以前，对用户进行认证。

如需配置AAA认证，管理员可以创建一个命名的认证列表，然后把这个列表应用到各种接口上。这个方法列表可以定义所要执行的认证类型和他们的顺序。管理员需要基于每个接口来应用这些方法。然而，当管理员没有定义其他认证方法是，cisco路由器和交换机上的所有接口都关联了一个默认的方法列表，名为Default。但管理员定义的方法列表会覆盖默认方法列表。

除了本地认证、线路密码的Enable认证以外，其他所有的认证方法都需要使用AAA。

4.3.3 授权(Authorization) 授权为远程访问控制提供了方法。这里所说的远程访问控制包括一次性授权，或者基于每个用户账号列表或用户组为每个服务进行授权。

交换机或路由器上的AAA授权是通过连接一个通用的集中式数据库，并访问其中的一系列属性来工作的，这些说性描述了网络用户的授权服务，比如访问网络中的不同部分。交换机或路由器会向服务器询问用户真实的能力和限制，集中式服务器向其返回授权结果，告知用户所能够使用的服务。这个数据库通常是位于中心位置的服务器，比如RADIUS或者TACACS+安全服务器。但管理员也可以使用本地数据库。远程安全服务器(比如RADIUS和TACACS+)通过把用户与相应的AVP(属性值对)相关联，来收与用户具体的权限。RADIUS和TACACS+把这些AVP配置应用给用户或者用户组。每个AVP由一个类型识别符和一个或多个分配给它的值组成。AVP在用户配置文件(User Profile)和组配置文件(Group Profile)中指定的AVP，为相应的用户和组定义了认证和授权特性。

XXXXXXXXXX计算机专业毕业设计

4.3.4 审计(Accounting) 审计为收集和发送安全服务器信息提供了方法，这些信息可以用于计费(billing)、查账(auditing)和报告(reporting)。这类信息包括用户身份、网络访问开始和结束的时间、执行过的命令(比如PPP)、数据包的数量和字节数量。这些信息是交换机和路由器能够检测登录的用户，从而对于查账和增强安全性有很大帮助。

在很多环境中，AAA都会使用多种协议来管理其安全功能，比如RADIUS、TACACS+或者802.1x。如果网络中的交换机充当网络接入服务器角色，那么AAA就是网络访问服务器与RADIUS、TACACS+或者802.1x安全服务器之间建立连接的方法。

AAA是动态配置的，它允许管理员基于每条线路(每个用户)或者每个服务(比如IP、IPX或VPDN[虚拟私有拨号网络])来配置认证和授权。管理员先要创建方法列表，然后把这些方法列表应用到指定的服务或接口上，以针对每条线路或每个用户进行运作。

4.4 IDS 入侵检测系统

由于Cisco packet Tracer 5.3无法模拟IDS设备，又由于IDS在实际企业网络中作用很大，所以在拓扑图中将其设计进去，在这里做一些基本介绍。

IDS是英文“Intrusion Detection Systems”的缩写，中文意思是“入侵检测系统”。专业上讲就是依照一定的安全策略，通过软、硬件，对网络、系统的运行状况进行监视，尽可能发现各种攻击企图、攻击行为或者攻击结果，以保证网络系统资源的机密性、完整性和可用性。做一个形象的比喻：假如防火墙是一幢大楼的门锁，那么IDS就是这幢大楼里的监视系统。一旦小偷爬窗进入大楼，或内部人员有越界行为，只有实时监视系统才能发现情况并发出警告。

入侵检测可分为实时入侵检测和事后入侵检测两种。

实时入侵检测在网络连接过程中进行，系统根据用户的历史行为模型、存储在计算机中的专家知识以及神经网络模型对用户当前的操作进行判断，一旦发现入侵迹象立即断开入侵者与主机的连接，并收集证据和实施数据恢复。这个检测过程是不断循环进行的。

事后入侵检测则是由具有网络安全专业知识的网络管理人员来进行的，是管理员定期或不定期进行的，不具有实时性，因此防御入侵的能力不如实时入侵检测系统。

4.5 firewall 防火墙

4.5.1 什么是防火墙

所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法，它是一种计算机硬件和软件的结合，使Internet与Intranet之间建立起一个安全网关(Security Gateway)，从而保护内部网免受非法用户的侵入，防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成，防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件。该计算机流入流出的所有网络通信和数据包均要经过此防火墙。

在网络中，所谓“防火墙”，是指一种将内部网和公众访问网(如Internet)分开的方法，它实际

XXXXXXXXXX计算机专业毕业设计

上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度，它能允许你“同意”的人和数据进入你的网络，同时将你“不同意”的人和数据拒之门外，最大限度地阻止网络中的黑客来访问你的网络。换句话说，如果不通过防火墙，公司内部的人就无法访问Internet，Internet上的人也无法和公司内部的人进行通信。

4.5.2 防火墙类型

主要有2中，网络防火墙和应用防火墙。

1)网络层防火墙

网络层防火墙可视为一种 IP 封包过滤器，运作在底层的 TCP/IP 协议堆栈上。我们可以以枚举的方式，只允许符合特定规则的封包通过，其余的一概禁止穿越防火墙(病毒除外，防火墙不能防止病毒侵入)。这些规则通常可以经由管理员定义或修改，不过某些防火墙设备可能只能套用内置的规则。

我们也能以另一种较宽松的角度来制定防火墙规则，只要封包不符合任何一项“否定规则”就予以放行。现在的操作系统及网络设备大多已内置防火墙功能。

较新的防火墙能利用封包的多样属性来进行过滤，例如：来源 IP 地址、来源端口号、目的 IP 地址或端口号、服务类型(如 WWW 或是 FTP)。也能经由通信协议、TTL 值、来源的网域名称或网段...等属性来进行过滤。

2)应用层防火墙

应用层防火墙是在 TCP/IP 堆栈的“应用层”上运作，您使用浏览器时所产生的数据流或是使用 FTP 时的数据流都是属于这一层。应用层防火墙可以拦截进出某应用程序的所有封包，并且封锁其他的封包(通常是直接将封包丢弃)。理论上，这一类的防火墙可以完全阻绝外部的数据流进到受保护的机器里。防火墙借由监测所有的封包并找出不符规则的内容，可以防范电脑蠕虫或是木马程序的快速蔓延。不过就实现而言，这个方法既烦且杂(软件有千千百百种啊)，所以大部分的防火墙都不会考虑以这种方法设计。XML 防火墙是一种新型态的应用层防火墙。

第五章企业网络设备实施方案

5.1 企业物理安全规划

公司网络企业的物理安全主要考虑的问题是环境、场地和设备的安全及物理访问控制和应急处置计划等。物理安全在整个计算机网络信息系统安全中占有重要地位。它主要包括以下几个方面： 1) 保证机房环境安全

XXXXXXXXXX计算机专业毕业设计

信息系统中的计算机硬件、网络设施以及运行环境是信息系统运行的最基本的环境。要从一下三个方面考虑：a.自然灾害、物理损坏和设备故障 b.电磁辐射、乘机而入、痕迹泄漏等 c.操作失误、意外疏漏等 2) 选用合适的传输介质

屏蔽式双绞线的抗干扰能力更强，且要求必须配有支持屏蔽功能的连接器件和要求介质有良好的接地(最好多处接地)，对于干扰严重的区域应使用屏蔽式双绞线，并将其放在金属管内以增强抗干扰能力。

光纤是超长距离和高容量传输系统最有效的途径，从传输特性等分析，无论何种光纤都有传输频带宽、速率高、传输损耗低、传输距离远、抗雷电和电磁的干扰性好保密性好，不易被窃听或被截获数据、传输的误码率很低，可靠性高，体积小和重量轻等特点。与双绞线或同轴电缆不同的是光纤不辐射能量，能够有效地阻止窃听。 3) 保证供电安全可靠

计算机和网络主干设备对交流电源的质量要求十分严格，对交流电的电压和频率，对电源波形的正弦性，对三相电源的对称性，对供电的连续性、可靠性稳定性和抗干扰性等各项指标，都要求保持在允许偏差范围内。机房的供配电系统设计既要满足设备自身运转的要求，又要满足网络应用的要求，必须做到保证网络系统运行的可靠性，保证设备的设计寿命保证信息安全保证机房人员的工作环境。

5.2 设备选型

设备选型在一个网络工程之中尤为重要，既要保证其性能与稳定性，也要考虑实际预算是否合理，这是需要有很强的专业知识和工作经验才能很好地完成的。根据网络拓扑图，所需的设备为：

设备名称设备品牌设备数量作用 2950交换机 Cisco 24 接入层交换机 2960交换机 Cisco 8 汇聚层交换机 7200交换机 Cisco 1 核心层交换机 ASA5500 Cisco 1 防火墙 IDS4235 Cisco 1 入侵检测系统 IBM服务器 IBM 5 内部服务器打印机 HP 1 接入终端设备复印机 HP 1 接入终端设备传真机 HP 1 接入终端设备扫描仪 HP 1 接入终端设备

XXXXXXXXXX计算机专业毕业设计

5.3 设备配置

5.3.1 交换机

接入层交换机基本就根据VLAN划分表讲接口划分VLAN即可。

配置命令如下：

switch(Config)interface Interface type (接口类型与ID)

switch(config-if)#switchport mode access (改为接入模式) switch(config-if)#switchport access vlan number (VLAN ID号) 等待接口指示灯变为绿色后即完成生成树运算。

汇聚交换机做了一些策略如BPDU 防护，根防护，与trunk等。公司总部一共4台汇聚交换机，具体配置如下： SW1：

hostname sw1 命名为SW1 ! spanning-tree portfast default 全局下默认为快速接口 ! interface FastEthernet0/1 switchport mode trunk 开启trunk ! interface FastEthernet0/2 ! interface FastEthernet0/3 switchport access vlan 10 改变vlan id为10 switchport mode access 改为接入模式 spanning-tree portfast 改为快速接口 spanning-tree guard root 启动根防护 spanning-tree bpduguard enable 开启BPDU防护 ! interface FastEthernet0/4 switchport access vlan 20 switchport mode access spanning-tree portfast spanning-tree guard root

XXXXXXXXXX计算机专业毕业设计

spanning-tree bpduguard enable !

interface Vlan1 no ip address shutdown ! ! line con 0 ! line vty 0 4 login line vty 5 15 login ! ! End 由于这几台汇聚设备命令差不多故重复命令不写备注。 SW2： hostname sw2 ! ! spanning-tree portfast default ! interface FastEthernet0/1 switchport mode trunk ! interface FastEthernet0/2 switchport access vlan 30 switchport mode access spanning-tree guard root spanning-tree bpduguard enable ! interface FastEthernet0/3 switchport access vlan 40

XXXXXXXXXX计算机专业毕业设计

switchport mode access spanning-tree guard root spanning-tree bpduguard enable ! ! line con 0 ! line vty 0 4 login line vty 5 15 login ! ! End SW3： hostname sw3 ! ! spanning-tree portfast default ! interface FastEthernet0/1 switchport mode trunk ! interface FastEthernet0/2 switchport access vlan 50 switchport mode access spanning-tree portfast spanning-tree guard root spanning-tree bpduguard enable ! interface FastEthernet0/3 switchport access vlan 60 switchport mode access spanning-tree portfast

XXXXXXXXXX计算机专业毕业设计

spanning-tree guard root spanning-tree bpduguard enable ! ! interface Vlan1 no ip address shutdown ! ! line con 0 ! line vty 0 4 login line vty 5 15 login ! ! End SW4： hostname sw4 ! ! spanning-tree portfast default ! interface FastEthernet0/1 switchport access vlan 100 switchport mode access ! interface FastEthernet0/2 switchport access vlan 100 switchport mode access ! interface FastEthernet0/3

XXXXXXXXXX计算机专业毕业设计

switchport access vlan 100 switchport mode access ! interface FastEthernet0/4 switchport access vlan 100 switchport mode access ! interface FastEthernet0/5 switchport access vlan 100 switchport mode access ! interface FastEthernet0/6 switchport access vlan 100 switchport mode access ! ! interface Vlan1 no ip address shutdown ! ! line con 0 ! line vty 0 4 login line vty 5 15 login ! ! End

核心交换机：

该设备命令很多，由于没有代理DHCP命令，所以DHCP是在核心做的，还做了一些访问的限制，与telnet技术，console的认证配置，还有OSPF路由协议等，由于配置很多，故删除一些没有做配置

XXXXXXXXXX计算机专业毕业设计

的接口。

SWc: version 12.2 no service timestamps log datetime msec no service timestamps debug datetime msec no service password-encryption ! ! ip domain-name cisco.com hostname SWc ! enable password cisco ! ! ip dhcp excluded-address 192.168.0.1 DHCPip dhcp excluded-address 192.168.3.129 ip dhcp excluded-address 192.168.3.1 ip dhcp excluded-address 192.168.1.1 ip dhcp excluded-address 192.168.2.1 ip dhcp excluded-address 192.168.3.193 ! ip dhcp pool vlan30 network 192.168.0.0 255.255.255.0 default-router 192.168.0.1 dns-server 192.168.3.227 DNSip dhcp pool vlan40 network 192.168.1.0 255.255.255.0 default-router 192.168.1.1 dns-server 192.168.3.227 ip dhcp pool vlan50 network 192.168.2.0 255.255.255.0 default-router 192.168.2.1 dns-server 192.168.3.227 ip dhcp pool vlan10

设置交换机域名，与SSH验证有关用户登入特权模式密码在分配时排除该IP地址这些地址为网段的网关地址开启一个DHCP地址池分配的网络段默认网关IP地址地址 21

XXXXXXXXXX计算机专业毕业设计

network 192.168.3.192 255.255.255.224 default-router 192.168.3.193 dns-server 192.168.3.227 ip dhcp pool vlan60 network 192.168.3.0 255.255.255.128 default-router 192.168.3.1 dns-server 192.168.3.227 ip dhcp pool vlan20 network 192.168.3.128 255.255.255.192 default-router 192.168.3.129 dns-server 192.168.3.227 ip routing 开启路由功能，这条很重，不然无法启动路由协议等 ! ! username beijiangong password 0 cisco 设置远程登录时用户名与密码 ! ! interface FastEthernet0/1 switchport access vlan 100 switchport mode access ! interface FastEthernet0/2 switchport trunk encapsulation dot1q 配置trunk的封装格式 switchport mode trunk ! interface FastEthernet0/3 switchport trunk encapsulation dot1q switchport mode trunk ! interface FastEthernet0/4 switchport trunk encapsulation dot1q switchport mode trunk ! interface FastEthernet0/5 no switchport 启动3层接口

XXXXXXXXXX计算机专业毕业设计

ip address 192.168.3.245 255.255.255.252 duplex auto 自动协商双工 speed auto 自动协商速率 ! interface FastEthernet0/6 switchport access vlan 99 ! ! interface Vlan1 no ip address shutdown ! interface Vlan10 ip address 192.168.3.193 255.255.255.224 ! interface Vlan20 ip address 192.168.3.129 255.255.255.192 ip access-group 20 out 在此接口的出方向启动acl 20 ! interface Vlan30 ip address 192.168.0.1 255.255.255.0 ! interface Vlan40 ip address 192.168.1.1 255.255.255.0 ! interface Vlan50 ip address 192.168.2.1 255.255.255.0 ! interface Vlan60 ip address 192.168.3.1 255.255.255.128 ip access-group 101 out 在此接口的出方向启动acl 101 ! interface Vlan99

XXXXXXXXXX计算机专业毕业设计

ip address 192.168.3.241 255.255.255.252 ! interface Vlan100 ip address 192.168.3.230 255.255.255.240 ! router ospf 10 启动OSPF 进程号为10 router-id 1.1.1.1 为本设备配置ID标示符 log-adjacency-changes 开启系统日志关于ospf变化 network 192.168.3.245 0.0.0.0 area 0 宣告网络，与其区域 network 192.168.3.193 0.0.0.0 area 1 network 192.168.3.129 0.0.0.0 area 1 network 192.168.0.1 0.0.0.0 area 2 network 192.168.1.1 0.0.0.0 area 2 network 192.168.2.1 0.0.0.0 area 3 network 192.168.3.1 0.0.0.0 area 3 network 192.168.3.230 0.0.0.0 area 4 network 192.168.3.241 0.0.0.0 area 5 ! ip classless ! ! access-list 10 permit host 192.168.3.242 acl 10 允许该主机地址 access-list 20 deny 192.168.0.0 0.0.0.255 acl 20 拒绝该网段 access-list 20 deny 192.168.1.0 0.0.0.255 access-list 20 deny 192.168.2.0 0.0.0.255 access-list 20 deny 192.168.3.0 0.0.0.255 access-list 101 deny ip 192.168.3.0 0.0.0.127 192.168.0.0 0.0.3.255 (扩展acl 101 拒绝该网段的ip协议去访问192.168.0.0/22网段) access-list 101 permit ip any any 允许所有ip协议的任何源目访问 ! crypto key generate rsa 设置SSH的加密算法为rsa(隐藏命令，在show run中看不到 ! ! !

XXXXXXXXXX计算机专业毕业设计

line con 0 password cisco 设置console密码

line vty 0 4 进入vty接口默认登入人数为5 access-class 10 in 在该接口入方向启动acl 10 password cisco 密码为cisco login local 登入方式为本地认证 transport input ssh 更改登录方式为SSH ! ! end 5.3.2 路由器与防火墙

R1： hostname r1 ! enable password cisco !! username beijiangong password 0 cisco ! interface FastEthernet0/0 ip address 192.168.3.246 255.255.255.252 duplex auto speed auto ! interface FastEthernet0/1 ip address 192.168.3.249 255.255.255.248 duplex auto speed auto ! router ospf 10 router-id 2.2.2.2 log-adjacency-changes network 192.168.3.246 0.0.0.0 area 0

XXXXXXXXXX计算机专业毕业设计

network 192.168.3.249 0.0.0.0 area 6 ! ip classless ! ! access-list 10 permit host 192.168.3.242 ! no cdp run ! line con 0 password cisco line vty 0 4 access-class 10 in password cisco login local ! ! ! end Firewall: hostname ASA ! enable password cisco ! aaa new-model 开启AAA功能 ! aaa authentication login eza group radius 启动认证登录组名为eza分类为radius !

aaa authorization network ezo group radius启动授权组名为eza分类为radius ! username beijiangong password 0 cisco ! crypto isakmp policy 10 设置加密密钥策略 encr 3des 启动3重加密算法 hash md5 启动MD5认证 authentication pre-share 认证方式为共享 group 2 优先级组别为2 ! crypto isakmp client configuration group myez 设置密钥客户端等级组 key 123 为等级组设置密码

pool ez 为客户分配内部IP地址池 !

XXXXXXXXXX计算机专业毕业设计

crypto ipsec transform-set tim esp-3des esp-md5-hmac 传输隧道封装类型 ! crypto dynamic-map ezmap 10 进入隧道封装策略模式

set transform-set tim 调用上面设置的封装组tim reverse-route 开启vpn的反向路由 ! crypto map tom client authentication list eza 加密组tom的客户认证调用上面的eza组

crypto map tom isakmp authorization list ezo 加密组tom的密钥授权管理方式调用上面的eza组

crypto map tom client configuration address respond 加密组tom为客户分配IP地址

crypto map tom 10 ipsec-isakmp dynamic ezmap 加密组tom调用隧道加密格式名称为ezmap ! interface FastEthernet0/0 ip address 192.168.3.250 255.255.255.248 ip nat inside duplex auto speed auto ! interface FastEthernet0/1 no ip address duplex auto speed auto shutdown ! interface Serial0/2/0 ip address 100.1.1.1 255.255.255.0 ip nat outside crypto map tom ! interface Serial0/3/0 no ip address shutdown ! interface Vlan1 no ip address shutdown ! router ospf 10 router-id 3.3.3.3 log-adjacency-changes network 192.168.3.250 0.0.0.0 area 6 default-information originate 向其他ospf邻居宣告默认路由 ! ip local pool ez 192.168.3.251 192.168.3.254 配置VPN登入进来后分配的IP地址池

ip nat inside source list 1 interface Serial0/2/0 overload 设置动态NAT将acl 1的地址转化为s0/2/0并多路复用 ip classless ip route 0.0.0.0 0.0.0.0 Serial0/2/0 默认路由都走s0/2/0

XXXXXXXXXX计算机专业毕业设计

! ! access-list 1 permit 192.168.0.0 0.0.3.255 access-list 10 permit host 192.168.3.242 ! no cdp run 关闭邻居发现协议 ! ! radius-server host 192.168.3.225 auth-port 1645 key 123 指定AAA服务器地址与Easy VPN 端口号以及对应密钥 ! line con 0 password cisco login line vty 0 4 access-class 10 in password cisco login local ! End

5.3.3 服务器

AAA服务器配置：

XXXXXXXXXX计算机专业毕业设计

HTTP服务器：

DNS服务器：

XXXXXXXXXX计算机专业毕业设计

第六章项目测试

Packet Tracer 模拟器实验拓扑图

所有设备的用户名为：beijiangong 密码：cisco

VPN 登录配置：组名：beijiangong Key:123 服务器IP：100.1.1.1 用户名：123 密码：123

XXXXXXXXXX计算机专业毕业设计

北京总公司图A

分公司以及ISP网络图B

XXXXXXXXXX计算机专业毕业设计

6.1 DHCP验证

北京总公司内网所有设备都是通过DHCP获取的IP地址，但是不同VLAN所获得的IP地址段是不同的，验证其在不同VLAN下是否获得正确的IP地址、网关、掩码和DNS。

1)经理办公室 VLAN 10 配置方法，首先在Packet Tracer下，点击相应的PC，如图6-1-1

图6-1-1 点击左上角第一栏，ip Configuration 进入IP地址配置画面如图6-1-2

XXXXXXXXXX计算机专业毕业设计

IP地址配置画面图6-1-2

点击DHCP，获取IP地址，等待1-2S后查看结果如图6-1-3

图6-1-3 根据提示可以看出获得了正确的IP地址。

2)财政部 VLAN 20 如图6-1-4

图6-1-4

XXXXXXXXXX计算机专业毕业设计

3)软件部 VLAN 30 如图6-1-5

图6-1-5 4)市场部 VLAN 40 如图 6-1-6

图6-1-6 5)系统集成部 VLAN 50 如图6-1-7

图6-1-7

XXXXXXXXXX计算机专业毕业设计

6)参观中心 VLAN 60 如图 6-1-8

图6-1-8

6.2 网络连通性

建立好网络后，最重要的一点就是网络连通性，根据公司需求，内部计算机获得自己IP地址，自己的DNS服务器与网关，那应该可以去访问外网服务器，以达到访问公网的目的。

1)随便开启一台PC机，如经理办公室PC 图6-2-1

图6-2-1 点击Command prompt 进入其电脑的CMD命令格式

图6-2-2

XXXXXXXXXX计算机专业毕业设计

图6-2-2

输入ping 命令，在虚拟网络中，如图A 运行商IP地址为100.1.1.2 所以先ping运行商网关。在命令行中输入ping 100.1.1.2 ，可能第一个包会因为ARP的关系而丢失，但是后续会很稳定。如图6-2-3

图6-2-3

2)检查网络内部DNS的正确性

XXXXXXXXXX计算机专业毕业设计

打开PC机浏览器，如下图所示6-2-4

图6-2-4 如图B所示，在公网中，有一个百度的服务器，域名为通过浏览器访问百度看是否成功。如图6-2-5

图6-2-5 如图所示，访问成功，表示公司内部网络连通性已经保证畅通。

6.3 网络安全性

在保证了连通性的基础上，验证其安全性

6.3.1 SSH 与console的权限

在设备安装完毕后，公司内部不可能派专门的保安去看护，所以网络设备的安全就需要有所保证，不能让人们轻易的进入其配置模式，轻易的去更改配置，所以要设置用户名密码。如图6-3-1所示，一台PC需要console核心交换机

XXXXXXXXXX计算机专业毕业设计

图6-3-1 如图6-2-7所示，需要点击下图所示单元进入console连接模式

图6-3-2 选好会话数，速率等基本参数后点击OK连接设备的控制台如图6-3-3

图6-3-3

发现需要输入用户名密码，否侧无法进入控制界面，输入用户名密码后进入用户模式，进入特权模式需要输入特权密码，输入正确用户名密码后才能进入。如图6-3-4

XXXXXXXXXX计算机专业毕业设计

图6-3-4

当然console的限制很大，有监控设备，与机柜锁，能够最大限度的保证其安全性，所以console的安全性问题不是很大，而telnet 的控制起来就需要用策略来限制了。

如果想telnet设备需要知道其设备上的IP地址，而本公司DHCP中的网关地址基本都是在核心上，所以设备上的IP地址基本谁都知道，而核心设备仅仅需要网络管理员去管理，所以加了acl去选择telnet 的对象。而在加密方面我选择了SSH而不是非加密的Telnet.

如图所示，仅有网络管理员才能ssh设备，其他员工无法ssh设备。这是管理员ssh的效果，输入正确的用户名密码后，进入其配置界面。如图6-3-5

图6-2-10 这是其他设备ssh的效果，无论尝试几个设备上的地址都被拒绝了，这样就能保证设备控制的安全性。虽然能够访问其地址，但是无法取得其TCP端口号22的访问权如图6-3-6

XXXXXXXXXX计算机专业毕业设计

图6-3-6

6.3.2 网络连通安全性

在一个公司内部，虽然大家共享上网资源，但是各部门之间的资料还是有一些机密的，特别是财政部，一个公司财政信息都是很机密的，所以不希望其他公司内部Pc能够连通到此部门，所以也要通过acl去限制，去隔离一些区域。

财政部IP 192.168.3.130 软件部IP 192.168.0.2 市场部IP 192.168.1.2

正常情况下，三个部门是可以正常ping通的，但是财政部的安全性，所以其他2个部门无法访问财政部，但是可以互相访问。

如图6-3-7所示，软件部无法访问财政部，但是可以访问市场部

XXXXXXXXXX计算机专业毕业设计

图6-3-7 这样就保证了财政部的独立性，保证了其安全，由于公司内部需要有客人访问，而客人往往需要上网，所以需要控制其上网行为，如果有恶意行为，盗取公司其他部门资料，那也会造成严重的损失，所以，要保证其在公司参观中心上网，只能访问外网，不能访问公司内部其他主机。

如图6-3-8所示，参观中心的终端能够访问外网百度服务器，但是无法访问内部市场部PC设备。

XXXXXXXXXX计算机专业毕业设计

图6-3-8

6.4 分公司与总公司安全性

由于分公司之间通过ISP与总公司通信，所以数据通信需要安全性，在这里我选择了EASY VPN，由于各分公司内部全部使用私网地址，所以无法与总公司内部通信，因为私网地址无法宣告到公网中，而通过easy vpn连接后，本部通过给客户分配总公司自己的私网地址，使其能够访问公司内部，而通信过程中数据时加密的，无法窃取，保证了其安全性。

如图6-4-1连接easy vpn首先要在客户端PC打开VPN连接。

图6-4-1 在这里设置好用户组、用户名、总公司的公网地址以及密码后连接VPN 如图6-4-2

XXXXXXXXXX计算机专业毕业设计

图6-4-2 连接后需要等2-3秒，即连接成功，而且显示被分配的IP地址如图6-4-3

图6-4-3

进行Ping命令就可以访问北京总部的内网地址终端了。如图6-4-4

XXXXXXXXXX计算机专业毕业设计

图6-4-4 这样网络的安全性就得到了很大的提升。

XXXXXXXXXX计算机专业毕业设计

总

结

随着互联网的飞速发展，网络安全逐渐成为一个潜在的巨大问题。网络安全性是一个涉及面很广泛的问题，其中也会涉及到是否构成犯罪行为的问题。在其最简单的形式中，它主要关心的是确保无关人员不能读取，更不能修改传送给其他接收者的信息。此时，它关心的对象是那些无权使用，但却试图获得远程服务的人。安全性也处理合法消息被截获和重播的问题，以及发送者是否曾发送过该条消息的问题。

本论文从企业角度描述了网络安全的解决方案，目的在于为用户提供信息的保密，认证和完整性保护机制，使网络中的服务，数据以及系统免受侵扰和破坏。比如防火墙，认证，加密技术等都是当今常用的方法，本论文从这些方法入手深入研究各个方面的网络安全问题的解决，可以使读者有对网络安全技术的更深刻的了解。

在本方案设计之初，我对网络安全的理解还是很浅，包括到了现在我对它的还是只有一点点的认知，但是通过这次设计，让我对网络安全产生了很浓厚的兴趣，很高兴能够选到这个课题，但这只是一次虚拟题，希望以后有机会在工作中能够得到真实的项目去完成网络安全的设计方案，但是，路还很长，需要学习的知识还很多，但是有兴趣才是王道。

网络规划范文第2篇

摘要：本文根据移动通信网络规划与优化的课程内容特点，将社会主义核心价值观和辩证唯物主义的思政元素，与具体的课程内容有机地融合，贯穿于整个教学过程中。帮助学生树立社会主义新时代的核心价值观，学会辩证地分析问题，增强学生的社会责任感和使命感。

关键词：网络优化; 社会主义核心价值观; 辩证唯物主义

1.引言

2008年工信部成立以后，在通信网络建设方面，积极贯彻党中央和国务院的政策，大力推进宽带中国建设，加快推动通信网络的升级换代[1]。

2015年，习近平总书记在第二届世界互联网大会上，提出了 “数字中国”建设，对国家信息化发展做出了新的战略部署，成为了新时代推进国家信息化发展的重要指引。“互联网+”、5G的研发应用和IPv6规模部署行动计划等等，都在表明中国数字经济发展正在进入快车道，而这些技术的发展，都需要稳定的移动通信网络的支撑。网络维护与优化是保证网络稳定性必不可少的一部分，能够进一步推进“数字中国”建设的稳步发展。

在《移动通信网络规划与优化》这门课程中，我们根据课程的特点，将思政教育有机地融入到教学中，加强爱国主义、集体主义、社会主义教育。使学生深刻意识到网络优化在“数字中国”建设中的作用，感受到我们国家繁荣富强的同时，努力学习专业知识，成为建设数字中国的专业性人才。

2.移动通信网络规划与优化课程的介绍

移动通信网络规划与优化讲述移动通信网络的规划和优化技术，是一门理论性和实用性很强的课程。学生学习了本课程之后，不仅对移动通信系统和通信网络的规划和优化技术有较全面的了解和领会，且应能灵活应用这些原理与技术，对移动网络的常见问题进行准确分析，完善和优化解决方案，为移动通信系统的开通、管理维护打下必要的理论基础和技能，使学生达到理论联系实际、活学活用的基本目标，提高其实际应用技能。并且，在分析问题的过程中，使学生养成善于观察、独立思考的习惯。同时，通过教学过程中的实际操作过程的规范要求，强化学生的职业道德意识和职业素质养成意识。

3.课程思政教学素材的设计

3.1社会主义核心价值观

社会主义核心价值观是社会主义核心价值体系的内核，体现社会主义核心价值体系的根本性质和基本特征。培育和践行社会主义核心价值观，是推进中国特色社会主义伟大事业、实现中华民族伟大复兴中国梦的战略任务[1]。社会主义核心价值观是中国特色社会主义的自我理解与自我建构，引领和构建当代中国社会价值秩序[2]。习近平总书记指出：“一种价值观要真正发挥作用，必须融入社会生活，让人们在实践中感知它、领悟它。要注意把我们所提倡的与人们日常生活紧密联系起来，在落细、落小、落实上下功夫。”

2017年10月18日，习近平同志在十九大报告中指出，要培育和践行社会主义核心价值观。要以培养担当民族复兴大任的时代新人为着眼点，强化教育引导、实践养成、制度保障，发挥社会主义核心价值观对国民教育、精神文明创建、精神文化产品创作生产传播的引领作用，把社会主义核心价值观融入社会发展各方面，转化为人们的情感认同和行为习惯。大学生作为实现中国梦的中坚力量，是祖国的未来与希望，不仅要有强健的体魄，还必须要有纯净的心灵。因此，我们需要通过社会主义核心价值观教育，引导学生树立正确的民族观、国家观。

在社会主义核心价值观的基本内容中，“爱国、敬业、诚信、友善”是公民的基本道德规范，也是必须恪守的基本道德准则。

一、爱国教育

爱国是公民必有的道德情操，是中华民族最重要的传统，也是社会主义核心价值观最主要的部分。习近平总书记在北京大学师生座谈会上，对广大青年所提的几点希望中，第一条就是要“爱国，忠于祖国，忠于人民。爱国，是人世间最深层、最持久的情感，是一个人立德之源、立功之本”[3]。在本课程第一章，主要内容为移动通信网络的概述部分，主要包括移动通信网络的发展历程、技术特点和发展趋势等。首先，介绍移动通信网络的发展历程，包括从GSM网络发展到目前的5G网络，以及未来的网络发展趋势。让学生熟悉我们国家的运营商各自部署的网络情况，使其对未来的行业发展有初步的了解。通过移动通信网络发展历程的介绍，引导学生了解通信网络建设背后的技术研究进展，向学生讲解移动通信网络技术国际标准化的工作内容。在介绍这些知识的同时，重点讲述我们国家在通信网络技术发展中，运营商和通信设备供应商所参与的国际标准化工作，以及为移动通信网络的发展做出的贡献，包括华为在5G网络的技术优势。通过这一章的学习，让学生感受到我们国家的强大，也为我们国家在移动通信领域的贡献，感到自豪。

在这一章的学习结束，学生会进行分组讨论：我们作为通信专业的大学生，通过专业知识的学习之后，如何发挥我们的特长，参与到我们的网络强国建设中。

二、敬业和诚信教育

敬业是对公民职业行为准则的价值评价。要求公民忠于职守，克己奉公，服务人民，服务社会，充分体现了社会主义置业精神。爱岗敬业体现的是公民热爱、珍视自己的工作和职业，勤勉努力，尽职尽责的道德操守。任何一个社会的保存和发展，都是以其成员勤奋工作、创造价值为前提的。因此，所有生气蓬勃的社会都把敬业作为核心价值加以强调，將之作为对自己成员的基本要求。诚信也是中华民族的传统美德，是公民基本的道德规范，是大学生必须具备的基本道德素质，也是大学生树立理想信念的基础。孟子云“诚者，天之道也;思诚者，人之道也”[4]。

本课程的重点和难点是网络优化案例分析部分，主要工作内容是：针对模拟仿真的通信网络，要仔细观察和发现网络中存在的问题，根据所学的理论知识，制定相应的测试计划;再根据具体的测试计划，测试、收集尽可能详细具体的数据;然后，要认真比较、分析所获取的多方面的数据，写出具体的解决方案;最后，通过仿真，验证方案的合理性。另外，在将来的工作岗位中，真实测试环境的地理环境复杂，包括山区、城区等;测试数据更复杂繁琐。从上述的工作内容可以看出，首先，需要培养学生热爱这份工作，具有不怕吃苦、能坐得住的敬业精神和认真严谨的工作态度，同时能坦然接受过程中的挫败，总结经验教训，迎难而上。然后，还要让学生树立诚实守信的理念，始终坚持实事求是的原则，认真进行每一步工作。要求学生要严格按照测试流程，不能弄虚作假，认真记录每一组实验数据;认真对照所学的网络优化理论知识，仔细分析实验数据，给出完整的解决方案;并进行实验验证，给出实验报告。在这环环相扣的整个过程中，要求学生以严肃认真的态度进行，不能随意篡改、编造数据，如果解决方案验证不理想的话，要重新再分析、验证，甚至重新再测试相关数据。

三、友善教育

友善是中华民族的优良传统，是历代先贤所倡导的一种价值观，更是社会和谐的基石。正如孟子所说“仁者爱人，有礼者敬人。爱人者，人恒爱之;敬人者，人恒敬之”。该课程的实验部分，是以小组为单位，共同协作完成。要求小组内分工明确，在实验过程中，两人要相互配合，各司其职，形成默契，共同完成实验任务;实验结束后，两人要共同分析实验结果，撰写实验报告。通过实验，教育学生要团结友爱，相互尊重，形成和谐友善的同学关系。

3.2辩证唯物主义分析问题

辩证法认为，任何事物内部都存在着矛盾，事物内部矛盾是事物自我运动的源泉，同时任何事物又都与周围其他事物发生联系与交互影响，促进事物自身的变化发展。在第一章中，移动通信网络的发展历程表明通信技术在不断地更新换代，从GSM网络发展到目前的5G网络，将来还会有6G网络，甚至更新的网络出现。这是万物发展的规律，要引导学生学会用辩证的思维看待技术更新。另外，在进行具体的网络优化案例分析前，本课程主要是针对具体的网络问题，归纳总结了各种网络的问题，并进行了相应的分类，具体包括：覆盖问题、接入问题、切换问题、功率问题等[5]。在分析实际网络具体问题的时候，需要从多个角度分析，上述的分类并不是独立存在的，是互相关联和影响的。比如：分析具体的网络问题时，初步分析认为应该是网络弱覆盖引起的，但根据测试数据，深入分析后，发现是具体的切换参数设置不准确导致的。所以，我们要教育学生不能盲目下结论，一定要认真仔细地客观分析数据，用普遍联系的观点分析，不能用片面或孤立的观点分析问题。

4.结束语

结合实际生活，在专业知识的传授中融入思政元素，让学生在掌握了专业的知识技能的同时，也加强了学生的思想政治教育。通过该课程的学习，使学生在将来的工作中，具有正确的社会主义核心价值观，并能够辩证地思考分析面对的问题。

参考文献：

[1]关于培育和践行社会主义核心价值观的意见[N]中国共产党新闻网，2013-12-23

[2]吴向东.社会主义核心价值观的若干重大问题[J]北京师范大学学报（社会科学版），2015（1）：33-40

[3]习近平：在北京大学师生座谈会上的讲话[N]新华网，2018-5-2

[4]郭建宁.社会主义核心价值观基本内容释义[M]人民出版社.2014-3-1

[5]張敏.LTE无线网络优化[M]人民邮电出版社，2016-12

网络规划范文第3篇

http:///rk/netgh/index.html

软考网络规划设计师教程考点精讲

(五)

网络规划设计师考试是信息产业部和人事部举办的一门考试。希赛软考学院为广大考生整理了网络规划设计师教程考点精讲，希望能帮助大家在学习的过程中更容易理解知识点。

OSPF协议

为了响应不断增长的建立越来越大的基于IP的网络需要，IETF成立了一个工作组专门开发一种开放的、基于大型复杂IP网络的链路状态路由选择协议。由于它依据一些厂商专用的最短路径优先(SPF)路由选择协议开发而成，而且是开放性的，因此称为开放式最短路径优先(Open Shortest Path First,OSPF)协议，和其它SPF一样，它采用的也是Dijkstra算法。OSPF协议现在已成为最重要的路由选择协议之一，主要用于同一个自治系统。

OSPF协议采用了"区域"的设计，提高了网络可扩展性，并且加快了网络会聚时间。也就是将网络划分成为许多较小的区域，每个区域定义一个独立的区域号并将此信息配置给网络中的每个路由器。从理论上说，通常不应该采用实际地域来划分区域，而是应该本着使不同区域间的通信量最小的原则进行合理分配。

OSPF是一种典型的链路状态路由协议。采用OSPF的路由器彼此交换并保存整个网络的链路信息，从而掌握全网的拓扑结构，独立计算路由。因为RIP路由协议不能服务于大型网络，所以，IETF的IGP工作组特别开发出链路状态协议--OSPF.目前广

网络规划设计师

http:///rk/netgh/index.html

为使用的是OSPF第二版，最新标准为RFC2328. 1.OSPF路由协议概述

OSPF作为一种内部网关协议，用于在同一个自治域(AS)中的路由器之间发布路由信息。区别于距离矢量协议(RIP)，OSPF具有支持大型网络、路由收敛快、占用网络资源少等优点，在目前应用的路由协议中占有相当重要的地位。

下面介绍OSPF的基本概念和术语： (1)链路状态

OSPF路由器收集其所在网络区域上各路由器的连接状态信息，即链路状态信息(Link-State)，生成链路状态数据库(Link-State Database)。路由器掌握了该区域上所有路由器的链路状态信息，也就等于了解了整个网络的拓扑状况。OSPF路由器利用"最短路径优先算法(Shortest Path First,SPF)",独立地计算出到达任意目的地的路由。

(2)区域

OSPF协议引入"分层路由"的概念，将网络分割成一个"主干"连接的一组相互独立的部分，这些相互独立的部分被称为"区域"(Area)，"主干"的部分称为"主干区域".每个区域就如同一个独立的网络，该区域的OSPF路由器只保存该区域的链路状态。每个路由器的链路状态数据库都可以保持合理的大小，路由计算的时间、报文数量都不会过大。

(3)OSPF网络类型

网络规划设计师

http:///rk/netgh/index.html

根据路由器所连接的物理网络不同，OSPF将网络划分为四种类型：广播多路访问型(Broadcast MultiAccess)、非广播多路访问型(None Broadcast MultiAccess,NBMA)、点到点型(Point-to-Point)、点到多点型(Point-to-MultiPoint)。

广播多路访问型网络如：Ethernet、Token Ring、FDDI.NBMA型

网

络

如

：

Frame

Relay

、

25、SMDS.Point-to-Point型网络如：PPP、HDLC. (4)指派路由器(DR)和备份指派路由器(BDR) 在多路访问网络上可能存在多个路由器，为了避免路由器之间建立完全相邻关系而引起的大量开销，OSPF要求在区域中选举一个DR.每个路由器都与之建立完全相邻关系。DR负责收集所有的链路状态信息，并发布给其他路由器。选举DR的同时也选举出一个BDR,在DR失效的时候，BDR担负起DR的职责。

当路由器开启一个端口的OSPF路由时，将会从这个端口发出一个Hello报文，以后它也将以一定的间隔周期性地发送Hello报文。OSPF路由器用Hello报文来初始化新的相邻关系以及确认相邻的路由器邻居之间的通信状态。

对广播型网络和非广播型多路访问网络，路由器使用Hello协议选举出一个DR.在广播型网络里，Hello报文使用多播地址224.0.0.5周期性广播，并通过这个过程自动发现路由器邻居。在NBMA网络中，DR负责向其他路由器逐一发送Hello报文。

OSPF协议操作总共经历了建立邻接关系、选举DR/BDR、

网络规划设计师

http:///rk/netgh/index.html

发现路由器等步骤。

第一步：建立路由器的邻接关系

所谓"邻接关系"(Adjacency)是指OSPF路由器以交换路由信息为目的，在所选择的相邻路由器之间建立的一种关系。路由器首先发送拥有自身ID信息(Loopback端口或最大的IP地址)的Hello报文。与之相邻的路由器如果收到这个Hello报文，就将这个报文内的ID信息加入到自己的Hello报文内。

如果路由器的某端口收到从其他路由器发送的含有自身ID信息的Hello报文，则它根据该端口所在网络类型确定是否可以建立邻接关系。

在点对点网络中，路由器将直接和对端路由器建立起邻接关系，并且该路由器将直接进入到第三步操作：发现其他路由器。若为MultiAccess网络，该路由器将进入选举步骤。

第二步：选举DR/BDR 不同类型的网络选举DR和BDR的方式不同。

MultiAccess网络支持多个路由器，在这种状况下，OSPF需要建立起作为链路状态和LSA更新的中心节点。选举利用Hello报文内的ID和优先权(Priority)字段值来确定。优先权字段值大小从0到255,优先权值最高的路由器成为DR.如果优先权值大小一样，则ID值最高的路由器选举为DR,优先权值次高的路由器选举为BDR.优先权值和ID值都可以直接设置。

第三步：发现路由器

网络规划设计师

http:///rk/netgh/index.html

在这个步骤中，路由器与路由器之间首先利用Hello报文的ID信息确认主从关系，然后主从路由器相互交换部分链路状态信息。每个路由器对信息进行分析比较，如果收到的信息有新的内容，路由器将要求对方发送完整的链路状态信息。这个状态完成后，路由器之间建立完全相邻(Full Adjacency)关系，同时邻接路由器拥有自己独立的、完整的链路状态数据库。

在MultiAccess网络内，DR与BDR互换信息，并同时与本子网内其他路由器交换链路状态信息。

在Point-to-Point或Point-to-MultiPoint网络中，相邻路由器之间互换链路状态信息。

第四步：选择适当的路由器

当一个路由器拥有完整独立的链路状态数据库后，它将采用SPF算法计算并创建路由表。OSPF路由器依据链路状态数据库的内容，独立地用SPF算法计算出到每一个目的网络的路径，并将路径存入路由表中。

OSPF利用量度(Cost)计算目的路径，Cost最小者即为最短路径。在配置OSPF路由器时可根据实际情况，如链路带宽、时延或经济上的费用设置链路Cost大小。Cost越小，则该链路被选为路由的可能性越大。

第五步：维护路由信息

当链路状态发生变化时，OSPF通过Flooding过程通告网络上其他路由器。OSPF路由器接收到包含有新信息的链路状态更

网络规划设计师

http:///rk/netgh/index.html

新报文，将更新自己的链路状态数据库，然后用SPF算法重新计算路由表。在重新计算过程中，路由器继续使用旧路由表，直到SPF完成新的路由表计算。新的链路状态信息将发送给其他路由器。值得注意的是，即使链路状态没有发生改变，OSPF路由信息也会自动更新，默认时间为30分钟。

2.OSPF路由协议的基本特征

前文已经说明OSPF路由协议是一种链路状态的路由协议，为了更好地说明OSPF路由协议的基本特征，将OSPF路由协议与距离矢量路由协议之一的RIP作比较如下：

RIP中用于表示目的网络远近的唯一参数为跳(hop)，即到达目的网络所要经过的路由器个数。在RIP路由协议中，该参数被限制最大为15,即RIP路由信息最多能传递至第16个路由器;对于OSPF路由协议，路由表中表示目的网络的参数为Cost,该参数为一虚拟值，与网络中链路的带宽等相关，即OSPF路由信息不受物理跳数的限制，因此，OSPF比较适合于大型网络中。

RIPv1路由协议不支持变长子网屏蔽码(VLSM)，这被认为是RIP路由协议不适用于大型网络的又一个重要原因。采用变长子网屏蔽码可以在最大限度上节约IP地址。OSPF路由协议对VLSM有良好的支持性。?

RIP路由协议路由收敛较慢。RIP路由协议周期性地将整个路由表作为路由信息广播至网络中，该广播周期为30s.在一个较为大型的网络中，RIP会产生很大的广播信息，占用较多的网络

网络规划设计师

http:///rk/netgh/index.html

带宽资源。而且由于R1P协议30s的广播周期，影响了RIP路由协议的收敛，甚至出现不收敛的现象。而OSPF是一种链路状态的路由协议，当网络比较稳定时，网络中的路由信息是比较少的，并且其广播也不是周期性的，因此OSPF路由协议即使是在大型网络中也能够较快地收敛。

在RIP中，网络是一个平面的概念，并无区域及边界等的定义。随着无级路由CIDR概念的出现，RIP协议就明显落伍了。在OSPF路由协议中，一个网络，或者说是一个路由域可以划分为很多个区域(area)，每一个区域通过OSPF边界路由器相连，区域间可以通过路由汇聚来减少路由信息，减小路由表，提高路由器的运算速度。

OSPF路由协议支持路由验证，只有互相通过路由验证的路由器之间才能交换路由信息。而且OSPF可以对不同的区域定义不同的验证方式，提高网络的安全性。

3.建立OSPF邻接关系过程

OSPF路由协议通过建立交互关系来交换路由信息，但并不是所有相邻的路由器都会建立OSPF交互关系。下面简要介绍OSPF建立adjacency的过程。

OSPF协议是通过Hello协议数据包来建立及维护相邻关系的，同时也用其来保证相邻路由器之间的双向通信。OSPF路由器会周期性地发送Hello数据包，当这个路由器看到自身被列于其他路由器的Hello数据包里时，这两个路由器之间会建立起双

网络规划设计师

http:///rk/netgh/index.html

向通信。在多接入的环境中，Hello数据包还用于发现指定路由器(DR)，通过DR来控制与哪些路由器建立交互关系。

两个OSPF路由器建立双向通信之后的第二个步骤是进行数据库的同步，数据库同步是所有链路状态路由协议的最大的共性。在OSPF路由协议中，数据库同步关系仅仅在建立交互关系的路由器之间保持。

OSPF的数据库同步是通过

OSPF数据库描述数据包(Database Description Packets)来进行的。OSPF路由器周期性地产生数据库描述数据包，该数据包是有序的，即附带有序列号，并将这些数据包对相邻路由器广播。相邻路由器可以根据数据库描述数据包的序列号与自身数据库的数据作比较，若发现接收到的数据比数据库内的数据序列号大，则相邻路由器会针对序列号较大的数据发出请求，并用请求得到的数据来更新其链路状态数据库。

将OSPF相邻路由器从发送Hello数据包，建立数据库同步至建立完全的OSPF交互关系的过程分成几个不同的状态，如下所述。

(1)Down:这是OSPF建立交互关系的初始化状态，表示在一定时间之内没有接收到从某一相邻路由器发送来的信息。在非广播性的网络环境内，OSPF路由器还可能对处于Down状态的路由器发送Hello数据包。

(2)Attempt:该状态仅在NBMA环境，如帧中继、X.25或

网络规划设计师

http:///rk/netgh/index.html

ATM环境中有效，表示在一定时间内没有接收到某一相邻路由器的信息，但是OSPF路由器仍必须通过以一个较低的频率向该相邻路由器发送Hello数据包来保持联系。

(3)Init:在该状态时，OSPF路由器已经接收到相邻路由器发送来的Hello数据包，但自身的IP地址并没有出现在该Hello数据包内，也就是说，双方的双向通信还没有建立起来。

(4)2-Way:这个状态可以说是建立交互方式真正的开始步骤。在这个状态，路由器看到自身已经处于相邻路由器的Hello数据包内，双向通信已经建立。指定路由器及备份指定路由器的选择正是在这个状态完成的。在这个状态，OSPF路由器还可以根据其中的一个路由器是否指定路由器或是根据链路是否点对点或虚拟链路来决定是否建立交互关系。

(5)Exstart:这个状态是建立交互状态的第一个步骤。在这个状态，路由器要决定用于数据交换的初始的数据库描述数据包的序列号，以保证路由器得到的永远是最新的链路状态信息。同时，在这个状态路由器还必须决定路由器之间的主备关系，处于主控地位的路由器会向处于备份地位的路由器请求链路状态信息。

(6)Exchange:在这个状态，路由器向相邻的OSPF路由器发送数据库描述数据包来交换链路状态信息，每一个数据包都有一个数据包序列号。在这个状态，路由器还有可能向相邻路由器发送链路状态请求数据包来请求其相应数据。从这个状态开始，

网络规划设计师

http:///rk/netgh/index.html

可以说OSPF处于Flood状态。

(7)Loading:在Loading状态，OSPF路由器会就其发现的相邻路由器的新的链路状态数据及自身的己经过期的数据向相邻路由器提出请求，并等待相邻路由器的回答。

(8)Full:这是两个OSPF路由器建立交互关系的最后一个状态，在这时，建立起交互关系的路由器之间已经完成了数据库同步的工作，它们的链路状态数据库己经一致。

4.OSPF的DR及BDR 在DR和BDR出现之前，每一台路由器和他的所有邻居成为完全网状的OSPF邻接关系，这样5台路由器之间将需要形成10个邻接关系，同时将产生25条LSA.而且在多址网络中，还存在自己发出的LSA从邻居的邻居发回来，导致网络上产生很多LSA的拷贝。所以基于这种考虑，产生了DR和BDR. DR将完成如下工作：

(1)描述这个多址网络和该网络上剩下的其他相关路由器。 (2)管理这个多址网络上的flooding过程。

(3)同时为了冗余性，还会选取一个BDR,作为双备份之用。 DR BDR选取规则：DR BDR选取是以接口状态机的方式触发的。

(1)路由器的每个多路访问(multi-access)接口都有个路由器优先级(Router Priority)，8位长的一个整数，范围是0到255,Cisco路由器默认的优先级是1,优先级为0的话将不能选

网络规划设计师

http:///rk/netgh/index.html

举为DR/BDR.优先级可以通过命令ip ospf priority进行修改。

(2)Hello包里包含了优先级的字段，还包括了可能成为DR/BDR的相关接口的IP地址。

(3)当接口在多路访问网络上初次启动的时候，它把DR/BDR地址设置为0.0.0.0,同时设置等待计时器(wait timer)的值等于路由器无效间隔(Router Dead Interval)。

DR BDR选取过程：

(1)路由器X在和邻居建立双向(2-Way)通信之后，检查邻居的Hello包中Priority,DR和BDR字段，列出所有可以参与DR/BDR选举的邻居。

(2)如果有一台或多台这样的路由器宣告自己为BDR(也就是说，在其Hello包中将自己列为BDR,而不是DR)，选择其中拥有最高路由器优先级的成为BDR;如果相同，选择拥有最大路由器标识的。如果没有路由器宣告自己为BDR,选择列表中路由器拥有最高优先级的成为BDR(同样排除宣告自己为DR的路由器)，如果相同，再根据路由器标识。

(3)按如下计算网络上的DR.如果有一台或多台路由器宣告自己为DR(也就是说，在其Hello包中将自己列为DR)，选择其中拥有最高路由器优先级的成为DR;如果相同，选择拥有最大路由器标识的。如果没有路由器宣告自己为DR,将新选举出的BDR设定为DR. (4)如果路由器X新近成为DR或BDR,或者不再成为DR

网络规划设计师

http:///rk/netgh/index.html

或BDR,重复步骤2和3,然后结束选举。这样做是为了确保路由器不会同时宣告自己为DR和BDR. (5)要注意的是，当网络中已经选举了DR/BDR后，又出现了1台新的优先级更高的路由器，DR/BDR是不会重新选举的。

(6)DR/BDR选举完成后，DRother只和DR/BDR形成邻接关系。所有的路由器将组播Hello包到AllSPFRouters地址224.0.0.5以便它们能跟踪其他邻居的信息，即DR将泛洪update packet到224.0.0.5;DRother

只组播

update packet

到AllDRouter地址224.0.0.6,只有DR/BDR监听这个地址。

简洁的说：DR的筛选过程： (1)优先级为0的不参与选举; (2)优先级高的路由器为DR; (3)优先级相同时，以router ID大为DR;router ID以回环接口中最大ip为准;若无回环接口，以真实接口最大ip为准。

(4)缺省条件下，优先级为1. 5.OSPF路由器类型

OSPF路由器类型如7-12所示。

网络规划设计师

http:///rk/netgh/index.html

(1)区域内路由器(Internal Routers)

该类路由器的所有接口都属于同一个OSPF区域。 (2)区域边界路由器ABR(Area Border Routers) 该类路由器可以同时属于两个以上的区域，但其中一个必须是骨干区域。ABR用来连接骨干区域和非骨干区域，它与骨干区域之间既可以是物理连接，也可以是逻辑上的连接。

(3)骨干路由器(Backbone Routers)

该类路由器至少有一个接口属于骨干区域。因此，所有的ABR和位于Area0的内部路由器都是骨干路由器。

(4)自治系统边界路由器ASBR(AS Boundary Routers) 与其他AS交换路由信息的路由器称为ASBR.ASBR并不一定位于AS的边界，它可能是区域内路由器，也可能是ABR.只要一台OSPF路由器引入了外部路由的信息，它就成为ASBR.

网络规划设计师

http:///rk/netgh/index.html

6.OSPF LSA类型

随着OSPF路由器种类概念的引入，OSPF路由协议又对其链路状态广播数据包(LSA)做出了分类。OSPF将链路状态广播数据包主要分成以下6类，如表7-6所示：

表7-6 LSA类型 7.OSPF区域类型

根据区域所接收的LSA类型不同，可将区域划分为以下几种类型：

①标准区域：默认的区域类型，它接收链路更新、汇总路由和外部路由。图7-13所示;

网络规划设计师

http:///rk/netgh/index.html

图7-13标准区域示例

②骨干区域：骨干区域为Area 0,其他区域都与之相连以交换路由信息，该区域具有标准区域的所有特征;

③末节区域：它不接收4类汇总LSA和5类外部LSA,但接收3类汇总LSA,使用默认路由到到AS外部网络(自动生成)，该区域不包含ASBR(除非ABR也是ASBR);

④绝对末节区域：这个是Cisco专用。它不接收3类、4类汇总LSA和5类外部LSA,使用默认路由到AS外部网络(自动生成)，该区域不包含ASBR(除非ABR也是ASBR);

⑤NSSA:它不接收4类汇总LSA和5类外部LSA,但接收3类汇总LSA且可以有ASBR,使用默认路由前往外部网络，默认路由是由与之相连的ABR生成的，但默认情况下不会生成，要让ABR生成默认路由，可使用命令

area area-id nssa default-information-originate; ⑥绝对末节NSSA:这个是Cisco专用。它不接收3类、4类汇总LSA和5类外部LSA且可以有ASBR,使用默认路由到AS外部网络，默认路由是自动生成的。

每一种区域中允许泛洪的LSA总结如表7-7所示：

网络规划设计师

http:///rk/netgh/index.html

表7-7区域允许LSA总结

注：*为ABR路由器使用一个类型3的LSA通告默认路由。 8.虚链路

在OSPF路由协议中存在一个骨干区域(backbone)，该区域包括属于这个区域的网络及相应的路由器，骨干区域必须是连续的，同时也要求其余区域必须与骨干区域直接相连。骨干区域一般为区域0,其主要工作是在其余区域间传递路由信息。所有的区域，包括骨干区域之间的网络结构情况是互不可见的，当一个区域的路由信息对外广播时，其路由信息是先传递至区域0(骨干区域)，再由区域0将该路由信息向其余区域作广播。

在实际网络中，可能会存在骨干区域不连续或者某一个区域与骨干区域物理不相连的情况，在这两种情况下，系统管理员可以通过设置虚拟链路的方法来解决。如图7-14和7-15所示。

网络规划设计师

http:///rk/netgh/index.html

图7-14骨干区域不连续虚链路

图7-15与骨干区域物理不相连虚链路

虚拟链路设置在两个路由器之间，这两个路由器都有一个端口与同一个非骨干区域相连。虚拟链路被认为是属于骨干区域的，在OSPF路由协议看来，虚拟链路两端的两个路由器被一个点对点的链路连在一起。在OSPF路由协议中，通过虚拟链路的路由信息是作为域内路由来看待的。

9.OSPF配置命令汇总

网络规划设计师

http:///rk/netgh/index.html

OSPF常用配置命令如表7-8所示。

表7-8 OSPF配置命令汇总 10.OSPF配置实例

下面，以图7-16所示的一个网络为例说明OSPF路由选择协议的配置方法，该网络中有0和1两个区域，其中R1的S1端口、R2的S0端口属于区域0;而R

3、R1的S0端口、R2的S1端口则属于区域1.

网络规划设计师

http:///rk/netgh/index.html

图7-16 OSPF配置拓扑图

下面列出三个路由器配置OSPF的指令： R1#config terminal(进入全局配置模式)

R1(config)#router ospf 100(进入OSPF协议配置子模式)

R1(config-router)#network 172.16.10.1 0.0.0.0 area 0(设置邻接网络)

R1(config-router)#network 172.16.11.1 0.0.0.0 area 0(指定区域0)

R1(config-router)#network 192.168.2.1 0.0.0.0 area 1 R2(config)#router ospf 200(进入OSPF协议配置子模式)

R2(config-router)#network 172.16.0.0 0.0.255.255 area 0(设置邻接网络)

网络规划设计师

http:///rk/netgh/index.html

R2(config-router)#network 192.168.3.0 0.0.0.255 area 1 R3(config)#router ospf 300(进入OSPF协议配置子模式)

R3(config-router)#network 192.0.0.0 0.255.255.255 area 1(设置邻接网络)

网络规划范文第4篇

如何备考

1.准备资料：

书籍：《网络规划设计师教程》，黄传河，清华大学出版社。选读

《网络规划设计师2009至2013年试题分析与解答》，全国计算机专业技术资格考试办公室 2.备考方法：

网规教程选读第2章：网络规划与设计、第4章：网络安全历年真题必须过关

案例冲刺：企业内部网络规划、网络安全、路由协议、网络存储、广域网、新技术参考厂商的解决方案，推荐华为、锐捷、天融信、深信服、绿盟论文：论文写作手法，考前练习3篇。

2015年11月网规上午试卷综合知识

2016年9月4日星期日 1:06

第 1 题

所属知识点项目管理、标准化与法律法规错误率 24% 难度系数

一个大型软件系统的需求总是有变化的。为了降低项目开发的风险，需要一个好的变更控制过程。如下图所示的需求变更管理过程中，①②③处对应的内容应是(1);自动化工具能够帮助变更控制过程更有效地运作，(2)是这类工具应具有的特性之一。

(1)

A. 问题分析与变更描述、变更分析与成本计算、变更实现 B. 变更描述与变更分析、成本计算、变更实现 C. 问题分析与变更分析、变更分析、变更实现 D. 变更描述、变更分析、变更实现

(2)

A. 变更维护系统的不同版本

B. 支持系统文档的自动更新 C. 自动判定变更是否能够实施

D. 记录每一个状态变更的日期和做出这一变更的人

答案：A D 解析：

一个大型软件系统的需求总是有变化的。为了降低项目开发的风险，需要一个好的变更控制过程，如下图所示的需求变更管理过程中，①②③处对应的内容应是问题分析与变更描述、变更分析与成本计算、变更实现;

自动化根据能够帮助变更控制过程更有效地运作，记录每一个状态变更的日期和做出这一变更的人是这类根据应具有的特性之一。

第 3 题

所属知识点项目管理、标准化与法律法规错误率 48% 难度系数

用例(use case)用来描述系统对事件做出响应时所采取的行动。用例之间是具有相关性的。在一个会员管理系统中，会员注册时可以采用电话和邮件两种方式。用例“会员注册”和“电话注册”、“邮件注册”之间是(3)关系。 A. 包含(include) B. 扩展(extend) C. 泛化(generalize) D. 依赖(depends on)

答案： C 解析：

用例(use-case)用来描述系统对事件做出响应时所采取的行动，用例之间是具有相关性的。用例之间可以抽象出包含、扩展和泛化几种关系。

包含：比如我需要吃饭，那么吃面，喝汤和吃饭的关系就是包含，简单的理解就是：我要做事和我要具体做的事情就是包含关系，我要维护一台服务器，具体的话就是包括系统安全维护，备份数据等。

扩展：这个很好理解，就是以前有的东西上面，在扩展一些东西，比如举一反三就是扩展，解决了一个问题，可以用同一个思想去解决其他类似的问题，就是说，扩展是有条件，这个条件就是之前要有基础，只有之前有了一个思路，才能在这个思路之上扩展其他的思路。

在系统中，比如我们要打印想要的信息，那么怎么办，就只能先查询，所以查询就是打印的扩展条件，也是打印的一个扩展功能。

泛化：简单的理解就是继承，做过面向对象软件开发的同学都能理解，无论是学生还是工人，我们都可以把它统一归纳为人，也可以理解为子用例是父用例的一个分类，但是具有父类的属性，这个不能脱离。再比如在系统中，假如有工资调整审批，请假审批，那么都属于审批，两者之间属于泛化关系。

在一个会员管理系统中，会员注册时可以采用电话和邮件两种方式。用例“会员注册”、“电话注册”与“邮件注册”之间是泛化关系。

第 4 题

所属知识点项目管理、标准化与法律法规错误率 53% 难度系数

RUP强调采用(4)的方式来开发软件，这样做的好处是(5)。 (4)

A. 原型和螺旋 B. 螺旋和增量 C. 迭代和增量 D. 快速和迭代 (5)

A. 在软件开发的早期就可以对关键的，影响大的风险进行处理 B. 可以避免需求的变更

C. 能够非常快速地实现系统的所有需求 D. 能够更好地控制软件的质量

答案： C A

解析：

RUP的三个核心特点是：以架构为中心，用例驱动，增量与迭代。其中增量与迭代的好处是：

1、降低了在一个增量上的开支风险。如果开发人员重复某个迭代，那么损失只是这一个开发有误的迭代的花费。

2、降低了产品无法按照既定进度进入市场的风险。通过在开发早期就确定风险，可以尽早来解决而不至于在开发后期匆匆忙忙。

3、加快了整个开发工作的进度。因为开发人员清楚问题的焦点所在，他们的工作会更有效率。

4、由于用户的需求并不能在一开始就作出完全的界定，它们通常是在后续阶段中不断细化的。因此，迭代过程这种模式使适应需求的变化会更容易些。

第 6 题

所属知识点项目管理、标准化与法律法规错误率 51% 难度系数

(6)的目的是检查模块之间，以及模块和已集成的软件之间的接口关系，并验证已集成的软件是否符合设计要求。其测试的技术依据是(7)。 (6)

A. 单元测试 B. 集成测试 C. 系统测试 D. 回归测试

(7)

A. 软件详细设计说明书

B. 技术开发合同 C. 软件概要设计文档 D. 软件配置文档

答案： B C 解析：

单元测试也称为模块测试，测试的对象是可独立编译或汇编的程序模块、软件构件，其目的是检查每个模块能否正确地实现设计说明中的功能、性能、接口和其他设计约束等条件，发现模块内可能存在的各种差错。单元测试的技术依据是软件详细设计说明书。

集成测试的目的是检查模块之间，以及模块和已集成的软件之间的接口关系，并验证已集成的软件是否符合设计要求。集成测试的技术依据是软件概要设计文档。除应满足一般的测试准入条件外，进行集成测试前还应确认待测试的模块均已通过单元测试。

系统测试的对象是完整的、集成的计算机系统，系统测试的目的是在真实系统工作环境下，验证完整的软件配置项能否和系统正确连接，并满足系统/子系统设计文档和软件开发合同规定的要求。系统测试的技术依据是用户需求或开发合同，除应满足一般测试的准入条件外，在进行系统测试前，还应确认被测系统的所有配置项已通过测试，对需要固化运行的软件还应提供固件。

回归测试的目的是测试软件变更之后，变更部分的正确性和对变更需求的符合性，以及软件原有的、正确的功能、性能和其他规定的要求的不损害性。

第 8 题

所属知识点项目管理、标准化与法律法规错误率 64% 难度系数

甲、乙、丙、丁4人加工A、B 、C、D四种工件所需工时如下表所示。指派每人加工一种工件，四人加工四种工件其总工时最短的最优方案中，工件B应由(8)加工。

A. 甲 B. 乙 C. 丙 D. 丁

答案： D 解析：

先将矩阵进行化简，化简的方法是每行的元素减去这一行的最小值，然后每列的元素减去这一列的最小值，确保每行，每列都有0。得到：

然后找出一种方案，方案组成元素都是0，而这些元素不同行，也不同列。即为解决方案。如下：

第 9 题

所属知识点项目管理、标准化与法律法规错误率 47% 难度系数

小王需要从①地开车到⑦地，可供选择的路线如下图所示。图中，各条箭线表示路段及其行驶方向，箭线旁标注的数字表示该路段的拥堵率(描述堵车的情况，即堵车概率)。拥堵率=1-畅通率，拥堵率=0时表示完全畅通，拥堵率=1时表示无法行驶。根据该图，小王选择拥堵情况最少(畅通情况最好)的路线是(9)。

A. ①②③④⑤⑦ B. ①②③④⑥⑦ C. ①②③⑤⑦ D. ①②④⑥⑦

答案： C 第 10 题

所属知识点项目管理、标准化与法律法规错误率 19% 难度系数

软件设计师王某在其公司的某一综合信息管理系统软件开发项目中、承担了大部分程序设计工作。该系统交付用户，投入试运行后，王某辞职离开公司，并带走了该综合信息管理系统的源程序，拒不交还公司。王某认为综合信息管理系统源是他独立完成的，他是综合信息管理系统源程序的软件著作权人。王某的行为(10)。 A. 侵犯了公司的软件著作权 B. 未侵犯公司的软件著作权 C. 侵犯了公司的商业秘密权 D. 不涉及侵犯公司的软件著作权

答案： A 解析：

王某完成的软件由于是公司安排的任务，在公司完成的，所以会被界定为职务作品，这个作品的软件著作权归公司拥有。

第 11 题

所属知识点网络基础知识错误率 49% 难度系数

下面的网络中不属于分组交换网的是(11)。 A. ATM B. POTS C. X.25 D. IPX/SPX

答案： B 解析：

分组交换技术：是将用户传送的数据划分成一定的长度，每个部分叫做一个分组，通过传输分组的方式传输信息的一种技术。每个分组的前面有一个分组头，用以指明该分组发往何地址，然后由交换机根据每个分组的地址标志，将他们转发至目的地，这一过程称为分组交换。

ATM：是异步传输模式的缩写，是实现B-ISDN的业务的核心技术之一。ATM是以信元为基础的一种分组交换和复用技术。ATM集交换、复用、传输为一体，在复用上采用的是异步时分复用方式，通过信息的首部或标头来区分不同信道。 X.25：是一个以虚电路服务为基础对公用分组交换网接口的规格说明。它可以动态对用户传输的信息流配分带宽，能够有效地解决突发性、大信息流的传输问题，分组交换网络同时可以对传输的信息进行加密和有效的差错控制。各种错误检测和相互之间的确认应答浪费了一些带宽，增加了报文传输延迟，但提高了报文传输可靠性。

IPX/SPX：是Novell公司的通信协议集。与NetBEUI形成鲜明区别的是IPX/SPX比较庞大，在复杂环境下具有很强的适应性。这是因为IPX/SPX在设计一开始就考虑了网段的问题，因此它具有强大的路由功能，适合于大型网络使用。当用户端接入NetWare服务器时，IPX/SPX及其兼容协议是最好的选择。但在非Novell网络环境中，一般不使用IPX/SPX。

目前该协议在证券公司的网络系统中还在使用。而POTS属于电路交换。

第 12 题

所属知识点网络管理与广域网错误率 42% 难度系数

ADSL采用(12)技术把PSTN线路划分为话音、上行和下行三个独立的信道，同时提供话音和联网服务，ADSL2+技术可提供的最高下载速率达到(13)Mb/s。 (12)

A. 时分复用 B. 频分复用 C. 空分复用 D. 码分多址 (13)

A. 8

B. 16 C. 24 D. 54

答案： B C

解析：

ADSL技术提供的上行和下行带宽不对称，因此称为非对称数字用户线路。 ADSL技术采用频分复用技术把普通的电话线分成了电话、上行和下行三个相对独立的信道，从而避免了相互之间的干扰。用户可以边打电话边上网，不用担心上网速率和通话质量下降的情况。理论上，ADSL 可在5 km 的范围内，在一对铜缆双绞线上提供最高1 Mbps的的上行速率和最高8Mbps的下行速率(也就是我们通常说的带宽)，能同时提供话音和数据业务。

ADSL2+技术可以提供最高24Mbps的下行速率，和第一代ADSL 技术相比，ADSL2+打破了ADSL接入方式带宽限制的瓶颈，在速率、距离、稳定性、功率控制、维护管理等方面进行了改进，其应用范围更加广阔。

第 14 题

所属知识点 VPN和访问控制技术错误率 24% 难度系数

下面4组协议中，属于第二层隧道协议的是(14)，第二层隧道协议中必须要求TCP/IP支持的是(15)。 (14)

A. PPTP和L2TP B. PPTP和IPSec C. L2TP和GRE D. L2TP和IPSec

(15) A. IPSec

B. PPTP C. L2TP D. GRE

答案： A B

解析：

GRE与IPSEC是三层的隧道协议，GRE是一种通用的隧道封装协议，IPSEC支持对数据加密、验证等等。

PPTP(Point to Point Tunneling Protocol)，即点对点隧道协议。该协议是在PPP协议的基础上开发的一种新的增强型安全协议，支持多协议虚拟专用网(VPN)，可以通过密码验证协议(PAP)、可扩展认证协议(EAP)等方法增强安全性。点对点隧道协议(PPTP)是一种支持多协议虚拟专用网络的网络技术,它工作在第二层。

L2TP是一种工业标准的Internet隧道协议，功能大致和PPTP协议类似，PPTP要求网络为IP网络，L2TP要求面向数据包的点对点连接;PPTP使用单一隧道，L2TP使用多隧道;L2TP提供包头压缩、隧道验证，而PPTP不支持。L2TP 是一个数据链路层协议。

根据试题题意：比较一下PPTP和L2TP，PPTP和L2TP都属于第二层隧道协议，使用PPP协议对数据进行封装，然后添加附加包头用于数据在互联网络上的传输。尽管两个协议非常相似，但是仍存在以下几方面的不同：

PPTP要求互联网络为IP网络。L2TP只要求隧道媒介提供面向数据包的点对点的连接。L2TP可以在IP(使用UDP)，帧中继永久虚拟电路(PVCs)、X.25虚拟电路(VCs)或ATM网络上使用。

第 16 题

所属知识点网络层错误率 76% 难度系数

IP数据报的分段和重装配要用到报文头部的标识符、数据长度、段偏置值和(16)等四个字段，其中(17)字段的作用是为了识别属于同一个报文的各个分段，(18)的作用是指示每一分段在原报文中的位置。 (16) A. IHL B. M标志 C. D标志 D. 头校验和

(17)

A. IHL

B. M标志 C. D标志 D. 标识符

(18)

A. 段偏置值

B. M标志 C. D标志 D. 头校验和

答案： B B A 解析：

IP数据包的总长度过大，超过数据链路层的最大MTU时，数据包就会被分成片，而在的IPv4的网络中，数据传输时不可靠的，是尽力而为的，所以这些分片的数据单元到达对端的链路和时间都是不同的，对端根据IP首部中的标识符(Identification)、标志(Flag)、段偏置值字段重组数据包。

其中标志：占3位，但目前只有两位有意义。标志字段中的最低位记为MF。MF=1表示后面“还有分片”的数据报。MF=0表示这已是若干数据报片中的最后一个。标志字段中间的一位记为DF，意思是“不能分片”。只有当DF=0时，才允许分片。根据题意要求，因此(17)选B。

在发送数据报前，发送主机给每个数据报一个ID(标识符)值，放在16位的标识符字段中。此ID用于标识唯一数据报或数据流。因此，接收主机便用此ID判断接收的这些分片数据报是否属于同一个数据流，然后再进行重组。18 选A。偏移量字段用来表示分段的数据报在整个数据流中的位置，即相当于分片数据报的顺序号。发送主机对第一个数据报的偏移量置为0，而后续的分片数据报的偏移量则以网络的MTU大小赋值。偏移量对于接收方进行数据重组的时候，这是一个关键的字段对于分片的数据段(单位：字节)必须为8的整数倍，否则IP无法表达其偏移量。

第 19 题

所属知识点传输层与应用层错误率 37% 难度系数

TCP使用的流量控制协议是(19)，TCP段头中指示可接收字节数的字段是(20)。 (19)

A. 固定大小的华东窗口协议 B. 可变大小的滑动窗口协议 C. 后退N帧ARQ协议 D. 停等协议 (20)

A. 偏置值

B. 窗口 C. 检查和 D. 接收顺序号

答案： B

解析：

TCP：是一种面向连接的、可靠的、基于字节流的传输层通信协议，由IETF的RFC 793定义。

根据试题题意,所谓的流量控制就是让发送方的发送速率不要太快，让接收方来得及接受。利用可变大小的滑动窗口机制可以很方便的在TCP连接上实现对发送方的流量控制。所以19选(B)。

窗口，用来表示想收到的每个TCP数据段的大小.所以20选(B)。

第 21 题

所属知识点 PKI和加解密技术错误率 57% 难度系数

AAA服务器(AAA server)是一种处理用户访问请求的框架协议，它主要功能有3个，但是不包括(21)，通常用来实现AAA服务的协议是(22)。 (21) A. 身份认证 B. 访问授权 C. 数据加密 D. 计费

(22)

答案： C B 解析：

AAA是验证、授权和记账(Authentication、Authorization、Accounting )三个英文单词的简称。根据试题题意，21题选C。

同AAA服务器协作的网络连接服务器接口是“远程身份验证拨入用户服务 (RADIUS)"。根据试题题意选B。

第 23 题

所属知识点无线、IPv6和QoS 错误率 61% 难度系数

由无线终端组成的MANET网络，与固定局域网最主要的区别是(23)，在下图所示的由A、B、C三个结点组成的MANET中，圆圈表示每个结点的发送范围，结点A和结点C同时发送数据，如果结点B不能正常接收，这时结点C称为结点A的(24)。

(23)

A. 无线访问方式可以排除大部分网络入侵 B. 不需要运行路由协议就可以互相传送数据 C. 无线信道可以提供更大的宽带

D. 传统的路由协议不适合无线终端之间的通信 (24)

A. 隐蔽终端 B. 暴露终端 C. 干扰终端 D. 并发终端

答案： D A 解析：

MANET路由协议包括表驱动协议和按需驱动协议。表驱动协议有目的序号距离矢量算法DSDV等，按需驱动为源驱动路由协议AODV，动态源路由协议DSR等。借助于GPS信息的路由协议如GPS-DSR等。根据试题题意，MANET采用的这些协议都不是传统的路由协议，传统的路由协议不适合无线终端之间的通信，所以23选D。

隐蔽终端是指在接受者的通信范围内而在发送者的通信范围外的节点。当某节点发送数据时，在它的通信范围之外的节点感知不到有节点正发送数据，如果此节点也发起数据发送，则可能会造成冲突。根据试题题意，因为C在A的通信范围之外，结点A和结点C同时发送数据，如果结点B不能正常接收，这时结点C称为结点A隐藏终端，结点C称为结点A的隐藏终端。所以24选A。

第 25 题

所属知识点网络基础知识错误率 45% 难度系数

移动通信4G标准与3G标准主要的区别是(25)，当前4G标准有(26)。 (25)

A. 4G的数据速速率更高，而3G的覆盖范围更大 B. 4G是针对多媒体数据传输的，而3G只能传送话音信号 C. 4G是基于IP的分组交换网，而3G是针对语音通信优化设计的 D. 4G采用正交频分多路复用技术，而3G系统采用的是码分多址技术 (26)

A. UMB和WiMAX Ⅱ

B. LTE和WiMAX Ⅱ C. LTE和UMB D. TD-LTE和FDD-LTE

答案： DD 解析：

3G：是第三代移动通信技术，是指支持高速数据传输的蜂窝移动通讯技术。3G服务能够同时传送声音及数据信息，速率一般在几百kbps以上。3G是指将无线通信与国际互联网等多媒体通信结合的新一代移动通信系统，目前3G存在3种标准：CDMA2000、WCDMA、TD-SCDMA。

4G：第四代移动电话行动通信标准，指的是第四代移动通信技术，外语缩写：4G。该技术包括TD-LTE和FDD-LTE两种制式。根据试题题意26题选D。4G采用正交频分多路复用技术，而3G系统采用的码分多址技术，这是3G和4G技术的区别，25所以选D。

第 27 题

所属知识点无线、IPv6和QoS 错误率 73% 难度系数

在从IPv4向IPv6过渡期间，为了解决IPv6主机之间通过IPv4网络进行通信的问题，需要采用(27)，为了使得纯IPv6主机能够与纯IPv4主机通信，必须使用(28)。 (27)

A. 双协议栈技术 B. 隧道技术 C. 多协议栈技术 D. 协议翻译技术 (28)

A. 双协议栈技术

B. 隧道技术 C. 多协议栈技术 D. 协议翻译技术

答案： BD

解析：

双协议栈技术：是在设备和节点上同时启用IPV4与IPV6协议栈，同时启动两协议栈的设备与节点可以与IPV4设备及节点通信，也能与IPV6的设备与节点通信。

隧道技术：隧道技术是一种封装技术，它利用一种网络协议来封装另外一种网络协议，IPV6的隧道是将IPV6报文封装在IPV4的报文里，在隧道的入口处，用IPV4来封装IPV6，在隧道出口处，解封装后把IPV6报文转发到目的地。该技术要求设备两端的网络设备能够支持隧道与双栈技术，而对于其它的设备没有要求。但该技术不能实现IPV4主机与IPV6主机的直接通信。

协议翻译技术：通过修改协议报文头来转换网络地址，使IPV6主机与IP4主机能直接通信。

根据试题题意，为了解决IPv6主机之间通过IPv4网络进行通信的问题，采用隧道技术来解决(选B)，纯IPv6主机能够与纯IPv4主机通信采用协议翻译技术(选D)。

第 29 题

所属知识点网络层错误率 58% 难度系数

原站收到“在数据包组装期间生存时间为0”的ICMP报文，出现的原因是(29)。

A. IP数据报目的地址不可达 B. IP数据报目的网络不可达 C. ICMP报文校验差错 D. IP数据报分片丢失

答案： D 解析：

为了能够更加有效的转发IP数据报和提高交付成功的机会，在网际层使用了网际控制报文协议ICMP，ICMP协议作为IP数据报中的数据，封装在IP数据包中发送。

终点不可达：主机或路由器无法交付数据报的时候就向源点发送终点不可达报文。如果收到UDP数据报而且目的端口与某个正在使用的进程不相符，那么返回一个ICMP不可达报文。

源站抑制：当路由器或主机由于拥塞而丢弃数据报时，就向源站发送源站抑制报文，使源站知道应当将数据报的发送速率放慢。

时间超过：当路由器收到生存时间为零的数据报时，除丢弃该数据报外，还要向源站发送时间超过报文。当目的站在预先规定的时间内不能收到一个数据报的全部数据报片时，就将已收到的数据报片都丢弃，并向源站发送时间超过报文。参数问题：当路由器或目的主机收到的数据报的首部中的字段的值不正确时，就丢弃该数据报，并向源站发送参数问题报文。

改变路由(重定向)：路由器将改变路由报文发送给主机，让主机知道下次应将数据报发送给另外的路由器。

回送请求和回答：ICMP回送请求报文是由主机或路由器向一个特定的目的主机发出的询问。收到此报文的主机必须给源主机或路由器发送ICMP回送回答报文。主要是用来测试目的站是否可达以及了解其有关状态。

时间戳请求和回答：主要是请某个主机或路由器回答当前的日期和时间。

第 30 题

所属知识点网络层错误率 54% 难度系数

下列DHCP报文中，由客户端发送给DHCP的服务期的是(30)。 A. DhcpOffer B. DhcpDecline C. DhcpAck D. DhcpNack 答案： B 解析：

DHCP租约过程就是DHCP客户机动态获取IP地址的过程。 DHCP租约过程分为4步：

①客户机请求IP(客户机发DHCPDISCOVER广播包); ②服务器响应(服务器发DHCPOFFER广播包); ③客户机选择IP(客户机发DHCPREQUEST广播包); ④服务器确定租约(服务器发DHCPACK/DHCPNAK广播包)。

根据试题题意，DHCP客户端在收到DHCP服务器回应的ACK报文后，通过地址冲突检测发现服务器分配的地址冲突或者由于其他原因导致不能使用，则发送Decline报文，通知服务器所分配的IP地址不可用。所以30选B。

第 31 题

所属知识点网络基础知识错误率 43% 难度系数

在windows用户管理中，使用组策略A-G-DL-P，其中DL表示(31)。 A. 用户账号 B. 资源访问权限 C. 域本地组 D. 通用组

答案： C 解析：

A表示用户账号，G表示全局组，DL表示域本地组，P表示资源权限。A-G-DL-P策略是将用户账号添加到全局组中，将全局组添加到域本地组中，然后为域本地组分配资源权限。根据试题题意，DL表示域本地组。所以31选C。

第 32 题

所属知识点计算机网络规划与设计知识错误率 53% 难度系数

在光纤测试过程中，存在强反射时，使得光电二极管饱和，光电二极管需要一定的时间由饱和状态中恢复，在这一时间内，它将不会精确地检测后散射信号，在这一过程中没有被确定的光纤长度称为盲区。盲区一般表现为前端盲区，为了解决这一问题，可以(32)，以便将此效应减到最小。 A. 采用光功率计进行测试

B. 在测试光缆后加一条长的测试光纤 C. 在测试光缆前加一条测试光纤 D. 采用OTDR进行测试

答案： C 解析：

在光纤测试过程中，在存在强反射时，使得光电二极管饱和，光电二极管需要一定的时间由饱和状态中恢复，在这一时间内，它将不会精确地检测后散射信号，在这一过程中没有被确定的光纤长度称为盲区。盲区一般表现为前端盲区，为了解决这一问题，可以在测试光缆前加一条长的测试光纤将此效应减到最小。

第 33 题

所属知识点 PKI和加解密技术错误率 20% 难度系数

S/MIME发送报文的过程中对消息M的处理包括生成数字指纹、生成数字签名、加密数字签名和加密报文4个步骤，其中生成数字指纹采用的算法是(33)，加密数字签名采用的算法是(34)。 (33) A. MD5 B. 3DES C. RSA D. RC2 (34)

A. MD5

B. RSA C. 3DES D. SHA-1

答案： AB 解析：

目前的数字签名是建立在公共密钥体制基础上，它是公用密钥加密技术的另一类应用。它的主要方式是：报文的发送方从报文文本中生成一个128位的散列值(又称报文摘要，数字指纹)。

发送方用自己的私人密钥对这个散列值进行加密来形成发送方的数字签名。然后，这个数字签名将作为报文的附件和报文一起发送给报文的接收方。报文的接收方首先从接收到的原始报文中计算出128位的散列值，接着再用发送方的公用密钥来对报文附加的数字签名进行解密。如果两个散列值相同、那么接收方就能确认该数字签名是发送方的。通过数字签名能够实现对原始报文的鉴别。

第 35 题

所属知识点传输层与应用层错误率 77% 难度系数

下列DNS查询过程中，采用迭代查询的是(35)，采用递归查询的是(36)。 (35)

A. 客户端向本地DNS服务器发出查询请求 B. 客户端在本地缓存中找到目标主机的地址 C. 本地域名服务器缓存中找到目标主机的地址 D. 由根域名服务器找到授权域名服务器的地址

(36)

A. 转发查询非授权域名服务费

B. 客户端向本地域名服务器发出查询请求 C. 由上级域名服务器给出下级服务器的地址 D. 由根域名服务器找到授权域名服务器的地址

答案： DB 解析：

递归查询：由主机发送请求到本地域名服务器，如果本地域名服务器不能直接回应解析结果，它将以DNS客户端的方式继续请求其它DNS服务器，直到查到该主机的域名解析结果。

从客户端到本地DNS服务器是属于递归查询，而DNS服务器之间就是的交互查询就是迭代查询。根据实体题意35选(D)，36选(B)。

第 37 题

所属知识点网络层错误率 52% 难度系数

DHCP服务器分配的默认网关地址是220.115.5.33/28 ，(37)是该子网主机地址。 A. 220.115.5.32 B. 220.115.5.40 C. 220.115.5.47 D. 220.115.5.55

答案： B 解析：

根据试题题意，220.115.5.33化成二进制为：11011100.01110011.00000101.0010 0001 将28位的子网掩码化成二进制为：11111111.11111111.11111111.1111 0000 进行与与运算后可得子网号为：11011100.01110011.00000101.0010 0000 将子网号化成十进制为：220.115.5.32，该网段主机可用IP地址范围是220.115.5.33-220.115.5.46 根据试题题意，220.115.5.33/28是属于220.115.5.32/28网段。该网段主机可用IP地址范围是220.115.5.33-220.115.5.46。所以37选(B)。第 38 题

所属知识点网络层错误率 32% 难度系数

主机地址122.34.2.160属于子网(38)。 A. 122.34.2.64/26 B. 122.34.2.96/26 C. 122.34.2.128/26 D. 122.34.2.192/26

答案： C 解析：

122.34.2.128/26网络的可用主机表示范围是122.34.2.10 000001—122.34.2.10 111110。128.34.2.129—128.34.2.190。

第 39 题

所属知识点网络层错误率 36% 难度系数

某公司的网络地址为192.168.1.0，要划分成5个子网，每个子网最多20台主机，则适用的子网掩码是(39)。 A. 255.255.255.192 B. 255.255.255.240 C. 255.255.255.224 D. 255.255.255.248

答案： C 解析：

选项A有62个可以用的主机地址，选项B有14个可用的主机地址，选项C有32可用的主机地址，选项D只有6个可用的主机地址。根据试题题意分析，39选(C)。

第 40 题

所属知识点无线、IPv6和QoS 错误率 46% 难度系数

以下关于IPV6的论述中，正确的是(40)。 A. IPv6数据包的首部比IPv4复杂 B. IPv6的地址分为单播、广播和任意播3种

C. IPv6地址长度为128比特 D. 每个主机拥有唯一的IPv6地址

答案： C 解析：

在RFC1884中指出了三种类型的IPv6地址，他们分别占用不同的地址空间：单播：这种类型的地址是单个接口的地址。发送到一个单点传送地址的信息包只会送到地址为这个地址的接口。

(1)可聚合的全球单播地址：这种地址在全球范围有效，相当于IPv4的公有地址。前缀为001。

(2)本地单播，这种地址的有效范围仅限于本地，又分为：

链路本地地址：前缀为1111 1110 10，用于同一链路的相邻节点间的通信。相当于IPv4的自动专用IP地址。

站点本地地址：前缀为1111 1110 11，相当于IPv4地址中的私有地址。任播：这种类型的地址是一组接口的地址，发送到一个任意点传送地址的信息包只会发送到这组地址中的一个(根据路由距离的远近来选择)，子网前缀必须规定，其余位置为0。

多播：这种类型的地址是一组接口的地址，发送到一个多点传送地址的信息包会发送到属于这个组的全部接口。前缀是1111 1111。

和IPv4不同的是，IPv6中出现了任播地址，并以多点传送地址代替了IPv4中的广播地址。

第 41 题

所属知识点 PKI和加解密技术错误率 45% 难度系数

按照RSA算法，取两个最大素数p和q，n=p*q，令φ(n)=(p-1)*(q-1)，取与φ(n)互质的数e，d=e-1 mod φ(n)，如果用M表示消息，用C表示密文，下面(41)是加密过程，(42)是解密过程。 (41) A. C=Me mod n B. C=Mn mod d C. C=Md mod φ(n) D. C=Mn mod φ(n) (42)

A. M=Cn mod e

B. M=Cd mod n C. M=Cd mod φ(n) D. M=Cn mod φ(n)

答案： AB 解析：

第 43 题

所属知识点 PKI和加解密技术错误率 42% 难度系数

A和B分别从CA1和CA2两个认证中心获取了自己的证书IA和IB，要使A能够对B进行认证，还需要(43)。 A. A和B交换各自公钥 B. A和B交换各自私钥 C. CA1和CA2交换各自公钥 D. CA1和CA2交换各自私钥

答案： C 解析：

数字证书颁发过程一般为：用户首先产生自己的密钥对，并将公共密钥及部分个人身份信息传送给认证中心。认证中心在核实身份后，将执行一些必要的步骤，以确信请求确实由用户发送而来，然后，认证中心将发给用户一个数字证书，该证书内包含用户的个人信息和他的公钥信息，同时还附有认证中心的签名信息。用户就可以使用自己的数字证书进行相关的各种活动。A和B分别从CA1和CA2两个认证中心获取了自己的证书IA和IB，要使A能够对B进行认证，还需要两个CA交换各自公钥。

第 44 题

所属知识点 VPN和访问控制技术错误率 36% 难度系数

如图所示，①、②和③是三种数据包的封装方式，以下关于IPSec认证方式中，所使用的封装与其对应模式的匹配，(44)是正确的。

A. 传输模式采用封装方式① B. 隧道模式采用封装方式② C. 隧道模式采用封装方式③ D. 传输模式采用封装方式③

答案： C 解析：

IPSec有两种操作模式：传输模式和隧道模式。

在传输模式下，IPsec包头增加在原IP包头和数据之间，在整个传输层报文段的后面和签名添加一些控制字段，构成IPsec数据报。这种方式是把整个传输层报文段都保护起来。因此只能保证原IP包数据部分的安全性;

隧道模式是对整个IP数据包提供安全传输机制。是在一个IP数据报的后面和前面都添加一些控制字段，构成IPsec数据报。很显然，IPsec的隧道模式经常用来实现虚拟专用网VPN。

第 45 题

所属知识点 PKI和加解密技术错误率 43% 难度系数

下列协议中，不用于数据加密的是(45)。 A. IDEA B. Differ-hellman C. AES D. RC4

答案： B 解析：

IDEA(International Data Encryption Algorithm)国际数据加密算法，使用 128 位密钥提供非常强的安全性;

AES(Advanced Encryption Standard)：高级加密标准，对称算法，是下一代的加密算法标准，速度快，安全级别高;

RC2和RC4：对称算法，用变长密钥对大量数据进行加密，比 DES 快; Diffie-Hellman：属于密钥交换协议/算法。根据试题题意，Differ-hellman不用于数据加密，所以45选(B)。

第 46 题

所属知识点 PKI和加解密技术错误率 29% 难度系数

下列关于数字证书的说法中，正确的是(46)。

A. 数字证书是在网上进行信息交换和商务活动的身份证明 B. 数字证书使用公钥体制，用户使用公钥进行加密和签名 C. 在用户端，只需维护当前有效的证书列表 D. 数字证明用于身份证明，不可公开

答案： A 解析：

为什么有数字证书，这里我们可以假设A和B通信，C偷偷使用A的电脑，用自己的公钥换走了A的公钥，所以C可以冒充A和B通信。

B自己无法确定公钥是否真的属于A。她想到了一个办法，要求A去找证书中心(certificate authority，简称CA)，为公钥做认证。证书中心用自己的私钥，对A的公钥和一些相关信息一起加密，生成数字证书。

数字证书颁发过程一般为：用户首先产生自己的密钥对，并将公共密钥及部分个人身份信息传送给认证中心。认证中心在核实身份后，将执行一些必要的步骤，以确信请求确实由用户发送而来，然后，认证中心将发给用户一个数字证书，该证书内包含用户的个人信息和他的公钥信息，同时还附有认证中心的签名信息。用户就可以使用自己的数字证书进行相关的各种活动。数字证书由独立的证书发行机构发布。数字证书各不相同，每种证书可提供不同级别的可信度。可以从证书发行机构获得您自己的数字证书。

数字证书就是互联网通讯中标志通讯各方身份信息的一系列数据，提供了一种在Internet上验证您身份的方式，其作用类似于司机的驾驶执照或日常生活中的身份证。它是由一个由权威机构-CA机构，又称为证书授权(Certificate Authority)中心发行的，人们可以在网上用它来识别对方的身份。最简单的证书包含一个公开密钥、名称以及证书授权中心的数字签名。可以更加方便灵活地运用在电子商务和电子政务中。

用户不需要维护当前有效的证书列表，根据题意因此选A。

第 47 题

所属知识点数据链路层错误率 71% 难度系数

PPP协议不包含(47)。 A. 封装协议

B. 点对点隧道协议(PPTP) C. 链路控制协议(LCP) D. 网络控制协议(NCP)

答案： B 解析：

PPP协议是一种点到点的链路层协议，它提供了点到点的一种封装、传递数据的一种方法。PPP协议一般包括三个协商阶段：LCP(链路控制协议)阶段，认证阶段，NCP(网络层控制协议)阶段。拨号后，用户计算机和接入服务器在LCP阶段协商底层链路参数，然后在认证阶段进行用户计算机将用户名和密码发送给接入服务器认证，接入服务器可以进行本地认证，可以通过RADIUS协议将用户名和密码发送给AAA服务器进行认证。认证通过后，在NCP(IPCP)协商阶段，接入服务器给用户计算机分配网络层参数如IP地址等。根据试题题意，所以47选(B)。

第 48 题

所属知识点网络资源设备错误率 65% 难度系数

以下关于数据备份策略的说法中，错误的是(48)。 A. 完全备份是备份系统中所有的数据

B. 增量备份是只备份上一次完全备份后有变化的数据 C. 差分备份是指备份上一次完全备份后有变化的数据

D. 完全、增量和差分三种备份方式通常结合使用，以发挥出最佳的效果

答案： B 解析：

一般的数据备份操作有三种。一是完全备份，即将所有文件写入备份介质;二是增量备份，只备份那些上次备份之后更改过的文件，是最有效的备份方法;三是差分备份，备份上次完全备份之后更改过的所有文件，其优点是只需两组磁带就可恢复最后一次完全备份的磁带和最后一次差分备份的磁带。

完全备份所需时间最长，但恢复时间最短，操作最方便，当系统中数据量不大时，采用全备份最可靠;但是随着数据量的不断增大，我们将无法每天做完全备份，而只能在周末进行完全备份，其他时间我们采用所用时间更少的增量备份或采用介于两者之间的差分备份。各种备份的数据量不同：完全备份>差分备份>增量备份。在备份时要根据它们的特点灵活使用。

第 49 题

所属知识点网络资源设备错误率 43% 难度系数

假如有3块容量是80G的硬盘做RAID 5阵列，则这个RAID 5的容量是(49)。果有2块80G的盘和1块40G的盘，此时RAID 5的容量是(50)。 (49) A. 240G B. 160G C. 80G D. 40G (50)

A. 40G

B. 80G C. 160G D. 200G

答案： BA 解析：

RAID5磁盘容量=单个硬盘容量*(N-1)，N>=3 RAID5硬盘的有效磁盘空间是以最小磁盘空间计算，40*(3-1)=80G。

而如第 51 题

所属知识点计算机网络规划与设计知识错误率 82% 难度系数

以下关于网络分层模型的叙述中，正确的是(51)。 A. 核心层为了保障安全性，应该对分组进行尽可能多的处理 B. 汇聚层实现数据分组从一个区域到另一个区域的高速转发 C. 过多的层次会增加网络延迟，并且不便于故障排查 D. 接入层应提供多条路径来缓解通信瓶颈

答案： D 解析：

核心层负责高速数据转发，过多的分组处理会导致转发延迟;B、说高速数据转发应当是核心层的功能，汇聚层可以对数据来做包过虑及根据数据包来选路。C、分层多便于故障排查。D、不管是接入、汇聚、核心又多路径都可以缓解通信瓶颈。因此，选D。

第 52 题

所属知识点计算机网络规划与设计知识错误率 42% 难度系数

以下关于网络规划设计过程叙述中，属于需求分析阶段任务是(52)。 A. 依据逻辑网络设计的要求，确定设备的具体物理分布和运行环境 B. 制定对设备厂商、服务提供商的选择策略

C. 根据需求范文和通信规范，实施资源分配和安全规划 D. 确定网络设计或改造的任务，明确新网络的建设目标

答案： D 解析：

五阶段周期是较为常见的迭代周期划分方式，将一次迭代划分为5个阶段。 (1)需求规范：网络需求分析是网络开发过程的起始部分，这一阶段应明确客户所需的网络服务和网络性能。

(2)通信规范：其中必要的工作是分析网络中信息流量的分布问题。

(3)逻辑网络设计：逻辑网络设计的任务是根据需求规范和通信规范，实施资源分配和安全规划。

(4)物理网络设计：物理网络设计是将逻辑网络设计的内容应用到物理空间。 (5)实施阶段。

第 53 题

所属知识点计算机网络规划与设计知识错误率 54% 难度系数

某高校欲构建财务系统，使得用户可通过校园网访问该系统。根据需求，公司给出如下2套方案。方案一：

1)出口设备采用一台配置防火墙板卡的核心交换机，并且使用防火墙策略将需要对校园网做应用的服务器进行地址映射;

2)采用4台高性能服务器实现整体架构，其中3台作为财务应用服务器、1台作为数据备份管理服务器;

3)通过备份管理软件的备份策略将3台财务应用服务器的数据进行定期备份。方案二：

1)出口设备采用1台配置防火墙板卡的核心交换机，并且使用防火墙策略将需要对校园网做应用的服务器进行地址映射;

2)采用2台高性能服务器实现整体架构，服务器采用虚拟化技术，建多个虚拟机满足财务系统业务需求。当一台服务器出现物理故障时将业务迁移到另外一台物理服务器上。

与方案一相比，方案二的优点是(53)。方案二还有一些缺点，下列不属于其缺点的是(54)。 (53)

A. 网络的安全性得到保障 B. 数据的安全性得到保障 C. 业务的连续性得到保障 D. 业务的可用性得到保障

A. 缺少企业级磁盘阵列，不能将数据进行统一的存储与管理 B. 缺少网闸，不能实现财务系统与Internet的物理隔离 C. 缺少安全审计，不便于相关行为的记录、存储与分析 D. 缺少内部财务用户接口，不便于快速管理与维护

答案： CA 解析：

虚拟化技术可以实现业务的动态迁移，从而保障业务的连续性。根据试题题意，因此选C。

虚拟化技术实现以对设备的统一的调度和管理，因此，A不是方案二的缺点。第 55 题

所属知识点计算机网络规划与设计知识错误率 23% 难度系数

某大学拟建设无线校园网，委托甲公司承建，甲公司的张工带队去进行需求调研，获得的主要信息有：

校园面积约4km2，要求在室外绝大部分区域及主要建筑物内实现覆盖，允许同时上网用户数量为5000以上，非本校师生不允许自由接入，主要业务类型为上网浏览、电子邮件、FTP、QQ等，后端与现有校园网相连。

张工据此撰写了需求分析报告，提交了逻辑网络设计方案，其核心内容包括： ①网络拓扑设计 ②无线网络设计 ③安全接入方案设计 ④地址分配方案设计

⑤应用功能配置方案设计

以下三个方案中符合学校要求，合理可行的是：

无线网络选型的方案采用(55);室外供电的方案是(56);无线网络安全接入的方案是(57)。 (55)

A. 基于WLAN的技术建设无线校园网 B. 基于固定WiMAX的技术建设无线校园网 C. 直接利用电信运营商的3G系统

D. 暂缓执行，等待移动WiMAX成熟并商用 (56)

A. 采用太阳能供电

B. 地下埋设专用供电电缆 C. 高空架设专用供电电缆 D. 以PoE方式供电

(57)

A. 通过MAC地址认证 B. 通过IP地址认证 C. 通过用户名与密码认证 D. 通过用户的物理位置认证

答案： ADC

解析：

WiMAX是一种城域网技术，显然不适合校园。直接使用电信运营商的3G系统，达不到学校的要求。55选A。

采用太阳能供电成本高，地下埋设专用供电电缆和高空架设专用供电电缆增加了施工难度和费用，根据试题题意，56选D。

根据试题题意，选项A，通过MAC地址认证，一方面MAC地址收集难度大，另一面也不能保证安全性。选项B，通过IP地址认证，使用起来繁琐，也不能保证唯一性和安全性。选项D，不能确定用户的身份。通过用户名和密码是最合适的，所以57选C。

第 58 题

所属知识点无线、IPv6和QoS 错误率 29% 难度系数

互联网上的各种应用对网络QoS指标的要求不一，下列应用中对实时性要求最高的是(58)。 A. 浏览页面 B. 视频会议 C. 邮件接收 D. 文件传输

答案： B 解析：

根据试题题意，对实时性要求最高的是视频会议，如果视频会议不实时的话，会引起图像的失真，所以58选B。

第 59 题

所属知识点计算机网络规划与设计知识错误率 41% 难度系数

下列关于网络测试的说法中，正确的是(59)。 A. 接入-汇聚链路测试的抽样比例应不低于10%

B. 当汇聚-核心链路数量少于10条时，无需测试网络传输速率 C. 丢包率是指网络空载情况下，无法转发数据包的比例 D. 连通性测试要求达到5个9标准，即99.999%

答案： A 解析：

根据试题题意，B选项，汇聚-核心的链路少于10，应当全部测试。 C选项，丢包率是指测试中所丢失数据包数量占所发送数据组的比率。

D选项，连通性测试要求达到100%。所以59选A。

第 60 题

所属知识点计算机网络规划与设计知识错误率 52% 难度系数

网络测试技术有主动测试和被动测试两种方式，(60)是主动测试。 A. 使用Sniffer软件抓包并分析 B. 向网络中发送大容量ping报文 C. 读取SNMP的MIB信息并分析 D. 查看当前网络流量状况并分析

答案： B 解析：

网络性能主要有主动测试，被动式测试以及主动被动相结合测试三种方法 1.主动测量是在选定的测量点上利用测量工具有目的地主动产生测量流量注入网络，并根据测量数据流的传送情况来分析网络的性能。

2.被动测量是指在链路或设备(如路由器，交换机等)上对网络进行监测，而不需要产生流量的测量方法。 3.主动、被动相结合测试

主动测量与被动测量各有其有缺点，而且对于不同的参数来说，主动测量和被动测量也都有其各自的用途。对端到端的时延，丢包，时延变化等参数比较适于进行主动测量;而对于路径吞吐量等流量参数来说，被动测量则更适用。因此，对网络性能进行全面的测量需要主动测量与被动测量相结合，并对两种测量结果进行对比和分析，以获得更为全面科学的结论。

第 61 题

所属知识点计算机网络规划与设计知识错误率 50% 难度系数

以下关于网络故障排除的说法中，错误的是(61)。

A. ping命令支持IP、AppleTalk、Novell等多种协议中测试网络的连通性

B. 可随时使用debug命令在网络设备中进行故障定位 C. tracert命令用于追踪数据包传输路径，并定位故障 D. show命令用于显示当前设备或协议的工作状况

答案： B 解析：

不可以随时使用debug命令，debug会消耗设备的内存，有可能导致网络不稳定。

第 62 题

所属知识点计算机网络规划与设计知识错误率 59% 难度系数

如图所示，交换机S1和S2均为默认配置，使用两条双绞线连接，(62)接口的状态是阻塞状态。

A. S1的F0/1 B. S2的F0/1 C. S1的F0/2 D. S2的F0/2

答案： D 解析：

两条双绞线分别相连到两台交换机，会引起环路，通过生成树来消除环路，生成树根桥的选举是根据优先级与MAC地址来比较，数值越小，优先级反而越高，因此S1在根桥选举过程中会被选举为根桥。S2确定哪一个端口是根端口，在桥ID与到根桥路径以及发送桥ID一样的情况下，比较对端的端口ID，端口ID由优先级与端口号组成，数值越小，优先级越高，因此，F0/1是根端口，所以阻塞S2的F0/2。

第 63 题

所属知识点计算机网络规划与设计知识错误率 67% 难度系数

以下关于网络布线子系统的说法中，错误的是(63)。 A. 工作区子系统指终端到信息插座的区域

B. 水平子系统是楼层接线间配线架到信息插座，线缆最长可达100m C. 干线子系统用于连接楼层之间的设备间，一般使用大对数铜缆或光纤布线 D. 建筑群子系统连接建筑物，布线可采取地下管道铺设，直理或架空明线

答案： B 解析：

根据试题题意分析，水平子系统是楼层接线间配线架到信息插座，线缆最长可达90米，所以63选B。

第 64 题

所属知识点计算机网络规划与设计知识错误率 44% 难度系数

某学生宿舍采用ADSL接入Internet，为扩展网络接口，用双绞线将两台家用路由器连接在一起，出现无法访问Internet的情况，导致该为题最可能的原因是(64)。 A. 双绞线质量太差

B. 两台路由器上的IP地址冲突 C. 有强烈的无线信号干扰 D. 双绞线类型错误

答案： B 解析：

根据试题题意分析，如果是双绞线质量太差和导致的话，那么路由器就没有连通，那么其中连接外网的路由器是可以访问Internet的，如果是有强烈的无线干扰的话，不会出现访问internet的情况，只是网络会不稳定。如果两台路由器IP地址冲突，导致路由器无法准确转发数据，会出现无法访问Internet 的情况，所以64选(B)。

第 65 题

所属知识点 VPN和访问控制技术错误率 50% 难度系数

IP SAN 区别于FC SAN以及IB SAN的主要技术是采用(65)实现异地间的数据交换。 A. I/O B. iSCSI C. InfiniBand D. Fibre Channel

答案： B 解析：

如果SAN是基于TCP/IP的网络，实现IP-SAN网络。这种方式是将服务器和存储设备通过iSCSI技术连接起来，就是把SCSI命令包在TCP/IP包中传输，即为SCSI over TCP/IP。

网络规划范文第5篇

引言

1 IP地址的概述

2 VLAN简介

3 校园网的IP地址分配与VLAN的规划

4 IP地址分配的实例

5 VLAN的配置实例

6 结论：

经过在毕业实习中的学习和实践，使我对理论知识有了更系统更全面的掌握，对计算机网络知识有了更进一步的认识，特别是在实际网络设备的操作方面有很大的提高。对于网络建设中IP地址的分配和VLAN规划有着进一步的认识，让我了解到理论联系实际的重要性。

通过对校园网的IP地址的分配和VLAN规划，使我深刻的认识到。在计算机网络建设中，一定要依据地址分配和VLAN划分原理来进行网络规划，还需要认真研究实际情况，考虑网络设备性能、网络规模、网络运行、管理、安全等诸方面因素，形成一套合理、适当的地址分配和VLAN 规划方案，这将会大大提高网络的整体性能，给网络管理带来许多方便。

参考文献

校园网IP地址规划方案

1)校园网IP地址分配总则

IP地址规划根据所分配的公网IP地址和内部私网IP地址分配，地址可分为三大块，一块是Cernet分配多个C类公网IP地址，作为和国际互联网互连的地址，域名xxx.edu.cn就解析在这片地址上，主要供网络中心和图书馆电脑部、部分实验室专用;校园网的普通用户,使用内部地址192.168.xxx.xxx，，不能和国际互联网直接发生联系，不能避开代理和计费系统;学校同时还可以申请一块ChinaNet的公网IP地址，作为接入电信公网和部分关键的服务器出口备份,关键服务器拥有两个公网IP，分别跨接在Cernet和ChinaNet上。

2)校园网内部私网IP地址的分配

内部地址的分配原则是按建筑物进行的，视用户的数量，1/

4、1/

2、整个C的划分。对于相对固定不变的教学区采用静态分配IP地址，为防止地址盗用，采用IP地址与MAC地址绑定，对于流动性大、用户人数多、用户增长快的学生区采用动态分配IP地址，采用By Port的Vlan，小范围地限制地址盗用问题。

对上网用户的管理，是基于用户名、密码的代理认证WEB认证过程进行，校园网内的网络资源不需认证就可访问，但访问校外的资源就必须经过认证, 用户开机时，从DHCP服务器获得校园IP地址，并可以直接访问校园网和教育网

3)中心交换机支持静态或动态的IP地址分配，并支持动态 IP 地址分配方式下DHCP-Relay功能，DHCP SERVER可安放在园区内部。

4)对于固定IP地址用户，需要针对标识符(MAC地址)设定保留IP地址。

5)如果使用华为公司的宽带接入设备MA5200E进行认证计费，可以使用MA5200E内置的DHCP Server或者网络集中DHCP Server实现地址的分配。VLAN方式下每个VLAN可以只需要一个IP地址，采用ARP Proxy方式，大大节约了地址空间。

1、客户端发送DHCP discover广播消息，然后等待相应，如果没有及时相应，客户端会重新发送，时间延长，总共会发四次，合计30sec

2、网络中的所有能够接收到discover消息的DHCP服务器，都会根据自己管理的IP地址池，提供给客户端一个可用的IP地址，叫作 dhcp offer

3、客户端在接收到第一个DHCP Offer以后，会广播DHCP request消息，用来响应DHCP服务器(就是接受了Offer的 DHCP server)。由于这个广播中包括DHCP server的信息，所以其他的提供了offer的DHCP服务器就会取消自己发出的 offer，不再理会客户端

4、request中指明的DHCP服务器，在接收到request消息以后，回向客户端广播dhcp ack确认消息。以便确认IP地址租期和其余选项。

网络规划范文第6篇

随着社会经济的快速发展和计算机网络技术的不断进步，虽然网络在当前高校思想政治教育教学过程中发挥着非常巨大的作用，但实践中依然存在着一些问题和负面的影响，总结之，主要表现在以下几个方面:

(一)网络很容易对大学生的传统道德规范形成强烈的冲击。从本质上来讲，网络实际上就是一个虚拟的社会，当前国内对网络的监管制度还有待进一步完善，而且缺乏实效性的监督管理机制，间接的为一些不道德的行为提供了一种庇护。这种虚拟性大大增加了网络的新奇性与刺激性，也深深吸引着好奇心强的同学们。在网络中人们可以隐瞒自己的真实姓名、年龄、性别以及身份等。因此，也就造成很多的大学生对自己在网络上发表的言论及行为不加以约束，长期形成一种不服责任感的态度。在这样的背景条件下，各种不道德的行为屡见不鲜，更为严重的是当前的网络犯罪现象已经露出了苗头。就国内外关于该问题的统计数据显示，超过百分之八十以上的“黑客”是青少年，其中有相当一部分是在校大学生。

(二)网络很容易使大学生对中华民族的自尊心和自信心产生动摇。网络的世界是一个自由意识的乐园，网络信息量又相当的庞大。人们可以隐藏自己的真实身份在网络上进行信息的交流和传播，而我们又无法对它们进行严格的筛选和控制。由于网络技术起源于美国等西方国家，他们在网络领域中起主导地位。如今随着经济全球化的不断发展，东西方文化的相互渗透，不同意识形态的相互碰撞，大学生可以不受任何约束地接触任何一种文化，任何一种政治观点。然而大学生的世界观、人生观和价值观在大学时期正处于一个逐渐形成并趋于成熟的阶段，他们易受外界环境的干扰，面对一些西方霸权主义国家刻意传播的反社会主义信息时，如果不能正确的运用马克思主义的科学理论来进行判断分析，容易造成其思想混乱、对本土文化的抛弃与排斥，动摇大学生民族自尊心与自信心。

(三)网络容易引发大学生的心理障碍。网络对大学生的交往方式和人际关系产生深刻影响，有导致其行为主体冷漠的倾向。由于网络使用的是人机对话方式，对方的言行举止都是主体自身虚拟出来的，而这种人们又很容易被这种陌生的、神秘的感觉所吸引，这样人与人之间交流的机会大为减少，容易导致友情淡漠、疏远。这种状况如果长期存在，必然会影响和改变大学生的生活方式，容易使学生远离人群，不愿面对现实世界，使人产生孤独、压抑、焦虑，甚至消沉、自暴自弃、精神不振等情绪。

二、高校借助网络开展思想政治工作应该着重把握的几个关键点

基于以上对当前实践中网络在高校思想政治教育工作中的优势与不足分析，笔者认为在实践中应当重点把握如下几个关键点: (一)积极构建系统完善的高校思想政治教育校园网站系统完善的高校思想政治教育校园网站可以为网络思想政治教育工作的顺利开展提供有力的保障和良好的沟通平台，因此加强对思想政治教育校园网站的构建是很有必要也是很重要的，具体建议高校可着重做好以下几方面工作，首先高校上下要有强烈的危机意识，要树立阵地意识和整体观念，要清醒认识到思想教育作为一块阵地，如果我们不积极、不抢先进行占领，那么别人很快就会占据这个地盘，基于此，高校一定要充分发挥自身主观能动性，想方设法开辟和占领网络这块思想教育的新阵地，并通过此向学生传递党的最新方针政策、向学生传递新世纪的最强音，为此高校需要积极调动各方人力、物力来抓好校园网的建设和管理，可组建一支由校领导、思想政治工作者、网络技术人员、两课老师为首的思想政治校园网工作团队;其次思想政治教育网站栏目和内容设臵要与时俱进，要跟得上时代发展，同时契合学生年龄和心理特点，能够以自身的思想性、趣味性等博取学生的关注和眼球，比如将教育类信息穿插放在学生关注度较高、比较喜爱的板块之中，以此引起学生的注意、思考、分析和讨论，或者高校还可开设辅导员博客、世纪中国、大学生论坛等板块，让思想政治教育网站内容更加丰富、更具可读性和知识性，让学生在阅读过程中真正有所触动、有所启发、有所收获;最后为了保证思想政治教育网站的纯净及所发布信息的正面、健康性等，高校还需要组建一支专门的网络“清洁工”队伍，网络“清洁工”所承担的职责主要有两方面，一方面要及时清除流入思想政治教育网站里的“垃圾信息”，确保网站这片阵地的纯净;另一方面“清洁工”队伍要积极在网站内部宣传网络法规、网络道德等知识，以此引导大学生自觉遵守网站各项规章，进而获得全面、健康成长。

(二)借助网络化的环境来增强思想政治教育的创新性网络本身具有集图文声像于一体的优势，高校通过思想政治网络体系可以有效拓展思政工作思路和空间，可以切实增强思政教育工作的创新性和创造性，高校可先借助网络多样化的载体把有限的资源无限放大，可在思政教育网站上开辟BBS、校园QQ在线等，可在网站首页常年滚动播放办学育人思想、名言警句等，又或者在网站定期进行“改革开放成就展”、“感动中国十大人物”、“全国道德模范”等的图片展，诸如此类，不胜枚举，力争使学生在观看这些资源的过程中思想境界得到提升。

(三)根据网络信息传播速度快的特点，增强思想政治教育的时效性网络在传播信息方面的高速度是众所周知的，网络的这种高速传播特点一方面可使大学生可以能够在短时间内接触大量最新信息，另一方面却也给他们造成了诸多不良影响，使之面临各种诱惑，一旦自制力欠缺，就很容易受到负面影响，鉴于网络传播信息的显著双重性，高校要切实加强引导，努力增强思政教育工作的时效性，具体来讲就是及时更新网站思政信息，让学生能在第一时间接触国内外最新思想政治动态，同时还要注重启迪明理、感悟内化，帮助学生深刻认识网络垃圾、暴力、色情信息的危害性，使之在自主学习过程中能够自觉抵制不良诱惑，增强自制力、提高思想境界。

三、结语

上一篇：议论文三要素范文下一篇：结婚证婚人发言稿范文

网络规划范文

网络规划范文第1篇

网络规划范文第2篇

网络规划范文第3篇

网络规划范文第4篇

网络规划范文第5篇

网络规划范文第6篇

热门文章

精品范文

全站热搜