7中的网络设备(1)应为(1)，网络设备(2)应为(2)。八网络安全角度而言

【问题1】(5分)

路由器具有广域网互连、隔离广播信息和异构网互连等能力，是企业网(或园区网)建殳和互联网络建设中必不可少的网络互连设备。由图9—7中的网络拓扑结构可知，设备(1)处于亥企业网和Internet之间网络交换机可以重复，因此需要使用路由器设备进行网络互连，以实现该企业网路由信息的边，昂计算、网络地址转换等功能。

防火墙的主要功能是：①检查所有从外部网络进入内部网络和从内部网络流出到外部网络的

数据包；②执行安全策略，限制所有不符合安全策略要求的数据包通过。

通常，Intemet是一个“不可信任的网络”，而内部局域网要求是一个“可信任的网络”。因此在图9．7中设备(2)需要部署防火墙设备，从而保护内部网络资源不被外部非授权用户使用防止内部受到外部非法用户的攻击。

另外，防火墙中的DMZ区也称为非军事区，它是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题，而设立的一个非安全系统与安全系统之间的缓冲区。这个缓冲区位于企业内部网络和外部网络之间的小网络区域内。在这个小网络区域内可以放置一些对外公开的服务器。例如，图9．7中的Web服务器、DNS服务器和E-mail服务器等。DMZ防火墙方案为要保护的内部网络增加了一道安全防线，通常认为是比较安全的。同时它提供了一一个区域放置公共服务器，从而又能有效地避免一些互连应用需要公开，而与内部安全策略相矛盾的情况发生。

基于网络的入侵防护系统(Network．basedIntrusionPrevemionSystem，NIPS)兼有防火墙、入侵检测系统(IDS)和防病毒等安全组件的特性，当数据包经过时，将对它进行过滤检测，以确定该数据包是否含有威胁网络安全的特征。如果检测到一个恶意的数据包，系统不但发出警报，还将采取相应措施(如丢弃含有攻击性的数据包或阻断连接)阻断攻击。

根据网络拓扑结构的不同，NIPS的探测器可以通过流量镜像、串接集线器设备、串接TAP设备等方式部署在被检测的网络中。在图9．7中，设备(3)直接连接在交换机l的Gil／2端口(此端口称为镜像端口)，用于检测、分析和处理从设备(2)(即防火墙)进入交换机1(即内部网络)Gil／1端口(此端口称为被镜像端口)的数据包。通常将这种设备部署方式称为流量镜像方式。

【问题2】(6分)

图9．7所示的网络结构采用核心层、接入层的两层架构理念。其中，由交换机l~交换机3组成核心层，主要完成的功能有：①分组的高速转发；②汇接接入层的用户流量，进行数据分组传输的汇聚、转发与交换；③根据接入层的用户流量，进行本地路由、数据包过滤、协议转换、流量均衡、00S优先级管理，以及安全控制、IP地址转换、流量整形等处理。

在图9．7中由交换机5～交换机8组成接入层，主要完成的功能有：①为用户提供了在本地网段访问应用系统的能力，解决相邻用户之间相互访问的需求，并且为这些访问提供足够的带宽；②适当地负责部分用户管理功能(如MAC层过滤、IP地址绑定、用户认证、计费管理等)；③负责部分用户信息收集工作(如用户的IP地址、MAC地址、访问日志等)。

生成树协议(SpanningTreeProtocol，STP)是一个数据链路层的管理协议。其主要功能是在保证网络中没有逻辑回路的基础上，允许在第2层链路中提供冗余路径，以保证网络可靠、稳定地运行。STP运行在交换机设备上，通过在交换机之间传递网桥协议数据单元(BPDU)网络交换机可以重复，并用生成树算法(STA)对其进行比较计算，以建立一个稳定、无回路的树状结构网络。

STP的BackboneFast功能是：使阻塞端口无须等待一个生成树最大存活时问(约30s)，就可直接进入转发状态，从而提高普通交换机到根交换机的间接链路失效情况下的收敛速度。BackboneFast功能需要在全部参与STP计算的交换机上配置。在图9·7申，交换机1～交换机3是网络的骨干交换机。当它们相互之间的某条链路(例如交换机1～交换机2的链路)有故障时，为了使阻塞端口直接进入转发状态，从而切换到备份链路(例如交换机1～交换机3的链路)上，则需要在图9．7中交换机l～交换机3、交换机5～交换机8上使能STP的BackboneFast功能。

【问题3】(2分)

根据VLAN的成员定义，大致有基于端口划分、基于MAC地址划分、基于第3层地址划分、基于策略划分(或基于应用划分)这4种VLAN划分方法。其中，基于端口划分VLAN是一种静态VLAN的划分方式，其余划分方法则属于动态VLAN的划分方式。若网络用户的物理位置需要经常移动，则应采用基于MAC地址的方式划分VLAN，或基于第3层地址(网络层协议)划分VLAN。【问题4】(2分)

网络冗余设计允许通过设置双重网络元素来满足网络的可用性需求，冗余避免了网络的单点

故障，其目标是重复设置网络组件，以避免单个组件的失效而导致应用失效。随着计算机网络技术的发展，冗余度也不再仅局限于设备和线路层次，更多的冗余度开始体现到网络设备的模块、部件层次。这些组件可以是一台核心路由器或交换机，可以是两台设备间的一条链路，可以是一个广域网连接，也可以是电源、风扇、设备引擎等设备上的模块等。

在图9．7所示的网络设备连接图中，仅由交换机1与设备(2)连接，一旦交换机l或该连接链路出现故障，该企业网与Intemet的通信链路将被断开。由此可见，交换机l与设备(2)连接关系是一个故障单点。

各台接入交换机(即交换机5～交换机8)仅通过一条链路上连至核心层，一旦该上连链珞出现故障，将会导致相关接入交换机与核心层网络断开，使得相关用户将无法访问该企业网和Internet资源。由此可见，各台接入交换机与核心交换机的连接关系是一个故障单点。