高級網(wǎng)絡(luò)規(guī)劃設(shè)計師（操作系統(tǒng)與路由交換）知識備考題庫（含答案）

PAGEPAGE1高級網(wǎng)絡(luò)規(guī)劃設(shè)計師（操作系統(tǒng)與路由交換）知識備考題庫（含答案）一、單選題1.RIP在一條RIP通路上最多可包含的路由器數(shù)（）。A、1個B、16個C、25個D、無數(shù)個答案：B2.存儲轉(zhuǎn)發(fā)方式是實現(xiàn)網(wǎng)絡(luò)互聯(lián)的方式之一，其主要問題是在每個節(jié)點上產(chǎn)生不確定的延遲時間?？朔@一問題的最有效方法是()A、設(shè)置更多的緩沖區(qū)B、設(shè)計更好的緩沖區(qū)分配算法C、提高傳輸介質(zhì)的傳輸能力D、減少分組的長度答案：C解析：在儲轉(zhuǎn)發(fā)方式下，減少分組的長度顯然不能解決延遲問題。設(shè)計更多的緩沖區(qū)，實際上可能增加了延遲時間，好的緩沖策有助于減少排隊時間，但效果有限。提高傳輸介質(zhì)的傳輸能力，使得接收到分組后能及時地從輸出介質(zhì)上傳送出去，是減少延遲的最有效措施。3.路由器命令“Router（config）＃access-listIdeny”的含義是（）。A、不允許源地址為的分組通過B、允許源地址為192.168，1.1的分組通過C、不允許目標(biāo)地址為的分組通過D、允許目標(biāo)地址為的分組通過答案：A解析：訪問控制列表（AccessControlLists，ACL）是目前使用最多的訪問控制實現(xiàn)技術(shù)。訪問控制列表是路由器接口的指令列表，用來控制端口進出的數(shù)據(jù)包。ACL適用于所有的被路由協(xié)議，如IP、IPX、AppleTalk等。訪問控制列表可以分為標(biāo)準(zhǔn)訪問控制列表和擴展訪問控制列表。ACL的默認(rèn)執(zhí)行順序是自上而下，在配置時要遵循最小特權(quán)原則、最靠近受控對象原則及默認(rèn)丟棄原則。Router（config）＃access—list｜deny此語句是采用標(biāo)準(zhǔn)的訪問控制列表。標(biāo)準(zhǔn)訪問控制列表基于IP地址，列表取值為1～99，分析數(shù)據(jù)包的源地址決定允許或拒絕數(shù)據(jù)報通過。標(biāo)準(zhǔn)訪問控制表配置。Router＞enableRouter#configterminal

準(zhǔn)備進入全局配置模式Router（config）＃access-listaccess-list＿num｛permit｜deny｝source＿ipsource＿wildcard＿maskaccess-list＿num取值為1～99；permit表示允許，deny表示拒絕，source＿wildcard＿mask表示反掩碼access—list可以配置多條，但用這種方式時，如果列表要插入或刪除一行，就必須刪除所有ACL并重新配置。這種方式容易出錯，建議使用文本方式編輯ACL，通過TFTP上傳或拷貝＋粘貼方式到路由器。在配置ACL時，如果刪除一項ACL條目，就會刪除所有ACL。4.下列()設(shè)備可以隔離ARP廣播幀。A、路由器B、網(wǎng)橋C、以太網(wǎng)交換機D、集線器答案：A解析：ARP協(xié)議是反向地址解析，它是通過在數(shù)據(jù)鏈路層的廣播幀來完成解析的，因此工作在物理層的集線器，工作在邏輯鏈路層上的網(wǎng)橋、以太網(wǎng)交換機都不能隔離其廣播幀，只有工作在網(wǎng)絡(luò)層上的路由器才能夠隔離。5.邊界網(wǎng)關(guān)協(xié)議BGP的報文（請作答此空）傳送。BGP協(xié)議中，外部路由通過（）報文與外部路由器建立鄰居關(guān)系。A、通過TCP連接B、封裝在UDP數(shù)據(jù)報中C、通過局域網(wǎng)D、封裝在ICMP包中答案：A解析：BGP（BorderGatewayProtocol）是邊界網(wǎng)關(guān)協(xié)議，目前版本為BGP4，是一種增強的距離矢量路由協(xié)議。該協(xié)議運行在不同AS的路由器之間，用于選擇AS之間花費最小的協(xié)議。BGP協(xié)議基于TCP協(xié)議，端口179。使用面向連接的TCP可以進行身份認(rèn)證，可靠交換路由信息。BGP4＋支持IPv6。BGP特點：不用周期性發(fā)送路由信息；路由變化，發(fā)送增量路由（變化了的路由信息）：周期性發(fā)送Keepalive報文效驗TCP的連通性。BGP常見四種報文，分別是OPEN報文、KEEPLIVE報文、UPDATE報文、NOTIFICATION報文：OPEN報文：建立鄰居關(guān)系：KEEPALIVE報文：保持活動狀態(tài)，周期性確認(rèn)鄰居關(guān)系，對OPEN報文回應(yīng)；UPDATE報文：發(fā)送新的路由信息；NOTIFICATION報文：報告檢測到的錯誤。6.在windows用戶管理中，使用組策路A—G—DL—P，其中DL表示（）。A、用戶賬號B、資源訪問權(quán)限C、域本地組D、通用組答案：C解析：A：UserAccount（用戶賬號）G：GlobalGroup（全局安全組）DL：DomainLocalGroup（域本地組）P：Permission（賦權(quán)限）7.下列DNS查詢過程中，合理的是（）A、本地域名服務(wù)器把轉(zhuǎn)發(fā)域名服務(wù)器地址發(fā)送給客戶機B、本地域名服務(wù)器把查詢請求發(fā)送給轉(zhuǎn)發(fā)域名服務(wù)器C、根域名服務(wù)器把查詢結(jié)果直接發(fā)送給客戶機D、客戶端把查詢請求發(fā)送給中介域名服務(wù)器答案：B解析：轉(zhuǎn)發(fā)域名服務(wù)器接收本地域名服務(wù)器域名查詢請求，首先查詢自身緩存，如果找不到對應(yīng)的，則轉(zhuǎn)發(fā)到指定的域名服務(wù)器查詢。8.下圖表示一個局域網(wǎng)的互聯(lián)拓撲，方框中的數(shù)字是網(wǎng)橋ID，用字母來區(qū)分不同的網(wǎng)段。按照IEEE802.1d協(xié)議，ID為（）的網(wǎng)橋被選為根網(wǎng)橋，如果所有網(wǎng)段的傳輸費用為1，則ID為92的網(wǎng)橋連接網(wǎng)段（請作答此空）的端口為根端口。

A、aB、bC、dD、e答案：B解析：生成樹協(xié)議的工作過程簡單表述如下：1）唯一根網(wǎng)橋的推選：各個網(wǎng)橋互相傳遞BPDU配置信息，系統(tǒng)的每個網(wǎng)橋都能監(jiān)聽到BPDU，根據(jù)網(wǎng)橋標(biāo)識共同“選舉”出具有最大優(yōu)先級的根網(wǎng)橋。如果優(yōu)先級相同，則取具有最小網(wǎng)橋地址的網(wǎng)橋作為根網(wǎng)橋。根網(wǎng)橋缺省每2秒發(fā)出BPDU。2）在每個非根網(wǎng)橋選出一個根端口：根網(wǎng)橋向系統(tǒng)廣播其BPDU，對一個網(wǎng)橋來說，具有最小根路徑開銷的端口選為根端口；如果根路徑開銷相同，則取端口標(biāo)識最小的作為根端口，同時根端口處于轉(zhuǎn)發(fā)模式。一個網(wǎng)橋只有一個根端口，根網(wǎng)橋沒有根端口。3）在每個網(wǎng)段選一個指定端口：每個網(wǎng)橋接收到一個BPDU幀時，同時發(fā)出一個BPDU幀說明離根網(wǎng)橋的路徑開銷。在同一個網(wǎng)段里，具有最小的根路徑開銷的端口被選為指定端口。如果根路徑開銷相同，則取網(wǎng)橋標(biāo)識最小的作為指定端口。如果網(wǎng)橋標(biāo)識也相同，則取端口標(biāo)識最小的為指定端口。4）STP設(shè)置根端口和指定端口進入轉(zhuǎn)發(fā)模式，可以轉(zhuǎn)發(fā)數(shù)據(jù)幀；而落選端口則進入阻塞模式，只偵聽BPDU，不轉(zhuǎn)發(fā)數(shù)據(jù)幀。各網(wǎng)橋周期性地交換BPDU信息，保證系統(tǒng)拓撲結(jié)構(gòu)的合理性。9.下圖表示一個局域網(wǎng)的互聯(lián)拓撲，方框中的數(shù)字是網(wǎng)橋ID，用字母來區(qū)分不同的網(wǎng)段。按照IEEE802.1d協(xié)議，ID為（請作答此空）的網(wǎng)橋被選為根網(wǎng)橋，如果所有網(wǎng)段的傳輸費用為1，則ID為92的網(wǎng)橋連接網(wǎng)段（）的端口為根端口。

A、3B、7C、92D、12答案：A解析：生成樹協(xié)議的工作過程簡單表述如下：1）唯一根網(wǎng)橋的推選：各個網(wǎng)橋互相傳遞BPDU配置信息，系統(tǒng)的每個網(wǎng)橋都能監(jiān)聽到BPDU，根據(jù)網(wǎng)橋標(biāo)識共同“選舉”出具有最大優(yōu)先級的根網(wǎng)橋。如果優(yōu)先級相同，則取具有最小網(wǎng)橋地址的網(wǎng)橋作為根網(wǎng)橋。根網(wǎng)橋缺省每2秒發(fā)出BPDU。2）在每個非根網(wǎng)橋選出一個根端口：根網(wǎng)橋向系統(tǒng)廣播其BPDU，對一個網(wǎng)橋來說，具有最小根路徑開銷的端口選為根端口；如果根路徑開銷相同，則取端口標(biāo)識最小的作為根端口，同時根端口處于轉(zhuǎn)發(fā)模式。一個網(wǎng)橋只有一個根端口，根網(wǎng)橋沒有根端口。3）在每個網(wǎng)段選一個指定端口：每個網(wǎng)橋接收到一個BPDU幀時，同時發(fā)出一個BPDU幀說明離根網(wǎng)橋的路徑開銷。在同一個網(wǎng)段里，具有最小的根路徑開銷的端口被選為指定端口。如果根路徑開銷相同，則取網(wǎng)橋標(biāo)識最小的作為指定端口。如果網(wǎng)橋標(biāo)識也相同，則取端口標(biāo)識最小的為指定端口。4）STP設(shè)置根端口和指定端口進入轉(zhuǎn)發(fā)模式，可以轉(zhuǎn)發(fā)數(shù)據(jù)幀；而落選端口則進入阻塞模式，只偵聽BPDU，不轉(zhuǎn)發(fā)數(shù)據(jù)幀。各網(wǎng)橋周期性地交換BPDU信息，保證系統(tǒng)拓撲結(jié)構(gòu)的合理性。10.如果一個公司有2000臺主機，則必須給它分配（）個C類網(wǎng)絡(luò)。為了使該公司網(wǎng)絡(luò)在路由表中只占一行，指定給它的子網(wǎng)掩碼應(yīng)該是（請作答此空）。A、B、C、D、答案：D解析：一個C類網(wǎng)絡(luò)可以有254臺主機，因此2000臺主機，需要2000／254≈8個。

在路由表中只占一行，表示要進行8個C類網(wǎng)絡(luò)的路由匯聚，即需要向24位網(wǎng)絡(luò)位借3位做為子網(wǎng)位。指定給它的子網(wǎng)掩碼應(yīng)該是／21，即。11.DNS服務(wù)器中提供了多種資源記錄，其中定義區(qū)域授權(quán)域名服務(wù)器的是（）。A、SOAB、NSC、PTRD、MX答案：B解析：定義區(qū)域授權(quán)域名服務(wù)器的是NS記錄。12.將地址塊／24按照可變長子網(wǎng)掩碼的思想進行子網(wǎng)劃分，若各部門可用主機地址需求如下表所示，則共有（請作答此空）種劃分方案，部門3的掩碼長度為（）。

A、4B、8C、16D、32答案：C解析：（1）將／24分為兩個子網(wǎng)，每個子網(wǎng)128個地址。其中，一個子網(wǎng)給部門1。因此，產(chǎn)生兩種方案。（2）剩下子網(wǎng)，分為兩個子網(wǎng)，每個子網(wǎng)64個地址。其中，一個子網(wǎng)給部門2。因此，產(chǎn)生兩種方案。（3）剩下子網(wǎng)，分為兩個子網(wǎng)，每個子網(wǎng)32個地址。其中，一個子網(wǎng)給部門3。因此，產(chǎn)生兩種方案。（4）剩下子網(wǎng)，分為兩個子網(wǎng)，每個子網(wǎng)16個地址。每個子網(wǎng)分別給部門4和5。因此，產(chǎn)生兩種方案。所以，總共方案有2x2x2x2＝16種方案。部門3有32個地址，主機位為5，所以掩碼為27。13.當(dāng)一條路由被發(fā)布到它所起源的AS時，會發(fā)生的情況是（）。A、該AS在路徑屬性列表中看到自己的號碼，從而拒絕接收這條路由B、邊界路由器把該路由傳送到這個AS中的其他路由器C、該路由將作為一條外部路由傳送給同一AS中的其他路由器D、邊界路由器從AS路徑列表中刪除自己的AS號碼并重新發(fā)布路由答案：A解析：當(dāng)一條路由被發(fā)布到它所起源的AS時，該AS在路徑屬性列表中看到自己的號碼，從而拒絕接收這條路由，這就是BGP協(xié)議可以發(fā)現(xiàn)路由環(huán)路的道理。14.下圖所示是一個園區(qū)網(wǎng)的一部分，交換機A和B是兩臺接入層設(shè)備，交換機c和D組成核心層，交換機E將服務(wù)器群連接至核心層。如圖所示，如果采用默認(rèn)的STP設(shè)置和默認(rèn)的選舉過程，其生成樹的最終結(jié)果為（）。

A、AB、BC、CD、D答案：D15.廣域網(wǎng)定義了由三臺以上核心路由設(shè)備構(gòu)成路由環(huán)路，連接各局域網(wǎng)并構(gòu)建廣域網(wǎng)的方式，任意核心路由器都和其他兩臺路由設(shè)備之間有連接，這種網(wǎng)絡(luò)結(jié)構(gòu)稱為（）。A、層次子域廣域網(wǎng)結(jié)構(gòu)B、對等子網(wǎng)廣域網(wǎng)結(jié)構(gòu)C、半冗余廣域網(wǎng)結(jié)構(gòu)D、環(huán)形廣域網(wǎng)結(jié)構(gòu)答案：D解析：單核心廣域網(wǎng)結(jié)構(gòu)：由一臺核心路由設(shè)備互連各局域網(wǎng)絡(luò)。雙核心廣域網(wǎng)結(jié)構(gòu)：雙核心結(jié)構(gòu)主要由兩臺核心路由設(shè)備構(gòu)建框架，并互連各局域網(wǎng)。環(huán)型廣域網(wǎng)結(jié)構(gòu)：主要定義了由三臺以上核心路由設(shè)備構(gòu)成路由環(huán)路，連接各局域網(wǎng)并構(gòu)建廣域網(wǎng)的方式，在環(huán)型廣域網(wǎng)結(jié)構(gòu)中，任意核心路由器都和其他兩臺路由設(shè)備之間有連接。半冗余廣域網(wǎng)結(jié)構(gòu)：主要定義了由多臺核心路由設(shè)備連接各局域網(wǎng)并構(gòu)建廣域網(wǎng)絡(luò)的方式，在半冗余結(jié)構(gòu)中，任意核心路由器存在至少兩條以上鏈接至其他路由設(shè)備；如果核心路由器和任何其他路由器都有鏈接，就是半冗余結(jié)構(gòu)的特例——全冗余廣域網(wǎng)結(jié)構(gòu)。16.下圖所示的OSPF網(wǎng)絡(luò)由3個區(qū)域組成。在這些路由器中，屬于自治系統(tǒng)邊界路由器（ASBR）的是（）。

A、R2B、R3C、R6D、R8答案：C解析：

R4，R5，R6和R7都屬于主干路由器，R4和R7都屬于區(qū)域邊界路由器（ABR），而R6連接外部AS，所以它也是自治系統(tǒng)邊界路由器。簡答題（總共5題）1.閱讀以下說明，回答問題1至問題5；【說明】某學(xué)校擁有內(nèi)部數(shù)據(jù)庫服務(wù)器1臺，郵件服務(wù)器1臺，DHCP服務(wù)器1臺，F(xiàn)TP服務(wù)器1臺，流媒體服務(wù)器1臺，Web服務(wù)器1臺，要求為所有的學(xué)生宿舍提供有線網(wǎng)絡(luò)接入服務(wù)，對外提供Web服務(wù)，郵件服務(wù)，流媒體服務(wù)，內(nèi)部主機和其他服務(wù)器對外不可見。【問題1】請劃分防火墻的安全區(qū)域，說明每個區(qū)域的安全級別，指出各臺服務(wù)器所處的安全區(qū)域。【問題2】請按照你的思路為該校進行服務(wù)器和防火墻部署設(shè)計，對該校網(wǎng)絡(luò)進行規(guī)劃，畫出網(wǎng)絡(luò)拓撲結(jié)構(gòu)圖?！締栴}3】學(xué)校在原有校園網(wǎng)絡(luò)基礎(chǔ)上進行了擴建，采用DHCP。服務(wù)器動態(tài)分配IP地址，運行一段時間后，網(wǎng)絡(luò)時常出現(xiàn)連接不穩(wěn)定、用戶所使用的IP地址被“莫名其妙”修改、無法訪問校園網(wǎng)的現(xiàn)象。經(jīng)檢測發(fā)現(xiàn)網(wǎng)絡(luò)中出現(xiàn)多個未授權(quán)DHCP地址。請分析上述現(xiàn)象及遭受攻擊的原理，該如何防范？【問題4】學(xué)生宿舍區(qū)經(jīng)常使用的服務(wù)有Web、即時通信、郵件、FTP等，同時也因視頻流尋致大量的P2P流量，為了保障該區(qū)域中各項服務(wù)均能正常使用，應(yīng)采用何種設(shè)備合理分配每種應(yīng)用的帶寬？該設(shè)備部署在學(xué)校網(wǎng)絡(luò)中的什么位置？一般采用何種方式接入網(wǎng)絡(luò)？【問題5】當(dāng)前防火墻中，大多都集成了IPS服務(wù)，提供防火墻與IPS的聯(lián)動。區(qū)別于IDS，IPS主要增加了什么功能？通常采用何種方式接入網(wǎng)絡(luò)？答案：【問題1】整個網(wǎng)絡(luò)分為3個不同級別的安全區(qū)域：1．內(nèi)部網(wǎng)絡(luò)：安全級別最高，是可信的、重點保護的區(qū)域。包括所有內(nèi)部主機，數(shù)據(jù)庫服務(wù)器、DHCP服務(wù)器和FTP服務(wù)器。2．外部網(wǎng)絡(luò)：安全級別最低，是不可信的，要防備的區(qū)域，包括外部因特網(wǎng)用戶主機和設(shè)備。3．DMZ區(qū)域（非軍事化區(qū)）：安全級別中等，因為需要對外開放某些特定的服務(wù)和應(yīng)用，受一定的保護，是安全級別較低的區(qū)域。包括對外提供訪問的Web服務(wù)器、郵件服務(wù)器和流媒體服務(wù)器。【問題2】【問題3】攻擊原理：（1）當(dāng)DHCP客戶端第一次連接網(wǎng)絡(luò)、重新連接或者地址租期已滿時，會以廣播的方式向DHCP服務(wù)器發(fā)送DHCPDiscover尚息，以獲取／重新獲取IP地址：（2）若網(wǎng)絡(luò)中存在多臺DHCP服務(wù)器，均能收到該消息并應(yīng)答；（3）非授權(quán)DHCP服務(wù)器會先于授權(quán)DHCP服務(wù)器發(fā)出應(yīng)答；（4）客戶端使用非授權(quán)服務(wù)器發(fā)出的應(yīng)答包，并用作自己的IP地址：（5）客戶端地址被修改，無法訪問校園網(wǎng)。防范措施：（1）啟用接入層交換機的DHCPSnooping功能（2）DHCPSnooping功能將交換機接口分為信任接口和非信任接口：（3）連接客戶端的接口為非信任接口，上連到匯聚交換機的接口為信任接口：（4）非信任接口上接收到DHCPOffer，DHCPACK，DHCPNACK報文時，交換機會將其丟棄：（5）DHCPSnooping功能可阻止連接在非信任接口上的非授權(quán)DHCP服務(wù)器為客戶端提供IP地址配置信息?！締栴}4】（6分）應(yīng)采用流量控制設(shè)備，部署在核心交換機與學(xué)生宿舍區(qū)匯聚交換機之間，采用串接方式接入網(wǎng)絡(luò)?！締栴}5】（4分）區(qū)別于IDS、IPS提供主動防護，增加了深入檢測和分析功能，提供高效處理（攔截或阻斷）能力。采用串接方式接入網(wǎng)絡(luò)解析：【問題1】【問題2】根據(jù)問題1對該學(xué)校網(wǎng)絡(luò)區(qū)域的劃分，將不同的服務(wù)器放置在相應(yīng)的區(qū)域即可，對于具體的網(wǎng)絡(luò)連接細節(jié)則不必過多地考慮，在防火墻的DMZ區(qū)中，由于需要連接多臺服務(wù)器，應(yīng)使用一臺局域網(wǎng)交換機進行連接。【問題3】當(dāng)采用DHCP服務(wù)器為客戶端動態(tài)分配IP地址時，出現(xiàn)網(wǎng)絡(luò)連接不穩(wěn)定、用戶的地址會被“莫名其妙”修改，導(dǎo)致無法訪問校園網(wǎng)的現(xiàn)象，經(jīng)查是出現(xiàn)了多個未授權(quán)的DHCP服務(wù)器所致。這些所謂“未授權(quán)”的服務(wù)器為客戶機分配了其他的非法IP地址，導(dǎo)致用戶無法訪問網(wǎng)絡(luò)。這類攻擊為DHCP攻擊，DHCP攻擊的原理是距離客戶端較近的DHCP服務(wù)器會先于授權(quán)DHCP服務(wù)器相應(yīng)客戶端的請求，而導(dǎo)致客戶端接收到非法IP地址，無法訪問網(wǎng)絡(luò)。防范的方法一般是在接入層交換機上啟用DHCPSnooping功能，以過濾非信任接口上收到的DHCPoffer，DHCPACK和DHCPNACK報文，從而防止非法的DHCP服務(wù)器為客戶端分配IP地址?！締栴}4】根據(jù)問題的描述，由于網(wǎng)絡(luò)中存在大量的P2P流量，而導(dǎo)致其他各項服務(wù)正常工作，應(yīng)對P2P流量進行控制。要實現(xiàn)該功能，一般所選用的設(shè)備為流控設(shè)備，流控設(shè)備一般部署在被控流量區(qū)域的主干區(qū)域，應(yīng)采用串接方式接入網(wǎng)絡(luò)?！締栴}5】隨著網(wǎng)絡(luò)攻擊技術(shù)的發(fā)展，對安全技術(shù)提出了新的挑戰(zhàn)。防火墻技術(shù)和IDS自身具有的缺陷阻止了它們進一步的發(fā)展，防火墻不能阻止內(nèi)部網(wǎng)絡(luò)的攻擊，對于網(wǎng)絡(luò)上流行的各種病毒也沒有很好的防御措施：IDS只能檢測入侵而不能實時地阻比攻擊，而且IDS具有較高的漏報和誤報率。在這種情況下入侵防御系統(tǒng)（IntrusionPreventionSystem，IPS）成了新一代的網(wǎng)絡(luò)安全技術(shù)。IPS提供主動、實時的防護，其設(shè)計旨在對網(wǎng)絡(luò)流量中的惡意數(shù)據(jù)包進行檢測，對攻擊性的流量進行自動攔截，使它們無法造成損失。IPS如果檢測到攻擊企圖，就會自動地將攻擊包丟掉或采取措施阻斷攻擊源，而不把攻擊流量放進內(nèi)部網(wǎng)絡(luò)。IPS和IDS的部署方式不同。串接式部署是IPS和IDS區(qū)別的主要特征。IDS產(chǎn)品在網(wǎng)絡(luò)中是旁路式工作，IPS產(chǎn)品在網(wǎng)絡(luò)中是串接式工作。串接式工作保證所有網(wǎng)絡(luò)數(shù)據(jù)都經(jīng)過IPS設(shè)備，IPS檢測數(shù)據(jù)流中的惡意代碼，核對策，在未轉(zhuǎn)發(fā)到服務(wù)器之前，將信息包或數(shù)據(jù)流攔截。由于是在線操作，因而能保證處理方法適當(dāng)而且可預(yù)知。IPS系統(tǒng)根據(jù)部署方式可以分為3類：基于主機的入侵防護（HIPS）、基于網(wǎng)絡(luò)的入侵防護（NIPS）、應(yīng)用入侵防護（AIP）。2.【問題2】監(jiān)控系統(tǒng)運行過程中，發(fā)現(xiàn)市局監(jiān)控中心無法監(jiān)控A區(qū)分局監(jiān)控中心，經(jīng)管理員檢查之后，發(fā)現(xiàn)市局監(jiān)控中心設(shè)備到A區(qū)分局監(jiān)控鏈路故障。為了測量鏈路故障的位置，應(yīng)該使用（1）。為了避免監(jiān)控系統(tǒng)出現(xiàn)大規(guī)模連接故障，在系統(tǒng)驗收過程中，都要進行系統(tǒng)連通性測試，對于規(guī)模較大的系統(tǒng)，不可能全部測試，因此采用（2）的方式，并簡述其基本規(guī)則．（1）A．TDRB．OTDRC．萬用電表（2）A．測試10條鏈路B．抽樣測試C．全部測試答案：【問題2】（1）B（2）B解析：【問題2】分析：測量光纖線路只能使用OTDR。（2）抽樣規(guī)則以不低于接入層設(shè)備總數(shù)的10％的比例進行抽樣測試，抽樣少于10臺設(shè)備的，全部測試：每臺抽樣設(shè)備中至少選擇一個端口，即測試點，測試點應(yīng)能夠覆蓋不同的子網(wǎng)和VLAN。3.【問題3】B區(qū)下轄某派出所因為距離較偏僻及項目經(jīng)費限制，項目部經(jīng)批準(zhǔn)后，租用電信光纖。目前電信運營商提供兩種無源光網(wǎng)絡(luò)（PON）接入技術(shù)，請簡述兩種技術(shù)的主要區(qū)別?？紤]到派出所需要接入千兆以太網(wǎng)方式組建的視頻資源網(wǎng)，為了提高協(xié)議轉(zhuǎn)換效率，避免兼容性的風(fēng)險，應(yīng)該采用哪種方式更合適，并說明你的理由。答案：【問題3】選擇EPON，因其封裝的格式還是以太幀格式，無需轉(zhuǎn)換，效率更高。解析：【問題3】GPON和EPON的區(qū)別1、EPON和GPON采用的標(biāo)準(zhǔn)不一樣，可以說GPON更高級點，可以傳輸更大的帶寬，可帶的用戶也比EPON更多。2、EPON的標(biāo)準(zhǔn)是IEEE的802.3ah，IEEE制定EPON標(biāo)準(zhǔn)的基本原則是盡量在802.3體系結(jié)構(gòu)內(nèi)進行EPON的標(biāo)準(zhǔn)化工作，最小程度地擴充標(biāo)準(zhǔn)以太網(wǎng)的MAC協(xié)議。3、GPON的標(biāo)準(zhǔn)是ITU—TG．984系列標(biāo)準(zhǔn)，GPON標(biāo)準(zhǔn)的制訂考慮了對傳統(tǒng)TDM業(yè)務(wù)的支持，繼續(xù)采用125ms固定幀結(jié)構(gòu)，以保持8K定時延續(xù)。4、在應(yīng)用上，GPON比EPON帶寬更大，它的業(yè)務(wù)承載更高效、分光能力更強，可以傳輸更大帶寬業(yè)務(wù)，實現(xiàn)更多用戶接入，更注重多業(yè)務(wù)和QoS保證，但實現(xiàn)更復(fù)雜，這樣就是導(dǎo)致其成本相對EPON也較高，但隨著GPON技術(shù)的大規(guī)模部署，GPON和EPON成本差異在逐步縮小。EPON和GPON技術(shù)各有千秋，從性能指標(biāo)上來看，GPON要優(yōu)于EPON，但是EPON擁有時間和成本上的優(yōu)勢，GPON正在趕上。對于帶寬、多業(yè)務(wù)，QoS和安全性要求高以及ATM技術(shù)作為骨干網(wǎng)的客戶，GPON會更加合適，而對于成本敏感，QoS、安全性要求不高的客戶，EPON將成為主導(dǎo)。4.【問題4】監(jiān)控網(wǎng)絡(luò)中的A區(qū)分中心匯聚交換機共提供48個千兆端口和24個百兆端口，請問該交換機的吞吐量至少達到多少Mpps，才能夠確保所有端口均能線速工作，并提供無阻室的數(shù)據(jù)交換。監(jiān)控網(wǎng)絡(luò)中的核心交換機共提供144個千兆端口和48個百兆端口，請問該交換機的背板帶寬至少應(yīng)該達到多少，才能提供無阻塞的全雙工數(shù)據(jù)交換。答案：【題4】（1）吞葉量最小吞吐量（包轉(zhuǎn)發(fā)速率）＝千兆端口數(shù)量x1.488Mpps＋百兆端口數(shù)量x0.1488Mpps＋其余類型端口數(shù)＊相應(yīng)計算方法＝4