系統(tǒng)集成面試題目

1、1、解決路由環(huán)問(wèn)題的方法有 (ABD)A. 水平分割B. 路由保持法C. 路由器重啟D. 定義路由權(quán)的最大值2、下面哪一項(xiàng)正確描述了路由協(xié)議 (C)A. 允許數(shù)據(jù)包在主機(jī)間傳送的一種協(xié)議B. 定義數(shù)據(jù)包中域的格式和用法的一種方式C. 通過(guò)執(zhí)行一個(gè)算法來(lái)完成路由選擇的一種協(xié)議D. 指定 MAC 地址和 IP 地址捆綁的方式和時(shí)間的一種協(xié)議3、以下哪些內(nèi)容是路由信息中所不包含的 (A)A. 源地址B. 下一跳C. 目標(biāo)網(wǎng)絡(luò)D. 路由權(quán)值4、以下說(shuō)法那些是正確的 (BD)A. 路由優(yōu)先級(jí)與路由權(quán)值的計(jì)算是一致的B. 路由權(quán)的計(jì)算可能基于路徑某單一特性計(jì)算， 也可能基于路徑多種屬性C. 如果幾個(gè)動(dòng)態(tài)路

2、由協(xié)議都找到了到達(dá)同一目標(biāo)網(wǎng)絡(luò)的最佳路由， 這幾條路由都會(huì)被加入路由表中D. 動(dòng)態(tài)路由協(xié)議是按照路由的路由權(quán)值來(lái)判斷路由的好壞， 并且每一種路由協(xié)議的判斷方法都是不一樣的5、IGP 的作用范圍是 (C)A. 區(qū)域內(nèi)B. 局域網(wǎng)內(nèi)C. 自治系統(tǒng)內(nèi)D. 自然子網(wǎng)范圍內(nèi)6、距離矢量協(xié)議包括 (AB)A. RIPB. BGPC. IS-ISD. OSPF7、關(guān)于矢量距離算法以下那些說(shuō)法是錯(cuò)誤的 (A)A. 矢量距離算法不會(huì)產(chǎn)生路由環(huán)路問(wèn)題B. 矢量距離算法是靠傳遞路由信息來(lái)實(shí)現(xiàn)的C. 路由信息的矢量表示法是 (目標(biāo)網(wǎng)絡(luò)， metric)D. 使用矢量距離算法的協(xié)議只從自己的鄰居獲得信息(A)8、如果一

3、個(gè)內(nèi)部網(wǎng)絡(luò)對(duì)外的出口只有一個(gè)，那么最好配置A. 缺省路由B. 主機(jī)路由C. 動(dòng)態(tài)路由9、BGP是在(D)之間傳播路由的協(xié)議A. 主機(jī)B. 子網(wǎng)C. 區(qū)域 (area)D. 自治系統(tǒng) (AS)10 、在路由器中，如果去往同一目的地有多條路由， 則決定最佳路由的因素有 (AC)A. 路由的優(yōu)先級(jí)B. 路由的發(fā)布者C. 路由的 metirc 值D. 路由的生存時(shí)間11、在 RIP 協(xié)議中，計(jì)算 metric 值的參數(shù)是 (D)A. MTUB. 時(shí)延C. 帶寬D. 路由跳數(shù)12 、路由協(xié)議存在路由自環(huán)問(wèn)題( A)A. RIPB. BGPC. OSPFD. IS-IS13、下列關(guān)于鏈路狀態(tài)算法的說(shuō)法正確

4、的是 :(bc )A. 鏈路狀態(tài)是對(duì)路由的描述B. 鏈路狀態(tài)是對(duì)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的描述C. 鏈路狀態(tài)算法本身不會(huì)產(chǎn)生自環(huán)路由D. OSPF 和 RIP 都使用鏈路狀態(tài)算法14、在OSPF同一區(qū)域(區(qū)域A)內(nèi)，下列說(shuō)法正確的是(d )A. 每臺(tái)路由器生成的 LSA 都是相同的B. 每臺(tái)路由器根據(jù)該最短路徑樹(shù)計(jì)算出的路由都是相同的C. 每臺(tái)路由器根據(jù)該 LSDB 計(jì)算出的最短路徑樹(shù)都是相同的D. 每臺(tái)路由器的區(qū)域 A 的 LSDB( 鏈路狀態(tài)數(shù)據(jù)庫(kù) )都是相同的15、在一個(gè)運(yùn)行 OSPF 的自治系統(tǒng)之內(nèi) :(ad )A. 骨干區(qū)域自身也必須是連通的B. 非骨干區(qū)域自身也必須是連通的C. 必須存在一個(gè)骨

5、干區(qū)域 ( 區(qū)域號(hào)為 0 )D. 非骨干區(qū)域與骨干區(qū)域必須直接相連或邏輯上相連16、下列關(guān)于 OSPF 協(xié)議的說(shuō)法正確的是 :(abd )A. OSPF 支持基于接口的報(bào)文驗(yàn)證B. OSPF 支持到同一目的地址的多條等值路由C. OSPF 是一個(gè)基于鏈路狀態(tài)算法的邊界網(wǎng)關(guān)路由協(xié)議D. OSPF 發(fā)現(xiàn)的路由可以根據(jù)不同的類型而有不同的優(yōu)先級(jí)17、禁止 RIP 協(xié)議的路由聚合功能的命令是 (c )A. undo ripB. auto-summanyC. undo auto-summanyD. undo network 10.0.0.018、下列靜態(tài)路由配置正確的是 (d)A. ip route 1

6、29.1.0.0 16 serial 0B. ip route 10.0.0.2 16 129.1.0.0C. ip route 129.1.0.0 16 10.0.0.2D. ip route 129.1.0.0 255.255.0.0 10.0.0.219、以下不屬于動(dòng)態(tài)路由協(xié)議的是 (b)A. RIPB. ICMPC. IS-ISD. OSPf20、三種路由協(xié)議 RIP 、 OSPF 、BGP 和靜態(tài)路由各自得 到了一條到達(dá)目標(biāo)網(wǎng)絡(luò)，在華為路由器默認(rèn)情況下， 最終選選定 (b) 路由作為最優(yōu)路由A. RIPB. OSPFC. BGPD. 靜態(tài)路由21 、IGP 包括如下哪些協(xié)議 (acd

7、)A. RIPB. BGPC. IS-ISD. OSPF22、路由環(huán)問(wèn)題會(huì)引起 (abd )A. 慢收斂B. 廣播風(fēng)暴C. 路由器重起D. 路由不一致23、以下哪些路由表項(xiàng)要由網(wǎng)絡(luò)管理員手動(dòng)配置 (a )A. 靜態(tài)路由B. 直接路由C. 動(dòng)態(tài)路由D. 以上說(shuō)法都不正確24、在運(yùn)行 Windows98 的計(jì)算機(jī)中配置網(wǎng)關(guān)， 類似于在路由器中配置 (a)A. 直接路由B. 默認(rèn)路由C. 動(dòng)態(tài)路由D. 間接路由25、關(guān)于 RIP 協(xié)議，下列說(shuō)法正確的有 :(ac )A. RIP 協(xié)議是一種 IGPB. RIP 協(xié)議是一種 EGPC. RIP 協(xié)議是一種距離矢量路由協(xié)議D. RIP 協(xié)議是一種鏈路狀態(tài)

8、路由協(xié)議26、RIP 協(xié)議是基于 (a )A. UDPB. TCPC. ICMPD. Raw IP?(c )27、RIP 協(xié)議的路由項(xiàng)在多少時(shí)間內(nèi)沒(méi)有更新會(huì)變?yōu)椴豢蛇_(dá)A. 90sB. 120sC. 180sD. 240s28、解決路由環(huán)路的方法有 (abcd )A. 水平分割B. 抑制時(shí)間C. 毒性逆轉(zhuǎn)D. 觸發(fā)更新29、RIP 協(xié)議在收到某一鄰居網(wǎng)關(guān)發(fā)布而來(lái)的路由信息后， 下述對(duì)度量值的正確處理有哪些 ?(b )A. 對(duì)本路由表中沒(méi)有的路由項(xiàng)，只在度量值少于不可達(dá)時(shí)增加該路由項(xiàng)B. 對(duì)本路由表中已有的路由項(xiàng)，當(dāng)發(fā)送報(bào)文的網(wǎng)關(guān)相同時(shí)， 只在度量值減少時(shí)更新該路由項(xiàng)的度量值C. 對(duì)本路由表中已有

9、的路由項(xiàng)，當(dāng)發(fā)送報(bào)文的網(wǎng)關(guān)不同時(shí)， 只在度量值減少時(shí)更新該路由項(xiàng)的度量值D. 對(duì)本路由表中已有的路由項(xiàng)，當(dāng)發(fā)送報(bào)文的網(wǎng)關(guān)相同時(shí)， 只要度量值有改變，一定會(huì)更新該路由項(xiàng)的度量值30、關(guān)于 RIP V1 和 RIP V2 ，下列說(shuō)法哪些正確 ?(bc )A. RIP V1 報(bào)文支持子網(wǎng)掩碼B. RIP V2 報(bào)文支持子網(wǎng)掩碼C. RIP V2 缺省使用路由聚合功能D. RIP V1 只支持報(bào)文的簡(jiǎn)單口令認(rèn)證，而 RIP V2 支持 MD5 認(rèn)證31、在rip中metric等于(d )為不可達(dá)A. 8B. 10C. 15D. 1632、RIP 協(xié)議引入路由保持機(jī)制的作用是 (b )A. 節(jié)省網(wǎng)絡(luò)帶寬

10、B. 防止網(wǎng)絡(luò)中形成路由環(huán)路C. 將路由不可達(dá)信息在全網(wǎng)擴(kuò)散D. 通知鄰居路由器哪些路由是從其處得到33、以下配置默認(rèn)路由的命令正確的是 :"a"A. ip route 0.0.0.0 0.0.0.0 172.16.2.1B. ip route 0.0.0.0 255.255.255.255 172.16.2.1C. ip router 0.0.0.0 0.0.0.0 172.16.2.1D. ip router 0.0.0.0 0.0.0.0 172.16.2.134、已知某臺(tái)路由器的路由表中有如下兩個(gè)表項(xiàng)"d" Destination/Mast pr

11、otocol preferen Metric Nexthop/Interface 9.0.0.0/8OSPF 10 50 1.1.1.1/Serial0 9.1.0.0/16RIP 100 5 2.2.2.2/Ethernet0如果該路由器要轉(zhuǎn)發(fā)目的地址為 9.1.4.5 的報(bào)文，則下列 說(shuō)法中正確的是 (d)A. 選擇第一項(xiàng)，因?yàn)?OSPF 協(xié)議的優(yōu)先級(jí)高B. 選擇第二項(xiàng)，因?yàn)?RIP 協(xié)議的花費(fèi)值 (Metric) 小C. 選擇第二項(xiàng)，因?yàn)槌隹谑?Ethternet0 ，比 Serial0 速度快D. 選擇第二項(xiàng)，因?yàn)樵撀酚身?xiàng)對(duì)于目的地址 9.1.4.5 來(lái)說(shuō)， 是更精確的匹配35、Qui

12、dway 系列路由器上，路由表中的直接路由 (Direct) 可能有以下幾種來(lái)源 "abc"A. 本路由器自身接口的主機(jī)路由B. 本路由器自身接口所在的網(wǎng)段路由C. 與本路由器直連的對(duì)端路由器的接口的主機(jī)路由D. 缺省路由36、與動(dòng)態(tài)路由協(xié)議相比，靜態(tài)路由有哪些優(yōu)點(diǎn) ?"cd"A. 帶寬占用少B. 簡(jiǎn)單C. 路由器能自動(dòng)發(fā)現(xiàn)網(wǎng)絡(luò)拓?fù)渥兓疍. 路由器能自動(dòng)計(jì)算新的路由37、在 RIP 路由協(xié)議中，以下有關(guān)減少路由自環(huán)的方法 正確的是 "abcd"A. 觸發(fā)更新是從減少路由自環(huán)發(fā)生的概率方面來(lái)考慮問(wèn)題的B. 水平分割的方法只對(duì)消除兩臺(tái)路由

13、器之間的自環(huán)有作用C. 設(shè)置抑制時(shí)間的方法可能導(dǎo)致路由的慢收斂D. 為了減輕路由自環(huán)產(chǎn)生的后果， RIP 協(xié)議規(guī)定了最大跳數(shù)38、路由協(xié)議在收到某一鄰居發(fā)布而來(lái)的路由信息后， 下述對(duì)度量值的正確處理有哪些 ?"bd"A. 對(duì)本路由表中已有的路由項(xiàng)，當(dāng)發(fā)送該路由信息的鄰居相同時(shí)， 只在度量值減少時(shí)更新該路由項(xiàng)的度量值B. 對(duì)本路由表中已有的路由項(xiàng)，當(dāng)發(fā)送該路由信息的鄰居相同時(shí)， 只要度量值有改變，一定會(huì)更新該路由項(xiàng)的度量值C. 對(duì)本路由表中已有的路由項(xiàng)，當(dāng)發(fā)送該路由信息的鄰居不同時(shí)， 只要度量值有改變，一定會(huì)更新該路由項(xiàng)的度量值D. 對(duì)本路由表中沒(méi)有的路由項(xiàng)，只在度量值少于不

14、可達(dá)時(shí) 增加該路由項(xiàng)39、假設(shè)有這樣的組網(wǎng)實(shí)例 : 兩個(gè) Quidway（ 假設(shè)為 RTA 和 RTB） 通過(guò)串口相連接，其中 RTA 的串口 IP 地址是 10.110.0.1/30 ， RTB 的串口 IP 地址是 10.110.0.2/30 ， RTA 通過(guò)以太口連接的 本地局域網(wǎng)的 IP 地址是 11.110.0.0/16 ， RTB 通過(guò)以太口連接的 本地局域網(wǎng) IP 地址是 11.111.0.0/16 ，在上面所有的接口上都 啟動(dòng) RIP V1（ 僅僅 RIP V1） 協(xié)議，那么，下列說(shuō)法正確的是 "cd"A. 在 RTA 的本地局域網(wǎng)上的計(jì)算機(jī)可以訪問(wèn)在 RT

15、B 本地局域網(wǎng)上的計(jì)算機(jī)B. 在 RTB 的本地局域網(wǎng)上的計(jì)算機(jī)可以訪問(wèn)在 RTA 本地局域網(wǎng)上的計(jì)算機(jī)C. 在 RTA 的本地局域網(wǎng)上的計(jì)算機(jī)不能訪問(wèn)在 RTB 本地局域網(wǎng)上的計(jì)算機(jī)D. 在 RTB 的本地局域網(wǎng)上的計(jì)算機(jī)不能訪問(wèn)在 RTA 本地局域網(wǎng)上的計(jì)算機(jī)40、在 Quidway 路由器上，應(yīng)該使用什么命令來(lái)觀察 網(wǎng)絡(luò)的路由表 ? "b"A. Show ip pathB. dis ip routC. Show interfaceD. Show running-configE. Show ip rip41 、下面哪些協(xié)議是可路由協(xié)議 （routed protocol）

16、? "ab"A. IPB. IPXC. RIPD. NETBEUI42、以下協(xié)議屬于路由協(xié)議的是 "abcg"A. RIPB. IS-ISC. OSPFD. PPPE. IPF. IPXG. BGP43、下列哪些技術(shù)有助于避免路由環(huán)路 ? "bcdef"A. 直通交換B. 采用鏈路狀態(tài)路由協(xié)議C. 水平分割D. 路由保持 (holddown)E. 定義最大跳計(jì)數(shù)F. 路由中毒 (poison reverse)44、距離矢量路由協(xié)議使用水平分割 (split horizon) 技術(shù)的目的是什么 ? "ac"A. 避免

17、在毗鄰路由器之間產(chǎn)生路由環(huán)路B. 確保路由更新數(shù)據(jù)報(bào)文沿著接收路線方向發(fā)送C. 與保持間隔 (holddown) 機(jī)制協(xié)同工作，為保持間隔的 計(jì)算提供更多的可靠性D. 代替路由中毒 (poison reverse) 算法45、靜態(tài)路由的優(yōu)點(diǎn)包括 :"acd"A. 管理簡(jiǎn)單B. 自動(dòng)更新路由C. 提高網(wǎng)絡(luò)安全性D. 節(jié)省帶寬E. 收斂速度快46、靜態(tài)路由配置中關(guān)鍵字 reject 和 blackhole 的 區(qū)別在于 :"be"A. 發(fā)往 reject 路由的報(bào)文被丟棄，并且不通知源主機(jī)B. 發(fā)往 blackhole 路由的報(bào)文被丟棄，并且不通知源主機(jī)C.

18、 發(fā)往 reject 路由的報(bào)文被丟棄，發(fā)往 blackhole 路由的報(bào)文不被丟棄D. 發(fā)往 blackhole 路由的報(bào)文被丟棄，發(fā)往reject 路由的報(bào)文不被丟棄E. 發(fā)往 reject 路由的報(bào)文被丟棄，并且通知源主機(jī)F. 發(fā)往 blackhole 路由的報(bào)文被丟棄，并且通知源主機(jī)47、以下對(duì)于缺省路由描述正確的是 :"bc"A. 缺省路由是優(yōu)先被使用的路由B. 缺省路由是最后一條被使用的路由C. 缺省路由是一種特殊的靜態(tài)路由D. 缺省路由是一種特殊的動(dòng)態(tài)路由48、對(duì)路由器 A 配置 RIP 協(xié)議，并在接口 S0(IP 地址為 10.0.0.1/24） 所在網(wǎng)段使

19、能 RIP 路由協(xié)議， 在全局配置模式下使用的第一條命令是 :"a"A. ripB. rip 10.0.0.0C. network 10.0.0.1D. network 10.0.0.049、對(duì)于 RIP 協(xié)議，可以到達(dá)目標(biāo)網(wǎng)絡(luò)的跳數(shù) （所經(jīng)過(guò) 路由器的個(gè)數(shù) ）最多為 :"b"A. 12B. 15C. 16D. 沒(méi)有限制50、支持可變長(zhǎng)子網(wǎng)掩碼的路由協(xié)議有 :"bcd"A. RIP v1B. RIP v2C. OSPFD. IS-IS51、在路由器所有接口上使能 RIP 協(xié)議的命令是 :"a"A. network

20、allB. neighborC. enableD. rip enable52、當(dāng)接口運(yùn)行在 RIP-2 廣播方式時(shí)，它可以接收的報(bào)文有 :"acA. RIP-1 廣播報(bào)文B. RIP-1 組播報(bào)文C. RIP-2 廣播報(bào)文D. RIP-2 組播報(bào)文53、以下對(duì)路由優(yōu)先級(jí)的說(shuō)法，正確的是 "bcd"A. 僅用于 RIP 和 OSPF 之間B. 用于不同路由協(xié)議之間C. 是路由選擇的重要依據(jù)D. 直接路由的優(yōu)先級(jí)缺省為 054、您認(rèn)為下列說(shuō)法哪些是不正確的 ?"cd"A. 每條靜態(tài)路由的優(yōu)先級(jí)也可以不相同B. 缺省情況下路由優(yōu)先級(jí)的次序是OSPF

21、> RIPC. 路由算法產(chǎn)生一種權(quán)值來(lái)表示路由的好壞。通常情況下， 這種權(quán)值越大，該路徑越好D. 為了便于網(wǎng)絡(luò)的管理，人為地將互聯(lián)網(wǎng)劃分成若干自治系統(tǒng)。 每一個(gè)自治系統(tǒng)由運(yùn)行同一路由協(xié)議的路由器組成55、下列描述中，哪些是錯(cuò)誤的？"cd"A. 當(dāng)?shù)侥骋荒康牡氐撵o態(tài)路由為“reject!性時(shí)，任何去往該目的地的IP報(bào)文都將被丟棄，并通知源主機(jī)目的地為不可達(dá)B. 當(dāng)?shù)侥骋荒康牡氐撵o態(tài)路由為“blackhole屬性時(shí)，任何去往該目的地的IP報(bào)文都將被丟棄，不通知源主機(jī)目的地為不可達(dá)C. 當(dāng)?shù)侥骋荒康牡氐撵o態(tài)路由為“rejec屬性時(shí)，任何去往該目的地的IP報(bào)文都將被丟棄，不通

22、知源主機(jī)目的地為不可達(dá)D. 當(dāng)?shù)侥骋荒康牡氐撵o態(tài)路由為“blackhole屬性時(shí)，任何去往該目的地的IP報(bào)文都將被丟棄，通知源主機(jī)目的地為不可達(dá)56、動(dòng)態(tài)路由協(xié)議的基本功能是當(dāng)網(wǎng)絡(luò)中的路由發(fā)生改變時(shí)， 將此改變迅速有效的傳遞到網(wǎng)絡(luò)中的每一臺(tái)路由器。同時(shí)，由于網(wǎng)絡(luò)傳遞的不可靠、時(shí)延等各種偶然因素的存在， 可能造成路由信息的反復(fù)變化，從而導(dǎo)致網(wǎng)絡(luò)的不穩(wěn)定。 RIP協(xié)議引入了（ "bed"）等機(jī)制，較為有效的解決了這些問(wèn)題：A. 觸發(fā)刷新B. 路由保持C. 水平分割D. 毒性路由對(duì)一個(gè)500個(gè)節(jié)點(diǎn)的網(wǎng)絡(luò)環(huán)境如何規(guī)劃？需要如何做配置策略？對(duì)于500個(gè)點(diǎn)的網(wǎng)絡(luò)環(huán)境，將可能用到 25臺(tái)

23、24 口的普通交換機(jī)，例如2950.這些交換機(jī)作為接入層設(shè)備，需要做的配置策略是ip-mac綁定，根據(jù)端口歸屬vlan，做trunk。建議每三到四層樓，配備一個(gè)三層交換機(jī)，例如3550，3560作為匯聚層設(shè)備承擔(dān)樓層交換機(jī)的接入工作，需要做的配置策略是在此劃分vian,做trunk,做pvst,同時(shí)考慮到保障性能，需要做qos。這樣的網(wǎng)絡(luò)中可能用到3到5臺(tái)三層交換機(jī)，視區(qū)域密度情況而定。這些交換機(jī)將通過(guò)垂直布線線系統(tǒng)連接到機(jī)房的核心交換機(jī)，例如4507, 6500等核心交換機(jī)。需要做的配置策略可以是hsrp/pvst。說(shuō)說(shuō)你對(duì)網(wǎng)絡(luò)技術(shù)的了解？或者說(shuō)你認(rèn)為你具備了哪些方面的能力？這種問(wèn)題答個(gè)大概

24、就行了不過(guò)要有語(yǔ)言邏輯層次關(guān)系要明確我的答案：網(wǎng)絡(luò)技術(shù)是一門(mén)綜合性的技術(shù)，可以分為幾個(gè)方面來(lái)說(shuō)：硬件方面：我對(duì)cisco和h3c的網(wǎng)絡(luò)產(chǎn)品和產(chǎn)品線比較熟，對(duì)防火墻也比較熟悉，用過(guò)天融信和啟明的產(chǎn)品。網(wǎng)絡(luò)技術(shù)方面：能根據(jù)拓?fù)鋵?xiě)的出一個(gè)小型網(wǎng)絡(luò)中需要使用的配置命令，太復(fù)雜的涉及到 mstp/熱備/就不好直接寫(xiě)了，怕出錯(cuò)。需要查文檔才能寫(xiě)。在模擬器上搞ospf的模擬組網(wǎng)問(wèn)題不大， bgp和isis目前還 不行了，可以理解這些協(xié)議但是沒(méi)有應(yīng)用過(guò)。 mpls可以理解，還沒(méi)有實(shí) 際應(yīng)用過(guò)。網(wǎng)絡(luò)應(yīng)用方面：存儲(chǔ)方面的知識(shí)我不懂，加密的那些 des/ssl/gre協(xié)議我 都能理解，也使用硬件設(shè)備在真實(shí)環(huán)境中搭建

25、過(guò) ssl/ pptp vpn通道。在 win平臺(tái)和lin平臺(tái)搭建各種服務(wù)器還是沒(méi)有問(wèn)題的；沒(méi)有做過(guò)網(wǎng)頁(yè)，最多只能改改網(wǎng)站模板。網(wǎng)絡(luò)安全方面：這是我的長(zhǎng)項(xiàng)，就隨口發(fā)揮吧 請(qǐng)問(wèn)如何從技術(shù)角度來(lái)理解整體網(wǎng)絡(luò)安全 我的理解：技術(shù)角度來(lái)說(shuō)，一個(gè)整體的網(wǎng)絡(luò)安全應(yīng)該是一個(gè)立體防護(hù)模式。1、 網(wǎng)關(guān)安全，這里涉及到的安全技術(shù)有 firewall、anti-virus-firewall、ids、ips、acl以及網(wǎng)絡(luò)設(shè)備的加固。2、服務(wù)系統(tǒng)安全。涉及到的技術(shù)有服務(wù)器系統(tǒng)加固、滲透測(cè)試、放置于dmz區(qū)，劃歸與獨(dú)立vlan,設(shè)置acl安全策略。3、用戶桌面安全防護(hù)，涉及到的安全防護(hù)點(diǎn)有 網(wǎng)絡(luò)版殺毒軟件實(shí)現(xiàn)統(tǒng)一漏洞檢

26、測(cè)、分發(fā)、統(tǒng)一病毒庫(kù)升級(jí)以及掃描、使用上網(wǎng)行為管理設(shè)備限制用戶的行為，比如封 u盤(pán)、封url、mac地址綁定、限制下載等 安全策略。4、網(wǎng)絡(luò)外部安全，這主要是數(shù)據(jù)間的傳輸安全，涉及到的安全技術(shù)有vpn、VLANVLAN，是英文Virtual Local Area Network 的縮寫(xiě)，中文名為"虛擬局域網(wǎng)"， VLAN 是一種將局域網(wǎng)（LAN ）設(shè)備從邏輯上劃分（注意，不是從物理上劃分）成一個(gè)個(gè) 網(wǎng)段（或者說(shuō)是更小的局域網(wǎng)LAN ），從而實(shí)現(xiàn)虛擬工作組（單元）的數(shù)據(jù)交換技術(shù)。VLAN這一新興技術(shù)主要應(yīng)用于交換機(jī)和路由器中，但目前主流應(yīng)用還是在交換機(jī)之中0不過(guò)不是所有交換機(jī)

27、都具有此功能， 只有三層以上交換機(jī)才具有此功能，這一點(diǎn)可以查看相應(yīng)交換機(jī)的說(shuō)明書(shū)即可得知。 VLAN的好處主要有三個(gè)：(1) 端口的分隔。即便在同一個(gè)交換機(jī)上，處于不同 VLAN 的端口也是不能通信 的。這樣一個(gè)物理的交換機(jī)可以當(dāng)作多個(gè)邏輯的交換機(jī)使用。(2) 網(wǎng)絡(luò)的安全。不同 VLAN 不能直接通信，杜絕了廣播信息的不安全性。(3) 靈活的管理。更改用戶所屬的網(wǎng)絡(luò)不必?fù)Q端口和連線，只更改軟件配置就可 以了。VLAN 技術(shù)的出現(xiàn)， 使得管理員根據(jù)實(shí)際應(yīng)用需求， 把同一物理局域網(wǎng)內(nèi)的不同 用戶邏輯地劃分成不同的廣播域，每一個(gè) VLAN 都包含一組有著相同需求的計(jì)算機(jī)工 作站，與物理上形成的 LA

28、N 有著相同的屬性。 由于它是從邏輯上劃分， 而不是從物理上劃分， 所以同一個(gè)VLAN 內(nèi)的各個(gè)工作站沒(méi)有限制在同一個(gè)物理范圍中， 即這些工作站可以在不同 物理 LAN 網(wǎng)段。由 VLAN 的特點(diǎn)可知，一個(gè) VLAN 內(nèi)部的廣播和單播流量都不會(huì)轉(zhuǎn)發(fā)到其他 VLAN 中，從而有 助于控制流量、減少設(shè)備投資、簡(jiǎn)化網(wǎng)絡(luò)管理、提高網(wǎng)絡(luò)的安全性。 VLAN 除 了能將網(wǎng)絡(luò)劃分為多個(gè)廣播域， 從而有效地控制廣播風(fēng)暴的發(fā)生， 以及使網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)變得 非常靈活的優(yōu)點(diǎn)外，還可以用于控制網(wǎng)絡(luò)中不同部門(mén)、不同站點(diǎn)之間的互相訪問(wèn)。VLAN 在交換機(jī)上的實(shí)現(xiàn)方法，可以大致劃分為六類 :1. 基于端口的 VLAN 這是

29、最常應(yīng)用的一種 VLAN 劃分方法，應(yīng)用也最為廣泛、最有效，目前絕大多 數(shù) VLAN 協(xié)議的交換機(jī)都提供這種 VLAN 配置方法。這種劃分 VLAN 的方法是根據(jù)以太網(wǎng) 交換機(jī)的交換端口來(lái)劃分的，它是將VLAN交換機(jī)上的物理端口和 VLAN交換機(jī)內(nèi)部的PVC (永 久虛電路)端口分成若干個(gè)組，每個(gè)組構(gòu)成一個(gè)虛擬網(wǎng)，相當(dāng)于一個(gè)獨(dú)立的 VLAN 交換機(jī)。 對(duì)于不同部門(mén)需要互訪時(shí)，可通過(guò)路由器轉(zhuǎn)發(fā)，并配合基于 MAC 地址的端口過(guò) 濾。對(duì)某站點(diǎn)的訪問(wèn)路徑上最靠近該站點(diǎn)的交換機(jī)、路由交換機(jī)或路由器的相應(yīng)端口上， 設(shè)定可通過(guò)的 MAC 地址集。這樣就可以防止非法入侵者從內(nèi)部盜用 IP 地址從其他可接 入

30、點(diǎn)入侵的可能。從這種劃分方法本身我們可以看出，這種劃分的方法的優(yōu)點(diǎn)是定義 VLAN 成員 時(shí)非常簡(jiǎn)單，只要將所有的端口都定義為相應(yīng)的 VLAN 組即可。適合于任何大小的網(wǎng)絡(luò)。 它的缺點(diǎn)是如果某用戶離開(kāi)了原來(lái)的端口， 到了一個(gè)新的交換機(jī)的某個(gè)端口， 必須重新定義。2. 基于 MAC 地址的 VLAN這種劃分 VLAN 的方法是根據(jù)每個(gè)主機(jī)的 MAC 地址來(lái)劃分，即對(duì)每個(gè) MAC 地 址的主機(jī)都配置他屬于哪個(gè)組，它實(shí)現(xiàn)的機(jī)制就是每一塊網(wǎng)卡都對(duì)應(yīng)唯一的MAC地址，VLAN交換機(jī)跟蹤屬于 VLAN MAC 的地址。這種方式的 VLAN 允許網(wǎng)絡(luò)用戶從一個(gè)物理位置移動(dòng)到 另一個(gè)物理位置時(shí)，自動(dòng)保留其所屬 VLAN 的成員身份。 由這種劃分的機(jī)制可以看出，這種 VLAN 的劃分方法的最大優(yōu)點(diǎn)就是當(dāng)用戶物 理位置移動(dòng)時(shí)，即從一個(gè)交換機(jī)換到其他的交換機(jī)時(shí)， VLAN 不用重新配置，因?yàn)樗腔?于用戶，而不是基于交換機(jī)的端口。 這種方法的缺點(diǎn)是初始化時(shí)， 所有的用戶都必須進(jìn)行配 置，如果有幾百個(gè)甚至上千個(gè)用戶的話， 配置是