网络规划设计师-网络规划与设计论文(一)

(总分：170.00，做题时间：90分钟)

一、论述题(总题数：3，分数：170.00)

1.试题论电子政务专用网络的规划与设计

随着信息技术在世界范围内的迅猛发展，特别是网络技术的普及应用，电子政务正在成为当代信息化的最重要领域之一。电子政务的推进加快了政府职能转变，提高了政府办事效率，增强了政府服务能力，促进了政务公开和廉政建设。电子政务的实施依托于电子政务专用网络，因而电子政务专用网络有其特有的应用环境和需求，也需要采用特有的技术和方法。

请围绕“电子政务专用网络的规划与设计”论题，依次对以下3个方面进行论述。

(1)概要叙述你参与设计和实施的电子政务专用网络项目(若没有，叙述类似的项目)，以及你所担任的主要工作。

(2)具体讨论你在电子政务专用网络(或类似网络)规划与设计中针对特有的应用环境和需求采用了哪些技术和方法，采取这些技术和方法有何优点?

(3)分析你采取上述技术和方法的效果如何，还有哪些需要进一步改进之处及如何进行改进。

（分数：100.00）

__________________________________________________________________________________________ 正确答案：((1)论文论述的是电子政务专用网络，而不是常规的局域网或广域网的规划与设计，要体现出电子政务应用背景。

(2)叙述自己参与设计和实施的电子政务专用网络项目应有一定的规模，自己在该项目中担任的主要工作应有一定的分量。

(3)能够全面、准确地描述该电子政务专用网络的应用环境和需求，深入地阐述规划与设计的主要内容采用了哪些技术和方法，这些技术和方法要针对电子政务专用网络的特点，具有一定的广度和深度。主要应包括以下内容：

①电子政务核心网络规划与设计(重点)。

·电子政务网络平台构成、IP地址规划及域名规划、路由策略、组播方案设计、MPLS/VPN组网、QoS及流量工程设计等。

·电子政务平台中各单位接入方式、远程和移动用户接入方式。

·网管中心方案、网管中心接入设计、网络管理系统设计。

②传输线路规划与设计。

③主机与存储系统规划与设计。

·主机系统设备选型与配置规划。

·存储系统分析、设计与规划。

④容灾与备份系统规划与设计。

·备份系统建设分析、备份产品选型、备份策略和数据备份的管理等。

·容灾建设策略、容灾系统设计等。

⑤网络安全的规划与设计。网络隔离方式与规划设计、网络监控与入侵防范、网络漏洞扫描、抗DDOS攻击和基于PKI的CA认证等。

(4)对需要进一步改进的地方，应有具体的着眼点，不能泛泛而谈。)

解析：1．电子政务网络建设目标

建设一个党、政、机关各部门信息共享、数据交换的公务网，在政务网内部网络平台上实现各部门、单位开展办公自动化、电子邮件、视频新闻点播、电视电话会议等各类系统应用。建立各类信息数据库，实现各单位的应用软件系统和信息数据库在公务网上进行共享。

政务网的建设项目工程浩大，技术复杂，涉及面广，建设难度大，管理要求高。因此，建设政务网必须按照“统一规划、联合建设、优化存量、共建增量、互连互通、资源共享”的建设目标，采用规划、建设、管理、维护互相融合的新型工程建设模式，达到“总体规划、分步实施、政府监督、企业运作”的建、管、

护一体化的要求。一些现有网络已建成并运作正常，因此在网络建设过程中，必须在保留原有网络资源的

基础上，进行升级、改造。

该网络建成后，全省政府机关系统有了统一的信息交换和应用服务平台，实现以省内网信息共享库为主体，各部委、办、局、区、县信息共享库为基础的按权限、分层次的信息共享机制，将来还可以为各区、县、办、委、局等提供VPN服务等一系列的增值服务。

电子政务信息网的建设目标为：在认真分析政府网络的现状和将来发展状况的基础上，通过对省、地(市)、县三级网络的建设，构筑一个安全、可靠、先进、稳定的专用宽带网络基础平台，实现以下3个目标。

(1)为省、地(市)、县政府办公厅(室)各级局域网提供到省政务信息网的宽带接入服务。

(2)可以提供VPN服务，满足省、地(市)、县政府办公厅(室)纵向连网的要求。

纵向连网是指建设形成各级政府机关本系统内部的，自上而下的省、地(市)、县的三级网络系统，可看做

是局域网办公系统在广域网上的扩展。

以各级政府的计委为例，全省计委的局域网通过各自的中心路由器连接到接入层交换机，再经过汇聚层交

换机，然后接入汇聚层路由器，在汇聚层路由器采用虚拟专网技术，形成省到地(市)，地(市)到所属各县

的三层网络结构，实现计委系统内部的全省连网。通过纵向连网，可在全省范围内形成专用的计委系统网络，实现全省计委系统内部的办公自动化、视频会议、电子邮件等应用。

(3)可以实现以省、地(市)、县三级政府办公厅为核心横向连接直属各部门及有关部门的横向网，实现不同行业系统间的信息共享。

横向网是在建设纵向网络的基础上，省、地(市)、县各级局域网的部分特定主机进一步实现在各纵向网之

间的进行信息交换和信息流转。

仍以各级政府的计委为例，计委的所有主机可以通过纵向网在全省计委系统内进行信息共享，其中，部分

特定主机还可以对其他行业采用同样技术的特定主机互相实现信息共享，如财政系统。同样，其他行业局

域网的部分特定主机也能和另外任一行业局域网的特定主机之间进行互访。

横向网中所有主机在网络规划上以省、地(市)、县三级政府办公厅为核心分为省、地(市)、县三级，各自

公布相应级别、行业的公共信息，但在信息共享访问上没有省、地(市)、县级别控制，即横向网中县计委

的特定主机可以访问横向网中省财政厅局域网的特定主机。

对于各行业系统特殊、局部的公共信息由各行业按规定通过授权访问等方式实现。

2．电子政务业务需求

电子政务信息网络建设完成后，网络性能上能满足开展下列业务的需要。

(1)广域网办公系统：各级政府机关在建立相对独立的各自内部办公系统的基础上，再在广域网上实现纵向省、市、县等各级政府机关文件传递、信息传递、多媒体信息交换、值班应急系统等政府机关办公功能，

以及各纵向网络之间横向的信息发布和相互查询需要(允许)互访的信息资源的功能。

(2)视频会议系统：实现政府系统信息网内纵向及系统间横向的多点对多点的桌面视频会议系统。

(3)IP语音系统：实现政府系统信息网内纵向及系统间横向的IP语音电话系统。

(4)电子邮件系统：建设覆盖省、地(市)、县及各厅、局、委、办的电子邮件消息传递系统。通过该系统实现全省范围内的电子邮件邮递功能，便于信息传递和人员的沟通与交流。

(5)信息发布：通过WWW服务器将公共信息发布到网上，供省、地(市)、县及厅、局、委、办浏览，实现信息共享，提高信息利用率。

(6)数据共享中心：将各部门可以共享的数据放在党政信息网的党政内部公共平台上，实现最大限度的数据共享。

(7)应用服务：为部分委、办、局单位提供托管服务，并针对其特定的业务流程，制订网上业务，处理应用程序，提供专业的全面的系统服务。

(8)VPN服务：为单位的分局、分部分散在全市各区的各级单位提供虚拟专网服务(Virtual Private Network)；各VPN间原则上不进行资源共享。

(9)安全体系：提供整个网络的安全手段，包括登录控制、身份认证、授权管理、安全审计、传输加密、数字签名、防范病毒、过程控制、文件保护、防火墙技术、桌面保护、物理隔离、定期漏洞检测、受攻击报警、防辐射干扰等功能，确保系统和信息的安全可靠。

在论文中重点论述VPN网络、数据中心建设及安全技术应用。

2.试题论网络系统的安全设计

网络的安全性及其实施方法是网络规划中的关键任务之一，为了保障网络的安全性和信息的安全性，各种

网络安全技术和安全产品得到了广泛使用。

请围绕“网络系统的安全设计”论题，依次对以下3个方面进行论述。

(1)简述你参与设计的网络安全系统及你所担任的主要工作。

(2)详细论述你采用的保障网络安全和信息安全的技术和方法，并着重说明你所采用的软件、硬件安全产品及管理措施的综合解决方案。

(3)分析和评估你所采用的网络安全措施的效果及其特色，以及相关的改进措施。

（分数：30.00）

__________________________________________________________________________________________ 正确答案：((1)论文叙述自己参与设计和实施的网络项目应有一定的规模，自己在该项目中担任的主要工作应有一定的分量。

(2)能够全面和准确地论述采用的保障网络安全和信息安全的技术和方法，从软件、硬件及管理措施等多个角度进行说明，具有一定的广度和深度。主要应从以下几个方面进行论述。

①网络平台及计算机系统的物理安全。

②网络平台的数据链路安全。

③主要网络安全技术和方法。物理隔离技术、防火墙、网络监控与入侵防范、网络漏洞(弱点)扫描、抗DDoS 攻击和安全黑洞等。系统平台安全、操作系统安全、应用软件和数据库系统安全、系统安全管理和系统病毒防范。

④网络应用系统安全。防网页篡改、反垃圾邮件等。

⑤可靠性与容错、容灾安全。

⑥数据安全。数据传输安全、数据存储安全等。

⑦基于PKI的CA认证。认证中心、注册登记机构RA、PKI/CA建设思路。

⑧安全管理制度。建立完善的安全管理组织机构、安全评估的管理、具体安全策略的管理、工程实施的安全管理、接入管理、建立完善的安全管理制度、运行管理、应急处理、联合防护等。

(3)对需要进一步改进的地方，应有具体的着眼点，不能泛泛而谈。)

解析：企业网络安全应从以下几个方面考虑：

1．物理层安全

物理层的安全主要是对设备和链路及其物理环境的安全保护。这里着重考虑信息中心的建设。信息中心作为企业的数据中心，承载所有应用服务器的运行，所以，信息中心的安全是最基础的安全保障。信息中心的建设除了要保证温度、湿度、防雷、防火及不间断供电以外，还应注重信息中心的综合布线布局，做好整体规划及标记，力争布线的简洁、有序，便于日后维护及故障排查。

2．系统层安全

主要包括操作系统安全和应用系统安全。系统层的安全主要考虑操作系统的漏洞补丁。利用内网架设的补丁升级中心(WSUS)，对于微软发布的系统补丁进行补丁下载和安装，提高操作系统的安全性，有效降低系统的安全风险。对于应用系统服务器来说，除了加强登录的身份认证权限，还应该尽量开放最少的端口，保证服务器的正常使用。

3．网络层安全

网络层安全是我们考虑最多，也是防范要求最多的一个层面。这里从以下几个方面进行阐述：

(1)确定安全域的划分。安全域的划分就是制定安全边界。根据资源位置进行划分的目标是将同一网络安全等级的资源，根据对学院的重要性、面临的外来攻击风险、内在的运行风险不同，划分成多个网络安全区域。划分的原则是将同一网络安全层次内客户端之间的连接控制在相同的安全域内，尽量消除不同安全层次之间的联系，实施相互逻辑或物理隔离。

(2)攻击阻断。这里主要采用防火墙、入侵防护、防病毒系统进行外部阻断。

为了保护内部网络，在Internet出口部署防火墙，将内部网络与因特网隔离，只在内部网与外部网之间设立唯一的通道，将攻击危险阻断在外，并限制网络互访，从而保护企业内部网络。另外，利用防火墙的端口设置LAN区、DMZ区及外网区。LAN区是不对外开放区，所有的客户端及需要保护的服务器放置在这个区域里。DMZ区域里放置需要外部访问的服务器，如Web服务器、FTP服务器及邮件服务器。由于防火墙处于网关的位置，不可能对进出攻击做出太多判断，否则会严重影响网络性能。所以，这里需要部署入侵保护

系统(IPS)作为防火墙的有力补充。将IPS串联在主干线路中，是网络安全的第二道屏障，可构成完整的网络安全解决方案。除此之外，我们还可以进行恰当的设置，使防火墙、IPS连动起来。当IPS检测到入侵和攻击后，会通过连动接口部件，将入侵特征和事件报告给防火墙，防火墙接到入侵信息后会动态地修改自己的安全访问控制策略，在下一次防火墙不需要IPS时也可以将入侵流量屏蔽掉。

这样防火墙和IPS连动起来后，防火墙的访问控制规则和IPS的规则链会随着网络安全状况的变化而不断调整，这样不仅能提高安全性，而且不必要的访问控制规则和规则链会被及时地删除掉，对网络性能造成的影响也会降到最低。防病毒系统应该是网络安全的第三道屏障。在网络技术日新月异的今天，即使网络部署了防火墙和入侵保护系统后，仍然会存在漏洞。学院网络应该建立立体防毒体系，就是指在网络的边界处部署硬件防病毒墙，然后再在整个网络内部部署网络版杀毒软件。这样防病毒系统不仅部署在每一个客户端上，能够对源于内部网络的攻击或者是防火墙无法隔离的攻击行为、恶意代码进行阻拦，而且防病毒系统也部署在服务器上和网络边界处。这样从边界到内部整个网络进行立体地防护，极大地提高了全网的防病毒能力，是防火墙及入侵保护系统的有力补充。

(3)远程接入控制。对于外出办公人员，需要通过Internet访问学院本部，这里考虑VPN(虚拟私有网络)技术来实现。

现有VPN技术有IPSECVPN和SSLVPN。从企业目前网络使用情况并考虑日后发展状况，将以IPSECVPN作为点对点连接，再配以SSLVPN的远程访问方案。

(4)身份认证。对于不同的应用，访问者的操作权限应该通过身份认证系统来实现。身份认证有利于保证被访问资源的安全，也是对远程接入安全控制的有益补充。

4．应用层安全

主要包括网页防篡改、数据库的漏洞修补、数据的完整性检验及数据的备份和恢复。这里将注意力大部分集中在数据库的安全上。主要的工作应该是登录的身份验证管理、数据库的使用权限管理和数据库中对象的使用权限管理。对于网页防篡改可以在Web服务器前部署Web应用防火墙。对于数据库来说，为了提高用户访问数据库的速度和数据库中数据的安全性，可以采取磁盘阵列来代替普通的存储设备，极大地扩展了存储容量，在性能和安全性上也有了大幅度的提高。考虑到以后的应用不断增多，数据量不断加大，为了保证性能和安全性，可以着手建设SAN或NAS，甚至可以做异地容灾备份，即使发生自然灾害，也可以在最短的时间内恢复数据应用。

5．网络安全管理体系的建立

实现网络安全的过程是复杂的。这个复杂的过程需要严格有效的管理才能保证整个过程的有效性，才能保证安全控制措施有效地发挥其效能，从而确保实现预期的安全目标。因此，建立有组织的安全管理体系是网络安全的核心。其过程如下：

(1)安全需求分析。明确目前及未来几年的安全需求，即需要建设什么样的网络，网络状况如何，未来发展如何等，有针对性地构建适用的安全体系结构，从而有效地保证网络系统的安全。

(2)制订安全策略。根据不同部门的应用及安全需求，分别制定部门的计算机网络安全策略，做到资源最优化。

(3)外部支持。通过专业的安全服务机构的支持，将使网络安全体系更加完善，并可以得到更新的安全资讯，为计算机网络安全提供预警。定期进行巡检，保证所有网络设备和安全系统的运转正常，提早发现隐患，将网络故障对学院整体的影响降至最低。

6．计算机网络安全管理

安全管理是计算机网络安全的重要环节之一，也是计算机网络安全体系结构的基础性组成部分。通过恰当的管理活动，规范组织的各项业务活动，使网络有序地运行，这是获取安全的一个重要条件。安全管理是构建安全架构的核心。网络安全所要达到的目的是保证网络应用在需要时可以被随时使用。在安全方面，我们倡导“三分技术，七分管理”，指的是通过管理手段和技术手段来实现更高的安全性。信息安全管理包括安全技术和设备的管理、安全管理制度、部门与人员的组织规则等。管理措施的另外一个方面就是加强网络安全宣传，提高学院职工对网络安全的认识和保护网络安全的自觉性，从每个网络用户开始进行“主动防护”，防止“病从口入”。

3.试题论网络规划与设计中的可扩展性问题

网络技术的发展非常迅速，不仅原有技术不断升级换代，而且新的技术也不断涌现。同时，组织的网络应用需求也在不断提升，这一切对网络的升级提出了迫切需求。而组织的网络经常重建的可能性非常小，一般都是采取升级的方式来提高网络的性能。这就要求网络在规划和设计之初要充分考虑网络的可扩展性。

请围绕“网络规划与设计中的可扩展性问题”论题，依次对以下3个方面进行论述。

(1)简要叙述你参与设计和实施的大中型网络项目及你所担任的主要工作。

(2)详细论述你在网络规划和设计中提高网络可扩展性的思路与策略，以及所采用的技术和方法。

(3)分析和评估你所采用的提高网络可扩展性措施的效果，以及相关的改进措施。

（分数：40.00）

__________________________________________________________________________________________ 正确答案：((1)叙述自己参与设计和实施的网络项目应有一定的规模，自己在该项目中担任的主要工作应有一定的分量。

(2)能够全面和深入地论述提高网络可扩展性的思路与策略，以及所使用的技术和方法，从硬件、软件及管理措施等多个角度进行说明，具有一定的广度和深度。主要从以下几个方面进行论述：

①在网络拓扑结构方面。

②在综合布线方面。

③在网络设备方面。

④IP地址规划。

⑤在系统软件、应用软件方面。

⑥在网络安全方面。

(3)对提高网络可扩展性措施的效果及需要进一步改进的地方，应有具体的着眼点，不能泛泛而谈。)

解析：网络系统的可扩展性需求决定了新设计的网络系统适应用户企业未来发展的能力，也决定了网络系统对用户投资的保护能力。试想一个花了几十万元构建的网络系统，可就在使用不到一年，因为公司用户量的小幅增加，或者增加、改变了一些应用功能模块就无法适应了，需要重新淘汰一部分原有设备或应用系统，甚至需要全面改变原有网络系统的拓扑结构，其损失之大是一般企业都无法承受的，也是不允许的。网络系统的可扩展性能到底需要多高并不是凭空设想的，而是要根据具体用户网络规模的发展速度(根据最近一年的发展情况和对未来发展的预计估算)、关键应用特点。网络系统的可扩展性需求保证主要是为了适应网络用户的增加、网络性能需求的提高、网络应用功能的增加或改变等方面。

网络系统的可扩展性最终体现在网络拓扑结构、网络设备，特别是硬件服务器的选型，以及网络应用系统的配置等方面。

1．网络拓扑结构的扩展性需求分析

在网络拓扑结构方面，所选择的拓扑结构是方便扩展，要能满足用户网络规模发展需求。在网络拓扑结构中，网络扩展需求全面体现在网络拓扑结构的三层(通常为三层，那就是核心层(或称“骨干层”)、汇聚层和边缘层)。一般的网络规模扩展主要是关键结点和终端结点的增加，如服务器、各层交换机和终端用户的增加。这就要求在拓扑结构中的核心层交换机上要留有一定量(具体量的确定要根据相应用用户的发展速度而定)的冗余高速端口，以备新增加的服务器、汇聚层交换机等关键结点的连接。通常是少数关键结点的增加可直接在原结构中的核心交换机上冗余的端口上连接，如果需要增加的关键结点比较多，则可以通过增加核心层交换机，或者汇聚层交换机集中连接。而在汇聚层，也应留有一定量的高速端口，以备新增加的边缘层交换机或终端用户的连接。少数的终端用户增加也应可以直接使用边缘层交换机上冗余端口连接，如果增加的终端用户比较多，则可使用汇聚层的高速冗余端口，新增一个边缘交换机集中连接这些新增的终端用户。

2．交换机的扩展性需求分析

交换机端口的冗余可通过实际冗余和模块化扩展两种方式来实现。实际冗余是对于固定端口配置的交换机而言，而模块化结构交换机的端口可扩展能力要远好于固定端口配置的交换机，当然价格也贵许多。具体原结构中各层所应冗余的端口数是多少，则要视具体的网络规模和发展情况而定。

可扩展性需求在网络设备选型方面的要求主要体现在端口类型和速率配置上，特别是核心层和汇聚层交换机。如原来网络比较小，但企业网络规模发展比较快，此时，在选择核心、汇聚层交换机时就要注意评估一下是否要选择支持光纤的千兆交换机，尽管目前可能用不上，但可能在很短的几年后就要用到高性能的光纤连接，如与服务器、数据存储系统等的连接。当然双绞线千兆的支持是必不可少的，而且还要评估一下需要多少个这样的端口，要冗余多少个双绞线和光纤端口。如果在网络系统设计时没有充分的考虑，则当用户规模，或者应用需求提高，需要使用光纤设备时，则原来所选择的核心和汇聚层交换机都不适用，

需要重新购买了，只能作为边缘层交换机使用了，浪费了用户的投资。

3．WLAN网络的扩展性需求分析

与交换机类似的设备就是WLAN网络中的无线接入点(AP)，它同样有了连接性能问题。因为目前来说，WLAN 设备的连接性能还较低，所以通常来说，设备所支持的WLAN标准决定了设备的用户支持数。如IEEE 802.11g 接入点设备通常只支持20个用户同时连接，即使可以连接再多的用户也没有多大意义，因为这样用户分得的带宽就会大大下降，不能满足用户的应用。在WLAN网络的可扩展性方面，要注意的是频道的分配了，因为总的可用频道有限(15个)，而在同一覆盖范围中可用的上涨幅度频道就更少了(只是3个)，所以在网络系统设计之初应尽可能预留一些频道给将来扩展，不要全部占用。

4．服务器系统的扩展性需求分析

网络设备的可扩展性需求的另一个重要方面就是硬件服务器的组件配置了，非常重要。现在国内外几大主要服务器厂商，如IBM、HP、SUN、联想、浪潮、曙光等都有类似的“按需扩展”理念，为客户提供灵活的扩展方案。因为一般的服务器价格非常贵(入门级的价格通常在2万元以内，工作组的价格通常在5万元以内，部门级的价格通常在8万元以内，企业级的价格通常在12万元以上)，如果因为扩展性不好，在短时间内遭到淘汰的话，则是一种极大的投资浪费。服务器的可扩展性主要体现在支持的CPU数、内存容量、磁盘架数、I/O接口数和服务器有群集能力等几个方面。部门级以下的服务器通常都是采用对称多处理器(Symmetrical Multi-Processing, SMP)来支持处理器扩展的，目前最高的SMP处理器数为8个，超过8个的通常是采取大规模并行处理器(Massively ParallelProcessor, MMP)和NUMA(Non-uniform Memory Access)。所配置的内存插槽数一般最少为4条或以上，以备扩展。所支持最大内存容量也要视不同的网络规模和应用而定，小型普通企业服务器系统应支持至少4GB内存，而大型普通企业服务器系统应至少支持12GB。在磁盘扩展性方面，通常是取决于所提供的磁盘架(其实也就是磁盘接口数)，当然在一定程度也决定了相应服务器系统所能提供的最大磁盘容量。通常小型企业应选择至少能支持5个以上的磁盘架服务器系统，而大型企业则需要选择具有12接口的服务器系统。

以上是针对局域网系统进行介绍的，在广域网中同样存在可扩展性方面的需求，如WAN连接线路、WAN连接方式、支持的用户数和业务类型等方面。一方面体现在像路由器之类的网络边界设备的WAN端口数和所支持的WAN网络接口类型上；另一方面体现在所选择的广域网连接方式所能提供的网络带宽是否可以满足用户数的不断增加，是否支持当前和未来可能需要的业务类型。如分组交换网、帧中继、DDN专线的速率通常是在2Mbps以内，通常只适用于小型用户的普通电话类业务，不适用于大中型企业用户和像实时的多媒体业务和大容量的数据传输。而ATM的传输速率可达622Mbps，全面支持几乎所有接入网类型和业务，但实现成本较贵，并且对以太网业务的支持不是很好。

5．应用系统的可扩展性需求分析

在网络应用系统功能配置上，一方面要全面满足当前及可预见的未来一段时间内的应用需求；另一方面要能方便地进行功能扩展，可灵活地增减功能模块。