免费智能真题库 > 历年试卷 > 网络规划设计师 > 2015年下半年 网络规划设计师 上午试卷 综合知识
  第53题      
  知识点:   交换机   缺点   数据备份   网络系统的设计过程   备份策略   财务系统   地址映射   防火墙   迁移   虚拟化技术   业务需求   应用服务
  关键词:   备份策略   地址映射   防火墙   服务器   故障   交换机   数据备份   虚拟化   虚拟机   需求   数据        章/节:   网络分析与设计过程       

 
某高校欲构建财务系统,使得用户可通过校园网访问该系统。根据需求,公司给出如下2套方案。
方案一:
1)出口设备采用一台配置防火墙板卡的核心交换机,并且使用防火墙策略将需要对校园网做应用的服务器进行地址映射
2)采用4台高性能服务器实现整体架构,其中3台作为财务应用服务器、1台作为数据备份管理服务器;
3)通过备份管理软件的备份策略将3台财务应用服务器的数据进行定期备份。
方案二:
1)出口设备采用1台配置防火墙板卡的核心交换机,并且使用防火墙策略将需要对校园网做应用的服务器进行地址映射
2)采用2台高性能服务器实现整体架构,服务器采用虚拟化技术,建多个虚拟机满足财务系统业务需求。当一台服务器出现物理故障时将业务迁移到另外一台物理服务器上。
与方案一相比,方案二的优点是(53)。方案二还有一些缺点,下列不属于其缺点的是(54)。
 
 
  A.  网络的安全性得到保障
 
  B.  数据的安全性得到保障
 
  C.  业务的连续性得到保障
 
  D.  业务的可用性得到保障
 
 
 

 
  第50题    2016年下半年  
   58%
自然灾害严重威胁数据的安全,存储灾备是网络规划与设计中非常重要的环节。
传统的数据中心存储灾备一般采用主备模式,存在..
  第56题    2015年下半年  
   42%
某大学拟建设无线校园网,委托甲公司承建,甲公司的张工带队去进行需求调研,获得的主要信息有:
校园面积约4km2
  第49题    2016年下半年  
   56%
自然灾害严重威胁数据的安全,存储灾备是网络规划与设计中非常重要的环节。
传统的数据中心存储灾备一般采用主备模式,存在..
   知识点讲解    
   · 交换机    · 缺点    · 数据备份    · 网络系统的设计过程    · 备份策略    · 财务系统    · 地址映射    · 防火墙    · 迁移    · 虚拟化技术    · 业务需求    · 应用服务
 
       交换机
        机架式交换机是一种插槽式的交换机,这种交换机扩展性较好,可支持不同的网络类型,如以太网、快速以太网、千兆位以太网、ATM、令牌环及FDDI(Fiber Distributed Data Interface,光纤分布式数据接口)等,但价格较贵。固定配置式带扩展槽交换机是一种有固定端口数并带少量扩展槽的交换机,这种交换机在支持固定端口类型网络的基础上,还可以支持其他类型的网络,价格居中。固定配置式不带扩展槽交换机仅支持一种类型的网络,但价格最便宜。
        交换机的性能指标主要有机架插槽数、扩展槽数、最大可堆叠数、最小/最大端口数、支持的网络类型、背板吞吐量、缓冲区大小、最大物理地址表大小、最大电源数、支持协议和标准、支持第3层交换、支持多层(4~7层)交换、支持多协议路由、支持路由缓存、支持网管类型、支持端口镜像、服务质量(Quality of Service,QoS)、支持基于策略的第2层交换、每端口最大优先级队列数、支持最小/最大带宽分配、冗余、热交换组件、负载均衡等。
 
       缺点
        包过滤路由器的缺点:
        (1)配置困难。因为包过滤防火墙很复杂,人们经常会忽略建立一些必要的规则,或错误配置了已有的规则,在防火墙上留下漏洞。然而在市场上,许多新版本的防火墙对这个缺点正在作改进,如开发者实现了基于图形化用户界面的配置和更直接的规则定义。
        (2)为特定服务开放的端口存在着危险,可能会被用于其他传输。例如,Web服务器默认端口为80,当计算机上又安装了RealPlayer,软件会自动搜寻可以允许连接到RealAudio服务器的端口,而不管这个端口是否被其他协议所使用,这样无意中RealPlayer就利用了Web服务器的端口。
        (3)可能还有其他方法绕过防火墙进入网络,如拨入连接。但这个并不是防火墙自身的缺点,而是不应该在网络安全上单纯依赖防火墙的原因。
        总的来说,包过滤路由器有维护困难、不支持用户鉴别的缺点。
 
       数据备份
        数据备份策略和数据恢复的目的在于最大限度地降低系统风险,保护网络最重要的资源——数据,在系统遇到灾难后,能够提供一种简捷、有效的手段来恢复整个网络。
        数据备份和数据恢复的基本功能包括文件备份和恢复、数据备份和恢复、系统灾难的恢复、备份任务的管理。
        常见的数据备份策略包括以下三种,通常是有机地结合使用,以发挥最佳效果。
        (1)完全备份:备份系统中所有数据。
        (2)增量备份:只备份上次备份后有变化的数据。
        (3)差分备份(也称为累计备份):是指备份上次完全备份以后有变化的数据。
        使用时,通常是分三个周期执行。例如,每年完全备份一次、每季差分备份一次、每月增量备份一次。
 
       网络系统的设计过程
        明确了网络系统的需求、网络系统的设计目标和现有的设备和技术资源后,就可以进行实际的网络设计工作了,本节将一步步地讲解具体的网络设计的工作。
                      确定协议
                      需要确定应该使用哪种或哪些网络协议才能满足系统的需求,因为网络协议会根本地影响网络的拓扑结构,影响网络的带宽、使用的设备甚至传输的距离。
                             确定数据链路层协议
                             数据链路层协议的确定对网络相当重要,它决定网络的类型,如使用IEEE802.3u的网络就一定是100MB以太网,使用IEEE802.5的网络就是令牌网。是用以太网、令牌网,还是用FDDI、ATM?还是几种协议混用?要解决这些问题,需要从下面几方面来考虑:
                             (1)原有的网络设备的利用:设计一个系统,不得不考虑对原有系统的利用,以降低成本、减少系统实施周期。这样就得考虑,原有的网络设备能否在新的网络协议下运行的问题。
                             (2)网络带宽:如果网络的通信量很低,选择FDDI和ATM这种高带宽高成本的网络是没有必要;而如果网络的通信量很高,经常要承载多媒体信息的传输,那就不能用低速度的网络,如X.25、IDSN等。
                             (3)传输距离:各种网络协议传输的距离要求是不同的,有些协议是局域网的协议,如以太网、令牌网,其本质上只能在很小的范围内建立网络;有些协议却能在很大范围内创建,如FDDI、ATM、X.25、ISDN、DSL、帧中继等。
                             (4)费用问题:选择协议也得考虑费用,每种协议对应的网络设备和服务费用都是不相同的,甚至相差很大,FDDI、ATM、SONET等设备和服务费用高昂,但速度很快,而DSL、ISDN等费用低廉但速度比较慢,就需要在速度和费用上进行合理的选择。
                             (5)选择新技术:有些技术和协议被认为是过时的,就不应该再选择它,支持它的厂家和设备将会很少,这会给将来的网络扩展和系统维护都带来很大的问题。
                             网络上并不一定是运行单一的网络协议,为了达到网络系统需求,常常要将多个网络协议组合起来使用。
                             确定传输层和网络层协议
                             传输层和网络层协议对网络系统的影响没有数据链路层协议大,它主要是运行在网络终端上,经常是多个协议联合使用。传输层和网络层协议对运行在网络层以上各层的设备有一定的影响。如有的路由器只支持TCP/IP协议或IPX/SPX协议,因此使用此设备,就得用相应的协议和它通信。另外,有些协议不支持路由,如NetBEUI就不适合在有路由的网络上运行。
                      确定拓扑结构
                      网络设计的很大部分工作应该是在进行网络拓扑结构的确定上,网络拓扑的设计采用自上而下的方法,先决定整体然后才决定部分。
                             分析原有系统拓扑结构
                             在设计网络系统时,必须考虑对原有系统的利用和继承,如果原有系统的通信线路还能够在新系统中运行,就没必要进行更换,这样就有需要将原有的拓扑结构利用起来。当然,如果以前的通信线路没法再使用,就需要重新设置通信线路,这样就和设计一个全新的系统没有什么两样了。
                             原有系统在新系统中可能只是一个子网络,也有可能新系统是在原系统上进行的结点的扩展,这两种情形下新网络系统的设计可以说是两种概念,后一种情况网络拓扑结构基本没有什么变化,主要考虑设备的添加或更换即可;而前一种情况需要对网络整体拓扑结构有一个重新设计,设计时还需要考虑对原有系统的连接。
                             确定拓扑结构
                             根据现有的网络状况和现有的投入以及实际的物理条件确定拓扑结构。
                             确定服务器位置
                             成功地设计一个网络,其中一个关键就是设计者要了解网络对服务器功能和位置的需求。服务器提供文件共享、打印、通信和应用服务。典型服务器的运行方式不同于工作站,它们运行特定的操作系统,如Netware、Windows NT、UNIX或Linux。目前,每个服务器通常用来提供一种功能,如E-mail或文件共享。
                             可以把服务器分为两类;企业服务器和工作组服务器。企业服务器支持所有用户在网络上提出的服务请求,如主域控制器、E-mail服务器、DNS服务器、Web服务器等,每个人都需要此类服务。工作组服务器只为特定的用户群提供服务,如字处理、文件共享等,只有部分用户需要这些服务。
                             企业服务器要放置在主配线设备(Main Distribution Facility,MDF)上,这样服务器的数据只发送到MDF而不必通过其他网络进行传输。在理想情况下,工作组服务器应该放置在距离应用其服务的用户群最近的中间配线设备(Intermediate Distribution Facility,IDF)上。现在要把服务器直接连接到MDF或IDF上。把工作组服务器放在离用户最近的线路上,数据流只能通过网络到达IDF,而这不会影响在这个网络上的其他用户;服务器应该接到交换机或集线器的最大速率的端口上,以给服务器提供最大的带宽。
                             确定配线间位置
                             在一个大楼中,应该在每个楼层都设一个配线间,将IDF和一些工作组服务器就放置其中,而在大楼的底层设一个主配线间,将MDF、企业服务器和路由器等远程联网设备放入其中。当然如果联网的范围不只一幢大楼,那么大楼底层只是放一个高一级的IDF,大楼级的IDF需要和MDF用垂直电缆相连。
                             结点编号和线路编号
                             为了更好地标识每个结点和线路,在网络拓扑设计时就应该对每个结点和每个线路进行编号。一般来说每个终端结点的编号应该体现出此结点的物理位置,标识该结点的房间号、面板位置号、端口位置号,如ws-30-3A就是一个很好的编号。中间结点可以用层次来表示,如MDF0、IDF1、IDF1-1分别表示MDF结点、一级IDF结点、二级IDF结点。
                             线路的编号应该与其连接的两个结点的最低级别的结点编号一致,并且在线路的两头都应该进行编号标记,这样以后才好辨认维护。
                      确定连接
                      电缆在网络设计中是最重要的组成部分之一,直接关系到链路的通信能力。设计方案中包括所用布线的类型(典型的铜线、电缆或光纤)和整个网络的布线结构,网络传输介质包括第5类UTP和光缆以及符合EIA/TIA 568标准的连接介质。
                      除了长度限制外,还应该仔细考虑各种拓扑结构的优缺点,因为底层的物理线路是网络有效运行的重要保证,在网络运行中出现的大部分问题是物理层的问题。如果计划对某网络进行重大改动,应对要升级或重新布线地区的电线进行彻底的检查。
                      无论设计新网络还是为己有的网络重新布线,或在网络上应用高速技术,例如高速以太网、ATM或吉位以太网技术,至少在布线系统上主干应使用光纤,水平连接线应使用第5类非屏蔽双绞线。线路的升级要先于其他应用的升级,而公司必须保证这些系统要符合既定的企业标准,如EIA/TIA568标准。
                      EIA/TIA568标准规定每台连接到网络的设备要通过电缆连接到一台中心设备,该标准还规定,主机与网络连接的第5类非屏蔽双绞线的连接距离不得超过100m。
                      双绞线电缆一定要避开高压电缆,如果一定要穿过高压电缆,那只得使用光缆进行连接,只有光缆能够有效地避开电磁干扰。
                      在安装电缆不方便的地方,或终端位置不固定的情况下应该使用无线网络,使用无线网络时必须了解无线网络的传播范围和容量,使用IEEE802.11的无线LAN网络技术要求传播范围在300m以内,如果超过这个范围就要考虑其他的无线MAN或无线WAN技术。
                      确定结点
                      网络中结点对信号一般进行放大、转发、过滤、路由等处理,结点对信号的处理能力直接关系到网络的通信能力。在进行网络设计时,对结点设备的选用要特别重视。
                      由于集线器是每个端口共享带宽,因此使用集线器时,每个端口的带宽是集线器带宽的十几甚至几十分之一。而交换机给每个端口提供独立的带宽,端口最大的带宽也就是交换机的带宽。交换机完全能代替集线器的功能,能够连上集线器的设备都能够连上交换机而不需要任何接口,使用交换机代替集线器显然能大大地提高网络的通信能力。所以对通信需求比较大的终端应该使其和交换机相连。另外越是网络的中心带宽的需求量就越大,所以必须用高速度的交换机和IDF相连,以提高整个网络的通信能力。
                      路由器可以有效地引导数据包从一个网络流向另一个网络,它根据网络资源的占用情况沿着通信量、成本最低的路径发送数据包,路由器还要以隔离部分网络,防止通信繁忙的区域延伸到更主要的网络系统中,防止网络速度降低和广播风暴。根据路由器的这些特征,在通信比较独立的子网络间增加一个路由器,这可以改善网络的通信能力。
                      确定网络的性能
                      网络性能用来衡量网络的可用程度。它受很多因素的影响,包括吞吐量、响应时间和资源的可利用度。
                      不同的用户对性能的要求是不同的。例如,用户可能要在网络上传输音频信号和视频信号,但是这种服务所需的带宽要远远大于网络主干所能提供的带宽,这样,就要靠增加更多的资源来提高数据传输的能力,而增加资源就要提高构建网络的费用,网络设计者要寻找能提供最大限度的服务而费用最少的设计方法。
                      有些特定的网络应用能产生巨大的流量,因此网络在此时有可能产生拥塞,具体情况如下所述:
                      (1)计算机从一个远程结点装载软件。
                      (2)传输图像或视频。
                      (3)主数据库的存取。
                      (4)对文件服务器的访问。
                      网络规划设计师对这些应用的频度和产生的流量进行估计,就应该估算出某段网络需要满足的流量的峰值。然后,再与此网段实际设计速率能提供的流量来比较,得出网络能否满足流量需求。
                      吞吐量实际上和网络传输速率是一致的。计算出网络的设计传输速率,就能基本得到其实际的传输所能满足的吞吐量。传输速率主要由结点端口提供的速率决定,通过线路两端的设备和其提供的端口速率,就能得到此线路的速率。下面提供一个计算方式:
                      (1)线路两边接口的速率如不一致,则用最小的速率。
                      (2)交换机端口的带宽就是实际能提供的带宽;集线器等共享带宽的设备其上行端口提供的实际带宽和其带宽一致,下行端口的带宽为上行端口带宽除以下行线路的总数。
                      确定可靠性措施
                      有些网络系统有很高的可靠性要求,如银行系统、证券系统、电话网络等。在设计网络时需要满足用户在网络可靠性方面的要求。保证网络的可靠性有如下几种手段,在实际设计时需要进行综合考虑,进行选择和组合,这种才能得到最好的设计效果。
                      (1)冗余线路。冗余线路指在网络中设计更多的线路,保证某些线路出现问题,还可以使用另外的线路进行通信。例如,双绞线由于比较细,比较容易出线断路的问题,一般的双绞线是由4个线对组成的,但使用时却经常使用两对线,另两对线备用,如果在使用的两对线中一对或两对出现问题,则可以使用另两对线来替换,而不必费时费力去重新布线。在主干线路上,常常需要多布几根线路,以保证整个系统的可靠性。
                      (2)冗余接口。给设备预留一些冗余接口,通常是能保证网络系统的扩展性,同时这样也可以给系统可靠性提供一些保证。一方面某些接口损坏后可以用另外的接口来代替;另一方面一些网络设备由于质量或者其他原因,几个接口可能存在一些冲突,这时对接口进行一下调整就往往能解决这些冲突。
                      (3)冗余通路。给一些重要的设备如服务器设置两个以上的通路,可以保证这些设备的可靠性,如给服务器设置两个网卡,两个网卡都连接到网络上,这样如果一个线路出现故障,另外一个线路还能继续工作。FDDI采用双路网络,它本身就有冗余通路。
                      (4)备用设备。给使用频度高的设备准备一个备用设备,可以在此设备出现问题时进行及时的更换,这样可以有效地提高系统维修的速度,让系统几乎能不间断地运行。
                      (5)设备保护。UPS是可以保证停电时系统还能正常运行的设备,同时它还能在电压出现异常时保护设备不被损坏,所以在重要的设备上都要设UPS保护。另外,还有一些其他的措施可以在物理上对设备进行保护,如避雷针、保险丝、机架和线路防护等。
                      (6)子网分离。子网分离是使用交换机、路由器等设备分离子网,可以避免出现问题的子网向其他子网蔓延,避免出现广播风暴,可以保证另外的子网中数据传输的可靠性。
                      确定安全性措施
                      网络设计必须考虑安全性方面的需要,在进行设计前,网络规划设计师必须确定用户网络是否需要连接Internet、是否有服务器只对部分用户站点开放、网络是否有不同类型的用户、网络中数据是否是特别机密的数据、数据的转输是否需要进行加密等问题。根据这些问题,网络规划设计师设计出能够满足这些安全需求的网络系统,并且提供给用户一些安全检测和维护的工具。
                      网络设备的选择
                      在网络设计中,网络规划设计师对网络设备的选择需要制定一个一致的选择标准,只有按一定的标准行事,所做的工作才有连续性,多人的工作才有办法进行协调,才能保证网络设备能够在网络系统中正常运行。网络规划设计师需要对设备在成本、性能、容量、处理速度、延迟及安全性等方面做出一个标准,只有满足这些标准的设备才能选用。
                      在制定标准时,网络规划设计师要保证性能指标的一致性,只有这些指标互相配合才能保证网络得到最高的质量。例如,不能制定一个标准,需要很高的容量但只需要很小的处理速度,这样选择出来的设备是没法用的,高的容量将会浪费,而低的处理速度会成为网络的瓶颈。
                      在设备选择时,网络规划设计师要对设备进行必要的测试,测试这些设备是否满足其设计的性能,是否达到其宣称的质量,另外可以测试出此设备是否能够使用。如果设备没法使用,那么在网络系统运行的时候就会出现问题,轻则影响工期,重则网络系统将会完全崩溃,完全不能运行,给工程带来严重的问题。如果设备达不到其质量要求,那么设计的系统的性能和质量就将受到很大的影响。
                      除了对单个设备进行测试外,网络规划设计师还需要对设备的互联进行确认,测试设备之间的兼容性。制造厂商使用的生产标准和通信协议标准经常有差异,有些是标准版本的不一致,有些甚至采用不同的协议。即使是同一个制造商的不同阶段,也可能采用不同的标准和协议,致使新旧设备的质量有一些出入。因此,网络规划设计师必须对设备间的互联进行测试,而且需要尽量用新的设备,旧设备会给维护造成很大的困难。
                      机房工程设计
                      在机房工程设计中,需要考虑以下事项:
                      (1)机房建设材料和设备的选型和购置。包括不间断电源(Uninterruptible Power Supply,UPS)、供配电系统、机房精密空调、新风系统、防静电地板、天花吊顶系统、机房照明及墙体处理工程等。
                      (2)供配电工程。包括计算机网络设备用电系统、空调系统用电、其他机房用电系统、机房防雷接地系统并配置适应机房环境的照明及应急照明系统。
                      (3)机房集中监控系统。机房集中监控系统是现代化机房实现高度智能化管理的软件集成方案,是一个庞大的自动化监控程序。涉及供配电、UPS、空调、漏水检测、防雷器,以及保安门禁等系统的综合监控。
                      (4)UPS电源设计。UPS能为计算机网络设备提供稳定的电源,并在供电系统发生故障时提供后备电力,是保证计算机网络正常运作的必要条件。制订一个提供相应功能的电源管理方案的意义不仅在于可靠的硬件电源供电系统,而且意味着用户使用的数据和网络能够做到万无一失。
 
       备份策略
        (1)完全备份。
        (2)增量备份。
        (3)差异备份。
        同时,备份应有适当的实体及环境保护,并定期进行测试以保证关键时刻的可用性。备份资料的保存时间及是否永久保存由资料的拥有者来决定。
 
       财务系统
        财务是企业四大职能之一,它实际上包括了两大部分,一部分是会计,一部分是财务。会计主要的任务是记账,使资金的运作不发生差错;而财务则更多关心如何运作好资金,使其产生效益。
               会计信息系统
               会计信息系统的主要任务是保证记账的正确性。手工记账没有不出差错的情况,即使是计算机记账,也不能保证没有差错。防止差错不只是要防止人的疏忽,而且要防止人的有意破坏,如贪污、作弊等,因而要保证手续的严格完善和没有漏洞。复式记账方法已应用一百多年,至今仍然是最有效的方法。目前的会计主要涉及的是历史的数据,根据这些报表产生一些综合数据的报表,如收入表(income statement)和平衡表(balance sheet)。但现代的会计也开始向财务延伸,涉及未来的数据,如获利能力计算,责任会计。所以尽管当代会计系统已经相当成熟,但不意味着它就不要变化,随着信息技术的发展,随着经济全球化,会计制度和会计信息经济系统均会引起变化。
               会计信息系统最成熟的部分和最固定的部分是记账部分,这部分几乎已经定型,各种企业几乎相同。此外还包括订单处理、库存处理、会计应收/应付、工资、总账和财务报告子系统等,其基本结构如下图所示。
               
               会计信息系统
               (1)订单处理子系统。订单处理子系统接受和处理顾客的订单,并产生给顾客的发票和进行销售分析的数据。当顾客送来订单时,订货处理系统可以校核顾客的信誉,即衡量他的付款能力,从而产生接收订货和拒绝订货的决定。
               (2)库存子系统。库存子系统包括采购和库存处理系统两大部分。采购包括选择供应商,得到口头允诺,准备采购文件,关闭采购订单。和采购相联系的就是接收,接收包括处理接收和通知其他系统。库存处理根据库存文件,核对账目状况,填好订单中项目,并给顾客开发票,开好订单通知会计应收子系统,并提供总账数据。
               (3)会计应收/应支子系统。应收子系统的功能是加入新的应收项目,它由开票后的订单出发,一般每日一次批处理;删除已付的项目,从而真实地反映对顾客的业务;准备报表,一般发货后给顾客30天时间付清货款,如30天已过则计算拖欠货款。每个月信用卡公司都要给公司一个拖欠货款的报告,这些报表每行代表一个发票,全表列出未付账目;会计应收也给总账提供数据。会计应支子系统设立会计应付记录,进行向供应商付款,删除付过的支出,提供总账数据。
               (4)总账子系统。总账子系统是综合各子系统的数据提供一个企业运营的全貌。它又包括两个子系统,一是总账更新系统,一是报告准备系统。
               财务信息系统
               财务的总目标是利用资金和剩余资金进行最优投资。财务信息系统就是为协助主管达到以上目标的计算机系统,一般除了会计信息系统外,还包括内部审查子系统、财务情报子系统、输出子系统、预测子系统、资金管理子系统和财务控制子系统。
               (1)内部审查子系统。内部审查子系统实际上也是会计功能。审计包括财务审计和运营审计。财务审计主要看公司的财务记录是否正确,钱账是否一致。而运营审计是审计财务手续是否完备、高效,它往往和信息系统的再设计联系在一起。审计可以请外部审计公司来进行,也可由公司内部组织进行。外部公司审计的最大好处在于客观性和其知识的全面性。内部审计只有在大公司才可能有常设的机构。运营审计一般应有信息系统分析员参加。
               (2)财务情报子系统。财务情报子系统向股票持有者(股东)、财务社团以及政府机构提供信息,帮助了解公司经济环境。公司每年要给股东报告,说明投资效益包括股票的年增长率、与500家大公司平均指数比较,各种产品的赢利比例等,每年还要召开股东大会,大的公司均设有股东联络部掌管这方面工作。他们还负责收集股东的意见和建议,并及时和股东沟通。财务情报子系统还负责从政府报告、期刊、网上数据库收集经济信息,以便分析经济形势。
               (3)输出子系统。输出子系统是财务系统的主要部分,它们能帮助公司进行财务决策。
               (4)预测子系统。预测子系统可以利用数学模型进行短期和长期的预测。短期预测包括一周、一月、最多一年的预测,也有短至一天的预测。长期预测则最短为一年,可能2—3年、5年甚至十几年。短期预测一般使用移动平均数法、指数平滑法模型,而中长期预测则要使用拟合模型、回归模型或系统动力学模型等。
               (5)资金管理子系统。资金管理子系统可以说是财务系统的最重要的子系统。它帮助企业实现两个目标:第一,保证收入流大于消耗支出流;第二,保证这个条件在全年是稳定的。为此要进行现金流分析,信息系统可以进行这种模拟,以达到折衷,使总效益最好。现金和证券管理也是财务管理的重要内容,它应使现金较快流动而不要呆滞。用计算机模拟寻求最佳的现金来源,并处理多余现金的投资问题,确定合理的证券组合、资金组合。
               (6)财务控制子系统。财务控制子系统要控制一些支出和控制一些企业性能的参数。控制的支出包括销售、电话、租金、办公用品等,它可以给出表格以便管理人员发现问题。财务系统往往还会用到电子报表,决策支持系统的“what-if”分析功能等。
 
       地址映射
        如前所述,当一个任务被加载到内存后,它的各个连续的逻辑页面,被分散地存放在若干个不连续的物理页面当中。在这种情形下,为了保证程序能够正确地运行,需要把程序中使用的逻辑地址转换为内存访问时的物理地址,也就是地址映射。
        那么如何将一个逻辑地址映射为相应的物理地址呢?在页式存储管理当中,连续的逻辑地址空间被划分为一个个的逻辑页面,这些逻辑页面被装入到不同的物理页面当中。也就是说,系统是以页面为单位来进行处理的,而不是以一个个的字节为单位。因此,地址映射的基本思路是:
        .逻辑地址分析:对于给定的一个逻辑地址,找到它所在的逻辑页面,以及它在页面内的偏移地址;
        .页表查找:根据逻辑页面号,从页表中找到它所对应的物理页面号;
        .物理地址合成:根据物理页面号及页内偏移地址,确定最终的物理地址。
               逻辑地址分析
               由于页面的大小一般都是2的整数次幂,因此,人们可以很方便地进行逻辑地址的分析。具体来说,对于给定的一个逻辑地址,可以直接把它的高位部分作为逻辑页面号,把它的低位部分作为页内偏移地址。例如,假设页面的大小是4KB,即212,逻辑地址为32位。那么在一个逻辑地址当中,最低的12位就是页内偏移地址,而剩下的20位就是逻辑页面号。
               下图是逻辑地址分析的一个例子,在这个例子中,逻辑地址用十六进制形式表示。假设页面的大小为1KB,逻辑地址为0x3BAD。在这种情形下,首先把这个十六进制的地址展开为二进制的形式。然后,由于页面的大小为1KB,即2的10次方,所以这个逻辑地址的最低10位,就表示页内偏移地址,而剩下的最高6位,就表示逻辑页面号。因此,该地址的逻辑页面号是0x0E,页内偏移地址是0x03AD。
               
               逻辑地址分析的例子
               如果逻辑地址不是用十六进制,而是用十进制的形式来表示,那么有两种做法:一是先把它转换为十六进制的形式,然后重复刚才的步骤。二是采用如下的计算方法:
               逻辑页面号=逻辑地址/页面大小
               页内偏移量=逻辑地址%页面大小
               用页面大小去除逻辑地址,得到的商就是逻辑页面号;得到的余数就是页内偏移地址。例如,假设页面的大小为2KB,现在要计算逻辑地址7145的逻辑页面号和页内偏移地址。用2048去除7145,得到的商是3,余数是1001。所以这个逻辑地址的逻辑页面号是3,页内偏移地址是1001。实际上,这个算法和刚才的十六进制的方法是完全等价的。从二进制运算的角度来看,一个是右移操作,一个是除法操作。把一个整数右移N位等价于把它除以2N
               页表查找
               对于给定的一个逻辑地址,如果知道其逻辑页面号,就可以去查找页表,从中找到相应的物理页面号。
               在具体实现上,页表通常是保存在内核的地址空间中,因为它是操作系统的一个数据结构。另外,为了能够访问页表的内容,在硬件上要增加一对寄存器。一个是页表基地址寄存器,用来指向页表的起始地址;另一个是页表长度寄存器,用来指示页表的大小,即对于当前任务,它总共包含有多少个页面。操作系统在进行任务切换的时候,会去更新这两个寄存器当中的内容。
               物理地址合成
               对于给定的一个逻辑地址,如果已经知道了它所对应的物理页面号和页内偏移地址,可以采用简单的叠加算法,计算出最终的物理地址。假设物理页面号为f,页内偏移地址为offset,每个页面的大小为2n,那么相应的物理地址为:f×2n+offset。
               下图是页式存储管理当中的地址映射机制,也是以上各个步骤的一个综合。假设在程序的运行过程中,需要去访问某个内存单元,因此就给出了这个内存单元的逻辑地址。如前所述,这个逻辑地址由两部分组成,一是逻辑页面号,二是页内偏移地址。这个分析工作是由硬件自动来完成的,对用户是透明的。在页表基地址寄存器当中,存放的是当前任务的页表首地址。将这个首地址与逻辑页面号相加,就找到相应的页表项。里面存放的是这个逻辑页面所对应的物理页面号。将这个物理页面号取出来,与页内偏移地址进行组合,从而得到最终的物理地址。然后就可以用这个物理地址去访问内存。
               
               页式存储管理中的地址映射
               现有的这种地址映射方案,虽然能够实现从逻辑地址到物理地址的转换,但它有一个很大的问题。当程序运行时需要去访问某个内存单元,例如,去读写内存当中的一个数据,或是去内存取一条指令,需要访问2次内存。第一次是去访问页表,取出物理页面号;第二次才是真正去访问数据或指令。也就是说,内存的访问效率只有50%。这样,就会降低获取数据的存取速度,进而影响到整个系统的使用效率。为了解决这个问题,人们又引入了快表的概念。它的基本思路来源于对程序运行过程的一个观察结果。对于绝大多数的程序,它们在运行时倾向于集中地访问一小部分的页面。因此,对于它们的页表来说,在一定时间内,只有一小部分的页表项会被经常地访问,而其他的页表项则很少使用。根据这个观察结果,人们在MMU中增加了一种特殊的快速查找硬件:TLB(Translation Lookaside Buffer),或者叫关联存储器,用来存放那些最常用的页表项。这种硬件设备能够把逻辑页面号直接映射为相应的物理页面号,不需要再去访问内存当中的页表,这样就缩短了页表的查找时间。
               在TLB方式下,地址映射的过程略有不同。当一个逻辑地址到来时,它首先会到TLB当中去查找,看这个逻辑页面号所在的页表项是否包含在TLB当中,这个查找的速度是非常快的,因为它是以并行的方式进行。如果能够找到的话,就直接从TLB中把相应的物理页面号取出来,与页内偏移地址拼接成最终的物理地址。如果在TLB中没有找到该逻辑页面,那只能采用通常的地址映射方法,去访问内存当中的页表。接下来,硬件还会在TLB当中寻找一个空闲单元,如果没有空闲单元,就把某一个页表项驱逐出来,然后把刚刚访问过的这个页表项添加到TLB当中。这样,如果下次再来访问这个页面,就可以在TLB中找到它。
               页式存储管理方案的优点是:
               (1)没有外碎片,而且内碎片的大小不会超过页面的大小。这是因为系统是以页面来作为内存分配的基本单位,每一个页面都能够用上,不会浪费。只是在任务的某一些页面当中,可能没有装满,里面有一些内碎片。
               (2)程序不必连续存放,它可以分散地存放在内存的不同位置,从而提高了内存利用率。
               (3)便于管理。
               页式存储管理方案的缺点主要有:
               (1)程序必须全部装入内存,才能够运行。如果一个程序的规模大于当前的空闲空间的总和,那么它就无法运行。
               (2)操作系统必须为每一个任务都维护一张页表,开销比较大。简单的页表结构已经不能满足要求,必须设计出更为复杂的结构,如多级页表结构、哈希页表结构、反置页表等。
 
       防火墙
               防火墙的基本概念
               防火墙的概念源于早期为防止火灾蔓延在房屋周围修建的矮墙。在网络安全中,防火墙是在内部网与外部网之间构筑的一道保护屏障,是执行访问控制策略的一个或一组系统。通过执行访问控制策略,提供授权通信,保护内部网不受外部非法用户的入侵,控制内部网与外部网之间数据流量。
               防火墙可以是硬件,也可以是软件,或是二者结合。防火墙系统决定了哪些内部服务可以被外界访问,外界的哪些人可以访问内部服务,哪些外部服务可以被内部人员访问等。防火墙必须只允许授权的数据通过,其本身也必须能够免于渗透,但防火墙不是对网络内的每台计算机分别进行保护,而是让所有外部对内部网计算机的信息访问都通过某个点,防火墙就是保护这个点。防火墙技术是实现网络安全的主要手段之一。目前,企业内部网络与因特网之间的有效隔离方式大都采用的是防火墙技术。
               防火墙的功能
               防火墙主要用于实现网络路由的安全性。网络路由的安全性包括两个方面:限制外部网对内部网的访问,从而保护内部网特定资源免受非法侵犯;限制内部网对外部网的访问,主要是针对一些不健康信息及敏感信息的访问。
               防火墙具有以下优点:
               (1)保护那些易受攻击的服务。防火墙能过滤那些不安全的服务(如NFS等)。只有预先被允许的服务才能通过防火墙,这样就降低了受到攻击的风险性,大大地提高了网络的安全性。
               (2)控制对特殊站点的访问。防火墙能控制对特殊站点的访问。如有些主机能被外部网络访问,而有些则要被保护起来,防止不必要的访问。通常会有这样一种情况,在内部网中只有Mail服务器、FTP服务器和WWW服务器能被外部网访问,而其他访问则被主机禁止。
               (3)集中化的安全管理。对于一个企业而言,使用防火墙比不使用防火墙可能更加经济一些。这是因为如果使用了防火墙,就可以将所有修改过的软件和附加的安全软件都放在防火墙上集中管理;而不使用防火墙,就必须将所有软件分散到各个主机上。
               (4)对网络访问进行记录和统计。如果所有对Internet的访问都经过防火墙,那么防火墙就能记录下这些访问,并能提供网络使用情况的统计数据。当发生可疑动作时,防火墙能够报警,并提供网络是否受到监测和攻击的详细信息。
               防火墙也有一些不能实现的功能:
               (1)限制有用的网络服务。防火墙为了提高被保护网络的安全性,限制或关闭了很多有用但存在安全缺陷的网络服务。
               (2)不能防范内部网络用户的攻击。目前防火墙只提供了对外部网络用户攻击的防护,对来自内部网络用户的攻击只能依靠内部网络主机系统的安全性。
               (3)不能完全防范病毒。因为病毒的类型很多,操作系统各异,编码与压缩二进制文件的方法也各不相同,因此防火墙不能完全防止传送已感染病毒的软件或文件,不能期望防火墙对每一个文件进行扫描,查出潜在的病毒。
               防火墙的分类
               从技术角度分类,防火墙可以分为包过滤防火墙、代理服务防火墙和复合型防火墙。
                      包过滤防火墙
                      网络传输数据是以“包”为单位进行的,数据被分割成一定大小的数据包,每个数据包中都会含有一些特定的信息,如数据的源地址、目标地址、TCP/UDP源端口和目标端口等。防火墙可通过对数据包的源地址、目的地址及端口等的检查,判断数据包是否来自可信任的安全站点。如果发现来自危险站点的数据包,防火墙将会拒绝其通过。
                      包过滤防火墙是最简单的防火墙,使用方便,实现成本低。分组过滤在网络层实现,不要求改动应用程序,也不要求用户学习任何新的东西,对用户来讲是透明的,用户基本感觉不到分组过滤器的存在。但也存在一个问题,就是过滤器不能在用户层次上进行安全过滤,即在同一台机器上,过滤器分辨不出是哪个用户的报文。
                      包过滤防火墙的工作原理如下图所示。
                      
                      包过滤防火墙
                      代理服务防火墙
                      代理服务防火墙使用一个客户程序与特定的中间节点(防火墙)连接,然后中间节点与服务器进行实际连接。代理服务防火墙使内网用户对外网的访问变成防火墙对外网的访问,然后再由防火墙转发给内网用户。
                      代理服务防火墙工作原理如下图所示。
                      
                      代理服务防火墙
                      代理服务防火墙也被称为应用网关防火墙,其核心技术就是代理服务器技术。它采用为每种所需服务在网关上安装特殊代码(代理服务)的方式来管理Internet服务。其应用原理是:当代理服务器收到客户对自己代理的某Web站点的访问请求后,就检查该请求是否符合规定;如果规则允许用户访问该站点时,代理服务器代理客户在该站点取回所需信息,再转发给客户。代理服务器在外部网络向内部网络申请服务时发挥了中间转接的作用,体现了“应用代理”的角色。
                      使用代理服务器技术,所有通信都必须经应用层代理软件转发,访问者任何时候都不能与服务器建立直接的TCP连接,彻底隔断了内网与外网的直接通信,从外部网只能看到代理服务器而不能了解内部网的资源信息,如用户的真实IP地址等。代理服务器提供详细的日志和审计功能,应用层的协议会话过程必须符合代理的安全策略要求,访问业务都由“守规矩”的代理服务器代劳。因此,代理服务防火墙的安全性大大提高。
                      代理服务器基于特定的应用,因此需要对每个应用服务(如Telnet、FTP)安装相应的代理服务软件,未被服务器支持的网络服务用户不能使用,因此代理服务防火墙维护量大,使用具有一定的局限性。由于需要代理服务,造成了网络性能下降,网络访问速度变慢。此外,每类应用服务需要使用特殊的客户端软件,并进行一些相关设置,使得代理服务防火墙的透明性较差。
                      复合型防火墙
                      复合型防火墙将前两类防火墙结合起来,形成新的产品,以发挥各自优势,克服各自缺点,满足更高安全性要求。
               防火墙的安全控制模型
               防火墙通常有两种安全模型可以选择:没有被列为允许访问的服务都是被禁止的;没有被列为禁止访问的服务都是被允许的。
               为网络建立防火墙,首先需要决定防火墙采取何种安全控制模型。采取第一种安全控制模型,需要确定所有可以被提供的服务以及它们的安全特性,开放这些服务;将所有其他未被列入的服务排除在外,禁止访问。采取第二种安全控制模型,正好相反,需要确定那些被认为是不安全的服务,禁止其访问;而其他服务则被认为是安全的,允许访问。找出网络所有的漏洞,排除所有的非法服务,一般是很难的。从安全性角度考虑,第一种模型更可取一些,而从灵活性和使用方便性的角度考虑,则第二种模型更合适。
               防火墙与Web服务器的配置方式
               根据需要,防火墙与Web服务器的配置会有所不同,主要有三种:
               (1)Web服务器置于防火墙之内。这种方式Web服务器可以得到安全保护,不易被外界攻击,但Web服务器本身也不易被外界所用。
               (2)Web服务器置于防火墙之外。这种方式主要保证了内部网安全,Web服务器不受到保护。需要注意的是,有些防火墙结构不允许将Web服务器设置在防火墙之外。
               (3)Web服务器置于防火墙之上。这种方式增强了Web服务器的安全性,但是如果Web服务器出现问题,整个Web站点和内部网都会处于危险之中。
 
       迁移
        选择一个适当的迁移时间,最好定在单位事务不繁忙的时候(如周末)。事先做好系统软件和数据的备份,然后逐步将原有系统安装部署到新网络中,并做好相关设备的配置。要一边安装一边测试,注意不但要用管理员身份测试,还要用普通用户身份测试,以确保迁移后的系统与原有系统一致。
 
       虚拟化技术
        虚拟化或虚拟技术(Virtualization)是一种资源管理技术,是将计算机的各种实体资源(CPU、内存、磁盘空间、网络适配器等)予以抽象、转换后呈现出来,并可供分割、组合为一个或多个电脑配置环境。云计算中的虚拟化往往指的是系统虚拟化。
        系统虚拟化是指将一台物理计算机系统虚拟化为一台或多台虚拟计算机系统。每个虚拟计算机系统(简称虚拟机)都拥有自己的虚拟硬件(如CPU、内存和设备等),来提供一个独立的虚拟机执行环境,被称为虚拟机监控器(Virtual Machine Monitor,VMM)。虚拟机基本结构如下图所示。
        
        虚拟机结构示意图
        当前主流的虚拟化技术实现结构可以分为三类:Hypervisor模型、宿主模型和混合模型。在Hypervisor模型中,VMM可以看作是一个扩充了虚拟化功能的操作系统,对底层硬件提供物理资源的管理功能,对上层的客户机操作系统提供虚拟环境的创建和管理功能。宿主模型中,VMM作为宿主操作系统独立的内核模块。物理资源由宿主机操作系统管理,VMM提供虚拟化管理。宿主模型和Hypervisor模型的优缺点恰好相反。宿主模型的最大优点是可以充分利用现有操作系统的设备驱动程序以及其他功能,缺点是虚拟化效率较低,安全性取决于宿主操作系统。而Hypervisor模型虚拟化效率高、安全,但是需要自行开发设备驱动和其他一些功能。混合模型集成了上述两类模型的优点。混合模型中,VMM让出大部分I/O设备的控制权,将它们交由一个运行在特权虚拟机中的特权操作系统来控制。因此,混合模型下CPU和内存的虚拟化由VMM负责,而I/O虚拟化由VMM和特权操作系统共同合作完成。
 
       业务需求
        网络系统是为一个集体提供服务的,对于该集体内的不同用户,需要收集特定的业务信息,包括以下内容。
        (1)确定结构组织。业务需求的第一步就是获取组织结构图,了解集体中的岗位设置及岗位职责。
        (2)确定关键时间点。对于大型项目,必须制订严格的项目实施计划,确定各个阶段关键的时间点。
        (3)确定网络投资规模。在整个网络的设计和实施中,费用是一个主要考虑的因素。
        (4)确定业务活动。主要通过对业务的分析,形成各类业务的网络需求,主要包括最大用户数、并发用户数、峰值带宽和正常带宽等。
        (5)预测增长率。通过对网络发展趋势的分析,明确网络的伸缩性需求。
        (6)确定网络的可靠性和可用性。网络设计人员在进行需求分析的过程中,首先应获取行业的网络可靠性和可用性标准,并根据标准与用户进行交流,确定特殊的要求。
        (7)确定Web站点和Internet连接。
        (8)确定网络的安全性。
        (9)确定远程接入方式。
 
       应用服务
        电子商务应用是企业利用电子手段展开商务活动的核心,也是电子商务系统组成的核心部分,是通过应用程序来实现的。事实上,企业商务服务的业务逻辑规划是否合理,直接影响到电子商务系统的功能。
   题号导航      2015年下半年 网络规划设计师 上午试卷 综合知识   本试卷我的完整做题情况  
1 /
2 /
3 /
4 /
5 /
6 /
7 /
8 /
9 /
10 /
11 /
12 /
13 /
14 /
15 /
 
16 /
17 /
18 /
19 /
20 /
21 /
22 /
23 /
24 /
25 /
26 /
27 /
28 /
29 /
30 /
 
31 /
32 /
33 /
34 /
35 /
36 /
37 /
38 /
39 /
40 /
41 /
42 /
43 /
44 /
45 /
 
46 /
47 /
48 /
49 /
50 /
51 /
52 /
53 /
54 /
55 /
56 /
57 /
58 /
59 /
60 /
 
61 /
62 /
63 /
64 /
65 /
66 /
67 /
68 /
69 /
70 /
71 /
72 /
73 /
74 /
75 /
 
第53题    在手机中做本题