网络工程设计与系统集成杨威答案

1. 网络工程和系统集成有什么区别

网络工程师相对简单点，要求知识面广 精通英语 简单的法律。
人事部有网络工程师认证考试，我也在考，还有CCNA，华为网络工程师 都是公司认证，比较实用。
合格的系统集成工程师应该具备的素质
1：通晓计算机以及网络基础理论，熟悉网络技术系统基础。

2：精通网络设备调试技术，服务器调试技术，基础应用平台调试技术或其中之一。掌握一种售后调试技术，是系统集成工程师必备的技能。

3：精通网络平台设计，服务器平台设计，基础应用平台设计或其中之一。能够设计相应的网络系统和应用系统，是售前技能掌握情况的重要指标。

4：良好的口头语言表达能力和文字表达能力。在系统集成实施的各个阶段，诸如用户交流，方案与标书撰写，述标与答疑，用户培训和竣工文档编写等工作中，写作能力和口才是重要的基本素质。

5：较高的计算机专业英语水平。越是高端的产品，英语使用的几率越高，有时还需要英语听说能力，而在某些国际招标项目中，英文写作能力将受到考验。

6：良好的人际交流能力和与他人协同工作能力。系统集成工程师应是一个善于与人沟通，善于与人建立良好关系的人。

7：在压力环境下现场解决问题的能力。尤其是在用户现场安装调试或售后故障维修时遇到技术难题的情况下，现场可用资源很少，打电话寻求支援又不方便，一旁更有用户审视的目光，这种环境是对工程师的智商，情商，技术水平和调试经验的综合考验。

8：广博的知识面。系统集成涵盖的范围很广，工程师应该一专多能，一精多通。

以上八点是我认为作为一个合格的系统集成工程师必备的工作素质，也就是基本素材。但如果具备了以上的所有条件，并且也能够很好的体现在工作中，我认为还不能算是一个优秀的系统集成工程师。当然，离顶尖的系统集成工程师更是有一段距离。我将陆续分析如何在合格的工程师上努力而成为一个优秀的工程师，进而达到顶尖工程师的水准，更有天赋者甚至可以达到系统集成技术的最高境界：魔术般的工程师！

2. 网络工程师与系统集成师区别

网络工程师是通过学习和训练，掌握网络技术的理论知识和操作技能的网络技术人员。网络工程师能够从事计算机信息系统的设计、建设、运行和维护工作。
系统集成师又称为系统集成项目管理工程师。是指进行数据库的安装和维护、进行数据平台的安装、配置和使用，各种应用服务器的安装和配置的人员。

3. 谁有网络工程设计与系统集成杨威pdf

网络工程师是通过学习和训练，掌握网络技术的理论知识和操作技能的网络技术人员。网络工程师能够从事计算机信息系统的设计、建设、运行和维护工作。系统集成师又称为系统集成项目管理工程师。是指进行数据库的安装和维护、进行数据平台的安装、配置和使用，各种应用服务器的安装和配置的人员。

4. 一个网络工程与系统集成的作业，重赏！！！！！

对于小型、简单的网络拓扑结构可能比较好画，因为其中涉及到的网络设备可能不是很多，图元外观也不会要求完全符合相应产品型号，通过简单的画图软件（如Windows系统中的“画图”软件、HyperSnap等）即可轻松实现。而对于一些大型、复杂网络拓扑结构图的绘制则通常需要采用一些非常专业的绘图软件，如Visio、LANMapShot等。

在这些专业的绘图软件中，不仅会有许多外观漂亮、型号多样的产品外观图，而且还提供了圆滑的曲线、斜向文字标注，以及各种特殊的箭头和线条绘制工具。如图1-19所示是Visio2003中的一个界面，在图的中央是笔者从左边图元面板中拉出的一些网络设备图元（从左上到右外依次为：集线器、路由器、服务器、防火墙、无线访问点、MODEM和大型机），从中可以看出，这些设备图元外观都非常漂亮。当然实际中可以从软件中直接提取的图元远不止这些。这些都可以从其左边图元面板中直接得到。本节和下节将简单介绍这两款网络结构软件在网络拓扑结构绘制中的应用方法。

Visio系列软件是微软公司开发的高级绘图软件，属于Office系列，可以绘制流程图、网络拓扑图、组织结构图、机械工程图、流程图等。它功能强大，易于使用，就像Word一样。它可以帮助网络工程师创建商业和技术方面的图形，对复杂的概念、过程及系统进行组织和文档备案。Visio2003还可以通过直接与数据资源同步自动化数据图形，提供最新的图形，还可以自定制来满足特定需求。下面是绘制网络拓扑结构的基本步骤。

（1）运行Visio2003软件，在打开的如图1-12所示窗口左边“类别”列表中选择“网络”选项，然后在右边窗口中选择一个对应的选项，或者在Visio2003主界面中执行【新建】→【网络】菜单下的某项菜项操作，都可打开如图1-13所示界面（在此仅以选择“详细网络图”选项为例）。

5. 计算机网络设计教程(第二版)习题解答陈明

网络工程需求分析完成后，应形成网络工程需求分析报告书，与用户交流、修改，并通过用户方组织的评审。网络工程设计方要根据评审意见，形成可操作和可行性的阶段网络工程需求分析报告。有了网络工程需求分析报告，网络系统方案设计阶段就会“水到渠成”。网络工程设计阶段包括确定网络工程目标与方案设计原则、通信平台规划与设计、资源平台规划与设计、网络通信设备选型、网络服务器与操作系统选型、综合布线网络选型和网络安全设计等内容。
2.1
网络工程目标和设计原则
1．网络工程目标
一般情况下，对网络工程目标要进行总体规划，分步实施。在制定网络工程总目标时应确定采用的网络技术、工程标准、网络规模、网络系统功能结构、网络应用目的和范围。然后，对总体目标进行分解，明确各分期工程的具体目标、网络建设内容、所需工程费用、时间和进度计划等。
对于网络工程应根据工程的种类和目标大小不同，先对网络工程有一个整体规划，然后在确定总体目标，并对目标采用分步实施的策略。一般我们可以将工程分为三步。
1)
建设计算机网络环境平台。
2) 扩大计算机网络环境平台。
3)
进行高层次网络建设。
2．网络工程设计原则
网络信息工程建设目标关系到现在和今后的几年内用户方网络信息化水平和网上应用系统的成败。在工程设计前对主要设计原则进行选择和平衡，并排定其在方案设计中的优先级，对网络工程设计和实施将具有指导意义。
1)
实用、好用与够用性原则
计算机与外设、服务器和网络通信等设备在技术性能逐步提升的同时，其价格却在逐年或逐季下降，不可能也没必要实现所谓“一步到位”。所以，网络方案设计中应采用成熟可靠的技术和设备，充分体现“够用”、“好用”、“实用”建网原则，切不可用“今天”的钱，买“明、后天”才可用得上的设备。
2)
开放性原则
网络系统应采用开放的标准和技术，资源系统建设要采用国家标准，有些还要遵循国际标准(如：财务管理系统、电子商务系统)。其目的包括两个方面：第一，有利于网络工程系统的后期扩充；第二，有利于与外部网络互连互通，切不可“闭门造车”形成信息化孤岛。
3)
可靠性原则
无论是企业还是事业，也无论网络规模大小，网络系统的可靠性是一个工程的生命线。比如，一个网络系统中的关键设备和应用系统，偶尔出现的死锁，对于政府、教育、企业、税务、证券、金融、铁路、民航等行业产生的将是灾难性的事故。因此，应确保网络系统很高的平均无故障时间和尽可能低的平均无故障率。
4)
安全性原则
网络的安全主要是指网络系统防病毒、防黑客等破坏系统、数据可用性、一致性、高效性、可信赖性及可靠性等安全问题。为了网络系统安全，在方案设计时，应考虑用户方在网络安全方面可投入的资金，建议用户方选用网络防火墙、网络防杀毒系统等网络安全设施；网络信息中心对外的服务器要与对内的服务器隔离。
5)
先进性原则
网络系统应采用国际先进、主流、成熟的技术。比如，局域网可采用千兆以太网和全交换以太网技术。视网络规模的大小(比如网络中连接机器的台数在250台以上时)，选用多层交换技术，支持多层干道传输、生成树等协议。
6)
易用性原则
网络系统的硬件设备和软件程序应易于安装、管理和维护。各种主要网络设备，比如核心交换机、汇聚交换机、接入交换机、服务器、大功率长延时UPS等设备均要支持流行的网管系统，以方便用户管理、配置网络系统。
7)
可扩展性原则
网络总体设计不仅要考虑到近期目标，也要为网络的进一步发展留有扩展的余地，因此要选用主流产品和技术。若有可能，最好选用同一品牌的产品，或兼容性好的产品。在一个系统中切不可选用技术和性能不兼容的产品。比如，对于多层交换网络，若要选用两种品牌交换机，一定要注意他们的VLAN干道传输、生成树等协议是否兼容，是否可“无缝”连接。这些问题解决了，可扩展性自然是“水到渠成”。
2.2
网络通信平台设计
1．网络拓扑结构
网络的拓扑结构主要是指园区网络的物理拓扑结构，因为如今的局域网技术首选的是交换以太网技术。采用以太网交换机，从物理连接看拓扑结构可以是星型、扩展星型或树型等结构，从逻辑连接看拓扑结构只能是总线结构。对于大中型网络考虑链路传输的可靠性，可采用冗余结构。确立网络的物理拓扑结构是整个网络方案规划的基础，物理拓扑结构的选择往往和地理环境分布、传输介质与距离、网络传输可靠性等因素紧密相关。选择拓扑结构时，应该考虑的主要因素有以下几点。
1)
地理环境：不同的地理环境需要设计不同的物理网络拓扑，不同的网络物理拓扑设计施工安装工程的费用也不同。一般情况下，网络物理拓扑最好选用星型结构，以便于网络通信设备的管理和维护。
2)
传输介质与距离：在设计网络时，考虑到传输介质、距离的远近和可用于网络通信平台的经费投入，网络拓扑结构必须具有在传输介质、通信距离、可投入经费等三者之间权衡。建筑楼之间互连应采用多模或单模光缆。如果两建筑楼间距小于90m，也可以用超五类屏蔽双绞线，但要考虑屏蔽双绞线两端接地问题。
3)
可靠性：网络设备损坏、光缆被挖断、连接器松动等这类故障是有可能发生的，网络拓扑结构设计应避免因个别结点损坏而影响整个网络的正常运行。若经费允许，网络拓扑结构的核心层和汇聚层，最好采用全冗余连接，如图6-1所示。
网络拓扑结构的规划设计与网络规模息息相关。一个规模较小的星型局域网没有汇聚层、接入层之分。规模较大的网络通常为多星型分层拓扑结构，如图6-1所示。主干网络称为核心层，用以连接服务器、建筑群到网络中心，或在一个较大型建筑物内连接多个交换机配线间到网络中心设备间。连接信息点的“毛细血管”线路及网络设备称为接入层，根据需要在中间设置汇聚层。
图6-1
网络全冗余连接星型拓扑结构图
分层设计有助于分配和规划带宽，有利于信息流量的局部化，也就是说全局网络对某个部门的信息访问的需求根少(比如：财务部门的信息，只能在本部门内授权访问)，这种情况下部门业务服务器即可放在汇聚层。这样局部的信息流量传输不会波及到全网。
2．主干网络(核心层)设计
主干网技术的选择，要根据以上需求分析中用户方网络规模大小、网上传输信息的种类和用户方可投入的资金等因素来考虑。一般而言，主干网用来连接建筑群和服务器群，可能会容纳网络上50％～80％的信息流，是网络大动脉。连接建筑群的主干网一般以光缆做传输介质，典型的主干网技术主要有100Mbps-FX以太网、l
000Mbps以太网、ATM等。从易用性、先进性和可扩展性的角度考虑，采用百兆、千兆以太网是目前局域网构建的流行做法。
3．汇聚层和接入层设计
汇聚层的存在与否，取决于网络规模的大小。当建筑楼内信息点较多(比如大于22个点)超出一台交换机的端口密度，而不得不增加交换机扩充端口时，就需要有汇聚交换机。交换机间如果采用级连方式，则将一组固定端口交换机上联到一台背板带宽和性能较好的汇聚交换机上，再由汇聚交换机上联到主干网的核心交换机。如果采用多台交换机堆叠方式扩充端口密度，其中一台交换机上联，则网络中就只有接入层。
接入层即直接信息点，通过此信息点将网络资源设备(PC：等)接入网络。汇聚层采用级连还是堆叠，要看网络信息点的分布情况。如果信息点分布均在距交换机为中心的50m半径内，且信息点数已超过一台或两台交换机的容量，则应采用交换机堆叠结构。堆叠能够有充足的带宽保证，适宜汇聚(楼宇内)信息点密集的情况。交换机级连则适用于楼宇内信息点分散，其配线间不能覆盖全楼的信息点，增加汇聚层的同时也会使工程成本提高。
汇聚层、接入层一般采用l00Base-Tx快速变换式以太网，采用10/100Mbps自适应交换到桌面，传输介质是超五类或五类双绞线。Cisco
Catalyst
3500/4000系列交换机就是专门针对中等密度汇聚层而设计的。接入层交换机可选择的产品根多，但要根据应用需求，可选择支持l～2个光端口模块，支持堆叠的接入层变换机。
4．广域网连接与远程访问设计
由于布线系统费用和实现上的限制，对于零散的远程用户接入，利用PSTN电话网络进行远程拨号访问几乎是惟一经济、方便的选择。远程拨号访问需要设计远程访问服务器和Modem设备，并申请一组中继线。由于拨号访问是整个网络中惟一的窄带设备，这一部分在未来的网络中可能会逐步减少使用。远程访问服务器(RAS)和Modem组的端口数目一一对应，一般按一个端口支持20个用户计算来配置。
广域网连接是指园区网络对外的连接通道．一般采用路由器连接外部网络。根据网络规模的大小、网络用户的数量，来选择对外连接通道的带宽。如果网络用户没有www、E-mail等具有internet功能的服务器，用户可以采用ISDN或ADSL等技术连接外网。如果用户有WWW、E-mail等具有internet功能的服务器，用户可采用DDN(或E1)专线连接、ATM交换及永久虚电路连接外网。其连接带宽可根据内外信息流的大小选择，比如上网并发用户数在150～250之问，可以租用2Mbps线路，通过同步口连接Internet。如果用户与网络接入运营商在同一个城市，也可以采用光纤10Mbps／100Mbps的速率连接Internet。外部线路租用费用一般与带宽成正比，速度越快费用越高。网络工程设计方和用户方必须清楚的一点就是，能给用户方提供多大的连接外网的带宽受两个因素的制约，一是用户方租用外连线路的速率，二是用户方共享运营商连接Internet的速率。
5．无线网络设计
无线网络的出现就是为了解决有线网络无法克服的困难。无线网络首先适用于很难布线的地方(比如受保护的建筑物、机场等)或者经常需要变动布线结构的地方(如展览馆等)。学校也是一个很重要的应用领域，一个无线网络系统可以使教师、学生在校园内的任何地方接入网络。另外，因为无线网络支持十几公里的区域，因此对于城市范围的网络接入也能适用，可以设想一个采用无线网络的ISP可以为一个城市的任何角落提供高达10Mbps的互联网接入。
6．网络通信设备选型
1)
网络通信设备选型原则
2)
核心交换机选型策略
3)
汇聚层/接入层交换机选型策略
4)
远程接入与访问设备选型策略

2.3
网络资源平台设计
1．服务器
2．服务器子网连接方案
3．网络应用系统

2.4
网络操作系统与服务器配置
1．网络操作系统选型
目前，网络操作系统产品较多，为网络应用提供了良好的可选择性。操作系统对网络建设的成败至天重要，要依据具体的应用选择操作系统。一般情况下，网络系统集成方在网络工程项目中要完成基础应用平台以下三层(网络层、数据链路层、物理层)的建构。选择什么操作系统，也要看网络系统集成方的工程师以及用户方系统管理员的技术水平和对网络操作系统的使用经验而定。如果在工程实施中选一些大家都比较生疏的服务器和操作系统，有可能使工期延长，不可预见性费用加大，可能还要请外援做系统培训，维护的难度和费用也要增加。
网络操作系统分为两个大类：即面向IA架构PC服务器的操作系统族和UNIX操作系统家族。UNIX服务器品质较高、价格昂贵、装机量少而且可选择性也不高，一般根据应用系统平台的实际需求，估计好费用，瞄准某一两家产品去准备即可。与UNIX服务器相比，Windows
2000 Advanced Server服务器品牌和产品型号可谓“铺天盖地”，
一般在中小型网络中普遍采用。
同一个网络系统中不需要采用同一种网络操作系统，选择中可结合Windows 2000 Advanced
Server、Linux和UNIX的特点，在网络中混合使用。通常WWW、OA及管理信息系统服务器上可采用Windows 2000 Advanced
Server平台，E-mail、DNS、Proxy等Internet应用可使用Linux／UNIX，这样，既可以享受到Windows 2000 Advanced
Server应用丰富、界面直观、使用方便的优点，又可以享受到Linux／UNIX稳定、高效的好处。
2．Windows 2000 Server
服务器配置
首先，应根据需求阶段的调研成果，比如网络规模、客户数量流量、数据库规模、所使用的应用软件的特殊要求等，决定Windows 2000
Advanced Server服务器的档次、配置。例如，服务器若是用于部门的文件打印服务，那么普通单处理器Windows 2000Advanced
Server服务器就可以应付自如；如果是用于小型数据库服务器，那么服务器上至少要有256MB的内存：作为小型数据库服务器或者E-mail、Internet服务器，内存要达到512MB，而且要使用ECC内存。对于中小型企业来说，一般的网络要求是有数十个至数百个用户，使用的数据库规模不大，此时选择部门级服务器。1路至2路CPU、512-1024MB
ECC内存、三个36GB(RAID5)或者五个36GB硬盘(RAID5)可以充分满足网络需求。如果希望以后扩充的余地大一些，或者服务器还要做OA服务器、MIS服务器，网络规模比较大，用户数据量大，那么最好选择企业级服务器，即4路或8路SMP结构，带有热插拔RAID磁盘阵列、冗余风扇和冗余电源的系统。
其次，选择Windows
2000 Advanced Server服务器时，对服务器上几个关键部分的选取一定要把好关。因为Windows 2000 Advanced
Server虽然是兼容性相对不错的操作系统，但兼容并不保证100％可用。Windows 2000 Advanced
Server服务器的内存必须是支持ECC的，如果使用非ECC的内存，SQL数据库等应用就很难保证稳定、正常地运行。Windows 2000 Advanced
server服务器的主要部件(如主板、网卡)一定要是通过了微软Windows 2000 Advanced Server认证的。只有通过了微软Windows
2000 Advanced Server部件认证的产品才能保证其在Windows 2000 Advanced
Server下的100％可用性。另外，就是服务器的电源是否可靠，因为服务器不可能是跑几天歇一歇的。
第三，在升级已有的windows 2000
Advanced Server服务器时．则要仔细分析原有网络服务器的瓶颈所在，此时可简单利用Windows 2000 Advanced
Server系统中集成的软件工具，比如Windows 2000 Advanced
Server系统性能监视器等。查看系统的运行状况，分析系统各部分资源的使用情况。一般来说，可供参考的Windows 2000 Advanced
Server服务器系统升级顺序是扩充服务器内存容量、升级服务器处理器、增加系统的处理器数目。之所以这样是因为，对于Windows 2000 Advanced
Server服务器上的典型应用(如SQL数据库、OA服务器)来说，这些服务占用的系统主要资源开销是内存开销，对处理器的资源开销要求并小多，通过扩充服务器内存容量提高系统的可用内存资源，将大大提高服务器的性能。反过来，由于多处理器系统其本身占用的系统资源开销大大高于单处理器的占用。所以相对来说，增加系统处理器的升级方案，其性价比要比扩充内存容量方案差。因此，要根据网络应用系统实际情况来确定增加服务器处理器的数目，比如网络应用服务器要处理大量的并发访问、复杂的算法、大量的数学模型等。
3．服务器群的综合配置与均衡
我们所谓的PC服务器、UNIX服务器、小型机服务器，其概念主要限于物理服务器(硬件)范畴。在网络资源存储、应用系统集成中。通常将服务器硬件上安装各类应用系统的服务器系统冠以相应的应用系统的名字，如数据库服务器、Web服务器、E-mail服务器等，其概念属于逻辑服务器(软件)范畴。根据网络规模、用户数量和应用密度的需要，有时一台服务器硬件专门运行一种服务，有时一台服务器硬件需安装两种以上的服务程序，有时两台以上的服务器需安装和运行同一种服务系统。也就是说，服务器与其在网络中的职能并不是一一对麻的。网络规模小到只用l至2台服务器的局域网，大到可达十几台至数十台的企业网和校园网，如何根据应用需求、费用承受能力、服务器性能和不同服务程序之间对硬件占用特点、合理搭配和规划服务器配制，最大限度地提高效率和性能的基础上降低成本，是系统集成方要考虑的问题。
有关服务器应用配置与均衡的建议如下。
1)
中小型网络服务器应用配置
2)
中型网络服务器应用配置
3)
大中型网络或ISP/ICP的服务器群配置

2.5
网络安全设计
网络安全体系设计的重点在于根据安全设计的基本原则，制定出网络各层次的安全策略和措施，然后确定出选用什么样的网络安全系统产品。
1．网络安全设计原则
尽管没有绝对安全的网络，但是，如果在网络方案设计之初就遵从一些安全原则，那么网络系统的安全就会有保障。设计时如不全面考虑，消极地将安全和保密措施寄托在网管阶段，这种事后“打补丁”的思路是相当危险的。从工程技术角度出发，在设计网络方案时，应该遵守以下原则。
1)
网络安全前期防范
强调对信息系统全面地进行安全保护。大家都知道“木桶的最大容积取决于最短的一块木板”，此道理对网络安全来说也是有效的。网络信息系统是一个复杂的计算机系统，它本身在物理上、操作上和管理上的种种漏洞构成了系统的安全脆弱性，尤其是多用户网络系统自身的复杂性、资源共享性，使单纯的技术保护防不胜防。攻击者使用的是“最易渗透性”，自然在系统中最薄弱的地方进行攻击。因此，充分、全面、完整地对系统的安全漏洞和安全威胁进行分析、评估和检测(包括模拟攻击)，是设计网络安全系统的必要前提条件。
2)
网络安全在线保护
强调安全防护、监测和应急恢复。要求在网络发生被攻击、破坏的情况下，必须尽可能快地恢复网络信息系统的服务。减少损失。所以，网络安全系统应该包括3种机制：安全防护机制、安全监测机制、安全恢复机制。安全防护机制是根据具体系统存在的各种安全漏洞和安全威胁采取的相应防护措施，避免非法攻击的进行：安全监测机制是监测系统的运行，及时发现和制止对系统进行的各种攻击；安全恢复机制是在安全防护机制失效的情况下，进行应急处理和及时地恢复信息，减少攻击的破坏程度。
3)
网络安全有效性与实用性
网络安全应以不能影响系统的正常运行和合法用户方的操作活动为前提。网络中的信息安全和信息应用是一对矛盾。一方面，为健全和弥补系统缺陷的漏洞，会采取多种技术手段和管理措施：另一方面，势必给系统的运行和用户方的使用造成负担和麻烦，“越安全就意味着使用越不方便”。尤其在网络环境下，实时性要求很高的业务不能容忍安全连接和安全处理造成的时延。网络安全采用分布式监控、集中式管理。
4)
网络安全等级划分与管理
良好的网络安全系统必然是分为不同级别的，包括对信息保密程度分级(绝密、机密、秘密、普密)，对用户操作权限分级(面向个人及面向群组)，对网络安全程度分级(安全子网和安全区域)，对系统结构层分级(应用层、网络层、链路层等)的安全策略。针对不同级别的安全对象，提供全面的、可选的安全算法和安全体制，以满足网络中不同层次的各种实际需求。
网络总体设计时要考虑安全系统的设计。避免因考虑不周，出了问题之后“拆东墙补西墙”的做法。避免造成经济上的巨大损失，避免对国家、集体和个人造成无法挽回的损失。由于安全与保密问题是一个相当复杂的问题。因此必须注重网络安全管理。要安全策略到设备、安全责任到人、安全机制贯穿整个网络系统，这样才能保证网络的安全性。
5)
网络安全经济实用
网络系统的设计是受经费限制的。因此在考虑安全问题解决方案时必须考虑性能价格的平衡，而且不同的网络系统所要求的安全侧重点各不相同。一般园区网络要具有身份认证、网络行为审计、网络容错、防黑客、防病毒等功能。网络安全产品实用、好用、够用即可。
2．网络信息安全设计与实施步骤
第一步、确定面临的各种攻击和风险。
第二步、确定安全策略。
安全策略是网络安全系统设计的目标和原则，是对应用系统完整的安全解决方案。安全策略的制定要综合以下几方面的情况。
(1)
系统整体安全性，由应用环境和用户方需求决定，包括各个安全机制的子系统的安全目标和性能指标。
(2)
对原系统的运行造成的负荷和影响(如网络通信时延、数据扩展等)。
(3) 便于网络管理人员进行控制、管理和配置。
(4)
可扩展的编程接口，便于更新和升级。
(5) 用户方界面的友好性和使用方便性。
(6)
投资总额和工程时间等。
第三步、建立安全模型。
模型的建立可以使复杂的问题简化，更好地解决和安全策略有关的问题。安全模型包括网络安全系统的各个子系统。网络安全系统的设计和实现可以分为安全体制、网络安全连接和网络安全传输三部分。
(1)
安全体制：包括安全算法库、安全信息库和用户方接口界面。
(2) 网络安全连接：包括安全协议和网络通信接口模块。
(3)
网络安全传输：包括网络安全管理系统、网络安全支撑系统和网络安全传输系统。
第四步、选择并实现安全服务。
(1)
物理层的安争：物理层信息安全主要防止物理通路的损坏、物理通路的窃听和对物理通路的攻击(干扰等)。
(2)
链路层的安全：链路层的网络安全需要保证通过网络链路传送的数据不被窃听。主要采用划分VLAN(局域网)、加密通信(远程网)等手段。
(3)网络层的安全：网络层的安全需要保证网络只给授权的客户使用授权的服务，保证网络传输正确，避免被拦截或监听。
(4)
操作系统的安全：操作系统安全要求保证客户资料、操作系统访问控制的安令，同时能够对该操作系统上的应用进行审计。
(5)
应用平台的安全：应用平台指建立在网络系统之上的应用软件服务，如数据库服务器，电子邮件服务器，Web服务器等。由于应用平台的系统非常复杂，通常采用多种技术(如SSL等)来增强应用平台的安全性。
(6)
应用系统的安全：应用系统是为用户提供服务，应用系统的安全与系统设计和实现关系密切。应用系统使用应用平台提供的安全服务来保证基本安全，如通信内容安全、通信双方的认证和审计等手段。
第五步、安全产品的选型
网络安全产品主要包括防火墙、用户身份认证、网络防病系统统等。安全产品的选型工作要严格按照企业(学校)信息与网络系统安全产品的功能规范要求，利用综合的技术手段，对产品功能、性能与可用性等方面进行测试，为企业、学校选出符合功能要求的安全产品。

一个完整的设计方案，应包括以下基本内容：
1．设计总说明
对系统工程起动的背景进行简要的说明：主要包括：
(1)
技术的普及与应用
(2)
业主发展的需要（对需求分析书进行概括）
2．设计总则
在这一部分阐述整个系统设计的总体原则。主要包括：
(1)
系统设计思想
(2) 总体目标
(3)
所遵循的标准
3．技术方案设计
对所采用的技术进行详细说明，给出全面的技术方案。主要包括：
(1) 整体设计概要
(2)
设计思想与设计原则
(3) 综合布线系统设计
(4) 网络系统设计
(5) 网络应用系统平台设计
(6)
服务器系统安全策略
4．预算
对整个系统项目进行预算。主要内容包括：列出整个系统的设备、材料用量表及费用；成本分析；以综合单价法给出整个系统的预算表。
5．项目实施管理
对整个项目的实施进行管理控制的方法。主要包括：
(1)
项目实施组织构架及管理
(2) 奖惩体系
(3) 施工方案
(4) 技术措施方案
(5) 项目进度计划

6. 各年网络工程师试卷答案

2007年下半年网络工程师试题答案2008/03/06 08:17 P.M.上午试题标准答案
（1） D （16） B （31） B （46） B （61） B
（2） C （17） A （32） C （47） B （62） C
（3） B （18） B （33） A （48） C （63） D
（4） C （19） D （34） A （49） C （64） C
（5） A （20） C （35） D （50） B （65） D
（6） B （21） B （36） B （51） A （66） B
（7） B （22） C （37） D （52） C （67） D
（8） B （23） D （38） B （53） C （68） A
（9） D （24） B （39） C （54） C （69） D
（10） B （25） A （40） D （55） C （70） A
（11） C （26） D （41） A （56） D （71） B
（12） D （27） B （42） A （57） A （72） C
（13） C （28） D （43） D （58） A （73） A
（14） B （29） C （44） D （59） A （74） C
（15） B （30） C （45） C （60） C （75） B
下午试卷参考答案
试题一
【问题1】（1）A（2）要点：传输速率千兆，距离超过550米
【问题2】（3）A （4）E （5）B （6）VOD服务器
【问题3】（7）192.168.110.126
（8）-（10）有四种组合, 每种组合均可。
组合1：
（8）192.168.110.129-192.168.110.190
（9）192.168.110.193-192.168.110.222
（10）192.168.110.225-192.168.110.254
组合2：
（8）192.168.110.129-192.168.110.190
（9）192.168.110.225-192.168.110.254
（10）192.168.110.193-192.168.110.222
组合3：
（8）192.168.110.193-192.168.110.254
（9）192.168.110.129-192.168.110.158
（10）192.168.110.161-192.168.110.190
组合4：
（8）192.168.110.193-192.168.110.254
（9）192.168.110.161-192.168.110.190
（10）192.168.110.129-192.168.110.158

（11）255.255.255.128
（12）255.255.255.192
（13）255.255.255.224
（14）255.255.255.224
试题二
【问题1】（1）A （2）CNAME
【问题2】
存在的主要问题：不能区分服务器的差异，也不能反映服务器的当前运行状态（负载量的大小）；或者，不能根据负载情况实现动态调度
如果一个服务器发生故障不可访问，会造成混乱，一些人能够访问WWW服务，另一些则不可以。
【问题3】（3）false（或0）（4）test.com（5）192.168.1.10
（6）192.168.1.3 （7）192.168.1.0（8）255.255.255.255
【问题4】
主机ns同时作为NFS（网络文件系统）服务器，WEB服务器（www1和www2）作为它的客户，共享数据和服务脚本，保证WEB服务的数据同步或一致。
NFS服务器需要向www1和www2分发数据文件，为避免分发和同步占用了Web服务的带宽，左边的交换机组成192.168.2.0 NFS专用局域网，保证Web的服务质量。
同时这种配置将使NFS文件系统对外界不可用，增强了服务器的安全性。
试题三
【问题1】（1）C（2）B
【问题2】（3）B（4）D
【问题3】（5）A
【问题4】（6）A（7）B
【问题5】（8）C
【问题6】（9）拒绝访问 （10）200.115.12.0～200.115.12.127之一
试题四
【问题1】（1）ARP（或）地址解析协议
【问题2】（2）C （3）A （4）B
【问题3】（5）B （6）A （7）D
【问题4】（8）D （9）B （10）A （11）C
试题五
【问题1】
（1）61.246.100.96（或61.124.100.96）
（2）61.246.100.103（或61.124.100.103）
（3）5
【问题2】（4）路由器禁止HTTP服务 （5）配置路由器读写团体字符串为 admin
（6）设置ACL允许192.168.5.1访问CON 0
【问题3】（7）255.255.255.248 （8）192.168.50.0 （9）0.0.0.255

2004年下半年网络工程师试题答案

上午题答案
（1） C （2）B （3）C （4）D （5）D （6）C （7）D （8）D （9）B （10）A（11）C （12）A （13）B （14）C （15）B （16）C （17）B （18）C （
19）B（20）D
（21）D （22）B （23）B （24）A （25）C （26）B （27）C （28）A （29）B （30）A
（31）D （32）A （33）A （34）A （35）A （36）B （37）D （38）A （39）B （40）B
（41）D （42）A （43）A （44）D （45）A （46）C （47）A （48）B （49）C （50）B（51）C （52）B （53）B （54）B （55）C （56）B （57）A
（58）C （59）B （60）D（61）B （62）D （63）C （64）A （65）D （66）C （67）A （68）D （69）D （70）B（71）C （72）A （73）B （74）C
（75）A

下午题答案

试题一：

问题1：
802.11b 工作在2.4G—2.483G , 速率 11M
IEEE802。11a工作在5GHz频段 速率54Mbps
802．11g既适应传统的802．11b标准，在2．4GHz频率下提供每秒11Mbps的传输速率；也符合802．11a标准，在5GHz频率下提供54Mbps的传输速率
802．11g既达到了用2．4GHz频段实现802．11a54Mbps的数据传送速度，也确保了与802．11b产品的兼容。

问题2：
1、（1）的设备名称是AP。
2、IP地址分配可以是静态或动态分配，在动态分配时，需要无线hub具备DHCP服务器功能。
3、encryption 值 与无线HUB设置的值相同。当无线HUB的encryption现选择disable时，网卡上的 “encryption”项的值可以设置为“无”。
4、使用ping 命令。

问题3：
用户接入AP，AP 向RADIUS 服务器使用Access-Require 数据包提交用户信息，包括用户名、密码等相关信息，其中用户密码是经过MD5 加密的，双方使用共享密钥，这个密钥不经过网络传播
；
RADIUS 服务器对用户名和密码的合法性进行检验，必要时可以提出一个Challenge，要求进一步对用户认证，也可以对AP进行类似的认证；如果合法，给AP返回Access-Accept 数据包，允许
用户进行下一步工作，否则返回Access-Reject 数据包，拒绝用户访问；
如果允许访问，AP 向RADIUS 服务器提出计费请求Account-Require，RADIUS 服务器响应Account-Accept，对用户的计费开始，同时用户可以进行自己的相关*作。

试题二：

问题1：
（1） ADSL Modem （2）滤波器或 POTS分隔器

问题2：
静态（固定）和动态获得 IP

问题3：
要收费

问题4：
频分复用

问题5：
下行频段的低端与上行频段重叠、回波抵消技术

问题6：
G.lite ：下行 1.5M b/s 上行512K b/s 则 需要 24×1000×8/512 秒

试题三：

问题1：
在图3-1中 default max mailbox size 设置为10M

问题2：
将max users 设置为2000

问题3：
将Single Message max size设置为5M

问题4：
将default max messages 设置为20

问题5：
在图3-2中 将Account access disabled 选定

问题6：
像图3-2中设置user1一样，对root用户账号进行设置

问题7：
在图3-2中的Forward中设定转发地址。

试题四：

问题1：
交换机6的端口是10M口，可以升级为100M口

问题2：
1：（1）IP路由表 （2）ARP表
2：重新修改ARP表中的路由器MAC地址

问题3：
1 动态翻译是将内部IP转换成外部可用的IP，伪装是内部IP映射到同一个外部IP，通过不同的端口来区分内部不同的IP。
2：（1）65533 （2）202.117.112.115:80(202.117.112.115) (3) 192.168.12.161 (4) 65534 (5) 53.12.198.15

试题五：
问题1：
1 （1）LAC （L2TP Access Connector） （2） LNS （L2TP Network Server）
2 LAC 提供接入和L2TP协议处理， LNS 运行服务器端的软件

问题2：
（1） 启动VPN
（2）创建VPDN 组1
（3）接收远程用户sp_lac 的请求，根据virtual－template 1创建虚拟接入
（4） 设置通道本端名为 Bob
（5）LCP 再次协商
（6） 设置不验证通道对端

CSAI给出的找错

以上参考答案有很多错误，下面是改正。

上午试题

（5）正确的答案应该为B。

SISD：这是最简单的方式，计算机每次处理一条指令，并只对一个*作部件分配数据。一般认为流水线技术的计算机仍然属于SISD。
SIMD：具备SIMD点的常常是并行处理机，这种处理机具备多个处理单元，每次都执行同样的指令，对不同的数据单元进行处理。这种计算机非常适合处理矩阵计算等。
MISD：这种处理方式比较难以想像，有多个处理单元，同时执行不同的指令，针对的是单一数据。但有资料认为，流水线处理机中每个数据由不同*作部件对之进行处理。
MIMD：这是一种全面的并行处理机，典型的机型是多处理机。这种计算机的设计和控制都很复杂。

（8）正确的答案应该为B。
由于Cache分为64块，所以主存分为4096/64=64个区，区号长度= =6。

（10）正确的答案应该为D。
需求分析的任务：
确定软件的综合要求：系统界面，系统功能，系统性能，安全性、保密性和可靠性方面的要求，系统的运行要求，异常处理，将来的扩充和修改等。
分析软件系统的数据要求：基本数据元素，数据元素之间的逻辑关系，数据量，峰值等。
导出系统的逻辑模型。
修正项目开发计划。

（15）正确的答案应该为A。
CMM的优化级通过对来自过程、新概念和新技术等方面的各种有用信息的定量分析，能够不断地、持续地进行过程改进。

（18）正确的答案应该为B。
在图示的防火墙方案中，包括两个防火墙，屏蔽路由器抵挡外部非法网络的攻击，并管理所有内部网络对DMZ的访问。堡垒主机管理DMZ对于内部网络的访问。显然本图只有一个DMZ，为单DMZ防火墙结构。

（46）正确的答案应该为B。
（47）正确的答案应该为D。
数字证书采用公钥密码体制，即利用一对互相匹配的密钥进行加密、解密。每个用户拥有一把仅为本人所掌握的私有密钥（私钥），用它进行解密和签名；同时拥有一把公共密钥（公钥）并可以对外公开，用于加密和验证签名。

（66）本题没有正确答案。
在所给出的四个选项中，没有符合试题要求的正确答案。

（69）正确的答案应该为B。
应用网关转换消息的语义。

下午试题

下午试题也有很多错误，例如，试题二问题3和问题6将是0分，试题四问题1的得分也将是0分。在此不再一一列举。正确的试题分析与解答请考生和读者等待国家软考办将在2005年初出版的《2004年下半年试题分析
与解答》。

资料引用:http://www.knowsky.com/1.html

2006年上半年网络工程师试题答案

上午

（1） C （16） D （31） D （46） A （61） A （2） A （17） A （32） D （47） B （62） D （3） C （18） C （33） C （48） C （63） D （4） B （19） D （34） C （49） C （64） A （5） A （20） A （35） C （50） A （65） A （6） D （21） A （36） A （51） A （66） C （7） C （22） B （37） B （52） C （67） B （8） B （23） C （38） B （53） D （68） C （9） B （24） D （39） D （54） A （69） A （10） D （25） B （40） D （55） B （70） C （11） A （26） C （41） C （56） B （71） B （12） B （27） C （42） A （57） C （72） C （13） A （28） B （43） B （58） C （73） B （14） C （29） B （44） C （59） B （74） D （15） C （30） B （45） D （60） D （75） A
下午
试题一
[问题1]
（1） Trunk
（2） VTP Server或服务器模式
（3） VTP Client或服务机模式
（4） VTP Transparent或透明模式
（5） VTP管理域
[问题2]
（6） 专线连接
（7） 分组交换
（8） 口令认证协议
（9） 质询握手认证协议
[问题3]
（10） 生成树协议
[问题4]
（11） C或虚拟专用网（VPN）技术
（12） D或防火墙
（13） A或IP地址绑定
（14） B或数据库安全扫描

试题二
[问题1]
（1） 192.168.1.0
（2） 192.168.1.127
（3） 192.168.1.128
（4） 192.168.1.255
（5） 126
[问题2]
（6） A或yes
（7） 255.255.255.128
（8） 255.255.255.128
[问题3]
（9） ifup
（10） 网络接口（或设备）名称
[问题4]
（11） eth0
（12） eth1
[问题5]
（13） A或traceroute
（14） B或0

试题三
[问题1]
（1） 任何IP地址
（2） 我的IP地址
（3） UDP
（4） 161
（5） 161
（6） 162
（7） 162
[问题2] （8）SNMP消息
[问题3] （9）C或协商安全
[问题4] （10）1
[问题5] 其它计算机上必须配置相应的IPSec安全策略

试题四
[问题1]
（1） A或可以针对某个文件或文件夹给不同的用户分配不同的权限
（2） C或可以使用系统自带的文件加密系统对文件或文件夹进行加密
[问题2]
（3） 202.161.158.240
（4） 255.255.255.240
（5） 202.161.158.239
[问题3]
（6） A或TCP
（7） H或数字证书
（8） G或会话密钥
（9） E或私钥
[问题4]
（10） EBDCA
[问题5]
（11） B或基本身份验证
[问题6]
（12） https://www.abc.com
（13） 443

试题五
[问题1]
（1） hostname sw1
（2） ip address 192.168.1.1 255.255.255.0
（3） ip default-gateway 192.168.1.254
[问题2]
（4） switchport mode access
（5） switchpotr access vlan 10
[问题3]
（6） 学习
（7） 转发
（8） spanning-tree portfast
[问题4]
（9） 设置串口的IP地址及子网掩码
（10） 设置到Internet的缺省（默认）路由
（11） 设置到校园网内部的路由
（12） 定义屏蔽远程登录协议telnet的规则

08年上半年，不能复制
http://zl.thea.cn/cs/learning/2008-5-26/84201-1.htm

http://www.google.cn/search?client=aff-avalanche&forid=1&channel=prefill&ie=gb&oe=UTF-8&hl=zh-CN&q=%CD%F8%C2%E7%B9%A4%B3%CC%CA%A6%CA%D4%BE%ED%B4%F0%B0%B8&aq=f

7. 《网络工程设计教程_系统集成方法》txt全集下载

网络工程设计教程_系统集成方法 txt全集小说附件已上传到网络网盘，点击免费下载：