阿摩線上測驗
複選題
16. 如附圖所示。Anet 為一家 ISP 網際網路服務商,其參考關鍵基礎設施的網路管理要求,將公司的網路服務系統分割為 2 個獨立的部份:一、Data Service Backbone 數據服務骨幹網路僅提 供數據服務流,用以提供終端客戶上網與雲端服務、二、 Management DCN(Data Control Network)管理數據網路,用以建立網路設備的控制訊務流並提供操作服務網路設備與系統之功能;此外,並將骨幹網路設備關閉網路通道內(In-Band) 的連線控制功能,僅提供通道外(Out-Band)的控制功能,避免非必要的設備連線風險。因應此項維運安全需求,請問下列哪些規劃功能較適合應用於此系統架構之中?
(A) 數據服務骨幹網路設備上,除了 Console 和 Management 埠之外,關閉所有的控制連線埠位
(B) 在 DCN 網路中建置流量清洗(DDoS Mitigation)系 統,避免少數用戶遭受 DDoS 攻擊時,影響所有其他 客戶的正常網路服務與連線品質
(C) 在 DCN 網路上建置 NAC(Network Access Control) 網路存取控制系統,管理僅有授權的設備可進行連接 通訊和設備操作功能
(D) 以網路防火牆將各網路區塊隔離開來,並僅限 DCN 的 特定設備或網址可能進入數據服務骨幹網路設備的控 制網段和埠號
統計: A(41), B(35), C(57), D(57), E(0) #3536962
詳解 (共 3 筆)
Out-of-Band(OOB)管理+管控面/數據面分離
答案:(A)、(C)、(D) ✅
為什麼:
-
(A) 符合「關閉 In-Band 管理」原則:在骨幹設備的資料介面停用所有管理協定/埠,只保留 Console/OOB Management,降低被遠端掃到與利用的風險。
-
(C) 管理平面要強身:在 DCN(管理網) 部署 NAC,只允許授權裝置/人員接入與操作設備,符合最小權限與設備身分驗證的要求。
-
(D) 網段/埠細緻隔離:以防火牆(或嚴格 ACL)僅允許 DCN 的特定主機→設備管理埠 的連線,阻斷資料網對管理平面的非必要存取。
-
(B)(不選)
DDoS 清洗應放在資料服務骨幹/邊界(peering、上游)處理使用者流量;DCN 是管理網,理想上與用戶流量隔離,不應承載用戶 DDoS 流量,把清洗放在 DCN既不對位也可能引管理網風險。
-
-
(A) 骨幹設備只保留 Console/Management 埠,關閉其餘 In-Band 控制協定與管理埠(如 SSH/Telnet/SNMP 走資料面),正吻合「只允許 Out-of-Band 管理」的設計。
-
(C) 在 DCN 佈署 NAC(可含 802.1X、MAB、裝置健康檢查)以控管只有授權的跳板機、維運終端、監控/備援系統能接入管理網,符合最小權限與零信任原則。
-
(D) 以 防火牆/ACL/VRF 隔離各網段,僅允許 DCN 指定來源進入骨幹設備的控制網段與必要管理埠(如 SSH、NETCONF、SNMPv3、API),是標準的管理面分區作法。
-
(B)(不選) DDoS 清洗應設在資料服務路徑/邊界(例如上游清洗中心、BGP Flowspec/RTBH/黑洞路由、Scrubber),目的是保護客戶面流量;DCN 屬 Out-of-Band 管理網,不承載客戶資料流,把清洗系統放在 DCN 既不對症也增加複雜度。
-