2010網(wǎng)規(guī)下半年下午I答案

2010下半年網(wǎng)絡規(guī)劃設計師下午試卷1、標準答案及分析試題一（25分）閱讀以下關(guān)于某電子政務網(wǎng)絡平臺的敘述，回答問題1至問題3,講解答填入答題紙的對應欄內(nèi)。【說明】某省準備建立電子政務網(wǎng)絡平臺，實現(xiàn)全省上下各級部門之間的信息交換和資源共享。遵照《國家信息化領導小組關(guān)于推進國家電子政務網(wǎng)絡建設的意見》的要求，電子政務網(wǎng)絡分為電子政務外網(wǎng)和電子政務內(nèi)網(wǎng)，該省即將建設的網(wǎng)絡平臺被定性為“非涉密”的電子政務外網(wǎng)。在第一期工程中，主要建設覆蓋省直部門和各地市州的電子政務外網(wǎng)。電子政務外網(wǎng)是辦公自動化、行政審批、電子監(jiān)察等跨部門應用系統(tǒng)的運行網(wǎng)絡，還是一個網(wǎng)絡承載平臺，可以承載各類VPN。例如，在當前的省級外網(wǎng)平臺建設中，外網(wǎng)平臺就需要承載兩個VPN：（1）互連各個部門的國庫支付VPN；（2）互連各個部門的視頻監(jiān)控VPN?！締栴}1】（6分）一電子政務外網(wǎng)承載VPN，可以采用L2TP、MPLSVPN、IPSec三類技術(shù)，請對三種技術(shù)進行比較，將有關(guān)內(nèi)容填入表1-1的空白中（備注檔不用填）。去1-1V叫技術(shù)比較，」比校項目/L2TP4MPLSVPNPEPSec^備注4隧道爵浪層次4對隧道的協(xié)應層次進行比魴是否支持數(shù)據(jù)加密口?◎設笛的要求4比較網(wǎng)絡核心、邊蜴設備的協(xié)武支持要求『是否支持移動VPN客戶就口4◎2◎試題解析：L2TP（Layer2TunnelingProtocol，第二層隧道協(xié)議）工作在第二層。第二層隧道協(xié)議只提供數(shù)據(jù)的封裝服務，不提供數(shù)據(jù)加密服務，具有以下安全缺陷:1）第二層隧道協(xié)議僅僅對通信雙方進行身份認證，而沒有對傳輸報文進行認證，因此無法抵御數(shù)據(jù)重發(fā)攻擊、數(shù)據(jù)偽造攻擊。2）第二層隧道協(xié)議本身不提供任何加密手段，當數(shù)據(jù)需要加密時，需要其它技術(shù)的支持。L2TP結(jié)合了PPTP協(xié)議以及L2F協(xié)議的優(yōu)點，能以隧道方式把PPP幀封裝在公共網(wǎng)絡設施（如IP、ATM、幀中繼）中進行隧道傳輸。L2TP使用UDP1701端口進行工作。L2TP主要由LAC（L2TPAccessConcentrator，L2TP訪問集中器）和LNS（L2TPNetworkServer，L2TP網(wǎng)絡服務器）組成。LAC是一個網(wǎng)絡接入服務器，用于為用戶提供網(wǎng)絡接入服務。它是L2TP隧道的一個端點，具有PPP端系統(tǒng)和L2TP協(xié)議處理的能力，負責將用戶數(shù)據(jù)封裝在L2TP隧道中進行傳輸。LNS是PPP端系統(tǒng)上用于處理L2TP協(xié)議的服務器端軟件，也是L2TP隧道的一個端點。LAC和LNS都被稱為LCCE（L2TPControlConnectionEndpoint，L2TP控制連接端點）。L2TP通訊由于對中間轉(zhuǎn)發(fā)設備沒有特殊要求，因此可以支持移動VPN客戶端。MPLS（MultiprotocolLabelSwitching，多協(xié)議標簽交換）技術(shù)是對ATM標記交換和IP路由協(xié)議的有機結(jié)合。它不僅有助于提高網(wǎng)絡層的數(shù)據(jù)報轉(zhuǎn)發(fā)能力，而且對提高網(wǎng)絡層路由系統(tǒng)的可擴展性起到一定的作用。MPLS提供多種協(xié)議的接口，如IP、ATM、幀中繼、資源預留協(xié)議（RSVP）、開放最短路徑優(yōu)先（OSPF）等。MPLS將IP地址映射為簡單的具有固定長度的標簽，用于不同的包轉(zhuǎn)發(fā)和包交換技術(shù)。MPLS網(wǎng)絡由核心部分的LSR（LabelSwitchingRouter，標記交換路由器）和邊緣部分的LER（LabelEdgeRouter，標記邊緣路由器）組成。由LSR構(gòu)成的網(wǎng)絡區(qū)域稱為MPLS域，而LER則位于MPLS網(wǎng)絡邊緣與其他網(wǎng)絡或用戶相連接。MPLS網(wǎng)絡的信令控制協(xié)議稱為LDP（LabelDistributionProtocol，標記分發(fā)協(xié)議）。MPLS網(wǎng)絡與傳統(tǒng)IP網(wǎng)絡的不同主要在于MPLS域中使用了標記交換路由器，域內(nèi)部LSR之間使用MPLS協(xié)議進行通信，而在MPLS域的邊緣，由MPLS邊緣路由器進行與傳統(tǒng)IP技術(shù)的適配。MPLS的優(yōu)點在于將IP技術(shù)中的完全無連接的分組交換方式轉(zhuǎn)化為MPLS中有連接（根據(jù)LDP協(xié)議建立標記交換路徑）的分組交換方式。首先是減少了數(shù)據(jù)報通過MPLS網(wǎng)絡時查IP路由表的次數(shù)，替代為查詢標記轉(zhuǎn)發(fā)表，提高了轉(zhuǎn)發(fā)效率；其次是解決了TCP數(shù)據(jù)通過IP網(wǎng)絡的失序問題（流量在網(wǎng)絡各接點無故障狀態(tài)下將沿同樣的路徑通過網(wǎng)絡，將按進入網(wǎng)絡的順序離開網(wǎng)絡），減少了端到端通信中兩端站點對數(shù)據(jù)的排序時延，使MPLS網(wǎng)絡可以很好地服務于實時應用。由于MPLS協(xié)議工作需要核心部分的LSR參與，因此不支持移動VPN。IPSec是集多種安全技術(shù)為一體的安全體系結(jié)構(gòu)，是一組IP安全協(xié)議集。IPSec定義了在網(wǎng)際層使用的安全服務，其功能包括數(shù)據(jù)加密、對網(wǎng)絡單元的訪問控制、數(shù)據(jù)源地址驗證、數(shù)據(jù)完整性檢查和防止重發(fā)攻擊。IPSec有兩種工作模式：傳輸模式（TransportMode）和隧道模式（TunnelMode）。傳輸模式通常應用于主機之間端對端通信，該模式要求主機支持IPSec。隧道模式應用于網(wǎng)關(guān)模式中，即在主機的網(wǎng)關(guān)（防火墻、路由器）上加載IPSec，這個網(wǎng)關(guān)就同時升級為SG（SecurityGateway，安全網(wǎng)關(guān)）。這兩種工作模式對網(wǎng)絡傳輸?shù)闹虚g設備都沒有特殊要求，因此可以支持移動VPN。標準參考答案：比接項目FL2TP4MPLSVPN^P[PSec^備注『睡道協(xié)諼層次4第二層口介于第二層和第三次之間或兩層半）小第三層4對隧道的協(xié)議層沃進行比較月是否支持救據(jù)加密P不支持口"不支持-支持小設簫的要求4?只要求邊，-緣設備支持L2TFV要求邊絳和核心設備都支持MFL部只要求邊緣,設備支持IPSec^比較網(wǎng)絡核心、邊緣設備的協(xié)族支持要求A是否支持移動VPN客戶就『支持4..不支持口:.；支持口.◎【問題2】（8分）各地市州、各省直部門在接入電子政務外網(wǎng)平臺時，需要配置接入路由器、防火墻、前置服務器，請考慮如下連接要求，并添加相應的連接線路或設備，給出接入電子政務外網(wǎng)的設備連接圖。（1）部門網(wǎng)絡與電子政務外網(wǎng)之間為邏輯隔離；（2）部門應用系統(tǒng)主動把數(shù)據(jù)推送至前置服務器，數(shù)據(jù)中心在進行數(shù)據(jù)獲取時，不允許進入部門網(wǎng)絡；（3）在調(diào)試防火墻的各類過濾規(guī)則時，不會對電子政務外網(wǎng)的路由造成影響；（4）可根據(jù)用戶負載的需要，隨時添置前置服務器。標準參考答案：

畫圖要點：入接入路由器直接連接電子政務外網(wǎng)；入防火墻直接連接單位內(nèi)部網(wǎng)絡；入防火墻與接入路由器直接相連；入防火墻的DMZ口添置一臺DMZ交換機;入前置服務器與DMZ交換機直接相連?！締栴}3】（11分）如圖1-1所示，采用MPLSVPN技術(shù)，省級電子政務外網(wǎng)平臺承載了兩個VPN，分別為國庫支付VPN和視頻監(jiān)控VPN。請從以下方面描述電子政務外網(wǎng)PE路由器上的MPLSVPN配置內(nèi)容：（1）VPN接口配置（2）PE-CE配置（3）OSPF配置（4）MPLS配置圖1-1電子政務外網(wǎng)承載VPN示意圖標準參考答案：（1）VPN接口配置將相應的接口加入VPN實例中；進入接口配置模式，配置接口的IP地址。（2）PE-CE配置啟用路由協(xié)議BGP，并設置自治區(qū)號；在BGP的IPV4VRF實例地址簇中引入路由信息；建立IPV4VRF實例的鄰居關(guān)系，激活并傳遞VRF路由；在BGP中引入直連路由。（3）OSPF配置啟用OSPF路由協(xié)議；配置路由區(qū)域及網(wǎng)絡地址信息。（4）MPLS配置配置MPLS的LSRID標識；啟用路由器的MPLSLDP標簽協(xié)議；在網(wǎng)絡接口上啟用MPLSLDP標簽協(xié)議。試題二（25分）閱讀以下廣域網(wǎng)絡整合改造的需求說明，回答問題1至問題3,將解答填入答題紙的對應欄內(nèi)?！菊f明】長江沿線某物流企業(yè)A與B并購后組織機構(gòu)合并，在此情況下，原有兩個單位的信息網(wǎng)絡的融合成為迫在眉睫的任務。在機構(gòu)融合前，兩個單位各自都有獨立的廣域網(wǎng)絡：A企業(yè)廣域網(wǎng)覆蓋重慶至上海，共1個核心節(jié)點（武漢長江南岸，100個用戶）、6個二級節(jié)點（30個用戶）和23個三級節(jié)點（9個用戶）；B企業(yè)廣域網(wǎng)覆蓋重慶全蕪湖，共1個核心節(jié)點（武漢長江北岸，150個用戶）、11個分支核心節(jié)點（11個用戶，包含A企業(yè)的二級節(jié)點）、200多個掃描接入點（2個終端）。兩個廣域網(wǎng)的主要傳輸通道都基于A企業(yè)自建的SDH網(wǎng)絡：A企業(yè)廣域網(wǎng)一二級節(jié)點間是155MPOS互聯(lián)，二三級節(jié)點間采用10MMSJP或2M電路互聯(lián)，少數(shù)鏈路為40MMSTP；B企業(yè)廣域網(wǎng)核心和分支機構(gòu)的互聯(lián)采用30-50MMSTP互聯(lián)，少數(shù)節(jié)點采用4個2M捆綁的電路連接（注：所有MSTP電路使用僅用于實現(xiàn)二三級節(jié)點的點對點連接）。A企業(yè)廣域網(wǎng)承載著辦公、視頻監(jiān)控、軟交換、視頻會議、廣播控制等業(yè)務系統(tǒng)；B企業(yè)廣域網(wǎng)承載著辦公，視頻會議，數(shù)十個安全監(jiān)管業(yè)務系統(tǒng)，CCTV、GPS物流監(jiān)管等業(yè)務系統(tǒng)。機構(gòu)融合后，兩個廣域網(wǎng)再沒有獨立運行的必要了，因此要將兩個廣域網(wǎng)合并成一個網(wǎng)絡，清理網(wǎng)絡資產(chǎn)、簡化網(wǎng)絡結(jié)構(gòu)（減少二級節(jié)點數(shù)量）、優(yōu)化路由，使網(wǎng)絡安全、高效、可靠、易維護、易管理。A企業(yè)廣域網(wǎng)絡結(jié)構(gòu)如圖2-1所示：C72WC7206圖2-1A企業(yè)廣域網(wǎng)結(jié)構(gòu)

B企業(yè)廣域網(wǎng)絡結(jié)構(gòu)如圖2-2所示。網(wǎng)路蘭I諉凡企也忙也中心AOf■掃描點盈或也節(jié)1線H-他L0人分克場迎接<辦登樓&樓）直漢如KB企業(yè)廣域網(wǎng)絡結(jié)構(gòu)如圖2-2所示。網(wǎng)路蘭I諉凡企也忙也中心AOf■掃描點盈或也節(jié)1線H-他L0人分克場迎接<辦登樓&樓）直漢如K均覘中心同揪網(wǎng)^換機H3C8B505SR00O8w辦公格?眺辦處網(wǎng)<U敬,武漢方支廿0H3CWM6R在不增加新設備、新鏈路的情況下，針對現(xiàn)有物理設備及線路給出整合解決方案的整體思路。要求：（1）整合后的企業(yè)網(wǎng)絡采用層次化設計、簡化拓撲，實現(xiàn)核心節(jié)點、線路N+1冗余；（2）整合后企業(yè)網(wǎng)絡的二級節(jié)點只包括重慶、萬州、宜昌、蕪湖、南京、上海以及位于武漢郊區(qū)的“培訓中心”和“武漢分支節(jié)點”。標準參考答案：解決方案的整體思路：（1）核心路由設備遷移到一個核心機房，并遷移原有與二級設備的鏈路；（2）所有服務器、核心交換機遷移到核心機房，并實現(xiàn)服務器區(qū)與兩臺核心交換機的默認網(wǎng)關(guān)冗余；（3）統(tǒng)一采用二級、三級節(jié)點方式，打亂原有連接方式；對八個二級節(jié)點以外的節(jié)點都降級為三級節(jié)點；對原A企業(yè)三級節(jié)點、B企業(yè)掃描接入點采用就近接入原則或者就近線路遷移原則，形成三級網(wǎng)絡結(jié)構(gòu)；（4）原有155M線路作主用，30M線路作備用?！締栴}2】（9分）原A企業(yè)服務器地址采用172.16.1.0/24一個C類地址段，原B企業(yè)服務器地址采用192.168.0.0/24、192.168.1.0/24二個C類地址段。A、B兩企業(yè)用戶地址和網(wǎng)絡設備地址都采用10.0.0.0/8地址。要求在不影響業(yè)務的情況下采用層次化的地址分配方案合理規(guī)劃地址（禁止使用NAT技術(shù)），請?zhí)峁┑刂非袚Q解決方案。標準參考答案：地址切換解決方案：所有核心設備整合到一個機房后，在服務器區(qū)劃分三個或多個VLAN，使原有服務器網(wǎng)段地址不作修改，以保障業(yè)務系統(tǒng)的正常使用。用戶地址進行統(tǒng)一規(guī)劃，采用先橫向再縱向的方式對各單位進行地址分配，各單位進行地址分配時對地址進行合理預留，以滿足后期擴展。并采用DHCP技術(shù)自動分配業(yè)務地址。設備管理地址采用32位掩碼、屬于單一地址段的地址進行全網(wǎng)統(tǒng)一規(guī)劃，設備互聯(lián)地址采用30位掩碼的地址進行全網(wǎng)統(tǒng)一規(guī)劃。【問題3】（6分）原A企業(yè)采用OSPF作為路由協(xié)議，協(xié)議進程規(guī)劃為1，二級節(jié)點作為area0邊界且往下分別歸屬于不同的area。原B企業(yè)采用OSPF作為路由協(xié)議，協(xié)議進程規(guī)劃為10，分支節(jié)點作為area0邊界且往下分別歸屬于不同的area。合并前A、B兩企業(yè)之間采用靜態(tài)路由連接。請?zhí)峁﹥煞N基于OSPF協(xié)議的路由整合方案思路。標準參考答案：路由整合方案：路由整合方案一一一整合所有路由器到一個OSPF體系中，所有核心設備規(guī)劃到核心區(qū)域AREA0中，其它節(jié)點按歸屬劃分到不同的區(qū)域中。路由整合方案二——采用多進程OSPF技術(shù)，將原有兩個單位的OSPF啟用兩個不同的進程，再進行路由的相互導入。試題三（25分）閱讀以下關(guān)于某企業(yè)內(nèi)部網(wǎng)絡系統(tǒng)的敘述，回答問題1至問題3,將解答或相應的編號填入答題紙的對應欄內(nèi)。【說明】某企業(yè)網(wǎng)絡拓撲結(jié)構(gòu)如圖3-1所示。根據(jù)企業(yè)要求實現(xiàn)負載均衡和冗余備份，構(gòu)建無阻塞高性能網(wǎng)絡的建設原則，該企業(yè)網(wǎng)絡采用兩臺S7606萬兆骨干路由交換機作為雙核心，部門交換機S2924G通過光纖分別與兩臺核心交換機相連，通過防火墻和邊界路由器與Internet相連。S7606之間相連的端口均為Trunk端口，S7606與S2924G之間相連的端口也均為Trunk端口。部分PC機IP信息及所屬VLAN如表3-1所示。

圖表T部分PC機IP信息反所屬VLANW網(wǎng)絡設備4IP地址4所屬VLAN】，PC"202.10.9.10/24^VLAN部PC2^202.10.10.10/2^VLAN10片PC3^202.10.1.10/24^VLAN11^PC4^202.10.12.10/24^VLAN18PC5^202.10.9.15/24PVLAN9#船也網(wǎng)F5I姓CISC07609圖3-1某企業(yè)網(wǎng)絡拓撲結(jié)構(gòu)【問題1】(9分)四臺交換機都啟用了MSTP生成樹模式，其中S7606-1的相關(guān)配置如下：S7606-1(config)#spanning-treemst1priority4096//缺省值是32768S7606-1(config)#spanning-treemstconfigurationS7606-1(config-mst)#instance1vlan10,12S7606-1(config-mst)#instance2vlan9,11S7606-1(config-mst)#nameregionl57606-1(config-mst)#revision1S7606-2的相關(guān)配置如下：S7606-2(config)#spanning-treemst2priority4096S7606-2(config)#spanning-treemstconfigurationS7606-2(config-mst)#instance1vlan10,12S7606-2(config-mst)#instance2vlan9,11S7606-2(config-mst)#nameregion1S7606-2(config-mst)#revision1兩臺S2924G交換機也配置了相同的實例、域名稱和版本修訂號。請問instance2的生成樹的根交換機是哪一臺？為什么？就instance1而言，交換機S2924G一的根端口是哪個端口？為什么？請指出PC1發(fā)給PC5的數(shù)據(jù)包經(jīng)過的設備路徑。標準參考答案：instance2的生成樹的根交換機是S7606-2，因為其優(yōu)先級的值較小，優(yōu)先成為該實例的根交換機。對instance1而言，交換機S2924G-1的根端口是Gig2/1端口，因為instance1的生成樹的根交換機是S7606-1，交換機S2924G-1離根橋最近的端口為根端口。OS7606-2。S2924G-1。(3)PC1PC5OS2924G-2【問題2】(8分)在三層交換機S7606-1中VLAN10的IP地址配置為202.10.10.1/24，VLAN11的IP地址配置為202.10.11.254/24。在三層交換機S7606-2中VLAN10的IP地址配置為202.10.10.254/24,VLAN11的IP地址配置為202.10.11.1/24。兩臺三層交換機中的VRRP配置如下：S7606-1(config)#interfacevlan10S7606-1(config-if)#vrrp10ip202.10.10.1S7606-1(config-if)#vrrp10preemptS7606-1(config)#interfacevlan11S7606-1(config-if)#vrrp11ip202.10.11.1S7606-2(config)#interfacevlan10S7606-2(config-if)#vrrp10ip202.10.10.1S7606-2(config)#interfacevlan11S7606-2(config-if)#vrrp11ip202.1011.1S7606-2(config-if)#vrrp11preemptPC2主機中設置的網(wǎng)關(guān)IP為202.10.10.1，在網(wǎng)絡正常運行的情況下，請按照以下格式寫出PC2訪問Internet的數(shù)據(jù)轉(zhuǎn)發(fā)路徑。(格式：PC2—設備1一一Internet。不寫返回路徑)假設三層交換機S7606-1需要臨時宕機1小時進行檢修及升級操作系統(tǒng)。請問這1小時時段內(nèi)PC2在沒有修改網(wǎng)關(guān)IP地址的情況下，是否能訪問Internet？請結(jié)合交換機S7606-1宕機后發(fā)生的變化說明原因。標準參考答案：(1)在網(wǎng)絡正常運行的情況下，PC2訪問Internet的數(shù)據(jù)轉(zhuǎn)發(fā)路徑為：PC2—>S2924G-1—>S7606-1—>防火墻一>邊界路由器一>Internet(2)a)能訪問Internetb)虛擬路由冗余協(xié)議VRRP是用于實現(xiàn)路由器冗余的協(xié)議，對共享多存取訪問介質(zhì)(如以太網(wǎng))上終端IP設備的默認網(wǎng)關(guān)(DefaultGateway)進行冗余備份，從而在其中一臺路由設備宕機時，備份路由設備及時接管轉(zhuǎn)發(fā)工作，向用戶提供透明的切換，提高