1、网络规划设计师-2 及答案解析(总分:100.00,做题时间:90 分钟)一、B论述题/B(总题数:3,分数:100.00)阅读以下技术说明和图,根据要求回答问题。说明ZF 集团公司是一家拥有 20 个直属子公司、16 个分公司、5 个海外办事处的上市公司。2009 年 9 月,集团高层研究决定对整个企业的资源进行整合,需要对原有的企业网络进行升级改造。ZF 集团公司所委托的设计单位经过 28 天的调查、论证、规划和设计,为该企业提供了一套较完整的网络建设设计方案。该设计方案采用了分区域规划设计策略。例如,由于集团总部部门较多,同时还会涉及各分支机构及各合作公司的接入,从网络架构的合理性及易管
2、理性方面考虑,整个集团总部的网络根据各应用的功能不同,分为核心交换区域、网络出口区域、外部服务器区域、办公接入区域、网络视频会议区域、内部服务器区域、无线阅览区域、网络安全区域及网络管理区域等。其中,ZF 集团总部网络的拓扑结构如图 1 所示。(分数:40.00)(1).对如图 1 所示网络进行逻辑设计时,对于其中的无线阅览区域,设计单位规划师老郭、老陈分别提出了“瘦”AP、“胖”AP 两种无线局域网(WLAN)组网模式。结合你的网络规划设计经验,请简要分析比较这两种 WLAN 组网模式在功能、安全、成本、可扩展性方面的优点与不足。(分数:10.00)_(2).对图 1 所示网络进行逻辑设计时
3、,规划师采用一种网络设备(或网络系统)对该集团公司网络中存储资源代码的服务器、财务系统服务器等提供如下的保护措施:数据包进入这些服务器所在网段时将被进行过滤检测,并确定该数据包是否包含有威胁网络安全的特征。如果检测到一个恶意的数据包时,系统不但发出警报,还将采取相应措施(如丢弃含有攻击性的数据包或阻断连接)阻断攻击。 (1)请写出这种网络设备(或系统)的名称。 (2)所采用的网络设备(或系统)应该部署在图 1 中的哪个位置上?(分数:10.00)_(3).在图 1 所示的办公接入区域中,某业务部门的所有计算机被划分在同一个 VLAN 中,其数据传输速率为 100Mbps。使用 RMONv2 M
4、onitor 监测到该以太网段 1 分钟内共传输了 5400 个分组、4200000 字节,请计算该以太网段的子网利用率(要求给出求解的公式)。(分数:10.00)_(4).在图 1 所示的核心交换区域中,两台核心三层交换机上配置了 VRRP、STP 等协议。在项目配置实施过程中发现,这两台核心三层交换机的 VRRP 状态不稳定,频繁发生 MasterInitializeBackupMaster的状态切换现象。 针对这一故障现象,请简要说明与 VRRP 相关的故障原因定位的具体排查步骤。(分数:10.00)_阅读以下电子政务外网规划与设计的相关说明,根据要求回答问题。说明电子政务外网建设是当前
5、政府信息化建设的重点内容,其以资源整合、平台共享、高效服务为目的。A 省依托本省运营商资源,建成的电子政务外网覆盖了本省所有省直部门的省级横向网、省市县三级的纵向网、市县横向网,以及省级数据存储和备份中心等应用支撑平台,以提供面向社会的专业性服务和为社会公众提供政务信息服务。其部分网络拓扑结构如图所示。在图中,为每家省直接入单位配置一台接入层交换机作为 CE 设备,省直部门横向接入通过裸光纤/MSTP 等方式,提供百兆接入带宽。在各设区市部署 1 台横向汇聚交换机,作为市级委办局横向网的汇聚设备。在每个县部署 l 台横向汇聚交换机,作为县级委办局和乡镇横向接入的汇聚设备。注:以上叙述(包括网络
6、拓扑结构图)为考试而设计,与现实情况不一定完全吻合。(分数:40.00)(1).在上图中,省级横向网的核心层采用了 2.5Gbps RPR/POS 环网。结合你的网络规划经验,请简要说明POS 接口的配置参数及其配置过程中需要注意的相关问题。(分数:10.00)_(2).根据政务外网所承载的业务和系统服务类型的不同,在逻辑上可将政务外网划分为公用网络区、专用网络区和互联网接入区 3 个功能域。其中,公用网络区用于实现各部门、各地区互联互通;专用网络区用于实现不同部门或不同业务之间的虚拟专用网(VPN)相互隔离;互联网接入区用于实现面向社会的公共服务需求。 结合你的网络规划设计经验和如上图所示的
7、拓扑结构,请给出一个政务外网 IP 地址和域名的规划设计的基本方案。(分数:10.00)_(3).A 省省政府直属各单位在省政务外网上利用 MPLS VPN 技术,连接本系统内部省、市、县(市、区)相关部门的纵向业务网络。请结合上图所示的拓扑结构,简要说明在省级横向网汇聚层每台 PE 路由器上配置 MPLS VPN 的具体实施步骤。(分数:10.00)_(4).由于政务外网承载的各类数据、语音、视频的数据量会随着业务系统的应用范围扩大而急剧增长,因此在基于 MPLS VPN 的政务外网中,需要引入支持 DiffServ 和 IntServ 两种机制的 QoS 策略。结合你的网络规划经验,简要说
8、明 DiffServ 和 IntServ 两种机制在控制粒度、控制范围方面的主要区别,并简述在上图网络中,具体实施 DiffServ 策略的一般思路。(分数:10.00)_阅读以下企业网络升级改造方面的相关说明,根据要求回答问题。说明某行业集团总公司下属有 6 家地市级分公司,建有企业信息化(如 OA 系统等)、计费及综合账务、网络管理等业务系统。不同的业务使用不同的业务支撑网,这些业务系统分属不同的部门管理和维护。各业务系统所有的业务服务器及核心设备均集中在省总公司,各分公司通过 4 条 E1 电路逻辑绑定而形成的 8Mbps传输带宽,以客户端的形式访问省总公司的资源。该集团公司改造前的网络
9、拓扑结构如图 1 所示。图 1 某集团改造前网络拓扑结构图由于存在多个不同的业务支撑网,网络资源分散,部分网络不能满足日益增长的业务需求,而又有部分网络资源利用率低。虽然各业务系统之间实现了互连互通,但无法进行有效的安全隔离,安全性较差。为了改变这种状况,满足企业业务支撑网络整体长期发展的需要,该集团公司采用 MPLS VPN 技术对原网络进行了改造。在全公司建立一张统一的 MPLS 骨干网络来承载公司所有内部业务,不同的业务系统通过划分 VPN 来实现互访与隔离。改造后的网络拓扑结构如图2 所示。(分数:20.00)(1).在图 1 中,SDH 传输网络至省总公司的传输带宽为 STM-1。如
10、果在省总公司不增加任何设备和板卡,将原网络中的核心路由器迁移为图 2 中的路由器 R1,仅通过为每个逻辑通道绑定更多 E1 线路的方式增加备用链路的带宽,则在省总公司至各分公司传输带宽相等的要求下,请给出理论上路由器 R1 和 R2 之间的备用链路可以扩充到的最大传输带宽(请简要说明计算过程)。(分数:10.00)_(2).与图 1 对比,图 2 中省总公司两套 P 设备、PE 设备及其相关链路所组成的拓扑结构具有哪些优点?结合你的网络规划设计经验,请简要说明这些优点。(分数:10.00)_网络规划设计师-2 答案解析(总分:100.00,做题时间:90 分钟)一、B论述题/B(总题数:3,分
11、数:100.00)阅读以下技术说明和图,根据要求回答问题。说明ZF 集团公司是一家拥有 20 个直属子公司、16 个分公司、5 个海外办事处的上市公司。2009 年 9 月,集团高层研究决定对整个企业的资源进行整合,需要对原有的企业网络进行升级改造。ZF 集团公司所委托的设计单位经过 28 天的调查、论证、规划和设计,为该企业提供了一套较完整的网络建设设计方案。该设计方案采用了分区域规划设计策略。例如,由于集团总部部门较多,同时还会涉及各分支机构及各合作公司的接入,从网络架构的合理性及易管理性方面考虑,整个集团总部的网络根据各应用的功能不同,分为核心交换区域、网络出口区域、外部服务器区域、办公
12、接入区域、网络视频会议区域、内部服务器区域、无线阅览区域、网络安全区域及网络管理区域等。其中,ZF 集团总部网络的拓扑结构如图 1 所示。(分数:40.00)(1).对如图 1 所示网络进行逻辑设计时,对于其中的无线阅览区域,设计单位规划师老郭、老陈分别提出了“瘦”AP、“胖”AP 两种无线局域网(WLAN)组网模式。结合你的网络规划设计经验,请简要分析比较这两种 WLAN 组网模式在功能、安全、成本、可扩展性方面的优点与不足。(分数:10.00)_正确答案:(“瘦”AP 组网模式:可通过无线控制器 WNC 对 AP、SSID 等进行统一管理,能为覆盖范围内的所有 AP 配置同一个 SSID,
13、实现无缝漫游,也可提供多个 SSID,针对不同的用户(或不同的覆盖区域)进行不同的权限限制;用户验证和用户数据传输的加密由 WNC 完成,能满足用户扩展的安全需求(如 AAA 等功能);大规模部署成本低、运维管理成本低;具有高度的可扩展性 “胖”AP 组网模式:无法实现真正的无缝漫游,每个 AP 只能拥有一个 SSID,不能对用户进行不同的权限控制;每个接入 AP 对接入用户仅能进行独立的用户验证和数据传输加密;大规模部署成本高、运维管理成本高;无可扩展性或扩展性较差)解析:设计本问题的目的是加深读者对 WLAN 组网模式的理解。本题所涉及的知识点如下。 通常,“瘦”AP 组网模式是将 WLA
14、N 所有的数据处理与控制能力都放置在无线交换机上,将 AP 集中,统一由无线控制器(WNC)进行管理,这是一种集中式架构体系,如图 2 所示。相对而言,“胖”AP 组网模式是将 WLAN 所有的数据处理与控制能力都放置在 AP 上。这是一种传统的、分布式架构体系,也称为自治型无线接入点的组网模式,如图 3 所示。这两种 WLAN 组网模式在管理、功能、安全、成本、可扩展性方面的区别见下表。 *图 2 “瘦”AP 组网模式*图 3 “胖”AP 组网模式B“瘦”AP 和“胖”AP 组网模式的区别/B比较 “瘦”AP “胖”AP项管理AP 由 WNC 统一集中管理,通过 WNC 就可以配置、维护、管
15、理整个无线网络;每个 AP 则只需要单独负责 RF 和通信的工作,数据传送到 WNC 后集中对数据进行处理没有集中的控制器设备,所有的AP 都通过交换机连接起来,每个 AP 单独负担RF、通信、身份验证、加密等工作,缺乏统一的管理,在需要覆盖的区域,根据既定的实现效果对每一个 AP 进行初始配置、安全策略配置、访问控制策略等工作,随着 WLAN 规模的增大,日常安装维护将变得十分繁琐功能可以通过 WNC 对 AP、SSID 等进行统一管理,实现无缝漫游。用户能够随时随地地选用最合适的无线网络进行通信。可以通过 WNC 提供多个 SSID,针对不同的用户或者不同的覆盖区域进行不同的权限限制。也可
16、以通过 wNc为覆盖范围内的所有 AP 配置同一个SSID,即整个无线局域网内使用同一个 sSII)进行无线通信。大大简化了网络结构,方便网络管理员进行管理无法实现真正的无缝漫游,由于AP 与无线网络适配器之间的关联时间较长,所以当移动用户从原来正在连接的 AP 漫游到另一个 AP 时往往出现通信中断的现象。每个 AP 只能拥有一个 SSID,不能对用户进行不同的权限控制。且相邻 AP 若使用同样的 SSID,会造成 SSID 冲突安全接入 AP 无须由自身对接入用户进行用户验证和用户数据传输的加密,并能满足用户扩展的安全需求(如使用dotlx 对接入用户进行验证,WIPS,AAA 等功能)每
17、个接入 AP 对接入用户进行独立的用户验证和数据传输加密,在安全方面仅能做到基础用户验证和数据加密的安全特性,无法满足用户扩展的安全需求成本无须改变现有的网络结构,只需在现有网络中加入无线设备,随着 WLAN 网络的增大,无论 AP数量如何增加,AP 数量超过一台 WNC 的连接上限时,可以通过堆叠等技术增加无线交换机数量。集中式的架构统一了无线网络的功能特性,减少了部署无线网络的总体成本,同时还减少AP 之间相互独立,其配置和管理也是单独的。随着 AP 数量的增多,管理 AP 将变得十分困难,成本也越来越高了无线网络的整体能耗扩展性具有高度的可扩展性,可以通过网络把AP 部署到需要覆盖的任何
18、地方,然后通过 VPN 连接到组织单位内部的WNC,把无线网络扩展到企业需要的任何地方,并能适应未来语音、视频监控等扩展需求扩展性较差(2).对图 1 所示网络进行逻辑设计时,规划师采用一种网络设备(或网络系统)对该集团公司网络中存储资源代码的服务器、财务系统服务器等提供如下的保护措施:数据包进入这些服务器所在网段时将被进行过滤检测,并确定该数据包是否包含有威胁网络安全的特征。如果检测到一个恶意的数据包时,系统不但发出警报,还将采取相应措施(如丢弃含有攻击性的数据包或阻断连接)阻断攻击。 (1)请写出这种网络设备(或系统)的名称。 (2)所采用的网络设备(或系统)应该部署在图 1 中的哪个位置
19、上?(分数:10.00)_正确答案:(1)基于网络的入侵防护系统或 NIPS,或其他具有类似功能的设备(或系统) (2)串接在受防护服务器所在网段的交换机入口处或串接在内部服务器区域中防火墙与交换机之间)解析:设计本问题的目的是加深读者对入侵防护系统及其部署应用的理解。本题解答思路如下。 依题意,该集团公司网络中存储资源代码的服务器、财务系统服务器等通常含有公司机密性的相关信息。为了避免Internet 用户和内部网络中未经授权的用户直接访问这些服务器,在图 1 所示的网络架构中,需要将这些服务器部署在含有防火墙进行逻辑隔离的内部服务器区域中以确保其安全。 基于网络的入侵防护系统(Networ
20、k-based Intrusion Prevention System,NIPS)兼有防火墙、入侵检测系统和防病毒等安全组件的特性,当数据包经过它时,将对这些数据包进行过滤检测,以确定该数据包是否包含威胁网络安全的特征。如果检测到一个恶意的数据包,系统不但发出警报,还将采取相应措施(如丢弃含有攻击性的数据包或阻断连接)阻断攻击。 在图 1 所示的网络架构中,NIPS 需要串接在受防护的财务系统服务器等所在网段的交换机入口处(例如,串接在图 1 内部服务器区域的防火墙与交换机之间),进出该网段的数据流都必须通过它,从而保护相关服务器网段的整体安全。(3).在图 1 所示的办公接入区域中,某业务部
21、门的所有计算机被划分在同一个 VLAN 中,其数据传输速率为 100Mbps。使用 RMONv2 Monitor 监测到该以太网段 1 分钟内共传输了 5400 个分组、4200000 字节,请计算该以太网段的子网利用率(要求给出求解的公式)。(分数:10.00)_正确答案:(*)解析:设计本问题的目的是加深读者对 RMON 子网利用率计算的理解。本题的解答思路如下。RMON(Remote Network Monitoring,远端网络监控)规范是由简单网络管理协议(SNMP)的管理信息库(MIB)扩展而来。在 RMON 中,网络监视数据包含了一组统计数据和性能指标,它们在不同的监视器(也称为
22、探测器)和控制台系统之间相互交换。结果数据可用来监控网络利用率,以用于网络规划,性能优化和协助网络错误诊断。目前,RMON 有 RMONv1 和 RMONv2 两种版本。RMONv1 在目前使用较为广泛的网络硬件中都能发现,它定义了 9 个 MIB 组服务于基本网络监控;RMONv2 是 RMON 的扩展,专注于 MAC 层以上更高的流量层,它主要强调 IP 流量和应用程序层流量。RMONv2 允许网络管理应用程序监控所有网络层的信息包。RMON MIB 的历史组存储的是以固定时间间隔(Interval)取样所获得的子网统计数据,从而可以做一些与时间有关的数据分析。例如,可以计算某个以太网段的
23、子网利用率(Utilization)。其计算公式如下。*其中,Packets 为所捕获的分组数,Octets 为所捕获的字节数,R 为该以太网段的数据传输速率。以太网的帧间隔为 12 字节(即 96bit),帧前导码字段为 8 字节(即 64bit),因此每个帧有(12+8)8 比特的开销。依题意,R=100Mbps=10010 6bps,Packets=5400,Octets=4200000B,Interval=60s,因此该办公接入区域相关业务部门网段的子网利用率为 0.5744%。具体计算过程如下。*(4).在图 1 所示的核心交换区域中,两台核心三层交换机上配置了 VRRP、STP 等
24、协议。在项目配置实施过程中发现,这两台核心三层交换机的 VRRP 状态不稳定,频繁发生 MasterInitializeBackupMaster的状态切换现象。 针对这一故障现象,请简要说明与 VRRP 相关的故障原因定位的具体排查步骤。(分数:10.00)_正确答案:(查看两台核心三层交换机的日志信息,检查其所在链路的链路状态是否不稳定(特别是VRRP 配置的监视接口的链路状态); 在两台核心三层交换机上 ping 对端的接口实际 IP 地址来检测VRRP 路由器的网络互通性,检查网络是否有环路等问题; 查看两台核心三层交换机互连端口的 STP 状态是否正常; 检查 VRRP 报文收发情况,
25、可以适当增加 Backup 等待延迟时间; 查看 VRRP 协议报文互通的业务板和主控板 CPU 占用率情况,以排除是否有存在网络风暴,或者暂时关闭一些不重要的业务以降低 CPU 的利用率,再进一步观察故障现象是否发生变化; 寻求厂商技术工程师或其他有相关经验的工程师的进一步帮助与支持)解析:设计本问题的目的是考核读者对 VRRP 相关故障处理的实践经验。本题的解答思路如下。通常,VRRP 的故障诊断一般流程如图 4 所示。*图 4 VRRP 故障诊断一般流程依题意,核心交换区域中两台核心三层交换机都配置了 VRRP、STP 等协议,而这两台核心三层交换机频繁发生 VRRP 状态切换的现象,这
26、是一种 VRRP 路由器状态振荡的故障现象。其故障原因定位的具体检查步骤如下。检查这两台核心三层交换机所在链路的链路状态。观察这两台核心三层交换机日志信息,确认 VRRP 状态切换前是否发生链路状态的 up/down 变化。由于 VRRP 状态是受链路状态影响的,因此链路的不稳定会引起 VRRP 状态的振荡。同时要关注 VRRP 配置的监视接口的链路状态,因为 VRRP 路由器的优先级会随监视接口的链路状态而变化,该链路状态不稳定也会引起 VRRP 状态的振荡。检查这两台核心三层交换机所在网络互通性。可采用在这两台核心三层交换机上 ping 对端的接口实际IP 地址的方式来检测 VRRP 路由
27、器的网络互通性。如果不能 ping 通或者出现不连续中断,请检查链路是否有环路等问题。如果端口存在大量错误的报文,则需要检查链路,如检查两端的光衰减是否在正常范围。如有故障,请更换连接所用的光纤。检查 STP 等协议。使用命令 display stp brief 查看互连端口的 STP 状态是否正常。STP 状态的反复切换将会造成 VRRP 状态的反复切换,必须保证 VRRP 协议报文通过的链路 STP 状态稳定。检查端口是否因STP、RRPP、Smart-link 或者 LACP 等协议而阻塞。检查 VRRP 报文收发情况。打开 VRRP 调试开关,确定 VRRP 报文是否能够正常收发。如果
28、看不到 VRRP 报文调试信息,很有可能是 VRRP 报文被丢弃,可以打开 IP 报文调试信息进行查看。如果 CPU 限速导致报文丢弃,可根据实际组网需要适当减少配置的 VRRP 路由器数量或者调整 VRRP 报文发送时间间隔。在网络比较拥塞的环境下,Backup 路由器可能在等待超时后才收到 Master 路由器的报文,导致备份组内的成员频繁的进行主备状态转换。此时可以适当增加 Backup 等待延迟时间。检查 CPU 占用率情况。通过命令 display cpu-usage 查看 VRRP 协议报文互通的业务板和主控板 CPU 占用率是否过高。可以通过命令 display interfac
29、e 查看端口流量,确定网络中是否存在广播风暴。如果存在网络风暴,则 VRRP 报文无法正常送给 CPU 处理,VRRP 状态必然出现异常。可以暂时关闭一些不重要的业务,以降低 CPU 的利用率,再进一步观察故障现象是否发生变化。寻求进一步帮助。若上述方法不能确定问题,则需要联系厂商技术工程师或寻求其他有相关经验的工程师支持。阅读以下电子政务外网规划与设计的相关说明,根据要求回答问题。说明电子政务外网建设是当前政府信息化建设的重点内容,其以资源整合、平台共享、高效服务为目的。A 省依托本省运营商资源,建成的电子政务外网覆盖了本省所有省直部门的省级横向网、省市县三级的纵向网、市县横向网,以及省级数
30、据存储和备份中心等应用支撑平台,以提供面向社会的专业性服务和为社会公众提供政务信息服务。其部分网络拓扑结构如图所示。在图中,为每家省直接入单位配置一台接入层交换机作为 CE 设备,省直部门横向接入通过裸光纤/MSTP 等方式,提供百兆接入带宽。在各设区市部署 1 台横向汇聚交换机,作为市级委办局横向网的汇聚设备。在每个县部署 l 台横向汇聚交换机,作为县级委办局和乡镇横向接入的汇聚设备。注:以上叙述(包括网络拓扑结构图)为考试而设计,与现实情况不一定完全吻合。(分数:40.00)(1).在上图中,省级横向网的核心层采用了 2.5Gbps RPR/POS 环网。结合你的网络规划经验,请简要说明P
31、OS 接口的配置参数及其配置过程中需要注意的相关问题。(分数:10.00)_正确答案:(POS 接口的配置参数有接口带宽、接口地址、链路层协议、帧格式、CRC 校验和 Flag(帧头中净负荷类型的标志位)等 接口的链路层协议、帧格式、CRC 校验和 Flag(帧头中净负荷类型的标志位)等参数必须与对端接口的参数保持一致)解析:设计本问题的目的是考核读者对 POS 接口参数的配置实践经验。本题的解答思路如下。 POS(Packet over SONET/SDH)是一种利用 SONET/SDH 提供的高速传输通道直接传送 IP 数据包的网络连接技术。POS 技术支持光纤介质,使用的数据链路层协议主
32、要有 PPP 和 HDLC。在路由器上插入一块 POS 模块,就能提供 POS 接口。目前,POS 可以提供 155Mbps、622Mbps、2.5Gbps 和 10Gbps 数据传输速率的接口。 POS 接口的配置参数有接口带宽、接口地址、链路层协议、帧格式、CRC 校验和 Flag(帧头中净负荷类型的标志位)等。在配置 POS 接口时需要注意的是,有些参数必须与对端接口的参数保持一致,如接口的链路层协议、帧格式、CRC 校验和 Flag。(2).根据政务外网所承载的业务和系统服务类型的不同,在逻辑上可将政务外网划分为公用网络区、专用网络区和互联网接入区 3 个功能域。其中,公用网络区用于实
33、现各部门、各地区互联互通;专用网络区用于实现不同部门或不同业务之间的虚拟专用网(VPN)相互隔离;互联网接入区用于实现面向社会的公共服务需求。 结合你的网络规划设计经验和如上图所示的拓扑结构,请给出一个政务外网 IP 地址和域名的规划设计的基本方案。(分数:10.00)_正确答案:(IP 地址与域名的规划设计方案的基本思路如下(包含但不限于以下方案)。 公用网络区: 业务地址采用预先分配的政务外网公用地址(CNNIC 注册,内部使用,按需申请); 用户终端使用内部私有地址,并通过相应的网络设备(如防火墙、路由器等)实现 NAT 之后再接入; 采用树状体系的内部域名(统一规范)。 专用网络区:
34、采用内部私有地址直接接入; 域名可以由各单位、各部门自行负责。 互联网接入区 Internet 出口 IP 地址由本地运营商分配; 业务地址采用预先分配的地址,按需使用; 用户终端使用内部私有地址,并通过相应的网络设备(如防火墙、路由器等)实现 NAT 之后再接入; 采用互联网域名)解析:设计本问题的目的是加深读者对电子政力外网专用网络 IP 地址、域名的规划设计的理解。本题的解答思路如下。 构建政务外网有两个目的,是加强政府的管理能力,提高政府为公众提供服务的能力;是减少重复建设,节约投资,促进政务部门间互联互通和信息共享。政务外网是覆盖全国的非涉密的政务公用网络,与互联网逻辑隔离。政务外网
35、分为公用网络区、专用网络区和互联网接入区 3 个应用区域。 公用网络区是指采用政务外网公用地址(即从 CNNIC 注册的地址)的网络区域,是政务外网的主干道,实现各部门、各地区互连互通,为跨地区、跨部门的提供支撑平台。公用网络区原则上不提供 Internet 路由。该区的业务特点是“接入即开通”,用户网络通过安全设备(如防火墙、IPS 等)进行接入,同时在用户网络边缘实施 NAT,将用户网络地址转换成政务外网合法的公有地址后实现接入。以上图省级横向网接入层为例,在该区域为各厅级单位分配 N 个业务地址。例如,分配地址块 20.10.x.x/28 给农业厅,其中扣除1 个子网网络地址、1 个子网
36、直接广播地址、1 个网关地址和 1 个统一管理地址,农业厅网络可实际使用的地址为 12 个。当接入终端小于等于 12 台时,可以直接在终端上配置业务地址即可接入至公用网络区;当接入终端大于 12 台时,终端需要使用用户自行规划的内部私有地址(如 192.168.x.x 地址块),并通过相应的网络设备(如防火墙、路由器等)实现 NAT 之后再接入公用网络区。本区域采用树状体系的内部域名。专用网络区是依托政务外网基础设施,为有特定需求的部门或业务设置的 VPN 网络区域,实现不同部门或不同业务之间的相互隔离。VPN 网络区域主要为少数部门的特定业务数据传输提供安全通道。该区的业务特点是“按需开通”
37、,用户根据自身业务的需求,以私有 IP 地址的方式实现接入。同时,允许用户开通多个专用 VPN 业务。运营商为这些专用的 VPN 业务提供安全的传输通道。在上图中,根据 MPLS VPN 网络的特点,本区域可以采用内部私有地址(如 10.x.x.x 地址块)直接接入,域名可以由各单位、各部门自行定义、管理。 互联网接入区是各级政务部门通过逻辑隔离手段安全接入 Internet 的网络区域,满足各级政务部门公共服务业务应用的需要。该区的业务特点是“按需开通”,用户网络通过安全设备(如防火墙、IPS 等)进行接入,同时在用户网络边缘实施 NAT,将用户网络地址转换成运营商提供的合法公有地址后实现接
38、入。同时,该区的另一个特点是“带宽与应用的严格限制”,即对用户接入带宽与 Internet 应用服务进行限制。以上图省级横向网接入层为例,在该区域需要根据各厅级单位规模大小,按需分配业务地址。用户终端需要使用用户自行规划的内部私有地址,并通过相应的网络设备(如防火墙、IPS、路由器等)实现 NAT 之后再接入 Internet。Internet 出口 IP 地址由本地运营商分配。本区域采用互联网域名。 公用网络区和专用网络区是相对封闭的,主要运行各级政府内部的管理业务,促进各级部门间的信息共享和业务协同。政务部门为公众提供服务的业务则运行在政务外网的互联网接入区,公众通过 Internet 获
39、得政府提供的服务。(3).A 省省政府直属各单位在省政务外网上利用 MPLS VPN 技术,连接本系统内部省、市、县(市、区)相关部门的纵向业务网络。请结合上图所示的拓扑结构,简要说明在省级横向网汇聚层每台 PE 路由器上配置 MPLS VPN 的具体实施步骤。(分数:10.00)_正确答案:(配置 PE 设备的 Loopback 地址,作为 PE 间 MP-BGP 互通的接口地址; 配置 PE 与 PE 及PE 与 P 之间互联的 IGP 协议(如 OSPF 等),实现 PE 和 P 之间的互通; 在 PE 设备上配置 MPLS 基本能力,使能 LDP,建立 LDP LSP; 在 PE 设备
40、上需要启用 MPLS 功能的接口建立使能 LDP; PE 间建立 MP-BGP对等体关系; 在 PE 上配置 VPN 实例,将实例与对应 CE 接口捆绑,将 CE 接入 PE,配置 CE 与 PE 互联接口的地址及路由协议,使 PE 和 CE 能够互通)解析:设计本问题的目的是加深读者对 MPLS VPN 配置与实施的理解。本题的解答思路如下。 MPLS VPN主要有 CE、PE 和 P 等 3 种路由器。其中,CE 路由器(Custom Edge Router,用户网络边缘路由器)用于发布用户网络路由。在上图中,MCE 是 Multi-CE 的简称,具有 MCE 功能的交换机可以在 MPLS
41、 VPN 组网应用中承担多个 VPN 实例的 CE 功能,减少用户网络设备的投入。PE 路由器(Provider Edge Router,骨干网边缘路由器)与用户的 CE 直接相连,负责 VPN 业务接入,存储 VRF(Virtual Routing Forwarding Instance),处理 VPN-IPv4 路由,是 MPLS 三层 VPN 的主要实现者。P 路由器(Provider Router,骨干网核心路由器)负责快速转发 MPLS 数据,不与 CE 直接相连。在整个 MPLS VPN 网络中,对 VPN 的所有处理都发生在 PE 路由器上,P、PE 设备需要支持 MPLS 的基
42、本功能,CE 设备不必支持 MPLS。 依题意,在上图所示的省级横向网汇聚层中,每台 PE 路由器上配置 MPLS VPN 的一般性实施步骤如下。 配置 PE 及 P设备的 Loopback 地址,作为 PE 间 MP-BGP 互通的接口地址; 配置 PE 与 PE 及 PE 与 P 之间互联的 IGP协议(如 OSPF),实现 PE 和 P 之间的互通: 在 PE 及 P 设备上配置 MPLS 基本能力,使能 LDP,建立LDPLSP; 在 PE 设备上需要启用 MPLS 功能的接口建立使能 LDP,P 设备不需要在接口配置(对于 P 设备的接口,只需要转发而不需要进行 MPLS 封装);
43、PE 间建立 MP-BGP 对等体关系; 在 PE 上配置 VPN实例,将实例与对应 CE 接口捆绑,将 CE 接入 PE,配置 CE 与 PE 互联接口的地址及路由协议,使 PE 和 CE能够互通。(4).由于政务外网承载的各类数据、语音、视频的数据量会随着业务系统的应用范围扩大而急剧增长,因此在基于 MPLS VPN 的政务外网中,需要引入支持 DiffServ 和 IntServ 两种机制的 QoS 策略。结合你的网络规划经验,简要说明 DiffServ 和 IntServ 两种机制在控制粒度、控制范围方面的主要区别,并简述在上图网络中,具体实施 DiffServ 策略的一般思路。(分数
44、:10.00)_正确答案:(根据需要选择在 CE 上或 PE 上对业务流进行分类,将业务流分为三类:数据、视频、语音;不同的业务流在进行标签交换时,即 PE 在给报文加 Label 时,会把 IP 报文携带的 TOS 值映射到标签的 CoS 域,这样原来由 IP 携带的类型信息,现在由标签携带; 在 PE 路由器之间,根据标签的 CoS 域,进行有差别的调度(PQ、CQ、WFQ 等),即把携带标签的业务流在一条 LSP 上进行有差别的 QoS 的传送)解析:设计本问题的目的是加深读者对 DiffServ 和 IntServ 两种 QoS 机制区别及其应用的理解。本题的解答思路如下。 由于政务信息网络承载的数据有语音、视频、重要数据,它们对带宽、延迟、抖动敏感、实时性要求是不同的,因此需要考虑如何保证服务质量的问题。政务信息网络的各类数据、语音、视频的数据量会随着业务系统的应用范围
