1、网络规划设计师-网络规划与设计案例分析(二)及答案解析(总分:100.05,做题时间:90 分钟)一、B试题一/B(总题数:1,分数:20.00)说明阅读以下关于某市行政审批服务中心网络规划的叙述,回答问题 1、问题 2 和问题 3。某市行政审批服务中心大楼内涉及几类网络:互联网、市电子政务专网、市电子政务外网、市行政审批服务中心大楼内局域网及各部门业务专网。行政审批服务中心网络规划工作组计划以市电子政务专网为基础,建设市级行政审批服务中心专网(骨干万兆、桌面千兆)。大楼内部署 5 套独立链路,分别用于连接政务外网、政务专网、大楼内局域网、互联网和涉密部门内网。行政审批服务中心网络结构(部分)
2、如下图所示。*(分数:20.01)(1).请指出上图中的安全接入平台中可采用的技术或安全设备有哪些。(分数:6.67)_(2).上图中 DMZ 区交换机共提供 12 个千兆端口和 8 个百兆端口,请问该交换机的吞吐量至少达到多少Mpps,才能够确保所有端口均能线速工作,并提供无阻塞的数据交换。(分数:6.67)_(3).市行政审批服务中心大楼监控系统采用目前国际上最先进的 IP 智能监控架构,并且能和门禁系统、报警系统、车牌管理系统进行连动。大楼监控系统可提供实时监控、存储和随时调看 CIF 格式(352 像素288 像素)和 D1 格式(720 像素576 像素)分辨率的图像,支持 MPEG
3、2、MPEG4、H.264 等编码格式,尤其是在高动态图像监控场合,可以提供广播级的高清图像质量,满足市大楼安防监控的要求。 (1)大楼内预计共有监控点 500 个,如果保存的是 CIF 格式的图像,码流为 512kbps,请计算每小时保存楼内全部监控点视频流需要多大的存储空间(Byte 或 GB)。 如果保存的是 D1 格式的图像,码流为 2048kbps,请计算每小时保存楼内全部监控点视频流需要多大的存储空间(Byte 或 GB)。 (2)系统实施时,图像格式采用了CIF,码流为 512kbps,请计算保存楼内全部监控点 30 天视频流需要的存储空间(Byte、GB 或 TB)。 全部监控
4、视频流信息保存在 IPSAN 设备 S2600 中,S2600 控制框(双控,220V 交流,4GB 内存,8GE iSCSI 主机接口,磁盘数量 12 个/框,最大支持附加 7 个磁盘扩展框)。假设在本项目中采用 SATA 1TB 7.2K RPM硬盘,在 IPSAN 配置的 RAID 组级别为 RAID10。 请指出 RAID10 的磁盘利用率,并计算出保存 30 天视频流至少需要的硬盘数,以及至少需要配置的 S2600 控制框数量。 (3)假设在 IPSAN 设备中创建了两个RAID 组 RAID001 和 RAID002,其中,RAID001 组采用 RAID5,包含 6 个磁盘;RA
5、ID002 组采用 RAID6,包含8 个磁盘。请分别计算这两个 RAID 组的磁盘利用率。(分数:6.67)_二、B试题二/B(总题数:1,分数:20.00)说明阅读以下关于某省电子政务网络平台的叙述,回答下列问题。某省准备建立电子政务网络平台,实现全省上下各级部门之间的信息交换和资源共享。遵照国家信息化领导小组关于推进国家电子政务网络建设的意见的要求,电子政务网络分为电子政务外网和电子政务内网,该省即将建设的网络平台被定性为“非涉密”的电子政务外网。在第一期工程中,主要建设覆盖省直部门和各地、市、州的电子政务外网省级部分。电子政务外网是办公自动化、会议通知、行政审批、电子监察等跨部门应用系
6、统的运行网络,还是一个网络承载平台,可以承载各类 VPN。例如,在当前的省级外网平台建设中,外网平台就需要承载两个 VPN:(1)互连各个部门的国库支付 VPN;(2)互连各个部门的视频监控 VPN。(分数:20.01)(1).电子政务外网承载 VPN,可以采用 L2TP、IPSec、MPLS VPN 3 类技术,请对 3 种技术建设 VPN 进行比较,比较内容如下表所示。 VPN 技术比较比较项目 L2TPMPLS VPNIPSec 备注隧道协议层次 对隧道的协议层次进行比较是否支持数据加密设备的要求 比较网络核心、边缘设备的协议支持要求是否支持移动 VPN 客户端(分数:6.67)_(2)
7、.各地市、各省直部门在接入电子政务外网平台时,需要配置接入路由器、防火墙、前置服务器,请考虑如下连接要求,并添加相应的连接线路或设备,给出接入电子政务外网的设备连接图。 (1)部门网络与电子政务外网之间为逻辑隔离。 (2)部门应用系统主动把数据推送至前置服务器,数据中心在获取数据时,不允许进入部门网络。 (3)在调试防火墙的各类过滤规则时,不会对电子政务外网的路由造成影响。 (4)可根据用户负载的需要,随时添置前置服务器。(分数:6.67)_(3).如下图所示,省级电子政务外网平台承载了两个 VPN,分别为国库支付 VPN 和视频监控 VPN。请从以下方面描述电子政务外网 PE 路由器上的 M
8、PLS VPN 配置内容:VPN 接口配置。PE-CE 配置。OSPF 配置。MPLS 配置。*(分数:6.67)_三、B试题三/B(总题数:1,分数:20.00)说明阅读以下关于某长江沿线企业广域网络整合改造的需求,回答下列问题。长江沿线某物流企业 A 与 B 并购后组织机构合并,在此情况下,原有两个单位信息网络的融合成为迫在眉睫的任务。在机构融合前,两个单位各自都有独立的广域网络:A 企业广域网覆盖重庆至上海,共 1 个核心结点(武汉长江南岸,100 个用户)、6 个二级结点(30 个用户)和 23 个三级结点(9 个用户):B 企业广域网覆盖重庆至芜湖,共 1 个核心结点(武汉长江北岸,
9、150 个用户)、11 个分支核心结点(11 个用户,包含 A 企业的二级结点)、200 多个扫描接入点(2 个终端)。两个广域网的主要传输通道都是通过 A 企业自建的 SDH 网络:A 企业广域网一、二级结点间是 155M POS 互连,二、三级结点间采用 10M MSTP 或 2M 电路互连,少数链路为 40M MSTP;B 企业广域网核心和分支机构的互连采用3050M MSTP 互连,少数结点采用 4 个 2M 捆绑的电路连接。(注:所有 MSTP电路使用仅用于实现二、三级结点的点对点连接)A 企业广域网承载着办公、视频监控、软交换、视频会议、广播控制系统等业务;B 企业广域网承载着办公
10、、视频会议、数十个安全监管业务系统,CCTV、GPS 等物流监管系统。机构融合后,两个广域网再没有独立运行的必要了,因此要将两个广域网合并成一个网络,清理网络资产、简化网络结构(减少二级结点数量)、优化路由,使网络安全、高效、可靠、易维护、易管理。A 企业广域网络结构如下图所示。*B 企业广域网络结构如下图所示。*(分数:20.01)(1).在不增加新设备、新链路的情况下,针对现有物理设备及线路给出整合解决方案的整体思路。要求 (1)整合后的企业网络采用层次化设计,简化拓扑,实现核心结点、线路 N+1 冗余。 (2)整合后企业网络的二级结点包括重庆、万州、宜昌、芜湖、南京、上海以及位于武汉的“
11、培训中心”和“武汉分支管理处”。(分数:6.67)_(2).原 A 企业服务器地址采用 172.16.1.0/24 一个 C 类地址段,原 B 企业服务器地址采用192.168.0.0/24、192.168.1.0/24 两个 C 类地址段。A、B 两企业用户地址和网络设备地址都采用10.0.0.0/8 地址。要求在不影响业务的情况下,采用层次化的地址分配方案合理规划地址(禁止使用 NAT技术),并提供地址切换解决方案。(分数:6.67)_(3).原 A 企业采用 OSPF 作为路由协议,协议进程规划为 1,二级结点作为 area0 边界且往下分别归属于不同的 area。原 B 企业采用 OS
12、PF 作为路由协议,协议进程规划为 10,分支结点作为 area0 边界且往下分别归属于不同的 area。合并前 A、B 两企业之间采用静态路由连接。要求提供两种基于 OSPF 协议的路由整合方案思路,并比较两种整合思路的优缺点。(分数:6.67)_四、B试题四/B(总题数:1,分数:20.00)说明阅读以下关于某企业内部网络系统的叙述,回答问题 1、问题 2 和问题 3。某企业网络拓扑结构如下图所示。根据企业要求实现负载均衡和冗余备份,构建无阻塞高性能网络的建设原则。该企业网络采用两台 S7606 万兆骨干路由交换机作为双核心,部门交换机 S2924G 通过光纤分别与两台核心交换机相连,通过
13、防火墙和边界路由器与 Internet 相连。S7606 之间相连的端口均为 Trunk 端口,S7606 与 S2924G 之间相连的端口也均为 Trunk 端口。(分数:20.01)(1).四台交换机都启用了 MSTP 生成树模式。 其中 S7606-1 的相关配置如下: S7606-1(config)#spanning-tree rest 1 pfiority 4096/默认值是 32768 S7606-1(config)#spanning-tree rest configuration S7606-1(config-mst)#instance 1 vlan 10,12 S7606-1(
14、config-mst)#instance 2 vlan 9,11 S7606-1(config-mst)#name region1 S7606-1(config-mst)#revision 1 S7606-2 的相关配置如下:S7606-2(config)#spanning-tree rest 2 pnority 4096 S7606-2(config)#spanning-tree rest configuration S7606-2 fconfig-mst)#instance 1 vlan 10,12 S7606-2(config-mst)#instance 2 vlan 9,11 S760
15、6-2(config-mst)#name region1 S7606-2 fconfig-mst)#revision 1 两台 S2924G 交换机也配置了相同的实例、域名称和版本修订号。 (1)请问实例 2 的生成树的根交换机是哪一台?为什么? (2)就实例 1 而言,交换机 S2924G-1 的根端口是哪个端口?为什么? (3)请指出 PC1 发给 PC5 的数据包经过的设备路径。(分数:6.67)_(2).在三层交换机 S7606-1 中 VLAN 10 的 IP 地址配置为 202.10.10.1/24,VLAN 11 的 IP 地址配置为202.10.11.254/24。 在三层交换
16、机 S7606-2 中 VLAN 10 的 IP 地址配置为 202.10.10.254/24,VLAN 11的 IP 地址配置为 202.10.11.1/24。 两台三层交换机中的 VRRP 配置如下: S7606-1(config)#interface Vlan 10 S7606-1(config-if)#vrrp 10 ip 202.10.10.1 S7606-1(config-if)#vrrp 10 preempt S7606-1(config)#interface Vlan 11 S7606-1(config-if)#vrrp 11 ip 202.10.11.1 S7606-2(co
17、nfig)#interface Vlan 10 S7606-2(config-if)#vrrp 10 ip 202.10.10.1 S7606-2(config)#interface Vlan 11 S7606-2 rconfig-if)#vrrp 11 ip 202.10.11.1 S7606-2(config-if)#vrrp 11 preempt (1)PC2 主机中设置的网关 IP 为 202.10.10.1,在网络正常运行的情况下,请按照以下格式写出 PC2 访问 Internet 的数据转发路径。(格式:PC2设备 1Internet。不写返回路径) (2)假设三层交换机 S760
18、6-1 需要临时宕机 1 小时进行检修及升级操作系统,请问这 1 小时时段内PC2 在没有修改网关 IP 地址的情况下,是否能访问 Internet?请结合交换机 S7606-1 宕机后发生的变化说明原因。(分数:6.67)_(3).企业内部架设有无线局域网,并采用了 802.1x 认证,用户名和密码存放在 RADIUS 服务器的数据库中。无线路由器 Wirelessrouter1 支持 802.1x 协议,请回答以下问题: (1)在图所示的认证过程中,客户端向无线路由器发送的是什么帧?无线路由器向 RADIUS 服务器发送的是什么报文? (2)在无线路由器中需要配置哪些与 RADIUS Se
19、rver 相关的信息? (3)如果无线路由器不支持 802.1x 认证,为满足无线用户必须经过认证才能上网的需求,能否在上层交换机中启用 802.1x,并将端口设置为启用 dot1x 认证?请简要说明理由。(分数:6.67)_五、B试题五/B(总题数:1,分数:20.00)说明阅读下列有关企业发展和企业网络建设的说明,回答下列问题。某企业最初只有一个办公地点,所有人员都集中在一个相对较小的封闭空间进行工作。由于是小型企业,社会影响不大,所以对安全性要求不高,主要目标是以最小的代价(费用)实现连网和访问互联网(Internet),企业内部无对外提供的任何互联网服务。后来,随着企业不断发展,其网络
20、建设也不断升级更新。(注:以下问题均不考虑无线网络技术)(分数:20.01)(1).假定初期员工不超过 50 人,所有员工工作在同一楼层的不同房间,对互联网的访问带宽需求小于2Mbps,且主要为进入企业内部的流量。 针对该企业网络建设,请从下面几个方面简要说明网络设计内容及依据:(1)网络结构:(2)物理层技术选择;(3)局域网技术选择;(4)广域网技术选择;(5)网络地址规划。(分数:6.67)_(2).假定企业发展为中等规模,人数不超过 1000 人,所有员工在同一城市的不同地域工作。企业目前分为一个总部和 3 个分部(分布范围都不超过 2km),总部人数不超过 400 人,分部人数不超过
21、 200 人。企业与互联网采用统一对外接口,带宽需求规模为 100Mbps 以内,且流入数据量和流出数据量基本均衡;企业总部和分部之间的数据流量小于 1000Mbps。由于企业规模较大,对网络的依赖度大大增加,要求分部到总部和总部至互联网出口有备份,以增加网络的健壮性和可用性。 请从下面 3 个方面简要给出总部/分部网络和企业整体网络的结构和设计要点: (1)网络结构;(2)物理层和局域网技术选择;(3)接入互联网技术选择。(分数:6.67)_(3).如果企业规模扩大到 10000 人,需要对外提供互联网服务(服务器的域名与 IP 一一对应),对内提供企业内部服务,并允许员工访问互联网。假定企
22、业总部和分部数量有 50 个,总部最多 500 人,分部最多400 人。企业组织机构有 10 个(如行政管理、生产、销售等),每个机构在总部或单个分部最多 60 人。 (1)请简要分析该企业网络的网络地址类型及规模。 (2)考虑管理便利、信息相互隔离和路由聚合等因素,请说明应如何规划该企业网络的子网层次。 (3)举例说明如何进行子网划分(子网划分举例必须能够看出子网划分的规律,至少给出 3 个以上的子网号)。(分数:6.67)_网络规划设计师-网络规划与设计案例分析(二)答案解析(总分:100.05,做题时间:90 分钟)一、B试题一/B(总题数:1,分数:20.00)说明阅读以下关于某市行政
23、审批服务中心网络规划的叙述,回答问题 1、问题 2 和问题 3。某市行政审批服务中心大楼内涉及几类网络:互联网、市电子政务专网、市电子政务外网、市行政审批服务中心大楼内局域网及各部门业务专网。行政审批服务中心网络规划工作组计划以市电子政务专网为基础,建设市级行政审批服务中心专网(骨干万兆、桌面千兆)。大楼内部署 5 套独立链路,分别用于连接政务外网、政务专网、大楼内局域网、互联网和涉密部门内网。行政审批服务中心网络结构(部分)如下图所示。*(分数:20.01)(1).请指出上图中的安全接入平台中可采用的技术或安全设备有哪些。(分数:6.67)_正确答案:(安全接入平台可采用的技术或设备包括:可
24、信边界安全网关、IPSec VPN、防火墙、身份认证服务器、IDS/IPS、集中监控审计、网闸、CA 服务器等设备。)解析:本题考查的是安全接入平台的架构及网络存储设备的相关知识。 考查的是安全接入平台的架构方法,即可采用哪些安全技术或安全设备来架构安全接入平台。根据题目要求,安全接入平台较常见的技术或设备包括:通过防火墙建立隔离本地和外部网络的防御系统;通过 IDS/IPS 监视经过防火墙的全部通信并且查找可能是恶意的攻击通信,并在这种攻击扩散到网络的其他地方之前阻止这些恶意的通信;通过部署身份认证服务器来组织、管理个人身份认证信息;利用可信边界安全网关保证用户的物理身份与数字身份相符;通过
25、 CA 服务器对数字证书进行发放和管理;利用 IPSec VPN 实现多专用网安全连接;通过集中监控审计对网络中的各种设备和系统进行集中的、可视的综合审计,及时发现安全隐患,提高安全系统成效;利用网闸从物理上隔离、阻断具有潜在攻击可能的连接,从根本上杜绝可被黑客利用的安全漏洞。(2).上图中 DMZ 区交换机共提供 12 个千兆端口和 8 个百兆端口,请问该交换机的吞吐量至少达到多少Mpps,才能够确保所有端口均能线速工作,并提供无阻塞的数据交换。(分数:6.67)_正确答案:(满配置吞吐量(Mpps)=121.488Mpps+80.1488Mpps=17.856+1.1904=19.0464
26、MpDs,因此该交换机吞吐量必须大于 19.0464Mpps,才认为该交换机采用的是无阻塞的结构设计。)解析:考查的是交换机线速工作并提供无阻塞的数据交换的衡量标准。包转发线速的衡量标准是以单位时间内发送 64byte 的数据包(最小包)的个数作为计算基准的。对于千兆位以太网来说,计算方法如下:1000000000bps/8bit/(64+8+12)byte=1488095pps。说明:当以太网帧为 64byte 时,需考虑 8byte 的帧头和 12byte 的帧间隙的固定开销。故一个线速的千兆位以太网端口在转发 64byte 包时的包转发率为1.488Mpps。快速以太网的端口包转发率正好
27、为千兆位以太网的十分之一,为 0.1488Mpps。而满配置吞吐量=千兆端口数量1.488Mpps+百兆端口数量0.1488Mpps+其余类型端口数。 根据题目要求,满配置吞吐量=121.488Mpps+80.1488Mpps=17.856+1.1904=19.0464Mpps,因此该交换机吞吐量必须大于19.0464Mpps,才认为该交换机采用的是无阻塞的结构设计。(3).市行政审批服务中心大楼监控系统采用目前国际上最先进的 IP 智能监控架构,并且能和门禁系统、报警系统、车牌管理系统进行连动。大楼监控系统可提供实时监控、存储和随时调看 CIF 格式(352 像素288 像素)和 D1 格式
28、(720 像素576 像素)分辨率的图像,支持 MPEG2、MPEG4、H.264 等编码格式,尤其是在高动态图像监控场合,可以提供广播级的高清图像质量,满足市大楼安防监控的要求。 (1)大楼内预计共有监控点 500 个,如果保存的是 CIF 格式的图像,码流为 512kbps,请计算每小时保存楼内全部监控点视频流需要多大的存储空间(Byte 或 GB)。 如果保存的是 D1 格式的图像,码流为 2048kbps,请计算每小时保存楼内全部监控点视频流需要多大的存储空间(Byte 或 GB)。 (2)系统实施时,图像格式采用了CIF,码流为 512kbps,请计算保存楼内全部监控点 30 天视频
29、流需要的存储空间(Byte、GB 或 TB)。 全部监控视频流信息保存在 IPSAN 设备 S2600 中,S2600 控制框(双控,220V 交流,4GB 内存,8GE iSCSI 主机接口,磁盘数量 12 个/框,最大支持附加 7 个磁盘扩展框)。假设在本项目中采用 SATA 1TB 7.2K RPM硬盘,在 IPSAN 配置的 RAID 组级别为 RAID10。 请指出 RAID10 的磁盘利用率,并计算出保存 30 天视频流至少需要的硬盘数,以及至少需要配置的 S2600 控制框数量。 (3)假设在 IPSAN 设备中创建了两个RAID 组 RAID001 和 RAID002,其中,R
30、AID001 组采用 RAID5,包含 6 个磁盘;RAID002 组采用 RAID6,包含8 个磁盘。请分别计算这两个 RAID 组的磁盘利用率。(分数:6.67)_正确答案:(1)如果保存的是 CIF 格式的图像,码流为 512kbps,每小时保存楼内全部监控点视频流需要的存储空间是: 5 121024/83600500=112500MB109.86GB 如果保存的是 D1 格式的图像,码流为2048kbps,每小时保存楼内全部监控点视频流需要的存储空间是: 20481024/83600500=450000MB439.45GB (2)如果保存的是 CIF 格式的图像,码流为 512kbps
31、,保存楼内全部监控点 30 天视频流需要的存储空间是: 5121024/836005002430=81000000MB79101.56GB77.25TB RAID 10 最大的硬盘利用率为1/2100%=50%,因此本项目需要 77.25TB2=154.5TB 的存储空间,所以保存 30 天视频流至少需要 155块硬盘。 每个 S2600 控制框加上扩展框满配时可以支持 96 块硬盘,因此本项目需要两个控制框。 (3)RAID001 组采用 RAID 5,包含 6 个磁盘,其硬盘利用率=(6-1)/6100%=83.33% RAID002 组采用 RAID6,包含 8 个磁盘,其硬盘利用率=(
32、8-2)/8100g/0=75%)解析:考查的是网络存储设备在保存不同格式文件时存储容量的计算。 (1)常用视频标准化格式(Common Intermediate Format,CIF)。在 H.323 协议簇中,规定了视频采集设备的标准采集分辨率,CIF 的标准采集分辨率为 352 像素288 像素。D1 是数字电视系统显示格式的标准,标准采集分辨率为 720 像素480 像素。 根据题目要求,由于 CIF 格式的图像码流为 512kbps,先计算保存每个监控点每秒图像需要的存储空间:即将 512Kb 转化为 5121024/8Bytes,再乘以监控时间 3600 秒(1 小时)和监控点的数
33、量500,即得到最后的结果: 5121024/83600500=112500MB109.86GB 如果保存的是 D1 格式的图像,除了码流为 2048kbps 与上述不同外,其余计算方法完全相同: 20481024/83600500=450000MB43945GB (2)如果保存的是 CIF 格式的图像,码流为 512kbps,保存楼内全部监控点 30 天视频流需要的存储空间计算方法和(1)类似,只要再乘上 24 小时和 30 天即可: 5121024/836005002430=81000000MB79101.56GB77.25TB RAID 10 将数据分散存储到 RAID组的成员盘上,同时
34、为每个成员盘提供镜像盘,实现数据全冗余保存。RAID 10 的磁盘利用率为 1/m(m 为镜像组内成员盘个数)。根据题意,要计算出保存 30 天视频流至少需要的硬盘数,即使 RAID 10 的磁盘利用率最大,因此取 m=2,RAID 10 最大的磁盘利用率为 1/2100%=50%。 根据上面计算出来的保存楼内全部监控点 30 天视频流需要的存储空间,可得本项目需要 77.25TB2=154.5TB 的存储空间,由于所采用的是 1TB 的硬盘,因此保存 30 天视频流至少需要 155 块硬盘。每个$2600 控制框加上扩展框满配时可以支持 128=96 块硬盘,因此本项目需要两个控制框。 (3
35、)RAID 5 为保障存储数据的可靠性,采用循环冗余校验方式,并将校验数据分散存储在 RAID 组的各成员盘上,RAID 5 允许 RAID 组内一个成员盘发生故障。当 RAID 组的某个成员盘出现故障时,通过其他成员盘上的数据可以重新构建故障磁盘上的数据。RAID 5磁盘利用率为(n-1)/n(n 为 RAID 组内成员盘个数),当 RAID 组由 3 个磁盘组成时,利用率最低,为66.7%。RAID001 组采用 RAID 5,包含 6 个磁盘,其硬盘利用率=(6-1)/6100%=83.33%。 RAID 6 对数据进行两个独立的逻辑运算,得出两组校验数据。同时将这些校验数据分布在 RA
36、ID 组的各成员盘上。RAID 6 允许 RAID 组内同时有两个成员盘发生故障。故障盘上的数据可以通过其他成员盘上的数据重构。RAID 6 磁盘利用率为(n-2)/n(n 为 RAID 组内成员盘个数),当 RAID 组由 4 个磁盘组成时,利用率最低,只有50%。RAID002 组采用 RAID 6,包含 8 个磁盘,其硬盘利用率=(8-2)/8100%=75%。二、B试题二/B(总题数:1,分数:20.00)说明阅读以下关于某省电子政务网络平台的叙述,回答下列问题。某省准备建立电子政务网络平台,实现全省上下各级部门之间的信息交换和资源共享。遵照国家信息化领导小组关于推进国家电子政务网络建
37、设的意见的要求,电子政务网络分为电子政务外网和电子政务内网,该省即将建设的网络平台被定性为“非涉密”的电子政务外网。在第一期工程中,主要建设覆盖省直部门和各地、市、州的电子政务外网省级部分。电子政务外网是办公自动化、会议通知、行政审批、电子监察等跨部门应用系统的运行网络,还是一个网络承载平台,可以承载各类 VPN。例如,在当前的省级外网平台建设中,外网平台就需要承载两个 VPN:(1)互连各个部门的国库支付 VPN;(2)互连各个部门的视频监控 VPN。(分数:20.01)(1).电子政务外网承载 VPN,可以采用 L2TP、IPSec、MPLS VPN 3 类技术,请对 3 种技术建设 VP
38、N 进行比较,比较内容如下表所示。 VPN 技术比较比较项目L2TPMPLS VPNIPSec备注隧道协议层次对隧道的协议层次进行比较是否支持数据加密设备比较的要求网络核心、边缘设备的协议支持要求是否支持移动VPN客户端(分数:6.67)_正确答案:(比较项目L2TPMPLS VPNIPSec备注隧道协议层次第二层介于第二层和第三层之第三层对隧道的协议层次进行间(或两层半)比较是否支持数据加密不支持不支持支持设备的协议支持要求只要求边缘设备支持L2TP要求边缘和核心设备都支持MPLS只要求边缘设备支持IPSec比较网络核心、边缘设备的协议支持要求是否支持移动VPN客户端支持不支持支持)解析:本
39、题涉及 MPLS 技术、MPLS/VPN 等领域的内容。虚拟专用网(Virreal Private Network, VPN)就是利用 Internet 或其他公共互连网络的基础设施建立专用数据传输通道,将远程的分支机构、移动办公人员等连接起来,实现不同网络的组件和资源之间的相互连接,是通过隧道技术在公共数据网络上虚拟出一条点到点的专线技术。在虚拟专用网中,任意两个结点之间的连接并没有传统专用网所需的端到端的物理链路,而是利用某种公众网的资源动态组成的。VPN 主要采用 4 项技术来保证安全,这 4 项技术分别为隧道技术(Tunneling)、加解密技术(Encryption 虚拟备份组 11
40、 的 IP 地址为 202.10.11.1/24。虚拟备份组 10 为 VLAN 10中的主机提供了网关冗余,虚拟备份组 11 为 VLAN 11 中的主机提供了网关冗余。 由于 VRRP 路由器S7606-1 的 IP 地址和虚拟备份组 10 的 IP 地址相同,因此,其具有最高优先级,成为虚拟备份组 10 的主控路由器,S7606-1 为虚拟组 10 的备份路由器。 在网络正常运行的情况下,主机 PC2 访问 Internet 的数据转发路径为:PC2S2924G-1S7606 防火墙边界路由器Internet。 当路由器 S7606-1 宕机后,PC2 不用修改网关 IP 地址,就可以访
41、问 Internet。因为当虚拟备份组 10 的备份路由器 S7606-2 在数秒之内没有收到主控路由器的通告,会认为主控路由器失效,自动启动切换,成为主控路由器,响应对虚拟IP 地址的 ARP 请求,并且响应的是虚拟 MAC 地址,而不是接口的真实 MAC 地址。同时,负责转发目的 MAC地址为虚拟 MAC 地址的 IP 报文,这样就保证了对客户透明的网关切换。(3).企业内部架设有无线局域网,并采用了 802.1x 认证,用户名和密码存放在 RADIUS 服务器的数据库中。无线路由器 Wirelessrouter1 支持 802.1x 协议,请回答以下问题: (1)在图所示的认证过程中,客
42、户端向无线路由器发送的是什么帧?无线路由器向 RADIUS 服务器发送的是什么报文? (2)在无线路由器中需要配置哪些与 RADIUS Server 相关的信息? (3)如果无线路由器不支持 802.1x 认证,为满足无线用户必须经过认证才能上网的需求,能否在上层交换机中启用 802.1x,并将端口设置为启用 dot1x 认证?请简要说明理由。(分数:6.67)_正确答案:(1)客户端向无线路由器发送的是 EAPoL 帧;无线路由器向 RADIUS 服务器发送的是 EAP over RADIUS 报文,因为认证系统将 EAP 帧封装到 RADIUS 报文中发送给认证服务器。 (2)在无线路由器
43、中需要配置的 RADIUS Server 信息有:IP 地址、认证和授权端口(只写端口也可以)、与 RADIUS 服务器一致的密钥。 (3)如果无线路由器不支持 802.1x 认证,可以在上层交换机中启用 802.1x,并将端口设置为启用dot1x 认证。但注意上层交换机连接无线路由器的 802.1x 端口认证模式应设置为 mac-based。这样接入物理端口的所有主机都需要进行认证才能访问网络资源。当某用户下线时,将不影响其他用户的认证状态,其他用户还可以继续访问网络。)解析:IEEE 802.1x 是根据用户 ID 或设备,对网络客户端(或端口)进行鉴权的标准。该流程被称为“端口级别的鉴权”。它采用 RADIUS(远程认证拨号用户服务)方法,并将其划分为 3 个不同小组:请求方、认证方和授权服务器。 802.1x 标准应用于试图连接到端口或其他设备(如 Cisco Catalyst 交换机或Cisco Aironet 系列接入点)(认证方)的终端设备和用户(请求方)。认证和授权都通过鉴权服务器(如Cisco