1、网络规划设计师-网络规划与设计论文(三)及答案解析(总分:100.00,做题时间:90 分钟)一、论述题(总题数:4,分数:100.00)1.论题论计算机网络系统设计中接入技术的选择计算机网络技术的发展非常迅速,新技术不断涌现。在网络设计和实现中,各种接入方式和接入技术不断成熟,要求网络在规划和设计中,考虑实际情况,针对具体目标,选择适合的接入方式和技术。请围绕“计算机网络系统设计中接入技术的选择”论题,依次对以下 3 个方面进行论述。(1)简要叙述你参与设计和实施的计算机网络项目,以及你所担任的主要工作和接入方式的选择。(2)详细论述你在网络规划和设计中接入技术选择的思路与策略,以及所采用的
2、技术和方法。(3)分析和评估你所采用的接入技术的措施及其效果,以及相关的改进措施。(分数:25.00)_2.论题论计算机网络系统的可靠性设计计算机网络规划和设计的可靠性问题是一个关键问题,是网络规划和设计所必须考虑的,其目的是提高网络系统的可靠性,保证网络系统的稳定运行。请围绕“计算机网络系统的可靠性设计一论题,依次对以下 3 个方面进行论述。(1)简要叙述你参与的计算机网络项目和你所担任的主要工作,以及项目的可靠性要求。(2)从接入、网络、设备和系统等方面,讨论网络设计的可靠性的解决方案和措施。(3)评估在网络设计中你采用可靠性的措施所带来的好处和问题。(分数:25.00)_3.试题论网络规
3、划与设计中的 VPN 技术随着网络技术的发展和企业规模的壮大,企业在全球各地的分支机构不断增多,员工及各分支机构要求能随时随地安全、可靠地访问企业内部资源,这就需要提供一种安全接入机制来保障通信及敏感信息的安全。传统的租用专用线路的方法实现私有网络连通给企业带来很大的经济负担和网络维护成本。VPN 技术成为当今企业实现异地多网络互连以及远程访问网络的经济安全的实现途径。请围绕“网络规划与设计中的 VPN 技术”论题,依次对以下 3 个方面进行论述。(1)简要论述常用的 VPN 技术。(2)详细叙述你参与设计和实施的大中型网络项目中采用的 VPN 方案。(3)分析和评估你所采用的 VPN 方案的
4、效果及相关的改进措施。(分数:25.00)_4.试题校园网设计关键技术及解决方案校园网的建设有利于校内的资源共享与信息交换,有利于学校与外界的资源共享和信息共享。校园网的规划、设计、硬件建设、软件建设,以及已有网络设备的使用及调优,都要从全局、长远的角度出发,充分考虑网络的安全性、易用性、可靠性和经济性等。资源调优、光纤连接和无线解决方案是保障校园网络可靠易用的几项关键技术。请围绕“校园网设计关键技术及解决方案”论题,依次对以下 3 个方面进行论述。(1)以你负责规划、设计及实施的校园网项目为例,概要叙述针对实际需求的设计要点,以及如何充分利用已有的软硬件,或对现有硬件资源的调优措施。(2)具
5、体讨论在校园网/企业网网络规划与设计中高性能的光纤连接关键技术、采用的无线技术及解决方案。(3)具体讨论在上述关键技术的实施过程中遇到的问题和解决措施,以及实际运行效果。(分数:25.00)_网络规划设计师-网络规划与设计论文(三)答案解析(总分:100.00,做题时间:90 分钟)一、论述题(总题数:4,分数:100.00)1.论题论计算机网络系统设计中接入技术的选择计算机网络技术的发展非常迅速,新技术不断涌现。在网络设计和实现中,各种接入方式和接入技术不断成熟,要求网络在规划和设计中,考虑实际情况,针对具体目标,选择适合的接入方式和技术。请围绕“计算机网络系统设计中接入技术的选择”论题,依
6、次对以下 3 个方面进行论述。(1)简要叙述你参与设计和实施的计算机网络项目,以及你所担任的主要工作和接入方式的选择。(2)详细论述你在网络规划和设计中接入技术选择的思路与策略,以及所采用的技术和方法。(3)分析和评估你所采用的接入技术的措施及其效果,以及相关的改进措施。(分数:25.00)_正确答案:(1)叙述你参与设计和实施的计算机网络项目应有一定的规模,自己在该项目中担任的主要工作应有一定的分量,说明你对接入技术的选择。(2)全面和深入地论述各种接入方式使用的技术和方法,具有一定的广度和深度。主要从以下几个方面进行论述:接入方式、带宽、可靠性、安全性、成本、可扩展性。(3)对选择的网络系
7、统设计中接入技术的效果及需要进一步改进的地方,应有具体的着眼点,不能泛泛而谈。)解析:本题考查关于接入技术方面的实际工作经验。本论文题目因为限定了写作范围,局限于接入技术方面,所以写作起来有点难度。宽带接入可通过电话线、有线电视网络及高速以太网、全光纤网络、无线接入等方案实现。从实践来看,这几种方案在网络接入方式、用户负担的成本、可以提供的服务内容等方面不尽相同,所适用的范围也大不一样,因此,选择接入技术时必须因地制宜。下面比较一下这几种方案的特点、应用场合和利弊。1ADSL 接入方案ADSL 最初设计并不是为了宽带接入,而是为了高速数据通信、交互视频等应用。该系统在用户端采用ADSL 调制解
8、调器,通过电话线连接到电话交换局前端 ADSL 解调设备解调后送入 ATM 网,可以提供基于ATM 的各种应用业务。ADSL 使用 40kHz 以上频率传输数据,40k2Hz 以下仍然用来传输话音,因此,使用 ADSL 可以一直连网而不影响电话的使用。ADSL 接入的优点是可以利用现有的市内电话网和电话交换局的机房,可以降低施工和维护成本,对电话业务没有影响。缺点是它对线路质量要求较高,当线路质量不高时,推广使用有困难。2HFC 网络方案在城市有线电视光缆同轴混合网上,使用电缆调制解调器进行数据传输,提供宽带接入。与 ADSIL 每户独占一条接入线不同,在一个光结点小区内的 HFc 电缆调制解
9、调器用户共享 27Mbps 或40Mbps 的下行通道。目前,电缆调制解调器技术已成熟,工业标准也已经完善,进入大规模商业推广应用阶段。采用电缆调制解调器在 HFC 网上架构宽带接入网的优点是可利用已有的 HFC 网,只需要对同轴电缆网进行双向改造及可以使用有线电视台机房等。缺点是需要进行 HFC 网的双向改造,工程施工和系统调试较为复杂,不可预见因素多。此外,还需要投资建立一个维护队伍以保障网络的正常运行。HFC 方案和 ADSL 接入方案的共同特点是利用已有的网络基础设施。它们共同的缺点是带宽进一步扩展能力有限,而且无法建设独立的社区内部网络平台。3高速以太网方案以太网是目前应用最为广泛的
10、局域网络传输方式,它采用基带传输,通过双绞线和传输设备,实现10M/100M/1Gbps 的网络传输,应用非常广泛,技术成熟。从最初的同轴电缆上的共享 10Mbps 传输技术,发展到现在的双绞线和光纤上的 100Mbps 甚至 1Gbps 的传输技术、交换技术等。可以肯定,以太网络技术还将以更高的速度不断发展和提高。4光纤接入方案未来光纤接入必然替代过渡性的双绞线 xDSL 基于同轴电缆 HFC 系统的 CableModem 及宽带无线接入等其他宽带接入。光纤接入网有多种方式,最主要的有光纤到路边、光纤到大楼和光纤到家,即常说的 FTTC、FTTB 和FTTH。结合成熟的园区局域网络技术,提供
11、 10M/100Mbps 交换或共享到用户端。企业宽带接入,需要根据实际情况选择方案。在选择方案时应考虑以下几方面。(1)基础线路系统选择。如果是新建社区或老区改造用户接受重新布线,则可以考虑采用以太网方案。否则,应考虑 ADSL、HFC 方案和 10Base-S 方案。(2)网络应用带宽需求。以太网方案和 10Base-S 方案均可向用户提供 10Mbps 的网络接入速率,对于高带宽的网络应用,如视频点播等视频应用支持较好,而 ADSL、AFC 则相对带宽较小。(3)网络安全。由于以太网技术原本是为局域网络而开发的技术,把它用于公用接入运营网络,将存在相对较为严重的安全问题。(4)无线宽带接
12、入在不确定用户或没有有线的条件下具有一定的优势,但同时也会受地形和频率的限制。光纤接入网代表着接入网的发展方向,但目前还受标准和实用化程度的制约,离最终的商用还有一段距离。2.论题论计算机网络系统的可靠性设计计算机网络规划和设计的可靠性问题是一个关键问题,是网络规划和设计所必须考虑的,其目的是提高网络系统的可靠性,保证网络系统的稳定运行。请围绕“计算机网络系统的可靠性设计一论题,依次对以下 3 个方面进行论述。(1)简要叙述你参与的计算机网络项目和你所担任的主要工作,以及项目的可靠性要求。(2)从接入、网络、设备和系统等方面,讨论网络设计的可靠性的解决方案和措施。(3)评估在网络设计中你采用可
13、靠性的措施所带来的好处和问题。(分数:25.00)_正确答案:(1)叙述你参与设计和实施的计算机网络项目,在该项目中担任的主要工作应有一定的分量,网络项目所采用的可靠性措施。(2)能够全面和深入地阐述网络设计的可靠性工作内容、采用了哪些技术和方法,这些技术和方法主要的特点,具有一定的广度和深度。主要应包括以下内容:网络结构设计中的可靠性、物理层技术选择的可靠性、硬件设备的可靠性、系统的可靠性。(3)在网络设计中采用可靠性措施所带来的好处和问题,如成本、管理和维护等。)解析:本题主要考查网络规则与设计中的可靠性技术。在进行网络规划与设计时,需要考虑网络的可靠性。骨干设备要考虑容错和冗余,即当某一
14、个模块或设备出现故障,是否影响其他模块或设备正常工作,是否支持热插拔,是否支持备份设备的自动切换,当网络设置多个相同设备,是否支持负载分担,或出现问题时能否自动切换等。物理层不稳定,必然导致承载的应用出现故障,应尽量选择较为稳定、可靠的物理层技术。在实现远程用户接入时,不选择基于模拟信号调制的语音拨号接入方式,而是选择基于数据信号编码的 ADSL、光纤接入等方式。无线局域网络同样可以实现冗余,提供了 AP 的热备份功能。局域网交换机之间设计冗余链路,冗余链路存在着备份和负载分担两种应用方式。交换机作为局域网的核心设备,其可靠性保障有链路聚合、冗余网关、以太网供电、多业务模块等。采用链路聚合后,
15、可靠性大大提高,因为多条链路中只要有一条可以正常工作,则这个链路就可以工作。除此之外,链路聚合也可以实现负载均衡。网络至少提供两台交换机成为各个 VLAN 的网关,避免网关的单点故障,常用的冗余网关协议有 VRRP、HSRP 和 GLBP。为了提高服务器的性能、工作负载能力和可靠性,一般设置几台服务器。常采用的技术有负载服务均衡器、网络地址转换、使用 DNS 解析及双机热备等高可用技术。系统可采用集群技术、独立磁盘冗余阵列技术等。3.试题论网络规划与设计中的 VPN 技术随着网络技术的发展和企业规模的壮大,企业在全球各地的分支机构不断增多,员工及各分支机构要求能随时随地安全、可靠地访问企业内部
16、资源,这就需要提供一种安全接入机制来保障通信及敏感信息的安全。传统的租用专用线路的方法实现私有网络连通给企业带来很大的经济负担和网络维护成本。VPN 技术成为当今企业实现异地多网络互连以及远程访问网络的经济安全的实现途径。请围绕“网络规划与设计中的 VPN 技术”论题,依次对以下 3 个方面进行论述。(1)简要论述常用的 VPN 技术。(2)详细叙述你参与设计和实施的大中型网络项目中采用的 VPN 方案。(3)分析和评估你所采用的 VPN 方案的效果及相关的改进措施。(分数:25.00)_正确答案:(1)论文论述的是虚拟专用网络 VPN 技术应用,应根据企业需求选择适合的 VPN 技术,以满足
17、企业远程安全接入的需求。(2)叙述自己参与设计和实施远程接入项目应有一定的规模,自己在该项目中担任的主要工作应有一定的分量。(3)能够全面和准确地描述该网络的应用环境和需求,深入地阐述选择的 VPN 技术的应用场景及达到的效果,具有一定的广度和深度。主要应包括以下内容:企业网络应用环境和企业远程接入的需求。应介绍企业相关的业务应用、网络规模及远程接入的地理位置、人员规模。相关 VPN 技术(PPTP、L2TP、IPSEC、MPLS)。重要介绍各种 VPN 技术的区别和应用场景,重点介绍要根据企业需求选择的 VPN 技术。实施 VPN 技术的相关产品和方案。方案实施后给企业应用带来的好处。(4)
18、对需要进一步改进的地方,应有具体的着眼点,不能泛泛而谈。)解析:随着计算机网络的普及,人们可能需要随时随地连入自己的企业或单位的网络。另一方面,随着企业的发展和规模的不断扩大,企业各个分支机构也在迅速增加,企业各分部之间也需要随时通信,这涉及远程联网的复杂性。为了保证数据传输的安全可靠,一种方法是租用专线,但是专线的代价昂贵,而且大量专线资源重复,无法共享,同时,也增加了管理的负担。VPN 技术就是为了解决上述问题而被提出。VPN 技术的提出是为了利用公共通信网络(如 Internet)实现安全的保密数据通信。其原理是:需要进行机密数据传输的两个端点均连接在公共通信网上,当需要进行机密数据传输
19、时,通过端点上的 VPN 设备在公共网上建立一条虚拟的专用通信通道,并且所有数据均经过加密后再在网上传输,这样就保证了机密数据的安全传输。通过 VPN,授权的业务伙伴就可以在授权范围内使用单位内部的数据,实现数据的安全交换。利用 VPN 构建安全、可靠的 Internet 访问通道主要有以下优点。(1)增强了网络安全性。VPN 支持认证、加密等安全协议,可以提供较强的安全性。(2)简化网络设计。用 VPN 代替租用线路,可将对远程链路进行安装、配置和管理的任务减少到最小。(3)降低成本。降低了移动用户的通信成本和主要设备成本。(4)容易扩展。可以很容易地扩大 VPN 的容量和覆盖范围。(5)可
20、随意与合作伙伴联网。(6)完全控制主动权。借助 VPN 企业可以利用 ISP 的设施和服务,同时,又完全掌握着自己网络的控制权。(7)支持新兴应用。正是因为 VPN 的以上诸多优点,使得 VPN 受到青睐,并得到迅猛发展。VPN 的发展日趋多样化,实现技术和利用的协议也各不相同。按照 VPN 实现技术和基于的协议在 OSI 七层模型中所处的层次,可以将 VPN 分为数据链路层 VPN、网络层 VPN、传输层及应用层 VPN 等。1数据链路层 VPN 技术:基于 PPTP、L2F 和 L2TP 协议的 VPN 技术(1)PPTP VPN。由 3COM 和微软公司合作开发的 PPTP(Point-
21、to-Point Tunneling Protocol)协议是第一个广泛使用建立 VPN 的协议,Windows 操作系统都包含有该协议,其他的 Linux 及 Solaris 操作系统也支持这一协议。PPTP 是用于在中间网络上传输点对点协议(PPP)帧的一种隧道机制。通过利用 PPP 的身份验证、加密和协议配置机制,PPTP 连接同时为远程访问和路由器到路由器的虚拟专用网(VPN)连接提供了一条在公共网络(如 Internet)上创建安全连接的途径。PPTP 将 PPP 帧封装成 IP 数据包,以便在 IP 的互联网上传输,为了确保数据的安全性,通常需要事先对封装的数据进行加密。PPTP
22、协议是 PPP 的扩展,但 PPP 协议本身并不支持 VPN 网络链接。PPP 是只为在同等单元之间传输数据包这样的简单链路设计的链路层协议。它提供全双工操作,并按照顺序传递数据包。设计目的主要是用来通过拨号或专线方式建立点对点连接发送数据,使其成为各种主机、网桥和路由器之间简单连接的一种共通的解决方案。(2)L2F VPN。第二层转发协议(L2F)是 Cisco 公司的隧道技术,它用于建立跨越公共网络(如因特网)的安全隧道将 ISP POP 连接到企业内部网关。这个隧道建立了一个用户与企业客户网络间的虚拟点对点连接。(3)L2TPVPN。L2TP 协议是由 IETF 起草,微软、Ascend
23、、Cisco、3COM 等公司参与制定的二层隧道协议,它结合了 PPTP 和 L2F 两种二层隧道协议的优点,为众多公司所接受,已经成为 IETF 有关二层通道协议的工业标准。L2TP 扩展了 PPP 模型,它使用 PPP 来封装用户数据,允许多协议通过隧道传送。作为安全性的增强,L2TP 可以放置在 IPSec 数据报中的有效负荷中,合并了 IPSec 的安全性优点和用户验证、隧道地址分配和配置,以及 PPP 的多协议支持这些好处。微软环境 VPN 实施的选项是 L2TPEPSec,微软大力推广这个标准,超过了 PVTP 或者 IPSec。通过 L2TP/IPSec 做远程访问的 VPN,无
24、论用哪个厂商作为客户端或服务器端,它们都是兼容的。组建 L2TP 网络需要的三要素:LNS、LAC 和 Client,LNS(L2TP Network Server)为 L2TP 企业侧的 VPN 服务器,该服务器完成对用户的最终授权和验证,接收来自 LAC 的隧道和连接请求,并建立连接 LNS 和用户的 PPP 通道。LAC(L2TP Access Concentrator)为 L2TP 的接入设备,它提供各种用户接入的 AAA 服务,发起隧道和会话连接的功能,以及对 VPN 用户的代理认证功能,它是 ISP 侧提供 VPN 服务的接入设备,在物理实现上,它即可以是配置 L2TP 的路由器、
25、接入服务器,也可以是专用的 VPN 服务器。2网络层 VPN 技术(1)基于 IPSec 的 VPN 技术。传统的 TCP/IP 体系中,没有针对安全的设计,因而,任何人都可以搭入传输线路,对通信数据进行分析。这样就大大地影响了数据的安全性。为了解决这一问题,IETF 提出了 IPSec机制,在网络层引入了加密、认证和防篡改的功能,确保数据的安全性。同时,IPSec 协议通过包封装技术,还可以封装内部网络的地址,在无须改动主干网设备的前提下,实现异地网络的互连接,因此,IPSec 也是一种 VPN 技术。IPSec 的 RFC 文档大致可以分为 7 组,分别描述了 IPSec 的体系结构,两种
26、报头格式:认证头(AH)和封装载荷头(ESP),解释域(DOI),密钥管理和交换协议,如 ISAKMP、IKE 等,以及各种加密算法和认证算法。IPSec 可以在两种模式下运行,传输模式和隧道模式。传输模式中,IPSec 是在原有的 IP 头后增加额外的IPSec 头。因而,这种模式通常会以端到端的方式在主机上实现。而隧道模式,则是新建一个带有 IPSec头的 IP 头,并将原有 IP 包整个作为新包的数据部分进行封装,而这种模式也常常在防火墙或者网关路由器上实现。由此可知,隧道模式可以对掩盖原 IP 地址,实现异地网络使用内部 IP 地址的互连通。目前,IPSec 已经在商业系统中得到广泛应
27、用。如微软 Windows 系列中都有 IPSec 的服务,用户可以根据自己的需求开启或关闭此项服务。从前面对 L2TP 的介绍我们可以看到,L2TP 在更底层实现了 VPN 技术,在安全保密方面仅提供了简单的身份认证手段,而 IPSec 在这一方面则具有强大的优势。因此,可以考虑将二者相结合。考虑到 IPSec 主要是提供认证与加密的功能,因此,可以必须将 L2TP 运行在 IPSec 之上,以保证二者优点的有机结合。(2)基于 GRE 封装的 VPN 技术。通用路由封装(Generic Routing Encapsulation, GRE)协议是对某些网络层协议(如 IP 和 IPX)的数
28、据报进行封装,使这些被封装的数据报能够在另一个网络层协议(如 IP)中传输。GRE 是 VPN 的第三层隧道协议,在协议层之间采用了一种被称之为隧道的技术。隧道是一个虚拟的点对点的连接,在实际中可以看成仅支持点对点连接的虚拟接口,这个接口提供了一条通路,使封装的数据报能够在这个通路上传输,并且在一个隧道的两端分别对数据报进行封装及解封装。3传输层以上的 VPN 技术对于传输层以上的 VPN 技术,目前最主要的就是 SSLVPN。数据链路层及网络层 VPN 在安全方面都不能做到针对应用级别的访问控制,而这恰恰是现代企业网络安全最需要的一个特性,管理员不能根据实际的应用对用户进行权限控制,这在很大
29、程度上限制了企业对应用资源的访问管理粒度,而这一切都可以由基于SSL 的应用层 VPN 来解决。有研究表明接近 90%的企业利用 VPN 进行的内部网和外部网的连接都只是用来进行因特网访问和电子邮件通信,因此,完全可以使用基于 SSL 的 VPN 来提供更加有效和廉价的解决方案。SSL 协议是由网景(Netscape)公司提出的安全协议。它指定了一种在应用程序协议(如Http、Telenet、NMTP 和 FTP 等)和 TCP/IP 协议之间提供数据安全性分层的机制,它为 TCP/IP 连接提供数据加密、服务器认证、消息完整性及可选的客户机认证。SSL 协议的主要用途是在两个通信应用程序之间
30、提供私密性和可靠性,这个过程通过 4 个子协议来完成。(1)握手协议:这个协议负责协商用于客户机和服务器之间会话的加密参数。当一个 SSL 客户机和服务器第一次开始通信时,它们在一个协议版本上达成一致,选择加密算法和认证方式,并使用公钥技术来生成共享密钥。(2)记录协议:这个协议用于交换应用数据。应用程序消息被分割成可管理的数据块,还可以压缩,并产生一个 MAC(消息认证代码),然后结果被加密并传输。接收方接收数据并对它解密,校验 MAC,解压并重新组合,把结果提供给应用程序协议。(3)警告协议:这个协议用于在什么时候发生了错误或两个主机之间的会话在什么时候终止。(4)改变密码协议(Chang
31、e Cipher Spec Protocol):这个协议用于改变安全策略,改变密码报文由客户机或服务器发送,用于通知对方后续的记录将采用新的密码列表。SSLVPN 是一种利用数据封装技术,基于 SSL/TLS 协议的强加密算法和认证机制来构造安全可靠的 VPN 的一种方案,它通过 SSL,加密隧道与双因子身份认证相结合来保护通信双方的数据。现在,主流 Web 浏览器对 SSL 协议都支持得非常好,所以 SSLVPN 最简单、最易用的一种应用就是 Web 反向代理服务。一台代理服务器代理外部网络上的主机访问内部网络上的服务器的技术就是反向代理服务。反向代理服务是一种服务器负载均衡技术,也是保护内
32、部网络的一种预防攻击技术。SSL 客户端(如支持 SSL 的浏览器)与 Web 服务器建立连接时,实现上先与 SSLVPN 网关服务器建立连接。SSL VPN 网关服务器在客户端和 Web 服务器之间提供信息转发服务,同时进行加解密操作。对于 SSL 客户端来讲,SSLVPN 网关服务器是 SSL 服务器;对于 Web 服务器来讲,SSLVPN 网关服务器又是客户端。在公共网络中(如 Internet),SSL 客户端先与 SSL VPN 网关服务器之间建立安全的 SSL 连接,传递密文信息;在私有内部网络上,SSL VPN 网关服务器与 Web 服务器不再建立 SSL 连接,直接传递明文信息
33、。那么这种安全模式也叫端到边缘的安全(End to Edge Security),即是说在客户端到内网边缘(SSL VPN)是密文传输是安全的,内网边缘(SSL VPN)到 Web 服务器是明文传输的。SSL VPN 也可以提供端到端的安全(End to End Security)。(1)SSL VPN 的主要优点有以下几方面。无须安装客户端软件:在大多数执行基于 SSL 协议的远程访问是不需要在远程客户端设备上安装软件。只需通过标准的 Web 浏览器连接因特网,即可以通过网页访问到企业总部的网络资源。这样无论是从软件协议购买成本上,还是从维护、管理成本上都可以节省一大笔资金,特别是对于大中型
34、企业和网络服务提供商。适用大多数设备:基于 Web 访问的开放体系可以在运行标准的浏览器下可以访问任何设备,包括非传统设备,如可以上网的电话和 PDA 通信产品。这些产品目前正在逐渐普及,因为它们在不进行远程访问时也是一种非常理想的现代时尚产品。适用于大多数操作系统:可以运行标准的因特网浏览器的大多数操作系统都可以用来进行基于 Web 的远程访问,不管操作系统是 Windows、Macintosh、UNIX 还是 Linux。可以对企业内部网站和 Web 站点进行全面的访问。用户可以非常容易地得到基于企业内部网站的资源,并进行应用。支持网络驱动器访问:用户通过 SSL VPN 通信可以访问在网
35、络驱动器上的资源。良好的安全性:用户通过基于 SSL 的 Web 访问并不是网络的真实结点,就像 IPSec 安全协议一样。而且还可代理访问公司内部资源。因此,这种方法可以非常安全的,特别是对于外部用户的访问。较强的资源控制能力:基于 Web 的代理访问允许公司为远程访问用户进行详尽的资源访问控制。减少费用:为那些简单远程访问用户(仅需进入公司内部网站或者进行 E-mail 通信),基于 SSL 的 VPN网络可以非常经济地提供远程访问服务。可以绕过防火墙和代理服务器进行访问:基于 SSL 的远程访问方案中,使用 NAT 服务的远程用户或者因特网代理服务的用户可以从中受益,因为这种方案可以绕过
36、防火墙和代理服务器进行访问公司资源,这是采用基于 IPSec 安全协议的远程访问很难或者根本做不到的。(2)SSL VPN 尚存在的不足有以下几方面。必须依靠因特网进行访问:为了通过基于 SSL VPN 进行远程工作,当前必须与因特网保持连通性。对新的或者复杂的 Web 技术提供有限支持:基于 SSL 的 VPN 方案是依赖于反代理技术来访问公司网络的。因为远程用户是从公用因特网来访问公司网络的,而公司内部网络信息通常不仅是处于防火墙后面,而且通常是处于没有内部网 IP 地址路由表的空间中。反代理的工作就是翻译出远程用户 Web 浏览器的需求,通常使用常见的 URL 地址重写方法,例如,内部网
37、站也许使用内部 DNS 服务器地址链接到其他的内部网链接,而 URL 地址重写必须完全正确地读出以上链接信息,并且重写这些 URL 地址,以便这些链接可以通过反代理技术获得路由,当有需要时,远程用户可以轻松地通过点击路由进入公司内部网络。对于 URL 地址重写器完全正确理解所传输的网页结构是极其重要的,只有这样才可正确显示重写后的网页,并在远程用户计算机浏览器上进行正确地操作。只能有限地支持 Windows 应用或者其他非 Web 系统:因为大多数基于 SSL 的 VPN 都是基 Web 浏览器工作的,远程用户不能在 Windows、UNIX、Linux、AS400 或者大型系统上进行非基于
38、Web 界面的应用。4MPLS VPNMPLS VPN 是一种基于 MPLS 技术的 IP VPN,是在网络路由和交换设备上应用 MPLS 技术,简化核心路由器的路由选择方式,利用结合传统路由技术的标记交换实现的 IP 虚拟专用网络(IP VPN),可用来构造宽带的 Intranet、Extranet,满足多种灵活的业务需求。4.试题校园网设计关键技术及解决方案校园网的建设有利于校内的资源共享与信息交换,有利于学校与外界的资源共享和信息共享。校园网的规划、设计、硬件建设、软件建设,以及已有网络设备的使用及调优,都要从全局、长远的角度出发,充分考虑网络的安全性、易用性、可靠性和经济性等。资源调优
39、、光纤连接和无线解决方案是保障校园网络可靠易用的几项关键技术。请围绕“校园网设计关键技术及解决方案”论题,依次对以下 3 个方面进行论述。(1)以你负责规划、设计及实施的校园网项目为例,概要叙述针对实际需求的设计要点,以及如何充分利用已有的软硬件,或对现有硬件资源的调优措施。(2)具体讨论在校园网/企业网网络规划与设计中高性能的光纤连接关键技术、采用的无线技术及解决方案。(3)具体讨论在上述关键技术的实施过程中遇到的问题和解决措施,以及实际运行效果。(分数:25.00)_正确答案:(1)论文论述的是校园网的网络规划与设计,题干中指出要重点论述光纤连接技术和无线网络设计技术,应根据学校的网络规模
40、选择适合的光纤布线和无线设计方案。(2)叙述自己参与设计和实施的校园网项目应有一定的规模,自己在该项目中担任的主要工作应有一定的分量。(3)能够全面和准确地描述校园网络的需求,并根据需求选择适合的光纤连接和无线网络方案,具有一定的广度和深度。主要应包括以下内容:校园网的业务需求分析。重点介绍综合布线系统,论述各子系统采用的介质,重点介绍光纤连接方面。论述无线校园网的设备选型、覆盖区域、射频管理、无线安全等方面,重点论述加强无线安全的技术与方案。方案实施后给校园网带来的好处。(4)对需要进一步改进的地方,应有具体的着眼点,不能泛泛而谈。)解析:1校园网综合布线及光纤连接技术分析随着信息时代的来临
41、,信息网络在我国正处于飞速发展的阶段。学校作为教育的前沿重地,为我国未来信息化人才提供重要的学习环境。因此,校园网络的规模和应用水平将是体现学校教学环境和科研力量的重要组成部分。近年来,国家对校园信息化建设日益重视,许多学校都新建或升级了校园信息网络。而构建优化的综合布线系统能为校园网提供坚实的物理基础。(1)校园网的组成。校园环境一般可分为 4 个区域:教学区、办公区、学生宿舍区、教工住宅区。各区域有其应用的特点,应针对其特点选择恰当的产品,满足网络访问的需求。教学区:是校园网的核心区域,对校园网传输能力要求最高,应用范围最广泛。教学区内包含计算机中心、实验室、教学楼、图书馆等。楼内或子网内
42、计算机经常进行大流量数据互访,如实验数据、实时图像和语音传输。校园网数据中心一般都设在此区域。办公区:行政管理和后勤等工作人员的办公区域。办公区域主要满足内部数据访问和语音通信的需求,数据流量较小。学生宿舍区:对互联网访问需求最大的区域,同时子网内数据共享和联机方式普遍。用户数量巨大,数据终端数量多且分散。教工住宅区:教职工住宅区域,接近家居式信息网络模式,主要是互联网访问需求,数据流量不大。(2)综合布线设计目标。综合布线作为构建校园网的物理基础,分布区域最广,将通信管理设备和终端连接起来,其性能好坏影响到校园网能否正常运行和使用寿命长短,因此,应满足以下目标:标准性:符合国际和国家相关标准
43、规定,能支持主流设备端口连接。稳定性:传输性能稳定,且经久耐用,满足现在和将来信息传输的需要。拓展性:预留适当的传输性能,保证日后网络系统的升级空间。经济性:在满足应用的前提下,具备良好的性价比。管理性:统一有序的标识,对庞大数量的终端进行整体管理,便于日后维护。(3)校园网主干。为保证校园网络高速率数据网络传输的需求,很有必要对校园网主干系统进行详细的规划。主干系统应能满足高峰时期的数据传输需求且为日后扩展预留一定空间。由于校园内楼宇众多,楼间距离不一,多数校园网都采用光纤作为主干链路的传输介质。光纤具有高带宽、高抗干扰能力、远距离传输等优点。校园网主干系统应考虑以下几方面要求。拓扑结构:校
44、园网主干系统应采用多级星型结构,方便日常管理和日后扩展。传输速率:校园网主干系统应采用十万兆或干兆位以太网技术,满足 IEEE 802.3 标准。介质选择:光纤的传输能力与传输距离有很大关系,在选择光纤类别时应结合传输速率和距离来考虑,避免因选材不当和距离因素而使主干传输能力达不到预期水平。敷设方式:园区内环境不一,楼间可选择架空、直埋或导管方式敷设室外光纤。楼间有地下层相连接的可采用室内光纤作为楼间传输主干。外套选择:根据敷设方式而选择光纤外套的保护强弱。如架空方式可选择 PVC 外套的光纤,也可选择金属铠装光纤;直埋方式必须选择铠装光纤,且采用凝胶填充的防潮层;导管方式因有外层导管的保护,
45、可选择 PVC 外套或金属铠装的光纤,防潮层可选择凝胶或非凝胶填充。芯数选择:主干光纤的敷设工程量较大且具有一定的破坏性,在规划阶段就应该充分考虑到日后扩展的需要和出现故障时便于维修。通常选择的光纤芯数为六芯、八芯、十二芯、二十四芯等,还可选择另外敷设一条光纤或以上作为备份。对应产品:光纤链路中需要使用的对应光纤产品包括光纤耦合器、光纤连接器、光纤跳线等,这些产品也要选择和光纤类别一致才能满足应用的需求。(4)校园网水平和终端。从管理间到用户终端的布线产品对整体网络使用也起到至关重要的作用。只有在这部分提供优化的布线系统的解决方案才能保证点对点传输的应用。一般选择铜缆作为水平链路的传输介质,部
46、分对带宽要求非常高的终端可考虑选择光纤作为传输介质,即光纤到桌面应用。根据桌面应用的需求,现在的校园网络布线系统一般分为以下几种解决方案:超五类铜缆解决方案:超 5 类铜缆解决方案可达到 100MHz 的带宽,可以满足最高千兆位以太网的应用,也能保证早期已使用的十兆位或百兆位以太网到千兆位以太网的顺利升级,在升级过程中不需要对综合布线系统进行任何改动。六类铜缆解决方案:六类铜缆解决方案带宽为 250MHz,提供了更多性能余量,也能兼容10/100/1000MHz 以太网的应用。光纤到桌面解决方案:即水平链路产品采用光纤作为传输介质。光纤能保证更高带宽,且无须考虑电磁干扰,数据安全性高。不过成本
47、比铜缆链路高,对于有源设备尤其明显。对安装工艺的要求也更高,因此安装数量较少。(5)终端数量需求。到底需要多少终端数量才能满足现在的需要并预留未来扩展的空间呢?这需要从应用的角度出发,根据不同的使用环境来确定终端数量。校园网内综合布线的终端通常包括数据和语音两种。计算机、专业仪器等使用数据端口,而电话、传真等使用语音端口。在上文提到的 4 个区域终端的数量和种类应有区别:教学区:计算机中心应设置密集的数据端口,除每台计算机一个数据端口外还应预留未来计算机数量增多时所需的端口数量,每个房间设置两个语音端口;实验室、教学楼、图书馆等根据需要连接到校园网的计算机数量设置并根据未来扩展的可能性预留数据和语音端口。办公区:由于办公位置相对固定,按每个位置各一个数据和语音端口设置,领导位置为数据和语音端口各两个,每间办公室另外设置公用设备端口,如共享服务器、复印机、传真机等。学生宿舍区:每间房间各一个数据和语音端口,条件较好的学校可每人一个数据端口。教工住宅区:每户各一个数据和语音端口。2