1、网络规划设计师-通信规范分析、逻辑网络设计(二)及答案解析(总分:100.00,做题时间:90 分钟)一、B论述题/B(总题数:5,分数:100.00)阅读以下关于网络规划设计的叙述,根据要求回答问题。说明某行业集团公司总部设置在中国上海,在北京、广州、重庆等多个城市设立分公司。现需要建立数据通信网络将中国的各分公司互连起来,实现信息共享、数据传输、语音通信及视频会议等应用。同时,上海的公司总部网络还需要通过 VPN 技术与各海外办事点进行网络互联。该集团公司部分网络拓扑结构如图所示。(分数:21.00)(1).根据该集团公司的建设需求,同时考虑租用价格和通信线路质量,并结合你的网络规划设计经
2、验,为上图所示网络中各种类型的骨干链路选择相应的广域网链路。(分数:5.25)_(2).在进行该公司广域网地址设计时,建设方要求能从一个 IP 地址块的某个字节中明显地区分出不同的大区域分公司或大区域分公司所管辖的子公司,并能为未来 5 年公司员工增长预留出一定的地址分配空间。规划师采用变长子网掩码技术,并按 10.m.n.X/8 的模式进行相关的 IP 地址分配。其中,m 为各大区域分公司的序号;n 为各大区域分公司所管辖的子公司的序号(注:对于各大区域分公司,则该字节可作为主机号进行分配)。若要求尽可能少的 IP 地址消耗量,并按子网序号顺序分配网络地址,请将表 1 中空缺处的内容填写完整
3、。表 1 中“*”表示此处的数据未给出。 B表 1 IP 地址分配方案/B用途 分配的地址空间 子网内最大可实际利用的地址数网络互连链路 10.0.0.0/25 上海总公司 北京分公司 广州分公司 *重庆分公司 *南京 杭州 *上海直属的分公司合肥 *大连 济南 *北京管辖的子公司西安 *(此处省略了其他子公司) (分数:5.25)_(3).结合你的网络规划设计经验,在尽可能简化路由结构和提高路由效率的情况下,给出上图所示网络的路由设计要点。(分数:5.25)_(4).在保障该集团公司信息系统安全建设过程中,规划师给出了防止授权侵犯、防止信息泄露、保留用户痕迹等安全架构设计方案。请简要解释授权
4、侵犯的具体含义,并给出防止授权侵犯相应的解决方案(即说明该解决方案的名称、内容和目标)。(分数:5.25)_阅读以下关于网络规划设计的叙述,根据要求回答问题。说明某城市 XX 运营商决定建设一个为政府、企事业单位、学校、商业区等提供高速接入的城市骨干通信平台IP 城域网,同时基于该平台提供 VPN、主机托管等增值业务。该城市 IP 城域网在网络结构上分成核心层和接入层,如图所示。根据该城市区域划分及功能分布特性,在 5 个不同的地点设置 5 个核心结点。核心路由器 R1R6 结点之间选用 POS 2.5Gbps 光纤链路。各接入路由器结点负载各种业务的接入。接入结点和核心结点之间选用 GE 1
5、000Mbps 光纤链路。(分数:24.00)(1).根据该城域网的应用需求,且要求尽可能少的 IP 地址消耗量(即最大限度地利用 IP 地址),结合你的网络规划设计经验,请给出该城域网核心层区域 IPv4 地址的地址类别,并将表 1 中空缺处的内容填写完整。 B表 1 某城域网核心区域 IP 地址分配表/B核心路由器 Loopback 0 地址 6 接入路由器 Loopback 0 地址 5 POS 链路 ISP 接入链路 2 千兆接入链路 (分数:6.00)_(2).在该城域网 IGP 选择时,规划师需要从路由协议支持的度量、网络规模、收敛时间、容量(带宽开销)、CPU 利用率、内存利用率
6、、安全性支持及路由认证、设计及配置与故障排查的容易程度等方面来评估各种路由协议。请将表 2 中空缺处的内容填写完整。 B表 2 各种路由协议的总结和对比表/B路由算法 链路状态 分类或无类 无类 支持的度量 代价(100 万除以 Cisco 路由上的带宽)网络规模 每区域几百台路由器,支持几百个区域1000 台路由器收敛时间 资源消耗内存:低:CPU:低;带宽:高 安全性支持及路由认证 有 有设计、配置和故障排查的容易程度容易 中等(分数:6.00)_(3).结合你的网络规划设计经验,在规划设计该城域网与 ISP 网络的互联时,为了防止该城域网与 ISP 网络之间的相互影响,需要考虑哪些主要路
7、由策略?(分数:6.00)_(4).该城域网路由器 R1 与 R7 之间采用一条 1300nm 单模光缆直接铺设(有 1 个连接头),其光功率预算为13dB。通常,在光缆铺设工程中,每个连接器的损耗为 0.75dB,接头损耗为 0.1dB,安全缓冲损耗预留3.0dB。暂不考虑光纤损耗的其他因素(如色散损耗等),请计算路由器 R1 与 R7 之间光缆的最长走线距离。(请简要列出计算过程)(分数:6.00)_阅读以下关于企业网络建设方案的技术说明,根据要求回答问题。说明PH 企业是一家汽车制造公司,随着业务发展,需要将该企业在某城市内的 9 家销售公司进行网络互联。目前,该企业所传输的信息量比较少
8、,但要求通信数据传输可靠,网络建设的成本又不能太高。为此,网络部的张总工程师召集部门有关技术骨干讨论企业网络建设问题。在讨论过程中,提出了如下 4 种解决方案。1铺设光缆。2采用微波技术。3租用电路专线。4采用 ADSL 接入 Internet,并采用 VPN 实现销售公司问的网络互联。张总工程师经过仔细考虑,根据企业现状,最终选择了第 4 种方案。(分数:18.00)(1).请将各网络互联方案比较分析表(见表 1)中空缺处的内容填写完整。结合你的网络规划设计经验,并用 300 字以内的文字简要说明张总工程师选择第 4 种方案的理由。 B表 1 各网络互联方案比较分析表/B方案 优点 缺点铺设
9、光缆 采用微波技术 租用电路专线 ADSL+VPN 接入 (分数:6.00)_(2).采用 ADSL 接入 Internet,其典型的系统结构模型如图 1 所示。请将下列术语对应的编号填入图 1 中空缺处。A:局端 ADSL MODEM B:用户端 ADSL MODEMC:模拟信号 D:中央局端模块E:程控交换机 F:局端滤波器G:数字信号 H:远端用户模块 ATU-R(分数:6.00)_(3).结合你的网络规划设计经验,请简要说明构建该企业网 VPN 互连时,所选用的 VPN 协议、设备在技术要求上所必须包含的内容。(分数:6.00)_阅读以下说明,根据要求回答问题。说明Z 省图书馆是一家日
10、均接待读者达 2000 多人次的综合性省级公共图书馆,建筑总面积 25000 平方米,设有 20 个不同类型借阅室,1000 个阅览座位,总藏书量约有 350 万册。作为一家面向社会公众开放、提供图书、报刊借阅和参考咨询等多功能的学术性服务机构,近期就数字化图书馆建设工作提出了以下网络应用需求(部分)。1高速、可靠网络传输需求:数字化图书资源的高速传输需要高性能、高可靠的网络,并且网络基础架构可以适应数字图书馆未来 58 年的发展需求。2网络安全需求:保证馆内网络免受病毒侵害、黑客攻击,保证馆内各种网络接入的身份认证。各种电子期刊、文摘等数据库可为馆外(校外)的教师、学生和提供安全、高速的访问
11、。3无线接入需求:无线网络覆盖,读者使用自己的移动 PC 接入图书馆网络进行检索资料、查阅书目,解决图书馆阅读位和检索终端机数量的限制。管理人员移动接入,便于库存清点、新书查询等。4数据中心建设需求:内容管理,海量信息存储、数据加工,以及重要数字资源的备份容灾等,要求数据中心提供可靠、安全的服务器接入网络,以及高性能的存储网络和多样备份容灾方案。承接该建设项目的设计单位经过 10 天的实地调查研究,经相关规划设计师多方论证,为该图书馆提供了一套较完整的网络建设设计方案。其中,该图书馆网络基础架构如图 1 所示。(分数:22.00)(1).无线网络技术的发展和笔记本电脑的普及使图书馆无线接入具备
12、很多优势,而良好的无线局域网(WLAN)规划设计不仅可以保证较好的服务质量,也可以减少 AP 的使用数量,从而节约成本。结合你的网络规划设计经验,请简要说明在进行图 1 所示数字图书馆 WLAN 规划设计时需考虑的主要因素。(分数:5.50)_(2).针对 Z 省图书馆的网络应用需求,可从设备级(如硬件设备冗余、双主控引擎、冗余电源等)、网络级等方面规划设计图 1 所示网络的高可用性。请列举出图 1 所示网络可采用的网络级高可用技术(或协议)。(分数:5.50)_(3).不同体系的网络存储系统,支持不同的数据复制方法。数据复制的方式和方法很多。图 2 给出了图 1中图书馆数据中心与分馆灾各中心
13、基于存储区域网(SAN)的数据复制示意图。请简要说明图 2 中标号所进行的操作,并说明这种数据复制方法的透明性。(分数:5.50)_(4).设计单位项目组在讨论图 1 中存储扩展方案时,规划师们提出了基于 IP、SONET 和 WDM 3 种连接技术的建设思路。请结合你的网络规划设计经验,并结合表 1 从协议使用方式、性能、可靠性、可扩展性、扩展距离等方面对这 3 种存储扩展技术进行了比较分析,以将表 1 中空缺处的内容填写完整。 B表 1 三种存储扩展技术比较/B比较项 基于 IP 的扩展 基于 SONET 的扩展 基于 WDM 的扩展协议使用方式 封装 性能(延时、抖动等) 高可靠性 不可
14、预测 可扩展性 不好 好 扩展距离 广域网距离 广域网距离 (分数:5.50)_阅读以下说明,根据要求回答问题。 说明 位于 Z 城市的某大型集团公司要求建设覆盖全公司所有二级单位的园区网络,将各个信息资源有效地连接起来,充分发挥网络及网上信息的效能,使公司的管理、科研和生产实现条理化、规范化、科学化、现代化。 1公司组织机构设置 公司由 1 幢机关大楼、2 个厂区、2 个辅助厂区、1 个综合服务区组成,这些单位分布在同一城市的不同地点。 机关大楼:公司机关设有经理办、人事、财务、调度、生产、销售、采购、后勤、网络信息中心等部门。各部门分散在 1 幢 8 层楼中,其中经理办、人事在一层楼,调度
15、和生产在一层楼,其他部门分别占有一个楼层。 厂区 1:包括炼油厂、化肥厂、热电厂。 厂区 2:包括腈纶厂、氯碱厂、塑料厂。 辅助厂区 1:包括国际事业公司、销运部、研究院。 辅助厂区 2:包括技工学校、检修公司、汽运公司。 服务区:生活管理部、宾馆、医院。 2组网要求 以机关大楼为中心,连接各下属单位,组建园区网。具体要求如下。 (1)公司针对网络的投资规模及网络扩展性要求。中心结点与公司下属单位之间主要租用电信公司光纤组网。 (2)公司业务数据集中存放在信息中心,同时在信息中心设置管理系统,集中对网络资源、应用系统及安全等方面进行管理。 (3)设置 Internet 访问出口。 (4)公司园
16、区网对外设置出口与其他城市的分支机构相连。 3信息点资源 全公司目前拥有计算机 1200 多台,服务器 50 多台。信息点资源分布情况见表1。 B表 1 集团公司信息点资源分布情况/B单位 信息点资源分布情况(1)公司机关经理办:信息点 15 个;人事:信息点 30 个;财务:信息点 54 个;调度:信息点 30 个;生产:信息点 62 个;销售:信息点 31 个;采购:信息点 23 个;后勤:信息点 21 个(2)厂区 1炼油厂:信息点 65 个;化肥厂:信息点 60 个;热电厂:信息点 110 个(3)厂区 2腈纶厂:信息点 36 个;塑料厂:信息点 61 个;氯碱厂:信息点 90 个(4
17、)辅助生产区 1国际事业公司:信息点 50 个;销运部:信息点 42 个;研究院:信息点 130 个(5)辅助生产区 2技工学校:信息点 105 个;检修公司:信息点 29 个;汽运公司:信息点 24 个(6)服务区生活管理部:信息点 28 个;医院:信息点 75 个;宾馆:信息点 60 个(7)网络信息中心办公室:信息点 16 个;网管监控室:信息点 18 个;维护室:信息点 15 个;计算机房:约 30 台服务器4网络应用 基于网络的主要应用包括:Internet/Intranet 应用,全公司范围的办公自动化,传统 MIS 系统和数据库应用。 (1)Intranet 服务。建立该公司内部
18、集中的信息网站,为公司内部所有上网用户提供生产调度、产品营销、物资供应、商情信息、科技动态、安全生产、动力计量、生产技术、环境保护、行业信息、外事外贸、国外公司、内部服务等信息服务。 (2)办公自动化。该系统具有日常办公、公文档案、信息服务、法律法规、辅助办公等功能,同时还通过 Notes 实现全公司范围内的内部电子邮件传输。 (3)传统 MIS 应用。包括公司生产调度系统、动力计量管理系统、公司固定资产管理系统及人力资源管理系统。 (4)文件服务。局域网内文件共享,C/S 应用或 B/S 应用,文件传输等常用办公文档应用。 (5)Internet 服务。出口应用服务,包括 Web 站点、E-
19、mail 系统、DNS 系统、FTP 系统等。 (6)VoIP 服务。集团网内 VoIP 数据传输。 (7)视频会议。集团网内视频会议数据传输。(分数:15.00)(1).在进行该集团公司园区网 IP 地址规划及分配时,建设方要求能从一个 IP 地址块(点分十进制表示)的某个字节中明显地区分出不同的单位和不同的部门,并能为未来 5 年内公司信息点增长预留出一定的地址分配空间。为了便于网络管理及提高网络安全,要求每个子网尽可能少地分配 IP 地址空间;并要求按题干中各部门的先后排列顺序及子网序号顺序分配网络地址。预计 5 年后集团公司各单位中各部门的信息点增长量小于等于 30%。 结合你的网络规
20、划设计经验,请给出一个机关大楼中各部门(网络信息中心除外)IP 地址规划的基本思路及其具体分配方案。(分数:5.00)_(2).(1)该集团公司园区网建设中,共使用了 70 台拥有 24 个电端口的交换机设备。在网络信息中心基于SNMP 的网络管理平台中,需要对每台交换机设备监测 13 个管理特征参数,且每个参数单独监测。假设轮询的时间间隔是 7s,每个 SNMP 请求数据包平均大小为 128B,每个 SNMP 应答数据包平均大小为 256B,请估算这一网络管理业务应用将对集团公司网络产生多少的总流量。 (2)在集团公司局域网上测算网管流量时,如果网络管理业务流量超过了局域网带宽的 10%,则
21、需要采取什么样的常用调整措施?如果网络管理业务流量不足局域网带宽的 1%,则需要采取什么样的常用调整措施?(分数:5.00)_(3).该集团公司园区网建设过程中,要求在管理、网络、服务器、应用层等方面提供全面的安全设计方案。结合你的网络规划设计经验,请给出该集团公司园区网中网络层面的相关安全解决方案。(分数:5.00)_网络规划设计师-通信规范分析、逻辑网络设计(二)答案解析(总分:100.00,做题时间:90 分钟)一、B论述题/B(总题数:5,分数:100.00)阅读以下关于网络规划设计的叙述,根据要求回答问题。说明某行业集团公司总部设置在中国上海,在北京、广州、重庆等多个城市设立分公司。
22、现需要建立数据通信网络将中国的各分公司互连起来,实现信息共享、数据传输、语音通信及视频会议等应用。同时,上海的公司总部网络还需要通过 VPN 技术与各海外办事点进行网络互联。该集团公司部分网络拓扑结构如图所示。(分数:21.00)(1).根据该集团公司的建设需求,同时考虑租用价格和通信线路质量,并结合你的网络规划设计经验,为上图所示网络中各种类型的骨干链路选择相应的广域网链路。(分数:5.25)_正确答案:(广域网链路选择示例(包含但不限于以下方案): 上海总部与其他大区分公司之间的链路,建议分别租用 1 条电信 10Mbps 的 DDN 专线; 各地区分公司与所属大区分公司之间的链路,建议分
23、别租用 2 条电信 2Mbps 的 DDN 专线: 广州、北京、重庆 3 个大区分公司之间的备用链路,建议分别租用12 条 2Mbps 的 ADSL 宽带专线(或租用 12 条 2Mbps 的帧中继专线,或租用 1 条电信 2Mbps 的 DDN 专线);访问 Internet 的链路,建议租用 1 条电信 10Mbps 的 DDN 专线)解析:设计本问题的目的是加深读者是根据具体应用情况选择通信链路类型的理解。本题的解答思路如下。根据该集团公司的网络流量需求,同时考虑价格和通信线路质量,在网络的不同位置设置不同的广域网链路类型,选择不同的广域网互连技术。由上图拓扑结构可知,上海总部与其他大区
24、分公司之间的链路是流汇聚的主干,链路通信性能要求较高,其安全可靠性要求也较高,根据其链路流量需求2Mbps3.6Mbps,同时考虑租用价格和通信线路质量,并预留一定的链路带宽,建议这些链路可以分别租用 1 条电信 10Mbps 的 DDN 专线。 同理,各地区分公司与所属大区分公司之间的链路通信性能要求较高,链路流量需求为 300Kbps1.2Mbps,因此建议这些链路,可以分别租用 2 条电信 2Mbps 的 DDN 专线。 在上图中,广州、北京、重庆 3 个结点之间的链路属于备用链路,其对性能要求不高,根据其链路流量需求600Kbps1.3Mbps,因此建议这些链路可以分别租用 12 条
25、2Mbps 的 ADSL 宽带专线(或租用 12 条2Mbps 的帧中继专线,或租用 1 条电信 2Mbps 的 DDN 专线)。 由于访问 Internet 的链路流量为2.7Mbps4.5Mbps,该链路同时要负担起远程 VPN 的访问流量,链路通信性能要求较高,建议该Internet 连接链路可以租用 1 条电信 10Mbps 的 DDN 专线。(2).在进行该公司广域网地址设计时,建设方要求能从一个 IP 地址块的某个字节中明显地区分出不同的大区域分公司或大区域分公司所管辖的子公司,并能为未来 5 年公司员工增长预留出一定的地址分配空间。规划师采用变长子网掩码技术,并按 10.m.n.
26、X/8 的模式进行相关的 IP 地址分配。其中,m 为各大区域分公司的序号;n 为各大区域分公司所管辖的子公司的序号(注:对于各大区域分公司,则该字节可作为主机号进行分配)。若要求尽可能少的 IP 地址消耗量,并按子网序号顺序分配网络地址,请将表 1 中空缺处的内容填写完整。表 1 中“*”表示此处的数据未给出。 B表 1 IP 地址分配方案/B用途 分配的地址空间 子网内最大可实际利用的地址数网络互连链路 10.0.0.0/25 上海总公司 北京分公司 广州分公司 *重庆分公司 *南京 杭州 *上海直属的分公司合肥 *大连 济南 *北京管辖的子公司西安 *(此处省略了其他子公司) (分数:5
27、.25)_正确答案:(10.1.0.0/22 10.2.0.0/23 10.3.0.0/23 10.4.0.0/23 10.5.0.0/24 10.5.1.0/24 10.5.2.0/24 10.6.0.0/24 10.6.1.0/24 10.6.2.0/24 64 1022 510 254 254)解析:设计本问题的目的是加深读者对 IP 地址规划设计的理解。本题的解答思路如下。 由于该集团公司广域骨干网为企业内部专网,因此广域网中所有的网络设备及互连的 IP 地址可以全部采用私有 IP 地址。若规划师采用变长子网掩码技术,并按 10.m.n.X/8 的模式进行相关的 IP 地址分配,在“预
28、计 5 年后总公司和每个大区域分公司的员工增长量为 30%,各地区分公司的员工增长量为 20%”、“能为未来 5 年公司员工增长预留出一定的地址分配空间”、“尽可能少的 IP 地址消耗量(即最大限度地利用 IP 地址)”的条件下,可得到表 2 所示的一种 IP 地址分配具体方案。其中,m 为各大区域分公司的序号;n 为各大区域分公司所管辖的子公司的序号(注:对于各大区域分公司,则该字节可作为主机号进行分配)。 B表 2 一种可能的 IP 地址分配方案/B网络互联链路 19 条 19 条 10.0.0.0/25 64上海总公司 480 人 624 人 10.1.0.0/22 1022北京分公司
29、300 人 390 人 10.2.0.0/23 510广州分公司 290 人 377 人 10.3.0.0/23 510重庆分公司 280 人 364 人 10.4.0.0/23 510南京 90 人 108 人 10.5.0.0/24 254杭州 55 人 66 人 10.5.1.0/24 254上海直属的分公司(目前共 190 人,5 年之后共 228人) 合肥 45 人 54 人 10.5.2.0/24 254大连 66 人 80 人 1 0.6.0.0/24254济南 36 人 44 人 10.6.1.0/24 254北京管辖的分公司(目前共 147 人,5 年之后共 178人) 西安
30、 45 人 54 人 10.6.2.0/24 254深圳 105 人 126 人 10.7.0.0/24 254厦门 90 人 108 人 10.7.1.0/24 254广州管辖的分公司(目前共 250 人,5 年之后共 300人) 南昌 55 人 66 人 10.7.2.0/24 254成都 75 人 90 人 10.8.0.0/24 254南宁 38 人 46 人 10.8.1.0/24 254重庆管辖的分公司(共 168 人,5 年之后共 202 人)昆明 55 人 66 人 10.8.2.0/24 254备用 * 其他 *对于每一条网络互联链路(如路由器 R1、R3 之间的链路),每个
31、路由器接口各需要分配一个 IP 地址。对于点对点链路最节省 IP 地址的子网掩码可设置为 255.255.255.252。但是每个链路子网还需要消耗掉一个网络地址(如 10.0.0.0/30)和一个网段的直接广播地址(如 10.0.0.3/30),因此每条点对点链路总共占用的 IP 地址数量为 4 个。对于地址块 10.0.0.0/25,共有 7 位主机号,该地址块总共的地址数为 27=128 个,总共可再划分的子网数为 128/4=32 个。而其中每个子网可实际利用的地址数只有 2 个,因此该地址块最大可实际利用的地址数共有 322=64 个。 对于上海总公司的地址块 10.1.0.0/22
32、,共有 10 位主机号,该地址块总共的地址数为 210=1024 个。由于该地址块需要消耗掉一个网络地址(如 10.1.0.0/22)和一个网段的直接广播地址(如 10.1.3.255/22),因此该子网内最大可实际利用的地址数共有 1024-2=1022 个。由于 1022624,因此该地址块能够满足上海总公司未来 5 年之内员工 IP 地址的分配需求。 对于北京分公司的地址块 10.2.0.0/23,共有 9 位主机号,该地址块总共的地址数为 29=512 个。由于该地址块需要消耗掉一个网络地址(如 10.2.0.0/23)和一个网段的直接广播地址(如 10.2.1.255/23),因此该
33、子网内最大可实际利用的地址数共有 512-2=510 个。由于 510390,因此该地址块能够满足北京分公司未来 5 年之内员工 IP 地址的分配需求。同理,可得出其他大区域分公司的子网内最大可实际利用的地址数也为 510 个。 对于南京分公司的地址块 10.5.0.0/24,共有 8 位主机号,该地址块总共的地址数为 28=256 个。由于该地址块需要消耗掉一个网络地址(如 10.5.0.0/24)和一个网段的直接广播地址(如 10.5.0.255/24),因此该子网内最大可实际利用的地址数共有 256-2=254 个。由于 254108,因此该地址块能够满足南京分公司未来 5 年之内员工
34、IP 地址的分配需求。同理,可得出其他各地区分公司的子网内最大可实际利用的地址数也为 254 个。(3).结合你的网络规划设计经验,在尽可能简化路由结构和提高路由效率的情况下,给出上图所示网络的路由设计要点。(分数:5.25)_正确答案:(建议该集团公司网络采用 OSPF 路由协议、静态路由和默认路由相结合的方式。 由上海、北京、广州、重庆 4 个路由器结点构成 OSPF 主干路由区域 Area 0,以便于网络结构的扩展和网络拓扑的改变。 在各地区分公司(含南京、杭州和合肥 3 个路由器结点)的路由器上合理采用汇总的静态路由,实现各地区分公司内部子网之间及进入主干网的路由;其下一级结点配置指向
35、各地区分公司路由器的默认路由。)解析:设计本问题的目的是考核读者结合具体应用场合进行路由设计的综合应用能力。本题的解答思路如下。 从上图网络拓扑结构可知,该集团公司网络拓扑设计适合公司的组织机构,总体上是层次化结构。上海总公司结点与北京、广州和重庆大区域级结点是核心层;而与大区域级结点相连的各地区级结点原则上是汇聚层,另外也将与上海总部结点直接相连的南京、杭州和合肥 3 个结点划分为汇聚层。根据网络业务需求,在上海总部与各海外办事点之间建立 VPN 通信链路。从网络层次化结构及网络安全性角度考虑,该集团公司网络的 Internet 出口链路只设一条,并位于上海总部。 根据该集团公司网络互连拓扑
36、及其特性,上图所示网络在路由方面有如下特点。 上海总公司结点与北京、广州、重庆等大区域结点形成全互连网状拓扑结构,形成主干路由区域。 每个大区域级结点与其所属各地区分公司结点以星状结构互连,形成主干下一级的一个路由区域。 基于以上特点,建议该集团公司网络采用 OSPF 路由协议、静态路由和默认路由相结合的方式。由上海、北京、广州、重庆 4 个路由器结点(即上图中路由器R1、R3、R4、R5)构成 OSPF 主干路由区域 Area 0,以便于网络结构的扩展和网络拓扑的改变。 由于每个大区域级路由器结点与所属下一级地区分公司路由器结点构成的网络(分公司汇聚层网络)结点数有限且以标准星状拓扑结构互连
37、,因此为简化路由结构和提高路由效率,在各地区分公司(含南京、杭州和合肥 3个路由器结点)的路由器上合理采用汇总的静态路由,实现各地区分公司内部子网之间及进入主干网的路由,其下一级结点配置指向各地区分公司路由器的默认路由。这样设计的好处在于:静态和默认路由不仅本身开销小,而且易于管理和控制,在对接入的合法性有严格要求的应用领域,完全可以由设定静态路由来控制接入的结点,避免了动态路由的路由信息自动散发造成的安全隐患;由于汇总技术的运用,各地区分公司路由器的配置工作量不是很大,而其下一级结点的配置也仅仅是添加 12 条默认路由,其总体配置复杂度要比使用动态路由协议减少了很多。(4).在保障该集团公司
38、信息系统安全建设过程中,规划师给出了防止授权侵犯、防止信息泄露、保留用户痕迹等安全架构设计方案。请简要解释授权侵犯的具体含义,并给出防止授权侵犯相应的解决方案(即说明该解决方案的名称、内容和目标)。(分数:5.25)_正确答案:(授权侵犯指的是被授权以某一目的使用某一系统或资源的某个人,将此权限用于其他非授权的目的,也称为“内部攻击”。 名称:抗抵赖框架。 内容:包括证据的生成、验证和记录,以及在解决纠纷时随即进行的证据恢复和再次验证。 目标:提供有关特定事件或行为的证据。例如,必须确认数据原发者和接收者的身份和数据完整性,在某些情况下,可能需要涉及上下文关系(如日期、时间和原发者/接收者的地
39、点等)的证据等。)解析:设计本问题的目的是加深读者对网络安全技术及其解决方案的理解。本题的解答思路如下。 信息系统安全规划是一个非常细致和非常重要的工作,各种不同安全规划方法的侧重点也是不同的,但都需要围绕技术安全、管理安全、组织安全进行全面的考虑。依题意,授权侵犯是指被授权以某一目的使用某一系统或资源的某个人,却将此权限用于其他非授权的目的,也称做“内部攻击”。 防止授权侵犯的主要手段是提供类似于审计的功能,从系统安全体系架构的设计角度而言,即提供抗抵赖(Non-Repudiation)框架。抗抵赖服务包括证据的生成、验证和记录,以及在解决纠纷时随即进行的证据恢复和再次验证。该框架中抗抵赖服
40、务的目的是提供有关特定事件或行为的证据。事件或行为本身以外的其他实体可以请求抗抵赖服务。当涉及消息内容的抗抵赖服务时,为提供原发证明,必须确认数据原发者和接收者的身份和数据完整性。在某些情况下,还可能需要涉及上下文关系(如日期、时间和原发者/接收者的地点等)的证据等。通常,抗抵赖服务由 4 个独立的阶段组成:证据生成,证据传输、存储和恢复,证据验证,解决纠纷。阅读以下关于网络规划设计的叙述,根据要求回答问题。说明某城市 XX 运营商决定建设一个为政府、企事业单位、学校、商业区等提供高速接入的城市骨干通信平台IP 城域网,同时基于该平台提供 VPN、主机托管等增值业务。该城市 IP 城域网在网络
41、结构上分成核心层和接入层,如图所示。根据该城市区域划分及功能分布特性,在 5 个不同的地点设置 5 个核心结点。核心路由器 R1R6 结点之间选用 POS 2.5Gbps 光纤链路。各接入路由器结点负载各种业务的接入。接入结点和核心结点之间选用 GE 1000Mbps 光纤链路。(分数:24.00)(1).根据该城域网的应用需求,且要求尽可能少的 IP 地址消耗量(即最大限度地利用 IP 地址),结合你的网络规划设计经验,请给出该城域网核心层区域 IPv4 地址的地址类别,并将表 1 中空缺处的内容填写完整。 B表 1 某城域网核心区域 IP 地址分配表/B核心路由器 Loopback 0 地
42、址 6 接入路由器 Loopback 0 地址 5 POS 链路 ISP 接入链路 2 千兆接入链路 (分数:6.00)_正确答案:(C 类、公网 IP 地址 11 5 6 5 44 8 20 255.255.255.255 或/32 255.255.255.255 或/32 255.255.255.252 或/30 255.255.255.252 或/30 255.255.255.252 或/30)解析:设计本问题的目的是考核读者对变长子网掩码方面 IP 地址规划设计的综合应用能力。本题的解答思路如下。 由于该城域网是为政府、企事业单位、学校、商业区等提供高速接入业务,并提供 VPN、主机托管等增