試題一(25分)
閱讀以下關於某電子政務網絡平臺的敘述,回答問題1至問題3,講解答填入答題紙的對應欄內。
【說明】
某省準備建立電子政務網絡平臺,實現全省上下各級部門之間的信息交換和資源共享。遵照《國家信息化領導小組關於推進國家電子政務網絡建設的意見》的要求,電子政務網絡分爲電子政務外網和電子政務內網,該省即將建設的網絡平臺被定性爲“非涉密”的電子政務外網。在第一期工程中,主要建設覆蓋省直部門和各地市州的電子政務外網。電子政務外網是辦公自動化、行政審批、電子監察等跨部門應用系統的運行網絡,還是一個網絡承載平臺,可以承載各類***。例如,在當前的省級外網平臺建設中,外網平臺就需要承載兩個***:(1)互連各個部門的國庫支付***;(2)互連各個部門的視頻監控***。
【問題1】(6分)
電子政務外網承載***,可以採用L2TP、MPLS ***、IPSec三類技術,請對三種技術進行比較,將有關內容填入表1-1的空白中(備註檔不用填)。
試題解析:
L2TP(Layer 2 Tunneling Protocol,第二層隧道協議)工作在第二層。第二層隧道協議只提供數據的封裝服務,不提供數據加密服務,具有以下安全缺陷:
1)第二層隧道協議僅僅對通信雙方進行身份認證,而沒有對傳輸報文進行認證,因此無法抵禦數據重發***、數據僞造***。
2)第二層隧道協議本身不提供任何加密手段,當數據需要加密時,需要其它技術的支持。
L2TP結合了PPTP協議以及L2F協議的優點,能以隧道方式把PPP幀封裝在公共網絡設施(如IP、ATM、幀中繼)中進行隧道傳輸。L2TP使用UDP 1701端口進行工作。
L2TP主要由LAC(L2TP Access Concentrator,L2TP訪問集中器)和LNS(L2TP Network Server,L2TP網絡服務器)組成。LAC是一個網絡接入服務器,用於爲用戶提供網絡接入服務。它是L2TP隧道的一個端點,具有PPP端系統和L2TP協議處理的能力,負責將用戶數據封裝在L2TP隧道中進行傳輸。LNS是PPP端系統上用於處理L2TP協議的服務器端軟件,也是L2TP隧道的一個端點。LAC和LNS都被稱爲LCCE(L2TP Control Connection Endpoint,L2TP控制連接端點)。
L2TP通訊由於對中間轉發設備沒有特殊要求,因此可以支持移動***客戶端。
MPLS(Multiprotocol Label Switching,多協議標籤交換)技術是對ATM標記交換和IP路由協議的有機結合。它不僅有助於提高網絡層的數據報轉發能力,而且對提高網絡層路由系統的可擴展性起到一定的作用。
MPLS提供多種協議的接口,如 IP、ATM、幀中繼、資源預留協議(RSVP)、開放最短路徑優先(OSPF)等。MPLS將IP地址映射爲簡單的具有固定長度的標籤,用於不同的包轉發和包交換技術。
MPLS網絡由核心部分的LSR(Label Switching Router,標記交換路由器)和邊緣部分的LER(Label Edge Router,標記邊緣路由器)組成。由LSR構成的網絡區域稱爲MPLS域,而LER則位於MPLS網絡邊緣與其他網絡或用戶相連接。MPLS網絡的信令控制協議稱爲LDP(Label Distribution Protocol,標記分發協議)。
MPLS網絡與傳統IP網絡的不同主要在於MPLS域中使用了標記交換路由器,域內部LSR之間使用MPLS協議進行通信,而在MPLS域的邊緣,由MPLS邊緣路由器進行與傳統IP技術的適配。
MPLS的優點在於將IP技術中的完全無連接的分組交換方式轉化爲MPLS中有連接(根據LDP協議建立標記交換路徑)的分組交換方式。首先是減少了數據報通過MPLS網絡時查IP路由表的次數,替代爲查詢標記轉發表,提高了轉發效率;其次是解決了TCP數據通過IP網絡的失序問題(流量在網絡各接點無故障狀態下將沿同樣的路徑通過網絡,將按進入網絡的順序離開網絡),減少了端到端通信中兩端站點對數據的排序時延,使MPLS網絡可以很好地服務於實時應用。
由於MPLS協議工作需要核心部分的LSR參與,因此不支持移動***。
IPSec是集多種安全技術爲一體的安全體系結構,是一組IP安全協議集。IPSec定義了在網際層使用的安全服務,其功能包括數據加密、對網絡單元的訪問控制、數據源地址驗證、數據完整性檢查和防止重發***。
IPSec有兩種工作模式:傳輸模式(Transport Mode)和隧道模式(Tunnel Mode)。傳輸模式通常應用於主機之間端對端通信,該模式要求主機支持IPSec。隧道模式應用於網關模式中,即在主機的網關(防火牆、路由器)上加載IPSec,這個網關就同時升級爲SG(Security Gateway,安全網關)。這兩種工作模式對網絡傳輸的中間設備都沒有特殊要求,因此可以支持移動***。
標準參考答案:
【問題2】(8分)
各地市州、各省直部門在接入電子政務外網平臺時,需要配置接入路由器、防火牆、前置服務器,請考慮如下連接要求,並添加相應的連接線路或設備,給出接入電子政務外網的設備連接圖。
(1)部門網絡與電子政務外網之間爲邏輯隔離;
(2)部門應用系統主動把數據推送至前置服務器,數據中心在進行數據獲取時,不允許進入部門網絡;
(3)在調試防火牆的各類過濾規則時,不會對電子政務外網的路由造成影響;
(4)可根據用戶負載的需要,隨時添置前置服務器。
標準參考答案:
畫圖要點:
【問題3】(11分)
如圖1-1所示,採用MPLS ***技術,省級電子政務外網平臺承載了兩個***,分別爲國庫支付***和視頻監控***。請從以下方面描述電子政務外網PE路由器上的MPLS ***配置內容:
(1)***接口配置
(2)PE-CE配置
(3)OSPF配置
(4)MPLS配置
圖1-1 電子政務外網承載***示意圖
標準參考答案:
(1)***接口配置
將相應的接口加入***實例中;
進入接口配置模式,配置接口的IP地址。
(2)PE-CE配置
啓用路由協議BGP,並設置自治區號;
在BGP的IPV4 VRF實例地址簇中引入路由信息;
建立IPV4 VRF實例的鄰居關係,激活並傳遞VRF路由;
在BGP中引入直連路由。
(3)OSPF配置
啓用OSPF路由協議;
配置路由區域及網絡地址信息。
(4)MPLS配置
配置MPLS的LSR ID標識;
啓用路由器的MPLS LDP標籤協議;
在網絡接口上啓用MPLS LDP標籤協議。
試題二(25分)
閱讀以下廣域網絡整合改造的需求說明,回答問題1至問題3,將解答填入答題紙的對應欄內。
【說明】
長江沿線某物流企業A與B併購後組織機構合併,在此情況下,原有兩個單位的信息網絡的融合成爲迫在眉睫的任務。在機構融合前,兩個單位各自都有獨立的廣域網絡:A企業廣域網覆蓋重慶至上海,共1個核心節點(武漢長江南岸,100個用戶)、6個二級節點(30個用戶)和23個三級節點(9個用戶);B企業廣域網覆蓋重慶至蕪湖,共1個核心節點(武漢長江北岸,150個用戶)、11個分支核心節點(11個用戶,包含A企業的二級節點)、200多個掃描接入點(2個終端)。兩個廣域網的主要傳輸通道都基於A企業自建的SDH網絡:A企業廣域網一二級節點間是155M POS互聯,二三級節點間採用10M MSTP或2M電路互聯,少數鏈路爲40M MSTP;B企業廣域網核心和分支機構的互聯採用30-50M MSTP互聯,少數節點採用4個2M捆綁的電路連接(注:所有MSTP電路使用僅用於實現二三級節點的點對點連接)。
A企業廣域網承載着辦公、視頻監控、軟交換、視頻會議、廣播控制等業務系統;B企業廣域網承載着辦公,視頻會議,數十個安全監管業務系統,CCTV、GPS物流監管等業務系統。
機構融合後,兩個廣域網再沒有獨立運行的必要了,因此要將兩個廣域網合併成一個網絡,清理網絡資產、簡化網絡結構(減少二級節點數量)、優化路由,使網絡安全、高效、可靠、易維護、易管理。A企業廣域網絡結構如圖2-1所示:
圖2-1
B企業廣域網絡結構如圖2-2所示。
圖2-1
【問題1】(10分)
在不增加新設備、新鏈路的情況下,針對現有物理設備及線路給出整合解決方案的整體思路。要求:
(1)整合後的企業網絡採用層次化設計、簡化拓撲,實現核心節點、線路N+1冗餘;
(2)整合後企業網絡的二級節點只包括重慶、萬州、宜昌、蕪湖、南京、上海以及位於武漢郊區的“培訓中心”和“武漢分支節點”。
標準參考答案:
解決方案的整體思路:
(1)核心路由設備遷移到一個核心機房,並遷移原有與二級設備的鏈路;
(2)所有服務器、核心交換機遷移到核心機房,並實現服務器區與兩臺核心交換機的默認網關冗餘;
(3)統一採用二級、三級節點方式,打亂原有連接方式;對八個二級節點以外的節點都降級爲三級節點;對原A企業三級節點、B企業掃描接入點採用就近接入原則或者就近線路遷移原則,形成三級網絡結構;
(4)原有155M線路作主用,30M線路作備用。
【問題2】(9分)
原A企業服務器地址採用172.16.1.0/24一個C類地址段,原B企業服務器地址採用192.168.0.0/24、192.168.1.0/24二個C類地址段。A、B兩企業用戶地址和網絡設備地址都採用10.0.0.0/8地址。要求在不影響業務的情況下采用層次化的地址分配方案合理規劃地址(禁止使用NAT技術),請提供地址切換解決方案。
標準參考答案:
地址切換解決方案:
1.所有核心設備整合到一個機房後,在服務器區劃分三個或多個VLAN,使原有服務器網段地址不作修改,以保障業務系統的正常使用。
2.用戶地址進行統一規劃,採用先橫向再縱向的方式對各單位進行地址分配,各單位進行地址分配時對地址進行合理預留,以滿足後期擴展。並採用DHCP技術自動分配業務地址。
3.設備管理地址採用32位掩碼、屬於單一地址段的地址進行全網統一規劃,設備互聯地址採用30位掩碼的地址進行全網統一規劃。
【問題3】(6分)
原A企業採用OSPF作爲路由協議,協議進程規劃爲1,二級節點作爲area0邊界且往下分別歸屬於不同的area。原B企業採用OSPF作爲路由協議,協議進程規劃爲10,分支節點作爲area0邊界且往下分別歸屬於不同的area。合併前A、B兩企業之間採用靜態路由連接。請提供兩種基於OSPF協議的路由整合方案思路。
標準參考答案:
路由整合方案:
路由整合方案一 —— 整合所有路由器到一個OSPF體系中,所有核心設備規劃到核心區域AREA 0中,其它節點按歸屬劃分到不同的區域中。
路由整合方案二 —— 採用多進程OSPF技術,將原有兩個單位的OSPF啓用兩個不同的進程,再進行路由的相互導入。
試題三(25分)
閱讀以下關於某企業內部網絡系統的敘述,回答問題1至問題3,將解答或相應的編號填入答題紙的對應欄內。
【說明】
某企業網絡拓撲結構如圖3-1所示。根據企業要求實現負載均衡和冗餘備份,構建無阻塞高性能網絡的建設原則,該企業網絡採用兩臺S7606萬兆骨幹路由交換機作爲雙核心,部門交換機S2924G通過光纖分別與兩臺核心交換機相連,通過防火牆和邊界路由器與Internet相連。S7606之間相連的端口均爲Trunk端口,S7606與S2924G之間相連的端口也均爲Trunk端口。
部分PC機IP信息及所屬VLAN如表3-1所示。
圖3-1 某企業網絡拓撲結構
【問題1】(9分)
四臺交換機都啓用了MSTP生成樹模式,其中S7606-1的相關配置如下:
S7606-1(config)# spanning-tree mst 1 priority 4096
S7606-1(config)# spanning-tree mst configuration
S7606-1(config-mst)# instance 1 vlan 10,12
S7606-1(config-mst)# instance 2 vlan 9,11
S7606-1(config-mst)# name region l
57606-1(config-mst)# revision 1
S7606-2的相關配置如下:
S7606-2(config)# spanning-tree mst 2 priority 4096
S7606-2(config)# spanning-tree mst configuration
S7606-2(config-mst)# instance 1 vlan 10,12
S7606-2(config-mst)# instance 2 vlan 9,11
S7606-2(config-mst)# name region 1
S7606-2(config-mst)# revision 1
兩臺S2924G交換機也配置了相同的實例、域名稱和版本修訂號。
(1)請問instance 2的生成樹的根交換機是哪一臺?爲什麼?
(2)就instance 1而言,交換機S2924G一的根端口是哪個端口?爲什麼?
(3)請指出PC1發給PC5的數據包經過的設備路徑。
標準參考答案:
(1)instance 2的生成樹的根交換機是S7606-2,因爲其優先級的值較小,優先成爲該實例的根交換機。
(2)對instance 1而言,交換機S2924G-1的根端口是Gig2/1端口,因爲instance 1的生成樹的根交換機是S7606-1,交換機S2924G-1離根橋最近的端口爲根端口。
(3)PC1 S2924G-1 S7606-2 S2924G-2 PC5
【問題2】(8分)
在三層交換機S7606-1中VLAN 10的IP地址配置爲202.10.10.1/24,VLAN 11的IP地址配置爲202.10.11.254/24。
在三層交換機S7606-2中VLAN 10的IP地址配置爲202.10.10.254/24,VLAN 11的IP地址配置爲202.10.11.1/24。兩臺三層交換機中的VRRP配置如下:
S7606-1(config)# interface vlan 10
S7606-1(config-if)# vrrp 10 ip 202.10.10.1
S7606-1(config-if)# vrrp 10 preempt
S7606-1(config)# interface vlan 11
S7606-1(config-if)# vrrp 11 ip 202.10.11.1
S7606-2(config)# interface vlan 10
S7606-2(config-if)# vrrp 10 ip 202.10.10.1
S7606-2(config)# interface vlan 11
S7606-2(config-if)# vrrp 11 ip 202.1011.1
S7606-2(config-if)# vrrp 11 preempt
(1) PC2主機中設置的網關IP爲202.10.10.1,在網絡正常運行的情況下,請按照以下格式寫出PC2訪問Internet的數據轉發路徑。(格式:PC2→設備1→.....→Internet。不寫返回路徑)
(2)假設三層交換機S7606-1需要臨時宕機1小時進行檢修及升級操作系統。
請問這1小時時段內PC2在沒有修改網關IP地址的情況下,是否能訪問Internet?請結合交換機S7606-1宕機後發生的變化說明原因。
標準參考答案:
(1)在網絡正常運行的情況下,PC2訪問Internet的數據轉發路徑爲:
PC2—>S2924G-1—>S7606-1—>防火牆—>邊界路由器—>Internet
(2)a)能訪問Internet
b)虛擬路由冗餘協議VRRP是用於實現路由器冗餘的協議,對共享多存取訪問介質(如以太網)上終端IP設備的默認網關(Default Gateway)進行冗餘備份,從而在其中一臺路由設備宕機時,備份路由設備及時接管轉發工作,向用戶提供透明的切換,提高了網絡服務質量。
根據給出的配置可知,在網絡正常情況下,VRRP組10的主控路由器是S7606-1,備份路由器是S7606-2。當交換機S7606-1宕機後,經過主路由器失效間隔時間後,備份路由器會自動切換爲主控路由器,整個過程對用戶是透明的,因此客戶機並不需要修改網關IP,仍可以連接Internet。
【問題3】(8分)
企業內部架設有無線局域網,並採用了802.1X認證,用戶名和密碼存放在Radius服務器的數據庫中。無線路由器Wirele***outerl支持802.1x協議,請回答以下問題:
(1)在圖3-2所示的認證過程中,客戶端向無線路由器發送的是什麼幀?無線路由器向Radius服務器發送的是什麼報文?
(2)在無線路由器中需要配置哪些與Radius Server相關的信息?
(3)如果無線路由器不支持802.1X認證,爲滿足無線用戶必須經過認證才能上網的需求,能否在上層交換機中啓用802.1X,並將端口設置爲啓用dot1x認證?請簡要說明理由。
圖3-2 802.1X認證示意圖
標準參考答案:
(1)客戶端向無線路由器發送的是EAPoL(Extensible Authentication Protocol over LAN)幀;無線路由器向Radius服務器發送的是EAP over RADIUS報文,因爲認證系統將EAP幀封裝到RADIUS報文中發送給認證服務器。
(2)在無線路由器中需要配置的Radius Server信息有:IP地址、認證和授權端口(只寫端口也可以)、與RADIUS服務器一致的密鑰。
(3)如果無線路由器不支持802.1X認證,可以在上層交換機中啓用802.1X,並將端口設置爲啓用dot1x認證。但注意上層交換機下聯無線路由器的802.1x端口認證模式應設置爲 mac-based。這樣接入物理端口的所有主機都需要進行認證才能訪問網絡資源。當某用戶下線時,將不影響其它用戶的認證狀態,其它用戶還可以繼續訪問網絡。