2010 下半年网络规划师考试真题及答案-下午卷
试题一
某省准备建立电子政务网络平台,实现全省上下各级部门之间的信息交换和资源共享。
遵照《国家信息化领导小组关于推进国家电子政务网络建设的意见》的要求,电子政务网络
分为电子政务外网和电子政务内网,该省即将建设的网络平台被定性为“非涉密”的电子政
务外网。在第一期工程中,主要建设覆盖省直部 R 和各地市州的电子政务外网省级部分。电
子政务外网是办公自动化、会议通知、行政审批、电子监察等跨部门应用系统的运行网络,
还是一个网络承载平台,可以承载各类 VPN。例如,在当前的省级外网平台建设中,外网平
台就需要承载两个 VPN:(1)互连各个部门的国库支付 VPN;(2)互连各个部门的视频监控 VPN。
【问题 1】
电子政务外网承载 VPN,可以采用 L2TP、IPSec、MPLS VPN 三类技术,请对三种技术建
设 VPN 进行比较,比较内容如表 1-1 所示。
本题涉及 MPLS 技术、MPLS VPN 等领域的内容。
VPN(Virtual Private Network,虚拟专用网)就是利用 Intemet 或其他公共互联网络的
基础设施建立专用数据传输通道,将远程的分支机构、移动办公人员等连接起来,实现不同
网络的组件和资源之间的相互连接,是通过隧道技术在公共数据网络上虚拟出一条点到点的
专线技术。
在虚拟专用网中,任意两个节点之间的连接并没有传统专网所需的端到端的物理链路,
而是利用某种公众网的资源动态组成的。
VPN 主要采用 4 项技术来保证安全,这 4 项技术分别为隧道技术(Tunneling)、加解密
技 术 (Encryption & Decryption) 、 密 钥 管 理 技 术 (Key Management) 、 认 证 技 术
(Authentication)。
隧道技术就是利用隧道协议对隧道两端的数据进行封装的技术。利用一种协议来传输另
外一种协议的技术,共涉及三种协议,包括乘客协议、隧道协议和承载协议,隧道协议可以
分别是第二层或第三层隧道协议。第二层隧道协议是先把各种网络协议封装到 PPP 中,再把
整个数据包装入随道协议中;这种双层封装方法形成的数据包靠第二层协议进行传输;第二
层随道协议有 L2F、PPTP、L2TP 等。第三层隧道协议则借助于网络层协议来进行封装,典型
代表是 IPSec;IPSec 本身不是隧道协议,但由于其提供的认证、加密功能适用于建立 VPN
环境,它既能提供 LAN 间 VPN,也能提供远程访问型 VPN。而 MPLS VPN 则是一种借助于标签
交换技术、利用公用 MPLS 基础设施实现多个用户网络承载,是一种介于第二层和第三层之
间的技术。
L2TP 协议:
L2TP 封装的乘客协议是位于第二层的 PPP 协议,如下图所示。
L2TP 在数据传输过程中并没有对数据进行加密。
IPSec 协议:
IPSec 只能工作在 IP 层,要求乘客协议和承载协议都是 IP 协议,如下图所示。
IPSec 在传输数据过程中,可以对被封装的数据包进行加密和摘要等,以进一步提髙数据传
输的安全性。
MPLS VPN:
MPLS VPN 技术借助于一个公用的 MPLS 域,在入口边缘路由器为每个包加上 MPLS 标签,核
心路由器根据标签值进行转发,出口边缘路由器再去掉标签,恢复原来的 IP 包,如下图所
示。
MPLS 标签位于二层和三层之间,其协议封装如下图所示。
【问题 2】
各地市州、各省直部门在接入电子政务外网平台时,需要配置接入路由器、防火墙、前
置服务器,请考虑如下连接要求,并添加相应的连接线路或设备,给出接入电子政务外网的
设备连接图。
(1)部门网络与电子政务外网之间为逻辑隔离;
(2)部门应用系统主动把数据推送至前置服务器,数据中心在进行数据获取时,不允许
进入部门网络;
(3)在调试防火墙的各类过滤规则时,不会对电子政务外网的路由造成影响;
(4)可根据用户负载的需要,随时添置前置服务器。
画图要点:
接入路由器直接连接电子政务外网;
防火墙直接连接单位内部网络;
防火墙与接入路由器直接相连;
防火墙的 DMZ 口添置一台 DMZ 交换机;
前置服务器与 DMZ 交换机直接相连。
电子政务网络一般分为电子政务内网和电子政务外网。其中电子政务外网是一个非涉密
性质的网络,可以借助于特定的安全手段,实现普通信息和敏感信息的传递。电子政务外网
在实现部门和下级单位接入时,主要采用逻辑隔离方式接入,即指两个网络之间存在着受控
的网络协议传递,信息借助于防火墙或者具有过滤功能的路由器实现交换的方式。
逻辑隔离接入方式适用于大多数部门,其内部网络为实现对内部信息与资源实施保护,
在受控的情况下与外网进行连接。由于电子政务网络建设主要为政务信息资源目录体系、政
务信息资源交换体系、各类电子政务应用系统提供运行和承载环境;在实现部门网络接入的
同时,需要为信息和数据的交换提供有效的技术支撑;因此,部门网络借助于防火墙或路由
器完成与电子政务外网主干的连接,通过受控的网络协议实现信息交换。
传统意义上的部门逻辑接入方式如下图所示。
为完成各部门网络接入电子政务外网平台,必须配置特定的网络接入设备,这些设备主
要包括接入路由器、防火墙、前置服务器、DMZ 交换机等。
•接入路由器是实现单位接入的关键设备,通过运行路由算法,保持和外网平台的连通
性。
•前置服务器是完成单位内部网络和外网平台数据交换的关键设备,通过前置数据库、
交换中间件等实现数据的交换。
•防火墙是完成逻辑隔离的关键设备,其强大的过滤机制、DMZ 区域设置等技术,保证
了外网平台与单位网络之间的受控信息传递。
•DMZ 交换机用于扩展防火墙的 DMZ 区域,实现多台服务器在防火墙 DMZ 区域的接入。
【问题 3】
如图 1-1 所示,省级电子政务外网平台承载了两个 VPN,分别为国库支付 VPN 和视频监
控 VPN。请从以下方面描述电子政务外网 PE 路由器上的 MPLS VPN 配置内容:
•VPN 接口配置
•PE-CE 配置
•OSPF 配置
•MPLS 配置
(1)VPN 接口配置
将相应的接口加入 VPN 实例中;
进入接口配置模式,配置接口的 IP 地址。
(2)PE-CE 配置
启用路由协议 BGP,并设置自治区号;
在 BGP 的 IPv4VRF 实例地址簇中引入路由信息;
建立 IPv4VRF 实例的邻居关系,激活并传递 VRF 路由;
在 BGP 中引入直连路由。
(3)OSPF 配置启用 OSPF 路由协议;
配置路由区域及网络地址信息。
(4)MPLS 配置
配置 MPLS 的 LSRID 标识;
启用路由器的 MPLSLDP 标签协议;
在网络接口上启用 MPLSLDP 标签协议。
MPLS 最初是用来提高路由器的转发速度而提出的一个协议,MPLS 协议的关键是引入了
标签(Label)交换概念;标签是一种短的、易于处理的、不包含拓扑信息、只具有局部意义
的信息内容。
在 MPLS 网络中,IP 包在进入第一个 MPLS 设备时,MPLS 边缘路由器分析 IP 包的内容并
且为这些 IP 包选择合适的标签;以后所有 MPLS 网络中的节点都是依据这个标签作为转发依
据;当 IP 包最终离开 MPLS 网络时,标签被边缘路由器分离。
MPLS 在逻辑上可以分为 LER(Label Edge Router)和 LSR(Label Switching Router)。
其中 LER 是 MPLS 网络同其他网络的边缘设备,它提供流量分类和标签映射、标签移除的功
能;而 LSR 是 MPLS 网络的核心交换机,它提供标签交换、标签分发的功能。
作为一种高效的 IP 骨干网技术平台,MPLS 为实现 VPN 提供了一种灵活的、具有可扩展
性的技术基础,并且具有网络配置简单、动态发现相邻节点、直接利用现有路由协议、具有
良好的可扩展性等特点。
为支持基于 MPLS 的 VPN 特性,必须实现如下功能:
•LDP(Label Distribution Protocol)标签分布协议,是 MPLS 的信令协议,用以管理和
分配标签;
•MPLS 转发模块,根据报文上的标签和本地映射表进行二、三层间交换:
•MBGP 和 BGP 扩展,用来传递 VPN 路由和承载 VPN 属性、QoS 信息、标签等内容;
•路由管理的 VPN 扩展,建立多路由表,用以支持 VPN 路由。
在 MPLSVPN 的连接模型中,网络由运营商的骨干网与用户的各个 Site 组成,所谓 VPN
就是对 Site 集合的划分,一个 VPN 就对应一个由若干 Site 组成的集合。而 MPLSVPN 网络中
的路由设备也相应分为三类:
•CE(Custom Edge):用户 Site 中直接与服务提供商相连的边缘设备:
•PE(Provider Edge):骨干网中的边缘设备,它直接与用户的 CE 相连;
•P 路由器(Provider Router):骨干网中不与 CE 直接相连的设备。
MPLS VPN 的组成原理如下:
(1)MPLS VPN 的网络构造由服务提供商来完成。在这种网络构造中,由服务提供商向用
户提供 VPN 服务,用户感觉不到公共网络的存在,就好像拥有独立的网络资源一样。
(2)同样对于服务提供商骨干网络内部的 P 路由器,也就是不与 CE 直接相连的路由器而
言,也不知道有 VPN 的存在,仅仅负责骨干网内部的数据传输。但其必须能够支持 MPLS 协
议,并使能该协议。
(3)所有的 VPN 的构建、连接和管理工作都是在 PE 上进行的。PE 位于服务提供商网络
的边缘。从 PE 的角度来看,用户的一个连通的 IP 系统被视为一个 Site,每一个 Site 通过
CE 与 PE 相连,Site 是构成 VPN 的基本单元。
(4)一个 VPN 是由多个 Site 组成的,一个 Site 也可以同时属于不同的 VPN。属于同一
个 VPN 的两个 Site 通过服务提供商的公共网络相连,VPN 数据在公共网络上传播,必须要
保证数据传输的私有性和安全性。也就是说,从属于某个 VPN 的 Site 发送出来的报文只能
转发到同样属于这个 VPN 的 Site 中去,而不能被转发到其他 Site 中去。
(5)同时,任何两个没有共同的 Site 的 VPN 都可以使用重叠的地址空间,即在用户的私
有网络中使用自己独立的地址空间,而不用考虑是否与其他 VPN 或公网的地址空间冲突。所
有这些就都需要依赖于 VRF(VPN Routing& Forwarding Instance)。
关于 VPN 路由转发实例(VPN Routing & Forwarding Instance)、路由标识(Route
Distinguisher),多协议 BGP(Multiprotocol BGP)、BGP 扩展团体属性(Extended
Community)、BGP 路由刷新(Route Refresh)的详细技术内容,在本文中不做介绍,请参阅
相关技术资料。
以下为问题 3 的 MPLSVPN 环境介绍及 MPLSVPN 的有关配置。
图中,s0 表示第 0 号串口,e0 表示第 0 号以太网口;P 路由器分别通过 s0、s1、s2、
s3 与 PE1、PE2、PE3、PE4 相连;各用户网络的 AS 号码分别为 65410、65420、65430、65440,
核心网络的 AS 号码为 100;VPN-A 为国库支付 VPN,VPN-B 为视频监控 VPN。
PE1 的配置: