2010下半年网络规划师考试真题及答案-下午卷.doc-资料库

第1页 / 共29页

第2页 / 共29页

第3页 / 共29页

第4页 / 共29页

第5页 / 共29页

第6页 / 共29页

第7页 / 共29页

第8页 / 共29页

2010 下半年网络规划师考试真题及答案-下午卷试题一某省准备建立电子政务网络平台，实现全省上下各级部门之间的信息交换和资源共享。遵照《国家信息化领导小组关于推进国家电子政务网络建设的意见》的要求，电子政务网络分为电子政务外网和电子政务内网，该省即将建设的网络平台被定性为“非涉密”的电子政务外网。在第一期工程中，主要建设覆盖省直部 R 和各地市州的电子政务外网省级部分。电子政务外网是办公自动化、会议通知、行政审批、电子监察等跨部门应用系统的运行网络，还是一个网络承载平台，可以承载各类 VPN。例如，在当前的省级外网平台建设中，外网平台就需要承载两个 VPN：(1)互连各个部门的国库支付 VPN；(2)互连各个部门的视频监控 VPN。【问题 1】电子政务外网承载 VPN，可以采用 L2TP、IPSec、MPLS VPN 三类技术，请对三种技术建设 VPN 进行比较，比较内容如表 1-1 所示。本题涉及 MPLS 技术、MPLS VPN 等领域的内容。 VPN(Virtual Private Network，虚拟专用网)就是利用 Intemet 或其他公共互联网络的基础设施建立专用数据传输通道，将远程的分支机构、移动办公人员等连接起来，实现不同网络的组件和资源之间的相互连接，是通过隧道技术在公共数据网络上虚拟出一条点到点的专线技术。

在虚拟专用网中，任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是利用某种公众网的资源动态组成的。 VPN 主要采用 4 项技术来保证安全，这 4 项技术分别为隧道技术(Tunneling)、加解密技术 (Encryption & Decryption) 、密钥管理技术 (Key Management) 、认证技术 (Authentication)。隧道技术就是利用隧道协议对隧道两端的数据进行封装的技术。利用一种协议来传输另外一种协议的技术，共涉及三种协议，包括乘客协议、隧道协议和承载协议，隧道协议可以分别是第二层或第三层隧道协议。第二层隧道协议是先把各种网络协议封装到 PPP 中，再把整个数据包装入随道协议中；这种双层封装方法形成的数据包靠第二层协议进行传输；第二层随道协议有 L2F、PPTP、L2TP 等。第三层隧道协议则借助于网络层协议来进行封装，典型代表是 IPSec；IPSec 本身不是隧道协议，但由于其提供的认证、加密功能适用于建立 VPN 环境，它既能提供 LAN 间 VPN，也能提供远程访问型 VPN。而 MPLS VPN 则是一种借助于标签交换技术、利用公用 MPLS 基础设施实现多个用户网络承载，是一种介于第二层和第三层之间的技术。 L2TP 协议： L2TP 封装的乘客协议是位于第二层的 PPP 协议，如下图所示。 L2TP 在数据传输过程中并没有对数据进行加密。 IPSec 协议： IPSec 只能工作在 IP 层，要求乘客协议和承载协议都是 IP 协议，如下图所示。 IPSec 在传输数据过程中，可以对被封装的数据包进行加密和摘要等，以进一步提髙数据传

输的安全性。 MPLS VPN： MPLS VPN 技术借助于一个公用的 MPLS 域，在入口边缘路由器为每个包加上 MPLS 标签，核心路由器根据标签值进行转发，出口边缘路由器再去掉标签，恢复原来的 IP 包，如下图所示。 MPLS 标签位于二层和三层之间，其协议封装如下图所示。【问题 2】各地市州、各省直部门在接入电子政务外网平台时，需要配置接入路由器、防火墙、前置服务器，请考虑如下连接要求，并添加相应的连接线路或设备，给出接入电子政务外网的设备连接图。 (1)部门网络与电子政务外网之间为逻辑隔离； (2)部门应用系统主动把数据推送至前置服务器，数据中心在进行数据获取时，不允许进入部门网络； (3)在调试防火墙的各类过滤规则时，不会对电子政务外网的路由造成影响； (4)可根据用户负载的需要，随时添置前置服务器。

画图要点：接入路由器直接连接电子政务外网；防火墙直接连接单位内部网络；防火墙与接入路由器直接相连；防火墙的 DMZ 口添置一台 DMZ 交换机；前置服务器与 DMZ 交换机直接相连。电子政务网络一般分为电子政务内网和电子政务外网。其中电子政务外网是一个非涉密性质的网络，可以借助于特定的安全手段，实现普通信息和敏感信息的传递。电子政务外网在实现部门和下级单位接入时，主要采用逻辑隔离方式接入，即指两个网络之间存在着受控的网络协议传递，信息借助于防火墙或者具有过滤功能的路由器实现交换的方式。逻辑隔离接入方式适用于大多数部门，其内部网络为实现对内部信息与资源实施保护，在受控的情况下与外网进行连接。由于电子政务网络建设主要为政务信息资源目录体系、政务信息资源交换体系、各类电子政务应用系统提供运行和承载环境；在实现部门网络接入的同时，需要为信息和数据的交换提供有效的技术支撑；因此，部门网络借助于防火墙或路由器完成与电子政务外网主干的连接，通过受控的网络协议实现信息交换。传统意义上的部门逻辑接入方式如下图所示。

为完成各部门网络接入电子政务外网平台，必须配置特定的网络接入设备，这些设备主要包括接入路由器、防火墙、前置服务器、DMZ 交换机等。 •接入路由器是实现单位接入的关键设备，通过运行路由算法，保持和外网平台的连通性。 •前置服务器是完成单位内部网络和外网平台数据交换的关键设备，通过前置数据库、交换中间件等实现数据的交换。 •防火墙是完成逻辑隔离的关键设备，其强大的过滤机制、DMZ 区域设置等技术，保证了外网平台与单位网络之间的受控信息传递。 •DMZ 交换机用于扩展防火墙的 DMZ 区域，实现多台服务器在防火墙 DMZ 区域的接入。【问题 3】如图 1-1 所示，省级电子政务外网平台承载了两个 VPN，分别为国库支付 VPN 和视频监控 VPN。请从以下方面描述电子政务外网 PE 路由器上的 MPLS VPN 配置内容: •VPN 接口配置 •PE-CE 配置 •OSPF 配置 •MPLS 配置

(1)VPN 接口配置将相应的接口加入 VPN 实例中；进入接口配置模式，配置接口的 IP 地址。 (2)PE-CE 配置启用路由协议 BGP，并设置自治区号；在 BGP 的 IPv4VRF 实例地址簇中引入路由信息；建立 IPv4VRF 实例的邻居关系，激活并传递 VRF 路由；在 BGP 中引入直连路由。 (3)OSPF 配置启用 OSPF 路由协议；配置路由区域及网络地址信息。 (4)MPLS 配置配置 MPLS 的 LSRID 标识；启用路由器的 MPLSLDP 标签协议；在网络接口上启用 MPLSLDP 标签协议。 MPLS 最初是用来提高路由器的转发速度而提出的一个协议，MPLS 协议的关键是引入了标签(Label)交换概念；标签是一种短的、易于处理的、不包含拓扑信息、只具有局部意义的信息内容。在 MPLS 网络中，IP 包在进入第一个 MPLS 设备时，MPLS 边缘路由器分析 IP 包的内容并且为这些 IP 包选择合适的标签；以后所有 MPLS 网络中的节点都是依据这个标签作为转发依据；当 IP 包最终离开 MPLS 网络时，标签被边缘路由器分离。

MPLS 在逻辑上可以分为 LER(Label Edge Router)和 LSR(Label Switching Router)。其中 LER 是 MPLS 网络同其他网络的边缘设备，它提供流量分类和标签映射、标签移除的功能；而 LSR 是 MPLS 网络的核心交换机，它提供标签交换、标签分发的功能。作为一种高效的 IP 骨干网技术平台，MPLS 为实现 VPN 提供了一种灵活的、具有可扩展性的技术基础，并且具有网络配置简单、动态发现相邻节点、直接利用现有路由协议、具有良好的可扩展性等特点。为支持基于 MPLS 的 VPN 特性，必须实现如下功能： •LDP(Label Distribution Protocol)标签分布协议，是 MPLS 的信令协议，用以管理和分配标签； •MPLS 转发模块，根据报文上的标签和本地映射表进行二、三层间交换： •MBGP 和 BGP 扩展，用来传递 VPN 路由和承载 VPN 属性、QoS 信息、标签等内容； •路由管理的 VPN 扩展，建立多路由表，用以支持 VPN 路由。在 MPLSVPN 的连接模型中，网络由运营商的骨干网与用户的各个 Site 组成，所谓 VPN 就是对 Site 集合的划分，一个 VPN 就对应一个由若干 Site 组成的集合。而 MPLSVPN 网络中的路由设备也相应分为三类： •CE(Custom Edge)：用户 Site 中直接与服务提供商相连的边缘设备： •PE(Provider Edge)：骨干网中的边缘设备，它直接与用户的 CE 相连； •P 路由器(Provider Router):骨干网中不与 CE 直接相连的设备。 MPLS VPN 的组成原理如下： (1)MPLS VPN 的网络构造由服务提供商来完成。在这种网络构造中，由服务提供商向用户提供 VPN 服务，用户感觉不到公共网络的存在，就好像拥有独立的网络资源一样。 (2)同样对于服务提供商骨干网络内部的 P 路由器，也就是不与 CE 直接相连的路由器而言，也不知道有 VPN 的存在，仅仅负责骨干网内部的数据传输。但其必须能够支持 MPLS 协议，并使能该协议。 (3)所有的 VPN 的构建、连接和管理工作都是在 PE 上进行的。PE 位于服务提供商网络的边缘。从 PE 的角度来看，用户的一个连通的 IP 系统被视为一个 Site，每一个 Site 通过 CE 与 PE 相连，Site 是构成 VPN 的基本单元。 (4)一个 VPN 是由多个 Site 组成的，一个 Site 也可以同时属于不同的 VPN。属于同一个 VPN 的两个 Site 通过服务提供商的公共网络相连，VPN 数据在公共网络上传播，必须要

保证数据传输的私有性和安全性。也就是说，从属于某个 VPN 的 Site 发送出来的报文只能转发到同样属于这个 VPN 的 Site 中去，而不能被转发到其他 Site 中去。 (5)同时，任何两个没有共同的 Site 的 VPN 都可以使用重叠的地址空间，即在用户的私有网络中使用自己独立的地址空间，而不用考虑是否与其他 VPN 或公网的地址空间冲突。所有这些就都需要依赖于 VRF(VPN Routing& Forwarding Instance)。关于 VPN 路由转发实例(VPN Routing & Forwarding Instance)、路由标识(Route Distinguisher)，多协议 BGP(Multiprotocol BGP)、BGP 扩展团体属性(Extended Community)、BGP 路由刷新(Route Refresh)的详细技术内容，在本文中不做介绍，请参阅相关技术资料。以下为问题 3 的 MPLSVPN 环境介绍及 MPLSVPN 的有关配置。图中，s0 表示第 0 号串口，e0 表示第 0 号以太网口；P 路由器分别通过 s0、s1、s2、 s3 与 PE1、PE2、PE3、PE4 相连;各用户网络的 AS 号码分别为 65410、65420、65430、65440，核心网络的 AS 号码为 100；VPN-A 为国库支付 VPN，VPN-B 为视频监控 VPN。 PE1 的配置：

资料库

2010下半年网络规划师考试真题及答案-下午卷.doc

相关推荐

网络规划设计师考试

热门标签

最新资料