2010下半年网络规划设计师下午试卷及答案

2010下半年网络规划设计师下午试卷Ⅰ、标准答案及分析

试题一（25分）

阅读以下关于某电子政务网络平台的叙述，回答问题1至问题3，讲解答填入答题纸的对应栏内。 【说明】

某省准备建立电子政务网络平台，实现全省上下各级部门之间的信息交换和资源共享。遵照《国家信息化领导小组关于推进国家电子政务网络建设的意见》的要求，电子政务网络分为电子政务外网和电子政务内网，该省即将建设的网络平台被定性为“非涉密”的电子政务外网。在第一期工程中，主要建设覆盖省直部门和各地市州的电子政务外网。电子政务外网是办公自动化、行政审批、电子监察等跨部门应用系统的运行网络，还是一个网络承载平台，可以承载各类VPN。例如，在当前的省级外网平台建设中，外网平台就需要承载两个VPN：（1）互连各个部门的国库支付VPN；（2）互连各个部门的视频监控VPN。 【问题1】（6分）

电子政务外网承载VPN，可以采用L2TP、MPLS VPN、IPSec三类技术，请对三种技术进行比较，将有关内容填入表1-1的空白中（备注档不用填）。

试题解析：

L2TP（Layer 2 Tunneling Protocol，第二层隧道协议）工作在第二层。第二层隧道协议只提供数据的封装服务，不提供数据加密服务，具有以下安全缺陷：

1）第二层隧道协议仅仅对通信双方进行身份认证，而没有对传输报文进行认证，因此无法抵御数据重发攻击、数据伪造攻击。

2）第二层隧道协议本身不提供任何加密手段，当数据需要加密时，需要其它技术的支持。

L2TP结合了PPTP协议以及L2F协议的优点，能以隧道方式把PPP帧封装在公共网络设施（如IP、ATM、帧中继）中进行隧道传输。L2TP使用UDP 1701端口进行工作。 L2TP主要由LAC（L2TP Access Concentrator，L2TP访问集中器）和LNS（L2TP Network Server，L2TP网络服务器）组成。LAC是一个网络接入服务器，用于为用户提供网络接入服务。它是L2TP隧道的一个端点，具有PPP端系统和L2TP协议处理的能力，负责将用户数据封装在L2TP隧道中进行传输。LNS是PPP端系统上用于处理L2TP协议的服务器端软件，也是L2TP隧道的一个端点。LAC和LNS都被称为LCCE（L2TP Control Connection Endpoint，L2TP控制连接端点）。

L2TP通讯由于对中间转发设备没有特殊要求，因此可以支持移动VPN客户端。 MPLS（Multiprotocol Label Switching，多协议标签交换）技术是对ATM标记交换和IP路由协议的有机结合。它不仅有助于提高网络层的数据报转发能力，而且对提高网络层路由系统的可扩展性起到一定的作用。

MPLS提供多种协议的接口，如 IP、ATM、帧中继、资源预留协议（RSVP）、开放最短路径优先（OSPF）等。MPLS将IP地址映射为简单的具有固定长度的标签，用于不同的包转发和包交换技术。

MPLS网络由核心部分的LSR（Label Switching Router，标记交换路由器）和边缘部分的LER（Label Edge Router，标记边缘路由器）组成。由LSR构成的网络区域称为MPLS域，而LER则位于MPLS网络边缘与其他网络或用户相连接。MPLS网络的信令控制协议称为LDP（Label Distribution Protocol，标记分发协议）。

MPLS网络与传统IP网络的不同主要在于MPLS域中使用了标记交换路由器，域内部LSR之间使用MPLS协议进行通信，而在MPLS域的边缘，由MPLS边缘路由器进行与传统IP技术的适配。

MPLS的优点在于将IP技术中的完全无连接的分组交换方式转化为MPLS中有连接（根据LDP协议建立标记交换路径）的分组交换方式。首先是减少了数据报通过MPLS网络时查IP路由表的次数，替代为查询标记转发表，提高了转发效率；其次是解决了TCP数据通过IP网络的失序问题（流量在网络各接点无故障状态下将沿同样的路径通过网络，将按进入网络的顺序离开网络），减少了端到端通信中两端站点对数据的排序时延，使MPLS网络可以很好地服务于实时应用。

由于MPLS协议工作需要核心部分的LSR参与，因此不支持移动VPN。

IPSec是集多种安全技术为一体的安全体系结构，是一组IP安全协议集。IPSec定义了在网际层使用的安全服务，其功能包括数据加密、对网络单元的访问控制、数据源地址验证、数据完整性检查和防止重发攻击。

IPSec有两种工作模式：传输模式（Transport Mode）和隧道模式（Tunnel Mode）。传输模式通常应用于主机之间端对端通信，该模式要求主机支持IPSec。隧道模式应用于网关模式中，即在主机的网关（防火墙、路由器）上加载IPSec，这个网关就同时升级为SG（Security Gateway，安全网关）。这两种工作模式对网络传输的中间设备都没有特殊要求，因此可以支持移动VPN。 标准参考答案：

【问题2】（8分）

各地市州、各省直部门在接入电子政务外网平台时，需要配置接入路由器、防火墙、前置服务器，请考虑如下连接要求，并添加相应的连接线路或设备，给出接入电子政务外网的设备连接图。

（1）部门网络与电子政务外网之间为逻辑隔离；

（2）部门应用系统主动把数据推送至前置服务器，数据中心在进行数据获取时，不允许进入部门网络；

（3）在调试防火墙的各类过滤规则时，不会对电子政务外网的路由造成影响； （4）可根据用户负载的需要，随时添置前置服务器。 标准参考答案：

画图要点：

? 接入路由器直接连接电子政务外网； ? 防火墙直接连接单位内部网络； ? 防火墙与接入路由器直接相连；

? 防火墙的DMZ口添置一台DMZ交换机； ? 前置服务器与DMZ交换机直接相连。

【问题3】（11分）

如图1-1所示，采用MPLS VPN技术，省级电子政务外网平台承载了两个VPN，分别为国库支付VPN和视频监控VPN。请从以下方面描述电子政务外网PE路由器上的MPLS VPN配置内容： （1）VPN接口配置 （2）PE-CE配置 （3）OSPF配置

（4）MPLS配置

图1-1 电子政务外网承载VPN示意图 标准参考答案： （1）VPN接口配置

将相应的接口加入VPN实例中； 进入接口配置模式，配置接口的IP地址。 （2）PE-CE配置

启用路由协议BGP，并设置自治区号；

在BGP的IPV4 VRF实例地址簇中引入路由信息； 建立IPV4 VRF实例的邻居关系，激活并传递VRF路由； 在BGP中引入直连路由。 （3）OSPF配置

启用OSPF路由协议；

配置路由区域及网络地址信息。 （4）MPLS配置

配置MPLS的LSR ID标识； 启用路由器的MPLS LDP标签协议； 在网络接口上启用MPLS LDP标签协议。

本文来源：https://www.bwwdw.com/article/u9qf.html