201011网规下午真题

第 1 题

阅读以下关于某省电子政务网络平台的叙述,回答问题1、问题2和问题3。
【说明】
 某省准备建立电子政务网络平台,实现全省上下各级部门之间的信息交换和资源共享。遵照《国家信息化领导小组关于推进国家电子政务网络建设的意见》的要求,电子政务网络分为电子政务外网和电子政务内网,该省即将建设的网络平台被定性为“非涉密”的电子政务外网。在第一期工程中,主要建设覆盖省直部门和各地市州的电子政务外网省级部分。电子政务外网是办公自动化、会议通知、行政审批、电子监察等跨部门应用系统的运行网络,还是一个网络承载平台,可以承载各类VPN。例如,在当前的省级外网平台建设中,外网平台就需要承载两个VPN:(1)互连各个部门的国库支付VPN;(2)互连各个部门的视频监控VPN。

【问题1】(6分)
电子政务外网承载VPN,可以采用L2TP、IPSec、MPLS VPN三类技术,请对三种技术建设VPN进行比较,比较内容如表1-1所示。


【问题2】(6分)

各地市州、各省直部门在接入电子政务外网平台时,需要配置接入路由器、防火墙、前置服务器,请考虑如下连接要求,并添加相应的连接线路或设备,给出接入电子政务外网的设备连接图。
(1)部门网络与电子政务外网之间为逻辑隔离;
(2)部门应用系统主动把数据推送至前置服务器,数据中心在进行数据获取时,不允许进入部门网络;
(3)在调试防火墙的各类过滤规则时,不会对电子政务外网的路由造成影响;
(4)可根据用户负载的需要,随时添置前置服务器。
【问题3】(13分)
如图1-1所示,省级电子政务外网平台承载了两个VPN,分别为国库支付VPN和视频监控VPN。请从以下方面描述电子政务外网PE路由器上的MPLS VPN配置内容:
· VPN接口配置
· PE-CE配置
· OSPF配置
· MPLS配置

 图1-1  电子政务外网承载VPN示意图

答案与解析

  • 试题难度:较难
  • 知识点:案例分析>网络安全方案
  • 试题答案:

    【问题1】(6分)


【问题2】(6分)

画图要点:
接入路由器直接连接电子政务外网;
防火墙直接连接单位内部网络;
防火墙与接入路由器直接相连;
防火墙的DMZ口添置一台DMZ交换机;
前置服务器与DMZ交换机直接相连。 
【问题3】(13分)
(1)VPN接口配置
将相应的接口加入VPN实例中;
进入接口配置模式,配置接口的IP地址。
(2)PE-CE配置
启用路由协议BGP,并设置自治区号;
在BGP的IPV4 VRF实例地址簇中引入路由信息;
建立IPV4 VRF实例的邻居关系,激活并传递VRF路由;
在BGP中引入直连路由。
(3)OSPF配置
启用OSPF路由协议;
配置路由区域及网络地址信息。
(4)MPLS配置
配置MPLS的LSR ID标识;
启用路由器的MPLS LDP标签协议;
在网络接口上启用MPLS LDP标签协议。

- 试题解析:

本题涉及MPLS技术、MPLS/VPN等领域的内容。
(1)问题1分析
VPN (Virtual Private Network,虚拟专用网)就是利用Internet或其他公共互联网络的基础设施建立专用数据传输通道,将远程的分支机构、移动办公人员等连接起来,实现不同网络的组件和资源之间的相互连接,是通过隧道技术在公共数据网络上虚拟出一条点到点的专线技术。
在虚拟专用网中,任意两个节点之间的连接并没有传统专网所需的端到端的物理链路,而是利用某种公众网的资源动态组成的。
VPN主要采用四项技术来保证安全,这四项技术分别为隧道技术(Tunneling)、加解密技术(Encryption & Decryption)、密钥管理技术(Key Management)、认证技术(Authentication)。
隧道技术就是利用隧道协议对隧道两端的数据进行封装的技术,利用一种协议来传输另外一种协议的技术,共涉及三种协议,包括:乘客协议、隧道协议和承载协议,隧道协议可以分别是第二层或第三层隧道协议。第二层隧道协议是先把各种网络协议封装到PPP中,再把整个数据包装入隧道协议中;这种双层封装方法形成的数据包靠第二层协议进行传输;第二层隧道协议有L2F、PPTP、L2TP等。第三层隧道协议则借助于网络层协议来进行封装,典型代表是IPSec;IPSec本身不是隧道协议,但由于其提供的认证、加密功能适用于建立VPN环境,它既能提供LAN间VPN,也能提供远程访问型VPN。而MPLS VPN则是一种借助于标签交换技术,利用公用MPLS基础设施实现多个用户网络承载,是一种介于第二层和第三层之间的技术。
L2TP协议:
L2TP封装的乘客协议是位于第二层的PPP协议,如下图所示。

L2TP在数据传输过程中,并没有对数据进行加密。
IPSec协议:
IPSec只能工作在IP层,要求乘客协议和承载协议都是IP协议,如图所示。

IPSec在传输数据过程中,可以对被封装的数据包进行加密和摘要等,以进一步提高数据传输的安全性。
MPLS VPN:
MPLS VPN技术借助于一个公用的MPLS域,在入口边缘路由器为每个包加上MPLS标签,核心路由器根据标签值进行转发,出口边缘路由器再去掉标签,恢复原来的IP包,如下图所示。

MPLS标签位于二层和三层之间,其协议封装如下图所示。

(2)问题2分析
电子政务网络一般分为电子政务内网和电子政务外网,其中电子政务外网是一个非涉密性质的网络,可以借助于特定的安全手段,实现普通信息和敏感信息的传递,电子政务外网在实现部门和下级单位接入时,主要采用逻辑隔离方式接入,即指两个网络之间存在着受控的网络协议传递,信息借助于防火墙或者具有过滤功能的路由器实现交换的方式。
逻辑隔离接入方式适用于大多数部门,其内部网络为实现对内部信息与资源实施保护,在受控的情况下与外网进行连接。由于电子政务网络建设主要为政务信息资源目录体系、政务信息资源交换体系、各类电子政务应用系统提供运行和承载环境;在实现部门网络接入的同时,需要为信息和数据的交换提供有效的技术支撑;因此,部门网络借助于防火墙或路由器完成与电子政务外网主干的连接,通过受控的网络协议现信息交换。
传统意义上的部门逻辑接入方式如下图所示。

为完成各部门网络接入电子政务外网平台,必须配置特定的网络接入设备,这些设备主要包括接入路由器、防火墙、前置服务器、DMZ交换机等。
接入路由器:接入路由器是实现单位接入的关键设备,通过运行路由算法,保持和外网平台的连通性。
前置服务器:前置服务器是完成单位内部网络和外网平台数据交换的关键设备,通过前置数据库、交换中间件等实现数据的交换。
防火墙:防火墙是完成逻辑隔离的关键设备,其强大的过滤机制、DMZ区域设置等技术,保证了外网平台与单位网络之间的受控信息传递。
DMZ交换机:DMZ交换机用于扩展防火墙的DMZ区域,实现多台服务器在防火墙DMZ区域的接入。
(3)问题3分析
MPLS最初是用来提高路由器的转发速度而提出的一个协议,MPLS协议的关键是引入了标签(Label )交换概念;标签是一种短的,易于处理的,不包含拓扑信息,只具有局部意义的信息内容。
在MPLS网络中,IP包在进入第一个MPLS设备时,MPLS边缘路由器分析IP包的内容并且为这些IP包选择合适的标签;以后所有MPLS网络中节点都是依据这个标签作为转发依据;当IP包最终离开MPLS网络时,标签被边缘路由器分离。
MPLS在逻辑上可以分为LER(Label Switching Edge Router)和LSR(Label Switching Router);其中LER是MPLS网络同其他网络的边缘设备,它提供流量分类和标签映射,标签移除的功能;而LSR是MPLS网络的核心交换机,它提供标签交换,标签分发的功能。
作为一种高效的IP骨干网技术平台,MPLS为实现VPN提供了一种灵活的并且具有可扩展性的技术基础,并且具有网络配置简单、动态发现相邻节点、直接利用现有路由协议、具有良好的可扩展性等特点。
为支持基于MPLS的VPN特性必须实现如下功能:
· LDP(Label Distribution Protocol)标签分布协议,是MPLS的信令协议,用以管理和分配标签;
· MPLS转发模块,根据报文上的标签和本地映射表进行二、三层间交换;
· MBGP和BGP扩展,用来传递VPN路由和承载VPN属性、QoS信息、标签等内容;
· 路由管理的VPN扩展,建立多路由表,用以支持VPN路由。
在MPLS VPN的连接模型中,网络由运营商的骨干网与用户的各个Site组成,所谓VPN就是对Site集合的划分,一个VPN就对应一个由若干Site组成的集合。而MPLS VPN网络中的路由设备,也相应分为三类:
CE(Custom Edge)——用户Site中直接与服务提供商相连的边缘设备;
PE(Provider Edge)——骨干网中的边缘设备,它直接与用户的CE相连;
P 路由器(Provider Router)——骨干网中不与CE直接相连的设备。
 MPLS VPN的组成原理:  
(1)MPLS VPN的网络构造由服务提供商来完成。在这种网络构造中,由服务提供商向用户提供VPN服务,用户感觉不到公共网络的存在,就好像拥有独立的网络资源一样。
(2)同样,对于服务提供商骨干网络内部的 P 路由器,也就是不与CE 直接相连的路由器而言,也不知道有VPN的存在,仅仅负责骨干网内部的数据传输。但其必须能够支持MPLS协议,并使能该协议。
(3)所有的VPN的构建、连接和管理工作都是在PE上进行的。PE位于服务提供商网络的边缘,从PE的角度来看,用户的一个连通的IP 系统被视为一个Site,每一个Site通过CE与PE相连,Site是构成VPN的基本单元。
(4)一个VPN是由多个Site组成的,一个Site也可以同时属于不同的VPN。属于同一个VPN的两个Site通过服务提供商的公共网络相连,VPN数据在公共网络上传播,必须要保证数据传输的私有性和安全性。也就是说,从属于某个VPN的Site发送出来的报文只能转发到同样属于这个VPN的Site里去,而不能被转发到其他Site中去。
(5)同时,任何两个没有共同的Site的VPN都可以使用重叠的地址空间,即在用户的私有网络中使用自己独立的地址空间,而不用考虑是否与其他VPN或公网的地址空间冲突。所有这些就都需要依赖于VRF(VPN Routing & Forwarding Instance)。

第 2 题

阅读以下关于某长江沿线企业广域网络整合改造的需求,回答问题1、问题2和问题3。
【说明】
长江沿线某物流企业A与B并购后组织机构合并,在此情况下,原有两个单位的信息网络的融合成为迫在眉睫的任务。在机构融合前,两个单位各自都有独立的广域网络:A企业广域网覆盖重庆至上海,共1个核心节点(武汉长江南岸,100个用户)、6个二级节点(30个用户)和23个三级节点(9个用户);B企业广域网覆盖重庆至芜湖,共1个核心节点(武汉长江北岸,150个用户)、11个分支核心节点(11个用户,包含A企业的二级节点)、200多个扫描接入点(2个终端)。两个广域网的主要传输通道都是通过A企业自建的SDH网络:A企业广域网一二级节点间是155MPOS互联,二三级节点间采用10M MSTP 或2M电路互联,少数链路为40M MSTP;B企业广域网核心和分支机构的互联采用30-50M MSTP互联,少数节点采用4个2M捆绑的电路连接。(注:所有MSTP电路使用仅用于实现二三级节点的点对点连接)
A企业广域网承载着办公、视频监控、软交换、视频会议、广播控制系统等业务;B企业广域网承载着办公,视频会议,数十个安全监管业务系统,CCTV、GPS等物流监管系统等业务系统。
机构融合后,两个广域网再没有独立运行的必要了,因此要将两个广域网合并成一个网络,清理网络资产、简化网络结构(减少二级节点数量)、优化路由,使网络安全、高效、可靠、易维护、易管理。A企业广域网络结构如图2-1所示:

图2-1  A企业广域网结构

B企业广域网络结构如图2-2所示。

图2-2  B企业广域网结构

【问题1】(10分)  
在不增加新设备、新链路的情况下,针对现有物理设备及线路给出整合解决方案的整体思路。要求:
(1)整合后的企业网络采用层次化设计、简化拓扑,实现核心节点、线路N+1冗余;
(2)整合后企业网络的二级节点包括重庆、万州、宜昌、芜湖、南京、上海以及位于武汉的“培训中心”和“武汉分支管理处”。
【问题2】(8分)
原A企业服务器地址采用172.16.1.0/24一个C类地址段,原B企业服务器地址采用192.168.0.0/24、192.168.1.0/24两个C类地址段。AB两企业用户地址和网络设备地址都采用10.0.0.0/8地址。要求在不影响业务的情况下采用层次化的地址分配方案合理规划地址(禁止使用NAT技术),并提供地址切换解决方案。 
【问题3】(7分)
原A企业采用OSPF作为路由协议,协议进程规划为1,二级节点作为area0边界且往下分别归属于不同的area。原B企业采用OSPF作为路由协议,协议进程规划为10,分支节点作为area0边界且往下分别归属于不同的area。合并前AB两企业之间采用静态路由连接。要求提供两种基于OSPF协议的路由整合方案思路,并比较两种整合思路的优缺点。

答案与解析

  • 试题难度:较难
  • 知识点:案例分析>路由规划管理
  • 试题答案:

    【问题1】(10分) 
    解决方案的整体思路:
    (1)武汉的核心路由设备迁移到一个核心机房,并迁移原有与二级设备的链路;
    (2)所有服务器、核心交换机迁移到武汉的核心机房,并实现服务器区与两台核心交换机的默认网关冗余;
    (3)统一采用二级、三级节点方式,打乱原有连接方式;对八个二级节点以外的节点都降级为三级节点;对原A企业三级节点、B节点分扫描接入点采用就近接入原则或者就近线路迁移原则,形成三级网络结构;
    (4)原有155M线路作主用,30M线路作备用。
    【问题2】(8分) 
    地址切换解决方案:

    1. 所有核心设备整合到一个机房后,在服务器区划分三个或多个VLAN,使原有服务器网段地址不作修改,以保障业务系统的正常使用。
    2. 用户地址进行统一规划,采用先横向再纵向的方式对各单位进行地址分配,各单位进行地址分配时对地址进行合理预留,以满足后期扩展。并采用DHCP技术自动分配业务地址。
    3. 设备管理地址采用32位掩码、属于单一地址段的地址进行全网统一规划,设备互联地址采用30位掩码的地址进行全网统一规划。
      【问题3】(7分) 
      路由整合方案:
      路由整合方案一 :整合所有路由器到一个OSPF体系中,所有核心设备规划到核心区域AREA 0中,其他节点按归属划分到不同的区域中。
      路由整合方案二 :采用多进程OSPF技术,将原有两个单位的OSPF启用两个不同的进程,再进行路由的相互导入。
      路由整合方案比较:
      第一种方案较优,能使整个网络中的路由更加清晰,区域的划分更加合理,并能有效的进行路由汇总。
      第二种方案通常是网络整合中的过渡性方案,实际上在网络中存在两个路由体系,借助于路由体系之间的路由引入而形成互连互通,因此形成的最短路径并不是真正意义上的最短路径,并且会影响路由收敛效率。</p>

  • 试题解析:

    本题涉及网络升级改造、性能优化等方面的内容。
    (1)问题1分析
    在进行企业网络整合改造之前,必须明确企业网络的现状,包括以下内容:
    · 待整合网络的网络结构;
    · 各网络节点的设备清单;
    · 设备接口及连接情况;
    · 待整合网络IP地址规划;
    · 待整合网络路由规划。
    在了解了网络现状之后,应制定网络整合的整体目标,本题中网络改造的整体目标是原有长江沿线的物流企业A和B网络合并为一个网络,建设完成一地一中心、结构层次化网络,为物流企业日常办工及各应用系统提供快捷、可靠、稳定的统一的网络平台。
    为实现网络整合的整体目标,还需要对网络平台的需求进行分析,需要包括以下内容:
    · 业务需求分析,主要包括网络需要承载的业务系统;
    · IT资源利用分析,包括线路资源、网络设备资源、IP地址资源;
    · 整合后的网络结构分析;
    · 整合后的网络路由规划分析;
    · 改造的可行性分析,包括必要性、技术可行性、风险性等;
    基于以上分析,形成整合改造方案。在本题中,可以采用如下的整体思路:
    · 武汉的核心路由设备迁移到一个核心机房,并迁移原有与二级设备的链路;
    · 所有服务器、核心交换机迁移到武汉的核心机房,并实现服务器区与两台核心交换机的默认网关冗余;
    · 统一采用二级、三级节点方式,打乱原有连接方式;对八个二级节点以外的节点都降级为三级节点;对原A企业三级节点、B节点分扫描接入点采用就近接入原则或者就近线路迁移原则,形成三级网络结构;
    · 原有155M线路作主用,30M线路作备用。
    最终可以形成新的网络结构如下图所示。

    (2)问题2分析
    整合改造方案中,IP地址规划是一个关键性问题,整合后的IP地址规划应依据科学性、系统性、完整性及可扩展性的代码分类原则,同时还应考虑如下思路。
    · IP地址资源以地域划分、行政隶属关系和业务种类为层次,分割为大小不同、用途各异的地址块单元;
    · 实现地址的层次化划分,以利于路由信息的聚合,减少路由表长度;
    · 充分利用网络地址资源和信息资源,可根据实际需要分配地址,避免不必要的地址空间的浪费;
    · 地址分配应简单、易于管理,降低网络扩展的复杂性,减少路由表的路由条数;
    · 地址分配在每一个层次都要留有余量,在网络规模扩展时能保证地址叠合所需的连续性;
    · 地址分配应具有灵活性,以满足各种路由策略的优化,充分利用地址空间;
    · 便于制定统一的网络管理策略,实现统一的网络管理;
    · 便于网络安全策略的实现;
    · 为不同地域间的信息交换设计出优良的稳定网络的IP地址编码规范;
    · 各局域网内不同类型的应用必须使用不同子网的IP地址,以便于不同的应用使用不同的路由策略。
    针对A、B企业服务器地址段不同,但是用户地址和网络设备地址段重复的现状,可以采用如下的地址切换解决方案,以实现平滑过渡:
    · 所有核心设备整合到一个机房后,在服务器区划分三个或多个VLAN,使原有服务器网段地址不作修改,以保障业务系统的正常使用;
    · 用户地址进行统一规划,采用先横向再纵向的方式对各单位进行地址分配,各单位进行地址分配时对地址进行合理预留,以满足后期扩展。并采用DHCP技术自动分配业务地址;
    · 设备管理地址采用32位掩码、属于单一地址段的地址进行全网统一规划,设备互联地址采用30位掩码的地址进行全网统一规划。
    (3)问题3分析
    OSPF支持多进程,在同一台路由器上可以运行多个不同的OSPF进程,它们之间互不影响,彼此独立。不同OSPF进程之间的路由交互相当于不同路由协议之间的路由交互。路由器的一个接口只能属于某一个OSPF进程。
    问题3是一个较为典型的案例,待整合的网络都采用OSPF作为路由协议,只是OSPF进程号不同;在进行网络整合的路由规划时,可以采用两种思路:一是在整合后的网络中只存在一个OSPF体系,所有路由器都使用相同的OSPF进程号;二是所有路由器的原有OSPF进程号不发生改变,在整合后的网络中存在两个OSPF体系,两个OSPF体系之间采用路由引入,使得所有路由器之间可以互访。

第 3 题

阅读以下关于某企业内部网络系统的叙述,回答问题1、问题2和问题3。
某企业网络拓扑结构如图3-1所示。根据企业要求实现负载均衡和冗余备份,构建无阻塞高性能网络的建设原则。该企业网络采用两台S7606万兆骨干路由交换机作为双核心,部门交换机S2924G通过光纤分别与两台核心交换机相连,通过防火墙和边界路由器与Internet相连。S7606之间相连的端口均为Trunk端口,S7606与S2924G之间相连的端口也均为Trunk端口。
部分PC机IP信息及所属VLAN如表3-1所示。



图3-1  某企业网络拓扑结构

【问题1】(9分)
四台交换机都启用了MSTP生成树模式,其中S7606-1的相关配置如下:
S7606-1(config)#spanning-tree mst 1 priority 4096 /缺省值是32768

S7606-1 (config)#spanning-tree mst configuration
S7606-1 (config-mst)#instance 1 vlan 10,12
S7606-1 (config-mst)#instance 2 vlan 9,11
S7606-1 (config-mst)#name region1
S7606-1 (config-mst)#revision 1
S7606-2的相关配置如下:
S7606-2 (config)#spanning-tree mst 2 priority 4096
S7606-2 (config)#spanning-tree mst configuration
S7606-2 (config-mst)#instance 1 vlan 10,12
S7606-2 (config-mst)#instance 2 vlan 9,11
S7606-2 (config-mst)#name region1

S7606-2 (config-mst)#revision 1 
两台S2924G交换机也配置了相同的实例、域名称和版本修订号。
(1)请问instance 2的生成树的根交换机是哪一台?为什么?
(2)就instance 1而言,交换机S2924G-1的根端口是哪个端口?为什么?
(3)请指出PC1发给PC5的数据包经过的设备路径。
【问题2】(8分)
在三层交换机S7606-1中VLAN 10的IP地址配置为202.10.10.1/24,VLAN 11的IP地址配置为202.10.11.254/24。
在三层交换机S7606-2中VLAN 10的IP地址配置为202.10.10.254/24,VLAN 11的IP地址配置为202.10.11.1/24。两台三层交换机中的VRRP配置如下:
S7606-1(config)# interface Vlan 10

S7606-1 (config-if)# vrrp 10 ip 202.10.10.1
S7606-1 (config-if)# vrrp 10 preempt
S7606-1 (config)# interface Vlan 11
S7606-1 (config-if)# vrrp 11 ip 202.10.11.1
S7606-2 (config)# interface Vlan 10
S7606-2 (config-if)# vrrp 10 ip 202.10.10.1
S7606-2 (config)# interface Vlan 11
S7606-2 (config-if)# vrrp 11 ip 202.10.11.1

S7606-2 (config-if)# vrrp 11 preempt
(1)PC2主机中设置的网关IP为202.10.10.1,在网络正常运行的情况下,请按照以下格式写出PC2访问Internet的数据转发路径。(格式:PC2—>设备1—>……—>Internet。不写返回路径)
(2)假设三层交换机S7606-1需要临时宕机1小时进行检修及升级操作系统。
请问这1小时时段内PC2在没有修改网关IP地址的情况下,是否能访问Internet?请结合交换机S7606-1宕机后发生的变化说明原因。
【问题3】(8分)
企业内部架设有无线局域网,并采用了802.1X认证,用户名和密码存放在Radius服务器的数据库中。无线路由器Wirelessrouter1支持802.1x协议,请回答以下问题:
(1)在图3-2所示的认证过程中,客户端向无线路由器发送的是什么帧?无线路由器向Radius服务器发送的是什么报文?
(2)在无线路由器中需要配置哪些与Radius Server相关的信息?
(3)如果无线路由器不支持802.1X认证,为满足无线用户必须经过认证才能上网的需求,能否在上层交换机中启用802.1X,并将端口设置为启用dot1x认证?请简要说明理由。

答案与解析

  • 试题难度:较难
  • 知识点:案例分析>企业网络规划
  • 试题答案:

    【问题1】(9分)
    (1)instance 2的生成树的根交换机是S7606-2,因为其优先级的值较小,优先成为该实例的根交换机。
    (2)对instance 1而言,交换机S2924G-1的根端口是Gig2/1端口,因为instance 1的生成树的根交换机是S7606-1,交换机S2924G-1离根桥最近的端口为根端口。
    (3)PC1--> S2924G-1-->S7606-2-->S2924G-2-->PC5 
    【问题2】(8分)
    (1)在网络正常运行的情况下,PC2访问Internet的数据转发路径为:
    PC2—>S2924G-1—>S7606-1—>防火墙—>边界路由器—>Internet(2分)
    (2)能访问Internet(2分)
    (3)虚拟路由冗余协议VRRP是用于实现路由器冗余的协议,对共享多存取访问介质(如以太网)上终端IP设备的默认网关(Default Gateway)进行冗余备份,从而在其中一台路由设备宕机时,备份路由设备及时接管转发工作,向用户提供透明的切换,提高了网络服务质量。
    根据给出的配置可知,在网络正常情况下,VRRP组10的主控路由器是S7606-1,备份路由器是S7606-2。当交换机S7606-1宕机后,经过主路由器失效间隔时间后,备份路由器会自动切换为主控路由器,整个过程对用户是透明的,因此客户机并不需要修改网关IP,仍可以连接Internet。(4分)
    【问题3】(8分)
    (1)客户端向无线路由器发送的是EAPoL(Extensible Authentication Protocol over LAN)帧;无线路由器向Radius服务器发送的是EAP over RADIUS报文,因为认证系统将EAP帧封装到RADIUS报文中发送给认证服务器。(2分)
    (2)在无线路由器中需要配置的Radius Server信息有:IP地址、认证和授权端口(只写端口也可以)、与RADIUS服务器一致的密钥。(3分)
    (3)如果无线路由器不支持802.1X认证,可以在上层交换机中启用802.1X,并将端口设置为启用dot1x认证。但注意上层交换机下联无线路由器的802.1x端口认证模式应设置为 mac-based。这样接入物理端口的所有主机都需要进行认证才能访问网络资源。当某用户下线时,将不影响其它用户的认证状态,其它用户还可以继续访问网络。(3分)

  • 试题解析:

    【问题1】(9分)
    本题主要考查STP、MSTP和PVST/PVST+相关知识点。MSTP(multiple spanning tree protocol,多生成树协议)将环路网络修剪成为一个无环的树型网络,避免报文在环路网络中的增生和无限循环,同时还提供了数据转发的多个冗余路径,在数据转发过程中实现VLAN数据的负载均衡。MSTP兼容STP和RSTP,并且可以弥补STP和RSTP的缺陷。它既可以快速收敛,也能使不同VLAN的流量沿各自的路径分发,从而为冗余链路提供了更好的负载分担机制。
    MST域(multiple spanning tree regions,多生成树域)是由交换网络中的多台交换机以及它们之间的网段构成。这些交换机都启动了MSTP、具有相同的域名、相同的VLAN到生成树映射配置和相同的MSTP修订级别配置,并且物理上有链路连通。
    一个交换网络可以存在多个MST域。用户可以通过MSTP配置命令把多台交换机划分在同一个MST域内。域内所有交换机都有相同的MST域配置:域名相同region1,VLAN与生成树的映射关系相同(VLAN 10和VLAN 12映射到生成树实例1,VLAN 9和VLAN 11映射到生成树实例2)。
    在本题中,配置S7606-1交换机在instance 1中的优先级为4096,缺省是32768,值越小越优先成为该instance中的根交换机。同理,instance 2的生成树的根交换机是S7606-2,因为其优先级的值较小,优先成为该实例的根交换机。
    对instance 1而言,交换机S2924G-1的根端口是Gig2/1端口,因为instance 1的生成树的根交换机是S7606-1,交换机S2924G-1离根桥最近的端口为根端口。
    PC1和PC5都属于VLAN 9,同时VLAN 9被映射到实例2,由于实例2生成树的根交换机是S7606-2,根据生成树算法,对实例2而言,S2924G-1的根端口是Gig2/2,S2924G-2的根端口也是Gig2/2。因此PC1到PC5的传输路径是PC1→ S2924G-1 (Gig2/2)→S7606-2→ S2924G-2(Gig2/2)→PC5
    MSTP与PVST/PVST+之间的区别:
    每个VLAN都生成一棵树是一种比较直接,而且最简单的解决方法。它能够保证每一个VLAN都不存在环路。但是由于种种原因,以这种方式工作的生成树协议并没有形成标准,而是各个厂商各有一套,尤其是以Cisco的VLAN生成树PVST(Per VLAN Spanning Tree)为代表。
    为了携带更多的信息,PVST BPDU的格式和STP/RSTP BPDU格式已经不一样,发送的目的地址也改成了Cisco保留地址01-00-0C-CC-CC-CD,而且在VLAN Trunk的情况下PVST BPDU被打上了802.1Q VLAN标签。所以,PVST协议并不兼容STP/RSTP协议。
    Cisco很快又推出了经过改进的PVST+协议,并成为其交换机产品的默认生成树协议。经过改进的PVST+协议在VLAN 1上运行的是普通STP协议,在其他VLAN上运行PVST协议。PVST+协议可以与STP/RSTP互通,在VLAN 1上生成树状态按照STP协议计算。在其他VLAN上,普通交换机只会把PVST BPDU当作多播报文按照VLAN号进行转发。但这并不影响环路的消除,只是有可能VLAN 1和其他VLAN的根桥状态可能不一致。由于每个VLAN都有一棵独立的生成树,单生成树的种种缺陷都被克服了。同时,PVST带来了新的好处,那就是二层负载均衡。
    PVST/PVST+协议也有它的明显不足:(1)由于每个VLAN都需要生成一棵树,PVST BPDU的通信量将正比于Trunk的VLAN个数。(2)当VLAN个数比较多时,维护多棵生成树的计算量和资源占用量将急剧增长。特别是当Trunk了很多VLAN的接口状态发生变化的时候,所有生成树的状态都要重新计算,CPU将不堪重负。(3)由于协议的私有性,PVST/PVST+不能像STP/RSTP一样得到广泛的支持,不同厂家的设备并不能在这种模式下直接互通。
    多生成树协议MSTP(Multiple Spanning Tree Protocol)是IEEE 802.1s中定义的一种新型多实例化生成树协议。MSTP协议的精妙之处在于把支持MSTP的交换机和不支持MSTP交换机划分成不同的区域,分别称作MST域和SST域。在MST域内部运行多实例化的生成树,在MST域的边缘运行RSTP兼容的内部生成树IST(Internal Spanning Tree)。
    MSTP定义了“实例”(Instance)和域的概念。简单的说,STP/RSTP是基于端口的,PVST/PVST+是基于VLAN的,而MSTP就是基于实例的。所谓实例就是多个VLAN的一个集合,通过将多个VLAN捆绑到一个实例可以节省通信开销和资源占用率。
      MSTP带来的好处是显而易见的。它既有PVST的VLAN认知能力和负载均衡能力,又拥有可以和SST媲美的低CPU占用率。
    【问题2】(8分)
    本题主要考查VRRP相关知识点。
    VRRP(Virtual Router Redundancy Protocol,虚拟路由冗余协议)是一种容错协议。通常,一个网络内的所有主机都设置一条缺省路由,这样,当主机发出数据包的目的地址不在本网段时,报文将被通过缺省路由发往网关路由器,从而实现了主机与外部网络的通信。当某网络的默认网关(路由器)坏掉时,本网段内所有主机将不能与外部网络通信。VRRP 就是为解决这一严重问题而提出的,它为具有多播或广播能力的局域网设计。VRRP 将局域网的一组路由器(包括一个Master 即主控路由器和若干个Backup 即备份路由器)组织成一个虚拟路由器,称之为一个备份组。
    在VRRP协议中,有两组重要的概念:VRRP路由器和虚拟路由器,主控路由器和备份路由器。VRRP路由器是指运行VRRP的路由器,是物理实体,虚拟路由器是指VRRP协议创建的,是逻辑概念。一组VRRP路由器协同工作,共同构成一台虚拟路由器。该虚拟路由器对外表现为一个具有唯一固定IP地址和MAC地址的逻辑路由器。处于同一个VRRP组中的路由器具有两种互斥的角色:主控路由器和备份路由器,一个VRRP组中有且只有一台处于主控角色的路由器,可以有一个或者多个处于备份角色的路由器。VRRP协议使用选择策略从路由器组中选出一台作为主控,负责ARP相应和转发IP数据包,组中的其他路由器作为备份的角色处于待命状态。当由于某种原因主控路由器发生故障时,备份路由器能在几秒钟的时延后升级为主路由器。由于此切换非常迅速而且不用改变IP地址和MAC地址,故对终端使用者系统是透明的。 

    一个VRRP路由器有唯一的标识:VRID,范围为0—255。该路由器对外表现为唯一的虚拟MAC地址,地址的格式为00-00-5E-00-01-[VRID]。主控路由器负责对ARP请求用该MAC地址做应答。这样,无论如何切换,保证给终端设备的是唯一一致的IP和MAC地址,减少了切换对终端设备的影响。
    VRRP控制报文只有一种:VRRP通告(advertisement)。它使用IP多播数据包进行封装,组地址为224.0.0.18,发布范围只限于同一局域网内。这保证了VRID在不同网络中可以重复使用。为了减少网络带宽消耗只有主控路由器才可以周期性的发送VRRP通告报文。备份路由器在连续三个通告间隔内收不到VRRP或收到优先级为0的通告后启动新的一轮VRRP选举。
    在VRRP路由器组中,按优先级选举主控路由器,VRRP协议中优先级范围是0—255。若VRRP路由器的IP地址和虚拟路由器的接口IP地址相同,则称该虚拟路由器作VRRP组中的IP地址所有者;IP地址所有者自动具有最高优先级:255优先级0一般用在IP地址所有者主动放弃主控者角色时使用。可配置的优先级范围为1—254。优先级的配置原则可以依据链路的速度和成本、路由器性能和可靠性以及其他管理策略设定。主控路由器的选举中,高优先级的虚拟路由器获胜,因此,如果在VRRP组中有IP地址所有者,则它总是作为主控路由的角色出现。对于相同优先级的候选路由器,按照IP地址大小顺序选举。VRRP还提供了优先级抢占策略,如果配置了该策略,高优先级的备份路由器便会剥夺当前低优先级的主控路由器而成为新的主控路由器。

    为了保证VRRP协议的安全性,提供了两种安全认证措施:明文认证和IP头认证。明文认证方式要求:在加入一个VRRP路由器组时,必须同时提供相同的VRID和明文密码。适合于避免在局域网内的配置错误,但不能防止通过网络监听方式获得密码。IP头认证的方式提供了更高的安全性,能够防止报文重放和修改等攻击。
    在本小题中,在两台S7606中都配置了两个虚拟备份组,虚拟备份组10的ip地址为202.10.10.1/24;虚拟备份组11的ip地址为202.10.11.1/24。虚拟备份组10为VLAN 10中的主机提供了网关冗余,虚拟备份组11为VLAN 11中的主机提供了网关冗余。
    由于VRRP路由器S7606-1的IP地址和虚拟备份组10的IP地址相同,因此其具有最高优先级,成为虚拟备份组10的主控路由器,S7606-2为虚拟组10的备份路由器。
    在网络正常运行的情况下,主机PC2访问Internet的数据转发路径为:PC2—>S2924G-1—>S7606-1—>防火墙—>边界路由器—>Internet。
    当路由器S7606-1宕机后,PC2不用修改网关IP地址,可以访问Internet。因为当虚拟备份组10的备份路由器S7606-2在数秒之内没有收到主控路由器的通告,会认为主控路由器失效,自动启动切换,成为主控路由器,响应对虚拟IP地址的ARP请求,并且响应的是虚拟MAC地址,而不是接口的真实MAC地址。同时负责转发目的MAC地址为虚拟MAC地址的IP报文,这样就保证了对客户透明的网关切换。

    【问题3】(8分)
    IEEE  802.1X是根据用户ID或设备,对网络客户端(或端口)进行鉴权的标准。该流程被称为“端口级别的鉴权”。它采用RADIUS(远程认证拨号用户服务)方法,并将其划分为三个不同小组:请求方、认证方和授权服务器。802.1X标准应用于试图链接到端口或其他设备(如Cisco Catalyst交换机或Cisco Aironet系列接入点)(认证方)的终端设备和用户(请求方)。认证和授权都通过鉴权服务器(如Cisco Secure ACS)后端通信实现。IEEE  802.1X提供自动用户身份识别,集中进行鉴权、密钥管理和LAN连接配置。整个802.1x的实现设计三个部分,请求者系统、认证系统和认证服务器系统。

    请求者是位于局域网链路一端的实体,由连接到该链路另一端的认证系统对其进行认证。请求者通常是支持802.1x认证的用户终端涉笔,用户通过启动客户端软件发起802.1x认证。认证系统对连接到链路对端的认证请求者进行认证。认证系统通常为支持802.1x协议的网络设备,它为请求者提供服务端口,该端口可以是物理端口也可以是逻辑端口,一般在用户接入设备(如LAN Switch和AP)上实现802.1x认证。请求者和认证系统之间运行802.1x定义的EAPoL(Extensible Authentication Protocol over LAN)协议。当认证系统工作于中继方式时,认证系统与认证服务器之间运行EAP协议,EAP帧中封装认证数据,将该协议承载在其他高层次协议中(如 RADIUS),以便穿越复杂的网络到达认证服务器;当认证系统工作于终结方式时,认证系统终结EAPoL消息,并转换为其他认证协议(如RADIUS),传递用户认证信息给认证服务器系统。认证系统每个物理端口内部包含有受控端口和非受控端口,非受控端口始终处于双向连通状态,主要用来传递EAPoL协议帧,可随时保证接收认证请求者发出的EAPoL认证报文;受控端口只有在认证通过的状态下才打开,用于传递网络资源和服务。

    在无线路由器中需要配置的Radius Server信息有:IP地址、认证和授权端口(只写端口也可以)、与RADIUS服务器一致的密钥。
    Radius是remote authentication dial­-in user service(远程认证拨号用户服务)的简称,作为一种分布式的客户机/服务器系统,能提供AAA功能。Radius技术可以保护网络不受未授权访问的干扰,常被用在既要求较高安全性、又要求维持远程用户访问的各种网络环境中(如用来管理使用串口和调制解调器的大量分散拨号用户)。
    Radius服务包括三个组成部分:
    a、协议:rfc2865、2866协议基于udp/ip层定义了Radius帧格式及消息传输机制,并定义了1812作为认证端口,1813作为计费端口。b、服务器:Radius服务器运行在中心计算机或工作站上,包含了相关的用户认证和网络服务访问信息。c、客户端:位于拨号访问器nas(network access server)侧,可以遍布整个网络。
    Radius基于客户/服务器模型,nas(如路由器)作为Radius客户端,负责传输用户信息到制定的Radius服务器,然后根据从服务器返回的信息进行相应处理(如接入/挂断用户)。Radius服务器负责接收用户连接请求,认证用户,然后给nas返回所有需要的信息。Radius服务器对用户的认证过程通常需要利用nas等设备的代理认证功能,Radius客户端和Radius服务器之间通过共享密钥认证相互间交互的消息,用户密码采用密文方式在网络上传输,增强了安全性。Radius协议合并了认证和授权过程,即响应报文中携带了授权信息。题中无线路由器即为nas,要使得它能与Radius服务器正常通信,根据上述原理,在无线路由器中需要配置Radius服务器的IP地址、认证和授权端口、与RADIUS服务器一致的密钥。
    如果无线路由器不支持802.1X认证,只要在上层交换机中启用802.1X,并将端口设置为启用dot1x认证,就可以达到通过Radius服务器进行验证的功能。这种方式有两种认证模式:port-based和mac-based。port-based模式下,只要物理端口下的第一个用户认证成功后,其他接入该端口的用户无需认证就可以访问网络资源,当第一个用户下线后,端口被“关闭”其他用户也会被阻止访问网络。而在mac-based模式下,接入物理端口的所有主机都需要进行认证才能访问网络资源。当某用户下线时,将不影响其它用户的认证状态,其他用户还可以继续访问网络。如果端口通过交换机接入了多台主机,那么为了使每台主机都要进行认证,应使用此认证模式。

results matching ""

    No results matching ""