计算机学习网-【computerpx】

招生咨询电话与微信:15225191462(周老师)
计算机学习网,我命由我不由天,学IT技术,做更好的自己

首页 > 电脑教程/ 正文

网络规划案例

2014-11-07 17:06:52 www.computerpx.com

 某学校在原校园网的基础上进行网络改造,网络方案如图10-30所示。其中网管中心位于办公楼第三层,采用动态及静态结合的方式进行IP地址的管理和分配。

    I问题1)

    设备选型是网络方案规划设计的一个重要方面,请用基本原则。

    [问题2]

    从下表中为图10-30(1)~(5)处选择合适设备,200字以内文字简要叙述设备选型的

将设备名称写在答题纸的相应位置。

[问题3]

为图10-30(6)~(9)处选择介质,填写在答题纸的相应位置。

    备选介质:

    千兆双绞线 百兆双绞线 双千兆光纤链路 千兆光纤

    [问题4]

请用200.字以内文字简要叙述针对不同用户分别进行动态和静态IP地址配置的优点,并说明图中的服务器以及用户采用哪种方式进行IP地址配置。

    [问题5]

    通常有恶意用户采用地址假冒方式进行盗用)P地址,可以采用什么策略来防止静态〕地址的盗用?

    [问题6]

    (1)10-30中区域A是什么区?(请从以下选择)

        A.服务区B. DMZC.堡垒主机D.安全区

    (2)学校网络中的设备或系统有存储学校机密数据的服务器、邮件服务器、存储资源代码的PC、应用网关、存储私人信息的PC和电子商务系统等,这些设备哪些应放在区域A中,哪些应放在内网中?请简要说明。

1.案例分析

    (1)本案例的问题I主要是考查网络设备选型方面的知识。一般而言,在选择网络设备时

应当遵循以下原则。

    ①可靠性。由于升级的往往是核心和骨干网络,其重要性不言而喻,一旦瘫痪则影响巨

大。因此,必须将可靠性放在第一位,无论是品牌的选择,还是设备的配置,都将可靠性作为第一考虑。

②性能。作为骨干网络节点,中心交换机、汇聚交换机必须能够提供完全无阻塞的多层交换性能,以保证业务的顺畅。

    ③可管理性。一个中大型网络可管理程度的高低直接影响着运行成本和业务质量.因此,

所有的节点都应是可网管的,而且需要有一个强有力且简洁的网络管理系统,能够对网络的业务流量、运行状况等进行全方位的监控和管理。

    ④灵活性和可扩展性。由于校园网络结构复杂,需要交换机能够持续全系列接口,例如

光口和电口、百兆、千兆和万兆端口,以及多模光纤接口和长距离的单模光纤接口等。其交换结构也应能根据网络的扩容灵活地扩大容量。其软件应具有独立知识产权、应保证其后续研发和升级,以保证对未来新业务的支持。

    ⑤安全性。随着网络的普及和发展,各种各样的攻击也在威胁着网络的安全。不仅仅是

接入交换机,骨干层次的交换机也应考虑到安全防范的问题,例如访问控制、带宽控制等,从而有效控制不良业务对整个骨干网络的侵害。

    QoS控制能力.随着网络上多媒体业务流(语音、视频等)越来越多,人们对核心交

换节点提出了更高的要求,不仅要能进行一般的线速交换,还要能根据不同业务流的特点,对它们的优先级和带宽进行有效的控制,从而保证重要业务和时间敏感业务的顺畅。

    ⑦标准性和开放性。由于网络往往是一个具有多种厂商设备的环境,因此,所选择的设

备必须能够支持业界通用的开放标准和协议,以便能够和其他厂商的设备有效地互通。

    ⑧性价比。在满足网络需求和网络应用的基础上,还应当充分考虑设备的性价比,以达

到最大的投资回报率。

    (2)问题2要求考生掌握网络方案设计中设备部署的相关知识,从表中关于路由器设备的性能描述“固定的广域网接口+可选广域网接口”可知,图10-30中空(I)处的网络设备应选择路由器(Router 1),通过Routerl的广域网接口连接到Internet。根据交换容量、包转发能力、可支持接口类型和电源冗余模块等方面对比表中交换机设备Switch!  Switch2, Switch3可知,设备Switch l的性能和可靠性最好,设备Switch2的性能次之,设备Switch3的性能稍差一些。仔细分析该校园网的拓扑结构,可知空(2)处的网络设备是校园网的核心层,它必须提供稳定可靠的高速交换,并且能够连接各种接口类型,因此空(2)处的设备应为Switch 1 e

    (3)处的网络设备至少需要提供一个百兆汗兆电口用于连接至防火墙的DMZ接口,

若干个快速以太网电口或光口用于连接服务器组、用户管理器和网络管理工作站。表中关于交换机设备Switch2的性能描述“可支持接口类型:GE, 20/千兆自适应电口”信息可满足以上网络连接要求,因此空(3)处的网络设备应选择交换机Switch2

    从空(4)和空(5)的位置可知,该设备位于汇聚层。考虑到综合布线系统中各大楼建筑

物之间通常采用光纤作为传输介质,结合表中关于交换机设备Switch3的性能描述“可支持接口类型:FE, GE, 24千兆光口”信息可知,空(4)和空(5)处的网络设备应选择交换机Switch3 e

    (3)问题3要求考生掌握网络方案设计中传输介质选择的相关知识。

    IEEE 802.3ad工作组制定的链路聚合(Port Thinking)技术支持IEEE 802.3协议,是一

种用来在两台核心交换机之间扩大通信吞吐量、提高可靠性的技术。该技术可使交换机之间连接最多4条负载均衡的冗余连接。核心交换机之间采用双千兆光纤结构,可以保证在任何时刻任意一条链路出现故障时,在极短时间内自动切换到另一条链路上,从而排除单点故障。在图10-30所示拓扑结构中,新的核心层交换机与原校园网的连接介质应该采用双千兆光纤链路以提高可靠性。

    结合工程经验可知,在层次化网络方案设计时,综合考虑到网络应用涉及到数据、音频、

视频传输,为保证传输带宽和质量,核心层交换机与各层交换机的连接介质一般应采用千兆光纤,即空((7)处的传输介质可选择“千兆光纤’,。

    根据上面的分析可知,空(3)处的交换机Switch2可支持千兆以太网(GE)接口类型,

且有20个百;口千兆自适应电口。综合考虑到与Switch2交换机相连接的服务器组要求较高的通信性能,因此空(8)处的传输介质可选择“千兆双绞线”。空(9)处的传输介质用于连接

网管工作站,一般与交换机设备距离不会超过loom,并且对传输速率和服务质量没有太高要求,因此空((9)处的传输介质可选择“百兆双绞线”。

    (4)本问题比较简单,一方面是考查静态IP地址和动态IP地址的区别,另一方面是考查

哪些设备应配置静态IP地址,哪些设备适宜采用动态分配IP地址。:

    采用静态IP地址配置方案时,每个用户都有自己独立且固定的IP地址。通常企业网或校园网中的路由器、交换机、防火墙、各种应用服务器、网络管理工作站、网络打印机等应采用静态IP地址分配。因此,本小题邮件服务器、网管PC需采用静态IP地址。

由于D,地址资源的宝贵性,加上用户上网时间和空间的离散性,采用动态IP地址配置方案为用户分配一个临时的护地址,一方面可避免IP地址资源的浪费,另一方面对用户透明,不需要在每台用户计算机上配置IP参数,比较简单方便。这种配置方案增加了用户接入的灵活性,适合于客户端的接入场景,因此学生PC最好采用动态I1地址。

 (5)本小题要求考生掌握防止静态IP地址盗用的相关知识。IP地址的修改非常容易,而

MAC地址存储在网卡的EEPROM中,而且网卡的MAC地址是唯一确定的。因此,为了防止内部人员进行非法IP盗用(例如盗用权限更高人员的IP地址,以获得权限外的信息),可以将内部网络的IP地址与MAC地址绑定,盗用者即使修改了IP地址,也因MAC地址不匹配而盗用失败。

(6)本小题要求考生掌握防火墙DMZ区概念以及服务器部署的相关知识。防火墙中的DMZ区也称为非武装区域,允许外网的用户有限度地访问其中的资源。通常,DMZ区的安全规则如下。

①允许外部网络用户访问DMZ区的面向外网的应用服务(Web, FT?BBS)

②允许DMZ区内的应用服务器及工作站访问Internet.

 ③禁止DMZ区的应用服务器访问内部网络。

 ④禁止外部网络非法用户访问内部网络等。

 通常DMZ中服务器不应包含任何商业机密、资源代码或是私人信息。存放机密、私人信息的设备应部署在内部网络中。

由以上分析可知,要保证学校相关信息的机密性,就要避免外部网络的用户和内部网络中未经授权的用户直接访问存储学校机密数据的服务器、存储资源代码的PC和存储私人信息的PC等,因此需要将这些设备部署在校园网内部网络中以确保其安全。

对于邮件服务器、电子商务系统和应用网关等设备既要允许内、外网主机对其访问,又要保障它们的安全性。因此,这些设备需部署在防火墙的DMZ区域中。

2.案例参考答案

(1)标准化原则:所选择的设备必须基于国际标准或行业标准。因为只有基于标准的产品才有可能与其他厂商的产品互连互通。

可管理性原则:对于大型网络而言,这一点是至关重要的,它不仅关系到系统的性能指标,甚至关系到系统的可用性。主要考查网管系统对所选设备的监管、配置能力,以及设备可以提供的统计信息和故障检测手段,如骨干交换机必须具备端口镜像能力。这对于故障诊断,以及今后的网络规划具有特别重要的价值。

容错冗余性原则:除了在网络设计时要考虑冗余,骨干设的容错冗余也是必需的。所谓容错,就是设备的某一模块出现故障时,是否会影响其他模块,乃至其他设备的正常工作;是否支持热插拔;是否支持备份设备的自动切换等。所谓冗余,就是配置的设备是否可以安装多个相同功能的模块,在工作正常的情况下实施负载分担,当其中一个出现问题时自动切换。

可扩展性原则:主干设备的选择应预留一定的扩展能力,而低端设备则够用即可。

保护原有投资原则:根据方案实际需要选型,即根据网络实际带宽性能需求、端口类型和端口密度等选型。尽量让旧设备降级纳入到新系统中,保护用户原有的投资。

(2)(1): Routerl(2) : Switch l(3 ): Switch2

    (4): Switch3(5 ): Switch3

(3)((6):双千兆光纤链路空(7):千兆光纤

    ((8):千兆双绞线空(9):百兆双绞线

(4)静态1i地址配置优点:每个用户拥有固定的1P地址,便于网络的管理以及资源的相

互访问,无须配置专用的IP地址管理服务器。动态IP地址配置优点:可避免IP地址资源的浪费,增加了用户入网的灵活性。

(1):静态IP地址空((2):静态IP地址空(3):动态EP地址

(5)IP地址与MAC地址进行绑定。

(6)区域ADMZ区域。区域A中放置邮件服务器、应用网关、电子商务系统;内网中

放置存储学校机密数据的服务器、存储资源代码的PC和存储私人信息的PC.

DMZ (Demilitarized Zone)可以理解为一个不同于外网或内网的特殊网络区域。DMZ内通常放置一些不含机密信息的公用服务器,例如Web.. MailFTP等。这样,来自外网的访问

者可以访问DMZ中的服务,但不可能接触到存放在内网中的公司机密或私人信息等。即使DMZ中服务器受到破坏,也不会对内网中的机密信息造成影响。

10.8.2案例2

某企业网络的拓扑结构如图10-31所示,阅读以下关于该企业网络结构的描述,然后回答问题1至问题4

    (1)某企业网络由总公司和分公司组成,其中分公司的网络自治系统2 (AS 2)采用OSPF

路由协议,总公司的网络自治系统1 (AS 1)采用RIPv2路由协议。

    (2)该企业网络有两个出口,一个出口通过Routedso端口连接ISP 1,另一个出口通

RoutedS1端口连接ISP2 0

    (3)路由器Router 1Fa0/O端口连接LAN3,该端口的护地址为192.168.3.1/240 Routed

Fa0/0, Fa0/1, FaO/2端口启用了RIPv2协议。RouterlFaO/3端口启用了OSPF协议。

    (4)路由器Router2FaO/O端口连接LAN 1,其IP地址为192.168.1.1/24,在该端口启用TRIPv2协议。

    (5)路由器Router5Fa0/1端口连接LAN 2 (192.168.2.0/24),该端口的EP地址为192. 168.2.1/240

    [问题1]

    Router2连接的局域网LAN 1是一个末节网络,而且已接近饱和,为了减少流量,需要过滤进入LAN 1的路由更新,可以采用什么方法实现?请写出配置过程。

    [问题2]

    LAN 2中的计算机不需要访问LAN 3中的计算机,为了进一步控制流量,网络管理员决

定通过访问控制列表阻止192.168.2.0/24网络中的主机访问192.168.3.0/24网络,请问应将访问控制列表设置在哪台路由器上?如何配置?

    [问题3]

    如果希望采用策略路由将来自192.168.3.0/24网络去往Internet的数据流转发到ISPI,将来自192.168.2.0/24网络去往Internet的数据流转发到ISP2,应如何配置?

    [问题4]

    要求自治系统1中的路由器Router2能学习到自治系统2 (OSPF网络)中的路由信息,同

Router3也能学习到自治系统I中的路由信息,应采用什么方法?请写出配置过程。

1.案例分析

网络管理员可以通过设置路由器何时交换路由更新以及路由更新中应包含哪些信息来优化网络中的路由。本案例主要考查路由优化方面的相关知识,包括路由更新控制、基于策略的路由和路由重发布等。

(1)问题1需要过滤进入LAN 1的路由更新,则可以将连接LAN IFaO/O端口配置为被动接口。被动接口只接收路由更新但不发送路由更新。passive-interface命令可以用于所有IP内部网关协议(包括RIP, IGRP, EIGRP, OSPFIS-IS),该命令的语法如下:

Router(config-router)# passive-interface type number

(2)为了过滤不必要的通信流量,可以通过配置访问列表来实现。问题2主要考查配置访问控制列表的原则和方法。访问控制列表(ACL)是应用于路由器接口的指令列表,用于指定哪些数据包可以接收并转发,哪些数据包需要拒绝,ACL可以限制网络流量、提高网络性能。ACL的工作原理是读取数据包中第三层及第四层头部中的源EP、目的IP和目的端口等信息,然后根据预先定义好的规则对包进行过滤。

访问控制列表的种类包括标准访问控制列表和扩展访问控制列表。其中标准访问控制列表根据数据包的源IP地址决定转发或丢弃数据包,其常用的访问控制列表号为1-99。扩展访问控制列表基于源IP、目的IP、传输层协议和应用服务端口号进行过滤,使用扩展ACL可实现更加精确的流量控制,其常用的访问控制列表号为100-199,

ACL通过过滤数据包并且丢弃不希望抵达目的地的数据包来控制通信流量。然而能否有效地减少不必要的通信流量,这还要取决于网络管理员把ACL部署在哪个地方。其部署原则是:标准ACL要尽量靠近目的端,扩展ACL则要尽量靠近源端。因此,本小题应在路由器Router5上配置扩展访问控制列表。

(3)本小题要求考生掌握策略路由的原理及其配置方法。通过策略路由,路由器可以按照事先设置好的规则根据数据包的目的IP或源IP来选择路由。尽管策略路由可以用于在AS中控制数据流,但它通常用于控制AS间的路由。

"route-map”命令用于配置策略路由,其语法如下:

Router(config)# route-map map-tag {permitldeny} [sequence-number]

Router(config-map-router)#

参数“map-tag”是该路由图的标识符,可以将其设置为容易理解的字符串,例如“ISP2

"route-map”命令将把路由器的模式改变为路由图配置模式(config-map-router ),在该模式下,可以为路由图配置条件。每个“route-map”命令中都有一组“set”和“match”命令。"match"命令用于指定匹配准则,"set”命令用于设置满足匹配条件时要采取的动作。

路由图的运行机理和访问控制列表相似,都是逐行进行检查,遇到匹配就立即进行处理。

(4)本小题要求考生掌握路由重发布相关基本知识及配置方法。为了在因特网络中高效地支持多种路由选择协议,必须在这些不同的路由协议之间共享路由信息。例如,从FJP路由进程所学习到的路由可能需要被注入到IGRP路由进程中去。在路由选择协议之间交换路由信息的过程称为路由重发布。这种重发布可以是单向的或双向的,单向是指一种路由协议从另一种路由协议那里接收路由,双向是指两种路由选择协议互相接收对方的路由。执行路由重发布的路由器称为边界路由器,因为它处于两个或多个自治系统或者路由域的边界上。

根据本小题的要求,应该在路由器Router 1上配置双向路由重发布。

2.案例参考答案

(1)为了阻止路由更新进入LAN 1,可以将路由器Router2FaO/O端口配置为被动接口。

Router2(config)#router rip

Router2(config-router)# passive-interface faO/O

(2)应将访问控制列表设置在路由器Router5上,配置方法如下:

 Router5(config)# access-list 101 deny ip 192.168.2.0 0.0.0.255 192.168.3.0 0.0.0.255

 Router5(config)# access-list 101 permit ip any any

 Router5(config)# int fa0/1

 Router5(config-if)#ip access-group 101 in

(3)可以在路由器Routerl上配置策略路由,其配置方法”功P5e.COm

Routerl(config)# access-list 1 permit 192.168.3.0 0.0.0.255

Routerl(config)# access-list 2 permit 192.168.2.0 0.0.0.255

Routerl(config)# route-map ISPI permit 10

Routerl(config-route-map)# match ip address l

Routerl(config-route-map)# set interface serial 0

Routerl(config-route-map)# exit

Routerl(config)# route-map ISP2 permit 20

Routerl(config-route-map)# match ip address 2

Routerl (config-route-map)# set interface serial I

    然后将每个路由图应用到路由器Router 1的适当接口上,这里的适当接口是指那些数据流进入路由器的接口。

Routerl(config)# interface fa0/O

Routerl(config-if)# ip policy route-map ISPI

Routerl(config-if)# interface fa0/1

Routerl(config-if)# ip policy route-map ISP2

Routerl (config)#interface fa0/2

Routerl (config-if)#ip policy route-map ISP2

(4)可以在两个自治系统的边界路由器Routed上设置路由重发布,配置过程如下。

配置OSPF协议和路由重发布命令:

Routed (config)# router ospf 101

Routerl (config-router)# redistribute rip subnets

Routed (config-routenetwork X.X.X.X wildcard area 0

配置II I'i协议和路由重发布:

Routerl(config)# router rip

Routerl(config-router)# network X.X.X.X II配置多条network命令

Routerl(config-router)# passive-interface fa0/3

Routerl(config-router)# redistribute ospf 101 match internal external I external 2

Router 1(config-router)# default-metric 10

 


Tags:长江大学工程技术学,没考上怎样上大学,郑州北大青鸟翔天信鸽IT软件学院怎么样,河南开封有没有比较好的电脑学校呢,河南学UI设计专业技术去哪个学校比较好,郑州电脑学校排行榜推荐学校

郑州北大青鸟计算机专业学校
郑州北大青鸟计算机专业学校介绍
郑州北大青鸟计算机专业学校专业设置
郑州北大青鸟计算机专业学校招生要求
郑州北大青鸟计算机专业学校校园活动
郑州北大青鸟计算机专业学校就业保障
搜索
计算机培训学校,就来计算机学习网咨询
计算机培训学校,就来计算机学习网咨询
热门标签
计算机培训学校,就来计算机学习网咨询
计算机培训学校,就来计算机学习网咨询
计算机培训学校,就来计算机学习网咨询
  • QQ交谈