问答题
希赛公司有A、B两个办公大楼,两楼之间距离大于350m,信息中心在A楼三层,中心采用了三层交换机,划分了VLAN。每个楼层都设置了一个配线间,配线间到用户桌面的距离不大于90m。请回答以下问题。
问答题
A楼与B楼之间可用什么传输介质,楼层配线间到桌面可用什么传输介质?
【正确答案】A楼与B楼之间可用多模光纤,楼层配线间到桌面可用非屏蔽双绞线。
【答案解析】希赛公司有A、B两个办公大楼,两楼之间距离大于350m,两楼属于建筑群子系统的范畴,根据最大传输距离、数据通信速率、成本及其他特性,两者问的传输介质最好选用多模光纤。而楼层都设置了一个配线间,配线间到用户桌面的距离不大于90m,这里选用常规的5类或以上的非屏蔽双绞线即可完成施工要求。
问答题
使用VLAN有什么好处,VLAN的划分方式有哪些?假设希赛公司每个部门一个VLAN,那么哪种方式比较适合?
【正确答案】VLAN提高了带宽的利用率,增强了网络的安全性,可以实现对故障的隔离。
VLAN划分方式有基于交换机端口、基于MAC:地址、基于策略及基于协议。
由于一个部门基本上物理位置都在一起,那么采用基于端口的方式比较合适。
【答案解析】VLAN的好处主要体现在以下3个方面:
(1)端口的分隔。即便在同一个交换机上,处于不同VLAN的端口也是不能通信的。这样,一个物理的交换机可以当做多个逻辑的交换机使用,同时也提高了带宽的利用率。
(2)网络的安全。不同的VLAN不能直接通信,杜绝了广播信息的不安全性。
(3)灵活的管理。更改用户所属的网络不必换端口和连线,只更改软件配置就可以了。同时可以实现对故障的隔离。
VLAN根据不同的需求,可以有多种划分方式,各种方式优缺点比较如表6-3所示。
{{B}}表6-3 VLAN的划分方式{{/B}}
|
| 划分方式 |
简单描述与优缺点比较 |
适用场合 |
| 基于端口 |
按VLAN交换机上的物理端口和内部的PVC(永久虚电路)端口来划分
优点:定义VLAN成员时非常简单,只需将所有的端口都定义为相应的VLAN组
缺点:如果某用户离开原来的端口到一个新的交换机的某个端口,需重新定义 |
适合于任何大
小的网络 |
|
|
基于
MAC |
根据每个用户主机的MAC地址来划分
优点:当用户物理位置从一个交换机换到其他交换机时,VLAN不用重新配置
缺点:初始化时,所有的用户都必须进行配置 |
适用于小型局
域网 |
|
|
|
|
基于网络
协议 |
VLAN按网络层协议来划分,可分为IP、IPX等VLAN网络
优点:用户的物理位置改变了,不需要重新配置所属的VLAN,而且可以根据协
议类型来划分VLAN,并且可以减少网络通信量,可使广播域跨越多个VLAN交
换机
缺点:效率低下 |
适用于需要同
时运行多协议
的网络 |
|
|
|
|
|
基于IP
组播 |
认为一个IP组播组就是一个VLAN
优点:更大的灵活性,而且也很容易通过路由器进行扩展
缺点:适合局域网,主要是效率不高 |
适用于不在同
一地理范围的
局域网用户组
成一个VLAN |
|
|
|
|
|
| 基于策略 |
能实现多种分配,包括端口、MAC地址、IP协议等
优点:可根据自己的管理模式和需求来决定选择哪种类型的VLAN
缺点:建设初期步骤繁复 |
适用于需求比
较复杂的环境 |
|
|
|
基于用户
定义 |
指为了适应特别的VLAN网络,根据具体的网络用户的特别要求来定义和设计
VLAN,而且可以让非VLAN群体用户访问VLAN,但是需要提供用户密码,在
得到VLAN管理的认证后才可以加入一个VLAN |
适用于安全性
较高的环境 |
|
|
|
由于一个部门基本上物理位置都在一起,那么采用基于端口的方式比较合适。
【正确答案】三层交换是将二层交换和三层路由结合起来,能够实现路由功能,但转发速度又可达到交换机的速度,一般用于局域网VLAN划分和互通。
【答案解析】随着Internet的发展,局域网和广域网技术得到了广泛的推广和应用。数据交换技术从简单的电路交换发展到二层交换,从二层交换又逐渐发展到今天较成熟的三层交换,以及发展到将来的高层交换。三层交换技术就是二层交换技术+三层转发技术。它解决了局域网中网段划分之后,网段中子网必须依赖路由器进行管理的局面,解决了传统路由器低速、复杂所造成的网络瓶颈问题。
问答题
希赛公司欲建立一套远程VPN接入办公网络,远程办公仅限于访问基于HTTP服务的邮件和公文处理系统,请问采用什么方式的VPN比较合适?
【正确答案】采用SSL方式的VPN比较合适,这种VPN方式比较方便,无须安装客户端。
【答案解析】虚拟专用网(VPN)被定义为通过一个公用网络(通常是互联网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。虚拟专用网是对企业内部网的扩展。虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。虚拟专用网可用于不断增长的移动用户的全球互联网接入,以实现安全连接;也可用于实现企业网站之间安全通信的虚拟专用线路;还用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。
VPN可以分为IPSec VPN和SSLVPN两种类型。
IPSec VPN是指采用IPSec协议来实现远程接入的一种VPN技术。IPSec协议是一个范围广泛、开放的虚拟专用网安全协议,它提供所有在网络层上的数据保护,提供透明的安全通信。IPSec是基于网络层的,不能穿越通常的NAT、防火墙。
IPSec VPN能够真正解决局域网之间的互连,形成一个真正的私有网络。但是IPSecVPN使用十分复杂,必须安装和维护客户端软件。另外,从远程通过IPSec通道连接到企业内部网络可能会增加局域网受到攻击或被病毒感染的可能。
SSL VPN是指采用SSL(Security Socket Layer)协议来实现远程接入的一种VPN技术。SSL协议包括服务器认证、客户认证(可选)、SSL链路上的数据完整性和SSL链路上的数据保密性。对于内、外部应用来说,使用SSL可保证信息的真实性、完整性和保密性。
SSL VPN的突出优势在于Web安全和移动接入。目前,对SSL VPN公认的三大好处是:首先来自于它的简单性,它不需要配置,可以立即安装、立即生效;第二个好处是客户端不需要安装,直接利用浏览器中内嵌的SSL协议即可;第三个好处是兼容性好,可以适用于任何的终端及操作系统。
缺点是对于非Web页面的文件访问,往往要借助于应用转换。有的SSL VPN产品所能支持的应用转换器和代理的数量非常少,有的能很好地支持FTP、网络文件系统和微软文件服务器的应用转换,但是并不能真正形成局域网对局域网的应用,形成一个大的私有网络。
所以相对于传统的IPSecv PN而言,SSL VPN具有部署简单、无客户端、维护成本低、网络适应强等特点,但SSL VPN并不能取代IPSecVPN,因为这两种技术目前应用在不同的领域。SSL VPN考虑的是应用软件的安全性,更多应用在Web的远程安全接入方面;而IPSec VPN是在两个网站之间通过专线或互联网安全连接及两台服务器之间的安全连接,保护的是点对点之间的通信,并且它不局限于Web应用。