问答题
阅读以下技术说明和图,根据要求回答问题。
[说明]
ZF集团公司是一家拥有20个直属子公司、16个分公司、5个海外办事处的上市公司。2009年9月,集团高层研究决定对整个企业的资源进行整合,需要对原有的企业网络进行升级改造。ZF集团公司所委托的设计单位经过28天的调查、论证、规划和设计,为该企业提供了一套较完整的网络建设设计方案。该设计方案采用了分区域规划设计策略。例如,由于集团总部部门较多,同时还会涉及各分支机构及各合作公司的接入,从网络架构的合理性及易管理性方面考虑,整个集团总部的网络根据各应用的功能不同,分为核心交换区域、网络出口区域、外部服务器区域、办公接入区域、网络视频会议区域、内部服务器区域、无线阅览区域、网络安全区域及网络管理区域等。其中,ZF集团总部网络的拓扑结构如图1所示。
[说明]
ZF集团公司是一家拥有20个直属子公司、16个分公司、5个海外办事处的上市公司。2009年9月,集团高层研究决定对整个企业的资源进行整合,需要对原有的企业网络进行升级改造。ZF集团公司所委托的设计单位经过28天的调查、论证、规划和设计,为该企业提供了一套较完整的网络建设设计方案。该设计方案采用了分区域规划设计策略。例如,由于集团总部部门较多,同时还会涉及各分支机构及各合作公司的接入,从网络架构的合理性及易管理性方面考虑,整个集团总部的网络根据各应用的功能不同,分为核心交换区域、网络出口区域、外部服务器区域、办公接入区域、网络视频会议区域、内部服务器区域、无线阅览区域、网络安全区域及网络管理区域等。其中,ZF集团总部网络的拓扑结构如图1所示。
问答题
对如图1所示网络进行逻辑设计时,对于其中的无线阅览区域,设计单位规划师老郭、老陈分别提出了“瘦”AP、“胖”AP两种无线局域网(WLAN)组网模式。结合你的网络规划设计经验,请简要分析比较这两种WLAN组网模式在功能、安全、成本、可扩展性方面的优点与不足。
【正确答案】“瘦”AP组网模式:可通过无线控制器WNC对AP、SSID等进行统一管理,能为覆盖范围内的所有AP配置同一个SSID,实现无缝漫游,也可提供多个SSID,针对不同的用户(或不同的覆盖区域)进行不同的权限限制;用户验证和用户数据传输的加密由WNC完成,能满足用户扩展的安全需求(如AAA等功能);大规模部署成本低、运维管理成本低;具有高度的可扩展性
“胖”AP组网模式:无法实现真正的无缝漫游,每个AP只能拥有一个SSID,不能对用户进行不同的权限控制;每个接入AP对接入用户仅能进行独立的用户验证和数据传输加密;大规模部署成本高、运维管理成本高;无可扩展性或扩展性较差
【答案解析】设计本问题的目的是加深读者对WLAN组网模式的理解。本题所涉及的知识点如下。
通常,“瘦”AP组网模式是将WLAN所有的数据处理与控制能力都放置在无线交换机上,将AP集中,统一由无线控制器(WNC)进行管理,这是一种集中式架构体系,如图2所示。相对而言,“胖”AP组网模式是将WLAN所有的数据处理与控制能力都放置在AP上。这是一种传统的、分布式架构体系,也称为自治型无线接入点的组网模式,如图3所示。这两种WLAN组网模式在管理、功能、安全、成本、可扩展性方面的区别见下表。
[*]
图2 “瘦”AP组网模式
[*]
图3 “胖”AP组网模式
通常,“瘦”AP组网模式是将WLAN所有的数据处理与控制能力都放置在无线交换机上,将AP集中,统一由无线控制器(WNC)进行管理,这是一种集中式架构体系,如图2所示。相对而言,“胖”AP组网模式是将WLAN所有的数据处理与控制能力都放置在AP上。这是一种传统的、分布式架构体系,也称为自治型无线接入点的组网模式,如图3所示。这两种WLAN组网模式在管理、功能、安全、成本、可扩展性方面的区别见下表。
| {{B}}“瘦”AP和“胖”AP组网模式的区别{{/B}} | ||
| 比较项 | “瘦”AP | “胖”AP |
| 管理 | AP由WNC统一集中管理,通过WNC就可以配置、维 护、管理整个无线网络;每个AP则只需要单独负责RF和 通信的工作,数据传送到WNC后集中对数据进行处理 |
没有集中的控制器设备,所有的AP都通过交换 机连接起来,每个AP单独负担RF、通信、身份 验证、加密等工作,缺乏统一的管理,在需要覆盖 的区域,根据既定的实现效果对每一个AP进行初 始配置、安全策略配置、访问控制策略等工作,随 着WLAN规模的增大,日常安装维护将变得十分 繁琐 |
| 功能 | 可以通过WNC对AP、SSID等进行统一管理,实现无缝 漫游。用户能够随时随地地选用最合适的无线网络进行通 信。可以通过WNC提供多个SSID,针对不同的用户或者 不同的覆盖区域进行不同的权限限制。也可以通过wNc 为覆盖范围内的所有AP配置同一个SSID,即整个无线局 域网内使用同一个sSII)进行无线通信。大大简化了网络结 构,方便网络管理员进行管理 |
无法实现真正的无缝漫游,由于AP与无线网 络适配器之间的关联时间较长,所以当移动用户 从原来正在连接的AP漫游到另一个AP时往往出 现通信中断的现象。每个AP只能拥有一个SSID, 不能对用户进行不同的权限控制。且相邻AP若 使用同样的SSID,会造成SSID冲突 |
| 安全 | 接入AP无须由自身对接入用户进行用户验证和用户数 据传输的加密,并能满足用户扩展的安全需求(如使用 dotlx对接入用户进行验证,WIPS,AAA等功能) |
每个接入AP对接入用户进行独立的用户验证和 数据传输加密,在安全方面仅能做到基础用户验证 和数据加密的安全特性,无法满足用户扩展的安全 需求 |
| 成本 | 无须改变现有的网络结构,只需在现有网络中加入无线 设备,随着WLAN网络的增大,无论AP数量如何增加, AP数量超过一台WNC的连接上限时,可以通过堆叠等技 术增加无线交换机数量。集中式的架构统一了无线网络的 功能特性,减少了部署无线网络的总体成本,同时还减少 了无线网络的整体能耗 |
AP之间相互独立,其配置和管理也是单独的。 随着AP数量的增多,管理AP将变得十分困难, 成本也越来越高 |
| 扩展性 | 具有高度的可扩展性,可以通过网络把AP部署到需要 覆盖的任何地方,然后通过VPN连接到组织单位内部的 WNC,把无线网络扩展到企业需要的任何地方,并能适 应未来语音、视频监控等扩展需求 |
扩展性较差 |
问答题
对图1所示网络进行逻辑设计时,规划师采用一种网络设备(或网络系统)对该集团公司网络中存储资源代码的服务器、财务系统服务器等提供如下的保护措施:数据包进入这些服务器所在网段时将被进行过滤检测,并确定该数据包是否包含有威胁网络安全的特征。如果检测到一个恶意的数据包时,系统不但发出警报,还将采取相应措施(如丢弃含有攻击性的数据包或阻断连接)阻断攻击。
(1)请写出这种网络设备(或系统)的名称。
(2)所采用的网络设备(或系统)应该部署在图1中的哪个位置上?
【正确答案】(1)基于网络的入侵防护系统或NIPS,或其他具有类似功能的设备(或系统)
(2)串接在受防护服务器所在网段的交换机入口处或串接在内部服务器区域中防火墙与交换机之间
【答案解析】设计本问题的目的是加深读者对入侵防护系统及其部署应用的理解。本题解答思路如下。
依题意,该集团公司网络中存储资源代码的服务器、财务系统服务器等通常含有公司机密性的相关信息。为了避免Internet用户和内部网络中未经授权的用户直接访问这些服务器,在图1所示的网络架构中,需要将这些服务器部署在含有防火墙进行逻辑隔离的内部服务器区域中以确保其安全。
基于网络的入侵防护系统(Network-based Intrusion Prevention System,NIPS)兼有防火墙、入侵检测系统和防病毒等安全组件的特性,当数据包经过它时,将对这些数据包进行过滤检测,以确定该数据包是否包含威胁网络安全的特征。如果检测到一个恶意的数据包,系统不但发出警报,还将采取相应措施(如丢弃含有攻击性的数据包或阻断连接)阻断攻击。
在图1所示的网络架构中,NIPS需要串接在受防护的财务系统服务器等所在网段的交换机入口处(例如,串接在图1内部服务器区域的防火墙与交换机之间),进出该网段的数据流都必须通过它,从而保护相关服务器网段的整体安全。
问答题
在图1所示的办公接入区域中,某业务部门的所有计算机被划分在同一个VLAN中,其数据传输速率为100Mbps。使用RMONv2 Monitor监测到该以太网段1分钟内共传输了5400个分组、4200000字节,请计算该以太网段的子网利用率(要求给出求解的公式)。
【正确答案】[*]
【答案解析】设计本问题的目的是加深读者对RMON子网利用率计算的理解。本题的解答思路如下。
RMON(Remote Network Monitoring,远端网络监控)规范是由简单网络管理协议(SNMP)的管理信息库(MIB)扩展而来。在RMON中,网络监视数据包含了一组统计数据和性能指标,它们在不同的监视器(也称为探测器)和控制台系统之间相互交换。结果数据可用来监控网络利用率,以用于网络规划,性能优化和协助网络错误诊断。
目前,RMON有RMONv1和RMONv2两种版本。RMONv1在目前使用较为广泛的网络硬件中都能发现,它定义了9个MIB组服务于基本网络监控;RMONv2是RMON的扩展,专注于MAC层以上更高的流量层,它主要强调IP流量和应用程序层流量。RMONv2允许网络管理应用程序监控所有网络层的信息包。
RMON MIB的历史组存储的是以固定时间间隔(Interval)取样所获得的子网统计数据,从而可以做一些与时间有关的数据分析。例如,可以计算某个以太网段的子网利用率(Utilization)。其计算公式如下。
[*]
其中,Packets为所捕获的分组数,Octets为所捕获的字节数,R为该以太网段的数据传输速率。以太网的帧间隔为12字节(即96bit),帧前导码字段为8字节(即64bit),因此每个帧有(12+8)×8比特的开销。
依题意,R=100Mbps=100×106bps,Packets=5400,Octets=4200000B,Interval=60s,因此该办公接入区域相关业务部门网段的子网利用率为0.5744%。具体计算过程如下。
[*]
RMON(Remote Network Monitoring,远端网络监控)规范是由简单网络管理协议(SNMP)的管理信息库(MIB)扩展而来。在RMON中,网络监视数据包含了一组统计数据和性能指标,它们在不同的监视器(也称为探测器)和控制台系统之间相互交换。结果数据可用来监控网络利用率,以用于网络规划,性能优化和协助网络错误诊断。
目前,RMON有RMONv1和RMONv2两种版本。RMONv1在目前使用较为广泛的网络硬件中都能发现,它定义了9个MIB组服务于基本网络监控;RMONv2是RMON的扩展,专注于MAC层以上更高的流量层,它主要强调IP流量和应用程序层流量。RMONv2允许网络管理应用程序监控所有网络层的信息包。
RMON MIB的历史组存储的是以固定时间间隔(Interval)取样所获得的子网统计数据,从而可以做一些与时间有关的数据分析。例如,可以计算某个以太网段的子网利用率(Utilization)。其计算公式如下。
[*]
其中,Packets为所捕获的分组数,Octets为所捕获的字节数,R为该以太网段的数据传输速率。以太网的帧间隔为12字节(即96bit),帧前导码字段为8字节(即64bit),因此每个帧有(12+8)×8比特的开销。
依题意,R=100Mbps=100×106bps,Packets=5400,Octets=4200000B,Interval=60s,因此该办公接入区域相关业务部门网段的子网利用率为0.5744%。具体计算过程如下。
[*]
问答题
在图1所示的核心交换区域中,两台核心三层交换机上配置了VRRP、STP等协议。在项目配置实施过程中发现,这两台核心三层交换机的VRRP状态不稳定,频繁发生Master→Initialize→Backup→Master的状态切换现象。
针对这一故障现象,请简要说明与VRRP相关的故障原因定位的具体排查步骤。
【正确答案】①查看两台核心三层交换机的日志信息,检查其所在链路的链路状态是否不稳定(特别是VRRP配置的监视接口的链路状态);
②在两台核心三层交换机上ping对端的接口实际IP地址来检测VRRP路由器的网络互通性,检查网络是否有环路等问题;
③查看两台核心三层交换机互连端口的STP状态是否正常;
④检查VRRP报文收发情况,可以适当增加Backup等待延迟时间;
⑤查看VRRP协议报文互通的业务板和主控板CPU占用率情况,以排除是否有存在网络风暴,或者暂时关闭一些不重要的业务以降低CPU的利用率,再进一步观察故障现象是否发生变化;
⑥寻求厂商技术工程师或其他有相关经验的工程师的进一步帮助与支持
【答案解析】设计本问题的目的是考核读者对VRRP相关故障处理的实践经验。本题的解答思路如下。
通常,VRRP的故障诊断一般流程如图4所示。
依题意,核心交换区域中两台核心三层交换机都配置了VRRP、STP等协议,而这两台核心三层交换机频繁发生VRRP状态切换的现象,这是一种VRRP路由器状态振荡的故障现象。其故障原因定位的具体检查步骤如下。
①检查这两台核心三层交换机所在链路的链路状态。观察这两台核心三层交换机日志信息,确认VRRP状态切换前是否发生链路状态的up/down变化。由于VRRP状态是受链路状态影响的,因此链路的不稳定会引起VRRP状态的振荡。同时要关注VRRP配置的监视接口的链路状态,因为VRRP路由器的优先级会随监视接口的链路状态而变化,该链路状态不稳定也会引起VRRP状态的振荡。
②检查这两台核心三层交换机所在网络互通性。可采用在这两台核心三层交换机上ping对端的接口实际IP地址的方式来检测VRRP路由器的网络互通性。如果不能ping通或者出现不连续中断,请检查链路是否有环路等问题。如果端口存在大量错误的报文,则需要检查链路,如检查两端的光衰减是否在正常范围。如有故障,请更换连接所用的光纤。
③检查STP等协议。使用命令display stp brief查看互连端口的STP状态是否正常。STP状态的反复切换将会造成VRRP状态的反复切换,必须保证VRRP协议报文通过的链路STP状态稳定。检查端口是否因STP、RRPP、Smart-link或者LACP等协议而阻塞。
④检查VRRP报文收发情况。打开VRRP调试开关,确定VRRP报文是否能够正常收发。如果看不到VRRP报文调试信息,很有可能是VRRP报文被丢弃,可以打开IP报文调试信息进行查看。如果CPU限速导致报文丢弃,可根据实际组网需要适当减少配置的VRRP路由器数量或者调整VRRP报文发送时间间隔。在网络比较拥塞的环境下,Backup路由器可能在等待超时后才收到Master路由器的报文,导致备份组内的成员频繁的进行主备状态转换。此时可以适当增加Backup等待延迟时间。
⑤检查CPU占用率情况。通过命令display cpu-usage查看VRRP协议报文互通的业务板和主控板CPU占用率是否过高。可以通过命令display interface查看端口流量,确定网络中是否存在广播风暴。如果存在网络风暴,则VRRP报文无法正常送给CPU处理,VRRP状态必然出现异常。可以暂时关闭一些不重要的业务,以降低CPU的利用率,再进一步观察故障现象是否发生变化。
⑥寻求进一步帮助。若上述方法不能确定问题,则需要联系厂商技术工程师或寻求其他有相关经验的工程师支持。
通常,VRRP的故障诊断一般流程如图4所示。
[*]
图4 VRRP故障诊断一般流程
依题意,核心交换区域中两台核心三层交换机都配置了VRRP、STP等协议,而这两台核心三层交换机频繁发生VRRP状态切换的现象,这是一种VRRP路由器状态振荡的故障现象。其故障原因定位的具体检查步骤如下。
①检查这两台核心三层交换机所在链路的链路状态。观察这两台核心三层交换机日志信息,确认VRRP状态切换前是否发生链路状态的up/down变化。由于VRRP状态是受链路状态影响的,因此链路的不稳定会引起VRRP状态的振荡。同时要关注VRRP配置的监视接口的链路状态,因为VRRP路由器的优先级会随监视接口的链路状态而变化,该链路状态不稳定也会引起VRRP状态的振荡。
②检查这两台核心三层交换机所在网络互通性。可采用在这两台核心三层交换机上ping对端的接口实际IP地址的方式来检测VRRP路由器的网络互通性。如果不能ping通或者出现不连续中断,请检查链路是否有环路等问题。如果端口存在大量错误的报文,则需要检查链路,如检查两端的光衰减是否在正常范围。如有故障,请更换连接所用的光纤。
③检查STP等协议。使用命令display stp brief查看互连端口的STP状态是否正常。STP状态的反复切换将会造成VRRP状态的反复切换,必须保证VRRP协议报文通过的链路STP状态稳定。检查端口是否因STP、RRPP、Smart-link或者LACP等协议而阻塞。
④检查VRRP报文收发情况。打开VRRP调试开关,确定VRRP报文是否能够正常收发。如果看不到VRRP报文调试信息,很有可能是VRRP报文被丢弃,可以打开IP报文调试信息进行查看。如果CPU限速导致报文丢弃,可根据实际组网需要适当减少配置的VRRP路由器数量或者调整VRRP报文发送时间间隔。在网络比较拥塞的环境下,Backup路由器可能在等待超时后才收到Master路由器的报文,导致备份组内的成员频繁的进行主备状态转换。此时可以适当增加Backup等待延迟时间。
⑤检查CPU占用率情况。通过命令display cpu-usage查看VRRP协议报文互通的业务板和主控板CPU占用率是否过高。可以通过命令display interface查看端口流量,确定网络中是否存在广播风暴。如果存在网络风暴,则VRRP报文无法正常送给CPU处理,VRRP状态必然出现异常。可以暂时关闭一些不重要的业务,以降低CPU的利用率,再进一步观察故障现象是否发生变化。
⑥寻求进一步帮助。若上述方法不能确定问题,则需要联系厂商技术工程师或寻求其他有相关经验的工程师支持。