问答题
[说明]
某省级重点中学欲构建一个局域网,考虑到该中学的很多现代化教学业务依托于网络,要求中学内部用户能够高速访问相关的5台内部高性能服务器,并且要求通过网络的冗余性设计来获得较高的各类业务服务的可用性。
某系统集成公司根据该中学的相关需求,将网络拓扑结构设计为双核心来进行负载均衡和容错。该公司给出的网络拓扑图如图1所示。
图1
.1EFD8E3.jpg)
某省级重点中学欲构建一个局域网,考虑到该中学的很多现代化教学业务依托于网络,要求中学内部用户能够高速访问相关的5台内部高性能服务器,并且要求通过网络的冗余性设计来获得较高的各类业务服务的可用性。
某系统集成公司根据该中学的相关需求,将网络拓扑结构设计为双核心来进行负载均衡和容错。该公司给出的网络拓扑图如图1所示。
图1
问答题
[问题1]
根据用户需求和设计要求,请指出图6-7中不合理的设计之处,并给出相应的改进方案。
根据用户需求和设计要求,请指出图6-7中不合理的设计之处,并给出相应的改进方案。
【正确答案】①核心交换机2直接上连至边界路由器,其通信数据无法得到防火墙的安全防护;改进方案:将核心交换机2上连至防火墙。
②两台核心交换机之间没有进行双高速链路相互连接;改进方案:将两台核心交换机间采用链路聚合技术进行双千兆(或万兆)链路连接。
③汇聚交换机3缺少了一条与核心交换机1连接的高速通信链路;改进方案:将汇聚交换机3与核心交换机1进行千兆链路连接。
④内部服务器区连接在接入交换机4上,不能保证高速访问;改进方案①:去掉接入交换机,将汇聚交换机3更换成较高性能的汇聚交换机;改进方案②:若两台核心交换机有空余的高速以太端口,则将5台内部服务器直接连接到这些高速以太端口中。
⑤有一个桌面用户同时连接至接入交换机2和接入交换机3;改进方案:删除该客户机连接至接入交换机3(或接入交换机2)的连接链路。
⑥双网卡用户同时通过该校园网和ADSL宽带接入方式访问Internet,形成了接入层的“后门”现象;改进方案:删除该客户机的ADSL宽带接入链路
②两台核心交换机之间没有进行双高速链路相互连接;改进方案:将两台核心交换机间采用链路聚合技术进行双千兆(或万兆)链路连接。
③汇聚交换机3缺少了一条与核心交换机1连接的高速通信链路;改进方案:将汇聚交换机3与核心交换机1进行千兆链路连接。
④内部服务器区连接在接入交换机4上,不能保证高速访问;改进方案①:去掉接入交换机,将汇聚交换机3更换成较高性能的汇聚交换机;改进方案②:若两台核心交换机有空余的高速以太端口,则将5台内部服务器直接连接到这些高速以太端口中。
⑤有一个桌面用户同时连接至接入交换机2和接入交换机3;改进方案:删除该客户机连接至接入交换机3(或接入交换机2)的连接链路。
⑥双网卡用户同时通过该校园网和ADSL宽带接入方式访问Internet,形成了接入层的“后门”现象;改进方案:删除该客户机的ADSL宽带接入链路
【答案解析】[解析]
依题意,图6-7所示的网络设备连接结构图中,存在的几点不合理之处及相应的改进方案如下。
(1)图6-7中核心交换机2错误地直接上连至边界路由器,核心交换机2的相关通信数据无法得到防火墙的相关安全防护。改进方案:将核心交换机2上连至防火墙,如图6-10中的虚线所示。
.21F971E.jpg)
(2)图6-7中两台核心交换机之间没有相互连接。改进方案:将两台核心交换机之间进行双千兆(或万兆)链路连接,并通过应用链路聚合技术(如LCAP等),提高主干道的吞吐量,并实现负载分担,以提高核心层的高速数据转发,如图6-10所示。
(3)该中学5台内部高性能服务器连接在接入交换机4上,增大了服务延迟时间,无法实现题意中“中学内部用户能够高速访问”的性能要求。改进方案①:去掉接入交换机4,将汇聚交换机3更换成较高性能的汇聚交换机,新汇聚交换机与核心交换机之间实现双千兆链路冗余连接,然后将5台服务器连接在新汇聚交换机上,如图6-10所示。改进方案②:若两台核心交换机分别有5个可供使用的高速以太端口,则在5台内部服务器上分别安装(或替换)两块高速以太网卡,两块网卡分别连接到两台核心交换机的高速以太端口,以保证服务器的高速访问,如图6-11所示。
.2244339.jpg)
依题意,图6-7所示的网络设备连接结构图中,存在的几点不合理之处及相应的改进方案如下。
(1)图6-7中核心交换机2错误地直接上连至边界路由器,核心交换机2的相关通信数据无法得到防火墙的相关安全防护。改进方案:将核心交换机2上连至防火墙,如图6-10中的虚线所示。
(2)图6-7中两台核心交换机之间没有相互连接。改进方案:将两台核心交换机之间进行双千兆(或万兆)链路连接,并通过应用链路聚合技术(如LCAP等),提高主干道的吞吐量,并实现负载分担,以提高核心层的高速数据转发,如图6-10所示。
(3)该中学5台内部高性能服务器连接在接入交换机4上,增大了服务延迟时间,无法实现题意中“中学内部用户能够高速访问”的性能要求。改进方案①:去掉接入交换机4,将汇聚交换机3更换成较高性能的汇聚交换机,新汇聚交换机与核心交换机之间实现双千兆链路冗余连接,然后将5台服务器连接在新汇聚交换机上,如图6-10所示。改进方案②:若两台核心交换机分别有5个可供使用的高速以太端口,则在5台内部服务器上分别安装(或替换)两块高速以太网卡,两块网卡分别连接到两台核心交换机的高速以太端口,以保证服务器的高速访问,如图6-11所示。
问答题
[问题2]
(1)假设平均每天经常浏览网页的用户数为300个,每用户平均每分钟产生12个事务处理任务,事务量大小为0.05MB,则该校园网浏览网页需要的信息传输速率约为______Mbps。
(2)假设该校园网共有20间多媒体教室,平均每间多媒体教室有4个摄像机,每台摄像机采用CIF格式(分辨率为352×288)实时采集视频流,码流为512Kbps,则该校园网多媒体教室视频监控的应用业务流量约为______Mbps。
(1)假设平均每天经常浏览网页的用户数为300个,每用户平均每分钟产生12个事务处理任务,事务量大小为0.05MB,则该校园网浏览网页需要的信息传输速率约为______Mbps。
(2)假设该校园网共有20间多媒体教室,平均每间多媒体教室有4个摄像机,每台摄像机采用CIF格式(分辨率为352×288)实时采集视频流,码流为512Kbps,则该校园网多媒体教室视频监控的应用业务流量约为______Mbps。
【正确答案】(1)25.17或24
(2)40.96
(2)40.96
【答案解析】[解析]
某个应用业务的网络流量计算公式如下:应用的数据传输速率=平均事务量大小×每字节位数×每个会话事务数×平均用户数/平均会话长度。依题意,该校园网经常浏览网页的用户数为300个,每用户每分钟(60s)平均产生12个事务处理任务,事务量大小为0.05 MB(即0.05×1024×1024×8bit),则浏览网页需要的信息传输速率为25.17Mbps。具体计算过程如下:
005×1024×1024×8×12×300/(60)=25165824bps≈25.17Mbps
若考试不允许带计算器,则该校园网浏览网页应用的流量估算值也可按下式近似计算:300×12×0.05×8/60=24Mbps。
在实际网络工程规划与设计过程中,为了保证峰值情况下所设计的网络能够正常运行,在考虑峰值用户数等因素的情况下,应用的数据传输速率一平均事务量大小×每字节位数×每个会话事务数×峰值用户数/平均会话长度。
对于该校园网多媒体教室视频监控的应用业务,峰值用户数为20×4=80个,每个会话的事务数为1个。因此,该应用的流量约为512×1000×1×80bps=40960000bps=40.96MbDs。
某个应用业务的网络流量计算公式如下:应用的数据传输速率=平均事务量大小×每字节位数×每个会话事务数×平均用户数/平均会话长度。依题意,该校园网经常浏览网页的用户数为300个,每用户每分钟(60s)平均产生12个事务处理任务,事务量大小为0.05 MB(即0.05×1024×1024×8bit),则浏览网页需要的信息传输速率为25.17Mbps。具体计算过程如下:
005×1024×1024×8×12×300/(60)=25165824bps≈25.17Mbps
若考试不允许带计算器,则该校园网浏览网页应用的流量估算值也可按下式近似计算:300×12×0.05×8/60=24Mbps。
在实际网络工程规划与设计过程中,为了保证峰值情况下所设计的网络能够正常运行,在考虑峰值用户数等因素的情况下,应用的数据传输速率一平均事务量大小×每字节位数×每个会话事务数×峰值用户数/平均会话长度。
对于该校园网多媒体教室视频监控的应用业务,峰值用户数为20×4=80个,每个会话的事务数为1个。因此,该应用的流量约为512×1000×1×80bps=40960000bps=40.96MbDs。
问答题
[问题3]
在校外住宿的教职工要求使用校园网部分内部服务器以满足其备课及浏览校园信息等需求。系统集成公司采用了IPSec VPN的远程接入方案。请从安全保证角度简要叙述实现VPN的几种关键技术。
在校外住宿的教职工要求使用校园网部分内部服务器以满足其备课及浏览校园信息等需求。系统集成公司采用了IPSec VPN的远程接入方案。请从安全保证角度简要叙述实现VPN的几种关键技术。
【正确答案】①隧道技术:是VPN的基本技术,类似于点对点连接技术,它在公用网建立一条数据通道,让数据包通过这条通道传输
②加解密技术:是数据通信中一项较成熟的技术,VPN可直接利用现有技术
③密钥管理技术:其主要任务是保证在公用数据网上安全地传递密钥而不被窃取
④身份认证技术:最常用的是使用者名称与密码或卡片式认证等方式
②加解密技术:是数据通信中一项较成熟的技术,VPN可直接利用现有技术
③密钥管理技术:其主要任务是保证在公用数据网上安全地传递密钥而不被窃取
④身份认证技术:最常用的是使用者名称与密码或卡片式认证等方式
【答案解析】[解析]
虚拟专用网(VPN)指的是依靠Internet服务提供商(ISP)和其他网络服务提供商(NSP),在公用网络中建立专用的数据通信网络的技术。其中,“虚拟”是指用户不再需要拥有实际的长途数据线路,而是使用公共Internet的数据线路。“专用网络”是指用户可以为自己制订一个最符合自己需要的网络。目前VPN技术主要采用隧道技术(Tunneling)、加解密技术(Encryption & Decryption)、密钥管理技术(Key Management)、使用者与设备身份认证技术(Authentication)等来保证内部数据在Internet上的安全传输。
①隧道技术是VPN的基本技术,类似于点对点连接技术,它在公用网上建立一条数据通道(隧道),让数据包通过这条隧道传输。隧道是由隧道协议形成的,分为第二、第三、第四层隧道协议。第二层隧道协议是先把各种网络协议封装到PPP帧中,再把整个数据包装入隧道协议中。第二层隧道协议有L2F、PPTP、L2TP等。第三层隧道协议是把各种网络协议直接装入隧道协议中,形成的数据包依靠第三层协议进行传输。IPSec协议是第三层隧道协议的典型代表,SSL协议是第四层隧道协议的典型代表。
②加解密技术是数据通信中一项较成熟的技术,VPN可直接利用现有的对称密码和非对称密码的加解密技术。通过对公共Internet传递的数据进行加密,确保网络其他未授权的用户无法读取该信息。
③密钥管理技术的主要任务是保证在公用数据网上安全传递密钥而不被窃取。
④使用者与设备身份认证技术通常使用用户名和密码认证、卡片式认证或USB加密狗认证等方式来保证数据的安全传输。
虚拟专用网(VPN)指的是依靠Internet服务提供商(ISP)和其他网络服务提供商(NSP),在公用网络中建立专用的数据通信网络的技术。其中,“虚拟”是指用户不再需要拥有实际的长途数据线路,而是使用公共Internet的数据线路。“专用网络”是指用户可以为自己制订一个最符合自己需要的网络。目前VPN技术主要采用隧道技术(Tunneling)、加解密技术(Encryption & Decryption)、密钥管理技术(Key Management)、使用者与设备身份认证技术(Authentication)等来保证内部数据在Internet上的安全传输。
①隧道技术是VPN的基本技术,类似于点对点连接技术,它在公用网上建立一条数据通道(隧道),让数据包通过这条隧道传输。隧道是由隧道协议形成的,分为第二、第三、第四层隧道协议。第二层隧道协议是先把各种网络协议封装到PPP帧中,再把整个数据包装入隧道协议中。第二层隧道协议有L2F、PPTP、L2TP等。第三层隧道协议是把各种网络协议直接装入隧道协议中,形成的数据包依靠第三层协议进行传输。IPSec协议是第三层隧道协议的典型代表,SSL协议是第四层隧道协议的典型代表。
②加解密技术是数据通信中一项较成熟的技术,VPN可直接利用现有的对称密码和非对称密码的加解密技术。通过对公共Internet传递的数据进行加密,确保网络其他未授权的用户无法读取该信息。
③密钥管理技术的主要任务是保证在公用数据网上安全传递密钥而不被窃取。
④使用者与设备身份认证技术通常使用用户名和密码认证、卡片式认证或USB加密狗认证等方式来保证数据的安全传输。