问答题
阅读以下电子政务外网规划与设计的相关说明,根据要求回答问题。
[说明]
电子政务外网建设是当前政府信息化建设的重点内容,其以资源整合、平台共享、高效服务为目的。A省依托本省运营商资源,建成的电子政务外网覆盖了本省所有省直部门的省级横向网、省—市—县三级的纵向网、市县横向网,以及省级数据存储和备份中心等应用支撑平台,以提供面向社会的专业性服务和为社会公众提供政务信息服务。其部分网络拓扑结构如图所示。
在图中,为每家省直接入单位配置一台接入层交换机作为CE设备,省直部门横向接入通过裸光纤/MSTP等方式,提供百兆接入带宽。在各设区市部署1台横向汇聚交换机,作为市级委办局横向网的汇聚设备。在每个县部署l台横向汇聚交换机,作为县级委办局和乡镇横向接入的汇聚设备。
注:以上叙述(包括网络拓扑结构图)为考试而设计,与现实情况不一定完全吻合。
[说明]
电子政务外网建设是当前政府信息化建设的重点内容,其以资源整合、平台共享、高效服务为目的。A省依托本省运营商资源,建成的电子政务外网覆盖了本省所有省直部门的省级横向网、省—市—县三级的纵向网、市县横向网,以及省级数据存储和备份中心等应用支撑平台,以提供面向社会的专业性服务和为社会公众提供政务信息服务。其部分网络拓扑结构如图所示。
在图中,为每家省直接入单位配置一台接入层交换机作为CE设备,省直部门横向接入通过裸光纤/MSTP等方式,提供百兆接入带宽。在各设区市部署1台横向汇聚交换机,作为市级委办局横向网的汇聚设备。在每个县部署l台横向汇聚交换机,作为县级委办局和乡镇横向接入的汇聚设备。
注:以上叙述(包括网络拓扑结构图)为考试而设计,与现实情况不一定完全吻合。
问答题
在上图中,省级横向网的核心层采用了2.5Gbps RPR/POS环网。结合你的网络规划经验,请简要说明POS接口的配置参数及其配置过程中需要注意的相关问题。
【正确答案】POS接口的配置参数有接口带宽、接口地址、链路层协议、帧格式、CRC校验和Flag(帧头中净负荷类型的标志位)等
接口的链路层协议、帧格式、CRC校验和Flag(帧头中净负荷类型的标志位)等参数必须与对端接口的参数保持一致
【答案解析】设计本问题的目的是考核读者对POS接口参数的配置实践经验。本题的解答思路如下。
POS(Packet over SONET/SDH)是一种利用SONET/SDH提供的高速传输通道直接传送IP数据包的网络连接技术。POS技术支持光纤介质,使用的数据链路层协议主要有PPP和HDLC。在路由器上插入一块POS模块,就能提供POS接口。目前,POS可以提供155Mbps、622Mbps、2.5Gbps和10Gbps数据传输速率的接口。
POS接口的配置参数有接口带宽、接口地址、链路层协议、帧格式、CRC校验和Flag(帧头中净负荷类型的标志位)等。在配置POS接口时需要注意的是,有些参数必须与对端接口的参数保持一致,如接口的链路层协议、帧格式、CRC校验和Flag。
问答题
根据政务外网所承载的业务和系统服务类型的不同,在逻辑上可将政务外网划分为公用网络区、专用网络区和互联网接入区3个功能域。其中,公用网络区用于实现各部门、各地区互联互通;专用网络区用于实现不同部门或不同业务之间的虚拟专用网(VPN)相互隔离;互联网接入区用于实现面向社会的公共服务需求。
结合你的网络规划设计经验和如上图所示的拓扑结构,请给出一个政务外网IP地址和域名的规划设计的基本方案。
【正确答案】IP地址与域名的规划设计方案的基本思路如下(包含但不限于以下方案)。
公用网络区:
①业务地址采用预先分配的政务外网公用地址(CNNIC注册,内部使用,按需申请);
②用户终端使用内部私有地址,并通过相应的网络设备(如防火墙、路由器等)实现NAT之后再接入;
③采用树状体系的内部域名(统一规范)。
专用网络区:
①采用内部私有地址直接接入;
②域名可以由各单位、各部门自行负责。
互联网接入区
①Internet出口IP地址由本地运营商分配;
②业务地址采用预先分配的地址,按需使用;
③用户终端使用内部私有地址,并通过相应的网络设备(如防火墙、路由器等)实现NAT之后再接入;
④采用互联网域名
【答案解析】设计本问题的目的是加深读者对电子政力外网专用网络IP地址、域名的规划设计的理解。本题的解答思路如下。
构建政务外网有两个目的,①是加强政府的管理能力,提高政府为公众提供服务的能力;②是减少重复建设,节约投资,促进政务部门间互联互通和信息共享。政务外网是覆盖全国的非涉密的政务公用网络,与互联网逻辑隔离。政务外网分为公用网络区、专用网络区和互联网接入区3个应用区域。
公用网络区是指采用政务外网公用地址(即从CNNIC注册的地址)的网络区域,是政务外网的主干道,实现各部门、各地区互连互通,为跨地区、跨部门的提供支撑平台。公用网络区原则上不提供Internet路由。该区的业务特点是“接入即开通”,用户网络通过安全设备(如防火墙、IPS等)进行接入,同时在用户网络边缘实施NAT,将用户网络地址转换成政务外网合法的公有地址后实现接入。以上图省级横向网接入层为例,在该区域为各厅级单位分配N个业务地址。例如,分配地址块20.10.x.x/28给农业厅,其中扣除1个子网网络地址、1个子网直接广播地址、1个网关地址和1个统一管理地址,农业厅网络可实际使用的地址为12个。当接入终端小于等于12台时,可以直接在终端上配置业务地址即可接入至公用网络区;当接入终端大于12台时,终端需要使用用户自行规划的内部私有地址(如192.168.x.x地址块),并通过相应的网络设备(如防火墙、路由器等)实现NAT之后再接入公用网络区。本区域采用树状体系的内部域名。
专用网络区是依托政务外网基础设施,为有特定需求的部门或业务设置的VPN网络区域,实现不同部门或不同业务之间的相互隔离。VPN网络区域主要为少数部门的特定业务数据传输提供安全通道。该区的业务特点是“按需开通”,用户根据自身业务的需求,以私有IP地址的方式实现接入。同时,允许用户开通多个专用VPN业务。运营商为这些专用的VPN业务提供安全的传输通道。在上图中,根据MPLS VPN网络的特点,本区域可以采用内部私有地址(如10.x.x.x地址块)直接接入,域名可以由各单位、各部门自行定义、管理。
互联网接入区是各级政务部门通过逻辑隔离手段安全接入Internet的网络区域,满足各级政务部门公共服务业务应用的需要。该区的业务特点是“按需开通”,用户网络通过安全设备(如防火墙、IPS等)进行接入,同时在用户网络边缘实施NAT,将用户网络地址转换成运营商提供的合法公有地址后实现接入。同时,该区的另一个特点是“带宽与应用的严格限制”,即对用户接入带宽与Internet应用服务进行限制。以上图省级横向网接入层为例,在该区域需要根据各厅级单位规模大小,按需分配业务地址。用户终端需要使用用户自行规划的内部私有地址,并通过相应的网络设备(如防火墙、IPS、路由器等)实现NAT之后再接入Internet。Internet出口IP地址由本地运营商分配。本区域采用互联网域名。
公用网络区和专用网络区是相对封闭的,主要运行各级政府内部的管理业务,促进各级部门间的信息共享和业务协同。政务部门为公众提供服务的业务则运行在政务外网的互联网接入区,公众通过Internet获得政府提供的服务。
问答题
A省省政府直属各单位在省政务外网上利用MPLS VPN技术,连接本系统内部省、市、县(市、区)相关部门的纵向业务网络。请结合上图所示的拓扑结构,简要说明在省级横向网——汇聚层每台PE路由器上配置MPLS VPN的具体实施步骤。
【正确答案】①配置PE设备的Loopback地址,作为PE间MP-BGP互通的接口地址;
②配置PE与PE及PE与P之间互联的IGP协议(如OSPF等),实现PE和P之间的互通;
③在PE设备上配置MPLS基本能力,使能LDP,建立LDP LSP;
④在PE设备上需要启用MPLS功能的接口建立使能LDP;
⑤PE间建立MP-BGP对等体关系;
⑥在PE上配置VPN实例,将实例与对应CE接口捆绑,将CE接入PE,配置CE与PE互联接口的地址及路由协议,使PE和CE能够互通
【答案解析】设计本问题的目的是加深读者对MPLS VPN配置与实施的理解。本题的解答思路如下。
MPLS VPN主要有CE、PE和P等3种路由器。其中,CE路由器(Custom Edge Router,用户网络边缘路由器)用于发布用户网络路由。在上图中,MCE是Multi-CE的简称,具有MCE功能的交换机可以在MPLS VPN组网应用中承担多个VPN实例的CE功能,减少用户网络设备的投入。PE路由器(Provider Edge Router,骨干网边缘路由器)与用户的CE直接相连,负责VPN业务接入,存储VRF(Virtual Routing Forwarding Instance),处理VPN-IPv4路由,是MPLS三层VPN的主要实现者。P路由器(Provider Router,骨干网核心路由器)负责快速转发MPLS数据,不与CE直接相连。在整个MPLS VPN网络中,对VPN的所有处理都发生在PE路由器上,P、PE设备需要支持MPLS的基本功能,CE设备不必支持MPLS。
依题意,在上图所示的省级横向网——汇聚层中,每台PE路由器上配置MPLS VPN的一般性实施步骤如下。
①配置PE及P设备的Loopback地址,作为PE间MP-BGP互通的接口地址;
②配置PE与PE及PE与P之间互联的IGP协议(如OSPF),实现PE和P之间的互通:
③在PE及P设备上配置MPLS基本能力,使能LDP,建立LDPLSP;
④在PE设备上需要启用MPLS功能的接口建立使能LDP,P设备不需要在接口配置(对于P设备的接口,只需要转发而不需要进行MPLS封装);
⑤PE间建立MP-BGP对等体关系;
⑥在PE上配置VPN实例,将实例与对应CE接口捆绑,将CE接入PE,配置CE与PE互联接口的地址及路由协议,使PE和CE能够互通。
问答题
由于政务外网承载的各类数据、语音、视频的数据量会随着业务系统的应用范围扩大而急剧增长,因此在基于MPLS VPN的政务外网中,需要引入支持DiffServ和IntServ两种机制的QoS策略。结合你的网络规划经验,简要说明DiffServ和IntServ两种机制在控制粒度、控制范围方面的主要区别,并简述在上图网络中,具体实施DiffServ策略的一般思路。
【正确答案】①根据需要选择在CE上或PE上对业务流进行分类,将业务流分为三类:数据、视频、语音;
②不同的业务流在进行标签交换时,即PE在给报文加Label时,会把IP报文携带的TOS值映射到标签的CoS域,这样原来由IP携带的类型信息,现在由标签携带;
③在PE路由器之间,根据标签的CoS域,进行有差别的调度(PQ、CQ、WFQ等),即把携带标签的业务流在一条LSP上进行有差别的QoS的传送
【答案解析】设计本问题的目的是加深读者对DiffServ和IntServ两种QoS机制区别及其应用的理解。本题的解答思路如下。
由于政务信息网络承载的数据有语音、视频、重要数据,它们对带宽、延迟、抖动敏感、实时性要求是不同的,因此需要考虑如何保证服务质量的问题。政务信息网络的各类数据、语音、视频的数据量会随着业务系统的应用范围扩大而急剧增长,所以需要引入QoS策略。
在基于MPLS VPN的政务外网中,QoS策略要支持差分服务(DiffServ)和集成服务(IntServ)两种机制。它们在功能和特性之间的一些对比见下表。
MPLS VPN可以直接利用MPLS的流量工程和QoS能力。对于具有不同的QoS要求的业务,可以使用不同的技术组合来提供实现。例如,对于没有特别服务质量要求的业务,可以使用MPLS中的DiffServ技术;对于严格的业务参数要求的业务,则可以合用MPLS中的IntServ技术。
在政务网络上,从CE到PE的数据流主要有三部分业务:语音、视频、数据,根据DiffServ模型边界进行流分类,并打标记,打上标记的报文中在骨干中进行有差别的服务。具体实现的示例如下。
●根据需要选择在CE或PE上对业务流进行分类,将业务流分为三类:数据、视频、语音。
●不同的业务流在进行标签交换时,即PE在给报文加Label时,会把IP报文携带的TOS值映射到标签的COS域,这样原来由IP携带的类型信息,现在由标签携带。
●在PE路由器之间,根据标签的CoS域,进行有差别的调度(PQ、CQ、WFQ等),即把携带标签的业务流在一条LSP上进行有差别的QoS的传送
由于政务信息网络承载的数据有语音、视频、重要数据,它们对带宽、延迟、抖动敏感、实时性要求是不同的,因此需要考虑如何保证服务质量的问题。政务信息网络的各类数据、语音、视频的数据量会随着业务系统的应用范围扩大而急剧增长,所以需要引入QoS策略。
在基于MPLS VPN的政务外网中,QoS策略要支持差分服务(DiffServ)和集成服务(IntServ)两种机制。它们在功能和特性之间的一些对比见下表。
| {{B}}DiffServ和IntServ两种制的区别{{/B}} | ||
| 功能/特性 | DiffServ | IntServ |
| 控制粒度 | 流会聚在类中 | 按单一流或流组 |
| 控制范围 | 应用到逐跳转发的网络设备上 | 应用到流的端到端路径中的所有网络设备上 |
| 可扩展性 | 可扩展到服务提供商的大中型网络 | 限制在中小型网络 |
在政务网络上,从CE到PE的数据流主要有三部分业务:语音、视频、数据,根据DiffServ模型边界进行流分类,并打标记,打上标记的报文中在骨干中进行有差别的服务。具体实现的示例如下。
●根据需要选择在CE或PE上对业务流进行分类,将业务流分为三类:数据、视频、语音。
●不同的业务流在进行标签交换时,即PE在给报文加Label时,会把IP报文携带的TOS值映射到标签的COS域,这样原来由IP携带的类型信息,现在由标签携带。
●在PE路由器之间,根据标签的CoS域,进行有差别的调度(PQ、CQ、WFQ等),即把携带标签的业务流在一条LSP上进行有差别的QoS的传送