【计算机类职业资格】高级网络规划设计师下午试题(Ⅰ)-9及答案解析.doc

1、高级网络规划设计师下午试题()-9 及答案解析(总分：74.98，做题时间：90 分钟)一、试题一(总题数：1，分数：25.00)说明某省级重点中学欲构建一个局域网，考虑到该中学的很多现代化教学业务依托于网络，要求中学内部用户能够高速访问相关的 5台内部高性能服务器，并且要求通过网络的冗余性设计来获得较高的各类业务服务的可用性。某系统集成公司根据该中学的相关需求，将网络拓扑结构设计为双核心来进行负载均衡和容错。该公司给出的网络拓扑图如图 6-7所示。（分数：24.99）(1).问题 1根据用户需求和设计要求，请指出图 6-7中不合理的设计之处，并给出相应的改进方案。（分数：8.33）_(2).

2、问题 2(1)假设平均每天经常浏览网页的用户数为 300个，每用户平均每分钟产生 12个事务处理任务，事务量大小为 0.05MB，则该校园网浏览网页需要的信息传输速率约为_Mbps。(2)假设该校园网共有 20间多媒体教室，平均每间多媒体教室有 4个摄像机，每台摄像机采用 CIF格式(分辨率为 352288)实时采集视频流，码流为 512Kbps，则该校园网多媒体教室视频监控的应用业务流量约为_Mbps。（分数：8.33）_(3).问题 3在校外住宿的教职工要求使用校园网部分内部服务器以满足其备课及浏览校园信息等需求。系统集成公司采用了 IPSec VPN的远程接入方案。请从安全保证角度简要叙

3、述实现 VPN的几种关键技术。（分数：8.33）_二、试题二(总题数：1，分数：25.00)说明S省某高校的校园网络拓扑结构如图 6-8所示。根据该校信息化建设领导小组的要求，要实现负载均衡和冗余备份，构建无阻塞、高性能的网络基础设施平台，该校园网络采用两台 S7010万兆骨干路由交换机作为双核心，汇聚交换机(或部门交换机)通过光纤链路分别与两台核心交换机相连，通过防火墙和边界路由器与 Internet相连。全网交换机都启用了 MSTP生成树模式，并配置了相同的实例、域名称和版本修订号。该校园网两台 S7010之间相连的端口均为 Trunk端口，S7010 与其下连的汇聚交换机(或部门交换机)

4、之间相连的端口也均为 Trunk端口。假设校园网中每台核心交换机对数据帧的转发延时为 10ms，每台汇聚交换机(或部门交换机)对数据帧的转发延时为 25ms，每个数据帧经过所有通信线路的信号传输延时都为1ms(暂不考虑传输距离等因素)。该校园网中部分 PC的 IP地址及所属 VLAN等信息如表 6-2所示。表 6-2 部分 PC的 IP地址及所属 VLAN网络设置 IP地址 所属 VLAN网络设置 IP地址 所属 VLANPC1 10.3.9.10/24 VLAN5 PC5 10.3.10.21/24VLAN6PC2 10.3.10.10/24VLAN6 PC6 10.3.11.21/24VL

5、AN7PC3 10.3.11.10/24VLAN7 PC7 10.3.9.21/24 VLAN5PC4 10.3.12.10/24VLAN8（分数：25.00）(1).问题 1核心三层交换机 S7010-1的部分 MSTP配置信息如下：S7010-1 (config)#spanning-tree mst 1 priority 12288S7010-1 (config)#spanning-tree mst configurationS7010-1 (config-mst)#instance 1 VLAN 6,8S7010-1 (config-mst)#instance 2 VLAN 5,7S70

6、10-1 (config-mst)#name region1S7010-1 (config-mst)#revision1核心三层交换机 S7010-2的部分 MSTP配置信息如下：S7010-2 (config)#spanning-tree mst 2 priority 12288S7010-2 (config)#spanning-tree mst configurationS7010-2 (config-mst)#instance 1 VLAN 6,8S7010-2 (config-mst)#instance 2 VLAN 5,7S7010-2 (config-mst)#name regio

7、n1S7010-2 (config-mst)#revision1(1)请问 instance1的生成树的根交换机是哪一台?为什么?(2)对于 instance2而言，位于学术交流中心的交换机 C3750G的根端口是哪个端口?为什么?(3)请指出 PC2发送给 PC5的数据包经过的设备路径。(格式：PC2设备 1PC5)(4)请计算 PC5每次发送给 PC2的数据包的设备转发延迟时间。（分数：12.50）_(2).问题 2在核心层交换机 S7010-1中 VLAN6的 IP地址配置为 10.3.10.1/24，VLAN7 的 IP地址配置为10.3.11.254/24。核心三层交换机 S7010

8、-1的部分 VRRP配置信息如下：S7010-1 (config)#interface VLAN6S7010-1 (config-if)#vrrp 10 ip 10.3.10.1S7010-1 (config-if)#vrrp 10 preemptS7010-1 (config)#interface VLAN7S7010-1 (config-if)#vrrp 11 ip 10.3.11.1在核心三层交换机 S7010-2中 VLAN6的 IP地址配置为 10.3.10.254/24，VLAN7 的 IP地址配置为10.3.11.1/24。核心三层交换机 S7010-1的部分 VRRP配置信息如

9、下：S7010-2 (config)#interface VLAN6S7010-2 (config-if)#vrrp 10 ip 10.3.10.1S7010-2 (config)#interface VLAN7S7010-2 (config-if)#vrrp 11 ip 10.3.11.1S7010-2 (config-if)#vrrp 11 (1)PC5主机中设置的网关 IP地址为 10.3.10.1，在网络正常运行的情况下，请按照以下格式写出 PC5访问 Internet的数据转发路径。(格式：PC5设备 1Internet。不写返回路径)(2)连接在交换机 C2960S的 PC3主机中

10、设置的网关 IP地址为 10.3.11.1，在网络正常运行的情况下，请按照以下格式写出 PC3访问 Internet的数据转发路径。(格式：PC3设备 1Internet。不写返回路径)(3)假设三层交换机 S7010-1需要临时宕机 25分钟进行板卡检修并升级操作系统。请问这 25分钟时段内 PC5在没有修改原有网关 IP地址的情况下，能否访问 Internet?请结合交换机S7010-1宕机后发生的变化简要说明原因。（分数：12.50）_三、试题三(总题数：1，分数：25.00)说明位于 Z城市的某大型集团公司要求建设覆盖全公司所有二级单位的园区网络，将各个信息资源有效地连接起来，充分发挥

11、网络及网上信息的效能，使公司的管理、科研和生产实现条理化、规范化、科学化、现代化。以机关大楼为中心，连接各下属单位，组建园区网。具体组网要求如下。(1)公司针对网络的投资规模及网络扩展性要求，中心结点与公司下属单位之间主要租用电信公司光纤组网。(2)公司业务数据集中存放在信息中心，同时在信息中心设置管理系统，集中对网络资源、应用系统及安全等方面进行管理。(3)设置 Internet访问出口。(4)公司园区网对外设置出口，与其他城市的分支机构相连。基于网络的主要应用包括：Internet/Intranet 应用，全公司范围的办公自动化，传统 MIS系统和数据库应用等。具体如下。(1)Intran

12、et服务。建立该公司内部集中的信息网站，为公司内部所有上网用户提供生产调度、产品营销、物资供应、商情信息、科技动态、安全生产、动力计量、生产技术、环境保护、行业信息、外事外贸、国外公司、内部服务等信息服务。(2)办公自动化。该系统具有日常办公、信息服务、辅助办公等功能，同时还通过 Notes实现全公司范围内的内部电子邮件传输。(3)传统 MIS应用。包括公司生产调度系统、动力计量管理系统、公司固定资产管理系统及人力资源管理系统。(4)文件服务。局域网内文件共享、C/S 应用或 B/S应用、文件传输等常用办公文档应用。(5)Internet服务。出口应用服务，包括 Web站点、E-mail 系统

13、、DNS 系统、FTP 系统等。(6)VoIP服务。集团网内 VoIP数据传输。(7)视频会议。集团网内视频会议数据传输。（分数：24.99）(1).问题 1网络逻辑结构设计的工作任务是基于用户需求中描述的网络行为、性能等要求，根据网络用户的分类、分布形成特定的网络结构。网络安全设计是网络逻辑设计过程中的一个关键性内容。通常，规划师可以通过哪些步骤进行网络安全设计?（分数：8.33）_(2).问题 2图 6-9示意了规划师在设计网络体系时可能使用的一种安全架构模型。请从以下选项中选择合适的内容填入图 6-9相应的空白处。*备选答案A技术体系 B组织体系 C管理体系 D系统安全E安全服务 F入侵

14、监控 G密钥管理 H物理安全（分数：8.33）_(3).问题 3该集团公司园区网建设过程中，要求在管理、网络、服务器、应用层等方面提供全面的安全设计方案。结合你的网络规划设计经验，请给出该集团公司园区网中网络层面的相关安全解决方案。（分数：8.33）_高级网络规划设计师下午试题()-9 答案解析(总分：74.98，做题时间：90 分钟)一、试题一(总题数：1，分数：25.00)说明某省级重点中学欲构建一个局域网，考虑到该中学的很多现代化教学业务依托于网络，要求中学内部用户能够高速访问相关的 5台内部高性能服务器，并且要求通过网络的冗余性设计来获得较高的各类业务服务的可用性。某系统集成公司根据该

15、中学的相关需求，将网络拓扑结构设计为双核心来进行负载均衡和容错。该公司给出的网络拓扑图如图 6-7所示。（分数：24.99）(1).问题 1根据用户需求和设计要求，请指出图 6-7中不合理的设计之处，并给出相应的改进方案。（分数：8.33）_正确答案：(核心交换机 2直接上连至边界路由器，其通信数据无法得到防火墙的安全防护；改进方案：将核心交换机 2上连至防火墙。两台核心交换机之间没有进行双高速链路相互连接；改进方案：将两台核心交换机间采用链路聚合技术进行双千兆(或万兆)链路连接。汇聚交换机 3缺少了一条与核心交换机 1连接的高速通信链路；改进方案：将汇聚交换机 3与核心交换机 1进行千兆链路

16、连接。内部服务器区连接在接入交换机 4上，不能保证高速访问；改进方案：去掉接入交换机，将汇聚交换机 3更换成较高性能的汇聚交换机；改进方案：若两台核心交换机有空余的高速以太端口，则将 5台内部服务器直接连接到这些高速以太端口中。有一个桌面用户同时连接至接入交换机 2和接入交换机 3；改进方案：删除该客户机连接至接入交换机3(或接入交换机 2)的连接链路。双网卡用户同时通过该校园网和 ADSL宽带接入方式访问 Internet，形成了接入层的“后门”现象；改进方案：删除该客户机的 ADSL宽带接入链路)解析：解析 依题意，图 6-7所示的网络设备连接结构图中，存在的几点不合理之处及相应的改进方案

17、如下。(1)图 6-7中核心交换机 2错误地直接上连至边界路由器，核心交换机 2的相关通信数据无法得到防火墙的相关安全防护。改进方案：将核心交换机 2上连至防火墙，如图 6-10中的虚线所示。(2)图 6-7中两台核心交换机之间没有相互连接。改进方案：将两台核心交换机之间进行双千兆(或万兆)链路连接，并通过应用链路聚合技术(如 LCAP等)，提高主干道的吞吐量，并实现负载分担，以提高核心层的高速数据转发，如图 6-10所示。(3)该中学 5台内部高性能服务器连接在接入交换机 4上，增大了服务延迟时间，无法实现题意中“中学内部用户能够高速访问”的性能要求。改进方案：去掉接入交换机 4，将汇聚交换

18、机 3更换成较高性能的汇聚交换机，新汇聚交换机与核心交换机之间实现双千兆链路冗余连接，然后将 5台服务器连接在新汇聚交换机上，如图 6-10所示。改进方案：若两台核心交换机分别有 5个可供使用的高速以太端口，则在 5台内部服务器上分别安装(或替换)两块高速以太网卡，两块网卡分别连接到两台核心交换机的高速以太端口，以保证服务器的高速访问，如图 6-11所示。(2).问题 2(1)假设平均每天经常浏览网页的用户数为 300个，每用户平均每分钟产生 12个事务处理任务，事务量大小为 0.05MB，则该校园网浏览网页需要的信息传输速率约为_Mbps。(2)假设该校园网共有 20间多媒体教室，平均每间多

19、媒体教室有 4个摄像机，每台摄像机采用 CIF格式(分辨率为 352288)实时采集视频流，码流为 512Kbps，则该校园网多媒体教室视频监控的应用业务流量约为_Mbps。（分数：8.33）_正确答案：(1)25.17 或 24(2)40.96)解析：解析 某个应用业务的网络流量计算公式如下：应用的数据传输速率=平均事务量大小每字节位数每个会话事务数平均用户数/平均会话长度。依题意，该校园网经常浏览网页的用户数为 300个，每用户每分钟(60s)平均产生 12个事务处理任务，事务量大小为 0.05 MB(即 0.05102410248bit)，则浏览网页需要的信息传输速率为 25.17Mbp

20、s。具体计算过程如下：00510241024812300/(60)=25165824bps25.17Mbps若考试不允许带计算器，则该校园网浏览网页应用的流量估算值也可按下式近似计算：300120.058/60=24Mbps。在实际网络工程规划与设计过程中，为了保证峰值情况下所设计的网络能够正常运行，在考虑峰值用户数等因素的情况下，应用的数据传输速率一平均事务量大小每字节位数每个会话事务数峰值用户数/平均会话长度。对于该校园网多媒体教室视频监控的应用业务，峰值用户数为 204=80个，每个会话的事务数为 1个。因此，该应用的流量约为 5121000180bps=40960000bps=40.9

21、6MbDs。(3).问题 3在校外住宿的教职工要求使用校园网部分内部服务器以满足其备课及浏览校园信息等需求。系统集成公司采用了 IPSec VPN的远程接入方案。请从安全保证角度简要叙述实现 VPN的几种关键技术。（分数：8.33）_正确答案：(隧道技术：是 VPN的基本技术，类似于点对点连接技术，它在公用网建立一条数据通道，让数据包通过这条通道传输加解密技术：是数据通信中一项较成熟的技术，VPN 可直接利用现有技术密钥管理技术：其主要任务是保证在公用数据网上安全地传递密钥而不被窃取身份认证技术：最常用的是使用者名称与密码或卡片式认证等方式)解析：解析 虚拟专用网(VPN)指的是依靠 Inte

22、rnet服务提供商(ISP)和其他网络服务提供商(NSP)，在公用网络中建立专用的数据通信网络的技术。其中，“虚拟”是指用户不再需要拥有实际的长途数据线路，而是使用公共Internet的数据线路。“专用网络”是指用户可以为自己制订一个最符合自己需要的网络。目前 VPN技术主要采用隧道技术(Tunneling)、加解密技术(Encryption & Decryption)、密钥管理技术(Key Management)、使用者与设备身份认证技术(Authentication)等来保证内部数据在 Internet上的安全传输。隧道技术是 VPN的基本技术，类似于点对点连接技术，它在公用网上建立一条数

23、据通道(隧道)，让数据包通过这条隧道传输。隧道是由隧道协议形成的，分为第二、第三、第四层隧道协议。第二层隧道协议是先把各种网络协议封装到 PPP帧中，再把整个数据包装入隧道协议中。第二层隧道协议有L2F、PPTP、L2TP 等。第三层隧道协议是把各种网络协议直接装入隧道协议中，形成的数据包依靠第三层协议进行传输。IPSec 协议是第三层隧道协议的典型代表，SSL 协议是第四层隧道协议的典型代表。加解密技术是数据通信中一项较成熟的技术，VPN 可直接利用现有的对称密码和非对称密码的加解密技术。通过对公共 Internet传递的数据进行加密，确保网络其他未授权的用户无法读取该信息。密钥管理技术的主

24、要任务是保证在公用数据网上安全传递密钥而不被窃取。使用者与设备身份认证技术通常使用用户名和密码认证、卡片式认证或 USB加密狗认证等方式来保证数据的安全传输。二、试题二(总题数：1，分数：25.00)说明S省某高校的校园网络拓扑结构如图 6-8所示。根据该校信息化建设领导小组的要求，要实现负载均衡和冗余备份，构建无阻塞、高性能的网络基础设施平台，该校园网络采用两台 S7010万兆骨干路由交换机作为双核心，汇聚交换机(或部门交换机)通过光纤链路分别与两台核心交换机相连，通过防火墙和边界路由器与 Internet相连。全网交换机都启用了 MSTP生成树模式，并配置了相同的实例、域名称和版本修订号。

25、该校园网两台 S7010之间相连的端口均为 Trunk端口，S7010 与其下连的汇聚交换机(或部门交换机)之间相连的端口也均为 Trunk端口。假设校园网中每台核心交换机对数据帧的转发延时为 10ms，每台汇聚交换机(或部门交换机)对数据帧的转发延时为 25ms，每个数据帧经过所有通信线路的信号传输延时都为1ms(暂不考虑传输距离等因素)。该校园网中部分 PC的 IP地址及所属 VLAN等信息如表 6-2所示。表 6-2 部分 PC的 IP地址及所属 VLAN网络设置 IP地址 所属 VLAN网络设置 IP地址 所属 VLANPC1 10.3.9.10/24 VLAN5 PC5 10.3.1

26、0.21/24VLAN6PC2 10.3.10.10/24VLAN6 PC6 10.3.11.21/24VLAN7PC3 10.3.11.10/24VLAN7 PC7 10.3.9.21/24 VLAN5PC4 10.3.12.10/24VLAN8（分数：25.00）(1).问题 1核心三层交换机 S7010-1的部分 MSTP配置信息如下：S7010-1 (config)#spanning-tree mst 1 priority 12288S7010-1 (config)#spanning-tree mst configurationS7010-1 (config-mst)#instance

27、 1 VLAN 6,8S7010-1 (config-mst)#instance 2 VLAN 5,7S7010-1 (config-mst)#name region1S7010-1 (config-mst)#revision1核心三层交换机 S7010-2的部分 MSTP配置信息如下：S7010-2 (config)#spanning-tree mst 2 priority 12288S7010-2 (config)#spanning-tree mst configurationS7010-2 (config-mst)#instance 1 VLAN 6,8S7010-2 (config-m

28、st)#instance 2 VLAN 5,7S7010-2 (config-mst)#name region1S7010-2 (config-mst)#revision1(1)请问 instance1的生成树的根交换机是哪一台?为什么?(2)对于 instance2而言，位于学术交流中心的交换机 C3750G的根端口是哪个端口?为什么?(3)请指出 PC2发送给 PC5的数据包经过的设备路径。(格式：PC2设备 1PC5)(4)请计算 PC5每次发送给 PC2的数据包的设备转发延迟时间。（分数：12.50）_正确答案：(1)S7010-1，因为该交换机在 instance1中的优先级的值较小

29、，优先成为该实例的根交换机(2)Gig2/2端口，因为 instance2的生成树的根交换机是 S7010-2，C3750G 距离根交换机最近的端口为根端口(或 C3750G的 Gig2/2端口距离根交换机的开销路径最小)(3)PC2C2960S-lC4503E(Gig2/1)S7010-1S2960S-2(Gig2/1)PC5(4)85ms)解析：解析 生成树协议(STP)的主要功能是，将环路网络修剪成为一个无环的树型网络，避免报文在环路网络中的增生和无限循环，同时允许在第二层链路中提供数据转发的多个冗余路径，以保证网络可靠、稳定地运行。IEEE802.1D是最早、最流行、应用最广泛的 ST

30、P标准，它提供了动态冗余切换机制。多实例生成树协议(MSTP)能够提高快速生成树协议(RSTP)的扩展性，将一组基于 VLAN的生成树聚合成不同的实例，可以提供多条数据转发路径，并在数据转发过程中实现 VLAN数据的负载均衡。MSTP 的标准是IEEE802.1s，它兼容 STP和 RSTP，并且可以弥补 STP和 RSTP的缺陷。换而言之，MSTP 既可以快速收敛，也能使不同 VLAN的流量沿各自的路径分发，从而为冗余链路提供了更好的负载分担机制。MSTP定义了实例(Instance)和域的概念。STP/RSTP 是基于端口的，而 MSTP是基于实例的。所谓实例就是多个 VLAN的一个集合，

31、通过将多个 VLAN捆绑到一个实例可以节省通信开销和资源占用率。在运行 MSTP的网络中，将支持 MSTP的交换机和不支持 MSTP的交换机划分成不同的区域，分别称作 MST域和 SST域。在 MST域内部运行多实例化的生成树，在 MST域的边缘运行 RSTP兼容的内部生成树 IST(Internal Spanning Tree)。依题意，对于核心三层交换机 S7010-1关于 MSTP的相关配置中，配置语句“spanning-tree mst 1 priority 12288”的功能是，配置当前交换机在 MST生成树实例 1中的优先级值为 12288。通常，生成树优先级的取值范围是 0614

32、40，增量为 4096。优先级的值越小，优先级越高。默认情况下，交换机的生成树优先级值为 32768。由于 12288(=40963)32768，而值越小优先级越高，因此核心三层交换机S7010-1将成为生成树实例 1(instance1)中的根交换机。同理，核心三层交换机 S7010-2关于 MSTP的配置语句“spanning-tree mst 2 priority 12288”，其功能是配置当前交换机在 MST生成树实例 2中的优先级值为 12288。因此 S7010-2将成为生成树实例2(instance2)中的根交换机。交换机 S7010-1和 S7010-2中，配置语句“spann

33、ing-tree mst configuration”的功能是，进入 MST配置子模式来配置 MST的相关参数。配置语句“instance1 VLAN 6,8”的功能是，将 VLAN6和 VLAN 8映射到生成树实例 1。配置语句“instance2 VLAN5,7”的功能是，将 VLAN5和 VLAN7映射到生成树实例 2。配置语句“name regionl”的功能是，配置 MST区域名称为 region1。配置语句“revision1”的功能是，配置 MST的版本修订号为版本 1。一个交换网络可以存在多个 MST域。用户可以通过 MSTP配置命令将多台交换机划分在同一个 MST域内。域内所

34、有交换机都具有相同的域名、相同的 VLAN到生成树映射配置和相同的 MSTP修订级别配置，并且物理上有链路连通。通常，在运行 STP/RSTP/MSTP的交换机中，将其距离根交换机的最低开销路径的端口称为根端口。因此在图 6-8所示的网络拓扑结构中，对于生成树实例 1(instance1)而言，生成树的根交换机是 S7010-1，学术交流中心交换机 C3750G的根端口是 Gig2/1端口，教学南楼及北楼的交换机 C4503E的根端口是 Gig2/1端口，研究生楼的交换机 C2960S-2的根端口都是 Gig2/1端口。同理，对于生成树实例 2(instance2)而言，生成树的根交换机是 S

35、7010-2，交换机 C3750G、C4503E、C2960S-2 的根端口都是 Gig2/2端口。由表 6-2可知，处于地址段 10.3.10.0/24中的 PC2和 PC5同属于 VLAN6。而根据配置语句“instance1 VLAN6,8”可知，VLAN6 和 VLAN8被映射到生成树实例 1(instance1)。结合上述生成树实例 1根端口的分析结果，可以得出 PC2发送给 PC5的数据包传输路径是：PC2C2960S-1C4503E(Gig2/1)S7010-1S2960S-2(Gig2/1)PC5。反之，PC5 发送给 PC2的数据包传输路径是：PC5S2960S-2(Gig2

36、/1)S7010-1C4503E(Gig2/1)C2960S-1PC2。由此可见，PC5 每次发送给 PC2的数据包需要经过 3台汇聚交换机(或部门交换机)和 1台核心交换机，因此，PC5 每次与 PC2通信时数据帧的设备转发延迟时间t=325+110=85ms。(2).问题 2在核心层交换机 S7010-1中 VLAN6的 IP地址配置为 10.3.10.1/24，VLAN7 的 IP地址配置为10.3.11.254/24。核心三层交换机 S7010-1的部分 VRRP配置信息如下：S7010-1 (config)#interface VLAN6S7010-1 (config-if)#vrr

37、p 10 ip 10.3.10.1S7010-1 (config-if)#vrrp 10 preemptS7010-1 (config)#interface VLAN7S7010-1 (config-if)#vrrp 11 ip 10.3.11.1在核心三层交换机 S7010-2中 VLAN6的 IP地址配置为 10.3.10.254/24，VLAN7 的 IP地址配置为10.3.11.1/24。核心三层交换机 S7010-1的部分 VRRP配置信息如下：S7010-2 (config)#interface VLAN6S7010-2 (config-if)#vrrp 10 ip 10.3.10

38、.1S7010-2 (config)#interface VLAN7S7010-2 (config-if)#vrrp 11 ip 10.3.11.1S7010-2 (config-if)#vrrp 11 (1)PC5主机中设置的网关 IP地址为 10.3.10.1，在网络正常运行的情况下，请按照以下格式写出 PC5访问 Internet的数据转发路径。(格式：PC5设备 1Internet。不写返回路径)(2)连接在交换机 C2960S的 PC3主机中设置的网关 IP地址为 10.3.11.1，在网络正常运行的情况下，请按照以下格式写出 PC3访问 Internet的数据转发路径。(格式：PC

39、3设备 1Internet。不写返回路径)(3)假设三层交换机 S7010-1需要临时宕机 25分钟进行板卡检修并升级操作系统。请问这 25分钟时段内 PC5在没有修改原有网关 IP地址的情况下，能否访问 Internet?请结合交换机S7010-1宕机后发生的变化简要说明原因。（分数：12.50）_正确答案：(1)PC5C2960S-2(Gig2/1)S7010-1UTM 安全网关防火墙 FW边界路由器 RInternet(2)PC3C2960S-1C4503E(Gig2/2)S7010-2UTM(安全网关)防火墙(FW)边界路由器(R)Internet(3)能(可以)访问 Internet

40、理由：当 VRRP组 10的主控路由器 S7010-1宕机后，经过主路由器失效间隔时间后，备份路由器 S7010-2就会自动切换成为主控路由器，并以虚拟 MAC地址响应虚拟 Ip地址的 ARP请求，同时负责转发目的 MAC地址为虚拟 MAC地址的 IP报文，从而保证了对用户 PC5透明的网关切换，因此 PC5并不需要修改原有网关 IP，仍可以访问 Internet。)解析：解析 由表 6-2可知，处于地址段 10.3.10.0/24中的 PC5归属于 VLAN6。结合问题 1的分析思路和分析结果，VLAN6被映射到生成树实例 1(instance1)。而对于 instance1而言，生成树的根

41、交换机是 S7010-1，交换机 C2960S-2的根端口是 Gig2/1端口。因此在网络正常运行的情况下，连接在交换机 C2960S-2的 PC5访问 Internet的数据转发路径是：PC5C2960S-2(Gig2/1)S7010-1UTM 安全网关防火墙 FW边界路由器 RInternet。同理，处于地址段 10.3.11.0/24中的 PC3隶属于 VLAN7，VLAN7 被映射到生成树实例 2(instance2)。而对于 instance2而言，生成树的根交换机是 S7010-2，交换机 C4503E的根端口是 Gig2/2端口。因此在网络正常运行的情况下，连接在交换机 C296

42、0S-1的 PC3访问 Internet的数据转发路径是：PC3C2960S-1C4503E(Gig2/2)S7010-2UTM 安全网关防火墙 FW边界路由器 RInternet。由互联网工程任务组(IETF)组织制定的虚拟路由器冗余协议(VRRP)，是为具有多播或广播能力的局域网(如以太网)设计的容错协议。在网络中启用 VRRP之前，首先要创建一个虚拟备份组，组内的路由设备均运行 VRRP。同处于一个 VRRP备份组的路由器共同形成一个虚拟路由器(这是一个逻辑概念上的路由器)。虚拟路由器对外表现为一个具有唯一固定 IP地址和 MAC地址的逻辑路由器。依题意，在核心三层交换机 S7010-1

43、关于 VRRP的相关配置中，配置语句“interface VLAN6”的功能是，进入 VLAN6虚子接口配置模式。配置语句“vrrp 10 ip 10.3.10.1”的功能是，启用 VRRP功能，并设置虚拟 IP地址为 10.3.10.1。配置语句“vrrp 10 preempt”的功能是，启用 VRRP抢占功能。因此，由本问题所给出的相关配置信息可知，在 S7010-1和 S7010-2中都配置了两个虚拟备份组，虚拟备份组 10的IP地址为 10.3.10.1/24；虚拟备份组 11的 IP地址为 10.3.11.1/24。由表 6-2可知，隶属于 VLAN 6的PC5所配置的 IP地址为

44、10.3.10.21/24，由此间接可知，VLAN6 的网段地址为 10.3.10.0/24。同理，由隶属于 VLAN 7的 PC3所配置的 IP地址 10.3.11.10/24可以间接得知，VLAN7 的网段地址为 10.3.11.0/24。因此，处于同一 IP地址段的虚拟备份组 10为 VLAN6中的主机提供了网关冗余，虚拟备份组 11为 VLAN7中的主机提供了网关冗余。处于同一个 VRRP组中的路由器具有两种互斥的角色：主控路由器(Master)和备份路由器(Backup)。一个VRRP路由器组中有且只有一台处于主控角色的路由器，可以有一个或者多个处于备份角色的路由器。在VRRP路由器

45、组中，按优先级选举主控路由器。VRRP 协议中优先级范围是 0255。若 VRRP路由器的 IP地址和虚拟路由器的接口 IP地址相同，则将该虚拟路由器作为 VRRP组中的 IP地址所有者。该所有者自动具有最高优先级 255。优先级 0，通常用在 IP地址所有者主动放弃主控者角色时使用。因此，实践配置中允许配置的优先级范围为 1254。在主控路由器的选举中，高优先级的虚拟路由器获胜。可见，若在VRRP组中有 IP地址所有者，则它总是作为主控路由的角色出现。对于相同优先级的候选路由器，按照 IP地址大小顺序选举。VRRP 还提供了优先级抢占策略，如果配置了该策略，高优先级的备份路由器便会剥夺当前低优先级的主控路由器而成为新的主控路由器。在本案例中，由于 VRRP路由器 S7010-1中 VLAN6的 IP地址和虚拟备份组 10的 IP地址相同(即10.3.10.1/24)，因此其自动具有最高优先级，成为虚拟备份组 10的主控路由器，S7010-2 为虚拟组 10的备份