【计算机类职业资格】高级网络规划设计师下午试题(Ⅰ)-6及答案解析.doc

《【计算机类职业资格】高级网络规划设计师下午试题(Ⅰ)-6及答案解析.doc》由会员分享，可在线阅读，更多相关《【计算机类职业资格】高级网络规划设计师下午试题(Ⅰ)-6及答案解析.doc（11页珍藏版）》请在麦多课文档分享上搜索。

1、高级网络规划设计师下午试题()-6 及答案解析(总分：74.99，做题时间：90 分钟)一、试题一(总题数：1，分数：25.00)说明某省级重点中学欲构建一个局域网，考虑到该中学的很多现代化教学业务依托于网络，要求中学内部用户能够高速访问相关的 5台内部高性能服务器，并且要求通过网络的冗余性设计来获得较高的各类业务服务的可用性。某系统集成公司根据该中学的相关需求，将网络拓扑结构设计为双核心来进行负载均衡和容错。该公司给出的网络拓扑图如图 1所示。图 1（分数：24.99）(1).问题 1根据用户需求和设计要求，请指出图 6-7中不合理的设计之处，并给出相应的改进方案。（分数：8.33）_(2)

2、.问题 2(1)假设平均每天经常浏览网页的用户数为 300个，每用户平均每分钟产生 12个事务处理任务，事务量大小为 0.05MB，则该校园网浏览网页需要的信息传输速率约为_Mbps。(2)假设该校园网共有 20间多媒体教室，平均每间多媒体教室有 4个摄像机，每台摄像机采用 CIF格式(分辨率为 352288)实时采集视频流，码流为 512Kbps，则该校园网多媒体教室视频监控的应用业务流量约为_Mbps。（分数：8.33）_(3).问题 3在校外住宿的教职工要求使用校园网部分内部服务器以满足其备课及浏览校园信息等需求。系统集成公司采用了 IPSec VPN的远程接入方案。请从安全保证角度简要

3、叙述实现 VPN的几种关键技术。（分数：8.33）_二、试题二(总题数：1，分数：25.00)说明S省某高校的校园网络拓扑结构如图所示。根据该校信息化建设领导小组的要求，要实现负载均衡和冗余备份，构建无阻塞、高性能的网络基础设施平台，该校园网络采用两台 S7010万兆骨干路由交换机作为双核心，汇聚交换机(或部门交换机)通过光纤链路分别与两台核心交换机相连，通过防火墙和边界路由器与Internet相连。全网交换机都启用了 MSTP生成树模式，并配置了相同的实例、域名称和版本修订号。该校园网两台 S7010之间相连的端口均为 Trunk端口，S7010 与其下连的汇聚交换机(或部门交换机)之间相连

4、的端口也均为 Trunk端口。假设校园网中每台核心交换机对数据帧的转发延时为 10ms，每台汇聚交换机(或部门交换机)对数据帧的转发延时为 25ms，每个数据帧经过所有通信线路的信号传输延时都为1ms(暂不考虑传输距离等因素)。该校园网中部分 PC的 IP地址及所属 VLAN等信息如表所示。部分 PC的 IP地址及所属 VLAN网络设置 IP地址 所属 VLAN网络设置 IP地址 所属 VLANPC1 10.3.9.10/24 VLAN5 PC5 10.3.10.21/24VLAN6PC2 10.3.10.10/24VLAN6 PC6 10.3.11.21/24VLAN7PC3 10.3.11

5、.10/24VLAN7 PC7 10.3.9.21/24 VLAN5PC4 10.3.12.10/24VLAN8（分数：25.00）(1).问题 1核心三层交换机 S7010-1的部分 MSTP配置信息如下：S7010-1 (config)#spanning-tree mst 1 priority 12288S7010-1 (config)#spanning-tree mst configurationS7010-1 (config-mst)#instance 1 VLAN 6,8S7010-1 (config-mst)#instance 2 VLAN 5,7S7010-1 (config-m

6、st)#name region1S7010-1 (config-mst)#revision1核心三层交换机 S7010-2的部分 MSTP配置信息如下：S7010-2 (config)#spanning-tree mst 2 priority 12288S7010-2 (config)#spanning-tree mst configurationS7010-2 (config-mst)#instance 1 VLAN 6,8S7010-2 (config-mst)#instance 2 VLAN 5,7S7010-2 (config-mst)#name region1S7010-2 (con

7、fig-mst)#revision1(1)请问 instance1的生成树的根交换机是哪一台?为什么?(2)对于 instance2而言，位于学术交流中心的交换机 C3750G的根端口是哪个端口?为什么?(3)请指出 PC2发送给 PC5的数据包经过的设备路径。(格式：PC2设备 1PC5)(4)请计算 PC5每次发送给 PC2的数据包的设备转发延迟时间。（分数：12.50）_(2).问题 2在核心层交换机 S7010-1中 VLAN6的 IP地址配置为 10.3.10.1/24，VLAN7 的 IP地址配置为10.3.11.254/24。核心三层交换机 S7010-1的部分 VRRP配置信息

8、如下：S7010-1 (config)#interface VLAN6S7010-1 (config-if)#vrrp 10 ip 10.3.10.1S7010-1 (config-if)#vrrp 10 preemptS7010-1 (config)#interface VLAN7S7010-1 (config-if)#vrrp 11 ip 10.3.11.1在核心三层交换机 S7010-2中 VLAN6的 IP地址配置为 10.3.10.254/24，VLAN7 的 IP地址配置为10.3.11.1/24。核心三层交换机 S7010-1的部分 VRRP配置信息如下：S7010-2 (con

9、fig)#interface VLAN6S7010-2 (config-if)#vrrp 10 ip 10.3.10.1S7010-2 (config)#interface VLAN7S7010-2 (config-if)#vrrp 11 ip 10.3.11.1S7010-2 (config-if)#vrrp 11 (1)PC5主机中设置的网关 IP地址为 10.3.10.1，在网络正常运行的情况下，请按照以下格式写出 PC5访问 Internet的数据转发路径。(格式：PC5设备 1Internet。不写返回路径)(2)连接在交换机 C2960S的 PC3主机中设置的网关 IP地址为 10

10、.3.11.1，在网络正常运行的情况下，请按照以下格式写出 PC3访问 Internet的数据转发路径。(格式：PC3设备 1Internet。不写返回路径)(3)假设三层交换机 S7010-1需要临时宕机 25分钟进行板卡检修并升级操作系统。请问这 25分钟时段内 PC5在没有修改原有网关 IP地址的情况下，能否访问 Internet?请结合交换机S7010-1宕机后发生的变化简要说明原因。（分数：12.50）_三、试题三(总题数：1，分数：25.00)说明A公司准备建立一个合同管理和查询系统。该系统由 1台服务器和 100台客户机构成，服务器和客户机之间通过局域网进行通信，服务器通过专线连

11、接到两个交易网关 A和 B。系统构成如图所示。服务器是对称多处理器系统，操作系统使用虚拟存储。操作系统需要 60MB的主存(假设与 CPU的数量无关)。系统需要处理 4种类型的操作：从交易网关接收数据，完成应用 1到应用 3的操作。服务器直接从交易网关接收数据(该操作被称为接收任务)。应用 l至应用 3需要客户机与服务器协作完成，其中由服务器执行的部分被分别称为应用任务 1、应用任务 2和应用任务 3(如表所示)。对于接收任务，即便是在峰值时间，也必须在 10s内完成，否则数据会丢失。（分数：25.00）(1).要保证在峰值时间应用任务的处理速度仍可接受，服务器所需的最小主存是多少?(单位：M

12、B)（分数：6.25）_(2).在峰值时间，使用单独的 CPU无法保证在规定的时间内完成各种应用。为了解决这个问题，需要增加CPU的数量。计算在这种情况下，服务器上安装的 CPU的最小数量。(注：假设处理速度与 CPU的数量成正比。)（分数：6.25）_(3).如果在服务器和客户机之间采用 TCP/IP协议通信，则在峰值时间，局域网上传输的数据的最小流量是多少?（分数：6.25）_(4).在该系统中是否适合采用 UDP作为服务器与客户机的通信协议?用 150字以内的文字说明原因(可针对不同应用进行讨论)。（分数：6.25）_高级网络规划设计师下午试题()-6 答案解析(总分：74.99，做题时

13、间：90 分钟)一、试题一(总题数：1，分数：25.00)说明某省级重点中学欲构建一个局域网，考虑到该中学的很多现代化教学业务依托于网络，要求中学内部用户能够高速访问相关的 5台内部高性能服务器，并且要求通过网络的冗余性设计来获得较高的各类业务服务的可用性。某系统集成公司根据该中学的相关需求，将网络拓扑结构设计为双核心来进行负载均衡和容错。该公司给出的网络拓扑图如图 1所示。图 1（分数：24.99）(1).问题 1根据用户需求和设计要求，请指出图 6-7中不合理的设计之处，并给出相应的改进方案。（分数：8.33）_正确答案：(核心交换机 2直接上连至边界路由器，其通信数据无法得到防火墙的安全

14、防护；改进方案：将核心交换机 2上连至防火墙。两台核心交换机之间没有进行双高速链路相互连接；改进方案：将两台核心交换机间采用链路聚合技术进行双千兆(或万兆)链路连接。汇聚交换机 3缺少了一条与核心交换机 1连接的高速通信链路；改进方案：将汇聚交换机 3与核心交换机 1进行千兆链路连接。内部服务器区连接在接入交换机 4上，不能保证高速访问；改进方案：去掉接入交换机，将汇聚交换机 3更换成较高性能的汇聚交换机；改进方案：若两台核心交换机有空余的高速以太端口，则将 5台内部服务器直接连接到这些高速以太端口中。有一个桌面用户同时连接至接入交换机 2和接入交换机 3；改进方案：删除该客户机连接至接入交换

15、机3(或接入交换机 2)的连接链路。双网卡用户同时通过该校园网和 ADSL宽带接入方式访问 Internet，形成了接入层的“后门”现象；改进方案：删除该客户机的 ADSL宽带接入链路)解析：解析 依题意，图 6-7所示的网络设备连接结构图中，存在的几点不合理之处及相应的改进方案如下。(1)图 6-7中核心交换机 2错误地直接上连至边界路由器，核心交换机 2的相关通信数据无法得到防火墙的相关安全防护。改进方案：将核心交换机 2上连至防火墙，如图 6-10中的虚线所示。(2)图 6-7中两台核心交换机之间没有相互连接。改进方案：将两台核心交换机之间进行双千兆(或万兆)链路连接，并通过应用链路聚合

16、技术(如 LCAP等)，提高主干道的吞吐量，并实现负载分担，以提高核心层的高速数据转发，如图 6-10所示。(3)该中学 5台内部高性能服务器连接在接入交换机 4上，增大了服务延迟时间，无法实现题意中“中学内部用户能够高速访问”的性能要求。改进方案：去掉接入交换机 4，将汇聚交换机 3更换成较高性能的汇聚交换机，新汇聚交换机与核心交换机之间实现双千兆链路冗余连接，然后将 5台服务器连接在新汇聚交换机上，如图 6-10所示。改进方案：若两台核心交换机分别有 5个可供使用的高速以太端口，则在 5台内部服务器上分别安装(或替换)两块高速以太网卡，两块网卡分别连接到两台核心交换机的高速以太端口，以保证

17、服务器的高速访问，如图 6-11所示。(2).问题 2(1)假设平均每天经常浏览网页的用户数为 300个，每用户平均每分钟产生 12个事务处理任务，事务量大小为 0.05MB，则该校园网浏览网页需要的信息传输速率约为_Mbps。(2)假设该校园网共有 20间多媒体教室，平均每间多媒体教室有 4个摄像机，每台摄像机采用 CIF格式(分辨率为 352288)实时采集视频流，码流为 512Kbps，则该校园网多媒体教室视频监控的应用业务流量约为_Mbps。（分数：8.33）_正确答案：(1)25.17 或 24(2)40.96)解析：解析 某个应用业务的网络流量计算公式如下：应用的数据传输速率=平均

18、事务量大小每字节位数每个会话事务数平均用户数/平均会话长度。依题意，该校园网经常浏览网页的用户数为 300个，每用户每分钟(60s)平均产生 12个事务处理任务，事务量大小为 0.05 MB(即 0.05102410248bit)，则浏览网页需要的信息传输速率为 25.17Mbps。具体计算过程如下：00510241024812300/(60)=25165824bps25.17Mbps若考试不允许带计算器，则该校园网浏览网页应用的流量估算值也可按下式近似计算：300120.058/60=24Mbps。在实际网络工程规划与设计过程中，为了保证峰值情况下所设计的网络能够正常运行，在考虑峰值用户数等

19、因素的情况下，应用的数据传输速率一平均事务量大小每字节位数每个会话事务数峰值用户数/平均会话长度。对于该校园网多媒体教室视频监控的应用业务，峰值用户数为 204=80个，每个会话的事务数为 1个。因此，该应用的流量约为 5121000180bps=40960000bps=40.96MbDs。(3).问题 3在校外住宿的教职工要求使用校园网部分内部服务器以满足其备课及浏览校园信息等需求。系统集成公司采用了 IPSec VPN的远程接入方案。请从安全保证角度简要叙述实现 VPN的几种关键技术。（分数：8.33）_正确答案：(隧道技术：是 VPN的基本技术，类似于点对点连接技术，它在公用网建立一条数

20、据通道，让数据包通过这条通道传输加解密技术：是数据通信中一项较成熟的技术，VPN 可直接利用现有技术密钥管理技术：其主要任务是保证在公用数据网上安全地传递密钥而不被窃取身份认证技术：最常用的是使用者名称与密码或卡片式认证等方式)解析：解析 虚拟专用网(VPN)指的是依靠 Internet服务提供商(ISP)和其他网络服务提供商(NSP)，在公用网络中建立专用的数据通信网络的技术。其中，“虚拟”是指用户不再需要拥有实际的长途数据线路，而是使用公共Internet的数据线路。“专用网络”是指用户可以为自己制订一个最符合自己需要的网络。目前 VPN技术主要采用隧道技术(Tunneling)、加解密技

21、术(Encryption & Decryption)、密钥管理技术(Key Management)、使用者与设备身份认证技术(Authentication)等来保证内部数据在 Internet上的安全传输。隧道技术是 VPN的基本技术，类似于点对点连接技术，它在公用网上建立一条数据通道(隧道)，让数据包通过这条隧道传输。隧道是由隧道协议形成的，分为第二、第三、第四层隧道协议。第二层隧道协议是先把各种网络协议封装到 PPP帧中，再把整个数据包装入隧道协议中。第二层隧道协议有L2F、PPTP、L2TP 等。第三层隧道协议是把各种网络协议直接装入隧道协议中，形成的数据包依靠第三层协议进行传输。IPS

22、ec 协议是第三层隧道协议的典型代表，SSL 协议是第四层隧道协议的典型代表。加解密技术是数据通信中一项较成熟的技术，VPN 可直接利用现有的对称密码和非对称密码的加解密技术。通过对公共 Internet传递的数据进行加密，确保网络其他未授权的用户无法读取该信息。密钥管理技术的主要任务是保证在公用数据网上安全传递密钥而不被窃取。使用者与设备身份认证技术通常使用用户名和密码认证、卡片式认证或 USB加密狗认证等方式来保证数据的安全传输。二、试题二(总题数：1，分数：25.00)说明S省某高校的校园网络拓扑结构如图所示。根据该校信息化建设领导小组的要求，要实现负载均衡和冗余备份，构建无阻塞、高性能

23、的网络基础设施平台，该校园网络采用两台 S7010万兆骨干路由交换机作为双核心，汇聚交换机(或部门交换机)通过光纤链路分别与两台核心交换机相连，通过防火墙和边界路由器与Internet相连。全网交换机都启用了 MSTP生成树模式，并配置了相同的实例、域名称和版本修订号。该校园网两台 S7010之间相连的端口均为 Trunk端口，S7010 与其下连的汇聚交换机(或部门交换机)之间相连的端口也均为 Trunk端口。假设校园网中每台核心交换机对数据帧的转发延时为 10ms，每台汇聚交换机(或部门交换机)对数据帧的转发延时为 25ms，每个数据帧经过所有通信线路的信号传输延时都为1ms(暂不考虑传输

24、距离等因素)。该校园网中部分 PC的 IP地址及所属 VLAN等信息如表所示。部分 PC的 IP地址及所属 VLAN网络设置 IP地址 所属 VLAN网络设置 IP地址 所属 VLANPC1 10.3.9.10/24 VLAN5 PC5 10.3.10.21/24VLAN6PC2 10.3.10.10/24VLAN6 PC6 10.3.11.21/24VLAN7PC3 10.3.11.10/24VLAN7 PC7 10.3.9.21/24 VLAN5PC4 10.3.12.10/24VLAN8（分数：25.00）(1).问题 1核心三层交换机 S7010-1的部分 MSTP配置信息如下：S70

25、10-1 (config)#spanning-tree mst 1 priority 12288S7010-1 (config)#spanning-tree mst configurationS7010-1 (config-mst)#instance 1 VLAN 6,8S7010-1 (config-mst)#instance 2 VLAN 5,7S7010-1 (config-mst)#name region1S7010-1 (config-mst)#revision1核心三层交换机 S7010-2的部分 MSTP配置信息如下：S7010-2 (config)#spanning-tree

26、mst 2 priority 12288S7010-2 (config)#spanning-tree mst configurationS7010-2 (config-mst)#instance 1 VLAN 6,8S7010-2 (config-mst)#instance 2 VLAN 5,7S7010-2 (config-mst)#name region1S7010-2 (config-mst)#revision1(1)请问 instance1的生成树的根交换机是哪一台?为什么?(2)对于 instance2而言，位于学术交流中心的交换机 C3750G的根端口是哪个端口?为什么?(3)请指

27、出 PC2发送给 PC5的数据包经过的设备路径。(格式：PC2设备 1PC5)(4)请计算 PC5每次发送给 PC2的数据包的设备转发延迟时间。（分数：12.50）_正确答案：(1)S7010-1，因为该交换机在 instance1中的优先级的值较小，优先成为该实例的根交换机(2)Gig2/2端口，因为 instance2的生成树的根交换机是 S7010-2，C3750G 距离根交换机最近的端口为根端口(或 C3750G的 Gig2/2端口距离根交换机的开销路径最小)(3)PC2C2960S-lC4503E(Gig2/1)S7010-1S2960S-2(Gig2/1)PC5(4)85ms)解析

28、：解析 生成树协议(STP)的主要功能是，将环路网络修剪成为一个无环的树型网络，避免报文在环路网络中的增生和无限循环，同时允许在第二层链路中提供数据转发的多个冗余路径，以保证网络可靠、稳定地运行。IEEE802.1D是最早、最流行、应用最广泛的 STP标准，它提供了动态冗余切换机制。多实例生成树协议(MSTP)能够提高快速生成树协议(RSTP)的扩展性，将一组基于 VLAN的生成树聚合成不同的实例，可以提供多条数据转发路径，并在数据转发过程中实现 VLAN数据的负载均衡。MSTP 的标准是IEEE802.1s，它兼容 STP和 RSTP，并且可以弥补 STP和 RSTP的缺陷。换而言之，MST

29、P 既可以快速收敛，也能使不同 VLAN的流量沿各自的路径分发，从而为冗余链路提供了更好的负载分担机制。MSTP定义了实例(Instance)和域的概念。STP/RSTP 是基于端口的，而 MSTP是基于实例的。所谓实例就是多个 VLAN的一个集合，通过将多个 VLAN捆绑到一个实例可以节省通信开销和资源占用率。在运行 MSTP的网络中，将支持 MSTP的交换机和不支持 MSTP的交换机划分成不同的区域，分别称作 MST域和 SST域。在 MST域内部运行多实例化的生成树，在 MST域的边缘运行 RSTP兼容的内部生成树 IST(Internal Spanning Tree)。依题意，对于核心

30、三层交换机 S7010-1关于 MSTP的相关配置中，配置语句“spanning-tree mst 1 priority 12288”的功能是，配置当前交换机在 MST生成树实例 1中的优先级值为 12288。通常，生成树优先级的取值范围是 061440，增量为 4096。优先级的值越小，优先级越高。默认情况下，交换机的生成树优先级值为 32768。由于 12288(=40963)32768，而值越小优先级越高，因此核心三层交换机S7010-1将成为生成树实例 1(instance1)中的根交换机。同理，核心三层交换机 S7010-2关于 MSTP的配置语句“spanning-tree mst

31、 2 priority 12288”，其功能是配置当前交换机在 MST生成树实例 2中的优先级值为 12288。因此 S7010-2将成为生成树实例2(instance2)中的根交换机。交换机 S7010-1和 S7010-2中，配置语句“spanning-tree mst configuration”的功能是，进入 MST配置子模式来配置 MST的相关参数。配置语句“instance1 VLAN 6,8”的功能是，将 VLAN6和 VLAN 8映射到生成树实例 1。配置语句“instance2 VLAN5,7”的功能是，将 VLAN5和 VLAN7映射到生成树实例 2。配置语句“name r

32、egionl”的功能是，配置 MST区域名称为 region1。配置语句“revision1”的功能是，配置 MST的版本修订号为版本 1。一个交换网络可以存在多个 MST域。用户可以通过 MSTP配置命令将多台交换机划分在同一个 MST域内。域内所有交换机都具有相同的域名、相同的 VLAN到生成树映射配置和相同的 MSTP修订级别配置，并且物理上有链路连通。通常，在运行 STP/RSTP/MSTP的交换机中，将其距离根交换机的最低开销路径的端口称为根端口。因此在图 6-8所示的网络拓扑结构中，对于生成树实例 1(instance1)而言，生成树的根交换机是 S7010-1，学术交流中心交换机

33、 C3750G的根端口是 Gig2/1端口，教学南楼及北楼的交换机 C4503E的根端口是 Gig2/1端口，研究生楼的交换机 C2960S-2的根端口都是 Gig2/1端口。同理，对于生成树实例 2(instance2)而言，生成树的根交换机是 S7010-2，交换机 C3750G、C4503E、C2960S-2 的根端口都是 Gig2/2端口。由表 6-2可知，处于地址段 10.3.10.0/24中的 PC2和 PC5同属于 VLAN6。而根据配置语句“instance1 VLAN6,8”可知，VLAN6 和 VLAN8被映射到生成树实例 1(instance1)。结合上述生成树实例 1根

34、端口的分析结果，可以得出 PC2发送给 PC5的数据包传输路径是：PC2C2960S-1C4503E(Gig2/1)S7010-1S2960S-2(Gig2/1)PC5。反之，PC5 发送给 PC2的数据包传输路径是：PC5S2960S-2(Gig2/1)S7010-1C4503E(Gig2/1)C2960S-1PC2。由此可见，PC5 每次发送给 PC2的数据包需要经过 3台汇聚交换机(或部门交换机)和 1台核心交换机，因此，PC5 每次与 PC2通信时数据帧的设备转发延迟时间t=325+110=85ms。(2).问题 2在核心层交换机 S7010-1中 VLAN6的 IP地址配置为 10.

35、3.10.1/24，VLAN7 的 IP地址配置为10.3.11.254/24。核心三层交换机 S7010-1的部分 VRRP配置信息如下：S7010-1 (config)#interface VLAN6S7010-1 (config-if)#vrrp 10 ip 10.3.10.1S7010-1 (config-if)#vrrp 10 preemptS7010-1 (config)#interface VLAN7S7010-1 (config-if)#vrrp 11 ip 10.3.11.1在核心三层交换机 S7010-2中 VLAN6的 IP地址配置为 10.3.10.254/24，VLA

36、N7 的 IP地址配置为10.3.11.1/24。核心三层交换机 S7010-1的部分 VRRP配置信息如下：S7010-2 (config)#interface VLAN6S7010-2 (config-if)#vrrp 10 ip 10.3.10.1S7010-2 (config)#interface VLAN7S7010-2 (config-if)#vrrp 11 ip 10.3.11.1S7010-2 (config-if)#vrrp 11 (1)PC5主机中设置的网关 IP地址为 10.3.10.1，在网络正常运行的情况下，请按照以下格式写出 PC5访问 Internet的数据转发路

37、径。(格式：PC5设备 1Internet。不写返回路径)(2)连接在交换机 C2960S的 PC3主机中设置的网关 IP地址为 10.3.11.1，在网络正常运行的情况下，请按照以下格式写出 PC3访问 Internet的数据转发路径。(格式：PC3设备 1Internet。不写返回路径)(3)假设三层交换机 S7010-1需要临时宕机 25分钟进行板卡检修并升级操作系统。请问这 25分钟时段内 PC5在没有修改原有网关 IP地址的情况下，能否访问 Internet?请结合交换机S7010-1宕机后发生的变化简要说明原因。（分数：12.50）_正确答案：(1)PC5C2960S-2(Gig2

38、/1)S7010-1UTM 安全网关防火墙 FW边界路由器 RInternet(2)PC3C2960S-1C4503E(Gig2/2)S7010-2UTM(安全网关)防火墙(FW)边界路由器(R)Internet(3)能(可以)访问 Internet理由：当 VRRP组 10的主控路由器 S7010-1宕机后，经过主路由器失效间隔时间后，备份路由器 S7010-2就会自动切换成为主控路由器，并以虚拟 MAC地址响应虚拟 Ip地址的 ARP请求，同时负责转发目的 MAC地址为虚拟 MAC地址的 IP报文，从而保证了对用户 PC5透明的网关切换，因此 PC5并不需要修改原有网关 IP，仍可以访问

39、Internet。)解析：解析 由表 6-2可知，处于地址段 10.3.10.0/24中的 PC5归属于 VLAN6。结合问题 1的分析思路和分析结果，VLAN6被映射到生成树实例 1(instance1)。而对于 instance1而言，生成树的根交换机是 S7010-1，交换机 C2960S-2的根端口是 Gig2/1端口。因此在网络正常运行的情况下，连接在交换机 C2960S-2的 PC5访问 Internet的数据转发路径是：PC5C2960S-2(Gig2/1)S7010-1UTM 安全网关防火墙 FW边界路由器 RInternet。同理，处于地址段 10.3.11.0/24中的 P

40、C3隶属于 VLAN7，VLAN7 被映射到生成树实例 2(instance2)。而对于 instance2而言，生成树的根交换机是 S7010-2，交换机 C4503E的根端口是 Gig2/2端口。因此在网络正常运行的情况下，连接在交换机 C2960S-1的 PC3访问 Internet的数据转发路径是：PC3C2960S-1C4503E(Gig2/2)S7010-2UTM 安全网关防火墙 FW边界路由器 RInternet。由互联网工程任务组(IETF)组织制定的虚拟路由器冗余协议(VRRP)，是为具有多播或广播能力的局域网(如以太网)设计的容错协议。在网络中启用 VRRP之前，首先要创建

41、一个虚拟备份组，组内的路由设备均运行 VRRP。同处于一个 VRRP备份组的路由器共同形成一个虚拟路由器(这是一个逻辑概念上的路由器)。虚拟路由器对外表现为一个具有唯一固定 IP地址和 MAC地址的逻辑路由器。依题意，在核心三层交换机 S7010-1关于 VRRP的相关配置中，配置语句“interface VLAN6”的功能是，进入 VLAN6虚子接口配置模式。配置语句“vrrp 10 ip 10.3.10.1”的功能是，启用 VRRP功能，并设置虚拟 IP地址为 10.3.10.1。配置语句“vrrp 10 preempt”的功能是，启用 VRRP抢占功能。因此，由本问题所给出的相关配置信息

42、可知，在 S7010-1和 S7010-2中都配置了两个虚拟备份组，虚拟备份组 10的IP地址为 10.3.10.1/24；虚拟备份组 11的 IP地址为 10.3.11.1/24。由表 6-2可知，隶属于 VLAN 6的PC5所配置的 IP地址为 10.3.10.21/24，由此间接可知，VLAN6 的网段地址为 10.3.10.0/24。同理，由隶属于 VLAN 7的 PC3所配置的 IP地址 10.3.11.10/24可以间接得知，VLAN7 的网段地址为 10.3.11.0/24。因此，处于同一 IP地址段的虚拟备份组 10为 VLAN6中的主机提供了网关冗余，虚拟备份组 11为 VL

43、AN7中的主机提供了网关冗余。处于同一个 VRRP组中的路由器具有两种互斥的角色：主控路由器(Master)和备份路由器(Backup)。一个VRRP路由器组中有且只有一台处于主控角色的路由器，可以有一个或者多个处于备份角色的路由器。在VRRP路由器组中，按优先级选举主控路由器。VRRP 协议中优先级范围是 0255。若 VRRP路由器的 IP地址和虚拟路由器的接口 IP地址相同，则将该虚拟路由器作为 VRRP组中的 IP地址所有者。该所有者自动具有最高优先级 255。优先级 0，通常用在 IP地址所有者主动放弃主控者角色时使用。因此，实践配置中允许配置的优先级范围为 1254。在主控路由器的

44、选举中，高优先级的虚拟路由器获胜。可见，若在VRRP组中有 IP地址所有者，则它总是作为主控路由的角色出现。对于相同优先级的候选路由器，按照 IP地址大小顺序选举。VRRP 还提供了优先级抢占策略，如果配置了该策略，高优先级的备份路由器便会剥夺当前低优先级的主控路由器而成为新的主控路由器。在本案例中，由于 VRRP路由器 S7010-1中 VLAN6的 IP地址和虚拟备份组 10的 IP地址相同(即10.3.10.1/24)，因此其自动具有最高优先级，成为虚拟备份组 10的主控路由器，S7010-2 为虚拟组 10的备份路由器。同理，S7010-2 是虚拟备份组 11的主控路由器，S7010-

45、1 是虚拟组 11的备份路由器。由于 VRRP组内其他路由器将作为备份路由器处于待命状态，因此当某种原因使得主控路由器发生故障时，备份路由器在数秒之内没有收到主控路由器的通告，会认为主控路由器失效，VRRP 组内启用了 VRRP抢占功能的备份路由器就会自动启动切换，成为主控路由器。通常，这一状态切换时间小于 5s。而且无需改变终端设备的 TCP/IP协议配置和 ARP表，这样就保证了对终端用户透明的网关切换，网络的业务应用几乎是连续的、稳定的。综上分析，当三层交换机 S7010-1需要临时宕机进行板卡检修和升级操作系统时，虚拟备份组 10的主控路由器 S7010-1宕机后，备份路由器 S7010-2经过主路由器失效间隔时间后，就会自动切换成为主控路由器，响应对虚拟 IP地址的 ARP请求，并且响应的是虚拟 MAC地址(其格式