[计算机类试卷]2014年下半年软件水平考试（高级）网络规划设计师下午（案例分析）真题试卷及答案与解析.doc

《[计算机类试卷]2014年下半年软件水平考试（高级）网络规划设计师下午（案例分析）真题试卷及答案与解析.doc》由会员分享，可在线阅读，更多相关《[计算机类试卷]2014年下半年软件水平考试（高级）网络规划设计师下午（案例分析）真题试卷及答案与解析.doc（17页珍藏版）》请在麦多课文档分享上搜索。

1、2014年下半年软件水平考试（高级）网络规划设计师下午（案例分析）真题试卷及答案与解析 一、试题一 1 阅读下列说明，回答问题 1至问题 5，将解答填入答题纸的对应栏内。【说明】 某高校拟对学生公寓网络 (己知网络主机超过 3000台 )进行改造，该校网络部门在技术方案讨论的过程中，提出了以太网接入、 ADSL接入和 PON接入三种思路。该部门技术主管在对三种方案的建设成本、网络安全、系统容易维护、宽带综合业务等方面综合考虑后决定采用 GPON接入方式，并给出了基于 GPON技术的学生公寓宽带初步设计方案，如图 11所示 。【问题 1】 请比较以太网接入、 ADSL接入以及 GPON接入三种方

2、式的特点，并简要说明选择GPON接入方式的理由。【问题 2】 已知网络部门对学生公寓网络分配了一个地址段 59 74 116 0 24。请给出学生公寓网络地址规划与设计方案。【问题 3】 请依据图 11设计方案，并且结合用户上网方式是拨号上网、网络安全控制以及采用带内管理方式管理网络等技术因素。说明 BRAS(Broadband Remote Access Server)和 OLT设备性能及配置描述。【问题 4】 如果将图 1-1中 BRAS设备用路由器 (Router)替换，请分析在学生公寓网络规划上可能有哪些变化。【问题 5】 请简要说明 GPON接入相比 EPON接入对支持 “三网合一

3、”的发展有什么优势。 二、试题二 2 阅读以下关于某电信运营商网络的叙述，回答问题 1至问题 4。【说明】 对电信运营商而言，三网融合在接入控制层面需要考虑怎样引入 IPTV，如何在多业务接入模式下实现综合运营并保障各类业务的服务质量。 IPoE方式提供多业务接入以满足三网融合发展的必要性和可行性，为运营商三网融合业务提供保障。 某电信运营商 IP城域网拓扑结构图如图 2-1所示。【问题 1】电信运营商的网络是一种可管理网络。目前在用户管理方面用得比较多的主流认证技术主要有 PPPoE、基于Web-Portal以及 IEEE 802 1x。这三种接入认证技术由于产生的时间，背景各不相同，因此应

4、用的网络环境也不同，各有利弊。下表是这三种认证技术的部分性能比较，请补充完成表 2-1中的 (1) (10)。【问题 2】 IPoE和 PPPoE都是技术较成熟的认证技术，在标准化程度、安全性、精确计费、带宽端口的控制方面都有相似的优点。 (1)随着 Triple Play“三重播放 ”业务和以广播 IPTV为代表的多 媒体业务的发展，请简单叙述采用 PPPoE接入方式会带来的问题。 (2)目前，业界正逐步推动 PPPoE认证技术向 IPoE认证技术转换。请简单描述 IPoE的特点以及大规模商用需解决的关键问题。【问题 3】 IPoE部署要从运营支撑系统、核心层、业务控制层、接入层分别进行部署

5、。 (1)图2-1的 IPoE部署采用的是多边缘架构进行业务接入区分优化，请对其简单描述一下。 (2)如果对 IPoE部署采用单边缘架构的部署方案，请对图 2-1简单修改画出其拓扑结构。 (3)比较多边缘和单边缘两种 IPoE部署方案的优缺点。【问题 4】 目前电信运营商的用户采用 IPoE的宽带接入主要认证场景为大客户专线接入认证、IPTV等。 IPoE和 PPPoE的交叉场景就是 IPTV，下面就 IPTV应用 PPPoE和 IPoE的场景进行分析。 (1)请在图 2-2中分别完成 IPTV使用 PPPoE和 IPoE认证方式时多播视频流的流向和流数，并予以简单说明 (其中，采用 IPoE

6、时多播复制点选择在园区交换机和 OIT上 )。(2)请根据上述比较简要叙述 IPTV业务发展不同阶段时的认证方式选择。 三、试题三 3 阅读下列说明，回答问题 1至问题 5，将解答填入答题纸的对 应栏内。【说明】 图 3-1是某制造企业网络拓扑，该网络包括制造生产、研发设计、管理及财务、服务器群和销售部等五个部分。该企业通过对路由器的配置、划分 VLAN、使用NAT技术以及配置 QoS与 ACL等实现对企业网络的安全防护与管理。 随着信息技术与企业信息化应用的深入融合，一方面提升了企业的管理效率，同时企业在经营中面临的网络安全风险也在不断增加。为了防范网络攻击、保护企业重要信息数据，企业重新制

7、定了网络安全规划，提出了改善现有网络环境的几项要求： 1优化网络拓扑，改善网络影响企业安全运行的薄弱环节； 2分 析企业网络，防范来自外部攻击，制定相应的安全措施； 3重视企业内部控制管理，制定技术方案，降低企业重要数据信息的泄露风险； 4在保证 IT投资合理的范围，解决远程用户安全访问企业网络的问题； 5制定和落实对服务器群安全管理的企业内部标准。 【问题 1】 请分析说明该企业现有的网络安全措施是如何规划与部署的，应从哪些角度实现对网络的安全管理。【问题 2】 请分析说明该企业的网络拓扑是否存在安全隐患，原有网络设备是否可以有效防御外来攻击。【问题 3】 入侵检测系统 (IDS)是一种对网

8、络传输进行即时监视，在发现可疑 传输时发出警报或者采取主动反应措施的网络安全设备。请简要说明该企业部署 IDS的必要性以及如何在该企业网络中部署 IDS。【问题 4】 销售部用户接入企业网采用 VPN的方式，数据通过安全的加密隧道在公共网络中传播，具有节省成本、安全性高、可以实现全面控制和管理等特点。简要说明VPN采用了哪些安全技术以及主要的 VPN隧道协议有哪些。【问题 5】 请结合自己做过的案例，说明在进行企业内部服务器群的安全规划时需要考虑哪些因素。 2014年下半年软件水平考试（高级）网络规划设计师下午（案例分析）真题试卷答案与解析 一、 试题一 1 【正确答案】 【问题 1】理由：

9、GPON是由局端设备 OLT与多个用户端设备 ONU之间通过无源光分配网ODN连接的光接入网络。 “无源 ”的特性使得成本低、维护简单，可提供千兆级带宽，并且技术成熟、抗干扰，已经逐渐成为当今主流的网络接入方式 (三网合一与FTTH接入 )。【问题 2】 1需要配置一台 DHCP服务器，实现内网地址的动态分配； 2已分配的网段不能满足用户地址分配的需求，需要相应的网络设备启用NAT来实现内外网地址的转换； 3由于属于一种类型的用户，公寓网络地址分配按选定网段顺次分配即可 ； 4需要对公寓网络进行 VLAN和子网划分，便于降低冲突域和网络管理； 5为了实现子网间的频繁通信，汇聚各子网的设备具有三

10、层交换功能。【问题 3】 公寓网络的宽带认证通过 BRAS实现，从图 1-1网络拓扑分析，选用集成 PPPoE、 DHCP、 NAT、防火墙的高性能 BRAS，该 BRAS上进行PPPoE的配置，为每个用户设置账号和密码；启用 DHCP服务，配置内网地址池；进行 NAT配置，实现内外网地址转换；进行防火墙规则配置。 OLT可以选用具有三层交换功能的机架式、大容量、全光接入的产品，单框用户数 128口，可以满足公寓网络的需求。对于网络系统的管理采用带内方式管理，即网管信息与业务信息共用同一通道，网管单独用 1个 VLAN，设为 VLAN100，每个业务端口均要透传 VLAN100。【问题 4】

11、1网络边界出现变化，学生公寓网络可作为校园网的一个子网成为校园网的一个组成部分。 2 IP地址分配、用户认证与校园网统一， NAT、认证等功能由上端设备承担。 3学生公寓的网络可以有多种上联方式，可以连接校园网、 Internet、 IPTV、 NGN等。 4由于全业务路由器 (Service Router)的出现，在网络规划中，路 由器与 BRAS设备在特定场合也可以实现相同的功能。【问题 5】 GPON接入相比 EPON接入对支持 “三网合一 ”上的优势： 1速率： GPON支持多种速率等级，可支持上下行不对称速率。 EPON提供的是固定 1 5Gbps上下行速率。 2分路比： GPON可

12、支持 ClassA、 B和 C，可支持高达 128的分路比和长达 20km的传输距离。 EPON通常支持 1： 32的分路比，10km的传输距离。 3封装： GPON无论是在传输汇聚层还是在业务适配层的效率都是最高的，其总效率最高，且等效系统成本最低。 【试题解析】 本题 考查网络接入技术以及局域网配置、产品主要性能指标等相关知识即应用。 【问题 1】 无源光纤网络 PON(Passive optical network)又称被动式光纤网络，是光纤通信网络的一种，其特色为不用电源就可以完成信号处理，除了终端设备需要用到电以外，其中间的节点则以精致小巧的光纤元件构成。 PON系统结构主要由中心局

13、的光线路终端 (0LT)、包含无源光器件的光分配网 (ODN)、用户端的光网络单元光网络终端 (ONU ONT，其区别为 ONT直接位于用户端，而 ONU与用户之间还有其他网络，如以太网 )以及 网元管理系统 (EMS)组成，通常采用点到多点的树型拓扑结构。在下行方向， IP数据、语音、视频等多种业务由位于中心局的OLT，采用广播方式，通过 ODN中的 1： N无源光分配器分配到 PON上的所有ONU单元。在上行方向，来自各个 ONU的多种业务信息互不干扰地通过 ODN中的 1： N无源光合路器耦合到同一根光纤，最终送到位于局端 OLT接收端。 【问题 2】 网络地址转换 (NAT， Netw

14、ork Address Translation)属接入广域网 (WAN)技术，是一种将私有 (保留 )地址转化为合法 IP地址的转换技术 ，它被广泛应用于各种类型 Internet接入方式和各种类型的网络中。 NAT不仅可以解决了 IP地址不足的问题，而且还能够有效地避免来自网络外部的攻击，隐藏并保护网络内部的计算机。 虚拟局域网 (Virtual Local Area， Network或简写 VLAN， V-LAN)是一种建构于局域网交换技术 (LAN Switch)的网络管理的技术，网管人员可以借此通过控制交换机有效分派出入局域网的分组到正确的出入端口，达到对不同实体局域网中的设备进行逻辑

15、分群 (Grouping)管理，并降低局域网内大量数据流通时 ，因无用分组过多导致拥塞的问题，以及提升局域网的信息安全保障。 【问题 3】 公寓网络的宽带认证通过 BRAS实现，从图 1-1网络拓扑分析，选用集成PPPoE、 DHCP、 NAT、防火墙的高性能 BRAS，该 BRAS上进行 PPPoE的配置，为每个用户设置账号和密码；启用 DHCP服务，配置内网地址池；进行 NAT配置，实现内外网地址转换；进行防火墙规则配置。 OLT可以选用具有三层交换功能的机架式、大容量、全光接入的产品，单框用户数 128口，可以满足公寓网络的需求。对于网络系统的管理采用带内方式管理，即 网管信息与业务信息

16、共用同一通道，网管单独用 1个 VLAN，设为VLAN100，每个业务端口均要透传 VLAN100。 【问题 4】 1网络边界出现变化，学生公寓网络可作为校园网的一个子网成为校园网的一个组成部分。 2 IP地址分配、用户认证与校园网统一， NAT、认证等功能由上端设备承担。 3学生公寓的网络可以有多种上联方式，可以连接校园网、 Internet、 IPTV、NGN等。 4由于全业务路由器 (Service Router)的出现，在网络规划中，路由器与 BRAS设 备在特 定场合也可以实现相同的功能。 【问题 5】 GPON和 EPON是两种主流的两种 PON技术， GPON符合 ITUT的标准

17、，而EPON是 IEEE指定的标准。从速率上看 GPON是非对成的下行 2 488G上行1 244G，而 EPON上下行对称 1 25G。从分光比来看， GPON支持最大 1： 128的分路比，而 EPON支持 1： 32；从承载业务上看 GPON可以承载 ATM、ETH、 TDM等多种业务而 EPON仅支持 ETH；在带宽效率、 QoS、协议等多个方面， GPON更具有广泛性。 二、试题二 2 【正确答案】 【问题 1】 (1)高 (2)低 (3)数据链路层 (4)应用层 (5)认证前分配 (6)认证后分配 (7)不分离 (8)分离 (9)不支持 (10)支持【问题 2】 (1) 严重浪费

18、BRAS下联链路的带宽。 BRAS设备的负载将非常大。 采用 PPPoE技术承载 IPTV类业务，造成 BRAS设备处理能力、 BRAS与接入设备之间的带宽两个瓶颈，效率低，扩展性差，基本不能发挥组播技术的优势。 (2) IPoE技术的特点：支持用户会话保护，满足运营商对个人宽带业务认证、计费需求；高效的组播传播，适合IPTV业务；长接在线，适 合语音及视频电话业务；减少多余开销，提高传输效率。 IPoE技术需要解决的问题： IPoE认证没有像 PPPoE认证那样在网络层面提供唯一的点到点的通信机制，运营商在部署 IPoE认证时，要重点关注安全问题。如： DHCP溢出攻击、 ARP溢出攻击、

19、Session终结管理等【问题 3】 (1) 核心层的设备保持不变，在业务接入控制层根据不同的业务需求进行设备接入区分优化。将宽带接入服务器 (BRAS)作为使用 PPPoE上网业务的边缘控制设备，业务路由器(SR)作为使用 IPoE的 IPTV、流媒体等关键业务的边缘控制设备， 形成多边缘的网络架构。 宽带接入网主要将接入层设备改造成支持 IPoE和多播的设备。接入层设备包括 OLT、 EPON、园区交换机和楼道交换机等。(2) 城域骨干网核心层的设备保持不变，在业务接入控制层选择新建全业务路由器，或升级现网 BRAS为全业务网关来负责业务统一接入，具备 BRAS和 SR的功能，形成单边缘的

20、网络架构； 宽带接入网主要将接入层设备改造成支持 IPoE的设备。接入层设备包括 OLT、 EPON、园区交换机和楼道交换机等。 (3) 多边缘的网络架构： 优点：现网结构保持不变或改动小，投资较小；上网 业务和视频等业务区分接入，可满足不同业务的需求。 缺点：多边缘的网络架构存在多张计费清单，存在同步等问题；对接入层设备要求高，需对不同业务做分离，接入层 QoS策略复杂。 单边缘的网络架构： 优点：全业务统一接入，便于业务管理；简化了业务控制层的结构及设备维护；简化接入层 QoS的策略部署。 缺点：现网结构改动大，投资大。【问题 4】 (1) 使用 PPPoE认证， IPTV的多播复制点只能

21、是 BRAS。如场景 l所示，多播复制点为 BRAS， BRAS面向每个 IPTV用户都要复制一份数据。这种场景对 BRAS下行链路 (BRAS一汇聚交换机 )的带宽，园区交换机、 0LT的上行链路 (园区交换机、OUT一汇聚交换机 )的带宽及 IP城域网带宽资源造成很大的压力。 使用 IPoE认证， IPTV的多播复制点可以灵活选择在 OLT、 IP DSLAM、汇聚交换机、园区交换机、接入交换机。 如场景 2所示，多播复制点为园区交换机和 OLT，由园区交换机、 OLT面向每个 IPTV用户进行数据复制。大大节省了带宽资源，降低 BRAS压力。 (2)根据上述比较，在 IPTV发展初期，用

22、户规模比较小时，运营商往往采用 BRAS接入，通过 PPPoE协议认证。随着 用户规模的逐步扩大， PPPoE的缺点逐渐显露，加之建设成本高。因此，在 IPTV业务快速发展时，运营商宜采用 IPoE方式承载 IPTV。 【试题解析】 本题主要考查电信运营商网络中 IPTV的应用。【问题 1】 本问题主要考查运营商网络中的接入认证技术。 由于宽带业务的多样化发展趋势，用户接入认证方式作为可运营、可管理的核心，受到包括运营商、制造商、系统集成商的密切关注。当前，电信运营商发展宽带业务主要采用的是 PPPoE接入方式。随着 IPTV业务的规模化发展必然进行宽带网组播复制点的下移，接入认证方式将发生重

23、大变 革。目前成熟的核心认证技术主要包括 PPPoE认证、基于 Web-Portal的认证以及 IEEE 802 1x认证技术。 PPPoE继承了 PPP协议的特点，操作简单且用户较容易接受，能够很好地实现用户计费、在线检测和速率控制等功能。但是， PPPoE的缺点也同样很明显。 PPPoE所包含的 PPP包需要被再次封装进以太网报文内才能进行传输，封装效率受到一定影响。由于发现阶段的机制所限，会产生大量的广播包，不但使得网络承受了较大的压力，同时也使得基于组播的业务 (如视频会议等 )无法开展。除此之外，还需要宽带远程接入服务器BRAS(Broadband Remote Access Ser

24、ver)的支持，使用这种电信级别的设备成本比较高昂，并且用户的业务数据流和控制认证流都需通过该设备，因此很容易形成网络瓶颈，降低网络性能。 基于 Web-Portal技术的认证是一种业务类型的认证，由于使用了 Web页面进行用户名和密码的登入验证，所以省去了安装客户端的麻烦，也避免了系统兼容性的问题。并且，由于承载在应用层之上，无需特别的数据包封装，提高了效率，也减小了网络维护的成本。不过，也正是由于基于 Web-Portal的认证协议处在 OSI模型 的最高层，所以对设备的要求比较高，建网的成本高。且易用性不高，标准不能统一。 IP地址在用户授权之前就已经分配给用户，不是十分合理。 Web服

25、务器对授权用户和非授权用户来说都是可达的，因此很容易受到恶意攻击，存在安全隐患。同 PPPoE一样，用户的业务数据流和控制认证流无法区分，造成设备不必要的压力。 IEEE802 1x就是 IEEE为了解决基于端口的接入控制而定义的一个标准。作为基于 C S的访问控制和认证协议，未经授权的用户或是设备若是未通过 IEEE 802 1x协议的认证是无法通过接入端口(Access Pon)访问网络的。 IEEE 802 1x协议为二层协议不需要到达三层，业务报文直接承载在正常的二层报文上。用户通过认证后实现业务流和认证流分离，不再将数据包进行拆解。 IEEE 802 1x封装效率极高。采用了各端口独

26、立控制处理的方式，因此认证处理容量可以很大，远远高于传统的 BRAS设备，所有的业务流量和认证系统分开，有效的解决了网络瓶颈问题。与基于七层协议的Web Portal认证相比，能够及时处理异常离线情况和实现基于时间的计费。数据分离的特点使得 IEEE 802 1x的认证过程变得简单。整个用户认证在二层 网络上实现，可以结合 MAC、端口、账户和密码等，具有很高的安全性。由上述分析可知，这三种接入认证技术应用的网络环境不同，各有利弊。目前三种认证方式都获得了很多成功的应用： PPPoE现在最主要的用户人群是 ADSL用户，由电信级别的运营商提供接入服务。而基于 Web-Portal的认证一般用于

27、旅馆酒店，并多用于无线网络的认证。而 IEEE 802 1x认证则普遍用于规模较大，接入用户数目庞大的以太网。下表就一些基本的网络数据指标对它们进行了比较。【问题 2】 本问题主要考查在电信运营商的 IPTV实施中 IPoE和 PPPoE各自的技术特点。 (1)对于大量的视频流，只有通过组播方式传送才能最大化地利用带宽，缓解网络瓶颈。而 PPPoE数据包，给所有数据包都封装 PPP包头，在 BRAS与所连接的上万个宽带用户终端之间建立了相同数量的点对点连接。这种方式决定了 BRAS到所有终端都是唯一的点到点链路，二者之间的任何二层设备对所传送的数据包都没有办法进行组播复制。因此，采用 PPPo

28、E封装传送广播 IPTV组播数据流， BRAS设备会在所有到用户终端的点到点连接上复制组播数据流。这就造成大量数据包在 BRAS以下的交换机和 EPON单元上被重 复传送，严重浪费BRAS下联链路的有限带宽。 BRAS设备要时刻接受用户拨入请求，与 Radius服务器合作完成用户的认证工作，同时还要维护大量的 PPPoE状态信息，对设备的要求是比较高的。 IPTV数据流量大，要求低时延，线速转发，如果进行 PPPoE数据包封装，在用户量稍大时， BRAS设备的负载将非常大。采用 PPPoE技术承载 IPTV类业务，造成 BRAS设备处理能力、 BRAS与接入设备之间的带宽两个瓶颈，效率低，扩展

29、性差，基本不能发挥组播技术的优势。 (2)IPoE认证方式不需要在用户终端上安装任何客户端程序 ，不需要输入用户名和密码，非常适合新型网络设备，如智能手机，数字电视， PSP(PlayStationPortable，多功能掌机系列，具有游戏、音乐、视频等多项功能 )等很难支持内置的 PPPoE拨号程序的终端应用互联网业务。 IPoE技术的特点：支持用户会话保护，满足运营商对个人宽带业务认证、计费需求；高效的组播传播，适合 IPTV业务；长接在线，适合语音及视频电话业务；减少多余开销，提高传输效率。 IPoE技术需要解决的问题： IPoE认证没有像 PPPoE认证那样在网络层面提供惟一的点到点的

30、通信机制，运营商在部署IPoE认证时，要重点关注安全问题。如： DHCP溢出攻击和应对策略； ARP溢出攻击和应对策略； Session终结管理，根据 DHCP协议的特性，当 Session终结后，用户的 IP地址并不能及时释放并回收。【问题 3】 本问题主要考查 IPoE的实际部署。 (1)IPoE部署要从运营支撑系统、核心层、业务控制层、接入层分别进行部署。具体的运营支撑系统改造方案主要要新建 IPoE业务的运营支撑系统(DICP系统 )，该系统能够提供用户认证、动态分配地址、动态调整每用户的带宽和 QoS属性，针对预付费、流量、时长等提供多种计 费手段，提供精细化管理和控制。 DHCP系

31、统新增服务器包括认证服务器、 DHCP服务器、 Web Portal服务器等。在网络部署方案上分为采用多边缘架构进行业务接入区分优化和采用单边缘架构统一业务接入两种方案。 图 2-1采用的是多边缘架构进行业务接入区分优化方案。其中城域骨干网的设备一般都已支持 IPoE。核心层的设备保持不变，在业务接入控制层根据不同的业务需求进行设备接入区分优化。将宽带接入服务器 (BRAS)作为使用 PPPoE上网业务的边缘控制设备，业务路由器 (SR)作为使用IPoE的 IPTV、流媒体等关键业务 的边缘控制设备，形成多边缘的网络架构。宽带接入网主要将接入层设备改造成支持 IPoE的设备。接入层设备包括 O

32、LT、EPON、园区交换机和楼道交换机等，需要支持灵活 QinQ、 IGMPSnooping、IGMP、 IGMP Proxy、 DHCP OPTION 82、 DHCP OPTION 60，并支持对多播频道的控制功能。 (2)采用单边缘架构统一业务接入 (如下图所示 )。其中城域骨干网核心层的设备保持不变，在业务接入控制层选择新建全业务路由器，或升级现网 BRAS为全业务网关来负责业务统一接入，具备 BRAS和 SR 的功能，并管理 IPoE Session会话，形成单边缘的网络架构；宽带接入网主要将接入层设备改造成支持 IPoE的设备。接入层设备包括 OLT、 EPON、园区交换机和楼道交

33、换机等，接入层网的改造和采用多边缘架构进行业务接入区分优化的方案一样。 (3)多边缘和单边缘两种 IPoE部署方案的比较如下表所示。在一段时间内， IPoE和 PPPoE的认证方式会共存并逐步过渡到以 IPoE为主。IPoE主要用于 IPTV、 NGN、大客户 VPN等关键业务，为保证 IPTV、 NGN、大客户 VPN等关键业务的承载，运营商往往选择与普通 上网业务区分承载层面，因此运营商可根据自身业务的发展情况，在建设、优化 IP城域网的关键业务平面的同时，选择不同方案统一部署 IPoE。【问题 4】 本问题主要考查 IPTV的实际应用场景。 目前电信运营商的用户采用 IPoE的宽带接入主

34、要认证场景为大客户专线接入认证、 IPTV等。 IPoE和 PPPoE的交叉场景就是 IPTV，下面就 IPTV应用 PPPoE和 IPoE的不同场景进行分析。 场景 1：使用 PPPoE认证方式 使用PPPoE认证， IPTV的多播复制点只能是 BRAS。如图 2-2所示，多播复制点为BRAS， BRAS面 向每个 IPTV用户都要复制一份数据。这种场景对 BRAS下行链路 (BRAS 汇聚交换机 )的带宽，园区交换机、 OLT的上行链路 (园区交换机、OLT一汇聚交换机 )的带宽及 IP城域网带宽资源都造成了很大的压力。 场景 2：使用 IPoE认证方式 使用 IPoE认证， IPTV的多

35、播复制点可以灵活选择在 OLT、IP DSLAM、汇聚交换机、园区交换机、接入交换机。如图 2-2所示，多播复制点为园区交换机和 OLT，由园区交换机、 OLT面向每个 IPTV用户进行数据复制。这种场景大大节省了 BRAS 园区交换机、 OLT链路的带宽资源 ，降低了BRAS压力。采用 IPoE，播复制点可选择最靠近用户的设备上，也可采用多级复制、逐级复制进行组播流量的优化。 下图是 IPTV使用： PPPoE和 IPoE认证方式时多播视频流的流向和流数 (其中，采用 IPoE时多播复制点选择在园区交换机和 OLT上 )根据上述比较，在 IPTV发展初期，用户规模比较小时，运营商往往采用 B

36、RAS接入，通过 PPPoE协议认证。随着用户规模的逐步扩大， PPPoE的缺点逐渐显现出来，联带建设成本高，因此，在 IPTV业务快速发展时，运营商更倾向于采用IPoE方式承载 IPTV。 三、 试题三 3 【正确答案】 【问题 1】 1接入交换机上进行访问控制； 2 VLAN技术通过用户隔离，实现对敏感信息的访问进行限制； 3在边界路由器上配置 NAT，屏蔽内网地址信息，降低外部的攻击； 4边界路由器上配置 ACL访问控制列表，可以实现策略控制，进行访问权限控制。 【问题 2】 1制造生产部子网络应该直接接入核心交换机，该网络中当研发部子网络的交换设备故障时将会直接对制造生产部的一线产生影

37、响； 2。在内部网和外部网之间、专用网与公共网之间没有专门 的防护设备，不能防御外来攻击； 3服务器群应设置在防火墙的 DMZ区； 4应当配备 IPS设备、流量监控、上网行为管理和网络病毒防护设备； 5采用网闸物理隔离财务部门和有关涉密部门。 【问题 3】 必要性： 1防止内部人员攻击； 2和防火墙互为补充； 3攻击发生后的取证。 部署：采用旁路方式接入核心交换机 【问题 4】 VPN采用的安全隧道技术包括：加解密技术、密钥管理技术、身份认证技术。 VPN协议有： PPTP、 L2PT、 IPSec。 【问 题 5】 1首先划分信息安全级别 2依据安全级别，考虑以下内容： (1)DMZ区安全防

38、护 (2)机房的物理安全 (3)主机的系统安全 (4)数据备份机制 (5)安全管理制度 【试题解析】 本题考查局域网络安全的相关知识，包括 NAT、 VLAN、 GAP(网闸 )、 ACL、 VPN等的综合运用以及网络安全拓扑的规划、管理等内容。 【问题 1】 该企业现有的网络需要进行多级的安全部署。首先在接入层交换机上进行访问控制；采用 VLAN技术通过用户隔离，实 现对敏感信息的访问进行限制；在边界路由器上配置 NAT，屏蔽内网地址信息，降低外部的攻击；边界路由器上配置ACL访问控制列表，可以实现策略控制，进行访问权限控制。 【问题 2】 该企业现有的网络存在诸多安全隐患： 1制造生产部子

39、网络应该直接接入核心交换机，该网络中当研发部子网络的交换设备故障时将会直接对制造生产部的一线产生影响； 2在内部网和外部网之间、专用网与公共网之间没有专门的防护设备，不能防御外来攻击； 3服务器群应设置在防火墙的 DMZ区； 4应当配备 IPS设备、流量监控、上网行为管理和网络病毒防护设备； 5采用网闸物理隔离财务部门和有关涉密部门。 GAP全称安全隔离网闸。安全隔离网闸是一种由带有多种控制功能专用硬件在电路上切断网络之间的链路层连接，并能够在网络间进行安全适度的应用数据交换的网络安全设备。 【问题 3】 入侵检测系统 (IDS)是一种对网络传输进行即时监视，在发现可疑传输时发出警报或者采取主

40、动反应措施的网络安全设备。通常 IDS采用旁路方式接入核心交换机，可以和防火墙互为补充，防止内部人员攻击，攻击发生后的取证等。 【问题 4】 VPN(虚拟专用网络 )是指在公用网络上建立专用网络，进行加密通讯。在企业网络中有广泛应用。 VPN网关通过对数据包的加密和数据包目标地址的转换实现远程访问。 VPN有多种分类方式，主要是按协议进行分类。 VPN可通过服务器、硬件、软件等多种方式实现， VPN具有成本低，易于使用的特点。主要采用的协议有：在互联网上建立 IP虚拟专用网隧道的协议 PPTP；建立在点对点协议 PPP的基础上，把各种网络协议 (IP、 IPX等 )封装到 PPP帧中，再把整个数据帧装入隧道协议 L2TP；对 IP协议分组进行加密和认证的协议 IPSec。 【问题 5】 任何企业在做安全规划时，首先依据需求划分信息安全级别，然后依据安全级别，考虑 DMZ区安全防护，机房的物理安全，主机的系统安全，数据备份机制，安全管理制度等等。