16.2 题型1：网络规划

作者: 郭春柱 出处:电子工业出版社 　2008-04-16 16:40　   砖    好    评论  条 　进入论坛

阅读提示：《应试捷径—典型考题解析与考点贯通（ 系统分析师考试）》第16章给您介绍的是网络与信息化建设,本节为您描述的是网络规划。

16.2  题型1：网络规划
【典型题16-2-1】  （2006下半年下午试卷I试题5）
阅读以下关于企业网络建设方案分析方面的描述，回答问题1~问题3。（25分）
【说明】
A企业是一家汽车制造公司，随着业务发展，需要将该企业在某城市内的八家销售公司进行网络互连。目前，该企业所传输的信息量比较少，但要求通信数据传输可靠，网络建设的成本又不能太高。为此，网络部的张总工程师召集部门有关技术骨干讨论企业网络建设问题。在讨论过程中，提出了如下4种解决方案：
（1）铺设光缆；
（2）采用微波技术；
（3）租用电路专线；
（4）采用ADSL接入Internet，并采用VPN实现销售公司间的网络互连。
张总工程师经过仔细考虑，根据企业现状，最终选择了第4种方案。
【问题1】（11分）
请用200字以内文字简要叙述4种方案的优缺点，并说明张总工程师选择第4种方案的理由。
【问题2】（6分）
采用ADSL接入的模型如图16-1所示。请将下列术语对应的编号填入图16-3中（1）~（8）空缺处。
A：局端ADSL MODEM     B：用户端ADSL MODEM
C：模拟信号       D：中央局端模块
E：程控交换机       F：局端滤波器
G：数字信号       H：远端用户模块ATU－R

图16-1  ADSL接入模型图

【问题3】（8分）
请用200字以内文字从安全保证角度简要叙述实现VPN的几种关键技术。
要点解析：
【问题1】（11分）

这是一道要求读者根据实际应用环境进行各种网络互连方案比较的综合分析题。本试题关于各方案的优缺点见表16-2。
表16-2  各网络互联方案比较分析表

张总工程师采用第4种方案的理由如下。
1）该企业8家销售公司处于同一个城市，通信传输距离短。通常，同一个城市所提供的电话线的服务质量较统一，这有利于进行网络互连时信号质量的稳定；
2）由于该企业所传输的信息量比较少，而非对称数字用户线（ADSL，Asymmetric Digital Subscriber Line）的G.DMT标准的下行/上行数据传输速率分别为8Mb/s、1.5Mb/s，因此该速率标准能够满足该企业信息传输延迟的要求。
3）由于虚拟专用网（VPN）采用隧道技术、加解密技术、密钥管理技术、使用者与设备身份认证技术等技术来保证内部数据在Internet网上的安全传输，因此第4种互连方案可满足该企业对“通信数据传输可靠”的要求。
4）由于ADSL接入技术可直接利用现有的电话线、投资成本低、管理维护费用较低、可实现点对多点通信，上网与打电话互不影响，无需另外缴付电话费，较适用于中小型企业，因此第4种方案能够满足该企业对“网络建设的成本又不能太高”的要求。
【问题2】（6分）
这是一道要求读者掌握ADSL系统接入模型的分析理解题。本题的解答思路如下。
1）对于选项B的“用户端ADSL MODEM”是一种位于用户家中的终端设备，其一端使用电话线与PSTN网络相连接，另一端使用非屏蔽双绞线（UTP）与用户的计算机或交换机相连接。在图16-1所示的拓扑结构中，（3）空缺处的网络设备就是“用户端ADSL MODEM”。
2）一个典型的ADSL系统接入模型主要由中央交换局端模块和远端模块组成。其中，ADSL  MODEM必须成对使用。通常将在电信局端的ADSL MODEM被称为ATU-C（C表示端局，Central Office），在用户家中所用的ADSL MODEM被称为ATU-R（R表示远端，即Remote）。因此将用户ADSL MODEM所在的功能模块称为远端模块（ATU-R模块），即在图16-1所示的网络拓扑结构中（1）空缺处需填入选项H的“远端用户模块ATU-R”；将电信局端ADSL MODEM所在的功能模块称为中央交换局端模块（ATU-C模块），即在图16-1所示的网络拓扑结构中（7）空缺处需填入选项D的“中央局端模块”。
3）位于用户家中的信号滤波器，也称信号分离器（PS，POTS Splitter），用于将电话线路中的高频用户信号和低频语音信号进行分离。由于局端和用户的ADSL MODEM必须成对使用，因此信号分离器PS也需成对使用，即用户家中的信号分离器PS经过接线盒连接至PSTN网，在局端跳线架之后需先经过一个局端信号分离器PS，用于把话音信号分离后送至电话程控交换机。在图16-1所示的网络拓扑结构中（6）空缺处需填入选项F的“局端滤波器”，（8）空缺处的网络设备就是选项E的“程控交换机”。由此也可判断出在图16-1所示的网络拓扑结构中，与Internet网互连的网络设备就是选项A的“局端ADSL MODEM”（即（5）空缺处所填写的内容）。
4）由以上分析可知，信号滤波器用于将电话线路中的低频语音信号和高频数字信号进行分离。其中，低频语音信号由分离器接电话机用来传输普通语音信息，而高频数字信号则送入ADSL MODEM，用来传输Internet网数据信息。
5）低频语音信号在图16-1所示的网络拓扑结构中的传输路径是：局端的电话程控交换机←→局端滤波器←→PSTN网←→用户端滤波器←→电话机。
6）在图16-1所示的网络拓扑结构中，高频数字信号的传输路径是：Internet网←→局端ADSL MODEM←→局端滤波器←→PSTN网←→用户端滤波器←→用户端ADSL MODEM←→用户计算机。
7）因此，在图16-1所示的网络拓扑结构中（2）空缺处传输的信号是选项G的“数字信号”，（6）空缺处传输的信号是选项C的“模拟信号”。
8）最后将以上分析结果归纳整理，可得出一张完整的ADSL宽带接入Internet网的网络拓扑结构图，如图16-2所示。

图16-2  典型的ADSL接入Internet模型图

【问题3】（8分）
这是一道要求读者掌握VPN安全关键技术的基本常识题。本题所涉及的知识点如下。
1）虚拟专用网（VPN）指的是依靠Internet服务提供商（ISP）和其他网络服务提供商（NSP），在公用网络中建立专用的数据通信网络的技术。其中，“虚拟”是指用户不再需要拥有实际的长途数据线路，而是使用公共Internet网的数据线路。“专用网络”是指用户可以为自己制定一个最符合自己需求的网络。
2）目前VPN技术主要采用①隧道技术（tunneling）、②加解密技术（Encryption & Decryption）、③密钥管理技术（Key Management）、④使用者与设备身份认证技术（Authentication）等技术来保证内部数据在Internet网上的安全传输。
3）其中，① 隧道技术是VPN的基本技术，类似于点对点连接技术，它在公用网建立一条数据通道（隧道），让数据包通过这条隧道传输。隧道是由隧道协议形成的，分为第二、三、四层隧道协议。第二层隧道协议是先把各种网络协议封装到PPP帧中，再把整个数据包装入隧道协议中。第二层隧道协议有L2F、PPTP、L2TP等。第三层隧道协议是把各种网络协议直接装入隧道协议中，形成的数据包依靠第三层协议进行传输。IPSec协议是第3层隧道协议的典型代表。SSL协议是第四层隧道协议的典型代表。
② 加解密技术是数据通信中一项较成熟的技术，VPN可直接利用现有的对称密码和非对称密码的加解密技术。通过公共Internet网络传递的数据经过加密后，以确保网络其他未授权的用户无法读取该信息。
③ 密钥管理技术的主要任务是如何在公用数据网上安全地传递密钥而不被窃取。
④ 使用者与设备身份认证技术，通常使用用户名和密码认证、卡片式认证或USB加密狗认证等方式。
参考答案：
表16-3给出了本试题问题1~ 3的参考答案，以供读者练习时参考，以便查缺补漏。读者可依照所给出的评分标准得出自己的测试分数，从而大致评估自己对这一方面知识点的掌握程度。

表16-3  参考答案及评分标准表

思考与讨论：
本试题【问题3】的考核内容、方式与2006上半年“网络工程师级”下午试卷试题5【问题1】相类似。本书将力求以发展的眼光、应试的角度来帮助读者归纳“网络工程师级”考试中在系统分析层面上的相关知识点，以增强读者学习相关知识点的目的性。提醒读者在备考过程中，仔细研读本书所归纳总结的历年典型试题。
【典型题16-2-2】  （2007上半年下午试卷I试题5）

阅读以下说明，在答题纸上回答问题1至问题6。（25分）
【说明】
某学校在原校园网的基础上进行网络改造，网络方案如图16-3所示。其中网管中心位于办公楼第三层，采用动态及静态结合的方式进行IP地址的管理和分配。

图16-3  某校园网拓扑结构图

【问题1】（4分）
设备选型是网络方案规划设计的一个重要方面，请用200字以内文字简要叙述设备选型的基本原则。
【问题2】（5分）
从表16-4中为图16-3中（1）~（5）处选择合适设备，将设备名称写在答题纸的相应位置（每一设备限选一次）。
表16-4  网络设备性能描述表

【问题3】（4分）
为图16-3中（6）~（9）处选择介质，填写在答题纸的相应位置。
【备选介质】（每种介质限选一次）：
千兆双绞线   百兆双绞线   双千兆光纤链路   千兆光纤
【问题4】（5分）
请用200字以内文字简要叙述针对不同用户分别进行动态和静态IP地址配置的优点，并说明图16-3中的服务器以及用户采用哪种方式进行IP地址配置，将表16-5中（1）~（3）处填写完整。
表16-5 网络设备IP地址配置方式表

【问题5】（3分）
通常有恶意用户采用地址假冒方式进行盗用IP地址，可以采用什么策略来防止静态IP地址的盗用？
【问题6】（4分）
（l）图16-3中区域A是什么区？（请从以下选项中选择）
A．服务区   B．DMZ区   C．堡垒主机   D．安全区
（2）学校网络中的设备或系统有存储学校机密数据的服务器、邮件服务器、存储资源代码的PC机、应用网关、存储私人信息的PC机、电子商务系统等，这些设备中哪些应放置在区域A中，哪些应放置在内网中？请简要说明。
要点解析：
【问题1】（4分）
这是一道要求读者掌握网络方案设计中设备选型原则的简答题。
所谓设备选型即是从多种可以满足相同需要的不同型号、规格的设备中，经过技术、经济等方面的分析评价，从中选择较好方案以供购买决策。合理选择设备，可使有限的资金发挥最大的经济效益。网络设备选型一般考虑的原则如下。
①采用市场占有率高的厂商的产品。所有网络设备尽可能选取同一厂家的产品，这样在设备可连性、协议操作性。技术支持、价格等各方面都更有优势。从这个角度来看，产品线齐全、技术认证队伍力量雄厚、产品市场占有率高的厂商是网络设备品牌的首选。
②兼顾可扩展性考虑。在网络的层次结构中，主干设备的选择应预留一定的能力，以便于将来扩展。由于低端设备更新较快，且易于扩展，因此低端设备选型时则够用即可。
③根据方案实际需要选型，即在参照整体网络设计要求的基础上，根据网络实际带宽性能需求、端口类型和端口密度等进行选型。对于早期网络工程的改造项目，应尽可能保留并延长用户对原有网络设备的投资，减少在资金投入方面的浪费。
④选择性能价格比高、质量过硬的产品。为使资金的投入产出达到最大值，能以较低的成本、较少的人员投入来维持系统运转，网络开通后，要运行许多关键业务，因而要求系统具有较高的可靠性。整个系统的可靠性主要体现在网络设备的可靠性，尤其是体现在核心层主干交换机的可靠性、线路的可靠性等方面。
【问题2】（5分）
这是一道要求读者掌握网络方案设计中设备部署的拓扑结构设计题。基于表16-4中每一网络设备限选一次的条件下，本题的解答思路如下。
①由表16-4中关于路由器设备的性能描述“……固定的广域网接口+可选广域网接口，固定的局域网接口……”可知，图16-3中（1）空缺处的网络设备应选择路由器（Router1）。通过Router1的广域网接口连接到Internet网，Router1的100/1000Base-T/TX局域网接口连接至防火墙的外网接口（即WAN接口）。
②从交换容量、转发性能、可支持接口类型、电源冗余模块等方面对比表16-4中交换机设备Switch1、Switch2、Switch3可知，设备Switch1的性能最好，可能是一台三层交换机设备，设备Switch2的性能次之。
③仔细阅读图16-3的拓扑结构可知，（2）空缺处的网络设备位于校园网核心层，它是校园网内部的核心设备。它至少需要提供一个百兆/千兆电口用于连接至防火墙的内网接口（即LAN接口），若干个快速以太网电口或光口用于连接至位于办公楼的各楼层交换机和与（2）空缺处网络设备相连接的服务器组。而表16-4中关于交换机设备Switch1性能描述“……可支持接口类型：100/1000Base-T、GE、10GE……”信息可满足以上网络连接要求，因此由以上分析可知，（2）空缺处的网络设备应选择设备名称为Switch1的交换机设备。
④由图16-3的拓扑结构可知，该校园网的拓扑结构是一个典型的核心层、汇聚层、接入层的网络拓扑。分别位于图书馆楼、实训楼的（4）、（5）空缺处的网络设备上连至核心层的三层交换机，即（2）空缺处的网络设备，下连至各楼层交换机。考虑到综合布线系统中各大楼建筑物之间通常采用光纤作为传输介质，结合表16-4中关于交换机设备Switch3的性能描述“……可支持接口类型：FE、GE，24千兆光口……”信息可知，（4）、（5）空缺处的网络设备应选择设备名称为Switch3的交换机设备。
⑤结合工程经验可知，在图16-3的拓扑结构中，（3）空缺处的网络设备至少需要提供一个百兆/千兆电口用于连接至防火墙的DMZ接口，若干个快速以太网电口或光口用于连接与其相连接的服务器组、用户管理器和网络管理计算机。而表16-4中关于交换机设备Switch2的性能描述“……可支持接口类型：GE，20 百/千兆自适应电口……”信息可满足以上网络连接要求，因此（3）空缺处的网络设备应选择设备名称为Switch2的交换机设备。
【问题3】（4分）
这是一道要求读者掌握网络方案设计中传输介质选择的分析设计题。基于每种传输介质限选一次的条件下，本题的解答思路如下。
①由IEEE802.3ad工作组制定的链路聚合（Port Trunking）技术，支持IEEE802.3协议，是一种用来在两台核心交换机之间扩大通信吞吐量、提高可靠性的技术。该技术可使交换机之间连接最多4条负载均衡的冗余连接。当某一台核心层交换机出现故障或核心层交换机与接入层/汇聚层交换机的某一条互连线路出现故障时，系统会将通信业务快速自动切换到另一台正常工作的核心层交换机上。在图16-3拓扑结构中，（2）空缺处的核心层交换机与原校园网的连接介质建议采用双千兆光纤链路，即（6）空缺处应填入“双千兆光纤链路”。
②结合【问题2】的要点解析可知，在图16-3拓扑结构中（3）空缺处的Switch2交换机设备可支持千兆以太网（GE）接口类型，且有20个百/千兆自适应电口。综合考虑到与Switch2交换机相连接的服务器组要求较高的通信性能，因此（8）空缺处的传输介质可选择“千兆双绞线（例如6类非屏蔽双绞线等）”。
③同理，由于（3）空缺处的Switch2交换机设备有20个百/千兆自适应电口，而位于区域A中的网络管理计算机与（3）空缺处的交换机设备距离通常不会超过100m，因此（9）空缺处的传输介质可选择“百兆双绞线（例如超5类非屏蔽双绞线等）”。
④结合工程经验可知，在层次化网络方案设计时，综合考虑到未来的网络应用过牵涉到数据、音频、视频传输，为保证传输带宽和质量，通常垂直干线子系统采用多模光纤把各配线间连接到主配线间。在图16-3拓扑结构中，（2）空缺处的核心层交换机与各楼层交换机的连接介质建议采用千兆光纤，即（7）空缺处的传输介质可选择“千兆光纤”。
【问题4】（5分）
这是一道要求读者掌握网络方案设计中动态和静态IP地址配置策略的综合理解题。本题的解答思路如下。
①采用静态IP地址配置方案，每个用户都有自己独立的IP地址，是比较简单且有效的配置方式，便于网络的管理以及网络资源的相互访问，无需配置专用的IP地址管理服务器。通常企业网或校园网中的网络设备本身的管理IP地址、各种应用服务器的IP地址、网络管理工作站、网络打印机等设备采用静态IP地址分配。可见，本试题表5-2中邮件服务器、网管PC机等适合采用静态IP地址。
②由于IP地址资源的宝贵性，加上用户上网时间和空间的离散性，采用动态IP地址配置方案为每个用户分配一个临时的IP地址，则可避免IP地址资源的浪费。这种配置方案增加了用户接入的灵活性，但需要专用的DHCP服务器支持，且将增加了网络管理的难度。该配置方案被应用于用户计算机通过MODEM、ISDN、ADSL等接入Internet网的场合中，也可应用于大中型网络客户机的接入场合中。可见，本试题表5-2中学生PC机等适合采用动态IP地址。
【问题5】（3分）
这是一道要求读者掌握防止静态IP地址盗用的基本常识题。由于物理地址（MAC地址）是每一张网卡固化的全网唯一的标识符，因此绑定MAC地址与IP地址是防止内部IP地址被恶意用户盗用的一种简单、有效的常用措施。该技术可防止非法用户伪装成合法用户在网络上进行一些非法的行为。
【问题6】（4分）
这是一道要求读者掌握防火墙DMZ区基本概念以及服务器部署的基本常识题。本题的解答思路是，防火墙中的DMZ区也称为非军事区，允许外部网的用户有限度地使用其中的资源。通常，DMZ区的安全规则如下：①允许外部网络用户使用DMZ区的应用服务（如Web、FTP、E-mail等）；②允许DMZ区内的应用服务器及工作站访问Internet；③禁止DMZ区的应用服务器访问内部网络；④禁止外部网络非法用户访问内部网络和DMZ区内应用服务器；⑤禁止外部网络ping DMZ区等。
由【问题2】的要点解析可知，在图16-3拓扑结构中防火墙与（1）空缺处路由器设备相连的接口为外网接口（即WAN接口），而与（2）空缺处三层交换机设备相连的接口为内网接口（即LAN接口），因此与（3）空缺处普通交换机设备相连的接口为DMZ接口，即区域A是DMZ区。
通常DMZ是放置公共信息的最佳位置，用户、潜在用户和外部访问者无需通过内网就可以直接获得他们所需要的关于学校的一些公开信息。通常DMZ中服务器不应包含任何商业机密、资源代码或是私人信息。学校中与机密的、私人的信息相关的设备则应部署在校园网内部中，即DMZ的后面。
由以上分析可知，要保证学校相关信息的机密性，就要避免外部网络的用户和内部网络中未经授权的用户直接访问存储学校机密数据的服务器、存储资源代码的PC机和存储私人信息的PC机等，因此需要将这些设备部署在校园网内部网络中以确保其安全。
对于邮件服务器、电子商务系统、应用网关等设备既要允许内、外网主机对其访问，又要保障它们的安全性。因此这些设备需部署在防火墙的DMZ区，即图16-3的区域A中。
参考答案：
表16-6给出了本试题问题1~问题6的参考答案，以供读者练习时参考，以便查缺补漏。读者也可依照所给出的评分标准得出自己的测试分数，从而大致评估自己对这一方面知识点的掌握程度。
表16-6  参考答案及评分标准表

思考与讨论：
本试题【问题1】、【问题2】的考核内容、方式与2003年“网络工程师级”下午试卷试题1相类似；【问题6】的考核内容与2004上半年“网络工程师级”下午试卷试题1【问题4】相同。本书将力求以发展的眼光、应试的角度来帮助读者归纳“网络工程师级”考试中在系统分析层面上的相关知识点，请读者在备考过程中仔细复习本书所归纳总结的历年典型试题。
【典型题16-2-3】 
阅读以下关于企业网络性能评估和规划方面的技术说明，根据要求回答问题1~ 3。（25分）
【说明】
某企业销售部和售后服务部的网络拓扑结构如图16-4所示。

图16-4  某企业网络拓扑结构图

这两个部门的员工抱怨由于新服务器的加入网络运行比以前慢了。系统分析师小郭在调查期间利用手持式诊断工具记录了如下信息。
（1）服务器A（Server A）同时是销售部和服务部的文件和打印服务器，其网络连接运行在78%的平均利用率上。
（2）销售部的网络平均利用率为45%。
（3）服务器B（Server B）是一台文件服务器，其上驻留了各种类型的文件，并允许销售部的工作站进行在线文件编辑。它占用销售部所有网络利用率的20%。
（4）销售部的两个有限授权用户经常以对等工作方式进行网络互连操作。他们占用了销售部所有网络利用率的5%。
（5）售后服务部的的网络平均利用率为65%。
（6）服务器C（Server C）中有一套销售部和服务部员工频繁使用的图像库应用软件，它占用销售部、服务部两个部门的所有网络利用率的15%。
（7）流媒体服务器（Server D）中驻留一套流媒体应用软件，由服务部用于售后服务等培训工作。该应用占用了部门网络利用率的20%。
系统分析师小郭在调查中了解到该企业工程技术部门已花费了所有资金，已经没有了购买新的网络设备的预算资金。但该工程技术部可在三层交换机（Switch1）上提供6个1 Gb/s交换端口，另外还可提供3台100 Mb/s的交换机、4张1 Gb/s网卡和一箱回收的10/100 Mb/s网卡。
【问题1】（3分）
在图16-4网络拓扑中，服务器A（Server A）的网络利用率性能可以接受吗？请用150字以内的文字简要说明理由。
【问题2】（3分）
根据该企业网络的现状，请给出一种提升服务器A网络性能的简要方法。
【问题3】（5分）

若要流媒体服务器（Server D）所提供的服务性能在可接受的范围内，则需要其所在的网络低于0.001s的延迟。假设销售部网络存在5%的冲突，平均帧长为8 000 bit，那么销售部网络的实际的数据吞吐量是多少？（注：表16-7给出了各种帧长度的开销比）
表16-7  各种帧长度开销比表