2010下半年網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)師下午試卷Ⅰ、標(biāo)準(zhǔn)答案及分析

試題一（25分）
　　閱讀以下關(guān)于某電子政務(wù)網(wǎng)絡(luò)平臺(tái)的敘述，回答問題1至問題3，講解答填入答題紙的對應(yīng)欄內(nèi)。
【說明】
　　某省準(zhǔn)備建立電子政務(wù)網(wǎng)絡(luò)平臺(tái)，實(shí)現(xiàn)全省上下各級部門之間的信息交換和資源共享。遵照《國家信息化領(lǐng)導(dǎo)小組關(guān)于推進(jìn)國家電子政務(wù)網(wǎng)絡(luò)建設(shè)的意見》的要求，電子政務(wù)網(wǎng)絡(luò)分為電子政務(wù)外網(wǎng)和電子政務(wù)內(nèi)網(wǎng)，該省即將建設(shè)的網(wǎng)絡(luò)平臺(tái)被定性為“非涉密”的電子政務(wù)外網(wǎng)。在第一期工程中，主要建設(shè)覆蓋省直部門和各地市州的電子政務(wù)外網(wǎng)。電子政務(wù)外網(wǎng)是辦公自動(dòng)化、行政審批、電子監(jiān)察等跨部門應(yīng)用系統(tǒng)的運(yùn)行網(wǎng)絡(luò)，還是一個(gè)網(wǎng)絡(luò)承載平臺(tái)，可以承載各類VPN。例如，在當(dāng)前的省級外網(wǎng)平臺(tái)建設(shè)中，外網(wǎng)平臺(tái)就需要承載兩個(gè)VPN：（1）互連各個(gè)部門的國庫支付VPN；（2）互連各個(gè)部門的視頻監(jiān)控VPN。
【問題1】（6分）
　　電子政務(wù)外網(wǎng)承載VPN，可以采用L2TP、MPLS VPN、IPSec三類技術(shù)，請對三種技術(shù)進(jìn)行比較，將有關(guān)內(nèi)容填入表1-1的空白中（備注檔不用填）。

試題解析：
　　L2TP（Layer 2 Tunneling Protocol，第二層隧道協(xié)議）工作在第二層。第二層隧道協(xié)議只提供數(shù)據(jù)的封裝服務(wù)，不提供數(shù)據(jù)加密服務(wù)，具有以下安全缺陷：
　　1）第二層隧道協(xié)議僅僅對通信雙方進(jìn)行身份認(rèn)證，而沒有對傳輸報(bào)文進(jìn)行認(rèn)證，因此無法抵御數(shù)據(jù)重發(fā)攻擊、數(shù)據(jù)偽造攻擊。
　　2）第二層隧道協(xié)議本身不提供任何加密手段，當(dāng)數(shù)據(jù)需要加密時(shí)，需要其它技術(shù)的支持。
　　L2TP結(jié)合了PPTP協(xié)議以及L2F協(xié)議的優(yōu)點(diǎn)，能以隧道方式把PPP幀封裝在公共網(wǎng)絡(luò)設(shè)施（如IP、ATM、幀中繼）中進(jìn)行隧道傳輸。L2TP使用UDP 1701端口進(jìn)行工作。
　　L2TP主要由LAC（L2TP Access Concentrator，L2TP訪問集中器）和LNS（L2TP Network Server，L2TP網(wǎng)絡(luò)服務(wù)器）組成。LAC是一個(gè)網(wǎng)絡(luò)接入服務(wù)器，用于為用戶提供網(wǎng)絡(luò)接入服務(wù)。它是L2TP隧道的一個(gè)端點(diǎn)，具有PPP端系統(tǒng)和L2TP協(xié)議處理的能力，負(fù)責(zé)將用戶數(shù)據(jù)封裝在L2TP隧道中進(jìn)行傳輸。LNS是PPP端系統(tǒng)上用于處理L2TP協(xié)議的服務(wù)器端軟件，也是L2TP隧道的一個(gè)端點(diǎn)。LAC和LNS都被稱為LCCE（L2TP Control Connection Endpoint，L2TP控制連接端點(diǎn)）。
　　L2TP通訊由于對中間轉(zhuǎn)發(fā)設(shè)備沒有特殊要求，因此可以支持移動(dòng)VPN客戶端。
　　MPLS（Multiprotocol Label Switching，多協(xié)議標(biāo)簽交換）技術(shù)是對ATM標(biāo)記交換和IP路由協(xié)議的有機(jī)結(jié)合。它不僅有助于提高網(wǎng)絡(luò)層的數(shù)據(jù)報(bào)轉(zhuǎn)發(fā)能力，而且對提高網(wǎng)絡(luò)層路由系統(tǒng)的可擴(kuò)展性起到一定的作用。
　　MPLS提供多種協(xié)議的接口，如 IP、ATM、幀中繼、資源預(yù)留協(xié)議（RSVP）、開放最短路徑優(yōu)先（OSPF）等。MPLS將IP地址映射為簡單的具有固定長度的標(biāo)簽，用于不同的包轉(zhuǎn)發(fā)和包交換技術(shù)。
　　MPLS網(wǎng)絡(luò)由核心部分的LSR（Label Switching Router，標(biāo)記交換路由器）和邊緣部分的LER（Label Edge Router，標(biāo)記邊緣路由器）組成。由LSR構(gòu)成的網(wǎng)絡(luò)區(qū)域稱為MPLS域，而LER則位于MPLS網(wǎng)絡(luò)邊緣與其他網(wǎng)絡(luò)或用戶相連接。MPLS網(wǎng)絡(luò)的信令控制協(xié)議稱為LDP（Label Distribution Protocol，標(biāo)記分發(fā)協(xié)議）。
　　MPLS網(wǎng)絡(luò)與傳統(tǒng)IP網(wǎng)絡(luò)的不同主要在于MPLS域中使用了標(biāo)記交換路由器，域內(nèi)部LSR之間使用MPLS協(xié)議進(jìn)行通信，而在MPLS域的邊緣，由MPLS邊緣路由器進(jìn)行與傳統(tǒng)IP技術(shù)的適配。
　　MPLS的優(yōu)點(diǎn)在于將IP技術(shù)中的完全無連接的分組交換方式轉(zhuǎn)化為MPLS中有連接（根據(jù)LDP協(xié)議建立標(biāo)記交換路徑）的分組交換方式。首先是減少了數(shù)據(jù)報(bào)通過MPLS網(wǎng)絡(luò)時(shí)查IP路由表的次數(shù)，替代為查詢標(biāo)記轉(zhuǎn)發(fā)表，提高了轉(zhuǎn)發(fā)效率；其次是解決了TCP數(shù)據(jù)通過IP網(wǎng)絡(luò)的失序問題（流量在網(wǎng)絡(luò)各接點(diǎn)無故障狀態(tài)下將沿同樣的路徑通過網(wǎng)絡(luò)，將按進(jìn)入網(wǎng)絡(luò)的順序離開網(wǎng)絡(luò)），減少了端到端通信中兩端站點(diǎn)對數(shù)據(jù)的排序時(shí)延，使MPLS網(wǎng)絡(luò)可以很好地服務(wù)于實(shí)時(shí)應(yīng)用。
　　由于MPLS協(xié)議工作需要核心部分的LSR參與，因此不支持移動(dòng)VPN。
　　IPSec是集多種安全技術(shù)為一體的安全體系結(jié)構(gòu)，是一組IP安全協(xié)議集。IPSec定義了在網(wǎng)際層使用的安全服務(wù)，其功能包括數(shù)據(jù)加密、對網(wǎng)絡(luò)單元的訪問控制、數(shù)據(jù)源地址驗(yàn)證、數(shù)據(jù)完整性檢查和防止重發(fā)攻擊。
IPSec有兩種工作模式：傳輸模式（Transport Mode）和隧道模式（Tunnel Mode）。傳輸模式通常應(yīng)用于主機(jī)之間端對端通信，該模式要求主機(jī)支持IPSec。隧道模式應(yīng)用于網(wǎng)關(guān)模式中，即在主機(jī)的網(wǎng)關(guān)（防火墻、路由器）上加載IPSec，這個(gè)網(wǎng)關(guān)就同時(shí)升級為SG（Security Gateway，安全網(wǎng)關(guān)）。這兩種工作模式對網(wǎng)絡(luò)傳輸?shù)闹虚g設(shè)備都沒有特殊要求，因此可以支持移動(dòng)VPN。
標(biāo)準(zhǔn)參考答案：

【問題2】（8分）
　　各地市州、各省直部門在接入電子政務(wù)外網(wǎng)平臺(tái)時(shí)，需要配置接入路由器、防火墻、前置服務(wù)器，請考慮如下連接要求，并添加相應(yīng)的連接線路或設(shè)備，給出接入電子政務(wù)外網(wǎng)的設(shè)備連接圖。
　　（1）部門網(wǎng)絡(luò)與電子政務(wù)外網(wǎng)之間為邏輯隔離；
　　（2）部門應(yīng)用系統(tǒng)主動(dòng)把數(shù)據(jù)推送至前置服務(wù)器，數(shù)據(jù)中心在進(jìn)行數(shù)據(jù)獲取時(shí)，不允許進(jìn)入部門網(wǎng)絡(luò)；
　　（3）在調(diào)試防火墻的各類過濾規(guī)則時(shí)，不會(huì)對電子政務(wù)外網(wǎng)的路由造成影響；
　　（4）可根據(jù)用戶負(fù)載的需要，隨時(shí)添置前置服務(wù)器。
標(biāo)準(zhǔn)參考答案：

畫圖要點(diǎn)：
 l接入路由器直接連接電子政務(wù)外網(wǎng)；
 l防火墻直接連接單位內(nèi)部網(wǎng)絡(luò)；
 l防火墻與接入路由器直接相連；
 l防火墻的DMZ口添置一臺(tái)DMZ交換機(jī)；
 l前置服務(wù)器與DMZ交換機(jī)直接相連。

【問題3】（11分）
　　如圖1-1所示，采用MPLS VPN技術(shù)，省級電子政務(wù)外網(wǎng)平臺(tái)承載了兩個(gè)VPN，分別為國庫支付VPN和視頻監(jiān)控VPN。請從以下方面描述電子政務(wù)外網(wǎng)PE路由器上的MPLS VPN配置內(nèi)容：
　　（1）VPN接口配置
　　（2）PE-CE配置
　　（3）OSPF配置
　　（4）MPLS配置

圖1-1 電子政務(wù)外網(wǎng)承載VPN示意圖

標(biāo)準(zhǔn)參考答案：
　　（1）VPN接口配置
　　　　將相應(yīng)的接口加入VPN實(shí)例中；
　　　　進(jìn)入接口配置模式，配置接口的IP地址。
　　（2）PE-CE配置
　　　　啟用路由協(xié)議BGP，并設(shè)置自治區(qū)號；
　　　　在BGP的IPV4 VRF實(shí)例地址簇中引入路由信息；
　　　　建立IPV4 VRF實(shí)例的鄰居關(guān)系，激活并傳遞VRF路由；
　　　　在BGP中引入直連路由。
　　（3）OSPF配置
　　　　啟用OSPF路由協(xié)議；
　　　　配置路由區(qū)域及網(wǎng)絡(luò)地址信息。
　　（4）MPLS配置
　　　　配置MPLS的LSR ID標(biāo)識；
　　　　啟用路由器的MPLS LDP標(biāo)簽協(xié)議；
　　　　在網(wǎng)絡(luò)接口上啟用MPLS LDP標(biāo)簽協(xié)議。

試題二（25分）
　　閱讀以下廣域網(wǎng)絡(luò)整合改造的需求說明，回答問題1至問題3，將解答填入答題紙的對應(yīng)欄內(nèi)。
【說明】
　　長江沿線某物流企業(yè)A與B并購后組織機(jī)構(gòu)合并，在此情況下，原有兩個(gè)單位的信息網(wǎng)絡(luò)的融合成為迫在眉睫的任務(wù)。在機(jī)構(gòu)融合前，兩個(gè)單位各自都有獨(dú)立的廣域網(wǎng)絡(luò)：A企業(yè)廣域網(wǎng)覆蓋重慶至上海，共1個(gè)核心節(jié)點(diǎn)（武漢長江南岸，100個(gè)用戶）、6個(gè)二級節(jié)點(diǎn)（30個(gè)用戶）和23個(gè)三級節(jié)點(diǎn)（9個(gè)用戶）；B企業(yè)廣域網(wǎng)覆蓋重慶至蕪湖，共1個(gè)核心節(jié)點(diǎn)（武漢長江北岸，150個(gè)用戶）、11個(gè)分支核心節(jié)點(diǎn)（11個(gè)用戶，包含A企業(yè)的二級節(jié)點(diǎn)）、200多個(gè)掃描接入點(diǎn)（2個(gè)終端）。兩個(gè)廣域網(wǎng)的主要傳輸通道都基于A企業(yè)自建的SDH網(wǎng)絡(luò)：A企業(yè)廣域網(wǎng)一二級節(jié)點(diǎn)間是155M POS互聯(lián)，二三級節(jié)點(diǎn)間采用10M MSTP或2M電路互聯(lián)，少數(shù)鏈路為40M MSTP；B企業(yè)廣域網(wǎng)核心和分支機(jī)構(gòu)的互聯(lián)采用30-50M MSTP互聯(lián)，少數(shù)節(jié)點(diǎn)采用4個(gè)2M捆綁的電路連接（注：所有MSTP電路使用僅用于實(shí)現(xiàn)二三級節(jié)點(diǎn)的點(diǎn)對點(diǎn)連接）。
　　A企業(yè)廣域網(wǎng)承載著辦公、視頻監(jiān)控、軟交換、視頻會(huì)議、廣播控制等業(yè)務(wù)系統(tǒng)；B企業(yè)廣域網(wǎng)承載著辦公，視頻會(huì)議，數(shù)十個(gè)安全監(jiān)管業(yè)務(wù)系統(tǒng)，CCTV、GPS物流監(jiān)管等業(yè)務(wù)系統(tǒng)。
　　機(jī)構(gòu)融合后，兩個(gè)廣域網(wǎng)再?zèng)]有獨(dú)立運(yùn)行的必要了，因此要將兩個(gè)廣域網(wǎng)合并成一個(gè)網(wǎng)絡(luò)，清理網(wǎng)絡(luò)資產(chǎn)、簡化網(wǎng)絡(luò)結(jié)構(gòu)（減少二級節(jié)點(diǎn)數(shù)量）、優(yōu)化路由，使網(wǎng)絡(luò)安全、高效、可靠、易維護(hù)、易管理。A企業(yè)廣域網(wǎng)絡(luò)結(jié)構(gòu)如圖2-1所示：

圖2-1  A企業(yè)廣域網(wǎng)結(jié)構(gòu)

B企業(yè)廣域網(wǎng)絡(luò)結(jié)構(gòu)如圖2-2所示。

圖2-1  B企業(yè)廣域網(wǎng)結(jié)構(gòu)

【問題1】（10分）
　　在不增加新設(shè)備、新鏈路的情況下，針對現(xiàn)有物理設(shè)備及線路給出整合解決方案的整體思路。要求：
　　（1）整合后的企業(yè)網(wǎng)絡(luò)采用層次化設(shè)計(jì)、簡化拓?fù)洌瑢?shí)現(xiàn)核心節(jié)點(diǎn)、線路N+1冗余；
　　（2）整合后企業(yè)網(wǎng)絡(luò)的二級節(jié)點(diǎn)只包括重慶、萬州、宜昌、蕪湖、南京、上海以及位于武漢郊區(qū)的“培訓(xùn)中心”和“武漢分支節(jié)點(diǎn)”。
標(biāo)準(zhǔn)參考答案：
　　解決方案的整體思路：
　　（1）核心路由設(shè)備遷移到一個(gè)核心機(jī)房，并遷移原有與二級設(shè)備的鏈路；
　　（2）所有服務(wù)器、核心交換機(jī)遷移到核心機(jī)房，并實(shí)現(xiàn)服務(wù)器區(qū)與兩臺(tái)核心交換機(jī)的默認(rèn)網(wǎng)關(guān)冗余；
　　（3）統(tǒng)一采用二級、三級節(jié)點(diǎn)方式，打亂原有連接方式；對八個(gè)二級節(jié)點(diǎn)以外的節(jié)點(diǎn)都降級為三級節(jié)點(diǎn)；對原A企業(yè)三級節(jié)點(diǎn)、B企業(yè)掃描接入點(diǎn)采用就近接入原則或者就近線路遷移原則，形成三級網(wǎng)絡(luò)結(jié)構(gòu)；
　　（4）原有155M線路作主用，30M線路作備用。

【問題2】（9分）
　　原A企業(yè)服務(wù)器地址采用172.16.1.0/24一個(gè)C類地址段，原B企業(yè)服務(wù)器地址采用192.168.0.0/24、192.168.1.0/24二個(gè)C類地址段。A、B兩企業(yè)用戶地址和網(wǎng)絡(luò)設(shè)備地址都采用10.0.0.0/8地址。要求在不影響業(yè)務(wù)的情況下采用層次化的地址分配方案合理規(guī)劃地址（禁止使用NAT技術(shù)），請?zhí)峁┑刂非袚Q解決方案。
標(biāo)準(zhǔn)參考答案：
　　地址切換解決方案：
　　1．所有核心設(shè)備整合到一個(gè)機(jī)房后，在服務(wù)器區(qū)劃分三個(gè)或多個(gè)VLAN，使原有服務(wù)器網(wǎng)段地址不作修改，以保障業(yè)務(wù)系統(tǒng)的正常使用。
　　2．用戶地址進(jìn)行統(tǒng)一規(guī)劃，采用先橫向再縱向的方式對各單位進(jìn)行地址分配，各單位進(jìn)行地址分配時(shí)對地址進(jìn)行合理預(yù)留，以滿足后期擴(kuò)展。并采用DHCP技術(shù)自動(dòng)分配業(yè)務(wù)地址。
　　3．設(shè)備管理地址采用32位掩碼、屬于單一地址段的地址進(jìn)行全網(wǎng)統(tǒng)一規(guī)劃，設(shè)備互聯(lián)地址采用30位掩碼的地址進(jìn)行全網(wǎng)統(tǒng)一規(guī)劃。

【問題3】（6分）
　　原A企業(yè)采用OSPF作為路由協(xié)議，協(xié)議進(jìn)程規(guī)劃為1，二級節(jié)點(diǎn)作為area0邊界且往下分別歸屬于不同的area。原B企業(yè)采用OSPF作為路由協(xié)議，協(xié)議進(jìn)程規(guī)劃為10，分支節(jié)點(diǎn)作為area0邊界且往下分別歸屬于不同的area。合并前A、B兩企業(yè)之間采用靜態(tài)路由連接。請?zhí)峁﹥煞N基于OSPF協(xié)議的路由整合方案思路。
標(biāo)準(zhǔn)參考答案：
　　路由整合方案：
　　路由整合方案一 —— 整合所有路由器到一個(gè)OSPF體系中，所有核心設(shè)備規(guī)劃到核心區(qū)域AREA 0中，其它節(jié)點(diǎn)按歸屬劃分到不同的區(qū)域中。
　　路由整合方案二 —— 采用多進(jìn)程OSPF技術(shù)，將原有兩個(gè)單位的OSPF啟用兩個(gè)不同的進(jìn)程，再進(jìn)行路由的相互導(dǎo)入。

試題三（25分）
　　閱讀以下關(guān)于某企業(yè)內(nèi)部網(wǎng)絡(luò)系統(tǒng)的敘述，回答問題1至問題3，將解答或相應(yīng)的編號填入答題紙的對應(yīng)欄內(nèi)。
【說明】
　　某企業(yè)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖3-1所示。根據(jù)企業(yè)要求實(shí)現(xiàn)負(fù)載均衡和冗余備份，構(gòu)建無阻塞高性能網(wǎng)絡(luò)的建設(shè)原則，該企業(yè)網(wǎng)絡(luò)采用兩臺(tái)S7606萬兆骨干路由交換機(jī)作為雙核心，部門交換機(jī)S2924G通過光纖分別與兩臺(tái)核心交換機(jī)相連，通過防火墻和邊界路由器與Internet相連。S7606之間相連的端口均為Trunk端口，S7606與S2924G之間相連的端口也均為Trunk端口。
　　部分PC機(jī)IP信息及所屬VLAN如表3-1所示。

圖3-1 某企業(yè)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)

【問題1】（9分）
　　四臺(tái)交換機(jī)都啟用了MSTP生成樹模式，其中S7606-1的相關(guān)配置如下：
　　S7606-1(config)# spanning-tree mst 1 priority 4096//缺省值是32768
　　S7606-1(config)# spanning-tree mst configuration
　　S7606-1(config-mst)# instance 1 vlan 10,12
　　S7606-1(config-mst)# instance 2 vlan 9,11
　　S7606-1(config-mst)# name region l
　　57606-1(config-mst)# revision 1
　　S7606-2的相關(guān)配置如下：
　　S7606-2(config)# spanning-tree mst 2 priority 4096
　　S7606-2(config)# spanning-tree mst configuration
　　S7606-2(config-mst)# instance 1 vlan 10,12
　　S7606-2(config-mst)# instance 2 vlan 9,11
　　S7606-2(config-mst)# name region 1
　　S7606-2(config-mst)# revision 1
　　兩臺(tái)S2924G交換機(jī)也配置了相同的實(shí)例、域名稱和版本修訂號。
　　（1）請問instance 2的生成樹的根交換機(jī)是哪一臺(tái)？為什么？
　　（2）就instance 1而言，交換機(jī)S2924G一的根端口是哪個(gè)端口？為什么？
　　（3）請指出PC1發(fā)給PC5的數(shù)據(jù)包經(jīng)過的設(shè)備路徑。
標(biāo)準(zhǔn)參考答案：
　　（1）instance 2的生成樹的根交換機(jī)是S7606-2，因?yàn)槠鋬?yōu)先級的值較小，優(yōu)先成為該實(shí)例的根交換機(jī)。
　　（2）對instance 1而言，交換機(jī)S2924G-1的根端口是Gig2/1端口，因?yàn)閕nstance 1的生成樹的根交換機(jī)是S7606-1，交換機(jī)S2924G-1離根橋最近的端口為根端口。
àS7606-2à S2924G-1 à　　（3）PC1 PC5àS2924G-2 

【問題2】（8分）
　　在三層交換機(jī)S7606-1中VLAN 10的IP地址配置為202.10.10.1/24，VLAN 11的IP地址配置為202.10.11.254/24。
　　在三層交換機(jī)S7606-2中VLAN 10的IP地址配置為202.10.10.254/24，VLAN 11的IP地址配置為202.10.11.1/24。兩臺(tái)三層交換機(jī)中的VRRP配置如下：
　　S7606-1(config)# interface vlan 10
　　S7606-1(config-if)# vrrp 10 ip 202.10.10.1
　　S7606-1(config-if)# vrrp 10 preempt
　　S7606-1(config)# interface vlan 11
　　S7606-1(config-if)# vrrp 11 ip 202.10.11.1

S7606-2(config)# interface vlan 10
　　S7606-2(config-if)# vrrp 10 ip 202.10.10.1
　　S7606-2(config)＃ interface vlan 11
　　S7606-2(config-if)# vrrp 11 ip 202.1011.1
　　S7606-2(config-if)# vrrp 11 preempt
　　（1） PC2主機(jī)中設(shè)置的網(wǎng)關(guān)IP為202.10.10.1，在網(wǎng)絡(luò)正常運(yùn)行的情況下，請按照以下格式寫出PC2訪問Internet的數(shù)據(jù)轉(zhuǎn)發(fā)路徑。（格式：PC2→設(shè)備1→．．．．．→Internet。不寫返回路徑）
　　（2）假設(shè)三層交換機(jī)S7606-1需要臨時(shí)宕機(jī)1小時(shí)進(jìn)行檢修及升級操作系統(tǒng)。
　　請問這1小時(shí)時(shí)段內(nèi)PC2在沒有修改網(wǎng)關(guān)IP地址的情況下，是否能訪問Internet？請結(jié)合交換機(jī)S7606-1宕機(jī)后發(fā)生的變化說明原因。
標(biāo)準(zhǔn)參考答案：
　　（1）在網(wǎng)絡(luò)正常運(yùn)行的情況下，PC2訪問Internet的數(shù)據(jù)轉(zhuǎn)發(fā)路徑為：
　　PC2—>S2924G-1—>S7606-1—>防火墻—>邊界路由器—>Internet
　　（2）a)能訪問Internet
　　b)虛擬路由冗余協(xié)議VRRP是用于實(shí)現(xiàn)路由器冗余的協(xié)議，對共享多存取訪問介質(zhì)（如以太網(wǎng)）上終端IP設(shè)備的默認(rèn)網(wǎng)關(guān)(Default Gateway)進(jìn)行冗余備份，從而在其中一臺(tái)路由設(shè)備宕機(jī)時(shí)，備份路由設(shè)備及時(shí)接管轉(zhuǎn)發(fā)工作，向用戶提供透明的切換，提高了網(wǎng)絡(luò)服務(wù)質(zhì)量。
　　根據(jù)給出的配置可知，在網(wǎng)絡(luò)正常情況下，VRRP組10的主控路由器是S7606-1，備份路由器是S7606-2。當(dāng)交換機(jī)S7606-1宕機(jī)后，經(jīng)過主路由器失效間隔時(shí)間后，備份路由器會(huì)自動(dòng)切換為主控路由器，整個(gè)過程對用戶是透明的，因此客戶機(jī)并不需要修改網(wǎng)關(guān)IP，仍可以連接Internet。

【問題3】（8分）
　　企業(yè)內(nèi)部架設(shè)有無線局域網(wǎng)，并采用了802.1X認(rèn)證，用戶名和密碼存放在Radius服務(wù)器的數(shù)據(jù)庫中。無線路由器Wirelessrouterl支持802.1x協(xié)議，請回答以下問題：
　　（1）在圖3-2所示的認(rèn)證過程中，客戶端向無線路由器發(fā)送的是什么幀？無線路由器向Radius服務(wù)器發(fā)送的是什么報(bào)文？
　　（2）在無線路由器中需要配置哪些與Radius Server相關(guān)的信息？
　　（3）如果無線路由器不支持802.1X認(rèn)證，為滿足無線用戶必須經(jīng)過認(rèn)證才能上網(wǎng)的需求，能否在上層交換機(jī)中啟用802.1X，并將端口設(shè)置為啟用dot1x認(rèn)證？請簡要說明理由。

圖3-2 802.1X認(rèn)證示意圖

標(biāo)準(zhǔn)參考答案：
　　（1）客戶端向無線路由器發(fā)送的是EAPoL（Extensible Authentication Protocol over LAN）幀；無線路由器向Radius服務(wù)器發(fā)送的是EAP over RADIUS報(bào)文，因?yàn)檎J(rèn)證系統(tǒng)將EAP幀封裝到RADIUS報(bào)文中發(fā)送給認(rèn)證服務(wù)器。
　　（2）在無線路由器中需要配置的Radius Server信息有：IP地址、認(rèn)證和授權(quán)端口（只寫端口也可以）、與RADIUS服務(wù)器一致的密鑰。
　　（3）如果無線路由器不支持802.1X認(rèn)證，可以在上層交換機(jī)中啟用802.1X，并將端口設(shè)置為啟用dot1x認(rèn)證。但注意上層交換機(jī)下聯(lián)無線路由器的802.1x端口認(rèn)證模式應(yīng)設(shè)置為 mac-based。這樣接入物理端口的所有主機(jī)都需要進(jìn)行認(rèn)證才能訪問網(wǎng)絡(luò)資源。當(dāng)某用戶下線時(shí)，將不影響其它用戶的認(rèn)證狀態(tài)，其它用戶還可以繼續(xù)訪問網(wǎng)絡(luò)。