2010网规下半年下午试题I答案.doc

2010下半年网络规划设计师下午试卷Ⅰ、标准答案及分析试题一（25分）　　阅读以下关于某电子政务网络平台的叙述，回答问题1至问题3，讲解答填入答题纸的对应栏内。【说明】　　某省准备建立电子政务网络平台，实现全省上下各级部门之间的信息交换和资源共享。遵照《国家信息化领导小组关于推进国家电子政务网络建设的意见》的要求，电子政务网络分为电子政务外网和电子政务内网，该省即将建设的网络平台被定性为“非涉密”的电子政务外网。在第一期工程中，主要建设覆盖省直部门和各地市州的电子政务外网。电子政务外网是办公自动化、行政审批、电子监察等跨部门应用系统的运行网络，还是一个网络承载平台，可以承载各类VPN。例如，在当前的省级外网平台建设中，外网平台就需要承载两个VPN：（1）互连各个部门的国库支付VPN；（2）互连各个部门的视频监控VPN。【问题1】（6分）　　电子政务外网承载VPN，可以采用L2TP、MPLS VPN、IPSec三类技术，请对三种技术进行比较，将有关内容填入表1-1的空白中（备注档不用填）。 试题解析：　　L2TP（Layer 2 Tunneling Protocol，第二层隧道协议）工作在第二层。第二层隧道协议只提供数据的封装服务，不提供数据加密服务，具有以下安全缺陷：　　1）第二层隧道协议仅仅对通信双方进行身份认证，而没有对传输报文进行认证，因此无法抵御数据重发攻击、数据伪造攻击。　　2）第二层隧道协议本身不提供任何加密手段，当数据需要加密时，需要其它技术的支持。　　L2TP结合了PPTP协议以及L2F协议的优点，能以隧道方式把PPP帧封装在公共网络设施（如IP、ATM、帧中继）中进行隧道传输。L2TP使用UDP 1701端口进行工作。　　L2TP主要由LAC（L2TP Access Concentrator，L2TP访问集中器）和LNS（L2TP Network Server，L2TP网络服务器）组成。LAC是一个网络接入服务器，用于为用户提供网络接入服务。它是L2TP隧道的一个端点，具有PPP端系统和L2TP协议处理的能力，负责将用户数据封装在L2TP隧道中进行传输。LNS是PPP端系统上用于处理L2TP协议的服务器端软件，也是L2TP隧道的一个端点。LAC和LNS都被称为LCCE（L2TP Control Connection Endpoint，L2TP控制连接端点）。　　L2TP通讯由于对中间转发设备没有特殊要求，因此可以支持移动VPN客户端。　　MPLS（Multiprotocol Label Switching，多协议标签交换）技术是对ATM标记交换和IP路由协议的有机结合。它不仅有助于提高网络层的数据报转发能力，而且对提高网络层路由系统的可扩展性起到一定的作用。　　MPLS提供多种协议的接口，如 IP、ATM、帧中继、资源预留协议（RSVP）、开放最短路径优先（OSPF）等。MPLS将IP地址映射为简单的具有固定长度的标签，用于不同的包转发和包交换技术。　　MPLS网络由核心部分的LSR（Label Switching Router，标记交换路由器）和边缘部分的LER（Label Edge Router，标记边缘路由器）组成。由LSR构成的网络区域称为MPLS域，而LER则位于MPLS网络边缘与其他网络或用户相连接。MPLS网络的信令控制协议称为LDP（Label Distribution Protocol，标记分发协议）。　　MPLS网络与传统IP网络的不同主要在于MPLS域中使用了标记交换路由器，域内部LSR之间使用MPLS协议进行通信，而在MPLS域的边缘，由MPLS边缘路由器进行与传统IP技术的适配。　　MPLS的优点在于将IP技术中的完全无连接的分组交换方式转化为MPLS中有连接（根据LDP协议建立标记交换路径）的分组交换方式。首先是减少了数据报通过MPLS网络时查IP路由表的次数，替代为查询标记转发表，提高了转发效率；其次是解决了TCP数据通过IP网络的失序问题（流量在网络各接点无故障状态下将沿同样的路径通过网络，将按进入网络的顺序离开网络），减少了端到端通信中两端站点对数据的排序时延，使MPLS网络可以很好地服务于实时应用。　　由于MPLS协议工作需要核心部分的LSR参与，因此不支持移动VPN。　　IPSec是集多种安全技术为一体的安全体系结构，是一组IP安全协议集。IPSec定义了在网际层使用的安全服务，其功能包括数据加密、对网络单元的访问控制、数据源地址验证、数据完整性检查和防止重发攻击。IPSec有两种工作模式：传输模式（Transport Mode）和隧道模式（Tunnel Mode）。传输模式通常应用于主机之间端对端通信，该模式要求主机支持IPSec