数通考试题综合论述题Word文档下载推荐.docx
《数通考试题综合论述题Word文档下载推荐.docx》由会员分享,可在线阅读,更多相关《数通考试题综合论述题Word文档下载推荐.docx(27页珍藏版)》请在冰豆网上搜索。
将AR-3、AR-4至BR-2的cost值设置较小,至BR-1的cost值较大。
以上配置实现需求1,AR-1、AR-2主用BR-1上行,AR-3、AR-4主用BR-2上行。
(3分)
BR-1、BR-2上都配置20.1.0.0/23、20.1.2.0/23的“黑洞路由”,在BGP中通过network命令将这两条路由发布给CR。
在BR-1、BR-2上应用路由策略,BR-1上设置20.1.0.0/23的MED值较小、20.1.2.0/23的MED值较大;
BR-2上设置20.1.0.0/23的MED值较大、20.1.2.0/23的MED值较小。
路由聚合对应需求3;
配置不同的MED对应需求2;
黑洞路由对应需求4。
(或者回答:
以上配置实现需求2、3、4。
每答对一种得3分,共9分)
后来网络进行了一些扩展,在CR与BR-1之间增加了一台BR-3(NE80),形成如下拓扑:
由于CR的位置特殊,配置无法更改,所以我们的工程师小L在新网中采取了如下措施:
1)BR-3的上行接口应用原网BR-1的接口地址,CR与BR-2、BR-3通过接口地址建立EBGP邻居;
2)BR-1、BR-2、BR-3之间都通过Loopback0地址建立IBGP邻居;
3)BR-3也参与运行OSPF,并且不在OSPF协议中接收默认路由;
4)由于BR-1不再与CR之间运行EBGP,所以原网中所有在BR-1上应用的措施都转移到了BR-3上,BR-1上只保留OSPF的相关配置;
以上调整完成后,所有业务正常。
可是有一天,BR-1与BR-3之间的链路发生故障,客户向小L反映,AR-1与AR-2下挂业务中断,AR-3、AR-4下挂业务正常。
问题二请帮助小L分析原因,采取什么方式进行调整,可以确保在BR-1与BR-3之间链路故障时,所有业务仍然正常。
(8分)
AR-1、AR-2下挂业务中断的原因是:
虽然BR-1与BR-3的链路故障,但是BR-3上的静态黑洞路由还是存在的,仍然以低MED值发布给CR,对于去往20.1.0.0/24、20.1.1.0/24网段的数据包在CR上还是会转发给BR-3,在BR-3上匹配黑洞路由被丢弃,从而导致AR-1、AR-2下挂业务中断。
(4分)
可以通过在BR-1上配置20.1.0.0/23、20.1.2.0/23的黑洞路由,并通过network命令发布;
在BR-3上应用路由策略,设置不同的MED值的方式进行优化。
这样既可以保证正常情况下AR-1、AR-2的回程流量主用BR-3、BR-1,有可能保证BR-1、BR-3间链路中断AR-1、AR-3的不受影响。
2、某运营商网络应用POS155M组成环形网络,拓扑如下图所示:
其中,AR-1、AR-2为核心点路由器设备,由NE80充当;
BR-1、CR-1、DR-1、ER-1、FR-1为分支点路由器设备,由NE40-8充当;
核心点由S8016充当汇接设备,通过GE与NE80互联;
各分支点由S3526充当汇接设备,通过FE与NE40-8互联;
G节点由于传输资源问题,不能接入POS环网,应用一台S8016通过FE接口侧挂在BR-1上。
1)骨干环网路由器设备,包括GR-1之间运行OSPF协议,并且都运行在area0中;
2)各节点汇接交换机与骨干环网路由器之间也运行OSPF,同样运行在area0中;
3)OSPF协议中,各链路cost值采用统一的计算方式:
10000/以M为单位的链路带宽。
我们的设备默认100M或者更高带宽的链路cost都为1;
4)该网络除了承载Internet业务外,还需要承载OA、计费、网管三个VPN业务。
其中OA业务要求分支节点与核心点之间,各分支节点间都能互通;
计费和网管业务要求分支与核心点之间互通,各分支节点间不能互通;
5)核心节点除接入计费、网管终端以外,还挂接有服务器设备,并且计费和网管业务共用一台服务器;
请补齐核心点NE80和分支节点NE40-8的相关配置:
(每空1分,共7分)
核心节点NE80:
ipvpn-instanceOA
route-distinguisher100:
10
vpn-target100:
10export-extcommunity
10import-extcommunity
#
ipvpn-instanceJiFei-client
20
20export-extcommunity
vpn-target_____100:
29_______import-extcommunity
ipvpn-instanceWangGuan-client
30
30export-extcommunity
39import-extcommunity
ipvpn-instanceJFnWG-server
40
29export-extcommunity
vpn-target____100:
39________export-extcommunity
vpn-target_______100:
20_____import-extcommunity
vpn-target____100:
30________import-extcommunity
interfaceGigabitEthernet1/0/0
descriptionto-JFnWG-server
ipbindingvpn-instanceWangGuan-client
ipaddress10.0.0.2255.255.255.248
vrrpip1010.0.0.1
vrrppriority10150
#
ospf
import-routestatic
silent-interfaceGigabitEthernet1/0/0
area0.0.0.0
network10.0.0.00.0.0.7
network
分支节点NE40-8:
vpn-target______100:
10______export-extcommunity
vpn-target_____100:
10_______import-extcommunity
20________import-extcommunity
39export-extcommunity
30import-extcommunity
随着业务的开展,B节点的业务量发展很快,而且业务重要性有很大提高,B节点增加了一台NE40-8,参与到核心环网中,同时B节点的汇接交换机双归属到两台NE40-8;
G节点也增加了一台NE16E设备,协助完成E1业务接入,NE16E在MPLS-VPN业务中也作为PE设备。
扩容后的网络拓扑如下:
业务扩容后,客户反映CR-1下挂公网业务正常,但是所有VPN业务中断;
同时GR-2下挂公网用户打不开部分网页。
工程师小L刚好在G地市出差,赶到现场处理GR-2下挂公网用户打不开部分网页的问题,通过测试、抓包一系列定位手段,小L得到如下信息:
1)GR-1下挂用户一切正常;
2)GR-2下挂用户不但不能打开部分网页,而且无法通过FTP下载大文件;
3)通过抓包,小L发现GR-2上行的Ethernet口上有好多IP报文的DF标识位为“1”,并且报文大小都是1496Byte以下的;
请问:
问题1IP报文头里面DF标识位为“1”代表什么含义?
DF标识位为“1”表示报文不允许分片
问题2通过小L获得的信息,判断什么原因导致用户不能打开部分网页,如何解决这个问题?
GR-2下挂用户业务不正常的原因是MTU值问题(2分)。
BR-1与GR-1之间通过FE相连,端口默认的MTU值为1500字节,应用了MPLS技术后,在网站回应给客户的数据包进入本网络后,是MPLS转发,MPLS报文头为4个字节,对于1496字节以上的报文加上4个字节后,超过了1500字节,无法正常转发,被丢弃,所以GR-2下挂用户业务不正常。
通过调整BR-1与GR-1之间互联GE链路的MTU值解决,调整为大于1504即可。
(2分)
问题3为什么GR-1下挂用户就是正常的?
MPLS中遵循“倒数第二跳弹标签”的原则,对于GR-1下挂用户来说,在倒数第二跳(BR-1)与倒数第一跳设备(GR-1)之间已经没有标签,大于1496的报文可以通过,所以业务正常。
问题4CR-1下挂所有VPN业务中断,公网正常是什么原因,如何解决?
注意:
除题目中特殊说明外,其他配置均为设备默认配置。
根据网络拓扑和cost值规划原则,CR-1下挂VPN业务应该通过BR-2~BR-1~AR-2上行,但是增加了BR-2之后,BR-1与BR-2之间有了两条连接(GE和POS155M),GE链路的cost值小,路由协议会选择GE链路通过,但是GE并没有启动LDP协议,VPN业务的LSP无法建立,所以VPN业务中断;
公网业务通过普通IP转发和MPLS转发都可以,所以公网业务正常。
(3分)解决VPN业务中断可以将BR-1、BR-2互联的GE端口在OSPF协议中设置为silent-interface,或者将GE端口的cost值设置的比POS155M大。
3、组网:
NE08E--R2631E—S3026—MA5200F
2.2.2.2/24
NE08E和R2631E的互连IP地址分别为1.1.1.1/30和1.1.1.2/30,NE08E上行做NAT上网。
R2631E与MA5200F的互连IP地址分别为2.2.2.1/24和2.2.2.2/24,S3026的网管IP地址为2.2.2.3/24
在R2631E上配置一条缺省路由,下一跳地址为1.1.1.1
在S3026上配置一条缺省路由,下一跳地址为2.2.2.1
在MA5200F上配置一条缺省路由,下一跳地址为2.2.2.3
问题1MA5200F下有部分用户上网,此时发现S3026的cpu占用率很高,请分析是什么原因?
(8分)(8分,答对“缺省路由下一跳地址是S3026的三层网管地址”给4分,答对“利用cpu查找路由对这些上网报文进行处理”给4分。
)
由于MA5200F上的缺省路由下一跳地址是S3026的三层网管地址,因此用户上网报文从MA5200F发出后发给了S3026,S3026利用cpu查找路由对这些上网报文进行处理,刚好查到一条缺省路由指向R2631E,保证了这些上网报文通过三层转发发送了出去,由于S3026不断的在利用cpu进行路由查找转发,因此引起S3026的cpu占用率很高。
问题2网络管理员从NE08E上pingMA5200发现时延很大,请分析是什么原因?
(6分)
由于从NE08E上pingMA5200F也同样经过了S3026的三层转发,而S3026的cpu占用率很高,无法及时处理ping包,因此时延就很大了。
问题3如何解决这两个问题?
解决方法是将MA5200F上的缺省路由的下一跳指向R2631E上的IP地址2.2.2.1就行了
4、(25分)组网图如下:
RT1、RT2、RT3、RT4四台设备组成MPLS-VPN网络,RT1、RT2、RT3、RT4设备均为PE设备,RT1、RT2和RT3三台路由器之间运行ISIS协议(运行在LEVEL2中),RT3和RT4之间运行了OSPF协议。
在RT3上,在ISIS协议中引入OSPF协议学习到的路由,但是在OSPF协议中不引入ISIS的路由,而是通过OSPF发布默认路由。
RT1、RT2、RT3、RT4之间建立MBGP邻居关系,路由器之间的链路启动MPLSLDP标签分配协议。
网络中所有链路均为以太网链路,接口可发送的最长报文为1518byte(1500byte的IP报文+12byte的MAC地址+2byte的类型字段+4byte的校验位),OSPF、ISIS和BGP协议的各个参数也都使用默认值。
1)在整个VPN网络中存在3个VPN(VPN_A、VPN_B、VPN_C),要求VPN_A和VPN_B之间不能互访,但是可以和VPN_C互访,以RT1为例,请完成VPN的配置
ipvpn-instancevpn_a
1
1export-extcommunity
vpn-target__100:
1___import-extcommunity
3___import-extcommunity
ipvpn-instancevpn_b
2
2export-extcommunity
2___import-extcommunity
ipvpn-instancevpn_c
3
3export-extcommunity
vpn-target__100:
2)MA5200和RADIUS服务器都是在VPN_C中,现在发现MA5200下的PPPOE用户无法通过认证,查看MA5200发现RADIUS报文已经发出,而且MA5200配置也正确,在RT1上查看私网路由,发现有到MA5200的路由,在RT4上查看私网路由,也查到了到RADIUS的路由,如果将MA5200和RADIUS服务器搬到公网下(同时修改相关配置),就一切正常,请问这是为什么?
如何解决?
这是由于MA5200发出的RADIUS报文不能到达RADIUS服务器导致的。
是由于在RT4上没有到RT1上LOOPBACK接口的主机路由,不能建立到RT1的LOOPBACK接口的LSP(所有的VPN业务都承载在这条LSP上),因此RT1到RT4的VPN隧道不通。
在RT4上配置到RT1上LOOPBACK接口的主机路由(或者通过其他手段让RT1学习到RT1上LOOPBACK接口的主机路由,比如在RT3上,让OSPF引入ISIS路由)(2分)
3)RT3下的VPN_C中的PCping长度为1000byte的小包时可以ping通RADIUS服务器(在VPN_C中),但是PC上执行ping–l1472x.x.x.x(RADIUS的地址)-f命令的时候,却发现不能ping通,请问这时将-l后的参数(1472)调整为多少时可以ping通?
为什么?
此问题如何解决?
长度调整为1464后,可以ping通。
这是由于在RT3下的VPN_C中的PCpingRT1下的RADIUS服务器的时候,数据报文需要加上8byte的MPLS标签,当长度参数为1472的时候,整个报文总长为1526,超过了接口的最大发送包长,同时由于带了-f参数,不能分片,所以不能ping通。
将RT1、RT2、RT3上以太网接口的最大发送包长调整为1526以上即可。
(2分
4)RT3下的VPN_C中的PCping长度为1000byte的小包时可以ping通MA5200(在VPN_C中),但是PC上执行ping–l1472x.x.x.x(MA5200的地址)-f命令的时候,却发现不能ping通。
请问这时将-l后的参数(1472)调整为多少时可以ping通?
长度调整为1468后,可以ping通。
这是由于在RT3下的VPN_C中的PCpingRT4下的MA5200服务器的时候,数据报文需要加上4byte的MPLS标签,当长度参数为1472的时候,整个报文总长为1522,超过了接口的最大发送包长,同时由于带了-f参数,不能分片,所以不能ping通。
将RT3和RT4上以太网接口的最大发送包长调整为1522以上即可。
(25分)组网图如下:
NE80处于AS300中,分别和处于AS200中的RTB和处于AS100中的RTA建立EBGP邻居关系,NE80、S8016以及两台S3526E之间运行OSPF路由协议,S3526E启动3层转发功能,下接几个网段的用户,S8016下也直接连有一部分用户。
现在节选了NE80上的部分配置:
routerid205.22.196.40
ipas-path-acl20permit^$
ipas-path-acl20deny*
ospf
area0
network205.22.196.400.0.0.0
network205.22.63.1320.0.0.3
network205.22.63.1360.0.0.3
bgp300
network205.22.0.0mask255.255.0.0
//与RTA相连的配置//
peer203.10.220.2as-number100
peer203.10.220.2route-policyfilterexport
//与RTB相连的配置//
peer201.10.110.1as-number200
peer201.10.110.1route-policyfilterexport
route-policyfilterpermitnode10
if-matchas-path20
S8016和S3526E上均没有默认路由存在。
a)请问NE80上配置的“peer201.10.110.1route-policyfilterexport”这条命令的作用是什么?
使NE80在向RTB发送BGP路由的时候,只发送本AS中的路由,对于从其他AS学来的路由一律不发。
b)NE80上通过NETWORK发布了205.22.0.0这个网段的路由,但是在RTA和RTB上都没有查找到这条路由(这两台路由器没有针对这条路由进行过滤),这是为什么,怎么解决?
这是由于在NE80上不存在能够完全匹配上205.22.0.0这个网段的路由(前缀和掩码都一致)。
在NE80上加上一条到205.22.0.0/16这个网段,下一跳为NULL0的路由即可。
c)整网运行一段时间后,某一天发现S3526E的CPU利用率很高,查看ipfdb表,发现有大量地址连续的转发表项,请分析其原因并给出解决方案。
这是由于S3526E有用户主机上中了蠕虫病毒,在向外进行扫描。
而扫描的网段又不在S3526E的硬件路由表中。
在S3526E上增加一条默认路由即可(或者通过其他手段使S3526E学习到一条默认路由)(3分)
d)S8016与S3526E相连的接口板CPU利用率很高,查看单板的漏桶,发现3号漏桶(FIBMISS)有大量的溢出,请分析故障的原因。
这是由于S3526E下有用户中了蠕虫病毒,进行扫描攻击的目的地址为S8016下挂的直连网段。
将该单板上的3号漏桶调小即可。
4、下图为A市某工程组网图,用户通过A8010接入,通过NE16将数据上传到省骨干网中的GSR路由器,并出省访问INTERNET。
省内路由器运行OSPF协议,区域划分如图所示。
在NE16上配置数条静态路由指向A8010。
NE16通过以太网与A8010相连,通过ATM接口与GSR相连。
(共6分)
(1)请问此组网规划中有那些错误?
&
将省骨干网改为AREA0
(2)现场工程师小L在完成配置之后,用户拨号可以上网,但只能访问省内的站点,无法出省。
经向局方询问,得知其他地市的用户一切正常。
请问最可能的原因是什么?
小L因该如何更改配置?
配一条缺省路由或者让GSR发布一
升级会员 