网络规划与设计案例分析.docx
《网络规划与设计案例分析.docx》由会员分享,可在线阅读,更多相关《网络规划与设计案例分析.docx(15页珍藏版)》请在冰豆网上搜索。
网络规划与设计案例分析
网络规划与设计案例分析
[填空题]
1阅读以下关于电子政务系统安全体系结构的叙述,回答问题1~问题3。
博学公司通过投标,承担了某省级城市的电子政务系统,由于经费、政务应用成熟度、使用人员观念等多方面的原因,该系统计划采用分阶段实施的策略来建设,最先建设急需和重要的部分。
在安全建设方面,先投入一部分资金保障关键部门和关键信息的安全,之后在总结经验教训的基础上分两年逐步完善系统。
因此,初步考虑使用防火墙、入侵检测、病毒扫描、安全扫描、日志审计、网页防篡改、私自拨号检测、PKI技术和服务等保障电子政务的安全。
由于该电子政务系统涉及政府安全问题,为了从整个体系结构上设计好该系统的安全体系,博学公司首席架构师张博士召集了项目组人员多次讨论。
在一次关于安全的方案讨论会上,谢工认为由于政务网对安全性要求比较高,因此要建设防火墙、入侵检测、病毒扫描、安全扫描、日志审计、网页防篡改、私自拨号检测系统,这样就可以全面保护电子政务系统的安全。
王工则认为谢工的方案不够全面,还应该在谢工提出的方案的基础上,使用PKI技术,进行认证、机密性、完整性和抗抵赖性保护。
【问题1】 请用400字以内文字,从安全方面,特别针对谢工所列举的建设防火墙、入侵检测、病毒扫描、安全扫描、日志审计系统进行分析,评论这些措施能够解决的问题和不能解决的问题。
【问题2】 请用300字以内文字,主要从认证、机密性、完整性和抗抵赖性方面,论述王工的建议在安全上有哪些优点。
【问题3】 对于复杂系统的设计与建设,在不同阶段都有很多非常重要的问题需要注意,既有技术因素阻力,又有非技术因素阻力。
请结合工程的实际情况,用200字以内文字,简要说明使用PKI还存在哪些重要的非技术因素方面的阻力。
参考答案:
本题主要是依托电子政务的应用背景,考查信息系统安全体系建设方面的知识。
根据网络规划设计师考试大纲,系统的安全性和保密性设计是案例分析试题考查的内容之一。
【问题1】
本问题主要是要求考生说明防火墙、入侵检测、病毒扫描、安全扫描、日志审计系统等常见的信息系统及网络安全防护技术的适用领域以及其限制与约束。
在题目中只是列举了这些技术手段,并没有详细地展开说明,因此对答案的构思并没有太多的帮助,需要考生能够根据平时学习和掌握的知识来总结出答案。
因为有关技术已经在前面的章节中进行了详细介绍,这里直接就试题的问题给出解答要点:
(1)防火墙:
可用来实现内部网(信任网)与外部不可信任网络(如因特网)之间或内部网的不同网络安全区域的隔离与访问控制,保证网络系统及网络服务的可用性。
但无法对外部刻意攻击、内部攻击、口令失密及病毒采取有效防护。
(2)入侵检测:
可以有效地防止所有已知的、来自内外部的攻击入侵,但对数据安全性等方面没有任何帮助。
(3)病毒防护:
主要适用于检测、标识、清除系统中的病毒程序,对其他方面没有太多的保护措施。
(4)安全扫描:
主要适用于发现安全隐患,而不能够采取防护措施。
(5)日志审计系统:
可以在事后、事中发现安全问题,并可以完成取证工作,但无法在事前发生安全性攻击。
【问题2】
要求考生深入了解PKI技术在认证、机密性、完整性、抗抵赖性方面的优点,并简要地做出描述。
在题目中提到:
"王工则认为谢工的方案不够全面,还应该在谢工提出.的方案的基础上,使用PKI技术,进行认证、机密性、完整性和抗抵赖性保护",明确地说明了其主要的适用性,在答题时应该紧抓这些方面进行构思。
王工建议的PKI技术可以通过数字签名来实现认证、机密性和抗抵赖性的功能:
(1)用私钥加密的消息摘要,可以用来确保发送者的身份。
(2)只有对用发送者私钥的信息加密的信息,才能够用其公钥进行解密。
因此发送者无法否认其行为。
(3)内容一旦被修改,消息摘要将变化,也就会被发现。
另外,还可以使用接收者公钥对"原文+数字签名"进行加密,以保证信息的机密性。
【问题3】
该问题是在前一个问题的基础上,要求考生能够对实施PKI时会遇到的非技术因素方面的阻力有清晰的认识,并简要地做出描述。
对于复杂系统的设计与建设,在不同阶段都有很多非常重要的问题需要注意,既有技术因素阻力,又有非技术因素阻力。
而在网络安全的设计与实施方面,同样也会遇到非技术因素的阻力。
对于PK技术来说,其非技术因素的阻力主要体现在以下几个方面:
(1)相关法律、法规还不健全:
相对国外而言,我国的网络安全法律、法规与标准的制定起步较晚。
虽然发展到目前已经形成了较为完善的体系,但仍然存在许多缺陷和不足。
例如,我国还缺少有关电子政府安全保障的专门法规、政策以及地方性法规和政策,难免导致法规执行的针对性不强。
另外,在法规的执行方面也还存在着一些问题,例如,存在着执行不力的情况。
(2)使用者操作水平参差不齐:
信息技术在我国的发展也明显晚于发达国家,大部分人的计算机操作水平还处于相对较低的水平;加上PKI所引入的数字签名、密钥管理等方面都需要较复杂、费解的操作。
很容易出现用户不会用,甚至可能会因没有妥善保管密钥、证书而引发的非技术问题。
(3)使用者心理接受程度问题:
政府大部分的公务员都还是比较习惯于纸质材料、亲笔签字的习惯,一时还无法接受电子式签名的形式,这也会给推行PKI及数字签名带来巨大的阻力。
[填空题]
2阅读以下关于某企业内部网络系统的叙述,回答问题1、问题2和问题3。
某企业网络拓扑结构如图3-1所示。
根据企业要求实现负载均衡和冗余备份,构建无阻塞高性能网络的建设原则。
该企业网络采用两台S7606万兆骨干路由交换机作为双核心,部门交换机S2924G通过光纤分别与两台核心交换机相连,通过防火墙和边界路由器与Internet相连。
S7606之间相连的端口均为Trunk端口,S7606与S2924G之间相连的端口也均为Trunk端口。
部分PC机IP信息及所属VLAN如表3-1所示。
【问题1】四台交换机都启用了MSTP生成树模式。
其中S7606-1的相关配置如下:
S7606-1(config)#spanning-treemst1priority4096//默认值是32768S7606-1(config)#spanning-treemstconfigurationS7606-1(config-mst)#instance1vlan10,12S7606-1(config-mst)#instance2vlan9,11S7606-1(config-mst)#nameregionlS7606-1(config-mst)#revision1S7606-2的相关配置如下:
S7606-2(config)#spanning-treemst2priority4096S7606-2(config)#spanning-treemstconfigurationS7606-2(config-mst)#instance1vlan10,12S7606-2(config-mst)#instance2vlan9,11S7606-2(config-mst)#nameregionlS7606-2(config-mst)#revision1两台S2924G交换机也配置了相同的实例、域名称和版本修订号。
(1)请问instance2的生成树的根交换机是哪一台?
为什么?
(2)就instance1而言,交换机S2924G-1的根端口是哪个端口?
为什么?
(3)请指出PC1发给PC5的数据包经过的设备路径。
【问题2】在三层交换机S7606-1中VLAN10的lP地址配置为202.10.10.1/24,VLAN11的IP地址配置为202.10.11.254/24。
在三层交换机S7606-2中VLAN10的lP地址配置为202.10.10.254/24,VLAN11的IP地址配置为202.10.11.1/24。
两台三层交换机中的VRRP配置如下:
S7606-2(config)#interfaceVlan10S7606-2(config-if)#vrrp10ip202.10.10.1S7606-2(config)#interfaceVlan11S7606-2(config-if)#vrrp11ip202.10.11.1S7606-2(config-if)#vrrp11preempt
(1)PC2主机中设置的网关IP为202.10.10.1,在网络正常运行的情况下,请按照以下格式写出PC2访问Internet的数据转发路径。
(格式:
PC2→设备1→…→Internet。
不写返回路径)
(2)假设三层交换机S7606-1需要临时宕机1小时进行检修及升级操作系统。
请问这1小时时段内PC2在没有修改网关IP地址的情况下,是否能访问Internet?
请结合交换机S7606-1宕机后发生的变化说明原因。
【问题3】企业内部架设有无线局域网,并采用了802.1X认证,用户名和密码存放在Radius服务器的数据库中。
无线路由器Wirelessrouterl支持802.1x协议,请回答以下问题:
(1)在图22-7的认证过程中,客户端向无线路由器发送的是什么帧?
无线路由器向Radius服务器发送的是什么报文?
(2)在无线路由器中需要配置哪些与RadiusServer相关的信息?
(3)如果无线路由器不支持802.1X认证,为满足无线用户必须经过认证才能上网的需求,能否在上层交换机中启用802.1X,并将端口设置为启用dotlx认证?
请简要说明理由。
参考答案:
本题涉及生成树、热备份路由以及802.1X协议等方面的内容。
【问题1】
本题主要考查STP、MSTP和PVST/PVST+相关知识点。
MSTP(MultipleSpanningTreeProtocol,多生成树协议)将环路网络修剪成为一个无环的树型网络,避免报文在环路网络中的增生和无限循环,同时还提供了数据转发的多个冗余路径,在数据转发过程中实现VLAN数据的负载均衡。
MSTP兼容STP和RSTP,并且可以弥补STP和RSTP的缺陷。
它既可以快速收敛,也能使不同VLAN的流量沿各自的路径分发,从而为冗余链路提供了更好的负载分担机制。
MST域(MultipleSpanningTreeRegions,多生成树域)是由交换网络中的多台交换机以及它们之间的网段构成。
这些交换机都启动了MSTP、具有相同的域名、相同的VLAN到生成树映射配置和相同的MSTP修订级别配置,并且物理上有链路连通。
一个交换网络可以存在多个MST域。
用户可以通过MSTP配置命令把多台交换机划分在同一个MST域内。
域内所有交换机都有相同的MST域配置:
域名相同regionl,VLAN与生成树的映射关系相同(VLAN10和VLAN12映射到生成树实例1,VLAN9和VLAN11映射到生成树实例2)。
在本题中,配置S7606-1交换机在instance1中的优先级为4096,默认值是32768,值越小越优先成为该instance中的根交换机。
同理,instance2的生成树的根交换机是S7606-2,因为其优先级的值较小,优先成为该实例的根交换机。
对instance1而言,交换机S2924G-1的根端口是Gig2/1端口,因为instance1的生成树的根交换机是S7606-1,交换机S2924G-1离根桥最近的端口为根端口。
PC1和PC5都属于VLAN9,同时VLAN9被映射到实例2,由于实例2生成树的根交换机是S7606-2,根据生成树算法,对实例2而言,S2924G-1的根端口是Gig2/2,S2924G-2的根端口也是Gig2/2。
因此PC1到PC5的传输路径是PC1→S2924G-1(Gig2/2)→S7606-2→S2924G-2(Gig2/2)→PC5。
MSTP与PVST/PVST+之间的区别:
每个VLAN都生成一棵树是一种比较直接,而且最简单的解决方法。
它能够保证每一个VLAN都不存在环路。
但是由于种种原因,以这种方式工作的生成树协议并没有形成标准,而是各个厂商各有一套,尤其是以Cisco公司的VLAN生成树PVST(PerVLANSpanningTree)为代表。
为了携带更多的信息,PVSTBPDU的格式和STP/RSTPBPDU格式已经不一样,发送的目的地址也改成了Cisco保留地址01-00-0C-CC-CC-CD,而且在VLANTrunk的情况下PVSTBPDU被打上了802.10VLAN标签。
所以,PVST协议并不兼容STP/RSTP协议。
Cisco公司很快又推出了经过改进的PVST+协议,并成为其交换机产品的默认生成树协议。
经过改进的PVST+协议在VLAN1上运行的是普通STP协议,在其他VLAN上运行PVST协议。
PVST+协议可以与STP/RSTP互通,在VLAN1上生成树状态按照STP协议计算。
在其他VLAN上,普通交换机只会把PVSTBPDU当作多播报文按照VLAN号进行转发。
但这并不影响环路的消除,只是有可能VLAN1和其他VLAN的根桥状态可能不一致。
由于每个VLAN都有一棵独立的生成树,单生成树的种种缺陷都被克服了。
同时,PVST带来了新的好处,那就是二层负载均衡。
PVST/PVST+协议也有它的明显不足:
(1)由于每个VLAN都需要生成一棵树,PVSTBPDU的通信量将正比于Trunk的VLAN个数。
(2)当VLAN个数比较多时,维护多棵生成树的计算量和资源占用量将急剧增长。
特别是当Trunk了很多VLAN的接口状态发生变化的时候,所有生成树的状态都要重新计算,CPU将不堪重负。
(3)由于协议的私有性,PVST/PVST+不能像STP/RSTP一样得到广泛的支持,不同厂家的设备并不能在这种模式下直接互通。
多生成树协议MSTP(MultipleSpanningTreeProtocol)是IEEE802.1s中定义的一种新型多实例化生成树协议。
MSTP协议的精妙之处在于把支持MSTP的交换机和不支持MSTP交换机划分成不同的区域,分别称作MST域和SST域。
在MST域内部运行多实例化的生成树,在MST域的边缘运行RSTP兼容的内部生成树IST(InternalSpanningTree)。
MSTP定义了"实例"(Instance)和域的概念。
简单地说,STP/RSTP是基于端口的,PVST/PVST+是基于VLAN的,而MSTP就是基于实例的。
所谓实例就是多个VLAN的一个集合,通过将多个VLAN捆绑到一个实例可以节省通信开销和资源占用率。
MSTP带来的好处是显而易见的。
它既有PVST的VLAN认知能力和负载均衡能力,又拥有可以和SST媲美的低CPU占用率。
【问题2】
本题主要考查VRRP相关知识点。
VRRP(VirtualRouterRedundancyProtocol,虚拟路由冗余协议)是一种容错协议。
通常,一个网络内的所有主机都设置一条默认路由,这样,当主机发出数据包的目的地址不在本网段时,报文将被通过默认路由发往网关路由器,从而实现了主机与外部网络的通信。
当某网络的默认网关(路由器)坏掉时,本网段内所有主机将不能与外部网络通信。
VRRP就是为解决这一严重问题而提出的,为具有多播或广播能力的局域网而设计。
VRRP将局域网的一组路由器(包括一个Master即主控路由器和若干个Backup即备份路由器)组织成一个虚拟路由器,称之为一个备份组。
在VRRP协议中,有两组重要的概念:
VRRP路由器和虚拟路由器,主控路由器和备份路由器。
VRRP路由器是指运行VRRP的路由器,是物理实体;虚拟路由器是指VRRP协议创建的,是逻辑概念。
一组VRRP路由器协同工作,共同构成一台虚拟路由器。
该虚拟路由器对外表现为一个具有唯一固定IP地址和MAC地址的逻辑路由器。
处于同一个VRRP组中的路由器具有两种互斥的角色:
主控路由器和备份路由器,一个VRRP组中有且只有一台处于主控角色的路由器,可以有一个或者多个处于备份角色的路由器。
VRRP协议使用选择策略从路由器组中选出一台作为主控,负责ARP相应和转发IP数据包,组中的其他路由器作为备份的角色处于待命状态。
当由于某种原因主控路由器发生故障时,备份路由器能在几秒钟的时延后升级为主路由器。
由于此切换非常迅速而且不用改变IP地址和MAC地址,故对终端使用者系统是透明的。
一个VRRP路由器有唯一的标识:
VRID,范围为0~255。
该路由器对外表现为唯一的虚拟MAC地址,地址的格式为00-00-5E-OO-01-[VRID]。
主控路由器负责对ARP请求用该MAC地址做应答。
这样,无论如何切换,保证给终端设备的是唯一一致的IP和MAC地址,减少了切换对终端设备的影响。
VRRP控制报文只有一种:
VRRP通告(Advertisement)。
它使用IP多播数据包进行封装,组地址为224.0.0.18,发布范围只限于同一局域网内。
这保证了VRID在不同网络中可以重复使用。
为了减少网络带宽消耗只有主控路由器才可以周期性地发送VRRP通告报文。
备份路由器在连续三个通告间隔内收不到VRRP或收到优先级为0的通告后启动新的一轮VRRP选举。
在VRRP路由器组中,按优先级选举主控路由器,VRRP协议中优先级范围是0~255。
若VRRP路由器的IP地址和虚拟路由器的接口IP地址相同,则称该虚拟路由器作VRRP组中的IP地址所有者;IP地址所有者自动具有最高优先级--255。
优先级0一般用在IP地址所有者主动放弃主控者角色时使用。
可配置的优先级范围为1~254。
优先级的配置原则可以依据链路的速度和成本、路由器性能和可靠性以及其他管理策略设定。
主控路由器的选举中,高优先级的虚拟路由器获胜,因此,如果在VRRP组中有IP地址所有者,则它总是作为主控路由的角色出现。
对于相同优先级的候选路由器,按照IP地址大小顺序选举。
VRRP还提供了优先级抢占策略,如果配置了该策略,高优先级的备份路由器便会剥夺当前低优先级的主控路由器而成为新的主控路由器。
为了保证VRRP协议的安全性,提供了明文认证和IP头认证两种安全认证措施。
明文认证方式要求,在加入一个VRRP路由器组时,必须同时提供相同的VRID和明文密码。
它避免在局域网内的配置错误,但不能防止通过网络监听方式获得密码。
IP头认证的方式提供了更高的安全性,能够防止报文重放和修改等攻击。
在本小题中,在两台S7606中都配置了两个虚拟备份组,虚拟备份组10的IP地址为202.10.10.1/24;虚拟备份组11的IP地址为202.10.11.1/24。
虚拟备份组10为VLAN10中的主机提供了网关冗余,虚拟备份组11为VLAN11中的主机提供了网关冗余。
由于VRRP路由器S7606-1的IP地址和虚拟备份组10的IP地址相同,因此其具有最高优先级,成为虚拟备份组10的主控路由器,S7606-1为虚拟组10的备份路由器。
在网络正常运行的情况下,主机PC2访问Internet的数据转发路径为:
PC2→S2924G-1→S7606防火墙→边界路由器→Internet。
当路由器S7606-1宕机后,PC2不用修改网关IP地址,可以访问Internet。
因为当虚拟备份组10的备份路由器S7606-2在数秒之内没有收到主控路由器的通告,会认为主控路由器失效,自动启动切换,成为主控路由器,响应对虚拟IP地址的ARP请求,并且响应的是虚拟MAC地址,而不是接口的真实MAC地址。
同时负责转发目的MAC地址为虚拟MAC地址的IP报文,这样就保证了对客户透明的网关切换。
【问题3】
IEEE802.1X是根据用户ID或设备,对网络客户端(或端口)进行鉴权的标准。
该流程被称为"端口级别的鉴权"。
它采用RADIUS(远程认证拨号用户服务)方法,并将其划分为三个不同小组:
请求方、认证方和授权服务器。
802.1X标准应用于试图连接到端口或其他设备(如CiscoCatalyst交换机或CiscoAironet系列接入点)(认证方)的终端设备和用户(请求方)。
认证和授权都通过鉴权服务器(如CiscoSecureACS)后端通信实现。
IEEE802.1X提供自动用户身份识别,集中进行鉴权、密钥管理和LAN连接配置。
整个802.1x的实现设计三个部分,请求者系统、认证系统和认证服务器系统。
请求者是位于局域网链路一端的实体,由连接到该链路另一端的认证系统对其进行认证。
请求者通常是支持802.1x认证的用户终端设备,用户通过启动客户端软件发起802.1x认证。
认证系统对连接到链路对端的认证请求者进行认证。
认证系统通常为支持802.1x协议的网络设备,它为请求者提供服务端口,该端口可以是物理端口也可以是逻辑端口,一般在用户接入设备(如LANSwitch和AP)上实现802.1x认证。
请求者和认证系统之间运行802.1x定义的EAPoL(ExtensibleAuthenticationProtocoloverLAN)协议。
当认证系统工作于中继方式时,认证系统与认证服务器之间运行EAP协议,EAP帧中封装认证数据,将该协议承载在其他高层次协议中(如RADIUS),以便穿越复杂的网络到达认证服务器;当认证系统工作于终结方式时,认证系统终结EAPoL消息,并转换为其他认证协议(如RADIUS),传递用户认证信息给认证服务器系统。
认证系统每个物理端口内部包含有受控端口和非受控端口。
非受控端口始终处于双向连通状态,主要用来传递EAPoL协议帧,可随时保证接收认证请求者发出的EAPoL认证报文;受控端口只有在认证通过的状态下才打开,用于传递网络资源和服务。
在无线路由器中需要配置的RadiusServer信息有IP地址、认证和授权端口(只写端口也可以)、与RADIUS服务器一致的密钥。
Radius(remoteauthenticationdial-inuserservice,远程认证拨号用户服务),作为一种分布式的客户机/服务器系统,能提供AAA功能。
Radius技术可以保护网络不受未授权访问的干扰,常被用在既要求较高安全性、又要求维持远程用户访问的各种网络环境中(如用来管理使用串口和调制解调器的大量分散拨号用户)。
Radius服务包括三个组成部分:
(1)协议:
rfc2865、2866协议基于udp/ip层定义了Radius帧格式及消息传输机制,并定义了1812作为认证端口,1813作为计费端口。
(2)服务器:
Radius服务器运行在中心计算机或工作站上,包含了相关的用户认证和网络服务访问信息。
(3)客户端:
位于拨号访问服务器NAS(NetworkAccessServer)侧,可以遍布整个网络。
Radius基于客户/服务器模型,NAS(如路由器)作为Radius客户端,负责传输用户信息到指定的Radius服务器,然后根据从服务器返回的信息进行相应处理(如接入/挂断用户)。
Radius服务器负责接收用户连接请求,认证用户,然后给NAS返回所有需要的信息。
Radius服务器对用户的认证过程通常需要利用NAS等设备的代理认证功能,Radius客户端和Radius服务器之间通过共享密钥认证相互间交互的消息,用户密码采用密文方式在网络上传输,增强了安全性。
Radius协议合并了认证和授权过程,即响应报文中携带了授权信息。
题中无线路由器即为NAS,要使得它能与Radius服务器正常通信,根据上述原理,在无线路由器中需要配置Radius服务器的IP地址、认证和授权端口、与RADIUS服务器一致的密钥。
如果无线路由器不支持802.1X认证,只要在上层交换机中启用802.1X,并将端口设置为启用dotlx认证,就可以达到通过Radius服务器进行验证的功能。
这种方式有两种认证模式:
port-based和mac-based。
port-based模式下,只要物理端口下的第一个用户认证成功后,其他接入该端口的用户无须认证就可以访问网络资源,当第一个用户下线后,端口被
升级会员 