网络工程师--网络规划和设计案例分析（2）

案例描述：某企业网络拓扑如下图所示：

工程师给出了该网络的需求：

1.用防火墙实现内外网地址转换和访问控制策略

2.核心交换机承担数据转发，并且与汇聚层两台交换机实现OSPF功能

3.接入层到汇聚层采用双链路方式组网

4.接入层交换机对地址进行vlan划分

5.对企业的核心资源加强安全防护

问题1如下：

企业计划在①、②或③的位置部署基于网络的入侵检测系统（NIDS）

（1）网络入侵检测系统NIDS部署在位置①的优势是：能够监视针对外网防火墙DMZ中系统的攻击

（2）网络入侵检测系统NIDS部署在位置②的优势是：能够检测外部网络攻击的数量和类型，能减轻拒绝服务攻击的影响

（3）网络入侵检测系统NIDS部署在位置③的优势是：能够监视针对关键系统、服务和资源的攻击

问题2如下:

（1）OSPF主要用于大型、异构的IP网络中，是对链路状态路由的一种实现

解析：OSPF开发最短路径有限协议是一种分布式、基于链路状态（L-S）算法的动态路由选择协议，具有收敛速度快、支持区层次化路由、CIDR等开销的多路径和身份认证等特点，适合大型与特大型的、异构的IP网络使用

（2）若网络规模较小，可以考虑配置静态路由或RIP协议来实现路由选择

解析：RIP协议是一种基于距离-向量的动态路由选择协议，特点是：算法简单、易于配置实现、比较适合小型与中型的（网络直径小于16跳）、多路径的、动态的IP网络使用

问题3如下：

（1）对汇聚层的两台角焊机的F0/3、F0/4端口进行聚合，F0/3、F0/4默认端口模式是：access

（2）进行端口聚合时应配置为trunk模式

解析：两台汇聚层交换机之间应用链路聚合技术，以实现负载分担及链路动态备份，汇聚层交换机Switch1的F0/3、F0/4端口默认为access模式，进行链路聚合时应配置为trunk模式

问题4如下：

（1）为了在汇聚层交换机上实现虚拟路由冗余功能，需配置VRRP协议，可以采用竞争的方式选择主路由设备，比较设备优先级大小，优先级大的为主路由设备

解析：虚拟路由协议（VRRP），利用一个优先级方案来决定哪个配置了VRRP的路由器成为默认的主动路由器，路由器默认优先级是100，如果一个路由器的优先级设置得比所有其他路由器的优先级高，则该路由器成为主动路由器。

（2）若备份路由设备长时间没有收到主路由设备发送的组播报文，则将自己的状态转为Master

解析：若备份路由设备长时间没有收到主路由设备发送的组播报文，则将自己的状态转为主设备Master

（3）为了避免二层广播风暴，需要在接入与汇聚设备上配置MSTP

解析：MSTP生成树协议是一种二层管理协议，通过有选择性地阻塞网络冗余链路来达到消除网络二层环路的目的，同事具有链路备份功能

问题5如下：

阅读汇聚交换机Switch1的部分配置命令，回答下面的问题：

 

（1）VLAN20的priority默认优先级值是：100

解析：虚拟路由协议（VRRP），利用一个优先级方案来决定哪个配置了VRRP的路由器成为默认的主动路由器，路由器默认优先级是100，如果一个路由器的优先级设置得比所有其他路由器的优先级高，则该路由器成为主动路由器。

（2）VLAN20设置preempt-mode的含义是：设置抢占

解析：当在交换机上配置链路冗余或负载均衡后，保证故障设备恢复后正常工作，需要设置preempt-mode为抢占模式