该网络在运营过程中曾出现了下列故障: 故障1
使用“网络故障一点通”测试新建密集小区用户和三层交换机6之间的最大吞吐量,发现这些用户带宽都不超过10Mb/s。使用“在线型网络万用表”串联在三层交换机6和交换机4之间,测试数秒钟后,发现它们之间的传输速率也是10Mb/s。 故障2
故障现象:VIP小区用户不能上网,但能ping通路由器地址。
分析:由于VIP小区用户配置的是静态IP地址,而且处于同一网段,共用路由器上的一个地址作为网关地址。用户能ping通路由器,说明从用户到路由器间的路径是通的,因此需重点检查路由器。 操作过程如下:
首先,在路由器上,观察接口状态,未见异常。然后,用show ip route观察 (1) 表,未见异常。最后,再用show arp观察 (2) 表,发现路由器的MAC地址与工作人员以前保存在该表中的MAC地址不同,而是VIP小区中某个用户的MAC地址。 【问题1】(3分)
造成故障1的原因是什么?如何解决? 试题解析:
由于目前几乎所有的网络设备在出厂的时候网络端口的缺省设置都是10M/100M自适应。网络设备之间按照协议进行自适应,但是某些不同品牌的交换机可能由于硬件设计和制造的细微差别从而导致在连接后不能够相互地自适应,就好像本题中三层交换机6和交换机4,它们不能够相互地自适应,导致它们之间的用户带宽都不超过10Mb/s。出现这种情况后,解决方法是通过强制手段进行,强制将两交换机的LAN端口设置成为非自协商、100M的全双工模式。
答案:
目前几乎所有的网络设备在出厂时网络端口的缺省设置都是10M/100M自适应。网络设备之间按照协议进行自适应,有些不同品牌的交换机在连接后不能相互地自适应(硬件设计和制造的细微差别都可能造成这种现象)。所以最终的结果是三层交换机6和交换机4没能适应,两个交换机之间的连接速度是10M半双工。
解决方法:将两交换机的LAN端口强制设置为非自协商、100M全双工模式。 【问题2】(4分)
1、将故障2中(1)和(2)两处合适的答案填入答题纸相应的解答栏内。(2分) 2、故障2如何解决?(2分) 试题解析:
根据题意对故障2的分析,可以得知故障极有可能发生在路由器上。show ip route这个命令是显示IP路由表中的信息,所以第一个空应填“路由”。show arp这个命令是用来显示路由器的ARP表,包括IP地址和MAC地址的映射,而ARP是“Address Resolution Protocol”的缩写,即“地址解析协议”,所以第二个空填“地址解析协议”或ARP。
根据题意,对路由器进行检查后,发现路由器的MAC地址与工作人员以前保存在该表中的MAC地址不同,是VIP小区中某个用户的MAC地址。此时需要更新路由器的MAC地址表,具体做法是进入路由器端口配置模式,将该端口关闭后重新激活,路由器新的ARP表更新了到路由器的端口MAC地址,随后用户接入Internet恢复正常,故障排除。 答案:
1、(1)路由(1分)
(2)地址解析协议(1分)
2、进入到路由器子接口配置模式,将该接口关闭后重新激活,路由器新的ARP表更新了到路由器子接口MAC地址表,随后用户接入Internet恢复正常,故障排除(2分) 【问题3】(8分)
3、路由器2上采用NAT技术。NAT中的动态地址翻译和IP地址伪装有什么区别?(3分) 4、图4-2是路由器2上的地址伪装表,将图C1-4-2中(1)~(5)处空缺的信息填写在答题纸的相应位置。(5分)
试题解析:
NAT英文全称是“Network Address Translation”,中文意思是“网络地址转换”,它允许一个整体机构以一个公用IP地址出现在Internet上。顾名思义,它是一种把内部私有网络地址(IP地址)翻译成合法网络IP地址的技术。这种技术主要解决IP地址的短缺问题。
动态地址翻译只是转换IP地址,它为每一个内部的IP地址分配一个临时的外部IP地址,可应用于拨号,对于频繁的远程联接也可以采用动态地址翻译。当远程用户联接上之后,动态地址翻译就会分配给他一个IP地址,用户断开时,这个IP地址就会被释放而留待以后使用。动态地址翻译在子网外部使用少量的全局地址,通过路由器进行内部和外部的地址转换。它的好处是节约全局使用的IP地址,而且不需要改变于内部的任何配置,只需要在边界路由器中设置一个动态地址变换表就可以。动态地址翻译映射可以表示为M:N(M>N)。 IP伪装机制实际上就是一种M:1的动态网络地址翻译,它能够将多个内部网中的IP地址映射到一个与Internet相连接的外部网IP地址上,这样这些无法直接与Internet上的机器通讯的具有内部网IP地址的机器就可以通过这台映射机器与外界进行通讯。这种技术可以作为一种安全手段使用,借以限制外部对内部主机的访问。另外还可以利用这种技术实现虚拟主机和虚拟路由,以达到负载均衡和提高可靠性的目的。
根据NAT路由器伪装NAT表可以看到内部IP/端口号为90.0.0.5:1234对应的本地NAT端口号为65533,所以(1)处填65533,同理(4)填65534。
NAT不会更改接收方的IP地址和端口号,因此(2)填202.117.112.115,(5)填53.12.198.15。
IP伪装机制只使用一个外部网IP地址,因此可知(3)填192.168.12.161。 答案:
3、NAT技术主要解决IP地址短缺问题,动态地址翻译在子网外部使用少量的全局地址,通过路由器进行内部和外部地址的转换,好处是节约全局适用的IP地址,而且不需要改变子网内部的任何配置,只需在边界路由器中设置一个动态地址变换表就可以工作。 伪装用一个路由器的IP地址把子网中所有主机的IP地址都隐藏起来。伪装技术可以作为一种安全手段使用,借以限制外部对内部主机的访问。另外还可以用这种技术实现虚拟主机和虚拟路由,以便达到负载均衡和提高可靠性的目的。(3分)
4、 (1)65533 (2)202.117.112.115 (3)192.168.12.161
(4)65534 (5)53.12.198.15 (每小题1分)
试题五(15分)
阅读以下说明,回答问题1至问题2,将解答填入答题纸对应的解答栏内。 【说明】
二层隧道协议L2TP(Layer 2 Tunneling Protocol)是一种基于点对点协议PPP的二层隧道协议。某网络结构如图5-1所示,采用L2TP来实现网络安全。
【问题1】(6分)
在由L2TP构建的VPN中,主要由①和②两种类型的服务器构成。 1、将图5-1中①和②处空缺名称填写在答题纸的相应位置。 2、简要说明两种服务器的主要作用。 答案:
1、①LAC(L2TP Access Concentrator或L2TP访问集中器)(1分) ②LNS(L2TP Network Server或L2TP网络服务器)(1分)
2、LAC是附属在网络上的具有PPP端系统和L2TP协议处理能力的设备。LAC一般就是一个网络接入服务器,用于为用户提供网络接入服务(2分)
LNS是PPP端系统上用于处理L2TP协议服务器端部分的软件。(2分)
【问题2】(9分)
某路由器(在图5-1中没有标出)的部分配置信息如下所示,请解释其中标有下划线部分的含义。 … !
username sp_lac password 7 104D000A0618 username Bob password 7 060506324F41 ! vpdn
enable 第 (1) 处(1分) !
vpdn-group
1 第 (2) 处(1分)
accept dialin l2tp virtual-template 1 remote sp_lac 第 (3) 处(2分)
local name
Bob 第 (4) 处(1分) !
lcp renegotiation
always 第 (5) 处(2分) !
no l2tp tunnel
authentication 第 (6) 处(2分) … 答案:
(1)启用VPDN功能(1分)
(2)创建VPDN组1,并进入VPDN组1配置模式(1分)
(3)接受L2TP通道连接请求,并根据virtual-template 1创建virtual-access接口,远端主机为sp_lac。(2分)
(4)指定隧道本端名称为Bob(1分)
(5)LNS与client之间重新协商(2分) (6)取消L2TP通道验证功能(2分)