某省准备建立电子政务网络平台，实现全省上下各级部门之间的信息交换和资源共享。遵照《国家信息化领导小组关于推进国家电子政务网络建设的意见》的要求，电子政务网络分为电子政务外网和电子政务内网，该省即将建设的网络平台被定性为“非涉密”的电子政务外网。在第一期工程中，主要建设覆盖省直部门和各地市州的电子政务外网省级部分。电子政务外网是办公自动化、会议通知、行政审批、电子监察等跨部门应用系统的运行网络，还是一个网络承载平台，可以承载各类VPN。例如，在当前的省级外网平台建设中，外网平台就需要承载两个VPN：（1）互连各个部门的国库支付VPN；（2）互连各个部门的视频监控VPN。

【问题1】（6分）

电子政务外网承载VPN，可以采用L2TP、IPSec、MPLS VPN三类技术，请对三种技术建设VPN进行比较，比较内容如表1-1所示。

【问题2】（6分）

各地市州、各省直部门在接入电子政务外网平台时，需要配置接入路由器、防火墙、前置服务器，请考虑如下连接要求，并添加相应的连接线路或设备，给出接入电子政务外网的设备连接图。

（1）部门网络与电子政务外网之间为逻辑隔离；

（2）部门应用系统主动把数据推送至前置服务器，数据中心在进行数据获取时，不允许进入部门网络；

（3）在调试防火墙的各类过滤规则时，不会对电子政务外网的路由造成影响；

（4）可根据用户负载的需要，随时添置前置服务器。

【问题3】（13分）

如图1-1所示，省级电子政务外网平台承载了两个VPN，分别为国库支付VPN和视频监控VPN。请从以下方面描述电子政务外网PE路由器上的MPLS VPN配置内容：

· VPN接口配置

· PE-CE配置

· OSPF配置

· MPLS配置

图1-1 电子政务外网承载VPN示意图

长江沿线某物流企业A与B并购后组织机构合并，在此情况下，原有两个单位的信息网络的融合成为迫在眉睫的任务。在机构融合前，两个单位各自都有独立的广域网络：A企业广域网覆盖重庆至上海，共1个核心节点（武汉长江南岸，100个用户）、6个二级节点（30个用户）和23个三级节点（9个用户）；B企业广域网覆盖重庆至芜湖，共1个核心节点（武汉长江北岸，150个用户）、11个分支核心节点（11个用户，包含A企业的二级节点）、200多个扫描接入点（2个终端）。两个广域网的主要传输通道都是通过A企业自建的SDH网络：A企业广域网一二级节点间是155MPOS互联，二三级节点间采用10M MSTP 或2M电路互联，少数链路为40M MSTP；B企业广域网核心和分支机构的互联采用30-50M MSTP互联，少数节点采用4个2M捆绑的电路连接。（注：所有MSTP电路使用仅用于实现二三级节点的点对点连接）

A企业广域网承载着办公、视频监控、软交换、视频会议、广播控制系统等业务；B企业广域网承载着办公，视频会议，数十个安全监管业务系统，CCTV、GPS等物流监管系统等业务系统。

机构融合后，两个广域网再没有独立运行的必要了，因此要将两个广域网合并成一个网络，清理网络资产、简化网络结构（减少二级节点数量）、优化路由，使网络安全、高效、可靠、易维护、易管理。A企业广域网络结构如图2-1所示：

图2-1 A企业广域网结构

B企业广域网络结构如图2-2所示。

图2-2 B企业广域网结构

【问题1】（10分）　　

在不增加新设备、新链路的情况下，针对现有物理设备及线路给出整合解决方案的整体思路。要求：

（1）整合后的企业网络采用层次化设计、简化拓扑，实现核心节点、线路N+1冗余；

（2）整合后企业网络的二级节点包括重庆、万州、宜昌、芜湖、南京、上海以及位于武汉的“培训中心”和“武汉分支管理处”。

【问题2】（8分）

原A企业服务器地址采用172.16.1.0/24一个C类地址段，原B企业服务器地址采用192.168.0.0/24、192.168.1.0/24两个C类地址段。AB两企业用户地址和网络设备地址都采用10.0.0.0/8地址。要求在不影响业务的情况下采用层次化的地址分配方案合理规划地址（禁止使用NAT技术），并提供地址切换解决方案。

【问题3】（7分）

原A企业采用OSPF作为路由协议，协议进程规划为1，二级节点作为area0边界且往下分别归属于不同的area。原B企业采用OSPF作为路由协议，协议进程规划为10，分支节点作为area0边界且往下分别归属于不同的area。合并前AB两企业之间采用静态路由连接。要求提供两种基于OSPF协议的路由整合方案思路，并比较两种整合思路的优缺点。

某企业网络拓扑结构如图3-1所示。根据企业要求实现负载均衡和冗余备份，构建无阻塞高性能网络的建设原则。该企业网络采用两台S7606万兆骨干路由交换机作为双核心，部门交换机S2924G通过光纤分别与两台核心交换机相连，通过防火墙和边界路由器与Internet相连。S7606之间相连的端口均为Trunk端口，S7606与S2924G之间相连的端口也均为Trunk端口。

部分PC机IP信息及所属VLAN如表3-1所示。

图3-1 某企业网络拓扑结构

【问题1】（9分）

四台交换机都启用了MSTP生成树模式，其中S7606-1的相关配置如下：

S7606-1（config）#spanning-tree mst 1 priority 4096 /缺省值是32768

S7606-1 （config）#spanning-tree mst configuration

S7606-1 （config-mst）#instance 1 vlan 10，12

S7606-1 （config-mst）#instance 2 vlan 9，11

S7606-1 （config-mst）#name region1

S7606-1 （config-mst）#revision 1

S7606-2的相关配置如下：

S7606-2 （config）#spanning-tree mst 2 priority 4096

S7606-2 （config）#spanning-tree mst configuration

S7606-2 （config-mst）#instance 1 vlan 10，12

S7606-2 （config-mst）#instance 2 vlan 9，11

S7606-2 （config-mst）#name region1

S7606-2 （config-mst）#revision 1

两台S2924G交换机也配置了相同的实例、域名称和版本修订号。

（1）请问instance 2的生成树的根交换机是哪一台 为什么

（2）就instance 1而言，交换机S2924G-1的根端口是哪个端口 为什么

（3）请指出PC1发给PC5的数据包经过的设备路径。

【问题2】（8分）

在三层交换机S7606-1中VLAN 10的IP地址配置为202.10.10.1/24，VLAN 11的IP地址配置为202.10.11.254/24。

在三层交换机S7606-2中VLAN 10的IP地址配置为202.10.10.254/24，VLAN 11的IP地址配置为202.10.11.1/24。两台三层交换机中的VRRP配置如下：

S7606-1（config）# interface Vlan 10

S7606-1 （config-if）# vrrp 10 ip 202.10.10.1

S7606-1 （config-if）# vrrp 10 preempt

S7606-1 （config）# interface Vlan 11

S7606-1 （config-if）# vrrp 11 ip 202.10.11.1

S7606-2 （config）# interface Vlan 10

S7606-2 （config-if）# vrrp 10 ip 202.10.10.1

S7606-2 （config）# interface Vlan 11

S7606-2 （config-if）# vrrp 11 ip 202.10.11.1

S7606-2 （config-if）# vrrp 11 preempt

（1）PC2主机中设置的网关IP为202.10.10.1，在网络正常运行的情况下，请按照以下格式写出PC2访问Internet的数据转发路径。（格式：PC2—>设备1—>……—>Internet。不写返回路径）

（2）假设三层交换机S7606-1需要临时宕机1小时进行检修及升级操作系统。

请问这1小时时段内PC2在没有修改网关IP地址的情况下，是否能访问Internet 请结合交换机S7606-1宕机后发生的变化说明原因。

【问题3】（8分）

企业内部架设有无线局域网，并采用了802.1X认证，用户名和密码存放在Radius服务器的数据库中。无线路由器Wirelessrouter1支持802.1x协议，请回答以下问题：

（1）在图3-2所示的认证过程中，客户端向无线路由器发送的是什么帧 无线路由器向Radius服务器发送的是什么报文

（2）在无线路由器中需要配置哪些与Radius Server相关的信息

（3）如果无线路由器不支持802.1X认证，为满足无线用户必须经过认证才能上网的需求，能否在上层交换机中启用802.1X，并将端口设置为启用dot1x认证 请简要说明理由。