国家电子政务外网和各省电子政务外网之间运行（）路由协议？

正确答案：

（2）问题2分析
电子政务网络一般分为电子政务内网和电子政务外网，其中电子政务外网是一个非涉密性质的网络，可以借助于特定的安全手段，实现普通信息和敏感信息的传递，电子政务外网在实现部门和下级单位接入时，主要采用逻辑隔离方式接入，即指两个网络之间存在着受控的网络协议传递，信息借助于防火墙或者具有过滤功能的路由器实现交换的方式。
逻辑隔离接入方式适用于大多数部门，其内部网络为实现对内部信息与资源实施保护，在受控的情况下与外网进行连接。由于电子政务网络建设主要为政务信息资源目录体系、政务信息资源交换体系、各类电子政务应用系统提供运行和承载环境；在实现部门网络接入的同时，需要为信息和数据的交换提供有效的技术支撑；因此，部门网络借助于防火墙或路由器完成与电子政务外网主干的连接，通过受控的网络协议现信息交换。
传统意义上的部门逻辑接入方式如下图所示。

为完成各部门网络接入电子政务外网平台，必须配置特定的网络接入设备，这些设备主要包括接入路由器、防火墙、前置服务器、DMZ交换机等。
　　接入路由器——接入路由器是实现单位接入的关键设备，通过运行路由算法，保持和外网平台的连通性。
　　前置服务器——前置服务器是完成单位内部网络和外网平台数据交换的关键设备，通过前置数据库、交换中间件等实现数据的交换。
防火墙——防火墙是完成逻辑隔离的关键设备，其强大的过滤机制、DMZ区域设置等技术，保证了外网平台与单位网络之间的受控信息传递。
DMZ交换机——DMZ交换机用于扩展防火墙的DMZ区域，实现多台服务器在防火墙DMZ区域的接入。

画图要点：
　　接入路由器直接连接电子政务外网；
防火墙直接连接单位内部网络；
防火墙与接入路由器直接相连；
防火墙的DMZ口添置一台DMZ交换机；
前置服务器与DMZ交换机直接相连。

正确答案:C,D

参考答案：政务外网与互联网之间要实施逻辑隔离;政务内网与政务外网、互联网之间要实施物理隔离。

正确答案：

试题一分析
本题涉及MPLS技术、MPLS/VPN等领域的内容。
（1）问题1分析
VPN (Virtual Private Network，虚拟专用网)就是利用Internet或其它公共互联网络的基础设施建立专用数据传输通道，将远程的分支机构、移动办公人员等连接起来，实现不同网络的组件和资源之间的相互连接，是通过隧道技术在公共数据网络上虚拟出一条点到点的专线技术。
在虚拟专用网中，任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是利用某种公众网的资源动态组成的。
　　VPN主要采用四项技术来保证安全，这四项技术分别为隧道技术（Tunneling）、加解密技术（Encryption & Decryption）、密钥管理技术（Key Management）、认证技术（Authentication）。
　　隧道技术就是利用隧道协议对隧道两端的数据进行封装的技术，利用一种协议来传输另外一种协议的技术，共涉及三种协议，包括：乘客协议、隧道协议和承载协议，隧道协议可以分别是第二层或第三层隧道协议。第二层隧道协议是先把各种网络协议封装到PPP中，再把整个数据包装入隧道协议中；这种双层封装方法形成的数据包靠第二层协议进行传输；第二层隧道协议有L2F、PPTP、L2TP等。第三层隧道协议则借助于网络层协议来进行封装，典型代表是IPSec；IPSec本身不是隧道协议，但由于其提供的认证、加密功能适用于建立VPN环境，它既能提供LAN间VPN，也能提供远程访问型VPN。而MPLS VPN则是一种借助于标签交换技术，利用公用MPLS基础设施实现多个用户网络承载，是一种介于第二层和第三层之间的技术。

L2TP协议：
　　L2TP封装的乘客协议是位于第二层的PPP协议，如下图所示。

正确答案：1．说明所完成的电子政务系统包含哪些主要应用系统建设的目标、意义、完成情况以及你在该项目系统中所承担的主要任务(工作角色)。 所谓电子政务是指国家机关在政务活动中全面应用现代信息技术进行管理和办公以及为社会公众提供服务的信息化平台。对于我们国家而言政务活动并不仅仅局限于政府系统的政务活动而是泛指党委、政府、人大、政协4大系统的政务活动政府在电子政务建设中承担着主要的责任。根据题目要求本论文中论及的电子政务应该特指政府电子政务。 政府电子政务建设包括3方面的内容：政府部门内部的网络化办公、政府部门之间通过网络进行的协同办公和信息共享以及政府通过网络实现与公众的沟通和互动。论述问题l时所阐述的系统主要属于这3个方面之一。 2．电子政务系统是基于计算机网络的信息系统构筑一个电子政务系统从上到下主要包括以下几个层次。 ①应用业务层包含G2G(政府对政府)、G2B(政府对企业)、G2C(政府对公众)和G2E(政府对公务员)等模式下的政务应用系统、协同工作与决策支持系统等应用平台。 ②应用服务支撑层(信息交换层)包括工作流引擎和电子政务中间件平台。 ③信息资源管理层(数据访问层)管理数据资源向应用服务支撑层提供数据整合、访问、提取、过滤与综合服务。 ④网络系统层即电子政务网络平台它提供电子政务系统网络通信和系统服务。 此外电子政务标准规范体系和电子政务安全体系作为电子政务建设的核心内容贯穿于上述4个平台的设计、实现之中不容忽视。 保障电子政务系统的安全有多种途径使用物理隔离或逻辑隔离将网络划分为政务内网和外网是其中的一种。然而由此必然会对网络互联互通产生相应的影响从而影响电子政务的核心即政务应用。因此在实际电子政务建设中通常需要权衡系统安全和系统间的互联互通。需要结合工程实践着重论述内外网的划分和系统安全、互联互通的关系以及所采用的技术措施(例如采用了哪些物理隔离技术(如网闸等)、VPN技术、防火墙技术等如何进行ACL访问控制规则的配置、NAT技术的配置、VLAN的划分等)。 3．任何工程建设都必然会面对多种困难电子政务建设也不例外。需要重点论述电子政务划分内、外网面对的许多困难并说明其解决方法。
1．说明所完成的电子政务系统包含哪些主要应用，系统建设的目标、意义、完成情况，以及你在该项目系统中所承担的主要任务(工作角色)。 所谓电子政务，是指国家机关在政务活动中全面应用现代信息技术进行管理和办公，以及为社会公众提供服务的信息化平台。对于我们国家而言，政务活动并不仅仅局限于政府系统的政务活动，而是泛指党委、政府、人大、政协4大系统的政务活动，政府在电子政务建设中承担着主要的责任。根据题目要求，本论文中论及的电子政务应该特指政府电子政务。 政府电子政务建设包括3方面的内容：政府部门内部的网络化办公、政府部门之间通过网络进行的协同办公和信息共享，以及政府通过网络实现与公众的沟通和互动。论述问题l时，所阐述的系统主要属于这3个方面之一。 2．电子政务系统是基于计算机网络的信息系统，构筑一个电子政务系统从上到下主要包括以下几个层次。 ①应用业务层，包含G2G(政府对政府)、G2B(政府对企业)、G2C(政府对公众)和G2E(政府对公务员)等模式下的政务应用系统、协同工作与决策支持系统等应用平台。 ②应用服务支撑层(信息交换层)，包括工作流引擎和电子政务中间件平台。 ③信息资源管理层(数据访问层)，管理数据资源，向应用服务支撑层提供数据整合、访问、提取、过滤与综合服务。 ④网络系统层，即电子政务网络平台，它提供电子政务系统网络通信和系统服务。 此外，电子政务标准规范体系和电子政务安全体系作为电子政务建设的核心内容，贯穿于上述4个平台的设计、实现之中，不容忽视。 保障电子政务系统的安全有多种途径，使用物理隔离或逻辑隔离将网络划分为政务内网和外网是其中的一种。然而，由此必然会对网络互联互通产生相应的影响，从而影响电子政务的核心，即政务应用。因此，在实际电子政务建设中，通常需要权衡系统安全和系统间的互联互通。需要结合工程实践着重论述内外网的划分和系统安全、互联互通的关系，以及所采用的技术措施(例如采用了哪些物理隔离技术(如网闸等)、VPN技术、防火墙技术等，如何进行ACL访问控制规则的配置、NAT技术的配置、VLAN的划分等)。 3．任何工程建设都必然会面对多种困难，电子政务建设也不例外。需要重点论述电子政务划分内、外网面对的许多困难，并说明其解决方法。

正确答案：D
    电子政务在网络管理上分为政府专网和通用网络两部分，包括内部网络、专用网络和外网。专用网络：指政府部门之间的网络，因为对于机密信息的交换，需要在与外部网络进行物理隔离的专用网络上传输，以保证机密信息的绝对安全性。内部网络：政府内部的办公网络，以局域网为主，有时需要有广域网，用于政府内部和政府部门之间一般的信息交换，内部网络具有传统数据网络的性能与和共享数据网络结构的优点，同时，还能够提供远程访问，以及与外部网和内部网的连接。外部网络：对于为公众提供的信息及其他可公开的信息,可以利用政府网站等形式发布到Internet网上。

参考答案：错误

标准答案:C

正确答案：

（3）问题3分析
　　MPLS最初是用来提高路由器的转发速度而提出的一个协议，MPLS协议的关键是引入了标签（Label ）交换概念；标签是一种短的，易于处理的，不包含拓扑信息，只具有局部意义的信息内容。
　　在MPLS网络中，IP包在进入第一个MPLS设备时，MPLS边缘路由器分析IP包的内容并且为这些IP包选择合适的标签；以后所有MPLS网络中节点都是依据这个标签作为转发依据；当IP包最终离开MPLS网络时，标签被边缘路由器分离。
MPLS在逻辑上可以分为LER（Label Switching Edge Router）和LSR（Label Switching Router）；其中LER是MPLS网络同其它网络的边缘设备，它提供流量分类和标签映射，标签移除的功能；而LSR是MPLS网络的核心交换机，它提供标签交换，标签分发的功能。
　　作为一种高效的IP骨干网技术平台，MPLS为实现VPN提供了一种灵活的并且具有可扩展性的技术基础，并且具有网络配置简单、动态发现相邻节点、直接利用现有路由协议、具有良好的可扩展性等特点。
　　为支持基于MPLS的VPN特性必须实现如下功能：
?LDP（Label Distribution Protocol）标签分布协议，是MPLS的信令协议，用以管理和分配标签；
?MPLS转发模块，根据报文上的标签和本地映射表进行二、三层间交换；
?MBGP和BGP扩展，用来传递VPN路由和承载VPN属性、QoS信息、标签等内容；
?路由管理的VPN扩展，建立多路由表，用以支持VPN路由。

　　在MPLS VPN的连接模型中，网络由运营商的骨干网与用户的各个Site组成，所谓VPN就是对Site集合的划分，一个VPN就对应一个由若干Site组成的集合。而MPLS VPN网络中的路由设备，也相应分为三类：
　　CE（Custom Edge）——用户Site中直接与服务提供商相连的边缘设备；
　　PE（Provider Edge）——骨干网中的边缘设备，它直接与用户的CE相连；
　　P 路由器（Provider Router）——骨干网中不与CE直接相连的设备。

　　MPLS VPN的组成原理：　　
（1）MPLS VPN的网络构造由服务提供商来完成。在这种网络构造中，由服务提供商向用户提供VPN服务，用户感觉不到公共网络的存在，就好像拥有独立的网络资源一样。
（2）同样对于服务提供商骨干网络内部的 P 路由器，也就是不与CE 直接相连的路由器而言，也不知道有VPN的存在，仅仅负责骨干网内部的数据传输。但其必须能够支持MPLS协议，并使能该协议。
（3）所有的VPN的构建、连接和管理工作都是在PE上进行的。PE位于服务提供商网络的边缘，从PE的角度来看，用户的一个连通的IP 系统被视为一个Site，每一个Site通过CE与PE相连，Site是构成VPN的基本单元。
（4）一个VPN是由多个Site组成的，一个Site也可以同时属于不同的VPN。属于同一个VPN的两个Site通过服务提供商的公共网络相连，VPN数据在公共网络上传播，必须要保证数据传输的私有性和安全性。也就是说，从属于某个VPN的Site发送出来的报文只能转发到同样属于这个VPN的Site里去，而不能被转发到其他Site中去。
（5）同时，任何两个没有共同的Site的VPN都可以使用重叠的地址空间，即在用户的私有网络中使用自己独立的地址空间，而不用考虑是否与其他VPN或公网的地址空间冲突。所有这些就都需要依赖于VRF（VPN Routing & Forwarding　Instance）。
关于VPN路由转发实例（VPN Routing & Forwarding Instance）、路由标识（Route Distinguisher）、多协议 BGP（MultiProtocol BGP）、BGP 扩展团体属性（Extended Community）、BGP 路由刷新（Route Refresh）的详细技术内容，在本文中不做介绍，请参阅相关技术资料。
以下为问题3的MPLS VPN环境介绍及MPLS VPN的有关配置。

图中，s0表示第零号串口，e0表示第零号以太网口；P路由器分别通过s0，s1，s2，s3与PE1，PE2，PE3，PE4相连；各用户网络的AS号码分别为65410、65420、65430、65440，核心网络的AS号码为100；VPN-A为国库支付VPN，VPN-B为视频监控VPN。

PE1的配置：
# VRF配置
Quidway#config terminal
#进入到配置模式
Quidway(config)#ip vrf vpna
#创建VPN实例vpna
Quidway(config-vrf)#rd 100:1
#配置vpna的rd为：100:1
Quidway(config-vrf)#route-target both 100:1
#配置rd为100:1的站点可以双向接收此VPN路由
Quidway(config-vrf)#route-target import 100:2
#可以接收到rd为100:2站点发送过来的VPN路由
Quidway(config-vrf)#route-target export 100:3
#配置rd为100:3的站点可以接收此VPN路由
Quidway(config-vrf)#exit
#退出接口配置模式

# 接口配置
Quidway(config)#interface e 0
#进入到以态网e0口
Quidway(config-if-Ethernet0)#ip vrf forwarding vpna
#将接口添加到vpna实例中
Quidway(config-if-Ethernet0)#ip address 168.1.1.2 255.255.0.0
#配置接口地址
Quidway(config-if-Ethernet0)#exit
#退出接口配置模式
Quidway(config)#interface s 0
#进入到串行接口s0口
Quidway(config-if-Serial0)#ip address 172.1.1.1 255.255.0.0
#配置接口地址
Quidway(config-if-Serial0)#exit
#退出接口配置模式

# PE-CE配置
Quidway(config)#router bgp 100
#使能bpg，自治系统号100
Quidway(config-router-bgp)#address-family ipv4 vrf vpna
#在BGP的IPV4 VRF VPNA地址簇中引入路由信息
Quidway(config-router-af)#neighbor 168.1.1.1 remote-as 65410
#建立ipv4 vrf VPNA中的邻居，传递VRF路由
Quidway(config-router-af)#neighbor 168.1.1.1 activate
#建立ipv4 vrf VPNA中的邻居，并激活邻居
Quidway(config-router-af)#redistribute connected
#引入直连路由
Quidway(config-router-af)#exit-address-family
#退出当前配置模式
Quidway(config-router-bgp)#exit
#退出

# PE-PE配置
Quidway(config)#router bgp 100
#使能bpg，自治系统号100
Quidway(config-router-bgp)#redistribute ospf metric 6
#引入ospf路由并配置metric值为 6
Quidway(config-router-bgp)#address-family vpnv4
#配置VPNV4 iBGP路由，用以在PE之间传播MBGP VPN路由
Quidway(config-router-af)#neighbor 172.2.1.1 remote-as 100
#建立邻居
Quidway(config-router-af)#neighbor 172.2.1.1 activate
#激活邻居
Quidway(config-router-af)#neighbor 172.3.1.1 remote-as 100
Quidway(config-router-af)#neighbor 172.3.1.1 activate
Quidway(config-router-af)#neighbor 172.4.1.1 remote-as 100
Quidway(config-router-af)#neighbor 172.4.1.1 activate
Quidway(config-router-af)#exit-address
Quidway(config-router-bgp)#exit
# OSPF配置
Quidway(config)#router ospf
#启用OSPF功能
Quidway(config-router-ospf)#network 172.1.1.0 0.0.255.255 area 0
#发布ospf路由信息到区域0
Quidway(config-router-ospf)#exit
# MPLS配置
Quidway(config)#mpls lsr id 172.1.1.1
#配置mpls的lsr id标识
Quidway(config)#mpls ldp
#启用mpls ldp标签协议
Quidway(config-mpls-ldp)#exit
Quidway(config)#interface s 0
Quidway(config-if-Serial0)#mpls ldp enable
#在接口下启用mpls标签功能
Quidway(config-if-Serial0)#exit
Quidway(config)#exit
Quidway#

CE1的配置：
# 接口配置
Quidway#config terminal
Quidway(config)#interface e 0
Quidway(config-if-Ethernet0)#ip address 168.1.1.1 255.255.0.0
#配置以太口IP地址
Quidway(config-if-Ethernet0)#exit
# BGP配置
Quidway(config)#router bgp 65410
Quidway(config-router-bgp)#neighbor 168.1.1.2 remote-as 100
#配置BGP邻居
Quidway(config-router-bgp)#exit
Quidway(config)#exit
Quidway#

P路由器的配置：
# 接口配置
Quidway#config terminal
Quidway(config)#interface s 0
Quidway(config-if-Serial0)#ip address 172.1.1.2 255.255.0.0
Quidway(config-if-Serial0)#exit
Quidway(config)#interface s 1
Quidway(config-if-Serial0)#ip address 172.2.1.2 255.255.0.0
Quidway(config-if-Serial0)#exit
Quidway(config)#interface s 2
Quidway(config-if-Serial0)#ip address 172.3.1.2 255.255.0.0
Quidway(config-if-Serial0)#exit
Quidway(config)#interface s 3
Quidway(config-if-Serial0)#ip address 172.4.1.2 255.255.0.0
Quidway(config-if-Serial0)#exit
#配置各串口IP地址
# MPLS配置
Quidway(config)#mpls lsr id 172.1.1.2
#配置mpls的lsr id标识
Quidway(config)#mpls ldp
#启用mpls ldp标签协议
Quidway(config-mpls-ldp)#exit
Quidway(config)#interface s 0
Quidway(config-if-Serial0)#mpls ldp enable
#在接口下启用mpls标签功能
Quidway(config-if-Serial0)#exit
Quidway(config)#
Quidway(config)#interface s 1
Quidway(config-if-Serial0)#mpls ldp enable
Quidway(config-if-Serial0)#exit
Quidway(config)#
Quidway(config)#interface s 2
Quidway(config-if-Serial0)#mpls ldp enable
Quidway(config-if-Serial0)#exit
Quidway(config)#
Quidway(config)#interface s 3
Quidway(config-if-Serial0)#mpls ldp enable
Quidway(config-if-Serial0)#exit
Quidway(config)#
# OSPF配置
Quidway(config)#router ospf
Quidway(config-router-ospf)#network 172.1.1.0 0.0.255.255 area 0
Quidway(config-router-ospf)#network 172.2.1.0 0.0.255.255 area 0
Quidway(config-router-ospf)#network 172.3.1.0 0.0.255.255 area 0
Quidway(config-router-ospf)#network 172.4.1.0 0.0.255.255 area 0
其他PE的配置与PE1相似，其他CE的配置与CE1相似，不重复列举。
【问题3】
（1）VPN接口配置
将相应的接口加入VPN实例中；
进入接口配置模式，配置接口的IP地址。
（2）PE-CE配置
启用路由协议BGP，并设置自治区号；
在BGP的IPV4 VRF实例地址簇中引入路由信息；
建立IPV4 VRF实例的邻居关系，激活并传递VRF路由；
在BGP中引入直连路由。
（3）OSPF配置
启用OSPF路由协议；
配置路由区域及网络地址信息。
（4）MPLS配置
配置MPLS的LSR ID标识；
启用路由器的MPLS LDP标签协议；
在网络接口上启用MPLS LDP标签协议。

正确答案：任何工程建设都必然会面对多种困难电子政务建设也不例外。需要重点论述由于电子政务划分内外网而面对的许多困难并说明其解决方法。
任何工程建设都必然会面对多种困难，电子政务建设也不例外。需要重点论述由于电子政务划分内外网而面对的许多困难，并说明其解决方法。