网络常用技术介绍

《网络常用技术介绍》由会员分享，可在线阅读，更多相关《网络常用技术介绍（8页珍藏版）》请在装配图网上搜索。

1、5.5网络常用技术介绍HSRP协议我们使用HSR来实现对故障路由器的接管,HSRF中文解释是热备份路由协议，其含义是系统中有多台路由器，它们组成一个或多个“热备份组”。这每一个热备份组中的所有路由器共享一HSRP组中的路由器通过224.0.0.2的组播地址交换组播hello包来发布优先级，hello消息在配置hsrp组的链路上交换缺省条件下，路由器每3秒发送一个hello消息。如果活跃的激活路由器在保持时间（缺省条件为10秒）的可配置时间段内无法发送hello，拥有最高优先级的备份路由器将被激活，开始接收发网组MACS址的包。OSP协议OSPF（中文名开放最短路径优先协议）协议是典型的链路状态

2、路由协议，每个路由器都有和本区域内其它路由器相同的链路状态数据库，而后路由器根据SP-F算法计算出到达目的地的最短路径，其写入路由表。OSPF工作原理是：通过hello报文发现邻居，在通过LSA勺泛洪形成相同的链路状态数据库，最后通过SP-F算法计算出到达目的地的最短路径，将其写入路由表。OSPF协、议的借口状态有五种：downinit、two-way、exstart、exchange、loading、full五种状态。Dow狀态没有收到hello包；init状态是指收到hello包；two-way状态双方都收到对方的hello包；exstart状态通过路由器优先级选出DRBDRloading

3、状态双方互发LSALSUfull状态双方真正的建立邻居关系。启用OSP路由协议的路由器中都会有一个链路状态数据库，它保存着7中类型的LSA其中前五种类型用于相同AS之间的路由通信，后两种用于外部。1、路由LSA它是由非DR非BDR通过224.0.0.6的组播地址发送个DRBDR2、网络LSA它是有DRBD始发通过224.0.0.5的组播地址发送给其它非DRBDR勺路由器。3、网络汇总LSA它是由ABR台发通告其它区域的LSA合0区域。4、ASBR汇总LSA它是由ABR台发通告ASBR勺位置。5、自治域系统LSA它是由ASB始发，向area0通告不同AS之间的路由信息。7:类型对于大型的网络，为

4、了进一步减少路由协议通信流量，OSP可以将网络划分不同的区域，防止网络中大量的LSA防洪影响网络的运行速度。为减少路由表提高网络的查询速度，OSP定义了末梢区域、完全末梢区域、次末节区域、完全次末节区域等。VLAN技术Vian(VirtualLocalAreaNetwork)即虚拟局域网，是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术。IEEE于1999年颁布了用以标准化VLAN实现方案的802.1Q协议标准草案。VLAN技术允许网络管理者将一个物理的LAN逻辑地划分成不同的广播域(或称虚拟LAN，即VLAN)，每一个VLAN都包含一组有着相同需求的计

5、算机工作站，与物理上形成的LAN有着相同的属性。但由于它是逻辑地而不是物理地划分，所以同一个VLAN内的各个工作站无须被放置在同一个物理空间里，即这些工作站不一定属于同一个物理LAN网段。一个VLAN内部的广播和单播流量都不会转发到其他VLAN中，从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。Trunk技术一般的交换机端口只能属于一个VLAN，对于多个VLAN需要跨过多台交换机，就需要用到Trunk技术，它的作用是承载不同的VLAI信息。Trunk是指交换机之间或交换机与路由器之间VLAN之间的连接，VLAN信息通过Trunk在交换机之间或路由器之间传递，从而可以将VLAN

6、跨越整个网络，而不仅仅是局限在一台交换机上。Cisco支持802.1Q、ISL两种trunk封装技术。其中IEEE802.1q是业界的标准协议，而ISL是CISCO专有的协议，用于在一条链路上封装多个VLAN的信息ISL技术得到了Intel等厂商的大力支持，TagSwitching被3Com及LucentCajun支持。对于CISCO交换机的Trunk端口，既可以指定它的封装协议为802.1q或ISL，也可以通过DTP协议（DynamicTrunkingProtocol）自动协商。DTP协议主要用于处理Trunk端口的802.1q和ISL封装协议的自动协商，对于不同厂家的交换机互连时很有帮助。

7、对Trunk的定义只能在快速以太网端口和千兆以太网端口Spanning-Tree协议在局域网中是不允许出现环路的，而为了实现冗余和负载的均衡，通常会有多条链路的连接，这样就会引入环路。为了解决这个矛盾，推出了STP协议。STP算法会将网络中的连接生成一个树，通过特定的算法自动将优先权高的链路激活，将优先权低的链路阻塞，保证在网络中任何时候都不会出现环路。如果网络的连接状况发生了变化，STP算法会自动地重新计算新的连接关系，重新选出新的活动的连接。STP算法会造成网络的暂时的不稳定状态，该转换时间在30秒之内，亦即在30秒之内网络会重新恢复到稳定状态。STP对于终端是透明的，终端感觉不到STP的

8、操作过程。在交换机上可以通过修改端口的优先级来改变连接的优先权，使得STP算法将高优先权的连接作为活动连接，例如:两个交换机之间有两条链路连接，一条是光纤连接，另一条是双绞线连接，由于光纤连接明显要比双绞线连接更稳定、更可靠，我们可以将交换机上的光纤端口的优先权设定成比双绞线端口更高的优先权，这样STP算法就会将光纤连接作为活动连接，而将双绞线连接阻塞。Cisco交换机的一个非常有用的特性就是可以对每个VLAN设置Spanning-Tree,而不是对整个网络只能属于一个Spanning-Tree。这个特征是很多厂商的设备所不具备的。在交换机上对端口的优先权的设置可以基于VLAN进行，每个端口对

9、于不同的VLAN设置不同的优先权。对于指定的VLAN，具有该VLAN最高优先权的端口转发该VLAN的信息，其它VLAN的信息则阻塞。通过这种方法，在具有冗余连接的交换机端口上分别针对不同的VLAN设置不同的优先权，既可以实现链路的冗余，又可以实现负载的均衡。CISCO交换机端口支持每VLAN的生成树协议，每个端口都可设置基于VLAN的Cost或Priority参数，从而实现在多条路径上的负载均衡能力。目前多数厂商都支持STP协议，但是不允许多个STP域。采用多个STP域显然可以获得比单个域高的网络可靠性。DHC协议动态主机分配协议（DynamicHostConfigurationProtoco

10、l,DHCP）是一个局域网的网络协议，使用UDP协议工作，主要作用：给内部网络或网络服务供应商自动分配IP地址、子网掩码、DNS网关，减少网络管理员的配置负担。DHCPT作原理：DHCP客户端首次正确登录网络后，以后再登录网络时，只需要广播包含上次分配ip地址的DHCP_request报文即可，不需要再次发送DHCP_discover报文。DHC服务器收到DHCP_request报文后，如果客户端申请的地址没有被分配，则返回DHCP_ac确认报文，通知该DHCPS户端继续使用原来的ip地址。如果此ip地址无法再分配给该DHCPS户端使用（例如已分配给其它客户端），DHCP服务器将返回DHCP_

11、nak报文。客户端收到后，重新发DHCP_discover报文请求新的ip地址。DHCP艮务器分配给客户端的动态ip地址通常有一定的租借期限，期满后服务器会收回该ip地址。如果DHCPS户端希望继续使用该地址，需要更新ip租约（如延长ip地址租约）。实际使用中，在DHCP客户端启动或ip地址租约期限达到一半时，DHCP客户端会自动向DHC服务器发送DHCP_request报文，以完成ip租约的更新。如果此ip地址有效，则DHCP服务器回应DHCP_acl报文，通知DHCP客户端已经获得新ip租约。动态分配指的是：当DHCP第一次从DHCP服务器端租用到IP地址之后，并非永久的使用该地址，只要租

12、约到期，客户端就得释放（release）这个IP地址，以给其它工作站使用。当然，客户端可以比其它主机更优先的更新（renew）租约，或是租用其它的IP地址。这样在一定的程度上可以减少IP地址的浪费问题。在贵公司的网络运行DHCP我们建议在路由器或其它服务器上附加DHCP功能（这就需要做DHCP专发器），这样可以降低构建成本（如果设置一台DHCP服务器成本太高）。6.1 第三章产品简介PIX525防火墙PIX525是Cisco的硬件防火墙，硬件防火墙有工作速度快，使用方便等特点。PIX525有很多型号，并发连接数是PIX防火墙的重要参数。CiscoSecurePIX525防火墙是世界领先的Cis

13、coSecurePIX防火墙系列的组成部分，能够为当今的网络客户提供无与伦比的安全性、可靠性和性能。它所提供的完全防火墙保护以及IP安全（IPsec）虚拟专网（VPN能力使特别适合于保护企业总部的边防火墙是网络安全的屏障。Pix525防火墙6.2 Cisco2800系列集成多业务路由器思科系统公司推出了一个全新的集成多业务路由器系列，它进？行了专门的优化，可安全、线速地同时提供数据、话音和视频服务，重新定义了最佳大型企业和中小型企业路由。模块化Cisco2800系列集成多业务路由器.建立在思科20年的领先地位及创新技术的基础之上，智能地将数据、安全性和话音服务内嵌于单一永续系统，能快速、可扩展

14、地提供关键任务业务应用。Cisco2800系列的独特集成系统架构提供了最高业务灵活性和投资保护。Cisco2800系列由四个新平台组成：Cisco2801、Cisco2811、Cisco2821和Cisco2851。与相似价位的前几代思科路由器相比，Cisco2800系列的性能提高了五倍、安全性和话音性能提高了十倍、具有全新内嵌服务选项，且大大提高了插槽性能和密度，同时保持了对目前Cisco1700系列和Cisco2600系列中现有90多种模块中大多数模块的支持，从而提供了极大的性能优势。Cisco2800系列能以线速为多条T1/E1/XDSL连接提供多种高质量并发服务。这些路由器提供了内嵌加

15、密加速和主板话音数字信号处理器（DSP插槽；入侵保护和防火墙功能；集成化呼叫处理和语音留言；用于多种连接需求的高密度接口；以及充足的性能和插槽密度，以用于未来网络扩展和高级应用。6.3 CiscoCatalyst3560系列集成交换机思科新推出的CiscoCatalyst3560系列交换机是一个创新的产品系列，它结合业界领先的易用性和最高的冗余性，里程碑地提升了堆叠式交换机在局域网中的工作效率。这个新的产品系列采用了最新的思科StackWise技术，不但实现高达32Gbps的堆叠互联，还从物理上到逻辑上使若干独立交换机在堆叠时集成在一起，便于用户建立一个统一、高度灵活的交换系统-就好像是一整台

16、交换机一样。这代表了堆叠式交换机新的工业技术水平和标准。中型组织和企业分支机构而言，CiscoCatalyst3560系列可以通过提供配置灵活性，支持融合网络模式，已经自动配置智能化网络服务，降低融合应用的部署难度，适应不断变化的业务需求。此外，CiscoCatalyst3750系列针对高密度千兆位以太网部署进行了专门的优化，其中包含多种可以满足接入、汇聚或者小型网络骨干网连接需求的交换机。CiscoCatalyst3560系列可以使用标准多层软件镜像（SMI）或者增强多层软件镜像（EM）。SMI功能集包括先进的服务质量（QoS、速率限制、访问控制列表（ACL和基本的静态和路由信息协议（RIP

17、）路由功能。EM可以提供一组更加丰富的企业级功能，包括先进的、基于硬件的IP单播和组播路由。思科StackWise技术是一种针对千兆位以太网优化的、先进的堆叠架构。该技术的设计目的是及时地对设备添加、移除和重新部署做出反应，同时保持稳定的性能。利用特殊的堆叠互联电缆和堆叠软件，思科StackWise技术最多可以将9台单独的CiscoCatalyst3750交换机连接到一个统一的逻辑单元中。堆叠相当于一个单一的交换单元，由一个从成员交换机中选出的主交换机管理。主交换机可以自动地创建和升级所有的交换信息和可选的路由表。一个工作中的堆叠可以在不中断服务的情况下，添加新的成员或者移除旧的成员。6.4

18、CiscoCatalyst2960系列集成交换机CiscoCatalyst2960系列智能以太网交换机是一个全新的、固定配置的独立设备系列，提供桌面快速以太网和千兆以太网连接，可为入门级企业、中型市场和分支机构网络提供增强LAN服务。Catalyst2960系列具有集成安全特性，包括网络准入控制（NAC）、高级服务质量（QoS）和永续性，可为网络边缘提供智能服务。凭借CiscoCatalyst2960系列提供的广泛安全特性，企业可保护重要信息，防止未授权人员接入网络，确保私密性及维持不间断运行。思科基于身份的网络服务（IBNS）解决方案提供了身份验证、访问控制和安全策略管理，可保护网络连接和资

19、源。Catalyst2960系列中的IBNS可防止未授权接入，并确保用户只获得其指定权利。它能动态管理网络接入的具体层次。使用802.1X标准和思科安全访问控制服务器（ACS，无论用户在何处连接到网络中，都可在验证基础上分配到一个VLAN此设置使IT部门能在不影响用户移动性的情况下，以最低管理开销实施强大的安全策略。为防止拒绝服务攻击和其他攻击，可用ACL根据源和目的地MA地址、IP地址或TCP/UDP端口来拒绝分组，从而限制对网络敏感部分的访问。ACL查询在硬件中完成，故此在实施基于ACL的安全性时不会影响转发性能。端口安全性可根据与以太网端口相连的设备的MAC地址，来限制以太网端口上的访问

20、。它也可用于限制插入一个交换机端口的总设备数目，因此可使交换机免遭MAC泛洪攻击，降低了恶意无线接入点或集线器接入的风险。凭借动态主机配置协议（DHCP监听，可以只允许来自不可信用户端口的DHCP青求（但不允许响应）进入网络，从而防止DHCP电子欺骗。此外，DHCP接口跟踪器（选项82）特性可为主机IP地址请求添加交换机端口ID，有助于实现对于IP地址分配的精确控制。MAC地址通知特性可向管理站发送报警，从而监控网络和跟踪用户，以使网络管理员知道用户何时、从何处进入网络。SSHv2和SNMPV对管理和网络管理信息加密，保护网络免遭干扰或窃听。TACACS或RADIUS验证实现了交换机的集中访问

21、控制，并限制未授权用户改变配置。此外，可在交换机上配置本地用户名和密码数据库。交换机控制台上的15个授权级别和Web管理界面上的2个级别提供了向不同管理员分配不同配置功能级别的能力。6.5 ISA防火墙ISA是微软公司的产品，全名叫InternetSecurityandAcceleration，它有标准版、企业版两种。ISA服务器构建在MicrosoftWindowsServe2003和Windows2000Server等服务器操作系统上。它以其低廉的价格，以及简单的图形化操作在中小型企业有很大的市场占有率。ISA能够提供安全、快速和可管理的internet连接。ISAserver集成了可扩展

22、、多层企业级的防火墙和可伸缩的高性能web缓存系统。构建在windows2003的安全特性和目录基础上，提供基于策略的安全、加速和管理。每个组织的安全策略和规则都不同。流量和内容格式也会起一定的决定作用，没有一个产品可以完全适应所有的安全和性能需求，因此ISAserver在构建的时候充分考虑了可扩展性。通过快速和高效的访问internet内容，可以极大程度上提高您的生产效率。ISAserverweb缓存通过将web言息保存在本地，在用户需要的时候提供本地服务，可以极大的提高性能，节省网络带宽资源。这样员工可以更快的访问所需要的内容，通过降低额外的internet访问费用改善了性能。6.6操作系

23、统针对大中型企业而设计的WindowsServer2003企业版是推荐运行某些应用程序的服务器应该使用的操作系统，这些应用程序包括：联网、消息传递、清单和顾客服务系统、数据库、电子商务Web站点以及文件和打印服务器。WindowsServer2003企业版提供高度的可靠性和性能以及优异的商业价值。企业版可在最新硬件上使用，它同时有32位版本和64位版本，从而保证了最佳的灵活性和可伸缩性。各组织可从优化了的高效结构中获益，这种优化是针对关系到业务的应用程序和服务而进行的。WindowsServer2003操作系统利用Windows2000Server技术中的精华，并且使其更加易于部署、管理和使用

24、。其结果是：实现了一个非常高效的基础架构，使网络成为企业的战略资产。自2005年3月28日起，WindowsServer服务软件包1(SP1)将随全部WindowsServer2003操作系统发布。WindowsServer2003SP1为各个行业的企业客户提供了增强的安全性、可靠性和简化的管理。Linux是一类Unix计算机操作系统的统称。Linux操作系统的内核的名字也是“Linux”。Linux操作系统也是自由软件和开放源代码发展中最著名的例子。Linux以它的高效性和灵活性著称。它能够在PC计算机上实现全部的Unix特性，具有多任务、多用户的能力。Linux是在GNU公共许可权限下免费

25、获得的，是一个符合POSIX标准的操作系统。Linux操作系统软件包不仅包括完整的Linux操作系统，而且还包括了文本编辑器、高级语言编译器等应用软件。它还包括带有多个窗口管理器的X-Windows图形用户界面，如同我们使用WindowsNT一样，允许我们使用窗口、图标和菜单对系统进行操作，但是它稳定性和抗攻击性都强于WINDOWS6.7网管软件选择SDM（SecurityDeviceManager）是Cisco公司提供的全新图形化路由器管理工具。该工具利用WE界面、Java技术和交互配置向导使得用户无需了解命令行接口（CLI）即可轻松地完成IOS路由器的状态监控、安全审计和功能配置包括：Qo

26、SEasyVPNServer、IPS、DHCPServer、动态路由协议等配置任务也可以利用SDM?松而快捷地完成。使用SDM以简化网络管理员的工作量和出错的概率。使用SDMS行管理时，用户到路由器之间使用加密的HTTP连接及SSHv2协议，安全可靠。目前Cisco的大部分中低端路由器都支持SDM操作。其它的网管软件如CANciscoworks、ASDMwhatsup第四章设备清单及报价项目报价及清单序号设备型号设备报价购买数昱总价备注1CISCOPI525-fO-BUN28080128080总公阖边界2CISCO2821850018&00片于总空司按三层3WIC-2T卡330026600异二

27、思科2SU.的爼路由器4CISCO2811&80016300于分當司&WS-C3560-24T-S3350325050总公司两个*分公司一个&SR204227012760总公司服务器7CISCO-WS2S60-4ETT-L700020140000公司的接入层交换机8麻想万全T2&QG3S55062G9100872800一个州于耸公司、耳它用于舍司服务器9容户机淸华同方超扬出0Q2射980D2399200根.据舍司意见，也可埜司自己购买10ups四-ps-ioo1300810400根.居必司意见，也可公司自己购买11千兆线（湃）=160002400012百兆线佞韵2.5120003000013朮晶头（千兆）2.510Q25014朮晶头（百兆）655000250016血防火墙200012000017window20033994613994618瑞星杀毒18800118300服务器上使用19电脑专用插座匪0022000賂由器交换机，员工电脑憧用2032UX型机柜1190223S021別网略设备机柜150121800总报价2861B6&