网络规划与设计-江苏高校图书馆现代技术培训

《网络规划与设计-江苏高校图书馆现代技术培训》由会员分享，可在线阅读，更多相关《网络规划与设计-江苏高校图书馆现代技术培训（110页珍藏版）》请在装配图网上搜索。

1、网络规划与设计江苏高校图书馆现代技术培训,江苏东大金智软件股份有限公司 教育事业部 刘传先,内容,VLAN Multi-switch Route Nat Proxy Firewall,路由和交换的工作层次,物理层,网络层,数据链路层,传输层,应用层,OSI协议分层,集线器基本工作流程,PORT1,PORT2,PORT N,A,C,B,交换基本工作流程,MAC a,PORT1,PORT2,PORT N,MAC c,A,D,C,B,网段的形成,PORT1,PORT2,PORT N,网段1,网段3,网段2,A,B,C,D,PORT1,PORT2,PORT2,MAC a,MAC b,MAC c,POR

2、T N,MAC d,MAC TABLE,交换环境下的广播风暴,PORT1,PORT2,PORT N,网段1,网段3,网段2,A,B,C,D,PORT1,PORT2,PORT2,MAC a,MAC b,MAC c,PORT N,MAC d,MAC TABLE,路由基本工作流程,PORT1,PORT2,PORT N,子网：192.0.1.XXX,A,B,C,D,子网：192.3.96.XXX,子网：192.2.16.XXX,IP: aa MAC: a,IP: cc MAC: c,广播域： 路由器每个端口是一个广播域 交换机所有端口都属于同一个广播域,路由器对广播的控制,PORT1,PORT2,PO

3、RT N,子网：192.0.1.XXX,A,B,C,D,PORT 1,PORT 2,PORT N,ROUTE TABLE,子网：192.3.96.XXX,子网：192.2.16.XXX,192.0.1.XXX,192.2.16.XXX,192.3.96.XXX,IP: aa MAC: a,IP: cc MAC: c,路由与交换的比较,实现层次OSI第二层OSI第三层 地址6 BYTE地址4个8BIT十进制数 包转发速度快慢 包转发校验可省略，直接转发具有完善的校验过程 广播控制广播风暴能抑制第二层广播 每端口价格相对便宜较贵 报文过滤简单MAC地址过滤较复杂的访问控制 设备实现硬件：交换矩阵

4、一般为软件,指标,交换,路由,VLAN的作用（1）,隔离广播域 减少对路由器的依赖， 突破了按地域划分子网 的限制 保证安全性,VLAN 1,VLAN 2,甲楼,乙楼,VLAN的作用（2）,VLAN 1,VLAN 2,甲楼,乙楼,优化管理：减少由于网络站点增加、移动或更改而 造成的网络维护成本,无须使用VLAN的情况小型局域网,如果一个局域网简单到能够被放入一个广播域的情况下,则无须引入VLAN的概念.,无须使用VLAN的情况能够被路由严格区分为几个广播域的网络,如果一个局域网能够被路由分割开来,是每一部分都是一个广播域.,不同厂商VLAN的兼容性存在问题,1.VLAN的标准虽然已经制订,但其

5、功能上存在一定的限制,各厂商在自己的产品上都做了一定的增强. 2.由于VLAN在交换机上实现,要实现高速度,必须用硬件来实现,向标准完全兼容意味着厂商以前的产品全部要更换.,解决办法,1.尽可能使用相同厂家的产品. 2.在需要互连不同厂商产品的时候不要用标准不支持的技术.,不同厂商VLAN技术的共同点,跨交换机的VLAN 支持多种网络技术和协议 在一个设备上可划分多个VLAN,VLAN划分的策略,端口 MAC地址 协议类型 网络层地址 用户定义 某些最新的策略类型,VLAN划分的基础群组,一个群组是交换机物理端口的集合 一个群组构成一个广播域 群组可以跨接多台交换机 群组不能重叠，即每个端口只

6、能属于一个群组 群组间的帧可以通过路由转发 同一个群组中不同的VLAN之间的帧也能通过路由 转发,策略一：基于端口,VLAN1,VLAN2,VLAN3,群组基于端口的VLAN,面向端口的VLAN的优缺点,优点: 优秀的性能 最佳的兼容性 交换机的负担小 优秀的安全性,缺点 不够灵活 维护较烦琐 设计较烦琐,策略二：基于MAC地址,MAC A,MAC F,MAC B,MAC C,MAC E,MAC D,VLAN2,VLAN1,VLAN3,端口2/1,端口2/2,端口2/3,端口2/4,端口2/5,2/1,2/2,2/5,2/3,2/4,1号群组,MAC A MAC B,MAC F,MAC C M

7、AC D MAC E,根据MAC地址划分VLAN的优缺点,优点 高安全性 较灵活 后期的维护量较小,缺点 前期的工作量很大 任何主机的网卡更换都必须通知网络管理员 交换机负担较重,策略三：基于协议类型,IP协议 IPX协议 DECNnet协议 ApplTalk 以太类型流量 SAP报头流量 SNAP报头流量,策略三：基于协议类型,VLAN2,站点 A,B,E,F,VLAN1,2/1,2/2,3/1,2/3,VLAN3 NetBIOS,站点 C,D,交换机1,IP,VLAN2,站点 A,B,E,F,VLAN1,2/2,2/3,3/1,2/1,VLAN3 NetBIOS,站点 C,D,交换机2,I

8、P,快速以太网,优点 高灵活性 方便管理 维护量小,缺点 性能较差 交换机负担较重,根据协议类型划分VLAN的优缺点,策略四：基于网络层地址,IP网络地址及其掩码协议 IPX网络号和封装类型,策略四：基于网络层地址,站点A 202.119.16.200 255.255.255.0,站点B 202.119.16.75 255.255.255.0,端口2/1,端口2/2,站点C 202.119.18.65 255.255.255.0,端口2/3,端口3/1,VLAN2,站点 A,B,E,F,VLAN1,2/1,2/2,3/1,2/3,VLAN3 202.119.18.0,站点 C,D,交换机1,2

9、02.119.16.0,站点D 202.119.18.10 255.255.255.0,端口2/1,端口3/1,站点E 202.119.16.8 255.255.255.0,站点F 202.119.16.6 255.255.255.0,端口2/2,端口2/3,快速以太网,VLAN2,站点 A,B,E,F,VLAN1,2/2,2/3,3/1,2/1,VLAN3 202.119.18.0,站点 C,D,交换机2,202.119.16.0,根据网络层地址划分VLAN,优点 直观 管理方便,缺点 支持较少 交换机负担重,策略五：基于用户定义的策略,偏移量：指定域在整个帧中的位置(nn+6) 取 值：指

10、定域的取值(110101) 掩 码：定义在这些值中应该识别的比特,1101001,n n+6,根据Multicast Group划分VLAN,用在特殊的用途,支持的厂家较少,某些最新的策略类型,PORT BIND 将IP、MAC同时绑定到一个端口 身份校验 由外部NT SERVER提供用户认证 DHCP动态主机配置协议,Vlan tagging protocols,802.10 ISL 802.1Q LANE,VLAN tag Added by Incoming Port,IEEE 802.1Q,IEEE认可的标准 VLAN Trunking Mechanism 几乎所有厂商的支持 只支持无策

11、略的VLAN,内容,VLAN Multi-switch Route Nat Proxy Frirewall,Definition,Switching: Process of transferring data from an input interface to an output interface,Data In,Input,Output,Data Out,Layer 2 Switching (MAC Layer),Input,Output,Frame,Frame,Layer 3 Switching,Process of moving a PACKET from an input inte

12、rface to an out interface,Token Ring,Token Ring,L2 Switching vs. L3 Switching,Routing Table,L2 Switch,F,Input,Output,L3 Switch,P,Input,Output,Netflow Switching Overview,Route Table,Access list,Queuing Priority,Accounting DATA,Switching Task,Security Task,Queuing Task,Accounting Task,NETFLOW Statisti

13、cs,NETFLOW DATA Export,First Packet,Subsequent Packet,Benefits of Netflow Switching,Layer 3 Switching,Multiprotocol Support Flow oriented switching Frame or cell based learn once-switch many times Network Services applied on per-flow basis,Layer 3 Switching 的本质,1.机制: LAN Switching = High speed bridg

14、ing Layer 3 Switching = High speed routing 2.协议 部分使用了原有的路由协议,部分采用了新的协议以支持更高的速度.,Layer 3 Switching所能解决的问题,吞吐量 响应时间 网络的集成 成本 网络的可靠性,吞吐量,由于现代的交换速度已经越来越快,传统的软件为基础的路由方式已经越来越跟不上交换速度的增长,成为的网络的瓶颈.因此必须采取一些硬件的措施来实现路由的功能.,响应时间,采用硬件的方法实现路由的部分功能将会大大降低响应时间.,网络的集成,由于Layer 3 Switching的模块可能只有少数几个芯片组成,因此可以更加容易的集成到各种网

15、络底层技术中(如FastEthernet ,GigabitEthernet,ATM etc.),成本,Layer 3 Switching 将比软件实现路由更加便宜.,网络的可靠性,传统的交换方式需要采用大量的Spanning Tree技术来进行网络结构的重构,速度较慢;而Layer 3 Switching则可采用一些新的方法来提高网络重构的速度.,Layer 3 Switching 所存在的问题,网络协议的支持 许多三层交换机支持IP,有些可以支持IPX 路由协议的支持 大多数三层交换机只支持少数几种路由协议. 底层网络技术的支持 有很多三层交换机只支持Ethernet技术.,Cut-thro

16、ugh Switching,我们知道,ATM使用了虚电路的概念,在建立的虚电路后,传输的两端就建立了一条虚拟的连接,在虚电路中不需要任何的路由,虚电路中的各个环节只需要根据虚电路的映射机制快速的转发即可,因此可以支持很高的速度.如果需要在两端建立一条虚电路，则需要以下几个过程： 1.将LAN Address 映射到ATM地址上. 2.处理broadcast 和multicast. 3.在链路建立起前存贮报文. 4.建立连接. 5.传输完成后拆断连接.,在需要时建立虚连接,在完成后拆断虚连接,称之为Cut-throutgh Switching.它有两种实现方法:,IP Switching NHR

17、P and MPOA,IP Switching,由Ipsilon提供licensed code 平常,使用普通的路由技术. 当侦察到一个长时间传输的流时,则建立一条直接的交换链路.,NHRP and MPOA,工作方式类似于IP Switching 被IAB和ATM 论坛认可 MPOA 可支持除IP外的其它协议,Label Swapping,每个包包含一个Label. 并不需要建立虚电路，因此可以同时支持信元交换和帧交换. Label 由网络层地址确定,因此可支持多路由协议,和传输类型.,Layer 3 Switching的未来,将会被更加广泛的应用. 价格将会更加降低. Label Swap

18、ping 将会被用在Internet 上,但终端用户可能不会很快使用此项技术.,第三层（IP）交换,路由与交换相结合，在保留IP协议的稳定和可扩 充性的同时，利用具备交换功能的硬件提高IP分 组的转发速度,路由,交换,第三层（IP）交换工作模式,VLAN1,VLAN2,缺省路由通路,捷径路由通路,路 由 机 制,流（Flow）驱动的IP交换,IP流: 一串具有相同源IP地址、相同目的IP 地址和相同端口号的数据分组 流驱动的IP交换按照IP流的特性进行路由选择， 当IP流的一部分达到后，根据它所经过的路径动态的建立直通路径 典型实现：NHRP（下一跳路由协议）,NHRP（下一跳路由协议）,NH

19、RP是MPOA协议组的一部分 NHRP是一个地址解析协议，主机或路由器利用它 用一个ATM地址解析一个对应的IP地址，并在处理第一次IP流后建立从源到目的的直连ATM虚电路，以后流即通过该直连虚电路快速传输,理解IP交换的误区,虚拟网就是IP交换,交换机集成路由模块就是IP交换,VLAN是交换机通过判断帧中的协议类型划分子网 IP交换需要运行路由协议,具有路由功能,VLAN划分及站点移动方便 不同VLAN连接需要路由,内容,VLAN Multi-switch Route Nat Proxy Frirewall,建立路由表,硬件状态 静态 路由由手动定义 动态 路由从协议中得出,一个发送的路由表

20、,路由协议,路由器是根据第三层逻辑地址发送业务的分组交换 路由器相互交换路由协议得知其他逻辑网络的路径 每个路由协议都提供一定功能使该协议成为互联网设计所需的部分,I Know About Network A Network B Network C,I Know About Network X Network Y Network Z,A B C,X Y Z,Routing Update,Exchanges Network Knowledge,静态路由,手动配置路由 当路由数量较少时有用 可成为管理负担 经常用于缺省路由,RIP,应用广泛 容易实现 HOP计数 定期更新 简单、有限,缓慢汇集 路

21、由环路 无限计数 RFC 1058,RIP HOP SPECIFACATION,R1,R2,R3,1 HOP,0 HOPS,PATH B,PATH A,RIP V2,RFC 1723 Cisco IOS 11.1支持 可变长度子网屏蔽 路由概括 多点路由更新,可变长度子网连接（IP）,172.16.40.1 255.255.255.0,172.16.50.1 255.255.255.0,172.16.60.1 255.255.255.0,B,A,C,.5,.13,.14,.10,.9,.6,172.16.1.4 255.255.255.252,172.16.1.12 255.255.255.2

22、52,172.16.1.8 255.255.255.252,IGRP,内部网关路由协议 CISCO开发 距离向量 复合规格,定期更新 缺省计时器产生 缓慢汇集,EIGRP,快速汇集 VLSM支持 非连续子网 任意路由 SUMMARY 支持首标和主机路由,最好的 DV和DS 低开销 无循环 多协议： IP、IPX、AppleTalk 配置简单,OSPF,动态路由协议 链接状态或 SPF技术 由IETF的OSPF组开发 （RFC 1253） 内部独立系统（IGP） 专门为TCP/IP Internet设计,快速汇集 可变长度的子网屏蔽 非连续子网络 路由校验,OSPF AREA,Backbone

23、Area #0,Area #1,Area #2,Area #3,规则 主干网必须存在 所有其他区域必须与主干网相联接 主干网必须连续,特殊路由技术,Multicast RSVP HSRP,MulticastRoute,DVMRP MOSPF PIM-DM PIM-SM,RSVP (Resource reSerVation Protocol:资源保留协议),IETF信令协议 带宽和延迟的保留 动态端“访问目录” 制定排队策略 流量可以由终点或路由器发出信号(静态保留),HSRP-热备份路由器协议,10.1.1.10,10.1.1.2,10.1.1.3,10.1.1.1,缺省路由器透明故障克服 建

24、立虚拟路径 一个路由器有源,并对虚拟地址相应 其他进行监控并接管虚拟路由器,内容,VLAN Multi-switch Route Nat Proxy Frirewall,IP地址分类,符号形式 如Email地址： 数字形式 一个数字形式的IP地址由32 bits组成，用4 Bytes表示，每个字节用10进制表示，字节之间用“.”隔开。 IP地址,IP地址分类,IP地址共分为五类 A类地址 0 8 31 0 网络编号(7比特) 主机编号(24比特) 第一位比特为“0”的IP地址 网络数量2 7 128个 主机数量2 24 16M个 地址范围：0127.XXX.XXX.XXX,IP地址分类,B类地

25、址 0 16 31 10 网络编号(14比特) 主机编号(16比特) 第一位比特为“10”的IP地址 网络数量214 16K个 主机数量216 64K个 地址范围：128191.XXX.XXX.XXX,IP地址分类,C类地址 0 24 31 110 网络编号(21比特) 主机编号(8比特) 第一位比特为“110”的IP地址 网络数量224 2M个 主机数量28 256个 地址范围：192223.XXX.XXX.XXX,IP地址分类,D类地址 0 4 31 1110 多址投送地址 前四位比特为“1110”的IP地址 地址范围：224239.XXX.XXX.XXX E类地址 0 4 31 1111

26、 预留地址 前四位比特为“1111”的IP地址 地址范围：240255.XXX.XXX.XXX,特殊IP地址,全“0”或全“1”的地址为特殊地址，全“0”表示“任意一个”，仅仅在实际值未知时，才采用全“0”比特地址 全“1”表示“所有”，为全“1”的地址用于广播；为全“1”的A类地址表示“环路地址”，主要用于测试。,子网划分和子网掩码,划分IP子网的目的 节约IP地址空间 划分IP子网方法 将IP地址中的再划分为和 子网掩码 划分子网后，通过子网掩码告诉连接不同子网的路由器如何识别用于路由选择的网络编号及子网编号 子网掩码由连续的“1”Bit和连续“0”Bit组成中间用“. ”隔开,子网划分和

27、子网掩码,子网划分类型 静态子网划分 所有子网采用相同的子网掩码 目前所有IP主机及路由器均支持静态子网划分 变长子网划分 同一网络内不同的子网采用不同子网掩码 不是所有IP主机及路由器均支持变长子网划分,专用网络地址,用于单个机构内部构造基于IP的网络 A类地址：10.0.0.010.255.255.255，一个A类地址 B类地址：172.16.0.0172.31.255.255，16个连续的B类地址 C类地址：192.168.0.0192.168.255.255，256个连续的C类地址,内容,VLAN Multi-switch Route Nat Proxy Frirewall,代理服务器

28、,代理服务器本质上是一个应用网关，是一个不透明的设备 代理服务器首先验证网络应用使用者的身份和权限，然后，代理使用者建立并且转发与目的应用服务器的连接 它存在两个网络的中间，不允许直接数据传输，并有较大的Cache,可以做详细的日志及审计，对节省流量、计费、安全都提供了一定的功能。,实时、高效、准确 提供Internet接入，共享一个IP地址并带高速缓存，支持Http、Ftp、 Sockets5等协议 ； 支持访问控制，管理员可以禁止用户访问某些非法的站点 ； 支持Cernet的管理策略，区分国内和国外站点。将用户对国外站点的访问记录保存、统计、分析、发布以及查询，并以此作为计费的依据； 按照

29、流量计费，国内外站点的计费费率可以不同，由系统管理员设置； 管理员可以从Cernet上获得国内地址列表并对系统进行更新。,Internet接入代理服务及计费,内容,VLAN Multi-switch Route Nat Proxy Frirewall,从网络的发展看安全风险,从网络攻击的来源看安全风险,从网络自身的特点看安全风险,网络级 应用级 系统级 数据级 用户级,安全层次结构*,单机登录,用户/组 管理,身份认证,入侵检测,风险评估,反病毒,审计 分析,授权,访问控制,防火墙,通信安全,网络群体,系统群体,用户群体,应用群体,* Source: Steven Foote, Hurwitz

30、 Group, 1997.,数据保密性和完整性,从安全管理的现状看安全风险,安全风险30%在于技术，70%在于管理 普遍缺乏明确的安全政策与安全管理制度 有效的落实安全管理制度是实现安全的关键,网络安全体系的建立,最受欢迎的十种安全产品,虚拟专用网,防火墙,访问控制,防病毒,入侵检测,网络安全系统的构筑理念,我们今天所处的环境,一个网络系统中的安全最弱点往往确定了整个系统中的安全水平,我们希望达到的目标,跨 平 台 的 系 统 安 全 策 略,使用eTrust Access Control 增强系统的安全性,显著增强系统安全性的同时,eTrust Access Control 还允许跨平台实现

31、统一的安全策略,防火墙的类型,应用层代理 会话层 包过滤 状态包过滤,Application Layer,Presentation Layer,Session Layer,Transport Layer,Network Layer,Datalink Layer,Physical Layer,输出,输入,防火墙类型,网络级 根据IP数据包中的源地址和目的地址作出决定。现代的网络级防火墙也许保留有关状况的内部的信息 应用/代理级 一般指的是一些不允许网络间直接通信而运行代理服务器程序的主机。它也许会影响性能，也许令防火墙不透明，但是，现代的防火墙常常是透明的。应用级防火墙趋向于提供较为详细的审核报

32、告，并强调实施较网络级防火墙更为保守的安全模型。,方法,防火墙使用两种基本的方法审查较高层的通信: 理解各协议并解析所有命令;这种方法具有很高的安全性,但它降低了性能,增加了复杂性 了解一些绝对必要的协议;但这种方法快速,灵活和简单,但它具有允许不为防火墙所知的非法操作行为; 上述两种方法在纯粹的形式下不可为,所有防火墙代表这两种方法的结合.,内容过滤,阻止JAVA, ActiveX, JavaScript和Vbscript URL登记和拦截 SMTP命令过滤 阻止SMTP命令 阻止过剩的路由字符 病毒?,防火墙设计准则之一,你的策略针对何处? 提供公共服务/访问的主机不安全 内部网络主机不应该提供公共网络服务 专用网络和主机应该不可见,防火墙设计准则之二,了解你的网络 安全措施针对多个INTERNET访问点 便于管理和操作 网络安全性不能代替数据安全性 详细的安全性和使用记帐,防火墙设计准则之三,完善的防火墙一般不只是一台设备 分层的拓扑结构;深层的防御 冗余和故障恢复 相应计划,Internet访问防火墙的拓扑结构,Outside,低成本可取得理想的特性和性能 通常是一个带有防火墙功能的路由器,回顾,VLAN Multi-switch Route Nat Proxy Frirewall,再见！,