网络规划与设计.ppt

《网络规划与设计.ppt》由会员分享，可在线阅读，更多相关《网络规划与设计.ppt（110页珍藏版）》请在三一办公上搜索。

1、网络规划与设计,内容,VLANMulti-switchRouteNatProxyFirewall,路由和交换的工作层次,物理层,网络层,数据链路层,传输层,应用层,OSI协议分层,集线器基本工作流程,PORT1,PORT2,PORT N,A,C,B,交换基本工作流程,MAC a,PORT1,PORT2,PORT N,MAC c,A,D,C,B,网段的形成,PORT1,PORT2,PORT N,网段1,网段3,网段2,A,B,C,D,PORT1,PORT2,PORT2,MAC a,MAC b,MAC c,PORT N,MAC d,MAC TABLE,交换环境下的广播风暴,PORT1,PORT2,

2、PORT N,网段1,网段3,网段2,A,B,C,D,PORT1,PORT2,PORT2,MAC a,MAC b,MAC c,PORT N,MAC d,MAC TABLE,路由基本工作流程,PORT1,PORT2,PORT N,子网：192.0.1.XXX,A,B,C,D,子网：192.3.96.XXX,子网：192.2.16.XXX,IP:aaMAC:a,IP:ccMAC:c,广播域：路由器每个端口是一个广播域 交换机所有端口都属于同一个广播域,路由器对广播的控制,PORT1,PORT2,PORT N,子网：192.0.1.XXX,A,B,C,D,PORT 1,PORT 2,PORT N,R

3、OUTE TABLE,子网：192.3.96.XXX,子网：192.2.16.XXX,192.0.1.XXX,192.2.16.XXX,192.3.96.XXX,IP:aaMAC:a,IP:ccMAC:c,路由与交换的比较,实现层次OSI第二层OSI第三层地址6 BYTE地址4个8BIT十进制数包转发速度快慢包转发校验可省略，直接转发具有完善的校验过程广播控制广播风暴能抑制第二层广播每端口价格相对便宜较贵报文过滤简单MAC地址过滤较复杂的访问控制设备实现硬件：交换矩阵 一般为软件,指标,交换,路由,VLAN的作用（1）,隔离广播域 减少对路由器的依赖，突破了按地域划分子网 的限制保证安全性,V

4、LAN 1,VLAN 2,甲楼,乙楼,VLAN的作用（2）,VLAN 1,VLAN 2,甲楼,乙楼,优化管理：减少由于网络站点增加、移动或更改而 造成的网络维护成本,无须使用VLAN的情况小型局域网,如果一个局域网简单到能够被放入一个广播域的情况下,则无须引入VLAN的概念.,无须使用VLAN的情况能够被路由严格区分为几个广播域的网络,如果一个局域网能够被路由分割开来,是每一部分都是一个广播域.,不同厂商VLAN的兼容性存在问题,1.VLAN的标准虽然已经制订,但其功能上存在一定的限制,各厂商在自己的产品上都做了一定的增强.2.由于VLAN在交换机上实现,要实现高速度,必须用硬件来实现,向标准

5、完全兼容意味着厂商以前的产品全部要更换.,解决办法,1.尽可能使用相同厂家的产品.2.在需要互连不同厂商产品的时候不要用标准不支持的技术.,不同厂商VLAN技术的共同点,跨交换机的VLAN 支持多种网络技术和协议 在一个设备上可划分多个VLAN,VLAN划分的策略,端口 MAC地址 协议类型 网络层地址 用户定义 某些最新的策略类型,VLAN划分的基础群组,一个群组是交换机物理端口的集合 一个群组构成一个广播域 群组可以跨接多台交换机 群组不能重叠，即每个端口只能属于一个群组 群组间的帧可以通过路由转发 同一个群组中不同的VLAN之间的帧也能通过路由 转发,策略一：基于端口,VLAN1,VLA

6、N2,VLAN3,群组基于端口的VLAN,面向端口的VLAN的优缺点,优点:优秀的性能最佳的兼容性交换机的负担小优秀的安全性,缺点不够灵活维护较烦琐设计较烦琐,策略二：基于MAC地址,MAC A,MAC F,MAC B,MAC C,MAC E,MAC D,VLAN2,VLAN1,VLAN3,端口2/1,端口2/2,端口2/3,端口2/4,端口2/5,2/1,2/2,2/5,2/3,2/4,1号群组,MAC AMAC B,MAC F,MAC CMAC DMAC E,根据MAC地址划分VLAN的优缺点,优点高安全性较灵活后期的维护量较小,缺点前期的工作量很大任何主机的网卡更换都必须通知网络管理员交

7、换机负担较重,策略三：基于协议类型,IP协议 IPX协议 DECNnet协议 ApplTalk 以太类型流量 SAP报头流量 SNAP报头流量,策略三：基于协议类型,VLAN2,站点A,B,E,F,VLAN1,2/1,2/2,3/1,2/3,VLAN3NetBIOS,站点 C,D,交换机1,IP,VLAN2,站点A,B,E,F,VLAN1,2/2,2/3,3/1,2/1,VLAN3NetBIOS,站点 C,D,交换机2,IP,快速以太网,优点高灵活性方便管理维护量小,缺点性能较差交换机负担较重,根据协议类型划分VLAN的优缺点,策略四：基于网络层地址,IP网络地址及其掩码协议 IPX网络号和封

8、装类型,策略四：基于网络层地址,站点A202.119.16.200255.255.255.0,站点B202.119.16.75255.255.255.0,端口2/1,端口2/2,站点C202.119.18.65255.255.255.0,端口2/3,端口3/1,VLAN2,站点A,B,E,F,VLAN1,2/1,2/2,3/1,2/3,VLAN3202.119.18.0,站点 C,D,交换机1,202.119.16.0,站点D202.119.18.10255.255.255.0,端口2/1,端口3/1,站点E202.119.16.8255.255.255.0,站点F202.119.16.625

9、5.255.255.0,端口2/2,端口2/3,快速以太网,VLAN2,站点A,B,E,F,VLAN1,2/2,2/3,3/1,2/1,VLAN3202.119.18.0,站点 C,D,交换机2,202.119.16.0,根据网络层地址划分VLAN,优点直观管理方便,缺点支持较少交换机负担重,策略五：基于用户定义的策略,偏移量：指定域在整个帧中的位置(nn+6)取 值：指定域的取值(110101)掩 码：定义在这些值中应该识别的比特,1101001,n n+6,根据Multicast Group划分VLAN,用在特殊的用途,支持的厂家较少,某些最新的策略类型,PORT BIND 将IP、MAC

10、同时绑定到一个端口 身份校验 由外部NT SERVER提供用户认证 DHCP动态主机配置协议,Vlan tagging protocols,802.10ISL802.1QLANE,VLAN tag Added by Incoming Port,IEEE 802.1Q,IEEE认可的标准 VLAN Trunking Mechanism 几乎所有厂商的支持 只支持无策略的VLAN,内容,VLANMulti-switchRouteNatProxyFrirewall,Definition,Switching:Process of transferring data from an input inte

11、rface to an output interface,Data In,Input,Output,Data Out,Layer 2 Switching(MAC Layer),Input,Output,Frame,Frame,Layer 3 Switching,Process of moving a PACKET from an input interface to an out interface,TokenRing,TokenRing,L2 Switching vs.L3 Switching,Routing Table,L2 Switch,F,Input,Output,L3 Switch,

12、P,Input,Output,Netflow Switching Overview,RouteTable,Accesslist,QueuingPriority,AccountingDATA,SwitchingTask,SecurityTask,QueuingTask,AccountingTask,NETFLOWStatistics,NETFLOW DATAExport,FirstPacket,SubsequentPacket,Benefits of Netflow Switching,Layer 3 Switching,Multiprotocol Support Flow oriented s

13、witching Frame or cell based learn once-switch many times Network Services applied on per-flow basis,Layer 3 Switching 的本质,1.机制:LAN Switching=High speed bridgingLayer 3 Switching=High speed routing2.协议部分使用了原有的路由协议,部分采用了新的协议以支持更高的速度.,Layer 3 Switching所能解决的问题,吞吐量 响应时间 网络的集成 成本 网络的可靠性,吞吐量,由于现代的交换速度已经越来

14、越快,传统的软件为基础的路由方式已经越来越跟不上交换速度的增长,成为的网络的瓶颈.因此必须采取一些硬件的措施来实现路由的功能.,响应时间,采用硬件的方法实现路由的部分功能将会大大降低响应时间.,网络的集成,由于Layer 3 Switching的模块可能只有少数几个芯片组成,因此可以更加容易的集成到各种网络底层技术中(如FastEthernet,GigabitEthernet,ATM etc.),成本,Layer 3 Switching 将比软件实现路由更加便宜.,网络的可靠性,传统的交换方式需要采用大量的Spanning Tree技术来进行网络结构的重构,速度较慢;而Layer 3 Swit

15、ching则可采用一些新的方法来提高网络重构的速度.,Layer 3 Switching 所存在的问题,网络协议的支持许多三层交换机支持IP,有些可以支持IPX路由协议的支持大多数三层交换机只支持少数几种路由协议.底层网络技术的支持有很多三层交换机只支持Ethernet技术.,Cut-through Switching,我们知道,ATM使用了虚电路的概念,在建立的虚电路后,传输的两端就建立了一条虚拟的连接,在虚电路中不需要任何的路由,虚电路中的各个环节只需要根据虚电路的映射机制快速的转发即可,因此可以支持很高的速度.如果需要在两端建立一条虚电路，则需要以下几个过程：1.将LAN Address

16、 映射到ATM地址上.2.处理broadcast 和multicast.3.在链路建立起前存贮报文.4.建立连接.5.传输完成后拆断连接.,在需要时建立虚连接,在完成后拆断虚连接,称之为Cut-throutgh Switching.它有两种实现方法:,IP Switching NHRP and MPOA,IP Switching,由Ipsilon提供licensed code 平常,使用普通的路由技术.当侦察到一个长时间传输的流时,则建立一条直接的交换链路.,NHRP and MPOA,工作方式类似于IP Switching 被IAB和ATM 论坛认可 MPOA 可支持除IP外的其它协议,La

17、bel Swapping,每个包包含一个Label.并不需要建立虚电路，因此可以同时支持信元交换和帧交换.Label 由网络层地址确定,因此可支持多路由协议,和传输类型.,Layer 3 Switching的未来,将会被更加广泛的应用.价格将会更加降低.Label Swapping 将会被用在Internet 上,但终端用户可能不会很快使用此项技术.,第三层（IP）交换,路由与交换相结合，在保留IP协议的稳定和可扩 充性的同时，利用具备交换功能的硬件提高IP分 组的转发速度,路由,交换,第三层（IP）交换工作模式,VLAN1,VLAN2,缺省路由通路,捷径路由通路,路 由机 制,流（Flow）

18、驱动的IP交换,IP流:一串具有相同源IP地址、相同目的IP 地址和相同端口号的数据分组流驱动的IP交换按照IP流的特性进行路由选择，当IP流的一部分达到后，根据它所经过的路径动态的建立直通路径典型实现：NHRP（下一跳路由协议）,NHRP（下一跳路由协议）,NHRP是MPOA协议组的一部分NHRP是一个地址解析协议，主机或路由器利用它 用一个ATM地址解析一个对应的IP地址，并在处理第一次IP流后建立从源到目的的直连ATM虚电路，以后流即通过该直连虚电路快速传输,理解IP交换的误区,虚拟网就是IP交换,交换机集成路由模块就是IP交换,VLAN是交换机通过判断帧中的协议类型划分子网IP交换需要

19、运行路由协议,具有路由功能,VLAN划分及站点移动方便不同VLAN连接需要路由,内容,VLANMulti-switchRouteNatProxyFrirewall,建立路由表,硬件状态静态 路由由手动定义动态 路由从协议中得出,一个发送的路由表,路由协议,路由器是根据第三层逻辑地址发送业务的分组交换路由器相互交换路由协议得知其他逻辑网络的路径每个路由协议都提供一定功能使该协议成为互联网设计所需的部分,I Know AboutNetwork ANetwork BNetwork C,I Know AboutNetwork XNetwork YNetwork Z,ABC,XYZ,Routing Up

20、date,Exchanges Network Knowledge,静态路由,手动配置路由当路由数量较少时有用可成为管理负担经常用于缺省路由,RIP,应用广泛容易实现HOP计数定期更新简单、有限,缓慢汇集路由环路无限计数RFC 1058,RIP HOP SPECIFACATION,R1,R2,R3,1 HOP,0 HOPS,PATH B,PATH A,RIP V2,RFC 1723Cisco IOS 11.1支持可变长度子网屏蔽路由概括多点路由更新,可变长度子网连接（IP）,172.16.40.1255.255.255.0,172.16.50.1255.255.255.0,172.16.60.1

21、255.255.255.0,B,A,C,.5,.13,.14,.10,.9,.6,172.16.1.4255.255.255.252,172.16.1.12255.255.255.252,172.16.1.8255.255.255.252,IGRP,内部网关路由协议CISCO开发距离向量复合规格,定期更新缺省计时器产生 缓慢汇集,EIGRP,快速汇集VLSM支持非连续子网任意路由 SUMMARY支持首标和主机路由,最好的 DV和DS低开销无循环多协议：IP、IPX、AppleTalk配置简单,OSPF,动态路由协议链接状态或 SPF技术由IETF的OSPF组开发（RFC 1253）内部独立系统

22、（IGP）专门为TCP/IP Internet设计,快速汇集可变长度的子网屏蔽非连续子网络路由校验,OSPF AREA,Backbone Area#0,Area#1,Area#2,Area#3,规则 主干网必须存在 所有其他区域必须与主干网相联接 主干网必须连续,特殊路由技术,MulticastRSVPHSRP,MulticastRoute,DVMRPMOSPFPIM-DMPIM-SM,RSVP(Resource reSerVation Protocol:资源保留协议),IETF信令协议带宽和延迟的保留动态端“访问目录”制定排队策略流量可以由终点或路由器发出信号(静态保留),HSRP-热备份路

23、由器协议,10.1.1.10,10.1.1.2,10.1.1.3,10.1.1.1,缺省路由器透明故障克服建立虚拟路径一个路由器有源,并对虚拟地址相应其他进行监控并接管虚拟路由器,内容,VLANMulti-switchRouteNatProxyFrirewall,IP地址分类,符号形式 如Email地址：数字形式 一个数字形式的IP地址由32 bits组成，用4 Bytes表示，每个字节用10进制表示，字节之间用“.”隔开。IP地址,IP地址分类,IP地址共分为五类A类地址 0 8 31 0 网络编号(7比特)主机编号(24比特)第一位比特为“0”的IP地址网络数量2 7 128个主机数量2

24、24 16M个地址范围：0127.XXX.XXX.XXX,IP地址分类,B类地址 0 16 31 10 网络编号(14比特)主机编号(16比特)第一位比特为“10”的IP地址网络数量214 16K个主机数量216 64K个地址范围：128191.XXX.XXX.XXX,IP地址分类,C类地址 0 24 31 110 网络编号(21比特)主机编号(8比特)第一位比特为“110”的IP地址网络数量224 2M个主机数量28 256个地址范围：192223.XXX.XXX.XXX,IP地址分类,D类地址0 4 311110 多址投送地址前四位比特为“1110”的IP地址地址范围：224239.XXX

25、.XXX.XXXE类地址0 4 311111 预留地址前四位比特为“1111”的IP地址地址范围：240255.XXX.XXX.XXX,特殊IP地址,全“0”或全“1”的地址为特殊地址，全“0”表示“任意一个”，仅仅在实际值未知时，才采用全“0”比特地址全“1”表示“所有”，为全“1”的地址用于广播；为全“1”的A类地址表示“环路地址”，主要用于测试。,子网划分和子网掩码,划分IP子网的目的 节约IP地址空间划分IP子网方法 将IP地址中的再划分为和子网掩码 划分子网后，通过子网掩码告诉连接不同子网的路由器如何识别用于路由选择的网络编号及子网编号 子网掩码由连续的“1”Bit和连续“0”Bit

26、组成中间用“.”隔开,子网划分和子网掩码,子网划分类型静态子网划分 所有子网采用相同的子网掩码 目前所有IP主机及路由器均支持静态子网划分变长子网划分 同一网络内不同的子网采用不同子网掩码 不是所有IP主机及路由器均支持变长子网划分,专用网络地址,用于单个机构内部构造基于IP的网络A类地址：10.0.0.010.255.255.255，一个A类地址B类地址：172.16.0.0172.31.255.255，16个连续的B类地址C类地址：192.168.0.0192.168.255.255，256个连续的C类地址,内容,VLANMulti-switchRouteNatProxyFrirewall

27、,代理服务器,代理服务器本质上是一个应用网关，是一个不透明的设备代理服务器首先验证网络应用使用者的身份和权限，然后，代理使用者建立并且转发与目的应用服务器的连接它存在两个网络的中间，不允许直接数据传输，并有较大的Cache,可以做详细的日志及审计，对节省流量、计费、安全都提供了一定的功能。,实时、高效、准确提供Internet接入，共享一个IP地址并带高速缓存，支持Http、Ftp、Sockets5等协议；支持访问控制，管理员可以禁止用户访问某些非法的站点；支持Cernet的管理策略，区分国内和国外站点。将用户对国外站点的访问记录保存、统计、分析、发布以及查询，并以此作为计费的依据；按照流量计

28、费，国内外站点的计费费率可以不同，由系统管理员设置；管理员可以从Cernet上获得国内地址列表并对系统进行更新。,Internet接入代理服务及计费,内容,VLANMulti-switchRouteNatProxyFrirewall,从网络的发展看安全风险,从网络攻击的来源看安全风险,从网络自身的特点看安全风险,网络级应用级系统级数据级用户级,安全层次结构*,单机登录,用户/组管理,身份认证,入侵检测,风险评估,反病毒,审计分析,授权,访问控制,防火墙,通信安全,网络群体,系统群体,用户群体,应用群体,*Source:Steven Foote,Hurwitz Group,1997.,数据保密性

29、和完整性,从安全管理的现状看安全风险,安全风险30%在于技术，70%在于管理 普遍缺乏明确的安全政策与安全管理制度 有效的落实安全管理制度是实现安全的关键,网络安全体系的建立,最受欢迎的十种安全产品,虚拟专用网,防火墙,访问控制,防病毒,入侵检测,网络安全系统的构筑理念,我们今天所处的环境,一个网络系统中的安全最弱点往往确定了整个系统中的安全水平,我们希望达到的目标,跨 平 台 的 系 统 安 全 策 略,使用eTrust Access Control 增强系统的安全性,显著增强系统安全性的同时,eTrust Access Control还允许跨平台实现统一的安全策略,防火墙的类型,应用层代理

30、会话层包过滤 状态包过滤,Application Layer,Presentation Layer,Session Layer,Transport Layer,Network Layer,Datalink Layer,Physical Layer,输出,输入,防火墙类型,网络级根据IP数据包中的源地址和目的地址作出决定。现代的网络级防火墙也许保留有关状况的内部的信息应用/代理级一般指的是一些不允许网络间直接通信而运行代理服务器程序的主机。它也许会影响性能，也许令防火墙不透明，但是，现代的防火墙常常是透明的。应用级防火墙趋向于提供较为详细的审核报告，并强调实施较网络级防火墙更为保守的安全模型。,

31、方法,防火墙使用两种基本的方法审查较高层的通信:理解各协议并解析所有命令;这种方法具有很高的安全性,但它降低了性能,增加了复杂性 了解一些绝对必要的协议;但这种方法快速,灵活和简单,但它具有允许不为防火墙所知的非法操作行为;上述两种方法在纯粹的形式下不可为,所有防火墙代表这两种方法的结合.,内容过滤,阻止JAVA,ActiveX,JavaScript和VbscriptURL登记和拦截SMTP命令过滤阻止SMTP命令阻止过剩的路由字符病毒?,防火墙设计准则之一,你的策略针对何处?提供公共服务/访问的主机不安全内部网络主机不应该提供公共网络服务专用网络和主机应该不可见,防火墙设计准则之二,了解你的网络安全措施针对多个INTERNET访问点便于管理和操作网络安全性不能代替数据安全性详细的安全性和使用记帐,防火墙设计准则之三,完善的防火墙一般不只是一台设备分层的拓扑结构;深层的防御冗余和故障恢复相应计划,Internet访问防火墙的拓扑结构,Outside,低成本可取得理想的特性和性能通常是一个带有防火墙功能的路由器,回顾,VLANMulti-switchRouteNatProxyFrirewall,再见！,