数据网工程应用实践——校园网企业网规划与组建.pptx

数据网工程实践 校园网、企业网规划(guhu)与组建第一页，共55页。校园网概述(i sh)校园网是指利用网络设备、通信介质 和组网技术与协议以及各种系统管理(gunl)软件和应用软件，将校园内的计算机和各种终端设备有机地集成在一起，并应用于教学、科研、学校管理(gunl)、信息资源共享和远程教学等方面的计算机局域网系统。第二页，共55页。第三页，共55页。校园网的功能(gngnng)一、信息交流功能 1、Internet（英特网）信息服务 2、校内信息服务二、教学服务功能 校园网可以(ky)在几个方面为教学服务 1、科学园地 2、多媒体教学资源库 3、电子备课室 4、电子阅览室 5、远程教学三、学生学习功能 学生利用网络自主学习，可以(ky)提高学生的学习能力。学生可以(ky)上网查阅资料，将完成的作业利用电子邮件或FTP传送给老师；学生可以(ky)在校园网上建立学习论坛，利用网页交流学习心得、讨论问题等。第四页，共55页。校园网的功能(gngnng)四、学校管理功能 校园网可以促使学校建立和完善及时的信息发布和管理体系，推动全校管理信息系统的现代化，主要包括以下几个方面：网上办公系统、图书馆管理系统、教学和科研管理系统、学生管理系统、财务管理系统、食堂管理系统以及后勤管理系统等。五、拓展图书馆功能 利用校园网可以开设面向开放的电子备课室，开设面向学生开放的电子阅览室；利用计算机实现采购、分类编目、流通、期刊、等环节的自动化管理；在校园网上提供(tgng)书目检索服务，进而实现图书馆的现代化管理。第五页，共55页。华中科技大学校园(xioyun)网站第六页，共55页。校园网硬件(yn jin)系统平台第七页，共55页。二层（网管型）交换机 交换机是OSI中的第二层设备，可以隔离冲突域，但不能隔离广播域。交换机能识别帧的内容，它是基于收到的数据帧中的源MAC 地址和目的MAC 地址来进行工作的。交换机的作用主要有两个：一个是维护CAM（Conetxt Address Memory）表，该表是计算机的MAC 地址和交换端口的映射表；另一个是根据CAM 来进行数据帧的转发。以太网交换机转发数据帧有3 种交换方式：1）存储转发（Store-and-Forward）存储转发方式是先存储后转发的方式，它把从端口输入的数据帧先全部接收并存储起来，然后进行CRC（循环冗余码校验）检查，把错误帧丢弃，最后才取出数据帧目的地址，查找CAM 后进行过滤(gul)和转发。（2）直接转发（Cut-Through）当交换机在输入端口检测到一个数据帧时，检查该帧的帧头，只要获取了帧的目的地址，就开始转发帧。（3）无碎片（Fragment-Free）这是改进后的直接转发，是一种介于前两者之间的解决方法。第八页，共55页。烽火(fnghu)S2000系列交换机第九页，共55页。三层（核心(hxn)）交换机把路由技术(jsh)引入交换机即可完成网络路由选择，称为路由交换机，也称为第三层交换机。第三层交换机的功能是减少路由次数，消除路由瓶颈。第十页，共55页。烽火(fnghu)S3500系列三层交换机第十一页，共55页。路由器 路由器能起到除了隔离冲突域还可具有隔离广播域的作用(zuyng)，还能在不同网络间转发数据包。路由器实际上是一台特殊用途的计算机，和常见的PC 一样，路由器有CPU、内存和BOOT ROM。路由器没有键盘、硬盘和显示器；然而比起计算机，路由器多了NVRAM、FLASH 及各种各样的接口。路由器是网络互连的关键设备，路由器的作用(zuyng)是把数据包从一个网络经过合理的路径选择转发到另一个网络上。路由器依靠路由表来进行工作，路由表类似我们熟悉的地图。由于路由器根据网络地址来工作，所以路由器是OSI中的第三层设备，即网络层设备第十二页，共55页。路由器路由器的分类：按功能档次：接入级路由器、企业级路由器、骨干级路由器。接入级路由器主要用于连接家庭或小型企业网络，企业级路由器具有支持多终端互连和不同的服务质量，一般用于校园网、网吧、中型企业网络，骨干路由器具有高速度和高可靠性，一般用于企业级网络之间的互连。按结构：路由器可分为非模块化路由器和模块化路由器。非模块化路由器只能提供固定的端口，一般接入级的路由器为非模块化路由器。模块化路由器可以灵活配置路由器，以适应网络业务的需要。一般企业级、骨干路由器为模块化路由器。按传输介质(jizh)：有线路由和无线路由。第十三页，共55页。烽火(fnghu)R2640系列路由器第十四页，共55页。烽火(fnghu)R2640系列路由器 端口说明：端口说明：CONSOLECONSOLE：该端口为监控端口，通过该端口与监控终端（：该端口为监控端口，通过该端口与监控终端（PCPC）连接，用于监控、配置）连接，用于监控、配置路由器；该端口上使用的为专用监控电缆。路由器；该端口上使用的为专用监控电缆。AUXAUX：远程控制口通过该端口与异步：远程控制口通过该端口与异步ModenModen连接，使用的电缆为专用通信连接，使用的电缆为专用通信(tng xn)(tng xn)电缆。电缆。FastEthernetFastEthernet：标配：标配10100M10100M以太网口。以太网口。指示灯说明：指示灯说明：Active 1Active 1：插槽工作状态指示灯，插槽有标配插槽工作状态指示灯，插槽有标配2 2路路10100M10100M以太网口，该灯亮。以太网口，该灯亮。Active24Active24：插槽工作状态指示灯，插槽有接口卡或模块插入，该灯亮。：插槽工作状态指示灯，插槽有接口卡或模块插入，该灯亮。TXTX：数据发送指示灯，闪烁表示正在发送数据。：数据发送指示灯，闪烁表示正在发送数据。RXRX：数据接收指示灯，闪烁表示正在接收数据。：数据接收指示灯，闪烁表示正在接收数据。LINKLINK：线缆连接指示灯，亮表示该灯对应端口与线缆另一端的站点建立了连接。：线缆连接指示灯，亮表示该灯对应端口与线缆另一端的站点建立了连接。100M100M：100Mbps100Mbps指示灯，亮表示该灯对应端口速率为指示灯，亮表示该灯对应端口速率为100Mbps100Mbps。ACTACT：数据发送、接收指示灯，亮或闪烁表示对应端口有数据正在发送或接收。：数据发送、接收指示灯，亮或闪烁表示对应端口有数据正在发送或接收。第十五页，共55页。服务器服务器是网络应用的基础设备，也是网络中的关键设备之一。它具有高可靠性、高性能、高吞吐能力和大容量内存等特点。通常，服务器向工作站提供处理器、内存、磁盘(c pn)、打印机、软件、数据库等资源和服务，并负责管理这些资源。校园网所提供的各种服务都是由服务器来完成的。服务器可以分为两类：IA（因特尔构架）服务器，即通常所说的PC服务器或NT服务器。高端服务器，比IA服务器性能更高，如：RISC/UNIX 服务器等。高端服务器的种类很多，从小型机、大型机到巨型机都有。第十六页，共55页。防火墙 所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法，它是一种计算机硬件和软件的结合，使Internet与Intranet之间建立起一个安全网关（Security Gateway），从而保护内部网免受非法用户的侵入，防火墙主要(zhyo)由服务访问规则、验证工具、包过滤和应用网关4个部分组成。防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件（其中硬件防火墙用的较少，例如国防部以及大型机房等地才用，因为它价格昂贵）。该计算机流入流出的所有网络通信均要经过此防火墙。第十七页，共55页。校园网软件系统平台(pngti)校园网软件系统平台由网络操作系统(co zu x tn)、工作站操作系统(co zu x tn)、网络管理系统、协议软件以及应用软件组成，是提供校园网应用服务的基础平台。第十八页，共55页。网络操作系统1、Windows操作系统 Windows Server 2003 是采用Windows NT 的内核技术发展而来的，其功能(gngnng)更强、系统更加稳定，继承了Windows NT 4.0 和 Windows 2000的优点，集成了Windows 系统的所有功能(gngnng)，支持客户/服务器模式与对等模式，适合各种规模的网络，能够提供高性能、高效率、高安全性、低成本和易于管理的网络环境，是目前应用最为广泛的局域网操作系统。第十九页，共55页。网络操作系统2、Linux操作系统 Linux 操作系统是由芬兰的大学生 Linux 发明的，它是一种类似 UNIX 操作系统的自由软件，支持很多应用软件，其中包括大量免费软件。3、Unix 操作系统 UNIX最早是由美国贝尔实验室发明的一种多用户、多任务的通用操作系统。由于UNIX具有技术成熟、可靠性高、网络和数据库功能强、伸缩性突出和开放性好等特点，可满足各行各业的实际需要，特别能满足企业重要业务的需要，因而已经成为主要(zhyo)的工作站平台和重要的企业操作平台4、NetWare操作系统 Novell 网是Novell 公司推出的一种多任务、高性能的局域网，其操作系统是NetWare。它可以管理和控制整个局域网，也可以管理由不同操作系统构成的异构网络。第二十页，共55页。工作站操作系统(co zu x tn)工作站操作系统是指普通PC机操作系统，因为网络(wnglu)中工作站主要由PC机来担任而得名。网络(wnglu)工作站操作系统应具有网络(wnglu)功能，如支持协议、命令重定向功能等。国内用户常用的工作站操作系统以微软公司的产品为主，主要有 Windows 9x、Windows NT Workstation、Windows 2000 Professional、Windows XP 系统。第二十一页，共55页。协议(xiy)软件 协议软件是指运行在网络计算机和网络设备中实现协议规则和功能的软件。一般主流的协议软件都已集成在操作系统中，用户安装操作系统的同时，就是把协议软件安装在计算机中了。如 Windows 操作系统中的 TCP/IP 协议。当用户设置(shzh)网络协议时，只需在操作系统中使用特殊的工具，进行简单的操作就可以完成。第二十二页，共55页。网管软件 网络管理系统软件（NMS）简称(jinchng)网管软件。网管软件运行在网络中某工作站上，可以对网络运行状况进行信息统计、报告、警告和监控，管理人员可以通过软件提供的界面全面监控网络设备的运行状态，了解网络中相关的数据状态。第二十三页，共55页。应用软件第二十四页，共55页。校园网规划(guhu)校园网的规划设计包括网络技术的选择、网络拓扑规划、网络设备选择以及子网划分。网络技术的选择主干网连接技术主干网采用交换式1000M以太网连接技术。100Mb/s的网卡能够自动检测所连接的端口是10Mb/s还是100Mb/s，并执行相应的操作。100Mb/s 的交换式集线器，它可以提供更高的性能。在该方案中各节点之间采用多模光纤以全连接拓扑结构通过1000M交换技术进行连接。即保证了主干线的1000M带宽，又保证了主干线路冗余。楼内局域网连接技术校园网为园区网，楼群间子系统采用光缆连接，可提供千兆位的带宽，有充分的扩展余地。垂直(chuzh)子系统则位于高层建筑物的竖井内，可采用大对数双绞线。把管理区子系统并入设备间子系统，集中管理。对于多幢楼宇，可采用多设备间的方法。分为中心设备间和楼栋设备间部分，中心设备间是整个局域网的控制中心，内设有对外（Internet）对内通信的各种网络设备（交换机、路由器、视频服务器等），中心交换机通过光缆与楼栋设备间的交换设备相连，以保证数据的高速传输。在此设备间放置布线的线架和网络设备，端接楼内来自在各层的主干线缆，并端接连接网络中心的光纤。楼内布线包括水平布线和主干布线。水平系统采用超五类双绞线。广域网技术广域网是通过较长的距离传输主机所发送数据的网络。连接广域网各结点各交换机的链路都是高速链路，其距离可以是几千千米的光缆线路，也可以是几万千米的点对点卫星链路。广域网协议定义了数据在广域网的传输过程是如何进行封装的，常见的广域网协议包括HDLC协议、PPP协议和帧中继协议。要将本地网接入到广域网中，有如下9种接入方式：PSTN、ISDN、DDN、LAN、ADSL、VDSL、Cable-Modem、PON和LMDS。第二十五页，共55页。校园网规划(guhu)第二十六页，共55页。校园网规划(guhu)VLAN 号号VLAN 名称名称IP 网段网段默默认网关网关说明明VLAN 1XSSS192.168.0.0/24192.168.0.254学生宿舍VLAN 2JXL192.168.1.0/24192.168.1.254教学楼VLAN 3BGL192.168.2.0/24192.168.2.254办公楼VLAN 4JSJXY192.168.3.0/24192.168.3.254计算机学院VLAN 5FWQQ192.168.4.0/24192.168.4.254服务器群为了便于网络管理，抑制(yzh)网络风暴，提高网络安全性能。采用虚拟子网（VLAN），不跨部门也不跨楼宇的策略，将校园网划分为多个VLAN。校内的网段及子网的划分如下表所示：子网划分第二十七页，共55页。VLAN定义：一个VLAN组成一个逻辑子网，它可以覆盖多个网络(wnglu)设备，允许处于不同地理位置的网络(wnglu)用户加入到一个逻辑子网中 VLAN的标准：，Cisco在1995年提出 ，IEEE于1996 制定 802.1Q Tag字段的含义：TPID：2字节，协议标志，通常为0 x8100。Priority：3bit，优先级 CFI：规范指示位，总是置0 VLANID：12 bit,VLAN号DASATypeDataCRCStandard Ethernet FrameDASATypeDataCRCtagTPIDPriorityCFIVLAN IDTCIEthernet Frame with IEEE802.Iq FlagVLAN标准(biozhn)第二十八页，共55页。VLAN的基本作用相同VLAN内主机可以任意通信二层交换不同VLAN内主机二层流量完全隔离阻断广播包，减小广播域提供了网络安全性相同VLAN跨设备通信实现(shxin)虚拟工作组减少用户移动带来的管理工作量VLAN的划分方式 基于端口划分基于MAC地址划分基于网络层(协议、IP地址、IP子网)划分基于策略划分VLAN基本功能（Virtual Local Area Network）第二十九页，共55页。QinQ能够解决哪些问题？可以解决日益紧缺的公网VLAN ID资源问题用户(yngh)可以规划自己的私网VLAN ID，不会与公网VLAN ID冲突提供一种较为简单的二层VPN解决方案使用户(yngh)网络具有较高的独立性，在服务提供商升级网络时，用户(yngh)网络不必更改原有的配置。可以按不同层次的VLAN ID来区分不同的业务基本(jbn)QinQtag101002010030100VLAN20VLAN20VLAN100VLAN100PVID=100PVID=100VLAN10VLAN30VLAN10VLAN30nVLAN的局限性？n不同的用户(yngh)需要的VLAN ID范围可能重叠n所支持的4096个VLAN已不能满足实际需求第三十页，共55页。灵活QinQ的分类(fn li)规则？Vlan tagMAC地址IP地址源地址目的地址优先级业务类型。灵活(ln hu)QinQtag101002020030300n基本QinQ的局限性？n当多个用户从同一QinQ端口接入网络时无法区分(qfn)用户和业务类型VLAN20VLAN20VLAN10VLAN30VLAN10VLAN30VID=200VID=300VID=100VID=200VID=300VID=100第三十一页，共55页。10G汇聚(hu j)环VLAN1002VLAN1001VLAN1702VLAN1701VLAN2002VLAN2001BRASSRS3200S3600普通(ptng)上网NGNIPTV大客户(k h)灵活灵活QinQ实现业务安全隔离、绑定和分流实现业务安全隔离、绑定和分流S2200MEVLAN1002VLAN1702VLAN2002楼道交换机园区交换机汇聚交换机VLAN1002VLAN1702VLAN2002S4600业务类型内层标签外层标签分流原则普通上网1000-16991001-1699内层标签NGN1700-19991701-1999内层标签IPTV2000-29992001-2999内层标签大客户500-999500-999内层标签家庭网关采用PVID的方式为用户分配VLAN透传VLAN根据内层VLAN区间打外层标签VLAN1002VLAN1702VLAN2002S4600S4600S4600根据内层VLAN区间分流VLAN1002VLAN1001VLAN1702VLAN1701VLAN2002VLAN2001 园区交换机作为汇聚交换机的延伸交换机，也支持灵活QinQ功能，只是将外层标签从汇聚交换机转移到园区交换机来部署，但是外层标签步长稍微要小一些。灵活QinQ-PUPSPV城域网第三十二页，共55页。1:1 VLAN 映射：将报文携带VLAN Tag 中的VLAN ID 修改为另一个VLAN ID。N:1 VLAN 映射：将报文携带VLAN Tag 中的某个范围(fnwi)内的VLAN ID 修改为另外的一个VLAN ID。DHCP ServerVLAN 1 VLAN 2 VLAN 3VLAN 1 VLAN 2 VLAN 3VLAN 1 VLAN 2 VLAN 3VLAN 1 VLAN 2 VLAN 3家庭(jitng)网关楼道(lu do)交换机园区交换机VLAN 1-VLAN101VLAN 2-VLAN201VLAN 3-VLAN301VLAN 1-VLAN102VLAN 2-VLAN202VLAN 3-VLAN302VLAN 1-VLAN103VLAN 2-VLAN203VLAN 3-VLAN303VLAN 1-VLAN104VLAN 2-VLAN204VLAN 3-VLAN304VLAN 101 VLAN 104 VLAN501VLAN 201 VLAN 204 VLAN502VLAN 301 VLAN 304 VLAN503IP城域网1:1 VLAN 映射N:1 VLAN 映射1:1 VLAN 映射internetIPTVPhoneVLAN映射internetIPTVPhoneinternetIPTVPhoneinternetIPTVPhone第三十三页，共55页。STP（Spanning Tree Protocol，生成树协议）是用于在局域网中消除数据(shj)链路层物理环路的协议。通过阻断冗余链路来消除桥接网络中可能存在的路径回环当前路径发生故障时，激活冗余备份链路，恢复网络连通性通过在桥之间交换BPDU（Bridge Protocol Data Unit，桥协议数据(shj)单元），来保证设备完成生成树的计算过程。BPDU包含以下重要信息，完成生成树计算根桥ID（RootID）根路径开销（RootPathCost）指定桥ID（DesignatedBridgeID）指定端口ID（DesignatedPortID）各台设备的各个端口在初始时生成以自己为根桥（Root Bridge）的配置消息，向外发送自己的配置消息 网络收敛后，根桥向外发送配置BPDU，其他的设备对该配置BPDU进行转发生成(shn chn)树协议-STP第三十四页，共55页。生成(shn chn)树协议-RSTP/MSTPnSTP的不足(bz)n端口从阻塞状态进入转发状态必须经历长时间的Forwarding Delay时间n如果网络中的拓扑结构变化频繁，网络会频繁地失去连通性nRSTPnRSTP（Rapid Spanning Tree Protocol，快速生成树协议）是STP协议的优化版nRSTP具备STP的所有功能nRSTP可以实现快速收敛n端口进入转发状态的延时大大缩短，从而缩短了网络最终达到拓扑稳定所需要的时间。nMSTPnMSTP（Multiple Spanning Tree Protocol，多生成树协议）n避免报文在环路网络中的增生和无限循环n在多条冗余路径上实现VLAN数据的负载分担特性列表特性列表STPRSTPMSTP解决环路故障并实现冗余备份解决环路故障并实现冗余备份YYY快速收敛快速收敛NYY形成多棵生成树实现负载分担形成多棵生成树实现负载分担NNY三种生成树协议(xiy)特性的比较第三十五页，共55页。Master以太网环PSp:primary portS:secondary port技术背景：以太网环是一种二层冗余协议。在以太网的环型拓扑中需要解决的重要问题就是环网广播风暴抑制和链路或设备故障快速倒换，以太网环技术可以很好的解决这两个问题。实现方式：环网中有LINK_DOWN告警机制与Polling轮询机制。在正常的工作时，主节点（Master）的第二端口设置为阻塞状态，以避免不受控制的以太网帧在环中不断环回，形成广播风暴。如果主节点通过以上两种机制检测到环的某一部位出了毛病，便将其第二端口解阻塞，允许(ynx)以太网帧从第二端口通过，以保证环的连通性。Block point环网保护(boh)第三十六页，共55页。城域骨干网DSLAMBRASBRASOLTDSLAMLANR-LinkR-LinkR-Link适合于树型双链路，可实现二层以太网链路之间的快速保护。主、备链路可实现50ms快速切换 链路的检测和切换由交换机自发完成，不依赖其它设备。R-Link提供端口联动功能配置上行(shngxng)端口和下行端口联动，当上行(shngxng)端口或上行(shngxng)链路出现故障，交换机立即通过联动功能，将下行端口down掉，这样下面所接和设备 就知道链路出问题了，主动切换到备用链路。MasterMasterS4600S4600S3600/S3500S3600/S3500R-LINK技术(jsh)第三十七页，共55页。什么(shn me)是端口镜像？PC-APC-B被镜像端口监控端口第三十八页，共55页。端口镜像定义(dngy)端口镜像将交换机或路由器上一个或多个端口(被镜像端口)的数据复制到一个指定的目的(md)端口(监控端口)上，通过镜像可以在监控端口上获取这些被镜像端口的数据，以便进行网络流量分析、错误诊断等。镜像分类(fn li)基于端口的镜像将数据流量从被镜像端口复制到镜像端口基于业务的镜像通过ACL来控制某些数据流量的复制至镜像端口第三十九页，共55页。什么(shn me)是链路聚合?链路聚合，也被称为端口绑定，端口汇聚，或者链路汇聚，是将多个端口聚合成一个各个成员的输出/输入恭喜负载(fzi)的聚合组。从外部看，一个聚合组就像一个端口。使用链路汇聚服务的上层实体把同一聚合组内多条物理链路视为一条逻辑链路链路聚合在数据链路层上实现第四十页，共55页。链路聚合(jh)的优点提高(t go)链路带宽流量负荷分担提高(t go)可靠性：同组成员彼此动态备份限制(xinzh)聚合链路两端的物理参数必须保持一致进行聚合的链路的数目 进行聚合的链路的速率 进行聚合的链路的双工方式 聚合链路两端的逻辑参数必须保持一致同一个汇聚组中端口的基本配置必须保持一致，基本配置主要包括STP、QoS、VLAN、端口等相关配置 第四十一页，共55页。链路聚合(jh)端口原则A given link is allocated to,at most,one Link Aggregation Group at a time.It means that a given port will only bind to a single Aggregator at any time一个给定的链路分配，至多，一个链路聚合组中一次。这意味着一个特定(tdng)的港口将只绑定在任何时间一个单一的聚合第四十二页，共55页。路由基础知识n什么是路由n路由信息是指导报文发送(f sn)的路径信息n路由表：路标牌n路由协议负责收集信息，构建“地图”n路由的过程是报文中继转发的过程nHop by Hop：路由器不知道完整转发路径，只知道到达目的地的最近的下一跳如何走n路由开销n路由的开销n标识出了到达路由所指的目的地的代价，以选择最佳路径nIP包的“旅途”费用n影响因素n线路延迟、线路带宽、线路占有率、线路可信度、跳数、最大传输单元n与协议相关，不同的动态路由协议会选择以上的一种或几种因素来计算花费值n可比性n该花费值只在同一种路由协议对同一目的地有比较意义n不同的路由协议之间的路由花费值没有可比性n不存在换算关系n路由器与二层交换机的区别n工作层次不同n数据转发所依据的对象不同n二层交换机只能分割冲突域，不能分割广播域；而路由器可以分割广播域n路由器提供防火墙的服务(fw)n二层交换机一般用于LAN-WAN的连接，而路由器用于WAN-WAN之间的连接第四十三页，共55页。VRRP 简介(jin ji)虚拟路由冗余协议(Virtual Router Redundancy Protocol，1998年已推出正式的RFC2338协议标准是由IETF 提出的解决局域网中配置静态网关出现单点失效现象的路由协议是一种路由容错协议，也可以叫做备份路由协议。一个局域网络内的所有主机都设置缺省路由，当缺省路由器down掉(即端口关闭)之后，内部主机将无法与外部通信，如果路由器设置了VRRP时，那么(n me)这时，虚拟路由将启用备份路由器，从而实现全网通信。VRRP 使用组播地址 224.0.0.18 UDP端口 112第四十四页，共55页。当网络(wnglu)没有冗余时单一(dny)网关的网络第四十五页，共55页。冗余(rn y)网络使用(shyng)两台设备增加可靠性Change gateway manual第四十六页，共55页。DHCP技术(jsh)nDHCP概述nDHCP 是 Dynamic Host Configuration Protocol（动态主机配置协议）的缩写nDHCP是用来给指定局域网的主机进行动态IP地址分配的nDHCP采用客户端/服务器模式，服务器负责集中管理，客户端向服务器提出配置申请，服务器根据策略返回相应(xingyng)配置信息即插即用性客户端无须配置即能获得IP地址及相关(xinggun)参数。简化客户端网络配置，降低维护成本合法接入、统一管理所有IP地址及相关参数信息由DHCP服务器统一管理，统一分配使用效率高通过IP地址租期管理，提高使用效率可跨网段实现通过使用DHCP中继，可使处于不同子网中的客户端和DHCP服务器之间实现协议报文交互nDHCP系统组成DHCP服务器 能提供DHCP功能的服务器或具有DHCP功能的网络设备DHCP中继 一般为路由器或三层交换机等网络设备DHCP客户端 需要动态获得IP地址的主机nDHCP技术特点第四十七页，共55页。NAT技术(jsh)第四十八页，共55页。ACL概述(i sh)nACL概述nACL（Access Control List，访问控制列表）是用来实现数据包识别功能的nACL可以应用于诸多方面n包过滤防火墙功能 nNAT（Network Address Translation，网络地址转换）nQoS（Quality of Service，服务质量）的数据分类n路由策略和过滤n基于ACL的包过滤技术(jsh)n对进出的数据包逐个过滤，丢弃或允许通过nACL应用于接口上，每个接口的出入双向分别过滤n仅当数据包经过一个接口时，才能被此接口的此方向的ACL过滤数据包过滤(gul)流程第四十九页，共55页。ACL应用(yngyng)n标准ACLn标准访问控制列表只根据报文的源IP地址信息(xnx)制定规则n扩展ACLn高级访问控制列表根据报文的源IP地址、目的IP地址、IP承载(chngzi)的协议类型、协议特性等三、四层信息制定规则n二层ACL与用户自定义ACL二层ACL根据报文的源MAC地址、目的MAC地址、优先级、二层协议类型等二层信息制定匹配规则用户自定义ACL可以根据任意位置的任意字串制定匹配规则第五十页，共55页。n概述n协议起源于协议，后者是标准的无线局域网协议，协议的主要目的是为了解决无线局域网用户的接入认证问题(wnt)，但由于它的原理对于所有符合IEEE 802标准的局域网具有普适性，因此后来它在有线局域网中也得到了广泛的应用。n定义了基于端口的网络接入控制协议，其中端口可以是物理端口，也可以是逻辑端口。n的实现方式1、运行客户端软件、运行客户端软件(run jin)，向交换，向交换机发送认证请求机发送认证请求3、提供用户信息、提供用户信息7、按照加密字段提、按照加密字段提供加密信息供加密信息4、将用户、将用户(yngh)信息经过信息经过封包后送给认证服封包后送给认证服务器进行处理务器进行处理8、发送加密口令、发送加密口令2、要求提供用户信息、要求提供用户信息6、提供加密字段、提供加密字段5、提供客户端加密字、提供客户端加密字段段9、核实认证信息后、核实认证信息后指示交换机打开相应指示交换机打开相应端口端口switchUSERAuthentication server第五十一页，共55页。VPN概述(i sh)n什么是VPNnVPN（Virtual Private Network，虚拟私有网）n以共享的公共网络为基础，构建私有的专用网络n技术分类n二层VPN：PPTP/L2TP/VPLSn三层VPN：GRE/IPSec/MPLS L3 VPNnVPN的安全机制n隧道技术n加解密技术n密钥管理(gunl)技术n身份认证技术nVPN的优势n可以快速构建网络，减小布署周期n与私有(syu)网络一样提供安全性，可靠性和可管理性n可利用Internet，无处不连通，处处可接入n简化用户侧的配置和维护工作n提高基础资源利用率第五十二页，共55页。VPN技术(jsh)对比L2TP VPNGRE VPNIPsec VPNMPLS VPN优点方便远程漫游用户接入节约费用可以由ISP或组织自身提供接入和验证以当前最为普遍的IP网络作为承载网络 支持多种协议支持IP组播简单明了、容易布署保证机密性保证数据完整性可以进行数据源验证具有一定的抗攻击能力QOS功能丰富，流量和时延可控，适合高端用户和视频/语音应用性能高，能够在一条线路上组建成千上万个企业VPN网络对用户透明，完全由运营商维护和管理缺点L2TP不提供对数据本身的安全性保证点对点隧道 静态配置隧道参数布署复杂连接关系时代价巨大缺乏安全性不能分隔地址空间 复杂的协议体系，不利用布署和维护高强度的运算，消耗大量资源增加了数据传输的延迟，不利于实时性要求强的应用，如语音和视频等仅能对点对点的数据进行保护，不支持组播要求数据经过的所有边界和核心路由设备均支持MPLS,中间不能被打断，ISP初始投入巨大对数据不加密，只隔离，安全性相对较差第五十三页，共55页。课程内容项目任务主要内容校园网络规划校园网络分析校园网的特点校园网组建的基本规范与要求网络规划设计网络拓扑规划设计IP 地址分配规划设计网络设备选用办公室网络组建与管理工作组网络实现TCP/IP 协议的配置工作组网络的共享实现校园网络服务及其管理网络信息服务Windows 网络信息服务Windows IIS 的安装配置与管理Serv-U 的安装配置与管理Windows 网络DHCP服务DHCP服务器的配置安装与管理Windows 网络DNS服务域名系统，DNS 服务与设计DNS 服务器的安装配置与管理Windows 网络WEB服务WEB 服务与设计WEB 服务器的安装配置与管理第五十四页，共55页。课程内容项目任务主要内容校园网络组建与管理VLAN 技术与实现二层交换机配置与管理VLAN技术与配置Trunk技术与配置路由与网络互联路由协议路由器的配置与管理单臂路由配置与管理局域网核心构建三层交换机的VLAN 配置三层交换机的路由配置Internet 接入单机Internet 接入局域网Internet 接入VPN技术与配置校园网络安全技术安全技术ACL 技术与配置NAT 技术与配置（病毒防火墙部署与管理）综合实训组建校园网组建多校区校园网第五十五页，共55页。