网络规划与设计江苏高校图书馆现代技术培训.ppt

《网络规划与设计江苏高校图书馆现代技术培训.ppt》由会员分享，可在线阅读，更多相关《网络规划与设计江苏高校图书馆现代技术培训.ppt（110页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、11/15/20221网络规划与设计江苏高校图书馆现代技术培训 Still waters run deep.流静水深流静水深,人静心深人静心深 Where there is life,there is hope。有生命必有希望。有生命必有希望11/15/20222内容VLANMulti-switchRouteNatProxyFirewall11/15/20223路由和交换的工作层次物理层网络层数据链路层传输层应用层OSI协议分层工作方式网络设备地址集线器电信号交换交换机MAC地址路由路由器IP地址11/15/20224集线器基本工作流程MAC aMAC bMAC cPORT1 PORT2POR

2、T NbbbACB11/15/20225交换基本工作流程MAC aMAC bMAC dPORT1 PORT2PORT NMAC cPORT1PORT2PORT2MAC aMAC bMAC cPORT N MAC dMAC TABLEbbbADCB11/15/20226网段的形成PORT1 PORT2PORT N网段1网段3网段2ABCDcPORT1PORT2PORT2MAC aMAC bMAC cPORT N MAC dMAC TABLE11/15/20227交换环境下的广播风暴PORT1 PORT2PORT N网段1网段3网段2ABCDPORT1PORT2PORT2MAC aMAC bMAC

3、 cPORT N MAC dMAC TABLExx=MAC“FFFFFFFFFFFF 未知或广播未知或广播xx透明网桥相当于11/15/20228路由基本工作流程PORT1 PORT2PORT N子网：子网：192.0.1.XXXABCD子网：子网：192.3.96.XXX子网：子网：192.2.16.XXXPORT 1PORT 2PORT NROUTE TABLE192.0.1.XXX192.2.16.XXX192.3.96.XXXaaIP:aaMAC:aIP:ccMAC:caa广播域：广播域：路由器每个端口是一个广播域 交换机所有端口都属于同一个广播域11/15/20229路由器对广播的控

4、制aaaaPORT1 PORT2PORT N子网：子网：192.0.1.XXXABCDPORT 1PORT 2PORT NROUTE TABLE子网：子网：192.3.96.XXX子网：子网：192.2.16.XXX192.0.1.XXX192.2.16.XXX192.3.96.XXXIP:aaMAC:aIP:ccMAC:c广播广播广播域11/15/202210路由与交换的比较实现层次OSI第二层OSI第三层地址6 BYTE地址4个8BIT十进制数包转发速度快慢包转发校验可省略，直接转发具有完善的校验过程广播控制广播风暴能抑制第二层广播每端口价格相对便宜较贵报文过滤简单MAC地址过滤较复杂的访

5、问控制设备实现硬件：交换矩阵 一般为软件指标指标交换交换路由路由11/15/202211VLAN的作用（1）隔离广播域 减少对路由器的依赖，突破了按地域划分子网 的限制保证安全性VLAN 1VLAN 2甲楼乙楼广播广播11/15/202212VLAN的作用（2）VLAN 1VLAN 2甲楼乙楼VLAN 1VLAN 2甲楼乙楼l优化管理：减少由于网络站点增加、移动或更改而 造成的网络维护成本11/15/202213无须使用VLAN的情况小型局域网如果一个局域网简单到能够被放入一个广播域的情况下,则无须引入VLAN的概念.11/15/202214无须使用VLAN的情况能够被路由严格区分为几个广播域

6、的网络如果一个局域网能够被路由分割开来,是每一部分都是一个广播域.11/15/202215不同厂商VLAN的兼容性存在问题1.VLAN的标准虽然已经制订,但其功能上存在一定的限制,各厂商在自己的产品上都做了一定的增强.2.由于VLAN在交换机上实现,要实现高速度,必须用硬件来实现,向标准完全兼容意味着厂商以前的产品全部要更换.11/15/202216解决办法1.尽可能使用相同厂家的产品.2.在需要互连不同厂商产品的时候不要用标准不支持的技术.11/15/202217不同厂商VLAN技术的共同点 跨交换机的VLAN 支持多种网络技术和协议 在一个设备上可划分多个VLAN11/15/202218V

7、LAN划分的策略 端口 MAC地址 协议类型 网络层地址 用户定义 某些最新的策略类型11/15/202219VLAN划分的基础群组 一个群组是交换机物理端口的集合 一个群组构成一个广播域 群组可以跨接多台交换机 群组不能重叠，即每个端口只能属于一个群组 群组间的帧可以通过路由转发 同一个群组中不同的VLAN之间的帧也能通过路由 转发11/15/202220策略一：基于端口VLAN1VLAN2VLAN3群组基于端口的VLAN11/15/202221面向端口的VLAN的优缺点优点:优秀的性能最佳的兼容性交换机的负担小优秀的安全性缺点不够灵活维护较烦琐设计较烦琐11/15/202222策略二：基于

8、MAC地址MAC AMAC F集线器集线器MAC BMAC CMAC EMAC DVLAN2VLAN1VLAN3端口2/1端口2/2端口2/3端口2/4端口2/52/12/22/52/32/41号群组MAC AMAC BMAC FMAC CMAC DMAC E11/15/202223根据MAC地址划分VLAN的优缺点优点高安全性较灵活后期的维护量较小缺点前期的工作量很大任何主机的网卡更换都必须通知网络管理员交换机负担较重11/15/202224策略三：基于协议类型 IP协议 IPX协议 DECNnet协议 ApplTalk 以太类型流量 SAP报头流量 SNAP报头流量11/15/202225

9、策略三：基于协议类型站点AIP站点BIP端口2/1端口2/2站点CNetBIOS端口2/3端口3/1VLAN2站点A,B,E,FVLAN12/12/23/12/3VLAN3NetBIOS站点 C,D交换机1IP站点DNetBIOS端口2/1端口3/1VLAN2站点A,B,E,FVLAN12/22/33/12/1VLAN3NetBIOS站点 C,D交换机2IP站点EIP站点FIP端口2/2端口2/3快速以太网11/15/202226优点高灵活性方便管理维护量小缺点性能较差交换机负担较重根据协议类型划分VLAN的优缺点11/15/202227策略四：基于网络层地址 IP网络地址及其掩码协议 IPX

10、网络号和封装类型11/15/202228策略四：基于网络层地址站点A202.119.16.200255.255.255.0站点B202.119.16.75255.255.255.0端口2/1端口2/2站点C202.119.18.65255.255.255.0端口2/3 端口3/1VLAN2站点A,B,E,FVLAN12/12/23/12/3VLAN3202.119.18.0站点 C,D交换机1202.119.16.0站点D202.119.18.10255.255.255.0端口2/1端口3/1站点E202.119.16.8255.255.255.0站点F202.119.16.6255.255.

11、255.0端口2/2端口2/3快速以太网VLAN2站点A,B,E,FVLAN12/22/33/12/1VLAN3202.119.18.0站点 C,D交换机2202.119.16.011/15/202229根据网络层地址划分VLAN优点直观管理方便缺点支持较少交换机负担重11/15/202230策略五：基于用户定义的策略 偏移量：指定域在整个帧中的位置(nn+6)取 值：指定域的取值(110101)掩 码：定义在这些值中应该识别的比特1101001n n+611/15/202231根据Multicast Group划分VLAN用在特殊的用途,支持的厂家较少11/15/202232某些最新的策略类

12、型 PORT BIND 将IP、MAC同时绑定到一个端口 身份校验 由外部NT SERVER提供用户认证 DHCP动态主机配置协议11/15/202233Whichtaggingprotocol?Vlan tagging protocols802.10ISL802.1QLANEVLAN tag Added by Incoming Port11/15/202234IEEE 802.1Q IEEE认可的标准 VLAN Trunking Mechanism 几乎所有厂商的支持 只支持无策略的VLAN11/15/202235内容VLANMulti-switchRouteNatProxyFrirewal

13、l11/15/202236DefinitionSwitching:Process of transferring data from an input interface to an output interfaceData InInputOutputData Out11/15/202237Layer 2 Switching(MAC Layer)InputOutputFrameFrame11/15/202238Layer 3 SwitchingProcess of moving a PACKET from an input interface to an out interfacePFrame

14、TokenRingTokenRing11/15/202239L2 Switching vs.L3 SwitchingPFramePacketPFramePacketL2 SwitchFInputOutputL3 SwitchPInputOutput11/15/202240Netflow Switching OverviewRouteTableAccesslistQueuingPriorityAccountingDATASwitchingTaskSecurityTaskQueuingTaskAccountingTaskNetflowCacheSwitchingTaskNETFLOWStatist

15、icsNETFLOW DATAExportFirstPacketSubsequentPacket11/15/202241Benefits of Netflow SwitchingLayer 3 Switching Multiprotocol Support Flow oriented switching Frame or cell based learn once-switch many times Network Services applied on per-flow basis11/15/202242 Layer 3 Switching 的本质1.机制:LAN Switching=Hig

16、h speed bridgingLayer 3 Switching=High speed routing2.协议部分使用了原有的路由协议,部分采用了新的协议以支持更高的速度.11/15/202243Layer 3 Switching所能解决的问题 吞吐量 响应时间 网络的集成 成本 网络的可靠性11/15/202244吞吐量 由于现代的交换速度已经越来越快,传统的软件为基础的路由方式已经越来越跟不上交换速度的增长,成为的网络的瓶颈.因此必须采取一些硬件的措施来实现路由的功能.11/15/202245响应时间 采用硬件的方法实现路由的部分功能将会大大降低响应时间.11/15/202246网络的集

17、成 由于Layer 3 Switching的模块可能只有少数几个芯片组成,因此可以更加容易的集成到各种网络底层技术中(如FastEthernet,GigabitEthernet,ATM etc.)11/15/202247成本 Layer 3 Switching 将比软件实现路由更加便宜.11/15/202248网络的可靠性 传统的交换方式需要采用大量的Spanning Tree技术来进行网络结构的重构,速度较慢;而Layer 3 Switching则可采用一些新的方法来提高网络重构的速度.11/15/202249Layer 3 Switching 所存在的问题 网络协议的支持许多三层交换机支持

18、IP,有些可以支持IPX路由协议的支持大多数三层交换机只支持少数几种路由协议.底层网络技术的支持有很多三层交换机只支持Ethernet技术.11/15/202250Cut-through Switching 我们知道,ATM使用了虚电路的概念,在建立的虚电路后,传输的两端就建立了一条虚拟的连接,在虚电路中不需要任何的路由,虚电路中的各个环节只需要根据虚电路的映射机制快速的转发即可,因此可以支持很高的速度.如果需要在两端建立一条虚电路，则需要以下几个过程：1.将LAN Address 映射到ATM地址上.2.处理broadcast 和multicast.3.在链路建立起前存贮报文.4.建立连接.

19、5.传输完成后拆断连接.11/15/202251在需要时建立虚连接,在完成后拆断虚连接,称之为Cut-throutgh Switching.它有两种实现方法:IP Switching NHRP and MPOA11/15/202252IP Switching 由Ipsilon提供licensed code 平常,使用普通的路由技术.当侦察到一个长时间传输的流时,则建立一条直接的交换链路.11/15/202253NHRP and MPOA 工作方式类似于IP Switching 被IAB和ATM 论坛认可 MPOA 可支持除IP外的其它协议11/15/202254Label Swapping 每

20、个包包含一个Label.并不需要建立虚电路，因此可以同时支持信元交换和帧交换.Label 由网络层地址确定,因此可支持多路由协议,和传输类型.11/15/202255Layer 3 Switching的未来将会被更加广泛的应用.价格将会更加降低.Label Swapping 将会被用在Internet 上,但终端用户可能不会很快使用此项技术.11/15/202256第三层（IP）交换u 路由与交换相结合，在保留IP协议的稳定和可扩 充性的同时，利用具备交换功能的硬件提高IP分 组的转发速度路由交换11/15/202257第三层（IP）交换工作模式VLAN1VLAN2缺省路由通路捷径路由通路路

21、由机 制11/15/202258流（Flow）驱动的IP交换uIP流:一串具有相同源IP地址、相同目的IP 地址和相同端口号的数据分组u流驱动的IP交换按照IP流的特性进行路由选择，当IP流的一部分达到后，根据它所经过的路径动态的建立直通路径u典型实现：NHRP（下一跳路由协议）11/15/202259NHRP（下一跳路由协议）uNHRP是MPOA协议组的一部分uNHRP是一个地址解析协议，主机或路由器利用它 用一个ATM地址解析一个对应的IP地址，并在处理第一次IP流后建立从源到目的的直连ATM虚电路，以后流即通过该直连虚电路快速传输11/15/202260理解IP交换的误区u虚拟网就是IP

22、交换u交换机集成路由模块就是IP交换uVLAN是交换机通过判断帧中的协议类型划分子网uIP交换需要运行路由协议u具有路由功能,VLAN划分及站点移动方便u不同VLAN连接需要路由11/15/202261内容VLANMulti-switchRouteNatProxyFrirewall11/15/202262建立路由表硬件状态静态 路由由手动定义动态 路由从协议中得出一个发送的路由表11/15/202263路由协议路由器是根据第三层逻辑地址发送业务的分组交换路由器相互交换路由协议得知其他逻辑网络的路径每个路由协议都提供一定功能使该协议成为互联网设计所需的部分I Know AboutNetwork

23、ANetwork BNetwork CI Know AboutNetwork XNetwork YNetwork ZABCXYZRouting UpdateExchanges Network Knowledge11/15/202264静态路由手动配置路由当路由数量较少时有用可成为管理负担经常用于缺省路由11/15/202265RIP应用广泛容易实现HOP计数定期更新简单、有限缓慢汇集路由环路无限计数RFC 105811/15/202266RIP HOP SPECIFACATIONR1R2R31 HOP0 HOPSPATH BPATH A11/15/202267RIP V2RFC 1723Cis

24、co IOS 11.1支持可变长度子网屏蔽路由概括多点路由更新11/15/202268可变长度子网连接（IP）172.16.40.1255.255.255.0172.16.50.1255.255.255.0172.16.60.1255.255.255.0BAC.5.13.14.10.9.6172.16.1.4255.255.255.252172.16.1.12255.255.255.252172.16.1.8255.255.255.25211/15/202269IGRPk内部网关路由协议kCISCO开发k距离向量k复合规格k定期更新k缺省计时器产生 缓慢汇集11/15/202270EIGRP快

25、速汇集VLSM支持非连续子网任意路由 SUMMARY支持首标和主机路由最好的 DV和DS低开销无循环多协议：IP、IPX、AppleTalk配置简单11/15/202271OSPF动态路由协议链接状态或 SPF技术由IETF的OSPF组开发（RFC 1253）内部独立系统（IGP）专门为TCP/IP Internet设计快速汇集可变长度的子网屏蔽非连续子网络路由校验11/15/202272OSPF AREABackbone Area#0Area#1Area#2Area#3规则 主干网必须存在 所有其他区域必须与主干网相联接 主干网必须连续11/15/202273特殊路由技术MulticastR

26、SVPHSRP11/15/202274Multicast RouteDVMRPMOSPFPIM-DMPIM-SM11/15/202275RSVP(Resource reSerVation Protocol:资源保留协议)IETF信令协议带宽和延迟的保留动态端“访问目录”制定排队策略流量可以由终点或路由器发出信号(静态保留)11/15/202276HSRP-热备份路由器协议10.1.1.1010.1.1.210.1.1.310.1.1.1缺省路由器透明故障克服缺省路由器透明故障克服建立虚拟路径建立虚拟路径一个路由器有源一个路由器有源,并对虚拟地址相应并对虚拟地址相应其他进行监控并接管虚拟路由器其

27、他进行监控并接管虚拟路由器11/15/202277内容VLANMulti-switchRouteNatProxyFrirewall11/15/202278IP地址分类符号形式 如Email地址：数字形式 一个数字形式的IP地址由32 bits组成，用4 Bytes表示，每个字节用10进制表示，字节之间用“.”隔开。IP地址11/15/202279IP地址分类IP地址共分为五类A类地址 0 8 31 0 网络编号(7比特)主机编号(24比特)第一位比特为“0”的IP地址网络数量2 7 128个主机数量2 24 16M个地址范围：0127.XXX.XXX.XXX11/15/202280IP地址分类

28、B类地址 0 16 31 10 网络编号(14比特)主机编号(16比特)第一位比特为“10”的IP地址网络数量214 16K个主机数量216 64K个地址范围：128191.XXX.XXX.XXX11/15/202281IP地址分类C类地址 0 24 31 110 网络编号(21比特)主机编号(8比特)第一位比特为“110”的IP地址网络数量224 2M个主机数量28 256个地址范围：192223.XXX.XXX.XXX11/15/202282IP地址分类D类地址0 4 311110 多址投送地址前四位比特为“1110”的IP地址地址范围：224239.XXX.XXX.XXXE类地址0 4

29、311111 预留地址前四位比特为“1111”的IP地址地址范围：240255.XXX.XXX.XXX11/15/202283特殊IP地址全“0”或全“1”的地址为特殊地址，全“0”表示“任意一个”，仅仅在实际值未知时，才采用全“0”比特地址全“1”表示“所有”，为全“1”的地址用于广播；为全“1”的A类地址表示“环路地址”，主要用于测试。11/15/202284子网划分和子网掩码划分IP子网的目的 节约IP地址空间划分IP子网方法 将IP地址中的再划分为和子网掩码 划分子网后，通过子网掩码告诉连接不同子网的路由器如何识别用于路由选择的网络编号及子网编号 子网掩码由连续的“1”Bit和连续“0

30、”Bit组成中间用“.”隔开11/15/202285子网划分和子网掩码子网划分类型静态子网划分 所有子网采用相同的子网掩码 目前所有IP主机及路由器均支持静态子网划分变长子网划分 同一网络内不同的子网采用不同子网掩码 不是所有IP主机及路由器均支持变长子网划分11/15/202286专用网络地址 用于单个机构内部构造基于IP的网络A类地址：10.0.0.010.255.255.255，一个A类地址B类地址：172.16.0.0172.31.255.255，16个连续的B类地址C类地址：192.168.0.0192.168.255.255，256个连续的C类地址11/15/202287内容VLA

31、NMulti-switchRouteNatProxyFrirewall11/15/202288代理服务器代理服务器本质上是一个应用网关，是一个不透明的设备代理服务器首先验证网络应用使用者的身份和权限，然后，代理使用者建立并且转发与目的应用服务器的连接它存在两个网络的中间，不允许直接数据传输，并有较大的Cache,可以做详细的日志及审计，对节省流量、计费、安全都提供了一定的功能。11/15/202289实时、高效、准确提供Internet接入，共享一个IP地址并带高速缓存，支持Http、Ftp、Sockets5等协议；支持访问控制，管理员可以禁止用户访问某些非法的站点；支持Cernet的管理策略

32、，区分国内和国外站点。将用户对国外站点的访问记录保存、统计、分析、发布以及查询，并以此作为计费的依据；按照流量计费，国内外站点的计费费率可以不同，由系统管理员设置；管理员可以从Cernet上获得国内地址列表并对系统进行更新。Internet接入代理服务及计费11/15/202290内容VLANMulti-switchRouteNatProxyFrirewall11/15/202291从网络的发展看安全风险Anti-Anti-detectiondetectionpasswordpasswordguessingguessingself-replicatingself-replicatingcode

33、codepasswordpasswordcrackingcrackingexploitingexploitingknownknownvulnerabilitiesvulnerabilitiesdisablingdisablingauditsauditsbackbackdoorsdoorshijackinghijackingsessionssessionsstealthstealthdiagnosticsdiagnosticspacket forging,packet forging,spoofingspoofing攻击攻击工具工具攻击者需要攻击者需要的技能的技能1980 1985 1990 1

34、995 20001980 1985 1990 1995 20001980 1985 1990 1995 2000攻击需要的技能攻击需要的技能攻击需要的技能Web-crawlerWeb-crawlerattacksattacks11/15/202292从网络攻击的来源看安全风险11/15/202293从网络自身的特点看安全风险F网络级网络级F应用级应用级F系统级系统级F数据级数据级F用户级用户级11/15/202294安全层次结构*单机登录单机登录用户用户/组组管理管理身份认证身份认证入侵检测入侵检测风险评估风险评估反病毒反病毒审计审计分析分析授权授权访问控制访问控制防火墙防火墙通信安全通信安全

35、网络群体网络群体系统群体系统群体用户群体用户群体应用群体应用群体加密加密*Source:Steven Foote,Hurwitz Group,1997.数据保密性和完整性数据保密性和完整性11/15/202295从安全管理的现状看安全风险F安全风险安全风险30%30%在于技术，在于技术，70%70%在于管理在于管理F 普遍缺乏明确的安全政策与安全管理制度普遍缺乏明确的安全政策与安全管理制度F 有效的落实安全管理制度是实现安全的关键有效的落实安全管理制度是实现安全的关键11/15/202296网络安全体系的建立11/15/202297最受欢迎的十种安全产品11/15/202298虚拟专虚拟专用网

36、用网防火墙防火墙访问控制访问控制防病毒防病毒入侵检测入侵检测网络安全系统的构筑理念11/15/202299我们今天所处的环境一个网络系统中的安全最弱点往往确定了整个系统中的安全水平11/15/2022100我们希望达到的目标跨跨 平平 台台 的的 系系 统统 安安 全全 策策 略略使用eTrust Access Control 增强系统的安全性显著增强系统安全性的同时,eTrust Access Control还允许跨平台实现统一的安全策略11/15/2022101防火墙的类型应用层代理应用层代理会话层会话层包过滤包过滤 状态包过滤状态包过滤Application LayerPresentat

37、ion LayerSession LayerTransport LayerNetwork LayerDatalink LayerPhysical Layer输出输入11/15/2022102防火墙类型网络级根据IP数据包中的源地址和目的地址作出决定。现代的网络级防火墙也许保留有关状况的内部的信息应用/代理级一般指的是一些不允许网络间直接通信而运行代理服务器程序的主机。它也许会影响性能，也许令防火墙不透明，但是，现代的防火墙常常是透明的。应用级防火墙趋向于提供较为详细的审核报告，并强调实施较网络级防火墙更为保守的安全模型。11/15/2022103方法防火墙使用两种基本的方法审查较高层的通信:R

38、 理解各协议并解析所有命令;这种方法具有很高的安全性,但它降低了性能,增加了复杂性R 了解一些绝对必要的协议;但这种方法快速,灵活和简单,但它具有允许不为防火墙所知的非法操作行为;上述两种方法在纯粹的形式下不可为,所有防火墙代表这两种方法的结合.11/15/2022104内容过滤阻止JAVA,ActiveX,JavaScript和VbscriptURL登记和拦截SMTP命令过滤阻止SMTP命令阻止过剩的路由字符病毒?11/15/2022105防火墙设计准则之一你的策略针对何处?提供公共服务/访问的主机不安全内部网络主机不应该提供公共网络服务专用网络和主机应该不可见11/15/2022106防火墙设计准则之二了解你的网络安全措施针对多个INTERNET访问点便于管理和操作网络安全性不能代替数据安全性详细的安全性和使用记帐11/15/2022107防火墙设计准则之三完善的防火墙一般不只是一台设备分层的拓扑结构;深层的防御冗余和故障恢复相应计划11/15/2022108Internet访问防火墙的拓扑结构Outside低成本可取得理想的特性和性能通常是一个带有防火墙功能的路由器11/15/2022109回顾VLANMulti-switchRouteNatProxyFrirewall11/15/2022110再见！再见！