第三章 网络逻辑设计网络设计是一项复杂的创作,严格遵循稳定性、可靠性、可用性和扩展性的要求。
本章重点介绍逻辑设计,介绍了逻辑拓扑结构设计、地址分配、广域网设计和路由协议的选择等基本知识。
本章重点
3,1网络设计的目标
3,2拓扑结构设计
3,3网络组件设计
3,4 IP地址分配
3,5 IP路由设计
3,1网络设计的目标网络设计的目标如下:
( 1)最大效益下最低的运作成本;
( 2)不断增强的整体性能;
( 3)易于操作和使用;
( 4)增强安全性;
( 5)适应性;
网络设计的目标
P48
3,1网络设计的目标为了实现上述目标,在设计过程中应综合权衡以下因素:
( 1) 最小的运行成本;
( 2) 最少的安装花费;
( 3) 最高的性能;
( 4) 最大的适应性;
( 5) 最大的安全性;
( 6) 最大的可靠性;
( 7) 最短的故障时间。
网络设计的目标
P48
3,2,1常见的网络拓扑结构网络拓扑结构是指忽略了网络通信线路的距离远近和粗细程度,忽略通信节点大小和类型后仅仅用点和直线来描述的图形结构(图 3-1)。
拓扑结构设计
P49
3,2,1常见的网络拓扑结构
1,总线型
2,环型
3,星型和树型
星型网络必有一个中心节点,所有数据都要通过中心节点交换,因此中心节点是星型网络的核心层。
树型结构是星型结构的扩展,顶层节点负荷较重,属于核心层,但如果设计合理,可以将一部分负荷分配给下一层节点,因此树型结构多出了一个分布层。
4,网状模型拓扑结构设计
P49
3,2,2估算网络中的通信量
1.估算网络中的通信量主要有两个方面:
( 1)根据业务需求和业务规模估算通信量的大小;
( 2)根据流量汇聚原理确定链路和节点的容量;
2.估算通信量应该注意的问题:
( 1)必须以满足当前业务需要为最低标准;
( 2)必须考虑到未来若干年内的业务增长需求;
( 3)能对选择何种网络技术提供指导;
( 4)能对冲突域和广播域的划分提供指导;
( 5)能对选择何种物理介质和网络设备提供指导。
拓扑结构设计
P50
上行链路和下行链路
上行链路指的是从工作站流向核心网络设备的链路。下行链路指的是从核心网络设备流向工作站的链路。
(图 3-2)
上行链路的容量衡量了核心设备和线路的容量,影响了骨干网技术的选择。下行链路的容量则可给出了某种骨干网技术能满足的客户端应用的能力。
拓扑结构设计
P50
(图 3-2) 拓扑结构 设计
P50
上行链路和下行链路
例一,假设核心层交换机所使用的连接数为 8
,而每个端口下连交换机的带宽是 100M,也使用了 8个端口,在交换机满负荷工作概率为
60%的条件下,按照交换机的特点,干线容量的计算方式为:
8× 100Mbps× 60%=480Mbps
核心交换机的容量为:
8× 480Mbps× 60%=2304Mbps
由此可以得出对主干线路的技术要求拓扑结构设计
P50
3,2,3分层设计方法
Cisco公司将大型网络的拓扑结构划分为三个层次,即核心层、分布层和接入层。
拓扑结构设计
P51
3,2,3分层设计方法
1.分层结构的设计目标是:
( 1)核心层处理高速数据流,其主要任务是数据包的交换;
( 2)分布层负责网段的逻辑分割,聚合路由路径,收敛数据流量;
( 3)接入层将流量馈入网络,执行网络访问控制,并且提供相关边缘服务。
拓扑结构设计
P51
3,2,3分层设计方法
2.拓扑设计的原则:
按照分层结构设计网络拓扑结构时,应遵守以下两条基本原则:
( 1)网络中因拓扑结构改变而受影响的区域应被限制到最小程度。
( 2)路由器应传输尽量少的信息。
拓扑结构设计
P51
3,2,3分层设计方法
( 1)分层拓扑结构的优点:流量从接入层流向核心层时,被收敛在高速的链接上;流量从核心层流向接入层时,被发散到低速链接上,如图 3-6所示。
( 2)分层拓扑结构的缺点:分层拓扑结构固有的缺点是在物理层内隐含(或导致)单个故障点,即某个设备或某个失败的链接会导致网络遭受严重的破坏。克服单个故障点的方法是采用冗余手段,但这会导致网络的复杂性的增加
。
拓扑结构设计
P52
1,核心层设计方法网络核心层的主要工作是交换数据包,核心层的设计应该注意两点:
( 1)不要在核心层执行网络策略:所谓策略就是一些设备支持的标准或系统管理员定制的规划。
( 2)核心层的所有设备应具有充分的可到达性
。
拓扑结构设计
P52
2,分布层设计方法分布层将大量低速的链接(与接入层设备的链接)通过少量宽带的连接接入核心层,以实现通信量的收敛,提高网络中聚合点的效率。同时减少核心层设备路由路径的数量。
总之,分布层的主要设计目标包括:
1,隔离拓扑结构的变化;
2,通过路由聚合控制路由表的大小;
3,收敛网络流量。
拓扑结构设计
P52
路由聚合 拓扑结构 设计
P53
路由聚合 拓扑结构 设计
P53
( 1)新路由表大大减小。
路由器 C的路由表为:
( 2)路由收敛速度加快目标网络 掩码 端口 跳数 连接方式
172,16,0
,0
255,255,255.
254
E0 0 直连
172,16,2
,0
255,255,255.
254
E1 0 直连
172,16,0
,0
255,255,255.
252
E3 0 直连
3,接入层设计方法接入层的设计目标包括三个,即:
( 1)将流量馈入网络:为确保将接入层流量馈入网络,要做到:
① 接入层路由器所接收的链接数不要超出其与分布层之间允许的链接数;
② 如果不是转发到局域网外主机的流量,就不要通过接入层的设备进行转发;
拓扑结构设计
P54
3,接入层设计方法
③ 不要将接入层设备作为两个分布层路由器之间的连接点,即不要将一个接入层路由器同时连接两个分布层路由器。
( 2)控制访问:由于接入层是用户进入网络的入口,所以也是黑客入侵的门户。接入层通常用包过滤策略提供基本的安全性,保护局域网段免受网络内外的攻击。
拓扑结构设计
P54
3,2,3,4 绘制网络拓扑图好的网络拓扑结构图能恰当地表现设计者的意图
。绘制网络拓扑图要注意以下几点:
( 1)选择合适的图符来表示设备;
( 2)线对不能交叉、串接,非线对尽量避免交叉;
( 3)终接处及芯线避免断线、短路;
( 4)主要的设备名称和商家名称要加以注明;
( 5)不同连接介质要使用不同的线型和颜色加以注明;
( 6)标明制图日期和制图人。
拓扑结构设计
P54绘制网络拓扑图可以使用微软公司的 visio 2002软件
3,2,3,5 80/20规则
80/20规则是传统以太网设计必须要遵循的一个原则。它表明一个网段数据流量的 80%是在该网段内的本地通信,只有 20%的数据流量是发往其它网段的。
拓扑结构设计
P55
3,3 网络组件设计为了有步骤地实施网络,通常将一个完整的网络划分为逻辑上功能独立的组件,这些组件主要有三个:园区网、广域网、远程连接。网络组件划定了网络的功能范围,进一步深化了分层设计的思想,同时又为地址分配和安全控制提供了依据。
网络组件设计
P55
3,3,1园区网园区网是指为企事业单位组建的办公局域网。
典型的园区网包括校园网、社区网、住宅小区网、企事业单位网等。
园区网设计有以下特点:
园区网是网络的基本单元
园区网较适合于采用三层结构设计
园区网对线路成本考虑的较少,对设备性能考虑的较多,追求较高的带宽和良好的扩展性
园区网的结构比较规整网络组件设计
P55
3,3,1,1 以太网( Ethernet)
粗缆以太网( 10Base5)
细缆以太网( 10Base2)
双绞线以太网( 10BaseT)
10BaseT中的,T”指的是传输介质为双绞线( Twisted-Pair)
电缆。 IEEE的 10Base-T标准使用星型拓扑结构,并使用 8针的
RJ-45接口(又称为水晶头)。
10BaseT网络的主要互联设备是共享式集线器( HUB)。
使用集线器和双绞线以太网的结构分为:单集线器结构、多集线器级联结构和集线器堆叠结构。
网络组件设计
P56
4,5-4-3规则使用中继器或集线器连接的多个以太网段在逻辑上仍然属于一个冲突域,为了使网络效率不至于太低,就对连接的网段数目和各网段的主机数作了明确规定,即 5-4-3规则。其中:
( 1)最多只能由 5个网段相连;
( 2)中继设备最多只能有 4个;
( 3)其中只能在第 1,2,5三个网段上连接主机
。
网络组件设计
P56
4,5-4-3规则 网络组件 设计
P57
(图 3-7)
3,3,1,2 快速以太网( Fast
Ethernet)
网络组件设计
P57
快速以太网指速度较快,能提供 100M标准带宽的以太网,不再使用同轴电缆,而是使用 5类或超 5类双绞线或光缆作为传输介质,拓扑结构上以星型和树型为主
。互联设备主要采用集线器和交换机,具有与 10M以太网完全兼容的特性,因此可以在园区网的核心层采用。快速以太网的技术标准主要有以下几个:
1,100 Base-TX
2,100 Base-FX
3,100 Base-T4
3,3,1,3吉比特以太网 网络组件 设计
P58
吉比特以太网是 10/100Base-T以太网的向上兼容技术,它除了能提供 1Gbps( 1000Mbps)的带宽并支持全双工连接外,还具备以下特点:
( 1)吉比特以太网使用传统的 CSMA/CD介质访问控制协议。
( 2)保护原有网络的投资。
( 3)吉比特以太网可用于多种传输介质。如双绞线、多模和单模光纤。
( 4)低成本的升级费用。
( 5)支持服务质量( QoS)和第三层交换。
( 6)吉比特以太网以及新的 10G比特以太网为局域网(含园区网
)和城域网提供了高性价比的宽带传输交换,将以太网地位进行了重新定义。
3,3,1,4光纤分布式数据接口( FDDI)
网络组件设计
P59
光纤分布式数据接口网络出自美国一些大型机公司,
1990年由美国国家标准局( ANSI)的 X3T9.5委员会正式颁布。 FDDI支持长达 2km的多模光纤,传输速率高达 100Mbps。因此,在早期的 10M以太网时代,它的推出有无穷魅力,被应用到各种环境中,如园区网骨干、广域网骨干等。
3,3,1,5 ATM网 网络组件 设计
P59
ATM( Asynchronous Transfer Mode,异步传输方式)是建立在电路交换和分组交换的基础上的一种新的交换技术,ATM兼有电路交换的可靠性、实时性和分组交换的高效性、灵活性,通常作为高性能局域网骨干和广域网骨干
。
2,ATM网络服务类型 网络组件 设计
P59
( 1) ITU-T规定的服务类型
ITU-T最初规定了 ATM网络可向用户提供四种类别
( class)的服务,从 A类到 D。
服务类别 ( class) A类 B类 C类 D类比特率 恒定 可变是否需要同步 需要 不需要连接方式 面向连接 无连接应用举例 64 kbps话音 变比特率图像 面向连接数据 无连接数据
2,ATM网络服务类型 网络组件 设计
P60
( 2) ATM论坛规定的服务类型
ATM论坛依据各种服务的通信量特性和 QoS等定量参数,提出了将 ATM的服务按照比特率的特点划分为以下 5个种类( Category)。
恒定比特率 CBR( Constant Bit Rate)。
实时可变比特率 rt-VBR(real-time Variable Bit Rate)
。
非实时可变比特率 nrt-VBR(non-real-time Variable
Bit Rate)。
不指明比特率 UBR( Unspecified Bit Rate)。
可用比特率 ABR( Available Bit Rate)。
3,ATM局域网仿真技术 网络组件 设计
P61
为了使 ATM与传统局域网技术互联,必须提供与局域网相兼容的技术。
ATM论坛的 LAN仿真规范 1.0定义了一种标准的
、与协议无关的方法,它使连接在局域网上的设备能够在 ATM主干网上进行通信。
在 ATM的 LANE技术中,每一个仿真 LAN就是一个 VLAN,反之亦然。
3,ATM局域网仿真技术 网络组件 设计
P61
为了使 ATM与传统局域网技术互联,必须提供与局域网相兼容的技术。
ATM论坛的 LAN仿真规范 1.0定义了一种标准的
、与协议无关的方法,它使连接在局域网上的设备能够在 ATM主干网上进行通信。
在 ATM的 LANE技术中,每一个仿真 LAN就是一个 VLAN,反之亦然。
3,3,1,6 WLAN 网络组件 设计
P61
WLAN有两种主要的拓扑结构,即 自组织型网络 (也就是对等网络,即人们常称的 Ad-Hoc
网络)和 基础结构型网络 ( Infrastructure
Network)。
3,3,1,6 WLAN 网络组件 设计
P61
1.自组织型 WLAN
自组织型 WLAN是一种对等模型的网络,它的建立是为了满足暂时需求的服务。
3,3,1,6 WLAN 网络组件 设计
P62
2.基础结构型 WLAN
基础结构型 WLAN利用了高速的有线或无线骨干传输网络。在这种拓扑结构中,移动节点在基站 ( Base Station,BS)的协调下接入到无线信道。
3,3,1,7 VLAN(虚拟局域网) 网络组件 设计
P62
虚拟局域网技术( VLAN)是一种得到较快发展的技术。
此种技术的核心是通过路由和交换设备,在网络的物理拓扑结构基础上建立一个逻辑网络,
以使得网络中任意几个 LAN段或单站能够组合成一个逻辑上的局域网。
支持 VLAN的交换设备给用户提供了非常好的网络分段能力,极低的报文转发延迟以及很高的传输带宽。
这种交换设备通常是第三层交换机或路由交换机。
3,3,1,7 VLAN(虚拟局域网) 网络组件 设计
P62
第三层楼第二层楼第一层楼销售部 人力资源部 工程部
3,3,1,7 VLAN(虚拟局域网) 网络组件 设计
P63
第三层楼第二层楼第一层楼销售部 人力资源部 工程部优点:分段 +管理灵活 +安全
3,3,1,7 VLAN(虚拟局域网) 网络组件 设计
P63
2.虚拟局域网的划分方式
( 1)基于端口划分 VLAN
( 2)基于 MAC 地址划分 VLAN
( 3)基于协议规则划分 VLAN
( 4)基于网络地址划分 VLAN
( 5)基于用户定义规则划分 VLAN
3,3,1,7 VLAN(虚拟局域网) 网络组件 设计
P65
3,VLAN的实现方法设计 VLAN时通常有两种做法:
( 1)核心路由器 +VLAN交换机
( 2)第三层交换机 +VLAN交换机新的 VLAN还可以结合 VPN技术,为远程用户提供服务,成为广域网的重要组成部分。
3,3,1,8 服务子网的设计 网络组件 设计
P65
服务子网设计应该遵循以下原则:
( 1)服务子网应该有较高的下行带宽,通常直接连到交换机的高速端口;
( 2)服务子网应具有一定的冗余性,重要的数据服务器和 PDC可以考虑双归接入;
( 3)服务子网应具有一点的安全性,应根据安全级别指派 IP地址和 VLAN,重要的服务器可以单独划分子网,加装内部防火墙。
( 3)服务子网可以考虑集群服务提供更高的可靠性。
3,3,1,8 服务子网的设计 网络组件 设计
P65
( 1)集中式服务设计
集中式服务设计将服务器集中配置在中心机房。
这种设计方式的优点就是管理方便,安全性能高,缺点是增加了核心层的负荷。
3,3,1,8 服务子网的设计 网络组件 设计
P66
( 2)分布式服务设计
分布式服务设计将服务器根据部门应用特点分布到各个部门(
分布层)的机房。
分布式服务设计优点是管理和维护都很灵活。
3,3,1,8 服务子网的设计 网络组件 设计
P66
( 2)分布式服务设计
分布式服务设计将服务器根据部门应用特点分布到各个部门(
分布层)的机房。
分布式服务设计优点是管理和维护都很灵活。
3,3,1,9典型拓扑设计举例 网络组件 设计
P66
1,10M/100M共享式应用
3,3,1,9典型拓扑设计举例 网络组件 设计
P67
升级方案
使用路由器分段可以隔离冲突域和广播域且可以提供一定的安全性,无需购买专门的路由器,直接使用 Windows2000服务器的路由服务即可,需安装双网卡;
添加 10M交换机或 100M集线器替换中央集线器改造成混合式以太网,可以将网络带宽提高数倍。
3,3,1,9典型拓扑设计举例 网络组件 设计
P67
2,10M/100M交换式应用
3,3,1,9典型拓扑设计举例 网络组件 设计
P68
( 3)升级方案
使用吉比特以太网作为骨干网,提供更大的主干带宽;
使用 VLAN技术划分逻辑段,提高安全性,减小广播风暴的影响;
使用 ATM作为主干网,增强多媒体业务能力。
3,3,1,9典型拓扑设计举例 网络组件 设计
P68
3,1000M交换式骨干网
3,3,2广域网( Wide Area
Network,WAN)
网络组件设计
P69
众所周知,广域网将分布在各地的局域网互连起来,为局域网之间的数据传输提供信道。因此在一个开放式的网络中,广域网的设计也很重要。
3,3,2,1广域网设计的要点 网络组件 设计
P69
在广域网设计中要着重考虑以下几点:
( 1)充分分析广域网的带宽效率和带宽费用,
保证 WAN链路的可用性和可靠性;
在分析广域网的带宽时,要掌握以下要点:
① 需要什么样的带宽?
② 要发送多大的数据包?
③ 对带宽的要求是恒定还是突发的?
④ 网络使用的频繁程度
3,3,2,1广域网设计的要点 网络组件 设计
P70
( 2)详细设计 WAN链路,选择合适的接入技术
。
( 3)做好物理层设计,为不同的服务选择合适的接入设备,如 Modem、路由器、访问服务器等,尽可能选择具有多种服务方式的设备;
( 4)彻底评估 WAN潜在的安全隐患,提出解决方案。
3,3,2,2广域网技术选型 网络组件 设计
P70
1,X.25分组交换网
X.25协议是最早的广域网协议之一,是一种数据分组交换技术。 X.25协议组包含物理层、数据链路层和网络层协议,适用于低中速线路(
如 9.6kbps,64kbps、或 T1 1.44Mbps线路)
。中国公用分组交换数据网( CHINAPAC)就是提供的基于 X.25的服务的 ISP。
3,3,2,2广域网技术选型 网络组件 设计
P70
2,DDN(数字专用线路)
DDN即数字数据网,它是利用光纤(数字微波和卫星)数字传输通道和数字交叉复用节点组成的数字数据传输网,可以为用户提供各种速率的高质量数字专用电路和其它新业务,以满足用户多媒体通信和组建中高速计算机通信网的需要。
DDN业务区别于传统模拟电话专线的显著特点是数字电路,
传输质量高、时延小、通信速率可根据需要选择;电路可以自动迂回,可靠性高;一线可以多用,即可以通话、传真、传送数据,还可以组建会议电视系统,开放帧中继业务,做多媒体业务,或组建自己的虚拟专网设立网管中心,自己管理自己的网络。
3,3,2,2广域网技术选型 网络组件 设计
P71
2,DDN(数字专用线路)
DDN业务区别于传统模拟电话专线的显著特点是数字电路,传输质量高、时延小、通信速率可根据需要选择;电路可以自动迂回,可靠性高;一线可以多用,即可以通话、传真、传送数据,还可以组建会议电视系统,开放帧中继业务,做多媒体业务,或组建自己的虚拟专网设立网管中心,自己管理自己的网络。
3,3,2,2广域网技术选型 网络组件 设计
P71
DDN可以提供的主要业务包括:
( 1)租用专线业务
( 2)帧中继业务
( 3)话音 /传真业务用户入网方式:
( 1)通过模拟专线(用户环路)和调制解调器入网。
( 2)通过光纤电路入网,适用于光纤到户的用户。
3.帧中继( Frame Relay) 网络组件 设计
P71
帧中继是一种“先进”的包交换技术,它是从分组交换技术发展起来的,是种快速分组通信方式。
帧中继很多地方和 X.25相同,如它也采用虚电路技术,并且也支持 PVC和 SVC两种交换方式
。
帧中继网络采用的传输介质是光纤。
3.帧中继( Frame Relay) 网络组件 设计
P71
帧中继网络的特点:
帧中继采用了虚电路( Virtual Circuit,VC)技术;
帧中继简化了 X.25通信协议,时延小、传输效率高、数据吞吐量大;
帧中继使用统计复用技术,传输贷款按需分配,适用于突发性业务;
帧中继支持多种网络协议,可以为各种网络提供快速、稳定的连接;
帧中继传输速率高,接入速率一般为 64Kbps-2Mbps;
帧中继降低了联网成本,使网络资源利用率高,网络费用低廉
。
4.综合业务数字网( Integrated
Services Digital Network,ISDN)
网络组件设计
P71
( 1) ISDN概述
ISDN是一个基于数字的远程通信标准。
ISDN支持终端用户在线路上连接几个设备,
如传真机、计算机、数字电话等。
N-ISDN(窄带 ISDN)支持两种接口,即 BRI
(基本速率接口)。
4.综合业务数字网( Integrated
Services Digital Network,ISDN)
网络组件设计
P71
利用 TDMA(时分多路复用技术),BRI可以提供
144kbps的数据速率,其中包括 3个传输通道,即 2个
64kbps的 B通道用于数据、音频和图像传输,一个
16kbps的 D通道用于通信信令、数据包交换和信用卡验证。 PRI可以提供大的带宽,聚集更多的通道,主要有两个标准。美国标准包括 23个 64kbps的 B信道用于数据传输,一个 64kbps的 D信道用于信令传输,
总带宽为 1.536bps;欧洲标准包括 30个 64kbps的 B
信道用于数据传输,一个 64kbps的 D信道用于信令传输,总带宽为 1.984Mbps。
4.综合业务数字网( Integrated
Services Digital Network,ISDN)
网络组件设计
P72
ISDN的特点:
支持多种服务、高速的数据传输能力、优质的语音服务、有呼叫识别、动态带宽分配、拨号备份、同时支持多个设备、传输可靠、快速连通。
4.综合业务数字网( Integrated
Services Digital Network,ISDN)
网络组件设计
P72
ISDN是一种应用非常广泛的广域网连接技术,可以作以下用途使用:
LAN至 LAN的连接
家庭办公室和远程办公机构
商业计算机系统的脱机备份和灾难恢复
传输大型图像和数据文件
LAN至 LAN 的视频和多媒体应用
5,xDSL 网络组件 设计
P73
ADSL具有了以下优势:
( 1)在一对双绞线上可为用户提供高达 8Mbps的下行速率,1Mbps的上行速率。
( 2)较充足的带宽可用于传输多种宽带数据业务,如会议电视,VOD,HDTV业务等;而且,下行速率大于上行速率,非常符合普通用户联网的实际需要。
( 3) ADSL并不影响用户对普通电话的使用。由于使用了独特的信号调制技术,用户接入 ADSL的同时仍然可以进行普通电话通信。
HFC和宽带高速专线接入 网络组件 设计
P74
6,HFC
HFC( Hybrid Fiber/ Coax),即网络传输主干为光纤,到用户端为同轴电缆的用户网络接入方式。
7.宽带高速专线接入所谓宽带城域网,就是在城市范围内,以 IP和 ATM电信技术为基础,以光纤作为传输媒介,集数据、语音
、视频服务于一体的高带宽、多功能、多业务接入的的多媒体通信网络。
3,3,2,3 典型广域网设计举例 网络组件 设计
P74
1.使用 DDN/帧中继连接企业总部和分部
3,3,2,4优化广域网的性能 网络组件 设计
P74
1.用路由器软件为 WAN预留带宽
2.利用备份线路
3.压缩
( 1)基于历史的压缩
( 2)所有数据包压缩
3,3,2,4优化广域网的性能 网络组件 设计
P75
3.数据优先排序 4,协议预留紧急高级一般低级
PPP链路调度软件
10%HTTP
3%Telnet
10%FTP
3,3,3远程连接 网络组件 设计
P76
3,3,3,1远程连接的应用范围由于新业务需求的出现导致了一种新的 WAN连接技术,即远程接入技术,这种技术设计的复杂程度不亚于其它 WAN网的设计,由于它有时候直接面向终端用户,所以对于性能的完美程度要求更高,是许多网络设计人员不断努力追求的目标。
( 1)外地办事处或派驻机构
( 2) SOHO( Small Office Home Office)
3,3,3,2远程连接的设计特点 网络组件 设计
P76
3,3,3,3远程连接的技术与趋势网络组件设计
P76
通常采用的远程连接方案是拨号网络和专用 WAN
连接,一般带宽在 56kbps~128kbps。
用来提供远程连接的技术有:
( 1) 模拟 Modem;
( 2) 专线:如 DDN;
( 3) 综合业务数字网( ISDN);
( 4) 非对称数字用户线路( xDSL);
( 5) 无线技术;如蓝牙( Bluetooth)。
3,3,3,4建立安全的连接 网络组件设计
P77
1.虚拟专用网( VPN)
虚拟专用网( Virtual Private Network,
VPN)是一种采用隧道技术在公共网络上建立专用逻辑通道的连接方式,被广泛应用于远程访问和企业 Intranet/Extranet中
。
3,3,3,4建立安全的连接 网络组件 设计
P77
1.虚拟专用网( VPN)
3,3,3,4建立安全的连接 网络组件 设计
P77
VPN对隧道协议有明确的规范,例如工作在第二层的 PPTP,L2F,L2TP和工作在第三层的 GRE,IPSec。
IP首部 PPTP首部 PPP首部 PPP尾部原 IP报文
IP首部 AH ESP
PPTP封装后在 Internet上传输的报文
IPSec封装后在 Internet上传输的报文
3,3,3,4建立安全的连接 网络组件 设计
P78
2.安全套接层( SSL)
SSL是一种工作在应用层的加密技术,已经成为电子商务安全交易的一种主要连接方式。 HTTP协议的数据包在计算机之间传输时,SSL采用公共密钥对数据包加密,但它不能为通信信道两端的计算机提供保护
。而且,SSL只能处理 HTTP数据包,不能为通过文件传输协议( FTP) /简单文件传输协议( SMTP)
/Telnet或者其它 TCP/IP服务传输的数据进行加密。
SSL初级版本采用 40位密钥,现在也可使用 128位密钥。
IPv4地址结构 IP地址分 配
P78
B类地址
A类地址
C类地址
D类地址 组 播 地 址
10
11110
1110
110
网络地址 ( 14位 )
网络地址 ( 7位 )
保留用于试验和将来的使用
0 网络地址 ( 7位) 主机地址 ( 24位 )
主机地址 ( 8位 )
主机地址 ( 16位 )
0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31
E类地址图 3-23 IP地址分类图
IPv4地址结构 IP地址分 配
P78
公开地址和私有地址 网络组件 设计
P79
根据用途和安全性级别的不同,IP地址还可以大致分为公有地址( Public Address)和私有地址( Private Address)两类。
在 3类 IP地址中专门保留了三个区段作为私有地址,其地址范围如下:
A类地址,10.0.0.0――10.255.255.255
B类地址,72.16.0.0――172.131.255.255
C类地址,192.168.0.0――192.168.255.255
网络组件设计
P79
1.在划分子网和进行地址分配时一定要十分谨慎,应该充分考虑未来的扩展性需求。
2.在分配子网编号时,网络管理员可以决定是否为每一个子网选择一个有意义的数字。
3.地址分配后要便于路由聚合。
4.由于 IP资源短缺,可以申请一个较小的地址段,使用 NAT技术与私有地址结合使用。
3,4,1,1 子网划分时应该注意的问题
3,4,1 子网划分 网络组件 设计
P79
1.子网划分按以下的步骤进行:
( 1) 确定 IP地址的类型和主机位数;
( 2) 确定要划分的子网数目;
( 3) 将子网数目对 2取对数,然后加 1,得到 N。
( 4) 将主机位的高 N位置为 1,加上原有的网络地址位
,即可得到新的子网掩码;
( 5) 除去掩码所占的位数,剩下的位数就是可用的主机位 m,可用的主机地址数目就是 2m-2。写出除子网地址和子网广播地址之外的所有可用主机地址范围。
3,4,2 VLSM 网络组件 设计
P81
VLSM技术是一种可变的子网划分方法,
它允许在一个网络中采用多个子网掩码,
而且随子网大小而变化。
3,4,3 网络地址转换( NAT) 网络组件 设计
P81
网络地址转换( NAT)技术指的是内网的私有地址转换成合法的外部 IP地址,使得内部用户能够访问 Internet。使用 NAT的企业只需要申请很少的 IP地址块就可以将很大的内部网络连接到 Internet。
NAT分析进出于边界路由器的数据包,如果是出站数据包,就把源地址转换成公开 IP地址;
如果是进站数据包,就将目的地址转换成私有
IP地址。
3,4,3 网络地址转换( NAT) 网络组件 设计
P82
3,4,3,2 NAT的优点 网络组件 设计
P83
( 1)节约申请公开地址的费用,提高 IP地址利用率。
( 2)屏蔽内部网络,提高网络的安全性。
( 3)保护已有的地址分配方案,减少地址维护工作。
3,4,4 地址分配策略 网络组件 设计
P83
1.按部门 /机构分配地址
2.按物理位置分配地址
3.按拓扑结构分配地址
3,4,5 动态主机配置协议
( DHCP)
网络组件设计
P84
动态主机配置协议( DHCP)被用来在网络上 自动进行 TCP/IP地址的分配 。
这种协议也能对工作站、打印机和其他 IP
设备提供配置参数。当设备在网络上启动或初始化时,DHCP协议将允许 DHCP服务器从地址池中分配一个空闲的 IP地址给该设备,自动联通网络。
3,4,5 动态主机配置协议
( DHCP)
网络组件设计
P84
3,5 IP路由设计 IP路由设 计
P85
根据路由协议的作用范围,我们可以将路由协议分成两类,即域内路由协议(
Interior Gateway Protocols,IGP)和域间路由协议( Exterior Gateway
Protocols— EGP)。
3,5 IP路由设计 IP路由设 计
P85
自治系统( Autonomous System,AS)是为了网络管理的方便
,人为制定的管理区域,由网络中心统一命名。
3,5,2路由协议的性能参数 IP路由设 计
P85
1.可伸缩性
2.路由更新
3.路由协议的稳定性
4.收敛速度
5.路由量度
6,VLSM支持
3,5,1 RIP路由协议 IP路由设 计
P86
1,RIP路由协议的要点
( 1) RIP协议是基于距离矢量算法的路由协议,属于内部网关协议;它通过 UDP(
User Datagram Protocol)报文交换路由信息。
( 2) RIP协议已到达目的地址所经过的路由器个数(跳数)为衡量路由好坏的度量值,最大跳数为 15;
( 3) RIP有 RIP-1和 RIP-2两个版本,RIP-2支持明文认证和 MD5密文认证,并支持可变长子网掩码。
( 4) RIP协议适用于基于 IP的中小型网络。
对本路由表中已有的路由项,当发送报文的网关相同时,不论度量值增大或是减少,都更新该路由项;
对本路由表中已有的路由项,当发送报文的网关不同时,只在度量值减少时,更新该路由项;
对本路由表中不存在的路由项,在度量值小于不可大( 16)时,在路由表中增加该路由项;
路由表中的每一路由项都对应一老化定时器,当路由项在 180秒内没有任何更新时,定时器超时,
该路由项的度量值变为不可达( 16)。
某路由项的度量值变为不可达后,以该度量值在
Response报文中发布四次( 120秒),之后从路由表中清除。
RIP路由表的更新原则 IP路由设 计
P88
RIP路由表的更新原则 IP路由设 计
P88
3,5,2 IGRP路由协议 IP路由设 计
P88
IGRP是从 RIP基础之上发展而来的 。 它比较 RIP而言,主要有以下几点改进:
( 1) IGRP路由的跳数不再受 16跳的限制,同时在路由更新上引入新的特性,使得 IGRP协议适用于更大的网络;
( 2) 引入了触发更新,路由保持,水平分割和毒性路由等机制,使得 IGRP对网络变化有着较快的响应速度,并且在拓扑结构改变后仍然能够保持稳定;
( 3)在 Metric值的范围和计算上有了很大的改进,使得路由的选择更加准确,同时使路由的选择可以适应不同的服务类型。
3,5,3 OSPF路由协议 IP路由设 计
P90
( 3) 只要网络拓扑发生任何变化,这种链路状态数据库就能很快地进行更新,使各个路由器能够重新计算出新的路由表 。 OSPF的更新过程收敛得快是其重要优点 。
( 4) OSPF依靠各路由器之间的频繁交换信息来建立链路状态数据库,并维持这数据库在全网范围内的一致性,
即实现链路状态数据的同步更新 。
( 5) OSPF不用 UDP而是直接使用 IP分组传送,IP分组首部的协议字段的值为 89。 OSPF发送的这种 IP分组都很小,
从而减少了路由信息的通信量 。 数据分组很小还有另一个好处是传输时不会分片,降低了传输出错的概率 。
3,5,3 OSPF路由协议 IP路由设 计
P90
OSPF是 Open Shortest Path First( 即,开放最短路由优先协议,) 的缩写 。 它是 IETF组织开发的一个基于链路状态 ( Link-State Protocol) 的自治系统内部路由协议 。
在 IP网络上,它通过收集和传递自治系统的链路状态来动态的发现并传播路由 。
3,5,3 OSPF路由协议 IP路由设 计
P90
1,OSPF协议原理简介
( 1) 所有的路由器都维持一个链路状态数据库 ( Link-
State Database),这个数据库实际上就是整个互联网的拓扑结构图 。 所谓一个路由器的,链路状态,就是指该路由器都和哪些网络或路由器相邻,以及将数据发往这些网络或路由器所需要的路由权 。 所有这些都有管理人员来管理 。
( 2) 由于网络中的链路状态可能经常发生变化,因此
OSPF让每一个链路状态都带上一个 32位的序号,序号越大状态就越新 。 OSPF规定,链路状态序号增长的速率不得超过每 5秒钟一次 。 这样,全部序号空间在 600年内不会产生重复号 。
2,OSPF的应用特性 IP路由设 计
P90
( 1) 适应范围,OSPF支持各种规模的网络,最多可支持几百台路由器
( 2) 快速收敛:如果网络拓扑结构发生变化,OSPF立即发送更新报文,使这一变化在自治系统中同步 。
( 3) 无自环:由于 OSPF通过收集到的链路状态用最小生成树算法计算路由,故从算法本身保证了不会生成自环路由 。
( 4) 子网掩码:由于 OSPF在描述路由时携带网络的掩码信息,所以 OSPF协议不受自然掩码的限制,对 VLSM提供很好的支持 。
2,OSPF的应用特性 IP路由设 计
P90
( 5) 区域划分,OSPF协议允许自治系统的网络被划分成区域来管理,区域间传送的路由信息被进一步抽象,从而减少了占用网络的带宽 。
( 6) 等值路由,OSPF支持到同一目的地最多三条等值路由 。
( 7) 路由分级,OSPF使用 4类不同的路由,按优先顺序来说分别是:区域内路由,区域间路由,第一类外部路由,
第二类外部路由 。
( 8) 支持验证:它支持给予接口的报文验证以保证路由计算的安全性 。
( 9) 组播发送,OSPF在有组播发送能力的链路层上以组播地址发送协议报文,即达到了广播的作用,又最大程度的减少了对其他网络设备的干扰 。
作业
P91
,网络工程原理与实践,
胡胜红、毕娅 编著人民邮电出版社 2005年 1月
本章重点介绍逻辑设计,介绍了逻辑拓扑结构设计、地址分配、广域网设计和路由协议的选择等基本知识。
本章重点
3,1网络设计的目标
3,2拓扑结构设计
3,3网络组件设计
3,4 IP地址分配
3,5 IP路由设计
3,1网络设计的目标网络设计的目标如下:
( 1)最大效益下最低的运作成本;
( 2)不断增强的整体性能;
( 3)易于操作和使用;
( 4)增强安全性;
( 5)适应性;
网络设计的目标
P48
3,1网络设计的目标为了实现上述目标,在设计过程中应综合权衡以下因素:
( 1) 最小的运行成本;
( 2) 最少的安装花费;
( 3) 最高的性能;
( 4) 最大的适应性;
( 5) 最大的安全性;
( 6) 最大的可靠性;
( 7) 最短的故障时间。
网络设计的目标
P48
3,2,1常见的网络拓扑结构网络拓扑结构是指忽略了网络通信线路的距离远近和粗细程度,忽略通信节点大小和类型后仅仅用点和直线来描述的图形结构(图 3-1)。
拓扑结构设计
P49
3,2,1常见的网络拓扑结构
1,总线型
2,环型
3,星型和树型
星型网络必有一个中心节点,所有数据都要通过中心节点交换,因此中心节点是星型网络的核心层。
树型结构是星型结构的扩展,顶层节点负荷较重,属于核心层,但如果设计合理,可以将一部分负荷分配给下一层节点,因此树型结构多出了一个分布层。
4,网状模型拓扑结构设计
P49
3,2,2估算网络中的通信量
1.估算网络中的通信量主要有两个方面:
( 1)根据业务需求和业务规模估算通信量的大小;
( 2)根据流量汇聚原理确定链路和节点的容量;
2.估算通信量应该注意的问题:
( 1)必须以满足当前业务需要为最低标准;
( 2)必须考虑到未来若干年内的业务增长需求;
( 3)能对选择何种网络技术提供指导;
( 4)能对冲突域和广播域的划分提供指导;
( 5)能对选择何种物理介质和网络设备提供指导。
拓扑结构设计
P50
上行链路和下行链路
上行链路指的是从工作站流向核心网络设备的链路。下行链路指的是从核心网络设备流向工作站的链路。
(图 3-2)
上行链路的容量衡量了核心设备和线路的容量,影响了骨干网技术的选择。下行链路的容量则可给出了某种骨干网技术能满足的客户端应用的能力。
拓扑结构设计
P50
(图 3-2) 拓扑结构 设计
P50
上行链路和下行链路
例一,假设核心层交换机所使用的连接数为 8
,而每个端口下连交换机的带宽是 100M,也使用了 8个端口,在交换机满负荷工作概率为
60%的条件下,按照交换机的特点,干线容量的计算方式为:
8× 100Mbps× 60%=480Mbps
核心交换机的容量为:
8× 480Mbps× 60%=2304Mbps
由此可以得出对主干线路的技术要求拓扑结构设计
P50
3,2,3分层设计方法
Cisco公司将大型网络的拓扑结构划分为三个层次,即核心层、分布层和接入层。
拓扑结构设计
P51
3,2,3分层设计方法
1.分层结构的设计目标是:
( 1)核心层处理高速数据流,其主要任务是数据包的交换;
( 2)分布层负责网段的逻辑分割,聚合路由路径,收敛数据流量;
( 3)接入层将流量馈入网络,执行网络访问控制,并且提供相关边缘服务。
拓扑结构设计
P51
3,2,3分层设计方法
2.拓扑设计的原则:
按照分层结构设计网络拓扑结构时,应遵守以下两条基本原则:
( 1)网络中因拓扑结构改变而受影响的区域应被限制到最小程度。
( 2)路由器应传输尽量少的信息。
拓扑结构设计
P51
3,2,3分层设计方法
( 1)分层拓扑结构的优点:流量从接入层流向核心层时,被收敛在高速的链接上;流量从核心层流向接入层时,被发散到低速链接上,如图 3-6所示。
( 2)分层拓扑结构的缺点:分层拓扑结构固有的缺点是在物理层内隐含(或导致)单个故障点,即某个设备或某个失败的链接会导致网络遭受严重的破坏。克服单个故障点的方法是采用冗余手段,但这会导致网络的复杂性的增加
。
拓扑结构设计
P52
1,核心层设计方法网络核心层的主要工作是交换数据包,核心层的设计应该注意两点:
( 1)不要在核心层执行网络策略:所谓策略就是一些设备支持的标准或系统管理员定制的规划。
( 2)核心层的所有设备应具有充分的可到达性
。
拓扑结构设计
P52
2,分布层设计方法分布层将大量低速的链接(与接入层设备的链接)通过少量宽带的连接接入核心层,以实现通信量的收敛,提高网络中聚合点的效率。同时减少核心层设备路由路径的数量。
总之,分布层的主要设计目标包括:
1,隔离拓扑结构的变化;
2,通过路由聚合控制路由表的大小;
3,收敛网络流量。
拓扑结构设计
P52
路由聚合 拓扑结构 设计
P53
路由聚合 拓扑结构 设计
P53
( 1)新路由表大大减小。
路由器 C的路由表为:
( 2)路由收敛速度加快目标网络 掩码 端口 跳数 连接方式
172,16,0
,0
255,255,255.
254
E0 0 直连
172,16,2
,0
255,255,255.
254
E1 0 直连
172,16,0
,0
255,255,255.
252
E3 0 直连
3,接入层设计方法接入层的设计目标包括三个,即:
( 1)将流量馈入网络:为确保将接入层流量馈入网络,要做到:
① 接入层路由器所接收的链接数不要超出其与分布层之间允许的链接数;
② 如果不是转发到局域网外主机的流量,就不要通过接入层的设备进行转发;
拓扑结构设计
P54
3,接入层设计方法
③ 不要将接入层设备作为两个分布层路由器之间的连接点,即不要将一个接入层路由器同时连接两个分布层路由器。
( 2)控制访问:由于接入层是用户进入网络的入口,所以也是黑客入侵的门户。接入层通常用包过滤策略提供基本的安全性,保护局域网段免受网络内外的攻击。
拓扑结构设计
P54
3,2,3,4 绘制网络拓扑图好的网络拓扑结构图能恰当地表现设计者的意图
。绘制网络拓扑图要注意以下几点:
( 1)选择合适的图符来表示设备;
( 2)线对不能交叉、串接,非线对尽量避免交叉;
( 3)终接处及芯线避免断线、短路;
( 4)主要的设备名称和商家名称要加以注明;
( 5)不同连接介质要使用不同的线型和颜色加以注明;
( 6)标明制图日期和制图人。
拓扑结构设计
P54绘制网络拓扑图可以使用微软公司的 visio 2002软件
3,2,3,5 80/20规则
80/20规则是传统以太网设计必须要遵循的一个原则。它表明一个网段数据流量的 80%是在该网段内的本地通信,只有 20%的数据流量是发往其它网段的。
拓扑结构设计
P55
3,3 网络组件设计为了有步骤地实施网络,通常将一个完整的网络划分为逻辑上功能独立的组件,这些组件主要有三个:园区网、广域网、远程连接。网络组件划定了网络的功能范围,进一步深化了分层设计的思想,同时又为地址分配和安全控制提供了依据。
网络组件设计
P55
3,3,1园区网园区网是指为企事业单位组建的办公局域网。
典型的园区网包括校园网、社区网、住宅小区网、企事业单位网等。
园区网设计有以下特点:
园区网是网络的基本单元
园区网较适合于采用三层结构设计
园区网对线路成本考虑的较少,对设备性能考虑的较多,追求较高的带宽和良好的扩展性
园区网的结构比较规整网络组件设计
P55
3,3,1,1 以太网( Ethernet)
粗缆以太网( 10Base5)
细缆以太网( 10Base2)
双绞线以太网( 10BaseT)
10BaseT中的,T”指的是传输介质为双绞线( Twisted-Pair)
电缆。 IEEE的 10Base-T标准使用星型拓扑结构,并使用 8针的
RJ-45接口(又称为水晶头)。
10BaseT网络的主要互联设备是共享式集线器( HUB)。
使用集线器和双绞线以太网的结构分为:单集线器结构、多集线器级联结构和集线器堆叠结构。
网络组件设计
P56
4,5-4-3规则使用中继器或集线器连接的多个以太网段在逻辑上仍然属于一个冲突域,为了使网络效率不至于太低,就对连接的网段数目和各网段的主机数作了明确规定,即 5-4-3规则。其中:
( 1)最多只能由 5个网段相连;
( 2)中继设备最多只能有 4个;
( 3)其中只能在第 1,2,5三个网段上连接主机
。
网络组件设计
P56
4,5-4-3规则 网络组件 设计
P57
(图 3-7)
3,3,1,2 快速以太网( Fast
Ethernet)
网络组件设计
P57
快速以太网指速度较快,能提供 100M标准带宽的以太网,不再使用同轴电缆,而是使用 5类或超 5类双绞线或光缆作为传输介质,拓扑结构上以星型和树型为主
。互联设备主要采用集线器和交换机,具有与 10M以太网完全兼容的特性,因此可以在园区网的核心层采用。快速以太网的技术标准主要有以下几个:
1,100 Base-TX
2,100 Base-FX
3,100 Base-T4
3,3,1,3吉比特以太网 网络组件 设计
P58
吉比特以太网是 10/100Base-T以太网的向上兼容技术,它除了能提供 1Gbps( 1000Mbps)的带宽并支持全双工连接外,还具备以下特点:
( 1)吉比特以太网使用传统的 CSMA/CD介质访问控制协议。
( 2)保护原有网络的投资。
( 3)吉比特以太网可用于多种传输介质。如双绞线、多模和单模光纤。
( 4)低成本的升级费用。
( 5)支持服务质量( QoS)和第三层交换。
( 6)吉比特以太网以及新的 10G比特以太网为局域网(含园区网
)和城域网提供了高性价比的宽带传输交换,将以太网地位进行了重新定义。
3,3,1,4光纤分布式数据接口( FDDI)
网络组件设计
P59
光纤分布式数据接口网络出自美国一些大型机公司,
1990年由美国国家标准局( ANSI)的 X3T9.5委员会正式颁布。 FDDI支持长达 2km的多模光纤,传输速率高达 100Mbps。因此,在早期的 10M以太网时代,它的推出有无穷魅力,被应用到各种环境中,如园区网骨干、广域网骨干等。
3,3,1,5 ATM网 网络组件 设计
P59
ATM( Asynchronous Transfer Mode,异步传输方式)是建立在电路交换和分组交换的基础上的一种新的交换技术,ATM兼有电路交换的可靠性、实时性和分组交换的高效性、灵活性,通常作为高性能局域网骨干和广域网骨干
。
2,ATM网络服务类型 网络组件 设计
P59
( 1) ITU-T规定的服务类型
ITU-T最初规定了 ATM网络可向用户提供四种类别
( class)的服务,从 A类到 D。
服务类别 ( class) A类 B类 C类 D类比特率 恒定 可变是否需要同步 需要 不需要连接方式 面向连接 无连接应用举例 64 kbps话音 变比特率图像 面向连接数据 无连接数据
2,ATM网络服务类型 网络组件 设计
P60
( 2) ATM论坛规定的服务类型
ATM论坛依据各种服务的通信量特性和 QoS等定量参数,提出了将 ATM的服务按照比特率的特点划分为以下 5个种类( Category)。
恒定比特率 CBR( Constant Bit Rate)。
实时可变比特率 rt-VBR(real-time Variable Bit Rate)
。
非实时可变比特率 nrt-VBR(non-real-time Variable
Bit Rate)。
不指明比特率 UBR( Unspecified Bit Rate)。
可用比特率 ABR( Available Bit Rate)。
3,ATM局域网仿真技术 网络组件 设计
P61
为了使 ATM与传统局域网技术互联,必须提供与局域网相兼容的技术。
ATM论坛的 LAN仿真规范 1.0定义了一种标准的
、与协议无关的方法,它使连接在局域网上的设备能够在 ATM主干网上进行通信。
在 ATM的 LANE技术中,每一个仿真 LAN就是一个 VLAN,反之亦然。
3,ATM局域网仿真技术 网络组件 设计
P61
为了使 ATM与传统局域网技术互联,必须提供与局域网相兼容的技术。
ATM论坛的 LAN仿真规范 1.0定义了一种标准的
、与协议无关的方法,它使连接在局域网上的设备能够在 ATM主干网上进行通信。
在 ATM的 LANE技术中,每一个仿真 LAN就是一个 VLAN,反之亦然。
3,3,1,6 WLAN 网络组件 设计
P61
WLAN有两种主要的拓扑结构,即 自组织型网络 (也就是对等网络,即人们常称的 Ad-Hoc
网络)和 基础结构型网络 ( Infrastructure
Network)。
3,3,1,6 WLAN 网络组件 设计
P61
1.自组织型 WLAN
自组织型 WLAN是一种对等模型的网络,它的建立是为了满足暂时需求的服务。
3,3,1,6 WLAN 网络组件 设计
P62
2.基础结构型 WLAN
基础结构型 WLAN利用了高速的有线或无线骨干传输网络。在这种拓扑结构中,移动节点在基站 ( Base Station,BS)的协调下接入到无线信道。
3,3,1,7 VLAN(虚拟局域网) 网络组件 设计
P62
虚拟局域网技术( VLAN)是一种得到较快发展的技术。
此种技术的核心是通过路由和交换设备,在网络的物理拓扑结构基础上建立一个逻辑网络,
以使得网络中任意几个 LAN段或单站能够组合成一个逻辑上的局域网。
支持 VLAN的交换设备给用户提供了非常好的网络分段能力,极低的报文转发延迟以及很高的传输带宽。
这种交换设备通常是第三层交换机或路由交换机。
3,3,1,7 VLAN(虚拟局域网) 网络组件 设计
P62
第三层楼第二层楼第一层楼销售部 人力资源部 工程部
3,3,1,7 VLAN(虚拟局域网) 网络组件 设计
P63
第三层楼第二层楼第一层楼销售部 人力资源部 工程部优点:分段 +管理灵活 +安全
3,3,1,7 VLAN(虚拟局域网) 网络组件 设计
P63
2.虚拟局域网的划分方式
( 1)基于端口划分 VLAN
( 2)基于 MAC 地址划分 VLAN
( 3)基于协议规则划分 VLAN
( 4)基于网络地址划分 VLAN
( 5)基于用户定义规则划分 VLAN
3,3,1,7 VLAN(虚拟局域网) 网络组件 设计
P65
3,VLAN的实现方法设计 VLAN时通常有两种做法:
( 1)核心路由器 +VLAN交换机
( 2)第三层交换机 +VLAN交换机新的 VLAN还可以结合 VPN技术,为远程用户提供服务,成为广域网的重要组成部分。
3,3,1,8 服务子网的设计 网络组件 设计
P65
服务子网设计应该遵循以下原则:
( 1)服务子网应该有较高的下行带宽,通常直接连到交换机的高速端口;
( 2)服务子网应具有一定的冗余性,重要的数据服务器和 PDC可以考虑双归接入;
( 3)服务子网应具有一点的安全性,应根据安全级别指派 IP地址和 VLAN,重要的服务器可以单独划分子网,加装内部防火墙。
( 3)服务子网可以考虑集群服务提供更高的可靠性。
3,3,1,8 服务子网的设计 网络组件 设计
P65
( 1)集中式服务设计
集中式服务设计将服务器集中配置在中心机房。
这种设计方式的优点就是管理方便,安全性能高,缺点是增加了核心层的负荷。
3,3,1,8 服务子网的设计 网络组件 设计
P66
( 2)分布式服务设计
分布式服务设计将服务器根据部门应用特点分布到各个部门(
分布层)的机房。
分布式服务设计优点是管理和维护都很灵活。
3,3,1,8 服务子网的设计 网络组件 设计
P66
( 2)分布式服务设计
分布式服务设计将服务器根据部门应用特点分布到各个部门(
分布层)的机房。
分布式服务设计优点是管理和维护都很灵活。
3,3,1,9典型拓扑设计举例 网络组件 设计
P66
1,10M/100M共享式应用
3,3,1,9典型拓扑设计举例 网络组件 设计
P67
升级方案
使用路由器分段可以隔离冲突域和广播域且可以提供一定的安全性,无需购买专门的路由器,直接使用 Windows2000服务器的路由服务即可,需安装双网卡;
添加 10M交换机或 100M集线器替换中央集线器改造成混合式以太网,可以将网络带宽提高数倍。
3,3,1,9典型拓扑设计举例 网络组件 设计
P67
2,10M/100M交换式应用
3,3,1,9典型拓扑设计举例 网络组件 设计
P68
( 3)升级方案
使用吉比特以太网作为骨干网,提供更大的主干带宽;
使用 VLAN技术划分逻辑段,提高安全性,减小广播风暴的影响;
使用 ATM作为主干网,增强多媒体业务能力。
3,3,1,9典型拓扑设计举例 网络组件 设计
P68
3,1000M交换式骨干网
3,3,2广域网( Wide Area
Network,WAN)
网络组件设计
P69
众所周知,广域网将分布在各地的局域网互连起来,为局域网之间的数据传输提供信道。因此在一个开放式的网络中,广域网的设计也很重要。
3,3,2,1广域网设计的要点 网络组件 设计
P69
在广域网设计中要着重考虑以下几点:
( 1)充分分析广域网的带宽效率和带宽费用,
保证 WAN链路的可用性和可靠性;
在分析广域网的带宽时,要掌握以下要点:
① 需要什么样的带宽?
② 要发送多大的数据包?
③ 对带宽的要求是恒定还是突发的?
④ 网络使用的频繁程度
3,3,2,1广域网设计的要点 网络组件 设计
P70
( 2)详细设计 WAN链路,选择合适的接入技术
。
( 3)做好物理层设计,为不同的服务选择合适的接入设备,如 Modem、路由器、访问服务器等,尽可能选择具有多种服务方式的设备;
( 4)彻底评估 WAN潜在的安全隐患,提出解决方案。
3,3,2,2广域网技术选型 网络组件 设计
P70
1,X.25分组交换网
X.25协议是最早的广域网协议之一,是一种数据分组交换技术。 X.25协议组包含物理层、数据链路层和网络层协议,适用于低中速线路(
如 9.6kbps,64kbps、或 T1 1.44Mbps线路)
。中国公用分组交换数据网( CHINAPAC)就是提供的基于 X.25的服务的 ISP。
3,3,2,2广域网技术选型 网络组件 设计
P70
2,DDN(数字专用线路)
DDN即数字数据网,它是利用光纤(数字微波和卫星)数字传输通道和数字交叉复用节点组成的数字数据传输网,可以为用户提供各种速率的高质量数字专用电路和其它新业务,以满足用户多媒体通信和组建中高速计算机通信网的需要。
DDN业务区别于传统模拟电话专线的显著特点是数字电路,
传输质量高、时延小、通信速率可根据需要选择;电路可以自动迂回,可靠性高;一线可以多用,即可以通话、传真、传送数据,还可以组建会议电视系统,开放帧中继业务,做多媒体业务,或组建自己的虚拟专网设立网管中心,自己管理自己的网络。
3,3,2,2广域网技术选型 网络组件 设计
P71
2,DDN(数字专用线路)
DDN业务区别于传统模拟电话专线的显著特点是数字电路,传输质量高、时延小、通信速率可根据需要选择;电路可以自动迂回,可靠性高;一线可以多用,即可以通话、传真、传送数据,还可以组建会议电视系统,开放帧中继业务,做多媒体业务,或组建自己的虚拟专网设立网管中心,自己管理自己的网络。
3,3,2,2广域网技术选型 网络组件 设计
P71
DDN可以提供的主要业务包括:
( 1)租用专线业务
( 2)帧中继业务
( 3)话音 /传真业务用户入网方式:
( 1)通过模拟专线(用户环路)和调制解调器入网。
( 2)通过光纤电路入网,适用于光纤到户的用户。
3.帧中继( Frame Relay) 网络组件 设计
P71
帧中继是一种“先进”的包交换技术,它是从分组交换技术发展起来的,是种快速分组通信方式。
帧中继很多地方和 X.25相同,如它也采用虚电路技术,并且也支持 PVC和 SVC两种交换方式
。
帧中继网络采用的传输介质是光纤。
3.帧中继( Frame Relay) 网络组件 设计
P71
帧中继网络的特点:
帧中继采用了虚电路( Virtual Circuit,VC)技术;
帧中继简化了 X.25通信协议,时延小、传输效率高、数据吞吐量大;
帧中继使用统计复用技术,传输贷款按需分配,适用于突发性业务;
帧中继支持多种网络协议,可以为各种网络提供快速、稳定的连接;
帧中继传输速率高,接入速率一般为 64Kbps-2Mbps;
帧中继降低了联网成本,使网络资源利用率高,网络费用低廉
。
4.综合业务数字网( Integrated
Services Digital Network,ISDN)
网络组件设计
P71
( 1) ISDN概述
ISDN是一个基于数字的远程通信标准。
ISDN支持终端用户在线路上连接几个设备,
如传真机、计算机、数字电话等。
N-ISDN(窄带 ISDN)支持两种接口,即 BRI
(基本速率接口)。
4.综合业务数字网( Integrated
Services Digital Network,ISDN)
网络组件设计
P71
利用 TDMA(时分多路复用技术),BRI可以提供
144kbps的数据速率,其中包括 3个传输通道,即 2个
64kbps的 B通道用于数据、音频和图像传输,一个
16kbps的 D通道用于通信信令、数据包交换和信用卡验证。 PRI可以提供大的带宽,聚集更多的通道,主要有两个标准。美国标准包括 23个 64kbps的 B信道用于数据传输,一个 64kbps的 D信道用于信令传输,
总带宽为 1.536bps;欧洲标准包括 30个 64kbps的 B
信道用于数据传输,一个 64kbps的 D信道用于信令传输,总带宽为 1.984Mbps。
4.综合业务数字网( Integrated
Services Digital Network,ISDN)
网络组件设计
P72
ISDN的特点:
支持多种服务、高速的数据传输能力、优质的语音服务、有呼叫识别、动态带宽分配、拨号备份、同时支持多个设备、传输可靠、快速连通。
4.综合业务数字网( Integrated
Services Digital Network,ISDN)
网络组件设计
P72
ISDN是一种应用非常广泛的广域网连接技术,可以作以下用途使用:
LAN至 LAN的连接
家庭办公室和远程办公机构
商业计算机系统的脱机备份和灾难恢复
传输大型图像和数据文件
LAN至 LAN 的视频和多媒体应用
5,xDSL 网络组件 设计
P73
ADSL具有了以下优势:
( 1)在一对双绞线上可为用户提供高达 8Mbps的下行速率,1Mbps的上行速率。
( 2)较充足的带宽可用于传输多种宽带数据业务,如会议电视,VOD,HDTV业务等;而且,下行速率大于上行速率,非常符合普通用户联网的实际需要。
( 3) ADSL并不影响用户对普通电话的使用。由于使用了独特的信号调制技术,用户接入 ADSL的同时仍然可以进行普通电话通信。
HFC和宽带高速专线接入 网络组件 设计
P74
6,HFC
HFC( Hybrid Fiber/ Coax),即网络传输主干为光纤,到用户端为同轴电缆的用户网络接入方式。
7.宽带高速专线接入所谓宽带城域网,就是在城市范围内,以 IP和 ATM电信技术为基础,以光纤作为传输媒介,集数据、语音
、视频服务于一体的高带宽、多功能、多业务接入的的多媒体通信网络。
3,3,2,3 典型广域网设计举例 网络组件 设计
P74
1.使用 DDN/帧中继连接企业总部和分部
3,3,2,4优化广域网的性能 网络组件 设计
P74
1.用路由器软件为 WAN预留带宽
2.利用备份线路
3.压缩
( 1)基于历史的压缩
( 2)所有数据包压缩
3,3,2,4优化广域网的性能 网络组件 设计
P75
3.数据优先排序 4,协议预留紧急高级一般低级
PPP链路调度软件
10%HTTP
3%Telnet
10%FTP
3,3,3远程连接 网络组件 设计
P76
3,3,3,1远程连接的应用范围由于新业务需求的出现导致了一种新的 WAN连接技术,即远程接入技术,这种技术设计的复杂程度不亚于其它 WAN网的设计,由于它有时候直接面向终端用户,所以对于性能的完美程度要求更高,是许多网络设计人员不断努力追求的目标。
( 1)外地办事处或派驻机构
( 2) SOHO( Small Office Home Office)
3,3,3,2远程连接的设计特点 网络组件 设计
P76
3,3,3,3远程连接的技术与趋势网络组件设计
P76
通常采用的远程连接方案是拨号网络和专用 WAN
连接,一般带宽在 56kbps~128kbps。
用来提供远程连接的技术有:
( 1) 模拟 Modem;
( 2) 专线:如 DDN;
( 3) 综合业务数字网( ISDN);
( 4) 非对称数字用户线路( xDSL);
( 5) 无线技术;如蓝牙( Bluetooth)。
3,3,3,4建立安全的连接 网络组件设计
P77
1.虚拟专用网( VPN)
虚拟专用网( Virtual Private Network,
VPN)是一种采用隧道技术在公共网络上建立专用逻辑通道的连接方式,被广泛应用于远程访问和企业 Intranet/Extranet中
。
3,3,3,4建立安全的连接 网络组件 设计
P77
1.虚拟专用网( VPN)
3,3,3,4建立安全的连接 网络组件 设计
P77
VPN对隧道协议有明确的规范,例如工作在第二层的 PPTP,L2F,L2TP和工作在第三层的 GRE,IPSec。
IP首部 PPTP首部 PPP首部 PPP尾部原 IP报文
IP首部 AH ESP
PPTP封装后在 Internet上传输的报文
IPSec封装后在 Internet上传输的报文
3,3,3,4建立安全的连接 网络组件 设计
P78
2.安全套接层( SSL)
SSL是一种工作在应用层的加密技术,已经成为电子商务安全交易的一种主要连接方式。 HTTP协议的数据包在计算机之间传输时,SSL采用公共密钥对数据包加密,但它不能为通信信道两端的计算机提供保护
。而且,SSL只能处理 HTTP数据包,不能为通过文件传输协议( FTP) /简单文件传输协议( SMTP)
/Telnet或者其它 TCP/IP服务传输的数据进行加密。
SSL初级版本采用 40位密钥,现在也可使用 128位密钥。
IPv4地址结构 IP地址分 配
P78
B类地址
A类地址
C类地址
D类地址 组 播 地 址
10
11110
1110
110
网络地址 ( 14位 )
网络地址 ( 7位 )
保留用于试验和将来的使用
0 网络地址 ( 7位) 主机地址 ( 24位 )
主机地址 ( 8位 )
主机地址 ( 16位 )
0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31
E类地址图 3-23 IP地址分类图
IPv4地址结构 IP地址分 配
P78
公开地址和私有地址 网络组件 设计
P79
根据用途和安全性级别的不同,IP地址还可以大致分为公有地址( Public Address)和私有地址( Private Address)两类。
在 3类 IP地址中专门保留了三个区段作为私有地址,其地址范围如下:
A类地址,10.0.0.0――10.255.255.255
B类地址,72.16.0.0――172.131.255.255
C类地址,192.168.0.0――192.168.255.255
网络组件设计
P79
1.在划分子网和进行地址分配时一定要十分谨慎,应该充分考虑未来的扩展性需求。
2.在分配子网编号时,网络管理员可以决定是否为每一个子网选择一个有意义的数字。
3.地址分配后要便于路由聚合。
4.由于 IP资源短缺,可以申请一个较小的地址段,使用 NAT技术与私有地址结合使用。
3,4,1,1 子网划分时应该注意的问题
3,4,1 子网划分 网络组件 设计
P79
1.子网划分按以下的步骤进行:
( 1) 确定 IP地址的类型和主机位数;
( 2) 确定要划分的子网数目;
( 3) 将子网数目对 2取对数,然后加 1,得到 N。
( 4) 将主机位的高 N位置为 1,加上原有的网络地址位
,即可得到新的子网掩码;
( 5) 除去掩码所占的位数,剩下的位数就是可用的主机位 m,可用的主机地址数目就是 2m-2。写出除子网地址和子网广播地址之外的所有可用主机地址范围。
3,4,2 VLSM 网络组件 设计
P81
VLSM技术是一种可变的子网划分方法,
它允许在一个网络中采用多个子网掩码,
而且随子网大小而变化。
3,4,3 网络地址转换( NAT) 网络组件 设计
P81
网络地址转换( NAT)技术指的是内网的私有地址转换成合法的外部 IP地址,使得内部用户能够访问 Internet。使用 NAT的企业只需要申请很少的 IP地址块就可以将很大的内部网络连接到 Internet。
NAT分析进出于边界路由器的数据包,如果是出站数据包,就把源地址转换成公开 IP地址;
如果是进站数据包,就将目的地址转换成私有
IP地址。
3,4,3 网络地址转换( NAT) 网络组件 设计
P82
3,4,3,2 NAT的优点 网络组件 设计
P83
( 1)节约申请公开地址的费用,提高 IP地址利用率。
( 2)屏蔽内部网络,提高网络的安全性。
( 3)保护已有的地址分配方案,减少地址维护工作。
3,4,4 地址分配策略 网络组件 设计
P83
1.按部门 /机构分配地址
2.按物理位置分配地址
3.按拓扑结构分配地址
3,4,5 动态主机配置协议
( DHCP)
网络组件设计
P84
动态主机配置协议( DHCP)被用来在网络上 自动进行 TCP/IP地址的分配 。
这种协议也能对工作站、打印机和其他 IP
设备提供配置参数。当设备在网络上启动或初始化时,DHCP协议将允许 DHCP服务器从地址池中分配一个空闲的 IP地址给该设备,自动联通网络。
3,4,5 动态主机配置协议
( DHCP)
网络组件设计
P84
3,5 IP路由设计 IP路由设 计
P85
根据路由协议的作用范围,我们可以将路由协议分成两类,即域内路由协议(
Interior Gateway Protocols,IGP)和域间路由协议( Exterior Gateway
Protocols— EGP)。
3,5 IP路由设计 IP路由设 计
P85
自治系统( Autonomous System,AS)是为了网络管理的方便
,人为制定的管理区域,由网络中心统一命名。
3,5,2路由协议的性能参数 IP路由设 计
P85
1.可伸缩性
2.路由更新
3.路由协议的稳定性
4.收敛速度
5.路由量度
6,VLSM支持
3,5,1 RIP路由协议 IP路由设 计
P86
1,RIP路由协议的要点
( 1) RIP协议是基于距离矢量算法的路由协议,属于内部网关协议;它通过 UDP(
User Datagram Protocol)报文交换路由信息。
( 2) RIP协议已到达目的地址所经过的路由器个数(跳数)为衡量路由好坏的度量值,最大跳数为 15;
( 3) RIP有 RIP-1和 RIP-2两个版本,RIP-2支持明文认证和 MD5密文认证,并支持可变长子网掩码。
( 4) RIP协议适用于基于 IP的中小型网络。
对本路由表中已有的路由项,当发送报文的网关相同时,不论度量值增大或是减少,都更新该路由项;
对本路由表中已有的路由项,当发送报文的网关不同时,只在度量值减少时,更新该路由项;
对本路由表中不存在的路由项,在度量值小于不可大( 16)时,在路由表中增加该路由项;
路由表中的每一路由项都对应一老化定时器,当路由项在 180秒内没有任何更新时,定时器超时,
该路由项的度量值变为不可达( 16)。
某路由项的度量值变为不可达后,以该度量值在
Response报文中发布四次( 120秒),之后从路由表中清除。
RIP路由表的更新原则 IP路由设 计
P88
RIP路由表的更新原则 IP路由设 计
P88
3,5,2 IGRP路由协议 IP路由设 计
P88
IGRP是从 RIP基础之上发展而来的 。 它比较 RIP而言,主要有以下几点改进:
( 1) IGRP路由的跳数不再受 16跳的限制,同时在路由更新上引入新的特性,使得 IGRP协议适用于更大的网络;
( 2) 引入了触发更新,路由保持,水平分割和毒性路由等机制,使得 IGRP对网络变化有着较快的响应速度,并且在拓扑结构改变后仍然能够保持稳定;
( 3)在 Metric值的范围和计算上有了很大的改进,使得路由的选择更加准确,同时使路由的选择可以适应不同的服务类型。
3,5,3 OSPF路由协议 IP路由设 计
P90
( 3) 只要网络拓扑发生任何变化,这种链路状态数据库就能很快地进行更新,使各个路由器能够重新计算出新的路由表 。 OSPF的更新过程收敛得快是其重要优点 。
( 4) OSPF依靠各路由器之间的频繁交换信息来建立链路状态数据库,并维持这数据库在全网范围内的一致性,
即实现链路状态数据的同步更新 。
( 5) OSPF不用 UDP而是直接使用 IP分组传送,IP分组首部的协议字段的值为 89。 OSPF发送的这种 IP分组都很小,
从而减少了路由信息的通信量 。 数据分组很小还有另一个好处是传输时不会分片,降低了传输出错的概率 。
3,5,3 OSPF路由协议 IP路由设 计
P90
OSPF是 Open Shortest Path First( 即,开放最短路由优先协议,) 的缩写 。 它是 IETF组织开发的一个基于链路状态 ( Link-State Protocol) 的自治系统内部路由协议 。
在 IP网络上,它通过收集和传递自治系统的链路状态来动态的发现并传播路由 。
3,5,3 OSPF路由协议 IP路由设 计
P90
1,OSPF协议原理简介
( 1) 所有的路由器都维持一个链路状态数据库 ( Link-
State Database),这个数据库实际上就是整个互联网的拓扑结构图 。 所谓一个路由器的,链路状态,就是指该路由器都和哪些网络或路由器相邻,以及将数据发往这些网络或路由器所需要的路由权 。 所有这些都有管理人员来管理 。
( 2) 由于网络中的链路状态可能经常发生变化,因此
OSPF让每一个链路状态都带上一个 32位的序号,序号越大状态就越新 。 OSPF规定,链路状态序号增长的速率不得超过每 5秒钟一次 。 这样,全部序号空间在 600年内不会产生重复号 。
2,OSPF的应用特性 IP路由设 计
P90
( 1) 适应范围,OSPF支持各种规模的网络,最多可支持几百台路由器
( 2) 快速收敛:如果网络拓扑结构发生变化,OSPF立即发送更新报文,使这一变化在自治系统中同步 。
( 3) 无自环:由于 OSPF通过收集到的链路状态用最小生成树算法计算路由,故从算法本身保证了不会生成自环路由 。
( 4) 子网掩码:由于 OSPF在描述路由时携带网络的掩码信息,所以 OSPF协议不受自然掩码的限制,对 VLSM提供很好的支持 。
2,OSPF的应用特性 IP路由设 计
P90
( 5) 区域划分,OSPF协议允许自治系统的网络被划分成区域来管理,区域间传送的路由信息被进一步抽象,从而减少了占用网络的带宽 。
( 6) 等值路由,OSPF支持到同一目的地最多三条等值路由 。
( 7) 路由分级,OSPF使用 4类不同的路由,按优先顺序来说分别是:区域内路由,区域间路由,第一类外部路由,
第二类外部路由 。
( 8) 支持验证:它支持给予接口的报文验证以保证路由计算的安全性 。
( 9) 组播发送,OSPF在有组播发送能力的链路层上以组播地址发送协议报文,即达到了广播的作用,又最大程度的减少了对其他网络设备的干扰 。
作业
P91
,网络工程原理与实践,
胡胜红、毕娅 编著人民邮电出版社 2005年 1月
