企业网网络规划概述.ppt

企业网网络规划概述,ISSUE 3.0-肖春喜,学习目标,掌握网络规划的基本原则 了解拓扑设计和地址规划原则 了解网络安全部署原则 了解网络管理系统部署原则以及发展趋势,学习完本课程，您应该能够：,网络规划其实很难,一个合格的网络设计师需要具备如下条件： 精通TCP/IP协议族中数十个协议的原理 精通N家厂商的N百种设备的性能和配置 还要具备统筹学、经济学、哲学的基本思想 丰富的实践经验和组织协调能力 对网络中的新技术保持高度的敏感性 胆大心细、临危不乱的良好心里素质 ,网络规划其实很简单,瞎说！根本没那么恐怖： 常用的协议不超过10个，了解大概就行 主流厂商只有几家，相同厂家的产品配置相同 很多网络的模型都十分相似，照猫画虎即可 不就是画几个框框、圈几个圈圈、连几根线么,网络规划其实很崇高,当你进行网络规划时，你与 画“向日葵”的凡.高 谱写“命运交响曲”的贝多芬 唱“我的太阳”的帕瓦罗帝 设计“鸟巢”的安德鲁 没什么区别，因为你们都是,艺术工作者！,课程内容,网络概述 设备选型 网络拓扑选择 端口选择 备份方案和板卡的规划 IP地址的规划和命名原则 网络安全规则原则 网络管理系统规划原则,贺岁大片网络帝国,路由器（男主角） 网络中最重要的设备，提供最丰富的接口连接、软件特性，也是构建网络的核心力量。 以太网设备（L2/L3/LAN接入）（女主角） 提供各种以太网接口类型的线速转发功能，是构建局域网和城域网的核心力量。 路由交换设备（反串） 提供LAN交换板的路由器；提供增强型引擎的交换机路由器和交换机的融合趋势越来越明显。 其他设备（配角） 网管、安全、语音、存储、视讯设备，提供网络的管理或业务增值功能。 二层或物理层交换设备（剧务） ATM交换机、FR、X.25交换机、DDN节点机、传输设备。对各种物理端口进行带宽或时隙的拆分。对于网络规划通常是不可见的。,常见网络设备,路由交换设备 路由器： 以太网交换机（L2/L3/LAN）： 路由交换设备：,+,常见网络设备（续）,二层或物理层交换设备（广域网连接） ATM交换机、FR、X.25交换机、DDN节点机、传输设备,广域网,常见网络设备（续）,其他设备 网管、安全、语音、视讯设备,防火墙,安全网关,入侵检测系统,语音服务器,语音网关,视频终端,MCU,PBX系统,CAMS,网络中的设备,基于CPU的设备 此类设备功能最强，由于所有的功能都由软件实现，几乎无所不能。但转发性能方面差强人意。 基于ASIC的设备 由固化的硬件芯片实现全线速的转发，但灵活性和升级能力很差。通常只能实现基本的路由及转发功能，但对一些特殊的业务能力（VPN，NAT，策略路由）支持很弱。 基于NP的设备 由微码级的可编程网络处理器实现全线速的转发。灵活性和升级能力远远优于ASIC，但较基于CPU的设备还有一定的差距。,网络设备的分类,基于CPU的设备 基于ASIC的设备 基于NP的设备,网络的层次划分,核心层 交换数据包，实现高速的数据流量运转，核心层的设备不但需要容量大，转发快，而且需要具备高稳定性。但通常对业务的需求不高。 汇聚层 隔离拓朴结构变化、控制路由表的大小及控制流量、端口的收敛。实现丰富的业务特性。 接入层 将终端用户接入到网络中，大量的端口，强大的接入能力。实现丰富的业务特性。 几点说明 在小型的网络中，层次不一定这么明显，很可能只有两个甚至一个层次的设备。 在一些大型网络中，层次可能划分的更细：例如，增加了边缘接入层、和骨干核心层。 在某个范围之内的核心层，在上一级网络中很可能只是汇聚层。,网络规划基本原则,可靠性原则 从设备本身（电信级可靠性）和网络拓扑（无单点故障）两方面考虑。 可扩展性原则 从设备性能（是否已达到满配），可升级的能力（是否可以通过平滑的软硬件升级支持未来的新业务和新特性）和IP地址、路由协议规划等方面考虑。 可运营性原则 仅仅提供IP级别的连通是远远不够的。网络是否能够提供丰富的业务，足够健壮的安全级别，对关键业务的QOS保证搭建网络的目的是真正能够给用户带来效益。 可管理原则 提供灵活的网络管理平台，利用一个平台实现对系统中的各种类型设备进行统一管理；提供网管对设备进行拓扑管理、配置备份、软件升级、实时监控网络中的流量及异常情况。,网络规划流程图,端口选择 备份方案,IP地址规划,QOS规划,组播路由协议规划,网管规划,可运营可管理的安全网络,业务隔离及关键业务确保 带宽及流量控制,IP连通,物理连通,设备选型,拓扑及板卡规划,路由规划,MPLS/VPN规划,策略路由,网络安全部署,课程内容,网络概述 设备选型 网络拓扑选择 端口选择 备份方案和板卡的规划 IP地址的规划和命名原则 网络安全规则原则 网络管理系统规划原则,设备选型需要参考的因素,可靠性 该设备是否提供关键模块（电源、主控板）的冗余备份，具备何种级别的可靠性 转发性能 通常做如下考虑：通过某设备的流量（该设备满配最大流量）/2。 业务支持能力 除了普通的IP路由功能外，是否需要该设备支持诸如（NAT、各种VPN、策略路由）等业务属性。（CPU、ASIC、NP） 端口支持 是否能够提供组网所需要的端口。 扩展能力 是否能够提供增加板卡以及软件升级提供未来可能需要的性能支持及业务能力支持。（CPU、ASIC、NP） 价格因素 在综合考虑以上因素的基础上选择适当的设备。只选对的，不选贵的。,设备选型需要参考的因素,可靠性 转发性能 业务支持能力 端口支持 扩展能力 价格因素,？,课程内容,网络概述 设备选型 网络拓扑选择 端口选择 备份方案和板卡的规划 IP地址的规划和命名原则 网络安全规则原则 网络管理系统规划原则,网络拓扑层次设计,接入层,汇聚层,核心层,高速数据交换,路由汇聚及流量收敛,工作组接入和访问控制,网络设计分三层：核心层、汇聚层、接入层,网络中常用的拓扑结构,星形或双星形 常见于下层网络与上层之间的拓扑结构，主要的网络流量都在分支节点与核心节点之间发生，两个分支节点之间不通讯或流量很少。,网络中常用的拓扑结构,网状或部分网状 常见于同一层次（核心层或汇聚层）之间的设备互联，这些设备之间通常都是对等通信，或者这些设备之间需要确保互联而增加很多的冗余链路。,网络中常用的拓扑结构,混合组网 在同一个网络中，不同的层次之间通常采用不同的拓扑结构，通常核心层或汇聚层采用网状或部分网状相连，核心层与汇聚层或汇聚层与接入层之间采用星形或双星形相连。,课程内容,网络概述 设备选型 网络拓扑选择 端口选择 备份方案和板卡的规划 IP地址的规划和命名原则 网络安全规则原则 网络管理系统规划原则,网络中常用的端口类型,高速端口（100M以上） POS（155M、622M、2.5G） ATM（155M、622M） 快速以太网（100MFE、GE、10GE） 中速端口（10M100M） E3（34.368M） T3（44.736M） 以太网（10M） 低速端口（10M以下） PSTN异步拨号（56K） ISDN异步拨号（64K） V24同步SA（64K） V35同步SA（2M） T1（1.54M） E1（2M） ADSL（2M8M）,网络中常用的端口拆分及聚合,高速端口的拆分 ATM接口通过ATM交换机拆分，可以连接任意带宽的ATM接口。 CPOS接口通过传输设备拆分，可以连接不同带宽的E1接口。 高速以太网通过MSTP传输设备拆分，可以连接任意带宽的以太网接口。 E1接口通过DDN节点机设备拆分，可以连接不同带宽的同步串口。 优点是上层设备只需提供M个端口就可以连接N个下层设备（MN）。 低速端口的聚合 N个相同带宽为M的以太网接口可以聚合成一个N X M带宽的接口。 N个相同带宽为M的串口或E1接口可以聚合成一个N X M带宽的接口。 优点是可以用低速的端口提供高速的带宽。聚合后的N个物理接口从逻辑上表现为一个接口，只使用一个IP地址。聚合接口本身的聚合及备份由链路层协议解决。,端口的拆分和聚合,高速端口的拆分 低速端口的聚合,ATM,155M ATM,30M,11M,2M,2M E1,CPOS,22M E1,N2M E1,Ethernet,网络中常用的端口互联方式,对等型互联 互联的两台设备之间接口类型及带宽完全相同。 例如：E1E1；100M Ethernet100M Ethernet； 常用于同一层次之间的设备互联。 非对等型同质接口互联 互联的两台设备之间的接口类型相同，但带宽不同。 例如：ATM（ATM交换机）nATM。 例如：1GE（MSTP传输设备）nFE。 常用于上层设备的1个端口与N个下层设备之间互联。优点是上层设备只需提供M个端口就可以连接N个下层设备（MN）。 非对等型异质接口互联 互联的两台设备之间的接口类型不相同，而且带宽也不同。 例如：CPOS（传输设备）nE1。 例如：E1（DDN节点机）n64K。 常用于上层设备的1个端口与N个下层设备之间互联。优点是上层设备只需提供M个端口就可以连接N个下层设备（MN）。,互联方式,对等型互联 非对等型同质接口互联 非对等型异质接口互联,2M E1,2M E1,1000M Ethernet,100M Ethernet,100M Ethernet,100M Ethernet,MSTP,2M E1,CPOS,2M E1,2M E1,课程内容,网络概述 设备选型 网络拓扑选择 端口选择 备份方案和板卡的规划 IP地址的规划和命名原则 网络安全规则原则 网络管理系统规划原则,网络中常用的备份原则,基本的备份原则 备份花费的代价=设备故障带来的损失； 通常只考虑N1备份，即：关键的设备、链路、模块中任何一个出现故障，不会影响整网运行。 备份通常从拓扑、设备自身、协议等几方面考虑。 备份不仅仅要从逻辑的角度考虑，更需要从物理的角度考虑问题。 接入层备份思路 通常选择不具备关键模块冗余功能的设备。 通常不考虑双机备份或者仅提供双链路级别上行的备份。 汇聚层备份思路 通常选择具备关键模块冗余功能的设备。 通常考虑双机备份，上行通常提供双链路级别的备份，并且汇聚层设备之间考虑环行连接。 核心层备份思路 通常选择具备电信级可靠性的设备。 在拓扑上考虑核心层设备之间网状或部分网状连接。,对称性备份与非对称性备份,对称性备份 对称方案中主备两种方案所提供的带宽是相等的。备份设备或者备份链路同时也参与运营。需要考虑的是由于等值路由造成的报文路径不同，会导致的上层协议报文重组需要部分等待时间，从而造成效率下降的问题。解决的方案是尽量选择等值路由情况下逐流转发的设备而非逐包转发的设备。 非对称性备份 非对称方案中备份链路提供较小或相等的带宽，只有在主用链路故障时备份链路才会生效。 如果希望备份链路或备份设备也投入运行，可以通过策略路由或路由协议的规划使备份链路运行特定的部分业务流量。,备份的基本方式链路备份,对称性备份 非对称性备份,针对主机的备份技术VRRP,路由器之间的VRRP 两台路由器通过一台二层交换机交换VRRP报文信息，并向下提供虚拟IP及MAC地址。 主用的路由器同时监控上行接口，上行链路故障或设备故障时会自动切换。,虚拟地址:10.0.0.1 虚拟MAC:00005eXXXX01,接口10.0.0.2,接口10.0.0.3,监控上行端口,虚拟地址:10.0.0.1 虚拟MAC:00005eXXXX01,接口10.0.0.2,接口10.0.0.3,监控上行端口,三层交换机之间的VRRP 两台L3通过一条互联的trunk接口交换VRRP报文信息。 主用的L3同时监控上行接口，上行链路故障或设备故障时会自动切换。 主机通常具备双机热备份机制，同时上连两台L3。,针对网络设备的备份技术,链路层的备份 PPP协议中的MP可以自动做到捆绑的N条链路之间的自动备份，流量的自动分配，故障时的自动切换。 以太网的聚合技术802.3ad，可以自动做到捆绑的N条链路之间的自动备份，流量的自动分配，故障时的自动切换。 IP层的备份 IP层的备份原理实际上是利用路由表添加路由的规则来实现的：对于到达相同目的地的路由，路由器只使用最优的一条。如果最优的路由消失，则依据相同的规则选择原来的次优路由。 静态路由之间使用优先级不同来控制优劣。 不同的动态路由协议之间使用优先级来控制优劣。 同一协议内部使用不同的花费值来控制优劣。 局域网内整机备份技术 IRF通过增加设备来扩展端口数量和交换能力，同时也通过多台设备之间的互相备份增强了设备的可靠性 ，可以提供基于三层的链路、转发、管理、路由备份。,特定技术整机备份,IRF 综合弹性结构(integrated resilient frame),Master Unit,OSPF,RIP,备份 信息,设备板卡规划,设备的板卡布局也需要规划？当然！原则是： 不要把所有的鸡蛋放在同一个篮子里；如果有M个鸡蛋和N个篮子，尽量把M个鸡蛋平均放在N个篮子里。使得当失去一个篮子时损失的鸡蛋数量=M/N向上取整。 当某台设备上同时存在高速及低速接口时，板卡布局时要充分考虑到设备的性能。,MPLS骨干网,155MPOS,2XE1,已知：某NE16E配置了两块POS卡；两块8E1卡；两块VIU板；它的实际连接情况如图所示。请画出它的最佳面板布局图。,设备板卡规划,最佳方案,最差方案,课程内容,网络概述 设备选型 网络拓扑选择 端口选择 备份方案和板卡的规划 IP地址的规划和命名原则 网络安全规则原则 网络管理系统规划原则,IP地址规划的重要性,IP地址的合理规划是网络设计中的重要一环，大型网络必须对IP地址进行统一规划并得到实施。IP地址规划的好坏，影响到网络路由协议算法的效率，影响到网络的性能，影响到网络的扩展，影响到网络的管理，也必将直接影响到网络应用的进一步发展。 如果要看一个网络的规划质量、如果要看一个网络设计师的技术水准，直接看他的IP地址规划好了。,IP地址规划是一项艺术创造！,IP地址规划的基本原则,唯一性： 一个IP网络中不能有两个主机采用相同的IP地址。即使使用了支持地址重叠的MPLS/VPN技术，也尽量不要规划为相同的地址。 连续性 连续地址在层次结构网络中易于进行路径叠合，大大缩减路由表，提高路由算法的效率。 扩展性 地址分配在每一层次上都要留有余量，在网络规模扩展时能保证地址叠合所需的连续性。 实意性 “望址生义”，好的IP地址规划使每个地址具有实际含义，看到一个地址就可以大至判断出该地址所属的设备。这是IP地址规划中最具技巧型和艺术性的部分。最完美的方式是得出一个IP地址公式，以及一些参数及系数，通过计算得出每一个需要用到的IP地址。,IP地址的分类loopback地址,loopback地址概述 为了方便管理，会为每一台路由器创建一个loopback 接口，并在该接口上单独指定一个IP 地址作为管理地址，管理员会使用该地址对路由器远程登录（telnet），该地址实际上起到了类似设备名称一类的功能。同时各种上层协议需要使用TCP或UDP来建立连接时也需要使用该地址作为源地址。 loopback地址规划技巧 务必使用32位掩码的地址。 最后一位是奇数的表示路由器，是偶数的表示交换机。 越是核心的设备，loopback地址越小。,为什么核心设备要使用较小的loopback地址 ?,IP地址的分类互联地址,互联地址概述 互联地址是指两台网络设备相互连接的接口所需要的地址。 互联地址规划技巧 务必使用30位掩码的地址。 核心设备，使用较小的一个地址（即：loopback地址较小的设备使用互联地址中较小的一个）。 互联地址通常要聚合后发布，在规划时要充分考虑使用连续的可聚合地址。,IP地址的分类业务地址,业务地址概述 业务地址是连接在以太网上的各种服务器、主机所使用的地址以及网关的地址。 业务地址规划技巧 所有的网关地址统一使用相同的末位数字，如：.254都是表示网关。,已知某省电力调度网情况如下： 网络分为中调（核心层）、地调（汇聚层）、厂站（接入层）三级。 全网使用MPLS/VPN技术，共划分4个VPN。 全网共分配2个B类地址：10.21.X.X10.22.X.X。 每台中调和地调路由器下面有两台3层交换机。每台厂站路由器下面有两台二层交换机。,IP地址规划实例,组网图,主路由器,备路由器,某省电力调度中心,NN地调,BH地调,GG地调,YL地调,WZ地调,GL地调,LZ地调,HC地调,FCG地调,QZ地调,SX,LC,STI,WY,LD,NN,PG,CK,PY,BB,TB,TH,CP,CW,YL,PP,DA,SB,DZ,TX,CW,PL,DS,LB,DC,DF,HZ,MD,JL,STA,YEL,YL,YS,LB,LX,CH,SH,XZ,SP,MT,JM,XX,LW,确定地址块的划分原则,确定有哪几类地址要规划： 核心层需要规划的地址 汇聚层需要规划的地址 接入层需要规划的地址 确定地址块划分的总体原则 先纵向划分，再横向划分。即：按照业务先将地址划分为公网、VPN1VPN4共5大块。然后再按照地域在每一个地址块中为每一个地市划分一个地址块。 先横向划分，再纵向划分。即：按照地域将地址划分为多块（每个地市一个地址块）。然后再按照业务将每个地市的地址块划分为：公网、VPN1VPN4共5块。,哪一种方案更合理，为什么？,公网及私网地址的规划,公网地址的划分原则： 以地域或设备为划分一个大的地址块的单位。 对于同时属于上下两级设备的地址归属 为了便于记忆，所有地址块内部的划分原则上都是相同的。 私网地址的划分原则： 总体地址块的划分： PE与CE之间的互联地址划分： VPN内业务地址划分：,IP地址的分类XX省电力调度网,公网地址划分 以核心设备（中调及地调）为标志划分N个地址块，每个地址块共占用1个C，内部划分为5块： 本设备的loopback地址，及与本设备相连的交换机的loopback地址。（111） 与本设备互联的交换机的互联地址。（1255） 与本设备互联的下级设备的互联地址。（56140） 对于地调，下级设备（厂站）的loopback地址。（141180） 对于地调，下级设备（厂站）与交换机之间的互联地址。（180212） 213255，保留。 所有地调的划分完全相同，每块地址块的大小取所有的地调中需求最多的，并且充分考虑到扩展性。每个地调的所使用的地址段相隔4个C类地址（相隔4个是为了与后面VPN的地址规划相同）。并且该地调地址的第3个8位与该地调所属的OSPF区域也相同。,IP地址的分类XX省电力调度网,VPN地址的划分 将一个B类地址平均分为4块，VPNn的起始地址为： 10.91.An.X，其中An（n-1）*64+1。下面以VPN1为例，其他3个VPN的地址在此基础上（n-1）*64： PE与CE之间的互联地址划分： 使用每个VPN范围内的最后一个C类地址，作为第三个8位。 VPN内业务地址划分： 每个VPN的业务网段划分/26掩码的地址； 每个地调的业务网段的第一个VPN的起始位（第三个8位）与该地调的公网地址的第三个8位相同。其他3个VPN第三个8位在第一个VPN的基础上 （n-1）*64；,设备命名规范sysname规划,为了保证以后的管理方便，通常需要为设备统一命名。 可以采用以下命名方法：AA-B-YYYY-X AA：表示该设备所属的级别和名称，通常的规则是取汉字拼音的首字母缩写。 例如：BJ- 北京；也可以灵活运用大小写字母及增加后缀来表示不同级别的设备。HaiDian-海淀 B：表示设备的厂商名称，本次工程使用华为3Com公司产品，则：B为H3 YYYY：表示设备型号，如NE16E、S6503等。 X： 表示如果前三项相同的设备，用字母编号A、B标识。,设备命名规范接口description规划,为了准确表明每个接口对端的连接保证以及带宽，需要为每一个使用的接 口配置description描述信息。 通常采用以下命名方法：to 对端设备名 带宽，其中对端设备名使用前一节讲到的sysname规划方法。 例子：description to ZD-H3-NE16E-2 8M 表示：该端口对端设备中心备用NE16E路由器，带宽为8M 。,设备命名规范接口命名,除了设备固定的接口之外，我们常常会手工创建一些接口，例如：MP接 口，以太网子接口，VLAN接口等。对这些接口后面分配的数字应该尽量 包含实际的意义。 mpgroup A/B/C， 接口的A表示槽位，B表示卡位，是固定的，C可以设置为能够包含对端设备信息的数字，例如对端设备loopback接口地址中明确区分自身信息的一位，或者是对端设备所属的OSPF区域号等等信息。 以太网子接口务必要将子接口数字与VLAN信息保持一致。 VLAN接口的数字要全局统一规划，例如：使用100、200表示VPN的VLAN，使用1000表示网管的VLAN等。,课程内容,网络概述 设备选型 网络拓扑选择 端口选择 备份方案和板卡的规划 IP地址的规划和命名原则 网络安全规则原则 网络管理系统规划原则,网络安全规划的基本原则,网络安全是一个复杂的体系结构，涉及到几乎全网中的任何设备以及任何层次。 网络安全只是一个相对的概念，无论你付出多大的代价，都不存在绝对安全的网络。 部署网络安全通常会带来副作用，例如：占用带宽，降低设备的处理能力，给使用和管理网络带来诸多不便之处。所以要在网络的安全和性能之间找到恰当的平衡点。,网络安全规划识别服务&访问控制,访问控制 所有的网络设备必须配置super密码，telnet的口令及密码，并定期修改。 telnet需要在VTY中设置访问列表，对无访问需求的源地址进行过滤。例如： 在连接内外网的防火墙上禁止来自外网的telnet访问。 在PE设备上禁止来自VPN私网用户的telnet访问。 如果RIP和OSPF等动态路由协议在某些接口上（通常是以太网口）启动协议的目的仅仅是为了发布路由，而无需建立邻居，则务必将这些接口设置为silence interface。防止路由欺骗。 对于OSPF等在接口上支持MD5认证的路由协议，不建议配置MD5认证，原因如下： 由于需要为每一条链路分配一组不同的密码，配置和管理的工作量极大。如果所有的链路都分配相同的密码，则安全性会较差。 路由欺骗在广域网上很难实施，主要发生在局域网接口，通过silence interface已经很好的解决了这个问题。,网络安全规划识别服务&访问控制,访问控制 对于没有任何互访需求的业务可以使用MPLS/VPN技术将其隔离。实现在同一张物理网络中的业务隔离。 识别服务 当无法从物理上控制访问者的来源时（例如：WLAN接入，来自外网的访问等等），务必要使用相应的鉴权及认证手段进行识别服务。 对于来源不可靠的以太网接入可以使用802.1x认证。 通过RADIUS实现AAA认证，可以对各种接入用户统一集中进行鉴权及认证。,控制策略认证授权（WLAN接入）,在WLAN中，当无法从物理上控制访问者的来源时，务必要使用相应的鉴权及认证手段进行识别服务： 在AP上禁止ESSID广播 MAC过滤 对接入用户进行802.1x身份认证 使用加密无线信道,控制策略认证授权（以太网接入）,对于来源不可靠的以太网接入使用802.1x认证 配合CAMS进行。支持防代理上网，提供运营商带宽安全 使用EAD（端点准入防御）技术，隔离可能危险用户,控制策略认证授权（RADIUS&AAA）,通过RADIUS实现AAA认证，可以对各种接入用户统一集中进行认证和授权 采用HWTACACS协议代替RADIUS 实现对验证报文主体全部进行加密 支持对路由器上的配置实现分级授权使用,认证服务器,Modem 接入,ADSL 接入,LAN 接入,WLAN 接入,控制策略认证授权（移动客户）,移动用户客户端SECPoint的远程接入验证 传统用户名密码方式 双因素认证 SecKEY PKI/CA体系验证方式,控制策略业务隔离（以太网接入）,普通二层以太网网络中采用VLAN进行隔离。 小区以太网接入应用中在接入层交换机上配置Isolate-user-VLAN，禁止接入用户之间互访。 建议在接入交换机接入端口配置广播抑制门限,1,2,3,4,控制策略业务隔离（ACL & VPN）,采用访问控制列表ACL进行L1层L4层隔离 对于大型网络中可以使用 MPLS VPN 技术，实现在一张基础网络下多种业务间的复杂隔离需求。,安全组网安全传输,安全传输 当数据在网络传输的过程中无法确保安全时通常需要使用一定的安全技术。 加密技术 IPSec 应用为IP协议组提供了网络层的安全能力，发送主机对IP报文进行加密，目的端点对源端点进行身份验证。可以确保报文的完整性和隐秘性。 WLAN的报文传输过程可以使用WEP、WAP等加密手段确保报文的安全传送。采用WAP可以支持更长的加密密钥、避免采用静态加密密钥,安全组网VPN,报文在传输的过程中将其封装在隧道里，使其对沿途经过的设备不可见，从而保证其安全性。常用对安全性要求不高的简单环境。 L2TP、GRE利用同IPSEC安全协议配合，实现安全保密的VPN,安全防御网络防护 （续）,当内部网络与外部网络相连时，需要对内部网络进行必要的网络防护措施。 即使在不需要与外网相连的情况下，也需要对内部网络中异常重要的服务器进行防护。 网络防护主要通过防火墙设备来实施。,安全防御包过滤防火墙,容易实施，几乎所有网络设备都支持ACL特性 应用于接口或者安全区域，分出入方向 采用ACL进行物理层到传输层的控制。 配置包过滤防火墙进行网络病毒防范,安全防御ASPF,ASPF状态防火墙 同包过滤防火墙共用时，应注意在相同出接口或入接口上应用 使用NAT时，可以不需要再启用ASPF NAT也是基于状态的，对出方向的报文建立状态表。起到单向访问控制作用,安全防御拒绝服务和扫描,拒绝服务类攻击 扫描类攻击 畸形报文攻击,非军事区：DMZ de-militarized zone, 用以隔离内部和外部网络 内部网络只允许内部用户访问，DMZ区提供有条件的对外服务 外部过滤器只允许外部流量进入，内部过滤器只允许内部流量进入 DMZ从不启动与内部网络的连接 当DMZ中的主机受到威胁时 内部流量也不会受到监听、内部过滤器仍然受到保护,网络安全规划非军事区应用,网络安全规划日志记录,日志记录 日志记录可以准确的记下设备运行过程中发生的各种软件异常信息，链路异常信息，对设备的各种命令操作等。 日志记录可以在事后对各类故障进行分析，便于事后进行追踪，改善网络的安全部署策略。 日志记录的类别 设备运行时务必设置记录日志，如果条件允许，尽量将需要将日志信息发送到特定的日志主机。 为了减少日志信息量，应该只记录重要的告警信息。 务必记录对设备所有的操作信息。,课程内容,网络概述 设备选型 网络拓扑选择 端口选择 备份方案和板卡的规划 IP地址的规划和命名原则 网络安全规则原则 网络管理系统规划原