《逻辑网络设计》PPT课件.ppt

Network Design 第四章 逻辑网络设计,中国科学技术大学网络学院 李艺 ,第一章 概述 第二章 用户需求分析 第三章 现有网络分析 第四章 逻辑网络设计 第五章 网络设备选择 第六章 WAN接入设计 第七章 网络介质设计 第八章 网络设计案例,4.1 逻辑设计概述 4.2 物理层的考虑 4.3 网络设备的考虑 4.4 网络拓扑结构考虑 4.5 网络管理的考虑 4.6 TCP/IP寻址的考虑 4.7 网络安全的考虑 4.8 防火墙的考虑 4.9 冗余设计 4.10 编写逻辑设计档案,4.1 逻辑设计概述,确定逻辑设计目标 运行成本最低；需要权衡的是：最小运行成本、最少安装成本、最高的运行性能、最大的适应性、最大的安全性和可靠性、最短的故障时间。 整体性能要好，成本与性能是一个两难选择； 用户操作简单，尽量简化； 安全性好；确定需要安全保护的系统，进行风险分析。 具有良好的适应性和灵活性，这是技术层面的评价，主要考虑： 广播（后台）通信，网络配置不当，会产生大量的后台广播； 连接类型，无连接与面向连接。在稳定传输率下传输大量信息，如视频，最适合于面向连接的协议；如果是突发性的传输，如C/S服务，则适合无连接协议； 可升级性，必须保证网络和应用程序具有可扩展性。 作出技术选择。,4.2 物理层的考虑,用需求和流量说明书作为指导 开始设计物理层前，阅读对需求和流量进行总结的建议，重点放在那些通过特别选择的物理层技术能够部分或全部实现的需求上。 增长与可升级性：将来对网络的添加、升级，要考虑安装或重配置的难易程度。 响应时间、带宽和数据传输率：用户需要多大的带宽？广域网连接是否超负荷？主干网或高性能工作组比广域网应用有更多的需求吗？ 可靠性、可恢复性：必须从下至上实施。物理传输技术能持续可用吗？信息蜂拥时，无线连接也能工作吗？周围环境有电磁干扰吗？ 网络安全：物理层的网络安全是未经授权而非法访问网络介质，主要防范利用监听线缆来监视或截获传输信息。铜缆线、无线很容易被监听或截获，而光缆最安全。 远程接入：必须明确用户需要的远程接入方式。通常有拨号接入、无线接入或卫星接入，用户是在同一城市还是在世界各地？ 节约成本：用现存的线缆网卡可行吗？,需求向物理介质映射特点 对物理层的需求了解清楚后，可以进行物理介质和网卡的选择了 物理介质：,物理介质的选择依赖于MAC协议的选定：,网卡,4.3 网络设备的考虑,逻辑网络设计必须指定连接LAN各端或者跨区域的多个LAN连接的设备类型。这些设备都要联合工作。本节主要说明这些设备如何协同工作的。 学习目标 弄懂路由器与交换机之间的区别； 叙述路由器与交换机在隔离网络方面是如何协同工作的； 说明物理网络组件逻辑网络组件之间的区别。 知识重点 网络可用交换机和（或）路由器进行分割。,用交换机和路由器设计网络,网络设计常常组合使用这两种设备，建立高性能、可升级性网络。 用交换机和路由器划分子网： 交换机工作在第二层，划分子网的目的是提供附加带宽； 路由器工作在第三层，划分子网的目的是限制广播通信，并提供网络安全和控制单个广播域内的冗余。 示例环境： 以工作组环境为例。所谓工作组，就是共享计算机资源的用户集合。工作组中计算机数量可多可少，计算机之间物理位置可近可远，但组成成员的计算机固定。,下图就是一个工作组环境。通常工作组是先于网络设备安装的。图中只有两个集线器，实际工作组可能包含10-20个集线器。 在这个例子中，网管想利用服务器可用的最大带宽，将PC机分成更小的冲突域来共享10 Mb/s 的接入带宽，只有有限的特权用户才需要10 Mb/s的带宽用于运行程序。要实现这一目标，网管就要判断是安装交换机还是路由器，以消除日益增长的服务器瓶颈。,示例环境：典型的集线器工作组,路由器方案： 路由器通过专用高速接口与服务器相连；通过以太网接口与每个集线器相连。 优点：将一个大的广播/冲突域分解成了多个小型的广播/冲突域。使得小区域中接点间的流量大大提高。 缺点：和交换机相比，路由器价格更贵；算法复杂，时间代价更大。 实际上网管不会认同这种费钱、费时的方案。,交换机方案： 在交换环境中，一个广播域被分成4个独立的10Mbps的冲突域，给服务器分配了10Mbps的接入，消除了这些接点之间的访问竞争。特权用户可以直接接入交换机. 本地服务器也提供高速接口，与交换机高速接口想匹配，消除了可能出现的瓶颈。例如，以太网中5个10 Mbps的交换机口以每秒4000帧(FPS)的速率向服务器发送64字节（8位）的数据帧，服务器的端的总负荷是20000 FPS。这远远超过了标准以太网对64字节（8位）数据帧的14880 FPS的限制，若服务器安装100 Mbps快速以太网卡，这个问题随之消除。因为此网卡对64字节数据帧能达到148800 FPS的速率。,交换机实现方案,如果工作组需要访问位于数据中心堆叠式的主干设备，就需要在交换机上添加另一个高速下行链路模块。 由于高速技术的影响主要体现在主干网和数据中心，工作组交换机应当应用这一技术为网络的增长提供平稳的升级方案。 优点： 价格比路由器便宜； 运行速度快； 方案简单，维护管理方便。随着网络设备数量增加，减少复杂设备、增加简单设备带来的管理、维护方便的优点更加突出。,部门工作组：由多个小型工作组构成的大型工作组。如下图示。 下图中，由小型交换机组网部门工作组，分为3个独立的冲突域。如果服务器需要更大的带宽，连接部门服务器的集线器可以换成低成本的10 Mb/s的交换机。 用模块化的部门交换机组件可以将各自分割独立的数个工作组组成大型工作组。这些交换机组件提供包括以太网、FDDI、ATM的高速接口。利用部门交换机和共享高速接口，所有的用户都可以访问部门服务器。 高端工作组交换机可以提供单个工作组交换机功能、先进的交换技术、宽裕的性能指标、模块化的多种功能和升级能力。 总之，部门 级交换机是管理一 层楼或整个建筑物 范围的工作组设备。,部门工作组,工作组1,工作组2,部门服务器,集线器,集线器,交换机,考虑广播数据流：交换环境会产生大量的广播数据流和多播数据流。有些协议(如IP协议)只产生一定量的广播数据流；而有些协议(如IPX协议)要大量利用RIP协议和SAP协议的广播数据流。 限制的方法是，设计部门工作组网络时，组内计算机数量不能过多。应该考虑如下因素： 网络性能； 故障分隔； 广播数据流对节点CPU运行的影响； 网络安全。 一般来说，100-200个用户的交换工作组中广播数据流不是很严重的问题，除非使用了某些性能不理想的协议或网络负荷陡增。 “广播抑压”技术：有些交换机生产商采用“广播抑压”(broadcast throttle)技术来限制交换机广播帧的传输量。原理是在每个指定的时间段内，对通过交换机的广播数据帧或多播数据帧进行计数，一旦达到计数门限，随后的广播帧或多播帧就不能通过交换机，除非从下一个时间段开始计数。 在大型交换网中，广播数据流和多播数据流对某些网络设备的影响非常大。,物理分割： 为消除交换机组网的广播流过大的问题，可以用路由器将网络进行物理划分。使原来共处一个广播域的网络划分成几个广播域。下图用路由器作为部门工作组的顶级网络设备，下面连三个交换机，服务器分散到各自的工作组内，这样就使得共处一个广播域的各个工作组分成了三个独立的工作组。从而消除了广播风暴对整个网络的负面影响。 这种物理分割的效果在于，大量的信息流只在工作组内交流，而经过路由器交换转发的组间信息流大量减少，路由器的低吞吐量就显得不明显了。,物理分割,工作组1,工作组3,工作组2,逻辑分割： 划分子网更为灵活的方法是用交换机构造相互独立的物理工作组，然后用VLAN技术在个子网中灵活地选择任意的计算机组成逻辑子网。减少了因为挪动节点到另外一个子网带来的劳动成本。 如果节点要进行广播或多点传输，信息只传输到位于源站点的VLAN端口。每个交换机端口都配置在VLAN1和VLAN2中。VLAN之间的信息由路由器传播。 这样的组网既保证安全，又便于网络管理。,主干网设备的实现： 是否选择堆叠式设备？主干网核心设备的选择，影响整个网络工程的成本和性能。堆叠式的主干设备可能是一台交换机，也可能是一台路由器。堆叠式的主干设备的优点在于，集中复杂性，提高了整体性能，减少成本，支持服务器组模型，管理集中。缺点在于，成为性能瓶颈，一旦崩溃，整个网络瘫痪。 选择交换机还是路由器？如果网干的功能仅仅是性能要求，就选择一台交换机。因为交换机以线缆速度进行数据包传输并且价格便宜；若性能与安全并举，就选择路由器。路由器虽然贵，但得到了控制手段，保障了安全，还留有冗余。限制了广播流量。,4.4 网络拓扑结构考虑,网络的拓扑结构有很多类型，但层次化网络设计是我们的首选。为什么把网络设计为层次化呢？ 在一个大型非层次化网络中，当网络设备与其它设备通信时，网络上广播数据包会产生负担。广播数据包会在广播域内的每一台设备的CPU产生中断，这些设备必须安装能处理该数据包的协议并花费大量时间。 非层次化的另一个问题是，CPU需要承载路由器与其他路由器之间的通信。而层次化网络设计方法允许设计模块化的拓扑结构限制通信路由器数量。 层次化设计的模块化特性允许在层次结构的每一层进行精确的容量规划，以减少带宽浪费。 层次化设计使网络易于改变。当网络的局部发生变化时，升级的成本限制在很小的局部网络中。而大型平面或网状网络，网络的改变会影响系统的许多部分。 当可扩展性是主要目标时，推荐使用层次化拓扑结构，因为它很容易扩展。 现今的快速收敛路由选择协议都是为层次化拓扑结构设计的。,平面广域网拓扑结构 一般由连接成环路的几个站点构成。每个站点都有一台广域网路由器，通过点到点链路与其他站点相连（下左图）。这种结构的特点是成本低。 这种结构在环路相反方向的路由器之间要经历许多跳，延迟和出错率增高。如果流量分析显示环路拓扑中相反方向的流量加大了，就应该选择层次化拓扑结构了（下右图）。这种结构的好处是可扩展性好，延迟低，可用性高。,平面局域网拓扑结构 在局域网中使用层次化结构，我们将PC机和服务器连接到交换机上，可以把路由器添加到局域网中，将整个局域网分割成多个广播域，减少广播辐射的影响。 同时，层次化结构中，高端交换机为高流量提供最大的带宽，低端交换机提供廉价的接入。,网状拓扑结构 可靠性高是网状结构的显著优点，但成本高昂、维护难度大，升级困难的缺点也很郁闷。网状结构对于广播路由选择更新或路由通告的邻接路由器有限制。随着邻接路由器的增加，更新进程占用的带宽和CPU资源也随之增加。 层次化结构的设计从物理拓扑上就限制了邻接路由器的数量，软件上就不需要限制。并且，网络崩溃而重建路由的代价小得多。,三层层次化结构模型,网络层次化模型一般分为三层结构： 核心层：网络的高速主干，设计的考虑是高速率、高可靠性。选择高速率、低延迟的路由器机作为主干设备，选择冗余链路和冗余设备作为高可靠的保证。 分布层：常在此进行对资源访问的控制，对通过核心层流量的控制，以及VLAN的配置。 分布层可以在高带宽的接入层路由选择协议和优化的核心层路由选择协议之间重新分发路由。 分布层应该向核心路由器隐蔽接入层的详细拓扑结构信息，只向核心层通告少量的接入层信息。 接入层：为用户提供访问互连网的能力。该层设备主要考虑低成本、满足用户需求的带宽。,中国科大校园网主干示意图,层次化网络设计原则,原则一：控制网络层次的加大，一般有三个层次就够了，否则延迟加大。常见的设计错误，是在接入层增加一条链路，或增加一个后门。增加一条链路的结果是使网络增加了一个第4层，它使延迟增加；所谓后门是指同一层设备之间的一个连接，它引起不可预知的路由选择和交换。 尽管有一些合理的理由需要增加一条链接或后门，但应尽量避免。 原则二：首先设计接入层，然后是分布层，最后才是核心层。从接入层开始，可以精确地为分布层和核心层进行容量规划。,园区网拓扑结构的考虑,园区网拓扑结构具有低带宽、小广播域、冗余、镜像服务器、扩展频繁等特色。园区网应设计成层次化结构，以适应这些要求。 园区网应具有交换式骨干网，连接园区的各个大楼。大容量的服务器群直接连接在骨干网上。园区网络设计中，网管是很重要的部分，应提供对网络设备的维护、监测入口。从功能上划分，园区网包括： 园区基础设施模块； 服务器群组； 网络管理模块； 边界互连模块。 见右图示。,园区网络功能模型,生成树STP产生的原因路径回环,引入生成树协议(STP),通过阻断冗余链路来消除桥接网络中可能存在的路径回环 当前活动路径发生故障时激活冗余备份链路恢复网络连通性,生成树协议的基本原理,基本思想：在交换机之间传递特殊的消息（配置消息），包含足够的信息做以下工作： 从网络中的所有交换机中，选出一个作为根网桥（Root） 计算本交换机到根网桥的最短路径 对每个LAN，选出离根桥最近的那个交换机作为指定网桥，负责所在LAN上的数据转发 交换机选择一个根端口，该端口给出的路径是此网桥到根桥的最佳路径 选择除根端口之外的包含于生成树上的端口（指定端口）,桥协议数据单元的内容,桥协议数据单元（BPDU）也被称作配置消息 主要内容包括 根网桥的Identifier（RootID） 从指定网桥到根网桥的最小路径开销（RootPathCost） 指定网桥的Identifier 指定网桥的指定端口的Identifier 即（RootID，RootPathCost，DesignatedBridgeID，DesignatedPortID）,桥协议数据单元格式,DMA,LLC Header,SMA,L/T,Payload,DMA:目的MAC地址 配置消息的目的地址是一个固定的桥 的组播地址（0x0180c2000000） SMA:源MAC地址 即发送该配置消息的桥MAC地址 L/T:帧长 LLC Header:配置消息固定的链路头 Payload:BPDU数据,桥协议数据单元的处理,将各个端口收到的配置消息和自己的配置消息做比较，得出优先级最高的配置消息更新本身的配置消息，主要工作有： 选择根网桥RootID：最优配置消息的RootID 计算到根桥的最短路径开销RootPathCost：如果自己是根桥，则最短路径开销为0，否则为它所收到的最优配置消息的RootPathCost与收到该配置消息的端口开销之和 选择根端口RootPort：如果自己是根桥，则根端口为0，否则根端口为收到最优配置消息的那个端口 选择指定端口：包括在生成树上处于转发状态的其它端口 从指定端口发送新的配置消息,如何确定最优的桥协议数据单元,配置消息的优先级比较原则： 假定有两条配置消息C1和C2，则： 如果C1的RootID小于C2的RootID，则C1优于C2 如果C1和C2的RootID相同，但C1的RootPathCost小于C2，则C1优于C2 如果C1和C2的RootID和RootPathCost相同，但C1的TransmitID小于C2，则C1优于C2 如果C1和C2的RootID、RootPathCost和TransimitId相同，但C1的PortID小于C2，则C1优于C2,生成树协议的不足,端口从阻塞状态进入转发状态必须经历两倍的Forward Delay时间，所以网络拓扑结构改变之后需要至少两倍的Forward Delay时间，才能恢复连通性 如果网络中的拓扑结构变化频繁，网络会频繁的失去连通性，这样用户就会无法忍受。,快速生成树协议,快速生成树协议是从生成树协议发展而来，实现的基本思想一致； 快速生成树具备生成树的所有功能； 快速生成树改进目的就是当网络拓扑结构发生变化时，尽可能快的恢复网络的连通性。,快速生成树的改进一,如果旧的根端口已经进入阻塞状态，而且与新根端口连接的对端交换机的指定端口处于Forwarding状态时，则在新拓扑结构中的根端口可以立刻进入转发状态，。,TO ROOT,LAN B,LAN A,LAN A,F,F,指定端口,指定端口,旧根端口,阻塞端口,F,TO ROOT,LAN B,LAN A,LAN A,F,F,指定端口,指定端口,新根端口,阻塞端口,F,快速生成树的改进二,指定端口可以通过与相连的网桥进行一次握手，快速进入转发状态。,LAN B,LAN A,F,指定端口,根端口,握手请求,握手响应,1,2,3,4,两点注意: 握手必须在点对点链路的条件下进行 一次握手之后，响应握手的网桥的非边缘指定端口将变为blocking状态，则需要继续向自己的邻接网桥发起握手,LAN A,LAN B,LAN C,LAN A,F,指定端口,指定端口,指定端口,F,F,非点到点链路,握手的扩散,快速生成树的改进三,网络边缘的端口，即直接与终端相连，而不是和其它网桥相连的端口可以直接进入转发状态，不需要任何延时。,LAN B,LAN C,LAN A,根端口,边缘端口,LAN D,F,TO ROOT,阻塞端口,快速生成树的性能,第一种改进的效果：发现拓扑改变到恢复连通性的时间可达数毫秒，并且无需传递配置消息。 第二种改进的效果：网络连通性可以在交换两个配置消息的时间内恢复，即握手的延时；最坏的情况下，握手从网络的一边开始，扩散到网络的另一边缘的网桥，网络连通性才能恢复。比如当网络直径为7的时候，要经过6次握手。 第三种改进的效果：边缘端口的状态变化不影响网络连通性，也不会造成回路，所以进入转发状态无需延时。 快速生成树也是在整个交换网络应用单生成树实例,不能解决由于网络规模增大带来的性能降低问题,4.5 网络管理的考虑,网络管理就是对网络进行维护、控制、财务核算以及排除网络及其设备故障。有很多用于远程管理网络组件的软件和硬件解决方案，它们大多建立在 SNMP 协议之上。远程网络管理（RMON）具有附加功能和更高的效率。 网络管理目的： 减少停机时间，改进响应时间，提高设备利用率 减少运行费用，提高效率 减少/消灭网络瓶颈 适应性技术 容易使用 安全 学习目标：掌握SNMP协议的主要优缺点；RMON是如何解决这些缺点的。 关键知识：网络管理主要是对网络进行超前管理。,SNMP的局限性,SNMP(简单网络管理协议)是一种广为执行的网络协议，它使用嵌入到网络设施中的代理软件来收集网络通信信息和有关网络设备的统计数据。代理不断地收集统计数据，如所收到的字节数，并把这些数据记录到一个管理信息库(MIB)中。网管员通过向代理的MIB发出查询信号可以得到这些信息，这个过程叫轮询(polling)。 虽然MIB计数器将统计数据的总和记录下来了，但它无法对日常通信量进行历史分析。为了能全面地查看一天的通信流量和变化率，管理人员必须不断地轮询SNMP代理，一天中每分钟就轮询一次。这样，网管员可以使用SNMP来评价网络的运行状况，并揭示出通信的趋势，如哪一个网段接近通信负载的最大能力或不必要地正使通信出错。先进的SNMP网管站甚至可以进行编程来自动关闭端口或采取其它矫正措施来处理历史的网络数据。,传统SNMP模型在大型LAN的布局有如下的局限性： 它没有伸缩性。在大型的网络中，轮询会产生巨大的网络管理通信量，因而导致通信拥挤情况的发生。 它将收集数据的负担加在网络管理控制台上。管理站也许能轻松地收集8个网段的信息，当它们监控48个网段时，恐怕就应付不下来。,远程监控（RMON）,SNMP标准基本功能集最重要增强功能是RMON。与SNMP类似，RMON是基于客户机/服务器结构的。见下图示。RMON代理的功能类似于服务器，通过探测来维护历史统计数据，亦称为探测器。代理的这种附加功能免除了NMS定期发送调查测试来建立网络运行趋势历史记录的需要。 RMON代理可作为单机设备（带有专用CPU和内存）配置。也可嵌入集线器、交换机或者路由器中。例如，3Com系统的LAN交换机配线就在每个交换机中安装有相应软件来跟踪流经的流量，并在MIB中记录，通过图形用户界面（GUI）向管理员提供信息。,NMS作为客户机运行，它组织和分析由探测器诊断到的网络故障数据。NMS和分布式RMON探测器之间的通信采用SNMP进行，它提供了远程网络分析的基础。 RMON统计数据存档能力是的管理员可以为网络运行开发基线模型。基线模型确立并配置好后，管理员可以确定网段正常运行状态的阈值，用于监视网段流量。当流量超过该阈值时，探测器就会给NMS发出警告。 NMS接到警告后，激活高级RMON性能来诊断该故障。例如，RMON内的 HostTopN 组可以确定是哪个主机在处理网段内的大部分对话，与谁进行对话，对话人是在本网段内还是在Intranet内。利用这些信息，管理员可用主机组的某个指定的主机来响应这个警告。 当然，RMON中数据包截获组和过滤器用探测器将数据包截获，并利用协议分析仪来辅助解决这种异常情况。,RMON性能：与传统的SNMP相比，RMON是较高级的Intranet管理工具。其特点表现为： RMON极大地降低了网络管理的流量。由于WAN通道带宽比LAN链路带宽小得多，网管应充分利用RMON探测器实施网管，而不是利用SNMP进行调查测试。以将宝贵的WAN带宽留给用户传输数据。 RMON提供有关整个网络的信息，例如所有网络设备、服务器、应用程序和所有用户。 RMON MIB：Internet工程特别小组(IETF)于1991年11月公布了RMON MIB来解决SNMP在日益扩大的分布式网络中所面临的局限性。实现了对异构环境进行一致的远程管理，它为通过端口远程监视网段提供了合适的解决方案。RMON是对SNMP标准的扩展，定义了标准功能以及在基于SNMP管理站和远程监控者之间的接口，主要实现对一个网段乃至整个网络的数据流量的监视功能，目前已成为成功的网络管理标准之一。,RMON MIB特点 可以记录某些网络事件，即使在网络管理站没有与监控设备主动进行联接（脱机）的情况下，也同样可以完成记录。 可以用于记录网络性能数据和故障历史，可以在任何时候访问故障历史数据以有利于进行有效的故障诊断。使用这种方法减少了管理者同代理间的通信流量，使简单而有力地管理大型互联网络成为可能。 RMON的一个重要的优点还在于它与现存的SNMP框架相兼容，不需对该协议进行任何修改。 RMON MIB如何收集数据： 一种是通过专用的RMON探测仪（Probe），网管站直接从探测仪获取管理信息并控制网络资源，这种方式可以获取RMON MIB的全部信息； 另一种方法是将RMON代理直接植入网络设备（路由器、交换机、Hub等）使它们成为带RMON Probe功能的网络设施，网管站用SNMP的基本命令与其交换数据信息，收集网络管理信息，但这种方式受设备资源限制，一般不能获取RMON MIB的所有数据，大多数只收集四个组的信息。,RMON MIB功能组 RMON提供的信息可以进行较SNMP MIB更为全面的网络管理，标准的RMON MIB功能可以划分为十个组： 统计累计的局域网通信和故障统计数据； 历史进行趋势分析的区间抽样统计数据； 报警确定阀值； 主机由介质访问控制地址(MAC)组成的统计数据； HostTop N按MAC地址排序的统计数据； 矩阵所追踪的两个设备之间的对话； 事件对报警信号所引起的操作进行控制的机制； 过滤器数据包选择机制； 包捕获数据包收集和上载机制； 令牌环针对令牌环设备的特殊参数，包括环站、环站次序、环站配置、源路由统计数据。,RMON2 MIB 在RMON基础上产生的 RMON2 标准能将网管员对网络的监控层次提高到网络协议栈的应用层。因而除了能监控网络通信与容量外，RMON2还提供有关各应用所使用的网络带宽量的信息，这也是在客户机/服务器环境中进行故障排除的重要因素。 RMON在网络中查找物理故障，RMON2 进行的则是更高层次的观察，它监控实际的网络使用模式。RMON探测器观察的是由一个路由器流向另一个路由器的数据包，而RNOM2 则深入到内部，它观察的是哪一个服务器发送数据包，哪一个用户预定要接受这一数据包，这一数据包表示何种应用。网管员能够使用这种信息，按照应用带宽和响应时间要求来区分用户，就像过去他们使用网络地址生成工作组一样。 RMON II没有取代RMON，而是它的补充技术。RMON II在RMON标准基础上提供一种新层次的诊断和监控功能。事实上，RMON II能够监控执行RMON标准的设备所发出的意外事件报警信号。,RMON和RMON2所支持的协议层,用RMON/RMON2 监控LAN流量,确定关键网段：要想用RMON/RMON2 对LAN进行交互式管理，设计者必须首先确定哪个网段对网络的运行起关键作用。一般来说，主干网、重要工作组、交换机到交换机链路、服务器所在的网段等都是重要的关键网段。 确定关键位置：若决定这些关键网段全部采用 RMON/RMON2 设备进行管理，应当安装在最关键的位置。 制定管理方案：后制定一个方案，保证RMON/RMON2 所接收的统计数据和通信信息来自网络中的合适位置（即网卡、网络设备、单机探测器等）。客户应用程序可运行在专用管理工作站、MS Windows工作站和网站上。对收集的数据进行解释，然后发给网络管理组。 网管可以监控每个WAN链路、交换机端口和VLAN。,监视交换环境 在交换环境中，数据包按要求只传向指定的端口。许多数据包都会经过探测器。网管主要用下列技术之一来提供RMON管理： 在每个交换端口上配置一定量的RMON组； 应用统计采样技术； 使用滚动分析端口可以全部覆盖选择的端口。,用RMON/RMON2 监控WAN流量,除了简单的通信故障排除外，网管希望在WAN昂贵的带宽让客户充分地利用，WAN超负荷运转可导致错误增加、性能下降。 RMON WAN探测器：由于WAN 探测器监控标准不包括数据链路层，这就意味着RMON WAN 监控标准是建立在专用所有权技术之上的，不能与其它探测器共同使用。但它能够以清晰易懂的图描绘出数据链路层和带宽利用率，并保存有关基于IP地址的点对点通信的信息。 RMON2 WAN探测器：虽然RMON2 监测工具也是专用的，但它是为WAN数据链路层检测流量的优良工具。它能使网管运用应用程序而不是通过技术规范来调整网络吞吐量。下图中，RMON2探测器防在承担WAN范围流量的共享LAN网段上，探测器可看到多有进出的信息，并能为整个Intranet提供高层协议分析。,RMON2 WAN探测器,4.6 TCP/IP寻址的考虑,由于Internet连接的需求，许多NOS支持桌面级的TCP/IP寻址。在任何网络设计中，TCP/IP寻址策略是一个不可轻视的设计重点。本节重点： 一般路由和子网设计； 无类别域间路由选择(CIDR)； 变长子网划分。 学习目标 解释经典子网的工作原理； 叙述IP寻址的缺点，新的寻址策略如何解决这个问题 知识关键点 不同的TCP/IP寻址策略可限制IP地址扩展,IPv4 地址的考虑,第四版本的IP地址用点分十进制数（Dotted decimal notation）表示，共32位。分为5类IP地址，分别为A类、B类、C类、D类和E类。A类地址用于大型网络，B类地址用于中型网络，C类地址用于小型网络，D类地址用于广播寻址，E类地址保留未用。IP地址包括两部分组成：网络地址和主机地址（也成为网络号和主机号）。,特殊的IP地址 ：它表示的是，所有不清楚的主机和目的网络。这里的“不清楚”是指在本机的路由表里没有特定条目指明如何到达。对本机来说，它就是一个“收容所”，所有不认识的“三无”人员，一律送进去。如果你在网络设置中设置了缺省网关，那么Windows系统会自动产生一个目的地址为的缺省路由。 55：限制广播地址。对本机来说，这个地址指本网段内(同一广播域)的所有主机。这个地址不能被路由器转发。 ：回绕地址，主要用于测试。用汉语表示，就是“我自己”。在Windows中，这个地址有一个别名“Localhost”。寻址这样一个地址，是不能把它发到网络接口的。,：组播地址，注意它和广播的区别。从到55都是这样的地址。特指所有主机，特指所有路由器。这样的地址多用于一些特定的程序以及多媒体程序。如果你的主机开启了IRDP (Internet路由发现协议，使用组播功能)功能，那么你的主机路由表中应该有这样一条路由。 169.254.x.x：如果你的主机使用了DHCP功能自动获得一个IP地址，那么当你的DHCP服务器发生故障，或响应时间太长而超出了一个系统规定的时间，Windows系统会为你分配这样一个地址。如果发现主机IP地址是此类地址，很不幸，十有八九是网络不能正常运行了。 10.x.x.x、172.16。x。x172.31.x.x、192.168.x.x：私有地址，这些地址被大量用于企业内部网络中。一些宽带路由器，也往往使用作为缺省地址。私有网络由于不与外部互连，因而可能使用随意的IP地址。保留这样的地址供其使用是为了避免以后接入公网时引起地址混乱。使用私有地址的私有网络在接入Internet时，要使用地址翻译(NAT)，将私有地址翻译成公用合法地址。在Internet上，这类地址是不能出现的。,IP 子网,创建子网的目的 扩展网络。如果网络达到了物理限制，可以通过创建多个子网，这些子网只分配一个网络地址。以连接更多的主机。 减少竞争。同一网络中主机越多，需要带宽越大，创建子网减少每个网络的主机数，竞争也减少了。 减少CPU使用负载。网络中主机越多，产生的的广播帧越多。每个主机必须听网络广播，以便决定是否接收还是丢弃，这占用主机CPU。 隔离网络问题。通过将大网隔离成小网，限制子网对其它网络的影响。 有利于网络管理员对网络的管理。提高网络的安全性。,子网掩码 子网掩码是一位特殊的32位二进制数，它的格式与IP地址一样，但它用二进制中的1来代替IP地址的网络地址部分，用0来替代IP地址中的主机地址部分。 标准A类网的子网掩码为： 标准B类网的子网掩码为： 标准C类网的子网掩码为：,子网掩码的作用 子网掩码与IP地址结合使用，可以区分出一个IP地址的网络地址和主机地址。例如：有一个C类地址为：3，其子网掩码为：。则它的网络号和主机号可按如下方法得到： 将IP地址3转换为二进制： 11000000 00001001 11001000 00001101 将子网掩码 转换为二进制： 11111111 11111111 11111111 00000000 将两个二进制数逻辑与（AND）运算后得出的结果即为网络部分： 11000000 00001001 11001000 00001101 AND 11111111 11111111 11111111 00000000 11000000 00001001 11001000 00000000 结果为，即网络地址为。 将子网掩码取反再与IP地址逻辑与（AND）后得到的结果即为主机部分： 11000000 00001001 11001000 00001101 AND 00000000 00000000 00000000 11111111 00000000 00000000 00000000 00001101 结果为3，即主机地址为13。,无类别域间路由（CIDR） CIDR 是 Classless Inter Domain Routing 的缩写, 意为无类别的域间路由。它的思想是: 把许多C类地址合起来作B类地址分配。具体地说, 整个世界被分为四个地区, 每个地区分配一段连续的C类地址： 欧 洲: 55 北 美: 55 中南美: 55 亚 太: 55 通过这种方式，每个地区拥有约3200万的地址，另有约3200万的地址 55保留备用。这种分配方式的优点是很明显的: 地址的分配是连续的； CIDR使路径表的设置更容易。 比如,在欧洲以外的一个路由器收到一个地址为: 194.xx.yy.zz 或 195.xx.yy.zz 的数据包(packet), 可以直接把它丢到通往欧洲的路径上而不用考虑xx,yy,zz的值是什么. 当然,当这个packet到达欧洲后, 还要进行更详细的路由, 比如根据子网模把它发送到某个子网。,CIDR的表示形式 声明一个CIDR 网络的格式是 地址/y 。 这里 地址 是 IPv4 或 IPv6 网络地址而 /y 是 网络掩码的二进制位数。 如果省略 /y， 那么掩码部分用旧的有类的网络编号系统进行计算，但要求输入的数据已经包括了确定掩码的所需的所有字节。 如果声明了一个网络地址，它的指定掩码的右边置了位，那么算错误。 例如，28/25 表示IP地址中前25位是网络地址，后7位是主机地址；/17 表示IP地址的前17位是网络地址，后15位是主机地址。,如何划分子网 子网划分技术，用来高效地将一个大型网络划分成多个子网，子网划分是将单播IP地址中主机地址的高几位分配给组织网络的子网，作为子网地址。 最初定义 IPv4 的子网划分是为了更好地利用 A 类和 B 类 IPv4 公用网络 ID 的主机位。请考虑下图示例网络。 此B 类网络的ID ，我们将它划分成三个子网。网络号这样处理： 将两字节主机地址的高字节的高4位用于新的子网地址，三个子网的子网掩码都是。每个子网的二进制编号分别是0001、0010、0100和1000，三个网络的网络号分别为：/20，/20，/20和/20 当然，由于将主机地址的高4为用于了网络地址，每个子网的主机地址就由原来的16位变成了12位。,IP地址设计中要考虑的事是， 申请IP地址； 申请域名； 是否将网络连入Internet； 要不要进行子网划分， 如果要，需将主机地址的前多少位作为子网地址； 确定各子网的掩码； 是采用静态IP地址分配还是动态IP地址分配； 是否采用NAT技术； 是否采用无类域间路由。,网络地址转换NAT,在RFC1918中，IETF为内部专用网预留了三段地址作为私有地址。 55 55 55 网络地址转换技术(NAT) 网络地址转换（NAT）是用于将一个地址域（如上面的私有Intranet地址）映射到另一个地址域（如：Internet）的标准方法。NAT允许一个机构内部使用私有Intranet地址，而与外部因特网交流数据时，用一个IP地址透明地连接到因特网中，机构内部主机无需拥有注册的IP地址。,聚合,在如下图所示拓扑结构中，无论是/24还是/24链接的失败，都会使路由器H重新计算路由表。那么怎样设计才能使核心层路由器H不受接入层链接变化的影响呢？聚合是有效的方法，在分布层路由器G上把/24、/24、/24和/24聚合成一条路径/22，并把这一 聚合路径只传递给路由器H。 通过聚合，路由器H的路由表 就可以不再包括路由器G左侧 的子网细节，路由器G左侧的 个别链接的改变将不再影响路 由器H的路由表。,另外，聚合减少了路由器H的路由表的路径数量，较小的路由表意味着较少的内存、较低的处理请求和更快的收敛过程。 聚合要遵循这样一条规则：只提供网络中必要的拓扑信息，而把不必要的信息隐藏起来。例如，核心层路由器将接入层的每一组目的地聚合为简短的前缀路由，并将之传送给核心层，不再向核心层传送大量的目的地信息。,IPv6 地址,表示方法：第六版本的IP地址用8段冒号分十六进制数表示，共128位。例如： FEDC:BA98:7654:4210:FEDC:BA98:7654:3210 2001:0:0:0:0:8:800:201C:417A 每一组数值前面的 0 可以省略。如 0008 写成 8 。 压缩形式：IPv6 地址会有包含长串 0 位的地址。可使用 “:” 符号简化多个 0 位的 16 位组。 “:” 符号在一个地址中只能出现一次。该符号也可以用来压缩地址中前部和尾部的 0 。举例如下： FF01:0:0:0:0:0:0:101 可压缩成 FF01:101 (多点传送地址) 0:0:0:0:0:0:0:1可压缩成 :1 (回送地址) 0:0:0:0:0:0:0:0 可压缩成 : (未指定地址) IPv4 和 IPv6 混合使用：表达方式为 X:X:X:X:X:X:D.D.D.D ，其中 X 是地址中 6 个高阶 16 位段的十六进制值， D 是地址中 4 个低阶 8 位字段的十进制值（按照 IPv4 标准表示）。例如：下面两种嵌入 IPv4 地址的 IPv6 地址： 0:0:0:0:0:0:9 嵌入 IPv4 地址的 IPv6 地址，可缩写成 :9 0:0:0:0:0:FFFF:0映射IPv4 地址的 IPv6 地址 ，可缩写成 :FFFF.0,地址类型：IPv6 中地址有三种类型： 单点传送（ Unicast ）：一个单接口标识符，送往单点传送地址的包将被传送到该地址所标识的接口上。 多点传送（ Multicast ）：一组接口（一般不属于不同节点）的标识符。送往一个任意点传送地址的包将被传送到该地址所标识的接口之一（根据路由协议中的距离的计算方法而确定的 “ 最近 ” 的一个）。 任意点传送（ Anycast ）：一组接口（一般不属于不同节点）的标识符。送往一个多点传送地址的包将被传送到该地址标识的所有接口上。 也有文献称之为单播、组播、泛播地址。 IPv6 中不再有象 IPv4 中那样的广播（ broadcast ）地址，它的功能由多点传送地址来实现。 对于IPv6的子网掩码，它位数放在掩码地址后面的，以/分隔，格式如下： 12AB:0000:0000:CD30:0000:0000:0000:0000/60 12AB:0000:0000:CD30:/60 意思是地址的前60位用作地址的网络号部分。下面是一个IPv6地址和子网掩码地址： 11AC:0:0:CA20:123:4567:89AB:CDEF 11AC:0:0:CA20:/60,常见的IPv6地址和前缀： :/128：即0:0:0:0:0:0:0:0，尚未获得正式地址的主机的源地址，不能作为目的地址，不能分配给真实的网络接口。 :1/128：即0:0:0:0:0:0:0:1，回环地址，相当于ipv4中的localhost（）。 2001:/16：全球可聚合地址，由 IANA 按地域和ISP进行分配，是最常用的IPv6地址 2002:/16：6 to 4 地址，用于6to4自动构造隧道技术的地址 3ffe:/16：早期开始的IPv6 6bone试验网 地址 注：上面后三个属于单播地址，是目前互联网上广泛应用的IPv6地址 fe80:/10：本地链路地址，用于单一链路，适用于自动配置、邻机发现等，路由器不转发 ff00:/8：组播地址 :A.B.C.D：其中代表ipv4地址，兼容IPv4的IPv6地址。自动将IPv6包以隧道方式在IPv4网络中传送的IPv4/IPv6节点将使用这些地址 :FFFF:A.B.C.D：其中代表ipv4地址，例 :ffff:0 ，是IPv4映射过来的IPv6地址，它是在不支持IPv6的网上用于表示IPv4节点,VLAN划分,VLAN是标准局域网的仿真，它允许数据的传输不会受到网络的传统物理结构限制。一个VLAN是属于同一个管理组的局域网设备。成员资格是由配置参数和管理策略决定的，而不是物理位置。一个VLAN中的成员可以相互通信，就好象连在同一条电缆和集线器上一样，而实际上它们属于不同的物理局域网段上。反之，两个属于不同VLAN的成员之间通信就好象它们属于不同的局域网段上，即使他们连接到同一台交换机上。因为VLAN是基于逻辑连接而不是物理连接的。因此管理、配置起来非常灵活。,用 VLAN划分逻辑边界,VLAN的设计,同一交换机上不同VLAN要共享交换机、要争夺交换机的CPU和背板资源。VLAN对交换机和链路的共享可分为两种类型： 广播共享，即VLAN划定的广播域贯穿共享设备和链路(如左下图示)，换句话说广播共享是二层的共享。 路由共享，也可以说是三层共享，在这种类型的共享中，不同VLAN的数据包是以路由(三层交换)方式穿过交换机的(如右下图中虚线所示)，通过的包基本上不含有一般的广播包(DHCP和特殊协议的广播除外)。VLAN在“广播共享”网络资源时的相互影响要比“路由共享”时更大。,从上左图可清楚地看出所共享的网络资源(交换机和链路)。在正常情况下，VLAN间的这种影响不被我们所注意，原因是共享的交换机有足够的交换能力，链路不是很拥挤，但在某一VLAN出现异常时(如感染病毒或出现环路)情况就不同了。这时被感染VLAN(如VLAN1)中的大量数据帧将挤占该VLAN所及的所有交换机的CPU资源、背板带宽，并长时间占用物理链路，其他VLAN(如VLAN2)中的设备尽管“看”不到出现异常VLAN中的数据帧，但其所依赖的网络资源已被用尽，因此，VLAN1所覆盖的网络区域就会出现异常。如果故障点发生在核心交换机附近，那么整个网络就有可能瘫痪。 完全消除VLAN间的链路和设备的共享在理论上是不可能的。我们所做的努力只能尽量减少相互影响的范围、降低相互影响的程度。设计中我们应坚持如下原则： 尽量避免在同一交换机中配置多个VLAN; 不同物理位置上的交换机上的端口尽量不要划归到同一个VLAN。 前者较好理解，也容易实现。如何做到VLAN不跨越核心交换机和拓扑结构的“层”。从上左图可以看出，由于VLAN1的范围跨越了整个网络，如果把所有VLAN的覆盖面都限定在核心交换机的同一侧，这些资源被共享的程度就减轻了。按此想法上右图较为适宜。,继续分析上右图中所存在的问题不难看出，尽管核心交换机被共享的形式改变了，但仍存在受到各VLAN出现异常情况的影响。要想避免核心交换机受到各个VLAN的影响、减小影响范围、避免全网瘫痪的发生，很容易想到在核心交换机和划有VLAN的交换机之