网络知识-8.企业网络解决方案.ppt

1,八：企业网络解决方案,中小型企业网络解决方案,3,适合24用户,采用24口交换机构建一个一级的小型局域网。主服务器与交换机 ，之间的链路数据流量较大，因此它采用2个100M高速交换端口连接服务器，以免形成传输瓶颈。 24个10M交换端口最多可连接24个桌面用户。此外，它还通过10M接口连接共享网络打印机，普通打印机也可以通过打印服务器的方式共享。 该方案的安全措施可采用路由器内置的软件防火墙，它使路由器在承担远程连接的同时实施数据包检验和过滤，防止非法用户侵入到内部局域网中。,4,中型企业网络解决方案,5,方案引入了二级联网的方式，骨干层交换机采用了1000M高速交换端口与服务器连接，以满足大容量数据的传输需求。 接入层交换机以10/100M自适应交换端口连接桌面用户。这样便很容易扩充桌面用户数。 骨干交换机和接入交换机的连接则采用了快速以太网通道（FEC）技术，有效地扩展了网络的带宽。这项技术能够把2-4个物理链路聚合在一起，在全双工工作模式下达到400M-800M的带宽。 安全措施：可采用路由器内置的软件防火墙，也可以采用功能更强大的专用防火墙，根据企业对安全性的要求级别来决定。,6,Redundant Uplinks,Redundant Uplinks,大型企业网络解决方案,7,采用三级模式：接入层、汇接层、核心层。 接入层交换机是面向桌面用户。 汇接层交换机是多台接入层交换机的集合点，汇接层交换机一般能够通过路由处理器进行三层交换。如Catalyst5000系列交换机。接入层交换机到汇接层交换机采用双冗余连接。 核心层交换机完成整个网络数据快速交换。核心层可采用双核心的冗余连接。,8,VLAN 介绍,9,Ethernet Broadcast Domain,In a flat network, every device sees every transmitted packet,10,VLANs,A VLAN is a broadcast domain,11,VLANs,Engineering VLAN,Marketing VLAN,Sales VLAN,Floor #1,Floor #2,Floor #3,Physical Layer LAN Switch,Human Layer,Network Layer,,Routing Function Interconnects VLANs,,,Data-Link Layer Broadcast Domains,12,VLANs Establish Broadcast Domains,Broadcast Domain 1,Broadcast Domain 2,13,Scaling the Switch Block with VLANs,3,4,1,2,5,6,7,8,9,10,Decisions include how many VLANs exist in a switch block and where these devices are placed.,Server Block,Core,14,Layer 2 End-to-End VLAN,Distribution Layer,Core Layer,Fast or Gigabit Ethernet,Wiring Closet,Fast Ethernet,Fast Ethernet,Workgroup Servers,Switched Ethernet,Enterprise Servers,Inter-VLAN Routing,15,Local VLANs,STP Blocked Links,STP Blocked Links,Redundant Uplinks,Redundant Uplinks,Redundant Uplinks,HSRP Peers,HSRP Peers,16,Establishing VLAN Membership,Port-Based,VLAN1,VLAN2,VLAN3,MAC Addresses,MAC Addresses,VLAN2,MAC-Based,VLAN1,MAC Address- Driven (Layer 2),Port-Driven,Static,Dynamic,17,Membership by Port,Maximizes Forwarding Performance,VLAN 2,VLAN 1,VLAN 3,18,VLAN的特征,一个vlan中的所有设备处于同一个广播域 一个VLAN是一个逻辑的子网或由定义的成员所组成的一个网络段,VLAN之间通信必须要进行路由 VLAN的成员通常是基于交换机的端口号,但也可基于设备的MAC地址而动态设置.,19,VLAN解决的问题,有效的带宽利用 增强了安全性, VLAN间通信,可利用路由器的安全和过虑功能 负载均衡多条路径,可利用路由协议进行负载均衡.,20,Link Types,接入链路Access Links,An access link is a link that is a member of only one VLAN,21,Link Types (Cont.),干道链路Trunk Links,A trunk link is capable of carrying multiple VLANs,22,VLAN Frame Identification,Specifically developed for multi-VLAN, inter-switch communications Places a unique identifier in the header of each frame, functions at Layer 2 VLAN identification options: Cisco ISL IEEE 802.1Q,VLAN1,VLAN1,VLAN2,VLAN2,VLAN3,VLAN3,Backbone,VLAN1,VLAN2,VLAN3,23,VLAN Identification Using ISL,Trunk Link,VLAN100,VLAN200 (Port C),VLAN200 (Port A),Trunk Links VLAN200 (Access Link),X,Z,Y,W,Trunk Link,Trunk Link,Frame,1,2,Frame,3,VLAN200 (Port B),ISL maintains VLAN information as frames travel between switches on trunk links,Y,Frame,ISL,24,VLAN Identification Using IEEE 802.1Q,2-byte tag protocol identifier (TPID) A fixed value of 0x8100. This TPID value indicates that the frame carries the 802.1Q/802.1p tag information. 2-byte tag control information (TCI),Initial MAC Address,Initial Type/Data,New CRC,2-Byte TPID 2-Byte TCI,25,Configuring Trunking,Switch(config-if)#trunk on | off | desirable | auto | nonegotiate,Catalyst 1900,Catalyst 2900,Switch(config-if)# switchport mode trunk Switch(config-if)# switchport trunk encapsulation isl | dot1q ,Catalyst 5500,Switch(enable) set trunk on|off|desirable| auto|nonegotiate range isl|dot1q| dot10|lane|negotiate,26,Adding a VLAN,Switch(config)# vlan name ,Catalyst 1900,Catalyst 2900,Switch# vlan database Switch(vlan)# vlan name ,Catalyst 5500,Switch(enable) set vlan name ,27,Assigning Switch Ports to a VLAN,Switch(config-if)#vlan-membership static | dynamic,Catalyst 1900,Catalyst 2900,Switch(config-if)#switchport access vlan vlan#,Catalyst 5500,Switch(enable) set vlan ,28,Verifying a Trunk,Catalyst 2900,Switch# show interface switchport,Switch# show trunk A | B ,Catalyst 1900,Switch(enable) show trunk mod/port,Catalyst 5500,29,Verifying a VLAN / VLAN Membership,Catalyst 2900,Switch# show vlan vlan# Switch# show vlan brief,Switch# show vlan vlan# Swotch# show vlan-membership,Catalyst 1900,Switch(enable) show vlan,Catalyst 5500,30,VLAN 的路由,31,Problem: Isolated Broadcast Domains,VLAN10,VLAN20,,VLAN30,Because of their nature, VLANs inhibit communication between VLANs.,32,Solution: Routing Between VLANs,VLAN10,VLAN20,,VLAN30,Communications between VLANs require a routing processor,33,Problem: Finding the Route,VLAN10,Network ,,VLAN20,Network ,,I need to send this packet to . That address is not on my local segment.,Where can end-user stations send nonlocal packets?,34,Solution: Defining a Default Gateway,VLAN10,Network ,,VLAN20,Network ,,I know where network is!,End-user stations send nonlocal packets to a default router,I will send the packet to my default router.,35,VLAN20,VLAN10,Problem: Supporting Multiple VLAN Traffic,VLAN30,I have three distinct streams of traffic destined for the same place!,?,?,File Server A 27,I need information from File Server A.,I need information from File Server A.,I need information from File Server A.,Multiple VLANs interfacing with a single route processor require multiple connections or VLAN trunking,?,?,36,VLAN60,VLAN10,VLAN30,VLAN20,Solution: Multiple Links,The router can support a separate interface for each VLAN,37,Solution: Inter-Switch Link,The router can support a single ISL link for multiple VLANs,VLAN10,VLAN30,VLAN20,Eth 3/0.1 3/0.2 3/0.3 3/0.4,VLAN60,ISL Link,VLAN10,VLAN30,VLAN20,38,Distribution Layer Route Processors,Distribution Layer,The distribution-layer device is a combination of a high-end switch and a route processor,39,External Route Processor,Switch C,Switch A,Switch B,VLAN41 Network ,VLAN41 Network ,VLAN42 Network ,40,Internal Route Processors,41,Routing Between VLANs,VLAN 1,VLAN 2,ISL,interface fastethernet 0/0 no ip address ! interface fastethernet 0/0.1 ip address encapsulation isl 1 interface fastethernet 0/0.2 ip address encapsulation isl 2,Fast E0/0,,,42,Defining a Default Gateway,VLAN40,VLAN30,ASW31#config t Enter configuration commands, one per line. End with CNTL/Z ASW31(config)#ip default-gateway 63,ASW41#config t Enter configuration commands, one per line. End with CNTL/Z ASW41(config)#ip default-gateway 63,63 63 63,Default Gateway 63,Default Gateway 63,Defining a default gateway facilitates inter-VLAN communications,43,访问控制列表 （ACL）,44,ACL相当包过滤功能，可以帮助路由器控制数据包在网络中的传输，通过包过滤可以限制网络流量以及增加网络安全性.,45,ACL规则的方式,1、标准包过滤 该种包过滤只对数据包中的源地址进行检查 2、扩展包过滤 该种包过滤对数据包中的源地址，目的地址，协议及端口号进行检查。,46,包过滤功能配置一 ：定义规则,1.定义标准包过滤规则,在全局配置状态下： access-list 标识号码 deny 或permit 源地址 通配符 2.定义扩展包过滤规则,在全局配置状态下下， access-list 标识号码 deny或permit 协议 源地址 通配符 操作码 端口号目地地址 通配符 操作码 端口号,47,access-list规定的标识号码,包过滤类型 标识号码范围 IP 标准 1-99 IP 扩展 100-199 可以在指定范围内任意选择一个标识号码定义相应的包过滤规则,48,deny参数表示禁止，pernit表示允许 通配符为32位二进制数字，并与相应的地址一一对应。路由器将检查与通配符中的“0”（2进制）位置一样的地址位，对于通配符中“1”（2进制）位置一致的地址位，将忽略不检查。,49,通配符,对某主机IP地址进行匹配 0 host 0 指任何IP皆可 55 any,50,一个包过滤规则可以包含一系列检查条件，即可以用同一标识号码定义一系列access-list语句 路由器将从最先定义的条件开始依次检查，如数据包满足某个条件，路由器将不再执行下面的包过滤条件，如果数据包不满足规则中的所有条件，Cisco路由器缺省为禁止该数据包，即丢掉该数据包。,51,包过滤功能配置二 ：在端口应用包过滤规则,在需要包过滤功能的端口，应用包过滤规则 ：在子端口配置模式下 ip access-group 包过滤规则标识号 in或out in 表示对进入该端口的数据包进行检查 out表示对要从该端口送出的数据包进行检查,52,53,54,标准,过滤考虑源IP地址 Access list 标识号码 199 例: Router(config)#access-list 10 deny host 拒绝所有来自主机 的数据包 Router(config)#int serial 0 Router(config-if)#ip access-group 10,55,标准,E0,S0,E1,E2,Internet,Finance ,Server ,Marketing ,Sales ,access-list 10 deny 55 access-list 10 permit any interface e0 ip access-group 10 out,56,扩展,Router(config)#access-list permit | deny 操作码 端口号 操作码 端口号 协议: IP, TCP, UDP, ICMP, GRE, IGRP 操作码 it: 小于 gt: 大于 eq: 相等 neq: 不相等 Router(config-if)#ip access-group in | out,57,常用的端口号 FTP data 21 FTP program 23 Telnet 25 SMTP 69 TFTP 53 DNS,58,扩展,E0,S0,E1,E2,Internet,Server ,Marketing ,Sales ,access-list 110 deny tcp any eq 21 access-list 110 deny tcp any eq 23 access-list 110 permit ip any any interface e0 ip access-group 110 out,59,放置ACL的准则,扩展ACL靠近源端 标准的ACL靠近接受端,60,IP地址解决方案,用户若要访问Internet，必须使用一个合法的IP地址。但合法可分配的Internet IP地址有限,61,IP地址的扩展,固定IP（主机在INTERNE的IP地址不变） 动态IP（主机在INTERNE的IP地址随机 获取） 公有IP （主机在INTERNET的IP地址） 私有IP（主机在LAN内部的IP地址，同样 可分为固定IP 和动态IP ） IPv4(32bit) 和IPv6(128bit),62,固定IP,在 传 统 的 IP 网 络 中， 网 络 上 的 每 一 个 设 备 都 有 一 个 永 久 的 IP 地 址。,63,动 态 IP,采 用 动 态 分 配 的 方 法，系统 把 公 用 的 IP 地 址 分 配 给 用 户 或 收 回 分 配 给 用 户 的 IP 地 址， 使 它 仍 然 可 以 为 许 多 用 户 公 用。 一 个 动 态 分 配 的 例 子 如 :25 个 分 散 的 用 户 共 享 10 个 IP 地 址。 如 果 有 一 个 用 户 请 求 一 个 IP 地 址 的 话， 动 态 分 配 方 法 将 把 这 10 个 IP 地 址 中 的 一 个 (随 便 哪 一 个) IP 地 址 分 配 给 这 个 用 户 使 用; 在 这 个 用 户 使 用 完 这 一 IP 地 址 后， 再 收 回 这 一 地 址。 同 一 个 用 户 在 多 次 应 用 中 申 请 到 的 IP 地 址 可 以 不 是 同 一 个。,64,网络地址转换器 (NAT Network Address Translate),(NAT) 是一种 Internet Engineering Task Force (IETF) 标准，用于允许专用网络上的多台 PC 机（使用专用地址范围，例如 10.0.x.x、192.168.x.x、172.x.x.x）共享单个或多个、 公有的 IPv4 地址。,65,NAT 的应用环境,情况1：一个企业不想让外部网络用户知道自己的网络内部结构，可以通过NAT将内部网络与外部Internet 隔离开，则外部用户根本不知道通过NAT设置的内部IP地址。 情况2：一个企业申请的合法Internet IP地址很少，而内部网络用户很多。可以通过NAT功能实现多个用户同时公用一个合法IP与外部Internet 进行通信。,66,NAT 的实现,专门的NAT设备 具有NAT功能路由器,67,NAT的种类,静态地址转换 动态地址转换 复用动态地址转换,68,静态地址转换,静态地址转换将内部本地地址与内部合法地址进行一对一的转换，且需要指定和哪个合法地址进行转换。如果内部网络有E-mail服务器或FTP服务器等可以为外部用户提供的服务，这些服务器的IP地址必须采用静态地址转换，以便外部用户可以使用这些服务。,69,动态地址转换,动态地址转换也是将本地地址与内部合法地址一对一的转换，但是动态地址转换是从内部合法地址池中动态地选择一个末使用的地址对内部本地地址进行转换。,70,复用动态地址转换,复用动态地址转换首先是一种动态地址转换，但是它可以允许多个内部本地地址共用一个内