network_mag.ppt

网络规划与设计 江苏高校图书馆现代技术培训 江苏东大金智软件股份有限公司教育事业部刘传先 内容 VLANMulti switchRouteNatProxyFirewall 路由和交换的工作层次 物理层 网络层 数据链路层 传输层 应用层 OSI协议分层 集线器基本工作流程 PORT1 PORT2 PORTN A C B 交换基本工作流程 MACa PORT1 PORT2 PORTN MACc A D C B 网段的形成 PORT1 PORT2 PORTN 网段1 网段3 网段2 A B C D PORT1 PORT2 PORT2 MACa MACb MACc PORTN MACd MACTABLE 交换环境下的广播风暴 PORT1 PORT2 PORTN 网段1 网段3 网段2 A B C D PORT1 PORT2 PORT2 MACa MACb MACc PORTN MACd MACTABLE 路由基本工作流程 PORT1 PORT2 PORTN 子网 192 0 1 XXX A B C D 子网 192 3 96 XXX 子网 192 2 16 XXX IP aaMAC a IP ccMAC c 广播域 路由器每个端口是一个广播域交换机所有端口都属于同一个广播域 路由器对广播的控制 PORT1 PORT2 PORTN 子网 192 0 1 XXX A B C D PORT1 PORT2 PORTN ROUTETABLE 子网 192 3 96 XXX 子网 192 2 16 XXX 192 0 1 XXX 192 2 16 XXX 192 3 96 XXX IP aaMAC a IP ccMAC c 路由与交换的比较 实现层次OSI第二层OSI第三层地址6BYTE地址4个8BIT十进制数包转发速度快慢包转发校验可省略 直接转发具有完善的校验过程广播控制广播风暴能抑制第二层广播每端口价格相对便宜较贵报文过滤简单MAC地址过滤较复杂的访问控制设备实现硬件 交换矩阵一般为软件 指标 交换 路由 VLAN的作用 1 隔离广播域 减少对路由器的依赖 突破了按地域划分子网的限制保证安全性 VLAN1 VLAN2 甲楼 乙楼 VLAN的作用 2 VLAN1 VLAN2 甲楼 乙楼 优化管理 减少由于网络站点增加 移动或更改而造成的网络维护成本 无须使用VLAN的情况 小型局域网 如果一个局域网简单到能够被放入一个广播域的情况下 则无须引入VLAN的概念 无须使用VLAN的情况 能够被路由严格区分为几个广播域的网络 如果一个局域网能够被路由分割开来 是每一部分都是一个广播域 不同厂商VLAN的兼容性存在问题 1 VLAN的标准虽然已经制订 但其功能上存在一定的限制 各厂商在自己的产品上都做了一定的增强 2 由于VLAN在交换机上实现 要实现高速度 必须用硬件来实现 向标准完全兼容意味着厂商以前的产品全部要更换 解决办法 1 尽可能使用相同厂家的产品 2 在需要互连不同厂商产品的时候不要用标准不支持的技术 不同厂商VLAN技术的共同点 跨交换机的VLAN支持多种网络技术和协议在一个设备上可划分多个VLAN VLAN划分的策略 端口MAC地址协议类型网络层地址用户定义某些最新的策略类型 VLAN划分的基础 群组 一个群组是交换机物理端口的集合一个群组构成一个广播域群组可以跨接多台交换机群组不能重叠 即每个端口只能属于一个群组群组间的帧可以通过路由转发同一个群组中不同的VLAN之间的帧也能通过路由转发 策略一 基于端口 VLAN1 VLAN2 VLAN3 群组 基于端口的VLAN 面向端口的VLAN的优缺点 优点 优秀的性能最佳的兼容性交换机的负担小优秀的安全性 缺点不够灵活维护较烦琐设计较烦琐 策略二 基于MAC地址 MACA MACF MACB MACC MACE MACD VLAN2 VLAN1 VLAN3 端口2 1 端口2 2 端口2 3 端口2 4 端口2 5 2 1 2 2 2 5 2 3 2 4 1号群组 MACAMACB MACF MACCMACDMACE 根据MAC地址划分VLAN的优缺点 优点高安全性较灵活后期的维护量较小 缺点前期的工作量很大任何主机的网卡更换都必须通知网络管理员交换机负担较重 策略三 基于协议类型 IP协议IPX协议DECNnet协议ApplTalk以太类型流量SAP报头流量SNAP报头流量 策略三 基于协议类型 VLAN2 站点A B E F VLAN1 2 1 2 2 3 1 2 3 VLAN3NetBIOS 站点C D 交换机1 IP VLAN2 站点A B E F VLAN1 2 2 2 3 3 1 2 1 VLAN3NetBIOS 站点C D 交换机2 IP 快速以太网 优点高灵活性方便管理维护量小 缺点性能较差交换机负担较重 根据协议类型划分VLAN的优缺点 策略四 基于网络层地址 IP网络地址及其掩码协议IPX网络号和封装类型 策略四 基于网络层地址 站点A202 119 16 200255 255 255 0 站点B202 119 16 75255 255 255 0 端口2 1 端口2 2 站点C202 119 18 65255 255 255 0 端口2 3 端口3 1 VLAN2 站点A B E F VLAN1 2 1 2 2 3 1 2 3 VLAN3202 119 18 0 站点C D 交换机1 202 119 16 0 站点D202 119 18 10255 255 255 0 端口2 1 端口3 1 站点E202 119 16 8255 255 255 0 站点F202 119 16 6255 255 255 0 端口2 2 端口2 3 快速以太网 VLAN2 站点A B E F VLAN1 2 2 2 3 3 1 2 1 VLAN3202 119 18 0 站点C D 交换机2 202 119 16 0 根据网络层地址划分VLAN 优点直观管理方便 缺点支持较少交换机负担重 策略五 基于用户定义的策略 偏移量 指定域在整个帧中的位置 n n 6 取值 指定域的取值 110101 掩码 定义在这些值中应该识别的比特 1101001 nn 6 根据MulticastGroup划分VLAN 用在特殊的用途 支持的厂家较少 某些最新的策略类型 PORTBIND 将IP MAC同时绑定到一个端口身份校验 由外部NTSERVER提供用户认证DHCP 动态主机配置协议 Vlantaggingprotocols 802 10ISL802 1QLANE VLANtagAddedbyIncomingPort IEEE802 1Q IEEE认可的标准VLANTrunkingMechanism几乎所有厂商的支持只支持无策略的VLAN 内容 VLANMulti switchRouteNatProxyFrirewall Definition Switching Processoftransferringdatafromaninputinterfacetoanoutputinterface DataIn Input Output DataOut Layer2Switching MACLayer Input Output Frame Frame Layer3Switching ProcessofmovingaPACKETfromaninputinterfacetoanoutinterface TokenRing TokenRing L2Switchingvs L3Switching RoutingTable L2Switch F Input Output L3Switch P Input Output NetflowSwitchingOverview RouteTable Accesslist QueuingPriority AccountingDATA SwitchingTask SecurityTask QueuingTask AccountingTask NETFLOWStatistics NETFLOWDATAExport FirstPacket SubsequentPacket BenefitsofNetflowSwitching Layer3Switching MultiprotocolSupportFloworientedswitchingFrameorcellbasedlearnonce switchmanytimesNetworkServicesappliedonper flowbasis Layer3Switching的本质 1 机制 LANSwitching HighspeedbridgingLayer3Switching Highspeedrouting2 协议部分使用了原有的路由协议 部分采用了新的协议以支持更高的速度 Layer3Switching所能解决的问题 吞吐量响应时间网络的集成成本网络的可靠性 吞吐量 由于现代的交换速度已经越来越快 传统的软件为基础的路由方式已经越来越跟不上交换速度的增长 成为的网络的瓶颈 因此必须采取一些硬件的措施来实现路由的功能 响应时间 采用硬件的方法实现路由的部分功能将会大大降低响应时间 网络的集成 由于Layer3Switching的模块可能只有少数几个芯片组成 因此可以更加容易的集成到各种网络底层技术中 如FastEthernet GigabitEthernet ATMetc 成本 Layer3Switching将比软件实现路由更加便宜 网络的可靠性 传统的交换方式需要采用大量的SpanningTree技术来进行网络结构的重构 速度较慢 而Layer3Switching则可采用一些新的方法来提高网络重构的速度 Layer3Switching所存在的问题 网络协议的支持许多三层交换机支持IP 有些可以支持IPX路由协议的支持大多数三层交换机只支持少数几种路由协议 底层网络技术的支持有很多三层交换机只支持Ethernet技术 Cut throughSwitching 我们知道 ATM使用了虚电路的概念 在建立的虚电路后 传输的两端就建立了一条虚拟的连接 在虚电路中不需要任何的路由 虚电路中的各个环节只需要根据虚电路的映射机制快速的转发即可 因此可以支持很高的速度 如果需要在两端建立一条虚电路 则需要以下几个过程 1 将LANAddress映射到ATM地址上 2 处理broadcast和multicast 3 在链路建立起前存贮报文 4 建立连接 5 传输完成后拆断连接 在需要时建立虚连接 在完成后拆断虚连接 称之为Cut throutghSwitching 它有两种实现方法 IPSwitchingNHRPandMPOA IPSwitching 由Ipsilon提供licensedcode平常 使用普通的路由技术 当侦察到一个长时间传输的流时 则建立一条直接的交换链路 NHRPandMPOA 工作方式类似于IPSwitching被IAB和ATM论坛认可MPOA可支持除IP外的其它协议 LabelSwapping 每个包包含一个Label 并不需要建立虚电路 因此可以同时支持信元交换和帧交换 Label由网络层地址确定 因此可支持多路由协议 和传输类型 Layer3Switching的未来 将会被更加广泛的应用 价格将会更加降低 LabelSwapping将会被用在Internet上 但终端用户可能不会很快使用此项技术 第三层 IP 交换 路由与交换相结合 在保留IP协议的稳定和可扩充性的同时 利用具备交换功能的硬件提高IP分组的转发速度 路由 交换 第三层 IP 交换工作模式 VLAN1 VLAN2 缺省路由通路 捷径路由通路 路由机制 流 Flow 驱动的IP交换 IP流 一串具有相同源IP地址 相同目的IP地址和相同端口号的数据分组流驱动的IP交换按照IP流的特性进行路由选择 当IP流的一部分达到后 根据它所经过的路径动态的建立直通路径典型实现 NHRP 下一跳路由协议 NHRP 下一跳路由协议 NHRP是MPOA协议组的一部分NHRP是一个地址解析协议 主机或路由器利用它用一个ATM地址解析一个对应的IP地址 并在处理第一次IP流后建立从源到目的的直连ATM虚电路 以后流即通过该直连虚电路快速传输 理解IP交换的误区 虚拟网就是IP交换 交换机集成路由模块就是IP交换 VLAN是交换机通过判断帧中的协议类型划分子网IP交换需要运行路由协议 具有路由功能 VLAN划分及站点移动方便不同VLAN连接需要路由 内容 VLANMulti switchRouteNatProxyFrirewall 建立路由表 硬件状态静态路由由手动定义动态路由从协议中得出 一个发送的路由表 路由协议 路由器是根据第三层逻辑地址发送业务的分组交换路由器相互交换路由协议得知其他逻辑网络的路径每个路由协议都提供一定功能使该协议成为互联网设计所需的部分 IKnowAboutNetworkANetworkBNetworkC IKnowAboutNetworkXNetworkYNetworkZ ABC XYZ RoutingUpdate ExchangesNetworkKnowledge 静态路由 手动配置路由当路由数量较少时有用可成为管理负担经常用于缺省路由 RIP 应用广泛容易实现HOP计数定期更新简单 有限 缓慢汇集路由环路无限计数RFC1058 RIPHOPSPECIFACATION R1 R2 R3 1HOP 0HOPS PATHB PATHA RIPV2 RFC1723CiscoIOS11 1支持可变长度子网屏蔽路由概括多点路由更新 可变长度子网连接 IP 172 16 40 1255 255 255 0 172 16 50 1255 255 255 0 172 16 60 1255 255 255 0 B A C 5 13 14 10 9 6 172 16 1 4255 255 255 252 172 16 1 12255 255 255 252 172 16 1 8255 255 255 252 IGRP 内部网关路由协议CISCO开发距离向量复合规格 定期更新缺省计时器产生缓慢汇集 EIGRP 快速汇集VLSM支持非连续子网任意路由SUMMARY支持首标和主机路由 最好的DV和DS低开销无循环多协议 IP IPX AppleTalk配置简单 OSPF 动态路由协议链接状态或SPF技术由IETF的OSPF组开发 RFC1253 内部独立系统 IGP 专门为TCP IPInternet设计 快速汇集可变长度的子网屏蔽非连续子网络路由校验 OSPFAREA BackboneArea 0 Area 1 Area 2 Area 3 规则主干网必须存在所有其他区域必须与主干网相联接主干网必须连续 特殊路由技术 Multicast RSVP HSRP MulticastRoute DVMRPMOSPFPIM DMPIM SM RSVP ResourcereSerVationProtocol 资源保留协议 IETF信令协议带宽和延迟的保留动态端 访问目录 制定排队策略流量可以由终点或路由器发出信号 静态保留 HSRP 热备份路由器协议 10 1 1 10 10 1 1 2 10 1 1 3 10 1 1 1 缺省路由器透明故障克服建立虚拟路径一个路由器有源 并对虚拟地址相应其他进行监控并接管虚拟路由器 内容 VLANMulti switchRouteNatProxyFrirewall IP地址分类 符号形式如Email地址 cxliu 数字形式一个数字形式的IP地址由32bits组成 用4Bytes表示 每个字节用10进制表示 字节之间用 隔开 IP地址 IP地址分类 IP地址共分为五类A类地址08310网络编号 7比特 主机编号 24比特 第一位比特为 0 的IP地址网络数量 27 128个主机数量 224 16M个地址范围 0 127 XXX XXX XXX IP地址分类 B类地址0163110网络编号 14比特 主机编号 16比特 第一位比特为 10 的IP地址网络数量 214 16K个主机数量 216 64K个地址范围 128 191 XXX XXX XXX IP地址分类 C类地址02431110网络编号 21比特 主机编号 8比特 第一位比特为 110 的IP地址网络数量 224 2M个主机数量 28 256个地址范围 192 223 XXX XXX XXX IP地址分类 D类地址04311110多址投送地址前四位比特为 1110 的IP地址地址范围 224 239 XXX XXX XXXE类地址04311111预留地址前四位比特为 1111 的IP地址地址范围 240 255 XXX XXX XXX 特殊IP地址 全 0 或全 1 的地址为特殊地址 全 0 表示 任意一个 仅仅在实际值未知时 才采用全 0 比特地址全 1 表示 所有 为全 1 的地址用于广播 为全 1 的A类地址表示 环路地址 主要用于测试 子网划分和子网掩码 划分IP子网的目的节约IP地址空间划分IP子网方法将IP地址中的再划分为和子网掩码划分子网后 通过子网掩码告诉连接不同子网的路由器如何识别用于路由选择的网络编号及子网编号子网掩码由连续的 1 Bit和连续 0 Bit组成中间用 隔开 子网划分和子网掩码 子网划分类型静态子网划分所有子网采用相同的子网掩码目前所有IP主机及路由器均支持静态子网划分变长子网划分同一网络内不同的子网采用不同子网掩码不是所有IP主机及路由器均支持变长子网划分 专用网络地址 用于单个机构内部构造基于IP的网络A类地址 10 0 0 0 10 255 255 255 一个A类地址B类地址 172 16 0 0 172 31 255 255 16个连续的B类地址C类地址 192 168 0 0 192 168 255 255 256个连续的C类地址 内容 VLANMulti switchRouteNatProxyFrirewall 代理服务器 代理服务器本质上是一个应用网关 是一个不透明的设备代理服务器首先验证网络应用使用者的身份和权限 然后 代理使用者建立并且转发与目的应用服务器的连接它存在两个网络的中间 不允许直接数据传输 并有较大的Cache 可以做详细的日志及审计 对节省流量 计费 安全都提供了一定的功能 实时 高效 准确提供Internet接入 共享一个IP地址并带高速缓存 支持Http Ftp Sockets5等协议 支持访问控制 管理员可以禁止用户访问某些非法的站点 支持Cernet的管理策略 区分国内和国外站点 将用户对国外站点的访问记录保存 统计 分析 发布以及查询 并以此作为计费的依据 按照流量计费 国内外站点的计费费率可以不同 由系统管理员设置 管理员可以从Cernet上获得国内地址列表并对系统进行更新 Internet接入代理服务及计费 内容 VLANMulti switchRouteNatProxyFrirewall 从网络的发展看安全风险 从网络攻击的来源看安全风险 从网络自身的特点看安全风险 网络级应用级系统级数据级用户级 安全层次结构 单机登录 用户 组管理 身份认证 入侵检测 风险评估 反病毒 审计分析 授权 访问控制 防火墙 通信安全 网络群体 系统群体 用户群体 应用群体 Source StevenFoote HurwitzGroup 1997 数据保密性和完整性 从安全管理的现状看安全风险 安全风险30 在于技术 70 在于管理普遍缺乏明确的安全政策与安全管理制度有效的落实安全管理制度是实现安全的关键 网络安全体系的建立 最受欢迎的十种安全产品 虚拟专用网 防火墙 访问控制 防病毒 入侵检测 网络安全系统的构筑理念 我们今天所处的环境 一个网络系统中的安全最弱点