《建立WAN原型》PPT课件.ppt

建立WAN原型 计算机网络设计和支持 第8章 学习目标 目录索引 8 1建立远程连接的原型8 2建立WAN连接的原型8 3建立远程工作人员支持的原型 8 1建立远程连接的原型 8 1 1描述远程连接测试方法 设计人员可以使用三种不同的方案来测试远程连接设计 模拟软件使用模拟链路的原型测试实际环境中的试行测试 8 1 2用模拟软件测试WAN连接 使用模拟软件包的好处是 总成本低 构建和维护测试网络成本较高 灵活性 模拟软件可以支持多种不同类型的设备和连接选项 在模拟环境中更改配置和拓扑通常要比使用实际环境时更快更方便 可扩展性 在实验室环境中建立大型网络或复杂网络耗时且易出错 如果使用模拟程序 则可以在较短的时间里测试大型网络 可控制性 网络设计人员可以决定通过网络发送的流量类型以及发送流量的速率 设计人员还可以停止模拟以便在网络的不同位置捕获和检查数据包 使用模拟软件程序验证网络设计也有一些缺点 功能有限 软件程序在供公众使用之前很早就已设计和编写 因此可能会很快过时 此外 软件可能只支持实际环境的部分功能 性能脱离实际 软件程序员不可能预测和模拟实际网络中可能发生的所有情况 因此 依赖于从模拟软件中得到的计时估计值和性能估计值未免有些冒险 8 1 2用模拟软件测试WAN连接 8 1 3在实验室环境中模拟WAN连接 在实验室环境中用原型法模拟WAN连接 要模拟DSLWAN连接或电缆WAN连接 可以使用以太网连接 大多数以太网接口可设置为10Mb连接 这与通过DSL或电缆提供的连接类型相似 对接口使用bandwidth命令可以将路由协议度量调整为模拟低速链路的度量 8 1 3在实验室环境中模拟WAN连接 有两种常见方法可用于模拟串行连接 CSU DSU或串行调制解调器V 35电缆如果有现成的CSU DSU或调制解调器 采用图中方法 一台CSU DSU或调制解调器配置为提供DCE功能 另一台设备配置为DTE设备 8 1 3在实验室环境中模拟WAN连接 如果没有现成的CSU DSU或调制解调器 使用V 35电缆可以使用两根串行V 35电缆来模拟点对点WAN连接 一根电缆必须为V 35DCE电缆 而另一根必须为V 35DTE电缆 一台路由器必须配置为DCE设备 对接口使用clockrate命令可完成该配置 8 2建立WAN连接的原型 8 2 1确定WAN目标和要求 体育场管理部门的高优先级目标是将新的IP电话系统和视频监控网络延伸到当前远程站点 设计人员建议使用帧中继来连接球队A新的远程办公室和FilmCompany的办公室 通过Internet的现有VPN保留在新设计中 以作为新WAN的备份 设计人员决定建立原型来模拟WAN连接 该原型测试配置以及链路故障情况下的故障转移功能 8 2 2创建测试计划 设计人员创建测试拓扑图 安装核对表和测试计划来演示帧中继连接 决定模拟WAN连接的各个要素 必须使用充当帧中继交换机的Cisco路由器来模拟该连接 此路由器标识为FR1 它使用交叉连接来连接到拓扑中的其它路由器 在NetworkingCompany 此交叉功能是通过将一根V 35DTE电缆直接连接到一根V 35DCE电缆来创建的 由于测试拓扑中不存在CSU DSU 因此FR1路由器接口配置了时钟速率来提供DCE功能 8 2 2创建测试计划 8 2 3检验设备和拓扑的选择 每条帧中继链路至少有三个组件 将本地CPE路由器连接到TSP帧中继交换机的本地点对点电路TSP分组交换网络将远程站点连接到TSP网络的远程点对点电路 帧中继拓扑与ISP管理的现有VPN连接有着根本性的不同 帧中继链路是跨越一系列连接的虚电路 不是两个站点间的物理连接 8 2 3检验设备和拓扑的选择 本地环路 本地环路将提供商帧中继交换机连接到体育场驻地的CSU DSU 该连接随后端接于CPE路由器的串行端口 数据链路连接标识符 每一个虚DLCI通常只在本地环路中有意义 电路端点由数据链路连接标识符 DLCI 标识 8 2 3检验设备和拓扑的选择 有保证的数据速率 承诺信息速率 CIR 指定了网络在正常情况下提供的最大平均数据速率 CIR小于等于本地访问速率 零CIR 意味着每一帧都是DE帧 网络可以在拥塞时丢弃任何帧 CIR设置为零的服务没有保证 本地管理接口 本地管理接口 LMI 是路由器 DTE设备 与本地帧中继交换机 DCE设备 之间的信号标准 LMI负责管理路由器与帧中继交换机之间的连接并维护状态 8 2 3检验设备和拓扑的选择 FECN通知目的设备网络路径中出现拥塞 FECN位是在帧中继帧报头中的Address字段内 BECN将网络路径中的拥塞情况通报给源设备 BECN位也在帧中继帧报头中的Address字段内 8 2 3检验设备和拓扑的选择 练习 8 2 4建立WAN原型 建立帧中继WAN原型 配置路由器充当帧中继交换机配置帧中继路由配置串口为DCE设备配置封装类型 8 2 4建立WAN原型 逆向ARP和帧中继映射 8 2 4建立WAN原型 逆向ARP和帧中继映射 8 2 4建立WAN原型 共享一个接口的多条链路对于距离矢量路由协议更新可能会造成问题 水平分割阻止路由表更新从接收它们的同一个接口上离开 8 2 4建立WAN原型 两种帧中继子接口类型 点对点 广播在这种环境中不是问题 因为路由器以点对点方式连接 并且作用类似于租用线路 多点 一个子接口用于建立与远程路由器上的多个物理接口或子接口相连的多个PVC连接 此配置不解决水平分割问题 为了使距离矢量路由协议可用于多点链路 必须关闭水平分割 8 2 4建立WAN原型 检验帧中继 8 2 4建立WAN原型 检验帧中继 8 2 4建立WAN原型 检验帧中继 8 2 4建立WAN原型 检验帧中继 8 2 4建立WAN原型 检验帧中继 提供和测试备份功能 设置以太网连接 这些以太网连接旨在模拟远程站点与体育场主网络之间的现有VPN VPN做为备份 创建浮动静态路由 以便在帧中继链路出现故障时使用备份链路 8 2 5帧中继运作故障诊断 诊断主链路故障检查帧中继接口状态检验LMI运作 8 2 5帧中继运作故障诊断 8 2 5帧中继运作故障诊断 调试LMI交换 debugframe relaylmi检查第3层功能 frame relaymapip 8 2 6确定风险和弱点 确定设计中的风险和弱点风险领域 最关键的风险领域是用作备份的VPN链路在正确工作时性能如何 当网络的语音和视频组成部分添加到现有WAN流量时 如果必须使用VPN连接 就可能出现服务质量问题 8 3建立远程工作人员支持的原型 8 3 1确定VPN的目标和要求 球队办公室要求 球队办公室需要安全的方法来让球探连接到球队服务器 球探需要在远离体育场时将候选球员的信息传送到球队服务器 VPN工作方式 VPN模拟点对点链路 VPN用提供路由信息的报头封装数据 此格式使数据能通过公共网络传到其目的地 8 3 1确定VPN的目标和要求 VPN安全性 VPN用户可以从未受到完全保护的设备或者从公共区域中不安全的位置访问网络 VPN服务器位置 要在VPN服务器端点上将加密数据解密之后 才能过滤这些数据 它所在的位置必须是在传入的数据包发送到内部网络资源之前可检查并过滤这些数据包的位置 8 3 2建立测试计划 8 3 2建立测试计划 网络设计人员创建测试计划来检验CiscoEasyVPN是否适用于为体育场配置VPN服务器以及设置客户端软件 8 3 3验证VPN拓扑 设备和拓扑的选择 VPN有两个重要组件 用于创建虚拟网络的隧道用于实现私密性和安全性的加密虚拟网络 要建立虚拟网络 需要在两个端点间创建隧道VPN隧道协议 通用路由封装 GRE IP安全性 IPSec 第2层转发 L2F 协议点对点隧道协议 PPTP 第2层隧道协议 L2TP 8 3 3验证VPN拓扑 设备和拓扑的选择 加密算法 DES AES 3DESDH1 DH2 DH5 8 3 3验证VPN拓扑 设备和拓扑的选择 加密算法 DES AES 3DESDH1 DH2 DH5 8 3 3验证VPN拓扑 设备和拓扑的选择 为了防止有人截获并修改VPN数据 可以使用数据完整性算法 MD5SHA 8 3 4建立远程工作人员VPN连接的原型 IPSec依赖于现有算法来实现加密 验证和密钥交换 配置VPN服务器时 必须配置以下设置 IPSec协议 可以选择封装安全负载 ESP 验证报头 AH 或者ESP与AH相结合 适用于所要安全级别的加密算法 可选择DES 3DES或AES 提供数据完整性的验证算法 可选择MD5或SHA Diffie Hellman组 可选择DH1 DH2和DH5 如果支持DH5 8 3 4建立远程工作人员VPN连接的原型 分割隧道 分割隧道可使用户通过隧道仅发送目的地为企业网络的流量 所有其它流量通过VPN客户端的本地LAN发送到Internet 8 3 5验证VPN服务器的位置 VPN服务器放置 VPN服务器通常放置在网络的WAN边缘 在这样的情况下 防火墙或ACL可用于确保VPN用户只能访问适当的网络资源 8 3 6确定风险和弱点 确定VPN设计中的风险和弱点 8 3 6确定风险和弱点 练习 总结 测试远程连接选项可能比测试LAN设计更困难 设计人员可使用三种不同的方法来测试远程连接设计 计算机软件程序 如PacketTracer 为设计人员提供了测试工具 便于他们在实际环境中实施配置之前先测试配置 使用模拟的缺点是功能有限或者报告的性能估计值脱离实际 使用交叉电缆和特殊的设备配置可以在原型环境中模拟WAN连接 在使用交叉电缆连接两个串行接口时 必须让一台设备为电路提供时钟功能 在Cisco路由器上 这使用clockrate命令完成 总结 每条帧中继链路有至少三个组件 一条物理本地环路可携带多条虚电路 每一个虚电路端点由数据链路连接标识符 DLCI 标识 承诺信息速率 CIR 指定网络在正常情况下提供的最大平均数据速率 管理网络中的流量传输 帧中继实现了BECN FECN 逆向地址解析协议 逆向ARP 提供了创建DLCI到第3层地址动态映射的机制 帧中继是非广播型多路访问 NBMA 协议 这意味着接口上的每个虚电路都视作单独的本地网络 将路由器配置为在主链路不可用时使用备份链路的方法之一是创建浮动静态路由 浮动静态路由的管理距离大于对应动态路由的管理距离 总结 VPN是内部专用网络的扩展 VPN通过共享网络或公共网络 如Internet 安全地传送信息 VPN有两个重要