网络工程规划与设计需求分析 .ppt

网络工程规划与设计第1章需求分析,1.1商业目标及约束分析,自顶向下的网络设计,自顶向下的网络设计是一种从OSI参考模型上层开始，然后向下直到底层的网络设计方法。它在选择较低层的路由器、交换机和媒体之前，主要研究应用层、会话层和传输层功能。,自顶向下设计方法,首先分析网络工程项目商业和技术目标了解园区和企业网络结构找出网络服务对象及其所处位置确定网络上将要运行的应用程序及其在网络上的行为重点先放在OSI参考模型第7层及其以上,开放系统互连（OSI）参考模型,结构化的网络设计过程,系统是按自顶向下的顺序进行设计的。在工程设计过程中，可以使用集中式技术和模型描述现有系统、用户的新需求及其在未来系统中的结构。重点理解数据流、数据类型及数据存取或数据改变过程。重点理解存取、改变数据的用户群的位置和需求。逻辑模型的建立要先于物理模型。逻辑模型代表了基本的体系结构模块，可以进一步划分为功能结构和系统结构。物理模型代表了设备和具体的技术及实现。,系统发展生命周期,系统发展生命周期一般是指系统的开发及其继续存在的一段时期。系统用户的反馈会引起系统的再一次修改、重建、测试和完善。,网络设计的循环实现,网络设计步骤,第1阶段需求分析商业目标分析技术目标分析现有网络描述网络通信量分析,网络设计步骤（续）,第2阶段逻辑设计网络逻辑拓扑设计网络结构、网络层地址、命名模型设计交换和路由协议选择网络安全规划设计网络管理设计,网络设计步骤（续）,第3阶段物理设计选择园区、企业网络逻辑设计的具体技术和产品。,网络设计步骤（续）,第4阶段测试、优化和文档编写网络设计测试网络设计优化网络设计文档编写,网络工程的商业目标分析,增加收入和利润提高市场占有份额拓展新的市场空间提高在同一市场内同其他公司竞争的能力降低费用提高员工生产力缩短产品开发周期使用即时生产方法制定解决配件短缺的计划为新客户提供服务,网络工程商业目标分析（续）,支持移动性为客户提供更好的支持为关键要素开放网络避免网络安全问题引发商业中断避免自然或人为灾害引发商业中断对过时技术进行更新改造降低电信和网络费用并在操作上进行简化,网络工程的商业约束,技术偏好和政策预算和人员约束项目进度安排,1.2技术目标分析与折中,技术目标,可扩展性可用性网络性能安全性可管理性易用性适应性可付性,可扩展性,可扩展性指的是网络设计应该支持多大程度的网络扩展要知道在以后的一年里能增加多少站点？在以后的两年里情况如何？每一个新站点的网络范围有多大？在未来的一年中将有多少新的用户访问公司的互联网？未来的两年情况如何？在未来的一年里将会在互联网中增加多少台服务器？未来的两年情况如何？,可用性,可用性可以用每年、每月、每天或者每小时内正常工作的时间占该时期总时间的百分率来表示例如:24/7运转在168-小时一周内网络可用165小时可用性为98.21%有些企业可能需要99.999%“5个9”可用性,可用性停用时间（分钟计）,4.32,1.44,.72,.01,30,10,5,.10,1577,99.70%,526,99.90%,263,99.95%,5,99.999%,每小时,每天,每周,每年,.18,.06,.03,.0006,.29,2,105,99.98%,.012,99.999%可用性可能需要三倍冗余,企业网络,ISP1,ISP2,ISP3,用户可以负担得起吗？,可用性,可以用失败的平均时间（MTBF）和修复的平均时间（MTTR）来定义可用性可用性=MTBF/(MTBF+MTTR)例如:网络每4,000小时(166天)失效不能多于一次，并且要在一个小时内修复4,000/4,001=99.98%可用性,网络性能,通常性能包括带宽吞吐量带宽利用率提供负荷准确性效率延迟和延迟变化响应时间,带宽、吞吐量对比,带宽与吞吐量不同带宽表示运输数据的电路容量通常指定为比特/秒吞吐量是指单位时间无错误传送的数据量以bps,或分组/秒(pps)度量,带宽,吞吐量,负载,网络性能(续),效率发送一定数量开销需要多少开销?帧可以多大?越大效率越高(和有效吞吐量)但是帧太大，分组损坏时就会丢失更多的数据,效率,小帧(效率较低),大帧(效率较高),用户端延迟,响应时间与应用程序及其所运行的设备相关，不仅与网络相关大多数用户期望在100200毫秒内在显示器上看到有关内容,网络工程师眼中的延迟,传播延迟信号在电缆或光纤中传播速度仅为真空中传播速度的2/3发送延迟(有称串行延迟)将数字数据放到传输线上的需要的时间分组交换延迟排队延迟,排队延迟和带宽利用率,随着利用率的增加队列中的分组数成指数增加,安全性,首先重点在于需求详细的安全规划参见（2.4节）确定网络资产包括价值和期望费用以及因安全丢失后的问题分析安全风险,安全概述,概述-病毒、蠕虫和特洛伊木马-典型攻击的举例:红色代码、爱虫病毒、梅利莎病毒、Nimda、Slammer、Blaster、SoBig.F等,黑客技术,黑客技术1)黑客类型白帽黑客2)白盒和黑盒黑客技术,弱点攻击,设计问题系统加固人为因素执行问题,网络资产,硬件软件应用数据知识产权商业机密公司信誉,安全风险,网络设备被“黑”截获、分析、更改或删除数据用户口令危险更改设备配置侦查攻击拒绝服务攻击,DDoS创建代理群,DDoS使用伪造的IP地址发动攻击,其他要求,可管理性易用性适应性可付性网络设计的折中,1.3现有互联网的特征,现有网络情况?,用下列术语描述现有网络:基础结构地址和命名配线和媒体体系结构和环境约束,检查现有网络的性能,分析网络可用性分析网络利用率分析网络精确度网络效率分析延迟和响应时间分析检查主要网络设备的状态,可用性描述,网络利用率(分钟为间隔),网络利用率(小时为间隔),反应时间测量,主要路由器交换机防火墙状态的检查,显示缓存显示环境显示接口显示内存显示进程显示运行配置显示版本,1.4网络通信量描述,网络通信量因素,通信流量通信量源和存储位置通信量负载通信量行为服务质量(QoS)需求,网络流量,通信流量类型,终端/主机通信流量客户机/服务器通信流量瘦客户端通信流量对等通信流量服务器/服务器通信流量分布式计算通信流量IP网络上的语音通信流量,网络应用流量特点,通信行为,广播在数据链路层广播帧的目的地址是FF:FF:FF:FF:FF:FF不必使用大量的带宽但是会影响广播域中的每一个CPU多播应该仅影响注册过接受他的NIC在因特网上需要多播路由协议,QoS需求,QoS的英文全称为“QualityofService”。QoS是网络的一种安全机制,是用来解决网络延迟和阻塞等问题的一种技术。在正常情况下，如果网络只用于特定的无时间限制的应用系统，并不需要QoS，比如Web应用，或E-mail设置等。但是对关键应用和多媒体应用就十分必要。当网络过载或拥塞时，QoS能确保重要业务量不受延迟或丢弃，同时保证网络的高效运行。,网络工程规划与设计第2章逻辑网络设计,2.1网络拓扑设计,拓扑,拓扑学是几何学的一个分支，但是这种几何学又和通常的平面几何、立体几何不同。通常的平面几何或立体几何研究的对象是点、线、面之间的位置关系以及它们的度量性质。拓扑学对于研究对象的长短、大小、面积、体积等度量性质和数量关系都无关。在计算机网络中用于描述网络结构的术语,网络拓扑设计主题,层次化冗余模块性定义良好的入口和出口受保护的边界,为什么使用层次化网络设计模型,减少网络设备工作负载避免设备与太多设备的通信(减少“CPU邻接”)限制广播域使每个设计要素简单且容易理解易于更改易于扩展到更大的范围,层次化网络设计,层次化设计模型,核心层的高端路由器和交换机用于优化可用性和性能分布层的路由器和交换机用于执行策略接入层通过低端交换机和无线访问节点连接用户,平面环状拓扑（上部）和层次化冗余拓扑（下部）,网状设计,部分网状的层次化设计,集中星状拓扑结构层次化拓扑,避免访问层的链路和后门,满足以下条件时设计才算好,设计者已经知道如何增加一座新大楼、一个新的楼层、WAN连接、远程站点、电子商务服务等；新增设备只是引起本地与其直接连接的设备的变化；网络规模加倍或者增加到三倍时，主要的设计无须改变；复杂协议的相互作用不再成为障碍，检修变得很容易。,园区拓扑设计,使用层次化、模块化的方法最小化带宽域最小化广播域提供冗余镜像服务器对于离开的通信来说工作站有多种方法到达路由器,企业园区模块,服务器群Serverfarm网络管理模块边沿分布层口模块提供与外部的连接园区基础结构模块:建筑物访问子模块建筑物分布层子模块园区骨干,简单的园区冗余设计,主机A,主机B,局域网LANX,局域网LANY,交换机1,交换机2,网桥和交换机使用生成树协议(STP)避免循环,X,主机A,主机B,局域网LANX,局域网LANY,交换机1,交换机2,运行STP的网桥(交换机),交换机选择唯一一台交换机作为生成树的根桥；计算到达根桥的最短距离，并选择一个端口（称为根端口）以提供到达根桥的最短路径；对每个局域网段，交换机选择一个指定网桥和其上的指定端口。指定端口是局域网段内到根桥最短路径的端口。指定端口转发从局域网网段到根桥的帧。所有根桥上的端口都是指定端口；最后，交换机决定哪些交换端口将被包含在生成树拓扑结构中。选择的端口是根端口和指定端口，这些端口向前转发流量。其他端口阻塞流量,根的选择,网桥B,网桥C,网桥AID=80.00.00.00.0C.AA.AA.AA,网桥BID=80.00.00.00.0C.BB.BB.BB,网桥CID=80.00.00.00.0C.CC.CC.CC,端口1,端口2,端口1,端口2,端口1,端口2,LAN网段2100-Mbps以太网费用=19,LAN网段1100-Mbps以太网费用=19,LAN网段3100-Mbps以太网费用=19,根网桥A,最低网桥ID赢!,确定根端口,网桥B,网桥C,根网桥A,网桥AID=80.00.00.00.0C.AA.AA.AA,网桥BID=80.00.00.00.0C.BB.BB.BB,网桥CID=80.00.00.00.0C.CC.CC.CC,端口1,端口2,端口1,端口2,端口1,端口2,LAN网段2100-Mbps以太网费用=19,LAN网段1100-Mbps以太网费用=19,LAN网段3100-Mbps以太网费用=19,根端口,根端口,最低的费用赢!,确定指派端口,BridgeB,BridgeC,根网桥A,网桥AID=80.00.00.00.0C.AA.AA.AA,网桥BID=80.00.00.00.0C.BB.BB.BB,网桥CID=80.00.00.00.0C.CC.CC.CC,端口1,端口2,端口1,端口2,端口1,端口2,LAN网段2100-Mbps以太网费用=19,LAN网段1100-Mbps以太网费用=19,LAN网段3100-Mbps以太网费用=19,根端口,根端口,指派端口,指派端口,指派端口,最低的网桥ID赢!,网桥B,网桥C,根网桥A,网桥AID=80.00.00.00.0C.AA.AA.AA,网桥BID=80.00.00.00.0C.BB.BB.BB,网桥CID=80.00.00.00.0C.CC.CC.CC,端口1,端口2,端口1,端口2,端口1,端口2,LAN网段2100-Mbps以太网费用=19,LAN网段1100-Mbps以太网费用=19,LAN网段3100-Mbps以太网费用=19,根端口,根端口,指派端口,指派端口,指派端口,阻塞端口,X,将拓扑修剪成树!,更改的反应,网桥B,网桥C,根网桥A,网桥AID=80.00.00.00.0C.AA.AA.AA,桥BID=80.00.00.00.0C.BB.BB.BB,桥CID=80.00.00.00.0C.CC.CC.CC,端口1,端口2,端口1,端口2,端口1,端口2,LAN网段2,LAN网段1,LAN网段3,根端口,根端口,指派端口,指派端口,指派端口被禁止,阻塞端口迁移到转发状态,扩展生成树协议,使交换网络保持较小不能跨越7个交换机在Cisco交换机上使用BPDU偏离检测使用IEEE802.1w提供快速的生成树重新配置又称为RSTP,虚拟LAN(VLAN),虚拟局域网（VLAN）是对标准局域网的仿真，它允许在没有传统物理上的网络约束的情况下传输数据。属于管理组的一组局域网设备设计者使用VLAN限制广播域,VLAN和实际LAN的对比,连接虚拟局域网A和B的工作站的单个交换机,跨越两个交换机的VLAN,WLAN和VLAN,无线LAN(WLAN)通常实现VLAN便于漫游将所有的用户放在同一IP子网和同一虚拟局域网中，在漫游时不需要更改地址信息更容易建立过滤器(访问控制列表)保护无线网络的用户连接网络,工作站-路由器之间的通信,Proxy代理ARP(不好)监听路由广告(不好)ICMP路由器请求(应用有限)DHCP提供的缺省网关(很好但无冗余)使用热备份路由器协议(HSRP)进行冗余,热备份路由器协议HSRP,多穴因特网连接,企业,企业,企业,ISP1,ISP1,ISP2,ISP1,ISP1,ISP2,企业,选项A,选项B,选项C,选项D,安全拓扑,安全拓扑,2.1节小结,使用系统化自顶向下的方法逻辑设计先于物理设计拓扑设计应该描述层次化、冗余、模块化和安全,2.1节复习题,为什么网络设计中层次化和模块化很重要？何为STP？STP的收敛过程?企业复合网络模型有哪几个主要组成部分？对于实现多穴和因特网连接，多种选择的优点和缺点是什么？,2.2地址和命名模型设计,地址和命名原则,地址和命名使用结构化模型层次化分配地址和名字需要提前作出决定:集中式地址名字管理或分布式地址名字管理公共或私有地址静态或动态地址或名字,地址和名字结构化模型优点,更易于:阅读网络图操作网络管理软件在协议分析仪跟踪中识别设备满足易用性目的防火墙和路由器上设计过滤器实现路由摘要,公共IP地址,由因特网地址分配机构(IANA)管理。一般用户由ISP分配IP地址。ISP从相关的RegionalInternetRegistry(RIR)处获取IP地址的分配,地区级的互联网注册机构(RIR),AmericanRegistryforInternetNumbers（ARIN），即美国网络地址注册管理组织为美国和其他尚未进行区域注册的地方服务。通过查阅可以得到更多相关信息。RseauxIPEuropens（RIPE）NetworkCoordinationCenter（NCC），即网络控制中心服务于欧洲。参考可获得更多信息。AsiaPacificNetworkInformationCenter（APNIC），即亚太网络信息中心服务于亚太地区。参考可以获得更多信息。,私有保留地址,555555,使用动态或静态地址的参考标准,终端系统的数量需要重新编号的可能性高可用性需求安全需求地址跟踪的重要性是否终端系统需要地址以外的信息(DHCP可以提供地址以外的信息),IP地址的两部分,前缀,主机,32比特,前缀长度,前缀长度,IP地址后跟一个前缀长度的标示子网掩码/长度例子/24,子网掩码,32比特长指定IP地址中那一部分为网络/子网域那一部分为主机域掩码的网络/子网部分都为二进制1.掩码的主机部分全为二进制的0.将二进制表示转换为点分十进制表示以便在配制时输入.作为替换使用斜线表示(例如/24)指定1的个数,子网掩码例子,11111111111111111111111100000000斜线表示为?点分十进制表示为?,一个子网掩码例子,11111111111111111111000000000000斜线表示为?点分十进制表示为?,子网掩码例子,11111111111111111111100000000000斜线表示为?点分十进制表示为?,设计网络子网掩码,确定子网大小计算子网掩码计算IP地址,划分子网时避免使用的地址,全为1的节点地址(广播)全为0的节点地址(网络)子网地址全为1(所有子网)子网地址全为0(有可能混淆confusing)CiscoIOS配置允许使用ipsubnet-zero命令配置全为0的子网掩码,练习,网络将该网络划分子网.每个子网允许600个节点.应该使用的子网掩码为?第一个子网的第一个节点地址为？该节点使用哪个地址可以向子网内的所有设备发送信息？,练习,网络将有8个LAN,每一个为他自己的子网.应该使用什么样的子网掩码?第一个子网的第一个节点地址为？该节点使用哪个地址可以向子网内的所有设备发送信息？,练习,网络将该网络划分成子网.每个子网大约有25个节点.应该采用什么样的子网掩码?最后一个子网的最后一个节点地址是什么?该节点使用哪个地址可以向子网内的所有设备发送信息？,IP地址类,现在考虑过时类的划分之所以需要学习是因为目前仍在讨论使用可能碰到受有类系统的设备配置,有类IP地址,类前几个比特第一个字节前缀长度目的A01-126*8非常大的网络B10128-19116大的网络C110192-22324小的网络D1110224-239NAIP多播E1111240-255NA试验用*以127开始的地址保留用于本地IP流量.,类前缀长度每个网络地址数A8224-2=16,777,214B16216-2=65,534C2428-2=254,有类地址空间的划分,有类IP造成很大浪费,A类使用大约50%的地址空间B类使用大约25%的地址空间C类使用大约12.5%的地址空间D和E类使用大约12.5%的地址空间,无类地址,前缀/主机边界可在任何地方浪费较少支持路由摘要又称为汇聚超网Supernetting无类路由无类内域路由(CIDR)前缀路由,超网Supernetting,向左移动前缀边界分办公室广告/14,/14摘要,第2个字节的十进制表示第2个字节的二进制表示1600010000170001000118000100101900010011,不连续子网,移动主机,子网-,路由器A,路由器B,主机,IPv6可汇聚全局单播地址格式,FP前缀格式(001)TLAID顶级汇聚标示符RES预留将来使用NLAID下一级汇聚标示符SLAID站点级汇聚标示符接口ID接口标示符,3138241664bits,FP,TLAID,RES,NLAID,SLAID,接口ID,公共拓扑,站点拓扑,升级为IPv6,双站隧道翻译,名字分配规则,名字应该短有意义明确独特大小写敏感避免能使用不常见的字符连字符、下划线、星号、等等,将名字映射为IP地址支持层次化的命名例如:DNS服务器有一个资源记录(RR)数据库在服务器的“权威域”中将名字映射为地址客户端查询服务器使用UDP端口53进行名字的查询和回答使用TCP端口53进行域的传输,域名系统(DNS),DNS详述,客户机/服务器模型客户端配置带有DNS服务器的IP地址手工或DHCP可以提供地址DNS解析软件在客户端机器上向DNS服务器发送请求。客户端可能请求递归查询。,DNS递归,DNS服务器可以提供递归,允许服务器请求其他服务器。每一个服务器了一个或多个根DNS服务器的IP地址当DNS服务器接收到来自另外一台服务器的响应时,他就回答解析客户端软件。服务器也缓存信息以供进一步的请求。权威DNS服务器的网络管理员为名字定义非权威服务器可以缓存信息的时间长度。,2.2节小结,使用系统化、结构化、自顶向下方法寻址和命名层次化地分配地址有时需要集中式寻址和命名不久的将来实现IPv6,2.2节复习题,为什么结构化地址分配和命名很重要？相对于公共地址，何时最适合使用私有IP地址？何时使用静态地址，何时使用动态地址？将网络升级为IPv6的几种方法是什么？下面的网络号码是在一个分办公室定义的，它们能被汇聚吗？，，，，，，,2.3交换和路由协议的选择,交换和路由协议选择,交换第二层透明网桥（交换）多层交换扩展树增强VLAN技术路由静态或动态距离矢量和链路状态协议内部和外部等等。,交换和路由协议选择标准,网络通信量特性带宽、内存和CPU的使用支持的对等数量适应更改是否很快支持鉴别,决策的制定,必须确定目标应该探索多种选择研究决策的后果制定应变计划有可以使用决策表,决策表实例,透明网桥(交换)任务,透明地转发帧学习对应于每个MAC地址，使用那个端口当还没有学习到目的地单播地址时洪泛帧过滤发出端口的不包括目的地地址的帧洪泛广播和多播,网桥和交换机上的交换表,MAC地址,端口,1,2,3,08-00-07-06-41-B9,00-00-0C-60-7C-01,00-80-24-07-8C-02,冗余级联Uplinks,访问层,分布层,核心层,交换机A,交换机B,交换机C,主Uplink,次Uplink,X,X,X=被STP阻塞,如果链路失效,STP需要多长时间恢复?使用UplinkFast加速汇聚,传输VLAN信息的协议,Inter-SwitchLink(ISL)标签协议Cisco厂商所有IEEE802.1Q标签协议IEEE标准VLANTrunk协议(VTP)VLAN管理协议,路由协议选择,具有共同的目的:在路由器之间共享可达性信息很多不同之处:内部或外部支持度量动态或静态和缺省距离矢量或链路状态有类或无类扩展性,内部或外部协议,内部路由协议用于自治系统内部外部路由协议用于自治系统之间,自治系统(两个个经常用到的定义):“一组路由器为互联网呈现共同的路由策略”“在单个实体管理下的一个或一组网络”,路由协议度量,度量:路由算法用来决定网络中一条路由比另外一条要好的确定因数度量例子:带宽容量延迟时间负载网络通信总量可靠性错误率跳数分组到达目的地网络之前必须通过的路由器数目费用由协议或管理员定义的任意值,路由算法,静态路由预先、离线计算缺省路由“如果不能识别目的地，就将分组发送到路由器X”Cisco的按需路由为stub网络路由使用Cisco发现协议(CDP)动态路由协议距离矢量算法链路状态算法,静态路由实例,RouterA(config)#iproute子网50到(路由器B)发送分组,e0,e0,e0,s0,s1,s0,s0,路由器A,路由器B,路由器C,主机A,主机C,主机B,,,,,,,,,,,缺省路由实例,RouterA(config)#iproute如果不是本地,就发送到(路由器B),e0,e0,e0,s0,s1,s0,s0,路由器A,路由器B,路由器C,主机A,主机C,主机B,,,,,,,,,,,距离矢量路由,路由器维护了一张路由表，列出了到达每一个网络的已知网络、方向（矢量）和距离。路由器周期性地（如，每隔30秒）向本地网段上的所有其他路由器通过广播分组传输路由表如果需要，路由器根据接收到的广播更新路由表,距离矢量路由表,路由器A,路由器B,,,网络距离发送到0端口11路由器B,网络距离发送到0端口11路由器A,路由器A的路由表,路由器B的路由表,链路状态路由,仅当更改时，路由器才发送更新检测到更改的路由器创建一个链路状态广告(LSA)，然后发送到邻居邻居将更改传播到他的邻居如果需要路由器更新他们的拓扑数据库,距离矢量与链路状态的对比,距离适量算法保持了一张网络列表,带有下一条和距离（度量）信息链路状态算法保持一个路由器及其之间链路的数据库链路状态算法将互联网当作图而非列表当发生更改时,链路状态算法使用Dijkstrasshortest-pathalgorithm找到任意两个节点之间的最短距离,距离矢量和链路状态的选择,选择距离矢量协议网络使用简单的平面拓扑，且不需要层次化设计y网络使用简单的集中星状拓扑；不考虑网络汇聚的最坏情况管理员没有足够的经验来运行链路状态协议并实现排错,选择链路状态协议网络的快速汇聚至关重要网络设计呈层次化，大型网络通常都是如此管理员对所选的链路状态协议十分了解,动态IP路由协议,距离矢量协议路由信息协议(RIP)版本1和2内部网关路由协议(IGRP)增强IGRP边界网管协议(BGP),链路状态协议开放最短路经优先(OSPF)中间系统-中间系统(IS-IS),路由信息协议(RIP),TCP/IP环境下开发的第一个标准路由协议RIP版本1参见文档RFC1058(1988)RIP版本2参见文档RFC2453(1998)易于配置和排错每隔30秒广播他的路由表;每个分组有25个路由使用单个路由度量(跳数)测量到达目的地网络的距离;最大跳数为15,RIPv2特点,包括具有路由更新的子网掩码支持前缀路由(无类路由，超网)支持变长子网掩码(VLSM)包括简单的鉴别，阻挡破坏者发送路由更新,IGRP解决了RIP的问题,在RIP中的15跳限制IGRP支持255跳仅依靠一种度量(跳数)IGRP使用带宽、延迟、可靠性、负载(缺省时仅使用带宽和延迟）RIP使用30-秒更新计时器IGRP使用90秒,EIGRP,能非常快地适应网络上的变化增加的更新仅包括变化，而非全部路由表可靠地分发更新路由器跟踪邻居的路由表，并将他们用作可行的继任者与IGRP具有相同的度量,但是具有更多的粒度(32比特替代24比特),开放最短路径优先(OSPF),开放协议,定义于RFC2328使用于很快的变化支持非常大的互联网不使用大量的带宽鉴别协议交换满足安全要求,OSPF度量,单个无量刚的值称为费用。网络管理员为到达某一网络路径上的每一个路由器接口赋一个OSPF费用。路由费用与每个路由器接口的输出端有关。路由的费用越低，接口就越可能被用来转发数据通信量。路由费用也与外部源路由有关。在Cisco路由器上,接口缺省的费用值为100,000,000除以该接口的带宽。例如,100-Mbps以太网接口费用为1。,通过ABR连接的OSPF区域,IS-IS,中间系统-中间系统链路状态路由协议ISO设计用于OSI协议集成的IS-IS也处理IP,边界网关协议(BGP),允许路由器在不同自治系统上交换路由信息外部路由协议用于因特网上大的ISP和大的公司之间支持路由聚合主要度量为自治系统数目列表长度，但是BGP也支持基于策略的路由,2.3节小结,交换和路由协议的选择应该基于下列分析目的协议的可扩展性和性能特点透明桥接用于现代交换机中但是其他选择包括增强STP和传输VLAN信息的协议有多种类型的路由协议和每种类型中有多种选择,2.3节复习题,增强生成树协议有哪些选项？哪些因素可以决定最适合客户的距离矢量或链路状态路由？哪些因素可以帮助你选择详细而明确的路由协议？为什么静态路由和默认路由在许多现代网络设计中都占据了重要的地位？,2.4网络安全策略设计,网络安全设计步骤,确定网络资产。分析安全风险。分析安全需求和折中。设计安全方案。定义安全策略。设计应用安全策略的步骤。,网络安全设计步骤,设计技术实施策略。从用户、经理和技术人员处获取。用户、经理和技术人员培训。技术策略和安全步骤实施。发现问题时测试网络的安全性并更新。维持网络的安全性,网络资产,硬件软件应用数据知识产权商业机密公司信誉,安全风险,网络设备被“黑”数据被截获、分析、更改、或删除用户口令受到威胁设备配置被更改侦查攻击拒绝服务攻击,安全折中,必须在安全目标和其他目标之间折中:可付性易用性性能可用性可管理性,安全规划,建议组织如何做才能满足安全需求的高级文档指定开发安全策略和实现策略需要的时间、人员和其他资源,安全策略,RFC2196,“站点安全手册,”安全策略为“安全策略就是针对有权使用组织机构的技术及信息资产的人员必须遵守的规则的正式声明文件。”策略必须涉及到访问,计费,鉴别,隐私,和计算机技术购买的指导,安全机制,威胁防御通信保护信任机制和身份验证网络安全最佳策略,威胁防御,病毒防护、通信量过滤:包括静态分组过滤和动态分组过滤（状态防火墙）入侵检测和防御：基于网络与基于主机的IDS入侵防御系统GAP技术内容过滤；,DMZ和防火墙,IDS的隐蔽操作模式,安全隔离网闸（GAP）工作示意图,通信保护,加密虚拟专用网络（VPN）安全套接字层（SSL）文件加密,加密操作,加密隧道,信任机制和身份验证,验证、授权和账户（AAA）网络允许控制（NAC）公开密钥基础设施（PKI）；,网络允许控制,私匙和公匙的操作,网络安全最佳策略,网络管理评估审计策略,模块化的网络设计,保护模块化设计的所有模块:因特网连接公共服务器和电子商务服务器远程访问网络和VPN网络服务和网络管理服务器机群用户服务无线网络,因特网连接安全保护,物理安全防火墙和分组过滤器审计日志,鉴别,授权定义良好的出口和入口点支持鉴别的路由协议,公共服务器的安全保护,将服务器放在受防火墙保护的DMZ内在服务器本身上运行防火墙激活DoS保护限制每个时间帧的连接数使用可靠打了最新安全补丁的操作系统模块化维护前段Web服务器不同时运行其他服务,远程访问和虚拟私有网络保护,物理安全防火墙鉴别,授权，和审计加密一次性口令安全协议CHAPRADIUSIPSec,网络服务保护,将网络设备（路由器、交换机等）作为高价值主机对待并加以增强以便防止可能的入侵访问设备需要登陆ID和口令对于有风险的配置命令需要额外的鉴别使用SSH而非Telnet更改欢迎界面标示,服务器集群的保护,布置网络和主机IDS监控服务器子网和单个服务器配置过滤器限制服务器的连接，以防服务器受到危害修补服务器操作系统已知的安全缺陷服务器的访问和管理需要鉴别和授权将root口令限制为少数人避免客户帐号,保护用户服务,在安全策略中指定允许在联网PC上运行的应用程序。联网PC需要个人防火墙和防病毒软件实现指定如何安装和更新的书面步骤离开时鼓励桌面用户登出在交换机上使用802.1X基于端口的安全,保护无线网络,将无线局域网置于他们自己的子网或VLAN中简化地址以便于更加容易配置分组过滤器所有的无线（有线）便携机需要运行个人防火墙和防病毒软件禁止广播SSID的信标,需要MAC地址鉴别外部访问人员使用的WLAN除外,WLAN安全选项,WiredEquivalentPrivacy(WEP)IEEE802.11iWi-FiProtectedAccess(WPA)IEEE802.1XExtensibleAuthenticationProtocol(EAP)LightweightEAPorLEAP(Cisco)ProtectedEAP(PEAP)VirtualPrivateNetworks(VPNs)还有其他可以考虑的缩写字母?:-),WiredEquivalentPrivacy(WEP),定义于IEEE802.11用户必须获得合适的WEP密钥，同时也配置于访问点64或128比特密钥(或passphrase)WEP使用RC4流密码方法加密数据但是很容易被破解,WEP可选替代,厂商WEP增强TemporalKeyIntegrityProtocol(TKIP)每一个帧有一个新的和唯一的WEP密钥AdvancedEncryptionStandard(AES)IEEE802.11iWi-Fi联盟的Wi-FiProtectedAccess(WPA)目前已成为IEEE802.11i中的一部分!,扩展鉴别协议(EAP),使用802.1X和EAP,设备担任下列角色之一:请求者位于无线LAN的客户端验证者位于访问点验证服务器位于RADIUS服务器上,EAP(续),在客户端上的一个EAP请求者获得用户的信任，可能是用户ID和口令。鉴别服务器传递信任到服务器，这样便形成了会话密钥客户必须周期性地重新验证以维护网络的连接重新验证产生一个新的、动态的WEP密钥y,Cisco公司的LightweightEAP(LEAP),标准EAP加上相互鉴别用户和访问点必须鉴别用于Cisco和其他厂商产品,其他EAP,由微软开发的EAP-TransportLayerSecurity(EAP-TLS)客户端和服务器需要证书.ProtectedEAP(PEAP)被Cisco,Microsoft,andRSASecurity所支持客户端使用证书验证RADIUS服务器服务器使用用户名和口令验证客户端EAP-MD5没有密钥管理特点或动态密钥生成像基本的WEP鉴别一样使用挑战文本鉴别由RADIUS服务器来处理,无线客户端VPN软件,是公司无线连接的最安全的方法无线客户端需要VPN软件连接到总部的VPN集中器为所有发送的通信量创建隧道VPN安全可以提供:用户鉴别强数据加密数据完整性,园区网安全设计,企业园区网模块图,企业园区详示,企业园区网络设计,2.4节小结,使用自顶向下的方法第1.2节讨论了资产和风险及其安全需求第2.1节讨论了安全逻辑设计(安全的拓扑)第2.4节讨论了安全规划、策略和步骤第2.4节也叙述了安全机制并为模块化网络设计的不同模块选择正确的机制,2.4节复习题,安全规划和安全策略有何区别？为什么同客户经理和技术人员合作很重要？如何使黑客看不到也无法改变路由器和交换机的配置信息？网络管理员如何保证无线网络的安全？,2.5网络管理策略设计,网络管理,帮助机构组织取得可用性、性能和安全目标帮助组织机构测量设计目标满足的情况，如果不满足时调整网络参数便于扩展帮助组织机构分析当前网络行为，合理升级，并解决升级时问题的排错,网络管理设计,考虑可扩展性、流量模式、数据格式，和费用/收益之间的折中确定哪些资源需要监控确定性能测量的度量确定哪个及有多少数据需要收集,预发式网络管理,规划检查网络在正常运行情况下的健康，而不仅限于出现问题时设计时了解可能出现的问题优化性能规划合理升级,ISO的网络管理过程,性能管理错误管理配置管理安全管理计费管理,性能管理,监控端到端的性能组件性能测量（单个链路或设备）的性能测试可达性测量响应时间测量通信量流量和容量记录路由更改,错误管理,检测,隔离,诊断,并更正问题向终端用户和管理员报告状态跟踪有关问题的趋向,配置管理,明白网络设备及其配置维护一张网络资产目录日至记录操作系统和应用软件的版本,安全管理,用户名和口令的维护和分发加密密钥的产生、分发和存储分析满足安全策略和步骤的路由器、交换机和服务器配置收集、存储并检查安全审计日志,计费管理,明了部门或每个用户对网络的易用性使基于易用的计费更加容易找到滥用资源的用户,网络管理组件,被管理设备为收集和存储管理信息的网络节点代理为位于被管理设备上的网络管理软件网络管理系统(NMS)运行应用软件显示管理数据、监控并控制被管理设备，并与代理通信,网络管理体系结构,体系结构相关问题,带内与带外监控带内容易设计，但网络上的问题会影响网络管理数据，使得维护和排错工作变得困难集中式与分布式监控集中式管理设计和维护简单，但是可能需要大量的信息传回到集中式网络操作中心(NOC),简单网络管理协议(SNMP),最流行的网络管理协议SNMPv3会逐渐替代版本1和版本2，因为可以提供更好的鉴别SNMP与管理信息库协同工作(MIB),因特网MIB层级结构,远程监控(RMON),由IETF在20世纪90年代开发以便解决标准MIB的缺点提供有关数据链路和物理层参数信息以太网有9组数据统计组用于跟踪分组、八位字节、分组-大小分布、广播、碰撞、丢包、分段、CRC/校正误差、干扰、不够大的和过大的分组,RMON1在较低两层提供可见性，而RMON2则扩展至上层,RMON以太网组,RMON2组,网络管理工具,思科工具:CiscoDiscoveryProtocol/NetFlowAccounting/ServiceAssuranceAgent(SAA)CabletronNetSight、3ComTranscend、HPOpenView、IBMTivoli、CAUnicenterTNG、SunNetManager、华为3Com网络管理产品Quidview2.0,2.5节小结,确定监控哪些资源，这些资源有哪些数据需要收集,以及如何解释这些数据设计有关性能、错误、配置、安全和计费管理的过程设计网络管理体系结构选择网络管理协议和工具,2.5节复习题,为什么网络管理设计很重要？根据ISO列出定义网络管理进程的5种类型。对比说明带内管理和带外管理的优缺点。对比说明集中式和分布式网络管理的优缺点。,网络工程规划与设计第3章物理设计,3.1园区网络技术和设备选择,选择技术和设备,已经知道网络像什么已经知道网络需要的性能接下来开始进行技术和设备的选择3.1给出有关园区网络指导,园区网络设计步骤,进行配线设计选择配线类型选择数据链路层技术选择互联网设备约见厂商,配线设计需要考虑的问题,园区和建筑物配线拓扑建筑物之间线缆的类型和长度建筑物内通信间和交接间的位置cross-connectrooms楼层之间垂直布线的类型和长度统一楼层内水平布线的类型和长度从通信间到工作站之间的工作区域线缆的类型和长度,集中式布线与分布式布线,集中式布线方案：限定大部分或全部在同一设计环境中布线。星状拓扑是集中式布线方案的一个例子。分布式布线方案：要求布线方案贯穿整个设计环境。环状、总线型、树状拓扑都是分布式布线方案的例子。,集中式和分布式园区布线,园区网络中使用的媒介类型,铜媒体光媒体无线媒体,铜媒体的优点,导电性能好不生锈可以拉成细导线容易变形不易折断,铜媒介,铜轴电缆,双绞线,非屏蔽双绞线(UTP),铜轴电缆,固体铜导体，缠绕:柔韧的塑料绝缘体金属带屏蔽外部护套比起STP或UTP电缆来说可以传输更远的节点距离而不使用中继器否则就不会广泛地使用,双绞线,“双绞线”由两条铜导线缠绕在一起构成每一条导线都有塑料绝缘屏蔽双绞线(STP)有金属箔或编织网保住每一对线非屏蔽双绞线(UTP)没有金属箔或编织网保住每一对线，因此较便宜,UTP分类,1类.用于语音通信2类.用于语音和数据,高达4Mbps3类.用于数据,高达10Mbps每寸至少必须缠绕3圈大多数电话系统的标准电缆也用于10-Mbps以太网(10Base-T以太网）4类.用于数据,高达16Mbps每寸至少必须缠绕3圈以及其他特性用于令牌环5类.用于数据,高达100Mbps每寸必须缠绕3圈5e类.用于千兆以太网6类.用于千兆以太网和将来的技术,光纤介质,多模光纤(MMF),单模光纤(SMF),铜与光纤布线比较,双绞线和铜轴电缆以电流的形式传输网络信号光缆以光的形式传输网络信号光缆由玻璃构成不易受到电磁或射频干扰不易衰减,可以传输更远的距离支持更高的带宽(10Gbps或更高)远距离时,光纤比铜更便宜,多模单模,较大的芯直径多种形式的光束在覆层的反射通常使用光电二级管LED源较便宜较短距离,较小的芯直径反射较少;单个聚焦光束通常使用激光源较贵非常远的距离,无线媒介,IEEE802.11a,b,和g激光微波蜂窝卫星,布线规则,在访问层使用铜非屏蔽5类或5e,除非有更好的原因不这样做为了将来的网络使用5e而非5安装UTP6类缆线使用5类或5e类连接器那么仅需要提高连接器速度在特殊的情况下为带宽集中应用使用MMF或与铜缆线一起使用光纤,布线规则,在分布层使用MMF如果距离允许否则SMF除非不常见的情况发生不能运行线缆时，可以使用无线网络为了将来验证网络同时运行MMF和SMF,LAN技术,半双工(逐渐过时)全双工以太网10-Mbps以太网(逐渐过时)100-Mbps以太网1000-Mbps(1-Gbps或Gigabit)以太网10-Gbps以太网,1000BaseX,1000BaseSX,1000BaseLX,1000BaseT,2多模光纤使用短波激光550米,2多模或单模光纤使用长波激光550米多模,5000米单模,4对5类UTP100米,1000BaseCX,2对STP25米,IEEE802.3千兆以太网,10GBaseX,10GBaseLX4,10GBaseS,10GBaseE,多模或单模光纤300米多模,10km单模,多模光纤300米,单模光纤40km,10GBaseL,单模光纤10km,IEEE802.310-Gbps以太网,园区网络的互联设备,集线器(逐渐过时)交换机路由器无线访问点无线网桥,互联网设备选择标准,端口数处理速度内存大小设备中继数据时的延迟设备中继数据时的吞吐量支持的LAN和WAN技术支持的媒介,更多互联网设备选择标准,费用易于配置和管理MTBF和MTTR支持热交换组件支持冗余电源技术支持质量、文档和培训等等。,3.1节小结,一旦逻辑设计完成之后，就开始物理设计物理设计过程中主要任务之一是为园区网络选择技术和产品介质数据链路层技术网络互联设备此时，逻辑拓扑设计可以进一步指定布线拓扑,3.1节复习题,园区网络设计有哪3种基本媒体类型？客户设计选择以太网的标准有哪些？简述半双工以太网的载波扩展和突发特点。客户设计选择购买互联网设备时的标准有哪些？一些人认为城域以太网将代替WAN。你是否同意该观点？为什么？,3.2企业网络技术和设备的选择,企业网络技术和设备,远程访问广域网(WAN)设备终端用户远程访问设备集中站点远程访问设备VPN集中器路由器,选择标准,商业需求和约束费用技术目标带宽需求QoS需求网络拓扑通信流量和负载等等,远程访问技术,点对点协议(PPP)综合服务数字网络(ISDN)电缆调制解调器数字用户线路(DSL),点对点协议(PPP),用于同步、异步、拨号和ISDN链路为不同网络层协议的传输定义封装方案支持认证:口令验证协议(PAP)挑战握手验证协议(CHAP)CHAP要比PAP更加安全,PPP层,网络控制协议(NCP),链路控制协议