DD010001 IP网络规划概述 ISSUE

DD010001IP网络规划概述,ISSUE1.0,如何规划和设计一个可靠性好、扩展性强、安全性高、便于管理和维护的网络呢？本课程从拓扑设计、地址命名规划、路由选择、安全设计、网络管理五个方面进行了概要性介绍。,前言,Page1,学习完此课程，您将会：掌握网络规划的基本原则了解拓扑设计和地址规划原则掌握路由协议选择原则了解网络安全部署原则了解网络管理系统部署原则以及发展趋势,目标,Page2,内容介绍,第1章概要介绍网络规划基本原则,Page3,第1章概要介绍网络规划基本原则1.1网络规划基本原则1.2拓扑规划原则1.3地址和命名规划原则1.4路由协议规划原则1.5网络安全规划原则1.6网络管理系统规划原则,内容介绍,Page4,网络规划基本原则,可靠性原则从设备本身网络拓扑可扩展性原则设备性能可升级的能力IP地址规划、路由协议规划,四大原则,Page5,Page6,网络规划基本原则,可运营性原则网络是否能够提供丰富的业务能否提供足够健壮的安全级别对关键业务的QOS保证可管理原则提供灵活的网络管理平台，利用一个平台实现对系统中的各种类型设备进行统一管理；提供网管对设备进行拓扑管理、配置备份、软件升级、实时监控网络中的流量及异常情况。,四大原则,Page7,网络规划流程图,板卡规划,IP地址规划,QOS规划,高级路由协议规划,网管规划,可运营可管理的安全网络,业务隔离及关键业务确保带宽及流量控制,IP连通,物理连通,设备选型,拓扑规划,路由规划,MPLS/VPN规划,策略路由,网络安全部署,设备选型,可靠性是否提供关键模块（电源、主控板）的冗余备份，具备何种级别的可靠性转发性能通过某设备的流量（该设备满配最大流量）/2。业务支持能力除了普通的IP路由功能外，是否需要该设备支持诸如（NAT、各种VPN、策略路由）等业务属性。（CPU、ASIC、NP）端口支持是否能够提供组网所需要的端口。扩展能力是否能够提供增加板卡以及软件升级提供未来可能需要的性能支持及业务能力支持。（CPU、ASIC、NP）价格因素在综合考虑以上因素的基础上选择适当的设备。只选对的，不选贵的。,Page8,第1章概要介绍网络规划基本原则1.1网络规划基本原则1.2拓扑规划原则1.3地址和命名规划原则1.4路由协议规划原则1.5网络安全规划原则1.6网络管理系统规划原则,内容介绍,Page9,网络拓扑规划,层次化，模块化最大化网络性能减小网络实施和故障排除时间节约成本冗余备份降低网络单点失效带来的影响实现负载分担并提高了网络的性能增加了网络的复杂性和成本安全保护核心路由器，分界点，交换机，服务器等防火墙保护网络免受外部攻击,网络拓扑结构特征,Page10,网络拓扑规划,平面网络拓扑结构不分层不分模块，易于设计实施，便于管理适用于小型网络，不便于网络扩展平面分层模型传统大型网络的常用的网络结构，核心层、汇聚层、接入层平面空间分层模型分层的同时划分平面，不同平面承载不同的业务结构清晰、备份能力好、安全性高的特点,网络拓扑模型,Page11,网络拓扑规划,分层模型,核心层,汇聚层,接入层,QuidwayS8500/8000/6500,QuidwayS5000,QuidwayS3500,QuidwayS2000,QuidwayNetEngine5000E/80E/40E,QuidwayAR4600/2800,10G/2.5G/RPRMPLSVPN,QuidwayNetEngine40/20,QuidwayWA1000,QuidwayNetEngine16E/08E/05,QuidwayMA5200,iTELLINCAMSTM业务平台,QuidwayEudemon100/200/1000,iManagerTMN2000/NMS网络管理平台,MDNTM媒体分发网络,QuidwayS3000,QuidwayS3000,QuidwayS2000,QuidwayRM9000ResourceManager,Page12,网络拓扑规划,平面空间分层拓扑模型,Page13,网络拓扑规划,平面空间分层拓扑模型,Page14,网络拓扑规划,基本的备份原则备份花费的代价=设备故障带来的损失；N1备份，关键的设备、链路、模块中任何一个出现故障，不会影响整网运行。拓扑、设备自身、协议的备份接入层备份思路通常选择不具备关键模块冗余功能的设备。通常不考虑双机备份或者仅提供双链路级别上行的备份。,冗余备份原则,Page15,网络拓扑规划,汇聚层备份思路通常选择具备关键模块冗余功能的设备。通常考虑双机备份，上行通常提供双链路级别的备份，并且汇聚层设备之间考虑环行连接。核心层备份思路通常选择具备电信局可靠性的设备。在拓扑上考虑核心层设备之间网状或部分网状连接。,冗余备份原则,Page16,网络拓扑规划,对称性备份对称方案中主备两种方案所提供的带宽是相等的，备份设备或者备份链路同时也参与运营。非对称性备份非对称方案中备份链路提供较小或相等的带宽，只有在主用链路故障时备份链路才会生效。,冗余备份原则,Page17,Page18,对称性备份,网络拓扑规划,网络拓扑规划,非对称性备份,Page19,第1章概要介绍网络规划基本原则1.1网络规划基本原则1.2拓扑规划原则1.3地址和命名规划原则1.4路由协议规划原则1.5网络安全规划原则1.6网络管理系统规划原则,内容介绍,Page20,地址规划,唯一性：一个IP网络中不能有两个主机采用相同的IP地址。连续性连续地址在层次结构网络中易于进行路径叠合，大大缩减路由表，提高路由算法的效率。扩展性地址分配在每一层次上都要留有余量，在网络规模扩展时能保证地址叠合所需的连续性。实意性“望址生义”,Page21,Page22,地址规划,Loopback地址概念：逻辑接口，始终Up。规划技巧务必使用32位掩码的地址。最后一位是奇数的表示路由器，是偶数的表示交换机。越是核心的设备，loopback地址越小。互联地址概念：互联地址是指两台网络设备相互连接的接口所需要的地址规划技巧务必使用30位掩码的地址。核心设备，使用较小的一个地址使用连续的可聚合地址业务地址概念：是连接在以太网上的各种服务器、主机所使用的地址以及网关的地址规划技巧所有的网关地址统一使用相同的末位数字，如：.254都是表示网关。,命名规划,为了管理方便，需要为设备统一命名。AA-B-YYYY-XAA：该设备所属的级别和名称，通常取汉字拼音的首字母缩写。B：设备的厂商名称YYYY：设备型号X：如果前三项相同的设备，用数字编号1、2标识。,例地调北海第一台交换机3526E命名：BH-H3-S3526E-1厂站冲口AR4640路由器命名：ChongKB-H3-AR4640,Page23,命名规划,为了准确表明每个接口对端的连接保证以及带宽，需要为每一个使用的接口配置description描述信息。通常采用以下命名方法：to对端设备名带宽,例descriptiontoZD-H3-NE16E-28M该端口对端设备中心备用NE16E路由器，带宽为8M。,Page24,命名规划,逻辑接口的命名：MP接口，以太网子接口，VLAN接口等。这些接口后面分配的数字应该尽量包含实际的意义。mpgroupA/B/C，接口的A表示槽位，B表示卡位，是固定的，C可以设置为能够包含对端设备信息的数字，例如对端设备loopback接口地址中明确区分自身信息的一位，或者是对端设备所属的OSPF区域号等等信息。以太网子接口务必要将子接口数字与VLAN信息保持一致。VLAN接口的数字要全局统一规划，例如：使用100、200表示VPN的VLAN，使用1000表示网管的VLAN等。,Page25,第1章概要介绍网络规划基本原则1.1网络规划基本原则1.2拓扑规划原则1.3地址和命名规划原则1.4路由协议规划原则1.5网络安全规划原则1.6网络管理系统规划原则,内容介绍,Page26,路由协议特征比较,Page27,路由协议选择原则,距离向量协议简单的、扁平的网络拓扑，不需要层次化设计简单的Hub-and-spoke拓扑管理员缺乏链路状态协议知识和链路状态数据库故障排除能力不需要考虑网络在最坏情况下的收敛时间链路状态协议层次化大型网络管理员有丰富的知识维护链路状态协议快速收敛对网络非常重要,距离向量协议和链路状态协议的选择,Page28,路由协议选择原则,度量影响可扩展性传统距离向量协议只使用跳数新一代路由协议考虑延迟、带宽、可靠性等,路由协议度量方法,层次化与非层次化路由协议,非层次化的路由协议，所有路由器必须完成相同的任务层次化路由协议，不同角色的路由器完成不同的任务,Page29,Page30,路由协议选择原则,内部路由协议运行于同一企业网或自治系统内外部路由协议运行在不同自治系统之间,内部与外部路由协议,有类与无类路由协议,有类路由协议不连续的子网相互之间不可见不支持可变长子网掩码（VLSM）无类路由协议支持不连续子网和可变长子网掩码（VLSM）合理安排子网，以便聚合,路由协议选择原则,静态路由协议手工配置，适用于末梢网络不会有协议报文占用带宽易于故障排除用户对于路径的选择有更高的控制权大型网络中不易管理不了解路由信息的详细情况缺省路由简单，适用于只有唯一进出链路的网络不了解路由信息的详细情况,动态路由协议与静态和缺省路由,Page31,路由协议选择原则,有无关于度量的限制网络变化时路由协议收敛速度路由更新或链路状态通告的频率以及触发方式路由更新传递的信息路由更新对于带宽的占用路由更新的发布范围路由协议对于CPU的占用率是否支持缺省路由和静态路由是否支持路由聚合,路由协议可扩展性,Page32,层次化网络拓扑中路由协议的选择,核心层路由协议的选择提供冗余链路和负载分担推荐使用OSPF,IS-IS不推荐使用RIP汇聚层路由协议的选择可以使用OSPF,IS-IS,RIPv2接入层路由协议的选择可以使用OSPF,RIPv2，静态路由IS-IS不适于接入层,Page33,Page34,路由协议之间的重新分发,必要性,重新分发设计原则,路由器上运行不只一种路由协议路由协议之间需要共享路由信息,决定路由域的边界单向分发和双向分发单向分发是指路由信息从一种协议分发到另外一种协议中，相反的方向上使用静态路由或缺省路由。双向分发是指路由信息从一种协议分发到另外一种协议中，反之亦然。使用路由过滤避免一个路由协议将从另一个路由协议中学到的路由又重新通告回该协议不同协议的度量值不同,第1章概要介绍网络规划基本原则1.1网络规划基本原则1.2拓扑规划原则1.3地址和命名规划原则1.4路由协议规划原则1.5网络安全规划原则1.6网络管理系统规划原则,内容介绍,Page35,网络安全,访问策略访问的权限和分级责任策略用户、操作人员、管理人员的责任认证策略有效的口令机制隐私策略合理的隐私监控制度，电子邮件监控，键盘记录等计算机技术购买原则计算机网络系统的配置、审计和安全策略,安全策略,Page36,网络安全,物理安全通过物理隔离手段保护关键的网络资源认证授权认证鉴别用户身份的合法性授权控制已通过认证的用户对于网络资源的使用权限和范围数据加密加密原始数据，防止数据被接受方以外的第三方阅读加密会影响网络的性能，需要在安全和性能之间折中内部网络无需加密通过Internet连通的私有网络，VPN用户等需要加密,安全机制,Page37,网络安全,数据包过滤器保护网络资源，避免网络资源未授权使用、窃取、破坏，防范攻击防火墙物理设备在两个或多个网络边界执行安全策略的设备配置了ACL的路由器、专用的硬件设备、运行在PC、Unix系统上的软件防火墙的种类静态数据包过滤防火墙执行逐包检查，转发快，配置简单状态防火墙可以跟踪通信会话并智能地判断流量的准入和丢弃,安全机制,Page38,网络安全,入侵检测系统IDS作用检测恶意攻击事件网络性能的统计和网络异常情况的分析类型主机IDS驻留在单台主机上，只检测该主机网络IDS检测可以感知的所有网络流量,安全机制,Page39,第1章概要介绍网络规划基本原则1.1网络规划基本原则1.2拓扑规划原则1.3地址和命名规划原则1.4路由协议规划原则1.5网络安全规划原则1.6网络管理系统规划原则,内容介绍,Page40,网络管理,网管传统模型,TMN模型的FCAPS,配置管理,故障管理,安全管理,计费管理,性能管理,Page41,网络管理,网管发展趋势,更强更灵活的传统网络管理功能部署和处理分布化网关智能化和自动化大型网络的综合化与个性化管理基于Web的网络管理技术将得到越来越多的引用网络数据深度分析网络管理系统平台化和组建化网络管理系统的冗余备份从IPV4演进到IPV6,Page42,网络管理,IPv4-IPv6双栈方式网管,IPV6,IPV6,IPV4,IPV6,IPV4,IPV4,双栈主机,IPv4-IPv4route,Page43,网络管理,IPv6方式网管,IPV6网络,SNMPv6,Page44,网络管理,网管系统模型,外部系统,操作数据,综合网管,网管系统,终端接口,北向接口,南向接口,带内或带外网管,网元设备,管理数据,采集、告警、控制等数据,Page45,Page46,带内管理,IP/ATMCore,N2000NMS,OtherNMS,Backup,Firewall,AggregationLayer,AccessDevices,N2000LocalTerminal,TechnologySupport(LocalConsoleConfiguration),AggregationLayer,网络管理,Page47,IP/ATMCore,N2000NMS,OtherNMS,Backu