网络工程的基本知识

网络工程的基本知识 信息系统网络系统+硬件系统+软件系统 硬件设备：不同产品的接口兼容性。 软件产品：不同软件之间数据格式的转换。 网络系统：不同系统之间信号交换和路由系统集成的复杂性: 技术 成员 环境 约束 互为依存 网络工程是一项综合性的技术活动，也是一项综合性的管理和商务活动，是一门研究网络系统规划、设计、及维护的管理综合性学科，它涉及到计算机技术、网络技术、数据库技术、软件工程、管理学以及控制论等多个领域。 网络工程包括：质量管理、网络项目管理与控制、网络工程的方法和工具，其中：网络工程方法和工具即是网络系统集成。 网络系统集成是网络工程的核心技术。 系统集成所涉及的应用范围也比较广，不仅包括计算机网络通信、语音通信，还包括监控、消防、水电和保安系统等。而网络系统集成只是整个“系统集成”的一部分，主要侧重于计算机网络通信 网络系统设计、网络系统集成与网络组建之间的关系 网络系统设计网络系统集成网络系统集成质量管理网络项目管理和控制网络工程的方法网络工程的工具 网络组建网络工程的特点明确的目标详细的规划或设计权威的依据（如标准）完备的技术文档固定的责任人、完善的实施机构网络工程设计与实施的步骤网络设计内容 逻辑设计 物理设计 1逻辑设计 用户需求分析：业务需求、用户信息点的地理分布、资金的投入网络结构设计：拓扑结构设计、链路类型选择、地址规划、路由设计、VLAN设计、园区网与广域网的接入设计网络性能设计：带宽预算、流量控制、负载均衡、链路聚合、避免网络性能瓶颈、网络性能优化等网络功能设计：DNS服务、Web服务、FTP服务、E-mail服务、IP电话服务、视频点播服务、VPN服务等网络安全设计：网络物理安全设计：防火墙设计、DMZ（非军事区）设计、IDS（入侵检测系统） 设计、 IPS（入侵防护系统）设计、网络隔离设计等网络信息安全设计：数据加密系统、身份认证系统、数字签名系统等网络可靠性设计：RAID磁盘镜像技术、系统容灾设计、存储网络设计、双机热备份、链路冗余、系统恢复技术等2物理设计 网络设备选型 综合布线设计 系统测试网络设计中的矛盾分析 主流技术与新技术的矛盾 安全性与易用性的矛盾 可靠性与经济性的矛盾 可靠性设计往往以增加系统成本为代价网络设计基本原则 责任工程师原则 需求决定方案原则 基本结构不变原则 奥卡姆剃刀原则 通用性原则 不要采用专用性太强的设计方案核心简单边缘复杂原则 核心层尽量保持简单，边缘层可能情况复杂，需要反复权衡利弊。弱路由原则 尽量减少路由器传输的信息。80/20原则 （数据流量的80%在该子网内通信，只有20%的数据流量发往其它子网）影响最小原则 （网络结构改变时受到的影响应限制到最小程度）2用2备2扩原则 主干光缆布线时，2根使用，2根备份，2根保留。技术经济分析原则 成本与性能通常是最基本的设计权衡因素。成本不对称原则 局域网设计时考虑线路成本少，考虑设备性能多多样性原则不要过分依赖于某一个设备厂商的产品。代表性的网格计算项目 ：Globus项目、 Javalin项目网格计算的应用 1科学研究 2企业信息处理 3电子政务 4个人娱乐 新型的P2P技术典型应用 1-BT下载 2 OICQ 3P2P搜索下一代因特网研究的三个方面1服务质量 2网络安全性3网络基础设施 网络工程需求分析 网络工程需求分析的目的是：描述网络系统的行为特征与约束条件，指明网络 系统必须实现的具体指标。需求分析中可能存在的问题 1没有足够的用户参与 2用户需求不断增加 3模棱两可的需求 4不必要的特性 5过于精简的需求说明 6不准确的计划等 7需求分析的过程网络功能有两大类（1）因特网功能 1域名系统（DNS）2网页浏览（Web） 3邮件收发（Email）4文件传输（FTP）：5网络论坛（BBS）6网络聊天（IM）因特网的四大基本服务： DNS、Web、Email、FTP2） 内部网（Intranet）功能 资源共享 数据管理 文件管理 信息发布 协同工作 OA系统MIS系统 ERP系统（用于制造类企业） 一卡通系统 CAD系统 视频监控 个人用户 512kb/s的带宽基本能满足大部分用户的需求。 企业用户 接入带宽一般10Mb/s以下 中型企业 网络接入带宽在10100Mb/s之间 小型局域网一般采用星型拓扑结构 园区网一般采用树型结构加网状结构 城域网一般采用环型、树型、网状混合结构网络扩展时应满足的要求： 1新用户能简单的接入现有网络 2新应用能无缝地在现有网络上运行 3现有网络拓扑结构无需作大的更改 4原有设备能得到很好的利用 5网络性能恶化在用户允许范围内扩展性需求分析要明确的内容： 用户业务的扩展性：业务新增长点、增长速度、员工增长速度、部门调整。 网络性能的扩展性：带宽和设备性能的预留比率。 网络结构的扩展性：环境变化、扩展方式、新增子网、扩展无线网络、接入方式改变。网络性能的核心参数是带宽网络安全性需求分析 1系统软件和硬件的安全 2数据安全 3用户认证 4入侵防护安全网络管理包括：1性能管理、2配置管理、3安全管理、4故障管理、5计费管理等。 网络逻辑设计链路： 两个网络节点之间的信号通道-链路容量物理链路和逻辑链路、上行链路和下行链路电信网络中的Trunk，主干网络、电话干线带宽设计中的Trunk，多个交换机的端口聚合链路备份中的Trunk，链路热备份VLAN中的Trunk， VLAN跨交换机时的信号转发冲突域指信号产生冲突的最小范围冲突域的大小会影响到网络的性能。交换机、路由器等设备可以隔离冲突域。采用确定性协议（如SDH）或采用轮询协议（如令牌环）的网络，不会发生冲突 产生广播风暴的原因： 典型案例：主机查找服务器资源 大量主机广播查找服务器地址。 网络环路 网卡故障 网络病毒 黑客软件和视频广播软件的使用 环网目前主要用于城域网设计： SDH（同步数字系列） DWDM（密集波分复用） RPR（弹性分组环路）环型结构优点： 消除了对中心设备的依赖。 信号沿环单向传输，时延固定。 所需光缆较少，适宜于长距离传输。 各个节点负载均衡。 双环或多环网络具有自愈功能。 路由选择简单，不易发生地址冲突等。点对点型拓扑结构 用于局域网互联，或城域网和广域网的互联。点对点通信协议：PPP、PPPoE等点对点结构优点： 设备无关性 每个连接都是独立的，能使用任何合适的硬件。 独立性 两个节点之间能选择相互接受的通信方式。 安全性 只有2个节点使用信道。 非中心化 资源和服务分散在所有节点上，避免了性能瓶颈，增强了扩展性。 负载均衡 没有中心设备，大大减少了信道争用、设备争用。如果网络中节点数为N，则连接网络的链路数H可下式计算。 网状型拓扑结构 H=N*(N-1)/2 总线型拓扑结构 N个节点完全互联只需要1条总线传输线路 星型拓扑结构 N个节点完全互联需要N-1条传输线路蜂窝型拓扑结构主要用于无线通信网络。蜂窝结构采用频率复用技术进行扩容混合型拓扑结构混合型结构的顶层节点负荷较重分层设计方法（1）网络分层设计模型 Cisco等公司提出了层次化网络设计的概念 分为：核心层、汇聚层和接入层。 核心层主要提供节点之间的高速数据转发。 汇聚层主要负责路由聚合，收敛数据流量。 接入层为用户提供网络访问功能，并执行用户认证和访问控制。（2）交换型层次结构 缺点：路由功能不强大；广播风暴。 主要用于局域网设计（3）路由型层次结构 缺点：网络结构较复杂，易形成性能瓶颈。 主要用于城域网和广域网设计。（4） 网络分层设计 （5） 接入层设计 接入层设计目标： 为最终用户提供访问网络的能力。 接入层设计中应当注意的问题： 环境复杂 管理困难 设备质量差（6） 汇聚层设计汇聚层主要功能 1链路汇聚 减少接入层与核心层之间的链路数。 2流量聚合 将接入层低速链路转发到核心层。-链路聚合 3路由聚合减少核心层路由器中路由表的大小。 主干带宽管理 流量控制、负载均衡、QoS保证。 信号中继 对跨交换机划分的VLAN进行信号中继。 VLAN路由 在汇聚层进行路由处理。 隔离变化 隔离接入层结构变化对核心层的影响。汇聚层大多选用三层交换机（7）核心层设计核心层的主要功能是实现数据包高速交换核心层网络结构设计1. 核心层冗余 核心层冗余设计的三个目标：（1）减少跳数；（2）减少可用的路径数量；（3）增加核心层可承受的故障数量。核心层冗余技术：（1）完全网状结构（2）部分网状结构2. 汇聚层冗余 汇聚层冗余技术： 双归接入到其它汇聚层路由器的备份链接服务子网的设计(1）集中式服务设计模型 设计原则： 将所有服务子网设计在网络核心层优点：结构简单，便于管理缺点：增加了核心层的负荷，增加了网络链路流量，可靠性不好适用于网络数据流量不大的小型企业局域网（2）分布式服务设计模型 基本原则： 网络服务集中，应用服务分散。 优点： 网络流量分担合理，核心层设备压力小，可靠性好 缺点： 网络管理工作量大，设备利用率不高。 主要用于企业园区网设计。园区局域网是指为企事业单位组建的办公局域网。典型的园区局域网包括校园网、社区网、住宅小区网、企事业单位网等。园区局域网是网络的基本单元园区局域网较适合于采用三层结构设计园区局域网对线路成本考虑的较少，对设备性能考虑的较多园区局域网的结构比较规整，有很多成熟的技术园区局域网中的常见技术传统以太网（Ethernet）技术（基本已淘汰）快速以太网（Fast Ethernet）技术吉比特（千兆）以太网技术万兆以太网技术光纤分布式数据接口（FDDI）技术（基本已淘汰）ATM（异步传输模式）技术无线局域网（WLAN）技术快速以太网指速度较快，能提供100M标准带宽的以太网，使用5类或超5类双绞线或光缆作为传输介质，拓扑结构上以星型和树型为主吉比特以太网的特点：（1）吉比特以太网与传统以太网和快速以太网兼容（2）保护原有网络的投资。（3）吉比特以太网可用于多种传输介质。（4）低成本的升级费用。（5）支持服务质量（QoS）和第三层交换。（6）吉比特以太网及新的10G比特以太网为局域网和城域网提供了高性价比的 宽带传输交换万兆以太网可以提供10Gb/s的带宽，可以满足骨干网大容量传输的需求，并与现行以太网技术兼容。万兆以太网只支持全双工模式，只能使用光纤作为传输媒体，不支持CSMA/CD协议。万兆以太网可同时支持局域网和广域网接口，且有效距离可达40km。万兆以太网技术可以作为对带宽要求较高的局域网组网技术。光纤分布式数据接口（FDDI）技术FDDI的优点： 带宽高、传输量大、信道利用率高达80% 适合长距离传输，具有极佳的容错能力与稳定性 技术成熟度较高，得到广泛推广FDDI的缺点： 网络协议比较复杂 安装和管理相对困难 价格昂贵 与以太网互联困难ATM （异步传输模式）技术ATM（Asynchronous Transfer Mode，异步传输模式）是建立在电路交换和分组交换基础上的一种新的交换技术，ATM兼有电路交换的可靠性、实时性和分组交换的高效性、灵活性，通常作为高性能局域网骨干和广域网骨干无线局域网（WLAN）无线局域网的特性 1可移动性2布线容易3组网灵活4成本优势 广域网技术选型1. 公共交换电话网（PSTN） PSTN的接入设备是Modem 传输速率较低，一般为33kb/s56kb/s之间 2X.25分组交换网 X.25协议是一种数据分组交换技术，适用于低中速线路。 X.25的接入设备是PAD（分组包装拆器帧中继很多地方和X.25相同，如它也采用虚电路技术并且也支持PVC和SVC两种交换方式。帧中继网络采用的传输介质是光纤。DDN（数字数据网）DN可提供n*64kb/s的带宽（n=130)。xDSL是HDSL ADSL VDSL等技术的统称ADSL的优势： （1）在一对双绞线上可为用户提供高达8Mbps的下行 速率，1Mbps的上行速率。 （2）较充足的带宽可用于传输多种宽带数据业务；而 且，下行速率大于上行速率 （3）ADSL并不影响用户对普通电话的使用。由于使 用了独特的信号调制技术，用户接入ADSL的同 时仍然可以进行普通电话通信。ADSL适用于远程局域网访问和视频点播等应用环境。虚拟专用网 VPN 定义：使用IP机制仿真出一个私有的广域网VPN（虚拟专用网络）是通过私有的隧道技术在公共数据网络上仿真一条点到点的专线技术VPN能够实现专用网络的功能VPN的概念介于专用网和公用网之间VPN价格低廉，但性能不如真正的专用网目前VPN主要采用四种技术来保证信息的安全，分别是隧道技术、加密和解密技术、密钥管理技术和用户与设备认证技术。冗余链路构成了网络环路，广播信息会在环路中循环发送，导致网络性能降低。环路引起的广播风暴，可通过STP或Trunk技术解决。STP原理： 将导致循环的端口设置为阻塞状态。当链路出现故障时，启用已经被屏蔽的备用链路。网络存储技术目前主要的网络存储技术有四种 1.DAS（直接附加存储） 2.NAS（网络附加存储或网络连接存储） 3.SAN（存储区域网络） 4.iSCSI（因特网小型计算机接口）VLAN设计的基本原则 应尽量避免在同一交换机中配置太多的VLAN VLAN不要跨越核心交换机和拓扑结构的分层DHCP被用来在网络上自动进行TCP/IP地址的分配使用DHCP的好处： 1.可以不必配置IP地址2.提高地址的利用率3.为移动用户自动配置IP地址NAT技术能够有效解决企业IP地址短缺问题，而且在一定程度上还能防范网络的攻击。NAT技术的实现方法： 1.静态地址转换 2.动态地址转换 3.端口复用地址转换局域网中，上行和下行带宽相差不多。因特网中，下行带宽大于上行带宽。满足用户一般网络服务需求带宽不能低于256kb/s基本的设计思想是：根据带宽占用大的业务来选择线路带宽，并根据业务使用频度考虑对带宽的复用。非阻塞式设计：上层链路带宽大于或等于下层链路带宽的总和。阻塞式设计：上层链路带宽低于下层链路带宽的总和。非阻塞式网络汇聚节点负载轻，网络扩展性好，但是工程成本高。集线比：可用信道与接入用户线的比例网络集线比：网络服务系统有效接入与最大接入能力之间的比率。计算机网络的集线比经验值为1：81：15。流量设计的80/20规则： 网段上80%的数据流量在本网段内部流动，只有20%的网络流量访问其它网段。这种流量设计模型主要适应于分布式服务网络。优点：减轻了网络核心层的流量压力。缺点：不利于网络集中管理。1. QoS的主要技术指标服务质量的定义 QoS是指IP网络在传输数据流时，满足一系列服务请求的实现机制。 QoS的目标是提供端到端的服务质量控制或保证。时延时延是两个节点之间，发送和接收数据包的时间间隔。在任何系统中，传输时延总是存在的。话音数据包到达目的地的总时间不得超过150ms话音网络的抖动不应超过30ms。丢包率 数据包丢失率应小于1%1.网络窃听发生在共享式局域网内部防范窃听： 1.使用交换机分段 2.加密 3.使用软件进行监控2.完整性破坏指的是在公共网络上传输的数据存在着被篡改的可能。保护完整性的唯一方法就是使用散列（Hash）函数算法。散列函数生成的信息摘要具有不可逆性，任何人都不能将其还原成原始数据。3. 地址欺骗技术就是伪造一个被主机信任的IP地址，从而获得主机的信任而造成攻击4. 拒绝服务攻击（Deny of Service，即DOS）是以消耗服务器端资源为目标，通过伪造超过服务器处理能力的请求数据造成服务器响应阻塞，从而使正常的用户请求得不到应答，实现攻击目的。5. 计算机病毒的危害： 1.系统速度变慢甚至资源耗尽而死机2.硬盘容量减小 3.网络系统崩溃4.数据破坏和硬件损坏病毒类型： 1.文件型病毒2.引导扇区病毒3.混合型病毒4.宏病毒 5.木马病毒6.蠕虫病毒7.网页病毒网络安全技术概述 身份验证技术 数据完整性技术 跟踪审计技术 信息加密技术防火墙技术防火墙是内部网络与外部网络通信的唯一途径防火墙本身对于渗透是免疫的架设防火墙的步骤1制定安全策略2搭建安全体系结构3制定规则次序4. 落实规则集5注意更换控制6做好审计工作入侵监测系统不跨接多个物理网段。IDS分类：根据信息来源不同可分为基于主机IDS和基于网络的IDS，根据检测方法又可分为异常入侵检测和滥用入侵检测。入侵检测过程： 信息收集、信息预处理、数据检测分析和响应IDS系统在网络中的布署 广域网中枢：不适合 局域网核心层：不适合IPS只能串联在网络上，对防火墙不能过滤的攻击进行处理。 网络物理设计交换机之间的级联交换机级联的主要目的是延长网络传输距离。不同品牌的交换机之间，也可以通过级联方式扩展网络。级联的两种方式：星型级联、总线级联。交换机一端为普通端口，另一端为特殊端口时，使用直通电缆进行连接。交换机两个端口均为普通端口或均为特殊端口时，使用交叉电缆进行级联。交换机的堆叠可以实现网络端口和容量的扩展。交换机堆叠的两种模式：菊花链堆叠和星型堆叠菊花链堆叠模式主要适用于有大量计算机的机房。星型堆叠的缺点是对主堆叠交换机要求非常高。MPASS原则：M可管理性（Management）P性能（Performance）A可用性（Availability）S服务（Service）S节约成本（Saving Cost）集线器是一个共享设备，其实质是一个多端口的中继器中继器是工作在物理层的设备，通过对信号的放大和再生来延长网络传输距离。网桥也叫桥接器，是连接两个局