网络工程三-设备选型、综合布线

网络设备选型、综合布线及机房建设,常用的互连设备,根据网络进行互连所在的层次，常用的互连设备有以下几类：物理层互连设备，即转发器（repeater)数据链路层互连设备，即网桥（bridge)网络层互连设备，即路由器（router),常见网络互连硬件设备,网卡中继器集线器网桥路由器交换机远程访问服务器,常见网络互连硬件设备,集线器集线器就像一个多端口转发器，每个端口都具有发送和接受数据的能力。当某个端口收到终端发来的数据时。就转发到所有的其它端口。在数据转发之前，每个端口都对它进行再生、整形，并重新定时。采用集线器的网络从物理上看是一个星型结构，但从逻辑上看仍然是一个总线网络，个终端竞争使用总线集线器可以串接，连成多级星型结构，但相隔最远的两个终端受最大传输延迟时间的限制,常见网络互连硬件设备,网桥（bridge)多个网段可以通过一种工作在数据链路层的设备连接起来组成局域网，这种设备叫做网桥网桥不对网络层的头部进行检查，可以同等地复制IP、IPX或OSI分组没有路由功能的交换机可以看做多端口的网桥,常见网络互连硬件设备,交换机（switch）传统的交换机从网桥发展而来，属于链路层设备。它根据MAC地址寻址，通过站表选择路由，站表的建立和维护由交换机自动进行,常见网络互连硬件设备,交换机（switch）交换机的工作机制带来以下问题回路：根据交换机的地址学习方法和站表建立算法，交换机之间不允许存在回路。一旦存在回路，必须启动生成树算法，阻塞掉产生回路的端口负载集中：交换机之间只能有一条通路，使得信息集中在一条通信链路上，不能动态进行分配，以平衡负载广播控制：交换机只能缩小冲突域，而不能缩小广播域,常见网络互连硬件设备,路由器（router）路由器用于连接逻辑网络，因此在IP协议中有时也被称为网关（gateway）。路由器两边的协议必须使用唯一的逻辑网络地址。发送给非本地的信息必须先传输给目标所在的路由器。从一个逻辑网络进行跨路由器传输到另一个逻辑网络的行为称为跨网段传输（hop）,常见网络互连硬件设备,路由器的主要功能：网络分段路径选择隔离广播安全性和防火墙网络层的特殊服务广域网连接,网络互连,网络互连中常用软件技术,地址翻译（NAT）,地址翻译（NAT）,将一个IP地址转换为另一个IP地址的过程称为地址翻译。当用户不希望远程系统知道内部网络的真正IP地址时，这种功能就显得特别有用。,常用的地址翻译的方法,隐藏网络地址翻译（隐藏NAT）静态网络地址翻译（静态NAT）端口地址翻译（PAT）,隐藏网络地址翻译（隐藏NAT）,所有的内部IP地址都隐藏在单一的IP地址后面。其最大的限制是不允许生成任何入站会话，由于所有的系统都隐藏在单一地址下面，防火墙不能够确定远程会话指向内部哪个系统，因此所有入站会话请求都会被丢弃。,隐藏网络地址翻译（隐藏NAT）,Internet,服务器,NAT,路由器,工作站,工作站,工作站,工作站,61.187.64.26,192.168.1.0,192.168.2.0,静态网络地址翻译,静态NAT对于使用的每个公共IP地址，它只映射一个私用IP地址。,静态网络地址翻译,Internet,服务器,NAT,网络交换机,工作站,工作站,工作站,工作站,61.18.64.26,192.168.1.0,61.18.64.27,192.168.1.4,192.168.1.2,192.168.1.261.18.64.27192.168.1.461.18.64.26,NATTranslationentries,tcp202.197.50.63:61607192.168.150.128:61607202.197.75.218:21202.197.75.218:21tcp202.197.50.63:63663192.168.150.128:63663202.197.75.218:21202.197.75.218:21tcp202.197.50.63:63661192.168.150.128:63661202.197.75.234:21202.197.75.234:21tcp202.197.50.63:63673192.168.150.128:63673202.197.75.234:21202.197.75.234:21tcp202.197.50.63:63685192.168.150.128:63685202.197.75.234:21202.197.75.234:21tcp202.197.50.63:63691192.168.150.128:63691202.197.75.234:21202.197.75.234:21-202.197.50.1192.168.150.83-202.197.50.3192.168.130.41-202.197.50.6192.168.150.112-202.197.50.7192.168.116.19-202.197.50.8192.168.128.90-tcp202.197.50.63:63749192.168.150.128:63749202.197.75.234:21202.197.75.234:21tcp202.197.50.63:63751192.168.150.128:63751202.197.75.234:21202.197.75.234:21-202.197.50.13192.168.150.193-202.197.50.14192.168.130.158-tcp202.197.50.63:61707192.168.150.128:61707202.197.75.234:21202.197.75.234:21-202.197.50.18192.168.126.119-202.197.50.20192.168.105.17-202.197.50.25192.168.150.134-202.197.50.26192.168.150.22-202.197.50.28192.168.150.146-ProInsideglobalInsidelocalOutsidelocalOutsideglobaltcp202.197.50.63:61735192.168.150.128:61735202.197.75.234:21202.197.75.234:21tcp202.197.50.63:61741192.168.150.128:61741202.197.75.234:21202.197.75.234:21tcp202.197.50.63:63813192.168.150.128:63813202.197.75.218:21202.197.75.218:21-202.197.50.61192.168.201.100-,端口地址翻译（PAT）,多数代理服务器防火墙产品都使用端口地址翻译技术（PAT）。使用PAT的时候，所有出站传输都被翻译成防火墙使用的外部地址，与隐藏NAT不同的是PAT必须使用防火墙的外部地址，而不能设置成其他的合法值。,端口地址翻译（PAT）,Internet,服务器,NAT,网络交换机,工作站,工作站,工作站,工作站,61.187.64.26,192.168.1.0,PATGlobal,PATGlobal220.169.30.220(1048)Local218.196.120.120(7000)PATGlobal220.169.30.220(1052)Local218.196.117.144(4000)PATGlobal220.169.30.220(1053)Local218.196.120.33(4000)PATGlobal220.169.30.220(1058)Local218.196.123.65(1087)PATGlobal220.169.30.220(1059)Local218.196.114.156(1084)PATGlobal220.169.30.220(1063)Local218.196.112.182(4001)PATGlobal220.169.30.219(1083)Local218.196.67.127(1310)PATGlobal220.169.30.220(1066)Local218.196.114.140(4000)PATGlobal220.169.30.219(1089)Local218.196.73.198(4001)PATGlobal220.169.30.219(1090)Local218.196.72.196(23451)PATGlobal220.169.30.220(1085)Local218.196.113.106(4001)PATGlobal220.169.30.220(1088)Local218.196.113.107(4001)PATGlobal220.169.30.220(1091)Local218.196.112.227(24407)PATGlobal220.169.30.219(1116)Local218.196.76.60(4001)PATGlobal220.169.30.220(1103)Local218.196.124.122(4000)PATGlobal220.169.30.220(1106)Local218.196.99.62(4672)PATGlobal220.169.30.220(1116)Local218.196.115.143(5655)PATGlobal220.169.30.220(1122)Local218.196.114.195(1394)PATGlobal220.169.30.220(1128)Local218.196.119.61(8133)PATGlobal220.169.30.220(1130)Local218.196.117.130(4000)PATGlobal220.169.30.220(1133)Local218.196.119.66(8094)PATGlobal220.169.30.220(1135)Local218.196.113.162(1084)PATGlobal220.169.30.220(1146)Local218.196.121.1(4000),思考题,什么是端口地址转换？NAT和代理之间的基本区别是什么？PAT的安全优势是什么？PAT维护的连接表与防火墙维护的连接表有什么不同？采用NAT技术的局限性有哪些？,网络设备选型,核心设备汇聚设备接入设备防火墙流控设备负载均衡VPN设备,核心设备的性能与选型问题,核心设备要有足够强的数据转发能力才能应付当前网络病毒和网络攻击核心设备要有足够强的数据处理能力才能提供判断网络性能和故障的信息核心设备的选型不仅要看数据处理能力，还要重点了解其所能提供的网络信息和管理能力,drop0packetsavg_in95456000bit/s28174pkt/savg_out191000bit/s60pkt/s,drop0packetsavg_in95303000bit/s28249pkt/savg_out13000bit/s11pkt/s,drop0packetsavg_in30787000bit/s4351pkt/savg_out299411000bit/s86913pkt/s,drop0packetsavg_in16257000bit/s3835pkt/savg_out30620000bit/s4331pkt/s,Gi4/4218.196.68.106Fa7/3202.103.114.820604FB00505Gi4/4218.196.68.106Fa7/3202.103.114.820604FC00505Gi4/4218.196.68.106Fa7/3202.103.114.820604FD00505Gi4/4218.196.68.106Fa7/3202.103.114.820604FE00505Gi4/4218.196.68.106Fa7/3202.103.114.8206050100505Gi4/4218.196.68.106Fa7/3202.103.114.8206050200505Gi4/4218.196.68.106Fa7/3202.103.114.8206050300505Gi4/4218.196.68.106Fa7/3202.103.114.8206050400505Gi4/4218.196.68.106Fa7/3202.103.114.8206050500505Gi4/4218.196.68.106Fa7/3202.103.114.8206050600505Gi4/4218.196.68.106Fa7/3202.103.114.8206050700505Gi4/4218.196.68.106Fa7/3202.103.114.8206050800505Gi4/4218.196.68.106Fa7/3202.103.114.8206050900504Gi4/4218.196.68.106Fa7/3202.103.114.8206050A00504Gi4/4218.196.68.106Fa7/3202.103.114.8206050B00502Gi4/4218.196.68.106Fa7/3202.103.114.8206050C00502Gi4/4218.196.68.106Fa7/3202.103.114.8206050D00504,汇聚设备的性能与选型问题,汇聚设备一般选用弱三层（具备简单的路由功能）设备，也可以简化成二层设备使用。,接入设备的性能与选型问题,接入设备要有足够强的控制能力才能应付当前网络病毒和网络攻击接入设备要能及时提供判断网络性能和故障的信息，自动隔离影响全局的故障（如环路、广播风暴等）,防火墙设备的性能与选型问题,设备要有足够强的处理能力（如并发连接数、规则条目数限制、NAT的并发能力）才能应付当前网络病毒和网络攻击设备的选型不仅要看数据处理能力，还要重点了解其所能提供的网络信息和管理能力及交互界面是否友好,流控设备的性能与选型问题,核心设备要有足够强的数据转发能力才能应付当前网络病毒和网络攻击核心设备要有足够强的数据处理能力才能提供判断网络性能和故障的信息核心设备的选型不仅要看数据处理能力，还要重点了解其所能提供的网络信息和管理能力及友好的交互界面,负载均衡设备的性能与选型问题,设备要有足够强的处理能力应付当前网络流量设备要提供不间断均衡负载的能力设备的可靠性要高,VPN设备的性能与选型问题,设备要有足够强的处理能力才能支持足够的用户并发数设备应同时支持IPsec、SSL等多种加密连接方式，方便用户接入设备应支持多种认证方式，便于与其它应用系统集成,机房及综合布线技术简述,结构化布线系统,结构化的布线系统又称综合布线系统，它是指在一栋建筑物内或建筑群体中的信息传输