计算机网络技术及应用课件 第6章 组网

计算机网络技术及应用

第六章第6章组网本章主要内容家庭局域网设计和实现过程；企业网设计和实现过程；校园网设计和实现过程；网络管理和运维。6.1家庭局域网设计和实现过程本讲主要内容家庭局域网组网策略；家庭局域网组网实例。一、家庭局域网组网策略组网策略PPPoE接入协议；EPON接入网络；高速无线局域网；DHCP配置方式；NAT；安全性。二、家庭局域网组网实例1．网络结构

由ISP完成光纤入户和光纤与光猫之间的连接过程。用户需要购买无线路由器，完成无线路由器与光猫之间的连接过程。终端通过以太网或无线局域网连接到无线路由器。二、家庭局域网组网实例2．完成PPPoE配置

无线路由器通过PPPoE接入互联网。完成无线路由器路由器PPPoE配置时，需要配置从ISP获取的用户名和口令。3．完成DHCP服务器配置

家庭局域网中终端通过DHCP自动从无线路由器中获取网络信息。完成DHCP服务器配置时，一是需要指定IP地址池。二是需要指定默认网关地址，这里的默认网关地址是无线路由器LAN端口的IP地址。4．完成无线局域网配置配置SSID；配置信道；配置身份鉴别和加密机制。二、家庭局域网组网实例5．NAT无线路由器连接Internet端口（WAN端口）通过PPPoE获取全球IP地址；家庭局域网中终端通过DHCP获取私有IP地址；Internet无法路由器以私有IP地址为目的IP地址的IP分组。二、家庭局域网组网实例5．NAT对于家庭局域网至InternetIP分组，无线路由器完成源IP地址私有IP地址至全球IP地址的转换。对于Internet至家庭局域网IP分组，无线路由器完成目的IP地址全球IP地址至私有IP地址的转换。无线路由器完成NAT的依据是地址转换表。协议本地IP地址全球IP地址本地标识符全局标识符TCP001023（手机选择的源端口号）2237（无线路由器分配的唯一的端口号）ICMP003（手机选择的序号）1027（无线路由器分配的唯一的序号）二、家庭局域网组网实例5．NAT地址转换以会话为单位。一个TCP连接是一个会话、一次UDP报文交互过程是一次会话、一次ICMPECHO请求和响应过程是一次会话。对于TCP报文和UDP报文，全局标识符是无线路由器分配的唯一的端口号，对于ICMP报文，全局标识符是无线路由器分配唯一的序号。协议本地IP地址全球IP地址本地标识符全局标识符TCP001023（手机选择的源端口号）2237（无线路由器分配的唯一的端口号）ICMP003（手机选择的序号）1027（无线路由器分配的唯一的序号）二、家庭局域网组网实例5．NAT二、家庭局域网组网实例5．NAT

TCP连接为一个会话家庭局域网至InternetTCP报文。封装TCP报文的源IP地址转换为无线路由器WAN端口的全球IP地址、TCP报文的源端口号转换为无线路由器分配的全局标识符；Internet至家庭局域网TCP报文。封装TCP报文的目的IP地址转换为本地IP地址（即手机的私有IP地址）、TCP报文的目的端口号转换为本地标识符（即手机选择的源端口号）。协议本地IP地址全球IP地址本地标识符全局标识符TCP001023（手机选择的源端口号）2237（无线路由器分配的唯一的端口号）6.2企业网设计和实现过程本讲主要内容企业网组网策略；企业网规划与设计；企业网的新技术应用。一、企业网组网策略企业网组网策略：专用网络的封闭性；物理上分散的多个局域网；配置私有IP地址；QoS；安全性。二、企业网规划与设计企业网网络结构二、企业网规划与设计1．功能需求

由3个物理上分散的局域网组成，这3个局域网连接在互联网上，通过VPN技术实现相互通信，企业网内终端允许访问互联网。连接在互联网上的终端可以访问企业网，访问企业网前必须建立与路由器R1之间的第2层隧道，并由路由器R1完成对终端用户的身份鉴别和私有IP地址的分配过程。二、企业网规划与设计2．分配私有IP地址LAN1、LAN2和LAN3分别分配属于私有IP地址范围的网络地址/24、/24和/24。为连接在互联网上的终端分配属于私有IP地址范围的网络地址/24。二、企业网规划与设计3．创建隧道

建立路由器R1与R2之间、路由器R1与R3之间的GRE隧道。互联网终端通过建立与路由器R1之间的第2层隧道。二、企业网规划与设计3．创建隧道对于路由器R1，配置以下隧道信息：IP隧道1：（源端全球IP地址）和（目的端全球IP地址）IP隧道2：（源端全球IP地址）和（目的端全球IP地址）对于路由器R2，配置以下隧道信息：IP隧道1：（源端全球IP地址）和（目的端全球IP地址）对于路由器R3，配置以下隧道信息：IP隧道2：（源端全球IP地址）和（目的端全球IP地址）互联网终端和路由器R1需要配置L2TP相关信息，以便建立第2层隧道，并由R1为互联网终端配置私有IP地址。二、企业网规划与设计4．建立路由表类型目的网络输出接口下一跳C/241直接C/24IP隧道1直接C/24IP隧道2直接C/32第2层隧道直接C/242直接R/24IP隧道1R/24IP隧道2S/02-路由器R1路由表二、企业网规划与设计4．建立路由表类型目的网络输出接口下一跳C/241直接C/24IP隧道1直接C/242直接R/24IP隧道1R/24IP隧道1S/24IP隧道1S/02-路由器R2路由表二、企业网规划与设计4．建立路由表类型目的网络输出接口下一跳C/241直接C/24IP隧道2直接C/242直接R/24IP隧道2R/24IP隧道2S/24IP隧道2S/02-路由器R3路由表二、企业网规划与设计5．局域网之间通信过程终端A构建以自身私有IP地址为源地址、以服务器1私有IP地址为目的地址的IP分组，并将其转发给默认网关R1。R1确定通过GRE隧道转发该IP分组，将其封装成以该GRE隧道源端全球地址为源地址、以该GRE隧道目的端全球地址为目的地址的GRE隧道格式，并将该GRE隧道格式转发给互联网上的下一跳路由器；GRE隧道格式经过互联网中路由器的逐跳转发，到达GRE隧道目的端R3，R3从GRE隧道格式中分离出以终端A的私有IP地址为源地址、以服务器1私有IP地址为目的地址的IP分组，并将其转发给服务器1。二、企业网规划与设计6．企业网终端访问互联网过程二、企业网规划与设计6．企业网终端访问互联网过程终端A构建以自身私有IP地址为源地址、以服务器2全球IP地址为目的地址的IP分组，并将其转发给默认网关R1。R1确定将该IP分组转发给互联网上的下一跳路由器，且需要完成NAT过程，R1将完成NAT后的IP分组转发给互联网上的下一跳路由器；完成NAT后的IP分组经过互联网中路由器的逐跳转发，到达服务器2。二、企业网规划与设计7．互联网终端访问企业网过程

R1为互联网终端分配私有IP地址，互联网终端构建以自身私有IP地址为源地址、以服务器1私有IP地址为目的地址的IP分组，该IP分组经过逐层封装，成为以互联网终端全球IP地址为源地址、以R1连接互联网接口的全球IP地址为目的地址的外层IP分组。二、企业网规划与设计7．互联网终端访问企业网过程外层IP分组经过互联网中路由器的逐跳转发，到达R1，R1从中分离出以互联网终端的私有IP地址为源地址、以服务器1私有IP地址为目的地址的IP分组。确定通过GRE隧道转发给R3，R1将该IP分组封装成该GRE隧道源端全球地址为源地址、以该GRE隧道目的端全球地址为目的地址的GRE隧道格式。并将该GRE隧道格式转发给互联网上的下一跳路由器；GRE隧道格式经过互联网中路由器的逐跳转发，到达GRE隧道目的端R3，R3从GRE隧道格式中分离出以互联网终端的私有IP地址为源地址、以服务器1私有IP地址为目的地址的IP分组，并将其转发给服务器1。三、企业网的新技术应用1．VPN通过VPN实现物理上分散的、连接在互联网上的多个局域网之间的通信过程，且使得具有专用网络的封闭性和安全性。ISP提供的VPN技术有IPSecVPN和MPLSVPN等。2．数据中心和云计算

企业网需要通过构建数据中心实现海量数据的存储、分析和处理。为充分利用数据中心强大的存储能力和计算能力，企业网将通过云计算来按需分配各种企业网应用所需的存储资源和计算资源。三、企业网的新技术应用3．QoS

需要保障物理上分散的多个局域网之间通信的服务质量（QoS）。4．安全

保障经过隧道传输的数据的保密性和完整性的安全技术。

保障企业网的封闭性的安全技术。

保障互联网终端对企业网的授权访问的安全技术。6.3校园网设计和实现过程本讲主要内容校园网组建策略；校园网规划与设计。一、校园网组建策略校园网组建策略：移动终端全校接入；分层的网络结构；多种网络服务；满足需求的网络带宽；可扩展性；安全性；方便简单的网络管理。二、校园网规划与设计1．校园布局构建涵盖校园各栋楼的校园网。二、校园网规划与设计2．需求分析

要求将每一栋教室中的若干终端和数据中心中的若干服务器连接到校园网上。

每一个教室存在三种类型的终端，一是上课用的固定终端，二是学生携带的移动终端，三是教师携带的移动终端。

每一个教室设置AP，由AC统一完成对AP的配置过程。

数据中心设置Web服务器、DHCP服务器、DNS服务器、FTP服务器，E-Mail服务器、RADIUS服务器等。

教师和学生的移动终端、固定终端都通过DHCP获取网络信息。二、校园网规划与设计3．网络拓扑结构由接入层、汇聚层和核心层组成。AC+FAP结构。二、校园网规划与设计4．AC+瘦AP结构和设计原则AC+FAP结构AC和FAP连接在同一个VLAN上，而且该VLAN是本地VLAN，即属于该VLAN的MAC帧不携带VLANID。FAP可以绑定多个WLAN，不同WLAN有着不同的SSID，关联不同的VLAN。由AC为FAP分配网络信息，FAP建立与AC之间的CAPWAP隧道。二、校园网规划与设计4．AC+瘦AP结构和设计原则创建4个不同的WLAN，每一个WLAN绑定不同的VLAN；各个FAP绑定不同的WLAN，每一个FAP可以绑定多个WLAN。WLAN绑定的VLANSSID鉴别机制RADIUS服务器密钥绑定的瘦APWLAN1VLAN21234561WPA211234567890瘦AP1、瘦AP2、瘦AP3WLAN2VLAN41234561WPA210987654321瘦AP1、瘦AP2、瘦AP3WLAN3VLAN31234563WPA211234567890瘦AP4、瘦AP5WLAN4VLAN51234564WPA210987654321瘦AP4、瘦AP5二、校园网规划与设计5．VLAN划分VLAN功能VLAN1用于所有瘦AP与AC之间交换capwap消息VLAN2用于连接瘦AP1、瘦AP2和瘦AP3连接的学生移动终端VLAN3用于连接瘦AP4和瘦AP5连接的学生移动终端VLAN4用于连接瘦AP1、瘦AP2和瘦AP3连接的教师移动终端VLAN5用于连接瘦AP4和瘦AP5连接的教师移动终端VLAN6用于连接交换机S1、S2和S3连接的固定终端VLAN7用于连接交换机S4和S5连接的固定终端需要创建的VLAN及其功能二、校园网规划与设计5．VLAN划分VLAN功能VLAN8用于连接Web服务器VLAN9用于连接FTP服务器VLAN10用于连接DNS服务器VLAN11用于连接E-Mail服务器VLAN12用于连接DHCP服务器VLAN13用于连接RADIUS服务器VLAN14用于实现三层交换机S7与S9互连VLAN15用于实现三层交换机S8与S9互连需要创建的VLAN及其功能二、校园网规划与设计5．VLAN划分

建立VLAN与交换机端口之间映射的原则如下，如果端口X被属于VLANY的交换路径经过，需要将端口X配置给VLANY。如果端口X仅仅被单条属于VLANY的交换路径经过，端口X作为接入端口（access）分配给VLANY。如果端口X既被属于VLANY的交换路径经过，又被属于VLANZ的交换路径经过，端口X作为主干端口（trunk）被VLANY和VLANZ共享。二、校园网规划与设计5．VLAN划分交换机S1中VLAN与交换机端口之间映射VLAN接入端口（access）主干端口（trunk）VLAN1端口1、端口3VLAN2端口1、端口3VLAN4端口1、端口3VLAN6端口2端口3VLAN接入端口（access）主干端口（trunk）VLAN1端口1、端口3VLAN3端口1、端口3VLAN5端口1、端口3VLAN7端口2端口3交换机S4中VLAN与交换机端口之间映射二、校园网规划与设计5．VLAN划分交换机S6中VLAN与交换机端口之间映射VLAN接入端口（access）主干端口（trunk）VLAN8端口1端口7VLAN9端口2端口7VLAN10端口3端口7VLAN11端口4端口7VLAN12端口5端口7VLAN13端口6端口7二、校园网规划与设计5．VLAN划分交换机S7中VLAN与交换机端口之间映射VLAN接入端口（access）主干端口（trunk）VLAN1端口1、端口2、端口3、端口4VLAN2端口1、端口2、端口3、端口4VLAN4端口1、端口2、端口3、端口4VLAN6端口1、端口2、端口3VLAN14端口4二、校园网规划与设计5．VLAN划分交换机S8中VLAN与交换机端口之间映射VLAN接入端口（access）主干端口（trunk）VLAN1端口1、端口2、端口3VLAN3端口1、端口2、端口3VLAN5端口1、端口2、端口3VLAN7端口1、端口2VLAN15端口3二、校园网规划与设计5．VLAN划分交换机S9中VLAN与交换机端口之间映射VLAN接入端口（access）主干端口（trunk）VLAN1端口1、端口2、端口4VLAN2端口1、端口4VLAN3端口2、端口4VLAN4端口1、端口4VLAN5端口2、端口4VLAN8端口3VLAN9端口3二、校园网规划与设计5．VLAN划分交换机S9中VLAN与交换机端口之间映射VLAN接入端口（access）主干端口（trunk）VLAN10端口3VLAN11端口3VLAN12端口3VLAN13端口3VLAN14端口1VLAN15端口2二、校园网规划与设计6．IP地址分配过程IP接口分配的IP地址设备名称IP接口IP地址S7VLAN654/24S7VLAN145/30S8VLAN754/24S8VLAN159/30S9VLAN254/24S9VLAN354/24S9VLAN454/24S9VLAN554/24二、校园网规划与设计6．IP地址分配过程IP接口分配的IP地址设备名称IP接口IP地址S9VLAN8/30S9VLAN9/30S9VLAN100/30S9VLAN114/30S9VLAN128/30S9VLAN132/30S9VLAN146/30S9VLAN150/30二、校园网规划与设计7．建立路由表直连路由项给出通往三层交换机直接连接的网络的传输路径；动态路由项给出通往三层交换机没有与其直接连接的网络的传输路径。二、校园网规划与设计7．建立路由表三层交换机S7路由表类型目的网络输出接口下一跳R/24VLAN146R/24VLAN146R/24VLAN146R/24VLAN146C/24VLAN6直接R/24VLAN146R/30VLAN146R/30VLAN146R/30VLAN146R2/30VLAN146R6/30VLAN146R0/30VLAN146C4/30VLAN14直接R8/30VLAN146二、校园网规划与设计7．建立路由表三层交换机S8路由表类型目的网络输出接口下一跳R/24VLAN150R/24VLAN150R/24VLAN150R/24VLAN150R/24VLAN150C/24VLAN7直接R/30VLAN150R/30VLAN150R/30VLAN150R2/30VLAN150R6/30VLAN150R0/30VLAN150R4/30VLAN150C8/30VLAN15直接二、校园网规划与设计7．建立路由表三层交换机S9路由表类型目的网络输出接口下一跳C/24VLAN2直接C/24VLAN3直接C/24VLAN4直接C/24VLAN5直接R/24VLAN145R/24VLAN159C/30VLAN8直接C/30VLAN9直接C/30VLAN10直接C2/30VLAN11直接C6/30VLAN12直接C0/30VLAN13直接C4/30VLAN14直接C8/30VLAN15直接二、校园网规划与设计8．应用服务器配置服务器完全合格的域名服务器IP地址完全合格的域名Web服务器FTP服务器E-Mail服务器3名字类型值AAA3DNS服务器配置的资源记录二、校园网规划与设计8．应用服务器配置DHCP服务器配置的作用域作用域IP地址范围子网掩码默认网关地址DNS服务器地址VLAN2对应的作用域-0054VLAN3对应的作用域-0054VLAN4对应的作用域-0054VLAN5对应的作用域-0054VLAN6对应的作用域-0054VLAN7对应的作用域-0054二、校园网规划与设计9．访问过程（1）自动获取网络信息终端A通过DHCP自动获取网络信息。（2）

完成域名解析完成域名解析过程，获取Web服务器地址。（3）Web服务器访问过程终端A发送给Web服务器的HTTP消息被封装成TCP报文，该TCP报文被封装成以终端A的IP地址为源地址、以Web服务器的IP地址为目的地址的IP分组，该IP分组沿着终端A→三层交换机S7→三层交换机S9→Web服务器到达Web服务器

。终端A通过默认网关地址确定三层交换机S7，三层交换机S7通过路由表和IP分组的目的地址确定下一跳三层交换机S9。6.4网络管理和运维本讲主要内容网络管理功能；网络管理系统结构；SNMPv3与分布式管理系统；网络管理和监测命令。一、网络管理功能故障管理故障检测故障隔离故障修复计费管理配置管理配置参数采集数据性能管理安全管理二、网络管理系统结构网络结点，如交换机、路由器和终端；一个网络结点通常寄生一个管理代理，由管理代理管理被管理对象；网络结点分解为多个被管理代象，如交换机被分解为多个交换机端口。每一个交换机端口就是一个被管理对象；网络管理工作站负责向管理代理发送命令，并接收被管理代理发送的响应，以此生成网络设备配置情况、流量分布情况等，以用户友好界面提供给用户；网络管理工作站通过网络管理协议和被管理代理交换命令和响应。网络管理系统结构三、SNMPv3与分布式管理系统将一个大型网络分割为多个管理域，每一个网络管理工作站负责一个管理域，由中心网络管理工作站对网络管理工作站进行管理。网络管理工作站具有双重功能，对于属于所负责的管理域的网络结点，实施网络管理工作站功能。对于中心网络管理工作站，实施管理代理功能。四、网络管理和监测命令ping命令用于检测两个终端之间的连通性1．ping（1）工作原理

四、网络管理和监测命令ping目标主机地址或域名可以携带以下参数。-t：一直进行ICMPECHO请求、响应过程，直到输入ctrl+c键。-ncount：将ICMPECHO请求、响应过程进行整数count指定的次数。-llength：发送长度由整数length指定的ICMPECHO请求报文，长度默认值是32B。-ittl：将封装ICMPECHO请求报文的IP分组的TTL字段值设置为由整数ttl指定的值。1．ping（2）命令一般格式四、网络管理和监测命令1．ping四、网络管理和监测命令

黑客常常通过ping命令进行主机扫描，确定攻击目标是否在线，黑客终端与攻击目标之间是否存在传输通路。因此，为安全起见，终端最好通过设置防火墙，关闭ICMPECHO响应功能。1．ping四、网络管理和监测命令终端A首先将ICMPECHO请求报文封装成TTL=1的IP分组。该IP分组传输到第一跳路由器R1时，TTL值减为0，路由器R1向终端A发送一个超时报文。终端A随后将ICMPECHO请求报文封装成TTL=2的IP分组。该IP分组到达第二跳路由器R2时，TTL值减为0，第二跳路由器R2向终端A发送超时报文。该过程一直进行。2．tracert（1）工作原理四、网络管理和监测命令

tracert目标主机地址或域名可以携带以下参数。-d：只列出经过的路由器接口和目标主机的IP地址，不给出这些路由器和目标主机的名字。-h

maximum_hops：指定经过的最大跳数，整数maximum_hops是最大跳数。

-j

host-list：通过指定经过的路由器接口列表，指定源终端至目的终端的传输路径。2．tracert（2）命令一般格式四、网络管理和监测命令2．tracert四、网络管理和监测命令

黑客常常用tracert命令了解黑客终端与攻击目标之间的传输路径，了解网络拓扑结构。因此，与执行tracert命令相关的TTL字段值不断递增的ICMPECHO请求报文也是网络入侵检测系统需要监测的信息流类型。2．tracert四、网络管理和监测命令ipconfig可以携带以下参数。/all

：显示完整信息。/renew：为所有网卡重新动态分配IP地址

。/release：释放为所有网卡分配的动态IP地址。/flushdns：清空本地dns缓冲区。/displaydns：显示本地dns缓冲区内容。3．ipconfig四、网络管理和监测命令3．ipconfig四、网络管理和监测命令终端A在以太网中广播ARP请求报文，请求报文中给出终端A的IP地址、MAC地址和终端B的IP地址。终端B接收到终端A的ARP请求报文后，将终端A的IP地址和MAC地址记录在ARP缓冲区中，同时通过ARP响应报文向终端A发送自己的IP地址和MAC地址。终端A接收到终端B发送的ARP响应报文后，将终端B的IP地址和MAC地址记录在ARP缓冲区中。4．arp（1）命令功能四、网络管理和监测命令arp需要携带以下其中一个参数。-a：显示本地ARP缓冲区内容。-d：删除本地ARP缓冲区内容。-s：在本地ARP缓冲区中建立IP地址与MAC地址之间的静态绑定关系。参数为-s的命令格式如下。

arp–sip地址mac地址4．arp（2）命令一般格式四、网络管理和监测命令4．arp4．arp四、网络管理和监测命令

ARP欺骗攻击的目的是在终端的ARP缓冲区中建立错误的IP地址与MAC地址之间的动态绑定关系。因此，如果重要服务器的IP地址是相对固定的，终端最好在ARP缓冲区中建立服务器IP地址与服务器MAC地址之间的静态绑定关系。4．arp四、网络管理和监测命令