《网络工程规划与设计--需求分析.pptx》由会员分享,可在线阅读,更多相关《网络工程规划与设计--需求分析.pptx(324页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、网络工程规划与设计网络工程规划与设计第1章 需求分析1.1 商业目标及约束分析自顶向下的网络设计 自顶向下的网络设计是一种从OSI参考模型上层开始,然后向下直到底层的网络设计方法。它在选择较低层的路由器、交换机和媒体之前,主要研究应用层、会话层和传输层功能。自顶向下设计方法 首先分析网络工程项目商业和技术目标 了解园区和企业网络结构找出网络服务对象及其所处位置 确定网络上将要运行的应用程序及其在网络上的行为 重点先放在OSI参考模型第7层及其以上开放系统互连(OSI)参考模型 结构化的网络设计过程 系统是按自顶向下的顺序进行设计的。 在工程设计过程中,可以使用集中式技术和模型描述现有系统、用户
2、的新需求及其在未来系统中的结构。 重点理解数据流、数据类型及数据存取或数据改变过程。 重点理解存取、改变数据的用户群的位置和需求。 逻辑模型的建立要先于物理模型。 逻辑模型代表了基本的体系结构模块,可以进一步划分为功能结构和系统结构。 物理模型代表了设备和具体的技术及实现。系统发展生命周期 系统发展生命周期一般是指系统的开发及其继续存在的一段时期。 系统用户的反馈会引起系统的再一次修改、重建、测试和完善。网络设计的循环实现 网络设计步骤 第1阶段需求分析 商业目标分析 技术目标分析 现有网络描述 网络通信量分析网络设计步骤(续) 第2 阶段逻辑设计 网络逻辑拓扑设计 网络结构、网络层地址、命名
3、模型设计 交换和路由协议选择 网络安全规划设计 网络管理设计网络设计步骤(续) 第3阶段物理设计 选择园区、企业网络逻辑设计的具体技术和产品。网络设计步骤(续) 第4阶段 测试、优化和文档编写 网络设计测试 网络设计优化 网络设计文档编写网络工程的商业目标分析 增加收入和利润 提高市场占有份额 拓展新的市场空间 提高在同一市场内同其他公司竞争的能力 降低费用 提高员工生产力 缩短产品开发周期 使用即时生产方法 制定解决配件短缺的计划 为新客户提供服务网络工程商业目标分析(续) 支持移动性 为客户提供更好的支持 为关键要素开放网络 避免网络安全问题引发商业中断 避免自然或人为灾害引发商业中断 对
4、过时技术进行更新改造 降低电信和网络费用并在操作上进行简化网络工程的商业约束 技术偏好和政策 预算和人员约束 项目进度安排1.2 技术目标分析与折中 技术目标 可扩展性 可用性 网络性能 安全性 可管理性 易用性 适应性 可付性可扩展性 可扩展性指的是网络设计应该支持多大程度的网络扩展 要知道 在以后的一年里能增加多少站点?在以后的两年里情况如何? 每一个新站点的网络范围有多大? 在未来的一年中将有多少新的用户访问公司的互联网?未来的两年情况如何? 在未来的一年里将会在互联网中增加多少台服务器?未来的两年情况如何?可用性 可用性可以用每年、每月、每天或者每小时内正常工作的时间占该时期总时间的百
5、分率来表示 例如: 24/7 运转 在168-小时一周内网络可用165小时 可用性为 98.21% 有些企业可能需要99.999% “5个9”可用性可用性停用时间(分钟计)4.321.44.72.0130105.10157799.70%52699.90%26399.95%599.999%每小时每天每周每年.18.06.03.0006.29210599.98%.01299.999% 可用性可能需要三倍冗余企业网络企业网络ISP 1ISP 2ISP 3 用户可以负担得起吗?可用性 可以用失败的平均时间(MTBF)和修复的平均时间(MTTR)来定义可用性 可用性= MTBF/(MTBF + MTTR
6、) 例如: 网络每4,000小时 (166天)失效不能多于一次,并且要在一个小时内修复 4,000/4,001 = 99.98%可用性网络性能 通常性能包括 带宽 吞吐量 带宽利用率 提供负荷 准确性 效率 延迟和延迟变化 响应时间带宽、吞吐量对比 带宽与吞吐量不同 带宽表示运输数据的电路容量 通常指定为比特/秒 吞吐量是指单位时间无错误传送的数据量 以 bps, 或分组/秒(pps)度量带宽,吞吐量 ,负载网络性能 (续) 效率 发送一定数量开销需要多少开销? 帧可以多大? 越大效率越高 (和有效吞吐量) 但是帧太大,分组损坏时就会丢失更多的数据效率小帧 (效率较低)大帧 (效率较高)用户端
7、延迟 响应时间 与应用程序及其所运行的设备相关,不仅与网络相关 大多数用户期望在100200毫秒内在显示器上看到有关内容网络工程师眼中的延迟 传播延迟 信号在电缆或光纤中传播速度仅为真空中传播速度的2/3 发送延迟 (有称串行延迟) 将数字数据放到传输线上的需要的时间 分组交换延迟 排队延迟排队延迟和带宽利用率 随着利用率的增加队列中的分组数成指数增加安全性 首先重点在于需求 详细的安全规划参见(2.4节) 确定网络资产 包括价值和期望费用以及因安全丢失后的问题 分析安全风险安全概述 概述 -病毒、蠕虫和特洛伊木马 -典型攻击的举例:红色代码、爱虫病毒、梅利莎病毒、Nimda、Slammer、
8、Blaster、SoBig.F等黑客技术黑客技术 1)黑客类型 白帽黑客 2)白盒和黑盒黑客技术弱点攻击 设计问题 系统加固 人为因素 执行问题网络资产 硬件 软件 应用 数据 知识产权 商业机密 公司信誉安全风险 网络设备被“黑” 截获、分析、更改或删除数据 用户口令危险 更改设备配置 侦查攻击 拒绝服务攻击DDoS创建代理群 DDoS使用伪造的IP地址发动攻击其他要求 可管理性 易用性 适应性 可付性 网络设计的折中1.3 现有互联网的特征 现有网络情况? 用下列术语描述现有网络: 基础结构 地址和命名 配线和媒体 体系结构和环境约束检查现有网络的性能 分析网络可用性 分析网络利用率 分析
9、网络精确度 网络效率分析 延迟和响应时间分析 检查主要网络设备的状态可用性描述MTBFMTTR日期和上次停工持续的时间上次停工的原因企业(整体)网段1网段2网段3网段n Network Utilization0123456717:10:0017:07:0017:04:0017:01:0016:58:0016:55:0016:52:0016:49:0016:46:0016:43:0016:40:00TimeUtilizationSeries1网络利用率(分钟为间隔)网络利用率(小时为间隔)反应时间测量 节 点 A节 点 B节 点 C节 点 D节点AX节点BX节点CX节点DX主要路由器交换机防火墙
10、状态的检查 显示缓存 显示环境 显示接口 显示内存 显示进程 显示运行配置 显示版本1.4 网络通信量描述网络通信量因素 通信流量 通信量源和存储 位置 通信量负载 通信量行为 服务质量(QoS)需求网络流量 目 的 地 1目 的 地 2目 的 地 3目 的 地 n Mbps路径Mbps路径Mbps路径Mbps路径源1 源2 源3 源n 通信流量类型 终端/主机通信流量 客户机/服务器通信流量 瘦客户端通信流量 对等通信流量 服务器/服务器通信流量 分布式计算通信流量 IP网络上的语音通信流量 网络应用流量特点 应用名称通信流量类型应用使用的协议使用应用的用户团体数据存储(服务器、主机等)应用
11、的近似带宽需求QoS需求通信行为 广播 在数据链路层广播帧的目的地址是 FF: FF: FF: FF: FF: FF 不必使用大量的带宽 但是会影响广播域中的每一个CPU 多播 应该仅影响注册过接受他的NIC 在因特网上需要多播路由协议QoS需求 QoS的英文全称为“Quality of Service”。QoS是网络的一种安全机制, 是用来解决网络延迟和阻塞等问题的一种技术。 在正常情况下,如果网络只用于特定的无时间限制的应用系统,并不需要QoS,比如Web应用,或E-mail设置等。但是对关键应用和多媒体应用就十分必要。当网络过载或拥塞时,QoS 能确保重要业务量不受延迟或丢弃,同时保证网
12、络的高效运行。 网络工程规划与设计网络工程规划与设计 第2章 逻辑网络设计 2.1 网络拓扑设计拓扑 拓扑学是几何学的一个分支,但是这种几何学又和通常的平面几何、立体几何不同。通常的平面几何或立体几何研究的对象是点、线、面之间的位置关系以及它们的度量性质。拓扑学对于研究对象的长短、大小、面积、体积等度量性质和数量关系都无关。 在计算机网络中用于描述网络结构的术语网络拓扑设计主题 层次化 冗余 模块性 定义良好的入口和出口 受保护的边界为什么使用层次化网络设计模型 减少网络设备工作负载 避免设备与太多设备的通信(减少“CPU 邻接”) 限制广播域 使每个设计要素简单且容易理解 易于更改 易于扩展
13、到更大的范围层次化网络设计层次化设计模型 核心层的高端路由器和交换机用于优化可用性和性能 分布层的路由器和交换机用于执行策略 接入层通过低端交换机和无线访问节点连接用户平面环状拓扑(上部)和层次化冗余拓扑(下部) 网状设计 部分网状的层次化设计 集中星状拓扑结构层次化拓扑 避免访问层的链路和后门满足以下条件时设计才算好 设计者已经知道如何增加一座新大楼、一个新的楼层、WAN连接、远程站点、电子商务服务等; 新增设备只是引起本地与其直接连接的设备的变化; 网络规模加倍或者增加到三倍时,主要的设计无须改变; 复杂协议的相互作用不再成为障碍,检修变得很容易。园区拓扑设计 使用层次化、模块化的方法 最
14、小化带宽域 最小化广播域 提供冗余 镜像服务器 对于离开的通信来说工作站有多种方法到达路由器企业园区模块 服务器群Server farm 网络管理模块 边沿分布层口模块提供与外部的连接 园区基础结构模块: 建筑物访问子模块 建筑物分布层子模块 园区骨干简单的园区冗余设计主机 A主机 B局域网LAN X局域网LAN Y交换机 1交换机 2网桥和交换机使用生成树协议 (STP)避免循环X主机 A主机 B局域网LAN X局域网LAN Y交换机 1交换机 2运行STP的网桥(交换机) 交换机选择唯一一台交换机作为生成树的根桥; 计算到达根桥的最短距离,并选择一个端口(称为根端口)以提供到达根桥的最短路
15、径; 对每个局域网段,交换机选择一个指定网桥和其上的指定端口。指定端口是局域网段内到根桥最短路径的端口。指定端口转发从局域网网段到根桥的帧。所有根桥上的端口都是指定端口; 最后,交换机决定哪些交换端口将被包含在生成树拓扑结构中。选择的端口是根端口和指定端口,这些端口向前转发流量。其他端口阻塞流量根的选择 网桥网桥 B网桥网桥 C网桥 A ID = 80.00.00.00.0C.AA.AA.AA网桥 B ID = 80.00.00.00.0C.BB.BB.BB网桥 C ID = 80.00.00.00.0C.CC.CC.CC端口 1端口 2端口 1端口 2端口 1端口 2LAN 网段 2100-
16、Mbps 以太网费用 = 19LAN 网段 1100-Mbps 以太网费用 = 19LAN 网段 3100-Mbps 以太网费用 = 19根根网桥网桥 A最低网桥 ID赢!确定根端口网桥网桥 B网桥网桥 C根根网桥网桥 A网桥 A ID = 80.00.00.00.0C.AA.AA.AA网桥 B ID = 80.00.00.00.0C.BB.BB.BB网桥 C ID = 80.00.00.00.0C.CC.CC.CC端口 1端口 2端口 1端口 2端口1端口 2LAN 网段 2100-Mbps 以太网费用 = 19LAN 网段 1100-Mbps 以太网费用 = 19LAN 网段 3100-M
17、bps 以太网费用 = 19根端口根端口根端口根端口最低的费用赢!确定指派端口Bridge BBridge C根根网桥网桥 A网桥 A ID = 80.00.00.00.0C.AA.AA.AA网桥 B ID = 80.00.00.00.0C.BB.BB.BB网桥 C ID = 80.00.00.00.0C.CC.CC.CC端口 1端口2端口 1端口2端口1端口 2LAN 网段 2100-Mbps 以太网费用= 19LAN 网段 1100-Mbps 以太网费用= 19LAN 网段 3100-Mbps 以太网费用 = 19根端口根端口根端口根端口指派端口指派端口指派端口指派端口指派端口指派端口最低
18、的网桥 ID赢!网桥网桥 B网桥网桥 C根根网桥网桥 A网桥A ID = 80.00.00.00.0C.AA.AA.AA网桥 B ID = 80.00.00.00.0C.BB.BB.BB网桥 C ID = 80.00.00.00.0C.CC.CC.CC端口 1端口 2端口1端口 2端口 1端口 2LAN 网段 2100-Mbps 以太网费用 = 19LAN 网段 1100-Mbps 以太网费用 = 19LAN 网段 3100-Mbps 以太网费用 = 19根端口根端口根端口根端口指派端口指派端口指派端口指派端口指派端口指派端口阻塞端口阻塞端口X将拓扑修剪成树!更改的反应网桥网桥 B网桥网桥 C
19、根根网桥网桥 A网桥 A ID = 80.00.00.00.0C.AA.AA.AA桥 B ID = 80.00.00.00.0C.BB.BB.BB桥 C ID = 80.00.00.00.0C.CC.CC.CC端口1端口 2端口1端口 2端口1端口2LAN 网段 2LAN 网段 1LAN 网段 3根端口根端口根端口根端口指派端口指派端口指派端口指派端口指派端口被禁止指派端口被禁止阻塞端口迁移到转发状态阻塞端口迁移到转发状态扩展生成树协议 使交换网络保持较小 不能跨越7个交换机 在Cisco交换机上使用BPDU偏离检测 使用IEEE 802.1w 提供快速的生成树重新配置 又称为 RSTP 虚拟
20、LAN(VLAN) 虚拟局域网(VLAN)是对标准局域网的仿真,它允许在没有传统物理上的网络约束的情况下传输数据。 属于管理组的一组局域网设备 设计者使用VLAN限制广播域VLAN和实际LAN的对比连接虚拟局域网A和B的工作站的单个交换机 跨越两个交换机的VLANWLAN和VLAN 无线LAN (WLAN)通常实现VLAN 便于漫游 将所有的用户放在同一IP子网和同一虚拟局域网中 ,在漫游时不需要更改地址信息 更容易建立过滤器(访问控制列表)保护无线网络的用户连接网络工作站-路由器之间的通信 Proxy 代理ARP (不好) 监听路由广告(不好) ICMP路由器请求(应用有限) DHCP提供的
21、缺省网关(很好但无冗余) 使用热备份路由器协议(HSRP)进行冗余热备份路由器协议 HSRP多穴因特网连接企业企业企业企业企业企业ISP 1ISP 1ISP 2ISP 1ISP 1ISP 2企业企业选项 A选项 B选项 C选项 DParisNYParisNY安全拓扑安全拓扑2.1节小结 使用系统化自顶向下的方法 逻辑设计先于物理设计 拓扑设计应该描述层次化、冗余、模块化和安全2.1节复习题 为什么网络设计中层次化和模块化很重要? 何为STP?STP的收敛过程? 企业复合网络模型有哪几个主要组成部分? 对于实现多穴和因特网连接,多种选择的优点和缺点是什么?2.2 地址和命名模型设计 地址和命名原
22、则 地址和命名使用结构化模型 层次化分配地址和名字 需要提前作出决定: 集中式地址名字管理或分布式地址名字管理 公共或私有地址 静态或动态地址或名字地址和名字结构化模型优点 更易于: 阅读网络图 操作网络管理软件 在协议分析仪跟踪中识别设备 满足易用性目的 防火墙和路由器上设计过滤器 实现路由摘要公共IP地址 由因特网地址分配机构(IANA)管理。 一般用户由ISP分配IP地址。 ISP从相关的Regional Internet Registry (RIR) 处获取IP地址的分配地区级的互联网注册机构 (RIR)私有保留地址 10.0.0.0 10.255.255.255 172.16.0.0
23、 172.31.255.255 192.168.0.0 192.168.255.255 使用动态或静态地址的参考标准 终端系统的数量 需要重新编号的可能性 高可用性需求 安全需求 地址跟踪的重要性 是否终端系统需要地址以外的信息 (DHCP可以提供地址以外的信息)IP地址的两部分前缀主机32 比特前缀长度前缀长度 IP地址后跟一个前缀长度的标示 子网掩码 /长度 例子 192.168.10.1 255.255.255.0 192.168.10.1/24子网掩码 32 比特长 指定IP地址中那一部分为网络/子网域那一部分为主机域 掩码的网络/子网部分都为二进制1. 掩码的主机部分全为二进制的0.
24、 将二进制表示转换为点分十进制表示以便在配制时输入. 作为替换 使用斜线表示(例如/24) 指定1的个数子网掩码例子 11111111 11111111 11111111 00000000 斜线表示为? 点分十进制表示为?一个子网掩码例子 11111111 11111111 11110000 00000000 斜线表示为? 点分十进制表示为?子网掩码例子 11111111 11111111 11111000 00000000 斜线表示为? 点分十进制表示为?设计网络子网掩码 确定子网大小 计算子网掩码 计算IP地址划分子网时避免使用的地址 全为1的节点地址 (广播) 全为0的节点地址(网络)
25、子网地址全为1(所有子网) 子网地址全为0 (有可能混淆confusing) Cisco IOS配置允许使用 ip subnet-zero 命令配置全为0的子网掩码练习 网络172.16.0.0 将该网络划分子网. 每个子网允许600个节点. 应该使用的子网掩码为? 第一个子网的第一个节点地址为? 该节点使用哪个地址可以向子网内的所有设备发送信息?练习 网络 172.16.0.0 将有8个LAN,每一个为他自己的子网. 应该使用什么样的子网掩码? 第一个子网的第一个节点地址为? 该节点使用哪个地址可以向子网内的所有设备发送信息?练习 网络192.168.55.0 将该网络划分成子网. 每个子网
26、大约有25个节点. 应该采用什么样的子网掩码? 最后一个子网的最后一个节点地址是什么? 该节点使用哪个地址可以向子网内的所有设备发送信息?IP 地址类 现在考虑过时类的划分 之所以需要学习是因为 目前仍在讨论使用 可能碰到受有类系统的设备配置有类IP地址类类前几个比特前几个比特 第一个字节第一个字节前缀长度前缀长度目的目的A01-126*8非常大的网络B10128-19116大的网络C110192-22324小的网络D1110224-239NAIP 多播E1111240-255NA试验用*以 127开始的地址保留用于本地IP流量.类类前缀长度前缀长度 每个网络地址数每个网络地址数A8224-2
27、 = 16,777,214B16216-2 = 65,534C2428-2 = 254有类地址空间的划分有类IP造成很大浪费 A类使用大约50%的地址空间 B类使用大约25%的地址空间 C类使用大约12.5%的地址空间 D和E 类使用大约12.5%的地址空间无类地址 前缀/主机边界可在任何地方 浪费较少 支持路由摘要 又称为 汇聚 超网Supernetting 无类路由 无类内域路由(CIDR) 前缀路由超网Supernetting 向左移动前缀边界分办公室广告172.16.0.0/14172.16.0.0/14 摘要第第2个字节的十进制表示个字节的十进制表示 第第2个字节的二进制表示个字节的
28、二进制表示1600010000170001000118000100101900010011不连续子网移动主机子网 10.108.16.0 - 10.108.31.0路由器路由器 A路由器路由器 B主机 10.108.16.1IPv6 可汇聚全局单播地址格式FP前缀格式 (001)TLA ID顶级汇聚标示符RES预留将来使用NLA ID下一级汇聚标示符SLA ID站点级汇聚标示符接口 ID接口标示符3 13 8 24 16 64 bitsFPTLAIDRESNLAIDSLAID接口 ID公共拓扑站点拓扑升级为 IPv6 双站 隧道 翻译名字分配规则 名字应该 短 有意义 明确 独特 大小写敏感
29、避免能使用不常见的字符 连字符、下划线、星号、等等域名系统 (DNS)DNS详述 客户机/服务器模型 客户端配置带有DNS服务器的IP地址 手工或DHCP可以提供地址 DNS解析软件在客户端机器上向DNS服务器发送请求。客户端可能请求递归查询。DNS 递归 DNS服务器可以提供递归,允许服务器请求其他服务器。 每一个服务器了一个或多个根DNS服务器的IP地址 当DNS服务器接收到来自另外一台服务器的响应时,他就回答解析客户端软件。服务器也缓存信息以供进一步的请求。 权威DNS 服务器的网络管理员为名字定义非权威服务器可以缓存信息的时间长度。2.2节小结 使用系统化、结构化、自顶向下方法寻址和命
30、名 层次化地分配地址 有时需要集中式寻址和命名 不久的将来实现IPv62.2节复习题 为什么结构化地址分配和命名很重要? 相对于公共地址,何时最适合使用私有IP地址? 何时使用静态地址,何时使用动态地址? 将网络升级为IPv6的几种方法是什么? 下面的网络号码是在一个分办公室定义的,它们能被汇聚吗? 10.108.48.0,10.108.49.0,10.108.50.0,10.108.51.0 10.108.52.0,10.108.53.0,10.108.54.0,10.108.55.02.3 交换和路由协议的选择交换和路由协议选择 交换 第二层透明网桥(交换) 多层交换 扩展树增强 VLAN
31、技术 路由 静态或动态 距离矢量和链路状态协议 内部和外部 等等。交换和路由协议选择标准 网络通信量特性 带宽、内存和CPU的使用 支持的对等数量 适应更改是否很快 支持鉴别决策的制定 必须确定目标 应该探索多种选择 研究决策的后果 制定应变计划 有可以使用决策表决策表实例 关 键 目 标其 他 目 标适应性在大型互联网上,必须在几秒内适应网络的变化必须能够扩展到更大规模(上百个路由器)必须符合工业标准并且与已有设备相兼容不应造成网络拥塞可以在便宜的路由器上运行易于配置和管理边界网关协议XXX877OSPFXXX888IS-ISXXX866IGRPXX EIGRPXX RIP X透明网桥 (交
32、换)任务 透明地转发帧 学习对应于每个MAC地址,使用那个端口 当还没有学习到目的地单播地址时洪泛帧 过滤发出端口的不包括目的地地址的帧 洪泛广播和多播网桥和交换机上的交换表MAC地址地址端口端口12308-00-07-06-41-B900-00-0C-60-7C-0100-80-24-07-8C-02冗余级联Uplinks访问层分布层核心层交换机交换机 A交换机交换机 B交换机交换机 C主 Uplink次 UplinkXXX = 被STP阻塞 如果链路失效,STP需要多长时间恢复? 使用UplinkFast加速汇聚传输VLAN信息的协议 Inter-Switch Link (ISL) 标签协
33、议 Cisco厂商所有 IEEE 802.1Q 标签协议 IEEE标准 VLAN Trunk协议(VTP) VLAN管理协议路由协议选择 具有共同的目的: 在路由器之间共享可达性信息 很多不同之处: 内部或外部 支持度量 动态或静态和缺省 距离矢量或链路状态 有类或 无类 扩展性 内部或外部协议 内部路由协议用于自治系统内部 外部路由协议用于自治系统之间自治系统 (两个个经常用到的定义): “一组路由器为互联网呈现共同的路由策略”“在单个实体管理下的一个或一组网络” 路由协议度量 度量: 路由算法用来决定网络中一条路由比另外一条要好的确定因数 度量例子: 带宽 容量 延迟 时间 负载 网络通信
34、总量 可靠性 错误率 跳数 分组到达目的地网络之前必须通过的路由器数目 费用 由协议或管理员定义的任意值路由算法 静态路由 预先、离线计算 缺省路由 “如果不能识别目的地,就将分组发送到路由器X” Cisco的按需路由 为stub网络路由 使用Cisco 发现协议 (CDP) 动态路由协议 距离矢量算法 链路状态算法静态路由实例RouterA(config)#ip route 172.16.50.0 255.255.255.0 172.16.20.2子网50 到 172.16.20.2 (路由器 B)发送分组e0e0e0s0s1s0s0路由器路由器 A路由器路由器 B路由器路由器 C主机主机
35、A主机主机 C主机主机 B172.16.10.2172.16.30.2172.16.50.2172.16.20.1172.16.40.1172.16.10.1172.16.30.1172.16.50.1172.16.20.2172.16.40.2缺省路由实例RouterA(config)#ip route 0.0.0.0 0.0.0.0 172.16.20.2如果不是本地, 就发送到172.16.20.2 (路由器B)e0e0e0s0s1s0s0路由器路由器 A路由器路由器 B路由器路由器 C主机主机 A主机主机 C主机主机 B172.16.10.2172.16.30.2172.16.50.2
36、172.16.20.1172.16.40.1172.16.10.1172.16.30.1172.16.50.1172.16.20.2172.16.40.2距离矢量路由 路由器维护了一张路由表,列出了到达每一个网络的已知网络、方向(矢量)和距离。 路由器周期性地(如,每隔30秒)向本地网段上的所有其他路由器通过广播分组传输路由表 如果需要,路由器根据接收到的广播更新路由表 距离矢量路由表路由器路由器 A路由器路由器 B172.16.0.0192.168.2.0网络网络 距离距离 发送到发送到172.16.0.0 0端口端口 1192.168.2.0 1路由器路由器 B网络网络 距离距离 发送到发
37、送到192.168.2.0 0端口端口 1 172.16.0.0 1路由器路由器 A路由器路由器A的路由表的路由表路由器路由器B的路由表的路由表链路状态路由 仅当更改时,路由器才发送更新 检测到更改的路由器创建一个链路状态广告(LSA),然后发送到邻居 邻居将更改传播到他的邻居 如果需要路由器更新他们的拓扑数据库距离矢量与链路状态的对比 距离适量算法保持了一张网络列表,带有下一条和距离(度量)信息 链路状态算法保持一个路由器及其之间链路的数据库 链路状态算法将互联网当作图而非列表 当发生更改时,链路状态算法使用Dijkstras shortest-path algorithm 找到任意两个节点
38、之间的最短距离距离矢量和链路状态的选择 选择距离矢量协议选择距离矢量协议 网络使用简单的平面拓扑,且不需要层次化设计y网络使用简单的集中星状拓扑; 不考虑网络汇聚的最坏情况管理员没有足够的经验来运行链路状态协议并实现排错选择链路状态协议选择链路状态协议 网络的快速汇聚至关重要 网络设计呈层次化,大型网络通常都是如此管理员对所选的链路状态协议十分了解动态IP路由协议距离矢量协议距离矢量协议路由信息协议 (RIP)版本1和2内部网关路由协议 (IGRP)增强IGRP边界网管协议(BGP)链路状态协议链路状态协议开放最短路经优先 (OSPF)中间系统-中间系统(IS-IS)路由信息协议 (RIP)
39、TCP/IP环境下开发的第一个标准路由协议 RIP版本1参见文档RFC 1058 (1988) RIP版本2参见文档RFC 2453 (1998) 易于配置和排错 每隔30秒广播他的路由表;每个分组有 25个路由 使用单个路由度量(跳数)测量到达目的地网络的距离;最大跳数为15RIPv2 特点 包括具有路由更新的子网掩码 支持前缀路由(无类路由,超网) 支持变长子网掩码(VLSM) 包括简单的鉴别,阻挡破坏者发送路由更新IGRP 解决了RIP的问题 在RIP中的15跳限制 IGRP支持255跳 仅依靠一种度量(跳数) IGRP使用带宽、延迟、可靠性、负载 (缺省时仅使用带宽和延迟) RIP使用
40、30-秒更新计时器 IGRP 使用 90 秒EIGRP 能非常快地适应网络上的变化 增加的更新仅包括变化,而非全部路由表 可靠地分发更新 路由器跟踪邻居的路由表,并将他们用作可行的继任者 与IGRP具有相同的度量, 但是具有更多的粒度(32比特替代24比特)开放最短路径优先 (OSPF) 开放协议, 定义于RFC 2328 使用于很快的变化 支持非常大的互联网 不使用大量的带宽 鉴别协议交换满足安全要求OSPF度量 单个无量刚的值称为费用。网络管理员为到达某一网络路径上的每一个路由器接口赋一个OSPF费用。路由费用与每个路由器接口的输出端有关。路由的费用越低,接口就越可能被用来转发数据通信量。
41、路由费用也与外部源路由有关。 在Cisco路由器上, 接口缺省的费用值为 100,000,000除以该接口的带宽。例如,100-Mbps以太网接口费用为1。 通过ABR连接的OSPF区域IS-IS 中间系统-中间系统 链路状态路由协议 ISO设计用于OSI协议 集成的IS-IS也处理IP边界网关协议 (BGP) 允许路由器在不同自治系统上交换路由信息 外部路由协议 用于因特网上大的ISP和大的公司之间 支持路由聚合 主要度量为自治系统数目列表长度,但是BGP也支持基于策略的路由2.3节小结 交换和路由协议的选择应该基于下列分析 目的 协议的可扩展性和性能特点 透明桥接用于现代交换机中 但是其他
42、选择包括增强STP和传输VLAN信息的协议 有多种类型的路由协议和每种类型中有多种选择2.3节复习题 增强生成树协议有哪些选项? 哪些因素可以决定最适合客户的距离矢量或链路状态路由? 哪些因素可以帮助你选择详细而明确的路由协议? 为什么静态路由和默认路由在许多现代网络设计中都占据了重要的地位?2.4 网络安全策略设计网络安全设计步骤1. 确定网络资产。2. 分析安全风险。3. 分析安全需求和折中。4. 设计安全方案。 5. 定义安全策略。6. 设计应用安全策略的步骤。网络安全设计步骤7. 设计技术实施策略。 8. 从用户、经理和技术人员处获取。9. 用户、经理和技术人员培训。 10. 技术策略
43、和安全步骤实施。 11. 发现问题时测试网络的安全性并更新。12. 维持网络的安全性网络资产 硬件 软件 应用 数据 知识产权 商业机密 公司信誉安全风险 网络设备被“黑” 数据被截获、分析、更改、或删除 用户口令受到威胁 设备配置被更改 侦查攻击 拒绝服务攻击安全折中 必须在安全目标和其他目标之间折中: 可付性 易用性 性能 可用性 可管理性安全规划 建议组织如何做才能满足安全需求的高级文档 指定开发安全策略和实现策略需要的时间、人员和其他资源安全策略 RFC 2196, “站点安全手册,” 安全策略为 “安全策略就是针对有权使用组织机构的技术及信息资产的人员必须遵守的规则的正式声明文件。”
44、 策略必须涉及到 访问, 计费, 鉴别, 隐私,和计算机技术购买的指导安全机制 威胁防御 通信保护 信任机制和身份验证 网络安全最佳策略威胁防御病毒防护、通信量过滤:包括静态分组过滤和动态分组过滤(状态防火墙)入侵检测和防御: 基于网络与基于主机的IDS 入侵防御系统GAP技术内容过滤;DMZ和防火墙IDS的隐蔽操作模式安全隔离网闸(GAP)工作示意图 通信保护 加密虚拟专用网络(VPN) 安全套接字层(SSL) 文件加密加密操作 加密隧道 信任机制和身份验证 验证、授权和账户(AAA) 网络允许控制(NAC) 公开密钥基础设施(PKI);网络允许控制 私匙和公匙的操作 网络安全最佳策略 网络
45、管理 评估审计 策略模块化的网络设计 保护模块化设计的所有模块: 因特网连接 公共服务器和电子商务服务器 远程访问网络和VPN 网络服务和网络管理 服务器机群 用户服务 无线网络因特网连接安全保护 物理安全 防火墙和分组过滤器 审计日志,鉴别,授权 定义良好的出口和入口点 支持鉴别的路由协议公共服务器的安全保护 将服务器放在受防火墙保护的DMZ内 在服务器本身上运行防火墙 激活DoS保护 限制每个时间帧的连接数 使用可靠打了最新安全补丁的操作系统 模块化维护 前段Web服务器不同时运行其他服务 远程访问和虚拟私有网络保护 物理安全 防火墙 鉴别,授权,和审计 加密 一次性口令 安全协议 CHA
46、P RADIUS IPSec网络服务保护 将网络设备(路由器、交换机等)作为高价值主机对待并加以增强以便防止可能的入侵 访问设备需要登陆ID和口令 对于有风险的配置命令需要额外的鉴别 使用SSH而非Telnet 更改欢迎界面标示服务器集群的保护 布置网络和主机IDS监控服务器子网和单个服务器 配置过滤器限制服务器的连接,以防服务器受到危害 修补服务器操作系统已知的安全缺陷 服务器的访问和管理需要鉴别和授权 将root口令限制为少数人 避免客户帐号保护用户服务 在安全策略中指定允许在联网PC上运行的应用程序。 联网PC需要个人防火墙和防病毒软件 实现指定如何安装和更新的书面步骤 离开时鼓励桌面用
47、户登出 在交换机上使用802.1X基于端口的安全保护无线网络 将无线局域网置于他们自己的子网或VLAN中 简化地址以便于更加容易配置分组过滤器 所有的无线(有线)便携机需要运行个人防火墙和防病毒软件 禁止广播SSID的信标,需要MAC地址鉴别 外部访问人员使用的WLAN除外WLAN安全选项 Wired Equivalent Privacy (WEP) IEEE 802.11i Wi-Fi Protected Access (WPA) IEEE 802.1X Extensible Authentication Protocol (EAP) Lightweight EAP or LEAP (Cis
48、co) Protected EAP (PEAP) Virtual Private Networks (VPNs) 还有其他可以考虑的缩写字母? :-)Wired Equivalent Privacy (WEP) 定义于IEEE 802.11 用户必须获得合适的WEP密钥,同时也配置于访问点 64或128比特密钥(或 passphrase) WEP使用RC4流密码方法加密数据 但是很容易被破解WEP可选替代 厂商WEP增强 Temporal Key Integrity Protocol (TKIP) 每一个帧有一个新的和唯一的WEP密钥 Advanced Encryption Standard
49、(AES) IEEE 802.11i Wi-Fi 联盟的Wi-Fi Protected Access (WPA) 目前已成为IEEE 802.11i中的一部分!扩展鉴别协议 (EAP) 使用802.1X和EAP, 设备担任下列角色之一: 请求者位于无线LAN的客户端 验证者位于访问点 验证服务器位于RADIUS服务器上 EAP (续) 在客户端上的一个 EAP请求者获得用户的信任,可能是用户ID和口令。 鉴别服务器传递信任到服务器,这样便形成了会话密钥 客户必须周期性地重新验证以维护网络的连接 重新验证产生一个新的、动态的WEP密钥yCisco公司的 Lightweight EAP (LEAP
50、) 标准EAP加上相互鉴别 用户和访问点必须鉴别 用于Cisco和其他厂商产品其他EAP 由微软开发的EAP-Transport Layer Security (EAP-TLS) 客户端和服务器需要证书. Protected EAP (PEAP) 被 Cisco, Microsoft, and RSA Security所支持 客户端使用证书验证RADIUS服务器 服务器使用用户名和口令验证客户端 EAP-MD5没有密钥管理特点或动态密钥生成 像基本的WEP鉴别一样使用挑战文本 鉴别由RADIUS服务器来处理无线客户端VPN软件 是公司无线连接的最安全的方法 无线客户端需要VPN软件 连接到总部