《网络常用技术介绍.doc》由会员分享,可在线阅读,更多相关《网络常用技术介绍.doc(9页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、5.5 网络常用技术介绍HSRP 协议 我们使用HSRP来实现对故障路由器的接管,HSRP中文解释是热备份路由协议,其含义是系统中有多台路由器,它们组成一个或多个“热备份组”。这每一个热备份组中的所有路由器共享一 个虚拟IP与MAC。在任一时刻,这个组内只有一个路由器是活动的,并由它来转发数据包,如果活动路由器发生了故障,将选择一个备份路由器(需配置端口抢占)来替代活动路由器,但是在本网络内的主机看来,本机的网关仍然没有down掉。所以主机仍然保持连接,没有受到故障的影响,这样就较好地解决了路由器切换的问题。由于每一个热备份组中的活动路由器可以不集中在一个路由器上(可通过优先级配置),因此HS
2、RP能够较好的实现负载均衡。 HSRP组中的路由器通过224.0.0.2的组播地址交换组播hello包来发布优先级,hello消息在配置hsrp组的链路上交换缺省条件下,路由器每3秒发送一个hello消息。如果活跃的激活路由器在保持时间(缺省条件为10秒)的可配置时间段内无法发送hello,拥有最高优先级的备份路由器将被激活,开始接收发网组MAC地址的包。OSPF协议 OSPF(中文名开放最短路径优先协议)协议是典型的链路状态路由协议,每个路由器都有和本区域内其它路由器相同的链路状态数据库,而后路由器根据SP-F算法计算出到达目的地的最短路径,其写入路由表。 OSPF工作原理是:通过hello
3、报文发现邻居,在通过LSA的泛洪形成相同的链路状态数据库,最后通过SP-F算法计算出到达目的地的最短路径,将其写入路由表。 OSPF协议的借口状态有五种:down、init、two-way、exstart、exchange、loading、full五种状态。Down状态没有收到hello包;init状态是指收到hello包;two-way状态双方都收到对方的hello包;exstart状态通过路由器优先级选出DR、BDR;loading状态双方互发LSA、LSU;full状态双方真正的建立邻居关系。 启用OSPF路由协议的路由器中都会有一个链路状态数据库,它保存着7中类型的LSA,其中前五种类
4、型用于相同AS之间的路由通信,后两种用于外部。1、路由LSA:它是由非DR、非BDR通过224.0.0.6的组播地址发送个DR、BDR。2、网络LSA:它是有DR、BDR始发通过224.0.0.5的组播地址发送给其它非DR、BDR的路由器。3、网络汇总LSA:它是由ABR始发通告其它区域的LSA给 0 区域。4、ASBR汇总LSA:它是由ABR始发通告ASBR的位置。5、自治域系统LSA:它是由ASBR始发,向area 0 通告不同AS之间的路由信息。7:类型 7的LSA:它是由特殊区域产生的LSA。 对于大型的网络,为了进一步减少路由协议通信流量,OSPF可以将网络划分不同的区域,防止网络中
5、大量的LSA防洪影响网络的运行速度。为减少路由表提高网络的查询速度,OSPF定义了末梢区域、完全末梢区域、次末节区域、完全次末节区域等。VLAN 技术Vlan(Virtual Local Area Network)即虚拟局域网,是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术。IEEE 于1999 年颁布了用以标准化VLAN 实现方案的802.1Q 协议标准草案。VLAN 技术允许网络管理者将一个物理的LAN 逻辑地划分成不同的广播域(或称虚拟LAN,即VLAN),每一个VLAN 都包含一组有着相同需求的计算机工作站,与物理上形成的LAN 有着相同的属性
6、。但由于它是逻辑地而不是物理地划分,所以同一个VLAN 内的各个工作站无须被放置在同一个物理空间里,即这些工作站不一定属于同一个物理LAN网段。一个VLAN内部的广播和单播流量都不会转发到其他VLAN中,从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。Trunk 技术 一般的交换机端口只能属于一个VLAN,对于多个VLAN 需要跨过多台交换机,就需要用到Trunk 技术,它的作用是承载不同的VLAN信息。Trunk 是指交换机之间或交换机与路由器之间VLAN 之间的连接,VLAN 信息通过Trunk 在交换机之间或路由器之间传递,从而可以将VLAN 跨越整个网络,而不仅仅是局
7、限在一台交换机上。Cisco 支持802.1Q、ISL 两种trunk封装技术。其中IEEE 802.1q 是业界的标准协议,而ISL 是CISCO 专有的协议,用于在一条链路上封装多个VLAN 的信息。ISL 技术得到了Intel 等厂商的大力支持,TagSwitching 被3Com 及Lucent Cajun 支持。对于CISCO 交换机的Trunk 端口,既可以指定它的封装协议为802.1q 或ISL,也可以通过DTP 协议(Dynamic Trunking Protocol)自动协商。DTP 协议主要用于处理Trunk 端口的802.1q 和ISL 封装协议的自动协商,对于不同厂家的
8、交换机互连时很有帮助。 对Trunk 的定义只能在快速以太网端口和千兆以太网端口 上进行,它既可以是单个的快速以太网端口或千兆以太网端口,也可以是快速以太网通道(FEC)或千兆以太网通道(GEC)。虽然我们采用的是思科交换机,但是最为一个标准的、开放、先进的网络系统,我们推荐是用IEEE802.1Q 标准协议。Spanning-Tree协议 在局域网中是不允许出现环路的,而为了实现冗余和负载的均衡,通常会有多条链路的连接,这样就会引入环路。为了解决这个矛盾,推出了STP 协议。STP 算法会将网络中的连接生成一个树,通过特定的算法自动将优先权高的链路激活,将优先权低的链路阻塞,保证在网络中任何
9、时候都不会出现环路。如果网络的连接状况发生了变化,STP 算法会自动地重新计算新的连接关系,重新选出新的活动的连接。STP 算法会造成网络的暂时的不稳定状态,该转换时间在30秒之内,亦即在30 秒之内网络会重新恢复到稳定状态。STP 对于终端是透明的,终端感觉不到STP 的操作过程。在交换机上可以通过修改端口的优先级来改变连接的优先权,使得STP 算法将高优先权的连接作为活动连接,例如:两个交换机之间有两条链路连接,一条是光纤连接,另一条是双绞线连接,由于光纤连接明显要比双绞线连接更稳定、更可靠,我们可以将交换机上的光纤端口的优先权设定成比双绞线端口更高的优先权,这样STP 算法就会将光纤连接
10、作为活动连接,而将双绞线连接阻塞。Cisco 交换机的一个非常有用的特性就是可以对每个VLAN 设置Spanning -Tree ,而不是对整个网络只能属于一个Spanning-Tree。这个特征是很多厂商的设备所不具备的。在交换机上对端口的优先权的设置可以基于VLAN 进行,每个端口对于不同的VLAN 设置不同的优先权。对于指定的VLAN,具有该VLAN 最高优先权的端口转发该VLAN的信息,其它VLAN 的信息则阻塞。通过这种方法,在具有冗余连接的交换机端口上分别针对不同的VLAN 设置不同的优先权,既可以实现链路的冗余,又可以实现负载的均衡。 CISCO 交换机端口支持每VLAN 的生成
11、树协议,每个端口都可设置基于VLAN 的Cost 或Priority 参数,从而实现在多条路径上的负载均衡能力。目前多数厂商都支持STP 协议,但是不允许多个STP 域。采用多个STP 域显然可以获得比单个域高的网络可靠性。DHCP协议 动态主机分配协议(Dynamic Host Configuration Protocol, DHCP)是一个局域网的网络协议,使用UDP协议工作,主要作用:给内部网络或网络服务供应商自动分配IP地址、子网掩码、DNS、网关,减少网络管理员的配置负担。DHCP工作原理:DHCP客户端首次正确登录网络后,以后再登录网络时,只需要广播包含上次分配ip地址的DHCP_
12、request报文即可,不需要再次发送DHCP_discover报文。DHCP服务器收到DHCP_request报文后,如果客户端申请的地址没有被分配,则返回DHCP_ack确认报文,通知该DHCP客户端继续使用原来的ip地址。 如果此ip地址无法再分配给该DHCP客户端使用(例如已分配给其它客户端),DHCP服务器将返回DHCP_nak报文。客户端收到后,重新发DHCP_discover报文请求新的ip地址。DHCP服务器分配给客户端的动态ip地址通常有一定的租借期限,期满后服务器会收回该ip地址。如果DHCP客户端希望继续使用该地址,需要更新ip租约(如延长ip地址租约)。实际使用中,在D
13、HCP客户端启动或ip地址租约期限达到一半时,DHCP客户端会自动向DHCP服务器发送DHCP_request报文,以完成ip租约的更新。如果此ip地址有效,则DHCP服务器回应DHCP_ack报文,通知DHCP客户端已经获得新ip租约。 动态分配指的是:当 DHCP 第一次从 DHCP 服务器端租用到 IP 地址之后,并非永久的使用该地址,只要租约到期,客户端就得释放(release)这个 IP 地址,以给其它工作站使用。当然,客户端可以比其它主机更优先的更新(renew)租约,或是租用其它的 IP 地址。这样在一定的程度上可以减少IP地址的浪费问题。在贵公司的网络运行DHCP我们建议在路由
14、器或其它服务器上附加DHCP功能(这就需要做DHCP转发器),这样可以降低构建成本(如果设置一台DHCP服务器成本太高)。第三章 产品简介6.1 PIX 525防火墙 PIX 525是Cisco的硬件防火墙,硬件防火墙有工作速度快,使用方便等特点。 PIX 525有很多型号,并发连接数是PIX防火墙的重要参数。 Cisco Secure PIX 525防火墙是世界领先的Cisco Secure PIX防火墙系列的组成部分,能够为当今的网络客户提供无与伦比的安全性、可靠性和性能。它所提供的完全防火墙保护以及IP安全(IPsec)虚拟专网(VPN)能力使特别适合于保护企业总部的边 防火墙是网络安全
15、的屏障。 Pix 525防火墙 525防火墙可以禁止诸如众所周知的不安全的NFS协议进出受保护网络,这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。Pix 525防火墙同时可以保护网络免受基于路由的攻击,如IP选项中的源路由攻击和ICMP重定向中的重定向路径。 6.2 Cisco 2800 系列集成多业务路由器 思科系统公司推出了一个全新的集成多业务路由器系列,它进行了专门的优化,可安全、线速地同时提供数据、话音和视频服务,重新定义了最佳大型企业和中小型企业路由。模块化Cisco2800 系列集成多业务路由器. 建立在思科20 年的领先地位及创新技术的基础之上,智能地将数据、安全性和
16、话音服务内嵌于单一永续系统,能快速、可扩展地提供关键任务业务应用。Cisco 2800 系列的独特集成系统架构提供了最高业务灵活性和投资保护。 Cisco 2800 系列由四个新平台组成:Cisco 2801、Cisco 2811、Cisco2821 和Cisco 2851。与相似价位的前几代思科路由器相比,Cisco2800 系列的性能提高了五倍、安全性和话音性能提高了十倍、具有全新内嵌服务选项,且大大提高了插槽性能和密度,同时保持了对目前Cisco 1700 系列和Cisco 2600 系列中现有90 多种模块中大多数模块的支持,从而提供了极大的性能优势。 Cisco 2800 系列能以线
17、速为多条T1/E1/xDSL 连接提供多种高质量并发服务。这些路由器提供了内嵌加密加速和主板话音数字信号处理器(DSP)插槽;入侵保护和防火墙功能;集成化呼叫处理和语音留言;用于多种连接需求的高密度接口;以及充足的性能和插槽密度,以用于未来网络扩展和高级应用。6.3 Cisco Catalyst 3560 系列集成交换机 思科新推出的Cisco Catalyst 3560 系列交换机是一个创新的产品系列,它结合业界领先的易用性和最高的冗余性,里程碑地提升了堆叠式交换机在局域网中的工作效率。这个新的产品系列采用了最新的思科StackWise 技术,不但实现高达32Gbps 的堆叠互联,还从物理上
18、到逻辑上使若干独立交换机在堆叠时集成在一起,便于用户建立一个统一、高度灵活的交换系统-就好像是一整台交换机一样。这代表了堆叠式交换机新的工业技术水平和标准。 中型组织和企业分支机构而言,Cisco Catalyst 3560 系列可以通过提供配置灵活性,支持融合网络模式,已经自动配置智能化网络服务,降低融合应用的部署难度,适应不断变化的业务需求。此外,Cisco Catalyst 3750 系列针对高密度千兆位以太网部署进行了专门的优化,其中包含多种可以满足接入、汇聚或者小型网络骨干网连接需求的交换机。 Cisco Catalyst 3560 系列可以使用标准多层软件镜像(SMI)或者增强多层
19、软件镜像(EMI)。SMI 功能集包括先进的服务质量(QoS)、速率限制、访问控制列表(ACL)和基本的静态和路由信息协议(RIP)路由功能。EMI可以提供一组更加丰富的企业级功能,包括先进的、基于硬件的IP 单播和组播路由。思科StackWise 技术是一种针对千兆位以太网优化的、先进的堆叠架构。该技术的设计目的是及时地对设备添加、移除和重新部署做出反应,同时保持稳定的性能。利用特殊的堆叠互联电缆和堆叠软件,思科StackWise 技术最多可以将9 台单独的Cisco Catalyst 3750 交换机连接到一个统一的逻辑单元中。堆叠相当于一个单一的交换单元,由一个从成员交换机中选出的主交换
20、机管理。主交换机可以自动地创建和升级所有的交换信息和可选的路由表。一个工作中的堆叠可以在不中断服务的情况下,添加新的成员或者移除旧的成员。6.4 Cisco Catalyst 2960 系列集成交换机 Cisco Catalyst 2960 系列智能以太网交换机是一个全新的、固定配置的独立设备系列,提供桌面快速以太网和千兆以太网连接,可为入门级企业、中型市场和分支机构网络提供增强LAN 服务。Catalyst 2960 系列具有集成安全特性,包括网络准入控制(NAC)、高级服务质量(QoS)和永续性,可为网络边缘提供智能服务。凭借Cisco Catalyst 2960 系列提供的广泛安全特性,
21、企业可保护重要信息,防止未授权人员接入网络,确保私密性及维持不间断运行。 思科基于身份的网络服务(IBNS)解决方案提供了身份验证、访问控制和安全策略管理,可保护网络连接和资源。Catalyst 2960 系列中的IBNS 可防止未授权接入,并确保用户只获得其指定权利。它能动态管理网络接入的具体层次。使用802.1x 标准和思科安全访问控制服务器(ACS),无论用户在何处连接到网络中,都可在验证基础上分配到一个VLAN。此设置使IT 部门能在不影响用户移动性的情况下,以最低管理开销实施强大的安全策略。 为防止拒绝服务攻击和其他攻击,可用ACL 根据源和目的地MAC地址、IP 地址或TCP/UD
22、P 端口来拒绝分组,从而限制对网络敏感部分的访问。ACL 查询在硬件中完成,故此在实施基于ACL 的安全性时不会影响转发性能。端口安全性可根据与以太网端口相连的设备的MAC 地址,来限制以太网端口上的访问。它也可用于限制插入一个交换机端口的总设备数目,因此可使交换机免遭MAC 泛洪攻击,降低了恶意无线接入点或集线器接入的风险。 凭借动态主机配置协议(DHCP)监听,可以只允许来自不可信用户端口的DHCP 请求(但不允许响应)进入网络,从而防止DHCP 电子欺骗。此外,DHCP 接口跟踪器(选项82) 特性可为主机IP 地址请求添加交换机端口ID,有助于实现对于IP 地址分配的精确控制。MAC
23、地址通知特性可向管理站发送报警,从而监控网络和跟踪用户,以使网络管理员知道用户何时、从何处进入网络。SSHv2 和SNMPv3对管理和网络管理信息加密,保护网络免遭干扰或窃听。TACACS+或RADIUS 验证实现了交换机的集中访问控制,并限制未授权用户改变配置。此外,可在交换机上配置本地用户名和密码数据库。交换机控制台上的15 个授权级别和Web 管理界面上的2 个级别提供了向不同管理员分配不同配置功能级别的能力。6.5 ISA防火墙ISA是微软公司的产品,全名叫Internet Security and Acceleration,它有标准版、企业版两种。ISA 服务器构建在 Microso
24、ft Windows Serve 2003 和 Windows 2000 Server 等服务器操作系统上。它以其低廉的价格,以及简单的图形化操作在中小型企业有很大的市场占有率。 ISA能够提供安全、快速和可管理的internet连接。ISA server集成了可扩展、多层企业级的防火墙和可伸缩的高性能web缓存系统。构建在windows 2003的安全特性和目录基础上,提供基于策略的安全、加速和管理。每个组织的安全策略和规则都不同。流量和内容格式也会起一定的决定作用,没有一个产品可以完全适应所有的安全和性能需求,因此ISA server在构建的时候充分考虑了可扩展性。 通过快速和高效的访问i
25、nternet内容,可以极大程度上提高您的生产效率。ISA server web缓存通过将web信息保存在本地,在用户需要的时候提供本地服务,可以极大的提高性能,节省网络带宽资源。这样员工可以更快的访问所需要的内容,通过降低额外的internet访问费用改善了性能。6.6 操作系统 针对大中型企业而设计的 Windows Server 2003 企业版是推荐运行某些应用程序的服务器应该使用的操作系统,这些应用程序包括:联网、消息传递、清单和顾客服务系统、数据库、电子商务 Web 站点以及文件和打印服务器。Windows Server 2003 企业版提供高度的可靠性和性能以及优异的商业价值。企
26、业版可在最新硬件上使用,它同时有 32 位版本和 64 位版本,从而保证了最佳的灵活性和可伸缩性。各组织可从优化了的高效结构中获益,这种优化是针对关系到业务的应用程序和服务而进行的。 Windows Server 2003 操作系统利用 Windows 2000 Server 技术中的精华,并且使其更加易于部署、管理和使用。其结果是:实现了一个非常高效的基础架构,使网络成为企业的战略资产。自 2005 年 3 月 28 日起,Windows Server 服务软件包 1 (SP1) 将随全部 Windows Server 2003 操作系统发布。Windows Server 2003 SP1
27、为各个行业的企业客户提供了增强的安全性、可靠性和简化的管理。 Linux是一类Unix计算机操作系统的统称。Linux操作系统的内核的名字也是“Linux”。Linux操作系统也是自由软件和开放源代码发展中最著名的例子。Linux以它的高效性和灵活性著称。它能够在PC计算机上实现全部的Unix特性,具有多任务、多用户的能力。Linux是在GNU公共许可权限下免费获得的,是一个符合POSIX标准的操作系统。Linux操作系统软件包不仅包括完整的Linux操作系统,而且还包括了文本编辑器、高级语言编译器等应用软件。它还包括带有多个窗口管理器的X-Windows图形用户界面,如同我们使用Window
28、s NT一样,允许我们使用窗口、图标和菜单对系统进行操作,但是它稳定性和抗攻击性都强于WINDOWS。6.7 网管软件选择 SDM(Security Device Manager)是Cisco公司提供的全新图形化路由器管理工具。该工具利用WEB界面、Java技术和交互配置向导使得用户无需了解命令行接口(CLI)即可轻松地完成IOS路由器的状态监控、安全审计和功能配置包括:QoS、Easy VPN Server、IPS、DHCP Server、动态路由协议等配置任务也可以利用SDM轻松而快捷地完成。使用SDM可以简化网络管理员的工作量和出错的概率。使用SDM进行管理时,用户到路由器之间使用加密的HTTP连接及SSH v2协议,安全可靠。目前Cisco 的大部分中低端路由器都支持SDM操作。其它的网管软件如CAN、cisco works、ASDM、whatsup等。第四章 设备清单及报价