設(shè)計(jì)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)

1、設(shè)計(jì)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)設(shè)計(jì)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)1、層次化、模塊化網(wǎng)絡(luò)設(shè)計(jì)2、冗余網(wǎng)絡(luò)設(shè)計(jì)3、園區(qū)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)設(shè)計(jì)生成樹和虛擬局域網(wǎng)4、企業(yè)網(wǎng)絡(luò)邊界拓?fù)浣Y(jié)構(gòu)設(shè)計(jì)5、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的安全分而治之分而治之層次化、模塊化網(wǎng)絡(luò)設(shè)計(jì)平面結(jié)構(gòu)與層次化結(jié)構(gòu)平面結(jié)構(gòu)與層次化結(jié)構(gòu)平面結(jié)構(gòu)圖平面結(jié)構(gòu)圖層次化結(jié)構(gòu)圖層次化結(jié)構(gòu)圖一、平面網(wǎng)絡(luò)結(jié)構(gòu)缺點(diǎn)：缺點(diǎn)： 1、廣播數(shù)據(jù)包 2、路由信息的傳播帶來的負(fù)擔(dān)優(yōu)點(diǎn)：優(yōu)點(diǎn)： 適合小的網(wǎng)絡(luò)規(guī)模，易設(shè)計(jì)、實(shí)施、管理、良好可用性 說明： 站點(diǎn)少時(shí)：路由協(xié)議很快的收斂；鏈路失效很快恢復(fù)；站點(diǎn)多時(shí)：環(huán)路相反方向的路由器經(jīng)過很多跳二、層次化結(jié)構(gòu)優(yōu)點(diǎn)：優(yōu)點(diǎn)： 1、降低成本：為每層選購合適的設(shè)備 2、每層進(jìn)行精

2、確的流量規(guī)劃，減少帶寬的浪費(fèi) 3、網(wǎng)絡(luò)管理職責(zé)分布在各層，減少管理成本 4、模塊化使設(shè)計(jì)元素簡化而易于理解。簡化使培訓(xùn)和設(shè)計(jì)的費(fèi)用降低。測試易實(shí)現(xiàn)。故障點(diǎn)易隔離。 5、層次化使網(wǎng)絡(luò)的改變也容易 6、易于擴(kuò)展 7、快速收斂路由選擇協(xié)議都是為層次化設(shè)計(jì)的 怎樣說明你的設(shè)計(jì)很好？反思反思 1、知道如何增加新的大樓、地板、廣域網(wǎng)鏈路、遠(yuǎn)程站點(diǎn)、電子商務(wù)服務(wù)等 2、新增建筑物只對直連設(shè)備發(fā)生本地變化 3、網(wǎng)絡(luò)擴(kuò)大兩三倍而基本結(jié)構(gòu)不變 4、輕松的發(fā)現(xiàn)和處理故障網(wǎng)狀結(jié)構(gòu)與層次化結(jié)構(gòu)網(wǎng)狀結(jié)構(gòu)與層次化結(jié)構(gòu)部分網(wǎng)狀結(jié)構(gòu)圖部分網(wǎng)狀結(jié)構(gòu)圖全網(wǎng)狀結(jié)構(gòu)圖全網(wǎng)狀結(jié)構(gòu)圖三、網(wǎng)狀拓?fù)浣Y(jié)構(gòu) 優(yōu)點(diǎn)：優(yōu)點(diǎn)：可用性極好 缺點(diǎn)：缺點(diǎn)：部

3、署和維護(hù)昂貴；優(yōu)化、故障排查和升級；對路由器的擴(kuò)展性有限制； 部分網(wǎng)狀層次結(jié)構(gòu)圖部分網(wǎng)狀層次結(jié)構(gòu)圖經(jīng)典的三層層次化模型經(jīng)典的三層層次化模型核心思想：在路由和交換實(shí)現(xiàn)流量匯聚和過濾，使網(wǎng)絡(luò)范圍擴(kuò) 大核心層的作用：提供兩個站點(diǎn)間的最優(yōu)傳輸路徑分布層的作用：連接核心層和接入層；安全、分流、過濾、路 由的優(yōu)化和重新分發(fā)接入層的作用：將主機(jī)接入一、核心層的設(shè)計(jì)原則 1、冗余以實(shí)現(xiàn)高可靠性；高性能的設(shè)備提高轉(zhuǎn)發(fā)速度； 2、路由器啟用可提高吞吐量的特性。如避免啟用過濾 3、核心層的范圍應(yīng)被限制，提供可預(yù)測的性能，并且易于故障排查 4、將因特網(wǎng)連接置于核心層 5、分支機(jī)構(gòu)的連接置于核心層二、分布層的設(shè)計(jì)原則

4、1、在核心層路由協(xié)議和接入層路由協(xié)議之間進(jìn)行重新分發(fā)；例：IGRP和EIGRP 2、匯總接入層的路由；很多時(shí)候配置靜態(tài)路由 3、分布層向核心層隱藏接入層的詳細(xì)信息；分布層向接入層提供訪問核心層最近的路由信息三、接入層的設(shè)計(jì)原則 接入層包括：路由器、交換機(jī)、集線器、無線接入點(diǎn) 遠(yuǎn)距離分支機(jī)構(gòu)接入可選擇：ISDN、FR、數(shù)字專線、模擬調(diào)制解調(diào)器層次化網(wǎng)絡(luò)總體設(shè)計(jì)原則： 1、控制網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的范圍，3個層次足夠 2、接入層應(yīng)防止：增加一條鏈接；后門 圖示 3、先設(shè)計(jì)接入層、再是分布層、最后核心層 4、根據(jù)流量和協(xié)議行為來規(guī)劃層與層之間的互連模塊化網(wǎng)絡(luò)設(shè)計(jì)模塊化網(wǎng)絡(luò)設(shè)計(jì)企業(yè)綜合網(wǎng)絡(luò)模型： 1、企業(yè)園區(qū)

5、 2、企業(yè)邊界 3、服務(wù)提供商邊界企業(yè)園區(qū)部分分為： 1、建筑物接入子模塊、建筑物接入子模塊 園區(qū)的大樓內(nèi)，包括最終用戶工作站、連接到交換機(jī)或無線接入點(diǎn)的IP電話。高端交換機(jī)提供上行鏈路。此模塊提供：網(wǎng)絡(luò)接入、廣播控制、協(xié)議過濾和標(biāo)記信息包的QOS特征。 2、建筑物分布子模塊、建筑物分布子模塊 經(jīng)路由器接入到骨干網(wǎng)。提高路由選擇、QOS和訪問控制方法以滿足安全和高性能；在這一模塊提高冗余和負(fù)載分擔(dān) 3、園區(qū)骨干網(wǎng)、園區(qū)骨干網(wǎng) 骨干網(wǎng)將服務(wù)器群組、網(wǎng)絡(luò)管理和邊界分配模塊與建筑物接入和分配子模塊相連。提高冗余、快速收斂的連通性。盡快完成模塊間流量的路由和交換。通常使用高速路由器。保證可用性保證可用

6、性冗余網(wǎng)絡(luò)設(shè)計(jì)冗余網(wǎng)絡(luò)設(shè)計(jì)需要冗余的原因是網(wǎng)絡(luò)中存在單故障點(diǎn)。冗余技術(shù)提供備用連接以繞過那些故障點(diǎn)，冗余技術(shù)還提供安全的方法以防止服務(wù)丟失。但是如果缺乏恰當(dāng)?shù)囊?guī)劃和實(shí)施，冗余的鏈接和連接點(diǎn)會削弱網(wǎng)絡(luò)的層次性和降低網(wǎng)絡(luò)的穩(wěn)定性。單故障點(diǎn)是指其故障能導(dǎo)致隔離用戶和服務(wù)的設(shè)備、設(shè)備上的接口或鏈接。樹型拓?fù)渲写鏄湫屯負(fù)渲写嬖诘膯喂收宵c(diǎn)在的單故障點(diǎn)冗余設(shè)計(jì)的目標(biāo)： （1）鏈路冗余 （2）設(shè)備冗余 （3）路由冗余 1核心層冗余核心層冗余規(guī)劃要綜合考慮下面三個目標(biāo)：（1）減少跳數(shù)；（2）減少可用的路徑數(shù)量；（3）增加核心層可承受的故障數(shù)量；常見的核心層冗余技術(shù)有以下兩種：（1）完全網(wǎng)狀（2）部分網(wǎng)狀結(jié)構(gòu)2分

7、布層冗余 接入層的冗余設(shè)計(jì)并不是必需的，只有企業(yè)用戶才需要。一種常用的做法是使用撥號路由備份，建立兩條效率不等的廣域網(wǎng)通信線路。接入層冗余設(shè)計(jì)并不是捆綁廣域網(wǎng)鏈路，捆綁廣域網(wǎng)鏈路的主要目的是為了提供更高的帶寬。3接入層冗余使用路由器使用路由器AUXAUX備份端口建立一條撥號線路，防止專線故障時(shí)業(yè)務(wù)中斷備份端口建立一條撥號線路，防止專線故障時(shí)業(yè)務(wù)中斷路由器的發(fā)現(xiàn)機(jī)制路由器的發(fā)現(xiàn)機(jī)制1、發(fā)送地址解析協(xié)議發(fā)現(xiàn)遠(yuǎn)程站點(diǎn) 運(yùn)行代理ARP的路由器響應(yīng)ARP請求2、手工和DHCP設(shè)置缺省路由3、工作站中配置靜態(tài)路由或運(yùn)行路由選擇協(xié)議4、路由器發(fā)現(xiàn)協(xié)議RDP 路由器定期廣播ICMP路由器通告數(shù)據(jù)包，工作站監(jiān)聽

8、；工作站也可以發(fā)送請求熱備份路由協(xié)議（HSRP）HSRP使主路由器與備份路由器之間能夠協(xié)同工作。主路由器在發(fā)生故障時(shí)，HSRP自動選擇備份路由器提供路由服務(wù)，切換時(shí)間極短，不會引起IP路由的重新計(jì)算。HSRP協(xié)議利用一個優(yōu)先級方案來決定哪個配置了HSRP協(xié)議的路由器成為默認(rèn)的主動路由器。 如圖所示，PC將數(shù)據(jù)包發(fā)送到設(shè)置的虛擬路由器端口（配置HSRP路由器所共享的虛擬IP地址）192.168.0.254，虛擬路由器這個時(shí)候?qū)嶋H上是主路由器，如果主路由器正常，數(shù)據(jù)被發(fā)送到192.168.0.1接口始終由主路由器處理。 如果主路由器發(fā)生故障，它就不會廣播Hello報(bào)文，HSRP一直在監(jiān)聽這個報(bào)文，

9、一旦它在Hold Time內(nèi)未收到Hello報(bào)文，就認(rèn)為主路由器發(fā)生故障，將虛擬路由器接收到的數(shù)據(jù)包交給備份路由器，發(fā)生主備份路由器切換。但如果主路由器恢復(fù)正常后，它就會重新廣播Hello報(bào)文，由于它發(fā)送的Hello報(bào)文具有最高優(yōu)先級，所以HSRP仍然選擇它來完成路由工作，再次發(fā)生主備份路由器之間的切換。網(wǎng)關(guān)負(fù)載均衡協(xié)議GLBP1、實(shí)現(xiàn)負(fù)載均衡2、多個路由器同時(shí)使用，配置一個虛擬的IP地址和多臺虛擬的MAC地址3、一組路由器選舉一個活動的虛擬網(wǎng)關(guān)AVG，AVG給每個路由器分配一個虛擬的MAC地址。每個路由器叫做活動虛擬轉(zhuǎn)發(fā)器。AVG負(fù)責(zé)對來自虛擬IP地址的ARP響應(yīng)，它將回應(yīng)一個不同的虛擬MA

10、C地址多穴因特網(wǎng)連接企業(yè)企業(yè)企業(yè)企業(yè)企業(yè)企業(yè)ISP 1ISP 1ISP 2ISP 1ISP 1ISP 2企業(yè)企業(yè)選項(xiàng) A選項(xiàng) B選項(xiàng) C選項(xiàng) DParisNYParisNY VPN VPN的具體實(shí)現(xiàn)是采用隧道技術(shù)，在公網(wǎng)中建立企業(yè)之間的具體實(shí)現(xiàn)是采用隧道技術(shù)，在公網(wǎng)中建立企業(yè)之間的鏈接，將用戶的數(shù)據(jù)封裝在隧道中進(jìn)行傳輸。隧道技術(shù)的鏈接，將用戶的數(shù)據(jù)封裝在隧道中進(jìn)行傳輸。隧道技術(shù)與接入方式無關(guān)，它可以支持各種形式的接入，如撥號方與接入方式無關(guān)，它可以支持各種形式的接入，如撥號方式接入、式接入、CABLE ModemCABLE Modem、xDSLxDSL以及以及ISDNISDN、E1E1專線和無

11、線接入專線和無線接入等。等。 隧道可在網(wǎng)絡(luò)的任一層實(shí)現(xiàn)，最常用的是兩層：隧道可在網(wǎng)絡(luò)的任一層實(shí)現(xiàn)，最常用的是兩層：數(shù)據(jù)鏈路層和網(wǎng)絡(luò)層數(shù)據(jù)鏈路層和網(wǎng)絡(luò)層1.1. 數(shù)據(jù)鏈路層隧道：數(shù)據(jù)鏈路層隧道：先把各種網(wǎng)絡(luò)協(xié)議封裝到先把各種網(wǎng)絡(luò)協(xié)議封裝到PPPPPP中，再把整中，再把整個數(shù)據(jù)包裝入隧道協(xié)議中。這種雙層封裝方法形成的數(shù)據(jù)個數(shù)據(jù)包裝入隧道協(xié)議中。這種雙層封裝方法形成的數(shù)據(jù)包靠第二層協(xié)議進(jìn)行傳輸。第二層隧道協(xié)議有包靠第二層協(xié)議進(jìn)行傳輸。第二層隧道協(xié)議有L2FL2F、PPTPPPTP、L2TPL2TP等。等。2.2. 網(wǎng)絡(luò)層隧道：把各種網(wǎng)絡(luò)協(xié)議直接裝入隧道協(xié)議中，形成網(wǎng)絡(luò)層隧道：把各種網(wǎng)絡(luò)協(xié)議直接裝入隧

12、道協(xié)議中，形成的數(shù)據(jù)包依靠第三層協(xié)議進(jìn)行傳輸。第三層隧道協(xié)議有的數(shù)據(jù)包依靠第三層協(xié)議進(jìn)行傳輸。第三層隧道協(xié)議有GREGRE、IPSecIPSec等。等。虛擬專用網(wǎng)的隧道技術(shù)公司內(nèi)公司內(nèi)部網(wǎng)部網(wǎng)撥號連撥號連接接因特網(wǎng)因特網(wǎng)L2 T P 通道通道用于該層的協(xié)議主要有：用于該層的協(xié)議主要有：v L2TP：Lay 2 Tunneling Protocolv PPTP：Point-to-Point Tunneling Protocolv L2F：Lay 2 ForwardingL2 T P 通道通道基于第二層的VPN三層隧道三層隧道VPN：以以IP地址為依據(jù)轉(zhuǎn)發(fā)用戶數(shù)據(jù)包，用戶網(wǎng)絡(luò)地址為依據(jù)轉(zhuǎn)發(fā)用戶數(shù)據(jù)

13、包，用戶網(wǎng)絡(luò)使用專用的使用專用的IP 地址，服務(wù)提供商可參與三層地址，服務(wù)提供商可參與三層的管理。的管理。 GRE : General Routing Encapsulation IPSEC : IP Security Protocol 基于第三層的VPN Internet分支機(jī)構(gòu)VPN網(wǎng)關(guān)AVPN網(wǎng)關(guān)B總部通道只需定義在兩邊的網(wǎng)關(guān)上Gateway 必須支持IPSecGateway 必須支持IPSec數(shù)據(jù)在這一段是認(rèn)證的數(shù)據(jù)在這一段是加密的ISPISP用VPN連接分支機(jī)構(gòu) VPN VPN的應(yīng)用的應(yīng)用Internet業(yè)務(wù)伙伴VPN網(wǎng)關(guān)AVPN網(wǎng)關(guān)B公司A主機(jī)必須支持IPSec主機(jī)必須支持IPSe

14、c通道建立在兩邊的主機(jī)之間，因?yàn)闃I(yè)務(wù)伙伴內(nèi)的主機(jī)不是都可以信任的數(shù)據(jù)在這一段是加密的數(shù)據(jù)在這一段是認(rèn)證的數(shù)據(jù)在這一段是認(rèn)證的數(shù)據(jù)在這一段是加密的數(shù)據(jù)在這一段是認(rèn)證的數(shù)據(jù)在這一段是加密的ISPISP用VPN連接合作伙伴 VPN VPN的應(yīng)用的應(yīng)用Internet公司BISP接入服務(wù)器VPN網(wǎng)關(guān)B主機(jī)必須支持IPSecGateway 必須支持IPSecPSTN數(shù)據(jù)在這一段是加密的數(shù)據(jù)在這一段是認(rèn)證的數(shù)據(jù)在這一段是加密的數(shù)據(jù)在這一段是認(rèn)證的通道建立在移動用戶與公司內(nèi)部網(wǎng)的網(wǎng)關(guān)處用VPN連接遠(yuǎn)程用戶 VPN VPN的應(yīng)用的應(yīng)用1.按功能位置：按功能位置：CPE-based VPN（基于客戶端設(shè)備基于客戶端設(shè)備）Network-based VPN（基于網(wǎng)絡(luò)）（基于網(wǎng)絡(luò)）2.按業(yè)務(wù)構(gòu)成：按業(yè)務(wù)構(gòu)成：Access VPN（遠(yuǎn)程訪問虛擬網(wǎng)）（遠(yuǎn)程訪問虛擬網(wǎng)）Intranet VPN（企業(yè)內(nèi)部虛擬網(wǎng)（企業(yè)內(nèi)部虛擬網(wǎng)）Extranet VPN（企業(yè)擴(kuò)展虛擬網(wǎng)）（企業(yè)擴(kuò)展虛擬網(wǎng)）3.按實(shí)現(xiàn)層次：按實(shí)現(xiàn)層次：三三層