邁普公司網(wǎng)絡(luò)產(chǎn)品培訓(xùn)課件

邁普公司網(wǎng)絡(luò)產(chǎn)品培訓(xùn)（上）邁普通信技術(shù)股份有限公司售前：劉曉鳴

成立時(shí)間：1993年，穩(wěn)健、規(guī)范發(fā)展專業(yè)領(lǐng)域：網(wǎng)絡(luò)綜合解決方案（網(wǎng)絡(luò)互連及網(wǎng)絡(luò)應(yīng)用）產(chǎn)品線：路由、交換、統(tǒng)一通信、網(wǎng)絡(luò)安全、綜合接入經(jīng)營(yíng)環(huán)節(jié)：研發(fā)、生產(chǎn)、銷售、服務(wù)世界上能同時(shí)提供高端路由器和高端交換機(jī)的廠商不超過(guò)15家，中國(guó)自主知識(shí)產(chǎn)權(quán)只有少數(shù)幾家，邁普是其中之一關(guān)于邁普五大產(chǎn)品線|全網(wǎng)解決方案|以IP技術(shù)為核心|自主知識(shí)產(chǎn)權(quán)|超過(guò)600款產(chǎn)品產(chǎn)品線構(gòu)成計(jì)算機(jī)網(wǎng)絡(luò)概述網(wǎng)絡(luò)定義LAN和WAN網(wǎng)絡(luò)拓?fù)溆?jì)算機(jī)網(wǎng)絡(luò)InternetSOHOServerIPHotelIntranet移動(dòng)計(jì)算機(jī)網(wǎng)絡(luò)，就是把分布在不同地理區(qū)域的計(jì)算機(jī)以及專門(mén)的外部設(shè)備利用通信線路互連成一個(gè)規(guī)模大、功能強(qiáng)的網(wǎng)絡(luò)系統(tǒng)，從而使眾多的計(jì)算機(jī)可以方便地互相傳遞信息，共享信息資源。HostAHostBAPDUPPDUSPDUSegmentPacketFrameBit應(yīng)用層表示層會(huì)話層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層應(yīng)用層表示層會(huì)話層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層網(wǎng)絡(luò)協(xié)議是網(wǎng)絡(luò)設(shè)備之間通信規(guī)則的正式描述。通信協(xié)議SourceHostADestinationHostBOSI七層參考模型LAN定義LAN定義：也叫做局域網(wǎng)，是將小區(qū)域內(nèi)的各種通信設(shè)備互連在一起所形成的網(wǎng)絡(luò)，覆蓋范圍一般局限在房間、大樓或園區(qū)內(nèi)。特點(diǎn)：距離短、延遲小、數(shù)據(jù)速率高、傳輸可靠。標(biāo)準(zhǔn)（standard）：描述了協(xié)議的規(guī)定，設(shè)定了最簡(jiǎn)的性能集。LAN常用設(shè)備LAN的設(shè)計(jì)目標(biāo)：運(yùn)行在有限的地理區(qū)域允許網(wǎng)絡(luò)設(shè)備同時(shí)訪問(wèn)高帶寬的介質(zhì)；通過(guò)局部管理控制網(wǎng)絡(luò)的權(quán)限；提供全時(shí)的局部服務(wù)；連接物理上相鄰的設(shè)備。HUB交換機(jī)路由器運(yùn)營(yíng)商常見(jiàn)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)拓?fù)浣Y(jié)構(gòu)：總線型、星型、樹(shù)型環(huán)型、網(wǎng)型IP地址編址和路由應(yīng)用層表示層會(huì)話層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層網(wǎng)絡(luò)地址主機(jī)地址10.8.2.48IP地址IP地址格式路由協(xié)議路由協(xié)議路由協(xié)議：靜態(tài)路由、RIP、OSPF、BGP等N2N1N1.H1N1.H2N2.H1網(wǎng)絡(luò)傳輸過(guò)程網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層表示層會(huì)話層傳輸層應(yīng)用層ABCDERouterARouterBRouterC目錄計(jì)算機(jī)網(wǎng)絡(luò)概述網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)與設(shè)備選型常見(jiàn)網(wǎng)絡(luò)設(shè)備簡(jiǎn)介接入層工作組接入及訪問(wèn)控制層次化網(wǎng)絡(luò)設(shè)計(jì)層次化網(wǎng)絡(luò)設(shè)計(jì)思想

在互聯(lián)網(wǎng)組件的通信中引入了三個(gè)關(guān)鍵層的概念，這三個(gè)層次分別是：核心層（CoreLayer）、匯聚層（DistributionLayer）和接入層（AccessLayer）。核心層為網(wǎng)絡(luò)提供了骨干組件或高速交換組件。在純粹的分層設(shè)計(jì)中，核心層只完成數(shù)據(jù)交換的特殊任務(wù)。匯聚層是核心層和終端用戶接入層的分界面。匯聚層網(wǎng)絡(luò)組件完成了數(shù)據(jù)包處理、過(guò)濾、尋址、策略增強(qiáng)和其他數(shù)據(jù)處理的任務(wù)。接入層使終端用戶能夠接入網(wǎng)絡(luò)。同時(shí)優(yōu)先級(jí)設(shè)定和帶寬交換等優(yōu)化網(wǎng)絡(luò)資源的設(shè)置也在接入層完成。匯聚層路由聚合及流量收斂核心層高速數(shù)據(jù)轉(zhuǎn)發(fā)核心層匯聚層接入層交換交換交換1000Mbps1000Mbps100Mbps100Mbps基于交換的層次結(jié)構(gòu)示例接入層設(shè)備選型接入層設(shè)備需支持的功能二層數(shù)據(jù)的快速交換支持多用戶的接入能夠提供和匯聚層設(shè)備連接的高帶寬鏈路支持ACL和端口安全功能，保證用戶的安全接入支持網(wǎng)絡(luò)遠(yuǎn)程管理，支持SNMP協(xié)議典型設(shè)備二層交換機(jī)例：S3100、S3200匯聚層功能網(wǎng)絡(luò)的匯聚層是網(wǎng)絡(luò)的接入層和核心層之間的分界點(diǎn)，用于把大量接入層的路徑進(jìn)行匯聚和集中，并連接至核心層。

匯聚層接入層核心層功能核心層是網(wǎng)絡(luò)的高速交換主干，對(duì)協(xié)調(diào)通信至關(guān)重要。核心層為網(wǎng)絡(luò)提供了骨干組件或高速交換組件。在純粹的分層設(shè)計(jì)中，核心層只完成數(shù)據(jù)交換的特殊任務(wù)。核心層特點(diǎn)提供高可靠性提供冗余鏈路提供故障隔離迅速適應(yīng)升級(jí)提供較少的延時(shí)和良好的可管理性核心層匯聚層核心層設(shè)備選型核心設(shè)備需支持功能數(shù)據(jù)的高速交換高穩(wěn)定性，保證設(shè)備的正常運(yùn)行和管理路由功能支持提供數(shù)據(jù)負(fù)載均衡和自動(dòng)冗余鏈路典型設(shè)備核心路由交換機(jī)S6600、S6800、S8900、S11800接入層MP1800MP2800MP2824匯聚層MP7508MP3840MP2824核心層MP8800MP7500EMP7508路由器分層選擇邁普設(shè)備案例分析——某項(xiàng)目建設(shè)拓?fù)渎酚善鳌糜诰W(wǎng)絡(luò)互連的計(jì)算機(jī)設(shè)備，必須具備：路由器路由器多個(gè)三層接口連接不同的網(wǎng)絡(luò)協(xié)議至少向上實(shí)現(xiàn)到網(wǎng)絡(luò)層具有存儲(chǔ)、轉(zhuǎn)發(fā)、尋徑功能常見(jiàn)網(wǎng)絡(luò)設(shè)備—路由器IPETHPPP以太口串口IPETHPPP以太口串口路由器路由器WANLAN1LAN2拆包協(xié)議封裝路由選擇協(xié)議轉(zhuǎn)換發(fā)送傳送接收工作過(guò)程路由器架構(gòu)網(wǎng)絡(luò)接口網(wǎng)絡(luò)接口CPU網(wǎng)絡(luò)接口CPU網(wǎng)絡(luò)接口網(wǎng)絡(luò)接口CPU接口CPU接口CPU接口CPU接口ASIC交換網(wǎng)接口ASICASIC接口ASIC接口CPU接口NP交換網(wǎng)接口NPNP接口NP接口CPU基于多核/NP的交換式路由器基于ASIC的交換式路由器基于分布式CPU轉(zhuǎn)發(fā)總線式路由器模塊化集中轉(zhuǎn)發(fā)路由器固定接口集中轉(zhuǎn)發(fā)路由器網(wǎng)絡(luò)接口CPU常見(jiàn)網(wǎng)絡(luò)設(shè)備—路由器核心路由器匯聚路由器接入路由器MP1800-20MP7500MP8800MP3840MP2824MP1800/2800異種網(wǎng)絡(luò)互連MP8800隔離廣播，指定訪問(wèn)規(guī)則路由（尋徑）：路由表建立、刷新交換：在網(wǎng)絡(luò)之間轉(zhuǎn)發(fā)分組數(shù)據(jù)異種網(wǎng)絡(luò)互連子網(wǎng)間的速率匹配路由器的核心作用：是實(shí)現(xiàn)網(wǎng)絡(luò)互連，數(shù)據(jù)轉(zhuǎn)發(fā)ASIC--ApplicationSpecificIntegratedCircuitL2FDB—Layer2forwardingdatabase常見(jiàn)網(wǎng)絡(luò)設(shè)備—交換機(jī)通過(guò)識(shí)別MAC進(jìn)行，硬件數(shù)據(jù)轉(zhuǎn)發(fā)SwitchABCD常見(jiàn)網(wǎng)絡(luò)設(shè)備—交換機(jī)二層網(wǎng)絡(luò)問(wèn)題廣播泛濫，網(wǎng)絡(luò)性能差網(wǎng)絡(luò)安全性差解決方法在二層交換機(jī)上引入VLAN功能三層交換機(jī)的誕生新興園區(qū)網(wǎng)流量模式:傳統(tǒng)的路由器在新興20/80流量規(guī)則面前顯的無(wú)能為力：解決辦法：使用三層交換機(jī)來(lái)替代路由器ETH0:10.153.0.254/24ETH1:10.153.1.254/24ETH2:10.153.2.254/2410.153.0.113/24G:10.153.0.254/2410.153.1.8/24G:10.153.1.254/2410.153.1.11/24G:10.153.1.254/2410.153.2.22/24G:10.153.2.254/24VLANSwitchLayer3Switch三層交換機(jī)功能模型三層交換引擎三層交換機(jī)基本特征三層交換機(jī)與傳統(tǒng)路由器具有相同的功能：根據(jù)IP地址進(jìn)行選路進(jìn)行三層的校驗(yàn)和使用生存時(shí)間（TTL）對(duì)路由表進(jìn)行更新和維護(hù)二者最大的區(qū)別三層交換采用ASIC硬件進(jìn)行包轉(zhuǎn)發(fā)而傳統(tǒng)路由器采用CPU進(jìn)行包轉(zhuǎn)發(fā)相比于傳統(tǒng)路由器三層交換具有以下優(yōu)點(diǎn)：基于硬件的包轉(zhuǎn)發(fā)，轉(zhuǎn)發(fā)效率高低時(shí)延低花費(fèi)三層交換機(jī)實(shí)質(zhì)就是一種特殊的路由器，有很強(qiáng)交換能力，但只能支持以太網(wǎng)口。路由器和三層交換機(jī)比較實(shí)際上三層交換機(jī)和路由器在高端上其技術(shù)是融合的。項(xiàng)目路由器三層交換機(jī)端口類型非常豐富，幾乎可以支持所有通信端口比較單一，主要支持以太網(wǎng)，在骨干級(jí)設(shè)備上才會(huì)支持POS和ATM轉(zhuǎn)發(fā)實(shí)現(xiàn)途徑主要以CPU加軟件實(shí)現(xiàn)為主。由硬件ASIC實(shí)現(xiàn)轉(zhuǎn)發(fā)路由算法最長(zhǎng)匹配第一包路由，以后做精確匹配或者最長(zhǎng)匹配包轉(zhuǎn)發(fā)率低高成本高低二層交換不支持支持三層接口和物理接口對(duì)應(yīng)關(guān)系一一對(duì)應(yīng)一個(gè)VLAN三層接口可以包含多個(gè)物理接口常見(jiàn)網(wǎng)絡(luò)設(shè)備—交換機(jī)核心交換機(jī)匯聚交換機(jī)接入交換機(jī)S6800S6600S4200S4100S4300S4000S3000S3100S3200S3300S8900防火墻的定義：是在兩個(gè)網(wǎng)絡(luò)之間執(zhí)行訪問(wèn)控制策略的一組硬件和軟件系統(tǒng)，其目的是保護(hù)本地網(wǎng)絡(luò)的通信安全。防火墻的保護(hù)功能：防火墻對(duì)內(nèi)部網(wǎng)絡(luò)的保護(hù)是雙向的。從入的方向上，它阻止外面網(wǎng)絡(luò)對(duì)本地網(wǎng)絡(luò)的非法訪問(wèn)和入侵；從出的方向上，它控制本地網(wǎng)絡(luò)對(duì)外部不良網(wǎng)絡(luò)進(jìn)行訪問(wèn)或者是未經(jīng)允許的數(shù)據(jù)輸出，防止內(nèi)部信息的泄露。DMZ區(qū)Trust可信區(qū)域防火墻InternetUntrust不可信區(qū)域企業(yè)內(nèi)部需要保護(hù)的區(qū)域企業(yè)對(duì)外提供服務(wù)功能屬于緩沖區(qū)外網(wǎng)，默認(rèn)是不安全的對(duì)外服務(wù)器常見(jiàn)網(wǎng)絡(luò)設(shè)備—防火墻防火墻主要是讓網(wǎng)絡(luò)“斷”，默認(rèn)所有數(shù)據(jù)都丟棄，只有合法的數(shù)據(jù)才能通過(guò)。主要分為以下3種類型防火墻：包過(guò)濾防火墻：根據(jù)一組規(guī)則允許/阻塞一些數(shù)據(jù)包。應(yīng)用代理型防火墻：作為應(yīng)用層代理服務(wù)器，提供安全防護(hù)。狀態(tài)檢測(cè)型防火墻：比包過(guò)濾防火墻具有更高的智能和安全性，會(huì)話成功建立連接以后記錄狀態(tài)信息并時(shí)時(shí)更新，所有會(huì)話數(shù)據(jù)都要與狀態(tài)表信息相匹配；否則會(huì)話被阻斷。狀態(tài)檢測(cè)技術(shù)現(xiàn)代防火墻基本為3種類型防火墻的綜合體，即采用狀態(tài)檢測(cè)型包過(guò)濾技術(shù)，同時(shí)提供透明應(yīng)用代理功能。常見(jiàn)網(wǎng)絡(luò)設(shè)備—IDS常見(jiàn)網(wǎng)絡(luò)設(shè)備—IPS包頭內(nèi)部網(wǎng)絡(luò)DPtechIPS防火墻協(xié)議數(shù)據(jù)內(nèi)容InternetIPS定義：IntrusionPreventionSystem，入侵防御系統(tǒng)IPS的兩個(gè)關(guān)鍵特征：深入七層的數(shù)據(jù)流攻擊特征檢測(cè)在線部署，實(shí)時(shí)阻斷攻擊服務(wù)器防火墻IDS報(bào)警

!!!發(fā)送TCP

RST指令，終止TCP連接

to

重新配置防火墻，使其能阻擋來(lái)自攻擊地址的流量只有在線內(nèi)對(duì)流量進(jìn)行處理，才能真正阻擋出現(xiàn)在網(wǎng)絡(luò)上出現(xiàn)的攻擊IPS的優(yōu)勢(shì)防火墻與IDS聯(lián)動(dòng)無(wú)法實(shí)現(xiàn)整個(gè)操作要花100毫秒的時(shí)間，這對(duì)現(xiàn)代微秒級(jí)的網(wǎng)絡(luò)來(lái)說(shuō)是一個(gè)巨大的延時(shí)事后防御，不能阻擋單包攻擊IPS能在一個(gè)攻擊發(fā)生危害之前，對(duì)其實(shí)施阻擋根據(jù)每個(gè)數(shù)據(jù)包，作出允許還是拒絕的決定，不需要與防火墻聯(lián)動(dòng)服務(wù)器防火墻線內(nèi)操作，只要檢測(cè)到攻