精华内容
下载资源
问答
  • 一转眼从听华为3Com的路由交换课程到现在已经13年有余了,依稀记得第一节课的时候我带着老婆去听的课(老婆是日语系的,那时还是女朋友,并不懂网络,只是跟着我去上课的),抢了个头排,讲师宋岩老师提问了一个问题:...
    一转眼从听华为3Com的路由交换课程到现在已经13年有余了,依稀记得第一节课的时候我带着老婆去听的课(老婆是日语系的,那时还是女朋友,并不懂网络,只是跟着我去上课的),抢了个头排,讲师宋岩老师提问了一个问题:“为什么要学习网络?”然后看没人回答就要点名,可能是宋老师对漂亮的女生感兴趣吧,直接点名了我老婆...然后就尴尬了,不过没想到老婆回答的还真不错。自那以后,我也就开始了对网络的兴趣,对网络设备的兴趣,路由和交换这门课总体学的还不错。不过,后来我成了程序员,也就没有机会去触摸那些设备了,也算是遗憾。
            我深深知道程序员和网管之间有个鸿沟,但我就是无法填掉它,有时这道鸿沟就在我自己的心里。如今,我依然是个程序员,以往我一向喜欢说自己是比较懂网络但是编程编的不好的程序员,以此展示一下我心中的那道鸿沟,SDN的时代来临,软件定义网络,那道鸿沟可以填补了,网络不再是网管的专利,而是程序员编码的一个程序。

            在《网络虚拟化(SDN,NFV..)和企业骨干网的演化》一文中,我的观点比较原始且传统,我描述的企业骨干网是一个AS,通过IGP互联,比如OSPF,这显得企业骨干就是一个IP骨干网。但是,事实上真有这个必要在企业网部署IGP吗?我们看一下企业骨干网的典型结构:



    企业骨干网特别是互联网公司的骨干网其实更大意义上是一个数据网而不是一个通信网。它的目的是数据的调度,而不是让不同的节点互联互通,这是企业骨干网与运营商骨干网的很重要的区别。
            基于这个区别,我们便可以优化企业网的路由系统了。
            仔细观察企业网的层级结构,就会发现它是一个基于胖树的典型CLOS交换结构,之所以可以规划成这种规则的结构,源自于以下的事实:
    1.企业网互联的节点一般都是数据中心而不是接入点,而数据本来就是分层的;
    2.企业的数据中心可以自己规划的,节点固定,稳定。
    所以说,完全没必要在这些数据中心之间运行OSPF这类路由协议,而应该将企业网做成真正交换型的网络。
            我来给出一个拍脑袋想出来的简单的”交换协议“来替代复杂的IGP路由协议为企业骨干网打通脉络,在给出这个协议之前,我得先来解释一下路由和交换的区别。在我这里,路由指的是需要复杂计算的寻路过程,主要包括两方面的计算开销,一方面是动态路由协议的计算开销(如果你是静态配置的路由,那么这部分开销由你的脑力替代),另一方面是为数据包查找路由表的开销,这部分计算主要消耗在最长前缀匹配中。现在看看什么是交换,交换在我这里指的是一个转发动作,这个动作的计算开销必须尽可能的小,比如只需要固定几步这种,像CPU的MMU执行的那种转换操作那样,所以交换应该非常容易用硬件实现,在交换网络中,数据的转发动作开销是极小且固定的,基本不需要进行运算,而这些固定的步骤是如何做到数据的正确转发的呢?交换机怎么知道数据包该转往那个端口呢?转发信息来源于两种机制,一种机制是交换机自己学习,另外一种是依靠路由表来生成。
            如果转发交换表是路由表生成的,那么这种设备可以看作是高端路由器,交换表便可视为路由表项的Cache,依照这种方式设计出来的硬件早就不知道跑了多少年了,不管是路由Cache,还是那种类似Cisco CEF机制,背后的原则都是一次路由,多次转发,只不过CEF的转发表是主动生成的,而不是等到数据包到达的时候才生成的。所以说,这种方式实乃一种传统的方式。
            如果转发交换表是自己学习生成的,那么这种设备在常识上就是真正的交换机。比如以太网交换机,靠MAC/Port映射表来转发数据,比如MPLS交换机,靠标签/Port映射表来转发数据,不管哪种交换机,其映射表都是学习获得的,比如以太网交换机有从帧头学习MAC/Port映射的能力,而MPLS交换机则可以通过标签交换协议来生成映射。此外还有更多的交换机,比如ATM交换机,也是有自己的虚电路协议的,已经快被淘汰了,故不多谈。
            我前面说过,要把数据中心连成一个交换网络而不是一个IP路由网络,那么使用那种交换机呢?是以太网交换机,还是MPLS交换机呢?其实,数据中心完全可以承载在一张MPLS网上,那简直比IP网要好太多,不过要是那样,也就没有本文了。本文的意思是,自己设计一种交换机,不需要任何现有的协议交换机!
            这怎么可能?如果在十几年前,这种思路也只能停留在大学或者Cisco,华为之类设备商的实验室里,然而在SDN时代,出现了叫做裸交换机和白牌交换机的东西,这些交换机说白了就是可以任意编程。这样任何公司都可以自研定制的交换机了!自研交换机可以更贴合自己的网络,可谓是高端定制。SDN时代是彻底结束了厂商垄断的时代,SDN将网络开放给了程序员,CCIE将不再牛逼!
            开始我的协议。
            首先介绍一下网络中每一台设备里的转发表是什么样子:




    这个转发规则非常简单,就是一个位图,按照从上到下,从左到右的顺序去匹配第一个bit为1的索引值,那就是要转发出去的端口,这个很容易用硬件实现,顺便说一下,这个跟Linux 2.6内核的O(1)进程调度器非常像。至于说链路负载均衡,那也不难,直接在位图的同一行选择多个链路即可。
            之所以可以构建这个位图,就是因为全交叉连线的胖树在每一个节点都有三个走向:
    往树叶方向:如果目标端口位于源端口的一个方向,那么这就是最近的路径,当然是首选;
    往平行方向:不同目标ToR的最优选择或者树叶方向不可达时的次优选择;
    往树根方向:树叶方向,平行方向均无路可走时的默认选择,类似默认路由。
    那么下一个问题,这个转发交换表是怎么生成的呢?
            首先,我们要定义边缘设备,在这种设备上,源IP地址和目标IP地址被转换成源端口和目标端口,这样在数据包进入这个网络后,就可以用端口来交换了,这就避开了用最长前缀匹配计算的开销,完全用端口这个确定的一维数据来作为交换的依据,这个思路和MPLS是一致的,和MPLS不同的是,我这里的网络拓扑是确定的CLOS结构,这就让内部的交换结构更加简单,每个节点的三个固定走向分属三个不同的优先级意义也正在此。IP地址和端口之间的映射方式有很多种,我首选的是HASH映射,这样比较简单并且高效。
            下面说下节点的端口学习,最简单的方法往往是最高效的方法。在网络初启的时候,从每一个边缘设备发起以自己的端口ID为内容的Flood,每一个Flood数据包传遍全网,这样所有的设备就可以学习到特定端口的方向信息,这个和以太网交换机是一致的。不同的是,以太网交换机是带内学习的,以太网本身就是一个广播网络,查询映射表项失败的情况下可以用广播来发送数据,而我这里的协议交换机则是带外学习的,因为我的目的是在数据传输之前就构建好每一台设备的交换表,旨在快速转发。

            最后一个问题,这个交换网络该怎么维护呢?如果有一条线缆断掉了,或者一台设备宕机了,如何通知其它设备更新转发交换表呢?这就需要一个新的协议。非常简单,仅仅需要往上游和平行两个方向传播链路状态变更即可,不需要向叶子节点传播,因为向上游转发总是最后的不得已的选择。为什么可以如此简单?因为这是一棵棵树组合而成的胖树CLOS结构! 认识到这个特征,很多设计都可以非常简单。
            理解了转发交换表是怎么生成的,最终的效果应该是下面这样:




    我这个自研交换协议确实是拍脑袋的产物,由于我个人并非做这一块业务的,仅仅是兴趣使然,不然也不会占周末的时间去搞这么一个可能永远也用不起来的东西。
            之前像腾讯这种巨头企业也设计过这种自研的协议,比如下面连接里介绍的SRP:腾讯-SRP。然后,在弯曲评论上被喷了,在别的地方感兴趣的也不多,只是在某本吹水的SDN书籍上提到过。其实,在厂商垄断的时代,再牛逼的互联网企业也只能停留在做业务编程的水准,评论里说腾讯做网络外行,我想在厂商垄断的年代,确实很外行,真正的内行只有Cisco,华为做核心交换的那帮人,再牛逼的编程者面对真正网络技术而言,都是外行。我自己在2013年的时候,也说过腾讯的网络技术就是堆概念,拿着一大堆新的网络技术胡来。比如业内推出了SDN,赶紧就部署,Cisco的协议在腾讯的机房都能看到,里面的人也能把这些概念背得滚瓜烂熟,但是做出来的网络真真就是四不像,表面上看牛逼的样子,其实就是拿名词吓人的。以我现在的观念来看,当时确实苛求腾讯这种非网络厂商了,只要不是网络厂商的人,谁都做不好,别说腾讯,换家美国的互联网公司也一样,要想做好网络,好办,买Cisco或者华为的方案即可,然后他们派个工程队帮你实现了,全程不用你插手。知道网管多牛逼了吧,我常常搞不懂为什么网吧的小混混网管怎么可以这么牛逼哄哄,难道因为他们是混混吗?后来见了外资银行那些不纹身但穿西装的网管也同样牛逼哄哄的时候,我才明白,原来人家玩的是垄断,我能碰的东西,你们不能碰。
            上学时老师就讲过,网络切分为资源子网和通信子网,互联网公司的技术局限在资源子网,而通信子网几乎垄断在设备厂商的手中,他们就像网吧纹身的小混混网管一样,屌的很。在互联网公司看来,所谓的网络技术就是TCP,如果提到路由和交换,他们是不屑的,互联网公司想当然地认为TCP能解决一切问题,如果说再深入一些,无奈很吃力地在IP协议上做点文章,搞搞网卡驱动,至于说数据出了网卡,他们真真的没辙...我想我看到了程序员和网管之间分歧的本质了。
            回到腾讯的SRP,从技术上评价它,其最大的败笔就是明明已经触到了交换核心概念的边缘,却又回到了路由!搞那么复杂但高效的交换矩阵,到头来就是为了设置路由!注意,是路由啊。已经触碰到了成功的边缘却还是没能突破边界,所以遗憾。路由仅仅是概念并非标准,否则,MPLS就不会被发明出来了。我们在乎的是找一个出口把数据包发出去,而这件事为什么非得靠路由来做呢?更何况,设备的控制权已经不在厂商手里了,已经完全交给了程序员。人家都是那路由表生成交换表,腾讯的SRP却反其道而行,设计出一个还不错的链路状态更新协议却只是为了生成路由表...
            从弯曲评论里的那个PDF中搞出一个SRP的结构图:




    这实际上并不能算是一个路由协议,而是一种链路负载的协议,我之前设计过一个链路上的VRRP协议,详见《LVrrp的设计过程-基于链路的vrrp》,我觉得SRP和这个LVRRP比较类似,LVRRP依赖底层的VRRP,而SRP依赖底层的静态路由,都是在现有的底层上铺设了一个控制平面而已。当然,以腾讯公司的人力和财力,在细节上肯定会设计的比较缜密,但我的意思是说,从内部看,SRP确实比较精细缜密,从外部往里看,确实做的外行了。
            来看看我本文里设计的协议,姑且叫它DCIP(DCI Protocol)协议吧,其根本意义在重新映射了数据平面,实际上就是一种Overlay,它的图示如下:




    这么看来,DCIP本身就是一个数据平面的交换协议,而SRP则只是一个控制平面协议。两者结合会不会更好呢?
            能如此设计DCIP有个前提,那就是交换机是裸交换机或者白牌交换机。顺便说一下,就是因为有了这种交换机,才会有越来越多的厂商声称自己的交换机是自研交换机,当然,自研的水平参差不齐,毕竟现在网络技术研发才刚刚开放,以后所有公司的自研设备水平都会提高的,就跟业务编程一样简单。
    ...
    以前我们听说过一般企业网会部署OSPF,而ISP会部署IS-IS,以后,在设备的控制权掌握在自己手中之后,越来越多的企业网将会自研交换协议,而不再使用标准的路由协议,迫于这种客户将脱缰的压力,设备厂商不得已而为之,也陆续将设备的编程接口逐步开放,比如推出I2RS标准,让客户可以折腾自己已经购买的设备,这样鉴于大厂商的口碑,客户依然会购买大厂的设备而不会流失掉。

            曾经,网络技术水平取决于你花钱的水平,花钱干什么呢?花钱来培训,考证,学习配置命令,学习Cisco之类公司的私有协议,由于钱是最硬的门槛,所以网络专家一般都是精英。现在呢,网络技术水平完全取决于你的编程水平,买来裸机,编写程序,你就有了自研的协议...知道谁是精英了吗?程序员!

            Google公司是SDN持续进化的推动力之一,它本身作为一家互联网公司并不生产网络设备,但是它遍布全球的服务器却需要强大的网络技术支撑,所以自研肯定是最经济的选择,在SDN还是纸面概念的时候,Google就率先拿B4作为其试验田,让SDN成为了现实,紧随其后,各大互联网公司均开始引入SDN的思想...

    ... 明天有时间且有新内容的话再继续

    声明:本文中的DCIP协议,只是今早跑步时拍脑袋的产物,但是这并不妨碍我今后会完善它,精细化它。

    展开全文
  • 企业网络设计

    千次阅读 多人点赞 2019-11-26 20:13:57
    企业网络设计 一、客户需求: 1.实现NAT地址专网,达到内网可以访问外网 2.公司内部的文件服务器和数据库服务器只允许内网的用户和出差的员工通过VPN进行访问 3.本单位的WWW网站服务器(如Server3)允许外网的主机...

    企业网络设计

    一、客户需求:
    1.实现NAT地址专网,达到内网可以访问外网
    2.公司内部的文件服务器和数据库服务器只允许内网的用户和出差的员工通过VPN进行访问
    3.本单位的WWW网站服务器(如Server3)允许外网的主机访问
    4.分部可以访问总部资源
    5.实现总部内全网互通
    6.具体拓展功能见解决方案中
    7.实现安全防护
    二、网络拓补图

    图一:万达国际集团网络总拓扑图
    图一:万达国际集团网络总拓扑图

    图二:局域网拓补
    在这里插入图片描述
    三、设备清单
    华为AR201路由器4台
    华为交换机9台
    PC机若干至少500台
    服务器若干至少3台
    华为防火墙USG6000V一台
    在这里插入图片描述
    图三:华为AR路由器参数
    在这里插入图片描述
    图四:华为交换机参数
    在这里插入图片描述
    图五:深信服NGAF参数
    表格一:报价总表
    在这里插入图片描述
    四、IP地址规划
    根据网络供应商分配的地址193.60.30.128/25可以将分配的地址建立一个地址池,当需要上网时,路由器会自动从地址池分配一个地址给用户进行外网访问。
    项目部有100人,人事部100人,销售部200人,策划部20人,财务部20人,技术部50人,上海分部100人,杭州分部100人。
    上海、杭州分部内部也是使用私有ip进行通信,通过NAT实现访问外网。
    表二:IP规划
    在这里插入图片描述
    五、方案设计:
    1.在出口使用一台路由器连接网络提供商,实现内网和外网互通
    在路由器上配置NAT实现内网和外网互通
    网络供应商可以选择两家以上,原因就是防止一家网络供应出问题,可以切换到另外一家供应商,保证业务的连续性。
    总部内部使用OSPF进行全网互通
    OSPF介绍:OSPF(下称“协议”或“本协议”)仅在单一自治系统内部路由网际协议(IP)数据包,因此被分类为内部网关协议。该协议从所有可用的路由器中搜集链路状态(Link-state)信息从而构建该网络的拓扑图,由此决定提交给网际层(Internet Layer)的路由表,最终路由器依据在网际 协议数据包中发现的目的IP地址,结合路由表作出转发决策。OSPF原生支持VLSM与CIDR。
    本协议使用Dijkstra算法计算出到达每一网络的最短路径,并在检测链路的变化情况(如链路失效)时执行该算法快速收敛到新的无环路拓扑。
    本协议可以通过调整路由界面的开销值来管控数据包的流向(也就是说,OSPF通过开销值来落实管理员所制定的路由策略)。开销值是RTT、链路吞吐量、链路可用(可靠)性等衡量因素的无量纲整数表达。

    将防火墙和AR2、LSW2所在的区域规划为OSPF主干区域
    交换机LSW3、LSW4配置成三层交换机规划为OSPF区域1
    2.VLAN介绍:
    VLAN相当于OSI参考模型的第二层的广播域,能够将广播风暴控制在一个VLAN内部,划分VLAN后,由于广播域的缩小,网络中广播包消耗带宽所占的比例大大降低,网络的性能得到显著的提高。不同的VLAN之间的数据传输是通过第三层(网络层)的路由来实现的,因此使用VLAN技术,结合数据链路层和网络层的交换设备可搭建安全可靠的网络。网络管理员通过控制交换机的每一个端口来控制网络用户对网络资源的访问,同时VLAN和第三层第四层的交换结合使用能够为网络提供较好的安全措施。
    部门之间通信以及VLAN规划
    项目部:VLAN10
    人事部:VLAN20
    销售部:VLAN30
    策划部:VLAN40
    财务部:VLAN50
    技术部:VLAN60
    VLAN之间通信:
    在交换机LSW3、LSW4下行接口与二层交换机相连的的接口配置接口类型TRunk接口,并且允许VLAN10——60通过。
    图六:VLAN规划流程
    在这里插入图片描述
    3.内部PC机的Ip配置
    通过DHCP进行动态分配地址
    DHCP介绍:
    DHCP(Dynamic Host Configuration Protocol,动态主机配置协议)通常被应用在大型的局域网络环境中,主要作用是集中的管理、分配IP地址,使网络环境中的主机动态的获得IP地址、Gateway地址、DNS服务器地址等信息,并能够提升地址的使用率。
    DHCP协议采用客户端/服务器模型,主机地址的动态分配任务由网络主机驱动。当DHCP服务器接收到来自网络主机申请地址的信息时,才会向网络主机发送相关的地址配置等信息,以实现网络主机地址信息的动态配置。DHCP具有以下功能:

    1. 保证任何IP地址在同一时刻只能由一台DHCP客户机所使用。
    2. DHCP应当可以给用户分配永久固定的IP地址。
    3. DHCP应当可以同用其他方法获得IP地址的主机共存(如手工配置IP地址的主机)。
    4. DHCP服务器应当向现有的BOOTP客户端提供服务。
      实现方法:在LSW2、LSW3进行配置,创建一个IP地址池,实现Ip地址的动态分配。

    4.交换机链路聚合
    为了保证网络的可靠性,我们在交换机LSW2和LWS3中实现链路聚合,并且配置主备链路,配置两条线路为主链路一条链路为主链路,并且配置主交换机和备用交换机,这样做是为了防止一台交换机出现问题不至于造成网络的瘫痪,保证业务的连续性与网络的可靠性。
    5.分部网络与总部网络之间的连通实现
    在分部的出口路由器和总部的入口路由器上使用PPP协议,使用广域网接口,并且配置CHAP——MD5认证,在验证成功后可以实现分部可以访问总部资源。
    PPP协议介绍: PPP协议是一种点——点串行通信协议。PPP具有处理错误检测、支持多个协议、允许在连接时刻协商IP地址、允许身份认证等功能,还有其他。PPP提供了3类功能:成帧;链路控制协议LCP;网络控制协议NCP。PPP是面向字符类型的协议。
    PPP协议的验证分为两种:一种是PAP,一种是CHAP。相对来说PAP的认证方式安全性没有CHAP高。PAP在传输password是明文的,而CHAP在传输过程中不传输密码,取代密码的是hash(哈希值)。PAP认证是通过两次握手实现的,而CHAP则是通过3次握手实现的。
    6.外出员工访问公司内网
    采用建立虚拟隧道VPN实现员工在外访问公司内网资源,需要做的是在内网中架设一台VPN服务区,外地员工只需要连接互联网后,通过互联网连接VPN服务器,然后通过VPN服务器连接到公司内网,但是为了保证数据安全,VPN服务器和客户机之间需要进行加密处理。
    六、服务器规划
    DHCP服务器:用于内网主机分配Ip
    根据所需使用子网,实现多个作用域,并将这些作用域加入进一个超级作用域,胃不痛子网内的个户籍分配相应的IP
    实现为主机分配网关IP,DNS,IP
    实现地址配出:将各服务器所使用地址在作用域内排除
    保留特定IP,使其可以长期使用

    DNS服务器:提供域名解析
    实现主要名称服务器,并建立AD集成区域
    实现允许安全动态更新DDNS,使得与DHCP服务器合作,动态更新DNS数据库
    实现转发器功能,使得内网访问互联网时DNS可将解析请求转发给ISP DNS
    实现辅助服务器:提供容错和减轻负担的功能
    FTP服务器、数据库服务器
    1.只允许公司内部员工访问,并且拒绝其外部网路的访问,可以ACL进行限制访问权限
    2.用户内部员工可以上传和下载数据,但是限制非核心员工更数据
    Web服务器(www服务器)
    1.将其发布到外网上,外部人员可以访问,但是不能进行更改
    VPN服务器
    1.实现 VPN,使外出员工、分公司网络、家庭办公员工可以访问内网资源
    2.提供仅对域用户的支持
    七、Internet规划
    1.内网用户一级代理
    2.所有内网计算机通过内外网连接的路由器利用NAT功能实现访问Internet
    3.实现ACL初步提供内外网连接的网络安全性
    4.设置防火墙只有自动获取的IP才能连接Internet
    5.禁止员工访问部分网站
    八、安全规划以及安全策略

    表三:二层常见网络攻击
    在这里插入图片描述
    防护墙实现如下功能:
    访问控制
    地址转换
    网络环境支持
    带宽管理功能
    入侵检测和攻击防御
    用户认证
    高可用性
    由于这里要求服务器有部分发布在外网上,所有我们可以采用深信服公司的NGAF进行网络安全防护,这里我们采用那个的路由模式,这种模式可以替换现有的防火墙 ,说笑呢对内网用户和服务器安全防护。
    推荐配置的安全防护策略:
    僵尸网络防护、IPS、DOS、DDOS、网页防篡改、WEB攻击检测和防御技术
    九、常见网络故障排除以及网络优化
    1.分部不能访问总部网络
    内网服务器上的网关设置有误。
    内网服务器上的服务没有开启。
    NGFW上的接口和安全区域配置有误。
    NGFW上的路由配置有误。
    NGFW上的安全策略配置有误。
    ISP Router将报文丢弃。
    2.网络优化建议:
    硬件优化。
    软件优化。
    网络扩容。
    新技术更新。
    接入安全优化
    网络监控优化

    附件:
    价格来源:华为官网、深信服官网
    参考文献:华为HCNP R&S、深信服网络安全、计算机网络教科书

    展开全文
  • 网络拓扑图及企业网络设计基本流程认识网络常见的路由协议分类:常见路由协议类型:网络层次结构:TCP/IP协议网络拓扑图企业网络设计基本流程网络设计基本原则网络拓扑设计原则网络设计的方法和思路网络架构安全域和...

    认识网络

    构建网络的目的:就是为了相互之间能够通信,而通信的目的就是为了传达信息。(信息传达和信息接收的安全性。)
    企业网络的目的:是作为企业业务的支撑平台,是企业的信息中枢。

    • 网络:被称为计算机网络,它是计算机技术和通信技术相结合的产物。
    • 节点:这里的节点就是一个个的机房以及机房里面的设备(路由器、交换机、防火墙、PC…)
    • 链路:就是有线和无线,有线:网络、光纤、电缆等等…

    网络中常见的协议:

    • VLAN技术:虚拟局域网;
    • STP技术:生成树协议;
    • VRRP技术:虚拟路由冗余协议;
    • VPN:虚拟专用网络。
      在这里插入图片描述

    常见的路由协议分类:

    • 静态:设置好路由器和主机并将路由信息固定的一种方法。
    • 动态:路由协议在进行过程中自动的设置路由控制信息的一种方法

    静态路由通常手工配置,网络发生故障时需要管理员手动修改,动态路由协议可以在由其他路可达目的主机的前题下自动学习路由,绕过故障节点。
    在这里插入图片描述

    常见路由协议类型:

    一、内部网关协议:
    内部网关协议(IGP:Interior Gateway Protocol),适用于单个ISP的统一路由协议的运行,一般由一个ISP运营的网络位于一个AS(自治系统)内,有统一的AS number(自治系统号),用来处理内部路由。


    RIP、IGRP(Cisco私有协议)、EIGRP(Cisco私有协议)、OSPF、IS-IS等都是内部网关协议。


    1、RIP(Routing Information Protocol):路由信息协议。
    是一种比较简单的内部网关协议,主要用于规模较小的网络,比如校园网以及结构较简单的地区性网络。对于更为复杂的环境和大型网络,一般不使用RIP。
    RIP是一种基于距离矢量(Distance-Vector)算法的协议,它通过UDP报文进行路由信息的交换,使用的端口号为520。其使用跳数来衡量到达目的地址的距离,为了限制收敛时间,RIP规定度量值(该值等于从本网络到达目的网络间的路由器数量)为0到15之间的整数,大于等于16的跳数将会定义为网络或主机不可达,因此RIP不适合大型网络。
    RIP有两个版本:RIP V1(有类别路由协议)和RIP V2(无分类路由协议)。


    2、IGRP(Interior Gateway Routing Protool):内部网关路由协议。
    属于Cisco的私有协议,最大跳数默认为100,现已被Cisco独立开发的EIGRP协议取代。


    3、OSPF(Open Shortest Path First):开放式最短路径优先协议。
    属于链路状态路由协议,OSPF提出了“区域(area)”的概念,每个区域中所有路由器维护着一个相同的链路状态数据库 (LSDB),其使用链路状态数据库,通过最短生成树算法(SPF算法)计算得到路由表,因此其收敛速度较快。目前OSPF协议在各种网络中广泛部署,目前针对IPv4协议使用的是OSPF Version 2(RFC2328);针对IPv6协议使用OSPF Version 3(RFC2740)。


    4、IS-IS(Intermediate System-to-Intermediate System):中间系统到中间系统路由协议。
    属于链路状态路由协议。与OSPF协议相似,其使用最短路径优先SPF(Shortest Path First)算法进行路由计算。

    二、域间路由协议
    BGP(Border Gateway Protocol):边界网关协议。
    为了维护各个ISP的独立利益,标准化组织制定了ISP间的路由协议BGP,其用来处理各ISP之间的路由传递。
    与内部网关协议不同的是,其不在于发现和计算路由,而在于控制路由的传播和选择最佳路由。

    网络层次结构:

    传统的网络层次结构是OSI七层模型,但在现实中采用的是TCP/IP协议。
    (一)OSI七层模型
    (1)物理层
    设备之间原始数据传输,数据格式比特流。
    (2)数据链路层
    将原始比特流转换成逻辑传输数据,mac地址寻址,数据格式帧。
    (3)网络层
    最复杂的一层,通信子网最高层。通过路由算法提供最佳传输路径。数据格式IP数据包。
    数据链路层解决同一网络节点间数据传输,网络层解决不同子网间通信。
    (4)传输层
    拆分数据包,提供端对端不同主机用户进程间传输数据,提供可靠或不可靠传输及流量控制,是连接通信子网和资源子网的桥梁。数据格式TCP数据包。
    (5)会话层
    不同机器用户间建立或解除会话关系。
    (6)表示层
    数据的表示方式(格式处理及编码转换)及特定功能实现(加解密、解压缩等)。
    (7)应用层
    向用户提供服务,完成用户在网络上想完成的工作。如上网、发邮件、下载ftp等。

    TCP/IP协议

    (1)链路层
    包括物理层和数据链路层链路层是通过mac地址传输数据的。
    (2)网络层
    包括多种协议。
    IP协议:通过路由选择将数据封装后交给链路层。
    ICMP协议:用于主机和路由器直接传递控制消息,常用的ping就是用这个协议。
    ARP协议:是正向地址解析协议,通过IP查找mac地址。
    RARP协议:是反向地址解析协议,通过mac地址查找IP。
    (3)传输层
    TCP协议:传输控制协议,面向连接的、可靠的、基于IP的传输层协议。
    UDP协议:用户数据报协议,提供面向事务的简单不可靠信息传送协议。
    (4)应用层
    FTP协议:文件传输协议,用于文件的上传下载。
    Telnet协议:用户远程登录服务。
    DNS协议:域名解析协议,提供域名到IP的解析。
    SMTP协议:简单的邮件传送协议,用于控制信件的发送中转。
    NFS协议:网络文件系统,用于不同主机间文件共享。
    HTTP协议:超文本传输协议,用于实现互联网访问功能。

    模型结构:

    在这里插入图片描述

    网络拓扑图

    • 拓扑简单的的说就是几何结构,是指网络中各个站点相互连接的形式,主要有总线型拓扑、星型拓扑、环形拓扑以及混合型拓扑。

    网络拓扑结构类型:

    1. 总线拓扑
      总线拓扑结构是将网络中的所有设备通过相应的硬件接口直接连接到公共总线上,结点之间按广播方式通信,一个结点发出的信息,总线上的其它结点均可“收听”到。
      优点:结构简单、布线容易、可靠性较高,易于扩充,是局域网常采用的拓扑结构。
      缺点:所有的数据都需经过总线传送,总线成为整个网络的瓶颈;出现故障诊断较为困难。最著名的总线拓扑结构是以太网(Ethernet)。
      在这里插入图片描述

    1. 星型拓扑
      每个结点都由一条单独的通信线路与中心结点连结。
      优点:结构简单、容易实现、便于管理,连接点的故障容易监测和排除。
      缺点:中心结点是全网络的可靠瓶颈,中心结点出现故障会导致网络的瘫痪。
      在这里插入图片描述

    3.环形拓扑
    各结点通过通信线路组成闭合回路,环中数据只能单向传输。
    优点:结构简单、容易实现,适合使用光纤,传输距离远,传输延迟确定。
    缺点:环网中的每个结点均成为网络可靠性的瓶颈,任意结点出现故障都会造成网络瘫痪,另外故障诊断也较困难。最著名的环形拓扑结构网络是令牌环网(Token Ring)
    在这里插入图片描述


    1. 树型拓扑
      是一种层次结构,结点按层次连结,信息交换主要在上下结点之间进行,相邻结点或同层结点之间一般不进行数据交换。
      优点:连结简单,维护方便,适用于汇集信息的应用要求。
      缺点:资源共享能力较低,可靠性不高,任何一个工作站或链路的故障都会影响整个网络的运行。
      在这里插入图片描述

    5.网状拓扑
    又称作无规则结构,结点之间的联结是任意的,没有规律。
    优点:系统可靠性高,比较容易扩展,但是结构复杂,每一结点都与多点进行连结,因此必须采用路由算法和流量控制方法。目前广域网基本上采用网状拓扑结构。
    缺点:由于结点也多个结点连接,故结点的路由选择由选择和流量控制难度大,管理软件复杂,硬件成本高。
    在这里插入图片描述
    广域网与局域网所使用的网络拓扑结构有所不同。广域网多采用分布式或树型结构,局域网常用总线型、环型、星型或树型结构

    企业网络设计基本流程

    网络设计基本原则

    网络设计的基本原则
    可靠性:要求网络在发生一定的故障时,仍然能够保证承载的业务不中断
    可扩展性:要求网络能够支持不断增加的业务量。
    可运营性:保证网络的运行和维护
    可管理性:要求网络提供标准的管理手段,便于监控和维护
    成本问题:综合考虑,选择性价比高的网络设计方案。

    网络拓扑设计原则

    在这里插入图片描述

    模块化设计原则:根据所承载的功能区域来划分不同的模块;
    层次化设计原则:根据企业需求设计网络,选用二层,三层网络模型;
    性价比:
    高性能:
    可靠性:
    安全性:

    网络设计的方法和思路

    • 模块化的设计方法、层次化的设计方法

    层次化设计的优点:
    节约成本、容易理解、有利于模块化、有利于故障隔离;
    模块化设计优点:
    将一个企业网络按照功能的不同,分为了不同的模块,不同的模块有不同的需求和特点;
    每一个模块相对独立,可以单独构建这个模块里面需要的一些结构,模块之间相互没有影响;
    便于扩容、管理,不同模块有不同的安全策略;在这里插入图片描述
    DMZ:非军事区域(官方称呼),互联网服务区或者互联网隔离区(民间称呼);


    模块的安全等级:
    安全等级由低到高:
    陌生访客–>分支机构–>DMZ–>数据中心/服务器群–>管理中心;
    分支机构一般有固定的地址;
    管理中心存储着高权限的账号,一旦被入侵,对整个网络危害最大;

    • 自上而下的设计思路和自下而上的设计思路
      在这里插入图片描述

    • 根据场景设计合适的方案
      在这里插入图片描述

    网络架构

    • 三层网络架构:接入层–>汇聚层–>核心层;
      适用场景–通常用于大型网络的构建,需要通过IP路由实现跨网段的通讯;

    • 二层网络架构:接入层–>汇聚层或者核心层;
      它的组网能力是非常有限的,一般用于中小型局域网;

    一般企业网络使用三层网络结构:

    • 接入层:终端的接入、访问控制;
    • 汇聚层:路由汇聚、流量收敛;
    • 核心层:高速数据转发、要求高可靠性。

    安全域和边界:

    企业网络的经典结构就是基于安全域的网络结构,一般包括企业数据中心,企业办公内网,DMZ区,广域网和Internet几个部分。

    企业网络各个区域之间通信受到限制,区域内部通信多不进行限制。

    为了保障企业的信息安全,我们应该从哪几个方面入手?

    1、终端计算机

    2、互联网出入口

    3、广域网出入口

    4、公司对外发布服务的DMZ服务器

    5、VPN和类似远程连接设备。

    上述五个方面,基本涵盖了公司网络边界的几个方面。

    对公司网络边界进行防护,仅仅是做好公司信息安全防护工作的第一步。

    那么接下来我们应该考虑什么呢?

    当然是如果上述五个方面被黑客攻陷了,那么我们还拿什么进行防护?

    这就涉及到了黑客攻击的几个步骤,黑客提权或者拿到设备权限之后,第一件事就是想知道我们的内网是什么样子的。

    那么,他们一定会进行内网扫描。而网络扫描这种事情,又是一种特征非常明显的网络攻击行为,非常易于识别。

    这就要求我们企业安全管理人员要重点关注内网扫描,做好被攻击后的进一步防护工作。

    由于上述5个方面易于被黑客攻陷,易于产生信息安全问题,那么我们就不能让这些区域可直接访问我们的核心资源。因此,需要进行安全域划分。同时,我们也要在各个高风险安全域的核心交换机上部署IDS,做好网络安全监控,并且在安全域出入口处部署防火墙,针对IDS产生的报警及时切断相关网络访问路径,保障损失的最小化。

    于是,企业网络安全的基本中的基本要求就是根据面临的风险,划分安全域,在安全域之间部署防火墙,在每个安全域内部署IDS。这也是我个人理解的网络安全域划分的本质安全需要。

    设计流程

    在这里插入图片描述

    • 对于小企业来说,一般参照到IP连通这个步骤。
    • 大型企业基本上可以完全参照这个流程来。

    1 . 规划
    组织策略:考虑公司的组织架构,就是公司有哪些部门。

    • 业务策略:就是公司当前的业务以及公司未来需要发展的业务。比如教育行业,物流行业等等。
    • 财务决策:公司的财务情况,能拿多少钱出来,预算是多少。

    2 . 简要的网络设计方案。

    • 设计:根据业务需求客户需要规划出网络拓扑图。
    • 需求分析:就是根据组织策略,来考虑不同部门的网络配置情况。
    • 项目计划:考虑项目进度(开始时间、完成时间)、成本多少、质量达到什么标准。
    • 设备选购:需要购买哪些设备。CPU 内存,吞吐量够不够,支持哪些协议,带机数量不同的接入,他们的流量是不一样的。

    3 . 详细设计的网络方案

    • 满足企业用户现阶段技术和业务上的需求。

    4 . 实施:根据需求规划网络

    • 新建网络:根据详细设计方案,直接进行落实。
    • 主要点:验证/测试整个网络是否满足企业在业务和技术上需求。
    • 对现有网络的改造:割接

    5 . 运营:

    • 保障企业网络业务能够持续、健康的运作。
    • 主要是对设备/系统运行进行主动监控。
    • CPU 内存 带宽 链路带宽比例。

    这些指标达到一定的预警范围,我们就需要对它进行处理(80-85%)。
    考虑是否进行扩容,
    可用性、可靠性、安全性

    6 . 提升:

    • 主要是围绕规划中的组织策略来的,针对的是企业网络在运营过程中遇到的问题。

    为什么要分析用户需求

    用户需求:即企业需求(这里的用户指的就是企业);

    IT应用:实际上就是将给我们的业务需求转换成我们的技术需求。(主要是由架构师和售前做的);

    如何分析用户需求:

    1. 识别网络现状:
      通过查看现有网络的文档;
      通过咨询相关岗位的负责人;
      通过网络监听;
      通过流量分析;
    2. 定义组织目标:
      提升客户满意度;
      扩展业务类型,增加服务项目;
      增强竞争力;
      削减开支;
    3. 组织限制:
      政策、预算、人力资源、技术资源、时间安排等客观因素;
    4. 定义技术目标:
      扩大网络容量;
      简化网络管理;
      提升网络安全;
      增强网络可靠性;
    5. 定义技术限制:
      设备限制,设备能否达到技术要求,
    展开全文
  • 路由与交换课程设计

    千次阅读 多人点赞 2019-01-09 01:21:16
     1)搭建公司私有局域网络环境,利用P AT技术,使用路由设备(路由器、防火器等)完成由局域网到互联网的接入。  2)在局域网中公司各部门间要使用vlan技术实现相互的隔离。  3)在广域网链路数据封装技术这方面...

    版权声明:如果对大家有帮助,大家可以自行转载的。https://blog.csdn.net/qq_37992321/article/details/86112149

    需要拓扑结构的同学,可以去我的资源里下载 拓扑图下载
    1.实习任务
      组建某网络,公司有三层楼,每层都有不同的部门,完成以下网络需求:
      1)搭建公司私有局域网络环境,利用P AT技术,使用路由设备(路由器、防火器等)完成由局域网到互联网的接入。
      2)在局域网中公司各部门间要使用vlan技术实现相互的隔离。
      3)在广域网链路数据封装技术这方面,采取PPP或帧中继技术完成认证和封装。
      4)在路由技术方面采取RIPV 2或OSPF动态路由技术。
      5)模拟企业VPN网络的搭建工作,并实现两个公司通过互联网来实现通信,两个公司间的广域网链路采用VPN(IPsec)实现安全通信。
      6)网络采用双核心结构,将三层交换技术和VTP、STP、以太网通道综合一起,实现网络的高速、高性能、高可靠性,还有冗余备份功能。

    2.实习要求
    在这里插入图片描述
    在这里插入图片描述
    3.网络拓扑图
    在这里插入图片描述
    4.给PC配置IP地址和网关地址
    在这里插入图片描述
    在这里插入图片描述
    5.给路由器和三层交换机配置IP地址
    Router0配置IP地址:

    Router>en
    Router#config t
    Router(config)#hostname R0
    R0(config)#int f0/0
    R0(config-if)#ip add 192.168.10.1 255.255.255.0
    R0(config-if)#no shu
    
    R0(config-if)#int f1/0
    R0(config-if)#ip add 192.168.20.1 255.255.255.0
    R0(config-if)#no shu
    
    R0(config-if)#int s2/0
    R0(config-if)#ip add 12.1.1.1  255.255.255.0
    R0(config-if)#no shu
    

    Router1配置IP地址:

    Router>en
    Router#config t
    Router(config)#hostname R1
    R1(config)#int s2/0 R1(config-if)#ip add 12.1.1.2 255.255.255.0
    R1(config-if)#no shu
    
     R1(config-if)#int f0/0
     R1(config-if)#ip add 13.1.1.1 255.255.255.0
     R1(config-if)#no shu
    

    三层交换机Switch0配置IP地址:

    Switch>en
    Switch#config t
    Switch(config)#hostname S3A
    S3A(config)#int f0/1
    S3A(config-if)#no switchport 
    S3A(config-if)#ip add 192.168.10.2 255.255.255.0
    

    三层交换机Switch1配置IP地址:

    Switch>en
    Switch#config t
    Switch(config)#hostname S3B
    S3B(config)#int f0/1
    S3B(config-if)#no switchport 
    S3B(config-if)#ip add 192.168.20.2 255.255.255.0
    S3B(config-if)#no shu
    

    6.在二层交换机上划分VLAN并配置管理 VLAN1 IP地址
    在S2A上配置:

    Switch#config t
    Switch(config)#hostname S2A
    S2A(config)#vlan 2
    S2A(config-vlan)#vlan 3
    S2A(config-vlan)#int vlan 1
    S2A(config-if)#ip add 192.168.1.200 255.255.255.0
    S2A(config-if)#no shu
    S2A(config-if)#exit
    S2A(config)#ip default-gateway 192.168.1.1
    S2A(config)#int f0/3
    S2A(config-if)#switchport access vlan 2
    S2A(config-if)#int f0/4
    S2A(config-if)#switchport access vlan 3
    

    在S2B上配置:

    Switch>
    Switch>en
    Switch#config t
    Switch(config)#hostname S2B
    S2B(config)#vlan 2
    S2B(config-vlan)#vlan 3
    S2B(config-vlan)#int f0/3
    S2B(config-if)#switchport access vlan 2
    S2B(config-if)#int f0/4
    S2B(config-if)#switchport access vlan 3
    S2B(config-if)#int vlan 1
    S2B(config-if)#ip add 192.168.1.201 255.255.255.0
    S2B(config-if)#no shu
    S2B(config-if)#exit
    S2B(config)#ip default-gateway 192.168.1.1
    

    在S2C上配置:

    Switch>
    Switch>en
    Switch#config t
    Enter configuration commands, one per line.  End with CNTL/Z.
    Switch(config)#hostname S2C
    S2C(config)#vlan 2
    S2C(config-vlan)#vlan 3
    S2C(config-vlan)#int f0/3
    S2C(config-if)#switchport access vlan 2
    S2C(config-if)#int f0/4
    S2C(config-if)#switchport access vlan 3
    S2C(config-if)#int vlan 1
    S2C(config-if)#ip add 192.168.1.202 255.255.255.0
    S2C(config-if)#no shu
    S2C(config-if)#exit
    S2C(config)# ip default-gateway 192.168.1.1
    

    7.配置三层交换机和二层交换机实现VLAN间通讯
    在S3A上做配置:

    S3A(config)#ip routing  开启路由功能
    S3A(config)#int vlan 1
    S3A(config-if)#ip add 192.168.1.254 255.255.255.0
    S3A(config-if)#no shu
    S3A(config-if)#int vlan 2
    S3A(config-if)#ip add 192.168.2.254 255.255.255.0
    S3A(config-if)#no shu
    S3A(config-if)#int vlan 3
    S3A(config-if)#ip add 192.168.3.254 255.255.255.0
    S3A(config-if)#no shu
    S3A(config-if)#int f0/2
    S3A(config-if)#switchport mode trunk 
    S3A(config-if)#int f0/3
    S3A(config-if)#switchport mode trunk 
    S3A(config-if)#exit
    S3A(config)#ip default-gateway 192.168.1.1
    
    

    在S3B上做配置:

    S3B(config)#ip routing  开启路由功能
    S3B(config)#vlan 2
    S3B(config-vlan)#vlan 3
    S3B(config-vlan)#int vlan 1
    S3B(config-if)#ip add 192.168.1.254 255.255.255.0
    S3B(config-if)#no shu
    S3B(config-if)#int vlan 2
    S3B(config-if)#ip add 192.168.2.254 255.255.255.0
    S3B(config-if)#no shu
    S3B(config-if)#int vlan 3
    S3B(config-if)#ip add 192.168.3.254 255.255.255.0
    S3B(config-if)#no shu
    S3B(config-if)#
    S3B(config-if)#int f0/2
    S3B(config-if)#switchport mode trunk 
    S3B(config-if)#int f0/3
    S3B(config-if)#switchport mode trunk 
    S3B(config)#exit
    S3B(config)#ip default-gateway 192.168.1.1
    

    在S2A上做配置:

    S2A(config)#int f0/1
    S2A(config-if)#switchport mode trunk 
    S2A(config-if)#int f0/2
    S2A(config-if)#switchport mode trunk 
    

    在S2B上做配置:

    S2A(config)#int f0/1
    S2A(config-if)#switchport mode trunk 
    S2A(config-if)#int f0/2
    S2A(config-if)#switchport mode trunk 
    

    在S2C上做配置:

    S2A(config)#int f0/1
    S2A(config-if)#switchport mode trunk 
    S2A(config-if)#int f0/2
    S2A(config-if)#switchport mode trunk 
    

    做到这一步的时候不同的VLAN间也可以通信
    用 PC0 去 ping PC1和PC 5
    在这里插入图片描述
    可以看到不同VLAN间的PC是可以通讯的

    8.在二层和三层交换机上配置STP
    三层交换机上做配置:

    S3A(config)#spanning-tree vlan 1 root pri
    S3A(config)#spanning-tree vlan 1 root primary 
    S3A(config)#spanning-tree vlan 2 root se 
    S3A(config)#spanning-tree vlan 2 root se
    S3A(config)#spanning-tree vlan 2 root secondary 
    S3A(config)#spanning-tree vlan 3 root primary 
    S3A(config)#spanning-tree portfast default   状态转换快
    
    S3B(config)#spanning-tree vlan 1 root secondary
    S3B(config)#spanning-tree vlan 2 root primary 
    S3B(config)#spanning-tree vlan 3 root secondary
    S3B(config)#spanning-tree portfast default 
    

    二层交换机上做配置

    S2A(config-if)#int f0/1
    S2A(config-if)#spanning-tree portfast
    S2A(config-if)#int f0/2
    S2A(config-if)#spanning-tree portfast
    
    S2B(config-if)#int f0/1
    S2B(config-if)#spanning-tree portfast
    S2B(config-if)#int f0/2
    S2B(config-if)#spanning-tree portfast
    
    S2C(config-if)#int f0/1
    S2C(config-if)#spanning-tree portfast
    S2C(config-if)#int f0/2
    S2C(config-if)#spanning-tree portfast
    

    9.在交换机上配置VTP
    在三层交换机上配置

    S3A(config)#vtp mode server 
    S3A(config)#vtp domain cisco
    S3A(config)#vtp password cisco
    S3A(config)#vtp version 2
    
    S3B(config)#vtp mode  server 
    S3B(config)#vtp domain cisco
    S3B(config)#vtp password cisco
    S3B(config)#vtp version 2
    

    在二层交换机上配置:

    S2A(config)#vtp mode client 
    S2A(config)#vtp domain cisco
    S2A(config)#vtp password cisco
    S2A(config)#vtp version 2
    
    S2B(config)#vtp mode client 
    S2B(config)#vtp domain cisco
    S2B(config)#vtp password cisco
    S2B(config)#vtp version 2
    
    S2C(config)#vtp mode client 
    S2C(config)#vtp domain cisco
    S2C(config)#vtp password cisco
    S2C(config)#vtp version 2
    

    10.在三层交换机上做端口聚合

    S3A(config)#int range f0/5-6
    S3A(config-if-range)#switchport mode trunk 
    S3A(config-if-range)#channel-group 1 mode on
    S3A(config-if-range)#exit
    S3A(config)#int port-channel 1
    S3A(config-if)#switchport trunk native vlan 1
    S3A(config-if)#exit
    S3A(config)#port-channel load-balance dst-ip 
    
    S3B(config)#int range f0/5-6
    S3B(config-if-range)#switchport mode trunk 
    S3B(config-if-range)#channel-group 1 mode on
    S3B(config-if-range)#exit
    S3B(config)#int port-chan
    S3B(config)#int port-channel 1
    S3B(config-if)#switchport trunk native vlan 1
    S3B(config-if)#exit
    S3B(config)#port-channel load-balance dst-ip
    

    11.在三层交换机上配置HSRP

    S3A(config)#int vlan 1
    S3A(config-if)#standby 1 ip 192.168.1.1     激活HSRP
    S3A(config-if)#standby priority 180             设定HSRP优先级
    S3A(config-if)#standby 1 preempt              成为激活路由器
    S3A(config-if)#int vlan 2
    S3A(config-if)#standby 2 ip 192.168.2.1
    S3A(config-if)#standby priority 150
    S3A(config-if)#standby 2 preempt 
    S3A(config-if)#int vlan 3
    S3A(config-if)#standby 3 ip 192.168.3.1
    S3A(config-if)#standby priority 180
    S3A(config-if)#standby 3 preempt 
    
    S3B(config)#int vlan 1
    S3B(config-if)#standby 1 ip 192.168.1.1
    S3B(config-if)#standby priority  150
    S3B(config-if)#standby 1 preempt 
    S3B(config-if)#int vlan 2
    S3B(config-if)#standby 2 ip 192.168.2.1 
    S3B(config-if)#standby priority 180
    S3B(config-if)#standby 2 preempt 
    S3B(config-if)#int vlan 3
    S3B(config-if)#standby  3 ip 192.168.3.1
    S3B(config-if)#standby priority 150
    S3B(config-if)#standby 3 preempt 
    

    12.在三层设备上配置RIP V2 使得全网互通

    S3A(config)#route rip
    S3A(config-router)#version 2
    S3A(config-router)#network 192.168.10.0
    S3A(config-router)#network 192.168.1.0
    S3A(config-router)#network 192.168.2.0
    S3A(config-router)#network 192.168.3.0
    
    S3B(config)#route rip
    S3B(config-router)#version 2
    S3B(config-router)#network 192.168.20.0
    S3B(config-router)#network 192.168.1.0
    S3B(config-router)#network 192.168.2.0
    S3B(config-router)#network 192.168.3.0
    
    R0(config)#route rip
    R0(config-router)#version 2
    R0(config-router)#network 192.168.10.0
    R0(config-router)#network 192.168.20.0
    R0(config-router)#network 12.1.1.0
    
    R1(config)#route rip
    R1(config-router)#version 2
    R1(config-router)#network 12.1.1.0
    R1(config-router)#network 13.1.1.0
    

    测试网络
    用PC 0 去ping R1 的S2/0端口
    在这里插入图片描述
    是可以ping通的 说明之前的配置没有问题
    13.在路由器R0上配置PAT

    R0(config)#int f0/0
    R0(config-if)#ip nat inside 
    R0(config-if)#int f1/0
    R0(config-if)#ip nat inside 
    R0(config-if)#int s2/0
    R0(config-if)#ip nat outside 
    R0(config-if)#exit
    R0(config)#access-list 1 permit 192.168.10.0 0.0.0.255
    R0(config)#access-list 1 permit 192.168.20.0 0.0.0.255
    R0(config)#access-list 1 permit 192.168.1.0 0.0.0.255
    R0(config)#access-list 1 permit 192.168.2.0 0.0.0.255
    R0(config)#access-list 1 permit 192.168.3.0 0.0.0.255
    R0(config)#ip nat pool 100 12.1.1.1 12.1.1.1 netmask 255.255.255.0
    R0(config)#ip nat inside source list 1 pool 100 overload 
    R0(config)#end
    R0#ping 12.1.1.2
    Type escape sequence to abort.
    Sending 5, 100-byte ICMP Echos to 12.1.1.2, timeout is 2 seconds:
    !!!!!
    Success rate is 100 percent (5/5), round-trip min/avg/max = 1/3/14 ms
    

    此时用PC分别去ping R1 的S2/0 端口
    在这里插入图片描述
    然后在R0上 show ip nat translation

    R0#show ip nat translations 
    Pro  Inside global     Inside local       Outside local      Outside global
    icmp 12.1.1.1:10       192.168.2.2:10     12.1.1.2:10        12.1.1.2:10
    icmp 12.1.1.1:11       192.168.2.2:11     12.1.1.2:11        12.1.1.2:11
    icmp 12.1.1.1:12       192.168.2.2:12     12.1.1.2:12        12.1.1.2:12
    icmp 12.1.1.1:16       192.168.20.2:16    12.1.1.2:16        12.1.1.2:16
    icmp 12.1.1.1:17       192.168.20.2:17    12.1.1.2:17        12.1.1.2:17
    icmp 12.1.1.1:18       192.168.20.2:18    12.1.1.2:18        12.1.1.2:18
    icmp 12.1.1.1:19       192.168.20.2:19    12.1.1.2:19        12.1.1.2:19
    icmp 12.1.1.1:20       192.168.20.2:20    12.1.1.2:20        12.1.1.2:20
    icmp 12.1.1.1:26       192.168.10.2:26    12.1.1.2:26        12.1.1.2:26
    icmp 12.1.1.1:27       192.168.10.2:27    12.1.1.2:27        12.1.1.2:27
    icmp 12.1.1.1:28       192.168.10.2:28    12.1.1.2:28        12.1.1.2:28
    icmp 12.1.1.1:29       192.168.10.2:29    12.1.1.2:29        12.1.1.2:29
    

    做到这一步的时候 说明PAT已经配置好了
    14.配置广域网PPP封装协议
    在R0上配置

    R0(config)#int s2/0
    R0(config-if)#encapsulation ppp
    R0(config-if)#ppp authentication chap
    R0(config-if)#exit
    R0(config)#username R1 password cisco
    
    R1(config)#int s2/0
    R1(config-if)#encapsulation ppp
    R1(config-if)#ppp authentication chap
    R1(config-if)#exit
    R1(config)#username R0 password cisco
    

    15.在路由器Router1上配置帧中继

    R1(config-if)#int s3/0
    R1(config-if)#encapsulation frame-relay ietf
    R1(config-if)#frame-relay lmi-type cisco
    R1(config-if)#frame-relay interface-dlci 20
    R1(config-if)#frame-relay map ip 13.1.1.2 20 broadcast 
    

    在这里插入图片描述
    做到这儿可以ping 通13.1.1.1这个端口 说明我们的帧中继配置没有问题

    16.在所有设备上配置远程登录,这里以一个设备为例

    S2C>en
    S2C#config t
    S2C(config)#enable password cisco
    S2C(config)#line vty 0 4
    S2C(config-line)#password cisco
    S2C(config-line)#login 
    S2C(config-line)#
    

    在这里插入图片描述

    17.VPN的配置
    因为之前用的路由器是不支持做VPN的,现在我把路由器R0换为1841 ,之前的路由器就得删了,用这个才可以配置VPN

    R0(config)#crypto isakmp enable 
    R0(config)#crypto isakmp policy 1
    R0(config-isakmp)#hash md5
    R0(config-isakmp)#encryption des
    R0(config-isakmp)#authentication pre-share 
    R0(config-isakmp)#exit
    R0(config)#crypto isakmp key QD-password address 12.1.1.2
    R0(config)#ip access-list extended 101
    R0(config-ext-nacl)#permit ip 192.168.1.0 0.0.0.255 13.1.1.0 0.0.0.255
    R0(config-ext-nacl)#permit ip 192.168.2.0 0.0.0.255 13.1.1.0 0.0.0.255
    R0(config-ext-nacl)#permit ip 192.168.3.0 0.0.0.255 13.1.1.0 0.0.0.255
    R0(config-ext-nacl)#exit
    R0(config)#crypto ipsec transform-set one esp-des esp-md5-hmac
    R0(config)#crypto map my-map 1 ip
    R0(config-crypto-map)#crypto map my-map 1 ipsec-isakmp 
    R0(config-crypto-map)#set peer 12.1.1.2
    R0(config-crypto-map)#match address 101
    R0(config-crypto-map)#set transform-set one
    R0(config-crypto-map)#exit
    R0(config)#int s0/1/0
    R0(config-if)#crypto map my-map
    

    答辩记录
    (1)试分析在复杂网络环境STP 协议判断最短路径的规则应用中,应注意哪些关键参数及应用标准?

    分析:①比较路径开销,带宽越小开销越大;② 比较发送者的 Bridge ID,选择参数小的;③ 比较发送者的 Port ID,选择参数小的;④ 比较接收者的 Port ID,选择参数小的。

    (2)试分析说明交换网络中为什么形成环路、 产生广播风暴的原理?应该怎样做预防处理?

    分析:交换网络中单链路的网络容易形成单点故障,为了缓解单点故障对网络造成的影响,希望能够在交换网络中提供冗余链路,也就是从一点到达另一点时有多条链路可以达到。 交换机对于广播帧的处理方式是除接收数据接口外, 向其他所有接口进行复制、扩散。这样,在存在环路的交换网络中,只要有一个广播数据帧,所有交换机将不停地复制、扩散,在很短的时间内使整个交换网络中充斥着大量的广播数据,占用大量的带宽和设备 CPU 资源,从而造成全网性能下降或网络中断。

    (3)试分析VLAN 技术的种类和各自的特点,在VLAN划分中怎样避免规划错误?

    分析:①基于端口的VLAN:针对交换机的端口进行VLAN 的划分,不受主机的变化影响;②基于协议的VLAN:在一个物理网络中针对不同的网络层协议进行安全划分;③基于MAC 地址的VLAN:基于主机的MAC地址进行VLAN 划分,主机可以任意在网络移动而不需要重新划分;④基于组播的VLAN:基于组播应用进行用户的划分。⑤基于IP子网的 VLAN :针对不同的用户分配不同子网的IP 地址,从而隔离用户主机,一般情况下结合基于端口的 VLAN 进行应用。

    (4)试分析说明NAT可以解决的问题以及NAT受到的限制,常见NAT应用中需要逐一排除的故障有哪些?

    分析、排除:NAT可以解决的问题:① 解决地址空间不足的问题; ② 私有IP 地址网络与公网互联;③ 非注册 IP 地址网络与公网互联; ④ 网络改造中,避免更改地址带来的风险。NAT 受到的限制:响网络性能;不能处理IP 报头加密的报文;无法实现端到端的路径跟踪(traceroute );某些应用可能支持不了:内嵌 IP 地址。

    (5)试分析一下RIP协议的配置步骤及注意事项?

    分析、排除:① 开启RIP协议进程;② 申明本路由器参数RIP协议计算的接口网段(注意:不需申请非直接网段);③指定版本(注意 :路由器版本要保持一致,路由器默认可以接收 RIPv1、RIPv2的报文);④ RIPv2支持关闭自动路由汇总功能。

    (6)试分析PAP 和 CHAP 各自的特点是什么?在配置中常见故障及排除方法有哪些?

    分析:PAP 的特点:① 由客户端发出验证请求,服务器端无法区分是否为合法请求,可能引起攻击;② 客户端直接将用户名和密码等验证信息以明文方式发送给服务器端,安全性低;③ 由客户端发出验证请求,容易引起客户端利用穷举法暴力破解密码;④相比CHAP性能高,两次握手完成验证;CHAP的特点: ①由服务器端发出挑战报文;②在整个认证过程中不发送用户名和密码;③解决了PAP容易引起的问题; ④占用网络资源,认证过程相对于PAP慢

    (7)试分析有类路由协议和无类路由协议有什么区别?在配置中常见故障及排除方法有哪些?

    分析:1、原理:有类路由协议发送路由更新信息时不包含子网 掩码信息;无类路由协议包含。2、处理:有类路由协议路由器收到无法识别的更新信息时,只能按照标准的A、B、C类子网信息进行处理;无类路由协议能够从路由信息中识别其子网信息。3、后果:有类路由协议不支持不连续的变长子网路由; 无类路由协议支持VLSM无类路由协议能够更灵活进行子网划分应用,节约IP地址资源。

    (8)试分析距离矢量协议和链路状态协议有什么区别?在配置中常见故障及排除方法有哪些?

    分析:距离矢量路由协议 :①向邻居发送路由信息;②定时更新路由信息;③将本机全部路由信息做为更新信息;链路状态路由协议:①向全网扩散链路状态信息;②当网络结构发生变化立即发送更新信息;③只发送需更新的信息。

    (9)试分析交换机的启动过程,并分析说明在交换机启动时,应注意哪些环节,防止交换机启动连接配置故障。

    分析、排除:①交换机开机加电自检硬件;②交换机从ROM中读取微代码从FLASH中加载操作系统(RGNOS );③将操作系统(RGNOS )加载到RAM中,操作系统启动完成;④系统从FLASH中检测是否有配置文件(config.text ) ,如有,将配置文件加载到RAM中(running-config );⑤如无配置文件,将启动 setup 命令, 进行交互式基本配置。

    (10)试分析端口号的作用是什么?请问当一台客户端主机访问互联网某服务器的WEB服务时,传输层封装的源端口、目的端口分别是什么?

    分析、排除:1、传输层端口号的作用:区分上层应用层的不同应用服务进程的;2、客户端向服务器端发数据时,源端口为大于1024随机端口,如1150,目的端口为服务器WEB服务端口,如80;3、当服务器端向客户端发数据时,源端口为80,目的端口为1150。

    展开全文
  • 这里写自定义目录标题实验一 静态路由和RIP协议...静态路由就可以使网络正常工作。 但这种配置缺点在于:当一个网络发生故障或拓扑结构改变后,必须由管理员手工重新配置。 在组网结构比较简单的网络中,只需配置静...
  • 网络路由技术基础

    千次阅读 2004-08-10 11:11:00
    所谓路由就是指通过相互连接的网络把信息从源地点移动到目标地点的活动。一般来说,在路由过程中,信息至少会经过一个或多个中间节点。通常,人们会把路由和交换进行对比,这主要是因为在普通用户看来两者所实现的...
  • 小型企业网络拓扑结构设计

    万次阅读 多人点赞 2019-01-08 16:52:39
    小型企业网络拓扑结构设计 一、设计目的 企业局域网的最终目标是建设整个单位的互联、统一、高效、实用、安全的局域网络,近期可支持上百个,远期至少可支持上午个并发用户,提供广泛的资源共享(包括硬件、软件和...
  • 在eNSP模拟器上实现中小型企业网络局部仿真(单臂路由+OSPF+DHCP+ACL)拓扑图设备选型说明业务需求配置思路操作步骤结果验证 拓扑图 设备选型说明 PC1-4为终端设备中的PC设备 LSW1、LSW2为交换机中的S3700设备 AR1...
  • 企业网络设计方案

    万次阅读 2006-01-19 09:51:00
    本方案主要从需求分析、客户需求、网络规划设计、网络拓扑结构、系统评价四个方面。讲述如何进行企业网络的开发背景、建设过程、维护支持、营销运作...一、需求分析:1.1 系统概述:项 目: 企业网络设计方案 日 期
  • 中小企业网络结构设计(Cisco)

    千次阅读 2013-12-26 23:30:06
    中小企业网络结构设计方案(Cisco)要求:1、使用思科路由器与ISP相连,专线接入。2、内部网络使用三层交换机,下接若干VLAN;3、VLAN间不能互访,VLAN通过路由NAT上网设计思路:1、路由器上配置NAT转换,默认路由至...
  • 网络课程设计-企业网络规划书3

    千次阅读 2010-06-18 09:31:00
    5.5 路由交换部分的设计 为了使公司园区网高效、稳定的运行,便于管理与维护,对局域网交换和路由技术的相关方面进行了规范设计,包括VTP、VLAN、STP、TRUNK、ETHERCHANNEL,HSRP,VPN等。每一台都连接...
  • 计算机网络设计——企业网络规划与搭建

    千次阅读 多人点赞 2020-11-29 17:03:40
    在科学技术飞速发展的时代,网络互联技术显示出了它蓬勃发展的生命力,它逐渐进入了人们的家居生活,使得当今社会的智能化和网络化越来越来明显。人们对居住环境的要求也随着计算机的普及和信息产业的发展而大大提高...
  • 基于企业网络方案的设计与实施

    千次阅读 2020-08-01 09:02:01
    企业总公司在广州,分公司设在深圳。总部有六个部门如下:管理、财务、后勤、销售、研发、生产。分公司主要负责开拓新市场。 项目要求: (1)为保证内网运行性能,每一个部门单独一个VLAN,进行合理规划IP地址; (2...
  • 第1篇大规模网络路由概述第1章企业网模型1.2趋势和挑战信息技术发展至今,包括企业在内的各种组织几乎都已部署了各种各样的IT系统,这些系统大部分基于各种类型的计算机网络。应对企业不断发展的需求,IT系统也处于...
  • 基于Packet trace的小型企业网络设计

    千次阅读 2020-04-12 15:44:30
    通过思科模拟器,利用PC,二层交换机,三层交换机,路由器,服务器,等设备设计小型企业网络,模拟现实场景中企业用户的上网需求。为企业划分经理室,财务部,技术部,人事部等四个部门,满足各部门间的通信需求。...
  • 计算机网络课程设计—组建小型企业网络

    万次阅读 多人点赞 2011-12-30 13:32:23
    哈尔滨理工大学荣成学院 ...计算机网络基础 课程设计   学生姓名: 李秉鹏 学 号: 1030370216    学 院: 哈尔滨理工大学荣成学院    系 别: 软件工程系    专业班级: 计应10-
  • 课程主要介绍思科主流的交换技术与路由技术,学习完本课程后你将具有相应的技能水平,能够对中大型企业网络或校园网络的网络架构有更加深入的了解以及各技术所应用场景,清楚技术特点,还能够对中大型企业网或校园网...
  • 中小型企业网络设计

    千次阅读 2008-05-08 10:44:59
    设计1:XX网络构建方案设计; 要求:进行需求分析; 技术选择; 网络设计规划; 设备选择及预算; 后期技术支持及服务。 设计2:企业内部Web站点构建及维护; 要求:网络拓扑结构图; 动态分配IP地址; 每...
  • 网络课程设计-企业网络规划书4

    千次阅读 2010-06-18 09:31:00
    ⑶ 冗余电源  Cisco6509系列... 生成树协议主要用来建立和维护局域网的拓扑,消除循环连接导致的网络广播风暴,并且提供网络的拓扑的冗余备份功能,平时作为备份的路径被阻塞,当主用路径网络
  • 企业网络规划和设计方案(一)

    万次阅读 多人点赞 2018-07-04 01:01:57
    企业网络规划和设计方案 一.工程概况公司有一栋独立大楼,高4层,每层面积2000平方米。由研发技术部(成员60人,分成硬件(25)和软件(35)2大部门)、生产部(主要产品是手持电子产品,110人,管理人员10人)和...
  • 网络工程师路由试题

    千次阅读 2012-02-18 11:51:18
    ①工作所处的OSI层次不一样,交换机工作在OSI第二层数据链路层,路由器工作在OSI第三层网络层②寻址方式不同:交换机根据MAC地址寻址,路由器根据IP地址寻址③转发速不同:交换机的转发速度快,路由器转发速度相对较...
  • 通过设计有两个路由器的网络及静态路由的配置理解静态路由原理。 【实验任务】 1、按照给出的参考拓扑图构建逻辑拓扑图。 2、按照给出的配置参数表配置各个设备。 3、练习静态路由的配置。 4、完成连通性测试...
  • 企业网络规划和设计方案

    千次阅读 2013-10-14 20:54:31
    企业网络规划和设计方案一.工程概况公司有一栋独立大楼,高4层,每层面积2000平方米。由研发技术部(成员60人,分成硬件(25)和软件(35)2大部门)、生产部(主要产品是手持电子产品,110人,管理人员10人)和...
  • 网络课程设计-企业网络规划书2

    千次阅读 2010-06-18 09:29:00
    网络协议的易扩展:无论是选择第三层网络路由协议,还是规划第二层虚拟网的划分,都应注意其扩展能力。 QoS( 英文全称为 "Quality of Service" ,中文名为 " 服务质量 " 。 )QoS 是网络的一种安全机制 , 是用来...
  • 如果对我的内容感兴趣,可以考虑一下我的计算机网络实验专栏 计算机网络实验专栏链接
  • 路由选择协议与VLSM子网设计随着网络应用的日益广泛,接入网络和边缘网络的需求也更加复杂多样,企业为了开展电子商务,必须实现与Internet的互联,路由器是实现这一互联的关键设备。路由器可以为企业提供越来越多的...
  • Cisco Packet Tracer企业网络安全策略的综合设计与实现 本节内容包含典型的企业网络结构,主要的网络安全技术手段等。课程设计的目标是 要掌握和使用内网隐藏,边界包过滤,区域策略防火墙,虚拟专用网的搭建,内网...
  • SDN 网络中的路由规则 (一)

    千次阅读 2015-12-25 20:04:57
    因为毕业设计的缘故,准备向计算机方向读研的我偶然结识了SDN与Openflow这两个神奇的家伙。 SDN的中文名称为软件定义网络,然而它的英文拼写除了正规的文献和专业人员,几乎很少被正确地表示出来。 百度百科对它的...
  • 计算机网络管理员(路由与交换) 专业简介   一、 计算机网络管理员(路由与交换) ... 证明您不但具备配置和维护中小型企业网络的能力,还具构建和管理中小型企业网络的基础能力。  不但认证考查工程师协助设计

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 43,552
精华内容 17,420
关键字:

企业网络路由设计