设计网络拓扑结构设计网络拓扑结构1、层次化、模块化网络设计2、冗余网络设计3、园区网络拓扑结构设计—生成树和虚拟局域网4、企业网络边界拓扑结构设计5、网络拓扑结构的安全分而治之——层次化、模块化网络设计企业WAN骨干核心层校园A校园B校园C校园C骨干建筑物C-1建筑物C-2接入层分布层平面结构与层次化结构总部分支机构一分支机构二分支机构三总部分支机构一分支机构二分支机构三分支机构四平面结构图层次化结构图一、平面网络结构缺点:1、广播数据包2、路由信息的传播带来的负担优点:适合小的网络规模,易设计、实施、管理、良好可用性说明:站点少时:路由协议很快的收敛;链路失效很快恢复;站点多时:环路相反方向的路由器经过很多跳二、层次化结构优点:1、降低成本:为每层选购合适的设备2、每层进行精确的流量规划,减少带宽的浪费3、网络管理职责分布在各层,减少管理成本4、模块化使设计元素简化而易于理解。简化使培训和设计的费用降低。测试易实现。故障点易隔离。5、层次化使网络的改变也容易6、易于扩展7、快速收敛路由选择协议都是为层次化设计的怎样说明你的设计很好?反思1、知道如何增加新的大楼、地板、广域网链路、远程站点、电子商务服务等2、新增建筑物只对直连设备发生本地变化3、网络扩大两三倍而基本结构不变4、轻松的发现和处理故障网状结构与层次化结构部分网状结构图全网状结构图三、网状拓扑结构优点:可用性极好缺点:部署和维护昂贵;优化、故障排查和升级;对路由器的扩展性有限制;总部(核心层)区域机构(分布层)分支机构(接入层)部分网状层次结构图公司总部分支机构家庭办公室分支机构中等商业规模网络的星型层次化拓扑结构经典的三层层次化模型核心思想:在路由和交换实现流量汇聚和过滤,使网络范围扩大核心层的作用:提供两个站点间的最优传输路径分布层的作用:连接核心层和接入层;安全、分流、过滤、路由的优化和重新分发接入层的作用:将主机接入一、核心层的设计原则1、冗余以实现高可靠性;高性能的设备提高转发速度;2、路由器启用可提高吞吐量的特性。如避免启用过滤3、核心层的范围应被限制,提供可预测的性能,并且易于故障排查4、将因特网连接置于核心层5、分支机构的连接置于核心层二、分布层的设计原则1、在核心层路由协议和接入层路由协议之间进行重新分发;例:IGRP和EIGRP2、汇总接入层的路由;很多时候配置静态路由3、分布层向核心层隐藏接入层的详细信息;分布层向接入层提供访问核心层最近的路由信息三、接入层的设计原则接入层包括:路由器、交换机、集线器、无线接入点远距离分支机构接入可选择:ISDN、FR、数字专线、模拟调制解调器层次化网络总体设计原则:1、控制网络拓扑结构的范围,3个层次足够2、接入层应防止:增加一条链接;后门图示3、先设计接入层、再是分布层、最后核心层4、根据流量和协议行为来规划层与层之间的互连核心层分布层接入层后门链接模块化网络设计企业综合网络模型:1、企业园区2、企业边界3、服务提供商边界网络管理建筑物接入建筑物分布园区骨干服务器群组边界分布电子商务因特网连接VPN/远程访问WANISPBISPAPSTNFR/ATM企业园区企业边界服务提供商边界企业综合网络模型企业园区部分分为:1、建筑物接入子模块园区的大楼内,包括最终用户工作站、连接到交换机或无线接入点的IP电话。高端交换机提供上行链路。此模块提供:网络接入、广播控制、协议过滤和标记信息包的QOS特征。2、建筑物分布子模块经路由器接入到骨干网。提高路由选择、QOS和访问控制方法以满足安全和高性能;在这一模块提高冗余和负载分担3、园区骨干网骨干网将服务器群组、网络管理和边界分配模块与建筑物接入和分配子模块相连。提高冗余、快速收敛的连通性。尽快完成模块间流量的路由和交换。通常使用高速路由器。保证可用性——冗余网络设计•需要冗余的原因是网络中存在单故障点。•冗余技术提供备用连接以绕过那些故障点,冗余技术还提供安全的方法以防止服务丢失。•但是如果缺乏恰当的规划和实施,冗余的链接和连接点会削弱网络的层次性和降低网络的稳定性。•单故障点是指其故障能导致隔离用户和服务的设备、设备上的接口或链接。树型拓扑中存在的单故障点冗余设计的目标:(1)链路冗余(2)设备冗余(3)路由冗余1.核心层冗余核心层冗余规划要综合考虑下面三个目标:(1)减少跳数;(2)减少可用的路径数量;(3)增加核心层可承受的故障数量;常见的核心层冗余技术有以下两种:(1)完全网状(2)部分网状结构2.分布层冗余接入层的冗余设计并不是必需的,只有企业用户才需要。一种常用的做法是使用拨号路由备份,建立两条效率不等的广域网通信线路。接入层冗余设计并不是捆绑广域网链路,捆绑广域网链路的主要目的是为了提供更高的带宽。3.接入层冗余使用路由器AUX备份端口建立一条拨号线路,防止专线故障时业务中断路由器的发现机制1、发送地址解析协议发现远程站点运行代理ARP的路由器响应ARP请求2、手工和DHCP设置缺省路由3、工作站中配置静态路由或运行路由选择协议4、路由器发现协议RDP路由器定期广播ICMP路由器通告数据包,工作站监听;工作站也可以发送请求热备份路由协议(HSRP)•HSRP使主路由器与备份路由器之间能够协同工作。•主路由器在发生故障时,HSRP自动选择备份路由器提供路由服务,切换时间极短,不会引起IP路由的重新计算。•HSRP协议利用一个优先级方案来决定哪个配置了HSRP协议的路由器成为默认的主动路由器。如图所示,PC将数据包发送到设置的虚拟路由器端口(配置HSRP路由器所共享的虚拟IP地址)192.168.0.254,虚拟路由器这个时候实际上是主路由器,如果主路由器正常,数据被发送到192.168.0.1接口始终由主路由器处理。如果主路由器发生故障,它就不会广播Hello报文,HSRP一直在监听这个报文,一旦它在HoldTime内未收到Hello报文,就认为主路由器发生故障,将虚拟路由器接收到的数据包交给备份路由器,发生主备份路由器切换。但如果主路由器恢复正常后,它就会重新广播Hello报文,由于它发送的Hello报文具有最高优先级,所以HSRP仍然选择它来完成路由工作,再次发生主备份路由器之间的切换。网关负载均衡协议GLBP1、实现负载均衡2、多个路由器同时使用,配置一个虚拟的IP地址和多台虚拟的MAC地址3、一组路由器选举一个活动的虚拟网关AVG,AVG给每个路由器分配一个虚拟的MAC地址。每个路由器叫做活动虚拟转发器。AVG负责对来自虚拟IP地址的ARP响应,它将回应一个不同的虚拟MAC地址多穴因特网连接企业企业企业ISP1ISP1ISP2ISP1ISP1ISP2企业选项A选项B选项C选项DParisNYParisNYVPN的具体实现是采用隧道技术,在公网中建立企业之间的链接,将用户的数据封装在隧道中进行传输。隧道技术与接入方式无关,它可以支持各种形式的接入,如拨号方式接入、CABLEModem、xDSL以及ISDN、E1专线和无线接入等。隧道可在网络的任一层实现,最常用的是两层:数据链路层和网络层1.数据链路层隧道:先把各种网络协议封装到PPP中,再把整个数据包装入隧道协议中。这种双层封装方法形成的数据包靠第二层协议进行传输。第二层隧道协议有L2F、PPTP、L2TP等。2.网络层隧道:把各种网络协议直接装入隧道协议中,形成的数据包依靠第三层协议进行传输。第三层隧道协议有GRE、IPSec等。虚拟专用网的隧道技术公司内部网拨号连接因特网L2TP通道用于该层的协议主要有:L2TP:Lay2TunnelingProtocolPPTP:Point-to-PointTunnelingProtocolL2F:Lay2ForwardingL2TP通道基于第二层的VPN三层隧道VPN:以IP地址为依据转发用户数据包,用户网络使用专用的IP地址,服务提供商可参与三层的管理。GRE:GeneralRoutingEncapsulationIPSEC:IPSecurityProtocol基于第三层的VPNInternet分支机构VPN网关AVPN网关B总部通道只需定义在两边的网关上Gateway必须支持IPSecGateway必须支持IPSec数据在这一段是认证的数据在这一段是加密的ISPISP用VPN连接分支机构§VPN的应用Internet业务伙伴VPN网关AVPN网关B公司A主机必须支持IPSec主机必须支持IPSec通道建立在两边的主机之间,因为业务伙伴内的主机不是都可以信任的数据在这一段是加密的数据在这一段是认证的数据在这一段是认证的数据在这一段是加密的数据在这一段是认证的数据在这一段是加密的ISPISP用VPN连接合作伙伴§VPN的应用Internet公司BISP接入服务器VPN网关B主机必须支持IPSecGateway必须支持IPSecPSTN数据在这一段是加密的数据在这一段是认证的数据在这一段是加密的数据在这一段是认证的通道建立在移动用户与公司内部网的网关处用VPN连接远程用户§VPN的应用§VPN概述1.按功能位置:CPE-basedVPN(基于客户端设备)Network-basedVPN(基于网络)2.按业务构成:AccessVPN(远程访问虚拟网)IntranetVPN(企业内部虚拟网)ExtranetVPN(企业扩展虚拟网)3.按实现层次:三层隧道VPN二层隧道VPN应用层(SSL等)VPN的分类§VPN概述4.按组网模型:VPDN:VirtualPrivateDialNetworks虚拟拨号VPRN:VirtualPrivateRoutedNetworks虚拟专用路由VPLS:VirtualPrivateLANSegment虚拟专用LAN网段VLL:VirtualLeasedLines虚拟租用线VPN的分类安全拓扑安全拓扑