网络基础知识培训

网络基础及新技术学习内容提要1网络基础知识2常见网络技术及应用3103工程讲解OSI参考模型•OSIRM：开放系统互连参考模型（OpenSystemInterconnectionReferenceModel）网络世界的通信证!保证不同应用间的数据区分用户接口•数据表示•加密等特殊处理过程TelnetHTTPASCIIEBCDICJPEGOperatingSystem/ApplicationAccessScheduling传输层数据链路层网络层物理层例子会话层表示层应用层应用层作用TCPUDPSPX802.3/802.2HDLCEIA/TIA-232V.35IPIPX例子数据流层的作用传输层数据链路层物理层•可靠或不可靠的数据传输•数据重传前的错误纠正•将比特组合成字节进而组合成帧•用MAC地址访问介质•错误发现但不能纠正•设备间接收或发送比特流•说明电压、线速和线缆等网络层提供路由器用来决定路径的逻辑寻址传输层数据链路层物理层网络层上层数据上层数据TCP头数据IP头数据LLC头0101110101001000010数据MAC头表示层应用层会话层段包比特帧PDUFCSFCSOSI与网络硬件的关系路由器和交换机上的内容智能服务器的负载均衡和第四层交换机第三层交换机和路由器第二层交换机和集线器中继器典型网络模型局域网广域网局域网广域网边缘设备局域网接口广域网接口配置口配置口贺岁大片——《网络帝国》路由器（男主角）网络中最重要的设备，提供最丰富的接口连接、软件特性，也是构建网络的核心力量。以太网设备（L2/L3/LAN接入）（女主角）提供各种以太网接口类型的线速转发功能，是构建局域网和城域网的核心力量。路由交换设备（反串）提供LAN交换板的路由器；提供增强型引擎的交换机——路由器和交换机的融合趋势越来越明显。其他设备（配角）网管、安全、语音、视讯设备，提供网络的管理或业务增值功能。二层或物理层交换设备（剧务）ATM交换机、FR、X.25交换机、DDN节点机、传输设备。对各种物理端口进行带宽或时隙的拆分。交换机•每段有自己的冲突域•广播信息向所有段转发•MAC地址表转发缓冲区交换路由器LAN1LAN2计算机计算机计算机计算机计算机计算机•路由器的核心作用是实现网络互连•分组数据转发•路由（寻径）：路由表建立、刷新、查找•子网间的速率适配•隔离网络，防止网络风暴，指定访问规则（防火墙）•不同网段或者异种网络互连LAN1LAN2计算机计算机计算机计算机计算机计算机WAN路由器工作流程IPETHPPP以太口串口IPETHPPP以太口串口协议封装路由选择协议转换路由器路由器WAN传送拆包LAN1LAN2接收发送工作过程运营级网络的规划流程设备选型物理连通IP连通路由规划拓扑规划MPLS/VPN规划QOS规划板卡规划IP地址规划业务隔离及关键业务确保带宽及流量控制网络安全部署网管规划可运营可管理的安全网络策略路由高级路由协议规划网络的层次划分核心层交换数据包，实现高速的数据流量运转，核心层的设备不但需要容量大，转发快，而且需要具备高稳定性。但通常对业务的需求高。汇聚层隔离拓朴结构变化、控制路由表的大小及控制流量、端口的收敛。实现丰富的业务特性。接入层将终端用户接入到网络中，大量的端口，强大的接入能力。实现丰富的业务特性。几点说明在小型的网络中，层次不一定这么明显，很可能只有两个甚至一个层次的设备。在一些大型网络中，层次可能划分的更细：例如，增加了边缘接入层、和骨干核心层。在某个范围之内的核心层，在上一级网络中很可能只是汇聚层。举例：黑龙江省国家税务局网络内容提要1网络基础知识2常见网络技术及应用3103工程讲解以太网技术的发展趋势企业以太网城域以太网Stackwise/IRFMSTPWLANVoiceVLANIDS联动可信准入链路聚合MPLSVPNQinQMulti-VRF10GRPR/DPTIPV6千兆接入三层到桌面EPONMPLS-TP/MacinMacPOE100G以太网虚拟交换机内容提要1Vlan、VoiceVlan、PVlan等2VRRP3802.1x4ACL5QoS6ARP攻击、DDOS攻击7OSPF协议简介VLAN发展----起源L2L2L2L2L2广播域广播报文VLAN发展----起源L2L2L2L2L2广播域广播报文使用路由器隔离广播域，减少广播报文对网络的影响L2L2L2L2L2广播报文VLAN2VLAN3VLAN4一个VLAN，一个广播域VLAN发展----起源VLAN的引入，为解决广播报文的泛滥提供了新的方法限制广播域，抑制广播报文隔离用户，保证网络安全虚拟工作组，超越传统网络的工作组方式VLAN发展----划分方法基于MAC地址基于交换机端口基于协议基于IP子网VLAN与二层交换----链路类型干道链路接入链路跨越交换机的VLAN报文转发Trunk端口Trunk端口Access端口Access端口VLAN与二层交换---标签化的报文VLAN10VLAN10VLAN20VLAN20VLAN20标签报文VLAN10标签报文无标签报文VLAN与二层交换----交换规则主机和交换机之间传送的是untagged报文交换机之间用干道链路（Trunk）连接交换机用Tag来标识报文所属的VLAN干道链路上传输的是TaggedFrame不同VLAN之间在二层不能相互通讯VLAN发展----VLAN与三层路由不同VLAN之间是隔离一个VLAN原则上对应一个IP子网（PVLAN，VLAN聚合除外）VLAN之间互通需要三层路由VLAN与三层路由----三层交换机+=每一个VLAN对应一个IP网段，在二层上，VLAN之间是隔离的。不同的IP网段之间的访问要跨越VLAN，可以使用三层转发引擎提供的VLAN间路由功能。三层转发引擎就相当于传统路由器的路由功能，当VLAN之间相互通信时也要，需要在三层交换引擎上分配一个路由虚接口，三层交换机上的路由虚接口与路由器的接口不同，不特定于某个物理端口。在三层交换机上为VLAN指定路由虚接口的操作就是为VLAN指定一个IP地址、子网掩码和MAC地址，MAC地址是由设备制造过程中分配的，在配置过程中由交换机自动配置。+VLANVLAN应用——PVLANPVLAN：PrimaryVLAN，即私有VLAN优点：节约交换机VLAN的使用数量特点：PVLAN是个纯二层的概念，在单个交换机上配置的VLAN对于其他交换机是不可见的,不能与Trunk同时使用PVLAN-实现原理241vlan1vlan3vlan2vlan43PrimaryVLANSecondaryVLANLanSwitch使用两层VLAN隔离的方法，只有上层VLAN全局可见，相当于在一个VLAN内实现用户隔离，达到端口隔离的效果VLAN应用——VLAN聚合VLANAggregation：RFC3069——SuperVLAN，SubVLAN概念：在一个物理网络内，用VLAN隔离广播域，不同的VLAN属于同一个子网。优点：节约大量的IP地址：子网地址、广播地址、网关地址，扩展容易VLAN聚合--工作原理正常情况下，一个VLAN对应一个IP子网VLAN聚合中，SuperVLAN对应的路由虚接口，作为所有其SubVLAN包含的端口下挂的主机的网关地址。不同SubVLAN下的主机是不能互通的，如果互通，需要在SuperVLAN上配置ARPProxy。241Subvlan3Subvlan2Subvlan43SuperVLAN1路由接口1.1.1.1/24LanSwitchIP地址：1.1.1.2/24网关：1.1.1.1IP地址：1.1.1.3/24网关：1.1.1.1VoiceVLAN背景随着语音技术的日益发展，IP电话、IAD（IntegratedAccessDevice，综合接入设备）应用越来越广泛，尤其在宽带小区，网络中经常同时存在语音数据和业务数据两种流量。语音数据在传输时需要具有比业务数据更高的优先级，以减少传输过程中可能产生的时延和丢包现象。提高语音数据传输优先级的传统处理方法是使用ACL对语音数据进行区分，并使用QoS保证传输质量。为简化用户配置、更方便的管理语音流的传输策略，交换机提供了VoiceVLAN功能。VoiceVLAN的主要特点就是可以通过报文的源MAC地址自动识别出语音流量，并将语音流量分发到特定的VLAN（VoiceVLAN）中传输。VoiceVLAN技术优势相对于使用ACL/QoS来区分语音流的方法，VoiceVLAN对语音流的管理具有以下一些优势：􀁺配置简单：用户只需要在全局和端口下进行简单的配置，开启VoiceVLAN功能，即可对语音数据进行分类处理，而不需要配置复杂的二层ACL和QoS，也不必关心各规则的匹配顺序以及下发至端口造成的其他问题。􀁺便于维护：用户可以在全局配置对语音数据的匹配规则（VoiceVLANOUI地址）进行修改，在新增IP语音设备的情况下，各端口能够迅速根据更新的匹配规则识别语音流，用户不需要配置新的二层ACL和QoS策略。􀁺实现灵活：相对于ACL/QoS的纯手工静态配置，VoiceVLAN功能在全局提供了安全/普通两种模式，端口上又可以分为自动/手动模式，实现更为灵活，用户可以根据自己需要进行组合，最大限度满足用户的需求。VoiceVLAN组网应用内容提要1Vlan、VoiceVlan、QinQ、PVlan等2VRRP3802.1x4ACL5QoS6ARP攻击、DDOS攻击7OSPF协议简介VRRP工作原理VRRP负载和网络流量均衡内容提要1Vlan、VoiceVlan、QinQ、PVlan等2VRRP3802.1x4ACL5QoS6ARP攻击、DDOS攻击7OSPF协议简介802.1X的背景和概念--传统局域网的缺陷安全性问题：1.用户只要能接入局域网设备,就可以访问网中的设备或资源;2.WLAN的安全性问题更显得突出;运营管理问题：1.IEEE802LAN协议定义的局域网不提供接入认证;2.对于电信接入、写字楼、移动办公等应用需要对用户的接入进行认证、计费和配置；802.1X简介•802.1X协议是IEEE在2001.6通过的正式标准，标准的起草者包括Microsoft，Cisco，Extreme，Nortel等•802.1X协议是基于Client/Server的访问控制和认证协议。它可以限制未经授权的用户/设备通过接入端口访问LAN/WLAN。在获得交换机或LAN提供的各种业务之前，802.1X对连接到交换机端口上的用户/设备进行认证。在认证通过之前，802.1X只允许EAPoL（基于局域网的扩展认证协议）数据通过设备连接的交换机端口；认证通过以后，正常的数据可以顺利地通过以太网端口。802.1X工作过程802.1X特点基于以太网端口认证的802.1x协议有如下特点：•IEEE802.1X协议为二层协议，不需要到达三层，对设备的整体性能要求不高，可以有效降低建网成本；•借用了在RAS系统中常用的EAP（扩展认证协议），可以提供良好的扩展性和适应性，实现对传统PPP认证架构的兼容；•802.1X的认证体系结构中采用了“可控端口”和“不可控端口”的逻辑功能，从而可以实现业务与认证的分离，由RADIUS和交换机利用不可控的逻辑端口共同完成对用户的认证与控制，业务报文直接承载在正常的二层报文上通过可控端口进行交换，通过认证之后的数据包是无需封装的纯数据包；•可以使用现有的后台认证系统降低部署的成本，并有丰富的业务支持；•可以映射不同的用户认证等级到不同的VLAN；•可以使交换端口和无线LAN具有安全的认证接入功能。802.1X与其他认证方式的简单比较802.1XPPPoEWeb认证是否需要安装客户端软件是是否XP不需要业务报文效率高低，有封装开销高组播支持能力好低，对设备要求高好有线网上的安全性扩展后可用可用可用设备端的要求低高较高处理流程清晰清晰较复杂802.1X认证的优势•简洁高效：纯以太网技术内核，保持