迈普公司网络产品培训

迈普公司网络产品培训（上）迈普通信技术股份有限公司售前：刘晓鸣成立时间：1993年，稳健、规范发展专业领域：网络综合解决方案（网络互连及网络应用）产品线：路由、交换、统一通信、网络安全、综合接入经营环节：研发、生产、销售、服务世界上能同时提供高端路由器和高端交换机的厂商不超过15家，中国自主知识产权只有少数几家，迈普是其中之一关于迈普五大产品线|全网解决方案|以IP技术为核心|自主知识产权|超过600款产品产品线构成目录•计算机网络概述•常见网络设备介绍•网络结构设计与设备选型计算机网络概述•网络定义•LAN和WAN•网络拓扑计算机网络SOHOServerIPHotelIntranet移动计算机网络，就是把分布在不同地理区域的计算机以及专门的外部设备利用通信线路互连成一个规模大、功能强的网络系统，从而使众多的计算机可以方便地互相传递信息，共享信息资源。HostAHostBAPDUPPDUSPDUSegmentPacketFrameBit应用层表示层会话层传输层网络层数据链路层物理层应用层表示层会话层传输层网络层数据链路层物理层•网络协议是网络设备之间通信规则的正式描述。通信协议SourceHostADestinationHostBOSI七层参考模型LAN定义•LAN定义：也叫做局域网，是将小区域内的各种通信设备互连在一起所形成的网络，覆盖范围一般局限在房间、大楼或园区内。•特点：距离短、延迟小、数据速率高、传输可靠。•标准（standard）：描述了协议的规定，设定了最简的性能集。Cernet电信1电信2认证计费平台综合网络管理平台服务器群一卡通核心学院中心行政楼中心图书馆中心实验室一卡通核心LAN常用设备•LAN的设计目标：运行在有限的地理区域允许网络设备同时访问高带宽的介质；通过局部管理控制网络的权限；提供全时的局部服务；连接物理上相邻的设备。HUB交换机路由器WAN定义和分类•WAN定义：也叫广域网，在大范围区域内提供数据通信服务，主要用于互连局域网。•WAN通信系统分类：公用电话网：PSTN综合业务数字网：ISDN数字数据网：DDNX.25共用分组交换网帧中继：FrameRelay异步传输模式：ATMIP传输链路公司总部分支机构家庭办公室分支机构中等商业规模网络的星型层次化拓扑结构运营商WAN常用设备•WAN的设计目标：运行在广阔的地理区域；网络控制服从公共服务的规则；提供全时的或部分时间的连接；连接物理上分离的、遥远的、甚至全球的设备。Modem/CSU/DSU路由器交换机常见网络拓扑结构•拓扑结构：总线型、星型、树型环型、网型IP地址编址和路由应用层表示层会话层传输层网络层数据链路层物理层网络地址主机地址10.8.2.48IP地址IP地址格式路由协议路由协议•路由协议：静态路由、RIP、OSPF、BGP等N2N1N1.H1N1.H2N2.H1网络传输过程网络层数据链路层物理层网络层数据链路层物理层网络层数据链路层物理层网络层数据链路层物理层表示层会话层传输层应用层ABCDERouterARouterBRouterC目录•计算机网络概述•网络结构设计与设备选型•常见网络设备简介模块化网络设计综合网络模型：1、企业园区2、企业边界3、服务提供商边界网络管理建筑物接入建筑物分布园区骨干服务器群组边界分布电子商务因特网连接VPN/远程访问WANISPBISPAPSTNFR/ATM企业园区企业边界服务提供商边界企业综合网络模型接入层工作组接入及访问控制层次化网络设计•层次化网络设计思想在互联网组件的通信中引入了三个关键层的概念，这三个层次分别是：核心层（CoreLayer）、汇聚层（DistributionLayer）和接入层（AccessLayer）。核心层为网络提供了骨干组件或高速交换组件。在纯粹的分层设计中，核心层只完成数据交换的特殊任务。汇聚层是核心层和终端用户接入层的分界面。汇聚层网络组件完成了数据包处理、过滤、寻址、策略增强和其他数据处理的任务。接入层使终端用户能够接入网络。同时优先级设定和带宽交换等优化网络资源的设置也在接入层完成。汇聚层路由聚合及流量收敛核心层高速数据转发核心层汇聚层接入层交换交换交换1000Mbps1000Mbps100Mbps100Mbps基于交换的层次结构示例接入层功能接入层为用户提供对网络的访问接口，是整个网络的可见部分，也是用户与该网的连接场所。•接入层的特点建立独立的冲突域建立工作组与汇聚层的连接部署用户的安全接入控制策略（对汇聚层的访问控制和策略进行支持）接入层接入层设备选型•接入层设备需支持的功能二层数据的快速交换支持多用户的接入能够提供和汇聚层设备连接的高带宽链路支持ACL和端口安全功能，保证用户的安全接入支持网络远程管理，支持SNMP协议•典型设备二层交换机例：S3100、S3200汇聚层功能网络的汇聚层是网络的接入层和核心层之间的分界点，用于把大量接入层的路径进行汇聚和集中，并连接至核心层。汇聚层接入层汇聚层设备选型•汇聚层设备需支持的功能不同IP网络之间的数据转发高效的安全策略处理能力提供高带宽链路保证高速数据转发支持提供负载均衡和自动冗余链路支持远程网络管理，支持SNMP协议•典型设备三层交换机S4000、S4100、S4200、S4300核心层功能核心层是网络的高速交换主干，对协调通信至关重要。核心层为网络提供了骨干组件或高速交换组件。在纯粹的分层设计中，核心层只完成数据交换的特殊任务。•核心层特点提供高可靠性提供冗余链路提供故障隔离迅速适应升级提供较少的延时和良好的可管理性核心层汇聚层核心层设备选型•核心设备需支持功能数据的高速交换高稳定性，保证设备的正常运行和管理路由功能支持提供数据负载均衡和自动冗余链路•典型设备核心路由交换机S6600、S6800、S8900、S11800接入层MP1800MP2800MP2824汇聚层MP7508MP3840MP2824核心层MP8800MP7500EMP7508路由器分层选择迈普设备目录•计算机网络概述•网络结构设计与设备选型•常见网络设备简介案例分析——某项目建设拓扑路由器—用于网络互连的计算机设备，必须具备：路由器路由器多个三层接口连接不同的网络协议至少向上实现到网络层具有存储、转发、寻径功能常见网络设备—路由器IPETHPPP以太口串口IPETHPPP以太口串口路由器路由器WANLAN1LAN2拆包协议封装路由选择协议转换发送传送接收工作过程路由器架构网络接口网络接口CPU网络接口CPU网络接口网络接口CPU接口CPU接口CPU接口CPU接口ASIC交换网接口ASICASIC接口ASIC接口CPU接口NP交换网接口NPNP接口NP接口CPU基于多核/NP的交换式路由器基于ASIC的交换式路由器基于分布式CPU转发总线式路由器模块化集中转发路由器固定接口集中转发路由器网络接口CPU常见网络设备—路由器核心路由器汇聚路由器接入路由器MP1800-20MP7500MP8800MP3840MP2824MP1800/2800异种网络互连MP8800隔离广播，指定访问规则路由（寻径）：路由表建立、刷新交换：在网络之间转发分组数据异种网络互连子网间的速率匹配路由器的核心作用：是实现网络互连，数据转发•ASIC--ApplicationSpecificIntegratedCircuit•L2FDB—Layer2forwardingdatabaseport1port2port3port4port5port6MACMACMACMACMACMAC二层交换引擎L2FDBSwitchASIC常见网络设备—交换机•通过识别MAC进行，硬件数据转发SwitchABCD常见网络设备—交换机二层网络•问题广播泛滥，网络性能差网络安全性差•解决方法在二层交换机上引入VLAN功能三层交换机的诞生•新兴园区网流量模式:•传统的路由器在新兴20/80流量规则面前显的无能为力：•解决办法：使用三层交换机来替代路由器ETH0:10.153.0.254/24ETH1:10.153.1.254/24ETH2:10.153.2.254/2410.153.0.113/24G:10.153.0.254/2410.153.1.8/24G:10.153.1.254/2410.153.1.11/24G:10.153.1.254/2410.153.2.22/24G:10.153.2.254/24VLANSwitchLayer3Switch三层交换机功能模型三层交换引擎MACMACMACMACMACMAC二层交换引擎L2FDBL2FDBL2FDBL3FDB三层交换引擎三层交换机基本特征•三层交换机与传统路由器具有相同的功能：根据IP地址进行选路进行三层的校验和使用生存时间（TTL）对路由表进行更新和维护•二者最大的区别三层交换采用ASIC硬件进行包转发而传统路由器采用CPU进行包转发•相比于传统路由器三层交换具有以下优点：基于硬件的包转发，转发效率高低时延低花费•三层交换机实质就是一种特殊的路由器，有很强交换能力，但只能支持以太网口。路由器和三层交换机比较•实际上三层交换机和路由器在高端上其技术是融合的。项目路由器三层交换机端口类型非常丰富，几乎可以支持所有通信端口比较单一，主要支持以太网，在骨干级设备上才会支持POS和ATM转发实现途径主要以CPU加软件实现为主。由硬件ASIC实现转发路由算法最长匹配第一包路由，以后做精确匹配或者最长匹配包转发率低高成本高低二层交换不支持支持三层接口和物理接口对应关系一一对应一个VLAN三层接口可以包含多个物理接口常见网络设备—交换机核心交换机汇聚交换机接入交换机S6800S6600S4200S4100S4300S4000S3000S3100S3200S3300S8900•防火墙的定义：是在两个网络之间执行访问控制策略的一组硬件和软件系统，其目的是保护本地网络的通信安全。•防火墙的保护功能：防火墙对内部网络的保护是双向的。从入的方向上，它阻止外面网络对本地网络的非法访问和入侵；从出的方向上，它控制本地网络对外部不良网络进行访问或者是未经允许的数据输出，防止内部信息的泄露。DMZ区Trust可信区域防火墙InternetUntrust不可信区域企业内部需要保护的区域企业对外提供服务功能属于缓冲区外网，默认是不安全的对外服务器常见网络设备—防火墙防火墙主要是让网络“断”，默认所有数据都丢弃，只有合法的数据才能通过。主要分为以下3种类型防火墙：包过滤防火墙：根据一组规则允许/阻塞一些数据包。应用代理型防火墙：作为应用层代理服务器，提供安全防护。状态检测型防火墙：比包过滤防火墙具有更高的智能和安全性，会话成功建立连接以后记录状态信息并时时更新，所有会话数据都要与状态表信息相匹配；否则会话被阻断。状态检测技术现代防火墙基本为3种类型防火墙的综合体，即采用状态检测型包过滤技术，同时提供透明应用代理功能。常见网络设备—IDS常见网络设备—IPS包头内部网络DPtechIPS防火墙协议数据内容InternetIPS定义：IntrusionPreventionSystem，入侵防御系统IPS的两个关键特征：深入七层的数据流攻击特征检测在线部署，实时阻断攻击49服务器防火墙IDS报警!!!发送TCPRST指令，终止TCP连接to重新配置防火墙，使其能阻挡来自攻击地址的流量只有在线内对流量进行处理，才能真正阻挡出现在网络上出现的攻击IPS的优势防火墙与IDS联动无法实现•整个操作要花100毫秒的时间，这对现代微秒级的网络来说是一个巨大的延时•事后防御，不能阻挡单包攻击IPS能在一个攻击发生危害之前，对其实施阻挡•根据每个数据包，作出允许还是拒绝的决定，不需要与防火墙联动服务器防火墙线内操作，只要检测到攻击，就进行阻挡常见网络设备—VPN网关用VPN连接远程用户用VPN连接分支机构关键词：IPSecVPN关