Network Design 第四章 逻辑网络设计 中国科学技术大学网络学院 李艺 leeyi@ustc.edu.cn
第一章 概述 第二章 用户需求分析 第三章 现有网络分析 第四章 逻辑网络设计 第五章 网络设备选择 第六章 WAN接入设计 第七章 网络介质设计 第八章 网络设计案例
4.1 逻辑设计概述 4.2 物理层的考虑 4.3 网络设备的考虑 4.4 网络拓扑结构考虑 4.5 网络管理的考虑 4.6 TCP/IP寻址的考虑 4.7 网络安全的考虑 4.8 防火墙的考虑 4.9 冗余设计 4.10 编写逻辑设计档案
4.1 逻辑设计概述 确定逻辑设计目标 运行成本最低;需要权衡的是:最小运行成本、最少安装成本、最高的运行性能、最大的适应性、最大的安全性和可靠性、最短的故障时间。 整体性能要好,成本与性能是一个两难选择; 用户操作简单,尽量简化; 安全性好;确定需要安全保护的系统,进行风险分析。 具有良好的适应性和灵活性,这是技术层面的评价,主要考虑: 广播(后台)通信,网络配置不当,会产生大量的后台广播; 连接类型,无连接与面向连接。在稳定传输率下传输大量信息,如视频,最适合于面向连接的协议;如果是突发性的传输,如C/S服务,则适合无连接协议; 可升级性,必须保证网络和应用程序具有可扩展性。 作出技术选择。
4.2 物理层的考虑 用需求和流量说明书作为指导 开始设计物理层前,阅读对需求和流量进行总结的建议,重点放在那些通过特别选择的物理层技术能够部分或全部实现的需求上。 增长与可升级性:将来对网络的添加、升级,要考虑安装或重配置的难易程度。 响应时间、带宽和数据传输率:用户需要多大的带宽?广域网连接是否超负荷?主干网或高性能工作组比广域网应用有更多的需求吗? 可靠性、可恢复性:必须从下至上实施。物理传输技术能持续可用吗?信息蜂拥时,无线连接也能工作吗?周围环境有电磁干扰吗? 网络安全:物理层的网络安全是未经授权而非法访问网络介质,主要防范利用监听线缆来监视或截获传输信息。铜缆线、无线很容易被监听或截获,而光缆最安全。 远程接入:必须明确用户需要的远程接入方式。通常有拨号接入、无线接入或卫星接入,用户是在同一城市还是在世界各地? 节约成本:用现存的线缆网卡可行吗?
对物理层的需求了解清楚后,可以进行物理介质和网卡的选择了 物理介质: 需求向物理介质映射特点 对物理层的需求了解清楚后,可以进行物理介质和网卡的选择了 物理介质: 物理介质对照表 要素 双绞线 光纤 细缆 粗缆 无线 距离 较短 较长 适中 适中(视距传播) 抗干扰性 低(UTP) 适中(STP) 非常高 低 安装难易 简单 专业人员 微波专业安装人员 费用 高 较低 拓扑结构 总线、星型、环型 星型 总线 - MAC协议 以太网、令牌环、CDDI FDDI、ATM、SONET、以太网 以太网、令牌总线 以太网、令牌网、FDDI 数据速率 100Mbps >100Mbps 10Mbps 微波:5.7Mbps;扩频:1-2Mbps
物理介质的选择依赖于MAC协议的选定: 物理层规范表 类型 信令 技术 物理介质 速率 M bps 最大分段 距离(m) 最大 分段数 中继器数 最大中继器 间距离(km) 802.3 10BASE5粗缆 基带 50Ω粗同轴电 缆 10 500 100 4 2.4 10BASE2细缆 50Ω细同轴电 缆 200 30 0.9 10BASET双绞线 非屏蔽双绞线 - 10BROAD36CATV缆 宽带 75ΩCATV同 轴电缆 3600 3.6 FDDI 调幅 光缆 1000 2 802.5 屏蔽令牌环 曼码 16 300 12 0.2 非屏蔽令牌环 14 0.12
网卡 网卡特征表 指标 特征值 所支持的LAN 以太网、快速以太网、千兆以太网、FDDI、ISDN、Arcnet、令牌环、 所支持的计算机总线 MCA、ISA、EISA、PCI、NuBus、VME、USB RAM缓冲K (b/s) 8,16,32 总线大小 (位) 数据速率 4,10,16,100 Mb/s; 1Gb/s 介质类型 10BASE2、10BASET、UTP、STP、光缆 所支持的旧版本 Vines、NetWare、AppleTalk等 价格/功能 参看供应商的说明书
4.3 网络设备的考虑 逻辑网络设计必须指定连接LAN各端或者跨区域的多个LAN连接的设备类型。这些设备都要联合工作。本节主要说明这些设备如何协同工作的。 学习目标 弄懂路由器与交换机之间的区别; 叙述路由器与交换机在隔离网络方面是如何协同工作的; 说明物理网络组件逻辑网络组件之间的区别。 知识重点 网络可用交换机和(或)路由器进行分割。
用交换机和路由器设计网络 网络设计常常组合使用这两种设备,建立高性能、可升级性网络。 用交换机和路由器划分子网: 交换机工作在第二层,划分子网的目的是提供附加带宽; 路由器工作在第三层,划分子网的目的是限制广播通信,并提供网络安全和控制单个广播域内的冗余。 示例环境: 以工作组环境为例。所谓工作组,就是共享计算机资源的用户集合。工作组中计算机数量可多可少,计算机之间物理位置可近可远,但组成成员的计算机固定。
下图就是一个工作组环境。通常工作组是先于网络设备安装的。图中只有两个集线器,实际工作组可能包含10-20个集线器。 在这个例子中,网管想利用服务器可用的最大带宽,将PC机分成更小的冲突域来共享10 Mb/s 的接入带宽,只有有限的特权用户才需要10 Mb/s的带宽用于运行程序。要实现这一目标,网管就要判断是安装交换机还是路由器,以消除日益增长的服务器瓶颈。 工作组1 工作组2 集线器 服务器 示例环境:典型的集线器工作组
路由器通过专用高速接口与服务器相连;通过以太网接 口与每个集线器相连。 路由器方案: 路由器通过专用高速接口与服务器相连;通过以太网接 口与每个集线器相连。 优点:将一个大的广播/冲突域分解成了多个小型的广播/冲 突域。使得小区域中接点间的流量大大提高。 缺点:和交换机相比,路由器价格更贵;算法复杂,时间 代价更大。 实际上网管不会认同这种费钱、费时的方案。 路由器实现方案 工作组1 工作组2 集线器 服务器 路由器
交换机方案: 在交换环境中,一个广播域被分成4个独立的10Mbps的冲 突域,给服务器分配了10Mbps的接入,消除了这些接点之间的 访问竞争。特权用户可以直接接入交换机. 本地服务器也提供高速接口,与交换机高速接口想匹配, 消除了可能出现的瓶颈。例如,以太网中5个10 Mbps的交换机 口以每秒4000帧(FPS)的速率向服务器发送64字节(8位)的数 据帧,服务器的端的总负荷是20000 FPS。这远远超过了标准以 太网对64字节(8位)数据帧的14880 FPS的限制,若服务器安 装100 Mbps快速以太网卡,这个问题随之消除。因为此网卡对 64字节数据帧能达到148800 FPS的速率。 工作组1 工作组2 集线器 交换机 服务器 交换机实现方案
如果工作组需要访问位于数据中心堆叠式的主干设备,就需要 在交换机上添加另一个高速下行链路模块。 由于高速技术的影响主要体现在主干网和数据中心,工作组交 换机应当应用这一技术为网络的增长提供平稳的升级方案。 优点: 价格比路由器便宜; 运行速度快; 方案简单,维护管理方便。随着网络设备数量增加,减少 复杂设备、增加简单设备带来的管理、维护方便的优点更 加突出。
部门工作组:由多个小型工作组构成的大型工作组。如下图示。 下图中,由小型交换机组网部门工作组,分为3个独立的冲突 域。如果服务器需要更大的带宽,连接部门服务器的集线器可以换成 低成本的10 Mb/s的交换机。 用模块化的部门交换机组件可以将各自分割独立的数个工作组 组成大型工作组。这些交换机组件提供包括以太网、FDDI、ATM的 高速接口。利用部门交换机和共享高速接口,所有的用户都可以访问 部门服务器。 高端工作组交换机可以提供单个工作组交换机功能、先进的交 换技术、宽裕的性能指标、模块化的多种功能和升级能力。 总之,部门 级交换机是管理一 层楼或整个建筑物 范围的工作组设备。 交换机 集线器 集线器 集线器 服务器 工作组1 工作组2 部门服务器 部门工作组
考虑广播数据流:交换环境会产生大量的广播数据流和多播数据流 。有些协议(如IP协议)只产生一定量的广播数据流;而有些协议( 如IPX协议)要大量利用RIP协议和SAP协议的广播数据流。 限制的方法是,设计部门工作组网络时,组内计算机数量不 能过多。应该考虑如下因素: 网络性能; 故障分隔; 广播数据流对节点CPU运行的影响; 网络安全。 一般来说,100-200个用户的交换工作组中广播数据流不是很 严重的问题,除非使用了某些性能不理想的协议或网络负荷陡增。 “广播抑压”技术:有些交换机生产商采用“广播抑压 ”(broadcast throttle)技术来限制交换机广播帧的传输量。原理 是在每个指定的时间段内,对通过交换机的广播数据帧或多播数据 帧进行计数,一旦达到计数门限,随后的广播帧或多播帧就不能通 过交换机,除非从下一个时间段开始计数。 在大型交换网中,广播数据流和多播数据流对某些网络设备 的影响非常大。
这种物理分割的效果在于,大量的信息流只在工作组内交流 ,而经过路由器交换转发的组间信息流大量减少,路由器的低吞吐 量就显得不明显了。 物理分割: 为消除交换机组网的广播流过大的问题,可以用路由器将网 络进行物理划分。使原来共处一个广播域的网络划分成几个广播域 。下图用路由器作为部门工作组的顶级网络设备,下面连三个交换 机,服务器分散到各自的工作组内,这样就使得共处一个广播域的 各个工作组分成了三个独立的工作组。从而消除了广播风暴对整个 网络的负面影响。 这种物理分割的效果在于,大量的信息流只在工作组内交流 ,而经过路由器交换转发的组间信息流大量减少,路由器的低吞吐 量就显得不明显了。 路由器 交换机 服务器 交换机 服务器 交换机 服务器 工作组1 工作组2 工作组3 物理分割
逻辑分割: 划分子网更为灵活的方法是用交换机构造相互独立的物理工作 组,然后用VLAN技术在个子网中灵活地选择任意的计算机组成逻辑 子网。减少了因为挪动节点到另外一个子网带来的劳动成本。 如果节点要进行广播或多点传输,信息只传输到位于源站点的 VLAN端口。每个交换机端口都配置在VLAN1和VLAN2中。VLAN之 间的信息由路由器传播。 这样的组网既保证安全,又便于网络管理。 智能交换机 终端交换机 服务器 路由器 工作组1 工作组2 用路由器和VLAN进行逻辑分割
主干网设备的实现: 是否选择堆叠式设备?主干网核心设备的选择,影响整个网络工 程的成本和性能。堆叠式的主干设备可能是一台交换机,也可能 是一台路由器。堆叠式的主干设备的优点在于,集中复杂性,提 高了整体性能,减少成本,支持服务器组模型,管理集中。缺点 在于,成为性能瓶颈,一旦崩溃,整个网络瘫痪。 选择交换机还是路由器?如果网干的功能仅仅是性能要求,就选 择一台交换机。因为交换机以线缆速度进行数据包传输并且价格 便宜;若性能与安全并举,就选择路由器。路由器虽然贵,但得 到了控制手段,保障了安全,还留有冗余。限制了广播流量。
4.4 网络拓扑结构考虑 网络的拓扑结构有很多类型,但层次化网络设计是我们的首选。为什么把网络设计为层次化呢? 在一个大型非层次化网络中,当网络设备与其它设备通信时,网络上广播数据包会产生负担。广播数据包会在广播域内的每一台设备的CPU产生中断,这些设备必须安装能处理该数据包的协议并花费大量时间。 非层次化的另一个问题是,CPU需要承载路由器与其他路由器之间的通信。而层次化网络设计方法允许设计模块化的拓扑结构限制通信路由器数量。 层次化设计的模块化特性允许在层次结构的每一层进行精确的容量规划,以减少带宽浪费。 层次化设计使网络易于改变。当网络的局部发生变化时,升级的成本限制在很小的局部网络中。而大型平面或网状网络,网络的改变会影响系统的许多部分。 当可扩展性是主要目标时,推荐使用层次化拓扑结构,因为它很容易扩展。 现今的快速收敛路由选择协议都是为层次化拓扑结构设计的。
一般由连接成环路的几个站点构成。每个站点都有一台广域网路由器,通过点到点链路与其他站点相连(下左图)。这种结构的特点是成本低。 平面广域网拓扑结构 一般由连接成环路的几个站点构成。每个站点都有一台广域网路由器,通过点到点链路与其他站点相连(下左图)。这种结构的特点是成本低。 这种结构在环路相反方向的路由器之间要经历许多跳,延迟和出错率增高。如果流量分析显示环路拓扑中相反方向的流量加大了,就应该选择层次化拓扑结构了(下右图)。这种结构的好处是可扩展性好,延迟低,可用性高。 公司总部 销售公司 市区老厂 郊区工厂 平面环路拓扑 层次化拓扑
平面局域网拓扑结构 在局域网中使用层次化结构,我们将PC机和服务器连接到交换机上,可以把路由器添加到局域网中,将整个局域网分割成多个广播域,减少广播辐射的影响。 同时,层次化结构中,高端交换机为高流量提供最大的带宽,低端交换机提供廉价的接入。
层次化结构的设计从物理拓扑上就限制了邻接路由器的数量,软件上就不需要限制。并且,网络崩溃而重建路由的代价小得多。 网状拓扑结构 可靠性高是网状结构的显著优点,但成本高昂、维护难度大,升级困难的缺点也很郁闷。网状结构对于广播路由选择更新或路由通告的邻接路由器有限制。随着邻接路由器的增加,更新进程占用的带宽和CPU资源也随之增加。 层次化结构的设计从物理拓扑上就限制了邻接路由器的数量,软件上就不需要限制。并且,网络崩溃而重建路由的代价小得多。 路由器 部分网状结构 全网状结构
三层层次化结构模型 网络层次化模型一般分为三层结构: 核心层:网络的高速主干,设计的考虑是高速率、高可靠性。选择高速率、低延迟的路由器机作为主干设备,选择冗余链路和冗余设备作为高可靠的保证。 分布层:常在此进行对资源访问的控制,对通过核心层流量的控制,以及VLAN的配置。 分布层可以在高带宽的接入层路由选择协议和优化的核心层路由选择协议之间重新分发路由。 分布层应该向核心路由器隐蔽接入层的详细拓扑结构信息,只向核心层通告少量的接入层信息。 接入层:为用户提供访问互连网的能力。该层设备主要考虑低成本、满足用户需求的带宽。
中国科大校园网主干示意图
层次化网络设计原则 原则一:控制网络层次的加大,一般有三个层次就够了,否则延迟加大。常见的设计错误,是在接入层增加一条链路,或增加一个后门。增加一条链路的结果是使网络增加了一个第4层,它使延迟增加;所谓后门是指同一层设备之间的一个连接,它引起不可预知的路由选择和交换。 尽管有一些合理的理由需要增加一条链接或后门,但应尽量避免。 原则二:首先设计接入层,然后是分布层,最后才是核心层。从接入层开始,可以精确地为分布层和核心层进行容量规划。 增加一条链路 分布层设备 接入层 交换机 服务器 增加一个后门
园区网拓扑结构的考虑 园区网拓扑结构具有低带宽、小广播域、冗余、镜像服务器、扩展频繁等特色。园区网应设计成层次化结构,以适应这些要求。 园区网应具有交换式骨干网,连接园区的各个大楼。大容量的服务器群直接连接在骨干网上。园区网络设计中,网管是很重要的部分,应提供对网络设备的维护、监测入口。从功能上划分,园区网包括: 园区基础设施模块; 服务器群组; 网络管理模块; 边界互连模块。 见右图示。 网络管理模块 服务器群组 服务器 楼层接入 园区骨干 建筑物分布 园区基础设施模块 边界分布模块 因特网 连接 电子 商务 VPN WAN ISP A ISP B PSTN FR ATM ISP边界 园区网络功能模型
生成树STP产生的原因-路径回环 LAN 1 LAN 2 1 2 3 此页标题禁止有多级标题,更不要出现所在章节的名称。 此页标题要简练,能直接表达出本页的内容。 内容页可以除标题外的任何版式,如图、表等。 该页在授课和胶片+注释中都要使用。
引入生成树协议(STP) ROOT 通过阻断冗余链路来消除桥接网络中可能存在的路径回环 当前活动路径发生故障时激活冗余备份链路恢复网络连通性 LAN A LAN C LAN E LAN B LAN D 此页标题禁止有多级标题,更不要出现所在章节的名称。 此页标题要简练,能直接表达出本页的内容。 内容页可以除标题外的任何版式,如图、表等。 该页在授课和胶片+注释中都要使用。 通过阻断冗余链路来消除桥接网络中可能存在的路径回环 当前活动路径发生故障时激活冗余备份链路恢复网络连通性
生成树协议的基本原理 基本思想:在交换机之间传递特殊的消息(配置消息),包含足够的信息做以下工作: 从网络中的所有交换机中,选出一个作为根网桥(Root) 计算本交换机到根网桥的最短路径 对每个LAN,选出离根桥最近的那个交换机作为指定网桥,负责所在LAN上的数据转发 交换机选择一个根端口,该端口给出的路径是此网桥到根桥的最佳路径 选择除根端口之外的包含于生成树上的端口(指定端口) 此页标题禁止有多级标题,更不要出现所在章节的名称。 此页标题要简练,能直接表达出本页的内容。 内容页可以除标题外的任何版式,如图、表等。 该页在授课和胶片+注释中都要使用。
桥协议数据单元的内容 桥协议数据单元(BPDU)也被称作配置消息 主要内容包括 根网桥的Identifier(RootID) 从指定网桥到根网桥的最小路径开销(RootPathCost) 指定网桥的Identifier 指定网桥的指定端口的Identifier 即(RootID,RootPathCost,DesignatedBridgeID,DesignatedPortID) 此页标题禁止有多级标题,更不要出现所在章节的名称。 此页标题要简练,能直接表达出本页的内容。 内容页可以除标题外的任何版式,如图、表等。 该页在授课和胶片+注释中都要使用。
桥协议数据单元格式 DMA:目的MAC地址 配置消息的目的地址是一个固定的桥 的组播地址(0x0180c2000000) SMA L/T LLC Header Payload 值 域 占用字节 协议ID 2 协议版本 BPDU类型 标志位 根桥ID 根路径开销 指定桥ID 指定端口ID Message Age 1 8 4 Max Age Hello Time Forward Delay DMA:目的MAC地址 配置消息的目的地址是一个固定的桥 的组播地址(0x0180c2000000) SMA:源MAC地址 即发送该配置消息的桥MAC地址 L/T:帧长 LLC Header:配置消息固定的链路头 Payload:BPDU数据 此页标题禁止有多级标题,更不要出现所在章节的名称。 此页标题要简练,能直接表达出本页的内容。 内容页可以除标题外的任何版式,如图、表等。 该页在授课和胶片+注释中都要使用。
桥协议数据单元的处理 将各个端口收到的配置消息和自己的配置消息做比较,得出优先级最高的配置消息更新本身的配置消息,主要工作有: 选择根网桥RootID:最优配置消息的RootID 计算到根桥的最短路径开销RootPathCost:如果自己是根桥,则最短路径开销为0,否则为它所收到的最优配置消息的RootPathCost与收到该配置消息的端口开销之和 选择根端口RootPort:如果自己是根桥,则根端口为0,否则根端口为收到最优配置消息的那个端口 选择指定端口:包括在生成树上处于转发状态的其它端口 从指定端口发送新的配置消息 此页标题禁止有多级标题,更不要出现所在章节的名称。 此页标题要简练,能直接表达出本页的内容。 内容页可以除标题外的任何版式,如图、表等。 该页在授课和胶片+注释中都要使用。
如何确定最优的桥协议数据单元 配置消息的优先级比较原则: 假定有两条配置消息C1和C2,则: 如果C1的RootID小于C2的RootID,则C1优于C2 如果C1和C2的RootID相同,但C1的RootPathCost小于C2,则C1优于C2 如果C1和C2的RootID和RootPathCost相同,但C1的TransmitID小于C2,则C1优于C2 如果C1和C2的RootID、RootPathCost和TransimitId相同,但C1的PortID小于C2,则C1优于C2 此页标题禁止有多级标题,更不要出现所在章节的名称。 此页标题要简练,能直接表达出本页的内容。 内容页可以除标题外的任何版式,如图、表等。 该页在授课和胶片+注释中都要使用。
生成树协议的不足 端口从阻塞状态进入转发状态必须经历两倍的Forward Delay时间,所以网络拓扑结构改变之后需要至少两倍的Forward Delay时间,才能恢复连通性 如果网络中的拓扑结构变化频繁,网络会频繁的失去连通性,这样用户就会无法忍受。 此页标题禁止有多级标题,更不要出现所在章节的名称。 此页标题要简练,能直接表达出本页的内容。 内容页可以除标题外的任何版式,如图、表等。 该页在授课和胶片+注释中都要使用。
快速生成树协议 快速生成树协议是从生成树协议发展而来,实现的基本思想一致; 快速生成树具备生成树的所有功能; 快速生成树改进目的就是当网络拓扑结构发生变化时,尽可能快的恢复网络的连通性。 此页标题禁止有多级标题,更不要出现所在章节的名称。 此页标题要简练,能直接表达出本页的内容。 内容页可以除标题外的任何版式,如图、表等。 该页在授课和胶片+注释中都要使用。
快速生成树的改进一 TO ROOT TO ROOT LAN B LAN B 指定端口 F F 指定端口 指定端口 F F 指定端口 LAN A LAN A LAN A LAN A F 此页标题禁止有多级标题,更不要出现所在章节的名称。 此页标题要简练,能直接表达出本页的内容。 内容页可以除标题外的任何版式,如图、表等。 该页在授课和胶片+注释中都要使用。 阻塞端口 F 旧根端口 新根端口 阻塞端口 如果旧的根端口已经进入阻塞状态,而且与新根端口连接的对端交换机的指定端口处于Forwarding状态时,则在新拓扑结构中的根端口可以立刻进入转发状态,。
快速生成树的改进二 指定端口可以通过与相连的网桥进行一次握手,快速进入转发状态。 LAN A F 4 1 2 LAN B 3 握手请求 握手响应 4 1 2 此页标题禁止有多级标题,更不要出现所在章节的名称。 此页标题要简练,能直接表达出本页的内容。 内容页可以除标题外的任何版式,如图、表等。 该页在授课和胶片+注释中都要使用。 LAN B 3 根端口
一次握手之后,响应握手的网桥的非边缘指定端口将变为blocking状态,则需要继续向自己的邻接网桥发起握手 两点注意: 握手必须在点对点链路的条件下进行 一次握手之后,响应握手的网桥的非边缘指定端口将变为blocking状态,则需要继续向自己的邻接网桥发起握手 F 指定端口 LAN A 此页标题禁止有多级标题,更不要出现所在章节的名称。 此页标题要简练,能直接表达出本页的内容。 内容页可以除标题外的任何版式,如图、表等。 该页在授课和胶片+注释中都要使用。 LAN A 指定端口 F F 指定端口 LAN B LAN C 非点到点链路 握手的扩散
快速生成树的改进三 网络边缘的端口,即直接与终端相连,而不是和其它网桥相连的端口可以直接进入转发状态,不需要任何延时。 F LAN A TO ROOT LAN A 此页标题禁止有多级标题,更不要出现所在章节的名称。 此页标题要简练,能直接表达出本页的内容。 内容页可以除标题外的任何版式,如图、表等。 该页在授课和胶片+注释中都要使用。 LAN B LAN C 根端口 阻塞端口 F LAN D 边缘端口
快速生成树的性能 第一种改进的效果:发现拓扑改变到恢复连通性的时间可达数毫秒,并且无需传递配置消息。 第二种改进的效果:网络连通性可以在交换两个配置消息的时间内恢复,即握手的延时;最坏的情况下,握手从网络的一边开始,扩散到网络的另一边缘的网桥,网络连通性才能恢复。比如当网络直径为7的时候,要经过6次握手。 第三种改进的效果:边缘端口的状态变化不影响网络连通性,也不会造成回路,所以进入转发状态无需延时。 快速生成树也是在整个交换网络应用单生成树实例,不能解决由于网络规模增大带来的性能降低问题 此页标题禁止有多级标题,更不要出现所在章节的名称。 此页标题要简练,能直接表达出本页的内容。 内容页可以除标题外的任何版式,如图、表等。 该页在授课和胶片+注释中都要使用。
4.5 网络管理的考虑 网络管理就是对网络进行维护、控制、财务核算以及排除网络及 其设备故障。有很多用于远程管理网络组件的软件和硬件解决方案, 它们大多建立在 SNMP 协议之上。远程网络管理(RMON)具有附 加功能和更高的效率。 网络管理目的: 减少停机时间,改进响应时间,提高设备利用率 减少运行费用,提高效率 减少/消灭网络瓶颈 适应性技术 容易使用 安全 学习目标:掌握SNMP协议的主要优缺点;RMON是如何解决这些缺 点的。 关键知识:网络管理主要是对网络进行超前管理。
SNMP的局限性 SNMP(简单网络管理协议)是一种广为执行的网络协议, 它使用嵌入到网络设施中的代理软件来收集网络通信信息和有关 网络设备的统计数据。代理不断地收集统计数据,如所收到的字 节数,并把这些数据记录到一个管理信息库(MIB)中。网管员通 过向代理的MIB发出查询信号可以得到这些信息,这个过程叫轮 询(polling)。 虽然MIB计数器将统计数据的总和记录下来了,但它无法 对日常通信量进行历史分析。为了能全面地查看一天的通信流量 和变化率,管理人员必须不断地轮询SNMP代理,一天中每分钟 就轮询一次。这样,网管员可以使用SNMP来评价网络的运行状 况,并揭示出通信的趋势,如哪一个网段接近通信负载的最大能 力或不必要地正使通信出错。先进的SNMP网管站甚至可以进行 编程来自动关闭端口或采取其它矫正措施来处理历史的网络数据 。
传统SNMP模型在大型LAN的布局有如下的局限性: 它没有伸缩性。在大型的网络中,轮询会产生巨大的网络管理通 信量,因而导致通信拥挤情况的发生。 它将收集数据的负担加在网络管理控制台上。管理站也许能轻松 地收集8个网段的信息,当它们监控48个网段时,恐怕就应付不下 来。 管理员与客户间通信 网管工作站 服务器 受控 受控工作站 流量监视器 路由器 代理软件 管理软件 链路A 链路B 链路A:运行中 链路B:已中断 发送链路状态
远程监控(RMON) SNMP标准基本功能集最重要增强功能是RMON。与SNMP类 似,RMON是基于客户机/服务器结构的。见下图示。RMON代理的 功能类似于服务器,通过探测来维护历史统计数据,亦称为探测器。 代理的这种附加功能免除了NMS定期发送调查测试来建立网络运行趋 势历史记录的需要。 RMON代理可作为单机设备(带有专用CPU和内存)配置。也 可嵌入集线器、交换机或者路由器中。例如,3Com系统的LAN交换 机配线就在每个交换机中安装有相应软件来跟踪流经的流量,并在 MIB中记录,通过图形用户界面(GUI)向管理员提供信息。 远程管理与探测器通信 NMS RMON客户机 管理程序轮询,发送历史记录 代理响应(历史记录表) RMON MIB 计数器 本地 历史 网络设备 RMON服务器 分析 工具
NMS作为客户机运行,它组织和分析由探测器诊断到的网 络故障数据。NMS和分布式RMON探测器之间的通信采用SNMP 进行,它提供了远程网络分析的基础。 RMON统计数据存档能力是的管理员可以为网络运行开发 基线模型。基线模型确立并配置好后,管理员可以确定网段正常 运行状态的阈值,用于监视网段流量。当流量超过该阈值时,探 测器就会给NMS发出警告。 NMS接到警告后,激活高级RMON性能来诊断该故障。例 如,RMON内的 HostTopN 组可以确定是哪个主机在处理网段内 的大部分对话,与谁进行对话,对话人是在本网段内还是在 Intranet内。利用这些信息,管理员可用主机组的某个指定的主机 来响应这个警告。 当然,RMON中数据包截获组和过滤器用探测器将数据包 截获,并利用协议分析仪来辅助解决这种异常情况。
RMON性能:与传统的SNMP相比,RMON是较高级的Intranet管 理工具。其特点表现为: RMON极大地降低了网络管理的流量。由于WAN通道带宽比 LAN链路带宽小得多,网管应充分利用RMON探测器实施网管 ,而不是利用SNMP进行调查测试。以将宝贵的WAN带宽留给 用户传输数据。 RMON提供有关整个网络的信息,例如所有网络设备、服务器 、应用程序和所有用户。 RMON MIB:Internet工程特别小组(IETF)于1991年11月公布了RMON MIB来解决SNMP在日益扩大的分布式网络中所面临的局限性。实现了对异构环境进行一致的远程管理,它为通过端口远程监视网段提供了合适的解决方案。RMON是对SNMP标准的扩展,定义了标准功能以及在基于SNMP管理站和远程监控者之间的接口,主要实现对一个网段乃至整个网络的数据流量的监视功能,目前已成为成功的网络管理标准之一。
RMON MIB特点 可以记录某些网络事件,即使在网络管理站没有与监控设备主动进行联接(脱机)的情况下,也同样可以完成记录。 可以用于记录网络性能数据和故障历史,可以在任何时候访问故障历史数据以有利于进行有效的故障诊断。使用这种方法减少了管理者同代理间的通信流量,使简单而有力地管理大型互联网络成为可能。 RMON的一个重要的优点还在于它与现存的SNMP框架相兼容,不需对该协议进行任何修改。 RMON MIB如何收集数据: 一种是通过专用的RMON探测仪(Probe),网管站直接从探测仪获取管理信息并控制网络资源,这种方式可以获取RMON MIB的全部信息; 另一种方法是将RMON代理直接植入网络设备(路由器、交换机、Hub等)使它们成为带RMON Probe功能的网络设施,网管站用SNMP的基本命令与其交换数据信息,收集网络管理信息,但这种方式受设备资源限制,一般不能获取RMON MIB的所有数据,大多数只收集四个组的信息。
RMON MIB功能组 RMON提供的信息可以进行较SNMP MIB更为全面的网络管理,标准的RMON MIB功能可以划分为十个组: 统计累计的局域网通信和故障统计数据; 历史进行趋势分析的区间抽样统计数据; 报警确定阀值; 主机由介质访问控制地址(MAC)组成的统计数据; HostTop N按MAC地址排序的统计数据; 矩阵所追踪的两个设备之间的对话; 事件对报警信号所引起的操作进行控制的机制; 过滤器数据包选择机制; 包捕获数据包收集和上载机制; 令牌环针对令牌环设备的特殊参数,包括环站、环站次序、环站配置、源路由统计数据。
RMON2 MIB 在RMON基础上产生的 RMON2 标准能将网管员对网络的监控层次提高到网络协议栈的应用层。因而除了能监控网络通信与容量外,RMON2还提供有关各应用所使用的网络带宽量的信息,这也是在客户机/服务器环境中进行故障排除的重要因素。 RMON在网络中查找物理故障,RMON2 进行的则是更高层次的观察,它监控实际的网络使用模式。RMON探测器观察的是由一个路由器流向另一个路由器的数据包,而RNOM2 则深入到内部,它观察的是哪一个服务器发送数据包,哪一个用户预定要接受这一数据包,这一数据包表示何种应用。网管员能够使用这种信息,按照应用带宽和响应时间要求来区分用户,就像过去他们使用网络地址生成工作组一样。 RMON II没有取代RMON,而是它的补充技术。RMON II在RMON标准基础上提供一种新层次的诊断和监控功能。事实上,RMON II能够监控执行RMON标准的设备所发出的意外事件报警信号。
RMON与RMON2 的网络管理着眼点 网络管理问题 相关OSI层 管理标准 物理故障与利用 介质访问控制层(MAC) RMON 局域网网段 数据链路层 网络互连 网络层 RMON 2 应用程序的使用 应用层
RMON和RMON2所支持的协议层 应用层 表示层 会话层 运输层 网络层 数据链路层 物理层 Monitored By RMON2 OSI Model RMON和RMON2所支持的协议层
用RMON/RMON2 监控LAN流量 确定关键网段:要想用RMON/RMON2 对LAN进行交互式管理, 设计者必须首先确定哪个网段对网络的运行起关键作用。一般来 说,主干网、重要工作组、交换机到交换机链路、服务器所在的 网段等都是重要的关键网段。 确定关键位置:若决定这些关键网段全部采用 RMON/RMON2 设 备进行管理,应当安装在最关键的位置。 制定管理方案:后制定一个方案,保证RMON/RMON2 所接收的 统计数据和通信信息来自网络中的合适位置(即网卡、网络设备 、单机探测器等)。客户应用程序可运行在专用管理工作站、MS Windows工作站和网站上。对收集的数据进行解释,然后发给网 络管理组。 网管可以监控每个WAN链路、交换机端口和VLAN。
监视交换环境 在交换环境中,数据包按要求只传向指定的端口。许多数 据包都会经过探测器。网管主要用下列技术之一来提供RMON管 理: 在每个交换端口上配置一定量的RMON组; 应用统计采样技术; 使用滚动分析端口可以全部覆盖选择的端口。
用RMON/RMON2 监控WAN流量 除了简单的通信故障排除外,网管希望在WAN昂贵的带宽让客 户充分地利用,WAN超负荷运转可导致错误增加、性能下降。 RMON WAN探测器:由于WAN 探测器监控标准不包括数据链路层, 这就意味着RMON WAN 监控标准是建立在专用所有权技术之上的, 不能与其它探测器共同使用。但它能够以清晰易懂的图描绘出数据链 路层和带宽利用率,并保存有关基于IP地址的点对点通信的信息。 RMON2 WAN探测器:虽然RMON2 监测工具也是专用的,但它是为 WAN数据链路层检测流量的优良工具。它能使网管运用应用程序而不 是通过技术规范来调整网络吞吐量。下图中,RMON2探测器防在承担 WAN范围流量的共享LAN网段上,探测器可看到多有进出的信息,并 能为整个Intranet提供高层协议分析。 RMON2 探测器 路由器 WAN RMON2 WAN探测器
4.6 TCP/IP寻址的考虑 由于Internet连接的需求,许多NOS支持桌面级的TCP/IP寻址 。在任何网络设计中,TCP/IP寻址策略是一个不可轻视的设计重 点。本节重点: 一般路由和子网设计; 无类别域间路由选择(CIDR); 变长子网划分。 学习目标 解释经典子网的工作原理; 叙述IP寻址的缺点,新的寻址策略如何解决这个问题 知识关键点 不同的TCP/IP寻址策略可限制IP地址扩展
IPv4 地址的考虑 第四版本的IP地址用点分十进制数(Dotted decimal notation) 表示,共32位。分为5类IP地址,分别为A类、B类、C类、D类和E类。A 类地址用于大型网络,B类地址用于中型网络,C类地址用于小型网络, D类地址用于广播寻址,E类地址保留未用。IP地址包括两部分组成:网 络地址和主机地址(也成为网络号和主机号)。 IPv4地址分类 地址类别 标志 网络号比特数 主机号比特数 首字节数字范围 A类 首位为0 7 24 1~126 B类 首两位为10 14 16 128~191 C类 首三位为110 21 8 192~223 D类 首四位为1110 广播地址 224~239 E类 首五位为11110 保留未用 240~247
特殊的IP地址 0.0.0.0:它表示的是,所有不清楚的主机和目的网络。这里 的“不清楚”是指在本机的路由表里没有特定条目指明如何 到达。对本机来说,它就是一个“收容所”,所有不认识的 “三无”人员,一律送进去。如果你在网络设置中设置了缺 省网关,那么Windows系统会自动产生一个目的地址为 0.0.0.0的缺省路由。 255.255.255.255:限制广播地址。对本机来说,这个地址 指本网段内(同一广播域)的所有主机。这个地址不能被路由 器转发。 127.0.0.1:回绕地址,主要用于测试。用汉语表示,就是“ 我自己”。在Windows中,这个地址有一个别名 “Localhost”。寻址这样一个地址,是不能把它发到网络 接口的。
224. 1:组播地址,注意它和广播的区别。从224. 0到 239. 255. 255. 255都是这样的地址。224 224.0.0.1:组播地址,注意它和广播的区别。从224.0.0.0到 239.255.255.255都是这样的地址。224.0.0.1特指所有主机, 224.0.0.2特指所有路由器。这样的地址多用于一些特定的程序以 及多媒体程序。如果你的主机开启了IRDP (Internet路由发现协议 ,使用组播功能)功能,那么你的主机路由表中应该有这样一条路 由。 169.254.x.x:如果你的主机使用了DHCP功能自动获得一个IP地址 ,那么当你的DHCP服务器发生故障,或响应时间太长而超出了一 个系统规定的时间,Windows系统会为你分配这样一个地址。如 果发现主机IP地址是此类地址,很不幸,十有八九是网络不能正常 运行了。 10.x.x.x、172.16。x。x~172.31.x.x、192.168.x.x:私有地址, 这些地址被大量用于企业内部网络中。一些宽带路由器,也往往使 用192.168.1.1作为缺省地址。私有网络由于不与外部互连,因而 可能使用随意的IP地址。保留这样的地址供其使用是为了避免以后 接入公网时引起地址混乱。使用私有地址的私有网络在接入 Internet时,要使用地址翻译(NAT),将私有地址翻译成公用合法 地址。在Internet上,这类地址是不能出现的。
IP 子网 创建子网的目的 扩展网络。如果网络达到了物理限制,可以通过创建多个子网,这些子网只分配一个网络地址。以连接更多的主机。 减少竞争。同一网络中主机越多,需要带宽越大,创建子网减少每个网络的主机数,竞争也减少了。 减少CPU使用负载。网络中主机越多,产生的的广播帧越多。每个主机必须听网络广播,以便决定是否接收还是丢弃,这占用主机CPU。 隔离网络问题。通过将大网隔离成小网,限制子网对其它网络的影响。 有利于网络管理员对网络的管理。提高网络的安全性。
标准A类网的子网掩码为:255.0.0.0 标准B类网的子网掩码为:255.255.0.0 子网掩码是一位特殊的32位二进制数,它的格式与IP地址一样,但它用二进制中的1来代替IP地址的网络地址部分,用0来替代IP地址中的主机地址部分。 标准A类网的子网掩码为:255.0.0.0 标准B类网的子网掩码为:255.255.0.0 标准C类网的子网掩码为:255.255.255.0
子网掩码的作用 子网掩码与IP地址结合使用,可以区分出一个IP地址的网络地址和主机地址。例如:有一个C类地址为:192.9.200.13,其子网掩码为:255.255.255.0。则它的网络号和主机号可按如下方法得到: 将IP地址192.9.200.13转换为二进制: 11000000 00001001 11001000 00001101 将子网掩码255.255.255.0 转换为二进制: 11111111 11111111 11111111 00000000 将两个二进制数逻辑与(AND)运算后得出的结果即为网络部分: 11000000 00001001 11001000 00001101 AND 11111111 11111111 11111111 00000000 11000000 00001001 11001000 00000000 结果为192.9.200.0,即网络地址为192.9.200.0。 将子网掩码取反再与IP地址逻辑与(AND)后得到的结果即为主机部分: 11000000 00001001 11001000 00001101 AND 00000000 00000000 00000000 11111111 00000000 00000000 00000000 00001101 结果为0.0.0.13,即主机地址为13。
无类别域间路由(CIDR) CIDR 是 Classless Inter Domain Routing 的缩写, 意为无类别的域间路由。它的思想是: 把许多C类地址合起来作B类地址分配。具体地说, 整个世界被分为四个地区, 每个地区分配一段连续的C类地址: 欧 洲: 194.0.0.0 ~ 195.255.255.255 北 美: 198.0.0.0 ~ 199.255.255.255 中南美: 200.0.0.0 ~ 201.255.255.255 亚 太: 202.0.0.0 ~ 203.255.255.255 通过这种方式,每个地区拥有约3200万的地址,另有约3200万的地址204.0.0.0 ~ 223.255.255.255保留备用。这种分配方式的优点是很明显的: 地址的分配是连续的; CIDR使路径表的设置更容易。 比如,在欧洲以外的一个路由器收到一个地址为: 194.xx.yy.zz 或 195.xx.yy.zz 的数据包(packet), 可以直接把它丢到通往欧洲的路径上而不用考虑xx,yy,zz的值是什么. 当然,当这个packet到达欧洲后, 还要进行更详细的路由, 比如根据子网模把它发送到某个子网。
CIDR的表示形式 声明一个CIDR 网络的格式是 地址/y 。 这里 地址 是 IPv4 或 IPv6 网络地址而 /y 是 网络掩码的二进 制位数。 如果省略 /y, 那么掩码部分用旧的有类的网络编号系统进 行计算,但要求输入的数据已经包括了确定掩码的所需的所有字节。 如果声明了一个网络地址,它的指定掩码的右边置了位,那么算错误 。 例如,192.168.100.128/25 表示IP地址中前25位是网络地址 ,后7位是主机地址;128.0.0.0/17 表示IP地址的前17位是网络地址 ,后15位是主机地址。
子网划分技术,用来高效地将一个大型网络划分成多个子网,子网划分是将单播IP地址中主机地址的高几位分配给组织网络的子网,作为子网地址。 如何划分子网 子网划分技术,用来高效地将一个大型网络划分成多个子网,子网划分是将单播IP地址中主机地址的高几位分配给组织网络的子网,作为子网地址。 最初定义 IPv4 的子网划分是为了更好地利用 A 类和 B 类 IPv4 公用网络 ID 的主机位。请考虑下图示例网络。 此B 类网络的ID 157.60.0.0,我们将它划分成三个子网。网络号这样处理: 将两字节主机地址的高字节的高4位用于新的子网地址,三个子网的子网掩码都是255.255.240.0。每个子网的二进制编号分别是0001、0010、0100和1000,三个网络的网络号分别为:157.60.16.0/20,157.60.32.0/20,157.60.64.0/20和157.60.128.0/20 当然,由于将主机地址的高4为用于了网络地址,每个子网的主机地址就由原来的16位变成了12位。 Internet 路由器 157.60.0.0/16 划分子网后的网络地址,12位 划分子网后的主机地址 网络地址 子网 主机地址 8位 4位
IP地址设计中要考虑的事是, 申请IP地址; 申请域名; 是否将网络连入Internet; 要不要进行子网划分, 如果要,需将主机地址的前多少位作为子网地址; 确定各子网的掩码; 是采用静态IP地址分配还是动态IP地址分配; 是否采用NAT技术; 是否采用无类域间路由。
网络地址转换NAT 在RFC1918中,IETF为内部专用网预留了三段地址作为私有地址。 10.0.0.0-10.255.255.255 172.16.0.0-172.31.255.255 192.168.0.0-192.168.255.255 网络地址转换技术(NAT) 网络地址转换(NAT)是用于将一个地址域(如上面的私有Intranet地址)映射到另一个地址域(如:Internet)的标准方法。NAT允许一个机构内部使用私有Intranet地址,而与外部因特网交流数据时,用一个IP地址透明地连接到因特网中,机构内部主机无需拥有注册的IP地址。
聚合 在如下图所示拓扑结构中,无论是10.1.4.0/24还是10.1.7.0/24链接的失败,都会使路由器H重新计算路由表。那么怎样设计才能使核心层路由器H不受接入层链接变化的影响呢?聚合是有效的方法,在分布层路由器G上把10.1.4.0/24、10.1.5.0/24、10.1.8.0/24和10.1.7.0/24聚合成一条路径10.1.4.0/22,并把这一 聚合路径只传递给路由器H。 通过聚合,路由器H的路由表 就可以不再包括路由器G左侧 的子网细节,路由器G左侧的 个别链接的改变将不再影响路 由器H的路由表。
另外,聚合减少了路由器H的路由表的路径数量,较小的路由表意味着较少的内存、较低的处理请求和更快的收敛过程。 聚合要遵循这样一条规则:只提供网络中必要的拓扑信息,而把不必要的信息隐藏起来。例如,核心层路由器将接入层的每一组目的地聚合为简短的前缀路由,并将之传送给核心层,不再向核心层传送大量的目的地信息。
IPv6 地址 表示方法:第六版本的IP地址用8段冒号分十六进制数表示,共128位。 例如: FEDC:BA98:7654:4210:FEDC:BA98:7654:3210 2001:0:0:0:0:8:800:201C:417A 每一组数值前面的 0 可以省略。如 0008 写成 8 。 压缩形式:IPv6 地址会有包含长串 0 位的地址。可使用 “::” 符号简化 多个 0 位的 16 位组。 “::” 符号在一个地址中只能出现一次。该符号也 可以用来压缩地址中前部和尾部的 0 。举例如下: FF01:0:0:0:0:0:0:101 可压缩成 FF01::101 (多点传送地址) 0:0:0:0:0:0:0:1可压缩成 ::1 (回送地址) 0:0:0:0:0:0:0:0 可压缩成 :: (未指定地址) IPv4 和 IPv6 混合使用:表达方式为 X:X:X:X:X:X:D.D.D.D ,其中 X 是 地址中 6 个高阶 16 位段的十六进制值, D 是地址中 4 个低阶 8 位字段 的十进制值(按照 IPv4 标准表示)。例如:下面两种嵌入 IPv4 地址的 IPv6 地址: 0:0:0:0:0:0:202.201.32.29 嵌入 IPv4 地址的 IPv6 地址,可缩写成 ::202.201.32.29 0:0:0:0:0:FFFF:202.201.32.30映射IPv4 地址的 IPv6 地址 ,可缩写成 ::FFFF.202.201.32.30
对于IPv6的子网掩码,它位数放在掩码地址后面的,以/分隔,格式如下: 单点传送( Unicast ):一个单接口标识符,送往单点传送地址的包将被传 送到该地址所标识的接口上。 多点传送( Multicast ):一组接口(一般不属于不同节点)的标识符。送 往一个任意点传送地址的包将被传送到该地址所标识的接口之一(根据路由 协议中的距离的计算方法而确定的 “ 最近 ” 的一个)。 任意点传送( Anycast ):一组接口(一般不属于不同节点)的标识符。送 往一个多点传送地址的包将被传送到该地址标识的所有接口上。 也有文献称之为单播、组播、泛播地址。 IPv6 中不再有象 IPv4 中那样 的广播( broadcast )地址,它的功能由多点传送地址来实现。 对于IPv6的子网掩码,它位数放在掩码地址后面的,以/分隔,格式如下: 12AB:0000:0000:CD30:0000:0000:0000:0000/60 12AB:0000:0000:CD30::/60 意思是地址的前60位用作地址的网络号部分。下面是一个IPv6地址和子网掩码地址: 11AC:0:0:CA20:123:4567:89AB:CDEF 11AC:0:0:CA20::/60
常见的IPv6地址和前缀: ::/128:即0:0:0:0:0:0:0:0,尚未获得正式地址的主机的源地址,不能作为目 的地址,不能分配给真实的网络接口。 ::1/128:即0:0:0:0:0:0:0:1,回环地址,相当于ipv4中的localhost( 127.0.0.1)。 2001::/16:全球可聚合地址,由 IANA 按地域和ISP进行分配,是最常用的 IPv6地址 2002::/16:6 to 4 地址,用于6to4自动构造隧道技术的地址 3ffe::/16:早期开始的IPv6 6bone试验网 地址 注:上面后三个属于单播地址,是目前互联网上广泛应用的IPv6地址 fe80::/10:本地链路地址,用于单一链路,适用于自动配置、邻机发现等, 路由器不转发 ff00::/8:组播地址 ::A.B.C.D:其中<A.B.C.D>代表ipv4地址,兼容IPv4的IPv6地址。自动将 IPv6包以隧道方式在IPv4网络中传送的IPv4/IPv6节点将使用这些地址 ::FFFF:A.B.C.D:其中<A.B.C.D>代表ipv4地址,例 ::ffff:202.120.2.30 , 是IPv4映射过来的IPv6地址,它是在不支持IPv6的网上用于表示IPv4节点
VLAN划分 VLAN是标准局域网的仿真,它允许数据的传输不会受到网络的传统物理结构限制。一个VLAN是属于同一个管理组的局域网设备。成员资格是由配置参数和管理策略决定的,而不是物理位置。一个VLAN中的成员可以相互通信,就好象连在同一条电缆和集线器上一样,而实际上它们属于不同的物理局域网段上。反之,两个属于不同VLAN的成员之间通信就好象它们属于不同的局域网段上,即使他们连接到同一台交换机上。因为VLAN是基于逻辑连接而不是物理连接的。因此管理、配置起来非常灵活。
用 VLAN划分逻辑边界 站点1 站点2 站点3 广域网 虚拟工作组1 虚拟工作组2 VLAN边界
VLAN的设计 同一交换机上不同VLAN要共享交换机、要争夺交换机的CPU和背板资源。VLAN对交换机和链路的共享可分为两种类型: 路由共享,也可以说是三层共享,在这种类型的共享中,不同VLAN的数据包是以路由(三层交换)方式穿过交换机的(如右下图中虚线所示),通过的包基本上不含有一般的广播包(DHCP和特殊协议的广播除外)。VLAN在“广播共享”网络资源时的相互影响要比“路由共享”时更大。
从上左图可清楚地看出所共享的网络资源(交换机和链路)。在正常 情况下,VLAN间的这种影响不被我们所注意,原因是共享的交换机有足 够的交换能力,链路不是很拥挤,但在某一VLAN出现异常时(如感染病毒 或出现环路)情况就不同了。这时被感染VLAN(如VLAN1)中的大量数据帧 将挤占该VLAN所及的所有交换机的CPU资源、背板带宽,并长时间占用 物理链路,其他VLAN(如VLAN2)中的设备尽管“看”不到出现异常VLAN 中的数据帧,但其所依赖的网络资源已被用尽,因此,VLAN1所覆盖的网 络区域就会出现异常。如果故障点发生在核心交换机附近,那么整个网络 就有可能瘫痪。 完全消除VLAN间的链路和设备的共享在理论上是不可能的。我们 所做的努力只能尽量减少相互影响的范围、降低相互影响的程度。设计中 我们应坚持如下原则: 尽量避免在同一交换机中配置多个VLAN; 不同物理位置上的交换机上的端口尽量不要划归到同一个VLAN。 前者较好理解,也容易实现。如何做到VLAN不跨越核心交换机和 拓扑结构的“层”。从上左图可以看出,由于VLAN1的范围跨越了整个网 络,如果把所有VLAN的覆盖面都限定在核心交换机的同一侧,这些资源 被共享的程度就减轻了。按此想法上右图较为适宜。
继续分析上右图中所存在的问题不难看出,尽管核心交换机被共享 的形式改变了,但仍存在受到各VLAN出现异常情况的影响。要想避免核 心交换机受到各个VLAN的影响、减小影响范围、避免全网瘫痪的发生, 很容易想到在核心交换机和划有VLAN的交换机之间加上一层,以隔离核 心交换机和各个VLAN。这时就形成了目前较为流行的三层拓扑结构的网 络,如下图所示。
VLAN分类 基于交换式以太网实现VLAN 主要有三种途径: 基于端口的VLAN ; 基于MAC 地址的VLAN ; 基于IP 地址的VLAN 。 基于端口的VLAN 基于端口的VLAN 就是将交换机中的若干个端口定义为一个VLAN ,同一个VLAN 中的站点具有相同的网络地址,不同VLAN 之间进行通信需要通过路由器。这种VLAN 不足之处是灵活性不好,例如当一个网络站点从一个端口移动到另外一个新的端口时,如果新端口与旧端口不属于同一个VLAN ,则用户必须对该站点重新进行网络地址配置,否则,该站点将无法进行网络通信。
PVLAN技术 PVLAN (Private VLAN)将所有服务器置于同一个子网中,服务器只能与自己的默认网关通信。在Private VLAN的概念中,交换机端口有三种类型: Isolated port:属于Isolated PVLAN。只能和Promiscuous port通信,Isolated port彼此不能交换流量; Community port,:属于Community PVLAN。不仅可以和Promiscuous port通信,而且彼此也可以交换流量; Promiscuous port:与路由器或第3层交换机接口相连,它收到的流量可以发往Isolated port和Community port。 代表一个Private VLAN整体的是Primary VLAN,前面两类VLAN需要和它绑定在一起,同时它还包括Promiscuous port。PVLAN的应用对于保证接入网络的数据通信的安全性是非常有效的,用户只需与自己的默认网关连接。一个PVLAN不需要多个VLAN和IP子网就提供了具备第2层数据通信安全性的连接。所有的用户都接入PVLAN,从而实现了所有用户与默认网关的连接,而与PVLAN内的其他用户没有任何访问。PVLAN功能可以保证同一个VLAN中的各个端口相互之间不能通信,但可以穿过Trunk端口。这样即使同一VLAN中的用户,相互之间也不会受到广播的影响。
基于MAC 地址的VLAN 在基于MAC 地址的VLAN 中,交换机对站点的MAC 地址和交换机端口进行跟踪,在新站点入网时根据需要将其划归至某一个VLAN ,而无论该站点在网络中怎样移动,由于其MAC 地址保持不变,因此用户不需要进行网络地址的重新配置。这种VLAN 技术的不足之处是在站点入网时,需要对交换机进行比较复杂的手工配置,以确定该站点属于哪一个VLAN 。 基于IP 地址的VLAN 在基于IP 地址的VLAN 中,新站点在入网时无需进行太多配置,交换机则根据各站点网络地址自动将其划分成不同的VLAN 。 三种VLAN 的实现技术,基于IP 地址的VLAN 智能化程度最高,实现起来也最复杂。 评价 VLAN 作为一种新一代的网络技术,它的出现为解决网络站点的灵活配置和网络安全性等问题提供了良好的手段。VLAN目前还有许多问题有待解决,例如技术标准的统一问题、VLAN 管理的开销问题和VALN 配置的自动化问题等等。然而,随着技术的不断进步,上述问题将逐步加以解决。
4.7 网络安全的考虑 给网络提供安全措施,需要和网络性能进行权衡。 要想是网络免 受来自内部和外部的威胁,必须建立尽可能多的防范措施,因为没有 哪种措施能保百分之百安全;但安全措施越多,网络运行性能就越低 。 这种权衡的考虑就以为着,应该选择几种关键的安全措施在保持 对用户的相对透明的同时又能对网络实施最大限度的安全防范。在网 络逻辑设计阶段,要考虑实施技术和保证网络性能的架构问。 学习目标 了解各种安全措施防范的攻击类型; 了解安全防范的关键层; 解释在用户鉴定方面固有的问题。 关键知识点 如果选定的安全系统变成影响性能的障碍的话,用户可能回另寻 方案来回避它。
影响网络安全的威胁 网络窃听:让入侵者探测内部网上传递的主机信息并获得控制权或实施数据篡改。 完整性破坏:完整性破坏是指传输、或存储的数据存在着被篡改的可能。 地址欺骗:地址欺骗技术的简单原理就是伪造一个被主机信任的IP地址,从而获得主机的信任而造成攻击。 拒绝服务攻击:以消耗服务器端资源为目标,通过发出超过服务器处理能力的请求,造成服务器响应阻塞,从而使正常的用户请求得不到响应,实现攻击目的。 计算机病毒:计算机病毒是一种破坏计算机系统的恶意程序,它潜伏在计算机中,感染并破坏其它计算机系统。 系统漏洞:软件设计中的Bug,容易被Hacker用来实施攻击。
安全解决方案的分层原则 网络安全设计应遵循的原则 信息网络是—个分层拓扑结构,因此网络安全防护也需采用分层防范保护措施。一个完整的网络安全解决方案应该覆盖网络的各个层次,并且与安全管理相结合。考虑到技术难度及经费等因素,设计时应遵循如下思想: 大幅度地提高系统的安全性和保密性; 保护网络原有的性能特点,对网络用户具有很好的透明性; 易于操作维护,便于自动化管理,不增加太多的附加操作; 尽量不影响原网络拓扑结构和网络性能,便于系统升级和功能扩展; 应有较好的性能价格比,一次性投入,可以长期使用; 安全技术具有合法性,便于安全管理单位和密码管理单位的检查和监督。
根据Internet网络的特点,对Internet/Intranet安全实施分级 管理的解决方案,常常将对它的控制点分为三级实施安全方案: 第—级:中心级网络,主要实现内外网隔离、内外网用户的访问控 制、内部网的监控、内部网传输数据的备份与稽查。 第二级:部门级,主要实现内部网与外部网用户的访问控制、统计 部门间的访问控制、部门网内部的安全审计。 第三级:终端/个人用户级,实现部门内部主机的访问控制、数据 库及终端信息资源的安全保护。
分层保护主要包括: 安全措施:行政法律手段、管理制度(人员审查、工作流程、维护保障 制度等)以及专业措施(识别技术、存取控制、密码、容错、防病毒、 采用高安全产品等)。 用户的安全意识:通过培训,将安全措施融合与日常工作中。 物理保护:物理安全是整个网络系统安全的前提。网络工程设计时, 必须考虑人和网络设备不受电、火灾和雷击的侵害;考虑照明电线、 动力电线、接地线路、通信线路、暖气管道及冷热空气管道之间的距 离;考虑布线系统和绝缘线、裸体线以及接地与焊接的安全;必须建 设防雷、放静电系统。 网络结构保护:设置防火墙和隔离带,将公开服务器(WEB、DNS、 EMAIL等)和外网及内部其它业务网络进行必要的隔离;同时对外网 的服务请求加以过滤,只允许正常通信的数据包到达内部主机。 软硬件平台的安全:选用可靠的操作系统和硬件平台,并对NOS进行 安全配置。加强系统登录过程的认证,严格限制登录者的操作权限在 能够完成自己工作的最小范围内。 数据加密保护:关键信息必须以密文的形式传输和存储。 加强病毒清理、入侵检测工作。
安全措施 总体安全措施必须确定需要保护的系统和数据,制订各个系统响应的保护措施。安全措施也是用户培训和终端用户可接受措施的基础,它有助于防止组织内人员简单的错误或蓄意地破坏而造成系统的破坏或安全事故。
用户安全意识培训 总体安全措施最重要也最容易流于形式的任务之一,就是用户安全意识培训。最好的安全措施没有落实与用户的日常行为,也达不到安全保障的效果。 使用者守则 在经过培训之后,每个员工应当签署一项协议,以合理利用LAN和Internet资源,包括如下事项: 密码使用和保密守则; 电子邮件的使用守则,包括敏感信息的传递规则; 下载与病毒的防范措施; 可访问的商务网站和公用信息; 知识产权规则; 对员工上网的监控。
监控 为保证安全措施得以贯彻,必须建立某种自动监控机制。收集有关访问信息和通信信息。 防火墙可以生成用户或黑客们的访问日志清单。 如果公司禁止利用公司资源进行购物或电子游戏,就要由禁止程序来制止它。 执行 用户的培训计划的一个重要组成部分是是人力资源政策,它规定了员工如果违反规定,将受到的惩罚细则。
物理安全措施 物理安全风险通常包括对机密部分的访问。有大量的措施都可以用来提高网络的物理安全性能: 为用户提供安全的物理环境; 不再使用的文档的销毁方法; 重要数据的保管存储方法;
加密技术 可使用的加密手段很多。常用的加密方法有对称密钥加密算法,非对称密钥加密算法。可采用的常见的加密手段如下: Clipper芯片:一种具有80位专用密码算法的芯片。美国法律执行机构的关键部门采用此种算法。是DES的一种替代方案。 Kerberos验证系统:对用户访问和数据库提供验证支持。 安全套接层(SSL):在电子商务安全方面,SSL一成为一种主导技术。它被认为具有标准的网站服务器特色。 PGP加密算法:使用与个人用户的公共密钥加密算法。
用户认证 决定用户是否可以访问系统,首先就得“验明正身”。以判断当前的用户有没有资格进入系统使用机密数据。用户认证系统依赖如下因素: 用户名及其密码; 用户拥有的只能卡或数字证明书; 物理属性或者生物信息(指纹、视网膜扫描)
访问控制 用户认证只是决定你能不能进入机密系统,但这还不够。机密信息分不同的密级,越是机密的信息,应该知道的人就必须越少。 我们通过访问控制来决定一个合法用户能够使用哪些信息。只有经过授权的个人,才能进行他职权范围内相应密级的机密信息的访问、修改、删除。任何网络系统都有一套管理细则来决定某个人是否可以访问机密信息。 远程访问控制一般用防火墙或VPN(虚拟专用网)机制实现。
虚拟专用网技术(VPN) 利用公共网络来构建私用专用网络称为虚拟专用网,(VPN,Virtual Private Network)。 隧道 出差员工 隧道 专线 办事处 合作伙伴 总部 异地办事处 分支机构
虚拟专用网的类型 VPN分为以下三种类型: 企业内部虚拟网 (Intranet VPN):Intranet VPN 通过公用网络将企业各个分布点互连,是传统的专线网络或其它企业网的拓宽或替代。Intranet VPN也叫内部网VPN 远程访问虚拟专用网 (access VPN):远程访问虚拟专用网利用了二层网络隧道技术在公用网络上建立VPN隧道连接来传输私有网络数据。它分两种类型:一是用户发起的 (client - initiated) 的VPN连接,它由远程用户通过服务提供点(POP)拨入Internet建立;另一个是接入服务器发起的 (NAS-initiated) VPN连接 ,即用户通过网络隧道协议与企业网建立一条隧道连接。这种VPN适用于公司员工频繁出差流动办公的情况。access VPN也叫拨号VPN。 企业扩展虚拟专用网 (Extranet VPN):这是利用VPN将企业网延伸至合作伙伴与客户的网络或主机。其主要目标是保证数据在传输过程中不被修改,保护网络资源不受外界威胁。安全的外连虚拟专用网要求公司在同远程伙伴、客户经因特网连接时,必须经过虚拟专用网服务器进行,它可以为远程客户指定访问权限。这种VPN适用于企业与合作伙伴或客户之间的信息交流。Extranet VPN也叫外联网VPN。 这三种类型的VPN分别与传统的远程访问网络、企业内部的Intranet 以及企业网和相关合作伙伴的企业网所构成的extranet相对应。
VPN的工作原理 虚拟专用网是一种连接,从表面上看它类似一种专用连接,实际上是在共享网络中使用隧道技术实现的。数据包在公共网络的专用“隧道”中传输,专用“隧道”用于建立点到点的连接。 隧道的启动和终止可由许多网络设备或软件来实现。一个通道可由ISP的网络接入路由器的虚拟专用网网关终止或由隧道终结器或企业的交换机终止。 此外,通常还需要一台安全服务器,用于加密数据认证和授权。
VPN的工作流程 VPN需要在跨越公用网络的两个网络之间建立虚拟的专用隧道。在隧道被初始化后,传送过程中,VPN数据的保密性和我完整性通过加密技术来保证。一般的工作流程见下图示。 访 问 控 制 报 文 加 密 鉴 别 IP 封 装 发 送 者 接 收 LAN 1 LAN 2 公 用 网 络 源VPN设备 宿VPN设备 明文 IP安全隧道
4.8 防火墙的考虑 防火墙是一种在内部网和外部网之间实施的安全防范措施,可以认为它是一种访问机制,用于确定哪些内部服务可以提供给外部服务器,哪些外部服务器可以访问内部网资源。 防火墙是一种包含硬件产品和软件产品的安全解决方案。首先需要设计者关注的问题是: 防火墙的防范立场; 机构的总体安全措施; 防火墙的经济成本; 防火墙的构成和组建模块。 学习目标 了解防火墙的构成; 熟悉机构的安全措施如何影响防火墙设计; 熟悉代理服务器的工作原理。 关键知识点 防火墙可以使机构的网络免受来自外部的威胁,但不能防范来自内部的攻 击。
防火墙的防范立场 防火墙防范策略有两大类型: 没有特别允许的任何内容都禁止访问; 没有特别指定的内容允许访问。 我们强烈推荐第一种防范类型。它保证了真正的系统安全。其基本原则是安全重于使用方便。 机构的安全策略 防火墙的安全策略是机构全面安全策略的一部分。防火墙防范策略应体现机构打算如何运行这个系统的策略:防火墙是为了明确地拒绝除对于连接到网络至关重的服务之外的所有服务,或者说,防火墙是为以非威胁方式对“鱼贯而入”的访问(“queuing” access)提供一种计量和审计的方法。 为此,需要在机构内有效地实施安全计划,确定哪些数据需要保护。安全策略必须建立在安全事实细则分析、风险评估和商务需求分析的基础之上。如何机构没有全面周密的安全策略,再严密的防火墙都会使整个专用网络受到攻击。
需要何种程度的监视、冗余度以及控制水平? 解决了机构的安全策略和防火墙的防范策略之后,可以列出一个必须监测什么传输、必须允许什么传输流通行以及应当拒绝什么传输的清单。换句话说,开始时先列出总体防范的目标,然后把需求分析与风险评估结合在一起,挑出与风险始终对立的需求,加入到计划完成的工作的清单中。 防火墙成本 以实施解决方案的费用多少,来量化提出的解决方案十分重要。一个完整的防火墙的高端产品可能价值10万美元,而低端产品可能是免费的。像在Cisco或类似的路由器上做一些绝妙的配置,这类免费选择不会花你一分钱,只需要工作人员几杯茶的工夫;而从头建立一个高端防火墙可能需要几个人工月。 系统管理开销也是需要考虑的问题。建立自行开发的防火墙固然很好,但重要的是使建立的防火墙不需要费用高昂的不断干预。换句话说,在评估防火墙时,重要的是不仅要以防火墙目前的费用来评估它,而且要考虑到像支持服务这类后续费用。
防火墙的组成 防火墙总体防范策略确定后,现在该决定防火墙的组建了。通常,防火墙有以下一个或几个模块构成: 包过滤防火墙; 代理服务器(应用级防火墙); 电路级网关。
构件模块:包过滤路由器 对所接收的每个数据包做允许通过还是拒绝通过的决定。路由器审查每个数据包以便确定其是否与某一条包过滤规则匹配。过滤规则基于可以提供给IP转发过程的包头信息。包头信息中包括IP源地址、IP目标端F地址、内装协(ICP、UDP、ICMP、或IP Tunnel)、TCP/UDP目标端口、ICMP消息类型、包的进入接口和出接口如果有匹配并且规则允许该数据包,那么该数据包就会按照路由表中的信息被转发。如果匹配并且规则拒绝该数据包,那么该数据包就会被丢弃。如果没有匹配规则,用户配置的缺省参数会决定是转发还是丢弃数据包。 包过滤路由器型防火墙 Internet 包过滤路由器 专用内网 周边安全 防护设施
按服务要求的过滤 包过滤规则按具体的服务要求决定允许或者禁止数据包通过。通常的过滤规则包括: 只对特定的内部主机清单允许引入Telnet会话; 只对特定内部主机允许引入FTP会话; 允许所有对外的FTP会话; 禁止所有来自特殊指定外部网络的数据进入。 与数据无关的过滤 有些攻击与服务类型无关,很难用前一种过滤来防范。这些攻击包括: 源地址假冒内网IP地址进行攻击:防范方法是检查所有到达路由器外部接口数据包,如果它的源地址是内网地址,通通丢弃。 源端路由攻击:源端路由是制数据包按照指定的IP路由到目的地。攻击者利用源端路由,可能饶国安全检查,沿着另外的路由进入内网。防范的方法是,将含有指定路由路径的数据包丢弃不转发。 微片段攻击:利用IP碎片生成极小的片段,强行在TCP报头中假如一个独立的数据包片段,从而规避了用户定义的过滤规则,而通过防火墙。其防范的方法是,将协议类型为TCP以及IP片段偏移量等于1的数据包丢弃。
包过滤路由器的好处 成本低。因为数据过滤功能通过路由器软件实现,不需购置防火墙硬件; 简单,易于操作维护; 如果只定义少量过滤规则,对网络性能几乎没有影响。 包过滤路由器的局限 难以找到检验配置好的过滤规则的测试工具,从而留下潜在的危险; 如果定义的过滤规则很大,则网络传输性能大大降低; 不能控制流量。
构件模块:应用级网关(代理服务器) 应用级网关防火墙安装在网络应用层上,它是一种比包过滤防火墙更加安全的防火墙技术。一般工作在传输层以上的应用层。 代理服务器在源系统和目标系统之间充当“二传手”。源与目标不直接连接,而是通过代理服务器中转。 它一般针对某一特定的应用,由客户端的代理客户 (Proxy Client) 和防火墙端的代理服务器 (Proxy Server) 两部分组成。 代理客户通常是将原应用客户进行改造,使其与防火墙,而不是与真正的应用服务器交互。而代理服务器则代替用户向应用服务器提交请求,并将结果返回给用户。 应用级网关防火墙 内网 应用网关 应用层 物理层 Internet ……
堡垒主机 堡垒主机(bastion host):应用级网关通常又叫“堡垒主机”,它可以抵御来自外部网络进攻的计算机。它处于内部网络之外,作为进入内部网络的一个检查点。它有如下的设计特点: 其安全依赖OS本身的安全; 堡垒主机中只有有限的代理程序,如 Telnet、DNS、FTP、SMTP和用户认证系统; 堡垒主机要求再一次认证才能允许用户访问代理服务; 每个应用都有自己的代理程序,如果应用不支持或没有安装代理程序,即使是认证用户也不能访问; 每项代理服务只允许访问指定的主机; 每个代理维护详尽的审查信息; 每个代理都是一个为网络安全特别设计的小型程序; 堡垒主机上的每个代理相互独立; 代理程序除了允许读取初始配置文件外,不允许访问磁盘; 每个代理程序作为堡垒机上在专用和安全目录中的非特权用户运行。
应用级防火墙的优点在于,用户和服务器之间不会有直接的IP报文交换,所有的数据均由防火墙中转,并提供鉴别、日志与审计的功能,增强了安全性。并且,代理服务器在应用层作用,控制度可以达到特定用户和特定服务的请求,服务粒度比较细致。 应用级防火墙的缺点在于,效率低下。对于特定的服务需要特制代理程序。当防火墙不能工作时,对应的代理服务也就不能使用。
构件模块:电路级网关 电路级网关(Circuit Gateway )用来监控受信任的客户或服务器与不受信任的主机间的TCP握手信息,这样来决定该会话是否合法,电路级网关是在OSI模型中会话层上来过滤数据包。 另外,电路级网关还提供一个重要的安全功能:网络地址转移(NAT),将所有内网IP地址映射到一个“安全”的IP地址,这个地址是由防火墙使用的。有两种方法来实现这种类型的网关: 一种是由一台主机充当筛选路由器,另一台充当应用级防火墙。 另一种是在第一个防火墙主机和第二个之间建立安全的连接。这种结构的好处是当一次攻击发生时能提供容错功能。 电路级网关象电缆线一样,在内部和外部连接之间来回复制数据。 电路级网关 内部主机 外部主机 in out 外部连接 内部连接
非军事化区(DMZ) DMZ(demilitarized zone )位于企业内部网络和外部网络之间的小网络区域,它是为内部网络放置一些必须公开的服务器设施而划分的,如企业Web服务器、FTP服务器和论坛等。另一方面,通过这样一个DMZ区域,更加有效地保护了内部网络,因为这种网络部署,比起一般的防火墙方案,对攻击者来说又多了一道关卡,就是这个DMZ区域。 DMZ区示意图 DMZ区 Internet 专用内网 堡垒主机 外部路由器 内部路由器
几种典型的防火墙设计 屏蔽路由器模式:在原有的路由器上进行包过滤部署的。具备这种包过滤技术的路由器也称为“屏蔽路由器”。 这种防火墙早期非常流行,主要是因为很多公司已经具备了路由器,但没有专门的防火墙设备推出。原有路由器设备的公司只需要进行一些另外的包过滤配置即可实现防火墙安全策略。这种防火墙方案拓扑结构如下图所示。 屏蔽路由器防火墙 Internet 专用内网 屏蔽路由器
双宿主机模式 它不是用真正的硬件防火墙来实现的,而是通过在一台称为”堡垒主机“的计算机上安装有配置网络控制软件来实现的。所谓”双宿主机“,就是指堡垒主机同时连接着一个内、外部网络,担当起全部的网络安全维护责任。网络拓扑结构如下图所示。 在堡垒主机上安装的服务最少,只需要安装一些与包过滤功能有关的软件,满足一般的网络安全防护即可。它所拥有权限最少,这样就可避免一旦黑客攻占了堡垒主机后,迅速控制内部网络的不良后果。因为控制权限低,黑客虽然攻陷了堡垒主机,但仍不能拥有什么过高的网络访问权限,也就不至于给内部网络造成太大危害。 双宿主机型防火墙 Internet 专用内网 堡垒主机
子网屏蔽模式 这种方式是在主机过滤方式中再增加一层过滤子网的安全机制,使内网和外网之间有两层隔断。这种方式能减轻外部攻击者击破堡垒机,给内网带来的压力。在最简单的子网过滤结构中,堡垒机位于过滤子网上,使用两台过滤路由器,一台位于过滤子网与内网之间,另一台位于过滤子网与外网之间。这样,整个防火墙就不会因一点被攻破而整个瘫痪。过滤子网限制了外网用户在内网中的漫游能力,也限制了内网用户在外网中的漫游能力。就象相隔地形复杂的开阔缓冲地带,因而称为缓冲带或非军事区(Demilitarized zone, DMZ)。所以,这种防火墙有称为DMZ方式。 专用内网 子网屏蔽防火墙 防火墙 Internet 堡垒主机 外部路由器 内部路由器
子网屏蔽防火墙评价 子网屏蔽防火墙有如下重要的优点: 入侵者必须攻破三个独立的设备,即外部路由器、堡垒主机、内部路由器,才能进入内部网; 因为外部路由器只将DMZ网络通知给Internet,外网上的黑客是看不见内网的存在的; 因为内部路由器只将DMA网络通知给内网用户,内网用户也看不见外网的存在,也就不能使用外网。 因为包过滤路由器(外部路由器)将数据导流给DMZ网络上指定的系统,堡垒主机就没必要采用双宿技术了。 内部路由器作为内网和外网之间最后一道防火墙,它支持比双宿主机更大的数据包吞吐量。 由于DMZ网络是与内网不同的网络,堡垒主机上应安装网络地址翻译器(NAT),一避免对专用网的重新编码或重新分割子网。
4.9 冗余设计 冗余可以简单地理解为备用。 为什么需要冗余呢?这是因为网络中存在单故障点,即使是强壮的分层结构设计的网络也存在。所谓单故障点是指其故障能导致隔离用户和服务的任意设备、设备上的接口或链接。 冗余提供备用链接以绕过那些故障点,冗余还提供安全的方法以防止服务丢失。但是如果缺乏恰当的规划和实施,冗余的链接和连接点会削弱网络的层次性和降低网络的稳定性。
冗余拓扑结构的考虑 增加冗余链路 当一条或多条链路失效时,为保持关键业务的链路畅通,必须设计一条备用的冗余链路。设计冗余链路的考虑点主要有: 备用链路带宽,一般备用链路的带宽较小是正常的。它主要用于保证少量的关键业务的正常运行; 备用链路需要抵挡多长时间的非正常工作。 从正常链路切换到备用链路是手动还是自动。 备用链路必须经过测试,以确认能在非正常情况启用。 负载分担 通过冗余链路来分担负载,以提高系统性能。大多数IP路由选择协议都支持在相同代价的并行链路上实现负载分担。
冗余设计要求 如何进行冗余规划设计而不破坏网络的稳定性呢?首先的一点是要遵循以下要求: 只有在正常路径断掉时,才使用冗余路径,除非冗余路径用作平衡负载之用。 一般不要将冗余路径用于负载平衡,否则当发生网络故障需要征用冗余路径时,网络由于负载失衡而产生不稳定性。
冗余设计要点 1. 核心层冗余 核心层冗余规划要综合考虑下面三个目标: 减少跳(hop)数。 减少可用的路径数量。 增加核心层可承受的故障数量。
常见的核心冗余规划以下两种: 完全网状核心层规划:如下图所示。在完全网状规划中,每个核心层路由器都与相关核心层路由器相连接,提供了最大的冗余可能性。它的特点是: 多个到任意目的地的可用路径; 正常情况下,到任意目的地要2跳; 最坏的情况下,最大的跳数为4。 完全网状核心层规划的优点是提供了最 大的冗余度和最少的跳数。缺点是采用完 全网状结构的大型网络会产生过多的冗余 路径,增加了核心层路由器选择最佳路径 的计算量,加大了收敛的时间。
部分网状结构的核心层规划:如下图所示。该方案是折衷了跳数、冗余和网络中路径数量的好方案。 正常情况下,该网络中数据传输不会超过3跳。当部分网状结构的网络扩大后,相应的跳数依旧比较小。部分网状结构的缺点是:某些路由协议不能很好地处理多点到多点的部分网状规划,因此在某些核心层里最好仍使用点到点的链接。
2. 分布层冗余 在分布层提供冗余的两种最普通的方法是“双归”和“到其它分布层路由器的备份链接”。 双归接入核心层:如下图所示,分布层路由器A通过连接到2个核心层路由器接入核心层。 双归接入提供了非常好的冗余,当一个路由器或一个链接丢失时,不会削弱路由器后任何目的地的可到达性。双归接入的问题有2个,一是网络收敛速度问题,每个双归的分布层路由器可能增加一倍路径,因而降低收敛速度;二是双归路由器“升 级”问题,如果路由器B和C之间的链 接断了,双归路由器A就会升级到核心 层,传输路由器B和C之间的数据。防 止这个问题的方法是配置核心层路由器D。 到其它分布层设备的冗余链接:如右图 示,在分布层路由器之间安装链接来提 供冗余。
该方法的优点是明显的,缺点如下: 核心层路由表的大小增加了一倍。 路由器A和B可能“升级”到核心层。 冗余路径可能替代正常核心层路径。 分布层分支之间路由信息泄漏——分支里的路由器会通过冗余链接发布作为可到达目的地的另一分支中的目的地。
3. 接入层冗余:接入层面临许多与分布层相同的问题。常见的接入层冗余方法也是双归。如图所示,前文已述,不再重复。
4.10 编写逻辑设计档案 逻辑设计文档指定解决方案,把网络从流量说明书确定的阶段转向期望阶段(由需求说明书确定)。 在该文档中,设计者要针对流量说明书中所列出的设计目标,明确描述网络设计特点。而且,每项决策都必须有流量说明书、产品说明书以及其他事实作为依据。 逻辑设计文档是所有网络设计文档中技术要求最详细的文档之一。但它必须尽可能的以经理门能理解的语言、使网络设计者精力集中与符合用户需要的网络方案中。 学习目标: 解释为什么逻辑设计应当明确各阶段设计目标; 预算超支或管理发生变化时如何应对? 设计一个简单的逻辑设计文档。 关键知识点 逻辑设计文档应当表现最好的推荐方案,以及支持它们的证据。
数据准备 逻辑设计阶段需要大量的原始数据:设备说明书、设备手册、设备售价、网络标准以及其他设计者用做选择网络技术的信息。虽然逻辑设计文档只包括一小部分这些数据,但是应当把数据组织得有条不紊。 有些重要数据可能来自网络设计的仿真模拟程序,应当保存仿真结果以支持设计方案。
逻辑设计组成部分 逻辑设计文档描述了网络的配置情况,它应当包含下列主要内容: 主管人员评价,包括设计目标检查; 逻辑设计讨论; 新的逻辑设计图表; 总成本评估; 审批部分;
主管人员概述 对项目作一快速简要的概述: 用一、两句话简述项目; 列出设计过程各阶段内容; 项目目前状态,包括以完成阶段和正在进行的阶段; 还应提及双方达成共识的流量说明书。
此处的讨论,重点放在要解决的问题上,而不是解决问题的工具。因此,逻辑设计文档应着眼于通信规范中的设计目标,并阐述实现每个目标的技术方案。 逻辑设计讨论 此处的讨论,重点放在要解决的问题上,而不是解决问题的工具。因此,逻辑设计文档应着眼于通信规范中的设计目标,并阐述实现每个目标的技术方案。 设计目标应包括以下要点: 陈述问题或目标:简要地检查用以描述问题的关键数据; 提出解决方案:从商业和用户的角度论证所推荐的方案。并都要有支持的论据。 借助图表参数方案,集中注意力于所讨论的设计目标。 成本评估:对每个方法的技术成本都要作出评估,虽然物理设计尚未完成,不可能作出精确的评估,但是粗略的成本估计却能决定多提出的方案是否超出了预算。
新逻辑图表 就象流量说明书图解当前网络一样,逻辑设计必须表明新网络所需要的配置情况,包括新设备、链路或事实安全级别。根据自己的意见,选择是分几个步骤设计文档,还是一气呵成。 总成本评估 将各个独立方案的成本组合一起,形成新技术总的成本估价。这里要区分需要一次性支出的成本和重复支出的成本,以及培训成本、咨询服务和新雇员工资等。 如果方案超出预算,如实解释方案在商务上的优点,作为投资放的选择,还得提出一个满足预算的替代方案。但如果感觉现有投资无法满足用户需求,应但如实解释并作好为自己观点辩解的准备。 如果方案在预算内,也不要缩减预算,提醒管理者最后的预算还必须考虑安装成本。
审批部分 逻辑设计方案必须通过高层人员的审批。管理层同意接受提出的功能性方案,同时也要求获得相应的实现技术。 最后各个管理者必须签名确认,设计者也必须签名,以便文档生效。 修改逻辑设计方案 逻辑设计方案包括很多在功能上和成本上的协定。因此,在管理层审批之前,有可能随时修改方案。必须保存好每次修改的备份、后继版本号,并包括文档开始前概述中的版本信息。