数据网工程应用实践——校园网、企业网规划及组建课件

数据网工程实践校园网、企业网规划与组建数据网工程实践校园网、企业网1校园网概述校园网是指利用网络设备、通信介质和组网技术与协议以及各种系统管理软件和应用软件，将校园内的计算机和各种终端设备有机地集成在一起，并应用于教学、科研、学校管理、信息资源共享和远程教学等方面的计算机局域网系统。校园网概述校园网是指利用网络设备、通信介质2数据网工程应用实践校园网、企业网规划及组建课件3校园网的功能一、信息交流功能1、Internet（英特网）信息服务2、校内信息服务二、教学服务功能校园网可以在几个方面为教学服务1、科学园地2、多媒体教学资源库3、电子备课室4、电子阅览室5、远程教学三、学生学习功能学生利用网络自主学习，可以提高学生的学习能力。学生可以上网查阅资料，将完成的作业利用电子邮件或FTP传送给老师；学生可以在校园网上建立学习论坛，利用网页交流学习心得、讨论问题等。校园网的功能一、信息交流功能4校园网的功能四、学校管理功能校园网可以促使学校建立和完善及时的信息发布和管理体系，推动全校管理信息系统的现代化，主要包括以下几个方面：网上办公系统、图书馆管理系统、教学和科研管理系统、学生管理系统、财务管理系统、食堂管理系统以及后勤管理系统等。五、拓展图书馆功能利用校园网可以开设面向开放的电子备课室，开设面向学生开放的电子阅览室；利用计算机实现采购、分类编目、流通、期刊、等环节的自动化管理；在校园网上提供书目检索服务，进而实现图书馆的现代化管理。校园网的功能四、学校管理功能5华中科技大学校园网站华中科技大学校园网站6校园网硬件系统平台校园网一般具有WWW、E-mail、FTP、BBS、多媒体教学等功能，其基本结构如下图所示：校园网硬件系统平台校园网一般具有WWW、E-mail、FTP7二层（网管型）交换机交换机是OSI中的第二层设备，可以隔离冲突域，但不能隔离广播域。交换机能识别帧的内容，它是基于收到的数据帧中的源MAC地址和目的MAC地址来进行工作的。交换机的作用主要有两个：一个是维护CAM（ConetxtAddressMemory）表，该表是计算机的MAC地址和交换端口的映射表；另一个是根据CAM来进行数据帧的转发。以太网交换机转发数据帧有3种交换方式：1）存储转发（Store-and-Forward）存储转发方式是先存储后转发的方式，它把从端口输入的数据帧先全部接收并存储起来，然后进行CRC（循环冗余码校验）检查，把错误帧丢弃，最后才取出数据帧目的地址，查找CAM后进行过滤和转发。（2）直接转发（Cut-Through）当交换机在输入端口检测到一个数据帧时，检查该帧的帧头，只要获取了帧的目的地址，就开始转发帧。（3）无碎片（Fragment-Free）这是改进后的直接转发，是一种介于前两者之间的解决方法。二层（网管型）交换机交换机是OSI中的第二8烽火S2000系列交换机烽火S2000系列交换机9三层（核心）交换机把路由技术引入交换机即可完成网络路由选择，称为路由交换机，也称为第三层交换机。第三层交换机的功能是减少路由次数，消除路由瓶颈。三层（核心）交换机把路由技术引入交换机即可完成网络路由选择，10烽火S3500系列三层交换机烽火S3500系列三层交换机11路由器路由器能起到除了隔离冲突域还可具有隔离广播域的作用，还能在不同网络间转发数据包。路由器实际上是一台特殊用途的计算机，和常见的PC一样，路由器有CPU、内存和BOOTROM。路由器没有键盘、硬盘和显示器；然而比起计算机，路由器多了NVRAM、FLASH及各种各样的接口。路由器是网络互连的关键设备，路由器的作用是把数据包从一个网络经过合理的路径选择转发到另一个网络上。路由器依靠路由表来进行工作，路由表类似我们熟悉的地图。由于路由器根据网络地址来工作，所以路由器是OSI中的第三层设备，即网络层设备路由器路由器能起到除了隔离冲突域还可具有隔12路由器路由器的分类：按功能档次：接入级路由器、企业级路由器、骨干级路由器。接入级路由器主要用于连接家庭或小型企业网络，企业级路由器具有支持多终端互连和不同的服务质量，一般用于校园网、网吧、中型企业网络，骨干路由器具有高速度和高可靠性，一般用于企业级网络之间的互连。按结构：路由器可分为非模块化路由器和模块化路由器。非模块化路由器只能提供固定的端口，一般接入级的路由器为非模块化路由器。模块化路由器可以灵活配置路由器，以适应网络业务的需要。一般企业级、骨干路由器为模块化路由器。按传输介质：有线路由和无线路由。路由器路由器的分类：13烽火R2640系列路由器烽火R2640系列路由器14烽火R2640系列路由器 端口说明：端口说明：CONSOLE：该端口为监控端口，通过该端口与监控终端（PC）连接，用于监控、配置路由器；该端口上使用的为专用监控电缆。AUX：远程控制口通过该端口与异步Moden连接，使用的电缆为专用通信电缆。FastEthernet：标配10100M以太网口。指示灯说明：指示灯说明：Active1：插槽工作状态指示灯，插槽有标配2路10100M以太网口，该灯亮。Active24：插槽工作状态指示灯，插槽有接口卡或模块插入，该灯亮。TX：数据发送指示灯，闪烁表示正在发送数据。RX：数据接收指示灯，闪烁表示正在接收数据。LINK：线缆连接指示灯，亮表示该灯对应端口与线缆另一端的站点建立了连接。100M：100Mbps指示灯，亮表示该灯对应端口速率为100Mbps。ACT：数据发送、接收指示灯，亮或闪烁表示对应端口有数据正在发送或接收。烽火R2640系列路由器端口说明：15服务器服务器是网络应用的基础设备，也是网络中的关键设备之一。它具有高可靠性、高性能、高吞吐能力和大容量内存等特点。通常，服务器向工作站提供处理器、内存、磁盘、打印机、软件、数据库等资源和服务，并负责管理这些资源。校园网所提供的各种服务都是由服务器来完成的。服务器可以分为两类：IA（因特尔构架）服务器，即通常所说的PC服务器或NT服务器。高端服务器，比IA服务器性能更高，如：RISC/UNIX服务器等。高端服务器的种类很多，从小型机、大型机到巨型机都有。服务器服务器是网络应用的基础设备，也是网络中的关键设备之一。16防火墙所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法，它是一种计算机硬件和软件的结合，使Internet与Intranet之间建立起一个安全网关（SecurityGateway），从而保护内部网免受非法用户的侵入，防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成。防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件（其中硬件防火墙用的较少，例如国防部以及大型机房等地才用，因为它价格昂贵）。该计算机流入流出的所有网络通信均要经过此防火墙。防火墙所谓防火墙指的是一个由软件和硬件设备17校园网软件系统平台校园网软件系统平台由网络操作系统、工作站操作系统、网络管理系统、协议软件以及应用软件组成，是提供校园网应用服务的基础平台。校园网软件系统平台校园网软件系统平台由网络操作18网络操作系统1、Windows操作系统WindowsServer2003是采用WindowsNT的内核技术发展而来的，其功能更强、系统更加稳定，继承了WindowsNT4.0和Windows2000的优点，集成了Windows系统的所有功能，支持客户/服务器模式与对等模式，适合各种规模的网络，能够提供高性能、高效率、高安全性、低成本和易于管理的网络环境，是目前应用最为广泛的局域网操作系统。网络操作系统1、Windows操作系统19网络操作系统2、Linux操作系统Linux操作系统是由芬兰的大学生Linux发明的，它是一种类似UNIX操作系统的自由软件，支持很多应用软件，其中包括大量免费软件。3、Unix操作系统UNIX最早是由美国贝尔实验室发明的一种多用户、多任务的通用操作系统。由于UNIX具有技术成熟、可靠性高、网络和数据库功能强、伸缩性突出和开放性好等特点，可满足各行各业的实际需要，特别能满足企业重要业务的需要，因而已经成为主要的工作站平台和重要的企业操作平台4、NetWare操作系统Novell网是Novell公司推出的一种多任务、高性能的局域网，其操作系统是NetWare。它可以管理和控制整个局域网，也可以管理由不同操作系统构成的异构网络。网络操作系统2、Linux操作系统20工作站操作系统工作站操作系统是指普通PC机操作系统，因为网络中工作站主要由PC机来担任而得名。网络工作站操作系统应具有网络功能，如支持协议、命令重定向功能等。国内用户常用的工作站操作系统以微软公司的产品为主，主要有Windows9x、WindowsNTWorkstation、Windows2000Professional、WindowsXP系统。工作站操作系统工作站操作系统是指普通PC机21协议软件协议软件是指运行在网络计算机和网络设备中实现协议规则和功能的软件。一般主流的协议软件都已集成在操作系统中，用户安装操作系统的同时，就是把协议软件安装在计算机中了。如Windows操作系统中的TCP/IP协议。当用户设置网络协议时，只需在操作系统中使用特殊的工具，进行简单的操作就可以完成。协议软件协议软件是指运行在网络22网管软件网络管理系统软件（NMS）简称网管软件。网管软件运行在网络中某工作站上，可以对网络运行状况进行信息统计、报告、警告和监控，管理人员可以通过软件提供的界面全面监控网络设备的运行状态，了解网络中相关的数据状态。网管软件网络管理系统软件（NMS）简称网管23应用软件当校园网建设完成之后，除了能提供常见的WWW、FTP、BBS、E-mail和数据库等服务外，还应为学校师生进行教学、科研提供服务，如教务管理系统、图书馆管理系统、网上办公室、视频会议系统、视频点播、多媒体教学等网络应用。这些应用服务的实现需要相应的硬件和软件，这些软件组成了校园网的应用软件系统。应用软件当校园网建设完成之后，除了能提24校园网规划校园网的规划设计包括网络技术的选择、网络拓扑规划、网络设备选择以及子网划分。网络技术的选择主干网连接技术主干网采用交换式1000M以太网连接技术。100Mb/s的网卡能够自动检测所连接的端口是10Mb/s还是100Mb/s，并执行相应的操作。100Mb/s的交换式集线器，它可以提供更高的性能。在该方案中各节点之间采用多模光纤以全连接拓扑结构通过1000M交换技术进行连接。即保证了主干线的1000M带宽，又保证了主干线路冗余。楼内局域网连接技术校园网为园区网，楼群间子系统采用光缆连接，可提供千兆位的带宽，有充分的扩展余地。垂直子系统则位于高层建筑物的竖井内，可采用大对数双绞线。把管理区子系统并入设备间子系统，集中管理。对于多幢楼宇，可采用多设备间的方法。分为中心设备间和楼栋设备间部分，中心设备间是整个局域网的控制中心，内设有对外（Internet）对内通信的各种网络设备（交换机、路由器、视频服务器等），中心交换机通过光缆与楼栋设备间的交换设备相连，以保证数据的高速传输。在此设备间放置布线的线架和网络设备，端接楼内来自在各层的主干线缆，并端接连接网络中心的光纤。楼内布线包括水平布线和主干布线。水平系统采用超五类双绞线。广域网技术广域网是通过较长的距离传输主机所发送数据的网络。连接广域网各结点各交换机的链路都是高速链路，其距离可以是几千千米的光缆线路，也可以是几万千米的点对点卫星链路。广域网协议定义了数据在广域网的传输过程是如何进行封装的，常见的广域网协议包括HDLC协议、PPP协议和帧中继协议。要将本地网接入到广域网中，有如下9种接入方式：PSTN、ISDN、DDN、LAN、ADSL、VDSL、Cable-Modem、PON和LMDS。校园网规划校园网的规划设计包括网络技术的选25校园网规划校园网规划26校园网规划VLAN 号VLAN 名称IP 网段默认网关说明VLAN 1XSSS192.168.0.0/24192.168.0.254学生宿舍VLAN 2JXL192.168.1.0/24192.168.1.254教学楼VLAN 3BGL192.168.2.0/24192.168.2.254办公楼VLAN 4JSJXY192.168.3.0/24192.168.3.254计算机学院VLAN 5FWQQ192.168.4.0/24192.168.4.254服务器群为了便于网络管理，抑制网络风暴，提高网络安全性能。采用虚拟子网（VLAN），不跨部门也不跨楼宇的策略，将校园网划分为多个VLAN。校内的网段及子网的划分如下表所示：子网划分校园网规划VLAN号VLAN名称IP27VLAN定义：一个VLAN组成一个逻辑子网，它可以覆盖多个网络设备，允许处于不同地理位置的网络用户加入到一个逻辑子网中VLAN的标准：802.10，Cisco在1995年提出802.1Q，IEEE于1996制定802.1QTag字段的含义：TPID：2字节，协议标志，通常为0 x8100。Priority：3bit，优先级CFI：规范指示位，总是置0VLANID：12bit,VLAN号DASATypeDataCRCStandard Ethernet FrameDASATypeDataCRCtagTPIDPriorityCFIVLAN IDTCIEthernet Frame with IEEE802.Iq FlagVLAN标准VLAN定义：DASATypeDataCRCStandard28VLAN的基本作用相同VLAN内主机可以任意通信二层交换不同VLAN内主机二层流量完全隔离阻断广播包，减小广播域提供了网络安全性相同VLAN跨设备通信实现虚拟工作组减少用户移动带来的管理工作量VLAN的划分方式基于端口划分基于MAC地址划分基于网络层(协议、IP地址、IP子网)划分基于策略划分VLAN基本功能（VirtualLocalAreaNetwork）VLAN的基本作用VLAN基本功能（VirtualLoca29QinQ能够解决哪些问题？可以解决日益紧缺的公网VLANID资源问题用户可以规划自己的私网VLANID，不会与公网VLANID冲突提供一种较为简单的二层VPN解决方案使用户网络具有较高的独立性，在服务提供商升级网络时，用户网络不必更改原有的配置。可以按不同层次的VLANID来区分不同的业务基本QinQtag101002010030100VLAN20VLAN20VLAN100VLAN100PVID=100PVID=100VLAN10VLAN30VLAN10VLAN30nVLAN的局限性？不同的用户需要的VLANID范围可能重叠802.1Q所支持的4096个VLAN已不能满足实际需求QinQ能够解决哪些问题？基本QinQtag1010020130灵活QinQ的分类规则？VlantagMAC地址IP地址源地址目的地址优先级业务类型。灵活QinQtag101002020030300n基本QinQ的局限性？当多个用户从同一QinQ端口接入网络时无法区分用户和业务类型VLAN20VLAN20VLAN10VLAN30VLAN10VLAN30VID=200VID=300VID=100VID=200VID=300VID=100灵活QinQ的分类规则？灵活QinQtag1010020203110G汇聚环VLAN1002VLAN1001VLAN1702VLAN1701VLAN2002VLAN2001BRASSRS3200S3600普通上网NGNIPTV大客户灵活灵活QinQ实现业务安全隔离、绑定和分流实现业务安全隔离、绑定和分流S2200MEVLAN1002VLAN1702VLAN2002楼道交换机园区交换机汇聚交换机VLAN1002VLAN1702VLAN2002S4600业务类型内层标签外层标签分流原则普通上网1000-16991001-1699内层标签NGN1700-19991701-1999内层标签IPTV2000-29992001-2999内层标签大客户500-999500-999内层标签家庭网关采用PVID的方式为用户分配VLAN透传VLAN根据内层VLAN区间打外层标签VLAN1002VLAN1702VLAN2002S4600S4600S4600根据内层VLAN区间分流VLAN1002VLAN1001VLAN1702VLAN1701VLAN2002VLAN2001 园区交换机作为汇聚交换机的延伸交换机，也支持灵活QinQ功能，只是将外层标签从汇聚交换机转移到园区交换机来部署，但是外层标签步长稍微要小一些。灵活QinQ-PUPSPV城域网10G汇聚环VLAN1002VLAN1001VLAN1702321:1VLAN映射：将报文携带VLANTag中的VLANID修改为另一个VLANID。N:1VLAN映射：将报文携带VLANTag中的某个范围内的VLANID修改为另外的一个VLANID。DHCPServerVLAN1 VLAN2 VLAN3VLAN1 VLAN2 VLAN3VLAN1 VLAN2 VLAN3VLAN1 VLAN2 VLAN3家庭网关楼道交换机园区交换机VLAN1-VLAN101VLAN2-VLAN201VLAN3-VLAN301VLAN1-VLAN102VLAN2-VLAN202VLAN3-VLAN302VLAN1-VLAN103VLAN2-VLAN203VLAN3-VLAN303VLAN1-VLAN104VLAN2-VLAN204VLAN3-VLAN304VLAN101VLAN104VLAN501VLAN201VLAN204VLAN502VLAN301VLAN304VLAN503IP城域网1:1VLAN映射N:1VLAN映射1:1VLAN映射internetIPTVPhoneVLAN映射internetIPTVPhoneinternetIPTVPhoneinternetIPTVPhone1:1VLAN映射：将报文携带VLANTag中的VL33STP（SpanningTreeProtocol，生成树协议）是用于在局域网中消除数据链路层物理环路的协议。通过阻断冗余链路来消除桥接网络中可能存在的路径回环当前路径发生故障时，激活冗余备份链路，恢复网络连通性通过在桥之间交换BPDU（BridgeProtocolDataUnit，桥协议数据单元），来保证设备完成生成树的计算过程。BPDU包含以下重要信息，完成生成树计算根桥ID（RootID）根路径开销（RootPathCost）指定桥ID（DesignatedBridgeID）指定端口ID（DesignatedPortID）各台设备的各个端口在初始时生成以自己为根桥（RootBridge）的配置消息，向外发送自己的配置消息网络收敛后，根桥向外发送配置BPDU，其他的设备对该配置BPDU进行转发生成树协议-STPSTP（SpanningTreeProtocol，生成树34生成树协议-RSTP/MSTPnSTP的不足端口从阻塞状态进入转发状态必须经历长时间的ForwardingDelay时间如果网络中的拓扑结构变化频繁，网络会频繁地失去连通性nRSTPRSTP（RapidSpanningTreeProtocol，快速生成树协议）是STP协议的优化版RSTP具备STP的所有功能RSTP可以实现快速收敛端口进入转发状态的延时大大缩短，从而缩短了网络最终达到拓扑稳定所需要的时间。nMSTPMSTP（MultipleSpanningTreeProtocol，多生成树协议）避免报文在环路网络中的增生和无限循环在多条冗余路径上实现VLAN数据的负载分担特性列表特性列表STPRSTPMSTP解决环路故障并实现冗余备份解决环路故障并实现冗余备份YYY快速收敛快速收敛NYY形成多棵生成树实现负载分担形成多棵生成树实现负载分担NNY三种生成树协议特性的比较生成树协议-RSTP/MSTPSTP的不足特性列表STPRS35Master以太网环PSp:primary portS:secondary port技术背景：以太网环是一种二层冗余协议。在以太网的环型拓扑中需要解决的重要问题就是环网广播风暴抑制和链路或设备故障快速倒换，以太网环技术可以很好的解决这两个问题。实现方式：环网中有LINK_DOWN告警机制与Polling轮询机制。在正常的工作时，主节点（Master）的第二端口设置为阻塞状态，以避免不受控制的以太网帧在环中不断环回，形成广播风暴。如果主节点通过以上两种机制检测到环的某一部位出了毛病，便将其第二端口解阻塞，允许以太网帧从第二端口通过，以保证环的连通性。Block pointG.8032环网保护Master以太网环PSp:primaryport技术背景36城域骨干网DSLAMBRASBRASOLTDSLAMLANR-LinkR-LinkR-Link适合于树型双链路，可实现二层以太网链路之间的快速保护。主、备链路可实现50ms快速切换链路的检测和切换由交换机自发完成，不依赖其它设备。R-Link提供端口联动功能配置上行端口和下行端口联动，当上行端口或上行链路出现故障，交换机立即通过联动功能，将下行端口down掉，这样下面所接和设备就知道链路出问题了，主动切换到备用链路。MasterMasterS4600S4600S3600/S3500S3600/S3500R-LINK技术城域骨干网DSLAMBRASBRASOLTDSLAMLANR37什么是端口镜像？PC-APC-B被镜像端口监控端口什么是端口镜像？PC-APC-B被镜像端口监控端口38端口镜像定义端口镜像将交换机或路由器上一个或多个端口(被镜像端口)的数据复制到一个指定的目的端口(监控端口)上，通过镜像可以在监控端口上获取这些被镜像端口的数据，以便进行网络流量分析、错误诊断等。镜像分类基于端口的镜像将数据流量从被镜像端口复制到镜像端口基于业务的镜像通过ACL来控制某些数据流量的复制至镜像端口端口镜像定义端口镜像镜像分类基于端口的镜像39什么是链路聚合?链路聚合，也被称为端口绑定，端口汇聚，或者链路汇聚，是将多个端口聚合成一个各个成员的输出/输入恭喜负载的聚合组。从外部看，一个聚合组就像一个端口。使用链路汇聚服务的上层实体把同一聚合组内多条物理链路视为一条逻辑链路链路聚合在数据链路层上实现什么是链路聚合?链路聚合，也被称为端口绑定，端口汇聚，或者链40链路聚合的优点提高链路带宽流量负荷分担提高可靠性：同组成员彼此动态备份限制聚合链路两端的物理参数必须保持一致进行聚合的链路的数目 进行聚合的链路的速率 进行聚合的链路的双工方式聚合链路两端的逻辑参数必须保持一致同一个汇聚组中端口的基本配置必须保持一致，基本配置主要包括STP、QoS、VLAN、端口等相关配置 链路聚合的优点提高链路带宽限制聚合链路两端的物理参数必须保持41链路聚合端口原则Agivenlinkisallocatedto,atmost,oneLinkAggregationGroupatatime.ItmeansthatagivenportwillonlybindtoasingleAggregatoratanytime一个给定的链路分配，至多，一个链路聚合组中一次。这意味着一个特定的港口将只绑定在任何时间一个单一的聚合链路聚合端口原则Agivenlinkisalloca42路由基础知识n什么是路由路由信息是指导报文发送的路径信息路由表：路标牌路由协议负责收集信息，构建“地图”路由的过程是报文中继转发的过程HopbyHop：路由器不知道完整转发路径，只知道到达目的地的最近的下一跳如何走n路由开销路由的开销标识出了到达路由所指的目的地的代价，以选择最佳路径IP包的“旅途”费用影响因素线路延迟、线路带宽、线路占有率、线路可信度、跳数、最大传输单元与协议相关，不同的动态路由协议会选择以上的一种或几种因素来计算花费值可比性该花费值只在同一种路由协议对同一目的地有比较意义不同的路由协议之间的路由花费值没有可比性不存在换算关系n路由器与二层交换机的区别工作层次不同数据转发所依据的对象不同二层交换机只能分割冲突域，不能分割广播域；而路由器可以分割广播域路由器提供防火墙的服务二层交换机一般用于LAN-WAN的连接，而路由器用于WAN-WAN之间的连接路由基础知识什么是路由路由器与二层交换机的区别43VRRP简介虚拟路由冗余协议(VirtualRouterRedundancyProtocol，1998年已推出正式的RFC2338协议标准是由IETF提出的解决局域网中配置静态网关出现单点失效现象的路由协议是一种路由容错协议，也可以叫做备份路由协议。一个局域网络内的所有主机都设置缺省路由，当缺省路由器down掉(即端口关闭)之后，内部主机将无法与外部通信，如果路由器设置了VRRP时，那么这时，虚拟路由将启用备份路由器，从而实现全网通信。VRRP使用组播地址224.0.0.18UDP端口112VRRP简介虚拟路由冗余协议(VirtualRouter44当网络没有冗余时单一网关的网络192.168.5.254Hosts:192.168.5.1192.168.5.5当网络没有冗余时单一网关的网络192.168.5.254Ho45冗余网络使用两台设备增加可靠性Change gateway manualHosts:192.168.5.1192.168.5.5192.168.5.254192.168.5.253冗余网络使用两台设备增加可靠性Changegateway46DHCP技术nDHCP概述DHCP是DynamicHostConfigurationProtocol（动态主机配置协议）的缩写DHCP是用来给指定局域网的主机进行动态IP地址分配的DHCP采用客户端/服务器模式，服务器负责集中管理，客户端向服务器提出配置申请，服务器根据策略返回相应配置信息即插即用性客户端无须配置即能获得IP地址及相关参数。简化客户端网络配置，降低维护成本合法接入、统一管理所有IP地址及相关参数信息由DHCP服务器统一管理，统一分配使用效率高通过IP地址租期管理，提高使用效率可跨网段实现通过使用DHCP中继，可使处于不同子网中的客户端和DHCP服务器之间实现协议报文交互nDHCP系统组成DHCP服务器能提供DHCP功能的服务器或具有DHCP功能的网络设备DHCP中继一般为路由器或三层交换机等网络设备DHCP客户端需要动态获得IP地址的主机nDHCP技术特点DHCP技术DHCP概述即插即用性合法接入、统一管理使用效率47NAT技术nNAT（NetworkAddressTranslation）：网络地址转换。n地址转换技术可以有效隐藏局域网内的主机，是一种有效的网络安全保护技术。n地址转换可以按照用户的需要，在局域网内向外提供FTP、WWW、Telnet等服务。NAT技术NAT（NetworkAddressTrans48ACL概述nACL概述ACL（AccessControlList，访问控制列表）是用来实现数据包识别功能的ACL可以应用于诸多方面包过滤防火墙功能NAT（NetworkAddressTranslation，网络地址转换）QoS（QualityofService，服务质量）的数据分类路由策略和过滤n基于ACL的包过滤技术对进出的数据包逐个过滤，丢弃或允许通过ACL应用于接口上，每个接口的出入双向分别过滤仅当数据包经过一个接口时，才能被此接口的此方向的ACL过滤数据包过滤流程ACL概述ACL概述数据包过滤流程49ACL应用n标准ACL标准访问控制列表只根据报文的源IP地址信息制定规则n扩展ACL高级访问控制列表根据报文的源IP地址、目的IP地址、IP承载的协议类型、协议特性等三、四层信息制定规则n二层ACL与用户自定义ACL二层ACL根据报文的源MAC地址、目的MAC地址、802.1p优先级、二层协议类型等二层信息制定匹配规则用户自定义ACL可以根据任意位置的任意字串制定匹配规则ACL应用标准ACL扩展ACL二层ACL与用户自定义ACL50802.1Xn802.1X概述802.1x协议起源于802.11协议，后者是标准的无线局域网协议，802.1x协议的主要目的是为了解决无线局域网用户的接入认证问题，但由于它的原理对于所有符合IEEE802标准的局域网具有普适性，因此后来它在有线局域网中也得到了广泛的应用。IEEE802.1x定义了基于端口的网络接入控制协议，其中端口可以是物理端口，也可以是逻辑端口。n802.1X的实现方式1、运行、运行802.1X客户客户端软件，向交换机发端软件，向交换机发送认证请求送认证请求3、提供用户信息、提供用户信息7、按照加密字段提、按照加密字段提供加密信息供加密信息4、将用户信息经过、将用户信息经过封包后送给认证服封包后送给认证服务器进行处理务器进行处理8、发送加密口令、发送加密口令2、要求提供用户信息、要求提供用户信息6、提供加密字段、提供加密字段5、提供客户端加密、提供客户端加密字段字段9、核实认证信息后、核实认证信息后指示交换机打开相指示交换机打开相应端口应端口switchUSERAuthentication server802.1X802.1X概述1、运行802.1X客户端软件，51VPN概述n什么是VPNVPN（VirtualPrivateNetwork，虚拟私有网）以共享的公共网络为基础，构建私有的专用网络技术分类p二层VPN：PPTP/L2TP/VPLSp三层VPN：GRE/IPSec/MPLSL3VPNnVPN的安全机制隧道技术加解密技术密钥管理技术身份认证技术nVPN的优势可以快速构建网络，减小布署周期与私有网络一样提供安全性，可靠性和可管理性可利用Internet，无处不连通，处处可接入简化用户侧的配置和维护工作提高基础资源利用率VPN概述什么是VPNVPN的优势VPN52VPN技术对比L2TPVPNGREVPNIPsecVPNMPLSVPN优点方便远程漫游用户接入节约费用可以由ISP或组织自身提供接入和验证以当前最为普遍的IP网络作为承载网络支持多种协议支持IP组播简单明了、容易布署保证机密性保证数据完整性可以进行数据源验证具有一定的抗攻击能力QOS功能丰富，流量和时延可控，适合高端用户和视频/语音应用性能高，能够在一条线路上组建成千上万个企业VPN网络对用户透明，完全由运营商维护和管理缺点L2TP不提供对数据本身的安全性保证点对点隧道静态配置隧道参数布署复杂连接关系时代价巨大缺乏安全性不能分隔地址空间复杂的协议体系，不利用布署和维护高强度的运算，消耗大量资源增加了数据传输的延迟，不利于实时性要求强的应用，如语音和视频等仅能对点对点的数据进行保护，不支持组播要求数据经过的所有边界和核心路由设备均支持MPLS,中间不能被打断，ISP初始投入巨大对数据不加密，只隔离，安全性相对较差VPN技术对比L2TPVPNGREVPNIPsecVP53课程内容项目任务主要内容校园网络规划校园网络分析校园网的特点校园网组建的基本规范与要求网络规划设计网络拓扑规划设计IP地址分配规划设计网络设备选用办公室网络组建与管理工作组网络实现TCP/IP协议的配置工作组网络的共享实现校园网络服务及其管理网络信息服务Windows网络信息服务WindowsIIS的安装配置与管理Serv-U的安装配置与管理Windows网络DHCP服务DHCP服务器的配置安装与管理Windows网络DNS服务域名系统，DNS服务与设计DNS服务器的安装配置与管理Windows网络WEB服务WEB服务与设计WEB服务器的安装配置与管理课程内容项目任务主要内容校园网络规划校园网络分析校园网的特点54课程内容项目任务主要内容校园网络组建与管理VLAN技术与实现二层交换机配置与管理VLAN技术与配置Trunk技术与配置路由与网络互联路由协议路由器的配置与管理单臂路由配置与管理局域网核心构建三层交换机的VLAN配置三层交换机的路由配置Internet接入单机Internet接入局域网Internet接入VPN技术与配置校园网络安全技术安全技术ACL技术与配置NAT技术与配置（病毒防火墙部署与管理）综合实训组建校园网组建多校区校园网课程内容项目任务主要内容校园网络组建与管理VLAN技术与实55