設計網(wǎng)絡拓撲結(jié)構(gòu)第1頁，課件共38頁，創(chuàng)作于2023年2月設計網(wǎng)絡拓撲結(jié)構(gòu)1、層次化、模塊化網(wǎng)絡設計2、冗余網(wǎng)絡設計3、園區(qū)網(wǎng)絡拓撲結(jié)構(gòu)設計—生成樹和虛擬局域網(wǎng)4、企業(yè)網(wǎng)絡邊界拓撲結(jié)構(gòu)設計5、網(wǎng)絡拓撲結(jié)構(gòu)的安全第2頁，課件共38頁，創(chuàng)作于2023年2月分而治之——層次化、模塊化網(wǎng)絡設計第3頁，課件共38頁，創(chuàng)作于2023年2月平面結(jié)構(gòu)與層次化結(jié)構(gòu)平面結(jié)構(gòu)圖層次化結(jié)構(gòu)圖第4頁，課件共38頁，創(chuàng)作于2023年2月一、平面網(wǎng)絡結(jié)構(gòu)缺點：

1、廣播數(shù)據(jù)包

2、路由信息的傳播帶來的負擔優(yōu)點：

適合小的網(wǎng)絡規(guī)模，易設計、實施、管理、良好可用性說明：站點少時：路由協(xié)議很快的收斂；鏈路失效很快恢復；站點多時：環(huán)路相反方向的路由器經(jīng)過很多跳二、層次化結(jié)構(gòu)優(yōu)點：

1、降低成本：為每層選購合適的設備

2、每層進行精確的流量規(guī)劃，減少帶寬的浪費

3、網(wǎng)絡管理職責分布在各層，減少管理成本

4、模塊化使設計元素簡化而易于理解。簡化使培訓和設計的費用降低。測試易實現(xiàn)。故障點易隔離。

5、層次化使網(wǎng)絡的改變也容易

6、易于擴展

7、快速收斂路由選擇協(xié)議都是為層次化設計的

第5頁，課件共38頁，創(chuàng)作于2023年2月

怎樣說明你的設計很好？反思

1、知道如何增加新的大樓、地板、廣域網(wǎng)鏈路、遠程站點、電子商務服務等

2、新增建筑物只對直連設備發(fā)生本地變化

3、網(wǎng)絡擴大兩三倍而基本結(jié)構(gòu)不變

4、輕松的發(fā)現(xiàn)和處理故障第6頁，課件共38頁，創(chuàng)作于2023年2月網(wǎng)狀結(jié)構(gòu)與層次化結(jié)構(gòu)部分網(wǎng)狀結(jié)構(gòu)圖全網(wǎng)狀結(jié)構(gòu)圖三、網(wǎng)狀拓撲結(jié)構(gòu)優(yōu)點：可用性極好

缺點：部署和維護昂貴；優(yōu)化、故障排查和升級；對路由器的擴展性有限制；

第7頁，課件共38頁，創(chuàng)作于2023年2月部分網(wǎng)狀層次結(jié)構(gòu)圖第8頁，課件共38頁，創(chuàng)作于2023年2月第9頁，課件共38頁，創(chuàng)作于2023年2月經(jīng)典的三層層次化模型核心思想：在路由和交換實現(xiàn)流量匯聚和過濾，使網(wǎng)絡范圍擴大核心層的作用：提供兩個站點間的最優(yōu)傳輸路徑分布層的作用：連接核心層和接入層；安全、分流、過濾、路由的優(yōu)化和重新分發(fā)接入層的作用：將主機接入一、核心層的設計原則

1、冗余以實現(xiàn)高可靠性；高性能的設備提高轉(zhuǎn)發(fā)速度；

2、路由器啟用可提高吞吐量的特性。如避免啟用過濾

3、核心層的范圍應被限制，提供可預測的性能，并且易于故障排查

4、將因特網(wǎng)連接置于核心層

5、分支機構(gòu)的連接置于核心層第10頁，課件共38頁，創(chuàng)作于2023年2月二、分布層的設計原則

1、在核心層路由協(xié)議和接入層路由協(xié)議之間進行重新分發(fā)；例：IGRP和EIGRP2、匯總接入層的路由；很多時候配置靜態(tài)路由

3、分布層向核心層隱藏接入層的詳細信息；分布層向接入層提供訪問核心層最近的路由信息三、接入層的設計原則接入層包括：路由器、交換機、集線器、無線接入點遠距離分支機構(gòu)接入可選擇：ISDN、FR、數(shù)字專線、模擬調(diào)制解調(diào)器第11頁，課件共38頁，創(chuàng)作于2023年2月層次化網(wǎng)絡總體設計原則：

1、控制網(wǎng)絡拓撲結(jié)構(gòu)的范圍，3個層次足夠

2、接入層應防止：增加一條鏈接；后門圖示

3、先設計接入層、再是分布層、最后核心層

4、根據(jù)流量和協(xié)議行為來規(guī)劃層與層之間的互連第12頁，課件共38頁，創(chuàng)作于2023年2月第13頁，課件共38頁，創(chuàng)作于2023年2月模塊化網(wǎng)絡設計企業(yè)綜合網(wǎng)絡模型：

1、企業(yè)園區(qū)

2、企業(yè)邊界

3、服務提供商邊界第14頁，課件共38頁，創(chuàng)作于2023年2月企業(yè)園區(qū)部分分為：

1、建筑物接入子模塊園區(qū)的大樓內(nèi)，包括最終用戶工作站、連接到交換機或無線接入點的IP電話。高端交換機提供上行鏈路。此模塊提供：網(wǎng)絡接入、廣播控制、協(xié)議過濾和標記信息包的QOS特征。

2、建筑物分布子模塊經(jīng)路由器接入到骨干網(wǎng)。提高路由選擇、QOS和訪問控制方法以滿足安全和高性能；在這一模塊提高冗余和負載分擔

3、園區(qū)骨干網(wǎng)骨干網(wǎng)將服務器群組、網(wǎng)絡管理和邊界分配模塊與建筑物接入和分配子模塊相連。提高冗余、快速收斂的連通性。盡快完成模塊間流量的路由和交換。通常使用高速路由器。第15頁，課件共38頁，創(chuàng)作于2023年2月保證可用性——冗余網(wǎng)絡設計需要冗余的原因是網(wǎng)絡中存在單故障點。冗余技術(shù)提供備用連接以繞過那些故障點，冗余技術(shù)還提供安全的方法以防止服務丟失。但是如果缺乏恰當?shù)囊?guī)劃和實施，冗余的鏈接和連接點會削弱網(wǎng)絡的層次性和降低網(wǎng)絡的穩(wěn)定性。第16頁，課件共38頁，創(chuàng)作于2023年2月單故障點是指其故障能導致隔離用戶和服務的設備、設備上的接口或鏈接。樹型拓撲中存在的單故障點第17頁，課件共38頁，創(chuàng)作于2023年2月冗余設計的目標：

（1）鏈路冗余（2）設備冗余（3）路由冗余

第18頁，課件共38頁，創(chuàng)作于2023年2月1．核心層冗余核心層冗余規(guī)劃要綜合考慮下面三個目標：（1）減少跳數(shù)；（2）減少可用的路徑數(shù)量；（3）增加核心層可承受的故障數(shù)量；常見的核心層冗余技術(shù)有以下兩種：（1）完全網(wǎng)狀（2）部分網(wǎng)狀結(jié)構(gòu)第19頁，課件共38頁，創(chuàng)作于2023年2月2．分布層冗余第20頁，課件共38頁，創(chuàng)作于2023年2月

接入層的冗余設計并不是必需的，只有企業(yè)用戶才需要。一種常用的做法是使用撥號路由備份，建立兩條效率不等的廣域網(wǎng)通信線路。接入層冗余設計并不是捆綁廣域網(wǎng)鏈路，捆綁廣域網(wǎng)鏈路的主要目的是為了提供更高的帶寬。3．接入層冗余使用路由器AUX備份端口建立一條撥號線路，防止專線故障時業(yè)務中斷第21頁，課件共38頁，創(chuàng)作于2023年2月路由器的發(fā)現(xiàn)機制1、發(fā)送地址解析協(xié)議發(fā)現(xiàn)遠程站點運行代理ARP的路由器響應ARP請求2、手工和DHCP設置缺省路由3、工作站中配置靜態(tài)路由或運行路由選擇協(xié)議4、路由器發(fā)現(xiàn)協(xié)議RDP

路由器定期廣播ICMP路由器通告數(shù)據(jù)包，工作站監(jiān)聽；工作站也可以發(fā)送請求第22頁，課件共38頁，創(chuàng)作于2023年2月熱備份路由協(xié)議（HSRP）HSRP使主路由器與備份路由器之間能夠協(xié)同工作。主路由器在發(fā)生故障時，HSRP自動選擇備份路由器提供路由服務，切換時間極短，不會引起IP路由的重新計算。HSRP協(xié)議利用一個優(yōu)先級方案來決定哪個配置了HSRP協(xié)議的路由器成為默認的主動路由器。第23頁，課件共38頁，創(chuàng)作于2023年2月

如圖所示，PC將數(shù)據(jù)包發(fā)送到設置的虛擬路由器端口（配置HSRP路由器所共享的虛擬IP地址）192.168.0.254，虛擬路由器這個時候?qū)嶋H上是主路由器，如果主路由器正常，數(shù)據(jù)被發(fā)送到192.168.0.1接口始終由主路由器處理。第24頁，課件共38頁，創(chuàng)作于2023年2月第25頁，課件共38頁，創(chuàng)作于2023年2月

如果主路由器發(fā)生故障，它就不會廣播Hello報文，HSRP一直在監(jiān)聽這個報文，一旦它在HoldTime內(nèi)未收到Hello報文，就認為主路由器發(fā)生故障，將虛擬路由器接收到的數(shù)據(jù)包交給備份路由器，發(fā)生主備份路由器切換。但如果主路由器恢復正常后，它就會重新廣播Hello報文，由于它發(fā)送的Hello報文具有最高優(yōu)先級，所以HSRP仍然選擇它來完成路由工作，再次發(fā)生主備份路由器之間的切換。第26頁，課件共38頁，創(chuàng)作于2023年2月網(wǎng)關(guān)負載均衡協(xié)議GLBP1、實現(xiàn)負載均衡2、多個路由器同時使用，配置一個虛擬的IP地址和多臺虛擬的MAC地址3、一組路由器選舉一個活動的虛擬網(wǎng)關(guān)AVG，AVG給每個路由器分配一個虛擬的MAC地址。每個路由器叫做活動虛擬轉(zhuǎn)發(fā)器。AVG負責對來自虛擬IP地址的ARP響應，它將回應一個不同的虛擬MAC地址第27頁，課件共38頁，創(chuàng)作于2023年2月多穴因特網(wǎng)連接企業(yè)企業(yè)企業(yè)ISP1ISP1ISP2ISP1ISP1ISP2企業(yè)選項A選項B選項C選項DParisNYParisNY第28頁，課件共38頁，創(chuàng)作于2023年2月VPN的具體實現(xiàn)是采用隧道技術(shù)，在公網(wǎng)中建立企業(yè)之間的鏈接，將用戶的數(shù)據(jù)封裝在隧道中進行傳輸。隧道技術(shù)與接入方式無關(guān)，它可以支持各種形式的接入，如撥號方式接入、CABLEModem、xDSL以及ISDN、E1專線和無線接入等。

隧道可在網(wǎng)絡的任一層實現(xiàn)，最常用的是兩層：數(shù)據(jù)鏈路層和網(wǎng)絡層數(shù)據(jù)鏈路層隧道：先把各種網(wǎng)絡協(xié)議封裝到PPP中，再把整個數(shù)據(jù)包裝入隧道協(xié)議中。這種雙層封裝方法形成的數(shù)據(jù)包靠第二層協(xié)議進行傳輸。第二層隧道協(xié)議有L2F、PPTP、L2TP等。網(wǎng)絡層隧道：把各種網(wǎng)絡協(xié)議直接裝入隧道協(xié)議中，形成的數(shù)據(jù)包依靠第三層協(xié)議進行傳輸。第三層隧道協(xié)議有GRE、IPSec等。虛擬專用網(wǎng)的隧道技術(shù)第29頁，課件共38頁，創(chuàng)作于2023年2月公司內(nèi)部網(wǎng)撥號連接因特網(wǎng)L2TP通道用于該層的協(xié)議主要有：

L2TP：Lay2TunnelingProtocolPPTP：Point-to-PointTunnelingProtocolL2F：Lay2ForwardingL2TP通道基于第二層的VPN第30頁，課件共38頁，創(chuàng)作于2023年2月三層隧道VPN：以IP地址為依據(jù)轉(zhuǎn)發(fā)用戶數(shù)據(jù)包，用戶網(wǎng)絡使用專用的IP地址，服務提供商可參與三層的管理。

GRE:GeneralRoutingEncapsulationIPSEC:IPSecurityProtocol

基于第三層的VPN第31頁，課件共38頁，創(chuàng)作于2023年2月

Internet分支機構(gòu)VPN網(wǎng)關(guān)AVPN網(wǎng)關(guān)B總部通道只需定義在兩邊的網(wǎng)關(guān)上Gateway必須支持IPSecGateway必須支持IPSec數(shù)據(jù)在這一段是認證的數(shù)據(jù)在這一段是加密的ISPISP用VPN連接分支機構(gòu)§VPN的應用第32頁，課件共38頁，創(chuàng)作于2023年2月Internet業(yè)務伙伴VPN網(wǎng)關(guān)AVPN網(wǎng)關(guān)B公司A主機必須支持IPSec主機必須支持IPSec通道建立在兩邊的主機之間，因為業(yè)務伙伴內(nèi)的主機不是都可以信任的數(shù)據(jù)在這一段是加密的數(shù)據(jù)在這一段是認證的數(shù)據(jù)在這一段是認證的數(shù)據(jù)在這一段是加密的數(shù)據(jù)在這一段是認證的數(shù)據(jù)在這一段是加密的ISPISP用VPN連接合作伙伴§VPN的應用第33頁，課件共38頁，創(chuàng)作于2023年2月Internet公司BISP接入服務器VPN網(wǎng)關(guān)B主機必須支持IPSecGateway必須支持IPSecPSTN數(shù)據(jù)在這一段是加密的數(shù)據(jù)在這一段是認證的數(shù)據(jù)在這一段是加密的數(shù)據(jù)在這一段是認證的通道建立在移動用戶與公司內(nèi)部網(wǎng)的網(wǎng)關(guān)處用VPN連接遠程用戶§VPN的應用第34頁，課件共38頁，創(chuàng)作于2023年2月§VPN概述按功能位置：CPE-basedVPN（基于客戶端設備）Network-basedVPN（基于網(wǎng)絡）按業(yè)務構(gòu)成：AccessVPN（遠程訪問虛擬網(wǎng)）IntranetVPN（企業(yè)內(nèi)部虛擬網(wǎng)）ExtranetVPN（企業(yè)擴展虛擬網(wǎng)）按實現(xiàn)層次：三層隧道VPN二層隧道VPN應用層（SSL等）VPN的分類第35頁，課件共38頁，創(chuàng)