計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)及應(yīng)用

第六章第6章組網(wǎng)本章主要內(nèi)容家庭局域網(wǎng)設(shè)計(jì)和實(shí)現(xiàn)過程；企業(yè)網(wǎng)設(shè)計(jì)和實(shí)現(xiàn)過程；校園網(wǎng)設(shè)計(jì)和實(shí)現(xiàn)過程；網(wǎng)絡(luò)管理和運(yùn)維。6.1家庭局域網(wǎng)設(shè)計(jì)和實(shí)現(xiàn)過程本講主要內(nèi)容家庭局域網(wǎng)組網(wǎng)策略；家庭局域網(wǎng)組網(wǎng)實(shí)例。一、家庭局域網(wǎng)組網(wǎng)策略組網(wǎng)策略PPPoE接入?yún)f(xié)議；EPON接入網(wǎng)絡(luò)；高速無(wú)線局域網(wǎng)；DHCP配置方式；NAT；安全性。二、家庭局域網(wǎng)組網(wǎng)實(shí)例1．網(wǎng)絡(luò)結(jié)構(gòu)

由ISP完成光纖入戶和光纖與光貓之間的連接過程。用戶需要購(gòu)買無(wú)線路由器，完成無(wú)線路由器與光貓之間的連接過程。終端通過以太網(wǎng)或無(wú)線局域網(wǎng)連接到無(wú)線路由器。二、家庭局域網(wǎng)組網(wǎng)實(shí)例2．完成PPPoE配置

無(wú)線路由器通過PPPoE接入互聯(lián)網(wǎng)。完成無(wú)線路由器路由器PPPoE配置時(shí)，需要配置從ISP獲取的用戶名和口令。3．完成DHCP服務(wù)器配置

家庭局域網(wǎng)中終端通過DHCP自動(dòng)從無(wú)線路由器中獲取網(wǎng)絡(luò)信息。完成DHCP服務(wù)器配置時(shí)，一是需要指定IP地址池。二是需要指定默認(rèn)網(wǎng)關(guān)地址，這里的默認(rèn)網(wǎng)關(guān)地址是無(wú)線路由器LAN端口的IP地址。4．完成無(wú)線局域網(wǎng)配置配置SSID；配置信道；配置身份鑒別和加密機(jī)制。二、家庭局域網(wǎng)組網(wǎng)實(shí)例5．NAT無(wú)線路由器連接Internet端口（WAN端口）通過PPPoE獲取全球IP地址；家庭局域網(wǎng)中終端通過DHCP獲取私有IP地址；Internet無(wú)法路由器以私有IP地址為目的IP地址的IP分組。二、家庭局域網(wǎng)組網(wǎng)實(shí)例5．NAT對(duì)于家庭局域網(wǎng)至InternetIP分組，無(wú)線路由器完成源IP地址私有IP地址至全球IP地址的轉(zhuǎn)換。對(duì)于Internet至家庭局域網(wǎng)IP分組，無(wú)線路由器完成目的IP地址全球IP地址至私有IP地址的轉(zhuǎn)換。無(wú)線路由器完成NAT的依據(jù)是地址轉(zhuǎn)換表。協(xié)議本地IP地址全球IP地址本地標(biāo)識(shí)符全局標(biāo)識(shí)符TCP001023（手機(jī)選擇的源端口號(hào)）2237（無(wú)線路由器分配的唯一的端口號(hào)）ICMP003（手機(jī)選擇的序號(hào)）1027（無(wú)線路由器分配的唯一的序號(hào)）二、家庭局域網(wǎng)組網(wǎng)實(shí)例5．NAT地址轉(zhuǎn)換以會(huì)話為單位。一個(gè)TCP連接是一個(gè)會(huì)話、一次UDP報(bào)文交互過程是一次會(huì)話、一次ICMPECHO請(qǐng)求和響應(yīng)過程是一次會(huì)話。對(duì)于TCP報(bào)文和UDP報(bào)文，全局標(biāo)識(shí)符是無(wú)線路由器分配的唯一的端口號(hào)，對(duì)于ICMP報(bào)文，全局標(biāo)識(shí)符是無(wú)線路由器分配唯一的序號(hào)。協(xié)議本地IP地址全球IP地址本地標(biāo)識(shí)符全局標(biāo)識(shí)符TCP001023（手機(jī)選擇的源端口號(hào)）2237（無(wú)線路由器分配的唯一的端口號(hào)）ICMP003（手機(jī)選擇的序號(hào)）1027（無(wú)線路由器分配的唯一的序號(hào)）二、家庭局域網(wǎng)組網(wǎng)實(shí)例5．NAT二、家庭局域網(wǎng)組網(wǎng)實(shí)例5．NAT

TCP連接為一個(gè)會(huì)話家庭局域網(wǎng)至InternetTCP報(bào)文。封裝TCP報(bào)文的源IP地址轉(zhuǎn)換為無(wú)線路由器WAN端口的全球IP地址、TCP報(bào)文的源端口號(hào)轉(zhuǎn)換為無(wú)線路由器分配的全局標(biāo)識(shí)符；Internet至家庭局域網(wǎng)TCP報(bào)文。封裝TCP報(bào)文的目的IP地址轉(zhuǎn)換為本地IP地址（即手機(jī)的私有IP地址）、TCP報(bào)文的目的端口號(hào)轉(zhuǎn)換為本地標(biāo)識(shí)符（即手機(jī)選擇的源端口號(hào)）。協(xié)議本地IP地址全球IP地址本地標(biāo)識(shí)符全局標(biāo)識(shí)符TCP001023（手機(jī)選擇的源端口號(hào)）2237（無(wú)線路由器分配的唯一的端口號(hào)）6.2企業(yè)網(wǎng)設(shè)計(jì)和實(shí)現(xiàn)過程本講主要內(nèi)容企業(yè)網(wǎng)組網(wǎng)策略；企業(yè)網(wǎng)規(guī)劃與設(shè)計(jì)；企業(yè)網(wǎng)的新技術(shù)應(yīng)用。一、企業(yè)網(wǎng)組網(wǎng)策略企業(yè)網(wǎng)組網(wǎng)策略：專用網(wǎng)絡(luò)的封閉性；物理上分散的多個(gè)局域網(wǎng)；配置私有IP地址；QoS；安全性。二、企業(yè)網(wǎng)規(guī)劃與設(shè)計(jì)企業(yè)網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)二、企業(yè)網(wǎng)規(guī)劃與設(shè)計(jì)1．功能需求

由3個(gè)物理上分散的局域網(wǎng)組成，這3個(gè)局域網(wǎng)連接在互聯(lián)網(wǎng)上，通過VPN技術(shù)實(shí)現(xiàn)相互通信，企業(yè)網(wǎng)內(nèi)終端允許訪問互聯(lián)網(wǎng)。連接在互聯(lián)網(wǎng)上的終端可以訪問企業(yè)網(wǎng)，訪問企業(yè)網(wǎng)前必須建立與路由器R1之間的第2層隧道，并由路由器R1完成對(duì)終端用戶的身份鑒別和私有IP地址的分配過程。二、企業(yè)網(wǎng)規(guī)劃與設(shè)計(jì)2．分配私有IP地址LAN1、LAN2和LAN3分別分配屬于私有IP地址范圍的網(wǎng)絡(luò)地址/24、/24和/24。為連接在互聯(lián)網(wǎng)上的終端分配屬于私有IP地址范圍的網(wǎng)絡(luò)地址/24。二、企業(yè)網(wǎng)規(guī)劃與設(shè)計(jì)3．創(chuàng)建隧道

建立路由器R1與R2之間、路由器R1與R3之間的GRE隧道。互聯(lián)網(wǎng)終端通過建立與路由器R1之間的第2層隧道。二、企業(yè)網(wǎng)規(guī)劃與設(shè)計(jì)3．創(chuàng)建隧道對(duì)于路由器R1，配置以下隧道信息：IP隧道1：（源端全球IP地址）和（目的端全球IP地址）IP隧道2：（源端全球IP地址）和（目的端全球IP地址）對(duì)于路由器R2，配置以下隧道信息：IP隧道1：（源端全球IP地址）和（目的端全球IP地址）對(duì)于路由器R3，配置以下隧道信息：IP隧道2：（源端全球IP地址）和（目的端全球IP地址）互聯(lián)網(wǎng)終端和路由器R1需要配置L2TP相關(guān)信息，以便建立第2層隧道，并由R1為互聯(lián)網(wǎng)終端配置私有IP地址。二、企業(yè)網(wǎng)規(guī)劃與設(shè)計(jì)4．建立路由表類型目的網(wǎng)絡(luò)輸出接口下一跳C/241直接C/24IP隧道1直接C/24IP隧道2直接C/32第2層隧道直接C/242直接R/24IP隧道1R/24IP隧道2S/02-路由器R1路由表二、企業(yè)網(wǎng)規(guī)劃與設(shè)計(jì)4．建立路由表類型目的網(wǎng)絡(luò)輸出接口下一跳C/241直接C/24IP隧道1直接C/242直接R/24IP隧道1R/24IP隧道1S/24IP隧道1S/02-路由器R2路由表二、企業(yè)網(wǎng)規(guī)劃與設(shè)計(jì)4．建立路由表類型目的網(wǎng)絡(luò)輸出接口下一跳C/241直接C/24IP隧道2直接C/242直接R/24IP隧道2R/24IP隧道2S/24IP隧道2S/02-路由器R3路由表二、企業(yè)網(wǎng)規(guī)劃與設(shè)計(jì)5．局域網(wǎng)之間通信過程終端A構(gòu)建以自身私有IP地址為源地址、以服務(wù)器1私有IP地址為目的地址的IP分組，并將其轉(zhuǎn)發(fā)給默認(rèn)網(wǎng)關(guān)R1。R1確定通過GRE隧道轉(zhuǎn)發(fā)該IP分組，將其封裝成以該GRE隧道源端全球地址為源地址、以該GRE隧道目的端全球地址為目的地址的GRE隧道格式，并將該GRE隧道格式轉(zhuǎn)發(fā)給互聯(lián)網(wǎng)上的下一跳路由器；GRE隧道格式經(jīng)過互聯(lián)網(wǎng)中路由器的逐跳轉(zhuǎn)發(fā)，到達(dá)GRE隧道目的端R3，R3從GRE隧道格式中分離出以終端A的私有IP地址為源地址、以服務(wù)器1私有IP地址為目的地址的IP分組，并將其轉(zhuǎn)發(fā)給服務(wù)器1。二、企業(yè)網(wǎng)規(guī)劃與設(shè)計(jì)6．企業(yè)網(wǎng)終端訪問互聯(lián)網(wǎng)過程二、企業(yè)網(wǎng)規(guī)劃與設(shè)計(jì)6．企業(yè)網(wǎng)終端訪問互聯(lián)網(wǎng)過程終端A構(gòu)建以自身私有IP地址為源地址、以服務(wù)器2全球IP地址為目的地址的IP分組，并將其轉(zhuǎn)發(fā)給默認(rèn)網(wǎng)關(guān)R1。R1確定將該IP分組轉(zhuǎn)發(fā)給互聯(lián)網(wǎng)上的下一跳路由器，且需要完成NAT過程，R1將完成NAT后的IP分組轉(zhuǎn)發(fā)給互聯(lián)網(wǎng)上的下一跳路由器；完成NAT后的IP分組經(jīng)過互聯(lián)網(wǎng)中路由器的逐跳轉(zhuǎn)發(fā)，到達(dá)服務(wù)器2。二、企業(yè)網(wǎng)規(guī)劃與設(shè)計(jì)7．互聯(lián)網(wǎng)終端訪問企業(yè)網(wǎng)過程

R1為互聯(lián)網(wǎng)終端分配私有IP地址，互聯(lián)網(wǎng)終端構(gòu)建以自身私有IP地址為源地址、以服務(wù)器1私有IP地址為目的地址的IP分組，該IP分組經(jīng)過逐層封裝，成為以互聯(lián)網(wǎng)終端全球IP地址為源地址、以R1連接互聯(lián)網(wǎng)接口的全球IP地址為目的地址的外層IP分組。二、企業(yè)網(wǎng)規(guī)劃與設(shè)計(jì)7．互聯(lián)網(wǎng)終端訪問企業(yè)網(wǎng)過程外層IP分組經(jīng)過互聯(lián)網(wǎng)中路由器的逐跳轉(zhuǎn)發(fā)，到達(dá)R1，R1從中分離出以互聯(lián)網(wǎng)終端的私有IP地址為源地址、以服務(wù)器1私有IP地址為目的地址的IP分組。確定通過GRE隧道轉(zhuǎn)發(fā)給R3，R1將該IP分組封裝成該GRE隧道源端全球地址為源地址、以該GRE隧道目的端全球地址為目的地址的GRE隧道格式。并將該GRE隧道格式轉(zhuǎn)發(fā)給互聯(lián)網(wǎng)上的下一跳路由器；GRE隧道格式經(jīng)過互聯(lián)網(wǎng)中路由器的逐跳轉(zhuǎn)發(fā)，到達(dá)GRE隧道目的端R3，R3從GRE隧道格式中分離出以互聯(lián)網(wǎng)終端的私有IP地址為源地址、以服務(wù)器1私有IP地址為目的地址的IP分組，并將其轉(zhuǎn)發(fā)給服務(wù)器1。三、企業(yè)網(wǎng)的新技術(shù)應(yīng)用1．VPN通過VPN實(shí)現(xiàn)物理上分散的、連接在互聯(lián)網(wǎng)上的多個(gè)局域網(wǎng)之間的通信過程，且使得具有專用網(wǎng)絡(luò)的封閉性和安全性。ISP提供的VPN技術(shù)有IPSecVPN和MPLSVPN等。2．?dāng)?shù)據(jù)中心和云計(jì)算

企業(yè)網(wǎng)需要通過構(gòu)建數(shù)據(jù)中心實(shí)現(xiàn)海量數(shù)據(jù)的存儲(chǔ)、分析和處理。為充分利用數(shù)據(jù)中心強(qiáng)大的存儲(chǔ)能力和計(jì)算能力，企業(yè)網(wǎng)將通過云計(jì)算來(lái)按需分配各種企業(yè)網(wǎng)應(yīng)用所需的存儲(chǔ)資源和計(jì)算資源。三、企業(yè)網(wǎng)的新技術(shù)應(yīng)用3．QoS

需要保障物理上分散的多個(gè)局域網(wǎng)之間通信的服務(wù)質(zhì)量（QoS）。4．安全

保障經(jīng)過隧道傳輸?shù)臄?shù)據(jù)的保密性和完整性的安全技術(shù)。

保障企業(yè)網(wǎng)的封閉性的安全技術(shù)。

保障互聯(lián)網(wǎng)終端對(duì)企業(yè)網(wǎng)的授權(quán)訪問的安全技術(shù)。6.3校園網(wǎng)設(shè)計(jì)和實(shí)現(xiàn)過程本講主要內(nèi)容校園網(wǎng)組建策略；校園網(wǎng)規(guī)劃與設(shè)計(jì)。一、校園網(wǎng)組建策略校園網(wǎng)組建策略：移動(dòng)終端全校接入；分層的網(wǎng)絡(luò)結(jié)構(gòu)；多種網(wǎng)絡(luò)服務(wù)；滿足需求的網(wǎng)絡(luò)帶寬；可擴(kuò)展性；安全性；方便簡(jiǎn)單的網(wǎng)絡(luò)管理。二、校園網(wǎng)規(guī)劃與設(shè)計(jì)1．校園布局構(gòu)建涵蓋校園各棟樓的校園網(wǎng)。二、校園網(wǎng)規(guī)劃與設(shè)計(jì)2．需求分析

要求將每一棟教室中的若干終端和數(shù)據(jù)中心中的若干服務(wù)器連接到校園網(wǎng)上。

每一個(gè)教室存在三種類型的終端，一是上課用的固定終端，二是學(xué)生攜帶的移動(dòng)終端，三是教師攜帶的移動(dòng)終端。

每一個(gè)教室設(shè)置AP，由AC統(tǒng)一完成對(duì)AP的配置過程。

數(shù)據(jù)中心設(shè)置Web服務(wù)器、DHCP服務(wù)器、DNS服務(wù)器、FTP服務(wù)器，E-Mail服務(wù)器、RADIUS服務(wù)器等。

教師和學(xué)生的移動(dòng)終端、固定終端都通過DHCP獲取網(wǎng)絡(luò)信息。二、校園網(wǎng)規(guī)劃與設(shè)計(jì)3．網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)由接入層、匯聚層和核心層組成。AC+FAP結(jié)構(gòu)。二、校園網(wǎng)規(guī)劃與設(shè)計(jì)4．AC+瘦AP結(jié)構(gòu)和設(shè)計(jì)原則AC+FAP結(jié)構(gòu)AC和FAP連接在同一個(gè)VLAN上，而且該VLAN是本地VLAN，即屬于該VLAN的MAC幀不攜帶VLANID。FAP可以綁定多個(gè)WLAN，不同WLAN有著不同的SSID，關(guān)聯(lián)不同的VLAN。由AC為FAP分配網(wǎng)絡(luò)信息，F(xiàn)AP建立與AC之間的CAPWAP隧道。二、校園網(wǎng)規(guī)劃與設(shè)計(jì)4．AC+瘦AP結(jié)構(gòu)和設(shè)計(jì)原則創(chuàng)建4個(gè)不同的WLAN，每一個(gè)WLAN綁定不同的VLAN；各個(gè)FAP綁定不同的WLAN，每一個(gè)FAP可以綁定多個(gè)WLAN。WLAN綁定的VLANSSID鑒別機(jī)制RADIUS服務(wù)器密鑰綁定的瘦APWLAN1VLAN21234561WPA211234567890瘦AP1、瘦AP2、瘦AP3WLAN2VLAN41234561WPA210987654321瘦AP1、瘦AP2、瘦AP3WLAN3VLAN31234563WPA211234567890瘦AP4、瘦AP5WLAN4VLAN51234564WPA210987654321瘦AP4、瘦AP5二、校園網(wǎng)規(guī)劃與設(shè)計(jì)5．VLAN劃分VLAN功能VLAN1用于所有瘦AP與AC之間交換capwap消息VLAN2用于連接瘦AP1、瘦AP2和瘦AP3連接的學(xué)生移動(dòng)終端VLAN3用于連接瘦AP4和瘦AP5連接的學(xué)生移動(dòng)終端VLAN4用于連接瘦AP1、瘦AP2和瘦AP3連接的教師移動(dòng)終端VLAN5用于連接瘦AP4和瘦AP5連接的教師移動(dòng)終端VLAN6用于連接交換機(jī)S1、S2和S3連接的固定終端VLAN7用于連接交換機(jī)S4和S5連接的固定終端需要?jiǎng)?chuàng)建的VLAN及其功能二、校園網(wǎng)規(guī)劃與設(shè)計(jì)5．VLAN劃分VLAN功能VLAN8用于連接Web服務(wù)器VLAN9用于連接FTP服務(wù)器VLAN10用于連接DNS服務(wù)器VLAN11用于連接E-Mail服務(wù)器VLAN12用于連接DHCP服務(wù)器VLAN13用于連接RADIUS服務(wù)器VLAN14用于實(shí)現(xiàn)三層交換機(jī)S7與S9互連VLAN15用于實(shí)現(xiàn)三層交換機(jī)S8與S9互連需要?jiǎng)?chuàng)建的VLAN及其功能二、校園網(wǎng)規(guī)劃與設(shè)計(jì)5．VLAN劃分

建立VLAN與交換機(jī)端口之間映射的原則如下，如果端口X被屬于VLANY的交換路徑經(jīng)過，需要將端口X配置給VLANY。如果端口X僅僅被單條屬于VLANY的交換路徑經(jīng)過，端口X作為接入端口（access）分配給VLANY。如果端口X既被屬于VLANY的交換路徑經(jīng)過，又被屬于VLANZ的交換路徑經(jīng)過，端口X作為主干端口（trunk）被VLANY和VLANZ共享。二、校園網(wǎng)規(guī)劃與設(shè)計(jì)5．VLAN劃分交換機(jī)S1中VLAN與交換機(jī)端口之間映射VLAN接入端口（access）主干端口（trunk）VLAN1端口1、端口3VLAN2端口1、端口3VLAN4端口1、端口3VLAN6端口2端口3VLAN接入端口（access）主干端口（trunk）VLAN1端口1、端口3VLAN3端口1、端口3VLAN5端口1、端口3VLAN7端口2端口3交換機(jī)S4中VLAN與交換機(jī)端口之間映射二、校園網(wǎng)規(guī)劃與設(shè)計(jì)5．VLAN劃分交換機(jī)S6中VLAN與交換機(jī)端口之間映射VLAN接入端口（access）主干端口（trunk）VLAN8端口1端口7VLAN9端口2端口7VLAN10端口3端口7VLAN11端口4端口7VLAN12端口5端口7VLAN13端口6端口7二、校園網(wǎng)規(guī)劃與設(shè)計(jì)5．VLAN劃分交換機(jī)S7中VLAN與交換機(jī)端口之間映射VLAN接入端口（access）主干端口（trunk）VLAN1端口1、端口2、端口3、端口4VLAN2端口1、端口2、端口3、端口4VLAN4端口1、端口2、端口3、端口4VLAN6端口1、端口2、端口3VLAN14端口4二、校園網(wǎng)規(guī)劃與設(shè)計(jì)5．VLAN劃分交換機(jī)S8中VLAN與交換機(jī)端口之間映射VLAN接入端口（access）主干端口（trunk）VLAN1端口1、端口2、端口3VLAN3端口1、端口2、端口3VLAN5端口1、端口2、端口3VLAN7端口1、端口2VLAN15端口3二、校園網(wǎng)規(guī)劃與設(shè)計(jì)5．VLAN劃分交換機(jī)S9中VLAN與交換機(jī)端口之間映射VLAN接入端口（access）主干端口（trunk）VLAN1端口1、端口2、端口4VLAN2端口1、端口4VLAN3端口2、端口4VLAN4端口1、端口4VLAN5端口2、端口4VLAN8端口3VLAN9端口3二、校園網(wǎng)規(guī)劃與設(shè)計(jì)5．VLAN劃分交換機(jī)S9中VLAN與交換機(jī)端口之間映射VLAN接入端口（access）主干端口（trunk）VLAN10端口3VLAN11端口3VLAN12端口3VLAN13端口3VLAN14端口1VLAN15端口2二、校園網(wǎng)規(guī)劃與設(shè)計(jì)6．IP地址分配過程IP接口分配的IP地址設(shè)備名稱IP接口IP地址S7VLAN654/24S7VLAN145/30S8VLAN754/24S8VLAN159/30S9VLAN254/24S9VLAN354/24S9VLAN454/24S9VLAN554/24二、校園網(wǎng)規(guī)劃與設(shè)計(jì)6．IP地址分配過程IP接口分配的IP地址設(shè)備名稱IP接口IP地址S9VLAN8/30S9VLAN9/30S9VLAN100/30S9VLAN114/30S9VLAN128/30S9VLAN132/30S9VLAN146/30S9VLAN150/30二、校園網(wǎng)規(guī)劃與設(shè)計(jì)7．建立路由表直連路由項(xiàng)給出通往三層交換機(jī)直接連接的網(wǎng)絡(luò)的傳輸路徑；動(dòng)態(tài)路由項(xiàng)給出通往三層交換機(jī)沒有與其直接連接的網(wǎng)絡(luò)的傳輸路徑。二、校園網(wǎng)規(guī)劃與設(shè)計(jì)7．建立路由表三層交換機(jī)S7路由表類型目的網(wǎng)絡(luò)輸出接口下一跳R/24VLAN146R/24VLAN146R/24VLAN146R/24VLAN146C/24VLAN6直接R/24VLAN146R/30VLAN146R/30VLAN146R/30VLAN146R2/30VLAN146R6/30VLAN146R0/30VLAN146C4/30VLAN14直接R8/30VLAN146二、校園網(wǎng)規(guī)劃與設(shè)計(jì)7．建立路由表三層交換機(jī)S8路由表類型目的網(wǎng)絡(luò)輸出接口下一跳R/24VLAN150R/24VLAN150R/24VLAN150R/24VLAN150R/24VLAN150C/24VLAN7直接R/30VLAN150R/30VLAN150R/30VLAN150R2/30VLAN150R6/30VLAN150R0/30VLAN150R4/30VLAN150C8/30VLAN15直接二、校園網(wǎng)規(guī)劃與設(shè)計(jì)7．建立路由表三層交換機(jī)S9路由表類型目的網(wǎng)絡(luò)輸出接口下一跳C/24VLAN2直接C/24VLAN3直接C/24VLAN4直接C/24VLAN5直接R/24VLAN145R/24VLAN159C/30VLAN8直接C/30VLAN9直接C/30VLAN10直接C2/30VLAN11直接C6/30VLAN12直接C0/30VLAN13直接C4/30VLAN14直接C8/30VLAN15直接二、校園網(wǎng)規(guī)劃與設(shè)計(jì)8．應(yīng)用服務(wù)器配置服務(wù)器完全合格的域名服務(wù)器IP地址完全合格的域名Web服務(wù)器FTP服務(wù)器E-Mail服務(wù)器3名字類型值A(chǔ)AA3DNS服務(wù)器配置的資源記錄二、校園網(wǎng)規(guī)劃與設(shè)計(jì)8．應(yīng)用服務(wù)器配置DHCP服務(wù)器配置的作用域作用域IP地址范圍子網(wǎng)掩碼默認(rèn)網(wǎng)關(guān)地址DNS服務(wù)器地址VLAN2對(duì)應(yīng)的作用域-0054VLAN3對(duì)應(yīng)的作用域-0054VLAN4對(duì)應(yīng)的作用域-0054VLAN5對(duì)應(yīng)的作用域-0054VLAN6對(duì)應(yīng)的作用域-0054VLAN7對(duì)應(yīng)的作用域-0054二、校園網(wǎng)規(guī)劃與設(shè)計(jì)9．訪問過程（1）自動(dòng)獲取網(wǎng)絡(luò)信息終端A通過DHCP自動(dòng)獲取網(wǎng)絡(luò)信息。（2）

完成域名解析完成域名解析過程，獲取Web服務(wù)器地址。（3）Web服務(wù)器訪問過程終端A發(fā)送給Web服務(wù)器的HTTP消息被封裝成TCP報(bào)文，該TCP報(bào)文被封裝成以終端A的IP地址為源地址、以Web服務(wù)器的IP地址為目的地址的IP分組，該IP分組沿著終端A→三層交換機(jī)S7→三層交換機(jī)S9→Web服務(wù)器到達(dá)Web服務(wù)器

。終端A通過默認(rèn)網(wǎng)關(guān)地址確定三層交換機(jī)S7，三層交換機(jī)S7通過路由表和IP分組的目的地址確定下一跳三層交換機(jī)S9。6.4網(wǎng)絡(luò)管理和運(yùn)維本講主要內(nèi)容網(wǎng)絡(luò)管理功能；網(wǎng)絡(luò)管理系統(tǒng)結(jié)構(gòu)；SNMPv3與分布式管理系統(tǒng)；網(wǎng)絡(luò)管理和監(jiān)測(cè)命令。一、網(wǎng)絡(luò)管理功能故障管理故障檢測(cè)故障隔離故障修復(fù)計(jì)費(fèi)管理配置管理配置參數(shù)采集數(shù)據(jù)性能管理安全管理二、網(wǎng)絡(luò)管理系統(tǒng)結(jié)構(gòu)網(wǎng)絡(luò)結(jié)點(diǎn)，如交換機(jī)、路由器和終端；一個(gè)網(wǎng)絡(luò)結(jié)點(diǎn)通常寄生一個(gè)管理代理，由管理代理管理被管理對(duì)象；網(wǎng)絡(luò)結(jié)點(diǎn)分解為多個(gè)被管理代象，如交換機(jī)被分解為多個(gè)交換機(jī)端口。每一個(gè)交換機(jī)端口就是一個(gè)被管理對(duì)象；網(wǎng)絡(luò)管理工作站負(fù)責(zé)向管理代理發(fā)送命令，并接收被管理代理發(fā)送的響應(yīng)，以此生成網(wǎng)絡(luò)設(shè)備配置情況、流量分布情況等，以用戶友好界面提供給用戶；網(wǎng)絡(luò)管理工作站通過網(wǎng)絡(luò)管理協(xié)議和被管理代理交換命令和響應(yīng)。網(wǎng)絡(luò)管理系統(tǒng)結(jié)構(gòu)三、SNMPv3與分布式管理系統(tǒng)將一個(gè)大型網(wǎng)絡(luò)分割為多個(gè)管理域，每一個(gè)網(wǎng)絡(luò)管理工作站負(fù)責(zé)一個(gè)管理域，由中心網(wǎng)絡(luò)管理工作站對(duì)網(wǎng)絡(luò)管理工作站進(jìn)行管理。網(wǎng)絡(luò)管理工作站具有雙重功能，對(duì)于屬于所負(fù)責(zé)的管理域的網(wǎng)絡(luò)結(jié)點(diǎn)，實(shí)施網(wǎng)絡(luò)管理工作站功能。對(duì)于中心網(wǎng)絡(luò)管理工作站，實(shí)施管理代理功能。四、網(wǎng)絡(luò)管理和監(jiān)測(cè)命令ping命令用于檢測(cè)兩個(gè)終端之間的連通性1．ping（1）工作原理

四、網(wǎng)絡(luò)管理和監(jiān)測(cè)命令ping目標(biāo)主機(jī)地址或域名可以攜帶以下參數(shù)。-t：一直進(jìn)行ICMPECHO請(qǐng)求、響應(yīng)過程，直到輸入ctrl+c鍵。-ncount：將ICMPECHO請(qǐng)求、響應(yīng)過程進(jìn)行整數(shù)count指定的次數(shù)。-llength：發(fā)送長(zhǎng)度由整數(shù)length指定的ICMPECHO請(qǐng)求報(bào)文，長(zhǎng)度默認(rèn)值是32B。-ittl：將封裝ICMPECHO請(qǐng)求報(bào)文的IP分組的TTL字段值設(shè)置為由整數(shù)ttl指定的值。1．ping（2）命令一般格式四、網(wǎng)絡(luò)管理和監(jiān)測(cè)命令1．ping四、網(wǎng)絡(luò)管理和監(jiān)測(cè)命令

黑客常常通過ping命令進(jìn)行主機(jī)掃描，確定攻擊目標(biāo)是否在線，黑客終端與攻擊目標(biāo)之間是否存在傳輸通路。因此，為安全起見，終端最好通過設(shè)置防火墻，關(guān)閉ICMPECHO響應(yīng)功能。1．ping四、網(wǎng)絡(luò)管理和監(jiān)測(cè)命令終端A首先將ICMPECHO請(qǐng)求報(bào)文封裝成TTL=1的IP分組。該IP分組傳輸?shù)降谝惶酚善鱎1時(shí)，TTL值減為0，路由器R1向終端A發(fā)送一個(gè)超時(shí)報(bào)文。終端A隨后將ICMPECHO請(qǐng)求報(bào)文封裝成TTL=2的IP分組。該IP分組到達(dá)第二跳路由器R2時(shí)，TTL值減為0，第二跳路由器R2向終端A發(fā)送超時(shí)報(bào)文。該過程一直進(jìn)行。2．tracert（1）工作原理四、網(wǎng)絡(luò)管理和監(jiān)測(cè)命令

tracert目標(biāo)主機(jī)地址或域名可以攜帶以下參數(shù)。-d：只列出經(jīng)過的路由器接口和目標(biāo)主機(jī)的IP地址，不給出這些路由器和目標(biāo)主機(jī)的名字。-h

maximum_hops：指定經(jīng)過的最大跳數(shù)，整數(shù)maximum_hops是最大跳數(shù)。

-j

host-list：通過指定經(jīng)過的路由器接口列表，指定源終端至目的終端的傳輸路徑。2．tracert（2）命令一般格式四、網(wǎng)絡(luò)管理和監(jiān)測(cè)命令2．tracert四、網(wǎng)絡(luò)管理和監(jiān)測(cè)命令

黑客常常用tracert命令了解黑客終端與攻擊目標(biāo)之間的傳輸路徑，了解網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。因此，與執(zhí)行tracert命令相關(guān)的TTL字段值不斷遞增的ICMPECHO請(qǐng)求報(bào)文也是網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)需要監(jiān)測(cè)的信息流類型。2．tracert四、網(wǎng)絡(luò)管理和監(jiān)測(cè)命令ipconfig可以攜帶以下參數(shù)。/all

：顯示完整信息。/renew：為所有網(wǎng)卡重新動(dòng)態(tài)分配IP地址

。/release：釋放為所有網(wǎng)卡分配的動(dòng)態(tài)IP地址。/flushdns：清空本地dns緩沖區(qū)。/displaydns：顯示本地dns緩沖區(qū)內(nèi)容。3．ipconfig四、網(wǎng)絡(luò)管理和監(jiān)測(cè)命令3．ipconfig四、網(wǎng)絡(luò)管理和監(jiān)測(cè)命令終端A在以太網(wǎng)中廣播ARP請(qǐng)求報(bào)文，請(qǐng)求報(bào)文中給出終端A的IP地址、MAC地址和終端B的IP地址。終端B接收到終端A的ARP請(qǐng)求報(bào)文后，將終端A的IP地址和MAC地址記錄在ARP緩沖區(qū)中，同時(shí)通過ARP響應(yīng)報(bào)文向終端A發(fā)送自己的IP地址和MAC地址。終端A接收到終端B發(fā)送的ARP響應(yīng)報(bào)文后，將終端B的IP地址和MAC地址記錄在ARP緩沖區(qū)中。4．a(chǎn)rp（1）命令功能四、網(wǎng)絡(luò)管理和監(jiān)測(cè)命令arp需要攜帶以下其中一個(gè)參數(shù)。-a：顯示本地ARP緩沖區(qū)內(nèi)容。-d：刪除本地ARP緩沖區(qū)內(nèi)容。-s：在本地ARP緩沖區(qū)中建立IP地址與MAC地址之間的靜態(tài)綁定關(guān)系。參數(shù)為-s的命令格式如下。

arp–sip地址mac地址4．a(chǎn)rp（2）命令一般格式四、網(wǎng)絡(luò)管理和監(jiān)測(cè)命令4．a(chǎn)rp4．a(chǎn)rp四、網(wǎng)絡(luò)管理和監(jiān)測(cè)命令

ARP欺騙攻擊的目的是在終端的ARP緩沖區(qū)中建立錯(cuò)誤的IP地址與MAC地址之間的動(dòng)態(tài)綁定關(guān)系。因此，如果重要服務(wù)器的IP地址是相對(duì)固定的，終端最好在ARP緩沖區(qū)中建立服務(wù)器IP地址與服務(wù)器MAC地址之間的靜態(tài)綁定關(guān)系。4．a(chǎn)rp四、網(wǎng)絡(luò)管理和監(jiān)測(cè)命令