企业网络解决方案ppt课件

1、八：企业网络解决方案八：企业网络解决方案 1;.中小型企业网络解决方案中小型企业网络解决方案 2;.适合24用户n采用24口交换机构建一个一级的小型局域网。主服务器与交换机 ，之间的链路数据流量较大，因此它采用2个100M高速交换端口连接服务器，以免形成传输瓶颈。n24个10M交换端口最多可连接24个桌面用户。此外，它还通过10M接口连接共享网络打印机，普通打印机也可以通过打印服务器的方式共享。n该方案的安全措施可采用路由器内置的软件防火墙，它使路由器在承担远程连接的同时实施数据包检验和过滤，防止非法用户侵入到内部局域网中。 3;.中型企业网络解决方案中型企业网络解决方案n 4;.n方案引入了

2、二级联网的方式，骨干层交换机采用了1000M高速交换端口与服务器连接，以满足大容量数据的传输需求。n接入层交换机以10/100M自适应交换端口连接桌面用户。这样便很容易扩充桌面用户数。n骨干交换机和接入交换机的连接则采用了快速以太网通道（FEC）技术，有效地扩展了网络的带宽。这项技术能够把2-4个物理链路聚合在一起，在全双工工作模式下达到400M-800M的带宽。 n安全措施：可采用路由器内置的软件防火墙，也可以采用功能更强大的专用防火墙，根据企业对安全性的要求级别来决定。 5;. Redundant UplinksRedundant Uplinks大型企业网络解决方案大型企业网络解决方案6;

3、.n采用三级模式：接入层、汇接层、核心层。n接入层交换机是面向桌面用户。n汇接层交换机是多台接入层交换机的集合点，汇接层交换机一般能够通过路由处理器进行三层交换。如Catalyst5000系列交换机。接入层交换机到汇接层交换机采用双冗余连接。n核心层交换机完成整个网络数据快速交换。核心层可采用双核心的冗余连接。7;.VLAN 介绍8;.Ethernet Broadcast Domain In a flat network, every device sees every transmitted packet9;.VLANsA VLAN is a broadcast domain10;.VLAN

4、sEngineeringVLANMarketingVLANSalesVLANFloor #1Floor #2Floor #3Physical LayerLAN SwitchHuman LayerNetwork LayerRouting FunctionInterconnects VLANsData-Link LayerBroadcastDomains11;.VLANs Establish Broadcast DomainsBroadcast Domain 1Broadcast Domain 212;.Scaling the Sw

5、itch Block with VLANs34125678910Decisions include how many VLANs exist in a switch block and where these devices are placed.Server BlockCore13;.Layer 2 End-to-End VLAN DistributionLayerCore LayerFast or Gigabit EthernetWiringClosetFast EthernetFast EthernetWorkgroupServersSwitched EthernetEnterprise

6、 ServersInter-VLANRouting14;.Local VLANs STP Blocked LinksSTP Blocked LinksRedundant UplinksRedundantUplinksRedundant UplinksHSRPPeersHSRPPeers15;.Establishing VLAN MembershipPort-BasedVLAN1VLAN2VLAN3MACAddressesMACAddressesVLAN2MAC-BasedVLAN1MAC Address- Driven (Layer 2)Port-Driven16;.Membership by

7、 Port VLAN 2VLAN 1VLAN 317;.VLAN的特征n 一个vlan中的所有设备处于同一个广播域n一个VLAN是一个逻辑的子网或由定义的成员所组成的一个网络段,VLAN之间通信必须要进行路由nVLAN的成员通常是基于交换机的端口号,但也可基于设备的MAC地址而动态设置.18;.VLAN解决的问题n有效的带宽利用n增强了安全性, VLAN间通信,可利用路由器的安全和过虑功能n负载均衡多条路径,可利用路由协议进行负载均衡.19;.Link Types接入链路接入链路Access LinksAn access link is a link that is a member of o

8、nly one VLAN20;.Link Types (Cont.)干道链路干道链路Trunk LinksA trunk link is capable of carrying multiple VLANs21;.VLAN Frame IdentificationnSpecifically developed for multi-VLAN, inter-switch communicationsnPlaces a unique identifier in the header of each frame, functions at Layer 2 nVLAN identification op

9、tions:nCisco ISLnIEEE 802.1QVLAN1VLAN1VLAN2VLAN2VLAN3VLAN3BackboneVLAN1VLAN2VLAN322;.VLAN Identification Using ISLTrunk LinkVLAN100VLAN200 (Port C)VLAN200 (Port A)Trunk LinksVLAN200 (Access Link)XZYWTrunk LinkTrunk LinkFrame12Frame3VLAN200 (Port B)ISL maintains VLAN information as frames travel betw

10、een switches on trunk linksYFrameISL23;.VLAN Identification Using IEEE 802.1Qn2-byte tag protocol identifier (TPID) nA fixed value of 0 x8100. This TPID value indicates that the frame carries the 802.1Q/802.1p tag information.n2-byte tag control information (TCI)Initial MACAddressInitial Type/DataNe

11、w CRC2-Byte TPID2-Byte TCI24;.Configuring TrunkingSwitch(config-if)#trunk on | off | desirable | auto | nonegotiateCatalyst 1900Catalyst 2900Switch(config-if)# switchport mode trunkSwitch(config-if)# switchport trunk encapsulation isl | dot1q Catalyst 5500Switch(enable) set trunk on|off|desirable| a

12、uto|nonegotiate range isl|dot1q| dot10|lane|negotiate25;.Adding a VLANSwitch(config)# vlan name Catalyst 1900Catalyst 2900Switch# vlan database Switch(vlan)# vlan name Catalyst 5500Switch(enable) set vlan name 26;.Assigning Switch Ports to a VLANSwitch(config-if)#vlan-membership static | dynamicCata

13、lyst 1900Catalyst 2900Switch(config-if)#switchport access vlan vlan# Catalyst 5500Switch(enable) set vlan 27;.Verifying a TrunkCatalyst 2900Switch# show interface switchport Switch# show trunk A | B Catalyst 1900Switch(enable) show trunk mod/portCatalyst 550028;.Verifying a VLAN / VLAN MembershipCat

14、alyst 2900Switch# show vlan vlan#Switch# show vlan briefSwitch# show vlan vlan#Swotch# show vlan-membershipCatalyst 1900Switch(enable) show vlanCatalyst 550029;.VLAN 的路由30;.Problem: Isolated Broadcast DomainsVLAN10VLAN20VLAN30Because of their nature, VLANs inhibit communication between VL

15、ANs.31;.Solution: Routing Between VLANsVLAN10VLAN20VLAN30Communications between VLANs require a routing processor32;.Problem: Finding the RouteVLAN10Network VLAN20Network I need to send this packet to . That address is not on my local

16、 segment. Where can end-user stations send nonlocal packets?33;.Solution: Defining a Default GatewayVLAN10NetworkVLAN20Network I know where network is!End-user stations send nonlocal packets to a default routerI will send the packet tomy defaul

17、t router.34;.VLAN20VLAN10Problem: Supporting Multiple VLAN TrafficVLAN30I have three distinct streams of traffic destined for the same place!? ? File Server A27I need informationfrom File Server A.I need informationfrom File Server A.I need informationfrom File Server A.Multiple VLANs inte

18、rfacing with a single route processor require multiple connections or VLAN trunking? ? 35;.VLAN60VLAN10VLAN30VLAN20Solution: Multiple LinksThe router can support a separate interface for each VLAN36;.Solution: Inter-Switch LinkThe router can support a single ISL link for multiple VLANsVLAN10VLAN30VL

19、AN20Eth 3/0.1 3/0.2 3/0.33/0.4VLAN60ISL LinkVLAN10VLAN30VLAN2037;.Distribution Layer Route ProcessorsDistribution LayerThe distribution-layer device is a combination of a high-end switch and a route processor38;.External Route ProcessorSwitch CSwitch ASwitch BVLAN41Network VLAN41Network 1

20、VLAN42Network 39;.Internal Route Processors VLAN41Network VLAN42Network VLAN41Network 40;.Routing Between VLANsVLAN 1VLAN 2ISLinterface fastethernet 0/0 no ip address!interface fastethernet 0/0.1 ip address encapsulation is

21、l 1interface fastethernet 0/0.2 ip address encapsulation isl 2FastE0/041;.Defining a Default GatewayVLAN40VLAN30ASW31#config tEnter configuration commands, one per line. End with CNTL/ZASW31(config)#ip default-gateway 63 ASW41#config tEnter configura

22、tion commands, one per line. End with CNTL/ZASW41(config)#ip default-gateway 63 636363 Default Gateway63Default Gateway63Defining a default gateway facilitates inter-VLAN communications42;.访问控制列表 （ACL）43;.nACL相当包过滤功能，可以帮助路由器控制数据包在网络中的传输，

23、通过包过滤可以限制网络流量以及增加网络安全性.44;. ACL规则的方式规则的方式 1、标准包过滤 该种包过滤只对数据包中的源地址进行检查 2、扩展包过滤 该种包过滤对数据包中的源地址，目的地址，协议及端口号进行检查。45;.包过滤功能配置一 ：定义规则1.定义标准包过滤规则,在全局配置状态下： access-list 标识号码 deny 或permit 源地址 通配符 2.定义扩展包过滤规则,在全局配置状态下下， access-list 标识号码 deny或permit 协议 源地址 通配符 操作码 端口号目地地址 通配符 操作码 端口号46;.access-list规定的标识号码 包过滤类

24、型 标识号码范围IP 标准 1-99IP 扩展 100-199 可以在指定范围内任意选择一个标识号码定义相应的包过滤规则 47;.deny参数表示禁止，pernit表示允许通配符为32位二进制数字，并与相应的地址一一对应。路由器将检查与通配符中的“0”（2进制）位置一样的地址位，对于通配符中“1”（2进制）位置一致的地址位，将忽略不检查。 48;.通配符n 对某主机IP地址进行匹配n0 nhost 0 n指任何IP皆可n 55nany49;.n一个包过滤规则可以包含一系列检查条件，即可以用同一标识

25、号码定义一系列access-list语句 n路由器将从最先定义的条件开始依次检查，如数据包满足某个条件，路由器将不再执行下面的包过滤条件，如果数据包不满足规则中的所有条件，Cisco路由器缺省为禁止该数据包，即丢掉该数据包。 50;.包过滤功能配置二 ：在端口应用包过滤规则 在需要包过滤功能的端口，应用包过滤规则 ：在子端口配置模式下ip access-group 包过滤规则标识号 in或out in 表示对进入该端口的数据包进行检查 out表示对要从该端口送出的数据包进行检查51;.InboundACLRoutingTableIP PacketDenyPacket Discard Bucke

26、tPermitPermitRouterOutboundInterface52;.RoutingTableIP PacketOutboundACLPacket Discard BucketPermitDenyRouterOutboundInterface53;.标准n过滤考虑源IP地址nAccess list 标识号码 199n 例: Router(config)#access-list 10 deny host 拒绝所有来自主机 的数据包 Router(config)#int serial 0 Router(config-if)#ip access

27、-group 1054;.标准E0S0E1E2InternetFinanceServerMarketingSalesaccess-list 10 deny 55access-list 10 permit anyinterface e0ip access-group 10 out55;.扩展 Router(config)#access-list permit | deny 操作码 端口号 操作码 端口号 n协议: IP, TCP, UDP, ICMP, GRE, IGRPn操作

28、码 nit: 小于ngt: 大于neq: 相等nneq: 不相等Router(config-if)#ip access-group in | out56;.n 常用的端口号20 FTP data21 FTP program23 Telnet25 SMTP69 TFTP53 DNS57;.扩展E0S0E1E2InternetServerMarketingSalesaccess-list 110 deny tcp any eq 21access-list 110 deny tcp any

29、eq 23access-list 110 permit ip any anyinterface e0ip access-group 110 out58;.放置ACL的准则n扩展ACL靠近源端n 标准的ACL靠近接受端59;.IP地址解决方案用户若要访问Internet，必须使用一个合法的IP地址。但合法可分配的Internet IP地址有限60;.IP地址的扩展n固定IP（主机在INTERNE的IP地址不变）n动态IP（主机在INTERNE的IP地址随机 获取）n公有IP （主机在INTERNET的IP地址）n私有IP（主机在LAN内部的IP地址，同样 可分为固定IP 和动态IP ）nIPv4

30、(32bit) 和IPv6(128bit)61;.固定IPn在 传 统 的 IP 网 络 中， 网 络 上 的 每 一 个 设 备 都 有 一 个 永 久 的 IP 地 址。 62;.动 态 IPn采 用 动 态 分 配 的 方 法，系统 把 公 用 的 IP 地 址 分 配 给 用 户 或 收 回 分 配 给 用 户 的 IP 地 址， 使 它 仍 然 可 以 为 许 多 用 户 公 用。 n一 个 动 态 分 配 的 例 子 如 :25 个 分 散 的 用 户 共 享 10 个 IP 地 址。 如 果 有 一 个 用 户 请 求 一 个 IP 地 址 的 话， 动 态 分 配 方 法 将

31、把 这 10 个 IP 地 址 中 的 一 个 (随 便 哪 一 个) IP 地 址 分 配 给 这 个 用 户 使 用; 在 这 个 用 户 使 用 完 这 一 IP 地 址 后， 再 收 回 这 一 地 址。 同 一 个 用 户 在 多 次 应 用 中 申 请 到 的 IP 地 址 可 以 不 是 同 一 个。 63;.网络地址转换器(NAT Network Address Translate) (NAT) 是一种 Internet Engineering Task Force (IETF) 标准，用于允许专用网络上的多台 PC 机（使用专用地址范围，例如 10.0.x.x、192.168

32、.x.x、172.x.x.x）共享单个或多个、 公有的 IPv4 地址。64;.NAT 的应用环境的应用环境n情况1：一个企业不想让外部网络用户知道自己的网络内部结构，可以通过NAT将内部网络与外部Internet 隔离开，则外部用户根本不知道通过NAT设置的内部IP地址。 n情况2：一个企业申请的合法Internet IP地址很少，而内部网络用户很多。可以通过NAT功能实现多个用户同时公用一个合法IP与外部Internet 进行通信。65;.NAT 的实现n专门的NAT设备n具有NAT功能路由器66;.NAT的种类n静态地址转换n动态地址转换n复用动态地址转换67;.静态地址转换n静态地址转

33、换将内部本地地址与内部合法地址进行一对一的转换，且需要指定和哪个合法地址进行转换。如果内部网络有E-mail服务器或FTP服务器等可以为外部用户提供的服务，这些服务器的IP地址必须采用静态地址转换，以便外部用户可以使用这些服务。 68;.动态地址转换n动态地址转换也是将本地地址与内部合法地址一对一的转换，但是动态地址转换是从内部合法地址池中动态地选择一个末使用的地址对内部本地地址进行转换。 69;.复用动态地址转换n复用动态地址转换首先是一种动态地址转换，但是它可以允许多个内部本地地址共用一个内部合法地址。只申请到少量IP地址但却经常同时有多于合法地址个数的用户上外部网络的情况，这种转换极为有用。 n注：当多个用户同时使用一个IP地址，外部网络通过NAT设备利用上层的如TCP或UDP端口号等唯一标识某台