网络工程原理与实践教程-第3章-网络逻辑设计

第三章 网络逻辑设计

网络设计是一项复杂的创作，严格遵循稳定性、可靠性、可用性和扩展性的要求。

本章重点介绍逻辑设计，介绍了逻辑拓扑结构设计、地址分配、广域网设计和路由协议的选择等基本知识。本章重点3．1网络设计的目标3．2拓扑结构设计3．3网络组件设计3．4IP地址分配3．5IP路由设计3．1网络设计的目标网络设计的目标如下：（1）最大效益下最低的运作成本；（2）不断增强的整体性能；（3）易于操作和使用；（4）增强安全性；（5）适应性；网络设计的目标P483．1网络设计的目标为了实现上述目标，在设计过程中应综合权衡以下因素：（1） 最小的运行成本；（2） 最少的安装花费；（3） 最高的性能；（4） 最大的适应性；（5） 最大的安全性；（6） 最大的可靠性；（7） 最短的故障时间。网络设计的目标P483．2．1常见的网络拓扑结构

网络拓扑结构是指忽略了网络通信线路的距离远近和粗细程度，忽略通信节点大小和类型后仅仅用点和直线来描述的图形结构（图3-1）。拓扑结构设计P493．2．1常见的网络拓扑结构1.总线型2.环型3.星型和树型星型网络必有一个中心节点，所有数据都要通过中心节点交换，因此中心节点是星型网络的核心层。树型结构是星型结构的扩展，顶层节点负荷较重，属于核心层，但如果设计合理，可以将一部分负荷分配给下一层节点，因此树型结构多出了一个汇聚层。4.网状模型拓扑结构设计P493．2．2估算网络中的通信量1．估算网络中的通信量主要有两个方面：（1）根据业务需求和业务规模估算通信量的大小；（2）根据流量汇聚原理确定链路和节点的容量；2．估算通信量应该注意的问题：（1）必须以满足当前业务需要为最低标准；（2）必须考虑到未来若干年内的业务增长需求；（3）能对选择何种网络技术提供指导；（4）能对冲突域和广播域的划分提供指导；（5）能对选择何种物理介质和网络设备提供指导。拓扑结构设计P50上行链路和下行链路上行链路指的是从工作站流向核心网络设备的链路。下行链路指的是从核心网络设备流向工作站的链路。（图3-2）上行链路的容量衡量了核心设备和线路的容量，影响了骨干网技术的选择。下行链路的容量则可给出了某种骨干网技术能满足的客户端应用的能力。拓扑结构设计P50（图3-2）拓扑结构设计P50上行链路和下行链路例一，假设核心层交换机所使用的连接数为8，而每个端口下连交换机的带宽是100M，也使用了8个端口，在交换机满负荷工作概率为60%的条件下，按照交换机的特点，干线容量的计算方式为：

8×100Mbps×60%=480Mbps

核心交换机的容量为：

8×480Mbps×60%=2304Mbps由此可以得出对主干线路的技术要求拓扑结构设计P503．2．3分层设计方法Cisco公司将大型网络的拓扑结构划分为三个层次，即核心层、汇聚层和接入层。拓扑结构设计P513．2．3分层设计方法1．分层结构的设计目标是：（1）核心层处理高速数据流，其主要任务是数据包的交换；（2）汇聚层负责网段的逻辑分割，聚合路由路径，收敛数据流量；（3）接入层将流量馈入网络，执行网络访问控制，并且提供相关边缘服务。拓扑结构设计P513．2．3分层设计方法2．拓扑设计的原则：按照分层结构设计网络拓扑结构时，应遵守以下两条基本原则：（1）网络中因拓扑结构改变而受影响的区域应被限制到最小程度。（2）路由器应传输尽量少的信息。拓扑结构设计P513．2．3分层设计方法（1）分层拓扑结构的优点：流量从接入层流向核心层时，被收敛在高速的链接上；流量从核心层流向接入层时，被发散到低速链接上，如图3-6所示。（2）分层拓扑结构的缺点：分层拓扑结构固有的缺点是在物理层内隐含（或导致）单个故障点，即某个设备或某个失败的链接会导致网络遭受严重的破坏。克服单个故障点的方法是采用冗余手段，但这会导致网络的复杂性的增加。拓扑结构设计P521.核心层设计方法

网络核心层的主要工作是交换数据包，核心层的设计应该注意两点：（1）不要在核心层执行网络策略：所谓策略就是一些设备支持的标准或系统管理员定制的规划。（2）核心层的所有设备应具有充分的可到达性。拓扑结构设计P522.汇聚层设计方法

汇聚层将大量低速的链接（与接入层设备的链接）通过少量宽带的连接接入核心层，以实现通信量的收敛，提高网络中聚合点的效率。同时减少核心层设备路由路径的数量。总之，汇聚层的主要设计目标包括：1． 隔离拓扑结构的变化；2． 通过路由聚合控制路由表的大小；3． 收敛网络流量。拓扑结构设计P52路由聚合拓扑结构设计P53路由聚合拓扑结构设计P53（1）新路由表大大减小。路由器C的路由表为：（2）路由收敛速度加快目标网络掩码端口跳数连接方式172．16．0．0255．255．254．0E00直连172．16．2．0255．255．254．0E10直连172．16．0．0255．255．252．0E30直连3.接入层设计方法接入层的设计目标包括三个，即：（1）将流量馈入网络：为确保将接入层流量馈入网络，要做到：①接入层路由器所接收的链接数不要超出其与汇聚层之间允许的链接数；②如果不是转发到局域网外主机的流量，就不要通过接入层的设备进行转发；拓扑结构设计P543.接入层设计方法③不要将接入层设备作为两个汇聚层路由器之间的连接点，即不要将一个接入层路由器同时连接两个汇聚层路由器。（2）控制访问：由于接入层是用户进入网络的入口，所以也是黑客入侵的门户。接入层通常用包过滤策略提供基本的安全性，保护局域网段免受网络内外的攻击。拓扑结构设计P543．2．3．4绘制网络拓扑图好的网络拓扑结构图能恰当地表现设计者的意图。绘制网络拓扑图要注意以下几点：（1）选择合适的图符来表示设备；（2）线对不能交叉、串接，非线对尽量避免交叉；（3）终接处及芯线避免断线、短路；（4）主要的设备名称和商家名称要加以注明；（5）不同连接介质要使用不同的线型和颜色加以注明；（6）标明制图日期和制图人。拓扑结构设计P54绘制网络拓扑图可以使用微软公司的visio2002软件

3．2．3．580/20规则

80/20规则是传统以太网设计必须要遵循的一个原则。它表明一个网段数据流量的80%是在该网段内的本地通信，只有20%的数据流量是发往其它网段的。拓扑结构设计P553．3网络组件设计

为了有步骤地实施网络，通常将一个完整的网络划分为逻辑上功能独立的组件，这些组件主要有三个：园区网、广域网、远程连接。网络组件划定了网络的功能范围，进一步深化了分层设计的思想，同时又为地址分配和安全控制提供了依据。网络组件设计P553．3．1园区网

园区网是指为企事业单位组建的办公局域网。典型的园区网包括校园网、社区网、住宅小区网、企事业单位网等。园区网设计有以下特点：园区网是网络的基本单元园区网较适合于采用三层结构设计园区网对线路成本考虑的较少，对设备性能考虑的较多，追求较高的带宽和良好的扩展性园区网的结构比较规整网络组件设计P553．3．1．1以太网（Ethernet）粗缆以太网（10Base5）细缆以太网（10Base2）双绞线以太网（10BaseT）10BaseT中的“T”指的是传输介质为双绞线（Twisted-Pair）电缆。IEEE的10Base-T标准使用星型拓扑结构，并使用8针的RJ-45接口（又称为水晶头）。10BaseT网络的主要互联设备是共享式集线器（HUB）。使用集线器和双绞线以太网的结构分为：单集线器结构、多集线器级联结构和集线器堆叠结构。网络组件设计P564．5-4-3规则

使用中继器或集线器连接的多个以太网段在逻辑上仍然属于一个冲突域，为了使网络效率不至于太低，就对连接的网段数目和各网段的主机数作了明确规定，即5-4-3规则。其中：（1）最多只能由5个网段相连；（2）中继设备最多只能有4个；（3）其中只能在第1，2，5三个网段上连接主机。网络组件设计P564．5-4-3规则网络组件设计P57（图3-7）

3．3．1．2快速以太网（FastEthernet）网络组件设计P57

快速以太网指速度较快，能提供100M标准带宽的以太网，不再使用同轴电缆，而是使用5类或超5类双绞线或光缆作为传输介质，拓扑结构上以星型和树型为主。互联设备主要采用集线器和交换机，具有与10M以太网完全兼容的特性，因此可以在园区网的核心层采用。快速以太网的技术标准主要有以下几个：1．100Base-TX2．100Base-FX3．100Base-T4

3．3．1．3吉比特以太网网络组件设计P58

吉比特以太网是10/100Base-T以太网的向上兼容技术，它除了能提供1Gbps（1000Mbps）的带宽并支持全双工连接外，还具备以下特点：（1）吉比特以太网使用传统的CSMA/CD介质访问控制协议。（2）保护原有网络的投资。（3）吉比特以太网可用于多种传输介质。如双绞线、多模和单模光纤。（4）低成本的升级费用。（5）支持服务质量（QoS）和第三层交换。（6）吉比特以太网以及新的10G比特以太网为局域网（含园区网）和城域网提供了高性价比的宽带传输交换，将以太网地位进行了重新定义。3．3．1．4光纤汇聚式数据接口（FDDI）网络组件设计P59

光纤汇聚式数据接口网络出自美国一些大型机公司，1990年由美国国家标准局（ANSI）的X3T9.5委员会正式颁布。FDDI支持长达2km的多模光纤，传输速率高达100Mbps。因此，在早期的10M以太网时代，它的推出有无穷魅力，被应用到各种环境中，如园区网骨干、广域网骨干等。

3．3．1．5ATM网网络组件设计P59ATM（AsynchronousTransferMode，异步传输方式）是建立在电路交换和分组交换的基础上的一种新的交换技术，ATM兼有电路交换的可靠性、实时性和分组交换的高效性、灵活性，通常作为高性能局域网骨干和广域网骨干。2．ATM网络服务类型网络组件设计P59（1）ITU-T规定的服务类型ITU-T最初规定了ATM网络可向用户提供四种类别（class）的服务，从A类到D。服务类别（class）A类B类C类D类比特率恒定可变是否需要同步需要不需要连接方式面向连接无连接应用举例64kbps话音变比特率图像面向连接数据无连接数据2．ATM网络服务类型网络组件设计P60（2）ATM论坛规定的服务类型ATM论坛依据各种服务的通信量特性和QoS等定量参数，提出了将ATM的服务按照比特率的特点划分为以下5个种类（Category）。恒定比特率CBR（ConstantBitRate）。实时可变比特率rt-VBR(real-timeVariableBitRate)非实时可变比特率nrt-VBR(non-real-timeVariableBitRate)。不指明比特率UBR（UnspecifiedBitRate）。可用比特率ABR（AvailableBitRate）。3．ATM局域网仿真技术网络组件设计P61为了使ATM与传统局域网技术互联，必须提供与局域网相兼容的技术。ATM论坛的LAN仿真规范1.0定义了一种标准的、与协议无关的方法，它使连接在局域网上的设备能够在ATM主干网上进行通信。在ATM的LANE技术中，每一个仿真LAN就是一个VLAN，反之亦然。3．ATM局域网仿真技术网络组件设计P61为了使ATM与传统局域网技术互联，必须提供与局域网相兼容的技术。ATM论坛的LAN仿真规范1.0定义了一种标准的、与协议无关的方法，它使连接在局域网上的设备能够在ATM主干网上进行通信。在ATM的LANE技术中，每一个仿真LAN就是一个VLAN，反之亦然。3．3．1．6WLAN网络组件设计P61WLAN有两种主要的拓扑结构，即自组织型网络（也就是对等网络，即人们常称的Ad-Hoc网络）和基础结构型网络（InfrastructureNetwork）。3．3．1．6WLAN网络组件设计P611．自组织型WLAN

自组织型WLAN是一种对等模型的网络，它的建立是为了满足暂时需求的服务。3．3．1．6WLAN网络组件设计P622．基础结构型WLAN

基础结构型WLAN利用了高速的有线或无线骨干传输网络。在这种拓扑结构中，移动节点在基站（BaseStation，BS）的协调下接入到无线信道。3．3．1．7VLAN（虚拟局域网）网络组件设计P62虚拟局域网技术（VLAN）是一种得到较快发展的技术。此种技术的核心是通过路由和交换设备，在网络的物理拓扑结构基础上建立一个逻辑网络，以使得网络中任意几个LAN段或单站能够组合成一个逻辑上的局域网。支持VLAN的交换设备给用户提供了非常好的网络分段能力，极低的报文转发延迟以及很高的传输带宽。这种交换设备通常是第三层交换机或路由交换机。3．3．1．7VLAN（虚拟局域网）网络组件设计P62第三层楼第二层楼第一层楼销售部人力资源部工程部3．3．1．7VLAN（虚拟局域网）网络组件设计P63第三层楼第二层楼第一层楼销售部人力资源部工程部优点：分段+管理灵活+安全3．3．1．7VLAN（虚拟局域网）网络组件设计P63

2．虚拟局域网的划分方式（1）基于端口划分VLAN（2）基于MAC地址划分VLAN（3）基于协议规则划分VLAN（4）基于网络地址划分VLAN（5）基于用户定义规则划分VLAN3．3．1．7VLAN（虚拟局域网）网络组件设计P63VLAN的Trunk协议交换机要传输多个VLAN的通信，需要用专门的协议封装或者加上VLANID，以便接收设备能够区分数据帧所属的VLAN。Trunk协议可以使交换机识别来自于不同VLAN的帧，允许VLAN帧使用时分复用的方式占用Trunk链路，跨越交换机通信。这样的Trunk协议主要有两种，即IEEE802.1Q和CISCO专用的协议ISL。ISL和二层的封装802.1Q帧3．3．1．7VLAN（虚拟局域网）网络组件设计P63（5）VTP协议VTP协议可以将核心交换机上的VLAN定义自动地分发给网络中的其它交换机直到传遍整个网络。因此，VTP在划分VLAN时很有用，可以简化网络管理。VTP可以以三种模式在交换机上运行：①客户模式：在这个模式下，交换机监听并传播自己所属的域内的VTP公告，它将基于这些公告来改变自己的配置；②服务器模式：在这个模式下，交换机可以增加、删除和修改VLAN信息，并在自己管辖的区域内广播，导致域内VTP客户更新自己的VLAN信息；③透明模式：在透明模式下，VTP信息将被转发，但这些公告中包含的VLAN配置将会被忽略。3．3．1．7VLAN（虚拟局域网）网络组件设计P65设计VLAN间的路由Trunk技术只是解决了相同VLAN之间通过同一干线链路互通的问题，并未解决不同VLAN之间跨网段相互访问的问题，它只有借助于以下路由方案才能得以解决。（1）核心路由器+VLAN交换机（2）第三层交换机+VLAN交换机VLAN实验网络组件设计P65VLAN实验网络组件设计C3560#vlandatabase;进入vlan库设置C3560(vlan)#vlan2namesales;vlan1缺省，vlan2为销售部C3560(vlan)#vlan3nameHR;vlan3为人力资源部C3560(vlan)#exitC3560#conftC3560(config)#vtpdomainabc;设置VTP域C3560(config)#vtpmodeserver;设置VTP方式为服务器方式C3560(config)#vtppasswordabcd;设置VTP密码为abcdP65VLAN实验网络组件设计P65C3560(config-if)#switchportmodetrunkC3560(config-if)#switchporttrunkencapsulationdot1qC3560(config-if)#switchporttrunkallowedvlanallC3560(config-if)#endC29xx(config)#intfastethernet0/1C29xx(config-if)#switchportmodetrunkVLAN实验网络组件设计P65C3560#conftC3560(config)#intvlan2C3560(config-if)#ipaddress;设置vlan的地址，也是主机的网关C3560(config-if)#intvlan3C3560(config-if)#ipaddressC3560(config-if)#exitC3560(config)#intf0/4C3560(config)#iprouting;启用路由C3560(config)#exitC3560#3．3．1．8服务子网的设计网络组件设计P65服务子网设计应该遵循以下原则：（1）服务子网应该有较高的下行带宽，通常直接连到交换机的高速端口；（2）服务子网应具有一定的冗余性，重要的数据服务器和PDC可以考虑双归接入；（3）服务子网应具有一点的安全性，应根据安全级别指派IP地址和VLAN，重要的服务器可以单独划分子网，加装内部防火墙。（3）服务子网可以考虑集群服务提供更高的可靠性。3．3．1．8服务子网的设计网络组件设计P65（1）集中式服务设计集中式服务设计将服务器集中配置在中心机房。这种设计方式的优点就是管理方便，安全性能高，缺点是增加了核心层的负荷。3．3．1．8服务子网的设计网络组件设计P66（2）汇聚式服务设计汇聚式服务设计将服务器根据部门应用特点汇聚到各个部门（汇聚层）的机房。汇聚式服务设计优点是管理和维护都很灵活。3．3．1．8服务子网的设计网络组件设计P66（2）汇聚式服务设计汇聚式服务设计将服务器根据部门应用特点汇聚到各个部门（汇聚层）的机房。汇聚式服务设计优点是管理和维护都很灵活。3．3．1．9典型拓扑设计举例网络组件设计P661．10M/100M共享式应用3．3．1．9典型拓扑设计举例网络组件设计P67升级方案使用路由器分段可以隔离冲突域和广播域且可以提供一定的安全性，无需购买专门的路由器，直接使用Windows2000服务器的路由服务即可，需安装双网卡；添加10M交换机或100M集线器替换中央集线器改造成混合式以太网，可以将网络带宽提高数倍。3．3．1．9典型拓扑设计举例网络组件设计P672．10M/100M交换式应用3．3．1．9典型拓扑设计举例网络组件设计P68（3）升级方案使用吉比特以太网作为骨干网，提供更大的主干带宽；使用VLAN技术划分逻辑段，提高安全性，减小广播风暴的影响；使用ATM作为主干网，增强多媒体业务能力。3．3．1．9典型拓扑设计举例网络组件设计P683．1000M交换式骨干网3．3．2广域网（WideAreaNetwork，WAN）网络组件设计P69

众所周知，广域网将汇聚在各地的局域网互连起来，为局域网之间的数据传输提供信道。因此在一个开放式的网络中，广域网的设计也很重要。3．3．2．1广域网设计的要点网络组件设计P69在广域网设计中要着重考虑以下几点：（1）充分分析广域网的带宽效率和带宽费用，保证WAN链路的可用性和可靠性；在分析广域网的带宽时，要掌握以下要点：①需要什么样的带宽？②要发送多大的数据包？③对带宽的要求是恒定还是突发的？④网络使用的频繁程度3．3．2．1广域网设计的要点网络组件设计P70（2）详细设计WAN链路，选择合适的接入技术。（3）做好物理层设计，为不同的服务选择合适的接入设备，如Modem、路由器、访问服务器等，尽可能选择具有多种服务方式的设备；（4）彻底评估WAN潜在的安全隐患，提出解决方案。3．3．2．2广域网技术选型网络组件设计P701．X.25分组交换网

X.25协议是最早的广域网协议之一，是一种数据分组交换技术。X.25协议组包含物理层、数据链路层和网络层协议，适用于低中速线路（如9.6kbps、64kbps、或T11.44Mbps线路）。中国公用分组交换数据网（CHINAPAC）就是提供的基于X.25的服务的ISP。3．3．2．2广域网技术选型网络组件设计P702．DDN（数字专用线路）DDN即数字数据网，它是利用光纤（数字微波和卫星）数字传输通道和数字交叉复用节点组成的数字数据传输网，可以为用户提供各种速率的高质量数字专用电路和其它新业务，以满足用户多媒体通信和组建中高速计算机通信网的需要。DDN业务区别于传统模拟电话专线的显著特点是数字电路，传输质量高、时延小、通信速率可根据需要选择；电路可以自动迂回，可靠性高；一线可以多用，即可以通话、传真、传送数据，还可以组建会议电视系统，开放帧中继业务，做多媒体业务，或组建自己的虚拟专网设立网管中心，自己管理自己的网络。3．3．2．2广域网技术选型网络组件设计P712．DDN（数字专用线路）

DDN业务区别于传统模拟电话专线的显著特点是数字电路，传输质量高、时延小、通信速率可根据需要选择；电路可以自动迂回，可靠性高；一线可以多用，即可以通话、传真、传送数据，还可以组建会议电视系统，开放帧中继业务，做多媒体业务，或组建自己的虚拟专网设立网管中心，自己管理自己的网络。3．3．2．2广域网技术选型网络组件设计P71DDN可以提供的主要业务包括：（1）租用专线业务（2）帧中继业务（3）话音/传真业务用户入网方式：（1）通过模拟专线（用户环路）和调制解调器入网。（2）通过光纤电路入网，适用于光纤到户的用户。3．帧中继（FrameRelay）网络组件设计P71帧中继是一种“先进”的包交换技术，它是从分组交换技术发展起来的，是种快速分组通信方式。帧中继很多地方和X.25相同，如它也采用虚电路技术，并且也支持PVC和SVC两种交换方式。帧中继网络采用的传输介质是光纤。3．帧中继（FrameRelay）网络组件设计P71帧中继网络的特点：帧中继采用了虚电路（VirtualCircuit，VC）技术；帧中继简化了X.25通信协议，时延小、传输效率高、数据吞吐量大；帧中继使用统计复用技术，传输贷款按需分配，适用于突发性业务；帧中继支持多种网络协议，可以为各种网络提供快速、稳定的连接；帧中继传输速率高，接入速率一般为64Kbps-2Mbps；帧中继降低了联网成本，使网络资源利用率高，网络费用低廉。4．综合业务数字网（IntegratedServicesDigitalNetwork，ISDN）网络组件设计P71（1）ISDN概述ISDN是一个基于数字的远程通信标准。ISDN支持终端用户在线路上连接几个设备，如传真机、计算机、数字电话等。N-ISDN（窄带ISDN）支持两种接口，即BRI（基本速率接口）。4．综合业务数字网（IntegratedServicesDigitalNetwork，ISDN）网络组件设计P71利用TDMA（时分多路复用技术），BRI可以提供144kbps的数据速率，其中包括3个传输通道，即2个64kbps的B通道用于数据、音频和图像传输，一个16kbps的D通道用于通信信令、数据包交换和信用卡验证。PRI可以提供大的带宽，聚集更多的通道，主要有两个标准。美国标准包括23个64kbps的B信道用于数据传输，一个64kbps的D信道用于信令传输，总带宽为1.536bps；欧洲标准包括30个64kbps的B信道用于数据传输，一个64kbps的D信道用于信令传输，总带宽为1.984Mbps。4．综合业务数字网（IntegratedServicesDigitalNetwork，ISDN）网络组件设计P72

ISDN的特点：支持多种服务、高速的数据传输能力、优质的语音服务、有呼叫识别、动态带宽分配、拨号备份、同时支持多个设备、传输可靠、快速连通。4．综合业务数字网（IntegratedServicesDigitalNetwork，ISDN）网络组件设计P72ISDN是一种应用非常广泛的广域网连接技术，可以作以下用途使用：LAN至LAN的连接家庭办公室和远程办公机构商业计算机系统的脱机备份和灾难恢复传输大型图像和数据文件LAN至LAN的视频和多媒体应用5．xDSL网络组件设计P73ADSL具有了以下优势：（1）在一对双绞线上可为用户提供高达8Mbps的下行速率，1Mbps的上行速率。（2）较充足的带宽可用于传输多种宽带数据业务，如会议电视、VOD、HDTV业务等；而且，下行速率大于上行速率，非常符合普通用户联网的实际需要。（3）ADSL并不影响用户对普通电话的使用。由于使用了独特的信号调制技术，用户接入ADSL的同时仍然可以进行普通电话通信。HFC和宽带高速专线接入网络组件设计P746．HFCHFC（HybridFiber／Coax），即网络传输主干为光纤，到用户端为同轴电缆的用户网络接入方式。7．宽带高速专线接入所谓宽带城域网，就是在城市范围内，以IP和ATM电信技术为基础，以光纤作为传输媒介，集数据、语音、视频服务于一体的高带宽、多功能、多业务接入的的多媒体通信网络。3．3．2．3典型广域网设计举例网络组件设计P741．使用DDN/帧中继连接企业总部和分部3．3．2．4优化广域网的性能网络组件设计P741．用路由器软件为WAN预留带宽2．利用备份线路3．压缩（1）基于历史的压缩（2）所有数据包压缩3．3．2．4优化广域网的性能网络组件设计P753．数据优先排序4．协议预留紧急高级一般低级PPP链路调度软件10%HTTP3%Telnet10%FTP

3．3．3远程连接网络组件设计P763．3．3．1远程连接的应用范围

由于新业务需求的出现导致了一种新的WAN连接技术，即远程接入技术，这种技术设计的复杂程度不亚于其它WAN网的设计，由于它有时候直接面向终端用户，所以对于性能的完美程度要求更高，是许多网络设计人员不断努力追求的目标。（1）外地办事处或派驻机构（2）SOHO（SmallOfficeHomeOffice）

3．3．3．2远程连接的设计特点网络组件设计P763．3．3．3远程连接的技术与趋势网络组件设计P76通常采用的远程连接方案是拨号网络和专用WAN连接，一般带宽在56kbps~128kbps。用来提供远程连接的技术有：（1） 模拟Modem；（2） 专线：如DDN；（3） 综合业务数字网（ISDN）；（4） 非对称数字用户线路（xDSL）；（5） 无线技术；如蓝牙（Bluetooth）。3．3．3．4建立安全的连接

网络组件设计P771．虚拟专用网（VPN）虚拟专用网（VirtualPrivateNetwork，VPN）是一种采用隧道技术在公共网络上建立专用逻辑通道的连接方式，被广泛应用于远程访问和企业Intranet/Extranet中。3．3．3．4建立安全的连接网络组件设计P771．虚拟专用网（VPN）

3．3．3．4建立安全的连接网络组件设计P77VPN对隧道协议有明确的规范，例如工作在第二层的PPTP、L2F、L2TP和工作在第三层的GRE、IPSec。

IP首部PPTP首部PPP首部PPP尾部

原IP报文IP首部AHESPPPTP封装后在Internet上传输的报文IPSec封装后在Internet上传输的报文3．3．3．4建立安全的连接网络组件设计P782．安全套接层（SSL）

SSL是一种工作在应用层的加密技术，已经成为电子商务安全交易的一种主要连接方式。HTTP协议的数据包在计算机之间传输时，SSL采用公共密钥对数据包加密，但它不能为通信信道两端的计算机提供保护。而且，SSL只能处理HTTP数据包，不能为通过文件传输协议（FTP）/简单文件传输协议（SMTP）/Telnet或者其它TCP/IP服务传输的数据进行加密。SSL初级版本采用40位密钥，现在也可使用128位密钥。IPv4地址结构IP地址分配P78B类地址A类地址C类地址D类地址

组播地址10111101110110网络地址（14位）网络地址（21位）保留用于试验和将来的使用

0网络地址（7位）主机地址（24位）主机地址（8位）主机地址（16位）012345678910111213141516171819202122232425262728293031E类地址图3-23IP地址分类图公开地址和私有地址网络组件设计P79根据用途和安全性级别的不同，IP地址还可以大致分为公有地址（PublicAddress）和私有地址（PrivateAddress）两类。在3类IP地址中专门保留了三个区段作为私有地址，其地址范围如下：

A类地址：――55B类地址：――55C类地址：――55网络组件设计P791．在划分子网和进行地址分配时一定要十分谨慎，应该充分考虑未来的扩展性需求。2．在分配子网编号时，网络管理员可以决定是否为每一个子网选择一个有意义的数字。3．地址分配后要便于路由聚合。4．由于IP资源短缺，可以申请一个较小的地址段，使用NAT技术与私有地址结合使用。

3．4．1．1子网划分时应该注意的问题3．4．1子网划分网络组件设计P791．子网划分按以下的步骤进行：（1） 确定IP地址的类型和主机位数；（2） 确定要划分的子网数目；（3） 将子网数目对2取对数，然后加1，得到N。（4） 将主机位的高N位置为1，加上原有的网络地址位，即可得到新的子网掩码；（5） 除去掩码所占的位数，剩下的位数就是可用的主机位m，可用的主机地址数目就是2m-2。写出除子网地址和子网广播地址之外的所有可用主机地址范围。3．4．2VLSM网络组件设计P81VLSM技术是一种可变的子网划分方法，它允许在一个网络中采用多个子网掩码，而且随子网大小而变化。3．4．3网络地址转换（NAT）网络组件设计P81网络地址转换（NAT）技术指的是内网的私有地址转换成合法的外部IP地址，使得内部用户能够访问Internet。使用NAT的企业只需要申请很少的IP地址块就可以将很大的内部网络连接到Internet。NAT分析进出于边界路由器的数据包，如果是出站数据包，就把源地址转换成公开IP地址；如果是进站数据包，就将目的地址转换成私有IP地址。3．4．3网络地址转换（NAT）网络组件设计3．4．3．2NAT的优点网络组件设计P83（1）节约申请公开地址的费用，提高IP地址利用率。（2）屏蔽内部网络，提高网络的安全性。（3）保护已有的地址分配方案，减少地址维护工作。3．4．4地址分配策略网络组件设计P83

1．按部门/机构分配地址

2．按物理位置分配地址

3．按拓扑结构分配地址3．4．5动态主机配置协议（DHCP）网络组件设计P84

动态主机配置协议（DHCP）被用来在网络上自动进行TCP/IP地址的分配。这种协议也能对工作站、打印机和其他IP设备提供配置参数。当设备在网络上启动或初始化时，DHCP协议将允许DHCP服务器从地址池中分配一个空闲的IP地址给该设备，自动联通网络。3．4．5动态主机配置协议（DHCP）网络组件设计P843．5IP路由设计IP路由设计P85

根据路由协议的作用范围，我们可以将路由协议分成两类，即域内路由协议（InteriorGatewayProtocols，IGP）和域间路由协议（ExteriorGatewayProtocols—EGP）。3．5IP路由设计IP路由设计P85自治系统（AutonomousSystem，AS）是为了网络管理的方便，人为制定的管理区域，由网络中心统一命名。

3．5．2路由协议的性能参数IP路由设计P851．可伸缩性2．路由更新3．路由协议的稳定性4．收敛速度5．路由量度6．VLSM支持3．5．2路由协议的性能参数IP路由设计P85可伸缩性是确定IP路由协议选择的最基本问题之一，即路由协议将如何有效地支持大型网络或可能增长的网络？路由协议的可伸缩性是由以下因素确定的，如它如何有效地处理路由更新以及它如何才能迅速地应对大型网络上的更改作出反应。影响网络变化的因素有哪些？设备故障、线路故障、增加或更改设备位置、3．5．2路由协议的性能参数IP路由设计P85IP路由协议的可伸缩性总是部分由处理路由更新的效率确定。距离矢量路由协议通过向网络中所有其他路由器定期广播它们的路由表来交换路由信息。可以通过制定一些更新策略来提高距离矢量路由协议的更新速度，影响策略制定的因素有以下几个：②多路广播比广播更好；③跳数越小越好。①增量更新比定期交换更好；3．5．2路由协议的性能参数IP路由设计P85路由协议的稳定性可在网络传输期间（如链接中断或其他形式的布局更替）进行测试。路由协议对布局更替作出反应，并通过网络传播有关更替的信息。在路由协议分发信息期间，路由器将排除不一致的信息。（即有一些路由器将知道更新而有一些将不知道）。这种不一致可能导致特定类型的路由问题，称为路由回路。距离矢量路由协议对路由回路具有潜在的敏感性，因为它们不维护除路由表以外的有关网络布局的任何附加信息。链路状态路由协议维护网络上所有子网的数据库，并知道何种路由器附加到了子网上，因此，它不大可能在布局改变后立即按照错误信息动作。3．5．2路由协议的性能参数IP路由设计P85距离矢量路由协议合并了下列功能以帮助避免路由回路：（1）定义最大量度（2）分割范围（3）路由中毒（4）停止运行计时器3．5．2路由协议的性能参数IP路由设计P853．5．2路由回路的危害IP路由设计P85注意：①距离矢量或链接状态协议都可能发生路由回路，通过良好的设计可以最小化路由回路的可能性。②不论网络中有多少冗余，错误的路由协议选择都有可能成为毁掉网络的罪魁祸首。3．5．2路由协议的性能参数IP路由设计P85网络收敛的定义是从网络拓扑改变到每个路由器确认该改变所消耗的时间。如果网络拓扑结构改变，如丢失或增加子网，在从第一个路由器开始更新路由信息起到全部路由器都更新了路由信息止，需要一定的时间。在依赖多种因素（路由协议本身的操作特性是最重要的因素）的网络上，收敛速度的变化很明显。收敛速度通常与路由器的错误检测机制、路由更新机制、路由运算法则以及传输介质有关。3．5．2路由协议的性能参数IP路由设计P85如果运行特定IP路由协议的路由器收到多个可到达目的站网络的公布路径，它将选择具有最佳量度的路径并将之放入路由表中。如果多条路径有最佳量度，则每个这种费用最低的路径放入路由表中，并且执行等量费用负担平衡。不同的路由协议使用不同的量度，即每个路由协议都可以按自己的方式决定到达目的站的最佳路径。3．5．2路由协议的性能参数IP路由设计P85对于网络来说，若需要拥有除了足够的IP地址空间之外的条件，则可能需要使用VLSM。VLSM可有效地使用IP地址和子网空间。五类路由协议（如OSPF、RIP2版、EIGRP、IS-IS和BGP）支持VLSM，因为它们包括掩码和更新。而无类协议（如RIP1版和IGRP）不能支持VLSM。3．5．1RIP路由协议IP路由设计P861．RIP路由协议的要点（1）RIP协议是基于距离矢量算法的路由协议，属于内部网关协议；它通过UDP（UserDatagramProtocol）报文交换路由信息。（2）RIP协议已到达目的地址所经过的路由器个数（跳数）为衡量路由好坏的度量值，最大跳数为15；（3）RIP有RIP-1和RIP-2两个版本，RIP-2支持明文认证和MD5密文认证，并支持可变长子网掩码。（4）RIP协议适用于基于IP的中小型网络。对本路由表中已有的路由项，当发送报文的网关相同时，不论度量值增大或是减少，都更新该路由项；对本路由表中已有的路由项，当发送报文的网关不同时，只在度量值减少时，更新该路由项；对本路由表中不存在的路由项，在度量值小于不可大（16）时，在路由表中增加该路由项；路由表中的每一路由项都对应一老化定时器，当路由项在180秒内没有任何更新时，定时器超时，该路由项的度量值变为不可达（16）。某路由项的度量值变为不可达后，以该度量值在Response报文中发布四次（120秒），之后从路由表中清除。RIP路由表的更新原则IP路由设计P88RIP路由表的更新原则IP路由设计P883．5．2IGRP路由协议IP路由设计P88IGRP是从RIP基础之上发展而来的。它比较RIP而言，主要有以下几点改进：（1）IGRP路由的跳数不再受16跳的限制，同时在路由更新上引入新的特性，使得IGRP协议适用于更大的网络；（2）引入了触发更新、路由保持、水平分割和毒性路由等机制，使得IGRP对网络变化有着较快的响应速度，并且在拓扑结构改变后仍然能够保持稳定；（3）在Metric值的范围和计算上有了很大的改进，使得路由的选择更加准确，同时使路由的选择可以适应不同的服务类型。

3．5．3OSPF路由协议IP路由设计P90（3）只要网络拓扑发生任何变化，这种链路状态数据库就能很快地进行更新，使各个路由器能够重新计算出新的路由表。OSPF的更新过程收敛得快是其重要优点。（4）OSPF依