局域网网络选型:
局域网=以太网 交换机+双绞线+光纤
重要参数:
速率 | 100M | 1G | 10G | 40G |
接口类型 | 铜缆 | 光纤 | ||
MTU | 1500 | 巨型帧 | ||
其他功能 | PoE/堆叠/路由 |
局域网常用拓扑:
VLAN设计:
规划依据:基于业务、基于地域、基于安全。
划分方法:基于端口、基于MAC、基于IP子网、基于协议、基于策略。
编号分配:范围:1-4095、连续性、扩展性。
STP协议:
STP/RSTP/MSTP:STP基本版本、RSTP提高收敛速度、MSTP引入域和实例概念。
缺省配置:华为交换机使用MSTP、一个叫交换机一个域、所有VLAN映射到一个Instance(0)。
兼容性:向下兼容、RSTP在收到STP BPDU的端口运行STP、MSTP认为RSTP交换机运行在不同的域中。
MSTP设计:域定义、修订版本定义、Instance定义、VLAN映射定义。
STP实用设计:
二层网络环路问题:
工作机制:以太网缺省泛洪广播数据。
STP算法:交换机无全网拓扑信息,依赖定时器工作。
网络结构:冗余设备与链路导致物理拓扑环路。
实现缺陷:设备实现差异。
理论上:STP能够防止环路。
实践中:仍存在环路可能性。
环路避免优化:
优化STP设置:Root Guard、Loop Guard、BPDU Guard、Edge-port。
其他防环技术:Smart-link、SEP、RRPP。
新技术:TRILL。
二层网络安全设计:
二层攻击类型 | 二层保护机制 |
---|---|
针对设备的DoS攻击 | 交换机CPU |
流量超载 | 流量抑制/风暴控制 |
MAC欺骗 | Port Security |
DHCP攻击 | DHCP Snooping |
ARP攻击 | 限速/固化/隔离/DAI |
源伪造攻击 | IPSG |
针对不同的行为选用相应的安全机制。
广域网的特点:
覆盖范围广、租用成本高、运维难度大。
广域网技术选用:
基于SDH传输系统:DDN/E1/POS/MSTP。
基于传统电话网:PSTN/ISDN。
基于波分复用:DWDM
基于报文交换:ATM/FR/X.25。
广域网二层协议:
链路类型 | 结构特点 | 二层协议 |
---|---|---|
DDN/E1/POS | 点到点链路 | HDLC/PPP |
PSTN/ISDN | 点到点链路 | PPP |
OTN | 点到点链路 | Ethernet |
分组交换网 | 点到多点链路 | ATM/FR/X.25 |
点到点链路是广域网的主流链路。
PPP协议室广域网点到点链路使用的主流协议。
OTN网络可提供以太网接口接入。
广域网替代技术:
传统广域网:
带宽保证、价格昂贵、QoS可控、可靠性高。
VPN技术:带宽不可控、廉价、QoS不可控、可靠性不可控、安全性高。
接入网技术:
最后一公里:用户网络与运营商骨干网之间的网络技术。
DSL:基于电话线、上下行不对称、1M~10Mbps。
FTTX:双绞线、用户密集场合、10M/100M/1G。
PON:光纤、未来趋势、大带宽。
无线:WIFI或LTE、未来趋势、1M~100Mbps。
HFC:同轴电缆、广电行业、共享100Mbps。
异步拨号:基于电话点、已经淘汰、速率<64K。
IP地址分配规则:
1、唯一性:地址分配基本规则。
2、高效性:设计合适的掩码长度。常用掩码:32/30/VLSM
3、可汇聚性:节省设备资源。 ]]
4、连续性:相邻网段地址连续。]]]分区分块
5、可扩充性:保留扩展空间。 ]]]分配地址
6、可管理性:地址实意性 ]]
IP地址配置方式:
手工配置:多用于网络设备配置,机制简单,配置工作量大。
DHCP:多用于客户机,可以与各种安全机制配合。
DHCP Snooping、DAI、IPSG。
路由边界确定:
关注点:设备成本、带宽成本、安全性、可运维性。
客户网关位于汇聚层,接入交换机工作于交换模式,汇聚层之上工作于路由模式。
客户机网关位于接入层,全网工作于路由模式。
路由协议的选择:
分类 | 协议 | 算法 | 特点 |
---|---|---|---|
IGP | RIP | DV | 简单;跳数COST;V1和V2 |
OSPF | LS | 分层;带宽COST;快速;无环 | |
ISIS | LS | 与OSPF类似 | |
EGP | BGP | DP | 域间路由;强承载能力;强操控能力;无环 |
当前工程实践中,IGP优选OSPF;ISIS多用于运营商骨干。
BGP除了用于域间路由之外,MPLS/BGP VPN网络也采用。
静态路由常用于无冗余连接的场合。
OSPF设计问题: