《DD010001 IP网络规划概述 ISSUE》由会员分享,可在线阅读,更多相关《DD010001 IP网络规划概述 ISSUE(58页珍藏版)》请在金锄头文库上搜索。
1、DD010001IP网络规划概述 ISSUE1 0 如何规划和设计一个可靠性好 扩展性强 安全性高 便于管理和维护的网络呢 本课程从拓扑设计 地址命名规划 路由选择 安全设计 网络管理五个方面进行了概要性介绍 前言 Page1 学习完此课程 您将会 掌握网络规划的基本原则了解拓扑设计和地址规划原则掌握路由协议选择原则了解网络安全部署原则了解网络管理系统部署原则以及发展趋势 目标 Page2 内容介绍 第1章概要介绍网络规划基本原则 Page3 第1章概要介绍网络规划基本原则1 1网络规划基本原则1 2拓扑规划原则1 3地址和命名规划原则1 4路由协议规划原则1 5网络安全规划原则1 6网络管理
2、系统规划原则 内容介绍 Page4 网络规划基本原则 可靠性原则从设备本身网络拓扑可扩展性原则设备性能可升级的能力IP地址规划 路由协议规划 四大原则 Page5 Page6 网络规划基本原则 可运营性原则网络是否能够提供丰富的业务能否提供足够健壮的安全级别对关键业务的QOS保证可管理原则提供灵活的网络管理平台 利用一个平台实现对系统中的各种类型设备进行统一管理 提供网管对设备进行拓扑管理 配置备份 软件升级 实时监控网络中的流量及异常情况 四大原则 Page7 网络规划流程图 板卡规划 IP地址规划 QOS规划 高级路由协议规划 网管规划 可运营可管理的安全网络 业务隔离及关键业务确保带宽及
3、流量控制 IP连通 物理连通 设备选型 拓扑规划 路由规划 MPLS VPN规划 策略路由 网络安全部署 设备选型 可靠性是否提供关键模块 电源 主控板 的冗余备份 具备何种级别的可靠性转发性能通过某设备的流量 该设备满配最大流量 2 业务支持能力除了普通的IP路由功能外 是否需要该设备支持诸如 NAT 各种VPN 策略路由 等业务属性 CPU ASIC NP 端口支持是否能够提供组网所需要的端口 扩展能力是否能够提供增加板卡以及软件升级提供未来可能需要的性能支持及业务能力支持 CPU ASIC NP 价格因素在综合考虑以上因素的基础上选择适当的设备 只选对的 不选贵的 Page8 第1章概要
4、介绍网络规划基本原则1 1网络规划基本原则1 2拓扑规划原则1 3地址和命名规划原则1 4路由协议规划原则1 5网络安全规划原则1 6网络管理系统规划原则 内容介绍 Page9 网络拓扑规划 层次化 模块化最大化网络性能减小网络实施和故障排除时间节约成本冗余备份降低网络单点失效带来的影响实现负载分担并提高了网络的性能增加了网络的复杂性和成本安全保护核心路由器 分界点 交换机 服务器等防火墙保护网络免受外部攻击 网络拓扑结构特征 Page10 网络拓扑规划 平面网络拓扑结构不分层不分模块 易于设计实施 便于管理适用于小型网络 不便于网络扩展平面分层模型传统大型网络的常用的网络结构 核心层 汇聚层
5、 接入层平面 空间分层模型分层的同时划分平面 不同平面承载不同的业务结构清晰 备份能力好 安全性高的特点 网络拓扑模型 Page11 网络拓扑规划 分层模型 核心层 汇聚层 接入层 QuidwayS8500 8000 6500 QuidwayS5000 QuidwayS3500 QuidwayS2000 QuidwayNetEngine5000E 80E 40E QuidwayAR4600 2800 10G 2 5G RPRMPLSVPN QuidwayNetEngine40 20 QuidwayWA1000 QuidwayNetEngine16E 08E 05 QuidwayMA5200 i
6、TELLINCAMSTM业务平台 QuidwayEudemon100 200 1000 iManagerTMN2000 NMS网络管理平台 MDNTM媒体分发网络 QuidwayS3000 QuidwayS3000 QuidwayS2000 QuidwayRM9000ResourceManager Page12 网络拓扑规划 平面 空间分层拓扑模型 Page13 网络拓扑规划 平面 空间分层拓扑模型 Page14 网络拓扑规划 基本的备份原则备份花费的代价 设备故障带来的损失 N 1备份 关键的设备 链路 模块中任何一个出现故障 不会影响整网运行 拓扑 设备自身 协议的备份接入层备份思路通常选
7、择不具备关键模块冗余功能的设备 通常不考虑双机备份或者仅提供双链路级别上行的备份 冗余备份原则 Page15 网络拓扑规划 汇聚层备份思路通常选择具备关键模块冗余功能的设备 通常考虑双机备份 上行通常提供双链路级别的备份 并且汇聚层设备之间考虑环行连接 核心层备份思路通常选择具备电信局可靠性的设备 在拓扑上考虑核心层设备之间网状或部分网状连接 冗余备份原则 Page16 网络拓扑规划 对称性备份对称方案中主备两种方案所提供的带宽是相等的 备份设备或者备份链路同时也参与运营 非对称性备份非对称方案中备份链路提供较小或相等的带宽 只有在主用链路故障时备份链路才会生效 冗余备份原则 Page17 P
8、age18 对称性备份 网络拓扑规划 网络拓扑规划 非对称性备份 Page19 第1章概要介绍网络规划基本原则1 1网络规划基本原则1 2拓扑规划原则1 3地址和命名规划原则1 4路由协议规划原则1 5网络安全规划原则1 6网络管理系统规划原则 内容介绍 Page20 地址规划 唯一性 一个IP网络中不能有两个主机采用相同的IP地址 连续性连续地址在层次结构网络中易于进行路径叠合 大大缩减路由表 提高路由算法的效率 扩展性地址分配在每一层次上都要留有余量 在网络规模扩展时能保证地址叠合所需的连续性 实意性 望址生义 Page21 Page22 地址规划 Loopback地址概念 逻辑接口 始终
9、Up 规划技巧务必使用32位掩码的地址 最后一位是奇数的表示路由器 是偶数的表示交换机 越是核心的设备 loopback地址越小 互联地址概念 互联地址是指两台网络设备相互连接的接口所需要的地址规划技巧务必使用30位掩码的地址 核心设备 使用较小的一个地址使用连续的可聚合地址业务地址概念 是连接在以太网上的各种服务器 主机所使用的地址以及网关的地址规划技巧所有的网关地址统一使用相同的末位数字 如 254都是表示网关 命名规划 为了管理方便 需要为设备统一命名 AA B YYYY XAA 该设备所属的级别和名称 通常取汉字拼音的首字母缩写 B 设备的厂商名称YYYY 设备型号X 如果前三项相同的
10、设备 用数字编号1 2标识 例地调北海第一台交换机3526E命名 BH H3 S3526E 1厂站冲口AR4640路由器命名 ChongKB H3 AR4640 Page23 命名规划 为了准确表明每个接口对端的连接保证以及带宽 需要为每一个使用的接口配置description描述信息 通常采用以下命名方法 to对端设备名带宽 例descriptiontoZD H3 NE16E 28M该端口对端设备中心备用NE16E路由器 带宽为8M Page24 命名规划 逻辑接口的命名 MP接口 以太网子接口 VLAN接口等 这些接口后面分配的数字应该尽量包含实际的意义 mp groupA B C 接口的
11、A表示槽位 B表示卡位 是固定的 C可以设置为能够包含对端设备信息的数字 例如对端设备loopback接口地址中明确区分自身信息的一位 或者是对端设备所属的OSPF区域号等等信息 以太网子接口务必要将子接口数字与VLAN信息保持一致 VLAN接口的数字要全局统一规划 例如 使用100 200表示VPN的VLAN 使用1000表示网管的VLAN等 Page25 第1章概要介绍网络规划基本原则1 1网络规划基本原则1 2拓扑规划原则1 3地址和命名规划原则1 4路由协议规划原则1 5网络安全规划原则1 6网络管理系统规划原则 内容介绍 Page26 路由协议特征比较 Page27 路由协议选择原则
12、 距离向量协议简单的 扁平的网络拓扑 不需要层次化设计简单的Hub and spoke拓扑管理员缺乏链路状态协议知识和链路状态数据库故障排除能力不需要考虑网络在最坏情况下的收敛时间链路状态协议层次化大型网络管理员有丰富的知识维护链路状态协议快速收敛对网络非常重要 距离向量协议和链路状态协议的选择 Page28 路由协议选择原则 度量影响可扩展性传统距离向量协议只使用跳数新一代路由协议考虑延迟 带宽 可靠性等 路由协议度量方法 层次化与非层次化路由协议 非层次化的路由协议 所有路由器必须完成相同的任务层次化路由协议 不同角色的路由器完成不同的任务 Page29 Page30 路由协议选择原则 内
13、部路由协议运行于同一企业网或自治系统内外部路由协议运行在不同自治系统之间 内部与外部路由协议 有类与无类路由协议 有类路由协议不连续的子网相互之间不可见不支持可变长子网掩码 VLSM 无类路由协议支持不连续子网和可变长子网掩码 VLSM 合理安排子网 以便聚合 路由协议选择原则 静态路由协议手工配置 适用于末梢网络不会有协议报文占用带宽易于故障排除用户对于路径的选择有更高的控制权大型网络中不易管理不了解路由信息的详细情况缺省路由简单 适用于只有唯一进出链路的网络不了解路由信息的详细情况 动态路由协议与静态和缺省路由 Page31 路由协议选择原则 有无关于度量的限制网络变化时路由协议收敛速度路
14、由更新或链路状态通告的频率以及触发方式路由更新传递的信息路由更新对于带宽的占用路由更新的发布范围路由协议对于CPU的占用率是否支持缺省路由和静态路由是否支持路由聚合 路由协议可扩展性 Page32 层次化网络拓扑中路由协议的选择 核心层路由协议的选择提供冗余链路和负载分担推荐使用OSPF IS IS不推荐使用RIP汇聚层路由协议的选择可以使用OSPF IS IS RIPv2接入层路由协议的选择可以使用OSPF RIPv2 静态路由IS IS不适于接入层 Page33 Page34 路由协议之间的重新分发 必要性 重新分发设计原则 路由器上运行不只一种路由协议路由协议之间需要共享路由信息 决定路
15、由域的边界单向分发和双向分发单向分发是指路由信息从一种协议分发到另外一种协议中 相反的方向上使用静态路由或缺省路由 双向分发是指路由信息从一种协议分发到另外一种协议中 反之亦然 使用路由过滤避免一个路由协议将从另一个路由协议中学到的路由又重新通告回该协议不同协议的度量值不同 第1章概要介绍网络规划基本原则1 1网络规划基本原则1 2拓扑规划原则1 3地址和命名规划原则1 4路由协议规划原则1 5网络安全规划原则1 6网络管理系统规划原则 内容介绍 Page35 网络安全 访问策略访问的权限和分级责任策略用户 操作人员 管理人员的责任认证策略有效的口令机制隐私策略合理的隐私监控制度 电子邮件监控
16、 键盘记录等计算机技术购买原则计算机网络系统的配置 审计和安全策略 安全策略 Page36 网络安全 物理安全通过物理隔离手段保护关键的网络资源认证授权认证鉴别用户身份的合法性授权控制已通过认证的用户对于网络资源的使用权限和范围数据加密加密原始数据 防止数据被接受方以外的第三方阅读加密会影响网络的性能 需要在安全和性能之间折中内部网络无需加密通过Internet连通的私有网络 VPN用户等需要加密 安全机制 Page37 网络安全 数据包过滤器保护网络资源 避免网络资源未授权使用 窃取 破坏 防范攻击防火墙物理设备在两个或多个网络边界执行安全策略的设备配置了ACL的路由器 专用的硬件设备 运行在PC Unix系统上的软件防火墙的种类静态数据包过滤防火墙执行逐包检查 转发快 配置简单状态防火墙可以跟踪通信会话并智能地判断流量的准入和丢弃 安全机制 Page38 网络安全 入侵检测系统IDS作用检测恶意攻击事件网络性能的统计和网络异常情况的分析类型主机IDS驻留在单台主机上 只检测该主机网络IDS检测可以感知的所有网络流量 安全机制 Page39 第1章概要介绍网络规划基本原则1 1网络规
