《[信息与通信]M000 0044 IP网络设计基础中文版v11》由会员分享,可在线阅读,更多相关《[信息与通信]M000 0044 IP网络设计基础中文版v11(36页珍藏版)》请在金锄头文库上搜索。
1、课程 XXXX IP 网络设计(M000 0044) Issue1.111.1 IP网络设计1.1.1 总体规划 按照网络设计的分层思想,我们将网络分为:核心层、汇聚层和接入层三个部分。这三部分在功能上有明显差别 ,因此在 IP 设计上,我们有必要对这三个部分区别对待。课程 XXXX IP 网络设计(M000 0044) Issue1.121.1.2 核心层 阀 楔 敎 慭 與 核心层的所有设备应对网络中的每个目的地具备充分的可到达性。核心层设备应该具有足够的路由信息来交换发往网络中任意端设备的数据包。核心层的路由器不应该使用默认的路径到达内部的目的地,尽管这样可以减少路由表规模。 默认路径一
2、般被用来到达外部目的地,例如连接因特网。不采用默认路径的策略有三个原因:1)便于核心层的冗余;2)减少次优化的路径;3)防止路由循环。 不要在核心层内部执行网络策略。任何形式的策略必须在核心层外执行,即使核心层设备可以高速率地过滤和 策略路由数据包,核心层也不应该设计为支持这些任务。如前所述,网络核心层的任务是交换数据包,要避免任何降低核心层设备处理能力或是增加数据包交换延迟时间的任务,此外,应尽量避免增加核心层路由器配置的复杂程度,它可能使网络边界策略执行出错并且导致用户组间失去连通性,甚至会导致整个网络瘫痪。一般将网络策略的执行放在接入层的边界设备上,或者在某些情况下,可放在接入层与汇聚层
3、之间的边界上。只有在某些特殊情况下,才可以将其放在核心层中或核心层与汇聚层之间。课程 XXXX IP 网络设计(M000 0044) Issue1.131.1.3 汇聚层 d 我们使用以下两个主要方法来达到汇聚层设计的三个目标: 路由聚合; 使核心层与汇聚层的连接最小化。汇聚层将大量低速链路(接入层设备的链路)通过少数高速链路接入核心层,以实现通讯量的汇总。该策略可以提高网络中聚合点的效率,同时减少核心层设备可选择的路由数量。课程 XXXX IP 网络设计(M000 0044) Issue1.141.1.4 接入层 與 肰 與 n 将流量引入网络确保此目标得以实现的一个重要前提是接入层路由器所
4、接收的链接数不要超出其与汇聚层之间所允许的链接数。因此在进行接入层设计时,需注意如果不是转发到局域网外的主机流量,就不要通过接入层的设备进行转发。同时,绝不可将接入层的设备作为两个汇聚层路由器之间的连接点。汇聚层路由器之间的链路通常是在需要高冗余度的网络中使用。 控制访问 由于接入层是用户与网络的接入点,因此也是入侵者试图闯入的切入点。我们可以通过包过滤的方式来禁止不希望通过的数据包流通。这样在一定程度上限制了许多利用系统缺陷进行的网络攻击。上面提到,接入层通过配置包过滤,以确保某些网段不再成为网络内外的攻击对象,我们可以通过包过滤技术来实现此目标。一般来说,接入层对黑客防范应该具备以下三种基
5、本过滤器:1)严禁欺骗:仅允许来自某一特定源地址段的数据报文;2)严禁广播源:隔离目的地址为受限广播地址的报文;3)严禁直接的广播(directed broadcast):禁止发往一个任意符合广播地址网段的数据包,直接广播通常用于客户端与服务器端对话的网络系统中。 其它边缘服务课程 XXXX IP 网络设计(M000 0044) Issue1.15数据包发往其它任何路由器之前,还可以在网络边缘执行一些服务,这些服务被称为边缘服务,其中包括:基于转发的 QoS 标记数据包如果您正在使用 IP 电话或进行电视会议时,可能要将其标上较高的 IP 优先级确保时延,这样它们在网络传输时只需最小的延时(假
6、设路由器上已配置了这种数据包优先级的设置);通道关闭通道常用来传输多点流量、没有在核心层上交换的协议及加密流量(虚拟专有链接);流量统计与计数;基于策略的路由。课程 XXXX IP 网络设计(M000 0044) Issue1.161.2 IP地址规划和子网划分 與 與 l设计一个 IP 网络首先要面对的一个问题就是地址规划问题 ,良好的地址规划是进行进一步设计的前提,也为进行有效的地址管理打好基础。为了减少配置任务的数量,可以使用 BOOTP 或 DHCP 等动态分配主机地址的协议动态分配主机地址。我们在后面的讨论一般只精确到子网的划分。课程 XXXX IP 网络设计(M000 0044)
7、Issue1.171.2.1 IP 地址 . 0 與 . 所谓 IP 地址就是给每一个连接在计算机网络中的主机分配一个唯一的 32bit 地址,由类别字段,网络地址和主机地址组成。目前 IP 地址分为 A,B,C,D,E 五类。其中 D 类地址是一种组播地址,主要是留给组播应用使用。E 类地址保留在今后使用。目前实际网上使用的大量 IP 地址仅 A 至 C 类三种。有一些 IP 地址有特殊含义,例如:网络部分为全 0 的地址,这表示“本网络”或“我不知道号码的这个网络”。主机部分为全 0 的地址,这表示该 IP 地址就是网络的地址。主机部分为全 1 的地址,表示广播地址,即对该网络上所有的主机
8、进行广播。网络号码为 127.X.X.X.,这里 X.X.X 为任何数。这样的网络号码用作本地软件回送测试(Loopback test)之用。全 1 地址 255.255.255.255,这表示“向我的网络上的所有主机广播”。课程 XXXX IP 网络设计(M000 0044) Issue1.181.2.2 子网 * #* * IP 地址的设计体现了层次设计思想,但 A、B 、C、D、E 的机械划分造成了 IP地址的严重浪费,为此人们又提出了子网的概念,其主要思想是将原 IP 地址的部分主机位借用为网络位,从而增加网络数目,进而可以分配给更多的单位(地区)使用,由于网络寻址是通过网络位实现的,
9、这也意味着 IP 地址资源得到较充分的利用。TCP/IP 体系规定用一个 32bit 的子网掩码来表示子网号字段的长度。具体的做法是:子网掩码由一连串连续的“1”和其后一连串连续的“0”组成。“1”对应于网络号码和子网号码字段,而“0”对应于主机号码字段。课程 XXXX IP 网络设计(M000 0044) Issue1.191.2.3 地址分配的策略 分配地址可以采取如下四种方法: 按申请顺序在一个大地址池中,取出需要的地址。如果网络规模比较大,地址空间会变的非常混乱(相对于网络拓扑而言),没有简单方法可以实施路由会聚以减少路由表规模。 按行政划分将地址分开,使每一部门都有一组可供其使用的地
10、址。若某个部门分布于不同地理位置,在大规模网络中,这个方案会产生和按申请顺序分配方案相同的问题。 按地域划分将地址分开,使每个地区都有一组可供其使用的地址。 按拓扑方式该方式基于网络的链接点(在某些网络中可能与按地域划分相类似)。这是最本质的方式,因为确定路径可被聚合的最有效方法是根据连结网络的路由器分配地址或者相应的拓扑结构。但是,按拓扑方式分配也有缺点,其中 之一是,如果没有相应的图表或数据库参照,对于确定一些连接之间的上下级关系(比如确定一个部门具体属于哪一个网络)是相当困难的。这种情形下,把它和前面的方法结合起来会达到比较好的效果。我们认为,依据实际情况,组合使用以上方案会是最好的选择。课程 XXXX IP 网络设计(M000 0044) Is
