收藏
下载资源

企业网络解决方案

上传人:夏** 文档编号:568336898 上传时间:2024-07-24 格式:PPT 页数:82 大小:1.15MB
返回 下载 相关 举报
企业网络解决方案_第1页
第1页 / 共82页
企业网络解决方案_第2页
第2页 / 共82页
企业网络解决方案_第3页
第3页 / 共82页
企业网络解决方案_第4页
第4页 / 共82页
企业网络解决方案_第5页
第5页 / 共82页
点击查看更多>>
资源描述

《企业网络解决方案》由会员分享,可在线阅读,更多相关《企业网络解决方案(82页珍藏版)》请在金锄头文库上搜索。

1、八:企业网络解决方案八:企业网络解决方案 1实用精品课件PPT中小型企业网络解决方案中小型企业网络解决方案 2实用精品课件PPT适合24用户n采用24口交换机构建一个一级的小型局域网。主服务器与交换机 ,之间的链路数据流量较大,因此它采用2个100M高速交换端口连接服务器,以免形成传输瓶颈。n24个10M交换端口最多可连接24个桌面用户。此外,它还通过10M接口连接共享网络打印机,普通打印机也可以通过打印服务器的方式共享。n该方案的安全措施可采用路由器内置的软件防火墙,它使路由器在承担远程连接的同时实施数据包检验和过滤,防止非法用户侵入到内部局域网中。 3实用精品课件PPT中型企业网络解决方案

2、中型企业网络解决方案n 4实用精品课件PPTn方案引入了二级联网的方式,骨干层交换机采用了1000M高速交换端口与服务器连接,以满足大容量数据的传输需求。n接入层交换机以10/100M自适应交换端口连接桌面用户。这样便很容易扩充桌面用户数。n骨干交换机和接入交换机的连接则采用了快速以太网通道(FEC)技术,有效地扩展了网络的带宽。这项技术能够把2-4个物理链路聚合在一起,在全双工工作模式下达到400M-800M的带宽。 n安全措施:可采用路由器内置的软件防火墙,也可以采用功能更强大的专用防火墙,根据企业对安全性的要求级别来决定。 5实用精品课件PPT Redundant UplinksRedu

3、ndant Uplinks大型企业网络解决方案大型企业网络解决方案6实用精品课件PPTn采用三级模式:接入层、汇接层、核心层。n接入层交换机是面向桌面用户。n汇接层交换机是多台接入层交换机的集合点,汇接层交换机一般能够通过路由处理器进行三层交换。如Catalyst5000系列交换机。接入层交换机到汇接层交换机采用双冗余连接。n核心层交换机完成整个网络数据快速交换。核心层可采用双核心的冗余连接。7实用精品课件PPTVLAN 介绍8实用精品课件PPTEthernet Broadcast Domain In a flat network, every device sees every transm

4、itted packet9实用精品课件PPTVLANsA VLAN is a broadcast domain10实用精品课件PPTVLANsEngineeringVLANMarketingVLANSalesVLANFloor #1Floor #2Floor #3Physical LayerLAN SwitchHuman LayerNetwork Layer192.20.24.0Routing FunctionInterconnects VLANs192.20.21.0192.30.20.0Data-Link LayerBroadcastDomains11实用精品课件PPTVLANs Esta

5、blish Broadcast DomainsBroadcast Domain 1Broadcast Domain 212实用精品课件PPTScaling the Switch Block with VLANs34125678910Decisions include how many VLANs exist in a switch block and where these devices are placed.Server BlockCore13实用精品课件PPTLayer 2 End-to-End VLAN DistributionLayerCore LayerFast or Gigabi

6、t EthernetWiringClosetFast EthernetFast EthernetWorkgroupServersSwitched EthernetEnterprise ServersInter-VLANRouting14实用精品课件PPTLocal VLANs STP Blocked LinksSTP Blocked LinksRedundant UplinksRedundantUplinksRedundant UplinksHSRPPeersHSRPPeers15实用精品课件PPTEstablishing VLAN MembershipPort-BasedVLAN1VLAN2

7、VLAN3MACAddressesMACAddressesVLAN2MAC-BasedVLAN1MAC Address- Driven (Layer 2)Port-DrivenStaticStaticDynamicDynamic16实用精品课件PPTMembership by Port Maximizes Forwarding Performance VLAN 2VLAN 1VLAN 317实用精品课件PPTVLAN的特征n 一个vlan中的所有设备处于同一个广播域n一个VLAN是一个逻辑的子网或由定义的成员所组成的一个网络段,VLAN之间通信必须要进行路由nVLAN的成员通常是基于交换机的端

8、口号,但也可基于设备的MAC地址而动态设置.18实用精品课件PPTVLAN解决的问题n有效的带宽利用n增强了安全性, VLAN间通信,可利用路由器的安全和过虑功能n负载均衡多条路径,可利用路由协议进行负载均衡.19实用精品课件PPTLink Types接入链路接入链路Access LinksAn access link is a link that is a member of only one VLAN20实用精品课件PPTLink Types (Cont.)干道链路干道链路Trunk LinksA trunk link is capable of carrying multiple VLA

9、Ns21实用精品课件PPTVLAN Frame IdentificationnSpecifically developed for multi-VLAN, inter-switch communicationsnPlaces a unique identifier in the header of each frame, functions at Layer 2 nVLAN identification options:nCisco ISLnIEEE 802.1QVLAN1VLAN1VLAN2VLAN2VLAN3VLAN3BackboneVLAN1VLAN2VLAN322实用精品课件PPTVL

10、AN Identification Using ISLTrunk LinkVLAN100VLAN200 (Port C)VLAN200 (Port A)Trunk LinksVLAN200 (Access Link)XZYWTrunk LinkTrunk LinkFrame12Frame3VLAN200 (Port B)ISL maintains VLAN information as frames travel between switches on trunk linksYFrameISL23实用精品课件PPTVLAN Identification Using IEEE 802.1Qn2-

11、byte tag protocol identifier (TPID) nA fixed value of 0x8100. This TPID value indicates that the frame carries the 802.1Q/802.1p tag information.n2-byte tag control information (TCI)Initial MACAddressInitial Type/DataNew CRC2-Byte TPID2-Byte TCI24实用精品课件PPTConfiguring TrunkingSwitch(config-if)#trunk

12、on | off | desirable | auto | nonegotiateCatalyst 1900Catalyst 2900Switch(config-if)# switchport mode trunkSwitch(config-if)# switchport trunk encapsulation isl | dot1q Catalyst 5500Switch(enable) set trunk on|off|desirable| auto|nonegotiate range isl|dot1q| dot10|lane|negotiate25实用精品课件PPTAdding a V

13、LANSwitch(config)# vlan name Catalyst 1900Catalyst 2900Switch# vlan database Switch(vlan)# vlan name Catalyst 5500Switch(enable) set vlan name 26实用精品课件PPTAssigning Switch Ports to a VLANSwitch(config-if)#vlan-membership static | dynamicCatalyst 1900Catalyst 2900Switch(config-if)#switchport access vl

14、an vlan# Catalyst 5500Switch(enable) set vlan 27实用精品课件PPTVerifying a TrunkCatalyst 2900Switch# show interface switchport Switch# show trunk A | B Catalyst 1900Switch(enable) show trunk mod/portCatalyst 550028实用精品课件PPTVerifying a VLAN / VLAN MembershipCatalyst 2900Switch# show vlan vlan#Switch# show

15、vlan briefSwitch# show vlan vlan#Swotch# show vlan-membershipCatalyst 1900Switch(enable) show vlanCatalyst 550029实用精品课件PPTVLAN 的路由30实用精品课件PPTProblem: Isolated Broadcast DomainsVLAN10VLAN20172.16.20.4VLAN30Because of their nature, VLANs inhibit communication between VLANs.31实用精品课件PPTSolution: Routing

16、 Between VLANsVLAN10VLAN20172.16.20.4VLAN30Communications between VLANs require a routing processor32实用精品课件PPTProblem: Finding the RouteVLAN10Network 172.16.10.0172.16.10.3VLAN20Network 172.16.20.0172.16.20.4I need to send this packet to 172.16.20.4. That address is not on my local segment. Where ca

17、n end-user stations send nonlocal packets?33实用精品课件PPTSolution: Defining a Default GatewayVLAN10Network172.16.10.0172.16.10.3VLAN20Network 172.16.20.0172.16.20.4I know where network 172.16.20.0 is!End-user stations send nonlocal packets to a default routerI will send the packet tomy default router.34

18、实用精品课件PPTVLAN20VLAN10Problem: Supporting Multiple VLAN TrafficVLAN30I have three distinct streams of traffic destined for the same place!? ? File Server A172.16.3.127I need informationfrom File Server A.I need informationfrom File Server A.I need informationfrom File Server A.Multiple VLANs interfac

19、ing with a single route processor require multiple connections or VLAN trunking? ? 35实用精品课件PPTVLAN60VLAN10VLAN30VLAN20Solution: Multiple LinksThe router can support a separate interface for each VLAN36实用精品课件PPTSolution: Inter-Switch LinkThe router can support a single ISL link for multiple VLANsVLAN

20、10VLAN30VLAN20Eth 3/0.1 3/0.2 3/0.33/0.4VLAN60ISL LinkVLAN10VLAN30VLAN2037实用精品课件PPTDistribution Layer Route ProcessorsDistribution LayerThe distribution-layer device is a combination of a high-end switch and a route processor38实用精品课件PPTExternal Route ProcessorSwitch CSwitch ASwitch BVLAN41Network 17

21、2.16.41.3VLAN41Network 172.16.41.4VLAN42Network 172.16.42.539实用精品课件PPTInternal Route Processors VLAN41Network 172.16.41.4VLAN42Network 172.16.42.5VLAN41Network 172.16.41.340实用精品课件PPTRouting Between VLANsVLAN 1VLAN 2ISLinterface fastethernet 0/0 no ip address!interface fastethernet 0/0.1 ip address 1

22、0.1.1.1 255.255.255.0 encapsulation isl 1interface fastethernet 0/0.2 ip address 10.2.2.1 255.255.255.0 encapsulation isl 2FastE0/010.1.1.210.2.2.241实用精品课件PPTDefining a Default GatewayVLAN40VLAN30ASW31#config tEnter configuration commands, one per line. End with CNTL/ZASW31(config)#ip default-gatewa

23、y 172.16.30.163 ASW41#config tEnter configuration commands, one per line. End with CNTL/ZASW41(config)#ip default-gateway 172.16.40.163 172.16.1.163172.16.30.163172.16.40.163 Default Gateway172.16.1.163Default Gateway172.16.1.163Defining a default gateway facilitates inter-VLAN communications42实用精品课

24、件PPT访问控制列表 (ACL)43实用精品课件PPTnACL相当包过滤功能,可以帮助路由器控制数据包在网络中的传输,通过包过滤可以限制网络流量以及增加网络安全性.44实用精品课件PPT ACL规则的方式规则的方式 1、标准包过滤 该种包过滤只对数据包中的源地址进行检查 2、扩展包过滤 该种包过滤对数据包中的源地址,目的地址,协议及端口号进行检查。45实用精品课件PPT包过滤功能配置一 :定义规则1.定义标准包过滤规则,在全局配置状态下: access-list 标识号码 deny 或permit 源地址 通配符 2.定义扩展包过滤规则,在全局配置状态下下, access-list 标识号码

25、deny或permit 协议 源地址 通配符 操作码 端口号目地地址 通配符 操作码 端口号46实用精品课件PPTaccess-list规定的标识号码 包过滤类型 标识号码范围IP 标准 1-99IP 扩展 100-199 可以在指定范围内任意选择一个标识号码定义相应的包过滤规则 47实用精品课件PPTdeny参数表示禁止,pernit表示允许通配符为32位二进制数字,并与相应的地址一一对应。路由器将检查与通配符中的“0”(2进制)位置一样的地址位,对于通配符中“1”(2进制)位置一致的地址位,将忽略不检查。 48实用精品课件PPT通配符n 对某主机IP地址进行匹配n143.89.40.70

26、0.0.0.0nhost 143.89.40.70 n指任何IP皆可n0.0.0.0 255.255.255.255nany49实用精品课件PPTn一个包过滤规则可以包含一系列检查条件,即可以用同一标识号码定义一系列access-list语句 n路由器将从最先定义的条件开始依次检查,如数据包满足某个条件,路由器将不再执行下面的包过滤条件,如果数据包不满足规则中的所有条件,Cisco路由器缺省为禁止该数据包,即丢掉该数据包。 50实用精品课件PPT包过滤功能配置二 :在端口应用包过滤规则 在需要包过滤功能的端口,应用包过滤规则 :在子端口配置模式下ip access-group 包过滤规则标识号

27、 in或out in 表示对进入该端口的数据包进行检查 out表示对要从该端口送出的数据包进行检查51实用精品课件PPTInboundACLRoutingTableIP PacketDenyPacket Discard BucketPermitPermitRouterOutboundInterface52实用精品课件PPTRoutingTableIP PacketOutboundACLPacket Discard BucketPermitDenyRouterOutboundInterface53实用精品课件PPT标准n过滤考虑源IP地址nAccess list 标识号码 199n 例: Rou

28、ter(config)#access-list 10 deny host 172.16.30.2 拒绝所有来自主机 172.16.30.2的数据包 Router(config)#int serial 0 Router(config-if)#ip access-group 1054实用精品课件PPT标准E0S0E1E2InternetFinance172.16.10.0Server172.16.10.5Marketing172.16.3.0Sales172.16.4.0access-list 10 deny 172.16.4.0 0.0.0.255access-list 10 permit an

29、yinterface e0ip access-group 10 out55实用精品课件PPT扩展 Router(config)#access-list permit | deny 操作码 端口号 操作码 端口号 n协议: IP, TCP, UDP, ICMP, GRE, IGRPn操作码 nit: 小于ngt: 大于neq: 相等nneq: 不相等Router(config-if)#ip access-group in | out56实用精品课件PPTn 常用的端口号20 FTP data21 FTP program23 Telnet25 SMTP69 TFTP53 DNS57实用精品课件PP

30、T扩展E0S0E1E2InternetServer172.16.10.5Marketing172.16.3.0Sales172.16.4.0access-list 110 deny tcp any 172.16.10.5 eq 21access-list 110 deny tcp any 172.16.10.5 eq 23access-list 110 permit ip any anyinterface e0ip access-group 110 out58实用精品课件PPT放置ACL的准则n扩展ACL靠近源端n 标准的ACL靠近接受端59实用精品课件PPTIP地址解决方案用户若要访问Int

31、ernet,必须使用一个合法的IP地址。但合法可分配的Internet IP地址有限60实用精品课件PPTIP地址的扩展n固定IP(主机在INTERNE的IP地址不变)n动态IP(主机在INTERNE的IP地址随机 获取)n公有IP (主机在INTERNET的IP地址)n私有IP(主机在LAN内部的IP地址,同样 可分为固定IP 和动态IP )nIPv4(32bit) 和IPv6(128bit)61实用精品课件PPT固定IPn在 传 统 的 IP 网 络 中, 网 络 上 的 每 一 个 设 备 都 有 一 个 永 久 的 IP 地 址。 62实用精品课件PPT动 态 IPn采 用 动 态 分

32、 配 的 方 法,系统 把 公 用 的 IP 地 址 分 配 给 用 户 或 收 回 分 配 给 用 户 的 IP 地 址, 使 它 仍 然 可 以 为 许 多 用 户 公 用。 n一 个 动 态 分 配 的 例 子 如 :25 个 分 散 的 用 户 共 享 10 个 IP 地 址。 如 果 有 一 个 用 户 请 求 一 个 IP 地 址 的 话, 动 态 分 配 方 法 将 把 这 10 个 IP 地 址 中 的 一 个 (随 便 哪 一 个) IP 地 址 分 配 给 这 个 用 户 使 用; 在 这 个 用 户 使 用 完 这 一 IP 地 址 后, 再 收 回 这 一 地 址。 同

33、 一 个 用 户 在 多 次 应 用 中 申 请 到 的 IP 地 址 可 以 不 是 同 一 个。 63实用精品课件PPT网络地址转换器(NAT Network Address Translate) (NAT) 是一种 Internet Engineering Task Force (IETF) 标准,用于允许专用网络上的多台 PC 机(使用专用地址范围,例如 10.0.x.x、192.168.x.x、172.x.x.x)共享单个或多个、 公有的 IPv4 地址。64实用精品课件PPTNAT 的应用环境的应用环境n情况1:一个企业不想让外部网络用户知道自己的网络内部结构,可以通过NAT将内部

34、网络与外部Internet 隔离开,则外部用户根本不知道通过NAT设置的内部IP地址。 n情况2:一个企业申请的合法Internet IP地址很少,而内部网络用户很多。可以通过NAT功能实现多个用户同时公用一个合法IP与外部Internet 进行通信。65实用精品课件PPTNAT 的实现n专门的NAT设备n具有NAT功能路由器66实用精品课件PPTNAT的种类n静态地址转换n动态地址转换n复用动态地址转换67实用精品课件PPT静态地址转换n静态地址转换将内部本地地址与内部合法地址进行一对一的转换,且需要指定和哪个合法地址进行转换。如果内部网络有E-mail服务器或FTP服务器等可以为外部用户提

35、供的服务,这些服务器的IP地址必须采用静态地址转换,以便外部用户可以使用这些服务。 68实用精品课件PPT动态地址转换n动态地址转换也是将本地地址与内部合法地址一对一的转换,但是动态地址转换是从内部合法地址池中动态地选择一个末使用的地址对内部本地地址进行转换。 69实用精品课件PPT复用动态地址转换n复用动态地址转换首先是一种动态地址转换,但是它可以允许多个内部本地地址共用一个内部合法地址。只申请到少量IP地址但却经常同时有多于合法地址个数的用户上外部网络的情况,这种转换极为有用。 n注:当多个用户同时使用一个IP地址,外部网络通过NAT设备利用上层的如TCP或UDP端口号等唯一标识某台计算机

36、。 70实用精品课件PPT复用动态地址转换示例71实用精品课件PPT输出数据包转换的示例72实用精品课件PPTProxy(代理服务器)n代理服务器是介于浏览器和Web服务器之间的一台服务器,有了它之后,浏览器不是直接到Web服务器去取回网页而是向代理服务器发出请求,请求信号会先送到代理服务器,由代理服务器来取回浏览器所需要的信息并传送给用户的浏览器73实用精品课件PPTn大部分代理服务器都具有缓冲的功能,就好象一个大的Cache,它有很大的存储空间,它不断将新取得数据储存到它本机的存储器上,如果浏览器所请求的数据在它本机的存储器上已经存在而且是最新的,那么它就不重新从Web服务器取数据,而直接

37、将存储器上的数据传送给用户的浏览器,这样就能显著提高浏览速度和效率。74实用精品课件PPTn设立代理服务器的好处75实用精品课件PPT一:节省IP开销n所有用户对外只占用一个IP,所以不必租用过多的IP地址,降低网络的维护成本。这样,局域局内没有与外网相连的众多机器就可以通过内网的一台代理服务器连接到外网,大大减少费用。当然也有它不利的一面,如许多网络黑客通过这种方法隐藏自己的真实IP地址,而逃过监视。76实用精品课件PPT二:连接Internet与Intranet 充当firewall(防火墙) n因为所有内部网的用户通过代理服务器访问外界时,只映射为一个IP地址,所以外界不能直接访问到内部

38、网;同时可以设置IP地址过滤,限制内部网对外部的访问权限;另外,两个没有互联的内部网,也可以通过第三方的代理服务器进行互联来交换信息。77实用精品课件PPT三:提高访问速度78实用精品课件PPTDHCPn动态主机配置协议(Dynamic Host Configuration Protocol), n作用:动态处理工作站IP协议的配置,包括IP地址,子网掩码,默认网关等。79实用精品课件PPT与地址映射方面的一些实用程序n winipcfgn ipconfig 80实用精品课件PPT winipcfg和ipconfignwinipcfg和ipconfig都是用来显示主机内IP协议的配置信息.nwinipcfg采用Windows窗口的形式显示具体信息。n包括:网络适配器的物理地址、主机的IP地址、子网掩码以及默认网关等,点击其中的“其他信息”,还可以查看主机的相关信息如:主机名、DNS服务器、节点类型等。其中网络适配器的物理地址在检测网络错误时非常有用。nipconfig 采用字符界面配置信息,其中/all 显示所有的配置信息。81实用精品课件PPTThank You更多精品更多精品 敬请关注!敬请关注!

展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 资格认证/考试 > 自考

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号