网络规划与设计知识整理
第一章 网络设计
网络生命周期(p4):PDIOO网络生命周期模型(规划–设计-实现-运行–优化-退役)
规划(planning):确定详细网络需求,并检查现有网络
设计(design):根据初始需求和对现有网络分析中收集到的额外信息设计网络,并于客户一起改进设计方案
实现(Implementation):根据得到认可的设计方案构建网络
运行(Operation):网络开始运转,并且受到监测,这个阶段是设计方案的最终测试
优化(Optimization):会发现和纠正一些问题(或在问题出现前,或发生故障后),若问题太多,重新设计。
退役(Retire):虽然没包含在PDIOO模型中,当升级的代价等于甚至大于重新建设的成本时,则必须考虑网络退役。
技术指标(p8)
网络带宽:指特定时间内通过某个网络的信息量,与网络传输容量和传输能力息息相关
特点:带宽是有限的;带宽不是免费的;带宽是决定网络性能的重要因素;用户对带宽的需求会快速增长。(基本单位1b/s,1比1000换算)
注意:课后选择题,带宽也是用于描述某种网络介质的吞吐能力的
吞吐量:指一组特定的数据在特定的时间段,经过特定的路径所传输的信息量的实际测量值。(理想情况,吞吐量等同于带宽,实际绝对小于带宽,衡量性能时,使用每秒包数PPS、每秒事务数TPS作为单位,在应用层,单位与带宽一样)
影响因素:计算机性能;LAN上其他用户的情况(多个用户同时使用就会下降);网络拓扑设计;传输的数据类型及时间段等。
差错率:数据链路层和网络层都存在差错控制(差错控制与网络传输的服务质量相关)
网络时延:指从发送方发送报文的第一个比特开始,到网络另外一端接收方接收到这个报文的最后一个比特为止所花费的时间。(分为处理时延,排队时延,传播时延,传输时延)
影响因素:网络设备和传输媒体(介质)
网络路由:路由器主要功能是负责接受各个网络入口的分组,并把分组从相应出口转发出去
路由协议应具有稳定性,公平性和最佳性的特点(具体还得根据用户网络间的通信量和网络服务要求来确定)
层次化模型(p11)
由外向内:
接入层:为用户提供接入网络的服务,也称访问层(通过集线器、交换机、网桥、路由器和无线访问点为本地用户提供接入服务)
分布层:提供用户到核心层之间的连接,也叫汇聚层
功能:通过过滤,优先级和业务排队来实现策略;在接入层和核心层之间进行路由选择;执行路由汇总;提供到接入设备和核心设备的冗余连接;把多个低速接入的连接汇聚到高速的核心连接上
核心层:高速的网络骨干(核心层不执行过滤功能)
功能:为了在骨干网上快速地传输数据,核心层应具有高速度、低延时的链路和设备;通过提供冗余设备和链路使得网络不存在单点故障,实现高可靠的网络骨干;使用快速收敛路由协议可以迅速适应网络变化
层次化模型优缺点:
优点:
三层结构减轻了内层网络主设备的负载
降低了网络成本
简化了设计元素
容易变更层次结构
缺点:
处理大型复杂的网络设计时接入层容易引入设计错误,造成网络回环
很难体现不同的安全级别需求
第二章 局域网设计
局域网标准(p16):
IEEE802标准,重点为IEEE802.3CSMA/CD访问方法及物理技术规范
CSMA/CD(载波监听多路访问/冲突检测)工作原理(p18)
所有工作站在发送数据前都要侦听信道,如果信道空闲才开始发送数据,而且在发送数据过程中要不断地进行冲突检测,若冲突则停止,等待后重发。
广播风暴(p26)
指由于网络拓扑地设计和连接问题或其他原因使广播帧在局域网内循环传播,导致网络性能下降甚至网络瘫痪的情况(原因:冗余链路,蠕虫病毒,交换机故障,网卡故障,双绞线线序错误等。生成树协议可避免)
生成树协议(p26)
工作原理:先选择一个交换机作为根网桥(生成树的根),计算出到其他所有交换机的最佳路径,把备用路径设为堵塞状态(逻辑上关闭备用路径),当最佳路径故障再启用备用路径,避免广播风暴。
配置VLAN(p29)
不同vlan要借助三层设备(路由器)实现相互通信
分为静态配置和动态配置
静态:基于交换机端口划分(把那几个端口划去)
动态:基于主机MAC地址划分(需要有VMPS策略服务器,在服务器中存放MAC与vlan间的映射)
第三章 广域网接入设计
ISDN综合业务数字网(p44)
也叫N-ISDN(窄带ISDN),为与B-ISDN宽带综合业务数据网区别
ISDN解决了用户环线的数字传输问题,实现了端到端的数字化。
N与B的区别(现普遍ISDN业务为N-ISDN):
N使用公用电话交换网为基础,B以光纤作为干线和用户环路传输介质
N采用同步时分多路复用技术,B使用异步传输模式(ATM)技术
N通路及速率是预定的,B使用通路概念,速率不是预定的
xDSL数字用户环路(p45)
是HDSL、ADSL、VDSL统称
HDSL高速数字用户环路:提供双向传输速率,上传速度快
ADSL非对称数字用户环路;传输速率更高的技术 ,较充足带宽可传输多种数据,采用特殊的信号(混合信号)调制技术(应用最广)
VDSL超高速数字用户环路:速率比A更高,但以缩短传输距离为代价
ATM异步传输模式(p45)
用户信息被组织成信元,因此不需要统一步调发送数据,所以称为异步传输。
ATM模型从上到下分为:高层协议、ATM适配层、ATM层、物理层
特点(综下,ATM适用于高速交换业务):
ATM是一种面向连接技术,采用小且固定长度的数据传输单元53B;各类信息均可通过信元为单位传送;以时分多路复用方式分配网络带宽,时延小,满足实时通信要求;没有对链路的纠错与流量控制,协议简单,数据交换效率高。
第四章 IP地址和路由规划
NAT(网络地址转换)工作原理(p53):使用私有地址的话,数据发到互联网时,私有地址转换为公有地址,数据从互联网返回时,这些公有地址又必须转换回私有地址
划分子网(p54):A、B、C类,计算题之类
RIP路由规则:(大题计算)
(以上两种题目在往期文章有,文章名为“网络练习题”,可进主页查看)
路由度量(p59):
以下度量方法(一般组合度量,例如:同时考虑带宽、时延):
跳数:跳数最少为最佳
带宽:带宽最小最不理想
时延:累计时延最小为最佳
代价:与带宽成反比,最慢代价最高最不理想
负载:利用率高(当前使用了多少带宽)最佳
可靠性:成功传输报文的可能性
路由协议分类//四种分类方法(p59)
1.内部和外部路由协议
自治系统(AS)是指由一个组织所控制的网络。该系统内部使用就为内部网关协议IGP,外部就为外部网关协议EGP。
IGP目的为寻找AS内所有路由器间最短路径,常见IGP有RIP、OSPF
EGP维护AS之间的“信息可达”,常用的EGP有BGP-4
2.距离矢量路由协议(V-D协议)和链路状态路由协议(L-S协议)
V-D:要求路由器之间定期交换路由更新报文,该报文包含到目的网络的距离矢量(周期进行),常见的有RIP、IGRP
L-S:每个路由器在网络发生变化时,可以向其他all路由器(一般为一个区内)发送自己的接口(链路)状态。常见的有OSPF、中间系统到中间系统协议IS-IS
3.平面型路由协议和层次型路由协议
平面型:将路由信息在整个网络内扩散,但网络规模越大,代价越大
层次性:路由器分层次、分区域,路由器只知道本区域的路由情况,常见的有OSPF、IS-IS
4.类别化路由协议和无类别化路由协议
类别化:路由更新信息不包含子网掩码(或前缀长度),必须为自己收到的路由信息确认掩码,所以必须用定长掩码和连续子网,常见的有RIPv1、IGRP
无类别化:包括了子网掩码(或前缀长度),不用设备确认掩码,所以可用变长掩码与不连续子网,常见的有RIPv2、OSPF、IS-IS、BGP-4
第五章 无线局域网设计
无线局域网频段(p71)
两种无线电扩频技术:跳频扩频(FHSS)、顺序扩频(DSSS)
三个无须授权(开放)无线频段(这三个也称ISM频段):
900MHz频段 902MHz~928MHz,常用于无绳和蜂窝电话
2.4GHz频段:2.42GHz~2.4835GHz,目前最广泛部署的无线标准
5GHz频段:5.725GHz~5.850GHz。常用于高速数据通信装置
无线局域网标准(p72)
Wlan采用的标准为IEEE802.11系列,有IEEE802.11a、b、g
a工作频段为5GHz,目前已逐渐被g取代
b带宽最高达11Mb/s,用的是2.4GHz频段,可独立组网,使用户摆脱网线束缚,实现真正意义的的移动应用,目前最流行的
g传输速率达54Mb/s,比b快近四倍,频段与b一样,与b兼容,g也称WIFI技术
MAC协议(p73)
MAC子层协议与IEEE802.3原理类似,都是用CSMA/CA协议,避免网络冲突,大幅度提高网络效率(CSMA/CA概念看前面)
信道空闲,继续等待IFS(帧间隔)时间,继续侦听,仍然空闲,立即发送
信道忙,继续侦听,直到传输完全结束
传输结束,等待IFS时间,侦听,仍空闲,按指数后退一个随机长的时间后,发送数据
无线局域网设计注意事项(p76)
站点测量:为确定所需AP数量和部署位置(例:哪种无线网络适合,天线间是否存在可视距离,应把AP部署在哪,建筑有无潜在干扰源
WLAN漫游:漫游范围,吞吐量与到AP距离有关(怎么安排范围,才能做到无缝跳到另一AP)
点到点网桥:两AP采用无线网桥进行(逻辑网桥)连接,此时不能作为无线访问点用,这是在没有条件部署有线网络情况下作为近距离连接的解决方案(个人理解:两建筑无法拉网线,通过两无线连在一起,无线发挥有线的作用)
第七章 网络安全设计
恶意软件(p101)
病毒:修改并感染目标程序的程序,可损坏软件、硬件、文件
可执行性、传染性、潜伏性、可触发性、破坏性、攻击的主动性、针对性、隐蔽性
蠕虫:允许别人控制你电脑,可大量复制,是网络通信负担沉重,网络速度减慢
特洛伊木马:运行在被攻击者电脑,建立连接后,攻击者再攻击
拒绝服务攻击(p103)
DoS攻击:常见形式为SYN泛洪,向服务器发送无数个TCP同步请求(SYN请求),耗尽你资源,让你无法连接其他请求
DDoS攻击(扩散的DoS攻击,该攻击也叫僵尸网络):先用漏洞控制一批主机,将其变为DDoS代理(也叫僵尸主机),攻击命令先发给主控端和这些代理,由这些代理发送无数报文
威胁防御//5点(p105)
病毒防护:防毒、查毒、解毒
措施:使用高强度口令、经常备份数据、定期检查敏感文件
流量过滤:
静态报文过滤(无状态报文过滤):边界路由器实现,只检查IP地址,会被伪装IP欺骗
动态报文过滤(状态报文过滤):防火墙实现(一些路由器也可),会检查更多,源IP、目的IP、源端口、目的端口、TCP相关信息等
防火墙:类型有:包过滤、应用网关型、代理服务型、复合型。(各类型具体看书p107)
防火墙设计考虑:基本准则(未经允许就是拒绝,未说明拒绝均为许可)、安全策略、防火墙费用、防火墙的部署
入侵检测和入侵保护:入侵检测系统IDS、入侵保护系统IPS
IDS由信息收集、信息分析、响应处理组成(信息分析又包括模式匹配、统计分析、完整性分析)
IDS分类为基于主机的、基于网络的、混合型IDS
IPS让防火墙与IDS结合联动
内容过滤:URL统一资源定位器过滤、E-mail过滤
安全通信(主要为VPN与专线区别、IpsecVPN与SSLvpn区别,文件加密与数字加密理解)
P111
VPN与专线区别:与传统专线网络相比,VPN优势有:廉价的网络接入、严格的用户认证、
高强度的数据保密p113
IpsecVPN与SSLvpn区别(p116):
IpsecVPN | SSLvpn |
多用于网-网连接 | 用于移动客户-网连接 |
需安装专门的客户端软件 | 移动用户使用浏览器即可,无需安装 |
基于网络层 | 基于应用层 |
客户端要有NAT穿透功能才能穿透防火墙 | 不受上网方式限制,可穿透防火墙 |
基于IP五元组对用户进行访问控制 | 细粒度访问控制更细致,与第三方认证系统结合更加便捷 |
文件加密(p116)
两种情况:对信息本身要求安全保密,用加密算法对文件完整加密
仅仅验证信息的完整性、真实性、不可否认性,不需要完整加密,用签名即可
(第二种情况就是数字签名,私钥用来签名,公钥用来验证签名)
因公钥加密算法慢,所以不对整个文档签名,通过散列(HASH)算法对摘要签名,就快。
数字签名保证:
接收方能够验证发送方所宣称的身份;发送方不能否认报文是他发送的;接收方自己不能伪造该报文
第八章 服务质量(QoS)
QoS模型p123
选择两种模型部署端到端的QoS
综合服务模型(IntServ) | 区别服务模型(DiffServ) |
发送报文前需向网络申请特定服务 | 发送报文前不需通知路由器,网络不需为每个流维护状态 |
请求通过信令完成的,有明确信令机制 | 不用明确向网络发送信令 |
该环境,应用使用资源预留协议RSVP,向网络设备说明请求(不支持RSVP,就不能实现QoS) | 不需要全网设备都支持RSVP,没这缺陷 |
网络设备保存有关报文流信息,通过队列机制和管制方法使网络流得到他们需要的资源, | 不需要对每个流都维持一个软状态,也就不会导致设备性能下降,没这缺陷 |
IntServ提供两类型服务:
保证速率服务:允许应用预留带宽以满足它们需求
可控负载服务:允许应用请求低时延、高吞吐量服务,网络拥塞也可
DiffServ处理效率高,但在构建网络时,需要对网络中路由器设置相应规则,使配置管理比
较复杂
QoS工具(p125)
分类和标记:
分类:设备可基于任意OSI层的数据进行分类
标记:边界设备可以在2层数据帧和3层报文中进行标记,通过某些特定字段标记数据帧或报文的优先级
管制和整形:
管制:控制接口发送和接受流量的最大速率
整形:使目标接口的速率相匹配,或确保流量符合特殊的策略
四种整形方法:通用流量整形GTS、基于类别的整形、分布式流量整形DTS、帧中继流量整形FRTS
拥塞避免:管理队列尾部,监测网络流量负载,以便在出现问题前预测并避免拥塞
机制:随即早期检测RED,加权早期检测WRED,显式拥塞通知ECN
拥塞管理:管理队列头部,拥塞前对拥塞实施控制,可看作排队、调度两个独立过程
多种队列算法:优先级队列PQ、自定义队列CQ、加权公平队列WFQ,IP实时传输协议RTP(IP RTP优先级队列、CBWFQ(WFQ的进阶),LLQ(CBWFQ和PQ的组合)
链路专用工具:在点到点WAN连接两端使用该工具可减少带宽需求或传播时延。
该工具包括报头压缩(减少带宽利用率)、链路分叉和交叉LFI(减少时延)
第十章 网络应用服务设计
DNS解析过程(迭代解析)p148:工作在OSI的应用层,当通信时,只要知道主机名(DNS服务器用主机名作为关键字查找),通过本地DNS客户端软件向DNS服务器发送请求,请求远程计算机IP地址,先在服务器的高速缓存找,没有,就去数据库找,有就返回远程计算机ip地址,还没有就代表不在本地DNS服务器,本地DNS就会向主机名相关的根域名服务器查,从根->顶级域->二级域,直至找到,返回。
DNS分类和配置(p150)
主DNS服务器:完成分区内主机名及其相关信息的管理、更新、维护,启动时会装载数据库信息,主DNS可代理分区内其他DNS服务器也可代理分区外的
辅助DNS服务器:对分区内主DNS服务器的数据库信息备份。(辅助启动时,向主请求数据库信息,此后会定期向主请求同时比较数据库文件修改日期,相同不改,不同则更新辅助数据库信息,从主自动下载更新,数据库文件序列号YYYYMMDDNN,年月日修改次数)
缓存服务器:利用服务器缓存来存储从上级域或其他DNS域收到的信息,一直到信息过期或作废为止,没代理权限,不管理与维护数据库
安装与配置:向当地InterNIC(网络信息中心)申请IP地址->向当地域名管理机构申请注册域名->获取DNS应用软件包->安装BIND软件包->配置主DNS服务器->配置辅助DNS服务器(具体配置看书p151)
FTP工作原理(p159)
主动模式(端口模式):服务器打开21号端口等待客户端请求->客户端与服务器建立控制连接->客户端打开大于1024的空闲端口,请求服务器向此端口发送数据->服务器用20端口主动连接客户机大于1024的随机端口
被动模式:服务器打开21号端口等待客户端请求->客户端与服务器建立控制连接->服务器被动打开大于1024的空闲端口,等待客户端向此端口发送数据->客户端用大于1024的随机端口连接服务器大于1024的随机端口
(区别:主动是由服务器发起数据传输请求,20为数据端口,21为控制端口,被动由客户端发起数据传输请求,并确定数据传输使用的端口)
一些协议
发邮件:SMTP简单邮件传输协议
收邮件:POP3、IMAP
FTP文件传输协议、DHCP动态主机配置协议
附录A
一层设备(p193)
中继器:用于两网络节点之间物理信号的双向转发工作。主完成物理层功能,完成信号复制、调整和放大功能以此延长网络长度,中继器解决损耗一定程度会造成信号失真导致接受错误这一问题。但功能有限,作为范围也有限,还会导致主机冲突
集线器(多口中继器):牛一点的中继器,拓扑从直线型结构变为星型结构。
无源型集线器:无电源,靠物理介质共享连接
有源型:将信号放大,再从其他口转发出去
智能型:比有源型多了微处理器有诊断功能
限制:从多个独立冲突域变为一个更大的冲突域,冲突可能性更大;不能将工作在不同速率的网段互连;两台主机间的最大距离以及在多级设计中允许的最大级数都有限制
二层设备(p195)
网桥:工作在数据链路层,将两个网段连接起来,根据MAC地址来转发帧,是本地通信限制在本地网段,可以隔离冲突域。
工作原理:刚开始,网桥会自动机下各主机MAC地址,直至地址表建完,数据通过网桥时,若目的设备域数据帧在同一网段就阻止通过(称过滤),目的设备位于不同网段,那么将转发到适当网段上,若网桥不知道目的地址,则转发至其余所有端口(叫泛洪)
交换机(多端口网桥):网桥只有两口,交换机有多口。
有两个基本操作:
交换数据帧:从输入介质上接受帧再从输出介质上发送出去
交换表的维护:交换机建立和维护交换表并查找环路
交换机与集线器区别(p196)
交换机 | 集线器 |
不同端口可同时接受发送,大幅度提高传输速率 | 一段时间内只允许一个端口上发送接收 |
传输方式只向目的端口转发,交换表没有才泛洪 | 传输方式只有泛洪 |
每个端口具有自己的带宽(不会平分) | 共享总带宽(会平分掉) |
三层设备(路由器//OSI中网络层工作)
(路由器的区别p198)
基本条件:有两个或两个以上的接口、协议至少实现到网络层、具有存储、转发和路由功能、运行一组路由协议
路由器可对第二层的广播帧过滤,起到隔离广播域作用,最大缺点为不能即插即用,要人工配置,对报文的处理时间通常比交换机更长。