網(wǎng)絡(luò)基礎(chǔ)知識一課件

網(wǎng)絡(luò)基礎(chǔ)知識May.2011

內(nèi)容概要常見設(shè)備名稱解釋網(wǎng)絡(luò)構(gòu)成主流專線技術(shù)介紹存儲(chǔ)架構(gòu)SANGFOR機(jī)房建設(shè)相關(guān)機(jī)會(huì)常見設(shè)備名稱解釋網(wǎng)閘：全稱安全隔離網(wǎng)閘，安全隔離網(wǎng)閘是一種由帶有多種控制功能專用硬件在電路上切斷網(wǎng)絡(luò)之間的鏈路層連接，并能夠在網(wǎng)絡(luò)間進(jìn)行安全適度的應(yīng)用數(shù)據(jù)交換的網(wǎng)絡(luò)安全設(shè)備。IPS:入侵預(yù)防系統(tǒng)(Intrusion-preventionsystem)是一部能夠監(jiān)視網(wǎng)絡(luò)或網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)資料傳輸行為的計(jì)算機(jī)網(wǎng)絡(luò)安全設(shè)備，能夠即時(shí)的中斷、調(diào)整或隔離一些不正?；蚴蔷哂袀π缘木W(wǎng)絡(luò)資料傳輸行為。IDS:

入侵檢測系統(tǒng)(DetectionSystems)專業(yè)上講就是依照一定的安全策略，通過軟、硬件，對網(wǎng)絡(luò)、系統(tǒng)的運(yùn)行狀況進(jìn)行監(jiān)視，盡可能發(fā)現(xiàn)各種攻擊企圖、攻擊行為或者攻擊結(jié)果，以保證網(wǎng)絡(luò)系統(tǒng)資源的機(jī)密性、完整性和可用性。做一個(gè)形象的比喻：假如防火墻是一幢大樓的門鎖，那么IDS就是這幢大樓里的監(jiān)視系統(tǒng)。一旦小偷爬窗進(jìn)入大樓，或內(nèi)部人員有越界行為，只有實(shí)時(shí)監(jiān)視系統(tǒng)才能發(fā)現(xiàn)情況并發(fā)出警告。網(wǎng)元設(shè)備網(wǎng)絡(luò)構(gòu)成網(wǎng)絡(luò)構(gòu)成什么是局域網(wǎng)？局域網(wǎng)（LocalAreaNetwork）是在一個(gè)局部的地理范圍內(nèi)(如一個(gè)學(xué)校、工廠和機(jī)關(guān)內(nèi))，將各種計(jì)算機(jī)、外部設(shè)備和數(shù)據(jù)庫等互相聯(lián)接起來組成的計(jì)算機(jī)通信網(wǎng)。什么是廣域網(wǎng)？廣域網(wǎng)（WideAreaNetwork）一種用來實(shí)現(xiàn)不同地區(qū)的局域網(wǎng)或城域網(wǎng)的互連，可提供不同地區(qū)、城市和國家之間的計(jì)算機(jī)通信的遠(yuǎn)程計(jì)算機(jī)網(wǎng)。什么是互聯(lián)網(wǎng)？互聯(lián)網(wǎng)（Internet）即廣域網(wǎng)、局域網(wǎng)及單機(jī)按照一定的通訊協(xié)議組成的國際計(jì)算機(jī)網(wǎng)絡(luò)?；ヂ?lián)網(wǎng)是指將兩臺計(jì)算機(jī)或者是兩臺以上的計(jì)算機(jī)終端、客戶端、服務(wù)端通過計(jì)算機(jī)信息技術(shù)的手段互相聯(lián)系起來的結(jié)果，人們可以與遠(yuǎn)在千里之外的朋友相互發(fā)送郵件、共同完成一項(xiàng)工作、共同娛樂。三種通訊模式單播服務(wù)器組播廣播主機(jī)10.10.1.0/24單播、組播、廣播通過VLAN劃分廣播域廣播域3VLAN30市場部工程部財(cái)務(wù)部廣播域2VLAN20廣播域1VLAN10隔離廣播域隔離網(wǎng)絡(luò)二層訪問增加網(wǎng)絡(luò)安全性、抗病毒能力增加組網(wǎng)的靈活性VLAN中繼TrunkVLAN的延伸：不同交換機(jī)相同VLAN的互通123VLAN1VLAN2VLAN3VLAN1VLAN2VLAN3VLANsVLAN1VLAN2VLAN3VLAN1VLAN2VLAN3中繼鏈路VLAN1、2、3Access口解決方案Ttrunk口解決方案主流專線技術(shù)WAN鏈路技術(shù)之專線技術(shù)

定義：由ISP為企業(yè)遠(yuǎn)程網(wǎng)絡(luò)節(jié)點(diǎn)之間通信提供的點(diǎn)—點(diǎn)專有線路連接的WAN鏈路技術(shù)。ISP總部分部

性能特點(diǎn)：WAN鏈路技術(shù)之專線技術(shù)

專有邏輯鏈接一直在線（安全、高傳輸質(zhì)量）

支持多種物理介質(zhì)與物理接口標(biāo)準(zhǔn)

穩(wěn)定可靠，配置與維護(hù)簡單

使用成本高

典型的專線技術(shù)：DDN專線E1專線POS專線

以太網(wǎng)專線

安全性高、傳輸質(zhì)量好（高帶寬、低時(shí)延）DDN優(yōu)缺點(diǎn)優(yōu)點(diǎn)：1、路由可控的連接，不采用交換連接；所以，傳輸速率高，網(wǎng)絡(luò)延時(shí)小，最高傳輸速率可達(dá)每秒150兆比特，平均時(shí)延小于450微秒；2、全透明傳輸，可支持?jǐn)?shù)據(jù)、圖象、聲音等多媒體業(yè)務(wù)。3、網(wǎng)絡(luò)運(yùn)行管理簡便,并可以組建虛擬專網(wǎng)。缺點(diǎn)：使用DDN專線上網(wǎng)，需要租用一條專用通信線路，租用費(fèi)用昂貴。v.35G.703光纖/銅纜E1SDH/PDHRARBWAN鏈路技術(shù)之專線技術(shù)E1專線從ISP的SDH/PDH傳輸網(wǎng)中為客戶遠(yuǎn)程節(jié)點(diǎn)間通信提供的光纖、銅纜等數(shù)字信道媒介專線連接。標(biāo)準(zhǔn)速率為2.048Mbps。目前在我國中小型企業(yè)的WAN接入中非常主流的一種專線技術(shù)。E1鏈路的E1接口有兩種模式：非信道化E1和信道化E1。光纖/銅纜E1VPDNVPDN英文為VirtualPrivateDial－upNetworks，又稱為虛擬專用撥號網(wǎng)，是VPN業(yè)務(wù)的一種，是基于撥號用戶的虛擬專用撥號網(wǎng)業(yè)務(wù)。即以撥號接入方式上網(wǎng)，通過利用CDMA1x分組網(wǎng)絡(luò)上傳輸數(shù)據(jù)時(shí)，對網(wǎng)絡(luò)數(shù)據(jù)的封包和加密，可以傳輸私有數(shù)據(jù)，達(dá)到私有網(wǎng)絡(luò)的安全級別。VPDN是基于撥號接入(PSTN、ISDN)的虛擬專用撥號網(wǎng)業(yè)務(wù)，基于L2TP技術(shù)，同PPTPVPN、IPSecVPN一樣，都需要客戶端軟件。缺點(diǎn)：安全加密效果差、認(rèn)證方式單一需要安裝客戶端容易掉線SDH優(yōu)缺點(diǎn)優(yōu)點(diǎn)：可靠性高，50ms保護(hù)電路交換，延時(shí)低抖動(dòng)小接口標(biāo)準(zhǔn)化缺點(diǎn)：帶寬效率問題管理、費(fèi)用和復(fù)雜程度擁塞控制能力SDH傳輸網(wǎng)MPLSVPN簡介MPLSVPN是在網(wǎng)絡(luò)路由和交換設(shè)備上應(yīng)用MPLS技術(shù)，簡化核心路由器的路由選擇方式，利用結(jié)合傳統(tǒng)路由技術(shù)的標(biāo)記交換實(shí)現(xiàn)的IP虛擬專用網(wǎng)絡(luò)（IPVPN），可用來構(gòu)造寬帶的Intranet、Extranet，滿足多種靈活的業(yè)務(wù)需求。采用MPLSVPN技術(shù)可以把現(xiàn)有的IP網(wǎng)絡(luò)分解成邏輯上隔離的網(wǎng)絡(luò)，這種邏輯上隔離的網(wǎng)絡(luò)的應(yīng)用可以是千變?nèi)f化的：可以是用在解決企業(yè)互連、政府相同/不同部門的互連、也可以時(shí)用來提供新的業(yè)務(wù)---如為IP電話業(yè)務(wù)專門開辟一個(gè)VPN、以此解決IP網(wǎng)絡(luò)地址不足和QoS的問題，也可以為用MPLSVPN為IPv6提供開展業(yè)務(wù)的可能。MPLSVPN缺點(diǎn)價(jià)格高：相對于使用IPsec通過Internet組網(wǎng)，MPLS的代價(jià)比較高。相當(dāng)于一種準(zhǔn)專線。接入比較麻煩：并不是所有的地方都能夠提供接入?？邕\(yùn)營商不便：由于現(xiàn)在運(yùn)營商之間還有很多協(xié)調(diào)工作沒有完成。而且大家都知道，中國的電信巨頭之間，向來以相互不合作出名。MPLSVPN骨干網(wǎng)解決方案示意圖PEPPPPEPECECECECECECELDPMP-BGP鎮(zhèn)公安/派出所網(wǎng)絡(luò)鎮(zhèn)檢查院網(wǎng)絡(luò)區(qū)公安局網(wǎng)絡(luò)區(qū)檢查院網(wǎng)絡(luò)市公安局網(wǎng)絡(luò)市檢查院網(wǎng)絡(luò)MPLSPE(ProviderEdge):承載網(wǎng)絡(luò)中與用戶網(wǎng)絡(luò)相連的邊緣網(wǎng)絡(luò)設(shè)備CE(CustomerEdge):客戶網(wǎng)絡(luò)中與PE相連接的邊緣設(shè)備P(Provider):這里特指承載網(wǎng)絡(luò)中除PE之外的其他承載網(wǎng)絡(luò)設(shè)備NAS架構(gòu)NAS（NetworkAttachedStorage，網(wǎng)絡(luò)附加存儲(chǔ)）是一種將分布、獨(dú)立的數(shù)據(jù)整合為大型、集中化管理的數(shù)據(jù)中心，以便于不同主機(jī)和應(yīng)用服務(wù)器進(jìn)行訪問的技術(shù)。NAS是部件級的存儲(chǔ)方法，將存儲(chǔ)設(shè)備通過標(biāo)準(zhǔn)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)連接到一群計(jì)算機(jī)上。簡單地說，就是通過網(wǎng)絡(luò)連接的磁盤陣列，因此具備了磁盤陣列的所有主要特征：高容量、高效能、高可靠，所以又稱為網(wǎng)絡(luò)直聯(lián)存儲(chǔ)設(shè)備、網(wǎng)絡(luò)磁盤陣列。通過TCP/IPNETWORK交換數(shù)據(jù)，影響數(shù)據(jù)傳輸速度。不適合承擔(dān)高速度的應(yīng)用。NAS存儲(chǔ)結(jié)構(gòu)SAN架構(gòu)SAN（StorageAreaNetwork，存儲(chǔ)局域網(wǎng)）是獨(dú)立于服務(wù)器網(wǎng)絡(luò)系統(tǒng)之外的高速存儲(chǔ)網(wǎng)絡(luò)，這種網(wǎng)絡(luò)采用高速的光纖通道作為傳輸媒體，以FC（FiberChannel，光纖通道）的應(yīng)用協(xié)議作為存儲(chǔ)訪問協(xié)議，將存儲(chǔ)子系統(tǒng)網(wǎng)絡(luò)化，實(shí)現(xiàn)了真正高速共享存儲(chǔ)的目標(biāo)主機(jī)存儲(chǔ)系統(tǒng)設(shè)計(jì)TCP/IP網(wǎng)絡(luò)管理服務(wù)器SAN存儲(chǔ)交換機(jī)磁盤存儲(chǔ)系統(tǒng)備份系統(tǒng)數(shù)據(jù)庫服務(wù)器應(yīng)用服務(wù)器前置服務(wù)器外部WEB服務(wù)DNS等公共平臺應(yīng)用服務(wù)各類數(shù)據(jù)處理網(wǎng)關(guān)/防病毒/存儲(chǔ)管理服務(wù)器采用SAN存儲(chǔ)架構(gòu)：磁盤陣列１套（12T)磁帶庫1套（12T)備份軟件1套。機(jī)房建設(shè)相關(guān)機(jī)會(huì)機(jī)房內(nèi)容機(jī)房裝修工程防雷接地系統(tǒng)配電系統(tǒng)屏蔽系統(tǒng)綜合布線系統(tǒng)專業(yè)空調(diào)系統(tǒng)監(jiān)控系統(tǒng)網(wǎng)絡(luò)設(shè)備消防系統(tǒng)樓層承重KVM系統(tǒng)濕度監(jiān)測系統(tǒng)機(jī)房建設(shè)特點(diǎn)：周期長資金投入大規(guī)范多安全因素內(nèi)容多機(jī)房建設(shè)相關(guān)機(jī)會(huì)機(jī)房搬遷：由于客戶辦公大樓搬遷或者計(jì)劃新建一個(gè)機(jī)房，現(xiàn)有機(jī)房滿足不了要求，將該做他用。機(jī)房改造：由于現(xiàn)有機(jī)房環(huán)境在防雷、供電、空調(diào)、防靜電以及空間大小等多個(gè)因素條件滿足不了信息化建設(shè)發(fā)展需要，對現(xiàn)有的機(jī)房進(jìn)行重新裝修，使其能夠滿足現(xiàn)在以及未來一段時(shí)間內(nèi)為各種設(shè)備提供一個(gè)良好的擺放空間的改造工程。網(wǎng)絡(luò)升級：一般是指客戶現(xiàn)有的網(wǎng)絡(luò)架構(gòu)的交換能力、帶寬處理能力已經(jīng)滿足不了現(xiàn)有數(shù)據(jù)量存儲(chǔ)交換的要求，需要對網(wǎng)絡(luò)中的交換機(jī)、存儲(chǔ)設(shè)備、服務(wù)器、帶寬等進(jìn)行升級，提高整體網(wǎng)絡(luò)處理能力；網(wǎng)絡(luò)改造：更多的偏向于對現(xiàn)有基礎(chǔ)網(wǎng)絡(luò)的翻新，側(cè)重在內(nèi)部線路的鋪設(shè)（綜合布線）、空調(diào)系統(tǒng)、基礎(chǔ)交換等更新?lián)Q代；系統(tǒng)新建：根據(jù)現(xiàn)有的業(yè)務(wù)需求以及外來業(yè)務(wù)發(fā)展規(guī)劃，現(xiàn)有的系統(tǒng)已經(jīng)滿足不了業(yè)務(wù)的要求，需要新建設(shè)一個(gè)應(yīng)用對業(yè)務(wù)進(jìn)行支撐。大樓/機(jī)房新建/機(jī)房搬遷網(wǎng)絡(luò)安全防火墻/IPS/IDS/網(wǎng)關(guān)殺毒——AC/SG/NGFW網(wǎng)絡(luò)管理行為管理/流量管理/行為審計(jì)/身份認(rèn)證——AC/SG/SSLVPN網(wǎng)絡(luò)優(yōu)化服務(wù)器負(fù)載均衡/線路負(fù)載均衡/上網(wǎng)加速/流量分析——AD/APM引導(dǎo)技巧：給客戶灌輸網(wǎng)絡(luò)整體解決方案概念，告知客戶我們能夠提供全面的方案，從機(jī)房裝修到網(wǎng)絡(luò)搭建以及綜合布線，爭取約拜訪；機(jī)房改造/升級機(jī)會(huì)第一步：明確此次機(jī)房建設(shè)的具體內(nèi)容；機(jī)房弱電工程網(wǎng)絡(luò)改造升級布線工程……第二步：明確方向網(wǎng)絡(luò)改造升級潛在需求機(jī)會(huì)：網(wǎng)絡(luò)安全——AC/SG/AF/SSLVPN服務(wù)器升級擴(kuò)容——AD/APM出口帶寬擴(kuò)容（大小升級、線路增加）——AC/SG/AD機(jī)房口訣：早拜訪，作規(guī)劃，報(bào)方案，集成商；應(yīng)用系統(tǒng)新建需求機(jī)會(huì)如果客戶提到準(zhǔn)備新建一個(gè)應(yīng)用系統(tǒng)，先同客戶明確如下信息（挖坑）：系統(tǒng)使用者是誰，最大并發(fā)數(shù)在哪些辦公場景使用如何保證身份的安全性如何保證系統(tǒng)的穩(wěn)定性系統(tǒng)的架構(gòu)，如何部署主要需求結(jié)合機(jī)會(huì)：AD——服務(wù)器負(fù)載均衡、鏈路負(fù)載均衡，保證系統(tǒng)的穩(wěn)定性SSL——提供安全的遠(yuǎn)程接入，確保系統(tǒng)接入身份合法性APM——對B/S架構(gòu)應(yīng)用系統(tǒng)的性能進(jìn)行分析，提升用戶訪問體驗(yàn)NGFW——確保系統(tǒng)的安全性，防止病毒、木馬攻擊機(jī)房需求拓展切入點(diǎn)

出口帶寬升級擴(kuò)容：了解升級原因，新上業(yè)務(wù)系統(tǒng)/帶寬進(jìn)展，結(jié)合AC產(chǎn)品賣點(diǎn)帶寬管理、行為控制節(jié)省帶寬資源進(jìn)行引導(dǎo)；新增線路：了解增加線路的原因，從訪問速度，系統(tǒng)穩(wěn)定性，線路利用率的角度引導(dǎo)；服務(wù)器升級：了解服務(wù)器升級原因，單點(diǎn)故障/性能瓶頸/備