redlinux

 

CCNA第三章

就是在一个物理位置上用逻辑把他们独立起来,简单是说就是把一个交换机划分为多个虚拟交换机,从而可以控制不通的用户访问的权限也不同。
使用 VLAN 主要有以下优点:
? 安全 - 含有敏感数据的用户组可与网络的其余部分隔离,从而降低泄露机密信息的可能性。教师计算机位于 VLAN 10 上,完全与学生数据传输和访客数据传输相隔离。
? 成本降低 - 成本高昂的网络升级需求减少,现有带宽和上行链路的利用率更高,因此可节约成本。
? 性能提高 - 将第 2 层平面网络划分为多个逻辑工作组(广播域)可以减少网络上不必要的流量并提高性能。
? 广播风暴防范 - 将网络划分为多个 VLAN 可减少参与广播风暴的设备数量。
? 提高 IT 员工效率 - VLAN 为管理网络带来了方便,因为有相似网络需求的用户将共享同一个 VLAN。当您为特定 VLAN 设置新的交换机时,之前为该 VLAN 配置的所有策略和规程均会在指定新交换机端口后应用到端口上。另外,通过为 VLAN 设置一个适当的名称,IT 员工很容易就知道该 VLAN 的功能。
? 简化项目管理或应用管理 — VLAN 将用户和网络设备聚合到一起,以支持商业需求或地域上的需求。通过职能划分,项目管理或特殊应用的处理都变得十分方便。
VLAN ID 范围:
普通范围的 VLAN
? 用于中小型商业网络和企业网络。
? VLAN ID 范围为 1 到 1005。
? 从 1002 到 1005 的 ID 保留供令牌环 VLAN 和 FDDI VLAN 使用。
? ID 1 和 ID 1002 到 1005 是自动创建的,不能删除。随着本章内容的展开,我们将更深入地了解 VLAN 1。
? 配置存储在名为 vlan.dat 的 VLAN 数据库文件中,vlan.dat 文件则位于交换机的闪存中。
? 用于管理交换机之间 VLAN 配置的 VLAN 中继协议 (VTP) 只能识别普通范围的 VLAN,并将它们存储到 VLAN 数据库文件中。
扩展范围的 VLAN
? 可让服务提供商扩展自己的基础架构以适应更多的客户。某些跨国企业的规模很大,从而需要使用扩展范围的 VLAN ID。
? VLAN ID 范围从 1006 到 4094。
? 支持的 VLAN 功能比普通范围的 VLAN 更少。
? 保存在运行配置文件中。
? VTP 无法识别扩展范围的 VLAN。
一台 Cisco Catalyst 2960 交换机可支持最多 255 个普通范围与扩展范围的 VLAN。
VLAN类型:
     数据 VLAN:数据 VLAN 只传送用户产生的流量。VLAN 也可以传送语音流量或用于传送管理交换机的流量,但这种流量可以从数据 VLAN 隔离开。
     默认 VLAN:在交换机初始启动之后,交换机的所有端口即加入到默认 VLAN 中。(Cisco 交换机默认VLAN是VLAN 1,你能删除,也不能重命名)
     本征 VLAN:本征 VLAN 分配给 802.1Q 中继端口。本征 VLAN 在 IEEE 802.1Q 规范中说明,其作用是向下兼容传统 LAN 方案中的无标记流量。对我们来说,本征 VLAN 的目的是充当中继链路两端的公共标识。最佳做法是使用 VLAN 1 以外的 VLAN 作为本征 VLAN。
     管理 VLAN:管理 VLAN 是您配置用于访问交换机管理功能的 VLAN。。如果您没有主动定义一个唯一的 VLAN 作为管理 VLAN,则 VLAN 1 会默认充当管理 VLAN。
     语音 VLAN:
                VoIP 流量要求:
? 足够的带宽来保证语音质量
? 高于其它网络流量类型的传输优先级
? 能够在融合网络中得到路由
? 在网络上的延时小于 150 毫秒 (ms)
            Cisco IP 电话集成了一台三端口的 10/100 交换机,如图所示。从这些端口可连接到如下设备:
? 端口 1 连接到交换机或其它 IP 语音 (VoIP) 设备。
? 端口 2 是内部 10/100 接口,用于传送 IP 电话流量。
? 端口 3(接入端口)连接到 PC 或其它设备。
 
网络管理流量和控制流量:
    网络上可以存在许多不同类型的网络管理流量和控制流量,例如 Cisco 发现协议 (CDP) 更新、简单网络管理协议 (SNMP) 流量和远程监控 (RMON) 流量。
IP 电话:
IP 电话的流量类型包括信令流量和语音流量。信令流量从网络一端发送到另一端路径,负责呼叫的建立、执行和终止。
IP 组播:
    IP 组播流量从特定的源地址发送到某个组播组中,该组播组由一个 IP 与 MAC 目的组地址对所标识。
普通数据:
     涉及普通数据流量的有:文件创建和存储、打印服务、电子邮件数据库访问以及其它常用于商业用途的共享网络应用程序。
Scavenger 类型:
      Scavenger 类型的作用是为某些应用程序提供等级比“尽最大努力”服务更低的服务。
交换机端口成员资格模式:
VLAN 交换机端口模式:配置 VLAN 时,必须为它分配一个数字 ID,也可根据需要为其指定一个名称。VLAN 实施过程中需要以灵活的方式将端口与特定的 VLAN 相关联。要将帧转发到特定的 VLAN,您必须配置相应的端口。可以将端口配置为以下 VLAN 类型:
? 静态 VLAN - 交换机上的端口以手动方式分配给 VLAN。静态 VLAN 通过 Cisco CLI 配置,也可通过 GUI 管理应用程序(例如 Cisco Network Assistant)完成配置。
? 动态 VLAN - 可以根据源MAC地址来自动的给他分配VLAN。
? 语音 VLAN - 将端口配置到语音模式可以使端口支持连接到该端口的 IP 电话。
通过VLAN控制广播域:
    没有 VLAN 的网络:以常规方式运作时,如果交换机在某个端口上收到广播帧,它会将该帧从交换机的所有端口上转发出去。
    有 VLAN 的网络:那么交换机会对数据帧的VLANID部分进行查看,然后只会发送给相同VLAN的用户。
    通过交换机和路由器控制广播域:将大型的广播域细分成几个较小的广播域可以减少广播流量,并提升网络性能。
VLAN 内通信:当用户需要和其他VLAN的用户通信时,数据包就是发送给网关设备(第3层设备)有网关设备进行发送。
SVI:SVI 是针对特定 VLAN 配置的逻辑接口。如果您想要在 VLAN 之间路由或想使 IP 主机连接至交换机,则需要配置 SVI。默认情况下会为默认 VLAN (VLAN 1) 创建一个 SVI,以方便远程管理交换机。
VLAN中继:
     VLAN 中继的定义:中继是两台网络设备之间的点对点链路,负责传输多个 VLAN 的流量。VLAN 中继可让 VLAN 扩展到整个网络上。(VLAN 中继不属于具体某个 VLAN,而是作为 VLAN 在交换机或路由器之间的管道。)
     802.1Q 帧标记:请记住,交换机属于第 2 层设备。它只根据以太网帧头信息来转发数据包。帧头本身并不包含到底太网帧应该属于哪个 VLAN 的相关信息。因此,当以太网帧进入中继后,以太网帧需要额外的信息来标识自己属于哪个 VLAN。(当交换机在配置了静态 VLAN 的接入模式端口上收到帧后,交换机会拆开该帧、插入 VLAN 标记、重新计算 FCS,然后将标记后的帧从中继端口发送出去。)
     VLAN 标记字段详细信息:VLAN 标记字段包含一个 EtherType(以太类型)字段、一个标记控制信息字段和 FCS 字段。
     EtherType 字段:此字段设置为十六进制值 0x8100。此值也称为标记协议 ID (TPID) 值。通过将 EtherType 字段设置为 TPID 值,收到帧的交换机便知道去查找标记控制信息字段中的信息。
     标记控制信息字段:
     标记控制信息字段包含:
? 3 位的用户优先级 - 用于 802.1p 标准,此标准指出如何加速第 2 层帧的传输。
? 1 位的规范格式标识符 (CFI) - 使令牌环帧轻松地通过以太网链路传送。
? 12 位的 VLAN ID (VID) - VLAN 标识号,最多支持 4096 个 VLAN ID。
FCS 字段:交换机插入 EtherType 字段和标记控制信息字段后,它会重新计算 FCS 值并将结果插入帧中。
本征VLAN和802.1Q中继:
     本征VLAN上有标记帧:
? 被交换机丢弃
? 设备不应当标记发往本征VLAN的控制流量
本征VLAN上的无标记:
? 将PVID更改为以配置的本征VLAN的值
? 保持为无标记
? 在以配置的本征VLAN上转发
中继工作方式:
     到一个数据包时会检查接受此数据帧的端口是否有标记,有就给数据帧加上标记
(VLANID)到达目的地时就会将标记删除转发给终端设备。
中继模式:传统网络可能仍在使用 ISL,因此有必要了解这两种中继端口。
? IEEE 802.1Q 中继端口同时支持有标记流量和无标记流量。802.1Q 中继端口分配有默认的 PVID,所有的无标记流量都在端口默认 PVID 上传输。所有无标记流量以及 VLAN ID 为空的有标记流量都被视为属于端口默认 PVID。如果数据包的 VLAN ID 等于传出端口的默认 PVID,则该数据包将作为无标记流量发送。所有其它的流量则会附加 VLAN 标记后发送。
? 在 ISL 中继端口上,所有收到的数据包都应该封装有 ISL 帧头,并且所有发送的数据包也都有 ISL 帧头。从 ISL 中继端口收到的本征帧(无标记帧)会被丢弃。ISL 是不再建议使用的一种中继端口模式,许多 Cisco 交换机也不再支持该模式。
DTP(动态中继协议)是 Cisco 的专有协议。其它厂商的交换机不支持 DTP。当交换机端口上配置了某些中继模式后,此端口上会自动启用 DTP。

posted @ 2012-07-10 11:58 红帽操作 阅读(84) | 评论 (0)编辑 收藏

CCNA第二章

第二章

交换机的基本概念和配置:

Ethernet/802.3网络的关键要素:

  载波侦听多路访问/冲突检测(CSMA/CD)

           CSMA/CD 仅用于集线器中常用的半双工通信。全双工交换机不使用 CSMA/CD。载波侦听:在 CSMA/CD 接入方法中,要发送报文的所有网络设备必须在发送之前进行侦听。如检测到信号则等待,如果没有则发送,在发送过程中设备仍会继续侦听 LAN 中的流量或冲突。多路访问:如果设备之间的距离造成一台设备的信号延时,也就是说,另一台设备无法检测到信号,则另一台设备可能也会开始发送。报文将在介质中传播,直到相互碰头。此时,双方的信号就会混合,报文被损坏,从而形成冲突。冲突检测:当设备处于侦听模式下,它可以检测到共享介质中何时发生冲突,因为所有设备均可检测到信号振幅的增长高于正常水平。堵塞信号和随机回退:检测到冲突之后,发送设备将发出堵塞信号。堵塞信号通知其它设备发生了冲突,以便它们调用回退算法。回退算法将使所有设备在随机时间内停止发送,以让冲突消除。

        以太网通信

            交换 LAN 网络中的通信以三种方式进行:单播、广播和组播:

        单播:就是只有一个发送方和一个接收方。

        广播:就是只有一个发送方,但是所有连接的设备都能收到。

        组播:就是发送方发送的数据只有感兴趣的设备才会收到。

        以太网帧:

        前导码和帧首定界符字段:“前导码”(7 个字节)和“帧首定界符 (SFD)”(1 个字节)字段用于实现发送设备与接收设备之间的同步。帧的这前 8 个字节用于引起接收节点的注意。前几个字节的实质作用是告诉接收方准备接收新帧。

        目的 MAC 地址字段:字段(6 个字节)是目标接收方的标识符。

        源 MAC 地址字段:字段(6 个字节)标识帧的源 NIC 或接口。

        长度/类型字段:字段(2 个字节)定义帧的数据字段的确切长度。此字段后来被用作帧校验序列 (FCS) 的一部分,用来确认是否正确收到报文。此处只能输入帧长度或帧类型。如果该字段用于指定类型,则“类型”字段将说明采用哪个协议。当节点收到帧,并且“帧/类型”字段指定的是类型时,节点可确定存在的高层协议。如果大于等于十六进制值 0x0600 或十进制值 1536,则是表示协议。如果小于十六进制值 0x0600,则表示的是数据的长度。数据和填充位字段:字段(46 到 1500 个字节)包含来自更高层的封装数据,这些数据是通用第 3 层 PDU 或者更常见的 IPv4 数据包。如果帧长度不足64个字节那么将使用填充到64个字节。

帧校验序列字段:FCS 字段(4 个字节)检测帧中的错误,它使用的是循环冗余校验 (CRC)。MAC 地址:以太网 MAC 地址是一种表示为 12 个十六进制数字,MAC 地址是由组织唯一标识符 (OUI) 加上厂商分配号构成的。OUI 是 MAC 地址的前半部分。其长度为 24 位,标识网卡的制造商。在 OUI 内,有 2 个位仅在目的地址中使用时才有意义,它们是:广播位或组播位:此位指示接收接口,帧的目的地是 LAN 网段中的所有最终工作站或一组最终工作站。厂商分配号MAC 地址中的厂商分配部分为 24 位长,并唯一标识以太网硬件。它可以是 BIA,也可以根据本地位所示通过软件修改。

        双工设置:

用于以太网通信的双工设置有两种:半双工和全双工:

半双工:即代表性的设备就是对讲机。使用CSMA/CD。

全双工:仅限于点对点的通信,冲突检测电路关闭。但需要双方都支持全双工。

交换机端口设置:

Cisco Catalyst 交换机有三种设置:

?        auto 选项设置双工模式自动协商。启用自动协商时,两个端口通过通信来决定最佳操作模式。

?        full 选项设置全双工模式。

?        half 选项设置半双工模式。

对于快速以太网和 10/100/1000 端口,默认为 auto。对于 100BASE-FX 端口,默认为 full。当 10/100/1000 端口设置为 10Mb/s 或 100Mb/s 时,它们可在半双工或全双工模式下工作,而当设置为 1,000Mb/s 时,它们只能以全双工模式工作。

auto-MDIX:使用此功能后,你的线路无论是交叉线还是直连线都可以通信。现在的交换机默认都开启了此功能。

MAC 寻址和交换机 MAC 地址表:

MAC寻址的过程:是当A要和B通信时,A发送数据包要经过交换机,交换机会提取A数据包的目的MAC地址,然后在交换机的MAC地址表中查找,如果能够找到则转发,如果未能找到则向除接收端口以外的所有端口转发。(如果有回应则将MAC地址和端口的对应关系加到MAC地址表中,这就是交换机的MAC地址学习过程)

       交换机的MAC地址表:就是用来存储MAC地址和端口的对应表,交换机就是用此表来判断将数据帧送出相应的接口。(当两台连接的主机需要相互通信时,交换机使用交换表来建立端口之间的连接。该电路将一直保留至会话终止。)

   Ethernet/802.3网络的设计考虑因素:

带宽和吞吐量:以太网 802.3 网络的主要缺点是冲突。当两台主机同时传送帧时,冲突就会发生。由于使用共享介质传输会导致传输的可用带宽将相应减少。因此,共享以太网络的节点数量将影响网络的吞吐量或效率。

冲突域:扩大以太网 LAN 以容纳更多用户时,将产生更高的带宽需求,发生冲突的可能性会增加。要减少特定网段上的节点数量,可以创建单独的物理网段,称为冲突域。例如,如果一台 12 端口交换机的每个端口上都连接了设备,则将形成 12 个冲突域。(交换机可以使一个端口一个冲突域减少了冲突域的域内大小提高了网络的传输质量。)

      广播域:当一个用户发送广播帧时能够收到此帧的范围就是广播域。广播域内数量过大会导致网络效率下降。

      网络延时:延时是一个帧或一个数据包从源工作站到达最终目的地所用的时间。延时有至少三个来源:

1)        源网卡在导线上发送电压脉冲需要时间,而目的网卡解释这些脉冲也需要时间。这有时称为网卡延迟,10BASE-T 网卡的延迟通常为大约 1 毫秒。

2)        信号在电缆上传输需要时间,因此存在实际的传播延迟。通常情况下,5 类 UTP 的传播延迟为每百米 0.556 毫秒。电缆越长,标称传播速度 (NVP) 越低,则传播延迟越长。

3)        当两台设备之间的路径中网络设备增加时,延时也会随之延长。这些设备可以是第 1 层设备、第 2 层设备,或者第 3 层设备。因为当网络设备收到一个数据包时要查找送出接口或路径,这也需要时间。

网络拥塞:将 LAN 分割成多个更小部分的主要原因是为了隔离流量以及使每位用户更好地利用带宽。如果没有分段,LAN 很快就会被流量和冲突堵塞。

以下是网络拥塞最常见的原因:

?        计算机和网络技术的功能日益强大。现在的 CPU、总线和外围设备比早期的 LAN 中所使用的同类设备更快、更强大,因此,它们通过网络发送数据的速率更快,并且处理数据的速率也更高。

?        网络流量日益增加。网络通信现在更加普遍,因为执行基本工作需要远程资源。此外,广播报文(例如 ARP 发出的地址解析查询)可能对最终工作站和网络性能有不利影响。

?        高带宽应用程序。软件应用程序的功能越来越丰富,需要的带宽也越来越多。桌面出版、工程设计、视频点播 (VoD)、电子学习 (e-learning) 和视频流都需要相当高的处理能力和速度。

LAN 分段:使用路由器和交换机可以将 LAN 分割成很多更小的冲突域和广播域。

路由器

虽然 LAN 交换机缩小了冲突域的规模,但是连接到交换机的所有主机仍都处于同一个广播域中。由于默认情况下,路由器不转发广播流量,因此它们可用于创建广播域。用路由器创建更多更小的广播域将减少广播流量,并为单播通信提供更多可用带宽。每个路由器接口都连接到单独的网络,广播流量的范围仅限于发出该广播的 LAN 网段内。

LAN设计考虑因素:

   控制网络延时:在设计网络以减少延时时,需要考虑网络上每一台设备所引起的延时。(比如说流量过大导致交换机来不及处理而导致的网络延时)

   消除瓶颈:网络中的瓶颈是高网络拥塞导致性能下降的位置。

交换机的转发方法:

       在过去,交换机使用下面的两种转发方法之一来进行网络端口间的数据交换:存储转发交换或直通交换。

   存储转发交换:

   当交换机收到帧时,它将数据存储在缓冲区中,直到收下完整的帧。存储过程期间,交换机分析帧以获得有关其目的地的信息。在此过程中,交换机还将使用以太网帧的循环冗余校验 (CRC) 帧尾部分来执行错误检查。如果无错将查找交换表尽情转发。

   直通交换:

   交换机在收到数据时立即处理数据,即使传输尚未完成。交换机只缓冲帧的一部分,缓冲的量仅足以读取目的 MAC 地址,以便确定转发数据时应使用的端口。

   直通交换有两种变体:

?        快速转发交换:快速转发交换提供最低程度的延时。快速转发交换在读取目的地址之后立即转发数据包。由于快速转发交换在收到整个数据包之前就开始转发,因此有时候中继数据包时会出错。这种情况并不经常发生,而且目的网络适配器在收到含错数据包时会将其丢弃。在快速转发模式下,延时是指从收到第一个位到传出第一个位之间的时间差。快速转发交换是典型的直通交换方法。

?        免分片 (fragment) 交换:在免分片交换中,交换机在转发之前存储帧的前 64 个字节。可以将免分片交换视为存储转发交换和直通交换之间的折衷。免分片交换只存储帧的前 64 个字节的原因是,大部分网络错误和冲突都发生在前 64 个字节。免分片交换在转发帧之前对帧的前 64 个字节执行小错误检查以确保没有发生过冲突,并且尝试通过这种方法来增强直通交换功能。免分片交换是存储转发交换的高延时和高完整性与直通交换的低延时和弱完整性之间的折衷。

对称交换和非对称交换:

非对称:非对称交换使更多带宽能专用于服务器交换机端口,以防止产生瓶颈。这实现了更平滑的流量传输,多台客户端可同时与服务器通信。非对称交换机上需要内存缓冲。为了使交换机匹配不同端口上的不同数据速率,完整帧将保留在内存缓冲区中,并根据需要逐个移至端口。对称:在对称交换机中,所有端口的带宽相同。对称交换可优化为合理分配流量负载,例如在点对点桌面环境中。

       内存缓冲:

            以太网交换机在转发帧之前,可以使用缓冲技术存储帧。当目的端口由于拥塞而繁忙时,也可以使用缓冲,交换机将一直存储帧,直到可以传送该帧。将内存用于存储数据的功能称为内存缓冲。内存缓冲内置于交换机硬件中,除了可以增加可用的内存量之外,内存缓冲不可配置。

       有两种内存缓冲方法:基于端口和共享内存

       基于端口的内存缓冲:

在基于端口的内存缓冲中,帧存储在链接到特定传入端口的队列中。

共享内存缓冲:

   共享内存缓冲将所有帧都放入公共内存缓冲区中,公共缓冲区由交换机上的所有端口共享。

       第 2 层交换和第 3 层交换:

            第 2 层 LAN 交换机只根据 OSI 数据链路层(第 2 层)MAC 地址执行交换和过滤。

第 3 层交换机不仅使用第 2 层 MAC 地址信息来作出转发决策,而且还可以使用 IP 地址信息。也就是说他知道MAC对应端口也知道IP地址对应端口。第 3 层交换机还能够执行第 3 层路由功能,从而省去了 LAN 上对专用路由器的需要。由于第 3 层交换机有专门的交换硬件,因此通常它们路由数据的速度与交换数据一样快。

第 3 层交换机和路由器比较:


posted @ 2012-07-09 13:12 红帽操作 阅读(244) | 评论 (0)编辑 收藏

CCNA第一章

第一章:

 通过第一章的学习,在这种信息化的社会中人们已经离不开网络,网络可以给人们带来丰富的学习资源、快捷的信息、方便了工作。

 建立规则(就像是人与人交流一样,2个人需要用什么语言交流)应遵守的规则有:

1)标识出发送方和接收方;

2)双方一致同意的通讯方法(面对面、电话、信件、照片);

3)通用的语言和语法;

4)传递的速度和时间;

5)证实或确认要求。

 通讯质量(就是说,当PC1给PC2发送数据时,PC2没有收到或收到的数据无法理解),所以我们要使用相同的标准来判断通信是否成功。这种因素可能来自“外部”,也可能来自“内部”。

外部因素:(与网络的复杂程度和经过的设备数量有关)

1)        是否要向消息的发送方返回确认;

2)        发送方与收件人之间路径的质量;

3)        消息必须变更形式的次数;

4)        消息必须重定向或重新分配地址的次数;(重组消息格式的次数)

5)        通信网络中同时传输的其他消息的数量;

6)        指定给成功通信的时间。

内部因素:(消息的本身性质有关)

1)        消息的大小;

2)        消息复杂程度;

3)        消息的重要程度。

 虽然这些数据或信息网络的大小和功能各异,但所有网络都有四个共同的基本要素:

1)        用于管理消息如何发送、定向、接受和理解的规则或协议;

2)        将会从一个设备传送到另一个设备的消息或信息单位;

3)        互联这些设备的工具(线路);

4)        彼此时间要交换消息的设备。

 网络的四大要素:规则、介质、消息、设备。

TCP/IP协议指定了格式、编址和路由机制,确保可传递到正确的收件人,

融合网络:就是将多种类型(如:计算机网络、电话、广播)的网络融合在一起,解决了1个接入点何以访问多种类型的网络。

网络体系结构:

底层需要解决4个基本特性才能满足用户的期望:

1)        容错能力;

2)        可扩展性;

3)        服务质量

4)        安全性。

服务质量(QOS)

  服务质量机制促进了队列管理策略的建立,可以针对不同的应用程序数据分类执行不同的主次优先级。若未正确设计和实施服务质量机制,数据包会在不考虑应用程序特性或优先级的情况下被丢弃。

组织的优先级决策示例可能包括:

1)        对时间敏感的通信 — 提高电话或视频分发等服务的优先级;

2)        对时间不敏感的通信 — 降低网页检索或电子邮件的优先级;

3)        组织的重要通信 — 提高生产控制或业务交易数据的优先级;

4)        不必要的通信 — 降低优先级或阻止不需要的活动,如点对点文件共享或在线娱乐。

网络的安全:

网络中采取的安全措施包括:

1)        防止未经授权地披露或窃取信息;

2)        防止未经授权地修改信息;

3)        防止拒绝服务

实现这些目标的方法包括:

1)        确保机密性;

2)        维护通信完整性;

3)        确保可用性  


posted @ 2012-07-06 15:38 红帽操作 阅读(103) | 评论 (0)编辑 收藏

lan结构

LAN设计

  交换式LAN体系结构

     分层网络模型

       分层网络模型的好处:与其它网络设计相比较,分层网络更容易管理和扩展,排除故障也更迅速。分层网络的目的是将每层提供特定的功能,这些功能界定了该层在整个网络中扮演的角色。通过对网络的各种功能进行分离,可以实现模块化的网络设计,这样有利于提高网络的可扩展性和性能。典型的分层设计模型可分为三层:接入层、分布层和核心层。

       接入层:负责连接终端设备(例如 PC、打印机和 IP 电话)以提供对网络中其它部分的访问。接入层的主要目的是将终端设备连接到网络并控制允许网络上的哪些设备进行通信的方法。

       分布层:分布层先汇聚接入层交换机的流量,然后发送到核心层,由核心层转发到目的。分布层使用策略控制网络的通信流并通过在接入层定义的虚拟 LAN(VLAN)之间执行路由功能来划定广播域。利用 VLAN,您可将交换机上的流量分成不同的独立网络(子网)。  

       核心层:分层设计的核心层是网际网络的高速主干。核心层要保持高可用性和高冗余性非常重要。核心层汇聚所有分布层设备发送的流量,因此它必须能够快速转发大量的数据。

     分层网络的优点:

1)        可扩展性;

(就是说当现有结构不能满足需求时可以增加设备相应的设备而不会导致网络结构的改变。)

2)        冗余性;

(就是说当某个线路或设备出现故障后,会自动启动备用线路或设备。)

3)        性能;

(各层设备之间采用链路聚合技术以达到高速转发)

4)        安全性;

(可以使用接入层设备的安全功能和汇聚层设备的策略让网络更加安全)

5)        易于管理性;

(分层设计给一层内的功能定义是一样的,所以要修改功能只需修改一层即可。)

6)        易于维护性;

(分层设计的模块化可让网络轻松实现扩展,不至于变得过于复杂,使得难以更换和修改功能。)

     分层网络设计的原则:

       网络直径:

网络直径就是条数也可以说源到目的所经过的设备。在这里尽量减少网络直径。(注:在3层设计模型中,第2层(分布层)实际上消除了网络直径的问题。)

       带宽聚合:

           就是根据网络带宽的需求而使用链路聚合达到更高的吞吐率,链路聚合就是将交换机的多个端口绑定成逻辑上的1个端口从而到达更高的带宽。

       冗余:

           就是说在当网络中有一台或一个链路出现故障时,会自动使用备用线路或设备来保证网络不中段。

     什么是融合网络:

         就是将语音网络、视频网络和数据网络融合到一个网络里,这就是融合网络。采用正确设计的分层网络并应用合理的 QoS 策略(以便为视频数据赋予较高的优先级)可以将视频融合到现有数据网络上,而对视频的质量几乎没有任何影响。

融合网络的好处:

是它只有一个网络需要管理。而如果分别使用独立的语音网络、视频网络和数据网络,那么很难对各个网络进行协调一致的调整。另外,采用三套网络布线也会增加成本。采用单一的网络意味着您只需管理一套线缆设施。融合网络的另一个优点是可以降低实现和管理的成本。

分层网络交换机的考虑因素:

流量分析:

      流量分析是测量网络带宽使用率并分析相关数据来调整性能、规划容量并做出硬件升级决策的过程。

  用户群分析:

      用户群分析是确定各类用户群体及其对网络性能的影响的过程。用户的分组方式会影响与端口密度和流量有关的问题,进而影响网络交换机的选择。

 数据存储和数据服务器分析:

      在分析网络流量时,应考虑数据存储和服务器的位置,以便确定它们对网络流量的影响。在考虑数据存储和服务器的流量时,应同时考虑客户端到服务器的流量和服务器到服务器的流量。

  拓扑图:

      拓扑图是网络基础架构的图形表现形式。拓扑图显示所有的交换机如何互连,乃至详细到哪个交换机端口与设备互连。通过拓扑图,我们可以直观地找到网络流量的潜在瓶颈,这样就可以抓住流量分析数据的要点,知道哪些网络区域的改进能够最有效地提高网络的整体性能。

交换机的特性:

1)        交换机的外形因素;

比如说大小、厚度;

2)        固定配置交换机;

就是说你不能为该交换机增加出厂配置以外的功能或选件。

3)        模块化交换机;

模块交换机的配置较灵活。模块化交换机通常有不同尺寸的机箱,允许安装不同数目的模块化线路卡。线路卡就是你想要扩展的功能和接口。

4)        可堆叠交换机;

可以使用专用的背板电缆进行互连,背板电缆可在交换机之间提供高带宽的吞吐能力。(Stackwise技术现在最多支持互联9台设备)

       性能:

在选择接入层、分布层或核心层交换机时,应考虑交换机对端口密度、转发速率和网络带宽聚合需求的支持能力。

端口密度:

就是说一台交换机最多可用的端口。

转发速率:

转发速率通过标定交换机每秒能够处理的数据量来定义交换机的处理能力。选择交换机时,转发速率是要考虑的重要因素。如果交换机的转发速率太低,则它无法支持在其所有端口之间实现全线速通信。(全线速:例如一台交换有24个千兆接口交换机的全线速运行是24G,而转发速率是16G那么就不能够满足全线速转发。)

          链路聚合:

              就是说当一根网络电缆的带宽无法满足用户的需求时,我们在确定交换机上是否有足够的端口来聚合所需的带宽后,可以使用此技术来解决一根网络电缆所带来的瓶颈。

          以太网供电(POE):

              允许交换机通过现有的以太网电缆对设备供电。(PoE 会给交换机增加巨大的开销)

          第 3 层功能:

               比如说支持路由协议、在接口上允许配置3层地址。

      分层网络中交换机的功能:

          接入层:

              接入层交换机支持将终端节点设备连接到网络。因此,它们需要支持端口安全功能、VLAN、快速以太网/千兆以太网、PoE 和链路聚合等功能。在支持语音、视频和数据网络流量的融合网络中,接入层交换机需要支持 QoS 来维护流量的优先级。

          分布层交换机:

              它收集所有接入层发来的所有数据并转发给核心层。分布层交换机提供 VLAN 间路由功能,就是一个 VLAN 可与网络上的另一个 VLAN 通信,这可以减轻核心层的工作压力。(所以该层交换机支持第3层功能)安全策略:分布层交换机需要第 3 层功能的另一个原因是这样可以对网络流量应用高级安全策略。访问列表用于控制流量如何在网络上传输。访问控制列表 (ACL) 允许交换机阻止特定类型的流量并允许其它类型的流量。(使用 ACL 需要占用大量的处理资源,因为交换机需要检查每个数据包并查看该数据包是否与交换机上定义的 ACL 的某个规则匹配。而且分布层交换机汇集了所以接入层的数据所有将ACL建在分布层,另一方面也简化了ACL的管理。)服务质量:分布层交换机还需要支持 QoS 来维护来自实施了 QoS 的接入层交换机的流量优先级。(使用QOS来保障对网络延时非常敏感的语音、视频的通信质量)

          核心层交换机:

              核心层是网络的高速主干,需要能够转发非常庞大的流量。链路聚合:

核心层交换机还需要支持链路聚合功能,以确保为分布层交换机发送到核心层交换机的流量提供足够的带宽。冗余:就是说要实现3层和2层的冗余技术来保障当交换机或线路出现故障时还是能够平稳的工作,同时交换机也要支持在不断电的情况下换取相关硬件,既热插拔(比如说电源、线卡、风扇)。QoS 是核心层交换机提供的重要服务之一。


posted @ 2012-07-06 13:49 红帽操作 阅读(115) | 评论 (0)编辑 收藏

私用VLAN

 现在VLAN已经成为局域网内划分子网的主要技术。VLAN之间的安全性可以由三层设备做ACL来控制,VLAN内部的安全可以用VLAN映射来配置,但VLAN映射是在三层上配置的,在同一交换机上如何保证同一VLAN之间信息的安全呢?这就可以用到私用VLAN和端口保护功能。

    一、私用VLAN的主要特点

    1、私用VLAN能给处于同一子网内的设备之间带来更高的安全性;

    2、配置私用VLAN的边缘VLAN可以防止接入交换机之间的互通;

    3、在一个私用VLAN内,可以隔离某些设备,避免被隔离VLAN内的设备互通;

    4、在一个私用VLAN内,通过创建群体(community)使某些设备连通,且与其他设备不连通;

    5、将混杂(promiscuous)端口映射到私用VLAN,使之可以和这个网络之外的VLAN连通。

    二、配置私用VLAN

       私用VLAN使用ISOLATEDCOMMUNITY两种次(secondaryVLAN来控制设备通信,次VLAN被划给主(primaryVLAN,而端口被划给次VLANISOLATEDVLAN内的端口不能和VLAN内除了混杂端口之外的其他任何设备进行通信。COMMUNITYVLAN内的端口可以和同一COMMUNITY内的其他端口地址以及混杂端口进行通信。不同COMMUNITYVLAN内的端口不能互相通信。

    1、配置VTP模式为透明模式

    私用VLAN只能在单台交换机上配置,不能有其他交换机上VLAN的成员端口。vlan database,vtp transparent

    2、创建主私用VLAN

    vlan 100,private-vlan primary。设置VLAN100为主私用VLAN

    3、创建次私用VLAN

    次私用VLAN的号必须唯一且不能相同。vlan 200,private-vlan isolated;vlan 300,private-vlan community

    4、将次私用VLAN绑定到主私用VLAN

    vlan 100,private-vlan association 200,300

    5、将端口加入次私用VLAN

    interface fastethernet2/1,switchport,switchport mode private-vlan host-association 100 200

    6、给次私用VLAN映射混杂端口

    前面说到,次私用VLAN不能访问其他VLAN,因此,必须将VLAN映射到一个混杂端口上。

    interface gig1/1,switchport,switchport mode private-vlan promiscuous,switchport mode private-vlan mapping 100 200,300

    7、也可以给次私用VLAN映射到MSFC接口,也可以说映射到主私用VLAN接口上,这样也可以实现次私用VLAN对其他VLAN的访问。

    interface vlan 100,ip address 192.168.100.1 255.255.255.0,private-vlan mapping 100 200,300

    三、配置私用边缘VLAN

    配置私用边缘VLAN的接口为保护端口,一个保护端口不会转发另一个保护端口的流量。

    interface fa1/1,prot protected

    四、可以用命令show vlan private-vlan等命令查看

 

posted @ 2012-07-05 16:04 红帽操作 阅读(139) | 评论 (0)编辑 收藏

EIGRP传递默认路由方法总结



1
:写一条默认路由,networkEIGRP进程
ip route 0.0.0.0 0.0.0.0 interface (
接口必须是up而且要有address,或者是null0,也可以是lookback接口)

router eigrp AS
network 0.0.0.0

缺点:会在宣告的路由器上,将所有接口激活.包括你不想激活的接口
注意在RIP中创建的默认路由不会从所跟的接口和能到达下跳地址的接口传递出去但是EIGRP可以这个是因为水平分割在RIP中是默认关闭的而EIGRP不是。

2
:写一条默认路由,重分布静态到EIGRP进程
ip route 0.0.0.0 0.0.0.0 interface(
接口必须是up而且要有address或者是null0)
router eigrp AS
redistribute static metric 10000 100 255 1 1500
默认路由出现的形式D*EX
AD=170
RIP的对比和第1种方法一样。


3
:接口下手工汇总 ip summary-address eigrp 90 0.0.0.0 0.0.0.0 ,在连接eigrp内部router的接口上汇总
0.0.0.0
的默认路由会传递给接口连接的邻居(不在乎auto/no auto-summary/也不需要写静态)
缺点:具有方向性.具有抑制明细的特点。
RIP时必须创建默认路由,才能传播进去

4
ip default-network x.x.x.x(必须主类的网络)
并且这条路由要能出现在本地路由表和整个网络中(也就是说必须在eigrp路由模式下用network指令把这条路由宣告进去)

(
不需要静态路由)
因此需要作auto-summary或者手工汇总

如果你 no auto-summary,那么必须有一条静态路由来指出这是个主类的,并且以主类的方式传播进eigrp区域内

邻居的路由表里也必须是汇总路由
如果将学到路由当作传递的缺省网络.此时路由条目必须是主类
(
传递的要求是主类路由带有"D*")
EIGRP
不会产生0.0.0.0的默生路由,而是借用带有D*的路由的下一跳做为缺省下一跳。
RIP
传递是一条0.0.0.0/0的默认路由。
EIGRPdefault-information 不是用来传递默认路由而是用来控制(但是RIP是)
default-information allow in
是默认在进程中开启,允许所有可传递的默认网络进入本路由器
default-information allow out
是默认在进程中开启,允许所有可传递的默认网络传递出本路由器
命令前加noout或者in.表示不允许进入默认路由或者传递默认路由,而不是no掉此命令

posted @ 2012-07-04 11:33 红帽操作 阅读(136) | 评论 (0)编辑 收藏

仅列出标题
共5页: 1 2 3 4 5 

导航

统计

常用链接

留言簿

随笔档案

搜索

最新评论

阅读排行榜

评论排行榜