使用VLAN技术的优势

通过划分VLAN子网，能划小了广播域，避免了广播风暴的产生。提高交换网络的交换效率，保证网络稳定，提高网络安全性，根据Ambow公司内部网络机构的需求，采用VLAN技术来划分企业网络，一个VLAN可以将公司部门、项目组或者服务器组将不同地理位置的工作站划分为一个逻辑网段。在不改动网络物理连接的情况下可以任意地将工作站在子网之间移动，VLAN提供了网段和机构的弹性组合机制，VLAN技术很好的解决了网络管理的问题，能实现网络监督与管理的自动化，从而更有效的进行网络监控。

7.1.2 VLAN划分

1、根据端口划分Vlan

     以交换机端口划分网络成员，配置过成简单明了，是常用的一种方式。

2、根据MAC地址划分VLAN

     根据每个主机的MAC地址来划分，即对每个MAC地址的主机都配置它属于哪VLAN。这种划分方法的优点是当用户物理位置移动时，VLAN不用重新配置，缺点是初始化时，所有的用户都必须进行配置，如果有几百个甚至上千个用户的话，管理员的配置工作量非常大。

3、根据网络层划分VLAN

     根据每个主机的网络层地址或协议类型划分。

4、根据IP组播划分VLAN

      IP组播实际上也是一种VLAN的定义，即认为一个组播就是一个VLAN，这种划分的方法将VLAN扩大到了广域网，因此这种方法具有更大的灵活性，而且也很容易通过路由器进行扩展，当然这种方法不适合局域网，主要是效率不高。

5、基于规则的VLAN

也称为基于策略的VLAN。这是最灵活的VLAN划分方法，具有自动配置的能力，整个网络可以非常方便地通过路由器扩展网络规模。

6、按用户定义、非用户授权划分VLAN

基于用户定义、非用户授权来划分VLAN，是指为了适应特别的VLAN网络，根据具体的网络用户的特别要求来定义和设计VLAN，而且可以让非VLAN群体用户访问VLAN，但是需要提供用户密码，在得到VLAn管理的认证后才可以加入一个Vlan。

7.2 VTP技术： 

VTP（VLAN Trunking Protocol）：是Vlan中级协议，也称为虚拟局域网干道协议。VTP协议是思科的专用协议，大多数的Catalys交换机都支持该协议，VTP可以减少Vlan的相关管理任务。

7.2.1 VTP有三种工作模式：VTPServer、VTPClient和VTPTransparent。

7.2.2使用VTP技术的优势：

使用VTP技术，主要是为了防止不需要的广播信息从一个vlan泛洪到VTP域中所有的中继链路。Vtp修剪允许交换机协商 将那些VLAN分配到中继链路另一端的端口，因此剪除未分配到远程交换机端口的VLAN。VTP修剪功能默认为禁用，可以使用全局配置命令vtp pruning启用vtp修剪，只需要在域内一台VTP服务器交换机上启用修剪功能即可。

7.3 STP生成树协议：

STP (Spanning Tree Protocol)生成树协议该协议的目的是在实现交换机之间的冗余连接的同时，避免网络环路的出现，实现网络的高可靠性。逻辑上断开环路，防止广播风暴的产生。当线路出现故障，断开的接口被激活，恢复通信，起到线路备份的作用。

Stp 使用生成树算法（STA）计算网络中的那些交换机端口应配置为阻塞以防止出现环路。所有参与STP的交换机互相交换BPDU帧， BPDU帧是运行STP的 交换机之间交换的包含STP消息的帧。每个BPDU都包含一个BID，用于标识发送该BPDU的交换机。

7.3.1使用STP协议的优势：

根据所设计的拓扑图，采用生成树的协议，该协议的目的是在实现交换机之间的冗余连接的同时，避免网络环路的出现，实现网络的高可靠性，它实现在交换机之间传递桥接。，当逻辑上断开环路，防止广播风暴的产生，当线路出现故障，断开的借口呗激活，恢复通信，起备份线路的作用。

7.4 EthernetChannel：

以太通道也称为以太端口捆绑、端口聚集或以太链路聚集。以太通道为交换机提供了端口捆绑的技术，将多个物理以太网端口聚合在一起形成一个逻辑上的聚合组；同一聚合组内的多条物理链路视为一条逻辑链路。链路聚合可以实现出/入负荷在聚合组中各个成员端口之间分担，以增加带宽。同时，同一聚合组的各个成员端口之间彼此动态备份，提高了连接可靠性。

7.4.1以太通道的特点：

1.以太网通道最多可以捆绑物理链路，可以是双绞线，也可以是光纤。 

2.以太通道的规则：参与捆绑的端口必须属于同一个VLAN，或者都是中继模式 

3.如果端口配置是中继模式，则链路中的两个端口必须都是中继模式 

4.所有参与捆绑的端口的物理参数必须相同，例如全部为半双工或者全部为全双工。

7.4.2 使用Etherchannel的优势：

GEC技术一方面为我们提供了一种扩展网络带宽的手段，另一方面，它还为连接提供了容错。平时，网络流量是被分摊得到构成GEC/FEC的2条或多条物理链路上，如果其中一条链路发生故障，该故障链路上的物理流量会立刻被重新分配到其他正常的流量上，congenial达到了容错的目的。

7.4.3以太通道的特点：

以太网通道最多可以捆绑物理链路，可以是双绞线，也可以是光纤。 

7.4.4 以太通道的规则：参与捆绑的端口必须属于同一个VLAN，或者都是中继模式 

7.5 Trunk技术

Trunk是一种封装技术，它是一条点到点的链路，链路的两端可以都是交换机，也可以是交换机和路由器，还可以是主机和交换机或路由器。基于端口汇聚（Trunk）功能，允许交换机与交换机、交换机与路由器、主机与交换机或路由器之间通过两个或多个端口并行连接同时传输以提供更高带宽、更大吞吐量， 大幅度提供整个网络能力。是带宽扩展和链路备份的一个重要途径。TRUNK把多个物理端口捆绑在一起当作一个逻辑端口使用，可以把多组端口的宽带叠加起来使用。TRUNK技术可以实现TRUNK内部多条链路互为备份的功能，即当一条链路出现故障时，不影响其他链路的工作，同时多链路之间还能实现流量均衡。

7.6 HSRP路由热备份：

HSRP(Hot Standby Router Protocol)是CISCO公司制定的专有路由器备份协议，支持多台路由器形成热备而消除单台设备失效造成的网络中断。HSRP允许在一个局域网（以太网，令牌环，FDDI）上或ISL封装的VLAN上的多个路由器共享一个虚拟IP地址和MAC地址，共享地址的一组路由器被配置成HSRP组，组中每一个路由器配置一个组IP地址和优先级。存在一个路由器是活跃激活的，接受所有合法网络IP/MAC地址包，如果激活的路由器发生故障，组中的另一个路由器激活并接收包。

7.6.1 使用HSRP的优势：

我们使用HSRP来实现故障路由器的接管。HSRP协议是Cisco公司制定的专有路由器备份协议，支持多台路由器形成备份而消除单台设备失效造成的网络中断。比且确保了当网络边缘或接入链路出现故障时，用户通信能迅速并透明的恢复，并为此IP网络提供了冗余性。HSRP支持在某个路由器出现故障时可以快速的进行默认网关的切换，通过共同提供一个IP地址和MAC地址，两个或者多个路由器可以做为一个虚拟路由器，当某个路由器出现故障时，其他路由器可以无缝的接替它进行路由选择。，这样就很好的解决了路由器切换的问题。

为了把网络阻塞降到最底限度，网络中只有活路由器和备份路由器可以在完成HSRP协议选择过程后发送一次HSRP消息包。如果活路由器失效，则备份路由器将取代它作为新的活路由器工作。而当备份路由器失效或者它变成了活路由器时，另外一个路由器将被选为备份路由器。

7.7 DHCP：

DHCP动态主机设置协议（Dynamic Host Configuration Protocol, DHCP）是一个局域网的网络协议，使用UDP协议工作，主要有两个用途：给内部网络或网络服务供应商自动分配IP地址给用户给内部网络管理员作为对所有计算机作管理的手段。

7.8 VPN技术：

虚拟专用网（）被定义为通过一个公用网络（通常是因特网）建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道。使用这条隧道可以对数据进行几倍加密达到安全使用互联网的目的。虚拟专用网是对企业内部网的扩展。虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，并保证数据的安全传输。虚拟专用网可用于不断增长的移动用户的全球因特网接入，以实现安全连接；可用于实现企业网站之间安全通信的虚拟专用线路，用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。

VPN技术分为L2LP、GRE、IPsec。 IPSec (Internet 协议安全)是一个工业标准网络安全协议，为 IP 网络通信提供透明的安全服务，保护 TCP/IP 通信免遭窃听和篡改，可以有效抵御网络攻击，同时保持易用性。

7.8.1 Site-to-Site VPN

Site-to-Site VPN就是站点到站点的VPN。

IPSec（IP Security）是IETF制定的为保证在Internet上传送数据的安全保密性能的框架协议。IPSec包括报文验证头协议AH（协议号51） 和报文安全封装协议ESP（协议号50）两个协议。      IPSec有隧道（tunnel）和传送（transport）两种工作方式  

它提供两个安全协议：

1、AH (Authentication Header)报文认证头协议 

MD5(Message Digest 5)

SHA1(Secure Hash Algorithm)

2、ESP (Encapsulation Security Payload)封装安全载荷协议 

DES (Data Encryption Standard) 

3DES

其他的加密算法：Blowfish ，blowfish、cast 

安全特性：数据机密性（Confidentiality）、数据完整性（Data Integrity）、数据来源认证（Data Authentication） 、反重放（Anti-Replay）

7.8.2 Easy VPN

Easy VPN又名ezVPN，是Cisco专用VPN技术。它分为EASY VPN SERVER和EASY VPN REMOTE两种，EASY VPN SERVER 是REMOT--ACCESS VPN专业设备。配置复杂，支持POLICY PUSHING等特性，现在的900、1700、PIX、VPN3002和ASA等很多设备都支持。此种技术应用在中小企业居多。如Cisco金睿系类的路由器都有整合easy VPN。

7.9 QOS技术：

Quality of Service（服务质量）是指网络通信过程中，允许用户业务在丢包率、延迟、抖动和带宽等方面获得可预期的服务水平。

IP QoS目标是：避免并管理IP网络拥塞、减少IP报文的丢失率、IP网络的流量、为特定用户或特定业务提供专用带宽、支撑IP网络上的实时业务。

7.9.1 QOS的服务模型有三种常见模式：

Best-Effort service模型：是目前Internet的缺省服务模型，主要实现技术是先进先出队列(FIFO)。

Integrated service模型：通过信令向网络申请特定的QoS服务，网络在流量参数描述的范围内，预留资源以承诺满足该请求。

Differentiated service模型：当网络出现拥塞时，根据业务的不同服务等级约定，有差别地进行流量控制和转发来解决拥塞问题。

7.10 NAT技术：

NAT（Network Address Translation，网络地址转换）是将IP数据报文头中的IP地址转换为另一个IP地址的过程。在实际应用中，NAT主要用于实现私有网络访问公共网络的功能。这种通过使用少量的公网IP地址代表较多的私网IP地址的方式，将有助于减缓可用IP地址空间的枯竭。

7.10.1 NAT的类型有：

1.静态NAT(Static NAT) 

2.动态地址NAT(Pooled NAT)

3.网络地址端口转换NAPT（Port－Level NAT）

7.10.2使用静态NAT技术到的优势：

1对于内部通讯可以利用私网地址，如果需要与外部通讯或访问外部资源，则可通过将私网地址转换成公网地址来实现。

2通过公网地址与端口的结合，可使多个私网用户共用一个公网地址

3通过静态映射，不同的内部服务器可以映射到同一个公网地址。外部用户可通过公网地址和端口访问不同的内部服务器，同时还隐藏了内部服务器的真实IP地址，从而防止外部对内部服务器乃至内部网络的攻击行为。

4方便网络管理，如通过改变映射表就可实现私网服务器的迁移，内部网络的改变也很容易。

7.11 ACL访问控制列表

访问控制列表（Access Control List，ACL） 是路由器和交换机接口的指令列表，用来控制端口进出的数据包。ACL适用于所有的被路由协议，如IP、IPX、AppleTalk等。这张表中包含了匹配关系、条件和查询语句，表只是一个框架结构，其目的是为了对某种访问进行控制。信息点间通信，内络的通信都是企业网络中必不可少的业务需求，但是为了保证内网的安全性，需要通过安全策略来保障非授权用户只能访问特定的网络资源，从而达到对访问进行控制的目的。简而言之，ACL可以过滤网络中的流量，控制访问的一种网络技术手段。

ACL的定义也是基于每一种协议的。如果路由器接口配置成为支持三种协议（IP、AppleTalk以及IPX）的情况，那么，用户必须定义三种ACL来分别控制这三种协议的数据包。

7.11.1 ACL的分类：

目前有两种主要的ACL:标准ACL和扩展ACL、通过命名、通过时间。 　　

标准的ACL使用 1 ~ 99 以及1300~1999之间的数字作为表号，扩展的ACL使用 100 ~ 199以及2000~2699之间的数字作为表号。 　　

标准ACL可以阻止来自某一网络的所有通信流量，或者允许来自某一特定网络的所有通信流量，或者拒绝某一协议簇（比如IP）的所有通信流量。 　　

扩展ACL比标准ACL提供了更广泛的控制范围。例如，网络管理员如果希望做到“允许外来的Web通信流量通过，拒绝外来的FTP和Telnet等通信流量”，那么，他可以使用扩展ACL来达到目的，标准ACL不能控制这么精确。 　　

在标准与扩展访问控制列表中均要使用表号，而在命名访问控制列表中使用一个字母或数字组合的字符串来代替前面所使用的数字。使用命名访问控制列表可以用来删除某一条特定的控制条目，这样可以让我们在使用过程中方便地进行修改。　

随着网络的发展和用户要求的变化，从IOS 12.0开始，思科（CISCO）路由器新增加了一种基于时间的访问列表。通过它，可以根据一天中的不同时间，或者根据一星期中的不同日期，或二者相结合来控制网络数据包的转发。这种基于时间的访问列表，就是在原来的标准访问列表和扩展访问列表中，加入有效的时间范围来更合理有效地控制网络。首先定义一个时间范围，然后在原来的各种访问列表的基础上应用它。

7.11.2 ACL的特点：

1.ACL可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞。

2.ACL可以网络流量、提高网络性能。

3.ACL可以根据数据包的协议，指定数据包的优先级

4.ACL提供对通信流量的控制手段

5.ACL是提供网络安全访问的基本手段

7.12 IOS防火墙:

所谓防火墙指的是一个有软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。

防火墙技术，最初是针对 Internet 网络不安全因素所采取的一种保护措施。顾名思义，防火墙就是用来阻挡外部不安全因素影响的内部网络屏障，其目的就是防止外部网络用户未经授权的访问。它是一种计算机硬件和软件的结合，使Internet与Intranet之间建立起一个安全网关（Security Gateway），从而保护内部网免受非法用户的侵入，防火墙主要由服务访问、验证工具、包过滤和应用网关4个部分组成，防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件(其中硬件防火墙用的很少只有国防部等地才用,因为它价格昂贵)。该计算机流入流出的所有网络通信均要经过此防火墙。

功能：防火墙对流经它的网络通信进行扫描，这样能够过滤掉一些攻击，以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信，封锁特洛伊木马。最后，它可以禁止来自特殊站点的访问，从而防止来自不明入侵者的所有通信。

7.13 OSPF协议

 开放式最短路径优先（Open Shortest Path First，OSPF）协议是一种为IP网络开发的内部网关路由选择协议，由IETF开 发并推荐使用。OSPF协议由三个子协议组成：Hello协议、交换协议和扩散协议。其中Hello协议负责检查链路是否可用，并完成指定路由器及备份指 定路由器；交换协议完成“主”、“从”路由器的指定并交换各自的路由数据库信息；扩散协议完成各路由器中路由数据库的同步维护。 

OSPF 协议采用链路状态协议算法，每个路由器维护一个相同的链路状态数据库，保存整个AS的拓扑结构（在AS不划分的情况下）。一旦每个路由器有了完整的链路状态数据库，该路由器就可以自己为根，构造最短路径路径树，然后再根据最短路径构造路径表。对于大型的网络，为了进一步减少路由协议通信流量，利于管理和计算。OSPF将整个AS 划分为若干个区域 ，区域内的路由器维护一个相同的链路状态数据库，保存该区域的拓扑图结构。OSPF 路由器相互间交换信息，但交换的信息不是路由，而是链路状态。OSPF 定义了5种分组：Hello分组用于建立和维护邻居关系；数据库描述分组初始化路由器的网络拓扑数据库；当发现数据库中的某部分信息已经过时后，路由器发送链路状态请求分组，请求邻站提供更新信息；路由器使用链路状态更新分组来主动扩展自己的链路状态数据库或对链路状态请求分组进行相应；由于OSPF直接运行在IP层，协议本身要提供确认机制，链路状态应答分组状态更新分组进行确认。

相对于其他协议，OSPF有许多优点。OSPF 支持各种不同鉴别机制（如简单口令验证，MD5加密验证等），并且允许各个系统或区域采用互不相同的鉴别机制；提供负载均衡功能，如果计算出道某个目的站有若干条费用相同的路由，OSPF 路由器会把通信流量均匀地分配给这几条路由，沿这几条路由把该分组发送出去；在一个自制系统内可划分出若干个区域，每一个区域根据自己的拓扑结构计算最短路径，这样减少了OSPF路由实现的工作量；OSPF属于动态的自适应协议，对于网络的拓扑结构变化可以迅速的作出反应，进行相应调整，提供短的收敛期，使路由表尽快稳定化，并且与其它路由协议相比，OSPF在对网络拓扑变化的处理过程中仅需要最少的通信流量；OSPF 提供点到多点接口，支持CIDR(无类路由)地址。

7.13.1 OSPF协议的优点： 

OSPF能够在自己的链路状态数据库内表示整个网络，这极大地减少了收敛时间，并且支持大型异构网络的互联，提供了一个异构网络间通过同一种协议交换网络信息的途径，并且不容易出现错误的路由信息。OSPF支持通往相同目的的多重路径。 

OSPF使用路由标签区分不同的外部路由。 

OSPF支持路由验证，只有互相通过路由验证的路由器之间才能交换路由信息；并且可以对不同的区域定义不同的验证方式，从而提高了网络的安全性。 

OSPF支持费用相同的多条链路上的负载均衡。 

OSPF是一个非族类路由协议，路由信息不受跳数的，减少了因分级路由带来的子网分离问题。 

OSPF支持VLSM和非族类路由查表，有利于网络地址的有效管理OSPF使用AREA对网络进行分层，减少了协议对CPU处理时间和内存的需求。

7.13.2 OSPF的网络类型

OSPF定义的5种网络类型:

1.点到点网络 (point-to-point)

2.广播型网络 (broadcast)

3.非广播型(NBMA)网络 (non-broadcast)

4.点到多点网络 (point-to-multipoint)

5.虚链接(virtual link)

●点到点网络, 比如T1线路,是连接单独的一对路由器的网络,点到点网络上的有效邻居总是可以形成邻接关系的,在这种网络上,OSPF包的目标地址使用的是224.0.0.5,这个组播地址称为AllSPFRouters.

●广播型网络,比如以太网,Token Ring和FDDI,这样的网络上会选举一个DR和BDR,DR/BDR的发送的OSPF包的目标地址为224.0.0.5,运载这些OSPF包的帧的目标MAC地址为0100.5E00.0005;而除了DR/BDR以外发送的OSPF包的目标地址为224.0.0.6,这个地址叫AllDRouters.

●NBMA网络, 比如X.25,Frame Relay,和ATM,不具备广播的能力,因此邻居要人工来指定,在这样的网络上要选举DR和BDR,OSPF包采用unicast的方式

●点到多点网络 是NBMA网络的一个特殊配置,可以看成是点到点链路的集合. 在这样的网络上不选举DR和BDR.

●虚链接: OSPF包是以unicast的方式发送

 http://lsztjj.com/xinpujing/ 

 http://hcsciq.com/kelakeyulechang/ 

By-gnksguybb