这次给大家分享的课程是:实战网络部署与架构设计中级培训。
目录
第 1 部分:OSI 七层模型
它在逻辑上将网络分为七层。 通过七级结构模型,可以实现不同系统、不同网络之间的可靠分类。
OSI七层模型由ISO组织制定。 从下到上分别是化学层、数据链路层、网络层、传输层、会话层、表示层和应用层。 这七层的作用是什么?
化学层是OSI七层模型的最低层,也称为第一层。 它主要传递化学信号,也就是所谓的二进制补码。 在化学层,它不提供纠错服务,但也可以设置数据传输的速度,检测数据的错误率。
例如,拔掉插在电脑网卡上的网线,就会影响化学层的传输。
数据链路层位于OSI七层模型的第二层,控制网络层和化学层之间的通信。 其主要功能是如何在不可靠的化学线路上传输数据。 为了保证传输质量,在数据链路层,数据被划分为一个单元,称为帧。
帧是用于连接数据的结构数据包。 帧中识别帧的单位是mac地址。 每帧分别有原始mac地址和目标mac地址。
网络层是osi七层模型的第三层。 它的主要功能是将网络地址翻译成对应的mac地址,并确定发送方将数据路由到的接收方。 其传输单位是数据包Packet。
传输层是OSI七层模型中最重要的层。 传输合约还执行流量控制,或者根据接收者接收数据的速度适当地发送数据。 其传输单元称为数据段。
在传输层中,计算机网络中有两个最重要的协议:TCP 和 UDP,它们代表应用程序和网络之间的转换器。 在表示层,数据将按照只有网络能够理解的方案进行格式化,例如数据加密和解密。
最后一层是OSI七层模型的最高层,称为应用层,负责向软件提供套接字,以便程序可以提供网络服务。
只有通过ISO制定的OSI七层模型,不同的系统才能通过不同的网络连接起来,而这一切都是在OSI七层模型的指导下进行的。
第 2 部分:IP 地址
连接到网络的每个计算机节点都会有一个IP地址,但这个IP地址是唯一的。 只有这样才能实现不同计算机节点之间的通信。
IP地址是主机的唯一标识符。 通过IP地址,我们保证主机之间的正常通信。 在电脑中,可以通过开始菜单运行并输入cmd,在命令行窗口中输入ipconfig并回车,即可查看当前电脑的IP地址。
可以看到被测计算机的IP地址是10.10.29.4。 它的IP地址是一组网络代码。 它就像一个人在社会上的身份证,可以识别网络中的主机节点。
我们今天看到的IP地址是由四组数字组成,中间用三位小数分隔。 虽然IP地址是由32位二进制补码组成,但IP地址分为两部分。 其中一部分称为网络部分。 ,其中一部分称为主机部分。
区分IP地址的网络部分和主机部分的依据就是我们的子网段。 子网段也是由32位二进制补码组成。 例如,第一组 255 代表二进制补码中的 8 个 1。 ,即我们的子网段是1组8个1,2组8个1,3组8个1,最后一组是0,也就是8个0,所以我们可以根据子网段后面加24来计算位,即IP地址的网络部分为24位,高8位为0,即IP地址的主机位为0。IP地址的网络部分和主机部分分为按子网段。 。
同时,我们将IP地址分为三类:A类、B类、C类,它们是如何定义的呢?
子网段为255255255.0的IP地址称为C类地址。 具有两个 255.0.0 和两个 0 子网段的 IP 地址称为 B 类地址。 子网段为 255.0.0.0 ,即255加3个零的IP地址,我们称之为A类地址。
另外,我们还可以用另一种方式来解释我们的IP地址的A类、B类和C类。
IP地址由32位二进制补码组成。 当32位IP地址的第一位为0且第一位为0时,我们称该IP地址为A类地址。 当IP地址的前两位固定为10时,该IP地址称为B类地址。 当IP地址的前三位固定为110时,我们的IP地址称为C类地址。
IP地址有不同类型,为我们的计算机设置的IP地址称为主机地址。 除了主机地址之外,还有网络地址和广播地址。
什么叫网络地址?
IP地址分为网络部分和主机部分。 我们将IP地址的主机部分改为0,这样得到的地址就是主机地址的网络地址。
IP地址的广播地址是如何定义的?
IP地址的主机部分全部设置为1,得到的地址就是我们IP地址的广播地址。
这里我们需要提到一个特殊的IP地址,比如代表我们计算机本身网卡的IP地址。 测试的地址称为环回地址,即127.0.0.1,测试网卡本身是否正常使用。 。
另外我们还有对应的私网地址。 私网地址有三段,即10.0.0,子网段为255.0.0.0、192.168.0.0,子网段为255.255.0.0,Group 1为172.16.0.0到172.32.0.0,子网段为也是12位。
这就是关于 IP 地址的全部内容。
第三部分:开关原理
交换机是我们计算机网络架构中不可缺少的网络设备。 那么开关到底有什么作用呢?
您经常听说办公室墙上只有一个插座。 通过开关,我们可以将一个插座扩展为多个插座,但这只是开关功能的一小部分。
初始网桥也可以实现端口扩展,但初始网桥工作在OSI七层模型的数学层上。 只是简单的端口扩展,转发数据时,会转发到网桥上。 所有端口。
交换机的外部端口和从该端口学习到的mac地址表有一一对应关系,从而实现了我们mac地址的学习和过滤。
说到这里,我们需要解释一下什么是mac地址。 我们计算机的网卡中内置了一个固定的IP地址。 它是一个 48 位二进制补码。 我们通过运行窗口输入cmd,在命令行窗口输入Ipconfig /all。 ,可以查看当前数学网卡的数学地址,也就是它的mac地址。
有人说48位二进制补码不是48位。 这里的每一组都是一组16的补码,每组都是一组16的补码。 这样,48位二进制补码就被分成了6组16位补码。
正是有了mac地址,我们的计算机节点连接到交换机后,发送数据时软件应用层,就会在交换机的mac地址表中生成计算机节点的MAC地址与交换机端口的对应关系。转变。 当它的数据发送到目的节点时,就会广播到整个广播域。 整个网络中搜索IP地址的计算机节点都会收到这个广播包,只有目的地址才会收到响应。 目的节点收到响应后,该节点计算机的mac地址及其端口号在这些计算机的mac地址表中也有相应的记录。 这就是我们交换机地址学习的过程。
正是因为交换机上的mac地址和计算机端口的关系,我们才能在OSI七层模型的数据链路层对mac地址进行转发和过滤,最大限度地提高我们传输的效率,而不仅仅是第二层。除了交换机之外,还会有三层交换机。 三层交换机在园区网中通常用作核心交换机或汇聚交换机,实现三层转发。
第 4 部分:VLAN
VLAN的英文名称称为Virtual LAN。 首先我们先来说说什么是虚拟。 虚拟是指它并不真实存在,而是一个虚拟的虚拟局域网。
VLAN 是一种交换技术,使我们能够逻辑地定义网络。 这是一个非常简单的反例。
在我们的一间办公室里,有销售部门的朋友和财务部门的同学。 根据职能的定义,财务部同学的网络和销售部同学的网络不能在同一个网络。
这样就可以在交换机上利用VLAN来定义不同的网络,就像我们电脑的硬盘一样。 电脑硬盘本身只有一个数学硬盘,通过电脑打开后可以看到C盘、D盘、E盘等,而逻辑上我们有多个C盘,这就是虚拟的意思。
只有一个真正的数学开关。 通过VLAN技术,可以在逻辑上将其划分为多个网络,从而实现一种网络隔离,保证我们网络之间通信的安全。 这就是VLAN技术。
VLAN技术是我们校园架构中不可缺少的基础技术。 VLAN通常是根据化学交换机的端口来定义的。 另外,我们还可以通过IP地址和mac地址来定义。 主要定义仍然是根据化学交换机的端口来定义VLAN。
交换机上通常使用的插座主要有两种类型:
第一种类型的套接字称为 ACCESS 套接字。 ACCESS就是访问的意思,就是我们的计算机节点与交换机连接的插座。 另外,还有一个socket称为TRUNK端口,也可以传输多个网络的数据。 信息,也就是说我们交换机所连接的计算机节点所属的所有网络都可以通过主干道进行传输,这是我们网络传输的公共通道。
第五部分:内容路由技术
路由的字面意思就是路径。 通过路由技术,在OSI三层模型中,数据从原始地址传输到目标地址,传输过程中经过的每个节点称为路径。 。
在网络设备中,路径通过路由表显示。 每个数据包经过各个网络设备时,都会匹配该网络设备的路由表,并根据路由表转发数据。 到下一个网络设备。
网络设备中,路由表有两种形式,一种称为静态路由,另一种称为动态路由。
静态路由的路径是硬编码的。 即使网络中的路径出现问题,网络设备仍然按照建立的路由转发数据。
动态路由是指我们的路径是我们的网络设备根据一定的分段算法动态生成的,并且生成的路径会随时随着我们情况的具体变化而不断更新。 这些称为动态路由。
通常动态路由包括OSPF/Rip/EIGRP。 事实上,EIGRP是Cisco的私人合约。 另外,运营商也会使用相应的BGP。 通常校园网都会有一个或多个出口。 当只有一个出口时,校园网中的所有数据都会通过该路径出去。 。
我们会在校园网的出口设备上形成这样一条默认路由。 由于只有一条路线,也是唯一出去的路,所以这就是我们的默认路线,这条路线称为默认路线。
当我们有两条线路时,为了保证校园网的冗余,有时我们有两条出口线路。 当一条线路出现问题时,我们立即切换到另一条线路。 这称为浮动路由。
浮动路由主要实现校园网出口的备份和冗余。
第六部分:NAT地址转换技术
在计算机网络规划的早期,我们没有考虑到今天的IP地址会被使用得如此之多,计算机网络发展得如此之快。 因此,到明天,我们的IP地址,主要是IPV4地址,将不再足够。 如果还不够,就得想办法解决,于是新技术就应运而生了。 这些技术称为NAT网络地址转换技术。
通过在校园网中使用私网地址,并在出口设备上部署NAT地址,可以将私网地址转换为网段地址。 因此,在访问互联网时,在谈论私网地址之后的IP地址时,已经提到了私网地址。 网络地址,主要有三段地址:
通过NAT技术,可以保存大量的网段历史记录。 现在很多地方的运营商都向最终用户提供私网地址,校园网基本上都使用私网地址。 通过NAT技术,可以实现一个或少量网段地址即可满足校园网内所有私网地址的Internet访问。
NAT技术的实现主要有三种形式。 第一种称为静态NAT技术。 静态NAT技术主要用于服务器。 如果校园网中的服务器要被Internet上的计算机节点访问,就必须给该服务器分配一个网段地址。 静态NAT实现校园网中服务器的私网地址和网络地址。 网段地址之间是一一对应的,这就要求我们的每一个私网地址都对应互联网上的一个网段地址,从而实现静态的一一对应转换。
动态NAT是指我们通过网段地址构建地址池,私网地址从网段地址池中获取对应的网段地址来访问互联网。 当私有网络中的计算机不再在线时,其网段地址将释放动态NAT技术。
端口复用是什么意思?
端口复用是指一个网段地址的端口可以被校园网中的N多个私网地址复用,从而实现计算机网络访问Internet的一对多关系。
NAT技术是目前解决IP地址短缺最重要的技术,也是校园网络架构中必不可少的技术。 NAT技术通常是在我们的出口网段设备上实现的。 该设备可以是路由器或防火墙。 ,也可以是出口网段设备,只要支持NAT技术即可。
第七部分:网络设备类型
校园网络架构中看到的网络设备不仅仅是交换机和路由器,还包括防火墙、上网行为管理、流量控制设备、入侵检测设备、负载均衡设备和网络管理设备等。
上面我们已经说了,交换机主要实现了数据链路层,即OSI七层模型第二层的数据转发,而路由器则位于OSI七层模型网络层的第三层,其主要实现是基于数据包中的原始内容。 用于路由表转发的地址和MAC地址,
防火墙是一种能够有效隔离校园网与互联网的安全设备。 防火墙内部会定义不同的区域,并且它将认为所有来自外部的数据都是不安全的。 我们称之为Untrust软件应用层,这意味着我们不信任不安全的区域,但校园网络内的所有数据都被认为是安全的。 我们称之为信任数据。 通过防火墙的建设,我们可以定义不同区域的多个数据流。 适应校园网络安全需求的策略。 防火墙也是园区网络架构中必不可少的安全设备。
上网行为管理设备可以以日志的形式记录外部网络计算机节点的各种行为,同时拦截不允许访问的网站和不允许使用的程序; 其次,它可以有效地控制计算机网络中计算机的行为。 各种行为,同时为所有对应的线上行为提供对应的日志,为后期线上审计做准备。
流量控制设备是指对我们计算机校园网中的流量中的特殊应用进行相应的控制。 例如,在校园网中,如果没有流量控制设备,大量的P2P下载流量和P2P视频流量将极大地占用我们整个校园网的出口带宽,从而使计算机的上网体验变得糟糕。整个校园网络特别差。 通过流量控制设备,可以对最重要的应用进行控制和优先排序,比如http应用、短信应用等,同时将那些大流量限制在不是很重要的应用上。
其次,流量控制设备还可以限制我们计算机网络中每个IP地址的速度,保证我们计算机网络的有效使用。
入侵检测设备。 如今,校园网中的网络是一个非常重要的问题。 如何保证校园网络的安全就需要我们在网络中设置入侵检测设备。 它还可以根据相应的特征来衡量我的入侵检测设备。 无论校园网络是否受到入侵,都会有相应的入侵防御设备来拦截和阻止入侵。
负载均衡设备是应用交付设备中尤为重要的一类设备。 它的使用场景通常有两种。 第一种场景是负载均衡设备部署在我们校园网的出口处。 当有多个出口时,为了保证每个出口的带宽使用率,保证我们校园网内的流量能够按照我们既定的原则选择不同的出口,我们需要部署负载均衡设备。
举一个简单的反例,校园网有一个出口,有两个运营商。 我希望所有办公室的LTP合约都走A出口,所有下载和在线视频都走B出口。这样通过负载均衡就很方便了。 。
另一种使用负载均衡设备的场景是校园内有服务器,访问服务器的用户数量非常多。 一台服务器已经不能满足访问需求。 可以部署多台服务器来服务后端的所有服务器。 部署负载均衡设备,这样通过负载均衡设备,我们可以分担多台服务器的访问压力,保证我们所有的服务器都会得到相应的访问,不会对单台服务器造成过大的压力。
网络管理设备。 一个园区网络中会有很多、几十甚至上百个网络设备。 如果一一管理,工作量会非常大,一些严重的问题还会被忽视。 通过网管设备,可以实时解读整个校园网络的拓扑结构。 每个设备的一些具体的运行参数,比如它的CPU利用率、连接强度、端口流量等,都可以通过我们的网络来实现。 管理实时口译设备。
我们还可以查看设备之间线路的负载情况,使用了多少流量,线路占用的百分比是多少。 同时我们可以登录网管设备中的各个设备进行管理。 甚至可以批量传输网络设备的实时数据。
通过刚才的讲解,我们主要介绍了校园网架构中OSI七层模型所使用的主要设备类型,以便大家对网络部署有一个简单的了解。 园区网络通常部署将网络分为接入层设备、汇聚层设备和核心层设备,这意味着真正的网络部署将被定义为三个层次。
举个简单的反例,一所中学有很多教学楼。 每层楼都会有相应的计算机接入网络,每层楼都会部署相应的交换机和计算机节点进行直接连接。 我们将这种类型的交换机称为接入层交换机。
每栋教学楼都会有汇聚所有楼层的交换机设备,称为汇聚层交换机。
整个中学的所有流量都会汇聚到核心节点,位于核心节点的交换机称为核心交换机。
核心交换网络的出口网段通过出口网段与我们的运营商互连。 这就是整个网络部署的三个层次,核心层和出口网段之间会有串行或者旁路。 部署我们的应用交付设备,如上网行为管理、流量控制设备、入侵检测设备、入侵防御设备等,保证网络部署的有效性和安全性。
关于实际的网络部署和架构设计,我们已经介绍了这么多。 如果您想观看完整视频回放,也可以点击◁返回传送门▷查看课程。
