网络架构与互联技术课件

网络架构与互联技术本课程聚焦计算机网络基础理论与实践应用，涵盖从局域网到广域网的全面技术内容课程深入解析交换与路由关键技术，帮助学生建立完整的网络架构知识体系课程概述理论与实践结合思科设备实操系统化学习采用理论讲解与实验操作相结合的基于思科网络设备进行实操演练，教学方法，确保学生既掌握理论知让学生熟悉业界主流网络设备的配识，又具备实际操作能力置与管理学习目标网络架构设计掌握网络架构设计核心理念设备配置管理精通交换机与路由器配置路由协议原理熟悉各类路由协议工作原理网络规划实施具备大型网络规划与实施能力第一部分网络基础知识网络通信原理网络分层模型深入了解计算机网络中数据传输的基本原理，包括信号编码、详细解析七层参考模型和四层模型，理解各层的OSI TCP/IP传输介质特性以及通信协议的基础概念掌握数字信号与模拟功能职责和相互关系学习网络协议栈的工作机制和数据封装信号的转换过程过程网络分层模型应用层协议、、等应用层协议HTTP/HTTPS FTPSMTP传输层服务可靠传输与快速传输机制TCP UDP网络层路由协议与路由选择算法实现IP数据链路层以太网帧格式与地址寻址MAC网络协议标准系列标准化协议发展史IEEE802IETF以太网标互联网工程任务组从到现代IEEE

802.3ARPANET准、无制定的互联网互联网的协议演进历IEEE

802.11IETF线局域网标准以及标准，包括文档程，分析各个时期主RFC体系、标准制定流程要协议的技术特点和IEEE

802.1Q标准的详细解以及主要协议标准的应用背景VLAN析，包括技术规范和发展历程应用场景分析网络拓扑结构星型拓扑总线型拓扑中心节点控制的集中式结构共享传输介质的线性结构•易于管理和维护•布线成本低•故障隔离性好•适合小型网络•扩展性强•故障影响范围大网状拓扑环型拓扑多路径冗余的复杂结构环形连接的循环结构高可靠性•数据传输有序••多路径选择•无冲突传输•成本较高•单点故障风险网络传输介质双绞线技术光纤传输无线传输、、等不同类别双绞线的单模光纤与多模光纤的技术特点和应用差、等无线传输技术的发展趋势，Cat5e Cat6Cat6a Wi-Fi65G技术参数对比，包括传输距离、带宽容量和异，光纤连接器类型和光模块选择分析光无线传输的频段分配和干扰问题分析无线抗干扰能力分析屏蔽与非屏蔽双绞线的应纤传输的优势和成本考虑因素网络部署的关键考虑因素用场景•单模光纤长距离传输，成本较高•更高吞吐量和更低延迟Wi-Fi6•Cat5e:100MHz带宽，100米传输距离•多模光纤短距离高带宽，性价比好•技术毫米波和频段5G Sub-6GHz•Cat6:250MHz带宽，更好的抗干扰性•光模块、、等规格•干扰管理信道规划和功率控制SFP SFP+QSFP+•带宽，支持Cat6a:500MHz10Gbps传输第二部分网络互联设备第一代设备中继器、集线器等物理层设备，共享冲突域的集中式连接方式第二代设备网桥技术的出现，开始进行冲突域分割和地址学习MAC第三代设备交换机全面普及，实现端口级冲突域隔离和线速转发第四代设备路由器技术成熟，支持三层转发和复杂路由协议网络互联设备概述物理层设备中继器和集线器工作在物理层，主要功能是信号放大和多端口连接，所有端口共享一个冲突域数据链路层设备网桥和交换机工作在数据链路层，通过地址学习和转发，实现冲突域分割和流量隔离MAC网络层设备路由器工作在网络层，基于地址进行路由选择，连接不同网段并控制广播域IP应用层设备各类网关设备工作在应用层，提供协议转换、安全控制和应用优化等高级功能网络接入设备调制解调设备无线接入点、、光猫等宽带接ADSL CableModem网络适配器企业级无线的配置要点，包括信道规入设备的工作原理和配置方法了解不同AP以太网卡、无线网卡等终端接入设备的技划、功率调整、安全认证和漫游优化分接入技术的带宽特性和稳定性表现术参数分析，包括传输速率、接口类型和析技术对无线网络性能的提升效Wi-Fi6驱动程序兼容性重点关注千兆和万兆网果卡的性能差异网络交换设备4810Gbps端口密度上行带宽主流企业交换机的端口数量规格现代交换机的上行链路传输速率2000Gbps交换容量高端交换机的背板带宽能力二层交换机通过地址表进行帧转发，实现同一内的通信三层交MAC VLAN换机集成路由功能，可以进行不同间的快速转发交换机选型需要考虑VLAN端口密度、背板带宽、缓存容量和管理功能等关键指标网络路由设备路由表查询数据包转发路由器根据目标地址查询路由表，选基于路由决策结果，将数据包从入接口IP择最佳路径进行数据转发转发到相应的出接口性能优化路由更新监控网络状态，优化路由路径选择和负通过路由协议与相邻路由器交换路由信载均衡策略息，动态更新路由表特殊功能设备负载均衡器防火墙设备网关VPN通过智能流量分发算法，将用户请求均匀基于预定义安全策略对网络流量进行过滤为远程用户和分支机构提供安全的网络连分配到多台服务器，提高系统整体性能和和控制，防止未经授权的访问和恶意攻接，通过加密隧道技术确保数据传输的安可用性支持第四层和第七层负载均衡策击支持状态检测和深度包检测技术全性和完整性略第三部分交换技术交换基本原理广播域控制以太网交换技术基于地址表进行帧转发决策，通过学习技术通过逻辑分割实现广播域控制，有效减少广播风暴MAC VLAN机制自动构建和维护地址表交换机为每个端口提供独对网络性能的影响合理的设计能够提高网络安全性和MAC VLAN立的冲突域，大幅提升网络性能管理效率以太网交换基础地址学习MAC交换机通过检查收到帧的源地址，自动学习并记录端口与地址的MAC MAC对应关系，建立动态地址表MAC帧转发决策根据目标地址查询地址表，决定从哪个端口转发帧如果目标地MAC MAC址未知，则进行洪泛转发全双工通信现代交换机支持全双工模式，允许同时进行发送和接收操作，有效提升链路利用率和网络性能流量控制通过流量控制机制防止接收缓冲区溢出，确保数据传输的可靠性和网络的稳定运行交换机基础配置访问初始配置端口配置配置保存CLI通过、或设置主机名、管理地址和配置端口速率、双工模式和将运行配置保存到启动配置Console TelnetIP方式访问命令行接口访问密码归属文件SSH VLAN技术原理VLAN类型配置方式应用场景优缺点VLAN基于端口静态分配端口部门网络划分配置简单，灵到活性较差VLAN基于根据地移动办公环境用户移动灵MAC MAC址分配活，管理复杂基于协议根据网络协议多协议网络环协议隔离好，分配境配置复杂基于子网根据地址三层网络设计网络层集成，IP分配需要路由高级应用VLAN中继技术协议管理多交换机部署VLAN VTP通过标准在单个物理链路上传输中继协议用于在交换机之间在大型网络中部署需要考虑层次化

802.1Q VLANVTP VLAN多个的流量中继端口可以同时传同步配置信息通过域管理，设计、规划和流量优化合理的VLAN VLANVTP VLAN输多个的帧，通过标签进行可以集中配置和分发信息设计能够提升网络性能和管理效率VLAN VLAN VLANVLAN识别和转发•服务器模式配置VTP•配置•核心汇聚接入三层架构Native VLAN•客户端同步机制--VTP•允许列表管理•间路由策略VLAN•透明模式应用VLANVTP•中继协商协议•负载均衡配置DTP生成树协议根桥选举通过比较网桥优先级和地址，选举出根桥作为生成树的中心MAC节点路径计算计算到根桥的最短路径成本，确定每个交换机的根端口和指定端口端口阻塞将可能形成环路的端口设置为阻塞状态，防止网络中出现广播风暴拓扑收敛网络拓扑稳定后，所有交换机达成一致的生成树视图，完成收敛过程链路聚合技术带宽利用率故障恢复时间秒%交换机安全技术端口安全动态检测DHCP SnoopingARP通过限制端口可学习监控消息，建基于DHCP DHCP的地址数量和指立绑定表，数据库验证MAC IP-MAC Snooping定允许的地址，防止伪造服务数据包的合法MAC DHCPARP防止地址泛洪攻器攻击和地址冲突性，防止欺骗攻MAC IPARP击和未经授权的设备问题，确保服击和中间人攻击，维DHCP接入网络务的安全性护网络通信安全第四部分路由技术路由算法距离矢量与链路状态算法路由协议、、、协议RIP OSPFEIGRP BGP路由表静态路由与动态路由管理数据转发基础的包转发与路径选择路由基础知识路由与转发区别路由表结构路由是指路由协议计算和维护路由表的过程，涉及网络拓扑发路由表包含目标网络、子网掩码、下一跳地址、出接口和管理现和最优路径选择转发则是指根据路由表将数据包从入接口距离等关键信息路由器根据最长匹配原则选择最精确的路由转发到出接口的硬件过程条目进行转发现代路由器采用控制平面和数据平面分离的架构设计，控制平路由表通过静态配置和动态学习两种方式填充，动态路由协议面负责路由计算，数据平面负责高速转发，实现了性能与功能能够自动适应网络拓扑变化，提供更好的可扩展性和容错能的最优平衡力静态路由技术基本静态路由通过手动配置指定到达目标网络的路径，包括目标网络地址、子网掩码和下一跳地址静态路由配置简单直观，适用于网络拓扑相对稳定的IP小型网络环境默认路由配置配置默认路由，为路由表中没有明确条目的目标网络提供

0.

0.

0.0/0转发路径默认路由通常指向上级路由器或互联网网关，是网络连通性的重要保障浮动静态路由通过设置不同的管理距离值，为同一目标网络配置备份路由路径当主路径失效时，备份路径自动生效，提供基本的链路冗余和故障恢复能力动态路由概述距离矢量协议链路状态协议基于距离和方向信息基于网络拓扑信息•协议简单易配置•协议功能强大RIP OSPF•收敛速度相对较慢•收敛速度快•适用于小型网络•适用于大型网络路径矢量协议混合协议基于路径属性信息结合两种算法优势•互联网路由•专有协议BGP EIGRP策略路由支持•快速收敛••可扩展性强•资源消耗适中路由协议RIP版本对比使用有类路由，不支持和支持无类路由，增加RIPv1VLSM CIDRRIPv2了子网掩码信息和认证功能，向后兼容RIPv1更新机制每秒进行一次定期更新，发送完整的路由表信息支持触发更新机制，30在网络拓扑变化时立即发送更新信息计时器管理更新计时器秒，无效计时器秒，刷新计时器秒通过计时器机30180240制检测链路故障和维护路由表的准确性环路防止采用水平分割、毒性逆转和最大跳数限制等机制防止路由环路最大跳数限制为跳，第跳被认为是不可达1516路由协议OSPF邻居发现通过报文发现邻居路由器，建立和维护邻接关系间隔Hello Hello10秒，间隔秒，确保网络连通性监控Dead40数据库同步通过链路状态通告交换拓扑信息，建立完整的网络拓扑数据库LSA所有路由器维护相同的拓扑视图计算SPF运行算法计算到达各个目标网络的最短路径，生成无环路的最Dijkstra优路由表区域划分通过区域划分减少泛洪范围，提高网络可扩展性骨干区域LSA Area连接所有其他区域0路由协议EIGRP路由协议BGP协议设计目标与eBGP iBGP是互联网核心路由协议，设计用外部用于不同自治系统之间的路BGP BGP于在自治系统之间交换路由信息协由交换，内部用于同一自治系统BGP议支持复杂的路由策略和策略路由，内的路由同步需要全连接或路iBGP能够处理互联网规模的路由表由反射器联邦配置/•自治系统间路由•间连接，eBGP:AS TTL=1•策略路由支持•内同步，iBGP:AS TTL=255•可扩展性设计•路由反射器简化iBGP属性BGP使用多种路径属性进行路由选择，包括、、BGP AS_PATH NEXT_HOP等通过属性操作实现精细的路由策略控制LOCAL_PREF•强制属性:ORIGIN,AS_PATH•可选属性:LOCAL_PREF,MED•策略路由实现路由重分布协议互联度量转换在运行不同路由协议的网络区域之间建不同路由协议使用不同的度量值，重分立连接，实现全网路由可达性布时需要进行度量值转换和映射性能优化路由过滤合理设置重分布参数，避免路由振荡和通过路由映射和分布列表控制重分布的网络不稳定问题路由条目，防止路由环路第五部分广域网技术传统时代WAN IPWAN SD-WAN5G基于电话网络的专线、帧基于网络的软件定义广域网技术的兴专网和边缘计算推动的IP MPLS VPN5G中继和技术时代和普及期起和快速发展新一代架构ATM IPSec VPN WAN广域网概述技术特点对比主流解决方案广域网覆盖地理范围广，通常跨越城市或国家，依赖电信运营现代企业广域网解决方案包括、、MPLS VPNIPSec VPN商提供的基础设施相比局域网，广域网具有更高的延迟、更等多种技术选择方案需要综合考虑成本、性能、SD-WAN低的带宽和更复杂的管理需求安全性和管理复杂度等因素广域网技术发展从电路交换演进到分组交换，再到现在的软件混合架构成为趋势，结合多种连接技术实现成本优化和WAN定义网络架构，技术复杂度和灵活性不断提升性能提升，为企业提供更灵活的网络连接选择传统广域网技术帧中继技术基于虚电路的分组交换技术，通过标识不同的虚电路连接支持承诺信息速率和突发传输，成本效益较高但技术相对老旧DLCI CIR网络ATM异步传输模式使用固定长度字节信元进行高速交换，支持多种服务质量等级技术先进但设备昂贵，主要应用于核心网络53串行协议和协议用于点对点串行链路连接，支持认证和多协议封装，广泛应用于拨号和专线接入场景HDLC PPPPPP现代广域网技术云连接优化直接云接入和混合云连接架构SD-WAN2软件定义的智能路径选择技术MPLS标签交换和流量工程传统WAN专线和帧中继基础连接现代广域网技术以为核心，提供可靠的企业级连接服务技术通过软件定义实现智能路径选择和应用优化，大幅降低成本并提MPLS SD-WAN升管理效率专网为企业提供了新的高速无线连接选择5G技术详解VPN

25699.9%50ms加密强度可用性延迟控制位加密算法保障数据安全企业级服务可用性保证优化后的连接延迟指标AES-256VPN VPN提供网络层安全连接，支持站点到站点和远程访问两种模式通过浏览器提供简便的远程访问，无需客户端软IPSecVPNSSL VPNWeb件由运营商提供的三层服务，具有良好的性能和安全隔离选择需要平衡安全性、性能、成本和易用性等多个因MPLSVPN VPNVPN素广域网接入技术下行带宽上行带宽延迟Mbps Mbpsms第六部分网络安全技术威胁分析访问控制识别和分析各种网络安全威胁，包括恶意软件、攻通过、防火墙和认证系统实现细粒度的网络访问控DDoS ACL击、数据泄露和内部威胁等安全风险制，确保只有授权用户和设备能够访问网络资源地址转换防护策略技术隐藏内部网络结构，提供基础的安全防护，同时制定和实施综合性的网络安全防护策略，建立多层次的安NAT解决地址短缺问题全防御体系IPv4网络安全基础恶意软件攻击DDoS病毒、蠕虫、木马等威胁分布式拒绝服务攻击文件感染型病毒•流量型攻击••网络蠕虫传播•协议攻击2•后门木马控制•应用层攻击内部威胁社会工程来自内部的安全风险钓鱼和欺骗攻击•权限滥用•邮件钓鱼数据泄露•网站仿冒••恶意破坏电话诈骗•访问控制列表ACL标准ACL基于源地址进行过滤控制，编号范围和IP1-991300-1999应用于靠近目标的位置，避免影响合法流量的传输路径扩展ACL基于源、目标、协议类型和端口号进行精细控制编号范围IP IP和，应用于靠近源的位置100-1992000-2699命名ACL使用有意义的名称替代数字编号，便于管理和维护支持动态修改和重新排序，提高配置灵活性应用ACL在接口上应用入站或出站方向的过滤规则，可用于流量控制、安全防护和路由过滤等多种场景网络地址转换NAT类型地址映射方式连接数限制应用场景NAT静态一对一固定映等于公网数服务器发布NAT IP射量动态动态分配公网等于池大小临时访问NAT IPIP端口复用技术理论上普通上网PAT个65536双向双向地址转换根据配置决定网络合并NAT防火墙技术包过滤防火墙基于地址、端口号和协议类型进行包级别的过滤控制工作在网络IP层，处理速度快但安全性相对较低，无法检测应用层攻击和状态信息状态检测防火墙维护连接状态表，跟踪连接的建立和终止过程能够识别合TCP法的返回流量，提供更高的安全性和更好的性能表现应用层防火墙深度检测应用层数据内容，能够识别特定应用协议和攻击特征提供最高级别的安全防护，但会增加网络延迟和处理开销第七部分网络管理性能管理故障管理配置管理监控网络设备和链实时检测和报告网集中管理网络设备路的性能指标，包络故障，提供故障配置，实现配置标括带宽利用率、延定位和诊断功能，准化、版本控制和迟、丢包率等关键快速恢复网络服务，自动化部署，提高参数，确保网络运最小化业务中断时网络管理效率和一行在最佳状态间致性安全管理监控网络安全状态，管理访问权限和安全策略，检测和响应安全威胁，保护网络资源安全。