1 / 51

建立 WAN 原型

建立 WAN 原型. 计算机网络设计和支持 – 第 8 章. 学习目标. 目录索引. 8.1 建立远程连接的原型 8.2 建立 WAN 连接的原型 8.3 建立远程工作人员支持的原型. 8.1 建立远程连接的原型. 8.1.1 描述远程连接测试方法. 设计人员可以使用三种不同的方案来测试远程连接设计: 模拟软件 使用模拟链路的原型测试 实际环境中的试行测试. 8.1.2 用模拟软件测试 WAN 连接. 使用模拟软件包的好处是: 总成本低 — 构建和维护测试网络成本较高。

lily
Download Presentation

建立 WAN 原型

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 建立WAN原型 计算机网络设计和支持– 第8章

  2. 学习目标

  3. 目录索引 • 8.1 建立远程连接的原型 • 8.2 建立WAN连接的原型 • 8.3 建立远程工作人员支持的原型

  4. 8.1建立远程连接的原型

  5. 8.1.1 描述远程连接测试方法 • 设计人员可以使用三种不同的方案来测试远程连接设计: • 模拟软件 • 使用模拟链路的原型测试 • 实际环境中的试行测试

  6. 8.1.2 用模拟软件测试WAN连接 • 使用模拟软件包的好处是: • 总成本低— 构建和维护测试网络成本较高。 • 灵活性 — 模拟软件可以支持多种不同类型的设备和连接选项。在模拟环境中更改配置和拓扑通常要比使用实际环境时更快更方便。 • 可扩展性— 在实验室环境中建立大型网络或复杂网络耗时且易出错。如果使用模拟程序,则可以在较短的时间里测试大型网络。 • 可控制性—网络设计人员可以决定通过网络发送的流量类型以及发送流量的速率。设计人员还可以停止模拟以便在网络的不同位置捕获和检查数据包。 .

  7. 8.1.2 用模拟软件测试WAN连接 • 使用模拟软件程序验证网络设计也有一些缺点: • 功能有限 - 软件程序在供公众使用之前很早就已设计和编写,因此可能会很快过时。此外,软件可能只支持实际环境的部分功能。 • 性能脱离实际 - 软件程序员不可能预测和模拟实际网络中可能发生的所有情况。因此,依赖于从模拟软件中得到的计时估计值和性能估计值未免有些冒险。

  8. 8.1.3 在实验室环境中模拟WAN连接 • 在实验室环境中用原型法模拟WAN连接: • 要模拟 DSL WAN 连接或电缆 WAN 连接,可以使用以太网连接。大多数以太网接口可设置为 10 Mb 连接,这与通过 DSL 或电缆提供的连接类型相似。 • 对接口使用 bandwidth命令可以将路由协议度量调整为模拟低速链路的度量。

  9. 8.1.3 在实验室环境中模拟WAN连接 • 有两种常见方法可用于模拟串行连接: • CSU/DSU 或串行调制解调器 • V.35 电缆 • 如果有现成的 CSU/DSU 或调制解调器,采用图中方法,一台 CSU/DSU 或调制解调器配置为提供 DCE 功能。另一台设备配置为 DTE 设备。

  10. 8.1.3 在实验室环境中模拟WAN连接 • 如果没有现成的 CSU/DSU 或调制解调器, 使用V.35电缆 • 可以使用两根串行 V.35 电缆来模拟点对点 WAN 连接。一根电缆必须为 V.35 DCE 电缆,而另一根必须为 V.35 DTE 电缆。 • 一台路由器必须配置为 DCE 设备(对接口使用 clock rate 命令可完成该配置)。

  11. 8.2 建立WAN连接的原型

  12. 8.2.1 确定WAN目标和要求 • 体育场管理部门的高优先级目标是将新的 IP 电话系统和视频监控网络延伸到当前远程站点。设计人员建议使用帧中继来连接球队 A 新的远程办公室和 FilmCompany 的办公室。通过 Internet 的现有 VPN 保留在新设计中,以作为新 WAN 的备份。 • 设计人员决定建立原型来模拟 WAN 连接。该原型测试配置以及链路故障情况下的故障转移功能

  13. 8.2.2 创建测试计划 • 设计人员创建测试拓扑图、安装核对表和测试计划来演示帧中继连接。

  14. 8.2.2 创建测试计划 决定模拟WAN连接的各个要素: • 必须使用充当帧中继交换机的 Cisco 路由器来模拟该连接。此路由器标识为 FR1。 • 它使用交叉连接来连接到拓扑中的其它路由器。在 NetworkingCompany,此交叉功能是通过将一根 V.35 DTE 电缆直接连接到一根 V.35 DCE 电缆来创建的。 • 由于测试拓扑中不存在 CSU/DSU,因此 FR1 路由器接口配置了时钟速率来提供 DCE 功能。

  15. 8.2.3 检验设备和拓扑的选择 • 每条帧中继链路至少有三个组件: • 将本地 CPE 路由器连接到 TSP 帧中继交换机的本地点对点电路 • TSP 分组交换网络 • 将远程站点连接到 TSP 网络的远程点对点电路 • 帧中继拓扑与 ISP 管理的现有 VPN 连接有着根本性的不同。帧中继链路是跨越一系列连接的虚电路,不是两个站点间的物理连接

  16. 8.2.3 检验设备和拓扑的选择 • 本地环路:本地环路将提供商帧中继交换机连接到体育场驻地的 CSU/DSU。该连接随后端接于 CPE 路由器的串行端口。 • 数据链路连接标识符:每一个虚DLCI 通常只在本地环路中有意义。电路端点由数据链路连接标识符 (DLCI) 标识。

  17. 8.2.3 检验设备和拓扑的选择 • 有保证的数据速率: 承诺信息速率 (CIR) 指定了网络在正常情况下提供的最大平均数据速率。CIR 小于等于本地访问速率。 • 零 CIR:意味着每一帧都是 DE 帧,网络可以在拥塞时丢弃任何帧。CIR 设置为零的服务没有保证。 • 本地管理接口:本地管理接口 (LMI) 是路由器(DTE 设备)与本地帧中继交换机(DCE 设备)之间的信号标准。LMI 负责管理路由器与帧中继交换机之间的连接并维护状态。

  18. 8.2.3 检验设备和拓扑的选择 • FECN 通知目的设备网络路径中出现拥塞。FECN 位是在帧中继帧报头中的 Address 字段内。 • BECN 将网络路径中的拥塞情况通报给源设备。BECN 位也在帧中继帧报头中的 Address 字段内。

  19. 8.2.3 检验设备和拓扑的选择 • 练习

  20. 8.2.4 建立WAN原型 • 建立帧中继WAN原型: • 配置路由器充当帧中继交换机 • 配置帧中继路由 • 配置串口为DCE设备 • 配置封装类型

  21. 8.2.4 建立WAN原型 • 逆向 ARP 和帧中继映射

  22. 8.2.4 建立WAN原型 • 逆向 ARP 和帧中继映射

  23. 8.2.4 建立WAN原型 • 共享一个接口的多条链路对于距离矢量路由协议更新可能会造成问题。水平分割阻止路由表更新从接收它们的同一个接口上离开。

  24. 8.2.4 建立WAN原型 • 两种帧中继子接口类型: • 点对点:广播在这种环境中不是问题,因为路由器以点对点方式连接,并且作用类似于租用线路。 • 多点: 一个子接口用于建立与远程路由器上的多个物理接口或子接口相连的多个 PVC 连接。此配置不解决水平分割问题。为了使距离矢量路由协议可用于多点链路,必须关闭水平分割。

  25. 8.2.4 建立WAN原型 • 检验帧中继

  26. 8.2.4 建立WAN原型 • 检验帧中继

  27. 8.2.4 建立WAN原型 • 检验帧中继

  28. 8.2.4 建立WAN原型 • 检验帧中继

  29. 8.2.4 建立WAN原型 • 检验帧中继

  30. 8.2.5 帧中继运作故障诊断 提供和测试备份功能: • 设置以太网连接,这些以太网连接旨在模拟远程站点与体育场主网络之间的现有 VPN:(VPN做为备份) • 创建浮动静态路由,以便在帧中继链路出现故障时使用备份链路。

  31. 8.2.5 帧中继运作故障诊断 • 诊断主链路故障 • 检查帧中继接口状态 • 检验 LMI 运作

  32. 8.2.5 帧中继运作故障诊断 • 调试 LMI 交换: debug frame-relay lmi • 检查第 3 层功能: frame-relay map ip

  33. 8.2.6 确定风险和弱点 • 确定设计中的风险和弱点 • 风险领域: 最关键的风险领域是用作备份的 VPN 链路在正确工作时性能如何。 • 当网络的语音和视频组成部分添加到现有 WAN 流量时,如果必须使用 VPN 连接,就可能出现服务质量问题。

  34. 8.3 建立远程工作人员支持的原型

  35. 8.3.1 确定VPN 的目标和要求 • 球队办公室要求:球队办公室需要安全的方法来让球探连接到球队服务器。球探需要在远离体育场时将候选球员的信息传送到球队服务器。 • VPN 工作方式: VPN 模拟点对点链路。VPN 用提供路由信息的报头封装数据。此格式使数据能通过公共网络传到其目的地。

  36. 8.3.1 确定VPN 的目标和要求 • VPN 安全性:VPN 用户可以从未受到完全保护的设备或者从公共区域中不安全的位置访问网络。 • VPN 服务器位置: 要在 VPN 服务器端点上将加密数据解密之后,才能过滤这些数据。它所在的位置必须是在传入的数据包发送到内部网络资源之前可检查并过滤这些数据包的位置。

  37. 8.3.2 建立测试计划

  38. 8.3.2 建立测试计划 • 网络设计人员创建测试计划来检验 Cisco EasyVPN 是否适用于为体育场配置 VPN 服务器以及设置客户端软件。

  39. 8.3.3 验证VPN拓扑、设备和拓扑的选择 • VPN 有两个重要组件: • 用于创建虚拟网络的隧道 • 用于实现私密性和安全性的加密 • 虚拟网络:要建立虚拟网络,需要在两个端点间创建隧道 • VPN 隧道协议: • 通用路由封装 (GRE) • IP 安全性 (IPSec) • 第 2 层转发 (L2F) 协议 • 点对点隧道协议 (PPTP) • 第 2 层隧道协议 (L2TP)

  40. 8.3.3 验证VPN拓扑、设备和拓扑的选择 • 加密算法: • DES /AES/3DES • DH1/DH2/DH5

  41. 8.3.3 验证VPN拓扑、设备和拓扑的选择 • 加密算法: • DES /AES/3DES • DH1/DH2/DH5

  42. 8.3.3 验证VPN拓扑、设备和拓扑的选择 • 为了防止有人截获并修改 VPN 数据,可以使用数据完整性算法。 • MD5 • SHA

  43. 8.3.4 建立远程工作人员VPN连接的原型 • IPSec 依赖于现有算法来实现加密、验证和密钥交换。配置 VPN 服务器时,必须配置以下设置: • IPSec 协议 — 可以选择封装安全负载 (ESP)、验证报头 (AH) 或者 ESP 与 AH 相结合。 • 适用于所要安全级别的加密算法 — 可选择 DES、3DES 或 AES。 • 提供数据完整性的验证算法 — 可选择 MD5 或 SHA。 • Diffie-Hellman 组 — 可选择 DH1、DH2 和 DH5(如果支持 DH5)。

  44. 8.3.4 建立远程工作人员VPN连接的原型 • 分割隧道: 分割隧道可使用户通过隧道仅发送目的地为企业网络的流量。所有其它流量通过 VPN 客户端的本地 LAN 发送到 Internet。.

  45. 8.3.5 验证VPN服务器的位置 • VPN 服务器放置:VPN 服务器通常放置在网络的 WAN 边缘。.在这样的情况下,防火墙或 ACL 可用于确保 VPN 用户只能访问适当的网络资源。

  46. 8.3.6 确定风险和弱点 • 确定VPN设计中的风险和弱点

  47. 8.3.6 确定风险和弱点 • 练习

  48. 总结 • 测试远程连接选项可能比测试 LAN 设计更困难。 • 设计人员可使用三种不同的方法来测试远程连接设计。 • 计算机软件程序(如 Packet Tracer)为设计人员提供了测试工具,便于他们在实际环境中实施配置之前先测试配置。 • 使用模拟的缺点是功能有限或者报告的性能估计值脱离实际。 • 使用交叉电缆和特殊的设备配置可以在原型环境中模拟 WAN 连接。 • 在使用交叉电缆连接两个串行接口时,必须让一台设备为电路提供时钟功能。在 Cisco 路由器上,这使用 clock rate 命令完成。

  49. 总结 • 每条帧中继链路有至少三个组件。 • 一条物理本地环路可携带多条虚电路。每一个虚电路端点由数据链路连接标识符 (DLCI) 标识。 • 承诺信息速率 (CIR) 指定网络在正常情况下提供的最大平均数据速率。 • 管理网络中的流量传输,帧中继实现了BECN/FECN。 • 逆向地址解析协议(逆向 ARP)提供了创建 DLCI 到第 3 层地址动态映射的机制。 • 帧中继是非广播型多路访问 (NBMA) 协议。这意味着接口上的每个虚电路都视作单独的本地网络。 • 将路由器配置为在主链路不可用时使用备份链路的方法之一是创建浮动静态路由。浮动静态路由的管理距离大于对应动态路由的管理距离。

  50. 总结 • VPN 是内部专用网络的扩展。VPN 通过共享网络或公共网络(如 Internet)安全地传送信息。 • VPN 有两个重要组件:用于创建虚拟网络的隧道、用于实现私密性和安全性的加密 • 隧道方法包括:GRE、IPSec、L2F、 PPTP、L2TP • 加密算法包括:DES、3DES、AES、RSA • 可通过使用密钥交换方法来配置密钥。Diffie-Hellman (DH) 密钥协议是一种公钥交换方法。 • 为了防止有人截获并修改 VPN 数据,可以使用数据完整性算法来为消息添加哈希码。 • IPSec 是一种开放标准框架。它提供数据机密性、数据完整性以及对等参与方之间的数据验证。IPSec 在第 3 层提供这些安全服务。

More Related