网络基础知识讲解.pptx

1、计算机网络基础知识,WU JUNLIANG Junliang_wucn.synnex- 2011-05-08,议 程,网络入门 网络搭建,网络入门篇,什么是网络,网络简单的说就是通过线路及网络设备将各独立的主机连接起来，主要目的是通信及资源共享。,网络的分类,按地域划分： 局域网（LAN） 覆盖范围较小，连接速度较快（100M或1000M），通常指一个办公室、一座大楼或一个园区的网络。 城域网（MAN） 一般是指电信运营商在某个城市的骨干网（如电信、联通、移动、教育网等） 广域网（WAN） 通过租用电信运营商的线路，将不同地点的多个LAN连接起来的网络，称为广域网（常见的如政府的政务内网、银行

2、网络、证券公司网络）,网络的分类（续）,按传输介质分类： 有线网络 利用双绞线（网线）、光纤、同轴电缆连接起来的网络都叫作有线网络。 无线网络 数据传输基于无线电波来进行的，如蓝牙、卫星、3G、微波等，我们常规意义上讲的无线网络是指无线局域网（WLAN），使用2.4G或5G频率，通过无线控制器进行连接。,网络的构成,网络终端（电脑、PDA、手机等） 布线系统（线材、配线架、插座模块、机架机柜等） 网络设备（交换机、路由器、防火墙等）,什么是交换机,交换机： 它的作用可以简单的理解为将一些机器连接起来组成一个局域网。交换机是在局域网中最常用的设备，连接的计算机数量越多，所需要的交换机也越多。,用

3、户关注的参数,用户比较关注的几个参数： 接入端口的速率为10/100M还是10/100/1000M，10/100M俗称百兆交换机，10/100/1000M俗称千兆交换机。 接入端口的数量：一般为24口或48口 上行端口的类型及速率：接口类型为电口、还是光口、还是光电复用口（Combo)；接口速率为千兆（1000M）还是万兆（10Ge) 背板带宽：理论上背板带宽越大越好，理想状态是线速（接口速率）转发而无堵塞或延迟。线速转发所需背板带宽可以通过公式计算，假设一个24口百兆交换机，带两个千兆上行接口，所需背板带宽为：24100M221000M28.8G，一台2960交换机，背板带宽为16G，完全满

4、足线速转发要求。 是否支持POE功能：POE是指交换机端口除可以进行数据连接外，还可以提供电源支持，在一根网线中同时传输数据和提供电源。,交换机的命名规则,命令规则： WS-C 2960 -48T C- LA B C D E 共有五部分组成，其中： A: 代表交换机（固定配置或交换机机箱，WS-X代表板卡） B: 代表交换机系列 C: 代表多少个接口端口及接入端口的类型 D: 上行端口的类型 E: 交换机IOS软件的类型 思科交换机端口类型简写： RJ45电口：T 支持POE供电的电口：P（此外可能还会出现LP及FP） 1000M SFP接口：S 10Ge接口：D RJ45电口与SFP复用：C

5、,交换机的命名规则（续）,E字段IOS软件类型： -C: Lan lite版本，简化的二层IOS Image -L: Lan base版本，正常的二层IOS Image -S: Ip base版本，基本的三层IOS Image -E: Ip service版本，增强的三层IOS ImageB字段交换机系列： 在字段，如果后面带字母的，基本上全部是1000M交换机（带V2的除外），如2960S，2960G，3750G，3560X等,什么是VLAN,对于可管理交换机（不可管理的交换机俗称傻瓜交换机），一般都支持VLAN划分。Vlan是指将一个物理交换机划分成为若干个逻辑交换机，可以将任意端口划分到

6、一个VLAN中，各VLAN之间默认互相隔离不能通信。 VLAN划分可以跨多个交换机，多个交换机之间通过TRUNK连接后，相同的VLAN组成一个逻辑交换机。,交换机分类,根据交换机是否可扩展来划分： 固定配置交换机（2960/3560/3750等）不可以扩展接入端口的数量 模块化交换机（4500/6500/N7K）可以通过增加相应的接口板来扩展接入端口的数量 根据是否支持路由划分： 二层交换机（2XXX开头的都是二层换机） 三层交换机（3XXX开头及以上的都是三层交换机） 二层与三层交换机最简单的的判断方法有两条： 1、2XXX开头的交换机都是二层交换机 2、3XXX开头的交换机，软件版本是IP

7、 base或Ip service是三层交换机，软件版本是Lan base的是二层交换机,什么是路由器,什么是路由器：路由器是一种连接多个网络的网络设备，它能将不同网络或网段之间的数据信息进行“翻译”，以使它们能够相互“读”懂对方的数据，从而构成一个更大的网络。简单的讲，路由器的主要应用就是连接不同的网络，将数据包从一个网络传递到另一个网络。路由：数据包从一个网络传递到另一个网络所走的路叫路由，路由器会根据适当的算法，计算出到达目的地的最佳路线，并将数据转发出去。,用户关注的参数,用户比较关注的几个参数： 标配接口的速率、数量、类型 包转发率 内存容量 Flash容量 扩展插槽数量及类型（低端固

8、定配置路由器不可扩展，如800系列，1800系列）,路由器命名规则,路由器命名规则： CISCO xxxx xxxA B C A：路由器固定开头 B：路由器型号 C：路由器默认捆绑的功能（最基本型号无此字段）如：Cisco2801，这是一台最基本的2801路由器，标配 Cisco3845-sec/K9，代表这台路由器支持安全特性,路由器接口卡命名规则,接口卡命名规则： HWIC-xxx： 高速广域网接口卡（High Wan Interface Card），此类接口卡一般用于连接广域网线路。如HWIC-1T VWIC-xxx： 语音广域网接口卡（Voice Wan Interface Card）

9、，此类接口卡可支持语音信道及广域网线路。如VWIC-1MFT-T1/E1 VIC-xxx： 语音接口卡，一般用于连接电话线路，如VIC2-4FXO 以上三种类型的模块可用于HWIC插槽及EHWIC（ISR G2路由器提供）插槽。 NM-xxx 网络模块，根据型号不同可提供广域网接入、局域网交换、语音信道及其它网络服务等功能。 SM-xxx（SRE-xxx） 服务模块，在ISR G2中提供，根据型号不同，可提供交换功能，及网络应用服务（硬件相同，根据部署的软件不同而提供不同的服务）,什么是无线网络,无线是相对于有线来讲的，理论上所有基于无线电波进行数据传输的都可称做为无线，如蓝牙、微波、红外、3

10、G等。 在网络中，传统意义上的无线专指无线局域网（WLAN），一般情况下由无线客户端，无线接入点（AP），无线网络控制器（可选），无线网管软件（可选）组成,无线网络的标准,802.11b：基于2.4G频率，速率为11M 802.11a：基于5G频率，速率为54M 802.11g：基于2.4G频率，速率为54M 802.11n：2.4G和5G都可以承载802.11n，速率为300M,用户比较关注的参数,无线覆盖范围 理论上在开阔环境下，覆盖半径可达300M 但在实际环境中，受到无线电波的穿透能力及干扰影响，实际需要控制在室内50米，室外100米范围内。而且如果室内环境承重墙比较多的话，覆盖范围将

11、会受严重影响，无线信号最多穿透一堵墙。 带机量 单台无线AP无线客户端连接数据建议不超过25台，最好控制在20台左右（802.11a/g），802.11N控制在100台左右,无线接入点(Access Point),AP的主要做用是做为有线网络的延伸，在不方便布线的地方放置AP，通过无线信号覆盖一定范围的网络接入。 无线接入点分两种： 胖AP（AP） 可以独立使用，有自己独立的IOS，每台AP均需单独配置，适合于覆盖范围较小，AP数据较少的环境下部署。 CPL中所有AIR-APxxxx开头的都是胖AP，又称AP 瘦AP（LAP） 无法独立使用，需要配合无线网络控制器才可以工作，每台AP无需单独配

12、置，所有的配置都在无线网络控制器中进行，适合于大规模、覆盖范围较大的环境下部署，无线网络控制器可以动态调整相邻无线AP的频率、功率、负载均衡等。 CPL中所有AIP-LAPxxxx开头的都是瘦AP，又称LAP,无线网络控制器（WLC）,无线网络控制器有多种方案： AIR-WLC21xx 2100无线控制器，最后两位代表可以管理瘦AP的数量，最大容量为25，且为固定配置无法扩容 Air-WLC440x-xx 4400无线控制器，最后两位代表可以管理瘦AP的数量，最大容量为100，且为固定配置无法扩容 AIR-CT5508-XX 5500无线控制器，可通过License扩展无线AP的数量，最大为5

13、00个AP。 WS-SVC-WISM 6500交换机上无线控制器模块，容量为可管理300个AP，无法扩容。,什么是网络安全,网络安全简单的讲，就是通过一些专门的软件或硬件设备来网络系统中数据不被盗取、篡改或破坏，保证网络系统正常运行，网络服务不中间。常见的网络攻击手法： DDoS、木马、病毒、注入等用来保证网络安全的方法基本有： 防病毒软件、认证服务、访问控制、数据机密性、数据完全性等,常规安全设备有那些,防火墙： 防火墙是指设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的惟一出入口，能根据企业的安全策略控制（允许、拒

14、绝、监测）出入网络的信息流，且本身具有较强的抗攻击能力。 入侵检测： 是一种对网络传输进行即时监视，在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备 VPN VPN可以通过特殊的加密的通讯协议在连接在Internet上的位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路，就好比是架设了一条专线一样，但是它并不需要去铺设或租用真正的物理线路。,思科的安全设备,ASA自适应安全设备（ASA5500系列) 最基本的功能防火墙 通过AIP模块，可以扩展入侵检测功能 通过CSC模块，可以扩展防病毒功能 默认支持IP Sec VPN功能（型号不同，支持的通道数量不同） 通过License可以扩展SSL VPN功能 专门的入侵检测设备 独立的设备IDS/IPS 6500/7600上的IDS模块,防火墙的主要性能指标,吞吐量 并发连接数 由于防火墙采用状态检查机制，并发连接数代表了该防火墙的容量，WEB2.0/视频/P2P技术的发展，使得连接的数量猛增 每秒新建连接 代表了防火墙承载突发流量，突发应用的能力，每秒新建连接最主要考验CPU的能力，网络防火墙的很多CPU过高的情况，很大一部分是由于每秒新建连接过多造成的。 VPN通道数量 一种是Ipsec VPN（免费），一种是SSL VPN（需要购买License） 每秒包个数pps,网络搭建拓扑结构,某校园网拓扑,