园区网就是工作或者说生活在园区内所使用的网络,当然园区网也分大小,因为根据它的规模是有所不同的,同时在不同的行业里面,园区网络的架构,也会发生一系列的变化,如果简单的来说,园区网可以看做是一个连续的,有限的地理区域内相互连接的一个局域网,本章课程简单的概述一下园区网常用的一些简单的技术。
园区网络架构与常见技术概述
在城市中,可以说除了马路,都是园区,正常工作和生活都是需要网络进行接入的,基本上都是在园区内,也就是说一天24小时,可能18个小时都是在园区内去使用网络接入,同时国家将近80%的GDP创造也是在园区完成的,而90%的创新也是发生在园区,从以上这些概述中都能够知道,在这样的一个信息社会,可以说通信网络无处不在,而园区网络,也是处在一个非常重要的具有战略性的核心地位。
什么是园区网络
常见的行业园区网
园区网根据不同的行业属性,它的网络架构也是不一样的,其中企业网络对于可靠性和先进性的要求就比较高,这样的话就需要保证网络的质量,提升员工的办公效率。在校园网里面其实也区分的,分为普通校园和高校校园,其中高校校园网就非常复杂了,因为它里面包含了比如说教研网,这样对于安全性的要求就很高,学生网,为正常宿舍的学生提供访问网络的这样的一个用途,当然还有一些运营型的宿舍型网络,可能学生经营着某些网站之类的需求。政务园区网,一般是针对政单位所使用的这样的一个网络,那么它的安全系数要求是非常高的,因为它的内部涉及一些机密的资料,一旦某些机密资料不小心外泄,那可能产生重大的威胁安全隐患。最后的一个商业园区网络,比如说常见的超市,酒店以及机场等,面对这样高密度人群的应用场景,希望既能为用户提供网络,同时能够降低运维成本。
园区网络的架构并不是单一的,这旨根据不同行业属性可以定制相关的方案,最终满足该场景下的用户需求。
园区网络典型架构
核心层是一个具备高速转发流量的这样的一个层,而汇聚层一般是处于园区的中间层次,它一般起到了一个起上达下的这样的层面,接入层一般是为终端用户提供一个接入这样的的功能,这三大层是网络里面非常常见的组成成分,再到后面就是园区网络的出口,出口处一般是连接外部网络,是为园区内的内部用户提供访问外网的能力,第二个可能考虑到,比如说一些员工出差,也有一些需求想要访问总公司的这样的一个资源,那么在出口处也要做相关的策略。再到最后是数据中心区,一般是用来存放一些服务器去使用的,在不同的层次它会有不同的应用技术。
园区网络主要协议/技术
园区网络在不同的层次,它里面包含了不同的技术,对于网络管理员而言,他的运维以及他个人的对于网络的把控能力是要求非常高的,这了仅仅是在数据领域里面常用的一些技术,但实际上,在建设一个复杂的园区网络里面,所涉及到的技术远远不止于这么多,会更加复杂。
以太网交换基础
从TCP/IP对等模型说起
为什么要将网络进行层次的划分,网络数据的一个交互是非常抽象的一个东西,为了帮助人类更好的去理解和剖析网络的组成,以及它数据交互过程中数据是怎样传递的,因些将网络分为了各个层次,通过分层次的去研究,更好的去学习这样的一个技术。一个数据从上而下这样的一个过程,叫数据包的封装,同时在数据包进行封装的过程中,数据在不同的层次,会添加相应的头部及尾巴,这样,数据在不同层次也会有着不同的名称,数据在应用层就叫做数据,在传递层叫数据段,到达网络层叫做报文或者叫它数据包,在数据链路层叫数据帧,在物理层叫做比特电流。将网络分层次划分以后,帮助我们更加方便简单的去了解网络的组成成分。第二个类似于将网络制定的一个标准,这样各个厂商就可以基于这个标准进行一个开发。
从园区网络到以太网二层交换
二层交换在接入层为用户提供各种各样的接入方式,它一般是为了终端设备去提供一个简单的接入。
在早些年设计办公的方式都是通过有线网络接入到园区进行办公,但是现在随着无线办公的需求,网络的边界慢慢开始消失,这时候接入层设备不仅需要有线终端设备提供接入,也需要使用有无线设备能够正常的接入,但是无线设备一旦接入到网络之后,随着边界感的消失,网络安全也是一大问题,所以现在园区网络安全问题,也是所需要经常去考虑和解决的一个重大难题之一,从这里其实了能够看出,从有线办公慢慢过滤到无线办公,对于园区网络架构其实也在发生一系列的变迁,从原本单一的对外安全的策略,变成了园区网络内部各个地方都要全网全方面进行一个安全防范的措施。
什么是二层交换
设备分为三层和二层的概念,三层是基于数据包,也就是说基于IP进行数据的转发,二层设备是基于数据帧进行数据的转发,在数据帧里面什么样的东西最终去影响设备,帮助用户实现转发呢?那就是以太网头部里面的目的MAC地址。当交换机收到一个数据帧之后,会查找里面的源MAC,将源MAC和接收到的端口绑定在一起,就形成了MAC表,然后再根据目的MAC,对应的端口号进行数据的转发,从而实现在二层进行一个数据交换,也就是说交换机是基于MAC地址表,用于指导数据转发的。
为什么会有交换机这个设备?交换机的产生解决了什么问题?早些年网络是一个共享式网络,比如说是基于Hub这样傻瓜式交换机去连接的,这样的一个共享式网络里面,冲突是非常严重的,于是为了解决冲突域的问题,就产生了交换机,因为交换机是基于接口转发数据,每一个接口都是一个冲突域,将冲突域产生的分割,这样就解决了共享式网络产生的这样的一个问题。交换机虽然解决了冲突域的问题,但是并没有办法解决一个广播泛滥的问题。
为了解决广播泛滥的问题,在交换机里面提出了一个技术,叫做VLAN技术,VLAN技术就是说将一个物理上面的局域网在逻辑上在通过划VLAN来将它分割成多个虚拟的局域网,实现将广播域进行分割的这样的一个技术,同一个VLAN中所有的设备就类似于在同一个广播域中,不同的VLAN属于不同的广播域,从而解决了一个广播泛滥的问题。
VLAN的成员大部分是基于接口进行划分的,也可以通过其他方式,比如说基于MAC地址,基于IP协议等等。
以太网二层接口类型概述
在华为设备上,交换机的上的以太网二层接口主要分为三种类型,分别是Access,Trunk以及Hybird,在这里需要注意的是,其中Access和Trunk接口类型是通用标准协议的接口类型,而Hybird端口类型是华为厂家自己的私有端口类型。不同端口类型,基于标签的分配和剥离都有自己的转发原则,而Hybird它更加灵活一点,类似于将该接口设置为Hybird端口之后,基于标签的转发和分配,用户可以自定义,因此Hybird端口也是一个非常灵活的端口类型。
Access接口
其中Access端口它一般是用来连接终端设备,或者服务器这样的一个端口类型,从它接收到的数据,因为它所连接的一般是PC或者服务器,所以从终端设备收到的数据一般是不携带任何标签的,当它从终端设备收到的数据中,会查看里面是否携带标签,如果未携带标签的话,就会打上自己端口上的标签,按图中的案例,它就会打上VLAN10,但是如果将该接口设置为Access接口,同时它连接的不是终端设备,是另一台交换机,从该交换机转发到该接口收到的数据帧里面,携带了标签,它会将这个标签的VLAN ID和自己端口的PVID进行比对,如果是相同的话,他就正常接收,内部再处理,如果是不相同的话,就直接进行丢弃。Access在发送数制帧的时候,当它从交换机内部收到一个数据,想要从G0/0/1接口发出去的时候,它会查看该数据帧里面的VLAN ID,和自己本身接口的PVID是否相同,如果是相同的话,它会将标签剥离,然后从该接口发出去,如果说该帧的VLAN ID和自己接口的PVID不同,它就禁止从该接口发出去。一般情况下,Access端口是连接终端设备的,所以它收到的数据帧,是不携带任何标签的,打上该端口的VLAN ID,然后发数据的时候一般也是发给终端设备,这个时候进行对比,如果相同VLAN就脱离,如果不同,就拒绝发送。
Trunk接口
Trunk端口类型一般是用于交换机连交换机,或者说交换机连接路由器这样的一个应用场景。
Trunk端口收到的数据帧,如果没有携带关于VLAN的标签,那么Trunk端口就会给数据帧打上自己本接口的PVID,图中的案例是收到了一个没有携带任何标签的数据帧,而G0/0/1接口的VLAN是10,因此会打上接口的PVID 10。
如果Trunk端口收到的数据帧如果携带了标签,如果携带标签的话,会看该数据帧的VLAN ID是否在自己允许列表中,如果在的话就正常接收,如果不在的话就丢弃。
如果发的数据帧它里面和自己要发出去的标签的VLAN ID是相同的,首先有个前提是要在自己允许通过的VLAN列表中,然后该VLAN的标签和自己本接口的Trunk的PVID是相同的,将标签剥离发出去,变成了一个没有标签的数据帧,如果发送的数据帧和自己本接口的PVID是不同的,前提是在自己允许通过的列表中,然后会保留该标签,发送出去,于是会发现它携带着20标签,直接从Trunk端口发送出去。
在Trunk端口里面,会设置一个允许通过的VLAN,正常情况下,类似于Trunk端口的白名单,它想要发送数据帧的时候,一定要在白名单的列表中,然后才执行后续的对比,是否是相同则脱标签,不同则保留标签发送。
Hybird接口
Hybird端口实际上它关于数据帧的接收和转发是否打标签和是否脱标签,其实是非常灵活的,用户完全可以通过命令自行去定义。
第一个接收到了一个没有任何标签的数据帧,然后给它打上自己本端的PVID,变成一个携带VLAN 10的这样的一个数据帧,如果收到的数据帧是携带标签的,Hybird也有类似于一个白名单的概念,在允许接收的VLAN列表里面就正常接收,否则就直接丢弃。
发送数据帧的时候,可以通过命令,如果说是一个携带VLAN 10标签的数据帧,关于它在发送数据的时候是否把标签脱掉,还是是否保留标签,管理员可以通过命令进行更改。 Hybird端口在发送数据帧的时候,是否保留标签,还是是否脱标签,用户完全可以自定义,保要满足一个前提,在允许通过列表中,华为S系列交换机,默认的端口类型就是Hybird端口类型。
VLAN划分方式总览
现网中最多的是基于接口去划分的。
实现VLAN之间的IP可达性
交换机和路由器进行相连,交换机和路由器上面每一根物理连线,作为下面终端某一个VLAN的网关,这样,如果有多个VLAN,需要在路由器上部署多个网关,交换机和路由器之间需要连接多根网线,但是这里会有一个问题,如果将路由器作为下面VLAN的网关,如果某个企业下面要部署很多VLAN,每个VLAN都需要一个网关,就需要在交换机和路由器之间拉一根网线,作为桥梁,连接交换机和路由器,同时路由器的接口配上网关的IP地址,交换机的接口数很多,一般有24口,48口,52口,但是路由器接口的数量会很少,当VLAN的数量很多的时候,路由器就没有办法提供那么多接口和交换机进行对接,然后去部署IP地址,通过物理接口去部署网关,来给下面的VLAN去实现一个通信,在中小型企业是可以的,但是企业很大之后,肯定就无法去实现。因此就产生了单臂路由技术,单臂路由技术就类似于模仿前面这种概念,将路由器和交换机之间通过一根网线去连接,但是这一根线逻辑上把它看作是多个不同的网线,同时路由器依然承担网关这样的角色,怎样通过一个物理接口部署不同的IP地址呢?可以将接口划分成不同的子接口,通过不同的子接口和交换机之间去连接,实现给不同的子接口配置IP地址作为网关,帮助下面的设备实现通信。第三种办法是直接部署三层交换机,基于三层交换机部署三层接口,VLANIF接口,作为网关,实现一个通信。最方便的是直接部署三层网关来实现通信是最简单的。如果在条件有限的情况下,也可以通过单臂路由的子接口去实现。
以太网链路聚合
链路聚合顾名思义就是将多条链路捆绑在一起,变成一条链路,从而实现不同设备之间增加带宽,提高可靠性,还能实现负载分担这样的一个功能,早些年链路聚合这个技术产生的原因是在于哪里呢?比如说两台设备之间需要100兆带宽,但是链路只能提供单条链路为50M的带宽,于时将两条50M带宽的链路捆绑在一起,就提供了一个百兆的这样的一条链路,因为早些如果设备需要增加带宽的话,是需要更换接口板的,这样的话就会增加企业的成本,于是为了解决这样的一个问题,就设计出了链路捆绑技术,这样就可以在不更换接口板的情况下,为两台设备之间提供更大的带宽,同时将这两条链路捆绑在一起之后,也提高了网络的可靠性,如果任意一条链路断开,它的流量会平均摊到剩下的链路中,同时还能够实现关于数据的负载分担,这也是在企业网络里面最常用的一个技术。
生成树技术:防环+保证二层网络可靠性
二层环路一般是部署在接入层和汇聚层,这样的一个网络层次之间,什么叫做二层环路呢?如果多台交换机之间通过物理线连接,是不是就形成了物理环路,为什么会有这样的网络设计呢?在设计 网络架构的最初,这样的想法是为了提供一个网络的可靠性,比如说三台交换机通过物理线去连接,将多条链路和上层设备去连接,如果某一条链路断开的话,可以通过另一条链路依然保证数据的交互,从而实现一个冗余链路的这样一条设计。但是通过多条链路,进行全互联之后,发现在物理上进行了一个环路的产生,于是又需要提高网络的可靠性,设计一个冗余链路,又需要解决一个二层环路的问题,因此就产生了一个生成树协议。现在最常用的技术是关于MSTP的一个应用。
无线接入
WLAN与主要网元
无线技术,是现在一个非常流行的一个技术,无论是在家,或者说在企业办公,或者去咖啡厅,任何一个场所,可能第一件事情就是打开手机,寻找有没有可以连接的WIFI,提供一个网络接入的这样一个功能,那么WLAN设计的最初目的,是为了取代有线办公这样的一个功能,使得办公更加便捷,那么本身介绍了WLAN技术,其实就是日常生活中所使用的WIFI,这是基于一个802.11标准,这么多的标准802.11a/802.11b/802.11e等等,不同的标准其实是去实现终端用户接入无线网络所使用的带宽以及它的频率。
在无线里面,通过无线控制器进行AP管理,无线的接入是由AP无线接入点来实现的,中间的设备实际上是由IP网络架构而成的,最后为无线终端设备提供一个接入网络,实现数据通信这样的一个能力。
WLAN组网架构综述
无线组网的网络架构组成其实一般情况下一共有三大类型,分别是胖AP,瘦AP,还有云AP,其中的胖AP,它类似于家庭的路由中器一样,什么叫胖AP,家用路由器能够提供怎样的功能,第一点能够实现终端用户接入这样的一个功能,第二个能够实现对终端用户行为控制管理和调优这样的一个功能,因此所谓的胖AP,实际上就是指AC和AP结合为一体,但是它的功能又比较单一,这样的一个设备,称它为胖AP的组网方式。而所谓的瘦AP,是由无线控制器AC,加上无线接入点AP去组成这样的一个网络,AP和AC类似于将AP的功能进行了一个解耦,AP仅仅是用来接入用户,而对于AP进行统一管理,安全协议的控制,调优等等,都是在AC上面进行操作的,最后统一下发给AP。云AP这种场景其实在国内比较少见,在国外实际上这是一种非常流行的方式。云AP是指将一些比较及时性需求的功能集成到AP上,而关于控制部分的一些功能,比如说调优,还是由AC进行管理。什么叫做及时性的功能需要内置到AP让,比如说快速漫游功能。这种云AP的应用场景是一般是在哪里去实现的?比如说有一个零售店,不需要维护的网络,只需要向相应的供应商去买这样的一个服务,由厂商对这样的一个零售店去部署无线网络功能,包括安装设备,到后期的调优以及维护全部由厂商提供,比如说用户,它只需要按月去提供这样的一个服务费就可以了,也就是说花钱享受这样的一个服务功能,这样的好处是零售店就不需要招聘自己的工程师,然后独立的维护网络,而是全部类似于托管给厂商。
AC+FIT AP架构
瘦AP顾名思义就是AC和AP的这样的一个结合,AC主要是对AP进行一个控制和管理,而AP只负责一些简单关于数据的加解密,接入用户,还有一些空口统计等一些功能。而AP和AC之间如何去进行关联呢?那就是要通过通信协议,CAPWAP协议去实现,相较于胖AP,瘦AP的架构,它的优点可以看到,部署更容易,安全性更高,扩展性更容易,比如说企事员工全部是通过无线上网的方式,进行去连接网络,这个时候需要对设备AP进行一个版本的更新,当所有员工下班之后,可以在AC上统一下发更新,对于AP定时进行更新,第二天当员工上班的时候,并不影响他的工作,仍然进行上网,这样维护起来更加容易。现比如说某一个AP坏了,在AC上会发现该AP没有办法上线,根据网络架构,去判断哪一个AP坏了,只需要更换AP硬件,就可以实现重新将该区域的网络进行恢复。
AC+FIT AP架构
其中有一个非常重要的协议,在 AC和AP之间,建立一条隧道来管理AP,那就是CAPWAP协议,这个协议所定的内容是什么呢?主要有AP如何去发现AC,然后AC对AP有一些安全认证。其中关于隧道的方式一共有两种,一种是控制隧道,一个是数据隧道,所谓的控制隧道,就是在AC和AP之间进行一个管理通过控制隧道。数据隧道是为用户转发流量。
网络可靠性
使用VRRP实现网关冗余
什么是网关,正常终端用户想要上网的时候,会把数据递交给网关设备,再由网关设备寻找路由,帮助去传递数据,这个网关冗余协议VRRP它能够实现怎样的功能呢?正常情况下,终端设备是和网关进行对接的,如果只部署了单一一个网关,网关一旦发生了故障,下面所有的终端就失去了进行通信的这样一个功能,因此需要部署多台设备,来给网关做一个备份。这其中就是通过VRRP去实现的。
在部署多网关的时候会产生一个非常严重的问题,那就是如何解决IP地址冲突,比如说将192.168.1.254作为网关地址,如果两台设备都配置了这个IP地址作为网关的话,那是不是就可能造成IP地址冲突,因此VRRP,既能解决IP地址冲突这个问题,同时还能够实现一个备份网关的作用。
生成树MSTP可以去解决二层环路,同时VRRP能够解决网关备份这样的一个问题,因此这两个技术在传统的网络里面一般会将它们结合在一起使用。比如说左边的汇聚交换机1是作为VLAN11-vlan20的主网关,同时在MSTP里面,汇聚交换机1是作为主根桥,数据流量是从左边走的。而关于VLAN21~30的主网关,以及主根桥是由汇聚交换机2来诞生的,流量是从右边走的,这样就能够即解决了关于二层环路的问题,双能够实现一个流量的负载分担。
集群/堆叠简介
集群/堆叠是在园区网络里面常用的一个技术,已经开始慢慢去取代VRRP加MSTP这样的一个组合,堆叠和集群技术上实际上都是差不多类似的概念,如果将盒式设备进行一个堆叠,一般称它叫做iStack,如果是将框式设备进行一个堆叠,一般叫CSS,这两个技术实际上一个是针对盒式设备,一个是针对框式设备,其实都是堆叠技术。
堆叠技术有什么功能呢?做完堆叠之后,可以将多台物理设备逻辑上虚拟成一台设备,这样的话,就避免了环路的产生,同时更加简化了网络拓扑的组成。
堆叠与园区网络树形结构组网形态
在传统的网络组成成分里面,如果想要实现冗余路径,同时又需要解决环路问题,需要部署一个生成树,部署了生成树之后,会有一个端口叫做阻塞端口,阻塞端口一般是不承载任何流量的,那么关于阻塞端口所在的链路的带宽就被浪费了,于是使用堆叠技术之后,会发现网络拓扑架构后,将多台物理设备逻辑上变成了一台设备,同时在接入层和堆叠层设备之间,通过链路捆绑技术,进行这样的一个连接,这样情况下就会发现既解决了环路问题,又能够实现流量的负载分担,其实从这里不难看出,堆叠技术会慢慢取代传统的一个技术(MSTP+VRRP),也不是说传统的MSTP加VRRP这样的技术不好,只不过在应用场景下,或者在经济方面它们各有各的优势。但是,最终慢慢会发现堆叠的组网架构会比这样一个传统技术更加方便管理和维护。
网络服务和网络管理
DHCP
正常终端设备想要上网的时候,需要IP地址,掩码,网关,DNS,等一系列关于IP地址的一些应用,这个时候管理员如果手工进行配置,如果公司的规模很大,那么对于管理员是一个非常累的活,同时一旦某个人自己更改了IP地址,就可能造成他的IP地址和别人的IP地址冲突,这样导致两个人都上不了网,同时管理员排查起来也是非常麻烦,于是为了解决这个问题,对IP地址进行统一集中管理和减轻管理员的工作,就产生出了DHCP。
首先客户端以广播的形式去发送DHCP的Discover报文,用来去寻找服务器请求IP地址,当服务器收到了报文之后会回复一个Offer报文,包含着自己能够提供的IP服务,最后客户端收到了报文之后,会正式向服务器去发送一个请求报文,会正试向服务器发送一个请求报文,用来进行关于IP服务的这样的一个请求,最后Server服务器会回复一个相关的ACK,同间这样IP地址和掩码分配给你去使用,最后用户就能够正常上网进行通信。
如果服务器和终端设备是跨着一个三层设备进行连接,这个时候就需要在DHCP的网络架构里面部署一个DHCP中继,这个中继类似于一个中间人一样,因为大部分客户端所发送的报文都是广播报文,而三层设备是用来隔离广播的,于是为了解决这个问题,会由中继作为中间人帮忙进行转发,将所有终端设备发送的关于DHCP的广播报文转成单播报文,向服务器发送请求和寻找。
NTP
时钟同步协议NTP,时间在现实生活中是非常重要的一个概念,对于服务器而言,当然也是一个非常重要的概念,比如说在后期维护需要进行日志的同步,网络的管理都需要通过时间作为依据,帮助去进行一个参考,如果网络里面如果有多台设备都需要去配置时间,一台一台的去配,非常麻烦,因此可以通过NTP这个协议帮助去实现。可以设置某一台服务器作为NTP这样的一台服务器,给它部署相关的时间,然后通过时钟同步协议NTP,将它的时间同步到交换机和路由器上面,保持时间的一致性,从而减轻管理员的一个工作量。
LLDP
链路层发现协议LLDP,为什么会需要二层有一个发现协议呢?传统的网络管理设备,通过三层只能分析到三层网络拓扑,三层的网络拓扑架构和实际的物理的网络架构还是有一些区别的,比如说做了一些虚拟化,将多台设备逻辑上变成一台,或者说将一台设备虚拟成多台设备,这样就不能够直观明了的去判断物理连接组成的网络架构是怎样的,因此二层的LLDP就提供了一个标准的链路层发现协议,直观的去了解网络的组成架构是怎样的,它通过获取设备之间的相关IP地址接口信息,然后相关的连线,最后在网管设备上,比如说华为的iMaster的NCE,就能够直接的呈现网络的拓扑连接是怎样的。一旦某一条链路或者某一个设备发生故障,就能通过LLDP协议呈现的网络拓扑,非常直观快速的定位网络故障在哪台设备上产生的,然后进行后期的维护。配置也非常简单,只需要在接口开启LLDP的功能。
SNMP
SNMP协议用起来也是非常广泛,它摒弃了不同产品之间的差异性,网管通过SNMP协议,只要硬件路由器交换机支持SNMP协议,网管设备就能够进行统一的纳管,然后查看设备的一些运行状况,帮助后期维护。SNMP协议已经成为各个厂商所定义的一个标准协议,基本上所有厂商的设备都会支持SNMP协议,然后通过该协议就能够实现针对不同厂商不同类型的设备进行统一的纳管。
NETCONF/YANG
网管能够通过SNMP去发现设备进行统一的纳管和维护,但是关于设备配置方面,SNMP只能做一些非常简单的配置,比如说IP地址,VLAN等等。如果面对一些非常复杂的网络,需要进行一些非常复杂的配置,SNMP是无法去下发的,因此通过NETCONF以及YANG,就可以对设备进行统一的下发配置,而不需要管理员一台一台的登录到设备上,进行传统的命令行这样的一个配置。
网络安全
园区网络安全概述
传统的网络一开始是通过有线网络接入到设备进行办公,这个时候会有什么问题,只有单一的出口网关部分。如果通过有线网络接入到网络中,只需要考虑出口处所面临的攻击,但是随着无线化办公时代的来临,整网上任何一个地理区域,都有可能接入到网络中,因为无线范围是比较广的,这就意味着在网络所面临的安全威胁由统一的出口网关对外所产生的安全隐患,变成了全网任意时间任意节点,全方位所需要考虑的这样的一个安全,因此在安全这个方面,也是园区网络里面非常需要关注的一个重点。
防火墙是用来去实现不同安全区域之间的划分,帮助去实现业务的隔离和管控。面临的一些DDoS攻击,入侵检测以及安全态势感知,这些都是在园区的边界部分。
在核心部分,不仅要对业务进行隔离控制,还需要做一些网络准入的控制,在一些比较严格的单位,比如说一些政府机构,甚至还需要做一些网络行为的控制,包括一些行为的审计等等。
接入层设备开启广播风暴控制,准入控制,保证针对用户身份进行一个认证。给予授权,才能够正常接入到网络,一旦部署了无线网络,要考虑无线空口部分,以及无线的安全。
基于防火墙的安全区域划分及安全策略
在安全里面,常规的,一般情况下,第一个是通过防火墙进行部署的,它将不同的端口设置了不同的区域,这个区域是基于安全策略去实现不同接口之间流量进行流动,匹配安全策略,然后执行相应的操作,一般情况下,防火墙的区域分为信任区域,非信任区域,本地区域, 以及DMZ区域。当数据流量进入防火墙之后,根据区域之间的安全策略,去实施这样的流量是否正常放行或者拒绝。
防火墙双机热备概述
防火墙有时候也需要做一个备份,这个时候就会涉及到防火墙的双机热备,关于防火墙的备份就类似于提高网络可靠性这样一个需求,在防火墙之间需要去部署一个心跳连线,通过心跳连线去同步相关的会话表项和配置。当主防火墙发生故障之后,依然可以通过备用防火墙去实现正常数据交互的通信,保证业务的连续性以及不中断。
NAT
防火墙作为园区最终出口的一个重要的安全点,最后是通过防火墙连接外部网络,因此需要在防火墙上面去部署网络地址转换协议NAT,主要是基于IP地址和端口号的转换,来实现一个私网地址转成公网地址,然后去访问外部网络这样的一个技术,从而达到节约P地址这样的一个功能,同时隐藏了内部网络的一个架构。
VPN
VPN一般称它叫虚拟专用隧道,什么情况下会用到VPN,比如规模较大的公司,分公司要去访问总部的资源,或者说有一个员工在外地出差,他想要访问内部的服务器,这个时候面临着一个需求,安全的,稳定的接入到总公司去访问数据。如何通过广域网帮助分公司或者出差员工和总公司进行数据正常交互,这就是VPN所要做的事,同时VPN技术具有廉价和专用等多种优势。因此它非常受大家青睐,被广泛的应用在网络中,VPN技术是一类技术的总称,不同的VPN能够实现不同的功能,比如说二层VPN,三层VPN,应用层VPN,因此不同的VPN技术原理和实施都不样,由此可以看出该技术是一个比较复杂的技术。
组播
组播应用场景
什么是组播技术,在数据转发的过程中,一般分为三类,一种是单播,一种是广播,一种是组播。单播可以理解为一对一的信息交互,这种安全系数是最高的,比如说常见的网卡银行就是一种典型的单播,广播是一个一对多的概念,就是发送者发送一个数据所有人都能够接收到这个数据,但是它有一个非常重大的问题就是安全隐患,因为并不是所有的人都要要接收数据,这个时候如果发送的数据是一个机密性数据,是不是就有可能导致泄密,如果针对多个接收者都想要接收相同的数据,采用单播的方式去发送,设备资源消耗以及链路带宽浪费的非常多,因此面对接收者很多,又不想浪费资源的情况下,于是就产生了所谓的组播技术,组播技术简单的概括而言就是接收者并不是所有用户,而是针对有效的接收者,同时在转发数据的过程中,既能够保证数据的安全性,又不浪费设备资源的带宽,这就是组播技术,它所产生的一个条件,也就是面对一些新型的点到多点的这样的一个应用。最常见的组播技术应用就是家庭的IPTV,或者说在公司里面的一些视频会议。
组播网络基本架构
第一个组播源到组播的第一跳路由器,也就是说数据源将这个数据推送到组播网络里面,然后沿着组播网络架构,将数据发送到组播的最后一跳路由器,然后最后一条路由器根据想要接收的成员,将这样的一个组播数据推送到相关的接收者里面,这样在一起就形成了整个组播数据流,从源到接收用户的一个架构,其中在组播转发网络里面需要通过组播路由协议,去保证组播路由的转发,同时没有环路的形成,常见的就是PIM协议。组播成员如何去判断自己想要接受哪个组播的数据,这个时候就需要通过IGMP协议去实现。
IPv6
IPv6概述
IPv6技术很早之前就已经开始实施进行推广了,为什么会有IPV6技术的产生,IPv4分为公有地址和私有地址的原因在于无法满足终端设备的接入,给每一个设备都去分配一个IP地址,于是为了节约IP地址,提出了公有和私有IP地址以及NAT网络地址转换等等一些其他技术,于是面临着IP地址即将枯竭,或者不够用的场景,于是推出了IPv6,IPv6相当于在IPv4的基础上面对地址进行了扩展,从原来的32位的IP地址扩展成了128位,因此IPv6有一个称号,号称地球上的每一粒沙子都可以分配到一个IPv6的地址,由此可见,他地址数量级别是非常大的。IPv6和IPv4协议相比,它的地址结构以及它的实现原理也远远复杂多得多。IPv6它称为IP下一代协议,一共有128比特,有了这样一个足够数量级的地址之后,能够做一些什么事情呢?在未来的网络世界里面,所有设备都能够配置IPv6,最后接入到用户,然后就会形成一个万物相连的世界,于是物联网就这样产生了。因此IPv6的推广对于未来生活而言,其实是有一个非常重要的战略意义的。
ICMPv6
ICMPv6是IPV6协议实现的一个基础,它包含了很多协议,比如说邻居发现协议(NDP),PathMTU,通过ICMP能够实现关于IPv6地址中的自动配置,地址解析,地址冲突等等很多功能,因此IPv6这个协议,相较于IPv4而言,如果深入的去学习它的技术原理之后,会发现,它比IPv4复杂的多得多。
IPv6路由
关于前面所学习到的路由协议,基本上都是基于IPv4去介绍的,如果网络更替为IPv6,对于路由协议会有什么影响呢?路由分为静态路由和动态路由,其中静态路由关于IPv6的配置和IPv4基本上是相同的,而动态路由协议OSPF,IS-IS和BGP,它们的工作原理和IPv4去相比的话,也基本上可以说是一模一样,只不过在实施和部署配置方面有稍微细节的差别,真正的去学习路由协议,关于IPv6的版本之后,再和IPv4比较,去了解它们的不同之处。
