第3章 逻辑网络设计

第3章逻辑网络设计本章主要内容•IP地址的分类，以及如何根据网络规模选择合适的子网。在一个子网内如何设置正确的子网掩码来划分更小的子网。如何正确使用NAT。同时还要掌握逻辑网络中适当的冗余链路，及其这些冗余链路的适用范围。学习目标•掌握私有地址分配原则•能根据实际情况选择合适的子网掩码•什么是NAT，它是如何工作的•通过示例讲述如何实现NAT•NAT如何应用于网络安全•什么时候恰当地使用NAT•能根据实际情况选择合适的冗余链路•具备根据实际情况综合设计逻辑网络的能力3.1IP地址分配•3.1.1公共和私有地址空间•3.1.2RFC1918—私有网络地址•3.1.3地址分配的原则•3.1.4选择地址块•3.1.5网络规划实例•3.1.6结论3.1.1公共和私有地址空间3.1.2RFC1918—私有网络地址•RFC1918将下面三个地址范围做为私有地址块：3.1.3地址分配的原则•一般性的原则：①将要对外开放的服务器划分到同一网段，并分配合法IP。②将各网络设备划分到专有网段，其对外是隐蔽的。③将不对外开放的服务器划分到同一网段，其对外是隐蔽的。④尽量将分属不同部门的机器划分到不同网段。⑤子网的划分应使IP地址管理较为简单，同时也要避免IP资源的浪费。3.1.4选择地址块•地址管理规划的实现应该遵循下列目标：①简洁性②容易管理③有效的路由④文档3.1.5网络规划实例3.1.6结论•在这个规划中，非常有价值的特征如下：①如果某些地址的第2字节为0，则可知道此设备在总部。②如果某些地址的第2字节为3位数字，则它代表分销中心与商店（第三个字节0）或与总部（第三个字节=0）的WAN连接。③所有的其他地址可以分配给LAN上的设备。这个LAN可能在DC中，也可能在一个商店中。3.2子网划分•3.2.1划分子网的原因•3.2.2子网划分技巧•3.2.3无类域间路由（CIDR）•3.2.4IPv63.2.1划分子网的原因169.10.0.1169.10.0.2169.10.255.254169.10.255.253...3.2.2子网划分技巧•使用无编址的网络接口•请求更大的地址块•路由器上使用一些技巧•使用“子网零”3.2.3无类域间路由（CIDR）•采用CIDR这种思想具有以下一些特性：①路由汇聚②消除地址分类③超网202.114.1.0202.114.2.0202.114.3.0202.114.15.0202.114.0.0/203.2.4IPv6•IPv6是下一代的IP版本,具有以下新特性:①扩展地址②简化的包头③流④身份验证和保密⑤其它特性3.3网络地址转换•3.3.1概述•3.3.2NAT的基本规划与实现•3.3.3使用NAT的优点•3.3.4性能问题•3.3.5代理和防火墙的能力•3.3.6小结3.3.1概述•从最简单的方式来看，NAT就是要通过某些设备来转换网络层（第三层）地址，这些设备包括路由器、防火墙等。理论上讲，其他的第三层协议，如AppleTalk或IPX协议，或其他层协议（如第二层协议）都能被转换。实际上，目前一般仅用于第三层的IP地址转换。•NAT的问题时常与一些安全应用有很密切的关系。3.3.2NAT的基本规划与实现•什么是NAT•NAT如何工作•静态网络地址转换•静态NAT的问题•动态网络地址转换•端口地址转换3.3.3使用NAT的优点•能够使用相对较少的公共IP地址来实现大量内部机器对Internet的连接。•需要连接到其他网络时或在控制转换或冲突时，NAT具有很好的灵活性。3.3.4性能问题•尽管CPU速度足够快，但随着这些步骤对内存读写量的增加，系统的延时也将会有少量的增加。•仅当路由器的负载很重时，NAT才会带来性能降低的问题。•选择的因素主要依靠你所认为的最好的操作系统以及你所拥有的设备。3.3.5代理和防火墙的能力•分组过滤器•代理•状态分组过滤器•带有重写功能的状态分组过滤器•代理服务器与NAT的不同•SPF的缺点3.3.6小结•当分组通过一个网络地址转换（NAT）设备时，NAT将改变分组中的第三层地址。•代理服务器允许管理员根据内容对流量进行过滤，然后过滤后的信息将到达外部网络。到达外部的每一项内容都来自于一个IP地址。•一个代理防火墙另一方面的效果就是从外部只能看到一个IP地址。这将把所需公共的、可路由的IP地址减少到一个。•从整个发展过程来看，防火墙有如下几种类型：代理、分组过滤器（PF）以及静态分组过滤器（DPF）。3.4备份及冗余技术•3.4.1可靠性设计•3.4.2链路备份技术•3.4.3设备备份技术3.4.1可靠性设计•设备或链路可靠性设计•关键业务可靠性设计3.4.2链路备份技术•WAN链路备份•LAN链路备份•路由协议备份3.4.3设备备份技术•VRRP简介①VRRP（VirtualRouterRedundancyProtocol，虚拟路由器冗余协议）是一种LAN接入设备备份协议。②VRRP是为具有多播或广播能力的局域网（如：以太网）而设计。•VRRP原理习题•简述一个A类私有网络子网划分策略。•如何实现一个掩码支持7个子网，并且每个子网中有25台主机?•如何验证我们地址已经被正确转换？•简述几种链路备份技术。