我的笔记本

园区网技术应用

1.园区网络一般划分为出口层、核心层、汇聚层及接入层



2.按规模可以将园区网络划分成:
 A.大型园区网络:终端用户数量/个 > 2000;网元数量/个 > 100。
 B.中型园区网络:2000 > 终端用户数量/个 > 200;100 >网元数量/个 > 25。
 C.小型园区网络:终端用户数量/个 < 200;网元数量/个 < 25

3.园区网络典型架构:DHCP、堆叠、链路聚合、LLDP、VRRP、MSTP、VLAN、802.11等
 A.核心层:是园区网骨干,是园区数据交换的核心,联接园区网的各个组成部分,如数据中心、管理中心、园区出口等,协议/  技术:集群、802.11、OSPF、IS-IS、LLDP、NETCONF/YANG、SNMP、VPN等
 B.汇聚层:处于园区网的中间层次,完成数据汇聚或交换的功能,可以提供一些关键的网络基本功能,如路由、安全等,堆叠、链路聚合、LLDP、OSPF、IS-IS等
 C.接入层:为终端用户提供园区网接入功能,是园区网的边界,协议/技术:DHCP、堆叠、链路聚合、LLDP、VRRP、MSTP、VLAN、802.11等
 D.出口区:园区内部网络到外部网络的边界,用于实现内部用户接入到公网,外部用户(包括客户、合作伙伴、分支机构、远程用户等)接入到内部网络,协议/技术:NAT、BGP、静态路由、防护墙、VPN等
 E.数据中心区:部署服务器和应用系统的区域,为企业内部和外部用户提供数据和应用服务。

4.以太网交换基础:vlan、链路聚合、生成树技术

5.无线接入:AC + FIT AP
 AC (Access Controller,无线控制器) :在AC+FIT AP网络架构中,AC对无线局域网中的所有FIT AP进行控制和管理
 FIT AP(瘦AP)负责802.11报文的加解密、802.11的物理层功能、接受AC的管理、空口的统计等简单功能
 AC和AP之间使用的通信协议是CAPWAP:定义了如何对AP进行管理、业务配置,即AC通过CAPWAP隧道来实现对AP的集中管理和控制
 CAPWAP协议定义的主要内容有:AP自动发现AC,AC对AP进行安全认证,AP从AC获取软件,AP从AC获得初始和动态配置等。通过该协议,AP和AC之间建立起CAPWAP隧道
 CAPWAP隧道有两种:控制隧道和数据隧道
  1.控制隧道主要传输控制报文(也称管理报文,是AC管理控制AP的报文)
  2.数据隧道主要传输数据报文。CAPWAP隧道可以进行数据传输层安全加密,因此传输的报文更加安全。当采用隧道转发模式时,AP将STA发出的数据通过CAPWAP  隧道实现与AC之间的交互




6.网络可靠性:
6.1 使用VRRP实现网关冗余
6.2 集群/堆叠
 A.iStack(Intelligent  Stack,智能堆叠),简称堆叠,是指将多台支持堆叠特性的交换机设备组合在一起,从逻辑上组合成一台交换设备。iStack针对华为盒式交换机。
 B.CSS(Cluster Switch  System,集群交换机系统),又称为集群,是指将两台支持集群特性的交换机设备组合在一起,从逻辑上组合成一台交换设备。CSS针对华为框式交换机。



7.网络服务与网络管理
7.1 DHCP
7.2 NTP
7.3 LLDP -> 传递到iMaster NCE中
7.4 SNMP
7.5 NETCONF/YANG:网络管理员可以利用这套机制在网管上增加、修改、删除网络设备的配置,获取网络设备的配置和状态信息,基于XML的可扩展标签语言



8.网络安全:分为三个层面:园区边界、核心及汇聚层、接入层
8.1 园区边界
 A.通过防火墙实现不同安全区域之间的划分及业务隔离、安全管控。
 B.通过Anti-DDoS设备抵御DDoS攻击。
 C.通过IPS设备进行入侵检测及安全态势感知。
8.2 核心及汇聚层
 A.对不同的业务进行隔离部署、互访流量管控。
 B.按需部署网络准入控制。
 C.部署设备本机防攻击,提高设备抗攻击能力。
8.3 接入层
 A.建议开启广播风暴控制、DHCP Snooping、IPSG、DAI等安全功能,建议部署端口隔离,加强用户通信安全。
 B.部署网络准入控制,对接入园区的用户的身份或终端进行认证,并根据结果授予网络访问权限。
 C.部署无线空口安全及无线业务安全

9.VPN:VPN是一类技术的统称,不同的VPN技术拥有不同的特性和实现方式,常见的VPN技术包括IPSec VPN、GRE VPN、L2TP VPN、MPLS VPN等。

10.组播
10.1 应用场景
 A.企业存在一些公告信息,例如天气、值班表、机房注意事项、宣传视频等,为方便公司员工和来访人员及时获取这些信息,通常采用在公司人员密集处布置显示屏的方式
 B.组播技术有效地满足了单点发送、多点接收的需求,实现了IP网络中点到多点业务数据的高效传送,能够大量节约网络带宽、降低网络负载
10.2 组播网络大体可以分为三个部分
 A.源端网络:将组播源产生的组播数据发送至组播网络
 B.组播转发网络:形成无环的组播转发路径,该转发路径也被称为组播分发树(Multicast Distribution Tree)
 C.成员端网络:让组播网络感知组播组成员位置与加入的组播组

11.IPv6
11.1 概述:IPv6地址长度为128 bit,海量的地址空间,满足物联网等新兴业务、有利于业务演进及扩展
11.2 ICMPv6:是IPv6的基础协议之一,ICMPv6控制着IPv6中的地址自动配置、地址解析、地址冲突检测、路由选择、以及差错控制等关键环节
11.3 IPv6路由:静态路由、动态路由【OSPFv3、IS-IS、BGP4+】