[信息与通信]M000 0044 IP网络设计基础中文版v11.doc

IP网络设计 总体规划 按照网络设计的分层思想，我们将网络分为：核心层、汇聚层和接入层三个部分。这三部分在功能上有明显差别 ，因此在IP设计上，我们有必要对这三个部分区别对待。 核心层 核心层的所有设备应对网络中的每个目的地具备充分的可到达性。 核心层设备应该具有足够的路由信息来交换发往网络中任意端设备的数据包。核心层的路由器不应该使用默认的路径到达内部的目的地，尽管这样可以减少路由表规模。 默认路径一般被用来到达外部目的地，例如连接因特网。不采用默认路径的策略有三个原因： 1）便于核心层的冗余； 2）减少次优化的路径； 3）防止路由循环。 不要在核心层内部执行网络策略。 任何形式的策略必须在核心层外执行，即使核心层设备可以高速率地过滤和 策略路由数据包，核心层也不应该设计为支持这些任务。如前所述，网络核心层的任务是交换数据包，要避免任何降低核心层设备处理能力或是增加数据包交换延迟时间的任务，此外，应尽量避免增加核心层路由器配置的复杂程度，它可能使网络边界策略执行出错并且导致用户组间失去连通性，甚至会导致整个网络瘫痪。 一般将网络策略的执行放在接入层的边界设备上，或者在某些情况下，可放在接入层与汇聚层之间的边界上。只有在某些特殊情况下，才可以将其放在核心层中或核心层与汇聚层之间。 汇聚层 我们使用以下两个主要方法来达到汇聚层设计的三个目标： 路由聚合； 使核心层与汇聚层的连接最小化。 汇聚层将大量低速链路（接入层设备的链路）通过少数高速链路接入核心层，以实现通讯量的汇总。该策略可以提高网络中聚合点的效率，同时减少核心层设备可选择的路由数量。 接入层 将流量引入网络 确保此目标得以实现的一个重要前提是接入层路由器所接收的链接数不要超出其与汇聚层之间所允许的链接数。因此在进行接入层设计时，需注意如果不是转发到局域网外的主机流量，就不要通过接入层的设备进行转发。同时，绝不可将接入层的设备作为两个汇聚层路由器之间的连接点。汇聚层路由器之间的链路通常是在需要高冗余度的网络中使用。 控制访问 由于接入层是用户与网络的接入点，因此也是入侵者试图闯入的切入点。我们可以通过包过滤的方式来禁止不希望通过的数据包流通。这样在一定程度上限制了许多利用系统缺陷进行的网络攻击。 上面提到，接入层通过配置包过滤，以确保某些网段不再成为网络内外的攻击对象，我们可以通过包过滤技术来实现此目标。一般来说，接入层对黑客防范应该具备以下三种基本过滤器： 1）严禁欺骗：仅允许来自某一特定源地址段的数据报文； 2）严禁广播源：隔离目的地址为受限广播地址的报文； 3）严禁直接的广播(directed broadcast)：禁止发往一个任意符合广播地址网段的数据包，直接广播通常用于客户端与服务器端对话的网络系统中。 其它边缘服务 数据包发往其它任何路由器之前，还可以在网络边缘执行一些服务，这些服务被称为边缘服务，其中包括： 基于转发的QoS标记数据包——如果您正在使用IP电话或进行电视会议时，可能要将其标上较高的IP优先级确保时延，这样它们在网络传输时只需最小的延时（假设路由器上已配置了这种数据包优先级的设置）； 通道关闭——通道常用来传输多点流量、没有在核心层上交换的协议及加密流量（虚拟专有链接）； 流量统计与计数； 基于策略的路由。 IP地址规划和子网划分 设计一个IP网络首先要面对的一个问题就是地址规划问题 ，良好的地址规划是进行进一步设计的前提，也为进行有效的地址管理打好基础。为了减少配置任务的数量，可以使用BOOTP或DHCP等动态分配主机地址的协议动态分配主机地址。 我们在后面的讨论一般只精确到子网的划分。 IP地址 所谓IP地址就是给每一个连接在计算机网络中的主机分配一个唯一的32bit 地址，由类别字段，网络地址和主机地址组成。目前IP地址分为A,B,C,D,E五类。 其中D类地址是一种组播地址，主要是留给组播应用使用。E类地址保留在今后使用。目前实际网上使用的大量IP地址仅A至C类三种。 有一些IP地址有特殊含义，例如： 网络部分为全0的地址，这表示“本网络”或“我不知道号码的这个网络”。 主机部分为全0的地址，这表示该IP地址就是网络的地址。 主机部分为全1的地址，表示广播地址，即对该网络上所有的主机进行广播。 网络号码为127.X.X.X.，这里X.X.X为任何数。这样的网络号码用作本地软件回送测试（Loopback test）之用。 全1地址255.255.255.255，这表示“向我的网络上的所有主机广播”。 子网 IP地址的设计体现了层次设计思想，但A、B、C、D、E的机械划分造成了IP地址的严重浪费，为此人们又提出了子网的概念，其主要思想是将原IP地址的部分主机位借用为网络位，从而增加网络数目，进而可以分配给更多的单位（地区）使