作者：賀秋雨

15年網(wǎng)絡(luò)工作經(jīng)驗(yàn)/VMware官方認(rèn)證工程師/華為認(rèn)證講師

——文章摘自聯(lián)想超級課

---

 

本次跟大家分享的課程：網(wǎng)絡(luò)部署實(shí)戰(zhàn)及架構(gòu)設(shè)計(jì)初級培訓(xùn)。

 

目錄

• OSI七層模型

• IP地址基礎(chǔ)
• 交換機(jī)原理
• VLAN虛擬局域網(wǎng)

• 路由技術(shù)
• NAT地址轉(zhuǎn)換技術(shù)

• 網(wǎng)絡(luò)設(shè)備類型

 

?

第一部分：OSI七層模型

 

它將網(wǎng)絡(luò)邏輯上分成了七層，通過七個層次的結(jié)構(gòu)模型，使不同的系統(tǒng)、不同的網(wǎng)絡(luò)之間可以實(shí)現(xiàn)一種可靠分類。

 

OSI七層模型由ISO組織來制定，從下往上依次為物理層、數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層、傳輸層、會話層、表示層、應(yīng)用層。這七層的功能分別有什么用？

 

 

 

物理層是OSI七層模型最底層，也叫做第一層，傳輸?shù)闹饕俏锢硇盘枺簿褪撬^的二進(jìn)制。在物理層當(dāng)中它不提供糾錯服務(wù)，但是能夠設(shè)定數(shù)據(jù)傳輸?shù)乃俾剩⑶冶O(jiān)測出數(shù)據(jù)的出錯率。

 

比如把計(jì)算機(jī)插在網(wǎng)卡上面的網(wǎng)線拔掉，就會影響物理層的傳輸。

 

數(shù)據(jù)鏈路層位于OSI七層模型的第二層，控制網(wǎng)絡(luò)層和物理層之間的通信，它的主要功能是如何在不可靠的物理線路上進(jìn)行數(shù)據(jù)的傳輸，為了保證傳輸?shù)馁|(zhì)量，在數(shù)據(jù)鏈路層把數(shù)據(jù)分割成一個單位，這個單位叫做幀。

 

幀是用來移動數(shù)據(jù)的結(jié)構(gòu)包，在幀當(dāng)中識別幀的單位是mac 地址，每個幀到每個幀的當(dāng)中分別有原mac 地址和目標(biāo) mac 地址。

 

網(wǎng)絡(luò)層是osi在七層模型的第三層，主要功能是將網(wǎng)絡(luò)地址翻譯成對應(yīng)的mac地址，并決定數(shù)據(jù)由發(fā)送方路由的接收方，它的傳輸單位是數(shù)據(jù)包Packet。

 

傳輸層是osi在七層模型當(dāng)中最重要的一層，傳輸協(xié)議同時進(jìn)行流量控制，或是基于接收方可接收數(shù)據(jù)的快慢程度來適當(dāng)?shù)陌l(fā)送數(shù)據(jù)，它的傳輸單位叫做數(shù)據(jù)段segment。

 

在傳輸層有計(jì)算機(jī)網(wǎng)絡(luò)當(dāng)中最重要的兩個協(xié)議：TCP 和 UDP，表示從事應(yīng)用程序和網(wǎng)絡(luò)之間的翻譯官，在表示層數(shù)據(jù)將按照網(wǎng)絡(luò)能夠理解的方案進(jìn)行格式化，例如數(shù)據(jù)的加密和解密。

 

最后一層也就是OSI七層模型的最高層，叫做應(yīng)用層，負(fù)責(zé)對軟件提供接口以使程序進(jìn)行網(wǎng)絡(luò)服務(wù)。

 

通過由ISO制定的OSI七層模型，能夠使不同的系統(tǒng)通過不同的網(wǎng)絡(luò)連接起來，但是都是在OSI七層模型的指導(dǎo)下來進(jìn)行的。

 

 

第二部分：IP地址

 

每一臺入網(wǎng)的計(jì)算機(jī)節(jié)點(diǎn)都會有一個ip地址，而且這個ip地址是唯一的，只有這樣我們才能夠?qū)崿F(xiàn)不同的計(jì)算機(jī)節(jié)點(diǎn)之間的一個通信。

 

ip地址是主機(jī)唯一個標(biāo)識，通過ip地址，我們保證主機(jī)間的正常通信，在計(jì)算機(jī)當(dāng)中可以通過開始菜單運(yùn)行輸入cmd，在命令行窗口輸入ipconfig回車，可以查看當(dāng)前計(jì)算機(jī)的ip地址。

 

大家可以看到測試中的計(jì)算機(jī)的ip地址是10.10.29.4，它的IP地址是一組網(wǎng)絡(luò)編碼，它就像人在社會當(dāng)中的身份證一樣，可以確定網(wǎng)絡(luò)當(dāng)中的一個主機(jī)節(jié)點(diǎn)。

 

 

 

現(xiàn)在看到的ip地址是三個小數(shù)點(diǎn)分別分割的四組數(shù)字構(gòu)成，其實(shí)ip地址是由32位的二進(jìn)制構(gòu)成，ip地址又分成兩部分的內(nèi)容，一部分叫做網(wǎng)絡(luò)部分，一部分叫做主機(jī)部分。

 

區(qū)分ip地址網(wǎng)絡(luò)部分和主機(jī)部分的依據(jù)就是我們的子網(wǎng)掩碼，子網(wǎng)掩碼也是由32位二進(jìn)制構(gòu)成，比如第一組255，代表是二進(jìn)制當(dāng)中的8個1，也就是我們的子網(wǎng)掩碼為1組8個1，2組8個1，3組8個1，最后一組是0，是8個0，那么就可以依據(jù)子網(wǎng)掩碼前邊是24位，也就是ip地址的網(wǎng)絡(luò)部分是24位，后邊呢8位是0，也就是ip地址的主機(jī)位是0，通過子網(wǎng)掩碼來分割ip地址的網(wǎng)絡(luò)部分和主機(jī)部分。

 

同時我們把ip地址分成A類B類和C類三類，如何劃分的呢？

 

子網(wǎng)掩碼為255255255.0的這樣的ip地址，叫做C類地址，子網(wǎng)掩碼為2個255.0.0、2個0的ip地，叫做B類地址，子網(wǎng)掩碼為255.0.0.0，也就是一個255、3個0的ip地址，我們把它叫做A類地址。

 

除此之外，我們還可以用另外一種方法來解釋我們ip地址的A類B類和C類。

 

ip地址是由32位二進(jìn)制構(gòu)成的，ip地址的32位，二進(jìn)制的前1位為0的時候，第1位為0的時候，我們把它IP地址叫做A類地址，ip地址的前2位固定為10的時候，這樣的ip地址，我們叫做B類地址，ip地址的前3位固定為110的時候，我們的ip地址，叫做C類地址。

 

一個IP地址是有不同的類型的，而設(shè)置給我們計(jì)算機(jī)的一個ip地址叫做一個主機(jī)地址，除了主機(jī)地址之外，還有網(wǎng)絡(luò)地址和廣播地址。

 

什么叫網(wǎng)絡(luò)地址呢？

ip地址分成網(wǎng)絡(luò)部分和主機(jī)部分，我們把一個ip地址的主機(jī)部分全部變成0，那么得到的地址就是這個主機(jī)地址的網(wǎng)絡(luò)地址。

 

ip地址的廣播地址是怎么定義的呢？

一個ip地址的主機(jī)部分全部變成1，得到的地址就是我們ip地址的廣播地址。

 

在這里邊我們有必要提一下特殊的ip地址，比如代表我們計(jì)算機(jī)網(wǎng)卡本身的一個ip地址，進(jìn)行測試的地址，我們把他叫做回環(huán)地址，也就是127.0.0.1，來測試網(wǎng)卡本身的正常使用。

 

除此之外，我們還有相應(yīng)的私網(wǎng)地址，私網(wǎng)地址有三段，分別是10.0.0，子網(wǎng)掩碼是255.0.0.0，192.168. 0.0，子網(wǎng)掩碼是255.255.0.0，還有1組是172.16.0.0至172. 32.0.0，子網(wǎng)掩碼也12位。

 

有關(guān)ip地址的內(nèi)容，就給大家介紹這么多。

 

第三部分：交換機(jī)原理

 

交換機(jī)是我們計(jì)算機(jī)網(wǎng)絡(luò)架構(gòu)必不可少的一種網(wǎng)絡(luò)設(shè)備，那么交換機(jī)到底是一個什么樣的角色呢？

 

大家經(jīng)常看到辦公室墻上只有一個接口，通過交換機(jī)我們可以把一個接口擴(kuò)展成多個接口，但這僅僅是交換機(jī)的一小部分的作用。

 

 

 

早期的集線器也能夠?qū)崿F(xiàn)端口的擴(kuò)充，但早期集線器是工作在OSI七層模型的物理層，它只是端口進(jìn)行簡單的一個擴(kuò)充，而對數(shù)據(jù)進(jìn)行轉(zhuǎn)發(fā)的時候會轉(zhuǎn)發(fā)到集線器的所有端口。

 

交換機(jī)內(nèi)置一個端口和從端口上學(xué)習(xí)來的mac地址表的一一對應(yīng)關(guān)系，從而實(shí)現(xiàn)我們mac地址的學(xué)習(xí)和過濾。

 

說到這我們要解釋一下什么是mac地址，在我們計(jì)算機(jī)的網(wǎng)卡上面燒制了一段固定的ip地址，它是48位二進(jìn)制，我們通過運(yùn)行窗口輸入cmd，在命令行窗口輸入Ipconfig/all，可以查看到當(dāng)前物理網(wǎng)卡的物理地址，也就是它的mac地址。

 

有人說是48位二進(jìn)制不是48位，這里邊每一組我們是一組16進(jìn)制，每一組是一組16進(jìn)制，這樣48位二進(jìn)制被分割成6組16進(jìn)制。

 

正是有了mac地址，我們的計(jì)算機(jī)節(jié)點(diǎn)連接到交換機(jī)之后，在它發(fā)送數(shù)據(jù)的時候就會在交換機(jī)的mac地址表當(dāng)中形成一個計(jì)算機(jī)節(jié)點(diǎn)的MAC地址，和交換機(jī)的端口的對應(yīng)關(guān)系，當(dāng)它往目的節(jié)點(diǎn)發(fā)送數(shù)據(jù)的時候，會向全廣播域進(jìn)行廣播，查找ip地址全網(wǎng)當(dāng)中的計(jì)算機(jī)節(jié)點(diǎn)，都會收到這條廣播包，但是只有目的地址才會得到響應(yīng)，得到響應(yīng)之后，目的節(jié)點(diǎn)的計(jì)算機(jī)的mac地址和它的端口號，在這種計(jì)算機(jī)的mac地址表當(dāng)中也有了相應(yīng)的記錄，這就是我們交換機(jī)地址學(xué)習(xí)的過程。

 

正是因?yàn)榻粨Q機(jī)里邊有了mac地址和計(jì)算機(jī)端口的這種關(guān)系，這樣我們在OSI七層模型的數(shù)據(jù)鏈路層能夠?qū)崿F(xiàn)轉(zhuǎn)發(fā)和過濾mac地址，最大限度地提高了我們傳輸?shù)男剩硕咏粨Q機(jī)之外，還會有三層交換機(jī)，三層交換機(jī)一般是當(dāng)作園區(qū)網(wǎng)絡(luò)的核心交換機(jī)或匯聚交換機(jī)使用，能夠?qū)崿F(xiàn)一個三層的轉(zhuǎn)發(fā)。

 

第四部分：VLAN

VLAN中文名稱叫做虛擬局域網(wǎng)。首先說什么是虛擬的，虛擬的就是不是真實(shí)存在的，而是一種虛擬的虛擬局域網(wǎng)。

 

VLAN就是我們通過一種交換機(jī)的技術(shù)，能夠?qū)崿F(xiàn)我們對網(wǎng)絡(luò)邏輯上的劃分，舉個非常簡單的例子。

 

我們一間辦公室里邊，有銷售部的同事和財(cái)務(wù)部的同事，按照功能的劃分，財(cái)務(wù)部的同事的網(wǎng)絡(luò)和銷售部的同事的網(wǎng)絡(luò)，肯定不能在同一個網(wǎng)絡(luò)。

 

那么就可以通過使用VLAN在交換機(jī)上劃分不同的網(wǎng)絡(luò)，這就好比我們計(jì)算機(jī)的硬盤，計(jì)算機(jī)硬盤本身只有一個物理硬盤，但是通過計(jì)算機(jī)打開之后，可以看到C盤D盤E盤等等，而邏輯上我們有多個磁盤，這就是虛擬的意思。

 

 

 

而真正的物理交換機(jī)只有一個，通過VLAN技術(shù)，可以把它邏輯上分成多個網(wǎng)絡(luò)，從而實(shí)現(xiàn)一種網(wǎng)絡(luò)的隔離，保障我們網(wǎng)絡(luò)之間通信的安全性，這個就是VLAN技術(shù)。

 

VLAN技術(shù)在我們園區(qū)的架構(gòu)當(dāng)中是必不可少的基礎(chǔ)技術(shù)，VLAN的劃分一般用的比較多的是依據(jù)物理交換機(jī)的端口來進(jìn)行劃分，除此之外，我們也可以通過ip地址和mac地址來進(jìn)行主要劃分，還是以物理交換機(jī)的端口為主，劃分了VLAN。

 

交換機(jī)上一般主要用到兩種接口：

第一種接口叫做ACCESS接口，ACCESS即接入的意思，也就是我們計(jì)算機(jī)節(jié)點(diǎn)連接到交換機(jī)的接口，除此之外，還有一種接口叫做TRUNK口，它能夠傳輸多個網(wǎng)絡(luò)的信息，也就是說我們交換機(jī)下面所連的計(jì)算機(jī)節(jié)點(diǎn)所屬的所有網(wǎng)絡(luò)都可以通過干道來進(jìn)行傳輸，也就是我們網(wǎng)絡(luò)傳輸?shù)墓餐ǖ馈?/p>

 

第五部分：內(nèi)容路由技術(shù)

 

路由從字面上來講路由就是路徑的意思，通過路由技術(shù)，實(shí)現(xiàn)在OSI三層模型當(dāng)中，數(shù)據(jù)從原地址傳輸?shù)侥繕?biāo)地址，而傳輸過程當(dāng)中走過的每一個節(jié)點(diǎn)，我們就把它叫做路徑。

 

在網(wǎng)絡(luò)設(shè)備當(dāng)中，路徑的體現(xiàn)是通過路由表來實(shí)現(xiàn)的，每個數(shù)據(jù)包經(jīng)過每一個網(wǎng)絡(luò)設(shè)備的時候，它會對網(wǎng)絡(luò)設(shè)備的路由表來進(jìn)行匹配，根據(jù)路由表數(shù)據(jù)被轉(zhuǎn)發(fā)到下一臺網(wǎng)絡(luò)設(shè)備。

 

在網(wǎng)絡(luò)設(shè)備當(dāng)中，實(shí)現(xiàn)路由表的方式有兩種，一種叫做靜態(tài)路由，一種叫做動態(tài)路由。

 

靜態(tài)路由的路徑是寫死的，即使網(wǎng)絡(luò)當(dāng)中路徑上出了問題，網(wǎng)絡(luò)設(shè)備依然按照既定的路線來進(jìn)行轉(zhuǎn)發(fā)數(shù)據(jù)。

 

 

 

而動態(tài)路由是指我們的路徑是一種，是通過我們網(wǎng)絡(luò)設(shè)備動態(tài)根據(jù)某種段算法動態(tài)生成的，而生成的路徑會隨時隨著我們情況的具體變化而不斷的更新，這種叫做動態(tài)路由。

 

一般動態(tài)路由有OSPF/Rip/EIGRP。當(dāng)然EIGRP是思科私有的協(xié)議。另外在運(yùn)營商當(dāng)中還會用到相應(yīng)的BGP，一般一個園區(qū)網(wǎng)絡(luò)都會有一條或多條出口，當(dāng)只有一條出口的時候，園區(qū)網(wǎng)上當(dāng)中的所有的數(shù)據(jù)，都會通過這條路徑來出去。

 

我們在園區(qū)網(wǎng)絡(luò)的出口設(shè)備上會產(chǎn)生這樣一條默認(rèn)路由，因?yàn)橹挥羞@一條路由，也只有通過這一條路來出去，這就是我們默認(rèn)的路，而這條路就叫做默認(rèn)路由。

 

當(dāng)我們有兩條線路的時候，為了保證園區(qū)網(wǎng)絡(luò)的冗余性，有的時候我們會有兩條出口線路，當(dāng)?shù)囊粭l線路出現(xiàn)問題的時候，馬上切換到另外一條線路，這叫做浮動路由。

 

浮動路由主要實(shí)現(xiàn)的是園區(qū)網(wǎng)絡(luò)出口的備份和冗余

 

第六部分：NAT地址轉(zhuǎn)換技術(shù)

 

在早期計(jì)算機(jī)網(wǎng)絡(luò)規(guī)劃的時候，沒有考慮到現(xiàn)在的ip地址會使用這么多，計(jì)算機(jī)網(wǎng)絡(luò)發(fā)展的如此之快，所以說時至今天我們的ip地址，主要是IPV4地址，已經(jīng)嚴(yán)重不夠用了，不夠用了怎么辦，就得想辦法解決，所以一種新技術(shù)應(yīng)運(yùn)而生，這種技術(shù)就叫做NAT網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)。

 

通過在園區(qū)網(wǎng)絡(luò)當(dāng)中使用私網(wǎng)地址，在出口設(shè)備上部署NAT地址，能夠?qū)崿F(xiàn)把私網(wǎng)地址轉(zhuǎn)換成公網(wǎng)地址，從而訪問互聯(lián)網(wǎng)，私網(wǎng)地址前邊講ip地址的時候已經(jīng)講了私網(wǎng)地址，主要有三段地址：

• 10.0.0 子網(wǎng)掩碼是8位

• 192.168.0.0 子網(wǎng)掩碼是16位

• 172.16到172.32 子網(wǎng)掩碼是12位

 

通過NAT技術(shù)，能夠大量的節(jié)約公網(wǎng)歷史，運(yùn)營商現(xiàn)在很多地方給最終用戶提供的已經(jīng)是私網(wǎng)地址了，而基本上所有的園區(qū)網(wǎng)使用的都是私網(wǎng)地址，通過NAT技術(shù)，可以實(shí)現(xiàn)一個或者少量的公網(wǎng)地址，來滿足園區(qū)網(wǎng)內(nèi)所有的私網(wǎng)地址的上網(wǎng)。

 

NAT技術(shù)的實(shí)現(xiàn)主要有三種方式，第一種叫做靜態(tài)NAT技術(shù)。靜態(tài)NAT技術(shù)主要是為服務(wù)器來使用的，園區(qū)網(wǎng)當(dāng)中的服務(wù)器要被互聯(lián)網(wǎng)當(dāng)中的計(jì)算機(jī)節(jié)點(diǎn)進(jìn)行訪問，必須給服務(wù)器一個公網(wǎng)地址，靜態(tài)NAT實(shí)現(xiàn)的就是園區(qū)網(wǎng)當(dāng)中的服務(wù)器的私網(wǎng)地址和公網(wǎng)地址的一一對應(yīng)的關(guān)系，這就要求我們每一個私網(wǎng)地址，對應(yīng)互聯(lián)網(wǎng)當(dāng)中的一個公網(wǎng)地址，從而實(shí)現(xiàn)靜態(tài)的一對一轉(zhuǎn)換。

 

動態(tài)NAT是指我們通過公網(wǎng)地址建立一個地址池，而私網(wǎng)地址通過從公網(wǎng)地址池當(dāng)中獲取相應(yīng)的公網(wǎng)地址來實(shí)現(xiàn)上網(wǎng)，當(dāng)私網(wǎng)當(dāng)中的一臺計(jì)算機(jī)不再上網(wǎng)了，它的公網(wǎng)地址就又會釋放動態(tài)NAT技術(shù)。

 

端口復(fù)用是指什么意思呢？

端口復(fù)用是指一個公網(wǎng)地址的端口可以被園區(qū)網(wǎng)內(nèi)的N多個私網(wǎng)地址來進(jìn)行復(fù)用，從而實(shí)現(xiàn)計(jì)算機(jī)網(wǎng)絡(luò)上網(wǎng)的一個一對多的關(guān)系。

 

NAT技術(shù)目前是解決ip地址匱乏的最主要的技術(shù)，也是園區(qū)網(wǎng)架構(gòu)當(dāng)中必不可少的技術(shù)，而實(shí)現(xiàn)NAT技術(shù)一般是在我們的出口網(wǎng)關(guān)設(shè)備上，這個設(shè)備可以是路由器，也可以是防火墻，也可以是出口網(wǎng)關(guān)設(shè)備，只要支持NAT技術(shù)就可以。

 

第七部分：網(wǎng)絡(luò)設(shè)備類型

 

園區(qū)網(wǎng)架構(gòu)當(dāng)中碰到的網(wǎng)絡(luò)設(shè)備，不僅僅只有交換機(jī)和路由器，還會有防火墻，上網(wǎng)行為管理，流控設(shè)備，入侵檢測設(shè)備，負(fù)載均衡設(shè)備和網(wǎng)絡(luò)管理設(shè)備。

 

我們前面已經(jīng)說了，交換機(jī)主要實(shí)現(xiàn)的是一個數(shù)據(jù)鏈路層，OSI七層模型二層的數(shù)據(jù)轉(zhuǎn)發(fā)，而路由器位于OSI七模型的網(wǎng)絡(luò)層第三層，主要實(shí)現(xiàn)是根據(jù)數(shù)據(jù)包當(dāng)中的原地址和MAC地址進(jìn)行路由表轉(zhuǎn)發(fā)，

 

防火墻是一類安全設(shè)備，能夠?qū)崿F(xiàn)園區(qū)網(wǎng)和互聯(lián)網(wǎng)的一個有效隔離，防火墻內(nèi)部會劃分不同的區(qū)域，它會認(rèn)為所有來自外部的數(shù)據(jù)都是不安全的。我們稱為Untrust，也就是不信任不安全的區(qū)域，而園區(qū)網(wǎng)內(nèi)部所有的數(shù)據(jù)認(rèn)為是安全的，我們把它叫做trust數(shù)據(jù)，通過防火墻的設(shè)立，不同的區(qū)域我們可以實(shí)現(xiàn)數(shù)據(jù)流的定義多個策略來適應(yīng)，滿足我們園區(qū)網(wǎng)安全性的需要。防火墻也是園區(qū)網(wǎng)架構(gòu)當(dāng)中安全設(shè)備必不可少的。

 

 

 

上網(wǎng)行為管理設(shè)備可以通過以日志的方式，記錄內(nèi)網(wǎng)計(jì)算機(jī)節(jié)點(diǎn)上網(wǎng)當(dāng)中的各種行為，同時對不允許訪問的網(wǎng)站，不允許使用的程序進(jìn)行攔截；第二能夠有效的管控計(jì)算機(jī)網(wǎng)內(nèi)計(jì)算機(jī)的各種行為，同時為所有的相應(yīng)的上網(wǎng)行為提供相應(yīng)的日志，為后期的上網(wǎng)審計(jì)做準(zhǔn)備。

 

 

 

流量控制設(shè)備是指對我們計(jì)算機(jī)園區(qū)網(wǎng)當(dāng)中的流量里邊的特殊的應(yīng)用程序進(jìn)行相應(yīng)的控制，比如一個園區(qū)網(wǎng)，如果沒有流控設(shè)備，大量的P2P下載流量和P2P視頻流量，會急劇地占據(jù)我們整個園區(qū)網(wǎng)的出口帶寬，這樣會使整個園區(qū)網(wǎng)的計(jì)算機(jī)上網(wǎng)的體驗(yàn)非常差，通過流量控制設(shè)備，可以控制并優(yōu)先保證最主要的應(yīng)用，如http應(yīng)用，郵件應(yīng)用等，同時可以對這些大的流量而又不是特別重要的應(yīng)用進(jìn)行限制。

 

第二，流控設(shè)備還可以對我們計(jì)算機(jī)網(wǎng)內(nèi)的每臺每個ip地址進(jìn)行相應(yīng)的限速，保證我們計(jì)算機(jī)網(wǎng)絡(luò)當(dāng)中的有效使用

 

入侵檢測設(shè)備，現(xiàn)在園區(qū)網(wǎng)當(dāng)中網(wǎng)絡(luò)是一個非常重視的問題，如何保證園區(qū)網(wǎng)絡(luò)的安全性，這就需要我們在網(wǎng)絡(luò)當(dāng)中架設(shè)入侵檢測設(shè)備，它能夠根據(jù)相應(yīng)的特征來檢測我的園區(qū)網(wǎng)絡(luò)當(dāng)中是不是有沒有被入侵，以及還會有相應(yīng)的入侵防護(hù)設(shè)備對入侵的行為進(jìn)行攔截和阻斷。

 

負(fù)載均衡設(shè)備是應(yīng)用交付類設(shè)備當(dāng)中非常重要的一種設(shè)備，他的使用的場景一般有兩個，第一個場景是負(fù)載均衡設(shè)備部署在我們園區(qū)網(wǎng)的出口，當(dāng)有多條出口的時候，為了保證每條出口的帶寬使用率，同時保證我們園區(qū)網(wǎng)內(nèi)部的流量能夠按照我們既定的原則選擇不同的出口，就需要部署一臺負(fù)載均衡設(shè)備。

 

舉個簡單的例子，園區(qū)網(wǎng)有一條有兩個運(yùn)營商的出口，我想讓辦公的Ltp協(xié)議都走A出口，讓所有的下載和在線視頻都走B出口，通過負(fù)載均衡實(shí)現(xiàn)是非常方便的。

 

負(fù)載均衡設(shè)備使用的另外一個場景是園區(qū)內(nèi)部有服務(wù)器，而訪問服務(wù)器的用戶的數(shù)量非常大，一臺服務(wù)器已經(jīng)滿足不了訪問的需求了，就可以部署多臺服務(wù)器，在服務(wù)所有服務(wù)器的前端部署一臺負(fù)載均衡設(shè)備，這樣通過負(fù)載均衡設(shè)備，我們能夠?qū)崿F(xiàn)多臺服務(wù)器的訪問壓力分擔(dān)，保障我們所有的服務(wù)器都會得到相應(yīng)的訪問，不會造成單臺服務(wù)器的壓力負(fù)載過大。

 

網(wǎng)絡(luò)管理設(shè)備。一個園區(qū)網(wǎng)絡(luò)當(dāng)中會有多臺會有幾十臺甚至上百臺的網(wǎng)絡(luò)設(shè)備，如果靠單純的一臺一臺進(jìn)行管理，工作量是非常大的，而且會忽略一些比較嚴(yán)重的問題。通過網(wǎng)絡(luò)管理設(shè)備可以實(shí)現(xiàn)整個園區(qū)網(wǎng)一個拓?fù)涞囊粋€實(shí)時的展現(xiàn)，每臺設(shè)備的一些具體的運(yùn)行參數(shù)，比如它的cpu利用率、連接力、端口流量等等，都可以通過我們的網(wǎng)絡(luò)管理設(shè)備來進(jìn)行實(shí)時展現(xiàn)。

 

設(shè)備之間線路的負(fù)載、使用了多大流量、占用線路的百分之多少，我們也可以通過網(wǎng)絡(luò)管理設(shè)備來進(jìn)行查看，同時在網(wǎng)絡(luò)管理設(shè)備當(dāng)中可以登錄到每一臺設(shè)備來進(jìn)行管理，甚至可以批量的傳輸網(wǎng)絡(luò)設(shè)備的實(shí)時的數(shù)據(jù)。

 

通過剛才的講解我們主要介紹了OSI七層模型在園區(qū)網(wǎng)架構(gòu)當(dāng)中用到的主要的設(shè)備類型，讓大家對網(wǎng)絡(luò)部署有了一個簡單的了解，園區(qū)網(wǎng)絡(luò)在部署的時候一般會把網(wǎng)絡(luò)分成接入層設(shè)備匯聚層設(shè)備和核心層設(shè)備，也就是說真正的網(wǎng)絡(luò)部署會劃分成三個層次。

 

舉一個簡單的例子，一所學(xué)校會有很多棟教學(xué)樓，我們每一層都會有相應(yīng)的計(jì)算機(jī)接入到網(wǎng)絡(luò)，而每一層也會部署相應(yīng)的交換機(jī)和計(jì)算機(jī)節(jié)點(diǎn)進(jìn)行直連，這一類交換機(jī)我們就把它叫做接入層交換機(jī)。

 

而每一棟教學(xué)樓會有匯聚所有樓層的交換機(jī)設(shè)備，就叫做匯聚層交換機(jī)。

 

而整個學(xué)校所有的流量都會匯聚到核心節(jié)點(diǎn)，那么核心節(jié)點(diǎn)的交換機(jī)叫做核心交換機(jī)。

 

在核心交換機(jī)網(wǎng)上的出口網(wǎng)關(guān)，通過出口網(wǎng)關(guān)和我們的運(yùn)營商進(jìn)行互聯(lián)，這就是整個網(wǎng)絡(luò)部署的三個層次，而在核心層和出口網(wǎng)關(guān)之間會串行或者旁路部署我們應(yīng)用交付類設(shè)備，比如說上網(wǎng)行為管理、流量控制設(shè)備、入侵檢測設(shè)備、入侵防護(hù)設(shè)備等等，保障網(wǎng)絡(luò)部署的有效性和安全性。