作者：賀秋雨

15年網絡工作經驗/VMware官方認證工程師/華為認證講師

——文章摘自聯(lián)想超級課

---

 

本次跟大家分享的課程：網絡部署實戰(zhàn)及架構設計初級培訓。

 

目錄

• OSI七層模型

• IP地址基礎
• 交換機原理
• VLAN虛擬局域網

• 路由技術
• NAT地址轉換技術

• 網絡設備類型

 

?

第一部分：OSI七層模型

 

它將網絡邏輯上分成了七層，通過七個層次的結構模型，使不同的系統(tǒng)、不同的網絡之間可以實現一種可靠分類。

 

OSI七層模型由ISO組織來制定，從下往上依次為物理層、數據鏈路層、網絡層、傳輸層、會話層、表示層、應用層。這七層的功能分別有什么用？

 

 

 

物理層是OSI七層模型最底層，也叫做第一層，傳輸的主要是物理信號，也就是所謂的二進制。在物理層當中它不提供糾錯服務，但是能夠設定數據傳輸的速率，并且監(jiān)測出數據的出錯率。

 

比如把計算機插在網卡上面的網線拔掉，就會影響物理層的傳輸。

 

數據鏈路層位于OSI七層模型的第二層，控制網絡層和物理層之間的通信，它的主要功能是如何在不可靠的物理線路上進行數據的傳輸，為了保證傳輸的質量，在數據鏈路層把數據分割成一個單位，這個單位叫做幀。

 

幀是用來移動數據的結構包，在幀當中識別幀的單位是mac 地址，每個幀到每個幀的當中分別有原mac 地址和目標 mac 地址。

 

網絡層是osi在七層模型的第三層，主要功能是將網絡地址翻譯成對應的mac地址，并決定數據由發(fā)送方路由的接收方，它的傳輸單位是數據包Packet。

 

傳輸層是osi在七層模型當中最重要的一層，傳輸協(xié)議同時進行流量控制，或是基于接收方可接收數據的快慢程度來適當的發(fā)送數據，它的傳輸單位叫做數據段segment。

 

在傳輸層有計算機網絡當中最重要的兩個協(xié)議：TCP 和 UDP，表示從事應用程序和網絡之間的翻譯官，在表示層數據將按照網絡能夠理解的方案進行格式化，例如數據的加密和解密。

 

最后一層也就是OSI七層模型的最高層，叫做應用層，負責對軟件提供接口以使程序進行網絡服務。

 

通過由ISO制定的OSI七層模型，能夠使不同的系統(tǒng)通過不同的網絡連接起來，但是都是在OSI七層模型的指導下來進行的。

 

 

第二部分：IP地址

 

每一臺入網的計算機節(jié)點都會有一個ip地址，而且這個ip地址是唯一的，只有這樣我們才能夠實現不同的計算機節(jié)點之間的一個通信。

 

ip地址是主機唯一個標識，通過ip地址，我們保證主機間的正常通信，在計算機當中可以通過開始菜單運行輸入cmd，在命令行窗口輸入ipconfig回車，可以查看當前計算機的ip地址。

 

大家可以看到測試中的計算機的ip地址是10.10.29.4，它的IP地址是一組網絡編碼，它就像人在社會當中的身份證一樣，可以確定網絡當中的一個主機節(jié)點。

 

 

 

現在看到的ip地址是三個小數點分別分割的四組數字構成，其實ip地址是由32位的二進制構成，ip地址又分成兩部分的內容，一部分叫做網絡部分，一部分叫做主機部分。

 

區(qū)分ip地址網絡部分和主機部分的依據就是我們的子網掩碼，子網掩碼也是由32位二進制構成，比如第一組255，代表是二進制當中的8個1，也就是我們的子網掩碼為1組8個1，2組8個1，3組8個1，最后一組是0，是8個0，那么就可以依據子網掩碼前邊是24位，也就是ip地址的網絡部分是24位，后邊呢8位是0，也就是ip地址的主機位是0，通過子網掩碼來分割ip地址的網絡部分和主機部分。

 

同時我們把ip地址分成A類B類和C類三類，如何劃分的呢？

 

子網掩碼為255255255.0的這樣的ip地址，叫做C類地址，子網掩碼為2個255.0.0、2個0的ip地，叫做B類地址，子網掩碼為255.0.0.0，也就是一個255、3個0的ip地址，我們把它叫做A類地址。

 

除此之外，我們還可以用另外一種方法來解釋我們ip地址的A類B類和C類。

 

ip地址是由32位二進制構成的，ip地址的32位，二進制的前1位為0的時候，第1位為0的時候，我們把它IP地址叫做A類地址，ip地址的前2位固定為10的時候，這樣的ip地址，我們叫做B類地址，ip地址的前3位固定為110的時候，我們的ip地址，叫做C類地址。

 

一個IP地址是有不同的類型的，而設置給我們計算機的一個ip地址叫做一個主機地址，除了主機地址之外，還有網絡地址和廣播地址。

 

什么叫網絡地址呢？

ip地址分成網絡部分和主機部分，我們把一個ip地址的主機部分全部變成0，那么得到的地址就是這個主機地址的網絡地址。

 

ip地址的廣播地址是怎么定義的呢？

一個ip地址的主機部分全部變成1，得到的地址就是我們ip地址的廣播地址。

 

在這里邊我們有必要提一下特殊的ip地址，比如代表我們計算機網卡本身的一個ip地址，進行測試的地址，我們把他叫做回環(huán)地址，也就是127.0.0.1，來測試網卡本身的正常使用。

 

除此之外，我們還有相應的私網地址，私網地址有三段，分別是10.0.0，子網掩碼是255.0.0.0，192.168. 0.0，子網掩碼是255.255.0.0，還有1組是172.16.0.0至172. 32.0.0，子網掩碼也12位。

 

有關ip地址的內容，就給大家介紹這么多。

 

第三部分：交換機原理

 

交換機是我們計算機網絡架構必不可少的一種網絡設備，那么交換機到底是一個什么樣的角色呢？

 

大家經常看到辦公室墻上只有一個接口，通過交換機我們可以把一個接口擴展成多個接口，但這僅僅是交換機的一小部分的作用。

 

 

 

早期的集線器也能夠實現端口的擴充，但早期集線器是工作在OSI七層模型的物理層，它只是端口進行簡單的一個擴充，而對數據進行轉發(fā)的時候會轉發(fā)到集線器的所有端口。

 

交換機內置一個端口和從端口上學習來的mac地址表的一一對應關系，從而實現我們mac地址的學習和過濾。

 

說到這我們要解釋一下什么是mac地址，在我們計算機的網卡上面燒制了一段固定的ip地址，它是48位二進制，我們通過運行窗口輸入cmd，在命令行窗口輸入Ipconfig/all，可以查看到當前物理網卡的物理地址，也就是它的mac地址。

 

有人說是48位二進制不是48位，這里邊每一組我們是一組16進制，每一組是一組16進制，這樣48位二進制被分割成6組16進制。

 

正是有了mac地址，我們的計算機節(jié)點連接到交換機之后，在它發(fā)送數據的時候就會在交換機的mac地址表當中形成一個計算機節(jié)點的MAC地址，和交換機的端口的對應關系，當它往目的節(jié)點發(fā)送數據的時候，會向全廣播域進行廣播，查找ip地址全網當中的計算機節(jié)點，都會收到這條廣播包，但是只有目的地址才會得到響應，得到響應之后，目的節(jié)點的計算機的mac地址和它的端口號，在這種計算機的mac地址表當中也有了相應的記錄，這就是我們交換機地址學習的過程。

 

正是因為交換機里邊有了mac地址和計算機端口的這種關系，這樣我們在OSI七層模型的數據鏈路層能夠實現轉發(fā)和過濾mac地址，最大限度地提高了我們傳輸的效率，除了二層交換機之外，還會有三層交換機，三層交換機一般是當作園區(qū)網絡的核心交換機或匯聚交換機使用，能夠實現一個三層的轉發(fā)。

 

第四部分：VLAN

VLAN中文名稱叫做虛擬局域網。首先說什么是虛擬的，虛擬的就是不是真實存在的，而是一種虛擬的虛擬局域網。

 

VLAN就是我們通過一種交換機的技術，能夠實現我們對網絡邏輯上的劃分，舉個非常簡單的例子。

 

我們一間辦公室里邊，有銷售部的同事和財務部的同事，按照功能的劃分，財務部的同事的網絡和銷售部的同事的網絡，肯定不能在同一個網絡。

 

那么就可以通過使用VLAN在交換機上劃分不同的網絡，這就好比我們計算機的硬盤，計算機硬盤本身只有一個物理硬盤，但是通過計算機打開之后，可以看到C盤D盤E盤等等，而邏輯上我們有多個磁盤，這就是虛擬的意思。

 

 

 

而真正的物理交換機只有一個，通過VLAN技術，可以把它邏輯上分成多個網絡，從而實現一種網絡的隔離，保障我們網絡之間通信的安全性，這個就是VLAN技術。

 

VLAN技術在我們園區(qū)的架構當中是必不可少的基礎技術，VLAN的劃分一般用的比較多的是依據物理交換機的端口來進行劃分，除此之外，我們也可以通過ip地址和mac地址來進行主要劃分，還是以物理交換機的端口為主，劃分了VLAN。

 

交換機上一般主要用到兩種接口：

第一種接口叫做ACCESS接口，ACCESS即接入的意思，也就是我們計算機節(jié)點連接到交換機的接口，除此之外，還有一種接口叫做TRUNK口，它能夠傳輸多個網絡的信息，也就是說我們交換機下面所連的計算機節(jié)點所屬的所有網絡都可以通過干道來進行傳輸，也就是我們網絡傳輸的公共通道。

 

第五部分：內容路由技術

 

路由從字面上來講路由就是路徑的意思，通過路由技術，實現在OSI三層模型當中，數據從原地址傳輸到目標地址，而傳輸過程當中走過的每一個節(jié)點，我們就把它叫做路徑。

 

在網絡設備當中，路徑的體現是通過路由表來實現的，每個數據包經過每一個網絡設備的時候，它會對網絡設備的路由表來進行匹配，根據路由表數據被轉發(fā)到下一臺網絡設備。

 

在網絡設備當中，實現路由表的方式有兩種，一種叫做靜態(tài)路由，一種叫做動態(tài)路由。

 

靜態(tài)路由的路徑是寫死的，即使網絡當中路徑上出了問題，網絡設備依然按照既定的路線來進行轉發(fā)數據。

 

 

 

而動態(tài)路由是指我們的路徑是一種，是通過我們網絡設備動態(tài)根據某種段算法動態(tài)生成的，而生成的路徑會隨時隨著我們情況的具體變化而不斷的更新，這種叫做動態(tài)路由。

 

一般動態(tài)路由有OSPF/Rip/EIGRP。當然EIGRP是思科私有的協(xié)議。另外在運營商當中還會用到相應的BGP，一般一個園區(qū)網絡都會有一條或多條出口，當只有一條出口的時候，園區(qū)網上當中的所有的數據，都會通過這條路徑來出去。

 

我們在園區(qū)網絡的出口設備上會產生這樣一條默認路由，因為只有這一條路由，也只有通過這一條路來出去，這就是我們默認的路，而這條路就叫做默認路由。

 

當我們有兩條線路的時候，為了保證園區(qū)網絡的冗余性，有的時候我們會有兩條出口線路，當的一條線路出現問題的時候，馬上切換到另外一條線路，這叫做浮動路由。

 

浮動路由主要實現的是園區(qū)網絡出口的備份和冗余

 

第六部分：NAT地址轉換技術

 

在早期計算機網絡規(guī)劃的時候，沒有考慮到現在的ip地址會使用這么多，計算機網絡發(fā)展的如此之快，所以說時至今天我們的ip地址，主要是IPV4地址，已經嚴重不夠用了，不夠用了怎么辦，就得想辦法解決，所以一種新技術應運而生，這種技術就叫做NAT網絡地址轉換技術。

 

通過在園區(qū)網絡當中使用私網地址，在出口設備上部署NAT地址，能夠實現把私網地址轉換成公網地址，從而訪問互聯(lián)網，私網地址前邊講ip地址的時候已經講了私網地址，主要有三段地址：

• 10.0.0 子網掩碼是8位

• 192.168.0.0 子網掩碼是16位

• 172.16到172.32 子網掩碼是12位

 

通過NAT技術，能夠大量的節(jié)約公網歷史，運營商現在很多地方給最終用戶提供的已經是私網地址了，而基本上所有的園區(qū)網使用的都是私網地址，通過NAT技術，可以實現一個或者少量的公網地址，來滿足園區(qū)網內所有的私網地址的上網。

 

NAT技術的實現主要有三種方式，第一種叫做靜態(tài)NAT技術。靜態(tài)NAT技術主要是為服務器來使用的，園區(qū)網當中的服務器要被互聯(lián)網當中的計算機節(jié)點進行訪問，必須給服務器一個公網地址，靜態(tài)NAT實現的就是園區(qū)網當中的服務器的私網地址和公網地址的一一對應的關系，這就要求我們每一個私網地址，對應互聯(lián)網當中的一個公網地址，從而實現靜態(tài)的一對一轉換。

 

動態(tài)NAT是指我們通過公網地址建立一個地址池，而私網地址通過從公網地址池當中獲取相應的公網地址來實現上網，當私網當中的一臺計算機不再上網了，它的公網地址就又會釋放動態(tài)NAT技術。

 

端口復用是指什么意思呢？

端口復用是指一個公網地址的端口可以被園區(qū)網內的N多個私網地址來進行復用，從而實現計算機網絡上網的一個一對多的關系。

 

NAT技術目前是解決ip地址匱乏的最主要的技術，也是園區(qū)網架構當中必不可少的技術，而實現NAT技術一般是在我們的出口網關設備上，這個設備可以是路由器，也可以是防火墻，也可以是出口網關設備，只要支持NAT技術就可以。

 

第七部分：網絡設備類型

 

園區(qū)網架構當中碰到的網絡設備，不僅僅只有交換機和路由器，還會有防火墻，上網行為管理，流控設備，入侵檢測設備，負載均衡設備和網絡管理設備。

 

我們前面已經說了，交換機主要實現的是一個數據鏈路層，OSI七層模型二層的數據轉發(fā)，而路由器位于OSI七模型的網絡層第三層，主要實現是根據數據包當中的原地址和MAC地址進行路由表轉發(fā)，

 

防火墻是一類安全設備，能夠實現園區(qū)網和互聯(lián)網的一個有效隔離，防火墻內部會劃分不同的區(qū)域，它會認為所有來自外部的數據都是不安全的。我們稱為Untrust，也就是不信任不安全的區(qū)域，而園區(qū)網內部所有的數據認為是安全的，我們把它叫做trust數據，通過防火墻的設立，不同的區(qū)域我們可以實現數據流的定義多個策略來適應，滿足我們園區(qū)網安全性的需要。防火墻也是園區(qū)網架構當中安全設備必不可少的。

 

 

 

上網行為管理設備可以通過以日志的方式，記錄內網計算機節(jié)點上網當中的各種行為，同時對不允許訪問的網站，不允許使用的程序進行攔截；第二能夠有效的管控計算機網內計算機的各種行為，同時為所有的相應的上網行為提供相應的日志，為后期的上網審計做準備。

 

 

 

流量控制設備是指對我們計算機園區(qū)網當中的流量里邊的特殊的應用程序進行相應的控制，比如一個園區(qū)網，如果沒有流控設備，大量的P2P下載流量和P2P視頻流量，會急劇地占據我們整個園區(qū)網的出口帶寬，這樣會使整個園區(qū)網的計算機上網的體驗非常差，通過流量控制設備，可以控制并優(yōu)先保證最主要的應用，如http應用，郵件應用等，同時可以對這些大的流量而又不是特別重要的應用進行限制。

 

第二，流控設備還可以對我們計算機網內的每臺每個ip地址進行相應的限速，保證我們計算機網絡當中的有效使用

 

入侵檢測設備，現在園區(qū)網當中網絡是一個非常重視的問題，如何保證園區(qū)網絡的安全性，這就需要我們在網絡當中架設入侵檢測設備，它能夠根據相應的特征來檢測我的園區(qū)網絡當中是不是有沒有被入侵，以及還會有相應的入侵防護設備對入侵的行為進行攔截和阻斷。

 

負載均衡設備是應用交付類設備當中非常重要的一種設備，他的使用的場景一般有兩個，第一個場景是負載均衡設備部署在我們園區(qū)網的出口，當有多條出口的時候，為了保證每條出口的帶寬使用率，同時保證我們園區(qū)網內部的流量能夠按照我們既定的原則選擇不同的出口，就需要部署一臺負載均衡設備。

 

舉個簡單的例子，園區(qū)網有一條有兩個運營商的出口，我想讓辦公的Ltp協(xié)議都走A出口，讓所有的下載和在線視頻都走B出口，通過負載均衡實現是非常方便的。

 

負載均衡設備使用的另外一個場景是園區(qū)內部有服務器，而訪問服務器的用戶的數量非常大，一臺服務器已經滿足不了訪問的需求了，就可以部署多臺服務器，在服務所有服務器的前端部署一臺負載均衡設備，這樣通過負載均衡設備，我們能夠實現多臺服務器的訪問壓力分擔，保障我們所有的服務器都會得到相應的訪問，不會造成單臺服務器的壓力負載過大。

 

網絡管理設備。一個園區(qū)網絡當中會有多臺會有幾十臺甚至上百臺的網絡設備，如果靠單純的一臺一臺進行管理，工作量是非常大的，而且會忽略一些比較嚴重的問題。通過網絡管理設備可以實現整個園區(qū)網一個拓撲的一個實時的展現，每臺設備的一些具體的運行參數，比如它的cpu利用率、連接力、端口流量等等，都可以通過我們的網絡管理設備來進行實時展現。

 

設備之間線路的負載、使用了多大流量、占用線路的百分之多少，我們也可以通過網絡管理設備來進行查看，同時在網絡管理設備當中可以登錄到每一臺設備來進行管理，甚至可以批量的傳輸網絡設備的實時的數據。

 

通過剛才的講解我們主要介紹了OSI七層模型在園區(qū)網架構當中用到的主要的設備類型，讓大家對網絡部署有了一個簡單的了解，園區(qū)網絡在部署的時候一般會把網絡分成接入層設備匯聚層設備和核心層設備，也就是說真正的網絡部署會劃分成三個層次。

 

舉一個簡單的例子，一所學校會有很多棟教學樓，我們每一層都會有相應的計算機接入到網絡，而每一層也會部署相應的交換機和計算機節(jié)點進行直連，這一類交換機我們就把它叫做接入層交換機。

 

而每一棟教學樓會有匯聚所有樓層的交換機設備，就叫做匯聚層交換機。

 

而整個學校所有的流量都會匯聚到核心節(jié)點，那么核心節(jié)點的交換機叫做核心交換機。

 

在核心交換機網上的出口網關，通過出口網關和我們的運營商進行互聯(lián)，這就是整個網絡部署的三個層次，而在核心層和出口網關之間會串行或者旁路部署我們應用交付類設備，比如說上網行為管理、流量控制設備、入侵檢測設備、入侵防護設備等等，保障網絡部署的有效性和安全性。