企業(yè)網(wǎng)絡(luò)介紹

1、企業(yè)網(wǎng)絡(luò)介紹,課程適用范圍說明,本課程適用于有以下基礎(chǔ)的學(xué)員學(xué)習(xí)：需要通過網(wǎng)絡(luò)基礎(chǔ)培訓(xùn)。推薦書籍網(wǎng)絡(luò)工程原理與實(shí)踐教程（人民郵電出版社出版，公司培訓(xùn)部書籍編號TD-257）,課程提綱,內(nèi)容： 一、企業(yè)網(wǎng)絡(luò)的架構(gòu) 二、企業(yè)網(wǎng)常用的網(wǎng)絡(luò)技術(shù),企業(yè)網(wǎng)絡(luò)的架構(gòu),,根據(jù)企業(yè)的大小網(wǎng)絡(luò)構(gòu)架可分為： 中小型企業(yè)的網(wǎng)絡(luò)構(gòu)架 大型企業(yè)的網(wǎng)絡(luò)構(gòu)架,企業(yè)網(wǎng)絡(luò)的架構(gòu),,1、中小型企業(yè)的網(wǎng)絡(luò)構(gòu)架（類

2、型1）。,,,,互聯(lián)網(wǎng),,集線器/交換機(jī)/寬帶路由器,應(yīng)用服務(wù)器,ADSL貓,,局域網(wǎng),企業(yè)網(wǎng)絡(luò)的架構(gòu),,2、中小型企業(yè)的網(wǎng)絡(luò)結(jié)構(gòu)介紹（類型1）。 這類中小型企業(yè)一般是指人數(shù)不多，通常不存在駐外機(jī)構(gòu)的企業(yè)。 目前在這類中小型企業(yè)的局域網(wǎng)中用普通集線器或便宜的以太網(wǎng)交換機(jī)或?qū)拵酚善鱽斫M建網(wǎng)絡(luò)，除配置辦公用的個(gè)人電腦（PC）外，通常會(huì)搭建一個(gè)簡單的辦公用服務(wù)器，如文件共享服務(wù)器。另外為了獲取互聯(lián)網(wǎng)信息，通常會(huì)租

3、用ADSL通過撥號上網(wǎng)或小區(qū)寬帶共享方式上網(wǎng)。 小區(qū)寬帶共享方式是指一個(gè)小區(qū)所有用戶共享一條專線（通常為10Mb/s），這種情況下當(dāng)小區(qū)內(nèi)很多用戶在同時(shí)上網(wǎng)時(shí)容易造成網(wǎng)絡(luò)擁塞。而ADSL方式通常下載帶寬在2Mb/s，上傳為512Kb/s，但它是單個(gè)用戶獨(dú)享，因此更能提供可靠帶寬保證。 這類中小型企業(yè)最主要的應(yīng)用為： 1）內(nèi)部網(wǎng)絡(luò)互聯(lián)、資源共享和辦公自動(dòng)化（OA）。 2）

4、登錄Internet，獲取外部資源。,企業(yè)網(wǎng)絡(luò)的架構(gòu),,3、中小型企業(yè)的網(wǎng)絡(luò)構(gòu)架（類型2）。,,,,,,,,,互聯(lián)網(wǎng),,,,,,NAT服務(wù)器/防火墻,公司總部,交換機(jī),應(yīng)用服務(wù)器,ADSL貓,寬帶路由器,辦事處1,辦事處2,小區(qū)寬帶,企業(yè)網(wǎng)絡(luò)的架構(gòu),,4、中小型企業(yè)的網(wǎng)絡(luò)結(jié)構(gòu)介紹（類型2）。 這類中小型企業(yè)一般是指人數(shù)在500人以下，存在少量駐外機(jī)構(gòu)，如辦事處等的企業(yè)。 在企業(yè)總部的局域網(wǎng)中用普通以太網(wǎng)交換機(jī)

5、來組建網(wǎng)絡(luò)，除配置辦公用的個(gè)人電腦（PC）外，通常會(huì)搭建一個(gè)或幾個(gè)簡單的服務(wù)器，如文件共享服務(wù)器，文件傳輸服務(wù)器，網(wǎng)頁服務(wù)器等。另外為了方便的利用互聯(lián)網(wǎng)，通常會(huì)租用專線上網(wǎng)，并獲取一個(gè)固定的公網(wǎng)地址，企業(yè)內(nèi)部服務(wù)器通常會(huì)向互聯(lián)網(wǎng)發(fā)布，在局域網(wǎng)與互聯(lián)網(wǎng)間搭建NAT服務(wù)器，并在NAT服務(wù)器起用基本的防火墻功能。局域網(wǎng)中的電腦通過NAT服務(wù)器上互聯(lián)網(wǎng)。 企業(yè)的駐外機(jī)構(gòu)，目前通常采用ADSL或小區(qū)寬帶共享方式上網(wǎng)，為了讓多人同時(shí)上

6、網(wǎng)，采用集線器、便宜的交換機(jī)、寬帶路由器連接多臺(tái)電腦。 在企業(yè)總部由于人員數(shù)量較多，通常會(huì)配備一個(gè)小型的程控交換機(jī)來滿足企業(yè)內(nèi)部人員電話聯(lián)系的需要。,企業(yè)網(wǎng)絡(luò)的架構(gòu),,5、中小型企業(yè)的網(wǎng)絡(luò)結(jié)構(gòu)介紹（類型2續(xù)）。 這類中小型企業(yè)最主要的應(yīng)用為： 1）內(nèi)部網(wǎng)絡(luò)互聯(lián)、資源共享和辦公自動(dòng)化（OA）。 2）登錄Internet，獲取外部資源。 3）通過互聯(lián)網(wǎng)

7、對外提供服務(wù)。 4）駐外機(jī)構(gòu)的遠(yuǎn)程接入和互聯(lián)。,企業(yè)網(wǎng)絡(luò)的架構(gòu),,6、中小型企業(yè)的網(wǎng)絡(luò)構(gòu)架（類型3）。,,,,,,,,,互聯(lián)網(wǎng),數(shù)字?jǐn)?shù)據(jù)網(wǎng),,,,,,NAT服務(wù)器/防火墻,公司總部,三層交換機(jī)或路由器,寬帶路由器,辦事處1,辦事處2,小區(qū)寬帶,應(yīng)用服務(wù)器組,,,,,重要分支機(jī)構(gòu),ADSL貓,企業(yè)網(wǎng)絡(luò)的架構(gòu),,7、中小型企業(yè)的網(wǎng)絡(luò)結(jié)構(gòu)介紹（類型3）。 這類中小型企業(yè)一般是指人數(shù)在500人以上，存在較多的駐外機(jī)

8、構(gòu)及少數(shù)重要分支機(jī)構(gòu)的企業(yè)。 在企業(yè)總部的部門較多，在其局域網(wǎng)中通常辦公用的電腦也較多，需要用具有三層功能的交換機(jī)或路由器作為骨干通信設(shè)備，普通以太網(wǎng)交換機(jī)來接入不同樓層或部門的電腦組建網(wǎng)絡(luò)，通常會(huì)搭建多個(gè)服務(wù)器，而且應(yīng)用也更復(fù)雜，如會(huì)自己搭建并管理本企業(yè)的郵件服務(wù)器等。為了充分的利用互聯(lián)網(wǎng)，通常會(huì)租用專線與互聯(lián)網(wǎng)連接，并獲取一個(gè)或一組固定的公網(wǎng)地址。企業(yè)內(nèi)部服務(wù)器通常會(huì)向互聯(lián)網(wǎng)發(fā)布，以滿足經(jīng)營及駐外機(jī)構(gòu)與公司聯(lián)系的需要。

9、在局域網(wǎng)與互聯(lián)網(wǎng)間搭建NAT服務(wù)器，并會(huì)配置專業(yè)的防火墻來保護(hù)內(nèi)部局域網(wǎng)。這樣局域網(wǎng)中的電腦就能比較安全通過NAT服務(wù)器上互聯(lián)網(wǎng)。 企業(yè)重要的駐外分支機(jī)構(gòu)考慮到重要性及通信要求，通常租用DDN專線直接與企業(yè)總部相連，相當(dāng)于企業(yè)總部局域網(wǎng)的延伸。 企業(yè)的其它駐外機(jī)構(gòu)，目前通常采用ADSL或小區(qū)寬帶共享方式上網(wǎng)，為了讓多人同時(shí)上網(wǎng)，采用集線器、便宜的交換機(jī)、寬帶路由器連接多臺(tái)電腦。,企業(yè)網(wǎng)絡(luò)的架構(gòu),,根據(jù)企業(yè)的大

10、小網(wǎng)絡(luò)構(gòu)架可分為： 中小型企業(yè)的網(wǎng)絡(luò)構(gòu)架 大型企業(yè)的網(wǎng)絡(luò)構(gòu)架,企業(yè)網(wǎng)絡(luò)的架構(gòu),,1、大型企業(yè)的網(wǎng)絡(luò)構(gòu)架。,,,,,,,,,互聯(lián)網(wǎng),,,,,,NAT服務(wù)器/防火墻,公司總部,三層交換機(jī)或路由器,專賣店,辦事處,小區(qū)寬帶,,,,,分公司/區(qū)域總部,數(shù)字?jǐn)?shù)據(jù)網(wǎng),,,,應(yīng)用服務(wù)器組,ADSL貓,寬帶路由器,企業(yè)網(wǎng)絡(luò)的架構(gòu),,2、大型企業(yè)的網(wǎng)絡(luò)結(jié)構(gòu)介紹。 大型企業(yè)一般是指人數(shù)在1000人以上，存在很多的駐

11、外機(jī)構(gòu)及較多的重要分支機(jī)構(gòu)或分公司或區(qū)域總部的企業(yè)。 在企業(yè)總部的部門多，在其局域網(wǎng)中通常辦公用的電腦也較多，需要用具有三層功能的高端交換機(jī)或路由器作為骨干通信設(shè)備，普通以太網(wǎng)交換機(jī)來接入不同樓層或部門的電腦組建網(wǎng)絡(luò)，通常會(huì)搭建很多的應(yīng)用服務(wù)器，而且應(yīng)用復(fù)雜。為了充分的利用互聯(lián)網(wǎng)，通常會(huì)租用專線與互聯(lián)網(wǎng)連接，并獲取一組固定的公網(wǎng)地址。企業(yè)內(nèi)部服務(wù)器通常會(huì)向互聯(lián)網(wǎng)發(fā)布或直接掛在互聯(lián)網(wǎng)上，以滿足經(jīng)營及駐外各類機(jī)構(gòu)與公司聯(lián)系的需

12、要。在局域網(wǎng)與互聯(lián)網(wǎng)間搭建NAT服務(wù)器，并會(huì)配置各類專業(yè)的防火墻來保護(hù)內(nèi)部局域網(wǎng)。這樣局域網(wǎng)中的電腦就能比較安全通過NAT服務(wù)器上互聯(lián)網(wǎng)。 企業(yè)重要的駐外分支機(jī)構(gòu)或分公司考慮到重要性及通信要求，通常租用DDN專線直接與企業(yè)總部相連，相當(dāng)于企業(yè)總部局域網(wǎng)的延伸，另也會(huì)租用專線直接與互聯(lián)網(wǎng)相聯(lián)。分公司或區(qū)域總部也可能會(huì)有自己的駐外機(jī)構(gòu)，相當(dāng)于一個(gè)中型企業(yè)。,企業(yè)網(wǎng)絡(luò)的架構(gòu),,3、大型企業(yè)的網(wǎng)絡(luò)結(jié)構(gòu)介紹（續(xù)）。 企

13、業(yè)的其它駐外機(jī)構(gòu)，如專賣店、辦事處、銷售點(diǎn)、營業(yè)網(wǎng)點(diǎn)，目前通常采用ADSL或小區(qū)寬帶共享方式上網(wǎng)，為了讓多人同時(shí)上網(wǎng)，采用集線器、便宜的交換機(jī)、寬帶路由器連接多臺(tái)電腦。為了信息安全可能會(huì)采用VPN技術(shù)與總部、分公司或區(qū)域總部連接。,企業(yè)網(wǎng)絡(luò)的架構(gòu),,4、企業(yè)網(wǎng)中常用術(shù)語介紹。 LAN：Local Area Network 局域網(wǎng) HUB：集線器 SWITCH：通常指以太網(wǎng)交換機(jī)

14、 SOHO：Small Office and Home Office 小型辦公及家庭辦公 SOHO ROUTER：小型辦公及家庭辦公用路由器，通常指寬帶路由器 ADSL：Asymmetric Digital Subscriber Loop 不對稱數(shù)字用戶服務(wù)線 ADSL MODEM：ADSL貓 APPLICATION SERVER：泛指企業(yè)的應(yīng)用服務(wù)器，如：辦公用的

15、共享服務(wù)器等。 INTERNET：互聯(lián)網(wǎng) PSTN：Public Switch Telephone Network 公共交換電話網(wǎng),企業(yè)網(wǎng)絡(luò)的架構(gòu),,5、企業(yè)網(wǎng)中常用術(shù)語介紹。（續(xù)） L3：Layer 3 OSI的第三層即網(wǎng)絡(luò)層 L3 SWITCH：三層交換機(jī)，指具有IP路由功能的以太網(wǎng)交換機(jī) ROUTER：路由器，指企業(yè)用處理能力較強(qiáng)，功能效多的路由器

16、。 APPLICATION SERVER CLUSTER：應(yīng)用服務(wù)器組，一般由共享服務(wù)器、WWW服務(wù)器、FTP服務(wù)器、SMTP/POP3郵件服務(wù)器等組成。 NAT：Network Adress Translation 網(wǎng)絡(luò)地址轉(zhuǎn)換 FIREWALL：防火墻 DDN：Digital Data Network 數(shù)字?jǐn)?shù)據(jù)網(wǎng) VPN：Virtual Private

17、 Network 虛擬私有網(wǎng)絡(luò),課程提綱,內(nèi)容： 一、企業(yè)網(wǎng)絡(luò)的架構(gòu) 二、企業(yè)網(wǎng)常用的網(wǎng)絡(luò)技術(shù),企業(yè)網(wǎng)常用的網(wǎng)絡(luò)技術(shù),,常用術(shù)語介紹。 私網(wǎng)：通常指企業(yè)的內(nèi)部局域網(wǎng)，也稱內(nèi)網(wǎng)。 公網(wǎng)：通常指互聯(lián)網(wǎng)，也稱外網(wǎng)。 IP：Internet Protocol 互聯(lián)網(wǎng)協(xié)議 TCP：Transfer Control Protocol 傳

18、輸控制協(xié)議 UDP：User Datagram Protocol 用戶數(shù)據(jù)報(bào)協(xié)議,企業(yè)網(wǎng)常用的網(wǎng)絡(luò)技術(shù),,企業(yè)網(wǎng)常用的網(wǎng)絡(luò)技術(shù)： DHCP DNS/DDNS NAT FIREWALL PROXY IDS/IPS GAP QoS VPN PPPOE,企業(yè)網(wǎng)常用的網(wǎng)絡(luò)技術(shù)(DHCP),,

19、1、DHCP的概念與用途。 DHCP的英文全名為Dynamic Host Configuration Protocol，中文意思為動(dòng)態(tài)主機(jī)配置協(xié)議。 通過在企業(yè)網(wǎng)內(nèi)搭建DHCP服務(wù)器，可為企業(yè)內(nèi)的每臺(tái)電腦（即主機(jī)）動(dòng)態(tài)的分配IP、子網(wǎng)掩碼(Netmask)、網(wǎng)關(guān)(Gateway)等等。 DHCP服務(wù)器還可以將一些IP保留下來給一些特殊用途的機(jī)器使用；也可以按照MAC地址來分配固定的IP地址。

20、,,DHCP Client,DHCP Server,請求主機(jī)配置信息,,回復(fù)主機(jī)配置信息,企業(yè)網(wǎng)常用的網(wǎng)絡(luò)技術(shù)(DHCP),,2、DHCP的優(yōu)缺點(diǎn)。 DHCP服務(wù)的優(yōu)點(diǎn)： 1）網(wǎng)絡(luò)管理員可以方便的設(shè)置電腦的IP地址和其它參數(shù)，而不用一個(gè)一個(gè)設(shè)置； 2）DHCP不會(huì)同時(shí)租借相同的IP地址給兩臺(tái)主機(jī)； 3）DHCP管理員可以約束特定的計(jì)算機(jī)使用特定的IP地址； 4

21、）可以為每個(gè)DHCP作用域設(shè)置很多選項(xiàng)； 5）客戶機(jī)在不同子網(wǎng)間移動(dòng)時(shí)不需要重新設(shè)置IP地址?！　HCP服務(wù)的缺點(diǎn)： 1）DHCP服務(wù)器不能發(fā)現(xiàn)網(wǎng)絡(luò)上非DHCP客戶機(jī)已經(jīng)在使用的IP地址，無法解決用戶自行配置IP地址的問題； 2）當(dāng)網(wǎng)絡(luò)上存在多個(gè)DHCP服務(wù)器時(shí)，一個(gè)DHCP服務(wù)器不能查出已被其它服務(wù)器租出去的IP地址； 3）DHCP服務(wù)器不能跨路由器與客戶機(jī)通信，除

22、非路由器起用DHCP代理轉(zhuǎn)發(fā)。,企業(yè)網(wǎng)常用的網(wǎng)絡(luò)技術(shù)(DHCP),,3、思考。 主機(jī)能從DHCP服務(wù)器獲取哪些配置信息？,企業(yè)網(wǎng)常用的網(wǎng)絡(luò)技術(shù),,企業(yè)網(wǎng)常用的網(wǎng)絡(luò)技術(shù)： DHCP DNS/DDNS NAT FIREWALL PROXY IDS/IPS GAP QoS VPN PPPOE

23、,企業(yè)網(wǎng)常用的網(wǎng)絡(luò)技術(shù)(DNS/DDNS),,1、DNS的概念與用途。 DNS的英文全名為Domain Name System，中文意思為域名管理系統(tǒng)，系統(tǒng)提供域名注冊、解析、查詢服務(wù)。 域名通常是指Internet上用來尋找網(wǎng)站或主機(jī)所用的名字，是Internet 上的重要標(biāo)識(shí)，他比IP地址更容易記憶，但網(wǎng)絡(luò)不能直接識(shí)別域名。 通過DNS服務(wù)器能把域名轉(zhuǎn)換成為網(wǎng)絡(luò)可以識(shí)別的 IP 地址，

24、這一過程稱為正向查詢。比如：我們上網(wǎng)時(shí)輸入的www.163.com可能會(huì)自動(dòng)轉(zhuǎn)換成為 202.108.42.72 。因此DNS服務(wù)主要讓人們通過容易記憶的名字（域名）而不是直接用難記的IP地址來訪問互連網(wǎng)。DNS服務(wù)器也能進(jìn)行反向查詢，通過已知的IP地址來確定其域名，反向查詢主要用來確認(rèn)域名的正確性。 在Internet 上通常需要一組專門的服務(wù)器及組織來負(fù)責(zé)域名服務(wù)管理，且域名需要向?qū)ｉT的域名管理機(jī)構(gòu)先申請才能使用。企業(yè)

25、內(nèi)部也可以部署自己DNS服務(wù)器來負(fù)責(zé)企業(yè)內(nèi)部的域名服務(wù)。,企業(yè)網(wǎng)常用的網(wǎng)絡(luò)技術(shù)(DNS/DDNS),,2、DDNS的概念與用途。 DDNS的英文全名為Dynamic Domain Name System，中文意思為動(dòng)態(tài)域名管理系統(tǒng)。 DNS只能查詢域名與固定IP地址間的關(guān)系。 有些情況下，獲取的互聯(lián)網(wǎng)地址是不斷變動(dòng)的，如用ADSL撥號上網(wǎng)時(shí)。在這種情況下要在互聯(lián)網(wǎng)上發(fā)布申請好的域名，讓其他人來

26、訪問，需要要由域名轉(zhuǎn)換得到網(wǎng)絡(luò)可識(shí)別的動(dòng)態(tài)變化的IP地址，這時(shí)只有DDNS才可以作到。它使在公司或家里構(gòu)建的主機(jī)，雖然每次接入互聯(lián)網(wǎng)的地址不同，但仍能通過域名方式與其他用戶交流。,企業(yè)網(wǎng)常用的網(wǎng)絡(luò)技術(shù)(DNS/DDNS),,3、DNS/DDNS的優(yōu)缺點(diǎn)。 DNS/DDNS的優(yōu)點(diǎn)： 1）可以通過容易記憶的名字來互相訪問交流信息。 2）另外主機(jī)有域名后，主機(jī)IP地址變更并注冊后，其他用戶仍能通

27、過域名方式訪問。 DNS/DDNS的缺點(diǎn)： 1）互聯(lián)網(wǎng)上的域名通常需要花一定費(fèi)用注冊后才能使用。 2）動(dòng)態(tài)DNS系統(tǒng)對內(nèi)網(wǎng)用戶系統(tǒng)支持能力不足，現(xiàn)在對于內(nèi)網(wǎng)用戶的支持絕大部分都是采用登入服務(wù)器方式，用戶網(wǎng)站的所有信息都必須先通過提供商的服務(wù)器再傳輸出去，給用戶帶來許多不便。 3）由于DNS特有的本地保存DNS信息特點(diǎn)（需要一段時(shí)間才能更新），可能出現(xiàn)一種現(xiàn)象，用戶由于重新

28、登入，在DNS服務(wù)器的IP記錄已經(jīng)更改，但是在本地仍然保留原有的IP地址，造成了IP地址指向出現(xiàn)錯(cuò)誤。,企業(yè)網(wǎng)常用的網(wǎng)絡(luò)技術(shù)(DNS/DDNS),,4、思考。 為什么要用DNS？,企業(yè)網(wǎng)常用的網(wǎng)絡(luò)技術(shù),,企業(yè)網(wǎng)常用的網(wǎng)絡(luò)技術(shù)： DHCP DNS/DDNS NAT FIREWALL PROXY IDS/IPS GAP

29、 QoS VPN PPPOE,企業(yè)網(wǎng)常用的網(wǎng)絡(luò)技術(shù)(NAT),,1、NAT的概念與用途。 NAT的英文全名為Netwok Address Translation，中文意思為網(wǎng)絡(luò)地址轉(zhuǎn)換或網(wǎng)絡(luò)地址翻譯，是一種將IP地址從一個(gè)編址域映射到另外一個(gè)編址域的方法。 NAT主要是解決互聯(lián)網(wǎng)地址短缺問題，最典型的應(yīng)用是把私有IP地址映射到Internet所使用的公有IP地址，達(dá)到私網(wǎng)（內(nèi)

30、網(wǎng)）用戶不用擁有公有（外網(wǎng)）IP地址也能訪問Internet的目的。 為達(dá)到網(wǎng)絡(luò)地址轉(zhuǎn)換的目的，在NAT服務(wù)器上需要配置兩塊網(wǎng)卡，分別配置與私網(wǎng)連接的地址及與公網(wǎng)連接的地址，公網(wǎng)地址可能是一個(gè)或一組。,企業(yè)網(wǎng)常用的網(wǎng)絡(luò)技術(shù)(NAT),,2、NAT的分類。 傳統(tǒng)NAT可分為： 基本NAT與NAPT（Netwok Address Port Translation網(wǎng)絡(luò)地址端口翻譯），其中NAPT是目

31、前主要的應(yīng)用型式。,傳統(tǒng)NAT,,基本NAT,NAPT,,,,企業(yè)網(wǎng)常用的網(wǎng)絡(luò)技術(shù)(NAT),,3、NAT的分類（續(xù)1）。 基本NAT擁有多個(gè)公開IP地址，當(dāng)位于內(nèi)部網(wǎng)絡(luò)的主機(jī)向外部主機(jī)發(fā)起會(huì)話請求時(shí)，把內(nèi)部地址翻譯成全球惟一的公開IP地址。如果內(nèi)部網(wǎng)絡(luò)中主機(jī)的數(shù)目不大于NAT所擁有的公開IP地址的數(shù)目，則可以保證每個(gè)內(nèi)部地址都可以映射到一個(gè)公開的IP地址，否則允許同時(shí)連接到外部網(wǎng)絡(luò)的內(nèi)部主機(jī)的數(shù)目會(huì)受到NAT公開IP

32、地址數(shù)量的限制。 基本NAT只對IP地址相關(guān)的部分做轉(zhuǎn)換，對傳輸層的端口不做轉(zhuǎn)換。如果強(qiáng)制將固定外網(wǎng)地址映射為固定內(nèi)網(wǎng)地址，則可稱為靜態(tài)NAT映射，既把特定內(nèi)部主機(jī)映射為一個(gè)特定的外部地址，保證了外部對內(nèi)部主機(jī)的訪問。 NAPT對IP地址及端口都做轉(zhuǎn)換。如果強(qiáng)制將外網(wǎng)地址的某個(gè)固定端口映射為固定內(nèi)網(wǎng)地址的某個(gè)固定端口則可稱為靜態(tài)端口映射，保證了外部通過特定端口對內(nèi)部主機(jī)特定端口的訪問。目前內(nèi)網(wǎng)應(yīng)用服務(wù)器的

33、對外發(fā)布通常采用該方式。,企業(yè)網(wǎng)常用的網(wǎng)絡(luò)技術(shù)(NAT),,4、NAT的實(shí)現(xiàn)過程。 1）首先在NAT服務(wù)器上啟用NAT服務(wù)器，本例192.168.0.254為NAT服務(wù)器上的內(nèi)網(wǎng)地址，202.0.0.2為NAT服務(wù)器上的外網(wǎng)地址。 2）內(nèi)網(wǎng)Host A發(fā)起外網(wǎng)訪問，如192.168.0.1:1700發(fā)數(shù)據(jù)包給任意外網(wǎng)Host B（地址X:端口P），首先會(huì)將數(shù)據(jù)包發(fā)給NAT服務(wù)器上的內(nèi)網(wǎng)地址192.168.0.

34、254。 3）NAT服務(wù)器收到Host A的數(shù)據(jù)包會(huì)將數(shù)據(jù)包的源地址及源端口替換，如替換為202.0.0.2:2000（該端口由NAT服務(wù)器根據(jù)規(guī)則指定）；并發(fā)給外網(wǎng)Host B（地址X:端口P），并在NAT服務(wù)器中建立并維護(hù)了一個(gè)源地址:端口+替換后的源地址:端口+目標(biāo)地址:端口間的映射關(guān)系表： 192.168.0.1:1700202.0.0.2:2000地址X:端口P,NAT Server,,,,Int

35、ernet,,,外網(wǎng)Host B,內(nèi)網(wǎng)Host A,192.168.0.1：1700,202.0.0.2：2000,地址X:端口P,企業(yè)網(wǎng)常用的網(wǎng)絡(luò)技術(shù)(NAT),,5、NAT的實(shí)現(xiàn)過程（續(xù)）。 4）地址X:端口P發(fā)數(shù)據(jù)包給202.0.0.2:2000時(shí)，NAT服務(wù)器將數(shù)據(jù)包的目的地址及目的端口202.0.0.2:2000替換為192.168.0.1:1700并發(fā)給192.168.0.1:1700。,NAT Server,

36、,,,,,,外網(wǎng)Host,私網(wǎng)Host A,192.168.0.1：1700,202.0.0.2：2000,任何外網(wǎng)地址:任意端口,Internet,,企業(yè)網(wǎng)常用的網(wǎng)絡(luò)技術(shù)(NAT),,6、NAT的優(yōu)缺點(diǎn)。 NAT的優(yōu)點(diǎn)： 1）在互聯(lián)網(wǎng)地址目前緊張的情況下，節(jié)省了互聯(lián)網(wǎng)地址（IPv4）空間。 NAT的缺點(diǎn)： 1）破壞了Internet最基本的“端到端的透明性”的設(shè)計(jì)理念，

37、增加了網(wǎng)絡(luò)的復(fù)雜性，阻礙了業(yè)務(wù)的創(chuàng)新與應(yīng)用。 2）通過NAT造成地址欺騙也給網(wǎng)絡(luò)帶來安全性問題。,企業(yè)網(wǎng)常用的網(wǎng)絡(luò)技術(shù)(NAT),,7、思考。 常見的NAT是那種類型?NAT模式下外網(wǎng)主機(jī)能否直接訪問內(nèi)網(wǎng)主機(jī)?,企業(yè)網(wǎng)常用的網(wǎng)絡(luò)技術(shù),,企業(yè)網(wǎng)常用的網(wǎng)絡(luò)技術(shù)： DHCP DNS/DDNS NAT FIREWALL PROXY

38、IDS/IPS GAP QoS VPN PPPOE,企業(yè)網(wǎng)常用的網(wǎng)絡(luò)技術(shù)(FIREWALL),,1、FIREWALL的概念與用途。 FIREWALL的中文意思為防火墻。 通常防火墻搭建在內(nèi)網(wǎng)與外網(wǎng)之間，具有以下特點(diǎn)： 1）防火墻默認(rèn)禁止所有訪問?！?2）只有本地安全策略所定義的合法訪問才被允許通過它； 3

39、）由內(nèi)到外和由外到內(nèi)的所有訪問都必須通過它； 因此防火墻可以防止外來入侵，過濾不安全服務(wù)，過濾非法用戶和非法訪問。 防火墻通常都具有NAT功能。,企業(yè)網(wǎng)常用的網(wǎng)絡(luò)技術(shù)(FIREWALL),,2、FIREWALL的分類。 防火墻可分為： 包過濾防火墻 （Packet Filtering Firewall） 應(yīng)用代理防火墻（Application Pr

40、oxy Firewall） 狀態(tài)監(jiān)視防火墻（Stateful Inspection Firewall） 包過濾防火墻通常工作在網(wǎng)絡(luò)及傳輸層，通過預(yù)先設(shè)定好的網(wǎng)絡(luò)地址、端口、協(xié)議類型等規(guī)則進(jìn)行過濾。 應(yīng)用代理防火墻工作在應(yīng)用層，它可以對網(wǎng)絡(luò)中任何一層數(shù)據(jù)通信進(jìn)行篩選保護(hù)，采用應(yīng)用協(xié)議分析技術(shù)對數(shù)據(jù)進(jìn)行分析，而不是像包過濾那樣，只是對網(wǎng)絡(luò)及傳輸層的數(shù)據(jù)進(jìn)行過濾。 狀態(tài)監(jiān)視防火墻在每

41、個(gè)連接建立時(shí)，防火墻會(huì)為這個(gè)連接構(gòu)造一個(gè)會(huì)話狀態(tài)，里面包含了這個(gè)連接數(shù)據(jù)包的所有信息；結(jié)合了包過濾技術(shù)和應(yīng)用代理技術(shù)。 目前常見的防火墻都具有包過濾與應(yīng)用代理的功能。,企業(yè)網(wǎng)常用的網(wǎng)絡(luò)技術(shù)(FIREWALL),,3、FIREWALL的實(shí)現(xiàn)過程。 1）內(nèi)網(wǎng)與外網(wǎng)間的數(shù)據(jù)都需要通過防火墻； 2）讓滿足本地安全策略所定義的合法數(shù)據(jù)通過； 3）其他數(shù)據(jù)丟棄。,FIREWALL,,,,Int

42、ernet,,,外網(wǎng)Host B,內(nèi)網(wǎng)Host A,,,讓合法數(shù)據(jù)通過,企業(yè)網(wǎng)常用的網(wǎng)絡(luò)技術(shù)(FIREWALL),,4、FIREWALL的優(yōu)缺點(diǎn)。 每類防火墻都有自己的優(yōu)缺點(diǎn)。 包過濾防火墻最大的優(yōu)點(diǎn)： 1）價(jià)格較低、對用戶透明、對網(wǎng)絡(luò)性能的影響很小、速度快、易于維護(hù)。 包過濾防火墻的缺點(diǎn)： 1）包過濾配置起來比較復(fù)雜、它只能依據(jù)包頭信息，而不能對用戶身份進(jìn)行驗(yàn)證，

43、很容易受到“地址欺騙型”攻擊、它沒有用戶的使用記錄，這樣就不能從訪問記錄中發(fā)現(xiàn)黑客的攻擊記錄。 應(yīng)用代理防火墻的優(yōu)點(diǎn)： 1）安全，可以將被保護(hù)的網(wǎng)絡(luò)內(nèi)部結(jié)構(gòu)屏蔽起來，增強(qiáng)網(wǎng)絡(luò)的安全性； 2）可用于實(shí)施較強(qiáng)的數(shù)據(jù)流監(jiān)控、過濾、記錄和報(bào)告等。,企業(yè)網(wǎng)常用的網(wǎng)絡(luò)技術(shù)(FIREWALL),,5、FIREWALL的優(yōu)缺點(diǎn)。 應(yīng)用代理防火墻的缺點(diǎn)： 1）訪問速度相對比較慢，容易

44、會(huì)成為內(nèi)外部網(wǎng)絡(luò)之間的瓶頸，因?yàn)樗辉试S內(nèi)部用戶直接訪問外部網(wǎng)絡(luò)； 2）應(yīng)用級網(wǎng)關(guān)需要針對每一個(gè)特定的服務(wù)安裝相應(yīng)的代理服務(wù)器軟件，這會(huì)帶來兼容性問題。 狀態(tài)監(jiān)視器防火墻的優(yōu)點(diǎn)： 1）檢測模塊支持多種協(xié)議和應(yīng)用程序，并可以很容易地實(shí)現(xiàn)應(yīng)用和服務(wù)的擴(kuò)充； 2）防范攻擊較堅(jiān)固。 狀態(tài)監(jiān)視器防火墻的缺點(diǎn)： 1）配置非常復(fù)雜、會(huì)降低網(wǎng)絡(luò)的速度。,企業(yè)網(wǎng)常用的

45、網(wǎng)絡(luò)技術(shù)(FIREWALL),,6、思考。 怎樣才能穿過防火墻？,企業(yè)網(wǎng)常用的網(wǎng)絡(luò)技術(shù),,企業(yè)網(wǎng)常用的網(wǎng)絡(luò)技術(shù)： DHCP DNS/DDNS NAT FIREWALL PROXY IDS/IPS GAP QoS VPN PPPOE,企業(yè)網(wǎng)常用的網(wǎng)絡(luò)技術(shù)(PROXY),,1、PROXY的

46、概念與用途。 PROXY的中文意思為代理，即你的要求由他人代為處理的意思。 通常代理服務(wù)器搭建在內(nèi)網(wǎng)與外網(wǎng)之間，它接收或解釋客戶端連接并發(fā)起到服務(wù)器的新連接。它是客戶端/服務(wù)器關(guān)系的中間人。它可用于多個(gè)目的，最基本的功能是連接，此外還包括安全性、緩存、內(nèi)容過濾、訪問控制管理等功能。主要有以下特點(diǎn)： 1) 可通過一個(gè)公用IP地址供多個(gè)用戶同時(shí)訪問Internet 2) 在內(nèi)部網(wǎng)絡(luò)和外

47、部網(wǎng)絡(luò)之間構(gòu)筑起防火墻 3) 通過緩存區(qū)的使用降低網(wǎng)絡(luò)通信費(fèi)用 4) 對局域網(wǎng)用戶進(jìn)行訪問權(quán)限和信息流量計(jì)費(fèi)管理 5) 對進(jìn)入局域網(wǎng)的Internet信息實(shí)現(xiàn)訪問內(nèi)容控制 6) 在確保局域網(wǎng)安全的環(huán)境下提供Internet信息服務(wù),企業(yè)網(wǎng)常用的網(wǎng)絡(luò)技術(shù)(PROXY),,2、PROXY的分類。 根據(jù)代理服務(wù)器工作的層次，一般可分為： 應(yīng)用層代理、傳輸層代

48、理和SOCKS代理。 應(yīng)用層代理工作在TCP/IP模型的應(yīng)用層之上，它只能用于支持代理的應(yīng)用層協(xié)議（如HTTP，F(xiàn)TP）。它提供的控制最多，但是不靈活，必須要有相應(yīng)的協(xié)議支持。 如果協(xié)議不支持代理（如SMTP和POP），那就只能在應(yīng)用層以下代理，也即傳輸層代理。傳輸層代理直接與TCP層交互，更加靈活。要求代理服務(wù)器具有部分真正服務(wù)器的功能：監(jiān)聽特定TCP或UDP端口，接收客戶端的請求同時(shí)向客戶

49、端發(fā)出相應(yīng)的響應(yīng)。 SOCKS代理需要改變客戶端的IP棧，它是可用的最強(qiáng)大、最靈活的代理標(biāo)準(zhǔn)協(xié)議，它與具體的應(yīng)用無關(guān)。SOCK V4允許代理服務(wù)器內(nèi)部的客戶端完全地連接到外部的服務(wù)器，SOCK V5增加了UDP端口代理及對客戶端的授權(quán)和認(rèn)證，因此它是一種安全性較高的代理。SOCKS代理介于應(yīng)用層和傳輸層之間。,企業(yè)網(wǎng)常用的網(wǎng)絡(luò)技術(shù)(PROXY),,3、PROXY的實(shí)現(xiàn)過程。 內(nèi)網(wǎng)客戶端需要訪問外網(wǎng)服務(wù)器：

50、 1）內(nèi)網(wǎng)客戶端發(fā)出請求1到代理服務(wù)器，提出訪問外網(wǎng)服務(wù)器要求； 2）代理服務(wù)器根據(jù)設(shè)置判定請求1是否合法，不合法則終止，如合法則由代理服務(wù)器解釋請求1并代替內(nèi)網(wǎng)客戶端向外網(wǎng)服務(wù)器發(fā)出訪問請求2。 3）外網(wǎng)服務(wù)器收到請求2后，回復(fù)應(yīng)答1給代理服務(wù)器。 4）代理服務(wù)器收到應(yīng)答1后，解釋應(yīng)答1內(nèi)容，并回復(fù)應(yīng)答2給客戶端。,,,,Internet,,,外網(wǎng)服務(wù)器：Host B,內(nèi)網(wǎng)客戶端：

51、Host A,,,請求1,請求2,應(yīng)答1,應(yīng)答2,代理服務(wù)器：PROXY,企業(yè)網(wǎng)常用的網(wǎng)絡(luò)技術(shù)(PROXY),,4、PROXY的優(yōu)缺點(diǎn)。 每類代理都有自己的優(yōu)缺點(diǎn)。 PROXY的優(yōu)點(diǎn)： 1）可以進(jìn)行安全人證、記錄； 2）可做到內(nèi)網(wǎng)客戶端不與外網(wǎng)服務(wù)器直接接觸； 3）快速的存取動(dòng)作、降低網(wǎng)絡(luò)的負(fù)荷，因?yàn)榇矸?wù)器具有解釋客戶端要求能力，如代理服務(wù)器內(nèi)剛好有你要的資料，將

52、會(huì)直接傳給你。 PROXY的缺點(diǎn)： 1）訪問速度相對比較慢，容易會(huì)成為內(nèi)外部網(wǎng)絡(luò)之間的瓶頸，因?yàn)樗辉试S內(nèi)部用戶直接訪問外部網(wǎng)絡(luò)。,企業(yè)網(wǎng)常用的網(wǎng)絡(luò)技術(shù)(PROXY),,5、思考。 PROXY與NAT有什么區(qū)別？,企業(yè)網(wǎng)常用的網(wǎng)絡(luò)技術(shù),,企業(yè)網(wǎng)常用的網(wǎng)絡(luò)技術(shù)： DHCP DNS/DDNS NAT FIREWALL PROXY

53、 IDS/IPS GAP QoS VPN PPPOE,企業(yè)網(wǎng)常用的網(wǎng)絡(luò)技術(shù)(IDS/IPS),,1、IDS/IPS介紹。 IDS的英文全名為Instrusion Detection System，中文意思為入侵檢測系統(tǒng)。主要功能包括：監(jiān)測并分析用戶和系統(tǒng)的活動(dòng)；核查系統(tǒng)配置和漏洞；評估系統(tǒng)關(guān)鍵資源和數(shù)據(jù)文件的完整性；識(shí)別已知的攻擊行為；統(tǒng)計(jì)分析異常行為；

54、操作系統(tǒng)日志管理，并識(shí)別違反安全策略的用戶活動(dòng)等。IDS通過旁路監(jiān)聽的方式不間斷的收取網(wǎng)絡(luò)數(shù)據(jù)，對網(wǎng)絡(luò)的運(yùn)行和性能無任何影響，同時(shí)判斷其中是否含有攻擊的企圖，通過各種手段向管理員報(bào)警。但絕大多數(shù)IDS 系統(tǒng)都是被動(dòng)的，在攻擊實(shí)際發(fā)生之前，IDS 往往無法預(yù)先發(fā)出警報(bào)。,企業(yè)網(wǎng)常用的網(wǎng)絡(luò)技術(shù)(IDS/IPS),,2、IDS/IPS介紹（續(xù)）。 IPS的英文全名為Instrusion Prevention System，中文意

55、思為入侵防御系統(tǒng)。IPS則傾向于提供主動(dòng)性的防護(hù)，其設(shè)計(jì)旨在預(yù)先對入侵活動(dòng)和攻擊性網(wǎng)絡(luò)流量進(jìn)行攔截，避免其造成任何損失，而不是簡單地在惡意流量傳送時(shí)或傳送后才發(fā)出警報(bào)。IPS是通過直接嵌入到網(wǎng)絡(luò)流量中而實(shí)現(xiàn)這一功能的，即通過一個(gè)網(wǎng)絡(luò)端口接收來自外部系統(tǒng)的流量，經(jīng)過檢查確認(rèn)其中不包含異常活動(dòng)或可疑內(nèi)容后，再通過另外一個(gè)端口將它傳送到內(nèi)部系統(tǒng)中。這樣一來，有問題的數(shù)據(jù)包，以及所有來自同一數(shù)據(jù)流的后續(xù)數(shù)據(jù)包，都能夠在IPS設(shè)備中被清除掉。

56、 性能與誤報(bào)率是評價(jià)IDS/IPS的主要指標(biāo)。,企業(yè)網(wǎng)常用的網(wǎng)絡(luò)技術(shù),,企業(yè)網(wǎng)常用的網(wǎng)絡(luò)技術(shù)： DHCP DNS/DDNS NAT FIREWALL PROXY IDS/IPS GAP QoS VPN PPPOE,企業(yè)網(wǎng)常用的網(wǎng)絡(luò)技術(shù)(GAP),,1、GAP介紹。 GAP的中

57、文意思為隔離網(wǎng)閘，GAP技術(shù)也叫安全隔離與信息交換技術(shù)。GAP技術(shù)進(jìn)行“積極”防御：將正常需要傳輸和交換的、合法的數(shù)據(jù)經(jīng)過明確定義列入“白名單”，在網(wǎng)絡(luò)的邊界僅允許“白名單”所定義的應(yīng)用數(shù)據(jù)通過，任何其它未知的數(shù)據(jù)傳輸一律阻斷，并把這一機(jī)制用可信的防篡改的專用硬件固化下來。 GAP方式的信息和數(shù)據(jù)交換過程為：首先保證網(wǎng)絡(luò)之間的隔離，然后根據(jù)業(yè)務(wù)需求，以“白名單”方式定義在網(wǎng)絡(luò)間需要交換的數(shù)據(jù)，再通過主動(dòng)請求或?qū)Ｓ媒涌诘姆?/p>

58、式獲取數(shù)據(jù)，并且對所交換數(shù)據(jù)進(jìn)行格式和內(nèi)容的檢查，最后將數(shù)據(jù)安全發(fā)送到目的地。 GAP技術(shù)隔斷了從物理層到應(yīng)用層所有網(wǎng)絡(luò)層次的協(xié)議通信，因此，可以把GAP理解成“the Gap of All Protocol”的縮寫。,企業(yè)網(wǎng)常用的網(wǎng)絡(luò)技術(shù)(GAP),,2、思考。 GAP與PROXY有什么區(qū)別？,企業(yè)網(wǎng)常用的網(wǎng)絡(luò)技術(shù),,企業(yè)網(wǎng)常用的網(wǎng)絡(luò)技術(shù)： DHCP DNS/DDNS

59、 NAT FIREWALL PROXY IDS/IPS GAP QoS VPN PPPOE,企業(yè)網(wǎng)常用的網(wǎng)絡(luò)技術(shù)(QoS),,1、QoS的概念與用途。 QoS的英文全名為Quality of Service，中文意思為服務(wù)質(zhì)量，具體是指怎樣按要求保證服務(wù)質(zhì)量。 QoS需要網(wǎng)絡(luò)設(shè)備的支持，通過起用QoS機(jī)制，

60、網(wǎng)絡(luò)對特定的數(shù)據(jù)流采取特殊的措施，來保證數(shù)據(jù)流的網(wǎng)絡(luò)傳輸質(zhì)量。,,,,,優(yōu)先級高主機(jī),優(yōu)先級低主機(jī),,,,,,,紅色數(shù)據(jù)流優(yōu)先轉(zhuǎn)發(fā),紅色數(shù)據(jù)流優(yōu)先轉(zhuǎn)發(fā),網(wǎng)絡(luò)設(shè)備,網(wǎng)絡(luò)設(shè)備,接收數(shù)據(jù)主機(jī),企業(yè)網(wǎng)常用的網(wǎng)絡(luò)技術(shù)(QoS),,2、優(yōu)先級標(biāo)記分類： 網(wǎng)絡(luò)設(shè)備可根據(jù)數(shù)據(jù)包中的優(yōu)先級標(biāo)記區(qū)分?jǐn)?shù)據(jù)流的優(yōu)先級，企業(yè)網(wǎng)設(shè)備主要可能用到二層標(biāo)記、三層標(biāo)記，通常標(biāo)記的值越大表示優(yōu)先級越高。,優(yōu)先級標(biāo)記,,DSCP標(biāo)記,TOS 標(biāo)記,IP

61、 優(yōu)先級標(biāo)記,三層標(biāo)記,MPLS,,,,,,,,,二層標(biāo)記,,802.1p標(biāo)記,,,MPLS-EXP標(biāo)記,企業(yè)網(wǎng)常用的網(wǎng)絡(luò)技術(shù)(QoS),,3、QoS的優(yōu)缺點(diǎn)。 QoS服務(wù)的優(yōu)點(diǎn)： 1）能對不同的數(shù)據(jù)流（或業(yè)務(wù)）采取不同的措施來保證其傳輸質(zhì)量?！　oS服務(wù)的缺點(diǎn)： 1）由于要對數(shù)據(jù)包進(jìn)行區(qū)別，QoS服務(wù)對網(wǎng)絡(luò)設(shè)備的處理能力有較高要求。 2）如果QoS設(shè)置或使用不當(dāng)可能

62、造成優(yōu)先級低的數(shù)據(jù)流永遠(yuǎn)得不服務(wù)。 3）QoS服務(wù)實(shí)現(xiàn)的過程中數(shù)據(jù)流所經(jīng)過的所有網(wǎng)絡(luò)設(shè)備都需要相應(yīng)的配置；通?；ヂ?lián)網(wǎng)不支持QoS服務(wù)，大部企業(yè)網(wǎng)絡(luò)默認(rèn)也不支持QoS服務(wù)。,企業(yè)網(wǎng)常用的網(wǎng)絡(luò)技術(shù),,企業(yè)網(wǎng)常用的網(wǎng)絡(luò)技術(shù)： DHCP DNS/DDNS NAT FIREWALL PROXY IDS/IPS GAP Q

63、oS VPN PPPOE,企業(yè)網(wǎng)常用的網(wǎng)絡(luò)技術(shù)(VPN),,1、VPN介紹。 VPN的英文全名為Virtual Private Network，中文意思為虛擬專用網(wǎng)。 VPN是專用網(wǎng)絡(luò)在公共網(wǎng)絡(luò)如Internet上的擴(kuò)展。VPN通過私有隧道技術(shù)在公共網(wǎng)絡(luò)上仿真一條點(diǎn)到點(diǎn)的專線，從而達(dá)到安全的數(shù)據(jù)傳輸目的。為保證傳輸數(shù)據(jù)的安全，通常還要對數(shù)據(jù)進(jìn)行加密處理。VPN連接必須同時(shí)包含數(shù)據(jù)

64、封裝和加密兩方面。 如下圖，內(nèi)網(wǎng)A與內(nèi)網(wǎng)B間建立VPN后，則內(nèi)網(wǎng)A與內(nèi)網(wǎng)B相當(dāng)于在同一專網(wǎng)內(nèi)。,VPN Server,,,,Internet,,VPN Client,內(nèi)網(wǎng)A,VPN隧道,,,內(nèi)網(wǎng)B,,,VPN,企業(yè)網(wǎng)常用的網(wǎng)絡(luò)技術(shù)(VPN),,2、VPN介紹（續(xù)）。 VPN采用技術(shù)的網(wǎng)絡(luò)層次可分為：二層隧道VPN、三層隧道VPN和多協(xié)議標(biāo)簽交換VPN（MPLS-VPN）。 下圖這種情況下VPN

65、客戶端只是一臺(tái)普通電腦，不具備雙網(wǎng)卡，因此只有它能通過VPN訪問內(nèi)網(wǎng)A，其他設(shè)備不能通過它訪問內(nèi)網(wǎng)A。,VPN Server,,,,Internet,,VPN Client,內(nèi)網(wǎng)A,VPN隧道,,,VPN,企業(yè)網(wǎng)常用的網(wǎng)絡(luò)技術(shù)(VPN),,3、思考。 VPN與真實(shí)的專網(wǎng)有什么區(qū)別？上網(wǎng)專線與傳統(tǒng)意義上的傳輸專線有什么區(qū)別？,企業(yè)網(wǎng)常用的網(wǎng)絡(luò)技術(shù),,企業(yè)網(wǎng)常用的網(wǎng)絡(luò)技術(shù)： DHCP DNS/DDN

66、S NAT FIREWALL PROXY IDS/IPS GAP QoS VPN PPPOE,企業(yè)網(wǎng)常用的網(wǎng)絡(luò)技術(shù)(PPPOE),,1、PPPOE的概念與用途。 PPPOE的英文全名為Point to Point Protocol over Ethernet，中文意思為基于以太網(wǎng)的點(diǎn)對點(diǎn)通信協(xié)議。

67、PPPOE協(xié)議是為了滿足越來越多的寬帶上網(wǎng)設(shè)備( 即 ADSL , 無線等 )和越來越快的網(wǎng)絡(luò)之間的通訊而最新制定開發(fā)的標(biāo)準(zhǔn)，它基于兩個(gè)廣泛接受的標(biāo)準(zhǔn)即：局域網(wǎng)Ethernet和PPP點(diǎn)對點(diǎn)撥號協(xié)議。,ADSL Modem,,Internet,接入服務(wù)器,用戶主機(jī),,PSTN,,,,撥號驗(yàn)證通過后上互聯(lián)網(wǎng),企業(yè)網(wǎng)常用的網(wǎng)絡(luò)技術(shù)(PPPOE),,2、PPPOE的優(yōu)缺點(diǎn)。 PPPOE的優(yōu)點(diǎn)： 1）PPPoE的實(shí)

68、質(zhì)是以太網(wǎng)和撥號網(wǎng)絡(luò)之間的一個(gè)中繼協(xié)議，他繼承了以太網(wǎng)的快速和PPP撥號的簡單，用戶驗(yàn)證，IP分配等優(yōu)勢。 2）PPPoE方式的用戶管理、安全管理、業(yè)務(wù)（主要是帶寬）管理都比較方便、計(jì)費(fèi)靈活。 3）PPPoE可以提供動(dòng)態(tài)IP地址分配方式，用戶無需任何配置，網(wǎng)管維護(hù)簡單，無需添加設(shè)備就可解決IP地址短缺問題，同時(shí)根據(jù)分配的IP地址，可以很好地定位用戶在本網(wǎng)內(nèi)的活動(dòng)。 PPPOE的缺點(diǎn)：