宝利通 SE 精英训练营 网络基础和防火墙
description
Transcript of 宝利通 SE 精英训练营 网络基础和防火墙
宝利通 SE 精英训练营网络基础和防火墙王宇, 华北和西北区
2宝利通 SE 精英训练营 – 网络基础和防火墙
常见网络类型ISDN 网络IP 网络OSI 网络模型Real Time Traffic 实时传输Quality of Service 服务质量防火墙基础防火墙和视频会议网络要求和故障排查
议题
3宝利通 SE 精英训练营 – 网络基础和防火墙
网络基础和防火墙 常见网络类型
4宝利通 SE 精英训练营 – 网络基础和防火墙
公共交换电话网 (PSTN)综合业务数字网 (ISDN)全球移动通讯系统 / 码分多址 (GSM/CDMA)数字数据网 (DDN)卫星网 (VSAT)同步数字体系 (SDH )帧中继 (FR)异步传输网 (ATM)IP 网络MPLS VPN
常见网络类型
5宝利通 SE 精英训练营 – 网络基础和防火墙
网络基础和防火墙 ISDN 网络
6宝利通 SE 精英训练营 – 网络基础和防火墙
ISDN 概述
什么是 ISDN ?
标准
7宝利通 SE 精英训练营 – 网络基础和防火墙
ISDN
ISDN 是一种使用普通电话线路的技术ISDN 允许同时运行多条数字信道
8宝利通 SE 精英训练营 – 网络基础和防火墙
ISDN 信道
B 信道 – 传输数据 .
· 64 kbps( 欧洲和中国 ) · 56 kbps ( 美国 )
D 信道 – 用于管理 .
9宝利通 SE 精英训练营 – 网络基础和防火墙
ISDN 类型
BRI (Basic Rate Interface)
PRI (Primary Rate Interface)
10宝利通 SE 精英训练营 – 网络基础和防火墙
ISDN BRI
最大连接速率 144 kbps.
分为 3 条数字信道 .
2 条 B 信道 - 64 kbps/ 信道1 条 D 信道 - 16 kbps
11宝利通 SE 精英训练营 – 网络基础和防火墙
ISDN PRI
最大连接速率 1936 kbps.
分为 31 条数字信道 .
30 条 B 信道 - 64 kbps/ 条 1 条 D 信道 - 16 kbps
12宝利通 SE 精英训练营 – 网络基础和防火墙
ISDN 多条 BRI
用于提高音频质量和运动图像效果
3 BRI
13宝利通 SE 精英训练营 – 网络基础和防火墙
ISDN 多条 BRI 呼叫方式
为了达到 6B 信道,你可以采用的呼叫方式 :
按照每条信道分别呼叫的方式或者使用
Bonding(信道捆绑)
14宝利通 SE 精英训练营 – 网络基础和防火墙
ISDN 在视频会议中呼叫状态
1/4 Blue - 振铃1/2 Yellow - 建立呼叫3/4 Orange – 协商Full Green - 连接成功
15宝利通 SE 精英训练营 – 网络基础和防火墙
网络基础和防火墙 IP 网络
16宝利通 SE 精英训练营 – 网络基础和防火墙
IP 是基于包交换的网络协议· 从设计上讲, IP 是一种不可靠的协议· IP 不是被设计为保障端到端传输的协议分支网络可能存在如下问题· 丢包· 延迟· 乱序· 抖动IP 网络通过部署 QoS 可保障服务质量
IP 的特点
17宝利通 SE 精英训练营 – 网络基础和防火墙
网络基础和防火墙 OSI 网络模型
18宝利通 SE 精英训练营 – 网络基础和防火墙
TCP/IP 网络
19宝利通 SE 精英训练营 – 网络基础和防火墙
OSI 模型提供了具有普遍意义的 7 层通讯模型OSI 模型
物理层数据链路层
网络层传输层会话层表示层应用层
应用功能端到端连接网络功能
Routing ---------Bridging --------Repeating -----
3 个功能组
20宝利通 SE 精英训练营 – 网络基础和防火墙
OSI 模型
层 1-3 构成了网络功能部分层 1 物理层· 线缆· 接口· 属于物理层定义的典型规范代表包括: RS-232 、 RS-
449 、 V.35 、 RJ-45 等
21宝利通 SE 精英训练营 – 网络基础和防火墙
OSI 模型
层 2 是数据链路层层 2 分为两个子层
22宝利通 SE 精英训练营 – 网络基础和防火墙
逻辑链路子层 ( 上层 )· 允许更高层安全访问各种网络介质· LLC 允许 IP 运行 802.5 (令牌环) , 802.3/u ( 100Base-T ) ,
802.11a/g/b 等 .
媒体访问控制子层 ( 下层 )· MAC 子层从 LLC 层接收数据然后组成帧放到网络介质上· 如果网络介质是以太网, MAC 子层会把以太帧放到网络介质上· MAC 地址是物理地址· MAC 子层也会确保访问介质时使用正确的技术 (CSMA/CD, TR, FDDI)
控制上述功能的网络设备是网桥和交换机
OSI 模型
23宝利通 SE 精英训练营 – 网络基础和防火墙
层 3 是网络层逻辑寻址 (IP 地址 ) 和路由发生在层 3
层 3 负责在不同逻辑网络之间路由 IP 包在层 3 工作的网络设备是路由器和 3 层交换机网络层协议的代表包括: IP 、 IPX 、 RIP 、 OSPF等MAC 地址和 IP 地址的主要区别是:· MAC 地址固化在 NIC 上 , 而你可以修改任意 IP 地址
OSI 模型
24宝利通 SE 精英训练营 – 网络基础和防火墙
层 4 是传输层,定义了端到端的通讯方法· 传输层协议的代表包括: TCP 、 UDP 、 SPX 等
目前常用的传输协议是 TCP 和 UDP
UDP: 用户数据协议· UDP 是基于无连接的传输层协议
TCP: 传输控制协议· TCP 是基于连接的传输层协议
OSI 模型
25宝利通 SE 精英训练营 – 网络基础和防火墙
层 5 是会话层· 打开一个源端口,随机生成一个大于 1024 的端口· 应用在这里确定目标端口 , 例如 80· 对于 TCP来说 , 所有通讯都发生在“源端口 -目的端口”通道之内,只到发生会话超时 .· 对于 H.323来说 , TCP 用于 H.225 和 H.245 协议层 6 是表示层· 表示层的数据转换包括数据的加密、压缩、格式转换等· 表示层协议的代表包括:
ASCII 、 ASN.1 、 JPEG 、 MPEG 等层 7 是应用层· 应用层协议的代表包括: Telnet 、 FTP 、 HTTP 、 SNMP等
OSI 模型
26宝利通 SE 精英训练营 – 网络基础和防火墙
网络基础和防火墙 Real Time Traffic 实时传输
27宝利通 SE 精英训练营 – 网络基础和防火墙
数据的传输模式
可靠传输 (TCP)
非可靠传输 (UDP)
28宝利通 SE 精英训练营 – 网络基础和防火墙
数据应用需要可靠传输· TCP(Transmission Control Protocol) 用于保障可靠传输· TCP 工作于 IP 之上· TCP 用“重传”来保障数据完整性数据应用的特点· 尽快完成数据传输,网络数据突发明显
数据应用需要可靠传输
29宝利通 SE 精英训练营 – 网络基础和防火墙
实时传输连续不断的对现实世界(图像和声音)的采样实时交互音视频应用会一直占用网络带宽
实时交互音视频应用对于时延非常敏感
实时交互音视频应用
30宝利通 SE 精英训练营 – 网络基础和防火墙
实时传输的特点· UDP承载实时交互音视频应用· UDP 不具备数据恢复机制实时传输应用面临的挑战· 确保与音视频数据有关的数据包在传输过程中避免被丢失QoS 是确保实时传输应用的有效机制
实时交互音视频应用采用实时传输模式
31宝利通 SE 精英训练营 – 网络基础和防火墙
标准 H.323 协议栈
Physical Layer (IEEE802.3)
Data Link Layer (IEEE802.3)
H.323
Network layer (IP)
UDP
RTP
RTCP
TCP/UDP TCP UDPTCP
AudioCodecsG.711
G.723.1G.729
..
VideoCodecsH.261H.263H.264
..T.120H.225.0
CallSignaling
H.245 H.225.0RAS
Terminal Control and ManagementDataApplications Media Control
Multimedia Applications, User Interface
tunnel
tunnel
32宝利通 SE 精英训练营 – 网络基础和防火墙
网络基础和防火墙 Quality of Service 服务质量
33宝利通 SE 精英训练营 – 网络基础和防火墙
什么是 QoS?
34宝利通 SE 精英训练营 – 网络基础和防火墙
到底需要多少不同类型的服务
35宝利通 SE 精英训练营 – 网络基础和防火墙
QoS 服务模型
Best-Effort Service (尽力而为)
Integrated Service (集成服务)
Differentiated Service (区分服务)
36宝利通 SE 精英训练营 – 网络基础和防火墙
Interserv 服务模型(著名的 RSVP 协议)
37宝利通 SE 精英训练营 – 网络基础和防火墙
DiffServ 服务模型DiffServ 是多服务模型,满足不同 QoS需求DiffServ 不需要提前预留网络资源DiffServ根据指定的 QoS来提供特定的服务
38宝利通 SE 精英训练营 – 网络基础和防火墙
标记分类拥塞避免拥塞管理
QoS 的关键步骤
39宝利通 SE 精英训练营 – 网络基础和防火墙
标记分类拥塞避免拥塞管理
QoS 的关键步骤
40宝利通 SE 精英训练营 – 网络基础和防火墙
QoS流程图( cisco 模型)
41宝利通 SE 精英训练营 – 网络基础和防火墙
层 2 标记分类
42宝利通 SE 精英训练营 – 网络基础和防火墙
层 3 标记分类
43宝利通 SE 精英训练营 – 网络基础和防火墙
MPLS 标记分类
44宝利通 SE 精英训练营 – 网络基础和防火墙
DSCP 每跳行为
45宝利通 SE 精英训练营 – 网络基础和防火墙
NBAR
46宝利通 SE 精英训练营 – 网络基础和防火墙
标记分类拥塞避免拥塞管理
QoS 的关键步骤
47宝利通 SE 精英训练营 – 网络基础和防火墙
QoS流程图( cisco 模型)
48宝利通 SE 精英训练营 – 网络基础和防火墙
拥塞避免 -RED
49宝利通 SE 精英训练营 – 网络基础和防火墙
拥塞避免 -WRED
50宝利通 SE 精英训练营 – 网络基础和防火墙
标记分类拥塞避免拥塞管理
QoS 的关键步骤
51宝利通 SE 精英训练营 – 网络基础和防火墙
QoS流程图( cisco 模型)
52宝利通 SE 精英训练营 – 网络基础和防火墙
拥塞管理 -FIFO
53宝利通 SE 精英训练营 – 网络基础和防火墙
拥塞管理 -WFQ
54宝利通 SE 精英训练营 – 网络基础和防火墙
拥塞管理 -PQ
55宝利通 SE 精英训练营 – 网络基础和防火墙
拥塞管理 -CQ
56宝利通 SE 精英训练营 – 网络基础和防火墙
拥塞管理 -CBWFQ
57宝利通 SE 精英训练营 – 网络基础和防火墙
拥塞管理 -LLQ
58宝利通 SE 精英训练营 – 网络基础和防火墙
拥塞管理 -RTPPQ
59宝利通 SE 精英训练营 – 网络基础和防火墙
QoS流程图( cisco 模型)
60宝利通 SE 精英训练营 – 网络基础和防火墙
流量整形
61宝利通 SE 精英训练营 – 网络基础和防火墙
标记分类拥塞避免拥塞管理
QoS 的关键步骤回顾
62宝利通 SE 精英训练营 – 网络基础和防火墙
网络基础和防火墙 防火墙基础
63宝利通 SE 精英训练营 – 网络基础和防火墙
路由器加上 ACL 工作起来就像一台简单的防火墙
防火墙实际上就是一台运行着非常多精密规则的路由器
防火墙在不同网络之间路由 IP 包,但是通过检查 IP 包来决定是否允许这些包通过
防火墙简介
64宝利通 SE 精英训练营 – 网络基础和防火墙
防火墙类型· 包过滤型· 状态检测型· 应用层网关型
防火墙简介
65宝利通 SE 精英训练营 – 网络基础和防火墙
包过滤型防火墙过滤操作在 OSI 模型的层 3-5· 层 3 是网络层
· 从 A 网段到 B 网段· 层 4 是传输层
· TCP 或者 UDP, 基于连接或无连接· 层 5 是会话层
· 端口号码· 例如 port 80 是 http, port 23 是 telnet
防火墙简介
66宝利通 SE 精英训练营 – 网络基础和防火墙
状态检测· 查看包的状态而不是每一个包· 非常适于使用 TCP 的数据应用
· TCP SYN, SYN-ACK, ACK; HTTP GET· 序列号码位
· 状态检测可以获得更高的防火墙效率· 缺点是降低了一些安全性(原因是什么?)
防火墙简介
67宝利通 SE 精英训练营 – 网络基础和防火墙
应用层网关型· 也叫代理( Proxy )· 划分 LAN/WAN界限
· 所有 LAN 通讯发到 LAN段网卡, WAN 通讯发到 WAN段网卡· 从入口收到的包会重新打包,然后送到出口
· 检测一个包的内容然后基于此做出操作决定· 代理 HTTP, FTP, TELNET, 323, etc.· 好处是增加了一些对 IP 包进行的额外操作· 缺点是对于包在每一层都进行检测,降低了处理效率
防火墙简介
68宝利通 SE 精英训练营 – 网络基础和防火墙
网络基础和防火墙 防火墙与视频会议
69宝利通 SE 精英训练营 – 网络基础和防火墙
视频会议与防火墙
TCP/UDP 端口的使用NAT 地址转换
70宝利通 SE 精英训练营 – 网络基础和防火墙
视频会议常用 TCP/UDP 端口
71宝利通 SE 精英训练营 – 网络基础和防火墙
防火墙 NAT
私网 IP 地址 10.x.x.x/8 位掩码 –
1 个 A 类网络 172.[16..31].x.x/12 位掩码 – 16 个 B 类网络 192.168.[0..255].x/16 位掩码 – 256 个 C 类网络
公网 IP 地址 除了 A , B 和 C 类网络以外的其他网络地址
配置了 NAT 防火墙
远端会场
192.168.1.4
192.168.1.3
192.168.1.2
64.1.1.1Internet
200.1.1.1
72宝利通 SE 精英训练营 – 网络基础和防火墙
“出方向”防火墙 NAT 问题
RTP and RTCP192.169.1.2200.1.1.1
NAT/FW Router
远端会场
192.168.1.4
192.168.1.3
192.168.1.2
64.1.1.1Internet
200.1.1.1
Connect – External H245 IP Address and Port
64.1.1.1200.1.1.1
Open Logical Channel AcknowledgeLocal RTP IP Address and Port
192.168.1.2200.1.1.1
Open Logical Channel64.1.1.1200.1.1.1
Call Setup64.1.1.1 --> 200.1.1.1
Open Logical Channel AcknowledgeLocal RTP IP Address and Port
192.168.1.2200.1.1.1
Open Logical Channel192.168.1.2200.1.1.1
Connect – External H245 IP Address and Port
192.168.1.2200.1.1.1
Call Setup192.168.1.2 --> 200.1.1.1
H.323 信息传递了错误的 IP 地址和端口
NAT/PAT 防火墙表 内网 IP 公网 IP 内部源 Port 外部源 Port192.168.1.2 64.1.1.1 TCP 7600 TCP 3000
73宝利通 SE 精英训练营 – 网络基础和防火墙
“出方向”防火墙 NAT穿越
RTP and RTCP64.1.1.1200.1.1.1
NAT/FW Router
远端会场
192.168.1.4
192.168.1.3
192.168.1.2
64.1.1.1Internet
200.1.1.1
NAT/PAT 防火墙表 内网 IP 公网 IP 内部源 Port 外部源 Port192.168.1.2 64.1.1.1 TCP 7600 TCP 3000
Connect – External H245 IP Address and Port
64.1.1.1200.1.1.1
Open Logical Channel AcknowledgeLocal RTP IP Address and Port64.1.1.1200.1.1.1
Open Logical Channel64.1.1.1200.1.1.1
Call Setup64.1.1.1 --> 200.1.1.1
Open Logical Channel AcknowledgeLocal RTP IP Address and Port
192.168.1.2200.1.1.1
Open Logical Channel192.168.1.2200.1.1.1
Connect – External H245 IP Address and Port
192.168.1.2200.1.1.1
Call Setup192.168.1.2 --> 200.1.1.1
RTP and RTCP192.168.1.2200.1.1.1
成功呼叫的步骤 :
1. 在防火墙上为内部 IP配 置静态 NAT
2. 告知 H.323外部 IP 地址
74宝利通 SE 精英训练营 – 网络基础和防火墙
“入方向”防火墙 NAT 问题NAT/FW Router
Internet
Call Setup
Remote participant
75宝利通 SE 精英训练营 – 网络基础和防火墙
“入方向”防火墙 NAT穿越NAT/FW Router
Internet
Connect – External H245 IP Address and Port
Call Setup
Open Logical Channel AckExternal RTP IP Address and Port
Open Logical Channel
RTP and RTCP
Static NAT - Virtual external IP address
Call Setup
1. 防火墙上为 MCU配置静态 IP 地址2.入方向的呼叫地址使用“虚拟” IP 地址
Remote participant
成功呼叫的步骤 :
76宝利通 SE 精英训练营 – 网络基础和防火墙
视频会议 NAT配置
77宝利通 SE 精英训练营 – 网络基础和防火墙
网络基础和防火墙 网络要求和故障排查
78宝利通 SE 精英训练营 – 网络基础和防火墙
视频会议关心的网络基本要素
时延抖动丢包率网络带宽
79宝利通 SE 精英训练营 – 网络基础和防火墙
端到端时延
80宝利通 SE 精英训练营 – 网络基础和防火墙
影响时延和抖动的因素
81宝利通 SE 精英训练营 – 网络基础和防火墙
对于语音的网络需求
82宝利通 SE 精英训练营 – 网络基础和防火墙
视频会议传输举例
83宝利通 SE 精英训练营 – 网络基础和防火墙
视频会议数据包大小分布
84宝利通 SE 精英训练营 – 网络基础和防火墙
对于视频会议的网络需求
带宽
85宝利通 SE 精英训练营 – 网络基础和防火墙
视频会议对 IP 网络的基本要求时延:单向小于 150ms抖动:单向小于 30ms网络带宽:为视频呼叫的 1.2-1.3倍丢包率:单向小于 1%针对视频应用启用 QoS
86宝利通 SE 精英训练营 – 网络基础和防火墙
视频会议常见带宽估算会议类型 速率 以太网
传统视频会议 192K 230K
384K 460K
高清视频会议
512K 614K
768K 920K
832K 998K
1024K 1.2M
1472K 1.8M
1920K 2.3M
3840K 4.6M
4096K 4.9M
87宝利通 SE 精英训练营 – 网络基础和防火墙
视频会议常见网络问题 - 网络不通检查网线检查以太网距离检查 RJ45 接头的质量检查所接设备(交换机还是路由器)检查线序(直连线还是交叉线)检查 IP 地址、网关、掩码的设置检查 IP 地址是否为同一个网段、是否有冲突检查网关是否配置正确检查掩码是否配置正确,以保证该 IP 地址检查终端、 MCU 端口是否连接了正确的端口检查 VLAN 设置、检查路由直接 PC 机进行测试
88宝利通 SE 精英训练营 – 网络基础和防火墙
视频会议常见网络问题 - 丢包严重检查交换机和终端的端口配置很多终端的丢包是因为与交换机端口匹配的问题尝试固定 100M 或 1000M 全双工通过分段 PING来检查问题出现在哪里通过 TRACE来检查问题发生在哪里检查丢包发生在哪一层测试网络总带宽通过记录 PING来长时间观察网络的稳定性
89宝利通 SE 精英训练营 – 网络基础和防火墙
常见网络类型ISDN 网络IP 网络OSI 网络模型Real Time Traffic 实时传输Quality of Service 服务质量防火墙基础防火墙和视频会议网络要求和故障排查
总结