学校网络系统规划与设计课件.ppt

1、学校网络规划与设计学校网络规划与设计网络规划其实很难网络规划其实很难.一个合格的网络设计师需要具备如下条件：精通TCP/IP协议族中数十个协议的原理.精通N家厂商的N百种设备的性能和配置.还要具备统筹学、经济学、哲学的基本思想.丰富的实践经验和组织协调能力.对网络中的新技术保持高度的敏感性.胆大心细、临危不乱的良好心里素质.网络规划其实很简单网络规划其实很简单.瞎说！根本没那么恐怖：常用的协议不超过10个，了解大概就行.主流厂商只有几家，相同厂家的产品配置相同.很多网络的模型都十分相似，照猫画虎即可.不就是画几个框框、圈几个圈圈、连几根线么.网络规划其实很网络规划其实很崇高崇高.当你进行网络规

2、划时，你与画“向日葵”的凡.高谱写“命运交响曲”的贝多芬唱“我的太阳”的帕瓦罗帝设计“鸟巢”的安德鲁没什么区别，因为你们都是目目 录录n 网络设计概述n 网络拓扑结构设计n 板卡规划和设备命名n 局域网规划设计n IP地址规划设计n IP路由规划n 网络安全设计n 网络管理设计网络规划基本原则网络规划基本原则可靠性原则可靠性原则l从设备本身（电信级可靠性）和网络拓扑（无单点故障）两方面考虑。可扩展性原则可扩展性原则l从设备性能（是否已达到满配），可升级的能力（是否可以通过平滑的软硬件升级支持未来的新业务和新特性）和IP地址、路由协议规划等方面考虑。可运营性原则可运营性原则l仅仅提供IP级别的连

3、通是远远不够的。网络是否能够提供丰富的业务，足够健壮的安全级别，对关键业务的QOS保证搭建网络的目的是真正能够给用户带来效益。可管理原则可管理原则l提供灵活的网络管理平台，利用一个平台实现对系统中的各种类型设备进行统一管理；提供网管对设备进行拓扑管理、配置备份、软件升级、实时监控网络中的流量及异常情况。网络设计规划流程网络设计规划流程设备选型拓扑规划板卡规划物理连通路由规划IP地址规划IP连通VPN规划QoS规划策略路由高级路由协议规划业务隔离及关键业务确保带宽及流量控制网络安全部署网管规划可运营可管理的安全网络客户需求分析需求分析需求分析n 学校的情况n 学校的规模和信息化发展的程度n 业务

4、需求n 分析应用系统及用户的种类和分布，确定网络带宽n 明确各应用系统对网络可靠性和安全性的要求n 分析对外业务交流以确定学校网络的出口结构n 组织结构、院内楼宇和院系分布n 分析学校内楼宇和院系分布情况，确定网络核心节点、汇聚节点 n 现有网络情况n 了解现网拓扑结构、布线情况、设备情况、应用和用户基本信息、IP地址及VLAN规划、各设备间情况，以确定哪些基础设施可以利旧，保护前期投资n 内外网是否实施物理隔离n 主要取决于学校的安全策略设备选型需要参考的因素设备选型需要参考的因素可靠性可靠性l该设备是否提供关键模块（电源、主控板）的冗余备份，具备何种级别的可靠该设备是否提供关键模块（电源、

5、主控板）的冗余备份，具备何种级别的可靠性性转发性能转发性能l通常做如下考虑：通过某设备的流量通常做如下考虑：通过某设备的流量 （该设备满配最大流量）（该设备满配最大流量）/2/2。业务支持能力业务支持能力l除了普通的除了普通的IPIP路由功能外，是否需要该设备支持诸如（路由功能外，是否需要该设备支持诸如（NATNAT、各种、各种VPNVPN、策略、策略路由）等业务属性。（路由）等业务属性。（CPUCPU、ASICASIC、NPNP）端口支持端口支持l是否能够提供组网所需要的端口。是否能够提供组网所需要的端口。扩展能力扩展能力l是否能够提供增加板卡以及软件升级提供未来可能需要的性能支持及业务能力

6、是否能够提供增加板卡以及软件升级提供未来可能需要的性能支持及业务能力支持。（支持。（CPUCPU、ASICASIC、NPNP）价格因素价格因素l在综合考虑以上因素的基础上选择适当的设备。只选对的，不选贵的。在综合考虑以上因素的基础上选择适当的设备。只选对的，不选贵的。目目 录录n 网络设计概述n 网络拓扑结构设计n 板卡规划和设备命名n 局域网规划设计n IP地址规划设计n IP路由规划n 网络安全设计n 网络管理设计网络拓扑层次设计网络拓扑层次设计接入层接入层汇聚层汇聚层核心层核心层高速数据交换高速数据交换路由汇聚及流量收敛路由汇聚及流量收敛工作组接入和访问控制工作组接入和访问控制网络设计分

7、三层：核心层、汇聚层、接入层网络设计分三层：核心层、汇聚层、接入层网络中常用的拓扑结构网络中常用的拓扑结构星形或双星形星形或双星形l常见于下层网络与上层之间的拓扑结构，主要的网络流量都在分支节点与核心节点之间发生，两个分支节点之间不通讯或流量很少。星型星型双星型双星型网络中常用的拓扑结构网络中常用的拓扑结构环形、网状或部分网状环形、网状或部分网状l常见于同一层次（核心层或汇聚层）之间的设备互联，这些设备之间通常都是对等通信，或者这些设备之间需要确保互联而增加很多的冗余链路。环型环型网状网状部分网状部分网状网络中常用的拓扑结构网络中常用的拓扑结构混合组网混合组网l在同一个网络中，不同的层次之间通

8、常采用不同的拓扑结构，通常核心层或汇聚层采用网状或部分网状相连，核心层与汇聚层或汇聚层与接入层之间采用星形或双星形相连。 根据具体需求选择网络层次和网络结构根据具体需求选择网络层次和网络结构n 小型网络可以使用二层组网模型，大型网络建议使用三层组网模型n 核心层根据网络规模选择单核心结构、双核心结构或网状结构n 根据学校内的具体情况，确定汇聚节点的位置和数量n 根据不同区域的可靠性需求，选择到核心交换机的连接方式n 根据学校内服务器的数量，确定是否需要建设独立的数据中心n 根据外联需求，确定外联方案n 根据需求，部署无线局域网系统分区域进行网络规划分区域进行网络规划VOD信息管理中心信息管理中

9、心IP集合通信集合通信数据中心数据中心业务应用平台业务应用平台外出专家外出专家CISHISPACSLISRISGMIS专科分院专科分院社区教育社区教育教学楼教学楼图书馆楼图书馆楼宿舍宿舍科研楼科研楼行政楼行政楼RPR/RRPP高可靠性高可靠性设备冗余设备冗余链路冗余链路冗余主要应用主要应用无线查房无线查房远程探视远程探视重症监控重症监控网络特点网络特点高带宽高带宽千兆到桌面千兆到桌面主要系统主要系统PACS主要应用主要应用远程示教远程示教安全防护安全防护WLAN主要应用主要应用防火墙防火墙WLAN视频会议视频会议呼叫中心呼叫中心医院系统拓扑结构医院系统拓扑结构楼层接入交换机楼层接入交换机大楼汇

10、聚节点交换机大楼汇聚节点交换机挂号、急诊挂号、急诊外科门诊外科门诊收费处收费处药库房药库房急救室急救室手术室手术室妇产科妇产科收费处收费处内科门诊内科门诊检验中心检验中心超声诊疗中心超声诊疗中心收费处收费处中医科门诊中医科门诊耳鼻喉科门诊耳鼻喉科门诊 口腔科门诊口腔科门诊收费处收费处核医学科核医学科皮肤科皮肤科眼科眼科收费处收费处一层一层二层二层三层三层四层四层五层五层医院医院核心网络核心网络路由交换机路由交换机校园楼层系统拓扑结构校园楼层系统拓扑结构楼层接入交换机楼层接入交换机大楼汇聚节点交换机大楼汇聚节点交换机一层一层二层二层三层三层。n层层学校核心网络学校核心网络路由交换机路由交换机AP

11、图书馆阅览室图书馆阅览室APAPAPAP教师教师操场操场科研科研网络中心网络中心PACS系统拓扑结构系统拓扑结构B超超CTX光机光机内窥镜内窥镜显示工作站显示工作站视频采集视频采集图像采集图像采集视频采集视频采集图像采集图像采集PACS服务器服务器千兆交换机千兆交换机千兆交换机千兆交换机存储存储LAN容灾备份容灾备份对外互联拓扑结构设计对外互联拓扑结构设计核心交换机核心交换机门诊中心门诊中心数字影像中心数字影像中心住院中心住院中心汇聚交换机汇聚交换机教育网社区学校社区学校使用专门的路由器，通过专线连接医保网通过互联网，采用IPsec VPN或SSL VPN的方式连接社区学校远程移动办公路由器防

12、火墙入侵防御目目 录录n 网络设计概述n 网络拓扑结构设计n 板卡规划和设备命名n 局域网规划设计n IP地址规划设计n IP路由规划n 网络安全设计n 网络管理设计设备板卡规划设备板卡规划设备的板卡布局也需要规划？当然！原则是：l不要把所有的鸡蛋放在同一个篮子里；如果有M个鸡蛋和N个篮子，尽量把M个鸡蛋平均放在N个篮子里。使得当失去一个篮子时损失的鸡蛋数量Priority(backup)Priority(master）-Priority(reduced)监控上行端口监控上行端口接口地址：接口地址：192.168.0.1/24接口地址：接口地址：192.168.0.2/24虚拟网关虚拟网关IP

13、地址：地址：192.168.0.254/24虚拟网关虚拟网关MAC地址：地址：00-00-5E-00-01-VRIDDHCP相关的设计考虑相关的设计考虑固定IP地址段与动态分配IP地址段保持连续。动态分配IP地址的租约一般定为2-4小时。DHCP需跨网段获得IP地址时，启动DHCP-RELAY功能。禁止在同一网络上放置两台DHCP服务器。启动DHCP安全功能，禁止未通过DHCP获得的IP地址上网。链路聚合相关的设计考虑链路聚合相关的设计考虑在进行多个链路聚合设计时先要查询设备对链路聚合的支持规格。对于支持跨单板链路聚合的设备尽量配置跨单板链路聚合。使用LACP自动聚合，要先将端口的参数配置成一

14、致。目目 录录n 网络设计概述n 网络拓扑结构设计n 板卡规划和设备命名n 局域网规划设计n IP地址规划设计n IP路由规划n 网络安全设计n 网络管理设计IP地址规划的重要性地址规划的重要性lIP地址的合理规划是网络设计中的重要一环，大型网络必须对IP地址进行统一规划并得到实施。IP地址规划的好坏，影响到网络路由协议算法的效率，影响到网络的性能，影响到网络的扩展，影响到网络的管理，也必将直接影响到网络应用的进一步发展。l如果要看一个网络的规划质量、如果要看一个网络设计师的技术水准，直接看他的IP地址规划好了。IP地址规划是一项艺术创造！地址规划是一项艺术创造！IP地址规划的基本原则地址规划

15、的基本原则唯一性：唯一性：l一个IP网络中不能有两个主机采用相同的IP地址。即使使用了支持地址重叠的MPLS/VPN技术，也尽量不要规划为相同的地址。连续性连续性l连续地址在层次结构网络中易于进行路径叠合，大大缩减路由表，提高路由算法的效率。扩展性扩展性l地址分配在每一层次上都要留有余量，在网络规模扩展时能保证地址叠合所需的连续性。实意性实意性l“望址生义”，好的IP地址规划使每个地址具有实际含义，看到一个地址就可以大至判断出该地址所属的设备。这是IP地址规划中最具技巧型和艺术性的部分。最完美的方式是得出一个IP地址公式，以及一些参数及系数，通过计算得出每一个需要用到的IP地址。IP地址的分类

16、地址的分类loopback地址地址loopbackloopback地址概述地址概述l为了方便管理，会为每一台路由器创建一个loopback 接口，并在该接口上单独指定一个IP 地址作为管理地址，管理员会使用该地址对路由器远程登录（telnet），该地址实际上起到了类似设备名称一类的功能。同时各种上层协议需要使用TCP或UDP来建立连接时也需要使用该地址作为源地址。loopbackloopback地址规划技巧地址规划技巧l务必使用32位掩码的地址。l最后一位是奇数的表示路由器，是偶数的表示交换机。l越是核心的设备，loopback地址越小。为什么核心设备要使用较小的为什么核心设备要使用较小的lo

17、opbackloopback地址地址 ? ?IP地址的分类互联地址地址的分类互联地址互联地址概述互联地址概述l互联地址是指两台网络设备相互连接的接口所需要的地址。互联地址规划技巧互联地址规划技巧l务必使用30位掩码的地址。l核心设备，使用较小的一个地址（即：loopback地址较小的设备使用互联地址中较小的一个）。l互联地址通常要聚合后发布，在规划时要充分考虑使用连续的可聚合地址。IP地址的分类业务地址地址的分类业务地址业务地址概述业务地址概述l业务地址是连接在以太网上的各种服务器、主机所使用的地址以及网关的地址。业务地址规划技巧业务地址规划技巧l所有的网关地址统一使用相同的末位数字，如：.2

18、54都是表示网关。增加IP地址的分配方式和优劣对比？目目 录录n 网络设计概述n 网络拓扑结构设计n 板卡规划和设备命名n 局域网规划设计n IP地址规划设计n IP路由规划n 网络安全设计n 网络管理设计路由协议的规划路由协议的规划路由协议的选择路由协议的选择公欲善其事，必先利其器，不能让网络规划输在起跑线上！lRIP最古老的路由协议，特点：性能低下，只适合在小型的网络中使用。lIGRP在RIP的基础上稍加改进，拥有RIP所有的缺点。 lEIGRP性能不错，但却是cisco的私有协议，互通性不好。而且容易引起法律纠纷。lIS-ISISO与IETF帮派斗争的产物，本来是为OSI七层模型设计，后

19、来强行移植到IP上。lOSPF是因特网上使用最为广范的IGP，强力推荐。 lBGP是目前因特网上唯一的一种EGP协议。静态路由设计原则静态路由设计原则静态缺省路由的设计原则InternetRoute 0.0.0.0 0.0.0.0 100.1.1.254 100.1.1.1/24100.1.1.254/2410.0.0.0/8Route 10.0.0.0 255.0.0.0 100.1.1.1 静态路由设计原则静态路由设计原则l静态路由的备份与负载分担方式lip route-static 11.1.1.0 255.255.255.0 11.2.2.1 preference ?lip route

20、-static 11.1.1.0 255.255.255.0 11.3.2.1 preference ?11.1.1.0/2411.2.2.1/2411.3.2.1/24R1R2R3R4OSPF规划规划router idrouter id的规划的规划l直接使用该设备的管理地址（loopback）作为router id，并且要确保该数字与ldp的lsr id相同。区域划分区域划分l区域划分是OSPF规划中最核心也是最复杂的部分。lOSPF的区域划分是与网络层次密切相关的，通常核心层与汇聚层规划为区域0，汇聚层的设备规划为ABR，汇聚层与接入层之间规划为非骨干区域，非骨干区域尽量规划为NSSA区域

21、。l每个区域中的设备数量最好不要超过30台，这个数字不是绝对的，主要与设备性能，链路的稳定性密切相关。l非骨干区域的规划可以与网络中实际的行政，地域划分相吻合。路由聚合规划路由聚合规划l在ABR上通常需要对非骨干区域的路由聚合后发布到骨干区域。同理：骨干区域的路由也通常需要聚合后再发布到非骨干区域。l在ASBR上可以对所有本地引入的路由聚合后再发布。l聚合的地址范围是链路地址、业务地址，但通常不对loopback地址进行聚合。OSPF规划规划COST及路由引入规划及路由引入规划OSPFOSPF的的COSTCOST规划规划l为确保路由器选择最优路径，需要统一OSPF路由尺度（cost）的计算。通

22、常的做法是：取网络中带宽的最大值为度量值1，其他类型的接口按与最大带宽的比例计算。例如：网络中最大带宽为GE。接口类型costGE1155M POS7100M FE1010M ETHERNET100NE1500/NLoopback接口的COST值通常取1。OSPFOSPF的路由引入规划的路由引入规划lOSPF可以引入直连、静态以及其他路由协议的路由。l对于直连路由，如果条件允许，尽量使用network命令当作区域内路由发布，避免引入操作。l对于静态和其他路由协议，引入时可以统一COST及路由类型，例如：cost为1000，type为1。l如果引入BGP路由，需要考虑路由表的规模，也可以使用缺省

23、路由来避免引入。OSPF规划规划Stub区域区域Area 0Stub AreaNo LSA5No External Route UpdateArea 0Not So Stub AreaNo LSA5RIPBGPExternal Route UpdateOSPF规划规划NSSA区域区域OSPFOSPF的的NSSANSSA区域是一种特殊的非骨干区域，由于具备一些特殊的属性区域是一种特殊的非骨干区域，由于具备一些特殊的属性而在实际的网络网络规划中经常使用。而在实际的网络网络规划中经常使用。l当一个非骨干区域中不希望接收大量的自治系统外路由时，可以将其配置为STUB属性，但由于STUB中苛刻的要求所有

24、的设备都不能引入任何外部路由，导致其几乎无法使用。而NSSA无此限制，所以可以放心使用。使用使用NSSANSSA区域的另外一个优点区域的另外一个优点：l对于Type5类的LSA，由于OSPF只能在ASBR处将路由聚合，发布之后就没有再次聚合的机会了。而NSSA在ABR处将Type7转成Type5时可以再一次进行聚合操作，实际上又多了一次宝贵的聚合机会。使用使用NSSANSSA区域的局限性：区域的局限性：l由于协议规定，当一个NSSA区域中存在两个ABR时，只能由其中的一台（router id大的）进行type7到type5的转换操作。所以在实际使用中会受到一定的限制。学校网络学校网络OSPF路

25、由协议典型规划路由协议典型规划核心交换机核心交换机教学中心教学中心学生宿舍学生宿舍科研中心科研中心汇聚交换机汇聚交换机医保网社区学校社区学校远程移动办公路由器防火墙入侵防御OSPF AREA 0目目 录录n 网络设计概述n 网络拓扑结构设计n 板卡规划和设备命名n 局域网规划设计n IP地址规划设计n IP路由规划n 网络安全设计n 网络管理设计网络安全规划的基本原则网络安全规划的基本原则l网络安全是一个复杂的体系结构，涉及到几乎全网中的任何设备以及任何层次。l网络安全只是一个相对的概念，无论你付出多大的代价，都不存在绝对安全的网络。l部署网络安全通常会带来副作用，例如：占用带宽，降低设备的处

26、理能力，给使用和管理网络带来诸多不便之处。所以要在网络的安全和性能之间找到恰当的平衡点。在接入层通过在接入层通过VLAN进行安全隔离进行安全隔离普通二层以太网网络中采用普通二层以太网网络中采用VLANVLAN进行隔离。进行隔离。小区以太网接入应用中在接入层交换机上配置小区以太网接入应用中在接入层交换机上配置Isolate-user-VLANIsolate-user-VLAN，禁止接入，禁止接入用户之间互访。用户之间互访。建议在接入交换机接入端口配置广播抑制门限建议在接入交换机接入端口配置广播抑制门限1234在交换机上启用以下安全策略在交换机上启用以下安全策略核心层交换机核心层交换机汇聚层交换机

27、汇聚层交换机汇聚设备启用以下安全特性：STP根保护和BPDU保护TC-BPDU报文处理机制OSPF/RIP路由认证SSH、SNMPv3Telnet终端限制核心交换机汇聚交换机接入交换机核心设备启用以下安全特性：OSPF/RIP路由认证SSH、SNMPv3、SFTPTelnet终端限制汇聚设备启用以下安全特性：STP根保护和BPDU保护TC-BPDU报文处理机制OSPF/RIP路由认证SSH、SNMP、SFTP三层接入设备启用以下安全特性：端口MAC地址数限制OSPF/RIP路由认证ARP入侵检测（ARP、DHCP限速）DHCP Snooping Trust & Option 82SSH、SNM

28、Pv3Telnet终端限制二层接入设备启用以下安全特性：端口MAC地址数限制STP根保护和BPDU保护TC-BPDU报文处理机制SSH、SNMPv3Telnet终端限制接入交换机接入交换机接入交换机严格的访问控制严格的访问控制n在汇聚交换机与核心交换机上配置访问控制列表，限制不同部门之间的互访。n在汇聚路由器和核心交换机上配置访问控制列表，封掉常见的病毒传播端口n所有的网络设备必须配置super密码，telnet的口令及密码，并定期修改。ntelnet需要在VTY中设置访问列表，对无访问需求的源地址进行过滤。例如：n在连接内外网的防火墙上禁止来自外网的telnet访问。认证授权认证授权（WLA

29、N接入）接入） 在在WLANWLAN中，当无法从物理上控制访问者的来源时，务必中，当无法从物理上控制访问者的来源时，务必要使用相应的鉴权及认证手段进行识别服务：要使用相应的鉴权及认证手段进行识别服务： 在在APAP上禁止上禁止ESSIDESSID广播广播 MACMAC过滤过滤 对接入用户进行对接入用户进行802.1x802.1x身份认证身份认证 使用加密无线信道使用加密无线信道认证授权认证授权（移动办公用户）（移动办公用户） 通过通过RADIUSRADIUS实现实现AAAAAA认证，可以对各种接入用户统一集中进认证，可以对各种接入用户统一集中进行认证和授权行认证和授权 采用采用TACACSTA

30、CACS协议代替协议代替RADIUSRADIUS 实现对验证报文主体全部进行加密实现对验证报文主体全部进行加密 支持对路由器上的配置实现分级授权使用支持对路由器上的配置实现分级授权使用认证服务器认证服务器Modem 接入接入ADSL 接入接入LAN 接入接入WLAN 接入接入n非军事区：DMZ de-militarized zone, 用以隔离内部和外部网络n内部网络只允许内部用户访问，DMZ区提供有条件的对外服务n外部过滤器只允许外部流量进入，内部过滤器只允许内部流量进入nDMZ从不启动与内部网络的连接n当DMZ中的主机受到威胁时 内部流量也不会受到监听、内部过滤器仍然受到保护受保护服务器受

31、保护服务器受保护客户机受保护客户机内部网络内部网络可信任区可信任区外部网络外部网络不可信任区不可信任区周边网络周边网络 DMZ区区WWW服务器服务器MAIL服务器服务器入侵检测服务器入侵检测服务器漏洞扫描服务器漏洞扫描服务器互联网互联网接入服务器接入服务器互联网互联网连接路由器连接路由器对外连接正常对外连接正常无法直接向内连接无法直接向内连接防火墙防火墙Internet利用防火墙进行安全分区利用防火墙进行安全分区利用入侵防御进行应用层安全防护利用入侵防御进行应用层安全防护攻击库攻击库协议库协议库病毒库病毒库综合防御综合防御三库合一实现综合防御三库合一实现综合防御现在的很多安全威胁都是综合网络蠕

32、虫、木马、病毒等技术的复合威胁，只有将攻击特征和病毒特征结合在一起进行检测，才能全面防御这类安全威胁。攻击者在利用漏洞的攻击之后，往往马上伴随着木马、病毒等恶意代码样本的下载，只有将攻击特征和病毒特征结合在一起，才能做到层层防御，确保安全。因为攻击是有特定的协议上下文的，将应用层协议特征分析与攻击特征、病毒特征分析结合起来，可确保检测精度。目目 录录n 网络设计概述n 网络拓扑结构设计n 板卡规划和设备命名n 局域网规划设计n IP地址规划设计n IP路由规划n 网络安全设计n 网络管理设计n 其他的相关业务系统（DNS、DHCP、NTP)网管规划基本原则网管规划基本原则哪些设备需要管理哪些设

33、备需要管理l如果网络规模不大，可以管理全网所有的三层设备（包括部分支持三层访问功能的二层交换机）。l如果网络规模很大，可以只选择比较重要的设备，但通常应该包含所有的路由器。网管设备如何与网络设备连接网管设备如何与网络设备连接l通常网管工作站直接与网络中最核心的设备相连，直接连接到该设备的以太网口或通过交换机与之相连。使用带内网管还是带外网管使用带内网管还是带外网管l带内网管网管的相关报文流量与网络中的数据流量等同对待。优点是充分利用网络中的设备和带宽。缺点是设备或链路故障会导致网管中断。通常都使用带内网管。l带外网管即：为了网管流量而单独建立一套数据通道。优点是确保网管数据的绝对安全可靠和优先

34、级，缺点是代价过于昂贵。几乎不会使用带外网管。网管设备的网管设备的IPIP地址规划地址规划l取出特定的一个网段，专门为网管工作站使用。l该地址尽量固定，不要随意更改。网管规划基本原则网管规划基本原则RMONRMON的使用的使用l是一种在网络设备侧的探针技术，根据事先定义好的数据组类型采集设备的告警、性能等信息，以MIB的形式储存在设备上，等待网管设备使用SNMP协议读取。l本来是一种很好的思想和理念，但由于目前支持RMON技术的硬件芯片很少，所有的报文都需要送交CPU处理，会严重影响设备的性能。所以，不推荐使用。选择选择SNMPSNMP的版本的版本lV1:SNMP的最早期版本，实现最基本的功能

35、。lV2c:增加了几种64位的数据类型以及RMON2的扩充。lV3:在安全性方面做了较多的改进，对网管报文使用了MD5等一些加密算法，并且可以定义不同的用户视图，限制不同级别的用户可以访问的不同的MIB。lV3比较繁琐，推荐使用V1或V2c网管规划网管规划设备侧的规划设备侧的规划TrapTrap的规划的规划lTrap的使能。lTrap需要发送给的主机IP地址（即网管工作站的IP地址）lTrap发送时的源地址（该设备的loopback地址）SNMPSNMP的规划的规划lSNMP的使能l明确本网络需要使用的SNMP的版本。只配置本网络规划需要使用的版本，尽量不要配置为version all。lv1、v2c配置团体字、v3配置用户、组、访问视图。团体字的命名需要遵循以下原则：不要简单的使用public和private，但也无需将其配置的与密码一样复杂；尽量具备一定的实际含义即可。