本书是一本注重于各种类型网络设计方法和过程并培养读者实际网络设计和实施能力的教材。它基于“计算机网络”和“计算机网络安全”课程内容，给出了运用主流网络技术和网络安全技术实现校园网、企业网、大型ISP网络、接入网、虚拟专用网、IPv6网络和物联网的方法和过程。

本书的**特点在于： 一是为读者提供普遍性的计算机网络设计原则；二是详细讨论运用当前主流网络技术和网络安全技术设计、实现各种类型网络的方法和过程；三是在网络设计和实现过程中讨论各种类型网络所面临的安全问题和解决方法，并将安全问题的解决方法融入网络设计和实现过程。以此实现真正让读者具备设计和实现校园网、企业网、大型ISP网络、接入网、虚拟专用网、IPv6网络和物联网的能力的教学目标。

本书以通俗易懂、循序渐进的方式叙述网络设计方法和过程，内容组织严谨、叙述方法新颖，是一本理想的网络工程专业和物联网专业本科生计算机网络工程课程的教材，对于从事计算机网络设计和实施的工程技术人员也是一本非常好的参考书。

“计算机网络工程”课程的教学目标是培养学生设计和实现各种类型网络的能力。因此，“计算机网络工程”课程的教材应该满足以下要求： 一是讨论普遍性的设计原则；二是基于“计算机网络”课程的网络工作原理和联网技术以及“计算机网络安全”课程的网络安全理论、网络安全协议和网络安全技术给出设计并实现校园网、企业网、大型ISP网络、接入网、虚拟专用网、IPv6网络和物联网的方法和过程；三是讨论各种类型网络所面临的安全问题和解决方法。但目前的“计算机网络工程”或“组网工程”课程的教材基本上可分为两类： 一类主要讨论网络技术和网络安全技术，大量内容与计算机网络和计算机网络安全教材重叠，较少涉及各种类型网络的设计方法和过程；另一类主要给出一些厂家的网络设备的基本配置过程，没有在具体网络环境下讨论设备配置，也很少涉及各种类型网络的设计和实施过程。这些教材无法真正培养学生运用主流网络技术及网络安全技术设计并实现各种类型网络的能力。

本书的特色在于： 一是为读者提供普遍性的设计原则；二是详细讨论运用当前主流网络技术和网络安全技术设计和实现各种类型网络的方法和过程；三是在网络设计和实现过程中讨论各种类型网络所面临的安全问题和解决方法，并且将安全问题的解决方法融入网络设计和实现过程；四是将网络设备远程配置和网络管理融入网络设计和实现过程，以此提高网络设备远程配置和网络管理的安全性；五是针对不同网络应用系统需求，给出设计和实现网络存储系统的方法和过程。

“计算机网络工程”课程是一门实践性很强的课程，掌握交换机、路由器及网络安全设备配置过程并完成各种类型网络设计和实施过程，对于深入了解网络设计的普遍性原则以及具备在网络设计和实施过程中融入主流网络技术和网络安全技术的能力非常有用。鉴于目前很少有学校可以提供能够完成校园网、企业网、大型ISP网络、接入网、虚拟专用网、IPv6网络和物联网设计和实施实验的网络实验室的现实，我们提供了指导学生利用Cisco Packet Tracer和华为eNSP软件实验平台完成各种类型网络设计和实施实验的配套实验教材《计算机网络工程实验教程——基于Cisco Packet Tracer》和《计算机网络工程

实验教程——基于华为eNSP》。 Cisco Packet Tracer和华为eNSP软件实验平台的人机界面非常接近实际配置过程，学生通过这两个平台可以完成教材内容涵盖的全部实验，建立与现实网络世界相似的应用环境，真正掌握基于Cisco设备和华为设备完成校园网、企业网、大型ISP网络、接入网、虚拟专用网、IPv6网络和物联网设计、配置和调试过程的方法和步骤。

《计算机网络工程》（第2版）在前一版基础上对内容做了以下修改： 一是重新梳理了教材内容，使得内容组织更加合理，知识点之间的逻辑性更强，对难点的讨论更加深入和详细；二是根据最新网络技术和网络安全技术对相关类型网络设计和实施过程进行了更新；三是增加了物联网设计方法和实现过程。

作为一本无论在内容组织、叙述方法还是教学目标都和已有“计算机网络工程”课程教材有一定区别的新教材，错误和不足之处在所难免，我们殷切希望使用本书的老师和学生批评指正，也希望读者能够就教材内容和叙述方式提出宝贵建议和意见。

编者

2021年4月

第1章网络系统设计目标和实现过程1

1.1网络系统基本单元1

1.1.1基本单元组成的网络系统1

1.1.2传输网络1

1.1.3互连设备11

1.1.4主机系统16

1.2网络系统设计目标17

1.2.1面向服务的网络系统17

1.2.2面向服务的网络系统设计目标17

1.3网络系统结构18

1.3.1数据通信系统18

1.3.2安全系统20

1.3.3存储系统21

1.3.4应用系统22

1.4网络系统生命周期22

1.4.1网络系统生命周期的分类23

1.4.2需求分析阶段23

1.4.3逻辑设计阶段24

1.4.4物理设计阶段24

1.4.5实施阶段24

1.4.6运行阶段24

1.4.7优化阶段24

习题25

第2章网络系统设计方法26

2.1分层结构26

2.1.1平坦网络结构和分层网络结构26

2.1.2园区网的分层网络结构27

2.1.3分层网络结构的优势28

2.2编址28

2.2.1分类编址、VLSM和CIDR29

2.2.2地址分配过程31

2.2.3NAT和私有地址33

2.3路由协议选择35

2.3.1路由项分类35

2.3.2路由协议分类38

2.3.3RIP39

2.3.4OSPF41

2.3.5BGP45

2.3.6路由协议选择原则49

2.4容错互联网结构49

2.4.1核心层容错结构50

2.4.2网状容错结构50

2.4.3生成树协议51

2.4.4冗余链路51

2.5安全互联网设计方法52

2.5.1安全互联网设计目标52

2.5.2网络安全机制53

2.5.3安全互联网设计过程58

2.6网络管理系统设计方法60

2.6.1网络管理系统功能60

2.6.2网络管理系统结构60

习题61

第3章校园网设计方法和实现过程62

3.1校园布局和设计要求62

3.1.1校园布局62

3.1.2需求分析62

3.2逻辑设计63

3.2.1网络拓扑结构63

3.2.2数据通信网络性能指标和设计原则64

3.2.3AC+瘦AP结构和设计原则64

3.2.4安全系统功能和设计原则65

3.2.5设备选型和配置65

3.3数据通信网络实现过程68

3.3.1链路聚合68

3.3.2AC配置68

3.3.3VLAN划分69

3.3.4VLAN IP地址分配72

3.3.5OSPF建立路由表的过程75

3.4安全系统实现过程78

3.4.1启动接入交换机的DHCP侦听功能79

3.4.2启动安全路由功能80

3.4.3分组过滤器81

3.5应用系统实现过程82

3.5.1服务器的完全合格域名82

3.5.2DNS服务器配置82

3.5.3DHCP服务器配置82

3.6关键技术说明83

3.6.1链路聚合机制83

3.6.2CAPWAP84

3.6.3DHCP侦听信息库建立机制85

3.6.4安全路由机制87

习题88

第4章企业网设计方法和实现过程89

4.1功能描述和设计要求89

4.1.1功能描述89

4.1.2设计要求89

4.2逻辑设计90

4.2.1网络拓扑结构90

4.2.2地址分配91

4.3数据通信网络实现过程92

4.3.1VLAN划分92

4.3.2IP接口定义93

4.3.3冗余网关93

4.3.4路由表94

4.3.5防火墙和路由器的 PAT配置95

4.3.6DHCP服务器配置的作用域96

4.3.7数据传输过程96

4.4安全系统实现过程98

4.4.1防火墙安全策略配置98

4.4.2定义区域和区域间安全策略98

4.4.3区域间安全策略的作用过程99

习题101

第5章ISP网络设计方法和实现过程102

5.1ISP网络结构102

5.1.1自治系统102

5.1.2广域网技术103

5.1.3分层路由结构103

5.2IP over ATM和IP over SDH104

5.2.1SDH104

5.2.2ATM110

5.2.3IP over ATM114

5.2.4IP over SDH117

5.3ISP网络实现过程119

5.3.1基本配置119

5.3.2内部路由项121

5.3.3外部路由项122

5.3.4完整路由表建立过程124

5.3.5端到端传输路径124

习题125

第6章接入网络设计方法和实现过程126

6.1Internet接入概述126

6.1.1终端接入Internet需要解决的问题126

6.1.2PPP与接入控制过程128

6.1.3统一鉴别方式与RADIUS133

6.2以太网和ADSL接入技术134

6.2.1通过以太网接入Internet的过程134

6.2.2通过ADSL接入Internet的过程139

6.3EPON接入技术141

6.3.1EPON结构和主要构件142

6.3.2工作原理143

6.3.3终端接入过程146

6.4家庭局域网接入方式与无线路由器147

6.4.1家庭局域网接入方式147

6.4.2无线路由器149

6.5综合接入网络实例157

习题159

第7章虚拟专用网络设计方法和实现过程161

7.1VPN概述161

7.1.1企业网和远程接入161

7.1.2VPN的定义和需要解决的问题163

7.1.3VPN分类165

7.2第三层隧道和IPSec168

7.2.1VPN结构168

7.2.2内部网络之间的IP分组传输过程170

7.2.3第三层隧道IPSec和安全传输过程172

7.3第二层隧道和IPSec175

7.3.1远程接入过程175

7.3.2PPP帧封装过程177

7.3.3L2TP178

7.3.4VPN接入控制过程185

7.3.5第二层隧道IPSec和安全传输过程187

7.3.6Cisco Easy VPN189

7.4SSL VPN193

7.4.1第二层隧道和IPSec的缺陷193

7.4.2SSL VPN实现原理195

7.5BGP/MPLS IP VPN197

7.5.1端口IP地址和路由表197

7.5.2LDP和LSP建立过程200

7.5.3MBGP204

7.5.4VPN各站点之间的数据传输过程207

习题209

第8章IPv6网络设计和实现过程211

8.1IPv4的缺陷211

8.1.1地址短缺问题211

8.1.2复杂的分组首部212

8.1.3QoS实现困难212

8.1.4安全机制先天不足212

8.2IPv6首部结构212

8.2.1IPv6基本首部213

8.2.2IPv6扩展首部215

8.3IPv6地址结构217

8.3.1IPv6地址表示方式217

8.3.2IPv6地址分类218

8.4IPv6网络实现通信过程223

8.4.1网络结构和基本配置223

8.4.2邻站发现协议224

8.4.3路由器建立路由表的过程227

8.5IPv6 over Ethernet228

8.5.1IPv6地址解析过程228

8.5.2IPv6组播地址和MAC组地址之间的关系230

8.5.3IPv6分组传输过程231

8.6IPv6网络和IPv4网络互联232

8.6.1双协议栈技术232

8.6.2隧道技术233

8.6.3网络地址和协议转换技术235

习题242

第9章物联网设计方法和实现过程245

9.1物联网概述245

9.1.1物联网定义和技术特征245

9.1.2物联网体系结构246

9.1.3物联网系统结构249

9.2物联网组成250

9.2.1智能物体250

9.2.2通信网络253

9.2.3云平台266

9.2.4应用程序267

9.3智能家居267

9.3.1智能家居系统结构267

9.3.2智能家居设备定义和连接建立过程268

9.3.3智能家居控制策略269

9.4智慧校园270

9.4.1智慧校园系统结构270

9.4.2校园网设计271

9.4.3设备定义和连接建立过程273

9.4.4智慧校园控制策略274

习题274

第10章存储系统设计方法和实现过程276

10.1存储系统分类276

10.1.1DAS276

10.1.2NAS276

10.1.3FC SAN277

10.1.4iSCSI277

10.1.5各种存储系统比较277

10.2硬盘和接口278

10.2.1硬盘接口278

10.2.2IDE278

10.2.3SATA279

10.2.4SCSI279

10.2.5SAS280

10.2.6固态硬盘、PCIe和NVMe281

10.3RAID282

10.3.1RAID 0283

10.3.2RAID 1283

10.3.3RAID 3284

10.3.4RAID 5285

10.3.5RAID 6286

10.3.6RAID 50287

10.4FC SAN实现过程287

10.4.1网络结构288

10.4.2端口类型289

10.4.3地址和标识符289

10.4.4FC SAN工作过程289

10.5iSCSI实现过程292

10.5.1网络和协议结构292

10.5.2标识符293

10.5.3iSCSI工作过程294

10.6存储系统设计实例294

10.6.1NetApp AFF8000系列存储设备结构294

10.6.2NetApp AFF8000系列存储设备应用295

习题296

第11章网络管理和监测297

11.1SNMP和网络管理297

11.1.1网络管理功能297

11.1.2网络管理系统结构297

11.1.3SMI和MIB298

11.1.4网络管理系统的安全问题300

11.2基于SNMPv1的网络管理系统300

11.2.1基本功能300

11.2.2SNMPv1的安全机制301

11.2.3SNMPv1的集中管理问题302

11.3SNMPv3的安全机制303

11.3.1发送端身份鉴别机制303

11.3.2加密SNMP消息的机制304

11.3.3防重放攻击机制304

11.3.4密钥生成机制307

11.3.5USM消息处理过程308

11.3.6访问控制策略308

11.4网络综合监测系统309

11.4.1现有网络系统结构的缺陷309

11.4.2网络综合监测系统的功能309

11.4.3网络综合监测系统的实现机制310

11.4.4网络综合监测系统的应用312

习题315

术语表317

参考文献322

本书作者是长期从事计算机网络相关研究、工程与教学的专家，编写了《计算机网络工程（第2版）》《计算机网络工程实验教程——基于华为eNSP（第2版）》《计算机网络工程实验教程——基于Cisco Packet Tracer（第2版）》等多部教材。

本书详细讨论了运用当前主流网络技术和网络安全技术设计、实现各种类型网络的方法和过程，而且是在实际网络环境下讨论各种类型网络所面临的安全问题和解决方法，并将安全问题的解决方法融入网络设计和实现过程。

学习本书后，读者将初步具备设计和实现校园网、企业网、大型ISP网络、接入网、虚拟专用网、IPv6网络和物联网的能力。

沈鑫剡，教授，长期从事网络技术和网络安全的研究教学，出版20余部有关网络技术和网络安全的教材，有着丰富的设计网络系统和解决实际网络安全问题的经验。