大型网络WLAN设计方案.ppt

方案设计,Benet公司企业需求概述3-1,BENET公司 一家新型的IT企业 有近300台计算机 公司业务对网络依赖性强 总部位于北京，分别在广州、上海设有分公司 总部设有财务、技术（研发）、生产和销售四个部门 分公司有销售、生产和财务三个部门,BENET公司管理结构,Benet公司,财务部,技术部,生产部,销售部,上海分公司,广州分公司,财务部,生产部,销售部,财务部,生产部,销售部,Benet公司企业需求概述3-2,本章结构,企业需求分析,项目总体规划,子网划分和IP地址规划,IP地址规划,Vlan划分,子网划分,总体设计,设备命名和连接规范,网络交换部分设计,VTP设计,STP设计,通道和Vlan间路由,分公司网络部分,网络总体规划,对于Benet公司的网络改建需求，应当如何规划网络建设方案？ 子网如何划分？ 路由部分如何设计？ 交换部分如何设计？ 广域网部分如何实现？ 安全可靠性部分如何实现？,Benet公司网络拓扑图3-1,广州分公司,Benet公司北京总公司,上海分公司,Internet,Benet公司网络,北京，广州和上海3部分网络组成一个统一的企业内联网，使用总公司单一出口访问因特网，公司的服务器等全部在北京总公司实现 3部分通过路由器互联，使用OSPF，总公司在Area 0，广州分公司在Area 1，上海分公司在Area 2 统一使用单一因特网出口，即为北京总公司出口，使用1条10M的以太网宽带接入链路 出口部署1台防火墙以保障内网安全,Benet公司网络,北京总公司的LAN部分为了保证网络的健壮性和可靠性，采用全冗余结构 两台核心交换机采用三层交换机，实现Vlan之间的路由，同时使用HSRP进行备份 北京总公司的LAN部分启用VTP和STP 北京总公司的LAN中单独划出一个Vlan作为服务器的区块，放置系统中所有的服务器 广州和上海分公司的LAN部分没有复杂应用，此次不作改建,设备清单与设备命名规范2-1,项目中都使用了哪些设备，数量有多少？ 这些设备在网络调试的时候是否需要命名，为什么？ 如果需要命名，应当如何为设备命名？,设备清单与设备命名规范2-2,代表二层交换机,代表三层交换机,代表路由器,设备连接规范2-2,子网、Vlan和IP地址规划2-1,项目中是否需要划分子网，为什么？ 如果需要划分子网，应该如何划分？ 项目中划分Vlan的作用是什么？ Benet公司的Vlan应当如何划分？ Benet公司应该使用哪一类的IP地址，如何规划？,子网、Vlan和IP地址规划2-2,Benet公司采取Vlan和子网对应的划分方式 路由端口使用/24内的IP地址,Vlan命名按如下规则： 城市缩写-部门缩写/功能缩写,分公司的详细Vlan划分不是本次设计内容，Vlan命名为：城市缩写-all,网络交换部分总体设计,Benet公司北京总公司网络交换部分需要使用如下技术： VTP STP 以太网通道 Vlan间路由 每种技术所要达到的目的是什么，如何实现？ 具体应当规划设计？,网络交换部分总体设计,北京总公司LAN部分,Vlan 25,Vlan 127 Server block,EthernetChannel,VTP STP,HSRP,STP设计,Vlan 5,Vlan 127,Vlan 2,Vlan 3,Vlan 4,BJ-S-1,BJ-S-2,BJ-S-3,BJ-S-4,BJ-S-5,BJ-S-6,BJ-S-7,BJ-RS-1 Vlan2,5,127 Root,BJ-RS-2 Vlan1,3,4 Root,使用PVST，为不同的Vlan指定不同的根网桥,转发,阻塞,以太网通道和Vlan间路由设计,两台核心交换机之间使用以太网通道技术 Vlan间的路由通过三层交换机实现,为什么需要应用这些技术？ 使用三层交换的优点在哪里？,分公司网络部分,分公司使用的IP地址发生了变化 广州分公司将使用/24的IP地址，网关为 上海分公司将使用/24的IP地址，网关为 分公司交换机内Vlan的配置发生了变化 分公司交换机的管理IP地址发生了变化 分公司增加了路由器，需要按照本方案内路由部分的规划进行调试，以便和总公司连通,企业需求分析,项目总体规划,子网划分和IP地址规划,IP地址规划,Vlan划分,子网划分,总体设计,设备命名和连接规范,网络交换部分设计,VTP设计,STP设计,通道和Vlan间路由,分公司网络部分,本章总结,Benet公司规划实现一个全冗余的可靠网络,在网络的交换部分，需要考虑VTP、STP、以太网通道和Vlan间路由如何实现,网络的整体规划需要考虑设备如何命名、子网如何划分、Vlan如何划分和IP地址如何规划等,统一的设备命名和连接规范对于提高网络的可管理可维护性非常重要,内容回顾,Benet公司的网络总体规划 北京总公司单一因特网出口 路由采用OSPF协议 交换网络全冗余 子网划分、Vlan划分、IP地址规划 交换部分设计 VTP、STP、以太网通道 Vlan间路由,本章结构,企业需求分析,路由部分设计,网络安全性设计,OSPF DR设计,路由器ID规划,OSPF区域规划,安全建设原则,一般安全策略,广域网部分设计,网络可靠性设计,ACL设计,HSRP设计,项目实践实验组织,路由部分设计3-1,Benet公司内联网之间通过3台路由器互相连通 使用路由协议为OSPF OSPF应该如何规划？ OSPF区域 路由器的ID 指定路由器,路由部分设计3-2,Area0,Area2 Totally stub,广州分公司,Benet公司北京总公司,上海分公司,Area1 Totally stub,北京总公司在Area 0,分公司在非骨干区域，按成立时间排序,路由部分设计3-3,分公司区域为完全末梢区域 路由器ID采用特殊的IP地址 北京总公司内由路由器ID影响DR、BDR选举,广域网部分设计2-1,Benet公司仅在北京总公司有因特网出口 申请一条以太网方式的宽带接入链路 出口部署防火墙 申请1段公网IP地址 NAT由防火墙实现,广域网部分设计2-2,Area0,Area2 Totally stub,Area1 Totally stub,使用命令在ospf区域内发布一条缺省路由,学习到ASBR通告的缺省路由,Totally stub区域会自动产生到ABR的缺省路由,到达因特网的缺省路由,Internet,网络的进一步优化,网络设计到现在，Benet公司已经全部实现互联互通，与因特网也能够连通 那么，设计是否到这里就结束？ 还需要考虑哪部分的内容？ 安全性 可靠性 应该如何实现？,网络安全性设计,已经学习过的网络安全技术有哪些？ 如何应用在Benet公司网络项目中？ 网络中已经规划了防火墙和入侵检测系统，我们还能做什么？ 首先，考虑网络的安全设计总体规划 其次，网络中的一般安全策略 最后针对项目中的具体情况，对如何保证网络安全性进行设计,网络安全建设管理原则,网络建设方案 机房管理制度 各类人员职责分工 部门和人员职责 安全保密规定 安全策略文档 口令管理制度,系统操作规程 应急响应方案 用户授权管理 安全防护记录 定期对系统运行、用户操作等进行安全评估 其它制度,网络一般安全策略,保护设备的物理安全 保护设备的密码 控制Telnet访问 禁止CDP 关闭HTTP服务,ACL设计,北京总公司部分 通过ISA服务器访问因特网 对外屏蔽Telnet 对外屏蔽简单网管协议SNMP 防止DoS攻击 分公司部分 不允许访问总公司的用户主机和其他分公司 允许访问总公司服务器 允许访问因特网,防火墙上已经做了更详细的控制，防火墙正常时等于没有,网络可靠性设计,网络项目的可靠性包含哪几方面内容？ 都需要使用到哪些技术？ 在前面的设计中都涉及到了哪些？ 冗余链路 STP 路由协议 HSRP尚未规划,HSRP设计,HSRP在两台核心交换机上实现 按Vlan划分HSRP组 两台核心交换机分别在不同的HSRP组内承担活跃路由器角色 活跃路由器的选择和STP中根网桥的选择保持一致 配置优先级和占先权,故障切换示意3-1,正常情况,故障切换示意3-2,一台核心交换机故障,故障切换示意3-3,一台出口路由器故障,学员实验拓扑图,area0,area2 Totally stub,area1 Totally stub,Vlan 25,Vlan 127,组1完成,组2完成,PPP,PPP,模拟防火墙,实验组织,全班分为2个实验小组，每组完成一半实施任务 实验为12学时，分为3个阶段，每阶段完成不同任务 第一阶段：4学时，完成交换部分的配置（北京总公司） 第二阶段：4学时，完成HSRP 、路由和广域网部分的配置，3个公司可以实现互连互通，并都可以访问防火墙 第三阶段：4学时，完成ACL的配置，实现安全控制，2组的实验网络合并对实验结果进行验证,实验阶段任务,实验验证方法2-1,第一阶段： 局域网内vlan之间可以互通 交换机能够通过VTP学习vlan的配置 STP切换正常 以太网通道工作正常 各种show的结果输出正确 第二阶段： HSRP切换正常 OSPF的路由表正确 DR选举正常 PPP协议工作正常 全部末梢网络可以互通 可以访问到防火墙 各种show的结果输出正确,实验验证方法2-2,第三阶段： 出口路由器ACL工作正常，对外网到内网的访问控制符合设计要求 分公司路由器ACL工作正常，对总公司网络的访问控制符合设计要求 2组网络合并后，网络的每个部分都工作正常 各