02.单核心校园网网络模型规划与设计规范.ppt

1 单核心校园网网络模型规划与设计规范 技术培训中心 2 学习目标 掌握单核心校园网网络模型的结构特点掌握单核心校园网网络模型规划与设计规范 3 课程内容 第一章单核心网络常见拓扑结构第二章基本配置规范第三章IP地址及VLAN规划第四章路由协议规划第五章出口策略设计第六章网络安全优化设计 3 4 第一章单核心网络常见拓扑结构 5 第一章单核心网络常见拓扑结构 6 第一章单核心网络常见拓扑结构 什么样的校园网会采用单核心网络结构呢 规模小信息点少对于网络冗余备份要求不高 中小学网络最为常见 7 课程内容 第一章单核心网络常见拓扑结构第二章基本配置规范第三章IP地址及VLAN规划第四章路由协议规划第五章出口策略设计第六章网络安全优化设计 7 8 第二章基本配置规范 基本配置 主机命名如果客户有规范或明确合理要求 则按照客户的规范或要求进行配置 如金融行业规范 如果客户没有规范或明确合理要求 可参考设备位置 网络位置 设备型号 设备编号等因素 在项目中制定统一的命名规范 如下所示 9 第二章基本配置规范 基本配置包括 主机命名设备互联接口描述项目中所有涉及到可网管设备互联的端口必须配置端口描述 10 第二章基本配置规范 基本配置包括 主机命名设备互联接口描述登陆密码配置项目中所有可网管设备必须配置特权密码及远程登陆密码 11 第二章基本配置规范 基本配置包括 主机命名设备互联接口描述登陆密码配置系统时间配置项目中所有可网管设备必须重新设置正确的系统时间手工设置设置时间服务器 12 第二章基本配置规范 基本配置包括 主机命名设备互联接口描述登陆密码配置系统时间配置二层交换机管理IP配置项目中可网管二交换机必须配置管理IP地址 供管理员远程管理设备所用 13 第二章基本配置规范 基本配置包括 主机命名设备互联接口描述登陆密码配置系统时间配置二层交换机管理IP配置 提升网络的可管理程度 14 课程内容 第一章单核心网络常见拓扑结构第二章基本配置规范第三章IP地址及VLAN规划第四章路由协议规划第五章出口策略设计第六章网络安全优化设计 14 15 第三章IP地址及VLAN规划 校园网IP地址分类 按照不同功能用途 用户IP地址设备管理地址二层设备与三层设备三层设备互联地址 校园网VLAN分类 同IP地址相对应 用户VLAN设备管理VLAN二层设备三层设备互联VLAN可选 16 第三章IP地址及VLAN规划 单核心二层网络结构IP地址及VLAN划分 17 第三章IP地址及VLAN规划 单核心二层网络结构IP地址及VLAN划分 18 第三章IP地址及VLAN规划 单核心三层网络结构IP地址及VLAN划分 19 第三章IP地址及VLAN规划 单核心三层网络结构IP地址及VLAN划分 20 第三章IP地址及VLAN规划 需要考虑的因素用户VLAN与设备管理VLAN分开 IP地址 汇聚 核心交换机 接入交换机 VLAN100 10 1 100 0 24 用户IP地址段 VLAN100 interfacevlan100 ipaddress10 1 100 254 24 网关IP地址 接入交换机管理IP地址 interfacevlan100 ipaddress10 1 100 253 24 1 当ARP欺骗发生时 会影响到网络设备的管理 2 网络设计混乱 给网络运维带来一定风险 21 第三章IP地址及VLAN规划 需要考虑的因素用户VLAN与设备管理VLAN分开 IP地址 汇聚 核心交换机 接入交换机 VLAN100 10 1 100 0 24 用户IP地址段 VLAN100 interfacevlan100 ipaddress10 1 100 254 24 网关IP地址 接入交换机管理IP地址 interfacevlan200 ipaddress10 1 200 253 24 VLAN200 接入交换机管理VLAN VLAN200 接入交换机管理网段网关IP interfacevlan200 ipaddress10 1 200 254 24 22 第三章IP地址及VLAN规划 需要考虑的因素用户VLAN与设备管理VLAN分开 IP地址 为网络扩容进行可汇总的预留设计 VLAN100 10 1 100 0 24 VLAN101 10 1 101 0 24 VLAN201 10 1 201 0 24 VLAN200 10 1 200 0 24 没有进行预留设计 造成IP地址的不连续 不利于汇总 23 第三章IP地址及VLAN规划 需要考虑的因素用户VLAN与设备管理VLAN分开 IP地址 为网络扩容进行可汇总的预留设计 需要提前为新增的网络进行IP地址及VLAN的设计 包括用户IP地址 设备管理地址以及设备互联地址 VLAN100 10 1 100 0 24 VLAN110 10 1 110 0 24 VLAN101 10 1 101 0 24 VLAN120 10 1 120 0 24 24 第三章IP地址及VLAN规划 需要考虑的因素用户VLAN与设备管理VLAN分开 IP地址 为网络扩容进行可汇总的预留设计IP地址与VLAN编号 其他相关因素 有一定的对照性 VLAN100 10 1 100 0 24 用户IP地址段 用户VLAN 1 楼号 25 课程内容 第一章单核心网络常见拓扑结构第二章基本配置规范第三章IP地址及VLAN规划第四章路由协议规划第五章出口策略设计第六章网络安全优化设计 25 26 第四章路由协议规划 单核心二层结构网络路由协议规划 静态默认路由 静态回指汇总路由 27 第四章路由协议规划 单核心三层结构网络静态路由协议规划 静态默认路由 静态回指汇总路由 全网 静态默认路由 静态回指汇总路由 局部 28 第四章路由协议规划 单核心三层结构网络动态路由协议规划一 静态默认路由 静态回指汇总路由 全网 Area0 Area10 Area20 Area30 29 第四章路由协议规划 单核心三层结构网络动态路由协议规划一 30 第四章路由协议规划 单核心三层结构网络路由协议规划二 静态默认路由 静态回指汇总路由 全网 Area0 Area10 Area20 Area30 31 第四章路由协议规划 单核心三层结构网络路由协议规划二 32 课程内容 第一章单核心网络常见拓扑结构第二章基本配置规范第三章IP地址及VLAN规划第四章路由协议规划第五章出口策略设计第六章网络安全优化设计 32 33 第五章出口策略设计 出口区域类型 按照设备 线路数量 单出口设备单线路单出口设备双 多 线路双出口设备双 多 线路 34 第五章出口策略设计 单出口设备单线路 核心层设备 出口设备 内部校园网 静态默认路由 静态回指汇总路由 全网 默认路由 源地址转换为公网地址 35 第五章出口策略设计 单出口设备双 多 线路 核心层设备 出口设备 内部校园网 静态默认路由 静态回指汇总路由 全网 教育网明细路由 默认路由 源地址转换为教育网地址 源地址转换为公网地址 36 第五章出口策略设计 单出口设备双 多 线路 核心层设备 出口设备 内部校园网 对外发布的教育网服务器 internet用户公网IP地址 返回的数据包匹配了默认路由 源IP地址转换为公网IP地址 37 第五章出口策略设计 单出口设备双 多 线路 核心层设备 出口设备 内部校园网 对外发布的教育网服务器 internet用户公网IP地址 应用基于源地址的策略路由 强制源地址为服务器私有IP地址的数据包在进行转发时 下一跳为教育网接口下一跳 38 第五章出口策略设计 单出口设备双 多 线路 核心层设备 出口设备 内部校园网 默认路由 静态回指汇总路由 电信 联通 多于两个出口线路如何规划 39 第五章出口策略设计 双出口设备双 多 线路 核心层设备 出口设备 默认路由 教育网明细路由 静态回指汇总路由 静态回指汇总路由 默认路由 默认路由 源地址转换为教育网地址 源地址转换为公网地址 40 课程内容 第一章单核心网络常见拓扑结构第二章基本配置规范第三章IP地址及VLAN规划第死章路由协议规划第五章出口策略设计第六章网络安全优化设计 40 41 第六章网络安全优化设计 什么是安全优化设计 安全设计 使网络更稳定运行优化设计 使网络更合理运行根据园区网的层次进行分类 接入层设备安全优化设计汇聚层设备安全优化设计核心层设备安全优化设计出口区域设备安全优化设计 42 第六章网络安全优化设计 接入层设备安全优化设计VLAN修剪防范下联环路防范非法DHCP服务器防范DHCP环境下使用静态IP地址保证静态IP环境下地址唯一性防范ARP欺骗 43 第六章网络安全优化设计 接入层设备安全优化设计VLAN修剪 VLAN10203040 VLAN10 VLAN20 VLAN30 trunk trunk trunk VLAN10内的广播流量 该交换机收到tag标记为10的数据帧 发现本地没有VLAN10 于是丢弃 SW1 虽然广播流量被丢弃 但是如果当其他VLAN内产生大量广播时 上联联路也是会受到严重影响 44 第六章网络安全优化设计 接入层设备安全优化设计VLAN修剪 VLAN10203040 VLAN10 VLAN20 VLAN30 trunk trunk trunk VLAN10内的广播流量 只容许VLAN30通过 SW1 只容许VLAN30通过 45 第六章网络安全优化设计 接入层设备安全优化设计VLAN修剪防范下联环路防范非法DHCP服务器防范DHCP环境下使用静态IP地址保证静态IP环境下地址唯一性防范ARP欺骗 46 第六章网络安全优化设计 接入层设备安全优化设计防范下联环路 汇聚交换机 接入交换机 汇聚交换机 接入交换机 HUB 汇聚交换机 接入交换机 HUB 47 第六章网络安全优化设计 接入层设备安全优化设计防范下联环路采用生成树解决环路问题 BPDU BPDU BPDU 如何解决单端口下的环路呢 fa0 24 fa0 24 fa0 24 48 第六章网络安全优化设计 接入层设备安全优化设计防范下联环路采用生成树解决环路问题 BPDU fa0 24 fa0 24 fa0 24 可能存在的问题 默认开启生成树的非网管交换机 BPDU 下联端口开启BPDUGuard 49 第六章网络安全优化设计 接入层设备安全优化设计防范下联环路采用生成树解决环路问题 接入交换机2 汇聚交换机 接入交换机N 接入交换机1 接入交换机下联端口开启spanningportfast以及spanning treebpduguard功能 接入交换机上联端口开启spanning treebpdufilter功能 50 第六章网络安全优化设计 接入层设备安全优化设计防范下联环路采用RLDP解决环路问题 RLDP RLDP RLDP fa0 24 fa0 24 fa0 24 51 第六章网络安全优化设计 接入层设备安全优化设计VLAN修剪防范下联环路防范非法DHCP服务器防范DHCP环境下使用静态IP地址保证静态IP环境下地址唯一性防范ARP欺骗 52 第六章网络安全优化设计 接入层设备安全优化设计防范非法DHCP服务器 校园网 DHCP服务器 汇聚交换机 接入交换机 PC 非法DHCP服务器 DHCPDiscover DHCPDiscover 非法DHCPOffer 合法DHCPOffer DHCPRequest DHCPAck 用户从非法DHCP处获得了不正确的IP地址 导致无法正常访问网络 53 第六章网络安全优化设计 接入层设备安全优化设计防范非法DHCP服务器 校园网 DHCP服务器 汇聚交换机 接入交换机 PC 非法DHCP服务器 DHCPSnoopingTrust接口 DHCPSnoopingUntrust接口 DHCPOffer ACK 54 第六章网络安全优化设计 接入层设备安全优化设计VLAN修剪防范下联环路防范非法DHCP服务器防范DHCP环境下使用静态IP地址保证静态IP环境下地址唯一性防范ARP欺骗 55 第六章网络安全优化设计 接入层设备安全优化设计防范DHCP环境下使用静态IP地址 校园网 DHCP服务器 汇聚交换机 接入交换机 PC 通过DHCP动态获取的IP地址 10 1 100 1 24 手工配置静态IP地址 10 1 100 1 24 引起IP地址冲突 影响其他用户的正常使用 56 第六章网络安全优化设计 接入层设备安全优化设计防范DHCP环境下使用静态IP地址 校园网 DHCP服务器 汇聚交换机 接入交换机 PC 通过DHCP动态获取的IP地址 10 1 100 1 24 手工配置静态IP地址 10 1 100 1 24 通过手工配置的IP地址将无法访问网络 部署DHCPSnooping IPSourceGuard 57 第六章网络安全优化设计 接入层设备安全优化设计VLAN修剪防范下联环路防范非法DHCP服务器防范DHCP环境下使用静态IP地址保证静态IP环境下地址唯一性防范ARP欺骗 58 第六章网络安全优化设计 接入层设备安全优化设计保证静态IP环境下地址唯一性防止用户私自篡改分配的IP地址端口安全DHCPSnooping静态绑定结合SAM 59 第六章网络安全优化设计 接入层设备安全优化设计VLAN修剪防范下联环路防范非法DHCP服务器防范DHCP环境下使用静态IP地址保证静态IP环境下地址唯一性防范ARP欺骗 60 第六章网络安全优化设计 接入层设备安全优化设计防范ARP欺骗ARPCheck供检查的地址表项的产生方法通过端口安全方式获取地址表项通过DHCPSnooping方式获得地址表项通过802 1X认证的IP授权模式获取地址表项GSN立体ARP防御 61 第六章网络安全优化设计 汇聚层设备安全优化设计VLAN修剪防病毒ACLOSPF被动接口OSPF特殊区域OSPF区域路由汇总 62 第六章网络安全优化设计 汇聚层设备安全优化设计OSPF被动接口 OSPF 核心交换机 汇聚交换机 接入交换机 汇聚交换机上所有的三层接口都Network进相应的Area OSPFHello OSPFHello OSPFHello 63 第六章网络安全优化设计 汇聚层设备安全优化设计OSPF被动接口 OSPF 核心交换机 汇聚交换机 接入交换机 汇聚交换机上所有的三层接口都Network进相应的Area passiveinterfacedefualt