单核心校园网网络模型规划与设计规范PPT演示课件

1,单核心校园网网络模型规划与设计规范,技术培训中心,2,学习目标,掌握单核心校园网网络模型的结构特点掌握单核心校园网网络模型规划与设计规范,3,课程内容,第一章单核心网络常见拓扑结构第二章基本配置规范第三章IP地址及VLAN规划第四章路由协议规划第五章出口策略设计第六章网络安全优化设计,3,4,第一章单核心网络常见拓扑结构,5,第一章单核心网络常见拓扑结构,6,第一章单核心网络常见拓扑结构,什么样的校园网会采用单核心网络结构呢?规模小信息点少对于网络冗余备份要求不高,中小学网络最为常见,7,课程内容,第一章单核心网络常见拓扑结构第二章基本配置规范第三章IP地址及VLAN规划第四章路由协议规划第五章出口策略设计第六章网络安全优化设计,7,8,第二章基本配置规范,基本配置：主机命名如果客户有规范或明确合理要求，则按照客户的规范或要求进行配置。如金融行业规范。如果客户没有规范或明确合理要求，可参考设备位置、网络位置、设备型号、设备编号等因素，在项目中制定统一的命名规范，如下所示：,9,第二章基本配置规范,基本配置包括：主机命名设备互联接口描述项目中所有涉及到可网管设备互联的端口必须配置端口描述,10,第二章基本配置规范,基本配置包括：主机命名设备互联接口描述登陆密码配置项目中所有可网管设备必须配置特权密码及远程登陆密码,11,第二章基本配置规范,基本配置包括：主机命名设备互联接口描述登陆密码配置系统时间配置项目中所有可网管设备必须重新设置正确的系统时间手工设置设置时间服务器,12,第二章基本配置规范,基本配置包括：主机命名设备互联接口描述登陆密码配置系统时间配置二层交换机管理IP配置项目中可网管二交换机必须配置管理IP地址，供管理员远程管理设备所用,13,第二章基本配置规范,基本配置包括：主机命名设备互联接口描述登陆密码配置系统时间配置二层交换机管理IP配置,提升网络的可管理程度,14,课程内容,第一章单核心网络常见拓扑结构第二章基本配置规范第三章IP地址及VLAN规划第四章路由协议规划第五章出口策略设计第六章网络安全优化设计,14,15,第三章IP地址及VLAN规划,校园网IP地址分类：按照不同功能用途：用户IP地址设备管理地址二层设备与三层设备三层设备互联地址,校园网VLAN分类：同IP地址相对应：用户VLAN设备管理VLAN二层设备三层设备互联VLAN可选,16,第三章IP地址及VLAN规划,单核心二层网络结构IP地址及VLAN划分,17,第三章IP地址及VLAN规划,单核心二层网络结构IP地址及VLAN划分,18,第三章IP地址及VLAN规划,单核心三层网络结构IP地址及VLAN划分,19,第三章IP地址及VLAN规划,单核心三层网络结构IP地址及VLAN划分,20,第三章IP地址及VLAN规划,需要考虑的因素用户VLAN与设备管理VLAN分开(IP地址),汇聚/核心交换机,接入交换机,VLAN100,10.1.100.0/24,用户IP地址段,VLAN100,interfacevlan100,ipaddress10.1.100.254/24,网关IP地址,接入交换机管理IP地址,interfacevlan100,ipaddress10.1.100.253/24,1.当ARP欺骗发生时,会影响到网络设备的管理,2.网络设计混乱,给网络运维带来一定风险,21,第三章IP地址及VLAN规划,需要考虑的因素用户VLAN与设备管理VLAN分开(IP地址),汇聚/核心交换机,接入交换机,VLAN100,10.1.100.0/24,用户IP地址段,VLAN100,interfacevlan100,ipaddress10.1.100.254/24,网关IP地址,接入交换机管理IP地址,interfacevlan200,ipaddress10.1.200.253/24,VLAN200,接入交换机管理VLAN,VLAN200,接入交换机管理网段网关IP,interfacevlan200,ipaddress10.1.200.254/24,22,第三章IP地址及VLAN规划,需要考虑的因素用户VLAN与设备管理VLAN分开(IP地址)为网络扩容进行可汇总的预留设计,VLAN100,10.1.100.0/24,VLAN101,10.1.101.0/24,VLAN201,10.1.201.0/24,VLAN200,10.1.200.0/24,没有进行预留设计,造成IP地址的不连续,不利于汇总,23,第三章IP地址及VLAN规划,需要考虑的因素用户VLAN与设备管理VLAN分开(IP地址)为网络扩容进行可汇总的预留设计,需要提前为新增的网络进行IP地址及VLAN的设计,包括用户IP地址、设备管理地址以及设备互联地址,VLAN100,10.1.100.0/24,VLAN110,10.1.110.0/24,VLAN101,10.1.101.0/24,VLAN120,10.1.120.0/24,24,第三章IP地址及VLAN规划,需要考虑的因素用户VLAN与设备管理VLAN分开(IP地址)为网络扩容进行可汇总的预留设计IP地址与VLAN编号(其他相关因素)有一定的对照性,VLAN100,10.1.100.0/24,用户IP地址段,用户VLAN,1,楼号,25,课程内容,第一章单核心网络常见拓扑结构第二章基本配置规范第三章IP地址及VLAN规划第四章路由协议规划第五章出口策略设计第六章网络安全优化设计,25,26,第四章路由协议规划,单核心二层结构网络路由协议规划,静态默认路由,静态回指汇总路由,27,第四章路由协议规划,单核心三层结构网络静态路由协议规划,静态默认路由,静态回指汇总路由(全网),静态默认路由,静态回指汇总路由(局部),28,第四章路由协议规划,单核心三层结构网络动态路由协议规划一,静态默认路由,静态回指汇总路由(全网),Area0,Area10,Area20,Area30,29,第四章路由协议规划,单核心三层结构网络动态路由协议规划一,30,第四章路由协议规划,单核心三层结构网络路由协议规划二,静态默认路由,静态回指汇总路由(全网),Area0,Area10,Area20,Area30,31,第四章路由协议规划,单核心三层结构网络路由协议规划二,32,课程内容,第一章单核心网络常见拓扑结构第二章基本配置规范第三章IP地址及VLAN规划第四章路由协议规划第五章出口策略设计第六章网络安全优化设计,32,33,第五章出口策略设计,出口区域类型（按照设备、线路数量）：单出口设备单线路单出口设备双（多）线路双出口设备双（多）线路,34,第五章出口策略设计,单出口设备单线路,核心层设备,出口设备,内部校园网,静态默认路由,静态回指汇总路由（全网）,默认路由,源地址转换为公网地址,35,第五章出口策略设计,单出口设备双（多）线路,核心层设备,出口设备,内部校园网,静态默认路由,静态回指汇总路由（全网）,教育网明细路由,默认路由,源地址转换为教育网地址,源地址转换为公网地址,36,第五章出口策略设计,单出口设备双（多）线路,核心层设备,出口设备,内部校园网,对外发布的教育网服务器,internet用户公网IP地址,返回的数据包匹配了默认路由，源IP地址转换为公网IP地址,37,第五章出口策略设计,单出口设备双（多）线路,核心层设备,出口设备,内部校园网,对外发布的教育网服务器,internet用户公网IP地址,应用基于源地址的策略路由,强制源地址为服务器私有IP地址的数据包在进行转发时,下一跳为教育网接口下一跳,38,第五章出口策略设计,单出口设备双（多）线路,核心层设备,出口设备,内部校园网,默认路由,静态回指汇总路由,电信,联通,多于两个出口线路如何规划,39,第五章出口策略设计,双出口设备双（多）线路,核心层设备,出口设备,默认路由,教育网明细路由,静态回指汇总路由,静态回指汇总路由,默认路由,默认路由,源地址转换为教育网地址,源地址转换为公网地址,40,课程内容,第一章单核心网络常见拓扑结构第二章基本配置规范第三章IP地址及VLAN规划第死章路由协议规划第五章出口策略设计第六章网络安全优化设计,40,41,第六章网络安全优化设计,什么是安全优化设计？安全设计：使网络更稳定运行优化设计：使网络更合理运行根据园区网的层次进行分类：接入层设备安全优化设计汇聚层设备安全优化设计核心层设备安全优化设计出口区域设备安全优化设计,42,第六章网络安全优化设计,接入层设备安全优化设计VLAN修剪防范下联环路防范非法DHCP服务器防范DHCP环境下使用静态IP地址保证静态IP环境下地址唯一性防范ARP欺骗,43,第六章网络安全优化设计,接入层设备安全优化设计VLAN修剪,VLAN10203040,VLAN10,VLAN20,VLAN30,trunk,trunk,trunk,VLAN10内的广播流量,该交换机收到tag标记为10的数据帧,发现本地没有VLAN10,于是丢弃,SW1,虽然广播流量被丢弃，但是如果当其他VLAN内产生大量广播时，上联联路也是会受到严重影响。,44,第六章网络安全优化设计,接入层设备安全优化设计VLAN修剪,VLAN10203040,VLAN10,VLAN20,VLAN30,trunk,trunk,trunk,VLAN10内的广播流量,只容许VLAN30通过,SW1,只容许VLAN30通过,45,第六章网络安全优化设计,接入层设备安全优化设计VLAN修剪防范下联环路防范非法DHCP服务器防范DHCP环境下使用静态IP地址保证静态IP环境下地址唯一性防范ARP欺骗,46,第六章网络安全优化设计,接入层设备安全优化设计防范下联环路,汇聚交换机,接入交换机,汇聚交换机,接入交换机,HUB,汇聚交换机,接入交换机,HUB,47,第六章网络安全优化设计,接入层设备安全优化设计防范下联环路采用生成树解决环路问题,BPDU,BPDU,BPDU,如何解决单端口下的环路呢?,fa0/24,fa0/24,fa0/24,48,第六章网络安全优化设计,接入层设备安全优化设计防范下联环路采用生成树解决环路问题,BPDU,fa0/24,fa0/24,fa0/24,可能存在的问题?,默认开启生成树的非网管交换机,BPDU,下联端口开启BPDUGuard,49,第六章网络安全优化设计,接入层设备安全优化设计防范下联环路采用生成树解决环路问题,接入交换机2,汇聚交换机,接入交换机N,接入交换机1,接入交换机下联端口开启spanningportfast以及spanning-treebpduguard功能,接入交换机上联端口开启spanning-treebpdufilter功能,50,第六章网络安全优化设计,接入层设备安全优化设计防范下联环路采用RLDP解决环路问题,RLDP,RLDP,RLDP,fa0/24,fa0/24,fa0/24,51,第六章网络安全优化设计,接入层设备安全优化设计VLAN修剪防范下联环路防范非法DHCP服务器防范DHCP环境下使用静态IP地址保证静态IP环境下地址唯一性防范ARP欺骗,52,第六章网络安全优化设计,接入层设备安全优化设计防范非法DHCP服务器,校园网,DHCP服务器,汇聚交换机,接入交换机,PC,非法DHCP服务器,DHCPDiscover,DHCPDiscover,非法DHCPOffer,合法DHCPOffer,DHCPRequest,DHCPAck,用户从非法DHCP处获得了不正确的IP地址,导致无法正常访问网络,53,第六章网络安全优化设计,接入层设备安全优化设计防范非法DHCP服务器,校园网,DHCP服务器,汇聚交换机,接入交换机,PC,非法DHCP服务器,DHCPSnoopingTrust接口,DHCPSnoopingUntrust接口,DHCPOffer/ACK,54,第六章网络安全优化设计,接入层设备安全优化设计VLAN修剪防范下联环路防范非法DHCP服务器防范DHCP环境下使用静态IP地址保证静态IP环境下地址唯一性防范ARP欺骗,55,第六章网络安全优化设计,接入层设备安全优化设计防范DHCP环境下使用静态IP地址,校园网,DHCP服务器,汇聚交换机,接入交换机,PC,通过DHCP动态获取的IP地址,10.1.100.1/24,手工配置静态IP地址,10.1.100.1/24,引起IP地址冲突,影响其他用户的正常使用,56,第六章网络安全优化设计,接入层设备安全优化设计防范DHCP环境下使用静态IP地址,校园网,DHCP服务器,汇聚交换机,接入交换机,PC,通过DHCP动态获取的IP地址,10.1.100.1/24,手工配置静态IP地址,10.1.100.1/24,通过手工配置的IP地址将无法访问网络,部署DHCPSnooping+IPSourceGuard,57,第六章网络安全优化设计,接入层设备安全优化设计VLAN修剪防范下联环路防范非法DHCP服务器防范DHCP环境下使用静态IP地址保证静态IP环境下地址唯一性防范ARP欺骗,58,第六章网络安全优化设计,接入层设备安全优化设计保证静态IP环境下地址唯一性防止用户私自篡改分配的IP地址端口安全DHCPSnooping静态绑定结合SAM,59,第六章网络安全优化设计,接入层设备安全优化设计VLAN修剪防范下联环路防范非法DHCP服务器防范DHCP环境下使用静态IP地址保证静态IP环境下地址唯一性防范ARP欺骗,60,第六章网络安全优化设计,接入层设备安全优化设计防范ARP欺骗ARPCheck供检查的地址表项的产生方法通过端口安全方式获取地址表项通过DHCPSnooping方式获得地址表项通过802.1X认证的IP授权模式获取地址表项GSN立体ARP防御,61,第六章网络安全优化设计,汇聚层设备安全优化设计VLAN修剪防病毒ACLOSPF被动接口OSPF特殊区域OSPF区域路由汇总,62,第六章网络安全优化设计,汇聚层设备安全优化设计OSPF被动接口,OSPF,核心交换机,汇聚交换机,接入交换机,汇聚交换机上所有的三层接口都Network进相应的Area,OSPFHello,OSPFHello,OSPFHello,63,第六章网络安全优化设计,汇聚层设备安全优化设计OSPF被动接口,OSPF,核心交换机,汇聚交换机,接入交换机,汇聚交换机上所有的三层接口都Network进相应的Area,passiveinterfacedefualt,