大型网络WLAN设计方案概要PPT课件

.,1,方案设计,.,2,Benet公司企业需求概述3-1,BENET公司一家新型的IT企业有近300台计算机公司业务对网络依赖性强总部位于北京，分别在广州、上海设有分公司总部设有财务、技术（研发）、生产和销售四个部门分公司有销售、生产和财务三个部门,.,3,BENET公司管理结构,Benet公司,财务部,技术部,生产部,销售部,上海分公司,广州分公司,财务部,生产部,销售部,财务部,生产部,销售部,Benet公司企业需求概述3-2,.,4,本章结构,企业需求分析,项目总体规划,子网划分和IP地址规划,IP地址规划,Vlan划分,子网划分,总体设计,设备命名和连接规范,网络交换部分设计,VTP设计,STP设计,通道和Vlan间路由,分公司网络部分,.,5,网络总体规划,对于Benet公司的网络改建需求，应当如何规划网络建设方案？子网如何划分？路由部分如何设计？交换部分如何设计？广域网部分如何实现？安全可靠性部分如何实现？,.,6,Benet公司网络拓扑图3-1,广州分公司,Benet公司北京总公司,上海分公司,Internet,.,7,Benet公司网络,北京，广州和上海3部分网络组成一个统一的企业内联网，使用总公司单一出口访问因特网，公司的服务器等全部在北京总公司实现3部分通过路由器互联，使用OSPF，总公司在Area0，广州分公司在Area1，上海分公司在Area2统一使用单一因特网出口，即为北京总公司出口，使用1条10M的以太网宽带接入链路出口部署1台防火墙以保障内网安全,.,8,Benet公司网络,北京总公司的LAN部分为了保证网络的健壮性和可靠性，采用全冗余结构两台核心交换机采用三层交换机，实现Vlan之间的路由，同时使用HSRP进行备份北京总公司的LAN部分启用VTP和STP北京总公司的LAN中单独划出一个Vlan作为服务器的区块，放置系统中所有的服务器广州和上海分公司的LAN部分没有复杂应用，此次不作改建,.,9,设备清单与设备命名规范2-1,项目中都使用了哪些设备，数量有多少？这些设备在网络调试的时候是否需要命名，为什么？如果需要命名，应当如何为设备命名？,.,10,设备清单与设备命名规范2-2,代表二层交换机,代表三层交换机,代表路由器,.,11,设备连接规范2-2,.,12,子网、Vlan和IP地址规划2-1,项目中是否需要划分子网，为什么？如果需要划分子网，应该如何划分？项目中划分Vlan的作用是什么？Benet公司的Vlan应当如何划分？Benet公司应该使用哪一类的IP地址，如何规划？,.,13,子网、Vlan和IP地址规划2-2,Benet公司采取Vlan和子网对应的划分方式路由端口使用/24内的IP地址,Vlan命名按如下规则：城市缩写-部门缩写/功能缩写,分公司的详细Vlan划分不是本次设计内容，Vlan命名为：城市缩写-all,.,14,网络交换部分总体设计,Benet公司北京总公司网络交换部分需要使用如下技术：VTPSTP以太网通道Vlan间路由每种技术所要达到的目的是什么，如何实现？具体应当规划设计？,.,15,网络交换部分总体设计,北京总公司LAN部分,Vlan25,Vlan127Serverblock,EthernetChannel,VTPSTP,HSRP,.,16,STP设计,Vlan5,Vlan127,Vlan2,Vlan3,Vlan4,BJ-S-1,BJ-S-2,BJ-S-3,BJ-S-4,BJ-S-5,BJ-S-6,BJ-S-7,BJ-RS-1Vlan2,5,127Root,BJ-RS-2Vlan1,3,4Root,使用PVST，为不同的Vlan指定不同的根网桥,转发,阻塞,.,17,以太网通道和Vlan间路由设计,两台核心交换机之间使用以太网通道技术Vlan间的路由通过三层交换机实现,为什么需要应用这些技术？使用三层交换的优点在哪里？,.,18,分公司网络部分,分公司使用的IP地址发生了变化广州分公司将使用/24的IP地址，网关为上海分公司将使用/24的IP地址，网关为分公司交换机内Vlan的配置发生了变化分公司交换机的管理IP地址发生了变化分公司增加了路由器，需要按照本方案内路由部分的规划进行调试，以便和总公司连通,.,19,企业需求分析,项目总体规划,子网划分和IP地址规划,IP地址规划,Vlan划分,子网划分,总体设计,设备命名和连接规范,网络交换部分设计,VTP设计,STP设计,通道和Vlan间路由,分公司网络部分,本章总结,Benet公司规划实现一个全冗余的可靠网络,在网络的交换部分，需要考虑VTP、STP、以太网通道和Vlan间路由如何实现,网络的整体规划需要考虑设备如何命名、子网如何划分、Vlan如何划分和IP地址如何规划等,统一的设备命名和连接规范对于提高网络的可管理可维护性非常重要,.,20,内容回顾,Benet公司的网络总体规划北京总公司单一因特网出口路由采用OSPF协议交换网络全冗余子网划分、Vlan划分、IP地址规划交换部分设计VTP、STP、以太网通道Vlan间路由,.,21,本章结构,企业需求分析,路由部分设计,网络安全性设计,OSPFDR设计,路由器ID规划,OSPF区域规划,安全建设原则,一般安全策略,广域网部分设计,网络可靠性设计,ACL设计,HSRP设计,项目实践实验组织,.,22,路由部分设计3-1,Benet公司内联网之间通过3台路由器互相连通使用路由协议为OSPFOSPF应该如何规划？OSPF区域路由器的ID指定路由器,.,23,路由部分设计3-2,Area0,Area2Totallystub,广州分公司,Benet公司北京总公司,上海分公司,Area1Totallystub,北京总公司在Area0,分公司在非骨干区域，按成立时间排序,.,24,路由部分设计3-3,分公司区域为完全末梢区域路由器ID采用特殊的IP地址北京总公司内由路由器ID影响DR、BDR选举,.,25,广域网部分设计2-1,Benet公司仅在北京总公司有因特网出口申请一条以太网方式的宽带接入链路出口部署防火墙申请1段公网IP地址NAT由防火墙实现,.,26,广域网部分设计2-2,Area0,Area2Totallystub,Area1Totallystub,使用命令在ospf区域内发布一条缺省路由,学习到ASBR通告的缺省路由,Totallystub区域会自动产生到ABR的缺省路由,到达因特网的缺省路由,Internet,.,27,网络的进一步优化,网络设计到现在，Benet公司已经全部实现互联互通，与因特网也能够连通那么，设计是否到这里就结束？还需要考虑哪部分的内容？安全性可靠性应该如何实现？,.,28,网络安全性设计,已经学习过的网络安全技术有哪些？如何应用在Benet公司网络项目中？网络中已经规划了防火墙和入侵检测系统，我们还能做什么？首先，考虑网络的安全设计总体规划其次，网络中的一般安全策略最后针对项目中的具体情况，对如何保证网络安全性进行设计,.,29,网络安全建设管理原则,网络建设方案机房管理制度各类人员职责分工部门和人员职责安全保密规定安全策略文档口令管理制度,系统操作规程应急响应方案用户授权管理安全防护记录定期对系统运行、用户操作等进行安全评估其它制度,.,30,网络一般安全策略,保护设备的物理安全保护设备的密码控制Telnet访问禁止CDP关闭HTTP服务,.,31,ACL设计,北京总公司部分通过ISA服务器访问因特网对外屏蔽Telnet对外屏蔽简单网管协议SNMP防止DoS攻击分公司部分不允许访问总公司的用户主机和其他分公司允许访问总公司服务器允许访问因特网,防火墙上已经做了更详细的控制，防火墙正常时等于没有,.,32,网络可靠性设计,网络项目的可靠性包含哪几方面内容？都需要使用到哪些技术？在前面的设计中都涉及到了哪些？冗余链路STP路由协议HSRP尚未规划,.,33,HSRP设计,HSRP在两台核心交换机上实现按Vlan划分HSRP组两台核心交换机分别在不同的HSRP组内承担活跃路由器角色活跃路由器的选择和STP中根网桥的选择保持一致配置优先级和占先权,.,34,故障切换示意3-1,正常情况,.,35,故障切换示意3-2,一台核心交换机故障,.,36,故障切换示意3-3,一台出口路由器故障,.,37,学员实验拓扑图,area0,area2Totallystub,area1Totallystub,Vlan25,Vlan127,组1完成,组2完成,PPP,PPP,模拟防火墙,.,38,实验组织,全班分为2个实验小组，每组完成一半实施任务实验为12学时，分为3个阶段，每阶段完成不同任务第一阶段：4学时，完成交换部分的配置（北京总公司）第二阶段：4学时，完成HSRP、路由和广域网部分的配置，3个公司可以实现互连互通，并都可以访问防火墙第三阶段：4学时，完成ACL的配置，实现安全控制，2组的实验网络合并对实验结果进行验证,.,39,实验阶段任务,.,40,实验验证方法2-1,第一阶段：局域网内vlan之间可以互通交换机能够通过VTP学习vlan的配置STP切换正常以太网通道工作正常各种show的结果输出正确第二阶段：HSRP切换正常OSPF的路由表正确DR选举正常PPP协议工作正常全部末梢网络可以互通可以访问到防火墙各种show的结果输出正确,.,41,实验验证方法2-2,第三阶段：出口路由器ACL工作正常，对外网到内网的访问控制符合设计要求分公司路由器ACL工作正常，对总公司网络的访问控制符合设计要求2组网络合并后，网络的每个部分都工作正常各种