公共技术18单核心网络模型

1、单核心校园网建设规范与思路单核心校园网建设规范与思路学习目标掌握单核心结构校园网络结构特点掌握单核心结构校园网建设规范及思路课程内容第一章第一章 单核心网络常见拓扑结构单核心网络常见拓扑结构第二章第二章 基本配置规范基本配置规范第三章第三章 IP地址及地址及VLAN规划规划第四章第四章 路由协议规划路由协议规划第五章第五章 出口策略设计出口策略设计第六章第六章 网络安全优化设计网络安全优化设计第一章 单核心网络常见拓扑结构 第一章 单核心网络常见拓扑结构 第一章 单核心网络常见拓扑结构 什么样的校园网会采用单核心网络结构呢? 规模小 信息点少 对于网络冗余备份要求不高中小学网络最为常见中小学网

2、络最为常见课程内容第一章 单核心网络常见拓扑结构第二章 基本配置规范第三章 IP地址及VLAN规划第四章 路由协议规划第五章 出口策略设计第六章 网络安全优化设计第二章 基本配置规范 基本配置： 主机命名 如果客户有规范或明确合理要求，则按照客户的规范或规范进行配置。如金融行业规范。 如果客户没有规范或明确合理要求，可参考设备位置、网络位置、设备型号、设备编号等因素，在项目中制定统一的命名规范，如下所示：第二章 基本配置规范 基本配置包括： 主机命名 设备互联接口描述 项目中所有涉及到可网管设备互联的端口必须配置端口描述 第二章 基本配置规范 基本配置包括： 主机命名 设备互联接口描述 登陆密

3、码配置 项目中所有可网管设备必须配置特权密码及远程登陆密码 第二章 基本配置规范 基本配置包括： 主机命名 设备互联接口描述 登陆密码配置 系统时间配置 项目中所有可网管设备必须重新设置正确的系统时间 手工设置 设置时间服务器第二章 基本配置规范 基本配置包括： 主机命名 设备互联接口描述 登陆密码配置 系统时间配置 二层交换机管理IP配置 项目中可网管二交换机必须配置管理IP地址，供管理员远程管理设备所用 第二章 基本配置规范 基本配置包括： 主机命名 设备互联接口描述 登陆密码配置 系统时间配置 二层交换机管理IP配置提升网络的可管理程度提升网络的可管理程度课程内容第一章 单核心网络常见拓

4、扑结构第二章 基本配置规范第三章 IP地址及VLAN规划第四章 路由协议规划第五章 出口策略设计第六章 网络安全优化设计第三章 IP地址及VLAN规划 校园网IP地址分类： 按照不同功能用途： 用户IP地址 设备管理地址 二层设备与三层设备 三层设备互联地址l校园网VLAN分类：l同IP地址相对应：l用户VLANl设备管理VLANl二层设备l三层设备互联VLANl可选第三章 IP地址及VLAN规划 单核心二层网络结构IP地址及VLAN划分 用户用户IPIP地址地址 设备管理设备管理IPIP地址地址 设备互联设备互联IPIP地址地址第三章 IP地址及VLAN规划 单核心二层网络结构IP地址及VL

5、AN划分 用户用户VLANVLAN 设备管理设备管理vlanvlan 设备互联设备互联VLANVLAN 设备管理设备管理vlanvlan 用户用户VLANVLAN第三章 IP地址及VLAN规划 单核心三层网络结构IP地址及VLAN划分 用户用户IPIP地址地址 设备管理设备管理IPIP地址地址 设备互联设备互联IPIP地址地址 设备管理设备管理IPIP地址地址 设备管理设备管理IPIP地址地址第三章 IP地址及VLAN规划 单核心三层网络结构IP地址及VLAN划分 用户用户VLANVLAN 设备管理设备管理vlanvlan 设备互联设备互联VLANVLAN 用户用户VLANVLAN 设备管理设

6、备管理第三章 IP地址及VLAN规划 需要考虑的因素 用户VLAN与设备管理VLAN分开(IP地址)汇聚汇聚/ /核心交换机核心交换机接入交换机接入交换机VLAN 100VLAN 10010.1.100.0/2410.1.100.0/24用户用户IPIP地址段地址段VLAN 100VLAN 100interface vlan 100interface vlan 100ip address 10.1.100.254/24ip address 10.1.100.254/24网关网关IPIP地址地址接入交换机管理接入交换机管理IPIP地址地址interface vlan 100interface v

7、lan 100ip address 10.1.100.253/24ip address 10.1.100.253/241.1.当当ARPARP欺骗发生时欺骗发生时, ,会影响到网络设备的管理会影响到网络设备的管理2.2.网络设计混乱网络设计混乱, ,给网络运维带来一定风险给网络运维带来一定风险第三章 IP地址及VLAN规划 需要考虑的因素 用户VLAN与设备管理VLAN分开(IP地址)汇聚汇聚/ /核心交换机核心交换机接入交换机接入交换机VLAN 100VLAN 10010.1.100.0/2410.1.100.0/24用户用户IPIP地址段地址段VLAN 100VLAN 100interfa

8、ce vlan 100interface vlan 100ip address 10.1.100.254/24ip address 10.1.100.254/24网关网关IPIP地址地址接入交换机管理接入交换机管理IPIP地址地址interface vlan 200interface vlan 200ip address 10.1.200.253/24ip address 10.1.200.253/24VLAN 200VLAN 200接入交换机管理接入交换机管理VLANVLANVLAN 200VLAN 200接入交换机管理网段网关接入交换机管理网段网关IPIPinterface vlan 20

9、0interface vlan 200ip address 10.1.200.254/24ip address 10.1.200.254/第三章 IP地址及VLAN规划 需要考虑的因素 用户VLAN与设备管理VLAN分开(IP地址) 为网络扩容进行可汇总的预留设计VLAN 100VLAN 10010.1.100.0/2410.1.100.0/24VLAN 101VLAN 10110.1.101.0/2410.1.101.0/24VLAN 201VLAN 20110.1.201.0/2410.1.201.0/24VLAN 200VLAN 20010.1.200.0/2410.1.200.0/24

10、没有进行预留设计没有进行预留设计, ,造成造成IPIP地址的不连续地址的不连续, ,不利于汇总不利于汇总第三章 IP地址及VLAN规划 需要考虑的因素 用户VLAN与设备管理VLAN分开(IP地址) 为网络扩容进行可汇总的预留设计需要提前为新增的网络进行需要提前为新增的网络进行IPIP地址及地址及VLANVLAN的设计的设计, ,包包括用户括用户IPIP地址、设备管理地址以及设备互联地址地址、设备管理地址以及设备互联地址VLAN 100VLAN 10010.1.100.0/2410.1.100.0/24VLAN 110VLAN 11010.1.110.0/2410.1.110.0/24VLAN

11、 101VLAN 10110.1.101.0/2410.1.101.0/24VLAN 120VLAN 12010.1.120.0/2410.1.120.0/第三章 IP地址及VLAN规划 需要考虑的因素 用户VLAN与设备管理VLAN分开(IP地址) 为网络扩容进行可汇总的预留设计 IP地址与VLAN编号(其他相关因素)有一定的对照性VLAN 100VLAN 10010.1.100.0/2410.1.100.0/24用户用户IPIP地址段地址段用户用户VLANVLAN1 1楼号楼号第三章 IP地址及VLAN规划 需要考虑的因素 用户VLAN与设备管理VLAN分开(IP地址) 为网络扩容进行可汇

12、总的预留设计 IP地址与VLAN编号(其他相关因素)有一定的对照性VLAN 100VLAN 10010.1.100.0/2410.1.100.0/24用户用户IPIP地址段地址段用户用户VLANVLAN1 1楼号楼号课程内容第一章 单核心网络常见拓扑结构第二章 基本配置规范第三章 IP地址及VLAN规划第四章 路由协议规划第五章 出口策略设计第六章 网络安全优化设计第四章 路由协议规划 单核心二层结构网络路由协议规划静态默认路由静态默认路由静态回指汇总路由静态回指汇总路由第四章 路由协议规划 单核心三层结构网络静态路由协议规划静态默认路由静态默认路由静态回指汇总路由静态回指汇总路由( (全网全

13、网) )静态默认路由静态默认路由静态回指汇总路由静态回指汇总路由( (局部局部) )第四章 路由协议规划 单核心三层结构网络动态路由协议规划一静态默认路由静态默认路由静态回指汇总路由静态回指汇总路由( (全网全网) )Area 0Area 0Area 10Area 10Area 20Area 20Area 30Area 第四章 路由协议规划 单核心三层结构网络动态路由协议规划一第四章 路由协议规划 单核心三层结构网络路由协议规划二静态默认路由静态默认路由静态回指汇总路由静态回指汇总路由( (全网全网) )Area 0Area 0Area 10Area 10Area 20Area 20Area

14、30Area 第四章 路由协议规划 单核心三层结构网络路由协议规划二课程内容第一章 单核心网络常见拓扑结构第二章 基本配置规范第三章 IP地址及VLAN规划第四章 路由协议规划第五章 出口策略设计第六章 网络安全优化设计第五章 出口策略设计 出口区域类型（按照设备、线路数量）： 单出口设备单线路 单出口设备双（多）线路 双出口设备双（多）线路第五章 出口策略设计 单出口设备单线路核心层设备核心层设备出口设备出口设备内部校园网内部校园网静态默认路由静态默认路由静态回指汇总路由（全网）静态回指汇总路由（全网）默认路由默认路由源地址转换为公网地址源地址转换为公网地址第五章 出口策略设计 单出口设备双

15、（多）线路核心层设备核心层设备出口设备出口设备内部校园网内部校园网静态默认路由静态默认路由静态回指汇总路由（全网）静态回指汇总路由（全网）教育网明细路由教育网明细路由默认路由默认路由源地址转换为教育网地址源地址转换为教育网地址源地址转换为公网地址源地址转换为公网地址第五章 出口策略设计 单出口设备双（多）线路核心层设备核心层设备出口设备出口设备内部校园网内部校园网对外发布的教育网服务器对外发布的教育网服务器internet用户用户公网公网IP地址地址返回的数据包匹配了默认路由，返回的数据包匹配了默认路由，源源IP地址转换为公网地址转换为公网IP地址地址源源IP：公网：公网IP目的目的IP：教育

16、网：教育网IP源源IP：公网：公网IP目的目的IP：公网：公网IPTCP会话中断会话中断第五章 出口策略设计 单出口设备双（多）线路核心层设备核心层设备出口设备出口设备内部校园网内部校园网对外发布的教育网服务器对外发布的教育网服务器internet用户用户公网公网IP地址地址应用基于源地址的策略路由应用基于源地址的策略路由,强制源地址强制源地址为服务器私有为服务器私有IP地址的数据包在进行转地址的数据包在进行转发时发时,下一跳为教育网接口下一跳下一跳为教育网接口下一跳源源IP：公网：公网IP目的目的IP：教育网：教育网IP源源IP：教育网：教育网IP目的目的IP：公网：公网IP第五章 出口策略

17、设计 单出口设备双（多）线路核心层设备核心层设备出口设备出口设备内部校园网内部校园网默认路由默认路由静态回指汇总路由静态回指汇总路由电信电信联通联通多于两个出口线路如何规划多于两个出口线路如何规划第五章 出口策略设计 双出口设备双（多）线路核心层设备核心层设备出口设备出口设备默认路由默认路由教育网明细路由教育网明细路由静态回指汇总路由静态回指汇总路由静态回指汇总路由静态回指汇总路由默认路由默认路由默认路由默认路由源地址转换为教育网地址源地址转换为教育网地址源地址转换为公网地址源地址转换为公网地址课程内容第一章 单核心网络常见拓扑结构第二章 基本配置规范第三章 IP地址及VLAN规划第死章 路由

18、协议规划第五章 出口策略设计第六章 网络安全优化设计第六章 网络安全优化设计 什么是安全优化设计？ 安全设计：使网络更稳定运行 优化设计：使网络更合理运行 根据园区网的层次进行分类： 接入层设备安全优化设计 汇聚层设备安全优化设计 核心层设备安全优化设计 出口区域设备安全优化设计第六章 网络安全优化设计 接入层设备安全优化设计 VLAN修剪 防范下联环路 防范非法DHCP服务器 防范DHCP环境下使用静态IP地址 保证静态IP环境下地址唯一性 防范ARP欺骗第六章 网络安全优化设计 接入层设备安全优化设计 VLAN修剪VLAN 10 20 30 40VLAN 10VLAN 20VLAN 30t

19、runktrunktrunkVLAN 10内内的广播流量的广播流量该交换机收到该交换机收到tag标记为标记为10的数据帧的数据帧,发现本地没发现本地没有有VLAN10,于是丢弃于是丢弃SW1虽然广播流量被丢弃，但是如果当其他虽然广播流量被丢弃，但是如果当其他VLANVLAN内产生内产生大量广播时，上联联路也是会受到严重影响。大量广播时，上联联路也是会受到严重影响。第六章 网络安全优化设计 接入层设备安全优化设计 VLAN修剪VLAN 10 20 30 40VLAN 10VLAN 20VLAN 30trunktrunktrunkVLAN 10内内的广播流量的广播流量只容许只容许VLAN 30通过

20、通过SW1只容许只容许VLAN 30通过通过第六章 网络安全优化设计 接入层设备安全优化设计 VLAN修剪 防范下联环路 防范非法DHCP服务器 防范DHCP环境下使用静态IP地址 保证静态IP环境下地址唯一性 防范ARP欺骗第六章 网络安全优化设计 接入层设备安全优化设计 防范下联环路汇聚交换机汇聚交换机接入交换机接入交换机汇聚交换机汇聚交换机接入交换机接入交换机HUB汇聚交换机汇聚交换机接入交换机接入交换机HUB第六章 网络安全优化设计 接入层设备安全优化设计 防范下联环路 采用生成树解决环路问题BPDUBPDUBPDU如何解决单端口下的环路呢?fa0/24fa0/24fa0/第六章 网络

21、安全优化设计 接入层设备安全优化设计 防范下联环路 采用生成树解决环路问题BPDUfa0/24fa0/24fa0/24可能存在的问题?默认开启生成树的默认开启生成树的非网管交换机非网管交换机BPDU下联端口开启下联端口开启BPDU GuardBPDU G第六章 网络安全优化设计 接入层设备安全优化设计 防范下联环路 采用生成树解决环路问题接入交换机2汇聚交换机接入交换机N接入交换机1接入交换机下联端口开启spanning portfast 以及spanning-tree bpduguard 功能接入交换机上联端口开启spanning-tree bpdufilter功能第六章 网络安全优化设计

22、接入层设备安全优化设计 防范下联环路 采用RLDP解决环路问题RLDPRLDPRLDPfa0/24fa0/24fa0/第六章 网络安全优化设计 接入层设备安全优化设计 VLAN修剪 防范下联环路 防范非法DHCP服务器 防范DHCP环境下使用静态IP地址 保证静态IP环境下地址唯一性 防范ARP欺骗第六章 网络安全优化设计 接入层设备安全优化设计 防范非法DHCP服务器校园网校园网DHCP服务器服务器汇聚交换机汇聚交换机接入交换机接入交换机PC非法非法DHCP服务器服务器DHCP DiscoverDHCP Discover非法非法DHCP Offer合法合法DHCP OfferDHCP Req

23、uestDHCP Ack用户从非法用户从非法DHCP处获得了不正确的处获得了不正确的IP地址地址,导致无法正常访问网络导致无法正常访问网络第六章 网络安全优化设计 接入层设备安全优化设计 防范非法DHCP服务器校园网校园网DHCP服务器服务器汇聚交换机汇聚交换机接入交换机接入交换机PC非法非法DHCP服务器服务器DHCP Snooping Trust接口接口DHCP Snooping Untrust接口接口DHCP Offer/ACK第六章 网络安全优化设计 接入层设备安全优化设计 VLAN修剪 防范下联环路 防范非法DHCP服务器 防范DHCP环境下使用静态IP地址 保证静态IP环境下地址唯一性 防范ARP欺骗第六章 网络安全优化设计 接入层设备安全优化设计 防范DHCP环境下使用静态IP地址校园网校园网DHCP服务器服务器汇聚交换机汇聚交换机接入交换机接入交换机PC通过通过DHCP动态获取的动态获取的IP地址地址10.1.100.1/24手工配置静态手工配置静态IP地址地址10.1.100.1/24引起引起IP地址冲突地址冲突,影响其他用户的正常使用影响其他用户的正常使用第六章 网络安全优化设计 接入层设备安全优化设计 防范DHCP环境