教育行业经典案例介绍.ppt

1、教育行业典型组网介绍,华三南京办 教育系统部：李良权 电话手机邮箱:liliangquan_shuawei- 地址:南京市汉中路89号金鹰国际商城18楼C2座 华为3Com公司网站网址：http:/www.huawei- 华为3Com专业技术论坛：http:/forum.huawei- 800热线支持：800-810-0504,学习目标,掌握网络实施前方案规划 了解教育行业常见组网结构 掌握校园网采用802.1x终端接入流程 熟练配置校园网接入设备的一般配置 了解华为三康业务软件的功能及特性 掌握业力软件的安装及基本配置,学习完本课程，您应

2、该能够：,提 纲,前言 网络拓朴结构 IP规划 路由划规 核心与汇聚交换机配置 经典教育行业接入网 楼栋层堆叠技术介绍 设备网管介绍 接入层设备802.1X认证介绍 CAMS系统介绍 用户接入配置流程 日志审计系统介绍,教育行业经典组网篇,前 言,随着华为公司数据通讯设备的网络地位不断提高，以及全网解决方案的提供，对技术支持工程师的各方面能力也提出了越来越高的要求。 总体而言，网络维护及规划是一项很复杂的工作，需要我们具备如下技术条件： 精通TCP/IP协议族中数十个协议的原理. 精通N家厂商的N百种设备的性能和配置. 还要具备统筹学、经济学、哲学的基本思想. 丰富的实践经验和组织协调能力.

3、对网络中的新技术保持高度的敏感性. 胆大心细、临危不乱的良好心里素质.,我做到了吗？,但是由于许多网络在组网、设备选型、协议选择等方面具有极强的相似性，所以网络规划虽然复杂，但却是一件有原理指导、有规律可循，甚至有“模板”可以套用的工作。具体表现在： 常用的协议不超过8个，了解大概就行. 主流厂商只有几家，相同厂家的产品配置相同. 很多网络的模型都十分相似，照猫画虎即可. 不就是画几个框框、圈几个圈圈、连几根线吗.,前 言,前言 网络拓朴结构 IP规划 路由划规 核心与汇聚交换机配置 经典教育行业接入网 楼栋层堆叠技术介绍 设备网管介绍 接入层设备802.1X认证介绍 CAMS系统介绍 用户接

4、入配置流程 日志审计系统介绍,教育行业经典组网篇,XXX大学学生宿舍网网络拓扑图,XXX大学校区网络拓扑图,xxx大学骨干网拓扑图,前言 网络拓朴结构 IP规划 路由划规 核心与汇聚交换机配置 经典教育行业接入网 楼栋层堆叠技术介绍 设备网管介绍 接入层设备802.1X认证介绍 CAMS系统介绍 用户接入配置流程 日志审计系统介绍,教育行业经典组网篇,IP地址的合理规划是网络设计中的重要一环，大型网络必须对地址进行统一规划并得到实施。IP地址规划的好坏，影响到网络路由协议算法的效率，影响到网络的性能，影响到网络的扩展，影响到网络的管理，也必将直接影响到网络应用的进一步发展。 如果要看一个网络的

5、规划质量、如果要看一个网络设计师的技术水准，直接看他的IP地址规划好了。,IP地址规划的重要性,IP地址规划,唯一性：一个IP网络中不能有两个主机采用相同的IP地址； 连续性：连续地址在层次结构网络中易于进行路径叠合，大大缩减路由表，提高路由算法的效率 扩展性：地址分配在每一层次上都要留有余量，在网络规模扩展时能保证地址叠合所需的连续性 实意性：“望址生义”，好的IP地址规划使每个地址具有实际含义，看到一个地址就可以大至判断出该地址所属的设备。 节约性：当今IP地址十分宝贵，IP地址规划应尽可能的节省地址。,IP地址规划的基本原则,IP地址规划,管理地址 为了方便管理，会为每一台路由器创建一个

6、loopback 接口，并在该接口上单独指定一个IP 地址作为管理地址，管理员会使用该地址对路由器远程登录（telnet），该地址实际上起到了类似设备名称一类的功能 互联地址 通常配置在网络设备之间互联的接口上。 用户地址 以太网上的各种服务器、主机所使用的地址 VLAN划分 网络中应实际用户组网需求，根据地理址位置，或根据部门性质，或根据业务应用来划分不同的VLAN,IP地址规划,IP地址的分类,合理使用掩码 管理地址分配32位掩码；互联地址分配30位掩码 节省“无用”的互联地址 使用ip unnumber、使用私网地址进行互联 节省“有用”的用户地址 使用NAT技术 补充：IP地址及VLA

7、N的规划，对于我们维护人员来说尤为 重要，如果初期没有任何规划，那么在日后维护中，将是 一件非常痛苦的事，得天天,IP地址规划,IP地址的节省技巧,IP地址规划,IP规划案例,有了这个东西，维护方便多了啊_,前言 网络拓朴结构 IP规划 路由划规 核心与汇聚交换机配置 经典教育行业接入网 楼栋层堆叠技术介绍 设备网管介绍 接入层设备802.1X认证介绍 CAMS系统介绍 用户接入配置流程 日志审计系统介绍,教育行业经典组网篇,路由规划,路由协议规划原则,路由协议规划在网络规划中占据非常重要的定位，合理的规划，可以使网络运行更加稳定、负担减轻、主备倒换更加迅速。路由协议规划包括如下几个部分： 选

8、择适当的路由协议 路由协议自身的规划 控制路由表的规模 如果要看一个网络的规划质量、如果要看一个网络设计师的技术水准，直接看他的路由表好了。,路由规划,选择正确的路由协议,公欲善其事，必先利其器，不能让网络规划输在起跑线上！ RIP最古老的路由协议，特点：性能低下，只适合在小型的网络中使用。（狗肉上不了大席） IGRP在RIP的基础上稍加改进，拥有RIP所有的缺点。 （改良的狗肉，还是上不了大席） EIGRP性能不错，但却是cisco的私有协议，互通性不好。（现在都是e世代了，拜托，能不能open一点？） IS-ISISO与IETF帮派斗争的产物，本来是为OSI七层模型设计，后来强行移植到IP

9、上。（驴唇不对马嘴） OSPF是因特网上使用最为广范的IGP，专家强力推荐。 （相信我，没错的） BGP是目前因特网上唯一的一种EGP协议。（只此一家，别无分店）,路由规划,路由协议与网络层次之间的关系,接入层：无需运行动态路由协议，向下使用接口的直连路由，向上配置缺省路由路由即可。 汇聚层：通常与核心层之间运行IGP（专家推荐使用OSPF），向下配置静态路由，并将配置的静态路由引入到IGP中发布出去。 核心层：与汇聚层之间运行IGP，核心层之间运行BGP。,路由规划,路由协议与备份之间的关系,备份原理实际上是利用路由表添加路由的规则来实现的：对于到达相同目的地的路由，路由器只使用最优的一条。

10、如果最优的路由消失，则依据相同的规则选择原来的次优路由。 静态路由之间使用优先级不同来控制优劣 不同的动态路由协议之间使用优先级来控制优劣 同一协议内部使用不同的花费值来控制优劣,路由规划,路由表瘦身秘笈,两个基本点 能够聚合在一起的路由，尽量聚合成一条 如果精确路由与粗放路由指向相同，精确路由可以删除。 一个中心 充分利用缺省路由。（宇宙在大爆炸之前只是一个质点；因特网的路由极度聚合之后就剩一条） 路由表能够瘦身，是基于一个十分重要的前提，你知道是什么吗？,路由规划,天堂与地狱的故事,如果你爱一个人，你就送她去纽约，因为那里是天堂；如果你恨一个人，你就送她去纽约，因为那里是地狱。北京人在纽约

11、片首旁白 如果你想成为网络大师，你就在核心层的设备之间配置缺省路由，因为缺省路由就是天堂；如果你想酿成特级重大事故，你就在核心层设备之间配置缺省路由，因为缺省路由就是地狱。 在接入层和汇聚层设备上使用缺省路由是有百利而无一害的，但在核心层设备之间使用缺省路由必须异常谨慎。,路由规划,学校典型组网案例,6506的OSPF设置 interface Vlan-interface4001 description To-xq1 ip address 52 interface Vlan-interface4002 description To-xq2 ip

12、address 52 interface Vlan-interface4003 description To-xq3 ip address 52 interface Vlan-interface4004 description To-xq4 ip address 52 interface Vlan-interface4005 description To-xq5 ip address 52 interfa

13、ce Vlan-interface4006 description To-xq6 ip address 52 ospf 1 import-route direct import-route static default-route-advertise # area network network network network network

14、network ,校区1的汇聚5516设置 interface Vlan-interface4006 ip address 52 ospf area network network x.x.x.x x.x.x.x network x.x.x.x .x.x.x.x,教育行业经典组网篇,组网拓朴图 楼栋层堆叠技术介绍 设备网管介绍 接入层设备802.1X认证介绍 CAMS系统介绍 用户接入配置流程 日志审计系统介绍,经典学校组网图,组网拓朴图,教育行业经典组网篇

15、,组网拓朴图 楼栋层堆叠技术介绍 设备网管介绍 接入层设备802.1X认证介绍 CAMS系统介绍 用户接入配置流程 日志审计系统介绍,楼栋层堆叠技术,堆叠功能简介,堆叠是由一些通过堆叠口相连的以太网交换机组成的一个管理域，其中包括一个主交换机和若干个从交换机。堆叠在一起的以太网交换机可看作为一个设备，用户可通过主交换机实现对堆叠内所有交换机的管理。 当多个以太网交换机通过堆叠口相连时，用户可以在其中一台进行配置，把它们设置成堆叠，并把当前进行配置的以太网交换机设置为堆叠中的主交换机。 堆叠的建立过程如下：主交换机和从交换机之间通过堆叠模块及特殊的堆叠线连接起来（关于堆叠模块及堆叠线的描述请参见

16、安装手册）。用户首先设置堆叠可选的IP地址范围，并启用堆叠功能；然后系统会自动将与主交换机堆叠口相连的交换机加入到堆叠中。主交换机在从交换机加入堆叠时，自动给从交换机分配可用的IP地址。在建立了堆叠后，如果有新的交换机和主交换机通过堆叠口相连，系统将自动把新的交换机加入到堆叠中。 堆叠是通过主交换机和从交换机之间的连接来维持的。只要发现连接断开，从交换机自动退出堆叠。,堆叠功能主要配置包括：,配置堆叠IP地址池:undo/stacking ip-pool from-ip-address ip-address-number ip-mask 建立/删除堆叠:undo/stacking enable

17、 切换到从交换机视图进行配置:stacking num 从回方：quit 堆叠功能显示和调试: display stacking display stacking members Member number: 0 Name:stack_0.Quidway Device:Quidway E050 MAC Address:00e0.fc07.0bc0 Member status:Cmdr Member number: 1 Name:stack_1.Quidway Device:Quidway E026 MAC Address:00e0.fc07.58a0 Member status:Up Memb

18、er number: 2 Name:stack_2.Quidway Device:Quidway E026 MAC Address:00e0.fc07.58a1 Member status:Up,楼栋层堆叠技术,教育行业经典组网篇,组网拓朴图 楼栋层堆叠技术介绍 设备网管介绍 接入层设备802.1X认证介绍 CAMS系统介绍 用户接入配置流程 日志审计系统介绍,SNMP协议介绍,目前网络中用得最广泛的网络管理协议是SNMP（Simple Network Management Protocol）。SNMP是被广泛接受并投入使用的工业标准，用于保证管理信息在任意两点间传送，便于网络管理员在网络上的

19、任何节点检索信息、修改信息、寻找故障、完成故障诊断、进行容量规划和生成报告。SNMP采用轮询机制，只提供最基本的功能集，特别适合在小型、快速和低价格的环境中使用。SNMP的实现基于连接的传输层协议UDP(snmp161 snmptrap162)，得到众多产品的支持。 SNMP分为NMS和Agent两部分，NMS（Network Management Station），是运行客户端程序的工作站，目前常用的网管平台有Sun NetManager和IBM NetView；Agent是运行在网络设备上的服务器端软件。NMS可以向Agent发出GetRequest、GetNextRequest和SetR

20、equest报文，Agent接收到NMS的请求报文后，根据报文类型进行Read或 Write操作，生成Response报文，并将报文返回给NMS。Agent在设备发现重新启动等异常情况时，也会主动向NMS发送Trap报文，向NMS汇报所发生的事件,设备网管介绍,SNMP的主要配置包括： 设置团体名 允许或禁止发送Trap 设置Trap目标主机的地址 设置sysLocation 配置本地或远端设备的名字 配置一个SNMP的组 指定发送Trap的源地址 为一个SNMP的组添加一个新用户 创建或者更新视图的信息,配置SNMP,设备网管介绍,# 设置团体名和访问权限 Quidway snmp-agen

21、t community read public Quidway snmp-agent community write private # 设置管理员标识、联系方法以及物理位置 Quidway snmp-agent sys-info contact Mr.Wang-Tel:3306 Quidway snmp-agent sys-info location telephone-closet,3rd-floor # 允许向网管工作站（NMS）3发送Trap报文，使用的团体名为public。 Quidway snmp-agent trap enable Quidway snm

22、p-agent target-host trap address udp-domain 3 udp-port 5000 params securityname public,网管配置实例,设备网管介绍,Qduiview介绍总体结构,网络管理框架,设 备 配 置 管 理 中 心,智 能 管 理 组 件,设 备 管 理,HGMP管 理 组 件,IPSec VPN 部 署 组 件,IPSec VPN 监 视 组 件,IPS 监 视 组 件,IPS 部 署 组 件,网络管理框架为其他组件提供了平台基础； 用户可以根据业务需求灵活选择组件，解决方案正是这些组件的组合； 设备管理

23、和智能管理组件能够在网络管理框架上运行，也可以单独运行。其中设备管理已经内嵌在网络管理框架，不再需要另外集成。,设备网管介绍,组件简介,设备网管介绍,增加网络设备三种方式,设备网管介绍,自动发现：设置种子设备与发现参数 种子设备的选择：选择网络中心位置设备或者网关设备作为起始种子。 发现的层数：建议不超过7层。 可指定是否发现SNMP设备。 导入：编写或使用以前导出设备列表文件，执行导入操作 手工增加：手工增加设备，可以同时指定telnet等详细参数。 三种方式增加的设备都会自动放置在IP自动拓扑中相应位置，并创建链路,自动拓扑,设备网管介绍,设备信息综览,设备网管介绍,从左树或拓扑右键可打开

24、设备信息窗口。 提供从设备名称、接口列表到告警统计、相关性能报表等有关该设备的全景浏览。而且TAB页面根据数据有误情况自动决定是否出现，使得用户的关注总是有效信息。,设备面板,设备网管介绍,支持全线华为、华为3Com数通设备。 支持交换机的堆叠面板。 支持交换机的多设备面板。 支持交换机的多模式面板，速率、VLAN等信息。也可以使用图形的方式表示,教育行业经典组网篇,组网拓朴图 楼栋层堆叠技术介绍 设备网管介绍 接入层设备802.1X认证介绍 CAMS系统介绍 用户接入配置流程 日志审计系统介绍,接入层设备802.1X认证介绍,802.1X首先是一个认证协议，是一种对用户进行认证的方法和策略。

25、 IEEE 802.1X定义了基于端口的网络接入控制协议(Port based network access control protocol 802.1X是基于端口的认证策略（这里的端口可以是一个实实在在的物理端口也可以是一个就像VLAN一样的逻辑端口，对于无线局域网来说个“端口”就是一条信道） 802.1X的认证的最终目的就是确定一个端口是否可用。对于一个端口，如果认证成功那么就“打开”这个端口，允许文所有的报文通过；如果认证不成功就使这个端口保持“关闭”，此时只允许802.1X的认证报文EAPOL（Extensible Authentication Protocol over LAN）通

26、过。,协议介绍,接入层设备802.1X认证介绍,802.1X的系统组成,EAP Over Something,Authentication Server,Authenticator,EAPOL,Supplicant,Supplicant System，客户端(PC/网络设备) Authenticator System，认证系统 Authentication Server System，认证服务器,接入层设备802.1X认证介绍,客户端,客户端必须运行802.1X客户端软件：小提示:H3C802.1X 目前与LINUXD60配套最新版本为:V2.20-0234 Windows版CAMS对应版本为

27、：V2.40-0132,接入层设备802.1X认证介绍,认证过程,接入层设备802.1X认证介绍,协议介绍,接入层设备802.1X认证介绍,认证过程,接入层设备802.1X认证介绍,认证通过前，通道的状态为unauthorized，此时只能通过EAPOL的802.1X认证报文； 认证通过时，通道的状态切换为authorized，此时从远端认证服务器可以传递来用户的信息，比如VLAN、CAR参数、优先级、用户的访问控制列表等等； 认证通过后，用户的流量就将接受上述参数的监管，此时该通道可以通过任何报文，注意只有认证通过后才有DHCP等过程 认证通过之后的保持：认证端Authenticator可以

28、定时要求Client重新认证，时间可设。重新认证的过程对User是透明的(应该是User不需要重新输入密码)。 下线方式： 物理端口Down； 重新认证不通过或者超时； 客户端发起EAP_Logoff帧； 网管控制导致下线；,基本的认证过程,接入层设备802.1X认证介绍,端口受控方式,华为-3Com公司对802.1X协议的端口控制方式进行了扩展，除了支持基于端口的控制方式外，还在端口受控的基础上增加了基于MAC、VLAN的控制方式。缺省的认证控制方式为基于MAC。 基于端口的控制 一旦某端口上有一位用户通过了802.1X的认证，整个端口都将被授权，允许多台主机通过此端口访问网络资源 基于MA

29、C地址的控制（端口源MAC） 某端口人有用户通过802.1X认证时，仅授权给发起该认证的主机通过此端口访问网络资源，不允许其它主机通过此端口访问网络资源 基于VLAN的控制（端口VLAN ID源MAC） 某端口人有用户通过802.1X认证时，仅授权给发起该认证的主机通过此端口访问网络资源，并且所访问的资源被限定在特定的VLAN内,接入层设备802.1X认证介绍,802.1x 配置,802.1x 的配置包括： 开启/关闭802.1x 特性dot1x interface interface-list 设置端口接入控制的模式dot1x port-control authorized-force |u

30、nauthorized-force | auto interfaceinterface-list 设置端口接入控制方式 dot1x port-method macbased | portbased interface interface-list 检测通过代理登录交换机的用户 dot1x supp-proxy-check logoff | trap interface interface-list 设置端口接入用户数量的最大值 dot1x max-user user-number interface interface-list 缺省情况下，802.1x 在S3500 系列以太网交换机所有的端

31、口上都允许最多有256个接入用户。 说明： 如果端口启动了802.1x，则不能配置该端口的最大MAC 地址学习个数（通过命令 mac-address max-mac-count 配置），反之，如果端口配置了最大MAC 地址学 习个数，则禁止在该端口上启动802.1x。 ,接入层设备802.1X认证介绍,802.1x 配置2,设置允许DHCP 触发认证dot1x dhcp-launch 缺省情况下，用户私自配置静态IP，交换机可以触发对其的身份认证配置802.1x 用户的认证方法dot1x authentication-method chap | pap |eap 开启/关闭Guest VLAN

32、 功能dot1x guest-vlan vlan-id interface interface-list 设置对802.1x 客户端的版本验证功能dot1x version-check interface interface-list 在交换机上启动了对802.1x 客户端的版本验证功能后，交换机会对接入用户的802.1x 客户端的版本和合法性进行验证，以防止使用有缺陷的老版本客户端或者非法客户端的用户上网。 设置认证请求帧的可重复发送次数dot1x retry max-retry-value 缺省情况下，max-retry-value 为3，即交换机最多可重复向接入用户发送3 次认证请求帧。

33、,教育行业经典组网篇,组网拓朴图 楼栋层堆叠技术介绍 设备网管介绍 接入层设备802.1X认证介绍 CAMS系统介绍 用户接入配置流程 日志审计系统介绍,CAMS系统介绍 (Comprehensive Access Management Server, CAMS),主要功能,CAMS与华为3Com公司的系列数通产品无缝集成，支持从低端到高端各种设备的认证、计费和用户管理。其主要功能有： 综合访问控制 系统和策略管理 业务管理 最终用户自助 AAA服务器提供802.1X、PORTAL、PORTAL+、LDAP、VPN、PPPoE等认证功能,参考资料,CAMS用户手册 CAMS需求分析与设计说明书

34、 CAMS版本说明书,CAMS系统结构,CAMS平台,Linux + Oracle或（Windows2000 Server+SQL Server）,LDAP Server,LDAP Server,计费业务 组件,Portal 业务组件,Proxy 组件,路由器,交换机,BAS,注：DHCP只有Linux版本支持,Lan接入 业务组件,软件/硬件平台,推荐配置 PC服务器-HP ML350G3 可管理用户数量小于5000的情况下，服务器推荐配置：Xeon 2.8GHz CPU/512M RAM/36G SCSI,操作系统： Windows 2000 Server Windows 2003 Ser

35、ver Linux ES3.0 数据库: SQL Server 2000 Oracle8i、Oracle9i IE浏览器: Microsoft Internet Explorer浏览器5.5及以上版本,准备及安装,正确安装Windows 2000 Server并安装各补丁程序（或正确安装Linux ES3操作系统），下面以Windows 2000 Server为例进行介绍 正确安装SQL Server 2000并安装SP3升级包（或正确安装oracle8i、oracle9i），下面以SQL Server 2000为例进行介绍 设置SQL Server 2000身份验证为“SQL Server和

36、Windows” 安装各组件的前提都是需要正确安装配置管理台（即先安装平台） 确保SQL Server正确安装并启动 进入Platform_Installers目录并执行文件install.exe。 选择安装语言后点“”，此处选“中文简体”（需要安装英文版本选择英文安装、中文版本选择中文安装） 在许可协议窗口中选择“本人接受许可协议条款”，点“下一步” 安装模式选择“完全安装”,配置数据库信息窗口中输入正确的信息 “数据库”:输入数据库服务器的地址，如果数据库安装在本机可以输入 “sa密码”:数据数据库管理员密码 “cams用户密码”:设置cams用户密码 组件安装与平台安装步骤相同，在此省略,安装平台,启动CAMS,配置管理台（平台）： 默认情况，随系统启动 也可以在系统启动后通过“控制面版” -“管理工具” -“服务”启动 Huawei-3Com Web Server 协议处理（后台） 默认情况，随系统启动 也可以在系统启动后通过“控制面版” -“管理工具” -“服务”启动 Huawei-3Com CAMS Monitor,注册CAMS,收集系统信息 进入安装目录下（默认安装为c:cams） cd c:cams camstool user 此时，将在安装目录下生成一个user.cif的系统信息文件,将