单核心校园网网络模型规划与设计规范PPT学习课件

1、1,单核心校园网网络模型规划与设计规范,技术培训中心,2,学习目标,掌握单核心校园网网络模型的结构特点 掌握单核心校园网网络模型规划与设计规范,3,课程内容,第一章 单核心网络常见拓扑结构 第二章 基本配置规范 第三章 IP地址及VLAN规划 第四章 路由协议规划 第五章 出口策略设计 第六章 网络安全优化设计,3,4,第一章 单核心网络常见拓扑结构,5,第一章 单核心网络常见拓扑结构,6,第一章 单核心网络常见拓扑结构,什么样的校园网会采用单核心网络结构呢? 规模小 信息点少 对于网络冗余备份要求不高,中小学网络最为常见,7,课程内容,第一章 单核心网络常见拓扑结构 第二章 基本配置规范 第

2、三章 IP地址及VLAN规划 第四章 路由协议规划 第五章 出口策略设计 第六章 网络安全优化设计,7,8,第二章 基本配置规范,基本配置： 主机命名 如果客户有规范或明确合理要求，则按照客户的规范或要求进行配置。如金融行业规范。 如果客户没有规范或明确合理要求，可参考设备位置、网络位置、设备型号、设备编号等因素，在项目中制定统一的命名规范，如下所示：,9,第二章 基本配置规范,基本配置包括： 主机命名 设备互联接口描述 项目中所有涉及到可网管设备互联的端口必须配置端口描述,10,第二章 基本配置规范,基本配置包括： 主机命名 设备互联接口描述 登陆密码配置 项目中所有可网管设备必须配置特权密

3、码及远程登陆密码,11,第二章 基本配置规范,基本配置包括： 主机命名 设备互联接口描述 登陆密码配置 系统时间配置 项目中所有可网管设备必须重新设置正确的系统时间 手工设置 设置时间服务器,12,第二章 基本配置规范,基本配置包括： 主机命名 设备互联接口描述 登陆密码配置 系统时间配置 二层交换机管理IP配置 项目中可网管二交换机必须配置管理IP地址，供管理员远程管理设备所用,13,第二章 基本配置规范,基本配置包括： 主机命名 设备互联接口描述 登陆密码配置 系统时间配置 二层交换机管理IP配置,提升网络的可管理程度,14,课程内容,第一章 单核心网络常见拓扑结构 第二章 基本配置规范

4、第三章 IP地址及VLAN规划 第四章 路由协议规划 第五章 出口策略设计 第六章 网络安全优化设计,14,15,第三章 IP地址及VLAN规划,校园网IP地址分类： 按照不同功能用途： 用户IP地址 设备管理地址 二层设备与三层设备 三层设备互联地址,校园网VLAN分类： 同IP地址相对应： 用户VLAN 设备管理VLAN 二层设备 三层设备互联VLAN 可选,16,第三章 IP地址及VLAN规划,单核心二层网络结构IP地址及VLAN划分,17,第三章 IP地址及VLAN规划,单核心二层网络结构IP地址及VLAN划分,18,第三章 IP地址及VLAN规划,单核心三层网络结构IP地址及VLAN

5、划分,19,第三章 IP地址及VLAN规划,单核心三层网络结构IP地址及VLAN划分,20,第三章 IP地址及VLAN规划,需要考虑的因素 用户VLAN与设备管理VLAN分开(IP地址),汇聚/核心交换机,接入交换机,VLAN 100,10.1.100.0/24,用户IP地址段,VLAN 100,interface vlan 100,ip address 10.1.100.254/24,网关IP地址,接入交换机管理IP地址,interface vlan 100,ip address 10.1.100.253/24,1.当ARP欺骗发生时,会影响到网络设备的管理,2.网络设计混乱,给网络运维带来

6、一定风险,21,第三章 IP地址及VLAN规划,需要考虑的因素 用户VLAN与设备管理VLAN分开(IP地址),汇聚/核心交换机,接入交换机,VLAN 100,10.1.100.0/24,用户IP地址段,VLAN 100,interface vlan 100,ip address 10.1.100.254/24,网关IP地址,接入交换机管理IP地址,interface vlan 200,ip address 10.1.200.253/24,VLAN 200,接入交换机管理VLAN,VLAN 200,接入交换机管理网段网关IP,interface vlan 200,ip address 10.1

7、.200.254/24,22,第三章 IP地址及VLAN规划,需要考虑的因素 用户VLAN与设备管理VLAN分开(IP地址) 为网络扩容进行可汇总的预留设计,VLAN 100,10.1.100.0/24,VLAN 101,10.1.101.0/24,VLAN 201,10.1.201.0/24,VLAN 200,10.1.200.0/24,没有进行预留设计,造成IP地址的不连续,不利于汇总,23,第三章 IP地址及VLAN规划,需要考虑的因素 用户VLAN与设备管理VLAN分开(IP地址) 为网络扩容进行可汇总的预留设计,需要提前为新增的网络进行IP地址及VLAN的设计,包括用户IP地址、设备

8、管理地址以及设备互联地址,VLAN 100,10.1.100.0/24,VLAN 110,10.1.110.0/24,VLAN 101,10.1.101.0/24,VLAN 120,10.1.120.0/24,24,第三章 IP地址及VLAN规划,需要考虑的因素 用户VLAN与设备管理VLAN分开(IP地址) 为网络扩容进行可汇总的预留设计 IP地址与VLAN编号(其他相关因素)有一定的对照性,VLAN 100,10.1.100.0/24,用户IP地址段,用户VLAN,1,楼号,25,课程内容,第一章 单核心网络常见拓扑结构 第二章 基本配置规范 第三章 IP地址及VLAN规划 第四章 路由协

9、议规划 第五章 出口策略设计 第六章 网络安全优化设计,25,26,第四章 路由协议规划,单核心二层结构网络路由协议规划,静态默认路由,静态回指汇总路由,27,第四章 路由协议规划,单核心三层结构网络静态路由协议规划,静态默认路由,静态回指汇总路由(全网),静态默认路由,静态回指汇总路由(局部),28,第四章 路由协议规划,单核心三层结构网络动态路由协议规划一,静态默认路由,静态回指汇总路由(全网),Area 0,Area 10,Area 20,Area 30,29,第四章 路由协议规划,单核心三层结构网络动态路由协议规划一,30,第四章 路由协议规划,单核心三层结构网络路由协议规划二,静态默

10、认路由,静态回指汇总路由(全网),Area 0,Area 10,Area 20,Area 30,31,第四章 路由协议规划,单核心三层结构网络路由协议规划二,32,课程内容,第一章 单核心网络常见拓扑结构 第二章 基本配置规范 第三章 IP地址及VLAN规划 第四章 路由协议规划 第五章 出口策略设计 第六章 网络安全优化设计,32,33,第五章 出口策略设计,出口区域类型（按照设备、线路数量）： 单出口设备单线路 单出口设备双（多）线路 双出口设备双（多）线路,34,第五章 出口策略设计,单出口设备单线路,核心层设备,出口设备,内部校园网,静态默认路由,静态回指汇总路由（全网）,默认路由,源

11、地址转换为公网地址,35,第五章 出口策略设计,单出口设备双（多）线路,核心层设备,出口设备,内部校园网,静态默认路由,静态回指汇总路由（全网）,教育网明细路由,默认路由,源地址转换为教育网地址,源地址转换为公网地址,36,第五章 出口策略设计,单出口设备双（多）线路,核心层设备,出口设备,内部校园网,对外发布的教育网服务器,internet用户公网IP地址,返回的数据包匹配了默认路由，源IP地址转换为公网IP地址,37,第五章 出口策略设计,单出口设备双（多）线路,核心层设备,出口设备,内部校园网,对外发布的教育网服务器,internet用户公网IP地址,应用基于源地址的策略路由,强制源地址

12、为服务器私有IP地址的数据包在进行转发时,下一跳为教育网接口下一跳,38,第五章 出口策略设计,单出口设备双（多）线路,核心层设备,出口设备,内部校园网,默认路由,静态回指汇总路由,电信,联通,多于两个出口线路如何规划,39,第五章 出口策略设计,双出口设备双（多）线路,核心层设备,出口设备,默认路由,教育网明细路由,静态回指汇总路由,静态回指汇总路由,默认路由,默认路由,源地址转换为教育网地址,源地址转换为公网地址,40,课程内容,第一章 单核心网络常见拓扑结构 第二章 基本配置规范 第三章 IP地址及VLAN规划 第死章 路由协议规划 第五章 出口策略设计 第六章 网络安全优化设计,40,

13、41,第六章 网络安全优化设计,什么是安全优化设计？ 安全设计：使网络更稳定运行 优化设计：使网络更合理运行 根据园区网的层次进行分类： 接入层设备安全优化设计 汇聚层设备安全优化设计 核心层设备安全优化设计 出口区域设备安全优化设计,42,第六章 网络安全优化设计,接入层设备安全优化设计 VLAN修剪 防范下联环路 防范非法DHCP服务器 防范DHCP环境下使用静态IP地址 保证静态IP环境下地址唯一性 防范ARP欺骗,43,第六章 网络安全优化设计,接入层设备安全优化设计 VLAN修剪,VLAN 10 20 30 40,VLAN 10,VLAN 20,VLAN 30,trunk,trunk

14、,trunk,VLAN 10内的广播流量,该交换机收到tag标记为10的数据帧,发现本地没有VLAN10,于是丢弃,SW1,虽然广播流量被丢弃，但是如果当其他VLAN内产生大量广播时，上联联路也是会受到严重影响。,44,第六章 网络安全优化设计,接入层设备安全优化设计 VLAN修剪,VLAN 10 20 30 40,VLAN 10,VLAN 20,VLAN 30,trunk,trunk,trunk,VLAN 10内的广播流量,只容许VLAN 30通过,SW1,只容许VLAN 30通过,45,第六章 网络安全优化设计,接入层设备安全优化设计 VLAN修剪 防范下联环路 防范非法DHCP服务器 防

15、范DHCP环境下使用静态IP地址 保证静态IP环境下地址唯一性 防范ARP欺骗,46,第六章 网络安全优化设计,接入层设备安全优化设计 防范下联环路,汇聚交换机,接入交换机,汇聚交换机,接入交换机,HUB,汇聚交换机,接入交换机,HUB,47,第六章 网络安全优化设计,接入层设备安全优化设计 防范下联环路 采用生成树解决环路问题,BPDU,BPDU,BPDU,如何解决单端口下的环路呢?,fa0/24,fa0/24,fa0/24,48,第六章 网络安全优化设计,接入层设备安全优化设计 防范下联环路 采用生成树解决环路问题,BPDU,fa0/24,fa0/24,fa0/24,可能存在的问题?,默认

16、开启生成树的非网管交换机,BPDU,下联端口开启BPDU Guard,49,第六章 网络安全优化设计,接入层设备安全优化设计 防范下联环路 采用生成树解决环路问题,接入交换机2,汇聚交换机,接入交换机N,接入交换机1,接入交换机下联端口开启spanning portfast 以及spanning-tree bpduguard 功能,接入交换机上联端口开启spanning-tree bpdufilter功能,50,第六章 网络安全优化设计,接入层设备安全优化设计 防范下联环路 采用RLDP解决环路问题,RLDP,RLDP,RLDP,fa0/24,fa0/24,fa0/24,51,第六章 网络安全

17、优化设计,接入层设备安全优化设计 VLAN修剪 防范下联环路 防范非法DHCP服务器 防范DHCP环境下使用静态IP地址 保证静态IP环境下地址唯一性 防范ARP欺骗,52,第六章 网络安全优化设计,接入层设备安全优化设计 防范非法DHCP服务器,校园网,DHCP服务器,汇聚交换机,接入交换机,PC,非法DHCP服务器,DHCP Discover,DHCP Discover,非法DHCP Offer,合法DHCP Offer,DHCP Request,DHCP Ack,用户从非法DHCP处获得了不正确的IP地址,导致无法正常访问网络,53,第六章 网络安全优化设计,接入层设备安全优化设计 防范

18、非法DHCP服务器,校园网,DHCP服务器,汇聚交换机,接入交换机,PC,非法DHCP服务器,DHCP Snooping Trust接口,DHCP Snooping Untrust接口,DHCP Offer/ACK,54,第六章 网络安全优化设计,接入层设备安全优化设计 VLAN修剪 防范下联环路 防范非法DHCP服务器 防范DHCP环境下使用静态IP地址 保证静态IP环境下地址唯一性 防范ARP欺骗,55,第六章 网络安全优化设计,接入层设备安全优化设计 防范DHCP环境下使用静态IP地址,校园网,DHCP服务器,汇聚交换机,接入交换机,PC,通过DHCP动态获取的IP地址,10.1.100

19、.1/24,手工配置静态IP地址,10.1.100.1/24,引起IP地址冲突,影响其他用户的正常使用,56,第六章 网络安全优化设计,接入层设备安全优化设计 防范DHCP环境下使用静态IP地址,校园网,DHCP服务器,汇聚交换机,接入交换机,PC,通过DHCP动态获取的IP地址,10.1.100.1/24,手工配置静态IP地址,10.1.100.1/24,通过手工配置的IP地址将无法访问网络,部署DHCP Snooping+IP Source Guard,57,第六章 网络安全优化设计,接入层设备安全优化设计 VLAN修剪 防范下联环路 防范非法DHCP服务器 防范DHCP环境下使用静态IP

20、地址 保证静态IP环境下地址唯一性 防范ARP欺骗,58,第六章 网络安全优化设计,接入层设备安全优化设计 保证静态IP环境下地址唯一性 防止用户私自篡改分配的IP地址 端口安全 DHCP Snooping静态绑定 结合SAM,59,第六章 网络安全优化设计,接入层设备安全优化设计 VLAN修剪 防范下联环路 防范非法DHCP服务器 防范DHCP环境下使用静态IP地址 保证静态IP环境下地址唯一性 防范ARP欺骗,60,第六章 网络安全优化设计,接入层设备安全优化设计 防范ARP欺骗 ARP Check 供检查的地址表项的产生方法 通过端口安全方式获取地址表项 通过DHCP Snooping方

21、式获得地址表项 通过802.1X认证的IP授权模式获取地址表项 GSN 立体ARP防御,61,第六章 网络安全优化设计,汇聚层设备安全优化设计 VLAN修剪 防病毒ACL OSPF被动接口 OSPF特殊区域 OSPF区域路由汇总,62,第六章 网络安全优化设计,汇聚层设备安全优化设计 OSPF被动接口,OSPF,核心交换机,汇聚交换机,接入交换机,汇聚交换机上所有的三层接口都Network进相应的Area,OSPF Hello,OSPF Hello,OSPF Hello,63,第六章 网络安全优化设计,汇聚层设备安全优化设计 OSPF被动接口,OSPF,核心交换机,汇聚交换机,接入交换机,汇聚交换机上所有的三层接口都Network进相应的Area,passive interface defualt,OSPF进程下,no passive i