18单核心校园网网络模型规划与设计规范

单核心校园网网络模型单核心校园网网络模型规划与设计规范规划与设计规范技术培训中心技术培训中心1学习目标l掌握单核心校园网网络模型的结构特点l掌握单核心校园网网络模型规划与设计规范2课程内容l第一章第一章 单核心网络常见拓扑结构单核心网络常见拓扑结构l第二章 基本配置规范l第三章 IP地址及VLAN规划l第四章 路由协议规划l第五章 出口策略设计l第六章 网络安全优化设计3第一章 单核心网络常见拓扑结构 4第一章 单核心网络常见拓扑结构 5第一章 单核心网络常见拓扑结构 l什么样的校园网会采用单核心网络结构呢?规模小信息点少对于网络冗余备份要求不高中小学网络最为常见中小学网络最为常见6课程内容l第一章 单核心网络常见拓扑结构l第二章第二章 基本配置规范基本配置规范l第三章 IP地址及VLAN规划l第四章 路由协议规划l第五章 出口策略设计l第六章 网络安全优化设计7 7第二章 基本配置规范l基本配置：主机命名如果客户有规范或明确合理要求，则按照客户的规范或要求进行配置。如金融行业规范。如果客户没有规范或明确合理要求，可参考设备位置、网络位置、设备型号、设备编号等因素，在项目中制定统一的命名规范，如下所示：8第二章 基本配置规范l基本配置包括：主机命名设备互联接口描述项目中所有涉及到可网管设备互联的端口必须配置端口描述 9第二章 基本配置规范l基本配置包括：主机命名设备互联接口描述登陆密码配置项目中所有可网管设备必须配置特权密码及远程登陆密码 10第二章 基本配置规范l基本配置包括：主机命名设备互联接口描述登陆密码配置系统时间配置项目中所有可网管设备必须重新设置正确的系统时间 手工设置设置时间服务器11第二章 基本配置规范l基本配置包括：主机命名设备互联接口描述登陆密码配置系统时间配置二层交换机管理IP配置项目中可网管二交换机必须配置管理IP地址，供管理员远程管理设备所用 12第二章 基本配置规范l基本配置包括：主机命名设备互联接口描述登陆密码配置系统时间配置二层交换机管理IP配置提升网络的可管理程度提升网络的可管理程度13课程内容l第一章 单核心网络常见拓扑结构l第二章 基本配置规范l第三章第三章 IP地址及地址及VLAN规划规划l第四章 路由协议规划l第五章 出口策略设计l第六章 网络安全优化设计1414第三章 IP地址及VLAN规划 l校园网IP地址分类：按照不同功能用途：用户IP地址设备管理地址二层设备与三层设备三层设备互联地址l校园网VLAN分类：同IP地址相对应：用户VLAN设备管理VLAN二层设备三层设备互联VLAN可选15第三章 IP地址及VLAN规划l单核心二层网络结构IP地址及VLAN划分 用户用户IPIP地址地址 设备管理设备管理IPIP地址地址 设备互联设备互联IPIP地址地址16第三章 IP地址及VLAN规划l单核心二层网络结构IP地址及VLAN划分 用户用户VLANVLAN 设备管理设备管理VLANVLAN 设备互联设备互联VLANVLAN 设备管理设备管理VLANVLAN 用户用户VLANVLAN17第三章 IP地址及VLAN规划l单核心三层网络结构IP地址及VLAN划分 用户用户IPIP地址地址 设备管理设备管理IPIP地址地址 设备互联设备互联IPIP地址地址 设备管理设备管理IPIP地址地址 设备管理设备管理IPIP地址地址18第三章 IP地址及VLAN规划l单核心三层网络结构IP地址及VLAN划分 用户用户VLANVLAN 设备管理设备管理vlanvlan 设备互联设备互联VLANVLAN 用户用户VLANVLAN 设备管理设备管理vlanvlan19第三章 IP地址及VLAN规划l需要考虑的因素用户VLAN与设备管理VLAN分开(IP地址)汇聚汇聚/核心交换机核心交换机接入交换机接入交换机VLAN 100VLAN 10010.1.100.0/2410.1.100.0/24用户用户IPIP地址段地址段VLAN 100VLAN 100interface interface vlanvlan 100 100ipip address 10.1.100.254/24 address 10.1.100.254/24网关网关IPIP地址地址接入交换机管理接入交换机管理IPIP地址地址interface interface vlanvlan 100 100ipip address 10.1.100.253/24 address 10.1.100.253/241.1.当当ARPARP欺骗发生时欺骗发生时,会影响到网络设备的管理会影响到网络设备的管理2.2.网络设计混乱网络设计混乱,给网络运维带来一定风险给网络运维带来一定风险20第三章 IP地址及VLAN规划l需要考虑的因素用户VLAN与设备管理VLAN分开(IP地址)汇聚汇聚/核心交换机核心交换机接入交换机接入交换机VLAN 100VLAN 10010.1.100.0/2410.1.100.0/24用户用户IPIP地址段地址段VLAN 100VLAN 100interface interface vlanvlan 100 100ipip address 10.1.100.254/24 address 10.1.100.254/24网关网关IPIP地址地址接入交换机管理接入交换机管理IPIP地址地址interface interface vlanvlan 200 200ipip address 10.1.200.253/24 address 10.1.200.253/24VLAN 200VLAN 200接入交换机管理接入交换机管理VLANVLANVLAN 200VLAN 200接入交换机管理网段网关接入交换机管理网段网关IPIPinterface interface vlanvlan 200 200ipip address 10.1.200.254/24 address 10.1.200.254/2421第三章 IP地址及VLAN规划l需要考虑的因素用户VLAN与设备管理VLAN分开(IP地址)为网络扩容进行可汇总的预留设计VLAN 100VLAN 10010.1.100.0/2410.1.100.0/24VLAN 101VLAN 10110.1.101.0/2410.1.101.0/24VLAN 201VLAN 20110.1.201.0/2410.1.201.0/24VLAN 200VLAN 20010.1.200.0/2410.1.200.0/24没有进行预留设计没有进行预留设计,造成造成IPIP地址的不连续地址的不连续,不利于汇总不利于汇总22第三章 IP地址及VLAN规划l需要考虑的因素用户VLAN与设备管理VLAN分开(IP地址)为网络扩容进行可汇总的预留设计需要提前为新增的网络进行需要提前为新增的网络进行IPIP地址及地址及VLANVLAN的设计的设计,包包括用户括用户IPIP地址、设备管理地址以及设备互联地址地址、设备管理地址以及设备互联地址VLAN 100VLAN 10010.1.100.0/2410.1.100.0/24VLAN 110VLAN 11010.1.110.0/2410.1.110.0/24VLAN 101VLAN 10110.1.101.0/2410.1.101.0/24VLAN 120VLAN 12010.1.120.0/2410.1.120.0/2423第三章 IP地址及VLAN规划l需要考虑的因素用户VLAN与设备管理VLAN分开(IP地址)为网络扩容进行可汇总的预留设计IP地址与VLAN编号(其他相关因素)有一定的对照性VLAN 100VLAN 10010.1.100.0/2410.1.100.0/24用户用户IPIP地址段地址段用户用户VLANVLAN1 1楼号楼号24课程内容l第一章 单核心网络常见拓扑结构l第二章 基本配置规范l第三章 IP地址及VLAN规划l第四章第四章 路由协议规划路由协议规划l第五章 出口策略设计l第六章 网络安全优化设计2525第四章 路由协议规划l单核心二层结构网络路由协议规划静态默认路由静态默认路由静态回指汇总路由静态回指汇总路由26第四章 路由协议规划l单核心三层结构网络静态路由协议规划静态默认路由静态默认路由静态回指汇总路由静态回指汇总路由(全网全网)静态默认路由静态默认路由静态回指汇总路由静态回指汇总路由(局部局部)27第四章 路由协议规划l单核心三层结构网络动态路由协议规划一静态默认路由静态默认路由静态回指汇总路由静态回指汇总路由(全网全网)Area 0Area 0Area 10Area 10Area 20Area 20Area 30Area 3028第四章 路由协议规划l单核心三层结构网络动态路由协议规划一29第四章 路由协议规划l单核心三层结构网络路由协议规划二静态默认路由静态默认路由静态回指汇总路由静态回指汇总路由(全网全网)Area 0Area 0Area 10Area 10Area 20Area 20Area 30Area 3030第四章 路由协议规划l单核心三层结构网络路由协议规划二31课程内容l第一章 单核心网络常见拓扑结构l第二章 基本配置规范l第三章 IP地址及VLAN规划l第四章 路由协议规划l第五章第五章 出口策略设计出口策略设计l第六章 网络安全优化设计3232第五章 出口策略设计l出口区域类型（按照设备、线路数量）：单出口设备单线路单出口设备双（多）线路双出口设备双（多）线路33第五章 出口策略设计l单出口设备单线路核心层设备核心层设备出口设备出口设备内部校园网内部校园网静态默认路由静态默认路由静态回指汇总路由（全网）静态回指汇总路由（全网）默认路由默认路由源地址转换为公网地址源地址转换为公网地址34第五章 出口策略设计l单出口设备双（多）线路核心层设备核心层设备出口设备出口设备内部校园网内部校园网静态默认路由静态默认路由静态回指汇总路由（全网）静态回指汇总路由（全网）教育网明细路由教育网明细路由默认路由默认路由源地址转换为教育网地址源地址转换为教育网地址源地址转换为公网地址源地址转换为公网地址35第五章 出口策略设计l单出口设备双（多）线路核心层设备核心层设备出口设备出口设备内部校园网内部校园网对外发布的教育网服务器对外发布的教育网服务器internet用户用户公网公网IP地址地址返回的数据包匹配了默认路由，返回的数据包匹配了默认路由，源源IP地址转换为公网地址转换为公网IP地址地址源源IP：公网：公网IP目的目的IP：教育网：教育网IP源源IP：公网：公网IP目的目的IP：公网：公网IPTCP会话中断会话中断36第五章 出口策略设计l单出口设备双（多）线路核心层设备核心层设备出口设备出口设备内部校园网内部校园网对外发布的教育网服务器对外发布的教育网服务器internet用户用户公网公网IP地址地址应用基于源地址的策略路由应用基于源地址的策略路由,强制源地址强制源地址为服务器私有为服务器私有IP地址的数据包在进行转地址的数据包在进行转发时发时,下一跳为教育网接口下一跳下一跳为教育网接口下一跳源源IP：公网：公网IP目的目的IP：教育网：教育网IP源源IP：教育网：教育网IP目的目的IP：公网：公网IP37第五章 出口策略设计l单出口设备双（多）线路核心层设备核心层设备出口设备出口设备内部校园网内部校园网默认路由默认路由静态回指汇总路由静态回指汇总路由电信电信联通联通多于两个出口线路如何规划多于两个出口线路如何规划38第五章 出口策略设计l双出口设备双（多）线路核心层设备核心层设备出口设备出口设备默认路由默认路由教育网明细路由教育网明细路由静态回指汇总路由静态回指汇总路由静态回指汇总路由静态回指汇总路由默认路由默认路由默认路由默认路由源地址转换为教育网地址源地址转换为教育网地址源地址转换为公网地址源地址转换为公网地址39课程内容l第一章 单核心网络常见拓扑结构l第二章 基本配置规范l第三章 IP地址及VLAN规划l第死章 路由协议规划l第五章 出口策略设计l第六章第六章 网络安全优化设计网络安全优化设计4040第六章 网络安全优化设计l什么是安全优化设计？安全设计：使网络更稳定运行优化设计：使网络更合理运行l根据园区网的层次进行分类：接入层设备安全优化设计汇聚层设备安全优化设计核心层设备安全优化设计出口区域设备安全优化设计41第六章 网络安全优化设计l接入层设备安全优化设计VLAN修剪防范下联环路防范非法DHCP服务器防范DHCP环境下使用静态IP地址保证静态IP环境下地址唯一性防范ARP欺骗42第六章 网络安全优化设计l接入层设备安全优化设计VLAN修剪VLAN 10 20 30 40VLAN 10VLAN 20VLAN 30trunktrunktrunkVLAN 10内内的广播流量的广播流量该交换机收到该交换机收到tag标记为标记为10的数据帧的数据帧,发现本地没发现本地没有有VLAN10,于是丢弃于是丢弃SW1虽然广播流量被丢弃，但是如果当其他虽然广播流量被丢弃，但是如果当其他VLANVLAN内产生内产生大量广播时，上联联路也是会受到严重影响。大量广播时，上联联路也是会受到严重影响。43第六章 网络安全优化设计l接入层设备安全优化设计VLAN修剪VLAN 10 20 30 40VLAN 10VLAN 20VLAN 30trunktrunktrunkVLAN 10内内的广播流量的广播流量只容许只容许VLAN 30通过通过SW1只容许只容许VLAN 30通过通过44第六章 网络安全优化设计l接入层设备安全优化设计VLAN修剪防范下联环路防范非法DHCP服务器防范DHCP环境下使用静态IP地址保证静态IP环境下地址唯一性防范ARP欺骗45第六章 网络安全优化设计l接入层设备安全优化设计防范下联环路汇聚交换机汇聚交换机接入交换机接入交换机汇聚交换机汇聚交换机接入交换机接入交换机HUB汇聚交换机汇聚交换机接入交换机接入交换机HUB46第六章 网络安全优化设计l接入层设备安全优化设计防范下联环路采用生成树解决环路问题BPDUBPDUBPDU如何解决单端口下的环路呢?fa0/24fa0/24fa0/2447第六章 网络安全优化设计l接入层设备安全优化设计防范下联环路采用生成树解决环路问题BPDUfa0/24fa0/24fa0/24可能存在的问题?默认开启生成树的默认开启生成树的非网管交换机非网管交换机BPDU下联端口开启下联端口开启BPDU GuardBPDU Guard48第六章 网络安全优化设计l接入层设备安全优化设计防范下联环路采用生成树解决环路问题接入交换机2汇聚交换机接入交换机N接入交换机1接入交换机下联端口开启spanning portfast 以及spanning-tree bpduguard 功能接入交换机上联端口开启spanning-tree bpdufilter功能49第六章 网络安全优化设计l接入层设备安全优化设计防范下联环路采用RLDP解决环路问题RLDPRLDPRLDPfa0/24fa0/24fa0/2450第六章 网络安全优化设计l接入层设备安全优化设计VLAN修剪防范下联环路防范非法DHCP服务器防范DHCP环境下使用静态IP地址保证静态IP环境下地址唯一性防范ARP欺骗51第六章 网络安全优化设计l接入层设备安全优化设计防范非法DHCP服务器校园网校园网DHCP服务器服务器汇聚交换机汇聚交换机接入交换机接入交换机PC非法非法DHCP服务器服务器DHCP DiscoverDHCP Discover非法非法DHCP Offer合法合法DHCP OfferDHCP RequestDHCP Ack用户从非法用户从非法DHCP处获得了不正确的处获得了不正确的IP地址地址,导致无法正常访问网络导致无法正常访问网络52第六章 网络安全优化设计l接入层设备安全优化设计防范非法DHCP服务器校园网校园网DHCP服务器服务器汇聚交换机汇聚交换机接入交换机接入交换机PC非法非法DHCP服务器服务器DHCP Snooping Trust接口接口DHCP Snooping Untrust接口接口DHCP Offer/ACK53第六章 网络安全优化设计l接入层设备安全优化设计VLAN修剪防范下联环路防范非法DHCP服务器防范DHCP环境下使用静态IP地址保证静态IP环境下地址唯一性防范ARP欺骗54第六章 网络安全优化设计l接入层设备安全优化设计防范DHCP环境下使用静态IP地址校园网校园网DHCP服务器服务器汇聚交换机汇聚交换机接入交换机接入交换机PC通过通过DHCP动态获取的动态获取的IP地址地址10.1.100.1/24手工配置静态手工配置静态IP地址地址10.1.100.1/24引起引起IP地址冲突地址冲突,影响其他用户的正常使用影响其他用户的正常使用55第六章 网络安全优化设计l接入层设备安全优化设计防范DHCP环境下使用静态IP地址校园网校园网DHCP服务器服务器汇聚交换机汇聚交换机接入交换机接入交换机PC通过通过DHCP动态获取的动态获取的IP地址地址10.1.100.1/24手工配置静态手工配置静态IP地址地址10.1.100.1/24通过手工配置的通过手工配置的IP地址将无法访问网络地址将无法访问网络部署部署DHCP Snooping+IP Source Guard56第六章 网络安全优化设计l接入层设备安全优化设计VLAN修剪防范下联环路防范非法DHCP服务器防范DHCP环境下使用静态IP地址保证静态IP环境下地址唯一性防范ARP欺骗57第六章 网络安全优化设计l接入层设备安全优化设计保证静态IP环境下地址唯一性防止用户私自篡改分配的IP地址端口安全DHCP Snooping静态绑定结合SAM58第六章 网络安全优化设计l接入层设备安全优化设计VLAN修剪防范下联环路防范非法DHCP服务器防范DHCP环境下使用静态IP地址保证静态IP环境下地址唯一性防范ARP欺骗59第六章 网络安全优化设计l接入层设备安全优化设计防范ARP欺骗ARP Check供检查的地址表项的产生方法通过端口安全方式获取地址表项通过DHCP Snooping方式获得地址表项通过802.1X认证的IP授权模式获取地址表项GSN 立体ARP防御60第六章 网络安全优化设计l汇聚层设备安全优化设计VLAN修剪防病毒ACLOSPF被动接口OSPF特殊区域OSPF区域路由汇总61第六章 网络安全优化设计l汇聚层设备安全优化设计OSPF被动接口OSPF核心交换机核心交换机汇聚交换机汇聚交换机接入交换机接入交换机汇聚交换机上所有的三层接汇聚交换机上所有的三层接口都口都NetworkNetwork进相应的进相应的AreaAreaOSPF Hello OSPF Hello OSPF Hello62第六章 网络安全优化设计l汇聚层设备安全优化设计OSPF被动接口OSPF核心交换机核心交换机汇聚交换机汇聚交换机接入交换机接入交换机汇聚交换机上所有的三层接汇聚交换机上所有的三层接口都口都NetworkNetwork进相应的进相应的AreaAreapassive interface passive interface defualtdefualtOSPFOSPF进程下进程下no passive interface no passive interface 上联接口上联接口63第六章 网络安全优化设计l汇聚层设备安全优化设计VLAN修剪防病毒ACLOSPF被动接口OSPF特殊区域OSPF区域路由汇总64第六章 网络安全优化设计l汇聚层设备安全优化设计OSPF特殊区域area 0area 11area 21area 31Loopback接口核心层交换机核心层交换机汇聚层交换机汇聚层交换机完全末梢区域完全末梢区域ABR的的OSPF进程下进程下Area 11 stub no-summary非非ABR的的OSPF进程下进程下Area 11 stub 65第六章 网络安全优化设计l汇聚层设备安全优化设计VLAN修剪防病毒ACLOSPF被动接口OSPF特殊区域OSPF区域路由汇总66第六章 网络安全优化设计l汇聚层设备安全优化设计OSPF区域路由汇总area 0area 11area 21area 31area 41核心层交换机核心层交换机汇聚层交换机汇聚层交换机ABR的的OSPF进程下进程下area 11 range 10.1.0.0 255.255.0.067第六章 网络安全优化设计l核心层设备安全优化设计OSPF特殊区域68第六章 网络安全优化设计l出口区域设备安全优化设计带宽管理可以通过专用带宽管理设备如ACE实现防攻击配置DDoS、保护主机、保护服务、病毒过滤等日志管理通过简单日志软件：查询维护功能较差通过E-LOG系统69回顾l第一章 单核心网络常见拓扑结构l第二章 基本配置规范l第三章 IP地址及VLAN规划l第四章 路由协议规划l第五章 出口策略设计l第六章 网络安全优化设计707071THANKSTHANKS！71