企业网网络规划概述.ppt

企业网网络规划概述 ISSUE3 0 肖春喜 学习目标 掌握网络规划的基本原则了解拓扑设计和地址规划原则了解网络安全部署原则了解网络管理系统部署原则以及发展趋势 学习完本课程 您应该能够 网络规划其实很难 一个合格的网络设计师需要具备如下条件 精通TCP IP协议族中数十个协议的原理 精通N家厂商的N百种设备的性能和配置 还要具备统筹学 经济学 哲学的基本思想 丰富的实践经验和组织协调能力 对网络中的新技术保持高度的敏感性 胆大心细 临危不乱的良好心里素质 网络规划其实很简单 瞎说 根本没那么恐怖 常用的协议不超过10个 了解大概就行 主流厂商只有几家 相同厂家的产品配置相同 很多网络的模型都十分相似 照猫画虎即可 不就是画几个框框 圈几个圈圈 连几根线么 网络规划其实很崇高 当你进行网络规划时 你与画 向日葵 的凡 高 谱写 命运交响曲 的贝多芬 唱 我的太阳 的帕瓦罗帝 设计 鸟巢 的安德鲁 没什么区别 因为你们都是 艺术工作者 课程内容 网络概述设备选型网络拓扑选择端口选择备份方案和板卡的规划IP地址的规划和命名原则网络安全规则原则网络管理系统规划原则 贺岁大片 网络帝国 路由器 男主角 网络中最重要的设备 提供最丰富的接口连接 软件特性 也是构建网络的核心力量 以太网设备 L2 L3 LAN接入 女主角 提供各种以太网接口类型的线速转发功能 是构建局域网和城域网的核心力量 路由交换设备 反串 提供LAN交换板的路由器 提供增强型引擎的交换机 路由器和交换机的融合趋势越来越明显 其他设备 配角 网管 安全 语音 存储 视讯设备 提供网络的管理或业务增值功能 二层或物理层交换设备 剧务 ATM交换机 FR X 25交换机 DDN节点机 传输设备 对各种物理端口进行带宽或时隙的拆分 对于网络规划通常是不可见的 常见网络设备 路由交换设备路由器 以太网交换机 L2 L3 LAN 路由交换设备 常见网络设备 续 二层或物理层交换设备 广域网连接 ATM交换机 FR X 25交换机 DDN节点机 传输设备 广域网 常见网络设备 续 其他设备网管 安全 语音 视讯设备 防火墙 安全网关 入侵检测系统 语音服务器 语音网关 视频终端 MCU PBX系统 CAMS 网络中的设备 基于CPU的设备此类设备功能最强 由于所有的功能都由软件实现 几乎无所不能 但转发性能方面差强人意 基于ASIC的设备由固化的硬件芯片实现全线速的转发 但灵活性和升级能力很差 通常只能实现基本的路由及转发功能 但对一些特殊的业务能力 VPN NAT 策略路由 支持很弱 基于NP的设备由微码级的可编程网络处理器实现全线速的转发 灵活性和升级能力远远优于ASIC 但较基于CPU的设备还有一定的差距 网络设备的分类 基于CPU的设备基于ASIC的设备基于NP的设备 网络的层次划分 核心层交换数据包 实现高速的数据流量运转 核心层的设备不但需要容量大 转发快 而且需要具备高稳定性 但通常对业务的需求不高 汇聚层隔离拓朴结构变化 控制路由表的大小及控制流量 端口的收敛 实现丰富的业务特性 接入层将终端用户接入到网络中 大量的端口 强大的接入能力 实现丰富的业务特性 几点说明在小型的网络中 层次不一定这么明显 很可能只有两个甚至一个层次的设备 在一些大型网络中 层次可能划分的更细 例如 增加了边缘接入层 和骨干核心层 在某个范围之内的核心层 在上一级网络中很可能只是汇聚层 网络规划基本原则 可靠性原则从设备本身 电信级可靠性 和网络拓扑 无单点故障 两方面考虑 可扩展性原则从设备性能 是否已达到满配 可升级的能力 是否可以通过平滑的软硬件升级支持未来的新业务和新特性 和IP地址 路由协议规划等方面考虑 可运营性原则仅仅提供IP级别的连通是远远不够的 网络是否能够提供丰富的业务 足够健壮的安全级别 对关键业务的QOS保证 搭建网络的目的是真正能够给用户带来效益 可管理原则提供灵活的网络管理平台 利用一个平台实现对系统中的各种类型设备进行统一管理 提供网管对设备进行拓扑管理 配置备份 软件升级 实时监控网络中的流量及异常情况 网络规划流程图 端口选择备份方案 IP地址规划 QOS规划 组播路由协议规划 网管规划 可运营可管理的安全网络 业务隔离及关键业务确保带宽及流量控制 IP连通 物理连通 设备选型 拓扑及板卡规划 路由规划 MPLS VPN规划 策略路由 网络安全部署 课程内容 网络概述设备选型网络拓扑选择端口选择备份方案和板卡的规划IP地址的规划和命名原则网络安全规则原则网络管理系统规划原则 设备选型需要参考的因素 可靠性该设备是否提供关键模块 电源 主控板 的冗余备份 具备何种级别的可靠性转发性能通常做如下考虑 通过某设备的流量 该设备满配最大流量 2 业务支持能力除了普通的IP路由功能外 是否需要该设备支持诸如 NAT 各种VPN 策略路由 等业务属性 CPU ASIC NP 端口支持是否能够提供组网所需要的端口 扩展能力是否能够提供增加板卡以及软件升级提供未来可能需要的性能支持及业务能力支持 CPU ASIC NP 价格因素在综合考虑以上因素的基础上选择适当的设备 只选对的 不选贵的 设备选型需要参考的因素 可靠性转发性能业务支持能力端口支持扩展能力价格因素 课程内容 网络概述设备选型网络拓扑选择端口选择备份方案和板卡的规划IP地址的规划和命名原则网络安全规则原则网络管理系统规划原则 网络拓扑层次设计 接入层 汇聚层 核心层 高速数据交换 路由汇聚及流量收敛 工作组接入和访问控制 网络设计分三层 核心层 汇聚层 接入层 网络中常用的拓扑结构 星形或双星形常见于下层网络与上层之间的拓扑结构 主要的网络流量都在分支节点与核心节点之间发生 两个分支节点之间不通讯或流量很少 网络中常用的拓扑结构 网状或部分网状常见于同一层次 核心层或汇聚层 之间的设备互联 这些设备之间通常都是对等通信 或者这些设备之间需要确保互联而增加很多的冗余链路 网络中常用的拓扑结构 混合组网在同一个网络中 不同的层次之间通常采用不同的拓扑结构 通常核心层或汇聚层采用网状或部分网状相连 核心层与汇聚层或汇聚层与接入层之间采用星形或双星形相连 课程内容 网络概述设备选型网络拓扑选择端口选择备份方案和板卡的规划IP地址的规划和命名原则网络安全规则原则网络管理系统规划原则 网络中常用的端口类型 高速端口 100M以上 POS 155M 622M 2 5G ATM 155M 622M 快速以太网 100MFE GE 10GE 中速端口 10M 100M E3 34 368M T3 44 736M 以太网 10M 低速端口 10M以下 PSTN异步拨号 56K ISDN异步拨号 64K V24同步SA 64K V35同步SA 2M T1 1 54M E1 2M ADSL 2M 8M 网络中常用的端口拆分及聚合 高速端口的拆分ATM接口通过ATM交换机拆分 可以连接任意带宽的ATM接口 CPOS接口通过传输设备拆分 可以连接不同带宽的E1接口 高速以太网通过MSTP传输设备拆分 可以连接任意带宽的以太网接口 E1接口通过DDN节点机设备拆分 可以连接不同带宽的同步串口 优点是上层设备只需提供M个端口就可以连接N个下层设备 M N 低速端口的聚合N个相同带宽为M的以太网接口可以聚合成一个NXM带宽的接口 N个相同带宽为M的串口或E1接口可以聚合成一个NXM带宽的接口 优点是可以用低速的端口提供高速的带宽 聚合后的N个物理接口从逻辑上表现为一个接口 只使用一个IP地址 聚合接口本身的聚合及备份由链路层协议解决 端口的拆分和聚合 高速端口的拆分低速端口的聚合 ATM 155MATM 30M 11M 2M 2ME1 CPOS 2 2ME1 N 2ME1 Ethernet 网络中常用的端口互联方式 对等型互联互联的两台设备之间接口类型及带宽完全相同 例如 E1 E1 100MEthernet 100MEthernet 常用于同一层次之间的设备互联 非对等型同质接口互联互联的两台设备之间的接口类型相同 但带宽不同 例如 ATM ATM交换机 n ATM 例如 1GE MSTP传输设备 n FE 常用于上层设备的1个端口与N个下层设备之间互联 优点是上层设备只需提供M个端口就可以连接N个下层设备 M N 非对等型异质接口互联互联的两台设备之间的接口类型不相同 而且带宽也不同 例如 CPOS 传输设备 n E1 例如 E1 DDN节点机 n 64K 常用于上层设备的1个端口与N个下层设备之间互联 优点是上层设备只需提供M个端口就可以连接N个下层设备 M N 互联方式 对等型互联非对等型同质接口互联非对等型异质接口互联 2ME1 2ME1 1000MEthernet 100MEthernet 100MEthernet 100MEthernet MSTP 2ME1 CPOS 2ME1 2ME1 课程内容 网络概述设备选型网络拓扑选择端口选择备份方案和板卡的规划IP地址的规划和命名原则网络安全规则原则网络管理系统规划原则 网络中常用的备份原则 基本的备份原则备份花费的代价 设备故障带来的损失 通常只考虑N 1备份 即 关键的设备 链路 模块中任何一个出现故障 不会影响整网运行 备份通常从拓扑 设备自身 协议等几方面考虑 备份不仅仅要从逻辑的角度考虑 更需要从物理的角度考虑问题 接入层备份思路通常选择不具备关键模块冗余功能的设备 通常不考虑双机备份或者仅提供双链路级别上行的备份 汇聚层备份思路通常选择具备关键模块冗余功能的设备 通常考虑双机备份 上行通常提供双链路级别的备份 并且汇聚层设备之间考虑环行连接 核心层备份思路通常选择具备电信级可靠性的设备 在拓扑上考虑核心层设备之间网状或部分网状连接 对称性备份与非对称性备份 对称性备份对称方案中主备两种方案所提供的带宽是相等的 备份设备或者备份链路同时也参与运营 需要考虑的是由于等值路由造成的报文路径不同 会导致的上层协议报文重组需要部分等待时间 从而造成效率下降的问题 解决的方案是尽量选择等值路由情况下逐流转发的设备而非逐包转发的设备 非对称性备份非对称方案中备份链路提供较小或相等的带宽 只有在主用链路故障时备份链路才会生效 如果希望备份链路或备份设备也投入运行 可以通过策略路由或路由协议的规划使备份链路运行特定的部分业务流量 备份的基本方式 链路备份 对称性备份非对称性备份 针对主机的备份技术 VRRP 路由器之间的VRRP两台路由器通过一台二层交换机交换VRRP报文信息 并向下提供虚拟IP及MAC地址 主用的路由器同时监控上行接口 上行链路故障或设备故障时会自动切换 虚拟地址 10 0 0 1虚拟MAC 00005eXXXX01 接口10 0 0 2 接口10 0 0 3 监控上行端口 虚拟地址 10 0 0 1虚拟MAC 00005eXXXX01 接口10 0 0 2 接口10 0 0 3 监控上行端口 三层交换机之间的VRRP两台L3通过一条互联的trunk接口交换VRRP报文信息 主用的L3同时监控上行接口 上行链路故障或设备故障时会自动切换 主机通常具备双机热备份机制 同时上连两台L3 针对网络设备的备份技术 链路层的备份PPP协议中的MP可以自动做到捆绑的N条链路之间的自动备份 流量的自动分配 故障时的自动切换 以太网的聚合技术 802 3ad 可以自动做到捆绑的N条链路之间的自动备份 流量的自动分配 故障时的自动切换 IP层的备份IP层的备份原理实际上是利用路由表添加路由的规则来实现的 对于到达相同目的地的路由 路由器只使用最优的一条 如果最优的路由消失 则依据相同的规则选择原来的次优路由 静态路由之间使用优先级不同来控制优劣 不同的动态路由协议之间使用优先级来控制优劣 同一协议内部使用不同的花费值来控制优劣 局域网内整机备份技术IRF通过增加设备来扩展端口数量和交换能力 同时也通过多台设备之间的互相备份增强了设备的可靠性 可以提供基于三层的链路 转发 管理 路由备份 特定技术整机备份 IRF综合弹性结构 integratedresilientframe MasterUnit OSPF RIP 备份信息 设备板卡规划 设备的板卡布局也需要规划 当然 原则是 不要把所有的鸡蛋放在同一个篮子里 如果有M个鸡蛋和N个篮子 尽量把M个鸡蛋平均放在N个篮子里 使得当失去一个篮子时损失的鸡蛋数量 M N 向上取整 当某台设备上同时存在高速及低速接口时 板卡布局时要充分考虑到设备的性能 MPLS骨干网 155MPOS 2XE1 已知 某NE16E配置了两块POS卡 两块8E1卡 两块VIU板 它的实际连接情况如图所示 请画出它的最佳面板布局图 设备板卡规划 最佳方案 最差方案 课程内容 网络概述设备选型网络拓扑选择端口选择备份方案和板卡的规划IP地址的规划和命名原则网络安全规则原则网络管理系统规划原则 IP地址规划的重要性 IP地址的合理规划是网络设计中的重要一环 大型网络必须对IP地址进行统一规划并得到实施 IP地址规划的好坏 影响到网络路由协议算法的效率 影响到网络的性能 影响到网络的扩展 影响到网络的管理 也必将直接影响到网络应用的进一步发展 如果要看一个网络的规划质量 如果要看一个网络设计师的技术水准 直接看他的IP地址规划好了 IP地址规划是一项艺术创造 IP地址规划的基本原则 唯一性 一个IP网络中不能有两个主机采用相同的IP地址 即使使用了支持地址重叠的MPLS VPN技术 也尽量不要规划为相同的地址 连续性连续地址在层次结构网络中易于进行路径叠合 大大缩减路由表 提高路由算法的效率 扩展性地址分配在每一层次上都要留有余量 在网络规模扩展时能保证地址叠合所需的连续性 实意性 望址生义 好的IP地址规划使每个地址具有实际含义 看到一个地址就可以大至判断出该地址所属的设备 这是IP地址规划中最具技巧型和艺术性的部分 最完美的方式是得出一个IP地址公式 以及一些参数及系数 通过计算得出每一个需要用到的IP地址 IP地址的分类 loopback地址 loopback地址概述为了方便管理 会为每一台路由器创建一个loopback接口 并在该接口上单独指定一个IP地址作为管理地址 管理员会使用该地址对路由器远程登录 telnet 该地址实际上起到了类似设备名称一类的功能 同时各种上层协议需要使用TCP或UDP来建立连接时也需要使用该地址作为源地址 loopback地址规划技巧务必使用32位掩码的地址 最后一位是奇数的表示路由器 是偶数的表示交换机 越是核心的设备 loopback地址越小 为什么核心设备要使用较小的loopback地址 IP地址的分类 互联地址 互联地址概述互联地址是指两台网络设备相互连接的接口所需要的地址 互联地址规划技巧务必使用30位掩码的地址 核心设备 使用较小的一个地址 即 loopback地址较小的设备使用互联地址中较小的一个 互联地址通常要聚合后发布 在规划时要充分考虑使用连续的可聚合地址 IP地址的分类 业务地址 业务地址概述业务地址是连接在以太网上的各种服务器 主机所使用的地址以及网关的地址 业务地址规划技巧所有的网关地址统一使用相同的末位数字 如 254都是表示网关 已知某省电力调度网情况如下 网络分为中调 核心层 地调 汇聚层 厂站 接入层 三级 全网使用MPLS VPN技术 共划分4个VPN 全网共分配2个B类地址 10 21 X X 10 22 X X 每台中调和地调路由器下面有两台3层交换机 每台厂站路由器下面有两台二层交换机 IP地址规划实例 组网图 主路由器 备路由器 某省电力调度中心 NN地调 BH地调 GG地调 YL地调 WZ地调 GL地调 LZ地调 HC地调 FCG地调 QZ地调 SX LC STI WY LD NN PG CK PY BB TB TH CP CW YL PP DA SB DZ TX CW PL DS LB DC DF HZ MD JL STA YEL YL YS LB LX CH SH XZ SP MT JM XX LW 确定地址块的划分原则 确定有哪几类地址要规划 核心层需要规划的地址汇聚层需要规划的地址接入层需要规划的地址确定地址块划分的总体原则先纵向划分 再横向划分 即 按照业务先将地址划分为公网 VPN1 VPN4共5大块 然后再按照地域在每一个地址块中为每一个地市划分一个地址块 先横向划分 再纵向划分 即 按照地域将地址划分为多块 每个地市一个地址块 然后再按照业务将每个地市的地址块划分为 公网 VPN1 VPN4共5块 哪一种方案更合理 为什么 公网及私网地址的规划 公网地址的划分原则 以地域或设备为划分一个大的地址块的单位 对于同时属于上下两级设备的地址归属为了便于记忆 所有地址块内部的划分原则上都是相同的 私网地址的划分原则 总体地址块的划分 PE与CE之间的互联地址划分 VPN内业务地址划分 IP地址的分类 XX省电力调度网 公网地址划分以核心设备 中调及地调 为标志划分N个地址块 每个地址块共占用1个C 内部划分为5块 本设备的loopback地址 及与本设备相连的交换机的loopback地址 1 11 与本设备互联的交换机的互联地址 12 55 与本设备互联的下级设备的互联地址 56 140 对于地调 下级设备 厂站 的loopback地址 141 180 对于地调 下级设备 厂站 与交换机之间的互联地址 180 212 213 255 保留 所有地调的划分完全相同 每块地址块的大小取所有的地调中需求最多的 并且充分考虑到扩展性 每个地调的所使用的地址段相隔4个C类地址 相隔4个是为了与后面VPN的地址规划相同 并且该地调地址的第3个8位与该地调所属的OSPF区域也相同 IP地址的分类 XX省电力调度网 VPN地址的划分将一个B类地址平均分为4块 VPNn的起始地址为 10 91 An X 其中An n 1 64 1 下面以VPN1为例 其他3个VPN的地址在此基础上 n 1 64 PE与CE之间的互联地址划分 使用每个VPN范围内的最后一个C类地址 作为第三个8位 VPN内业务地址划分 每个VPN的业务网段划分 26掩码的地址 每个地调的业务网段的第一个VPN的起始位 第三个8位 与该地调的公网地址的第三个8位相同 其他3个VPN第三个8位在第一个VPN的基础上 n 1 64 设备命名规范 sysname规划 为了保证以后的管理方便 通常需要为设备统一命名 可以采用以下命名方法 AA B YYYY XAA 表示该设备所属的级别和名称 通常的规则是取汉字拼音的首字母缩写 例如 BJ 北京 也可以灵活运用大小写字母及增加后缀来表示不同级别的设备 HaiDian 海淀B 表示设备的厂商名称 本次工程使用华为3Com公司产品 则 B为H3YYYY 表示设备型号 如NE16E S6503等 X 表示如果前三项相同的设备 用字母编号A B标识 设备命名规范 接口description规划 为了准确表明每个接口对端的连接保证以及带宽 需要为每一个使用的接口配置description描述信息 通常采用以下命名方法 to对端设备名带宽 其中对端设备名使用前一节讲到的sysname规划方法 例子 descriptiontoZD H3 NE16E 28M表示 该端口对端设备中心备用NE16E路由器 带宽为8M 设备命名规范 接口命名 除了设备固定的接口之外 我们常常会手工创建一些接口 例如 MP接口 以太网子接口 VLAN接口等 对这些接口后面分配的数字应该尽量包含实际的意义 mp groupA B C 接口的A表示槽位 B表示卡位 是固定的 C可以设置为能够包含对端设备信息的数字 例如对端设备loopback接口地址中明确区分自身信息的一位 或者是对端设备所属的OSPF区域号等等信息 以太网子接口务必要将子接口数字与VLAN信息保持一致 VLAN接口的数字要全局统一规划 例如 使用100 200表示VPN的VLAN 使用1000表示网管的VLAN等 课程内容 网络概述设备选型网络拓扑选择端口选择备份方案和板卡的规划IP地址的规划和命名原则网络安全规则原则网络管理系统规划原则 网络安全规划的基本原则 网络安全是一个复杂的体系结构 涉及到几乎全网中的任何设备以及任何层次 网络安全只是一个相对的概念 无论你付出多大的代价 都不存在绝对安全的网络 部署网络安全通常会带来副作用 例如 占用带宽 降低设备的处理能力 给使用和管理网络带来诸多不便之处 所以要在网络的安全和性能之间找到恰当的平衡点 网络安全规划 识别服务 访问控制 访问控制所有的网络设备必须配置super密码 telnet的口令及密码 并定期修改 telnet需要在VTY中设置访问列表 对无访问需求的源地址进行过滤 例如 在连接内外网的防火墙上禁止来自外网的telnet访问 在PE设备上禁止来自VPN私网用户的telnet访问 如果RIP和OSPF等动态路由协议在某些接口上 通常是以太网口 启动协议的目的仅仅是为了发布路由 而无需建立邻居 则务必将这些接口设置为silenceinterface 防止路由欺骗 对于OSPF等在接口上支持MD5认证的路由协议 不建议配置MD5认证 原因如下 由于需要为每一条链路分配一组不同的密码 配置和管理的工作量极大 如果所有的链路都分配相同的密码 则安全性会较差 路由欺骗在广域网上很难实施 主要发生在局域网接口 通过silenceinterface已经很好的解决了这个问题 网络安全规划 识别服务 访问控制 访问控制对于没有任何互访需求的业务可以使用MPLS VPN技术将其隔离 实现在同一张物理网络中的业务隔离 识别服务当无法从物理上控制访问者的来源时 例如 WLAN接入 来自外网的访问等等 务必要使用相应的鉴权及认证手段进行识别服务 对于来源不可靠的以太网接入可以使用802 1x认证 通过RADIUS实现AAA认证 可以对各种接入用户统一集中进行鉴权及认证 控制策略 认证授权 WLAN接入 在WLAN中 当无法从物理上控制访问者的来源时 务必要使用相应的鉴权及认证手段进行识别服务 在AP上禁止ESSID广播MAC过滤对接入用户进行802 1x身份认证使用加密无线信道 控制策略 认证授权 以太网接入 对于来源不可靠的以太网接入使用802 1x认证配合CAMS进行 支持防代理上网 提供运营商带宽安全使用EAD 端点准入防御 技术 隔离可能危险用户 控制策略 认证授权 RADIUS AAA 通过RADIUS实现AAA认证 可以对各种接入用户统一集中进行认证和授权采用HWTACACS协议代替RADIUS实现对验证报文主体全部进行加密支持对路由器上的配置实现分级授权使用 认证服务器 Modem接入 ADSL接入 LAN接入 WLAN接入 控制策略 认证授权 移动客户 移动用户客户端SECPoint的远程接入验证传统用户名 密码方式双因素认证SecKEYPKI CA体系验证方式 控制策略 业务隔离 以太网接入 普通二层以太网网络中采用VLAN进行隔离 小区以太网接入应用中在接入层交换机上配置Isolate user VLAN 禁止接入用户之间互访 建议在接入交换机接入端口配置广播抑制门限 1 2 3 4 控制策略 业务隔离 ACL VPN 采用访问控制列表ACL进行L1层 L4层隔离对于大型网络中可以使用MPLSVPN技术 实现在一张基础网络下多种业务间的复杂隔离需求 安全组网 安全传输 安全传输当数据在网络传输的过程中无法确保安全时通常需要使用一定的安全技术 加密技术IPSec应用为IP协议组提供了网络层的安全能力 发送主机对IP报文进行加密 目的端点对源端点进行身份验证 可以确保报文的完整性和隐秘性 WLAN的报文传输过程可以使用WEP WAP等加密手段确保报文的安全传送 采用WAP可以支持更长的加密密钥 避免采用静态加密密钥 安全组网 VPN 报文在传输的过程中将其封装在隧道里 使其对沿途经过的设备不可见 从而保证其安全性 常用对安全性要求不高的简单环境 L2TP GRE利用同IPSEC安全协议配合 实现安全保密的VPN 安全防御 网络防护 续 当内部网络与外部网络相连时 需要对内部网络进行必要的网络防护措施 即使在不需要与外网相连的情况下 也需要对内部网络中异常重要的服务器进行防护 网络防护主要通过防火墙设备来实施 安全防御 包过滤防火墙 容易实施 几乎所有网络设备都支持ACL特性应用于接口或者安全区域 分出入方向采用ACL进行物理层到传输层的控制 配置包过滤防火墙进行网络病毒防范 安全防御 ASPF ASPF状态防火墙同包过滤防火墙共用时 应注意在相同出接口或入接口上应用使用NAT时 可以不需要再启用ASPFNAT也是基于状态的 对出方向的报文建立状态表 起到单向访问控制作用 安全防御 拒绝服务和扫描 拒绝服务类攻击扫描类攻击畸形报文攻击 非军事区 DMZ de militarizedzone 用以隔离内部和外部网络内部网络只允许内部用户访问 DMZ区提供有条件的对外服务外部过滤器只允许外部流量进入 内部过滤器只允许内部流量进入DMZ从不启动与内部网络的连接当DMZ中的主机受到威胁时内部流量也不会受到监听 内部过滤器仍然受到保护 网络安全规划 非军事区应用 网络安全规划 日志记录 日志记录日志记录可以准确的记下设备运行过程中发生的各种软件异常信息 链路异常信息 对设备的各种命令操作等 日志记录可以在事后对各类故障进行分析 便于事后进行追踪 改善网络的安全部署策略 日志记录的类别设备运行时务必设置记录日志 如果条件允许 尽量将需要将日志信息发送到特定的日志主机 为了减少日志信息量 应该只记录重要的告警信息 务必记录对设备所有的操作信息 课程内容 网络概述设备选型网络拓扑选择端口选择备份方案和板卡的规划IP地址的规划和命名原则网络安全规则原则网络管理系统规划原则 网管规划基本原则 哪些设备需要管理如果网络规模不大 可以管理全网所有的三层设备 包括部分支持三层访问功能的二层交换机 如果网络规模很大 可以只选择比较重要的设备 但通常应该包含所有的路由器 网管设备如何与网络设备连接通常网管工作站直接与网络中最核心的设备相连 直接连接到该设备的以太网口或通过交换机与之相连 使用带内网管还是带外网管带内网管 网管的相关报文流量与网络中的数据流量等同对待 优点是充分利用网络中的设备和带宽 缺点是设备或链路故障会导致网管中断 通常都使用带内网管 带外网管 即 为了网管流量而单独建立一套数据通道 优点是确保网管数据的绝对安全可靠和优先级 缺点是代价过于昂贵 几乎不会使用带外网管 网管设备的IP地址规划取出特定的一个网段 专门为网管工作站使用 该地址尽量固定 不要随意更改 网管规划基本原则 RMON的使用是一种在网络设备侧的探针技术 根据事先定义好的数据组类型采集设备的告警 性能等信息 以MIB的形式储存在设备上 等待网管设备使用SNMP协议读取 本来是一种很好的思想和理念 但由于目前支持RMON技术的硬件芯片很少 所有的报文都需要送交CPU处理 会严重影响设备的性能 所以 不推荐使用 选择SNMP的版本V1 SNMP的最早期版本 实现最基本的功能 V2c 增加了几种64位的数据类型以及RMON2的扩充 V3 在安全性方面做了较多的改进 对网管报文使用了MD5等一些加密算法 并且可以定义不同的用户视图 限制不同级别的用户可以访问的不同的MIB V3比较繁琐 推荐使用V1或V2c 网管规划 设备侧的规划 Trap的规划Trap的使能 Trap需要发送给的主机IP地址 即网管工作站的IP地址 Trap发送时的源地址 该设备的loopback地址 SNMP的规划SNMP的使能明确本网络需要使用的SNMP的版本 只配置本网络规划需要使用的版本 尽量不要配置为versionall v1 v2c配置团体字 v3配置用户 组 访问视图 团体字的命名需要遵循以下原则 不要简单的使用public和private 但也无需将其配置的与密码一样复杂 尽量具备一定的实际含义即可 网管规划 网管侧的规划 设备已经增加在拓扑图上 注意拓扑上设备的管理IP必须和设备上配置的trap源地址一致故障的声光控制故障的维护经验故障的过滤故障的拓扑定位告警 事件的查询 实时 当前 历史 建立查询模板告警的统计 网管规划 网管分级管理 何时需要部署分级网管网络规模过于庞大 网络中的所有设备都很重要 都需要管理 在一台网管工作站中管理的设备数量已经远远超过了该网管的性能极限 分级规划按照网络本身的地域特点或层次特点进行分级部署多套网管 上级网管只管理核心层的全部设备以及汇聚层的关键设备 下级网管管理本区域内的全部设备以及与本区域相连的核心设备 通过在设备上设置不同的团体字进行区分