单核心校园网建设规范与思路-锐捷网络-网络解决方课件.ppt

1、单核心校园网建设规范与思路单核心校园网建设规范与思路技术培训中心技术培训中心学习目标l掌握单核心结构校园网络结构特点l掌握单核心结构校园网建设规范及思路课程内容l第一章第一章 单核心网络常见拓扑结构单核心网络常见拓扑结构l第二章 基本配置规范l第三章 IP地址及VLAN规划l第四章 路由协议规划l第五章 出口策略设计l第六章 网络安全优化设计3第一章 单核心网络常见拓扑结构 第一章 单核心网络常见拓扑结构 第一章 单核心网络常见拓扑结构 l什么样的校园网会采用单核心网络结构呢?规模小信息点少对于网络冗余备份要求不高中小学网络最为常见中小学网络最为常见课程内容l第一章 单核心网络常见拓扑结构l第

2、二章第二章 基本配置规范基本配置规范l第三章 IP地址及VLAN规划l第四章 路由协议规划l第五章 出口策略设计l第六章 网络安全优化设计7第二章 基本配置规范l基本配置：主机命名 如果客户有规范或明确合理要求，则按照客户的规范或规范进行配置。如金融行业规范。如果客户没有规范或明确合理要求，可参考设备位置、网络位置、设备型号、设备编号等因素，在项目中制定统一的命名规范，如下所示：第二章 基本配置规范l基本配置包括：主机命名设备互联接口描述 项目中所有涉及到可网管设备互联的端口必须配置端口描述 第二章 基本配置规范l基本配置包括：主机命名设备互联接口描述登陆密码配置 项目中所有可网管设备必须配置

3、特权密码及远程登陆密码 第二章 基本配置规范l基本配置包括：主机命名设备互联接口描述登陆密码配置系统时间配置 项目中所有可网管设备必须重新设置正确的系统时间 手工设置 设置时间服务器第二章 基本配置规范l基本配置包括：主机命名设备互联接口描述登陆密码配置系统时间配置二层交换机管理IP配置 项目中可网管二交换机必须配置管理IP地址，供管理员远程管理设备所用 第二章 基本配置规范l基本配置包括：主机命名设备互联接口描述登陆密码配置系统时间配置二层交换机管理IP配置提升网络的可管理程度提升网络的可管理程度课程内容l第一章 单核心网络常见拓扑结构l第二章 基本配置规范l第三章第三章 IP地址及地址及V

4、LAN规划规划l第四章 路由协议规划l第五章 出口策略设计l第六章 网络安全优化设计14第三章 IP地址及VLAN规划 l校园网IP地址分类：按照不同功能用途：用户IP地址 设备管理地址 二层设备与三层设备 三层设备互联地址l校园网VLAN分类：同IP地址相对应：用户VLAN 设备管理VLAN 二层设备 三层设备互联VLAN 可选第三章 IP地址及VLAN规划l单核心二层网络结构IP地址及VLAN划分 用户用户IPIP地址地址 设备管理设备管理IPIP地址地址 设备互联设备互联IPIP地址地址第三章 IP地址及VLAN规划l单核心二层网络结构IP地址及VLAN划分 用户用户VLANVLAN 设

5、备管理设备管理vlanvlan 设备互联设备互联VLANVLAN 设备管理设备管理vlanvlan 用户用户VLANVLAN第三章 IP地址及VLAN规划l单核心三层网络结构IP地址及VLAN划分 用户用户IPIP地址地址 设备管理设备管理IPIP地址地址 设备互联设备互联IPIP地址地址 设备管理设备管理IPIP地址地址 设备管理设备管理IPIP地址地址第三章 IP地址及VLAN规划l单核心三层网络结构IP地址及VLAN划分 用户用户VLANVLAN 设备管理设备管理vlanvlan 设备互联设备互联VLANVLAN 用户用户VLANVLAN 设备管理设备管理vlanvlan第三章 IP地址

6、及VLAN规划l需要考虑的因素用户VLAN与设备管理VLAN分开(IP地址)汇聚汇聚/核心交换机核心交换机接入交换机接入交换机VLAN 100VLAN 10010.1.100.0/2410.1.100.0/24用户用户IPIP地址段地址段VLAN 100VLAN 100interface interface vlanvlan 100 100ipip address 10.1.100.254/24 address 10.1.100.254/24网关网关IPIP地址地址接入交换机管理接入交换机管理IPIP地址地址interface interface vlanvlan 100 100ipip ad

7、dress 10.1.100.253/24 address 10.1.100.253/241.1.当当ARPARP欺骗发生时欺骗发生时,会影响到网络设备的管理会影响到网络设备的管理2.2.网络设计混乱网络设计混乱,给网络运维带来一定风险给网络运维带来一定风险第三章 IP地址及VLAN规划l需要考虑的因素用户VLAN与设备管理VLAN分开(IP地址)汇聚汇聚/核心交换机核心交换机接入交换机接入交换机VLAN 100VLAN 10010.1.100.0/2410.1.100.0/24用户用户IPIP地址段地址段VLAN 100VLAN 100interface interface vlanvlan

8、 100 100ipip address 10.1.100.254/24 address 10.1.100.254/24网关网关IPIP地址地址接入交换机管理接入交换机管理IPIP地址地址interface interface vlanvlan 200 200ipip address 10.1.200.253/24 address 10.1.200.253/24VLAN 200VLAN 200接入交换机管理接入交换机管理VLANVLANVLAN 200VLAN 200接入交换机管理网段网关接入交换机管理网段网关IPIPinterface interface vlanvlan 200 200ip

9、ip address 10.1.200.254/24 address 10.1.200.254/24第三章 IP地址及VLAN规划l需要考虑的因素用户VLAN与设备管理VLAN分开(IP地址)为网络扩容进行可汇总的预留设计VLAN 100VLAN 10010.1.100.0/2410.1.100.0/24VLAN 101VLAN 10110.1.101.0/2410.1.101.0/24VLAN 201VLAN 20110.1.201.0/2410.1.201.0/24VLAN 200VLAN 20010.1.200.0/2410.1.200.0/24没有进行预留设计没有进行预留设计,造成造成

10、IPIP地址的不连续地址的不连续,不利于汇总不利于汇总第三章 IP地址及VLAN规划l需要考虑的因素用户VLAN与设备管理VLAN分开(IP地址)为网络扩容进行可汇总的预留设计需要提前为新增的网络进行需要提前为新增的网络进行IPIP地址及地址及VLANVLAN的设计的设计,包包括用户括用户IPIP地址、设备管理地址以及设备互联地址地址、设备管理地址以及设备互联地址VLAN 100VLAN 10010.1.100.0/2410.1.100.0/24VLAN 110VLAN 11010.1.110.0/2410.1.110.0/24VLAN 101VLAN 10110.1.101.0/2410.1

11、.101.0/24VLAN 120VLAN 12010.1.120.0/2410.1.120.0/24第三章 IP地址及VLAN规划l需要考虑的因素用户VLAN与设备管理VLAN分开(IP地址)为网络扩容进行可汇总的预留设计IP地址与VLAN编号(其他相关因素)有一定的对照性VLAN 100VLAN 10010.1.100.0/2410.1.100.0/24用户用户IPIP地址段地址段用户用户VLANVLAN1 1楼号楼号第三章 IP地址及VLAN规划l需要考虑的因素用户VLAN与设备管理VLAN分开(IP地址)为网络扩容进行可汇总的预留设计IP地址与VLAN编号(其他相关因素)有一定的对照性

12、VLAN 100VLAN 10010.1.100.0/2410.1.100.0/24用户用户IPIP地址段地址段用户用户VLANVLAN1 1楼号楼号课程内容l第一章 单核心网络常见拓扑结构l第二章 基本配置规范l第三章 IP地址及VLAN规划l第四章第四章 路由协议规划路由协议规划l第五章 出口策略设计l第六章 网络安全优化设计26第四章 路由协议规划l单核心二层结构网络路由协议规划静态默认路由静态默认路由静态回指汇总路由静态回指汇总路由第四章 路由协议规划l单核心三层结构网络静态路由协议规划静态默认路由静态默认路由静态回指汇总路由静态回指汇总路由(全网全网)静态默认路由静态默认路由静态回指

13、汇总路由静态回指汇总路由(局部局部)第四章 路由协议规划l单核心三层结构网络动态路由协议规划一静态默认路由静态默认路由静态回指汇总路由静态回指汇总路由(全网全网)Area 0Area 0Area 10Area 10Area 20Area 20Area 30Area 30第四章 路由协议规划l单核心三层结构网络动态路由协议规划一第四章 路由协议规划l单核心三层结构网络路由协议规划二静态默认路由静态默认路由静态回指汇总路由静态回指汇总路由(全网全网)Area 0Area 0Area 10Area 10Area 20Area 20Area 30Area 30第四章 路由协议规划l单核心三层结构网络路

14、由协议规划二课程内容l第一章 单核心网络常见拓扑结构l第二章 基本配置规范l第三章 IP地址及VLAN规划l第四章 路由协议规划l第五章第五章 出口策略设计出口策略设计l第六章 网络安全优化设计33第五章 出口策略设计l出口区域类型（按照设备、线路数量）：单出口设备单线路单出口设备双（多）线路双出口设备双（多）线路第五章 出口策略设计l单出口设备单线路核心层设备核心层设备出口设备出口设备内部校园网内部校园网静态默认路由静态默认路由静态回指汇总路由（全网）静态回指汇总路由（全网）默认路由默认路由源地址转换为公网地址源地址转换为公网地址第五章 出口策略设计l单出口设备双（多）线路核心层设备核心层设

15、备出口设备出口设备内部校园网内部校园网静态默认路由静态默认路由静态回指汇总路由（全网）静态回指汇总路由（全网）教育网明细路由教育网明细路由默认路由默认路由源地址转换为教育网地址源地址转换为教育网地址源地址转换为公网地址源地址转换为公网地址第五章 出口策略设计l单出口设备双（多）线路核心层设备核心层设备出口设备出口设备内部校园网内部校园网对外发布的教育网服务器对外发布的教育网服务器internet用户用户公网公网IP地址地址返回的数据包匹配了默认路由，返回的数据包匹配了默认路由，源源IP地址转换为公网地址转换为公网IP地址地址源源IP：公网：公网IP目的目的IP：教育网：教育网IP源源IP：公网

16、：公网IP目的目的IP：公网：公网IPTCP会话中断会话中断第五章 出口策略设计l单出口设备双（多）线路核心层设备核心层设备出口设备出口设备内部校园网内部校园网对外发布的教育网服务器对外发布的教育网服务器internet用户用户公网公网IP地址地址应用基于源地址的策略路由应用基于源地址的策略路由,强制源地址强制源地址为服务器私有为服务器私有IP地址的数据包在进行转地址的数据包在进行转发时发时,下一跳为教育网接口下一跳下一跳为教育网接口下一跳源源IP：公网：公网IP目的目的IP：教育网：教育网IP源源IP：教育网：教育网IP目的目的IP：公网：公网IP第五章 出口策略设计l单出口设备双（多）线路

17、核心层设备核心层设备出口设备出口设备内部校园网内部校园网默认路由默认路由静态回指汇总路由静态回指汇总路由电信电信联通联通多于两个出口线路如何规划多于两个出口线路如何规划第五章 出口策略设计l双出口设备双（多）线路核心层设备核心层设备出口设备出口设备默认路由默认路由教育网明细路由教育网明细路由静态回指汇总路由静态回指汇总路由静态回指汇总路由静态回指汇总路由默认路由默认路由默认路由默认路由源地址转换为教育网地址源地址转换为教育网地址源地址转换为公网地址源地址转换为公网地址课程内容l第一章 单核心网络常见拓扑结构l第二章 基本配置规范l第三章 IP地址及VLAN规划l第死章 路由协议规划l第五章 出

18、口策略设计l第六章第六章 网络安全优化设计网络安全优化设计41第六章 网络安全优化设计l什么是安全优化设计？安全设计：使网络更稳定运行优化设计：使网络更合理运行l根据园区网的层次进行分类：接入层设备安全优化设计汇聚层设备安全优化设计核心层设备安全优化设计出口区域设备安全优化设计第六章 网络安全优化设计l接入层设备安全优化设计VLAN修剪防范下联环路防范非法DHCP服务器防范DHCP环境下使用静态IP地址保证静态IP环境下地址唯一性防范ARP欺骗第六章 网络安全优化设计l接入层设备安全优化设计VLAN修剪VLAN 10 20 30 40VLAN 10VLAN 20VLAN 30trunktrun

19、ktrunkVLAN 10内内的广播流量的广播流量该交换机收到该交换机收到tag标记为标记为10的数据帧的数据帧,发现本地没发现本地没有有VLAN10,于是丢弃于是丢弃SW1虽然广播流量被丢弃，但是如果当其他虽然广播流量被丢弃，但是如果当其他VLANVLAN内产生内产生大量广播时，上联联路也是会受到严重影响。大量广播时，上联联路也是会受到严重影响。第六章 网络安全优化设计l接入层设备安全优化设计VLAN修剪VLAN 10 20 30 40VLAN 10VLAN 20VLAN 30trunktrunktrunkVLAN 10内内的广播流量的广播流量只容许只容许VLAN 30通过通过SW1只容许只

20、容许VLAN 30通过通过第六章 网络安全优化设计l接入层设备安全优化设计VLAN修剪防范下联环路防范非法DHCP服务器防范DHCP环境下使用静态IP地址保证静态IP环境下地址唯一性防范ARP欺骗第六章 网络安全优化设计l接入层设备安全优化设计防范下联环路汇聚交换机汇聚交换机接入交换机接入交换机汇聚交换机汇聚交换机接入交换机接入交换机HUB汇聚交换机汇聚交换机接入交换机接入交换机HUB第六章 网络安全优化设计l接入层设备安全优化设计防范下联环路 采用生成树解决环路问题BPDUBPDUBPDU如何解决单端口下的环路呢?fa0/24fa0/24fa0/24第六章 网络安全优化设计l接入层设备安全优

21、化设计防范下联环路 采用生成树解决环路问题BPDUfa0/24fa0/24fa0/24可能存在的问题?默认开启生成树的默认开启生成树的非网管交换机非网管交换机BPDU下联端口开启下联端口开启BPDU GuardBPDU Guard第六章 网络安全优化设计l接入层设备安全优化设计防范下联环路 采用生成树解决环路问题接入交换机2汇聚交换机接入交换机N接入交换机1接入交换机下联端口开启spanning portfast 以及spanning-tree bpduguard 功能接入交换机上联端口开启spanning-tree bpdufilter功能第六章 网络安全优化设计l接入层设备安全优化设计防范

22、下联环路 采用RLDP解决环路问题RLDPRLDPRLDPfa0/24fa0/24fa0/24第六章 网络安全优化设计l接入层设备安全优化设计VLAN修剪防范下联环路防范非法DHCP服务器防范DHCP环境下使用静态IP地址保证静态IP环境下地址唯一性防范ARP欺骗第六章 网络安全优化设计l接入层设备安全优化设计防范非法DHCP服务器校园网校园网DHCP服务器服务器汇聚交换机汇聚交换机接入交换机接入交换机PC非法非法DHCP服务器服务器DHCP DiscoverDHCP Discover非法非法DHCP Offer合法合法DHCP OfferDHCP RequestDHCP Ack用户从非法用户

23、从非法DHCP处获得了不正确的处获得了不正确的IP地址地址,导致无法正常访问网络导致无法正常访问网络第六章 网络安全优化设计l接入层设备安全优化设计防范非法DHCP服务器校园网校园网DHCP服务器服务器汇聚交换机汇聚交换机接入交换机接入交换机PC非法非法DHCP服务器服务器DHCP Snooping Trust接口接口DHCP Snooping Untrust接口接口DHCP Offer/ACK第六章 网络安全优化设计l接入层设备安全优化设计VLAN修剪防范下联环路防范非法DHCP服务器防范DHCP环境下使用静态IP地址保证静态IP环境下地址唯一性防范ARP欺骗第六章 网络安全优化设计l接入层

24、设备安全优化设计防范DHCP环境下使用静态IP地址校园网校园网DHCP服务器服务器汇聚交换机汇聚交换机接入交换机接入交换机PC通过通过DHCP动态获取的动态获取的IP地址地址10.1.100.1/24手工配置静态手工配置静态IP地址地址10.1.100.1/24引起引起IP地址冲突地址冲突,影响其他用户的正常使用影响其他用户的正常使用第六章 网络安全优化设计l接入层设备安全优化设计防范DHCP环境下使用静态IP地址校园网校园网DHCP服务器服务器汇聚交换机汇聚交换机接入交换机接入交换机PC通过通过DHCP动态获取的动态获取的IP地址地址10.1.100.1/24手工配置静态手工配置静态IP地址

25、地址10.1.100.1/24ip dhcp snooping binding 0000.0000.0001 vlan 11 ip 1.1.1.1 interface fastEthernet 0/1ip dhcp snooping binding 0000.0000.0002 vlan 11 ip 1.1.1.2 interface fastEthernet 0/2通过手工配置的通过手工配置的IP地址将无法访问网络地址将无法访问网络第六章 网络安全优化设计l接入层设备安全优化设计VLAN修剪防范下联环路防范非法DHCP服务器防范DHCP环境下使用静态IP地址保证静态IP环境下地址唯一性防范A

26、RP欺骗第六章 网络安全优化设计l接入层设备安全优化设计保证静态IP环境下地址唯一性 防止用户私自篡改分配的IP地址 端口安全 DHCP Snooping静态绑定 结合SAM第六章 网络安全优化设计l接入层设备安全优化设计VLAN修剪防范下联环路防范非法DHCP服务器防范DHCP环境下使用静态IP地址保证静态IP环境下地址唯一性防范ARP欺骗第六章 网络安全优化设计l接入层设备安全优化设计防范ARP欺骗 ARP Check 供检查的地址表项的产生方法 通过端口安全方式获取地址表项 通过DHCP Snooping方式获得地址表项 通过802.1X认证的IP授权模式获取地址表项GSN 立体ARP防

27、御第六章 网络安全优化设计l汇聚层设备安全优化设计VLAN修剪防病毒ACLOSPF被动接口OSPF特殊区域OSPF区域路由汇总第六章 网络安全优化设计l汇聚层设备安全优化设计OSPF被动接口OSPF核心交换机核心交换机汇聚交换机汇聚交换机接入交换机接入交换机汇聚交换机上所有的三层接汇聚交换机上所有的三层接口都口都NetworkNetwork进相应的进相应的AreaAreaOSPF Hello OSPF Hello OSPF Hello第六章 网络安全优化设计l汇聚层设备安全优化设计OSPF被动接口OSPF核心交换机核心交换机汇聚交换机汇聚交换机接入交换机接入交换机汇聚交换机上所有的三层接汇聚交

28、换机上所有的三层接口都口都NetworkNetwork进相应的进相应的AreaAreapassive interface passive interface defualtdefualtOSPFOSPF进程下进程下no passive interface no passive interface 上联接口上联接口第六章 网络安全优化设计l汇聚层设备安全优化设计VLAN修剪防病毒ACLOSPF被动接口OSPF特殊区域OSPF区域路由汇总第六章 网络安全优化设计l汇聚层设备安全优化设计OSPF特殊区域area 0area 11area 21area 31Loopback接口核心层交换机核心层交换机

29、汇聚层交换机汇聚层交换机完全末梢区域完全末梢区域ABR的的OSPF进程下进程下Area 11 stub no-summary非非ABR的的OSPF进程下进程下Area 11 stub 第六章 网络安全优化设计l汇聚层设备安全优化设计VLAN修剪防病毒ACLOSPF被动接口OSPF特殊区域OSPF区域路由汇总第六章 网络安全优化设计l汇聚层设备安全优化设计OSPF区域路由汇总area 0area 11area 21area 31area 41核心层交换机核心层交换机汇聚层交换机汇聚层交换机ABR的的OSPF进程下进程下area 11 range 10.1.0.0 255.255.0.0第六章 网络安全优化设计l核心层设备安全优化设计OSPF特殊区域第六章 网络安全优化设计l出口区域设备安全优化设计带宽管理 可以通过专用带宽管理设备如ACE实现防攻击配置 DDoS、保护主机、保护服务、病毒过滤等日志管理 通过简单日志软件：查询维护功能较差 通过E-LOG系统回顾l第一章 单核心网络常见拓扑结构l第二章 基本配置规范l第三章 IP地址及VLAN规划l第死章 路由协议规划l第五章 出口策略设计l第六章 网络安全优化设计