单核心校园网网络模型规划与设计规范

1 单核心校园网网络模型 规划与设计规范 技术培训中心 2 学习目标 掌握单核心校园网网络模型的结构特点 掌握单核心校园网网络模型规划与设计规范 3 修订记录 修订日期 修订版本 修订描述 作者 2010稿完成。 高志岩 4 课程内容 第一章 单核心网络常见拓扑结构 第二章 基本配置规范 第三章 第四章 路由协议规划 第五章 出口策略设计 第六章 网络安全优化设计 5 第一章 单核心网络常见拓扑结构 6 第一章 单核心网络常见拓扑结构 7 第一章 单核心网络常见拓扑结构 什么样的校园网会采用单核心网络结构呢 ? 规模小 信息点少 对于网络冗余备份要求不高 中小学网络最为常见 8 课程内容 第一章 单核心网络常见拓扑结构 第二章 基本配置规范 第三章 第四章 路由协议规划 第五章 出口策略设计 第六章 网络安全优化设计 9 第二章 基本配置规范 基本配置： 主机命名 如果客户有规范或明确合理要求，则按照客户的规范或要求进行配置。如金融行业规范。 如果客户没有规范或明确合理要求，可参考设备位置、网络位置、设备型号、设备编号等因素，在项目中制定统一的命名规范，如下所示： 10 第二章 基本配置规范 基本配置包括： 主机命名 设备互联接口描述 项目中所有涉及到可网管设备互联的端口必须配置端口描述 11 第二章 基本配置规范 基本配置包括： 主机命名 设备互联接口描述 登陆密码配置 项目中所有可网管设备必须配置特权密码及远程登陆密码 12 第二章 基本配置规范 基本配置包括： 主机命名 设备互联接口描述 登陆密码配置 系统时间配置 项目中所有可网管设备必须重新设置正确的系统时间 手工设置 设置时间服务器 13 第二章 基本配置规范 基本配置包括： 主机命名 设备互联接口描述 登陆密码配置 系统时间配置 二层交换机管理 项目中可网管二交换机必须配置管理 管理员远程管理设备所用 14 第二章 基本配置规范 基本配置包括： 主机命名 设备互联接口描述 登陆密码配置 系统时间配置 二层交换机管理 提升网络的可管理程度 15 课程内容 第一章 单核心网络常见拓扑结构 第二章 基本配置规范 第三章 第四章 路由协议规划 第五章 出口策略设计 第六章 网络安全优化设计 16 第三章 校园网 按照不同功能用途： 用户 设备管理地址 二层设备与三层设备 三层设备互联地址 校园网 同 用户 设备管理 二层设备 三层设备互联 可选 17 第三章 单核心二层网络结构 用户 设备管理 设备互联 18 第三章 单核心二层网络结构 用户 备管理 备互联 备管理 户 9 第三章 单核心三层网络结构 用户 设备管理 设备互联 设备管理 设备管理 20 第三章 单核心三层网络结构 用户 备管理 备互联 户 备管理 1 第三章 需要考虑的因素 用户 汇聚 /核心交换机 接入交换机 00 4 用户 00 00 ip 4 网关 接入交换机管理 00 ip 4 会影响到网络设备的管理 给网络运维带来一定风险 22 第三章 需要考虑的因素 用户 汇聚 /核心交换机 接入交换机 00 4 用户 00 00 ip 4 网关 接入交换机管理 00 ip 4 00 接入交换机管理 00 接入交换机管理网段网关 IP 00 ip 4 23 第三章 需要考虑的因素 用户 为网络扩容进行可汇总的预留设计 00 4 01 4 01 4 00 4 没有进行预留设计 ,造成 不利于汇总 24 第三章 需要考虑的因素 用户 为网络扩容进行可汇总的预留设计 需要提前为新增的网络进行 包括用户 备管理地址以及设备互联地址 00 4 10 4 01 4 20 4 25 第三章 需要考虑的因素 用户 为网络扩容进行可汇总的预留设计 其他相关因素 )有一定的对照性 00 4 用户 用户 楼号 26 课程内容 第一章 单核心网络常见拓扑结构 第二章 基本配置规范 第三章 第四章 路由协议规划 第五章 出口策略设计 第六章 网络安全优化设计 27 第四章 路由协议规划 单核心二层结构网络路由协议规划 静态默认路由 静态回指汇总路由 28 第四章 路由协议规划 单核心三层结构网络静态路由协议规划 静态默认路由 静态回指汇总路由 (全网 ) 静态默认路由 静态回指汇总路由 (局部 ) 29 第四章 路由协议规划 单核心三层结构网络动态路由协议规划一 静态默认路由 静态回指汇总路由 (全网 ) 30 第四章 路由协议规划 单核心三层结构网络动态路由协议规划一 31 第四章 路由协议规划 单核心三层结构网络路由协议规划二 静态默认路由 静态回指汇总路由 (全网 ) 32 第四章 路由协议规划 单核心三层结构网络路由协议规划二 33 课程内容 第一章 单核心网络常见拓扑结构 第二章 基本配置规范 第三章 第四章 路由协议规划 第五章 出口策略设计 第六章 网络安全优化设计 34 第五章 出口策略设计 出口区域类型（按照设备、线路数量） ： 单出口设备单线路 单出口设备双（多）线路 双出口设备双（多）线路 35 第五章 出口策略设计 单出口设备单线路 核心层设备 出口设备 内部校园网 静态默认路由 静态回指汇总路由（全网） 默认路由 源地址转换为公网地址 36 第五章 出口策略设计 单出口设备双（多）线路 核心层设备 出口设备 内部校园网 静态默认路由 静态回指汇总路由（全网） 教育网明细路由 默认路由 源地址转换为教育网地址 源地址转换为公网地址 37 第五章 出口策略设计 单出口设备双（多）线路 核心层设备 出口设备 内部校园网 对外发布的教育网服务器 返回的数据包匹配了默认路由，源 源 网 的 育网 网 的 网 38 第五章 出口策略设计 单出口设备双（多）线路 核心层设备 出口设备 内部校园网 对外发布的教育网服务器 应用基于源地址的策略路由 ,强制源地址为服务器私有 下一跳为教育网接口下一跳 源 网 的 育网 育网 的 网 9 第五章 出口策略设计 单出口设备双（多）线路 核心层设备 出口设备 内部校园网 默认路由 静态回指汇总路由 电信 联通 多于两个出口线路如何规划 40 第五章 出口策略设计 双出口设备双（多）线路 核心层设备 出口设备 默认路由 教育网明细路由 静态回指汇总路由 静态回指汇总路由 默认路由 默认路由 源地址转换为教育网地址 源地址转换为公网地址 41 课程内容 第一章 单核心网络常见拓扑结构 第二章 基本配置规范 第三章 第死章 路由协议规划 第五章 出口策略设计 第六章 网络安全优化设计 42 第六章 网络安全优化设计 什么是安全优化设计？ 安全设计：使网络更稳定运行 优化设计：使网络更合理运行 根据园区网的层次进行分类： 接入层设备安全优化设计 汇聚层设备安全优化设计 核心层设备安全优化设计 出口区域设备安全优化设计 43 第六章 网络安全优化设计 接入层设备安全优化设计 防范下联环路 防范非法 防范 保证静态 防范 44 第六章 网络安全优化设计 接入层设备安全优化设计 0 20 30 40 0 0 0 0内的广播流量 该交换机收到 发现本地没有 是丢弃 然广播流量被丢弃，但是如果当其他 联联路也是会受到严重影响。 45 第六章 网络安全优化设计 接入层设备安全优化设计 0 20 30 40 0 0 0 0内的广播流量 只容许 0通过 容许 0通过 46 第六章 网络安全优化设计 接入层设备安全优化设计 防范下联环路 防范非法 防范 保证静态 防范 47 第六章 网络安全优化设计 接入层设备安全优化设计 防范下联环路 汇聚交换机 接入交换机 汇聚交换机 接入交换机 聚交换机 接入交换机 8 第六章 网络安全优化设计 接入层设备安全优化设计 防范下联环路 采用生成树解决环路问题 何解决单端口下的环路呢 ? 4 4 4 49 第六章 网络安全优化设计 接入层设备安全优化设计 防范下联环路 采用生成树解决环路问题 4 4 4 可能存在的问题 ? 默认开启生成树的非网管交换机 联端口开启 0 第六章 网络安全优化设计 接入层设备安全优化设计 防范下联环路 采用生成树解决环路问题 接入交换机 2 汇聚交换机 接入交换机 N 接入交换机 1 接入交换机下联端口开启及能 接入交换机上联端口开启51 第六章 网络安全优化设计 接入层设备安全优化设计 防范下联环路 采用 4 4 4 52 第六章 网络安全优化设计 接入层设备安全优化设计 防范下联环路 防范非法 防范 保证静态 防范 53 第六章 网络安全优化设计 接入层设备安全优化设计 防范非法 校园网 汇聚交换机 接入交换机 法 法 法 户从非法 导致无法正常访问网络 54 第六章 网络安全优化设计 接入层设备安全优化设计 防范非法 校园网 汇聚交换机 接入交换机 法 5 第六章 网络安全优化设计 接入层设备安全优化设计 防范下联环路 防范非法 防范 保证静态 防范 56 第六章 网络安全优化设计 接入层设备安全优化设计 防范 校园网 汇聚交换机 接入交换机 过 4 手工配置静态 4 引起 影响其他用户的正常使用 57 第六章 网络安全优化设计 接入层设备安全优化设计 防范 校园网 汇聚交换机 接入交换机 过 4 手工配置静态 4 通过手工配置的 部署 P 8 第六章 网络安全优化设计 接入层设备安全优化设计 防范下联环路 防范非法 防范 保证静态 防范 59 第六章 网络安全优化设计 接入层设备安全优化设计 保证静态 防止用户私自篡改分配的 端口安全 结合 0 第六章 网络安全优化设计 接入层设备安全优化设计 防范下联环路 防范非法 防范 保证静态 防范 61 第六章 网络安全优化设计 接入层设备安全优化设计 防范 供检查的地址表项的产生方法 通过端口安全方式获取地址表项 通过 通过 体 62 第六章 网络安全优化设计 汇聚层设备安全优化设计 防病毒 63 第六章 网络安全优化设计 汇聚层设备安全优化设计 心交换机 汇聚交换机 接入交换机 汇聚交换机上所有的三层接口都 4 第六章 网络安全优化设计 汇聚层设备安全优化设计 心交换机 汇聚交换机 接入交换机 汇聚交换机上所有的三层接口都 no 联接口 65 第六章 网络安全优化设计 汇聚层设备安全优化设计 防病毒 66 第六章 网络安全优化设计 汇聚层设备安全优化设计 1 1 1 核心层交换机 汇聚层交换机 完全末梢区域 1 1 67 第六章 网络安全优化设计 汇聚层设备安全优化设计 防病毒 68 第六章 网络安全优化设计 汇聚层设