大型网络WLAN设计方案课件

1、 Benet公司企业需求概述3-1 vBENET公司 一家新型的IT企业 有近300台计算机 公司业务对网络依赖性强 总部位于北京，分别在广州、上海设有分公司 总部设有财务、技术（研发）、生产和销售四个 部门 分公司有销售、生产和财务三个部门 vBENET公司管理结构 Benet公司公司 财务部财务部技术部技术部生产部生产部销售部销售部上海分公司上海分公司广州分公司广州分公司 财务部财务部 生产部生产部 销售部销售部 财务部财务部 生产部生产部 销售部销售部 Benet公司企业需求概述3-2 本章结构 企业需求分析企业需求分析 项目总体规划项目总体规划 子网划分和子网划分和IPIP地址规划地址

2、规划 IPIP地址规划地址规划 VlanVlan划分划分 子网划分子网划分 总体设计总体设计 设备命名和连接规设备命名和连接规 范范 网络交换部分设计网络交换部分设计 VTPVTP设计设计 STPSTP设计设计 通道和通道和VlanVlan间路由间路由 分公司网络部分分公司网络部分 网络总体规划 v对于Benet公司的网络改建需求，应当如何 规划网络建设方案？ v子网如何划分？ v路由部分如何设计？ v交换部分如何设计？ v广域网部分如何实现？ v安全可靠性部分如何实现？ Benet公司网络拓扑图3-1 广州分公司广州分公司 Benet公司北京总公司公司北京总公司 上海分公司上海分公司 Int

3、ernet Benet公司网络 v北京，广州和上海3部分网络组成一个统一的企业 内联网，使用总公司单一出口访问因特网，公司 的服务器等全部在北京总公司实现 v3部分通过路由器互联，使用OSPF，总公司在 Area 0，广州分公司在Area 1，上海分公司在 Area 2 v统一使用单一因特网出口，即为北京总公司出口， 使用1条10M的以太网宽带接入链路 v出口部署1台防火墙以保障内网安全 Benet公司网络 v北京总公司的LAN部分为了保证网络的健壮性和 可靠性，采用全冗余结构 v两台核心交换机采用三层交换机，实现Vlan之间 的路由，同时使用HSRP进行备份 v北京总公司的LAN部分启用VT

4、P和STP v北京总公司的LAN中单独划出一个Vlan作为服务 器的区块，放置系统中所有的服务器 v广州和上海分公司的LAN部分没有复杂应用，此 次不作改建 设备清单与设备命名规范2-1 v项目中都使用了哪些设备，数量有多少？ v这些设备在网络调试的时候是否需要命名， 为什么？ v如果需要命名，应当如何为设备命名？ 设备清单与设备命名规范2-2 设备类型设备数量命名规范举例 二层交换机 9城市缩写-S-编号 BJ-S-1 三层交换机 2 城市缩写-RS-编 号 BJ-RS-1 路由器3城市缩写-R-编号 GZ-R-1 代表二层交换机代表二层交换机 代表三层交换机代表三层交换机 代表路由器代表路

5、由器 设备连接规范2-2 CISCO WS-C3550-24-EMI 1 3 5 7 9 11 2 4 6 8 10 12 13 15 17 19 21 23 14 16 18 20 22 24 Trunk EthernetChannel 连接另一台连接另一台3550 Trunk 连接接入交换机连接接入交换机 路由接口路由接口 连接路由器连接路由器 核心交换机的端口连接核心交换机的端口连接 1 2 Trunk 分别连接分别连接2台台3550 WS-C2950-24 Access 连接主机连接主机 接入交换机的端口连接接入交换机的端口连接 子网、Vlan和IP地址规划2-1 v项目中是否需要划分

6、子网，为什么？ v如果需要划分子网，应该如何划分？ v项目中划分Vlan的作用是什么？ vBenet公司的Vlan应当如何划分？ vBenet公司应该使用哪一类的IP地址，如何规 划？ 子网、Vlan和IP地址规划2-2 vBenet公司采取Vlan和子网对应的划分方式 v路由端口使用/24内的IP地址 地点VlanVlan名称Vlan的内容对应子网 全部Vlan 1Default管理Vlan/24 北京总公司 Vlan 2BJ-CW财务部/24 Vlan 3BJ-GC工程部/24 Vlan 4BJ-X

7、S销售部/24 Vlan 5BJ-YF研发部/24 Vlan 127BJ-Srv服务器 /2 4 广州分公司Vlan 129GZ-all全部部门 /2 4 上海分公司Vlan 130SH-all全部部门 /2 4 VlanVlan命名按如下规则：命名按如下规则： 城市缩写城市缩写- -部门缩写部门缩写/ /功功 能缩写能缩写 分公司的详细分公司的详细VlanVlan划分不划分不 是本次设计内容，是本次设计内容，VlanVlan命命 名为：城市缩写名为：城市缩写-all-al

8、l 网络交换部分总体设计 vBenet公司北京总公司网络交换部分需要使用 如下技术： VTP STP 以太网通道 Vlan间路由 v每种技术所要达到的目的是什么，如何实现？ v具体应当规划设计？ 网络交换部分总体设计 v北京总公司LAN部分 Vlan 25 Vlan 127 Server block EthernetChannel VTP STP HSRP STP设计 Vlan 5Vlan 127Vlan 2Vlan 3Vlan 4 BJ-S-1BJ-S-2BJ-S-3BJ-S-4BJ-S-5BJ-S-6BJ-S-7 BJ-RS-1 Vlan2,5,127 Root BJ-RS-2 Vlan1

9、,3,4 Root v使用PVST，为不同的Vlan指定不同的根网 桥 转发转发 阻塞阻塞 以太网通道和Vlan间路由设计 v两台核心交换机之间使用以太网通道技术 vVlan间的路由通过三层交换机实现 为什么需要应为什么需要应 用这些技术？用这些技术？ 使用三层交换使用三层交换 的优点在哪里？的优点在哪里？ 分公司网络部分 v分公司使用的IP地址发生了变化 广州分公司将使用/24的IP地址， 网关为 上海分公司将使用/24的IP地址， 网关为 v分公司交换机内Vlan的配置发生了变化 v分公

10、司交换机的管理IP地址发生了变化 v分公司增加了路由器，需要按照本方案内路 由部分的规划进行调试，以便和总公司连通 企业需求分析企业需求分析 项目总体规划项目总体规划 子网划分和子网划分和IPIP地址规划地址规划 IPIP地址规划地址规划 VlanVlan划分划分 子网划分子网划分 总体设计总体设计 设备命名和连接规设备命名和连接规 范范 网络交换部分设计网络交换部分设计 VTPVTP设计设计 STPSTP设计设计 通道和通道和VlanVlan间路由间路由 分公司网络部分分公司网络部分 本章总结 BenetBenet公司规划实现公司规划实现 一个全冗余的可靠网一个全冗余的可靠网 络络 在网络的

11、交换部分，在网络的交换部分， 需要考虑需要考虑VTPVTP、STPSTP、 以太网通道和以太网通道和VlanVlan间间 路由如何实现路由如何实现 网络的整体规划需要网络的整体规划需要 考虑设备如何命名、考虑设备如何命名、 子网如何划分、子网如何划分、VlanVlan 如何划分和如何划分和IPIP地址如地址如 何规划等何规划等 统一的设备命名和连统一的设备命名和连 接规范对于提高网络接规范对于提高网络 的可管理可维护性非的可管理可维护性非 常重要常重要 内容回顾 vBenet公司的网络总体规划 北京总公司单一因特网出口 路由采用OSPF协议 交换网络全冗余 v子网划分、Vlan划分、IP地址规

12、划 v交换部分设计 VTP、STP、以太网通道 Vlan间路由 本章结构 企业需求分析企业需求分析 路由部分设计路由部分设计 网络安全性设计网络安全性设计 OSPF DROSPF DR设计设计 路由器路由器IDID规划规划 OSPFOSPF区域规划区域规划 安全建设原则安全建设原则 一般安全策略一般安全策略 广域网部分设计广域网部分设计 网络可靠性设计网络可靠性设计 ACLACL设计设计 HSRPHSRP设计设计 项目实践实验组项目实践实验组 织织 路由部分设计3-1 vBenet公司内联网之间通过3台路由器互相连 通 v使用路由协议为OSPF vOSPF应该如何规划？ OSPF区域 路由器的

13、ID 指定路由器 路由部分设计3-2 Area0 Area2 Totally stub 广州分公司广州分公司 Benet公司北京总公司公司北京总公司 上海分公司上海分公司 Area1 Totally stub 北京总公司在北京总公司在 Area 0Area 0 分公司在非骨干区域，按分公司在非骨干区域，按 成立时间排序成立时间排序 路由部分设计3-3 v分公司区域为完全末梢区域 v路由器ID采用特殊的IP地址 v北京总公司内由路由器ID影响DR、BDR选 举 设备名 称 设备类型区域/放置地点Loopback地址 BJ-R-1路由器Area0、1、2/北 京 BJ-RS-1三层

14、交换机Area0/北京 BJ-RS-2三层交换机Area0/北京 GZ-R-1路由器Area1/广州 SH-R-1路由器Area2/上海 广域网部分设计2-1 vBenet公司仅在北京总 公司有因特网出口 v申请一条以太网方式的 宽带接入链路 v出口部署防火墙 v申请1段公网IP地址 vNAT由防火墙实现 互联网服务提供 商 ISP-X 连接设备ISA防火墙 申请地址段/30 包含地址数4 本端占用地址/30 ISP端占用地址/30 广域网部分设计2-2 Area0 Area2

15、Totally stub Area1 Totally stub 使用命令在使用命令在ospf区域区域 内发布一条缺省路由内发布一条缺省路由 学习到学习到ASBR通告的缺通告的缺 省路由省路由 Totally stub区域会自动区域会自动 产生到产生到ABR的缺省路由的缺省路由 到达因特网的到达因特网的 缺省路由缺省路由 Internet 网络的进一步优化 v网络设计到现在，Benet公司已经全部实现互 联互通，与因特网也能够连通 v那么，设计是否到这里就结束？ v还需要考虑哪部分的内容？ 安全性 可靠性 v应该如何实现？ 网络安全性设计 v已经学习过的网络安全技术有哪些？ v如何应用在Bene

16、t公司网络项目中？ v网络中已经规划了防火墙和入侵检测系统， 我们还能做什么？ v首先，考虑网络的安全设计总体规划 v其次，网络中的一般安全策略 v最后针对项目中的具体情况，对如何保证网 络安全性进行设计 网络安全建设管理原则 v网络建设方案 v机房管理制度 v各类人员职责分工 v部门和人员职责 v安全保密规定 v安全策略文档 v口令管理制度 v系统操作规程 v应急响应方案 v用户授权管理 v安全防护记录 v定期对系统运行、用户 操作等进行安全评估 v其它制度 网络一般安全策略 v保护设备的物理安全 v保护设备的密码 v控制Telnet访问 v禁止CDP v关闭HTTP服务 ACL设计 v北京

17、总公司部分 通过ISA服务器访问因特网 对外屏蔽Telnet 对外屏蔽简单网管协议SNMP 防止DoS攻击 v分公司部分 不允许访问总公司的用户主机和其他分公司 允许访问总公司服务器 允许访问因特网 防火墙上已经做了更防火墙上已经做了更 详细的控制，防火墙详细的控制，防火墙 正常时等于没有正常时等于没有 网络可靠性设计 v网络项目的可靠性包含哪几方面内容？ v都需要使用到哪些技术？ v在前面的设计中都涉及到了哪些？ 冗余链路 STP 路由协议 vHSRP尚未规划 HSRP设计 vHSRP在两台核心交换机上实现 v按Vlan划分HSRP组 v两台核心交换机分别在不同的HSRP组内承 担活跃路由器

18、角色 v活跃路由器的选择和STP中根网桥的选择保 持一致 v配置优先级和占先权 故障切换示意3-1 v正常情况 Internet OSPF HSRP STP Vlan 127 故障切换示意3-2 v一台核心交换机故障 Internet OSPF HSRP STP Vlan 127 故障切换示意3-3 v一台出口路由器故障 Internet OSPF HSRP STP Vlan 127 学员实验拓扑图 area0 area2 Totally stub area1 Totally stub Vlan 25Vlan 127 组组1完成完成组组2完成完成 PPPPPP 模拟防火墙模拟防火墙 实验组织

19、v全班分为2个实验小组，每组完成一半实施任 务 v实验为12学时，分为3个阶段，每阶段完成不 同任务 第一阶段：4学时，完成交换部分的配置（北京 总公司） 第二阶段：4学时，完成HSRP 、路由和广域网 部分的配置，3个公司可以实现互连互通，并都 可以访问防火墙 第三阶段：4学时，完成ACL的配置，实现安全 控制，2组的实验网络合并对实验结果进行验证 实验阶段任务 设备名称第一阶段完成第二阶段完 成 第三阶段完 成 BJ-R-1 OSPF/PPP / 缺省路由 ACL GZ-R-1& SH-R- 1 OSPF/PPP ACL BJ-RS-1& 2 VLAN/VTP(server)/STP (root)/Channel/三层交 换 HSRP/OSPF BJ-S-1&2&3&4 VLAN/VTP(client)/STP (Portfast/Uplinkfast) GZ-S-1& SH-S- 1 VL