大型网络WLAN设计方案课件

1、benet公司企业需求概述3-1vbenet公司一家新型的it企业有近300台计算机公司业务对网络依赖性强总部位于北京，分别在广州、上海设有分公司总部设有财务、技术（研发）、生产和销售四个部门分公司有销售、生产和财务三个部门vbenet公司管理结构benet公司公司财务部财务部技术部技术部生产部生产部销售部销售部上海分公司上海分公司广州分公司广州分公司财务部财务部生产部生产部销售部销售部财务部财务部生产部生产部销售部销售部benet公司企业需求概述3-2本章结构企业需求分析企业需求分析项目总体规划项目总体规划子网划分和子网划分和ipip地址规划地址规划ipip地址规划地址规划vlanvlan划

2、分划分子网划分子网划分总体设计总体设计设备命名和连接规设备命名和连接规范范网络交换部分设计网络交换部分设计vtpvtp设计设计stpstp设计设计通道和通道和vlanvlan间路由间路由分公司网络部分分公司网络部分网络总体规划v对于benet公司的网络改建需求，应当如何规划网络建设方案？v子网如何划分？v路由部分如何设计？v交换部分如何设计？v广域网部分如何实现？v安全可靠性部分如何实现？benet公司网络拓扑图3-1广州分公司广州分公司benet公司北京总公司公司北京总公司上海分公司上海分公司internetbenet公司网络v北京，广州和上海3部分网络组成一个统一的企业内联网，使用总公司单

3、一出口访问因特网，公司的服务器等全部在北京总公司实现v3部分通过路由器互联，使用ospf，总公司在area 0，广州分公司在area 1，上海分公司在area 2v统一使用单一因特网出口，即为北京总公司出口，使用1条10m的以太网宽带接入链路v出口部署1台防火墙以保障内网安全benet公司网络v北京总公司的lan部分为了保证网络的健壮性和可靠性，采用全冗余结构v两台核心交换机采用三层交换机，实现vlan之间的路由，同时使用hsrp进行备份v北京总公司的lan部分启用vtp和stpv北京总公司的lan中单独划出一个vlan作为服务器的区块，放置系统中所有的服务器v广州和上海分公司的lan部分没有

4、复杂应用，此次不作改建设备清单与设备命名规范2-1v项目中都使用了哪些设备，数量有多少？v这些设备在网络调试的时候是否需要命名，为什么？v如果需要命名，应当如何为设备命名？设备清单与设备命名规范2-2设备类型设备数量命名规范举例二层交换机 9城市缩写-s-编号 bj-s-1三层交换机 2城市缩写-rs-编号bj-rs-1路由器3城市缩写-r-编号 gz-r-1代表二层交换机代表二层交换机代表三层交换机代表三层交换机代表路由器代表路由器设备连接规范2-2cisco ws-c3550-24-emi1 3 5 7 9 112 4 6 8 10 1213 15 17 19 21 2314 16 18

5、20 22 24trunkethernetchannel连接另一台连接另一台3550trunk连接接入交换机连接接入交换机路由接口路由接口连接路由器连接路由器核心交换机的端口连接核心交换机的端口连接1 2trunk分别连接分别连接2台台3550ws-c2950-24access连接主机连接主机接入交换机的端口连接接入交换机的端口连接子网、vlan和ip地址规划2-1v项目中是否需要划分子网，为什么？v如果需要划分子网，应该如何划分？v项目中划分vlan的作用是什么？vbenet公司的vlan应当如何划分？vbenet公司应该使用哪一类的ip地址，如何规划？ 子网、vlan和ip地址规划2-2v

6、benet公司采取vlan和子网对应的划分方式v路由端口使用/24内的ip地址地点vlanvlan名称vlan的内容对应子网全部vlan 1default管理vlan/24北京总公司vlan 2bj-cw财务部/24vlan 3bj-gc工程部/24vlan 4bj-xs销售部/24vlan 5bj-yf研发部/24vlan 127bj-srv服务器/24广州分公司vlan 129gz-all全部部门/24上

7、海分公司vlan 130sh-all全部部门/24vlanvlan命名按如下规则：命名按如下规则：城市缩写城市缩写- -部门缩写部门缩写/ /功功能缩写能缩写分公司的详细分公司的详细vlanvlan划分不划分不是本次设计内容，是本次设计内容，vlanvlan命命名为：城市缩写名为：城市缩写-all-all网络交换部分总体设计vbenet公司北京总公司网络交换部分需要使用如下技术：vtpstp以太网通道vlan间路由v每种技术所要达到的目的是什么，如何实现？v具体应当规划设计？网络交换部分总体设计v北京总公司lan部分vlan 25vlan 127server bloc

8、kethernetchannelvtpstphsrpstp设计vlan 5vlan 127vlan 2vlan 3vlan 4bj-s-1bj-s-2bj-s-3bj-s-4bj-s-5bj-s-6bj-s-7bj-rs-1vlan2,5,127 rootbj-rs-2vlan1,3,4 rootv使用pvst，为不同的vlan指定不同的根网桥转发转发阻塞阻塞以太网通道和vlan间路由设计v两台核心交换机之间使用以太网通道技术vvlan间的路由通过三层交换机实现为什么需要应为什么需要应用这些技术？用这些技术？使用三层交换使用三层交换的优点在哪里？的优点在哪里？分公司网络部分v分公司使用的ip地

9、址发生了变化广州分公司将使用/24的ip地址，网关为上海分公司将使用/24的ip地址，网关为v分公司交换机内vlan的配置发生了变化v分公司交换机的管理ip地址发生了变化v分公司增加了路由器，需要按照本方案内路由部分的规划进行调试，以便和总公司连通企业需求分析企业需求分析项目总体规划项目总体规划子网划分和子网划分和ipip地址规划地址规划ipip地址规划地址规划vlanvlan划分划分子网划分子网划分总体设计总体设计设备命名和连接规设备命名和连接规范范网络交换部分设计网络交换部分设计vtpv

10、tp设计设计stpstp设计设计通道和通道和vlanvlan间路由间路由分公司网络部分分公司网络部分本章总结benetbenet公司规划实现公司规划实现一个全冗余的可靠网一个全冗余的可靠网络络在网络的交换部分，在网络的交换部分，需要考虑需要考虑vtpvtp、stpstp、以太网通道和以太网通道和vlanvlan间间路由如何实现路由如何实现网络的整体规划需要网络的整体规划需要考虑设备如何命名、考虑设备如何命名、子网如何划分、子网如何划分、vlanvlan如何划分和如何划分和ipip地址如地址如何规划等何规划等统一的设备命名和连统一的设备命名和连接规范对于提高网络接规范对于提高网络的可管理可维护性

11、非的可管理可维护性非常重要常重要内容回顾vbenet公司的网络总体规划北京总公司单一因特网出口路由采用ospf协议交换网络全冗余v子网划分、vlan划分、ip地址规划v交换部分设计vtp、stp、以太网通道vlan间路由本章结构企业需求分析企业需求分析路由部分设计路由部分设计网络安全性设计网络安全性设计ospf drospf dr设计设计路由器路由器idid规划规划ospfospf区域规划区域规划安全建设原则安全建设原则一般安全策略一般安全策略广域网部分设计广域网部分设计网络可靠性设计网络可靠性设计aclacl设计设计hsrphsrp设计设计项目实践实验组项目实践实验组织织路由部分设计3-1v

12、benet公司内联网之间通过3台路由器互相连通v使用路由协议为ospfvospf应该如何规划？ospf区域路由器的id指定路由器路由部分设计3-2area0area2totally stub广州分公司广州分公司benet公司北京总公司公司北京总公司上海分公司上海分公司area1totally stub北京总公司在北京总公司在area 0area 0分公司在非骨干区域，按分公司在非骨干区域，按成立时间排序成立时间排序路由部分设计3-3v分公司区域为完全末梢区域 v路由器id采用特殊的ip地址v北京总公司内由路由器id影响dr、bdr选举设备名称设备类型区域/放置地点loopback地址bj-r-

13、1路由器area0、1、2/北京bj-rs-1三层交换机area0/北京bj-rs-2三层交换机area0/北京gz-r-1路由器area1/广州sh-r-1路由器area2/上海广域网部分设计2-1vbenet公司仅在北京总公司有因特网出口v申请一条以太网方式的宽带接入链路v出口部署防火墙v申请1段公网ip地址vnat由防火墙实现互联网服务提供商isp-x连接设备isa防火墙申请地址段/30包含地址数4本端占用地址/30isp端占用地址/30广域网部分设计2-2a

14、rea0area2totally stubarea1totally stub使用命令在使用命令在ospf区域区域内发布一条缺省路由内发布一条缺省路由学习到学习到asbr通告的缺通告的缺省路由省路由totally stub区域会自动区域会自动产生到产生到abr的缺省路由的缺省路由到达因特网的到达因特网的缺省路由缺省路由internet网络的进一步优化v网络设计到现在，benet公司已经全部实现互联互通，与因特网也能够连通v那么，设计是否到这里就结束？v还需要考虑哪部分的内容？安全性可靠性v应该如何实现？网络安全性设计v已经学习过的网络安全技术有哪些？v如何应用在benet公司网络项目中？v网络中

15、已经规划了防火墙和入侵检测系统，我们还能做什么？v首先，考虑网络的安全设计总体规划v其次，网络中的一般安全策略v最后针对项目中的具体情况，对如何保证网络安全性进行设计网络安全建设管理原则v网络建设方案v机房管理制度v各类人员职责分工v部门和人员职责v安全保密规定v安全策略文档v口令管理制度v系统操作规程v应急响应方案v用户授权管理v安全防护记录v定期对系统运行、用户操作等进行安全评估v其它制度网络一般安全策略v保护设备的物理安全v保护设备的密码v控制telnet访问v禁止cdpv关闭http服务acl设计 v北京总公司部分通过isa服务器访问因特网对外屏蔽telnet对外屏蔽简单网管协议snm

16、p防止dos攻击v分公司部分不允许访问总公司的用户主机和其他分公司允许访问总公司服务器允许访问因特网防火墙上已经做了更防火墙上已经做了更详细的控制，防火墙详细的控制，防火墙正常时等于没有正常时等于没有网络可靠性设计v网络项目的可靠性包含哪几方面内容？v都需要使用到哪些技术？v在前面的设计中都涉及到了哪些？冗余链路stp路由协议vhsrp尚未规划 hsrp设计vhsrp在两台核心交换机上实现v按vlan划分hsrp组v两台核心交换机分别在不同的hsrp组内承担活跃路由器角色v活跃路由器的选择和stp中根网桥的选择保持一致v配置优先级和占先权故障切换示意3-1v正常情况internetospfhs

17、rpstpvlan 127故障切换示意3-2v一台核心交换机故障internetospfhsrpstpvlan 127故障切换示意3-3v一台出口路由器故障internetospfhsrpstpvlan 127学员实验拓扑图area0area2totally stubarea1totally stubvlan 25vlan 127组组1完成完成组组2完成完成pppppp模拟防火墙模拟防火墙实验组织v全班分为2个实验小组，每组完成一半实施任务v实验为12学时，分为3个阶段，每阶段完成不同任务第一阶段：4学时，完成交换部分的配置（北京总公司）第二阶段：4学时，完成hsrp 、路由和广域网部分的配置

18、，3个公司可以实现互连互通，并都可以访问防火墙第三阶段：4学时，完成acl的配置，实现安全控制，2组的实验网络合并对实验结果进行验证实验阶段任务设备名称第一阶段完成第二阶段完成第三阶段完成bj-r-1ospf/ppp /缺省路由aclgz-r-1& sh-r-1ospf/ppp aclbj-rs-1& 2vlan/vtp(server)/stp(root)/channel/三层交换hsrp/ospfbj-s-1&2&3&4vlan/vtp(client)/stp(portfast/uplinkfast)gz-s-1& sh-s-1vlan（实验中可省略）阶段测试阶段测试总体测试验收实验验证方法2-1v第一阶段：局域网内vlan之间可以互通交换机能够通过vtp学习vlan的配置stp切换正常以太网通道工作正常各种show的结果输出正确v第二阶段：hsrp切换正常ospf的路由表正确dr选举正常ppp协议工作正常全部末梢网络可以互通可以访问到防火墙各种show的结果输出正确实验验证方法2-2v第三阶段：出口路由器acl工作正常，对外网到内网的访问控制符合设计要求分公司路由器acl工作正常，对总公司网络的访问控制符合设计要求2组网络合并后，网络的每个部分都工作正常各种show的结果输出正确本章总结企业需求分析企业需求