02 单核心网络模型1

1、单核心校园网建设规范与思路技术培训中心学习目标 掌握单核心结构校园网络结构特点 掌握单核心结构校园网建设规范及思路课程内容 第一章 单核心网络常见拓扑结构 第二章 基本配置规范 第三章 IP地址及VLAN规划 第四章 路由协议规划 第五章 出口策略设计 第六章 网络安全优化设计3第一章单核心网络常见拓扑结构第一章单核心网络常见拓扑结构第一章单核心网络常见拓扑结构 什么样的校园网会采用单核心网络结构呢?规模小信息点少对于网络冗余备份要求不高中小学网络最为常见课程内容 第一章 单核心网络常见拓扑结构 第二章 基本配置规范 第三章 IP地址及VLAN规划 第四章 路由协议规划 第五章 出口策略设计

2、第六章 网络安全优化设计7：第二章基本配置规范 基本配置：主机命名 如果客户有规范或明确合理要求，则按照客户的规范或规范进行配置。如金融行业规范。 如果客户没有规范或明确合理要求，可参考设备位置、网络位置、设备型号、设备编号等因素，在项目中制定统一的命名规范，如下所示第二章基本配置规范 基本配置包括：主机命名设备互联接口描述 项目中所有涉及到可设备互联的端口必须配置端口描述第二章基本配置规范 基本配置包括：主机命名设备互联接口描述登陆配置 项目中所有可设备必须配置及远程登陆第二章基本配置规范 基本配置包括：主机命名设备互联接口描述登陆配置系统时间配置 项目中所有可 手工设置设备必须重新设置正确

3、的系统时间 设置时间服务器第二章基本配置规范 基本配置包括：主机命名设备互联接口描述登陆配置系统时间配置二层交换机管理IP配置 项目中可二交换机必须配置管理IP地址，供管理员远程管理设备所用第二章基本配置规范 基本配置包括：主机命名设备互联接口描述登陆配置系统时间配置二层交换机管理IP配置提升网络的可管理程度课程内容 第一章 单核心网络常见拓扑结构 第二章 基本配置规范 第三章 IP地址及VLAN规划 第四章 路由协议规划 第五章 出口策略设计 第六章 网络安全优化设计14第三章IP地址及VLAN规划 校园网VLAN分类：同IP地址相对应： 用户VLAN 设备管理VLAN 二层设备 三层设备互

4、联VLAN 可选 校园网IP地址分类：按照不同功能用途： 用户IP地址 设备管理地址 二层设备与三层设备 三层设备互联地址第三章IP地址及VLAN规划 单核心二层网络结构IP地址及VLAN划分用户IP地址设备互联IP地址设备管理IP地址第三章IP地址及VLAN规划 单核心二层网络结构IP地址及VLAN划分用户VLAN设备互联VLAN设备管理vlan设备管理vlan用户VLAN第三章IP地址及VLAN规划 单核心三层网络结构IP地址及VLAN划分设备管理IP地址设备互联IP地址用户IP地址设备管理IP地址设备管理IP地址第三章IP地址及VLAN规划 单核心三层网络结构IP地址及VLAN划分设备互

5、联VLAN用户VLAN用户VLAN设备管理vlan设备管理vlan第三章IP地址及VLAN规划 需要考虑的因素用户VLAN与设备管理VLAN分开(IP地址)interface vlan 100ip address 10.1.100.254/24网关IP地址VLAN 100汇聚/核心交换机接入交换机管理IP地址interface vlan 100ip address 10.1.100.253/24VLAN 100用户IP地址段10.1.100.0/24接入交换机1.当ARP欺骗发生时,会影响到网络设备的管理2.网络设计混乱,给网络运维带来一定风险第三章IP地址及VLAN规划 需要考虑的因素用户V

6、LAN与设备管理VLAN分开(IP地址)interface vlan 100ip address 10.1.100.254/24网关IP地址接入交换机管理网段网关IPinterface vlan 200ip address 10.1.200.254/24VLAN 100VLAN 200汇聚/核心交换机接入交换机管理VLANVLAN 200接入交换机管理IP地址VLAN 100用户IP地址段10.1.100.0/24接入交换机interface vlan 200ip address 10.1.200.253/24第三章IP地址及VLAN规划 需要考虑的因素用户VLAN与设备管理VLAN分开(IP

7、地址)为网络扩容进行可汇总的预留设计VLAN 20110.1.201.0/24VLAN 100VLAN 101VLAN 20010.1.101.0/2410.1.200.0/2410.1.100.0/24没有进行预留设计,造成IP地址的不连续,不利于汇总第三章IP地址及VLAN规划 需要考虑的因素用户VLAN与设备管理VLAN分开(IP地址)为网络扩容进行可汇总的预留设计VLAN 10110.1.101.0/24VLAN 100VLAN 110VLAN 12010.1.110.0/2410.1.120.0/2410.1.100.0/24需要提前为新增的网络进行IP地址及VLAN的设计,包括用户

8、IP地址、设备管理地址以及设备互联地址第三章IP地址及VLAN规划 需要考虑的因素用户VLAN与设备管理VLAN分开(IP地址)为网络扩容进行可汇总的预留设计IP地址与VLAN编号(其他相关因素)有一定的对照性用户VLANVLAN 100用户IP地址段10.1.100.0/24楼号1第三章IP地址及VLAN规划 需要考虑的因素用户VLAN与设备管理VLAN分开(IP地址)为网络扩容进行可汇总的预留设计IP地址与VLAN编号(其他相关因素)有一定的对照性用户VLANVLAN 100用户IP地址段10.1.100.0/24楼号1课程内容 第一章 单核心网络常见拓扑结构 第二章 基本配置规范 第三章

9、 IP地址及VLAN规划 第四章 路由协议规划 第五章 出口策略设计 第六章 网络安全优化设计26第四章路由协议规划 单核心二层结构网络路由协议规划静态回指汇总路由静态默认路由第四章路由协议规划 单核心三层结构网络静态路由协议规划静态回指汇总路由(全网)静态回指汇总路由(局部)静态默认路由静态默认路由第四章路由协议规划 单核心三层结构网络动态路由协议规划一静态回指汇总路由(全网)静态默认路由第四章路由协议规划 单核心三层结构网络动态路由协议规划一第四章路由协议规划 单核心三层结构网络路由协议规划二静态回指汇总路由(全网)静态默认路由第四章路由协议规划 单核心三层结构网络路由协议规划二课程内容

10、第一章 单核心网络常见拓扑结构 第二章 基本配置规范 第三章 IP地址及VLAN规划 第四章 路由协议规划 第五章 出口策略设计 第六章 网络安全优化设计33第五章出口策略设计 出口区域类型（按照设备、线路数量）：单出口设备单线路单出口设备双（多）线路双出口设备双（多）线路第五章出口策略设计 单出口设备单线路出口设备核心层设备内部校园网静态默认路由源地址转换为公网地址默认路由静态回指汇总路由（全网）第五章出口策略设计 单出口设备双（多）线路出口设备核心层设备内部校园网静态默认路由源地址转换为公网地址默认路由静态回指汇总路由（全网）源地址转换为教育网地址教育网明细路由第五章出口策略设计 单出口设

11、备双（多）线路internet用户公网IP地址源IP：公网IP目的IP：教育网IP源IP：公网IP目的IP：公网IPTCP会话中断出口设备核心层设备内部校园网对外发布的教育网服务器返回的数据包匹配了默认路由， 源IP地址转换为公网IP地址第五章出口策略设计 单出口设备双（多）线路internet用户公网IP地址源IP：公网IP目的IP：教育网IP源IP：教育网IP目的IP：公网IP出口设备核心层设备内部校园网对外发布的教育网服务器应用基于源地址的策略路由,强制源地址为服务器私有IP地址的数据包在进行转发时,下一跳为教育网接口下一跳第五章出口策略设计 单出口设备双（多）线路电信联通出口设备核心层

12、设备内部校园网多于两个出口线路如何规划默认路由静态回指汇总路由第五章出口策略设计 双出口设备双（多）线路出口设备核心层设备默认路由静态回指汇总路由源地址转换为公网地址默认路由教育网明细路由静态回指汇总路由源地址转换为教育网地址默认路由课程内容 第一章 单核心网络常见拓扑结构 第二章 基本配置规范 第三章 IP地址及VLAN规划 第死章 路由协议规划 第五章 出口策略设计 第六章 网络安全优化设计41第六章网络安全优化设计 什么是安全优化设计？安全设计：使网络更稳定运行优化设计：使网络更合理运行 根据园区网的层次进行分类：接入层设备安全优化设计汇聚层设备安全优化设计核心层设备安全优化设计出口区域

13、设备安全优化设计第六章网络安全优化设计 接入层设备安全优化设计VLAN修剪防范下联环路防范非法DHCP服务器防范DHCP环境下使用静态IP地址保证静态IP环境下地址唯一性防范ARP欺骗第六章网络安全优化设计 接入层设备安全优化设计VLAN修剪VLAN 10 20 30 40trunkSW1VLAN 30VLAN 20VLAN 10虽然广播流量被丢弃，但是如果当其他VLAN内产生大量广播时，上联联路也是会受到严重影响。该交换机收到tag标记为10的数据帧,发现本地没有VLAN10,于是丢弃VLAN 10内的广播流量第六章网络安全优化设计 接入层设备安全优化设计VLAN修剪VLAN 10 20 3

14、0 40trunkSW1VLAN 30VLAN 20VLAN 10只容许VLAN 30通过VLAN 10内的广播流量只容许VLAN 30通过第六章网络安全优化设计 接入层设备安全优化设计VLAN修剪防范下联环路防范非法DHCP服务器防范DHCP环境下使用静态IP地址保证静态IP环境下地址唯一性防范ARP欺骗第六章网络安全优化设计 接入层设备安全优化设计防范下联环路汇聚交换机汇聚交换机汇聚交换机接入交换机接入交换机接入交换机HUBHUB第六章网络安全优化设计 接入层设备安全优化设计防范下联环路 采用生成树解决环路问题如何解决单端口下的环路呢?fa0/24fa0/24fa0/24BPDUBPDUB

15、PDU第六章网络安全优化设计 接入层设备安全优化设计防范下联环路 采用生成树解决环路问题下联端口开启BPDU Guard可能存在的问题?fa0/24fa0/24fa0/24默认开启生成树的非交换机BPDUBPDU第六章网络安全优化设计 接入层设备安全优化设计防范下联环路 采用生成树解决环路问题汇聚交换机接入交换机1接入交换机2接入交换机N接入交换机下联端口开启spanning portfast 以及spanning-tree bpduguard 功能接入交换机上联端口开启spanning-tree bpdufilter功能第六章网络安全优化设计 接入层设备安全优化设计防范下联环路 采用RLDP

16、解决环路问题fa0/24fa0/24fa0/24RLDPRLDPRLDP第六章网络安全优化设计 接入层设备安全优化设计VLAN修剪防范下联环路防范非法DHCP服务器防范DHCP环境下使用静态IP地址保证静态IP环境下地址唯一性防范ARP欺骗第六章网络安全优化设计 接入层设备安全优化设计防范非法DHCP服务器DHCP服务器校园网合法DHCP Offer汇聚交换机DHCP Discov接er入交换机DHCP DiscoverDHCP RequestPC非法DHCP Offer DHCP Ack非法DHCP服务器用户从非法DHCP处获得了不正确的IP地址,导致无法正常访问网络第六章网络安全优化设计

17、接入层设备安全优化设计防范非法DHCP服务器DHCP服务器校园网汇聚交换机DHCP SnoopingTrust接口接入交换机DHCP SnoopingUntrust接口DHCP Offer/ACK非法DHCP服务器PC第六章网络安全优化设计 接入层设备安全优化设计VLAN修剪防范下联环路防范非法DHCP服务器防范DHCP环境下使用静态IP地址保证静态IP环境下地址唯一性防范ARP欺骗第六章网络安全优化设计 接入层设备安全优化设计防范DHCP环境下使用静态IP地址DHCP服务器校园网汇聚交换机接入交换机PC通过DHCP动态获取的IP地址10.1.100.1/24手工配置静态IP地址10.1.10

18、0.1/24引起IP地址冲突,影响其他用户的正常使用第六章网络安全优化设计 接入层设备安全优化设计防范DHCP环境下使用静态IP地址DHCP服务器校园网汇聚交换机接入交换机ip dhcp snooping binding 0000.0000.0002 vlan 11 ip 1.1.1.2 interface fastEthernet 0/2ip dhcp snooping binding 0000.0000.0001 vlan 11 ip 1.1.1.1 interface fastEthernet 0/1PC通过DHCP动态获取的IP地址10.1.100.1/24手工配置静态IP地址10.1

19、.100.1/24通过手工配置的IP地址将无法访问网络第六章网络安全优化设计 接入层设备安全优化设计VLAN修剪防范下联环路防范非法DHCP服务器防范DHCP环境下使用静态IP地址保证静态IP环境下地址唯一性防范ARP欺骗第六章网络安全优化设计 接入层设备安全优化设计保证静态IP环境下地址唯一性 防止用户私自篡改分配的IP地址端口安全DHCP Snooping静态绑定结合SAM第六章网络安全优化设计 接入层设备安全优化设计VLAN修剪防范下联环路防范非法DHCP服务器防范DHCP环境下使用静态IP地址保证静态IP环境下地址唯一性防范ARP欺骗第六章网络安全优化设计 接入层设备安全优化设计防范A

20、RP欺骗 ARP Check 供检查的地址表项的产生方法通过端口安全方式获取地址表项通过DHCP Snooping方式获得地址表项通过802.1X认证的IP授权模式获取地址表项GSN 立体ARP防御第六章网络安全优化设计 汇聚层设备安全优化设计VLAN修剪防病毒ACLOSPF被动接口OSPF特殊区域OSPF区域路由汇总第六章网络安全优化设计 汇聚层设备安全优化设计OSPF被动接口核心交换机OSPF汇聚交换机上所有的三层接口都Network进相应的Area汇聚交换机OSPF HelloOSPF HellOoSPF Hello接入交换机第六章网络安全优化设计 汇聚层设备安全优化设计OSPF被动接口核心交换机OSPF进程下passive interface defualtno passive interface 上联接口OSPF