单核心校园网建设规范与思路 锐捷网络 网络解决方案第一品牌公司.ppt

单核心校园网建设规范与思路,技术培训中心,学习目标,掌握单核心结构校园网络结构特点掌握单核心结构校园网建设规范及思路,课程内容,第一章 单核心网络常见拓扑结构第二章 基本配置规范第三章 IP地址及VLAN规划第四章 路由协议规划第五章 出口策略设计第六章 网络安全优化设计,3,第一章 单核心网络常见拓扑结构,第一章 单核心网络常见拓扑结构,第一章 单核心网络常见拓扑结构,什么样的校园网会采用单核心网络结构呢?规模小信息点少对于网络冗余备份要求不高,中小学网络最为常见,课程内容,第一章 单核心网络常见拓扑结构第二章 基本配置规范第三章 IP地址及VLAN规划第四章 路由协议规划第五章 出口策略设计第六章 网络安全优化设计,7,第二章 基本配置规范,基本配置：主机命名如果客户有规范或明确合理要求，则按照客户的规范或规范进行配置。如金融行业规范。如果客户没有规范或明确合理要求，可参考设备位置、网络位置、设备型号、设备编号等因素，在项目中制定统一的命名规范，如下所示：,第二章 基本配置规范,基本配置包括：主机命名设备互联接口描述项目中所有涉及到可网管设备互联的端口必须配置端口描述,第二章 基本配置规范,基本配置包括：主机命名设备互联接口描述登陆密码配置项目中所有可网管设备必须配置特权密码及远程登陆密码,第二章 基本配置规范,基本配置包括：主机命名设备互联接口描述登陆密码配置系统时间配置项目中所有可网管设备必须重新设置正确的系统时间 手工设置设置时间服务器,第二章 基本配置规范,基本配置包括：主机命名设备互联接口描述登陆密码配置系统时间配置二层交换机管理IP配置项目中可网管二交换机必须配置管理IP地址，供管理员远程管理设备所用,第二章 基本配置规范,基本配置包括：主机命名设备互联接口描述登陆密码配置系统时间配置二层交换机管理IP配置,提升网络的可管理程度,课程内容,第一章 单核心网络常见拓扑结构第二章 基本配置规范第三章 IP地址及VLAN规划第四章 路由协议规划第五章 出口策略设计第六章 网络安全优化设计,14,第三章 IP地址及VLAN规划,校园网IP地址分类：按照不同功能用途：用户IP地址设备管理地址二层设备与三层设备三层设备互联地址,校园网VLAN分类：同IP地址相对应：用户VLAN设备管理VLAN二层设备三层设备互联VLAN可选,第三章 IP地址及VLAN规划,单核心二层网络结构IP地址及VLAN划分,第三章 IP地址及VLAN规划,单核心二层网络结构IP地址及VLAN划分,第三章 IP地址及VLAN规划,单核心三层网络结构IP地址及VLAN划分,第三章 IP地址及VLAN规划,单核心三层网络结构IP地址及VLAN划分,第三章 IP地址及VLAN规划,需要考虑的因素用户VLAN与设备管理VLAN分开(IP地址),汇聚/核心交换机,接入交换机,VLAN 100,10.1.100.0/24,用户IP地址段,VLAN 100,interface vlan 100,ip address 10.1.100.254/24,网关IP地址,接入交换机管理IP地址,interface vlan 100,ip address 10.1.100.253/24,1.当ARP欺骗发生时,会影响到网络设备的管理,2.网络设计混乱,给网络运维带来一定风险,第三章 IP地址及VLAN规划,需要考虑的因素用户VLAN与设备管理VLAN分开(IP地址),汇聚/核心交换机,接入交换机,VLAN 100,10.1.100.0/24,用户IP地址段,VLAN 100,interface vlan 100,ip address 10.1.100.254/24,网关IP地址,接入交换机管理IP地址,interface vlan 200,ip address 10.1.200.253/24,VLAN 200,接入交换机管理VLAN,VLAN 200,接入交换机管理网段网关IP,interface vlan 200,ip address 10.1.200.254/24,第三章 IP地址及VLAN规划,需要考虑的因素用户VLAN与设备管理VLAN分开(IP地址)为网络扩容进行可汇总的预留设计,VLAN 100,10.1.100.0/24,VLAN 101,10.1.101.0/24,VLAN 201,10.1.201.0/24,VLAN 200,10.1.200.0/24,没有进行预留设计,造成IP地址的不连续,不利于汇总,第三章 IP地址及VLAN规划,需要考虑的因素用户VLAN与设备管理VLAN分开(IP地址)为网络扩容进行可汇总的预留设计,需要提前为新增的网络进行IP地址及VLAN的设计,包括用户IP地址、设备管理地址以及设备互联地址,VLAN 100,10.1.100.0/24,VLAN 110,10.1.110.0/24,VLAN 101,10.1.101.0/24,VLAN 120,10.1.120.0/24,第三章 IP地址及VLAN规划,需要考虑的因素用户VLAN与设备管理VLAN分开(IP地址)为网络扩容进行可汇总的预留设计IP地址与VLAN编号(其他相关因素)有一定的对照性,VLAN 100,10.1.100.0/24,用户IP地址段,用户VLAN,1,楼号,第三章 IP地址及VLAN规划,需要考虑的因素用户VLAN与设备管理VLAN分开(IP地址)为网络扩容进行可汇总的预留设计IP地址与VLAN编号(其他相关因素)有一定的对照性,VLAN 100,10.1.100.0/24,用户IP地址段,用户VLAN,1,楼号,课程内容,第一章 单核心网络常见拓扑结构第二章 基本配置规范第三章 IP地址及VLAN规划第四章 路由协议规划第五章 出口策略设计第六章 网络安全优化设计,26,第四章 路由协议规划,单核心二层结构网络路由协议规划,静态默认路由,静态回指汇总路由,第四章 路由协议规划,单核心三层结构网络静态路由协议规划,静态默认路由,静态回指汇总路由(全网),静态默认路由,静态回指汇总路由(局部),第四章 路由协议规划,单核心三层结构网络动态路由协议规划一,静态默认路由,静态回指汇总路由(全网),Area 0,Area 10,Area 20,Area 30,第四章 路由协议规划,单核心三层结构网络动态路由协议规划一,第四章 路由协议规划,单核心三层结构网络路由协议规划二,静态默认路由,静态回指汇总路由(全网),Area 0,Area 10,Area 20,Area 30,第四章 路由协议规划,单核心三层结构网络路由协议规划二,课程内容,第一章 单核心网络常见拓扑结构第二章 基本配置规范第三章 IP地址及VLAN规划第四章 路由协议规划第五章 出口策略设计第六章 网络安全优化设计,33,第五章 出口策略设计,出口区域类型（按照设备、线路数量）：单出口设备单线路单出口设备双（多）线路双出口设备双（多）线路,第五章 出口策略设计,单出口设备单线路,核心层设备,出口设备,内部校园网,静态默认路由,静态回指汇总路由（全网）,默认路由,源地址转换为公网地址,第五章 出口策略设计,单出口设备双（多）线路,核心层设备,出口设备,内部校园网,静态默认路由,静态回指汇总路由（全网）,教育网明细路由,默认路由,源地址转换为教育网地址,源地址转换为公网地址,第五章 出口策略设计,单出口设备双（多）线路,核心层设备,出口设备,内部校园网,对外发布的教育网服务器,internet用户公网IP地址,返回的数据包匹配了默认路由，源IP地址转换为公网IP地址,第五章 出口策略设计,单出口设备双（多）线路,核心层设备,出口设备,内部校园网,对外发布的教育网服务器,internet用户公网IP地址,应用基于源地址的策略路由,强制源地址为服务器私有IP地址的数据包在进行转发时,下一跳为教育网接口下一跳,第五章 出口策略设计,单出口设备双（多）线路,核心层设备,出口设备,内部校园网,默认路由,静态回指汇总路由,电信,联通,多于两个出口线路如何规划,第五章 出口策略设计,双出口设备双（多）线路,核心层设备,出口设备,默认路由,教育网明细路由,静态回指汇总路由,静态回指汇总路由,默认路由,默认路由,源地址转换为教育网地址,源地址转换为公网地址,课程内容,第一章 单核心网络常见拓扑结构第二章 基本配置规范第三章 IP地址及VLAN规划第死章 路由协议规划第五章 出口策略设计第六章 网络安全优化设计,41,第六章 网络安全优化设计,什么是安全优化设计？安全设计：使网络更稳定运行优化设计：使网络更合理运行根据园区网的层次进行分类：接入层设备安全优化设计汇聚层设备安全优化设计核心层设备安全优化设计出口区域设备安全优化设计,第六章 网络安全优化设计,接入层设备安全优化设计VLAN修剪防范下联环路防范非法DHCP服务器防范DHCP环境下使用静态IP地址保证静态IP环境下地址唯一性防范ARP欺骗,第六章 网络安全优化设计,接入层设备安全优化设计VLAN修剪,VLAN 10 20 30 40,VLAN 10,VLAN 20,VLAN 30,trunk,trunk,trunk,VLAN 10内的广播流量,该交换机收到tag标记为10的数据帧,发现本地没有VLAN10,于是丢弃,SW1,虽然广播流量被丢弃，但是如果当其他VLAN内产生大量广播时，上联联路也是会受到严重影响。,第六章 网络安全优化设计,接入层设备安全优化设计VLAN修剪,VLAN 10 20 30 40,VLAN 10,VLAN 20,VLAN 30,trunk,trunk,trunk,VLAN 10内的广播流量,只容许VLAN 30通过,SW1,只容许VLAN 30通过,第六章 网络安全优化设计,接入层设备安全优化设计VLAN修剪防范下联环路防范非法DHCP服务器防范DHCP环境下使用静态IP地址保证静态IP环境下地址唯一性防范ARP欺骗,第六章 网络安全优化设计,接入层设备安全优化设计防范下联环路,汇聚交换机,接入交换机,汇聚交换机,接入交换机,HUB,汇聚交换机,接入交换机,HUB,第六章 网络安全优化设计,接入层设备安全优化设计防范下联环路采用生成树解决环路问题,BPDU,BPDU,BPDU,如何解决单端口下的环路呢?,fa0/24,fa0/24,fa0/24,第六章 网络安全优化设计,接入层设备安全优化设计防范下联环路采用生成树解决环路问题,BPDU,fa0/24,fa0/24,fa0/24,可能存在的问题?,默认开启生成树的非网管交换机,BPDU,下联端口开启BPDU Guard,第六章 网络安全优化设计,接入层设备安全优化设计防范下联环路采用生成树解决环路问题,接入交换机2,汇聚交换机,接入交换机N,接入交换机1,接入交换机下联端口开启spanning portfast 以及spanning-tree bpduguard 功能,接入交换机上联端口开启spanning-tree bpdufilter功能,第六章 网络安全优化设计,接入层设备安全优化设计防范下联环路采用RLDP解决环路问题,RLDP,RLDP,RLDP,fa0/24,fa0/24,fa0/24,第六章 网络安全优化设计,接入层设备安全优化设计VLAN修剪防范下联环路防范非法DHCP服务器防范DHCP环境下使用静态IP地址保证静态IP环境下地址唯一性防范ARP欺骗,第六章 网络安全优化设计,接入层设备安全优化设计防范非法DHCP服务器,校园网,DHCP服务器,汇聚交换机,接入交换机,PC,非法DHCP服务器,DHCP Discover,DHCP Discover,非法DHCP Offer,合法DHCP Offer,DHCP Request,DHCP Ack,用户从非法DHCP处获得了不正确的IP地址,导致无法正常访问网络,第六章 网络安全优化设计,接入层设备安全优化设计防范非法DHCP服务器,校园网,DHCP服务器,汇聚交换机,接入交换机,PC,非法DHCP服务器,DHCP Snooping Trust接口,DHCP Snooping Untrust接口,DHCP Offer/ACK,第六章 网络安全优化设计,接入层设备安全优化设计VLAN修剪防范下联环路防范非法DHCP服务器防范DHCP环境下使用静态IP地址保证静态IP环境下地址唯一性防范ARP欺骗,第六章 网络安全优化设计,接入层设备安全优化设计防范DHCP环境下使用静态IP地址,校园网,DHCP服务器,汇聚交换机,接入交换机,PC,通过DHCP动态获取的IP地址,10.1.100.1/24,手工配置静态IP地址,10.1.100.1/24,引起IP地址冲突,影响其他用户的正常使用,第六章 网络安全优化设计,接入层设备安全优化设计防范DHCP环境下使用静态IP地址,校园网,DHCP服务器,汇聚交换机,接入交换机,PC,通过DHCP动态获取的IP地址,10.1.100.1/24,手工配置静态IP地址,10.1.100.1/24,ip dhcp snooping binding 0000.0000.0001 vlan 11 ip 1.1.1.1 interface fastEthernet 0/1,ip dhcp snooping binding 0000.0000.0002 vlan 11 ip 1.1.1.2 interface fastEthernet 0/2,通过手工配置的IP地址将无法访问网络,第六章 网络安全优化设计,接入层设备安全优化设计VLAN修剪防范下联环路防范非法DHCP服务器防范DHCP环境下使用静态IP地址保证静态IP环境下地址唯一性防范ARP欺骗,第六章 网络安全优化设计,接入层设备安全优化设计保证静态IP环境下地址唯一性防止用户私自篡改分配的IP地址端口安全DHCP Snooping静态绑定结合SAM,第六章 网络安全优化设计,接入层设备安全优化设计VLAN修剪防范下联环路防范非法DHCP服务器防范DHCP环境下使用静态IP地址保证静态IP环境下地址唯一性防范ARP欺骗,第六章 网络安全优化设计,接入层设备安全优化设计防范ARP欺骗ARP Check供检查的地址表项的产生方法通过端口安全方式获取地址表项通过DHCP Snooping方式获得地址表项通过802.1X认证的IP授权模式获取地址表项GSN 立体ARP防御,第六章 网络安全优化设计,汇聚层设备安全优化设计VLAN修剪防病毒ACLOSPF被动接口OSPF特殊区域OSPF区域路由汇总,第六章 网络安全优化设计,汇聚层设备安全优化设计OSPF被动接口,OSPF,核心交换机,汇聚交换机,接入交换机,汇聚交换机上所有的三层接口都Network进相应的Area,OSPF Hello,OSPF Hello,OSPF Hello,第六章 网络安全优化设计,汇聚层设备安全优化设计OSPF被动接口,OSPF,核心交换机,汇聚交换机,接入交换机,汇聚交换机上所有的三层接口都Network进相应的Area,passive interface defualt,OSPF进程下,no passive interface 上联接口,第六章 网络安全优化设计,汇聚层设备安全优化设计VLAN修剪防病毒ACLOSPF被动接口OSPF特殊区域OSPF区域路由汇总,第六章 网络安全优化设计,汇聚层设备安全优化设计OSPF特殊区域,area 0,area 11,area 21,area 31,Loopback接口,核心层交换机,汇聚层交换机,完全末梢区域,ABR的OSPF进程下Area 11 stub no-summary,非ABR的OSPF进程下Area 11 stub,第六章 网络安全优化设计,汇聚层设备安全优化设计VLAN修剪防病毒ACLOSPF被动接口OSPF特殊区域OSPF区域路由汇总,第六章 网络安全优化设计,汇聚层设备安全优化设计OSPF区域路由汇总,area 0,area 11,area 21,area 31,area 41,核心层交换机,汇聚层交换机,ABR的OSPF进程下area 11 range 10.1.0.0 255.255.0.0,第六章 网络安全优化设计,核心层设备安全优化设计OSPF特殊区域,第六章 网络安全优化设计,出口区域设备安全优化设计带宽管理可以通过专用带宽管理设备如ACE实现防攻击配置DDoS、保护主机、保护服务、病毒过滤等日志管理通过简单日志软件：查询维护功能较差通过E-LOG系统,回顾,第一章 单核心网络常见拓扑结构第二章 基本配置规范第三章 IP地址及VLAN规划第死章 路由协议规划第五章 出口策略设计第六章 网络安全优化设计,71,72,THANKS！,