1、單核心校園網建設規范與思路單核心校園網建設規范與思路學習目標掌握單核心結構校園網絡結構特點掌握單核心結構校園網建設規范及思路課程內容第一章第一章 單核心網絡常見拓撲結構單核心網絡常見拓撲結構第二章第二章 基本配置規范基本配置規范第三章第三章 IP地址及地址及VLAN規劃規劃第四章第四章 路由協議規劃路由協議規劃第五章第五章 出口策略設計出口策略設計第六章第六章 網絡安全優化設計網絡安全優化設計第一章 單核心網絡常見拓撲結構 第一章 單核心網絡常見拓撲結構 第一章 單核心網絡常見拓撲結構 什么樣的校園網會采用單核心網絡結構呢? 規模小 信息點少 對于網絡冗余備份要求不高中小學網絡最為常見中小學網

2、絡最為常見課程內容第一章 單核心網絡常見拓撲結構第二章 基本配置規范第三章 IP地址及VLAN規劃第四章 路由協議規劃第五章 出口策略設計第六章 網絡安全優化設計第二章 基本配置規范 基本配置： 主機命名 如果客戶有規范或明確合理要求，則按照客戶的規范或規范進行配置。如金融行業規范。 如果客戶沒有規范或明確合理要求，可參考設備位置、網絡位置、設備型號、設備編號等因素，在項目中制定統一的命名規范，如下所示：第二章 基本配置規范 基本配置包括： 主機命名 設備互聯接口描述 項目中所有涉及到可網管設備互聯的端口必須配置端口描述 第二章 基本配置規范 基本配置包括： 主機命名 設備互聯接口描述 登陸密

3、碼配置 項目中所有可網管設備必須配置特權密碼及遠程登陸密碼 第二章 基本配置規范 基本配置包括： 主機命名 設備互聯接口描述 登陸密碼配置 系統時間配置 項目中所有可網管設備必須重新設置正確的系統時間 手工設置 設置時間服務器第二章 基本配置規范 基本配置包括： 主機命名 設備互聯接口描述 登陸密碼配置 系統時間配置 二層交換機管理IP配置 項目中可網管二交換機必須配置管理IP地址，供管理員遠程管理設備所用 第二章 基本配置規范 基本配置包括： 主機命名 設備互聯接口描述 登陸密碼配置 系統時間配置 二層交換機管理IP配置提升網絡的可管理程度提升網絡的可管理程度課程內容第一章 單核心網絡常見拓

4、撲結構第二章 基本配置規范第三章 IP地址及VLAN規劃第四章 路由協議規劃第五章 出口策略設計第六章 網絡安全優化設計第三章 IP地址及VLAN規劃 校園網IP地址分類： 按照不同功能用途： 用戶IP地址 設備管理地址 二層設備與三層設備 三層設備互聯地址l校園網VLAN分類：l同IP地址相對應：l用戶VLANl設備管理VLANl二層設備l三層設備互聯VLANl可選第三章 IP地址及VLAN規劃 單核心二層網絡結構IP地址及VLAN劃分 用戶用戶IPIP地址地址 設備管理設備管理IPIP地址地址 設備互聯設備互聯IPIP地址地址第三章 IP地址及VLAN規劃 單核心二層網絡結構IP地址及VL

5、AN劃分 用戶用戶VLANVLAN 設備管理設備管理vlanvlan 設備互聯設備互聯VLANVLAN 設備管理設備管理vlanvlan 用戶用戶VLANVLAN第三章 IP地址及VLAN規劃 單核心三層網絡結構IP地址及VLAN劃分 用戶用戶IPIP地址地址 設備管理設備管理IPIP地址地址 設備互聯設備互聯IPIP地址地址 設備管理設備管理IPIP地址地址 設備管理設備管理IPIP地址地址第三章 IP地址及VLAN規劃 單核心三層網絡結構IP地址及VLAN劃分 用戶用戶VLANVLAN 設備管理設備管理vlanvlan 設備互聯設備互聯VLANVLAN 用戶用戶VLANVLAN 設備管理設

6、備管理第三章 IP地址及VLAN規劃 需要考慮的因素 用戶VLAN與設備管理VLAN分開(IP地址)匯聚匯聚/ /核心交換機核心交換機接入交換機接入交換機VLAN 100VLAN 10010.1.100.0/2410.1.100.0/24用戶用戶IPIP地址段地址段VLAN 100VLAN 100interface vlan 100interface vlan 100ip address 10.1.100.254/24ip address 10.1.100.254/24網關網關IPIP地址地址接入交換機管理接入交換機管理IPIP地址地址interface vlan 100interface v

7、lan 100ip address 10.1.100.253/24ip address 10.1.100.253/241.1.當當ARPARP欺騙發生時欺騙發生時, ,會影響到網絡設備的管理會影響到網絡設備的管理2.2.網絡設計混亂網絡設計混亂, ,給網絡運維帶來一定風險給網絡運維帶來一定風險第三章 IP地址及VLAN規劃 需要考慮的因素 用戶VLAN與設備管理VLAN分開(IP地址)匯聚匯聚/ /核心交換機核心交換機接入交換機接入交換機VLAN 100VLAN 10010.1.100.0/2410.1.100.0/24用戶用戶IPIP地址段地址段VLAN 100VLAN 100interfa

8、ce vlan 100interface vlan 100ip address 10.1.100.254/24ip address 10.1.100.254/24網關網關IPIP地址地址接入交換機管理接入交換機管理IPIP地址地址interface vlan 200interface vlan 200ip address 10.1.200.253/24ip address 10.1.200.253/24VLAN 200VLAN 200接入交換機管理接入交換機管理VLANVLANVLAN 200VLAN 200接入交換機管理網段網關接入交換機管理網段網關IPIPinterface vlan 20

9、0interface vlan 200ip address 10.1.200.254/24ip address 10.1.200.254/第三章 IP地址及VLAN規劃 需要考慮的因素 用戶VLAN與設備管理VLAN分開(IP地址) 為網絡擴容進行可匯總的預留設計VLAN 100VLAN 10010.1.100.0/2410.1.100.0/24VLAN 101VLAN 10110.1.101.0/2410.1.101.0/24VLAN 201VLAN 20110.1.201.0/2410.1.201.0/24VLAN 200VLAN 20010.1.200.0/2410.1.200.0/24

10、沒有進行預留設計沒有進行預留設計, ,造成造成IPIP地址的不連續地址的不連續, ,不利于匯總不利于匯總第三章 IP地址及VLAN規劃 需要考慮的因素 用戶VLAN與設備管理VLAN分開(IP地址) 為網絡擴容進行可匯總的預留設計需要提前為新增的網絡進行需要提前為新增的網絡進行IPIP地址及地址及VLANVLAN的設計的設計, ,包包括用戶括用戶IPIP地址、設備管理地址以及設備互聯地址地址、設備管理地址以及設備互聯地址VLAN 100VLAN 10010.1.100.0/2410.1.100.0/24VLAN 110VLAN 11010.1.110.0/2410.1.110.0/24VLAN

11、 101VLAN 10110.1.101.0/2410.1.101.0/24VLAN 120VLAN 12010.1.120.0/2410.1.120.0/第三章 IP地址及VLAN規劃 需要考慮的因素 用戶VLAN與設備管理VLAN分開(IP地址) 為網絡擴容進行可匯總的預留設計 IP地址與VLAN編號(其他相關因素)有一定的對照性VLAN 100VLAN 10010.1.100.0/2410.1.100.0/24用戶用戶IPIP地址段地址段用戶用戶VLANVLAN1 1樓號樓號第三章 IP地址及VLAN規劃 需要考慮的因素 用戶VLAN與設備管理VLAN分開(IP地址) 為網絡擴容進行可匯

12、總的預留設計 IP地址與VLAN編號(其他相關因素)有一定的對照性VLAN 100VLAN 10010.1.100.0/2410.1.100.0/24用戶用戶IPIP地址段地址段用戶用戶VLANVLAN1 1樓號樓號課程內容第一章 單核心網絡常見拓撲結構第二章 基本配置規范第三章 IP地址及VLAN規劃第四章 路由協議規劃第五章 出口策略設計第六章 網絡安全優化設計第四章 路由協議規劃 單核心二層結構網絡路由協議規劃靜態默認路由靜態默認路由靜態回指匯總路由靜態回指匯總路由第四章 路由協議規劃 單核心三層結構網絡靜態路由協議規劃靜態默認路由靜態默認路由靜態回指匯總路由靜態回指匯總路由( (全網全

13、網) )靜態默認路由靜態默認路由靜態回指匯總路由靜態回指匯總路由( (局部局部) )第四章 路由協議規劃 單核心三層結構網絡動態路由協議規劃一靜態默認路由靜態默認路由靜態回指匯總路由靜態回指匯總路由( (全網全網) )Area 0Area 0Area 10Area 10Area 20Area 20Area 30Area 第四章 路由協議規劃 單核心三層結構網絡動態路由協議規劃一第四章 路由協議規劃 單核心三層結構網絡路由協議規劃二靜態默認路由靜態默認路由靜態回指匯總路由靜態回指匯總路由( (全網全網) )Area 0Area 0Area 10Area 10Area 20Area 20Area

14、30Area 第四章 路由協議規劃 單核心三層結構網絡路由協議規劃二課程內容第一章 單核心網絡常見拓撲結構第二章 基本配置規范第三章 IP地址及VLAN規劃第四章 路由協議規劃第五章 出口策略設計第六章 網絡安全優化設計第五章 出口策略設計 出口區域類型（按照設備、線路數量）： 單出口設備單線路 單出口設備雙（多）線路 雙出口設備雙（多）線路第五章 出口策略設計 單出口設備單線路核心層設備核心層設備出口設備出口設備內部校園網內部校園網靜態默認路由靜態默認路由靜態回指匯總路由（全網）靜態回指匯總路由（全網）默認路由默認路由源地址轉換為公網地址源地址轉換為公網地址第五章 出口策略設計 單出口設備雙

15、（多）線路核心層設備核心層設備出口設備出口設備內部校園網內部校園網靜態默認路由靜態默認路由靜態回指匯總路由（全網）靜態回指匯總路由（全網）教育網明細路由教育網明細路由默認路由默認路由源地址轉換為教育網地址源地址轉換為教育網地址源地址轉換為公網地址源地址轉換為公網地址第五章 出口策略設計 單出口設備雙（多）線路核心層設備核心層設備出口設備出口設備內部校園網內部校園網對外發布的教育網服務器對外發布的教育網服務器internet用戶用戶公網公網IP地址地址返回的數據包匹配了默認路由，返回的數據包匹配了默認路由，源源IP地址轉換為公網地址轉換為公網IP地址地址源源IP：公網：公網IP目的目的IP：教育

16、網：教育網IP源源IP：公網：公網IP目的目的IP：公網：公網IPTCP會話中斷會話中斷第五章 出口策略設計 單出口設備雙（多）線路核心層設備核心層設備出口設備出口設備內部校園網內部校園網對外發布的教育網服務器對外發布的教育網服務器internet用戶用戶公網公網IP地址地址應用基于源地址的策略路由應用基于源地址的策略路由,強制源地址強制源地址為服務器私有為服務器私有IP地址的數據包在進行轉地址的數據包在進行轉發時發時,下一跳為教育網接口下一跳下一跳為教育網接口下一跳源源IP：公網：公網IP目的目的IP：教育網：教育網IP源源IP：教育網：教育網IP目的目的IP：公網：公網IP第五章 出口策略

17、設計 單出口設備雙（多）線路核心層設備核心層設備出口設備出口設備內部校園網內部校園網默認路由默認路由靜態回指匯總路由靜態回指匯總路由電信電信聯通聯通多于兩個出口線路如何規劃多于兩個出口線路如何規劃第五章 出口策略設計 雙出口設備雙（多）線路核心層設備核心層設備出口設備出口設備默認路由默認路由教育網明細路由教育網明細路由靜態回指匯總路由靜態回指匯總路由靜態回指匯總路由靜態回指匯總路由默認路由默認路由默認路由默認路由源地址轉換為教育網地址源地址轉換為教育網地址源地址轉換為公網地址源地址轉換為公網地址課程內容第一章 單核心網絡常見拓撲結構第二章 基本配置規范第三章 IP地址及VLAN規劃第死章 路由

18、協議規劃第五章 出口策略設計第六章 網絡安全優化設計第六章 網絡安全優化設計 什么是安全優化設計？ 安全設計：使網絡更穩定運行 優化設計：使網絡更合理運行 根據園區網的層次進行分類： 接入層設備安全優化設計 匯聚層設備安全優化設計 核心層設備安全優化設計 出口區域設備安全優化設計第六章 網絡安全優化設計 接入層設備安全優化設計 VLAN修剪 防范下聯環路 防范非法DHCP服務器 防范DHCP環境下使用靜態IP地址 保證靜態IP環境下地址唯一性 防范ARP欺騙第六章 網絡安全優化設計 接入層設備安全優化設計 VLAN修剪VLAN 10 20 30 40VLAN 10VLAN 20VLAN 30t

19、runktrunktrunkVLAN 10內內的廣播流量的廣播流量該交換機收到該交換機收到tag標記為標記為10的數據幀的數據幀,發現本地沒發現本地沒有有VLAN10,于是丟棄于是丟棄SW1雖然廣播流量被丟棄，但是如果當其他雖然廣播流量被丟棄，但是如果當其他VLANVLAN內產生內產生大量廣播時，上聯聯路也是會受到嚴重影響。大量廣播時，上聯聯路也是會受到嚴重影響。第六章 網絡安全優化設計 接入層設備安全優化設計 VLAN修剪VLAN 10 20 30 40VLAN 10VLAN 20VLAN 30trunktrunktrunkVLAN 10內內的廣播流量的廣播流量只容許只容許VLAN 30通過

20、通過SW1只容許只容許VLAN 30通過通過第六章 網絡安全優化設計 接入層設備安全優化設計 VLAN修剪 防范下聯環路 防范非法DHCP服務器 防范DHCP環境下使用靜態IP地址 保證靜態IP環境下地址唯一性 防范ARP欺騙第六章 網絡安全優化設計 接入層設備安全優化設計 防范下聯環路匯聚交換機匯聚交換機接入交換機接入交換機匯聚交換機匯聚交換機接入交換機接入交換機HUB匯聚交換機匯聚交換機接入交換機接入交換機HUB第六章 網絡安全優化設計 接入層設備安全優化設計 防范下聯環路 采用生成樹解決環路問題BPDUBPDUBPDU如何解決單端口下的環路呢?fa0/24fa0/24fa0/第六章 網絡

21、安全優化設計 接入層設備安全優化設計 防范下聯環路 采用生成樹解決環路問題BPDUfa0/24fa0/24fa0/24可能存在的問題?默認開啟生成樹的默認開啟生成樹的非網管交換機非網管交換機BPDU下聯端口開啟下聯端口開啟BPDU GuardBPDU G第六章 網絡安全優化設計 接入層設備安全優化設計 防范下聯環路 采用生成樹解決環路問題接入交換機2匯聚交換機接入交換機N接入交換機1接入交換機下聯端口開啟spanning portfast 以及spanning-tree bpduguard 功能接入交換機上聯端口開啟spanning-tree bpdufilter功能第六章 網絡安全優化設計

22、接入層設備安全優化設計 防范下聯環路 采用RLDP解決環路問題RLDPRLDPRLDPfa0/24fa0/24fa0/第六章 網絡安全優化設計 接入層設備安全優化設計 VLAN修剪 防范下聯環路 防范非法DHCP服務器 防范DHCP環境下使用靜態IP地址 保證靜態IP環境下地址唯一性 防范ARP欺騙第六章 網絡安全優化設計 接入層設備安全優化設計 防范非法DHCP服務器校園網校園網DHCP服務器服務器匯聚交換機匯聚交換機接入交換機接入交換機PC非法非法DHCP服務器服務器DHCP DiscoverDHCP Discover非法非法DHCP Offer合法合法DHCP OfferDHCP Req

23、uestDHCP Ack用戶從非法用戶從非法DHCP處獲得了不正確的處獲得了不正確的IP地址地址,導致無法正常訪問網絡導致無法正常訪問網絡第六章 網絡安全優化設計 接入層設備安全優化設計 防范非法DHCP服務器校園網校園網DHCP服務器服務器匯聚交換機匯聚交換機接入交換機接入交換機PC非法非法DHCP服務器服務器DHCP Snooping Trust接口接口DHCP Snooping Untrust接口接口DHCP Offer/ACK第六章 網絡安全優化設計 接入層設備安全優化設計 VLAN修剪 防范下聯環路 防范非法DHCP服務器 防范DHCP環境下使用靜態IP地址 保證靜態IP環境下地址唯一性 防范ARP欺騙第六章 網絡安全優化設計 接入層設備安全優化設計 防范DHCP環境下使用靜態IP地址校園網校園網DHCP服務器服務器匯聚交換機匯聚交換機接入交換機接入交換機PC通過通過DHCP動態獲取的動態獲取的IP地址地址10.1.100.1/24手工配置靜態手工配置靜態IP地址地址10.1.100.1/24引起引起IP地址沖突地址沖突,影響其他用戶的正常使用影響其他用戶的正常使用第六章 網絡安全優化設計 接入層設備安全優化設計 防范DHCP環境