學(xué)校網(wǎng)絡(luò)系統(tǒng)規(guī)劃與設(shè)計(jì)

1、學(xué)校網(wǎng)絡(luò)規(guī)劃與設(shè)計(jì)學(xué)校網(wǎng)絡(luò)規(guī)劃與設(shè)計(jì)網(wǎng)絡(luò)規(guī)劃其實(shí)很難網(wǎng)絡(luò)規(guī)劃其實(shí)很難.一個(gè)合格的網(wǎng)絡(luò)設(shè)計(jì)師需要具備如下條件：精通TCP/IP協(xié)議族中數(shù)十個(gè)協(xié)議的原理.精通N家廠商的N百種設(shè)備的性能和配置.還要具備統(tǒng)籌學(xué)、經(jīng)濟(jì)學(xué)、哲學(xué)的基本思想.豐富的實(shí)踐經(jīng)驗(yàn)和組織協(xié)調(diào)能力.對(duì)網(wǎng)絡(luò)中的新技術(shù)保持高度的敏感性.膽大心細(xì)、臨危不亂的良好心里素質(zhì).網(wǎng)絡(luò)規(guī)劃其實(shí)很簡(jiǎn)單網(wǎng)絡(luò)規(guī)劃其實(shí)很簡(jiǎn)單.瞎說(shuō)！根本沒(méi)那么恐怖：常用的協(xié)議不超過(guò)10個(gè)，了解大概就行.主流廠商只有幾家，相同廠家的產(chǎn)品配置相同.很多網(wǎng)絡(luò)的模型都十分相似，照貓畫(huà)虎即可.不就是畫(huà)幾個(gè)框框、圈幾個(gè)圈圈、連幾根線么.網(wǎng)絡(luò)規(guī)劃其實(shí)很崇高網(wǎng)絡(luò)規(guī)劃其實(shí)很崇高.當(dāng)你進(jìn)行網(wǎng)絡(luò)規(guī)

2、劃時(shí)，你與畫(huà)“向日葵”的凡.高譜寫“命運(yùn)交響曲”的貝多芬唱“我的太陽(yáng)”的帕瓦羅帝設(shè)計(jì)“鳥(niǎo)巢”的安德魯沒(méi)什么區(qū)別，因?yàn)槟銈兌际悄磕?錄錄n 網(wǎng)絡(luò)設(shè)計(jì)概述n 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)設(shè)計(jì)n 板卡規(guī)劃和設(shè)備命名n 局域網(wǎng)規(guī)劃設(shè)計(jì)n IP地址規(guī)劃設(shè)計(jì)n IP路由規(guī)劃n 網(wǎng)絡(luò)安全設(shè)計(jì)n 網(wǎng)絡(luò)管理設(shè)計(jì)網(wǎng)絡(luò)規(guī)劃基本原則網(wǎng)絡(luò)規(guī)劃基本原則可靠性原則可靠性原則l從設(shè)備本身（電信級(jí)可靠性）和網(wǎng)絡(luò)拓?fù)洌o(wú)單點(diǎn)故障）兩方面考慮?？蓴U(kuò)展性原則可擴(kuò)展性原則l從設(shè)備性能（是否已達(dá)到滿配），可升級(jí)的能力（是否可以通過(guò)平滑的軟硬件升級(jí)支持未來(lái)的新業(yè)務(wù)和新特性）和IP地址、路由協(xié)議規(guī)劃等方面考慮?？蛇\(yùn)營(yíng)性原則可運(yùn)營(yíng)性原則l僅僅提供IP級(jí)別的連

3、通是遠(yuǎn)遠(yuǎn)不夠的。網(wǎng)絡(luò)是否能夠提供豐富的業(yè)務(wù)，足夠健壯的安全級(jí)別，對(duì)關(guān)鍵業(yè)務(wù)的QOS保證搭建網(wǎng)絡(luò)的目的是真正能夠給用戶帶來(lái)效益?？晒芾碓瓌t可管理原則l提供靈活的網(wǎng)絡(luò)管理平臺(tái)，利用一個(gè)平臺(tái)實(shí)現(xiàn)對(duì)系統(tǒng)中的各種類型設(shè)備進(jìn)行統(tǒng)一管理；提供網(wǎng)管對(duì)設(shè)備進(jìn)行拓?fù)涔芾?、配置備份、軟件升?jí)、實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)中的流量及異常情況。網(wǎng)絡(luò)設(shè)計(jì)規(guī)劃流程網(wǎng)絡(luò)設(shè)計(jì)規(guī)劃流程設(shè)備選型拓?fù)湟?guī)劃板卡規(guī)劃物理連通路由規(guī)劃IP地址規(guī)劃IP連通VPN規(guī)劃QoS規(guī)劃策略路由高級(jí)路由協(xié)議規(guī)劃業(yè)務(wù)隔離及關(guān)鍵業(yè)務(wù)確保帶寬及流量控制網(wǎng)絡(luò)安全部署網(wǎng)管規(guī)劃可運(yùn)營(yíng)可管理的安全網(wǎng)絡(luò)客戶需求分析需求分析需求分析n 學(xué)校的情況n 學(xué)校的規(guī)模和信息化發(fā)展的程度n 業(yè)務(wù)

4、需求n 分析應(yīng)用系統(tǒng)及用戶的種類和分布，確定網(wǎng)絡(luò)帶寬n 明確各應(yīng)用系統(tǒng)對(duì)網(wǎng)絡(luò)可靠性和安全性的要求n 分析對(duì)外業(yè)務(wù)交流以確定學(xué)校網(wǎng)絡(luò)的出口結(jié)構(gòu)n 組織結(jié)構(gòu)、院內(nèi)樓宇和院系分布n 分析學(xué)校內(nèi)樓宇和院系分布情況，確定網(wǎng)絡(luò)核心節(jié)點(diǎn)、匯聚節(jié)點(diǎn) n 現(xiàn)有網(wǎng)絡(luò)情況n 了解現(xiàn)網(wǎng)拓?fù)浣Y(jié)構(gòu)、布線情況、設(shè)備情況、應(yīng)用和用戶基本信息、IP地址及VLAN規(guī)劃、各設(shè)備間情況，以確定哪些基礎(chǔ)設(shè)施可以利舊，保護(hù)前期投資n 內(nèi)外網(wǎng)是否實(shí)施物理隔離n 主要取決于學(xué)校的安全策略設(shè)備選型需要參考的因素設(shè)備選型需要參考的因素可靠性可靠性l該設(shè)備是否提供關(guān)鍵模塊（電源、主控板）的冗余備份，具備何種級(jí)別的可靠該設(shè)備是否提供關(guān)鍵模塊（電源、

5、主控板）的冗余備份，具備何種級(jí)別的可靠性性轉(zhuǎn)發(fā)性能轉(zhuǎn)發(fā)性能l通常做如下考慮：通過(guò)某設(shè)備的流量通常做如下考慮：通過(guò)某設(shè)備的流量 （該設(shè)備滿配最大流量）（該設(shè)備滿配最大流量）/2/2。業(yè)務(wù)支持能力業(yè)務(wù)支持能力l除了普通的除了普通的IPIP路由功能外，是否需要該設(shè)備支持諸如（路由功能外，是否需要該設(shè)備支持諸如（NATNAT、各種、各種VPNVPN、策略、策略路由）等業(yè)務(wù)屬性。（路由）等業(yè)務(wù)屬性。（CPUCPU、ASICASIC、NPNP）端口支持端口支持l是否能夠提供組網(wǎng)所需要的端口。是否能夠提供組網(wǎng)所需要的端口。擴(kuò)展能力擴(kuò)展能力l是否能夠提供增加板卡以及軟件升級(jí)提供未來(lái)可能需要的性能支持及業(yè)務(wù)能力

6、是否能夠提供增加板卡以及軟件升級(jí)提供未來(lái)可能需要的性能支持及業(yè)務(wù)能力支持。（支持。（CPUCPU、ASICASIC、NPNP）價(jià)格因素價(jià)格因素l在綜合考慮以上因素的基礎(chǔ)上選擇適當(dāng)?shù)脑O(shè)備。只選對(duì)的，不選貴的。在綜合考慮以上因素的基礎(chǔ)上選擇適當(dāng)?shù)脑O(shè)備。只選對(duì)的，不選貴的。目目 錄錄n 網(wǎng)絡(luò)設(shè)計(jì)概述n 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)設(shè)計(jì)n 板卡規(guī)劃和設(shè)備命名n 局域網(wǎng)規(guī)劃設(shè)計(jì)n IP地址規(guī)劃設(shè)計(jì)n IP路由規(guī)劃n 網(wǎng)絡(luò)安全設(shè)計(jì)n 網(wǎng)絡(luò)管理設(shè)計(jì)網(wǎng)絡(luò)拓?fù)鋵哟卧O(shè)計(jì)網(wǎng)絡(luò)拓?fù)鋵哟卧O(shè)計(jì)接入層接入層匯聚層匯聚層核心層核心層高速數(shù)據(jù)交換高速數(shù)據(jù)交換路由匯聚及流量收斂路由匯聚及流量收斂工作組接入和訪問(wèn)控制工作組接入和訪問(wèn)控制網(wǎng)絡(luò)設(shè)計(jì)分

7、三層：核心層、匯聚層、接入層網(wǎng)絡(luò)設(shè)計(jì)分三層：核心層、匯聚層、接入層網(wǎng)絡(luò)中常用的拓?fù)浣Y(jié)構(gòu)網(wǎng)絡(luò)中常用的拓?fù)浣Y(jié)構(gòu)星形或雙星形星形或雙星形l常見(jiàn)于下層網(wǎng)絡(luò)與上層之間的拓?fù)浣Y(jié)構(gòu)，主要的網(wǎng)絡(luò)流量都在分支節(jié)點(diǎn)與核心節(jié)點(diǎn)之間發(fā)生，兩個(gè)分支節(jié)點(diǎn)之間不通訊或流量很少。星型星型雙星型雙星型網(wǎng)絡(luò)中常用的拓?fù)浣Y(jié)構(gòu)網(wǎng)絡(luò)中常用的拓?fù)浣Y(jié)構(gòu)環(huán)形、網(wǎng)狀或部分網(wǎng)狀環(huán)形、網(wǎng)狀或部分網(wǎng)狀l常見(jiàn)于同一層次（核心層或匯聚層）之間的設(shè)備互聯(lián)，這些設(shè)備之間通常都是對(duì)等通信，或者這些設(shè)備之間需要確?；ヂ?lián)而增加很多的冗余鏈路。環(huán)型環(huán)型網(wǎng)狀網(wǎng)狀部分網(wǎng)狀部分網(wǎng)狀網(wǎng)絡(luò)中常用的拓?fù)浣Y(jié)構(gòu)網(wǎng)絡(luò)中常用的拓?fù)浣Y(jié)構(gòu)混合組網(wǎng)混合組網(wǎng)l在同一個(gè)網(wǎng)絡(luò)中，不同的層次之間通

8、常采用不同的拓?fù)浣Y(jié)構(gòu)，通常核心層或匯聚層采用網(wǎng)狀或部分網(wǎng)狀相連，核心層與匯聚層或匯聚層與接入層之間采用星形或雙星形相連。 根據(jù)具體需求選擇網(wǎng)絡(luò)層次和網(wǎng)絡(luò)結(jié)構(gòu)根據(jù)具體需求選擇網(wǎng)絡(luò)層次和網(wǎng)絡(luò)結(jié)構(gòu)n 小型網(wǎng)絡(luò)可以使用二層組網(wǎng)模型，大型網(wǎng)絡(luò)建議使用三層組網(wǎng)模型n 核心層根據(jù)網(wǎng)絡(luò)規(guī)模選擇單核心結(jié)構(gòu)、雙核心結(jié)構(gòu)或網(wǎng)狀結(jié)構(gòu)n 根據(jù)學(xué)校內(nèi)的具體情況，確定匯聚節(jié)點(diǎn)的位置和數(shù)量n 根據(jù)不同區(qū)域的可靠性需求，選擇到核心交換機(jī)的連接方式n 根據(jù)學(xué)校內(nèi)服務(wù)器的數(shù)量，確定是否需要建設(shè)獨(dú)立的數(shù)據(jù)中心n 根據(jù)外聯(lián)需求，確定外聯(lián)方案n 根據(jù)需求，部署無(wú)線局域網(wǎng)系統(tǒng)分區(qū)域進(jìn)行網(wǎng)絡(luò)規(guī)劃分區(qū)域進(jìn)行網(wǎng)絡(luò)規(guī)劃VOD信息管理中心信息管理中

9、心IP集合通信集合通信數(shù)據(jù)中心數(shù)據(jù)中心業(yè)務(wù)應(yīng)用平臺(tái)業(yè)務(wù)應(yīng)用平臺(tái)外出專家外出專家CISHISPACSLISRISGMIS專科分院?？品衷荷鐓^(qū)教育社區(qū)教育教學(xué)樓教學(xué)樓圖書(shū)館樓圖書(shū)館樓宿舍宿舍科研樓科研樓行政樓行政樓RPR/RRPP高可靠性高可靠性設(shè)備冗余設(shè)備冗余鏈路冗余鏈路冗余主要應(yīng)用主要應(yīng)用無(wú)線查房無(wú)線查房遠(yuǎn)程探視遠(yuǎn)程探視重癥監(jiān)控重癥監(jiān)控網(wǎng)絡(luò)特點(diǎn)網(wǎng)絡(luò)特點(diǎn)高帶寬高帶寬千兆到桌面千兆到桌面主要系統(tǒng)主要系統(tǒng)PACS主要應(yīng)用主要應(yīng)用遠(yuǎn)程示教遠(yuǎn)程示教安全防護(hù)安全防護(hù)WLAN主要應(yīng)用主要應(yīng)用防火墻防火墻WLAN視頻會(huì)議視頻會(huì)議呼叫中心呼叫中心醫(yī)院系統(tǒng)拓?fù)浣Y(jié)構(gòu)醫(yī)院系統(tǒng)拓?fù)浣Y(jié)構(gòu)樓層接入交換機(jī)樓層接入交換機(jī)大樓匯

10、聚節(jié)點(diǎn)交換機(jī)大樓匯聚節(jié)點(diǎn)交換機(jī)掛號(hào)、急診掛號(hào)、急診外科門診外科門診收費(fèi)處收費(fèi)處藥庫(kù)房藥庫(kù)房急救室急救室手術(shù)室手術(shù)室婦產(chǎn)科婦產(chǎn)科收費(fèi)處收費(fèi)處內(nèi)科門診內(nèi)科門診檢驗(yàn)中心檢驗(yàn)中心超聲診療中心超聲診療中心收費(fèi)處收費(fèi)處中醫(yī)科門診中醫(yī)科門診耳鼻喉科門診耳鼻喉科門診 口腔科門診口腔科門診收費(fèi)處收費(fèi)處核醫(yī)學(xué)科核醫(yī)學(xué)科皮膚科皮膚科眼科眼科收費(fèi)處收費(fèi)處一層一層二層二層三層三層四層四層五層五層醫(yī)院醫(yī)院核心網(wǎng)絡(luò)核心網(wǎng)絡(luò)路由交換機(jī)路由交換機(jī)校園樓層系統(tǒng)拓?fù)浣Y(jié)構(gòu)校園樓層系統(tǒng)拓?fù)浣Y(jié)構(gòu)樓層接入交換機(jī)樓層接入交換機(jī)大樓匯聚節(jié)點(diǎn)交換機(jī)大樓匯聚節(jié)點(diǎn)交換機(jī)一層一層二層二層三層三層。n層層學(xué)校核心網(wǎng)絡(luò)學(xué)校核心網(wǎng)絡(luò)路由交換機(jī)路由交換機(jī)AP

11、圖書(shū)館閱覽室圖書(shū)館閱覽室APAPAPAP教師教師操場(chǎng)操場(chǎng)科研科研網(wǎng)絡(luò)中心網(wǎng)絡(luò)中心PACS系統(tǒng)拓?fù)浣Y(jié)構(gòu)系統(tǒng)拓?fù)浣Y(jié)構(gòu)B超超CTX光機(jī)光機(jī)內(nèi)窺鏡內(nèi)窺鏡顯示工作站顯示工作站視頻采集視頻采集圖像采集圖像采集視頻采集視頻采集圖像采集圖像采集PACS服務(wù)器服務(wù)器千兆交換機(jī)千兆交換機(jī)千兆交換機(jī)千兆交換機(jī)存儲(chǔ)存儲(chǔ)LAN容災(zāi)備份容災(zāi)備份對(duì)外互聯(lián)拓?fù)浣Y(jié)構(gòu)設(shè)計(jì)對(duì)外互聯(lián)拓?fù)浣Y(jié)構(gòu)設(shè)計(jì)核心交換機(jī)核心交換機(jī)門診中心門診中心數(shù)字影像中心數(shù)字影像中心住院中心住院中心匯聚交換機(jī)匯聚交換機(jī)教育網(wǎng)社區(qū)學(xué)校社區(qū)學(xué)校使用專門的路由器，通過(guò)專線連接醫(yī)保網(wǎng)通過(guò)互聯(lián)網(wǎng)，采用IPsec VPN或SSL VPN的方式連接社區(qū)學(xué)校遠(yuǎn)程移動(dòng)辦公路由器防

12、火墻入侵防御目目 錄錄n 網(wǎng)絡(luò)設(shè)計(jì)概述n 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)設(shè)計(jì)n 板卡規(guī)劃和設(shè)備命名n 局域網(wǎng)規(guī)劃設(shè)計(jì)n IP地址規(guī)劃設(shè)計(jì)n IP路由規(guī)劃n 網(wǎng)絡(luò)安全設(shè)計(jì)n 網(wǎng)絡(luò)管理設(shè)計(jì)設(shè)備板卡規(guī)劃設(shè)備板卡規(guī)劃設(shè)備的板卡布局也需要規(guī)劃？當(dāng)然！原則是：l不要把所有的雞蛋放在同一個(gè)籃子里；如果有M個(gè)雞蛋和N個(gè)籃子，盡量把M個(gè)雞蛋平均放在N個(gè)籃子里。使得當(dāng)失去一個(gè)籃子時(shí)損失的雞蛋數(shù)量Priority(backup)Priority(master）-Priority(reduced)監(jiān)控上行端口監(jiān)控上行端口接口地址：接口地址：/24接口地址：接口地址：/24虛擬網(wǎng)關(guān)虛擬網(wǎng)關(guān)IP

13、地址：地址：54/24虛擬網(wǎng)關(guān)虛擬網(wǎng)關(guān)MAC地址：地址：00-00-5E-00-01-VRIDDHCP相關(guān)的設(shè)計(jì)考慮相關(guān)的設(shè)計(jì)考慮固定IP地址段與動(dòng)態(tài)分配IP地址段保持連續(xù)。動(dòng)態(tài)分配IP地址的租約一般定為2-4小時(shí)。DHCP需跨網(wǎng)段獲得IP地址時(shí)，啟動(dòng)DHCP-RELAY功能。禁止在同一網(wǎng)絡(luò)上放置兩臺(tái)DHCP服務(wù)器。啟動(dòng)DHCP安全功能，禁止未通過(guò)DHCP獲得的IP地址上網(wǎng)。鏈路聚合相關(guān)的設(shè)計(jì)考慮鏈路聚合相關(guān)的設(shè)計(jì)考慮在進(jìn)行多個(gè)鏈路聚合設(shè)計(jì)時(shí)先要查詢?cè)O(shè)備對(duì)鏈路聚合的支持規(guī)格。對(duì)于支持跨單板鏈路聚合的設(shè)備盡量配置跨單板鏈路聚合。使用LACP自動(dòng)聚合，要先將端口的參數(shù)配置成一

14、致。目目 錄錄n 網(wǎng)絡(luò)設(shè)計(jì)概述n 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)設(shè)計(jì)n 板卡規(guī)劃和設(shè)備命名n 局域網(wǎng)規(guī)劃設(shè)計(jì)n IP地址規(guī)劃設(shè)計(jì)n IP路由規(guī)劃n 網(wǎng)絡(luò)安全設(shè)計(jì)n 網(wǎng)絡(luò)管理設(shè)計(jì)IP地址規(guī)劃的重要性地址規(guī)劃的重要性lIP地址的合理規(guī)劃是網(wǎng)絡(luò)設(shè)計(jì)中的重要一環(huán)，大型網(wǎng)絡(luò)必須對(duì)IP地址進(jìn)行統(tǒng)一規(guī)劃并得到實(shí)施。IP地址規(guī)劃的好壞，影響到網(wǎng)絡(luò)路由協(xié)議算法的效率，影響到網(wǎng)絡(luò)的性能，影響到網(wǎng)絡(luò)的擴(kuò)展，影響到網(wǎng)絡(luò)的管理，也必將直接影響到網(wǎng)絡(luò)應(yīng)用的進(jìn)一步發(fā)展。l如果要看一個(gè)網(wǎng)絡(luò)的規(guī)劃質(zhì)量、如果要看一個(gè)網(wǎng)絡(luò)設(shè)計(jì)師的技術(shù)水準(zhǔn)，直接看他的IP地址規(guī)劃好了。IP地址規(guī)劃是一項(xiàng)藝術(shù)創(chuàng)造！地址規(guī)劃是一項(xiàng)藝術(shù)創(chuàng)造！IP地址規(guī)劃的基本原則地址規(guī)劃

15、的基本原則唯一性：唯一性：l一個(gè)IP網(wǎng)絡(luò)中不能有兩個(gè)主機(jī)采用相同的IP地址。即使使用了支持地址重疊的MPLS/VPN技術(shù)，也盡量不要規(guī)劃為相同的地址。連續(xù)性連續(xù)性l連續(xù)地址在層次結(jié)構(gòu)網(wǎng)絡(luò)中易于進(jìn)行路徑疊合，大大縮減路由表，提高路由算法的效率。擴(kuò)展性擴(kuò)展性l地址分配在每一層次上都要留有余量，在網(wǎng)絡(luò)規(guī)模擴(kuò)展時(shí)能保證地址疊合所需的連續(xù)性。實(shí)意性實(shí)意性l“望址生義”，好的IP地址規(guī)劃使每個(gè)地址具有實(shí)際含義，看到一個(gè)地址就可以大至判斷出該地址所屬的設(shè)備。這是IP地址規(guī)劃中最具技巧型和藝術(shù)性的部分。最完美的方式是得出一個(gè)IP地址公式，以及一些參數(shù)及系數(shù)，通過(guò)計(jì)算得出每一個(gè)需要用到的IP地址。IP地址的分類

16、地址的分類loopback地址地址loopbackloopback地址概述地址概述l為了方便管理，會(huì)為每一臺(tái)路由器創(chuàng)建一個(gè)loopback 接口，并在該接口上單獨(dú)指定一個(gè)IP 地址作為管理地址，管理員會(huì)使用該地址對(duì)路由器遠(yuǎn)程登錄（telnet），該地址實(shí)際上起到了類似設(shè)備名稱一類的功能。同時(shí)各種上層協(xié)議需要使用TCP或UDP來(lái)建立連接時(shí)也需要使用該地址作為源地址。loopbackloopback地址規(guī)劃技巧地址規(guī)劃技巧l務(wù)必使用32位掩碼的地址。l最后一位是奇數(shù)的表示路由器，是偶數(shù)的表示交換機(jī)。l越是核心的設(shè)備，loopback地址越小。為什么核心設(shè)備要使用較小的為什么核心設(shè)備要使用較小的lo

17、opbackloopback地址地址 ? ?IP地址的分類互聯(lián)地址地址的分類互聯(lián)地址互聯(lián)地址概述互聯(lián)地址概述l互聯(lián)地址是指兩臺(tái)網(wǎng)絡(luò)設(shè)備相互連接的接口所需要的地址。互聯(lián)地址規(guī)劃技巧互聯(lián)地址規(guī)劃技巧l務(wù)必使用30位掩碼的地址。l核心設(shè)備，使用較小的一個(gè)地址（即：loopback地址較小的設(shè)備使用互聯(lián)地址中較小的一個(gè)）。l互聯(lián)地址通常要聚合后發(fā)布，在規(guī)劃時(shí)要充分考慮使用連續(xù)的可聚合地址。IP地址的分類業(yè)務(wù)地址地址的分類業(yè)務(wù)地址業(yè)務(wù)地址概述業(yè)務(wù)地址概述l業(yè)務(wù)地址是連接在以太網(wǎng)上的各種服務(wù)器、主機(jī)所使用的地址以及網(wǎng)關(guān)的地址。業(yè)務(wù)地址規(guī)劃技巧業(yè)務(wù)地址規(guī)劃技巧l所有的網(wǎng)關(guān)地址統(tǒng)一使用相同的末位數(shù)字，如：.2

18、54都是表示網(wǎng)關(guān)。增加IP地址的分配方式和優(yōu)劣對(duì)比？目目 錄錄n 網(wǎng)絡(luò)設(shè)計(jì)概述n 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)設(shè)計(jì)n 板卡規(guī)劃和設(shè)備命名n 局域網(wǎng)規(guī)劃設(shè)計(jì)n IP地址規(guī)劃設(shè)計(jì)n IP路由規(guī)劃n 網(wǎng)絡(luò)安全設(shè)計(jì)n 網(wǎng)絡(luò)管理設(shè)計(jì)路由協(xié)議的規(guī)劃路由協(xié)議的規(guī)劃路由協(xié)議的選擇路由協(xié)議的選擇公欲善其事，必先利其器，不能讓網(wǎng)絡(luò)規(guī)劃輸在起跑線上！lRIP最古老的路由協(xié)議，特點(diǎn)：性能低下，只適合在小型的網(wǎng)絡(luò)中使用。lIGRP在RIP的基礎(chǔ)上稍加改進(jìn)，擁有RIP所有的缺點(diǎn)。 lEIGRP性能不錯(cuò)，但卻是cisco的私有協(xié)議，互通性不好。而且容易引起法律糾紛。lIS-ISISO與IETF幫派斗爭(zhēng)的產(chǎn)物，本來(lái)是為OSI七層模型設(shè)計(jì)，后

19、來(lái)強(qiáng)行移植到IP上。lOSPF是因特網(wǎng)上使用最為廣范的IGP，強(qiáng)力推薦。 lBGP是目前因特網(wǎng)上唯一的一種EGP協(xié)議。靜態(tài)路由設(shè)計(jì)原則靜態(tài)路由設(shè)計(jì)原則靜態(tài)缺省路由的設(shè)計(jì)原則InternetRoute 54 /2454/24/8Route 靜態(tài)路由設(shè)計(jì)原則靜態(tài)路由設(shè)計(jì)原則l靜態(tài)路由的備份與負(fù)載分擔(dān)方式lip route-static preference ?lip route

20、-static preference ?/24/24/24R1R2R3R4OSPF規(guī)劃規(guī)劃router idrouter id的規(guī)劃的規(guī)劃l直接使用該設(shè)備的管理地址（loopback）作為router id，并且要確保該數(shù)字與ldp的lsr id相同。區(qū)域劃分區(qū)域劃分l區(qū)域劃分是OSPF規(guī)劃中最核心也是最復(fù)雜的部分。lOSPF的區(qū)域劃分是與網(wǎng)絡(luò)層次密切相關(guān)的，通常核心層與匯聚層規(guī)劃為區(qū)域0，匯聚層的設(shè)備規(guī)劃為ABR，匯聚層與接入層之間規(guī)劃為非骨干區(qū)域，非骨干區(qū)域盡量規(guī)劃為NSSA區(qū)域

21、。l每個(gè)區(qū)域中的設(shè)備數(shù)量最好不要超過(guò)30臺(tái)，這個(gè)數(shù)字不是絕對(duì)的，主要與設(shè)備性能，鏈路的穩(wěn)定性密切相關(guān)。l非骨干區(qū)域的規(guī)劃可以與網(wǎng)絡(luò)中實(shí)際的行政，地域劃分相吻合。路由聚合規(guī)劃路由聚合規(guī)劃l在ABR上通常需要對(duì)非骨干區(qū)域的路由聚合后發(fā)布到骨干區(qū)域。同理：骨干區(qū)域的路由也通常需要聚合后再發(fā)布到非骨干區(qū)域。l在ASBR上可以對(duì)所有本地引入的路由聚合后再發(fā)布。l聚合的地址范圍是鏈路地址、業(yè)務(wù)地址，但通常不對(duì)loopback地址進(jìn)行聚合。OSPF規(guī)劃規(guī)劃COST及路由引入規(guī)劃及路由引入規(guī)劃OSPFOSPF的的COSTCOST規(guī)劃規(guī)劃l為確保路由器選擇最優(yōu)路徑，需要統(tǒng)一OSPF路由尺度（cost）的計(jì)算。通

22、常的做法是：取網(wǎng)絡(luò)中帶寬的最大值為度量值1，其他類型的接口按與最大帶寬的比例計(jì)算。例如：網(wǎng)絡(luò)中最大帶寬為GE。接口類型costGE1155M POS7100M FE1010M ETHERNET100NE1500/NLoopback接口的COST值通常取1。OSPFOSPF的路由引入規(guī)劃的路由引入規(guī)劃lOSPF可以引入直連、靜態(tài)以及其他路由協(xié)議的路由。l對(duì)于直連路由，如果條件允許，盡量使用network命令當(dāng)作區(qū)域內(nèi)路由發(fā)布，避免引入操作。l對(duì)于靜態(tài)和其他路由協(xié)議，引入時(shí)可以統(tǒng)一COST及路由類型，例如：cost為1000，type為1。l如果引入BGP路由，需要考慮路由表的規(guī)模，也可以使用缺省

23、路由來(lái)避免引入。OSPF規(guī)劃規(guī)劃Stub區(qū)域區(qū)域Area 0Stub AreaNo LSA5No External Route UpdateArea 0Not So Stub AreaNo LSA5RIPBGPExternal Route UpdateOSPF規(guī)劃規(guī)劃NSSA區(qū)域區(qū)域OSPFOSPF的的NSSANSSA區(qū)域是一種特殊的非骨干區(qū)域，由于具備一些特殊的屬性區(qū)域是一種特殊的非骨干區(qū)域，由于具備一些特殊的屬性而在實(shí)際的網(wǎng)絡(luò)網(wǎng)絡(luò)規(guī)劃中經(jīng)常使用。而在實(shí)際的網(wǎng)絡(luò)網(wǎng)絡(luò)規(guī)劃中經(jīng)常使用。l當(dāng)一個(gè)非骨干區(qū)域中不希望接收大量的自治系統(tǒng)外路由時(shí)，可以將其配置為STUB屬性，但由于STUB中苛刻的要求所有

24、的設(shè)備都不能引入任何外部路由，導(dǎo)致其幾乎無(wú)法使用。而NSSA無(wú)此限制，所以可以放心使用。使用使用NSSANSSA區(qū)域的另外一個(gè)優(yōu)點(diǎn)區(qū)域的另外一個(gè)優(yōu)點(diǎn)：l對(duì)于Type5類的LSA，由于OSPF只能在ASBR處將路由聚合，發(fā)布之后就沒(méi)有再次聚合的機(jī)會(huì)了。而NSSA在ABR處將Type7轉(zhuǎn)成Type5時(shí)可以再一次進(jìn)行聚合操作，實(shí)際上又多了一次寶貴的聚合機(jī)會(huì)。使用使用NSSANSSA區(qū)域的局限性：區(qū)域的局限性：l由于協(xié)議規(guī)定，當(dāng)一個(gè)NSSA區(qū)域中存在兩個(gè)ABR時(shí)，只能由其中的一臺(tái)（router id大的）進(jìn)行type7到type5的轉(zhuǎn)換操作。所以在實(shí)際使用中會(huì)受到一定的限制。學(xué)校網(wǎng)絡(luò)學(xué)校網(wǎng)絡(luò)OSPF路

25、由協(xié)議典型規(guī)劃路由協(xié)議典型規(guī)劃核心交換機(jī)核心交換機(jī)教學(xué)中心教學(xué)中心學(xué)生宿舍學(xué)生宿舍科研中心科研中心匯聚交換機(jī)匯聚交換機(jī)醫(yī)保網(wǎng)社區(qū)學(xué)校社區(qū)學(xué)校遠(yuǎn)程移動(dòng)辦公路由器防火墻入侵防御OSPF AREA 0目目 錄錄n 網(wǎng)絡(luò)設(shè)計(jì)概述n 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)設(shè)計(jì)n 板卡規(guī)劃和設(shè)備命名n 局域網(wǎng)規(guī)劃設(shè)計(jì)n IP地址規(guī)劃設(shè)計(jì)n IP路由規(guī)劃n 網(wǎng)絡(luò)安全設(shè)計(jì)n 網(wǎng)絡(luò)管理設(shè)計(jì)網(wǎng)絡(luò)安全規(guī)劃的基本原則網(wǎng)絡(luò)安全規(guī)劃的基本原則l網(wǎng)絡(luò)安全是一個(gè)復(fù)雜的體系結(jié)構(gòu)，涉及到幾乎全網(wǎng)中的任何設(shè)備以及任何層次。l網(wǎng)絡(luò)安全只是一個(gè)相對(duì)的概念，無(wú)論你付出多大的代價(jià)，都不存在絕對(duì)安全的網(wǎng)絡(luò)。l部署網(wǎng)絡(luò)安全通常會(huì)帶來(lái)副作用，例如：占用帶寬，降低設(shè)備的處

26、理能力，給使用和管理網(wǎng)絡(luò)帶來(lái)諸多不便之處。所以要在網(wǎng)絡(luò)的安全和性能之間找到恰當(dāng)?shù)钠胶恻c(diǎn)。在接入層通過(guò)在接入層通過(guò)VLAN進(jìn)行安全隔離進(jìn)行安全隔離普通二層以太網(wǎng)網(wǎng)絡(luò)中采用普通二層以太網(wǎng)網(wǎng)絡(luò)中采用VLANVLAN進(jìn)行隔離。進(jìn)行隔離。小區(qū)以太網(wǎng)接入應(yīng)用中在接入層交換機(jī)上配置小區(qū)以太網(wǎng)接入應(yīng)用中在接入層交換機(jī)上配置Isolate-user-VLANIsolate-user-VLAN，禁止接入，禁止接入用戶之間互訪。用戶之間互訪。建議在接入交換機(jī)接入端口配置廣播抑制門限建議在接入交換機(jī)接入端口配置廣播抑制門限1234在交換機(jī)上啟用以下安全策略在交換機(jī)上啟用以下安全策略核心層交換機(jī)核心層交換機(jī)匯聚層交換機(jī)

27、匯聚層交換機(jī)匯聚設(shè)備啟用以下安全特性：STP根保護(hù)和BPDU保護(hù)TC-BPDU報(bào)文處理機(jī)制OSPF/RIP路由認(rèn)證SSH、SNMPv3Telnet終端限制核心交換機(jī)匯聚交換機(jī)接入交換機(jī)核心設(shè)備啟用以下安全特性：OSPF/RIP路由認(rèn)證SSH、SNMPv3、SFTPTelnet終端限制匯聚設(shè)備啟用以下安全特性：STP根保護(hù)和BPDU保護(hù)TC-BPDU報(bào)文處理機(jī)制OSPF/RIP路由認(rèn)證SSH、SNMP、SFTP三層接入設(shè)備啟用以下安全特性：端口MAC地址數(shù)限制OSPF/RIP路由認(rèn)證ARP入侵檢測(cè)（ARP、DHCP限速）DHCP Snooping Trust & Option 82SSH

28、、SNMPv3Telnet終端限制二層接入設(shè)備啟用以下安全特性：端口MAC地址數(shù)限制STP根保護(hù)和BPDU保護(hù)TC-BPDU報(bào)文處理機(jī)制SSH、SNMPv3Telnet終端限制接入交換機(jī)接入交換機(jī)接入交換機(jī)嚴(yán)格的訪問(wèn)控制嚴(yán)格的訪問(wèn)控制n在匯聚交換機(jī)與核心交換機(jī)上配置訪問(wèn)控制列表，限制不同部門之間的互訪。n在匯聚路由器和核心交換機(jī)上配置訪問(wèn)控制列表，封掉常見(jiàn)的病毒傳播端口n所有的網(wǎng)絡(luò)設(shè)備必須配置super密碼，telnet的口令及密碼，并定期修改。ntelnet需要在VTY中設(shè)置訪問(wèn)列表，對(duì)無(wú)訪問(wèn)需求的源地址進(jìn)行過(guò)濾。例如：n在連接內(nèi)外網(wǎng)的防火墻上禁止來(lái)自外網(wǎng)的telnet訪問(wèn)。認(rèn)證授權(quán)（認(rèn)證授

29、權(quán)（WLAN接入）接入） 在在WLANWLAN中，當(dāng)無(wú)法從物理上控制訪問(wèn)者的來(lái)源時(shí)，務(wù)必中，當(dāng)無(wú)法從物理上控制訪問(wèn)者的來(lái)源時(shí)，務(wù)必要使用相應(yīng)的鑒權(quán)及認(rèn)證手段進(jìn)行識(shí)別服務(wù)：要使用相應(yīng)的鑒權(quán)及認(rèn)證手段進(jìn)行識(shí)別服務(wù)： 在在APAP上禁止上禁止ESSIDESSID廣播廣播 MACMAC過(guò)濾過(guò)濾 對(duì)接入用戶進(jìn)行對(duì)接入用戶進(jìn)行802.1x802.1x身份認(rèn)證身份認(rèn)證 使用加密無(wú)線信道使用加密無(wú)線信道認(rèn)證授權(quán)（移動(dòng)辦公用戶）認(rèn)證授權(quán)（移動(dòng)辦公用戶） 通過(guò)通過(guò)RADIUSRADIUS實(shí)現(xiàn)實(shí)現(xiàn)AAAAAA認(rèn)證，可以對(duì)各種接入用戶統(tǒng)一集中進(jìn)認(rèn)證，可以對(duì)各種接入用戶統(tǒng)一集中進(jìn)行認(rèn)證和授權(quán)行認(rèn)證和授權(quán) 采用采用TAC

30、ACSTACACS協(xié)議代替協(xié)議代替RADIUSRADIUS 實(shí)現(xiàn)對(duì)驗(yàn)證報(bào)文主體全部進(jìn)行加密實(shí)現(xiàn)對(duì)驗(yàn)證報(bào)文主體全部進(jìn)行加密 支持對(duì)路由器上的配置實(shí)現(xiàn)分級(jí)授權(quán)使用支持對(duì)路由器上的配置實(shí)現(xiàn)分級(jí)授權(quán)使用認(rèn)證服務(wù)器認(rèn)證服務(wù)器Modem 接入接入ADSL 接入接入LAN 接入接入WLAN 接入接入n非軍事區(qū)：DMZ de-militarized zone, 用以隔離內(nèi)部和外部網(wǎng)絡(luò)n內(nèi)部網(wǎng)絡(luò)只允許內(nèi)部用戶訪問(wèn)，DMZ區(qū)提供有條件的對(duì)外服務(wù)n外部過(guò)濾器只允許外部流量進(jìn)入，內(nèi)部過(guò)濾器只允許內(nèi)部流量進(jìn)入nDMZ從不啟動(dòng)與內(nèi)部網(wǎng)絡(luò)的連接n當(dāng)DMZ中的主機(jī)受到威脅時(shí) 內(nèi)部流量也不會(huì)受到監(jiān)聽(tīng)、內(nèi)部過(guò)濾器仍然受到保護(hù)受保

31、護(hù)服務(wù)器受保護(hù)服務(wù)器受保護(hù)客戶機(jī)受保護(hù)客戶機(jī)內(nèi)部網(wǎng)絡(luò)內(nèi)部網(wǎng)絡(luò)可信任區(qū)可信任區(qū)外部網(wǎng)絡(luò)外部網(wǎng)絡(luò)不可信任區(qū)不可信任區(qū)周邊網(wǎng)絡(luò)周邊網(wǎng)絡(luò) DMZ區(qū)區(qū)WWW服務(wù)器服務(wù)器MAIL服務(wù)器服務(wù)器入侵檢測(cè)服務(wù)器入侵檢測(cè)服務(wù)器漏洞掃描服務(wù)器漏洞掃描服務(wù)器互聯(lián)網(wǎng)互聯(lián)網(wǎng)接入服務(wù)器接入服務(wù)器互聯(lián)網(wǎng)互聯(lián)網(wǎng)連接路由器連接路由器對(duì)外連接正常對(duì)外連接正常無(wú)法直接向內(nèi)連接無(wú)法直接向內(nèi)連接防火墻防火墻Internet利用防火墻進(jìn)行安全分區(qū)利用防火墻進(jìn)行安全分區(qū)利用入侵防御進(jìn)行應(yīng)用層安全防護(hù)利用入侵防御進(jìn)行應(yīng)用層安全防護(hù)攻擊庫(kù)攻擊庫(kù)協(xié)議庫(kù)協(xié)議庫(kù)病毒庫(kù)病毒庫(kù)綜合防御綜合防御三庫(kù)合一實(shí)現(xiàn)綜合防御三庫(kù)合一實(shí)現(xiàn)綜合防御現(xiàn)在的很多安全威脅都是

32、綜合網(wǎng)絡(luò)蠕蟲(chóng)、木馬、病毒等技術(shù)的復(fù)合威脅，只有將攻擊特征和病毒特征結(jié)合在一起進(jìn)行檢測(cè)，才能全面防御這類安全威脅。攻擊者在利用漏洞的攻擊之后，往往馬上伴隨著木馬、病毒等惡意代碼樣本的下載，只有將攻擊特征和病毒特征結(jié)合在一起，才能做到層層防御，確保安全。因?yàn)楣羰怯刑囟ǖ膮f(xié)議上下文的，將應(yīng)用層協(xié)議特征分析與攻擊特征、病毒特征分析結(jié)合起來(lái)，可確保檢測(cè)精度。目目 錄錄n 網(wǎng)絡(luò)設(shè)計(jì)概述n 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)設(shè)計(jì)n 板卡規(guī)劃和設(shè)備命名n 局域網(wǎng)規(guī)劃設(shè)計(jì)n IP地址規(guī)劃設(shè)計(jì)n IP路由規(guī)劃n 網(wǎng)絡(luò)安全設(shè)計(jì)n 網(wǎng)絡(luò)管理設(shè)計(jì)n 其他的相關(guān)業(yè)務(wù)系統(tǒng)（DNS、DHCP、NTP)網(wǎng)管規(guī)劃基本原則網(wǎng)管規(guī)劃基本原則哪些設(shè)備需要管理哪些設(shè)備需要管理l如果網(wǎng)絡(luò)規(guī)模不大，可以管理全網(wǎng)所有的三層設(shè)備（包括部分支持三層訪問(wèn)功能的