园区网部署规划指南.ppt

第1页,园区网实施规划指南,第2页,物联网,第3页,第4页,提 纲,园区网实施前要规划的内容园区网实施规划案例分享,第5页,园区网实施前要规划的内容,设备线卡模块部署设备命名VLAN/端口描述IP地址分配VLAN分配单播路由协议生成树协议VRRP参数访问控制列表优化配置,第6页,园区网实施前要规划的内容,线卡槽位规划S6506/S6806E 业务板卡按照从下往上顺序安装：S6810E业务板卡安装顺序：,第7页,园区网实施前要规划的内容,线卡端口使用规划分配时尽量各功能区比目前使用端口数量多分配一些端口。用于业务功能区的ACCESS 口，从线卡1号口开始划分，划分为不同的功能区域。各区域内按照端口号从小往大使用。用于设备之间互联的接口，从线卡最大号端口开始划分，按端口号从大往小分配使用。多线卡时，插槽编号最大的一块线卡上分配互联接口。,第8页,园区网实施前要规划的内容,设备命名规则示例：某校网络中心4楼部署了两台S6810E交换机：第一台：WLZX_04_S6810E_01 第二台：WLZX_04_S6810E_02,第9页,园区网实施前要规划的内容,VLAN描述规则二层交换机上，在每个二层VLAN下进行VLAN功能描述，描述命名规则为功能区中文拼音首字母大写缩写。三层交换机上，在每个三层VLAN接口下进行VLAN功能描述，描述命名规则为：功能区中文拼音首字母大写缩写_GW。对设备管理用VLAN，统一命名为：management，在三层VLAN接口下命名。示例：VLAN100，用于图书馆用户接入 S2126G VLAN命名：vlan 100 name TSG S6506 VLAN命名：interface vlan 100 description TSG_GW,第10页,园区网实施前要规划的内容,互联端口描述规则按照“UL(上行接口)/DL（下行接口）-对端设备HOSTNAME配置名称-对端设备线卡槽位号/端口号”命名。示例：S2126G端口描述：interface fastEthernet 0/24 switchport mode trunk description UL-WLZX_02_S6506_01-1/12,第11页,园区网实施前要规划的内容,IP地址分配分配IP网段需要比目前实际使用网段大，同时对一个业务功能区分配的网段能够聚合。分配一个LOOPBACK地址专用网段,按照靠近网络核心的原则从高往低使用；即核心交换机使用最高位LOOPBACK地址。为每个三层汇聚交换机下连接的二层交换机分配一个专用网段，作为这部分二层交换机管理地址使用。当使用VLAN网段进行三层设备互联时，使用29位掩码；使用三层路由口进行三层设备互联时，使用30位掩码。,第12页,园区网实施前要规划的内容,IP地址分配有VRRP应用时，最高位为VRRP网关地址，次高位为VRRP主状态设备Vlan地址，倒数第三高位为VRRP备状态设备Vlan地址。建议在一个完全新规划的园区网时，使用10.0.0.0/8网段，再将该网段按16位掩码划分后形式如下：10.X.0.0/16，最后再按24位掩码划分：10.X.Y.0/24。,第13页,园区网实施前要规划的内容,VLAN分配考虑到用户网络的扩展性，在规划时为每一个业务功能区考虑一段VLAN号。具体VLAN号请根据实际情况分配。,第14页,园区网实施前要规划的内容,单播路由协议静态路由或OSPF路由协议。选择哪一种路由方式，取决于用户的网络规模：运行三层交换的设备数量；网络是否存在冗余结构等因素。如果路由协议采用OSPF，需要考虑是否多区域部署。在部署OSPF时，通过LOOPBACK地址与优先级配置，确保OSPF的DR由核心交换机担任。在OSPF配置中必须使用Passive Interface Vlan命令对业务网段过滤OSPF报文。,第15页,园区网实施前要规划的内容,生成树协议为了防止二层网络环路的产生，需要在交换机上启用生成树。汇聚层与核心层设备以三层路由口互联时（推荐），在核心层设备上不需要启用生成树。如果接入层到汇聚层都是单链路连接时，汇聚层不需要启用生成树；如果接入层到汇聚有多条链路，那么汇聚层需要启用生成树。接入层启用生成树时，生成树模式使用RSTP。接入层上行连接汇聚层的接口上启用BPDU Filter；接入层设备直联PC 端口启用BPDU PortFast与BPDU Guard功能。,第16页,园区网实施前要规划的内容,VRRP参数规划VRRP主设备，设置优先级为200，抢占模式打开。规划VRRP备设备，设置优先级为100，抢占模式关闭。VRRP组号分配：每个业务功能区VLAN 号段对应分配一段 VRRP组号；组号使用从小往大分配。VRRP的广告间隔时间为210秒内取值。,第17页,园区网实施前要规划的内容,访问控制列表 通过安全ACL配置，根据协议与端口号过滤掉已知的病毒与木马报文。并进行了预防DoS 攻击的入口过滤,在攻击发生的早期，从整体上预防，因而具有较好效果。如果用户网络中未部署SAM认证系统。则安全ACL部署在用户接入交换机上，并在与用户PC互联的端口上应用。如果用户在接入交换机上启用了802.1X认证，那么将该ACL部署到汇聚层交换机，在汇聚层交换机与接入层交换机的互联接口上应用。,第18页,园区网实施前要规划的内容,设备优化配置在核心交换机上启用SystemGuard功能。在二层交换机上联口启用BPDU Filter，直联PC 端口启用BPDU PortFast。Trunk口必须配置Allow VLAN List。一定要修改SNMP默认口令。,第19页,园区网实施前要规划的内容,回顾设备线卡模块部署。设备命名。VLAN/端口描述。IP地址分配VLAN分配单播路由协议VRRP参数生成树协议访问控制列表优化配置,第20页,提 纲,园区网实施前要规划的内容园区网实施规划案例分享,第21页,园区网实施规划案例分享,项目描述用户需求分析/网络规划网络拓扑图设备推荐配置部署完毕后注意事项,第22页,园区网实施规划案例分享,项目描述A学校网络一期改造项目已经根据售前方案采购了我司十台S6506，二台S6810E，一批S2126G交换机；每台S6506及S6810E配备了一块业务线卡12SFP/GT,一块管理引擎。根据售前前期与用户达成的规划，两台S6810E部署在网络中心大楼，作为网络核心设备；每栋大楼部署一台S6506，作为汇聚设备；在每栋楼的每一层根据信息点数量，部署相应数量的S2126G。所有设备互联线路均为单线路。数据源为宿舍区的数据，由核心S6810E01负责转发；数据源为办公区的数据，由核心S6810E02负责转发；项目一期中允许宿舍区与办公区互相访问。,第23页,园区网实施规划案例分享,项目描述 用户反馈在原有网络使用中困扰网络管理人员的问题：网络中病毒泛滥，经常一栋楼的网络都不能正常使用网络中心无法远程管理设备，网络无论出现何种故障，只能到现场处理。,第24页,园区网实施规划案例分享,项目描述用户需求分析/网络规划网络拓扑图设备推荐配置部署注意事项,第25页,园区网实施规划案例分享,用户需求分析/网络规划 根据售前提供的方案及用户反馈的情况，我们需要对用户网络需求进行细致的分析，以确定哪些网络技术的使用可以解决用户的需求：路由规划设备互联方式规划生成树规划安全控制规划IP/VLAN规划 其它规划,第26页,园区网实施规划案例分享,路由规划 路由是网络规划中最重要的部分，它与用户网络的可用性，可靠性及可扩展性都密切相关，是我们首先着手规划的内容。路由协议采用动态路由协议：OSPF。汇聚与核心交换机间路由采用OSPF协议，区域为0；将每个汇聚交换机上的业务网段规划到OSPF非0区域，汇聚层交换机为ABR。在S6506上调整端口的OSPF COST值。,第27页,园区网实施规划案例分享,设备互联方式规划 核心层与汇聚层设备互联使用三层路由口连接。汇聚层与接入层设备互联使用TRUNK口互联，在TRUNK链路上配置Allow VLAN List。,第28页,园区网实施规划案例分享,生成树规划 核心层与汇聚层交换机不启用生成树。在接入层交换机上开启RSTP，同时在接入层交换机TRUNK上行接口上启用BPDU Filter，在规划位下行连接用户PC的接口启用BPDU PortFast与BPDU Guard功能。,第29页,园区网实施规划案例分享,安全控制规划 因为用户很关注如何防范病毒的扩散，这一点可以从两个方面着手：VLAN划分：减小广播域，隔离病毒发生时影响的范围。配置安全ACL及优化配置来防止病毒报文扩散，减轻病毒对网络应用的干扰。安全ACL应用在接入层交换机上用于下联PC接口。,第30页,园区网实施规划案例分享,IP/VLAN规划,第31页,园区网实施规划案例分享,其它规划 用户接入交换机到汇聚交换机互联都是单线路，汇聚与核心运行OSPF路由协议，所以在本网络中不考虑VRRP应用。用户希望远程能管理网络设备，在没有配备网管软件的情况下，我们可以通过配置网络设备TELNET口令，以满足用户远程管理设备的需求。在三层交换机上开启SystemGuard保护，一定程度上防止Same IP Attack和Scan IP Attack攻击。,第32页,园区网实施规划案例分享,项目描述用户需求分析/网络规划网络拓扑图设备推荐配置部署完毕后注意事项,第33页,园区网实施规划案例分享,网络拓扑图,第34页,园区网实施规划案例分享,项目描述用户需求分析/网络规划网络拓扑图设备推荐配置部署完毕后注意事项,第35页,园区网实施规划案例分享,设备推荐配置 接入层配置:汇聚层配置:核心层配置:,第36页,园区网实施规划案例分享,项目描述用户需求分析/网络规划网络拓扑图设备推荐配置部署完毕后注意事项,第37页,园区网实施规划案例分享,部署完毕后注意事项 功能测试：部署完成后，必须与用户测试责任人共同进行详细的验证测试，最好填写相关的书面确认报告。,第38页,课程回顾,本章节的主要知识点:园区网实施前要规划的内容园区网实施规划案例分享,预祝哈尔滨理工大学网络文化节圆满成功,第40页,谢谢大家！,