本文详细阐述了企业网络设计的核心需求,包括合理IP子网划分、冗余性、安全性、无线终端接入及互联网访问策略。提出了子网规划、MSTP+VRRP技术、ACL与端口隔离、AC+AP无线架构及自动切换方案。
网络拓扑:
需求分析:
1、使用合理的IP子网划分,保证合理性与可扩展性、汇总性、控制性
2、保证冗余性,包括链路冗余与设备冗余
3、安全性,保护重要的部门,除了特定人员可以访问外,其余部门不允许访问,比如财务部,有效的控制病毒、ARP的攻击
4、无线终端,考虑到公司手机与移动电脑增多,增加无线功能,提供给设备连接,要求实现验证功能,而访客区,不进行认证,但不能连接到公司内部,只能访问公司提供的网页服务与Internet连接。
5、保证在正常情况下,访问Internet都是走电信出口,当出现问题后,用网通出去,保证冗余性,需实现自动切换。并且实施NAT技术
解决思路:
1、使用子网划分来对每个部门进行规划,每一个部门单独一个24位的子网断,保证连续性,即使后续有新增加的员工,24位有254个地址,可以保证能正常使用,并且连续性可以方便做汇总、与一些策略的控制。
2、冗余性的实现,可以利用MSTP+VRRP技术实现链路的冗余性与网关的热备功能,并且核心之间链路起链路聚合,提高带宽。
3、安全性的实施,可以利用ACL与端口隔离技术 来进行部署,当然也可以高级点,dot1x、DHCP snooping+DAI+IPSGD等技术。一般情况下用ACL与端口隔离技术即可,除非有特殊需求在使用后续的。
4、使用AC+AP的三层旁挂架构组件无线网络,实现内部网络使用5G接入网络,而访问则使用2.4G频率,并且实现,访客只能访问公司提供的WEB页面与Internet访问,并且要求无线访客区之间实现隔离。
5、利用浮动路由+NQA或者ip-link技术实现自动切换
部署思路:
接入层:主要是用户接入识别、严格控制非法用户接入,等
汇聚层:流量访问控制、制定访问策略,等
核心层:流量高速转发、高可用,等
防火墙:流量出口负载均衡、NAT、域间策略,等
包含的配置:
1、定义IP地址规划表项,方便配置
2、规划VLAN,以及对应的网关地址
3、实施VLAN配置,并且配置交换机之间的链路为Trunk,接入交换机面对终端为Access,无线部分为Hybrid或者Trunk,接防火墙设备为Access
4、配置IP地址,保证直连可达
5、配置MSTP技术、VRRP、端口聚合技术,保证全网无环路、高可靠性、冗余性存在
6、配置路由实现全网可达
7、配置DHCP服务,以及中继,使得PC能够正常获取地址以及DNS等参数
8、配置无线部分,能够让AP正常上线,以及PC能够连接网络,并且获取地址,实现特定需求
9、防火墙配置策略、NAT、VPN等技术,实现访问Internet
注:以上参考网上类似文章,结合个人和生产环境,使用华为eNSP模拟器进行的一系列实验。哪位有更好的解决方案请多指导。
扫一扫
8429
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
