一、园区网典型组网架构及案例实践
1、园区网概念
限定区域内,指定人与物的局域网络;
园区网络通常只有一个管理主体;
如果有多个管理主体,通常被认为是多个园区网络。
2、园区网络典型架构
(1)小型园区网络架构:
(2)中型园区网络架构:
(3)大型园区网络架构:
3、园区网络主要协议:
生成树:防环
链路聚合:提高带宽、提高可靠性
AAA:接入认证
DHCP:动态主机配置协议;给底下用户分配地址
堆叠:提高设备可靠性、性能
OSPF:开放最短路径优先
4、园区网络生命周期
(1)规划与设计
设备选型、物理拓扑、逻辑拓扑、使用技术与协议等
(2)部署与实施
设备安装、单机调试、联调测试、割接并网等
(3)网络运维
日常运维、软件与配置备份、集中式网管监控、软件升级
(4)网络优化
提升网络安全性、软件与配置备份、提升用户体验
5、地址规划
001:一般是核心交换
100:为二层交换的管理地址
出口网关IP由运营商分配,采用PPPoE获取IP
服务器、打印机等设备一般用静态IP分配地址
终端用户采用DHCP服务分配地址
6、出口NAT
【静态NAT
适用于有较多静态IP且有客户端需要使用固定IP地址的场景
【动态NAT
拥有地址池的概念,取地址池中可用地址给客户端访问Internet使用。
【NAPT在动态NAT的基础上对端口进行转换,提高公网地址利用率
【Easy IP适用于网络出口地址动态场景
【NAT Server
适用内网有服务器需求向外部提供服务的场景
7、安全设计-流量管控
(1 允许部门之间互访,但不允许访问INTERNET
(2 访客可访问INTERNET,但不可访问内部网络
(3 可以通过traffic-policy、traffic-filter等技术完成内外网隔离,通过NAT控制内部网络访问INTERNET
7、安全设计-DHCP安全
(1 园区网会出现员工私接,自带DHCP的路由,导致内网地址混乱,地址冲突,无法上网等
(2 一般会接入交换机用DHCP Snooping防护
7、安全设计-网络管理安全
(1 当使用telent或web方式进行网络管理时,通过ACL技术,实现实现访问控制;
8、实施阶段
方案制定
设备安装
网络调试
割接并网
转维培训
项目验收
9、测试阶段
(1 联通性测试
基础链路对接;二层互通测试;三层互通测试
(2 高可靠性测试
防环功能测试;路径切换测试;双机热备测试
(3 业务性能测试
业务流量测试;访问控制测试
10、运维阶段
设备环境检查
设备基本信息检查
设备运行状态检查
业务检查
告警处理
11、园区网
接入层特点:
【1 建立独立的冲突域
【2 建立工作组与汇聚层链接,用trunk
【3 部署用户的安全接入控制策略,用acl
汇聚层特点:
【1 广播域划分
【2 不同网段之间相互访问
【3 用户访问网络的权限控制
核心层特点:
【1 高可靠
【2 冗余链路
【3 故障隔离
【4 迅速适应升级
【5 提供较少延迟和良好可管理性
12、交换机以太网二层接口的三种类型:
Access:常用来连接PC、服务器等终端设备的接口。发出的数据包是无标签。
Trunk:允许多个VLAN数据帧通过,这些数据帧通过802.1Q Tag实现区分,多用于连接交换机。
Hybrid:与Trunk类似。,比Trunk更灵活。
13、使用VRRP实现网关冗余