搜索
第1页园区网实施规划指南劲舞团SF页提纲园区网实施前要规划的内容园区网实施规划案例分享第5页园区网实施前要规划的内容设备线卡模块部署设备命名VLAN/端口描述IP地址分配VLAN分配单播路由协议生成树协议VRRP参数访问控制列表优化配置第6页园区网实施前要规划的内容线卡槽位规划S6506/S6806E业务板卡按照从下往上顺序安装:S6810E业务板卡安装顺序:第7页园区网实施前要规划的内容线卡端口使用规划分配时尽量各功能区比目前使用端口数量多分配一些端口。用于业务功能区的ACCESS口,从线卡1号口开始划分,划分为不同的功能区域。各区域内按照端口号从小往大使用。用于设备之间互联的接口,从线卡最大号端口开始划分,按端口号从大往小分配使用。多线卡时,插槽编号最大的一块线卡上分配互联接口。第8页园区网实施前要规划的内容设备命名规则示例:某校网络中心4楼部署了两台S6810E交换机:第一台:WLZX_04_S6810E_01第二台:WLZX_04_S6810E_02第9页园区网实施前要规划的内容VLAN描述规则二层交换机上,在每个二层VLAN下进行VLAN功能描述,描述命名规则为功能区中文拼音首字母大写缩写。三层交换机上,在每个三层VLAN接口下进行VLAN功能描述,描述命名规则为:功能区中文拼音首字母大写缩写_GW。对设备管理用VLAN,统一命名为:management,在三层VLAN接口下命名。示例:VLAN100,用于图书馆用户接入S2126GVLAN命名:vlan100nameTSGS6506VLAN命名:interfacevlan100descriptionTSG_GW第10页园区网实施前要规划的内容互联端口描述规则按照“UL(上行接口)/DL(下行接口)-对端设备HOSTNAME配置名称-对端设备线卡槽位号/端口号”命名。示例:S2126G端口描述:interfacefastEthernet0/24switchportmodetrunkdescriptionUL-WLZX_02_S6506_01-1/12第11页园区网实施前要规划的内容IP地址分配分配IP网段需要比目前实际使用网段大,同时对一个业务功能区分配的网段能够聚合。分配一个LOOPBACK地址专用网段,按照靠近网络核心的原则从高往低使用;即核心交换机使用最高位LOOPBACK地址。为每个三层汇聚交换机下连接的二层交换机分配一个专用网段,作为这部分二层交换机管理地址使用。当使用VLAN网段进行三层设备互联时,使用29位掩码;使用三层路由口进行三层设备互联时,使用30位掩码。第12页园区网实施前要规划的内容IP地址分配有VRRP应用时,最高位为VRRP网关地址,次高位为VRRP主状态设备Vlan地址,倒数第三高位为VRRP备状态设备Vlan地址。建议在一个完全新规划的园区网时,使用10.0.0.0/8网段,再将该网段按16位掩码划分后形式如下:10.X.0.0/16,最后再按24位掩码划分:10.X.Y.0/24。第13页园区网实施前要规划的内容VLAN分配考虑到用户网络的扩展性,在规划时为每一个业务功能区考虑一段VLAN号。具体VLAN号请根据实际情况分配。第14页园区网实施前要规划的内容单播路由协议静态路由或OSPF路由协议。选择哪一种路由方式,取决于用户的网络规模:运行三层交换的设备数量;网络是否存在冗余结构等因素。如果路由协议采用OSPF,需要考虑是否多区域部署。在部署OSPF时,通过LOOPBACK地址与优先级配置,确保OSPF的DR由核心交换机担任。在OSPF配置中必须使用PassiveInterfaceVlan命令对业务网段过滤OSPF报文。第15页园区网实施前要规划的内容生成树协议为了防止二层网络环路的产生,需要在交换机上启用生成树。汇聚层与核心层设备以三层路由口互联时(推荐),在核心层设备上不需要启用生成树。如果接入层到汇聚层都是单链路连接时,汇聚层不需要启用生成树;如果接入层到汇聚有多条链路,那么汇聚层需要启用生成树。接入层启用生成树时,生成树模式使用RSTP。接入层上行连接汇聚层的接口上启用BPDUFilter;接入层设备直联PC端口启用BPDUPortFast与BPDUGuard功能。第16页园区网实施前要规划的内容VRRP参数规划VRRP主设备,设置优先级为200,抢占模式打开。规划VRRP备设备,设置优先级为100,抢占模式关闭。VRRP组号分配:每个业务功能区VLAN号段对应分配一段VRRP组号;组号使用从小往大分配。VRRP的广告间隔时间为2~10秒内取值。第17页园区网实施前要规划的内容访问控制列表通过安全ACL配置,根据协议与端口号过滤掉已知的病毒与木马报文。并进行了预防DoS攻击的入口过滤,在攻击发生的早期,从整体上预防,因而具有较好效果。如果用户网络中未部署SAM认证系统。则安全ACL部署在用户接入交换机上,并在与用户PC互联的端口上应用。如果用户在接入交换机上启用了802.1X认证,那么将该ACL部署到汇聚层交换机,在汇聚层交换机与接入层交换机的互联接口上应用。第18页园区网实施前要规划的内容设备优化配置在核心交换机上启用SystemGuard功能。在二层交换机上联口启用BPDUFilter,直联PC端口启用BPDUPortFast。Trunk口必须配置AllowVLANList。一定要修改SNMP默认口令。第19页园区网实施前要规划的内容回顾设备线卡模块部署。设备命名。VLAN/端口描述。IP地址分配VLAN分配单播路由协议VRRP参数生成树协议访问控制列表优化配置第20页提纲园区网实施前要规划的内容园区网实施规划案例分享第21页园区网实施规划案例分享项目描述用户需求分析/网络规划网络拓扑图设备推荐配置部署完毕后注意事项第22页园区网实施规划案例分享项目描述A学校网络一期改造项目已经根据售前方案采购了我司十台S6506,二台S6810E,一批S2126G交换机;每台S6506及S6810E配备了一块业务线卡12SFP/GT,一块管理引擎。根据售前前期与用户达成的规划,两台S6810E部署在网络中心大楼,作为网络核心设备;每栋大楼部署一台S6506,作为汇聚设备;在每栋楼的每一层根据信息点数量,部署相应数量的S2126G。所有设备互联线路均为单线路。数据源为宿舍区的数据,由核心S6810E-01负责转发;数据源为办公区的数据,由核心S6810E-02负责转发;项目一期中允许宿舍区与办公区互相访问。第23页园区网实施规划案例分享项目描述用户反馈在原有网络使用中困扰网络管理人员的问题:网络中病毒泛滥,经常一栋楼的网络都不能正常使用网络中心无法远程管理设备,网络无论出现何种故障,只能到现场处理。第24页园区网实施规划案例分享项目描述用户需求分析/网络规划网络拓扑图设备推荐配置部署注意事项第25页园区网实施规划案例分享用户需求分析/网络规划根据售前提供的方案及用户反馈的情况,我们需要对用户网络需求进行细致的分析,以确定哪些网络技术的使用可以解决用户的需求:路由规划设备互联方式规划生成树规划安全控制规划IP/VLAN规划其它规划第26页园区网实施规划案例分享路由规划路由是网络规划中最重要的部分,它与用户网络的可用性,可靠性及可扩展性都密切相关,是我们首先着手规划的内容。路由协议采用动态路由协议:OSPF。汇聚与核心交换机间路由采用OSPF协议,区域为0;将每个汇聚交换机上的业务网段规划到OSPF非0区域,汇聚层交换机为ABR。在S6506上调整端口的OSPFCOST值。第27页园区网实施规划案例分享设备互联方式规划核心层与汇聚层设备互联使用三层路由口连接。汇聚层与接入层设备互联使用TRUNK口互联,在TRUNK链路上配置AllowVLANList。第28页园区网实施规划案例分享生成树规划核心层与汇聚层交换机不启用生成树。在接入层交换机上开启RSTP,同时在接入层交换机TRUNK上行接口上启用BPDUFilter,在规划位下行连接用户PC的接口启用BPDUPortFast与BPDUGuard功能。第29页园区网实施规划案例分享安全控制规划因为用户很关注如何防范病毒的扩散,这一点可以从两个方面着手:VLAN划分:减小广播域,隔离病毒发生时影响的范围。配置安全ACL及优化配置来防止病毒报文扩散,减轻病毒对网络应用的干扰。安全ACL应用在接入层交换机上用于下联PC接口。第30页园区网实施规划案例分享IP/VLAN规划第31页园区网实施规划案例分享其它规划用户接入交换机到汇聚交换机互联都是单线路,汇聚与核心运行OSPF路由协议,所以在本网络中不考虑VRRP应用。用户希望远程能管理网络设备,在没有配备网管软件的情况下,我们可以通过配置网络设备TELNET口令,以满足用户远程管理设备的需求。在三层交换机上开启SystemGuard保护,一定程度上防止SameIPAttack和ScanIPAttack攻击。第32页园区网实施规划案例分享项目描述用户需求分析/网络规划网络拓扑图设备推荐配置部署完毕后注意事项第33页园区网实施规划案例分享网络拓扑图第34页园区网实施规划案例分享项目描述用户需求分析/网络规划网络拓扑图设备推荐配置部署完毕后注意事项第35页园区网实施规划案例分享设备推荐配置接入层配置:汇聚层配置:核心层配置:第36页园区网实施规划案例分享项目描述用户需求分析/网络规划网络拓扑图设备推荐配置部署完毕后注意事项第37页园区网实施规划案例分享部署完毕后注意事项功能测试:部署完成后,必须与用户测试责任人共同进行详细的验证测试,最好填写相关的书面确认报告。第38页课程回顾本章节的主要知识点:园区网实施前要规划的内容园区网实施规划案例分享预祝哈尔滨理工大学网络文化节圆满成功第40页谢谢大家!