01-企业网网络规划概述.ppt

企业网网络规划概述企业网网络规划概述ISSUE 3.0-肖春喜学习目标学习目标掌握网络规划的基本原则掌握网络规划的基本原则了解拓扑设计和地址规划原则了解拓扑设计和地址规划原则了解网络安全部署原则了解网络安全部署原则了解网络管理系统部署原则以及发展了解网络管理系统部署原则以及发展趋势趋势学习完本课程，您应该能够：学习完本课程，您应该能够：网络规划其实很难网络规划其实很难.一个合格的网络设计师需要具备如下条件：精通TCP/IP协议族中数十个协议的原理.精通N家厂商的N百种设备的性能和配置.还要具备统筹学、经济学、哲学的基本思想.丰富的实践经验和组织协调能力.对网络中的新技术保持高度的敏感性.胆大心细、临危不乱的良好心里素质.网络规划其实很简单网络规划其实很简单.瞎说！根本没那么恐怖：常用的协议不超过10个，了解大概就行.主流厂商只有几家，相同厂家的产品配置相同.很多网络的模型都十分相似，照猫画虎即可.不就是画几个框框、圈几个圈圈、连几根线么.网络规划其实很崇高网络规划其实很崇高.当你进行网络规划时，你与画“向日葵”的凡.高谱写“命运交响曲”的贝多芬唱“我的太阳”的帕瓦罗帝设计“鸟巢”的安德鲁没什么区别，因为你们都是课程内容课程内容网络概述网络概述设备选型设备选型网络拓扑选择网络拓扑选择端口选择端口选择备份方案和板卡的规划备份方案和板卡的规划IP地址的规划和命名原则地址的规划和命名原则网络安全规则原则网络安全规则原则网络管理系统规划原则网络管理系统规划原则贺岁大片贺岁大片网络帝国网络帝国路由器（男主角）路由器（男主角）l网络中最重要的设备，提供最丰富的接口连接、软件特性，也是构建网络的核心力量。以太网设备（以太网设备（L2/L3/LANL2/L3/LAN接入）（女主角）接入）（女主角）l提供各种以太网接口类型的线速转发功能，是构建局域网和城域网的核心力量。路由交换设备（反串）路由交换设备（反串）l提供LAN交换板的路由器；提供增强型引擎的交换机路由器和交换机的融合趋势越来越明显。其他设备（配角）其他设备（配角）l网管、安全、语音、存储、视讯设备，提供网络的管理或业务增值功能。二层或物理层交换设备（剧务）二层或物理层交换设备（剧务）lATM交换机、FR、X.25交换机、DDN节点机、传输设备。对各种物理端口进行带宽或时隙的拆分。对于网络规划通常是不可见的。常见网络设备常见网络设备路由交换设备路由交换设备路由器：以太网交换机（L2/L3/LAN）：路由交换设备：+常见网络设备（续）常见网络设备（续）二层或物理层交换设备（广域网连接）二层或物理层交换设备（广域网连接）ATM交换机、FR、X.25交换机、DDN节点机、传输设备广域网广域网常见网络设备（续）常见网络设备（续）其他设备其他设备网管、安全、语音、视讯设备防火墙安全网关入侵检测系统语音服务器语音网关视频终端MCUPBX系统CAMS网络中的设备网络中的设备基于基于CPUCPU的设备的设备l此类设备功能最强，由于所有的功能都由软件实现，几乎无所不能。但转发性能方面差强人意。基于基于ASICASIC的设备的设备l由固化的硬件芯片实现全线速的转发，但灵活性和升级能力很差。通常只能实现基本的路由及转发功能，但对一些特殊的业务能力（VPN，NAT，策略路由）支持很弱。基于基于NPNP的设备的设备l由微码级的可编程网络处理器实现全线速的转发。灵活性和升级能力远远优于ASIC，但较基于CPU的设备还有一定的差距。网络设备的分类网络设备的分类基于基于CPUCPU的设备的设备基于基于ASICASIC的设备的设备基于基于NPNP的设备的设备CPU接口接口CPU接口接口CPU接口接口CPU接口ASIC交换网接口ASICASIC接口ASIC接口CPU接口NP交换网接口NPNP接口NP接口CPU网络的层次划分网络的层次划分核心层核心层l交换数据包，实现高速的数据流量运转，核心层的设备不但需要容量大，转发快，而且需要具备高稳定性。但通常对业务的需求不高。汇聚层汇聚层l隔离拓朴结构变化、控制路由表的大小及控制流量、端口的收敛。实现丰富的业务特性。接入层接入层l将终端用户接入到网络中，大量的端口，强大的接入能力。实现丰富的业务特性。几点说明几点说明l在小型的网络中，层次不一定这么明显，很可能只有两个甚至一个层次的设备。l在一些大型网络中，层次可能划分的更细：例如，增加了边缘接入层、和骨干核心层。l在某个范围之内的核心层，在上一级网络中很可能只是汇聚层。网络规划基本原则网络规划基本原则可靠性原则可靠性原则l从设备本身（电信级可靠性）和网络拓扑（无单点故障）两方面考虑。可扩展性原则可扩展性原则l从设备性能（是否已达到满配），可升级的能力（是否可以通过平滑的软硬件升级支持未来的新业务和新特性）和IP地址、路由协议规划等方面考虑。可运营性原则可运营性原则l仅仅提供IP级别的连通是远远不够的。网络是否能够提供丰富的业务，足够健壮的安全级别，对关键业务的QOS保证搭建网络的目的是真正能够给用户带来效益。可管理原则可管理原则l提供灵活的网络管理平台，利用一个平台实现对系统中的各种类型设备进行统一管理；提供网管对设备进行拓扑管理、配置备份、软件升级、实时监控网络中的流量及异常情况。网络规划流程图网络规划流程图端口选择备份方案IP地址规划QOS规划组播路由协议规划网管规划可运营可管理的安全网络可运营可管理的安全网络业务隔离及关键业务确保业务隔离及关键业务确保带宽及流量控制带宽及流量控制IP连通连通物理连通物理连通设备选型设备选型拓扑及板卡规划路由规划MPLS/VPN规划策略路由网络安全部署课程内容课程内容网络概述网络概述设备选型设备选型网络拓扑选择网络拓扑选择端口选择端口选择备份方案和板卡的规划备份方案和板卡的规划IP地址的规划和命名原则地址的规划和命名原则网络安全规则原则网络安全规则原则网络管理系统规划原则网络管理系统规划原则设备选型需要参考的因素设备选型需要参考的因素可靠性可靠性l该设备是否提供关键模块（电源、主控板）的冗余备份，具备何种级别的可靠该设备是否提供关键模块（电源、主控板）的冗余备份，具备何种级别的可靠性性转发性能转发性能l通常做如下考虑：通过某设备的流量通常做如下考虑：通过某设备的流量（该设备满配最大流量）（该设备满配最大流量）/2/2。业务支持能力业务支持能力l除了普通的除了普通的IPIP路由功能外，是否需要该设备支持诸如（路由功能外，是否需要该设备支持诸如（NATNAT、各种、各种VPNVPN、策略、策略路由）等业务属性。（路由）等业务属性。（CPUCPU、ASICASIC、NPNP）端口支持端口支持l是否能够提供组网所需要的端口。是否能够提供组网所需要的端口。扩展能力扩展能力l是否能够提供增加板卡以及软件升级提供未来可能需要的性能支持及业务能力是否能够提供增加板卡以及软件升级提供未来可能需要的性能支持及业务能力支持。（支持。（CPUCPU、ASICASIC、NPNP）价格因素价格因素l在综合考虑以上因素的基础上选择适当的设备。只选对的，不选贵的。在综合考虑以上因素的基础上选择适当的设备。只选对的，不选贵的。设备选型需要参考的因素设备选型需要参考的因素可靠性转发性能业务支持能力端口支持扩展能力价格因素？课程内容课程内容网络概述网络概述设备选型设备选型网络拓扑选择网络拓扑选择端口选择端口选择备份方案和板卡的规划备份方案和板卡的规划IP地址的规划和命名原则地址的规划和命名原则网络安全规则原则网络安全规则原则网络管理系统规划原则网络管理系统规划原则网络拓扑层次设计网络拓扑层次设计接入层接入层汇聚层汇聚层核心层核心层高速数据交换高速数据交换路由汇聚及流量收敛路由汇聚及流量收敛工作组接入和访问控制工作组接入和访问控制网络设计分三层：核心层、汇聚层、接入层网络设计分三层：核心层、汇聚层、接入层网络中常用的拓扑结构网络中常用的拓扑结构星形或双星形星形或双星形l常见于下层网络与上层之间的拓扑结构，主要的网络流量都在分支节点与核心节点之间发生，两个分支节点之间不通讯或流量很少。网络中常用的拓扑结构网络中常用的拓扑结构网状或部分网状网状或部分网状l常见于同一层次（核心层或汇聚层）之间的设备互联，这些设备之间通常都是对等通信，或者这些设备之间需要确保互联而增加很多的冗余链路。网络中常用的拓扑结构网络中常用的拓扑结构混合组网混合组网l在同一个网络中，不同的层次之间通常采用不同的拓扑结构，通常核心层或汇聚层采用网状或部分网状相连，核心层与汇聚层或汇聚层与接入层之间采用星形或双星形相连。课程内容课程内容网络概述网络概述设备选型设备选型网络拓扑选择网络拓扑选择端口选择端口选择备份方案和板卡的规划备份方案和板卡的规划IP地址的规划和命名原则地址的规划和命名原则网络安全规则原则网络安全规则原则网络管理系统规划原则网络管理系统规划原则网络中常用的端口类型网络中常用的端口类型高速端口（高速端口（100M100M以上）以上）lPOS（155M、622M、2.5G）lATM（155M、622M）l快速以太网（100MFE、GE、10GE）中速端口（中速端口（10M100M10M100M）lE3（34.368M）lT3（44.736M）l以太网（10M）低速端口（低速端口（10M10M以下）以下）lPSTN异步拨号（56K）lISDN异步拨号（64K）lV24同步SA（64K）lV35同步SA（2M）lT1（1.54M）lE1（2M）lADSL（2M8M）网络中常用的端口拆分及聚合网络中常用的端口拆分及聚合高速端口的拆分高速端口的拆分lATM接口通过ATM交换机拆分，可以连接任意带宽的ATM接口。lCPOS接口通过传输设备拆分，可以连接不同带宽的E1接口。l高速以太网通过MSTP传输设备拆分，可以连接任意带宽的以太网接口。lE1接口通过DDN节点机设备拆分，可以连接不同带宽的同步串口。l优点是上层设备只需提供M个端口就可以连接N个下层设备（MN）。低速端口的聚合低速端口的聚合lN个相同带宽为M的以太网接口可以聚合成一个N X M带宽的接口。lN个相同带宽为M的串口或E1接口可以聚合成一个N X M带宽的接口。l优点是可以用低速的端口提供高速的带宽。聚合后的N个物理接口从逻辑上表现为一个接口，只使用一个IP地址。聚合接口本身的聚合及备份由链路层协议解决。端口的拆分和聚合端口的拆分和聚合高速端口的拆分高速端口的拆分低速端口的聚合低速端口的聚合ATM155M ATM30M11M2M2M E1CPOS22M E1N2M E1Ethernet网络中常用的端口互联方式网络中常用的端口互联方式对等型互联对等型互联l互联的两台设备之间接口类型及带宽完全相同。l例如：E1E1；100M Ethernet100M Ethernet；l常用于同一层次之间的设备互联。非对等型同质接口互联非对等型同质接口互联l互联的两台设备之间的接口类型相同，但带宽不同。l例如：ATM（ATM交换机）nATM。l例如：1GE（MSTP传输设备）nFE。l常用于上层设备的1个端口与N个下层设备之间互联。优点是上层设备只需提供M个端口就可以连接N个下层设备（MN）。非对等型异质接口互联非对等型异质接口互联l互联的两台设备之间的接口类型不相同，而且带宽也不同。l例如：CPOS（传输设备）nE1。l例如：E1（DDN节点机）n64K。l常用于上层设备的1个端口与N个下层设备之间互联。优点是上层设备只需提供M个端口就可以连接N个下层设备（MN）。互联方式互联方式对等型互联非对等型同质接口互联非对等型异质接口互联2M E12M E11000M Ethernet100M Ethernet100M Ethernet100M EthernetMSTP2M E1CPOS2M E12M E1课程内容课程内容网络概述网络概述设备选型设备选型网络拓扑选择网络拓扑选择端口选择端口选择备份方案和板卡的规划备份方案和板卡的规划IP地址的规划和命名原则地址的规划和命名原则网络安全规则原则网络安全规则原则网络管理系统规划原则网络管理系统规划原则网络中常用的备份原则网络中常用的备份原则基本的备份原则基本的备份原则l备份花费的代价=设备故障带来的损失；l通常只考虑N1备份，即：关键的设备、链路、模块中任何一个出现故障，不会影响整网运行。l备份通常从拓扑、设备自身、协议等几方面考虑。l备份不仅仅要从逻辑的角度考虑，更需要从物理的角度考虑问题。接入层备份思路接入层备份思路l通常选择不具备关键模块冗余功能的设备。l通常不考虑双机备份或者仅提供双链路级别上行的备份。汇聚层备份思路汇聚层备份思路l通常选择具备关键模块冗余功能的设备。l通常考虑双机备份，上行通常提供双链路级别的备份，并且汇聚层设备之间考虑环行连接。核心层备份思路核心层备份思路l通常选择具备电信级可靠性的设备。l在拓扑上考虑核心层设备之间网状或部分网状连接。对称性备份与非对称性备份对称性备份与非对称性备份对称性备份对称性备份l对称方案中主备两种方案所提供的带宽是相等的。备份设备或者备份链路同时也参与运营。需要考虑的是由于等值路由造成的报文路径不同，会导致的上层协议报文重组需要部分等待时间，从而造成效率下降的问题。解决的方案是尽量选择等值路由情况下逐流转发的设备而非逐包转发的设备。非对称性备份非对称性备份l非对称方案中备份链路提供较小或相等的带宽，只有在主用链路故障时备份链路才会生效。l如果希望备份链路或备份设备也投入运行，可以通过策略路由或路由协议的规划使备份链路运行特定的部分业务流量。备份的基本方式链路备份备份的基本方式链路备份对称性备份对称性备份非对称性备份非对称性备份 针对主机的备份技术针对主机的备份技术VRRP路由器之间的路由器之间的VRRPVRRPl两台路由器通过一台二层交换机交换VRRP报文信息，并向下提供虚拟IP及MAC地址。l主用的路由器同时监控上行接口，上行链路故障或设备故障时会自动切换。虚拟地址:10.0.0.1虚拟MAC:00005eXXXX01接口10.0.0.2接口10.0.0.3监控上行端口虚拟地址:10.0.0.1虚拟MAC:00005eXXXX01接口10.0.0.2接口10.0.0.3监控上行端口三层交换机之间的三层交换机之间的VRRPVRRPl两台L3通过一条互联的trunk接口交换VRRP报文信息。l主用的L3同时监控上行接口，上行链路故障或设备故障时会自动切换。l主机通常具备双机热备份机制，同时上连两台L3。针对网络设备的备份技术针对网络设备的备份技术链路层的备份链路层的备份lPPP协议中的MP可以自动做到捆绑的N条链路之间的自动备份，流量的自动分配，故障时的自动切换。l以太网的聚合技术802.3ad，可以自动做到捆绑的N条链路之间的自动备份，流量的自动分配，故障时的自动切换。IPIP层的备份层的备份lIP层的备份原理实际上是利用路由表添加路由的规则来实现的：对于到达相同目的地的路由，路由器只使用最优的一条。如果最优的路由消失，则依据相同的规则选择原来的次优路由。l静态路由之间使用优先级不同来控制优劣。l不同的动态路由协议之间使用优先级来控制优劣。l同一协议内部使用不同的花费值来控制优劣。局域网内整机备份技术局域网内整机备份技术lIRF通过增加设备来扩展端口数量和交换能力，同时也通过多台设备之间的互相备份增强了设备的可靠性，可以提供基于三层的链路、转发、管理、路由备份。特定技术整机备份特定技术整机备份IRF 综合弹性结构综合弹性结构(integrated resilient frame)Master UnitOSPFRIP备份备份信息信息设备板卡规划设备板卡规划设备的板卡布局也需要规划？当然！原则是：l不要把所有的鸡蛋放在同一个篮子里；如果有M个鸡蛋和N个篮子，尽量把M个鸡蛋平均放在N个篮子里。使得当失去一个篮子时损失的鸡蛋数量=M/N向上取整。l当某台设备上同时存在高速及低速接口时，板卡布局时要充分考虑到设备的性能。MPLS骨干网骨干网155MPOS2XE1已知：某已知：某NE16E配置了两块配置了两块POS卡；两块卡；两块8E1卡；两块卡；两块VIU板；板；它的实际连接情况如图所示。它的实际连接情况如图所示。请画出它的最佳面板布局图。请画出它的最佳面板布局图。设备板卡规划设备板卡规划012345678910 11 12 13 14 15 16电源电源RSURSUALUHAUHAU电源电源电源电源 POS155M2xE1 POS155M2xE1012345678910 11 12 13 14 15 16电源电源RSURSUALUHAUHAU电源电源电源电源 POS155M POS155M2xE12xE1最佳方案最差方案课程内容课程内容网络概述网络概述设备选型设备选型网络拓扑选择网络拓扑选择端口选择端口选择备份方案和板卡的规划备份方案和板卡的规划IP地址的规划和命名原则地址的规划和命名原则网络安全规则原则网络安全规则原则网络管理系统规划原则网络管理系统规划原则IP地址规划的重要性地址规划的重要性lIP地址的合理规划是网络设计中的重要一环，大型网络必须对IP地址进行统一规划并得到实施。IP地址规划的好坏，影响到网络路由协议算法的效率，影响到网络的性能，影响到网络的扩展，影响到网络的管理，也必将直接影响到网络应用的进一步发展。l如果要看一个网络的规划质量、如果要看一个网络设计师的技术水准，直接看他的IP地址规划好了。IP地址规划是一项艺术创造！地址规划是一项艺术创造！IP地址规划的基本原则地址规划的基本原则唯一性：唯一性：l一个IP网络中不能有两个主机采用相同的IP地址。即使使用了支持地址重叠的MPLS/VPN技术，也尽量不要规划为相同的地址。连续性连续性l连续地址在层次结构网络中易于进行路径叠合，大大缩减路由表，提高路由算法的效率。扩展性扩展性l地址分配在每一层次上都要留有余量，在网络规模扩展时能保证地址叠合所需的连续性。实意性实意性l“望址生义”，好的IP地址规划使每个地址具有实际含义，看到一个地址就可以大至判断出该地址所属的设备。这是IP地址规划中最具技巧型和艺术性的部分。最完美的方式是得出一个IP地址公式，以及一些参数及系数，通过计算得出每一个需要用到的IP地址。IP地址的分类地址的分类loopback地址地址loopbackloopback地址概述地址概述l为了方便管理，会为每一台路由器创建一个loopback 接口，并在该接口上单独指定一个IP 地址作为管理地址，管理员会使用该地址对路由器远程登录（telnet），该地址实际上起到了类似设备名称一类的功能。同时各种上层协议需要使用TCP或UDP来建立连接时也需要使用该地址作为源地址。loopbackloopback地址规划技巧地址规划技巧l务必使用32位掩码的地址。l最后一位是奇数的表示路由器，是偶数的表示交换机。l越是核心的设备，loopback地址越小。为什么核心设备要使用较小的为什么核心设备要使用较小的loopbackloopback地址地址?IP地址的分类互联地址地址的分类互联地址互联地址概述互联地址概述l互联地址是指两台网络设备相互连接的接口所需要的地址。互联地址规划技巧互联地址规划技巧l务必使用30位掩码的地址。l核心设备，使用较小的一个地址（即：loopback地址较小的设备使用互联地址中较小的一个）。l互联地址通常要聚合后发布，在规划时要充分考虑使用连续的可聚合地址。IP地址的分类业务地址地址的分类业务地址业务地址概述业务地址概述l业务地址是连接在以太网上的各种服务器、主机所使用的地址以及网关的地址。业务地址规划技巧业务地址规划技巧l所有的网关地址统一使用相同的末位数字，如：.254都是表示网关。l已知某省电力调度网情况如下：网络分为中调（核心层）、地调（汇聚层）、厂站（接入层）三级。全网使用MPLS/VPN技术，共划分4个VPN。全网共分配2个B类地址：10.21.X.X10.22.X.X。每台中调和地调路由器下面有两台3层交换机。每台厂站路由器下面有两台二层交换机。IPIP地址规划实例地址规划实例地址规划实例地址规划实例 组网图组网图主路由器备路由器某省电力调度中心NN地调BH地调GG地调YL地调WZ地调GL地调LZ地调HC地调FCG地调QZ地调SXLCSTIWYLDNNPGCKPYBBTBTHCPCWYLPPDASBDZTXCWPLDSLBDCDFHZMDJLSTAYELYLYSLBLXCHSHXZSPMTJMXXLW确定地址块的划分原则确定地址块的划分原则确定有哪几类地址要规划：核心层需要规划的地址汇聚层需要规划的地址接入层需要规划的地址确定地址块划分的总体原则先纵向划分，再横向划分。即：按照业务先将地址划分为公网、VPN1VPN4共5大块。然后再按照地域在每一个地址块中为每一个地市划分一个地址块。先横向划分，再纵向划分。即：按照地域将地址划分为多块（每个地市一个地址块）。然后再按照业务将每个地市的地址块划分为：公网、VPN1VPN4共5块。哪一种方案更合理，为什么？哪一种方案更合理，为什么？公网及私网地址的规划公网及私网地址的规划公网地址的划分原则：以地域或设备为划分一个大的地址块的单位。对于同时属于上下两级设备的地址归属为了便于记忆，所有地址块内部的划分原则上都是相同的。私网地址的划分原则：总体地址块的划分：PE与CE之间的互联地址划分：VPN内业务地址划分：IP地址的分类地址的分类XX省电力调度网省电力调度网公网地址划分l以核心设备（中调及地调）为标志划分N个地址块，每个地址块共占用1个C，内部划分为5块：1.本设备的loopback地址，及与本设备相连的交换机的loopback地址。（111）2.与本设备互联的交换机的互联地址。（1255）3.与本设备互联的下级设备的互联地址。（56140）4.对于地调，下级设备（厂站）的loopback地址。（141180）5.对于地调，下级设备（厂站）与交换机之间的互联地址。（180212）6.213255，保留。7.所有地调的划分完全相同，每块地址块的大小取所有的地调中需求最多的，并且充分考虑到扩展性。每个地调的所使用的地址段相隔4个C类地址（相隔4个是为了与后面VPN的地址规划相同）。并且该地调地址的第3个8位与该地调所属的OSPF区域也相同。IP地址的分类地址的分类XX省电力调度网省电力调度网VPN地址的划分l将一个B类地址平均分为4块，VPNn的起始地址为：10.91.An.X，其中An（n-1）*64+1。下面以VPN1为例，其他3个VPN的地址在此基础上（n-1）*64：lPE与CE之间的互联地址划分：1.使用每个VPN范围内的最后一个C类地址，作为第三个8位。lVPN内业务地址划分：1.每个VPN的业务网段划分/26掩码的地址；2.每个地调的业务网段的第一个VPN的起始位（第三个8位）与该地调的公网地址的第三个8位相同。其他3个VPN第三个8位在第一个VPN的基础上（n-1）*64；设备命名规范设备命名规范sysname规划规划为了保证以后的管理方便，通常需要为设备统一命名。可以采用以下命名方法：AA-B-YYYY-XlAA：表示该设备所属的级别和名称，通常的规则是取汉字拼音的首字母缩写。例如：BJ-北京；也可以灵活运用大小写字母及增加后缀来表示不同级别的设备。HaiDian-海淀lB：表示设备的厂商名称，本次工程使用华为3Com公司产品，则：B为H3 lYYYY：表示设备型号，如NE16E、S6503等。lX：表示如果前三项相同的设备，用字母编号A、B标识。设备命名规范设备命名规范接口接口description规划规划为了准确表明每个接口对端的连接保证以及带宽，需要为每一个使用的接口配置description描述信息。l通常采用以下命名方法：to 对端设备名 带宽，其中对端设备名使用前一节讲到的sysname规划方法。例子：description to ZD-H3-NE16E-2 8M表示：该端口对端设备中心备用NE16E路由器，带宽为8M。设备命名规范设备命名规范接口命名接口命名除了设备固定的接口之外，我们常常会手工创建一些接口，例如：MP接口，以太网子接口，VLAN接口等。对这些接口后面分配的数字应该尽量包含实际的意义。lmpgroup A/B/C，接口的A表示槽位，B表示卡位，是固定的，C可以设置为能够包含对端设备信息的数字，例如对端设备loopback接口地址中明确区分自身信息的一位，或者是对端设备所属的OSPF区域号等等信息。l以太网子接口务必要将子接口数字与VLAN信息保持一致。lVLAN接口的数字要全局统一规划，例如：使用100、200表示VPN的VLAN，使用1000表示网管的VLAN等。课程内容课程内容网络概述网络概述设备选型设备选型网络拓扑选择网络拓扑选择端口选择端口选择备份方案和板卡的规划备份方案和板卡的规划IP地址的规划和命名原则地址的规划和命名原则网络安全规则原则网络安全规则原则网络管理系统规划原则网络管理系统规划原则网络安全规划的基本原则网络安全规划的基本原则l网络安全是一个复杂的体系结构，涉及到几乎全网中的任何设备以及任何层次。l网络安全只是一个相对的概念，无论你付出多大的代价，都不存在绝对安全的网络。l部署网络安全通常会带来副作用，例如：占用带宽，降低设备的处理能力，给使用和管理网络带来诸多不便之处。所以要在网络的安全和性能之间找到恰当的平衡点。网络安全规划网络安全规划识别服务识别服务&访问控制访问控制访问控制访问控制l所有的网络设备必须配置super密码，telnet的口令及密码，并定期修改。ltelnet需要在VTY中设置访问列表，对无访问需求的源地址进行过滤。例如：l在连接内外网的防火墙上禁止来自外网的telnet访问。l在PE设备上禁止来自VPN私网用户的telnet访问。l如果RIP和OSPF等动态路由协议在某些接口上（通常是以太网口）启动协议的目的仅仅是为了发布路由，而无需建立邻居，则务必将这些接口设置为silence interface。防止路由欺骗。l对于OSPF等在接口上支持MD5认证的路由协议，不建议配置MD5认证，原因如下：l由于需要为每一条链路分配一组不同的密码，配置和管理的工作量极大。如果所有的链路都分配相同的密码，则安全性会较差。l路由欺骗在广域网上很难实施，主要发生在局域网接口，通过silence interface已经很好的解决了这个问题。网络安全规划网络安全规划识别服务识别服务&访问控制访问控制访问控制访问控制l对于没有任何互访需求的业务可以使用MPLS/VPN技术将其隔离。实现在同一张物理网络中的业务隔离。识别服务识别服务l当无法从物理上控制访问者的来源时（例如：WLAN接入，来自外网的访问等等），务必要使用相应的鉴权及认证手段进行识别服务。l对于来源不可靠的以太网接入可以使用802.1x认证。l通过RADIUS实现AAA认证，可以对各种接入用户统一集中进行鉴权及认证。控制策略认证授权（控制策略认证授权（WLAN接入）接入）在在WLANWLAN中，当无法从物理上控制访问者的来源时，务必要中，当无法从物理上控制访问者的来源时，务必要使用相应的鉴权及认证手段进行识别服务：使用相应的鉴权及认证手段进行识别服务：在在APAP上禁止上禁止ESSIDESSID广播广播MACMAC过滤过滤对接入用户进行对接入用户进行802.1x802.1x身份认证身份认证使用加密无线信道使用加密无线信道控制策略认证授权（以太网接入）控制策略认证授权（以太网接入）对于来源不可靠的以太网接入使用对于来源不可靠的以太网接入使用802.1x802.1x认证认证配合配合CAMSCAMS进行。支持防代理上网，提供运营商带宽安全进行。支持防代理上网，提供运营商带宽安全使用使用EADEAD（端点准入防御）技术，隔离可能危险用户（端点准入防御）技术，隔离可能危险用户控制策略认证授权（控制策略认证授权（RADIUS&AAA）通过通过RADIUSRADIUS实现实现AAAAAA认证，可以对各种接入用户统一集中进行认证，可以对各种接入用户统一集中进行认证和授权认证和授权采用采用HWTACACSHWTACACS协议代替协议代替RADIUSRADIUS实现对验证报文主体全部进行加密实现对验证报文主体全部进行加密支持对路由器上的配置实现分级授权使用支持对路由器上的配置实现分级授权使用认证服务器认证服务器Modem 接入接入ADSL 接入接入LAN 接入接入WLAN 接入接入控制策略认证授权（移动客户）控制策略认证授权（移动客户）移动用户客户端移动用户客户端SECPointSECPoint的远程接入验证的远程接入验证传统用户名密码方式传统用户名密码方式双因素认证双因素认证SecKEYSecKEYPKI/CAPKI/CA体系验证方式体系验证方式控制策略业务隔离（以太网接入）控制策略业务隔离（以太网接入）普通二层以太网网络中采用普通二层以太网网络中采用VLANVLAN进行隔离。进行隔离。小区以太网接入应用中在接入层交换机上配置小区以太网接入应用中在接入层交换机上配置Isolate-user-Isolate-user-VLANVLAN，禁止接入用户之间互访。，禁止接入用户之间互访。建议在接入交换机接入端口配置广播抑制门限建议在接入交换机接入端口配置广播抑制门限1234控制策略业务隔离（控制策略业务隔离（ACL&VPN）采用访问控制列表采用访问控制列表ACLACL进行进行L1L1层层L4L4层隔离层隔离对于大型网络中可以使用对于大型网络中可以使用 MPLS VPN MPLS VPN 技术，实现在一张基础网技术，实现在一张基础网络下多种业务间的复杂隔离需求。络下多种业务间的复杂隔离需求。安全组网安全传输安全组网安全传输安全传输安全传输当数据在网络传输的过程中无法确保安全时通常需要使用一定的安全技术。加密技术加密技术IPSec 应用为IP协议组提供了网络层的安全能力，发送主机对IP报文进行加密，目的端点对源端点进行身份验证。可以确保报文的完整性和隐秘性。WLAN的报文传输过程可以使用WEP、WAP等加密手段确保报文的安全传送。采用WAP可以支持更长的加密密钥、避免采用静态加密密钥4132lqfqfh%&$财务报告销售额:1860$利润:360$加密密钥安全组网安全组网VPN报文在传输的过程中将其封装在隧道里，使其对沿途经过的设报文在传输的过程中将其封装在隧道里，使其对沿途经过的设备不可见，从而保证其安全性。常用对安全性要求不高的简单备不可见，从而保证其安全性。常用对安全性要求不高的简单环境。环境。L2TPL2TP、GREGRE利用同利用同IPSECIPSEC安全协议配合，实现安全保密的安全协议配合，实现安全保密的VPNVPNInternet出差员工出差员工总部总部合作伙伴合作伙伴安全防御网络防护安全防御网络防护（续）（续）当内部网络与外部网络相连时，需要对内部网络进行必要的网当内部网络与外部网络相连时，需要对内部网络进行必要的网络防护措施。络防护措施。即使在不需要与外网相连的情况下，也需要对内部网络中异常即使在不需要与外网相连的情况下，也需要对内部网络中异常重要的服务器进行防护。重要的服务器进行防护。网络防护主要通过防火墙设备来实施。网络防护主要通过防火墙设备来实施。防火墙防火墙DoS攻击攻击黑客黑客Internet安全防御包过滤防火墙安全防御包过滤防火墙容易实施，几乎所有网络设备都支持容易实施，几乎所有网络设备都支持ACLACL特性特性应用于接口或者安全区域，分出入方向应用于接口或者安全区域，分出入方向采用采用ACLACL进行物理层到传输层的控制。进行物理层到传输层的控制。配置包过滤防火墙进行网络病毒防范配置包过滤防火墙进行网络病毒防范安全防御安全防御ASPFASPFASPF状态防火墙状态防火墙同包过滤防火墙共用时，应注意在相同出接口或入接口上应用同包过滤防火墙共用时，应注意在相同出接口或入接口上应用使用使用NATNAT时，可以不需要再启用时，可以不需要再启用ASPFASPFNATNAT也是基于状态的，对出方向的报文建立状态表。起到单向访也是基于状态的，对出方向的报文建立状态表。起到单向访问控制作用问控制作用安全防御拒绝服务和扫描安全防御拒绝服务和扫描拒绝服务类攻击拒绝服务类攻击扫描类攻击扫描类攻击畸形报文攻击畸形报文攻击l非军事区：DMZ de-militarized zone,用以隔离内部和外部网络l内部网络只允许内部用户访问，DMZ区提供有条件的对外服务l外部过滤器只允许外部流量进入，内部过滤器只允许内部流量进入lDMZ从不启动与内部网络的连接l当DMZ中的主机受到威胁时内部流量也不会受到监听、内部过滤器仍然受到保护受保护服务器受保护服务器受保护客户机受保护客户机内部网络内部网络可信任区可信任区外部网络外部网络不可信任区不可信任区周边网络周边网络 DMZ区区WWW服务器服务器MAIL服务器服务器入侵检测服务器入侵检测服务器漏洞扫描服务器漏洞扫描服务器互联网互联网接入服务器接入服务器互联网互联网连接路由器连接路由器对外连接正常对外连接正常无法直接向内连接无法直接向内连接防火墙防火墙Internet网络安全规划网络安全规划非军事区应用非军事区应用网络安全规划网络安全规划日志记录日志记录日志记录日志记录l日志记录可以准确的记下设备运行过程中发生的各种软件异常信息，链路异常信息，对设备的各种命令操作等。l日志记录可以在事后对各类故障进行分析，便于事后进行追踪，改善网络的安全部署策略。日志记录的类别日志记录的类别l设备运行时务必设置记录日志，如果条件允许，尽量将需要将日志信息发送到特定的日志主机。l为了减少日志信息量，应该只记录重要的告警信息。l务必记录对设备所有的操作信息。课程内容课程内容网络概述网络概述设备选型设备选型网络拓扑选择网络拓扑选择端口选择端口选择备份方案和板卡的规划备份方案和板卡的规划IP地址的规划和命名原则地址的规划和命名原则网络安全规则原则网络安全规则原则网络管理系统规划原则网络管理系统规划原则网管规划基本原则网管规划基本原则哪些设备需要管理哪些设备需要管理l如果网络规模不大，可以管理全网所有的三层设备（包括部分支持三层访问功能的二层交换机）。l如果网络规模很大，可以只选择比较重要的设备，但通常应该包含所有的路由器。网管设备如何与网络设备连接网管设备如何与网络设备连接l通常网管工作站直接与网络中最核心的设备相连，直接连接到该设备的以太网口或通过交换机与之相连。使用带内网管还是带外网管使用带内网管还是带外网管l带内网管网管的相关报文流量与网络中的数据流量等同对待。优点是充分利用网络中的设备和带宽。缺点是设备或链路故障会导致网管中断。通常都使用带内网管。l带外网管即：为了网管流量而单独建立一套数据通道。优点是确保网管数据的绝对安全可靠和优先级，缺点是代价过于昂贵。几乎不会使用带外网管。网管设备的网管设备的IPIP地址规划地址规划l取出特定的一个网段，专门为网管工作站使用。l该地址尽量固定，不要随意更改。网管规划基本原则网管规划基本原则RMONRMON的使用的使用l是一种在网络设备侧的探针技术，根据事先定义好的数据组类型采集设备的告警、性能等信息，以MIB的形式储存在设备上，等待网管设备使用SNMP协议读取。l本来是一种很好的思想和理念，但由于目前支持RMON技术的硬件芯片很少，所有的报文都需要送交CPU处理，会严重影响设备的性能。所以，不推荐使用。选择选择SNMPSNMP的版本的版本lV1:SNMP的最早期版本，实现最基本的功能。lV2c:增加了几种64位的数据类型以及RMON2的扩充。lV3:在安全性方面做了较多的改进，对网管报文使用了MD5等一些加密算法，并且可以定义不同的用户视图，限制不同级别的用户可以访问的不同的MIB。lV3比较繁琐，推荐使用V1或V2c网管规划网管规划设备侧的规划设备侧的规划TrapTrap的规划的规划lTrap的使能。lTrap需要发送给的主机IP地址（即网管工作站的IP地址）lTrap发送时的源地址（该设备的loopback地址）SNMPSNMP的规划