园区网实施规划指南 物联网(The Internet of things)的定义是:通过射频识别(RFID)、红外感应器、全球定位系统、激光扫描器等信息传感设备,按约定的协议,把任何物品与互联网连接起来,进行信息交换和通讯,以实现智能化识别、定位、跟踪、监控和管理的一种网络。物联网的概念是在1999年提出的。物联网就是“物物相连的互联网”。这有两层意思:第一,物联网的核心和基础仍然是互联网,是在互联网基础上的延伸和扩展的网络;第二,其用户端延伸和扩展到了任何物品与物品之间,进行信息交换和通讯。
物联网(The Internet of things)的定义是:通过射频识别(RFID)、红外感应器、全球定位系统、激光扫描器等信息传感设备,按约定的协议,把任何物品与互联网连接起来,进行信息交换和通讯,以实现智能化识别、定位、跟踪、监控和管理的一种网络。 物联网
提 纲 园区网实施前要规划的内容 园区网实施规划案例分享 本篇文档以: 两个模块的结构,基于园区网的典型骨干网络部署,以项目实施规划的形式给出一个园区网部署指南.
园区网实施前要规划的内容 设备线卡模块部署 设备命名 VLAN/端口描述 IP地址分配 VLAN分配 单播路由协议 生成树协议 VRRP参数 访问控制列表 优化配置 在对每个部分的内容交流前,先指出两点: 1、 文档对网络设备的物理部署;网络规划;命令参数都给出了规范性建议,对可以调整的参数交流时会特别说明,其它未说明的技术参数,除非您对相关技术细节非常清楚,否则建议您不要修改。 2、 如果网络用户已经有了自己成熟的网络规范性规划时,请部署尊重用户的网络规范,根据实际情况修改文档;对没有网络部署规范或初次提出部署规范并不合理的网络用户,您可以参考本文档中各个方面,积极引导用户。
园区网实施前要规划的内容 线卡槽位规划 S6506/S6806E 业务板卡按照从下往上顺序安装: S6810E业务板卡安装顺序: 园区网项目中,核心设备一般都是具有线卡扩展能力的多插槽交换机,目前我司提供的此类产品,业务线卡插在业务线卡槽位的任意位置,对性能没有任何影响;引擎线卡模块类似。 但从各地工程师的实际项目经验来看,如果将线卡先安装在上层插槽,连接线缆投入运行后。再在下部插槽安装线卡时,因为上部线缆的干扰,导致线卡安装不便。在此对我司S6506;S6806E;S6810E三款产品的线卡安装槽位做了建议。 S6810E业务板卡安装顺序与你机柜内线缆走线方式有关,如果线缆从S6810E左方进入,业务板按照下图从左往右顺序安装;如果线缆从S6810E右方进入,则建议按图示反方向安装。
园区网实施前要规划的内容 线卡端口使用规划 分配时尽量各功能区比目前使用端口数量多分配一些端口。 用于业务功能区的ACCESS 口,从线卡1号口开始划分,划分为不同的功能区域。各区域内按照端口号从小往大使用。 用于设备之间互联的接口,从线卡最大号端口开始划分,按端口号从大往小分配使用。 多线卡时,插槽编号最大的一块线卡上分配互联接口。 1。如何分配线卡上的端口,每位工程师都会有自己的归划,这部分规划建议是从许多项目实施文档中提炼出来,也符合大部分工程师的规划思路。 2。如果设备功能区某一使用端口出现物理故障,用户可以先将线路切换到备用端口,以缩短故障影响时间。 一台S6506第一,二,三,四槽各安装了一块M6506-24GT/8SFP业务卡。 第四槽1-13端口: 办公服务器区,端口号从小往大使用。 第四槽13-17端口:办公外联服务器区,端口号从小往大使用。 第四槽17-24端口:设备互联区,端口号从大往小使用。 通过上述一个规范的端口划分方式,有助于用户的网络使用,减少端口连接错误的风险;同时也为后期网络维护带来便利。 注意:线卡安装槽位及端口划分与用户机房线缆布线情况密切相关,如果在项目规划前,用户已经完成机房线缆布线,那么规划前一定要确认线缆长度,数量是否满足规划建议要求,如果未完成机房线缆布线,那么规划后,一定要提前与用户沟通规划情况,以免后期线缆无法正常连接设备。
园区网实施前要规划的内容 设备命名规则 第一台:WLZX_04_S6810E_01 示例:某校网络中心4楼部署了两台S6810E交换机: 某校图书馆2楼部署了两台S2150G,设备命名如下: 第一台:TSG_02_S2150G_01 第二台:TSG_02_S2150G_02 某校网络中心4楼部署了两台S6810E交换机,设备命名如下: 第一台:WLZX_04_S6810E_01 第二台:WLZX_04_S6810E_02
园区网实施前要规划的内容 VLAN描述规则 示例:VLAN100,用于图书馆用户接入 S2126G VLAN命名:vlan 100 三层交换机上,在每个三层VLAN接口下进行VLAN功能描述,描述命名规则为:功能区中文拼音首字母大写缩写_GW。 对设备管理用VLAN,统一命名为:management,在三层VLAN接口下命名。 示例:VLAN100,用于图书馆用户接入 S2126G VLAN命名:vlan 100 name TSG S6506 VLAN命名:interface vlan 100 description TSG_GW VLAN100,用于图书馆用户接入 S2126G VLAN命名:vlan 100 name TSG S6506 VLAN命名:interface vlan 100 description TSG_GW VLAN900,用于交换机管理VLAN S2126G VLAN命名:interface vlan 900 description management
园区网实施前要规划的内容 互联端口描述规则 interface fastEthernet 0/24 按照“ UL(上行接口)/DL(下行接口)-对端设备HOSTNAME配置名称-对端设备线卡槽位号/端口号”命名。 示例:S2126G端口描述: interface fastEthernet 0/24 switchport mode trunk description UL-WLZX_02_S6506_01-1/12 一台S2126G的24号端口是一个TRUNK口上联到一台S6506的GI1/12号端口,S6506的HOSTNAME名称是WLZX_02_S6506_01, S2126G的HOSTNAME名称是TSG_04_22126G_03。 S2126G端口描述: interface fastEthernet 0/24 switchport mode trunk description UL-WLZX_02_S6506_01-1/12 S6506端口描述: interface GigabitEthernet 1/12 description DL-TSG_04_22126G_03-0/24
园区网实施前要规划的内容 IP地址分配 分配IP网段需要比目前实际使用网段大,同时对一个业务功能区分配的网段能够聚合。 分配一个LOOPBACK地址专用网段,按照靠近网络核心的原则从高往低使用;即核心交换机使用最高位LOOPBACK地址。 为每个三层汇聚交换机下连接的二层交换机分配一个专用网段,作为这部分二层交换机管理地址使用。 当使用VLAN网段进行三层设备互联时,使用29位掩码;使用三层路由口进行三层设备互联时,使用30位掩码。 1。这样如果客户需要进行路由汇聚时,不再需要对网络进行调整。
园区网实施前要规划的内容 IP地址分配 有VRRP应用时,最高位为VRRP网关地址,次高位为VRRP主状态设备Vlan地址,倒数第三高位为VRRP备状态设备Vlan地址。 建议在一个完全新规划的园区网时,使用10.0.0.0/8网段,再将该网段按16位掩码划分后形式如下:10.X.0.0/16,最后再按24位掩码划分:10.X.Y.0/24。 用户可以将X与每个汇聚单元(例如:某栋大楼,某台汇聚层交换机)相对应。 Y与每个楼层或业务单元相对应。通过这种规划,可以使网络内IP层次清晰
园区网实施前要规划的内容 VLAN分配 考虑到用户网络的扩展性,在规划时为每一个业务功能区考虑一段VLAN号。具体VLAN号请根据实际情况分配。 V通过规划尽量使VLAN号与IP网段号一致。
园区网实施前要规划的内容 单播路由协议 静态路由或OSPF路由协议。选择哪一种路由方式,取决于用户的网络规模:运行三层交换的设备数量;网络是否存在冗余结构等因素。 如果路由协议采用OSPF,需要考虑是否多区域部署。 在部署OSPF时,通过LOOPBACK地址与优先级配置,确保OSPF的DR由核心交换机担任。 在OSPF配置中必须使用Passive Interface Vlan命令对业务网段过滤OSPF报文。 2。当用户汇聚设备上需要路由汇总时,需要将OSPF划分为多个区域。
园区网实施前要规划的内容 生成树协议 为了防止二层网络环路的产生,需要在交换机上启用生成树。 汇聚层与核心层设备以三层路由口互联时(推荐),在核心层设备上不需要启用生成树。 如果接入层到汇聚层都是单链路连接时,汇聚层不需要启用生成树;如果接入层到汇聚有多条链路,那么汇聚层需要启用生成树。 接入层启用生成树时,生成树模式使用RSTP。 接入层上行连接汇聚层的接口上启用BPDU Filter;接入层设备直联PC 端口启用BPDU PortFast与BPDU Guard功能。 4. 注意:设备默认生成树关闭,模式为MSTP。 在接入层上行连接汇聚层的接口上启用BPDU Filter,因为汇聚不启用生成树,没有收到BPDU 报文的必要;接入层设备直联PC 端口启用BPDU PortFast与BPDU Guard功能,这样可以防止下行环路产生。 在规划时注意,如果在汇聚设备层设备上启用生成树,那么要通过调低生层树保障生层树的根网桥交换机是汇聚层交换机,此外要注意与VRRP的主设备,OSPF的DR设备状态保持一致。
园区网实施前要规划的内容 VRRP参数 规划VRRP主设备,设置优先级为200,抢占模式打开。 VRRP组号分配:每个业务功能区VLAN 号段对应分配一段 VRRP组号;组号使用从小往大分配。 VRRP的广告间隔时间为2~10秒内取值。 采用虚拟路由冗余协议 (Virtual Router Redundancy Protocol,简称VRRP)可以很好的避免静态指定网关的缺陷。 1. 抢占模式用来控制一个高优先级的备份 路由器 是否抢占一个低优先级的 活动路由器。值为真则允许抢占,假则不允许。缺省值为真。 4.VRRP的广告间隔时间的长短决定了VRRP 协议发现设备故障的快慢,广告间隔越短,从故障机切换到冗余机的时间也越短,但是系统的开销也越大。 注意:VRRP号的范围为:1-255 设备缺省时间是一秒! 如果需要使用VRRP协议与其它厂商的设备配合时,请确认其它厂商设备的软件版本支持VRRP协议(CISCO某些设备的早期软件版本是不支持VRRP,只支持HSRP)。
园区网实施前要规划的内容 访问控制列表 通过安全ACL配置,根据协议与端口号过滤掉已知的病毒与木马报文。并进行了预防DoS 攻击的入口过滤,在攻击发生的早期,从整体上预防,因而具有较好效果。 如果用户网络中未部署SAM认证系统。则安全ACL部署在用户接入交换机上,并在与用户PC互联的端口上应用。 如果用户在接入交换机上启用了802.1X认证,那么将该ACL部署到汇聚层交换机,在汇聚层交换机与接入层交换机的互联接口上应用。 因为在启用1X认证的二层交换机上是建议不部署ACL的。
园区网实施前要规划的内容 设备优化配置 在核心交换机上启用SystemGuard功能。 在二层交换机上联口启用BPDU Filter,直联PC 端口启用BPDU PortFast。 Trunk口必须配置Allow VLAN List。 一定要修改SNMP默认口令。 1。在核心交换机上启用SystemGuard功能 一定程度上防止Same IP Attack和Scan IP Attack攻击。 2、在二层交换机上联口启用BPDU Filter,直联PC 端口启用BPDU PortFast 避免受到PC发起的BPDU攻击而引起的网络拓扑震荡。 接PC端口状态时能够马上变成Forwarding,这样可以避免链路状态变化(如PC操作系统重启)后,由于端口状态不能及时Forward导致的报文的丢失。 3、 Trunk口必须配置Allow VLAN List,禁止相应端口转发和接收不需要VLAN中的数据。 减少端口之间不必要报文的互相影响,节省带宽。减少受攻击的可能性。减小拓扑环路的可能性。 4、 锐捷全系列交换机SNMP代理功能默认开启,且有缺省的SNMP口令,所以在交换机配置时,一定要修改SNMP默认口令。
园区网实施前要规划的内容 回顾 设备线卡模块部署。 设备命名。 VLAN/端口描述。 IP地址分配 VLAN分配 单播路由协议 VRRP参数 生成树协议 访问控制列表 优化配置 在本节中提出了九个方面的规划指南,以上所有规划的使用前提:你已经了解了用户的网络现状与部署需求,就这些方面的内容与最终用户经过交流,达成了一致。切忌将指南生搬硬套!
提 纲 园区网实施前要规划的内容 园区网实施规划案例分享
园区网实施规划案例分享 项目描述 用户需求分析/网络规划 网络拓扑图 设备推荐配置 部署完毕后注意事项
园区网实施规划案例分享 项目描述 A学校网络一期改造项目已经根据售前方案采购了我司十台S6506,二台S6810E,一批S2126G交换机;每台S6506及S6810E配备了一块业务线卡12SFP/GT,一块管理引擎。 根据售前前期与用户达成的规划,两台S6810E部署在网络中心大楼,作为网络核心设备;每栋大楼部署一台S6506,作为汇聚设备;在每栋楼的每一层根据信息点数量,部署相应数量的S2126G。所有设备互联线路均为单线路。 数据源为宿舍区的数据,由核心S6810E-01负责转发;数据源为办公区的数据,由核心S6810E-02负责转发;项目一期中允许宿舍区与办公区互相访问。
园区网实施规划案例分享 项目描述 用户反馈在原有网络使用中困扰网络管理人员的问题: 网络中病毒泛滥,经常一栋楼的网络都不能正常使用 网络中心无法远程管理设备,网络无论出现何种故障,只能到现场处理。
园区网实施规划案例分享 项目描述 用户需求分析/网络规划 网络拓扑图 设备推荐配置 部署注意事项
园区网实施规划案例分享 用户需求分析/网络规划 根据售前提供的方案及用户反馈的情况,我们需要对用户网络需求进行细致的分析,以确定哪些网络技术的使用可以解决用户的需求: 路由规划 设备互联方式规划 生成树规划 安全控制规划 IP/VLAN规划 其它规划
园区网实施规划案例分享 路由规划 路由是网络规划中最重要的部分,它与用户网络的可用性,可靠性及可扩展性都密切相关,是我们首先着手规划的内容。 路由协议采用动态路由协议:OSPF 。 汇聚与核心交换机间路由采用OSPF协议,区域为0;将每个汇聚交换机上的业务网段规划到OSPF非0区域,汇聚层交换机为ABR。 在S6506上调整端口的OSPF COST值。 1。目的:采用OSPF,能很好的满足用户核心数据分流,单台核心设备故障时路由自动切换的要求。虽然通过静态浮动路由也可以实现用户的需求,但实施复杂,可扩展性差,所以不采用。 2。目的:在汇聚交换机上划分OSPF区域,有利于实现OSPF路由汇聚,可扩展性更好。 3目的:控制路由选路。
园区网实施规划案例分享 设备互联方式规划 核心层与汇聚层设备互联使用三层路由口连接。 汇聚层与接入层设备互联使用TRUNK口互联,在TRUNK链路上配置Allow VLAN List。 目的:核心与汇聚三层路由口连接,有利于防止二层报文对三层结构的干扰,这样核心不用考虑生成树的影响。 汇聚层设备TRUNK口连接接入层交换机,可扩展性更好,方便用户业务功能区VLAN的改动。 配置Allow VLAN List有利于节省带宽,减少广播报文在TRUNK链路上传播。
园区网实施规划案例分享 生成树规划 核心层与汇聚层交换机不启用生成树。 在接入层交换机上开启RSTP,同时在接入层交换机TRUNK上行接口上启用BPDU Filter,在规划位下行连接用户PC的接口启用BPDU PortFast与BPDU Guard功能。 目的:生成树规划部分已有说明。
园区网实施规划案例分享 安全控制规划 因为用户很关注如何防范病毒的扩散,这一点可以从两个方面着手: VLAN划分:减小广播域,隔离病毒发生时影响的范围。 配置安全ACL及优化配置来防止病毒报文扩散,减轻病毒对网络应用的干扰。安全ACL应用在接入层交换机上用于下联PC接口。 目的: 安全ACL是交换机上安全防护最重要的功能,必须部署。对部署在接入层交换机还是汇聚层交换机,要考虑到用户网络是否部署了SAM认证系统,在这个项目中,没有SAM部署,所以ACL应用在接入层交换机用于下联PC的接口。
园区网实施规划案例分享 IP/VLAN规划
园区网实施规划案例分享 其它规划 用户接入交换机到汇聚交换机互联都是单线路,汇聚与核心运行OSPF路由协议,所以在本网络中不考虑VRRP应用。 用户希望远程能管理网络设备,在没有配备网管软件的情况下,我们可以通过配置网络设备TELNET口令,以满足用户远程管理设备的需求。 在三层交换机上开启SystemGuard保护,一定程度上防止Same IP Attack和Scan IP Attack攻击。
园区网实施规划案例分享 项目描述 用户需求分析/网络规划 网络拓扑图 设备推荐配置 部署完毕后注意事项
园区网实施规划案例分享 网络拓扑图
园区网实施规划案例分享 项目描述 用户需求分析/网络规划 网络拓扑图 设备推荐配置 部署完毕后注意事项
园区网实施规划案例分享 设备推荐配置 接入层配置: 汇聚层配置: 核心层配置: 这里的配置文档是针对示例中的拓扑结构与用户需求进行合理化规划后,提供的配置范本,如果在实际工作中使用时,请根据具体产品与拓扑情况进行调整!
园区网实施规划案例分享 项目描述 用户需求分析/网络规划 网络拓扑图 设备推荐配置 部署完毕后注意事项
园区网实施规划案例分享 部署完毕后注意事项 功能测试: 部署完成后,必须与用户测试责任人共同进行详细的验证测试,最好填写相关的书面确认报告。 〖目的〗验证测试是对用户负责,也是对自己负责。确认报告是网络运行正常的证明。
课程回顾 本章节的主要知识点 : 园区网实施前要规划的内容 园区网实施规划案例分享
预祝哈尔滨理工大学 网络文化节圆满成功 并祝贺大家中秋节快乐。
谢谢大家 !