项目案例
学习目标
描述网络工程需求分析过程和方法。
掌握网络工程规划设计原则和步骤。
了解网络工程实施、网络工程验收和网络工程维护的过程。
掌握园区网络VLAN、Trunk、链路聚合配置和调试。
掌握MSTP配置和调试。
掌握无线AC配置和调试。
掌握DHCP和DHCP安全配置和调试
掌握VRRP、BFD和NAQ配置和调试。
掌握OSPF、IS-IS和BGP配置和调试。
掌握路由引入和路由优化配置和调试。
掌握NAT配置和调试。
掌握QoS配置和调试。
掌握IPSec VPN配置和调试。
掌握OSPFv3配置和调试。
目录
9.1 网络工程实施概述
9.1.1 网络需求分析
9.1.2 网络规划和设计
9.1.3 网络工程实施
9.1.4 网络工程验收
9.1.5 网络工程维护
9.1 网络工程实施概述
网络工程是一项复杂的系统工程,网络工程的生命周期一般可分为网络需求分析、网络规划和设计、工程实施、工程验收和运行维护等阶段。网络工程应该根据相关的标准和规范,以工程化的思想和方法科学地实施。
9.1.1 网络需求分析
网络需求分析是网络规划和设计阶段的基础,用来明确整个网络系统需求。
网络需求分析通常分为网络功能性需求(Functional Requirements)和网络非功能性需求(Non-functional Requirements)。
网络功能性需求主要包括:功能需求、安全需求、存储需求等。
功能需求是指网络是否需要支持指定特性,如方案型需求(是否支持SDN)和设备型需求(网络设备的背板带宽、端口密度和端口速率等)。
安全需求是指对网络系统安全的需求,如:是否需要物理隔离、逻辑隔离、防火墙等。
存储需求是指数据存储方式和存储机制方面的需求,包括是否应用IP SAN(Storage Area Network)、NAS(Network Attached Storage)和分布式存储等IP相关存储业务。
网络非功能性需求主要包括高可用需求、高扩展需求和可维护性需求等。
9.1.2 网络规划和设计
网络系统规划设计原则:
先进性:网络系统的设计要综合考虑技术方案和设备选型的先进性和成熟性,从而保证网络系统的先进性。
规范性:设计方案遵从行业相关网络规范,包括网络建设规范、IP地址规范和数据中心建设规范等,保证网络建设与其他系统建设的一致性。
标准性:提倡技术标准化,使用开放、标准的主流技术及协议,确保后续网络的开放互联和升级扩展。
可靠性:即网络高可用性,网络架构必须能够达到或者超过业务系统对服务级别的要求。通过多层次的冗余连接考虑,以及设备自身的冗余支持(如VRRP、MSTP等)使得整个架构在任意部分都能够满足业务系统不间断的连接需求。
安全性:网络空间安全已经提升到国家战略层面,网络安全同时考虑生产系统和办公系统数据的完整和安全。网络架构需要具有支持整套安全体系实施的能力,以确保用户、合作伙伴和员工生产、办公的安全。
扩展性:网络系统应建设成完整统一、组网灵活、易扩充的弹性网络平台,能够随着需求变化,在功能、容量和覆盖能力等各方面具有易扩展能力,以适应快速的业务发展对基础架构的要求。
易管理性:高效网络管理可以有效节省人力、物力和财力,网络架构采用分层模块化设计,同时配合整体网络和系统管理,优化网络和系统管理和支持维护。
经济性:网络系统的设计应充分考虑性价比,在条件满足系统需求的条件下,尽量减少投资。
网络规划和设计阶段:
总体规划设计
网络拓扑结构设计
IP地址规划
网络设备选型
综合布线系统设计
网络安全设计
投资预算规划
总体规划设计
总体规划设计首先应确定采用的网络技术、工程标准、网络规模、网络系统功能结构、网络应用目的和范围,然后对总体目标进行分解,明确各阶段网络工程的具体目标、网络建设内容、所需工程费用、时间和进度计划等。
网络拓扑结构设计
网络拓扑结构的规划设计与网络规模息息相关,在大规模的园区网设计中,通常采用核心层、汇聚层和接入层的分层设计方案,分层设计有助于分配和规划带宽和增加可靠性等。在广域网连接设计中根据网络规模的大小、网络用户的数量,来选择对外连接的方式,如租用线路、MPLS VPN和IPSec VPN等。在无线网络设计中要考虑到无线控制器的和AP的放置位置、信道的使用、信号的覆盖以及无线漫游等。
IP地址规划
IP地址的合理规划是网络设计中的重要环节,大型网络必须对IP地址进行统一规划和分配,IP地址规划需要遵循如下原则。
唯一性:IP地址是网络设备和主机的唯一标识,一个IP网络中不能有两个主机采用相同的IP地址。
连续性:连续的IP地址规划方案在层次结构网络中易于进行路径聚合,大大缩减路由表,提高路由算法的效率。
扩展性:IP地址分配在每一层次上都要留有余量,在网络规模扩展时能保证地址汇聚所需的连续性。
实意性:即“望址生义”,好的IP地址规划使得每个地址具有实际含义,看到一个地址就可以大致判断出该地址所属的设备、所在的位置以及设备的类型等。这是IP地址规划中最具技巧型和艺术性的部分。
网络设备选型(续)
因为每种网络设备的功能和使用场景不同,所以设备选型考虑的侧重点不一样,作为技术人员,更加关注的是设备的性能能否达到要求,常见的网络设备选型考虑的性能参数具体如下:
路由器选型要考虑的性能参数包括背板能力、吞吐量、丢包率、转发时延、路由表容量、可靠性、平均故障间隔时间(Mean Time Between Failure,MTBF)等。
交换机选型要考虑的性能参数包括端口密度、端口速率、背板能力、可堆叠和POE等。
防火墙选型要考虑的性能参数包括处理性能、端口数量、并发连接数、吞吐量和支持用户数等。
无线设备选型考虑的性能参数包括支持标准、覆盖范围、发射功率、天线增益、接入数量、传输速率和安全性等。
服务器选型考虑的因素包括所需运行的服务、应用层次、处理器架构和机箱结构等。
网络安全设计
网络安全体系设计的重点是根据安全设计的基本原则,制定出网络各层次的安全策略和措施,然后确定出选用什么样的网络安全产品。网络安全防范体系在设计过程中应遵循以下原则。
木桶原则
有效和实用原则
等级划分原则
技术与管理相结合原则
经济实用原则
动态发展和易操作原则
网络安全设计与实施过程通常包括如下的步骤:
分析和确定面临的攻击和风险。
制定网络安全策略。
建立安全模型。
选择并实现安全服务。
安全产品的选型。
9.1 项目背景
位于深圳的A公司有较大规模的园区网络,园区网络中有隔离区(Demilitarized Zone,DMZ),通过专线与企业骨干网相连;该公司在重庆设有办事处,办事处员工有访问公司DMZ服务器的需求;公司租用了两条线路接入Internet。为了实现网络的优化、升级和未来网络的扩展,公司IT部门经理要求正在公司实习的的5名同学利用两周时间熟悉目前企业网络架构和使用的核心技术,同时结合企业的发展战略设计与企业骨干网的连接并实施路由策略。5位同学在企业工程师的帮助下,基本熟悉了整个公司目前的网络架构,为了更好地适应未来工作岗位需求,还利用实验室设备模拟了整个网络的实现。同学们根据整个企业网络集成的预算并结合应用类型及业务密集度的分析,得出网络数据负载、数据包流向、网络带宽、信息流特征、数据的重要程度、网络应用的安全性及可靠性和实时性等因素,从而确定网络总体需求框架。通过详细的需求分析,完整且量化地了解了网络系统的业务,并通过eNSP完成项目实施和测试。公司网络的需求分析如下。
1. 功能性需求
(1)IP地址规划层次化,便于路由汇总和提高路由转发效率。
(2)园区网与骨干网、园区网与Internet均采用双链路连接。
(3)园区网采用MSTP和VRRP技术进行防环和负载均衡设计。
(4)园区网和DMZ路由协议运行多区域OSPF,园区网与骨干网路由协议运行BGP。
(5)园区网需要部署WLAN,支持移动办公。
(6)园区网、DMZ需要部署IPv6测试网络,为未来公司网络全面升级做准备。
(7)办事处与DMZ采用IPSec VPN连接,以保证数据安全传输。
(8)部署QoS,保障Internet线路上运行的关键业务。
2. 非功能性需求
(1)对可靠性有较高要求,网络拓扑中的关键线路和设备需要进行冗余设计。
(2)对扩展性有较高要求,IP地址和设备规划分要留有足够扩展空间。
9.2 网络拓扑设计
根据前期的需求分析,A公司网络拓扑结构如图所示,其由以下4部分构成。
图9-1 A公司网络拓扑
1. 深圳公司园区网和DMZ网络
深圳公司园区网采用OSPF作为路由协议,园区网及DMZ核心交换机属于OSPF区域0,DMZ属于OSPF区域1.同时,通过BGP与企业骨干网相连,需要在两个核心路由器R_ShenZhen_1和R_ShenZhen_2上实现路由双向引入,并给出路由汇聚、次优路由、路由环路和路径控制等实施策略和方案。
(1)园区网络
为简化设计和部署,采取核心层和接入层两层架构的组网方案。核心层部署两台交换机,分别为S_ShenZhen_1和S_ShenZhen_2,接入层交换机S_ShenZhen_3和S_ShenZhen_4分别连接到两台核心交换机,4台交换机采用MSTP技术防止二层环路。根据行政部门及其他管理要求划分VLAN,交换机之间为Trunk链路,利用三层交换实现VLAN间路由。
通过VRRP技术为各个VLAN的主机提供网关,通过BFD+VRRP联动机制实现VRRP快速收敛。
在园区网中采用旁挂方式组建园区WLAN,AC通过双链路连接到核心交换机S_ShenZhen_1和S_ShenZhen_2,AP靠近用户端,从接入层交换机接入网络。
为保证网络安全,园区网接入层交换机S_ShenZhen_3和S_ShenZhen_4上采用端口安全和DHCP Snooping等基本安全措施。OSPF路由协议启用区域MD5验证。
(2)DMZ网络
DMZ的网络相对独立,内部主要通过交换机S_DMZ_1和S_DMZ_1连接各服务器,对外通过核心交换机S_DMZ_3连接到园区网核心层交换机S_ShenZhen_1和S_ShenZhen_2。确保重庆办事处员工的主机通过IPSec VPN技术访问DMZ的服务器中的资源,建立IPSec VPN的两个端点是路由器R_ChongQing_1和路由器R_ShenZhen_1。同时,应确保DMZ网络和企业骨干网的通信。
2. 企业骨干网
园区网边界路由器通过双链路专线连接到企业骨干网,两条专线链路分别是园区网边界路由器R_ShenZhen_1和骨干网边界路由器R_Backbone_1之间,以及园区网边界路由器R_ShenZhen_2和骨干网边界路由顺R_Backbone_1之间的链路。本项目用骨干网边界路由器R_Backbone_1上的环回接口模拟企业骨干网络。
3. 广域网连接
本项目用一台交换机模拟ISP和Internet。园区网边界路由器采用双链路连接到ISP,配置静态默认路由,实现以主/备链路方式进行Internet接入。采用静态路由与NQA联动机制,为静态路由绑定NQA会话,利用NQA会话来检测静态路由所在链路的状态。同时,需要在边界路由器R_ShenZhen_1和R_ShenZhen_2上配置NAT功能,使园区网主机可以访问Internet。
4. 分支连接
重庆办事处和DMZ采用IPSec VPN进行连接,要确保重庆办事处员工的主机通过IPSec VPN技术访问DMZ的服务器中的资源,建立IPSec VPN的两个端点是路由器R_ChongQing_1和路由器R_ShenZhen_1。同时,需要在办事处边界路由器R_ChongQing_1上配置NAT功能,使办事处主机可以访问Internet。
9.3 IP地址规划
A公司网络的IPv4地址规划。
(1)园区网IP地址段:10.1.0.0/16。
(2)DMZ网络IP地址段:10.2.0.0/16,DNS为10.2.100.100(虚拟IP地址)。
(3)骨干网IP地址段:10.3.0.0/16。
(4)办事处IP地址段:10.4.0.0/16。
A公司IPv4地址规划如表9-1所示。
交换机均使用VLANIF接口与路由器的接口相连。在实际应用中,更常见的方案是交换机接口通过执行undo portswitch命令而配置为三层接口,并直接配置IP地址来使用。
表9-1 A公司IP地址规划
VLAN或者设备 | 接口 | IP地址 | 备注 |
VLAN 1 | 10.1.1.0/24 | 园区网,供网络管理使用 | |
VLAN 2 | 10.1.2.0/24 | 园区网,各行政部门 | |
… | … | … | … |
VLAN 20 | 10.1.20.0/24 | 园区网,各行政部门 | |
VLAN 51 | 10.1.51.0/24 | S_ShenZhen_1和R_ShenZhen_1和R_ShenZhen_2对接 | |
VLAN 52 | 10.1.52.0/24 | S_ShenZhen_1和R_ShenZhen_1和R_ShenZhen_2对接 | |
VLAN 53 | 10.1.53.0/24 | S_ShenZhen_1和S_DMZ_3对接 | |
VLAN 54 | 10.1.54.0/24 | S_ShenZhen_2和S_DMZ_3对接 | |
VLAN 100 | 10.1.100.0/24 | 园区网,WLAN管理VLAN | |
VLAN 200 | 10.1.200.0/24 | 园区网,WLAN业务VLAN | |
S_ShenZhen_1 | VLANIF 1 | 10.1.1.1/24 | |
VLANIF 2 | 10.1.2.1/24 | ||
VLANIF 3 | 10.1.3.1/24 | ||
VLANIF 4 | 10.1.4.1/24 | ||
… | … | ||
VLANIF 20 | 10.1.20.1/24 | ||
VLANIF 51 | 10.1.51.1/24 | ||
VLANIF 53 | 10.1.53.1/30 | ||
VLANIF 100 | 10.1.100.1/24 | ||
VLANIF 200 | 10.1.200.1/24 | ||
G0/0/1 | Trunk接口,连接S_ShenZhen_3 | ||
G0/0/2 | Trunk接口,连接S_ShenZhen_4 | ||
G0/0/3 | Access接口,VLAN 51 | ||
G0/0/4 | Access接口,VLAN 51 | ||
G0/0/5 | Trunk接口,连接AC_ShenZhen_1 | ||
G0/0/6 | 连接S_DMZ_3,Access接口,VLAN 53 | ||
G0/0/23 | Trunk接口,链路聚合,连接S_ShenZhen_2 | ||
G0/0/24 | Trunk接口,链路聚合,连接S_ShenZhen_2 | ||
S_ShenZhen_2 | VLANIF 1 | 10.1.1.2/24 | |
VLANIF 2 | 10.1.2.2/24 | ||
VLANIF 3 | 10.1.3.2/24 | ||
VLANIF 4 | 10.1.4.2/24 | ||
… | |||
VLANIF 20 | 10.1.20.2/24 | ||
VLANIF 52 | 10.1.52.2/24 | ||
VLANIF 54 | 10.1.54.2/24 | ||
VLANIF 100 | 10.1.100.2/24 | ||
VLANIF 200 | 10.1.200.2/24 | ||
G0/0/1 | Trunk接口,连接S_ShenZhen_3 | ||
G0/0/2 | Trunk接口,连接S_ShenZhen_4 | ||
G0/0/3 | Access接口,VLAN 52 | ||
G0/0/4 | Access接口,VLAN 52 | ||
G0/0/5 | Trunk接口,连接AC_ShenZhen_1 | ||
G0/0/6 | 连接S_DMZ_3,Access接口,VLAN 54 | ||
G0/0/23 | Trunk接口,链路聚合,连接S_ShenZhen_1 | ||
G0/0/24 | Trunk接口,链路聚合,连接S_ShenZhen_1 | ||
S_ShenZhen_3 | VLANIF 1 | 10.1.1.3/24 | 管理,网关为10.1.1.254 |
E0/0/1 | Access接口,VLAN 2 | ||
E0/0/2 | Access接口,VLAN 3 | ||
… | |||
E0/0/21 | Access接口 | ||
E0/0/22 | 连接AP,Trunk接口,允许VLAN 100、VLAN 200通行 | ||
G0/0/1 | Trunk接口,连接S_ShenZhen_1 | ||
G0/0/2 | Trunk接口,连接S_ShenZhen_2 | ||
S_ShenZhen_4 | VLANIF 1 | 10.1.1.4/24 | 管理,网关为10.1.1.254 |
E0/0/1 | Access接口,VLAN 2 | ||
E0/0/2 | Access接口,VLAN 3 | ||
… | |||
E0/0/21 | Access接口 | ||
E0/0/22 | 连接AP,Trunk接口,允许VLAN 100、VLAN 200通行 | ||
G0/0/1 | Trunk接口,连接S_ShenZhen_1 | ||
G0/0/2 | Trunk接口,连接S_ShenZhen_2 | ||
R_ShenZhen_1 | G0/0/0 | 10.1.51.2/24 | 连接S_ShenZhen_1 |
G0/0/1 | 10.1.52.2/24 | 连接S_ShenZhen_2 | |
G0/0/2 | 172.16.1.1/30 | 连接R_Backbone_1 | |
G1/0/0 | 202.96.1.2/30 | 连接Internet(主链路) | |
G2/0/0 | 10.1.55.1/30 | 连接R_ShenZhen_2 | |
R_ShenZhen_2 | G0/0/0 | 10.1.51.3/24 | 连接S_ShenZhen_1 |
G0/0/1 | 10.1.52.3/24 | 连接S_ShenZhen_2 | |
G0/0/2 | 172.16.2.1/30 | 连接R_Backbone_1 | |
G1/0/0 | 202.96.2.2/30 | 连接Internet(备链路) | |
G2/0/0 | 10.1.55.2/30 | 连接R_ShenZhen_1 | |
S_DMZ_1 | VLANIF 1 | 10.2.1.2/30 | |
VLANIF 2 | 10.2.3.254/24 | ||
G0/0/1 | Access接口,连接S_DMZ_3 | ||
G0/0/3 | Access接口,VLAN 2,连接服务器 | ||
S_DMZ_2 | VLANIF 1 | 10.2.2.2/30 | |
VLANIF 2 | 10.2.4.254/24 | ||
G0/0/1 | Access接口,连接S_DMZ_3 | ||
G0/0/3 | Access接口,VLAN 2,连接服务器 | ||
S_DMZ_3 | G0/0/1 | 10.1.53.2/30 | Access接口,VLAN 1,连接S_ShenZhen_1 |
G0/0/2 | 10.1.54.2/30 | Access接口,VLAN 2,连接S_ShenZhen_2 | |
G0/0/3 | 10.2.1.1/30 | Access接口,VLAN 3,连接S_DMZ_1 | |
G0/0/4 | 10.2.2.1/30 | Access接口,VLAN 4,连接S_DMZ_2 | |
R_Backbone_1 | G0/0/0 | 172.16.1.2/30 | 连接R_ShenZhen_1 |
G0/0/1 | 172.16.2.2/30 | 连接R_ShenZhen_2 | |
Loopback0 | 10.3.3.1/24 | 模拟骨干网内部网络 | |
Loopback1 | 10.3.4.1/24 | 模拟骨干网内部网络 | |
R_ChongQing_1 | G0/0/0 | 61.1.1.2/30 | 连接Internet |
G0/0/1 | 10.4.1.254/24 | 连接S_chongQing_1 | |
S_ChongQing_1 | VLANIF 1 | 10.4.1.2/24 | 网关为10.4.1.254 |
G0/0/1 | Access接口,VLAN 1,连接R_ChongQing_1 | ||
Internet | G0/0/1 | 61.1.1.1/30 | Access接口,VLAN 1,连接R_ChongQing_1 |
G0/0/2 | 202.196.1.1/30 | Access接口,VLAN 2,连接R_ShenZhen_1 | |
G0/0/3 | 202.196.2.1/30 | Access接口,VLAN 3,连接R_ShenZhen_2 | |
Loopback1 | 8.8.8.8/24 | 模拟Internet上的主机 | |
AC_ShenZhen_1 | G0/0/1 | Trunk接口,连接S_ShenZhen_1 | |
G0/0/2 | Trunk接口,连接S_ShenZhen_2 | ||
VLANIF 100 | 10.1.100.3/24 | ||
VLANIF 200 | 10.1.200.3/24 |
假设公司使用IPv6地址段为2001:AAAA:BBBB::/48进行规划,A公司IPv6地址规划如表9-2所示。
表9-2 A公司IPv6地址规划
VLAN或者设备 | 接口 | IP地址 | 备注 |
VLAN 1 | 2001:AAAA:BBBB:1::/64 | 园区网,供网络管理使用 | |
VLAN 2 | 2001:AAAA:BBBB:2::/64 | 园区网,各行政部门 | |
… | … | ||
VLAN 20 | 2001:AAAA:BBBB:14::/64 | 园区网,各行政部门 | |
VLAN 53 | 2001:AAAA:BBBB:35::/126 | ||
VLAN 54 | 2001:AAAA:BBBB:36::/126 | ||
S_ShenZhen_1 | VLANIF 1 | 2001:AAAA:BBBB:1::1/64 | |
VLANIF 2 | 2001:AAAA:BBBB:2::1/64 | ||
VLANIF 3 | 2001:AAAA:BBBB:3::1/64 | ||
VLANIF 4 | 2001:AAAA:BBBB:4::1/64 | ||
… | |||
VLANIF 20 | 2001:AAAA:BBBB:14::1/64 | ||
VLANIF 53 | 2001:AAAA:BBBB:35::1/126 | ||
S_ShenZhen_2 | VLANIF 1 | 2001:AAAA:BBBB:1::2/64 | |
VLANIF 2 | 2001:AAAA:BBBB:2::2/64 | ||
VLANIF 1 | 2001:AAAA:BBBB:3::2/64 | ||
VLANIF 2 | 2001:AAAA:BBBB:4::2/64 | ||
… | |||
VLANIF 20 | 2001:AAAA:BBBB:14::2/64 | ||
VLANIF 54 | 2001:AAAA:BBBB:36::1/126 | ||
S_DMZ_1 | VLANIF 1 | 2001:AAAA:BBBB:20::2/126 | |
VLANIF 2 | 2001:AAAA:BBBB:37::1/64 | ||
S_DMZ_2 | VLANIF 1 | 2001:AAAA:BBBB:21::2/126 | |
VLANIF 2 | 2001:AAAA:BBBB:38::1/64 | ||
S_DMZ_3 | G0/0/1 | 2001:AAAA:BBBB:35::2/126 | |
G0/0/2 | 2001:AAAA:BBBB:36::2/126 | ||
G0/0/3 | 2001:AAAA:BBBB:20::2/126 | ||
G0/0/4 | 2001:AAAA:BBBB:21::2/126 |
9.4 项目实施
1.园区网VLAN、Trunk和链路聚合实施
A公司深圳园区网中各部门员工数量均小于100人,约有15个部门,按照每个部门一个VLAN进行规划,此外,有几个VLAN用于在路由器、交换机之间运行路由协议,WLAN分配了两个VLAN,分别作为管理VLAN和业务VLAN使用。A公司总部园区网VLAN分配如表9-3所示。
表9-3 A公司总部园区网VLAN分配
VLAN | IP地址 | 用途 |
VLAN 1 | 10.1.1.0/24 | 总部局域网,供网络管理使用 |
VLAN 2 | 10.1.2.0/24 | 总部局域网,各行政部门 |
… | … | … |
VLAN 20 | 10.1.20.0/24 | 总部局域网,各行政部门 |
VLAN 51 | 10.1.51.0/24 | S_ShenZhen_1和R_ShenZhen_1、R_ShenZhen_2对接 |
VLAN 52 | 10.1.52.0/24 | S_ShenZhen_1和R_ShenZhen_1、R_ShenZhen_2对接 |
VLAN 53 | 10.1.53.0/24 | S_ShenZhen_1和S_DMZ_3对接 |
VLAN 54 | 10.1.54.0/24 | S_ShenZhen_2和S_DMZ_3对接 |
VLAN 100 | 10.1.100.0/24 | 园区网WLAN管理VLAN |
VLAN 200 | 10.1.200.0/24 | 园区网WLAN业务VLAN |
实施园区网VLAN、Trunk和链路聚合配置时主要关注以下要点。
(1)VLAN的配置内容基本相同,只需要在相关交换机上使用vlan batch命令进行一次性创建即可,并将相应的接口划分到对应的VLAN中。DMZ的VLAN配置过程相同。
(2)园区网4台交换机之间的链路配置为Trunk模式,并允许相应VLAN通过。
(3)在两台核心交换机S_ShenZhen_1和S_ShenZhen_2之间采用手工模式配置链路聚合,增加核心交换机之间的链路带宽和可靠性,实现流量负载均衡,避免网络拥塞。
(4)网络安全是企业系统集成的基本要求,而来自内部的网络攻击往往是最危险的,在接入交换机上部署安全措施可以提高网络安全性。本项目在接入交换机S_ShenZhen_3和S_ShenZhen_4上部署端口安全功能。DMZ的S_DMZ_1交换机作为企业集中部署的DHCP服务器,用户计算机的IP地址必须动态获取,不得手工设定,因此可以部署使用DHCP Snooping功能防止DHCP欺骗,并在DHCP Snooping的基础上部署DAI和IPSG等。当然,当不同VLAN的主机需要向DHCP服务器申请IP地址时,相关设备上还要配置DHCP中继。
2.园区网MSTP实施
为了提高园区网的可靠性,核心层采用了双交换机,各接入层交换机均连接到两台核心交换机上,增加了可靠性,为了避免交换环路,需要部署和实施MSTP。实施MSTP时应关注以下要点:
(1)园区网所有交换机MSTP域相同,减少MSTP的复杂度,MSTP的域名为ShenZhen。
(2)控制MSTP实例的数量,节省交换机资源。本项目配置MSTP实例1和实例2,实例1与VLAN的映射为1、2、5~12、51、53、100;实例2与VLAN的映射为3、4、13~20、52、54、200。
(3)控制MSTP各实例的根桥,以便实现负载均衡,提高设备的利用率和转发性能。S_ShenZhen_1是实例1的根桥,优先级为4096,是实例2的次根桥,优先级为8192;S_ShenZhen_2是实例2的根桥,优先级为4096,是实例1的次根桥,优先级为8192。
(4)将交换机S_ShenZhen_3和S_ShenZhen_4连接计算机的端口配置为STP边缘端口,实现MSTP的快速收敛。为了网络安全,建议在边缘端口上配置BPDU保护。
3.园区网VRRP配置
园区网两台核心层交换机S_ShenZhen_1和S_ShenZhen_2承担VLAN间路由功能,核心交换机上的VLANIF接口地址就是相关VLAN的计算机的默认网关,为了提高网关的稳定性和可靠性,实施VRRP技术实现网关的冗余。同时,使用BFD技术实现VRRP的可靠性和快速收敛。实施VRRP是应关注以下要点。
(1)园区网中有多个VLAN,可以控制不同VLAN的VRRP的主/备路由器,实现负载均衡。
(2)VRRP的主/备路由器应该和MSTP的根桥配合,以避免次优路径产生。例如,若VLAN 1的VRRP组1的主路由器是S_ShenZhen_1,则VLAN 1所在MSTP的实例1的根桥也应该是S_ShenZhen_1。
(3)为提高VRRP的切换速度,可以和BFD技术进行联动。
(4)配置VRRP验证,提高网络安全性。
4.园区网和DMZ IPv4路由协议实施
目前,OSPF协议在企业网中应用非常广泛。园区网和DMZ的路由协议选择使用OSPF协议,本项目部署OSPF协议时应考虑以下要点。
(1)两台核心交换机承担主要的路由功能。
(2)将所有运行OSPF协议的设备的参考带宽改为1000Mbit/s。
(3)OSPF协议采用多区域设计,园区网属于区域0,DMZ属于区域1,区域1配置为完全末节区域。
(4)区域0和区域1都采用MD5区域验证,以提高网络安全性。
(5)适当接口配置为静默接口,以提高网络安全性。
5.园区网WLAN实施
园区网员工有移动办公需要,因此需要部署WLAN。本项目选择使用AC+Fit AP方案在园区网中部署WLAN,该方案既可以保证无缝漫游和可管理性,又能满足后期网络扩展的需求。采用AC+Fit AP方案组建WLAN时,AP是配置的,全部配置工作在有线网络和AC上进行。实施WLAN时应关注以下要点。
(1)使用旁挂式组网,这种方式部署更加灵活。无线控制器AC_ShenZhen_1通过双链路连接到核心交换机S_ShenZhen_1和S_ShenZhen_2的设计可以实现可靠性连接。
(2)根据现有拓扑的条件,可以采用简单、可靠的直接转发方式和二层组网方案。
(3)AP尽可能通过以太网供电,减少布线的复杂度。AP接在靠近用户的接入层交换机上。
6.骨干网与园区网之间运行BGP
园区网与骨干网之间通过两条专线进行连拉发,并运行BGP,本项目部署BGP时应考虑以下要点。
(1)总部边界路由器R_ShenZhen_1和R_ShenZhen_2与骨干网边界路由器R_Backbone_1之间采用直连接口建立EBGP邻居,R_ShenZhen_1和R_ShenZhen_2之间采用直连接接口建立IBGP邻居关系。
(2)在路由器R_ShenZhen_1和R_ShenZhen_2上进行路由汇聚,使路由器R_Backbone_1只学习到10.1.0.0/16和10.2.0.0/16的聚合路由。
(3)通过BGP本地优先级属性控制BGP选路。在路由器R_ShenZhen_1和R_ShenZhen_2的入方向上修改本地优先级属性,使园区网去往骨干网10.3.3.0/24的网络选择R_ShenZhen_1和R_Backbone_1之间的链路,去往骨干网10.3.4.0/24的网络选择路由器R_ShenZhen_2和R_Backbone_1之间的链路。
(4)通过BGP的MED属性控制BGP选路。在路由器R_ShenZhen_1和R_ShenZhen_2的出方向上修改MED属性,控制路由器R_Backbone_1的BGP选路,使骨干网访问园区网10.1.0.0/16的网络选择路由器R_ShenZhen_1和R_Backbone_1之间的链路,访问DMZ 10.2.0.0/16的网络选择路由器R_ShenZhen_2和R_Backbone_1之间的链路。
7.BGP与OSPF之间的路由引入和路径控制
由于网络中存在OSPF和BGP路由协议,为了实现网络可达,需要部署路由引入,并通过路由策略进行路由优化和控制。部署路由引入时应考虑以下要点。
(1)在路由器R_ShenZhen_1上实现BGP和OSPF路由协议的双向路由引入。同时,在路由器R_ShenZhen_2实现BGP和OSPF路由协议的双向路由引入。
(2)由于双点双向路由引入会带来次优路由、路由环路和路由反馈等问题,因此,要进行路径控制。通过路由策略,对骨干网的路由在路由器R_ShenZhen_1和R_ShenZhen_2上修改优先级,只要低于OSPF ASE路由的优先级150即可,本项目将优先级改为140.
(3)为了避免路由环路,本项目采用路由标记解决方案。
8.园区网和DMZ Internet接入
为保证公司的用户接入Internet不中断,园区网部署了两条到Internet的线路,选择了不同的运营商。不同运营商的线路质量和成本不一样,这两条线路采用主/备方式部署。园区网路由器R_ShenZhen_1使用主链路,路由器R_ShenZhen_2使用备链路。部署Internet接入时应考虑以下要点。
(1)为保证主/备链路切实换,采用静态路由与NQA联动,使用NQA监视主线路的状态,以便在主链路出现异常时快速切换到备链路。
(2)在园区网边界路由器R_ShenZhen_1和R_ShenZhen_2上向OSPF网络注入默认路由,路由器R_ShenZhen_1通告默认路由的开销值为10,路由器R_ShenZhen_2通告默认路由的开销值为20,确保企业网络内的OSPF优先选择主链路到达Internet。
9.部署NAT,使园区网用户可以访问Internet
为了减少向ISP购买公网IP地址的成本和方便公司内部IP编址的统一规划设计,园区网内部使用的是私有IP地址,因此,需要在园区网到Internet的出口路由器R_ShenZhen_1和R_ShenZhen_2上部署NAT。同时,NAT技术可以有效地保护内部网络。本项目部署NAT时应关注以下要点。
(1)园区网有两个到Internet的出口,重庆办事处有一个到Internet的出口。因为重庆办事处需要建立IPSec VPN访问DMZ服务器的资源,所以配置使用NAT的ACL要排除IPSec VPN的感兴趣流。
(2)A公司没有申请多余的公网IP地址,因为边界路由器各个出口已经有固定公网IP地址,所以使用Easy IP方式部署NAT。
(3)A公司内部的Web服务器(IP地址为10.2.100.100)需要供外网访问,两个出口均要做NAT服务器映射。
10.部署QoS,使Internet链路优先保证关键应用
A公司园区网有主/备两条到Internet的链路,连接在路由器R_ShenZhen_1和R_ShenZhen_2上;在重庆办事处有一条到Internet的链路,连接在路由器R_ChongQing_1上。为避免Internet链路视频、FTP等流量影响公司的业务流量,对HTTP流量和IPSec VPN的流量要保证带宽,HTTP流量保证带宽为1Mbit/s,IPSec VPN流量保证带宽为512kbit/s。以上需求以MQC的方法通过在两台边界路由器R_ShenZhen_1和R_ShenZhen_2上部署流量监管来实现。
11.部署IPSec VPN,实现办事处访问DMZ
重庆办事处需要连接到DMZ,由于专线价格的初装费和使用成本较高,因此采用Site To SiteIPSec VPN技术作为解决方案。部署IPSec VPN时应关注以下要点。
(1)VPN两端需要有固定公网IP地址,这会带来一定成本,但是VPN两端都可以主动建立IPSec VPN连接。
(2)企业总部有两个Internet出口,为了简化部署,本项目只在主链路连接的路由器R_ShenZhen_1上部署IPSec VPN。
(3)建立IPSec VPN的感兴趣流量来自重庆办事处的网络10.4.0.0/16到DMZ的网络10.2.0.0/16。
12.园区网和DMZ部署IPv6
为了迎接IPv6时代的到来,园区网络和DMZ先行部署IPv6网络,以用于测试和研究,暂时不考虑连接到Internet。部署IPv6时应关注以下要点。
(1)仅在园区网核心交换机上和DMZ的网络设备上配置路由协议,以实现网络互通。选择使用OSPFv3协议。
(2)本项目只关注IPv6路由,暂时不考虑IPv6的VRRP问题。
