网络攻击详细介绍.ppt

首先，复习STP和HSRP的技能内容，说明其作用。 然后，给出本例中HSRP的设计方法，基于VLAN划分HSRP组，实现一定的负载分担（明确需要和STP同时使用）。此处需要说明MST的实例中的vlan对于基于HSRP进行分组的VLAN。即MST实例根网桥的核心交换机，成为该实例中vlan的活跃路由器。说明HSRP各参数的设定。 最后，通过通过图加深学员的理解。 * 首先，复习以太网通道相关知识内容。 然后，明确北京天时总公司园区网中哪些地方需要使用以太网通道。1、网络流量大的地方，2、网络流量汇总的地方，3、核心交换机之间等情况；然后根据PPT讲解清楚哪些地方需要配置以太网通道。 在讲解过程中可以提问：为什么我们要两条链路用以太网通道绑定呢？ * 首先，复习QoS相关知识内容，说明起作用； 然后，讲解北京地区分销点通过E1专线和总公司互联，各分销点与总公司通过4条E1专线连接带宽为8Mb/s，分别捆绑成2条4Mb/s链路连接到不同的设备形成备份。 之后，讲解北京总公司和个北京地区各分销点之间的重要数据信息，即需要使用QoS保护的信息有哪些。这些信息包括两部分分别为财务信息流量和视频会议。然后介绍这两种信息需要的最小带宽，以便在后期配置时，配置网络拥塞时为其保证的最小带宽。 最后，通过图进一步说明，为什么两条链路各需要为视频流量预留2Mb/s带宽呢。 为什么两条链路各需要为视频流量预留2Mb/s带宽呢？ 由于视频会议为点到点通信，所以在路由选择时只能通过一条链路转发所以需要每条链路预留2Mb/s。 而到服务器的浏览属于多点访问会均分到不同的链路上，所以每条预留0.1Mb/s即可。 下面内容可以事情可选讲。 对于E1配置可以选讲，具体的E1接口的配置可以参考教书用书常见问题12。 MP协议即Multi-link ppp的缩写，其作用是将多条物理PPP捆绑成一个逻辑端口，增加链路带宽，所有支持PPP的物理链路都可以启用MP协议进行捆绑。对于E1接口的捆绑命令为mulitlink-group，然后在逻辑端口interface multilink number进行配置。 * 前面已经讲解完成北京总公司园区网的交换部分的设计，下面来看一下路由部分的设计。 由于已经确定是采用OSPF路由协议，所以在此处可以简单地回顾OSPF的相关知识，提问有关OSPF网络规划设计的要点。 然后给出在本项目中OSPF的多区域划分和实现，以及其中的一些设计细节。主要包括一下一些内容： 1、区域是如何划分的？ 1）Area100为总公司内部网络，其配置为完全末梢区域。这应可以优化OSPF的链路状态信息。 2）Area0为核心交换机和内网网关路由器之间 3）Area1为北京地区个分公司到内网网关路由器；为NSSA区域，主要到通州分公司网络管理员技术水平较差，如果配置成Stub区域，需要将通知网管路由器和三层交换机添加到OSPF区域1中。由于通州分公司网段划分较多，并且网络管理员一旦出现误操作将导致Area1的不稳定。除此之外，当通州分公司网络出现故障时，可能造成OSPF Area1的不稳定。所以将Area1配置为NSSA区域，并重分发通州分公司网段静态路由，将通州分公司网络的不稳定性排除在OSPF区域以外。 4）由于访问互联网需要将数据转发到防火墙，而防火墙又没有启用OSPF所以需要在核心交换机上配置默认路由指向防火墙，同时将默认路由重发布到OSPF中。 5）在ABR上配置路由汇总，然后为了避免不必要的流量占用带宽，需要配置黑洞路由。 6）管理地址配置成为Router ID。 * 继续上一页进行讲解，主要说明配置的黑洞路由的作用和静态路由的相关配置。 其中重点需要明确说明：由于财务、业务服务器直接连接到防火墙，而在核心交换机上配置的黑洞路由会将园区网到达财务、业务服务器的流量全部丢弃，所以在和谐交换机上需要配置明细的路由到达财务、业务服务器指向防火墙。 * 北京总公司的ASA防火墙不启用OSPF所以需要在ASA防火墙上配置静态路由实现全网互通。 首先，配置访问互联网的路由，在ASA上配置默认路由实现内网访问互联网 然后，配置内网路由。由于BENET集团北京总公司内网使用HSRP技术导致ASA防火墙同时存在两个INSIDE区域。并且，ASA设备不支持等值静态路由，只支持浮动静态路由。根据以上情况，BENET集团决定根据HSRP主备情况将内网网段分为两部，在ASA防火墙上配置浮动静态路由实现负载分担。 最后，由于对外的服务器采用公网地址，所以在ASA上配置内网路由时需要配置此网段路由，之后根据图说明访问对外服务器的基本流程 此处可以说明财务、业务服务器的网关在ASA防火墙上所以不用在进行路由配置。 * 北京总公司要