01-企业网网络规划概述.ppt

学习目标 掌握网络规划的基本原则 了解拓扑设计和地址规划原则 了解网络安全部署原则 了解网络管理系统部署原则以及发展趋势 网络规划其实很难...... 网络规划其实很简单...... 网络规划其实很崇高...... 课程内容 贺岁大片——《网络帝国》 常见网络设备 路由交换设备 路由器： 以太网交换机（L2/L3/LAN）： 路由交换设备： 常见网络设备（续） 二层或物理层交换设备（广域网连接） ATM交换机、FR、X.25交换机、DDN节点机、传输设备 常见网络设备（续） 其他设备 网管、安全、语音、视讯设备 网络中的设备 网络设备的分类 基于CPU的设备 基于ASIC的设备 基于NP的设备 网络的层次划分 网络规划基本原则 网络规划流程图 课程内容 设备选型需要参考的因素 设备选型需要参考的因素 可靠性 转发性能 业务支持能力 端口支持 扩展能力 价格因素 课程内容 网络拓扑层次设计 网络中常用的拓扑结构 网络中常用的拓扑结构 网络中常用的拓扑结构 课程内容 网络中常用的端口类型 网络中常用的端口拆分及聚合 端口的拆分和聚合 高速端口的拆分 低速端口的聚合 网络中常用的端口互联方式 互联方式 对等型互联 非对等型同质接口互联 非对等型异质接口互联 课程内容 网络中常用的备份原则 对称性备份与非对称性备份 备份的基本方式－－链路备份 针对主机的备份技术——VRRP 针对网络设备的备份技术 特定技术整机备份 IRF 综合弹性结构(integrated resilient frame) 设备板卡规划 设备板卡规划 课程内容 IP地址规划的重要性 IP地址规划的基本原则 IP地址的分类－－loopback地址 IP地址的分类－－互联地址 IP地址的分类－－业务地址 组网图 确定地址块的划分原则 确定有哪几类地址要规划： 核心层需要规划的地址 汇聚层需要规划的地址 接入层需要规划的地址 确定地址块划分的总体原则 先纵向划分，再横向划分。即：按照业务先将地址划分为公网、VPN1——VPN4共5大块。然后再按照地域在每一个地址块中为每一个地市划分一个地址块。 先横向划分，再纵向划分。即：按照地域将地址划分为多块（每个地市一个地址块）。然后再按照业务将每个地市的地址块划分为：公网、VPN1——VPN4共5块。 公网及私网地址的规划 公网地址的划分原则： 以地域或设备为划分一个大的地址块的单位。 对于同时属于上下两级设备的地址归属 为了便于记忆，所有地址块内部的划分原则上都是相同的。 私网地址的划分原则： 总体地址块的划分： PE与CE之间的互联地址划分： VPN内业务地址划分： IP地址的分类－－XX省电力调度网 IP地址的分类－－XX省电力调度网 设备命名规范—sysname规划 设备命名规范—接口description规划 设备命名规范—接口命名 课程内容 网络安全规划的基本原则 网络安全规划——识别服务访问控制 网络安全规划——识别服务访问控制 控制策略－－认证授权（WLAN接入） 控制策略－－认证授权（以太网接入） 控制策略－－认证授权（RADIUSAAA） 控制策略－－认证授权（移动客户） 控制策略－－业务隔离（以太网接入） 控制策略－－业务隔离（ACL VPN） 采用访问控制列表ACL进行L1层～L4层隔离 对于大型网络中可以使用 MPLS VPN 技术，实现在一张基础网络下多种业务间的复杂隔离需求。 安全组网－－安全传输 安全传输 当数据在网络传输的过程中无法确保安全时通常需要使用一定的安全技术。 加密技术 IPSec 应用为IP协议组提供了网络层的安全能力，发送主机对IP报文进行加密，目的端点对源端点进行身份验证。可以确保报文的完整性和隐秘性。 WLAN的报文传输过程可以使用WEP、WAP等加密手段确保报文的安全传送。采用WAP可以支持更长的加密密钥、避免采用静态加密密钥 安全组网－－VPN 报文在传输的过程中将其封装在隧道里，使其对沿途经过的设备不可见，从而保证其安全性。常用对安全性要求不高的简单环境。 L2TP、GRE利用同IPSEC安全协议配合，实现安全保密的VPN 安全防御－－网络防护 （续） 当内部网络与外部网络相连时，需要对内部网络进行必要的网络防护措施。 即使在不需要与外网相连的情况下，也需要对内部网络中异常重要的服务器进行防护。 网络防护主要通过防火墙设备来实施。 安全防御－－包过滤防火墙 容易实施，几乎所有网络设备都支持ACL特性 应用于接口或者安全区域，分出入方向 采用ACL进行物理层到传输层的控制。 配置包过滤防火墙进行网络病毒防范 安全防御－－ASPF AS