1. 程式人生 > >27.總部專案實施全方面總結

27.總部專案實施全方面總結

拓撲

實戰

拓撲可以儲存到本地,然後擴大檢視,這樣才能看的更清楚。(拖動到新視窗開啟即可)

總部專案實施全方面總結

(1)IP地址規劃總結 說明:在規劃IP地址的時候,一定要考慮好連續性,比如192.168.2.X~10.X,一般情況下配合VLAN來規劃,一個VLAN一個網段,當然具體的網段範圍可以根據專案實際的需求決定,如果是小於200的話,則用24位的,如果大於200,接近254的話,那麼則要考慮後後續為了方便擴充套件,最好是23位的,這樣的話,當後續有客戶加入或者人數增加,那麼也不會導致需要重新修改IP 範圍。 保證靈活性,之前說過了一般情況下是跟VLAN 配合規劃的,這樣的話方便對VLAN 內或者VLAN間的做控制。彙總性,由於是連續在一起的網段,可以通過彙總,在路由方面部署的時候可以節省空間,比如靜態路由條目,OSPF的LSA資訊。

(2)VLAN、介面模式、Trunk規劃總結 說明:VLAN的規劃通常情況下是一個部門一個VLAN來規劃的,這樣的好處是,當某個部門的某臺機子出現了故障,那麼它影響的只會是那個部門的範圍,而不會影響整個網路。 對於介面模式來說,面向使用者的介面都為Access介面,然後劃入到對應的VLAN中即可,這裡需要注意的是,如果是接無線裝置的話,要考慮好,是否有多個SSID,或者是AC+AP架構,如果是的話,則需要用Hybrid或者Trunk來放行,比如AC+AP架構的話,那麼Hybrid的PVID定義為管理AP的VLAN,也就是給AP分配地址的VLAN,而業務VLAN則是AC上面定義的那個,放行這2個即可。Trunk的話,則是上行鏈路連線需要通過Trunk連線,預設情況下只允許VLAN 1通過,其餘的不能通過,這時候可以全部通過,或者明細放行,放行的流量則是下面有流量通過的VLAN都需要放行。

(3)IP地址配置總結 說明:配置IP地址沒什麼可以需要注意的,基本上就是體力活 敲鍵盤即可,注意的是掩碼跟規劃的時候要一樣,細緻小心點就可以了。(4)冗餘技術部署總結【MSTP 、VRRP、 鏈路聚合】 說明:冗餘技術在該專案中部署的有MSTP、VRRP、鏈路聚合功能,MSTP部署的時候,需要注意例項、name保持一致,因為MSTP是計算的hash值來判斷是否同一個域,所以確保一致即可,可以刷配置。另外MSTP的根與備份根定義在核心層或者匯聚層上面,主根與備份根部署的方案根據在設計的時候,VRRP的Master與Backup一致規定即可。 VRRP需要注意的地方就是,優先順序的定義,建議Master定義為105,預設為100,這樣的好處是,當某一條鏈路出現故障的時候,優先順序減低預設是10,當然也可以規定,但是容易被疏忽了,導致不必要的麻煩。另外對安全性較高的話,可以部署認證方案,track技術需要注意的地方,如果VRRP的Master的地址與介面地址一樣的話,那麼則不能部署track技術,所以建議部署的時候,建議主IP為252、備用IP為253,虛擬IP為254這樣。這裡還需要注意的是,確保VRRP與MSTP的根與Master一致。 鏈路聚合的部署,注意介面下預設配置即可,不要配置,所有的配置在加入到鏈路聚合組後,然後在介面組裡面做配置就行。

(5)路由技術部署總結 說明:該專案中部署的是靜態路由,由於我們使用的是VRRP技術+靜態路由,所以結構非常簡單,沒什麼需要考慮的,如果網路環境比較負責,切換機制也夠複雜的話,建議使用OSPF這些動態路由協議來動態收斂即可。

(6)DHCP伺服器部署總結 說明:DHCP服務部署,這裡是在Windows伺服器上面部署的,只要在定義的時候把地址池範圍、閘道器、DNS引數確認正確即可,需要注意的是,如果跨越了三層環境來獲取地址,就需要部署DHCP中繼功能,只有這樣才能保證下面的PC獲取到DHCP的服務。

(7)部署無線總結【AC+AP,二三層漫遊、優化等】 說明:在無線部署這塊,需要注意的地方比較多點 1、AP上線的問題,如果上線的話需要記錄AP的MAC或序列號SN。 2、WLAN-ESS介面,必須untagged介面 3、其他策略都可以預設,比如流量模板、射頻模板等,安全模板的話可以根據需求來定義是Open還是psk或者dot1x等。 4、服務集模板:用來關聯流量模板、安全模板、WLAN-ESS介面、業務介面,SSID等策略。 5、ap射頻,如果是雙頻的話,0代表2.4G,1代表5G,可以同時支援。 6、AP射頻關聯射頻模板與服務集 7、最後下放策略 8、轉發模式分為本地轉發與隧道模式,一般情況下為預設的直連轉發即可。 9、埠隔離與ACL的呼叫都是在服務集上面呼叫的。 10、MAC認證與dot1x都是在WLAN-ESS介面呼叫的。 11、二層漫遊:注意的問題,只要SSID與安全策略一致即可。 12、三層漫遊:注意的地方,WLAN-ESS介面untagged需要的VLAN,另外接入交換機這些也需要放行流量。當然也要保證SSID與安全策略一致。 13、優化功能都是在AC上面部署的,最終下放即可。 14、負載均衡模式,可以根據實際需求是否需要部署負載均衡。

(8)伺服器部署總結 說明:防火牆上面需要注意的地方也比較多,比如策略的放行、NAT的部署,包括訪問Internet、NAT Server對映,VPN部署,雙線路接入技術。 1、策略的部署,需要根據需求進行部署,比如是否需要加入時間引數,控制哪個時間段可以上網,是否控制某一個網段不受限制,這個都要考慮好策略部署的順序,如果順序不對導致策略的匹配不一樣。 2、NAT的包括2個模組,一個是源NAT,用來訪問Internet的,它部署完畢後,還需要用策略來放行才行,否則流量通過不了防火牆。 另外一個就是NAT Server了,NAT Server 可以直接在全域性輸入即可,如果是多個ISP的話,需要加zone引數,否則一個伺服器只能對映在一個IP地址上面。 VPN的部署分為2大塊,一個是L2TP over ipsec,另外一個是GRE over ipsec,L2TP的話比較簡單,只要開啟服務,然後定義使用者名稱等即可,注意的是IKE與IPSEC的策略一定要是3DES、SHA這樣的,這樣方便PC客戶端與移動客戶端接入,匹配主流策略。 Gre over ipsec策略的話,注意兩邊是否都是固定公網IP地址,如果是的話,則可以用公網源目IP地址做Tunnel的源和目的,如果不是的話,則必須通過建立環回口來建立,然後總部這邊部署動態模板。 最後一個問題就是VPN與NAT共存的時候,必須在NAT中deny掉VPN的流量,不然VPN可以建立。流量通訊不了,因為NAT的處理過程比VPN要優先,但是GRE over ipsec不存在該問題。雙ISP技術的部署,要考慮好ip-link技術與策略路由的部署,然後應用到內網介面【注意ACL的匹配,除了匹配需要按照規劃好的走的網段以外,還需要記住不能影響內網之間的互通,如果內網之間需要通過防火牆互通的話則必須用ACL deny掉】。 如果內網使用者希望通過公網地址或公網域名訪問內部伺服器的話,則必須部署域內NAT,另外在策略路由上面必須注意deny掉內網訪問伺服器的流量,這樣才能正常轉換,否則走策略路由了,不能正常的完成域內NAT轉換。

(9)管理部署總結 說明:在內部部署管理策略是有必要的,因為在網路穩定後,管理人員不可能要修改配置或者其他的都要往機房跑,所以要用一個管理的電腦或者終端統一管理這些裝置,也只能該終端進行管理。 1、定義多個使用者名稱,不同的許可權,比如A只能Telnet、SSH訪問,並且許可權級別2, 而管理員帳號可以登陸Console口,WEB等。 2、開啟使用者名稱與密碼認證,而不是簡單的認證功能。 3、定義ACL來限制特定的源來訪問。

(10)接入層與無線安全策略部署總結 說明:安全策略部署這塊是非常重要的,因為通常情況下,對於攻擊來說,外網對內網的攻擊難度較大,而內網之間的攻擊要容易的多,很多攻擊都是來自內網,所以我們必須保證內網的安全,必須部署對應的技術。1、部署埠隔離 ,那麼就算一個使用者中毒了,或者進行攻擊,也不會影響該VLAN內的其他PC,訪問。 2、DHCP Snooping部署解決的是,防止使用者私接DHCP 伺服器,導致內網地址獲取到不正確的網段,影響整個網路的執行。 3、DAI與ip source guead功能,是在部署了DHCP Snooping功能後,然後利用動態生成的表項來防止ARP攻擊與IP/MAC地址欺騙功能,也可以實現內網使用者只能通過內網DHCP獲取到地址後才能訪問公司內網網路與外網,其餘部分訪問不了。 4、MAC地址與dot1x的部署, 如果內網需要對接入裝置進行控制的話,那麼dot1X與MAC地址是最可靠的,MAC地址對於客戶來說是透明的,只要客戶的網絡卡的MAC地址與定義的一致即可接入到網路,沒有任何限制,但是注意的是,該過程需要統一記錄才行,否則很容易導致有些AP上不了網。 而dot1x就比較簡單點,通過使用者名稱密碼來驗證,通過後即可加入到內網中,訪問內網資源或者是公網,如果認證失敗則部署在Guest VLAN,我們通常只允許訪問公網。 另外一個優勢是可以用外部資料庫進行聯動,比如Radius,然後AD等。這樣不需要重複的輸入使用者名稱密碼了。 5、無線部分的安全,一般就是黑白名單,它是在使用者接入的時候檢查定義的MAC地址表,如果接入使用者正確的話則允許接入,否則拒絕。 埠隔離技術可以實現無線之間的使用者不能互訪,這樣也很大的保護了內網的安全,因為有時候有訪客提供訪問,但是隻能訪問公網環境,隔離的話就有效的防止來賓使用者如果從外面的網路感染了病毒或者是裝了某些不安全的軟體,如果沒開啟隔離技術,容易被攻擊,開啟後則有效的阻擋了攻擊。另外可以部署暴力破解、IMCP泛洪等攻擊,這樣的話防止SSID的密碼破解。MAC認證與dot1x的作用 跟有線是一樣的,所以就不在提到。/