实战系列说明
实战系列,每个星期一发送一到两篇,预计18篇左右,整理跟排版都需要时间,博主也只是业余时间写写技术文档,请大家见谅,大家觉得不错的话,可以推荐给朋友哦,博主会努力推出更好的系列文档的,点击上面可以查看汇总文档。如果大家有任何疑问或者文中有错误跟疏忽的地方,欢迎大家留言指出,博主看到后会第一时间修改,谢谢大家的支持,更多技术文章尽在网络之路博客,http://ccieh3c.com。
拓扑与说明
某公司的网络架构,这样的架构在目前的网络中是在常见的,假设您接收一个这样的网络,应该如何部署,该实战系列,就是一步一步讲解,如何规划、设计、部署这样一个环境,这里会针对不同的情况给出不同的讲解,比如拓扑中有2个ISP,假设客户需求是,想实现主备的效果,又或者是想负载分担。 DHCP部署在防火墙上面或者是单独的服务器上面又该如何配置部署。
说明:总部使用的是华为的全套设备,包括防火墙、无线、交换机等,而分部使用的是H3C的路由器与交换机,无线还是使用的华为的AP。 总部的架构属于中型企业的架构了,而分部的架构则属于中小型的架构,在工作中都经常会遇到,这里会一步一步讲解,如何进行部署,实现客户的需求,并且总部与分部之间互访,出差员工可以访问总部的资源。这样您在工作中遇到这样的网络架构也就会单独部署了,不用担心不知道如何下手的情况。这里除了一步一步讲解如何配置以外,还会讲解为什么这么配置,实现的效果是什么。
客户需求
1、使用合理的IP子网划分,保证合理性与可扩展性、汇总性、控制性
2、保证冗余性,包括链路冗余与设备冗余
3、安全性,保护重要的部门,除了特定人员可以访问外,其余部门不允许访问,比如财务部,有效的控制病毒、ARP的攻击
4、无线终端,考虑到公司手机与移动电脑增多,增加无线功能,提供给设备连接,要求实现验证功能,而访客区,不进行认证,但不能连接到公司内部,只能访问公司提供的网页服务与Internet连接。
5、保证在正常情况下,访问Internet都是走电信出口,当出现问题后,用网通出去,保证冗余性,需实现自动切换。并且实施NAT技术
6、总部与分部,财务部之间需要互访,必须保证安全性
7、出差员工,可以通过远程访问技术接入到公司内部实现访问特定的资源。
8、设备实现管理,由单独的管理主机访问。
解决思路
1、使用子网划分来对每个部门进行规划,每一个部门单独一个24位的子网断,保证连续性,即使后续有新增加的员工,24位有254个地址,可以保证能正常使用,并且连续性可以方便做汇总、与一些策略的控制。
2、冗余性的实现,可以利用MSTP+VRRP技术实现链路的冗余性与网关的热备功能,并且核心之间链路起链路聚合,提高带宽。
3、安全性的实施,可以利用ACL与端口隔离技术 来进行部署,当然也可以高级点,dot1x、DHCP snooping+DAI+IPSGD等技术。一般情况下用ACL与端口隔离技术即可,除非有特殊需求在使用后续的。
4、使用AC+AP的三层旁挂架构组件无线网络,实现内部网络使用5G接入网络,而访问则使用2.4G频率,并且实现,访客只能访问公司提供的WEB页面与Internet访问,并且要求无线访客区之间实现隔离。
5、利用浮动路由+NQA或者ip-link技术实现自动切换
6、使用IPSEC技术实现总部与分部之间的互访,通过加密验证等机制来保证数据的安全性
7、部署L2TP Over IPSEC实现出差员工能够拨入到内网,访问特定的资源。
8、开启Telnet或者SSH功能,实现访问,并且用ACL限制只能特点的主机访问。
部署思路
1、定义IP地址规划表项,方便配置
2、规划VLAN,以及对应的网关地址
3、实施VLAN配置,并且配置交换机之间的链路为Trunk,接入交换机面对终端为Access,无线部分为Hybrid或者Trunk,接防火墙设备为Access
4、配置IP地址,保证直连可达
5、配置MSTP技术、VRRP、端口聚合技术,保证全网无环路、高可靠性、冗余性存在
6、配置路由实现全网可达
7、配置DHCP服务,以及中继,使得PC能够正常获取地址以及DNS等参数
8、配置无线部分,能够让AP正常上线,以及PC能够连接网络,并且获取地址,实现特定需求
9、防火墙配置策略、NAT、VPN等技术,实现访问Internet、分部,与出差员工可以正常拨入公司内网
10、部署管理,终端管理
11、最终安全策略部署
分部部署思路
1、采用之前定义的IP地址表项与VLAN与接口划分进行配置
2、配置路由,或者采用单臂路由两种方式
3、路由器配置VPN,实现财务部互访,并且AP能够正常关联到总部的AC上面。
下个星期一发布预告
华为 华三中小型企业网络架构搭建 【接口划入对应的VLAN,包括个设备的接口类型定义】
根据情况,可能只发布一篇或者2篇都发布,看大家对该系列需求大不大,如果大家觉得有用的话,可以留言,博主会抽空排版与整理好的。
关于博客资源下载说明
(1)第一种是书籍PDF与视频类,全部放在博客分享,觉得对大家学习有帮助的博主会收集好、然后以博主的经验整理分类后排序好分享出来。
(2)第二种是技术性文章与视频,全部放在公众号(网络之路博客)/B站(网络之路Blog)发布,以博主原创为主,主要分享系列为主,由浅入深的带大家了解工作中常用到的一些网络技术,当然也会分享一些比较经典的案例。
(3)分享资源有涉及到您的利益以及版权问题,请联系博主,24小时候内删除。
学习视频系列(总有您想要的)
Book与实验手册(从初级到高级)
数通系列(路由交换 无线、防火墙VPN等)
实战系列(最贴近企业需求的案例)
想第一时间收到最新更新内容吗,点击获取~~~
(广告)博主自主原创最新实战课程
(广告)远程技术支持(设备调试),有搞不定的找我,价格实惠,为您解决实际工作上的问题
