27、华为 华三中小型企业网络架构搭建 【总部项目实施全方面总结】

（1）IP地址规划总结
说明：在规划IP地址的时候，一定要考虑好连续性，比如192.168.2.X~10.X，一般情况下配合VLAN来规划，一个VLAN一个网段，当然具体的网段范围可以根据项目实际的需求决定，如果是小于200的话，则用24位的，如果大于200，接近254的话，那么则要考虑后后续为了方便扩展，最好是23位的，这样的话，当后续有客户加入或者人数增加，那么也不会导致需要重新修改IP 范围。 保证灵活性，之前说过了一般情况下是跟VLAN 配合规划的，这样的话方便对VLAN 内或者VLAN间的做控制。汇总性，由于是连续在一起的网段，可以通过汇总，在路由方面部署的时候可以节省空间，比如静态路由条目，OSPF的LSA信息。

（2）VLAN、接口模式、Trunk规划总结
说明：VLAN的规划通常情况下是一个部门一个VLAN来规划的，这样的好处是，当某个部门的某台机子出现了故障，那么它影响的只会是那个部门的范围，而不会影响整个网络。 对于接口模式来说，面向用户的接口都为Access接口，然后划入到对应的VLAN中即可，这里需要注意的是，如果是接无线设备的话，要考虑好，是否有多个SSID，或者是AC+AP架构，如果是的话，则需要用Hybrid或者Trunk来放行，比如AC+AP架构的话，那么Hybrid的PVID定义为管理AP的VLAN，也就是给AP分配地址的VLAN，而业务VLAN则是AC上面定义的那个，放行这2个即可。Trunk的话，则是上行链路连接需要通过Trunk连接，默认情况下只允许VLAN 1通过，其余的不能通过，这时候可以全部通过，或者明细放行，放行的流量则是下面有流量通过的VLAN都需要放行。

（3）IP地址配置总结
说明：配置IP地址没什么可以需要注意的，基本上就是体力活 敲键盘即可，注意的是掩码跟规划的时候要一样，细致小心点就可以了。

（4）冗余技术部署总结【MSTP 、VRRP、 链路聚合】
说明：冗余技术在该项目中部署的有MSTP、VRRP、链路聚合功能，MSTP部署的时候，需要注意实例、name保持一致，因为MSTP是计算的hash值来判断是否同一个域，所以确保一致即可，可以刷配置。另外MSTP的根与备份根定义在核心层或者汇聚层上面，主根与备份根部署的方案根据在设计的时候，VRRP的Master与Backup一致规定即可。
VRRP需要注意的地方就是，优先级的定义，建议Master定义为105，默认为100，这样的好处是，当某一条链路出现故障的时候，优先级减低默认是10，当然也可以规定，但是容易被疏忽了，导致不必要的麻烦。另外对安全性较高的话，可以部署认证方案，track技术需要注意的地方，如果VRRP的Master的地址与接口地址一样的话，那么则不能部署track技术，所以建议部署的时候，建议主IP为252、备用IP为253，虚拟IP为254这样。这里还需要注意的是，确保VRRP与MSTP的根与Master一致。
链路聚合的部署，注意接口下默认配置即可，不要配置，所有的配置在加入到链路聚合组后，然后在接口组里面做配置就行。

（5）路由技术部署总结
说明：该项目中部署的是静态路由，由于我们使用的是VRRP技术+静态路由，所以结构非常简单，没什么需要考虑的，如果网络环境比较负责，切换机制也够复杂的话，建议使用OSPF这些动态路由协议来动态收敛即可。

（6）DHCP服务器部署总结
说明：DHCP服务部署，这里是在Windows服务器上面部署的，只要在定义的时候把地址池范围、网关、DNS参数确认正确即可，需要注意的是，如果跨越了三层环境来获取地址，就需要部署DHCP中继功能，只有这样才能保证下面的PC获取到DHCP的服务。

（7）部署无线总结【AC+AP，二三层漫游、优化等】
说明：在无线部署这块，需要注意的地方比较多点 1、AP上线的问题，如果上线的话需要记录AP的MAC或序列号SN。 2、WLAN-ESS接口，必须untagged接口 3、其他策略都可以默认，比如流量模板、射频模板等，安全模板的话可以根据需求来定义是Open还是psk或者dot1x等。 4、服务集模板：用来关联流量模板、安全模板、WLAN-ESS接口、业务接口，SSID等策略。 5、ap射频，如果是双频的话，0代表2.4G，1代表5G，可以同时支持。 6、AP射频关联射频模板与服务集 7、最后下放策略
8、转发模式分为本地转发与隧道模式，一般情况下为默认的直连转发即可。 9、端口隔离与ACL的调用都是在服务集上面调用的。 10、MAC认证与dot1x都是在WLAN-ESS接口调用的。 11、二层漫游：注意的问题，只要SSID与安全策略一致即可。 12、三层漫游：注意的地方，WLAN-ESS接口untagged需要的VLAN，另外接入交换机这些也需要放行流量。当然也要保证SSID与安全策略一致。 13、优化功能都是在AC上面部署的，最终下放即可。 14、负载均衡模式，可以根据实际需求是否需要部署负载均衡。

（8）服务器部署总结
说明：防火墙上面需要注意的地方也比较多，比如策略的放行、NAT的部署，包括访问Internet、NAT Server映射，VPN部署，双线路接入技术。
1、策略的部署，需要根据需求进行部署，比如是否需要加入时间参数，控制哪个时间段可以上网，是否控制某一个网段不受限制，这个都要考虑好策略部署的顺序，如果顺序不对导致策略的匹配不一样。 2、NAT的包括2个模块，一个是源NAT，用来访问Internet的，它部署完毕后，还需要用策略来放行才行，否则流量通过不了防火墙。 另外一个就是NAT Server了，NAT Server 可以直接在全局输入即可，如果是多个ISP的话，需要加zone参数，否则一个服务器只能映射在一个IP地址上面。 VPN的部署分为2大块，一个是L2TP over ipsec，另外一个是GRE over ipsec，L2TP的话比较简单，只要开启服务，然后定义用户名等即可，注意的是IKE与IPSEC的策略一定要是3DES、SHA这样的，这样方便PC客户端与移动客户端接入，匹配主流策略。 Gre over ipsec策略的话，注意两边是否都是固定公网IP地址，如果是的话，则可以用公网源目IP地址做Tunnel的源和目的，如果不是的话，则必须通过建立环回口来建立，然后总部这边部署动态模板。 最后一个问题就是VPN与NAT共存的时候，必须在NAT中deny掉VPN的流量，不然VPN可以建立。流量通信不了，因为NAT的处理过程比VPN要优先，但是GRE over ipsec不存在该问题。双ISP技术的部署，要考虑好ip-link技术与策略路由的部署，然后应用到内网接口【注意ACL的匹配，除了匹配需要按照规划好的走的网段以外，还需要记住不能影响内网之间的互通，如果内网之间需要通过防火墙互通的话则必须用ACL deny掉】。 如果内网用户希望通过公网地址或公网域名访问内部服务器的话，则必须部署域内NAT，另外在策略路由上面必须注意deny掉内网访问服务器的流量，这样才能正常转换，否则走策略路由了，不能正常的完成域内NAT转换。

（9）管理部署总结
说明：在内部部署管理策略是有必要的，因为在网络稳定后，管理人员不可能要修改配置或者其他的都要往机房跑，所以要用一个管理的电脑或者终端统一管理这些设备，也只能该终端进行管理。 1、定义多个用户名，不同的权限，比如A只能Telnet、SSH访问，并且权限级别2， 而管理员帐号可以登陆Console口，WEB等。 2、开启用户名与密码认证，而不是简单的认证功能。 3、定义ACL来限制特定的源来访问。

（10）接入层与无线安全策略部署总结
说明：安全策略部署这块是非常重要的，因为通常情况下，对于攻击来说，外网对内网的攻击难度较大，而内网之间的攻击要容易的多，很多攻击都是来自内网，所以我们必须保证内网的安全，必须部署对应的技术。1、部署端口隔离 ，那么就算一个用户中毒了，或者进行攻击，也不会影响该VLAN内的其他PC，访问。 2、DHCP Snooping部署解决的是，防止用户私接DHCP 服务器，导致内网地址获取到不正确的网段，影响整个网络的运行。 3、DAI与ip source guead功能，是在部署了DHCP Snooping功能后，然后利用动态生成的表项来防止ARP攻击与IP/MAC地址欺骗功能，也可以实现内网用户只能通过内网DHCP获取到地址后才能访问公司内网网络与外网，其余部分访问不了。 4、MAC地址与dot1x的部署， 如果内网需要对接入设备进行控制的话，那么dot1X与MAC地址是最可靠的，MAC地址对于客户来说是透明的，只要客户的网卡的MAC地址与定义的一致即可接入到网络，没有任何限制，但是注意的是，该过程需要统一记录才行，否则很容易导致有些AP上不了网。 而dot1x就比较简单点，通过用户名密码来验证，通过后即可加入到内网中，访问内网资源或者是公网，如果认证失败则部署在Guest VLAN，我们通常只允许访问公网。 另外一个优势是可以用外部数据库进行联动，比如Radius，然后AD等。这样不需要重复的输入用户名密码了。
5、无线部分的安全，一般就是黑白名单，它是在用户接入的时候检查定义的MAC地址表，如果接入用户正确的话则允许接入，否则拒绝。 端口隔离技术可以实现无线之间的用户不能互访，这样也很大的保护了内网的安全，因为有时候有访客提供访问，但是只能访问公网环境，隔离的话就有效的防止来宾用户如果从外面的网络感染了病毒或者是装了某些不安全的软件，如果没开启隔离技术，容易被攻击，开启后则有效的阻挡了攻击。另外可以部署暴力破解、IMCP泛洪等攻击，这样的话防止SSID的密码破解。MAC认证与dot1x的作用 跟有线是一样的，所以就不在提到。