轉(zhuǎn)載自微信公眾號(hào)：網(wǎng)絡(luò)之路博客公眾號(hào)

 說明 前提            

   首發(fā)就從實(shí)戰(zhàn)開始吧，這個(gè)系列是之前在給某個(gè)機(jī)構(gòu)做內(nèi)部培訓(xùn)講解的時(shí)候?qū)懙囊粋€(gè)實(shí)戰(zhàn)內(nèi)容，從拓?fù)湓O(shè)計(jì)到地址規(guī)劃、以及網(wǎng)絡(luò)需求、為什么需要用到這些技術(shù)做了全面的分析，大部分都可以用ENSP來模擬，想深入學(xué)習(xí)的朋友一定不要錯(cuò)過。（后面有提問，有興趣的朋友可以參加哦，一方面可以增加自己思考能力，為什么要這樣做，也可以把不懂的詢問博主）

 1 拓?fù)渑c說明             

 
某公司的網(wǎng)絡(luò)架構(gòu)，這樣的架構(gòu)在目前的網(wǎng)絡(luò)中是在常見的，假設(shè)您接收一個(gè)這樣的網(wǎng)絡(luò)，應(yīng)該如何部署，該實(shí)戰(zhàn)系列，就是一步一步講解，如何規(guī)劃、設(shè)計(jì)、部署這樣一個(gè)環(huán)境，這里會(huì)針對(duì)不同的情況給出不同的講解，比如拓?fù)渲杏?個(gè)ISP，假設(shè)客戶需求是，想實(shí)現(xiàn)主備的效果，又或者是想負(fù)載分擔(dān)。DHCP部署在防火墻上面或者是單獨(dú)的服務(wù)器上面又該如何配置部署。

說明：總部使用的是華為的全套設(shè)備，包括防火墻、無線、交換機(jī)等，而分部使用的是H3C的路由器與交換機(jī)，無線還是使用的華為的AP。 總部的架構(gòu)屬于中型企業(yè)的架構(gòu)了，而分部的架構(gòu)則屬于中小型的架構(gòu)，在工作中都經(jīng)常會(huì)遇到，這里會(huì)一步一步講解，如何進(jìn)行部署，實(shí)現(xiàn)客戶的需求，并且總部與分部之間互訪，出差員工可以訪問總部的資源。這樣您在工作中遇到這樣的網(wǎng)絡(luò)架構(gòu)也就會(huì)單獨(dú)部署了，不用擔(dān)心不知道如何下手的情況。這里除了一步一步講解如何配置以外，還會(huì)講解為什么這么配置，實(shí)現(xiàn)的效果是什么。

 2 客戶需求          

1、使用合理的IP子網(wǎng)劃分，保證合理性與可擴(kuò)展性、匯總性、控制性
2、保證冗余性，包括鏈路冗余與設(shè)備冗余
3、安全性，保護(hù)重要的部門，除了特定人員可以訪問外，其余部門不允許訪問，比如財(cái)務(wù)部，有效的控制病毒、ARP的攻擊
4、無線終端，考慮到公司手機(jī)與移動(dòng)電腦增多，增加無線功能，提供給設(shè)備連接，要求實(shí)現(xiàn)驗(yàn)證功能，而訪客區(qū)，不進(jìn)行認(rèn)證，但不能連接到公司內(nèi)部，只能訪問公司提供的網(wǎng)頁服務(wù)與Internet連接。
5、保證在正常情況下，訪問Internet都是走電信出口，當(dāng)出現(xiàn)問題后，用網(wǎng)通出去，保證冗余性，需實(shí)現(xiàn)自動(dòng)切換。并且實(shí)施NAT技術(shù)
6、總部與分部，財(cái)務(wù)部之間需要互訪，必須保證安全性
7、出差員工，可以通過遠(yuǎn)程訪問技術(shù)接入到公司內(nèi)部實(shí)現(xiàn)訪問特定的資源。
8、設(shè)備實(shí)現(xiàn)管理，由單獨(dú)的管理主機(jī)訪問。

 3 解決思路           

 1、使用子網(wǎng)劃分來對(duì)每個(gè)部門進(jìn)行規(guī)劃，每一個(gè)部門單獨(dú)一個(gè)24位的子網(wǎng)斷，保證連續(xù)性，即使后續(xù)有新增加的員工，24位有254個(gè)地址，可以保證能正常使用，并且連續(xù)性可以方便做匯總、與一些策略的控制。
2、冗余性的實(shí)現(xiàn)，可以利用MSTP+VRRP技術(shù)實(shí)現(xiàn)鏈路的冗余性與網(wǎng)關(guān)的熱備功能，并且核心之間鏈路起鏈路聚合，提高帶寬。
3、安全性的實(shí)施，可以利用ACL與端口隔離技術(shù) 來進(jìn)行部署，當(dāng)然也可以高級(jí)點(diǎn)，dot1x、DHCP snooping+DAI+IPSGD等技術(shù)。一般情況下用ACL與端口隔離技術(shù)即可，除非有特殊需求在使用后續(xù)的。

4、使用AC+AP的三層旁掛架構(gòu)組件無線網(wǎng)絡(luò)，實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)使用5G接入網(wǎng)絡(luò)，而訪問則使用2.4G頻率，并且實(shí)現(xiàn)，訪客只能訪問公司提供的WEB頁面與Internet訪問，并且要求無線訪客區(qū)之間實(shí)現(xiàn)隔離。
5、利用浮動(dòng)路由+NQA或者ip-link技術(shù)實(shí)現(xiàn)自動(dòng)切換
6、使用IPSEC技術(shù)實(shí)現(xiàn)總部與分部之間的互訪，通過加密驗(yàn)證等機(jī)制來保證數(shù)據(jù)的安全性
7、部署L2TP Over IPSEC實(shí)現(xiàn)出差員工能夠撥入到內(nèi)網(wǎng)，訪問特定的資源。
8、開啟Telnet或者SSH功能，實(shí)現(xiàn)訪問，并且用ACL限制只能特點(diǎn)的主機(jī)訪問。

 4 部署思路         

 1、定義IP地址規(guī)劃表項(xiàng)，方便配置
2、規(guī)劃VLAN，以及對(duì)應(yīng)的網(wǎng)關(guān)地址
3、實(shí)施VLAN配置，并且配置交換機(jī)之間的鏈路為Trunk，接入交換機(jī)面對(duì)終端為Access，無線部分為Hybrid或者Trunk，接防火墻設(shè)備為Access
4、配置IP地址，保證直連可達(dá)
5、配置MSTP技術(shù)、VRRP、端口聚合技術(shù)，保證全網(wǎng)無環(huán)路、高可靠性、冗余性存在
6、配置路由實(shí)現(xiàn)全網(wǎng)可達(dá)
7、配置DHCP服務(wù)，以及中繼，使得PC能夠正常獲取地址以及DNS等參數(shù)
8、配置無線部分，能夠讓AP正常上線，以及PC能夠連接網(wǎng)絡(luò)，并且獲取地址，實(shí)現(xiàn)特定需求
9、防火墻配置策略、NAT、VPN等技術(shù)，實(shí)現(xiàn)訪問Internet、分部，與出差員工可以正常撥入公司內(nèi)網(wǎng)
10、部署管理，終端管理
11、最終安全策略部署

 5 分部署思路       

1、采用之前定義的IP地址表項(xiàng)與VLAN與接口劃分進(jìn)行配置
2、配置路由，或者采用單臂路由兩種方式
3、路由器配置VPN，實(shí)現(xiàn)財(cái)務(wù)部互訪，并且AP能夠正常關(guān)聯(lián)到總部的AC上面。

（文章涉及到的知識(shí)點(diǎn)需要有NP知識(shí)點(diǎn)+防火墻+無線+VPN才能全部理解，推薦幾本教材，有覺得讀起來吃力的童鞋，可以看看自己不懂的）

 6 提問 （想提高自己，從獨(dú)立思考考試）    

   假如你剛接到這樣的拓?fù)涓枨螅谶@個(gè)網(wǎng)絡(luò)中，如果客戶那邊根本沒有獨(dú)立DHCP服務(wù)器存在，那么2臺(tái)核心的DHCP該如何配，會(huì)出現(xiàn)什么問題，有什么技術(shù)可以解決。（大家可以暢所欲言）

 7 學(xué)習(xí)思路與資料全面打包（按學(xué)習(xí)順序排列好，總有您想要的）       

學(xué)習(xí)地址：http://ccieh3c.com/?page_id=390