中小型企業(yè)網(wǎng)絡(luò)架構(gòu)搭建總部項(xiàng)目實(shí)施全方面總結(jié)

IP192.168.2.X~10.XVLAN20025423人數(shù)增加，那么也不會導(dǎo)致需要重新修改IP范圍。保證靈活性，之前了一般情況下是跟VLAN配合規(guī)劃的，這樣的話方便對VLAN內(nèi)或者VLAN間的做控制。匯總性，由于是連續(xù)在一起的網(wǎng)段，可以通過匯總，在路由方面部署的時(shí)候可以節(jié)省空間，比如靜態(tài)路由條目，OSPF的LSA信息。說明：VLAN的規(guī)劃通常情況下是一個(gè)部門一個(gè)VLAN來規(guī)劃的，這樣的好處是，當(dāng)某個(gè)部門的某臺機(jī)子出現(xiàn)了故AccessVLAN，AC+APHybridTrunkAC+APHybridPVIDAPVLANAPVLANVLANAC2個(gè)即可。Trunk的話，則是上行鏈路連接需要通過Trunk連接，默認(rèn)情況下只允許VLAN1通過，其余的不能通過，這時(shí)候可以全部通過，或者明細(xì)放行，放行的流量則是下面有流量通過的VLAN都需要放行。冗余技術(shù)部署總結(jié)【MSTP、VRRPMSTP、VRRP、鏈路聚合功能，MSTPnameMSTP是計(jì)算的hashMSTP的根與備份根定義在層或者匯聚層上面，主根與備份根部署的方案根據(jù)在設(shè)計(jì)的時(shí)候，VRRP的Master與Backup一VRRPMaster105100，這樣的好處是，當(dāng)某一條鏈路出現(xiàn)故障的時(shí)候，優(yōu)先級減低默認(rèn)是10，當(dāng)然也可以規(guī)定，但是容易被疏忽了，導(dǎo)致不必要的麻煩。另外對安全性較高的話，可以部署認(rèn)證方案，trackVRRPMastertrackIP252IP253IP254需要注意的是，確保VRRP與MSTP的根與Master一致。鏈路聚合的部署，注意接口下默認(rèn)配置即可，不要配置所有的配置在加入到鏈路聚合組后，然后在接口組里面做配的，如果網(wǎng)絡(luò)環(huán)境比較負(fù)責(zé)，切換機(jī)制也夠復(fù)雜的話，建議使用OSPF這些動態(tài)路由協(xié)議來動態(tài)收斂即可。說明：DHCPWindowsDNS數(shù)確認(rèn)正確即可，需要注意的是，如果了三層環(huán)境來獲取地址，就需要部署DHCP中繼功能，才能保證下面的PC獲取到DHCP的服務(wù)。說明：在無線部署這塊，需要注意的地方比較多點(diǎn)1、AP上線的問題，如果上線的話需要記錄AP的MAC或序列號SN。2、WLAN-ESS接口，必須untagged接口3、其他策略都可以默認(rèn)，比如流量模板、射頻模板等，安全模板的話可以根據(jù)需求來定義是Open還是psk或者dot1x等。4、服務(wù)集模板：用來關(guān)聯(lián)流量模板、安全模板、WLAN-ESS接口、業(yè)務(wù)接口，等策略。5、ap射頻，如果是雙頻的話，0代表2.4G，1代表5G，可以同時(shí)支持。6、AP射頻關(guān)聯(lián)射頻模板與服務(wù)集7、最后下放策略8、轉(zhuǎn)發(fā)模式分為本地轉(zhuǎn)發(fā)與隧道模式，一般情況下為默認(rèn)的直連轉(zhuǎn)發(fā)即可。9、端口與ACL的調(diào)用都是在服務(wù)集上面調(diào)用的。10、MAC認(rèn)證與dot1x都是在WLAN-ESS接口調(diào)用的。11、二層漫游：注意的問題，只要與安全策略一致即可。 另外接入交換機(jī)這些也需要放行流量。當(dāng)然也要保證與安全策略一致。13、優(yōu)化功能都是在AC上面部署的，最終下放即可。14、負(fù)載均衡模式，可以根據(jù)實(shí)際需求是否需要部署負(fù)載均衡。網(wǎng)段不受限制，這個(gè)都要考慮好策略部署的順序，如果順序不對導(dǎo)致策略的匹配不一樣。2、NAT的包括2個(gè)模塊，一個(gè)是源NAT，用來Internet的，它部署完畢后，還需要用策略來放行才行，否則流量通過不了。NATServerNATServerISPzoneIP地址上面。的部署分為2大塊，一個(gè)是L2TPoveripsecGREoveripsec，L2TPIKEIPSEC3DES、SHAPC客戶端與移動客戶端接入，匹配主流策略。Greoveripsec策略的話，注意兩邊是否都是固定公網(wǎng)IP地址，如果是的話，則可以用公網(wǎng)源目IP地址做Tunnel的源和目的，如果不是的話，則必須通過建立環(huán)回口來建立，然后總部這邊部署動態(tài)模板。最后一個(gè)問題就是 與NAT共存的時(shí)候，必須在NAT中deny掉 可以建立。流量通信不了，因?yàn)镹AT的處理過程比 要優(yōu)先，但是GREoveripsec不存在該問題。雙ISP技術(shù)的部署，要考慮好ip-link技術(shù)與策略路由的部署，然后應(yīng)用到內(nèi)網(wǎng)接口【注意ACL域內(nèi)NAT，另外在策略路由上面必須注意deny掉內(nèi)網(wǎng)服務(wù)器的流量，這樣才能正常轉(zhuǎn)換，否則走策略路由了，不能正常的完成域內(nèi)NAT轉(zhuǎn)換。1、定義多個(gè)用戶名，不同的權(quán)限，比如A只能net、SSH，并且權(quán)限級別2，而管理員帳號可以登陸Console口，WEB等。2、開啟用戶名與認(rèn)證，而不是簡單的認(rèn)證功能。3、定義ACL來限制特定的源來。離，那么就算一個(gè)用戶了，或者進(jìn)行，也不會影響該VLAN內(nèi)的其他PC，。2、DHCPSnooipsourceguead功能，是在部署了DHCPSnoo功能后，然后利用動態(tài)生成的表項(xiàng)來防止ARP與IP/MAC地址功能，也可以實(shí)現(xiàn)內(nèi)網(wǎng)用戶只能通過內(nèi)網(wǎng)DHCP獲取到地址后才能公司內(nèi)網(wǎng)網(wǎng)絡(luò)與，其余部分不了。4、MAC地址與dot1x的部署，如果內(nèi)網(wǎng)需要對接入設(shè)備進(jìn)行控制的話，那么dot1X與絡(luò)，沒有任何限制，但是注意的是，該過程需要統(tǒng)一記錄才行，否則很容