中小型企業(yè)網(wǎng)絡架構搭建總部項目實施全方面總結

IP192.168.2.X~10.XVLAN20025423人數(shù)增加，那么也不會導致需要重新修改IP范圍。保證靈活性，之前了一般情況下是跟VLAN配合規(guī)劃的，這樣的話方便對VLAN內或者VLAN間的做控制。匯總性，由于是連續(xù)在一起的網(wǎng)段，可以通過匯總，在路由方面部署的時候可以節(jié)省空間，比如靜態(tài)路由條目，OSPF的LSA信息。說明：VLAN的規(guī)劃通常情況下是一個部門一個VLAN來規(guī)劃的，這樣的好處是，當某個部門的某臺機子出現(xiàn)了故AccessVLAN，AC+APHybridTrunkAC+APHybridPVIDAPVLANAPVLANVLANAC2個即可。Trunk的話，則是上行鏈路連接需要通過Trunk連接，默認情況下只允許VLAN1通過，其余的不能通過，這時候可以全部通過，或者明細放行，放行的流量則是下面有流量通過的VLAN都需要放行。冗余技術部署總結【MSTP、VRRPMSTP、VRRP、鏈路聚合功能，MSTPnameMSTP是計算的hashMSTP的根與備份根定義在層或者匯聚層上面，主根與備份根部署的方案根據(jù)在設計的時候，VRRP的Master與Backup一VRRPMaster105100，這樣的好處是，當某一條鏈路出現(xiàn)故障的時候，優(yōu)先級減低默認是10，當然也可以規(guī)定，但是容易被疏忽了，導致不必要的麻煩。另外對安全性較高的話，可以部署認證方案，trackVRRPMastertrackIP252IP253IP254需要注意的是，確保VRRP與MSTP的根與Master一致。鏈路聚合的部署，注意接口下默認配置即可，不要配置所有的配置在加入到鏈路聚合組后，然后在接口組里面做配的，如果網(wǎng)絡環(huán)境比較負責，切換機制也夠復雜的話，建議使用OSPF這些動態(tài)路由協(xié)議來動態(tài)收斂即可。說明：DHCPWindowsDNS數(shù)確認正確即可，需要注意的是，如果了三層環(huán)境來獲取地址，就需要部署DHCP中繼功能，才能保證下面的PC獲取到DHCP的服務。說明：在無線部署這塊，需要注意的地方比較多點1、AP上線的問題，如果上線的話需要記錄AP的MAC或序列號SN。2、WLAN-ESS接口，必須untagged接口3、其他策略都可以默認，比如流量模板、射頻模板等，安全模板的話可以根據(jù)需求來定義是Open還是psk或者dot1x等。4、服務集模板：用來關聯(lián)流量模板、安全模板、WLAN-ESS接口、業(yè)務接口，等策略。5、ap射頻，如果是雙頻的話，0代表2.4G，1代表5G，可以同時支持。6、AP射頻關聯(lián)射頻模板與服務集7、最后下放策略8、轉發(fā)模式分為本地轉發(fā)與隧道模式，一般情況下為默認的直連轉發(fā)即可。9、端口與ACL的調用都是在服務集上面調用的。10、MAC認證與dot1x都是在WLAN-ESS接口調用的。11、二層漫游：注意的問題，只要與安全策略一致即可。 另外接入交換機這些也需要放行流量。當然也要保證與安全策略一致。13、優(yōu)化功能都是在AC上面部署的，最終下放即可。14、負載均衡模式，可以根據(jù)實際需求是否需要部署負載均衡。網(wǎng)段不受限制，這個都要考慮好策略部署的順序，如果順序不對導致策略的匹配不一樣。2、NAT的包括2個模塊，一個是源NAT，用來Internet的，它部署完畢后，還需要用策略來放行才行，否則流量通過不了。NATServerNATServerISPzoneIP地址上面。的部署分為2大塊，一個是L2TPoveripsecGREoveripsec，L2TPIKEIPSEC3DES、SHAPC客戶端與移動客戶端接入，匹配主流策略。Greoveripsec策略的話，注意兩邊是否都是固定公網(wǎng)IP地址，如果是的話，則可以用公網(wǎng)源目IP地址做Tunnel的源和目的，如果不是的話，則必須通過建立環(huán)回口來建立，然后總部這邊部署動態(tài)模板。最后一個問題就是 與NAT共存的時候，必須在NAT中deny掉 可以建立。流量通信不了，因為NAT的處理過程比 要優(yōu)先，但是GREoveripsec不存在該問題。雙ISP技術的部署，要考慮好ip-link技術與策略路由的部署，然后應用到內網(wǎng)接口【注意ACL域內NAT，另外在策略路由上面必須注意deny掉內網(wǎng)服務器的流量，這樣才能正常轉換，否則走策略路由了，不能正常的完成域內NAT轉換。1、定義多個用戶名，不同的權限，比如A只能net、SSH，并且權限級別2，而管理員帳號可以登陸Console口，WEB等。2、開啟用戶名與認證，而不是簡單的認證功能。3、定義ACL來限制特定的源來。離，那么就算一個用戶了，或者進行，也不會影響該VLAN內的其他PC，。2、DHCPSnooipsourceguead功能，是在部署了DHCPSnoo功能后，然后利用動態(tài)生成的表項來防止ARP與IP/MAC地址功能，也可以實現(xiàn)內網(wǎng)用戶只能通過內網(wǎng)DHCP獲取到地址后才能公司內網(wǎng)網(wǎng)絡與，其余部分不了。4、MAC地址與dot1x的部署，如果內網(wǎng)需要對接入設備進行控制的話，那么dot1X與絡，沒有任何限制，但是注意的是，該過程需要統(tǒng)一記錄才行，否則很容