前面基本网络知识已经能够满足中小企业的需要了,今天来看下一些基本网络组网架构。
首先网络是分层架构,从接入层到汇聚层再到核心层,然后接入运营商出口。内部包括有线网络、无线网络,出口一般可以使用路由器或者防火墙进行安全防护。
一、网络拓扑架构
根据企业规模可以省略汇聚层直接接入层到核心交换层。一般现在企业都有包括有线网络和无线网络两块,因此需要结合无线组网实现企业布局。出口处使用防火墙进行安全防护,运营商线路可以为PPPOE拨号或者专线公网IP连接互联网,这些知识都已经学习过了。网络架构不是一成不变的,也不是必须一致的,需要根据企业现实情况灵活变通。
拓扑图
下面分层大概讲述下涉及的网络知识点。
1.1 网络规划
实际部署中我一般是建议先进行网络规划再进行部署。包括网段划分、VLAN规划、设备管理地址。
网段划分一般使用一个VLAN对应一个网段对应一个子网。比如VLAN 10 ,使用192.168.10.0/24。视实际情况可以按照功能划分比如有线网络和无线网络,监控网络、门禁考勤设备网络,也可以按照部门进行划分,如财务、人事、业务等进行划分。
我们的设备不是单单部署上去就可以了,我们需要对设备进行巡检或者配置变更,之前学习过可以通过console线或者远程SSH进行管理,这些也需要配置对应的IP地址,因此我们在规划网段时为网络设备划分一个单独的网段进行管理。
示例:为了后期方便进行子网汇聚可以划分到一个大的子网,比如一个20为的子网包括了N个24位的子网。
网段划分
1.1 Internet层网络
规划好之后可以开始实际配置,可以从接入层开始也可以自上而下进行配置。这里我分别列出不同层次可能涉及的网络知识点。
我们需要上网,一般需要向运营商申请宽带,运营商分配一条线路和一个光猫到我们公司内部,我们的出口防火墙或者路由器连接光猫进行配置上网。上网模式一般有几种,常见的是拨号上网 (运营商分配一个PPPOE拨号的账号密码,我们出口设备通过PPPOE拨号进行上网),专线(专线价格较贵,一般有固定公网IP,直接配置公网IP,配置路由指向公网网关地址即可实现上网)。一般拨号的网络上下行不对等,比如下行100M,上行大概是10M左右,价格便宜;专线一般上下行一致,比如都是10M,网络质量较好,但价格昂贵。
关键技术点:
1、PPPOE拨号
2、NAT
3、路由配置(默认路由、BGP、MPLS VPN等)
4、防火墙安全区域与策略配置
1.2 核心层网络
核心层是数据转发的最重要的层次,一般建议网关可以配置在性能较强的核心交换机上,如果有无线组网的可以旁挂AC无线控制器。这里需要分配地址与出口设备互联,可以选择二层互联或者三层互联,然后通过默认路由指向出口设备的接口地址。
涉及的关键技术:
1、VLAN划分
2、二层网络接口划分(trunk、access)
3、DHCP地址分配
4、一些端口安全或者隔离配置需求
1.3 接入层网络
接入层主要为终端提供网络接入服务,包括有线和无线网络,需要配置与上层的二层接口配置,终端接入VLAN划分。
接入交换机也需要配置默认路由指向网关。交换机下需要划分VLAN和接口。
POE交换机和普通交换机一致,但是多了一个POE供电的配置需要启用,有一些设备默认关闭POE供电功能,需要手动开启。
完成后测试DHCP、网关、出口、以及到互联网是否正常。
关键技术点:
1、VLAN配置
2、互联接口配置(trunk、access)
3、默认路由配置、交换机管理地址配置、POE功能启用(如果有)
4、端口安全配置
5、STP生成树配置,如果网络中配置了冗余链路
最后还有一个很重要的,对设备管理如果使用远程SSH,需要在所有设备上启用SSH server,配置aaa认证的账号密码。
总结:典型的小型企业组网大概如上,进行分层、划分网段、自上而下进行各网络功能的配置,最终进行验证测试,上面涉及的网络知识点目前都已经学习完毕,请参考之前的文章。
本文由mdnice多平台发布