主流技术VLAN,STP/MSTP,VRRP,DHCP,ACL,堆叠NAT路由协议策略路由/路由策略网络设备交换机路由器防火墙行为管理入侵检测入侵防御FC交换机规划设计路由交换无线网络网络安全网络优化网络管理/IT综合运维使用负载均衡场景1.出口多链路的负载均衡2.服务器的负载均衡工作原理路由器先构建路由表后基于数据包的目的IP地址进行数据转发交换机基于源Mac地址表构建基于目的mac地址进行数据帧转发入侵检测通过端口镜像复制流量给设备检测既能分析流量又不影响性能一.网络分类1.园区网.数据中心核心是路由交换例如学校医院政府企业园区2.广域网城域网二.三层网络架构出口区内部用户接入公网外部用户客户合作伙伴分支机构远程办公用户等接入内部网络出口策略带宽控制数据中心部署服务器和应用系统的区域为企业内部和外部用户提供数据和应用服务网管运维区部署园区网络管理及运维服务器的区域核心层负责流量的高速转发路哟选择连接园区其他组成部分汇聚层流量汇聚链路和设备冗余策略控制接入层提供接口有线无线安全准入802.1x,端口安全等终端层接入各种终端设备如pc,打印机IP话机手机摄像头等三.路由交换设计1.分区域设计模块化宿舍区教学区办公区2.分层次设计三层架构接入用户接入安全控制汇聚流量汇聚策略FW/IPS核心数据高速转发3.出口路由器实现NAT默认路由多业务接口策略路由智能选路端口映射四.网络设备组网路由器交换机最常有设备防火墙部署于网络出口实现网络隔离和访问控制可将网络分隔成内网外网和DMZ区域IPS入侵防御系统对各类攻击行为进行检测和阻断可串行或旁挂在核心交换机上但是IDS入侵检测系统都是采用旁挂部署上网行为管理对用户的上网行为进行管理例如上班时间不能访问视频网站用迅雷下载等。WAF网页应用防火墙针对Web服务器进行防火常串行部署在web服务器前面。无线控制器统一管理配置无线ap实现用户无线漫游等功能一般旁路部署在核心交换机上。堡垒机实现运维审计例如对登录所执行的所有操作进行录屏内容缓存将被访问的热点资源保存到本地提高内部访问速度减轻出口压力。学校里面使用的比较多FC交换机通过光纤连接存储典型带宽2G/4G/8G/16G/32G;服务器一般fc链存储一边以太网连接业务五.园区网 典型架构六.三层网络架构优点接入层变化对核心层影响小扩展大1.三层架构网关一般在汇聚设备能有效减轻核心交换机的压力降低cpu和带宽的消耗。2.网络局部变更和升级不影响it模块扩展性灵活3.简化了网络设计让架构更加清晰容易理解4.层次化架构模型便于网络管理降低网络运维成本5.可以按照各个层次需求选择网络设备降低总体建设成本缺点网络结构复杂对管理人员技术要求高1.网络连接比较复杂容易产生环路引发广播风暴数据丢包等问题2.专业性相对较强对运维人员能力要求较高需要掌握堆叠vrrp和mstp等技术3.网络文档编制和排错比较繁琐4.管理节点太多运维麻烦配置工作量大5.存在一定厂商绑定6.新业务上线或业务变化需要调整大量接入交换机运维效率低七.物理大二层网络架构优点网络结构简单方便维护管理时延低缺点接入层变化可能影响核心层核心交换机压力较大