Discovery_Network_Design_Chapter_5_CN

思科网络技术学院理事会.–Chapter52思科网络技术学院理事会.目标分析业务目标和技术需求，制定所需的设计设计网络核心层、分布层和接入层设计WAN连接模块和远程办公人员支持设计网络拓扑在网络设计中实施安全性3思科网络技术学院理事会.目录5.1分析需求5.2选择合适的LAN拓扑5.3设计WAN和无线办公支持5.4设计无线网络5.5加强安全性思科网络技术学院理事会.分析业务目标和技术需求5.1.1.4LabActivity:ApplyingDesignContraints列出新设计必须满足的业务目标确定为满足业务目标需要更改或添加的设计确定实现每一项更改所需的技术确定在设计中如何解决每个技术需求确定在最终设计中需包含的设计要素6思科网络技术学院理事会.可扩展性需求策略包含如下建议:设计接入层模块使用可扩展、模块化的设备或群集设备选择路由器或多层交换机，限制广播使用多条链路VLAN尽量只局限于本地配线间5.1.2.4LabActivity:IdentifyingDesignStrategiesforScalability7思科网络技术学院理事会.可用性需求可用性需求:设计可用性策略，提供最大的保护保证电子商务的稳定安全监控系统IP电话系统5.1.3.5LabActivity:IdentifyingAvailabilityStrategies8思科网络技术学院理事会.网络性能需求性能需求:交易处理视频分配和监控IP电话语音质量9思科网络技术学院理事会.安全性需求安全性需求:使用防火墙VPNs入侵防御系统免受病毒、间谍软件和垃圾邮件破坏.管理终端安全物理安全措施保护无线AP5.1.5.2LabActivity:IdentifyingSecurityRequirements10思科网络技术学院理事会.网络设计折中方案设计的取舍:供应商目的支持业务目标，可能会减少其它所需的或必需的网络改进，也可能会使这样的改进变得更加复杂在做出网络设计取舍时，设计师必须首先考虑网络改进对上述业务目标的直接影响思科网络技术学院理事会.设计接入层拓扑接入层需求:为现有的网络设备提供连接创建VLAN，将语音设备、安防监控设备、无线接入设备和常规数据设备隔离开来提供到分布层网络的冗余链路IP电话和无线接入点提供以太网供电(PoE).QoS13思科网络技术学院理事会.现有技术的能力范围现有设备的局限性电源需求5.2.1设计接入层拓扑14思科网络技术学院理事会.分布层需求:提供冗余组件和链路，最小化故障影响。支持高密度路由。体育场中的16个配线间最终可能都会有多条到分布层交换机的上行链路。提供流量过滤。实行QoS机制。提供高带宽连接。采用快速收敛路由协议。实现流量聚集和路由总结。5.2.2设计分布层拓扑15思科网络技术学院理事会.核心层需求:高速连接分布层交换机核心设备之间路由互连高速冗余链路5.2.3设计核心层拓扑核心层专用于高速流量交换；因此不能在此进行数据包过滤。5.2.3.3LabActivity:DesigningtheCoreLayer16思科网络技术学院理事会.逻辑网络最后一步是要完成网络逻辑图的制作.网络逻辑图的制作包括场馆的服务器5.2.4.2LabActivity:CreatingaDiagramoftheFilmCompanyLAN思科网络技术学院理事会.确定远程站点链接确定WAN连接所需的远程站点,包括视频和语音19思科网络技术学院理事会.确定WAN连接所需的远程站点,包括视频和语音在本地城域以太网或其它高速服务部署之前，网络设计师推荐使用帧中继连接远程站点。5.3.1确定远程站点链接20思科网络技术学院理事会.定义流量模式和应用程序的支持远程站点所需的服务包括:访问电子商务和数据库服务IP电话视频监视和监控21思科网络技术学院理事会.终端连接选项备份帧中继链路网络设计师计划使用这些VPN连接作为帧中继专用连接的备份，以应对帧中继链路故障。.支持远程办公人员22思科网络技术学院理事会.逻辑网络需要网络设计师认真选择每个站点的IP地址范围，路由协议的参考思科网络技术学院理事会.设计网络覆盖选项和移动性新设计的一个主要目标是增加无线网络覆盖区域25思科网络技术学院理事会.统一无线和有线解决方案:轻量接入点(LAPs)无线LAN控制器5.4.1设计网络覆盖选项和移动性LAP不是独立设备；它们借助无线控制器获取配置和安全信息26思科网络技术学院理事会.的位置体育场无线现场勘测结果表明，餐厅至少需要两台AP，用于提供高质量的无线覆盖。5.4.2.2LabActivity:SelectingAccessPoints27思科网络技术学院理事会.无线网络中的冗余和弹性无线连接的可用性取决于下列因素:AP的位置AP的信号强度共享AP连接的用户数动态重新配置集中负载均衡用户28思科网络技术学院理事会.编址:第3层漫游控制器管理所有的漫游和隧道通信，所以客户端能在漫游时保留同一IP地址。5.4.4设计WLAN逻辑网络思科网络技术学院理事会.DeterminethesourceandnatureofpotentialthreatsDrawadiagramoftheplacementofsecurityfunctionsandfilters31思科网络技术学院理事会.安全服务主要类别包括:基础架构保护网络安全从保护网络设备开始。如保护基于CiscoIOS软件的路由器、交换机和设备免受直接或间接攻击。安全连接关键是要防止未授权用户访问网络。首先要保证物理网络的安全，其次在访问无线服务时需要验证身份。应分别为体育场员工和访客指派不同的SSID和WLAN。利用VPN或数据加密技术，保证传输数据安全。.检测、防御和缓解威胁防火墙、IDS、IPS和ACL可防御威胁和攻击。ACL和防火墙规则过滤流量，只允许所需的流量进入网络。5.5.1部署安全功能和设备32思科网络技术学院理事会.实施安全服务企业边缘的防火墙和访问控制列表并不能防御网络内部的攻击。根据之前创建的流量图，网络设计师分析以下几点:内部用户访问的资源外部用户访问的资源网络中的访问路径使用集成服务网络设计师应尽量使用集成的服务，如基于IOS的防火墙功能和IDS模块，以减少额外的安全设备。在较大型网络中，则需要使用单独的设备，因为额外的处理开销会拖垮路由器和交换机.5.5.1部署安全功能和设备33思科网络技术学院理事会.设计适时适当的访问过滤应对特殊的网络安全要求防火墙规则设置访问控制列表5.5.2实施访问控制列表和流量过滤34思科网络技术学院理事会.实施访问控制列表和流量过滤防火墙规则集用于创建部署在路由器和防火墙设备上的ACL语句.35思科网络技术学院理事会.部署有如下优点:证明网络中已经实现了安全策略确保在需要更改时，能清楚了解并评估所有允许和拒绝的条件帮助诊断应用程序或网段访问故障5.5.3.3LabActivity:DevelopingACLstoImplementFirewallRuleSets36思科网络技术学院理事会.