2综合配置案例关于本章
2.1 中小型园区/分支出口综合配置举例
2.2 大型园区出口配置示例(防火墙直连部署)
2.3 大型园区出口配置示例(防火墙旁路部署)
2.4 校园敏捷网络配置示例
2.5 轨道交通承载网快速自愈保护技术配置举例
2.6 配置交换机上同时部署ACU2和NGFW的示例
2.1 中小型园区/分支出口综合配置举例
园区网出口简介
园区网出口一般位于企业网内部网络与外部网络的连接处,是内部网络与外部网络之
间数据流的唯一出入口。对于中小型企业来说,考虑到企业网络建设的初期投资与长
期运维成本,一般希望将多种业务部署在同一设备上。企业网络用户一般同时需要访
问Internet和私网VPN,而对于中小型企业来说考虑到建设及维护成本问题,一般租用
运营商Internet网络组建私网VPN。对于部分可靠性要求较高的园区网络,一般考虑部
署两台出口路由器做冗余备份实现设备级可靠性,同时应用链路聚合、VRRP、主备路
由等技术保证园区出口的可靠性。华为AR系列路由器配合华为S系列交换机是中小型
园区网出口设备的理想解决方案。
l园区出口设备需要具备NAT Outbound及NAT Server的功能,实现私网地址和公网地址之间的转换,以满足用户访问Internet或者Internet用户访问内网服务器的需
求。
l园区出口设备需要具备通过Internet构建私网VPN的功能,以满足企业用户各个机构之间私网VPN互通的需求。
l园区出口设备需要具备数据加密传输的功能,以保证数据的完整性和机密性,保障用户业务传输的安全。
l中小型园区出口需要具备可靠性、安全性、低成本、易维护等特点。
配置注意事项
l本配置案例适用于中小型企业园区/分支出口解决方案。
l本配置案例仅涉及企业网络出口相关配置,涉及企业内网的相关配置请参见华为S 系列园区交换机快速配置中的“中小园区组网场景”。
组网需求
某企业总部和分支分别位于不同的城市,地域跨度较远,总部存在A、B两个不同的部
门,分支只有一个部门。现在需要建设跨地域的企业园区网络,需要实现的需求如
下:
l总部和分支都需要实现用户访问Internet的需求。总部划分为A、B两个部门,其中A部门的用户可以访问Internet,但是B部门的用户不能访问Internet;分支所有用户
都可以访问Internet。
l总部有Web服务器,对外提供WWW服务,外网用户可以访问内网服务器。
l总部和分支之间需要通过Internet进行私网VPN互通,通信内容需要有安全保护。
l总部园区出口可靠性要求较高,需要考虑链路级的可靠性和设备级的可靠性。
l分支可以适当降低可靠性要求。
方案介绍
根据用户需求,可以给出如图2-1所示的综合配置解决方案,该方案具备层次化、模块
化、冗余性、安全性的特点,适用于中小型企业/分支的园区网络部署。
图2-1 中小型园区/分支出口综合配置组网图ACC1
Eth-Trunk1CORE
RouterA Eth-Trunk1Eth-Trunk2
Eth-Trunk1GE1/0/0GE1/0/0Web 服务器Eth-Trunk1
OSPF Area 0VRRP VRID1PC5
PC6打印机3Eth-Trunk3
Eth-Trunk4GE1/0/0
GE2/0/0RouterC
RouterE
SwitchA
GE0/0/1
Eth0/0/2
A C
Eth0/0/2GE0/0/5部门部门企业分支
打印机1PC2PC1打印机2
react router switch
PC4PC3
l 在网络的接入层部署华为S2700&S3700交换机(ACC1、ACC2、SwitchA ),在网
络的核心部署华为S5700交换机(CORE ),在园区出口部署华为AR3200路由器
(RouterA 、RouterB 、RouterC )。
l总部采用双AR出口冗余备份方式,保证设备级的可靠性。分支部署一台AR路由器做出口。
l总部核心交换机采用两台S5700交换机做堆叠,保证设备级的可靠性。
l总部接入交换机与核心交换机之间以及核心交换机与出口路由器之间采用Eth-
Trunk方式组网,保证链路级的可靠性。
l总部每个部门业务划分到一个VLAN中,部门间的业务在核心交换机CORE上通过VLANIF三层互通。
l总部核心交换机作为用户及服务器网关,部署DHCP Server为用户分配IP地址。
l分支用户的网关直接部署在出口路由器上。
l总部两个出口路由器之间部署VRRP,保证可靠性。
l总部和分支之间通过Internet构建IPSec VPN进行私网互通,同时保证数据传输的安全性。
l总部两台出口路由器和核心交换机之间部署OSPF,用于发布用户路由,便于后期扩容及维护。
配置思路
采用如下思路部署中小型园区/分支出口综合配置举例:
1.部署总部及分支园区内网
总部:部署堆叠、链路聚合,配置各VLAN及IP地址、部署DHCP Server,实现园
区内网互通。部门内部通过接入层交换机进行二层互通,部门间通过核心交换机
CORE上的VLANIF进行三层互通。
分支:配置接入层交换机及出口路由器的各接口VLAN及IP地址,部署DHCP
Server,实现分支园区内网互通。
2.部署VRRP
为了保证总部核心交换机与两个出口路由器之间的可靠性,在两个出口路由器之
间部署VRRP,VRRP的心跳报文经过核心交换机进行交互。RouterA为Master设
备,RouterB为Backup设备。
为了防止总部RouterA上行链路故障的时候业务断流,将VRRP状态与RouterA的上
行口进行联动,保证上行链路故障时VRRP进行快速倒换。
3.部署路由
为了引导各设备的上行流量,在总部核心交换机上配置一条缺省路由,下一跳指
向VRRP的虚地址,在总部及分支的出口路由器上各配置一条缺省路由,下一跳指
向运营商网络设备的对接地址(公网网关)。
为了引导总部两个出口路由器的回程流量,在两个出口路由器和核心交换机之间
部署OSPF,核心交换机上将所有用户网段发布到OSPF里面,通告给两个出口路
由器。
为了引导外网用户访问Web服务器的流量,需要在总部的运营商路由器上配置两
条目的地址为服务器公网地址的静态路由,下一跳分别指向两个出口路由器的上
行口IP地址。并且为了保证路由和VRRP同步切换,设置下一跳为RouterA的这条
路由优先,当这条路由失效的时候下一跳指向RouterB的路由生效。
4.部署NAT Outbound
为了使内网用户访问Internet,在两台出口路由器的上行口配置NAT,实现私网地
址和公网地址之间的转换。通过ACL匹配A部门的源IP地址,从而实现A部门的用
户可以访问Internet,而B部门的用户不能访问Internet。
5.NAT Server
为了实现外网用户访问内网Web服务器,在两个出口路由器的上行口上配置NAT
Server,实现服务器公网地址和私网地址之间的映射。
6.部署IPSec VPN
为了实现总部和分支之间进行私网VPN互通,在总部出口路由器和分支出口路由
器之间部署IPSec VPN,通过Internet构建IPSec VPN,实现总部和分支之间的安全
通信。
部署总部及分支园区内网所涉及的配置不在本例中给出,请参见华为S系列园区交换机快速配置
中的“中小园区组网场景”。
数据规划
详细的数据规划如表2-1、表2-2、表2-3所示。
表2-1链路聚合接口规划
所有链路聚合采用LACP模式。
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论