目录
一、项目背景
二、需求分析
三、拓扑与规划
四、关键配置
4.1 VRRP冗余网关
4.2 Eth-Trunk链路聚合
4.3 DHCP地址池
4.4 ACL访问控制
4.5 NAT地址转换
五、测试验证
5.1 VRRP切换测试
5.2 链路聚合测试
5.3 DHCP测试
5.4 ACL过滤测试
5.5 NAT外网访问测试
5.6 路由状态测试
六、项目总结
一、项目背景
本项目是学校整周实训课程的企业级网络部署实战,独立完成了从需求梳理、规划设计到部署测试的全流程工作。整个网络采用双核心高可用架构,覆盖有线、无线、安全、出口等多个维度,最终各项功能测试通过。以下为原始项目需求描述:
Jan16公司新建了一栋办公大楼,为了满足日常的办公需求,公司决定为财务部、销售部、工程项目部、售后服务部及服务器群建立互联互通的有线网络。其中财务部及销售部位于行政管理子楼,为满足其无线网络服务需要,需单独部署AC,并为每一个部门分配独立AP。工程项目部和售后服务部位于运营实施子楼,需要部署类似的无线网络以满足无线网络服务需求。所有部门客户主机均需自动获取IP地址、网关地址及DNS地址。同时公司还申请了一条外网专线,所有内部主机均能通过该专线访问互联网。由于公司业务要求网络稳定,因此需要做网络相关的冗余部署以确保网络不中断。在公司的服务器区部署了财务专用的FTP服务器,要求只有财务部门主机可以访问,同时还部署了公司官方主页网站,要求外网的客户可以通过公司域名访问公司官网。公司还通过串口专线连接到了分公司的网络,为确保连接安全需要对串口连接进行认证加密。分部和总部之间需要实现全网互通。分部的经理和员工要求划分在不同网段,并且经理有权限可以访问总部的财务专用FTP服务器。分部的所有用户也能使用总部的internet专线访问互联网。
二、需求分析
拿到项目需求后,我先梳理了以下12条技术需求,作为后续规划的依据:
1、为公司财务部、销售部、工程项目部、售后服务部及服务器群分别单独设立vlan,以实现分类网络管理。同时还需为总部所有交换机的管理IP、分部经理和员工分别配置VLAN,以满足网络管理需要。
2、可以采用双核心交换机实现数据的稳定传输,通过冗余设置,避免单点故障。在两台核心交换机之间可以采用eth-trunk技术提高网络连接带宽,并提供冗余网络,实现数据高速转发。
3、为避免单点故障和二层环路,可在交换机间部署多条网络链路,需在所有交换机上开启快速生成树协议。
4、在两台核心交换机上使用VRRP技术为所有客户端提供冗余网关,确保客户数据转发不中断。
5、在核心交换机上部署DHCP服务器,为所有不同部门的客户端提供IP地址、网关及DNS地址,确保所有客户机器能够正常上网。
6、总部和分部的所有内部网络采用OSPF动态路由协议,使内部网络全网互通。
7、出口路由器上设置NAT网络地址转换,使所有内部客户可以通过公网地址正常访问INTERNET。同时设置公司web站点的静态映射,将内部服务器发布到外网。
8、使用ACL技术控制客户对公司财务专用FTP服务器的访问。
9、从总部到分部的链路上使用PPP chap认证,确保数据传输的可靠性和安全性。
10、在分部使用单臂路由实现多网段的互联互通。
11、部署无线网络,通过瘦AP的方式部署不同区域无线网络,以满足不同部门的无线网络服务需求。
12、所有网络设备均部署网络管理密码和SSH远程登陆密码及权限。
三、拓扑与规划
根据需求分析,我设计了以下网络拓扑。整体采用双核心+汇聚+接入三层架构,行政管理子楼和运营实施子楼各自部署独立AC和AP,总部通过出口路由器连接互联网和分公司。
下面是详细的VLAN规划表和IP规划表,我将4个部门、服务器区、分部以及管理网段分别划分了独立网段,确保网络隔离和便于管理。
(1)VLAN 规划
VLAN-ID | VLAN 命名 | 网段 | 用途 |
10 | Cw-sw | 192.168.10.0/24 | 财务部 |
20 | Xs-sw | 192.168.20.0/24 | 销售部 |
30 | Gc-sw | 192.168.30.0/24 | 工程项目部 |
40 | Sh-sw | 192.168.40.0/24 | 售后服务部 |
50 | Server | 192.168.50.0/24 | 服务器区 |
60 | Manager | 192.168.60.0/24 | 分部经理 |
70 | Staff | 192.168.70.0/24 | 分部员工 |
98 | core-sw1 | 192.168.98.1/24 | 核心交换机管理 ip |
99 | core-sw2 | 192.168.99.1/24 | 核心交换机管理 ip |
100 | Core-sw1 | 10.0.1.0/30 | 核心交换机 sw1 和 EG 互联 |
101 | Core-sw2 | 10.0.2.0/30 | 核心交换机 sw2 和 EG 互联 |
(2)IP规划
服务器名称 | 接口 | IP 地址 | 用途 |
财务 FTP 服务器 | eth0 | 192.168.50.10/24 | 财务专用 FTP 服务 |
公司 Web 服务器 | eth0 | 192.168.50.20/24 | 公司官网服务 |
DNS 服务器 | eth0 | 202.1.1.1/24 | 全网 DNS 解析服务 |
EG | S1/0/0-s0/0/1 | 10.0.3.0/30 | 路由器 EG 和 internet 互联 |
EG | S1/0/1-s1/0/1 | 10.0.4.0/30 | EG 和 tofb 互联 |
cs | S1/0/0-s0/0/2 | 10.0.5.0/30 | Cs 和 internet 互联 |
tofb | S1/0/0-s1/0/0 | 10.0.6.0/30 | Tofb 和 fb 互联 |
四、关键配置
整个项目涉及交换机、路由器、无线AC等多类设备的配置,这里选取几个核心技术的配置片段展示。
4.1 VRRP冗余网关
两台核心交换机之间部署VRRP,实现网关冗余。core-sw1作为VLAN10(财务)、VLAN20(销售)、VLAN50(服务器)的主网关,core-sw2作为VLAN30(工程)、VLAN40(售后)的主网关,实现负载分担。同时配置了上行 链路track,当上行链路故障时自动降低优先级触发主备切换。
core-sw1
# VLAN10、20、50 主网关 interface Vlanif 10 vrrp vrid 10 virtual-ip 192.168.10.254 vrrp vrid 10 priority 120 vrrp vrid 10 preempt-mode timer delay 20 vrrp vrid 10 track interface GigabitEthernet 0/0/20 reduced 30 quit interface Vlanif 20 vrrp vrid 20 virtual-ip 192.168.20.254 vrrp vrid 20 priority 120 vrrp vrid 20 preempt-mode timer delay 20 vrrp vrid 20 track interface GigabitEthernet 0/0/20 reduced 30 quit interface Vlanif 50 vrrp vrid 50 virtual-ip 192.168.50.254 vrrp vrid 50 priority 120 vrrp vrid 50 preempt-mode timer delay 20 vrrp vrid 50 track interface GigabitEthernet 0/0/2 reduced 30 quit # VLAN30、40、 备网关 interface Vlanif 30 vrrp vrid 30 virtual-ip 192.168.30.254 vrrp vrid 30 track interface GigabitEthernet 0/0/21 reduced 30 quit interface Vlanif 40 vrrp vrid 40 virtual-ip 192.168.40.254 vrrp vrid 40 track interface GigabitEthernet 0/0/21 reduced 30 quit quit |
core-sw2 配置
# VLAN10、20、50 备网关 interface Vlanif 10 vrrp vrid 10 virtual-ip 192.168.10.254 quit interface Vlanif 20 vrrp vrid 20 virtual-ip 192.168.20.254 quit interface Vlanif 50 vrrp vrid 50 virtual-ip 192.168.50.254 quit # VLAN30、40主网关,实现负载均衡 interface Vlanif 30 vrrp vrid 30 virtual-ip 192.168.30.254 vrrp vrid 30 priority 120 vrrp vrid 30 preempt-mode timer delay 20 quit interface Vlanif 40 vrrp vrid 40 virtual-ip 192.168.40.254 vrrp vrid 40 priority 120 vrrp vrid 40 preempt-mode timer delay 20 quit quit |
4.2 Eth-Trunk链路聚合
核心交换机之间通过GE0/0/23和GE0/0/24两条物理链路绑定为Eth-Trunk1,既增加了带宽,又提供了链路冗余。
core-sw1
sys interface Eth-Trunk 1 description To_core-sw2_Eth-Trunk #配置负载分担模式,基于源MAC分担流量 load-balance src-mac port link-type trunk port trunk allow-pass vlan 10 20 30 40 98 99 undo p t a v 1 quit interface GigabitEthernet 0/0/23 eth-trunk 1 quit interface GigabitEthernet 0/0/24 eth-trunk 1 quit |
core-sw2
sys interface Eth-Trunk 1 description To_core-sw1_Eth-Trunk #配置负载分担模式,基于源MAC分担流量 load-balance src-mac port link-type trunk port trunk allow-pass vlan 10 20 30 40 98 99 undo p t a v 1 quit interface GigabitEthernet 0/0/23 eth-trunk 1 quit interface GigabitEthernet 0/0/24 eth-trunk 1 quit |
4.3 DHCP地址池
在core-sw1和core-sw2上同步部署了四个部门的DHCP地址池,客户端能自动获取IP、网关和DNS,两台核心互为备份确保地址服务不中断。
core-sw1
system-view dhcp enable # 财务部地址池 ip pool CW_POOL gateway-list 192.168.10.254 network 192.168.10.0 mask 255.255.255.0 dns-list 202.1.1.1 excluded-ip-address 192.168.10.1 192.168.10.99 excluded-ip-address 192.168.10.201 192.168.10.253 lease day 30 quit # 销售部地址池 ip pool XS_POOL gateway-list 192.168.20.254 network 192.168.20.0 mask 255.255.255.0 dns-list 202.1.1.1 excluded-ip-address 192.168.20.1 192.168.20.99 excluded-ip-address 192.168.20.201 192.168.20.253 lease day 30 quit # 工程项目部地址池 ip pool GC_POOL gateway-list 192.168.30.254 network 192.168.30.0 mask 255.255.255.0 dns-list 202.1.1.1 excluded-ip-address 192.168.30.1 192.168.30.99 excluded-ip-address 192.168.30.201 192.168.30.253 lease day 30 quit # 售后服务部地址池 ip pool SH_POOL gateway-list 192.168.40.254 network 192.168.40.0 mask 255.255.255.0 dns-list 202.1.1.1 excluded-ip-address 192.168.40.1 192.168.40.99 excluded-ip-address 192.168.40.201 192.168.40.253 lease day 30 quit # 接口开启DHCP interface Vlanif 10 dhcp select global quit interface Vlanif 20 dhcp select global quit interface Vlanif 30 dhcp select global quit interface Vlanif 40 dhcp select global quit |
core-sw2 配置(冗余 DHCP)
system-view dhcp enable # 同步地址池配置 ip pool CW_POOL gateway-list 192.168.10.254 network 192.168.10.0 mask 255.255.255.0 dns-list 202.1.1.1 excluded-ip-address 192.168.10.1 192.168.10.99 excluded-ip-address 192.168.10.201 192.168.10.253 lease day 30 quit ip pool XS_POOL gateway-list 192.168.20.254 network 192.168.20.0 mask 255.255.255.0 dns-list 202.1.1.1 excluded-ip-address 192.168.20.1 192.168.20.99 excluded-ip-address 192.168.20.201 192.168.20.253 lease day 30 quit ip pool GC_POOL gateway-list 192.168.30.254 network 192.168.30.0 mask 255.255.255.0 dns-list 202.1.1.1 excluded-ip-address 192.168.30.1 192.168.30.99 excluded-ip-address 192.168.30.201 192.168.30.253 lease day 30 quit ip pool SH_POOL gateway-list 192.168.40.254 network 192.168.40.0 mask 255.255.255.0 dns-list 202.1.1.1 excluded-ip-address 192.168.40.1 192.168.40.99 excluded-ip-address 192.168.40.201 192.168.40.253 lease day 30 quit # 接口开启DHCP interface Vlanif 10 dhcp select global quit interface Vlanif 20 dhcp select global quit interface Vlanif 30 dhcp select global quit interface Vlanif 40 dhcp select global quit |
4.4 ACL访问控制
在服务器区交换机上配置ACL 3000,只允许财务部(192.168.10.0/24)访问财务FTP服务器,拒绝其他所有部门。
server配置
sys # 高级ACL,仅过滤访问FTP服务器的流量 acl number 3000 # 允许财务部门访问FTP rule 5 permit ip source 192.168.10.0 0.0.0.255 destination 192.168.50.10 0 # 拒绝其他所有访问FTP的流量 rule 10 deny ip destination 192.168.50.10 0 quit interface Ethernet 0/0/1 # 在入方向应用 ACL(过滤发往 FTP 服务器的流量) traffic-filter inbound acl 3000 quit |
4.5 NAT地址转换
出口路由器配置NAT,实现内网访问互联网,web服务器静态映射到公网。
EG配置
acl number 2000 rule 5 permit source 192.168.0.0 0.0.255.255 rule 10 permit source 10.0.1.0 0.0.0.3 rule 15 permit source 10.0.2.0 0.0.0.3 quit nat static global 202.1.1.10 inside 192.168.50.20 interface Serial 1/0/0 nat outbound 2000 nat static enable quit |
五、测试验证
所有配置完成后,我对整个网络进行了12项功能测试,这里展示几项关键测试结果
5.1 VRRP切换测试
关闭core-sw1后,所有VLAN网关自动切换到core-sw2,客户端ping外网不丢包。
5.2 链路聚合测试
测试核心间 Eth-Trunk 链路,断开其中一条物理链路,网络不中断,带宽正常。
5.3 DHCP测试
各VLAN客户端均可自动获取IP地址、网关及DNS,核心切换后可重新从备份核心获取地址。
5.4 ACL过滤测试
财务部PC可正常访问FTP服务器,销售部PC无法访问,安全策略生效。
5.5 NAT外网访问测试
内网 PC 可正常访问外网
外网用户可通过公网地址正常访问公司 Web 服务器。
5.6 路由状态测试
使用财务部 PC ping 分部员工 PC,全网互通,丢包率为 0。
六、项目总结
这次实训一个人把整个网络搭了一遍,先梳理需求画拓扑做规划表,然后配双核心、VRRP、Eth-Trunk、DHCP、ACL、NAT,最后一项项测试全部通过。中间遇到不通就抓包看路由表定位,找到问题再改,没瞎试。做完最大的感受就是,遇到没做过的多查文档、多动手试,总能搞定。对后续工作帮助很大
