1 背景和企业需求
- 某公司申请了一个C类的IP地址192.128.0.3;
- 但是该公司拥有400台主机,公司想将这些主机平均分布在两层楼进行管理,但是要求400台主机属于同一个子网;
2 需求分析
- 某公司申请了一个C类的IP地址192.128.0.3;
需求分析
- 出口地址为公网IP地址,因为IPv4地址枯竭,所以ce侧出口NAT的方式(CE侧出口一次NAT)来实现通信;
- 在真实环境中,ISP多数会使用CG-NAT地址作为CE侧出口IP地址,即100.64.0.0/10网段的地址;
- 但是该公司拥有400台主机,公司想将这些主机平均分布在两层楼进行管理,但是要求400台主机属于同一个子网
需求分析
- 首先,在主类网络中选择可支持主机数较为接近400的C类网络,可分配网络个数为2^8-2=254个,很显然,个数不够;
- 所以我们需要在原有的掩码为/24的C类网络的基础上,将主机位增加一位,网络位减少一位,此时掩码从/24——>/23,这样可分配的网络个数为2^9-2=510个足够分配给主机使用了;
- 综上,可选的网段 有 192.168.0.0/23 192.168.2.0/23 192.168.4.0/23…
- 那我们这里就选择192.168.2.0/23来作为内网的地址分配给主机使用;之所以不选择192.168.0.0/23是因为该网段包含企业申请的IP地址,可能存在地址冲突风险;
3 项目方案
3.1 方案拓扑
3.2 地址规划
网络类型 | 所属VLAN | 网段 | 网关 | 地址范围 |
---|---|---|---|---|
业务IP | VLAN2 | 192.168.2.0/23 | 192.168.2.1 | 192.168.2.0/24-192.168.3.255/24 |
3.3 方案讲解
- 该企业的网络架构采用传统的三层架构;
- 其中网关部署在核心交换机Core1上,由于企业需求限定400台主机在一个子网,所以我们只需要为他们设计一个网关即可(在本方案中,使用SVI 2 作为400台设备的网关,SVI 2 的IP地址为192.168.2.1/23);
Core1配置
#
vlan 2 //增加VLAN2
#
interface Vlanif2
ip address 192.168.2.1 23
#
- 考虑到IP冲突的情况以及便捷性,我们使用DHCP的方式为400台设备分配IP地址;
Core1配置
#
ip pool vlan2
gateway-list 192.168.2.1 //定义地址池网关
network 192.168.2.0 mask 255.255.254.0 //定义分配范围(自动排除了网关IP)
#
dhcp enable //全局开启DHCP
#
interface Vlanif2
dhcp select global //接口开启DHCP
#
- 考虑到在多数场景中,接入交换机(sw1/sw2)是分布在不同的层或者楼宇中,而核心交换机(Core1)以及出口路由器/防火墙(CE)是集中放置在中心机房;为了配置的便捷性,我们只需要在核心交换机和接入交换机相连接口部署Access vlan 2即可;
Core1配置
#
interface GigabitEthernet0/0/1
port link-type access
port default vlan 2 //缺省VLAN为VLAN 2
#
interface GigabitEthernet0/0/3
port link-type access
port default vlan 2 //缺省VLAN为VLAN 2
#
- 为了保证存在出口流量的回程路由,需要在Core和CE之间起OSPF协议
■ Core除了宣告和Core相连的物理接口对应的SVI之外(这里为SVI 1),还需要宣告内部业务流量对应的SVI 2的;
■ CE除了宣告和Core相连物理接口之外,还需要宣告一条默认路由,来保证出口流量的去程路由;同时自身也要起一条静态路由指向出口;
Core1配置
#
ospf 1
area 0.0.0.0
network 172.16.0.0 0.0.255.255
network 192.168.0.0 0.0.255.255
#
CE配置
#
ospf 1
default-route-advertise always
area 0.0.0.0
network 172.16.0.0 0.0.255.255
#
- CE出口NAT
CE配置
acl number 2000
rule 5 permit 192.168.2.0 mask 23 //匹配出口源流量
#
int g0/0/1
nat outbound 2000 //确定出口
#