设计要求
1、某公司的要求是:
- 必须有一个总公司,分公司至少有2个,若是以后公司发展较好,必须可以做到扩大升级等
- 公司主要有两大业务流量1和2
- 公司内必须有个安全策略中心;
- 公司内可以访问互联网
- 所有的数据业务必须经过安全策略中心
- 总公司去往分公司实现互备,总公司去往互联网也必须是主备结构
拓扑规划与设计
1、根据公司要求我们可以设计一个骨干网络,并且将骨干网络放入AS1中,用来将各个分公司和总公司互联,以及互联网和安全策略中心的互联
2、将总公司放在AS2中,分公司1和2放在AS3和AS4中,安全策略中心是AS5,互联网中心是AS6;
3、总公司内部,必须实现主备分流互为备份,而且DHCP也需要做备份
具体实现过程
企业网三层架构
1、根据公司的要求主要有两大业务,那么就更具两大业务划分出两个VLAN ,VLAN1和VLAN2;(配置的位置在四个交换机上)
2、汇聚层交换机之间的心跳线需要做捆绑
作用:
- VLAN间的通信,防止汇聚层设备成为根设备
- 当出现多条链路故障时,用来做备份
- 当核心层使用OSPF建立邻居时,若是没有心跳线的话,那么邻居的建立可能会出现在汇聚层
3、修改所用交换互联之间的接口模式,并且允许VLAN通过;
接入层
4、在接入层设备将接口划入VLAN
5、配置MSTP防止二层发生环路(配置位置SW1\2\3\4)
6、调整根的位置
SW1
SW2
7、配置热备份网关,实现互备
实现热备份网关的条件:
- 上行链路故障
- 设备故障
8、DHCP设计
方案一:做DHCP中继
方案二:利用DHCP排除地址
核心层
9、配置OSPF,由于模拟器在交换机上无法启用三层接口,之所以只能将接口划入VLAN来实现和路由器之间的互联
注意汇聚层交换机之间VLAN2和VLAN3互联地址在OSPF协议中无需再次建立邻居,之所以在这里我们可以设置为静默接口,减少对交换机的资源消耗
查看OSPF邻居
PC获取地址
路由跟踪从PC1到PC4的
骨干和分支的实现
1、由于骨干网络是BGP和MPLS-VPN,BGP协议是基于TCP封装的,之所以底层协议最好启用OSPF协议;
这里边的R6路由器作为反射器,其中运行BGP协议的路由器有R3、R4、R8、R9、R6路由器,这样设计的优点是:
- 1、可以完美的将BGP路由协议的控制层面和数据层面进行分理,R6主要负责控制层面,而R5和R6路由器重要负责数据层面的转发;
- 2、为了更好的降低R6路由器的数据层面转发,之所以可以将R6路由器设置为末节路由器
2、R3到R9路由器全部运行OSPF协议
3、在AS1中的R3、R4、R6、R8、R9运行IBGP协议,AS2中R1和R2路由器运行BGP协议,其中1和2运行IBGP,1和3运行EBGP,2和4运行EBGP,当然EBGP之间的建邻都是在VRF空间里建立
4、查看BGP的邻居关系
5、建立VPNV4邻居
查看VPNV4邻居
6、为了解决路由黑洞问题,在骨干网的所有路由配置MPLS;
查看R3路由器的LDP邻居
7、创建VRF分离路由器表
R3路由器
查看R3的VPNV4的路由邻居
R4路由器
查看R4路由的VPNV4的邻居
R8路由器
查看R8路由器的VPNV4邻居
R9路由器
查看R9路由器的VPNV4邻居
8、R12路由器是安全策略中心,所有流量必须经安全策略中心;
安全策略中心收发路由原则:由于需要对每个流量进行监控,之所以,各个AS的流量必须进过策略中心
收:各个AS发出的rd
发:本路由器的子接口路由全部发出去
9、由于AS-PATH是防患属性,各个分支的路由进过骨干进入子接口,之后是不能在转发回骨干;
解决思路:
方法2:下发默认路由
方法2:写汇总路由,由于汇总路由可以不写AS-PATH属性
R10路由器的BGP路由表
R1和R2路由器需要将BGP路由引入OSPF,OSPF也得引入BGP,但是BGP路由引入OSPF默认将无法引入,之所以需要在OSPF进程下下发默认
10、访问互联网
需要在策略中心的路由器上配置转换地址100.1.1.1,将10.0.0.0路由转换成100.1.1.1,前提是要互联网下发缺省路由
配置
互联网设备下发默认
在R12上抓取路由器
在连接互联网的接口做NAT转换
11、测试连通性(去互联网)
去分公司2
去往分公司1
选路要求
1、中心去往分公司路由器走左边链路,去往互联网总路由器走右边链路
2、R8和R9路由器为安全策略中的主和备,R3路由器作为分公司的主,R4路由器作为分公司的备,去往互联网,R3作为备份,R4作为主
实现思路
1、R1去往互联网作为备份的话,可以将下发的缺省路由的cost值加大
2、R1去往分支作为主路由器的话,可以分别在R3和R4路由器上写静态路由器,之后将汇总路由重发布进入OSPF协议的时候将R4路由器的cost值加大;
在sw1上查看路由表
3、安全策略中心的主备实现,将去往R9路由器上的缺省路由器的pv属性值修改为100
4、分支去往互联网R8为主设备,R9为备份设备,将重发布给R9路由器的MDE加大
测试
PC1去往互联网
PC1去往分支1
PC1去往分支2