1 拓扑与说明             

 

2、【实战中提升自己】华为 华三中小型企业网络架构搭建 【ip地址规划、VLAN划分以及基础配置】_Core

某公司的网络架构,这样的架构在目前的网络中是在常见的,假设您接收一个这样的网络,应该如何部署,该实战系列,就是一步一步讲解,如何规划、设计、部署这样一个环境,这里会针对不同的情况给出不同的讲解,比如拓扑中有2个ISP,假设客户需求是,想实现主备的效果,又或者是想负载分担。DHCP部署在防火墙上面或者是单独的服务器上面又该如何配置部署。


  作者:网络之路一天  首发公众号:网络之路博客(ID:NetworkBlog)


 2具体划分图表    

 

1、IP地址划分,使用子网划分来对每个部门进行规划,每一个部门单独一个24位的子网段,保证连续性,即使后续有新增加的员工,24位有254个地址,可以保证能正常使用,并且连续性可以方便做汇总、与一些策略的控制。

       部门

           IP网段

            网关

       访客厅

         192.168.19.0/24

         192.168.19.254

      高层人员

        192.168.20.0/24

         192.168.20.254

        财务

        192.168.21.0/24

         192.168.21.254

       生产部

        192.168.22.0/24

         192.168.22.254

      业务部

        192.168.23.0/24

         192.168.23.254

    出差员工VPN网段

        192.168.24.0/24

             /

       服务器集群

        192.168.88.0/24

         192.168.88.254

                      说明:服务器地址定义为192.168.88.251,该服务器充当DNS、HTTP、DHCP服务器

       管理网段

        192.168.1.0/24

         192.168.1.254

                   说明:所有设备的管理地址都为固定,方便管理,无线AP可以通过动态获取。

      分部业务部

        172.16.2.0/24

         172.16.3.254

      分部无线

        172.16.3.0/24

         172.16.3.254

                                    说明:无线管理VLAN为VLAN1,地址段为172.16.1.0

      分部财务

        172.16.4.0/24

         172.16.4.254

      分部管理层

         172.16.5.0/24

         172.16.5.254

   核心交换机与出口防火墙连接

        192.168.100.0/24

          /

      DX  ISP分配地址

        202.100.1.1~4

          202.100.1.1

      WT  ISP分配地址

        61.128.1.1~4

         61.128.1.1

       分部ISP

           ADSL

            /


IP规划表

2、VLAN划分


                   部门

                  VLAN ID

                  访客厅

                    19

                  高层人员

                    20

                  财务

                    21

                 生产部

                    22

                 业务部

                    23

                服务器集群

                    88

              核心交换机之间与防火墙

                    100

               管理VLAN

                     1

                                                 其余VLAN 保留

IP地址与VLAN虽然是最基础最基础的内容,但是确实整个网络前期最重要的规划,如果规划的不好,后期的麻烦非常大,比如扩展、修改的情况,所以,在一个网络的规划中,一定要保证使用合理的IP子网划分,保证合理性与可扩展性、汇总性、控制性,包括VLAN。(这里管理vlan建议采用非vlan 1)


 ! VLAN配置以及接口划分,与上联接口配置Trunk,只允许特定的VLAN通过    

说明:这里以访客厅、高层人员、财务为例,生产部、业务部这里就不讲解了,配置方法与前面3个一模一样。

 3 3.1 访客厅需要配置的VLAN     

访客厅为VLAN 19,另外访客厅还有无线AP与VLAN 1的管理流量需要通过,所以放行的VLAN为1,19

system-view
[FKT]vlan 19
说明:这里定义了一个VLAN为19,因为默认VLAN1已经存在了,19是该访客厅流量通过的。

PC接入接口
[FKT]port-group 1
[FKT-port-group-1]group-member Ethernet 0/0/2 to Ethernet 0/0/22
[FKT-port-group-1]port link-type access
[FKT-port-group-1]port default vlan 19

说明:port-group的作用就是,把多个接口加入到一个组中,然后集中配置策略,这样可以简化配置,这里配置了将E0/0/2-22号接口都定义为Access接口,划入VLAN 19中,默认为Hybrid端口
接无线AP接口
interface e0/0/1
port hybrid tagged vlan 19

(hybrid为华为H3C比较常见的一种方式,如果换成思科的那就只能是trunk方式,那么hybrid的换成trunk的配置则为port trunk allow-pass vlan 19,效果是一样的

说明:接无线AP的接口,必须允许2个VLAN 通过,一个为VLAN 1,一个为VLAN 19,默认情况下VLAN1就允许通过,而且不打标签,VLAN 1为AP的管理流量,AP获得地址后需要通过该IP地址与AC进行通信协商隧道的,而VLAN 19则是业务流量,是PC访问外网或者内部流量转发的,所以必须放行2个VLAN

上联接口【连接核心1与2的接口】
[FKT]port-group 2
[FKT-port-group-2]group-member GigabitEthernet 0/0/1 to GigabitEthernet 0/0/2
[FKT-GigabitEthernet0/0/2]port link-type trunk
[FKT-port-group-2]port trunk allow-pass vlan 1 19

说明:Group的作用与上面一样,这里定义2个上联接口为Trunk,并且允许了VLAN 1与19的流量通过。G0/0/1连接核心1,G0/0/2连接核心2

 3 3.2 高层人员配置的VLAN    

高层人员VLAN 为20,另外访客厅还有无线AP与VLAN 1的管理流量需要通过,所以放行的VLAN为1,20

说明,配置思路与访客厅一样,作用效果 也一样,参考访客厅的注释即可。
system-view
[boss]vlan 20
[boss]port-group 1
[boss-port-group-1]group-member e0/0/2 to e0/0/22
[boss-port-group-1]port link-type access
[boss-port-group-1]port default vlan 2

[boss]int e0/0/1
[boss-Ethernet0/0/1]port hybrid tagged vlan 20

[boss]port-group 2
[boss-port-group-2]group-member GigabitEthernet 0/0/1 to g0/0/2
[boss-port-group-2]port link-type trunk
[boss-port-group-2]port trunk allow-pass vlan 1 20

 3 3.3 财务需要配置的VLAN    

说明: 财务VLAN 为21,VLAN 1的管理流量需要通过,所以放行的VLAN为1,21 ,注意财务是没有无线的,其余的与访客厅,高层人员类似

system-view

[caiwu]vlan 21

[caiwu]port-group 1
[caiwu-port-group-1]group-member Ethernet 0/0/1 to e0/0/22
[caiwu-port-group-1]port link-type access
[caiwu-port-group-1]port default vlan 21

[caiwu]port-group 2
[caiwu-port-group-2]group-member g0/0/1 to g0/0/2
[caiwu-port-group-2]port link-type trunk
[caiwu-port-group-2]port trunk allow-pass vlan 1 21

特别建议,建议在上联交换机的接口上面,定义一个description,它的作用可以让您更加知道该接口接口连接的哪,方便后续排错、或者查看。

[FKT]int g0/0/1
[FKT-GigabitEthernet0/0/1]description connection to Core-A g0/0/24
这里的描述表示,就是该接口连接的核心A的G0/0/24号接口。

 3 3.4 核心层 A需要配置的VLAN以及接口   

由于案例这里只给出访客厅、高层人员、财务作为举例,所以只创建VLAN 19~21,而生产部与业务部是一样的配置,所以节省资源,就没配置了。

[Core-A]vlan batch 19 to 21,

说明:批量创建了VLAN 19~21,这里必须包含下面接入层所有的VLAN,因为,下面交换机都是连接到了核心A和B上面,所以需要创建所有VLAN,来总结所有的VLAN流量。

[Core-A]interface g0/0/24
[Core-A-GigabitEthernet0/0/24]description connection to fkt-g0/0/1
[Core-A-GigabitEthernet0/0/24]port link-type trunk
[Core-A-GigabitEthernet0/0/24]port trunk allow-pass vlan 1 19

说明:该接口是连接访客厅的交换机,做了一个描述 description ,然后允许了vlan 1与19的流量通过,因为访客厅只有VLAN 1与19的流量通过。

[Core-A]interface g0/0/23
[Core-A-GigabitEthernet0/0/23]description connection to boss-g0/0/2
[Core-A-GigabitEthernet0/0/23]port link-type trunk
[Core-A-GigabitEthernet0/0/23]port trunk allow-pass vlan 1 20

说明:该接口是连接boss的交换机,做了一个描述 description ,然后允许了vlan 1与20的流量通过,因为访客厅只有VLAN 1与20的流量通过。

[Core-A]int g0/0/21
[Core-A-GigabitEthernet0/0/21]port link-type trunk
[Core-A-GigabitEthernet0/0/21]port trunk allow-pass vlan 1 21
[Core-A-GigabitEthernet0/0/21]description connection to caiwu-g0/0/1

说明:该接口是连接财务的交换机,做了一个描述 description ,然后允许了vlan 1与21的流量通过,因为访客厅只有VLAN 1与21的流量通过。

特别建议:建议在重要的接口做description,这样只要一看就知道连接哪,并且标明了接口,很容易避免以后忘记接口接哪了,看下配置即可。

 3 3.5 核心B需要配置的VLAN以及接口

由于案例这里只给出访客厅、高层人员、财务作为举例,所以只创建VLAN 19~21,而生产部与业务部是一样的配置,所以节省资源,就没配置了。
[Core-B]vlan batch 19 to 21

说明:批量创建了VLAN 19~21,这里必须包含下面接入层所有的VLAN,因为,下面交换机都是连接到了核心A和B上面,所以需要创建所有VLAN,来总结所有的VLAN流量。

[Core-B]int g0/0/24
[Core-B-GigabitEthernet0/0/24]description connection to FKT g0/0/2
[Core-B-GigabitEthernet0/0/24]port link-type trunk
[Core-B-GigabitEthernet0/0/24]port trunk allow-pass vlan 1 19

说明:该接口是连接访客厅的交换机,做了一个描述 description ,然后允许了vlan 1与19的流量通过,因为访客厅只有VLAN 1与19的流量通过。

[Core-B]int g0/0/23
[Core-B-GigabitEthernet0/0/23]port link-type trunk
[Core-B-GigabitEthernet0/0/23]port trunk allow-pass vlan 1 20
[Core-B-GigabitEthernet0/0/23]description connection to boss g0/0/1
说明:该接口是连接boss的交换机,做了一个描述 description ,然后允许了vlan 1与20的流量通过,因为访客厅只有VLAN 1与20的流量通过。

[Core-B]int g0/0/22
[Core-B-GigabitEthernet0/0/22]description connection to caiwu g0/0/2
[Core-B-GigabitEthernet0/0/22]port link-type trunk
[Core-B-GigabitEthernet0/0/22]port trunk allow-pass vlan 1 21

说明:该接口是连接财务的交换机,做了一个描述 description ,然后允许了vlan 1与21的流量通过,因为访客厅只有VLAN 1与21的流量通过。

特别建议:建议在重要的接口做description,这样只要一看就知道连接哪,并且标明了接口。
【这里Core-A与B之间的两条链路还未配置,这是因为待会在配置聚合的时候在一起配置,那个是聚合用的】

 3 3.6 出口防火墙与核心交换机之间的接口划分     

分析:核心交换机与出口防火墙之间,是一个三角形的结构,在交换机上面肯定是做接口划分到VLAN,然后起VLAN接口,与防火墙进行通信。 而防火墙则有两种办法与交换机通信,一种是也通过VLAN接口进行通信,第二种则是通过三层口与三层交换机之间通信。 推选第一种比较好,这种结构比较简单,路由配置起来也明确。而第二种方法则需要配置2个VLAN,然后2个网段与防火墙进行通信。

3.6.1 Core-A配置
[Core-A]vlan 100
说明:该100是用来单独连接防火墙的
[Core-A]interface g0/0/22
[Core-A-GigabitEthernet0/0/22]port link-type access
[Core-A-GigabitEthernet0/0/22]port default vlan 100
[Core-A-GigabitEthernet0/0/22]description connection to FW g0/0/8
说明:把接口划分到100中,做了一个描述,说明连接防火墙的 g0/0/8接口

3.6.2 Core-B配置
[Core-B]interface g0/0/21
[Core-B-GigabitEthernet0/0/21]port link-type access
[Core-B-GigabitEthernet0/0/21]port default vlan 100
[Core-B-GigabitEthernet0/0/21]description connection to FW G0/0/7
说明:把接口划分到100中,做了一个描述,说明连接防火墙的 g0/0/7接口3.6.3 FW配置 
system-view
[USG-GW]portswitch batch GigabitEthernet 0/0/7 to 0/0/8
说明:该命令的含义就是把三层接口切换为二层接口,默认为三层接口

[USG-GW]vlan 100
[USG-GW-vlan-100]port GigabitEthernet 0/0/7 to 0/0/8
说明:创建了VLAN 100,并且把G0/0/7~8加入了VLAN 100中

 3 3.7 核心交换机与服务器集群交换机的配置     

3.7.1 核心交换机A与B 
[Core-A]vlan 88
[Core-A]int g0/0/20
[Core-A-GigabitEthernet0/0/20]description connection to server g0/0/2
[Core-A-GigabitEthernet0/0/20]port link-type trunk
[Core-A-GigabitEthernet0/0/20]port trunk allow-pass vlan 1 88
说明:这里配置Trunk,是因为为了后续方便管理服务器交换机,如果不需要管理的话,则可以直接通过Access接口即可。

[Core-B]vlan 88
[Core-B]int g0/0/20
[Core-B-GigabitEthernet0/0/20]port link-type trunk
[Core-B-GigabitEthernet0/0/20]port trunk allow-pass vlan 1 88
说明:这里配置Trunk,是因为为了后续方便管理服务器交换机,如果不需要管理的话,则可以直接通过Access接口即可。

3.7.2 服务器集群交换机配置
system-view
[Cluster Server]vlan 88

[Cluster Server]port-group 1
[Cluster Server-port-group-1]group-member g0/0/1 to g0/0/2
[Cluster Server-port-group-1]port link-type trunk
[Cluster Server-port-group-1]port trunk allow-pass vlan 1 88
[Cluster Server-port-group-1]description connection to Core-A-B
说明:第一个port-group是定义了连接核心交换机的接口为Trunk,并且允许1与88通过

[Cluster Server]port-group 2
[Cluster Server-port-group-2]group-member e0/0/1 to e0/0/2
[Cluster Server-Ethernet0/0/2]port link-type access
[Cluster Server-Ethernet0/0/2]port default vlan 88
说明:该2个接口是连接服务器用的,划入了对应的VLAN 88。

 4 IP地址配置与测试                      

   

4.1 关于接入层交换机的配置
说明:由于接入层交换机属于二层交换机,并不需要配置IP地址,只需要配置对应的管理地址即可,管理地址这块在后续在进行。
4.2 核心交换机IP配置
分析:在IP地址规划那块,已经规划好了PC与服务器等对应的网关都为192.168x.254,这个网关地址可不是随意定义在哪个交换机上面就可以的,建议是平分定义,当然也可以不定义,后续有VRRP虚拟出来,VRRP是可以直接使用接口地址的,所以没必要浪费一个IP地址来做接口地址,所以这里采用的方案是分摊,比如VLAN 19的网关在Core-A上面,而VLAN 20的则在Core-B上面,依次类推。这样的结果就是配合VRRP技术来实现负载分担,并且配合MSTP技术实现链路分担,后续实现这块会有详细分析。
4.2.1 Core-A 地址配置
[Core-A]interface vlan 19
[Core-A-Vlanif19]ip address 192.168.19.254 24

[Core-A]int vlan 20
[Core-A-Vlanif20]ip address 192.168.20.253 24

[Core-A-Vlanif20]int vlan 21
[Core-A-Vlanif21]ip address 192.168.21.254 24

[Core-A-Vlanif20]int vlan 88
[Core-A-Vlanif88]ip address 192.168.88.253 24

[Core-A]interface vlan 1
[Core-A-Vlanif1]ip address 192.168.1.254 24

[Core-A]interface vlan 100
[Core-A-Vlanif100]ip address 192.168.100.253 24

4.2.2 Core-B地址配置
[Core-B]interface vlan 19
[Core-B-Vlanif19]ip address 192.168.19.253 24

[Core-B-Vlanif19]int vlan 20
[Core-B-Vlanif20]ip address 192.168.20.254 24

[Core-B-Vlanif20]int vlan 21
[Core-B-Vlanif21]ip address 192.168.21.253 24

[Core-B-Vlanif21]int vlan 88
[Core-B-Vlanif88]ip address 192.168.88.254 24

[Core-B]interface vlan 1
[Core-B-Vlanif1]ip address 192.168.1.253 24

[Core-B]interface vlan 100
[Core-B-Vlanif100]ip address 192.168.100.254 24
说明:可以看到Core-A与B互为分担,这里比如VLAN 19的网关在A上面,B则是另外一个地址,而VLAN 20则是B为网关,A为一个普通地址。这是为了后续做VRRP规划好。

4.3 防火墙接口配置
分析:在防火墙中需要定义2个地址,一个是连接核心交换机的,也就是VLAN 100的地址,而另外一个为出接口地址,配置为公网地址,后续提供内网访问外网的服务,以及外网通过映射访问内部服务器等。需要注意的是,在防火墙中 有区域的概念,我们必须把接口划入到对应的区域,后续我们都是在这些区域间做策略。
[USG-GW]interface vlan 100
[USG-GW-Vlanif100]ip address 192.168.100.252(后面交换机VRRP修改,改成了251) 24

[USG-GW]interface g0/0/1
[USG-GW-GigabitEthernet0/0/1]ip address 202.100.1.2 24

[USG-GW]int g0/0/2
[USG-GW-GigabitEthernet0/0/2]ip address 61.128.1.2 24

[USG-GW]firewall zone trust
[USG-GW-zone-trust]add interface Vlanif 100

[USG-GW]firewall zone name ISP_DX
[USG-GW-zone-isp_dx]set priority 1
[USG-GW-zone-isp_dx]add interface g0/0/1

[USG-GW]firewall zone name ISP_LT
[USG-GW-zone-isp_lt]set priority 2
[USG-GW-zone-isp_lt]add interface g0/0/2
说明:该配置了对应的IP地址以外,并且还配置了把对应接口加入对应Zone,我们一般把内网接口加入Trust,而外网接口加入Untrust,对外提供服务的则加入DMZ等。需要注意的是Trust是系统默认存在的,所以只需要添加接口即可,而后面2个是自定义的,必须先定义优先级然后在添加接口,因为我们这里部署的是双出口。当然也可以加入到Untrust中。

测试连通性

2、【实战中提升自己】华为 华三中小型企业网络架构搭建 【ip地址规划、VLAN划分以及基础配置】_Ethernet_02


2、【实战中提升自己】华为 华三中小型企业网络架构搭建 【ip地址规划、VLAN划分以及基础配置】_Ethernet_03


2、【实战中提升自己】华为 华三中小型企业网络架构搭建 【ip地址规划、VLAN划分以及基础配置】_IP_04

可以看到核心交换机之间的访问是没有任何问题了,所有的VLAN 接口都能访问

2、【实战中提升自己】华为 华三中小型企业网络架构搭建 【ip地址规划、VLAN划分以及基础配置】_Ethernet_05

这里是测试与防火墙的连通性,这里已经正常通信了,至此整个IP地址配置完成。

(PS:理解这个整个网络至少需要NP级别知识点,还需要防火墙、无线知识点 推荐mbd.pub/o/wlzl/work)


 5 总结                      

    总结:至此整个VLAN的部署已经接口划分完毕,这里注意的地方就是Trunk,默认情况下只允许VLAN 1的流量通过,而其余流量是不允许的,所以需要允许需要的流量通过,如果不确定哪些VLAN的流量要通过,可以直接 permit all。配置IP地址难度并不大,需要结合后续的技术考虑一些因素进去,比如后续要部署VRRP,我们必须让它网关均匀的分配到2台核心交换机上面,使得它们分担整个网络的流量,如果都往一个交换机上面跑,则另外一台没有利用起来,而且这一台压力也大。注意,如果使用模拟器的朋友,并且使用的是USG5500是不能切换二层,模拟器有问题,切换二层数据包直连都不通哦!!!!

2、【实战中提升自己】华为 华三中小型企业网络架构搭建 【ip地址规划、VLAN划分以及基础配置】_Ethernet_06

作者:网络之路一天  首发公众号:网络之路博客(ID:NetworkBlog)