XXX公司网络规划和部署

需求：

1.公司总部出口防火墙部署负载均衡。

2.公司总部与分公司两种联通方式：

a、通过在总公司和分公司部署ipsec vpn（总公司是主备模式）连通.

b、通过租用移动运营商的线路连通，以本方案为主。

c、分公司不可以访问总公司2号楼的所有部门。

d、无线设备不可访问分公司。

3、总公司每一栋楼部署独立的AC控制器，分公司不做无线部署。

注：a、无线访问不可以访问公司的ftp和web服务器。

b、无线访问划分访客wifi和内部company，业务vlan分开。

4、汇聚层部署vrrp，汇聚层与核心层多点连通，多点冗余。

5、每一栋楼占用一个ospf区域，1号楼从area11开始。

6、每一栋楼按需分配vlan从100开始。

7、dhcp服务器双备份，每台服务器只分配一半的地址，前十个地址保留。

8、总公司和分公司之间用isis连接bgp联通，总公司部署ospf协议，分公司也是部署ospf协议。

vlan规划：

vlanid	网段	用途
2	172.16.1.0/24	用于管理接入层交换机
3	10.0.0.0/23	用于管理ap
4	172.16.2.0/24	用于管理接入层交换机
5	10.0.2.0/23	用于管理ap
110	10.0.10.0/23	用于1-SW-1-1连接销售部的终端设备
120	10.0.20.0/23	用于1-SW-1-2连接售后部的终端设备
130	10.0.30.0/23	用于2-SW-1-1连接研发部的终端设备
140	10.0.40.0/23	用于2-SW-1-2连接财务部的终端设备
150	10.0.50.0/23	用于SW-BRANCH-3-1连接测试部的终端设备
160	10.0.60.0/23	用于SW-BRANCH-3-1连接市场调查部终端设备
170	10.0.70.0/23	用于1-AP-1连接总公司1号楼访客的移动终端
180	10.0.80.0/23	用于1-AP-1连接总公司1号楼内部的移动终端
190	10.0.90.0/23	用于2-AP-1连接总公司2号楼访客的移动终端
200	10.0.100.0/23	用于2-AP-1连接总公司2号楼内部的移动终端
1000	192.168.0.0/28	用于SW-3-1连接SW-3-2
1001	192.168.1.0/28	用于SW3-1连接dhcp1服务器
1002	192.168.2.0/28	用于核心层连接1号楼的汇聚层1号交换机
1003	192.168.3.0/28	用于核心层连接1号楼的汇聚层2号交换机
1004	192.168.4.0/28	用于核心层连接2号楼的汇聚层1号交换机
1005	192.168.5.0/28	用于核心层连接2号楼的汇聚层2号交换机
1006	192.168.6.0/28	用于核心层连接1号2号防火墙
1007	192.168.7.0/28	用于核心层连接1号2号防火墙
1008	192.168.1.16.0/28	用于SW-3-2连接dhcp2服务器
1009	192.168.9.0/28	用于出口防火墙连接dmz交换机（即sw-4-1）
1010	192.168.200.0/24	用于SW-4-1连接dmz区域设备
1011	192.168.10.0/28	用于出口防火墙连接AR1路由器
1012	192.168.12.0/28	用于1-SW-2-1连接1-AC-1
1013	192.168.12.16/28	用于2-SW-2连接2-AC-2
1014	192.168.0.18/28	用于分公司SW-BRANCH-1连接FW-BRANCH-1

端口互连表：

设备规划表：

设备名称	设备型号	ip地址	登录账号	登录密码
FW1	USG6000	172.16.102.1/32	panboyu	pan@12345
FW2	USG6000	172.16.102.2/32	panboyu	pan@12346
FW-BRANCH-1	USG6000	172.16.107.1/32	panboyu	pan@12347
AR1	AR1220	172.16.102.4/32	panboyu	pan@12348
DHCP1	AR2220	172.16.101.3/32	panboyu	pan@12349
DHCP2	AR2220	172.16.101.4/32	panboyu	pan@12350
SW-4-1	S5700	172.16.102.3/32	panboyu	pan@12351
SW-3-1	S5700	172.16.101.1/32	panboyu	pan@12352
SW-3-2	S5700	172.16.101.2/28	panboyu	pan@12353
1-AC-1	AC6005	172.16.100.5/32	panboyu	pan@12354
2-AC-1	AC6005	172.16.100.6/32	panboyu	pan@12355
1-SW-2-1	S5700	172.16.100.1/32	panboyu	pan@12356
1-SW-2-2	S5700	172.16.100.2/32	panboyu	pan@12357
1-SW-1-1	S3700	172.16.1.11/24	panboyu	pan@12358
1-SW-1-2	S3700	172.16.1.12/24	panboyu	pan@12359
1-SW-1-3	S3700	172.16.1.13/24	panboyu	pan@12360
2-SW-2-1	S5700	172.16.100.3/32	panboyu	pan@12361
2-SW-2-2	S5700	172.16.100.4/32	panboyu	pan@12362
2-SW-1-1	S3700	172.16.2.11/24	panboyu	pan@12363
2-SW-1-2	S3700	172.16.2.12/24	panboyu	pan@12364
2-SW-1-3	S3700	172.16.2.13/24	panboyu	pan@12365
SW-BRANCH-1	S5700	172.16.106.1/32	panboyu	pan@12366

本文案的所有说明和代码均基于本拓扑图和源于本拓扑图：

技术说明：

防火墙负载均衡：

如图所示，两台FW的业务接口都工作在三层，上下行分别连接二层交换机（实际拓扑中出口是连接了带二层接口的路由器，省略了交换机这配置。）。上行的两台交换机分别连接到不同的运营商，其中ISP1分配给企业的IP地址为100.0.0.0/28，ISP2分配给企业的IP地址为200.0.1.0/28。两台FW以负载分担方式工作，核心交换机1的流量去往FW1，核心交换机2的流量去往FW2。正常情况下，FW_A的两个端口和FWB的两个端口会做一个负载均衡。当其中一台FW出现故障，另外一台FW转发全部业务，或者一条出口链路down时，另一条备用链路顶替，保证业务不中断和网络高可靠性能。

特点：

1、多链路负载均衡：华为防火墙支持将出口流量均匀地分发到多个ISP链路上，实现带宽分担，从而提高网络的性能和可用性。

2、链路监测和故障转移：华为防火墙可以实时监测各个链路的状态，如果某个链路发生故障或变得高延迟，防火墙会自动将流量转移到其他正常的链路上，以确保网络的连通性。

3、智能链路选择：华为防火墙可以根据预设的策略或条件，智能地选择合适的链路进行流量分发。例如，可以根据链路的负载情况、带宽容量或者服务级别来决定流量的分发方式。

4、流量优先级和策略控制：华为防火墙支持对流量进行优先级和策略的控制。管理员可以根据不同的需求和业务优先级，调整流量的优先级，确保关键业务的可用性和性能。

5、高可用性和故障恢复：华为防火墙的出口负载均衡功能支持多设备的互备，当一台设备故障时，另一台设备可以接管流量分发的任务，确保系统的高可用性和故障恢复能力。

vrrp：

VRRP（Virtual Router Redundancy Protocol，虚拟路由器冗余协议）是一种用于提供网络设备冗余性和容错性的协议。VRRP 允许多个路由器组成一个 VRRP 组，其中一个路由器作为主路由器，其他路由器作为备份路由器。下面是对VRRP协议的详细介绍：

1. 主备关系：VRRP 协议中的路由器被组织成一个主备关系。主路由器负责转发数据包，备份路由器处于待命状态。如果主路由器故障，备份路由器中的一个会自动接管主路由器的功能，确保网络的连通性。
2. 路由器组：几个使用 VRRP 协议的路由器组成一个 VRRP 组。每个 VRRP 组有一个虚拟 IP 地址，用于作为默认网关地址给局域网中的主机使用。
3. 选举算法：VRRP 协议通过选举算法来选择主路由器。每个路由器都有一个优先级值，优先级高的路由器将成为主路由器。如果备份路由器的优先级与主路由器相同，那么根据它们的 IP 地址大小来决定主备关系。
4. VRRP 报文：VRRP 协议通过 VRRP 报文进行通信。主路由器定期发送 VRRP 报文来宣告自己的存在，其他路由器则接收这些报文并维护 VRRP 组的状态。
5. 心跳检测：主路由器通过定期发送 VRRP 报文来宣告自己的存在，备份路由器则根据它们是否收到主路由器的报文来判断主路由器是否故障。如果备份路由器在一定的时间内没有收到主路由器的报文，那么它会自动变成新的主路由器。
6. 冗余性和容错性：通过使用 VRRP，当主路由器故障时，备份路由器可以立即接管主路由器的功能，保持网络的连通性。这种冗余性和容错性使得网络设备能够更可靠地提供服务，减少网络故障造成的影响。

总结：VRRP 协议通过主备关系和选举算法来实现路由器的冗余和容错。它允许多个路由器组成一个 VRRP 组，其中一个是主路由器，其他是备份路由器。主路由器负责转发数据包，备份路由器处于待命状态，并能够在主路由器故障时自动接管功能，保持网络的连通性。通过使用 VRRP，可以提供更可靠的网络服务。

mstp：

MSTP（Multiple Spanning Tree Protocol，多重生成树协议）是一种用于在交换机网络中实现冗余性和增加带宽利用率的协议。MSTP 是基于 IEEE 802.1Q 标准的生成树协议的改进版本，它能够将交换机网络划分成多个区域，每个区域可以独立地计算生成树。下面是对 MSTP 协议的详细介绍：

1. 区域划分：MSTP 允许将交换机网络划分成多个区域，每个区域使用不同的实例来计算生成树。这样可以将网络按照不同的业务需求进行逻辑划分，从而避免单一生成树对整个网络造成的限制。
2. 实例和生成树：MSTP中的每个区域（也称为实例）都有自己的生成树。生成树决定了每个端口的状态，即使在整个网络中也可以有多个生成树存在。这样可以实现灵活的冗余和带宽利用。
3. 生成树计算：每个 MSTP 实例使用单一的生成树计算算法（如RSTP），以确定生成树中每个交换机端口的角色。每个实例都可以独立计算，从而减少了计算复杂度和收敛时间。
4. 端口角色：每个交换机端口可以是根端口、指定端口、备选端口或者阻塞端口。根端口是最优路径的根，指定端口是最优路径的中继点，备选端口是备份路径，阻塞端口则不转发数据。
5. 端口状态转换：当网络拓扑发生变化时，MSTP 协议会根据生成树的计算规则进行快速收敛，将端口从一个状态转换到另一个状态以适应新的网络条件。
6. VLAN与实例映射：MSTP协议通过将 VLAN 与实例进行映射，将不同 VLAN 分配到不同的实例上，实现对 VLAN 的灵活控制。

总结：MSTP 协议通过区域划分、生成树计算、端口角色和状态转换等机制，实现了交换机网络中的冗余性和带宽利用。通过独立计算生成树和对 VLAN 的映射，MSTP 可以根据不同的业务需求进行逻辑划分，提高网络的可用性和性能。

ospf路由协议：

OS（Open Shortest Path First）是一种基于链路状态的内部网关协议（IGP），用于在自治系统内部进行路由选择。

特点：

快速收敛：OSPF具有快速的收敛能力，可以迅速适应网络拓扑变化和链路故障，更新路由表并选择最佳路径，减少数据包的丢失和延迟。

支持大规模网络：OSPF支持分层设计，网络可以划分为不同的区域（Area），区域内的路由器只需要维护自身区域的路由信息，减轻了整个网络的负载，适用于大规模网络的部署。

可靠性高：OSPF具有容错机制，当网络故障发生时，它能够快速检测并重新计算最佳路径，确保网络的可靠性和稳定性。

支持多种网络类型：OSPF支持多种类型的网络，包括广播网络、点对点网络、虚拟链路网络等，可以适应不同网络环境的需求。

配置复杂：OSPF的配置相对复杂，需要仔细配置区域、链路成本、路由过滤等参数，需要具备一定的网络技术知识和经验。

内存和计算开销大：OSPF需要维护大量的链路状态数据，占用较多的内存资源。并且计算路径时需要进行复杂的计算操作，对路由器的处理能力要求较高。

安全性控制有限：OSPF在安全性方面存在一定的限制，例如缺乏强大的加密和认证机制，容易受到恶意攻击和欺骗。

高带宽需求：因为OSPF需要在网络中广播链路状态信息，而广播是占用较高带宽的操作，对网络的带宽消耗较大。 尽管存在一些缺点，但OSPF仍然被广泛应用于企业网络和互联网服务提供商的网络中，因为它在路由选择、可靠性和扩展性方面具有明显的优势。

isis路由协议：

IS-IS（Intermediate System to Intermediate System）是一种基于链路状态的内部网关协议（IGP），用于在自治系统内进行路由选择。以下是IS-IS路由协议的优点和缺点。

特点：

快速收敛：IS-IS具有快速的收敛速度，在网络拓扑变化和链路故障发生时，可以迅速更新路由表并选择最佳路径，减少数据包的失和延迟。

高可扩展性：IS-IS适用于大模的网络部署，它使用层次结构来组织路由器，将网络划分为不同的区域（Level），减轻整个网络的负载，适应不同规模的网络需求。

灵活的路由策略：IS-IS支持多种路由策略，可以根据网络需求和优先级设置不同的路由策略，以满足特定的业务需求。

支持多协议：IS-IS不仅支持IP路由，还可以支持其他协议，如IPv6、CLNS（Connectionless Network Service）等，提供了灵活的网络接入和转发能力

配置复杂：IS-IS的配置相对复杂，需要仔细配置区域（Level）、链路成本、路由过滤等参数，需要具备一定的网络技术知识和经验。

计算和存储开销：IS-IS需要维护并传输大量的链路状态信息，占用较多的计算和存储资源。在网络规模较大的情况下，对路由器的处理能力和存储空间要求较高。

安全性控制有限：IS-IS在安全性方面存在一些限制，如缺乏强大的加密和认证机制，容易受到恶意攻击和欺诈。

有限的厂商支持：相对于其他路由协议，如OSPF，IS-IS的相关设备和实施方案的厂商支持较少，可能导致在设备选择和部署方面的一些限制。 尽管存在一些缺点，IS-IS仍然被广泛应用于大型企业网络和互联网服务提供商的网络中，因为它在路由选择、可扩展性和灵活性方面具有明显的优势。

主备vpn：

主备vpn（自己定义），利用防火墙的hrp协议来转换tunnel 接口的控制权，起到冗余的作用。

优点：网络冗余，减少了网络资源的占用（避免了分公司到总公司的链路检测）

缺点：只是单方面的冗余（但这只是一个备用的方案，作为租用运营商链路的备用。）。

（注：华为ensp好像有点小bug，vpn容易不生效）

链路聚合：

链聚合协议（Link Aggregation Protocol，LACP）是一种用于将多个物理链路捆绑在一起形成逻辑链路的网络协议。

特点：

扩展带宽：通过链路聚合，可以将多个物理链路组合成一个逻辑链路，从而增加带宽容量，提高数据传输速度和吞吐量。

冗余备份：链路聚合允许多条链路同时工作，并将它们视为一条逻辑链路。如果某条链路发生故障，流量可以无缝切换到其他链路上，从而实现冗余备份，提高网络的可靠性和容错性。

负载均衡：通过智能地分配流量到不同的链路上，链路聚合可以实现负载均衡，避免单条链路负载过重，提高网络的整体性能和效率。 4. 简化管理：链路聚合可以将多个物理链路视为一个逻辑链路进行管理，大大简化了网络的管理和配置工作，降低了维护成本和复杂度。 缺点：

厂商兼容性：链路聚合协议的实现可能在不同厂商设备间存在兼容性问题，要求使用同一标准的链路聚合协议，以确保各设备之间可以正常工作。

单一设备限制：链路聚合只能将多个物理链路聚合到同一台设备上，不能实现跨设备的链路聚合，这可能会限制某些特殊的网络架构或部署需求。

会话保持：当有多个链路聚合组成时，需要考虑会话保持的问题，确保同一会话的数据包能够通过同一条链路传输，以避免数据包丢失或乱序。

总的来说，链路聚合协议在提高带宽、冗余备份、负载均衡和简化管理方面具有明显的优势，但在兼容性和会话保持方面存在一些限制和挑战。在设计和部署链路聚合时，需要综合考虑网络架构、厂商设备和性能需求等因素。

bgp：

BGP（Border Gateway Protocol），是一种外部网关协议，用于在不同自治系统（AS）之间交换路由信息和选择最佳路径。它是互联网中广泛采用的一种路由协议。 BGP协议主要用于控制和传递互联网中各个自治系统中的路由信息，它既可以传递IPv4地址的路由信息，也可以传递IPv6地址的路由信息。BGP的主要特点如下：

稳定性：BGP具有很好的路由选择算法，可以保证互联网中的路由选择稳定，避免产生路由环路和路由震荡等问题。 可扩展性：BGP支持大规模的网络环境，能够有效地处理互联网中大量的路由信息。 灵活性：BGP协议支持多种路由策略。它可以根据自治系统的需要，灵活地对路由进行控制和调整，以满足不同的业务需求。 安全性：BGP提供了一些安全机制，可以防止路由信息被篡改或伪造，确保网络的安全可靠。

BGP协议的工作原理如下：

邻居关系建立：BGP路由器建立邻居关系，通过TCP连接相互通信，交换路由信息。 路由信息传递：路由器之间通过BGP协议交换路由信息，包括网络前缀、下一跳和AS路径等。 路由选择：BGP路由器根据自己的路由策略，选择最佳路径，并将该路径广播给其他邻居。 路由更新：当网络状态发生变化时，BGP路由器会更新路由信息，并通知邻居，确保路由信息的准确性和一致性。

总的来说，BGP路由协议是互联网中的一种重要协议，用于在自治系统之间交换和选择路由信息，保证网络的稳定性和可靠性。它的灵活性、可扩展性和安全性使得它成为了互联网中广泛使用的一种路由协议。

效果测试：

总公司访问公网(1.1.1.1为公网设备)

销售部

研发部

访客设备

公司设备

测试部

访问DMZ区域

销售部

公司设备：

访客设备

测试部

客户访问：

公司移动端设备访问其他部门：

客户移动设备访问其他部门：

dhcp服务器冗余测试：

dhcp1不可用

重新获取地址：

网关冗余测试：

防火墙出口冗余测试：

（注：因为ospf+防火墙负载均衡的问题，本拓扑最大的问题就是路径不明确性，因此我也不能确定数据流的流向。但本次测试是抓包确定路径后才测试的。）

分公司上网行为的冗余性：