华为中小型园区分支出口综合配置举例资料
- 格式:docx
- 大小:95.49 KB
- 文档页数:29
下载文档原格式
合集下载
小型园区组网网络配置
小型园区组网网络配置一、配置管理IP和Telnet1.配置管理IP地址。
<HUAWEL> system-view //创建交换机管理VLAN5[HUAWEI] vlan 5[HUAWEI-VLAN5] management-vlan [HUAWEI-VLAN5] quit [HUAWEI] Interface vlanif 5 [HUAWEI-vlanif5] ip address 10.10.1.1 24[HUAWEl-vlanifS] quit2.将管理接口加入到管理VLAN[HUAWEI] interface GigabitEtheret 0/0/8 //假设连接网管的接口为GigabitEthernet 0/0/8 [HUAWEI-GigabitEthernet0/0/8] port link-type trunk[HUAWEI-GigabitEthernet0/0/8] port trunk allow-pass vlan 5[HUAWEI-GigabitEthernet0/0/8] quit 配置Telnet。
3.[HUAWEI] telnet server enable //Telnet出厂时是关闭的[HUAWEI] user-interface vty 04 //Telnet常用于设备管理员登录, 推荐使用AAA认证[HUAWEI-ui-vty0-4] protocol inbound telnet[HUAWE-ui-vty0-4] authentication-mode aaa[HUAWEl-ui-vty0-4] idle-timeout 15[HUAWEI-ui-vty0-4] quit [HUAWEI] aaa[HUAWEI-aaa] local-user admin password irrev ersible-cipher Helloworld@6789 //配置管理员Telnet登录交换机的用户名和密码。
华为Wlan产品方案介绍
差异化需求
高速移动下的传输可靠性:列车调度系统,要求高
速运行下,不会因通信切换,造成停车、用户上网不
畅、监控系统因网络不畅出现盲区甚至事故;
车厢间连线困难:车厢间需预埋有线链接,车厢改
造难度大,成本高,施工周期大大缩短;
方案亮点
车厢间无线网络:高速无线网桥(WDS/MESH)可
解决车厢间连接难题,同时支持车辆重组免配置快速 对接,降低部署难度;
专业网规:专业网规工具规划信道,使用
161
1&157 6&149
2.4G/5G的非重叠信道,避免同频干扰.
专业团队:华为提供专业化网规团队,检测,
仿真,整网测试,一体化交付流程,精确AP布 防点;最大限度利用AP覆盖空间,实现性能和 成本的最优组合,保障客户利益。
8
四大特色解决方案之二:无线回传
AP6310SN-GN (室内大功率AP)
AP6610DN-AGN (室外双频AP, 千兆光口 上行,交流电本地供电)
AP7030DE-AC ( 3X3 M I M O 11ac A P 整机1.75G)
室内放装型
AP7110SN-GN (室内 3x3 M I M O 单频) AP7110DN-AGN (室内 3x3 M I M O 双频 ) AP6010SN-GN (室内单频AP) AP6010DN-AGN (室内双频AP)
差异化需求
工程周期长:室外没有固有网络规划,场地不规则,
媒体分发服务器
视 频 监 控 业 务 平 台
PC客户端
存储服务器
AC
显示大 屏
视 频 监 控 展 示
常有马路、水域等障碍,传统方案部署周期长。
工程成本高:传统方案涉及高额施工费用,每段网
高速移动下的传输可靠性:列车调度系统,要求高
速运行下,不会因通信切换,造成停车、用户上网不
畅、监控系统因网络不畅出现盲区甚至事故;
车厢间连线困难:车厢间需预埋有线链接,车厢改
造难度大,成本高,施工周期大大缩短;
方案亮点
车厢间无线网络:高速无线网桥(WDS/MESH)可
解决车厢间连接难题,同时支持车辆重组免配置快速 对接,降低部署难度;
专业网规:专业网规工具规划信道,使用
161
1&157 6&149
2.4G/5G的非重叠信道,避免同频干扰.
专业团队:华为提供专业化网规团队,检测,
仿真,整网测试,一体化交付流程,精确AP布 防点;最大限度利用AP覆盖空间,实现性能和 成本的最优组合,保障客户利益。
8
四大特色解决方案之二:无线回传
AP6310SN-GN (室内大功率AP)
AP6610DN-AGN (室外双频AP, 千兆光口 上行,交流电本地供电)
AP7030DE-AC ( 3X3 M I M O 11ac A P 整机1.75G)
室内放装型
AP7110SN-GN (室内 3x3 M I M O 单频) AP7110DN-AGN (室内 3x3 M I M O 双频 ) AP6010SN-GN (室内单频AP) AP6010DN-AGN (室内双频AP)
差异化需求
工程周期长:室外没有固有网络规划,场地不规则,
媒体分发服务器
视 频 监 控 业 务 平 台
PC客户端
存储服务器
AC
显示大 屏
视 频 监 控 展 示
常有马路、水域等障碍,传统方案部署周期长。
工程成本高:传统方案涉及高额施工费用,每段网
华为中小型园区分支出口综合配置举例
2.1 中小型园区/分支出口综合配置举例园区网出口简介园区网出口一般位于企业网内部网络与外部网络的连接处,是内部网络与外部网络之间数据流的唯一出入口。
对于中小型企业来说,考虑到企业网络建设的初期投资与长期运维成本,一般希望将多种业务部署在同一设备上。
企业网络用户一般同时需要访问Internet和私网VPN,而对于中小型企业来说考虑到建设及维护成本问题,一般租用运营商Internet网络组建私网VPN。
对于部分可靠性要求较高的园区网络,一般考虑部署两台出口路由器做冗余备份实现设备级可靠性,同时应用链路聚合、VRRP、主备路由等技术保证园区出口的可靠性。
华为AR系列路由器配合华为S系列交换机是中小型园区网出口设备的理想解决方案。
•区出口设备需要具备NAT Outbound及NAT Server的功能,实现私网地址和公网地址之间的转换,以满足用户访问Internet或者Internet用户访问内网服务器的需求。
•园区出口设备需要具备通过Internet构建私网VPN的功能,以满足企业用户各个机构之间私网VPN互通的需求•园区出口设备需要具备数据加密传输的功能,以保证数据的完整性和机密性,保障用户业务传输的安全•中小型园区出口需要具备可靠性、安全性、低成本、易维护等特点。
配置注意事项•本配置案例适用于中小型企业园区/分支出口解决方案。
•本配置案例仅涉及企业网络出口相关配置,涉及企业内网的相关配置请参见华为S系列园区交换机快速配置中的“中小园区组网场景”。
组网需求某企业总部和分支分别位于不同的城市,地域跨度较远,总部存在A、B两个不同的部门,分支只有一个部门。
现在需要建设跨地域的企业园区网络,需要实现的需求如下:•总部和分支都需要实现用户访问Internet的需求。
总部划分为A、B两个部门,其中A 部门的用户可以访问Internet,但是B部门的用户不能访问Internet;分支所有用户都可以访问Internet。
华为交换机 综合配置案例
2综合配置案例关于本章2.1 中小型园区/分支出口综合配置举例2.2 大型园区出口配置示例(防火墙直连部署)2.3 大型园区出口配置示例(防火墙旁路部署)2.4 校园敏捷网络配置示例2.5 轨道交通承载网快速自愈保护技术配置举例2.6 配置交换机上同时部署ACU2和NGFW的示例2.1 中小型园区/分支出口综合配置举例园区网出口简介园区网出口一般位于企业网内部网络与外部网络的连接处,是内部网络与外部网络之间数据流的唯一出入口。
对于中小型企业来说,考虑到企业网络建设的初期投资与长期运维成本,一般希望将多种业务部署在同一设备上。
企业网络用户一般同时需要访问Internet和私网VPN,而对于中小型企业来说考虑到建设及维护成本问题,一般租用运营商Internet网络组建私网VPN。
对于部分可靠性要求较高的园区网络,一般考虑部署两台出口路由器做冗余备份实现设备级可靠性,同时应用链路聚合、VRRP、主备路由等技术保证园区出口的可靠性。
华为AR系列路由器配合华为S系列交换机是中小型园区网出口设备的理想解决方案。
l园区出口设备需要具备NAT Outbound及NAT Server的功能,实现私网地址和公网地址之间的转换,以满足用户访问Internet或者Internet用户访问内网服务器的需求。
l园区出口设备需要具备通过Internet构建私网VPN的功能,以满足企业用户各个机构之间私网VPN互通的需求。
l园区出口设备需要具备数据加密传输的功能,以保证数据的完整性和机密性,保障用户业务传输的安全。
l中小型园区出口需要具备可靠性、安全性、低成本、易维护等特点。
配置注意事项l本配置案例适用于中小型企业园区/分支出口解决方案。
l本配置案例仅涉及企业网络出口相关配置,涉及企业内网的相关配置请参见华为S 系列园区交换机快速配置中的“中小园区组网场景”。
组网需求某企业总部和分支分别位于不同的城市,地域跨度较远,总部存在A、B两个不同的部门,分支只有一个部门。
华为Agile Controller方案
华为Agile Controller 方案概述移动办公、BYOD、WLAN的基本特征就是作为信息消费者的用户终端,物理位置变得不固定,这对传统以手工静态配置为核心的传统网络形成了挑战:1. 不同的位置、不同的终端,如何保证一致的用户办公体验?让用户感觉不到位置的差异?2. 如何动态配置用户的权限、安全、QoS优先级等网络策略?传统的固定网络用户可以跟一个物理端口绑定,策略是管理员手工配置到离用户最近的网络设备上的,当用户位置不固定时,我们不能要求网络管理员通过手工配置去适应每个人位置的变化。
这就要求网络需要具备动态分配资源和部署策略的能力,网络资源需要跟着用户走。
3. 网络安全如何部署?传统的网络安全泄漏点主要是在企业到互联网的边界,很多企业也都把防火墙等安全设备部署到这个边界位置进行防护。
但移动性的引入,以及网络攻击手段的发展,使得安全防护失去了边界:Wi-Fi、移动终端、远程办公引入了大量的新的安全泄漏点,以及内部攻击手段(病毒/木马/APT 攻击)的出现,都让传统的边界防护手段彻底失效。
敏捷控制器(Agile Controller)是华为面向企业市场发布的下一代网络解决方案敏捷网络的核心部件,全面覆盖敏捷园区、敏捷分支、敏捷广域、敏捷数据中心各种应用场景,实现从接入到数据中心端到端联接的应用策略控制。
Agile Controller应用SDN集中化控制原则,以业务体验为中心,基于用户和应用动态调配全网资源,实现网络与安全资源跟随用户自由移动,让网络更敏捷地为业务服务。
产品特点以业务体验为中心重新定义网络从以前关注技术、设备、连通性,到关注用户、业务、体验;从以前手工配置,到用自然语言规划和自动部署。
•将SDN集中化控制思想引入园区,动态调配整个园区的网络与安全资源,让资源跟随用户移动,实现业务随行。
•可灵活调整全网权限、QoS、安全等策略,大大缩短新业务开通或网络扩容周期,适应越来越快的业务变化需要。
园区网络架构介绍
•Remote Security Access iAccess、eSpace
WAN
NE40E/NE20E NE High-end Router NE40E/NE20E
灾备中心
总部园区
•X-WDM
数据中心
•Unitized WLAN •Campus Switch
•NGDC Switch
S12800
WA603SN/WA603DN/WA633SN
存储
DWDM
存储
HUAWEI TECHNOLOGIES Co., Ltd.
Page 7
HUAWEI Confidential
坚强广域网
扁平化架构
集中管理:业务集中在核心 节点,各分支节点只与核心 节点互访 行业:大中型企业各地分支 与总部互联 企业
金融
树状多层架构
层级管理:业务集中,纵向 业务为主,横向业务在同级 中心节点完成 行业:政府专网两纵间互联; 教育网,金融骨干平台纵向 行业(电力、能源)上下级 单位互联
4 集成 整合系统,尽量打通各业务流程
计算机时代
质变 3 控制 系统林立,难以共享 2 普及
信息时代
园区智能管理:
一站式网管、基于业务的流量监管、快速问题处理 eSight
园区移动接入:
1 初始 阶段
移动办公、泛在移动设备接入、移动安全保障
园区安全策略: 诺兰模型 企业信息化发展遵循客观规律的经典模型,用 于指导企业IT系统建设,分为6个阶段。
园区出口
方案一:二三层分界即网关设在汇聚设备 上,即部门公用网关,采用SuperVlan或 者子接口方式进入三层 方案二:二三层分界即网关设在接入设备 上,部门多个网关,整网没有二层广播域 这两种方案各有优缺点,根据实际情况进行部 署,选择最适合的企业业务的方案
园区出口配置举例(防火墙旁路)
1 大型园区出口配置示例(防火墙旁路部署)1.1 配置注意事项●本举例中的交换机以华为公司的S系列框式交换机为例、防火墙以USG系列为例、路由器以NE系列为例。
●本配置案例仅涉及企业网络出口相关配置,涉及企业内网的相关配置请参见华为S系列园区交换机快速配置中的“大型园区组网场景”。
●本例仅涉及防火墙与交换机的对接配置以及防火墙的双机热备配置。
防火墙上的安全业务规划及园区安全策略、攻击防范、带宽管理、IPSec等功能的配置示例请参见《防火墙配置案例集》。
●本例仅涉及园区出口路由器与交换机的对接配置。
路由器在公网侧的配置示例请参见NE系列路由器《配置指南》。
1.2 组网需求在大型园区出口,核心交换机上行通过路由器访问外网。
防火墙旁挂于核心交换机,对业务流量提供安全过滤功能。
为了简化网络并提高可靠性,在核心层交换机通常部署集群。
在防火墙上部署双机热备(主备模式),当其中一台故障时,业务可以平滑切换到另一台。
核心交换机双归接入2台出口路由器,路由器之间部署VRRP确保可靠性。
为提高链路可靠性,在核心交换机与出口路由器之间,核心交换机与防火墙之间,2台防火墙之间均通过Eth-Trunk互连。
如下图所示。
图1-1园区出口组网图(防火墙旁挂,双机热备)在一般的三层转发环境下,园区内外部之间的流量将直接通过交换机转发,不会经过FW1或FW2。
当流量需要从交换机转发至FW,经FW检测后再转发回交换机,就需要在交换机上配置VRF功能,将交换机隔离成两个相互独立的虚拟交换机VRF-A和根交换机Public。
Public作为连接出口路由器的交换机。
对于下行流量,它将外网进来的流量转发给FW 进行检测;对于上行流量,它接收经FW检测后的流量,并转发到路由器。
VRF-A作为连接内网侧的交换机。
对于下行流量,它接收经FW检测后的流量,并转发到内网;对于上行流量,它将内网的流量转发到FW去检测。
根据上图中的流量转发路径可以将上图转换成如下所示的更容易理解的逻辑组网图。
华为FusionModule800小型数据中心解决方案说明书
FusionModule800 产品简介FusionModule800是面向于边缘计算和分支网点的小型模块化数据中心解决方案。
该方案通过高集成度的设计方式,一体化集成配电、UPS 、监控、制冷、机柜和灭火模块(可选)等系统,可大幅节省数据中心占地面积,为用户打造“一排一DC ”的极简数据中心。
FusionModule800采用工厂预测试、预安装、预调试的方式,核心部件工厂预装,现场即插即用,快速部署。
同时,搭配华为移动智能管理APP ,轻松实现机房远程运维。
产品简介•金融(支行及大型营业网点)、政府、教育、医疗、交通、能源、中小企业、商业零售、运营商营业网点等•室内场景应用场景极简•所有部件工厂预制,现场只需简单并柜,4小时完成硬件搭建,2天实现业务上线•支持柜内灭火模块*,即插即用更便捷绿色•冷电控一体化设计,节省占地2~3柜•密闭冷热通道设计,防尘降噪,高效制冷智能•支持面部识别,免密码登录,免钥匙开门•内置智能电表,支持电量统计和PUE 显示*•支持移动智能管理* ,远程专业运维安全•轻载除湿技术,10%负载时可靠除湿,避免机房凝露•支持自动弹开门,高温时自动弹开,辅助散热产品特点*:选配功能FusionModule800分解图指示灯配电模块UPS 监控模块温控通道弹门装置(后)弱电线槽(选配)摄像头(选配)弹门装置(前)玻璃门10寸触摸屏强电线槽(选配)FusionModule800场景图250mmIT 柜IT 柜PDU UPS 监控温控IT 柜IT 柜IT 柜温控IT 柜IT 柜电池密闭热通道密闭冷通道1100mm技术参数版权所有©华为数字能源技术有限公司2021。
保留一切权利。
非经本公司书面同意,任何单位和个人不得擅自摘抄、复制本手册内容的部分或全部,并不得以任何形式传播。
备注:1.BC3L 、BC5L :UPS 支持无冗余和N+1冗余两种模式运行。
2.BC2L 、BC4L :UPS 可支持2N 配电模式或连续制冷。
华为园区网解决方案设计指南
主要需要考虑网络边界安全,需要部署防火墙、IPS/IDS、网络日 志审计、防毒墙等安全设备。
如果对网络安全要求比较高,比如需满足安全等级保护要求,则推 荐采用独立的安全设备;否则,可以采用集成安全设备如UTM或安全增 值业务插卡。
主要用于防止网络内部用户导致的安全事故,可以推荐采用上网行 为管理的软件或专用设备。
当机房或弱电间比较多时,通常可以将网络各层分布式部署到各个机房或弱 电间,即将核心或汇聚部署到各个机房或弱电间,通常可以在每个机房或弱电间 部署一个汇聚点;当采用多核心互联时,也可以将多核心分别部署在不同机房。 除此之外,还要考虑设备摆放布局及其间隔距离等问题。
HUAWEI TECHNOLOGIES CO., LTD.
3
设计总体目标
4
设计指导原则
5
设计参考标准
HUAWEI TECHNOLOGIES CO., LTD.
华为保密信息,未经授权禁止扩散
Page 8
园区网设计总体流程
需求调研 需求分析 方案设计
重点内容: 1. 客户网络环境 2. 客户网络业务 3. 现网的痛点(若有) 4. 客户的期望
根据调研结果进行分析,内容至少包括: 1. 终端接入模式 2. 业务流量模型 3. 网络带宽/容量
园区基础网络架构
分支机构
数据中心/ 服务器群
Servers APபைடு நூலகம்S DB
管理 中心
Internet 园区出口
核心层 汇聚层
WAN
PSTN
DMZ
接入层 应用层
部门A
部门…
部门X
出差员工
合作伙伴/ 访客
Web DNS Email APPS
园区外部 园区内部
如果对网络安全要求比较高,比如需满足安全等级保护要求,则推 荐采用独立的安全设备;否则,可以采用集成安全设备如UTM或安全增 值业务插卡。
主要用于防止网络内部用户导致的安全事故,可以推荐采用上网行 为管理的软件或专用设备。
当机房或弱电间比较多时,通常可以将网络各层分布式部署到各个机房或弱 电间,即将核心或汇聚部署到各个机房或弱电间,通常可以在每个机房或弱电间 部署一个汇聚点;当采用多核心互联时,也可以将多核心分别部署在不同机房。 除此之外,还要考虑设备摆放布局及其间隔距离等问题。
HUAWEI TECHNOLOGIES CO., LTD.
3
设计总体目标
4
设计指导原则
5
设计参考标准
HUAWEI TECHNOLOGIES CO., LTD.
华为保密信息,未经授权禁止扩散
Page 8
园区网设计总体流程
需求调研 需求分析 方案设计
重点内容: 1. 客户网络环境 2. 客户网络业务 3. 现网的痛点(若有) 4. 客户的期望
根据调研结果进行分析,内容至少包括: 1. 终端接入模式 2. 业务流量模型 3. 网络带宽/容量
园区基础网络架构
分支机构
数据中心/ 服务器群
Servers APபைடு நூலகம்S DB
管理 中心
Internet 园区出口
核心层 汇聚层
WAN
PSTN
DMZ
接入层 应用层
部门A
部门…
部门X
出差员工
合作伙伴/ 访客
Web DNS Email APPS
园区外部 园区内部
华为S系列园区交换机快速配置
目录
开始之前
1
中小园区组网场景
2
数据规划
3
快速配置中小园区
4
大型园区组网场景
16
数据规划
17
快速配置大型园区
19
常见问题
49
更多的参考资料
52
1 开始之前
本文档帮助您首次登录及快速配置华为S系列交换机。更多业务配置,请查阅《交换机配 置指南》。
本文适用于交换机V200R003C00及更高版本。
在开始数据配置之前,请您首先完成如下工作: 1 完成交换机的安装、上电,具体操作请参考《S9700&S7700 快速安装指南》,
[CORE-Eth-Trunk1] port trunk allow-pass vlan 10 //配置Eth-Trunk1透传ACC1上的
业务VLAN
[CORE-Eth-Trunk1] mode lacp
//配置为LACP模式
[CORE-Eth-Trunk1] quit
[CORE] interface GigabitEthernet 0/0/1
Eth-Trunk 类型 静态LACP 配置接口和 VLAN
端口类型
缺省为hybrid
VLAN ID
ACC1:VLAN 10 ACC2:VLAN 20 CORE: VLAN 100
配置路由 IP地址 配置DHCP DHCP Server
CORE: VLANIF100 10.10.100.1/24 VLANIF10 10.10.10.1/24 VLANIF20 10.10.20.1/24
请牢记初次登录时设置的密码,当用户再次通过Console口登录交换机, 需要输入此密码。 完成Console登录密码设置后,用户便可以配置交换机,需要理IP和Telnet
开始之前
1
中小园区组网场景
2
数据规划
3
快速配置中小园区
4
大型园区组网场景
16
数据规划
17
快速配置大型园区
19
常见问题
49
更多的参考资料
52
1 开始之前
本文档帮助您首次登录及快速配置华为S系列交换机。更多业务配置,请查阅《交换机配 置指南》。
本文适用于交换机V200R003C00及更高版本。
在开始数据配置之前,请您首先完成如下工作: 1 完成交换机的安装、上电,具体操作请参考《S9700&S7700 快速安装指南》,
[CORE-Eth-Trunk1] port trunk allow-pass vlan 10 //配置Eth-Trunk1透传ACC1上的
业务VLAN
[CORE-Eth-Trunk1] mode lacp
//配置为LACP模式
[CORE-Eth-Trunk1] quit
[CORE] interface GigabitEthernet 0/0/1
Eth-Trunk 类型 静态LACP 配置接口和 VLAN
端口类型
缺省为hybrid
VLAN ID
ACC1:VLAN 10 ACC2:VLAN 20 CORE: VLAN 100
配置路由 IP地址 配置DHCP DHCP Server
CORE: VLANIF100 10.10.100.1/24 VLANIF10 10.10.10.1/24 VLANIF20 10.10.20.1/24
请牢记初次登录时设置的密码,当用户再次通过Console口登录交换机, 需要输入此密码。 完成Console登录密码设置后,用户便可以配置交换机,需要理IP和Telnet
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
2.1 中小型园区/分支出口综合配置举例园区网出口简介园区网出口一般位于企业网内部网络与外部网络的连接处,是内部网络与外部网络之间数据流的唯一出入口。
对于中小型企业来说,考虑到企业网络建设的初期投资与长期运维成本,一般希望将多种业务部署在同一设备上。
企业网络用户一般同时需要访问Internet和私网VPN,而对于中小型企业来说考虑到建设及维护成本问题,一般租用运营商Internet网络组建私网VPN。
对于部分可靠性要求较高的园区网络,一般考虑部署两台出口路由器做冗余备份实现设备级可靠性,同时应用链路聚合、VRRP、主备路由等技术保证园区出口的可靠性。
华为AR系列路由器配合华为S系列交换机是中小型园区网出口设备的理想解决方案。
•区出口设备需要具备NAT Outbound及NAT Server的功能,实现私网地址和公网地址之间的转换,以满足用户访问Internet或者Internet用户访问内网服务器的需求。
•园区出口设备需要具备通过Internet构建私网VPN的功能,以满足企业用户各个机构之间私网VPN互通的需求•园区出口设备需要具备数据加密传输的功能,以保证数据的完整性和机密性,保障用户业务传输的安全•中小型园区出口需要具备可靠性、安全性、低成本、易维护等特点。
配置注意事项•本配置案例适用于中小型企业园区/分支出口解决方案。
•本配置案例仅涉及企业网络出口相关配置,涉及企业内网的相关配置请参见华为S系列园区交换机快速配置中的“中小园区组网场景”。
组网需求某企业总部和分支分别位于不同的城市,地域跨度较远,总部存在A、B两个不同的部门,分支只有一个部门。
现在需要建设跨地域的企业园区网络,需要实现的需求如下:•总部和分支都需要实现用户访问Internet的需求。
总部划分为A、B两个部门,其中A 部门的用户可以访问Internet,但是B部门的用户不能访问Internet;分支所有用户都可以访问Internet。
•总部有Web服务器,对外提供WWW服务,外网用户可以访问内网服务器。
•总部和分支之间需要通过Internet进行私网VPN互通,通信内容需要有安全保护。
•总部园区出口可靠性要求较高,需要考虑链路级的可靠性和设备级的可靠性。
•分支可以适当降低可靠性要求。
方案介绍根据用户需求,可以给出如图2-1所示的综合配置解决方案,该方案具备层次化、模块化、冗余性、安全性的特点,适用于中小型企业/分支的园区网络部署。
图2-1中小型园区/分支出口综合配置组网图•在网络的接入层部署华为S2700&S3700交换机(ACC1、ACC2、SwitchA),在网络的核心部署华为S5700交换机(CORE),在园区出口部署华为AR3200路由器(RouterA、RouterB、RouterC)。
•总部采用双AR出口冗余备份方式,保证设备级的可靠性。
分支部署一台AR路由器做出口。
•总部核心交换机采用两台S5700交换机做堆叠,保证设备级的可靠性。
•总部接入交换机与核心交换机之间以及核心交换机与出口路由器之间采用Eth-Trunk方式组网,保证链路级的可靠性。
•总部每个部门业务划分到一个VLAN中,部门间的业务在核心交换机CORE上通过VLANIF三层互通。
•总部核心交换机作为用户及服务器网关,部署DHCP Server为用户分配IP地址。
•分支用户的网关直接部署在出口路由器上。
•总部两个出口路由器之间部署VRRP,保证可靠性。
•总部和分支之间通过Internet构建IPSec VPN进行私网互通,同时保证数据传输的安全性。
•总部两台出口路由器和核心交换机之间部署OSPF,用于发布用户路由,便于后期扩容及维护。
配置思路采用如下思路部署中小型园区/分支出口综合配置举例:1.部署总部及分支园区内网总部:部署堆叠、链路聚合,配置各VLAN及IP地址、部署DHCP Server,实现园区内网互通。
部门内部通过接入层交换机进行二层互通,部门间通过核心交换机CORE上的VLANIF进行三层互通。
分支:配置接入层交换机及出口路由器的各接口VLAN及IP地址,部署DHCP Server,实现分支园区内网互通。
2.部署VRRP为了保证总部核心交换机与两个出口路由器之间的可靠性,在两个出口路由器之间部署VRRP,VRRP的心跳报文经过核心交换机进行交互。
RouterA为Master设备,RouterB为Backup设备。
为了防止总部RouterA上行链路故障的时候业务断流,将VRRP状态与RouterA的上行口进行联动,保证上行链路故障时VRRP进行快速倒换。
3.部署路由为了引导各设备的上行流量,在总部核心交换机上配置一条缺省路由,下一跳指向VRRP的虚地址,在总部及分支的出口路由器上各配置一条缺省路由,下一跳指向运营商网络设备的对接地址(公网网关)。
为了引导总部两个出口路由器的回程流量,在两个出口路由器和核心交换机之间部署OSPF,核心交换机上将所有用户网段发布到OSPF里面,通告给两个出口路由器。
为了引导外网用户访问Web服务器的流量,需要在总部的运营商路由器上配置两条目的地址为服务器公网地址的静态路由,下一跳分别指向两个出口路由器的上行口IP地址。
并且为了保证路由和VRRP同步切换,设置下一跳为RouterA的这条路由优先,当这条路由失效的时候下一跳指向RouterB的路由生效。
4.部署NAT Outbound为了使内网用户访问Internet,在两台出口路由器的上行口配置NAT,实现私网地址和公网地址之间的转换。
通过ACL匹配A部门的源IP地址,从而实现A部门的用户可以访问Internet,而B部门的用户不能访问Internet。
5.NAT Server为了实现外网用户访问内网Web服务器,在两个出口路由器的上行口上配置NATServer,实现服务器公网地址和私网地址之间的映射。
6.部署IPSec VPN为了实现总部和分支之间进行私网VPN互通,在总部出口路由器和分支出口路由器之间部署IPSec VPN,通过Internet构建IPSec VPN,实现总部和分支之间的安全通信。
说明:部署总部及分支园区内网所涉及的配置不在本例中给出,请参见华为S系列园区交换机快速配置中的“中小园区组网场景”。
数据规划详细的数据规划如表2-1、表2-2、表2-3所示。
说明:所有链路聚合采用LACP模式。
操作步骤1.配置总部核心交换机CORE和两个出口路由器之间互联的Eth-Trunk# 配置核心交换机CORE。
<HUAWEI> system-view[HUAWEI] sysname CORE[CORE-Eth-Trunk3] mode lacp[CORE-Eth-Trunk3] quit[CORE] interface eth-trunk 4[CORE-Eth-Trunk4] mode lacp[CORE-Eth-Trunk4] quit[CORE] interface gigabitethernet 0/0/3[CORE-GigabitEthernet0/0/3] eth-trunk 3[CORE-GigabitEthernet0/0/3] quit[CORE] interface gigabitethernet 1/0/3[CORE-GigabitEthernet1/0/3] eth-trunk 3[CORE-GigabitEthernet1/0/3] quit[CORE] interface gigabitethernet 0/0/4[CORE-GigabitEthernet0/0/4] eth-trunk 4[CORE-GigabitEthernet0/0/4] quit[CORE] interface gigabitethernet 1/0/4[CORE-GigabitEthernet1/0/4] eth-trunk 4[CORE-GigabitEthernet1/0/4] quit# 配置总部出口路由器RouterA。
RouterB的配置与RouterA类似。
<Huawei> system-view[Huawei] sysname RouterA[RouterA] interface eth-trunk 1[RouterA-Eth-Trunk1] undo portswitch[RouterA-Eth-Trunk1] mode lacp-static[RouterA-Eth-Trunk1] quit[RouterA] interface gigabitethernet 2/0/0[RouterA-GigabitEthernet2/0/0] eth-trunk 1[RouterA-GigabitEthernet2/0/0] quit[RouterA] interface gigabitethernet 2/0/1[RouterA-GigabitEthernet2/0/1] eth-trunk 1[RouterA-GigabitEthernet2/0/1] quit2.配置各接口的所属VLAN及IP地址# 配置核心交换机CORE。
[CORE] vlan 100[CORE] quit[CORE] interface Eth-Trunk 3[CORE-Eth-Trunk3] port link-type trunk[CORE-Eth-Trunk3] port trunk allow-pass vlan 100[CORE-Eth-Trunk3] quit[CORE-Eth-Trunk4] port link-type trunk[CORE-Eth-Trunk4] port trunk allow-pass vlan 100[CORE-Eth-Trunk4] quit[CORE] interface vlanif 100[CORE-Vlanif100] ip address 10.10.100.4 24[CORE-Vlanif100] quit# 配置总部出口路由器RouterA。
RouterB的配置与RouterA类似。
[RouterA] interface Eth-Trunk 1.100[RouterA-Eth-Trunk1.100] ip address 10.10.100.2 24[RouterA-Eth-Trunk1.100] dot1q termination vid 100[RouterA-Eth-Trunk1.100] arp broadcast enable //使能接口可以处理ARP广播报文功能;AR3200系列路由器V200R003C01及之后的版本默认已经使能了该功能,无需配置。