基于华为设备的某大型企业网络规划与实施方案

蒲门闲人

已于 2024-07-10 14:31:16 修改

阅读量1.1k

点赞数 2

分类专栏：网络文章标签：网络华为网络安全

于 2023-05-19 16:45:54 首次发布

本文链接： https://blog.csdn.net/zhang33036099/article/details/130766967

版权

网络专栏收录该内容

1 篇文章 0 订阅

订阅专栏

一、项目背景

二、业务需求

三、技术需求

四、网络拓扑图

五、设备选型

六、VLAN规划

七、设备接口IP地址规划

八、设备配置脚本

（一）杭州总部

AR2

LSW4

LSW5

Data-Center

DHCP-Server

（二）ISP城域网

ZJ-ISP-3

ZJ-ISP-4

ZJ-ISP-5

ZJ-ISP-6

SH-ISP-7

JS-ISP-13

（三）上海办

AR9

LSW7

（四）江苏办

AR8

LSW8

【如有疑问，欢迎大家在评论区一起交流~】

一、项目背景

XXX公司是一家以从事互联网和相关服务为主的企业，总部设有财务、人事、售前、售后等部门，......，公司分布在杭州、上海、江苏等地。

二、业务需求

公司总部设立在杭州，并在上海、江苏等地设立办事处，运营商完成总部与各地办事处之间的网络连通，由于公司业务的要求，总部与办事处的内网都能访问公网，并通过VPN技术实现内网互通。财务部无法访问外网，其他部门无法访问财务部终端设备。

通过使用华为设备与核心层、汇聚层、接入层三层网络结构设计，可以使得整个企业网的稳定运行，在设备优良的性能和结构良好的保护方式下，保证了企业网络的流畅性、稳定性，从而提高了网络的工作效率。

（1）核心层交换机采用二层链路聚合技术实现双机热备和网关冗余；
    （2）企业向运营商申请MPLSVPN服务，实现总部和分支机构的VPN互通。
        （3）终端无法访问财务部，财务部无法访问外网；
        （4）总部、ISP和各办事处处在不同自治系统中，由城域网完成互联；
（5）运营商网络进行全面的MPLS改造，增加主干网络的数据转发速度。
        （6）使用BGP联盟的技术实现运营商主干网络的互通。

四、网络拓扑图

五、设备选型

序号	设备名称	型号	数量	单价（￥）	合计（￥）
1
2
3
4
5

六、VLAN规划

总部VLAN规划表

设备	VLAN ID	网段	备注
LSW1	VLAN 10	10.0.10.0/24	技术部门VLAN
LSW1	VLAN 20	10.0.20.0/24	财务部门VLAN
LSW2	VLAN 30	10.0.30.0/24	人事部门VLAN
LSW2	VLAN 40	10.0.40.0/24	售前部门VLAN
LSW3	VLAN 50	10.0.50.0/24	售后部门VLAN
LSW3	VLAN 60	10.0.60.0/24	项目管理部VLAN
LSW4	VLAN 10
	VLAN 20
	VLAN 30
	VLAN 40
	VLAN 50
	VLAN 60
	VLAN 75		AC专用VLAN
	VLAN 200		数据中心VLAN
	VLAN 1000		连接企业出口路由
LSW5	VLAN 10
	VLAN 20
	VLAN 30
	VLAN 40
	VLAN 50
	VLAN 60
	VLAN 2000		连接企业出口路由
AC	VLAN 70		AP1（公司员工）专用VLAN
	VLAN 80		AP2（客户）专用VLAN
	VLAN 75		AC专用VLAN
Data-Center	VLAN 200		数据中心VLAN

办事处VLAN规划表

设备	VLAN ID	网段	备注
LSW7	VLAN 10	10.1.10.0/24	上海办终端VLAN
LSW7	VLAN 100	10.1.100.0/24	上海办信息中心VLAN

办事处VLAN规划表

设备	VLAN ID	网段	备注
LSW8	VLAN 30	10.2.30.0/24	江苏办技术部门VLAN
LSW8	VLAN 40	10.2.40.0/24	江苏办售后部门VLAN

七、设备接口IP地址规划

总部设备接口IP地址规划表

设备	接口	接口类型	IP地址/ 默认vlan	对端设备	对端设备接口
LSW1	E 0/0/1	Access	Vlan 10	技术PC	E 0/0/1
	E 0/0/2	Access	Vlan 20	财务PC	E 0/0/1
	E 0/0/3	Trunk	/	LSW4	G 0/0/3
	E 0/0/4	Trunk	/	LSW5	G 0/0/4
LSW2



LSW3


LSW3
LSW4







LSW5





Data-Center



DHCP-Server
AC


AR2

办事处设备接口IP地址规划表

设备	接口	接口类型	IP地址/ 默认vlan	对端设备	对端设备接口
AR9	G 0/0/0.10	/	10.1.10.1/24	LSW7	E 0/0/1
	G 0/0/0.100	/	10.1.100.1/24	LSW7	E 0/0/1


LSW7	E 0/0/1	Trunk	/	AR9	G0/0/0

办事处设备接口IP地址规划表

设备	接口	接口类型	IP地址/ 默认vlan	对端设备	对端设备接口
AR8	G 0/0/0.30	/	10.2.30.1/24	LSW8	E 0/0/1



LSW8

system-view
sysname AR2
undo info-center enable
#创建acl 3000用于nat流量分类
acl number 3000  
#禁止财务部PC访问外网 
 rule 5 deny ip source 10.0.20.0 0.0.0.255 
#禁止源IP地址为10.0.0.0/16且目的地IP地址为10.1.0.0/16的所有IP流量通过。10.1.0.0/16为上海办网段，该acl为nat专用，此处不放行。
 rule 10 deny ip source 10.0.0.0 0.0.255.255 destination 10.1.0.0 0.0.255.255 
#禁止源IP地址为10.0.0.0/16且目的地IP地址为10.2.0.0/16的所有IP流量通过。10.2.0.0/16为江苏办网段，该acl为nat专用，此处不放行。
 rule 20 deny ip source 10.0.0.0 0.0.255.255 destination 10.2.0.0 0.0.255.255 
#允许源IP地址为10.0.0.0/16的所有IP流量通过，除了目的地为10.1.0.0/16、10.2.0.0/16外。
 rule 30 permit ip source 10.0.0.0 0.0.255.255 

#创建acl 3001用于vpn流量分类
acl number 3001  
#允许源IP地址为10.0.0.0/16且目的地IP地址为10.1.0.0/16的所有IP流量通过。
 rule 10 permit ip source 10.0.0.0 0.0.255.255 destination 10.1.0.0 0.0.255.255 
#允许源IP地址为10.0.0.0/16且目的地IP地址为10.2.0.0/16的所有IP流量通过。
 rule 20 permit ip source 10.0.0.0 0.0.255.255 destination 10.2.0.0 0.0.255.255 

#创建两组流量分类器，用于根据预定义条件对数据包进行分类和标记。

LSW4

system-view
sysname LSW4
undo info-center enable
#
vlan batch 10 20 30 40 50 60 75 200 1000

#将实例1的根桥优先级设置为primary，即让实例1中的交换机成为该VLAN下的主根；
#将实例2的根桥优先级设置为secondary，即实例2的交换机将以备份根桥的身份运行，并辅助实例1中的主根桥进行冗余计算。

#将VLAN10、20和30的网段划分到实例1中；VLAN40、50和60的网段划分到实例2中。

LSW5

system-view
sysname LSW5
undo info-center enable
#
vlan batch 10 20 30 40 50 60 200 2000

#将实例1的根桥优先级设置为primary，即让实例1中的交换机成为该VLAN下的主根；
#将实例2的根桥优先级设置为secondary，即实例2的交换机将以备份根桥的身份运行，并辅助实例1中的主根桥进行冗余计算。

#将VLAN40、50和60的网段划分到实例1中；VLAN10、20和30的网段划分到实例2中。

Data-Center

system-view
sysname Data-Center
undo info-center enable
#
vlan batch 200
#
#
interface Ethernet0/0/1
 port link-type trunk
 port trunk allow-pass vlan 200
#
interface Ethernet0/0/2
 port link-type access
 port default vlan 200
#
interface Ethernet0/0/3
 port link-type access
 port default vlan 200
#
interface Ethernet0/0/4
 port link-type access
 port default vlan 200

DHCP-Server

system-view
sysname DHCP-Server
 undo info-center enable

dhcp enable

#配置地址池

AC

system-view
sysname AC
undo info-center enable 

vlan batch 70 75 80

dhcp enable

#配置AP

（二）ISP城域网

ZJ-ISP-3

system-view
sysname ZJ-ISP-3
undo info-center enable

#配置vpn

#配置MPLS

#配置bgp

ZJ-ISP-4

system-view
sysname ZJ-ISP-4
undo info-center enable


#配置MPLS

#配置bgp

ZJ-ISP-5

system-view
sysname ZJ-ISP-5
undo info-center enable

#配置vpn

#配置MPLS

#配置bgp

ZJ-ISP-6

system-view
sysname ZJ-ISP-6
undo info-center enable


#配置vpn

#配置MPLS

#配置bgp

SH-ISP-7

system-view
sysname SH-ISP-7
undo info-center enable

#配置vpn

#配置MPLS

#配置bgp

JS-ISP-13

system-view
sysname JS-ISP-13
undo info-center enable

#配置vpn

#配置MPLS

#配置bgp

（三）上海办

AR9

system-view
sysname AR9
undo info-center enable

#创建acl，用于vpn限制流量


#定义IPSec VPN隧道中使用的加密和身份验证算法


#指定该IKE对等体 的名称为172.17.0.10，并使用IKEv1协议进行通信。

#设置预共享密钥为aaa。在IKE过程中，预共享密钥将用于身份验证和密钥协商，以确保通信双方的安全性。
 
#指定远程地址为172.17.0.10。在IPSec VPN隧道建立之前，该地址将用于与远程对等体进行IKE协商。


# 配置IPSec策略 的名称为aaa，优先级为10

#指定使用之前定义的IKE对等体172.17.0.10进行IKE协商。

#指定使用之前定义的IPSec提议ipsec来进行ESP协议的身份验证和加密。



#配置单臂路由

LSW7

system-view
sysname LSW7
undo info-center enable

vlan batch 10 100

interface Ethernet0/0/1
 port link-type trunk
 port trunk allow-pass vlan 10 100

interface Ethernet0/0/2
 port link-type access
 port default vlan 10

interface Ethernet0/0/3
 port link-type access
 port default vlan 100

interface Ethernet0/0/4
 port link-type access
 port default vlan 100

（四）江苏办

AR8

system-view
sysname AR8
undo info-center enable

#创建acl，用于vpn限制流量


#定义IPSec VPN隧道中使用的加密和身份验证算法


#配置IKE对等体15

# 配置IPSec策略16



#配置单臂路由

LSW8

system-view
sysname LSW8
undo info-center enable

vlan batch 30 40

interface Ethernet0/0/1
 port link-type trunk
 port trunk allow-pass vlan 30 40

interface Ethernet0/0/2
 port link-type access
 port default vlan 30

interface Ethernet0/0/3
 port link-type access
 port default vlan 40