基于华为设备的某大型企业网络规划与实施方案
目录
二、业务需求
三、技术需求
四、网络拓扑图
五、设备选型
六、VLAN规划
七、设备接口IP地址规划
八、设备配置脚本
(一)杭州总部
AR2
LSW4
LSW5
Data-Center
DHCP-Server
AC
(二)ISP城域网
ZJ-ISP-3
ZJ-ISP-4
ZJ-ISP-5
ZJ-ISP-6
SH-ISP-7
JS-ISP-13
(三)上海办
AR9
LSW7
(四)江苏办
AR8
LSW8
【如有疑问,欢迎大家在评论区一起交流~】
一、项目背景
XXX公司是一家以从事互联网和相关服务为主的企业,总部设有财务、人事、售前、售后等部门,......,公司分布在杭州、上海、江苏等地。
二、业务需求
公司总部设立在杭州,并在上海、江苏等地设立办事处,运营商完成总部与各地办事处之间的网络连通,由于公司业务的要求,总部与办事处的内网都能访问公网,并通过VPN技术实现内网互通。财务部无法访问外网,其他部门无法访问财务部终端设备。
通过使用华为设备与核心层、汇聚层、接入层三层网络结构设计,可以使得整个企业网的稳定运行,在设备优良的性能和结构良好的保护方式下,保证了企业网络的流畅性、稳定性,从而提高了网络的工作效率。
三、技术需求
(1)核心层交换机采用二层链路聚合技术实现双机热备和网关冗余;
(2)企业向运营商申请MPLSVPN服务,实现总部和分支机构的VPN互通。
(3)终端无法访问财务部,财务部无法访问外网;
(4)总部、ISP和各办事处处在不同自治系统中,由城域网完成互联;
(5)运营商网络进行全面的MPLS改造,增加主干网络的数据转发速度。
(6)使用BGP联盟的技术实现运营商主干网络的互通。
四、网络拓扑图
五、设备选型
序号 | 设备名称 | 型号 | 数量 | 单价(¥) | 合计(¥) |
1 | |||||
2 | |||||
3 | |||||
4 | |||||
5 | |||||
六、VLAN规划
总部VLAN规划表
设备 | VLAN ID | 网段 | 备注 |
LSW1 | VLAN 10 | 10.0.10.0/24 | 技术部门VLAN |
VLAN 20 | 10.0.20.0/24 | 财务部门VLAN | |
LSW2 | VLAN 30 | 10.0.30.0/24 | 人事部门VLAN |
VLAN 40 | 10.0.40.0/24 | 售前部门VLAN | |
LSW3 | VLAN 50 | 10.0.50.0/24 | 售后部门VLAN |
VLAN 60 | 10.0.60.0/24 | 项目管理部VLAN | |
LSW4 | VLAN 10 | ||
VLAN 20 | |||
VLAN 30 | |||
VLAN 40 | |||
VLAN 50 | |||
VLAN 60 | |||
VLAN 75 | AC专用VLAN | ||
VLAN 200 | 数据中心VLAN | ||
VLAN 1000 | 连接企业出口路由 | ||
LSW5 | VLAN 10 | ||
VLAN 20 | |||
VLAN 30 | |||
VLAN 40 | |||
VLAN 50 | |||
VLAN 60 | |||
VLAN 2000 | 连接企业出口路由 | ||
AC | VLAN 70 | AP1(公司员工)专用VLAN | |
VLAN 80 | AP2(客户)专用VLAN | ||
VLAN 75 | AC专用VLAN | ||
Data-Center | VLAN 200 | 数据中心VLAN |
办事处VLAN规划表
设备 | VLAN ID | 网段 | 备注 |
LSW7 | VLAN 10 | 10.1.10.0/24 | 上海办终端VLAN |
VLAN 100 | 10.1.100.0/24 | 上海办信息中心VLAN |
办事处VLAN规划表
设备 | VLAN ID | 网段 | 备注 |
LSW8 | VLAN 30 | 10.2.30.0/24 | 江苏办技术部门VLAN |
VLAN 40 | 10.2.40.0/24 | 江苏办售后部门VLAN |
七、设备接口IP地址规划
总部设备接口IP地址规划表
设备 | 接口 | 接口 类型 | IP地址/ 默认vlan | 对端设备 | 对端设备接口 |
LSW1 | E 0/0/1 | Access | Vlan 10 | 技术PC | E 0/0/1 |
E 0/0/2 | Access | Vlan 20 | 财务PC | E 0/0/1 | |
E 0/0/3 | Trunk | / | LSW4 | G 0/0/3 | |
E 0/0/4 | Trunk | / | LSW5 | G 0/0/4 | |
LSW2 | |||||
LSW3 | |||||
LSW3 | |||||
LSW4 | |||||
LSW5 | |||||
Data-Center | |||||
DHCP-Server | |||||
AC | |||||
AR2 | |||||
办事处设备接口IP地址规划表
设备 | 接口 | 接口 类型 | IP地址/ 默认vlan | 对端设备 | 对端设备接口 |
AR9 | G 0/0/0.10 | / | 10.1.10.1/24 | LSW7 | E 0/0/1 |
G 0/0/0.100 | / | 10.1.100.1/24 | LSW7 | E 0/0/1 | |
LSW7 | E 0/0/1 | Trunk | / | AR9 | G0/0/0 |
办事处设备接口IP地址规划表
设备 | 接口 | 接口 类型 | IP地址/ 默认vlan | 对端设备 | 对端设备接口 |
AR8 | G 0/0/0.30 | / | 10.2.30.1/24 | LSW8 | E 0/0/1 |
LSW8 | |||||
八、设备配置脚本
(一)总部
AR2
system-view
sysname AR2
undo info-center enable
#创建acl 3000用于nat流量分类
acl number 3000
#禁止财务部PC访问外网
rule 5 deny ip source 10.0.20.0 0.0.0.255
#禁止源IP地址为10.0.0.0/16且目的地IP地址为10.1.0.0/16的所有IP流量通过。10.1.0.0/16为上海办网段,该acl为nat专用,此处不放行。
rule 10 deny ip source 10.0.0.0 0.0.255.255 destination 10.1.0.0 0.0.255.255
#禁止源IP地址为10.0.0.0/16且目的地IP地址为10.2.0.0/16的所有IP流量通过。10.2.0.0/16为江苏办网段,该acl为nat专用,此处不放行。
rule 20 deny ip source 10.0.0.0 0.0.255.255 destination 10.2.0.0 0.0.255.255
#允许源IP地址为10.0.0.0/16的所有IP流量通过,除了目的地为10.1.0.0/16、10.2.0.0/16外。
rule 30 permit ip source 10.0.0.0 0.0.255.255
#创建acl 3001用于vpn流量分类
acl number 3001
#允许源IP地址为10.0.0.0/16且目的地IP地址为10.1.0.0/16的所有IP流量通过。
rule 10 permit ip source 10.0.0.0 0.0.255.255 destination 10.1.0.0 0.0.255.255
#允许源IP地址为10.0.0.0/16且目的地IP地址为10.2.0.0/16的所有IP流量通过。
rule 20 permit ip source 10.0.0.0 0.0.255.255 destination 10.2.0.0 0.0.255.255
#创建两组流量分类器,用于根据预定义条件对数据包进行分类和标记。
LSW4
system-view
sysname LSW4
undo info-center enable
#
vlan batch 10 20 30 40 50 60 75 200 1000
#将实例1的根桥优先级设置为primary,即让实例1中的交换机成为该VLAN下的主根;
#将实例2的根桥优先级设置为secondary,即实例2的交换机将以备份根桥的身份运行,并辅助实例1中的主根桥进行冗余计算。
#将VLAN10、20和30的网段划分到实例1中;VLAN40、50和60的网段划分到实例2中。
LSW5
system-view
sysname LSW5
undo info-center enable
#
vlan batch 10 20 30 40 50 60 200 2000
#将实例1的根桥优先级设置为primary,即让实例1中的交换机成为该VLAN下的主根;
#将实例2的根桥优先级设置为secondary,即实例2的交换机将以备份根桥的身份运行,并辅助实例1中的主根桥进行冗余计算。
#将VLAN40、50和60的网段划分到实例1中;VLAN10、20和30的网段划分到实例2中。
Data-Center
system-view
sysname Data-Center
undo info-center enable
#
vlan batch 200
#
#
interface Ethernet0/0/1
port link-type trunk
port trunk allow-pass vlan 200
#
interface Ethernet0/0/2
port link-type access
port default vlan 200
#
interface Ethernet0/0/3
port link-type access
port default vlan 200
#
interface Ethernet0/0/4
port link-type access
port default vlan 200
DHCP-Server
system-view
sysname DHCP-Server
undo info-center enable
dhcp enable
#配置地址池
AC
system-view
sysname AC
undo info-center enable
vlan batch 70 75 80
dhcp enable
#配置AP
(二)ISP城域网
ZJ-ISP-3
system-view
sysname ZJ-ISP-3
undo info-center enable
#配置vpn
#配置MPLS
#配置bgp
ZJ-ISP-4
system-view
sysname ZJ-ISP-4
undo info-center enable
#配置MPLS
#配置bgp
ZJ-ISP-5
system-view
sysname ZJ-ISP-5
undo info-center enable
#配置vpn
#配置MPLS
#配置bgp
ZJ-ISP-6
system-view
sysname ZJ-ISP-6
undo info-center enable
#配置vpn
#配置MPLS
#配置bgp
SH-ISP-7
system-view
sysname SH-ISP-7
undo info-center enable
#配置vpn
#配置MPLS
#配置bgp
JS-ISP-13
system-view
sysname JS-ISP-13
undo info-center enable
#配置vpn
#配置MPLS
#配置bgp
(三)上海办
AR9
system-view
sysname AR9
undo info-center enable
#创建acl,用于vpn限制流量
#定义IPSec VPN隧道中使用的加密和身份验证算法
#指定该IKE对等体 的名称为172.17.0.10,并使用IKEv1协议进行通信。
#设置预共享密钥为aaa。在IKE过程中,预共享密钥将用于身份验证和密钥协商,以确保通信双方的安全性。
#指定远程地址为172.17.0.10。在IPSec VPN隧道建立之前,该地址将用于与远程对等体进行IKE协商。
# 配置IPSec策略 的名称为aaa,优先级为10
#指定使用之前定义的IKE对等体172.17.0.10进行IKE协商。
#指定使用之前定义的IPSec提议ipsec来进行ESP协议的身份验证和加密。
#配置单臂路由
LSW7
system-view
sysname LSW7
undo info-center enable
vlan batch 10 100
interface Ethernet0/0/1
port link-type trunk
port trunk allow-pass vlan 10 100
interface Ethernet0/0/2
port link-type access
port default vlan 10
interface Ethernet0/0/3
port link-type access
port default vlan 100
interface Ethernet0/0/4
port link-type access
port default vlan 100
(四)江苏办
AR8
system-view
sysname AR8
undo info-center enable
#创建acl,用于vpn限制流量
#定义IPSec VPN隧道中使用的加密和身份验证算法
#配置IKE对等体15
# 配置IPSec策略16
#配置单臂路由
LSW8
system-view
sysname LSW8
undo info-center enable
vlan batch 30 40
interface Ethernet0/0/1
port link-type trunk
port trunk allow-pass vlan 30 40
interface Ethernet0/0/2
port link-type access
port default vlan 30
interface Ethernet0/0/3
port link-type access
port default vlan 40