以图中所示的接入交换机ACC1(S2750),核心交换机CORE(S5700)和出口路由器Router(AR系列路由器)为例。
注:
1、在中小园区中,S2700&S3700通常部署在网络的接入层,S5700&S6700通常部署在网络的核心,出口路由器一般选用AR系列路由器。
2、核心交换机配置VRRP保证网络可靠性,配置负载分担有效利用资源。
3、每个部门业务划分到一个VLAN中,部门间的业务在CORE上通过VLANIF三层互通。
4、核心交换机作为DHCPServer,为园区用户分配IP地址。
5、接入交换机上配置DHCPSnooping功能,防止内网用户私接小路由器分配IP地址;同时配置IP报文检查功能,防止内网用户私自更改IP地址。
数据规划
快速配置中小园区
配置管理IP和Telnet
配置网络互连互通
配置DHCP
a.配置DHCP服务器
网络管理员为每个终端配置固定的IP地址,当网络规模逐渐增大,为终端手工配置地址变得繁琐和难以管理。为减轻管理负担,管理员决定所有终端用户全部改为自动从DHCP服务器获取地址,除了个别必须固定地址的终端。
配置核心交换机作为DHCP Server,使所有部门的用户都能动态获取到正确的IP地址。以下以CORE1作为主用DHCP Server,以部门A为例,说明DHCP Server的配置步骤
b.配置DHCPsnooping和IPSG
配置了DHCP功能之后,部门内用户主机可以自动获取地址。但是为了防止员工在内网私自接一个小路由器并开启DHCP自动分配地址的功能,导致内网合法用户获取到了私接的小路由器分配的地址而不能正常上网,还需要配置DHCPSnooping功能。
以下以部门A为例,说明DHCPSnooping的配置过程。
完成上述配置之后,部门A的用户就可以从合法的DHCP服务器获取IP地址,内网私接的小路由器分配地址不会干扰到内网正常用户。
为了防止部门内用户私自更改IP地址后攻击网络,在接入交换机开启DHCPSnooping功能后,还需要开启IP报文检查功能,具体配置以ACC1为例。
这样ACC1从VLAN10收到报文后会将报文与动态绑定表的表项进行匹配,放行匹配的报文,丢弃不匹配的报文。如果不想对整个VLAN收到的报文进行检查,可以只在连接某个终端的接口上开启IP报文检查功能。
配置OSPF
由于内网互联使用的是静态路由,在链路出现故障之后需要管理员手动配置新的静态路由,造成网络长时间中断,影响业务。为了减少这种故障的发生,使用动态路由协议是一种不错的选择。动态路由有自己的算法,在链路出现故障之后动态路由根据自己的算法及时把流量切换到正常的链路,等到故障恢复之后流量又切过来。下面以动态路由协议OSPF为例进行配置:
配置可靠性和负载分担
a.配置VRRP联动接口检测链路
当CORE1到出口路由器的链路出现故障后,流量会通过CORE1到CORE2的互联链路经由CORE2到达出口路由器,此时就增加了互联链路负担,对互联链路的稳定性和带宽负载要求都很高。现网环境中我们往往希望主备设备的上行接口出现故障的时候可以实现主备的快速切换,通过配置VRRP与接口状态联动功能可以实现此快速切换。在VRRP备份组中配置对上行接口进行监听,当监听到接口down了,设备会通过降低优先级来实现主备切换。
b.配置负载分担
随着业务的增长,经由CORE1的链路带宽占用率太高,但是经过CORE2的链路是闲置的,这样不但可靠性不好而且浪费资源,有效利用左右两边两条链路显得尤为重要。把VRRP主备备份配置为负载分担,一些VLAN以CORE1为主设备,另一些VLAN以CORE2为主设备,不同VLAN的流量被分配到了左右两条链路上,有效的利用现网资源。此处CORE1继续作为VLAN10的主设备,修改CORE2的优先级使其成为VLAN20的主设备。
配置链路聚合
当CORE1或者CORE2的上行发生故障时,流量经过CORE1和CORE2互联的链路,但是单条链路有可能带宽不够,因而造成数据丢失。为了增加带宽,把多条物理链路捆绑为一条逻辑链路,增加带宽的同时提高了链路的可靠性,具体配置如下:
CORE2的配置同上,只是无需配置系统优先级,使用系统默认的优先级即可。
配置限速
a.基于IP地址限速
由于交换机配置每IP限速不是很方便而且需要消耗大量的硬件ACL资源,所以我们只能在AR路由器上配置每IP限速。
由于带宽有限,不能影响正常办公,需要限制内网每个IP地址上传和下载的网速不能超过512kbit/s,在出口路由器连接内网交换机的物理接口做每IP限速。
b.基于网段总流量限速
随着业务的增长,为了给部门A留有足够的带宽,需要对部门B进行网速限速,要求部门B访问互联网的网速不能超过2M,下载的网速不能超过4M。
接口GE0/0/2及其他网段做限速的方式同上。
配置映射内网服务器和公网多出口
a.配置映射内网服务器
随着业务的发展,内网的WWW服务器和FTP文件服务器不能仅限于内网用户访问,对外也要提供服务,公网和内网用户都要通过公网地址来访问服务器提供的服务
内网接口GE0/0/2的配置同上。
b.配置公网多出口
刚开始企业在运营商只申请了一条链路,随着业务的发展,一条链路不能满足企业的网络带宽,需要在原有链路的基础上再申请一条链路,由原来的单出口改为双出口,对内网不同的网段进行控制让其走指定的链路上网。
配置完策略路由之后,内网192.168.10.0网段的数据访问互联网走的是GE0/0/0接口,而192.168.20.0网段的数据访问互联网走的是GE1/0/0接口,通过PPPoE拨号上网。
业务验证和保存配置
a.业务验证
保存配置
通过命令行配置的数据是临时性的。如果不保存,交换机重启后这些配置都会丢失。
如果要使当前配置在交换机重启后仍然有效,需要将当前配置保存为配置文件。
以CORE1为例:
