目录一、项目背景二、需求分析三、拓扑与规划四、关键配置4.1 VRRP冗余网关4.2 Eth-Trunk链路聚合4.3 DHCP地址池4.4 ACL访问控制4.5 NAT地址转换五、测试验证5.1 VRRP切换测试5.2 链路聚合测试5.3 DHCP测试5.4 ACL过滤测试5.5 NAT外网访问测试5.6 路由状态测试六、项目总结一、项目背景本项目是学校整周实训课程的企业级网络部署实战独立完成了从需求梳理、规划设计到部署测试的全流程工作。整个网络采用双核心高可用架构覆盖有线、无线、安全、出口等多个维度最终各项功能测试通过。以下为原始项目需求描述Jan16公司新建了一栋办公大楼为了满足日常的办公需求公司决定为财务部、销售部、工程项目部、售后服务部及服务器群建立互联互通的有线网络。其中财务部及销售部位于行政管理子楼为满足其无线网络服务需要需单独部署AC并为每一个部门分配独立AP。工程项目部和售后服务部位于运营实施子楼需要部署类似的无线网络以满足无线网络服务需求。所有部门客户主机均需自动获取IP地址、网关地址及DNS地址。同时公司还申请了一条外网专线所有内部主机均能通过该专线访问互联网。由于公司业务要求网络稳定因此需要做网络相关的冗余部署以确保网络不中断。在公司的服务器区部署了财务专用的FTP服务器要求只有财务部门主机可以访问同时还部署了公司官方主页网站要求外网的客户可以通过公司域名访问公司官网。公司还通过串口专线连接到了分公司的网络为确保连接安全需要对串口连接进行认证加密。分部和总部之间需要实现全网互通。分部的经理和员工要求划分在不同网段并且经理有权限可以访问总部的财务专用FTP服务器。分部的所有用户也能使用总部的internet专线访问互联网。二、需求分析拿到项目需求后我先梳理了以下12条技术需求作为后续规划的依据1、为公司财务部、销售部、工程项目部、售后服务部及服务器群分别单独设立vlan以实现分类网络管理。同时还需为总部所有交换机的管理IP、分部经理和员工分别配置VLAN以满足网络管理需要。2、可以采用双核心交换机实现数据的稳定传输通过冗余设置避免单点故障。在两台核心交换机之间可以采用eth-trunk技术提高网络连接带宽并提供冗余网络实现数据高速转发。3、为避免单点故障和二层环路可在交换机间部署多条网络链路需在所有交换机上开启快速生成树协议。4、在两台核心交换机上使用VRRP技术为所有客户端提供冗余网关确保客户数据转发不中断。5、在核心交换机上部署DHCP服务器为所有不同部门的客户端提供IP地址、网关及DNS地址确保所有客户机器能够正常上网。6、总部和分部的所有内部网络采用OSPF动态路由协议使内部网络全网互通。7、出口路由器上设置NAT网络地址转换使所有内部客户可以通过公网地址正常访问INTERNET。同时设置公司web站点的静态映射将内部服务器发布到外网。8、使用ACL技术控制客户对公司财务专用FTP服务器的访问。9、从总部到分部的链路上使用PPP chap认证确保数据传输的可靠性和安全性。10、在分部使用单臂路由实现多网段的互联互通。11、部署无线网络通过瘦AP的方式部署不同区域无线网络以满足不同部门的无线网络服务需求。12、所有网络设备均部署网络管理密码和SSH远程登陆密码及权限。三、拓扑与规划根据需求分析我设计了以下网络拓扑。整体采用双核心汇聚接入三层架构行政管理子楼和运营实施子楼各自部署独立AC和AP总部通过出口路由器连接互联网和分公司。下面是详细的VLAN规划表和IP规划表我将4个部门、服务器区、分部以及管理网段分别划分了独立网段确保网络隔离和便于管理。1VLAN 规划VLAN-IDVLAN 命名网段用途10Cw-sw192.168.10.0/24财务部20Xs-sw192.168.20.0/24销售部30Gc-sw192.168.30.0/24工程项目部40Sh-sw192.168.40.0/24售后服务部50Server192.168.50.0/24服务器区60Manager192.168.60.0/24分部经理70Staff192.168.70.0/24分部员工98core-sw1192.168.98.1/24核心交换机管理 ip99core-sw2192.168.99.1/24核心交换机管理 ip100Core-sw110.0.1.0/30核心交换机 sw1 和 EG 互联101Core-sw210.0.2.0/30核心交换机 sw2 和 EG 互联2IP规划服务器名称接口IP 地址用途财务 FTP 服务器eth0192.168.50.10/24财务专用 FTP 服务公司 Web 服务器eth0192.168.50.20/24公司官网服务DNS 服务器eth0202.1.1.1/24全网 DNS 解析服务EGS1/0/0-s0/0/110.0.3.0/30路由器 EG 和 internet 互联EGS1/0/1-s1/0/110.0.4.0/30EG 和 tofb 互联csS1/0/0-s0/0/210.0.5.0/30Cs 和 internet 互联tofbS1/0/0-s1/0/010.0.6.0/30Tofb 和 fb 互联四、关键配置整个项目涉及交换机、路由器、无线AC等多类设备的配置这里选取几个核心技术的配置片段展示。4.1 VRRP冗余网关两台核心交换机之间部署VRRP实现网关冗余。core-sw1作为VLAN10财务、VLAN20销售、VLAN50服务器的主网关core-sw2作为VLAN30工程、VLAN40售后的主网关实现负载分担。同时配置了上行 链路track当上行链路故障时自动降低优先级触发主备切换。core-sw1# VLAN10、20、50 主网关interface Vlanif 10vrrp vrid 10 virtual-ip 192.168.10.254vrrp vrid 10 priority 120vrrp vrid 10 preempt-mode timer delay 20vrrp vrid 10 track interface GigabitEthernet 0/0/20 reduced 30quitinterface Vlanif 20vrrp vrid 20 virtual-ip 192.168.20.254vrrp vrid 20 priority 120vrrp vrid 20 preempt-mode timer delay 20vrrp vrid 20 track interface GigabitEthernet 0/0/20 reduced 30quitinterface Vlanif 50vrrp vrid 50 virtual-ip 192.168.50.254vrrp vrid 50 priority 120vrrp vrid 50 preempt-mode timer delay 20vrrp vrid 50 track interface GigabitEthernet 0/0/2 reduced 30quit# VLAN30、40、 备网关interface Vlanif 30vrrp vrid 30 virtual-ip 192.168.30.254vrrp vrid 30 track interface GigabitEthernet 0/0/21 reduced 30quitinterface Vlanif 40vrrp vrid 40 virtual-ip 192.168.40.254vrrp vrid 40 track interface GigabitEthernet 0/0/21 reduced 30quitquitcore-sw2 配置# VLAN10、20、50 备网关interface Vlanif 10vrrp vrid 10 virtual-ip 192.168.10.254quitinterface Vlanif 20vrrp vrid 20 virtual-ip 192.168.20.254quitinterface Vlanif 50vrrp vrid 50 virtual-ip 192.168.50.254quit# VLAN30、40主网关实现负载均衡interface Vlanif 30vrrp vrid 30 virtual-ip 192.168.30.254vrrp vrid 30 priority 120vrrp vrid 30 preempt-mode timer delay 20quitinterface Vlanif 40vrrp vrid 40 virtual-ip 192.168.40.254vrrp vrid 40 priority 120vrrp vrid 40 preempt-mode timer delay 20quitquit4.2 Eth-Trunk链路聚合核心交换机之间通过GE0/0/23和GE0/0/24两条物理链路绑定为Eth-Trunk1既增加了带宽又提供了链路冗余。core-sw1sysinterface Eth-Trunk 1description To_core-sw2_Eth-Trunk#配置负载分担模式基于源MAC分担流量load-balance src-macport link-type trunkport trunk allow-pass vlan 10 20 30 40 98 99undo p t a v 1quitinterface GigabitEthernet 0/0/23eth-trunk 1quitinterface GigabitEthernet 0/0/24eth-trunk 1quitcore-sw2sysinterface Eth-Trunk 1description To_core-sw1_Eth-Trunk#配置负载分担模式基于源MAC分担流量load-balance src-macport link-type trunkport trunk allow-pass vlan 10 20 30 40 98 99undo p t a v 1quitinterface GigabitEthernet 0/0/23eth-trunk 1quitinterface GigabitEthernet 0/0/24eth-trunk 1quit4.3 DHCP地址池在core-sw1和core-sw2上同步部署了四个部门的DHCP地址池客户端能自动获取IP、网关和DNS两台核心互为备份确保地址服务不中断。core-sw1system-viewdhcp enable# 财务部地址池ip pool CW_POOLgateway-list 192.168.10.254network 192.168.10.0 mask 255.255.255.0dns-list 202.1.1.1excluded-ip-address 192.168.10.1 192.168.10.99excluded-ip-address 192.168.10.201 192.168.10.253lease day 30quit# 销售部地址池ip pool XS_POOLgateway-list 192.168.20.254network 192.168.20.0 mask 255.255.255.0dns-list 202.1.1.1excluded-ip-address 192.168.20.1 192.168.20.99excluded-ip-address 192.168.20.201 192.168.20.253lease day 30quit# 工程项目部地址池ip pool GC_POOLgateway-list 192.168.30.254network 192.168.30.0 mask 255.255.255.0dns-list 202.1.1.1excluded-ip-address 192.168.30.1 192.168.30.99excluded-ip-address 192.168.30.201 192.168.30.253lease day 30quit# 售后服务部地址池ip pool SH_POOLgateway-list 192.168.40.254network 192.168.40.0 mask 255.255.255.0dns-list 202.1.1.1excluded-ip-address 192.168.40.1 192.168.40.99excluded-ip-address 192.168.40.201 192.168.40.253lease day 30quit# 接口开启DHCPinterface Vlanif 10dhcp select globalquitinterface Vlanif 20dhcp select globalquitinterface Vlanif 30dhcp select globalquitinterface Vlanif 40dhcp select globalquitcore-sw2 配置冗余 DHCPsystem-viewdhcp enable# 同步地址池配置ip pool CW_POOLgateway-list 192.168.10.254network 192.168.10.0 mask 255.255.255.0dns-list 202.1.1.1excluded-ip-address 192.168.10.1 192.168.10.99excluded-ip-address 192.168.10.201 192.168.10.253lease day 30quitip pool XS_POOLgateway-list 192.168.20.254network 192.168.20.0 mask 255.255.255.0dns-list 202.1.1.1excluded-ip-address 192.168.20.1 192.168.20.99excluded-ip-address 192.168.20.201 192.168.20.253lease day 30quitip pool GC_POOLgateway-list 192.168.30.254network 192.168.30.0 mask 255.255.255.0dns-list 202.1.1.1excluded-ip-address 192.168.30.1 192.168.30.99excluded-ip-address 192.168.30.201 192.168.30.253lease day 30quitip pool SH_POOLgateway-list 192.168.40.254network 192.168.40.0 mask 255.255.255.0dns-list 202.1.1.1excluded-ip-address 192.168.40.1 192.168.40.99excluded-ip-address 192.168.40.201 192.168.40.253lease day 30quit# 接口开启DHCPinterface Vlanif 10dhcp select globalquitinterface Vlanif 20dhcp select globalquitinterface Vlanif 30dhcp select globalquitinterface Vlanif 40dhcp select globalquit4.4 ACL访问控制在服务器区交换机上配置ACL 3000只允许财务部192.168.10.0/24访问财务FTP服务器拒绝其他所有部门。server配置sys# 高级ACL仅过滤访问FTP服务器的流量acl number 3000# 允许财务部门访问FTPrule 5 permit ip source 192.168.10.0 0.0.0.255 destination 192.168.50.10 0# 拒绝其他所有访问FTP的流量rule 10 deny ip destination 192.168.50.10 0quitinterface Ethernet 0/0/1# 在入方向应用 ACL过滤发往 FTP 服务器的流量traffic-filter inbound acl 3000quit4.5 NAT地址转换出口路由器配置NAT实现内网访问互联网web服务器静态映射到公网。EG配置acl number 2000rule 5 permit source 192.168.0.0 0.0.255.255rule 10 permit source 10.0.1.0 0.0.0.3rule 15 permit source 10.0.2.0 0.0.0.3quitnat static global 202.1.1.10 inside 192.168.50.20interface Serial 1/0/0nat outbound 2000nat static enablequit五、测试验证所有配置完成后我对整个网络进行了12项功能测试这里展示几项关键测试结果5.1 VRRP切换测试关闭core-sw1后所有VLAN网关自动切换到core-sw2客户端ping外网不丢包。5.2 链路聚合测试测试核心间 Eth-Trunk 链路断开其中一条物理链路网络不中断带宽正常。5.3 DHCP测试各VLAN客户端均可自动获取IP地址、网关及DNS核心切换后可重新从备份核心获取地址。5.4 ACL过滤测试财务部PC可正常访问FTP服务器销售部PC无法访问安全策略生效。5.5 NAT外网访问测试内网 PC 可正常访问外网外网用户可通过公网地址正常访问公司 Web 服务器。5.6 路由状态测试使用财务部 PC ping 分部员工 PC全网互通丢包率为 0。六、项目总结这次实训一个人把整个网络搭了一遍先梳理需求画拓扑做规划表然后配双核心、VRRP、Eth-Trunk、DHCP、ACL、NAT最后一项项测试全部通过。中间遇到不通就抓包看路由表定位找到问题再改没瞎试。做完最大的感受就是遇到没做过的多查文档、多动手试总能搞定。对后续工作帮助很大