公司内网建设步骤 第1篇
PDF公司根据业务发展的现况以及未来的展望,在广州A大厦申请了A栋两层楼作为公司总部基地,公司要求网络管理员根据公司的网络业务需求搭建出网络。目前公司总部设有接待部(约53人)、技术部(约23人)、财务部(约24人)(IP地址规划)、为了方便项目管理部开展业务,需要自动获取公司DNS服务器IP地址。公司已经申请了一条互联网专线并配有一个公网IP,希望所有员工都能访问Internet。后期规划所有设备可由网络管理员进行远程管理。
采用三层组网结构,核心层、汇聚层,接入层,各个部门主机通过接入层接入网络。
合理、有效的使用VLAN技术,避免广播风暴,提高网络带宽的利用率和局域网实用性和可扩展性。
使用私有地址时,不必考虑节约地址,为了便于IP地址管理,使用网段划分子网,然后将每个子网分配给每个部门VLAN。
为了方便员工获取DNS服务器IP地址,采用DHCP方式自动为公司内部主机分配IP及DNS地址。
结合相应的网络技术(MSTP+VRRP+LACP)来提高网络的可靠性和利用率。
使用ospf的多区域模式来规划网络,进行路由信息传递。
部署FIT AP完成无线覆盖,为访客提供更灵活、高效和经济的服务。
部署NAT技术、公网与私网的地址映射,实现访问内外网需求。
为了方便网络管理员设备远程管理,启用所有设备的SSH服务。
采用三层组网结构,路由器AR1作为整个局域网的出口路由器,与运营商连接通向外网;LSW3、LSW4两台三层交换机为公司的核心网络工作场景,主机通过LSW1、LSW2两台二层交换机接入网络,部署WLAN提供无线网络,方便流动员工办公及访客接入。
图1 实验拓扑
公司内网建设步骤 第2篇
公司的的访客处采用网段、接待部采用网段、技术部采用网段,财务部采用网段。Loopback口采用比如标识。
VLAN-ID
Vlan 10
接待部网段
Vlan 11
技术部网段
Vlan 12
财务部网段
Vlan100
管理AP网段
Vlan101
访客处网段
Vlan102
Dns服务器网段
Vlan13
与AR1链路连接网段
Vlan14
设备名称
IP地址
LSW3
Vlanif 10
IP:
Vlanif 11
IP:
Vlanif 12
IP:
Vlanif 13
IP:
Vlanif 100
IP:
Vlanif 101
IP:
Loopabck 0
IP:
LSW4
Vlanif 10
IP:
Vlanif 11
IP:
Vlanif 12
IP:
Vlanif 14
IP:
Vlanif 102
IP:
Loopback 0
IP:
Vlanif 100
IP:
AR1
GE0/0/1
IP:
GE0/0/2
IP:
GE0/0/0
IP:
Loopback 0
ISP
GE0/0/0
IP:
GE0/0/1
IP:
DNS 服务器
ET0/0/0
IP:
GW:
Web服务器
ET0/0/0
IP:
GW:
Client1
ET0/0/0
IP:
GW:
在交换机上为各部门创建相应的VLAN,配置接口模式,二层交换机以LSW1配置为例,LSW2类似,省略;三层交换机以LSW3为例,LSW4类似,省略。交换机创建vlan并划分接口模式的配置如下:
LSW1
vlan batch 10 to 12
interface Ethernet0/0/1
port link-type access
port default vlan 10
interface Ethernet0/0/2
port link-type access
port default vlan 10
interface GigabitEthernet0/0/1
port link-type trunk
port trunk allow-pass vlan 10 to 200
interface GigabitEthernet0/0/2
port link-type trunk
port trunk allow-pass vlan 10 to 200
LSW3
vlan batch 10 to 13 100 to 101
interface GigabitEthernet0/0/1
port link-type access
port default vlan 13
interface GigabitEthernet0/0/2
port link-type trunk
port trunk allow-pass vlan 10 to 200
interface GigabitEthernet0/0/3
port link-type trunk
port trunk allow-pass vlan 10 to 200
interface GigabitEthernet0/0/4
port link-type trunk
port trunk allow-pass vlan 10 to 200
interface GigabitEthernet0/0/5
port link-type trunk
port trunk pvid vlan 100
port trunk allow-pass vlan 10 to 200
port-isolate enable group 1
SW3与LSW4两台设备间有3条链路, 在LSW3、LSW4之间配置链路聚合,采用LACP负载分担方式。
将LSW3的GE0/0/10、GE0/0/11、GE0/0/12与LSW4的GE0/0/10、GE0/0/11、GE0/0/12进行聚合,使用端口号为2;修改LACP优先级,使LSW3设备成为主动端;修改接口开销值,GE0/0/12接口成为备份接口;设置最大活跃链路数为2,即2链路处于转发状态,1条链路处于备份状态;输出配置命令如下:
LSW3
lacp priority 6666 #配置接口LACP优先级为6666
LSW3、LSW4
interface Eth-Trunk2
mode lacp-static #配置Eth-trunk的工作模式为LACP模式
trunkport GigabitEthernet 0/0/10 #增加成员接口GE0/0/10
trunkport GigabitEthernet 0/0/11
trunkport GigabitEthernet 0/0/12
quit
interface eth-trunk 2
lacp preempt enable #开启LACP模式下LACP优先级抢占功能
max active-linknumber 2 #设置活动接口数目上限值为2
lacp preempt delay 10 #配置抢占等待时间为10s,默认30s
LSW4
lacp priority 32769
在LSW1、LSW2 、LSW3 、LSW4都运行STP协议,STP模式为MSTP。
配置MST域并创建多实例,域名为zhku,配置VLAN10映射到实例1,VLAN11 12映射到实例2。
配置LSW3为实例1的根桥,为实例2的备份根桥;
配置LSW4为实例2的根桥,为实例1的备份根桥。
配置所有与客户端相连的交换机端口为边缘端口,不参加STP计算,直接进入 Forwarding 状态转发,及开启BPDU防护功能。配置如下:
LSW1、LSW2、LSW3、LSW4
stp region-configuration #进入MST域视图
region-name zhku #域名为zhku
instance 1 vlan 10 #vlan10映射到实例1
instance 2 vlan 11 to 12 #vlan11 12映射到实例2
active region-configuration #激活MST域配置
quit
LSW3
stp instance 1 root primary #配置实例1为根桥
stp instance 2 root secondary #配置实例2为备份根桥
LSW4
stp instance 2 root primary
stp instance 1 root secondary
LSW1、LSW2
stp bpdu-protection #启动BPDU保护
interface Ethernet0/0/1
stp edged-port enable #配置端口为边缘端口
quit
interface Ethernet0/0/2
stp edged-port enable
公司内网建设步骤 第3篇
测试LSW3、LSW4三层交换机之间配置了LACP模式的链路聚合,存在三条链路,其中两条是活动链路,具有负载分担能力,一条是冗余备份链路,当活动链路出现故障时,备份链路可以代替故障链路,保证数据传输的可靠性。
图2 LSW3的链路聚合状态
图3 LSW3上shutdown一个链路聚合的活动端口10
图4 LSW3的链路聚合状态
查看交换机的STP端口情况,会发现与客户端直连的交换机LSW1、LSW2开启了BPDU保护,开启边缘端口,在不同实例中,端口角色也不一样。
图5 LSW3的端口状态和端口保护信息
图6 LSW1的端口状态和端口保护信息
图7 LSW1上shutdown掉MSTI1的根端口
图8 LSW1的端口状态和端口保护信息
LSW3、LSW4上配置了相同的虚拟网关,当其中一台交换机出现故障时,另一台交换机可以及时接替所有的业务,避免网关单点故障。在VRRP的基础上配置监视上行接口,可以避免当上行接口出现错误故障时,交换机不能及时发现,造成业务中断情况。
手动关闭上行端口,模拟端口故障可以看到交换机的VRRP主备之间切换情况,手动开启端口,主备之间的关系又会切换回来。
图9 在LSW3上shutdown掉GE0/0/1接口
图10 查看LSW4的VRRP简要信息
图11 在LSW3上undo shutdown开启GE0/0/1接口
图12 查看LSW4的VRRP简要信息
看DHCP服务器有没有配置成功,客户端能不能自动获取到IP地址和DNS服务器的IP地址。并启动DNS server服务,客户端能根据域名解析出DNS的IP地址。用ipconfig命令测试部门主机能自动获取IP地址和DNS服务器地址。
图13 启动DNS server主机域名服务
图14 PC2自动获取IP地址与域名解析
PC3、PC4与PC2一样可以自动获取IP地址与域名解析,这里就不放截图了。
STA设备查看是否部署WIFI成功,让用户成功连接上。
图15 STA2自动获取IP地址与DNS服务器的连通性
内网访问外网使用接待部、技术部主机测试。
图16 PC1用ping命令访问外网
图17 PC3用ping命令访问外网
图18 STA能ping通外网但不能ping通部门主机
图19 外网Client1访问内网www服务
如果网络需要管理员做相关调整的话,管理员不用到公司现场,也可通过SSH协议远程控制设备做调整。现在在ISP上做测试可远程到公司的出口路由器AR1,以AR1做跳板可远程到公司的核心交换机上。
图24 通过ISP远程到内网设备AR1、LSW3、LSW4