基于华为设备的某大型企业网络规划与实施方案
2024-04-25 23:20:53
目录
一、项目背景
二、业务需求
三、技术需求
四、网络拓扑图
五、设备选型
六、VLAN规划
七、设备接口IP地址规划
八、设备配置脚本
(一)杭州总部
AR2
LSW4
LSW5
Data-Center
DHCP-Server
AC
(二)ISP城域网
ZJ-ISP-3
ZJ-ISP-4
ZJ-ISP-5
ZJ-ISP-6
SH-ISP-7
JS-ISP-13
(三)上海办
AR9
LSW7
(四)江苏办
AR8
LSW8
九、附录
【如有疑问,欢迎大家在评论区一起交流~】
一、项目背景
XXX公司是一家以从事互联网和相关服务为主的企业,总部设有财务、人事、售前、售后等部门,......,公司分布在杭州、上海、江苏等地。
二、业务需求
公司总部设立在杭州,并在上海、江苏等地设立办事处,运营商完成总部与各地办事处之间的网络连通,由于公司业务的要求,总部与办事处的内网都能访问公网,并通过VPN技术实现内网互通。财务部无法访问外网,其他部门无法访问财务部终端设备。
通过使用华为设备与核心层、汇聚层、接入层三层网络结构设计,可以使得整个企业网的稳定运行,在设备优良的性能和结构良好的保护方式下,保证了企业网络的流畅性、稳定性,从而提高了网络的工作效率。
三、技术需求
(1)总部VLAN10、20、30的数据由SW4上行,SW5为备份;VLAN30、40、50的数据由SW5上行,SW4为备份;
(2)核心层交换机采用二层链路聚合技术实现双机热备和网关冗余;
(3)公司核心交换机上的数据要进行监控;
(4)企业向运营商申请MPLSVPN服务,实现总部和分支机构的VPN互通。
(5)公司终端无法访问财务部,财务部无法访问外网;
(6)杭州总部、ISP和各办事处处在不同自治系统中,由城域网完成互联;
(7)分支机构的内网地址不能出现在公网中。
(8)运营商网络进行全面的MPLS改造,增加主干网络的数据转发速度。
(9)使用BGP联盟的技术实现运营商主干网络的互通。
四、网络拓扑图
五、设备选型
|
序号 |
设备名称 |
型号 |
数量 |
单价(¥) |
合计(¥) |
| 1 | |||||
| 2 | |||||
| 3 | |||||
| 4 | |||||
| 5 | |||||
六、VLAN规划
杭州总部VLAN规划表
|
设备 |
VLAN ID |
网段 |
备注 |
|
LSW1 |
VLAN 10 |
10.0.10.0/24 |
技术部门VLAN |
|
VLAN 20 |
10.0.20.0/24 |
财务部门VLAN |
|
|
LSW2 |
VLAN 30 |
10.0.30.0/24 |
人事部门VLAN |
|
VLAN 40 |
10.0.40.0/24 |
售前部门VLAN |
|
|
LSW3 |
VLAN 50 |
10.0.50.0/24 |
售后部门VLAN |
|
VLAN 60 |
10.0.60.0/24 |
项目管理部VLAN |
|
|
LSW4 |
VLAN 10 |
||
|
VLAN 20 |
|||
|
VLAN 30 |
|||
|
VLAN 40 |
|||
|
VLAN 50 |
|||
|
VLAN 60 |
|||
|
VLAN 75 |
AC专用VLAN |
||
|
VLAN 200 |
数据中心VLAN |
||
|
VLAN 1000 |
连接企业出口路由 |
||
|
LSW5 |
VLAN 10 |
||
|
VLAN 20 |
|||
|
VLAN 30 |
|||
|
VLAN 40 |
|||
|
VLAN 50 |
|||
|
VLAN 60 |
|||
|
VLAN 2000 |
连接企业出口路由 |
||
|
AC |
VLAN 70 |
AP1(公司员工)专用VLAN |
|
|
VLAN 80 |
AP2(客户)专用VLAN |
||
|
VLAN 75 |
AC专用VLAN |
||
|
Data-Center |
VLAN 200 |
数据中心VLAN |
上海办VLAN规划表
|
设备 |
VLAN ID |
网段 |
备注 |
|
LSW7 |
VLAN 10 |
10.1.10.0/24 |
上海办终端VLAN |
|
VLAN 100 |
10.1.100.0/24 |
上海办信息中心VLAN |
江苏办VLAN规划表
|
设备 |
VLAN ID |
网段 |
备注 |
|
LSW8 |
VLAN 30 |
10.2.30.0/24 |
江苏办技术部门VLAN |
|
VLAN 40 |
10.2.40.0/24 |
江苏办售后部门VLAN |
七、设备接口IP地址规划
杭州总部设备接口IP地址规划表
|
设备 |
接口 |
接口 类型 |
IP地址/ 默认vlan |
对端设备 |
对端设备接口 |
|
LSW1 |
E 0/0/1 |
Access |
Vlan 10 |
技术PC |
E 0/0/1 |
|
E 0/0/2 |
Access |
Vlan 20 |
财务PC |
E 0/0/1 |
|
|
E 0/0/3 |
Trunk |
/ |
LSW4 |
G 0/0/3 |
|
|
E 0/0/4 |
Trunk |
/ |
LSW5 |
G 0/0/4 |
|
|
LSW2 |
|||||
|
LSW3 |
|||||
|
LSW3 |
|||||
|
LSW4 |
|||||
|
LSW5 |
|||||
|
Data-Center |
|||||
|
DHCP-Server |
|||||
|
AC |
|||||
|
AR2 |
|||||
上海办事处设备接口IP地址规划表
|
设备 |
接口 |
接口 类型 |
IP地址/ 默认vlan |
对端设备 |
对端设备接口 |
|
AR9 |
G 0/0/0.10 |
/ |
10.1.10.1/24 |
LSW7 |
E 0/0/1 |
|
G 0/0/0.100 |
/ |
10.1.100.1/24 |
LSW7 |
E 0/0/1 |
|
|
LSW7 |
E 0/0/1 |
Trunk |
/ |
AR9 |
G0/0/0 |
江苏办事处设备接口IP地址规划表
|
设备 |
接口 |
接口 类型 |
IP地址/ 默认vlan |
对端设备 |
对端设备接口 |
|
AR8 |
G 0/0/0.30 |
/ |
10.2.30.1/24 |
LSW8 |
E 0/0/1 |
|
LSW8 |
|||||
八、设备配置脚本
(一)杭州总部
AR2
system-view
sysname AR2
undo info-center enable
#创建acl 3000用于nat流量分类
acl number 3000
#禁止财务部PC访问外网 rule 5 deny ip source 10.0.20.0 0.0.0.255
#禁止源IP地址为10.0.0.0/16且目的地IP地址为10.1.0.0/16的所有IP流量通过。10.1.0.0/16为上海办网段,该acl为nat专用,此处不放行。rule 10 deny ip source 10.0.0.0 0.0.255.255 destination 10.1.0.0 0.0.255.255
#禁止源IP地址为10.0.0.0/16且目的地IP地址为10.2.0.0/16的所有IP流量通过。10.2.0.0/16为江苏办网段,该acl为nat专用,此处不放行。rule 20 deny ip source 10.0.0.0 0.0.255.255 destination 10.2.0.0 0.0.255.255
#允许源IP地址为10.0.0.0/16的所有IP流量通过,除了目的地为10.1.0.0/16、10.2.0.0/16外。rule 30 permit ip source 10.0.0.0 0.0.255.255 #创建acl 3001用于vpn流量分类
acl number 3001
#允许源IP地址为10.0.0.0/16且目的地IP地址为10.1.0.0/16的所有IP流量通过。rule 10 permit ip source 10.0.0.0 0.0.255.255 destination 10.1.0.0 0.0.255.255
#允许源IP地址为10.0.0.0/16且目的地IP地址为10.2.0.0/16的所有IP流量通过。rule 20 permit ip source 10.0.0.0 0.0.255.255 destination 10.2.0.0 0.0.255.255 #创建两组流量分类器,用于根据预定义条件对数据包进行分类和标记。#该分类器检查ACL 3001中允许的IP流量。如果流量匹配ACL 3001中一条规则,则该流量将被标记为“vpn”。
traffic classifier vpn operator orif-match acl 3001
#该分类器检查ACL 3000中允许和禁止的IP流量。如果流量匹配ACL 3000中一条规则,则该流量将被标记为“nat”。
traffic classifier8 nat operator orif-match acl 3000#如果数据包匹配了“vpn”分类器,则该数据包将被传输到IP地址为172.17.0.2的下一跳路由器
traffic behavior vpnredirect ip-nexthop 172.17.0.2
#如果数据包匹配了“nat”分类器,则该数据包将被传输到IP地址为220.100.0.2的下一跳路由器。
traffic behavior9 natredirect ip-nexthop 220.100.0.2#如果数据包匹配到“vpn”分类器,则该数据包将被传输到“vpn”流量行为;如果数据包匹配到“nat”分类器,则该数据包将被传输到“nat”流量行为。
traffic policy vpnclassifier vpn behavior vpn
traffic policy10 natclassifier nat behavior natinterface Serial4/0/0
#将PPP链路协议应用于该接口,以便将数据帧封装为点对点协议数据包进行传输。
link-protocol pppip address 220.100.0.1 255.255.255.0
#将TCP协议流量从全局(global)IP为220.100.0.1的地址重定向到内部(inside)IP地址为172.16.0.3的主机,其Web应用使用端口号80(www)。即当目标客户端通过Internet访问220.100.0.1:80时,数据流将被转发到172.16.0.3:80。nat server protocol tcp global 220.100.0.1 www inside 172.16.0.3 www
#当acl 3000匹配的源IP数据到达此接口时,转换为该接口的IP地址,作为源地址nat outbound 3000interface Serial4/0/1link-protocol pppip address 172.17.0.1 255.255.255.252 interface GigabitEthernet0/0/0ip address 10.0.0.2 255.255.255.252 interface GigabitEthernet0/0/1ip address 10.0.0.6 255.255.255.252 interface LoopBack0ip address 10.0.100.3 255.255.255.255 ospf 1 router-id 10.0.100.3
#将默认路由信息广播到OSPF域中的其他路由器,以便实现互联网接入。default-route-advertisearea 0.0.0.0 network 10.0.0.0 0.0.0.3 network 10.0.0.4 0.0.0.3 network 10.0.100.3 0.0.0.0 network 172.17.0.0 0.0.0.3 ip route-static 0.0.0.0 0.0.0.0 Serial4/0/0
LSW4
system-view
sysname LSW4
undo info-center enable
#
vlan batch 10 20 30 40 50 60 75 200 1000#将实例1的根桥优先级设置为primary,即让实例1中的交换机成为该VLAN下的主根;
#将实例2的根桥优先级设置为secondary,即实例2的交换机将以备份根桥的身份运行,并辅助实例1中的主根桥进行冗余计算。
stp instance 1 root primary
stp instance 2 root secondary
#
dhcp enable
#
stp region-configurationregion-name 1
#将VLAN10、20和30的网段划分到实例1中;VLAN40、50和60的网段划分到实例2中。instance 1 vlan 10 20 30instance 2 vlan 40 50 60active region-configuration#vlan10为技术部门vlan
interface Vlanif10ip address 10.0.10.253 255.255.255.0
#开启VRRP协议,并指定虚拟路由器ID为1,虚拟IP地址为10.0.10.1,优先级为120,在多个VRRP备份路由器存在时,优先级高的设备将成为Master;vrrp vrid 1 virtual-ip 10.0.10.1vrrp vrid 1 priority 120
#启用DHCP中继功能,让该虚拟接口转发来自客户端的DHCP请求;
#配置DHCP中继服务器的IP为172.16.0.1,将从客户端接收到的DHCP请求发送到该IP地址所在的DHCP服务器上。dhcp select relaydhcp relay server-ip 172.16.0.1#vlan20为财务部门vlan
interface Vlanif20ip address 10.0.20.253 255.255.255.0vrrp vrid 2 virtual-ip 10.0.20.1vrrp vrid 2 priority 120dhcp select relaydhcp relay server-ip 172.16.0.1#vlan30为人事部门vlan
interface Vlanif30ip address 10.0.30.253 255.255.255.0vrrp vrid 3 virtual-ip 10.0.30.1vrrp vrid 3 priority 120dhcp select relaydhcp relay server-ip 172.16.0.1#vlan40为售前部门vlan
interface Vlanif40ip address 10.0.40.253 255.255.255.0vrrp vrid 4 virtual-ip 10.0.40.1dhcp select relaydhcp relay server-ip 172.16.0.1#vlan50为售后部门vlan
interface Vlanif50ip address 10.0.50.253 255.255.255.0vrrp vrid 5 virtual-ip 10.0.50.1dhcp select relaydhcp relay server-ip 172.16.0.1#vlan60为项目管理部门vlan
interface Vlanif60ip address 10.0.60.253 255.255.255.0vrrp vrid 6 virtual-ip 10.0.60.1dhcp select relaydhcp relay server-ip 172.16.0.1#vlan75为AC专用VLAN
interface Vlanif75ip address 10.75.100.1 255.255.255.0
#使用接口所在子网的IP地址池分配IP地址dhcp select interface#vlan200为数据中心vlan
interface Vlanif200ip address 172.16.0.254 255.255.255.0interface Vlanif1000ip address 10.0.0.1 255.255.255.252#配置链路聚合,将两个物理接口G0/0/1和G0/0/10加入到聚合口Eth-Trunk1中,实现链路的冗余和负载均衡功能。
interface Eth-Trunk1port link-type trunkport trunk allow-pass vlan 2 to 4094
interface GigabitEthernet0/0/1eth-trunk 1
interface GigabitEthernet0/0/10eth-trunk 1interface GigabitEthernet0/0/2port link-type accessport default vlan 1000
#
interface GigabitEthernet0/0/3port link-type trunkport trunk allow-pass vlan 10 20
#
interface GigabitEthernet0/0/5port link-type trunkport trunk allow-pass vlan 30 40
#
interface GigabitEthernet0/0/6port link-type trunkport trunk allow-pass vlan 200
#
interface GigabitEthernet0/0/7port link-type trunkport trunk allow-pass vlan 50 60
#
interface GigabitEthernet0/0/8port link-type trunkport trunk pvid vlan 75port trunk allow-pass vlan 75
#
interface LoopBack0ip address 10.0.100.1 255.255.255.255
#
ospf 1 router-id 10.0.100.1area 0.0.0.0network 10.0.10.0 0.0.0.255network 10.0.20.0 0.0.0.255network 10.0.30.0 0.0.0.255network 10.0.40.0 0.0.0.255network 10.0.50.0 0.0.0.255network 10.0.60.0 0.0.0.255network 172.16.0.0 0.0.0.255network 10.0.100.1 0.0.0.0network 10.0.0.0 0.0.0.3network 10.75.100.0 0.0.0.255network 10.70.100.0 0.0.0.3network 10.80.100.0 0.0.0.3
LSW5
system-view
sysname LSW5
undo info-center enable
#
vlan batch 10 20 30 40 50 60 200 2000#将实例1的根桥优先级设置为primary,即让实例1中的交换机成为该VLAN下的主根;
#将实例2的根桥优先级设置为secondary,即实例2的交换机将以备份根桥的身份运行,并辅助实例1中的主根桥进行冗余计算。
stp instance 1 root secondary
stp instance 2 root primary
#
dhcp enable
#
stp region-configurationregion-name 1
#将VLAN40、50和60的网段划分到实例1中;VLAN10、20和30的网段划分到实例2中。instance 1 vlan 40 50 60instance 2 vlan 10 20 30active region-configuration
#
interface Vlanif10ip address 10.0.10.254 255.255.255.0vrrp vrid 1 virtual-ip 10.0.10.1dhcp select relaydhcp relay server-ip 172.16.0.1
#
interface Vlanif20ip address 10.0.20.254 255.255.255.0vrrp vrid 2 virtual-ip 10.0.20.1dhcp select relaydhcp relay server-ip 172.16.0.1
#
interface Vlanif30ip address 10.0.30.254 255.255.255.0vrrp vrid 3 virtual-ip 10.0.30.1dhcp select relaydhcp relay server-ip 172.16.0.1
#
interface Vlanif40ip address 10.0.40.254 255.255.255.0vrrp vrid 4 virtual-ip 10.0.40.1vrrp vrid 4 priority 120dhcp select relaydhcp relay server-ip 172.16.0.1
#
interface Vlanif50ip address 10.0.50.253 255.255.255.0vrrp vrid 5 virtual-ip 10.0.50.1vrrp vrid 5 priority 120dhcp select relaydhcp relay server-ip 172.16.0.1
#
interface Vlanif60ip address 10.0.60.253 255.255.255.0vrrp vrid 6 virtual-ip 10.0.60.1vrrp vrid 6 priority 120dhcp select relaydhcp relay server-ip 172.16.0.1
#
interface Vlanif2000ip address 10.0.0.5 255.255.255.252
#
interface Eth-Trunk1port link-type trunkport trunk allow-pass vlan 2 to 4094
#
interface GigabitEthernet0/0/1eth-trunk 1
#
interface GigabitEthernet0/0/2port link-type accessport default vlan 2000
#
interface GigabitEthernet0/0/4port link-type trunkport trunk allow-pass vlan 10 20
#
interface GigabitEthernet0/0/6port link-type trunkport trunk allow-pass vlan 30 40
#
interface GigabitEthernet0/0/8port link-type trunkport trunk allow-pass vlan 50 60
#
interface GigabitEthernet0/0/10eth-trunk 1
#
interface LoopBack0ip address 10.0.100.2 255.255.255.255
#
ospf 1 router-id 10.0.100.2area 0.0.0.0network 10.0.10.0 0.0.0.255network 10.0.20.0 0.0.0.255network 10.0.30.0 0.0.0.255network 10.0.40.0 0.0.0.255network 10.0.50.0 0.0.0.255network 10.0.60.0 0.0.0.255network 10.0.100.2 0.0.0.0network 10.0.0.4 0.0.0.3
Data-Center
system-view
sysname Data-Center
undo info-center enable
#
vlan batch 200
#
#
interface Ethernet0/0/1port link-type trunkport trunk allow-pass vlan 200
#
interface Ethernet0/0/2port link-type accessport default vlan 200
#
interface Ethernet0/0/3port link-type accessport default vlan 200
#
interface Ethernet0/0/4port link-type accessport default vlan 200
DHCP-Server
system-view
sysname DHCP-Serverundo info-center enabledhcp enable#创建6个DHCP地址池,用于技术、财务等部门终端设备自动获取IP地址
ip pool vlan10gateway-list 10.0.10.1 network 10.0.10.0 mask 255.255.255.0 excluded-ip-address 10.0.10.253 10.0.10.254 lease day 7 hour 0 minute 0 dns-list 172.16.0.4
ip pool vlan20gateway-list 10.0.20.1 network 10.0.20.0 mask 255.255.255.0 excluded-ip-address 10.0.20.253 10.0.20.254 lease day 7 hour 0 minute 0 dns-list 172.16.0.4
ip pool vlan30gateway-list 10.0.30.1 network 10.0.30.0 mask 255.255.255.0 excluded-ip-address 10.0.30.253 10.0.30.254 lease day 7 hour 0 minute 0 dns-list 172.16.0.4
ip pool vlan40gateway-list 10.0.40.1 network 10.0.40.0 mask 255.255.255.0 excluded-ip-address 10.0.40.253 10.0.40.254 lease day 7 hour 0 minute 0 dns-list 172.16.0.4
ip pool vlan50gateway-list 10.0.50.1 network 10.0.50.0 mask 255.255.255.0 excluded-ip-address 10.0.50.253 10.0.50.254 lease day 7 hour 0 minute 0 dns-list 172.16.0.4
ip pool vlan60gateway-list 10.0.60.1 network 10.0.60.0 mask 255.255.255.0 excluded-ip-address 10.0.60.253 10.0.60.254 lease day 7 hour 0 minute 0 dns-list 172.16.0.4 #在这个接口上启用DHCP,设备能够自动获取全局DHCP服务器分配的IP地址
interface GigabitEthernet0/0/0ip address 172.16.0.1 255.255.255.0dhcp select globalospf 1 area 0.0.0.0 network 172.16.0.0 0.0.0.255
AC
system-view
sysname AC
undo info-center enable vlan batch 70 75 80dhcp enableinterface Vlanif70ip address 10.70.100.1 255.255.252.0
#使用接口所在子网的IP地址池分配IP地址dhcp select interfacedhcp server dns-list 172.16.0.4 interface Vlanif75ip address 10.75.100.10 255.255.255.0interface Vlanif80ip address 10.80.100.1 255.255.252.0dhcp select interfacedhcp server dns-list 172.16.0.4 interface GigabitEthernet0/0/1port link-type trunkport trunk pvid vlan 70port trunk allow-pass vlan 70 80interface GigabitEthernet0/0/2port link-type trunkport trunk pvid vlan 80port trunk allow-pass vlan 70 80interface GigabitEthernet0/0/8port link-type trunkport trunk pvid vlan 75port trunk allow-pass vlan 75ospf 1area 0.0.0.0network 10.70.100.0 0.0.0.3network 10.75.100.0 0.0.0.255network 10.80.100.0 0.0.0.3
#配置AC的源地址
capwap source interface vlanif75#创建AP组(AP-GROUP1)并指定其规范域配置文件为"default"
Wlan
ap-group name AP-GROUP1regulatory-domain-profile default
#配置AP认证模式为MAC地址认证,并添加一个AP设备。同时指定AP名称为"Seek-Wifi",所属AP组为AP-GROUP1。ap auth-mode mac-authap-id 0 ap-mac 00E0-FC53-54C0ap-name Seek-Wifiap-group AP-GROUP1
#配置SSID安全性,并将其应用于SSID配置文件中;密码为"Seek1234",采用AES加密算法。
security-profile name Seek-Wifisecurity wpa-wpa2 psk pass-phrase Seek1234 aes
ssid-profile name Seek-Wifissid Seek-Wifi
#配置VAP,指定VAP使用直通模式和VLAN ID为70。同时,将上述配置的SSID和安全性应用于VAP口。
vap-profile name Seek-Wififorward-mode direct-forwardservice-vlan vlan-id 70ssid-profile Seek-Wifisecurity-profile Seek-Wifi
#将VAP口配置文件应用于AP组的wlan1,分别指定在单频段(Radio 0)和双频段(Radio 1)中使用该配置。
ap-group name AP-GROUP1vap-profile Seek-Wifi wlan 1 radio 0vap-profile Seek-Wifi wlan 1 radio 1
#
wlan
ap-group name AP-GROUP2regulatory-domain-profile defaultap-id 1 ap-mac 00E0-FC0B-3930ap-name Guest-wifiap-group AP-GROUP2security-profile name Guest-wifisecurity wpa-wpa2 psk pass-phrase Guest1234 aes
ssid-profile name Guest-wifissid Guest-wifivap-profile name Guest-wififorward-mode direct-forwardservice-vlan vlan-id 80ssid-profile Guest-wifisecurity-profile Guest-wifiap-group name AP-GROUP2vap-profile Guest-wifi wlan 1 radio 0vap-profile Guest-wifi wlan 1 radio 1
(二)ISP城域网
ZJ-ISP-3
system-view
sysname ZJ-ISP-3
undo info-center enable#创建名为c1的VPN实例
ip vpn-instance c1
#进入IPv4地址族配置模式ipv4-family
#为VPN实例c1设置路由区分器为100:100,用于唯一标识该VPN实例中的路由信息。route-distinguisher 100:100
#配置VPN目标值,用于控制路由的导出vpn-target 100:1 export-extcommunityvpn-target 100:1 import-extcommunity
#启用MPLS、LDP(MPLS标签分发协议)
mpls lsr-id 3.3.3.3
mpls ldp
#允许总部的流量访问上海办和江苏办
acl number 3000 rule 10 permit ip source 10.0.0.0 0.0.255.255 destination 10.1.0.0 0.0.255.255
acl number 3001 rule 10 permit ip source 10.0.0.0 0.0.255.255 destination 10.2.0.0 0.0.255.255 #该分类器检查ACL 3000中允许的IP流量。如果流量匹配ACL 3000中的一条规则,则该流量将被标记为“shanghai”
traffic classifier8 shanghai operator orif-match acl 3000
#该分类器检查ACL 3001中允许的IP流量。如果流量匹配ACL 3001中的一条规则,则该流量将被标记为“jiangsu”
traffic classifier8 jiangsu operator orif-match acl 3001
#如果数据包匹配了“shanghai”分类器,则该数据包将被传输到IP地址为221.0.0.2的下一跳路由器
traffic behavior9 shanghairedirect ip-nexthop 221.0.0.2#如果数据包匹配了“jiangsu”分类器,则该数据包将被传输到IP地址为221.0.0.6的下一跳路由器
traffic behavior9 jiangsuredirect ip-nexthop 221.0.0.6
#如果数据包匹配到“shanghai”分类器,则该数据包将被传输到“shanghai”流量行为;如果数据包匹配到“jiangsu”分类器,则该数据包将被传输到“jiangsu”流量行为。
traffic policy10 shanghaiclassifier shanghai behavior shanghai
traffic policy10 jiangsuclassifier jiangsu behavior jiangsuinterface Serial3/0/0link-protocol pppip address 221.0.0.1 255.255.255.252 mplsmpls ldpinterface Serial3/0/1link-protocol pppip address 221.0.0.5 255.255.255.252 mplsmpls ldpinterface Serial4/0/0link-protocol pppip address 220.100.0.2 255.255.255.0 interface Serial4/0/1link-protocol ppp
#绑定该接口到名为“c1”的VPN实例上ip binding vpn-instance c1ip address 172.17.0.2 255.255.255.252 interface GigabitEthernet0/0/0ip address 180.101.50.189 255.255.255.0 interface LoopBack0ip address 3.3.3.3 255.255.255.255 bgp 65001router-id 3.3.3.3
#配置该BGP 进程所属的自治系统联盟,并设置其ID为100。confederation id 100
#配置自治系统联盟中的其他AS号码,此处为65002、65003和65004,分别为城域网、上海办、江苏办的自治系统联盟号码confederation peer-as 65002 65003 65004
#添加一个BGP邻居,并设置其AS号码为65002。peer 4.4.4.4 as-number 65002
#设置与BGP邻居之间的最大跳数为255。peer 4.4.4.4 ebgp-max-hop 255
#将Loopback0接口作为与BGP邻居建立连接的接口。peer 4.4.4.4 connect-interface LoopBack0peer 5.5.5.5 as-number 65002 peer 5.5.5.5 ebgp-max-hop 255 peer 5.5.5.5 connect-interface LoopBack0peer 7.7.7.7 as-number 65003 peer 7.7.7.7 ebgp-max-hop 255 peer 7.7.7.7 connect-interface LoopBack0peer 13.13.13.13 as-number 65004 peer 13.13.13.13 ebgp-max-hop 255 peer 13.13.13.13 connect-interface LoopBack0#进入IPv4单播路由 配置模式。ipv4-family unicast
#禁用路由同步功能,即不允许从其他路由器同步路由表信息。undo synchronizationnetwork 220.100.0.0
#启用名为“4.4.4.4”、”5.5.5.5”的BGP邻居,并将其添加到该路由器的BGP邻居列表中。peer 4.4.4.4 enablepeer 5.5.5.5 enable#指定VPN使用IPv4协议族和VPNv4地址格式ipv4-family vpnv4
#指定VPN使用vpn-target策略,该策略用于控制路由的导入和导出。policy vpn-target
#启用了两个对等体 ,VPN隧道将通过这些对等体建立peer 7.7.7.7 enablepeer 13.13.13.13 enable#指定了VPN实例名称为c1ipv4-family vpn-instance c1
#该VPN实例将接受直连路由。与VPN设备直接相连的子网和主机将会被加入到该VPN实例中,并且可以在VPN内部进行路由。import-route direct
#该VPN实例将接受OSPF 2的路由。当VPN设备通过OSPF协议学习到其他路由器的路由信息时,这些路由信息将会被加入到该VPN实例中,并且可以在VPN内部进行路由。import-route ospf 2ospf 1 router-id 3.3.3.3 area 0.0.0.0 network 3.3.3.3 0.0.0.0 network 180.101.50.0 0.0.0.255 network 221.0.0.0 0.0.0.3 network 221.0.0.4 0.0.0.3 ospf 2 vpn-instance c1
#该OSPF进程将接受BGP路由作为输入。当VPN设备通过BGP协议学习到其他路由器的路由信息时,这些路由信息将会被加入到该OSPF进程中,并且可以在OSPF内部进行路由。import-route bgparea 0.0.0.0 network 172.17.0.0 0.0.0.3
ZJ-ISP-4
system-view
sysname ZJ-ISP-4
undo info-center enablempls lsr-id 4.4.4.4
mpls
mpls ldpinterface Serial4/0/0link-protocol pppip address 221.0.0.2 255.255.255.252 mplsmpls ldpinterface Serial4/0/1link-protocol pppip address 172.16.0.1 255.255.255.0 mplsmpls ldpinterface LoopBack0ip address 4.4.4.4 255.255.255.255 bgp 65002router-id 4.4.4.4
#配置该BGP进程所属的自治系统联盟,并设置其ID为100。confederation id 100confederation peer-as 65001peer 3.3.3.3 as-number 65001 peer 3.3.3.3 ebgp-max-hop 255 peer 3.3.3.3 connect-interface LoopBack0peer 5.5.5.5 as-number 65002 peer 5.5.5.5 connect-interface LoopBack0peer 6.6.6.6 as-number 65002 peer 6.6.6.6 connect-interface LoopBack0ipv4-family unicastundo synchronizationpeer 3.3.3.3 enablepeer 5.5.5.5 enable
#将5.5.5.5标记为“本地下一跳”。当该路由器收到来自5.5.5.5的路由信息时,它将使用自己的IP地址作为下一跳地址进行路由转发。peer 5.5.5.5 next-hop-local peer 6.6.6.6 enablepeer 6.6.6.6 next-hop-local ospf 1 router-id 4.4.4.4 area 0.0.0.0 network 4.4.4.4 0.0.0.0 network 172.16.0.0 0.0.0.255network 221.0.0.0 0.0.0.3
ZJ-ISP-5
system-view
sysname ZJ-ISP-5
undo info-center enablempls lsr-id 5.5.5.5
mpls
mpls ldpinterface Serial3/0/0link-protocol pppip address 221.0.0.13 255.255.255.252 mplsmpls ldpinterface Serial3/0/1link-protocol pppinterface Serial4/0/0link-protocol pppip address 172.16.1.1 255.255.255.0 mplsmpls ldpinterface Serial4/0/1link-protocol pppip address 221.0.0.6 255.255.255.252 mplsmpls ldpinterface LoopBack0ip address 5.5.5.5 255.255.255.255 bgp 65002router-id 5.5.5.5confederation id 100
#配置65001、65004为杭州总部和江苏办的自治系统联盟号码confederation peer-as 65001 65004peer 3.3.3.3 as-number 65001 peer 3.3.3.3 ebgp-max-hop 255 peer 3.3.3.3 connect-interface LoopBack0peer 4.4.4.4 as-number 65002 peer 4.4.4.4 connect-interface LoopBack0peer 6.6.6.6 as-number 65002 peer 6.6.6.6 connect-interface LoopBack0peer 13.13.13.13 as-number 65004 peer 13.13.13.13 ebgp-max-hop 255 peer 13.13.13.13 connect-interface LoopBack0ipv4-family unicastundo synchronizationpeer 3.3.3.3 enablepeer 4.4.4.4 enablepeer 4.4.4.4 next-hop-local peer 6.6.6.6 enablepeer 6.6.6.6 next-hop-local peer 13.13.13.13 enableospf 1 router-id 5.5.5.5 area 0.0.0.0 network 5.5.5.5 0.0.0.0 network 172.16.1.0 0.0.0.255 network 221.0.0.4 0.0.0.3
network 221.0.0.12 0.0.0.3
ZJ-ISP-6
system-view
sysname ZJ-ISP-6
undo info-center enablempls lsr-id 6.6.6.6
mpls
mpls ldpinterface Serial3/0/0link-protocol pppip address 221.0.0.9 255.255.255.252 mplsmpls ldpinterface Serial4/0/0link-protocol pppip address 172.16.1.2 255.255.255.0 mplsmpls ldpinterface Serial4/0/1link-protocol pppip address 172.16.0.2 255.255.255.0 mplsmpls ldpinterface LoopBack0ip address 6.6.6.6 255.255.255.255 bgp 65002router-id 6.6.6.6confederation id 100confederation peer-as 65003peer 4.4.4.4 as-number 65002 peer 4.4.4.4 connect-interface LoopBack0peer 5.5.5.5 as-number 65002 peer 5.5.5.5 connect-interface LoopBack0peer 7.7.7.7 as-number 65003 peer 7.7.7.7 ebgp-max-hop 255 peer 7.7.7.7 connect-interface LoopBack0ipv4-family unicastundo synchronizationpeer 4.4.4.4 enablepeer 4.4.4.4 next-hop-local peer 5.5.5.5 enablepeer 5.5.5.5 next-hop-local peer 7.7.7.7 enableospf 1 router-id 6.6.6.6 area 0.0.0.0 network 6.6.6.6 0.0.0.0 network 172.16.0.0 0.0.0.255 network 172.16.1.0 0.0.0.255 network 221.0.0.8 0.0.0.3 SH-ISP-7
system-view
sysname SH-ISP-7
undo info-center enableip vpn-instance c1ipv4-familyroute-distinguisher 100:100vpn-target 100:1 export-extcommunityvpn-target 100:1 import-extcommunitympls lsr-id 7.7.7.7
mpls
mpls ldpinterface Serial3/0/0link-protocol pppip address 221.0.0.10 255.255.255.252 mplsmpls ldpinterface Serial4/0/0link-protocol pppip address 220.101.0.2 255.255.255.0 interface Serial4/0/1link-protocol pppip binding vpn-instance c1ip address 172.17.0.5 255.255.255.252 interface LoopBack0ip address 7.7.7.7 255.255.255.255 bgp 65003router-id 7.7.7.7confederation id 100confederation peer-as 65001 65002 65004peer 3.3.3.3 as-number 65001 peer 3.3.3.3 ebgp-max-hop 255 peer 3.3.3.3 connect-interface LoopBack0peer 6.6.6.6 as-number 65002 peer 6.6.6.6 ebgp-max-hop 255 peer 6.6.6.6 connect-interface LoopBack0peer 13.13.13.13 as-number 65004 peer 13.13.13.13 ebgp-max-hop 255 peer 13.13.13.13 connect-interface LoopBack0ipv4-family unicastundo synchronizationnetwork 220.101.0.0 peer 6.6.6.6 enableipv4-family vpnv4policy vpn-targetpeer 3.3.3.3 enablepeer 13.13.13.13 enableipv4-family vpn-instance c1 import-route directimport-route ospf 2ospf 1 router-id 7.7.7.7 area 0.0.0.0 network 7.7.7.7 0.0.0.0 network 221.0.0.8 0.0.0.3 ospf 2 vpn-instance c1import-route bgparea 0.0.0.0 network 172.17.0.4 0.0.0.3
JS-ISP-13
system-view
sysname JS-ISP-13
undo info-center enableip vpn-instance c1ipv4-familyroute-distinguisher 100:100vpn-target 100:1 export-extcommunityvpn-target 100:1 import-extcommunitympls lsr-id 13.13.13.13
mpls
mpls ldpinterface Serial3/0/1link-protocol pppip binding vpn-instance c1ip address 172.17.0.9 255.255.255.252 interface Serial4/0/0link-protocol pppip address 220.102.0.2 255.255.255.0 interface Serial4/0/1link-protocol pppip address 221.0.0.14 255.255.255.252 mplsmpls ldpinterface LoopBack0ip address 13.13.13.13 255.255.255.255 bgp 65004confederation id 100confederation peer-as 65001 65002 65003peer 3.3.3.3 as-number 65001 peer 3.3.3.3 ebgp-max-hop 255 peer 3.3.3.3 connect-interface LoopBack0peer 5.5.5.5 as-number 65002 peer 5.5.5.5 ebgp-max-hop 255 peer 5.5.5.5 connect-interface LoopBack0peer 7.7.7.7 as-number 65003 peer 7.7.7.7 ebgp-max-hop 255 peer 7.7.7.7 connect-interface LoopBack0ipv4-family unicastundo synchronizationnetwork 220.102.0.0 undo peer 3.3.3.3 enablepeer 5.5.5.5 enablepeer 7.7.7.7 enableipv4-family vpnv4policy vpn-targetpeer 3.3.3.3 enableipv4-family vpn-instance c1 import-route directimport-route ospf 2ospf 1 router-id 13.13.13.13 area 0.0.0.0 network 13.13.13.13 0.0.0.0 network 221.0.0.12 0.0.0.3 ospf 2 vpn-instance c1import-route bgparea 0.0.0.0 network 172.17.0.8 0.0.0.3
(三)上海办
AR9
system-view
sysname AR9
undo info-center enable#创建acl,用于vpn限制流量
acl number 3000 rule 10 deny ip source 10.1.0.0 0.0.255.255 destination 10.0.0.0 0.0.255.255 rule 20 deny ip source 10.1.0.0 0.0.255.255 destination 10.2.0.0 0.0.255.255 rule 30 permit ip source 10.1.0.0 0.0.255.255 acl number 3001 rule 10 permit ip source 10.1.0.0 0.0.255.255 destination 10.2.0.0 0.0.255.255 #定义IPSec VPN隧道中使用的加密和身份验证算法
ipsec proposal ipsecesp authentication-algorithm sha1esp encryption-algorithm 3des#指定该IKE对等体 的名称为172.17.0.10,并使用IKEv1协议进行通信。
ike peer 172.17.0.10 v1
#设置预共享密钥为aaa。在IKE过程中,预共享密钥将用于身份验证和密钥协商,以确保通信双方的安全性。pre-shared-key simple aaa
#指定远程地址为172.17.0.10。在IPSec VPN隧道建立之前,该地址将用于与远程对等体进行IKE协商。remote-address 172.17.0.10# 配置IPSec策略 的名称为aaa,优先级为10
ipsec policy aaa 10 isakmp
#指定使用ACL 3001来限制VPN隧道中的流量。只有满足ACL 3001中规定的条件的数据包才会被发送到VPN隧道中。security acl 3001
#指定使用之前定义的IKE对等体172.17.0.10进行IKE协商。ike-peer 172.17.0.10
#指定使用之前定义的IPSec提议ipsec来进行ESP协议的身份验证和加密。proposal ipsecinterface Serial4/0/0link-protocol pppip address 220.101.0.1 255.255.255.0
#当acl 3000匹配的源IP数据到达此接口时,转换为该接口的IP地址,作为源地址nat outbound 3000interface Serial4/0/1link-protocol pppip address 172.17.0.6 255.255.255.252 ipsec policy aaa#配置单臂路由
interface GigabitEthernet0/0/0.10dot1q termination vid 10ip address 10.1.10.1 255.255.255.0 arp broadcast enable
interface GigabitEthernet0/0/0.100dot1q termination vid 100ip address 10.1.100.1 255.255.255.0 arp broadcast enableinterface LoopBack0ip address 9.9.9.9 255.255.255.255 ospf 1 router-id 9.9.9.9 default-route-advertisearea 0.0.0.0 network 10.1.10.0 0.0.0.255 network 10.1.100.0 0.0.0.255 network 172.17.0.4 0.0.0.3 ip route-static 0.0.0.0 0.0.0.0 Serial4/0/0
LSW7
system-view
sysname LSW7
undo info-center enablevlan batch 10 100interface Ethernet0/0/1port link-type trunkport trunk allow-pass vlan 10 100interface Ethernet0/0/2port link-type accessport default vlan 10interface Ethernet0/0/3port link-type accessport default vlan 100interface Ethernet0/0/4port link-type accessport default vlan 100
(四)江苏办
AR8
system-view
sysname AR8
undo info-center enable#创建acl,用于vpn限制流量
acl number 3000 rule 10 deny ip source 10.2.0.0 0.0.255.255 destination 10.0.0.0 0.0.255.255 rule 20 deny ip source 10.2.0.0 0.0.255.255 destination 10.1.0.0 0.0.255.255 rule 30 permit ip source 10.2.0.0 0.0.255.255
acl number 3001 rule 10 permit ip source 10.2.0.0 0.0.255.255 destination 10.1.0.0 0.0.255.255 #定义IPSec VPN隧道中使用的加密和身份验证算法
ipsec proposal ipsecesp authentication-algorithm sha1esp encryption-algorithm 3des#配置IKE对等体15
ike peer 172.17.0.6 v1pre-shared-key simple aaaremote-address 172.17.0.6# 配置IPSec策略16
ipsec policy aaa 10 isakmpsecurity acl 3001ike-peer 172.17.0.6proposal ipsecinterface Serial4/0/0link-protocol pppip address 220.102.0.1 255.255.255.0 nat outbound 3000interface Serial4/0/1link-protocol pppip address 172.17.0.10 255.255.255.252 ipsec policy aaa#配置单臂路由
interface GigabitEthernet0/0/0.30dot1q termination vid 30ip address 10.2.30.1 255.255.255.0 arp broadcast enable
interface GigabitEthernet0/0/0.40dot1q termination vid 40ip address 10.2.40.1 255.255.255.0 arp broadcast enableinterface LoopBack0ip address 8.8.8.8 255.255.255.255 ospf 1 router-id 8.8.8.8 default-route-advertisearea 0.0.0.0 network 10.2.30.0 0.0.0.255 network 10.2.40.0 0.0.0.255 network 172.17.0.8 0.0.0.3 ip route-static 0.0.0.0 0.0.0.0 Serial4/0/0
LSW8
system-view
sysname LSW8
undo info-center enablevlan batch 30 40interface Ethernet0/0/1port link-type trunkport trunk allow-pass vlan 30 40interface Ethernet0/0/2port link-type accessport default vlan 30interface Ethernet0/0/3port link-type accessport default vlan 40
九、附录
【尾注,博客不支持 0_0】
基于华为设备的某大型企业网络规划与实施方案相关推荐
- 基于华为云的一个典型的持续部署方案
云社区 博客 博客详情 基于华为云的一个典型的持续部署方案 [摘要] 华为云迄今为止已经有14大类超过100种服务了,可以做很多有用和好玩的方案. 基于华为云的一个典型的持续部署方案:Function ...
- BGP项目实验案例(基于华为设备)
一:BGP概述 1:自治系统 自治系统是由同一个技术管理机构管理.使用同一选录策略的一组路由器的集合. 2:动态路由的分类 (1)按自治系统分类 IGP:自治系统内部路由协议,包括RIP.OSPF.I ...
- 基于华为eNSP的中小企业办公园区网络规划与设计
目录 一.需求分析 (一)项目背景 (二)网络业务需求 (三)网络应用需求 二.网络结构设计 三.网络拓扑图 四.网络设备基本配置 五.项目测试 结语 运用到的技术有: 1.虚拟局域网(VLAN) 2 ...
- 美企调查华为设备安全性,华为发长文质疑;摩根大通预计苹果2020年将推5G iPhone;谷歌拟联手Dish成立美国第四大运营商...
戳蓝字"CSDN云计算"关注我们哦! 嗨,大家好,重磅君带来的[云重磅]特别栏目,如期而至,每周五第一时间为大家带来重磅新闻.把握技术风向标,了解行业应用与实践,就交给我重磅君吧! ...
- 华为交换机默认vlan都是通的吗_华为设备二层交换技术——Hybrid接口详解
Hybrid接口的特点 按照VLAN接口封装类型,华为交换机的接口主要有三种模式:Access.Trunk和Hybrid.其中Access.Trunk接口和Cisco技术并无差异,Hybrid接口是华 ...
- 基于华为云ECS的目标检测与识别的昇腾AI开发体验【华为云至简致远】
[摘要] 基于华为云弹性云服务器ECS,搭配共享镜像,快速搭建环境,进行目标检测与识别的昇腾AI开发体验,开箱即用,打破时间和空间限制,随时随地进行开发,适合个人开发和团队协作,体验流畅丝滑. 前言 ...
- 华为手机微信聊天记录删除怎么恢复?基于华为电脑助手备份的恢复方法
华为手机最新的微信记录恢复方法,简单有效.HiSuite是华为手机官方的手机电脑助手管理软件,可以把手机设备上的数据备份至电脑,支持联系人.短信.应用程序等的备份.同样HiSuite也可以把微信库文件 ...
- 华为设备接口视图_华为设备的交换机接口类型介绍及配置
博文大纲: vlan是什么? 华为交换机的三种接口模式: 1.access模式. 2.trunk模式. 3.hybrid模式. hybrid接口的工作原理. 华为设备的各种接口模式应用场景及配置. 一 ...
- 鸿蒙javascript项目开发----呼吸计时训练(基于华为轻量级运动手表)
没有人能够熄灭满天星光 每一位开发者,都是华为要汇聚的星星之火 第一个javascript开发鸿蒙app----呼吸计时训练(基于华为轻量级运动手表) b站学习视频 运行图如下: github代码仓库 ...
最新文章
- python是不是特别垃圾-python为啥比较流行(垃圾桶)
- python滑动验证码处理_python+selenium滑动式验证码解决办法
- [链接]最短路径的几种算法[迪杰斯特拉算法][Floyd算法]
- Android各版本最新份额:果冻豆达62% 仍居首位
- 算法题:I am a student. 转为 student. a am I
- MAC开机启动项的管理
- 黑马Python笔记1
- aplay,arec,amix使用
- EasyDarwin EasyCamera支持海康摄像机接入了
- ssm(Spring+SpringMVC+MyBatis)台球室内乒乓球室体育器械租赁收费系统
- 计算机考试PPT主题背景没换,2013职称计算机考试:搞定PPT背景设置中的问题
- c语言汇率转换代码_原生JS实现汇率转换功能代码实例
- tensorflow object detection api关于csv转换tfrecord格式
- 苹果6换屏多钱_iPhone12系列屏幕维修价格公布 苹果12换屏多少钱
- Python 命令行参数:Argparse 与 Click
- 公司员工阳了怎么办?
- 韩国大面积断网,电信公司KT承认其配置错误,此前甩锅DDoS攻击
- Android TV开发(—)开始电视应用
- 《4DenoiseNet: Adverse Weather Denoising from Adjacent Point Clouds》
- 联想卡在logo界面_联想电脑卡在logo界面 联想电脑卡在载入界面怎么办