园区网架构设计 / 升级--3--内外网络优化配置

对于内外网络互通的配置和网络优化

7.在公司内部运行 OSPF ，确保不同 VLAN 之间是互通的。
不同的 VLAN 属于不同的区域。

同时保护 web 和 dhcp 服务器所在的区域不受到外部链路以及其他区域
的不稳定的链路的影响。

8.公司的出口路由器为 R2 和 R4 ，但是永远将 R2 作为主出口，出现故障
后，出网流量才会自动的切换到 R4 。修复以后，会再次从 R2 转发。

9.内网大量主机都存在访问 Internet的需求，要求使用最节省IP地址的
方式实现内网主机上网，但是 vlan 40 属于机密部分，不能访问外网。

10.外网的用户(client-1)，可以访问内部的 web 服务器。

11.外网的用户(SW10)，可以远程控制内网的交换机网络设备(不包括R2/R4)，
远程访问密码均设置为 HCIE 。
(内网中每个设备的管理IP地址，属于管理 VLAN 199)

AR3:

undo terminal monitor
system-view
interface gig0/0/2
ip address 200.1.1.3 24
quit

AR4

undo terminal monitor
system-view
sysname AR4
interface gig0/0/1
ip address 200.1.1.1 24
interface gig0/0/0
ip address 192.168.25.4 24
interface gig0/0/2
ip address 192.168.26.4 24
quitip route-static 0.0.0.0 0.0.0.0 200.1.1.3ospf 1 route-id 4.4.4.4
area 0
network 192.168.25.0 0.0.0.255
network 192.168.26.0 0.0.0.255
quit
default-route-advertise cost 2
quit
acl 2000
rule 10 deny source 192.168.40.0 0.0.0.255
rule 20 permit source any
quit
interface gig0/0/2
nat outbound 2000
quit

SW5

undo terminal monitor
system-view
vlan 25
quit
interface gig 0/0/2
port link-type access
port default vlan 25
quit
interface vlanif 25
ip address 192.168.25.5 24
quit
ospf 1
area 0
network 192.168.25.0 0.0.0.255
quit
quit

SW6

undo terminal monitor
system-view
vlan 26
quit
interface gig 0/0/2
port link-type access
port default vlan 26
quit
interface vlanif 26
ip address 192.168.26.6 24
quit
ospf 1
area 0
network 192.168.26.0 0.0.0.255
quit
quit

到此，内网的设备都可以通过 R4 去访问外网
将R1的 gi0/0/1 断开，然后用内网 PC 访问外网的 Server2

如果 R2与 R3 之间断开，
@内网PC访问外网设备，依然互通；
@外网设备访问内网 Server1 ，依然互通
但是，外网设备想要远程登陆内网的 SW1/2/3/4，无法互通！

原因：

 在边界 R4 上，去往内网 SW1/2/3/4 的管理IP地址(vlanif 199)，存在两个路由条目。

导致：

  SW1/2/3/4 返回给外网设备数据的时候，返回路径与进入内网的路径，有可能不一致；

所有，我们使用下面的解决办法：

R4：【让R4去往 vlan199 时，仅仅存在一个路径，下一跳IP为 SW5】vlan199的主网关在SW5.

interface gi0/0/2
ospf  cost  10
quit

DHCP和Web服务器所在的区域，不能收到外部链路和其他区域的链路的影响

-SW5:

ospf 1
area 88
stub no-summary
quit

-SW6:

ospf 1
area 66
stub no-summary
quit

OSPF骨干区域不允许存在2类LSA

-R2：

interface gi0/0/0
ospf network-type p2p
quit
interface gi0/0/2
ospf network-type p2p
quit

-R4：

interface gi0/0/0
ospf network-type p2p
quit
interface gi0/0/1
ospf network-type p2p
quit

-SW5：

interface vlanif 15
ospf network-type p2p
quit
interface vlanif 25
ospf network-type p2p
quit

-SW6：

interface vlanif 16
ospf network-type p2p
quit
interface vlanif 26
ospf network-type p2p
quit

补充：：：：：

LLDP - link layer discover protocol ，链路层发现协议
主要功能：用来发现设备之间的互联接口；

lldp enable {在互联的设备上都开启}
display lldp neighbor brief

[R4] lldp enable      //全局开启 LLDP 功能；
[SW5] lldp enable     //全局开启 LLDP 功能；
[SW5]display  lldp neighbor brief // 查看 LLDP 邻居关系

Local Intf — Neighbor Dev ---- Neighbor Intf ---- Exptime

GE0/0/2 --------- R2 ------------------ GE0/0/0 ---------- 119

@Local Intf ，设备本地的接口，即 SW5 的 gi0/0/2
@Neighbor Dev ，邻居设备的名字，即 R4
@Neighbor Intf，邻居设备的接口，即 Gi0/0/0

综合描述为：

SW5的 gi0/0/2 ，连接着 R4 的 gi0/0/0

要求外网的特定设备远程登录内网SW1/2/3/4，同时内网中，也仅仅有PC2可以远程登陆SW1/2/3/4。

分析：
如果需要对远程登陆的设备进行流量控制，则必须在 SW1/2/3/4 的 vty 虚拟线路下面配置 ACL，并且仅仅允许 “指定”的源IP地址。虽然外网的公网IP地址是固定的，不变的；但是内网的PC2是通过 DHCP 自动获取IP地址，所以不容易控制。

为了实现需求，
我们必须“让DHCP服务器每次给 PC2 自动分配IP地址时，总是分配相同的IP地址，比如20.22”

配置：

@DHCP服务器的配置通过mac地址指定分配IP地址。

AR1-dhcp

ip pool VLAN20
static-bind  ip-address  192.168.20.22  mac-address 5489-9823-2b6f
quit

@SW1/2/3/4 只允许pc2和外网的sw10登录。

acl 2022
rule 10 permit source  192.168.20.22  0.0.0.0
rule 20 permit source  123.1.1.10  0.0.0.0
quit
user-interface vty 0 4
acl 2022  inbound
quit

配置完成！！！！！！！！！！！！！！！

之前生成树的补充分析：
要求每个主机访问其他网络时，走的路径是最优的；
即需要我们确定“PC去往主机的网关设备时，路径是最优的”

分析:

PC的IP地址，与主机的网关IP地址，都是同一个网段；
PC去往自己的网关时，中间经过的是“交换”链路；
交换链路的路径选择，是由 STP 协议决定。
为了确保每个主机去往主机网关时，所走的路径是最优的，

我们需要：

将每个VLAN的根交换机与主网关，放在同一个设备上。
所以，我们需要在每个交换机上配置 MSTP

配置MSTP：
@所有交换机上的MSTP配置信息，完全相同；除了根交换机的优先级

配置命令：

SW1/2/3/4/5/6:

   stp mode mstp stp region-configurationregion-name HCIEinstance 1 vlan 10 instance 2 vlan 20 instance 3 vlan 30 instance 4 vlan 40 instance 6 vlan 66 instance 8 vlan 88 instance 9 vlan 199active region-configurationquit

SW5：

  stp instance 1 priority  0 stp instance 2 priority  0 stp instance 3 priority 4096stp instance 4 priority 4096

SW6:

  stp instance 3 priority  0 stp instance 4 priority  0 stp instance 1 priority 4096stp instance 2 priority 4096

额外小需求：
分析 PC8 访问 Server2 的数据包来回转发路径！

流程：

1.PC8的IP地址属于 vlan 30，比如：192.168.30.250/24
并且需要访问的目标IP地址是：123.1.1.1 （server2）
所以，可以判断两个IP地址不是同一个网段；
所以，PC8 就会将数据包发送给主机的网关(192.168.30.254，即 vrrp 30 的主网关 SW6)

2.SW4 在 gi0/0/8 接口收到 PC8 发送的数据，首先为该数据打标签 vlan 30 ，
因为PC8属于 vlan 30，所以SW4 会首先查看一下 vlan 30 属于哪个 mstp (instance 3)
并且基于 MSTP instance 3 的配置，来判断 SW4 上的哪个链路是互通的：

 <SW4>display  stp instance 3 brief

MSTID Port Role STP State Protection

3 GigabitEthernet0/0/8 DESI FORWARDING NONE
3 GigabitEthernet0/0/14 ALTE DISCARDING NONE
3 GigabitEthernet0/0/24 ROOT FORWARDING NONE

通过以上信息显示，我们得知，数据包会被 SW4 从 gi0/0/24 转发出去，并且可以通过LLDP

查看该端口对端的设备：

<SW4>display  lldp  neighbor  brief

Local Intf Neighbor Dev Neighbor Intf Exptime

GE0/0/14 SW5 GE0/0/14 111
GE0/0/24 SW6 GE0/0/24 93

通过以上信息显示，我们得知，SW4 将PC8 的数据，发送给了 SW6 。

3.在 SW6 上，vlanif 30 的IP地址正好是 vlan 30 的主网关IP地址。所以 SW6 作为 vlan 30 客户端的网关开始进行路由表的查找：

<SW6>display  ip routing-table 123.1.1.1

Destination/Mask Proto Pre Cost Flags NextHop Interface

0.0.0.0/0       O_ASE   150  1           D   192.168.16.1    Vlanif16

通过以上信息显示，我们得知，SW6 将数据包转发给了 R2 。

4.在 R2 上，我们通过查找路由表，来确定数据包的转发路径：

<R2>display ip routing-table 123.1.1.1

Destination/Mask Proto Pre Cost Flags NextHop Interface

  0.0.0.0/0    Static  60   0          RD   100.1.1.3       GigabitEthernet0/0/1

通过以上信息显示，我们得知，R2 将数据包转发给了 R3。
但是，我们在该接口(gi0/0/1)上配置了 EasyIP ，并且该转发的数据包的源IP地址是
192.168.30.250，符合 ACL 2000 的要求，允许进行 NAT 转换，

所以，从该接口（gi0/0/1）出去的时候，将源IP地址 192.168.30.250 转换成了：100.1.1.1。
并且在 R2 的 nat 表，形成了对应的转换条目，比如：
192.168.30.250:随机 ------ 100.1.1.1:随机端口号

5.在 R3 上，我们通过查找路由表，来确定数据包的转发路径：即通过直连网段转发给了Server 2 。

6.此时 Server2 根据收到的数据包进行返回，将数据包发送给“收到的数据包的”源IP地址。之前所收到的数据包的源IP地址：100.1.1.1

所以 Server2 基于主机的IP地址，与目标IP地址 100.1.1.1 进行判断： Server2 与目标IP地址不在一个网段，应该将数据包发送给 R3 。

7.R3接收数据包以后，基于本身的直连路由，将数据包发送给了 R2 。

8.R2从外部接口(gi0/0/1)接收数据后：

首先查找 NAT 表，将 目标IP地址(100.1.1.1)转化为私有地址(192.168.30.250)其次查找路由表，判断数据包转发路径：

<R2>display ip routing-table 192.168.30.250

Route Flags: R - relay, D - download to fib

Routing Table : Public

Summary Count : 1

Destination/Mask Proto Pre Cost Flags NextHop Interface
192.168.30.0/24 OSPF 10 2 D 192.168.15.5 GigabitEthernet0/0/0

通过以上信息显示，我们得知，R2 将数据包转发给了 SW5 。

9.在SW5上，继续查找路由表，确定数据包的转发路径：
因为在 SW5 上包含了 vlan30 的直连网段，所以该数据包通过直连路由发给了 PC8 。

因为，我们通过配置 MSTP，将 SW6 配置为 vlan 30 的根交换机，SW5是备份的根交换机
所以，针对 VLAN 30 而言， SW5到SW4之间的链路是堵塞的，
所以，SW5将数据包发送给PC8 时，数据转发路径为：

SW5 ---- SW6 — SW4 — PC8

总结：

IP/DHCP
vlan
trunk
access:没问题
stp：
vlanif:
vrrp :
ospf :
默认路由:
easyIP:
nat server:
acl:

----------------lldp --------------------------------

display lldp neighbor brief --> 查看 LLDP 邻居表的信息；