园区网架构设计 / 升级--3--内外网络优化配置
对于内外网络互通的配置和网络优化
7.在公司内部运行 OSPF ,确保不同 VLAN 之间是互通的。
不同的 VLAN 属于不同的区域。
同时保护 web 和 dhcp 服务器所在的区域不受到外部链路以及其他区域
的不稳定的链路的影响。
8.公司的出口路由器为 R2 和 R4 ,但是永远将 R2 作为主出口,出现故障
后,出网流量才会自动的切换到 R4 。修复以后,会再次从 R2 转发。
9.内网大量主机都存在访问 Internet的需求,要求使用最节省IP地址的
方式实现内网主机上网,但是 vlan 40 属于机密部分,不能访问外网。
10.外网的用户(client-1),可以访问内部的 web 服务器。
11.外网的用户(SW10),可以远程控制内网的交换机网络设备(不包括R2/R4),
远程访问密码均设置为 HCIE 。
(内网中每个设备的管理IP地址,属于管理 VLAN 199)
AR3:
undo terminal monitor
system-view
interface gig0/0/2
ip address 200.1.1.3 24
quit
AR4
undo terminal monitor
system-view
sysname AR4
interface gig0/0/1
ip address 200.1.1.1 24
interface gig0/0/0
ip address 192.168.25.4 24
interface gig0/0/2
ip address 192.168.26.4 24
quitip route-static 0.0.0.0 0.0.0.0 200.1.1.3ospf 1 route-id 4.4.4.4
area 0
network 192.168.25.0 0.0.0.255
network 192.168.26.0 0.0.0.255
quit
default-route-advertise cost 2
quit
acl 2000
rule 10 deny source 192.168.40.0 0.0.0.255
rule 20 permit source any
quit
interface gig0/0/2
nat outbound 2000
quit
SW5
undo terminal monitor
system-view
vlan 25
quit
interface gig 0/0/2
port link-type access
port default vlan 25
quit
interface vlanif 25
ip address 192.168.25.5 24
quit
ospf 1
area 0
network 192.168.25.0 0.0.0.255
quit
quit
SW6
undo terminal monitor
system-view
vlan 26
quit
interface gig 0/0/2
port link-type access
port default vlan 26
quit
interface vlanif 26
ip address 192.168.26.6 24
quit
ospf 1
area 0
network 192.168.26.0 0.0.0.255
quit
quit
到此,内网的设备都可以通过 R4 去访问外网
将R1的 gi0/0/1 断开,然后用内网 PC 访问 外网的 Server2
如果 R2与 R3 之间断开,
@内网PC访问外网设备,依然互通;
@外网设备访问内网 Server1 ,依然互通
但是,外网设备想要远程登陆内网的 SW1/2/3/4,无法互通!
原因:
在边界 R4 上,去往内网 SW1/2/3/4 的管理IP地址(vlanif 199),存在两个路由条目。
导致:
SW1/2/3/4 返回给外网设备数据的时候,返回路径与进入内网的路径,有可能不一致;
所有,我们使用下面的解决办法:
R4:【让R4去往 vlan199 时,仅仅存在一个路径,下一跳IP为 SW5】vlan199的主网关在SW5.
interface gi0/0/2
ospf cost 10
quit
DHCP和Web服务器所在的区域,不能收到外部链路和其他区域的链路的影响
-SW5:
ospf 1
area 88
stub no-summary
quit
-SW6:
ospf 1
area 66
stub no-summary
quit
OSPF骨干区域不允许存在2类LSA
-R2:
interface gi0/0/0
ospf network-type p2p
quit
interface gi0/0/2
ospf network-type p2p
quit
-R4:
interface gi0/0/0
ospf network-type p2p
quit
interface gi0/0/1
ospf network-type p2p
quit
-SW5:
interface vlanif 15
ospf network-type p2p
quit
interface vlanif 25
ospf network-type p2p
quit
-SW6:
interface vlanif 16
ospf network-type p2p
quit
interface vlanif 26
ospf network-type p2p
quit
补充:::::
LLDP - link layer discover protocol , 链路层发现协议
主要功能:用来发现设备之间的互联接口;
lldp enable {在互联的设备上都开启}
display lldp neighbor brief
[R4] lldp enable //全局开启 LLDP 功能;
[SW5] lldp enable //全局开启 LLDP 功能;
[SW5]display lldp neighbor brief // 查看 LLDP 邻居关系
Local Intf — Neighbor Dev ---- Neighbor Intf ---- Exptime
GE0/0/2 --------- R2 ------------------ GE0/0/0 ---------- 119
@Local Intf ,设备本地的接口,即 SW5 的 gi0/0/2
@Neighbor Dev ,邻居设备的名字,即 R4
@Neighbor Intf,邻居设备的接口,即 Gi0/0/0
综合描述为:
SW5的 gi0/0/2 ,连接着 R4 的 gi0/0/0
要求外网的特定设备远程登录内网SW1/2/3/4,同时内网中,也仅仅有PC2可以远程登陆SW1/2/3/4。
分析:
如果需要对远程登陆的设备进行流量控制,则必须在 SW1/2/3/4 的 vty 虚拟线路下面 配置 ACL,并且仅仅允许 “指定”的 源IP地址。 虽然外网的公网IP地址是固定的,不变的; 但是内网的PC2是通过 DHCP 自动获取IP地址,所以不容易控制。
为了实现需求,
我们必须“让DHCP服务器每次给 PC2 自动分配IP地址时,总是分配相同的IP地址,比如20.22”
配置:
@DHCP服务器的配置 通过mac地址指定分配IP地址。
AR1-dhcp
ip pool VLAN20
static-bind ip-address 192.168.20.22 mac-address 5489-9823-2b6f
quit
@SW1/2/3/4 只允许pc2和外网的sw10登录。
acl 2022
rule 10 permit source 192.168.20.22 0.0.0.0
rule 20 permit source 123.1.1.10 0.0.0.0
quit
user-interface vty 0 4
acl 2022 inbound
quit
配置完成!!!!!!!!!!!!!!!
之前生成树的补充分析:
要求每个主机访问其他网络时,走的路径是最优的;
即需要我们确定“PC去往主机的网关设备时,路径是最优的”
分析:
PC的IP地址,与主机的网关IP地址,都是同一个网段;
PC去往自己的网关时,中间经过的是“交换”链路;
交换链路的路径选择,是由 STP 协议决定。
为了确保每个主机去往主机网关时,所走的路径是最优的,
我们需要:
将每个VLAN的根交换机与主网关,放在同一个设备上。
所以,我们需要在每个交换机上配置 MSTP
配置MSTP:
@所有交换机上的MSTP配置信息,完全相同;除了根交换机的优先级
配置命令:
SW1/2/3/4/5/6:
stp mode mstp stp region-configurationregion-name HCIEinstance 1 vlan 10 instance 2 vlan 20 instance 3 vlan 30 instance 4 vlan 40 instance 6 vlan 66 instance 8 vlan 88 instance 9 vlan 199active region-configurationquit
SW5:
stp instance 1 priority 0 stp instance 2 priority 0 stp instance 3 priority 4096stp instance 4 priority 4096
SW6:
stp instance 3 priority 0 stp instance 4 priority 0 stp instance 1 priority 4096stp instance 2 priority 4096
额外小需求:
分析 PC8 访问 Server2 的数据包来回转发路径!
流程:
1.PC8的IP地址属于 vlan 30,比如:192.168.30.250/24
并且需要访问的目标IP地址是:123.1.1.1 (server2)
所以,可以判断两个IP地址不是同一个网段;
所以,PC8 就会将数据包发送给主机的网关(192.168.30.254,即 vrrp 30 的主网关 SW6)
2.SW4 在 gi0/0/8 接口收到 PC8 发送的数据,首先为该数据打标签 vlan 30 ,
因为PC8属于 vlan 30,所以SW4 会首先查看一下 vlan 30 属于哪个 mstp (instance 3)
并且基于 MSTP instance 3 的配置,来判断 SW4 上的哪个链路是互通的:
<SW4>display stp instance 3 brief
MSTID Port Role STP State Protection
3 GigabitEthernet0/0/8 DESI FORWARDING NONE
3 GigabitEthernet0/0/14 ALTE DISCARDING NONE
3 GigabitEthernet0/0/24 ROOT FORWARDING NONE
通过以上信息显示,我们得知,数据包会被 SW4 从 gi0/0/24 转发出去,并且可以通过LLDP
查看该端口对端的设备:
<SW4>display lldp neighbor brief
Local Intf Neighbor Dev Neighbor Intf Exptime
GE0/0/14 SW5 GE0/0/14 111
GE0/0/24 SW6 GE0/0/24 93
通过以上信息显示,我们得知,SW4 将PC8 的数据,发送给了 SW6 。
3.在 SW6 上,vlanif 30 的IP地址正好是 vlan 30 的主网关IP地址。所以 SW6 作为 vlan 30 客户端的网关开始进行 路由表的查找:
<SW6>display ip routing-table 123.1.1.1
Destination/Mask Proto Pre Cost Flags NextHop Interface
0.0.0.0/0 O_ASE 150 1 D 192.168.16.1 Vlanif16
通过以上信息显示,我们得知,SW6 将数据包转发给了 R2 。
4.在 R2 上,我们通过查找路由表,来确定数据包的转发路径:
<R2>display ip routing-table 123.1.1.1
Destination/Mask Proto Pre Cost Flags NextHop Interface
0.0.0.0/0 Static 60 0 RD 100.1.1.3 GigabitEthernet0/0/1
通过以上信息显示,我们得知,R2 将数据包转发给了 R3。
但是,我们在该接口(gi0/0/1)上配置了 EasyIP ,并且该转发的数据包的源IP地址是
192.168.30.250,符合 ACL 2000 的要求,允许进行 NAT 转换,
所以,从该接口(gi0/0/1)出去的时候,将源IP地址 192.168.30.250 转换成了:100.1.1.1。
并且在 R2 的 nat 表,形成了对应的转换条目,比如:
192.168.30.250:随机 ------ 100.1.1.1:随机端口号
5.在 R3 上,我们通过查找路由表,来确定数据包的转发路径:即通过直连网段转发给了Server 2 。
6.此时 Server2 根据收到的数据包进行返回,将数据包发送给“收到的数据包的”源IP地址。 之前所收到的数据包的源IP地址:100.1.1.1
所以 Server2 基于主机的IP地址,与目标IP地址 100.1.1.1 进行判断: Server2 与 目标IP地址不在一个网段,应该将数据包发送给 R3 。
7.R3接收数据包以后,基于本身的直连路由,将数据包发送给了 R2 。
8.R2从外部接口(gi0/0/1)接收数据后:
首先查找 NAT 表,将 目标IP地址(100.1.1.1)转化为私有地址(192.168.30.250)其次查找路由表,判断数据包转发路径:
<R2>display ip routing-table 192.168.30.250
Route Flags: R - relay, D - download to fib
Routing Table : Public
Summary Count : 1
Destination/Mask Proto Pre Cost Flags NextHop Interface
192.168.30.0/24 OSPF 10 2 D 192.168.15.5 GigabitEthernet0/0/0
通过以上信息显示,我们得知,R2 将数据包转发给了 SW5 。
9.在SW5上,继续查找路由表,确定数据包的转发路径:
因为在 SW5 上包含了 vlan30 的直连网段,所以该数据包通过直连路由发给了 PC8 。
因为,我们通过配置 MSTP,将 SW6 配置为 vlan 30 的根交换机,SW5是备份的根交换机
所以,针对 VLAN 30 而言, SW5到SW4之间的链路是堵塞的,
所以,SW5将数据包发送给PC8 时,数据转发路径为:
SW5 ---- SW6 — SW4 — PC8
总结:
IP/DHCP
vlan
trunk
access:没问题
stp:
vlanif:
vrrp :
ospf :
默认路由:
easyIP:
nat server:
acl:
----------------lldp --------------------------------
display lldp neighbor brief --> 查看 LLDP 邻居表的信息;
园区网架构设计 / 升级--3--内外网络优化配置相关推荐
- 园区网架构设计 / 升级--1--接入层和汇聚层配置
项目名称:园区网架构设计 / 升级 项目需求: 1.不同的PC属于不同的 VLAN ,如图所示: 2.不同的 VLAN 的IP地址为:192.168.XX.0/24 , XX 是 vlan 号: 3. ...
- 企业网络安全架构设计之IPSec VPN应用配置举例
文章目录 1. 需求分析 组网拓扑: 组网需求: 2. 地址规划 终端设备地址规划: 网络设备地址规划: 3. 防火墙接口区域规划 4. 分支机构内网配置 LSW4交换机配置 FW1防火墙配置 检查配 ...
- zlib安装_.NET Core 架构设计实战04 - Nginx安装配置
前言 大家好,我是程序员阿木! Nginx 是由 Igor Sysoev 于 2004 年首次公开发布一个异步框架的 Web 服务器,也可以用作反向代理,负载平衡器 和 HTTP 缓存.Nginx 是 ...
- RocketMQ:NameServer架构设计以及启动关闭流程源码分析
文章目录 NameServer 1.架构设计 2.核心类与配置 3.启动与关闭流程 3.1.步骤一 3.2.步骤二 3.3.步骤三 NameServer 1.架构设计 消息中间件的设计思路一般都是基于 ...
- 魔力魔力哟架构设计文档
巴渝工匠比赛 教学管理系统架构设计(样题) 2021年07月 文件状态: [ ] 草稿 [√] 正式发布 [ ] 正在修改 文件标识: 当前版本: V1.2 作 者: xxx 完成日期: 2 ...
- 支撑马蜂窝会员体系全面升级背后的架构设计
流量红利正逐渐走向终结,这已经不再是什么秘密.后互联网时代,如何维系住用户群,提升用户在平台上的体验是整个行业都需要考虑的事情.正是出于这一原因,现在全行业都在关注会员体系的搭建,这也是马蜂窝 201 ...
- 【真·送金卡】支撑马蜂窝会员体系全面升级背后的架构设计
点击上方"马蜂窝技术",关注订阅更多优质内容 流量红利正逐渐走向终结,这已经不再是什么秘密.后互联网时代,如何维系住用户群,提升用户在平台上的体验是整个行业都需要考虑的事情.正是出 ...
- Flume(NG)架构设计要点及配置实践
Flume(NG)架构设计要点及配置实践 http://shiyanjun.cn/archives/915.html 转载于:https://blog.51cto.com/vikenxu/165732 ...
- 【架构设计】Android:配置式金字塔架构
最近做一个项目,在项目搭建之前,花了些许时间去思考一下如何搭建一个合适的架构.一开始的构思是希望能合理的把应用的各部分进行分离,使其像金字塔一样从上往下,下层为上层提供功能. 在平常项目中,总是有很多 ...
最新文章
- Java Jaxb JavaBean与XML互转
- FFT [TPLY]
- [Android Pro] AndroidStudio IDE界面插件开发(进阶篇之Action机制)
- mysql安装sphinx引擎
- 张似玫计算机系,计算机系举办“音律飞扬”卡拉OK大赛决赛
- nchw_to_nhwc=True
- CCF201812-2 小明放学
- 推特安卓版漏洞可导致攻击者访问用户私信
- 接口测试——Jmeter直连数据库无法获取查找到的数据个数
- [网络安全自学篇] 九十二.《Windows黑客编程技术详解》之病毒启动技术创建进程API、突破SESSION0隔离、内存加载详解(3)
- Pr入门系列之十一:基本图形(上)
- cesiumlab v3.0.2—通用模型切片
- 图片转换js (img对象,file对象,base64,canvas对象),以及图片压缩方式
- 抖音推荐算法原理全文详解
- ORACLE锁定账户的原因及解决办法
- 奇数点偶数点fft的matlab,奇偶链表(奇数节点位于偶数节点之前) Odd Even Linked List...
- 一个SAPer的网络日志-连载一-看,内部订单都能用来干啥
- 用simple mapi 发送一个带附件的邮件
- mac电脑为什么设置了ssh还是提示Enter passphrase for /Users/mobvoi/.ssh/id_rsa:
- 笔记本采取拨号上网有线连接校园网,开启热点的方法