24、【实战中提升自己】分支篇之底层互通(VLAN、三层交换机、出口路由器配置)
24、【实战中提升自己】分支篇之底层互通(VLAN、三层交换机、出口路由器配置)
1 1拓扑
有朋友说拓扑模糊,这里更新清晰拓扑,大家可以双击看
1 分支机构部署与部署思路
说明可以看到分支的机构非常简单,典型的小企业或者分支的机构,一台出口路由器,下接三层交换机,然后在连接二层交换机。有的甚至,没有三层交换机,直接是路由器+二层交换机。
1、采用之前定义的IP地址表项与VLAN与接口划分进行配置 2、配置路由,或者采用单臂路由两种方式 3、路由器配置VPN,实现财务部互访,并且AP能够正常关联到总部的AC上面。
2 具体实施
1、采用之前定义的IP地址表项与VLAN进行配置
说明:跟总部一样,在每个交换机与路由器上面定义好IP地址,然后进行VLAN与接口的划分。
1.1、二层交换机VLAN划分与接口模式部署 说明:这里有A、B两台二层交换机,每个交换机上面部署2个VLAN,A交换机用来跑无线与业务部的流量,而B交换机则跑管理层与财务部的流量,然后与上行三层交换机连接即可,所以我们需要做的是在A交换机上面部署对应的VLAN,然后把除了上行链路接口以外的流量,都加入到对应的VLAN中,其中上行链路为Trunk,允许需要穿越的流量通过,而接入用户的接口则为Access,加入到对应VLAN,连接AP的接口比较特殊,因为有管理VLAN与业务VLAN存在,所以可以是Hybrid端口,或者是Trunk。 A交换机VLAN划分以及接口划入配置
[Branch-sw-A]vlan 2
[Branch-sw-A-vlan2]name market
[Branch-sw-A]vlan 3
[Branch-sw-A-vlan3]name Wireless
说明:定义2个VLAN,并且定义了name说明干什么用的
[Branch-sw-A]int e0/4/6
[Branch-sw-A-Ethernet0/4/6]description to-Core-SW e0/4/6
[Branch-sw-A-Ethernet0/4/6]port link-type trunk
[Branch-sw-A-Ethernet0/4/6]port trunk permit vlan 2 to 3说明:该接口为Trunk,是连接上行三层交换机,允许了现有的VLAN通过,VLAN 2与VLAN 3
[Branch-sw-A]int e0/4/2 [Branch-sw-A-Ethernet0/4/2]description connection to AP [Branch-sw-A-Ethernet0/4/2]port link-type hybrid [Branch-sw-A-Ethernet0/4/2]port hybrid vlan 3 tagged 说明:该接口定义为Hybrid,并且VLAN 3的打Tag,因为我们会定义VLAN 3为业务VLAN,而VLAN 1作为管理VLAN存在。默认情况下VLAN 1是不打Tag的。
[Branch-sw-A]port-group manual 1
[Branch-sw-A-port-group-manual-1]group-member Ethernet 0/4/0 to e0/4/1
[Branch-sw-A-port-group-manual-1]group-member Ethernet 0/4/3 to e0/4/5
[Branch-sw-A-port-group-manual-1]port access vlan 2
说明:定义了一个端口组,然后把其余的接口加入到该组中,然后加入到VLAN 2中,注意H3C的接口默认为Access的,不跟华为一样为Hybrid接口。B交换机VLAN划分以及接口划入配置
[Branch-sw-B]vlan 4
[Branch-sw-B-vlan4]name caiwu
[Branch-sw-B-vlan4]vlan 5
[Branch-sw-B-vlan5]name jingli
[Branch-sw-B]int Ethernet 0/4/7
[Branch-sw-B-Ethernet0/4/7]description to-Core-SW e0/4/7
[Branch-sw-B-Ethernet0/4/7]port link-type trunk
[Branch-sw-B-Ethernet0/4/7]port trunk permit vlan 4 to 5
[Branch-sw-B]port-group manual 1
[Branch-sw-B-port-group-manual-1]group-member Ethernet 0/4/0 to Ethernet 0/4/4
[Branch-sw-B-port-group-manual-2]port access vlan 4
[Branch-sw-B]port-group manual 2
[Branch-sw-B-port-group-manual-2]group-member Ethernet 0/4/5 to e0/4/6
[Branch-sw-B-port-group-manual-2]port access vlan 5说明:B交换机与A的一样,划分VLAN,然后把对应的VLAN加入到接口中。
三层交换机VLAN创建与接口划分
[Core-sw]vlan 2 to 5
[Core-sw]int e0/4/6
[Core-sw-Ethernet0/4/6]port link-type trunk
[Core-sw-Ethernet0/4/6]port trunk permit vlan 2 to 3
[Core-sw]interface e0/4/7
[Core-sw-Ethernet0/4/7]port link-type trunk
[Core-sw-Ethernet0/4/7]port trunk permit vlan 4 to 5
说明:在核心交换机上面创建对应的VLAN,然后接口都为Trunk模式,允许对应的VLAN通过即可。三层交换机IP地址与DHCP定义 说明:三层交换机上面需要部署5个VLAN的地址,一个管理的给AP分配地址,与DHCP Option 43,而其他4个VLAN地址对应下面4个VLAN,给它们分配地址。
[Core-sw]dhcp enable
[Core-sw]dhcp server ip-pool vlan1
[Core-sw-dhcp-pool-vlan1]network 192.168.1.0 24
[Core-sw-dhcp-pool-vlan1]option 43 hex 80 07 00 00 01 c0 A8 01 FB
[Core-sw-dhcp-pool-vlan1]gateway-list 192.168.1.254
[Core-sw-dhcp-pool-vlan1]dns-list 8.8.8.8
[Core-sw]dhcp server ip-pool vlan2
[Core-sw-dhcp-pool-vlan2]network 172.16.2.0 24
[Core-sw-dhcp-pool-vlan2]dns-list 8.8.8.8
[Core-sw-dhcp-pool-vlan2]gateway-list 172.168.2.254
[Core-sw]dhcp server ip-pool vlan3
[Core-sw-dhcp-pool-vlan3]network 172.16.3.0 24
[Core-sw-dhcp-pool-vlan3]dns-list 8.8.8.8
[Core-sw-dhcp-pool-vlan3]gateway-list 172.168.3.254
[Core-sw]dhcp server ip-pool vlan4
[Core-sw-dhcp-pool-vlan4]network 172.16.4.0 24
[Core-sw-dhcp-pool-vlan4]dns-list 8.8.8.8
[Core-sw-dhcp-pool-vlan4]gateway-list 172.16.4.254
[Core-sw]dhcp server ip-pool vlan5
[Core-sw-dhcp-pool-vlan5]network 172.16.5.0 24
[Core-sw-dhcp-pool-vlan5]gateway-list 172.16.5.254
[Core-sw-dhcp-pool-vlan5]dns-list 8.8.8.8
说明:定义了5个VLAN的地址池,每个VLAN都分配对应的网段与DNS、网关参数,注意VLAN 1是给AP分配的,所以这里AP必须有Option 43,注册到总部的AC上面,后续通过VPN。
[Core-sw]dhcp server forbidden-ip 172.16.1.254
[Core-sw]dhcp server forbidden-ip 172.16.2.254
[Core-sw]dhcp server forbidden-ip 172.16.3.254
[Core-sw]dhcp server forbidden-ip 172.16.4.254
[Core-sw]dhcp server forbidden-ip 172.16.5.254
说明:排除掉网关用的地址。
[Core-sw]int vlan 1
[Core-sw-Vlan-interface1]ip address 172.16.1.254 24
[Core-sw-Vlan-interface1]dhcp select server global-pool
[Core-sw]interface vlan 2
[Core-sw-Vlan-interface2]ip address 172.16.2.254 24
[Core-sw-Vlan-interface2]dhcp select server global-pool
[Core-sw]interface vlan 3
[Core-sw-Vlan-interface3]ip address 172.16.3.254 24
[Core-sw-Vlan-interface3]dhcp select server global-pool
[Core-sw]interface Vlan-interface 4
[Core-sw-Vlan-interface4]ip address 172.16.4.254 24
[Core-sw-Vlan-interface4]dhcp select server global-pool
[Core-sw]interface Vlan-interface 5
[Core-sw-Vlan-interface5]ip address 172.16.5.254 24
[Core-sw-Vlan-interface5]dhcp select server global-pool
[GW]interface g0/0/2
[GW-GigabitEthernet0/0/2]ip address 172.16.1.253 24
结果测试,能否拿到地址
说明:已经分配到了地址,而且也可以Ping通网关。
2、配置路由
说明:这里需要配置三层交换机的路由与出口路由器的路由,这里三层交换机只需要一条默认路由直接出口路由器即可,因为它内部网络都可以经过三层交换机转发,而公网的都是要经过出口路由器,所以只需要把默认路由指向出口路由器即可。而出口路由器,除了有一条默认指向ISP的路由以外,还需要知道内部的明细路由,这样才能把数据包正确的回复给内部网络。 三层交换机路由
[Core-sw]ip route-static 0.0.0.0 0 172.16..1.253说明:三层交换机只需要默认路由指向出口路由器即可
出口路由器
[GW]ip route-static 172.16.2.0 24 172.16.1.254
[GW]ip route-static 172.16.3.0 24 172.16.1.254
[GW]ip route-static 172.16.4.0 24 172.16.1.254
[GW]ip route-static 172.16.5.0 24 172.16.1.254
说明:直接去往2.0、3.0、4.0、5.0的路由都交给1.254,也就是三层交换机即可给ISP的路由 这里由于是PPPOE拨号实现的,所以不能确定下一跳,只能指向拨号接口。
PPPOE拨号定义
[GW]dialer-rule 1 ip permit
[GW]interface Dialer 1
[GW-Dialer1]dialer user ccieh3c
[GW-Dialer1]dialer-group 1
[GW-Dialer1]dialer bundle 1
[GW-Dialer1]ip address ppp-negotiate
[GW-Dialer1]ppp pap local-user ccieh3c password simple ccieh3c.taobao.com
[GW-Dialer1]mtu 1460
[GW-Dialer1]tcp mss 1400
[GW]int g0/0/0
[GW-GigabitEthernet0/0/0]pppoe-client dial-bundle-number 1
说明定义了一个PPPOE拨号,实际环境中以ISP给的用户名与密码为准。检查结果
可以看到已经正常获取地址了。
部署默认路由指向ISP
[GW]ip route-static 0.0.0.0 0 Dialer 1
NAT部署
[GW]acl number 3005
[GW-acl-adv-3005]rule 20 permit ip source any
[GW]int Dialer 1
[GW-Dialer1]nat outbound 30053 如果是早期的部署方案【单臂路由,少数企业在用】
这里直接启用子接口即可,比如子接口为2,VLAN封装也为2,这样方便区分,然后配置IP地址即。另外的是,交换机只需要部署为Trunk即可。