园区网出口简介
园区网出口一般位于企业网内部网络与外部网络的连接处,是内部网络与外部网络之间数据流的唯一出入口。对于中小型企业来说,考虑到企业网络建设的初期**与长期运维成本,一般希望将多种业务部署在同一设备上。企业网络用户一般同时需要访问Internet和私网VPN,而对于中小型企业来说考虑到建设及维护成本问题,一般租用运营商Internet网络组建私网VPN。对于部分可靠性要求较高的园区网络,一般考虑部署两台出口路由器做冗余备份实现设备级可靠性,同时应用链路聚合、VRRP、主备路由等技术保证园区出口的可靠性。华为AR系列路由器配合华为S系列交换机是中小型园区网出口设备的理想解决方案。
园区出口设备需要具备通过Internet构建私网VPN的功能,以满足企业用户各个机构之间私网VPN互通的需求
园区出口设备需要具备数据加密传输的功能,以保证数据的完整性和机密性,保障用户业务传输的安全
中小型园区出口需要具备可靠性、安全性、低成本、易维护等特点。
组网需求
某企业总部和分支分别位于不同的城市,地域跨度较远,总部存在A、B两个不同的部门,分支只有一个部门。现在需要建设跨地域的企业园区网络,需要实现的需求如下:
总部和分支都需要实现用户访问Internet的需求。总部划分为A、B两个部门,其中A部门的用户可以访问Internet,但是B部门的用户不能访问Internet;分支所有用户都可以访问Internet。
总部有Web服务器,对外提供WWW服务,外网用户可以访问内网服务器。
总部和分支之间需要通过Internet进行私网VPN互通,通信内容需要有安全保护。
总部园区出口可靠性要求较高,需要考虑链路级的可靠性和设备级的可靠性。
分支可以适当降低可靠性要求。
方案介绍
根据用户需求,可以给出如
图1所示的综合配置解决方案,该方案具备层次化、模块化、冗余性、安全性的特点,适用于中小型企业/分支的园区网络部署。
图1 中小型园区/分支出口综合配置组网图
在网络的接入层部署华为S2700&S3700交换机(ACC1、ACC2、SwitchA),在网络的核心部署华为S5700交换机(CORE),在园区出口部署华为AR3200路由器(RouterA、RouterB、RouterC)。
总部采用双AR出口冗余备份方式,保证设备级的可靠性。分支部署一台AR路由器做出口。
总部核心交换机采用两台S5700交换机做堆叠,保证设备级的可靠性。
总部接入交换机与核心交换机之间以及核心交换机与出口路由器之间采用Eth-Trunk方式组网,保证链路级的可靠性。
总部每个部门业务划分到一个VLAN中,部门间的业务在核心交换机CORE上通过VLANIF三层互通。
总部核心交换机作为用户及服务器网关,部署DHCP Server为用户分配IP地址。
分支用户的网关直接部署在出口路由器上。
总部两个出口路由器之间部署VRRP,保证可靠性。
总部和分支之间通过Internet构建IPSec VPN进行私网互通,同时保证数据传输的安全性。
总部两台出口路由器和核心交换机之间部署OSPF,用于发布用户路由,便于后期扩容及维护。
配置思路
采用如下思路部署中小型园区/分支出口综合配置举例:
部署总部及分支园区内网
总部:部署堆叠、链路聚合,配置各VLAN及IP地址、部署DHCP Server,实现园区内网互通。部门内部通过接入层交换机进行二层互通,部门间通过核心交换机CORE上的VLANIF进行三层互通。
分支:配置接入层交换机及出口路由器的各接口VLAN及IP地址,部署DHCP Server,实现分支园区内网互通。
部署VRRP
为了保证总部核心交换机与两个出口路由器之间的可靠性,在两个出口路由器之间部署VRRP,VRRP的心跳报文经过核心交换机进行交互。RouterA为Master设备,RouterB为Backup设备。
为了防止总部RouterA上行链路故障的时候业务断流,将VRRP状态与RouterA的上行口进行联动,保证上行链路故障时VRRP进行快速倒换。
部署路由
为了引导各设备的上行流量,在总部核心交换机上配置一条缺省路由,下一跳指向VRRP的虚地址,在总部及分支的出口路由器上各配置一条缺省路由,下一跳指向运营商网络设备的对接地址(公网网关)。
为了引导总部两个出口路由器的回程流量,在两个出口路由器和核心交换机之间部署OSPF,核心交换机上将所有用户网段发布到OSPF里面,通告给两个出口路由器。
为了引导外网用户访问Web服务器的流量,需要在总部的运营商路由器上配置两条目的地址为服务器公网地址的静态路由,下一跳分别指向两个出口路由器的上行口IP地址。并且为了保证路由和VRRP同步切换,设置下一跳为RouterA的这条路由优先,当这条路由失效的时候下一跳指向RouterB的路由生效。
部署NAT Outbound
为了使内网用户访问Internet,在两台出口路由器的上行口配置NAT,实现私网地址和公网地址之间的转换。通过ACL匹配A部门的源IP地址,从而实现A部门的用户可以访问Internet,而B部门的用户不能访问Internet。
部署NAT Server
为了实现外网用户访问内网Web服务器,在两个出口路由器的上行口上配置NAT Server,实现服务器公网地址和私网地址之间的映射。
部署IPSec VPN
为了实现总部和分支之间进行私网VPN互通,在总部出口路由器和分支出口路由器之间部署IPSec VPN,通过Internet构建IPSec VPN,实现总部和分支之间的的安全通信。
说明:
部署总部及分支园区内网所涉及的配置不在本例中给出,请参见《华为S系列园区交换机快速配置》中的“中小园区组网场景”。
数据规划
详细的数据规划如表1、表2和表3所示。
表1 链路聚合接口规划
说明:
所有链路聚合采用LACP模式。
表2 VLAN规划
表3 IP地址规划
操作步骤
- 配置总部核心交换机CORE和两个出口路由器之间互联的Eth-Trunk
# 配置核心交换机CORE。
<HUAWEI> system-view[HUAWEI] sysname CORE[CORE] interface eth-trunk 3[CORE-Eth-Trunk3] mode lacp[CORE-Eth-Trunk3] quit[CORE] interface eth-trunk 4[CORE-Eth-Trunk4] mode lacp[CORE-Eth-Trunk4] quit[CORE] interface gigabitethernet 0/0/3[CORE-GigabitEthernet0/0/3] eth-trunk 3[CORE-GigabitEthernet0/0/3] quit[CORE] interface gigabitethernet 1/0/3[CORE-GigabitEthernet1/0/3] eth-trunk 3[CORE-GigabitEthernet1/0/3] quit[CORE] interface gigabitethernet 0/0/4[CORE-GigabitEthernet0/0/4] eth-trunk 4[CORE-GigabitEthernet0/0/4] quit[CORE] interface gigabitethernet 1/0/4[CORE-GigabitEthernet1/0/4] eth-trunk 4[CORE-GigabitEthernet1/0/4] quit# 配置总部出口路由器RouterA。RouterB的配置与RouterA类似。
<Huawei> system-view[Huawei] sysname RouterA[RouterA] interface eth-trunk 1[RouterA-Eth-Trunk1] undo portswitch[RouterA-Eth-Trunk1] mode lacp-static[RouterA-Eth-Trunk1] quit[RouterA] interface gigabitethernet 2/0/0[RouterA-GigabitEthernet2/0/0] eth-trunk 1[RouterA-GigabitEthernet2/0/0] quit[RouterA] interface gigabitethernet 2/0/1[RouterA-GigabitEthernet2/0/1] eth-trunk 1[RouterA-GigabitEthernet2/0/1] quit
- 配置各接口的所属VLAN及IP地址
# 配置核心交换机CORE。
[CORE] vlan 100[CORE] quit[CORE] interface Eth-Trunk 3[CORE-Eth-Trunk3] port link-type trunk[CORE-Eth-Trunk3] port trunk allow-pass vlan 100[CORE-Eth-Trunk3] quit[CORE] interface Eth-Trunk 4[CORE-Eth-Trunk4] port link-type trunk[CORE-Eth-Trunk4] port trunk allow-pass vlan 100[CORE-Eth-Trunk4] quit[CORE] interface vlanif 100[CORE-Vlanif100] ip address 10.10.100.4 24[CORE-Vlanif100] quit# 配置总部出口路由器RouterA。RouterB的配置与RouterA类似。
[RouterA] interface Eth-Trunk 1.100[RouterA-Eth-Trunk1.100] ip address 10.10.100.2 24[RouterA-Eth-Trunk1.100] dot1q termination vid 100[RouterA-Eth-Trunk1.100] arp broadcast enable //使能接口可以处理ARP广播报文功能;AR3200系列路由器V200R003C01及之后的版本默认已经使能了该功能,无需配置。[RouterA-Eth-Trunk1.100] quit[RouterA] interface gigabitethernet 1/0/0[RouterA-GigabitEthernet1/0/0] ip address 202.10.1.2 24[RouterA-GigabitEthernet1/0/0] quit# 配置分支出口路由器RouterC。
<Huawei> system-view[Huawei] sysname RouterC[RouterC] interface gigabitethernet 1/0/0[RouterC-GigabitEthernet1/0/0] ip address 203.10.1.2 24[RouterC-GigabitEthernet1/0/0] quit
- 部署VRRP。在总部两个出口路由器RouterA和RouterB之间配置VRRP,RouterA为VRRP的Master,RouterB为VRRP的Backup
# 配置RouterA。
[RouterA] interface Eth-Trunk 1.100[RouterA-Eth-Trunk1.100] vrrp vrid 1 virtual-ip 10.10.100.1[RouterA-Eth-Trunk1.100] vrrp vrid 1 priority 120[RouterA-Eth-Trunk1.100] vrrp vrid 1 track interface GigabitEthernet1/0/0 reduced 40[RouterA-Eth-Trunk1.100] quit//为了防止RouterA的上行链路中断的时候数据流发送至VRRP的Master以后不能继续上行,配置VRRP的状态和RouterA的上行口进行联动,保证RouterA上行链路中断的时候VRRP状态迅速倒换。# 配置RouterB。
[RouterB] interface Eth-Trunk 1.100[RouterB-Eth-Trunk1.100] vrrp vrid 1 virtual-ip 10.10.100.1[RouterB-Eth-Trunk1.100] quit配置完成后,RouterA和RouterB之间应该能建立VRRP的主备份关系,执行display vrrp命令可以看到RouterA和RouterB的VRRP状态。
# 查看RouterA的VRRP状态为Master。
# 查看RouterB的VRRP状态为Backup。
4. 部署路由
- 部署缺省路由,用于引导各个设备的上行流量
# 在核心交换机CORE上配置一条缺省路由,下一跳指向VRRP的虚地址。
[CORE] ip route-static 0.0.0.0 0.0.0.0 10.10.100.1# 在总部及分支出口路由器上各配置一条缺省路由,下一跳指向运行商网络设备的对接地址(公网网关)。
[RouterA] ip route-static 0.0.0.0 0.0.0.0 202.10.1.1[RouterB] ip route-static 0.0.0.0 0.0.0.0 202.10.2.1[RouterC] ip route-static 0.0.0.0 0.0.0.0 203.10.1.1
- 部署OSPF。在总部两个出口路由器RouterA、RouterB以及总部核心交换机CORE之间部署OSPF,用于两个出口路由器RouterA和RouterB学习用户网段的回程路由
# 配置总部出口路由器RouterA。
[RouterA] ospf 1 router-id 10.1.1.1[RouterA-ospf-1] area 0[RouterA-ospf-1-area-0.0.0.0] network 10.10.100.0 0.0.0.255[RouterA-ospf-1-area-0.0.0.0] quit# 配置总部出口路由器RouterB。
[RouterB] ospf 1 router-id 10.2.2.2[RouterB-ospf-1] area 0[RouterB-ospf-1-area-0.0.0.0] network 10.10.100.0 0.0.0.255[RouterB-ospf-1-area-0.0.0.0] quit# 配置总部核心交换机CORE。
[CORE] ospf 1 router-id 10.3.3.3[CORE-ospf-1] area 0[CORE-ospf-1-area-0.0.0.0] network 10.10.100.0 0.0.0.255[CORE-ospf-1-area-0.0.0.0] network 10.10.10.0 0.0.0.255 //将用户网段发布到OSPF里面[CORE-ospf-1-area-0.0.0.0] network 10.10.20.0 0.0.0.255 //将用户网段发布到OSPF里面[CORE-ospf-1-area-0.0.0.0] network 10.10.30.0 0.0.0.255 //将Web服务器网段发布到OSPF里面[CORE-ospf-1-area-0.0.0.0] quit# 配置完成后,RouterA、RouterB和Core之间应该建立OSPF邻居关系,执行display ospf peer命令可以查看OSPF邻居状态为Full,以CORE为例,OSPF邻居状态如下。
# 在和总部出口对接的运营商路由器RouterD上配置两条目的地址为服务器公网地址的静态路由,下一跳分别指向两个出口路由器RouterA、RouterB的上行口IP地址。为了保证路由和VRRP同步切换,设置下一跳为RouterA的这条路由优先,当这条路由失效的时候下一跳指向RouterB的路由生效。
[RouterD] ip route-static 202.10.100.0 255.255.255.0 202.10.1.2 preference 40 //下一跳为RouterA的这条路由优先[RouterD] ip route-static 202.10.100.0 255.255.255.0 202.10.2.2当总部出口路由器RouterA的上行链路中断的时候会触发两个动作:1)、两台总部出口路由器VRRP主备切换,这个通过VRRP状态联动总部出口路由器上行口状态来实现。2)、和总部出口对接的运营商路由器RouterD到达内网服务器的路由进行主备切换,这个通过RouterD配置主备路由实现。
这两个动作保证了当出口路由器RouterA的上行链路中断的时候内网VRRP状态和公网回程主备路由同时切换,保证了来回路径双向可靠性。
简体中文
英语
日语
韩语
法语
西班牙语
越南语
泰语
阿拉伯语
俄语
葡萄牙语
德语
意大利语
希腊语
荷兰语
波兰语
保加利亚语
爱沙尼亚语
丹麦语
芬兰语
捷克语
罗马尼亚语
斯洛文尼亚语
瑞典语
匈牙利语
繁体中文
文言文
成长值: 64660
发表于 2017-6-30 10:33:16
置顶卡
喧嚣卡
变色卡
千斤顶
发表于 2017-6-30 13:52:05
为 得 
认 拥 
证 有 
, ! 
