網絡拓撲:
需求分析:
1、使用合理的IP子網劃分,保證合理性與可擴展性、彙總性、控制性
2、保證冗餘性,包括鏈路冗餘與設備冗餘
3、安全性,保護重要的部門,除了特定人員可以訪問外,其餘部門不允許訪問,比如財務部,有效的控制病毒、ARP的攻擊
4、無線終端,考慮到公司手機與移動電腦增多,增加無線功能,提供給設備連接,要求實現驗證功能,而訪客區,不進行認證,但不能連接到公司內部,只能訪問公司提供的網頁服務與Internet連接。
5、保證在正常情況下,訪問Internet都是走電信出口,當出現問題後,用網通出去,保證冗餘性,需實現自動切換。並且實施NAT技術
解決思路:
1、使用子網劃分來對每個部門進行規劃,每一個部門單獨一個24位的子網斷,保證連續性,即使後續有新增加的員工,24位有254個地址,可以保證能正常使用,並且連續性可以方便做彙總、與一些策略的控制。
2、冗餘性的實現,可以利用MSTP+VRRP技術實現鏈路的冗餘性與網關的熱備功能,並且核心之間鏈路起鏈路聚合,提高帶寬。
3、安全性的實施,可以利用ACL與端口隔離技術 來進行部署,當然也可以高級點,dot1x、DHCP snooping+DAI+IPSGD等技術。一般情況下用ACL與端口隔離技術即可,除非有特殊需求在使用後續的。
4、使用AC+AP的三層旁掛架構組件無線網絡,實現內部網絡使用5G接入網絡,而訪問則使用2.4G頻率,並且實現,訪客只能訪問公司提供的WEB頁面與Internet訪問,並且要求無線訪客區之間實現隔離。
5、利用浮動路由+NQA或者ip-link技術實現自動切換
部署思路:
接入層:主要是用戶接入識別、嚴格控制非法用戶接入,等
匯聚層:流量訪問控制、制定訪問策略,等
核心層:流量高速轉發、高可用,等
防火牆:流量出口負載均衡、NAT、域間策略,等
包含的配置:
1、定義IP地址規劃表項,方便配置
2、規劃VLAN,以及對應的網關地址
3、實施VLAN配置,並且配置交換機之間的鏈路爲Trunk,接入交換機面對終端爲Access,無線部分爲Hybrid或者Trunk,接防火牆設備爲Access
4、配置IP地址,保證直連可達
5、配置MSTP技術、VRRP、端口聚合技術,保證全網無環路、高可靠性、冗餘性存在
6、配置路由實現全網可達
7、配置DHCP服務,以及中繼,使得PC能夠正常獲取地址以及DNS等參數
8、配置無線部分,能夠讓AP正常上線,以及PC能夠連接網絡,並且獲取地址,實現特定需求
9、防火牆配置策略、NAT、VPN等技術,實現訪問Internet
注:以上參考網上類似文章,結合個人和生產環境,使用華爲eNSP模擬器進行的一系列實驗。哪位有更好的解決方案請多指導。
