江湖規矩先來說說項目背景:
1. 某公司有100臺電腦(其實200也行)需要訪問外網;
2. 只有一個外網IP;
3. 公司有4個部門(10個也行,多幾個VLAN的事兒);
4. 需要電腦自動能獲取到IP地址,不需要手動配置;
網絡拓撲:
拓撲說明:
1. 拓撲裏我用Cisco 2811充當防火牆,實屬無奈,這個版本PT模擬器裏ASA沒有NAT功能,實際項目中我們肯定使用專業防火牆設備,除了有防火牆的功能還有上網行爲管理功能,NAT。多香~
2. 核心層使用了三層交換機,配置了DHCP服務。如果要做VLAN間通信,可以直接在這上面做。同時有內網服務器也可以直接掛這臺上面,服務器ip地址在DHCP中做排除就行;
3. 因爲小型網絡中設備比較少,我把匯聚層和接入層合二爲一了,直接使用Cisco 2960做接入層設備;
4. 如果公司有無線網絡需求的話,無線路由器可以直接接到Cisco 2960上;
5. 公司如果有服務器需要外網訪問可以接到防火牆,做DMZ;
6. 有分公司組網需求請看一篇博客;
具體配置:
這裏因爲設備比較多,所以具體配置就省略了,如果有需求的話,可以在下面留言,我單獨發給你。
寫這篇博客的初衷是,在網上找了很久都很難找到一篇真正站在網絡架構層面的技術文章,所以在此分享給像我一樣的曾經的迷路人。
本文原創,轉載請註明出處。