园区网&office网络搭建及配置示例

2021-04-29 10:32:35 浏览数 (1)

某天helpdesk的小伙伴问我,你们是怎么快速搭建一套office的网络环境的,当我打算给他详细的介绍我们的园区网的时候,他进一步具化了他的需求:不要求像我们大型园区网那么复杂,只要让小型的公司能满足基本的上网需求就可以,最好告诉他具体的配置命令。我用10几分钟在EVE拖出了几台网络设备,给他演示了下思路和命令。

还有一次,有一位在参加CCIE Lab备考时我帮助过的小伙伴,考完试后顺便来访,在培训之前他基本是0基础。当我问他拿到CCIE的打算时,他说了一堆他的想法。我问他如果你入职一家公司,以初级or网络工程师的身份进去,如果你们公司的office需要搬迁,让你做一份基础的网络方案(当然不包含IDC)出来,你能搞定么?他竟然犹豫了好久。都说现在CCIE烂大街,水平次,其实在我心中还是觉得很不爽的,正式这些Paper拉低了整体CCIE/HCIE的水准,借此机会,对刚入行的网络工程师或者需要兼顾网络的IT伙伴介绍Office的简单架构和命令配置

我们进入正题:

园区网or小型office(我们后文都以园区网来简称),普遍采用三层架构:核心层、汇聚层、接入层(我们不谈名词解释,只讲实际用途),目前较主流的是采用万兆骨干、千兆桌面的设备选择。

核心层:逻辑uplink到互联网(路由器、防火墙等),专线,无线控制器以及某些server。提供高速的转发,在小型场景或性能足够强大的情况下可以同时提供汇聚层的功能,完成L2/L3的终结,一般会与出口路由器/防火墙、汇聚层层交换机以三层 IGP的方式提供ECMP;

汇聚层:提供接入层L2流量的汇聚,完成L2/L3的终结,隔离广播域,一般与Uplink的核心层交换机以IGP的形式交互,提高可靠性和负载分担。向下以trunk中继的形式与接入交换机互联;

接入层:与用户桌面最近,提供二层互联。某些POEAccess提供AP、监控等接入的支持。

另外还有某些service提供总部与分支的vpn连接,使用中我们会演示ipsec的连接。常用的还有MSTP/SDH专线、MPLSVpn、SSLvpn等等。

以下我们通过实验来具体配置和讲解功能:

实验环境选用EVE-NG,cisco的L2、L3设备。实验拓扑如下(EVE截图):

一、总部拓扑

1、核心层:

①两台核心层交换机可以采用虚拟机框技术,例如Cisco的VSS,华为的CSS,H3C的IRF2等,因模拟器不支持,我们直接使用三层互联 OSPF,并将uplink以及与汇聚层交换机互联全部划入ospf的区域0,三层地址规划如下:

Router1

Router2

Aggregation1

Aggregation2

Aggregation3

Aggregation4

Core_1

10.1.1.1-2

10.1.1.5-6

20.1.1.1-2

20.1.1.5-6

20.1.1.9-10

20.1.1.13-14

Core_2

10.1.1.9-10

10.1.1.13-14

20.1.1.17-18

20.1.1.21-22

20.1.1.24-25

20.1.1.27-28

设备looback和接口地址规划:

Floor1

192.168.1.0/24

一楼地址段

Floor2

192.168.2.0/24

二楼地址段

Floor3

192.168.3.0/24

三楼地址段

Floor4

192.168.4.0/24

四楼地址段

ISP1-CT

100.1.1.1/30

Route1到ISP1地址

ISP2-CU

200.1.1.1/30

Router2到ISP2地址

Core1

1.1.1.1/32

Core1 router-id

Core2

2.2.2.2/32

Core2 router-id

Aggregation_1

3.3.3.3/32

Aggregation_1 router-id

Aggregation_2

4.4.4.4/32

Aggregation_2 router-id

Aggregation_3

5.5.5.5/32

Aggregation_3 router-id

Aggregation_4

6.6.6.6/32

Aggregation_4 router-id

Router1

7.7.7.7/32

Router1 router-id

Router2

8.8.8.8/32

Router2 router-id

参考配置:

Core1:

enable

conf t

hostname Core_1

interface e 0/0

no switchport

ip address 10.1.1.1 255.255.255.252

no shut

inter e 0/1

no switchport

ip address 10.1.1.5 255.255.255.252

no shut

interface e 0/2

no switchport

ip address 20.1.1.1 255.255.255.252

no shut

interface e 0/3

no switchport

ip address 20.1.1.5 255.255.255.252

no shut

interface e 1/0

no switchport

ip address 20.1.1.9 255.255.255.252

no shut

interface e 1/1

no switchport

ip address 20.1.1.13 255.255.255.252

no shut

interface loo 0

ip address 1.1.1.1 255.255.255.255

router ospf 1

router-id 1.1.1.1

interface range e 0/0 -3 , ethernet 1/0-1 ,loopback 0

ip ospf 1 area 0

do wr

②实际环境中与核心层互联的会有上网行为管理,防火墙,域控,DHCP,无线控制器等。本实验采用核心交换机做DHCP server来演示客户端DHCP的行为:

配置如下(配置floor1 192.168.1.0/24网络的):

Service dhcp

ip dhcp pool floor1

network 192.168.10.0 255.255.255.0

default-router 192.168.10.1

dns-server 114.114.114.114

③防火墙有三种接入方式:桥接模式(直接串联在核心交换机与路由器之间,将核心交换机与防火墙的接口配置为trunk中继接口即可),、路由模式(放在出口,可替代路由器,做NAT、IPSEC等)、旁路模式(在核心交换机做流量镜像,不改变原有拓扑)。安全的知识非常庞大,我们不在本文进行讨论(以下是本群小伙伴唐传亮TCL的总结,大家可以参考)。

思维导图连接及部分截图(

链接:https://pan.baidu.com/s/1PQOJ5rv5KW39lNvkgTTWdQ

提取码:dsqb )

④无线控制器可以选择在核心层、汇聚层。L2/L3在汇聚层,AP需要做本地转发,如果L2/L3在核心层,AP可以选择集中/本地转发。我们简单解释一下无线的几个概念:

CAPWAP:AP注册到AC控制器后形成的tunnel,集中式转发数据和控制报文会通过CAPWAP隧道到AC然后通过AC到物理网络;

SSID:AP在“空气”中扩散,用户通过Client端能看到的无线信号的名字;

Interface:AC控制通过关联VLAN ID和interface决定AC转发到哪个实际的物理网络;

WLAN:一个将SSID和Interface关联起来的纽带;

我们可以专门写一篇关于无线的介绍的文章。

④我们忽略掉增值Service(行为管理、流控、负载等),直接研究出口路由器。我们模拟2个运营商CT和CU,路由器承担NAT、ipsecvpn的功能。Router配置默认路由到各自对应的ISP,并通过OSPF下方默认到CoreSwtich,我们先进行除ipsec以外(待配置完分支机构后再配置)的其他配置:

Router1:

en

conf t

hostname Router1

interface e 0/0

ip address 100.1.1.2 255.255.255.252

no shutdown

interface e 0/1

ip address 10.1.1.2 255.255.255.252

no shut

interface e 0/2

ip address 10.1.1.10255.255.255.252

no shut

interface loopback 0

ip address 7.7.7.7 255.255.255.255

ip route 0.0.0.0 0.0.0.0 100.1.1.1

ip access-list extend NAT //匹配NAT的内网兴趣流

10 permit ip 192.168.1.0 0.0.0.255 any

20 permit ip 192.168.2.0 0.0.0.255 any

30 permit ip 192.168.3.0 0.0.0.255 any

40 permit ip 192.168.4.0 0.0.0.255 any

ip nat inside source list NAT interface e 0/0 over //基于Ethernet0/0做PAT

router ospf 1

router-id 7.7.7.7

default-information originate //默认路由不存在时不下放默认给Coreswitch,建议不加always

interface rang loo 0 , e 0/1 , e 0/2

ip ospf 1 are 0

do wr

二、汇聚层

Aggregation1-2我们提供Floor1-2的汇聚交换机,Aggregation3-4提供Floor3-4的汇聚交换机,现实环境可能需要的数量不同,我们只是理论和实践。设计如下:Aggregation1-2提供Floor1-2的网关,STP采用MSTP,其中Floor1的MSTP的root放在Aggregation1,Floor2的MSTP的root放在Aggregation2,FHRP采用HSRP,并且HSRP的Active与Root对应,为提高二层可靠性,接入交换机与汇聚交换采用LACP的portchannel(仅演示Aggregation1-Access1),配置如下:

Aggregation1:

en

config t

hostname Aggregation1

interface e 0/0

no switchport

ip address 20.1.1.2 255.255.255.252

no shut

interface e 0/1

no switchport

ip address 20.1.1.18 255.255.255.252

no shut

vlan 10

vlan 20

track 10 ip route 0.0.0.0 0.0.0.0reachability //检测上行链路是否down掉

interface Vlan10

ip address 192.168.10.253 255.255.255.0

standby 10 ip 192.168.10.1

standby 10 priority 120

standby 10 pree

standby 10 track 10 decrement 30 //track10失败后,减少30优先级,使Aggregation2成为active

interface vlan 20

ip address 192.168.20.253 255.255.255.0

standby 20 ip 192.168.20.1

standby 20 pree

standby 20 pri 90

no shut

spanning-tree mode mst

spanning-tree mst configuration

instance 1 vlan 10

instance 2 vlan 20

spanning-tree mst 1 root primary

spanning-tree mst 2 root secondary

interface range ethernet 0/2 - 3 , ethernet 1/0

switchport trunk encapsulation dot1q

switchport mode trunk

no shut

interface rang e 0/2 , e 1/0

channel-group 1 mode active

interface port-channel 1

switchport trunk encapsulation dot1q

switchport mode trunk

no shut

interface loo 0

ip address 3.3.3.3 255.255.255.255

router ospf 1

router-id 3.3.3.3

interface range e 0/0-1 , loo 0

ip ospf 1 are 0

do wr

Aggregation2:

en

config t

hostname Aggregation2

interface e 0/0

no switchport

ip address 20.1.1.6 255.255.255.252

no shut

interface e 0/1

no switchport

ip address 20.1.1.22 255.255.255.252

no shut

vlan 10

vlan 20

track 20 ip route 0.0.0.0 0.0.0.0reachability //检测上行链路是否down掉

interface Vlan10

ip address 192.168.10.254 255.255.255.0

standby 10 ip 192.168.10.1

standby 10 priority 90

standby 10 pree

interface vlan 20

ip address 192.168.20.254 255.255.255.0

standby 20 ip 192.168.20.1

standby 20 pri 120

standby 20 pree

standby 10 track 10 decrement 30

no shut

spanning-tree mode mst

spanning-tree mst configuration

instance 1 vlan 10

instance 2 vlan 20

spanning-tree mst 2 root primary

spanning-tree mst 1 root secondary

interface range e 0/2 -3

switchport trunk encapsulation dot1q

switchport mode trunk

no shut

interface loo 0

ip address 4.4.4.4 255.255.255.255

router ospf 1

router-id 4.4.4.4

interface range e 0/0-1 , loo 0

ip ospf 1 are 0

do wr

检查一下portchannel的状态:

查看HSRP的active和standby状态:

查看STP状态:

三、接入层

提供客户端、打印机等的接入,可以在接入的access口开启portfast加速收敛,开启budugard防止网络设备接入等;

Access1:

en

conf t

hostaname Access1

vlan 10

vlan 20

spanning-tree mode mst

spanning-tree mst configuration

instance 1 vlan 10

instance 2 vlan 20

interface rang e 0/0 -2

switchport trun enca do

switch mode trunk

no shut

interface rang e 0/0-1

channel-group 1 mode passiv

interface port-channel 1

switchport trunk encapsulation dot1q

switchport mode trunk

no shut

interface e 0/3

switchport mode access

switchport access vlan 10

no shut

do wr

客户端DCHP获取的地址:

100.100.100.100为ISP的某个公网地址,我们来测试:

二、分支拓扑

基础配置我们不做演示,为和总部网段区分明显,选择172.16.10.0/24网段,我们仅进行ipsec配置:

NAT优先级高于ipsec等级,所以在总部的NAT Access-list要排除掉到分支私有地址。仅以Router1举例:

ipaccess-list extend NAT

2deny ip 192.168.0.0 0.0.255.255 172.16.0.0 0.0.255.255

ipaccess-list exten ipsec

permitip 192.168.0.0 0.0.255.255 172.16.0.0 0.0.255.255exit

cryptoisakmp policy 10

encr 3des

authentication pre-share

group 2

cryptoisakmp key vpn address 201.1.1.2

cryptoipsec transform-set ipsecvpn esp-des esp-md5-hmac

mode tunnel

cryptomap ipsec 10 ipsec-isakmp

set peer 201.1.1.2

set transform-set ipsecvpn

match address ipsec

查看路径:

总结:

以上仅仅完成了基础的框架和配置,为大家抛砖引玉。其中的很多细节,例如:无线的配置和优化、安全产品选择和策略的制定、多出口的优化、流量和行为控制、链路负载、专线和ipsec的智能选路、自动化(ansible&python)巡检和配置脚本的编写,以及BFD&SLA的联动等等任何一点都需要耗费精力来优化。如果有对本文的疑问或者建议可以留言讨论,如果以上扩展内容感兴趣,也可以提出专门写文章介绍。

以上文章来源:Kyabite;玉哥

0 人点赞