华为中小型园区分支出口综合配置举例资料.docx

1、华为中小型园区分支出口综合配置举例资料2.1中小型园区/分支出口综合配置举例园区网出口简介园区网出口一般位于企业网内部网络与外部网络的连接处，是内部网络与外部网络之间数据流的唯一出入口。对于中小型企业来说，考虑到企业网络建设的初期投资与长期运维成本，一般希望将多种业务部署在同一设备上。企业网络用户一般同时需要访问Internet和私网VPN，而对于中小型企业来说考虑到建设及维护成本问题，一般租用运营商Internet网络组建私网VPN。对于部分可靠性要求较高的园区网络，一般考虑部署两台出口路由器做冗余备份实现设备级可靠性，同时应用链路聚合、VRRP、主备路由等技术保证园区出口的可靠性。华为AR

2、系列路由器配合华为S系列交换机是中小型园区网出口设备的理想解决方案。 区出口设备需要具备NAT Outbound及NAT Server的功能，实现私网地址和公网地址之间的转换，以满足用户访问Internet或者Internet用户访问内网服务器的需求。 园区出口设备需要具备通过Internet构建私网VPN的功能，以满足企业用户各个机构之间私网VPN互通的需求 园区出口设备需要具备数据加密传输的功能，以保证数据的完整性和机密性，保障用户业务传输的安全 中小型园区出口需要具备可靠性、安全性、低成本、易维护等特点。配置注意事项 本配置案例适用于中小型企业园区/分支出口解决方案。 本配置案例仅涉及企

3、业网络出口相关配置，涉及企业内网的相关配置请参见华为S系列园区交换机快速配置中的“中小园区组网场景”。组网需求某企业总部和分支分别位于不同的城市，地域跨度较远，总部存在A、B两个不同的部门，分支只有一个部门。现在需要建设跨地域的企业园区网络，需要实现的需求如下： 总部和分支都需要实现用户访问Internet的需求。总部划分为A、B两个部门，其中A部门的用户可以访问Internet，但是B部门的用户不能访问Internet；分支所有用户都可以访问Internet。 总部有Web服务器，对外提供WWW服务，外网用户可以访问内网服务器。 总部和分支之间需要通过Internet进行私网VPN互通，通信

4、内容需要有安全保护。 总部园区出口可靠性要求较高，需要考虑链路级的可靠性和设备级的可靠性。 分支可以适当降低可靠性要求。方案介绍根据用户需求，可以给出如图2-1所示的综合配置解决方案，该方案具备层次化、模块化、冗余性、安全性的特点，适用于中小型企业/分支的园区网络部署。图2-1中小型园区/分支出口综合配置组网图 在网络的接入层部署华为S2700&S3700交换机（ACC1、ACC2、SwitchA），在网络的核心部署华为S5700交换机（CORE），在园区出口部署华为AR3200路由器（RouterA、RouterB、RouterC）。 总部采用双AR出口冗余备份方式，保证设备级的可靠性。分支

5、部署一台AR路由器做出口。 总部核心交换机采用两台S5700交换机做堆叠，保证设备级的可靠性。 总部接入交换机与核心交换机之间以及核心交换机与出口路由器之间采用Eth-Trunk方式组网，保证链路级的可靠性。 总部每个部门业务划分到一个VLAN中，部门间的业务在核心交换机CORE上通过VLANIF三层互通。 总部核心交换机作为用户及服务器网关，部署DHCP Server为用户分配IP地址。 分支用户的网关直接部署在出口路由器上。 总部两个出口路由器之间部署VRRP，保证可靠性。 总部和分支之间通过Internet构建IPSec VPN进行私网互通，同时保证数据传输的安全性。 总部两台出口路由器

6、和核心交换机之间部署OSPF，用于发布用户路由，便于后期扩容及维护。配置思路采用如下思路部署中小型园区/分支出口综合配置举例：1. 部署总部及分支园区内网总部：部署堆叠、链路聚合，配置各VLAN及IP地址、部署DHCP Server，实现园区内网互通。部门内部通过接入层交换机进行二层互通，部门间通过核心交换机CORE上的VLANIF进行三层互通。分支：配置接入层交换机及出口路由器的各接口VLAN及IP地址，部署DHCP Server，实现分支园区内网互通。2. 部署VRRP为了保证总部核心交换机与两个出口路由器之间的可靠性，在两个出口路由器之间部署VRRP，VRRP的心跳报文经过核心交换机进行

7、交互。RouterA为Master设备，RouterB为Backup设备。为了防止总部RouterA上行链路故障的时候业务断流，将VRRP状态与RouterA的上行口进行联动，保证上行链路故障时VRRP进行快速倒换。3. 部署路由为了引导各设备的上行流量，在总部核心交换机上配置一条缺省路由，下一跳指向VRRP的虚地址，在总部及分支的出口路由器上各配置一条缺省路由，下一跳指向运营商网络设备的对接地址（公网网关）。为了引导总部两个出口路由器的回程流量，在两个出口路由器和核心交换机之间部署OSPF，核心交换机上将所有用户网段发布到OSPF里面，通告给两个出口路由器。为了引导外网用户访问Web服务器的

8、流量，需要在总部的运营商路由器上配置两条目的地址为服务器公网地址的静态路由，下一跳分别指向两个出口路由器的上行口IP地址。并且为了保证路由和VRRP同步切换，设置下一跳为RouterA的这条路由优先，当这条路由失效的时候下一跳指向RouterB的路由生效。4. 部署NAT Outbound为了使内网用户访问Internet，在两台出口路由器的上行口配置NAT，实现私网地址和公网地址之间的转换。通过ACL匹配A部门的源IP地址，从而实现A部门的用户可以访问Internet，而B部门的用户不能访问Internet。5. NAT Server为了实现外网用户访问内网Web服务器，在两个出口路由器的上

9、行口上配置NAT Server，实现服务器公网地址和私网地址之间的映射。6. 部署IPSec VPN为了实现总部和分支之间进行私网VPN互通，在总部出口路由器和分支出口路由器之间部署IPSec VPN，通过Internet构建IPSec VPN，实现总部和分支之间的安全通信。说明：部署总部及分支园区内网所涉及的配置不在本例中给出，请参见华为S系列园区交换机快速配置中的“中小园区组网场景”。数据规划详细的数据规划如表2-1、表2-2、表2-3所示。表2-1链路聚合接口规划设备聚合接口物理接口RouterAEth-trunk1GE2/0/0GE2/0/1RouterBEth-trunk1GE2/0

10、/0GE2/0/1COREEth-trunk1GE0/0/1GE1/0/1Eth-trunk2GE0/0/2GE1/0/2Eth-trunk3GE0/0/3GE1/0/3Eth-trunk4GE0/0/4GE1/0/4ACC1Eth-trunk1GE0/0/1GE0/0/2ACC2Eth-trunk1GE0/0/1GE0/0/2说明：所有链路聚合采用LACP模式。表2-2VLAN规划设备数据项备注RouterAEth-trunk1.100：配置Dot1q终结子接口，终结VLAN100用于和总部核心交换机CORE对接RouterBEth-trunk1.100：配置Dot1q终结子接口，终结VLA

11、N100用于和总部核心交换机CORE对接COREEth-trunk1：Trunk类型，透传VLAN10用于和总部部门A对接Eth-trunk2：Trunk类型，透传VLAN20用于和总部部门B对接GE0/0/5：Access类型，缺省VLAN为VLAN30用于连接总部Web服务器Eth-trunk3：Trunk类型，透传VLAN100用于和总部出口路由器RouterA对接Eth-trunk4：Trunk类型，透传VLAN100用于和总部出口路由器RouterB对接ACC1Eth-trunk1：Trunk类型，透传VLAN10用于和总部CORE对接Ethernet0/0/2：Access类型，缺

12、省VLAN为VLAN10用于连接总部A部门的PC1ACC2Eth-trunk1：Trunk类型，透传VLAN20用于和总部CORE对接Ethernet0/0/2：Access类型，缺省VLAN为VLAN20用于连接总部B部门的PC3RouterCGE2/0/0.200：配置Dot1q终结子接口，终结VLAN200用于连接分支接入交换机SwitchASwitchAGE0/0/1：Trunk类型，透传VLAN200用于连接分支出口路由器RouterCEthernet0/0/2：Access类型，缺省VLAN为VLAN200用于连接分支PC5表2-3IP地址规划设备数据项备注RouterAGE1/0

13、/0：202.10.1.2/24Eth-trunk1.100：10.10.100.2/24GE1/0/0用于和运营商网络对接Eth-trunk1.100用于和总部核心交换机CORE对接RouterBGE1/0/0：202.10.2.2/24Eth-trunk1.100：10.10.100.3/24-COREVLANIF10：10.10.10.1/24VLANIF20：10.10.20.1/24VLANIF30：10.10.30.1/24VLANIF100：10.10.100.4/24VLANIF10作为A部门的用户网关VLANIF20作为B部门的用户网关VLANIF30作为Web服务器的网关V

14、LANIF100用于和出口路由器互联Web服务器IP地址：10.10.30.2/24默认网关：10.10.30.1通过NAT Server 映射后的公网IP地址：202.10.100.3PC1IP地址：10.10.10.2/24默认网关：10.10.10.1假设通过DHCP获取到的IP地址就是10.10.10.2/24PC3IP地址：10.10.20.2/24默认网关：10.10.20.1假设通过DHCP获取到的IP地址就是10.10.20.2/24RouterD接口B，编号：GigabitEthernet1/0/0，IP地址：202.10.1.1/24接口C，编号：GigabitEthern

15、et2/0/0，IP地址：202.10.2.1/24该设备为运营商网络的设备，此处接口编号为假设，请以实际设备为准RouterE接口A，编号：GigabitEthernet1/0/0，IP地址：203.10.1.1/24该设备为运营商网络的设备，此处接口编号为假设，请以实际设备为准RouterCGE1/0/0：203.10.1.2/24GE2/0/0.200：10.10.200.1/24-PC5IP地址：10.10.200.2/24默认网关：10.10.200.1假设通过DHCP获取到的IP地址就是10.10.200.2/24操作步骤1. 配置总部核心交换机CORE和两个出口路由器之间互联的E

16、th-Trunk# 配置核心交换机CORE。 system-viewHUAWEI sysname CORECORE interface eth-trunk 3CORE-Eth-Trunk3 mode lacpCORE-Eth-Trunk3 quitCORE interface eth-trunk 4CORE-Eth-Trunk4 mode lacpCORE-Eth-Trunk4 quitCORE interface gigabitethernet 0/0/3CORE-GigabitEthernet0/0/3 eth-trunk 3CORE-GigabitEthernet0/0/3 quitCO

17、RE interface gigabitethernet 1/0/3CORE-GigabitEthernet1/0/3 eth-trunk 3CORE-GigabitEthernet1/0/3 quitCORE interface gigabitethernet 0/0/4CORE-GigabitEthernet0/0/4 eth-trunk 4CORE-GigabitEthernet0/0/4 quitCORE interface gigabitethernet 1/0/4CORE-GigabitEthernet1/0/4 eth-trunk 4CORE-GigabitEthernet1/0

18、/4 quit# 配置总部出口路由器RouterA。RouterB的配置与RouterA类似。 system-viewHuawei sysname RouterARouterA interface eth-trunk 1RouterA-Eth-Trunk1 undo portswitchRouterA-Eth-Trunk1 mode lacp-staticRouterA-Eth-Trunk1 quitRouterA interface gigabitethernet 2/0/0RouterA-GigabitEthernet2/0/0 eth-trunk 1RouterA-GigabitEthe

19、rnet2/0/0 quitRouterA interface gigabitethernet 2/0/1RouterA-GigabitEthernet2/0/1 eth-trunk 1RouterA-GigabitEthernet2/0/1 quit2. 配置各接口的所属VLAN及IP地址# 配置核心交换机CORE。CORE vlan 100CORE quitCORE interface Eth-Trunk 3CORE-Eth-Trunk3 port link-type trunkCORE-Eth-Trunk3 port trunk allow-pass vlan 100CORE-Eth-T

20、runk3 quitCORE interface Eth-Trunk 4CORE-Eth-Trunk4 port link-type trunkCORE-Eth-Trunk4 port trunk allow-pass vlan 100CORE-Eth-Trunk4 quitCORE interface vlanif 100CORE-Vlanif100 ip address 10.10.100.4 24CORE-Vlanif100 quit# 配置总部出口路由器RouterA。RouterB的配置与RouterA类似。RouterA interface Eth-Trunk 1.100Route

21、rA-Eth-Trunk1.100 ip address 10.10.100.2 24RouterA-Eth-Trunk1.100 dot1q termination vid 100RouterA-Eth-Trunk1.100 arp broadcast enable /使能接口可以处理ARP广播报文功能；AR3200系列路由器V200R003C01及之后的版本默认已经使能了该功能，无需配置。RouterA-Eth-Trunk1.100 quitRouterA interface gigabitethernet 1/0/0RouterA-GigabitEthernet1/0/0 ip addr

22、ess 202.10.1.2 24RouterA-GigabitEthernet1/0/0 quit# 配置分支出口路由器RouterC。 system-viewHuawei sysname RouterCRouterC interface gigabitethernet 1/0/0RouterC-GigabitEthernet1/0/0 ip address 203.10.1.2 24RouterC-GigabitEthernet1/0/0 quit3. 部署VRRP。在总部两个出口路由器RouterA和RouterB之间配置VRRP，RouterA为VRRP的Master，RouterB为

23、VRRP的Backup# 配置RouterA。RouterA interface Eth-Trunk 1.100RouterA-Eth-Trunk1.100 vrrp vrid 1 virtual-ip 10.10.100.1RouterA-Eth-Trunk1.100 vrrp vrid 1 priority 120RouterA-Eth-Trunk1.100 vrrp vrid 1 track interface GigabitEthernet1/0/0 reduced 40RouterA-Eth-Trunk1.100 quit/为了防止RouterA的上行链路中断的时候数据流发送至VRR

24、P的Master以后不能继续上行，配置VRRP的状态和RouterA的上行口进行联动，保证RouterA上行链路中断的时候VRRP状态迅速倒换。# 配置RouterB。RouterB interface Eth-Trunk 1.100RouterB-Eth-Trunk1.100 vrrp vrid 1 virtual-ip 10.10.100.1RouterB-Eth-Trunk1.100 quit配置完成后，RouterA和RouterB之间应该能建立VRRP的主备份关系，执行display vrrp命令可以看到RouterA和RouterB的VRRP状态。# 查看RouterA的VRRP状

25、态为Master。RouterA display vrrp Eth-Trunk1.100 | Virtual Router 1 State : Master Virtual IP : 10.10.100.1 Master IP : 10.10.100.2 PriorityRun : 120 PriorityConfig : 120 MasterPriority : 120 Preempt : YES Delay Time : 0 s TimerRun : 1 s TimerConfig : 1 s Auth type : NONE Virtual MAC : 0000-5e00-0101 Ch

26、eck TTL : YES Config type : normal-vrrp Backup-forward : disabled Track IF : GigabitEthernet1/0/0 Priority reduced : 40 IF state : UP Create time : 2015-05-18 06:53:47 UTC-05:13 Last change time : 2015-05-18 06:54:14 UTC-05:13# 查看RouterB的VRRP状态为Backup。RouterB display vrrp Eth-Trunk1.100 | Virtual Ro

27、uter 1 State : Backup Virtual IP : 10.10.100.1 Master IP : 10.10.100.2 PriorityRun : 100 PriorityConfig : 100 MasterPriority : 120 Preempt : YES Delay Time : 0 s TimerRun : 1 s TimerConfig : 1 s Auth type : NONE Virtual MAC : 0000-5e00-0101 Check TTL : YES Config type : normal-vrrp Backup-forward :

28、disabled Create time : 2015-05-18 06:53:52 UTC-05:13 Last change time : 2015-05-18 06:57:12 UTC-05:134. 部署路由a. 部署缺省路由，用于引导各个设备的上行流量# 在核心交换机CORE上配置一条缺省路由，下一跳指向VRRP的虚地址。CORE ip route-static 0.0.0.0 0.0.0.0 10.10.100.1# 在总部及分支出口路由器上各配置一条缺省路由，下一跳指向运行商网络设备的对接地址（公网网关）。RouterA ip route-static 0.0.0.0 0.0.0

29、.0 202.10.1.1RouterB ip route-static 0.0.0.0 0.0.0.0 202.10.2.1RouterC ip route-static 0.0.0.0 0.0.0.0 203.10.1.1b. 部署OSPF。在总部两个出口路由器RouterA、RouterB以及总部核心交换机CORE之间部署OSPF，用于两个出口路由器RouterA和RouterB学习用户网段的回程路由# 配置总部出口路由器RouterA。RouterA ospf 1 router-id 10.1.1.1RouterA-ospf-1 area 0RouterA-ospf-1-area-0.

30、0.0.0 network 10.10.100.0 0.0.0.255RouterA-ospf-1-area-0.0.0.0 quit# 配置总部出口路由器RouterB。RouterB ospf 1 router-id 10.2.2.2RouterB-ospf-1 area 0RouterB-ospf-1-area-0.0.0.0 network 10.10.100.0 0.0.0.255RouterB-ospf-1-area-0.0.0.0 quit# 配置总部核心交换机CORE。CORE ospf 1 router-id 10.3.3.3CORE-ospf-1 area 0CORE-ospf-1-area-0.0.0.0 network 10.10.100.0 0.0.0.255CORE-ospf-1-area-0.0.0.0 network 10.10.10.0 0.0.0.255 /将用户网段发布到OSPF里面