实战系列说明
实战系列,每个星期一发送一到两篇,预计18篇左右,整理跟排版都需要时间,博主也只是业余时间写写技术文档,请大家见谅,大家觉得不错的话,可以推荐给朋友哦,博主会努力推出更好的系列文档的,点击上面可以查看汇总文档。如果大家有任何疑问或者文中有错误跟疏忽的地方,欢迎大家留言指出,博主看到后会第一时间修改,谢谢大家的支持,更多技术文章尽在网络之路博客,http://ccieh3c.com。
拓扑
拓扑可以保存到本地,然后扩大查看,这样才能看的更清楚。
IP地址配置,以及测试直连连通性
4.1 关于接入层交换机的配置
说明:由于接入层交换机属于二层交换机,并不需要配置IP地址,只需要配置对应的管理地址即可,管理地址这块在后续在进行。
4.2 核心交换机IP配置
分析:在IP地址规划那块,已经规划好了PC与服务器等对应的网关都为192.168x.254,这个网关地址可不是随意定义在哪个交换机上面就可以的,建议是平分定义,当然也可以不定义,后续有VRRP虚拟出来,VRRP是可以直接使用接口地址的,所以没必要浪费一个IP地址来做接口地址,所以这里采用的方案是分摊,比如VLAN 19的网关在Core-A上面,而VLAN 20的则在Core-B上面,依次类推。这样的结果就是配合VRRP技术来实现负载分担,并且配合MSTP技术实现链路分担,后续实现这块会有详细分析。
4.2.1 Core-A 地址配置
[Core-A]interface vlan 19
[Core-A-Vlanif19]ip address 192.168.19.254 24
[Core-A]int vlan 20
[Core-A-Vlanif20]ip address 192.168.20.253 24
[Core-A-Vlanif20]int vlan 21
[Core-A-Vlanif21]ip address 192.168.21.254 24
[Core-A-Vlanif20]int vlan 88
[Core-A-Vlanif88]ip address 192.168.88.253 24
[Core-A]interface vlan 1
[Core-A-Vlanif1]ip address 192.168.1.254 24
[Core-A]interface vlan 100
[Core-A-Vlanif100]ip address 192.168.100.253 24
4.2.2 Core-B地址配置
[Core-B]interface vlan 19
[Core-B-Vlanif19]ip address 192.168.19.253 24
[Core-B-Vlanif19]int vlan 20
[Core-B-Vlanif20]ip address 192.168.20.254 24
[Core-B-Vlanif20]int vlan 21
[Core-B-Vlanif21]ip address 192.168.21.253 24
[Core-B-Vlanif21]int vlan 88
[Core-B-Vlanif88]ip address 192.168.88.254 24
[Core-B]interface vlan 1
[Core-B-Vlanif1]ip address 192.168.1.253 24
[Core-B]interface vlan 100
[Core-B-Vlanif100]ip address 192.168.100.254 24
说明:可以看到Core-A与B互为分担,这里比如VLAN 19的网关在A上面,B则是另外一个地址,而VLAN 20则是B为网关,A为一个普通地址。这是为了后续做VRRP规划好。
4.3 防火墙接口配置
分析:在防火墙中需要定义2个地址,一个是连接核心交换机的,也就是VLAN 100的地址,而另外一个为出接口地址,配置为公网地址,后续提供内网访问外网的服务,以及外网通过映射访问内部服务器等。需要注意的是,在防火墙中 有区域的概念,我们必须把接口划入到对应的区域,后续我们都是在这些区域间做策略。
[USG-GW]interface vlan 100
[USG-GW-Vlanif100]ip address 192.168.100.252 24
[USG-GW]interface g0/0/1
[USG-GW-GigabitEthernet0/0/1]ip address 202.100.1.2 24
[USG-GW]int g0/0/2
[USG-GW-GigabitEthernet0/0/2]ip address 61.128.1.2 24
[USG-GW]firewall zone trust
[USG-GW-zone-trust]add interface Vlanif 100
[USG-GW]firewall zone name ISP_DX
[USG-GW-zone-isp_dx]set priority 1
[USG-GW-zone-isp_dx]add interface g0/0/1
[USG-GW]firewall zone name ISP_LT
[USG-GW-zone-isp_lt]set priority 2
[USG-GW-zone-isp_lt]add interface g0/0/2
说明:该配置了对应的IP地址以外,并且还配置了把对应接口加入对应Zone,我们一般把内网接口加入Trust,而外网接口加入Untrust,对外提供服务的则加入DMZ等。需要注意的是Trust是系统默认存在的,所以只需要添加接口即可,而后面2个是自定义的,必须先定义优先级然后在添加接口,因为我们这里部署的是双出口。当然也可以加入到Untrust中。
测试连通性【完成】
可以看到核心交换机之间的访问是没有任何问题了,所有的VLAN 接口都能访问
这里是测试与防火墙的连通性,这里已经正常通信了,至此整个IP地址配置完成。
总结:配置IP地址难度并不大,需要结合后续的技术考虑一些因素进去,比如后续要部署VRRP,我们必须让它网关均匀的分配到2台核心交换机上面,使得它们分担整个网络的流量,如果都往一个交换机上面跑,则另外一台没有利用起来,而且这一台压力也大。
关于博客资源下载说明
(1)第一种是书籍PDF与视频类,全部放在博客分享,觉得对大家学习有帮助的博主会收集好、然后以博主的经验整理分类后排序好分享出来。
(2)第二种是技术性文章与视频,全部放在公众号(网络之路博客)/B站(网络之路Blog)发布,以博主原创为主,主要分享系列为主,由浅入深的带大家了解工作中常用到的一些网络技术,当然也会分享一些比较经典的案例。
(3)分享资源有涉及到您的利益以及版权问题,请联系博主,24小时候内删除。
学习视频系列(总有您想要的)
Book与实验手册(从初级到高级)
数通系列(路由交换 无线、防火墙VPN等)
实战系列(最贴近企业需求的案例)
想第一时间收到最新更新内容吗,点击获取~~~
(广告)博主自主原创最新实战课程
(广告)远程技术支持(设备调试),有搞不定的找我,价格实惠,为您解决实际工作上的问题
