首發就從實戰開始吧,這個系列是之前在給某個機構做內部培訓講解的時候寫的一個實戰內容,從拓撲設計到地址規劃、以及網絡需求、為什麼需要用到這些技術做了全面的分析,大部分都可以用ENSP來模擬,想深入學習的朋友一定不要錯過。(後面有提問,有興趣的朋友可以參加哦,一方面可以增加自己思考能力,為什麼要這樣做,也可以把不懂的詢問博主)
1 拓撲與說明
某公司的網絡架構,這樣的架構在目前的網絡中是在常見的,假設您接收一個這樣的網絡,應該如何部署,該實戰系列,就是一步一步講解,如何規劃、設計、部署這樣一個環境,這裡會針對不同的情況給出不同的講解,比如拓撲中有2個ISP,假設客戶需求是,想實現主備的效果,又或者是想負載分擔。DHCP部署在防火牆上面或者是單獨的服務器上面又該如何配置部署。
2之前提問答友彙總 (方便大家學習)
1、華為 華三中小型企業網絡架構搭建 【客戶需求分析、解決部署思路】
3、華為 華三中小型企業網絡架構搭建 【MSTP、鏈路聚合、VRRP部署】
第一篇的回答(關於DHCP部署問題,具體可以回顧下文章)
第二篇的回答(這個問題有點多,後臺限制140個字,就單獨私聊回覆了)
回答內容如下
1、ehtrunk的負載均衡方式根據流量走的二層還是三層決定選哪種,基於MAC還是基於IP,如果兩臺二層交換機之間做鏈路聚合一般做基於MAC,核心之間跑三層IP多,基於IP方式,影響倒沒什麼影響,選擇正確的負載均衡方式,讓2條鏈路利用率上來,不會出現都偏向某一條鏈路。
2、防火牆三層跟二層接口主要影響是技術的選擇運用,先從三層說,三層那勢必2個接口都得配置地址,兩臺核心都得單獨一個VLAN,然後配置一個VLANIF地址來對接防火牆,這時候跑靜態路由就不適合了,必須選用動態路由協議,那首選OSPF,至於想負載分擔還是主備方式,那就可以利用OSPF的COST的來控制。在說二層方式,二層方式相對於三層要簡單的地方在於,防火牆跟2臺核心之間可以在一個網段,核心可以上行也起VRRP,然後防火牆只需要寫一個明細路由到VRRP的網關即可,核心也只需要寫默認路由。
3、DHCP這個組網是有單獨服務器的,沒做核心交換機上面,做的中繼功能,後續會提到
4、關於沒加入VLAN 22跟23,前面舉例都以19 20 21為主,這2個算是失誤,給忽略了。
5、VLAN1是給管理用的,下面接入或者AC都需要寫網關,可以理解跟PC客戶端一樣,沒寫網關的話,其他網段是沒辦法管理的,所以VLAN1也做VRRP,100是對接防火牆的,這次組網採用二層的,所以做了VRRP。
6、關於AC是採用三層旁掛方式,AC的配置後面有具體章節,可以後續看,管理VLAN不是AC下發,接AP的POE交換機的口來賦予,業務VLAN由AC的配置決定。
(大家積極回答問題,一來可以提高大家學習的積極性,一旦你有了想去思考的想法,就會去查找對應的知識點,這個過程就是一個學習,二來可以給其他學習的朋友一個借鑑,博主會把回答的不錯的置頂哦~另外提問的朋友如果問題比較多,儘量分多次發送,一次性發送的話,博主後臺只能回覆140個字,超出的我會跟第二篇以後在後面的文章中展示)
3 路由定義分析
在這個網絡中,目前來看設計到三層部分的完全只有對應的兩臺核心交換機與出口防火牆之間,而下面的交換都是二層網絡,那麼這裡就沒必要使用動態路由協議了,靜態路由完全可以勝任了,之前的架構已經看出來了,交換機之間使用VRRP虛擬了一個地址,與防火牆進行通信,而防火牆則也就一個IP地址,所以我們需要定義的是,防火牆的路由:1、一條默認路由指向ISP,這個是為了上網用的,當然這裡有2個ISP,所以需要定義2個默認路由,分別指向ISP的下一跳,而明細路由則需要指定到VLAN 19~21,88這些網絡的路由,為什麼呢,因為一個數據包是有去有回的,你出去的時候可以走默認路由,但是數據包回來,防火牆並不知道它在哪,所以這裡要告訴防火牆怎麼轉發,這裡可以使用路由彙總,這也體現出來了,子網劃分的彙總性了。 兩臺交換機的路由,只需要定義一條默認路由指向防火牆即可,因為內部網絡其實交換機都知道怎麼走,唯一不知道的是怎麼去往外網,所以只需要指定一條默認路由指向防火牆即可。
4 路由配置
[Core-A]ip route-static 0.0.0.0 0 192.168.100.252[Core-B]ip route-static 0.0.0.0 0 192.168.100.252[USG-GW]ip route-static 192.168.0.0 16 192.168.100.254說明:定義了3三條路由,前2條分別是交換機定義默認路由直接轉發給防火牆,而第三條可以看出來,直接做了一個彙總路由,把192.168.0.0/16的直接轉發給192.168.100.254,也就是交換機的VRRP地址。
[AC6605]ip route-static 0.0.0.0 0.0.0.0 192.168.1.254這裡需要定義一個AC的路由,方便後續其他網段能訪問到AC。
說明:關於防火牆訪到ISP的路由,我們在防火牆實現NAT那快一起分析,根據不同需求定義不同的配置。
5 DHCP部署分析
在這種網絡架構中,可以部署DHCP的有2個設備,一個是出口防火牆,另外一個就是用單獨的服務器集群部署一臺DHCPServer,可以是Linux的或者Windows的,推薦使用服務器搭建DHCP,原因有幾個,1、如果使用防火牆搭建DHCP服務,會增加防火牆的負擔,因為防火牆上面不僅僅跑IPSEC VPN、L2TP VPN、NAT、路由、包檢測功能,需要創建大量的會話信息,並且處理,而總部的PC量也是非常大的,所以這時候,我們需要保證不給防火牆增加負擔,而服務器的話,目前虛擬化很成熟,一臺好的服務器,部署了虛擬化環境的話,非常容易虛擬出許多服務來,不管是做冷備還是熱備,都是可以的,當然熱備的話,Windows需要2012才支持。冷備的意思就是,先只用第一臺服務器,當第一臺DHCP服務器壞了的話,則用第二臺。當然它沒有備份功能的,兩臺服務器之間不知道對方到低分配了哪些IP地址,而2012的話則支持主備功能,就是主分配了地址後,會同步信息給備用,這樣當備用充當主用的時候,則可以繼續工作在之前的狀態。
6 Windows DHCP搭建
說明:DHCP使用的是Windows 2003的,因為我這是用虛擬環境搭建的2003來模擬工作中的DHCP服務器,所以沒有部署2008或者2012了,那個比較佔用資源,其實配置起來非常簡單的。 該服務器IP地址為192.168.88.2511、在添加/刪除程序內———-添加/刪除Windows 組件————-找到Network Service——–選擇DHCP服務,OK就行,注意的是 需要插入對應的光盤。
打開對應的DHCP服務
新建一個範圍或者作用域
說明:這樣就創建了一個對應的地址池了,分配了對應的網段、網關、DNS與Domain。這個可以根據自己需求定義的,加你命名的時候加上註釋,方便後續區分。另外需要注意分配的範圍,之前已經看到了後面的252、253、254對應的地址都被使用了的,所以在分配的時候,建議範圍是1~250,比如192.168.19.1~250或者251。
對應的創建了4個地址池,主要是該項目中用到的,其實還有VLAN 22與23,但是這裡沒舉例,所以就不添加了,其中對應的網關都為254,而DNS地址是192.168.88.251,其實就是DHCP服務器,因為是模擬環境,所以就用一臺服務器充當了幾個服務功能。 需要注意的是,這裡VLAN 1的功能,主要是給無線AP分配的地址,所以範圍不是很大,滿足需要就可以了。
7 結果驗證
8 DHCP中繼配置【最容易忽略的一個點】
分析:為什麼會獲取不到地址呢,我們雖然在DHCP定義了對應的地址池,但是,當PC請求獲取地址的時候,發送DHCP報文,然後經過接入層交換機打上VLAN Tag,轉發給核心層,核心層收到以後,會檢查自己是否開啟了對應的DHCP服務功能,如果存在的話,則會為這個PC分配地址,但是我們定義DHCP服務是在服務器上面,交換機上面並沒有,所以導致交換機直接丟棄這個報文,沒有任何回應,因為交換機自身沒有開啟服務,它也不知道到低找誰可以給PC分配地址。這時候就需要配置中繼功能了,中繼功能就是告訴核心交換機,到哪找到DHCP服務器。[Core-A]dhcp enable[Core-A]interface vlan 1[Core-A-Vlanif1]dhcp select relay[Core-A-Vlanif1]dhcp relay server-ip 192.168.88.251說明:首先必須開啟DHCP功能,然後在對應的VLAN 下面啟用中繼功能,然後定義服務器地址在哪,注意的是,所有的VLAN都需要敲,比如 VLAN 1、19、20、21,只要客戶需要獲取地址的VLAN 都需要橋上。
兩臺核心交換機的VLAN都需要配置,這裡不分主備,都需要定義,因為如果主失效了,備用作為網關的話,那麼又沒有對應的中繼功能,那麼導致DHCP獲取不到,所以這裡都需要配置。
9 再次結果驗證
當PC連接到訪客廳的時候,獲取到了對應IP地址為192.168.19.1,網關與DNS等參數都是OK的。
當PC連接到Boss的時候,獲取到了對應的IP地址 為192.168.20.1,網關與DNS參數都OK
10 客戶問題反映、優化與總結
雖然DHCP已經部署完畢,客戶端也獲取到了地址,在測試的時候沒有發現問題,但是在用過一段時間後,客戶反映說,當PC重新連接到交換機後,需要很長一段時間才能獲取到地址,或者是第一次出現獲取不到地址的情況,這種情況特別是筆記本比較明顯。
分析:為什麼會出現這種情況呢,這的查看端口狀態了。當我把一個PC接到一臺交換機上面的時候,交換機接口會UP,但是由於該接口開啟了STP功能,則會先進行STP計算,雖然是MSTP,但是對於邊緣接口處理並不好,我們可以看查看狀態。
我們可以看到,E0/0/2剛剛UP,但是對應的STP狀態為DISCARDING,丟棄狀態,這是MSTP最初始的狀態,說明MSTP還在計算當中,計算該接口的角色是什麼。
現在已經變Learning狀態了
到最後才變為Forwarding,這個時間可能經過30~50s,而我們知道當一個PC接入到一個網絡後,在10~15s之類,沒有獲取到IP地址的話,則會自動獲取一個169的地址,所以造成客戶有些獲取地址緩慢或者直接獲取不到地址的情況。
11優化
1、除了上聯接口以外,面對客戶的網絡關閉STP(不推薦)2、啟用邊緣端口功能,讓面對客戶的網絡直接跳過STP檢測(推薦)注意第一個不推薦的原因是,如果客戶私接一個設備,然後還是環路的話,STP是可以有效阻斷的,但是如果關閉了的話,造成了環路,廣播風暴的話,則容易造成網絡癱瘓。而服務器集群交換機則不需要配置,因為正常情況下,服務器是不會輕易動的。而且進入也需要批准等情況,所以不配置也可以。以Boss為例,訪客廳、財務都需要配置,參考即可,注意核心設備不需要配置[boss]port-group 1[boss-port-group-1]stp edged-port enable說明:財務跟訪客廳按照這個配置即可,這裡的port-group不需要關聯接口了,因為在最開始的時候我們已經關聯過了,所以這裡直接配置即可。
可以看到所有的接口都配置邊緣端口功能。
12 最終測試結果驗證
這次再次接入到Boss設備上面,看端口狀態、與DHCP獲取情況。
可以看到這次接入到E0/0/3上面,而查看後直接轉發狀態,並沒有經歷之前的丟棄、偵聽等狀態了。
13 總結
DHCP這塊最容易2個點就是 1、DHCP中繼 2、STP的存在,另外的是DHCP分配了這麼多地址池,它為什麼會知道客戶 就是需要那個呢,其實這是中繼在起作用,當一個數據包抵達核心交換機後,交換機會查看中繼配置,以單播包發送給DHCP服務器,包的源地址就是對應的VLAN 的網段,而DHCP收到後,分配的地址就根據這個VLAN 的網關來分配的,這樣的話 你VLAN 19請求到的自然是與VLAN 19對應的網段。
另外一個DHCP中繼的Feature功能。假設該網段有2臺DHCP服務器,默認情況下用A,當A失效後才使用B。那麼我們就不能想剛剛那樣配置了,需要配置一個DHCP Group。
[Core-A]dhcp server group 1[Core-A-dhcp-server-group-1]dhcp-server 192.168.88.251[Core-A-dhcp-server-group-1]dhcp-server 192.168.88.250
[Core-A]int vlan 100[Core-A-Vlanif100]dhcp selec relay[Core-A-Vlanif100]dhcp relay server-select 1說明:該配置的意思就是說,定義了2個DHCP服務器地址,默認情況下使用第一個,當第一個壞了後才使用第二個,然後在接口下調用,調用的方式跟之前不同,之前是直接寫IP地址,而這裡是調用這個組。
14 提問與分享(想提高自己,從獨立思考與分享開始)
1、關於路由的實施這裡採用的是靜態路由,因為之前部署的方式為二層對接,用了VRRP,去跟回都是一個網關,靜態路由非常方便,假如這裡用的是三層對接,靜態路由是否還合適?
2、工作中容易遇到接入層的交換機接上去後有時獲取不到地址,除了上面提到的沒有配置邊緣端口外,還有什麼會影響地址獲取不到,排錯思路是怎樣?
3、關於STP導致的要過30s後才能正常工作,主流產商中思科、華為、H3C,哪些默認開了STP,哪些沒有開。
4、有什麼自己工作中遇到的情況與有趣事情可以分享留言哦,博主會幫您置頂,讓更多人看到與學習。
閱讀更多 思恆科技 的文章
