组网需求:
总部网络由两台路由器r1 r2和三台交换机 sw1 sw2 sw3组成,其中r1作为企业所有分支二节点广域网接入路由器,r2作为企业所有分支一节点广域网接入路由器,sw1 sw2 sw3组成总部局域网核心,路由器r5和交换机sw4用来模拟企业的一个分支一节点网络,路由器r3和r4分别用来模拟企业的两个分支二节点网络,sw5用来模拟互联网。
分支一节点通过一条2M的线路(背对背专线模拟)和总部相连接,分支二节点采用gre over ipsec的方式跨越互联网接入总部网络
整个企业应用分为两种业务,A流和B流
A B两种业务,各个分支节点都可以和总部互通,A流的分之二节点之间,以及分支一和分之二之间不能互通,B流各个节点之间能够互通, A流不能访问互联网,分支一的B流有单独的互联网出口(组网图中没有涉及),不可以通过专线从总部访问互联网,分布二的B流可以通过互联网出口直接访问互联网,总部的B流可以通过互联网出口直接访问互联网
A流和B流通过在部分路由器上配置物理接口或在交换机上配置vlan虚拟接口模拟
分布二节点路由器连接互联网的接口地址,由互联网动态分配,总部r1连接互联网的接口地址为静态分配
局域网规划:
总部局域网内部使用单域mstp协议保证网络无环,通过合理规划实例和vlan的映射关系,以及实例中的根和备份根,使得A流优先从sw1转发,B流优先通过sw2转发,并且当交换机故障时,能够互为备份
两核心交换机之间使用两条物理链路进行聚合。
路由规划:
网络中包含10个分支一节点,20个分支二节点,10个分支一节点的A流地址分别为 192.168.11.0/24—192.168.20.0/24 ,B流地址段为 10.11.0.0/16 ---- 10.20.0.0/16,20个分支二节点的A流地址为 192.168.101.0-----192.168.120.0/24 B流地址为 10.101.1.0—10.101.20.0/24
总部的r2于分布一之间运行ospf路由协议,总部的r1与分布二运行ripv2协议
Sw1和sw2之间使用vlan30进行三层互联
为实现分布二和总部以及分布一节点的互通,需要在r1上进行rip和ospf的相互引入
全网不允许出现等价路由
在合适的路由器上配置路由的过滤策略,保证A流的分之二节点之间以及分支一和分支二之间都不能互访
Sw5模拟互联网,各网段的明细路由不能出现在总部以及各分部节点中(直连路由除外),需要访问互联网的节点通过缺省路由,并在出口路由器上进行nAt来实现
总部B流提供一台服务器,内网地址为10.1.1.100 对应的互联网地址为100.1.1.100.要求能够从互联网进行各类业务的访问。
总部A流访问分布一的A流经过的设备依次是sw3-sw1-r1-r2-r5-sw4
总部A流访问分布二的A流经过的设备依次是 sw3-sw1-r1-sw5-r3/r4
总部B流访问分布一的B流经过的设备依次是sw3-sw2-r2-r5-sw4
总部B流访问分布二的B流经过的设备依次是sw3-sw2-r2-r1-sw5-r3/r4
可靠性:
总部核心交换机sw1 和sw2之间进行链路聚合,保证线路冗余
两台核心交换机之间运行vrrp,A流使用sw1作为vrrp 的mAst,B流使用sw2作为vrrp的mAst,不需要track上行链路。
在总部到分布一的专线上,要求优先转发A流的流量,且至少要保障1.5M
总部网络中任何一条线路(不包括广域网线路)中断,不影响全网连通性
安全性
全网A流不能访问互联网
各个分布A流可以和总部互通,分布二节点之间以及分布一和分布二之间A流不能互通,要求通过路由过滤实现
总部和各分支节点业务vlan内不允许出现路由协议报文,ospf区域中不应该出现rip协议报文
总部与分布一节点之前的ppp线路采用双向chAp验证
分布二节点和总部互访通过 gre over ipsec实现,为降低ipsec配置的复杂性,需要使用ipsec模板进行配置