拓撲
拓撲可以儲存到本地,然後擴大檢視,這樣才能看的更清楚。
IP位址配置,以及測試直連連通性
4.1 關于接入層交換機的配置
說明:由于接入層交換機屬于二層交換機,并不需要配置IP位址,隻需要配置對應的管理位址即可,管理位址這塊在後續在進行。
4.2 核心交換機IP配置
分析:在IP位址規劃那塊,已經規劃好了PC與伺服器等對應的網關都為192.168x.254,這個網關位址可不是随意定義在哪個交換機上面就可以的,建議是平分定義,當然也可以不定義,後續有VRRP虛拟出來,VRRP是可以直接使用接口位址的,是以沒必要浪費一個IP位址來做接口位址,是以這裡采用的方案是分攤,比如VLAN 19的網關在Core-A上面,而VLAN 20的則在Core-B上面,依次類推。這樣的結果就是配合VRRP技術來實作負載分擔,并且配合MSTP技術實作鍊路分擔,後續實作這塊會有詳細分析。
4.2.1 Core-A 位址配置
[Core-A]interface vlan 19
[Core-A-Vlanif19]ip address 192.168.19.254 24
[Core-A]int vlan 20
[Core-A-Vlanif20]ip address 192.168.20.253 24
[Core-A-Vlanif20]int vlan 21
[Core-A-Vlanif21]ip address 192.168.21.254 24
[Core-A-Vlanif20]int vlan 88
[Core-A-Vlanif88]ip address 192.168.88.253 24
[Core-A]interface vlan 1
[Core-A-Vlanif1]ip address 192.168.1.254 24
[Core-A]interface vlan 100
[Core-A-Vlanif100]ip address 192.168.100.253 24
4.2.2 Core-B位址配置
[Core-B]interface vlan 19
[Core-B-Vlanif19]ip address 192.168.19.253 24
[Core-B-Vlanif19]int vlan 20
[Core-B-Vlanif20]ip address 192.168.20.254 24
[Core-B-Vlanif20]int vlan 21
[Core-B-Vlanif21]ip address 192.168.21.253 24
[Core-B-Vlanif21]int vlan 88
[Core-B-Vlanif88]ip address 192.168.88.254 24
[Core-B]interface vlan 1
[Core-B-Vlanif1]ip address 192.168.1.253 24
[Core-B]interface vlan 100
[Core-B-Vlanif100]ip address 192.168.100.254 24
說明:可以看到Core-A與B互為分擔,這裡比如VLAN 19的網關在A上面,B則是另外一個位址,而VLAN 20則是B為網關,A為一個普通位址。這是為了後續做VRRP規劃好。
4.3 防火牆接口配置
分析:在防火牆中需要定義2個位址,一個是連接配接核心交換機的,也就是VLAN 100的位址,而另外一個為出接口位址,配置為公網位址,後續提供内網通路外網的服務,以及外網通過映射通路内部伺服器等。需要注意的是,在防火牆中 有區域的概念,我們必須把接口劃入到對應的區域,後續我們都是在這些區域間做政策。
[USG-GW]interface vlan 100
[USG-GW-Vlanif100]ip address 192.168.100.252 24
[USG-GW]interface g0/0/1
[USG-GW-GigabitEthernet0/0/1]ip address 202.100.1.2 24
[USG-GW]int g0/0/2
[USG-GW-GigabitEthernet0/0/2]ip address 61.128.1.2 24
[USG-GW]firewall zone trust
[USG-GW-zone-trust]add interface Vlanif 100
[USG-GW]firewall zone name ISP_DX
[USG-GW-zone-isp_dx]set priority 1
[USG-GW-zone-isp_dx]add interface g0/0/1
[USG-GW]firewall zone name ISP_LT
[USG-GW-zone-isp_lt]set priority 2
[USG-GW-zone-isp_lt]add interface g0/0/2
說明:該配置了對應的IP位址以外,并且還配置了把對應接口加入對應Zone,我們一般把内網接口加入Trust,而外網接口加入Untrust,對外提供服務的則加入DMZ等。需要注意的是Trust是系統預設存在的,是以隻需要添加接口即可,而後面2個是自定義的,必須先定義優先級然後在添加接口,因為我們這裡部署的是雙出口。當然也可以加入到Untrust中。
測試連通性【完成】
可以看到核心交換機之間的通路是沒有任何問題了,所有的VLAN 接口都能通路
這裡是測試與防火牆的連通性,這裡已經正常通信了,至此整個IP位址配置完成。
總結:配置IP位址難度并不大,需要結合後續的技術考慮一些因素進去,比如後續要部署VRRP,我們必須讓它網關均勻的配置設定到2台核心交換機上面,使得它們分擔整個網絡的流量,如果都往一個交換機上面跑,則另外一台沒有利用起來,而且這一台壓力也大。
如果大家有任何疑問或者文中有錯誤跟疏忽的地方,歡迎大家留言指出,部落客看到後會第一時間修改,謝謝大家的支援,更多技術文章盡在網絡之路Blog(其他平台同名),版權歸網絡之路Blog所有,原創不易,侵權必究,覺得有幫助的,關注、轉發、點贊支援下!~。