華為 華三中小型企業網絡架構搭建

說明

某公司的網絡架構，這樣的架構在目前的網絡中是在常見的，假設您接收一個這樣的網絡，應該如何部署，該實戰系列，就是一步一步講解，如何規劃、設計、部署這樣一個環境，這里會針對不同的情況給出不同的講解，比如拓撲中有2個ISP，假設客戶需求是，想實現主備的效果，又或者是想負載分擔。 DHCP部署在防火墻上面或者是單獨的服務器上面又該如何配置部署。

說明：總部使用的是華為的全套設備，包括防火墻、無線、交換機等，而分部使用的是H3C的路由器與交換機，無線還是使用的華為的AP。  總部的架構屬于中型企業的架構了，而分部的架構則屬于中小型的架構，在工作中都經常會遇到，這里會一步一步講解，如何進行部署，實現客戶的需求，并且總部與分部之間互訪，出差員工可以訪問總部的資源。這樣您在工作中遇到這樣的網絡架構也就會單獨部署了，不用擔心不知道如何下手的情況。這里除了一步一步講解如何配置以外，還會講解為什么這么配置，實現的效果是什么。

客戶需求

1、使用合理的IP子網劃分，保證合理性與可擴展性、匯總性、控制性

2、保證冗余性，包括鏈路冗余與設備冗余

3、安全性，保護重要的部門，除了特定人員可以訪問外，其余部門不允許訪問，比如財務部，有效的控制病毒、ARP的***

4、無線終端，考慮到公司手機與移動電腦增多，增加無線功能，提供給設備連接，要求實現驗證功能，而訪客區，不進行認證，但不能連接到公司內部，只能訪問公司提供的網頁服務與Internet連接。

5、保證在正常情況下，訪問Internet都是走電信出口，當出現問題后，用網通出去，保證冗余性，需實現自動切換。并且實施NAT技術

6、總部與分部，財務部之間需要互訪，必須保證安全性

7、出差員工，可以通過遠程訪問技術接入到公司內部實現訪問特定的資源。

8、設備實現管理，由單獨的管理主機訪問。

解決思路

1、使用子網劃分來對每個部門進行規劃，每一個部門單獨一個24位的子網斷，保證連續性，即使后續有新增加的員工，24位有254個地址，可以保證能正常使用，并且連續性可以方便做匯總、與一些策略的控制。

2、冗余性的實現，可以利用MSTP+VRRP技術實現鏈路的冗余性與網關的熱備功能，并且核心之間鏈路起鏈路聚合，提高帶寬。

3、安全性的實施，可以利用ACL與端口隔離技術來進行部署，當然也可以高級點，dot1x、DHCPsnooping+DAI+IPSGD等技術。一般情況下用ACL與端口隔離技術即可，除非有特殊需求在使用后續的。

4、使用AC+AP的三層旁掛架構組件無線網絡，實現內部網絡使用5G接入網絡，而訪問則使用2.4G頻率，并且實現，訪客只能訪問公司提供的WEB頁面與Internet訪問，并且要求無線訪客區之間實現隔離。

5、利用浮動路由+NQA或者ip-link技術實現自動切換

6、使用IPSEC技術實現總部與分部之間的互訪，通過加密驗證等機制來保證數據的安全性

7、部署L2TP Over IPSEC實現出差員工能夠撥入到內網，訪問特定的資源。

8、開啟Telnet或者SSH功能，實現訪問，并且用ACL限制只能特點的主機訪問。

部署思路

1、定義IP地址規劃表項，方便配置

2、規劃VLAN，以及對應的網關地址

3、實施VLAN配置，并且配置交換機之間的鏈路為Trunk，接入交換機面對終端為Access，無線部分為Hybrid或者Trunk，接防火墻設備為Access

4、配置IP地址，保證直連可達

5、配置MSTP技術、VRRP、端口聚合技術，保證全網無環路、高可靠性、冗余性存在

6、配置路由實現全網可達

7、配置DHCP服務，以及中繼，使得PC能夠正常獲取地址以及DNS等參數

8、配置無線部分，能夠讓AP正常上線，以及PC能夠連接網絡，并且獲取地址，實現特定需求

9、防火墻配置策略、NAT、×××等技術，實現訪問Internet、分部，與出差員工可以正常撥入公司內網

10、部署管理，終端管理

11、最終安全策略部署

分部部署思路

1、采用之前定義的IP地址表項與VLAN與接口劃分進行配置

2、配置路由，或者采用單臂路由兩種方式

3、路由器配置×××，實現財務部互訪，并且AP能夠正常關聯到總部的AC上面。

全套下載

PDF格式已經上傳到了51cto下載中心，博客上傳更新需要點時間，大家感興趣的話可以先下載PDF格式觀看，如果大家有任何疑問或者文中有錯誤跟疏忽的地方，歡迎大家留言指出。

http://down.51cto.com/zt/8791