說明 前提  

   首發(fā)就從實(shí)戰(zhàn)開始吧，這個(gè)系列是之前在給某個(gè)機(jī)構(gòu)做內(nèi)部培訓(xùn)講解的時(shí)候?qū)懙囊粋€(gè)實(shí)戰(zhàn)內(nèi)容，從拓?fù)湓O(shè)計(jì)到地址規(guī)劃、以及網(wǎng)絡(luò)需求、為什么需要用到這些技術(shù)做了全面的分析，大部分都可以用ENSP來模擬，想深入學(xué)習(xí)的朋友一定不要錯(cuò)過。（后面有提問，有興趣的朋友可以參加哦，一方面可以增加自己思考能力，為什么要這樣做，也可以把不懂的詢問博主）

 1 拓?fù)渑c說明             

 某公司的網(wǎng)絡(luò)架構(gòu)，這樣的架構(gòu)在目前的網(wǎng)絡(luò)中是在常見的，假設(shè)您接收一個(gè)這樣的網(wǎng)絡(luò)，應(yīng)該如何部署，該實(shí)戰(zhàn)系列，就是一步一步講解，如何規(guī)劃、設(shè)計(jì)、部署這樣一個(gè)環(huán)境，這里會(huì)針對(duì)不同的情況給出不同的講解，比如拓?fù)渲杏?個(gè)ISP，假設(shè)客戶需求是，想實(shí)現(xiàn)主備的效果，又或者是想負(fù)載分擔(dān)。DHCP部署在防火墻上面或者是單獨(dú)的服務(wù)器上面又該如何配置部署。

 2具體劃分圖表    

1、IP地址劃分，使用子網(wǎng)劃分來對(duì)每個(gè)部門進(jìn)行規(guī)劃，每一個(gè)部門單獨(dú)一個(gè)24位的子網(wǎng)段，保證連續(xù)性，即使后續(xù)有新增加的員工，24位有254個(gè)地址，可以保證能正常使用，并且連續(xù)性可以方便做匯總、與一些策略的控制。

2、VLAN劃分

IP地址與VLAN雖然是最基礎(chǔ)最基礎(chǔ)的內(nèi)容，但是確實(shí)整個(gè)網(wǎng)絡(luò)前期最重要的規(guī)劃，如果規(guī)劃的不好，后期的麻煩非常大，比如擴(kuò)展、修改的情況，所以，在一個(gè)網(wǎng)絡(luò)的規(guī)劃中，一定要保證使用合理的IP子網(wǎng)劃分，保證合理性與可擴(kuò)展性、匯總性、控制性，包括VLAN。（想學(xué)習(xí)與考試HCNA，喜歡實(shí)體書籍的朋友，推薦下面書籍）

 ！ VLAN配置以及接口劃分，與上聯(lián)接口配置Trunk，只允許特定的VLAN通過    

說明：這里以訪客廳、高層人員、財(cái)務(wù)為例，生產(chǎn)部、業(yè)務(wù)部這里就不講解了，配置方法與前面3個(gè)一模一樣。

 3 3.1 訪客廳需要配置的VLAN     

訪客廳為VLAN 19，另外訪客廳還有無線AP與VLAN 1的管理流量需要通過，所以放行的VLAN為1，19

system-view
[FKT]vlan 19
說明：這里定義了一個(gè)VLAN為19，因?yàn)槟J(rèn)VLAN1已經(jīng)存在了，19是該訪客廳流量通過的。

PC接入接口
[FKT]port-group 1
[FKT-port-group-1]group-member Ethernet 0/0/2 to Ethernet 0/0/22
[FKT-port-group-1]port link-type access
[FKT-port-group-1]port default vlan 19

說明：port-group的作用就是，把多個(gè)接口加入到一個(gè)組中，然后集中配置策略，這樣可以簡(jiǎn)化配置，這里配置了將E0/0/2-22號(hào)接口都定義為Access接口，劃入VLAN 19中，默認(rèn)為Hybrid端口

接無線AP接口
interface e0/0/1
port hybrid tagged vlan 19

（hybrid為華為H3C比較常見的一種方式，如果換成思科的那就只能是trunk方式，那么hybrid的換成trunk的配置則為port trunk allow-pass vlan 19，效果是一樣的）

說明：接無線AP的接口，必須允許2個(gè)VLAN 通過，一個(gè)為VLAN 1，一個(gè)為VLAN 19，默認(rèn)情況下VLAN1就允許通過，而且不打標(biāo)簽，VLAN 1為AP的管理流量，AP獲得地址后需要通過該IP地址與AC進(jìn)行通信協(xié)商隧道的，而VLAN 19則是業(yè)務(wù)流量，是PC訪問外網(wǎng)或者內(nèi)部流量轉(zhuǎn)發(fā)的，所以必須放行2個(gè)VLAN

上聯(lián)接口【連接核心1與2的接口】
[FKT]port-group 2
[FKT-port-group-2]group-member GigabitEthernet 0/0/1 to GigabitEthernet 0/0/2
[FKT-GigabitEthernet0/0/2]port link-type trunk
[FKT-port-group-2]port trunk allow-pass vlan 1 19

說明：Group的作用與上面一樣，這里定義2個(gè)上聯(lián)接口為Trunk，并且允許了VLAN 1與19的流量通過。G0/0/1連接核心1，G0/0/2連接核心2

 3 3.2 高層人員配置的VLAN    

高層人員VLAN 為20，另外訪客廳還有無線AP與VLAN 1的管理流量需要通過，所以放行的VLAN為1，20

說明，配置思路與訪客廳一樣，作用效果 也一樣，參考訪客廳的注釋即可。
system-view
[boss]vlan 20
[boss]port-group 1
[boss-port-group-1]group-member e0/0/2 to e0/0/22
[boss-port-group-1]port link-type access
[boss-port-group-1]port default vlan 2

[boss]int e0/0/1
[boss-Ethernet0/0/1]port hybrid tagged vlan 20

[boss]port-group 2
[boss-port-group-2]group-member GigabitEthernet 0/0/1 to g0/0/2
[boss-port-group-2]port link-type trunk
[boss-port-group-2]port trunk allow-pass vlan 1 20

 3 3.3 財(cái)務(wù)需要配置的VLAN    

說明： 財(cái)務(wù)VLAN 為21，VLAN 1的管理流量需要通過，所以放行的VLAN為1，21 ，注意財(cái)務(wù)是沒有無線的，其余的與訪客廳，高層人員類似

system-view

[caiwu]vlan 21

[caiwu]port-group 1
[caiwu-port-group-1]group-member Ethernet 0/0/1 to e0/0/22
[caiwu-port-group-1]port link-type access
[caiwu-port-group-1]port default vlan 21

[caiwu]port-group 2
[caiwu-port-group-2]group-member g0/0/1 to g0/0/2
[caiwu-port-group-2]port link-type trunk
[caiwu-port-group-2]port trunk allow-pass vlan 1 21

特別建議，建議在上聯(lián)交換機(jī)的接口上面，定義一個(gè)description，它的作用可以讓您更加知道該接口接口連接的哪，方便后續(xù)排錯(cuò)、或者查看。

[FKT]int g0/0/1
[FKT-GigabitEthernet0/0/1]description connection to Core-A g0/0/24
這里的描述表示，就是該接口連接的核心A的G0/0/24號(hào)接口。

 3 3.4 核心層 A需要配置的VLAN以及接口   

由于案例這里只給出訪客廳、高層人員、財(cái)務(wù)作為舉例，所以只創(chuàng)建VLAN 19~21，而生產(chǎn)部與業(yè)務(wù)部是一樣的配置，所以節(jié)省資源，就沒配置了。

[Core-A]vlan batch 19 to 21，

說明：批量創(chuàng)建了VLAN 19~21，這里必須包含下面接入層所有的VLAN，因?yàn)?，下面交換機(jī)都是連接到了核心A和B上面，所以需要?jiǎng)?chuàng)建所有VLAN，來總結(jié)所有的VLAN流量。

[Core-A]interface g0/0/24
[Core-A-GigabitEthernet0/0/24]description connection to fkt-g0/0/1
[Core-A-GigabitEthernet0/0/24]port link-type trunk
[Core-A-GigabitEthernet0/0/24]port trunk allow-pass vlan 1 19

說明：該接口是連接訪客廳的交換機(jī)，做了一個(gè)描述 description ，然后允許了vlan 1與19的流量通過，因?yàn)樵L客廳只有VLAN 1與19的流量通過。

[Core-A]interface g0/0/23
[Core-A-GigabitEthernet0/0/23]description connection to boss-g0/0/2
[Core-A-GigabitEthernet0/0/23]port link-type trunk
[Core-A-GigabitEthernet0/0/23]port trunk allow-pass vlan 1 20

說明：該接口是連接boss的交換機(jī)，做了一個(gè)描述 description ，然后允許了vlan 1與20的流量通過，因?yàn)樵L客廳只有VLAN 1與20的流量通過。

[Core-A]int g0/0/21
[Core-A-GigabitEthernet0/0/21]port link-type trunk
[Core-A-GigabitEthernet0/0/21]port trunk allow-pass vlan 1 21
[Core-A-GigabitEthernet0/0/21]description connection to caiwu-g0/0/1

說明：該接口是連接財(cái)務(wù)的交換機(jī)，做了一個(gè)描述 description ，然后允許了vlan 1與21的流量通過，因?yàn)樵L客廳只有VLAN 1與21的流量通過。

特別建議：建議在重要的接口做description，這樣只要一看就知道連接哪，并且標(biāo)明了接口，很容易避免以后忘記接口接哪了，看下配置即可。

 3 3.5 核心B需要配置的VLAN以及接口

由于案例這里只給出訪客廳、高層人員、財(cái)務(wù)作為舉例，所以只創(chuàng)建VLAN 19~21，而生產(chǎn)部與業(yè)務(wù)部是一樣的配置，所以節(jié)省資源，就沒配置了。
[Core-B]vlan batch 19 to 21

說明：批量創(chuàng)建了VLAN 19~21，這里必須包含下面接入層所有的VLAN，因?yàn)?，下面交換機(jī)都是連接到了核心A和B上面，所以需要?jiǎng)?chuàng)建所有VLAN，來總結(jié)所有的VLAN流量。

[Core-B]int g0/0/24
[Core-B-GigabitEthernet0/0/24]description connection to FKT g0/0/2
[Core-B-GigabitEthernet0/0/24]port link-type trunk
[Core-B-GigabitEthernet0/0/24]port trunk allow-pass vlan 1 19

說明：該接口是連接訪客廳的交換機(jī)，做了一個(gè)描述 description ，然后允許了vlan 1與19的流量通過，因?yàn)樵L客廳只有VLAN 1與19的流量通過。

[Core-B]int g0/0/23
[Core-B-GigabitEthernet0/0/23]port link-type trunk
[Core-B-GigabitEthernet0/0/23]port trunk allow-pass vlan 1 20
[Core-B-GigabitEthernet0/0/23]description connection to boss g0/0/1
說明：該接口是連接boss的交換機(jī)，做了一個(gè)描述 description ，然后允許了vlan 1與20的流量通過，因?yàn)樵L客廳只有VLAN 1與20的流量通過。

[Core-B]int g0/0/22
[Core-B-GigabitEthernet0/0/22]description connection to caiwu g0/0/2
[Core-B-GigabitEthernet0/0/22]port link-type trunk
[Core-B-GigabitEthernet0/0/22]port trunk allow-pass vlan 1 21

說明：該接口是連接財(cái)務(wù)的交換機(jī)，做了一個(gè)描述 description ，然后允許了vlan 1與21的流量通過，因?yàn)樵L客廳只有VLAN 1與21的流量通過。

特別建議：建議在重要的接口做description，這樣只要一看就知道連接哪，并且標(biāo)明了接口。
【這里Core-A與B之間的兩條鏈路還未配置，這是因?yàn)榇龝?huì)在配置聚合的時(shí)候在一起配置，那個(gè)是聚合用的】

 3 3.6 出口防火墻與核心交換機(jī)之間的接口劃分     

分析：核心交換機(jī)與出口防火墻之間，是一個(gè)三角形的結(jié)構(gòu)，在交換機(jī)上面肯定是做接口劃分到VLAN，然后起VLAN接口，與防火墻進(jìn)行通信。 而防火墻則有兩種辦法與交換機(jī)通信，一種是也通過VLAN接口進(jìn)行通信，第二種則是通過三層口與三層交換機(jī)之間通信。 推選第一種比較好，這種結(jié)構(gòu)比較簡(jiǎn)單，路由配置起來也明確。而第二種方法則需要配置2個(gè)VLAN，然后2個(gè)網(wǎng)段與防火墻進(jìn)行通信。

3.6.1 Core-A配置
[Core-A]vlan 100
說明：該100是用來單獨(dú)連接防火墻的
[Core-A]interface g0/0/22
[Core-A-GigabitEthernet0/0/22]port link-type access
[Core-A-GigabitEthernet0/0/22]port default vlan 100
[Core-A-GigabitEthernet0/0/22]description connection to FW g0/0/8
說明：把接口劃分到100中，做了一個(gè)描述，說明連接防火墻的 g0/0/8接口

3.6.2 Core-B配置
[Core-B]interface g0/0/21
[Core-B-GigabitEthernet0/0/21]port link-type access
[Core-B-GigabitEthernet0/0/21]port default vlan 100
[Core-B-GigabitEthernet0/0/21]description connection to FW G0/0/7
說明：把接口劃分到100中，做了一個(gè)描述，說明連接防火墻的 g0/0/7接口3.6.3 FW配置 
system-view
[USG-GW]portswitch batch GigabitEthernet 0/0/7 to 0/0/8
說明：該命令的含義就是把三層接口切換為二層接口，默認(rèn)為三層接口

[USG-GW]vlan 100
[USG-GW-vlan-100]port GigabitEthernet 0/0/7 to 0/0/8
說明：創(chuàng)建了VLAN 100，并且把G0/0/7~8加入了VLAN 100中

 3 3.7 核心交換機(jī)與服務(wù)器集群交換機(jī)的配置     

3.7.1 核心交換機(jī)A與B 
[Core-A]vlan 88
[Core-A]int g0/0/20
[Core-A-GigabitEthernet0/0/20]description connection to server g0/0/2
[Core-A-GigabitEthernet0/0/20]port link-type trunk
[Core-A-GigabitEthernet0/0/20]port trunk allow-pass vlan 1 88
說明：這里配置Trunk，是因?yàn)闉榱撕罄m(xù)方便管理服務(wù)器交換機(jī)，如果不需要管理的話，則可以直接通過Access接口即可。

[Core-B]vlan 88
[Core-B]int g0/0/20
[Core-B-GigabitEthernet0/0/20]port link-type trunk
[Core-B-GigabitEthernet0/0/20]port trunk allow-pass vlan 1 88
說明：這里配置Trunk，是因?yàn)闉榱撕罄m(xù)方便管理服務(wù)器交換機(jī)，如果不需要管理的話，則可以直接通過Access接口即可。

3.7.2 服務(wù)器集群交換機(jī)配置
system-view
[Cluster Server]vlan 88

[Cluster Server]port-group 1
[Cluster Server-port-group-1]group-member g0/0/1 to g0/0/2
[Cluster Server-port-group-1]port link-type trunk
[Cluster Server-port-group-1]port trunk allow-pass vlan 1 88
[Cluster Server-port-group-1]description connection to Core-A-B
說明：第一個(gè)port-group是定義了連接核心交換機(jī)的接口為Trunk，并且允許1與88通過

[Cluster Server]port-group 2
[Cluster Server-port-group-2]group-member e0/0/1 to e0/0/2
[Cluster Server-Ethernet0/0/2]port link-type access
[Cluster Server-Ethernet0/0/2]port default vlan 88
說明：該2個(gè)接口是連接服務(wù)器用的，劃入了對(duì)應(yīng)的VLAN 88。

（PS：推薦一本韓立剛老師的華為HCNA書籍，對(duì)于初學(xué)者很有幫助）

 4 IP地址配置與測(cè)試                      

4.1 關(guān)于接入層交換機(jī)的配置
說明：由于接入層交換機(jī)屬于二層交換機(jī)，并不需要配置IP地址，只需要配置對(duì)應(yīng)的管理地址即可，管理地址這塊在后續(xù)在進(jìn)行。
4.2 核心交換機(jī)IP配置
分析：在IP地址規(guī)劃那塊，已經(jīng)規(guī)劃好了PC與服務(wù)器等對(duì)應(yīng)的網(wǎng)關(guān)都為192.168x.254，這個(gè)網(wǎng)關(guān)地址可不是隨意定義在哪個(gè)交換機(jī)上面就可以的，建議是平分定義，當(dāng)然也可以不定義，后續(xù)有VRRP虛擬出來，VRRP是可以直接使用接口地址的，所以沒必要浪費(fèi)一個(gè)IP地址來做接口地址，所以這里采用的方案是分?jǐn)?，比如VLAN 19的網(wǎng)關(guān)在Core-A上面，而VLAN 20的則在Core-B上面，依次類推。這樣的結(jié)果就是配合VRRP技術(shù)來實(shí)現(xiàn)負(fù)載分擔(dān)，并且配合MSTP技術(shù)實(shí)現(xiàn)鏈路分擔(dān)，后續(xù)實(shí)現(xiàn)這塊會(huì)有詳細(xì)分析。
4.2.1 Core-A 地址配置
[Core-A]interface vlan 19
[Core-A-Vlanif19]ip address 192.168.19.254 24

[Core-A]int vlan 20
[Core-A-Vlanif20]ip address 192.168.20.253 24

[Core-A-Vlanif20]int vlan 21
[Core-A-Vlanif21]ip address 192.168.21.254 24

[Core-A-Vlanif20]int vlan 88
[Core-A-Vlanif88]ip address 192.168.88.253 24

[Core-A]interface vlan 1
[Core-A-Vlanif1]ip address 192.168.1.254 24

[Core-A]interface vlan 100
[Core-A-Vlanif100]ip address 192.168.100.253 24

4.2.2 Core-B地址配置
[Core-B]interface vlan 19
[Core-B-Vlanif19]ip address 192.168.19.253 24

[Core-B-Vlanif19]int vlan 20
[Core-B-Vlanif20]ip address 192.168.20.254 24

[Core-B-Vlanif20]int vlan 21
[Core-B-Vlanif21]ip address 192.168.21.253 24

[Core-B-Vlanif21]int vlan 88
[Core-B-Vlanif88]ip address 192.168.88.254 24

[Core-B]interface vlan 1
[Core-B-Vlanif1]ip address 192.168.1.253 24

[Core-B]interface vlan 100
[Core-B-Vlanif100]ip address 192.168.100.254 24
說明：可以看到Core-A與B互為分擔(dān)，這里比如VLAN 19的網(wǎng)關(guān)在A上面，B則是另外一個(gè)地址，而VLAN 20則是B為網(wǎng)關(guān)，A為一個(gè)普通地址。這是為了后續(xù)做VRRP規(guī)劃好。

4.3 防火墻接口配置
分析：在防火墻中需要定義2個(gè)地址，一個(gè)是連接核心交換機(jī)的，也就是VLAN 100的地址，而另外一個(gè)為出接口地址，配置為公網(wǎng)地址，后續(xù)提供內(nèi)網(wǎng)訪問外網(wǎng)的服務(wù)，以及外網(wǎng)通過映射訪問內(nèi)部服務(wù)器等。需要注意的是，在防火墻中 有區(qū)域的概念，我們必須把接口劃入到對(duì)應(yīng)的區(qū)域，后續(xù)我們都是在這些區(qū)域間做策略。
[USG-GW]interface vlan 100
[USG-GW-Vlanif100]ip address 192.168.100.252（后面交換機(jī)VRRP修改，改成了251） 24

[USG-GW]interface g0/0/1
[USG-GW-GigabitEthernet0/0/1]ip address 202.100.1.2 24

[USG-GW]int g0/0/2
[USG-GW-GigabitEthernet0/0/2]ip address 61.128.1.2 24

[USG-GW]firewall zone trust
[USG-GW-zone-trust]add interface Vlanif 100

[USG-GW]firewall zone name ISP_DX
[USG-GW-zone-isp_dx]set priority 1
[USG-GW-zone-isp_dx]add interface g0/0/1

[USG-GW]firewall zone name ISP_LT
[USG-GW-zone-isp_lt]set priority 2
[USG-GW-zone-isp_lt]add interface g0/0/2
說明：該配置了對(duì)應(yīng)的IP地址以外，并且還配置了把對(duì)應(yīng)接口加入對(duì)應(yīng)Zone，我們一般把內(nèi)網(wǎng)接口加入Trust，而外網(wǎng)接口加入U(xiǎn)ntrust，對(duì)外提供服務(wù)的則加入DMZ等。需要注意的是Trust是系統(tǒng)默認(rèn)存在的，所以只需要添加接口即可，而后面2個(gè)是自定義的，必須先定義優(yōu)先級(jí)然后在添加接口，因?yàn)槲覀冞@里部署的是雙出口。當(dāng)然也可以加入到Untrust中。

測(cè)試連通性

可以看到核心交換機(jī)之間的訪問是沒有任何問題了，所有的VLAN 接口都能訪問

這里是測(cè)試與防火墻的連通性，這里已經(jīng)正常通信了，至此整個(gè)IP地址配置完成。

（PS：理解這個(gè)整個(gè)網(wǎng)絡(luò)至少需要NP級(jí)別知識(shí)點(diǎn)，還需要防火墻、無線知識(shí)點(diǎn) 推薦有NA基礎(chǔ)的看看下面這本書。）

 5 總結(jié)                      

    總結(jié)：至此整個(gè)VLAN的部署已經(jīng)接口劃分完畢，這里注意的地方就是Trunk，默認(rèn)情況下只允許VLAN 1的流量通過，而其余流量是不允許的，所以需要允許需要的流量通過，如果不確定哪些VLAN的流量要通過，可以直接 permit all。配置IP地址難度并不大，需要結(jié)合后續(xù)的技術(shù)考慮一些因素進(jìn)去，比如后續(xù)要部署VRRP，我們必須讓它網(wǎng)關(guān)均勻的分配到2臺(tái)核心交換機(jī)上面，使得它們分擔(dān)整個(gè)網(wǎng)絡(luò)的流量，如果都往一個(gè)交換機(jī)上面跑，則另外一臺(tái)沒有利用起來，而且這一臺(tái)壓力也大。注意，如果使用模擬器的朋友，并且使用的是USG5500是不能切換二層，模擬器有問題，切換二層數(shù)據(jù)包直連都不通哦！！！！

 6 提問與分享（想提高自己，從獨(dú)立思考與分享開始）                      

1、VLAN規(guī)劃中沒有單獨(dú)劃分無線的VLAN，那么我們實(shí)際實(shí)施中該怎么考慮，什么時(shí)候需要單獨(dú)劃分無線VLAN

2、關(guān)于防火墻與2臺(tái)核心之間對(duì)接，采用三層跟二層接口的部署方式有什么不同，會(huì)影響什么

3、有什么自己工作中遇到的情況與有趣事情可以分享留言哦，博主會(huì)幫您置頂，讓更多人看到與學(xué)習(xí)。