說明 前提  

   首發(fā)就從實(shí)戰(zhàn)開始吧，這個(gè)系列是之前在給某個(gè)機(jī)構(gòu)做內(nèi)部培訓(xùn)講解的時(shí)候?qū)懙囊粋€(gè)實(shí)戰(zhàn)內(nèi)容，從拓?fù)湓O(shè)計(jì)到地址規(guī)劃、以及網(wǎng)絡(luò)需求、為什么需要用到這些技術(shù)做了全面的分析，大部分都可以用ENSP來模擬，想深入學(xué)習(xí)的朋友一定不要錯(cuò)過。

 1 拓?fù)渑c說明             

 某公司的網(wǎng)絡(luò)架構(gòu)，這樣的架構(gòu)在目前的網(wǎng)絡(luò)中是在常見的，假設(shè)您接收一個(gè)這樣的網(wǎng)絡(luò)，應(yīng)該如何部署，該實(shí)戰(zhàn)系列，就是一步一步講解，如何規(guī)劃、設(shè)計(jì)、部署這樣一個(gè)環(huán)境，這里會(huì)針對(duì)不同的情況給出不同的講解，比如拓?fù)渲杏?個(gè)ISP，假設(shè)客戶需求是，想實(shí)現(xiàn)主備的效果，又或者是想負(fù)載分擔(dān)。DHCP部署在防火墻上面或者是單獨(dú)的服務(wù)器上面又該如何配置部署。

 2之前提問答友匯總 （方便大家學(xué)習(xí)）              

 3 路由定義分析           

在這個(gè)網(wǎng)絡(luò)中，目前來看設(shè)計(jì)到三層部分的完全只有對(duì)應(yīng)的兩臺(tái)核心交換機(jī)與出口防火墻之間，而下面的交換都是二層網(wǎng)絡(luò)，那么這里就沒必要使用動(dòng)態(tài)路由協(xié)議了，靜態(tài)路由完全可以勝任了，之前的架構(gòu)已經(jīng)看出來了，交換機(jī)之間使用VRRP虛擬了一個(gè)地址，與防火墻進(jìn)行通信，而防火墻則也就一個(gè)IP地址，所以我們需要定義的是，防火墻的路由：1、一條默認(rèn)路由指向ISP，這個(gè)是為了上網(wǎng)用的，當(dāng)然這里有2個(gè)ISP，所以需要定義2個(gè)默認(rèn)路由，分別指向ISP的下一跳，而明細(xì)路由則需要指定到VLAN 19~21，88這些網(wǎng)絡(luò)的路由，為什么呢，因?yàn)橐粋€(gè)數(shù)據(jù)包是有去有回的，你出去的時(shí)候可以走默認(rèn)路由，但是數(shù)據(jù)包回來，防火墻并不知道它在哪，所以這里要告訴防火墻怎么轉(zhuǎn)發(fā)，這里可以使用路由匯總，這也體現(xiàn)出來了，子網(wǎng)劃分的匯總性了。 兩臺(tái)交換機(jī)的路由，只需要定義一條默認(rèn)路由指向防火墻即可，因?yàn)閮?nèi)部網(wǎng)絡(luò)其實(shí)交換機(jī)都知道怎么走，唯一不知道的是怎么去往外網(wǎng)，所以只需要指定一條默認(rèn)路由指向防火墻即可。

 4 路由配置             

[Core-A]ip route-static 0.0.0.0 0 192.168.100.251
[Core-B]ip route-static 0.0.0.0 0 192.168.100.251
[USG-GW]ip route-static 192.168.0.0 16 192.168.100.254
說明：定義了3三條路由，前2條分別是交換機(jī)定義默認(rèn)路由直接轉(zhuǎn)發(fā)給防火墻，而第三條可以看出來，直接做了一個(gè)匯總路由，把192.168.0.0/16的直接轉(zhuǎn)發(fā)給192.168.100.254，也就是交換機(jī)的VRRP地址。

[AC6605]ip route-static 0.0.0.0 0.0.0.0 192.168.1.254
這里需要定義一個(gè)AC的路由，方便后續(xù)其他網(wǎng)段能訪問到AC。

說明：關(guān)于防火墻訪到ISP的路由，我們?cè)诜阑饓?shí)現(xiàn)NAT那快一起分析，根據(jù)不同需求定義不同的配置。

 5 DHCP部署分析           

    在這種網(wǎng)絡(luò)架構(gòu)中，可以部署DHCP的有2個(gè)設(shè)備，一個(gè)是出口防火墻，另外一個(gè)就是用單獨(dú)的服務(wù)器集群部署一臺(tái)DHCPServer，可以是Linux的或者Windows的，推薦使用服務(wù)器搭建DHCP，原因有幾個(gè)，1、如果使用防火墻搭建DHCP服務(wù)，會(huì)增加防火墻的負(fù)擔(dān)，因?yàn)榉阑饓ι厦娌粌H僅跑IPSEC VPN、L2TP VPN、NAT、路由、包檢測(cè)功能，需要?jiǎng)?chuàng)建大量的會(huì)話信息，并且處理，而總部的PC量也是非常大的，所以這時(shí)候，我們需要保證不給防火墻增加負(fù)擔(dān)，而服務(wù)器的話，目前虛擬化很成熟，一臺(tái)好的服務(wù)器，部署了虛擬化環(huán)境的話，非常容易虛擬出許多服務(wù)來，不管是做冷備還是熱備，都是可以的，當(dāng)然熱備的話，Windows需要2012才支持。冷備的意思就是，先只用第一臺(tái)服務(wù)器，當(dāng)?shù)谝慌_(tái)DHCP服務(wù)器壞了的話，則用第二臺(tái)。當(dāng)然它沒有備份功能的，兩臺(tái)服務(wù)器之間不知道對(duì)方到低分配了哪些IP地址，而2012的話則支持主備功能，就是主分配了地址后，會(huì)同步信息給備用，這樣當(dāng)備用充當(dāng)主用的時(shí)候，則可以繼續(xù)工作在之前的狀態(tài)。

 6  Windows DHCP搭建           

說明：DHCP使用的是Windows 2003的，因?yàn)槲疫@是用虛擬環(huán)境搭建的2003來模擬工作中的DHCP服務(wù)器，所以沒有部署2008或者2012了，那個(gè)比較占用資源，其實(shí)配置起來非常簡(jiǎn)單的。 該服務(wù)器IP地址為192.168.88.251
1、在添加/刪除程序內(nèi)———-添加/刪除Windows 組件————-找到Network Service——–選擇DHCP服務(wù)，OK就行，注意的是 需要插入對(duì)應(yīng)的光盤。

打開對(duì)應(yīng)的DHCP服務(wù)

新建一個(gè)范圍或者作用域

說明：這樣就創(chuàng)建了一個(gè)對(duì)應(yīng)的地址池了，分配了對(duì)應(yīng)的網(wǎng)段、網(wǎng)關(guān)、DNS與Domain。這個(gè)可以根據(jù)自己需求定義的，加你命名的時(shí)候加上注釋，方便后續(xù)區(qū)分。另外需要注意分配的范圍，之前已經(jīng)看到了后面的252、253、254對(duì)應(yīng)的地址都被使用了的，所以在分配的時(shí)候，建議范圍是1~250，比如192.168.19.1~250或者251。

對(duì)應(yīng)的創(chuàng)建了4個(gè)地址池，主要是該項(xiàng)目中用到的，其實(shí)還有VLAN 22與23，但是這里沒舉例，所以就不添加了，其中對(duì)應(yīng)的網(wǎng)關(guān)都為254，而DNS地址是192.168.88.251，其實(shí)就是DHCP服務(wù)器，因?yàn)槭悄M環(huán)境，所以就用一臺(tái)服務(wù)器充當(dāng)了幾個(gè)服務(wù)功能。 需要注意的是，這里VLAN 1的功能，主要是給無線AP分配的地址，所以范圍不是很大，滿足需要就可以了。

（PS：基礎(chǔ)比較薄弱的朋友可以看看HCNA，有一定基礎(chǔ)的可以看看HCNP加強(qiáng)）

 7 結(jié)果驗(yàn)證        

 8 DHCP中繼配置【最容易忽略的一個(gè)點(diǎn)】       

   分析：為什么會(huì)獲取不到地址呢，我們雖然在DHCP定義了對(duì)應(yīng)的地址池，但是，當(dāng)PC請(qǐng)求獲取地址的時(shí)候，發(fā)送DHCP報(bào)文，然后經(jīng)過接入層交換機(jī)打上VLAN Tag，轉(zhuǎn)發(fā)給核心層，核心層收到以后，會(huì)檢查自己是否開啟了對(duì)應(yīng)的DHCP服務(wù)功能，如果存在的話，則會(huì)為這個(gè)PC分配地址，但是我們定義DHCP服務(wù)是在服務(wù)器上面，交換機(jī)上面并沒有，所以導(dǎo)致交換機(jī)直接丟棄這個(gè)報(bào)文，沒有任何回應(yīng)，因?yàn)榻粨Q機(jī)自身沒有開啟服務(wù)，它也不知道到低找誰可以給PC分配地址。這時(shí)候就需要配置中繼功能了，中繼功能就是告訴核心交換機(jī)，到哪找到DHCP服務(wù)器。

[Core-A]dhcp enable
[Core-A]interface vlan 1
[Core-A-Vlanif1]dhcp select relay
[Core-A-Vlanif1]dhcp relay server-ip 192.168.88.251
說明：首先必須開啟DHCP功能，然后在對(duì)應(yīng)的VLAN 下面啟用中繼功能，然后定義服務(wù)器地址在哪，注意的是，所有的VLAN都需要敲，比如 VLAN 1、19、20、21，只要客戶需要獲取地址的VLAN 都需要橋上。

兩臺(tái)核心交換機(jī)的VLAN都需要配置，這里不分主備，都需要定義，因?yàn)槿绻魇Я耍瑐溆米鳛榫W(wǎng)關(guān)的話，那么又沒有對(duì)應(yīng)的中繼功能，那么導(dǎo)致DHCP獲取不到，所以這里都需要配置。

 9  再次結(jié)果驗(yàn)證             

當(dāng)PC連接到訪客廳的時(shí)候，獲取到了對(duì)應(yīng)IP地址為192.168.19.1，網(wǎng)關(guān)與DNS等參數(shù)都是OK的。

當(dāng)PC連接到Boss的時(shí)候，獲取到了對(duì)應(yīng)的IP地址 為192.168.20.1，網(wǎng)關(guān)與DNS參數(shù)都OK

 10 客戶問題反映、優(yōu)化與總結(jié)     

    雖然DHCP已經(jīng)部署完畢，客戶端也獲取到了地址，在測(cè)試的時(shí)候沒有發(fā)現(xiàn)問題，但是在用過一段時(shí)間后，客戶反映說，當(dāng)PC重新連接到交換機(jī)后，需要很長一段時(shí)間才能獲取到地址，或者是第一次出現(xiàn)獲取不到地址的情況，這種情況特別是筆記本比較明顯。

分析：為什么會(huì)出現(xiàn)這種情況呢，這的查看端口狀態(tài)了。當(dāng)我把一個(gè)PC接到一臺(tái)交換機(jī)上面的時(shí)候，交換機(jī)接口會(huì)UP，但是由于該接口開啟了STP功能，則會(huì)先進(jìn)行STP計(jì)算，雖然是MSTP，但是對(duì)于邊緣接口處理并不好，我們可以看查看狀態(tài)。

我們可以看到，E0/0/2剛剛UP，但是對(duì)應(yīng)的STP狀態(tài)為DISCARDING，丟棄狀態(tài)，這是MSTP最初始的狀態(tài)，說明MSTP還在計(jì)算當(dāng)中，計(jì)算該接口的角色是什么。

現(xiàn)在已經(jīng)變Learning狀態(tài)了

到最后才變?yōu)镕orwarding，這個(gè)時(shí)間可能經(jīng)過30~50s，而我們知道當(dāng)一個(gè)PC接入到一個(gè)網(wǎng)絡(luò)后，在10~15s之類，沒有獲取到IP地址的話，則會(huì)自動(dòng)獲取一個(gè)169的地址，所以造成客戶有些獲取地址緩慢或者直接獲取不到地址的情況。

11優(yōu)化     

1、除了上聯(lián)接口以外，面對(duì)客戶的網(wǎng)絡(luò)關(guān)閉STP（不推薦）
2、啟用邊緣端口功能，讓面對(duì)客戶的網(wǎng)絡(luò)直接跳過STP檢測(cè)（推薦）
注意第一個(gè)不推薦的原因是，如果客戶私接一個(gè)設(shè)備，然后還是環(huán)路的話，STP是可以有效阻斷的，但是如果關(guān)閉了的話，造成了環(huán)路，廣播風(fēng)暴的話，則容易造成網(wǎng)絡(luò)癱瘓。而服務(wù)器集群交換機(jī)則不需要配置，因?yàn)檎Ｇ闆r下，服務(wù)器是不會(huì)輕易動(dòng)的。而且進(jìn)入也需要批準(zhǔn)等情況，所以不配置也可以。
以Boss為例，訪客廳、財(cái)務(wù)都需要配置，參考即可，注意核心設(shè)備不需要配置
[boss]port-group 1
[boss-port-group-1]stp edged-port enable
說明：財(cái)務(wù)跟訪客廳按照這個(gè)配置即可，這里的port-group不需要關(guān)聯(lián)接口了，因?yàn)樵谧铋_始的時(shí)候我們已經(jīng)關(guān)聯(lián)過了，所以這里直接配置即可。

可以看到所有的接口都配置邊緣端口功能。

 12 最終測(cè)試結(jié)果驗(yàn)證     

這次再次接入到Boss設(shè)備上面，看端口狀態(tài)、與DHCP獲取情況。

可以看到這次接入到E0/0/3上面，而查看后直接轉(zhuǎn)發(fā)狀態(tài)，并沒有經(jīng)歷之前的丟棄、偵聽等狀態(tài)了。

 13 總結(jié)     

DHCP這塊最容易2個(gè)點(diǎn)就是 1、DHCP中繼 2、STP的存在，另外的是DHCP分配了這么多地址池，它為什么會(huì)知道客戶 就是需要那個(gè)呢，其實(shí)這是中繼在起作用，當(dāng)一個(gè)數(shù)據(jù)包抵達(dá)核心交換機(jī)后，交換機(jī)會(huì)查看中繼配置，以單播包發(fā)送給DHCP服務(wù)器，包的源地址就是對(duì)應(yīng)的VLAN 的網(wǎng)段，而DHCP收到后，分配的地址就根據(jù)這個(gè)VLAN 的網(wǎng)關(guān)來分配的，這樣的話 你VLAN 19請(qǐng)求到的自然是與VLAN 19對(duì)應(yīng)的網(wǎng)段。

另外一個(gè)DHCP中繼的Feature功能。
假設(shè)該網(wǎng)段有2臺(tái)DHCP服務(wù)器，默認(rèn)情況下用A，當(dāng)A失效后才使用B。那么我們就不能想剛剛那樣配置了，需要配置一個(gè)DHCP Group。

[Core-A]dhcp server group 1
[Core-A-dhcp-server-group-1]dhcp-server 192.168.88.251
[Core-A-dhcp-server-group-1]dhcp-server 192.168.88.250

[Core-A]int vlan 100
[Core-A-Vlanif100]dhcp selec relay
[Core-A-Vlanif100]dhcp relay server-select 1
說明：該配置的意思就是說，定義了2個(gè)DHCP服務(wù)器地址，默認(rèn)情況下使用第一個(gè)，當(dāng)?shù)谝粋€(gè)壞了后才使用第二個(gè)，然后在接口下調(diào)用，調(diào)用的方式跟之前不同，之前是直接寫IP地址，而這里是調(diào)用這個(gè)組。

（PS：覺得讀起來吃力，很多地方不理解，那就得學(xué)習(xí)升級(jí)了）

 14 提問與分享（想提高自己，從獨(dú)立思考與分享開始）        

 1、關(guān)于路由的實(shí)施這里采用的是靜態(tài)路由，因?yàn)橹安渴鸬姆绞綖槎訉?duì)接，用了VRRP，去跟回都是一個(gè)網(wǎng)關(guān)，靜態(tài)路由非常方便，假如這里用的是三層對(duì)接，靜態(tài)路由是否還合適？

2、工作中容易遇到接入層的交換機(jī)接上去后有時(shí)獲取不到地址，除了上面提到的沒有配置邊緣端口外，還有什么會(huì)影響地址獲取不到，排錯(cuò)思路是怎樣？

3、關(guān)于STP導(dǎo)致的要過30s后才能正常工作，主流產(chǎn)商中思科、華為、H3C，哪些默認(rèn)開了STP，哪些沒有開。

4、有什么自己工作中遇到的情況與有趣事情可以分享留言哦，博主會(huì)幫您置頂，讓更多人看到與學(xué)習(xí)。

轉(zhuǎn)載自微信公眾號(hào)：網(wǎng)絡(luò)之路博客