国银网络调整方案-20120220094037365791.docx

国银租赁网络调整方案一、互联网出口调整新增一条移动的城域网出口，将现有办公流量与服务器流量做分流，分流情况如下：1、公司领导与服务器流量出口为电信线路2、其他员工流量出口为移动线路二、核心交换机调整1、将现有网络架构升级为冗余架构，升级后的拓扑见下图。2、将dhcp分配的ip地址与终端mac地址绑定。三、Vlan划分调整1、服务器单独属于个vlan。2、公司领导属于一个vlan。3、公司总经理、副总经理级别一个vlan4、无线用户一个vlan5、其他外部专线接入机构划分出若干个vlan6、按照楼层划分其他员工的vlan7、公司vpn用户归属一个vlan8、临时vpn用户归属一个vlanVlan划分情况见下表：VlanVlan ID Ip地址互联出口备注100Server /24电信线路-101gsld/24电信线路-102wx/24移动线路-103bmld/24移动线路106-xx-10.16.x.0/24-4949F/24移动线路-5050F/24移动线路-5151F/24移动线路-5252F/24移动线路-104gsvpn/24-105qtvpn/24-四、流量控制调整1、将mac地址与互联网放行绑定、非认证的mac地址需要经过许可才可出互联网。2、对server和gsld的vlan不做流量控制3、对bmld、49F、50F、51F、52F的vlan流量做控制，上行控制在50k、下行控制在150k4、对wx流量做如下控制：放行应用上传流量下载流量备注Web50k100k-Mail50k100k-Qq50k100k-msn50k100k-http下载50k100k-5、内部vpn用户接入公司网络后，不受访问限制，外部的临时vpn用户接入公司网络后，只能做经过授权的访问。二、主要技术点进行介绍：1、 DHCP origin file 典型配置如下：ip dhcp pool 46-vlan103-static origin file 46.txt /该功能要先把静态分配的地址做成文本文件。具体格式可参考附件：46.txt dns-server netbios-name-server default-router 54 lease 5/因为上面的配置仅仅只支持静态的地址分配，为了配合动态分配，需要再建立和上面同一网段的地址池。ip dhcp pool 46-vlan103-bmld network dns-server netbios-name-server default-router 54 lease 5!这样就解决只能绑定一个主机的MAC地址的限制，但最根本的方法是建立DHCP服务器，该功能不建立用核心交换机去实现。重要：3w6d: %IP-3-LOOPPAK: Looping packet detected and dropped -src=82, dst=54, hl=20, tl=78, prot=17, sport=137, dport=137in=Vlan113, nexthop=54, out=Vlan113options=none-Process= IP Input, ipl= 0, pid= 157-Traceback= CCA3E0 CCA684 CCC2F4 CCCF84 CCABF4 CCAF94 DBF3C0 DBF548 D9CC80 CE6B3C CA5D5C CBB3F0 CB9594 CB96E0 CB99A4 975510这是之前有比较多的告警日志，后通过查资料发现是由于在VLAN接口下引用了helper-address ，而在DHCP本来就是做在该设备上，添加该功能是多此一举，应去掉。interface Vlan52 ip address 54 ip helper-address 542、 HSRP+MSTP+SLASWITCH1interface Vlan51 ip address 52 standby 51 ip 54 standby 51 priority 120 standby 51 preemptSWITCH2interface Vlan51 ip address 53 standby 51 ip 54 standby 51 priority 140 standby 51 preempt standby 51 track 1 decrement 50根据上面的特权值配置后，vlan51的网关会落在SWITCH2上。其他的类似，这样在三层上实现对流量的控制。对于两层的流，通过MSTP来进行二层数据流的控制。理想情况下用一VLAN的VRRP与MSTP的主都处于同一台交换机。一般也是两者配合起来用。spanning-tree mode mstspanning-tree extend system-id! spanning-tree mst configuration name region1 revision 1 instance 1 vlan 100-101 instance 2 vlan 49-52, 102-103!spanning-tree mst 1 priority 24576spanning-tree mst 2 priority 28672!spanning-tree mode mstspanning-tree extend system-id!spanning-tree mst configuration name region1 revision 1 instance 1 vlan 100-101 instance 2 vlan 49-52, 102-103!spanning-tree mst 1 priority 28672spanning-tree mst 2 priority 24576注意：对于交换机二层特性的特权值是权值越小他的优先级是越大的。所以根据上面的配置后vlan49-52,102-103会以switch2为主根，Vlan 100、101以Switch1为主根。没有写出来的Vlan就是实例0。使用SLA技术解决HSRP不能探测远端IP存活问题思科IOS SLA(service-level agreement) 服务品质保障协议是基于思科SAA技术发展而来，并在其基础上进行了增强，该特性让用户可以监测两台路由器之间或思科路由器与一个远程的IP设备之间的网络性能。我们在工作中经常使用VRRP、HSRP和GLBP技术实现双出口路由器的热备份，常见的方法是通过track物理接口实现优先级的调整，达到主备切换的目的。但却时常有这类问题出现：路由器上联光纤