XXX公司网络规划和部署

1.公司总部出口防火墙部署负载均衡。

2.公司总部与分公司两种联通方式：

a、通过在总公司和分公司部署ipsec vpn（总公司是主备模式）连通.

b、通过租用移动运营商的线路连通，以本方案为主。

c、分公司不可以访问总公司2号楼的所有部门。

d、无线设备不可访问分公司。

3、总公司每一栋楼部署独立的AC控制器，分公司不做无线部署。

注：a、无线访问不可以访问公司的ftp和web服务器。

b、无线访问划分访客wifi和内部company，业务vlan分开。

4、汇聚层部署vrrp，汇聚层与核心层多点连通，多点冗余。

5、每一栋楼占用一个ospf区域，1号楼从area11开始。

6、每一栋楼按需分配vlan从100开始。

7、dhcp服务器双备份，每台服务器只分配一半的地址，前十个地址保留。

8、总公司和分公司之间用isis连接bgp联通，总公司部署ospf协议，分公司也是部署ospf协议。

特点：

1、多链路负载均衡：华为防火墙支持将出口流量均匀地分发到多个ISP链路上，实现带宽分担，从而提高网络的性能和可用性。

2、链路监测和故障转移：华为防火墙可以实时监测各个链路的状态，如果某个链路发生故障或变得高延迟，防火墙会自动将流量转移到其他正常的链路上，以确保网络的连通性。

3、智能链路选择：华为防火墙可以根据预设的策略或条件，智能地选择合适的链路进行流量分发。例如，可以根据链路的负载情况、带宽容量或者服务级别来决定流量的分发方式。

4、流量优先级和策略控制：华为防火墙支持对流量进行优先级和策略的控制。管理员可以根据不同的需求和业务优先级，调整流量的优先级，确保关键业务的可用性和性能。

VRRP（Virtual Router Redundancy Protocol，虚拟路由器冗余协议）是一种用于提供网络设备冗余性和容错性的协议。VRRP 允许多个路由器组成一个 VRRP 组，其中一个路由器作为主路由器，其他路由器作为备份路由器。下面是对VRRP协议的详细介绍：

1. 主备关系：VRRP 协议中的路由器被组织成一个主备关系。主路由器负责转发数据包，备份路由器处于待命状态。如果主路由器故障，备份路由器中的一个会自动接管主路由器的功能，确保网络的连通性。
2. 路由器组：几个使用 VRRP 协议的路由器组成一个 VRRP 组。每个 VRRP 组有一个虚拟 IP 地址，用于作为默认网关地址给局域网中的主机使用。
3. 选举算法：VRRP 协议通过选举算法来选择主路由器。每个路由器都有一个优先级值，优先级高的路由器将成为主路由器。如果备份路由器的优先级与主路由器相同，那么根据它们的 IP 地址大小来决定主备关系。
4. VRRP 报文：VRRP 协议通过 VRRP 报文进行通信。主路由器定期发送 VRRP 报文来宣告自己的存在，其他路由器则接收这些报文并维护 VRRP 组的状态。
5. 心跳检测：主路由器通过定期发送 VRRP 报文来宣告自己的存在，备份路由器则根据它们是否收到主路由器的报文来判断主路由器是否故障。如果备份路由器在一定的时间内没有收到主路由器的报文，那么它会自动变成新的主路由器。
6. 冗余性和容错性：通过使用 VRRP，当主路由器故障时，备份路由器可以立即接管主路由器的功能，保持网络的连通性。这种冗余性和容错性使得网络设备能够更可靠地提供服务，减少网络故障造成的影响。

1. 区域划分：MSTP 允许将交换机网络划分成多个区域，每个区域使用不同的实例来计算生成树。这样可以将网络按照不同的业务需求进行逻辑划分，从而避免单一生成树对整个网络造成的限制。
2. 实例和生成树：MSTP中的每个区域（也称为实例）都有自己的生成树。生成树决定了每个端口的状态，即使在整个网络中也可以有多个生成树存在。这样可以实现灵活的冗余和带宽利用。
3. 生成树计算：每个 MSTP 实例使用单一的生成树计算算法（如RSTP），以确定生成树中每个交换机端口的角色。每个实例都可以独立计算，从而减少了计算复杂度和收敛时间。
4. 端口角色：每个交换机端口可以是根端口、指定端口、备选端口或者阻塞端口。根端口是最优路径的根，指定端口是最优路径的中继点，备选端口是备份路径，阻塞端口则不转发数据。
5. 端口状态转换：当网络拓扑发生变化时，MSTP 协议会根据生成树的计算规则进行快速收敛，将端口从一个状态转换到另一个状态以适应新的网络条件。
6. VLAN与实例映射：MSTP协议通过将 VLAN 与实例进行映射，将不同 VLAN 分配到不同的实例上，实现对 VLAN 的灵活控制。

特点：

快速收敛：OSPF具有快速的收敛能力，可以迅速适应网络拓扑变化和链路故障，更新路由表并选择最佳路径，减少数据包的丢失和延迟。

支持大规模网络：OSPF支持分层设计，网络可以划分为不同的区域（Area），区域内的路由器只需要维护自身区域的路由信息，减轻了整个网络的负载，适用于大规模网络的部署。

可靠性高：OSPF具有容错机制，当网络故障发生时，它能够快速检测并重新计算最佳路径，确保网络的可靠性和稳定性。

支持多种网络类型：OSPF支持多种类型的网络，包括广播网络、点对点网络、虚拟链路网络等，可以适应不同网络环境的需求。

配置复杂：OSPF的配置相对复杂，需要仔细配置区域、链路成本、路由过滤等参数，需要具备一定的网络技术知识和经验。

内存和计算开销大：OSPF需要维护大量的链路状态数据，占用较多的内存资源。并且计算路径时需要进行复杂的计算操作，对路由器的处理能力要求较高。

安全性控制有限：OSPF在安全性方面存在一定的限制，例如缺乏强大的加密和认证机制，容易受到恶意攻击和欺骗。

特点：

快速收敛：IS-IS具有快速的收敛速度，在网络拓扑变化和链路故障发生时，可以迅速更新路由表并选择最佳路径，减少数据包的失和延迟。

高可扩展性：IS-IS适用于大模的网络部署，它使用层次结构来组织路由器，将网络划分为不同的区域（Level），减轻整个网络的负载，适应不同规模的网络需求。

灵活的路由策略：IS-IS支持多种路由策略，可以根据网络需求和优先级设置不同的路由策略，以满足特定的业务需求。

支持多协议：IS-IS不仅支持IP路由，还可以支持其他协议，如IPv6、CLNS（Connectionless Network Service）等，提供了灵活的网络接入和转发能力

配置复杂：IS-IS的配置相对复杂，需要仔细配置区域（Level）、链路成本、路由过滤等参数，需要具备一定的网络技术知识和经验。

计算和存储开销：IS-IS需要维护并传输大量的链路状态信息，占用较多的计算和存储资源。在网络规模较大的情况下，对路由器的处理能力和存储空间要求较高。

安全性控制有限：IS-IS在安全性方面存在一些限制，如缺乏强大的加密和认证机制，容易受到恶意攻击和欺诈。

优点：网络冗余，减少了网络资源的占用（避免了分公司到总公司的链路检测）

缺点：只是单方面的冗余（但这只是一个备用的方案，作为租用运营商链路的备用。）。

（注：华为ensp好像有点小bug，vpn容易不生效）

链路聚合：

链聚合协议（Link Aggregation Protocol，LACP）是一种用于将多个物理链路捆绑在一起形成逻辑链路的网络协议。

特点：

扩展带宽：通过链路聚合，可以将多个物理链路组合成一个逻辑链路，从而增加带宽容量，提高数据传输速度和吞吐量。

冗余备份：链路聚合允许多条链路同时工作，并将它们视为一条逻辑链路。如果某条链路发生故障，流量可以无缝切换到其他链路上，从而实现冗余备份，提高网络的可靠性和容错性。

负载均衡：通过智能地分配流量到不同的链路上，链路聚合可以实现负载均衡，避免单条链路负载过重，提高网络的整体性能和效率。 4. 简化管理：链路聚合可以将多个物理链路视为一个逻辑链路进行管理，大大简化了网络的管理和配置工作，降低了维护成本和复杂度。 缺点：

厂商兼容性：链路聚合协议的实现可能在不同厂商设备间存在兼容性问题，要求使用同一标准的链路聚合协议，以确保各设备之间可以正常工作。

单一设备限制：链路聚合只能将多个物理链路聚合到同一台设备上，不能实现跨设备的链路聚合，这可能会限制某些特殊的网络架构或部署需求。

会话保持：当有多个链路聚合组成时，需要考虑会话保持的问题，确保同一会话的数据包能够通过同一条链路传输，以避免数据包丢失或乱序。

稳定性：BGP具有很好的路由选择算法，可以保证互联网中的路由选择稳定，避免产生路由环路和路由震荡等问题。 可扩展性：BGP支持大规模的网络环境，能够有效地处理互联网中大量的路由信息。 灵活性：BGP协议支持多种路由策略。它可以根据自治系统的需要，灵活地对路由进行控制和调整，以满足不同的业务需求。 安全性：BGP提供了一些安全机制，可以防止路由信息被篡改或伪造，确保网络的安全可靠。

BGP协议的工作原理如下：

邻居关系建立：BGP路由器建立邻居关系，通过TCP连接相互通信，交换路由信息。 路由信息传递：路由器之间通过BGP协议交换路由信息，包括网络前缀、下一跳和AS路径等。 路由选择：BGP路由器根据自己的路由策略，选择最佳路径，并将该路径广播给其他邻居。 路由更新：当网络状态发生变化时，BGP路由器会更新路由信息，并通知邻居，确保路由信息的准确性和一致性。

总的来说，BGP路由协议是互联网中的一种重要协议，用于在自治系统之间交换和选择路由信息，保证网络的稳定性和可靠性。它的灵活性、可扩展性和安全性使得它成为了互联网中广泛使用的一种路由协议。

总公司访问公网(1.1.1.1为公网设备)

公司设备

测试部

访问DMZ区域

客户移动设备访问其他部门：

重新获取地址：

网关冗余测试：

分公司上网行为的冗余性：