您好,欢迎访问三七文档
某大厦网络调整方案由于五楼电信网络升级,需要将三楼以及七楼的交换机网络切换到左侧10M电信上面。需求如下:1.把三楼与七楼的网络切换到五楼电信出口2.14楼上的一台网管PC能够全网管理所有交换机3.能够实现冗余,在任何一个电信出口DOWN掉后,保证全部不断网难点:1.网络没有现在的拓扑图,网络连接明细不清楚,须先了解清楚各交换机之间的连接情况2.网络中没有三层交换,只有两台防火墙NAT出去,实施当天华依防火墙不能配置(试用),左边的FORTIGATE防火墙,并不常用,现场找的资料研究。3.网络分布各个楼层,而且只在五楼和14楼之间拉了一条线。思路:由于之前研究FORTIGATE防火墙的时候,以为只能在InteralDmz1Dmz2上设置IP,不能像路由器上做单臂路由,以为只能加三个不能网段,分别是现有的VLAN1:10.10.13.0Vlan6:10.10.15.0vlan20:10.10.20.0(这个VLAN在原有的VLAN1上全部调整过),而我要设置的管理交换机的网段是:10.10.200.0在这种情况下,我只能考虑把10.10.200.0加到上面某一个VLAN中,作为第二地址使用。我使用的是VLAN20后面实施完研究文档发现,这款防火墙也可以建虚接口,可以在Internal主接口下,建多个不同网段的子接口,前提是,删掉主接口上的IP,并把对端交换机的商品模式改成TRUNCK,允许相应的VLAN通过如:1620这样上图中的三根线就可以变成一根线。所以交换机的网管IIP能设置好了,如何保证位于F14-S3100-1的E20端口的网管PC能管管理这些交换机,而且能够通过华依的防火墙出去呢。我的做法是:把这个端口原有的VLAN1改成VLAN20,并在5楼到14楼的线路上允许20VLAN通过,这个时候,把网关设置成:10.10.200.254就可以通过五楼的防火墙出去。但由于五楼比较堵,所以网管PC希望从华依防火墙出去。这个时候是这样操作的,在E1接口下建一个E1.20的子接口,IP地址设成:10.10.200.1,这样网管把网管设置成:10.10.200.1就可以从华依出去,设置成10.10.200.254,就可以从FORTIGATE出去。现在来看冗余,5楼到14楼的线路可以保证:在电信2(华依)挂掉后,14楼的用户可以通过电信1出去。三楼半的S3100与华依防火墙的E3口相连可以保证,可以保证电信1挂掉后,电信1下的用户可以从电信2出去。如果希望用户在切换网络的时候不做任何改动的话,就必须保证,在网络都正常的时候,两条TRUNK链路上只允许vlan20通过,在电信1断掉后,把接到防火墙上的链路上允许VLAN1VLAN6通过,电信2断后,把5到14楼的链接上的TRUNK允许VLAN1通过.方法2:在不同的防火墙上设置不同的网关,如在FORTIGATE防火墙上设置VLAN2010.10.200.25410.10.20.254VLAN110.10.13.25410.10.10.1VLAN610.10.15.254在华依的防火墙上:VLAN2010.10.200.110.10.20.1VLAN110.10.10.254VLAN610.10.15.1这样只需要在每一台PC上设置两个网关,并把活动网关的优先级设置的比备用网关要大。两条互联链路不需要手动切换,当其中任一网关不可达的时候就会选用下一网关。
本文标题:某大厦网络调整方案
链接地址:https://www.777doc.com/doc-4352926 .html