传统园区建设项目(HuaWei)

目录

• 拓扑
  • 整网拓扑
  • OSPF逻辑图
  • 防火墙旁挂逻辑图
• 客户需求
• 遇到的问题
  • 注意环形堆叠问题
  • 核心交换机OSPF注意事项
  • 防火墙跑OSPF的注意事项
  • 同区域过滤注意事项
  • 准入认证注意事项
  • 无线AP上线的问题

拓扑

整网拓扑

OSPF逻辑图

防火墙旁挂逻辑图

客户需求

1. 所有的Agg汇聚机交换机和Core核心交换机全都做环形堆叠，所有ACC与AGG之间、AGG与核心之间全使用动态链路聚合。
2. 核心交换与出口路由器之间使用骨干区域，核心交换机与汇聚交换机之间用非骨干区域
3. 有线的所有网关都放置在汇聚上，无线的所有网关都放在核心上
4. 除了AP上线用的dhcp放在AC上，所有的dhcp地址池都放置在核心交换机，汇聚交换机的业务网关直接做dhcp中继代理至核心交换机。
5. 防火墙旁挂，业务的隔离使用vpn-instance为实现，不同业务之间的流量必须通过防火墙过滤；

遇到的问题

注意环形堆叠问题

1. 虽然项目当中的交换机都是两两之间做堆叠，但要求是用环形堆叠
2. 做环形堆叠与链路堆叠略有不同，做链形堆叠时，物理接口编号无所谓，但逻辑接口是交叉的，即本端的stack0/1对应对方的stack0/2。
3. 一端做完之后，要注意先将本端的逻辑接口down掉，然后再去做另一台，否则在操作第二台的时候，做完一个接口之后堆叠立马就会生效，会导致第二个接口没有做完之后堆叠就会生效重启，导致最终环形堆叠失败。

核心交换机OSPF注意事项

所有的OSPF做完之后，如果不进行路由过滤的话，会发现所有的实例当中都会有另外两个实例的路由，原因是因为三个区域共同使用一个进程，三个区域一个进程就会导致路由相互渗透，这就不符合的甲方的要求了，所以在做完之后要在核心交换机做type-3 LSA的路由过滤，过滤掉另外两个区域的type-3 LSA。

防火墙跑OSPF的注意事项

1. 防火墙跑OSPF时注意要单独给OSPF做一个安全策略，否则防火墙就会卡在exstart状态下，原因是因为防火墙默认阻拦单播报文而不阻塞组播报文，OSPF的hello报文默认是组播的，所以可以完成init、2-way状态，但DD报文是单播，DD报文主要用来完成exstart状态和exchagne状态，当防火墙阻拦住DD报文之后，OSPF状态会卡在exstart状态。
2. 防火墙通过实例运行OSPF，默认不会识别TYPE-5 LSA，所以会导致防火墙无法学到路由器通过type-5 LSA引入的默认路由，需要在防火墙的OSPF进程下通过“vpn-instance-capability simple”命令使能此功能。

同区域过滤注意事项

客户要求即使都是Employee业务，有线和无线进行互访的时候也要通过防火墙进行过滤，但问题时Employee业务所有网关都在核心交换机，默认Employee之间的业务互访并不流经防火墙，所以我们需要在核心交换机上进行路由重定向，然后在防火墙上开启同安全区域的过滤功能。

准入认证注意事项

由于是将802.1x的认证放在汇聚交换机上，汇聚交换机与接入交换机之间的连接要使用hybrid接口，而非trunk接口；

无线AP上线的问题

1. AP上线使用vlan-100完成上线，注意不要忘记将接入交换机连接AP的接口修改为access-vlan100，从AP到AC沿途所有的网络设备全都透传VLAN-100，使得AP可以顺利完成上线；
2. 另外注意AC与AP版本的兼容性，如果在配置都没问题的情况无法完成上线，可能是AC与AP的版本兼容性问题，在AC上通过命令声明AP的软件版本之后再次进行尝试。
3. 无线上线的问题会与802.1x的需求冲突，所以在做802.1x的时候需要单独为AP设置一个通过MAC认证的免认证域，否则AP因无法自动完成802.1X的认证会导致无法完成上线；
4. 在AC没有上线时，可以在AC上把不认证即上线的功能打开 ，以方便AP快速完成上线；