步骤

部署思路

涉及设备

1

配置集群、多主检测功能，提高设备级可靠性。

核心交换机

2

配置Eth-Trunk功能，提高链路可靠性，并配置接口IP地址。

核心交换机、汇聚交换机、出口路由器、旁挂防火墙

3

配置DHCP，为用户分配IP地址。

核心交换机

4

配置VRRP，保证核心交换机与两个出口路由器之间的可靠性。

出口路由器

5

配置路由，使得网络互通：

• 交换机上配置VRF功能，将交换机隔离成两个相互独立的虚拟交换机VRF-A和根交换机Public，以隔离业务网段路由与公网路由。
• 为了引导各设备的上行流量，在核心交换机上配置一条缺省路由，下一跳指向出口路由器VRRP的虚地址。
• 为了引导园区两个出口路由器的回程流量，在两个出口路由器和核心交换机之间部署OSPF，核心交换机上将所有用户网段发布到OSPF里面，通告给两个出口路由器。
• 为了将业务网络的上行流量引导至防火墙，在交换机上配置一条缺省路由，下一跳指向防火墙VRRP VRID2的虚拟IP。
• 为了将到业务网络1、业务网络2的下行流量引导至防火墙，在交换机上配置一条缺省路由，下一跳指向防火墙VRRP VRID1的虚拟IP。
• 为了将业务网络的上行流量引导至交换机，在防火墙上配置一条缺省路由，下一跳指向交换机VLANIF20的IP地址。
• 为了将到业务网络1、业务网络2的下行流量引导至交换机，在防火墙上配置一条缺省路由，下一跳指向交换机VLANIF30的IP地址。

核心交换机、出口路由器、旁挂防火墙

6

配置双机热备，提高设备级可靠性。

旁挂防火墙

7

配置安全策略，使得业务可以通过防火墙。

旁挂防火墙

设备

接口编号

成员接口

VLANIF

IP地址

RouterA

Eth-Trunk1.100

XGE1/0/1

XGE1/0/2

–

10.10.4.2/24

RouterB

Eth-Trunk1.100

XGE1/0/1

XGE1/0/2

–

10.10.4.3/24

RouterA和RouterB的VRRP

–

–

–

10.10.4.100/24

CORE

Eth-Trunk1

XGE1/4/0/0

XGE2/4/0/0

VLANIF10

10.10.4.1/24

Eth-Trunk2

XGE1/4/0/1

XGE2/4/0/1

VLANIF10

10.10.4.1/24

Eth-Trunk4

GE1/3/0/7

GE2/3/0/7

VLANIF20

10.10.2.1/24

Eth-Trunk5

GE1/3/0/8

GE2/3/0/8

VLANIF30

10.10.3.1/24

Eth-Trunk6

GE1/5/0/7

GE2/5/0/7

VLANIF20

10.10.2.1/24

Eth-Trunk7

GE1/5/0/8

GE2/5/0/8

VLANIF30

10.10.3.1/24

Eth-Trunk10

XGE1/1/0/1

XGE2/1/0/2

VLANIF50

10.10.50.1/24（AGG1下挂用户的网关）

Eth-Trunk20

XGE1/1/0/2

XGE2/1/0/1

VLANIF60

10.10.60.1/24（AGG2下挂用户的网关）

AGG1

Eth-Trunk10

XGE0/0/1

XGE1/0/1

–

–

AGG2

Eth-Trunk20

XGE0/0/1

XGE1/0/1

–

–

FWA

Eth-Trunk1

GE2/0/0

GE2/0/1

–

10.1.1.1/24

Eth-Trunk4

GE1/0/0

GE1/0/1

–

10.10.2.2/24

Eth-Trunk5

GE1/1/0

GE1/1/1

–

10.10.3.2/24

FWB

Eth-Trunk1

GE2/0/0

GE2/0/1

–

10.1.1.2/24

Eth-Trunk6

GE1/0/0

GE1/0/1

–

10.10.2.3/24

Eth-Trunk7

GE1/1/0

GE1/1/1

–

10.10.3.3/24

FWA和FWB的VRRP1（上行）

–

–

–

10.10.2.5/24

FWA和FWB的VRRP2（下行）

–

–

–

10.10.3.5/24