某大厦网络调整方案~

原拓扑图:


由于五楼电信网络升级,需要将三楼以及七楼的交换机网络切换到左侧10M电信上面。
需求如下:
1.把三楼与七楼的网络切换到五楼电信出口
2.14楼上的一台网管PC能够全网管理所有交换机
3.能够实现冗余,在任何一个电信出口DOWN掉后,保证全部不断网
难点:
1.网络没有现在的拓扑图,网络连接明细不清楚,须先了解清楚各交换机之间的连接情况
2.网络中没有三层交换,只有两台防火墙NAT出去,实施当天华依防火墙不能配置(试用),左边的FORTIGATE防火墙,并不常用,现场找的资料研究。
3.网络分布各个楼层,而且只在五楼和14楼之间拉了一条线。

调整后的拓扑图如下:


思路:
由于之前研究FORTIGATE防火墙的时候,以为只能在Interal Dmz1 Dmz2上设置IP,不能像路由器上做单臂路由,以为只能加三个不能网段,分别是现有的VLAN1:10.10.13.0  Vlan 6:10.10.15.0 vlan20:10.10.20.0(这个VLAN在原有的VLAN1上全部调整过),而我要设置的管理交换机的网段是:10.10.200.0  

在这种情况下,我只能考虑把10.10.200.0加到上面某一个VLAN中,作为第二地址使用。我使用的是VLAN 20
后面实施完研究文档发现,这款防火墙也可以建虚接口,可以在Internal主接口下,建多个不同网段的子接口,前提是,删掉主接口上的IP,并把对端交换机的商品模式改成TRUNCK,允许相应的VLAN通过如:1    6   20
这样上图中的三根线就可以变成一根线。

所以交换机的网管IIP能设置好了,如何保证位于F14-S3100-1 的E20端口的网管PC能管管理这些交换机,而且能够通过华依的防火墙出去呢。

我的做法是:把这个端口原有的VLAN1改成VLAN 20,并在5楼到14楼的线路上允许20VLAN通过,这个时候,把网关设置成:10.10.200.254就可以通过五楼的防火墙出去。但由于五楼比较堵,所以网管PC希望从华依防火墙出去。
这个时候是这样操作的,在E1接口下建一个E1.20的子接口,IP地址设成:10.10.200.1,这样网管把网管设置成:10.10.200.1就可以从华依出去,设置成10.10.200.254,就可以从FORTIGATE出去。

现在来看冗余,5楼到14楼的线路可以保证:在电信2(华依)挂掉后,14楼的用户可以通过电信1出去。
三楼半的S3100与华依防火墙的E3口相连可以保证,可以保证电信1挂掉后,电信1下的用户可以从电信2出去。
如果希望用户在切换网络的时候不做任何改动的话,就必须保证,在网络都正常的时候,两条TRUNK链路上只允许vlan 20通过,在电信1断掉后,把接到防火墙上的链路上允许VLAN 1 VLAN6通过,电信2断后,把5到14楼的链接上的TRUNK允许VLAN1通过.

方法2:在不同的防火墙上设置不同的网关,如在FORTIGATE防火墙上设置
VLAN 20 10.10.200.254  10.10.20.254
VLAN 1    10.10.13.254   10.10.10.1
VLAN 6      10.10.15.254
在华依的防火墙上:
VLAN 20  10.10.200.1     10.10.20.1
VLAN 1     10.10.10.254
VLAN 6     10.10.15.1
这样只需要在每一台PC上设置两个网关,并把活动网关的优先级设置的比备用网关要大。
两条互联链路不需要手动切换,当其中任一网关不可达的时候就会选用下一网关。