huawei 01-02 综合配置案例.doc

目 录 2 ?综合配置案例 2.1 ?中小型园区/分支出口综合配置示例 2.2 ?大型园区出口配置示例（防火墙直连部署） 2.3 ?大型园区出口配置示例（防火墙旁路部署） 2.4 ?校园敏捷网络配置示例 2.4.1 ?方案简介 2.4.2 ?组网需求 2.4.3 ?网络规划 2.4.4 ?特性规划 2.4.5 ?数据规划 2.4.6 ?配置步骤 2.4.7 ?总结与建议 2.5 ?轨道交通承载网快速自愈保护技术配置举例 2.5.1 ?业务需求及解决方案描述 2.5.2 ?基础配置 ?数据规划 ?配置设备信息 ?配置接口 ?使能BFD 2.5.3 ?部署OSPF ?配置思路 ?部署OSPF 2.5.4 ?部署MPLS LDP ?配置思路 ?数据规划 ?使能MPLS LDP ?配置LDP与OSPF联动 ?配置LDP GR ?配置BFD for LSP 2.5.5 ?部署MPLS TE ?配置思路 ?数据规划 ?配置MPLS TE隧道和热备份保护 ?配置RSVP GR ?配置BFD for CR-LSP 2.5.6 ?部署L3VPN业务及其保护（HoVPN） ?配置思路 ?数据规划 ?配置MP-BGP ?配置L3VPN ?配置可靠性保护 2.5.7 ?配置文件 ?Core_SPE1配置文件 ?Core_SPE2配置文件 ?Core_SPE3配置文件 ?Site1_UPE1配置文件 ?Site1_UPE2配置文件 ?Site2_UPE3配置文件 ?Site2_UPE4配置文件 ?Site3_UPE5配置文件 ?Site3_UPE6配置文件 2.6 ?配置交换机上同时部署ACU2和NGFW的示例 2.7 ?框式集群上同时部署IPS Module和NGFW Module配置示例 2.7.1 ?IPS Module和NGFW Module均二层双机部署，交换机重定向引流 2.7.2 ?IPS Module二层部署，NGFW Module三层双机部署，交换机策略路由引流 2??综合配置案例 2.2 大型园区出口配置示例（防火墙直连部署） 2.3 大型园区出口配置示例（防火墙旁路部署） 2.4 校园敏捷网络配置示例 2.5 轨道交通承载网快速自愈保护技术配置举例 2.6 配置交换机上同时部署ACU2和NGFW的示例 2.7 框式集群上同时部署IPS Module和NGFW Module配置示例 2.1??中小型园区/分支出口综合配置示例 园区网出口简介 园区出口设备需要具备NAT Outbound及NAT Server的功能，实现私网地址和公网地址之间的转换，以满足用户访问Internet或者Internet用户访问内网服务器的需求。 园区出口设备需要具备通过Internet构建私网VPN的功能，以满足企业用户各个机构之间私网VPN互通的需求。 园区出口设备需要具备数据加密传输的功能，以保证数据的完整性和机密性，保障用户业务传输的安全。 中小型园区出口需要具备可靠性、安全性、低成本、易维护等特点。 配置注意事项 本配置案例仅涉及企业网络出口相关配置，涉及企业内网的相关配置请参见华为S系列园区交换机快速配置中的“中小园区组网场景”。 本配置案例以S系列交换机V200R008版本、AR系列路由器V200R003版本为例写作。 组网需求 总部和分支都需要实现用户访问Internet的需求。总部划分为A、B两个部门，其中A部门的用户可以访问Internet，但是B部门的用户不能访问Internet；分支所有用户都可以访问Internet。 总部有Web服务器，对外提供WWW服务，外网用户可以访问内网服务器。 总部和分支之间需要通过Internet进行私网VPN互通，通信内容需要有安全保护。 总部园区出口可靠性要求较高，需要考虑链路级的可靠性和设备级的可靠性。 分支可以适当降低可靠性要求。 根据用户需求，可以给出如图2-1所示的综合配置解决方案，该方案具备层次化、模块化、冗余性、安全性的特点，适用于中小型企业/分支的园区网络部署。 图2-1??中小型园区/分支出口综合配置组网图方案介绍 总部采用双AR出口冗余备份方式，保证设备级的可靠性。分支部署一台AR路由器做出口。 总部核心交换机采用两台S5700交换机做堆叠，保证设备级的可靠性。 总部接入交换机与核心交换机之间以及核心交换机与出口路由器之间采用Eth-Trunk方式组网，保证链路级的可靠性。 总部每个部门业务划分到一个VLAN中，部门间的业务在核心交换机CORE上通过VLANIF三层互通。 总部核心交换机作为用户及服务器网关，部署DHCP Server为用户分配IP地址。 分支用户的网关直接部署在出口路由器上。 总部两个出口路由器之间部署