十个网络优化和改造案例(四个):局域网替换核心交换机切换案例-3.3、重新规划 DC、DMZ 区域路由
在网络改造之前,DC区域与核心区域之间使用的是静态路由,而DMZ区域的网关就在核心设备上。在第一阶段的改造中,除了更换防火墙以外,最好给整个网络架构也来一次优化设计。将DC区域与核心区域之间改为OSPF互联;DMZ区域的网关进行下移到H3C 7506设备上,且DMZ区域与核心区域之间仍然使用OSPF。
DC区域与核心区域之间的IP互联地址设计如下
本端设备 |
本端接口 |
对端设备 |
对端接口 |
互联IP地址(段) |
SJ-5F-C6509E-1 |
GigabitEthernet 8/1 |
DC-16F-C4503E-1 |
GigabitEthernet3/1 |
10.98.43.12/30 |
SJ-5F-C6509E-2 |
GigabitEthernet 8/1 |
DC-16F-C4503E-2 |
GigabitEthernet3/1 |
10.98.43.16/30 |
DMZ区域与核心区域之间的IP互联地址设计如下:
本端设备 |
本端接口 |
对端设备 |
对端接口 |
互联IP地址(段) |
SJ-5F-C6509E-1 |
GigabitEthernet 8/2 |
DC-5F-7506E-1 |
Gigabit3/0/1 |
10.98.43.20/30 |
SJ-5F-C6509E-2 |
GigabitEthernet 8/2 |
DC-5F-7506E-1 |
Gigabit3/0/3 |
10.98.43.24/30 |
在核心设备Cisco 6509E-1上配置互联IP地址,并配置将互联地址发布到已经存在的OSPF进程中,然后删除掉Cisco 6509E-1指向DMZ和DC区域的静态路由。
在Cisco 6509E-1上的配置:
|
interface gigabitEthernet 8/1 no switchport ip address 10.98.43.13 255.255.255.252 no shutdown
interface gigabitEthernet 8/2 no switchport ip address 10.98.43.21 255.255.255.252 no shutdown
router ospf 100 network 10.98.43.12 0.0.0.3 area 0 network 10.98.43.20 0.0.0.3 area 0
no ip route 10.96.231.0 255.255.255.0 10.98.43.10 name DMZ no ip route 10.96.232.0 255.255.255.0 10.98.43.10 name DMZ no ip route 10.96.233.0 255.255.255.0 10.98.43.20 name DC no ip route 10.96.234.0 255.255.255.0 10.98.43.20 name DC |
在Cisco 6509E-2上的配置:
|
interface gigabitEthernet 8/1 no switchport ip address 10.98.43.17 255.255.255.252 no shutdown
interface gigabitEthernet 8/2 no switchport ip address 10.98.43.25 255.255.255.252 no shutdown
router ospf 100 network 10.98.43.16 0.0.0.3 area 0 network 10.98.43.24 0.0.0.3 area 0
no ip route 10.96.231.0 255.255.255.0 10.98.43.10 name DMZ no ip route 10.96.232.0 255.255.255.0 10.98.43.10 name DMZ no ip route 10.96.233.0 255.255.255.0 10.98.43.20 name DC no ip route 10.96.234.0 255.255.255.0 10.98.43.20 name DC |
在DC区域的汇聚交换机Cisco 4503E和DMZ区域的汇聚交换机H3C 7506E上也需要配置接口IP地址并将该业务区域的网段全部发布到OSPF中。但是需要注意的是,如果Cisco 4503E上存在去往办公区域或DMZ区域的静态路由的话,也需要将静态路由删除,因为静态路由的AD值小于OSPF路由的优先级。
四、第一阶段验证与测试上一篇: 小板墙,大智慧(二)
下一篇: 网络: 传输层