中小型企业网络架构搭建 「IP地址配置，以及测试直连连通性」

1 拓扑

拓扑可以保存到本地，然后扩大查看，这样才能看的更清楚。

2 IP地址配置，以及测试直连连通性

4.1 关于接入层交换机的配置
说明：由于接入层交换机属于二层交换机，并不需要配置IP地址，只需要配置对应的管理地址即可，管理地址这块在后续在进行。
4.2 核心交换机IP配置
分析：在IP地址规划那块，已经规划好了PC与服务器等对应的网关都为192.168x.254，这个网关地址可不是随意定义在哪个交换机上面就可以的，建议是平分定义，当然也可以不定义，后续有VRRP虚拟出来，VRRP是可以直接使用接口地址的，所以没必要浪费一个IP地址来做接口地址，所以这里采用的方案是分摊，比如VLAN 19的网关在Core-A上面，而VLAN 20的则在Core-B上面，依次类推。这样的结果就是配合VRRP技术来实现负载分担，并且配合MSTP技术实现链路分担，后续实现这块会有详细分析。
4.2.1 Core-A 地址配置
[Core-A]interface vlan 19
[Core-A-Vlanif19]ip address 192.168.19.254 24

[Core-A]int vlan 20
[Core-A-Vlanif20]ip address 192.168.20.253 24

[Core-A-Vlanif20]int vlan 21
[Core-A-Vlanif21]ip address 192.168.21.254 24

[Core-A-Vlanif20]int vlan 88
[Core-A-Vlanif88]ip address 192.168.88.253 24

[Core-A]interface vlan 1
[Core-A-Vlanif1]ip address 192.168.1.254 24

[Core-A]interface vlan 100
[Core-A-Vlanif100]ip address 192.168.100.253 24

4.2.2 Core-B地址配置
[Core-B]interface vlan 19
[Core-B-Vlanif19]ip address 192.168.19.253 24

[Core-B-Vlanif19]int vlan 20
[Core-B-Vlanif20]ip address 192.168.20.254 24

[Core-B-Vlanif20]int vlan 21
[Core-B-Vlanif21]ip address 192.168.21.253 24

[Core-B-Vlanif21]int vlan 88
[Core-B-Vlanif88]ip address 192.168.88.254 24

[Core-B]interface vlan 1
[Core-B-Vlanif1]ip address 192.168.1.253 24

[Core-B]interface vlan 100
[Core-B-Vlanif100]ip address 192.168.100.254 24
说明：可以看到Core-A与B互为分担，这里比如VLAN 19的网关在A上面，B则是另外一个地址，而VLAN 20则是B为网关，A为一个普通地址。这是为了后续做VRRP规划好。

4.3 防火墙接口配置
分析：在防火墙中需要定义2个地址，一个是连接核心交换机的，也就是VLAN 100的地址，而另外一个为出接口地址，配置为公网地址，后续提供内网访问外网的服务，以及外网通过映射访问内部服务器等。需要注意的是，在防火墙中 有区域的概念，我们必须把接口划入到对应的区域，后续我们都是在这些区域间做策略。

[USG-GW]interface g0/0/1
[USG-GW-GigabitEthernet0/0/1]ip address 202.100.1.2 24

[USG-GW]int g0/0/2
[USG-GW-GigabitEthernet0/0/2]ip address 61.128.1.2 24

[USG-GW]firewall zone trust
[USG-GW-zone-trust]add interface Vlanif 100

[USG-GW]firewall zone name ISP_DX
[USG-GW-zone-isp_dx]set priority 1
[USG-GW-zone-isp_dx]add interface g0/0/1

[USG-GW]firewall zone name ISP_LT
[USG-GW-zone-isp_lt]set priority 2
[USG-GW-zone-isp_lt]add interface g0/0/2
说明：该配置了对应的IP地址以外，并且还配置了把对应接口加入对应Zone，我们一般把内网接口加入Trust，而外网接口加入Untrust，对外提供服务的则加入DMZ等。需要注意的是Trust是系统默认存在的，所以只需要添加接口即可，而后面2个是自定义的，必须先定义优先级然后在添加接口，因为我们这里部署的是双出口。当然也可以加入到Untrust中。

3 测试连通性【完成】

访客厅为VLAN 19，另外访客厅还有无线AP与VLAN 1的管理流量需要通过，所以放行的VLAN为1，19

可以看到核心交换机之间的访问是没有任何问题了，所有的VLAN 接口都能访问

这里是测试与防火墙的连通性，这里已经正常通信了，至此整个IP地址配置完成。

总结：配置IP地址难度并不大，需要结合后续的技术考虑一些因素进去，比如后续要部署VRRP，我们必须让它网关均匀的分配到2台核心交换机上面，使得它们分担整个网络的流量，如果都往一个交换机上面跑，则另外一台没有利用起来，而且这一台压力也大。

閱讀更多 思恆科技 的文章

關鍵字: IP地址 技术 直连