3组网与配置综合实践指导资料Word格式.docx
《3组网与配置综合实践指导资料Word格式.docx》由会员分享,可在线阅读,更多相关《3组网与配置综合实践指导资料Word格式.docx(19页珍藏版)》请在冰豆网上搜索。
案例拓扑结构
图1大型单核心网络拓扑图
技术需求分析
需求1:
采用先进的网络通信技术完成集团企业网的建设,实现个分公司的信息化
分析1:
全网采用光纤连接,并使用合理的三级设计结构,各分公司独立成区域,防止个别区域发生问题影响整个网络的稳定运行。
需求2:
在整个企业集团内实现所有部门的办公自动化,提高工作效率和管理服务水平;
分析2:
既要实现部门内部的办公自动化,又要提高工作效率,建议整个网络用VLAN隔离,需要各个部门通信的使用VLAN间路由解决。
需求3:
在整个企业集团内部实现资源共享,产品信息共享、实时新闻发布;
需求4:
在整个企业集团内实现财务电算化;
需求5:
在整个企业集团内实现集中式的供应链管理系统和客户服务关系管理系统;
分析:
由于要实现企业集团公司和各分公司的信息化,考虑到分公司较多,所分配的网段较多,建议采用动态路由协议,降低网管的维护成本。
实验拓扑及地址规划
图2单核心实验用拓扑图
实验设备说明:
出口设备:
R2624路由器一台;
核心设备:
S68系列(或S65/S35系列设备,本实验可用S35模拟核心设备)1台,配置千兆光纤接口2块;
汇聚设备:
S3550-242台,每台配置1块千兆光纤接口(本实验可用以太网口代替光纤接口);
接入设备:
S2126G二层交换机4台;
实验PC:
8台;
终端用户的默认网关指向各自对应的vlan接口的ip地址,设备管理地址为192.168.0.0/24网段,其中S68为192.168.0.254/24。
实验步骤和配置参考
实验步骤:
实验步骤如下:
(以下配置默认在全局配置模式下进行)
⏹网络设备的基本配置;
⏹ospf配置及其测试;
⏹网络连通性测试;
⏹NAT功能测试;
1.网络设备的基本配置
2126G基本配置:
1、设置交换机主机名字;
2、创建VLAN;
3、将实验用PC和交换机的接口划分到各VLAN中;
4、将出口F0/10设置为trunk模式
5、设置默认VLAN1的虚接口IP地址作为设备管理地址;
(192.168.0.x/24网关192.168.0.254),具体配置命令如下:
interfacevlan1
ipadd192.168.0.x255.255.255.0
noshut
Exit
!
设置管理ip地址网关
ipdefault-gateway192.168.0.254
End
S3550-24基本配置
3、设置接口F0/1、F0/10、F0/20为trunk模式;
4、为创建的各VLAN设置虚接口地址,为VLAN1设置管理IP:
192.168.0.x/24,设置网关为192.168.0.254,设置命令参见上文。
S6806E基本配置
2、设置G4/1、G4/2为trunk模式;
(没有G口采用F口代替)
3、创建VLAN100、200、300,将G4/10划分到VLAN300;
4、为VLAN1、100、200、300分配虚接口IP地址
R2624-A基本配置
1、设置路由器主机名字;
2、设置E0口IP地址为:
192.168.86.30255.255.255.240,指定改接口为内网接口;
3、设置E1口IP地址为:
210.96.100.85255.255.255.252,指定该接口为外网接口;
2.OSPF路由选择协议配置及测试
S3550-24-Aospf路由协议配置
routerospf
area0.0.0.0
指定参和交换ospf更新的网络以及这些网络所属的区域(如下是一个网段,请参照拓扑图逐个申明)
network172.16.10.0255.255.255.0area0.0.0.0
……………………………
network192.168.128.40255.255.255.248area0.0.0.0
end
S3550-24-Bospf路由协议配置
配置方法和S3550-24-A相似,申明S3550-24-B设备上所有网络。
………………………….
network192.168.129.40255.255.255.248area0.0.0.0
S6806Eospf路由协议配置
routerospf
area0.0.0.0
network192.168.86.17255.255.255.240area0.0.0.0
R2624-Aospf路由协议配置
routerospf1
network210.96.100.840.0.0.3area0.0.0.0
network192.168.86.300.0.0.15area0.0.0.0
不管路由器是否存在缺省路由,总是向其他路由器公告缺省路由
default-informationoriginatealways
end
ospf验证
在各设备上使用showiproute查看路由表,使用showipospfneighbor查看邻居路由器。
3.基本连通性测试
(1)基本连通性测试
在S2126G-A1的vlan10内的用户,用户主机ip地址为172.16.10.195/24,网关为172.16.10.1
Ping172.16.10.1检查到网关的连通性;
Ping172.16.20.1测试到S3550-24-Avlan20svi口的连通性;
Ping172.16.30.1测试到S3550-24-Avlan30svi口的连通性;
Ping192.168.128.44测试到S3550-24-Avlan100svi口的连通性;
Ping192.168.128.45测试到S6806Evlan100svi口的连通性;
Ping192.168.129.45测试到S6806Evlan200svi口的连通性;
Ping192.168.86.17测试到S6806Evlan300svi口的连通性;
Ping192.168.86.30测试到S2624-AF0口的连通性;
Ping172.18.50.1测试到S3550-24-Bvlan50svi口的连通性;
Ping172.18.60.1测试到S3550-24-Bvlan60svi口的连通性;
Ping172.18.70.1测试到S3550-24-Bvlan70svi口的连通性;
Ping192.168.129.44测试到S3550-24-Bvlan200svi口的连通性;
Ping210.96.100.85测试到S2624-AF1口的连通性;
(2)Vlan间通信测试
由于不同vlan间用户通信测试方法相同,在这里我们只举例测试vlan50里用户172.18.50.195和vlan10里用户172.16.10.179通行的连通性,其中主机指向各自的网关。
Ping172.18.50.1测试于网关的连通性;
Ping192.168.86.30测试到网络的连通性;
Ping172.16.10.179测试vlan50里的用户到vlan10中用户172.16.10.179的连通性;
4.NAT功能配置及测试
(1)在R2624-A上配置NAT功能:
access-list10permitany
exit
!
ipnatinsidesourcelist10interfacefastethernet1overload
interfacefastethernet0
ipnatinside
interfacefastethernet1
ipnatoutside
(2)测试NAT功能
如实验拓扑,在R2624-AF1口对端放置pc模拟ISP。
通过内部主机172.18.50.195ping此主机210.96.100.86,在测试路由器上开启调试nat,通过查看相关的调试信息测试nat功能。
在路由上开启nat调试功能
debugipnat、debugipnatdetailed
3.
大型(双核心)校园网
某高校随着学校教学和学生网上使用的增长,校园网以光纤连接了全校近70栋楼宇,覆盖了90%的教学办公场所和75%的学生宿舍。
共布有2万多个网络端口,其中约1.2万多个布线端口连通了网络设备,共接入计算机6千多台,有固定注册用户约6000人。
原有网络设备已经无法满足新环境下的网络使用,因此该校决定重新规划建设校园网。
图3大型双核心校园网拓扑
需求分析
要能够达到轻载要求:
低负荷,高带宽,最简单,最有效;
网络核心冗余,核心到汇聚双链路备份。
要有先进的技术性:
支持线速转发,具备高密度的万兆端口,核心设备支持T级以上的背板设计,硬件实现ACL,Qos,组播等功能。
核心交换机可选择RG-S6800E系列,以上功能可实现;
要稳定,可靠;
确保物理层、链路层、网络层、病毒环境下的稳定、可靠;
分析3:
要求各层设备能够有防病毒的功能,项目所选择的设备均可通过配置防止病毒泛滥。
要有健壮的安全:
不以牺牲网络性能为代价,实现病毒和攻击的防护,用户接入控制、路由协议安全;
分析4:
核心交换机具有SPOH功能,保证在实现防护病毒和攻击的情况下,核心交换机性能不受影响,接入采用安全智能接入层交换机RG-S2100系列
要易于管理:
具备网络拓扑发现,网络设备集中统一管理,性能监视和预警,分类查看管理事件的能力;
分析5:
所有项目中的设备均支持SNMP,并通过锐捷star-view网管软件进行整网管理。
图3大型双核心校园网实验拓扑
RG-WALL100(或1000)1台(本实验中可用主机或者路由器代替);
S68系列(或S65/S35系列设备,本实验可用S35模拟核心设备)2台,配置千兆光纤接口4块;
S3550-242台,每台配置2块千兆光纤接口(本实验可用以太网口代替光纤接口);
终端用户的默认网关指向各自对应的vlan接口的ip地址。
⏹OSPF配置及其测试;
2126G基本配置
1.设置交换机主机名字;
2.创建vlan(10、20、30);
3.将实验用pc所接交换机端口划分到相应的vlan中;
4.设置上行接口为trunk模式;
S3550的基本配置
2.创建vlan;
3.设置F0/1、0/2、0/10、0/20口为trunk模式,并设置其nativevlan号为4093,如下:
switchportfastethernet0/1
switchportmodetrunk
switchporttrunknativevlan4093
4.为划分的vlan指定接口ip地址,见拓扑结构地址规划;
S6810E-B基本配置
2.设置F0/1、F0/2为trunk模式,并设置其nativevlan号为4093;
3.设置F0/5端口为三层端口并设置ip地址
noswitchport
ipadd192.168.128.2255.255.255.248
4.创建vlan并设置其接口ip,参看拓扑图中地址规划;
2.OSPF配置
(1)S3550A的路由配置
interfacevlan1024
ipadd192.168.129.44255.255.255.248
ipospfcost100设置此链路的代价为100
公布本交换机的路由信息:
network192.168.0.0255.255.0.0area0.0.0.0
network172.16.0.0255.255.0.0area0.0.0.0
(2)S3550B的路由配置
和S3550A相似,在此略过
(3)6806E-A的路由配置
interfacefastethernet0/5
noswitchport
ipadd192.168.128.1255.255.255.248
ipospfcost1设置5号端口的链路OSPF代价为1
interfacevlan1016
ipadd192.168.128.67255.255.255.248
ipospfcost60设置lan1016的链路OSPF代价为60
(4)路由的测试
核心S6806E上基本都是直连路由,所以选择说S3550进行路由测试
在S3550A上:
ping192.168.128.1测试和S6806E-A的连通性;
traceroute192.168.128.1测试和S6806E-A的路由;
Ping192.168.129.67测试和S6806E-B的连通性;
traceroute192.168.129.67测试和S6806E-B的路由;
ping172.18.50.1测试和S3550-B的连通性;
traceroute172.18.50.1测试和S3550-B的路由;
从S3550B上同样做类似路由检查。
4.
中小企业双出口网络
某中型企业要求新的企业内部网络建设,需严格遵循“安全性、可靠性、稳定性”的原则,具体如下:
1.为了保证网络出口的稳定可靠性;
企业向isp申请了两条Internet线路,需要这两条线路做负载均衡和冗余备份;
2.为了保证网络安全可靠性:
企业要求核心设备支持DDOS攻击,防恶意的ip扫描。
病毒侵入和非法攻击是企业网络很大的安全隐患。
不发作则已,一发作就是大问题,因此,企业要求内部网络能实现在核心层,接入层防止网络蠕虫病毒扩散。
要求核心和接入网络设备能支持VLAN划分,降低网络内广播数据包的传播,提高带宽资源利用率,防止广播风暴的产生。
3.管理性:
网络设备需要能够支持灵活多样的管理方式,可以减轻管理,维护的难度。
图5中小企业双出口网络
企业内部网络建设,需严格遵循“安全性、可靠性、稳定性”的原则:
为了保证网络出口的稳定可靠性;
企业向isp申请了两条Internet线路,需要这两条线路做负载均衡和冗余备份。
出口两台设备连接两条线路,可采用VRRP技术实现负载均衡,使得客户端连接外网透明化。
为了保证网络安全可靠性:
因此,企业要求内部网络能实现在核心层,接入层防止网络蠕虫病毒扩散。
以上需求是对产品本身功能的需求,核心可采用RG-S6800E系列交换机,接入可采用安全接入交换机RG-S2100系列。
网络具有可管理性,网络设备需要能够支持灵活多样的管理方式,可以减轻管理,维护的难度。
所有网络设备均配置远程管理功能,使得用户可以在本地登陆各个设备。
实验拓扑
图6中小企业双出口网络
⏹网络设备基本配置及基本测试
⏹Vrrp功能配置及验证
⏹Vrrp功能测试;
1.网络设备基本配置及基本测试
S2126G交换机配置
设置交换机主机名字;
本实验所有交换机均作为二层设备,使用默认vlan1。
R2624路由器基本配置
设置路由器主机名字;
设置接口F0IP地址,参看拓扑图中地址规划;
2.测试网络连通性
通过ping测试,网络通信正常,如果测试失败,请检查设备基本配置。
ping192.168.0.253,测试到R2624-B的连通性。
ping192.168.0.254,测试到R2624-A的连通性。
3.在路由器上配置vrrp功能
Vrrp功能是通过配置两台R2624路由器来实现的。
根据实验方案,我们实现两个备份组,虚拟出两个IP地址:
虚拟备份组10ip地址为192.168.0.1/24;
虚拟备份组20ip地址为192.168.0.2/24。
(1)在R2624-A上做以下配置
interfacefastethernet0
设置虚拟组优先级为105,默认为100
vrrp10priority105
设置虚拟组地址
vrrp10ip192.168.0.1
vrrp20ip192.168.0.2
(2)在R2624-B做以下配置
设置虚拟组优先级为150,默认为100
vrrp20priority150
(3)vrrp验证
通过
(1)、
(2)的配置,虚拟组10以在R2624-A为主路由器,R2624-B为备份路由器;
虚拟组20以R2624-A为备份路由器,R2624-B主要路由器。
使用如下命令验证VRRP配置。
1.在路由器A、B上使用showvrrpbrief命令查看vrrp状态
2.使用showvrrp查看详细VRRP信息。
4.网络连通性测试
对于接在接入层设备S2126G上的用户,为其分配ip地址为192.168.0.3/24—192.168.0.252/24,网关可以指向192.168.0.1或者192.168.0.2。
由于在出口路由器上配置了vrrp,vrrp功能可以为网络提供冗余备份和负载均衡功能。
用户主机上使用下列命令:
ping192.168.0.1测试pc到网关通信;
ping192.168.0.2测试pc到网关通信;
5.VRRP功能测试,测试vrrp冗余备份和负载均衡功能
根据vrrp功能,在主路由器失效的情况下,备份路由器会在一定的时间里切换为主路由器;
在使能了抢占模式后,在路由器故障恢复后,vrrp会重新计算,主路由器切换到备份状态,故障路由器为主状态。
(1)查看网络正常运行情况下,vrrp状态及网络连通性
showvrrpbrief
…………………………………………………….
用户主机ping192.168.0.1,ping19.168.0.2测试到网关的连通性
(2)在R2624-A路由器出现故障时,vrrp状态及网络连通性。
在终端用户我们使用ping命令加-t参数,来观察当路由器出现故障后网络连通性的变化,我们通过将S3550-24-A和R2624-A之间的线缆人为down掉来模拟R2624-A路由器故障。
使用ping192.168.0.1–t测试,现象:
当网络正常运行时,在cmd控制台看到有包回应。
当出现故障时,出现暂时不能ping通现象,很快又开始会到正常状态。
在2624-A、2624-B上使用showvrrpbrief观察当R2624-A出现故障时VRRP状态变化情况。
升级会员 