中小企业双出口网络精.docx

1、中小企业双出口网络精【案例背景】某中型企业要求新的企业内部网络建设, 需严格遵循“安全性; 可管理性; 稳定 性”的原则,具体如下:1、为了保证网络出口稳定可靠性:企业向 ISP 申请了两条 Internet 线路,需要这 两条线路做负载均衡和冗余备份。2、为了保证网络安全可靠性:企业要求核心设备支持防 DDoS 攻击、防恶意的 IP 扫描。病毒侵入与非法攻击是企业网络很大的安全隐患。不发作则已,一发作就是 大问题, 因此, 企业要求内部网络能实现在核心层、 接入层防止网络蠕虫病毒扩散。 要求核心和接入网络设备能支持 VLAN 的划分, 降低网络内广播数据包的传播, 提高 带宽资源利用率,防止

2、广播风暴的产生。3、 管理性:网络设备需能够支持灵活多样的管理方式, 可以减轻管理、 维护的难度。 【需求分析】企业要求新的企业内部网络建设,需严格遵循“安全性;可管理性;稳定性” 的原则 :需求 1:为了保证网络出口稳定可靠性:企业向 ISP 申请了两条 internet 线路, 需要这两条线路做负载均衡和冗余备份。分析 1:出口两台设备连接两条线路,可采用 VRRP 技术实现负载均衡,使得客 户端连接外网透明化。需求 2:为了保证网络安全可靠性:企业要求核心设备支持防 DDoS 攻击、防恶 意的 IP 扫描。 因此, 企业要求内部网络能实现在核心层、 接入层防止网络蠕虫病毒 扩散。 要求核

3、心和接入网络设备能支持 VLAN 的划分, 降低网络内广播数据包的传播, 提高带宽资源利用率,防止广播风暴的产生。分析 2:以上需求是对产品本身功能的需求, 核心可采用 RG-S6800E 系列交换机, 接入可采用安全接入交换机 RG-S2100系列需求 3:网络具有可管理性,网络设备需能够支持灵活多样的管理方式,可以 减轻管理、维护的难度。分析 3:所有网络设备均配置远程管理功能,使得用户可以在本地登陆各个设备。【实验拓扑】见附件【地址规划】设备 IP地址 备注R2624-A 192.168.0.254/24 R2624-A E0R2624-B 192.168.0.253/24 R2624-

4、B E0虚拟备份组 10 192.168.0.1/24 虚拟备份组 10虚拟备份组 20 192.168.0.2/24 虚拟备份组 20【实验步骤】本试验配置包括以下几个部分:网络设备基本配置及基本测试;vrrp 功能配置及验证;vrrp 功能测试。第一步 设备基本配置及网络测试。(1 S2126G-A 交换机基本配置。在试验中 S2126G-A 交换机用作二层设备。 hostname S2126G-Avlan 1end(2 S2126G-B 交换机基本配置。在试验中 S2126G-A 交换机用作二层设备。 hostname S2126G-Bvlan 1end(3 S3550-24-A 交换机

5、基本配置。在试验中 S3550-24-A 交换机也用作二层设备。 hostname S3550-24-Avlan 1end(4 R2624-A 路由器基本配置。conf thostname R2624-Aenable password starinterface FastEthernet0ip address 192.168.0.254 255.255.255.0no shutexit!为 R2624-A 的 F0口分配 IP 地址line vty 0 4password starlogin(5 R2624-B 路由器基本配置。conf thostname R2624-B!enable pas

6、sword star!interface FastEthernet0ip address 192.168.0.253 255.255.255.0no shut!为 R2624-B 的 F0口分配 IP 地址exitline vty 0 4password starlogin(6测试网络连通性。通过 ping 测试,网络通信正常。如果测试失败,请检查设 备基本配置。R2624-A#ping 192.168.0.253Type escape sequence to abort.Sending 5, 100-byte ICMP Echoes to 192.168.0.253, timeout is

7、2 seconds: .!Success rate is 80 percent (4/5, round-trip min/avg/max = 1/1/4 ms !在 R2624-A 上,使用 ping 命令来测试到 R2624-B 的连通性。R2624-B#ping 192.168.0.254Type escape sequence to abort.Sending 5, 100-byte ICMP Echoes to 192.168.0.254, timeout is 2 seconds: !Success rate is 100 percent (5/5, round-trip min/a

8、vg/max = 1/1/4 ms !在 R2624-A 上,使用 ping 命令来测试到 R2624-A 的连通性。第二步 在路由器上配置 vrrp 功能。VRRP 功能是通过配置两台 R2624路由器来实现的。根据实验方案,我们实现两个备 份组,虚拟出两个 ip 地址:虚拟备份组 10 ip地址为 192.168.0.1/24;虚拟备份 组 20 ip地址为 192.168.0.2/24。(1在 R2624-A 上做以下配置:interface FastEthernet0vrrp 10 priority 105!设置虚拟组优先级为 105,默认为 100vrrp 10 ip 192.168

9、.0.1!配置虚拟组地址vrrp 20 ip 192.168.0.2!配置虚拟组地址exit(2在 R2624-B 上做以下配置:interface FastEthernet0vrrp 10 ip 192.168.0.1vrrp 20 priority 150vrrp 20 ip 192.168.0.2exit(3 VRRP 验证。通过(1、(2的配置,虚拟组 10以在 R2624-A 为主路由器, R2624-B 为备份路由器; 虚拟组 20以 R2624-A 为备份路由器, R2624-B 为主路由器。 使用如下命令验证 VRRP 配置。R2624-A#show vrrp briefInt

10、erface Grp Pri Time Own Pre State Master addr Group addr FastEthernet0 10 105 - - P Master 192.168.0.254 192.168.0.1 FastEthernet0 20 100 - - P Backup 192.168.0.253 192.168.0.2 !对备份组 10虚拟 IP 地址为 192.168.0.1, 以 R2624-A 为主路由器!对备份组 20虚拟 IP 地址为 192.168.0.2, 以 R2624-A 为备份路由器!R2624-B#show vrrp brief!显示当前

11、vrrp 状态Interface Grp Pri Time Own Pre State Master addr Group addr FastEthernet0 10 100 - - P Backup 192.168.0.254 192.168.0.1 FastEthernet0 20 150 - - P Master 192.168.0.253 192.168.0.2 !对备份组 10虚拟 IP 地址为 192.168.0.1, 以 R2624-B 为备份路由器!对备份组 20虚拟 IP 地址为 192.168.0.2, 以 R2624-B 为主路由器使用如下命令查看详细 VRRP 信息。!

12、在 R2624-A 上查看 vrrp 信息:R2624-A#show vrrp!显示当前 vrrp 状态FastEthernet0 - Group 10!以太网接口名称及接口上设置的 vrrp 备份组号State is Master! vrrp 备份组状态Virtual IP address is 192.168.0.1 configured!备份组 10虚拟 ip 地址Virtual MAC address is 0000.5e00.010A!备份组 10虚拟 mac 地址Advertisement interval is 1 sec! vrrp 通告时间间隔Preemption is en

13、abled!设置了抢占模式min delay is 0 secPriority is 105!优先级Master Router is 192.168.0.254 (local, priority is 105!虚拟组 10 master路由器 ip 地址及 master 路由器优先级Master Advertisement interval is 1 sec! master 路由器通告时间间隔Master Down interval is 3 sec! master 路由器失效判断时间间隔FastEthernet0 - Group 20!以太网接口名称及接口上设置的 vrrp 备份组号Stat

14、e is Backup! vrrp 备份组状态Virtual IP address is 192.168.0.2 configured!备份组 20虚拟 ip 地址Virtual MAC address is 0000.5e00.0114!备份组 20虚拟 MAC 地址Advertisement interval is 1 sec! vrrp 通告时间间隔Preemption is enabledmin delay is 0 secPriority is 100!设置优先级Master Router is 192.168.0.253 , pritority is 150!虚拟组 20 mast

15、er路由器 ip 地址及 master 路由器优先级Master Advertisement interval is 1 sec! master 路由器通告时间间隔Master Down interval is 3 sec! master 路由器失效判断时间间隔!在 R2624-B 上查看 vrrp 信息:R2624-B#show vrrpFastEthernet0 - Group 10State is BackupVirtual IP address is 192.168.0.1 configuredVirtual MAC address is 0000.5e00.010AAdvertise

16、ment interval is 1 secPreemption is enabledmin delay is 0 secPriority is 100Master Router is 192.168.0.254 , pritority is 105Master Advertisement interval is 1 secMaster Down interval is 3 secFastEthernet0 - Group 20State is MasterVirtual IP address is 192.168.0.2 configuredVirtual MAC address is 00

17、00.5e00.0114Advertisement interval is 1 secPreemption is enabledmin delay is 0 secPriority is 150Master Router is 192.168.0.253 (local, priority is 150Master Advertisement interval is 1 secMaster Down interval is 3 sec(4网络连通性测试对 于 接 在 接 入 层 设 备 S2126G 上 的 用 户 , 为 其 分 配 ip 地 址 为 192.168.0.3/24 192.16

18、8.0.252/24, 网 关 可 以 指 向 192.168.0.1或 者 192.168.0.2。由于在出口路由器上配置了 vrrp , vrrp 功能可以为网络提供冗余备份和负载均衡功能。D:ipconfigWindows 2000 IP ConfigurationEthernet adapter 本地连接 :Connection-specific DNS Suffix . :IP Address. . . . . . . . . . . . : 192.168.0.234Subnet Mask . . . . . . . . . . . : 255.255.255.0Default G

19、ateway . . . . . . . . . : 192.168.0.1!终端用户以虚拟组 10为网关D:ping 192.168.0.1Pinging 192.168.0.1 with 32 bytes of data:Reply from 192.168.0.1: bytes=32 timeipconfigWindows 2000 IP ConfigurationEthernet adapter 本地连接 :Connection-specific DNS Suffix . :IP Address. . . . . . . . . . . . : 192.168.0.234Subnet

20、Mask . . . . . . . . . . . : 255.255.255.0Default Gateway . . . . . . . . . : 192.168.0.2!终端用户以虚拟组 20为网关D:ping 192.168.0.2Pinging 192.168.0.2 with 32 bytes of data:Reply from 192.168.0.2: bytes=32 timeipconfigWindows 2000 IP ConfigurationEthernet adapter 本地连接 :Connection-specific DNS Suffix . :IP Ad

21、dress. . . . . . . . . . . . : 192.168.0.234Subnet Mask . . . . . . . . . . . : 255.255.255.0Default Gateway . . . . . . . . . : 192.168.0.1!以虚拟组 10为默认网关的终端用户D:ping 192.168.0.1Pinging 192.168.0.1 with 32 bytes of data:Reply from 192.168.0.1: bytes=32 timeipconfigWindows 2000 IP ConfigurationEthernet

22、 adapter 本地连接 :Connection-specific DNS Suffix . :IP Address. . . . . . . . . . . . : 192.168.0.234Subnet Mask . . . . . . . . . . . : 255.255.255.0Default Gateway . . . . . . . . . : 192.168.0.2D:ping 192.168.0.2Pinging 192.168.0.2 with 32 bytes of data:Reply from 192.168.0.2: bytes=32 timeipconfigW

23、indows 2000 IP ConfigurationEthernet adapter 本地连接 :Connection-specific DNS Suffix . :IP Address. . . . . . . . . . . . : 192.168.0.234Subnet Mask . . . . . . . . . . . : 255.255.255.0Default Gateway . . . . . . . . . : 192.168.0.1D:ping 192.168.0.1 -tPinging 192.168.0.1 with 32 bytes of data:Reply f

24、rom 192.168.0.1: bytes=32 time10ms TTL=255! 表示 Reply from 192.168.0.1: bytes=32 timeipconfigWindows 2000 IP ConfigurationEthernet adapter 本地连接 :Connection-specific DNS Suffix . :IP Address. . . . . . . . . . . . : 192.168.0.234Subnet Mask . . . . . . . . . . . : 255.255.255.0Default Gateway . . . .

25、. . . . . : 192.168.0.1D:ping 192.168.0.1 -tPinging 192.168.0.1 with 32 bytes of data:Reply from 192.168.0.1: bytes=32 time10ms TTL=255Reply from 192.168.0.1: bytes=32 time10ms TTL=255! R2624-A 路由器出现故障时刻Request timed out.Request timed out.Reply from 192.168.0.1: bytes=32 time10ms TTL=255Reply from 1

26、92.168.0.1: bytes=32 time10ms TTL=255!表示 Reply from 192.168.0.1: bytes=32 timeipconfigWindows 2000 IP ConfigurationEthernet adapter 本地连接 :Connection-specific DNS Suffix . :IP Address. . . . . . . . . . . . : 192.168.0.234Subnet Mask . . . . . . . . . . . : 255.255.255.0Default Gateway . . . . . . . . . : 192.168.0.1D:ping 192.168.0.1 -tPinging 192.168.0.1 with 32 bytes of data:Reply from 192.168.0.1: bytes=32 time10ms TTL=255Reply from 192.168.0.1: bytes=32 time10ms TTL=255! R2624-A 出现故障Request timed out.Request timed ou