中小企业双出口网络.docx

1、中小企业双出口网络【案例背景】 某中型企业要求新的企业内部网络建设，需严格遵循“安全性；可管理性；稳定性”的原则，具体如下：1、为了保证网络出口稳定可靠性：企业向ISP申请了两条Internet线路，需要这两条线路做负载均衡和冗余备份。2、为了保证网络安全可靠性：企业要求核心设备支持防DDoS攻击、防恶意的IP扫描。病毒侵入与非法攻击是企业网络很大的安全隐患。不发作则已，一发作就是大问题，因此，企业要求内部网络能实现在核心层、接入层防止网络蠕虫病毒扩散。要求核心和接入网络设备能支持VLAN的划分，降低网络内广播数据包的传播，提高带宽资源利用率，防止广播风暴的产生。3、管理性：网络设备需能够支持

2、灵活多样的管理方式，可以减轻管理、维护的难度。【需求分析】 企业要求新的企业内部网络建设，需严格遵循“安全性；可管理性；稳定性”的原则 ： 需求1：为了保证网络出口稳定可靠性：企业向ISP申请了两条internet线路，需要这两条线路做负载均衡和冗余备份。 分析1：出口两台设备连接两条线路，可采用VRRP技术实现负载均衡，使得客户端连接外网透明化。 需求2：为了保证网络安全可靠性：企业要求核心设备支持防DDoS攻击、防恶意的IP扫描。因此，企业要求内部网络能实现在核心层、接入层防止网络蠕虫病毒扩散。要求核心和接入网络设备能支持VLAN的划分，降低网络内广播数据包的传播，提高带宽资源利用率，防止

3、广播风暴的产生。 分析2:以上需求是对产品本身功能的需求，核心可采用RG-S6800E系列交换机，接入可采用安全接入交换机RG-S2100系列 需求3：网络具有可管理性，网络设备需能够支持灵活多样的管理方式，可以减轻管理、维护的难度。分析3:所有网络设备均配置远程管理功能，使得用户可以在本地登陆各个设备。【实验拓扑】见附件 【地址规划】设备 IP地址 备注R2624-A 192.168.0.254/24 R2624-A E0R2624-B 192.168.0.253/24 R2624-B E0虚拟备份组10 192.168.0.1/24 虚拟备份组10虚拟备份组20 192.168.0.2/2

4、4 虚拟备份组20【实验步骤】 本试验配置包括以下几个部分：网络设备基本配置及基本测试；vrrp功能配置及验证；vrrp功能测试。第一步 设备基本配置及网络测试。（1）S2126G-A交换机基本配置。在试验中S2126G-A交换机用作二层设备。hostname S2126G-Avlan 1end（2）S2126G-B交换机基本配置。在试验中S2126G-A交换机用作二层设备。hostname S2126G-Bvlan 1end（3）S3550-24-A交换机基本配置。在试验中S3550-24-A交换机也用作二层设备。hostname S3550-24-Avlan 1end（4）R2624-A路

5、由器基本配置。conf thostname R2624-Aenable password starinterface FastEthernet0ip address 192.168.0.254 255.255.255.0no shutexit！为R2624-A的F0口分配IP地址line vty 0 4password starlogin（5）R2624-B路由器基本配置。conf thostname R2624-B!enable password star!interface FastEthernet0ip address 192.168.0.253 255.255.255.0no shut

6、！为R2624-B的F0口分配IP地址exitline vty 0 4password starlogin（6）测试网络连通性。通过ping测试，网络通信正常。如果测试失败，请检查设备基本配置。R2624-A#ping 192.168.0.253 Type escape sequence to abort.Sending 5, 100-byte ICMP Echoes to 192.168.0.253, timeout is 2 seconds:.!Success rate is 80 percent (4/5), round-trip min/avg/max = 1/1/4 ms！在R262

7、4-A上，使用ping命令来测试到R2624-B的连通性。R2624-B#ping 192.168.0.254Type escape sequence to abort.Sending 5, 100-byte ICMP Echoes to 192.168.0.254, timeout is 2 seconds:!Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/4 ms！在R2624-A上，使用ping命令来测试到R2624-A的连通性。第二步 在路由器上配置vrrp功能。VRRP功能是通过配置两台R2624路由器来

8、实现的。根据实验方案，我们实现两个备份组，虚拟出两个ip地址：虚拟备份组10 ip地址为192.168.0.1/24；虚拟备份组20 ip地址为192.168.0.2/24。（1）在R2624-A上做以下配置：interface FastEthernet0vrrp 10 priority 105！设置虚拟组优先级为105，默认为100vrrp 10 ip 192.168.0.1！配置虚拟组地址vrrp 20 ip 192.168.0.2！配置虚拟组地址exit（2）在R2624-B上做以下配置：interface FastEthernet0vrrp 10 ip 192.168.0.1vrrp

9、20 priority 150vrrp 20 ip 192.168.0.2exit（3）VRRP验证。通过（1）、（2）的配置，虚拟组10以在R2624-A为主路由器，R2624-B为备份路由器；虚拟组20以R2624-A为备份路由器，R2624-B为主路由器。使用如下命令验证VRRP配置。R2624-A#show vrrp brief Interface Grp Pri TimeOwn Pre State Master addr Group addrFastEthernet010105 - - PMaster192.168.0.254 192.168.0.1FastEthernet02010

10、0 - - PBackup192.168.0.253 192.168.0.2！对备份组10虚拟IP地址为192.168.0.1,以R2624-A为主路由器！对备份组20虚拟IP地址为192.168.0.2,以R2624-A为备份路由器！R2624-B#show vrrp brief ！显示当前vrrp状态Interface Grp Pri TimeOwn Pre State Master addr Group addrFastEthernet010100 - - PBackup192.168.0.254 192.168.0.1FastEthernet020150 - - PMaster192.

11、168.0.253 192.168.0.2！对备份组10虚拟IP地址为192.168.0.1,以R2624-B为备份路由器！对备份组20虚拟IP地址为192.168.0.2,以R2624-B为主路由器使用如下命令查看详细VRRP信息。！在R2624-A上查看vrrp信息：R2624-A#show vrrp！显示当前vrrp状态FastEthernet0 - Group 10 ！以太网接口名称及接口上设置的vrrp备份组号State is Master ！vrrp备份组状态Virtual IP address is 192.168.0.1 configured ！备份组10虚拟ip地址Virtu

12、al MAC address is 0000.5e00.010A！备份组10虚拟mac地址Advertisement interval is 1 sec ！vrrp通告时间间隔Preemption is enabled ！设置了抢占模式 min delay is 0 sec Priority is 105 ！优先级Master Router is 192.168.0.254 (local), priority is 105 ！虚拟组10 master路由器ip地址及master路由器优先级Master Advertisement interval is 1 sec ！master路由器通告时间

13、间隔Master Down interval is 3 sec ！master路由器失效判断时间间隔FastEthernet0 - Group 20！以太网接口名称及接口上设置的vrrp备份组号State is Backup ！vrrp备份组状态Virtual IP address is 192.168.0.2 configured！备份组20虚拟ip地址Virtual MAC address is 0000.5e00.0114 ！备份组20虚拟MAC地址Advertisement interval is 1 sec ！vrrp通告时间间隔Preemption is enabled min d

14、elay is 0 sec Priority is 100 ！设置优先级Master Router is 192.168.0.253 , pritority is 150 ！虚拟组20 master路由器ip地址及master路由器优先级Master Advertisement interval is 1 sec ！master路由器通告时间间隔Master Down interval is 3 sec ！master路由器失效判断时间间隔！在R2624-B上查看vrrp信息：R2624-B#show vrrp FastEthernet0 - Group 10State is Backup V

15、irtual IP address is 192.168.0.1 configuredVirtual MAC address is 0000.5e00.010AAdvertisement interval is 1 sec Preemption is enabled min delay is 0 sec Priority is 100 Master Router is 192.168.0.254 , pritority is 105 Master Advertisement interval is 1 sec Master Down interval is 3 sec FastEthernet

16、0 - Group 20State is Master Virtual IP address is 192.168.0.2 configuredVirtual MAC address is 0000.5e00.0114 Advertisement interval is 1 sec Preemption is enabled min delay is 0 sec Priority is 150 Master Router is 192.168.0.253 (local), priority is 150 Master Advertisement interval is 1 sec Master

17、 Down interval is 3 sec（4）网络连通性测试对于接在接入层设备S2126G上的用户，为其分配ip地址为192.168.0.3/24192.168.0.252/24，网关可以指向192.168.0.1或者192.168.0.2。由于在出口路由器上配置了vrrp，vrrp功能可以为网络提供冗余备份和负载均衡功能。D:ipconfigWindows 2000 IP ConfigurationEthernet adapter 本地连接: Connection-specific DNS Suffix. : IP Address. . . . . . . . . . . . : 19

18、2.168.0.234 Subnet Mask . . . . . . . . . . . : 255.255.255.0 Default Gateway . . . . . . . . . : 192.168.0.1 ！终端用户以虚拟组10为网关D:ping 192.168.0.1Pinging 192.168.0.1 with 32 bytes of data:Reply from 192.168.0.1: bytes=32 timeipconfigWindows 2000 IP ConfigurationEthernet adapter 本地连接: Connection-specific

19、 DNS Suffix. : IP Address. . . . . . . . . . . . : 192.168.0.234 Subnet Mask . . . . . . . . . . . : 255.255.255.0 Default Gateway . . . . . . . . . : 192.168.0.2 ！终端用户以虚拟组20为网关D:ping 192.168.0.2Pinging 192.168.0.2 with 32 bytes of data:Reply from 192.168.0.2: bytes=32 timeipconfigWindows 2000 IP Co

20、nfigurationEthernet adapter 本地连接: Connection-specific DNS Suffix. : IP Address. . . . . . . . . . . . : 192.168.0.234 Subnet Mask . . . . . . . . . . . : 255.255.255.0 Default Gateway . . . . . . . . . : 192.168.0.1 ！以虚拟组10为默认网关的终端用户D:ping 192.168.0.1Pinging 192.168.0.1 with 32 bytes of data:Reply f

21、rom 192.168.0.1: bytes=32 timeipconfigWindows 2000 IP ConfigurationEthernet adapter 本地连接: Connection-specific DNS Suffix. : IP Address. . . . . . . . . . . . : 192.168.0.234 Subnet Mask . . . . . . . . . . . : 255.255.255.0 Default Gateway . . . . . . . . . : 192.168.0.2D:ping 192.168.0.2Pinging 192

22、.168.0.2 with 32 bytes of data:Reply from 192.168.0.2: bytes=32 timeipconfigWindows 2000 IP ConfigurationEthernet adapter 本地连接: Connection-specific DNS Suffix. : IP Address. . . . . . . . . . . . : 192.168.0.234 Subnet Mask . . . . . . . . . . . : 255.255.255.0 Default Gateway . . . . . . . . . : 19

23、2.168.0.1D:ping 192.168.0.1 -tPinging 192.168.0.1 with 32 bytes of data:Reply from 192.168.0.1: bytes=32 time10ms TTL=255！ 表示Reply from 192.168.0.1: bytes=32 timeipconfigWindows 2000 IP ConfigurationEthernet adapter 本地连接: Connection-specific DNS Suffix. : IP Address. . . . . . . . . . . . : 192.168.

24、0.234 Subnet Mask . . . . . . . . . . . : 255.255.255.0 Default Gateway . . . . . . . . . : 192.168.0.1D:ping 192.168.0.1 -tPinging 192.168.0.1 with 32 bytes of data:Reply from 192.168.0.1: bytes=32 time10ms TTL=255Reply from 192.168.0.1: bytes=32 time10ms TTL=255！R2624-A路由器出现故障时刻Request timed out.Request timed out.Reply from 192.168.0.1: bytes=32 time10ms TTL=255Reply from 192.168.0.1: bytes=32 time10ms TTL=255 ！表示Reply from 192.168.0.1: bytes=32 timeipconfi