項(xiàng)目五構(gòu)建與互聯(lián)想網(wǎng)可靠連接的

小企業(yè)骨干網(wǎng)任務(wù)5.1與互聯(lián)網(wǎng)可靠連接的小企業(yè)骨干網(wǎng)需求分析任務(wù)5.2骨干網(wǎng)邏輯結(jié)構(gòu)設(shè)計(jì)任務(wù)5.3配置骨干網(wǎng)任務(wù)5.4小企業(yè)骨干網(wǎng)核心層改進(jìn)設(shè)計(jì)任務(wù)5.1與互聯(lián)網(wǎng)可靠連接的小企業(yè)

骨干網(wǎng)需求分析

①本任務(wù)只考慮企業(yè)內(nèi)部骨干網(wǎng)絡(luò)，即核心層及匯聚層，接入層的設(shè)計(jì)不在本任務(wù)范圍內(nèi)。

②網(wǎng)絡(luò)分布在一幢六層樓的建筑物內(nèi)，水平和垂直布線(xiàn)長(zhǎng)度不會(huì)超過(guò)100米。③要求內(nèi)部網(wǎng)絡(luò)與因特網(wǎng)盡可能做到7×24小時(shí)連通。

④匯聚層與核心層之間的交換機(jī)目前是用100M的雙絞線(xiàn)連接。

⑤匯聚層與核心層之間需要在現(xiàn)有的基礎(chǔ)上擴(kuò)大帶寬。

任務(wù)5.2骨干網(wǎng)邏輯結(jié)構(gòu)設(shè)計(jì)

1.骨干網(wǎng)拓?fù)浣Y(jié)構(gòu)設(shè)計(jì)

為了滿(mǎn)足帶寬要求，中心機(jī)房的核心交換機(jī)與兩臺(tái)路由器通過(guò)千兆口相連，各樓層的匯聚層交換機(jī)與中心機(jī)房的核心交換機(jī)通過(guò)兩條雙絞線(xiàn)互連。網(wǎng)絡(luò)拓?fù)淙鐖D5-1所示。圖5-1小企業(yè)骨干網(wǎng)拓?fù)?/p>

2.物理層技術(shù)選擇

由于網(wǎng)絡(luò)分布在一幢六層樓的建筑物內(nèi)，水平和垂直布線(xiàn)長(zhǎng)度不會(huì)超過(guò)100米，中心機(jī)房核心交換機(jī)與路由器R1、R2的連接采用六類(lèi)非屏蔽雙絞線(xiàn)，并且連接在1000Mb/s端口上；而中心機(jī)房的核心交換機(jī)與匯聚層交換機(jī)S2、S3的連接采用超五類(lèi)非屏蔽雙絞線(xiàn)，并且連接在100Mb/s端口上。其他計(jì)算機(jī)與交換機(jī)的連接均可采用超五類(lèi)非屏蔽雙絞線(xiàn)，計(jì)算機(jī)網(wǎng)卡可選用10/100Mb/s自適應(yīng)網(wǎng)卡或100Mb/s網(wǎng)卡。

3.局域網(wǎng)技術(shù)選擇與應(yīng)用

根據(jù)需求分析及網(wǎng)絡(luò)拓?fù)?，采用虛擬路由冗余協(xié)議(VirtualRouterRedundancyProtocol，VRRP)實(shí)現(xiàn)線(xiàn)路冗余和負(fù)載均衡；中心機(jī)房的核心交換機(jī)與各樓層的匯聚層交換機(jī)采用鏈路聚合技術(shù)，以擴(kuò)大線(xiàn)路帶寬。

4.?IP地址規(guī)劃

路由器R1、R2外網(wǎng)端口的地址由ISP(InternetServiceProvider，互聯(lián)網(wǎng)服務(wù)提供商)提供。內(nèi)網(wǎng)端口地址由設(shè)計(jì)人員統(tǒng)一規(guī)劃。

R1外網(wǎng)端口(S0/0/0)：

IP地址：40

子網(wǎng)掩碼：

R2外網(wǎng)端口(S0/0/1)：

IP地址：41

子網(wǎng)掩碼：

R1內(nèi)網(wǎng)端口：

IP地址：

子網(wǎng)掩碼：

R2內(nèi)網(wǎng)端口：

IP地址：

子網(wǎng)掩碼：網(wǎng)管PC：

IP地址：

子網(wǎng)掩碼：

網(wǎng)關(guān)：53

Web服務(wù)器：

IP地址：

子網(wǎng)掩碼：

網(wǎng)關(guān)：53

FTP服務(wù)器：

IP地址：

子網(wǎng)掩碼：

網(wǎng)關(guān)：54(服務(wù)器選擇不同的網(wǎng)關(guān)，以實(shí)現(xiàn)負(fù)載分擔(dān))

部門(mén)1的PC：

IP地址：192.168.12.X(其中X的取值范圍為11～100)

子網(wǎng)掩碼：

網(wǎng)關(guān)：53部門(mén)2的PC：

IP地址：192.168.12.Y(其中Y的取值范圍為101～200)

子網(wǎng)掩碼：

網(wǎng)關(guān)：54

5.網(wǎng)絡(luò)安全設(shè)計(jì)

由于在網(wǎng)絡(luò)需求分析中沒(méi)有明確提出網(wǎng)絡(luò)安全方面的需求，因此，根據(jù)具體情況可考慮在R1、R2通往互聯(lián)網(wǎng)的鏈路上增加一道防火墻，以增強(qiáng)網(wǎng)絡(luò)邊界安全。內(nèi)網(wǎng)各計(jì)算機(jī)上可安裝360安全衛(wèi)士及某款正版殺毒軟件，以保證桌面系統(tǒng)安全。任務(wù)5.3配?置?骨?干?網(wǎng)

5.3.1配置路由器交換機(jī)

1.配置R1

①基本配置。

Router>

Router>enable

Router#configt

Router(config)#hostnameR1

R1(config)#ints0/0/0

R1(config-if)#ipaddress40

R1(config-if)#noshutdown

R1(config)#intg0/0

R1(config-if)#ipaddress

R1(config-if)#noshutdown

R1(config-if)#exit②配置路由。

R1(config)#routerrip

R1(config-router)#network

R1(config-router)#network

R1(config-router)#passive-interfaceg0/0

R1(config-router)#exit

R1(config)#③配置VRRP。

R1(config)#track100interfaces0/0/0line-protocol

R1(config-track)#intg0/0

R1(config-if)#vrrp1ip53

R1(config-if)#vrrp1priority120

R1(config-if)#vrrp1preempt

R1(config-if)#vrrp1authenticationmd5key-stringxxx

R1(config-if)#vrrp1track100decrement30

R1(config-if)#vrrp2ip54

R1(config-if)#vrrp2preempt

R1(config-if)#vrrp2authenticationmd5key-stringxxx

R1(config-if)#end

R1#copyrunningstartup-config

Destinationfilename[startup-config]?

Buildingconfiguration...

[OK]

R1#

2.配置R2

①基本配置。

Router>

Router>enable

Router#configt

Router(config)#hostnameR2

R2(config)#ints0/0/1

R2(config-if)#ipaddress41

R2(config-if)#noshutdown

R2(config)#intg0/0

R2(config-if)#ipaddress

R2(config-if)#noshutdown

R2(config-if)#exit②配置路由。

R2(config)#routerrip

R2(config-router)#network

R2(config-router)#network

R2(config-router)#passive-interfaceg0/0

R2(config-router)#exit

R2(config)#③配置VRRP。

R2(config)#track100interfaces0/0/1line-protocol

R2(config-track)#intg0/0

R2(config-if)#vrrp1ip53

R2(config-if)#vrrp1preempt

R2(config-if)#vrrp1authenticationmd5key-stringxxx

R2(config-if)#vrrp2ip54

R2(config-if)#vrrp2priority120

R2(config-if)#vrrp2preempt

R2(config-if)#vrrp2authenticationmd5key-stringxxx

R2(config-if)#vrrp2track100decrement30

R2(config-if)#end

R2#copyrunningstartup-config

Destinationfilename[startup-config]?

Buildingconfiguration...

[OK]

R2#

3.配置內(nèi)網(wǎng)主機(jī)

為了測(cè)試方便，假設(shè)外網(wǎng)中的R3與內(nèi)網(wǎng)R1連接的端口號(hào)為S0/0/0，IP地址為00，子網(wǎng)掩碼為，環(huán)回口IP地址為，子網(wǎng)掩碼為；外網(wǎng)中的R3與內(nèi)網(wǎng)R2連接的端口號(hào)為S0/0/1，IP地址為01，子網(wǎng)掩碼為。對(duì)R3作簡(jiǎn)單配置如下：

Router>enable

Router#configt

Router(config)#hostnameR3

R3(config)#intloopback0

R3(config-if)#ipaddress

R3(config)#ints0/0/0

R3(config-if)#ipaddress00

R3(config-if)#noshutdown

R3(config)#ints0/0/1

R3(config-if)#ipaddress01

R3(config-if)#noshutdown

R3(config-if)#exit

R3(config)#routerrip

R3(config-router)#network

R3(config-router)#exit

R3#copyrunningstartup-config

Destinationfilename[startup-config]?

Buildingconfiguration...

[OK]

R3#

4.檢測(cè)配置效果

①通過(guò)在PC11上pingR3的環(huán)回口檢測(cè)連通性。

PC11>ping

Typeescapesequencetoabort.

Sending5,100-byteICMPEchosto,timeoutis2seconds:

!!!!!

Successrateis100percent(5/5),round-tripmin/avg/max=

16/92/300ms

PC11>②通過(guò)跟蹤路由查看數(shù)據(jù)包經(jīng)過(guò)的路徑。

PC11>trace

Typeescapesequencetoabort.

Tracingtherouteto

140msec60msec36msec//是R1的內(nèi)端口地址

20040msec120msec//00是R3的內(nèi)端口地址

?52msec

PC11>

R1>en

R1#configt

Enterconfigurationcommands,oneperline.EndwithCNTL/Z.

R1(config)#ints0/0/0

R1(config-if)#shutdown

R1(config-if)#

R1(config-if)#end

R1#此時(shí)再在PC11上執(zhí)行trace，執(zhí)行結(jié)果如下：

PC11>trace

Typeescapesequencetoabort.

Tracingtherouteto

172msec92msec32msec(是R2的內(nèi)端口地址)

20156msec136msec*(01是R3的內(nèi)端口地址)

PC11>以上說(shuō)明，從PC11發(fā)出的數(shù)據(jù)包經(jīng)R2到外網(wǎng)R3。

這就是說(shuō)，正常情況下，內(nèi)網(wǎng)部門(mén)1的數(shù)據(jù)包經(jīng)R1到達(dá)外網(wǎng)，而當(dāng)R1出現(xiàn)故障時(shí)，內(nèi)網(wǎng)部門(mén)1的數(shù)據(jù)包改變路徑經(jīng)R2到達(dá)外網(wǎng)，從而保障了內(nèi)部網(wǎng)絡(luò)部門(mén)1與外網(wǎng)的持續(xù)連接。同理，正常情況下，內(nèi)網(wǎng)部門(mén)2的數(shù)據(jù)包經(jīng)R2到達(dá)外網(wǎng)，當(dāng)R2出現(xiàn)故障時(shí)，內(nèi)網(wǎng)部門(mén)2的數(shù)據(jù)包改變路徑經(jīng)R1到達(dá)外網(wǎng)，從而保障了內(nèi)部網(wǎng)絡(luò)部門(mén)2與外網(wǎng)的持續(xù)連接。

5.配置交換機(jī)實(shí)現(xiàn)帶寬倍增

①配置SW1。

SW1(config)#interfaceport-channel1

SW1(config-if)#interfacefa1/10

SW1(config-if)#channel-group1modeon

SW1(config-if)#intfa1/11

SW1(config-if)#channel-group1modeon

SW1(config-if)#intport-channel1

SW1(config-if)#switchportmodetrunk

SW1(config)#interfaceport-channel2

SW1(config-if)#interfacefa1/12

SW1(config-if)#channel-group2modeon

SW1(config-if)#intfa1/13

SW1(config-if)#channel-group2modeon

SW1(config-if)#intport-channel2

SW1(config-if)#switchportmodetrunk

SW1(config-if)#exit

SW1(config)#port-channelload-balancedst-mac//配置EtherChannel的負(fù)載平衡方式

SW1(config)#end

SW1#copyrunningstartup-config

Destinationfilename[startup-config]?

Buildingconfiguration...

[OK]

SW1#②配置SW2。

SW2(config)#interfaceport-channel1

SW2(config-if)#interfacefa1/10

SW2(config-if)#channel-group1modeon

SW2(config-if)#intfa1/11

SW2(config-if)#channel-group1modeon

SW2(config-if)#intport-channel1

SW2(config-if)#switchportmodetrunk

SW2(config-if)#exit

SW2(config)#port-channelload-balancedst-mac//配置EtherChannel的負(fù)載平衡方式

SW2(config)#end

SW2#copyrunningstartup-config

Destinationfilename[startup-config]?

Buildingconfiguration...

[OK]

SW2#③配置SW3。

SW3(config)#interfaceport-channel2

SW3(config-if)#interfacefa1/10

SW3(config-if)#channel-group2modeon

SW3(config-if)#intfa1/11

SW3(config-if)#channel-group2modeon

SW3(config-if)#intport-channel2

SW3(config-if)#switchportmodetrunk

SW3(config-if)#exit

SW3(config)#port-channelload-balancedst-mac//配置EtherChannel的負(fù)載平衡方式

SW3(config)#end

SW3#copyrunningstartup-config

Destinationfilename[startup-config]?

Buildingconfiguration...

[OK]

SW3#

6.查看EtherChannel信息

①在交換機(jī)SW1上查看。

SW1#showetherchannelsummary

Flags:D-downP-inport-channel

I-stand-alone?S-suspended

R-Layer3?S-Layer2

U-inuse

GroupPort-channelPorts

-----?+------------+----------------------------------

1Po1(SU)Fa1/10(P)Fa1/11(P)

2Po2(SU)Fa1/12(P)Fa1/13(P)

SW1#②在交換機(jī)SW2上查看。

SW2#showetherchannelsummary

Flags:D-downP-inport-channel

I-stand-alone?S-suspended

R-Layer3?S-Layer2

U-inuse

GroupPort-channelPorts

-----+------------?+-------------------------------

1Po1(SU)Fa1/10(P)Fa1/11(P)③在交換機(jī)SW3上查看。

SW2#

SW3#showetherchannelsummary

Flags:D-downP-inport-channel

I-stand-alone?S-suspended

R-Layer3?S-Layer2

U-inuse

GroupPort-channelPorts

-----?+------------+--------------------------------

2Po2(SU)Fa1/12(P)Fa1/13(P)

SW3#5.3.2網(wǎng)關(guān)冗余和負(fù)載均衡知識(shí)要點(diǎn)

1.?HSRP

(1)?HELLO：HELLO消息通知其他路由器發(fā)送路由器的HSRP優(yōu)先級(jí)和狀態(tài)信息，HSRP路由器默認(rèn)為每3秒發(fā)送一個(gè)HELLO消息。

(2)?Coup：當(dāng)一個(gè)備用路由器變?yōu)橐粋€(gè)活動(dòng)路由器時(shí)發(fā)送一個(gè)Coup消息。

(3)?Resign：當(dāng)活動(dòng)路由器要死機(jī)或者當(dāng)有優(yōu)先級(jí)更高的路由器發(fā)送HELLO消息時(shí)，就主動(dòng)發(fā)送一個(gè)Resign消息。

HSRP路由器有以下六種狀態(tài)：

(1)?Initial：HSRP啟動(dòng)時(shí)的狀態(tài)，HSRP還沒(méi)有運(yùn)行，一般是在改變配置或接口剛剛啟動(dòng)時(shí)進(jìn)入該狀態(tài)。

(2)?Learn：路由器已經(jīng)得到了虛擬IP地址，但是它既不是活動(dòng)路由器也不是備份路由器。它一直監(jiān)聽(tīng)從活動(dòng)路由器和備份路由器發(fā)來(lái)的HELLO報(bào)文。

(3)?Listen：路由器正在監(jiān)聽(tīng)HELLO消息。

(4)Speak：在該狀態(tài)下，路由器定期發(fā)送HELLO報(bào)文，并且積極參加活動(dòng)路由器或備份路由器的競(jìng)選。

(5)?Standby：當(dāng)活動(dòng)路由器失效時(shí)路由器準(zhǔn)備接管數(shù)據(jù)傳輸功能。

(6)?Active：路由器執(zhí)行數(shù)據(jù)傳輸功能。

2.?VRRP

VRRP的工作原理和HSRP非常類(lèi)似，不過(guò)VRRP是國(guó)際標(biāo)準(zhǔn)，允許在不同廠(chǎng)商的設(shè)備之間運(yùn)行。VRRP中虛擬網(wǎng)關(guān)的地址可以和接口上的地址相同，VRRP中的接口只有三個(gè)狀態(tài)：初始狀態(tài)(Initialize)、主狀態(tài)(Master)和備份狀態(tài)(Backup)。VRRP只有通告報(bào)文這一種報(bào)文形式。

3.?GLBP

HSRP和VRRP能實(shí)現(xiàn)網(wǎng)關(guān)的冗余，但是，如果要實(shí)現(xiàn)負(fù)載均衡，則需要?jiǎng)?chuàng)建多個(gè)組，并讓客戶(hù)端指向不同的網(wǎng)關(guān)。GLBP也是Cisco的專(zhuān)有協(xié)議，不僅提供冗余網(wǎng)關(guān)功能，還在各網(wǎng)關(guān)之間提供負(fù)載均衡。GLBP也是由多個(gè)路由器組成一個(gè)組，虛擬出一個(gè)網(wǎng)關(guān)。GLBP選舉出一個(gè)AVG(ActiveVirtualGateway，活動(dòng)虛擬網(wǎng)關(guān))，AVG不是負(fù)責(zé)轉(zhuǎn)發(fā)數(shù)據(jù)的。

AVG分配最多四個(gè)MAC地址給一個(gè)虛擬網(wǎng)關(guān)，并在計(jì)算機(jī)進(jìn)行ARP請(qǐng)求時(shí)，用不同的MAC(MediaAccessControl，介質(zhì)訪(fǎng)問(wèn)控制)進(jìn)行響應(yīng)，這樣計(jì)算機(jī)實(shí)際就把數(shù)據(jù)發(fā)送給不同的路由器了，從而實(shí)現(xiàn)負(fù)載均衡。在GLBP中，真正負(fù)責(zé)轉(zhuǎn)發(fā)數(shù)據(jù)的是AVF(ActiveVirtualForwarder，活動(dòng)虛擬轉(zhuǎn)發(fā)器)，GLBP會(huì)控制GLBP組中哪個(gè)路由器是哪個(gè)MAC地址的活動(dòng)路由器。5.3.3實(shí)現(xiàn)網(wǎng)關(guān)冗余和負(fù)載均衡技能要點(diǎn)

1.實(shí)現(xiàn)網(wǎng)關(guān)冗余的關(guān)鍵

R1(config)#track100interfaces0/0/0line-protocol

R1(config-track)#intg0/0

R1(config-if)#vrrp1ip53

R1(config-if)#vrrp1priority120

R1(config-if)#vrrp1preempt

R1(config-if)#vrrp1authenticationmd5key-stringxxx

R1(config-if)#vrrp1track100decrement30

R1(config-if)#vrrp2ip54

R1(config-if)#vrrp2preempt

R1(config-if)#vrrp2authenticationmd5key-stringxxx

R1(config-if)#end

R2(config)#track100interfaces0/0/1line-protocol

R2(config-track)#intg0/0

R2(config-if)#vrrp1ip53

R2(config-if)#vrrp1preempt

R2(config-if)#vrrp1authenticationmd5key-stringxxx

R2(config-if)#vrrp2ip54

R2(config-if)#vrrp2priority120

R2(config-if)#vrrp2preempt

R2(config-if)#vrrp2authenticationmd5key-stringxxx

R2(config-if)#vrrp2track100decrement30

R2(config-if)#end

2.實(shí)現(xiàn)負(fù)載均衡的關(guān)鍵

實(shí)現(xiàn)負(fù)載均衡的關(guān)鍵是在R1、R2上配置兩個(gè)“vrrp”以及兩個(gè)虛擬網(wǎng)關(guān)“53”和“54”，且在內(nèi)網(wǎng)中一部分主機(jī)使用網(wǎng)關(guān)“53”，而另一部分主機(jī)使用網(wǎng)關(guān)“54”。如果內(nèi)網(wǎng)中所有節(jié)點(diǎn)只用其中的一個(gè)網(wǎng)關(guān)，如“53”，則正常情況下所有數(shù)據(jù)包都經(jīng)過(guò)路由器R1到達(dá)外網(wǎng)，而R2閑置。

任務(wù)5.4小企業(yè)骨干網(wǎng)核心層改進(jìn)設(shè)計(jì)

5.4.1核心層改進(jìn)設(shè)計(jì)示例

在任務(wù)5.2骨干網(wǎng)邏輯結(jié)構(gòu)設(shè)計(jì)中，核心交換機(jī)S1成為網(wǎng)絡(luò)瓶頸，如果S1出現(xiàn)故障，則整個(gè)網(wǎng)絡(luò)將會(huì)癱瘓。改進(jìn)后的拓?fù)淙鐖D5-2所示。圖5-2改進(jìn)后的小企業(yè)骨干網(wǎng)拓?fù)涓倪M(jìn)后，對(duì)核心