项目五 构建与互联网可靠连接的小企业骨干网 项目五 构建与互联网可靠连接的小企业骨干网 项目描述 本项目以某个小型企业网络为原型构建一企业内部骨干网络。该企业信息点分布在一幢六层楼的建筑物内,要求内部网络与因特网尽可能做到7×24小时连通。
项目五 构建与互联网可靠连接的小企业骨干网 项目五 构建与互联网可靠连接的小企业骨干网 任务5.1与互联网可靠连接的小企业骨干网需求分析 任务5.2 骨干网逻辑结构设计 任务5.3 配置骨干网 任务5.4 小企业骨干网核心层改进设计
任务5.1 与互联网可靠连接的小企业骨干网需求分析 任务5.1 与互联网可靠连接的小企业骨干网需求分析 本任务是要根据某个小型企业构建企业内部网的实际情况,分析所建网络的功能需求、性能需求、环境需求、其他子系统需求及设计约束条件等,为具体设计网络提供可靠的依据。 根据对企业相关人员的调查及实地考察,总结归纳出以下信息: 本任务只考虑企业内容骨干网络,即核心层及汇聚层,接入层的设计不在本任务范围内。 网络分布在一幢六层楼的建筑物内,水平和垂直布线长度不会超过100米。 要求内部网络与因特网尽可能做到7×24小连接。 汇聚层与核心层之间的交打印机目前是用100M的以绞线连接。 汇聚层与核心层之间需要在现有的基础上扩大带宽。
任务5.2 骨干网逻辑结构设计 (1)骨干网拓扑结构设计 根据以上需求分析及任务要求,将中心机房部署在四楼,核心交换机、路由器、防火墙等网络设备放置在中心机房,各类服务器及网管计算机也放置在中心机房。每层楼配置一台汇聚层交换机。中心机房核心交换机通过两台路由器接入互联网,各楼层汇聚层交换机与中心机房核心交换机通过双绞线相连接。为了满足带宽要求,中心机房的核心交换机与两台路由器通过千兆口相连,各楼层汇聚层交换机与中心机房核心交换机通过两条双绞线互连。网络拓扑如图5-1所示。
(2)物理层技术选择 由于网络分布在一幢六层楼的建筑物内,水平和垂直布线长度不会超过100米,中心机房核心交换机与路由器R1、R2的连接采用六类非屏蔽双绞线连接,并且连接在1000Mb/s端口上;而中心机房核心交换机与汇聚层交换机S2、S3的连接采用超五类非屏蔽双绞线,并且连接在100Mb/s端口上。其它计算机与交换机的连接,均可采用超五类非屏蔽双绞线,计算机网卡可选用10/100Mb/s自适应网卡或100Mb/s网卡。 (3)局域网技术选择与应用 根据需求分析及网络拓扑,采用虚拟路由冗余协议 (Virtual Router Redundancy Protocol,简称VRRP)实现网关冗余和负载均衡;中心机房的核心交换机与各楼层的汇聚层交换机采用链路聚合技术,以扩大线路带宽。
(4)IP地址规划 路由器R1、R2外网端口的地址由ISP(Internet Service Provider,互联网服务提供商)提供。内网端口地址由设计人员统一规划。 图5-1 小企业骨干网拓扑
R1外网端口(s0/0/0): IP地址: 60. 186. 201. 140 子网掩码:255. 255. 255 R1外网端口(s0/0/0): IP地址: 60.186.201.140 子网掩码:255.255.255.0 R2外网端口(s0/0/1): IP地址: 60.186.201.141 子网掩码:255.255.255.0 R1内网端口: IP地址: 192.168.12.1 子网掩码:255.255.255.0 R2内网端口: IP地址: 192.168.12.2 子网掩码:255.255.255.0
网管PC: IP地址:192.168.12.8 子网掩码:255.255.255.0 网关:192.168.12.253 Web服务器: IP地址:192.168.12.3 子网掩码:255.255.255.0 网关:192.168.12.253 FTP服务器: IP地址:192.168.12.4 子网掩码:255.255.255.0 网关:192.168.12.254
部门1的PC机: IP地址:192. 168. 12. X (其中X取值范围是:11-100) 子网掩码:255. 255. 255 部门1的PC机: IP地址:192.168.12. X (其中X取值范围是:11-100) 子网掩码:255.255.255.0 网关:192.168.12.253 部门2的PC机: IP地址:192.168.12. Y (其中Y取值范围是:101-200) 子网掩码:255.255.255.0 网关:192.168.12.254
(5)网络安全设计 由于在网络需求分析中没有明确提出网络安全方面的需求,所以,根据具体情况可考虑在R1、R2通往互联网的链路上增加一台防火墙,以增强网络边界安全。内网各计算机上可安装360安全卫士及正版杀毒软件,以保证桌面系统安全。
任务5.3 配置骨干网 5.3.1 配置路由器交换机 (1)配置R1 ①基本配置: ②配置路由 ③配置VRRP (2)配置R2 ①基本配置: ②配置路由 ③配置VRRP (具体配置见演示)
(3)配置内网主机 根据设计5.2(4)中的规划配置内网主机IP,具体配置过程略。为了测试方便,假设外网中的R3与内网R1连接的端口号为S0/0/0,IP地址为60.186.201.100,子网掩码为 255.255.255.0,环回口IP地址为3.3.3.3,子网掩码为255.255.255.0;外网中的R3与内网R2连接的端口号为S0/0/1,IP地址为60.186.201.101,子网掩码为 255.255.255.0。对R3作简单配置如下:
(4)检测配置效果 通过在PC11上ping R3的环回口3. 3. 3. 3检测连通性. 。 PC11>ping 3. 3. 3 (4)检测配置效果 通过在PC11上ping R3的环回口3.3.3.3检测连通性.。 PC11>ping 3.3.3.3 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 3.3.3.3, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 16/92/300 ms PC11> 以上说明,PC11到外网是连通的。
通过跟踪路由查看数据包经过的路径。 PC11>trace 3. 3. 3 通过跟踪路由查看数据包经过的路径。 PC11>trace 3.3.3.3 Type escape sequence to abort. Tracing the route to 3.3.3.3 1 192.168.12.1 40 msec 60 msec 36 msec //192.168.12.1 是R1的内端口地址 2 60.186.201.100 40 msec 120 msec //60.186.201.100是R3的内端口地址 192.168.12.2 52 msec PC11> 以上说明,从PC11发出的数据包经R1到外网R3。如果R1出现故障,情况会如何呢?为了测试这个效果,我们将R1的外端口关闭,操作如下:
R1>en R1#config t Enter configuration commands, one per line R1>en R1#config t Enter configuration commands, one per line. End with CNTL/Z. R1(config)#int s0/0/0 R1(config-if)#shutdown R1(config-if)# R1(config-if)#end R1#
此时再在PC11上执行trace 3. 3. 3. 3,执行结果如下: PC11>trace 3. 3. 3 此时再在PC11上执行trace 3.3.3.3,执行结果如下: PC11>trace 3.3.3.3 Type escape sequence to abort. Tracing the route to 3.3.3.3 1 192.168.12.2 72 msec 92 msec 32 msec (192.168.12.2 是R2的内端口地址) 2 60.186.201.101 56 msec 136 msec * (60.186.201.101是R3的内端口地址) PC11>
以上说明,从PC11发出的数据包经R2到外网R3。 这就是说,正常情况下,内网部门1的数据包经R1到达外网,而当R1出现故障时,内网部门1的数据包改变路径经R2到达外网,从而保障了内部网络部门1与外网的持续连接。同理,正常情况下,内网部门2的数据包经R2到达外网,当R2出现故障时,内网部门2的数据包改变路径经R1到达外网,从而保障了内部网络部门2与外网的持续连接。 此种设计,同时实现了网关冗余和负载分担。 (5)配置交换机实现带宽倍增 ①配置SW1 ②配置SW2
③配置SW3 (6)查看etherchannel信息 ①在交换机SW1上查看 SW1#show etherchannel summary Flags: D - down P - in port-channel I - stand-alone s - suspended R - Layer3 S - Layer2 U - in use Group Port-channel Ports -----+------------+------------------------------------------------------- 1 Po1(SU) Fa1/10(P) Fa1/11(P) 2 Po2(SU) Fa1/12(P) Fa1/13(P) SW1# 从以上可以看出,SW1的两个 EtherChannel (Po1、Po2)已经形成,“SU”表示 EtherChannel 正常,如果显示为“SD”,把EtherChannel 接口关掉重新开启后再查看试试。
②在交换机SW2上查看 SW2#show etherchannel summary Flags: D - down P - in port-channel I - stand-alone s - suspended R - Layer3 S - Layer2 U - in use Group Port-channel Ports -----+----------------------------------------------------- 1 Po1(SU) Fa1/10(P) Fa1/11(P)
③在交换机SW3上查看 SW2# 从以上可以看出,SW2的一个 EtherChannel (Po1)已经形成,且工作正常。 SW3#show etherchannel summary Flags: D - down P - in port-channel I - stand-alone s - suspended R - Layer3 S - Layer2 U - in use Group Port-channel Ports -----+--------------------------------------------------- 2 Po2(SU) Fa1/12(P) Fa1/13(P)
SW3# 从以上可以看出,SW3的一个 EtherChannel (Po2)已经形成,且工作正常。
5.3.2 网关冗余和负载平衡知识要点 作为网关的路由器出现故障了怎么办法?HSRP(Hot Standby Router Protocol,热备份路由器协议)和VRRP (Virtual Router Redundancy Protocol,虚拟路由冗余协议)是最常用的网关冗余技术,HSRP 和 VRRP 类似,由多个路由器共同组成一个组,虚拟出一个网关,其中的一台路由器处于活动状态,当它故障时由备份路由器接替它的工作,从而实现对用户透明的切换。然而我们希望在冗余的同时,能同时实现负载平衡,以充分利用设备的能力。GLBP(Gateway Load Balance Protocol,网关负载均衡协议)同时提供了冗余和负载平衡的能力,但GLBP协议在中高端设备才能支持。另外,VRRP是公用标准协议,其它各厂商均可支持,但HSRP和GLBP协议均为思科私有协议,只在思科平台或其合作伙伴平台上能支持。
(1)HSRP HSRP 是 Cisco 的专有协议。HSRP把多台路由器组成一个“热备份组”,形成一个虚拟路由器。这个组内只有一个路由器是活动的(Active),并由它来转发数据包,如果活动路由器发生了故障,备份路由器将成为活动路由器。从网络内的主机来看,网关并没有改变。HSRP 路由器利用 HELLO 包来互相监听各自的存在。当路由器长时间没有接收到HELLO包,就认为活动路由器故障,备份路由器就会成为活动路由器。HSRP 协议利用优先级决定哪个路由器成为活动路由器。如果一个路由器的优先级比其它路由器的优先级高,则该路由器成为活动路由器。路由器的缺省优先级是100。 一个组中,最多有一个活动路由器和一个备份路由器。
(2)VRRP VRRP 的工作原理和HSRP非常类似,不过VRRP是国际标准,允许在不同厂商的设备之间运行。VRRP中虚拟网关的地址可以和接口上的地址相同,VRRP中接口只有3个状态: 初始状态(Initialize)、主状态(Master)、备份状态(Backup)。VRRP有只有通告报文这一种报文形式。
3)GLBP HSRP和VRRP能实现网关的冗余,但是,如果要实现负载均衡,需要创建多个组,并让客户端指向不同的网关。GLBP也是Cisco的专有协议,不仅提供冗余网关功能,还在各网关之间提供负载均衡。GLBP也是由多个路由器组成一个组,虚拟一个网关出来。GLBP选举出一个AVG(Active Virtual Gateway,活动虚拟网关),AVG不是负责转发数据的。AVG分配最多四个MAC地址给一个虚拟网关,并在计算机进行ARP请求时,用不同的MAC进行响应,这样计算机实际就把数据发送给不同的路由器了,从而实现负载平衡。在GLBP中,真正负责转发数据的是AVF(Active Virtual Forwarder,活动虚拟转发器),GLBP会控制GLBP组中哪个路由器是哪个MAC地址的活动路由器。
5.3.3 实现网关冗余和负载平衡技能要点 (1)实现网关冗余的关键 实现网关冗余的关键是需要两个路由器,其中一个作为主路由,另一个作为备份路由。即在正常情况下数据包通过此路由发出,而在此路由出现故障时,备份路由成为主路由工作,从而保障网络的正常工作。一个路由器是主路由还是备份路由,是通过优先级来实现的。默认情况下,优先级是100。
(2)实现负载平衡的关键 实现负载平衡的关键是在R1、R2上配置了两个“vrrp”,两个虚拟网关“192. 168. 12 (2)实现负载平衡的关键 实现负载平衡的关键是在R1、R2上配置了两个“vrrp”,两个虚拟网关“192.168.12.253”和“192.168.12.254”,且在内网中一部份主机使用网关“192.168.12.253”,而另一部份主机使用网关“192.168.12.254”。 如果内网中所有节点只用其中的一个网关,如“192.168.12.253”,则正常情况下所有数据包都经过路由器R1到达外网,而R2闲置。所以,要充分利用现有资源,让内网中一部份主机使用网关“192.168.12.253”,而另一部份主机使用网关“192.168.12.254”,以实现负载平衡。
任务5. 4 小企业骨干网核心层改进设计 5. 4. 1 核心层改进设计示例 在任务5 任务5.4 小企业骨干网核心层改进设计 5.4.1 核心层改进设计示例 在任务5.2 骨干网逻辑结构设计中,核心交换机S1成为网络瓶颈,如果S1出现故障,则整个网络出现瘫痪。因此,对于与互联网联通要求较高的企业,需对骨干网核心层作改进设计。改进后的拓扑如图5-2所示。
图5-2改进后的小企业骨干网拓扑
5.4.2 小企业骨干网设计方案集锦 设计方案集锦之一拓扑如图5-3所示。 图5-3 设计方案集锦(之一) 5.4.2 小企业骨干网设计方案集锦 设计方案集锦之一拓扑如图5-3所示。 图5-3 设计方案集锦(之一)
图5-4 设计方案集锦(之二)
图5-5 设计方案集锦(之三)