企业网组网设计与仿真实现
Core1(config-if)#standby 11 preempt
Core1(config-if)#standby 11 authentication md5 gdin_alex (2)Core2配置
Core2(config)#interface vlan 10
Core2(config-if)#ip address 192.168.10.3 255.255.255.0 Core2(config-if)#standby 10 ip 192.168.10.1 Core2(config-if)#standby 10 preempt
Core2(config-if)#standby 10 authentication md5 gdin_alex
Core2(config)#interface vlan 11
Core2(config-if)#ip address 192.168.11.3 255.255.255.0 Core2(config-if)#standby 11 ip 192.168.11.1 Core2(config-if)#standby 11 priority 150 Core2(config-if)#standby 11 preempt
Core2(config-if)#standby 11 track FastEthernet 0/6 100 Core2(config-if)#standby 11 authentication md5 gdin_alex 其他VLAN虚接口类似上述配置进行操作即刻。 5、配置STP实现VLAN负载均衡
思科交换机上是以PVST/PVST+技术来控制STP优先级。根据表4.2的要求信息,这里简单描述Core1和Core2在VLAN10和VLAN11上的PVST配置。
(1)Core1配置
Core1(config)# spanning-tree vlan 10 root primary Core1(config)# spanning-tree vlan 11 root secondary (2)Core2配置
Core2(config)# spanning-tree vlan 10 root secondary Core2(config)# spanning-tree vlan 11 root primary
配置完毕后,在核心交换机和相关链路运行正常情况下,VLAN10的流量将通过交换机Core1进行处理,VLAN11的流量既通过Core2进行处理。如果其中一台核心交换机或其中一条核心交换机相连的链路出现故障,VLAN流量将转移到备份设备上处理。其他VLAN的PVST配置参照上述配置进行操作即刻。
20
企业网组网设计与仿真实现
4.1.4 无线访问
无线局域网(WLAN,Wireless Local Area Network)可定义为,使用射频(RF,Radio Frequency)微波(Microwave)或红外线(Infrared),在一个有限地域范围内互连设备的通信系统。一个无线局域网可作为有线局域网的扩展来使用,也可以独立作为有线局域网的替代设施。因此,无线局域网提供了很强的组网灵活性。
要连接上WLAN网络,必须要在主机PC上设置好与WLAN网络相同的SSID,才能连接上无线信号。SSID(Service Set Identifier)也可以写为ESSID,用来区分不同的网络,最多可以有32个字符,无线网卡设置了不同的SSID就可以进入不同网络,SSID通常由AP广播出来,通过操作系统自带的扫描功能可以查看当前区域内的SSID。简单说,SSID就是一个局域网的名称,只有设置为名称相同SSID的值的电脑才能互相通信。
在本设计中,将把WLAN用作有线局域网的补充来实施,在大中型企业网中按需而设地进行无线区域的规划。如图4.5所示,本设计对会议室和访客厅进行无线区域的规划。因为在本设计中WLAN方案只作为有线局域网的补充,加上实际规划是以地理位置做除了区域区分,因此,在本设计中将采用单SSID方案,即一个AP会话一个SSID。但出于安全考虑将不广播SSID,此时用户就要手工设置SSID才能进入相应的网络。
图4.5 AP接入点规划
将会议室的AP设备的SSID设置为Meeting-Room,不设置密码,如图4.6(a)所示;访客厅的AP设备的SSID设置为Guest,设置密码为gdin_alex,如图4.6(b)所示;把他们的传输双工设置为全双工,如图4.6(c)所示。上述步骤均可在AP的GUI界面进行。
21
企业网组网设计与仿真实现
(a)会议室无线AP设置 (b)访客厅无线AP设置
(c)速率与双工设置 图4.6 无线AP设置
由于模拟环境的不支持,本设计中设置的AP只是简单的无线接入设备,只要设置要SSID和密码即刻使用。因此在本设计中将不对AP配置进行详细介绍,详细的访问控制设置将在安全加固模块进行介绍。
4.2 广域网接入模块设计
交换模块由GNS3进行模拟仿真。由于模拟仿真软件的限制,并不能很好地将Cisco Packet Tracer结合起来,因而下文将以分模块进行配置介绍。具体仿真软件拓扑图如图4.7所示。
图4.7 广域网接入模块仿真拓扑
22
企业网组网设计与仿真实现
按照图3.1的网络拓扑设计,仿真软件拓扑上设置有一台ASA,一台路由器,两台多层交换机,和一台二层交换机。本模块将对内网访问广域网、广域网访问公共服务器群,路由连通性等方面进行配置介绍。由于仿真软件的差异,设备的接口与前文描述的稍有不同,但已做到尽量相近。
4.2.1 路由连通
这一小节将对拓扑上的三层设备进行路由的配置,使他们能够正确地把数据传输到指定的位置。
1、IP地址规划
根据表3.1的规划,内部路由地址将使用192.168.0.X/30网段,根据拓扑需要,一共使用6个IP,4个网段,其中防火墙FW的e3为外部服务器群的网关口,因而使用192.168.70.0/24网段,具体会话如表4.3所示。
表4.3 内部路由IP地址规划
设备 Core1 Core2 FW 接口号 F1/6 F1/6 E1(inside1) E2(inside2) E0(outside) E3(dmz) Gateway F0/0 地址、掩码 192.168.0.1/30 192.168.0.5/30 192.168.0.2/30 192.168.0.6/30 192.168.0.9/30 192.168.70.1/24 192.168.0.10/30 网络号 192.168.0.0 192.168.0.4 192.168.0.0 192.168.0.4 192.168.0.8 192.168.70.0 192.168.0.8 注:网络号地址是用于动态路由协议配置使用
2、地址配置
(1)这里以Core1为例,简单介绍三层设备的接口配置 Core1(config)#interface fastEthernet 1/6 Core1(config-if)#no switchport
Core1(config-if)#ip address 192.168.0.1 255.255.255.252 (2)这里以FW为例,简单介绍防火墙的接口配置
由于cisco ASA产品与路由器交换机的系统有差异,配置命令稍有差异。
23
企业网组网设计与仿真实现
FW(config)# interface ethernet 0/1
FW(config-if)# ip address 192.168.0.2 255.255.255.252 FW(config-if)# nameif inside1 FW(config-if)# security-level 100 FW(config-if)# no shutdown
FW(config)# interface ethernet 0/2
FW(config-if)# ip address 192.168.0.6 255.255.255.252 FW(config-if)# nameif inside2 FW(config-if)# security-level 100 FW(config-if)# no shutdown
FW(config)# interface ethernet 0/0
FW(config-if)# ip address 192.168.0.9 255.255.255.252 FW(config-if)# nameif outside FW(config-if)# no shutdown
FW(config)# interface ethernet 0/3
FW(config-if)# ip address 192.168.70.1 255.255.255.0 FW(config-if)# nameif dmz FW(config-if)# security-level 50 FW(config-if)# no shutdown 3、动态路由协议配置
本小点将对三层端口进行地址配置和动态路由协议的配置。
由于考虑到产品扩展和网络规模的增加,这里不先用思科专用EIGRP协议,而是选用工业标准的OSPF协议。
(1)这里以Core1为例,简单介绍三层设备的OSPF配置(Core2相似) Core1(config)#router ospf 1
Core1(config-router)#network 192.168.0.0 0.0.0.3 area 0
在这里还要把各VLAN网段也通告出去。根据表4.2的地址网段进行配置。
24