实训指导64网络冗余配置与实现课件

1、计算机网络安全技术与实施学习情境6：实训任务6.4国家高等职业教育网络技术专业教学资源库网络冗余配置与实现内容介绍任务场景1任务相关工具软件介绍2任务设计、规划3任务实施及方法技巧4任务检查与评价5任务总结6任务场景任务相关工具软件介绍可以用小凡或GNS软件，建议基于真实硬件实现本任务互联网Hello任务设计、规划配置网络冗余（VLAN+HSRP）互联网RARCRBS0S1E0200.1.1.0/241.0.0.0/302.0.0.0/30S0S1E0 172.16.1.1/24172.16.1.2/24E0 FA0/14FA0/14FA0/15FA0/15FA0/1FA0/1FA0/2-3F

2、A0/2-3VLAN2192.168.21.0/24VLAN3192.168.31.0/24S1S2任务实施及方法技巧网络冗余配置与实现相关知识与原理介绍任务实施及方法技巧1、虚拟路由冗余协议 路由器是整个网络的核心，如果路由器发生故障，将导致“信息孤岛”，造成的损失难以估计。因此，对路由器采用热备份是提高网络可靠性的必然选择。在一个路由器完全不能工作的情况下，它的作用被系统中的另一个备份路由器完全接管，直至出现问题的路由器恢复正常。虚拟路由冗余协议(vrrp)就是一种很好的解决方案。VRRP路由器是指运行VRRP的路由器，一组VRRP路由器协同工作，共同构成一台虚拟路由器。虚拟路由器是指VR

3、RP协议创建的，对外表现为一个具有唯一固定IP地址和MAC地址的逻辑路由器。处于同一个VRRP组中的路由器具有两种互斥的角色：主控路由器和备份路由器，一个VRRP组中有且只有一台处于主控角色的路由器，可以有一个或者多个处于备份角色的路由器。VRRP协议使用选择策略从路由器组中选出一台作为主控，负责ARP相应和转发IP数据包，组中的其它路由器作为备份的角色处于待命状态。当由于某种原因主控路由器发生故障时，备份路由器能在几秒钟的时延后升级为主路由器。由于此切换非常迅速而且不用改变IP地址和MAC地址，对终端使用者系统是透明的。任务实施及方法技巧2、热备份路由器协议 热备份路由协议（HSRP， Ho

4、t Standby Router Protocol ）也是一种解决方案。在源主机无法动态地学习到首跳路由器IP地址的情况下，防止首跳路由的失败。一组运行HSRP协议的路由器组成一台虚拟路由器。如下图所示。活动路由器回应客户端对虚拟路由器的ARP查询，转发需要通过虚拟路由器转发的数据包数据包，发送Hello包；待机路由器是活动路由器的一个候选者，侦听hello包。HSRP组中具有最高优先级的路由器成为活动路由器，默认优先级是100。优先级相同的情况下，具有最小IP地址的路由器成为活动路由器。在同一个子网中，可以使用多组HSRP实现负载均衡和故障转移。互联网Hello3、生成树协议 生成树协议（

5、STP ，spanning-tree protocol）是二层管理协议。它提供了多链路冗余，通过交换机构建无环路网络的方法来实现。在一个扩展的局域网中参与STP的所有交换机之间通过交换桥协议数据单元BPDU（Bridge Protocol Data Unit）来实现；为稳定的生成树拓扑结构选择一个根桥，根桥是整个交换网络的参考点，来维护整个网络的拓扑结构；每个交换网段选择一台指定交换机；将冗余路径上的交换机置为Blocking，来消除网络中的环路。IEEE 802.1d是最早关于STP的标准，它提供了网络的动态冗余切换机制。STP使您能在网络设计中部署备份线路，并且保证：在主线路正常工作时，备

6、份线路是关闭的；当主线路出现故障时自动使能备份线路，切换数据流。任务实施及方法技巧4、思科VLAN中继协议 VLAN 中继协议（VTP）是思科公司私有的二层协议，主要控制网络范围内 VLANs 的添加、删除和重命名。VTP在特定的交换机上实现VLAN的集中管理，减少了交换网络中的管理事务。当用户为 VTP 服务器配置新 VLAN 时，可以通过域内所有交换机分配 VLAN，在管理域中维护VLAN配置的同步，避免在其它交换机上配置相同的 VLAN。 通过 VTP，其域内的所有交换机都清楚所有的 VLANs 情况，但当 VTP 可以建立多余流量时情况例外。VTP Pruning 技术正可以消除该多余

7、流量。VTP只通过TRUNK端口发送管理信息。缺省方式下，所有Cisco Catalyst交换机都被配置为 VTP 服务器。这种情形适用于 VLAN 信息量小且易存储于任意交换机（NVRAM）上的小型网络。任务实施及方法技巧任务实施及方法技巧网络冗余配置与实现VLAN+HSRP的配置与实现任务实施及方法技巧基于GNS配置网络冗余（HSRP）任务实施及方法技巧 按照规划设计图进行配置，参考配置如下：1、主机配置：IP为192.168.1.10/24，网关为192.168.1.254（HSRP组的虚拟IP地址）。2、路由器R1配置配置接口：Interface f0/0Ip add 1.0.0.1

8、255.0.0.0no shutdownIp nat outsideInterface f0/1Ip add 192.168.1.11 255.255.255.0no shutdownstandby 1 ip 192.168.1.254standby 1 priority 200 standby 1 preempt standby 1 track f0/0 110Ip nat inside配置路由：Ip route 0.0.0.0 0.0.0.0 1.0.0.2配置NAT：access-list 1 permit 192.168.1.0 0.0.0.255ip nat inside sourc

9、e list 1 interface f0/0 overload 任务实施及方法技巧3、路由器R3配置配置接口：Interface f0/0Ip add 1.0.0.2 255.0.0.0no shutdownInterface f0/1Ip add 2.0.0.2 255.0.0.0no shutdowninterface loopback 0Ip add 200.1.1.1 255.255.255.0no shutdown任务实施及方法技巧1、网络冗余功能 我们希望能在网络内提供趋于100的数据转发能力，尽量保证在路由器出现故障的情况下，继续发往该路由器的数据包不会丢失，能够自动由其它路由

10、器发送出去。可通过一个虚拟的路由器来实现的。子网内的主机以该虚拟路由器作为缺省网关并向其发送数据，而各个启动了HSRP的路由器通过竞争来担当该虚拟路由器的角色并负责这些数据的转发。负责转发发向虚拟路由器的数据包的那台路由器为Active状态，其它一个或多个路由器作为Standby状态。当Active路由器失效时，Standby路由器通过与Active路由器的信息交互和计时器来自动取缔原来的路由器，将自身变为Active，继续负责发往虚拟路由器的数据转发工作。 2、任务构成 在本工任务中，有3类设备需要配置。PC机：配置IP地址和网关； 交换机：配置PVST、VTP；路由器：配置HSRP、静态路

11、由、NAT。任务实施及方法技巧任务布置：可每3人为一组，学生机通过局域网互联模拟完成工作任务的内容。要求如下，VLAN2和VLAN3能互相通信；RA和RC是企业边界路由器，启用HSRP实现冗余，企业用户上网首选RA作为网关，次选为RC ；交换网络里将S1设置为VLAN2 的根桥，将S2设置为VLAN3的根桥；使用PVST配置VLAN负载均衡， VLAN2 从左边的链路走， VLAN3 从右边的链路走。互联网RARCRBS0S1E0200.1.1.0/241.0.0.0/302.0.0.0/30S0S1E0 172.16.1.1/24172.16.1.2/24E0 FA0/14FA0/14FA0

12、/15FA0/15FA0/1FA0/1FA0/2-3FA0/2-3VLAN2192.168.21.0/24VLAN3192.168.31.0/24S1S2任务实施及方法技巧 按照规划设计图进行配置，参考配置如下：1、VLAN2 内的某主机配置IP为192.168.21.1/24，网关为172.16.1.254（HSRP组的虚拟IP地址）； VLAN3 内的某主机配置IP为192.168.31.1/24，网关为172.16.1.254（HSRP组的虚拟IP地址） 。2、交换机S1配置设置VTP Server并创建VLAN：SW1#vlan database SW1(vlan)#vtp serve

13、r SW1(vlan)#vtp domain cvitSW1(vlan)#vtp password cvitSW1(vlan)#vlan 2 name salesSW1(vlan)#vlan 3 name supports 任务实施及方法技巧为交换机S1配置VLAN虚拟端口配置IP地址：SW1(config)# Interface vlan 2SW1(config-if)# Ip add 192.168.21.1 255.255.255.0SW1(config)# Interface vlan 3SW1(config-if)# Ip add 192.168.31.1 255.255.255.0

14、SW1(config)# Interface vlan 1SW1(config-if)# Ip add 172.16.1.100 255.255.255.0 将fa0/14和fa0/15配置为TRUNK，并控制fa0/15 成为vlan 3 生成树的根端口：SW1(config)#interface fa0/14SW1(config-if)#switchport trunk encapsulation dot1qSW1(config-if)#switchport mode trunkSW1(config)#interface fa0/15SW1(config-if)#switchport tr

15、unk encapsulation dot1qSW1(config-if)#switchport mode trunkSW1(config-if)#spanning-tree vlan 3 cost 18 SW1(config)#spanning-tree vlan 2 root primary将fa0/2口加入vlan 2：SW1(config)#interface fa0/2SW1(config-if)#switchport mode accessSW1(config-if)#switchport access vlan 2配置默认路由：SW1(config)#ip route 0.0.0

16、.0 0.0.0.0 172.16.1.254任务实施及方法技巧3、交换机S2配置设置VTP Client：SW2#vlan database SW2(vlan)#vtp client SW2(vlan)#vtp domain cvitSW2(vlan)#vtp password cvit将fa0/14和fa0/15配置为TRUNK：SW2(config)#interface fa0/14SW2(config-if)#switchport trunk encapsulation dot1qSW2(config-if)#switchport mode trunk SW2(config)#inte

17、rface fa0/15SW2(config-if)#switchport trunk encapsulation dot1qSW2(config-if)#switchport mode trunk将fa0/2口加入vlan 3：SW2(config)#interface fa0/2SW2(config-if)#switchport mode accessSW2(config-if)#switchport access vlan 3将交换机S2配置成vlan 3 所在生成树的根桥：SW2(config)#spanning-tree vlan 3 root primary任务实施及方法技巧4、路

18、由器RA配置配置接口：interface s0Ip add 1.0.0.1 255.255.255.252no shutdownIp nat outsideinterface e0Ip add 172.16.1.1 255.255.255.0no shutdownstandby 1 ip 172.16.1.254standby 1 priority 200 standby 1 preempt standby 1 track s0 110Ip nat inside配置路由：Ip route 192.168.21.0 255.255.255.0 172.16.1.100Ip route 192.1

19、68.31.0 255.255.255.0 172.16.1.100Ip route 0.0.0.0 0.0.0.0 1.0.0.2配置NAT：access-list 1 permit 192.168.2.0 0.0.0.255access-list 1 permit 192.168.3.0 0.0.0.255access-list 1 deny anyip nat inside source list 1 interface Serial0 overload任务实施及方法技巧5、路由器RC配置配置接口：interface s1Ip add 2.0.0.1 255.255.255.252no

20、shutdownIp nat outsideinterface e0Ip add 172.16.1.1 255.255.255.0no shutdownstandby 1 ip 172.16.1.254standby 1 priority 100 standby 1 preempt Ip nat inside配置路由：Ip route 192.168.21.0 255.255.255.0 172.16.1.100Ip route 192.168.31.0 255.255.255.0 172.16.1.100Ip route 0.0.0.0 0.0.0.0 2.0.0.2配置NAT：access

21、-list 1 permit 192.168.2.0 0.0.0.255access-list 1 permit 192.168.3.0 0.0.0.255access-list 1 deny anyip nat inside source list 1 interface Serial0 overload任务实施及方法技巧6. 路由器RB配置配置接口：interface s0Ip add 1.0.0.2 255.255.255.252no shutdownclock rate 64000interface s1Ip add 2.0.0.2 255.255.255.252no shutdownclock rate 64000interface e0Ip add 200.1.1.1 255.255.255.0no shutdown网络冗余效果检测1、在特权模式下用show standby命令查看两个路由器，看看哪个路由器状态属Active。2、以ping 20