精华内容
下载资源
问答
  • 创建地址池 租约: 50% 发的是单播 默认3天,剩余1.5,发一个更新租约 的request报文,续约后变为1.5+3=4.5 87.5% 发的广播,发给网络中的所有DHCP服务器一个光 的request报文 SW1 u t m system-view sys SW1 dhcp ...

    84d9800d5484c07f7088f817ab9ce0e2.png

    单臂路由 有缺陷 三层交换机

    1.创建vlan 原则:所有交换机创建一模一样的vlan

    2.把接口类型做好 原则:只在交换机的接口配置,交换机之间一定是trunk,交换机与 其他设备一定是aceess(单臂路由和无线设备除外)

    3.做MSTP 原则:所有MSTP配置必须一模一样(优先级的命令除外)

    4.网关

    5.路由

    6.DHCP 全局:网关和DHCP服务器是同一台设备

    网关处开全局模式,创建地址池

    接口:几乎不用

    中继:网关和DHCP服务器不是同一台设备且不是同一个网段

    中继:网关在哪里,哪里做中继命令(2条命令)

    服务器:服务器IP地指处开全局,创建地址池

    租约: 50% 发的是单播 默认3天,剩余1.5,发一个更新租约 的request报文,续约后变为1.5+3=4.5

    87.5% 发的广播,发给网络中的所有DHCP服务器一个光 的request报文

    SW1

    u t m

    system-view

    sys SW1

    dhcp enable

    vlan batch 6 10 20 30 40

    port-group group-member g0/0/1 to g0/0/5

    port link-type trunk

    port trunk allow-pass vlan all

    quit

    stp region-configuration

    region-name 1

    instance 1 vlan 10 20

    instance 2 vlan 30 40

    active region-configuration

    quit

    stp instance 1 priority 0

    stp instance 2 priority 4096

    interface vlanif 10

    ip add 192.168.10.254 24

    dhcp select relay

    dhcp relay server-ip 192.168.6.2

    interface vlanif 20

    ip add 192.168.20.254 24

    dhcp select relay

    dhcp relay server-ip 192.168.6.2

    return

    SW2

    u t m

    system-view

    dhcp enable

    sys SW2

    vlan batch 6 10 20 30 40

    port-group group-member g0/0/1 to g0/0/5

    port link-type trunk

    port trunk allow-pass vlan all

    quit

    int g0/0/6

    port link-type access

    port default vlan 6

    quit

    stp region-configuration

    region-name 1

    instance 1 vlan 10 20

    instance 2 vlan 30 40

    active region-configuration

    quit

    stp instance 1 priority 4096

    stp instance 2 priority 0

    interface vlanif 30

    ip add 192.168.30.254 24

    dhcp select relay

    dhcp relay server-ip 192.168.6.2

    interface vlanif 40

    ip add 192.168.40.254 24

    dhcp select relay

    dhcp relay server-ip 192.168.6.2

    interface vlanif 6

    ip add 192.168.6.1 24

    return

    SW3

    u t m

    system-view

    sys SW3

    vlan batch 6 10 20 30 40

    port-group group-member e0/0/1 e0/0/2

    port link-type trunk

    port trunk allow-pass vlan all

    quit

    int e0/0/3

    port link-type access

    port default vlan 10

    int e0/0/4

    port link-type access

    port default vlan 20

    quit

    stp region-configuration

    region-name 1

    instance 1 vlan 10 20

    instance 2 vlan 30 40

    active region-configuration

    SW4

    u t m

    system-view

    sys SW4

    vlan batch 6 10 20 30 40

    port-group group-member e0/0/1 e0/0/2

    port link-type trunk

    port trunk allow-pass vlan all

    quit

    int e0/0/3

    port link-type access

    port default vlan 10

    int e0/0/4

    port link-type access

    port default vlan 30

    quit

    stp region-configuration

    region-name 1

    instance 1 vlan 10 20

    instance 2 vlan 30 40

    active region-configuration

    SW5

    u t m

    system-view

    sys SW5

    vlan batch 6 10 20 30 40

    port-group group-member e0/0/1 e0/0/2

    port link-type trunk

    port trunk allow-pass vlan all

    quit

    int e0/0/3

    port link-type access

    port default vlan 20

    int e0/0/4

    port link-type access

    port default vlan 40

    quit

    stp region-configuration

    region-name 1

    instance 1 vlan 10 20

    instance 2 vlan 30 40

    active region-configuration

    SW6

    u t m

    system-view

    sys SW6

    vlan batch 6 10 20 30 40

    port-group group-member e0/0/1 e0/0/2

    port link-type trunk

    port trunk allow-pass vlan all

    quit

    int e0/0/3

    port link-type access

    port default vlan 40

    int e0/0/4

    port link-type access

    port default vlan 30

    quit

    stp region-configuration

    region-name 1

    instance 1 vlan 10 20

    instance 2 vlan 30 40

    active region-configuration

    DHCP

    u t m

    sys

    sys DHCP

    dhcp enable

    interface g0/0/0

    ip add 192.168.6.2 24

    dhcp select global

    quit

    ip pool p10

    network 192.168.10.0 mask 24

    gateway-list 192.168.10.254

    ip pool p20

    network 192.168.20.0 mask 24

    gateway-list 192.168.20.254

    ip pool p30

    network 192.168.30.0 mask 24

    gateway-list 192.168.30.254

    ip pool p40

    network 192.168.40.0 mask 24

    gateway-list 192.168.40.254

    quit

    ip route-static 192.168.0.0 16 192.168.6.1

    return

    展开全文
  • 4、无线终端,考虑到公司手机与移动电脑增多,增加无线功能,提供给设备连接,要求实现验证功能,而访客区,不进行认证,但不能连接到公司内部,只能访问公司提供的网页服务与Internet连接。 5、保证在正常情况下,...

    客户需求

    1、使用合理的IP子网划分,保证合理性与可扩展性、汇总性、控制性
    2、保证冗余性,包括链路冗余与设备冗余
    3、安全性,保护重要的部门,除了特定人员可以访问外,其余部门不允许访问,比如财务部,有效的控制病毒、ARP的攻击
    4、无线终端,考虑到公司手机与移动电脑增多,增加无线功能,提供给设备连接,要求实现验证功能,而访客区,不进行认证,但不能连接到公司内部,只能访问公司提供的网页服务与Internet连接。
    5、保证在正常情况下,访问Internet都是走电信出口,当出现问题后,用网通出去,保证冗余性,需实现自动切换。并且实施NAT技术
    6、总部与分部,财务部之间需要互访,必须保证安全性
    7、出差员工,可以通过远程访问技术接入到公司内部实现访问特定的资源。
    8、设备实现管理,由单独的管理主机访问。

    解决思路

    1、使用子网划分来对每个部门进行规划,每一个部门单独一个24位的子网断,保证连续性,即使后续有新增加的员工,24位有254个地址,可以保证能正常使用,并且连续性可以方便做汇总、与一些策略的控制。
    2、冗余性的实现,可以利用MSTP+VRRP技术实现链路的冗余性与网关的热备功能,并且核心之间链路起链路聚合,提高带宽。
    3、安全性的实施,可以利用ACL与端口隔离技术 来进行部署,当然也可以高级点,dot1x、DHCP snooping+DAI+IPSGD等技术。一般情况下用ACL与端口隔离技术即可,除非有特殊需求在使用后续的。
    4、使用AC+AP的三层旁挂架构组件无线网络,实现内部网络使用5G接入网络,而访问则使用2.4G频率,并且实现,访客只能访问公司提供的WEB页面与Internet访问,并且要求无线访客区之间实现隔离。
    5、利用浮动路由+NQA或者ip-link技术实现自动切换
    6、使用IPSEC技术实现总部与分部之间的互访,通过加密验证等机制来保证数据的安全性
    7、部署L2TP Over IPSEC实现出差员工能够拨入到内网,访问特定的资源。
    8、开启Telnet或者SSH功能,实现访问,并且用ACL限制只能特点的主机访问。

    部署思路

    1、定义IP地址规划表项,方便配置
    2、规划VLAN,以及对应的网关地址
    3、实施VLAN配置,并且配置交换机之间的链路为Trunk,接入交换机面对终端为Access,无线部分为Hybrid或者Trunk,接防火墙设备为Access
    4、配置IP地址,保证直连可达
    5、配置MSTP技术、VRRP、端口聚合技术,保证全网无环路、高可靠性、冗余性存在
    6、配置路由实现全网可达
    7、配置DHCP服务,以及中继,使得PC能够正常获取地址以及DNS等参数
    8、配置无线部分,能够让AP正常上线,以及PC能够连接网络,并且获取地址,实现特定需求
    9、防火墙配置策略、NAT、VPN等技术,实现访问Internet、分部,与出差员工可以正常拨入公司内网
    10、部署管理,终端管理
    11、最终安全策略部署

    分部部署思路

    1、采用之前定义的IP地址表项与VLAN与接口划分进行配置
    2、配置路由,或者采用单臂路由两种方式
    3、路由器配置VPN,实现财务部互访,并且AP能够正常关联到总部的AC上面。

    如果大家有任何疑问或者文中有错误跟疏忽的地方,欢迎大家留言指出,博主看到后会第一时间修改,谢谢大家的支持,更多技术文章尽在网络之路Blog(其他平台同名),版权归网络之路Blog所有,原创不易,侵权必究,觉得有帮助的,关注、转发、点赞支持下!~。

    展开全文
  • 来判断该网关是否出现了故障,而进行切换,所以如果没有VRRP之前,则只能通过人为修改,这个工作量肯定是巨大的,特别是大型网络,而且非常不实际,不可能指望一个不懂技术的人去设置网关地址。 VRRP解决的问题...

    拓扑

    实战

    拓扑可以保存到本地,然后扩大查看,这样才能看的更清楚。(拖动到新窗口打开即可)

    5.1分析说明

    5.1分析说明
    5.1.1 MSTP技术实现的效果
    STP可以有三种,一种为最先的STP、后续增强的RSTP,以及目前主流的MSTP,不使用STP与RSTP的原因其实很简单,因为它只能做到单一链路传输,而不能实现跟MSTP以实例的方式实现负载负担。

    shizhan

    以访客厅为例,该交换机下面有VLAN 1与VLAN 19的流量,如果我们部署的是STP或者RSTP的话,则我们VLAN 1与VLAN 19的流量,要么从左边的链路传递给核心交换机转发,要么从右边的网络传递给核心交换机转发,这样的话,白白的浪费了一条链路带宽,如果VLAN流量比较多的话,则造成的情况是,一条链路拥塞,另外一条链路则没有任何流量经过。而MSTP实现的是,以多个VLAN为一个实例,不同的实例可以实现不同的链路转发,假设访客厅有20个VLAN,则可以实现10个VLAN走左边链路,而另外10个VLAN走右边链路,这样重分的利用了链路的带宽,也减少出现拥塞的几率。

    5.1.2 链路聚合实现的效果

    shizhan

    在这个案例中,部署了链路聚合的链路就是在两台核心交换机之间部署了,核心交换机之间加入这条线路的作用是,后续的VRRP流量都通过这条线路传递,也有人也喜欢把这条线路叫心跳线,有链路聚合的存在,除了提高带宽以外,还增加了冗余性,这样不会出现当这条链路故障后,所有的VRRP流量都需要经过下面的接入层交换机来转发。另外就是下面VLAN流量访问服务器或者 不同VLAN间互访流量通过。

    5.1.3 VRRP部署

    VRRP的作用是充当网关的默认网关的,可以说PC定义的默认网关不生效的话,则整个网络都访问不了了,只能访问同一个VLAN内的,如果在没有部署VRRP之前,两台设备有2个IP地址,都可以充当PC的网关,而PC又没有任何的检测机制,来判断该网关是否出现了故障,而进行切换,所以如果没有VRRP之前,则只能通过人为修改,这个工作量肯定是巨大的,特别是中大型网络,而且非常不实际,不可能指望一个不懂技术的人去设置网关地址。 VRRP解决的问题就是,通过VRRP技术协商,虚拟一个IP地址出来(VRRP可以直接使用接口定义了的地址的),这样的好处是,下面PC只需要定义VRRP定义的那个地址作为网关即可,当主设备出现故障后,会自动切换到备用上面,从而对客户来说是透明的。

     

    为什么需要负载分担:因为默认情况下,所有的数据包都是交给主处理的,只有当主出现故障的时候,备用才会处理数据报文,如果所有的主都定义在一台设备上面的话,就意味着所有的数据包默认情况下都是由该设备处理,而备用则被闲置了,浪费了资源不说,很可能导致主设备处理能力跟不上,导致网络延迟很大,所以我们需要规划的是,把下面网段的网关平均分配到两台设备上面,比如192.168.1.0/24网段定义A为主,B为备用,而192.168.2.0/24网段定义B为主,A为备用,这样实现负载分担,达到资源利用。

    VRRP与MSTP配合:我们之前分析过MSTP是保证链路的有效分担利用的,可以把VLAN的流量分摊到不同链路上去,然后在上行设备上面定义不同实例的根,定义根的作用是,对应的实例内的VLAN会把流量引向根的方向,而根也分为主根与备份根,这个跟VRRP的主备相似,所以我们在定义VRRP与MSTP的时候,要保持主备统一,比如VLAN 10、20、30的根在A设备上面,那么对应的网关 VRRP,则A为主,B为备用,而VLAN 40 、50 、60的根在B设备上面,那么对应的网关VRRP,则B为主,A为备用。这样的话到达路劲最优,资源利用最大化,如果MSTP与VRRP的定义相反,那么就会造成,路径次优了,比如VLAN 10,20.30定义根是B设备,而对应的网关VRRP则为A,那么它们首先会把流量引向B设备,然后再由B设备交给A,这样中间转发又延迟了,也增加了设备的处理负担。

     

    5.2 具体配置

     5.2.1 链路聚合配置
    说明:这里必须先配置链路聚合,因为中间那条链路传递VRRP的流量,并且也传递STP的BPDU,所以先配置链路聚合是有必要的。
    Core-A
    [Core-A]interface Eth-Trunk 1
    [Core-A-Eth-Trunk1]trunkport g0/0/18
    [Core-A-Eth-Trunk1]trunkport g0/0/19
    [Core-A-Eth-Trunk1]port link-type trunk
    [Core-A-Eth-Trunk1]port trunk allow-pass vlan 19 to 23 88 100
    [Core-A-Eth-Trunk1]load-balance src-dst-ip
    说明:创建了一个链路聚合口,然后关联了G0/0/18与19,这2个口就是连接Core-B的,另外定义该类型为Trunk,允许了现在存有的VLAN流量通过,其余的则不允许。并且配置了负载均衡的方式为源目IP的,因为流量到达Core后,上面的都是走三层了,基于源目IP分担会更加有效率。

    Core-B
    [Core-B]interface Eth-Trunk 1
    [Core-B-Eth-Trunk1]trunkport g0/0/18
    [Core-B-Eth-Trunk1]trunkport g0/0/19
    [Core-B-Eth-Trunk1]port link-type trunk
    [Core-B-Eth-Trunk1]port trunk allow-pass vlan 19 to 23 88 100
    [Core-B-Eth-Trunk1]load-balance src-dst-ip
    说明:创建了一个链路聚合口,然后关联了G0/0/18与19,这2个口就是连接Core-A的,另外定义该类型为Trunk,允许了现在存有的VLAN流量通过,其余的则不允许。并且配置了负载均衡的方式为源目IP的,因为流量到达Core后,上面的都是走三层了,基于源目IP分担会更加有效率。

    结果查看

    shizhan

    5.2.2 MSTP配置
    分析:之前已经分析过MSTP与VRRP配合的时候要主备同一,而在规划的时候已经规划好了对应的VLAN IP谁为主,谁为备用,所以我们这里根据VRRP的定义来定义MSTP即可。

    shizhan

    254的定义则为PC网关,这是Core-A上面定义的,为254的VLAN 有 VLAN 1、19、21,则VLAN 1 、19、21 A为主根,对应的B为这些VLAN的备用根, 那么为253的地址则是充当备用的,也就是说 20、88、100这些VLAN,Core-A充当的是备用根,而Core-B是主根。

    Core-A的MSTP配置
    [Core-A]stp region-configuration
    [Core-A-mst-region]region-name ccieh3c.taobao.com
    [Core-A-mst-region]instance 1 vlan 1 19 21
    [Core-A-mst-region]instance 2 vlan 20 88 100
    [Core-A-mst-region]active region-configuration
    [Core-A]stp instance 1 root primary
    [Core-A]stp instance 2 root secondary
    说明:这里进入了MSTP的配置域,定义了一个名字为ccieh3c.taobao.com(这个同一个MSTP域必须保持一致),然后定义了2个实例,就是刚刚分析的那2个,最终激活配置。
    红色部门定义的是,Core-A为1的主根,为实例2的备份根。

    Core-B MSTP配置
    [Core-B]stp region-configuration
    [Core-B-mst-region]region-name ccieh3c.taobao.com
    [Core-B-mst-region]instance 1 vlan 1 19 21
    [Core-B-mst-region]instance 2 vlan 20 88 100
    [Core-B-mst-region]active region-configuration
    [Core-B]stp instance 1 root secondary
    [Core-B]stp instance 2 root primary
    说明:这里进入了MSTP的配置域,定义了一个名字为ccieh3c.taobao.com(这个同一个MSTP域必须保持一致),然后定义了2个实例,就是刚刚分析的那2个,最终激活配置。
    红色部门定义的是,Core-B为2的主根,为实例1的备份根。与A相反。

    访客厅、高层人员、财务 服务器集群、AC的MSTP配置

    [FKT]stp region-configuration
    [FKT-mst-region]region-name ccieh3c.taobao.com
    [FKT-mst-region]instance 1 vlan 1 19 21
    [FKT-mst-region]instance 2 vlan 20 88 100
    [FKT-mst-region]active region-configuration
    说明:访客厅、高层人员、财务MSTP的配置是一样的,所以这里就给出一个访客厅的配置,其余的一样配置即可,这里需要说明的是,虽然访客厅只有 VLAN 1与19的流量,但是一样要定义对应的实例,因为同一个MSTP域检查的是一个hash值,只有配置定义一样,hash值才会相同,这样才会认为是同一个域的,否则不能进行协商,这样导致MSTP计算出错。

    结果验证【以高层人员、Core-A为例】

    shizhan

    高层人员上面可以看到实例1与2,0可以不用管,是默认其余没有定义的VLAN规划存在的,我们这里主要看1与2。

    1、实例1:G0/0/2上联接口为Root,而G0/0/1为阻塞,因为实例1的根为Core-A,而G0/0/2上联的接口就是Core-1,而G0/0/1则是Core-2.
    2、实例2:实例2与实例1相反,因为实例2的根在Core-B上面,所以这里G0/0/1为Root,G0/0/2阻塞。
    实现的效果:实例1的流量走G0/0/2这条链路,而实例2的流量则走G0/0/1这条链路,实现复杂分担。

     

    shizhan

    Core-A上面接口比较多,但是不会出现阻塞的效果,因为它在实例1与实例2中,不是主就是备,所以不会出现阻塞的接口,阻塞接口只会出现在接入层,比如高层人员的设备上面,看到的上联接口有一个是阻塞的。

    5.2.3 VRRP配置

    Core-A VRRP配置
    [Core-A]int vlan 1
    [Core-A-Vlanif1]vrrp vrid 1 virtual-ip 192.168.1.254
    [Core-A-Vlanif1]vrrp vrid 1 priority 105

    [Core-A]int vlan 19
    [Core-A-Vlanif19]vrrp vrid 19 virtual-ip 192.168.19.254
    [Core-A-Vlanif19]vrrp vrid 19 priority 105

    [Core-A]int vlan 20
    [Core-A-Vlanif20]vrrp vrid 20 virtual-ip 192.168.20.254

    [Core-A]int vlan 21
    [Core-A-Vlanif21]vrrp vrid 21 virtual-ip 192.168.21.254
    [Core-A-Vlanif21]vrrp vrid 21 priority 105

    [Core-A]int vlan 88
    [Core-A-Vlanif88]vrrp vrid 88 virtual-ip 192.168.88.254

    [Core-A]interface vlan 100
    [Core-A-Vlanif100]vrrp vrid 100 virtual-ip 192.168.100.254
    说明:之前分析了VLAN 1,19,21的VRRP 主为Core-A,所以这里除了定义一个地址外,还定义了一个优先级,这里建议定义为105,因为如果检测到链路出现故障,默认减低优先级为10,如果高了的话,就算减低优先级,还是为主用。另外为备用的地方只需要配置IP地址即可。

    Core-B VRRP配置
    [Core-B]int vlan 1
    [Core-B-Vlanif1]vrrp vrid 1 virtual-ip 192.168.1.254

    [Core-B]int vlan 19
    [Core-B-Vlanif19]vrrp vrid 19 virtual-ip 192.168.19.254

    [Core-B]int vlan 20
    [Core-B-Vlanif20]vrrp vrid 20 virtual-ip 192.168.20.254
    [Core-B-Vlanif20]vrrp vrid 20 priority 105

    [Core-B]int vlan 21
    [Core-B-Vlanif21]vrrp vrid 21 virtual-ip 192.168.21.254

    [Core-B]int vlan 88
    [Core-B-Vlanif88]vrrp vrid 88 virtual-ip 192.168.88.254
    [Core-B-Vlanif88]vrrp vrid 88 priority 105

    [Core-B]interface vlan 100
    [Core-B-Vlanif100]vrrp vrid 100 virtual-ip 192.168.100.254
    [Core-B-Vlanif100]vrrp vrid 100 priority 105
    说明:之前分析了VLAN20、88、100 的VRRP 主为Core-B,所以这里除了定义一个地址外,还定义了一个优先级,这里建议定义为105,因为如果检测到链路出现故障,默认减低优先级为10,如果高了的话,就算减低优先级,还是为主用。另外为备用的地方只需要配置IP地址即可。

    结果验证

    shizhan
    shizhan

    可以看到所有的状态都是正常的,跟PC测试,在后续的DHCP分配后,可以测试使用。

    存在一个大问题【容易被忽略的】

    shizhan

    分析:这里VRRP配置了,正常情况下是没任何问题的,就算中间和下面的链路断了,是不会出现什么问题的,VRRP不会有影响,但是如果上面的链路端了,也就是连接防火墙的,那么则会出现一个问题,就是次优路径。
    上面配置可以得到 VLAN1的默认网关在A上面,而B则是备用,当A的上行链路出现故障后,VRRP是不会感知到的,所以还是会正常转发数据,但是上联链路已经失效了,这时候当一个数据包过来需要A进行转发给出口防火墙的时候,由于上行链路出现故障,那么这时候则只能通过A与B之间的链路传递给B,B这时候只做一个透传的作用,然后传给防火墙,防火墙在转发给外网,外网回包后,防火墙这时候需要回应数据包了,它回应给的是网关地址,也就是VLAN 100做的VRRP网关,正常情况下是直接转发给A的,但是这时候与A的链路断了,只能通过转发给B,然后由B在转发给A进行处理,所以这时候,数据包的路径并不是最优的,这样造成的后果就是,加重B设备的处理能力,与B与A之间的链路带宽【这里有链路聚合,带宽还不会被阻塞】。

    解决办法

    在VRRP中有一个track功能,默认情况下 VRRP是不监控上行链路的,但是通过track功能后,是可以直接监控上行链路,这样可以避免上面的情况出现。
    前提:但是track技术部署的前提就是不能使用接口地址作为VRRP的地址,也就是VRRP的虚拟地址与接口地址不能是同一个,所以这个环境如果要部署track的话,则需要改变下IP地址。 这里只是特备作为提醒存在,因为在实际部署中非常容易忽略这个细节。,所以这里并没有在一开始就这样规划,而是用一个分析进行讲解。

    shizhan

    这里以VLAN 1举例说明下,track的作用,实际工作中根据需求是否需要部署 来决定,另外还可以关联BFD,NQA等技术关联。
    作用的命令是,当G0/0/22(上联接口)出现故障后,自动减低优先级10,也就是变为95,这样的话 B自然抢占为主了。

    shizhan

    可以看到现在还是为Master

    shizhan

    当我手动把22号接口关闭后,可以看到VLAN1由 Master变为Backup了,也就是变成了备用。

    shizhan

    这时候,B成为了Master。
    说明:track技术只需要在VLAN部署VRRP为主的情况下调用,备用则不需要。因为主监控上行链路失效后,自然会减低优先级,备用就成为主用了,当主用的链路恢复后,又恢复优先级,则又成为主用。

    建议,在工作中可以使用track技术的话,就使用,可以减少很多情况发生,案例也已经改为部署了track方案的,之前没部署,主要是想说明下为什么需要部署track。

     

    修改后的配置

    shizhan
    shizhan

    说明:可以看到之前的Core-A与B的主地址为254的,现在都改为252了,主要是不与VRRP地址是同一个,这样就可以调用track技术了。

    shizhan
    shizhan

    说明:上面的为Core-A的,下面的为Core-B的,可以看到调用了track的都是为Master的,备用不需要调用。

    如果大家有任何疑问或者文中有错误跟疏忽的地方,欢迎大家留言指出,博主看到后会第一时间修改,谢谢大家的支持,更多技术文章尽在网络之路Blog(其他平台同名),版权归网络之路Blog所有,原创不易,侵权必究,觉得有帮助的,关注、转发、点赞支持下!~。

    展开全文
  • 一个防火墙的作用是能够保护内网安全,进行检测,怎么检测的呢,防火墙分区域的,当Trust区域(高级别)访问Untrust(低级别,也就是ISP网络)的时候,可以全部访问,而防火墙动态创建状态化信息,数据包从外边返回...

    拓扑

    实战

    拓扑可以保存到本地,然后扩大查看,这样才能看的更清楚。(拖动到新窗口打开即可)

    防火墙篇之安全策略部署

    分析防火墙需要部署哪些技术。一个防火墙的作用是能够保护内网安全,进行检测,怎么检测的呢,防火墙分区域的,当Trust区域(高级别)访问Untrust(低级别,也就是ISP网络)的时候,可以全部访问,而防火墙动态创建状态化信息,数据包从外边返回的时候,根据状态化信息来放行,而ISP的网络想主动访问内部则不行,因为低级别访问高级级别inbound的流量都是被拒绝的,除非做策略开放,所以我们第一个要做的就是策略。 想要访问internt,而内网都是私网地址,需要访问ISP的话,则必须把私网地址访问成公网地址,所以必须部署NAT技术,另外有对外提供服务【比如WeB,fTP等】需要做NAT Server技术。在有多ISP的情况下,我们希望能够实现负载分担或者是备份功能,那么我们必须部署策略路由、静态路由、浮动路由、NQA或者IP-lInk技术,来动态的检测链路的状态,从而动态的切换。 另外分部与出差的员工需要访问公司内网,所以还需要部署VPN技术。 总结就是: 1、部署Policy 2、部署Nat 3、部署双ISP出口路由与自动切换技术。 4、部署VPN

    9.1 Policy部署

    说明:不同USG型号的防火墙策略默认出厂不太一样,比如用的USG 5500则默认需要配置策略放行,否则流量都不通过,只有Local到Trust一些流量默认是放行的,而USG 2200系列的话,就默认全是Permit的,不需要放行流量,如果不确定的话,可以通过命令 display firewall packet-filter default all 查看。

    image001.jpg

    可以看到只有少数的是Permit的,其余默认都是deny的,在部署之前首先要明白方向性,只有明白了方向性的才好进行部署。

    什么是inbound与Outbound流量。

    首先要明白,inbound与Outbound是针对优先级来说的,从高优先级的Zone去往低优先级的Zone的流量为Outbound的流量,比如Trust到Untrust的流量,也就是内网访问外网的流量。而低级别到高级别的流量成为inbound,也就是Untrust的流量到Trust,外网主动访问内网的流量。

    1、假设我们需要访问外网,而默认情况下Trust到ISP的Zone是deny的,那么我们需要放行Trust到ISP的Outbound的流量,这样就可以正常访问外网了(假设已经部署了Nat)
    2、假设我们映射了一台WeB服务给外网访问,那么则是ISP的流量抵达Trust或者dMZ,这时候我们需要放行ISP到Trust的或者dMZ的inbound流量。

     

    部署需要考虑到的因素

    1、是否需要进行时间控制,比如只允许员工在规定的时间段内访问外网或者特定的资源
    2、是否需要排除某些IP不能访问外网
    3、是否需要日志记录或者流量统计等。

    9.1.1具体实现配置【访问Internet的策略】

    1、部署NTP
    为什么需要Ntp呢,主要是因为要部署时间控制的话,则必须用到准确的时间,有时候设备的电池没电了的话,那么时间是不会保存的,那么会导致时间不正确,在不正确的情况下,基于时间的策略则变得毫无意义。
    至于NTP服务器可以百度一下,国内有几个公用的服务器的,也可以内网假设一台服务器。
    [USG-GW]ntp-service unicast-server 192.168.88.251
    在一定的时间内,USG会与时间服务器进行同步,当然如果有验证之类的 则还需要启用验证功能,一般公用的都没有认证。

     

    2、定义时间策略
    我们希望除了Boss以外的部门都是在下班时间可以访问公网,而Boss的话则没任何限制。【需求可以根据实际情况来决定。】
    [USG-GW]time-range access-internet-control-1 12:00 to 13:30 working-day
    [USG-GW]time-range access-internet-control-1 17:00 to 23:59 working-day
    [USG-GW]time-range access-internet-control-1 00:00 to 8:50 working-day
    [USG-GW]time-range access-internet-control-1 00:00 to 23:59 off-day
    说明:总共定义了4条,在工作日的时候,除了中午休息时间,与下班时间可以对于Internet的访问,而上班时间则不可以,但是在双休日的时候是全部开放的。这个可以根据自己需求来决定。

    3、定制策略
    说明:这次的部署中有2个ISP,而且之前是自定义的Zone,所以这里不在是Untrust了,而是ISP_dx ,ISP_lT
    内网到电信ISP的策略
    [USG-GW]policy interzone trust isp_dx outbound
    [USG-GW-policy-interzone-trust-isp_dx-outbound]policy 1
    [USG-GW-policy-interzone-trust-isp_dx-outbound-1]policy source 192.168.20.0 mask 24
    [USG-GW-policy-interzone-trust-isp_dx-outbound-1]action permit
    [USG-GW-policy-interzone-trust-isp_dx-outbound]policy 2
    [USG-GW-policy-interzone-trust-isp_dx-outbound-2]policy source 192.168.0.0 mask 16
    [USG-GW-policy-interzone-trust-isp_dx-outbound-2]policy time-range access-internet-control-1
    [USG-GW-policy-interzone-trust-isp_dx-outbound-2]action permit
    说明:这里定义了一个Trust去往ISP-dx的Outbound的流量,也就是高优先级到低优先级的流量,定了2个Policy,一个是当匹配源为192.168.20.0的时候,直接放行【该网段为BOSS网段】,另外下面一个则是直接匹配了内网所有网段然后调用了时间策略,在放行,这样做的效果就是,BOSS的是永远不受时间限制的,因为策略是从上往下依次匹配,当匹配成功了一个后,则不继续往下匹配,所以这里BOSS的流量直接从POlicy 1出去了,而不会受到Policy 2的影响。

    验证策略

    说明:这里还没部署Nat,所以不能实际操作,但是可以通过查看来看策略是否生效

    image002.png

    可以看到有2个策略,现在没任何匹配。

    image003.png

     

    可以看到现在是inactive的,也就是不生效的。

    image004.png

    因为现在是星期四的早上10点,不在策略的范围内。

    内网到联通ISP的策略【这里只给出配置,跟上面一致】

    image005.png

     

    如果大家有任何疑问或者文中有错误跟疏忽的地方,欢迎大家留言指出,博主看到后会第一时间修改,谢谢大家的支持,更多技术文章尽在网络之路Blog(其他平台同名),版权归网络之路Blog所有,原创不易,侵权必究,觉得有帮助的,关注、转发、点赞支持下!~。

    展开全文
  • (5)路由技术部署总结 说明:该项目部署的是静态路由,由于我们使用的是VRRP技术+静态路由,所以结构非常简单,没什么需要考虑的,如果网络环境比较负责,切换机制也够复杂的话,建议使用OSPF这些动态路由协议来...
  • 100 管理VLAN 1 其余VLAN 保留 IP地址与VLAN虽然是最基础最基础的内容,但是确实整个网络前期最重要的规划,如果规划的不好,后期的麻烦非常大,比如扩展、修改的情况,所以,在一个网络的规划,一定要保证使用...
  • 【无线架构之三层漫游】 三层漫游的实现主要在跨网段进行通信,而且在漫游后,地址保持不变。 三层漫游需要注意的事项 (1)必须在同一AC下 (2)WALN-ESS的接口策略必须相同 (3)安全模板的认证方式必须一致...
  • 如果大家有任何疑问或者文中有错误跟疏忽的地方,欢迎大家留言指出,博主看到后会第一时间修改,谢谢大家的支持,更多技术文章尽在网络之路Blog(其他平台同名),版权归网络之路Blog所有,原创不易,侵权必究,...
  • 把多个接口加入到一个组,然后集中配置策略,这样可以简化配置,这里配置了将E0/0/2-22号接口都定义为Access接口,划入VLAN 19,默认为Hybrid端口 接无线AP接口 interface e0/0/1 port hybrid tagged vlan 19 ...
  • 该功能适用于WLAN网络整体信号覆盖效果好,限制覆盖范围边缘的低信号或低速率的STA接入WLAN网络的场景。 另外就是下线功能,就是在WLAN部署密集的情况下,可以通过检测自动下线信号较弱,速录低的用户,从而让他们...
  • 常常在想像微服务这种复杂的体系化架构是否是中小型公司传统应用软件构架的优选? 微服务架构的最佳实践是什么? 判断微服务架构是否合适? 首先,咱们从如下几个典型优点进行分析: 松耦合,可以快速响应用户需求,...
  • 之前标题一直写着小型企业组网,其实这个有点不严谨了,不管是中小型、还是大型,都离不开AP上线、业务配置、然后关联VAP、关联组,然后下发的步骤,区别就是组网环境复杂度 中小型环境(1)出口有路由器或者防火墙...
  • 应急管理大学网络工程专业生产实习,搭建中小型企业网
  • 如果大家有任何疑问或者文中有错误跟疏忽的地方,欢迎大家留言指出,博主看到后会第一时间修改,谢谢大家的支持,更多技术文章尽在网络之路Blog(其他平台同名),版权归网络之路Blog所有,原创不易,侵权必究,...
  • 基础知识 基于网络的信息系统基本结构 网络管理系统 网络应用系统 网络安全系统 网络数据库管理系统 网络软件开发工具
  • 如果大家有任何疑问或者文中有错误跟疏忽的地方,欢迎大家留言指出,博主看到后会第一时间修改,谢谢大家的支持,更多技术文章尽在网络之路Blog(其他平台同名),版权归网络之路Blog所有,原创不易,侵权必究,...
  • 说明:为什么需要注意STP的安全呢,在二层其实存在很多不安全的因素,物理上面的环路这点就得依靠STP来解决,如果STP被恶意破坏,或者不是按照管理员定义的进行运行,那么整个网络会出现很大的问题。 (1)STP...
  • 可以看到内部用户与Guest之间是可以访问的,这样存在一定的安全性,因为访客是从外面过来的,经过了各种各样的网络,假设客户的PC干扰了病毒,那么则可以通过无线传递给内部网络。 8.5.2 Guest用户可以访问内部任何...
  • 欢迎您阅读此系列文章,文章参考自《全国计算机等级考试三级教程.网络技术》。内容为NCRE三级网络技术主要知识点以及常考点,此知识点总结参照《三级网络技术考试大纲...教材第二章《中小型网络系统总体规划与设计.
  • 计算机网络课设--小型企业网络的规划与设计

    千次阅读 多人点赞 2021-07-13 22:16:58
    《计算机网络实践》报告 题目 网络设计的规划与实现 学年学期 20Xx-20Xx学年第一学期 课程名称 计算机网络实践 院 系 XXX学院 专 业 计算机科学与技术 ...
  • 【无线架构之二层漫游】 为了实现无线漫游的功能,需要在拓扑上面在增加要2台ap,当然这2台ap都是模拟的,桥接在本地网卡上面,然后在把本地网卡桥接到真实的交换机上面实现环境。等于做了一个桥接。【与真机效果...
  • 在eNSP模拟器上实现中小型企业网络局部仿真(单臂路由+OSPF+DHCP+ACL)拓扑图设备选型说明业务需求配置思路操作步骤结果验证 拓扑图 设备选型说明 PC1-4为终端设备中的PC设备 LSW1、LSW2为交换机中的S3700设备 AR1...
  • 拓扑 拓扑可以保存到本地,然后扩大查看,这样...3、用户私接交换机、无线路由器等设备,造成网络环路、或影响网络性能。 4、外来人员电脑接入容易导致ARP、病毒等攻击。 5、二层技术的问题,导致网络震荡。 解决
  • 中小型网站服务器搭建方案 内容精选换一换在大型网络应用中,通常会使用多台服务器提供同一个服务。为了平衡每台服务器上的访问压力,通常会选择采用负载均衡来实现,提高服务器响应效率。云解析服务支持解析的负载...
  • 一、考点分析 本章在考试一般出现3个...二、基于网络的信息系统基本结构                       
  • 计算机网络课设——小型网络设计及实现沈阳理工大学计算机网络课程设计报告PAGEPAGE 0目录1.课程设计目的12.课程设计要求13.boson平台介绍14.网络设计34.1 静态路由构成网络34.1.1 网络规划34.1.2网络拓扑图34.1.3 ...
  • 构造中小型园区网实训案例

    千次阅读 多人点赞 2021-01-08 23:36:23
    构造中小型园区网实训案例 一、实验工具与实验拓扑规划 1、实验工具 2、实验拓扑 二、需求分析 三、数据规划 四、实施步骤 步骤1:配置所有终端 步骤2:配置所有接入层交换机 步骤3:配置网关路由器AR1、公网路由器...
  • 在这个网络中,目前来看设计到三层部分的完全只有对应的两台核心交换机与出口防火墙之间,而下面的交换都是二层网络,那么这里就没必要使用动态路由协议了,静态路由完全可以胜任了,之前的架构已经看出来了,交换机...
  • 无线的实现,在这个架构中,我们使用的是二层旁挂本地转发模式,对于Guest的SSID使用2.4G,并且开放认证,不需要输入用户名密码,只能访问内部的特点WEB服务器与外网,而内部用的SSID则需要认证,可以访问内部网络与...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 128,713
精华内容 51,485
关键字:

中小型公司网络架构