网络拓扑
网络配置
交换机配置
- 为了提高整个网络系统的可靠性,在本次模拟方案中,网络核心层配置了两台华为s7706高性能核心交换机,实现冗余配置的同时为数据的高速转发、负载均衡、流量控制、网络管理等提供强有力的支撑。设备之间通过vrrp协议进行信息传递。在实现高速转发数据的同时,如果核心设备sw1发生故障,sw2能够直接接收到故障信息,并接管核心交换机的在线线程,确保了网络系统的高可用性。
综合以上考虑,我在核心交换机上做了以下操作:
- 首先在两台核心交换机上配置DHCP,并给vlan10-50配置DHCP的地址池,下发地址。
- 配置MSTP,在核心交换机sw1上设置instance1为主,instance2为备,sw2上相反。将vlan10-30划分到instance1中,vlan40-60划分到instance2中,sw1与sw2相同。
- 配置VRRP,在sw1上vlan10-30配置虚拟IP,并设置优先级为120,配置监视端口,端口断开的同时优先级裁减30;在sw2上vlan40-60配置虚拟IP并设置优先级为120,监视端口,端口断开优先级裁减30。
- 创建链路聚合,将两个核心层交换机划分到Eth-Trunk0中,并将g0/0/1和g0/0/2端口加入到Eth-Trunk0。
- 配置OSPF,在两个核心交换机上配置OSPF,配置区域为0,精确匹配所通告的网段。
- 配置AAA,使用local-user命令创建本地用户和用户口令,并以密文方式显示用户口令,配置用户名和密码。配置telnet,开启telnet服务。
- 汇聚层五个交换机配置基本相同,除了vlan和管理地址不相同。详细配置在附页,sw3交换机做以下操作①配置vlan200、201分别是AC+FIT AP的管理和业务vlan,vlan999管理各层交换机vlan。②配置MSTP。③远程管理。④配置OSPF。
- 接入层交换机主要用于用户接入,按照校园不同功能划分为图书馆、教学楼、办公楼、宿舍楼以及实验楼接入交换机,配置相似。图书馆接入层交换机配置vlan、ospf、telnet、管理vlan。
连接在AP上的交换机充当POE(power over Ethernet)网线供电交换机,POE交换机的优点是节省成本、安全、美观等特点。仅给AP供电作用,所以并无配置。
无线AC配置
- 在本次网络仿真实验中设计了无线局域网,无线局域网是由AC和FIT AP组成。AP的作用是把有线数据转换成无线数据发送,并且起到中继放大的作用。AP的类型分为两种,一种是瘦AP,必须依赖AC的管理;还一种是胖AP,自带管理功能AP,例如家用AP就是功能缩减版胖AP,无监控和NAT功能。
- 由于FIT AP不能自我管理,必须依赖AC。因此FIT AP与AC之间需要有相应的通信协议才可以进行互联,AP与AC隧道通信协议是CAPWAP(Control and Provisioning of Wireless Access Points)。协议内容如下:①AP能够自动发现AC。②AP拿到IP地址,AC对AP进行管理和业务配置转发。③STA数据封装,CAPWAP隧道进行转发。WLAN上网过程:首先AP通过DHCP获取地址,得到IP地址后,会立即发送一个CAPWAP的request广播请求包试图找到AC,AC收到CAPWAP广播请求后,立即回应并于AP建立CAPWAP隧道,在AC上就可以看到AP上线,再通过业务vlan下发给用户IP地址。
- 配置AC有两种方法:可以通过WEB页面和CLI命令行配置。此次设计采用的CLI命令行配置,下面简单介绍一下配置过程:
- 创建接口VLANIF虚接口,开启dhcp功能,VLAN200作为AP的管理vlan。VLAN201作为业务vlan。
- 配置AP上线,创建AP组,用于将相同配置的AP都加入同一AP组中。
- 创建域管理模板,在域管理模板下配置AC的国家码并在AP组下引用域管理模板。
- 配置AC的源接口。在AC上离线导入AP且将所有AP加入AP组group1中。
- 创建名为wlan的安全模板,并配置安全策略。配置WPA-WPA2+PSK+AES的安全策略为例,密码为huawei123。
- 创建名为wlan的SSID模板,并配置SSID名称为wlan。
- 创建名为wlan的VAP模板,配置业务数据转发模式、业务VLAN,并且引用安全模板和SSID模板。
- 配置AP组引用VAP模板,AP上射频0和射频1都使用VAP模板wlan的配置。
- 配置OSPF。
防火墙配置
- 安全区域划分。
- 安全策略配置。
- OSPF配置。
- NAT配置。
网络测试
网络系统测试
- DHCP测试:将网络拓扑中所有的核心层,汇聚层,接入层交换机及用户PC端打开,接入层用户获取IP地址的方式设置为DHCP自动获取,先查看配置的DHCP是否能让用户获取IP地址,如图5.1所示。
图5.1用户PC端获取IP的状态图
2. IP地址:调至命令行模式,查看用户是否获取的IP地址,如图5.2所示,可以看出用户已拿到IP地址,DHCP测试成功。
图5.2用户获取IP图
3.内网测试:将网络拓扑中所有交换机和PC端打开,不同vlan间的用户测试,例如查看图书馆用户是否能与实验楼用户通信,如图5.3所示,查看测试结果,可以看出内网用户不同vlan间能够通信。
图5.3内网测试图
4.外网测试:首先网络拓扑中所有交换机、路由器、防火墙及PC端打开,测试用户端是否能通过防火墙和路由器连接互联网,如图5.4所示,可以看出图书馆用户可以通过网络连接至互联网。
图5.4外网测试图
5.服务端测试内网:将网络中交换机、服务器端及PC端打开,用服务器端测试内网的连通性,如图5.5所示,可以看出服务器端可以与内网用户进行通信。
图5.5服务器测试内网图
6. 服务器测试能否连接外网:如图5.6所示,可以看出服务端可以连接至互联网,将信息发布到互联网。
图5.6服务器连接外网图
7. 无线网络测试:将AC、AP及POE交换机打开,首先查看AP是否获取到IP地址,如图5.7 所示,看出AP拿到IP地址通过隧道协议与AC建立连接。
图5.7 AP的IP地址图
8. 用户无线网测试:将用户的无线设备打开,然后STA获取到AP的信息输入认证密码huawei123,连接到WiFi,如图5.8 所示,可以看出用户可以检测到AP的WiFi信息与之建立连接。
图5.8 STA连接状态图
9. STA连接到WiFi以后查看是否拿到IP地址,如图5.9 所示,可以看出用户通过输入WiFi密码后可以拿到IP地址。
图5.9 STA获取的IP地址图
10. 测试STP内外网连接情况:如图5.10所示,用户在拿到IP地址后也可以与内网不通vlan间进行通信,也可以连接至互联网进行信息交换。
图5.10 STA测试内外网连接情况图
核心功能测试
核心交换机sw1和sw2上配置了vrrp,当sw1上检测的端口(g0/0/8或者g0/0/9)发生故障时,在sw1的master会变为backup,如图5.11 所示,可以看出核心层设备冗余性测试成功。
图5.11 SW1的状态图
在sw2上会检测到故障并由备变为主,如图5.12 所示,可以看到备份核心交换机能够成功的由backup切换到master。
图5.12 SW2的状态图
其他系统测试
- 为了方便管理,在核心、汇聚和接入层各个交换机上配置了telnet,用户名是lishan,用户密码是123456。因为华为的PC端没有telnet命令,所以在测试时,会将PC端换成路由器来测试。测试管理核心层交换机telnet,如图5.13所示,可以看出通过telnet可以成功远程控制核心交换机sw1。
图5.13 核心层交换机远程管理图
2. HTTP服务器端测试,如图5.14所示,通过客户端可以成功访问HTTP服务器上的资源。
图5.14 HTTP服务测试图
3. FTP服务端测试,如图5.15所示,可以看出客户端通过输入FTP服务器端的IP地址成功访问到服务器的资源并下载。
图5.15 FTP服务端测试图
4. DNS服务器端测试,如图5.16所示,通过输入DNS服务器端地址的转换的域名可以成功的访问到学校的网站。
图5.16 DNS服务器端测试图
以上所有仅是论文中实验部分,分享给大家参考,实验中还是有很多不足,请多多指教。