HSRP是热备份路由器协议的简称,其设计目标是支持特定情况下 IP 流量失败转移不会引起传输混乱、并允许主机使用单路由器,以及即使在实际第一跳路由器使用失败的情形下仍能文护路由器间的连通性。在当前拓扑中,HSRP用于三层核心交换机之间的冗余,当第一台主交换机发生不可知情况,比如连接二层交换机的端口down掉了,又或者主交换机断电了,那么根据HSRP的原理,交换机或自动转移流量到备用交换机进行数据的传输。
3.6.2 防火墙技术实现
NAT称为网络地址转换,分为静态NAT、动态NAT、PAT,现在最流行的是PAT,通过使用不同端口,它能映射多个未注册的ip地址到单独一个注册的ip地址实现多对一的地址复用。
ACL访问控制列表,访问列表本质上是一系列对包进行分类的条件,是控制局域网内外访问的权限。可以分为标准访问列表、扩展访问列表。其中标准型只使用IP数据包的源IP地址作为条件测试,所有决定都是源IP地址,不区分IP流量类型,例如telnet、UDP、WWW等。而扩展访问列表可以测试IP包的第3层和第4层报头的其他字段,可以测试源IP地址和目的IP地址、网络报头中的协议字段,以及位于传输层报头中的端口号。
3.6.3 路由技术实现
OSPF路由选择协议,是开放最短路径先。它是使用Dijkstra算法来工作的,首先构建一个最短路径树,然后使用最佳路径的计算结果来组建路由表。最小化的路由更新流量、允许可缩放性、支持VLSM/CIDR、不受限于跳计数、允许多销售商设备集成。
4 实验结果分析及展示
4.1 HSRP热备份
Core1核心交换机和Core2之间HSRP热份协议,如下列图:
图4.1 Core1路实效前Standby
图4.2 Core2链路实效前Standby
图4.3 链路失效前MotoPC Traceroute
上图是正常工作情况下,两台交换机的Vlan状态:主设备是负责Vlan3和Vlan23的数据传输,也就是Core1是Vlan3和Vlan23的网关;而Core2主要负责Vlan13和Vlan33的数据传输,同理Core2是Vlan13和Vlan33的网关。当Core1的上行链路或是下行链路失效的时候,就会发生下列图:
图4.4 Core1路实效后Standby
图4.5 Core2路实效后Standby
相应Pc的路径也跟着改变:
图4.6 链路失效后MotoPC Traceroute
由上可看出当Core1的上行链路Fa0/12端口和下行链路Fa0/0端口失效的时候,相应的Active的Vlan就会转移到Core2上,此时直接的MOTO的链路是先到conver2然后通过trunk口到达网关10.103.32.129,最后到达防火墙或是路由器。而当10.103.32.129这条链路失效后,HSRP会为其自动切换到Core2相应的链路上。同理当Core2的上行链路或是下行链路失效的过程也是一样的。
4.2 Vlan之间相互通讯
图4.7 Vlan之间Ping操作
上图中显示从MOTO VLAN中Ping各个网段都是相同的,说明企业内部的部门项目可以相互访问资源。这里实现Vlan之间的通讯主要的技术是单臂路由和三层交换,我们这里采用的是三层交换技术。不采用单臂路由的原因是:A.这里路由器主要是用于分公司访问服务器,同时各种监控软件数据推送,还有就是同种项目的数据交换;B. 单臂路由采用子接口将Vlan连接进行相互通讯,交换数据的效率明显不如核心交换机,同时给路由器带来额外的负担。这里主要是测试MOTO和其他Vlan之间的通讯,其他VLan的原理也是一样的。
4.3 防火墙Failover
图4.8 Internet主防火墙Failover
图4.9 InternetSTB备防火墙Failover
从上述两图可以分心出两台防火墙的Failover都已经启用,同时数据显示Internet是主设备,因为它处于Active状态,现在正在工作的也就是该防火墙,而InternetSTB防火墙是备用的设备,现在一直处于Secondary—Standby Ready状态。但是它和Internet始终保持这相同的状态,它一直通过发送Hello包在监控另一台的状态。他们之间是通过“心跳线”相互连接的,心跳线是用于连接A、B两台防火墙间的网线。在这两台防火墙A、B中,A为工作机,B为备份机,它们之间通过一根心跳线来连接。一般在防火墙上都配有至少两块网卡,其中一块专门用于两台服务器(节点)间的通讯。安装在防火墙上的软件通过心跳线来实时监测对方的运行状态。一旦正在工作的主机A因为各种硬件故障,如电源失效、主要部件失效或者启动盘失效等导致系统发生故障,心跳线会反映给互为备份的另外一台主机,主机B可以立即投入工作。这样可以在最大限度上保证网络的正常运行。这也称为“心跳检测”。心跳线主要利用一条RS-233检测链路来完成,采用Ping方式检测验证系统Down机检测的准确性。 企业网络组建与环境配置+文献综述(9):http://www.751com.cn/jisuanji/lunwen_2609.html