电力行业思科解决方案!HSRP+负载匀衡
亲爱的网友们,座在本本前写出自己的项目经历,真是一种说不出的喜悦啊!
项目简介――
今天我要向大家介绍的是广东省某电力公司采用思科的解决方案组建超级局域网。主要是通过双4507R来实现双机热备和负载匀衡。接入交换机是CISCO-2960-24TC-L
设备简介――
CISCO-4507R是一款中档三层路由交换机,有七个插槽,其中第一、二个插槽是用来插引擎滴,千万不要弄插哦,不然它会痛的。剩下五个插槽全是业务插槽,千兆光口板,千兆电口板等业务板可以随你插了。
CISCO-2960-24TC-L是一款二层接入交换机,2960系列有多款交换机,24口、48口、百兆、千兆、SFP模块等,产品线相当丰富,满足中小型企业的接入需求。
拓扑简介――
出口是CISCO-2821路由器,这是思科在2006年推出的ISR系列路由器中28系列路由器的中档配置,满足企业分支构多种广域网接入方式,E1,T1,ADSL,FR,宽带接入等。
从网络的安全性能考虑,我们给客户推荐了天融信的防火墙作透明。
通过防火墙下联两台CISCO-4507R做双机热备,同时实现负载匀衡。
接入交换机通过光纤冗余接入CISCO-4507R。
实施步骤――
一 完全拓扑连接
二 设备加电、完成设备自检
三 配置路由器
配置外网口IP,网关,默认路由,内网各VLAN 网段回执路由
四 配置防火墙
将防火墙配置成透明模式,实现对包的过滤
五 配置核心交换机
两台设备配置HSRP,所以两台4507R的配置几乎完全一样。
创建CHANNEL,将端口加入CHANNEL
创建VLAN
给各VLAN 接口配置IP,配置STANDBY的IP,以及STANDBY优先级等参数
(在这里有一点提醒大家,如果要在HSRP基础上实现负载匀衡,那么两台交换机的配置是稍有不同的。HSRP是一主一次,只有一台设备转发包,如果要实现负载匀衡,
我们就得让两台设备都工作起来。可以通过设备STANDBY的优先级来实现。具体的配置在后面的实例中详谈。)
配置默认路由指向路由器的内网口IP
配置TRUNK口,封装协议
配置ACL策略
六 配置接入交换机
配置管理IP
配置VLAN
配置TRUNK口
配置文档――
在这里只贴出4507R的配置
C4507R-S#sh run
Building configuration...
Current configuration : 8888 bytes
!
version 12.2
no service pad
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
service compress-config
!
hostname C4507R-S
!
boot-start-marker
boot-end-marker
!
!
redundancy
mode sso
enable secret 5 $1$mDs3$W6xmvv0ZxWxih3VH.7/ES0 ciscoh3c
enable password cisco
!
no aaa new-model
qos
vtp mode transparent
ip subnet-zero
!
!
no file verify auto
spanning-tree mode pvst
spanning-tree extend system-id
power redundancy-mode redundant
!
!
!
vlan internal allocation policy ascending
!
vlan 9,37-38,40-43,60 -----------(创建VLAN)
!
interface Port-channel1-----------(创建CHENNEL)
switchport
switchport trunk encapsulation dot1q
!
interface GigabitEthernet1/1----------(将端口加入CHENNEL)
switchport trunk encapsulation dot1q
channel-group 1 mode on
!
interface GigabitEthernet1/2----------(将端口加入CHENNEL)
switchport trunk encapsulation dot1q
channel-group 1 mode on
!
interface GigabitEthernet3/5
switchport trunk encapsulation dot1q
switchport mode trunk
ip access-group 100 in
!....................--------------(将端口配置成TRUNK,并封装)
.....................--------------(将端口配置成TRUNK,并封装)
interface GigabitEthernet3/48--------------(将端口配置成TRUNK,并封装)
switchport trunk encapsulation dot1q
channel-group 1 mode on
!
interface GigabitEthernet5/1--------------(将端口配置成TRUNK,并封装)
switchport trunk encapsulation dot1q
switchport mode trunk
ip access-group 100 in
........
........
........
interface GigabitEthernet5/18
switchport mode trunk--------------(将端口配置成TRUNK,并封装)
!
interface Vlan1--------------(配置VLAN 接口)
ip address 172.16.1.252 255.255.255.0--------------(配置VLAN 接口IP)
standby 1 ip 172.16.1.254--------------(配置VLAN 接口STANDBY IP,这才是数据转发用的实际IP)
standby 1 preempt--------------(配置HSRP允许抢占优先)
standby 1 priority 110-----------------------(HSRP优先级如何不配置默认是100)
!
interface Vlan9
ip address 172.16.9.252 255.255.255.0
standby 9 ip 172.16.9.254
standby 9 preempt-----------------------(HSRP优先级如何不配置默认是100,因为要实现负载匀衡这个VLAN默认优先级)
!........ ××××××××××××××注意看,VLAN1优先级110,所以它会是VLAN1的STANDBY1组的主,另一台是备!!!!!!!!
VLAN9优先级100,另一台是110,所以这台是备,另一台是主,由此实现负载匀衡!!!!
.........
interface Vlan60
ip address 192.168.60.252 255.255.255.0
standby 60 ip 192.168.60.254
standby 60 preempt
!
ip route 0.0.0.0 0.0.0.0 192.168.60.1--------------(配置默认路由)
no ip http server
!
!--------------(配置ACL策略)
access-list 100 permit tcp 172.16.43.0 0.0.0.255 host 172.16.9.16 eq www
access-list 100 permit tcp 172.16.43.0 0.0.0.255 host 172.16.9.17 eq www
access-list 100 permit tcp 172.16.43.0 0.0.0.255 host 172.16.9.18 eq www
access-list 100 permit ip 172.16.37.0 0.0.0.255 172.16.40.192 0.0.0.15
access-list 100 permit ip 172.16.38.0 0.0.0.255 172.16.40.192 0.0.0.15
access-list 100 permit ip 172.16.41.0 0.0.0.255 172.16.40.192 0.0.0.15
access-list 100 permit ip 172.16.42.0 0.0.0.255 172.16.40.192 0.0.0.15
access-list 100 deny ip 172.16.37.0 0.0.0.255 172.16.40.0 0.0.0.255
access-list 100 deny ip 172.16.37.0 0.0.0.255 172.16.41.0 0.0.0.255
access-list 100 deny ip 172.16.37.0 0.0.0.255 172.16.42.0 0.0.0.255
access-list 100 deny ip 172.16.38.0 0.0.0.255 172.16.37.0 0.0.0.255
access-list 100 deny ip 172.16.38.0 0.0.0.255 172.16.40.0 0.0.0.255
access-list 100 deny ip 172.16.38.0 0.0.0.255 172.16.41.0 0.0.0.255
access-list 100 deny ip 172.16.38.0 0.0.0.255 172.16.42.0 0.0.0.255
access-list 100 deny ip 172.16.41.0 0.0.0.255 172.16.40.0 0.0.0.255
access-list 100 deny ip 172.16.41.0 0.0.0.255 172.16.42.0 0.0.0.255
access-list 100 deny ip 172.16.42.0 0.0.0.255 172.16.40.0 0.0.0.255
access-list 100 deny ip 172.16.43.0 0.0.0.255 192.168.60.0 0.0.0.255
access-list 100 deny ip 172.16.43.0 0.0.0.255 172.16.9.0 0.0.0.255
access-list 100 permit ip any any
!
!
!
line con 0
stopbits 1
line vty 0 4--------------(配置VTY接口)
password cisco
login
line vty 5 15
no login
!
!
end
项目简介――
今天我要向大家介绍的是广东省某电力公司采用思科的解决方案组建超级局域网。主要是通过双4507R来实现双机热备和负载匀衡。接入交换机是CISCO-2960-24TC-L
设备简介――
CISCO-4507R是一款中档三层路由交换机,有七个插槽,其中第一、二个插槽是用来插引擎滴,千万不要弄插哦,不然它会痛的。剩下五个插槽全是业务插槽,千兆光口板,千兆电口板等业务板可以随你插了。
CISCO-2960-24TC-L是一款二层接入交换机,2960系列有多款交换机,24口、48口、百兆、千兆、SFP模块等,产品线相当丰富,满足中小型企业的接入需求。
拓扑简介――
出口是CISCO-2821路由器,这是思科在2006年推出的ISR系列路由器中28系列路由器的中档配置,满足企业分支构多种广域网接入方式,E1,T1,ADSL,FR,宽带接入等。
从网络的安全性能考虑,我们给客户推荐了天融信的防火墙作透明。
通过防火墙下联两台CISCO-4507R做双机热备,同时实现负载匀衡。
接入交换机通过光纤冗余接入CISCO-4507R。
实施步骤――
一 完全拓扑连接
二 设备加电、完成设备自检
三 配置路由器
配置外网口IP,网关,默认路由,内网各VLAN 网段回执路由
四 配置防火墙
将防火墙配置成透明模式,实现对包的过滤
五 配置核心交换机
两台设备配置HSRP,所以两台4507R的配置几乎完全一样。
创建CHANNEL,将端口加入CHANNEL
创建VLAN
给各VLAN 接口配置IP,配置STANDBY的IP,以及STANDBY优先级等参数
(在这里有一点提醒大家,如果要在HSRP基础上实现负载匀衡,那么两台交换机的配置是稍有不同的。HSRP是一主一次,只有一台设备转发包,如果要实现负载匀衡,
我们就得让两台设备都工作起来。可以通过设备STANDBY的优先级来实现。具体的配置在后面的实例中详谈。)
配置默认路由指向路由器的内网口IP
配置TRUNK口,封装协议
配置ACL策略
六 配置接入交换机
配置管理IP
配置VLAN
配置TRUNK口
配置文档――
在这里只贴出4507R的配置
C4507R-S#sh run
Building configuration...
Current configuration : 8888 bytes
!
version 12.2
no service pad
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
service compress-config
!
hostname C4507R-S
!
boot-start-marker
boot-end-marker
!
!
redundancy
mode sso
enable secret 5 $1$mDs3$W6xmvv0ZxWxih3VH.7/ES0 ciscoh3c
enable password cisco
!
no aaa new-model
qos
vtp mode transparent
ip subnet-zero
!
!
no file verify auto
spanning-tree mode pvst
spanning-tree extend system-id
power redundancy-mode redundant
!
!
!
vlan internal allocation policy ascending
!
vlan 9,37-38,40-43,60 -----------(创建VLAN)
!
interface Port-channel1-----------(创建CHENNEL)
switchport
switchport trunk encapsulation dot1q
!
interface GigabitEthernet1/1----------(将端口加入CHENNEL)
switchport trunk encapsulation dot1q
channel-group 1 mode on
!
interface GigabitEthernet1/2----------(将端口加入CHENNEL)
switchport trunk encapsulation dot1q
channel-group 1 mode on
!
interface GigabitEthernet3/5
switchport trunk encapsulation dot1q
switchport mode trunk
ip access-group 100 in
!....................--------------(将端口配置成TRUNK,并封装)
.....................--------------(将端口配置成TRUNK,并封装)
interface GigabitEthernet3/48--------------(将端口配置成TRUNK,并封装)
switchport trunk encapsulation dot1q
channel-group 1 mode on
!
interface GigabitEthernet5/1--------------(将端口配置成TRUNK,并封装)
switchport trunk encapsulation dot1q
switchport mode trunk
ip access-group 100 in
........
........
........
interface GigabitEthernet5/18
switchport mode trunk--------------(将端口配置成TRUNK,并封装)
!
interface Vlan1--------------(配置VLAN 接口)
ip address 172.16.1.252 255.255.255.0--------------(配置VLAN 接口IP)
standby 1 ip 172.16.1.254--------------(配置VLAN 接口STANDBY IP,这才是数据转发用的实际IP)
standby 1 preempt--------------(配置HSRP允许抢占优先)
standby 1 priority 110-----------------------(HSRP优先级如何不配置默认是100)
!
interface Vlan9
ip address 172.16.9.252 255.255.255.0
standby 9 ip 172.16.9.254
standby 9 preempt-----------------------(HSRP优先级如何不配置默认是100,因为要实现负载匀衡这个VLAN默认优先级)
!........ ××××××××××××××注意看,VLAN1优先级110,所以它会是VLAN1的STANDBY1组的主,另一台是备!!!!!!!!
VLAN9优先级100,另一台是110,所以这台是备,另一台是主,由此实现负载匀衡!!!!
.........
interface Vlan60
ip address 192.168.60.252 255.255.255.0
standby 60 ip 192.168.60.254
standby 60 preempt
!
ip route 0.0.0.0 0.0.0.0 192.168.60.1--------------(配置默认路由)
no ip http server
!
!--------------(配置ACL策略)
access-list 100 permit tcp 172.16.43.0 0.0.0.255 host 172.16.9.16 eq www
access-list 100 permit tcp 172.16.43.0 0.0.0.255 host 172.16.9.17 eq www
access-list 100 permit tcp 172.16.43.0 0.0.0.255 host 172.16.9.18 eq www
access-list 100 permit ip 172.16.37.0 0.0.0.255 172.16.40.192 0.0.0.15
access-list 100 permit ip 172.16.38.0 0.0.0.255 172.16.40.192 0.0.0.15
access-list 100 permit ip 172.16.41.0 0.0.0.255 172.16.40.192 0.0.0.15
access-list 100 permit ip 172.16.42.0 0.0.0.255 172.16.40.192 0.0.0.15
access-list 100 deny ip 172.16.37.0 0.0.0.255 172.16.40.0 0.0.0.255
access-list 100 deny ip 172.16.37.0 0.0.0.255 172.16.41.0 0.0.0.255
access-list 100 deny ip 172.16.37.0 0.0.0.255 172.16.42.0 0.0.0.255
access-list 100 deny ip 172.16.38.0 0.0.0.255 172.16.37.0 0.0.0.255
access-list 100 deny ip 172.16.38.0 0.0.0.255 172.16.40.0 0.0.0.255
access-list 100 deny ip 172.16.38.0 0.0.0.255 172.16.41.0 0.0.0.255
access-list 100 deny ip 172.16.38.0 0.0.0.255 172.16.42.0 0.0.0.255
access-list 100 deny ip 172.16.41.0 0.0.0.255 172.16.40.0 0.0.0.255
access-list 100 deny ip 172.16.41.0 0.0.0.255 172.16.42.0 0.0.0.255
access-list 100 deny ip 172.16.42.0 0.0.0.255 172.16.40.0 0.0.0.255
access-list 100 deny ip 172.16.43.0 0.0.0.255 192.168.60.0 0.0.0.255
access-list 100 deny ip 172.16.43.0 0.0.0.255 172.16.9.0 0.0.0.255
access-list 100 permit ip any any
!
!
!
line con 0
stopbits 1
line vty 0 4--------------(配置VTY接口)
password cisco
login
line vty 5 15
no login
!
!
end