【正文】 HSRP 設(shè)計(jì)如圖 4 所示：C o r e S w 1s w 1C o r e S w 2s w 2s w 3v l a n 1 0v l a n 2 0v l a n 3 01 9 2 . 1 6 8 . 1 0 . 0 / 2 41 9 2 . 1 6 8 . 2 0 . 0 / 2 41 9 2 . 1 6 8 . 3 0 . 0 / 2 4v l a n 1 11 9 2 . 1 6 8 . 1 1 . 0 / 2 4v l a n 2 11 9 2 . 1 6 8 . 2 1 . 0 / 2 4v l a n 3 11 9 2 . 1 6 8 . 3 1 . 0 / 2 4H S R P 主 路 由 ： C o r e S w 1 優(yōu) 先 級(jí) ： 1 5 0H S R P 備 份 路 由 ： C o r e S w 2 優(yōu) 先 級(jí) ： 1 0 0H S R P 主 路 由 ： C o r e S w 2 優(yōu) 先 級(jí) ： 1 5 0H S R P 備 份 路 由 ： C o r e S w 1 優(yōu) 先 級(jí) ： 1 0 0H S R P 主 路 由 ： C o r e S w 1 優(yōu) 先 級(jí) ： 1 5 0H S R P 備 份 路 由 ： C o r e S w 2 優(yōu) 先 級(jí) ： 1 0 0H S R P 主 路 由 ： C o r e S w 1 優(yōu) 先 級(jí) ： 1 5 0H S R P 備 份 路 由 ： C o r e S w 2 優(yōu) 先 級(jí) ： 1 0 0H S R P 主 路 由 ： C o r e S w 1 優(yōu) 先 級(jí) ： 1 5 0H S R P 備 份 路 由 ： C o r e S w 2 優(yōu) 先 級(jí) ： 1 0 0H S R P 主 路 由 ： C o r e S w 2 優(yōu) 先 級(jí) ： 1 5 0H S R P 備 份 路 由 ： C o r e S w 1 優(yōu) 先 級(jí) ： 1 0 0V L A N 1 0 虛 擬 網(wǎng) 關(guān) ： 1 9 2 . 1 6 8 . 1 0 . 1 0 1 / 2 4V L A N 1 1 虛 擬 網(wǎng) 關(guān) ： 1 9 2 . 1 6 8 . 1 1 . 1 0 1 / 2 4V L A N 2 0 虛 擬 網(wǎng) 關(guān) ： 1 9 2 . 1 6 8 . 2 0 . 1 0 1 / 2 4V L A N 2 1 虛 擬 網(wǎng) 關(guān) ： 1 9 2 . 1 6 8 . 2 1 . 1 0 1 / 2 4V L A N 3 0 虛 擬 網(wǎng) 關(guān) ： 1 9 2 . 1 6 8 . 3 0 . 1 0 1 / 2 4V L A N 3 1 虛 擬 網(wǎng) 關(guān) ： 1 9 2 . 1 6 8 . 3 1 . 1 0 1 / 2 4圖 4 HSRP 設(shè)計(jì)示意圖完成核心層交換機(jī)的 HSRP 命令配置后，Core SW1 和 Core SW2 的輸出如表 2和表 3 所示：表 2 Core SW1 上的 HSRP 狀態(tài)表東華理工大學(xué)本科畢業(yè)設(shè)計(jì)（論文） 局域網(wǎng)設(shè)計(jì)方案25P indicates configured to preempt.Interface Grp Prio P State Active Standby Virtual IPEt0/ 10 150 P Active local Et0/ 11 150 P Active local Et0/ 20 150 P Active local Et0/ 21 150 P Active local Et0/ 30 100 P。4．通過(guò)在交換機(jī)上設(shè)置 VLAN，有效的控制了兩個(gè)子網(wǎng)間的安全。充分利用了帶寬資源，而且實(shí)現(xiàn)了負(fù)載均衡。 本方案的特點(diǎn)1．高度的可靠性，兩臺(tái)路由器之間采用 HSRP（熱備份冗余協(xié)議）協(xié)議，來(lái)保證兩臺(tái)路由器中的任意一臺(tái) down 掉，或路由器的廣域網(wǎng)口 down，都會(huì)迅速切換到另外一臺(tái)。當(dāng)在預(yù)先設(shè)定的一段時(shí)間內(nèi)主動(dòng)路由器不能發(fā)送 hello 消息時(shí)，優(yōu)先級(jí)最高的備用路由器變?yōu)橹鲃?dòng)路由器。路由器的缺省優(yōu)先級(jí)是 100，所以如果只設(shè)置一個(gè)路由器的優(yōu)先級(jí)高于 100，則該路由器將成為主動(dòng)路由器。 HSRP 的工作原理 HSRP 協(xié)議利用一個(gè)優(yōu)先級(jí)方案來(lái)決定哪個(gè)配置了 HSRP 協(xié)議的路由器成為默認(rèn)的主動(dòng)路由器。該 IP 地址、組內(nèi)路由器的接口地址、主機(jī)在同一個(gè)子網(wǎng)內(nèi)，但是不能一樣。在實(shí)際的一個(gè)特定的局域網(wǎng)中，可能有多個(gè)熱備份組并存或重疊。如果活動(dòng)路由器失效，備份路由器將接管成為活動(dòng)路由器。所以主機(jī)仍然保持連接，沒(méi)有受到故障的影響，這樣就較好地解決了路由器切換的問(wèn)題。在 PIX 上配置 OSPF 協(xié)議如下：router ospf 1 logadjacencychanges work area 0 work area 0 work area 0 work area 0 work area 0在核心交換上配置 OSPF 協(xié)議如下：router ospf 1 logadjacencychanges work area 0 work area 0 work area 0 work area 0 work area 0在邊緣交換機(jī) Router 1 上配置 OSPF 協(xié)議如下（NBMA 類(lèi)型，手工指定鄰居，分支機(jī)構(gòu)路由器 Router2 配置類(lèi)似于 Router1）：interface Serial2/1 ip address ip nat inside ip virtualreassembly encapsulation framerelay serial restartdelay 0 clock rate 64000 framerelay map ip 101 no framerelay inversearprouter ospf 1 logadjacencychanges work area 0 work area 0 neighbor 東華理工大學(xué)本科畢業(yè)設(shè)計(jì)（論文） 局域網(wǎng)設(shè)計(jì)方案23 HSRP：熱備份路由器協(xié)議 HSRP 協(xié)議概述實(shí)現(xiàn) HSRP（ Hot Standby Router Protocol）的條件是系統(tǒng)中有多臺(tái)路由器，它們組成一個(gè)“熱備份組 ”，這個(gè)組形成一個(gè)虛擬路由器。訪(fǎng)問(wèn) Inter 的路由在核心交換設(shè)備上配置指向 Inter 接入設(shè)備的默認(rèn)路由，東華理工大學(xué)本科畢業(yè)設(shè)計(jì)（論文） 局域網(wǎng)設(shè)計(jì)方案22使得內(nèi)網(wǎng)可以獲得 Inter 訪(fǎng)問(wèn)。在核心層設(shè)備上進(jìn)行配置，對(duì)相應(yīng)的非 0 區(qū)域的路由表進(jìn)行匯聚。OSPF 其它特性：OSPF 定義了 Stub Area 及 NotSoStubbyArea(NSSA)，為設(shè)計(jì)包含多種路由協(xié)議的混合網(wǎng)絡(luò)，以及控制 LSDB 及路由表的大小提供了手段。沒(méi)有路由跳數(shù)限制：OSFF 路由表是基于 LSDB 運(yùn)行 Dijkstra 算法計(jì)算出來(lái)的，沒(méi)有跳數(shù)限制。同時(shí) OSPF 還引入了外部路由(External Routes)及 ASBR (Autonomous System Boundary Router)概念，非 OSPF 路由均視為外部路由，由 ASBR 注入到 OSPF 域。支持 VLSM：OSPF LSA(Link State Advertisement)中包含子網(wǎng)掩碼。另一方面則在于 OSPF 的開(kāi)放性，為用戶(hù)網(wǎng)絡(luò)今后的擴(kuò)展提供了較大的空間和靈活性，從而獲得了廣泛的認(rèn)可，使之成為內(nèi)部路由協(xié)議的一種較佳選擇。但仍然不及 OSPF 的鏈路狀態(tài)算法成功。每個(gè)路由器都根據(jù)自己的拓?fù)鋽?shù)據(jù)庫(kù)來(lái)確定它在網(wǎng)絡(luò)東華理工大學(xué)本科畢業(yè)設(shè)計(jì)（論文） 局域網(wǎng)設(shè)計(jì)方案21中的位置，并以此計(jì)算自己的路由表。在 OSPF 中，鏈路狀態(tài)數(shù)據(jù)庫(kù)列出了鏈路狀態(tài)路由域中特定區(qū)域的所有鏈路。OSPF 協(xié)議屬于鏈路狀態(tài)路由協(xié)議，鏈路狀態(tài)路由協(xié)議是通過(guò)給每個(gè)路由器提供足夠的信息，使其能構(gòu)建一張完整的網(wǎng)絡(luò)映射圖從而實(shí)現(xiàn)的。大規(guī)模地運(yùn)用 OSPF 協(xié)議的網(wǎng)絡(luò)必須使用分層網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。CISCO 的 IGRP 協(xié)議是可用的，并有更優(yōu)秀的路徑選擇特性，但它屬于專(zhuān)門(mén)的公司且收斂時(shí)間太長(zhǎng)。開(kāi)放式最短路徑優(yōu)先路由選擇協(xié)議(OSPF)是于 20 世紀(jì) 80 年代后期發(fā)展起來(lái),并且早在 90 年代初就由互聯(lián)網(wǎng)組織實(shí)現(xiàn)成為一個(gè)現(xiàn)代的與提供方無(wú)關(guān)的協(xié)議。RIP 和 EIGRP 屬于距離向量協(xié)議，OSPF 屬于鏈路狀態(tài)協(xié)議； RIP 配置簡(jiǎn)單，適合于較小規(guī)模的網(wǎng)絡(luò)，這就限制了網(wǎng)絡(luò)的發(fā)展；EIGRP 路由協(xié)議只適用于所有設(shè)備都是 Cisco 產(chǎn)品的情況，這就限制了網(wǎng)絡(luò)產(chǎn)品的選型，降低了網(wǎng)絡(luò)的靈活性，不適于網(wǎng)絡(luò)規(guī)模的擴(kuò)展；OSPF 雖然配置復(fù)雜，但是非常適合于較大規(guī)模的網(wǎng)絡(luò)。靜態(tài)路由配置簡(jiǎn)單，調(diào)試方便，但由于靜態(tài)路由在網(wǎng)絡(luò)上每增加一個(gè)點(diǎn)時(shí)，都需要在網(wǎng)絡(luò)上所有現(xiàn)有路由器中增加路由，這樣使得靜態(tài)路由不適合于網(wǎng)絡(luò)規(guī)模較大，網(wǎng)絡(luò)不斷發(fā)展的場(chǎng)合，而動(dòng)態(tài)路由因?yàn)樵诰W(wǎng)絡(luò)上的路由器之間相互交換路由信息，增加一個(gè)節(jié)點(diǎn)時(shí)，網(wǎng)絡(luò)上的其他路由器的配置可以不作任何修改，非常便于網(wǎng)絡(luò)的擴(kuò)展，根據(jù)企業(yè)網(wǎng)絡(luò)系統(tǒng)的網(wǎng)絡(luò)規(guī)模、結(jié)構(gòu)和將來(lái)的擴(kuò)展能力，使用動(dòng)態(tài)路由協(xié)議。動(dòng)態(tài)路由是網(wǎng)絡(luò)上的所有路由器互相通告自己所連的網(wǎng)段，各路由器根據(jù)某種算法計(jì)算出到每一點(diǎn)的最佳路徑。使用 VLSM 技術(shù)，在劃分 IP 地址時(shí)應(yīng)該盡可能的減少 IP 地址浪費(fèi)：三層交換設(shè)備之間的互聯(lián) IP 地址使用 30 位子網(wǎng)掩碼（ ） ，以節(jié)約 IP 地址；網(wǎng)絡(luò)設(shè)備管理接口使用 32 位子網(wǎng)掩碼（） ；在訪(fǎng)問(wèn) Inter 時(shí)，使用 NAT 或者 PAT 技術(shù)通過(guò)防火墻設(shè)備進(jìn)行地址或者端口翻譯，把私網(wǎng)地址轉(zhuǎn)換成公網(wǎng)地址，以獲得對(duì) Inter 的訪(fǎng)問(wèn)；各局域網(wǎng)內(nèi)，根據(jù)業(yè)務(wù)情況，本著滿(mǎn)足需求和擴(kuò)展性的要求，劃分并預(yù)留出以下地址段：網(wǎng)絡(luò)設(shè)備地址段、服務(wù)器地址段、辦公網(wǎng)段。因此需要對(duì)企業(yè)網(wǎng)絡(luò)系統(tǒng)的 IP 地址進(jìn)行統(tǒng)一規(guī)劃， IP 地址規(guī)劃方案如下：在整個(gè)網(wǎng)絡(luò)環(huán)境中必須保持 IP 地址的唯一性；根據(jù)業(yè)務(wù)情況，為每個(gè)單位局域網(wǎng)分配一個(gè)或多個(gè) C 類(lèi)地址段（指掩碼為 的地址段） ，或者使用 VLSM 技術(shù)進(jìn)一步進(jìn)行細(xì)化，如分配 64 個(gè)（掩碼 ）或者 32 個(gè)（掩碼 ）地址，滿(mǎn)足當(dāng)前要求，并留有一定的擴(kuò)充余地（如 23 倍） ，便于將來(lái)增加節(jié)點(diǎn)。因?yàn)?IP 地址的規(guī)劃與路由策略息息相關(guān)，所以在以 IP 地址規(guī)劃的基礎(chǔ)上，選擇企業(yè)網(wǎng)絡(luò)平臺(tái)中最優(yōu)的路由設(shè)計(jì)方案，以下詳細(xì)論述了 IP 地址規(guī)劃與路由設(shè)計(jì)方案。在核心層交換機(jī)上配置訪(fǎng)問(wèn)列表如下（由于各個(gè)端口配置相似，故只列出核心交換機(jī) SW1 上的 e0/）：ip accesslist extended e0/evaluate admin deny ip deny ip deny ip deny ip deny ip deny ip permit ip any anyexitip accesslist extended eoutpermit ip any any reflect admin東華理工大學(xué)本科畢業(yè)設(shè)計(jì)（論文） 局域網(wǎng)設(shè)計(jì)方案18int e0/ip accessgroup eout outip accessgroup e0/ inexit IP 地址規(guī)劃與路由設(shè)計(jì)方案路由組織及其方案是 IP 網(wǎng)絡(luò)中的基本問(wèn)題之一，涉及網(wǎng)絡(luò)的連通性、可達(dá)性、穩(wěn)定性、精確性和易管理性，其設(shè)計(jì)的好壞直接影響著網(wǎng)絡(luò)性能。該名稱(chēng)是根據(jù)此訪(fǎng)問(wèn)表的類(lèi)型得來(lái)的。這些開(kāi)啟表項(xiàng)的創(chuàng)建是基于源于設(shè)備的可信方的會(huì)話(huà)進(jìn)行的，例如以太網(wǎng)或令牌環(huán)網(wǎng)的用戶(hù)連接到一個(gè)網(wǎng)段或連接到路由器端口的環(huán)。自反訪(fǎng)問(wèn)表在路由器的一邊創(chuàng)建 I P 流量的動(dòng)態(tài)開(kāi)啟，該過(guò)程是基于來(lái)自路由器另一邊的會(huì)話(huà)進(jìn)行的。 ACL 的定義也是基于每一種協(xié)議的。每個(gè)部門(mén) VLAN 劃入一個(gè)多播地址：Vlan10： Vlan11：Vlan20： Vlan21：Vlan30： Vlan31：在核心交換機(jī)和 PIX 上啟用多播，命令如下：ip multicastroutingint interface ip pim sparsedensemodeip igmp joingroup 配置 PIX 為 RP 的命令如下：ip pim sendrpannounce Loopback0 scope 3 grouplist 50ip pim sendrpdiscovery Loopback0 scope 3東華理工大學(xué)本科畢業(yè)設(shè)計(jì)（論文） 局域網(wǎng)設(shè)計(jì)方案17accesslist 50 permit accesslist 50 pe