案例模拟实验二(模拟双线接入配置)

2.2实战案例——使用模拟器接入互联网2.2.1案例目标（1）通过组网设计，掌握小型网络的组建、路由的设计。

（2）了解在模拟器中，小型网络接入互联网操作。

2.2.2案例分析1.架构分析（1）需求分析在已构建完成的小型局域网中，将网络接入互联网，局域网中实现各个网段互联互通，通过总路由器连接至互联网，在总路由器中添加默认路由策略，并通过动态路由协议分发给其他设备进行学习默认路由。

（2）环境要求配置虚拟网卡的计算机，华为eNSP模拟软件，以及在eNSP模拟器中构建完成的小型局域网。

2.规划拓扑（1）拓扑描述配置完成的局域网络，路由器和交换机之间通过OSPF动态路由协议分发路由策略。

由总路由器设置默认路由访问外网，并通过OSPF下发默认路由。

通过配置Cloud设备，将局域网络与物理机虚拟网卡进行连通，通过物理机虚拟网卡模拟互联网，使物理机可以访问局域网中各个部门PC机。

（2）拓扑图注意：路由器使用AR2220。

该接入互联网拓扑图如图2-2-1所示。

图2-2-1接入互联网拓扑图2.2.3案例实施1.配置Cloud（1）添加Cloud设备将Cloud设备拖入拓扑中，双击Cloud设备进行配置，具体配置如图2-2-2所示。

图2-2-2添加Cloud设备（2）增加UDP端口UDP端口为Cloud设备与虚拟设备的连接端口，如图2-2-3所示。

图2-2-3增加UDP端口（3）添加物理机虚拟网卡选择所使用的虚拟网卡，单击“增加”按钮，可以在下方端口列表中查看添加成功的虚拟网卡，192.168.10.1为当前虚拟网卡地址，如图2-2-4所示。

图2-2-4添加物理机虚拟网卡（4）添加端口映射添加端口映射，入端口编号为UDP端口编号，出端口编号为虚拟网卡编号，勾选“双向通道”复选框，单击下方“增加”按钮，可以在端口映射表中查看添加的端口映射关系，如图2-2-5所示。

图2-2-5添加端口映射（5）连接Cloud和路由器如图2-2-6所示，这时Cloud将有一个GE0/0/1端口，连接至总路由器的GE0/0/2端口。

cisco路由器双线接入配置双线接入配置示例：1.背景和目标在本文档中，将详细介绍如何配置Cisco路由器实现双线接入。

双线接入是通过连接两个不同的ISP（互联网服务提供商）线路来实现高可靠性和带宽扩展的方法。

以下是配置的目标： - 实现双线接入，增加带宽并提高网络的高可用性。

- 设置适当的路由策略，以便在主线路故障时自动切换到备用线路。

2.设备和拓扑在本示例中，我们将使用以下设备进行配置：- Cisco路由器（模型：）- 两个ISP提供的线路（线路1和线路2）网络拓扑如下：```+-------------+---- ISP 1 -------- Line 1 ----+---------------+----+---------------+---- Cisco -------- 路由器 ----+---------------+----+---------------+---- ISP 2 -------- Line 2 ----+-------------+```3.物理连接进行双线接入配置之前，确保正确连接ISP提供的线路到Cisco路由器的相应接口。

线路1连接到接口GigabitEthernet0/0，线路2连接到接口GigabitEthernet0/1.4.IP 地质分配为了正确配置双线接入，您需要为每个接口分配一个IP地质。

例如：- 接口GigabitEthernet0/0：- IP地质.192.168.1.1- 子网掩码.255.255.255.0- 接口GigabitEthernet0/1：- IP地质.192.168.2.1- 子网掩码.255.255.255.0确保您将IP地质和子网掩码与实际环境相匹配。

5.配置路由器下面是如何配置Cisco路由器实现双线接入的基本步骤：5.1.创建静态路由配置静态路由以指定流量如何流向ISP线路。

使用以下命令创建静态路由：```ip route 0.0.0.0 0.0.0.0 <ISP基础路由器IP地质> global```5.2.配置路由跟踪配置路由跟踪以实现对主线路的连通性监控和故障切换功能。

案例模拟实验二【实验背景】企业集团总部通过使用一台USG5320防火墙作为路由连接外网。

各个子公司分别通过电信运营商和联通运营商接入集团总部网络。

【实验目的】1.了解防火墙的基本工作原理；2.掌握防火墙安全区域的划分配置；3.掌握防火墙基本安全策略的配置；4.掌握防火墙NAT的基本配置。

【实验内容】模拟配置USG5320防火墙，实现防火墙基本功能。

区域划分，双线接入，内网外网隔离。

【实验环境】计算机一台，华为模拟软件ensp【实验原理】一、安全区域在防火墙中引入“安全区域”的概念是为了对流量来源进行安全等级的划分，以判断何时对流量进行检测。

通常情况下，相同安全区域中的流量流动是不需要检测的，而跨安全区域的流量由于存在安全风险，是需要受到防火墙控制的。

（详见配置指南7.2.1、7.2.2、7.2.3、7.2.4）二、安全策略安全策略用于对流经设备或访问设备的流量进行安全检查、控制哪些流量可以通过或访问设备。

如果安全策略错误将直接影响网络的正常通信。

（详见配置指南7.5.1、7.5.2、7.5.3、7.5.4）三、配置NATNAT 主要用于多个私网用户使用一个公网IP 地址访问外部网络的情况，从而减缓可用IP 地址资源枯竭的速度。

随着NAT 技术的发展，NAT 已经不仅可以实现源地址的转换，还可以实现目的地址的转换。

（详见配置指南7.9.1、7.9.2、7.9.3、7.9.4、7.9.5、7.9.9.1、7.9.9.2）【实验拓扑】在模拟实验一拓扑结构基础上，模拟双线接入的连接，为了进行配置的测试，电信和联通端的设备用两台主机来模拟。

【实验步骤】IP地址规划：1. 配置硬件接口地址<USG5320>system view[USG5320]interface GigabitEthernet0/0/0 #进入g0/0/0[USG5320-GigabitEthernet0/0/1]ip address 119.97.211.26 255.255.255.252 #为g0/0/0配置IP地址[USG5320]interface GigabitEthernet0/0/1[USG5320-GigabitEthernet0/0/1]ip address 220.249.97.114 255.255.255.248[USG5320]interface GigabitEthernet0/0/2[USG5320-GigabitEthernet0/0/2] ip address 10.0.0.1 255.255.255.2402.划分安全区域，把相应的接口加入到安全区域内#将集团总部内网划分到trust区域[USG5320]firewall zone trust[USG5320-zone-trust]add interface GigabitEthernet0/0/2[USG5320-zone-trust]description to-neiwang#将连接电信的外网划分到untrust区域[USG5320]firewall zone untrust[USG5320-zone-untrust] add interface GigabitEthernet0/0/0[USG5320-zone-trust]description to-dianxin#将连接联通的外网划分到isp区域[USG5320]firewall zone name isp[USG5320-zone-isp]set priority 10[USG5320-zone-isp] add interface GigabitEthernet0/0/1[USG5320-zone-trust]description to-liantong3.配置基本安全策略（1）配置域间包过滤，以保证网络基本通信正常[USG5320]firewall packet-filter default permit interzone local trust direction inbound [USG5320]firewall packet-filter default permit interzone local trust direction outbound[USG5320]firewall packet-filter default permit interzone local untrust direction inbound[USG5320]firewall packet-filter default permit interzone local untrust direction outbound[USG5320]firewall packet-filter default permit interzone local isp direction inbound[USG5320]firewall packet-filter default permit interzone local isp direction outbound（2）禁止内网访问外网，允许外网数据流通过#untrust->trustpolicy interzone trust untrust inboundpolicy 0action permit#trunst->untrustpolicy interzone trust untrust outboundpolicy 0action deny#isp->trustpolicyinterzone trust isp inboundpolicy 0action permit#trust->isp2policyinterzone trust isp outboundpolicy 0action deny（3）禁止ftp、qq、msn通信#firewall interzone trust untrustdetect ftpdetect qqdetect msn#firewall interzone trust ispdetect ftpdetect qqdetect msn4.NAT配置(此部分配置再参考案例模拟实验四中的相关配置)（1）创建地址池电信：nat address-group 0 119.97.211.26 119.97.211.26联通：nat address-group 1 220.249.97.114 220.249.97.118（2）配置转换策略#通过电信访问Internetnat-policy interzone trust untrust outboundpolicy 902action source-natpolicy source 10.0.0.0 0.0.255.255address-group 0#通过联通访问Internetnat-policy interzone trust isp outboundpolicy 900action source-natpolicy source 10.0.0.0 0.0.255.255address-group 15.验证给“dianxin”这台主机配置相应的IP地址，与业务服务器进行互ping。

实验二组建双机互联对等网教学目标：1、了解二种地址：MAC地址和IP地址2、理解IP地址的四要素：IP地址、子网掩码、默认网关、DNS服务器地址3、掌握IP地址的设置方法和查看方法4、使用双绞线连接PC组建双机互联对等网络5、测试二台电脑的连通性教学过程：一、电脑的二种地址MAC地址和IP地址MAC地址：其实是网卡地址。

每个MAC地址由6个字节组成，格式为字节1－字节2－字节3－字节4－字节5－字节6有些系统或书中也可能用其它的格式来表示，如字节1字节2：字节3字节4：字节5字节6字节1字节2－字节3字节4－字节5字节6MAC地址分2部分：前3个字节表示网卡的生产厂商，后三个字节网卡的编号，所以世界上任何一张网卡的MAC地址应该都是不同的。

IP地址：是电脑的逻辑地址。

由系统管理员分配设置。

IP地址由32个二进制位组成，如11000000101010000000101100011000，由于这样长的一串数字既不好写，也不好记，所以32位二进制数常常记成4个字节，因为8个二进制数可以用一个字节来表示。

32个二进制数11000000101010000000101100011000分成4组11000000 10101000 00001011 00011000每组用一个字节表示C0 A8 0B 18每组用一个十进制数表示192 168 11 24点分十进数表示192 • 168• 11• 24二、IP地址的四要素⑴IP地址可以手工指定但必须适合整个网络的规划，也可以由DHCP服务器自动分配⑵子网掩码一般有以下三种：255.0.0.0 或255.255.0.0 255.255.255.0子网掩码的作用是为了把IP地址分成“网络号和主机号”二部分，子网掩码与IP地址都由4个字节组成，子网掩码为255所对应的IP地址部分为网络号，子网掩码为0所对应的IP地址部分为主机号。

例1：IP地址192.168. 11. 1子网掩码255.255.255. 0由于子网掩码由3个255，所以IP地址中前3个字节表示网络号，后1个字节表示主机号例2：指出以下IP地址中的网络号，主机号分别是多少？IP地址：10.100.204.201 172.18.0.5 192.168.1.5 172.16.1.8子网掩码：255.0.0.0 255.255.0.0 255.255.255.0 255.255.255.0⑶默认网关。

双线实施方案一、双线技术分析什么是双线?一台服务器同时接入电信和网通的线路，这种方式比CDN镜像效果更好，同时避免主站跟镜像站数据不同步的问题。

消除了国内两大运营商之间互联的瓶颈造成的影响，实现了跨运营商的网络加速，提高用户访问的速度，远程访问用户通过独创的EDNS智能解析技术,智能自动选择最快的路由，加快远程访问的速度，这种技术有效地缓解了互联网的拥塞。

使网站全面加速，实现全国高速访问！双线路基本常识1．服务器被访问的速度由哪些因素决定？服务器的硬件配置(包括服务器的类型、CPU、硬盘速度、内存大小、网卡速度等)服务器所在的网内环境与速度服务器所在的网络环境与Internet骨干网相联的速率China Net的国际出口速率访问者的ISP (Internet接入服务提供商)与China Net之间的专线速率访问者的ISP (Internet接入服务提供商)向客户端开放的端口接入速率访问者计算机的配置，Modem的速率、电话线路的质量等2．什么叫双线路技术？服务器双线路接入技术（简称双线路技术）就是在一个互联网数据中心（IDC），通过特殊的技术手段。

把不同的网络接入商（ISP）服务接入到一台服务器或一个服务器集群上面，来使其所提供的网络服务访问用户能尽可能以同一个ISP或互访速度较快的ISP连接来进行访问，从而解决或者减轻跨ISP用户访问网站的缓慢延迟（网络瓶颈）问题。

3．为什么会产生双线路技术？众所周知，中国互联网络(CHINA NET)服务商主要有分为南方的中国电信和北方的中国网通两家国有企业来共同分担CHINA NET网络服务，故而南北互通问题就成为中国互联网用户和网络内容服务商（ICP）最为头痛的问题。

商业化网站服务越来越多了，而浏览者和客户也越来越挑剔。

在中国互联网络行业中厉经了泡沫经济的网络服务业者，已经相当深刻的意识到：“只有真正的给网民以优质贴切的服务，才是所有网站的唯一出路！”故而，低成本的给网民和客户等访问者提供高速的网络信息服务，是每个网络信息服务业者们一直所梦寐以求的。

cisco路由器双线接入配置正文：一、背景介绍在企业网络中，为了保证网络的可靠性和带宽的充足性，常常需要使用双线接入配置。

本文档将详细介绍如何对Cisco路由器进行双线接入配置。

二、硬件准备在进行双线接入配置前，请确保已准备好以下硬件设备： 1·Cisco路由器（型号：X）2·两条宽带线路（如：ADSL、光纤等）3·两个以太网接口的适配器三、配置步骤1·连接硬件设备将两条宽带线路分别连接到Cisco路由器的两个以太网接口上，并确保连接正常。

2·进入路由器配置界面通过串口或SSH连接工具登录路由器，进入路由器配置界面。

3·配置IP地质为每个以太网接口配置IP地质，并启用接口。

例如： ```interface Ethernet0/0ip address 192·168·1·1 255·255·255·0no shutdowninterface Ethernet0/1ip address 192·168·2·1 255·255·255·0no shutdown```4·配置静态路由配置静态路由以实现双线的负载均衡和冗余。

例如： ```ip route 0·0·0·0 0·0·0·0 192·168·1·254 ip route 0·0·0·0 0·0·0·0 192·168·2·254```5·配置动态路由协议（可选）如果需要使用动态路由协议，可以根据实际需求配置OSPF、EIGRP等协议。

6·配置负载均衡为了实现双线的负载均衡，可以使用路由器自带的负载均衡功能，如PBR（Policy-Based Routing）等。

双出口映射方案配置说明案例背景:随着用户对业务可靠性及冗余性的持续关注，有些用户处会有两条或多条链路接入公网，同时把内部服务器对外提供不同链路上的多个公网IP 的访问。

本例将详细介绍双出口映射方案的配置及注意事项。

声明：下图为案例，非实际数据。

案例拓扑：先看改造后的拓扑图：: 192.168.1.100/24: 192.168.1.200/24IPFe2远端客户端图2—改造方案后拓扑图该拓扑图最重要的变化就是在该服务器上配置了两个IP ，此方案对服务器的要求就是可以使用多个IP 地址提供相关的服务应用（如IIS 、Server-U 等等服务软件）。

当前环境适用。

双出口IP 映射最关键的问题是在回包过程的路由问题，而我们可以通过把网通出口的IP 映射到Server_IP1（网通）: 192.168.1.100/24，电信出口的IP 映射到Server_IP2（电信）: 192.168.1.200/24。

然后设置源地址策略路由对不同的源地址选取相应的出口。

总结一下：解决该问题的关键就是通过在服务器上对应于不同的出口IP 配置不同的映射地址，并在防火墙做好相对应的映射关系，最后对回包可以根据这几个不同的源地址，进行源地址策略路由。

这样我们就能够实现远端客户端的访问从哪个外网口进，就从哪个外网口出。

该方案具体配置如下：防火墙的主要配置a、网络配置b、IP映射规则c、策略路由配置d、静态路由配置e、包过滤配置对于PowerV防火墙而言，地址转换规则（包括IP映射规则等）和包过滤规则的访问控制是分开来进行处理的。

所以在做好IP映射之外，还需配置相应的包过滤规则，才能实现正常的访问。

配置小结：1、对应两个出口，则在服务器上配置两个IP，多个出口以此类推。

2、对应不同的外网口，在防火墙设置相应的IP映射到服务器上相应的IP。

比如：Wan1→Server1,Wan2→Server23、通过对服务器不同的源地址进行策略路由选路：Server1→Wan1对应的出口，Server1→Wan2对应的出口。