赞
踩
通过命令dis int Eth-Trunk可查看链路聚合运行状态即可测试是否成功运行。以H_SW1为例,如图所示:
在内网机器上使用tracert命令即可查看vlan10 20 30 40与核心交换机通信时是否在各自的主用根桥上,可测试MSTP是否成功运行,如图所示:
正常情况下vlan10与vlan30都通过各自MSTP配置下的主用根桥。人为致使网关设备或者网关设备上行链路出现故障,查看备用链路能否及时切换,以使得网络通信依然正常。这里使H_SW2宕机,查看VLAN30机器是否能正常访问外网,如图所示:
在vlan30的主用根桥C_SW6宕机之后,vlan30的机器流量切换到备用根桥H_SW1上,且依旧能够正常访问外网。
总公司两个防火墙采用了负载分担的模式实现双机热备,正常运行时两台防火墙HRP状态,如图所示:
正常运行时,两台防火墙的本端与对端状态都显示为active,也就是两台防火墙互为主备,是负载分担模式生效的证明。这里关闭防火墙FW2模拟宕机并使用命令display vrrp brief查看前后对比,测试如图所示:
测试结果可看出,当两台互为主备的防火墙FW1与FW2正常运作时,在设备上配置的两个用于负载分担的VRRP虚拟地址互为主备。当防火墙FW2宕机后,由防火墙FW1接手所有业务流量。
这里DMZ区服务器开启HTTP并在根目录文件中放入index.html网页提供web服务访问。使用外网机器多次访问服务器地址100.100.100.5与200.200.200.5的index.html。然后可在Web管理防火墙页面查看流量情况,如图所示:
三台服务器的显示的会话数分别是16、15、15,也就是三台服务器接受的用户访问次数基本一致,这证明运用了简单轮询的算法实现的顺序分配并循环的负载均衡方式。
这里以两个防火墙通往ISP2的接口shutdown后vlan40的测试为例。如图所示:
分公司机器与总公司内网机器互相ping来验证IPSec VPN是否生效,验证结果如图所示:
从测试结果来看,在IPSec VPN生效时,总公司与分公司内网用户可以互通访问。
在VMware上的Windows7系统上启动SecoClient客户端连接,然后ping内网机器,可测试L2TP是否生效,结果如图:
从图中结果得知,当L2TP VPN连接生效时,不仅L2TP VPN客户端可以访问内网用户,也可以在防火墙会话列表中查看到L2TP隧道的记录,来证明L2TP VPN可以正常使用。
这里使用内网机器访问外网地址10.10.100.3,然后在防火墙上使用命令dis firewall sessions tables可查看NAT转换,这里以vlan10机器访问外网,在防火墙FW1上为例如图所示:
从防火墙会话表记录来看,内网vlan10网段用户访问公网地址10.10.100.3的时候,NAT转换生效将该用户的IP地址192.168.10.149,端口49856转换为地址池中地址100.100.100.2,端口为2078,NAT地址转换功能验证成功。
使用客户端连接WLAN,输入密码后查看分配的IP地址看是否能上外网,测试如图所示:
连接WLAN输入密码“a1234567”并连接成功,可以看到客户端成功分配到了IP地址并访问公网地址成功。
测试连接同个WLAN的两个移动客户端互相ping测试用户隔离是否生效以及ping内网机器看是否能够访问,如图所示:
从测试结果看出连接WLAN的访客客户端无法访问内网网段,这是ACL配置生效的证明,且无法访问连接同个WLAN下的用户,用户隔离也成功生效。
该博客主要对企业网络设计中需要实现的网络可靠性、远程办公、网络安全、WLAN业务以及NAT这些技术要点进行测试验证,通过验证测试防火墙所配置的双机热备以及双出口ISP、内网设备上MSTP与VRRP配置、服务器区的负载均衡、IS-IS模拟的ISP运营商、内网用户通过NAT转换访问公网、WLAN区域配置以及一些安全策略的应用,证明了本设计的企业网络是切实可行的。
Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。