经典案例:企业H3C组网实例
发布时间:2020-07-22 06:20:26
来源:网络
阅读:16639
作者:Mr大表哥
栏目: 网络安全
博主QQ:819594300
博客地址:http://zpf666.blog.51cto.com/
有什么疑问的朋友可以联系博主,博主会帮你们解答,谢谢支持!
随着企业信息化不断的深入,对网络设备和链路的可靠性、安全性、可管理型提出了更高的要求,本案例通过一个企业网总部及分支的拓扑和配置,列出了当前构建中小型企业网络的主流技术,涉及网关备份、链路冗余、路由控制、访问控制、设备管理等网络技术。
案例中有7台设备,企业网总部有3台交换机,两台路由器;分支有一台路由器通过电信10M专用线路和联通的2M专用备份线路与总部通信;另外一台路由器模拟internet。
案例中总部有两个应用网段:一个是业务192网段,另一个是OA的172网络,分别与分支的业务网段和OA网段通信。
一、前置知识点
1、MSTP
MSTP由IEEE制定的802.1S标准定义,它可以弥补STP和RSTP的缺陷,既可以快速收敛,也能使用不同的VLAN流量沿各自的路径转发,从而为冗余链路提供了更好的复杂分担机制。MSTP的特点如下:
1)MSTP把一个交换网络划分成多个域,每个域内形成多棵生成树,生成树之间彼此独立。
2)MSTP通过设置VLAN与生成树的对应关系(VLAN映射表),将VLAN与生成树联系起来。并通过“实例”的概念,将多个VLAN捆绑到一个实例中,从而达到了节省通信开销和降低资源占用率的目的。
3)MSTP将环路网络修建成为一个无环的树形网络,避免报文在环路网络中的增生和无线循环,同时还提供了数据转发的多个冗余路径,在数据转发过程中实现VLAN数据的负载分担。
4)MSTP兼容STP和RSTP。
2、VRRP
VRRP将局域网内的一组路由器划分在一起,称为一个备份组。备份组由一个master路由器和多个backup路由器组成,功能上相当于一台虚拟路由器。VRRP备份组具有以下特点。
1)虚拟路由器具有IP地址,称为虚拟地址。局域网内的主机仅需要知道这个虚拟路由器的ip地址,并将其设置为默认路由的下一跳地址。网络内的主机通过这个虚拟路由器与外部网络进行通信。
2)备份组内的路由器根据优先级,选举出master路由器,承担网关功能。其他路由器作为backup路由器,当master路由器发生故障时,取代master路由器继续履行网关职责,从而保证网络内的主机不间断地与外部网络进行通信。
3、ACL
基本ACL:编号范围2000-2999,支持报文的源ip地址。
高级ACL:编号范围3000-3999,支持报文的源ip地址、目的ip地址、报文的优先级、ip承载的协议类及特性等三、四层信息。
4、命令参考
1)ospf的配置
ospf 1
default-route-advertise always 在ospf区域发布外部默认路由
area 1
net 10.255.23.1 0.0.0.0
abr-summary 172.17.0.0 255.255.0.0 not-advertise 不发布聚合后的路由条目
int g0/0
ospf cost 1000 配置接口的路由成本,路由选路
dis ip routing-table protocol ospf 查看ospf学习到的路由条目
2)stp的配置:
stp instance 1 root primary 设置为实例1的根网桥
stp instance 2 root secondary 设置为实例2的备份根网桥
stp region-configuration 进入stp的域视图,一个域必须有相同的域名、修正级别、vlan映射
region-name h4c stp域名
revision-level 3 修正级别(可选,用于确定一个域,默认0)
instance 1 vlan 10 实例1映射为vlan10
instance 2 vlan 20
active region-configure 激活域
dis stp brief 查看stp信息:root根端口,desi指定端口,alte阻塞端口
3)vrrp的配置:vlan10为例
int vlan 10
vrrp vrid 1 virtual-ip 172.16.0.254 配置vrrp的虚拟ip
vrrp vrid 1 priority 120 vrrp的优先级
vrrp vrid 1 track 2 priority reduced 30 跟踪vlan2,vlan2宕掉时优先级降低30
dis vrrp 查看vrrp的状态
4)esay_ip的配置:
acl basic 2000 配置acl
rule 0 permit source 172.16.0.0 0.0.0.255 允许nat的网络
rule 5 permit source 172.17.0.0 0.0.255.255
int g0/0
nat outbound 2000 应用easy_ip
dis nat session verbos 查看nat转换信息
ping -a 172.16.0.10 202.98.192.57 指定以172.16.0.10为源地址ping目标主机
二、实验案例
1、案例拓扑图
2、实验要求:
1)按拓扑要求配置ip地址和vlan及默认路由,R4模拟外网不配置到内网的路由
2)将总部网络在ospf区域0发布,分支网络在ospf1区域发布
3)配置stp,sw1为实例0和实例1(vlan10)的主根,vlan20的备份根,sw2与之相反
4)配置vrrp,sw1为vlan10的master,sw2为vlan20的master并track监视上行端口
5)配置ospf路径选择,总部与分支的通讯全部通过电信链路通讯,联通链路只做备份
并且电信链路故障时只有vlan20的数据可以使用备份链路
6)配置easy_ip,实现只有vlan10可以访问到R4(外网)
3、实验步骤
1)按拓扑要求配置ip地址和vlan及默认路由,R4模拟外网不配置到内网的路由。
配置SW1:
SW2:
SW3:
R1:
R2:
R3:
R4:
2)将总部网络在ospf区域0发布,分支网络在ospf1区域发布
SW1:
SW2:
SW3:
R1:
R2:
R3:
在R1上查看路由表
然后在R1上测试ping通性:
3)配置stp,sw1为实例0和实例1(vlan10)的主根,vlan20的备份根,sw2与之相反
SW1:
SW2:
SW3:
分别在三台交换机上查看MSTP:命令是dis stp brief
说明:端口状态ALTE:表示在本实例中端口处于阻断状态。
同一台设备同一实例下的两个端口为DESI状态:表示这台设备为该实例下的主根。
如果出现了MAST状态的端口:表示域配置信息有误,出现了多个域。
4)配置vrrp,sw1为vlan10的master,sw2为vlan20的master并track监视上行端口
SW1:
SW2:
在SW1和SW2上分别查询dis vrrp(显示主从设备):
5)配置ospf路径选择,总部与分支的通讯全部通过电信链路通讯,联通链路只做备份,并且电信链路故障时只有vlan20的数据可以使用备份链路
R3:
说明:发现有到达172.16.0.0/24下一跳有2个,分别是10.255.13.1(R1)和10.255.23.1(R2)
然后执行dis ip routing-table protocol ospf可以看到与ospf相关的路由。
执行如下命令:
然后再次执行dis ip routing-table 发现到达172.16.0.0/24下一跳只剩下了10.222.13.1(电信):
接下来使用R3 ping 172.16.0.10(sw3的vlan10)还可以通:
测试R3上的172.17.1.1到172.16.0.10(即测试分部的vlan10到总部的vlan10的连通性)可以通:
再测试R3上的192.168.100.1到172.16.0.10(即测试分部的vlan20到总部的vlan10的连通性)可以通:
R2:
上图中,做的是聚合分支,阻止172.17.0.0/16网段向总部发送。
测试:断掉R3和R1之间的线(即可以关闭R3的g0/1口)在R3上ping -a 192.168.100.1 172.16.0.10可以通,ping -a 172.17.1.1 172.16.0.10则就不通了,则为成功:
在R3上继续配置:
上图中,发现next hop全部都是10.255.13.1。
上两张截图可以看到:ping -a 172.16.0.10202.98.192.57不通
Ping -a 192.168.0.10 202.98.192.57不通。
6)配置easy_ip,实现只有vlan10可以访问到R4(外网)
R1:
然后在SW3上再次ping -a 192.168.0.10202.98.192.57还是不通,ping -a 172.16.0.10 202.98.192.57也不通,原因是因为r1上ospf问题,默认路由没有引入。
在R1上:
然后到SW3上执行dis ip routing-table protocolospf:
上图中发现多了到0.0.0.0的两条默认路由。
再次在SW3上ping -a 172.16.0.10202.98.192.57通了
Ping -a 192.168.0.10 202.98.192.57还是不通就对了:
在R1上执行:disnat session verbose查看nat转换信息:
