条件与需求
假设一个企业园区的建筑和部门结构为: 3栋楼,每栋楼有3个部门,共9个部门。
需求:
希望各栋楼之间线路和核心的网络设备都有冗余。 任意一栋楼网络故障也不影响其他楼。 有一定的负载均衡。 路由器下线也不影响内网之间的访问。 有两条宽带线路冗余。
每个部门都划分一个VLAN。 每栋楼的第1个部门,可以访问本楼其他部门。 第1栋楼的第1个部门,可以访问所有的部门。
规则约定
为了方便阅读理解,做出VLAN、IP、接口之类的内容做出一定的命名及划分缩写。
3栋楼的代号为: A、B、C 各栋楼的汇聚层交换机命名也使用楼代号。
3栋楼下的各自的部门代号为: A: 101、102、103 B: 201、202、203 C: 301、302、303
各部门的接入层交换机命名使用部门代号。
各部门划分的VLAN也使用部门代号。 例如:101 -> VLAN 101
使用 VLAN 10 为作为交换机之间的通讯VLAN。
IP地址的划分约定: 10.x.1.0 第二位用于办公楼/几期/厂区 10.1.x.0 第三位用于楼层/部门/办公室 例如:1期办公楼1楼使用 10.1.1.0
IP地址的定义约定: 数值越小,越靠近上层。 例如:网关使用 10.x.x.1
物理网络接口、链路聚合组编号的分配约定: 在速率一致的情况下,数值越靠后,越靠近上层。 例如:常见的交换机,高速率的上联接口都是分配的在靠后的编号,所以靠后的口一般都是连上一层的。
负载均衡的分流倾向: 101-103、201-203,优先走 SW1 301-303,优先走 SW2
各个部门的VLAN:
| 部门 | VLAN | IP 段划分 | VLAN 网关 | 交换机 |
|---|---|---|---|---|
| 101 | 101 | 10.1.1.0 /24 | 10.1.1.1 | A |
| 102 | 102 | 10.1.2.0 /24 | 10.1.2.1 | A |
| 103 | 103 | 10.1.3.0 /24 | 10.1.3.1 | A |
| 201 | 201 | 10.2.1.0 /24 | 10.2.1.1 | B |
| 202 | 202 | 10.2.2.0 /24 | 10.2.2.1 | B |
| 203 | 203 | 10.2.3.0 /24 | 10.2.3.1 | B |
| 301 | 301 | 10.3.1.0 /24 | 10.3.1.1 | C |
| 302 | 302 | 10.3.2.0 /24 | 10.3.2.1 | C |
| 303 | 303 | 10.3.3.0 /24 | 10.3.3.1 | C |
各路由和交换机的 VLAN 10 地址:
| 位置 | 交换机 | VLAN 10 地址 |
|---|---|---|
| 路由 | RT1 | 10.0.0.2 |
| 路由 | RT2 | 10.0.0.3 |
| 核心层 | SW1 | 10.0.0.10 |
| 核心层 | SW2 | 10.0.0.11 |
| 汇聚层 | A | 10.0.0.20* |
| 汇聚层 | B | 10.0.0.21* |
| 汇聚层 | C | 10.0.0.22* |
*:如果有的话
设备列表
路由器 x2 台
PLAINTEXT
1RT1
2RT2核心层交换机 2x2 台
PLAINTEXT
1SW1、SW1b
2SW2、SW2b汇聚层交换机 3x2 台
PLAINTEXT
1A、Ab
2B、Bb
3C、Cb接入层交换机 9 台
PLAINTEXT
1101、102、103
2201、202、203
3301、302、303后面的b表示这是堆叠的备用机
路由器均使用 HCL 中的 VSR-88 交换机均使用 HCL 中的 S6850
设备连接图
这个是物理连线上的
这是逻辑上的
文末有HCL模拟器和工程文件
命令操作
堆叠
如果需要设备冗余的话,建议优先考虑堆叠。
要做的话,这个要最开始就做,如果不做的话,这段可以跳过。
这里以 SW1和SW1b的堆叠为例
物理连线
STYLUS
1SW1 SW1b
2FortyGigE 1/0/53 <---> FortyGigE 1/0/53
3FortyGigE 1/0/54 <---> FortyGigE 1/0/54核心层交换机 SW1
STYLUS
1//从用户视图进入系统视图
2<H3C>system-view
3
4//先改个名字
5[H3C]hostname SW1
6
7// 改堆叠成员编号1的优先级为32,32是最大优先级,H3C的堆叠功能叫IRF
8[SW1]irf member 1 priority 32
9
10// 把要加入堆叠的端口先关闭,这里打算使用2个端口,1个也行的。
11[SW1]interface range FortyGigE 1/0/53 to FortyGigE 1/0/54
12[SW1-if-range]shutdown
13[SW1-if-range]quit
14
15// 把端口加入堆叠 (第一个1是堆叠成员编号, 第二个1是堆叠端口索引, 端口索引只有1和2两种, 连接的两台设备必须不同才能连接。)
16[SW1]irf-port 1/1
17[SW1-irf-port1/1]port group interface FortyGigE 1/0/53
18[SW1-irf-port1/1]port group interface FortyGigE 1/0/54
19[SW1-irf-port1/1]quit
20
21把端口打开
22[SW1]interface range FortyGigE 1/0/53 to FortyGigE 1/0/54
23[SW1-if-range]undo shutdown
24[SW1-if-range]quit
25
26// 先保存, 再激活堆叠, 因为可能会直接重启, 然后设置又没保存导致失败。
27[SW1]save
28[SW1]irf-port-configuration active核心层交换机 SW1b
STYLUS
1//从用户视图进入系统视图
2<H3C>system-view
3
4//先改个名字,不改也行,因为后面这个名字就没了。
5[H3C]hostname SW1b
6
7//改堆叠成员编号,要重启的
8[SW1b]irf member 1 renumber 2
9[SW1b]quit
10<SW1b>reboot
11
12//改堆叠设备优先级(可以不做, 默认是1)
13<SW1b>system-view
14[SW1b]irf member 2 priority 1
15
16//把端口关闭 (这里为什么是 2/x/xx ?因为之前执行了 irf member 1 renumber 2)
17[SW1b]interface range FortyGigE 2/0/53 to FortyGigE 2/0/54
18[SW1b-if-range]shutdown
19[SW1b-if-range]quit
20
21// 把端口加入堆叠
22[SW1b]irf-port 2/2
23[SW1b-irf-port2/2]port group interface FortyGigE 2/0/53
24[SW1b-irf-port2/2]port group interface FortyGigE 2/0/54
25[SW1b-irf-port2/2]quit
26
27//把端口打开
28[SW1b]interface range FortyGigE 2/0/53 to FortyGigE 2/0/54
29[SW1b-if-range]undo shutdown
30[SW1b-if-range]quit
31
32//先保存, 再激活堆叠, 因为可能会直接重启, 然后设置又没保存导致失败。
33[SW1b]save
34[SW1b]irf-port-configuration activeSW1b 运行完 irf-port-configuration active 后,SW1b会自动启动,可以在SW1上看到各种下线上线的信息。
重启完成后,再连进去SW1b会发现名字也变成了SW1,后面直接操作“SW1”就可以了。
用display interface brief 查看端口,也可以看到合并起来的端口列表。
设置IRF域编号
因为这个网络里面有多个IRF堆叠,而且堆叠中至少应该使用一种MAD检测功能。
接下来会使用链路聚合,所以直接使用LACP MAD检测。
STYLUS
1// 同一个网络中,每个IRF堆叠的编号都应该不一样,以用于LACP MAD检测时区分
2[SW1]irf domain 1
3[SW1]save检查堆叠
STYLUS
1// 显示IRF的相关信息
2[SW1]display irf
3MemberID Role Priority CPU-Mac Description
4 +1 Standby 32 60cf-b73c-0104 ---
5 *2 Master 1 60cf-ba66-0204 ---
6--------------------------------------------------
7 * indicates the device is the master.
8 + indicates the device through which the user logs in.
9
10 The bridge MAC of the IRF is: 60cf-b73c-0100
11 Auto upgrade : yes
12 Mac persistent : 6 min
13 Domain ID : 1
14
15 // 显示IRF中所有成员设备的配置信息
16[SW1]display irf configuration
17 MemberID NewID IRF-Port1 IRF-Port2
18 1 1 FortyGigE1/0/53 disable
19 FortyGigE1/0/54
20 2 2 disable FortyGigE2/0/53
21 FortyGigE2/0/54
22// 显示IRF链路信息
23[SW1]display irf link
24Member 1
25 IRF Port Interface Status
26 1 FortyGigE1/0/53 UP
27 FortyGigE1/0/54 UP
28 2 disable --
29Member 2
30 IRF Port Interface Status
31 1 disable --
32 2 FortyGigE2/0/53 UP
33 FortyGigE2/0/54 UP剩下的SW2、A、B、C的堆叠就不演示了。
链路聚合
链路聚合提高了连接带宽,也实现了线路的冗余。
如果存在交换机及与其连接的交换机,存在逻辑结构的上下级的关系的话,这是链路聚合组的编号分配约定。
STYLUS
11、2、3 是给下一层的交换机用的
210、11、12 是给同一层的交换机用的
320、21、22 是给上一层的交换机用的核心层交换机 SW1
因为模拟器的交换机型号有限,没有大量10G口的型号,所以 核心层交换机 到 路由器 这部分,就先使用千兆口了。
物理连线
STYLUS
1SW1 (Bridge-Aggregation 1) A (Bridge-Aggregation 20)
2Ten-GigabitEthernet 1/0/49 <---> Ten-GigabitEthernet 1/0/51
3Ten-GigabitEthernet 2/0/49 <---> Ten-GigabitEthernet 2/0/51
4
5SW1 (Bridge-Aggregation 2) B (Bridge-Aggregation 20)
6Ten-GigabitEthernet 1/0/50 <----> Ten-GigabitEthernet 1/0/51
7Ten-GigabitEthernet 2/0/50 <----> Ten-GigabitEthernet 2/0/51
8
9SW1 (Bridge-Aggregation 3) C (Bridge-Aggregation 20)
10Ten-GigabitEthernet 1/0/51 <----> Ten-GigabitEthernet 1/0/51
11Ten-GigabitEthernet 2/0/51 <----> Ten-GigabitEthernet 2/0/51
12
13SW1 (Bridge-Aggregation 10) SW2 (Bridge-Aggregation 10)
14Ten-GigabitEthernet 1/0/52 <----> Ten-GigabitEthernet 1/0/52
15Ten-GigabitEthernet 2/0/52 <----> Ten-GigabitEthernet 2/0/52
16
17SW1 (Bridge-Aggregation 20) RT1 (Bridge-Aggregation 1)
18GigabitEthernet 1/0/48 <----> GigabitEthernet 0/0/0
19GigabitEthernet 2/0/48 <----> GigabitEthernet 0/0/1配置命令
STYLUS
1// 从用户视图进入系统视图
2<H3C>system-view
3
4// 没做堆叠改名字的话,先改个名字
5[H3C]hostname SW1
6
7// 创建并进入二层聚合接口组 1,与 汇聚层交换机 连接
8[SW1]interface Bridge-Aggregation 1
9// 改成动态聚合模式下,同时启用了LACP协议
10[SW1-Bridge-Aggregation1]link-aggregation mode dynamic
11// 开启 LACP MAD检测功能(因为开了堆叠,用于来检测用的,没用堆叠可以不开。)
12[SW1-Bridge-Aggregation1]mad enable
13// 然后会回显:
14// You need to assign a domain ID (range: 0-4294967295)
15// [Current domain ID is: 1]:
16// 并提示你要输入域编号,并显示你当前的IRF域编号,你要是输入了别的数字进去,就会把 display irf 里面的 Domain ID 的值给改了。
17// 填错也没事,下一条改成对的,或者直接 irf domain 1 改回来就行。不是很理解这种设计,每条都要填一次。
18[SW1-Bridge-Aggregation1]quit
19// 批量设置端口,因为堆叠了,所以分别使用了两台设备上的端口。
20[SW1]interface range Ten-GigabitEthernet 1/0/49 Ten-GigabitEthernet 2/0/49
21// 将端口添加到聚合组 1
22[SW1-if-range]port link-aggregation group 1
23[SW1-if-range]quit
24
25// 创建并进入二层聚合接口组 2,与 汇聚层交换机 连接
26[SW1]interface Bridge-Aggregation 2
27[SW1-Bridge-Aggregation2]link-aggregation mode dynamic
28[SW1-Bridge-Aggregation2]mad enable
29[SW1-Bridge-Aggregation2]quit
30[SW1]interface range Ten-GigabitEthernet 1/0/50 Ten-GigabitEthernet 2/0/50
31[SW1-if-range]port link-aggregation group 2
32[SW1-if-range]quit
33
34// 创建并进入二层聚合接口组 3,与 汇聚层交换机 连接
35[SW1]interface Bridge-Aggregation 3
36[SW1-Bridge-Aggregation3]link-aggregation mode dynamic
37[SW1-Bridge-Aggregation3]mad enable
38[SW1-Bridge-Aggregation3]quit
39[SW1]interface range Ten-GigabitEthernet 1/0/51 Ten-GigabitEthernet 2/0/51
40[SW1-if-range]port link-aggregation group 3
41
42// 创建并进入二层聚合接口组 10,与 另一台核心交换机 连接
43[SW1]interface Bridge-Aggregation 10
44[SW1-Bridge-Aggregation10]link-aggregation mode dynamic
45[SW1-Bridge-Aggregation10]mad enable
46[SW1-Bridge-Aggregation10]quit
47[SW1]interface range Ten-GigabitEthernet 1/0/52 Ten-GigabitEthernet 2/0/52
48[SW1-if-range]port link-aggregation group 10
49[SW1-if-range]quit
50
51// 创建并进入二层聚合接口组 20,与 路由器 连接
52[SW1]interface Bridge-Aggregation 20
53[SW1-Bridge-Aggregation20]link-aggregation mode dynamic
54[SW1-Bridge-Aggregation20]mad enable
55[SW1-Bridge-Aggregation20]quit
56[SW1]interface range GigabitEthernet 1/0/48 GigabitEthernet 2/0/48
57[SW1-if-range]port link-aggregation group 20
58[SW1-if-range]quit
59
60// 保存
61[SW1]save检查链路聚合
STYLUS
1// 显示链路聚合组的概要
2<SW1>display interface Bridge-Aggregation brief
3Brief information on interfaces in bridge mode:
4Link: ADM - administratively down; Stby - standby
5Speed: (a) - auto
6Duplex: (a)/A - auto; H - half; F - full
7Type: A - access; T - trunk; H - hybrid
8Interface Link Speed Duplex Type PVID Description
9BAGG1 UP 20G(a) F(a) A 1
10BAGG2 UP 20G(a) F(a) A 1
11BAGG3 UP 20G(a) F(a) A 1
12BAGG10 UP 20G(a) F(a) A 1
13BAGG20 UP 2G(a) F(a) A 1 汇聚层交换机 A
因为模拟器的交换机型号有限,没有大量10G口的型号,所以 汇聚层交换机 到 接入层交换机 这部分,就先使用千兆口了。
物理连线
STYLUS
1A (Bridge-Aggregation 1) 101 (Bridge-Aggregation 1)
2 GigabitEthernet 1/0/1 <----> GigabitEthernet 1/0/47
3 GigabitEthernet 2/0/1 <----> GigabitEthernet 1/0/48
4
5A (Bridge-Aggregation 2) 102 (Bridge-Aggregation 1)
6 GigabitEthernet 1/0/2 <----> GigabitEthernet 1/0/47
7 GigabitEthernet 2/0/2 <----> GigabitEthernet 1/0/48
8
9A (Bridge-Aggregation 3) 103 (Bridge-Aggregation 1)
10 GigabitEthernet 1/0/3 <----> GigabitEthernet 1/0/47
11 GigabitEthernet 2/0/3 <----> GigabitEthernet 1/0/48
12
13A (Bridge-Aggregation 10)
14Ten-GigabitEthernet 1/0/49 <---->
15Ten-GigabitEthernet 2/0/49 <---->
16
17A (Bridge-Aggregation 11) B (Bridge-Aggregation 10)
18Ten-GigabitEthernet 1/0/50 <----> Ten-GigabitEthernet 1/0/49
19Ten-GigabitEthernet 2/0/50 <----> Ten-GigabitEthernet 2/0/49
20
21A (Bridge-Aggregation 20) SW1 (Bridge-Aggregation 1)
22Ten-GigabitEthernet 1/0/50 <----> Ten-GigabitEthernet 1/0/49
23Ten-GigabitEthernet 2/0/50 <----> Ten-GigabitEthernet 2/0/49
24
25A (Bridge-Aggregation 21) SW2 (Bridge-Aggregation 1)
26Ten-GigabitEthernet 1/0/51 <----> Ten-GigabitEthernet 1/0/49
27Ten-GigabitEthernet 2/0/51 <----> Ten-GigabitEthernet 2/0/49配置命令
STYLUS
1// 从用户视图进入系统视图
2<H3C>system-view
3
4// 没做堆叠改名字的话,先改个名字
5[H3C]hostname A
6
7// 创建并进入二层聚合接口组 1 ,与 接入层交换机 101 连接
8[A]interface Bridge-Aggregation 1
9[A-Bridge-Aggregation1]link-aggregation mode dynamic
10[A-Bridge-Aggregation1]mad enable
11[A-Bridge-Aggregation1]quit
12[A]interface range GigabitEthernet 1/0/1 GigabitEthernet 2/0/1
13[A-if-range]port link-aggregation group 1
14[A-if-range]quit
15
16// 创建并进入二层聚合接口组 2,与 接入层交换机 102 连接
17[A]interface Bridge-Aggregation 2
18[A-Bridge-Aggregation2]link-aggregation mode dynamic
19[A-Bridge-Aggregation2]mad enable
20[A-Bridge-Aggregation2]quit
21[A]interface range GigabitEthernet 1/0/2 GigabitEthernet 2/0/2
22[A-if-range]port link-aggregation group 2
23[A-if-range]quit
24
25// 创建并进入二层聚合接口组 3,与 接入层交换机 103 连接
26[A]interface Bridge-Aggregation 3
27[A-Bridge-Aggregation3]link-aggregation mode dynamic
28[A-Bridge-Aggregation3]mad enable
29[A-Bridge-Aggregation3]quit
30[A]interface range GigabitEthernet 1/0/3 GigabitEthernet 2/0/3
31[A-if-range]port link-aggregation group 3
32[A-if-range]quit
33
34// 创建并进入二层聚合接口组 10,与 上一台汇聚层交换机 连接
35[A]interface Bridge-Aggregation 10
36[A-Bridge-Aggregation10]link-aggregation mode dynamic
37[A-Bridge-Aggregation10]mad enable
38[A-Bridge-Aggregation10]quit
39[A]interface range Ten-GigabitEthernet 1/0/49 Ten-GigabitEthernet 2/0/49
40[A-if-range]port link-aggregation group 10
41[A-if-range]quit
42
43// 创建并进入二层聚合接口组 11,与 下一台汇聚层交换机 连接
44[A]interface Bridge-Aggregation 11
45[A-Bridge-Aggregation11]link-aggregation mode dynamic
46[A-Bridge-Aggregation11]mad enable
47[A-Bridge-Aggregation11]quit
48[A]interface range Ten-GigabitEthernet 1/0/50 Ten-GigabitEthernet 2/0/50
49[A-if-range]port link-aggregation group 11
50[A-if-range]quit
51
52// 创建并进入二层聚合接口组 20,与 核心层交换机 SW1 连接
53[A]interface Bridge-Aggregation 20
54[A-Bridge-Aggregation20]link-aggregation mode dynamic
55[A-Bridge-Aggregation20]mad enable
56[A-Bridge-Aggregation20]quit
57[A]interface range Ten-GigabitEthernet 1/0/51 Ten-GigabitEthernet 2/0/51
58[A-if-range]port link-aggregation group 20
59[A-if-range]quit
60
61// 创建并进入二层聚合接口组 21,与 核心层交换机 SW2 连接
62[A]interface Bridge-Aggregation 21
63[A-Bridge-Aggregation21]link-aggregation mode dynamic
64[A-Bridge-Aggregation21]mad enable
65[A-Bridge-Aggregation21]quit
66[A]interface range Ten-GigabitEthernet 1/0/52 Ten-GigabitEthernet 2/0/52
67[A-if-range]port link-aggregation group 21
68[A-if-range]quit
69
70// 保存
71[A]save检查链路聚合
STYLUS
1// 显示链路聚合组的概要
2<A>display interface Bridge-Aggregation brief
3Brief information on interfaces in bridge mode:
4Link: ADM - administratively down; Stby - standby
5Speed: (a) - auto
6Duplex: (a)/A - auto; H - half; F - full
7Type: A - access; T - trunk; H - hybrid
8Interface Link Speed Duplex Type PVID Description
9BAGG1 UP 2G(a) F(a) A 1
10BAGG2 UP 2G(a) F(a) A 1
11BAGG3 UP 2G(a) F(a) A 1
12BAGG10 DOWN auto A A 1
13BAGG11 UP 20G(a) F(a) A 1
14BAGG20 UP 20G(a) F(a) A 1
15BAGG21 UP 20G(a) F(a) A 1 接入层交换机 101
物理连线
STYLUS
1101 (Bridge-Aggregation 1) A (Bridge-Aggregation 1)
2 GigabitEthernet 1/0/47 <----> GigabitEthernet 1/0/1
3 GigabitEthernet 1/0/48 <----> GigabitEthernet 2/0/1配置命令
STYLUS
1// 从用户视图进入系统视图
2<H3C>system-view
3
4// 先改个名字
5[H3C]hostname 101
6
7// 创建并进入二层聚合接口组 1 ,与 汇聚层交换机 A 连接
8[101]interface Bridge-Aggregation 1
9
10// 改成动态聚合模式下,同时启用了LACP协议
11[101-Bridge-Aggregation1]link-aggregation mode dynamic
12[101-Bridge-Aggregation1]quit
13
14// 批量设置端口,这里个人倾向使用最末2个。
15[101]interface range GigabitEthernet 1/0/47 to GigabitEthernet 1/0/48
16
17// 将端口添加到聚合组 1
18[101-if-range]port link-aggregation group 1
19[101-if-range]quit
20
21// 保存
22[101]save检查链路聚合
STYLUS
1// 显示链路聚合组的概要
2[101]display interface Bridge-Aggregation brief
3Brief information on interfaces in bridge mode:
4Link: ADM - administratively down; Stby - standby
5Speed: (a) - auto
6Duplex: (a)/A - auto; H - half; F - full
7Type: A - access; T - trunk; H - hybrid
8Interface Link Speed Duplex Type PVID Description
9BAGG1 UP 2G(a) F(a) A 1 路由器 RT1
物理连线
STYLUS
1RT1 (Bridge-Aggregation 1) SW1 (Bridge-Aggregation 20)
2 GigabitEthernet 0/0/0 <----> GigabitEthernet 1/0/48
3 GigabitEthernet 0/0/1 <----> GigabitEthernet 2/0/48 配置命令
STYLUS
1// 从用户视图进入系统视图
2<H3C>system-view
3
4// 先改个名字
5[H3C]hostname RT1
6
7// 创建并进入三层聚合接口组 1 与 核心层交换机 连接
8[RT1]interface Route-Aggregation 1
9[RT1-Route-Aggregation1]link-aggregation mode dynamic
10[RT1-Route-Aggregation1]ip address 10.0.0.2 24
11[RT1-Route-Aggregation1]quit
12[RT1]interface range GigabitEthernet 0/0/0 GigabitEthernet 0/0/1
13[RT1-if-range]port link-aggregation group 1
14[RT1-if-range]quit
15
16// 保存
17[RT1]save检查链路聚合
STYLUS
1// 显示链路聚合组的概要
2[RT1]display interface Route-Aggregation brief
3Brief information on interfaces in route mode:
4Link: ADM - administratively down; Stby - standby
5Protocol: (s) - spoofing
6Interface Link Protocol Primary IP Description
7RAGG1 UP UP -- 其他设备就不演示了。
VLAN
VLAN (虚拟局域网)把一个物理LAN划分成多个逻辑的LAN
核心层交换机 SW1
配置命令
STYLUS
1// 从用户视图进入系统视图
2<SW1>system-view
3
4// 批量创建VLAN
5[SW1]vlan 101 to 103 201 to 203 301 to 303 10
6
7// 进入二层聚合接口组 1,配置 VLAN (如果没有做链路聚合,那就是直接进入端口来配置了。)
8[SW1]interface Bridge-Aggregation 1
9// 配置端口的链路类型为Trunk类型
10[SW1-Bridge-Aggregation1]port link-type trunk
11// 允许指定的VLAN通过当前Trunk端口
12[SW1-Bridge-Aggregation1]port trunk permit vlan 101 to 103 201 to 203 301 to 303
13[SW1-Bridge-Aggregation1]quit
14
15// 进入二层聚合接口组 2,配置 VLAN
16[SW1]interface Bridge-Aggregation 2
17[SW1-Bridge-Aggregation2]port link-type trunk
18[SW1-Bridge-Aggregation2]port trunk permit vlan 101 to 103 201 to 203 301 to 303
19[SW1-Bridge-Aggregation2]quit
20
21// 进入二层聚合接口组 3,配置 VLAN
22[SW1]interface Bridge-Aggregation 3
23[SW1-Bridge-Aggregation3]port link-type trunk
24[SW1-Bridge-Aggregation3]port trunk permit vlan 101 to 103 201 to 203 301 to 303
25[SW1-Bridge-Aggregation3]quit
26
27// 进入二层聚合接口组 10,配置 VLAN
28[SW1]interface Bridge-Aggregation 10
29[SW1-Bridge-Aggregation10]port link-type trunk
30[SW1-Bridge-Aggregation10]port trunk permit vlan 101 to 103 201 to 203 301 to 303
31[SW1-Bridge-Aggregation10]quit
32
33// 进入二层聚合接口组 20,配置 VLAN
34[SW1]interface Bridge-Aggregation 20
35[SW1-Bridge-Aggregation20]port link-type access
36[SW1-Bridge-Aggregation20]port access vlan 10
37[SW1-Bridge-Aggregation20]quit
38
39
40// 创建 VLAN 101 的VLAN接口
41[SW1]interface vlan-interface 101
42// 配置VLAN接口的IP地址 (网关应该是 10.1.1.1 ,为什么定为 10.1.1.2 ? 因为要做VRRP,SW2 用 10.1.1.3 )
43[SW1-Vlan-interface101]ip address 10.1.1.2 24
44[SW1-Vlan-interface101]quit
45
46// 创建 VLAN 102 的VLAN接口
47[SW1]interface vlan-interface 102
48[SW1-Vlan-interface102]ip address 10.1.2.2 24
49[SW1-Vlan-interface102]quit
50
51// 创建 VLAN 103 的VLAN接口
52[SW1]interface vlan-interface 103
53[SW1-Vlan-interface103]ip address 10.1.3.2 24
54[SW1-Vlan-interface103]quit
55
56// 创建 VLAN 201 的VLAN接口
57[SW1]interface vlan-interface 201
58// 配置VLAN接口的IP地址
59[SW1-Vlan-interface101]ip address 10.2.1.2 24
60[SW1-Vlan-interface101]quit
61
62// 创建 VLAN 202 的VLAN接口
63[SW1]interface vlan-interface 202
64[SW1-Vlan-interface102]ip address 10.2.2.2 24
65[SW1-Vlan-interface102]quit
66
67// 创建 VLAN 203 的VLAN接口
68[SW1]interface vlan-interface 203
69[SW1-Vlan-interface103]ip address 10.2.3.2 24
70[SW1-Vlan-interface103]quit
71
72// 创建 VLAN 301 的VLAN接口
73[SW1]interface vlan-interface 301
74// 配置VLAN接口的IP地址
75[SW1-Vlan-interface101]ip address 10.3.1.2 24
76[SW1-Vlan-interface101]quit
77
78// 创建 VLAN 302 的VLAN接口
79[SW1]interface vlan-interface 302
80[SW1-Vlan-interface102]ip address 10.3.2.2 24
81[SW1-Vlan-interface102]quit
82
83// 创建 VLAN 303 的VLAN接口
84[SW1]interface vlan-interface 303
85[SW1-Vlan-interface103]ip address 10.3.3.2 24
86[SW1-Vlan-interface103]quit
87
88// 创建 VLAN 10 的VLAN接口, 用于和路由器通讯
89[SW1]interface vlan-interface 10
90[SW1-Vlan-interface10]ip address 10.0.0.10 24 // SW2 使用 10.0.0.11 24
91[SW1-Vlan-interface10]quit
92
93// 保存
94[SW1]save检查VLAN
STYLUS
1// 显示系统当前存在的Trunk端口
2[SW1]display port trun
3Interface PVID VLAN Passing
4BAGG1 1 1, 101-103, 201-203, 301-303
5BAGG2 1 1, 101-103, 201-203, 301-303
6BAGG3 1 1, 101-103, 201-203, 301-303
7BAGG10 1 1, 101-103, 201-203, 301-303
8XGE1/0/49 1 1, 101-103, 201-203, 301-303
9XGE1/0/50 1 1, 101-103, 201-203, 301-303
10XGE1/0/51 1 1, 101-103, 201-203, 301-303
11XGE1/0/52 1 1, 101-103, 201-203, 301-303
12XGE2/0/49 1 1, 101-103, 201-203, 301-303
13XGE2/0/50 1 1, 101-103, 201-203, 301-303
14XGE2/0/51 1 1, 101-103, 201-203, 301-303
15XGE2/0/52 1 1, 101-103, 201-203, 301-303
16
17// 显示VLAN接口的概要信息
18[SW1]display interface Vlan-interface brief
19Brief information on interfaces in route mode:
20Link: ADM - administratively down; Stby - standby
21Protocol: (s) - spoofing
22Interface Link Protocol Primary IP Description
23Vlan101 UP UP 10.1.1.1
24Vlan102 UP UP 10.1.2.1
25Vlan103 UP UP 10.1.3.1
26Vlan201 UP UP 10.2.1.1
27Vlan202 UP UP 10.2.2.1
28Vlan203 UP UP 10.2.3.1
29Vlan301 UP UP 10.3.1.1
30Vlan302 UP UP 10.3.2.1
31Vlan303 UP UP 10.3.3.1
32
33// 显示聚合接口的概要信息
34[SW1]display interface Bridge-Aggregation brief
35Brief information on interfaces in bridge mode:
36Link: ADM - administratively down; Stby - standby
37Speed: (a) - auto
38Duplex: (a)/A - auto; H - half; F - full
39Type: A - access; T - trunk; H - hybrid
40Interface Link Speed Duplex Type PVID Description
41BAGG1 UP 20G(a) F(a) T 1
42BAGG2 UP 20G(a) F(a) T 1
43BAGG3 UP 20G(a) F(a) T 1
44BAGG10 UP 20G(a) F(a) T 1
45BAGG20 UP 2G(a) F(a) A 1汇聚层交换机 A
配置命令
STYLUS
1// 从用户视图进入系统视图
2<A>system-view
3
4// 批量创建VLAN
5[A]vlan 101 to 103 201 to 203 301 to 303
6// 为什么连 101-103 之外的 VLAN 也创建?为了在同时和SW1 SW2 失联的时候,可以通过同级的汇聚层交换走VLAN数据
7
8// 进入二层聚合接口组 1,配置 VLAN
9[A]interface Bridge-Aggregation 1
10//配置端口的链路类型为Access类型
11[A-Bridge-Aggregation1]port link-type access
12//将Access端口加入到指定VLAN
13[A-Bridge-Aggregation1]port access vlan 101 // 因为这是给 A 下面的 101 102 103 用的,B、C 改成对应的下级交换机
14[A-Bridge-Aggregation1]quit
15
16// 进入二层聚合接口组 2,配置 VLAN
17[A]interface Bridge-Aggregation 2
18[A-Bridge-Aggregation2]port link-type access
19[A-Bridge-Aggregation2]port access vlan 102
20[A-Bridge-Aggregation2]quit
21
22// 进入二层聚合接口组 3,配置 VLAN
23[A]interface Bridge-Aggregation 3
24[A-Bridge-Aggregation3]port link-type access
25[A-Bridge-Aggregation3]port access vlan 103
26[A-Bridge-Aggregation3]quit
27
28// 进入二层聚合接口组 10,配置 VLAN
29[A]interface Bridge-Aggregation 10
30// 配置端口的链路类型为Trunk类型
31[A-Bridge-Aggregation10]port link-type trunk
32// 允许指定的VLAN通过当前Trunk端口
33[A-Bridge-Aggregation10]port trunk permit vlan 101 to 103 201 to 203 301 to 303
34[A-Bridge-Aggregation10]quit
35
36// 进入二层聚合接口组 11,配置 VLAN
37[A]interface Bridge-Aggregation 11
38[A-Bridge-Aggregation11]port link-type trunk
39[A-Bridge-Aggregation11]port trunk permit vlan 101 to 103 201 to 203 301 to 303
40[A-Bridge-Aggregation11]quit
41
42// 进入二层聚合接口组 20,配置 VLAN
43[A]interface Bridge-Aggregation 20
44[A-Bridge-Aggregation20]port link-type trunk
45[A-Bridge-Aggregation20]port trunk permit vlan 101 to 103 201 to 203 301 to 303
46[A-Bridge-Aggregation20]quit
47
48// 进入二层聚合接口组 21,配置 VLAN
49[A]interface Bridge-Aggregation 21
50[A-Bridge-Aggregation21]port link-type trunk
51[A-Bridge-Aggregation21]port trunk permit vlan 101 to 103 201 to 203 301 to 303
52[A-Bridge-Aggregation21]quit
53
54// 保存
55[A]save检查VLAN
STYLUS
1// 显示系统当前存在的Trunk端口
2[A]display port trunk
3Interface PVID VLAN Passing
4BAGG10 1 1, 101-103
5BAGG11 1 1, 101-103
6BAGG20 1 1, 101-103
7BAGG21 1 1, 101-103
8XGE1/0/49 1 1, 101-103
9XGE1/0/50 1 1, 101-103
10XGE1/0/51 1 1, 101-103
11XGE1/0/52 1 1, 101-103
12XGE2/0/49 1 1, 101-103
13XGE2/0/50 1 1, 101-103
14XGE2/0/51 1 1, 101-103
15XGE2/0/52 1 1, 101-103
16
17// 显示聚合接口的概要信息
18[A]display interface Bridge-Aggregation brief
19Brief information on interfaces in bridge mode:
20Link: ADM - administratively down; Stby - standby
21Speed: (a) - auto
22Duplex: (a)/A - auto; H - half; F - full
23Type: A - access; T - trunk; H - hybrid
24Interface Link Speed Duplex Type PVID Description
25BAGG1 UP 2G(a) F(a) A 101
26BAGG2 UP 2G(a) F(a) A 102
27BAGG3 UP 2G(a) F(a) A 103
28BAGG10 DOWN auto A T 1
29BAGG11 UP 20G(a) F(a) T 1
30BAGG20 UP 20G(a) F(a) T 1
31BAGG21 UP 20G(a) F(a) T 1同样的,剩下的SW2、B、C 不演示了。
MSTP
多生成树域,用于防止环路和VLAN的线路的负载均衡。
共用配置命令
所有交换机必须一样的
STYLUS
1// 从用户视图进入系统视图
2<XXX>system-view
3
4// 进入MST域视图
5[XXX]stp region-configuration
6
7// 配置MST域的域名
8[XXX-mst-region]region-name tjxLanMstp
9
10// 配置MSTP的修订级别 (默认就是0,可以跳过)
11[XXX-mst-region]revision-level 0
12
13// 将指定VLAN映射到指定的MSTI上 (把所有相关的 VLAN 都映射到一个 MSTI 上,我直接用VLAN相同的数字了。)
14[XXX-mst-region]instance 101 vlan 101
15[XXX-mst-region]instance 102 vlan 102
16[XXX-mst-region]instance 103 vlan 103
17[XXX-mst-region]instance 201 vlan 201
18[XXX-mst-region]instance 202 vlan 202
19[XXX-mst-region]instance 203 vlan 203
20[XXX-mst-region]instance 301 vlan 301
21[XXX-mst-region]instance 302 vlan 302
22[XXX-mst-region]instance 303 vlan 303
23
24// 激活MST域的配置
25[XXX-mst-region]active region-configuration
26
27// 保存
28[XXX]save检查MST域
STYLUS
1// 显示MST域的预配置信息
2[XXX-mst-region]check region-configuration
3 Admin Configuration
4 Format selector : 0
5 Region name : tjxLanMstp
6 Revision level : 0
7 Configuration digest : 0x15ad9f356fc65725363daf259ad33c8b
8
9 Instance VLANs Mapped
10 0 1 to 100, 104 to 200, 204 to 300, 304 to 4094
11 101 101
12 102 102
13 103 103
14 201 201
15 202 202
16 203 203
17 301 301
18 302 302
19 303 303核心层交换机 SW1
根桥是MSTP网络的逻辑中心,用来确定生成树的最底设备。
这里为了体验差异性和实际应用中的负载均衡的需求。
A,B 楼的VLAN,也就是 101-103,201-203,将以 SW1 做为 根桥
C 楼的VLAN,301-303,将以 SW2 做为 根桥
配置命令
STYLUS
1// 从用户视图进入系统视图
2<SW1>system-view
3
4// 配置本设备为MSTI 0、101 到 103、201 到 203 的根桥。
5[SW1]stp instance 0 101 to 103 201 to 203 root primary
6
7// 配置本设备为MSTI 301 到 303 的备份根桥。
8[SW1]stp instance 301 to 303 root secondary
9
10// 保存
11[SW1]save核心层交换机 SW2
配置命令
STYLUS
1// 从用户视图进入系统视图
2<SW2>system-view
3
4// 配置本设备为MSTI 301 到 303 的根桥。
5[SW2]stp instance 301 to 303 root primary
6
7// 配置本设备为MSTI 0、101 到 103、201 到 203 的备份根桥。
8[SW2]stp instance 0 101 to 103 201 to 203 root secondary
9
10// 保存
11[SW2]save检查生成树
这里以 汇聚层交换机A 举例
STYLUS
1// ROOT : 根端口(Root Port)在非根桥上负责向根桥方向转发数据的端口就称为根端口,根桥上没有根端口。
2// ALTE : 替换端口(Alternate Port)是根端口和主端口的备份端口。当根端口或主端口被阻塞后,替换端口将成为新的根端口或主端口。
3// DESI : 指定端口(Designated Port)负责向下游网段或设备转发数据的端口就称为指定端口。
4
5// 查看设备上生成树的概要信息
6[A]display stp brief
7 MST ID Port Role STP State Protection
8 0 Bridge-Aggregation1 DESI FORWARDING NONE
9 0 Bridge-Aggregation2 DESI FORWARDING NONE
10 0 Bridge-Aggregation3 DESI FORWARDING NONE
11 0 Bridge-Aggregation11 DESI FORWARDING NONE
12 0 Bridge-Aggregation20 ROOT FORWARDING NONE //向根桥转发
13 0 Bridge-Aggregation21 ALTE DISCARDING NONE //替换端口,暂不生效
14 101 Bridge-Aggregation1 DESI FORWARDING NONE
15 101 Bridge-Aggregation11 DESI FORWARDING NONE
16 101 Bridge-Aggregation20 ROOT FORWARDING NONE //向根桥转发
17 101 Bridge-Aggregation21 ALTE DISCARDING NONE //替换端口,暂不生效
18 102 Bridge-Aggregation2 DESI FORWARDING NONE
19 102 Bridge-Aggregation11 DESI FORWARDING NONE
20 102 Bridge-Aggregation20 ROOT FORWARDING NONE //向根桥转发
21 102 Bridge-Aggregation21 ALTE DISCARDING NONE //替换端口,暂不生效
22 103 Bridge-Aggregation3 DESI FORWARDING NONE
23 103 Bridge-Aggregation11 DESI FORWARDING NONE
24 103 Bridge-Aggregation20 ROOT FORWARDING NONE //向根桥转发
25 103 Bridge-Aggregation21 ALTE DISCARDING NONE //替换端口,暂不生效
26 ......VRRP
核心层交换机 SW1
配置命令
STYLUS
1// 配置VRRP工作在负载均衡模式。
2// [SW1]vrrp mode load-balance
3// 你可以使用负载均衡模式,但是使用负载均衡模式就无法通过优先级来控制不同的VLAN走不同的核心交换机
4
5
6// 创建和 VLAN接口 10 物理状态关联的Track项1。如果Track项的状态为Negative,则说明 SW1 的上行接口出现故障。
7[SW1]track 1 interface vlan-interface 10
8[SW1-track-1]quit
9
10
11// 进入 VLAN 接口 101
12[SW1]interface vlan-interface 101
13// 创建备份组1,并配置备份组1的虚拟IP地址为10.1.1.1。(备份组的取值范围只有1-255,如果是 1-4096 我就直接用VLAN值了)
14[SW1-Vlan-interface101]vrrp vrid 1 virtual-ip 10.1.1.1
15// 配置 SW1 在备份组1中的优先级为110,高于 SW2 的默认优先级100,以保证 SW1 成为Master。
16[SW1-Vlan-interface101]vrrp vrid 1 priority 110
17// 配置 SW1 工作在抢占方式,配置抢占延迟时间为3000厘秒,即30秒。
18[SW1-Vlan-interface101]vrrp vrid 1 preempt-mode delay 3000
19// 配置监视Track项1。Track项的状态为Negative时,降低 SW1 优先级 20,使其低于 SW2,使 SW2 成为主
20[SW1-Vlan-interface101]vrrp vrid 1 track 1 priority reduced 20
21[SW1-Vlan-interface101]quit
22
23
24// 进入 VLAN 接口 102
25[SW1]interface vlan-interface 102
26[SW1-Vlan-interface101]vrrp vrid 2 virtual-ip 10.1.2.1
27[SW1-Vlan-interface101]vrrp vrid 2 priority 110
28[SW1-Vlan-interface101]vrrp vrid 2 preempt-mode delay 3000
29[SW1-Vlan-interface101]vrrp vrid 2 track 1 priority reduced 20
30[SW1-Vlan-interface101]quit
31
32
33// 进入 VLAN 接口 103
34[SW1]interface vlan-interface 103
35[SW1-Vlan-interface101]vrrp vrid 3 virtual-ip 10.1.3.1
36[SW1-Vlan-interface101]vrrp vrid 3 priority 110
37[SW1-Vlan-interface101]vrrp vrid 3 preempt-mode delay 3000
38[SW1-Vlan-interface101]vrrp vrid 3 track 1 priority reduced 20
39[SW1-Vlan-interface101]quit
40
41
42// 进入 VLAN 接口 201
43[SW1]interface vlan-interface 201
44[SW1-Vlan-interface101]vrrp vrid 4 virtual-ip 10.2.1.1
45[SW1-Vlan-interface101]vrrp vrid 4 priority 110
46[SW1-Vlan-interface101]vrrp vrid 4 preempt-mode delay 3000
47[SW1-Vlan-interface101]vrrp vrid 4 track 1 priority reduced 20
48[SW1-Vlan-interface101]quit
49
50
51// 进入 VLAN 接口 202
52[SW1]interface vlan-interface 202
53[SW1-Vlan-interface101]vrrp vrid 5 virtual-ip 10.2.2.1
54[SW1-Vlan-interface101]vrrp vrid 5 priority 110
55[SW1-Vlan-interface101]vrrp vrid 5 preempt-mode delay 3000
56[SW1-Vlan-interface101]vrrp vrid 5 track 1 priority reduced 20
57[SW1-Vlan-interface101]quit
58
59
60// 进入 VLAN 接口 203
61[SW1]interface vlan-interface 203
62[SW1-Vlan-interface101]vrrp vrid 6 virtual-ip 10.2.3.1
63[SW1-Vlan-interface101]vrrp vrid 6 priority 110
64[SW1-Vlan-interface101]vrrp vrid 6 preempt-mode delay 3000
65[SW1-Vlan-interface101]vrrp vrid 6 track 1 priority reduced 20
66[SW1-Vlan-interface101]quit
67
68
69// 进入 VLAN 接口 301
70[SW1]interface vlan-interface 301
71[SW1-Vlan-interface101]vrrp vrid 7 virtual-ip 10.3.1.1
72[SW1-Vlan-interface101]vrrp vrid 7 priority 100 //这里为了负载均衡,让301-303 走SW2 ,所以设定为100优先
73[SW1-Vlan-interface101]vrrp vrid 7 preempt-mode delay 3000
74[SW1-Vlan-interface101]vrrp vrid 7 track 1 priority reduced 20
75[SW1-Vlan-interface101]quit
76
77
78// 进入 VLAN 接口 303
79[SW1]interface vlan-interface 302
80[SW1-Vlan-interface101]vrrp vrid 8 virtual-ip 10.3.2.1
81[SW1-Vlan-interface101]vrrp vrid 8 priority 100
82[SW1-Vlan-interface101]vrrp vrid 8 preempt-mode delay 3000
83[SW1-Vlan-interface101]vrrp vrid 8 track 1 priority reduced 20
84[SW1-Vlan-interface101]quit
85
86
87// 进入 VLAN 接口 303
88[SW1]interface vlan-interface 303
89[SW1-Vlan-interface101]vrrp vrid 9 virtual-ip 10.3.3.1
90[SW1-Vlan-interface101]vrrp vrid 9 priority 100
91[SW1-Vlan-interface101]vrrp vrid 9 preempt-mode delay 3000
92[SW1-Vlan-interface101]vrrp vrid 9 track 1 priority reduced 20
93[SW1-Vlan-interface101]quit
94
95// 保存
96[SW1]save检查VRRP
STYLUS
1// 显示设备上VRRP信息。
2[SW1]display vrrp
3IPv4 Virtual Router Information:
4 Running mode : Standard
5 Total number of virtual routers : 9
6 Interface VRID State Running Adver Auth Virtual
7 Pri Timer Type IP
8 ----------------------------------------------------------------------------
9 Vlan101 1 Master 110 100 Not supported 10.1.1.1
10 Vlan102 2 Master 110 100 Not supported 10.1.2.1
11 Vlan103 3 Master 110 100 Not supported 10.1.3.1
12 Vlan201 4 Master 110 100 Not supported 10.2.1.1
13 Vlan202 5 Master 110 100 Not supported 10.2.2.1
14 Vlan203 6 Master 110 100 Not supported 10.2.3.1
15 Vlan301 7 Backup 100 100 Not supported 10.3.1.1
16 Vlan302 8 Backup 100 100 Not supported 10.3.2.1
17 Vlan303 9 Backup 100 100 Not supported 10.3.3.1
18
19
20// 显示设备上VRRP备份组的详细信息。
21[SW1]display vrrp verbose
22IPv4 Virtual Router Information:
23 Running mode : Standard
24 Total number of virtual routers : 9
25 Interface Vlan-interface101
26 VRID : 1 Adver Timer : 100
27 Admin Status : Up State : Master
28 Config Pri : 110 Running Pri : 110
29 Preempt Mode : Yes Delay Time : 3000
30 Auth Type : Not supported
31 Version : 3
32 Virtual IP : 10.1.1.1
33 Virtual MAC : 0000-5e00-0101
34 Master IP : 10.1.1.2
35
36......
37
38 Interface Vlan-interface301
39 VRID : 7 Adver Timer : 100
40 Admin Status : Up State : Backup
41 Config Pri : 100 Running Pri : 100
42 Preempt Mode : Yes Delay Time : 3000
43 Become Master : 0ms left
44 Auth Type : Not supported
45 Version : 3
46 Virtual IP : 10.3.1.1
47 Virtual MAC : 0000-5e00-0107
48 Master IP : 10.3.1.3
49
50......核心层交换机 SW2
配置命令
STYLUS
1// 创建和 VLAN接口 10 物理状态关联的Track项1。如果Track项的状态为Negative,则说明 SW2 的上行接口出现故障。
2[SW2]track 1 interface vlan-interface 10
3[SW2-track-1]quit
4
5
6// 进入 VLAN 接口 101
7[SW2]interface vlan-interface 101
8[SW2-Vlan-interface101]vrrp vrid 1 virtual-ip 10.1.1.1
9[SW2-Vlan-interface101]vrrp vrid 1 priority 100 //为了负载均衡,让103-103,201-203 走SW1,所以设定为100
10[SW2-Vlan-interface101]vrrp vrid 1 preempt-mode delay 3000
11[SW2-Vlan-interface101]vrrp vrid 1 track 1 priority reduced 20
12[SW2-Vlan-interface101]quit
13
14
15// 进入 VLAN 接口 102
16[SW2]interface vlan-interface 102
17[SW2-Vlan-interface101]vrrp vrid 2 virtual-ip 10.1.2.1
18[SW2-Vlan-interface101]vrrp vrid 2 priority 100
19[SW2-Vlan-interface101]vrrp vrid 2 preempt-mode delay 3000
20[SW2-Vlan-interface101]vrrp vrid 2 track 1 priority reduced 20
21[SW2-Vlan-interface101]quit
22
23
24// 进入 VLAN 接口 103
25[SW2]interface vlan-interface 103
26[SW2-Vlan-interface101]vrrp vrid 3 virtual-ip 10.1.3.1
27[SW2-Vlan-interface101]vrrp vrid 3 priority 100
28[SW2-Vlan-interface101]vrrp vrid 3 preempt-mode delay 3000
29[SW2-Vlan-interface101]vrrp vrid 3 track 1 priority reduced 20
30[SW2-Vlan-interface101]quit
31
32
33// 进入 VLAN 接口 201
34[SW2]interface vlan-interface 201
35[SW2-Vlan-interface101]vrrp vrid 4 virtual-ip 10.2.1.1
36[SW2-Vlan-interface101]vrrp vrid 4 priority 100
37[SW2-Vlan-interface101]vrrp vrid 4 preempt-mode delay 3000
38[SW2-Vlan-interface101]vrrp vrid 4 track 1 priority reduced 20
39[SW2-Vlan-interface101]quit
40
41
42// 进入 VLAN 接口 202
43[SW2]interface vlan-interface 202
44[SW2-Vlan-interface101]vrrp vrid 5 virtual-ip 10.2.2.1
45[SW2-Vlan-interface101]vrrp vrid 5 priority 100
46[SW2-Vlan-interface101]vrrp vrid 5 preempt-mode delay 3000
47[SW2-Vlan-interface101]vrrp vrid 5 track 1 priority reduced 20
48[SW2-Vlan-interface101]quit
49
50
51// 进入 VLAN 接口 203
52[SW2]interface vlan-interface 203
53[SW2-Vlan-interface101]vrrp vrid 6 virtual-ip 10.2.3.1
54[SW2-Vlan-interface101]vrrp vrid 6 priority 100
55[SW2-Vlan-interface101]vrrp vrid 6 preempt-mode delay 3000
56[SW2-Vlan-interface101]vrrp vrid 6 track 1 priority reduced 20
57[SW2-Vlan-interface101]quit
58
59
60// 进入 VLAN 接口 301
61[SW2]interface vlan-interface 301
62[SW2-Vlan-interface101]vrrp vrid 7 virtual-ip 10.3.1.1
63[SW2-Vlan-interface101]vrrp vrid 7 priority 110 //这里为了负载均衡,让301-303 走SW2 ,所以设定为110
64[SW2-Vlan-interface101]vrrp vrid 7 preempt-mode delay 3000
65[SW2-Vlan-interface101]vrrp vrid 7 track 1 priority reduced 20
66[SW2-Vlan-interface101]quit
67
68
69// 进入 VLAN 接口 303
70[SW2]interface vlan-interface 302
71[SW2-Vlan-interface101]vrrp vrid 8 virtual-ip 10.3.2.1
72[SW2-Vlan-interface101]vrrp vrid 8 priority 110
73[SW2-Vlan-interface101]vrrp vrid 8 preempt-mode delay 3000
74[SW2-Vlan-interface101]vrrp vrid 8 track 1 priority reduced 20
75[SW2-Vlan-interface101]quit
76
77
78// 进入 VLAN 接口 303
79[SW2]interface vlan-interface 303
80[SW2-Vlan-interface101]vrrp vrid 9 virtual-ip 10.3.3.1
81[SW2-Vlan-interface101]vrrp vrid 9 priority 110
82[SW2-Vlan-interface101]vrrp vrid 9 preempt-mode delay 3000
83[SW2-Vlan-interface101]vrrp vrid 9 track 1 priority reduced 20
84[SW2-Vlan-interface101]quit
85
86// 保存
87[SW2]save检查VRRP
STYLUS
1// 显示设备上VRRP信息。
2[SW2]display vrrp
3IPv4 Virtual Router Information:
4 Running mode : Standard
5 Total number of virtual routers : 9
6 Interface VRID State Running Adver Auth Virtual
7 Pri Timer Type IP
8 ----------------------------------------------------------------------------
9 Vlan101 1 Backup 100 100 Not supported 10.1.1.1
10 Vlan102 2 Backup 100 100 Not supported 10.1.2.1
11 Vlan103 3 Backup 100 100 Not supported 10.1.3.1
12 Vlan201 4 Backup 100 100 Not supported 10.2.1.1
13 Vlan202 5 Backup 100 100 Not supported 10.2.2.1
14 Vlan203 6 Backup 100 100 Not supported 10.2.3.1
15 Vlan301 7 Master 110 100 Not supported 10.3.1.1
16 Vlan302 8 Master 110 100 Not supported 10.3.2.1
17 Vlan303 9 Master 110 100 Not supported 10.3.3.1
18
19
20// 显示设备上VRRP备份组的详细信息。
21[SW2]display vrrp verbose
22IPv4 Virtual Router Information:
23 Running mode : Standard
24 Total number of virtual routers : 9
25
26......
27
28 Interface Vlan-interface103
29 VRID : 3 Adver Timer : 100
30 Admin Status : Up State : Backup
31 Config Pri : 100 Running Pri : 100
32 Preempt Mode : Yes Delay Time : 3000
33 Become Master : 0ms left
34 Auth Type : Not supported
35 Version : 3
36 Virtual IP : 10.1.3.1
37 Virtual MAC : 0000-5e00-0103
38 Master IP : 10.1.3.2
39
40......
41
42 Interface Vlan-interface303
43 VRID : 9 Adver Timer : 100
44 Admin Status : Up State : Master
45 Config Pri : 110 Running Pri : 110
46 Preempt Mode : Yes Delay Time : 3000
47 Auth Type : Not supported
48 Version : 3
49 Virtual IP : 10.3.3.1
50 Virtual MAC : 0000-5e00-0109
51 Master IP : 10.3.3.3 路由器 RT1(只做演示)
路由器也用VRRP的的话,这个划分分流有点麻烦,所以后面的演示路由器没有使用VRRP。
配置命令
STYLUS
1// 从用户视图进入系统视图
2<RT1>system-view
3
4// 创建和 GigabitEthernet 0/0/10 物理状态关联的Track项1。如果Track项的状态为Negative,则说明 RT1 的上行接口出现故障。
5[RT1]track 1 interface GigabitEthernet 0/0/10
6[RT1-track-1]quit
7
8// 进入 路由聚合接口 1
9[RT1]interface Route-Aggregation 1
10
11// 设定 路由聚合接口 的IP地址
12[RT1-Route-Aggregation1]ip address 10.0.0.2 24
13
14// 创建 备份组10,并配置 备份组10 的虚拟IP地址为 10.0.0.1
15[RT1-Route-Aggregation1]vrrp vrid 10 virtual-ip 10.0.0.1
16[RT1-Route-Aggregation1]vrrp vrid 10 priority 110
17[RT1-Route-Aggregation1]vrrp vrid 10 preempt-mode delay 3000
18// 配置监视Track项1。Track项的状态为Negative时,降低 RT1 优先级 20,使其低于 RT2
19[RT1-Route-Aggregation1]vrrp vrid 10 track 1 priority reduced 20
20[RT1-Route-Aggregation1]quit
21
22// 保存
23[RT1]save检查VRRP
STYLUS
1[RT1]display vrrp
2IPv4 virtual router information:
3 Running mode : Standard
4 Enhanced sending of gratuitous ARP packets : Disabled
5 Total number of virtual routers : 1
6 Interface VRID State Running Adver Auth Virtual
7 pri timer(cs) type IP
8 ---------------------------------------------------------------------
9 RAGG1 1 Master 110 100 None 10.0.0.1
10
11[RT1]display vrrp verbose
12IPv4 virtual router information:
13 Running mode : Standard
14 Enhanced sending of gratuitous ARP packets : Disabled
15 Total number of virtual routers : 1
16 Interface Route-Aggregation1
17 VRID : 1 Adver timer : 100 centiseconds
18 Admin status : Up State : Master
19 Config pri : 110 Running pri : 110
20 Preempt mode : Yes Delay time : 3000 centiseconds
21 Auth type : None
22 Version : 3
23 Virtual IP : 10.0.0.1
24 Virtual MAC : 0000-5e00-0101
25 Master IP : 10.0.0.2
26 Backup ARP : Disabled
27 VRRP track information:
28 Track object : 1 State : Positive Pri reduced : 20路由器 RT2(只做演示)
路由器也用VRRP的的话,这个划分分流有点麻烦,所以后面的演示路由器没有使用VRRP。
配置命令
STYLUS
1// 从用户视图进入系统视图
2<RT2>system-view
3
4// 创建和 GigabitEthernet 0/0/10 物理状态关联的Track项1。如果Track项的状态为Negative,则说明 RT2 的上行接口出现故障。
5[RT2]track 1 interface GigabitEthernet 0/0/10
6[RT2-track-1]quit
7
8// 进入 路由聚合接口 1
9[RT2]interface Route-Aggregation 1
10
11// 设定 路由聚合接口 的IP地址
12[RT2-Route-Aggregation1]ip address 10.0.0.3 24
13
14// 创建 备份组10,并配置 备份组10 的虚拟IP地址为 10.0.0.1
15[RT2-Route-Aggregation1]vrrp vrid 1 virtual-ip 10.0.0.1
16[RT2-Route-Aggregation1]vrrp vrid 1 priority 100
17[RT2-Route-Aggregation1]vrrp vrid 1 preempt-mode delay 3000
18// 配置监视Track项1。Track项的状态为Negative时,降低 RT2 优先级 20
19[RT2-Route-Aggregation1]vrrp vrid 1 track 1 priority reduced 20
20[RT2-Route-Aggregation1]quit
21
22// 保存
23[RT2]save检查VRRP
STYLUS
1[RT1]display vrrp verbose
2IPv4 virtual router information:
3 Running mode : Load balance
4 Total number of virtual routers : 1
5 Interface Route-Aggregation1
6 VRID : 1 Adver timer : 100 centiseconds
7 Admin status : Up State : Master
8 Config pri : 110 Running pri : 110
9 Preempt mode : Yes Delay time : 5000 centiseconds
10 Auth type : None
11 Version : 3
12 Virtual IP : 10.0.0.1
13 Member IP list : 10.0.0.2 (Local, Master)
14 Forwarder information: 1 Forwarders 1 Active
15 Config weight : 255
16 Running weight : 255
17 Forwarder 01
18 State : Active
19 Virtual MAC : 000f-e2ff-0011 (Owner)
20 Owner ID : 6241-4392-1402
21 Priority : 255
22 Active : Local
23 Forwarder weight track information:
24 Track object : 1 State : Positive Weight reduced : 250OSPF
OSPF(开放最短路径优先)动态路由协议,能动态生成路由。
在复杂的网络结构中,相对于繁琐人工静态配置路由,能降低出错率、减少工作量。
但是考虑将AB和C的分流倾向,还是部分使用了静态路由为方便实现。
路由器 RT1
STYLUS
1// 从用户视图进入系统视图
2<RT1>system-view
3
4// [RT1]interface GigabitEthernet 0/0/10
5// [RT1-GigabitEthernet0/0/10]ip address 200.200.200.200 255.255.255.0
6// 假设RT1有GE0/0/10接口定义成 200.200.200.200,对端IP为 200.200.200.1
7
8// 定义用于外网访问的静态缺省路由,指向宽带提供接口
9[RT1]ip route-static 0.0.0.0 0.0.0.0 200.200.200.1
10
11
12// 定义 路由ID ,不手动指定的话,会随机拿一个接口上的IP地址。
13// 一般是建议拿大家都有的IP,例如VLAN 10,但是初次查看演示的人容易混淆。就直接用 1.1.1.1、2.2.2.2 这种了。
14[RT1]router id 1.1.1.1
15
16// 进入 OSPF 视图,默认参数是 1
17[RT1]ospf 1
18
19// 配置OSPF引入缺省路由,
20// [RT1-ospf-1]default-route-advertise always
21// 这条命令可以把本设备上的 ip route-static 0.0.0.0 0.0.0.0 200.200.200.1 这条缺省路由通过OSPF分享出去。
22// 也是因为负载均衡的考虑,不启用这个
23
24// 进入OSPF区域视图,0 是骨干区域
25[RT1-ospf-1]area 0
26
27// 配置区域所包含的网段并在指定网段的接口上使能OSPF
28[RT1-ospf-1-area-0.0.0.0]network 10.0.0.0 0.0.0.255
29// VLAN 10 的,10.0.0.0 路由和交换机都有这个段。但是路由只有这个段是在“内网”的。
30
31// 保存
32[RT1]save路由器 RT2
STYLUS
1// 从用户视图进入系统视图
2<RT2>system-view
3
4// [RT1]interface GigabitEthernet 0/0/10
5// [RT1-GigabitEthernet0/0/10]ip address 100.100.100.100 255.255.255.0
6// 假设RT1有GE0/0/10接口定义成 100.100.100.100,对端IP为 100.100.100.1
7
8// 定义用于外网访问的静态缺省路由,指向宽带提供接口
9[RT1]ip route-static 0.0.0.0 0.0.0.0 100.100.100.1
10
11// 定义 路由ID
12[RT2]router id 2.2.2.2
13
14// 进入 OSPF 视图
15[RT2]ospf 1
16// [RT1-ospf-1]default-route-advertise always
17[RT2-ospf-1]area 0
18[RT2-ospf-1-area-0.0.0.0]network 10.0.0.0 0.0.0.255
19
20// 保存
21[RT2]save核心层交换机 SW1
STYLUS
1// 从用户视图进入系统视图
2<SW1>system-view
3
4// 定义用于外网访问的静态缺省路由,指向 RT1
5[SW1]ip route-static 0.0.0.0 0.0.0.0 10.0.0.2
6
7// 定义 路由ID
8[SW1]router id 3.3.3.3
9
10[SW1-ospf-1]area 0
11[SW1-ospf-1-area-0.0.0.0]network 10.0.0.0 0.0.0.255
12[SW1-ospf-1-area-0.0.0.0]network 10.1.1.0 0.0.0.255
13[SW1-ospf-1-area-0.0.0.0]network 10.1.2.0 0.0.0.255
14[SW1-ospf-1-area-0.0.0.0]network 10.1.3.0 0.0.0.255
15[SW1-ospf-1-area-0.0.0.0]network 10.2.1.0 0.0.0.255
16[SW1-ospf-1-area-0.0.0.0]network 10.2.2.0 0.0.0.255
17[SW1-ospf-1-area-0.0.0.0]network 10.2.3.0 0.0.0.255
18[SW1-ospf-1-area-0.0.0.0]network 10.3.1.0 0.0.0.255
19[SW1-ospf-1-area-0.0.0.0]network 10.3.2.0 0.0.0.255
20[SW1-ospf-1-area-0.0.0.0]network 10.3.3.0 0.0.0.255
21[SW1-ospf-1-area-0.0.0.0]quit
22[SW1-ospf-1]quit
23
24// 进入 VLAN 301 接口
25[SW1]interface Vlan-interface 301
26// 设置OSPF接口的开销值。用于RT1 RT2 在计算OSPF的时候,优先使用开销值低的接口,以达成控制分流。301-303 会优先使用 SW2
27[SW1-Vlan-interface301]ospf cost 10
28[SW1-Vlan-interface301]interface Vlan-interface 302
29[SW1-Vlan-interface302]ospf cost 10
30[SW1-Vlan-interface302]interface Vlan-interface 303
31[SW1-Vlan-interface303]ospf cost 10
32[SW1-Vlan-interface303]quit
33
34
35// 保存
36[SW1]save
37 核心层交换机 SW2
STYLUS
1// 从用户视图进入系统视图
2<SW2>system-view
3
4// 定义用于外网访问的静态缺省路由,指向 RT2
5[SW2]ip route-static 0.0.0.0 0.0.0.0 10.0.0.3
6
7// 定义 路由ID
8[SW2]router id 4.4.4.4
9
10[SW2-ospf-1]area 0
11[SW2-ospf-1-area-0.0.0.0]network 10.0.0.0 0.0.0.255
12[SW2-ospf-1-area-0.0.0.0]network 10.1.1.0 0.0.0.255
13[SW2-ospf-1-area-0.0.0.0]network 10.1.2.0 0.0.0.255
14[SW2-ospf-1-area-0.0.0.0]network 10.1.3.0 0.0.0.255
15[SW2-ospf-1-area-0.0.0.0]network 10.2.1.0 0.0.0.255
16[SW2-ospf-1-area-0.0.0.0]network 10.2.2.0 0.0.0.255
17[SW2-ospf-1-area-0.0.0.0]network 10.2.3.0 0.0.0.255
18[SW2-ospf-1-area-0.0.0.0]network 10.3.1.0 0.0.0.255
19[SW2-ospf-1-area-0.0.0.0]network 10.3.2.0 0.0.0.255
20[SW2-ospf-1-area-0.0.0.0]network 10.3.3.0 0.0.0.255
21[SW2-ospf-1-area-0.0.0.0]quit
22[SW2-ospf-1]quit
23
24// 进入 VLAN 101 接口
25[SW2]interface Vlan-interface 101
26// 设置OSPF接口的开销值。用于RT1 RT2 在计算OSPF的时候,优先使用开销值低的接口,以达成控制分流。101-103 201-203 会优先使用 SW1
27[SW2-Vlan-interface101]ospf cost 10
28[SW2-Vlan-interface101]interface Vlan-interface 102
29[SW2-Vlan-interface102]ospf cost 10
30[SW2-Vlan-interface102]interface Vlan-interface 103
31[SW2-Vlan-interface103]ospf cost 10
32[SW2-Vlan-interface102]interface Vlan-interface 201
33[SW2-Vlan-interface201]ospf cost 10
34[SW2-Vlan-interface201]interface Vlan-interface 202
35[SW2-Vlan-interface202]ospf cost 10
36[SW2-Vlan-interface202]interface Vlan-interface 203
37[SW2-Vlan-interface203]ospf cost 10
38[SW2-Vlan-interface203]quit
39
40// 保存
41[SW2]save检查相关
STYLUS
1// SW2 查看 OSPF 的接口信息,确认开销值
2[SW2]display ospf interface
3
4 OSPF Process 1 with Router ID 4.4.4.4
5 Interfaces
6
7 Area: 0.0.0.0
8 IP Address Type State Cost Pri DR BDR
9 10.1.1.3 Broadcast BDR 10 1 10.1.1.2 10.1.1.3
10 10.1.2.3 Broadcast BDR 10 1 10.1.2.2 10.1.2.3
11 10.1.3.3 Broadcast BDR 10 1 10.1.3.2 10.1.3.3
12 10.2.1.3 Broadcast BDR 10 1 10.2.1.2 10.2.1.3
13 10.2.2.3 Broadcast BDR 10 1 10.2.2.2 10.2.2.3
14 10.2.3.3 Broadcast BDR 10 1 10.2.3.2 10.2.3.3
15 10.3.1.3 Broadcast BDR 1 1 10.3.1.2 10.3.1.3
16 10.3.2.3 Broadcast BDR 1 1 10.3.2.2 10.3.2.3
17 10.3.3.3 Broadcast BDR 1 1 10.3.3.2 10.3.3.3
18 10.0.0.11 Broadcast DROther 1 1 10.0.0.10 10.0.0.2
19
20// RT1 查看 OSPF 邻居
21[RT1]display ospf peer
22
23 OSPF Process 1 with Router ID 1.1.1.1
24 Neighbor Brief Information
25
26 Area: 0.0.0.0
27 Router ID Address Pri Dead-Time State Interface
28 2.2.2.2 10.0.0.3 1 35 Full/DROther RAGG1
29 3.3.3.3 10.0.0.10 1 35 Full/DR RAGG1
30 4.4.4.4 10.0.0.11 1 32 Full/DROther RAGG1
31
32// RT1 查看 OSPF 邻居详细信息
33[RT1]display ospf peer verbose
34
35 OSPF Process 1 with Router ID 1.1.1.1
36 Neighbors
37
38 Area 0.0.0.0 interface 10.0.0.2(Route-Aggregation1)'s neighbors
39 Router ID: 2.2.2.2 Address: 10.0.0.3 GR state: Normal
40 State: Full Mode: Nbr is master Priority: 1
41 DR: 10.0.0.10 BDR: 10.0.0.2 MTU: 0
42 Options is 0x42 (-|O|-|-|-|-|E|-)
43 Dead timer due in 33 sec
44 Neighbor is up for 02:57:02
45 Authentication sequence: [ 0 ]
46 Neighbor state change count: 10
47 BFD status: Disabled
48
49 Router ID: 3.3.3.3 Address: 10.0.0.10 GR state: Normal
50 State: Full Mode: Nbr is master Priority: 1
51 DR: 10.0.0.10 BDR: 10.0.0.2 MTU: 0
52 Options is 0x42 (-|O|-|-|-|-|E|-)
53 Dead timer due in 33 sec
54 Neighbor is up for 04:30:02
55 Authentication sequence: [ 0 ]
56 Neighbor state change count: 6
57 BFD status: Disabled
58
59// RT1 查看路由表
60[RT1]display ip routing-table
61
62Destinations : 20 Routes : 20
63
64Destination/Mask Proto Pre Cost NextHop Interface
650.0.0.0/0 Static 60 0 200.200.200.1 GE0/0/10
6610.0.0.0/24 Direct 0 0 10.0.0.2 RAGG1
6710.0.0.2/32 Direct 0 0 127.0.0.1 RAGG1
6810.0.0.255/32 Direct 0 0 10.0.0.2 RAGG1
6910.1.1.0/24 O_INTRA 10 2 10.0.0.10 RAGG1
7010.1.2.0/24 O_INTRA 10 2 10.0.0.10 RAGG1
7110.1.3.0/24 O_INTRA 10 2 10.0.0.10 RAGG1
7210.2.1.0/24 O_INTRA 10 2 10.0.0.10 RAGG1
7310.2.2.0/24 O_INTRA 10 2 10.0.0.10 RAGG1
7410.2.3.0/24 O_INTRA 10 2 10.0.0.10 RAGG1
7510.3.1.0/24 O_INTRA 10 2 10.0.0.11 RAGG1 // 下一跳地址可以看到这里走的是 SW2
7610.3.2.0/24 O_INTRA 10 2 10.0.0.11 RAGG1 // 下一跳地址可以看到这里走的是 SW2
7710.3.3.0/24 O_INTRA 10 2 10.0.0.11 RAGG1 // 下一跳地址可以看到这里走的是 SW2
78127.0.0.0/8 Direct 0 0 127.0.0.1 InLoop0
79127.0.0.1/32 Direct 0 0 127.0.0.1 InLoop0
80127.255.255.255/32 Direct 0 0 127.0.0.1 InLoop0
81200.200.200.0/24 Direct 0 0 200.200.200.200 GE0/0/10
82200.200.200.200/32 Direct 0 0 127.0.0.1 GE0/0/10
83200.200.200.255/32 Direct 0 0 200.200.200.200 GE0/0/10
84255.255.255.255/32 Direct 0 0 127.0.0.1 InLoop0ACL
VLAN之间的访问控制
ACL是生效在接口的,但因为冗余性的设计,这个网络有非常多的接口。
综合考虑,还是直接在 VLAN 接口网关上操作比较好,但是因为 VRRP 的原因,有两份VLAN接口网关。
虽然做了分流,你只在分流的网关上做对应的规则也能生效,但是其中一个挂了的话,流量会迁移到剩下那一台。
所以,两台核心交换机上的VLAN 接口网关都要做同样的配置,这里只演示一台的操作。
核心层交换机 SW1
配置命令
STYLUS
1// 从用户视图进入系统视图
2<SW1>system-view
3
4// 创建 高级ACL规则,可以用数字,也可以用字符串,这里是给VLAN 102 用的。
5[SW1]acl advanced name AclVlan102
6
7// 允许访问 VLAN 101-102 ,剩下的 VALN 禁止访问
8[SW1-acl-ipv4-adv-AclVlan102]rule permit ip source any ip destination 10.1.1.0 0.0.0.255
9[SW1-acl-ipv4-adv-AclVlan102]rule permit ip source any ip destination 10.1.2.0 0.0.0.255
10[SW1-acl-ipv4-adv-AclVlan102]rule deny ip source any ip destination 10.1.3.0 0.0.0.255
11[SW1-acl-ipv4-adv-AclVlan102]rule deny ip source any ip destination 10.2.1.0 0.0.0.255
12[SW1-acl-ipv4-adv-AclVlan102]rule deny ip source any ip destination 10.2.2.0 0.0.0.255
13[SW1-acl-ipv4-adv-AclVlan102]rule deny ip source any ip destination 10.2.3.0 0.0.0.255
14[SW1-acl-ipv4-adv-AclVlan102]rule deny ip source any ip destination 10.3.1.0 0.0.0.255
15[SW1-acl-ipv4-adv-AclVlan102]rule deny ip source any ip destination 10.3.2.0 0.0.0.255
16[SW1-acl-ipv4-adv-AclVlan102]rule deny ip source any ip destination 10.3.3.0 0.0.0.255
17[SW1-acl-ipv4-adv-AclVlan102]quit
18// 因为要让VLAN 102 能访问外网,所以用了这种类似“黑名单”的写法,因为外网的地址范围很广。如果用代理之类方法就没这个问题了。
19
20// 进入 VLAN 102 的接口。
21[SW1]interface Vlan-interface 102
22// 把刚刚创建的 AclVlan102 绑定到这个接口的 inbound (入方向)
23[SW1-Vlan-interface102]packet-filter name AclVlan102 inbound
24[SW1-Vlan-interface102]quit
25// inbound 是对入方向的报文(进入设备接口)的报文进行处理,即 “本地VLAN接口下的流量访问其他目的地址的流量”
26// outbound 是对出方向的报文(从设备接口发出)的报文进行处理,即 “其他源地址访问到本地VLAN接口下的流量”
27
28// 省略其他规则和接口的绑定
29......
30
31// 保存
32[SW1]save检查ACL
STYLUS
1// 显示ACL的配置和运行情况
2[SW1]display acl all
3Advanced IPv4 ACL named AclVlan101, 0 rule,
4ACL's step is 5, start ID is 0
5
6Advanced IPv4 ACL named AclVlan102, 9 rules,
7ACL's step is 5, start ID is 0
8 rule 0 permit ip destination 10.1.1.0 0.0.0.255 (5 times matched)
9 rule 5 permit ip destination 10.1.2.0 0.0.0.255 (11 times matched)
10 rule 10 deny ip destination 10.1.3.0 0.0.0.255 (5 times matched)
11 rule 15 deny ip destination 10.2.1.0 0.0.0.255
12 rule 20 deny ip destination 10.2.2.0 0.0.0.255
13 rule 25 deny ip destination 10.2.3.0 0.0.0.255
14 rule 30 deny ip destination 10.3.1.0 0.0.0.255
15 rule 35 deny ip destination 10.3.2.0 0.0.0.255
16 rule 40 deny ip destination 10.3.3.0 0.0.0.255
17 ......
18
19// 显示ACL在报文过滤中的应用情况
20[SW1]display packet-filter interface
21Interface: Vlan-interface102
22 Inbound policy:
23 IPv4 ACL AclVlan102
24......
25
26// Ping 其他网段的测试
2710.1.2.10> ping 10.1.1.10
2884 bytes from 10.1.1.10 icmp_seq=1 ttl=63 time=1.644 ms
2984 bytes from 10.1.1.10 icmp_seq=2 ttl=63 time=1.656 ms
30......
31
3210.1.2.10> ping 150.150.150.150
3384 bytes from 150.150.150.150 icmp_seq=1 ttl=61 time=2.672 ms
3484 bytes from 150.150.150.150 icmp_seq=2 ttl=61 time=2.196 ms
35......
36
3710.1.2.10> ping 10.1.3.10
3810.1.3.10 icmp_seq=1 timeout
3910.1.3.10 icmp_seq=2 timeout
40......核心层交换机 SW2 也要做同样的操作。
总结
有些技术是互相冲突,更精细控制往往要放弃一部分便利性,这些网络技术还是要看实际情况来决定如何组合使用。
本次用到的 HCL 模拟器:HCL_Setup_V5.10.3-新华三集团-H3C
本次的 HCL 工程文件:三层网络架构模拟-tjxwork
原文作者:tjxwork
原文链接:https://www.tjxblog.com/blog/2024-0002
发布时间:2024-06-21
评论