大型網絡部署綜合配置案例分享
奈圖爾科技(www.landsail-led.com)整理消息:
公司總部 用戶希望在存在冗余備份鏈路的同時消除網絡中的環路,在一條上行鏈路斷開的時候,流量能切換到另外一條上行鏈路轉發,還能合理利用網絡帶寬。 骨干網 七臺路由設備底層均使用OSPF,設備之間使用BGP,路徑豐富、可靠性高; R6作為BGP的反射器,幫R5,R6分攤骨干網中控制層的壓力; 安全策略中心 所有數據都需引入安全策略中心;對流量的的策略以及清洗; 互聯網 與互聯網之間使用NAT; 分部1和分部2 可與總部正常通信,并且可以連接到互聯網;
配置思路
公司總部
在處于環形網絡中的交換設備上配置MSTP基本功能
配置保護功能,實現對設備或鏈路的保護。
配置設備的二層轉發功能。
配置各設備端口IP地址及路由協議,使各設備間網絡層連通。
在Sw1和Sw2上創建VRRP備份組1和VRRP備份組2,在備份組1中,配置Sw1為Master設備,Sw2為Backup設備;在備份組2中,配置Sw2為Master設備,Sw1為Backup設備,實現流量的負載均衡。
骨干網
在MPLS骨干網上(R3-R9)配置OSPF,實現骨干網互通。
R6作為BGP反射器,R3,R4,R8,R9做為反射器客戶端;
配置BGP-VPNv4路由反射功能
骨干所有路由設備運行MPLS,LDP模式;
分別在各PE設備(R3/4/8/9)上配置VPN實例,將CE接入;
將R10,R11,建立EBGP鄰居并且將路由宣告進來
安全策略中心
做4個VRF(BGP MPLS VPN 的設計),另外為R8創建4個VRF
配置步驟
公司總部
1、配置LACP模式的鏈路聚合 創建Eth-Trunk,配置Eth-Trunk為LACP模式,實現鏈路聚合功能 在SwitchA上創建Eth-Trunk1并配置為LACP模式。SwitchB的配置與SwitchA類似,不再贅述
[SwitchA] interface eth-trunk 1 [SwitchA-Eth-Trunk1] mode lacp [SwitchA-Eth-Trunk1] quit
配置SwitchA上的成員接口加入Eth-Trunk。SwitchB的配置與SwitchA類似,不再贅述
[SwitchA] interface gigabitethernet 0/0/1 [SwitchA-GigabitEthernet0/0/1] eth-trunk 1 [SwitchA-GigabitEthernet0/0/1] quit [SwitchA] interface gigabitethernet 0/0/2 [SwitchA-GigabitEthernet0/0/2] eth-trunk 1 [SwitchA-GigabitEthernet0/0/2] quit
在SwitchA上配置系統優先級為100,使其成為LACP主動端
[SwitchA] lacp priority 100
2、配置處于環網中的設備的二層轉發功能 在交換設備SwitchA、SwitchB、SwitchC、SwitchD上創建VLAN2~3,這里以SwitchA為例。 # 在SwitchA上創建VLAN2~3
[sw1]vlan batch 2 3
將交換設備上接入終端中的端口加入VLAN
#將SwitchC端口GE0/0/3和G0/0/4加入VLAN。SwitchD的配置與SwitchC類似,詳見配置文件
[sw1]interface GigabitEthernet 0/0/3 [sw1-GigabitEthernet0/0/3]port link-type access [sw1-GigabitEthernet0/0/3]port default vlan 2 [sw1-GigabitEthernet0/0/3]quit [sw1]interface GigabitEthernet 0/0/4 [sw1-GigabitEthernet0/0/3]port link-type access [sw1-GigabitEthernet0/0/3]port default vlan 3
將交換設備上接入環路中的端口加入VLAN
# 將SwitchC端口GE0/0/1,G0/0/2加入VLAN。witchD的配置與SwitchC類似,詳見配置文件。
[SwitchA] interface gigabitethernet 0/0/1 [SwitchA-GigabitEthernet0/0/1] port link-type trunk [SwitchA-GigabitEthernet0/0/1] port trunk allow-pass vlan 2 to 3 [SwitchA-GigabitEthernet0/0/1] quit [SwitchA] interface gigabitethernet 0/0/2 [SwitchA-GigabitEthernet0/0/1] port link-type trunk [SwitchA-GigabitEthernet0/0/1] port trunk allow-pass vlan 2 to 3 [SwitchA-GigabitEthernet0/0/1] quit
# 將SwitchA端口GE0/0/3,G0/0/4,Eth-Trunk1加入VLAN。witchA的配置與SwitchD類似,詳見配置文件
[SwitchA]interface Eth-Trunk 1 [SwitchA-Eth-Trunk1]port link-type trunk [SwitchA-Eth-Trunk1]port trunk allow-pass vlan 2 to 3 [SwitchA-Eth-Trunk1]quit [SwitchA]interface GigabitEthernet 0/0/3 [SwitchA-GigabitEthernet0/0/4] port link-type trunk [SwitchA-GigabitEthernet0/0/4] port trunk allow-pass vlan 2 to 3 [SwitchA-GigabitEthernet0/0/4] quit [SwitchA]interface GigabitEthernet 0/0/4 [SwitchA-GigabitEthernet0/0/4] port link-type trunk [SwitchA-GigabitEthernet0/0/4] port trunk allow-pass vlan 2 to 3 [SwitchA-GigabitEthernet0/0/4] quit
3、配置MSTP基本功能
配置SwitchA、SwitchB、SwitchC、SwitchC到域名為HW的域內,創建實例MSTI1和實例MSTI2,SwitchB/C/D的配置與SwitchA類似,詳見配置文件
[SwitchA]stp region-configuration [SwitchA-mst-region]region-name HW [SwitchA-mst-region]revision-level 1 [SwitchA-mst-region]instance 1 vlan 2 [SwitchA-mst-region]instance 2 vlan 3 [SwitchA-mst-region] quit
在域HW內,配置MSTI1與MSTI2的根橋與備份根橋
配置MSTI1的根橋與備份根橋
# 配置SwitchA為MSTI1的根橋
[SwitchA] stp instance 1 root primary
# 配置SwitchB為MSTI1的備份根橋。
[SwitchB] stp instance 1 root secondary
配置MSTI2的根橋與備份根橋
# 配置SwitchB為MSTI2的根橋
[SwitchB] stp instance 2 root primary
# 配置SwitchA為MSTI2的備份根橋
[SwitchA] stp instance 2 root secondary
配置實例MSTI1和MSTI2中將要被阻塞端口的路徑開銷值大于缺省值
# 配置SwitchA的端口路徑開銷計算方法為華為計算方法。SwitchB/CD的配置與SwitchA類似,詳見配置文件
[SwitchA] stp pathcost-standard legacy
SwitchC將端口GE0/0/1在實例MSTI2中的路徑開銷值配置為20000,SwitchD將端口GE0/0/1在實例MSTI1中的路徑開銷值配置為20000。SwitchD的配置與SwitchC類似,詳見配置文件
[SwitchC]interface GigabitEthernet 0/0/1 [SwitchC-GigabitEthernet0/0/1]stp instance 2 cost 2000 [SwitchC-GigabitEthernet0/0/1] quit
使能MSTP,實現破除環路
設備全局使能MSTP,SwitchB/CD的配置與SwitchA類似,詳見配置文件
[SwitchA]stp enable [SwitchA]stp mode mstp
將與Host相連的端口設置為邊緣端口
# 配置SwitchC端口GE0/0/4和GE0/0/3為邊緣端口。SwitchD的配置與SwitchC類似,詳見配置文件
[SwitchC]interface GigabitEthernet 0/0/3 [SwitchC-GigabitEthernet0/0/3]stp edged-port enable [SwitchC-GigabitEthernet0/0/3]quit [SwitchC]interface GigabitEthernet 0/0/4 [SwitchC-GigabitEthernet0/0/4]stp edged-port enable [SwitchC-GigabitEthernet0/0/4]quit
(可選)全局配置SwitchC的BPDU保護功能。SwitchB/CD的配置與SwitchA類似,詳見配置文件
[SwitchC] stp bpdu-protection
將與Router相連的端口設置為邊緣端口,SwitchB的配置與SwitchA類似,詳見配置文件
[SwitchA]interface GigabitEthernet 0/0/5 [SwitchA-GigabitEthernet0/0/5]stp edged-port enable
配置保護功能,如在各實例的根橋設備的指定端口配置根保護功能
# 在SwitchA端口GE0/0/3上啟動根保護。SwitchB類似
[SwitchA] interface gigabitethernet 0/0/3 [SwitchA-GigabitEthernet0/0/1] stp root-protection [SwitchA-GigabitEthernet0/0/1] quit
4.配置VRRP基本功能
配置設備間的網絡互連**
# 配置設備各端口的IP地址,以SwitchA為例。SwitchB的配置與SwitchA類似,詳見配置文件。
[SwitchA]interface Vlanif 2 [SwitchA-Vlanif2]ip add 10.2.2.100 24 [SwitchA-Vlanif2]quit [SwitchA]interface Vlanif 3 [SwitchA-Vlanif3]ip add 10.2.3.100 24 [SwitchA-Vlanif3]quit [SwitchA]interface Vlanif 101 [SwitchA-Vlanif101]ip add 10.2.101.1 24 [SwitchA-Vlanif101] quit
# 配置SwitchA、SwitchB和路由器間采用OSPF協議進行互連。以SwitchA為例,SwitchB的配置與SwitchA類似,詳見配置文件。
[SwitchB]interface GigabitEthernet 0/0/05 [SwitchB-GigabitEthernet0/0/5]port link-type access [SwitchB-GigabitEthernet0/0/5]port default vlan 202 [SwitchB-GigabitEthernet0/0/5]quit
[SwitchA]ospf 1 router-id 10.2.111.111
[SwitchA-ospf-1-area-0.0.0.0]network 10.2.101.1 0.0.0.0 [SwitchA-ospf-1-area-0.0.0.0]network 10.2.2.100 0.0.0.0 [SwitchA-ospf-1-area-0.0.0.0]network 10.2.3.100 0.0.0.0
查看結果(以SwitchA為例)
配置VRRP備份組
# 在SwitchA和SwitchB上創建VRRP備份組1,配置SwitchA的優先級為120,搶占延時為10秒,作為Master設備;SwitchB的優先級為缺省值,作為Backup設備。
interface Vlanif2 ip address 10.2.2.100 255.255.255.0 vrrp vrid 1 virtual-ip 10.2.2.254 vrrp vrid 1 priority 120 vrrp vrid 1 preempt-mode timer delay 10 vrrp vrid 1 track interface GigabitEthernet0/0/5 reduced 30 quit interface Vlanif3 ip address 10.2.3.100 255.255.255.0 vrrp vrid 2 virtual-ip 10.2.3.254
interface Vlanif3 ip address 10.2.3.101 255.255.255.0 vrrp vrid 1 virtual-ip 10.2.3.254 vrrp vrid 1 priority 120 vrrp vrid 1 preempt-mode timer delay 10 vrrp vrid 1 track interface GigabitEthernet0/0/5 reduced 30 quit interface Vlanif2 ip address 10.2.2.101 255.255.255.0 vrrp vrid 1 virtual-ip 10.2.2.254
骨干網
P、PE之間配置OSPF,實現骨干網的IP連通性。
PE、P上配置MPLS基本能力和MPLS LDP,建立MPLS LSP公網隧道,傳輸VPN數據。
PE1和PE2之間配置MP-IBGP,交換VPN路由信息。
P、PE之間配置OSPF,實現骨干網的IP連通性。
配置OSFP(R3為例)
[r3-ospf-1-area-0.0.0.0]network 10.1.0.0 0.0.255.255
PE、P上配置MPLS基本能力和MPLS LDP,建立MPLS LSP公網隧道,傳輸VPN數據。配置MPLS LDP(R3為例)
[r3]mpls lsr-id 10.1.3.3 Info: Mpls starting, please wait... OK! [r3]mpls [r3-mpls]quit [r3]mpls ldp [r3-mpls-ldp]quit [r3]interface G0/0/0 [r3-GigabitEthernet0/0/0]mpls [r3-GigabitEthernet0/0/0]mpls ldp [r3-GigabitEthernet0/0/0]quit [r3]interface Eth0/0/0 [r3-Ethernet0/0/0]mpls [r3-Ethernet0/0/0]mpls ldp [r3-Ethernet0/0/0]quit
在PE設備上配置VPN實例,將CE接入PE
以R1為例子
ip vpn-instance AS2 ipv4-family route-distinguisher 3:3 vpn-target 3:3 export-extcommunity vpn-target 12:2 12:22 import-extcommunity [r3]interface Ethernet0/0/1 [r3-Ethernet0/0/1] ip binding vpn-instance AS2
R8 作為中轉路由器將數據匯聚向AS5的安全策略中心
ip vpn-instance AS3 ipv4-family route-distinguisher 8:8 vpn-target 8:8 export-extcommunity vpn-target 12:3 12:33 import-extcommunity ip vpn-instance toAS2 ipv4-family route-distinguisher 12:2 vpn-target 12:2 export-extcommunity vpn-target 3:3 4:4 import-extcommunity ip vpn-instance toAS3 ipv4-family route-distinguisher 12:3 vpn-target 12:3 export-extcommunity vpn-target 8:8 import-extcommunity ip vpn-instance toAS4 ipv4-family route-distinguisher 12:4 vpn-target 12:4 export-extcommunity vpn-target 9:9 import-extcommunity ip vpn-instance toAS6 ipv4-family route-distinguisher 12:6 vpn-target 12:6 export-extcommunity vpn-target 3:6 4:6 import-extcommunity
創建四個子接口用來接收Vpnv4路由
以g0/0/1.2為例子
interface GigabitEthernet0/0/1.2 dot1q termination vid 2 ip binding vpn-instance toAS2 ip address 10.5.2.1 255.255.255.0 arp broadcast enable
在PE與CE之間建立EBGP對等體關系,引入VPN路由
# 配置CE1。CE2、CE3和CE4的配置與CE1類似,詳見配置文件。
[R4]
ipv4-family vpn-instance AS2 peer 10.2.24.1 as-number 2 ------------------------------------------ bgp 2 peer 10.2.1.1 as-number 2 peer 10.2.1.1 connect-interface LoopBack0 peer 10.2.24.2 as-number 1 # ipv4-family unicast undo synchronization import-route ospf 1 peer 10.2.1.1 enable peer 10.2.1.1 next-hop-local peer 10.2.24.2 enable
在PE之間建立MP-IBGP對等體關系
R6為反射器
bgp 1 group IBGP internal peer IBGP connect-interface LoopBack0 peer 10.1.3.3 as-number 1 peer 10.1.3.3 group IBGP peer 10.1.4.4 as-number 1 peer 10.1.4.4 group IBGP peer 10.1.8.8 as-number 1 peer 10.1.8.8 group IBGP peer 10.1.9.9 as-number 1 peer 10.1.9.9 group IBGP # ipv4-family unicast undo synchronization peer IBGP enable peer IBGP reflect-client peer 10.1.3.3 enable peer 10.1.3.3 group IBGP peer 10.1.4.4 enable peer 10.1.4.4 group IBGP peer 10.1.8.8 enable peer 10.1.8.8 group IBGP peer 10.1.9.9 enable peer 10.1.9.9 group IBGP # ipv4-family vpnv4 undo policy vpn-target peer IBGP enable peer IBGP reflect-client peer IBGP advertise-community peer 10.1.3.3 enable peer 10.1.3.3 group IBGP peer 10.1.4.4 enable peer 10.1.4.4 group IBGP peer 10.1.8.8 enable peer 10.1.8.8 group IBGP peer 10.1.9.9 enable peer 10.1.9.9 group IBGP
R3,R4,R8,R9為反射器客戶端(配置相同)
bgp 1 peer 10.1.6.6 as-number 1 peer 10.1.6.6 connect-interface LoopBack0 peer 10.1.6.6 advertise-community
掃一掃,關注我們