經典案例：企業H3C組網實例

博主QQ：819594300

博客地址：http://zpf666.blog.51cto.com/

有什麼疑問的朋友能夠聯繫博主，博主會幫大家解答，謝謝支持！

隨着企業信息化不斷的深刻，對網絡設備和鏈路的可靠性、安全性、可管理型提出了更高的要求，本案例經過一個企業網總部及分支的拓撲和配置，列出了當前構建中小型企業網絡的主流技術，涉及網關備份、鏈路冗餘、路由控制、訪問控制、設備管理等網絡技術。

案例中有7臺設備，企業網總部有3臺交換機，兩臺路由器；分支有一臺路由器經過電信10M專用線路和聯通的2M專用備份線路與總部通訊；另一臺路由器模擬internet。

案例中總部有兩個應用網段：一個是業務192網段，另外一個是OA的172網絡，分別與分支的業務網段和OA網段通訊。

 

1、前置知識點

1、MSTP

MSTP由IEEE制定的802.1S標準定義，它能夠彌補STP和RSTP的缺陷，既能夠快速收斂，也能使用不一樣的VLAN流量沿各自的路徑轉發，從而爲冗餘鏈路提供了更好的複雜分擔機制。MSTP的特色以下：

1）MSTP把一個交換網絡劃分紅多個域，每一個域內造成多棵生成樹，生成樹之間彼此獨立。

2）MSTP經過設置VLAN與生成樹的對應關係（VLAN映射表），將VLAN與生成樹聯繫起來。並經過「實例」的概念，將多個VLAN捆綁到一個實例中，從而達到了節省通訊開銷和下降資源佔用率的目的。

3）MSTP將環路網絡修建成爲一個無環的樹形網絡，避免報文在環路網絡中的增生和無線循環，同時還提供了數據轉發的多個冗餘路徑，在數據轉發過程當中實現VLAN數據的負載分擔。

4）MSTP兼容STP和RSTP。

 

2、VRRP

VRRP將局域網內的一組路由器劃分在一塊兒，稱爲一個備份組。備份組由一個master路由器和多個backup路由器組成，功能上至關於一臺虛擬路由器。VRRP備份組具備如下特色。

1）虛擬路由器具備IP地址，稱爲虛擬地址。局域網內的主機僅須要知道這個虛擬路由器的ip地址，並將其設置爲默認路由的下一跳地址。網絡內的主機經過這個虛擬路由器與外部網絡進行通訊。

2）備份組內的路由器根據優先級，選舉出master路由器，承擔網關功能。其餘路由器做爲backup路由器，當master路由器發生故障時，取代master路由器繼續履行網關職責，從而保證網絡內的主機不間斷地與外部網絡進行通訊。

 

3、ACL

基本ACL：編號範圍2000-2999，支持報文的源ip地址。

高級ACL：編號範圍3000-3999，支持報文的源ip地址、目的ip地址、報文的優先級、ip承載的協議類及特性等3、四層信息。

 

4、命令參考

1）ospf的配置

  ospf 1 

  default-route-advertise always                    在ospf區域發佈外部默認路由

  area 1

  net  10.255.23.1 0.0.0.0

  abr-summary 172.17.0.0 255.255.0.0 not-advertise   不發佈聚合後的路由條目

  int g0/0

  ospf cost 1000                                     配置接口的路由成本，路由選路

  dis ip routing-table protocol ospf                 查看ospf學習到的路由條目

2）stp的配置：

  stp instance 1 root primary                        設置爲實例1的根網橋

  stp instance 2 root secondary                      設置爲實例2的備份根網橋                   

  stp region-configuration                           進入stp的域視圖，一個域必須有相同的域名、修正級別、vlan映射

  region-name h3c                                    stp域名

  revision-level 3                                   修正級別（可選，用於肯定一個域，默認0）

  instance 1 vlan 10                                 實例1映射爲vlan10

  instance 2 vlan 20

  active region-configure                            激活域

  dis stp brief                                      查看stp信息：root根端口，desi指定端口，alte阻塞端口

3）vrrp的配置：vlan10爲例

  int vlan 10

  vrrp vrid 1 virtual-ip 172.16.0.254                 配置vrrp的虛擬ip

  vrrp vrid 1 priority 120                            vrrp的優先級

  vrrp vrid 1 track 2 priority reduced 30             跟蹤vlan2，vlan2宕掉時優先級下降30

  dis vrrp                                            查看vrrp的狀態

4）esay_ip的配置：

  acl basic 2000                                      配置acl

  rule 0 permit source 172.16.0.0 0.0.0.255           容許nat的網絡

  rule 5 permit source 172.17.0.0 0.0.255.255

  int g0/0

  nat outbound 2000                                   應用easy_ip

  dis nat session  verbos                             查看nat轉換信息

  ping -a 172.16.0.10 202.98.192.57                   指定以172.16.0.10爲源地址ping目標主機

2、實驗案例

一、案例拓撲圖

2、實驗要求：

1）按拓撲要求配置ip地址和vlan及默認路由，R4模擬外網不配置到內網的路由

2）將總部網絡在ospf區域0發佈，分支網絡在ospf1區域發佈

3）配置stp，sw1爲實例0和實例1（vlan10）的主根，vlan20的備份根，sw2與之相反

4）配置vrrp，sw1爲vlan10的master，sw2爲vlan20的master並track監視上行端口

5）配置ospf路徑選擇，總部與分支的通信所有經過電信鏈路通信，聯通鏈路只作備份

而且電信鏈路故障時只有vlan20的數據可使用備份鏈路

6）配置easy_ip，實現只有vlan10能夠訪問到R4（外網）

3、實驗步驟

1）按拓撲要求配置ip地址和vlan及默認路由，R4模擬外網不配置到內網的路由。

配置SW1：

SW2:

SW3:

R1:

R2:

R3:

R4:

2）將總部網絡在ospf區域0發佈，分支網絡在ospf1區域發佈

SW1:

SW2:

SW3:

R1:

R2:

R3:

在R1上查看路由表

而後在R1上測試ping通性：

3）配置stp，sw1爲實例0和實例1（vlan10）的主根，vlan20的備份根，sw2與之相反

SW1：

SW2：

SW3：

分別在三臺交換機上查看MSTP：命令是dis  stp  brief

說明：端口狀態ALTE：表示在本實例中端口處於阻斷狀態。

同一臺設備同一實例下的兩個端口爲DESI狀態：表示這臺設備爲該實例下的主根。

若是出現了MAST狀態的端口：表示域配置信息有誤，出現了多個域。

4）配置vrrp，sw1爲vlan10的master，sw2爲vlan20的master並track監視上行端口

SW1:

SW2:

在SW1和SW2上分別查詢dis vrrp（顯示主從設備）：

5）配置ospf路徑選擇，總部與分支的通信所有經過電信鏈路通信，聯通鏈路只作備份，而且電信鏈路故障時只有vlan20的數據可使用備份鏈路

R3:

說明：發現有到達172.16.0.0/24下一跳有2個，分別是10.255.13.1（R1）和10.255.23.1（R2）

而後執行dis ip routing-table protocol ospf能夠看到與ospf相關的路由。

執行以下命令：

而後再次執行dis  ip routing-table 發現到達172.16.0.0/24下一跳只剩下了10.222.13.1（電信）：

接下來使用R3 ping 172.16.0.10（sw3的vlan10）還能夠通：

測試R3上的172.17.1.1到172.16.0.10（即測試分部的vlan10到總部的vlan10的連通性）能夠通：

再測試R3上的192.168.100.1到172.16.0.10（即測試分部的vlan20到總部的vlan10的連通性）能夠通：

R2：

上圖中，作的是聚合分支，阻止172.17.0.0/16網段向總部發送。

測試：斷掉R3和R1之間的線（便可以關閉R3的g0/1口）在R3上ping -a 192.168.100.1 172.16.0.10能夠通，ping -a 172.17.1.1 172.16.0.10則就不通了，則爲成功：

在R3上繼續配置：

上圖中，發現next hop所有都是10.255.13.1。

上兩張截圖能夠看到：ping -a 172.16.0.10202.98.192.57不通

Ping -a 192.168.0.10 202.98.192.57不通。

6）配置easy_ip，實現只有vlan10能夠訪問到R4（外網）

R1：

而後在SW3上再次ping -a 192.168.0.10202.98.192.57仍是不通，ping -a 172.16.0.10 202.98.192.57也不通，緣由是由於r1上ospf問題，默認路由沒有引入。

在R1上：

而後到SW3上執行dis ip routing-table protocolospf：

上圖中發現多了到0.0.0.0的兩條默認路由。

再次在SW3上ping -a 172.16.0.10202.98.192.57通了

Ping -a 192.168.0.10 202.98.192.57仍是不通就對了:

在R1上執行：disnat session verbose查看nat轉換信息: