赞
踩
企业网三层架构的实现:Notion – The all-in-one workspace for your notes, tasks, wikis, and databases.
关于STP生成树协议:Notion – The all-in-one workspace for your notes, tasks, wikis, and databases.
"ENSP"是华为企业级网络设备模拟器(Enterprise Network Simulation Platform)的缩写。它是华为公司提供的一款网络仿真软件,旨在帮助网络管理员和工程师在虚拟环境中规划、配置和测试企业级网络设备和拓扑。
以下是ENSP的一些主要介绍和功能:
依次安装VirtualBox(版本5.2.26)、WinPcap(版本4.1.3)、Wireshark(版本:1.12.4)、ensp(版本:1.3.00.100)
R1的g0/0/2接口和R2的所有接口属于公网,直接配置IP地址
为连接路由器的两个网段分配IP网段为172.16.0.0/30和172.16.0.4/30,然后为路由器下面两个端口配置IP地址
由于华为模拟器上即使将二层接口转换成三层接口也无法配置IP地址,所以在为两台交换机上的连接路由器上的接口,也就是sw1上的g0/0/5和sw2的g0/0/5接口配置IP地址时,可以先在两台交换机上创建vlan99并将两个物理接口划分到vlan99中,然后以vlan99创建两个svi接口,然后再为两个虚拟的SVI接口配置IP地址,可以达到相同的效果
- [sw1]vlan 99
- [sw1-vlan99]quit
- [sw1]inter g0/0/5
- [sw1-GigabitEthernet0/0/5]port link-type access
- [sw1-GigabitEthernet0/0/5]port default vlan 99
- [sw1-GigabitEthernet0/0/5]quit
- [sw1]interface vlanif 99
- [sw1-Vlanif99]ip add 172.16.0.2 30
-
- [sw2]vlan 99
- [sw2-vlan99]qui
- [sw2]inter g0/0/5
- [sw2-GigabitEthernet0/0/5]port link-type access
- [sw2-GigabitEthernet0/0/5]port default vlan 99
- [sw2-GigabitEthernet0/0/5]qui
- [sw2]interface Vlanif 99
- [sw2-Vlanif99]ip add 172.16.0.6 30

为什么要构建汇聚层之间的通道:实现vlan2和vlan3的互相通讯,假设PC1和PC2属于某个部门,PC3和PC4属于另一个部门,则该通道承载的就是两个部门互相沟通的流量
为了实现负载分担(负载分担的定义详见企业网三层架构的实现),两台汇聚层设备之间会采用双网线连接,由于二层设备之间采用双线连接会造成环路导致生成树协议会阻塞其中一条通路,所以要采用以太网通道技术将两根网线逻辑成一条网线,这样生成树协议就不会阻塞其中一条,因为交换机不会将其中一根网线的流量泛洪到另一根网线中
- [sw1]interface Eth-Trunk 0
- [sw1-Eth-Trunk0]qui
- [sw1]interface g0/0/4
- [sw1-GigabitEthernet0/0/4]eth-trunk 0
- [sw1-GigabitEthernet0/0/4]qui
- [sw1]inter g0/0/3
- [sw1-GigabitEthernet0/0/3]eth-trunk 0
-
- [sw2]interface Eth-Trunk 0
- [sw2-Eth-Trunk0]qui
- [sw2]inter g0/0/4
- [sw2-GigabitEthernet0/0/4]eth-trunk 0
- [sw2-GigabitEthernet0/0/4]inter g0/0/3
- [sw2-GigabitEthernet0/0/3]eth-trunk 0
分别在两台汇聚层交换机上创建vlan2和vlan3,并创建对应的SVI接口,然后为SVI接口分配接入层网段的网关地址
- [sw1]vlan batch 2 to 3
- [sw1]interface Vlanif 2
- [sw1-Vlanif2]ip add 172.16.1.1 24
- [sw1-Vlanif2]qui
- [sw1]interface Vlanif 3
- [sw1-Vlanif3]ip add 172.16.2.1 24
-
- [sw2]vlan batch 2 to 3
- [sw2]interface Vlanif 2
- [sw2-Vlanif2]ip add 172.16.1.2 24
- [sw2-Vlanif2]qui
- [sw2]interface Vlanif 3
- [sw2-Vlanif3]ip add 172.16.2.2 24
将以太网通道的两端的Eth-trunk接口设置为trunk模式并允许vlan2和vlan3通过
- [sw1]inter Eth-Trunk 0
- [sw1-Eth-Trunk0]port link-type trunk
- [sw1-Eth-Trunk0]port trunk allow-pass vlan 2 to 3
-
- [sw2]inter Eth-Trunk 0
- [sw2-Eth-Trunk0]port link-type trunk
- [sw2-Eth-Trunk0]port trunk allow-pass vlan 2 to 3
目的:确保SW1成为MSTP中组2的主根以及组3的备份根;SW2成为MSTP中组3的主根以及组2的备份根
一下
- [sw1]stp region-configuration #配置 Spanning Tree Protocol (STP) 区域参数
- [sw1-mst-region]region-name a #指定区域名,所有设备应在一个域内
- [sw1-mst-region]instance 2 vlan 2 #在域内创建组,并且将vlan2划分到该组内
- [sw1-mst-region]instance 3 vlan 3
- [sw1-mst-region]active region-configuration #激活区域配
- [sw1-mst-region]quit
- [sw1]stp instance 2 root primary #本交换机将在组2中扮演主根的角色
- [sw1]stp instance 3 root secondary #本交换机将在组3中扮演备份主根的角色
-
- [sw2]stp region-configuration
- [sw2-mst-region]region-name a
- [sw2-mst-region]instance 2 vlan 2
- [sw2-mst-region]instance 3 vlan 3
- [sw2-mst-region]active region-configuration
- [sw2-mst-region]quit
- [sw2]stp instance 2 root secondary
- [sw2]stp instance 3 root primary

注意在配置生成树的区域参数的时候,必须在汇聚层和接入层交换机上都要配置一遍,即将交换机都假如区域a,并以其中的配置参数为运行标准
以下是在接入层设备也配置MSTP区域配置的命令
- [sw3]vlan batch 2 to 3
- [sw3-mst-region]stp region-configuration
- [sw3-mst-region]region-name a
- [sw3-mst-region]instance 2 vlan 2
- [sw3-mst-region]instance 3 vlan 3
- [sw3-mst-region]active region-configuration
-
- [sw4]vlan batch 2 to 3
- [sw4]stp region-configuration
- [sw4-mst-region]region-name a
- [sw4-mst-region]instance 2 vlan 2
- [sw4-mst-region]instance 3 vlan 3
- [sw4-mst-region]active region-configuration
目前汇聚层设备上已经有了三个vlanif接口,其中两个vlanif接口负载连接接入层,一个vlanif接口负责连接核心层。考虑到连接核心层的接口划分到了vlan99,且该接口目前被自动设置为了access模式,导致从核心层过来的数据进入汇聚层时打上了标签99,所以汇聚层需要剥离这层标签,将连接接入层的接口设为hybrid,如sw1上的g0/0/2需要设置为如下模式
- GE0/0/2 hybrid 1 U: 1 99
- T: 2
对于连接sw1和sw3上的网线来说,只需要允许vlan2通过即可;对于sw1和sw4之间的网线来说只需要vlan3通过即可;对于sw2和sw3之间的网线只需要允许vlan2通过即可;对于sw2和sw4之间的网线来说只需要允许vlan3通过即可
- [sw1]inter g0/0/1
- [sw1-GigabitEthernet0/0/1]port link-type trunk
- [sw1-GigabitEthernet0/0/1]port trunk allow-pass vlan 3
- [sw1]inter g0/0/2
- [sw1-GigabitEthernet0/0/2]port link-type trunk
- [sw1-GigabitEthernet0/0/2]port trunk allow-pass vlan 2
-
- [sw2]inter g0/0/1
- [sw2-GigabitEthernet0/0/1]port link-type trunk
- [sw2-GigabitEthernet0/0/1]port trunk allow-pass vlan 2
- [sw2-GigabitEthernet0/0/1]inter g0/0/2
- [sw2-GigabitEthernet0/0/2]port link-type trunk
- [sw2-GigabitEthernet0/0/2]port trunk allow-pass vlan 3
-
- [sw3]inter g0/0/2
- [sw3-GigabitEthernet0/0/2]port link-type trunk
- [sw3-GigabitEthernet0/0/2]port trunk allow-pass vlan 2
- [sw3-GigabitEthernet0/0/2]inter g0/0/1
- [sw3-GigabitEthernet0/0/1]port link-type trunk
- [sw3-GigabitEthernet0/0/1]port trunk allow-pass vlan 2
-
- [sw4]inter g0/0/1
- [sw4-GigabitEthernet0/0/1]port link-type trunk
- [sw4-GigabitEthernet0/0/1]port trunk allow-pass vlan 3
- [sw4-GigabitEthernet0/0/1]inter g0/0/2
- [sw4-GigabitEthernet0/0/2]port link-type trunk
- [sw4-GigabitEthernet0/0/2]port trunk allow-pass vlan 3

未完待续:连接核心层的接口被自动设置为了access接口,导致进入汇聚层的流量打着vlan2的id无法转出
将接入层上的两台交换机上连接PC机的接口设置为access模式,并划分到对应的vlan中
- [sw3]inter g0/0/4
- [sw3-GigabitEthernet0/0/4]port link-type access
- [sw3-GigabitEthernet0/0/4]port default vlan 2
- [sw3-GigabitEthernet0/0/4]inter g0/0/3
- [sw3-GigabitEthernet0/0/3]port link-type access
- [sw3-GigabitEthernet0/0/3]port default vlan 2
-
- [sw4]inter g0/0/3
- [sw4-GigabitEthernet0/0/3]port link-type access
- [sw4-GigabitEthernet0/0/3]port default vlan 3
- [sw4-GigabitEthernet0/0/3]inter g0/0/4
- [sw4-GigabitEthernet0/0/4]port default vlan 3
要达到公司内网全通,必须运行动态路由协议使得所有具有路由转发功能的设备,包括三层交换机的路由表中有全面的内网的网段路由条目
在汇聚层的三层交换机和核心层的路由器上运行OSPF协议
- [r1]ospf 1 router-id 1.1.1.1
- [r1-ospf-1]area 0
- [r1-ospf-1-area-0.0.0.0]network 172.16.0.1 0.0.0.0
- [r1-ospf-1-area-0.0.0.0]network 172.16.0.5 0.0.0.0
- [sw1]ospf 1 router-id 2.2.2.2
- [sw1-ospf-1]area 0
- [sw1-ospf-1-area-0.0.0.0]network 172.16.1.1 0.0.0.0
- [sw1-ospf-1-area-0.0.0.0]network 172.16.2.1 0.0.0.0
- [sw1-ospf-1-area-0.0.0.0]network 172.16.0.2 0.0.0.0
-
- [sw2]ospf 1 router-id 3.3.3.3
- [sw2-ospf-1]area 0
- [sw2-ospf-1-area-0.0.0.0]network 172.16.0.6 0.0.0.0
- [sw2-ospf-1-area-0.0.0.0]network 172.16.1.2 0.0.0.0
- [sw2-ospf-1-area-0.0.0.0]network 172.16.2.2 0.0.0.0
网关冗余的原理与思科的私有协议HSRP协议有关
两台网关设备SW1和SW2互相发送HSRP协议中的hello包,二者共同商量维护一个虚拟网关的IP地址和虚拟的MAC地址,二者还会选举一个主备关系,主机PC1和PC2在填写网关的时候填写这个虚拟的网关的IP地址,当“主”网关设备收到ARP请求后,将虚拟的MAC地址下发,连接PC的交换机收到下发的MAC地址后也会将MAC地址和对应的进入接口记录到MAC地址表中(交换机的工作原理),主机收到下发的虚拟的MAC地址后写入自己的ARP表,之后上网的时候其数据包的目标MAC地址就是虚拟的MAC地址,交换机收到上网数据包后从之前记录的接口转出给“主”网关设备,“主”网关设备收到上网流量后发现目标MAC地址是自己管理的虚拟的MAC地址,就得知是自己网段下的主机发来了数据包,然后解封装到三层根据目标网段查询路由表转发机制后将数据包发给其他路由设备。当第一台网关设备失效后,属于“从”角色的网关设备不再收到“主”网关设备的hello包,就认为虚拟的MAC地址归自己管辖,于是向下辖交换机发送数据更新交换机的ARP表,交换机于是更新该虚拟MAC地址的物理接口为连接“从”网关设备的物理接口,所以当交换机如果再收到终端发来的上网数据包就能将数据包转发到“从”网关设备上
关键在于主机上网实际上需要知道的是网关的MAC地址
配置网关冗余的协议需要使用公有的VRRP协议实现,原理同HSRP一致
区别:
VRRP在一个组内可以存在多台3层设备,存在一个master和多个backup
正常产生一个虚拟IP(可以为真实接口ip)和一个虚拟MAC 默认每1s来检测一次master是否活动 224.0.0.18 TTL=1 hold time 3s
选举规则:
特点:切换速度快;可以使网关的IP和MAC地址不用变化;网关的切换对主机是透明的;
- [sw1]interface Vlanif 2
- [sw1-Vlanif2]vrrp vrid 1 virtual-ip 172.16.1.250 #设定虚拟IP网关地址
- [sw1-Vlanif2]vrrp vrid 1 priority 101 #将自己的优先级改大,以确保自己作为hello包的发送方
-
- [sw2]interface Vlanif 3
- [sw2-Vlanif3]vrrp vrid 1 virtual-ip 172.16.2.250
在汇聚层交换机上开启dhcp服务,设置ip池塘与网关地址,注意这里的网关地址需要填写上一步VRRP发布的虚拟网关地址,然后在两个子接口上开启DHCP下发
- [sw1]dhcp enable
- [sw1-ip-pool-a]network 172.16.1.0 mask 24
- [sw1-ip-pool-a]gateway-list 172.16.1.250
- [sw1-ip-pool-a]qui
- [sw1]ip pool b
- [sw1-ip-pool-b]network 172.16.2.0 mask 24
- [sw1-ip-pool-b]gateway-list 172.16.2.250
- [sw1-Vlanif2]dhcp select global
- [sw1-Vlanif2]interface vlanif 3
- [sw1-Vlanif3]dhcp select global
注意要在sw1的两个SVI接口上开启DHCP服务,网关gateway-list要写VRRP要求的虚拟的网关IP地址
- [r1]acl 2000
- [r1-acl-basic-2000]rule permit sour
- [r1-acl-basic-2000]rule permit source 172.16.0.0 0.0.255.255
- [r1-acl-basic-2000]quit
- [r1]inter g0/0/2
- [r1-GigabitEthernet0/0/2]nat outbound 2000
Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。