本博文將圍繞一個綜合的網絡拓撲圖,把華爲路由器、交換機的一些基本配置寫下來。並且解釋鏈路聚合的相關概念。
博文大綱:
- (一)華爲網絡設備的鏈路聚合的相關概念總攬。
1、鏈路聚合是什麼?
2、成員接口有什麼限制?
3、鏈路聚合的工作模式有哪些?
4、活動接口與非活動接口的概念。
5、主動端與被動端的概念。
6、負載均衡模式有哪幾種?- (二)華爲網絡設備配置命令。
- (三)總結
(一)華爲網絡設備的鏈路聚合的相關概念總攬:
- 1、鏈路聚合是什麼?
- 2、成員接口有什麼限制?
- 3、鏈路聚合的工作模式有哪些?
- 4、活動接口與非活動接口的概念。
- 5、主動端與被動端的概念。
- 6、負載均衡模式有哪幾種?
1、鏈路聚合是什麼?
鏈路聚合(link aggregation)是將多個物理接口當做一個邏輯接口,以增加帶寬和提供線路冗餘。鏈路聚合的帶寬理論上相當於所包含的物理接口帶寬總和,非常適用於企業核心網絡中,同時參與捆綁的某個成員接口或鏈路損壞,不影響聚合鏈路的正常工作,提供了冗餘性。華爲設備支持的鏈路聚合協議是LACP(link aggregation control protocol)。在華爲設備中,由多個物理接口捆綁成邏輯接口,該接口被稱爲Eth-Trunk接口。
2、成員接口有什麼限制?
將成員接口加入Eth-Trunk時,需要注意以下問題:
- 每個Eth-Trunk接口下最多可以包含8個成員接口;
- 成員接口不能單獨配置任何功能和靜態MAC地址;
- 成員接口加入Eth-Trunk時,必須爲默認的hybrid類型接口(該類型是華爲設備默認的接口類型);
- Eth-Trunk接口不能嵌套,即成員接口不能是Eth-Trunk;
- 一個以太網接口只能加入一個Eth-Trunk接口,如果需要加入其它Eth-Trunk接口,必須先退出原來的Eth-Trunk接口;
- 一個Eth-Trunk接口中的成員接口必須是同一類型,即FE口和GE口不能加入同一個Eth-Trunk接口。
- 可以將不同接口板上的以太網接口加入同一個Eth-Trunk。
- 如果本地設備使用了Eth-Trunk,與成員接口直連的對端接口也必須捆綁爲Eth-Trunk接口,這樣兩端才能正常通信。
- 當成員接口的速率不一致時,實際使用中速率小的接口可能會出現擁塞,導致丟包。
- 當成員接口加入Eth-Trunk後,學習MAC地址時是按照Eth-Trunk來學習的,而不是按照成員接口來學習的。
3、鏈路聚合的工作模式有哪些?
華爲網絡設備支持的鏈路聚合模式有手工負載分擔模式和靜態LACP模式:
- 手工負載分擔模式:該模式中沒有LACP協議報文的參與,所有的配置均由手工完成,如加入多個成員接口。該模式下所有接口均處於轉發狀態,實現鏈路的負載分擔。它支持的負載分擔方式寶庫目的MAC、源MAC、源MAC異或目的MAC、源IP、目的IP、源IP異或目的IP。手工負載模式通常應用於對端設備不支持LSCP協議的情況下。
- 靜態LACP模式:該模式是線路兩端利用LACP協議進行協商,從而確定活動接口和非活動接口的鏈路聚合方式,在該模式下,創建Eth-Trunk、加入Eth-Trunk成員接口需要手工完成,而確定活動接口和非活動接口由LACP協議進行協商。靜態LACP模式也稱爲M : N模式。這種方式可以實現鏈路負載分擔和冗餘備份的雙重功能。在鏈路聚合組中M條鏈路處於活動狀態,轉發數據並負載分擔,而另外N條鏈路 處於非活動狀態,不轉發數據,當M條鏈路中有鏈路出現故障時,系統會自動從N條備份鏈路中選擇優先級最高的接替故障鏈路,並開始轉發數據。
靜態LACP模式與手工負載分擔模式的主要區別爲靜態LACP模式可以有備份鏈路,而手工負載分擔模式中所有成員接口均處於轉發狀態,分擔負載流量,除非線路故障。
4、活動接口與非活動接口的概念。
處於活動狀態並負責轉發數據的接口稱爲活動接口。相反,處於非活動狀態並禁止轉發數據的接口被稱爲非活動接口。活動接口和非活動接口一般不需要人爲干預,在靜態LACP模式中可以配置活動接口數量的上限以及下限。
根據配置的工作模式不同,角色分工如下:
- 手工負載分擔模式:正常情況下,所有接口都屬於活動接口,除非這些接口出現鏈路故障。
- 靜態LACP模式:M條鏈路對應的接口爲活動接口並負責轉發數據,N條鏈路對應的接口爲非活動接口並負責冗餘備份。
5、主動端與被動端的概念。
在靜態LACP模式下,聚合組兩端的設備中,需要選擇一端爲主動端,而另一端爲被動端。通常情況下,LACP優先級較高的一端爲主動端,LACP優先級較低的一端爲被動端。如果優先級一樣,那麼通常選擇MAC地址小的一段爲主動端。(優先級的數值越小,優先級越高)。
區分主動端與被動端的目的是保證兩端設備最終確認的活動接口一致,否則兩端都按照本端各自的接口優先級來選擇活動接口,最終兩端所確定的活動接口很有可能不一致,聚合鏈路也就無法建立。如下所示:
SwitchA選擇上面的兩個接口爲活動接口,而SwitchB選擇下面的兩個接口爲活動接口,因爲SwitchA的優先級比較高,所以最終的活動接口兩端都以SwitchA爲準,因此應首先確定主動端,被動端按照主動端側的接口優先級來選擇活動接口。
6、負載均衡模式有哪幾種?
鏈路聚合的主要作用是提高帶寬以及增加冗餘,而普遍的做法就是在多條物理鏈路上實行負載分擔。
常用的負載分擔模式包括:
- dst-ip(目的IP地址)模式:從目的IP地址、出端口的TCP/UDP端口號中分別選擇指定位的3bit數值進行異或運算,根據運算結果選擇Eth-Trunk表中對應的出接口。
- dst-mac(目的MAC地址)模式:從目的MAC地址、VLAN ID、以太網類型及入端口信息中分別指定位的3bit數值進行異或運算,根據運算結果選擇Eth-Trunk表中對應的出接口。
- src-ip(源IP地址)模式:從源IP地址、入端口的TCP/UDP端口號中分別指定位的3bit數值進行異或運算,根據運算結果選擇Eth-Trunk表中對應的出接口。
- src-mac(源MAC地址)模式:從源MAC地址、VLAN ID、以太網類型及入端口信息中分別指定位的3bit數值進行異或運算,根據運算結果選擇Eth-Trunk表中對應的出接口。
- src-dst-ip(源IP地址與目的IP地址的異或)模式:對目的IP地址、源IP地址兩種負載分擔模式的運算結果進行異或運算,根據運算結果選擇Eth-Trunk表中對應的出接口。
- src-dst-mac(源MAC地址與目的MAC地址的異或)模式:對目的MAC地址、源MAC地址、VLAN ID、以太網類型及入端口信息中分別選擇指定位的3bit數值進行異或運算,根據運算結果選擇Eth-Trunk表中對應的出接口。
(二)華爲網絡設備配置命令:
這裏從一個大型的網絡拓撲圖的配置說起,將華爲網絡設備的基礎配置命令寫下來,可以下載我提供的拓撲圖(提取碼:ay6t ),該拓撲圖不以實用性爲目的,而是以涉及更多的配置命令及技術爲目的。網絡拓撲圖如下:
該拓撲圖涉及的命令如下:
- 鏈路聚合
- vlan劃分
- 單臂路由及三層交換
- OSPF及RIP的動態路由配置
- 路由重分發
- PAT及靜態NAT的配置
- 基本ACL及高級ACL配置
網絡拓撲分析:
1)OSPF和RIP部分:
R2爲公司的網關路由器,R1模擬公網路由器,所以不可配置去往公司內部的路由。公司內網使用了兩種動態路由協議,RIP和OSPF,R2的GE0/0/0、GE0/0/1兩個接口和SW1、SW2使用了OSPF動態路由,屬於area0。R2的GE0/0/2以及R3和R4 都是用了動態路由協議RIP。所以需要在R2路由器上進行路由重分發。從而使不同的路由協議相互學習。R2作爲網關路由器,需要有一條默認路由指向公網,並且需要將這條默認路由重分發到OSPF及RIP協議裏。
2)鏈路聚合:
SW1和SW2使用鏈路聚合將兩條物理鏈路聚合成一條邏輯鏈路,用於實現負載分擔和備份。設置SW1爲LACP主動端,邏輯鏈路基於MAC方式進行負載分擔。
3)NAT及ACL:
模擬內網中192.168.10.0/24和192.168.11.0/24這兩個網段不可以連接公網,所以需要設置ACL。Windows server 2016搭建一個web服務器,使用靜態NAT發佈到公網,使win 7 客戶端可以訪問到web服務器。
4)公司內部所有的網段都是192.168.X.0/24的網段。
開始配置:
網絡拓撲比較大,我們分爲多個部分來配置。
第一部分的配置:
第一部分首先從R2路由器的GE0/0/0和GE0/0/1開始往下配置,依次配置路由器接口IP地址、OSPF、三層交換機的接口、vlan、鏈路聚的配置、二層交換機的接口配置以及劃分vlan,最終測試最下面的PC是否可以ping通路由器的GE0/0/0接口(需要在配置完OSPF後纔可ping通)。
R2路由器配置如下:
<R2>un ter mo <!--關閉日誌提示消息(很煩人的一個東西)-->
<R2>sys <!--進入系統視圖-->
[R2]ip route-static 0.0.0.0 0.0.0.0 200.0.0.2 <!--配置一個指向公網的默認路由-->
[R2]int g0/0/0 <!--進入該接口-->
[R2-GigabitEthernet0/0/0]ip add 192.168.7.2 24 <!--配置接口IP,默認接口處於開啓狀態,所以不用開啓接口-->
[R2-GigabitEthernet0/0/0]int g0/0/1 <!--進入該接口-->
[R2-GigabitEthernet0/0/1]ip add 192.168.8.2 24 <!--配置接口IP-->
[R2-GigabitEthernet0/0/1]ospf 10 <!--進入OSPF進程,指定進程號爲10-->
[R2-ospf-10]area 0 <!--進入area0 區域-->
[R2-ospf-10-area-0.0.0.0]net 192.168.7.0 0.0.0.255 <!--宣告相應網段-->
[R2-ospf-10-area-0.0.0.0]net 192.168.8.0 0.0.0.255 <!--宣告相應網段-->
[R2-ospf-10-area-0.0.0.0]quit <!--退出area 0區域-->
[R2-ospf-10]default-route-advertise <!--注入一條默認路由(前提是該路由器有默認)-->SW1配置如下:
<SW1>un ter mo <!--關閉日誌提示消息-->
<SW1>sys <!--進入系統視圖-->
[SW1]vlan ba 2 to 8 <!--創建vlan2到vlan8-->
[SW1]in vlan 7 <!--進入vlan7-->
[SW1-Vlanif7]ip add 192.168.7.1 24 <!--給vlan配置IP地址-->
[SW1-Vlanif7]in vlan 2 <!--進入vlan2-->
[SW1-Vlanif2]ip add 192.168.2.254 24 <!--給vlan配置IP地址-->
[SW1-Vlanif2]in vlan 3 <!--進入vlan3-->
[SW1-Vlanif3]ip add 192.168.3.254 24 <!--給vlan配置IP地址-->
[SW1-Vlanif3]in vlan 4 <!--進入vlan4-->
[SW1-Vlanif4]ip add 192.168.4.254 24 <!--給vlan配置IP地址-->
[SW1-Vlanif4]in g0/0/1 <!--進入接口g0/0/1-->
[SW1-GigabitEthernet0/0/1]port link-type access <!--更改接口類型爲access-->
[SW1-GigabitEthernet0/0/1]port default vlan 7 <!--將接口添加到vlan 7-->
<!--因爲華爲的三層交換機不可以直接在物理接口配置IP地址,
所以只能把IP配在vlan,然後將物理接口添加到VLAN中-->
[SW1-GigabitEthernet0/0/1]lacp pri 1000 <!--更改該交換機的LACP優先級-->
[SW1]int Eth-Trunk 12 <!--創建鏈路聚合邏輯接口,指定ID爲12-->
[SW1-Eth-Trunk12]mode lacp-static <!--配置靜態LACP模式-->
[SW1-Eth-Trunk12]load-balance dst-mac <!--配置負載均衡模式爲目標MAC地址-->
[SW1-Eth-Trunk12]trunkport g0/0/23 <!--添加成員接口g0/0/23-->
[SW1-Eth-Trunk12]trunkport g0/0/24 <!--添加成員接口g0/0/24-->
[SW1-Eth-Trunk12]port link-type trunk <!--配置鏈路聚合模式爲trunk-->
[SW1-Eth-Trunk12]port trunk allow-pass vlan all
<!--允許所有vlan通過,華爲設備默認不允許除vlan1以外的所以vlan通過,所以要手動允許。-->
[SW1-Eth-Trunk12]in g0/0/2 <!--進入g0/0/2接口-->
[SW1-GigabitEthernet0/0/2]port link-type trunk <!--配置接口類型爲trunk-->
[SW1-GigabitEthernet0/0/2]port trunk allow-pass vlan all <!--允許所有vlan通過-->
[SW1-GigabitEthernet0/0/2]in g0/0/3 <!--進入g0/0/3接口-->
[SW1-GigabitEthernet0/0/3]port link-type trunk <!--配置接口類型爲trunk-->
[SW1-GigabitEthernet0/0/3]port trunk allow-pass vlan all <!--允許所有vlan通過-->
[SW1]ospf 10 <!--配置OSPF-->
[SW1-ospf-10]area 0 <!--進入area 0-->
[SW1-ospf-10-area-0.0.0.0]net 192.168.2.0 0.0.0.255 <!--將所有直連網段聲明-->
[SW1-ospf-10-area-0.0.0.0]net 192.168.3.0 0.0.0.255
[SW1-ospf-10-area-0.0.0.0]net 192.168.4.0 0.0.0.255
[SW1-ospf-10-area-0.0.0.0]net 192.168.7.0 0.0.0.255SW2配置如下:
<SW2>un ter mo <!--關閉日誌消息-->
<SW2>sys <!--進入系統視圖-->
[SW2]vlan ba 2 to 8 <!--創建vlan-->
[SW2]in vlan 8 <!--進入vlan8-->
[SW2-Vlanif8]ip add 192.168.8.1 24 <!--給vlan配置IP地址-->
[SW2-Vlanif8]in vlan 6 <!--進入vlan6-->
[SW2-Vlanif6]ip add 192.168.6.254 24 <!--給vlan配置IP地址-->
[SW2-Vlanif6]in vlan 5 <!--進入vlan5-->
[SW2-Vlanif5]ip add 192.168.5.254 24 <!--給vlan配置IP地址-->
[SW2-Vlanif5]in g0/0/1 <!--進入接口g0/0/1-->
[SW2-GigabitEthernet0/0/1]port link-type access <!--將接口類型改爲access-->
[SW2-GigabitEthernet0/0/1]port default vlan 8 <!--將接口添加到vlan8-->
[SW2]int Eth-Trunk 12 <!--創建聚合鏈路,以便與SW1對應-->
[SW2-Eth-Trunk12]mode lacp-static <!--配置靜態LACP模式-->
[SW2-Eth-Trunk12]trunkport g0/0/23 <!--添加成員接口g0/0/23-->
[SW2-Eth-Trunk12]trunkport g0/0/24 <!--添加成員接口g0/0/24-->
[SW2-Eth-Trunk12]port link-type trunk <!--將接口類型改爲trunk-->
[SW2-Eth-Trunk12]port trunk allow-pass vlan all <!--允許所有vlan通過-->
[SW2-Eth-Trunk12]in g0/0/2 <!--進入g0/0/2接口-->
[SW2-GigabitEthernet0/0/2]port link-type trunk <!--配置接口類型爲trunk-->
[SW2-GigabitEthernet0/0/2]port trunk allow-pass vlan all <!--允許所有vlan通過-->
[SW2-GigabitEthernet0/0/2]in g0/0/3 <!--進入g0/0/3接口-->
[SW2-GigabitEthernet0/0/3]port link-type trunk <!--配置接口類型爲trunk-->
[SW2-GigabitEthernet0/0/3]port trunk allow-pass vlan all <!--允許所有vlan通過-->
[SW2]ospf 10 <!--配置OSPF-->
[SW2-ospf-10]area 0 <!--進入area 0-->
[SW2-ospf-10-area-0.0.0.0]net 192.168.8.0 0.0.0.255 <!--將所有直連網段聲明-->
[SW2-ospf-10-area-0.0.0.0]net 192.168.5.0 0.0.0.255
[SW2-ospf-10-area-0.0.0.0]net 192.168.6.0 0.0.0.255
SW4配置如下:
SW4>undo ter mo <!--關閉日誌消息-->
<SW4>sys <!--進入系統視圖-->
[SW4]vlan ba 2 to 8 <!--創建vlan,其實這裏只創建vlan2和vlan3就可以了-->
[SW4]in g0/0/1 <!--進入該接口-->
[SW4-GigabitEthernet0/0/1]port link-type trunk <!--配置接口類型爲trunk-->
[SW4-GigabitEthernet0/0/1]port trunk allow-pass vlan all <!--允許所有vlan通過-->
[SW4-GigabitEthernet0/0/1]in g0/0/3 <!--進入該接口-->
[SW4-GigabitEthernet0/0/3]port link-type access <!--將接口類型改爲access-->
[SW4-GigabitEthernet0/0/3]port default vlan 2 <!--將接口添加到vlan2-->
[SW4-GigabitEthernet0/0/3]in g0/0/2 <!--進入該接口-->
[SW4-GigabitEthernet0/0/2]port link-type access <!--將接口類型改爲access-->
[SW4-GigabitEthernet0/0/2]port default vlan 3 <!--將接口添加到vlan3-->SW5配置如下:
<SW5>undo ter mo <!--關閉日誌消息-->
<SW5>sys <!--進入系統視圖-->
[SW5]vlan 4 <!--創建vlan4-->
[SW5-vlan4]quit
[SW5]in g0/0/1 <!--進入該接口-->
[SW5-GigabitEthernet0/0/1]port link-type trunk <!--配置接口類型爲trunk-->
[SW5-GigabitEthernet0/0/1]port trunk allow-pass vlan all <!--允許所有vlan通過-->
[SW5-GigabitEthernet0/0/1]in g0/0/2 <!--進入該接口-->
[SW5-GigabitEthernet0/0/2]port link-type access <!--將接口類型改爲access-->
[SW5-GigabitEthernet0/0/2]port default vlan 4 <!--將接口添加到vlan4-->由於SW6、SW7和SW5的配置相比起來沒有太大的差別,都是改一下接口類型,創建相應的vlan,將接口添加到vlan中,trunk接口允許所有vlan的信息通過,所以,SW6和SW7就不寫註釋了,相應的註釋可以參考SW5的配置。
SW6配置如下:
<SW6>undo ter mo
<SW6>sys
[SW6]vlan 5
[SW6-vlan5]in g0/0/1
[SW6-GigabitEthernet0/0/1]port link-type trunk
[SW6-GigabitEthernet0/0/1]port trunk allow-pass vlan all
[SW6-GigabitEthernet0/0/1]in g0/0/2
[SW6-GigabitEthernet0/0/2]port link-type access
[SW6-GigabitEthernet0/0/2]port default vlan 5SW7配置如下:
<SW7>un ter mo
<SW7>sys
[SW7]vlan 6
[SW7-vlan6]in g0/0/1
[SW7-GigabitEthernet0/0/1]port link-type trunk
[SW7-GigabitEthernet0/0/1]port trunk allow-pass vlan all
[SW7-GigabitEthernet0/0/1]in g0/0/2
[SW7-GigabitEthernet0/0/2]port link-type access
[SW7-GigabitEthernet0/0/2]port default vlan 6經過以上配置,下面的網絡部分已經通了,可以自行使用PC進行ping測試。
第二部分的配置:
第二部分開始配置R2路由器的GE0/0/2接口到R4路由器及下面的交換機,首先配置R2路由器的GE0/0/2接口IP並配置RIP,進行OSPF和RIP的路由重分發,配置R3的接口IP及RIP路由,最後配置R4的接口IP、單臂路由及RIP路由。
R2路由器配置如下:
[R2]in g0/0/2 <!--進入該接口-->
[R2-GigabitEthernet0/0/2]ip add 192.168.12.1 24 <!--配置接口IP-->
[R2-GigabitEthernet0/0/2]rip <!--進入RIP-->
[R2-rip-1]ver 2 <!--開啓RIP版本2-->
[R2-rip-1]undo summary <!--關閉路由自動彙總-->
[R2-rip-1]net 192.168.12.0 <!--聲明網段信息-->
[R2-rip-1]import-route ospf 10 <!--充分發OSPF路由信息-->
[R2-rip-1]default-route originate <!--注入默認路由,前提是本設備有默認路由-->
[R2-rip-1]ospf 10 <!--進入OSPF-->
[R2-ospf-10]import-route rip 1 <!--重分發RIP路由信息,默認RIP進程號爲1-->R3路由器配置如下:
<R3>undo ter mo <!--關閉日誌信息-->
<R3>sys <!--進入系統視圖-->
[R3]in g0/0/0 <!--進入該接口-->
[R3i-GigabitEthernet0/0/0]ip add 192.168.12.2 24 <!--配置接口IP-->
[R3-GigabitEthernet0/0/0]in g0/0/1 <!--進入該接口-->
[R3-GigabitEthernet0/0/1]ip add 192.168.13.1 24 <!--配置接口IP-->
[R3-GigabitEthernet0/0/1]rip <!--進入RIP-->
[R3-rip-1]ver 2 <!--指定RIP版本爲2-->
[R3-rip-1]un sum <!--關閉路由自動彙總-->
[R3-rip-1]net 192.168.12.0 <!--聲明相應的直連網段-->
[R3i-rip-1]net 192.168.13.0
R4路由器配置如下:
<R4>un ter mo <!--關閉日誌信息-->
<R4>sys <!--進入系統視圖-->
[R4]in g0/0/1 <!--進入該接口-->
[R4-GigabitEthernet0/0/1]ip add 192.168.13.2 24 <!--配置接口IP-->
[R4-GigabitEthernet0/0/1]in g0/0/0.10 <!--配置單臂路由-->
[R4-GigabitEthernet0/0/0.10]ip add 192.168.10.1 24 <!--配置子接口的IP地址-->
[R4-GigabitEthernet0/0/0.10]dot ter vid 10 <!--子接口和vlan 10 關聯-->
[R4-GigabitEthernet0/0/0.10]arp bro ena <!--子接口打開ARP廣播-->
[R4-GigabitEthernet0/0/0.10]in g0/0/0.11 <!--進入子接口g0/0/0.11-->
[R4-GigabitEthernet0/0/0.11]ip add 192.168.11.1 24 <!--配置子接口的IP地址-->
[R4-GigabitEthernet0/0/0.11]dot1q ter vid 11 <!--子接口和vlan 11 關聯-->
[R4-GigabitEthernet0/0/0.11]arp broadcast enable <!--子接口打開ARP廣播-->
[R4]rip <!--進入RIP-->
[R4-rip-1]ver 2 <!--指定RIP版本爲2-->
[R4-rip-1]un sum <!--關閉路由自動彙總-->
[R4-rip-1]net 192.168.13.0 <!--聲明直連網段-->
[R4-rip-1]net 192.168.10.0
[R4-rip-1]net 192.168.11.0
SW3交換機配置如下:
<SW3>un ter mo <!--關閉日誌信息-->
<SW3>sys <!--進入系統視圖-->
[SW3]vlan ba 10 to 11 <!--創建響應vlan-->
[SW3]in g0/0/1 <!--進入該接口-->
[SW3-GigabitEthernet0/0/1]port link-type trunk <!--將接口模式改爲trunk-->
[SW3-GigabitEthernet0/0/1]port trunk allow-pass vlan 10 to 11 <!--允許相應vlan通過,“10 to 11”也可換成“all”-->
[SW3-GigabitEthernet0/0/1]in g0/0/2 <!--進入該接口-->
[SW3-GigabitEthernet0/0/2]port link-type access <!--將接口模式改爲access-->
[SW3-GigabitEthernet0/0/2]port default vlan 10 <!--將接口添加到vlan 10-->
[SW3-GigabitEthernet0/0/2]in g0/0/3 <!--進入該接口-->
[SW3-GigabitEthernet0/0/3]port link-type access <!--將接口模式改爲access-->
[SW3-GigabitEthernet0/0/3]port default vlan 11 <!--將接口添加到vlan 11-->經過上面的配置,下面這些網絡就全部搞定了,可以自行使用PC機進行ping測試。
第三部分的配置:
現在就需要配置Internet部分了,從R2路由器的GE3/0/0接口開始配置,首先配置該接口的IP地址,然後在配置Internet路由器R1的相應接口IP地址,注意,Internet路由器R1不可配置路由表,但依然要求所有內網可以ping通win 7客戶端,因爲在實際中,公司內部的私網地址不可能在公網上進行路由,公網上的路由器也不可能配置路由表直接指向公司內部,這就需要用到了NAT。爲了引出ACL的配置方法,就指定PC5和PC6不可以和公網進行通信,剩下的都可以。
R2路由器配置如下:
[R2]in g3/0/0 <!--進入該接口-->
[R2-GigabitEthernet3/0/0]ip add 200.0.0.1 24 <!--配置接口IP-->
[R2-GigabitEthernet3/0/0]quit <!--退出該接口-->
[R2]nat address-group 1 200.0.0.100 200.0.0.100 <!--配置NAT組-->
[R2]acl 2000 <!--編寫編號爲2000的基本ACL-->
[R2-acl-basic-2000]rule 0 per source any <!--允許所有源地址通過-->
[R2-acl-basic-2000]quit <!--退出-->
[R2]acl 3000 <!--編寫編號爲3000的高級ACL-->
[R2-acl-adv-3000]rule deny ip source 192.168.10.0 0.0.1.255 destination 200.0.0.0 0.0.0.255
<!--拒絕某個地址訪問指定地址,“192.168.10.0”是一個彙總後的地址,從反掩碼可以看出-->
[R2-acl-adv-3000]rule deny ip source 192.168.10.0 0.0.1.254 destination 201.0.0.0 0.0.0.255
<!--拒絕某個地址訪問指定地址-->
[R2-acl-adv-3000]quit <!--退出-->
[R2]in g3/0/0 <!--進入連接Internet的接口-->
[R2-GigabitEthernet3/0/0]nat outbound 2000 address-group 1 <!--NAT轉換,2000爲ACL-->
[R2-GigabitEthernet3/0/0]nat server global 200.0.0.200 inside 192.168.2.10
<!--配置NAT映射,將內網服務器映射爲公網IP“200.0.0.200”-->
[R2-GigabitEthernet3/0/0]quit <!--退出-->
[R2]in g0/0/2 <!--進入該接口-->
[R2-GigabitEthernet0/0/2]traffic-filter inbound acl 3000 <!--應用拒絕的ACL-->R1路由器配置如下:
<!--只是給接口配相應的IP地址,耐心快消耗沒了,就不註釋了-->
<R1>sys
[R1]in g0/0/0
[R1-GigabitEthernet0/0/0]ip add 200.0.0.2 24
[R1-GigabitEthernet0/0/0]in g0/0/1
[R1-GigabitEthernet0/0/1]ip add 201.0.0.1 24現在所有配置均以完成,自行配置win7和win server 2016進行測試吧,注意,win7和內網進行ping測試或訪問Windows server 2016的服務時,需要ping內網映射出來的地址和服務器映射出的公網地址,而不是內網服務器的真實地址。原本打算將ACL的配置寫的更詳細些,但是這篇博文已經寫了五個多小時了,實在沒耐心了。
附帶一些用於排錯的命令:
[R2]display current-configuration <!--查看當前設備的所有配置-->
[R2]display ip routing-table <!--查看路由表-->
[SW1]display vlan <!--查看vlan信息-->
[SW1]display ip interface brief <!--查看接口狀態-->
[SW1]display current-configuration interface vlan 2 <!--查看某一個接口的當前配置信息-->
[R2]display nat session all <!--查看NAT轉換條目-->
[R2]display ospf peer brief <!--查看OSPF鄰居信息-->
[R2]display acl all <!--查看ACL信息-->
[SW1]display eth-trunk 12 <!--查看鏈路聚合信息-->(三)總結:
該網絡拓撲圖需知道以下幾個知識點:
- 即使某些交換機上並沒有相應vlan的客戶端,但依然要創建相應vlan,如上面拓撲圖中的SW1和SW2,因爲當交換機收到來自某vlan的數據包時,如果他沒有該vlan,那麼將丟棄該數據包,但是如果中間經過了路由器,那就不一樣了。
- 華爲的trunk通道默認不允許除vlan 1以外的所有vlan通信,而Cisco設備的trunk默認允許所有vlan通信,所以在配置華爲設備時,在配置完基本的trunk配置後,一定要加上允許相關vlan通過trunk的命令。
- 在配置鏈路聚合時,LACP的優先級值越小,優先級越高,默認情況下,系統LACP優先級爲32768。在兩端設備中選擇LACP優先級較小的一端作爲主動端,如果系統LACP優先級相同,則選擇MAC地址較小的一端作爲主動端。
- 在配置OSPF是,如果想要指定router-id,可以在進入進程模式時追加router-id,如將R2的router-id設置爲1.1.1.1 :“[R2]ospf 10 router-id 1.1.1.1”。
- 華爲三層交換機的二層接口沒有直接提升爲三層接口的命令,如Cisco中的“no switchport”,所以在和路由器直連時,只能配置vlan虛接口,然後將物理接口添加到vlan中。
- 在華爲中,只能以標準的方式宣告RIP網絡,如網段進行子網劃分後爲“10.10.5.0/24”,在宣告網段時,也只能宣告爲“10.0.0.0”,但是需要注意,如果網絡中有經過子網劃分的網絡,那麼一定要使用RIP的版本2(默認爲1),並且關閉自動彙總。
- 華爲的NAT轉換直接配置在外部接口模式下,需要轉換的內部流量需要通過ACL來定義,而轉換後的內部全局地址通過配置NAT組來實現。
- 華爲的ACL與Cisco基本相似,華爲的ACL分爲基本和高級兩種,類似於Cisco的標準和擴展。其中基本的編號爲2000~2999,高級的編號爲3000~3999,rule命令字後面可以加編號,也可以省略,默認每個rule之間相隔5個數,因爲ACL的規則是匹配即停,所以這樣使爲了方便以後更改rule時,可以插入到某個rule之前。