经典案例：企业H3C组网实例

博主QQ：819594300

博客地址：http://zpf666.blog.51cto.com/

有什么疑问的朋友能够联系博主，博主会帮大家解答，谢谢支持！

随着企业信息化不断的深刻，对网络设备和链路的可靠性、安全性、可管理型提出了更高的要求，本案例经过一个企业网总部及分支的拓扑和配置，列出了当前构建中小型企业网络的主流技术，涉及网关备份、链路冗余、路由控制、访问控制、设备管理等网络技术。

案例中有7台设备，企业网总部有3台交换机，两台路由器；分支有一台路由器经过电信10M专用线路和联通的2M专用备份线路与总部通讯；另一台路由器模拟internet。

案例中总部有两个应用网段：一个是业务192网段，另外一个是OA的172网络，分别与分支的业务网段和OA网段通讯。

 

1、前置知识点

1、MSTP

MSTP由IEEE制定的802.1S标准定义，它能够弥补STP和RSTP的缺陷，既能够快速收敛，也能使用不一样的VLAN流量沿各自的路径转发，从而为冗余链路提供了更好的复杂分担机制。MSTP的特色以下：

1）MSTP把一个交换网络划分红多个域，每一个域内造成多棵生成树，生成树之间彼此独立。

2）MSTP经过设置VLAN与生成树的对应关系（VLAN映射表），将VLAN与生成树联系起来。并经过“实例”的概念，将多个VLAN捆绑到一个实例中，从而达到了节省通讯开销和下降资源占用率的目的。

3）MSTP将环路网络修建成为一个无环的树形网络，避免报文在环路网络中的增生和无线循环，同时还提供了数据转发的多个冗余路径，在数据转发过程当中实现VLAN数据的负载分担。

4）MSTP兼容STP和RSTP。

 

2、VRRP

VRRP将局域网内的一组路由器划分在一块儿，称为一个备份组。备份组由一个master路由器和多个backup路由器组成，功能上至关于一台虚拟路由器。VRRP备份组具备如下特色。

1）虚拟路由器具备IP地址，称为虚拟地址。局域网内的主机仅须要知道这个虚拟路由器的ip地址，并将其设置为默认路由的下一跳地址。网络内的主机经过这个虚拟路由器与外部网络进行通讯。

2）备份组内的路由器根据优先级，选举出master路由器，承担网关功能。其余路由器做为backup路由器，当master路由器发生故障时，取代master路由器继续履行网关职责，从而保证网络内的主机不间断地与外部网络进行通讯。

 

3、ACL

基本ACL：编号范围2000-2999，支持报文的源ip地址。

高级ACL：编号范围3000-3999，支持报文的源ip地址、目的ip地址、报文的优先级、ip承载的协议类及特性等3、四层信息。

 

4、命令参考

1）ospf的配置

  ospf 1 

  default-route-advertise always                    在ospf区域发布外部默认路由

  area 1

  net  10.255.23.1 0.0.0.0

  abr-summary 172.17.0.0 255.255.0.0 not-advertise   不发布聚合后的路由条目

  int g0/0

  ospf cost 1000                                     配置接口的路由成本，路由选路

  dis ip routing-table protocol ospf                 查看ospf学习到的路由条目

2）stp的配置：

  stp instance 1 root primary                        设置为实例1的根网桥

  stp instance 2 root secondary                      设置为实例2的备份根网桥                   

  stp region-configuration                           进入stp的域视图，一个域必须有相同的域名、修正级别、vlan映射

  region-name h3c                                    stp域名

  revision-level 3                                   修正级别（可选，用于肯定一个域，默认0）

  instance 1 vlan 10                                 实例1映射为vlan10

  instance 2 vlan 20

  active region-configure                            激活域

  dis stp brief                                      查看stp信息：root根端口，desi指定端口，alte阻塞端口

3）vrrp的配置：vlan10为例

  int vlan 10

  vrrp vrid 1 virtual-ip 172.16.0.254                 配置vrrp的虚拟ip

  vrrp vrid 1 priority 120                            vrrp的优先级

  vrrp vrid 1 track 2 priority reduced 30             跟踪vlan2，vlan2宕掉时优先级下降30

  dis vrrp                                            查看vrrp的状态

4）esay_ip的配置：

  acl basic 2000                                      配置acl

  rule 0 permit source 172.16.0.0 0.0.0.255           容许nat的网络

  rule 5 permit source 172.17.0.0 0.0.255.255

  int g0/0

  nat outbound 2000                                   应用easy_ip

  dis nat session  verbos                             查看nat转换信息

  ping -a 172.16.0.10 202.98.192.57                   指定以172.16.0.10为源地址ping目标主机

2、实验案例

一、案例拓扑图

2、实验要求：

1）按拓扑要求配置ip地址和vlan及默认路由，R4模拟外网不配置到内网的路由

2）将总部网络在ospf区域0发布，分支网络在ospf1区域发布

3）配置stp，sw1为实例0和实例1（vlan10）的主根，vlan20的备份根，sw2与之相反

4）配置vrrp，sw1为vlan10的master，sw2为vlan20的master并track监视上行端口

5）配置ospf路径选择，总部与分支的通信所有经过电信链路通信，联通链路只作备份

而且电信链路故障时只有vlan20的数据可使用备份链路

6）配置easy_ip，实现只有vlan10能够访问到R4（外网）

3、实验步骤

1）按拓扑要求配置ip地址和vlan及默认路由，R4模拟外网不配置到内网的路由。

配置SW1：

SW2:

SW3:

R1:

R2:

R3:

R4:

2）将总部网络在ospf区域0发布，分支网络在ospf1区域发布

SW1:

SW2:

SW3:

R1:

R2:

R3:

在R1上查看路由表

而后在R1上测试ping通性：

3）配置stp，sw1为实例0和实例1（vlan10）的主根，vlan20的备份根，sw2与之相反

SW1：

SW2：

SW3：

分别在三台交换机上查看MSTP：命令是dis  stp  brief

说明：端口状态ALTE：表示在本实例中端口处于阻断状态。

同一台设备同一实例下的两个端口为DESI状态：表示这台设备为该实例下的主根。

若是出现了MAST状态的端口：表示域配置信息有误，出现了多个域。

4）配置vrrp，sw1为vlan10的master，sw2为vlan20的master并track监视上行端口

SW1:

SW2:

在SW1和SW2上分别查询dis vrrp（显示主从设备）：

5）配置ospf路径选择，总部与分支的通信所有经过电信链路通信，联通链路只作备份，而且电信链路故障时只有vlan20的数据可使用备份链路

R3:

说明：发现有到达172.16.0.0/24下一跳有2个，分别是10.255.13.1（R1）和10.255.23.1（R2）

而后执行dis ip routing-table protocol ospf能够看到与ospf相关的路由。

执行以下命令：

而后再次执行dis  ip routing-table 发现到达172.16.0.0/24下一跳只剩下了10.222.13.1（电信）：

接下来使用R3 ping 172.16.0.10（sw3的vlan10）还能够通：

测试R3上的172.17.1.1到172.16.0.10（即测试分部的vlan10到总部的vlan10的连通性）能够通：

再测试R3上的192.168.100.1到172.16.0.10（即测试分部的vlan20到总部的vlan10的连通性）能够通：

R2：

上图中，作的是聚合分支，阻止172.17.0.0/16网段向总部发送。

测试：断掉R3和R1之间的线（便可以关闭R3的g0/1口）在R3上ping -a 192.168.100.1 172.16.0.10能够通，ping -a 172.17.1.1 172.16.0.10则就不通了，则为成功：

在R3上继续配置：

上图中，发现next hop所有都是10.255.13.1。

上两张截图能够看到：ping -a 172.16.0.10202.98.192.57不通

Ping -a 192.168.0.10 202.98.192.57不通。

6）配置easy_ip，实现只有vlan10能够访问到R4（外网）

R1：

而后在SW3上再次ping -a 192.168.0.10202.98.192.57仍是不通，ping -a 172.16.0.10 202.98.192.57也不通，缘由是由于r1上ospf问题，默认路由没有引入。

在R1上：

而后到SW3上执行dis ip routing-table protocolospf：

上图中发现多了到0.0.0.0的两条默认路由。

再次在SW3上ping -a 172.16.0.10202.98.192.57通了

Ping -a 192.168.0.10 202.98.192.57仍是不通就对了:

在R1上执行：disnat session verbose查看nat转换信息: