前言
本文将讲述一个大型园区的组网过程,示例仅供学习参考,目的是学习相关技术。
涉及技术:堆叠、链路捆绑、VLAN、MAD、路由、NAT。
软件环境:H3C Cloud Lab
一、拓扑图
二、堆叠配置
1、Sw1 & Sw2 堆叠配置
说明:将 Sw1 设置为主交换机。
(1)Sw1 配置
sys
sysname Sw1
irf domain 0 # 默认域
irf member 1 priority 5
interface range FortyGigE 1/0/53 FortyGigE 1/0/54
shutdown
irf-port 1/1
port group interface FortyGigE 1/0/53
port group interface FortyGigE 1/0/54
interface range FortyGigE 1/0/53 FortyGigE 1/0/54
undo shutdown
save
(2)Sw2 配置
sys
sysname Sw2
irf member 1 remember 2
save
reboot
interface range FortyGigE 2/0/53 FortyGigE 2/0/54
shutdown
irf-port 2/2
port group interface FortyGigE 2/0/53
port group interface FortyGigE 2/0/54
interface range FortyGigE 2/0/53 FortyGigE 2/0/54
undo shutdown
save
(3)统一激活
# 激活(务必保存配置后再激活)
# Sw1:
irf-port-configuration active
# Sw2
irf-port-configuration active
# 激活后,非主交换机自动重启。
(4)验证
2、Sw3 & Sw4 堆叠配置
说明:将 Sw3 设置为主交换机。
(1)Sw3 配置
sys
sysname Sw3
irf domain 2 # 设域为 2
irf member 1 priority 5
interface range FortyGigE 1/0/53 FortyGigE 1/0/54
shutdown
irf-port 1/1
port group interface FortyGigE 1/0/53
port group interface FortyGigE 1/0/54
interface range FortyGigE 1/0/53 FortyGigE 1/0/54
undo shutdown
save
(2)Sw4 配置
sys
sysname Sw4
irf member 1 remember 2
save
reboot
interface range FortyGigE 2/0/53 FortyGigE 2/0/54
shutdown
irf-port 2/2
port group interface FortyGigE 2/0/53
port group interface FortyGigE 2/0/54
interface range FortyGigE 2/0/53 FortyGigE 2/0/54
undo shutdown
save
(3)统一激活
# 激活(务必保存配置后再激活)
# Sw3
irf-port-configuration active
# Sw4
irf-port-configuration active
# 激活后,非主交换机自动重启。
(4)验证
三、链路聚合
1、聚合要求
- 交换机与交换机间使用 二层 聚合。
- 交换机与路由器使用 三层 聚合。
Tips:在进行链路聚合时,注意堆叠后接口名称的变化,切勿弄错。
2、Sw1 & Sw3 间的聚合配置
(1)Sw1 交换机配置
interface Bridge-Aggregation1 #创建二层聚合接口
link-aggregation mode dynamic
interface range Ten-GigabitEthernet 1/0/49 Ten-GigabitEthernet 1/0
/50 Ten-GigabitEthernet 2/0/49 Ten-GigabitEthernet 2/0/50
port link-aggregation group 1
Tips:H3C 的 dynamic 模式即 LACP 模式,动态协商)
(2)Sw3 配置
interface Bridge-Aggregation1
link-aggregation mode dynamic
interface range Ten-GigabitEthernet 1/0/49 Ten-GigabitEthernet 1/0
/50 Ten-GigabitEthernet 2/0/49 Ten-GigabitEthernet 2/0/50
port link-aggregation group 1
(3)配置验证
3、Sw1 & Sw5 间的聚合配置
(1)Sw1 配置
interface Bridge-Aggregation 2
link-aggregation mode dynamic
interface range Ten-GigabitEthernet 1/0/51 Ten-GigabitEthernet 2/0/52
port link-aggregation group 2
(2)Sw5 配置
interface Bridge-Aggregation 2
link-aggregation mode dynamic
interface range Ten-GigabitEthernet 1/0/51 Ten-GigabitEthernet 1/0/52
port link-aggregation group 2
4、Sw1 & Sw6 间的聚合配置
(1)Sw1 配置
interface Bridge-Aggregation 3
link-aggregation mode dynamic
interface range Ten-GigabitEthernet 1/0/52 Ten-GigabitEthernet 2/0/51
port link-aggregation group 3
(2)Sw6 配置
interface Bridge-Aggregation 3
link-aggregation mode dynamic
interface range Ten-GigabitEthernet 1/0/51 Ten-GigabitEthernet 1/0/52
]port link-aggregation group 3
5、Sw1 & R1 间的聚合配置
(1)Sw1 配置
interface Route-Aggregation 10 #创建三层聚合接口
ip address 192.168.254.2 24
interface range GigabitEthernet 1/0/2 GigabitEthernet 2/0/1
port link-mode route
port link-aggregation group 10
(2)R1 配置
interface Route-Aggregation 10
ip address 192.168.254.1 24
interface range GigabitEthernet 0/0 GigabitEthernet 0/2
port link-mode route
port link-aggregation group 10
(3)配置验证
四、Vlan Trunk 配置
1、配置2层 Vlan
(1)Sw1 配置
vlan 10
vlan 20
vlan 30
vlan 40
interface Bridge-Aggregation 1
port link-type trunk
port trunk permit vlan 10 20
interface Bridge-Aggregation 2
port link-type trunk
port trunk permit vlan 30
interface Bridge-Aggregation 3
port link-type trunk
port trunk permit vlan 40
(2)Sw3 配置
vlan 10
vlan 20
interface Bridge-Aggregation 1
port link-type trunk
port trunk permit vlan 10 20
interface range GigabitEthernet 1/0/1 GigabitEthernet 2/0/2
port link-type access
port access vlan 10
interface range GigabitEthernet 2/0/1 GigabitEthernet 1/0/2
port link-type access
port access vlan 20
(3)Sw5 配置
vlan 30
interface Bridge-Aggregation 2
port link-type trunk
port trunk permit vlan 30
interface GigabitEthernet 1/0/1
port link-type access
port access vlan 30
(4)Sw6 配置
vlan 40
interface Bridge-Aggregation 3
port link-type trunk
port trunk permit vlan 40
interface GigabitEthernet 1/0/1
port link-type access
port access vlan 40
2、配置3层接口
(1)Sw1 配置
interface Vlan-interface 10
ip address 192.168.10.1 24
interface Vlan-interface 20
ip address 192.168.20.1 24
interface Vlan-interface 30
ip address 192.168.30.1 24
interface Vlan-interface 40
ip address 192.168.40.1 24
Tips:华三的 Vlan-interface 相当于 华为的 vlanif 接口。
3、连通性测试
配置Server IP地址
# 配置各Server IP地址
Step1:接口管理 启用
Step2:配置IP地址并 启用
# 测试通信情况
Step1:分别 `ping` 各网关(配合 `-c` 参数)。
Step2:断开冗余链路,验证链路的冗余情况。
> Tips:链路断开重连后,不会马上能通,设备链路有一个收敛过程。
五、MAD 多主检测
MAD:多活检测(或称:多主检测),主要用于检测堆叠设备的健康情况。当堆叠分裂后,各设备会保留最近一次的配置信息,有些配置会可能会导致网络的错误(如:前面配置的各vlan的网接口信息,分裂后,各设备会保留该信息,此时网络内就会出现ARP冲突,导致网络故障),因此需要加以检测并作出控制。
MAD 对主检测可以配合 lacp
、arp
和 bfd
等方式进行检测,已 lacp
为例。
原理:
- 通过发送特殊的
lacp
组播报文检测,在lacp
组播报文中携带irf domain id
和active
主设备成员id
等信息。 - 当系统检测到多
Active
冲突后,两个冲突的IRF
会进行竞选,Master
成员编号小的获胜,继续正常运行,失败的IRF
会转入Recovery
状态,暂时不能转发业务报文。 - 当
IRF
链路修复后,处于Recovery
状态的IRF
会自动重启,从而与处于Active
状态的IRF
重新合为一个IRF
,原来Recovery
状态IRF
中被强制关闭的业务接口会自动恢复。
MAD 配置要求:
- 不需要在检测的堆叠域内的所有聚合端口(链路)启用mad服务,可自由选择一到多条链路进行启用(只需保证有链路可以传达携带 mad 信息的
lacp
报文到检测域所在的堆叠域设备)即可。 - 指定检测链路后,需要在链路相关的设备的接口启用 mad 服务。
- MAD 是根据堆叠域进行工作的,因此启用时需要指定堆叠域的
id
,表明你要对哪个堆叠域进行检测。
注意:mad 检测不能在路由器链路聚合链路上使能,路由器不支持,原因是组播报文无法通过路由器。
1、MAD 配置
例如:现在需要对 堆叠0(Sw1和Sw2)
这个域的设备进行 mad 检测,可选的检测链路有 Bridge-Aggregation1
、Bridge-Aggregation2
和 Bridge-Aggregation3
这3条,下面以选后2条进行检测为例,配置如下:
# 配置前确保堆叠是正常的
Sw1 配置:
interface Bridge-Aggregation 2
mad enable
interface Bridge-Aggregation 3
mad enable
irf domain ID :输入 0
Sw5 配置:
interface Bridge-Aggregation 2
mad enable
irf domain ID :输入 0
Sw6 配置:
interface Bridge-Aggregation 3
mad enable
irf domain ID :输入 0
2、MAD 检查
3、MAD 工作验证
断开 Sw1
和 Sw2
间的堆叠连接线,使其分裂:
再查看 mad
信息,可以看到已检测到错误:
此时再来查看 Sw2
的工作状态:
由于 Sw2
的所有接口都关闭了,此时的所有流量都被转发到 Sw1
上。
六、出口路由
先补充完成路由器设备的 IP 地址配置:
# R1
interface GigabitEthernet 0/1
ip address 12.0.0.1 24
# R2
interface GigabitEthernet 0/0
ip address 12.0.0.2 24
interface LoopBack 8
ip address 8.8.8.8 32
配置路由:
Sw1:
ip route-static 0.0.0.0 0 192.168.254.1
R1:
ip route-static 0.0.0.0 0 12.0.0.2
ip route-static 192.168.0.0 16 192.168.254.2
验证:
随意找一台 Server
进行测试:
此时内网最远只能到达 R1
出口,尚不能访问公网,需 NAT
的支持。
七、NAT
# R1
acl basic 2000
rule 0 permit source 192.168.0.0 0.0.255.255
interface GigabitEthernet 0/1
nat outbound 2000
Tips:有时display link-aggregation verbose
会显示接口没有被选择,或者display mad verbose
显示某聚合口不正常,多为模拟器bug
导致接口不up
,此时通过display interface brief
可以查看。正对接口不up
,可以直接shutdown
,然后再undo shutdown
即可!
八、链路测试
- 断开底下
Trunk
- 断开上行链路
- 关闭核心交换机
Sw1
禁用STP
# 所有交换机设备执行 undo stp global enable
抓包分析, ping 任意广播地址(如:ping 192.168.30.255)
*
- 断开堆叠线
九、拓展为三层架构
下面以在 Sw6
下拓展为例,其它举一反三即可。
(1)改进后拓扑
(2)配置操作
# Sw7 配置
vlan 40
interface GigabitEthernet 1/0/1
port link-type access
port access vlan 40
interface range GigabitEthernet 1/0/47 GigabitEthernet 1/0/48
port link-type trunk
port trunk permit vlan 40
# Sw6 配置
interface GigabitEthernet 1/0/48
port link-type trunk
port trunk permit vlan 40
# Sw5 配置
vlan 40
interface GigabitEthernet 1/0/47
port link-type trunk
port trunk permit vlan 40
interface Bridge-Aggregation 2
port trunk permit vlan 40
# Sw1 配置
interface Bridge-Aggregation 2
port trunk permit vlan 40