华为综合实验
1.链路聚合概述
链路聚合(Link Aggregation) 是将多个物理接口当作一个逻 辑接口,以增加带宽和提供线路冗余。链路聚合的带宽理论.上相当于所包含的物理接口带宽总和,非常适用于企业核心网络中,同时参与捆绑的某个成员接口或链路损坏,不影响聚合链路的正常工作,提供了冗余性。华为设备支持的链路聚合协议是LACP (Link Aggregation Control Protocol)。在华为设备中,由多个物理接口捆绑成逻辑接口,该接口被称为Eth-Trunk接口。链路聚合相关的标准由IEEE 802. 3ad定义。
2.成员接口
将成员接口加入Eth-Trunk时,需要注意以下问题:
➢每个Eth-Trunk 接口下最多可以包含8个成员接口。
➢成员接口不能单独配置任何功能和静态MAC地址。
➢成员接口加入Eth-Trunk时,必须为默认的hybrid类型口。
➢Eth-Trunk 接口不能嵌套,即成员接口不能是Eth-Trunk.
➢一个以太网接口只能加入一个Eth-Trunk接口,如果需要加入其他Eth-Trunk 接口,必须先退出原来的Eth-Trunk接口。
➢一个Eth-Trunk 接口中的成员接口必须是同一类型,即FE口和GE口不能加入同一个Eth-Trunk接口。
➢可以将不同接 口板上的以太网接口加入同一个Eth-Trunk.
➢如果本地设备使用 了Eth-Trunk,与成员接口直连的对端接口也必须捆绑为Eth-Trunk接口,这样两端才能正常通信。
➢当成员接口的速率不一 致时,实际使用中速率小的接口可能会出现拥塞,导致丢包。
➢当成员接口加入 Eth-Trunk后,学习MAC地址时是按照Eth-Trunk来学习的,而不是按照成员接口来学习的。
3.链路聚合模式
华为设备支持的链路聚合模式有手工负载分担模式和静LACP模式。
➢手 工负载分担模式。手工负载分担模式没有LACP协议报文的参与,所有的配置均由手工完成,如加入多个成员接口。该模式下所有的接口均处于转发状态,实现链路的负载分担它支持的负载分担方式包括目的MAC.源MAC、源MAC异或目的MAC、源IP、目的IP.源IP异或目的P。手工负载分担模式通常应用在对端设备不支持LACP协议的情况下。
➢静态LACP 模式。静态LACP模式是线路两端利用LACP协议进行协商,从而确定活动接口和非活动接口的链路聚合方式。在该模式下,创建Eth-Trunk. 加入Eth-Trunk成员接口需由手工完成,而确定活动接口和非活动接口则由LACP协议协商产生。静态LACP模式也称为M:N模式。这种方式同时可以实现链路负载分担和冗余备份的双重功能。在链路聚合组中M条链路处于活动状态,转发数据并负载分担,而另外N条链路处于非活动状态,不转发数据。当M条链路中有链路出现故障时,系统会自动从N条备份链路中选择优先级最高的接替故障链路,并开始转发数据。
静态LACP模式与手工负载分担模式的主要区别为静态LACP模式可以有备份链路,而手工负载分担模式中所有成员接口均处于转发状态,分担负载流量,除非线路故障。
4.活动接口与非活动接口
处于活动状态并负责转发数据的接口称为活动接口。相反,处于非活动状态并禁止转发数据的接口称为非活动接口。活动接口和非活动接口一般不需要人为干预,在静态LACP模式中可以配置活动接口数量的上限以及下限。根据配置的工作模式不同,角色分工如下:
➢手工负载分担模式。 正常情况下,所有的成员接口均为活动接口,除非这些接口出现链路故障。
➢静态LACP模式。M条链路对应的接口为活动接口并负责转发数据,N条链路对应的接口为非活动接口并负责冗余备份。
5.主动端与被动端
在静态LACP模式下,聚合组两端的设备中,需要选择-端为主动端,而另外一端为被动端。通常情况下,LACP优先级较高的一端为主动端, LACP 优先级较低的一端为被动端。如果优先级一样,那么通常选择MAC地址小的一端为主动端。
区分主动端与被动端的目的是保证两端没备最终确定的活动接口一致,否则两端都按照本端各自的接口优先级来选择活动接口,最终两端所确定的活动接口很可能不-致,聚合链路也就无法建立。如图2.1所示,SwitchA选择.上面两个接口为活动接口,而SwitchB选择下面两个接口为活动接口,因SwitchA的优先级比较高,所以最终的活动接口两端都以SwithA为准。因此应首先确定主动端,被动端按照主动端侧的接口优先级来选择活动接口。
- 负载均衡模式
链路聚合的主要作用是提高带宽以及增加冗余,而普遍的做法就是在多条物理链路上实行负载分担。常用的负载分担模式包括:
➢dst-ip (目的P地址)模式:从目的IP地址、出端口的TCP/UDP端口号中分别选择指定位的3bit数值进行异或运算,根据运算结果选择Eth-Trunk表中对应的出接口。
➢dst- -mac ( 目的MAC地址)模式:从目的MAC地址VLANID、 以太网类型及入端口信息中分别选择指定位的3bit 数值进行异或运算,根据运算结果选择Eth-Trunk表中对应的出接口。
➢src-ip (源IP地址)模式:从源IP地址、入端口的TCP/UDP端口号中分别选择指定位的3bit数值进行异或运算,根据运算结果选择Eth-Trunk 表中对应的出接口。
➢src-mac (源MAC地址)模式:从源MAC地址、VLAN ID.以太网类型及入端口信息中分别选择指定位的3bit数值进行异或运算,根据运算结果选择Eth-Trunk表中对应的出接口。
➢src-dst-ip (源IP地址与目的IP地址的异或)模式:对目的IP 地址、源IP地址两种负载分担模式的运算结果进行异或运算根据运算结果选择Eth-Trunk表中对应的出接口。
➢src-dst-mac (源MAC地址与目的MAC地址的异或)模式:从目的MAC地址、源MAC地址、VLANID、 以太网类型及入端口信息中分别选择指定位的3bit 数值进行异或运算,根据运算结果选择Eth-Trunk表中对应的出接口。
案例环境
BDQN公司网络拓扑结构如图2.2 所示。其网络架构为接入层以及核心层。接入层二层交换机(S3~S7)下面接若干个客户端(图中以1台为例),核心交换网络由两台三层交换机(S1. S2构成,并通过以太通道提高带宽以及增加冗余。三层方面主分为两个部分,其中一部分是由OSPF协议构建的网络区域,另一部分是由RIPv2协议构建的网络区域。内网R4下面通过二层交换机连接两个VLAN网络,并通过单臂路由提供VLAN之间的转发, R5 连接- -台服务器,可供内网.外网同时访问。内网通过R2连接外部网络,外部网络由R1和一台PC7组成。
公司网络设备的三层连接及接口地址如表2-1所示。
公司的计算机网络及VLAN信息如表2-2所示。
需求描述
1)链路聚合
S1和S2使用链路聚合将两条物理线路聚合成一 条逻辑线路,用于实现链路负载分担和备份,设置S1为LACP主动端,要求逻辑链路基于目的MAC的方式进行负载分担。
2) VLAN及VLAN间路由
要求实现所有VLAN客户端和服务器之间的互通。
3) OSPF和RIP部分
R2.R3.S1和S2开启OSPF进程110。所有的设备都属于OSPF区域0.R3.R4和R5开启RIPv2协议, R3的G0/0/1接口和R4的G0/0/1接口、R4的G0/0/2接口和R5的G0/0/2接口都能够收发RIPv2协议报文。
4)路由重分发
要求OSPF环境中所有计算机能够和RIP环境中所有计算机、服务器相互访问。
5) NAT 及访问控制
内网环境中所有计算机及服务器除了10.1.21-22 .0/24这两个网段外,都可以访问互联网,并通过R2转换为固定IP (202.2.12.100), 服务器的公网映射地址为202.2.12.200,要求PC7可以通过该地址访问内网服务器。
配置 流程
1.配置客户端IP地址
根据拓扑图或者表2-2配置PC1~PC7的网络参数。配置方法如下:右击PC设备图标,在弹出的快捷菜单中选择“设置” 选项,在弹出的界面中单击‘基础配置 ”菜单,进入‘基础配置”界面,在“基础配置”界面中填写相关的网络参数即可。
2.配置链路聚合
华为的链路聚合主要通过LACP实现,在配置时,需要指定优先级、工作模式,负载均衡模式以及所需的成员接口。
S1的配置如下:
LACP的优先级值越小,优先级越高,默认情况下,系统LACP优.先级为32768。在两端设备中选择系统LACP优先级较小的一端作为主动端,如果系统LACP优先级相同,则选择MAC地址较小的一端作为主动端。
S2的配置如下:
3.配置VLAN间路由
VL AN之间的路由主要通过S1和S2实现。需要注意的是,即使S1和S2上面的接口都是Trunk模式,也需要创建相关的VLAN。因为当交换机收到来自某VLAN的数据包时,如果它没有该VLAN,那么将丢弃数据包。
S1的配置如下:
华为的Trunk通道默认不允许除VLAN1以外的所有VLAN,而Cisco设备的Trunk链路默认允许所有的VLAN。所以在配置华为设备时,在配置完基本的Trunk配置后,一定要加上允许相关VLAN通过Trunk的命令。以允许VLAN50为例,进入接口模式,执行port trunk allow-pass vlan50命令;放行所有VLAN,执行port trunk allow-pass vlanall命令。
S2的配置如下
S3的配置如下:
S4的配置如下:
S5的配置如”下:
S6的配置如下:
4.配置单臂路由
华为的单臂路由配置和Cisco几乎没有差别。主要有两项配置,一项是交换机和路由器之间的Trunk配置,另外一 项是路由器的子接口配置及关联相应的VLAN,R4的配置如下:
S7的配置如下
5.配置RIP和OSPF
华为的RIP配置和Cisco命令几乎一致,注意把no变成undo即可。配置OSPF时和Cisco不同,它不是一条network命令同时宣告网络和区域,而是在某个区域下面的子模式宣告相关的网络,
S1的配置如下:
在配置OSPF时,如果想指定router-id,可以在进入进程模式时追加router-id,如
[S1]ospf 110 router-id 1.1.1.1。
另外,华为三层交换机的二层接口没有直接提升为三层接口的命令,类似于Cisco下的no ,switchport命令。所以在做VLAN间路或者和路由器直连时,只能配置VLAN虚接口。
S2的配置如下:
R2的配置如下:
R3的配置如下:
R4的配置如下
R5的配置如下
6.配置路由重分发
华为的路由重分发是通过import- -route命令实现的,不管导入什么协议,都要加上进程ID号。和Cisco一样,如果把A协议导入B协议中,那么首先要进入B的路由进程中,执行导入A的命令。反之同理。
R3的配置如下:
7.配置NAT及访问控制
华为的NAT转换直接配置在外部接口模式下。需要转换的内部流量通过ACL抓取,而转换后的内部全局地址通过配置NAT组实现。
R2的配置如下:
华为的ACL和Cisco类似,分为基本和高级,类似于Cisco的标准和扩展。其中基本的编号为20002999,高级的编号为3000 3999。rule后面的编号表示ACL规则的生效顺序。
上述命令中,ACL2000中标为黑色字体的规则允许了一个汇总地址10.1.0.0/20, 而该ACL最终将应用到NAT中,也就意味着ACL2000中允许的流量将进行NAT转换。实验要求VLAN21、VLAN22以及对应的网段10.1.21.0/24 和10.1.22.0/24不能访问互联网。因为10.1.0.0/20 汇总地址包含了VLAN11、 VLAN12、VLAN13、VLAN14,但是不包括VLAN21和VLAN22,所以导致VLAN21和VLAN22发起的流量因为不匹配ACL2000而不能进行NAT转换,从而导致不能访问互联网。而ACL3000也做了明确的限制,因为ACL3000直接应用在接口上,所以VLAN21和VLAN22的流量匹配拒绝规则直接丢弃。通过这两种方式都可以保证VLAN21VLAN22不能访问互联网。
R1的配置如下:
8.调整全局路由
RIP区域的计算机若想访问互联网,要有对外的路由,生产环境中一般是生成默认路由。下面尝试在R3的RIP进程中通过命令注入一条默认路由,前提是R3自己要有默认路由。可以在R5.上查看路由表,以验证是否存在对外的默认路由。
实验结果验证
完成上述实验步骤后,可以从以下几个方面进行验证。
1.验证以太通道配置
2.验证VLAN间路由
在PC1上尝试ping内网所有的VLAN均可以通信,如图2. 5所示。
3.验证RIP和OSPF
在R3上,即可以看到OSPF学习到的路由,也可以看到RIP学习的路由,如图2.6所示。
4.验证重分发
在R3上执行重分发后,应该可以在R2上学习到RIP区域的路由,也可以在R5上学习到OSPF区域的路由信息,如图2.7 和图2.8所示。
5.验证NAT转换
在PC1上尝试ping互联网,然后在R2上查看转换条目,可以看到源地址10.1.11.100转换为202.2.12.100,如图2.9所示,在PC7上尝试ping服务器映射后的地址202 .2.12.200,在R5和Server1之间抓包可以抓到该流量,说明该流量到达R2之后,被重定向到内部服务器,如图2.10所示。
6.验证PC5不能访问互联网
实验目标是VLAN21和VLAN22不能访问互联网.在本案例中,不管是通过在应用NAT的ACL 2000上排除网段,还是在ACL3000中拒绝流量都可以实现这个目标,结果如图2.11所示,