中小園區(qū)網(wǎng)絡(luò)組網(wǎng) 組網(wǎng)場(chǎng)景圖 在中小園區(qū)中,S2700&S3700通常部署在網(wǎng)絡(luò)的接入層,S5700&S6700通常部署在網(wǎng)絡(luò)的核心,出口路由器一般選用AR系列路由器。 核心交換機(jī)配置VRRP保證網(wǎng)絡(luò)可靠性,配置負(fù)載分擔(dān)有效利用資源。 每個(gè)部門業(yè)務(wù)劃分到一個(gè)VLAN中,部門間的業(yè)務(wù)在CORE上通過(guò)VLANIF三層互通。 核心交換機(jī)作為DHCPServer,為園區(qū)用戶分配IP地址。 接入交換機(jī)上配置DHCPSnooping功能,防止內(nèi)網(wǎng)用戶私接小路由器分配IP地址;同時(shí)配置IP報(bào)文檢查功能,防止內(nèi)網(wǎng)用戶私自更改IP地址。 在配置之前,需按照下面的表格準(zhǔn)備好數(shù)據(jù)。以下數(shù)據(jù)將在本文后續(xù)章節(jié)使用。
您可以按照下列流程配置各個(gè)設(shè)備的數(shù)據(jù),連通園區(qū)內(nèi)部用戶,并使內(nèi)部用戶可訪問(wèn)外網(wǎng)。 一:交換機(jī)連接登陸 1:使用Console通信電纜(產(chǎn)品隨機(jī)附帶)連接交換機(jī)與PC 在PC上打開(kāi)終端仿真軟件,新建連接,設(shè)置連接的接口以及通信參數(shù)。
在PC的終端仿真軟件界面按Connect鍵,直到出現(xiàn)如下信息,提示用戶設(shè)置登錄密碼。 V200R010C00之前版本首次登錄,系統(tǒng)會(huì)提示用戶設(shè)置登錄密碼。V200R010C00及之后版本首次登錄時(shí)缺省的用戶名為admin,密碼為admin@huawei.com。登錄后必須修改密碼。 完成Console登錄密碼設(shè)置后,用戶便可以配置交換機(jī),需要幫助可隨時(shí)鍵入“?”。 二:配置管理IP和Telnet 配置設(shè)備管理IP地址后,可以通過(guò)管理IP遠(yuǎn)程登錄設(shè)備,下面以交換機(jī)CORE1為例說(shuō)明配置管理IP和Telnet的方法。
<HUAWEI>system-view [HUAWEI] vlan 5 //創(chuàng)建交換機(jī)管理VLAN5 [HUAWEI-VLAN5]management-vlan [HUAWEI-VLAN5]quit [HUAWEI]interface vlanif 5 [HUAWEI-Vlanif5] ip address 10.10.1.1 24 //配置VLANIF接口IP地址 2. 將管理接口加入到管理 [HUAWEI] interface GigabitEthernet 0/0/8 //配置管理接口為GE0/0/8 [HUAWEI-GigabitEthernet0/0/8]port link-type trunk [HUAWEI-GigabitEthernet0/0/8]port trunk allow-pass vlan5 [HUAWEI-GigabitEthernet0/0/8]quit 3. 配置telnet [HUAWEI] telnet server enable //開(kāi)啟telnet [HUAWEI] user-interface vty 0 4 //配置使用設(shè)備管理員登錄,推薦使用AAA認(rèn)證 [HUAWEI-ui-vty0-4]protocol inbound telnet [HUAWEI-ui-vty0-4]authentication-mode aaa [HUAWEI-ui-vty0-4]idle-timeout 15 [HUAWEI-ui-vty0-4]quit [HUAWEI]aaa [HUAWEI-aaa]local-user admin password irreversible-cipher Helloworld@6789 //配置telnet登陸交換機(jī)的用戶名及密碼 [HUAWEI-aaa]local-user admin privilege level 15 //配置賬號(hào)權(quán)限為15(最高) [HUAWEI-aaa] local-user admin service-type telnet [HUAWEI-aaa]quit 4. 電腦上使用telnet登陸到交換機(jī)。 C:\Documents andSettings\Administrator> telnet 10.10.1.1 //輸入交換機(jī)管理ip Username:admin Password: Info:The max number of VTY users is 5, and thenumber of current VTY users on line is1. Thecurrent login time is 2014-05-0618:33:18+00:00. <HUAWEI> 三:配置網(wǎng)絡(luò)互連互通 1. 配置接入層交換機(jī) 以接入交換機(jī)ACC1為例,創(chuàng)建ACC1的業(yè)務(wù)VLAN10和20。其余接入交換機(jī)按照相關(guān)拓?fù)浼芭渲妹钸M(jìn)行配置。 <HUAWEI>system-view [HUAWEI] sysname ACC1 //修改交換機(jī)名稱為ACC1 [ACC1]vlan batch 10 20 //創(chuàng)建VLAN 10和VLAN 20 配置ACC1連接CORE1和CORE2的GE0/0/3和GE0/0/4,透?jìng)鞑块TA和部門B的VLAN。 [ACC1] interface GigabitEthernet 0/0/3 //進(jìn)入端口GE0/0/3接口模式 [ACC1-GigabitEthernet0/0/3]port link-type trunk //配置接口為trunk [ACC1-GigabitEthernet0/0/3]port trunk allow-pass vlan 10 20 //配置接口透?jìng)鱒LAN10 20業(yè)務(wù)VLAN [ACC1-GigabitEthernet0/0/3]quit [ACC1] interfaceGigabitEthernet 0/0/4 //進(jìn)入端口GE0/0/4接口模式 [ACC1-GigabitEthernet0/0/4]port link-typetrunk //配置接口為trunk [ACC1-GigabitEthernet0/0/4]port trunk allow-pass vlan 10 20 //配置接口透?jìng)?/span>VLAN10 20業(yè)務(wù)VLAN 配置ACC1連接用戶的接口,使各部門加入VLAN [ACC1] interface GigabitEthernet 0/0/1 //配置連接部門A的接口為GE0/0/1 [ACC1-GigabitEthernet0/0/1]port link-type access //配置接口為access,連接終端設(shè)備接口 [ACC1-GigabitEthernet0/0/1]port default vlan 10 //配置接口加入到VLAN10 [ACC1-GigabitEthernet0/0/1]quit [ACC1] interface GigabitEthernet 0/0/2 //配置連接部門B的接口為GE0/0/2 [ACC1-GigabitEthernet0/0/2]port link-type access [ACC1-GigabitEthernet0/0/2]port default vlan 20 //配置接口加入到VLAN20 [ACC1-GigabitEthernet0/0/2]quit 配置BPDU保護(hù)功能,加強(qiáng)網(wǎng)絡(luò)的穩(wěn)定性 [ACC1] stp bpdu-protection 2. 配置匯聚/核心層交換機(jī) 以匯聚/核心交換機(jī)CORE1為例,創(chuàng)建其與接入交換機(jī)、備份設(shè)備以及園區(qū)出口路由器互通的VLAN。其余匯聚核心交換機(jī)按照相關(guān)拓?fù)浼?/span>配置命令進(jìn)行配置。 <HUAWEI>system-view [HUAWEI]sysname CORE1 //修改交換機(jī)名稱為CORE1 [CORE1] vlan batch 10 20 30 40 50 100 300 //批量創(chuàng)建VLAN 配置置用戶側(cè)的接口VLAN和VLANIF,VLANIF接口用于部門之間互訪。以CORE1連接ACC1的GE0/0/1接口為例,其他接口不再贅述。 [CORE1] interface GigabitEthernet 0/0/1 //配置與ACC1連接接口,進(jìn)入GE0/0/1 [CORE1-GigabitEthernet0/0/1]port link-type trunk //配置接口模式為trunk [CORE1-GigabitEthernet0/0/1]port trunkallow-pass vlan 10 20 [CORE1-GigabitEthernet0/0/1]quit [CORE1] interface Vlanif 10 [CORE1-Vlanif10] ip address 192.168.10.1 24 //配置vlanif 10網(wǎng)絡(luò)地址 [CORE1-Vlanif10]quit [CORE1] interface Vlanif 20 [CORE1-Vlanif20] ip address 192.168.20.124 [CORE1-Vlanif20]quit 配置連接出口路由器的接口VLAN和VLANIF [CORE1]interface GigabitEthernet 0/0/7 [CORE1-GigabitEthernet0/0/7] port link-type access //配置接口模式為access [CORE1-GigabitEthernet0/0/7] port default vlan100 [CORE1-GigabitEthernet0/0/7]quit [CORE1] interface Vlanif 100 [CORE1-Vlanif100] ip address 172.16.1.1 24 //配置vlanif 100網(wǎng)絡(luò)地址 [CORE1-Vlanif100]quit 配置兩個(gè)核心交換機(jī)直連的接口VLAN和VLANIF [CORE1] interface gigabitethernet 0/0/5 [CORE1-GigabitEthernet0/0/5]port link-type access [CORE1-GigabitEthernet0/0/5] port default vlan300 [CORE1-GigabitEthernet0/0/5]quit [CORE1] interface Vlanif 300 [CORE1-Vlanif300] ip address 172.16.3.1 24 [CORE1-Vlanif300]quit 3. 配置出口路由器的接口地址配置連接內(nèi)網(wǎng)的接口地址 <HUAWEI>system-view [HUAWEI] sys name Router //配置路由器名稱為Router [Router]interface GigabitEthernet 0/0/1 //配置與主設(shè)備互連的接口地址 [Router-GigabitEthernet0/0/1]ip address 172.16.1.2 24 [Router-GigabitEthernet0/0/1]quit [Router] interface GigabitEthernet 0/0/2 [Router-GigabitEthernet0/0/2]ip address 172.16.2.2 24 //配置與備設(shè)備互連的接口地址 [Router-GigabitEthernet0/0/2]quit 配置連接公網(wǎng)的接口地址 [Router]interface GigabitEthernet 0/0/0 [Router-GigabitEthernet0/0/0]ip address 202.101.111.2 30 //配置路由器連接公網(wǎng)的接口地址 [Router-GigabitEthernet0/0/0]quit 4. 配置靜態(tài)路由實(shí)現(xiàn)網(wǎng)絡(luò)互通(若配置動(dòng)態(tài)路由,此步驟則不需配置) 分別在CORE1和CORE2上面分別配置一條缺省靜態(tài)路由指向出口路由器及其備份路由 [CORE1]ip route-static 0.0.0.0 0.0.0.0 172.16.1.2 //CORE1指向出口路由器的缺省靜態(tài)路由 [CORE1]ip route-static 0.0.0.0 0.0.0.0 172.16.3.2 preference 70 //CORE1指向CORE2的備份靜態(tài)路由 在出口路由器配置一條缺省靜態(tài)路由指向運(yùn)營(yíng)商 [Router]ip route-static 0.0.0.0 0.0.0.0 202.101.111.1 在出口路由器配置到內(nèi)網(wǎng)的主備路由,主路由下一跳指向CORE1,備路由下一跳指向CORE2 。 [Router]iproute-static 192.168.10.0 255.255.255.0 172.16.1.1 [Router]iproute-static 192.168.10.0 255.255.255.0 172.16.2.1 preference 70 //配置到達(dá)VLAN10網(wǎng)段指向備設(shè)備的備路由 [Router]iproute-static 192.168.20.0 255.255.255.0 172.16.1.1 [Router]iproute-static 192.168.20.0 255.255.255.0 172.16.2.1 preference 70 //配置到達(dá)VLAN20網(wǎng)段指向備設(shè)備的備路由 5. 配置VRRP主備備份實(shí)現(xiàn)虛擬網(wǎng)關(guān)冗余 正常情況下內(nèi)網(wǎng)用戶流量都上送到CORE1進(jìn)行處理,只有當(dāng)CORE1出故障之后,VRRP備份組切換CORE2為主設(shè)備,內(nèi)網(wǎng)用戶流量上送到CORE2 配置示例:在CORE1和CORE2上創(chuàng)建VRRP備份組1和2,配置CORE1的優(yōu)先級(jí)為120,搶占延時(shí)為20秒,作為VLAN10和VLAN20的Master設(shè)備 [CORE1]interface Vlanif 10 [CORE1-Vlanif10] vrrp vrid 1 virtual-ip 192.168.10.3 //配置VLAN10的虛地址 [CORE1-Vlanif10] vrrp vrid 1 priority1 20 //配置CORE1的優(yōu)先級(jí)為120 [CORE1-Vlanif10] vrrp vrid 1 preempt-mode timer delay 20 [CORE1-Vlanif10]quit [CORE1]interface Vlanif 20 [CORE1-Vlanif20] vrrp vrid 2 virtual-ip 192.168.20.3 //配置VLAN20的虛地址 [CORE1-Vlanif20] vrrp vrid 2 priority 120 CORE2的優(yōu)先級(jí)為缺省值,作為VLAN10和VLAN20的Backup設(shè)備。 [CORE2] interface Vlanif 10 [CORE2-Vlanif10] vrrp vrid 1 virtual-ip 192.168.10.3 [CORE2-Vlanif10]quit [CORE2] interface Vlanif 20 [CORE2-Vlanif20] vrrp vrid 2 virtual-ip 192.168.20.3 [CORE2-Vlanif20]quit 由于CORE1、CORE2和ACC1之間物理成環(huán),實(shí)際鏈路不成環(huán),而X7交換機(jī)默認(rèn)是開(kāi)啟stp功能的。為了避免影響CORE1和CORE2之間VRRP主備備份的狀態(tài),在此需要關(guān)閉接入交換機(jī)連接上行鏈路接口的stp功能,具體配置命令如下。 [ACC1]interface GigabitEthernet 0/0/3 [ACC1-GigabitEthernet0/0/3]stp disable //配置關(guān)閉ACC1上行鏈路接口的stp功能 [ACC1-GigabitEthernet0/0/3]quit [ACC1]interface GigabitEthernet 0/0/4 [ACC1-GigabitEthernet0/0/4] stp disable 如果確保網(wǎng)絡(luò)中沒(méi)有環(huán)路的話也可以直接關(guān)閉整機(jī)的stp功能,配置命令如下: [ACC1] stp disable Warning:The global STP state will bechanged. Continue?[ Y/N] y 6. 配置出口路由器實(shí)現(xiàn)內(nèi)網(wǎng)共享上網(wǎng) 配置允許上網(wǎng)的ACL 。以VLAN10和20的用戶為例: [Router] acl 2000 [Router-acl-basic-2000]rule permit source 192.168.10.0 0.0.0.255 //配置允許VLAN10的用戶上網(wǎng) [Router-acl-basic-2000]rule permit source 192.168.20.0 0.0.0.255 //配置允許VLAN20的用戶上網(wǎng) [Router-acl-basic-2000] rule permit source 172.16.1.0 0.0.0.255 [Router-acl-basic-2000]rule permit source172.16.2.0 0.0.0.255 [Router-acl-basic-2000]quit 在連接公網(wǎng)的接口配置NAT轉(zhuǎn)換實(shí)現(xiàn)內(nèi)網(wǎng)上網(wǎng) [Router]interface GigabitEthernet 0/0/0 [Router-GigabitEthernet0/0/0]nat out bound 2000 [Router-GigabitEthernet0/0/0]quit 配置DNS地址解析功能,DNS服務(wù)器地址為運(yùn)營(yíng)商指定。 [Router] dns resolve [Router] dns server 202.101.111.195 [Router] dns proxy enable 做完上述配置之后,給內(nèi)網(wǎng)VLAN10的用戶配置靜態(tài)地址,網(wǎng)關(guān)設(shè)置為192.168.10.3即可以實(shí)現(xiàn)上網(wǎng)。 四:配置DHCP(如全部使用手動(dòng)配置IP地址可不進(jìn)行配置) 網(wǎng)絡(luò)管理員為每個(gè)終端配置固定的IP地址,當(dāng)網(wǎng)絡(luò)規(guī)模逐漸增大,為終端手工配置地址變得繁瑣和難以管理。為減輕管理負(fù)擔(dān),管理員決定所有終端用戶全部改為自動(dòng)從DHCP服務(wù)器獲取地址,除了個(gè)別必須固定地址的終端。 配置核心交換機(jī)作為DHCPServer,使所有部門的用戶都能動(dòng)態(tài)獲取到正確的IP地址。以下以CORE1作為主用DHCP Server,以部門A為例,說(shuō)明DHCPServer的配置步驟。 說(shuō)明:VRRP組網(wǎng)環(huán)境下,為防止主備切換切換而產(chǎn)生IP地址沖突的問(wèn)題,因此在配置DHCP服務(wù)器時(shí),主設(shè)備分配地址段的前一半地址,備設(shè)備分配地址段的后一半地址。 1.配置CORE1作為主用DHCP服務(wù)器,分配地址段的前一半地址 <CORE1>system-view [CORE1] dhcp enable [CORE1] ip pool 10 [CORE1-ip-pool-10] gateway-list 192.168.10.3 //配置網(wǎng)關(guān)地址 [CORE1-ip-pool-10]network 192.168.10.0 mask 24 //配置可分配的IP地址范圍 [CORE1-ip-pool-10]excluded-ip-address 192.168.10.128 192.168.10.254 //配置排除地址段后一半地址 [CORE1-ip-pool-10] lease day 0 hour 20 minute 0 //配置租期 [CORE1-ip-pool-10] dns-list 202.101.111.195 //配置DNS服務(wù)器地址 [CORE1-ip-pool-10]quit 2. 配置CORE2作為備用DHCP服務(wù)器,分配地址段的后一半地址。 <CORE2>system-view [CORE2]dhcp enable [CORE2]ip pool 10 [CORE2-ip-pool-10]gateway-list 192.168.10.3 [CORE2-ip-pool-10] network 192.168.10.0 mask 24 [CORE2-ip-pool-10]excluded-ip-address 192.168.10.1 192.168.10.2 [CORE2-ip-pool-10]excluded-ip-address 192.168.10.41 92.168.10.127 [CORE2-ip-pool-10] lease day 0 hour 20 minute 0 [CORE2-ip-pool-10] dns-list 202.101.111.195 [CORE2-ip-pool-10]quit 說(shuō)明:對(duì)VLAN20配置DHCP動(dòng)態(tài)分配地址方式同上 3. 配置部門A的用戶從全局地址池獲取IP地址。 [CORE1] interface vlanif 10 [CORE1-Vlanif10] dhcp select global [CORE1-Vlanif10]quit [CORE2] interface vlanif 10 [CORE2-Vlanif10] dhcp select global [CORE2-Vlanif10]quit 4. 使用display ippool命令,查看全局地址池10的配置和使用情況。 說(shuō)明:配置置完動(dòng)態(tài)分配地址之后,剛開(kāi)電腦獲取地址的時(shí)間比較長(zhǎng),這是因?yàn)?/span>對(duì)于開(kāi)啟了生成樹(shù)協(xié)議的交換機(jī),每當(dāng)有電腦接入之后導(dǎo)致生成樹(shù)重新計(jì)算收斂,所以需要的時(shí)間比較長(zhǎng);通過(guò)關(guān)閉接口的生成樹(shù)協(xié)議或者把連接終端的交換機(jī)接口配置為邊緣端口即可解決。下面以ACC1為例,說(shuō)明配置步驟。 #關(guān)閉接口的生成樹(shù)協(xié)議 [ACC1]interface GigabitEthernet0/0/1 [ACC1- GigabitEthernet0/0/1] stpdisable //undo stpenable命令也可完成該功能 [ACC1- GigabitEthernet0/0/1]quit #配置連接終端設(shè)備的交換機(jī)接口為邊緣端口 [ACC1] interfaceGigabitEthernet0/0/1 [ACC1- GigabitEthernet0/0/1]stp edged-portenable [ACC1- GigabitEthernet0/0/1]quit 以上兩種方法選擇一種進(jìn)行配置,終端電腦剛開(kāi)機(jī)獲取地址速度慢的問(wèn)題就可以有效 解決。 5. 配置DHCPsnooping和IPSG 配置了DHCP功能之后,部門內(nèi)用戶主機(jī)可以自動(dòng)獲取地址。但是為了防止員工在內(nèi)網(wǎng)私自接一個(gè)小路由器并開(kāi)啟DHCP自動(dòng)分配地址的功能,導(dǎo)致內(nèi)網(wǎng)合法用戶獲取到了私接的小路由器分配的地址而不能正常上網(wǎng),還需要配置DHCPSnooping功能。以下以部門A為例,說(shuō)明DHCPSnooping的配置過(guò)程。 在接入交換機(jī)ACC1上開(kāi)啟DHCPSnooping功能。 <ACC1>system-view [ACC1] dhcp enable //使能DHCP功能 [ACC1] dhcp snooping enable //使能DHCPSnooping功能 在連接終端的接口上使能DHCPSnooping功能。 [ACC1]interface GigabitEthernet 0/0/1 //配置連接部門A的接口 [ACC1-GigabitEthernet0/0/1] dhcp snooping enable [ACC1-GigabitEthernet0/0/1]quit [ACC1]interface GigabitEthernet0/0/2 //配置連接部門B的接口 [ACC1-GigabitEthernet0/0/2] dhcp snooping enable [ACC1-GigabitEthernet0/0/2]quit 在連接DHCP服務(wù)器的接口上使能DHCPSnooping功能,并將此接口配置為信任接口。 [ACC1]interfaceGigabitEthernet0/0/3 //配置連接CORE1的接口 [ACC1-GigabitEthernet0/0/3]dhcp snooping enable //使能DHCPSnooping功能 [ACC1-GigabitEthernet0/0/3]dhcp snooping trusted [ACC1-GigabitEthernet0/0/3]quit [ACC1]interface GigabitEthernet 0/0/4 //配置連接CORE2的接口 [ACC1-GigabitEthernet0/0/4] dhcp snooping enable [ACC1-GigabitEthernet0/0/4]dhcp snooping trusted [ACC1-GigabitEthernet0/0/4]quit 完成上述配置之后,部門A的用戶就可以從合法的DHCP服務(wù)器獲取IP地址,內(nèi)網(wǎng)私接 的小路由器分配地址不會(huì)干擾到內(nèi)網(wǎng)正常用戶。 為了防止部門內(nèi)用戶私自更改IP地址后攻擊網(wǎng)絡(luò),在接入交換機(jī)開(kāi)啟DHCPSnooping 功能后,還需要開(kāi)啟IP報(bào)文檢查功能,具體配置以ACC1為例。 在接入交換機(jī)ACC1上開(kāi)啟VLAN10的IP報(bào)文檢查功能。 [ACC1]vlan10 [ACC1-vlan10] ip source checkuser-bind enable //使能IP報(bào)文檢查功能 [ACC1-vlan10]quit 這樣ACC1從VLAN10收到報(bào)文后會(huì)將報(bào)文與動(dòng)態(tài)綁定表的表項(xiàng)進(jìn)行匹配,放行匹配的 報(bào)文,丟棄不匹配的報(bào)文。如果不想對(duì)整個(gè)VLAN收到的報(bào)文進(jìn)行檢查,可以只在連接某個(gè)終端的接口上開(kāi)啟IP報(bào)文檢查功能。 五. 配置可靠性和負(fù)載分擔(dān) 配置VRRP聯(lián)動(dòng)接口檢測(cè)鏈路 當(dāng)CORE1到出口路由器的鏈路出現(xiàn)故障后,流量會(huì)通過(guò)CORE1到CORE2的互聯(lián)鏈路經(jīng)由CORE2到達(dá)出口路由器,此時(shí)就增加了互聯(lián)鏈路負(fù)擔(dān),對(duì)互聯(lián)鏈路的穩(wěn)定性和帶寬負(fù)載要求都很高?,F(xiàn)網(wǎng)環(huán)境中我們往往希望主備設(shè)備的上行接口出現(xiàn)故障的時(shí)候可以實(shí)現(xiàn)主備的快速切換,通過(guò)配置VRRP與接口狀態(tài)聯(lián)動(dòng)功能可以實(shí)現(xiàn)此快速切換。在VRRP備份組中配置對(duì)上行接口進(jìn)行監(jiān)聽(tīng),當(dāng)監(jiān)聽(tīng)到接口down了,設(shè)備會(huì)通過(guò)降低優(yōu)先級(jí)來(lái)實(shí)現(xiàn)主備切換。 #VRRP聯(lián)動(dòng)接口監(jiān)視上行鏈路。 [CORE1] interface Vlanif 10 [CORE1-Vlanif10] vrrpvrid 1 track interface GigabitEthernet 0/0/7 reduced 100 //配置VRRP與上行接口狀態(tài)聯(lián)動(dòng)監(jiān)視接口功能 [CORE1-Vlanif10]quit [CORE1] interface Vlanif 20 [CORE1-Vlanif20]vrrp vrid 2 track interface GigabitEthernet0/0/7 reduced 100 [CORE1-Vlanif20]quit 配置負(fù)載分擔(dān) 隨著業(yè)務(wù)的增長(zhǎng),經(jīng)由CORE1的鏈路帶寬占用率太高,但是經(jīng)過(guò)CORE2的鏈路是閑置的,這樣不但可靠性不好而且浪費(fèi)資源,有效利用左右兩邊兩條鏈路顯得尤為重要。把VRRP主備備份配置為負(fù)載分擔(dān),一些VLAN以CORE1為主設(shè)備,另一些VLAN以CORE2為主設(shè)備,不同VLAN的流量被分配到了左右兩條鏈路上,有效的利用現(xiàn)網(wǎng)資源。此處CORE1繼續(xù)作為VLAN10的主設(shè)備,修改CORE2的優(yōu)先級(jí)使其成為VLAN20的主設(shè)備。 首先刪除CORE1上面VRRP備份組2的優(yōu)先級(jí)和搶占延時(shí)配置。 [CORE1] interface Vlanif20 [CORE1-Vlanif20] undo vrrp vrid 2 preempt-mode timer delay [CORE1-Vlanif20] undo vrrp vrid 2 priority [CORE1-Vlanif20]quit 配置CORE2為VLAN20的主設(shè)備,搶占延時(shí)為20S。 [CORE2] interface Vlanif 20 [CORE2-Vlanif20] vrrp vrid 2 priority 120 [CORE2-Vlanif20] vrrp vrid 2 preempt-mode timer delay 20 配置VRRP備份組聯(lián)動(dòng)上行接口監(jiān)視上行鏈路情況。 [CORE2-Vlanif20]vrrp vrid 2 track interface GigabitEthernet 0/0/7 reduced 100 [CORE2-Vlanif20]quit 六:配置鏈路聚合 當(dāng)CORE1或者CORE2的上行發(fā)生故障時(shí),流量經(jīng)過(guò)CORE1和CORE2互聯(lián)的鏈路,但是單條鏈路有可能帶寬不夠,因而造成數(shù)據(jù)丟失。為了增加帶寬,把多條物理鏈路捆綁為一條邏輯鏈路,增加帶寬的同時(shí)提高了鏈路的可靠性,具體配置如下: 恢復(fù)接口默認(rèn)配置(如果接口是默認(rèn)配置,請(qǐng)直接進(jìn)行配置即可),將接口恢復(fù)為默認(rèn)配置的步驟和命令如下: [CORE1] interface GigabitEthernet 0/0/5 [CORE1-GigabitEthernet0/0/5] dis this # interface GigabitEthernet 0/0/5 portlink-type access port default vlan 300 # return [CORE1-GigabitEthernet0/0/5] undo port default vlan [CORE1-GigabitEthernet0/0/5] undo portlink-type V2R5及之后的版本可以用一條命令把接口恢復(fù)為初始配置,恢復(fù)之后接口被關(guān)閉了,需要手動(dòng)undoshutdown來(lái)開(kāi)啟: [CORE1-GigabitEthernet0/0/5] clear configuration this Warning: All configurations of the interface will be cleared,and itsstate will be shutdown. Continue? [Y/N]:y Info:Total 2 command(s) executed, 2 successful, 0 failed. [CORE1-GigabitEthernet0/0/5] undo shutdown [CORE1-GigabitEthernet0/0/5]quit 配置鏈路聚合,配置的步驟和命令如下: 方式一:配置手工負(fù)載分擔(dān)方式的鏈路聚合。 [CORE1] interface Eth-Trunk1 [CORE1-Eth-Trunk1] trunk port GigabitEthernet 0/0/5 to 0/0/6 [CORE1-Eth-Trunk1]port link-type access [CORE1-Eth-Trunk1]port default vlan 300 [CORE1-Eth-Trunk1]quit 方式二:配置LACP模式的鏈路聚合 [CORE1] interface Eth-Trunk 1 [CORE1-Eth-Trunk1] mode lacp [CORE1-Eth-Trunk1] trunk port GigabitEthernet 0/0/5 to 0/0/6 [CORE1-Eth-Trunk1]port link-type access [CORE1-Eth-Trunk1]port default vlan 300 [CORE1-Eth-Trunk1]quit #在CORE1上配置系統(tǒng)優(yōu)先級(jí)為100,使其成為L(zhǎng)ACP主動(dòng)端 [CORE1] lacp priority 100 #在CORE1上配置活動(dòng)接口上限閾值為2 [CORE1] interface Eth-Trunk1 [CORE1-Eth-Trunk1] max active-link number 2 [CORE1-Eth-Trunk1]quit #在CORE1上配置接口優(yōu)先級(jí)確定活動(dòng)鏈路(配置GE0/0/5和GE0/0/6為活動(dòng)鏈路) [CORE1]interface GigabitEthernet 0/0/5 [CORE1-GigabitEthernet0/0/5]lacp priority 100 [CORE1-GigabitEthernet0/0/5]quit [CORE1]interface GigabitEthernet 0/0/6 [CORE1-GigabitEthernet0/0/6]lacp priority 100 [CORE1-GigabitEthernet0/0/6]quit CORE2的配置同上,只是無(wú)需配置系統(tǒng)優(yōu)先級(jí),使用系統(tǒng)默認(rèn)的優(yōu)先級(jí)即可。 七:業(yè)務(wù)驗(yàn)證 兩個(gè)部門內(nèi)各選一臺(tái)PC進(jìn)行ping測(cè)試,驗(yàn)證部門之間通過(guò)VLANIF實(shí)現(xiàn)三層互通是否正常 以部門A和部門B為例,PC1和PC2是通過(guò)CORE1(或CORE2)實(shí)現(xiàn)三層互通的。如果 PC1和PC2之間互ping測(cè)試正常則說(shuō)明三層互通正常。 部門內(nèi)部選兩臺(tái)PC進(jìn)行ping測(cè)試,驗(yàn)證部門內(nèi)部二層互通是否正常。 部門A的用戶是通過(guò)ACC1實(shí)現(xiàn)二層互通的。如果部門A的用戶之間互ping測(cè)試正常則說(shuō) 明部門A內(nèi)二層互通正常。ping測(cè)試命令與步驟 1 類似。 每個(gè)部門各選一臺(tái)PC進(jìn)行ping公網(wǎng)地址測(cè)試,驗(yàn)證公司內(nèi)網(wǎng)用戶訪問(wèn)Internet是否正常。 以部門A為例,一般可以通過(guò)在PC1上ping公網(wǎng)網(wǎng)關(guān)地址(即與出口路由器對(duì)接的運(yùn)營(yíng) 商設(shè)備的IP地址)來(lái)驗(yàn)證是否可以訪問(wèn)Internet,如果ping測(cè)試正常則說(shuō)明內(nèi)網(wǎng)用戶訪 問(wèn)Internet正常。ping測(cè)試命令與步驟1 類似。 八:保存配置 通過(guò)命令行配置的數(shù)據(jù)是臨時(shí)性的。如果不保存,交換機(jī)重啟后這些配置都會(huì)丟失。如果要使當(dāng)前配置在交換機(jī)重啟后仍然有效,需要將當(dāng)前配置保存為配置文件。以CORE1為例:所有設(shè)備照此進(jìn)行配置保存。 <CORE1>save The current configuration will be written to thedevice. Are you sure tocontinue?[Y/N]y Now saving the current configuration to the slot0.. Save the configurationsuccessfully. |
|
來(lái)自: 新用戶0118F7lQ > 《文件夾1》