經典案例：企業H3C組網實例

博主QQ：819594300

博客地址：http://zpf666.blog.51cto.com/

有什么疑問的朋友可以聯系博主，博主會幫你們解答，謝謝支持！

隨著企業信息化不斷的深入，對網絡設備和鏈路的可靠性、安全性、可管理型提出了更高的要求，本案例通過一個企業網總部及分支的拓撲和配置，列出了當前構建中小型企業網絡的主流技術，涉及網關備份、鏈路冗余、路由控制、訪問控制、設備管理等網絡技術。

案例中有7臺設備，企業網總部有3臺交換機，兩臺路由器；分支有一臺路由器通過電信10M專用線路和聯通的2M專用備份線路與總部通信；另外一臺路由器模擬internet。

案例中總部有兩個應用網段：一個是業務192網段，另一個是OA的172網絡，分別與分支的業務網段和OA網段通信。

一、前置知識點

1、MSTP

MSTP由IEEE制定的802.1S標準定義，它可以彌補STP和RSTP的缺陷，既可以快速收斂，也能使用不同的VLAN流量沿各自的路徑轉發，從而為冗余鏈路提供了更好的復雜分擔機制。MSTP的特點如下：

1）MSTP把一個交換網絡劃分成多個域，每個域內形成多棵生成樹，生成樹之間彼此獨立。

2）MSTP通過設置VLAN與生成樹的對應關系（VLAN映射表），將VLAN與生成樹聯系起來。并通過“實例”的概念，將多個VLAN捆綁到一個實例中，從而達到了節省通信開銷和降低資源占用率的目的。

3）MSTP將環路網絡修建成為一個無環的樹形網絡，避免報文在環路網絡中的增生和無線循環，同時還提供了數據轉發的多個冗余路徑，在數據轉發過程中實現VLAN數據的負載分擔。

4）MSTP兼容STP和RSTP。

2、VRRP

VRRP將局域網內的一組路由器劃分在一起，稱為一個備份組。備份組由一個master路由器和多個backup路由器組成，功能上相當于一臺虛擬路由器。VRRP備份組具有以下特點。

1）虛擬路由器具有IP地址，稱為虛擬地址。局域網內的主機僅需要知道這個虛擬路由器的ip地址，并將其設置為默認路由的下一跳地址。網絡內的主機通過這個虛擬路由器與外部網絡進行通信。

2）備份組內的路由器根據優先級，選舉出master路由器，承擔網關功能。其他路由器作為backup路由器，當master路由器發生故障時，取代master路由器繼續履行網關職責，從而保證網絡內的主機不間斷地與外部網絡進行通信。

3、ACL

基本ACL：編號范圍2000-2999，支持報文的源ip地址。

高級ACL：編號范圍3000-3999，支持報文的源ip地址、目的ip地址、報文的優先級、ip承載的協議類及特性等三、四層信息。

4、命令參考

1）ospf的配置

  ospf 1 

  default-route-advertise always                    在ospf區域發布外部默認路由

  area 1

  net  10.255.23.1 0.0.0.0

  abr-summary 172.17.0.0 255.255.0.0 not-advertise   不發布聚合后的路由條目

  int g0/0

  ospf cost 1000                                     配置接口的路由成本，路由選路

  dis ip routing-table protocol ospf                 查看ospf學習到的路由條目

2）stp的配置：

  stp instance 1 root primary                        設置為實例1的根網橋

  stp instance 2 root secondary                      設置為實例2的備份根網橋                   

  stp region-configuration                           進入stp的域視圖，一個域必須有相同的域名、修正級別、vlan映射

  region-name h4c                                    stp域名

  revision-level 3                                   修正級別（可選，用于確定一個域，默認0）

  instance 1 vlan 10                                 實例1映射為vlan10

  instance 2 vlan 20

  active region-configure                            激活域

  dis stp brief                                      查看stp信息：root根端口，desi指定端口，alte阻塞端口

3）vrrp的配置：vlan10為例

  int vlan 10

  vrrp vrid 1 virtual-ip 172.16.0.254                 配置vrrp的虛擬ip

  vrrp vrid 1 priority 120                            vrrp的優先級

  vrrp vrid 1 track 2 priority reduced 30             跟蹤vlan2，vlan2宕掉時優先級降低30

  dis vrrp                                            查看vrrp的狀態

4）esay_ip的配置：

  acl basic 2000                                      配置acl

  rule 0 permit source 172.16.0.0 0.0.0.255           允許nat的網絡

  rule 5 permit source 172.17.0.0 0.0.255.255

  int g0/0

  nat outbound 2000                                   應用easy_ip

  dis nat session  verbos                             查看nat轉換信息

  ping -a 172.16.0.10 202.98.192.57                   指定以172.16.0.10為源地址ping目標主機

二、實驗案例

1、案例拓撲圖

2、實驗要求：

1）按拓撲要求配置ip地址和vlan及默認路由，R4模擬外網不配置到內網的路由

2）將總部網絡在ospf區域0發布，分支網絡在ospf1區域發布

3）配置stp，sw1為實例0和實例1（vlan10）的主根，vlan20的備份根，sw2與之相反

4）配置vrrp，sw1為vlan10的master，sw2為vlan20的master并track監視上行端口

5）配置ospf路徑選擇，總部與分支的通訊全部通過電信鏈路通訊，聯通鏈路只做備份

并且電信鏈路故障時只有vlan20的數據可以使用備份鏈路

6）配置easy_ip，實現只有vlan10可以訪問到R4（外網）

3、實驗步驟

1）按拓撲要求配置ip地址和vlan及默認路由，R4模擬外網不配置到內網的路由。

配置SW1：

SW2:

SW3:

R1:

R2:

R3:

R4:

2）將總部網絡在ospf區域0發布，分支網絡在ospf1區域發布

SW1:

SW2:

SW3:

R1:

R2:

R3:

在R1上查看路由表

然后在R1上測試ping通性：

3）配置stp，sw1為實例0和實例1（vlan10）的主根，vlan20的備份根，sw2與之相反

SW1：

SW2：

SW3：

分別在三臺交換機上查看MSTP：命令是dis  stp  brief

說明：端口狀態ALTE：表示在本實例中端口處于阻斷狀態。

同一臺設備同一實例下的兩個端口為DESI狀態：表示這臺設備為該實例下的主根。

如果出現了MAST狀態的端口：表示域配置信息有誤，出現了多個域。

4）配置vrrp，sw1為vlan10的master，sw2為vlan20的master并track監視上行端口

SW1:

SW2:

在SW1和SW2上分別查詢dis vrrp（顯示主從設備）：

5）配置ospf路徑選擇，總部與分支的通訊全部通過電信鏈路通訊，聯通鏈路只做備份，并且電信鏈路故障時只有vlan20的數據可以使用備份鏈路

R3:

說明：發現有到達172.16.0.0/24下一跳有2個，分別是10.255.13.1（R1）和10.255.23.1（R2）

然后執行dis ip routing-table protocol ospf可以看到與ospf相關的路由。

執行如下命令：

然后再次執行dis  ip routing-table 發現到達172.16.0.0/24下一跳只剩下了10.222.13.1（電信）：

接下來使用R3 ping 172.16.0.10（sw3的vlan10）還可以通：

測試R3上的172.17.1.1到172.16.0.10（即測試分部的vlan10到總部的vlan10的連通性）可以通：

再測試R3上的192.168.100.1到172.16.0.10（即測試分部的vlan20到總部的vlan10的連通性）可以通：

R2：

上圖中，做的是聚合分支，阻止172.17.0.0/16網段向總部發送。

測試：斷掉R3和R1之間的線（即可以關閉R3的g0/1口）在R3上ping -a 192.168.100.1 172.16.0.10可以通，ping -a 172.17.1.1 172.16.0.10則就不通了，則為成功：

在R3上繼續配置：

上圖中，發現next hop全部都是10.255.13.1。

上兩張截圖可以看到：ping -a 172.16.0.10202.98.192.57不通

Ping -a 192.168.0.10 202.98.192.57不通。

6）配置easy_ip，實現只有vlan10可以訪問到R4（外網）

R1：

然后在SW3上再次ping -a 192.168.0.10202.98.192.57還是不通，ping -a 172.16.0.10 202.98.192.57也不通，原因是因為r1上ospf問題，默認路由沒有引入。

在R1上：

然后到SW3上執行dis ip routing-table protocolospf：

上圖中發現多了到0.0.0.0的兩條默認路由。

再次在SW3上ping -a 172.16.0.10202.98.192.57通了

Ping -a 192.168.0.10 202.98.192.57還是不通就對了:

在R1上執行：disnat session verbose查看nat轉換信息: