OSPF组网实验
Posted 超凡脫俗
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了OSPF组网实验相关的知识,希望对你有一定的参考价值。
文章目录
网络拓扑
- 核心交换机配置VRRP保证网络可靠性,配置负载分担有效利用资源。
- 每个部门业务划分到一个VLAN中,部门间的业务在CORE上通过VLANIF三层互通。
- 核心交换机作为DHCP Server,为园区用户分配IP地址。
- 接入交换机上配置DHCP Snooping功能,防止内网用户私接小路由器分配IP地址;同时配置IP报文检查功能,防止内网用户私自更改IP地址。
网络配置
管理IP及Telnet
配置管理IP地址。
<HUAWEI> system-view
[HUAWEI] vlan 5 //创建交换机管理VLAN 5
[HUAWEI-VLAN5] management-vlan
[HUAWEI-VLAN5] quit
[HUAWEI] interface vlanif 5 //创建交换机管理VLAN的VLANIF接口
[HUAWEI-vlanif5] ip address 10.10.1.1 24 //配置VLANIF接口IP地址
[HUAWEI-vlanif5] quit
将管理接口加入到管理VLAN 。
[HUAWEI] interface GigabitEthernet 0/0/8 //假设连接网管的接口为GigabitEthernet 0/0/8
[HUAWEI-GigabitEthernet0/0/8] port link-type trunk
[HUAWEI-GigabitEthernet0/0/8] port trunk allow-pass vlan 5
[HUAWEI-GigabitEthernet0/0/8] quit
配置Telnet。
[HUAWEI] telnet server enable //Telnet出厂时是关闭的,需要打开
[HUAWEI] user-interface vty 0 4 //Telnet常用于设备管理员登录,推荐使用AAA认证
[HUAWEI-ui-vty0-4] protocol inbound telnet // V200R006及之前版本缺省支持telnet协议,但是V200R007及之后版本缺省的是SSH协议,因此使用telnet登录之前,必须要先配置这条命令。
[HUAWEI-ui-vty0-4] authentication-mode aaa
[HUAWEI-ui-vty0-4] idle-timeout 15
[HUAWEI-ui-vty0-4] quit
[HUAWEI] aaa
[HUAWEI-aaa] local-user admin password irreversible-cipher Helloworld@6789 //配置管理员Telnet登录交换机的用户名和密码。用户名不区分大小写,密码区分大小写
[HUAWEI-aaa] local-user admin privilege level 15 //将管理员的账号权限设置为15(最高)
[HUAWEI-aaa] local-user admin service-type telnet
[HUAWEI-aaa] quit
配置网络互通
配置接入层交换机
以接入交换机ACC1为例,创建ACC1的业务VLAN 10和20。
<HUAWEI> system-view
[HUAWEI] sysname ACC1 //修改设备名称为ACC1
[ACC1] vlan batch 10 20 //批量创建VLAN
配置ACC1连接CORE1和CORE2的GE0/0/3和GE0/0/4,透传部门A和部门B的VLAN。
[ACC1] interface GigabitEthernet 0/0/3
[ACC1-GigabitEthernet0/0/3] port link-type trunk //配置为trunk模式,用于透传VLAN。
[ACC1-GigabitEthernet0/0/3] port trunk allow-pass vlan 10 20 //配置GE0/0/3透传ACC1上的业务VLAN
[ACC1-GigabitEthernet0/0/3] quit
[ACC1] interface GigabitEthernet 0/0/4
[ACC1-GigabitEthernet0/0/4] port link-type trunk //配置为trunk模式,用于透传VLAN。
[ACC1-GigabitEthernet0/0/4] port trunk allow-pass vlan 10 20 //配置GE0/0/4透传ACC1上的业务VLAN
[ACC1-GigabitEthernet0/0/4] quit
配置ACC1连接用户的接口,使各部门加入VLAN。
[ACC1] interface GigabitEthernet 0/0/1 //配置连接部门A的接口
[ACC1-GigabitEthernet0/0/1] port link-type access
[ACC1-GigabitEthernet0/0/1] port default vlan 10
[ACC1-GigabitEthernet0/0/1] quit
[ACC1] interface GigabitEthernet 0/0/2 //配置连接部门B的接口
[ACC1-GigabitEthernet0/0/2] port link-type access
[ACC1-GigabitEthernet0/0/2] port default vlan 20
[ACC1-GigabitEthernet0/0/2] quit
配置BPDU保护功能,加强网络的稳定性。
[ACC1] stp bpdu-protection
配置汇聚/核心层交换机
以汇聚/核心交换机CORE1为例,创建其与接入交换机、备份设备以及园区出口路由器互通的VLAN。
<HUAWEI> system-view
[HUAWEI] sysname CORE1 //修改设备名称为CORE1
[CORE1] vlan batch 10 20 30 40 50 100 300 //批量创建VLAN
配置用户侧的接口VLAN和VLANIF,VLANIF接口用于部门之间互访。以CORE1连接ACC1的GE0/0/1接口为例,其他接口不再赘述。
[CORE1] interface GigabitEthernet 0/0/1
[CORE1-GigabitEthernet0/0/1] port link-type trunk //配置为trunk模式,用于透传VLAN
[CORE1-GigabitEthernet0/0/1] port trunk allow-pass vlan 10 20 //配置GE0/0/1透传ACC1上的业务VLAN
[CORE1-GigabitEthernet0/0/1] quit
[CORE1] interface Vlanif 10 //配置VLANIF10,使部门之间三层互通
[CORE1-Vlanif10] ip address 192.168.10.1 24
[CORE1-Vlanif10] quit
[CORE1] interface Vlanif 20 //配置VLANIF20,使部门之间三层互通
[CORE1-Vlanif20] ip address 192.168.20.1 24
[CORE1-Vlanif20] quit
配置连接出口路由器的接口VLAN和VLANIF。
[CORE1] interface GigabitEthernet 0/0/7
[CORE1-GigabitEthernet0/0/7] port link-type access //配置为access模式
[CORE1-GigabitEthernet0/0/7] port default vlan 100
[CORE1-GigabitEthernet0/0/7] quit
[CORE1] interface Vlanif 100 //配置VLANIF,使CORE1与路由器之间三层互通
[CORE1-Vlanif100] ip address 172.16.1.1 24
[CORE1-Vlanif100] quit
配置两个核心交换机直连的接口VLAN和VLANIF。
[CORE1] interface gigabitethernet 0/0/5
[CORE1-GigabitEthernet0/0/5] port link-type access //配置为access模式
[CORE1-GigabitEthernet0/0/5] port default vlan 300
[CORE1-GigabitEthernet0/0/5] quit
[CORE1] interface Vlanif 300
[CORE1-Vlanif300] ip address 172.16.3.1 24
[CORE1-Vlanif300] quit
配置出口路由器的接口地址
配置连接内网的接口地址。
<HUAWEI> system-view
[HUAWEI] sysname Router //修改设备名称为Router
[Router] interface GigabitEthernet 0/0/1
[Router-GigabitEthernet0/0/1] ip address 172.16.1.2 24 //配置与主设备互连的接口地址
[Router-GigabitEthernet0/0/1] quit
[Router] interface GigabitEthernet 0/0/2
[Router-GigabitEthernet0/0/2] ip address 172.16.2.2 24 //配置与备设备互连的接口地址
[Router-GigabitEthernet0/0/2] quit
配置连接公网的接口地址。
[Router] interface GigabitEthernet 0/0/0
[Router-GigabitEthernet0/0/0] ip address 1.1.1.2 30 //配置路由器连接公网的接口地址
[Router-GigabitEthernet0/0/0] quit
静态路由
分别在CORE1和CORE2上面分别配置一条缺省静态路由指向出口路由器及其备份路由。
[CORE1] ip route-static 0.0.0.0 0.0.0.0 172.16.1.2 //CORE1指向出口路由器的缺省静态路由
[CORE1] ip route-static 0.0.0.0 0.0.0.0 172.16.3.2 preference 70 //CORE1指向CORE2的备份静态路由
[CORE2] ip route-static 0.0.0.0 0.0.0.0 172.16.2.2
[CORE2] ip route-static 0.0.0.0 0.0.0.0 172.16.3.1 preference 70
在出口路由器配置一条缺省静态路由指向运营商
[Router] ip route-static 0.0.0.0 0.0.0.0 1.1.1.1
在出口路由器配置到内网的主备路由,主路由下一跳指向CORE1,备路由下一跳指向CORE2 。
[Router] ip route-static 192.168.10.0 255.255.255.0 172.16.1.1
[Router] ip route-static 192.168.10.0 255.255.255.0 172.16.2.1 preference 70 //配置到达VLAN10网段指向备设备的备路由
[Router] ip route-static 192.168.20.0 255.255.255.0 172.16.1.1
[Router] ip route-static 192.168.20.0 255.255.255.0 172.16.2.1 preference 70 //配置到达VLAN20网段指向备设备的备路由
配置VRRP主备备份实现虚拟网关冗余
正常情况下内网用户流量都上送到CORE1进行处理,只有当CORE1出故障之后,VRRP备份组切换CORE2为主设备,内网用户流量上送到CORE2。
配置示例:在CORE1和CORE2上创建VRRP备份组1和2,配置CORE1的优先级为120,抢占延时为20秒,作为VLAN10和VLAN20的Master设备。.
[CORE1] interface Vlanif 10
[CORE1-Vlanif10] vrrp vrid 1 virtual-ip 192.168.10.3 //配置VRRP group 1的虚地址
[CORE1-Vlanif10] vrrp vrid 1 priority 120 //配置CORE1的优先级为120
[CORE1-Vlanif10] vrrp vrid 1 preempt-mode timer delay 20
[CORE1-Vlanif10] quit
[CORE1] interface Vlanif 20
[CORE1-Vlanif20] vrrp vrid 2 virtual-ip 192.168.20.3 //配置VRRP group 2的虚地址
[CORE1-Vlanif20] vrrp vrid 2 priority 120
[CORE1-Vlanif20] vrrp vrid 2 preempt-mode timer delay 20
[CORE1-Vlanif20] quit
CORE2的优先级为缺省值,作为VLAN10和VLAN20的Backup设备。
[CORE2] interface Vlanif 10
[CORE2-Vlanif10] vrrp vrid 1 virtual-ip 192.168.10.3
[CORE2-Vlanif10] quit
[CORE2] interface Vlanif 20
[CORE2-Vlanif20] vrrp vrid 2 virtual-ip 192.168.20.3
[CORE2-Vlanif20] quit
由于CORE1、CORE2和ACC1之间物理成环,实际链路不成环,而X7系列交换机默认是开启stp功能的。为了避免影响CORE1和CORE2之间VRRP主备备份的状态,在此需要关闭接入交换机连接上行链路接口的stp功能,具体配置命令如下:
[ACC1] interface GigabitEthernet 0/0/3
[ACC1-GigabitEthernet0/0/3] stp disable //配置关闭ACC1上行链路接口的stp功能
[ACC1-GigabitEthernet0/0/3] quit
[ACC1] interface GigabitEthernet 0/0/4
[ACC1-GigabitEthernet0/0/4] stp disable
[ACC1-GigabitEthernet0/0/4] quit
如果确保网络中没有环路的话也可以直接关闭整机的stp功能,配置命令如下:
[ACC1] stp disable
Warning:The global STP state will be changed. Continue? [Y/N] y
配置出口路由器实现内网共享上网
配置允许上网的ACL。以VLAN 10和20的用户为例:
[Router] acl 2000
[Router-acl-basic-2000] rule permit source 192.168.10.0 0.0.0.255 //配置允许VLAN 10的用户上网
[Router-acl-basic-2000] rule permit source 192.168.20.0 0.0.0.255 //配置允许VLAN 20的用户上网
[Router-acl-basic-2000] rule permit source 172.16.1.0 0.0.0.255
[Router-acl-basic-2000] rule permit source 172.16.2.0 0.0.0.255
[Router-acl-basic-2000] quit
在连接公网的接口配置NAT转换实现内网上网。
[Router] interface GigabitEthernet 0/0/0
[Router-GigabitEthernet0/0/0] nat outbound 2000
[Router-GigabitEthernet0/0/0] quit
配置DNS地址解析功能,DNS服务器地址为运营商指定。
[Router] dns resolve
[Router] dns server 8.8.8.8
[Router] dns proxy enable
做完上述配置之后,给内网VLAN10的用户配置静态地址,网关设置为192.168.10.3即可以实现上网。
配置DHCP
配置DHCP服务器
网络管理员为每个终端配置固定的IP地址,当网络规模逐渐增大,为终端手工配置地址变得繁琐和难以管理。为减轻管理负担,管理员决定所有终端用户全部改为自动从DHCP服务器获取地址,除了个别必须固定地址的终端。
配置核心交换机作为DHCP Server,使所有部门的用户都能动态获取到正确的IP地址。以下以CORE1作为主用DHCP Server,以部门A为例,说明DHCP Server的配置步骤。
说明:本文以基于全局地址池的DHCP Server为例,VRRP组网环境下,为防止主备切换而产生IP地址冲突的问题,因此在配置DHCP服务器时,主设备分配地址段的前一半地址,备设备分配地址段的后一半地址。
配置CORE1作为主用DHCP服务器,分配地址段的前一半地址。
<CORE1> system-view
[CORE1] dhcp enable
[CORE1] ip pool 10
[CORE1-ip-pool-10] gateway-list 192.168.10.3 //配置网关地址
[CORE1-ip-pool-10] network 192.168.10.0 mask 24 //配置可分配的IP地址范围
[CORE1-ip-pool-10] excluded-ip-address 192.168.10.128 192.168.10.254 //配置排除地址段后一半地址
[CORE1-ip-pool-10] lease day 0 hour 20 minute 0 //配置租期
[CORE1-ip-pool-10] dns-list 8.8.8.8 //配置DNS服务器地址
[CORE1-ip-pool-10] quit
配置CORE2作为备用DHCP服务器,分配地址段的后一半地址。
<CORE2> system-view
[CORE2] dhcp enable
[CORE2] ip pool 10
[CORE2-ip-pool-10] gateway-list 192.168.10.3
[CORE2-ip-pool-10] network 192.168.10.0 mask 24
[CORE2-ip-pool-10] excluded-ip-address 192.168.10.1 192.168.10.2
[CORE2-ip-pool-10] excluded-ip-address 192.168.10.4 192.168.10.127
[CORE2-ip-pool-10] lease day 0 hour 20 minute 0
[CORE2-ip-pool-10] dns-list 8.8.8.8
[CORE2-ip-pool-10] quit
对VLAN20配置DHCP动态分配地址方式同上。
- 配置部门A的用户从全局地址池获取IP地址。
[CORE1] interface vlanif 10
[CORE1-Vlanif10] dhcp select global //配置部门A的用户从全局地址池获取IP地址
[CORE1-Vlanif10] quit
[CORE2] interface vlanif 10
[CORE2-Vlanif10] dhcp select global
[CORE2-Vlanif10] quit
-
使用display ip pool命令,查看全局地址池10的配置和使用情况。
-
在DHCP服务器配置完成后,需要设置终端电脑网卡为自动获取地址,这样终端才能正常从DHCP服务器获取到地址,正常上网。
-
配置完动态分配地址之后,刚开电脑获取地址的时间比较长,这是因为对于开启了生成树协议的交换机,每当有电脑接入之后导致生成树重新计算收敛,所以需要的时间比较长;通过关闭接口的生成树协议或者把连接终端的交换机接口配置为边缘端口即可解决。
关闭接口的生成树协议
[ACC1] interface GigabitEthernet 0/0/1
[ACC1-GigabitEthernet 0/0/1] stp disable //undo stp enable命令也可完成该功能
[ACC1-GigabitEthernet0/0/1] quit
配置连接终端设备的交换机接口为边缘端口
[ACC1] interface GigabitEthernet 0/0/1
[ACC1-GigabitEthernet0/0/1] stp edged-port enable
[ACC1-GigabitEthernet0/0/1] quit
以上两种方法选择一种进行配置,终端电脑刚开机获取地址速度慢的问题就可以有效解决。
配置DHCP Snooping和IPSG
配置了DHCP功能之后,部门内用户主机可以自动获取地址。但是为了防止员工在内网私自接一个小路由器并开启DHCP自动分配地址的功能,导致内网合法用户获取到了私接的小路由器分配的地址而不能正常上网,还需要配置DHCP Snooping功能。
以下以部门A为例,说明DHCP Snooping的配置过程。
在接入交换机ACC1上开启DHCP Snooping功能。
<ACC1> system-view
[ACC1] dhcp enable //使能DHCP功能
[ACC1] dhcp snooping enable //使能DHCP Snooping功能
在连接终端的接口上使能DHCP Snooping功能。
[ACC1] interface GigabitEthernet 0/0/1 //配置连接部门A的接口
[ACC1-GigabitEthernet0/0/1] dhcp snooping enable
[ACC1-GigabitEthernet0/0/1] quit
[ACC1] interface GigabitEthernet 0/0/2 //配置连接部门B的接口
[ACC1-GigabitEthernet0/0/2] dhcp snooping enable
[ACC1-GigabitEthernet0/0/2] quit
在连接DHCP服务器的接口上使能DHCP Snooping功能,并将此接口配置为信任接口。
[ACC1] interface GigabitEthernet 0/0/3 //配置连接CORE1的接口
[ACC1-GigabitEthernet0/0/3] dhcp snooping enable //使能DHCP Snooping功能
[ACC1-GigabitEthernet0/0/3] dhcp snooping trusted //配置为信任接口
[ACC1-GigabitEthernet0/0/3] quit
[ACC1] interface GigabitEthernet 0/0/4 //配置连接CORE2的接口
[ACC1-GigabitEthernet0/0/4] dhcp snooping enable
[ACC1-GigabitEthernet0/0/4] dhcp snooping trusted
[ACC1-GigabitEthernet0/0/4] quit
完成上述配置之后,部门A的用户就可以从合法的DHCP服务器获取IP地址,内网私接的小路由器分配地址不会干扰到内网正常用户。
为了防止部门内用户私自更改IP地址后攻击网络,在接入交换机开启DHCP Snooping功能后,还需要开启IP报文检查功能,具体配置以ACC1为例。
在接入交换机ACC1上开启VLAN10的IP报文检查功能。
[ACC1] vlan 10
[ACC1-vlan10] ip source check user-bind enable //使能IP报文检查功能
[ACC1-vlan10] quit
这样ACC1从VLAN10收到报文后会将报文与动态绑定表的表项进行匹配,放行匹配的报文,丢弃不匹配的报文。如果不想对整个VLAN收到的报文进行检查,可以只在连接某个终端的接口上开启IP报文检查功能。
如果网络中采用静态分配IP地址,为防止用户私自修改地址攻击网络,可以配置IP+MAC绑定。
OSPF配置
由于内网互联使用的是静态路由,在链路出现故障之后需要管理员手动配置新的静态路由,造成网络长时间中断,影响业务。为了减少这种故障的发生,使用动态路由协议是一种不错的选择。动态路由有自己的算法,在链路出现故障之后动态路由根据自己的算法及时把流量切换到正常的链路,等到故障恢复之后流量又切过来。下面以动态路由协议OSPF为例进行配置:
删除两台汇聚/核心交换机的静态路由配置。
[CORE1] undo ip route-static all
[CORE2] undo ip route-static all
删除
以上是关于OSPF组网实验的主要内容,如果未能解决你的问题,请参考以下文章
华为NE40E路由器实验配置示例 | 配置L3VdPdNd over OSPF SR-MPLS BE
华为NE40E路由器实验配置示例 | 配置L3VdPdNd over OSPF SR-MPLS BE