园区网基础组网保姆级(mstp,vrrp,irf,eth-trunk,route-policy,ospf,bgp,rbm,nat,mlag等等)
本文实验使用模拟器:H3C HCL 5.10.2版本
- 一、园区核心/接入架构
-
- 1.1.三层架构
- 1.2.二层架构
- 二、园区核心 To 接入实践
-
- 2.1.MSTP+VRRP派系
-
- 2.1.1.MSTP+VRRP配置
- 2.1.2.MSTP+VRRP验证
- 2.2.IRF+Eth-Trunk派系
-
- 2.2.1.IRF+Eth-Trunk配置
- 2.3.两种派系的对比
- 三、园区核心/出口架构
-
- 3.1.单机直出
- 3.2.双路由器出口
- 3.3.双防火墙出口
- 3.4.双防火墙(路由)、双路由器
- 3.5.双防火墙(旁挂)、双路由器
- 3.6.双防火墙(透明)、双路由器
- 3.7.防火墙双机热备
- 四、园区核心 To 出口实践
-
- 4.1.HA联动路由三层主备直路组网
-
- 1.配置集群/堆叠,IRF(园区核心/接入实践已经解释过)
- 2.配置聚合
- 3.配置接口地址
- 4.配置HA主备
- 五、MAD,BFD,NQA应用
- 六、出口/ISP架构
- 七、出口 To ISP实践
- 八、内部 To 服务器区
- 九、其他需求
由于ENSP模拟器不支持,故用H3C模拟器,原理基本一致,理解H3C后,华为的也会轻而易举。
本文基于园区网模拟搭建实验环境。有些协议无法实现,不在本文解释的范围内。
本文基于自己的理解,有很多地方可能解释的不足,或者水平有限。有问题直接留言。
由于篇幅太长,一直会补充更新。
——————————————————————————————————————————————————
一、园区核心/接入架构
园区网的架构一般大致分为两种架构,三层架构/二层架构,两者各有特点。
———————————————————————
1.1.三层架构
三层架构是传统的大型园区网络设计方式,分为核心层、汇聚层、接入层。
核心层:负责高速数据转发和路由决策,是整个网络的骨干,连接汇聚层设备,并为园区网络提供高性能、高可用的路由功能。
汇聚层:主要起到聚合接入层流量、通常也会实现策略控制(如ACL)和流量优化。
接入层:直接连接终端用户设备(如PC、手机、打印机等),负责为用户提供网络接入。
一般这种网络的结构,用户网关配置在汇聚交换机,汇聚交换机和核心交换机跑OSPF协议,核心交换机承载了不同用户VLAN之间的路由交互。汇聚交换机则更多是ACL,QOS,DHCP等策略的功能实现。接入交换机一般做MAC地址绑定等。这种架构是传统的架构,已经逐步被淘汰。
传统的三层架构暴露出一些问题,花费代价比较高,如园区有5栋楼,核心交换机2台,那么汇聚交换机需要采购5台,剩下的是接入交换机,比起二层架构,省去了5台汇聚交换机。三层架构的单点比较多,接入区可以通过堆叠来实现,链路采用聚合来保证,汇聚承担了一栋楼的业务,如果双汇聚,成本又大大增加。但传统的三层架构,他把用户的大的广播域,划分成不同的小广播域,当1楼用户出现环路问题设备问题等,无法扩散至其他VLAN/其他楼栋的用户。传统三层架构在运维的时候管理还是不太便捷,在架构上比起二层架构其实相对来说更加稳定。
———————————————————————
1.2.二层架构
二层架构省去了汇聚层,通常只有核心层和接入层。
核心层:负责路由转发,又承担了汇聚功能。
接入层:负责终端设备的连接,并直接与核心层交换机进行通信。
二层架构对双核心配置要求比较高。比起三层架构相对来说成本比较低,逻辑结构比较简单,易于部署。为什么二层架构现在很流行,在园区网中,可实现不同物理位置AP无缝漫游,不改变IP和重新连接,适用于无线网络覆盖园区;二层架构中无需复杂的路由配置,只是通过MAC地址完成大量通信,不同VLAN间在核心层进行路由转发。二层架构更适合数据中心环境,在虚拟化和超融合/云计算中,大量的虚拟机需要在不同的物理服务器之间迁移,二层架构能保证虚拟机在迁移时无需更改IP地址,简化虚拟化网络管理,通过以上了解,二层架构更适应于新兴技术,满足园区对无缝漫游、虚拟化等功能的实现。
二层架构一般在用户接入区设备进行堆叠,保证接入区设备的可靠性,在核心区使用交换机虚拟化技术,保证了核心区设备的可靠性,通过之间链路聚合,保证了链路层面的可靠性。原本8台设备,现在管理时候只需管理4台设备。
——————————————————————————————————————————————————
二、园区核心 To 接入实践
在核心接入二层架构中,还分为了两大派技术,分别是MSTP+VRRP派系;核心虚拟化+聚合的派系。
———————————————————————
2.1.MSTP+VRRP派系
———————————————————————
2.1.1.MSTP+VRRP配置
MSTP在STP的基础上开发了多生成树实例,为每一个VLAN生成独立的生成树域,来解决二层环路问题。形成多颗无环的树,解决广播风暴实现冗余备份。多颗生成树在VLAN间实现负载均衡,不同的VLAN流量按照不同的路径转发。
先看一个经典的MSTP+VRRP架构图
先进行配置
核心设备
S6850_9(核心1):基础配置VLAN、接口等。
[S6850-9]vlan 10 20 30 40
##核心交换机对各VLAN间流量进行路由,需创建各用户VLAN。
[S6850-9]int g1/0/1
[S6850-9-GigabitEthernet1/0/1]port link-type trunk
[S6850-9-GigabitEthernet1/0/1]port trunk permit vlan 10 20 30 40
[S6850-9]int g1/0/2
[S6850-9-GigabitEthernet1/0/2]port link-type trunk
[S6850-9-GigabitEthernet1/0/2]port trunk permit vlan 10 20 30 40
[S6850-9]int g1/0/3
[S6850-9-GigabitEthernet1/0/3]port link-type trunk
[S6850-9-GigabitEthernet1/0/3]port trunk permit vlan 10 20 30 40
[S6850-9]int g1/0/5
[S6850-9-GigabitEthernet1/0/5]port link-type trunk
[S6850-9-GigabitEthernet1/0/5]port trunk permit vlan 10 20 30 40
##配置下行接口Trunk,允许各自的VLAN信息。
[S6850-9]int g1/0/4
[S6850-9-GigabitEthernet1/0/4]port link-type trunk
[S6850-9-GigabitEthernet1/0/4]port trunk permit vlan 10 20 30 40
S6850_9(核心1):配置MSTP
[S6850-9]stp mode mstp
##开启STP模式:MSTP
[S6850-9]stp region-configuration ##进入生成树区域配置
[S6850-9-mst-region]region-name H3C ##配置区域名称
[S6850-9-mst-region]revision-level 1 ##配置MSTP修订级别1,两边设备配置一致,证明两台交换机同属一个MST域
[S6850-9-mst-region]instance 10 vlan 10 20
[S6850-9-mst-region]instance 20 vlan 30 40 ##VLAN和实例的映射
[S6850-9-mst-region]active region-configuration ##激活区域配置
S6850_10(核心2):基础配置VLAN、接口等。
[S6850-10]vlan 10 20 30 40
[S6850-10]int g1/0/1
[S6850-10-GigabitEthernet1/0/1]port link-type trunk
[S6850-10-GigabitEthernet1/0/1]port trunk permit vlan 10 20 30 40
[S6850-10]int g1/0/2
[S6850-10-GigabitEthernet1/0/2]port link-type trunk
[S6850-10-GigabitEthernet1/0/2]port trunk permit vlan 10 20 30 40
[S6850-10]int g1/0/3
[S6850-10-GigabitEthernet1/0/3]port link-type trunk
[S6850-10-GigabitEthernet1/0/3]port trunk permit vlan 10 20 30 40
[S6850-10]int g1/0/5
[S6850-10-GigabitEthernet1/0/5]port link-type trunk
[S6850-10-GigabitEthernet1/0/5]port trunk permit vlan 10 20 30 40
[S6850-10]int g1/0/4
[S6850-10-GigabitEthernet1/0/4]port link-type trunk
[S6850-10-GigabitEthernet1/0/4]port trunk permit vlan 10 20 30 40
S6850_10(核心2):配置MSTP
[S6850-10]stp mode mstp
##开启STP模式:MSTP
[S6850-10]stp region-configuration ##进入生成树区域配置
[S6850-10-mst-region]region-name H3C ##配置区域名称
[S6850-10-mst-region]revision-level 1 ##配置MSTP修订级别1,两边设备配置一致,证明两台交换机同属一个MST域
[S6850-10-mst-region]instance 10 vlan 10 20
[S6850-10-mst-region]instance 20 vlan 30 40 ##VLAN和实例的映射
[S6850-10-mst-region]active region-configuration ##激活区域配置
以上配置的目的:在一个MST域中,生成了2个MSTI实例,也就是说在MST域中,配置了多颗生成树实例。把VLAN用户绑定在实例中,激活配置。
通过dis stp region-configuration命令查询当前生效的MST域信息,如下实例映射关系,实例10映射VLAN10和20,实例20映射VLAN30和40。很容易理解,对实例10操作任何动作,影响的是VLAN10和VLAN20。
接入设备
S6850-11
[H3C]vlan 10 20 30 40
[H3C]int rang g1/0/1 to g1/0/2
[H3C-if-range]port link-type trunk
[H3C-if-range]port trunk permit vlan 10 20 30 40
[H3C]stp mode mstp
[H3C]stp region-configuration
[H3C-mst-region]region-name H3C
[H3C-mst-region]revision-level 1
[H3C-mst-region]instance 10 vlan 10 20
[H3C-mst-region]instance 20 vlan 30 40
[H3C-mst-region]active region-configuration
S6850-12
[H3C]vlan 10 20 30 40
[H3C]int rang g1/0/1 to g1/0/2
[H3C-if-range]port link-type trunk
[H3C-if-range]port trunk permit vlan 10 20 30 40
[H3C-if-range]stp mode mstp
[H3C]stp region-configuration
[H3C-mst-region]region-name H3C
[H3C-mst-region]revision-level 1
[H3C-mst-region]instance 10 vlan 10 20
[